基于IToIP的企业园区网解决方案
企业园区网建设需求分析
随着当前中国经济的高速发展,各企业的业务也随之快速扩张,由于市场竞争的需要,企业围绕关联产业和产业链形成有机的分工与协作关系的园区正在快速的发展,逐渐在区域形成了聚集效应,给园区内的每个企业的发展带来了新的契机。
园区经济的形成也给各个企业带来了新的课题,为了提高竞争力,推进上下游产业的协同工作,进而更好地管理和沟通,就需要打通企业或部门间的壁垒,使企业的信息流畅通,这样也就必然向企业的IT部门提出了更高的要求—如何构建企业的园区网,能更好地为企业自身服务?
企业园区网分析
目前企业园区网建设中关注的主要四方面:
网络的智能化:原有各自独立的路由、交换、安全、语音、视频等功能,现在都开始向融合方向发展,在这个演进发展趋势中,通用性的网络设备如何实现个性化、行业化的定制,成为网络智能化发展的方向,同时带来了集成化后的设备配置、管理方面的易用性要求。
全网全方位的安全:由于传统防火墙功能单一,存在很多安全盲点,而整合是未来安全产品的必然趋势,单一功能的防火墙市场将快速萎缩。2007年多功能安全网关替换传统防火墙的趋势将非常明显。当前的安全也已经通过单一的对网络的安全防护,扩展到全方位的安全规划,不仅原有的防火墙、防毒墙、IPS在融合,对员工的安全认证、管理也必须考虑,还要考虑环境的安全,供电、防潮、防进入等,这样才能构建一个真正意义上的安全环境。因此,安全的挑战就是整体的规划和对全方位的管理。
数据中心的整合:应用系统将深度融合,数据高度集中,在数据大集中的过程中,企业原有分散建设的各自独立的异构系统需要进行整合,需要有一套标准化的技术和协议对整合后的平台进行规范,有利于后续业务的发展和扩张。在这样的数据大集中后,最大的挑战是随之带来的风险的大集中,如何保障集中后的数据的安全,不仅仅是网络的安全,还有数据的备份和恢复,访问的安全控制等。
多媒体的建设:视频会议等多媒体网络技术的应用,可以很大的节省企业的日常业务成本,而企业园区内的监控部署(安防和生产),可以很好的预防企业生产的事故的发生,更好的对现场进行远程控制。
当前企业园区网建设存在风险的主要原因是
企业园区内各企业各部门的网络建设缺乏统一规划,还是各自系统、各自产品独立建设;
原来企业园区内的网络设备缺乏统一标准,厂家自定义规格,多厂家设备存在互通问题,更谈不上融合;
只关注系统实现功能,而轻视了对系统的管理,在系统规模日益庞大的情况下,粗放式的简单管理已经成为系统发展的瓶颈;
企业园区内各企业各部门的安全措施各自为阵,安全漏洞依然无法解决,安全威胁仍就肆意猖獗;
企业园区网建网思路
正是敏锐地发现了以上存在的问题,H3C创造性地提出了新一代企业园区网建设思路:IP网络+IP安全+IP存储+IP通信+IP管理=融合企业园区网解决方案
为什么要选择IP技术实现企业园区网架构整合呢?众所周知,TCP/IP是迄今为止应用最广泛、最成熟、最为开放、标准化程度最高的技术体系,具有简单、开放、灵活扩展、管理和互操作等一系列优势,已经成为当今互联网、电信网、政务网、企业网的主要承载技术。IP协议弹性强,能更好地适应IT网络的各种变化。例如在存储技术领域,传统的FC技术存在兼容性和扩展性等方面的问题,基于IP的存储能够更好地实现平台兼容性及业务扩展性,并可实现更灵活的数据服务定制。基于这样的潮流,H3C推出了IT On IP(简称IToIP)的企业园区网建设理念及整体解决方案。
IToIP企业园区网解决方案
IT On IP就是基于统一的IP技术来构建IT系统。从技术的发展过程来看,从IP网络到基于IP的通信、再到基于IP的存储和统一的IT资源管理,基于IP技术构建整个IT系统是IT系统发展的必然方向,H3C正沿此方向提供全面的产品及整体解决方案。
针对企业园区网建设的需求特点,H3C提出了基于IToIP的企业园区网总体架构:
IToIP的企业园区网总体架构以IP智能安全渗透网络为躯干、IP通信和IP存储为两翼,IP智能管理中心为神经中枢,其中IP智能安全渗透网络又包括网络架构优化、网络业务拓展、安全渗透防御。
IToIP并不是一种产品的堆积,而是一种完全基于IP的融合IT解决方案。在整个信息的生命周期中,信息的产生、存储、传送、处理都是通过IP的方式进行,中间不用任何的转化,这样就能够对整个IT系统更好地管理,提升效率。
IP智能安全渗透网络平台
