海尔E-Store项目

　　1项目背景

　　海尔E-Store项目是由山东省公司一点受理、全网协同、涉及软件合作、系统集成、互联网接入、视频监控和远程培训等内容在内的综合性行业应用项目。此项目由中国电信负责总包，与海尔公司指定的软件服务商富基融通进行合作，向海尔公司及各门店提供一揽子解决方案：在山东省内构建中心平台，为海尔各门店提供互联网接入，并基于互联网提供企业ERP软件服务、网上培训服务和视频监控服务。项目总体预计覆盖全国海尔各类门店约25000-45000家，实现海尔对门店的精确管理。

　　2 项目目标

　　对于海尔E-Store系统来说，主数据中心的可靠性非常重要。在设计中，主数据中心局域网所有网络安全设备均采用双机部署，设备之间采用口字型连接。

　　高可用性：网络作为数据中心的基础设施，应采用高可靠的产品和技术，充分考虑系统的应变能力、容错能力和纠错能力，确保整个网络基础设施运行稳定、可靠。海尔E-Store数据中心应保证网络基础设施提供每天24小时，每周7天，每年52周的可用性。

　　高安全性：网络基础设计的安全性，涉及到核心数据安全。应按照端到端访问安全、网络L2-L7层安全两个维度对安全体系进行设计规划，从局部安全、全局安全到智能安全，将安全理念渗透到整个数据中心网络中。

　　开放性：数据中心网络建设要全面遵循业界标准，所推荐采用的设备、技术在互通性和互操作性上，可以支持集团数据中心网络系统的快速部署。

　　可扩展性和灵活性：数据中心网络基础设施作为承载业务数据通信的网络平台，必须能够随着应用系统的变化而进行自由缩放，所以网络系统必须具备良好的灵活性及可扩展性，能够满足不断变化的应用需求。

　　可管理性：网络系统覆盖整个数据中心，能否对其进行高效的管理和维护将直接影响海尔E-Store业务系统的运作，因此需要采用智能管理技术实现网络监控和管理。

　　3. 网络设计及规划

　　网络拓扑如下：

　　主数据中心局域网所有网络安全设备均采用双机部署，设备之间采用网状结构连接，在具备冗余链路的同时简化拓扑，提高可维护性。主数据中心通过两台华为NE40E连接到城域网A。

　　采用2台插槽式路由交换机S7610作为服务器的接入，交换机上配置10/100/1000M RJ45接口和100/1000M SFP接口板，作为服务器及与其他模块连接的接口。在该交换机上部署服务器负载均衡模块SecBlade LB，将门店的http请求平均分配到应用服务器集群中，提升响应速度。

　　在服务器交换机与城域网路由器之间部署IPS SecPath T1000和防火墙SecPath F1000-E设备，防火墙提供访问控制和NAT功能，只允许访问指定WEB应用的IP地址及端口。IPS设备则弥补防火墙在L4—L7层防御的不足，可以抵御来自互联网的蠕虫、SQL注入、网络病毒、木马以及针对服务器操作系统的攻击等。

　　在交换机部署防火墙模块SecBlade FW，可提供不同分区之间的隔离和访问控制功能，只允许应用层服务器访问数据库服务器指定的IP地址及端口。并启用不同的安全策略将POS系统，CRM系统及ERP系统分成不同的安全域，用来隔离对不同系统的访问和系统间的互访。

2016年01月