生命人寿保险股份有限公司
龙岗数据中心网络设计方案
1 / 34
信息技术部 2009.12
一、概述
生命人寿保险股份有限公司在业务快速增长、结构持续改善的环境下,在业务高速发展和信息技术不断更新的同时,规划建设具有先进视野,一流标准,科学先进,并可持续发展的的信息技术基础设施与管理体系成为生命人寿业务稳定运行的重要支撑保障和跨越发展的驱动引擎。为了加强生命人寿信息技术对业务的支持能力,并加快生命人寿信息化建设向先进标准迈进的步伐,公司规划启动了生命人寿龙岗后援中心的建设。
生命人寿后援中心建设作为生命人寿重要的战略部署,是生命人寿不断提升国际化、专业化管理水准的重要保证。生命人寿龙岗数据中心将为生命人寿保险股份有限公司提供有效支持。生命人寿后援中心用以支持生命人寿的企业未来业务的发展。本项目方案工作的目标是把生命人寿后援中心规划成为适应未来战略发展变化、灵活调整性强、智能化、网络化的后援中心。
1, 后援中心网络建设方面的总体思路
企业信息基础架构的主要目标是支持企业业务的发展及提供企业用户可靠、稳定、安全及高可用的应用访问能力,在考虑业务需求和现有环境的同时也要考虑技术和业务的发展趋势。因此:
后援中心承载着上层的业务应用是IT基础架构的核心 灾备中心提供企业业务连续的功能 网络提供数据传输和用户安全的稳定的接入 安全保障企业信息的安全
2 / 34
IT运维管理保障IT的平稳有效运作
策略人员IT运维管理系统和数据网络和灾备基础设施
后援中心与IT整体之间的关系
2, 后援中心网络规划建议
在此规划建议报告中,充分考虑了金融保险业对后援中心网络必须满足的需求,并在建议中充分体现了数据中心网络应具有的:
可用性 可靠性
灵活性/可扩展性 安全性 可管理性 先进性
在建议中,除了考虑到金融保险业对后援中心必须具有的功能之外,还特别考虑到对未来后援中心可能提供的服务和技术的支持的特点,
在网络的设计中充分考虑到对集团及其成员公司的数据中心服务支持 充分考虑到未来数据中心可能对社会提供数据中心服务的支持 数据中心网络对高密度刀片服务器的支持 数据中心网络对虚拟服务器的支持
数据中心网络对资源自动分配技术的支持
同时,在方案中参考了数据中心网络的最佳实践,设计中采用了成熟的先进
3 / 34
的数据中心网络技术,它们包括:
多层的服务器架构
➢ 多层架构:前置/WEB层、应用层、后台/数据库层、存储层
➢ 对于先进的多层的应用系统,数据中心网络采用多层(Tier)服务
器网络结构,更符合应用的特点
➢ 通过采用多层架构,配以多层的防火墙/IPS,提供额外的安全性 ➢ 为未来适应先进的应用架构提供灵活的网络平台 采用先进的专线技术
➢ 更少的网络投入
➢ 使用逻辑链路的方式,保持原有网络架构 ➢ 可以支持数据、语音、图象、视频等多种业务
➢ 能够提供服务质量保证,可以提供更好的带宽保证和更高的服务质
量
➢ 采用可靠的备份线路可以在发生故障时自动地迂回故障点,具备较
高的可靠性
对重要应用系统,端到端的没有单点故障点的网络架构
➢ 冗余的Internet ➢ 冗余的防火墙
➢ 冗余的交换机和路由器设计
➢ 冗余的广域网线路——WAN、CWDM/DWDM光纤
➢ 冗余的服务器网络连接,如:服务器网卡Teaming技术 负载分担的技术——Load Balancer
➢ 在服务器架构中采用负载分担技术,提供系统的高可扩充性、灵活
性和冗余性
多层异构防火墙/IDS系统架构
➢ 在数据中心网络的接入区和服务器区采用多层异构的防火墙/IDS
系统架构,提供更好的网络安全性
➢ 网络交换机可使用PVLAN技术进一步提高网络安全性
➢ 不同的应用系统虽然在同一层交换机上,但可以通过划分不同的
VLAN进行分隔
➢ 使用PVLAN可以限制同一VLAN之间的数据通讯,提供更多的安全性,
防止ARP攻击等
二,龙岗后援中心网络需求与设计
龙岗数据中心将作为生命人寿所有后端业务的集中处理中心、信息管理中心、数据存储和处理中心,是一个满足各应用要求的,兼顾未来需求的核心数据中心。
龙岗数据中心将作为未来5-10年人寿保险公司、资产管理公司、健康险、养老险公司及其它专业子公司的后援中心,在机房设计时,从机房空间、机柜数量、机房制冷、UPS供电等方面已充分考虑了未来的业务规模,预留了充足的发
4 / 34
展余地。
后援中心主机房占地面积670平方米,辅助功能区域面积600平方米,
主机房、测试机房、通信机房总计可安放220多个标准服务器机柜,40个网络机柜,可满足未来6-10年公司业务和规模发展的需要。
主机房内一期共安排了144个机柜位置,其中20个IBM主机机柜、19个网络核心机柜、10个网络列头柜、95个普通服务器机柜。主机房预留了二期75个标准服务器机柜的位置。按每个机柜放至少4台服务器计算,主机房一期可安放至少400台生产系统服务器,4套IBM主机系统。而目前上海数据中心有120多台服务器、2套IBM小型机系统在使用。
通信机房共安排15个网络机柜位置,主要用于运营商通信线路接入和大楼综合布线汇接。
测试机房有21个服务器机柜和1个网络列头柜,用于摆放研发、测试系统。测试机房可安放80-100台测试、研发服务器。
监控间安排20多个信息点,用于连接机房大屏幕监控设备、部分网管系统和管理员终端。
后援中心大楼办公区域总计设计了1500多个数据信息点,有8个弱电布线间
为满足保监会下发的《保险业信息系统灾难恢复管理指引》的要求,目前公司的生产中心机房—上海生命人寿大厦机房在龙岗数据中心机房建设完成后,将作为龙岗中心机房的异地灾备机房继续运作,以满足监管要求。
基于以上后援中心的基础设施需求,根据公司业务类型和IT系统运行现状,龙岗后援中心将按以下功能分区的需求进行网络规划:
核心区,即网络的核心路由交换区
作为整个数据中心的网络核心,需要部署高背板带宽、高可用性、高端口密度的核心网络交换机,提供全线速无阻塞交换路由服务,其核心背板带宽需要在480G以上,以保证各功能分区和核心业务系统的高效快速运行。为逻辑上区分各功能区域,网络核心与各功能区域以三层路由方式连接,为此需要配置较强包转发能力的核心网络设备,包转发能力需要在400Mpps以上。
服务器群区,包括:
1,核心业务系统,包括公司目前在运行的个险、银代、团险、投连险、影像、打印系统等以及将来可能增加的健康险、养老险系统等系统接入需求
目前公司核心业务系统运行在2台IBM P595主机上,这两台主机共有48个千兆光纤网口。为保障核心业务系统处理速度同时为节约费用,在龙岗数据中心,这些服务器需要直接连到核心交换机上,核心交换机需要为此提供至少48个光纤接口。
投连、影像、打印等系统目前运行于30余台HP 380、580服务器上,这些服务器均为双千兆以太网口接入;
公司目前正在筹备资产管理公司、养老险公司,预计这2个专业子公司的业务系统需要新增20台PC服务器,这些服务器均为双千兆以太网口接入。
5 / 34
2,ERP等系统接入需求
目前ERP系统运行于3台HP 580服务器上。
3,OA系统,包括办公自动化、邮件、文件等系统接入需求
目前公司OA系统、文件服务器、邮件服务器运行于10台HP PC服务器上。 4,呼叫中心客服等系统接入需求 5,资金、财务管理等系统接入需求
6,稽核、审计、反洗钱等系统接入需求
7,视频监控、流媒体培训系统等、视频会议接入需求
视频会议系统运行于2台Polycom专业设备上,视频监控系统运行于4台专业设备上。
目前在上海数据中心总计有120多台各型服务器和设备在运行,其网络端口均是1000M以太网口。
在数据中心主机房设计时,主机房内设计共有6排机柜,第6排为网络核心区,有1排为IBM小型机区域(可布置4套小机系统),其余4排为普通服务器机柜。
普通服务器机柜每排有21-23个服务器机柜,2个网络列头柜,每个列头柜通过2条光纤上连到网络核心区。按每个服务器机柜放4-5台服务器计算,每个列头柜可支持本区域10个服务器机柜中的40-50台服务器接入,为保证高可用性,每个列头柜需要安装48口千兆以太网交换机2台。因此在每个网络列头柜中布设2台汇聚层交换机,每台交换机有48个1000M以太网口,2-4个光纤口。按所有列头柜网络设备均布置到位设计,主机房内一期需要20台汇聚层交换机,加上通信机房、测试机房的光纤汇聚,核心交换机上需要为汇聚层交换机至少配置24个光纤网口。
在上海数据中心各系统迁入数据中心机房时,各系统需要物理上安装在一个区域即安排在同一排机柜中。
下图为普通业务系统网络连接示意,普通服务器分别接入各网络列头柜中的汇聚层交换机,汇聚层交换机通过光纤上连到网络核心。
系统1 Web服务器核心交换机列头柜接入交换机系统1应用服务器系统1数据库服务器
办公接入区
为后援中心楼层及公司内部办公人员接入需求。公司客服、呼叫中心、
6 / 34