一般,企业园区网络规模比较大,接入节点数目比较多,企业园区内独立的企业也比较多,各企业的生产数据在网络上的传输也必须保证端到端的安全,各企业、各部门间的业务隔离需求就显得比较迫切,随着各企业业务的快速增长,企业网络的扩展性也应该比较强。针对企业园区网络建设的这些特点,H3C公司提出了企业园区的IP智能安全渗透网络方案,该方案包括如下部分:层次化设计、高可靠性设计、虚拟化设计、无线网络设计、整体网络安全设计等。
层次化设计
在企业园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的企业园区网络结构可以分成三层:接入层、汇聚层、核心层。
接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、QoS和POE功能都位于这一层。对于企业园区网的接入层设备,建议采用千兆三层接入的方式,应该具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。
汇聚层:汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于企业园区网的汇聚层设备,应该能够承载企业园区的多种融合业务,能够融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载企业园区融合业务的需求。
核心层:网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于企业园区网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的RPR环网结构或多设备冗余的星型结构。对于企业园区网核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为企业园区构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
高可靠性
小型企业园区高可靠网络设计方案
对于小型企业园区网络,接入端口数量不多、但可靠性要求较高;对交换容量、带宽要求较高。我们推荐高速、无阻塞交换千兆两层扁平组网模型。为用户提供千兆接入、支持语音和POE、网络可以运行OSPF协议,两层扁平网络结构,易于配置和管理,并能适应用户未来几年网络应用的需要,提供预留容量。
两层简化扁平网络结构,汇聚、核心合为一层,减少了网络设备数量,易于配置和管理,为用户提供千兆桌面接入、支持语音和POE功能。接入、核心层设备都为机架式,可用多种不同端口类型的单板组合,使用灵活、可扩充性强,节省网络投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。
中型企业园区高可靠网络设计方案
对于中型企业园区网络,推荐采用千兆接入组网模型。为用户提供三层千兆到桌面的接入服务,整网配置OSPF协议,网络故障收敛速度快、易于管理和维护。VLAN终结在接入端口,限制广播域范围,较少广播报文对网络带宽的消耗。从接入层开始即可进行快速三层交换,利用网络中存在的等价多路径实现业务流量的负载分担。
网络按照分层、模块化的思路进行设计和规划,根据业务、区域等规划因素进行模块化区域划分,每个区域有自己的汇聚核心与网络核心相连。网络各层设备都为三层设备,支持OSPF。在接入层设备上提供千兆端口接入,支持语音和POE。 接入层千兆双归属到汇聚层设备,提供链路冗余备份,利用存在的ECMP实现流量负载分担。区域汇聚核心间提供千兆链路连接,双机备份和加速路由收敛。汇聚层千兆双归属到网络核心,根据实际带宽需要也可千兆链路捆绑双上行到核心,会聚层可采用堆叠设备,它提供的分布式路由和分布式设备管理使整个堆叠设备当成一台交换机进行路由转发和管理,而且支持热插拔,不会因为堆叠组单台设备故障引起整个接入业务中断。两台核心设备间通过千兆捆绑链路连接,完成高速数据交换和双机热备份。
大型企业园区高可靠网络设计方案
对于大型园区网络,推荐采用环网组网模型,核心层可考虑用多台设备搭建RPR环替代双机热备份。这样可以实现10ms的故障检测时间以及50ms的业务倒换时间,可以做到故障切换时完全不影响正在进行的音频业务,完全满足电信级可靠性的要求。
RPR与SDH拓扑结构类似,RPR为互逆双环拓扑结构,环上的每段光路工作在同一速率上。建成后的核心层主要负责核心业务处理、跨区域业务量疏通、及与其它网络互联互通,同时可作为P设备,配合汇聚层PE设备,完成MPLS VPN业务的部署,将企业园区内不同业务进行隔离,保证各个业务在同一网络平台上运行、互不影响。
