发表于2017-11-07 13:23:35
问题和挑战
集中监控管理系统主要针对企事业单位机房,变电站(所),银行金融机房,移动基站,各种仓库等无人值守区域。其监控需求如下图:
现场监控单元拓扑
解决方案
系统多级拓扑
监控对象
对机房内重要设备的供电情况及各项电量参数监控,保证电力正常供给,做好数据和历史记录,方便维护人员对电量参数统计分析和检修,出现异常时及时通知工作人员。
保证重要设备工作在适宜的环境(温度、湿度等)内,并对空调等设备的运行状态进行监控。当设备超出运行条件或不正常工作时,发出报警。
对无人值守区域进行安全保卫,降低偷窃事件的发生,使之不受外界人为破坏干扰。
利用声光报警、红外防盗、视频监控、智能门禁等技术进行安全保卫。
监控内容
利用声光报警、红外防盗、视频监控、智能门禁等技术进行安全保卫。
软件拓扑
系统功能
告警管理中包括告警实时浏览刷新;多级告警机制,声、光、色告警提示;按告警等级、设备类型等统计,统计条件自定义;告警信息查询;历史告警归类记录
曲线管理实现实时及历史曲线查询并可以作为故障分析参考
报表管理中实现统计报表查询,用户可以自定义报表
用户管理是基于角色的权限管理,采用群组模式分片区、分部门等权限分配,具有多级密码管理,控制命令密码确认等功能
门禁管理包括具有门禁相关的各种权限管理,门禁对应人员授权并进行联网或独立工作;门禁管理中对应人员可以查看刷卡开门信息记录、脱机卡及脱机记录存储,进行远程开门或关门
视频监控可以进行现场实时监控及联动抓拍、支持告警联动、告警录像等、可外接视频服务器或硬盘录像机、灵活设置监控画面,支持云台控制
系统优势
具有动力监控、环境监控、防盗监控、门禁监控、视频监控、WEB浏览、本地短信或电话报警、等功能,模块可以灵活扩展
报警阀值判断工作交由监控主机完成,配置好相关参数后软件关闭整个系统仍可正常工作
-脱机上传监控主机可保存脱机期间发生事件,设备重新联网后将主动上传至监控中心
系统脱机仍然可以进行正常工作
可根据不同功能需求进行灵活的设备升级,升级期间不会影响系统运行
-协议升级支持新智能设备协议的远程升级,可满足后续不同智能设备的添加,一次投资,终身受益
可根据其他软硬件设备提供的通信协议,将其他设备集成到中国普天动环监控管理系统
-第三方集成中国普天动环监控管理系统软件可提供第三方集成接口,用于其他系统集成本系统的数据和报警
系统可对相关设备或子系统实现全自动化联动控制(譬如消防系统报警后,自动切断电源,控制门禁开启,邻近摄像机录制现场画面),提高设备、子系统运行效率,避免人为延误操作。
发表于2017-11-07 11:56:36
问题和挑战
随着信息技术的迅猛发展,大数据、人工智能等技术的崛起,数据可视化扮演着越来越重要的角色,互联网时代中网民的很多行为都可以称之为相应的数据,他们的数据的变化代表着市场上的需求和走向,而谁能够掌握这些宝贵的信息资源,谁就掌握了真正的市场需求,利用这些数据进行数据可视化将会让数据发挥更有价值且更加直观的展现。数据中心管理的基本问题包括: 我们有哪些设备? 我们的设备在哪里? 这些设备的基本信息是什么? 这些设备的关系及运行状态如何?
数据中心管理端对端可视化视图能够很好的解决这些问题。
解决方案
可视化管理功能
可视化资源管理
可视化业务运营
在线模型库
技术特点
运营商案例分析
功能范围:
环境可视化、资产可视化、容量可视化、监控可视化、配线可视化。
应用效果:
原业务部门原来只能简单的向准客户介绍IDC,发送IDC机房图册等手段,现在可以通过浏览器远程展示IDC的园区三维实景,机房内的构造,动环等保障系统,网管监控等等,全面、形象的介绍IDC所有物理上和逻辑系统上的优势,增加准客户的好感和认可度,提高IDC业务签单成功率。
发表于2017-08-17 11:42:32
需求分析
一、运营商的运维需求:
●运营商的数据中心是业务的基础核心,面对数量庞大、复杂的多种设备与系统,而负责运维的人员数量与工作量又不成正比,这些问题经常困扰每个运维人员。
●机房环境出现问题从而影响设备的正常运行,我们如何提前预防?
●设备某个组件告警,在庞大的设备群中如何发现并定位精确位置?
●数据库连接出现中断,如何快速定位中断原因?
●从机房环境到业务运行状态如何实现可视化?
●关键业务流量的深度监控如何体现出来?
