1 钢铁企业数字化园区建设需求分析
一方面随着钢铁企业业务需求不断发展以及信息化技术的不断进步,越来越多的钢铁企业通过信息化来完成其业务的部署,体验到了信息化带来的效率的极大提升。随着企业之间的竞争越来越激烈,如何通过信息化技术来提升企业的核心竞争力,是现有CIO重点关注的问题。
另外近些年来随着国家对钢铁行业关、停、并、转政策的落实,以及节能减排的要求,带动了钢铁企业的整改和新建园区的建设,在新园区建设中,如何构建可靠、安全、稳定、可扩展的业务承载平台,如何通过融合的方式部署视频、IP语音等协同通信提高办公效率,如何在整体信息化建设中满足企业整体TCO要求。成为信息化部门重点关注的内容。
2 钢铁企业数字化园区关注点
1)网络的智能化、可靠性、广覆盖要求:原有各自独立的路由、交换、安全、语音、视频等功能,现在都开始向融合方向发展,在这个演进发展趋势中,通用性的网络设备如何实现个性化、行业化的定制,成为网络智能化发展的方向,同时带来了集成化后的设备配置和管理方面的易用性要求;对于网络可靠性的保障,尤其是对核心层架构和设备的可靠性要求;对于在不同的环境下的接入技术的要求,如远距离的EPON,解决布线困难的无线技术;网络对于多业务承载,需要逻辑隔离,并且端到端保障用户权限的控制等;
2)数据中心的整合:应用系统将深度融合,数据高度集中,在数据大集中的过程中,企业原有分散建设的各自独立的异构系统需要进行整合,需要有一套标准化的技术和协议对整合后的平台进行规范,有利于后续业务的发展和扩张。在这样的数据大集中后,最大的挑战是随之带来的风险的大集中,如何保障集中后数据访问的可靠、数据访问的安全?这不仅仅只需考虑网络,还有数据的备份和恢复,访问的安全控制等。
3)协同办公:信息化能给企业效益带来极大提高,但仍然通讯系统之间的割裂,比如通讯录和电话,电话、即时消息和短信等,可以通过系统办公的系统,来完成通信资源的融合,使工作更高效
4)多媒体的建设:视频会议等多媒体网络技术的应用,可以很大的节省企业的日常业务成本,而园区内的监控部署(安防和生产),可以很好的预防企业生产事故的发生,更好的对现场进行远程控制。
5)全网全方位的安全:当前的安全也已经从单一的对网络安全防护,扩展到全方位的安全规划,不仅原有的防火墙、防毒墙、IPS在融合,对员工的安全认证、管理也必须考虑,还要考虑环境的安全,供电、防潮、防进入等,这样才能构建一个真正意义上的安全环境。
6)统一管理:诸多的网络设备、诸多的业务系统、诸多的访问用户,管理面临的是完全分散的,相互隔离的管理资源,如何简单的做到整体资源的统一管理,只有通过面向业务的管理方式,统一资源、业务、人贯穿到整个业务平台钢铁企业园区网建设中关注的主要四方面:
3 基于IToIP构建钢铁企业数字化园区
H3C创造性地提出了新一代企业园区网建设思路:IP网络+IP安全+IP存储+IP通信+IP管理=融合企业园区网解决方案
为什么要选择IP技术实现园区网架构整合呢?众所周知,TCP/IP是迄今为止应用最广泛、最成熟、最为开放、标准化程度最高的技术体系,具有简单、开放、灵活扩展、管理和互操作等一系列优势,已经成为当今互联网、电信网、政务网、企业网的主要承载技术。IP协议弹性强,能更好地适应IT网络的各种变化。例如在存储技术领域,传统的FC技术存在兼容性和扩展性等方面的问题,基于IP的存储能够更好地实现平台兼容性及业务扩展性,并可实现更灵活的数据服务定制。基于这样的潮流,H3C推出了IT On IP(简称IToIP)的钢铁企业园区网建设理念及整体解决方案。
IT On IP就是基于统一的IP技术来构建IT系统。从技术的发展过程来看,从IP网络到基于IP的通信、再到基于IP的存储和统一的IT资源管理,基于IP技术构建整个IT系统是IT系统发展的必然方向,H3C正沿此方向提供全面的产品及整体解决方案。
针对园区网建设的需求特点,H3C提出了基于IToIP的园区网总体架构:
图1 IToIP整体架构
