1、XXX 通清算中心系统及网络集成实施方案1 概述XXX 项目的业务范围包括:公共交通、小额消费的电子支付、公共事业缴费等,由于XXX 系统定于 X 月底上线,考虑项目实施时间周期短和新设备采购到货时间比较长,所以系统上线采用了一套临时设备,近期采购的服务器、网络设备、各类软件已经全部到位。为保障新合肥系统稳定、安全、高效的运行,需要尽快将运行在临时环境的新合肥通系统迁移到新系统环境上。本次项目采购的设备主要用于搭建新合肥通清算中心系统,用于发行符合 XXX 标准的预付费卡准备,届时 XXX 将可以在银联的 POS 设备上进行刷卡消费。2 工程范围工程名称:工程地点: 本工程范围包括下列系统设计
2、、系统所需货物的供应、运输、安装调试、系统测试、开通、人员培训和售后服务: POSP 服务器(2 台) WEB 控制台服务器(2 台) 光纤交换机(2 台) 磁盘阵列(1 台) 磁带存储(1 台) 核心交换机(2 台) 发布式交换机(2 台) 防火墙(2 台) 双机软件(5 套) 备份软件(1 套) 杀毒软件(2 套) 防毒墙(2 台) 网管系统(1 套)3 项目参与单位软件开发:XXXXXX操作系统数据库集成:XXXX配合方:XXXXX网络及服务器集成及电源改造:XXXXX4 建设目标本次 XXX 清算中心系统服务器及网络设备采购及安装项目建设目标如下:1) 构建 XXXXXXX 项目为发行
3、符合银联 PBOC2.0 标准的预付费卡做准备2) 建设 XXXXX 股份有限公司清算中心核心网络和系统3) 建设 XXXXX 股份有限公司通卡项目网络和系统安全体系,通过软硬件安全措施确保各应用系统的网络安全和系统能够正常运行4) 为合 XXXXX 系统迁移及后续系统压力测试做准备5 阶段划分综合考虑了合肥“XXXX”清算中心系统服务器及网络设备采购及安装项目功能需求、实施范围、系统复杂度、用户可接受的上线时间等因素,我们计划工程分为以下几个阶段:(1 ) 强电改造阶段(周期 5 天)(2) 设备安装部署和测试阶段(周期 14 天)(3 ) 系统集成阶段(4 ) 应用部署阶段(5 ) 功能测
4、试和压力测试阶段(6 ) 测试数据清理和正式数据迁移阶段(7 ) 系统正式上线阶段名称 主要工作 时间安排(日历天)启动阶段 设备采购;指定项目整体计划 20机房强电改造 UPS 部署;机房强电改造实施 5设备安装部署和测试阶段 系统部署、调试、设备联调 14设备试运行及验收阶段 系统试运行、项目验收 15使用阶段 全面投入生产环境使用 N/A2 网络系统实施2.1 总体网络设计2.1.1 网络设备清单序号 品名、规格、型号 单位 数量1 Cisco C4506-E 台 22 S5800-56C 台 23 NS-SecPath U200-M-AC 台 22.1.2 改造前网络拓扑图2.1.3
5、改造后网络拓扑及说明如图所示,为了提高网络的高可用性和可靠性, “XXXXX”系统所设计设备均采用双机热备模式,实现了数据同步、流量切换,这样可以保证网络的不间断传输;此次设备互联和服务器接入,均采用了千兆互联、千兆接入的高带宽设计,确保网络传输的高效。核心采用 Cisco 4506-E 运行 VRRP 双机热备,同时与老系统中的核心 H3C S5800 交换机采用两条千兆链路互相连接,达到链路冗余效果,保障内网运行不间断;两台 Cisco ASA5510 作为新系统的 VPN 拨入设备,利用 cisco 特有的 failover 技术,达到虚拟成一台边界设备,同时在远端的客户端通过使用 ci
6、sco VPN client 软件即可实现拨入至内网;使用访问控制列表(ACL)使内部没有数据交互的系统完全独立开来,同时可以配合内容过滤、端口防护等功能,做到对内部数据的保护;所有生产网段的网关均在核心上,与边界路由器的互联使用三层功能。如图,网络的层次可以划分为: 清算中心的边界接入层专线路由器、VPN 拨入 Cisco 4506-E 作为清算中心的核心、服务器的接入 与系统的互连使用网神防火墙做隔离2.1.4 改造后全网拓扑示意图2.1.5 具体配置列表1、 内部网段规划网段说明 地址段/掩码 网关172.17.1.0/24 172.17.1.244172.17.2.0/24 172.1