●如何了解客户的使用体验,是否可以用数据体现?
●多种业务流量模型如何定制化展示?
二、金融行业的运维需求:
●金融交易系统出现短时间(毫秒级)的交易故障,进行排查时发现网络正常、安全策略无异常、服务器无告警、应用无异常日志,故障就这样变成了一个黑洞,类似的问题我们运维人员经常遇到。另外,还会遇到一些其他问题。
●网银交易失败,如何快速准确的定位故障产生点?
●故障发生后,如何回溯故障产生的细节?
●业务访问速度慢或访问量突增如何找到具体原因呢?
●业务应用响应慢,如果找出原因?
●业务应用会话超时,如何找到具体原因?
●如何提供端到端的可视化智能分析?
●日常需要提供各种分析报告,如何快速提供合适的报告?
解决方案
运维系统需要智能化的解决方案。我们经过多年的创新研发和实际经验积累,结合一些全新技术,例如智能学习、智能工作流、3D虚拟仿真、大数据分析等,提供一个完整的、端到端可视化的运维平台,涵盖了机房运维,设备运维、系统运维,应用运维、数据库运维、虚拟化/大数据运维、监控运维等智能化运维的方方面面。
我们的运维方案,由基础架构运维、业务应用运维和数据库运维三部分组成,每个部分既可以独立部署,也可以组合在一起。所有组件的部署不需要改变现有架构,主要通过串行或旁挂方式,实现从物理环境到逻辑架构一体化的运维能力。
●基础架构运维:
方案提供包含机房环境、云基础环境、网络/主机设备、虚拟化层、操作系统的监控和管理。通过三维可视化建模,模拟数据中心的实际环境,使用立体图形展现机房内所有设备,从而实现环境/资产/容量/管线等基础设施的可视化,以及系统配置/应用架构/业务交易/系统平台/监控分析等IT构架的可视化,并最终实现资源管理及业务运营的全可视化的运维管理。
●业务应用运维:
方案提供业务应用的端到端性能保障和可视化,可以发现问题并定位问题域,通过智能探针技术和大数据分析可快速追踪故障原因。从用户开始访问到结束交易,提供所有环节的数据采集,并进行统一分析,保证全局网络和应用端到端的可视性,可以快速智能隔离问题域,并能够追踪故障根源。
●数据库运维:
提供数据综合分析、大数据处理和分布式数据库的统一配置管理、监控数据库状态、优化数据库参数等功能,在分布式数据库环境下为应用提供集中式数据库的操作体验,为海量数据、海量用户、高并发、高性能和高可用的业务系统提供智能化监控和预警。
核心技术
●高性能、高可扩展的三维可视化技术,支持几千个主流厂家设备的三维模型,可快速生成三维场景,并且通过跨平台三维引擎,让信息以视觉方式呈现,允许从任意终端、任意时间、任意地点、任意视角查看任意信息;
●覆盖全业务层面的智能探针、大数据趋分析及故障预测技术,可智能化预测系统运行趋势,提前发现故障,由被动式运维变成主动式运维;
●高性能的数据库中间件技术,实现对于传统数据库或分布式数据库的监控和加速。
客户价值
问题定位:毫秒级的数据采集与分析,可以提供实时优化业务性能,提高核心业务KPIs;通过存储完整的业务流量,可以灵活回放业务故障产生原因。
故障分析:智能化构建业务逻辑拓扑,便于日常业务梳理和故障排查;采用大数据分析技术,预先感知业务流的服务状态,实现主动运维;通过完整业务session的一体化分析,降低运维技术难度,提高业务服务水平。
图形化呈现:··图形化呈现:完全可视化的立体建模技术,直观生动展现所有内容;提供从机房环境到应用代码之间的各个环节的图形化展示,提供运维效率;
发表于2017-08-17 11:08:48
需求分析
信息系统的攻击正在呈现快速增长的势头,利用网络传播有害信息的手段日益翻新。《中华人民共和国网络安全法》于2017年6月1日起实施,其中第21条明确“国家实行网络安全等级保护制度”,第31条明确“国家对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
因此,企业需要第三方权威机构通过采用先进的安全技术对各类网络信息业务进行实时的安全监测和可信认证,从而实现对于信息系统的安全保护。而实现网络相关的安全等保要求,以下几个方面的技术需求是必须满足的:
●边界防护能力:是否能够对非法外联进行定位、阻断,对于入侵进行检测和报警,对于恶意代码进行防护;
●访问控制能力:是否能够对于用户的数据包头信息、会话信息、应用层信息进行过滤,对于设备的接入做一定的限制;
●身份鉴别能力:是否具备两种以上的身份鉴别技术,满足鉴别信息的复杂度要求,并且可实现特权用户的分离;