两核、IT等部门将在后援中心办公,初期约有300多人搬入;后援中心大楼有四层楼面,8个弱电布线间,1500多个网络信息点。
办公接入区包含了临时访问人员接入需求,配合桌面管理软件合网络准入控制系统以及部署安全策略,允许临时访问人员接入网络,获得有限网络资源。
在数据中心机房布线系统设计时,各配线间的光纤集中汇聚到通信机房,为保障可用性,在通信机房需要部署2台汇聚层交换机,每台要求为有16口以上千兆光纤网口,其中4口上联到核心交换机,16口连接到各配线间交换机。配线间交换机要求每台有48口10/100M以太网口,2个光纤口,总计需要20台。考虑到上海可调配8-10个48口交换机,数据中心网络设备采购时,新采购10台48口交换机可基本满足需要。
下图为后援中心大楼办公网络接入结构,其中汇聚层交换机安装在通信机房。
布线间1核心交换机汇聚交换机布线间2布线间3
研发测试区
研发测试区域,新系统研发及新系统上线前测试接入需求
目前IT研发、测试环境服务器总计约有50多台,均为HP PC服务器,在龙岗后援中心测试机房内布置了20个标准服务器机柜,用以安放研发、测试服务器,按机柜空间和配电系统容量,可摆放80-100台PC服务器。
在龙岗后援中心办公的IT研发人员初期约有50多人,预计未来约有200人;IT外包人员初期有40多人,预计未来有100多人。对于IT外包人员,通过配置安全策略,只允许访问部分开发、测试系统和Internet资源。
下图为研发测试区域的网络连接示意:
7 / 34
核心网络安全控制只允许外包人员访问部分开发、测试服务器及部分Internet资源IT研发人员接入测试服务器群开发服务器群IT外包人员接入
外网接入区
1,Internet接入区
在Internet区域需要部署防火墙、入侵检测设备、接入认证设备、上网行为管理设备等安全设备;同时需要部署公司网站、邮件前置机、邮件网关、电子商务服务器、包括公司网站、VPN接入等服务器,部署在Internet区域的服务器初期约有20台。
Internet接入区需要普通48口网络交换机4台。 下图为Internet网络接入
8 / 34
核心网络防火墙电子商务应用服务器群IDS入侵监测VPN接入服务器防火墙电子商务Web服务器群链路负载均衡设备ISP1ISP2
2,第三方接入Extranet
到各银行、保监会、证券交易所、证券公司和其他合作伙伴的接入需求。初期由于投资交易中心需要保留在荣超中心办公、银保通专线保留在上海接入,暂时无第三方接入需求。为保留一定的应急扩展能力,初期计划采购1台中低端路由器,以便有需要时快速安装。
下图为第三方接入网络结构:
9 / 34
核心网络安全控制防火墙第三方合作伙伴主第三方合作伙伴备
内部广域网接入区域
1,分支机构接入
目前各地有19家分公司专线接入、全国70多家中支机构通过分公司接入数据中心的需求,因此需要一台高性能的核心路由器,具有多种数据接口类型,以汇聚19家分公司上联的数据专线。按我公司实际使用情况,一条OC-3/STM-1线路就可以很好的满足我公司的需求,这条线路可划分成63条2M线路传输数据。
2,荣超商务中心总公司办公职场接入需求
荣超中心有400位总公司员工需要访问龙岗数据中心各业务系统 3,上海生命人寿大厦灾备中心机房接入需求
生命人寿大厦机房作为龙岗数据中心的灾备机房,有数据同步、业务系统互备等需求。
以上2、3项的需求需要另外部署一台中高端路由器,分别通过2条互备线路接入荣超中心和生命人寿大厦,这台设备还将作为龙岗数据中心的VoIP网关,连接龙岗后援中心的程控交换机,因此需要这台设备有支持E1数据接口的能力。
下图为内部机构网络连接示意:
10 / 34
核心交换机核心路由器核心路由器各地分公司荣超中心上海灾备中心
监控管理区域 包括网络管理、系统管理、主机管理、机房动力环境监控、办公场所视频监控等功能,龙岗数据中心机房初期总计有5-10套监控系统需要连接。
下图为监控管理区网络结构,监控区各设备连接到安装在通信机房的汇聚层交换机。监控区域需要普通48口网络交换机2台,这2台交换机同时起汇聚UPS间、监控间、通信机房网络信息点的作用。
核心网络网管服务器
监控系统认证服务器
基于以上功能区域划分,为满足目前在使用系统和汇聚层交换机的接入(120多台生产服务器、2套IBM小型机系统、50多台研发测试服务器,12个
11 / 34
网络列头柜),每台网络核心交换机至少需要44个光纤网口,48个千兆以太网口,为保留未来3-5年的扩容余地,每台网络核心交换机需要配置2个48个光纤网卡模块,2个48个千兆以太网模块。
按以上核心交换机和列头柜汇聚层交换机数量的配置,龙岗数据中心一期可支持4套IBM小机系统的光纤接入、300台生产服务器的千兆以太网冗余接入、100台研发测试服务器的千兆以太网接入、1000名办公人员的100M以太网接入。按目前120台在用服务器、每年新增40台服务器、每3年新增1套IBM主机系统计算,可支持未来4-5年的系统扩容需要。
按以上需求配置的路由器,可支持最多63个分公司的2M专线的接入和荣超中心、上海生命人寿大厦高带宽长途链路接入。
三,龙岗后援中心网络拓扑
1,数据中心逻辑框图
核心业务系统服务器群接入层汇聚层资金财务系统接入层汇聚层办公业务系统接入层汇聚层呼叫中心客服系统接入层汇聚层稽核审计系统接入层汇聚层视频监控系统接入层汇聚层数据中心核心网络平台汇聚层接入层Internet接入汇聚层接入层第三方接入Extranet汇聚层接入层监控管理区汇聚层接入层楼层/用户接入分布层总公司/分公司接入分布层灾备中心接入
2,网络总体拓扑图
按功能区域划分后的网络逻辑拓扑结构参见下图。2台核心交换机、2台核心路由器、安装在主机房网络核心区,为整个数据中心的核心路由交换区。
两台高性能核心交换机通过网络虚拟系统组成逻辑上的单台交换机,通过网络虚拟技术:
分布式处理二三层协议,提高网络处理性能
每组虚拟为一台设备,简化组网,配置管理更高效 虚拟交换组设备软件版本同步升级,易于维护 整个虚拟交换组的设备支持热插拔,灵活管理
对虚拟交换组来说,实现倍数级的接入密度和背板交换能力,并提高组
网的可靠性
部署虚拟技术后,无需再考虑MSTP、VRRP等协议,解决了传统设备和链路只能工作在主/备模式和利用率低于50%的性能瓶颈。
12 / 34
每排机柜的网络列头柜中安装2-4台汇聚层交换机,直接连接这排机柜中的服务器设备,每台汇聚层交换机通过2条光纤分别上连到两台核心交换机上。
另有2台汇聚交换机安装在通信机房,汇接各楼层布线间的交换机,并分别通过2条光纤连接到两台核心交换机上。
网络拓扑参见下图:
13 / 34
核心业务系统服务器群资金财务系统呼叫中心客服系统稽核审计系统监控管理区核心交换机Internet接入第三方接入楼层/用户接入研发测试区核心路由器总公司、分公司、灾备中心接入办公业务系统视频监控系统14 / 34
3,公司整体网络架构
龙岗后援中心专线新装、网络实施工作完成后,公司整体网络如下图所示
龙岗数据中心总公司荣超中心职场分公司生命人寿大厦灾备中心
为满足保监会对保险公司灾备系统建设的规范要求,在龙岗后援中心机房开始运作以后,上海生命人寿大厦机房将作为公司的灾备机房继续运作,以满足监管要求,因此要求生产中心机房和灾备中心建立可靠的通信链路
总公司(荣超商务中心)通过2条专线访问龙岗数据中心;各分公司分别通过2条2M SDH线路连接龙岗数据中心和上海灾备中心,龙岗数据中心与上海灾备中心之间通过不同运营商的2条专线连接,满足实时数据传输和灾备需要。
四,网络安全设计
1、设计原则
• 统一性原则 • 实用性原则 • 先进性原则 • 可扩展性原则 • 安全性原则 • 保密性原则 • 安全分级原则 • 最高保护原则
• 易实现性和可管理性
2、规划原则:
将各个区域按照数据流特点、重要程度、面临风险程度等分成不同的网络区域,大致可以分为如图的几大区域:
15 / 34
各地分公司 WAN接入区 外联机构 互联网接入区 ISP1 ISP2 IPS& DDOS LLB 企业客户端接入区 对内服务器区 SLB 对外服务器区 核心交换区 SLB 应用防火墙&IPS 包含核心业务、OA、Mail等对 内业务系统服务器及其APP、DB 设备配置 安全 业务审计 流量分析网管区 包含门户等对 内业务系统服务器及其APP、DB 应用防火墙&IPS 16
核心交换区作为网络中心,其任务是大量数据交换,在上面不做任何安全措施,以免影响效率。
对内服务器区域主要是公司内部的业务系统及办公系统服务器群,除了防火墙外,主要安全考虑是保护核心业务系统应用服务器和数据库服务器。
WAN接入区域包含与各地分公司的线路接入以及与外联机构的专线接入汇聚,通过防火墙实现对数据中心总部应用的安全控制。并部署IPS设备防范入侵已经网络病毒木马的传播影响数据中心的正常运行。
