【IT168 信息化】
   
    【编者按】对于多数中小企业的IT采购主管来说，面对某个特定的需求，不仅要考虑软件的选购，而且要考虑网络的搭建方案、服务器的配置、笔记本电脑和台式机的配置等，更要考虑总体预算。从IT采购的角度说，成熟的做法一般是首先根据需求选择软件，然后根据计算量和数据存储量确定硬件配置，再选型采购产品。但是由于缺乏系统集成的经验，往往面对一个简单的需求就无所适从；为帮助广大中小企业的IT主管理性采购，IT168信息化频道推出了情景导购栏目。该栏目根据一些中小企业的真实需求，进行需求分析形成IT方案，然后提出IT方案具体实施策略，并推荐相应产品，包括应用场景、需求分析、解决方案和推荐产品4个部分。今天发布的是第一篇，介绍了某机械制造企业的IT基础设施建设方案，敬请关注！

    行业类型  机械制造
    应用终端  2000个
    应用类型  网络办公解决方案

    一、应用场景

    XX公司，是一个2000人左右的中小型机械制造企业；拥有生产车间2个，库房一个，办公区三个；分布在厂区的两个大楼（间隔100米），以及同城市不同地域的一个大楼内；分支机构10个，其中国内分支机构8个，国外分支机构2个。 需要构建包括新厂区、办公大楼以及分支机构的整体IT基础设施，要求IT系统能够满足当前及未来三到五年内业务需求，并在进行新的IT基础设施建设的同时满足业务发展的要求。

     具体的说，该公司希望通过建立一套完整的网络系统，为满足办公和生产、总部和机构、员工相互之间协同工作等要求提供基础支撑。建立的网络基础设施要求满足安全、稳定、数据传输量大的要求，提供voip功能，提供数据存储备份功能；提供主办公区和主生产区的无线访问要求；满足生产、库房等区域监控和查询的要求。通过项目实施，提升该公司整体IT技术水平，满足持续发展战略的需要。

    二、需求分析

    根据该公司的应用要求，要满足以下关键需求：

    要求每台电脑都能接入公司内部网络；办公区的电脑以及分支机构的电脑能接入互联网；库房及生产车间的电脑接入公司的局域网，要求与广域网隔离。

    公司将会建设自己的ERP、CRM、OA等系统，要求IT基础设施提供支撑； 

    公司的内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，国内外分支机构与总部之间需要经常开会讨论；要求用IT设施来提高效率并节省成本。

    公司与分支机构之间经常会传输大量的数据与文件，要求IT设施能够最大限度的提高公司与各分支机构之间的数据传输速度，同时保证数据传输的安全性；

    公司网络安全性、稳定性要求比较高，同时有对公司内部文件的安全保密的需求；

    公司在国内外分支机构之间不愿意支付大量的话费，要求IT基础设施能提供voip功能； 

    公司希望能够有效控制员工的上网行为，比如：老板不受任何限制，其他按照不同的岗位来区分是否能够浏览所有网站、是否可以QQ，是否可以BT，上下班时间有不同的上网权限等等；

    公司希望每个员工根据职位的不同，对内部局域网资源的访问权限不同；

    公司希望无线局域网覆盖整个办公区域；（不包括各个分支机构）

    公司部分领导、销售部员工经常出差，有远程接入公司网络、移动办公的需求；

    分析以上需求，此集成项目至少需要以下四个核心方案：

    1、应用软件系统方案包括协同工作软件方案、员工权限管理软件方案和文件管理传输方案；
    2、网络整体解决方案，包括网络整体规划方案、VOIP方案、远程接入方案和网络安全方案；
    3、机房建设方案，包括机房布线方案，UPS 解决方案。
    4、服务器、存储方案，包括应用服务器方案、数据库服务器方案和文件服务器方案。

   

    

    三  推荐解决方案

    1、应用系统方案

    ①可视协同工作软件方案

    公司的内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，国内外分支机构与总部之间需要经常开会讨论；要求用IT设施来提高效率并节省成本。

