服务器存储系统

5.3..4服务器储存设备建设

1．项目背景 一是数据量大，部队每天可产生一定的数据，如果包括2～3个的数据备份，就要存储超过30GB 的数据。而且部队大型设备产生的数据还会以几何级数增长; 二是数据类型复杂，有数字和文字，还有大量的图形和影像等信息;

三是既有对可靠性、实时性和并发用户数要求很高的HIMS 数据，也有对可靠性和实时性要求相对较低的数字图书等信息。

四是数据需要按照国家及上级部门的要求进行长期保存，并要保证数据的安全性及真实性，不可随意被篡改及删除。

2. 需求分析

近年来随着部队信息化的不断深入，IT 架构不断得到完善，而在信息系统不断的发展及医疗业务量不断增加的同时，IT 系统所产生的数据量也在不断的激增。各系统所要面对的问题是大量部队信息及各种图片信息的长期数据的归档保存及数据安全性的问题。这就需要我们不仅要有良好的数据共享存储系统，而且还需要有完整安全的数据归档系统来实现数据高级别的安全保护。

如何有效结合存储管理数据与信息的快速访问来实现数据的高效利用，是军事化发展的基本因素。统一访问、共享和管理数据可以转化为有利的竞争优势，实现网络化客户支持可提高客户满意度并降低成本。

双机集群(HA)系统

LATCH HA 是X0;linux Latch 系列的高可靠性的服务器集群系统解决方案。

今天各行业的顺利运转都依赖于计算机系统。部队信息储存都需要高度可靠的信息服务系统。这自然要求计算机的宕机时间越短越好。LATCH HA能够自动检测系统的故障。同时，一旦发现计算机出现故障，LATCH HA将把该计算机上的所有进程转移到备份计算机上，从而为客户提供不间断的服务。

一旦计算机宕机，LATCH HA能够将宕机时间缩短到几分钟甚至几秒钟。而且能够将系统恢复到宕机以前的状态，从而保证计算机的稳定运行。在LATCH HA的保护下，计算机系统再也不用因为硬件故障或日常性的维护而中断运行。LATCH HA就是利用这些方法来提供最佳的服务可靠性，将计算机的宕机时间减少到最低程度。要知道，一分钟的宕机时间也许会给客户的运营带来不可估量的损失。

配置服务器，每台 4G 内存，采用主流服务器配置，用以安装于 2个网的网络管理软件和网络方便毒软件等。配置 WINDOW 2008 SERVER操作系统软件 3套。

服务器参数： 戴尔PowerEdge R710(Xeon E5504/2GB/146GB/RAID6)基本参数

服务器机型 机架式

架构类型 2U

处理器

CPU 类型 Intel Xeon E5504

处理器架构 X86

CPU 主频(MHz) 2000

处理器核心 Nehalem-EP(四核 45nm QPI)

二级缓存(MB) 4

前端总线（MHz ） QPI 4.8GT/s

处理器个数 1

最大处理器个数2

主板

主板芯片组 Intel 5520

扩展插槽 2个PCIe x8 2个PCIe x4

显示芯片Matrox G200

内存

内存类型 DDR3

标准内存容量2GB

最大内存容量144GB

存储

硬盘容量（GB ）146

硬盘类型 SAS

磁盘阵列 PERC 6/I，具有 256MB 电池后备高速缓存 PERC 6/I，具有 256MB 或 512MB 电池后备高速缓存 SAS 6/iR SAS 5/E

热拔插硬盘 是

网络

网络功能 集成双千兆以太网控制器

电力规格

额定电压（V ） 220

额定功率（W ） 570

散热系统 可选冗余冷却

外观参数

尺寸（W×H×D) 443.1×86.4×680.7 mm

软件系统

支持操作系统 Microsoft Windows Server 2008，x64小型企业服务器标准版 Microsoft Windows Server 2008，标准 Microsoft Windows Server 2008，企业 Microsoft Windows Server 2008 x64 数据中心，包括 Hyper-V Red Hat Linux Enterprise v5 x86-64 Red Hat Linux Enterprise v4、ES 和 ES x86-64 Solaris 10(非工厂预装) Red Hat Linux Enterprise Linux 5.x x86 Red Hat Linux Enterprise Linux 5.x x86_64

Novell SuSe Linux 10 SP2 SUSE Linux Enterprise Server 10 x86-64 VMware ESX 3.5 标准版 VMware ESX 3.5 企业版