H3C公司RPR技术采用双环逆向拓朴结构,外环和内环同时可传送数据和控制信息,具有完全分布式的访问控制方法,实现电信级故障自动保护倒换IPS功能,业务倒换时间小于50ms;拓朴收集自动完成,能自动选择业务最优路径;利用RPR-Fa公平算法,环网带宽动态调整,实现带宽全局公平和局部最优利用;实现流量等级保证QoS,支持带宽预留的业务;继承传统Ethernet概念,支持所有Ethernet上层协议和业务。带宽可平滑扩展,1G-10G,甚至40G。且具有完善的操作和维护平台,具有可运营、可管理的能力。 两层简化扁平网络结构,汇聚、核心合为一层,减少了网络设备数量,易于配置和管理,为用户提供千兆桌面接入、支持语音和POE功能。接入、核心层设备都为机架式,可用多种不同端口类型的单板组合,使用灵活、可扩充性强,节省网络投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。
中型企业园区高可靠网络设计方案
对于中型企业园区网络,推荐采用千兆接入组网模型。为用户提供三层千兆到桌面的接入服务,整网配置OSPF协议,网络故障收敛速度快、易于管理和维护。VLAN终结在接入端口,限制广播域范围,较少广播报文对网络带宽的消耗。从接入层开始即可进行快速三层交换,利用网络中存在的等价多路径实现业务流量的负载分担。
网络按照分层、模块化的思路进行设计和规划,根据业务、区域等规划因素进行模块化区域划分,每个区域有自己的汇聚核心与网络核心相连。网络各层设备都为三层设备,支持OSPF。在接入层设备上提供千兆端口接入,支持语音和POE。 接入层千兆双归属到汇聚层设备,提供链路冗余备份,利用存在的ECMP实现流量负载分担。区域汇聚核心间提供千兆链路连接,双机备份和加速路由收敛。汇聚层千兆双归属到网络核心,根据实际带宽需要也可千兆链路捆绑双上行到核心,会聚层可采用堆叠设备,它提供的分布式路由和分布式设备管理使整个堆叠设备当成一台交换机进行路由转发和管理,而且支持热插拔,不会因为堆叠组单台设备故障引起整个接入业务中断。两台核心设备间通过千兆捆绑链路连接,完成高速数据交换和双机热备份。
大型企业园区高可靠网络设计方案
对于大型园区网络,推荐采用环网组网模型,核心层可考虑用多台设备搭建RPR环替代双机热备份。这样可以实现10ms的故障检测时间以及50ms的业务倒换时间,可以做到故障切换时完全不影响正在进行的音频业务,完全满足电信级可靠性的要求。
RPR与SDH拓扑结构类似,RPR为互逆双环拓扑结构,环上的每段光路工作在同一速率上。建成后的核心层主要负责核心业务处理、跨区域业务量疏通、及与其它网络互联互通,同时可作为P设备,配合汇聚层PE设备,完成MPLS VPN业务的部署,将企业园区内不同业务进行隔离,保证各个业务在同一网络平台上运行、互不影响。
H3C公司RPR技术采用双环逆向拓朴结构,外环和内环同时可传送数据和控制信息,具有完全分布式的访问控制方法,实现电信级故障自动保护倒换IPS功能,业务倒换时间小于50ms;拓朴收集自动完成,能自动选择业务最优路径;利用RPR-Fa公平算法,环网带宽动态调整,实现带宽全局公平和局部最优利用;实现流量等级保证QoS,支持带宽预留的业务;继承传统Ethernet概念,支持所有Ethernet上层协议和业务。带宽可平滑扩展,1G-10G,甚至40G。且具有完善的操作和维护平台,具有可运营、可管理的能力。
虚拟化
企业园区随着网络规模和复杂度的不断增加,特别是对于集中服务和集中办公网络,对用户和网络资源进行隔离,以提高安全性和灵活的访问控制显得尤为必要。
一个大企业园区,需要生产平台、管理运营、销售、安保监控等业务隔离。隔离的手段可以是物理隔离,也可以是逻辑隔离。相对于物理隔离,逻辑隔离(网络虚拟化)具有无需重复建设、能提供统一的安全、管理、HA策略等优点,并且能够更好地提供面向应用的服务。
一般企业园区网虚拟化的需求主要如下:
横向不同部门/分类间业务的隔离,提高涉密业务的安全性,同时提供访问控制策略,满足不同部门间业务互访的要求
为园区内各部门提供统一的Internet出口,供内部用户访问Internet和为外部公众提供应用服务,进行集中控制管理
提供广域网接口,实现相同部门/种类业务的纵向互通
数据中心资源逻辑上分三部分:部门内部数据区、共享数据区和对外服务数据区,分别为独立部门内部、业务交互部门和外部公众提供服务
