为国内某院线写的网络搭建方案

一、XX影院现状分析

目前XX院线已经实现如图所示的影院A功能模块，可以实现排期、会员、礼券、售票、卖品、财务、员工等系统的管理，但目前尚不能实现总部的统一管理，只能通过远程登录等技术手段实现对影院服务器的临时登录，查询票房等财务数据。

 

二、亟须解决的问题

数据采集

未来院线需要访问各地影院的票房服务器，并从影院的票房服务器采集数据，为运营、投资、财务等部门作为未来制定经营战略的依据，目前，XX影院依靠远程登录等技术手段进行数据实时访问，存在连接速度慢，数据传输不稳定等问题。

安全加固

影院的广域网接入目前只有一台路由器做接入设备，存在******和网络病毒等安全风险隐患。

用电安全

目前影院的设备通过市电直接接入，一旦发生停电等情况，会造成服务器宕机，设备损坏，票房数据丢失等情况的发生。

数据备份

目前影院服务器数据未进行本地数据备份，一旦服务器由于***造成瘫痪，需要从新安装操作系统会造成原始数据由于没有保存无法恢复的问题。

设备规范化管理

目前机房中的显示输入输出设备比较多，共用布线混乱，不同种类设备安装在一起，布线时并未确定统一的标签。

三、总部系统技术方案

1、网络架构

网络架构建设为基于×××技术的星型连接结构。拓扑参见下图：

 

2、满天星院线系统

影院管理

总部系统对旗下所有电影院/分店可以进行配置和管理。

集中的系统权限管理

设立超级管理员作为平台的最高权限用户，权限分配以此向外延伸，用户组织结构呈树形分布。

总部控制各分店的用户权限，可根据需要设定相应操作范围。

集中的运营管理

集中运营管理是指总部对影院日常运营中的业务进行监督和管理。主要包括对排期、票房、卖品三方面的监督和管理。

排期管理或监管

排期的设定可以由总部统一设立下发给影院执行也可以由各影院自行设定总部进行监督。

票房监管

总部管理人员可随时查询影院的票房数据，按时间、影院或影片等条件进行查询。

卖品监管

卖品进货登记、盘点权限由总部设定，可进行统一管理，也可交由影院自行管理。影院的地面系统记录卖品的进货和销售情况，异步传送到总部数据库，总部可清楚了解到相关信息。

集中的营销管理

集中的营销管理是总部对发售会员卡和礼券的管理。

礼券管理或监管

礼券分为集团发行内部礼券和对外合作券两种形式。

会员管理或监管

会员卡的发放权限由总部用户设置，可由总部发放也可以分店发放。会员卡用户持卡可在集团所属各影院消费，消费的优惠金额和具体限制由总部根据实际情况制定。

即时消息通知

在各影院和总部之间产生的业务状况，可以设置使用多种方式进行实时通知到相关联系人。通知方式如 网站消息；邮件；手机短信等。

集中的财务管理

财务系统包括总部帐务处理和分店帐务汇总。系统提供详尽的财务报表，数据以影院传送的原始数据为基础进行统计分析。

现金管理

现金管理指总部通过系统能够实时掌握分店的现金状况，让资金在分店之间调济使用，并将多余现金集中到总部，由总部进行投资，最大限度提高资金周转速度，减少外部融资。

灾难备份

分店在经营过程中按设置的时间间隔异步将所有数据传送到总部数据库进行备份，既方便总部统一监管查看也为分店数据库出现灾难情况提供备份。

拷贝管理

院线收到影片拷贝 进行统一拷贝编号；结合院线排片会 制定近期拷贝流转计划；系统的消息中心会按照拷贝流转计划通知相关责任人进行对应操作；连锁影院总部系统能实时显示某拷贝的使用地和流转方向、报警等，拷贝管理能增加拷贝在院线内部使用率，降低拷贝闲置，提高硬盘播放场次，为院线带来更大的经济效益。

业务监管

这部分系统对应总部的业务监管系统，通过在营业场所设置监控装置，系统自动将拍摄到的影像资料上传到总部。该系统，影院用户不可查阅和修改，只有启动和关闭的权限。

3、UTM设备

UTM（Unified Threat Management）统一威胁管理设备是指通过安全策略的统一部署，融合多种安全能力，针对对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁，实现深层控制的高可靠、高性能、易管理的网关安全设备。

