XXX新旧机房数据及网络改造方案

　　一、 项目背景

　　XXX目前中心机房在管委会大楼7楼，所有业务系统及核心网络设备都放置在此机房，包括核心交换机，业务服务器，数据库存储服务器等。假如机房发生网络故障、电力故障、或其他灾难性的故障，将影响XXX所有业务系统运行，存在较大的隐患。因此，为了提高网络和业务系统的可靠性，计划在口岸楼4楼新建一个机房，与现有的机房互为备份，业务系统在两个机房同步运行，实现异地容灾备份，任何一个机房出现故障都不影响业务系统运行。

　　二、 原有网络拓扑

　　网络拓扑说明：

　　1、 现有网络的核心交换机是H3C 7503 和H3C 5500 设备，业务系统、数据库系统直接连到核心交换机上。

　　2、 外部单位有多种方式接入：码头和企业通过光纤专线的方式接入;政府单位通过电子政务网接入;其他单位也可以通过VPN的方式从互联网接入。

　　3、 管委会机房有移动和电信的互联网线路，采用两台F5实现负载均衡，提供给外部单位VPN接入。

　　目前存在问题：

　　1、 所有设备在同一个机房内，不能实现网络系统异地容灾。

　　2、 核心交换机1是H3C S7503，而核心交换机2是性能较低的H3C S5500，不能很好地实现网络主备冗余，而且S7503交换机的业务插槽只有3个，难以满足日后网络扩容的需求。

　　3、 防火墙的部署不合理，目前只在电子政务网和互联网接入的位置部署了防火墙，码头和企业没有防火墙隔离，直接连接到核心交换机，存在一定的网络安全隐患。而且防火墙没有双机热备，存在单点故障。

  　网络拓扑说明

     三、 建议网络拓扑

　　1、 异地容灾规划

　　口岸楼4楼新建一个机房与管委会7楼机房互为备份，实现网络和业务系统异地容灾。

　　2、 网络核心规划

　　核心交换机使用2台S7506E-X组成IRF，实现高性能、高可靠的核心网络，满足万兆网络的数据转发和日后扩容的需求。

　　3、 安全访问规划

　　1)新建两台核心防火墙，用于外部单位及运营商线路接入的安全管理。

　　2)新旧机房都建立安全管理区，安全设备包括VPN接入、入侵防御、数据库审计、堡垒主机等，两个机房的安全设备互为备份。

　　4、 数据库、存储及应用系统规划

　　1)把原机房的一套数据库存储搬迁到新机房，新增两台存储网关实现存储设备统计管理。

　　2)新机房新建虚拟服务器，对旧机房的各种应用服务器实现备份，虚拟服务器通过万兆连接核心交换机。

　　3)新增两台负载均衡设备实现两个机房服务器系统的主备冗余。

　　5、 外部单位接入规划

　　新旧机房各新建一台H3C S7503E交换机，组成IRF，用于电子政务网、码头和企业的接入。