7、7.2.244172.17.3.0/24 172.17.3.244172.17.4.0/24 172.17.4.244172.17.5.0/24 172.17.5.244172.17.6.0/24 172.17.6.244172.17.7.0/24 172.17.7.244生产网段172.17.8.0/24 172.17.8.244业务网段 172.18.1.0/24 172.18.1.2442、 交换机设备 VLAN 规划设备名称 VLANID IP 网段 IP 网关 虚拟网关Vlan17 172.17.1.0/24 172.17.1.245/24 172.17.1.244/24Cisco4
8、506-CORE_1Vlan18 172.18.1.0/24 172.18.1.245/24 172.18.1.244/24Vlan17 172.17.1.0/24 172.17.1.246/24 172.17.1.244/24Cisco4506-CORE_2Vlan18 172.18.1.0/24 172.18.1.246/24 172.18.1.244/24Vlan17 -NA -NA -NAH3C S5800-1Vlan18 -NA 172.18.1.244/24 -NAVlan17 -NA -NA -NAH3C S5800-2Vlan18 -NA 172.18.1.244/24 -NA
9、-NA -NA -NA -NAH3C SecPath U200-1 -NA -NA -NA -NA-NA -NA -NA -NAH3C SecPath U200-2-NA -NA -NA -NA4、 交换机端口规划设备名称 端口列表 速率(Mb) 端口性质 说明G3/1 1000 三层接口 上联至网神防火墙主G3/2 1000 三层接口 上联至网神防火墙备G3/3 1000 三层接口 下联至 CISCO ASA5510 主G3/4 1000 三层接口 下联至 CISCO ASA5510 备G3/47 1000 端口汇聚 互联备用核心 Cisco 4506-ECISCO4506-E-1G3/48
10、 1000 端口汇聚 互联备用核心 Cisco 4506-EG3/1 1000 三层接口 上联至网神防火墙主G3/2 1000 三层接口 上联至网神防火墙备G3/3 1000 三层接口 下联至 CISCO ASA5510 主G3/4 1000 三层接口 下联至 CISCO ASA5510 备G3/47 1000 端口汇聚 互联备用核心 Cisco 4506-ECISCO4506-E-2G3/48 1000 端口汇聚 互联备用核心 Cisco 4506-EG1/0/20 1000 三层接口 连接清算中心系统 4506-E 主核心G1/0/21 1000 三层接口 连接清算中心系统 4506-E
11、备核心CityCard_H3C_5800-1G1/0/48 1000 Trunk 互联 链接 H3C_S5800-2G1/0/20 1000 三层接口 连接清算中心系统 4506-E 主核心G1/0/21 1000 三层接口 连接清算中心系统 4506-E 备核心CityCard_H3C_5800-2G1/0/48 1000 Trunk 互联 链接 H3C_S5800-15、 防火墙访问策略防火墙名称 位置/作用 访问策略 备注网神 SecWorld_1 专线接入/端口映射控制访问范围,局限于内部服务器;开放某些具体端口;内容过滤、防毒策略;NAT策略用于外部网点访问清算中心网神 SecWor
12、ld_2 专线接入/端口映射控制访问范围,局限于内部服务器;开放某些具体端口;内容过滤、防毒策略;NAT策略用于外部网点访问清算中心思科 ASA5510-1 隔离清算中心系统与老 系统 控制访问范围;开放某些具体端口; 策略用于新老系统互相访问ACL 应用思科 ASA5510-2 隔离清算中心系统与老 系统控制访问范围;开放某些具体端口;ACL 应用策略用于新老系统互相访问6、 路由规划内部设备互联使用 OSPF 互相通告、学习路由;对外,在网神防火墙上使用静态路由与远端网络通信。2.2 存储系统规划及服务器系统部署小型机和存储通过 Cisco 光纤交换机来做 ZONE 隔离,存储的分区依据服
13、务器功能来划分,SAN 存储做 RAID 5,SAN 磁盘划分两个 LUN:一个 LUN 提供给数据库小型机使用,一个LUN 给应用小型机使用。1) 数据库小型机部分在 SAN 环境中,数据库所使用的存储部分只让数据库服务器(DB1、DB2)访问,其他主机系统不能访问。2) 应用小型机部分在 SAN 环境中,文件存储,应用文件所使用的存储部分只让应用服务器(APP1、APP2)访问,其他主机系统不能访问。具体主机存储系统拓扑图如下:2.3 IBM 存储划分为保证 IBM 存储备份系统在云新过程中不产生生产存储链路方面的单点故障,和设备配件方面的单点故障,存储系统的主要存储设备,磁盘阵列柜,磁带