●安全审计能力:是否能够对于设备运行情况、网络流量进行记录,同时对这些记录进行分析并形成报表,是否对审计系统也实现了安全保护;
●网络处理能力:在网络安全基础上,是否能够保证重要业务的优先级,满足业务极限时的性能要求;
解决方案
网络安全等保解决方案是遵循国家安全等级规范,在各安全域(互联网接入区,DMZ服务器区,内网服务器区,核心交换区,安全管理区和数据交换区)之间采用相应的安全防护手段进行有效的隔离,并对各安全域的进行有效的整理和归并,减少接口数量,提高安全域的规范性。为了满足网络等保三级的要求,分别从七个方面实现安全控制和管理,分别为:
●网络总体结构安全
●接入访问控制
●网络设备防护
●安全审计
●边界完整性检查
●入侵检测和防护
●恶意代码防范
满足等保三级要求的具体技术实现方案如下:
●边界防火墙:部署在区域的边界,对进出区域的访问和流量进行控制;
●WAF网页防护:为网站提供不间断的监控与保护,有效的保障网站的完整性和真实性,帮助用户解决面临的WEB攻击(跨站脚本攻击、注入攻击、缓冲区溢出攻击、Cookie假冒、认证逃避、表单绕过、非法输入、强制访问)、页面篡改(隐藏变量篡改、页面防篡改)和CC攻击等安全问题;
●流量负载均衡:实现多条链路的流量负载分担功能;
●网闸:通过专用安全设备实现流量的单向访问;
●上网行为管理:主要对P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。利用智能流控、智能阻断、智能路由等技术,配合创新的社交网络行为管理功能、清晰易管理日志等功能;
●未知威胁防护:通过对APT的核心攻击过程(未知病毒、未知恶意代码、特种木马、未知漏洞(0day)利用)的精确检测,实现对APT攻击的发现;
●入侵检测防御系统:监视网络或网络设备的网络资料传输行为,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为;
●数据库审计:采用最为先进的多核、多线程并行处理及CPU绑定技术及镜像流量零拷贝技术,采用黑盒逆向协议分析技术,严格按照数据库协议规律,对所有数据库的操作行为进行还原,支持请求和返回的全审计,保障数据库访问的安全性;
●虚拟防火墙:可以灵活部署在VM或服务器上的防火墙软件;
●虚拟负载均衡:可以灵活部署在VM或服务器上的负载均衡软件;
●服务链:通过安全服务链对虚拟机东西流量、南北流量进行安全保护,提供给用户安全、快速、稳定的网络服务。
●防病毒网关:实现病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能;
●漏洞扫描:漏洞扫描主要包括系统漏扫、web漏扫和数据库漏扫,其中web漏扫主要面向对DMZ服务器区域的web服务器漏洞进行发现和扫描,系统漏扫和数据库漏扫主要针对内部服务器区的重要应用和数据库进行安全检查与风险评估。
●日志审计:包含包括信息采集、信息分析、信息存储、信息展示等功能;
●安全认证:终端部署主机监控与审计系统准入安全控制模块进行用户接入内网双因子认证,通过CA系统统一签发证书,实现用户的身份认证和用户身份做鉴别,保障访问的合法性;
●堡垒机:提供安全风险态势呈现、安全业务快速部署、安全分析和审计、安全响应和报告等,配合各类安全设备及风险评估系统,实现企业对信息安全系统自适应、可扩展与整体交付的需求;
●安全运营管理平台:实现所有安全事件的统一预警与故障处理。提供了自动发现应用、应用监视、应用拓扑、主机监视、分类监视、应用分组等功能,同时拥有丰富的报表功能。
核心技术
●信息安全风险评估:可以通过风险评估、合规性要求、最佳实践、差距分析,识别信息安全需求,结合现状评估结果,针对信息安全管理对象所面临的风险进行识别、分析和评价,描述风险状态,为信息安全活动提供方向,提供持续改进的依据。
●服务链:服务链是支撑虚拟化、业务网络可编程的关键,基于overlay技术实现,结合SDN集中控制的理论,由VCF controller进行全局控制,实现虚拟网络流量和多种类型网络服务资源池的有序关联,满足虚拟化数据中心网络对网络服务的差异化需求。而在等保技术中,为了实现对于虚拟机东西流量、南北流量的安全保护,以及当虚机迁移时,实现灵活且完整的安全策略的迁移和部署,服务链技术是必不可少的。从而可以确保为用户提供安全、快速、稳定的网络服务。
客户价值