服务器储存系统设计说明

配置1台网管办公 PC ， 每台 2G 内存，采用主流 PC 配置， 预装 WINDOWS7操作系统。

配置数字化 8口 KVM 主机（含换模块和线缆）多套，分别安装于 2 个网的服务器机柜（机柜在综合布线设计里面体现），幷直接接入网管工作站，用以管理未来各网存在的服务器设备。考虑到项目发展，两个 MDF 分别位于第一期及第二期发展，因此，本次配置的每个网 KVM 主机可通过六类线缆接入核心交换机，通过整体网络实现由具有控制权限的远端终端进行管理的功能，从而方便管理人员的日常管理和维护。

网络系统的主要功能说明

用户需求包括几个方面：第一，整个网络系统包括分广域网、办公网 2大部分。第二，网络连接方式采用有线和无线两种方式。

第三，网络产品应具有安全性、可靠性、实用性和适应性。第四，必项支持用户 GIS 、图形图像技术应用与处理，支持电子化办公系统（OA/MIS）等应用。第五，支持千兆汇集、用户高速百兆接入网络功能。

1网络技术的选型

目前计算机网络组网技术有：交换式以太网、快速以太网、FDDI 、A TM 和千兆以太网。本次网络系统采用千兆以太网络技术。

2网络实施及架构

在认真研究了用户需求和对网络技术分析后，制定了具有 1000M 快速式以太网为/主干和 M 交换到桌面的网络实施方案。

网络系统设计从逻辑上分为四个部分：网络骨干交换汇集层，用户接入层，远程接入以及 INTERNET 接入四部分。每一层的基本功能如下：网络骨干层是一个高速的交换主干，为用户提供尽可能高的包交换速度，因此，在这一层上应尽量减少数据包的处理如：安全过滤等，其将降低网路性能。

用户接入层是最终用户访问网络的访问点，为用户提供网络访问能力，其主要包括以下功能：为用户访问提供共享宽带；为用户访问提供交换宽带；为用户提供地址分配，地址交换等地址服务功能；为用提供宽带优化功能。

远程接入是通过移动用户访问内部网络的能力，具体包括以下功能：为用户提供内部网访问能力；提供用户认证、授权、记帐功能。

Internet 接入提供 Internet 访问及信息发布服务，具体包括以下功能：内部网用户访问 Internet 的能力；提供地址分配及地址转换功能；提供策略路由功能；对外提供 Internet 信息服务功能；提供内部网保护功能。

系统主要设备清单：

5.4.3网络可靠性及先进性

网络系统是整个信息应用的载体，所有对网络系统的可靠性要求极高。网络失败分为硬件和系统失败。下面主要从硬件和软件两个方面加以考虑，以提高网络网络可靠性。

1. 设备可靠性

• 中心交换机全冗余设计：管理模块、电源、交换矩阵等。

• 软件和配置的备份及恢复机制，多操作系统备份。

• 管理模块故障切换时间缩短， 热启动小于 10ms ， 冷启动小于 20ms 。

• 管理模块切换期间 L2/L3数据交换保持连续，不影响数据的交换。

• 可配置多个 AC 电源，电源失败，冗余恢复无影响。

• 通信模块相互独立/模块化，可实现模块冗余备份，所有的模块均支持热插拔。

• 每个端口均有自己的路由表。

• 二级交换机可选冗余管理模块、冗余上连千兆模块 、环形冗余堆叠。

2. 网络可靠性

根据网络失败的影响范围判断，网络系统可靠性要求最高是网络的主干。在方案设计时，从系统上可采用多种措施来提高整个网络的可靠性，主要包括可从中心交换机到二级交换机都采用双链路冗余结，分布式二层生成树、地址学习进程。