整个架构中上层围绕商业应用和协同应用两部分,其中商业应用主要指企业内部信息化必须的如OA、ERP、CRM等办公、生产的应用服务,还有就是企业对外提供的公众服务(WWW等)以及企业对合作单位提供的相关应用服务(电子商务、订单、供货系统等),在协同应用平台主要包含为企业办公效率提升的统一消息、多媒体会议系统,另外还包含了安防、生产用的视频监控
所有的基础平台都是为上层两类应用服务的,在基础平台则以数据中心建设为核心,网络建设为基础,并且提供全网的智能安全和统一的管理平台为支撑。
3.1 基础网络平台
一般,钢铁企业园区网络规模比较大,接入节点数目比较多,涉及到内部各个部门的访问接入。为了满足用户访问内部服务器安全、访问Internet的安全、各部门之间访问的互不干扰、跨边界访问的安全,H3C公司提出了园区的IP智能安全渗透网络方案,该方案包括如下部分:层次化设计、高可靠性设计、虚拟化设计、无线网络设计、整体网络安全设计等。
3.1.1 层次化设计
在园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的园区网络结构可以分成三层:接入层、汇聚层、核心层。
接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、QoS和POE功能都位于这一层。对于园区网的接入层设备,建议采用千兆三层接入的方式,应该具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。
汇聚层:汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于园区网的汇聚层设备,应该能够承载园区的多种融合业务,能够融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载园区融合业务的需求。
核心层:网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的RPR环网结构或多设备冗余的星型结构。对于园区网核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为园区构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
3.1.2 高可靠性
1. 中型园区高可靠网络设计方案
对于中型园区网络,,推荐采用千兆接入组网模型。为用户提供三层千兆到桌面的接入服务,整网配置OSPF协议,网络故障收敛速度快、易于管理和维护。VLAN终结在接入端口,限制广播域范围,较少广播报文对网络带宽的消耗。从接入层开始即可进行快速三层交换,利用网络中存在的等价多路径实现业务流量的负载分担。
图2 中型数字化园区
网络按照分层、模块化的思路进行设计和规划,根据业务、区域等规划因素进行模块化区域划分,每个区域有自己的汇聚核心与网络核心相连。网络各层设备都为三层设备,支持OSPF。在接入层设备上提供千兆端口接入,支持语音和POE。 接入层千兆双归属到汇聚层设备,提供链路冗余备份,利用存在的ECMP实现流量负载分担。区域汇聚核心间提供千兆链路连接,双机备份和加速路由收敛。汇聚层千兆双归属到网络核心,根据实际带宽需要也可千兆链路捆绑双上行到核心,两台核心设备间通过千兆捆绑链路连接,完成高速数据交换和双机热备份。
同时,核心层、汇聚层、接入层设备均可部署新一代堆叠技术(IRF 2),它提供的分布式路由和分布式设备管理使整个堆叠设备当成一台交换机进行路由转发和管理,而且支持热插拔,不会因为堆叠组单台设备故障引起整个接入业务中断。H3C 公司的IRF技术具有以下特点:
l 端到端堆叠虚拟化,简化网络架构(网状转化为稳固的星型结构)
l 多个网络节点虚拟化为一个节点,极大简化网络部署难度
n 链路交织被捆绑成单条逻辑链路
n 消除复杂VLAN+MSTP/VRRP
l 路由&VLAN规划极大简化,降低维护复杂度
l 单个物理节点、链路的故障不影响上层路由,99%时间内负载分担
IRF部署效果图:
园区网技术的演进
2. 大型园区高可靠网络设计方案