●强大的边界防护能力:采用多种手段对于非法外联进行定位、阻断,通过入侵检测实现恶意代码的实时防护;
●智能且精细的访问控制能力:利用智能流控、智能阻断、智能路由等技术,实现用户行为精细化识别和控制;
●多维度身份鉴别能力:支持双因子认证,实现用户的身份认证和用户身份做鉴别,保障访问的合法性;
●360°安全保护,实体机虚机一个不能少:通过信息安全风险评估、结合安全域策略划分,以及服务链技术,实现对整个网络业务系统包括实体主机/虚拟主机的东西流量、南北流量进行全方位安全保护;
●完善的安全审计能力:采用专用的审计设备对设备运行情况、网络流量进行记录、分析和报表汇总,审计系统本身的实现了安全防护;
●卓越的网络性能保障:保证重要业务的优先级,满足业务极限时的性能要求。
发表于2017-08-17 10:40:18
需求分析
随着企业信息化建设的不断深入,企业数据中心作为企业信息系统的运行中心、测试中心和灾备中心,承载着企业的核心业务运营、信息资源服务、数据存储和备份,以及确保业务连续性等重要任务。企业必须能够优化计算、网络和存储资源之间的关系,实现真正的灵活部署及弹性扩展,才能支撑起IT瞬息变化的需求。如何最大限度的利用能源、降低功耗,以最有效率方式实现高性能、高稳定性的服务是新一代的企业数据中心必须考虑的问题:
●业务变革提升了对IT系统的要求,传统IT技术无法满足日益增长的动态需求;
●需要提供稳定可靠的IT环境,保证业务高可用性及业务连续性;
●数据中心作为企业IT系统的核心,信息安全更加受到关注;
●庞杂的系统导致运维效率低下,各种存储、计算资源难以共享。
解决方案
新一代企业级数据中心解决方案实现了企业IT资源最大程度的整合,集成了数据中心的计算、网络、存储、虚拟化、云操作系统、运维安全等软硬件平台,实现了虚拟数据中心、私有云、高性能计算、云灾备、云安全、云运维等,让客户的传统数据中心顺利升级。
在新一代企业级数据中心体系架构中,基于业务的虚拟化设计架构,按需配置、易于扩展;通过网络与服务器等多种虚拟化部署方式,改善业务部署模式,实现动态架构,提高信息化平台的性能,从而实现企业业务运行的IT环境快速准备的能力。
超融合架构改变了多个设备种类和分散布局不便于管理的现状,提供针对整个IT架构平台的管理、监控和防护方案,实现检测预警机制,为安全可靠运行提供保障。
新一代企业级数据中心解决方案具有如下特点:
●面向服务:将整个IT体系架构,从底层的基础设施、应用开发和运行的平台,到业务软件,甚至支持企业运营的业务流程,均作为一种服务,随时随地按需交付。
●模块化:快速部署、扩展性强、更高的空间利用率、降低投资成本、灵活性高、可移动等方面,有效解决了传统数据中心建设周期长、一次性投入大、能源消耗高、不易扩展等问题。
●自动化管理:数据中心的自动化运营,它不仅仅包括监测与修复设备的硬件故障,还包括实现从服务器、存储到应用的端到端的系统设施的统一管理。
核心技术
SDN:以控制和转发分离思想为基础,各种南北向开放接口为手段,从整网全局角度对异构网络设备进行逻辑抽象形成统一的资源池,再进行集中控制和调度,从而使网络更加灵活智能,弹性扩展,随需而动。
●虚拟化:采用裸金属架构,实现对数据中心内的计算、网络和存储等硬件资源的虚拟化管理,对上层应用提供自动化服务,聚焦底层虚拟化技术,构建稳定高效的IaaS基础架构;
●超融合:集成vSwitch、vFW、vLB、vIPS,单一硬件承载计算、存储、网络超融合,实现了全基础架构的软件定义技术,提供深度安全防护,相比传统系统部署效率提升50%;
●服务链:服务链是支撑虚拟化、业务网络可编程的关键,基于overlay技术实现,结合SDN集中控制的理论,由VCF controller进行全局控制,实现虚拟网络流量和多种类型网络服务资源池的有序关联,满足虚拟化数据中心网络对网络服务的差异化需求。
客户价值
●通过虚拟化技术,将数据中心的服务器、存储、网络、安全等资源进行池化,提高资源利用效率,使数据中心能够灵活扩展、动态调度,大大缩短业务上线周期;
●以超融合构建的分布式IT架构,实现平台特性的可编程化,建立从底层数据、平台虚拟机以及到上层应用立体式高可靠、高安全;
●采用经典的分区分域防护理论,重构数据中心的安全架构,除了在南北向实现了大流量的纵深防御外,还实现了区域间和云环境的安全防护;
●通过数据中心的统一运维管理平台,分权分域运维,提高运维效率。
发表于2017-08-17 10:34:22
需求分析