• 二层冗余备份：802.3ad 端口绑定、801.1w FSTP

• 三层冗余备份：OSPF ECMP、VRRP

• 801.1w 快速生成树协议：网络自愈时间

• 链路聚合

• 802.3ad

• 跨模块、不同端口类型实现端口聚合

• 每台交换机支持 32个聚合，每个聚合支持 16个连接

• 流量负载均衡/自动备份

• OSPF ECMP（等价多路径协议）

• VRRP 路由荣誉协议

可根据具体的需要，在网络的方案实施过程中，根据以上提供方实施网络可靠性策略。

3. 网络先进

本方案选用层次化的网络设计，即为核心层和接入层两层结构，具有一定的先进性，优点如下：

• 将复杂性推到网络的边缘，保持核心网络的简单高效。

• 结构灵活，可扩展性强。

• 汇集中继流量，更有效地利用宽带。

• 减少中继的跳数。

• 简化路由设计

5.4.4 网络的安全性

网络安全解决方案包括先进的安全技术，成熟的安全产品以及专业化的安全技术服务所构成。具体包括网络防火墙、入侵检测（IDS ）、虚拟专用（VPN ）、认证中心（CA ）、安全快速（Secure Express ）等安全技术的采用。 INTERNET 安全主要包括以下几个方面：阻止未授权公司或个人的访问；对 WEB 接入进行策略控制；控制应用和用户的宽带控制；定义应用、用户接入权限，安全的通信。目前采用的技术主要包括防火墙、VPN ，鉴权认证、QoS 、网络地址翻译（NA T ）、URL 监测和阻断、SPAM 电子邮件过滤、和日志记录等。基于这些技术， 利用策略管理技术可实现互联网安全。 在网络安全方案中，建议用户结构防火墙，网络中心平台实现 NA T 、URL

封锁、SPAM 电子邮件过滤等所有功能，所有功能全部通过策略控制来实现。而且，骨干交换机和骨干路由器都能在网络核心提供全线速的安全访问列表功能。

在设备选型上需支持VLAN 功能， 支持成为IP Filtering的高速包检测技术。IP Filtering是一种硬件路由 ASIC, IP Filtering 以限速控制网络、主机和硬件中的服务。IP Filtering 以限速控制 VLAN 、子网和主机之间的流量，只允许授权用户访问所跨越的区域。它能够按

源和/或目标 IP 和 TCP 信息域发送包。与许多路由器上基于软件的访问控制表功能相似，IP Filtering 机制实施以线速认可和拒绝政策。

相对于访问控制的安全政策能够采用 IP Filtering 在 MAC 、IP 、IPX 和 TCP 层实施。IP Filtering 借助过滤功能提供高速速流量控制服务，其依据是：

• 端口 VLAN

• MAC 源地址和/或目标地址

• IP 源地址和/或目标地址

• TCP 目标端口号码

• IPX 目标网络和节点

网络设备可以根据信息包的第二次信息、第三层信息、甚至更多层信息来进行过滤，还可以将所有以上信息综合在一起进行过滤。幷且实施的过滤策略的数量与系统性能没有关系。这些策略直接加载在单个端口上，在每个端口上线速度执行。

5.3..4服务器储存设备建设

1．项目背景 一是数据量大，部队每天可产生一定的数据，如果包括2～3个的数据备份，就要存储超过30GB 的数据。而且部队大型设备产生的数据还会以几何级数增长; 二是数据类型复杂，有数字和文字，还有大量的图形和影像等信息;

三是既有对可靠性、实时性和并发用户数要求很高的HIMS 数据，也有对可靠性和实时性要求相对较低的数字图书等信息。

四是数据需要按照国家及上级部门的要求进行长期保存，并要保证数据的安全性及真实性，不可随意被篡改及删除。

2. 需求分析

近年来随着部队信息化的不断深入，IT 架构不断得到完善，而在信息系统不断的发展及医疗业务量不断增加的同时，IT 系统所产生的数据量也在不断的激增。各系统所要面对的问题是大量部队信息及各种图片信息的长期数据的归档保存及数据安全性的问题。这就需要我们不仅要有良好的数据共享存储系统，而且还需要有完整安全的数据归档系统来实现数据高级别的安全保护。

如何有效结合存储管理数据与信息的快速访问来实现数据的高效利用，是军事化发展的基本因素。统一访问、共享和管理数据可以转化为有利的竞争优势，实现网络化客户支持可提高客户满意度并降低成本。

双机集群(HA)系统

LATCH HA 是X0;linux Latch 系列的高可靠性的服务器集群系统解决方案。

今天各行业的顺利运转都依赖于计算机系统。部队信息储存都需要高度可靠的信息服务系统。这自然要求计算机的宕机时间越短越好。LATCH HA能够自动检测系统的故障。同时，一旦发现计算机出现故障，LATCH HA将把该计算机上的所有进程转移到备份计算机上，从而为客户提供不间断的服务。

一旦计算机宕机，LATCH HA能够将宕机时间缩短到几分钟甚至几秒钟。而且能够将系统恢复到宕机以前的状态，从而保证计算机的稳定运行。在LATCH HA的保护下，计算机系统再也不用因为硬件故障或日常性的维护而中断运行。LATCH HA就是利用这些方法来提供最佳的服务可靠性，将计算机的宕机时间减少到最低程度。要知道，一分钟的宕机时间也许会给客户的运营带来不可估量的损失。