互联网区域和对外服务器区域由于面对互联网开放,其受到安全攻击入侵的可能性最大,除了传统防火墙、IPS之外,需要考虑到web应用防火墙对web服务器进行高层次防护。并根据需要逐步考虑其他的安全措施。
企业客户端区域包括内部员工办公PC、IT外包人员PC访问、外来人员临时访问,除了统一防病毒产品部署之外,需要加强终端资产以及安全管理。
3,安全设备需求 防火墙
数据中心以下区域需要部署防火墙:Internet接入区域、第三方接入区域和内部功能区域。
在Internet接入区域需要部署2层防火墙,同时为保证高可用性,防火墙需要荣誉部署,这里防火墙起到隔离公司内部网络和保护DMZ区域服务器的作用。
在第三方接入区域需要部署1-2台防火墙,放置公司内部机密信息和数据的不恰当泄露。
在需要保护的功能区域与核心交换区域连接之间部署传统防火墙,对于进出该功能区域的数据进行网络层的控制。
初期需要部署6台防火墙设备。
16 / 34
入侵检测防护设备IPS
基于防火墙的数据包过滤是全面的网络安全拓扑结构的必要组件,但仅靠它们来建立网络安全体系是远远不够的。需要的是一种针对整个网络七层的全面的安全防护体系解决方案,从而有效地保护网络免受恶意攻击和错误使用的骚扰。因此需要一款实用的入侵检测防护设备IPS,作为防火墙安全防护的一个重要补充,它能做到:
能够对通过网络的每一个数据包的全部内容进行检查,并对恶意活动进
行检测;
这种内容检查技术能够提供更加深入的数据包分析;
能够检测出嵌入在常用协议(例如 HTTP 会话)中的复杂攻击; 能够对检测出的恶意行为进行阻断。
龙岗数据中心中,Internet接入区域和内部功能区域需要各部署一台高性能的IPS设备。
上网行为管理设备
通过部署上网行为管理设备能够实现:
因特网内容管理:利用某种手段(如:利用URL数据库提供全面而精确
的因特网过滤或管理人员通过自定义策略来管理等)达到对员工访问的网站的管理。
带宽资源管理:通过设置优先级,使重要业务处于优先于工作无关的活
动。在超过管理员设定的网络带宽阀值时,禁止个人访问因特网或使用应用程序。
管理对等或即时消息发送使用:通过设置某种策略来阻止发送和接收文
件附件,尽量减少病毒或蠕虫通过对等或即时消息传播的风险。 上网行为管理系统产品可用于降低员工因使用因特网、网络和桌面应用程序带来的风险,能帮助用户提高效率、改善安全性以及保护信息技术资源,并可以降低法律风险。
在数据中心Internet接入区域需要部署一台上网行为管理设备。
桌面管理和安全防护系统
通过部署桌面管理和安全防护系统能够实现:
IT软硬件资产管理 客户端远程协助,客户端远程协助为系统管理员带来最易为用户接受的
协助、最准确的定位、最安全的连接、最快速的控制功能,提升管理效率,提高客户满意度。
应用程序授权管理,应用程序授权管理为系统管理员带来软件快速定
位、统计以及控制。
应用程序分发,可以为系统管理员带来应用程序快速地分发、安装、卸
载而无需任何用户参与以及可进行忙时分发。 操作系统部署,操作系统部署可以为系统管理员带来操作系统的快速分
发。
补丁管理系统
客户端安全威胁管理
17 / 34
间谍软件检测与防护 防病毒软件管理,病毒防护管理为企业客户端带来全面的病毒防护二层
保障。
外设控制管理,为企业客户端带来全面的数据信息传输安全保障 软件禁用管理
网络信任准入,为企业客户端带来全面的网络边界安全保障。 在总公司需要部署一套如LANdesk的桌面管理及安全防护系统。
五,专线接入需求分析
龙岗后援中心需要通过数据专线连接生命人寿各地分支机构、灾备中心、荣超中心总公司职场、第三方业务合作伙伴,通过Internet线路为客户提供快速及时的信息查询服务,需要大量运营商的专线资源。
1,分支机构接入
目前各分公司分别通过一条电信1M MPLS线路和一条联通2M SDH线路连接到上海的生产和灾备中心。
在龙岗后援中心基础建设完成后,需要新安装一条各地分公司到龙岗的电信(联通)的2M SDH线路,拆除目前分公司到上海的电信1M MPLS线路,用于分支机构访问各生产中心机房。最终各地分公司分别通过2条不同运营商的数据专线访问龙岗中心机房和上海灾备中心。
分公司到龙岗数据中心专线传输的数据由OA、业务系统访问、视频会议、呼叫中心客服系统等。
分公司到龙岗的新增专线预计每条初装费8000元,月租费6500元。
2,灾备中心互连
由于龙岗数据中心和生命人寿大厦灾备中心存储之间需要传输同步数据,在灾难发生时需要进行机房功能的切换,数据传输带宽比较高,实时性要求也比较高,且有部分业务系统需要保留在生命人寿大厦灾备中心,因此需要在两个数据中心间建立高带宽且低延时的通信链路,计划将目前荣超中心连接到上海的两条MSTP专线迁移到龙岗使用。
对于主要关键的业务系统,要求RTO为24小时,RPO为5分钟。 对数据仓库,RTO/RPO为24小时
Wks
Days
Hrs
Mins Secs
Secs
Mins
Hrs
Days
Wks
Recovery Point
(RPO) 10Mins
冗灾距离
上海~深圳 约1200KM
Recovery Time
(RTO) 24Hrs
数据链路
TCP/IP
18 / 34
应用名 核心业务系统 团险系统 数据仓库系统(CRM) 影像系统(ECM) 总计 2009 236G 118G 93G 1314G 1762G 2010 331G 165G 130G 1840G 2466G 2011 463G 232G 182G 2576G 3453G 2012 649G 324G 254G 3607G 4834G 生命人寿业务系统主要业务量都发生在工作时间,即工作日每天8点-20点,每月月底及每年年底为业务高峰期日均业务量峰值可达平时的2倍。根据以上情况按照年均工作日250天、短时极端数据量达到10倍估算,我们得出如下的2012年日系统I/O情况表
复制链路建议采用20M数据专线(按照90%实际性能计算),采用基于TCP/IP协议的数据复制。对应带宽见下表:
峰值日数据量 日均数总数据小时分钟平极端分平均据量 量 平均 均 钟 秒钟 19.41G 20Mb带宽 38.82G 3.24G 8.1G 55.22M 135M 552.16M 135M 0.92M 2.25M 根据上表,我们可得出采用20M带宽链路极端数据丢失量为(552.16M-135M)/135M=3.1分钟。及系统RPO为3.1分钟,满足生命人寿对数据冗灾系统RPO<5分钟的要求。
为保证灾备线路的可靠,需要在生产中心和灾备中心机房间安徽钻工2条数据专线,其中一条带宽需要保证在20M,另外一条在一般情况下传输普通业务数据,带宽2M以上。
3,总公司职场互连
总公司荣超中心职场位于深圳市中心,需要访问的数据位于龙岗机房,数据传输量比较大,带宽要求比较高。
19 / 34
上面图片是荣超中心到上海生命人寿大厦机房专线的流量监控截图,上面部分是星期一的流量情况,下面部分是最近两周的流量汇总图。这条专线主要传输OA、邮件、灾备系统、培训验收环境、客服系统等数据,与生产机房搬迁后的荣超至龙岗的专线传输情况一致,工作时段专线流量通常保持在8M以上。
20 / 34
以上图片是荣超中心到上海生命人寿大厦机房专线的流量监控截图,上面部分是星期一的流量情况,下面部分是一周流量汇总图。这条专线主要传输视频会议、核心业务系统、影像、打印等系统的数据,与生产机房搬迁后的荣超至龙岗的专线传输情况一致,专线流量在工作时段保持在1M左右。
由于2条专线实时性和可靠性要求比较高,考虑到人员增加和系统增加的以上,建议荣超中心到龙岗数据中心申请不同运营商的两条10M带宽的市内专线,两条线路通过QoS路由策略等实现流量分流和互为备份。
4,第三方业务合作伙伴
公司目前有数条连接保监会、银行、证券公司、证券交易所等第三方机构的数据专线。
连接到农行、工行、中行进行银保通业务连接的四条专线,由于这些银行的数据中心均位于上海,所以这些专线均属于本地专线,如果迁移到深圳,月租费将增加18000元,因此建议这些线路的接入还留在上海,未来公司银保通业务需要接入专线也建议通过上海进行。
投资交易中心目前有专线连接到彭博咨询、上海证券交易所、外汇交易中心、中金证券、国泰君安证券、中央债券公司,由于投资交易中心将继续在荣超中心办公,以上这些线路的运作形式是专线直接连接终端,与公司内网物理隔离,这些线路也将继续保留在荣超中心接入。
因此,在龙岗数据中心开始运作初期,尚无第三方合作伙伴接入的需求,但在设计时,数据中心将保留这些线路接入的接口,预先采购1台低端设备,以方便线路的随时增加。
5,Internet线路
21 / 34
未来公司的网站、邮件服务器、电子商务系统、VPN接入汇结点等均将搬迁到龙岗后援中心,同时需要为龙岗后援中心员工提供上网服务,需要提供稳定可靠的互联网出口。