传统大型企业网络结构较为单一,属于典型“纵横”结构。“纵”指的是从总部到各省、市、县等区域分部的业务体系;“横”指的是在各省、市、县等区域内,各个分部之间的业务体系。各业务部门相互独立,按自己体系沿着‘纵’线独立建设全国性专网,实现业务纵向互通、横向隔离,这种类型的专网一般包含办公网,财务网和视频网等应用网络。这种单独建设业务专网的思路会产生如下问题:
●重复建设,上线周期长
各部门重复建设跨区域互联网络,网络设备、运营商链路资源利用率低,建设周期长
●缺乏冗余
设备资源和链路资源较少,发生故障后无法实现快速迁移
●流量调度难,缺乏灵活性
部门之间网络独立,流量调度难,无法动态适应网络状态和应用需求的变化
●管理分散
每张专网都有独立的维护人员,管理分散,横向沟通不够顺畅
●网络开放能力弱,无法适应业务对网络的要求:
设备复杂,网络封闭,可编程能力弱,无法满足业务快速部署和灵活定制需求
解决方案
建设一张基础骨干网,通过MPLS VPN技术构建业务专网,承载不同业务,同时应用SDN技术,实现骨干网的控制和转发分离,基于这样的建设思路可以很好的解决以上问题。
整个骨干网可以分为两个层面进行规划和建设:
●业务控制层
业务控制层采用ADWAN网络架构。网络设备接收 SDN 控制器的控制和管理,除了传统的 SNMP 、NETCONF、命令行等方式外,支持SDN架构下的BGP-LS、BGP Flowspec、PCEP、Openflow等协议,和控制器进行通信;同时在转发层面进行优化,支持Segment Routing、Openflow硬件转发,提供高性能的转发平面。通过调用APP提供的API接口,实现业务的策略定义和管理编排,全网的实时监控、可视化呈现、及故障排查等,进而增强网络的可视化,简化网络的运维管理。
●数据转发层
纵向分析:
将路由器根据国、省、市3各级分别规划P、PE、CE路由器。根据业务节点情况,选择若干个相对集中的业务点作为本网络国家核心节点,建设P路由器,各省出口建设PE路由器并就近双上行到P路由器。各P路由器全连接,去任意一个其他P节点仅为一跳,部署MPLS,利用标签特性实现高速转发。各地市建设CE路由器连接至本地PE。
横向分析:
各省根据自身业务情况在 PE 上每个业务建立一个VRF,实现各业务之间的隔离。各省PE与RR之间建立IBGP,通告本地业务路由。各PE在接收远端路由时,可需求选择性的接受自己所需要的路由,最终实现全网同种业务可达,异种业务隔离的目的。
核心技术
●SDN
SDN(软件定义网络)作为目前最热门的思想和技术,已经在数据中心、园区网等领域得到广泛应用和规模部署,使网络具备灵活编程、动态感知、及自动编排等能力,从而快速满足不断变化的应用需求。
ODL(OpenDaylight)是目前参与度最广的领先的开源控制器平台,已经在数据中心网络广泛应用。本方案采用ADWAN架构,ODL做为控制器基础平台进行定制开发,将ODL控制器移植到广域网领域,使其成为广域网SDN方案的控制器平台。为满足用户不同场景下的应用需求,定制开发的各类APP通过控制器REST北向接口管理、监控、展示用户网络业务流。控制器根据用户需求定制各类的规则,通过控制器Netconf南向接口下发到转发层设备灵活调度流量、控制转发。
●MPLS VPN
基于BGP4的MPLS VPN技术是一种运营级的VPN技术,实现在同一张IP网络网上承载多个相互独立的VPN的需求。传统MPLS VPN通过流量工程实现流量调度,但其实现需要在沿途各跳做相应修改,配置复杂不利于运维,无法满足业务快速变化带来的流量调度需求。通过引入SDN控制器,使其具备可编程性。根据业务流特性准备调度模版,一键下发调度策略,简化运维难度,灵活调度流量。
客户价值
●降低成本:网络分层建设,结构清晰,一张网代替多张网,避免不同业务跨省建网带来的重复投资,也降低了运维成本;
●高可靠性:链路和设备均有冗余,链路或节点故障后实现快速切换,加之SDN的灵活调度,提供网络可靠性保障;
●业务隔离,调度灵活:MPLS VPN可以在保障业务专网隔离的基础上,动态调度网络资源,适应网络状态和应用需求的变化;
●运维简化:全流程重构广域网,整网视角进行管理和控制网络,简化运维管理;
●网络开放性:接口开放,赋予网络灵活的可编程可定义能力,能够让应用很容易的使用网络服务;
●实现业务驱动型网络服务:基于业务应用的不同需求动态部署安全、WAN优化、CDN缓存等,提供端到端的网络服务。