网络建设者通常需要在网络边际上面对五、六家厂商的安全产品，这带来诸多不便，尽管这些产品各自解决不同的安全问题，但是串接在网关处，不仅带来兼容性问题，而且性能也受到影响，总体安全性不理想。实质上，接入安全的实施正在由原来简单的防火墙式的边界防御向立体化的边界防御转移，在包过滤技术之上，融合了多种威胁控制管理措施的安全网关，即UTM，能够大大降低安全系统构建的复杂性，简化产品集成、配置和服务支持的工作量，符合用户未来的应用心理和需求，是未来安全网关发展的方向。

面对新出现的安全问题，我们必须用最新的技术去应对，但在保证技术领先的前提下，最大限度的减轻管理和运营成本也是网络建设者和企业决策层应该考虑的问题。使用UTM产品，可防止外部各种安全问题的***，简历可靠的网络环境，节约运营成本，清除不必要的流量，提高网络效力和企业的生产力，并防止恶性代码扩散到整个企业的网络，带来不必要的损失。

AhnLab TrustGuard UTM 是安哲秀研究所自行研发的技术产品，在安全问题解决方案的“生成/维持/传达上”，表现出卓越的能力，可以迅速应对各种安全问题，实现高品质的运行，从而保证网络的安全，将防火墙、IPS、防病毒、QoS等功能有机结合，完美实现UTM的功能。

安博士AhnLab TrusGurad UTM基本参数
版本类型	企业版
语言版本	中文
产品概述	AhnLab TrusGurad UTM是通过基于防火墙、IPS核心的防***及防御技术，从各个层面有效阻止病毒、蠕虫、间谍软件及垃圾邮件等有害内容的统一安全管理系统。尤其是其具有的独特防DDoS***技术。而且能够通过SSL ×××有效安全的接入到内部网络。
硬件要求	CPU：Single Dual Operation Mode：Route Mode / Transparent Mode

4、×××设备

虚拟专用网（***）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。×××可以提供的功能： 防火墙功能、认证、加密、隧道化。

从概念角度来说，SSL ×××即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型×××技术。SSL ×××比IPSec ×××部署、管理成本低；SSL ×××比IPSec ×××更安全；SSL ×××相比IPSec ×××有更好可扩展性；在访问控制方面比IPSec ×××有更细粒度；SSL ×××比IPSec ×××也具有更好的经济性。

在院线建设中，因涉及到总部与各院线之间数据的交互，在当前专线费用过高的状况下，安全的SSL ×××技术无疑是最合适的选择。

Juniper Secure Access 700主要参数

×××设备类型：×××安全网关

×××设备接口：10/100/1000自适应网...

协议：TCP/IP

其他功能：Secure Access 700 可...

电压：90 -264VAC, 47-63Hz

基本参数

×××设备类型	×××安全网关
其他功能	Secure Access 700 可快速, 轻易地完成部署, 因此企业不需要大费周章地在每一客户机装置中安装, 设定及维护客户机软件, Secure Access 700 提供二种不同的访问方法, 应选用何种方法将依用户角色而定, 因此管理者可遵循企业安全政策, 并结合用户装置使用
×××设备接口	10/100/1000自适应网卡×2
协议	TCP/IP

电气规格

电压	90 -264VAC, 47-63Hz

5、服务器设备及服务器加固管理软件

在本次院线环境搭建中，所用到的服务器数量为两台，用途分别为连锁院线访问、数据库服务器。按照需求，推荐使用IBM X3650 M2和IBM X3850 M2，配置分别如下：

IBM System x3650 M2(7947I05)主要参数

服务器类型：机架式

服务器级别：企业级

CPU类型：Intel Xeon E5550

标称主频：2GHz

内存容量：6GB(3×2GB)

内存描述：PC3-10600 DDR3

标配硬盘容量：146GB

标配硬盘类型：SAS

存储控制：MR10i

存储扩展位：标配: 12×托架

IBM System x3850 M2(7141I01)主要参数

服务器类型：机架式

服务器级别：企业级

CPU类型：Intel Xeon E7450

标称主频：1.6GHz

内存容量：8GB(4×2GB)