为重要业务提供端到端的QoS保证
为了满足企业园区网虚拟化的需求,H3C公司提出了EAD+MPLS VPN的解决方案,可以实现与企业各部门工作流相适应的、从客户侧就开始安全控制的端到端的虚拟通道,实现和用户上层应用系统权限无缝匹配。它主要包括如下内容:
用户端点准入控制
对用户的安全认证和权限管理,使用我司的EAD解决方案(支持portal、802.1X、VPN等认证方式),在接入边缘设备作认证;把CAMS服务器\补丁服务器\病毒服务器等集中部署在数据中心内部共享区,内部所有用户接入网络都需要认证,进行集中的安全管理
业务逻辑隔离
企业园区各部门共用一套物理网络,逻辑隔离使用VRF+MPLS VPN技术。各部门用户通过CE\MCE设备接入,通过二层VLAN或VRF进行隔离。核心层用MPLS标签转发,控制PE设备VPN路由引入,建立专用的VPN转发通道,为数据中心提供PE或MCE接口,兼容数据中心内部业务逻辑隔离和物理隔离。企业园区网络支持端到端的业务逻辑隔离,支持QoS。
集中服务管理
为园区内用户提供统一的Internet\WAN出口,进行集中监控、管理。网络管理使用H3C的iMC网络综合管理中心,内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理。各种管理\策略服务器、应用服务器、存储设备等统一部署在数据中心,为全网提供统一的应用和策略服务。
如下是H3C企业园区网虚拟化MPLS VPN典型组网:
推荐的典型园区MPLS VPN组网模型是核心层作P设备、汇聚层作PE设备,IGP协议使用OSPF。核心设备可根据网络规模和实际需要使用双机热备份或环形核心,使用RPR/RRPP提供网络可靠性。在PE设备上创建不同的VPN实例,引入CE,实现不同部门/业务的隔离。PE与CE间配置E-BGP,引入VPN路由,也可使用OSPF或静态路由。PE设备下可根据使用需要接入CE或MCE设备。为满足可靠性要求,对重要的设备提供双上行冗余连接。
该组网的特点是使用三层交换机组网,MPLS转发和VPN功能由中高端的75E和95承担,具有较好的数据转发性能和业务隔离能力;CE-PE、PE-P间可方便配置双归属链路,提高整网可靠性;用户接入层可根据需要方便地选择CE、MCE设备接入网络。
H3C公司的EAD+MPLS VPN的方案能够保证移动用户能够正确的接入相应的VPN:
我们可以按照企业业务实际的需求,在不同的PE上配置相应可以接入的VPN,不同的VLAN端口对应各自相关的VPN。首先在H3C公司的CAMS服务器上指定好不同用户的用户名+密码和相关的VLAN的对应关系。当用户通过EAD终端输入用户名和密码后,CAMS服务器查找相关信息,分配该用户接入到相关的VLAN中,也就是进入到相关的VPN中了。
H3C公司的EAD+MPLS VPN的网络虚拟化方案在业界独创性的实现了提供与企业各部门业务工作流完全匹配的从客户侧开始的安全控制的端到端的虚拟逻辑通道,使得各部门的业务数据能够真正实现从端到端的安全虚拟通道中传输,起到了端到端有效的全程隔离作用,使得企业网络和应用实现无缝融合。
无线网络部署
在企业园区内,无线网络可以使用户能够更加高效、方便、自由地进行移动,帮助用户更加灵活地进行网络安装。H3C公司无线局域网移动系统提供了部署可管理的安全无线网络(相当于有线网络)时所需的所有组件。无线交换解决方案节省了资金投入和营运费用,同时在不危及安全性的情况下提高了性能和效率。华三解决方案旨在与现有网络进行无缝集成,实现企业园区的有线无线网络一体化的目标。它提供了灵活的部署选项供选择,并可进行扩展便于将来更好地支持新的应用。
对于企业园区无线网络的建设,最重要的是要保证接入的安全以及网络升级的平滑过渡。
对于无线网络的安全问题,H3C公司的产品可以实现基于标准的加密,支持40-bit和128-bit WEP加密技术。通过有效使用WEP和可以管理的密钥,所提供的基本安全级别使普通的无线监听者难以得逞;H3C公司的产品还能够实现动态安全连接,可以实现一个增强的加密和密钥管理机制,称为手动静态密钥机制,解决了WEP的主要缺陷。除了赋予每一个用户唯一的128位的密钥外,在每一个新的任务开始时,密钥都会发生变化。除此之外,保存着接入点本地用户名和密码的数据库能够提供更加安全的基于用户的认证机制。