对于大型园区网络,推荐采用环网组网模型,核心层可考虑用多台设备搭建RPR环替代双机热备份。这样可以实现10ms的故障检测时间以及50ms的业务倒换时间,可以做到故障切换时完全不影响正在进行的音频业务,完全满足电信级可靠性的要求。
图3 大型数字化园区
RPR与SDH拓扑结构类似,RPR为互逆双环拓扑结构,环上的每段光路工作在同一速率上。建成后的核心层主要负责核心业务处理、跨区域业务量疏通、及与其它网络互联互通,同时可作为P设备,配合汇聚层PE设备,完成MPLS VPN业务的部署,将园区内不同业务进行隔离,保证各个业务在同一网络平台上运行、互不影响。
H3C公司RPR技术采用双环逆向拓朴结构,外环和内环同时可传送数据和控制信息,具有完全分布式的访问控制方法,实现电信级故障自动保护倒换IPS功能,业务倒换时间小于50ms;拓朴收集自动完成,能自动选择业务最优路径;利用RPR-Fa公平算法,环网带宽动态调整,实现带宽全局公平和局部最优利用;实现流量等级保证QoS,支持带宽预留的业务;继承传统Ethernet概念,支持所有Ethernet上层协议和业务。带宽可平滑扩展,1G-10G,甚至40G。且具有完善的操作和维护平台,具有可运营、可管理的能力。
3.1.3 虚拟化
园区随着网络规模和复杂度的不断增加,特别是对于集中服务和集中办公网络,对用户和网络资源进行隔离,以提高安全性和灵活的访问控制显得尤为必要。
一个大园区,需要生产平台、管理运营、销售、安保监控等业务隔离。隔离的手段可以是物理隔离,也可以是逻辑隔离。相对于物理隔离,逻辑隔离(网络虚拟化)具有无需重复建设、能提供统一的安全、管理、HA策略等优点,并且能够更好地提供面向应用的服务。
一般园区网虚拟化的需求主要如下:
l 横向不同部门/分类间业务的隔离,提高涉密业务的安全性,同时提供访问控制策略,满足不同部门间业务互访的要求
l 为园区内各部门提供统一的Internet出口,供内部用户访问Internet和为外部公众提供应用服务,进行集中控制管理
l 提供广域网接口,实现相同部门/种类业务的纵向互通
l 数据中心资源逻辑上分三部分:部门内部数据区、共享数据区和对外服务数据区,分别为独立部门内部、业务交互部门和外部公众提供服务
l 为重要业务提供端到端的QoS保证
为了满足园区网虚拟化的需求,H3C公司提出了EAD+MPLS VPN的解决方案,可以实现与企业各部门工作流相适应的、从客户侧就开始安全控制的端到端的虚拟通道,实现和用户上层应用系统权限无缝匹配。它主要包括如下内容:
1. 用户端点准入控制
对用户的安全认证和权限管理,通过H3C的EAD解决方案(支持portal、802.1X、VPN等认证方式),在接入边缘设备作认证;把CAMS服务器\补丁服务器\病毒服务器等集中部署在数据中心内部共享区,内部所有用户接入网络都需要认证,进行集中的安全管理
2. 业务逻辑隔离
园区各部门共用一套物理网络,逻辑隔离使用VRF+MPLS VPN技术。各部门用户通过CE\MCE设备接入,通过二层VLAN或VRF进行隔离。核心层用MPLS标签转发,控制PE设备VPN路由引入,建立专用的VPN转发通道,为数据中心提供PE或MCE接口,兼容数据中心内部业务逻辑隔离和物理隔离。园区网络支持端到端的业务逻辑隔离,支持QoS。
3. 集中服务管理
为园区内用户提供统一的Internet\WAN出口,进行集中监控、管理。网络管理使用H3C的iMC网络综合管理中心,内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理。各种管理\策略服务器、应用服务器、存储设备等统一部署在数据中心,为全网提供统一的应用和策略服务。
如下是H3C园区网虚拟化MPLS VPN典型组网:
图4 MPLS VPN虚拟园区网
推荐的典型园区MPLS VPN组网模型是核心层作P设备、汇聚层作PE设备,IGP协议使用OSPF。核心设备可根据网络规模和实际需要使用双机热备份或环形核心,使用RPR/RRPP提供网络可靠性。在PE设备上创建不同的VPN实例,引入CE,实现不同部门/业务的隔离。PE与CE间配置E-BGP,引入VPN路由,也可使用OSPF或静态路由。PE设备下可根据使用需要接入CE或MCE设备。为满足可靠性要求,对重要的设备提供双上行冗余连接。