计划在龙岗后援中心申请安装4条不同运营商的互联网专线,其中2条为网站、邮件系统使用,由公司网站目前在上海的运行现状看,工作日的工作时间流量通常在3-5M左右,因此计划安装2条带宽各在4M以上、互为备份和流量负载均衡、由不同运营商提供的Internet线路,每条线路需要有20个以上固定公网IP地址;1条VPN接入线路,带宽4M,供营销服务部VPN接入、公司领导移动办公接入和部分合作伙伴VPN连接,需要10个以上固定IP地址;1条员工访问Internet线路,带宽4M左右。
其中后2条线路在龙岗数据中心网络建设时同步安装实施,另外2条在公司Internet出口由上海迁移深圳龙岗时实施。
六,IP地址和路由协议
公司目前使用的IP地址均为私有地址,10.0.0.0/8整个地址段分配给各分公司使用,每个分公司占有1到2个B类地址,分公司下属每个支公司占用4个C类地址,这种分配方式,为每个分公司保留了充足的IP地址资源,具有层次清晰,路由寻址方便、路由表体积小等优点。
192.168.0.0/16分配给外联线路接入,包括Internet区域、第三方线路接入、外包人员访问等。
172.16.0.0-172.31.255.255地址段分配给公司总部使用,包括生产中心、灾备中心、总部办公网络等。
目前生命人寿大厦机房使用的IP地址段为172.24.0.0/16,办公网段使用172.16.0.0/17;荣超商务中心使用的IP地址段范围为172.16.128.0/17。
龙岗后援中心机房计划启用IP地址段172.18.0.0/16,办公网络使用172.20.0.0/16地址段; 172.21.0.0/16及以后的资源将保留给资产管理公司、健康险、养老险等公司使用。
路由协议继续使用OSPF协议,具有收敛快、网络稳定、扩展性强、路由更新数据占用带宽小等优点。
七、厂商和设备选择
1,厂商选择
网络作为保险核心业务应用的基础承载系统,其可靠性和安全性极为重要。龙岗数据中心的建设,将为公司未来数年的稳健发展奠定基础信息平台。因而,本次数据中心建设除了要考虑数据中心的平稳迁徙及过渡、数据中心运行过程中的稳定可靠及保监会对保险信息系统规定的符合,还要考虑公司业务未来高速发展对网络扩展提出的要求。网络的可靠性、安全性及可扩展性成为网络建设的首要目标。
目前在企业网络市场应用比较广泛的有思科、华为、华三等厂商的产品。 思科
思科作为领先的网络设备供应厂商,其网络设备和解决方案,这已经成为银行、证券及保险类用户网络设备选型主流的发展趋势。思科具有大量的保险行业金融行业用户成功案例和丰富的数据中心网络建设经验,设备厂商的生命力和持续的研发能力、现有设备的投资保护和售后服务支持能力,其产品性能稳定,
22 / 34
故障率低。
华为
华为是领先的电信解决方案供应商。拥有强大的研发能力,提供端到端的客户化产品、解决方案和服务,华为产品和解决方案涵盖移动(LTE/HSPA/WCDMA/EDGE/GPRS/GSM, CDMA2000 1xEV-DO/CDMA2000 1X, TD-SCDMA和WiMAX)、核心网(IMS, Mobile Softswitch, NGN)、网络(FTTx, xDSL, 光网络, 路由器和LAN Switch)、电信增值业务(IN, mobile data service, BOSS)和终端(UMTS/CDMA)等领域。 2008年华为实现合同销售额233亿美元,同比增长46%。其中75%的销售额来自国际市场。其企业网产品在国内电信运营商占据主要份额。
华三
杭州华三通信技术有限公司(简称H3C), 致力于IP技术与产品的研究、开发、生产、销售及服务。2008年,H3C销售收入净额8.84亿美金,在国内31省市和海外多个国家或地区设有分支机构。H3C基于IP技术标准提供统一IT基础架构,具备“标准、融合、开放、增值”特征,基于IToIP构建网络、安全、存储、多媒体四大产品线,其产品广泛应用于教育、电信等行业。
2,核心设备选择 核心路由器
针对不同行业、不同规模的企业,华为、华三、思科等厂商均有全系列的产品线。作为数据中心的核心设备,三个方案的核心路由器分别选择华三的SR8805万兆核心路由器、华为的NetEngine 40E全业务路由器、思科的7606路由器,在设备的总体性能上处于同一水平线。
这三款产品在核心处理单元、电源模块等方面都有冗余保障措施,在端口类型、可扩展性、数据处理能力方面均能满足龙岗数据中心的需求。这些路由器主要应用在IP骨干网、IP城域网以及各种大型IP网络的核心和汇聚位置,具有强大的转发性能和丰富的业务特性全面满足用户各种组网应用的需求。同时为大型企业提供了真正的服务融合功能,能够利用单一平台在多种接入介质上部署管理种类繁多的应用。
下表为三种型号的主要参数 H3C S8805 华为N40E-8 思科7606 引擎交换容量bps 包转发能力pps 主控板槽位数 业务板槽位数 ACL、QoS、NAT、防火墙支持 接口类型 240G 144M 2 5 是 640G 400M 2 8 是 720G 400M 2 4 是 10/100/1000BASE-TX、100BASE-X、1000BASE-X、10GBASE-R/W、OC-48c RPR、OC-192c RPR、OC-192c/STM-64c POS OC-48c/STM-16c POS OC-12c/STM-4c POS OC-12c/STM-4c 信道化T1/E1、信道化T3 和信道化OC-3/STM-1 OC-3/STM-1, OC-12/STM-4, OC-48/STM-16 PoS 和23 / 34
OC-3c POS、OC-12c POS、OC-48c POS、OC-192c POS、OC-3 CPOS 通道化E1/T1、OC-3 CPOS 通道化E3/T3、OC-12 CPOS 通道化E3/T3、OC-48 CPOS 通道化OC-3、E1/T1、OC-3c ATM、OC-12c ATM等接口类型 ATM OC-3c/STM-1c POS OC-3c/STM-1c ATM Channelized OC-3/STM-1 10GE-WAN/LAN GE/FE 2.5GE/10GE RPR E3/CT3 CE1/CT1 E1/T1 OC-192/STM-64 PoS OC-3/STM-1 ATM, OC-12/STM-4 ATM 和OC-48/STM-16 ATM 快速以太网、千兆以太网和万兆以太网 增强型FlexWAN 模块:支持Cisco 7200 和7500 广域网端口适配器,从DS-0 到 OC-3,用于信道化和ATM接口,以及快速以太网端口适配器 高密度以太网服务模块:10/100 Mbps、千兆以太网和万兆以太网 路由协议 多业务特性 静态路由,RIPv1/v2,静态路由,RIPv1/v2,静态路由,RIPv1/v2,OSPF,IS-IS,BGPv4 OSPF,IS-IS,BGPv4 OSPF,IS-IS,BGPv4 支持MPLS,MPLS VPN,支持MPLS,MPLS 支持MPLS,MPLS L2TP/GRE/IPSec VPN VPN,VPN,L2TP/GRE/IPSec L2TP/GRE/IPSec VPN VPN 核心交换机
在数据中心核心交换机方面,三个方案分别选择了华三的S9508E核心交换机、华为的S9312核心交换机、思科的6509E核心交换机。
H3C S9500系列交换机是华三面向以业务为核心的企业网络架构而推出的新一代核心路由交换机,该产品基于H3C公司自适应安全网络的技术理念,在提供大容量、高性能L2/L3交换服务基础上,进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为企业构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。H3C S9500作为H3C公司自适应安全网络的核心路由交换产品,可广泛的适用各行业的生产网核心、企业数据中心、IP城域网核心和汇聚、园区网核心、汇聚和配线间等场所,为用户提供多种业务接入、路由交换一体化的安全融合网络解决方案。
Quidway® S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端以太汇聚交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播等智能业务优化手段,同时具备超强扩展性和可靠性,广泛适用于运营商IP城域网,企业广域网/城域网,企业出口/核心/汇聚,高密度千兆桌面接入,以及数据中心,帮助电信运营商和企业构建面向业务的网络平台,提供交换路由一体化的端到端融合网络服务。