为了节省成本,企业园区的无线网络在初期建设时可以使AP工作于FAT模式,满足小规模组网需求;在网络建设后期使AP工作于FIT模式,并添加无线控制器,满足大规模组网需求。这之间的切换非常简单,用户只需在AP上通过配置命令,就可以更改工作模式从而实现平滑升级。
企业园区有线无线一体化接入方案为无线控制器业务板加“瘦”AP最典型的应用,目前无线控制器业务板配合H3C交换机与FIT AP配合使用,无线控制器作为无线数据控制转发中心,放在企业的中心机房,无线接入点则放到企业的各种室内、室外场所(室外组网需要与室外机箱配合使用),Fit AP和 无线控制器之间既可以在同一个网段,也可以不在同一个网段,它们之间通过CAPWAP协议自动建立隧道(该隧道基于UDP,可以穿越三层网络),结合有线交换机的接入功能,这样就非常容易部署企业级有线无线一体化接入方案。
H3C公司无线局域网移动系统提供了各种智能和功能,可以用来设计、部署和管理无线网络,而无需执行过去那些耗时的人工过程。通过采用结构化方法进行规划和部署,管理员可以使其企业获得可观的收益:
更轻松地进行规划和部署—使用自动执行的规划工具可轻松进行设计、配置和部署繁琐的操作,同时缩短部署时间并控制管理成本。
全面的网络和用户管理—使用嵌入在H3C无线局域网交换机、控制器、MAP 以及管理工具中的各种智能,可以完全控制网络和用户,从而对无线网络应用与有线基础设施相同的标准。
企业级安全性—高级 AAA 和加密功能可帮助管理员保护关键的业务资源,最大程度地提高网络的可靠性和性能。
基于标准的实施—无线交换解决方案并不专属于某个供应商,从而确保实现最大的互操作性和可扩展性。
随增长而扩展—华三公司解决方案旨在应用于不断壮大的组织,可通过扩展轻松支持数以千计的用户以及将来出现的无线局域网功能(包括语音和其他多业务应用)。
整体网络安全
整体网络安全作为一个整体的安全架构,从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。
局部安全是基础,即对可能出现问题的节点部署安全产品,进行2~7层的威胁防范。这种方式简单有效并有极强的针对性,适合网络建设已经比较完善而安全因素考虑不足的情况。在这个层面,H3C强调通过“集成”来提供最佳的防御效果,即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式,实现安全技术和网络技术的初步融合。
全局安全是在局部安全基础上的提升,借助于IToIP的网络优势,通过技术和产品的协作,将网络中的多个网络设备、安全设备和各组件联动起来,并通过多层次的安全策略和流程控制,向用户提供端到端的安全解决方案。以H3C的端点准入防御(EAD)解决方案为例,它从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
智能安全是在全局安全之上的更高安全层面,一方面将企业的业务需求及流程建设充分融合到网络安全建设中来,另一方面考虑到了如何遵循各种安全标准和法律法规。建设智能安全时,首先H3C为用户提供专业的安全评估,度身定制一整套闭环的安全建设方案;然后要采用开放、融合的OAA(开放应用架构)来应用各种安全技术,不仅满足用户当前安全需求,还能够针对新安全威胁实现弹性扩展;最后H3C有能力建设安全统一的管理平台,实现安全策略集中下发、安全事件实时感知和关联分析、安全部件协同响应。
H3C公司的整体网络安全能够在保证安全性的基础上大大提高用户网络对安全威胁的智能防御能力,并且将安全的定义从网络威胁抵御扩大到业务流程控制的层面,为企业打造一个领先的、全面的、可信赖的IP安全平台。
以“数据服务”为核心的数据中心
数据中心是企业数据大集中而形成的集成IT应用环境,它是各种IT业务和应用服务的提供中心,是数据运算/交换/存储的中心,实现对用户的数据、应用程序、物理构架的全面或部分进行整合和集中管理。
数据中心是当前企业的IT建设重点。通过数据中心的建设,实现对IT系统的整合和集中管理,提升内部的管理运营效率以及对外的服务水平,同时降低IT建设的TCO。
但是,企业园区网数据中心建设中普遍面临如下的难题:
如何充分利用异构存储设备来为多种不同的应用服务?
如何保障关键数据面临各种软故障、硬故障时的安全性?
如何高效而低成本地为保存在异构存储设备中的数据进行远程灾备?
如何建设一个高可用高可靠可扩展的数据中心网络平台?
如何保证数据中心的安全以业务连续性?
如何实现数据中心业务访问性能的优化?
如何对数据中心进行统一的管理,将节省出来的资金用于开展新的盈利型IT 项目?