该组网的特点是使用三层交换机组网,MPLS转发和VPN功能由中高端的75E和95承担,具有较好的数据转发性能和业务隔离能力;CE-PE、PE-P间可方便配置双归属链路,提高整网可靠性;用户接入层可根据需要方便地选择CE、MCE设备接入网络。
H3C公司的EAD+MPLS VPN的方案能够保证移动用户能够正确的接入相应的VPN:
我们可以按照业务实际的需求,在不同的PE上配置相应可以接入的VPN,不同的VLAN端口对应各自相关的VPN。首先在H3C公司的CAMS服务器上指定好不同用户的用户名+密码和相关的VLAN的对应关系。当用户通过EAD终端输入用户名和密码后,CAMS服务器查找相关信息,分配该用户接入到相关的VLAN中,也就是进入到相关的VPN中了。
H3C公司的EAD+MPLS VPN的网络虚拟化方案在业界独创性的实现了提供与企业各部门业务工作流完全匹配的从客户侧开始的安全控制的端到端的虚拟逻辑通道,使得各部门的业务数据能够真正实现从端到端的安全虚拟通道中传输,起到了端到端有效的全程隔离作用,使得企业网络和应用实现无缝融合。
3.1.4 无线网络部署
在园区内,无线网络可以使用户能够更加高效、方便、自由地进行移动,帮助用户更加灵活地进行网络安装。H3C公司无线局域网移动系统提供了部署可管理的安全无线网络(相当于有线网络)时所需的所有组件。无线交换解决方案节省了资金投入和营运费用,同时在不危及安全性的情况下提高了性能和效率。华三解决方案旨在与现有网络进行无缝集成,实现企业园区的有线无线网络一体化的目标。
图5 有线无线一体化
3.2 整体网络安全
整体网络安全作为一个整体的安全架构,从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。
局部安全是基础,即对可能出现问题的节点部署安全产品,进行2~7层的威胁防范。这种方式简单有效并有极强的针对性,适合网络建设已经比较完善而安全因素考虑不足的情况。在这个层面,H3C强调通过“集成”来提供最佳的防御效果,即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式,实现安全技术和网络技术的初步融合。
全局安全是在局部安全基础上的提升,借助于IToIP的网络优势,通过技术和产品的协作,将网络中的多个网络设备、安全设备和各组件联动起来,并通过多层次的安全策略和流程控制,向用户提供端到端的安全解决方案。以H3C的端点准入防御(EAD)解决方案为例,它从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
智能安全是在全局安全之上的更高安全层面,一方面将企业的业务需求及流程建设充分融合到网络安全建设中来,另一方面考虑到了如何遵循各种安全标准和法律法规。建设智能安全时,首先H3C为用户提供专业的安全评估,度身定制一整套闭环的安全建设方案;然后要采用开放、融合的OAA(开放应用架构)来应用各种安全技术,不仅满足用户当前安全需求,还能够针对新安全威胁实现弹性扩展;最后H3C有能力建设安全统一的管理平台,实现安全策略集中下发、安全事件实时感知和关联分析、安全部件协同响应。
H3C公司的整体网络安全能够在保证安全性的基础上大大提高用户网络对安全威胁的智能防御能力,并且将安全的定义从网络威胁抵御扩大到业务流程控制的层面,为企业打造一个领先的、全面的、可信赖的IP安全平台。
3.3 以“数据服务”为核心的数据中心
数据中心是企业数据大集中而形成的集成IT应用环境,它是各种IT业务和应用服务的提供中心,是数据运算/交换/存储的中心,实现对用户的数据、应用程序、物理构架的全面或部分进行整合和集中管理。
数据中心是当前企业的IT建设重点。通过数据中心的建设,实现对IT系统的整合和集中管理,提升内部的管理运营效率以及对外的服务水平,同时降低IT建设的TCO。
但是,企业园区网数据中心建设中普遍面临如下的难题:
如何充分利用异构存储设备来为多种不同的应用服务?