    集团公司的分支机构一般都分散在全国各处，那么各个分公司之间互相只有靠电话联系。如果要进行会议就更加麻烦，各个分公司都要派人去总公司进行集团性的会议。这样不仅浪费了时间而且还增加了差旅费的开支。当公司有重大事件需要公司各懂事进行商议时，由于各股东不能即时的聚在一起开会商讨，就有可能导致决策上的失误。而视频通讯和视频会议以及协同办公软件就为公司解决了这些问题。

    解决方案如下：

    1、通过Internet能随时进行员工之间的面对面的通话。除了网络费用无需其他费用。
    2、各部门随时召开部门会议，提高了工作效率，减少差旅费。
    3、通过视频会议进行各部门或各分公司的网上培训，相互可以时时看到对方视频，共享文档，或者直接操作对方电脑。
    4、管理层决策更即时。随时召集管理层人员进行视频会议，在视频会议中进行表决，使决策更加即时。
    5、网上召开董事会。集团公司的懂事分布地域很广。通过视高视频会议可以通过会议室的电视会议或者桌面会议的形式举行董事会网络条件不好的懂事也可通过桌面语音会议的形式参加董事会。
    6、提高员工工作效率。通过使用视高可视协同办公系统的邮件、备忘录、收藏夹、名片等功能可以提高员工的工作效率。
    7、通过WEB Call和企业黄页系统可实现远程销售，远程售后服务。同样降低了公司的售前、售后服务的开支。

    ②员工网络权限管理软件

    公司希望能够有效控制员工的上网行为，比如：老板不受任何限制，其他按照不同的岗位来区分是否能够浏览所有网站、是否可以QQ，是否可以BT，上下班时间有不同的上网权限等等；公司希望每个员工根据职位的不同，对内部局域网资源的访问权限不同。

    编辑推荐
 
    推荐使用企业上网管理软件《NetLooker》

    功能简介

    性能特点：
 
    A、内置具有世界领先水平的内核抓包引擎heartsone保证了软件的高稳定性和高效性 

     heartsone是中科同向公司自主研发的具有世界领先水平的Windows内核抓包程序 ，拥有全部独立知识产权,heartsone在抓包处理上采用了两级支援缓存，极大限度地提高了抓包性能，从设计上根本解决了不漏包的问题;在分析数据包上采用应用层直接到内核取包，极大降低了CPU占有率，其CPU占有率远不到市面上常用的抓包程序WINPCAP的十分之一,保证了heartsone抓包程序的高稳定性。

    B、优秀的构架设计及模块化设计保证了网络监控软件的高品质

    《NetLooker》优秀的设计构架及高度的模块化设计保证了该软件的可移植性和稳定性，其先进的软件设计思想被融汇到整个产品的设计研发中，该软件从核心层到应用层和同类网络监控软件相比都具有明显的优势，其强大的功能和简洁的界面保障了软件的高效使用。

    C、功能强大的内容分析引擎和高效的索引算法保证了上网监控软件的高性能

    中科同向公司在协议分析上强大的研发实力是《NetLooker》高水平内容分析的重要保证，其功能强大的内容分析引擎和高效的索引算法，使产品的处理速度得到极大地提高，比绝大多数同类产品快数十倍以上，在业内遥遥领先。

    D、简单易用，功能强大,实用有效

    中科同向公司将该系统的易安装性、易维护性、易使用性贯穿在整个设计过程中,把一个专业性很强的网管软件设计为一个简单易用的企业效率管理软件， 该系统根据成千上万家企业需求进行分析, 充分考虑企业对互联网管理的种种需求,定位准确,针对性强,采用事前防止、事中监控、事后跟踪的多环节方式,内置功能强大的控制和查询统计功能,企业对互联网管理的所有需要,几乎都可以通过它来帮你实现,企业在使用互联网后遇到的种种难题,也都能通过它迎刃而解,其强大的功能几乎可以完成企业的任何互联网管理需求,而且方便易用。

    ③文档传输管理软件

    公司与分支机构之间经常会传输大量的数据与文件，要求IT设施能够最大限度的提高公司与各分支机构之间的数据传输速度，同时保证数据传输的安全性。

    首先需要解决架构问题。为解决传输速度和安全问题，通过设立文件服务器的方式，所有的文件都存放于文件服务器，文件服务器的上传和下载通过软件权限设置。传输过程中的安全性通过网络防火墙技术保证。