思科的6500系列交换机是其旗舰产品,广泛应用于数据中心的核心接入,Catalyst 6500系列为企业园区网和电信运营商网络设立了新的IP通信和应用支持标准,它不但能提高用户的生产率,增强操作控制,还能提供无与伦比的投资保护。作为思科重要的智能多层模块化交换机,Catalyst® 6500系列能够提供安全的端到端融合网络服务,其使用范围从布线室到核心,再到数据中心和广域网边缘。Cisco Catalyst 6500系列能够通过多种机箱配置和LAN/WAN/MAN接口提供可扩展的性能和端口密度,因而能帮助企业和电信运营商降低总体拥有成本。
24 / 34
Cisco Catalyst 6500系列交换机提供3插槽、6插槽、9插槽和13插槽的机箱,以及多种集成式服务模块,包括数千兆位网络安全性、内容交换、语音和网络分析模块。 Catalyst 6500系列中的所有型号都使用了统一的模块和操作系统软件,形成了能够适应未来发展的体系结构,由于能提供操作一致性,因而能提高IT基础设施的利用率,并增加投资回报。从48端口到576端口的10/100/1000以太网布线室到能够支持192个1Gbps或32个10Gbps骨干端口,提供每秒数亿个数据包处理能力的网络核心,Cisco Catalyst 6500系列能够借助冗余路由与转发引擎之间的故障切换功能提高网络正常运行时间。
下表为三种型号的主要参数 H3C S9508 华为S9312 思科6509 交换容量bps 背板带宽bps 包转发能力pps 槽位数 业务板槽位数 GE端口密度 10G端口密度 路由协议 多业务特性 960G 1.2T 571M 10 2 384 32 静态路由,RIPv1/v2,OSPF,IS-IS,BGPv4 支持MPLS,MPLS VPN,L2TP/GRE/IPSec VPN 2T 4.8T 540M 14 12 480 32 静态路由,RIPv1/v2,OSPF,IS-IS,BGPv4 支持MPLS,MPLS VPN,L2TP/GRE/IPSec VPN 可集成防火墙、IPS、负载均衡、流量分析模块 720G 1.44T 400M 9 7 386 32 静态路由,RIPv1/v2,OSPF,IS-IS,BGPv4 支持MPLS,MPLS VPN,L2TP/GRE/IPSec VPN 可集成防火墙、IPS、IPsec、流量分析、内容交换、无线网络、光服务模块 集成特性 可集成防火墙、IPS、负载均衡、流量分析模块 3,方案比较
下表为三家厂商方案的比较: 方案 思科 华为 设备 6509核心交换机2台; 7606核心路由器1台; 3845路由器1台; 3750交换机24台; 2811路由器1台; 3560交换6台; 2960交换机8台 S9312核心交换机2台; NE40E-8核心路由器1台; AR46-80路由器1台; AR28-31路由器1台; S5348交换机22台; S5328交换机2台; S3352交换机6台; S2352交换机8台; 290万元左右 价格便宜,有利于节约费用;公司总部位于深圳,发展华三 S9508E核心交换机2台; SR8805万兆核心路由器1台; MSR50-40路由器1台; MSR30-16-路由器1台; S5500交换机22台; S3600交换机6台;S3100交换机8台; 320万元左右 价格便宜 思科+华为 6509核心交换机2台; 7606核心路由器1台; AR46-80路由器1台; AR28-11路由器1台; S5348交换机22台; S5328交换机2台; S3352交换机6台;S2352交换机8台; 价格 优势 420万元左右 金融行业数据中心有大规模应用,有利于保护360万元左右 费用比纯思科方案便宜 25 / 34
劣势 公司既有的网络设备投资,设备运行稳定,售后服务可靠,易集成到统一管理平台,系统上线风险小。 价格较贵 良好;电信行业有大规模应用,易集成到统一管理平台 金融行业数据中心应用少;与公司现有网络设备备件不兼容,需要购买新备件;华为认证系统集成商数量相对较少;高端产品更新比较快,生命周期较短 公司规模小,股权变更频繁,前景不明朗,金融行业数据中心采用案例少 设备配置、管理平台不统一,集成到统一网管平台难度稍大,发生故障时判断和解决复杂, 综合业界实际使用情况,思科高质量、高稳定、技术先进的网络设备和解决方案,保障业务高可靠地运行,得到了业界的广泛认可。从我公司的经验上来看,之前上海的数据中心及办公网络都使用思科设备,事实证明思科设备运行稳定,质量可靠。从投资保护角度及技术兼容性来看,采用思科设备,上海数据中心搬迁冗余出来的产品(如核心交换机板卡等)都可以在新的核心上运行,节省进一步投资。
思科在保险金融行业具有最高成功案例和市场占有率,如太保、新华、平安、太平、四大行等。鉴于思科拥有国内外大量的客户网络建设的实践基础,其产品及组网经验丰富,可降低公司新数据中心实施部署上线的风险。
在本次龙岗数据中心部署中,核心计划采用的是思科旗舰级产品:6500E交换系统,其虚拟交换系统技术,可以将多个Cisco Catalyst 6500系列交换机整合为单一虚拟交换机,通过跨机箱链路技术,增强了核心系统的可靠性并提高系统性能,采用思科虚拟交换技术,核心交换机能在故障发生时,一秒内完成故障切换,从而快速切换到备用管理引擎。龙岗数据中心作为日后生命的主要数据中心,除了性能比以往要有质的飞跃外,其网络的可靠性稳定性更是至关重要。
部署思科设备,将大大减少网络故障定位排错时间,并能做到主动监控,提高数据中心与用户间、龙岗数据中心与上海备份数据中心间的网络稳定可控。
目前保监会对保险行业数据安全要求日趋严谨。考虑到目前一些金融同业的部署情况,均经过一个安全策略从严到紧的过程。本次购买的思科6500系列交换机具有优秀的安全特性,同时可通过增加板卡方式实现核心关键数据入侵检测及数据中心内部防火墙安全区域分隔。随着生命业务拓展,及对安全性能要求加强,现在部署思科6500将为数据中心安全进一步规范提供平滑过渡。
鉴于数据中心对公司业务稳定运行的重要性,IT运营建议公司在本次网络设备采购中首选思科设备,次选华为。
八,设备采购方案
为实现以上结构和功能设计,共计需要以下设备:
核心交换机2台,作为整个数据中心的核心,直接连接核心业务系统的
服务器群;连接各汇聚层交换机;连接各接入路由器和各功能模块区域。
26 / 34
1,使用思科产品的设备配置清单 1,业务核心区交换机7606 序号 产品号 1 7606S-RSP720C-R 2 FAN-MOD-6SHS 3 S764ISK9-12233SRD 4 5 6 7 8 9 10 WS-X6724-SFP PA-MC-STM-1SMI GLC-SX-MM PA-2FE-TX 2700W-AC/6 GLC-SX-MM CAB-AC16A-90L-IN 核心路由器1台,通过电信或联通2M专线连接到各地分公司,通过专线连接荣超中心和上海生命人寿大厦 接入路由器1台,通过专线连接到上海生命人寿大厦灾备中心机房和荣超中心公司总部职场,并作为龙岗数据中心的VoIP网关,提供高速稳定的数据传输通道
第三方接入路由器2台,连接到第三方合作伙伴等
千兆以太网汇聚交换机22台,安装在各机房网络列头柜,作为各功能区服务器的接入交换及研发区域服务器接入
汇聚交换机2台,安装在通信机房,汇接各楼层和布线间交换机
接入交换机2台,安装在通信机房,汇接监控室、UPS间信息点以及门禁、视频监控设备。
接入交换机4台,安装在Internet接入区域
接入层交换机8台,安装在各楼层布线间,桌面访问接入