配置服务器，每台 4G 内存，采用主流服务器配置，用以安装于 2个网的网络管理软件和网络方便毒软件等。配置 WINDOW 2008 SERVER操作系统软件 3套。

服务器参数： 戴尔PowerEdge R710(Xeon E5504/2GB/146GB/RAID6)基本参数

服务器机型 机架式

架构类型 2U

处理器

CPU 类型 Intel Xeon E5504

处理器架构 X86

CPU 主频(MHz) 2000

处理器核心 Nehalem-EP(四核 45nm QPI)

二级缓存(MB) 4

前端总线（MHz ） QPI 4.8GT/s

处理器个数 1

最大处理器个数2

主板

主板芯片组 Intel 5520

扩展插槽 2个PCIe x8 2个PCIe x4

显示芯片Matrox G200

内存

内存类型 DDR3

标准内存容量2GB

最大内存容量144GB

存储

硬盘容量（GB ）146

硬盘类型 SAS

磁盘阵列 PERC 6/I，具有 256MB 电池后备高速缓存 PERC 6/I，具有 256MB 或 512MB 电池后备高速缓存 SAS 6/iR SAS 5/E

热拔插硬盘 是

网络

网络功能 集成双千兆以太网控制器

电力规格

额定电压（V ） 220

额定功率（W ） 570

散热系统 可选冗余冷却

外观参数

尺寸（W×H×D) 443.1×86.4×680.7 mm

软件系统

支持操作系统 Microsoft Windows Server 2008，x64小型企业服务器标准版 Microsoft Windows Server 2008，标准 Microsoft Windows Server 2008，企业 Microsoft Windows Server 2008 x64 数据中心，包括 Hyper-V Red Hat Linux Enterprise v5 x86-64 Red Hat Linux Enterprise v4、ES 和 ES x86-64 Solaris 10(非工厂预装) Red Hat Linux Enterprise Linux 5.x x86 Red Hat Linux Enterprise Linux 5.x x86_64

Novell SuSe Linux 10 SP2 SUSE Linux Enterprise Server 10 x86-64 VMware ESX 3.5 标准版 VMware ESX 3.5 企业版

服务器储存系统设计说明

配置1台网管办公 PC ， 每台 2G 内存，采用主流 PC 配置， 预装 WINDOWS7操作系统。

配置数字化 8口 KVM 主机（含换模块和线缆）多套，分别安装于 2 个网的服务器机柜（机柜在综合布线设计里面体现），幷直接接入网管工作站，用以管理未来各网存在的服务器设备。考虑到项目发展，两个 MDF 分别位于第一期及第二期发展，因此，本次配置的每个网 KVM 主机可通过六类线缆接入核心交换机，通过整体网络实现由具有控制权限的远端终端进行管理的功能，从而方便管理人员的日常管理和维护。

网络系统的主要功能说明

用户需求包括几个方面：第一，整个网络系统包括分广域网、办公网 2大部分。第二，网络连接方式采用有线和无线两种方式。

第三，网络产品应具有安全性、可靠性、实用性和适应性。第四，必项支持用户 GIS 、图形图像技术应用与处理，支持电子化办公系统（OA/MIS）等应用。第五，支持千兆汇集、用户高速百兆接入网络功能。

1网络技术的选型

目前计算机网络组网技术有：交换式以太网、快速以太网、FDDI 、A TM 和千兆以太网。本次网络系统采用千兆以太网络技术。

2网络实施及架构

在认真研究了用户需求和对网络技术分析后，制定了具有 1000M 快速式以太网为/主干和 M 交换到桌面的网络实施方案。

网络系统设计从逻辑上分为四个部分：网络骨干交换汇集层，用户接入层，远程接入以及 INTERNET 接入四部分。每一层的基本功能如下：网络骨干层是一个高速的交换主干，为用户提供尽可能高的包交换速度，因此，在这一层上应尽量减少数据包的处理如：安全过滤等，其将降低网路性能。

用户接入层是最终用户访问网络的访问点，为用户提供网络访问能力，其主要包括以下功能：为用户访问提供共享宽带；为用户访问提供交换宽带；为用户提供地址分配，地址交换等地址服务功能；为用提供宽带优化功能。

远程接入是通过移动用户访问内部网络的能力，具体包括以下功能：为用户提供内部网访问能力；提供用户认证、授权、记帐功能。

Internet 接入提供 Internet 访问及信息发布服务，具体包括以下功能：内部网用户访问 Internet 的能力；提供地址分配及地址转换功能；提供策略路由功能；对外提供 Internet 信息服务功能；提供内部网保护功能。