如何保障关键数据面临各种软故障、硬故障时的安全性?
如何高效而低成本地为保存在异构存储设备中的数据进行远程灾备?
如何建设一个高可用高可靠可扩展的数据中心网络平台?
如何保证数据中心的安全以业务连续性?
如何实现数据中心业务访问性能的优化?
如何对数据中心进行统一的管理,将节省出来的资金用于开展新的盈利型IT 项目?
针对上述企业园区数据中心建设中的这些问题,H3C提出了以“数据服务”为核心的企业园区网数据中心解决方案,能够很好的解决这些问题。
3.3.1 以“数据服务”为核心的企业园区数据中心架构
数据中心保存着一个组织的重要数据,这些数据是企业数字化运营的结晶,是企业的核心资产。数据中心的所有业务操作都是围绕着数据进行的,数据的利用率越高,表明该数据越有价值;数据交换越频繁,表明企业的运营越高效。可以说,数据是现代化企业数字化运营的核心,数据中心建设只有以“数据服务”为核心,才能更好地为企业的运营服务。
H3C公司数据中心解决方案在充分理解数据中心的本质基础上,提出了以“数据服务”为核心的企业园区数据中心解决方案。
H3C 以“数据服务”为核心的企业园区数据中心架构分为四个层次
基础设施层:以统一的IP技术将通信、计算、存储等IT基础资源融合成IP融合基础设施,形成数据中心的基础设施,为业务系统提供的基本资源服务。
数据服务层:针对不同的应用所采用的结构化数据和非结构化数据,针对这两类不同数据提供的有区别的数据管理、数据安全、数据传送等数据服务。利用VM、DM、SM、iMC、OAP等中间件及开放平台调用基础设施层的基本资源更好地为上层应用服务。
其中数据管理主要实现存储资源化、计算资源化、网络资源化并能动态调整资源匹配数据的读写存放;数据传送包括WAN优化,H3C核心设备的强整合能力以及L4-L7能力实现政府行业数据中心网络的智能化;安全服务包括IPS/IDS/FW等,同时安全管理中心实现对安全的统一策略并管理。
应用层:主要包括针对结构化数据和、结构化数据的各种应用。包括各种业界通用业务系统(常用的ERP、CRM、SCM、财务、HR、OA),H3C能提供各种多媒体应用(监控、流媒体、统一通信、呼叫中心、视频会议、VoIP)。
战略层:在大量应用数据的基础上,进行数据分析、挖掘,为高层战略决策提供支持。
同时企业如果有条件的话,可以考虑灾难备份的建设。灾备中心的层次结构和主数据中心是相同的四层结构。灾备中心实现为主数据中心进行数据级或应用级备份,进一步保证数据安全,实现在灾难情况下的临时业务中心和应急指挥中心。
3.3.2 网络部分
数据中心统一的IP网络平台:相对传统的数据中心架构最大的不同之处在于H3C公司数据中心的前台业务访问网络、后台的存储及备份网络、异地备份网络全部基于统一的IP网络平台,即利用业界最开放的IP标准来取代原来封闭昂贵的FC存储与备份网络,带来的好处是灵活、开放、共享、高性能、低成本。
网络设计方面:在数据中心内部采用分区、分层、分类的模块化设计思想保证数据中心网络架构的高可靠性、高扩展能力。同时利用产品本身的高扩展能力、IRF智能弹性架构技术等技术保证数据中心网络平台的动态扩展和升级。同时从设备的可靠(双主控、双电源)、网络的可靠(关键设备双归属/重要链路手工聚合/服务器采用双网卡)、协议的可靠(VRRP、防火墙HRP)、架构的可靠(重要设备冗余部署/流量路径合理规划)、应用的可靠(服务器健康检查、HA收敛时间迅速保证应用业务的可靠)等方面充分保障高可用性。
3.3.3 安全部分