针对上述企业园区数据中心建设中的这些问题,H3C提出了以“数据服务”为核心的企业园区网数据中心解决方案,能够很好的解决这些问题。
以“数据服务”为核心的企业园区数据中心架构
数据中心保存着一个组织的重要数据,这些数据是企业数字化运营的结晶,是企业的核心资产。数据中心的所有业务操作都是围绕着数据进行的,数据的利用率越高,表明该数据越有价值;数据交换越频繁,表明企业的运营越高效。可以说,数据是现代化企业数字化运营的核心,数据中心建设只有以“数据服务”为核心,才能更好地为企业的运营服务。
H3C公司数据中心解决方案在充分理解数据中心的本质基础上,提出了以“数据服务”为核心的企业园区数据中心解决方案。
H3C 以“数据服务”为核心的企业园区数据中心架构分为四个层次
基础设施层:以统一的IP技术将通信、计算、存储等IT基础资源融合成IP融合基础设施,形成数据中心的基础设施,为业务系统提供的基本资源服务。
数据服务层:针对不同的应用所采用的结构化数据和非结构化数据,针对这两类不同数据提供的有区别的数据管理、数据安全、数据传送等数据服务。利用VM、DM、SM、iMC、OAP等中间件及开放平台调用基础设施层的基本资源更好地为上层应用服务。
其中数据管理主要实现存储资源化、计算资源化、网络资源化并能动态调整资源匹配数据的读写存放;数据传送包括WAN优化,H3C核心设备的强整合能力以及L4-L7能力实现政府行业数据中心网络的智能化;安全服务包括IPS/IDS/FW等,同时安全管理中心实现对安全的统一策略并管理。
应用层:主要包括针对结构化数据和、结构化数据的各种应用。包括各种业界通用业务系统(常用的ERP、CRM、SCM、财务、HR、OA),H3C能提供各种多媒体应用(监控、流媒体、统一通信、呼叫中心、视频会议、VoIP)。
战略层:在大量应用数据的基础上,进行数据分析、挖掘,为高层战略决策提供支持。
同时企业如果有条件的话,可以考虑灾难备份的建设。灾备中心的层次结构和主数据中心是相同的四层结构。灾备中心实现为主数据中心进行数据级或应用级备份,进一步保证数据安全,实现在灾难情况下的临时业务中心和应急指挥中心。
以“数据服务”为核心企业园区数据中心拓扑示意图
网络部分
数据中心统一的IP网络平台:相对传统的数据中心架构最大的不同之处在于H3C公司数据中心的前台业务访问网络、后台的存储及备份网络、异地备份网络全部基于统一的IP网络平台,即利用业界最开放的IP标准来取代原来封闭昂贵的FC存储与备份网络,带来的好处是灵活、开放、共享、高性能、低成本。
网络设计方面:在数据中心内部采用分区、分层、分类的模块化设计思想保证数据中心网络架构的高可靠性、高扩展能力。同时利用产品本身的高扩展能力、IRF智能弹性架构技术等技术保证数据中心网络平台的动态扩展和升级。同时从设备的可靠(双主控、双电源)、网络的可靠(关键设备双归属/重要链路手工聚合/服务器采用双网卡)、协议的可靠(VRRP、防火墙HRP)、架构的可靠(重要设备冗余部署/流量路径合理规划)、应用的可靠(服务器健康检查、HA收敛时间迅速保证应用业务的可靠)等方面充分保障高可用性。
安全部分
安全设计方面:防火墙实现网络层的安全保护、IPS实现基于应用层的安全保护、交换机实现基于设备本身的集成安全特性。该三重安全防护手段能够实现网络1-7层的全面防护。同时采用统一安全管理中心实现对数据中心的统一安全监控、分析、联动、抵御。
存储部分
H3C公司提供业界领先的IP-SAN架构,实现数据的集中存储,还能够实现对异构存储资源的整合。
企业园区内各企业信息系统众多,决策分析、数据挖掘等都需要基础数据作为依据,数据的保护相当关键,在传统的存储备份中,当主存储出现问题,备份数据恢复时间相当长,对于实时性要求非常高的生产企业,这个问题的解决就显得非常迫切。
CDP(Continuous Data Protection)连续数据保护,可在数据发生任何变化时将所有数据很好地保护起来。CDP技术能减少从灾难发生到数据恢复所需要的时间,满足系统可靠性需达到99.999%的严苛要求。
H3C公司CDP解决方案不仅涵盖了各类灾难保护(包括人为故障、病毒、软件故障、硬件故障等灾难),而且能够针对不同主机、数据库、存储的环境提供全面的数据保护。连续数据保护在出现突发意外中断时提供快速的业务恢复 (RTO指标) 并将数据丢失 (RPO指标) 降至最低,该解决方案旨在提供数据中心关键业务的业务连续性保障。
在线CDP解决方案中,如果发生误操作、病毒侵袭等事件,导致生产站点的数据错误,通过H3C存储设备上的时间标记功能回溯并快速恢复到前面某一时刻数据良好的状态点,这个过程只需要在H3C存储设备上轻点几下鼠标就可以快速完成,实现数据渐变式灾难的保护。