系统主要设备清单：

5.4.3网络可靠性及先进性

网络系统是整个信息应用的载体，所有对网络系统的可靠性要求极高。网络失败分为硬件和系统失败。下面主要从硬件和软件两个方面加以考虑，以提高网络网络可靠性。

1. 设备可靠性

• 中心交换机全冗余设计：管理模块、电源、交换矩阵等。

• 软件和配置的备份及恢复机制，多操作系统备份。

• 管理模块故障切换时间缩短， 热启动小于 10ms ， 冷启动小于 20ms 。

• 管理模块切换期间 L2/L3数据交换保持连续，不影响数据的交换。

• 可配置多个 AC 电源，电源失败，冗余恢复无影响。

• 通信模块相互独立/模块化，可实现模块冗余备份，所有的模块均支持热插拔。

• 每个端口均有自己的路由表。

• 二级交换机可选冗余管理模块、冗余上连千兆模块 、环形冗余堆叠。

2. 网络可靠性

根据网络失败的影响范围判断，网络系统可靠性要求最高是网络的主干。在方案设计时，从系统上可采用多种措施来提高整个网络的可靠性，主要包括可从中心交换机到二级交换机都采用双链路冗余结，分布式二层生成树、地址学习进程。

• 二层冗余备份：802.3ad 端口绑定、801.1w FSTP

• 三层冗余备份：OSPF ECMP、VRRP

• 801.1w 快速生成树协议：网络自愈时间

• 链路聚合

• 802.3ad

• 跨模块、不同端口类型实现端口聚合

• 每台交换机支持 32个聚合，每个聚合支持 16个连接

• 流量负载均衡/自动备份

• OSPF ECMP（等价多路径协议）

• VRRP 路由荣誉协议

可根据具体的需要，在网络的方案实施过程中，根据以上提供方实施网络可靠性策略。

3. 网络先进

本方案选用层次化的网络设计，即为核心层和接入层两层结构，具有一定的先进性，优点如下：

• 将复杂性推到网络的边缘，保持核心网络的简单高效。

• 结构灵活，可扩展性强。

• 汇集中继流量，更有效地利用宽带。

• 减少中继的跳数。

• 简化路由设计

5.4.4 网络的安全性

网络安全解决方案包括先进的安全技术，成熟的安全产品以及专业化的安全技术服务所构成。具体包括网络防火墙、入侵检测（IDS ）、虚拟专用（VPN ）、认证中心（CA ）、安全快速（Secure Express ）等安全技术的采用。 INTERNET 安全主要包括以下几个方面：阻止未授权公司或个人的访问；对 WEB 接入进行策略控制；控制应用和用户的宽带控制；定义应用、用户接入权限，安全的通信。目前采用的技术主要包括防火墙、VPN ，鉴权认证、QoS 、网络地址翻译（NA T ）、URL 监测和阻断、SPAM 电子邮件过滤、和日志记录等。基于这些技术， 利用策略管理技术可实现互联网安全。 在网络安全方案中，建议用户结构防火墙，网络中心平台实现 NA T 、URL

封锁、SPAM 电子邮件过滤等所有功能，所有功能全部通过策略控制来实现。而且，骨干交换机和骨干路由器都能在网络核心提供全线速的安全访问列表功能。

在设备选型上需支持VLAN 功能， 支持成为IP Filtering的高速包检测技术。IP Filtering是一种硬件路由 ASIC, IP Filtering 以限速控制网络、主机和硬件中的服务。IP Filtering 以限速控制 VLAN 、子网和主机之间的流量，只允许授权用户访问所跨越的区域。它能够按

源和/或目标 IP 和 TCP 信息域发送包。与许多路由器上基于软件的访问控制表功能相似，IP Filtering 机制实施以线速认可和拒绝政策。

相对于访问控制的安全政策能够采用 IP Filtering 在 MAC 、IP 、IPX 和 TCP 层实施。IP Filtering 借助过滤功能提供高速速流量控制服务，其依据是：

• 端口 VLAN

• MAC 源地址和/或目标地址

• IP 源地址和/或目标地址

• TCP 目标端口号码

• IPX 目标网络和节点

网络设备可以根据信息包的第二次信息、第三层信息、甚至更多层信息来进行过滤，还可以将所有以上信息综合在一起进行过滤。幷且实施的过滤策略的数量与系统性能没有关系。这些策略直接加载在单个端口上，在每个端口上线速度执行。