安全设计方面:防火墙实现网络层的安全保护、IPS实现基于应用层的安全保护、交换机实现基于设备本身的集成安全特性。该三重安全防护手段能够实现网络1-7层的全面防护。同时采用统一安全管理中心实现对数据中心的统一安全监控、分析、联动、抵御。
3.3.4 存储部分
H3C公司提供业界领先的IP-SAN架构,实现数据的集中存储,还能够实现对异构存储资源的整合。
企业园区内各企业信息系统众多,决策分析、数据挖掘等都需要基础数据作为依据,数据的保护相当关键,在传统的存储备份中,当主存储出现问题,备份数据恢复时间相当长,对于实时性要求非常高的生产企业,这个问题的解决就显得非常迫切。
CDP(Continuous Data Protection)连续数据保护,可在数据发生任何变化时将所有数据很好地保护起来。CDP技术能减少从灾难发生到数据恢复所需要的时间,满足系统可靠性需达到99.999%的严苛要求。
H3C公司CDP解决方案不仅涵盖了各类灾难保护(包括人为故障、病毒、软件故障、硬件故障等灾难),而且能够针对不同主机、数据库、存储的环境提供全面的数据保护。连续数据保护在出现突发意外中断时提供快速的业务恢复 (RTO指标) 并将数据丢失 (RPO指标) 降至最低,该解决方案旨在提供数据中心关键业务的业务连续性保障。
在线CDP解决方案中,如果发生误操作、病毒侵袭等事件,导致生产站点的数据错误,通过H3C存储设备上的时间标记功能回溯并快速恢复到前面某一时刻数据良好的状态点,这个过程只需要在H3C存储设备上轻点几下鼠标就可以快速完成,实现数据渐变式灾难的保护。
而在近线CDP解决方案中,由于在线存储通过H3C存储设备上的LocalReplication功能将数据备份到近线存储设备上,这样不仅可以避免误操作、病毒等“软故障”的破坏,而且还可以避免由于在线存储的硬件故障而导致的数据丢失或业务中断。
H3C公司还能够提供企业园区数据中心的异地灾备方案,通过基于IP网络的远程数据连续复制保护方案,可以实现数据零丢失,并且在主存储设备出现故障时10分钟内恢复业务;提供主备数据中心之间的数据同步镜像方案,当主数据中心的存储设备发生故障,可以在几十秒钟内自动将数据路径切换至容灾中心的存储设备,应用即恢复正常运行。
3.3.5 数据中心性能优化
引入业界一流的负载均衡设备实现业务服务性能的最优化、WAN优化实现下级单位/分公司对数据中心访问性能(带宽、响应时间等)的优化。
3.3.6 数据中心综合运维管理平台
实现数据中心的网络管理、安全管理、服务器管理、存储管理、应用性能管理,为用户呈现资源管理、业务视图监控、事件问题解决、用户行为审计等功能。
H3C以“数据服务”为核心的企业园区数据中心架构是一种真正面向数据的弹性架构,该架构能够可靠地保存、备份海量的数据,在面临各种硬故障、软故障时能够迅速恢复,减少数据丢失和系统宕机时间;并且能够有效地整合原有的、以及新增的存储资源,打破异构的障碍,提高兼容性,为上层业务提供统一的虚拟化存储空间;还可以根据业务发展需要,弹性扩展容量与性能,最大化保障企业投资。
3.4 IP统一通信
传统园区内单业务通信网络的独立分割的状态,语音电话网、视频会议网、计算机网络等都是沿着不同的技术路线发展而来,网络、终端、标准、协议、功能等都彼此不同,彼此的网络相互割裂,资源无法共享,各种通信模式无法互通,更勿论融合。
IP集合通信改变了园区分割的孤岛状态,利用当前的开放架构技术、应用软件技术、中间件技术、IP网络技术、协议控制信令技术、WEB技术等。基于目前广泛部署的IP网络,实现了音频、视频及数据等多种通信模式的融合;实时通信业务与非实时消息业务的融合;通信技术功能与办公及业务流程的融合。同时基于开放架构和标准接口,实现业务动态生成及部署。