发表于2017-08-17 10:21:37
需求分析
在移动互联需求日益增长的大背景下,对于大型商业综合体以及大型园区的无线网络建设要求也随之越来越高,既要在最小的投资成本和最短的时间周期内完成网络建设、保证网络的高性能以及高可靠性,又要简化后期的管理操作流程,这给每一个大型商业综合体或者园区的IT人员带来了巨大的压力。在此基础上,如何能提供更多基于场景化的增值服务,并能从用户上网行为中挖掘到有用的数据,这又是大数据时代摆在商业综合体或园区运营部门面前的新课题。因此,作为一个成熟且领先的商用WIFI解决方案必须能够满足这些需求:
●能够简化AP设备的管理,在跨地域、多场景、多用户情况下,实现云化的管理方式;
●能够提供稳定可靠的无线网络环境,保证业务高可用性及业务连续性;
●无线接入作为终端数据传输的第一步,能够确保用户信息的安全;
●能够支持提供多样化的认证方式,满足微信吸粉等商业增值需求;
●能够通过对于用户数据的挖掘,提供客流数据的分析,帮助商户/租户制定营销策略。
解决方案
普天翼云商用WIFI解决方案由智能无线一体化AP和云管理平台两部分组成,为大型商业综合体和园区提供安全、便捷、高速、可靠、增值的商用无线服务:
●智能无线一体化AP能够快速灵活地部署于多种场景(如购物商城、咖啡厅、机场、学校、景区、图书馆、办公楼等),支持802.11n、802.11ac、单频、双频、室内、室外等多种AP型号,并且支持多种无线加密手段,为客户提供一个安全可靠的无线网络环境。
●云管理平台由四部分核心组件构成,分别是云AC、云认证、云探针和云分析引擎。这四部分组件可以灵活组合,按需配置;即可以部署在云端,通过广域网实现对于跨地域、多用户、多场景的统一管理,也可以根据用户的需要部署在企业本地IDC,实现对于单个商业综合体或园区的专一管理。
●普天翼云解决方案的用户认证方案非常灵活,支持包括传统的密码输入、微信一键连WiFi、微信强制关注公众号连WIFI、二维码认证、短信认证、AD域认证等多种新式的认证方式。
●云化的管理平台简化了AP的部署流程,无需进行复杂的现场配置,只需要现场通过简单的几步配置后,会自动从远程下发配置。同样的在后期运维管理时,管理人员只需要登录我们的云平台就能掌握所有AP的运行情况。
核心技术
●高可靠的云化AC管理协议
普天翼云在控制平面采用标准的CAPWAP加密协议,保证了控制层数据的安全、稳定和可靠。对比市场上商用WIFI较多采用的https协议,CAPWAP协议是专用的企业级WIFI管理协议,具备更强大的功能和更好的稳定性及安全保障。我们对于该协议做了进一步的扩展,使之可以满足云化AC的管理和部署,这对于对于商业综合体与园区的场景尤为必要。
●智能探针和云分析引擎
普天翼云采用独有的智能探针和云分析引擎技术,实现用户数据的挖掘,为用户提供多维度数据采集及大数据分析,并生成相应的图表。智能探针部署在AP端,可以时时的扫描并感知经过的移动用户终端,并将数据发送给后台的云分析引擎,通过数据整理和挖掘算法,最终提供多样化的报表。
客户价值
●即插即用,快速部署,提升对业务需求的响应速度:采用一体化AP模式,配置方便简洁,统一由云管理进行配置模版下发;
●提升管理能力,降低运维成本:通过云平台,实时的统一管理跨地域、多场景的AP,对所有营业范围内的无线设备的运行情况一目了然;
●多样化的认证及个性化的认证页面定制,为品牌租户提供更多的广告推广渠道;
●客流数据获取与分析,帮助品牌租户发掘用户数据价值,实现网络数据的价值变现。
●深度融合网络安全,更加提升了用户的消费体验。
发表于2017-08-16 17:29:39
需求分析
提供优质教育是每个学校的使命,而教育的信息化程度直接关系到教学质量。通过建设、应用教育云学堂,可以共享优质数字教育资源,提高教育教学质量,帮助所有教师和学生平等、有效、健康地使用信息技术,培养学生自主学习、终身学习能力。建设教育云学堂,需要满足教育信息化的多种要求:
●要求实现教师和学生的统一身份认证和“一站式”登陆;
●需要统一的“课程资源体系”,能够构建专业化基础资源,如动画教具、微格课例、多媒体教学素材、专题教参、教学案例等,也能够构建本地化生成资源,如教学设计、教案、学案等;
●如何满足高并发数量下,教育云桌面的部署和响应?
●必须打破教学与科研的时间空间限制,实现随时随地的教学,满足学生随时随地通过移动终端接入课堂的要求;
●教学资源数据的安全性如何得到保障?