描述 数量 1 1 1 1 1 4 1 2 8 2 1 11 MEM-XCEF720-256M Cisco 7606S Chassis,6-slot,Redundant System,2RSP720-3C,2PS High Speed Fan Module for CISCO7606-S Chassis Cisco 7600-RSP720 IOS IP SERVICES SSH Cisco7600/Catalyst6500 24-port GigE Mod: fabric-enabled (Req. SFPs) 1 port multichannel STM-1 single mode port adapter GE SFP, LC connector SX transceiver 2-Port Fast Ethernet 100Base TX Port Adapter 2700 W AC Power Supply for 7606 GE SFP, LC connector SX transceiver 16A AC right angle pwr cord -International Catalyst 6500 256MB DDR, xCEF720 (67xx interface, DFC3A) SNTP保修(3年) 序号 1 CON-SNTP-7606RCR 2 CON-SNTP-MCSTM1SM 3 CON-SNTP-7600SIP2 产品号 SMARTNET 24X7X4 7606S Chassis,6-slot,Redund Sys,2RSP720 24x7x4 Svc, 1 port multichannel STM-1 single mode SMARTNET 24X7X4 7600 Series SPA Interface Processor 200 数量 3 3 3 2,交换核心区交换机6509 2台 序号 产品号 1 VS-C6509VE-S72010G 2 X2-10GB-LRM 3 WS-CAC-3000W 4 WS-X6748-GE-TX 5 WS-F6700-DFC3C 描述 数量 2 4 4 4 4 Catalyst Chassis+Fan Tray+Sup720-10G; IP Base ONLY incl. VSS 10GBASE-LRM X2 Module Catalyst 6500 3000W AC power supply Cat6500 48-port 10/100/1000 GE Mod: fabric enabled, RJ-45 Catalyst 6500 Dist Fwd Card for WS-X67xx modules 27 / 34
6 7 8 9 WS-X6748-SFP CF-ADAPTER-SP WS-F6700-DFC3C GLC-SX-MM 10 SV33IBN-12233SXI Catalyst 6500 48-port GigE Mod: fabric-enabled (Req. SFPs) SP adapter with compact flash for SUP720 Catalyst 6500 Dist Fwd Card for WS-X67xx modules GE SFP, LC connector SX transceiver Cisco CAT6000-SUP720-10G IOS IP SERVICES SSH 4 2 4 192 2 CSSPD保修(3年) 序号 1 CON-SNTP-VES720 产品号 SMARTNET 24X7X4 Catalyst 6509-V-E-Chassis+Fan Tray+Sup720-10G 数量 6 总公司、灾备中心接入路由器3845 1台 序号 产品号 1 2 3 4 5 6 7 CISCO3845-V/K9 PWR-3845-AC PWR-3845-AC/2 CAB-ACA S384IPV-12409T NM-2FE2W-V2 描述 数量 1 1 1 2 1 1 1 1 1 1 2 1 2 PVDM2-64 8 MEM3800-64U128CF 9 10 MEM3845-256Inc NM-HDV2-2T1/E1 11 CAB-E1-RJ45BNC 12 HWIC-2T 13 CAB-SS-V35MT 3845 Voice Bundle,PVDM2-64,SP Serv,64F/256D AC Power Supply for the Cisco 3845 Redundant AC System Power Suppy for the Cisco 3845 Plug,Power Cord,Australian,10A Cisco 3845 IP VOICE W/O CRYPTO 2-port 10/100 Ethernet 2-WIC-slot network module, version 2 64-channel (G.711) Voice/Fax PVDMII DSP SIMM PVDM daughter card 64 to 128 MB CF Factory Upgrade for Cisco 3800 Series 256 MB DIMM DRAM Memory factory default for the Cisco 3845 2-port T1/E1 IP communications high-density voice/fax network module E1 Cable RJ-45 to Dual BNC (Unbalanced). 2-Port Serial WAN Interface Card V.35 Cable, DTE Male to Smart Serial, 10 Feet 第三方接入路由器2811 1台 序号 产品号 1 CISCO2811 2 HWIC-2T 3 CAB-SS-V35MT 描述 2811 w/ AC PWR,2FE,4HWICs,2PVDMs,1NME,2AIMS,IP BASE,64F/256D 2-Port Serial WAN Interface Card V.35 Cable, DTE Male to Smart Serial, 10 Feet 数量 1 2 4 CSSPD保修(3年) 序号 1 CON-CSSPP-3845 2 CON-CSSPP-2811 产品号 金牌24X7X4 3845 Voice Bundle,PV 金牌24X7X4 2811 数量 3 3 汇聚层接入交换机 序号 产品号 1 WS-C3750G-48TS-S 2 WS-C3750G-12S-S 3 GLC-SX-MM 描述 Catalyst 3750 48 10/100/1000T + 4 SFP + IPB Image Catalyst 3750 12 SFP + IPB Image GE SFP, LC connector SX transceiver 数量 22 2 50 CSSPD保修(3年) 序号 产品号 28 / 34
数量 1 CON-CSSPP-3750G12S 2 CON-CSSPP-3750G48T 金牌24X7X4 Cat 3750 12 SFP Std Multilayer Image 金牌24X7X4 Cat 3750 48 10/100/1000T + 4 SFP St 6 66 接入层接入交换机 序号 产品号 1 WS-C3560-48TS-S 2 WS-C2960-48TC-L 3 GLC-SX-MM 描述 48-10/100 and 4 SFP ports:Std Multilayer SW Image Catalyst 2960 48 10/100 + 2 T/SFP LAN Base Image GE SFP, LC connector SX transceiver 数量 6 8 18 CSSPD保修(3年) 序号 1 CON-CSSPD-C3560 2 CON-CSSPP-C29604TC 产品号 金牌5X8X4 金牌5X8XNBD 数量 18 24 预计使用思科方案的总费用在420万元左右,此费用为厂商参考报价。
2,使用华三产品的设备配置清单 序号 产品号 描述 H3C SR8800,万兆核心路由器 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 SR-8805-N-H3 LIS-SR8800-H3 LSBM3POWERH SR0M2SRP1E3 数量 1 1 2 2 H3C SR8805 万兆核心路由器主机 H3C SR8800系列主机软件 交流电源模块-2000W H3C SR8800-路由交换处理板(1E) SPE-1010 SPE-1020 PIC-GP10L PIC-CL1G8L SFP-GE-T SFP-GE/FE-LX10-SM1310 SFP-GE-SX-MM850-A H3C SR8800服务 LS-9508E-V-H3 SR0M5POWERH SR0M1PSFH CAB-AC Pwr CHI-3m LSRM1SRP2C1 LSRM1XP2LEC1 XFP-SX-MM850 LSRM2GT48LEB1 LSRM1GP48LEB1 SFP-GE-SX-MM850-A LSRM1NSM1A1 单路业务处理板 双路业务处理板 10端口千兆以太网光接口卡-(SFP,LC) 1端口OC-3/STM-1通道化至E1/T1 CPOS光口(SFP,LC)+8端口千兆以太网光接口卡(SFP,LC) 电模块-SFP-GE-(RJ45) FE/GE可配SFP光模块(1310nm,10km,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) H3C一年服务24×7×4 H3C S9508E-V 路由交换机主机 交流电源模块-1800W(需要配置CAB-AC Pwr CHI-3m电源线) 3500W交流电源框-可放置2个1800W标准电源模块 外部电源线-国标交流220V16A-3m-3*1.5mm^2-黑-(PI弯公)-(227IEC53-1.5^2(3C))-(C19直母) H3C S9500E 交换路由处理板-带OAM模块 2端口万兆以太网光接口业务板(LEC)-(XFP,LC) 光模块-XFP-10G-多模模块-(850nm,300m,LC) 48端口千兆以太网电接口业务板(LEB)-(RJ45) 48端口千兆以太网光接口业务板(LEB)-(SFP,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) H3C S9500E,NetStream业务板 2 1 2 1 2 1 12 3 2 4 2 4 4 2 4 4 4 192 2 H3C S9508E,万兆核心交换机 LS-9500E H3C一年服务24×7×4 6 29 / 34