园区网的监控部署,可以很好的预防生产和安防的事故的发生,更好的对现场进行远程控制;视频会议、IP语音服务等多媒体网络技术的应用,可以很大的节省企业的日常业务成本。
3.4.1 H3C iVS企业园区IP智能监控解决方案
园区的监控需求如下:
需要在企业园区的门岗和宿舍区设立监控点,企业园区保卫人员可通过电视墙或者监控软件客户端对这些区域的内人员的进、出进行监看;安装报警器在有意外发生时可及时的报警(如火灾);
需要在园区的公共场所设立监控点进行视频监视,并做录像记录。用于在遇到突发事件时立即防范或作为事后分析处理的客观依据;
出现情况时,可以立刻召开视频会议、电话会议,企业园区主管领导、公安局等相关主管部门可以在利用PC机实时观看、调用园区监控图像,进行远程分析、处理。
H3C iVS园区IP智能监控解决方案可以很好的满足上述企业园区监控的需求。 它由视频管理服务器、数据管理服务器、编解码器、网络传输设备、存储设备构成,由于它基于IP构建,系统中各个部件,都可以根据企业园区监控建设需求分布式部署并加以集中管理。
H3C公司的视频监控设备是以IP为基础,前端数字编码器将摄像机摄入的图像信号转换为IP网络信号,传输到远端监控中心。监控中心将通过数字解码器组成带有矩阵切换控制功能的数字视频矩阵,控制前端的摄像机,控制矩阵图像上电视墙,同时将上传的视频图像实时保存到存储上。
H3C公司的监控系统对外提供API接口,用户可进行二次开发,根据企业的生产的特殊要求,与MES生产执行系统结合,实现自动监控的功能。
3.4.2 企业园区IP语音服务方案
园区内各企业分布比较分散,利用已有得园区网络部署企业园区的基于IP的语音服务系统能够较大的降低企业日常办公的成本。H3C公司基于IP语音服务方案能够在继承传统语音、视频业务的同时,可以方便支持新的业务,如电话会议,语音信息,可视通信、统一电话目录服务等,使通信系统成为企业进步的驱动力。
通过IP集合通信,实现了企业数据、语音、视频系统的管理融合。通过一套管理系统即可对数据及语音的设备、用户及应用进行管理。由于是基于IP,具备很大的灵活性,企业的电话可以根据企业业务的发展及组织的变更灵活的扩充网络、调整号码分配方案。也可以支持企业员工的移动办公,员工的办公位置发生变化后,只需在管理软件上作相应的简单改变,该员工的号码不变。极大的方便了管理,降低了成本。
3.4.3 企业园区视频会议方案
由于视频会议采用的是通过园区网络进行图像、语音等数据的传输,可以很大的节省员工因为要集中参加会议而发生的相关费用,而且还能大大增加开会的次数,频繁进行沟通。
H3C视讯会议解决方案支持SIP和H.323双协议,其产品组合具有H.264、H.239双流、动态4CIF高清图像、VGA输入输出等方面视讯领域的最新特性,并且提供双机热备,负载均衡,跨网段会议等独创功能,最大程度上能够满足目前行业市场的组网需求。
H3C多媒体会议服务器支持纯语音终端接入,因此借助于VG系列语音网关就可以实现视频会议与传统PSTN网络的互通,使用户的固定电话或者手机也可以加入到视频会议当中来。
H3C企业园区视频会议解决方案的系统结构图如下:
H3C视讯会议解决方案包括多点控制单元(简称“MCU”)为核心、视讯终端、高清终端、桌面视讯终端软件等终端侧部件;通过MCU与终端协同工作,用户可以进行面对面的双向音视频沟通及资料分享,直接提升单位形象及竞争力。