内存描述：PC2-5300 DDR2 SDRAM

标配硬盘容量：146GB

标配硬盘类型：无标配

存储控制：LSI 1078

存储扩展位：标配: 4×托架

服务器加固产品

目前网络安全市场以应用层面的安全产品居多，欠缺系统层的安全产品，系统层与应用层安全产品难以相结合。

浪潮的服务器系统安全产品，填补了我国自主知识产权服务器系统安全领域的空白。在通用服务器操作系统安全技术领域引入ROST（Reinforcement Operating System Technique，ROST）——内核加固崭新理念，成功开发通用服务器操作系统可信改造产品，使企业系统安全技术应用由“治标”转入“治本”成为可能，即使***者取得了超级用户权限也不能对采用ROST技术防护的核心或重要内容进行任何破坏和操作，从根本上免疫了一切针对操作系统的蠕虫、病毒、******。
与传统的防火墙、***检测系统等基于网络防护的安全产品不同，浪潮操作系统可信改造技术，是基于对主机的内核级安全加固防护—ROST。即采用操作系统安全加固技术，结合其他层面的安全技术，能够很好地满足现有各种复杂的网络环境的应用需求，并已达到了国家等级保护三级技术要求。为用户的网络服务器构造一个可信的运营平台。

使用服务器加固系统，可有效阻止来自内部的***威胁隐患和来自外部网络的***，该系统可实现内核级文件强制访问控制，内核级注册表强制访问控制，内核级进程强制访问控制，内核级服务强制访问控制，应用级文件完整性检测，应用级服务完整性检测，基于IIS的WEB页面监测过滤和身份认证。

6、路由交换设备

路由和交换是网络组建中必不可少的部分，本着稳定性、安全性、可扩展性的原则，选择国际知名品牌思科产品。

参数分别如下：

路由器：

思科1841主要参数

路由器类型：集成多业务路由器

路由器网管功能：SNMP/ telnet

广域网接口：可选

局域网接口：2个10/100M 以太网口

传输速率：10/100Mbps

防火墙功能：内置

端口结构：模块化

标准/认证：UL60950-1, CAN/CSA 6...

×××功能：支持×××

Qos功能：支持

扩展插槽：5个

其他控制端口：USB, console

交换机：按照实际用户数量确定台数。

思科WS-C2960-24TT-L主要参数

交换机类型：企业级交换机

应用层级：二层

传输速率：10/100/1000Mbps

接口类型：10/100Base-T, 10/100...

网管功能：Web浏览器, SNMP, CLI

背板带宽：16Gbps

包转发率：6.5Mpps

MAC地址表：8K

VLAN功能：支持

端口结构：固定端口

接口数量：24个

网络标准：IEEE 802.3, IEEE 802...

7、数据备份设备

存储需求

XXX影院作为院线型影院，在工作中，需要对一些资料进行备份存储，产生的数据量每天大约？GB，高峰时可达？GB，整个流程下来数据量大约为？GB，存储时间要求按照不同的资料为二至三年。按照每天产生的数据量？GB算，整个系统容量为？。,预留出可扩充容量？TB，最后确定容量为？TB。

IP SAN在线存储系统解决方案

近年来存储技术高速发展，存储设备价格不断下降，专业存储系统具备了在一般行业广泛应用的基础。我们在规划存储系统结构的时候，一定要根据自己系统需求与资金情况进行选择。只有合适、合理的架构才是最好的选择。结合数据的存储特点，网络存储系统IP SAN（IP Storage Area Network）即iSCSI网络存储技术，为用户提供高性价比的磁盘阵列存储方案。

将IP SAN存储系统直接连接在客户现有的局域网络中，利用iSCSI技术访问网络存储就像访问服务器本地硬盘一样，并且可以支持数据库。

IP SAN网络存储的优势

硬件成本低廉

基于iSCSI技术的适配卡、交换机和缆线这些产品的价格相对较低，而且iSCSI可以在现有的网络上直接安装，并不需要更改企业的网络体系，这样可以最大程度节约投入。

操作简单

此技术主要是通过IP网络实现存储资源共享，只需要现有的网络功能即可管理，其设置也非常简单。

扩充性强

由于iSCSI存储系统可以直接在现有的网络系统中进行组建，并不需要改变网络体系，加上运用交换机来连接存储设备，对于需要增加存储空间的企业用户来说，只需要增加存储设备就可完全满足，因此，iSCSI存储系统的可扩展性高。