而在近线CDP解决方案中,由于在线存储通过H3C存储设备上的LocalReplication功能将数据备份到近线存储设备上,这样不仅可以避免误操作、病毒等“软故障”的破坏,而且还可以避免由于在线存储的硬件故障而导致的数据丢失或业务中断。
H3C公司还能够提供企业园区数据中心的异地灾备方案,通过基于IP网络的远程数据连续复制保护方案,可以实现数据零丢失,并且在主存储设备出现故障时10分钟内恢复业务;提供主备数据中心之间的数据同步镜像方案,当主数据中心的存储设备发生故障,可以在几十秒钟内自动将数据路径切换至容灾中心的存储设备,应用即恢复正常运行。
数据中心性能优化
引入业界一流的负载均衡设备实现业务服务性能的最优化、WAN优化实现下级单位/分公司对数据中心访问性能(带宽、响应时间等)的优化。
数据中心综合运维管理平台
实现数据中心的网络管理、安全管理、服务器管理、存储管理、应用性能管理,为用户呈现资源管理、业务视图监控、事件问题解决、用户行为审计等功能。
H3C以“数据服务”为核心的企业园区数据中心架构是一种真正面向数据的弹性架构,该架构能够可靠地保存、备份海量的数据,在面临各种硬故障、软故障时能够迅速恢复,减少数据丢失和系统宕机时间;并且能够有效地整合原有的、以及新增的存储资源,打破异构的障碍,提高兼容性,为上层业务提供统一的虚拟化存储空间;还可以根据业务发展需要,弹性扩展容量与性能,最大化保障企业投资。
IP统一通信
传统企业园区内单业务通信网络的独立分割的状态,语音电话网、视频会议网、计算机网络等都是沿着不同的技术路线发展而来,网络、终端、标准、协议、功能等都彼此不同,彼此的网络相互割裂,资源无法共享,各种通信模式无法互通,更勿论融合。
IP集合通信改变了企业园区分割的孤岛状态,利用当前的开放架构技术、应用软件技术、中间件技术、IP网络技术、协议控制信令技术、WEB技术等。基于目前广泛部署的IP网络,实现了音频、视频及数据等多种通信模式的融合;实时通信业务与非实时消息业务的融合;通信技术功能与办公及业务流程的融合。同时基于开放架构和标准接口,实现业务动态生成及部署。
企业园区网的监控部署,可以很好的预防企业生产和安防的事故的发生,更好的对现场进行远程控制;视频会议、IP语音服务等多媒体网络技术的应用,可以很大的节省企业的日常业务成本。
H3C iVS企业园区IP智能监控解决方案
企业园区的监控需求如下:
需要在企业园区的门岗和宿舍区设立监控点,企业园区保卫人员可通过电视墙或者监控软件客户端对这些区域的内人员的进、出进行监看;安装报警器在有意外发生时可及时的报警(如火灾);
需要在企业园区的公共场所设立监控点进行视频监视,并做录像记录。用于在遇到突发事件时立即防范或作为事后分析处理的客观依据;
出现情况时,可以立刻召开视频会议、电话会议,企业园区主管领导、公安局等相关主管部门可以在利用PC机实时观看、调用园区监控图像,进行远程分析、处理。
H3C iVS企业园区IP智能监控解决方案可以很好的满足上述企业园区监控的需求。 它由视频管理服务器、数据管理服务器、编解码器、网络传输设备、存储设备构成,由于它基于IP构建,系统中各个部件,都可以根据企业园区监控建设需求分布式部署并加以集中管理。
H3C公司的视频监控设备是以IP为基础,前端数字编码器将摄像机摄入的图像信号转换为IP网络信号,传输到远端监控中心。监控中心将通过数字解码器组成带有矩阵切换控制功能的数字视频矩阵,控制前端的摄像机,控制矩阵图像上电视墙,同时将上传的视频图像实时保存到存储上。
H3C公司的监控系统对外提供API接口,用户可进行二次开发,根据企业的生产的特殊要求,与MES生产执行系统结合,实现自动监控的功能。
企业园区IP语音服务方案
企业园区内各企业分布比较分散,利用已有得企业园区网络部署企业园区的基于IP的语音服务系统能够较大的降低企业日常办公的成本。H3C公司基于IP语音服务方案能够在继承传统语音、视频业务的同时,可以方便支持新的业务,如电话会议,语音信息,可视通信、统一电话目录服务等,使通信系统成为企业进步的驱动力。
通过IP集合通信,实现了企业数据、语音、视频系统的管理融合。通过一套管理系统即可对数据及语音的设备、用户及应用进行管理。由于是基于IP,具备很大的灵活性,企业的电话可以根据企业业务的发展及组织的变更灵活的扩充网络、调整号码分配方案。也可以支持企业员工的移动办公,员工的办公位置发生变化后,只需在管理软件上作相应的简单改变,该员工的号码不变。极大的方便了管理,降低了成本。