MCU与终端侧设备相互配合可以满足企业园区用户各种网络部署及会议功能操作需要,具体功能特性体现为高可靠性,易用性,实用性,易维护性。高可靠性体现在采用了业内首创双机热备技术;易用性体现在简单易用的WEB 管理方式和支持多种会议控制模式;实用性体现在强大的双视频流传输技术、栩栩如生的多画面显示和灵活多变的全中文字幕,支持以级联方式海量扩容,先进的组播接收;易维护性体现在系统支持批量配置和强大的会议保障功能。
3.5 园区智能网络管理
企业园区智能网络管理(iMC)不光管理应用系统、数据系统,对于网络安全系统也要进行统一集中管理。
对此,企业园区智能网络管理方案应该包括从基础的设备管理延伸到人员管理、业务管理,并提供网络流量分析工具及日志管理系统,为企业园区管理者提供决策支持。
H3C企业园区智能网络管理应该以业务融合和业务流为主旨思想,实现用户、资源和业务三大网络要素的融合管理,具备以下功能:
3.5.1 基础资源管理
可以基于全网的QoS、ACL、VLAN、QinQ等策略的统一部署、管理和调配;实现集群HGMP管理,IPv6设备管理,路由器、交换机、安全、语音、存储、SOHO等公司全线产品的网元管理以及桌面和网络资产的统一管理;为业务融合、资源调度和自动化协同响应提供必要手段。并为用户提供了灵活的组件化结构,用户可以根据自己的管理需要和网络情况灵活选择需要的组件,真正实现“按需建构”。
3.5.2 身份与接入管理
支持LAN、WAN、WLAN、VPN认证接入,实现接入业务的统一、集中管理;支持智能卡、证书、RSA双因素密码等强认证功能,支持多种方式的端点准入控制和基于身份的网络服务,实现用户与资源和业务的融合管理。
3.5.3 端点安全准入管理
在身份接入基础上,支持终端安全准入控制,支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等,预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素可能带来的安全威胁,并可根据终端的安全状态实现终端下线、隔离、提醒、监控等多种控制策略。从端点接入上保证每一个接入网络的终端的安全,从而保证网络安全。
3.5.4 VPN管理
可以封装不同VPN业务底层协议,实现对IPSec+L2TP VPN、SSL VPN、MPLS VPN的统一管理,融合端点安全、用户接入和应用分析,实现从VPN业务部署、用户接入到业务监视的全流程管理。
3.5.5 网络智能分析
可以通过故障根源分析、SLA分析等基于规则和策略的深度分析,直观展示网络运行状态,快速定位故障源,协助优化网络结构;通过流量异常检测、网络安全事件的集中管理和基于资源管理平台的协同响应,提高风险识别的准确度、快速响应安全威胁。
可在最大限度减小对路由器/交换机性能的影响的前提下提供详细的数据流统计信息,为用户准确把握网络运行状态,实时发现网络异常情况并进行处理提供了强大保障。同时,应该提供网络日志审计系统,可完成用户上网日志管理,实现网络使用的可追溯性,保证网络和用户信息的安全,并可为合理的网络规划提供重要的参考。
4 IToIP企业园区网解决方案愿景
为适应企业信息化未来发展的需要,H3C持续研发的高投入,针对企业行业进行了大量理论研究、标准制定、技术攻关、产品研发及大型网络环境的验证等工作,继续完善基于IP的企业园区网络平台、数据服务中心、媒体服务中心和智能管理中心全面融合的IToIP企业园区网解决方案,携手各企业共同将信息化工作提高到一个新的、划时代的水平。