14、库,备份服务器采用双电源模块,特别是磁盘阵列,应该配置双电源模块。对于促出系统的存储光纤通道连接,也采用冗余的方式配置,尤其是磁盘阵列柜和服务器之间的光纤通道连接,应该采用冗余的链路连接方式。存储设备冗余说明存储设备 FC 通道数 已用 FC 通道数 速率(Gb) 链路冗余 设备冗余 电源冗余 说明光纤交换机 1 48 12 4 否 是 否 光纤交换机 2 48 12 4 否 是 否 磁盘阵列 4 2 8 是 否 是 磁带库 2 2 4 是 否 是 DB1 2 2 4 是 是 是 DB2 2 2 4 是 是 是 App1 2 2 4 是 是 是 App2 2 2 4 是 是 是 2.4 主机系
15、统地址规划主机名 服务器说明 固定地址 HA 地址172.17.1.11/24DB1 数据库服务器 1192.168.1.11/24 172.17.1.10/24172.17.1.21/24DB2 数据库服务器 2192.168.1.21/24 172.17.1.20/24172.17.2.31/24App1 应用服务器 1130.251.2.31/24172.17.2.32/24App2 应用服务器 2130.251.2.32/24172.17.1.30/24备份服务器 备份服务器 172.17.1.40/24 172.17.3.11/24POSP1 POSP 服务器130.251.3.11
16、/24172.17.3.12/24POSP2 POSP 服务器130.251.3.12/24172.17.3.10/24172.17.4.11/24客服 1 客服服务器130.251.4.11/24172.17.4.12/24客服 2 客服服务器130.251.4.12/24172.17.4.10/24172.17.5.11/24银联前置 1 银联前置服务器130.251.5.11/24172.17.5.12/24银联前置 2 银联前置服务器130.251.5.12/24172.17.5.10/24172.17.6.11/24通信前置 1 通信前置服务器130.251.6.11/24172.1
17、7.6.12/24通信前置 2 通信前置服务器130.251.6.12/24172.17.6.10/24172.17.7.11/24FTP 前置 1 FTP 前置服务器130.251.7.11/24FTP 前置 2 FTP 前置服务器 172.17.7.12/24172.17.7.10/24130.251.7.12/24清算控制台 清算控制台服务器 172.17.8.10/24 测试服务器 测试服务器 172.17.20.10/24 测试加密机 加密机服务器 172.17.20.99/242.5 主机配置规划机型 主要配置 数量 用途IBM Power6 550 CPU:IBM Power6
18、内存:16G 硬盘:146G*2 2 数据库服务器IBM Power6 550CPU:IBM Power6 内存:8G 硬盘:146G*2 2 应用服务器IBM Power6 520CPU:IBM Power6 内存:8G 硬盘:300G*2 1 开发,测试服务器IBM X3850 X5CPU:IBM Xeon E5649 内存:8G 硬盘:300G*4 2 控制台服务器IBM X3850 X5CPU:IBM Xeon E5649 内存:8G 硬盘:300G*2 2 POSP 服务器2.6 数据库备份软件部署备份服务器通过 Cisco 光纤交换机来和磁带库连接,考虑到应用问题,我们只需要一台服
19、务器做备份服务器,所有组建都部署到该服务器上,这样备份的各台机子部署客户端,我们就可以在服务器控制台上做需要的备份策略完成备份。具体连线如下图:2.7 备份还原策略规划备份对象 备份方式 备份时间 使用介质 保留时间全备份 每周一 02:00 循环备份介质 循环覆盖差异备份 每周二周日 02:00 循环备份介质 循环覆盖Oracle 数据全备份 每半年 永久备份介质 永久Oracle 日志 文件备份 每周日(差异备份完成后开始,备份完后删除所有日志) 循环备份介质 循环覆盖应用程序数据 文件备份 每周日(Oracle 日志备份完成后开始,备份完后删除所有日志) 循环备份介质 循环覆盖2.8 数据存储在介质上的服务器服务器用途 占用磁盘大小 访问频繁度清算应用服务器 350G 大数据库服务器 1T 大web 客服服务器 350G 大根据以上分析,磁盘需要至少分出 3 个区3 系统集成系统集成主要华腾集成项目组来完成,主要有如下工作,按服务器划分。