企业园区视频会议方案
由于视频会议采用的是通过企业园区网络进行图像、语音等数据的传输,可以很大的节省员工因为要集中参加会议而发生的相关费用,而且还能大大增加开会的次数,频繁进行沟通。
H3C视讯会议解决方案支持SIP和H.323双协议,其产品组合具有H.264、H.239双流、动态4CIF高清图像、VGA输入输出等方面视讯领域的最新特性,并且提供双机热备,负载均衡,跨网段会议等独创功能,最大程度上能够满足目前行业市场的组网需求。
H3C多媒体会议服务器支持纯语音终端接入,因此借助于VG系列语音网关就可以实现视频会议与传统PSTN网络的互通,使用户的固定电话或者手机也可以加入到视频会议当中来。
H3C企业园区视频会议解决方案的系统结构图如下:
H3C视讯会议解决方案包括多点控制单元(简称“MCU”)为核心、视讯终端、高清终端、桌面视讯终端软件等终端侧部件;通过MCU与终端协同工作,用户可以进行面对面的双向音视频沟通及资料分享,直接提升单位形象及竞争力。
MCU与终端侧设备相互配合可以满足企业园区用户各种网络部署及会议功能操作需要,具体功能特性体现为高可靠性,易用性,实用性,易维护性。高可靠性体现在采用了业内首创双机热备技术;易用性体现在简单易用的WEB 管理方式和支持多种会议控制模式;实用性体现在强大的双视频流传输技术、栩栩如生的多画面显示和灵活多变的全中文字幕,支持以级联方式海量扩容,先进的组播接收;易维护性体现在系统支持批量配置和强大的会议保障功能。
企业园区智能网络管理
企业园区智能网络管理(iMC)不光管理应用系统、数据系统,对于网络安全系统也要进行统一集中管理。
对此,企业园区智能网络管理方案应该包括从基础的设备管理延伸到人员管理、业务管理,并提供网络流量分析工具及日志管理系统,为企业园区管理者提供决策支持。
H3C企业园区智能网络管理应该以业务融合和业务流为主旨思想,实现用户、资源和业务三大网络要素的融合管理,具备以下功能:
基础资源管理
可以基于全网的QoS、ACL、VLAN、QinQ等策略的统一部署、管理和调配;实现集群HGMP管理,IPv6设备管理,路由器、交换机、安全、语音、存储、SOHO等公司全线产品的网元管理以及桌面和网络资产的统一管理;为业务融合、资源调度和自动化协同响应提供必要手段。并为用户提供了灵活的组件化结构,用户可以根据自己的管理需要和网络情况灵活选择需要的组件,真正实现“按需建构”。
身份与接入管理
支持LAN、WAN、WLAN、VPN认证接入,实现接入业务的统一、集中管理;支持智能卡、证书、RSA双因素密码等强认证功能,支持多种方式的端点准入控制和基于身份的网络服务,实现用户与资源和业务的融合管理。
端点安全准入管理
在身份接入基础上,支持终端安全准入控制,支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等,预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素可能带来的安全威胁,并可根据终端的安全状态实现终端下线、隔离、提醒、监控等多种控制策略。从端点接入上保证每一个接入网络的终端的安全,从而保证网络安全。
VPN管理
可以封装不同VPN业务底层协议,实现对IPSec+L2TP VPN、SSL VPN、MPLS VPN的统一管理,融合端点安全、用户接入和应用分析,实现从VPN业务部署、用户接入到业务监视的全流程管理。
网络智能分析
可以通过故障根源分析、SLA分析等基于规则和策略的深度分析,直观展示网络运行状态,快速定位故障源,协助优化网络结构;通过流量异常检测、网络安全事件的集中管理和基于资源管理平台的协同响应,提高风险识别的准确度、快速响应安全威胁。
可在最大限度减小对路由器/交换机性能的影响的前提下提供详细的数据流统计信息,为用户准确把握网络运行状态,实时发现网络异常情况并进行处理提供了强大保障。同时,应该提供网络日志审计系统,可完成用户上网日志管理,实现网络使用的可追溯性,保证网络和用户信息的安全,并可为合理的网络规划提供重要的参考。
IToIP企业园区网解决方案愿景
为适应企业信息化未来发展的需要,H3C在2007年继续维持研发的高投入,针对企业行业进行了大量理论研究、标准制定、技术攻关、产品研发及大型网络环境的验证等工作,继续完善基于IP的企业园区网络平台、数据服务中心、媒体服务中心和智能管理中心全面融合的IToIP企业园区网解决方案,携手各企业共同将信息化工作提高到一个新的、划时代的水平。 |