传输速度快

由于iSCSI的数据传输速度是根据以太网络的速度而变化的，因此当以太网的速度增加时，iSCSI的数据传输速度也将相应的加快。而且其传输过程由于基于网络进行，因此没有范围限制。

IP SAN网络存储产品推荐：SB-3164E-G1A3

主要特点：

A、硬件64bit RAID处理器，与其他软RAID或者服务器架构的RAID具有更高的稳

定性、更快的处理能力、更低的功耗、更低的维护成本、数据迁移方便等特点；

B、提供两个千兆主机端口，并支持端口邦定功能，实现数据高速传输；

C、支持主流SATA硬盘；

豪威磁盘阵列具有独立的控制器(Storage Processors),是建立在硬件RAID技术基础上的创新的存储系统。豪威存储产品为存储领域提供更高水平的性能、模块化程度、连通性、支持多平台连接功能、灵活性和可管理性。

豪威存储产品功能强大、存储密度高，可提供针对局域网服务器存储和中等企业存储应用的高可用性阵列。

因为现在的网络架构变得越来越复杂，所以各公司都在寻找一种操作简便，低价有效的管理数据的方法。基于IP技术的小型计算机系统接口（iSCSI）提供一种快速、高可靠性的数据管理方案。iSCSI技术是一个供硬件设备使用、可以在IP协议上层运行的SCSI指令集，这种指令集合可以实现在IP网络上运行SCSI协议，使其能够在诸如高速千兆以太网上进行路由选择。使用远端的存储设备就象访问本地的SCSI设备一样简单。支持iSCSI技术的服务器和存储设备能够直接连接到现有的IP交换机和路由器上。

SB-2804/2124/3164E-G1A3 iSCSI RAID系统为中小企业远程办公提供了一种快速，高可靠性的iSCSI数据管理方案。利用现在的IP交换机和路由器设备，    SB-2804/2124/3164E-G1A3 iSCSI RAID系统能够简单，快速的建立IP SAN不受地理限制。良好的互操作性、管理方便等优点。

高可用性

提供2组1Gb iSCSI 连接端口。

支持IEEE 802.3ad Port trunking 及Link Aggregation Control Protocol (LACP)能力。

采用功能强大的64 bits RISC处理器，提供快速的传输效能。

高可靠性

支持Double Parity 的 RAID 6 容错技术，可同时容许 2 颗硬盘损坏。

支持Data Volume快照备份(snapshot-on-the-box)。

支持Microsoft 磁盘区阴影复制服务(VSS)。

符合并支持 CHAP 网际网络安全验证规范。

强大的管理功能。

前置式LCD显示面板。

图形操作接口的管理软件可透过RS232、SSH telnet 及Web。

Event 通知可透过Email和SNMP。

产品特性

提供2组1Gb iSCSI 连接端口 (完整UDP, TCP 卸载),支持端口绑定功能。

支持256逻辑卷，每逻辑卷可连接32台主机或8个集群。

本地多硬盘镜射(N-way mirror): 扩充RAID 1等级复制到N个硬盘。

针对不同的应用提供Write-through 或Write-back cache模式。

提供volume全局或专属的内存(cache)分配方式。

卷组(Volume Set)容量可支持超过2TB (64bit LBA支持)。

提供最多32个手动或定期式的快照备份(Volume snapshot)。

提供快照数据回溯技术机制。

支持Microsoft多路径存取（MPIO）。

支持Jumbo Frames。

提供RAID级别在线移植（RAID level migration），且系统不需关机。

提供卷组容量在线扩充(expansion)。

提供RAID volume 实时初始化或后台初始化功能。

支持S.M.A.R.T.功能，NCQ及OOB每个硬盘间隔激活功能。

提供10/100 以太网端口，提供TCP/IP及HTTP服务，可使用IE浏览器进行远程管理。

 