    编辑推荐  文档管理推荐使用IBM的软件组件 IBM Content Manager Entry Offering 1 USER/SW MAINT

    关于IBM文档管理方案的功能简单介绍

    IBM为小型专业咨询服务企业量身定作的文档管理系统是一套完整且灵活的解决方案，从纸张文档资料的扫描、识别，到数字化文档的捕获、存储、共享、访问、分发和管理，真正成为企业的文档管理中心。

 

    2、网络整体解决方案

    ①网络整体规划方案。

    根据该公司的业务功能和地域分布的要求,局域网分为六个主要部分，包括骨干广域网、办公区甲局域网络、办公区乙局域网络、分支机构局域网络、数据中心网络和互联网出口网络。

    骨干广域网作为整体网络的核心区域,为该公司所有的园区节点提供统一标准的网络接入，选择两家运营商提供的SDH链路作为广域网的基础平台,各节点通过本地的2台路由器分别连接2个SDH网络,可以考虑2M*N的捆绑方式。利用不同运营商的网络冗余保证骨干广域网的高可用性.

    办公区甲网络，即总部局域网，按照标准三层网络架构进行构建,采用双核心/双设备的冗余设计。核心层在总部大楼中心机房部署2台高性能路由交换机，实现设备冗余。汇聚交换机通过2条千兆上联链路分别连接到核心交换机上,为实现上联链路的冗余,实现汇聚层设备的本地连接冗余。接入层是网络的最边缘部分，直接连接网络用户终端（如MES/ERP系统等）。接入层交换机由于数量很大，所以在选择时要考虑要有较高性价比。

    办公区乙网络和办公区甲一致。

    分支机构网络，采用简化的两层网络架构设计，以较低的成本提供网络可靠性。

    互联网出口网络区域设计。该公司网络需要与互联网/相关外部网络连接，网络安全是主要的考虑要素。需要部署防火墙和入侵检测系统，进行安全控制和管理，入侵检测系统对非法入侵进行检测和报告。

    编辑推荐产品    

    总部中心采用Cisco7206路由器接入骨干广域网，Cisco7606路由器配置NPE-G1路由交换引擎，能够支持高级别的大容量接口，满足全网访问数据中心的数据交换流量要求
    各分支机构采用Cisco 2800 ISR路由器接入骨干广域网，一个机箱就能满足数据、语音、加密等多种节点业务要求，不仅满足当前业务需求，也为后期扩展打下了坚实的基础。

    ②VOIP方案

    随着Internet宽带网络和IP信息技术的日益普及，集团／企业的各级办公机构普遍接入了Internet宽带网络，部分还在各级办公机构间建立了IP数据专网。通过互联网（或内部数据专网），可以建立覆盖各办公机构的内部IP电话网络，使企业各级机构内部通信“零话费”。

    通过网络电话终端IAD的内线口（PHONE），连接当地办公电话环境（程控交换机＼电信虚拟网＼电话机），实现内部电话通过互联网通信。通过外线口（LINE）连接PSTN市话网，实现注册的外部移动电话＼市话呼入，客户服务电话的呼入，各地区间的长途电话的“落地”。

   

    ③ 远程接入解决方案

    在VPN服务方面，思科ASA 5500系列采用灵活的技术，能够提供量身定做的解决方案，满足远程接入和站点到站点的连接要求。思科ASA 5500系列能够提供易于管理的IP安全（IPSec）和基于VPN的安全套接层（SSL）远程接入，以及网络感知的站点到站点VPN连接，使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。

    编辑推荐产品

    图1. 适用于所有部署方案的VPN服务：带有威胁防御的强大IPSec和SSL VPN服务

   

    远程接入

    思科ASA 5500系列提供完整的远程接入VPN解决方案，支持大量连接方式，包括WebVPN（SSL VPN）、思科VPN客户端（IPSec VPN），以及Nokia Symbian移动无线与PDA客户端的连接。利用思科在远程接入领域的专业技术，企业能够部署单个集成平台，该平台广泛支持各种核心企业应用，并具备易管理性和部署灵活性。

    用户可从支持SSL的Web浏览器或VPN客户端建立安全的远程连接，从而实现最大的灵活性和应用访问，而无需部署和管理单独的设备。借助思科ASA 5500系列安全设备，企业可为每类用户选择最合适的技术（IPSec或SSL VPN），而无需部署并行解决方案。这样就消除了为SSL和IPSec VPN分别部署不同的平台所导致的低效率和额外成本。