总公司灾备中心接入路由器 1 2 3 4 5 6 7 8 9 10 1 2 3 4 RT-Z+M-17 AC-PSR350-A10-H3 RT-FIC-2VE1-H3 RT-FIC-2FE-V2-H3 CF-1G RT-FIC-2SAE-V2-H3 CAB-V35DTE(DB28) CAB-E1/2*BNC-75-3m CAB-BNC-75 H3C MSR5054 RT-MSR3016-AC-H3 LIS-MSR30-BASIC-H3 RT-MIM-2SAE-H3 CAB-V35DTE(DB28) H3C MSR 50-40 路由器主机(AC),捆绑MPUF+MSCA+VCPM+2*VPM32+SIC-1VE1模块,标准版软件 H3C MSR 50路由器交流电源模块-PSR350 2路E1语音FIC接口模块 2端口10M/100M以太网电FIC接口模块(RJ45) 存储介质-CF-1G 2端口增强型同/异步串口FIC接口模块 同异步串口(SA)V.35 DTE电缆(DB28) E1接口电缆/2*BNC(75欧)-3m 同轴连接器-BNC-75Ω-直/插座-双母-与E1电缆BNC公插头连接 H3C金牌一年服务24×7×4 H3C MSR 30-16 路由器(AC) H3C MSR30系列主机软件费用(基础版) 2路增强型同/异步接口模块 同异步串口(SA)V.35 DTE电缆(DB28) 1 2 1 1 1 1 2 2 2 3 1 1 2 4 第三方接入路由器 汇聚层交换机 1 2 3 4 5 LS-5500-52C-SI LS-5500-20TP-SI-H3 SFP-GE-SX-MM850-A H3C S5500-52 H3C S5500-20 H3C S5500-52C-SI-LSPZ152-L3以太网交换机主机(48个10/100/1000Base-T+4个100/1000SFP Combo+2Slots) H3C S5500-20TP-SI-L3以太网交换机主机(12SFP+8GE) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) H3C金牌一年服务24×7×4 H3C金牌一年服务24×7×4 H3C S3600-52P-SI以太网交换机主机,48个10/100Base-T,4个千兆SFP上行口,交流供电 H3C S3100-52P L2以太网交换机主机,48个10/100Base-T,4个千兆SFP,交流供电 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) H3C金牌一年服务5×8×4 H3C金牌一年服务5×8×NBD 22 2 50 66 6 接入层交换机 1 2 3 4 5 LS-3600-52P-SI LS-3100-52P-H3 SFP-GE-SX-MM850-A H3C S3600-52P H3C S3100-52P 6 8 6 18 24 使用华三设备配置,费用总计约为320万元,此费用为厂商参考报价。
3,使用华为产品的设备配置清单 序号 产品号 描述 业务核心区路由器 1 2 3 4 5 CR52-BKPB-20U CR52-SRUA3 CR52-SFUD CF-512M MEM-1G-184pin 一体化机箱组件(NE40E-8)-20U 路由交换板A3(支持1588v2) 交换网单元D 512MB CF卡模块 1GB 184pin内存模块 数量 1 1 1 2 2 30 / 34
6 7 8 9 10 11 12 13 1 2 3 4 5 6 7 8 CR53-LPUF-10 CR53-P10-8x100/1000Base-X-SFP CR53-P10-2xcPOS/STM1-SFP eSFP-GE-SX-MM850 GBIC-T CR52-PWRC SWP-CR56LIC-VRP5-V3R6 NE40E-8 LE0KS9312 LE0MSURA LE0MPSA08 LE0MX2UXA XFP-SX-MM850 LE0MG48SA eSFP-GE-SX-MM850 S9312保修 灵活插卡线路处理板(LPUF-10) 8端口100/1000Base-X-SFP 灵活插卡 2端口Channelized OC-3c/STM-1c POS-SFP 灵活插卡 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) 光功能模块-1000BASE-T RJ45接口的GBIC模块-传输距离100m-全双工 一次电源--5degC-55degC-90V-275V-48V/62.5A-110V输入半载输出 NetEngine40E&80E基本软件,VRP5,V300R006 华为金牌一年7*24*4服务 Quidway S9312总装机箱 Quidway S9306/S9312 主控处理单元 交流电源模块 2端口万兆以太网光接口板(EA,XFP) 光模块-XFP-10G-多模模块(850nm,0.3km,LC) 48端口百兆/千兆以太网光接口板(EA,SFP) 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) 华为一年7*24*4服务 Quidway AR 46-80-RTMM14680C-路由器机箱(交流/8SLOT/风扇) Quidway AR 46路由器高性能二代主控板(256M内存、3GE(E/F)、1AUX、1Con、1CF slot) AR46路由器1端口E1语音模块 AR46路由器2端口十/百兆以太网电接口模块(RJ45) AR46路由器2端口增强型同/异步接口模块 单根电缆-V.35串口电缆DTE-3.00m-(D34公+D34塑料壳)-CC(5P+8C)0.32P296U(S)-(D50公-Ⅰ)-QuidWay2501,W2068 华为金牌一年7*24*4服务 Quidway AR 28-31路由器主机(100-240VAC)(1高速同异步串口/100-240VAC/2FE/2 SIC slots/1 MIM slot) 1端口增强型同/异步串口接口模块 单根电缆-V.35串口电缆DTE-3.00m-(D34公+D34塑料壳)-CC(5P+8C)0.32P296U(S)-(D50公-Ⅰ)-QuidWay2501,W2068 华为金牌一年7*24*4服务 1 1 1 6 2 1 2 3 2 4 8 2 4 4 192 6 交换核心区交换机 总公司、灾备中心接入路由器 1 2 3 4 5 6 7 RT-AR4680-AC-CHASSIS RT-AR46-ERPU-256M RT-FIC-E1VI AR-FIC-2FE RT-FIC-2SAE CAB-V35-DTE C AR4680保修 1 1 2 1 1 2 3 第三方接入路由器 1 2 3 4 AR 28-31 RT-SIC-1SAE CAB-V35-DTE C AR2831保修 1 2 4 3 汇聚层接入交换机 31 / 34