型号	SB-3164E-G1A3
外型规格	3U 19寸机架式
RAID处理器	64bit RISC CPU
RAID级别	0,1,0+1,3,5,6,10,30,50,60与JBOD
缓存	512MB~2GB DDR II
通道数(主机+硬盘)	2+16
主机接口	2个1Gb/s 网络端口
硬盘总线接口	3Gb/s SATA-II
IOPS	45,000 IO/sec
背板类型	整体后背板设计，兼容SATA-I/SATA-II硬盘
硬盘数量	16
主机存取控制	Read-Write及Read-Only
在线完整性检查	是
硬盘坏轨重新指派	是
硬盘故障指示灯	是
数据自动重建	是
硬盘漫游	是
声音报警/密码保护/ UPS连接	是
支持操作系统	Linux、Windows
热备援硬盘	全局或专属
后被备电池保护	可选(支持72小时)
系统散热风扇	2组（热插拔）
热插拔电源	2组460W(符合PFC规范)
电源需求	AC90V～264V (全量程)8A/4A at 110V/220V ,47Hz/63Hz
相对湿度	10%～85%无凝结
环境温度	10℃～40℃（50℉-104℉）
实际尺寸	133(H)x 482(W)x 600(D) mm
重量	24.7公斤 (不含硬盘)

8、UPS设备

UPS(Uninterruptable Power system)叫做不间断电源系统,在因故停电或电源品质不佳时,UPS能提供高品质及最经电源,确保电脑资料的完整及精密仪器的正常操作。它的动力来自电池组，由于电子元器件反应速度快,停电的瞬间在4~8毫秒内或无中段时间下继续供应电力。

在当今“永远运转，永远可用”、公司业务不能停顿且以金钱衡量宕机时间的世界里，美国电力转换集团 (APC) 可为防止一些重大宕机故障、数据丢失及硬件故障提供保护：电源和温度方面的问题。作为网络关键物理基础设施 (NCPI) 解决方案的全球领先者，APC 设定了产品质量、创新和技术支持的行业标准。其完整的解决方案适合国内外公司环境，可提高敏感电子设备、网络通信设备及各种工业设备的易管理性、可用性和性能。

公司集中在四个主要应用领域展开工作：家庭/小型办公室；商务网络；数据中心和设施；接入供应商网络。

MGE Galaxy 3000

具有适应性的 3 相电源保护系统，可满足小型数据中心和楼宇关键应用场合的独特需求。

具有可扩展性，可随您将来的环境扩展。 MGE Galaxy 3000 提供 3 相电源保护，同时又具有 MGE 产品系列的可靠性。 MGE Galaxy 3000 是小型数据中心、设施和交通运输领域的理想选择，它提供了在线式双转换技术，可真正实现输入与输出之间的隔离。 对于关键负载可以实现零转换时间，因而具备了高可用性。 MGE Galaxy 3000 通过简单的 Web/SNMP 接口和用户友好的图形显示屏提供了监控和管理功能。 由于可从正面操作面板，并且纳入了启动服务和标准现场保修服务，因而可维护性大大增强。 所有这些特性使得 MGE Galaxy 3000 成为同类产品中最易于安装、管理和维护的 UPS。

性能与优势

可用性
自动内部旁路	在 UPS 超载情况下或故障时向连接负载提供市电供电
能够并行冗余	用多个 UPS 对连接负载供电增加系统冗余
SmartSlot 插槽	利用管理卡定制 UPS 性能
网络管理	提供了通过网络对 UPS 进行远程管理
双电源输入	将 UPS 连接到两个独立的电源中，增加了可靠性。
可服务性
前面维护	简化安装和维护同时对空间需求达到最小
多级服务	利用可选的服务包和单独的服务组件，构建的服务允许您选择希望 APC 为您提供的服务。
7x24技术支持	我们经验丰富的技术支持工程师可以回答您的问题，在您需要时让您知道可以从何处获得帮助，从而使您放心。
总体拥有成本
全额定电源kW等于kVA	通过消除超大规模的UPS对功率因数校正（PFC)的负载的需求，减少成本
输入功率因数校正	通过使用小型发电机和电线连接,使安装费用最少

9、机柜、KVM、配线架

10、线路

四、所需设备报价

参见下图：

如果将设备托管在机房，则可节省独立机房建设费用。

 

转载于:https://blog.51cto.com/bobo365/1892466