    基于IPSec的远程接入

    使用IPSec来提供远程接入，用户可以获得最稳健的可定制连接。通过IPSec，用户可以访问任何应用，如同他们实际连接到总部局域网一样。基于思科IPSec的远程接入具有高度的可定制性，它提供API，管理员可向其中写入执行例程和其它定制程序。
思科ASA 5500系列提供了思科系统公司功能最丰富的基于IPSec的远程接入。在IPSec部署方面，ASA 5500系列利用了思科VPN 3000系列集中器的特性和功能，能够提供几乎相同的功能，却具有更高的每用户吞吐量。此外，ASA 5500系列还与现有的VPN 3000系列集中器集群无缝整合，使两种平台都能为相同的用户群服务。

    思科ASA 5500系列支持创新的思科Easy VPN远程接入功能，这些功能在其它思科安全解决方案中也能找到，如思科PIX?安全设备、思科IOS?路由器和思科VPN 3000系列集中器。思科Easy VPN提供了可扩展、经济高效、易于管理的独特远程接入VPN架构，能够消除传统VPN解决方案通常需要的远程设备配置维护的运营成本。思科ASA 5500系列设备能够动态地将最新的VPN安全策略推送到远程VPN设备和客户端，帮助确保这些远程端点在连接建立之前就拥有最新策略，从而提供非常好的的灵活性、可扩展性和易用性。

    ④网络安全方案。

    为防止网络遭受应用层攻击，使企业能控制应用和协议在环境中的使用方式， 包括应用/协议命令过滤、协议异常事件检测，以及应用和协议状态跟踪，该企业需要配置专业的防火墙。

    编辑推荐产品： 

    基于6500平台的安全服务模块

    思科Catalyst6500交换机提供了一个高性能的综合业务交换平台，集成了各类安全服务模块：
    思科Catalyst 6500防火墙系统（FWSM）服务模块 
    思科Catalyst 6500系列入侵检测系统（IDSM-2）服务模块 
    思科Catalyst 6500系列网络分析（NAM）服务模块
    思科Catalyst 6500系列网络异常检测（ADSM）服务模块
    思科Catalyst 6500系列网络异常防护（AGSM）服务模块
    思科Catalyst 6500系列Web VPN服务模块（可选）
    思科Catalyst 6500系列IPSec VPN服务SPA模块（可选）

    2、 机房建设方案

    ①UPS供电方案

    要求UPS要能为生产区、主办公区提供优质电源，确保停电4小时内生产不受影响，要求生产区电机的功率为55KW，办公区的总功率为25KW。 分别对UPS及电池设计选型计算如下：

    A、UPS 电源容量选型公式   因此次所带的负载为电机型负载，采用常规配置，须考虑电机启动电流6~9倍，UPS配置的容量也须相应增加6倍，这样配置很不经济，而我们此次通过在电机前面增加变频器来降低启动电流，在UPS容量选择时只需增加1.3系数即可。

    UPS容量＝现有设备容量÷UPS输出功率因数÷UPS带载比例*电机启动系数(加变频器)
    现有设备容量为80000w
    UPS输出功率因数为0.8
    UPS带载比例为70％（考虑非常好的使用率及提升抗冲击能力）
    电机启动系数1.3倍.
    UPS容量＝80000w÷0.8÷70％*1.3
    ＝185714VA
    根据计算，此次采用可靠度及抗冲击能力极高的台达NT系列200KVA。
 
    B、电池配置计算

    为了让电池的配置更加合理，计算电池按照生产线的实际功率计算。

    要求使用中达电通DCF126系列电池，后备时间为240分钟。UPS的逆变器终止电压为300V，逆变器效率为0.95，输出负载的功率因数为0.8，选择电池容量、串连只数、并联组数如下：

    UPS所需的直流功率为：
    Pdc =实际功率/逆变器效率
    =80KW /0.95=84.21 KW
    每组电池的串连只数为：
    No = 逆变器终止电压/电池终止电压
    = 300V/1.7V=176.4节≈174单体（cell）
    每组电池数= No/电池单体数
    =174/6=29块
    按照NT系列UPS要求，每组电池数应为：29块