1 LS-S5348TP-SI-AC S5348TP-SI-AC主机(48个10/100/1000Base-T,4个千兆Combo口),不含堆叠插卡,交流供电) S5328C-EI-24S主机(24个100/1000Base-X,4个千兆Combo口(10/100/1000 BASE-T),机箱,双电源槽位,不含插卡和电源) 交流电源模块组件 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) 华为金牌一年7*24*4服务 华为金牌一年7*24*4服务 22 2 3 4 5 6 LS-S5328C-EI-24S LS5M100PWA00 eSFP-GE-SX-MM850 S5348TP-SI保修 S5328C-EI-24S保修 2 2 50 66 6 接入层接入交换机 1 LS-S3352P-SI-AC S3352P-SI主机(48个10/100BASE-T,2个百兆/千兆SFP上行口(100/1000 BASE-X),2个千兆SFP上行口(SFP Req.),交流供电) S2352P-EI主机(48个10/100BASE-T,2个百兆/千兆SFP上行口(100/1000 BASE-X),2个千兆SFP上行口(SFP Req.),交流供电) 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) 华为金牌一年5*8*4服务 华为金牌一年5*8*NBD服务 6 2 LS-2352P-EI-AC 8 3 4 5 eSFP-GE-SX-MM850 S3352P-SI保修 2352P-EI保修 18 18 24 使用华为设备配置,费用总计在290万元左右,此费用为厂商参考报价。
4,核心设备使用思科,非核心使用华为产品的设备配置清单 1,业务核心区交换机7606 序号 产品号 描述 1 7606S-RSP720C-R 2 FAN-MOD-6SHS 3 S764ISK9-12233SRD 4 5 6 7 8 9 10 WS-X6724-SFP PA-MC-STM-1SMI GLC-SX-MM PA-2FE-TX 2700W-AC/6 GLC-SX-MM CAB-AC16A-90L-IN Cisco 7606S Chassis,6-slot,Redundant System,2RSP720-3C,2PS High Speed Fan Module for CISCO7606-S Chassis Cisco 7600-RSP720 IOS IP SERVICES SSH Cisco7600/Catalyst6500 24-port GigE Mod: fabric-enabled (Req. SFPs) 1 port multichannel STM-1 single mode port adapter GE SFP, LC connector SX transceiver 2-Port Fast Ethernet 100Base TX Port Adapter 2700 W AC Power Supply for 7606 GE SFP, LC connector SX transceiver 16A AC right angle pwr cord –International Catalyst 6500 256MB DDR, xCEF720 (67xx interface, DFC3A) 数量 1 1 1 1 1 4 1 2 8 2 1 11 MEM-XCEF720-256M SNTP保修(3年) 序号 1 CON-SNTP-7606RCR 2 CON-SNTP-MCSTM1SM 3 CON-SNTP-7600SIP2 产品号 SMARTNET 24X7X4 7606S Chassis,6-slot,Redund Sys,2RSP720 24x7x4 Svc, 1 port multichannel STM-1 single mode SMARTNET 24X7X4 7600 Series SPA Interface Processor 200 数量 3 3 3 32 / 34
2,交换核心区交换机6509 2台 序号 产品号 1 VS-C6509VE-S72010G 2 X2-10GB-LRM 3 WS-CAC-3000W 4 WS-X6748-GE-TX 5 WS-F6700-DFC3C 6 7 8 9 WS-X6748-SFP CF-ADAPTER-SP WS-F6700-DFC3C GLC-SX-MM 描述 数量 2 4 4 4 4 4 2 4 192 2 10 SV33IBN-12233SXI Catalyst Chassis+Fan Tray+Sup720-10G; IP Base ONLY incl. VSS 10GBASE-LRM X2 Module Catalyst 6500 3000W AC power supply Cat6500 48-port 10/100/1000 GE Mod: fabric enabled, RJ-45 Catalyst 6500 Dist Fwd Card for WS-X67xx modules Catalyst 6500 48-port GigE Mod: fabric-enabled (Req. SFPs) SP adapter with compact flash for SUP720 Catalyst 6500 Dist Fwd Card for WS-X67xx modules GE SFP, LC connector SX transceiver Cisco CAT6000-SUP720-10G IOS IP SERVICES SSH CSSPD保修(3年) 序号 CON-SNTP-VES720 13 CAB-SS-V35MT 1 产品号 SMARTNET 24X7X4 Catalyst 6509-V-E-Chassis+Fan Tray+Sup720-10G V.35 Cable, DTE Male to Smart Serial, 10 Feet 数量 6 2 总公司、灾备中心接入路由器 1 2 3 4 5 6 7 RT-AR4680-AC-CHASSIS RT-AR46-ERPU-512M RT-FIC-E1VI AR-FIC-2FE RT-FIC-2SAE CAB-V35-DTE C AR4680保修 Quidway AR 46-80-RTMM14680C-路由器机箱(交流/8SLOT/风扇) Quidway AR 46路由器高性能二代主控板(512M内存、3GE(E/F)、1AUX、1Con、1CF slot) AR46路由器1端口E1语音模块 AR46路由器2端口十/百兆以太网电接口模块(RJ45) AR46路由器2端口增强型同/异步接口模块 单根电缆-V.35串口电缆DTE-3.00m-(D34公+D34塑料壳)-CC(5P+8C)0.32P296U(S)-(D50公-Ⅰ)-QuidWay2501,W2068 华为金牌一年7*24*4服务 Quidway AR 28-31路由器主机(100-240VAC)(1高速同异步串口/100-240VAC/2FE/2 SIC slots/1 MIM slot) 1端口增强型同/异步串口接口模块 单根电缆-V.35串口电缆DTE-3.00m-(D34公+D34塑料壳)-CC(5P+8C)0.32P296U(S)-(D50公-Ⅰ)-QuidWay2501,W2068 华为金牌一年7*24*4服务 1 1 2 1 1 2 3 第三方接入路由器 1 2 3 4 AR 28-31 RT-SIC-1SAE CAB-V35-DTE C AR2831保修 1 2 4 3 汇聚层接入交换机 33 / 34
1 LS-S5348TP-SI-AC S5348TP-SI-AC主机(48个10/100/1000Base-T,4个千兆Combo口),不含堆叠插卡,交流供电) S5328C-EI-24S主机(24个100/1000Base-X,4个千兆Combo口(10/100/1000 BASE-T),机箱,双电源槽位,不含插卡和电源) 交流电源模块组件 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) 华为金牌一年7*24*4服务 华为金牌一年7*24*4服务 22 2 3 4 5 6 LS-S5328C-EI-24S LS5M100PWA00 eSFP-GE-SX-MM850 S5348TP-SI保修 S5328C-EI-24S保修 2 2 50 66 6 接入层接入交换机 1 LS-S3352P-SI-AC S3352P-SI主机(48个10/100BASE-T,2个百兆/千兆SFP上行口(100/1000 BASE-X),2个千兆SFP上行口(SFP Req.),交流供电) S2352P-EI主机(48个10/100BASE-T,2个百兆/千兆SFP上行口(100/1000 BASE-X),2个千兆SFP上行口(SFP Req.),交流供电) 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) 华为金牌一年5*8*4服务 华为金牌一年5*8*4服务 6 2 LS-2352P-EI-AC 8 3 4 5 eSFP-GE-SX-MM850 S3352P-SI保修 S2352P-EI保修 18 18 24 使用思科+华为设备配置,费用总计在360万元左右,此费用为厂商参考报价。 34 / 34
因篇幅问题不能全部显示,请点此查看更多更全内容