    根据电池放电功率表，选择DCF126-12/200（12V-200AH）电池，每个电池放电功率为80W（1.8V/cell, 240分钟时），则需要的电池组数为：

    G = Pda/（单体功率 x 单体数No）
    =84.21KW/(80W x 29ｘ6)=6.05组 ≈6组。
    需要的电池配置为：DCF126-12/200电池29只×6组。
 
    ②综合布线方案

    布线系统将贯穿于甲办公楼1、2、6和乙办公楼的各个平面。主要为话音、数据、图像等系统信号提供高性能传输路由。 该公司的机房面积约90平方米。网络信息点：办公楼750多个。在系统选型上应选用在技术上处于领导地位，产品成熟稳定，具有较好应用效果的布线材料。
 
 

    3、服务器存储方案

    服务器方案

    从项目需求来看，需要至少配备文件服务器1台、应用服务器四台（OA\ERP\CRM\协同工作软件）、数据库服务器4台（用以满足应用系统的架构是 APPLE/DB 分离的模式）、备份服务器2台（本地和远程各1台）。 

    从系统全局出发，除了要求服务器必须满足工作所需的性能要求之外，没有特殊要求。假设应用软件采用的是B/S结构，即浏览器/服务器模式，因此对客户端也没有特殊要求，只要有IE浏览器就可以了。对于服务器，最关键是需要满足业务处理。目前业界通常都用主机的TPC-C指标来反映一个主机的处理能力。

    系统的存储设备也必须满足一定时间内系统对于存储容量的要求。

    下面，我们就以上几个方面的问题，逐一进行分析和估算。

    根据与该公司需求情况，按照2000个员工为参考值计算。

    性能估算公式为：

    A=（人员最高并发访问数 * 60 * 操作处理TPC系数  *系统响应时间/60）* 1.4/0.65

    B=总处理记录数/（处理小时X60）X 处理1条记录的TPC操作系数 X 1.4/0.65

    假设和分析：

    系统忙时假设全部操作在2.5个小时内完成，每小时操作数为 120*2000/2.5 = 96000 笔

    操作TPC系数假设为 30

    人员最高并发访问假设为系统总用户的1/10 ， 这里并发是指1秒内同时发起操作的用户，假设取300 。

    操作响应时间假设为 5秒

    Linux系统的特性，理想工作负荷在60%-70%，取工作负荷为65%

    考虑到其他一些不可预料因素，服务器能力冗余40%

    A:

    TpmC = （ 200 * 60 * 30 * 5/60 ） *1.4/ 0.65
     =  45000 * 1.4 / 0.65
     =  64616

    B:

    TpmC = 96000/(2*60） *30* 1.4 / 0.65
     =  24000 * 1.4 / 0.65
     =  51416

    取两者最高值，TPCC 为64616 tpmC 以上配置的Linux 服务器可以满足业务运行的要求。

    由于没有提供统计硬盘容量所需要的业务数据量、业务特征、数据特征，我们只能假设一些数据进行估算。

    计算公式如下：

    磁盘存储总容量（MB） =（业务数据量+操作系统、应用服务器、数据库及其他必须软件的空间）/磁盘冗余系数

    下面做如下假设：

    业务数据量因为和业务数据特征、业务数据密集度、保存周期等要素有关系，而上述数据有多大，也没有参考数据，假设业务数据量 10G。

    操作系统、应用服务器、数据库和其他软件所占的空间，按50GB计算,其中还包括了系统和临时表空间，归档日志，及临时文件使用空间等；

    磁盘冗余系数，取70%。

    则根据以上数据计算得到

    系统所需存储容量如下：

    磁盘存储总量为 = （ 10G + 50G ）/ 0.7 = 86G

    综合考虑性能和可靠性的因素，我们推荐采用RAID1即镜像方式的磁盘阵列。因此总的购买的物理存储量是数据量的2倍。

    因此，每个服务器的存储总量为 86*2 = 192 G

    编辑推荐服务器产品

    推荐使用IBM 公司的BM eServer xSeries 366

     ②存储方案

    根据系统存储的要求来看，由于数据量不是很大，单从存储的角度来讲，服务器本身自带的硬盘容量已经满足系统存储的需求，无需再增加。