●计算中心(网络中心)的维护力量有限,云学堂系统需要能够减少维护教育信息系统的人力开销。
解决方案
教育云学堂解决方案,采用多层架构设计,通过规划清晰的功能实现平台服务。包含5个层面:
●网络基础设施及硬件平台:是整个在线学习系统的物理基础。
●信息资源层:要完成各种数据资源的存储和备份管理,主要数据资源包括课件资源、学生数据、学习数据、考核数据、管理数据以及其他资源等。
●服务支撑层:则是整个系统服务应用的基础,由多个基本模块对在线学习系统予以基础性的底层服务支持。
●应用层:是对各级学生、教师以及管理员等系统角色所能运用的具体功能,由于对不同角色应用功能不仅相同,所呈现的功能与角色的权限分配密切关联,所有应用均由管理员进行配置。
●门户:是对用户统一身份认证和“一站式”登陆,并呈现各级角色应用功能的系统入口。
教育云学堂解决方案,不仅可以解决当前传统上机教室的种种难题,并且极大程度地简化了运维的复杂程度,每位任课老师都可以轻松的控制上下课。
●借助服务器虚拟化技术的底层支持,通过平台预制的基础操作系统模板,根据不同的课时定制多个课程模板,在10分钟内,能够一键推送超过120个云桌面;
●上机授课不再局限于上机教室,学生或者教师可使用PC机、客户端或者其他移动设备访问自己的桌面,在阶梯教室、在教学楼都可以随时进行上机授课和学习;
●云课堂自带IP地址管理功能,上机教室管理员无需再花费时间更新IP地址更新列表,云课堂会自动配置云桌面的IP地址;
●教师在上课时,只需一键即可统一完成整个教室的上下课,无需担心学生在上课前进错系统,提高上课的效率。
●采用独创的超载技术,能够创建数倍于服务器承载能力的云桌面个数,从而提高硬件设备的利用率,降低硬件购置费用
●教师在上课时,只需一键即可统一完 于服务器承载能力的云桌面个数,从 御病毒的侵袭,并且阻断病毒传播的途径
●采用独创的安全区技术,能够有效防御病毒的侵袭,并且阻断病毒传播的途径。
核心技术
●RVM资源虚拟化平台是本方案的关键,实现了服务器资源池的配置管理。其核心是基于Xen体系开发演进的,比应用同一体系的阿里云和盛大云运行更加稳定,性能比两者高30%左右。实现了把众多异构的服务器整合成一个高效的资源池,同时提供动态的资源按需分配,及自主回收闲置资源;
●基于多年的教育行业经验积累,我们特别针对教育云应用开发了相应的教育云并行计算模型算法,可极大提高读写IO能力,提升用户体验。
客户价值
●通过统一的认证平台,实现一站式登陆,提高访问便捷性,通过端到端VPN加密提高访问的灵活性和安全性;
●通过高性能且灵活化的资源虚拟化管理平台,实现多维度资源的重构,包括统一课程体系资源、专业化基础资源、本地化生成资源;
●简化云桌面部署,通过模板批量生成云桌面,通过加速并行算法,大大提高效率,改善用户体验;
●采用B/S架构,支持多种终端接入,满足随时随地接入需求,用户使用简便快捷;
●数据集中管控和存储,保障数据安全,简化数据备份和灾难恢复步骤,防止数据丢失;
●实现云平台架构,统一管理集中配置,能够极大提高运维的效率,降低维护工作量。
发表于2016-11-25 16:57:33
方案背景
计算机已经普及化在学校的教学中,计算机教室的主要应用场景为:信息技术课、各类专业课、各类考试等。但是,计算机教室在设备管理维护、上课过程管理、设备投资、节能环保等方面还有诸多问题和不足。
问题和需求
● 维护麻烦:尽管有还原卡等技术的支持,但是无论是安装系统、还是更新软件都需要逐台完成,费时费力;
● 使用不便:每次系统环境的切换,比如从上课切换为考试场景,需要全部设备重装或者逐台进行设置,容易出错,且耗时很长;
● 教学与考试难以兼顾:即使采用虚拟桌面技术降低维护成本,但是普通的ARM终端并不能很好的支撑各类考试,特别是针对网络或者服务器故障的异常情况时,考试过程将完全中断,影响巨大;
● 缺少控制:如何在课堂上随时提交作业、如何防止学生上网、游戏、娱乐等方面缺少很好的控制手段;
● 成本控制:设备使用过程中每年还需要较高的电费和维护费用,使用几年后只能完全淘汰。
华三云学堂解决方案:同样的计算机机房 不一样的体验
完美兼容教学与考试需要
● 通过X86架构+混合计算技术,实现应用软件云端和瘦终端本地同时运行,并且兼容各类Windows软件;
● 满足学业考试、ATA考试等特殊需求,并且在断网、服务器故障情况下依旧可以完成考试;
方便的维护 简单的操作:
● 对于机房的维护工作,比如装系统、装软件、从一个系统环境切换到另一个系统环境、设备故障后的修复等,云学堂一次操作即可完成,完成时间只需要几分钟;
● 对于机房的日常使用,比如上课过程的管理、学生纪律的管理、学生作业的提交等,云学堂可一键实现,老师使用起来非常简便。卓越的性能 3D也流畅
● 对于教学过程中的重载型应用,比如AutoCAD 3D制作,Photoshop图形化设计等,流畅运行;
先进的架构 国内最好的虚拟化
● 根据场景定制化设计,通过服务器虚拟化+学生终端优化整体架构,通过操作系统优化提升性能;
● 基于H3C服务器虚拟化CAS平台,SPEC性能测试第一,国内使用率第一,国内最好的虚拟化平台
发表于2016-11-25 16:48:00
解决方案概述
考虑到基于IP技术的信息技术、通讯技术和存储技术日趋融合,结合加油站的业务需求和建设原则,H3C为加油站建设提供了融合的IToIP解决方案以及个性化的服务,帮助用户构建一个统一的开放平台,最终帮助用户实现业务的个性化要求。
H3C加油站整体解决方案由五个平面构架而成,涵盖了基础网络平台、综合安全平台、多媒体通讯和监控平台、智能网络管理平台、数据存储平台,其中基础网络平台实现了“互联互通,标准开放”;综合安全平台和智能管理平台实现了“深度防御、数据无忧”;数据集中存储实现了“管控一体、集中处理” ;多媒体通讯和监控平台实现了“媒体服务,统一融合”。
基础网络平台
加油站与地级前置系统通过拨号网络连接,将加油交易数据每天定期通过地级前置系统,上报到省级或总部数据中心,交易数据定时上送。数据承载方式有两种:
方案I:在PC上可以采用SSL VPN或IPsec VPN的拨入方式,PC外接ADSL Modem通过Internet与地市公司中心的VPN网关之间建立VPN隧道,办理业务。
方案II:加油站采用多台PC或Win终端,所以首先使用VPN的LAN口交换机在网点构成一个小型局域网环境。安装网点硬件VPN网关产品,连接ADSL Modem拨号到Internet,网点硬件VPN网关产品与中心硬件VPN网关之间建立VPN隧道,加油站网点所有终端或PC可以办理业务,汇聚到地市公司。
综合安全平台
传统的加油站解决方案有从安全的角度来看有两方面有待完善和改进:
终端使用的安全:主要是指上传数据终端的安全与控制问题,以保证是正确的、安全的终端上传的数据。
数据访问的安全:主要指数据流传递当中的安全性问题,保证上行数据流中没有相关病毒、网络攻击等流量,降低网络压力和安全性隐患。
针对存在的相关问题,H3C提出了网络改造优化的方案。主要关注网络安全性与运行维护中的管理简便性等方面,希望通过对于基础信息网络的优化与改造,能够有助于企业的商业目标的实现。在整个网络架构上主要通过两种方式优化现有网络架构,网络中插入防火墙、IPS等安全设备来解决数据流传递中的安全性问题在用户终端接入上采用H3C 端点准入防御方案(EAD)来保证安全、可靠的终端用户接入;防火墙、IPS等安全设备主要部署在网络出口位置或需要防护的服务器群组前端,提供重点区域的防护,属于孤立的单点防御;
端点准入防御方案(EAD)旨在整合孤立的单点防御,统一实施企业安全策略,增强网络主动防御的能力,从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的,H3C提出了包括检查——隔离——修复——监控的整体解决思路。
多媒体通讯及监控平台
由于加油站原来存在偷油以及管理上的各种问题,为了加强加油站的管理,各大石油公司不断改进加油站技术装备,比如加装雷达液位仪,油罐车定位系统,加油站监控系统等等。普通加油站通常需要3-4个监控点,分别对油车(卸油过程)、营业室(主要指收费处),作业区(加油区)等重点场所进行监控。
加油站联网监控系统由加油站前端监控设备和省级公司监控中心两部分组成。其中,各加油站将各摄像机的图像接入ECR系列视频编码器,在带宽仅有2M或4M左右的情况下,将站端视频图像本地存储,同时能够实现将报警发生或上级单位关心的关键事件图像上传到市公司或省公司的存储设备当中;在省级或市级公司部署VM视频管理服务器,负责下属加油站点的设备接入、用户注册、权限管理等业务。部署DM数据管理服务器和IP-SAN,负责站级监控图像的存储和关键事件的图像备份存储,并且配置部分软硬件解码器VC客户端供实时观看和事后查看。
为防止加油站弄虚作假,需要重点监控油车卸油的过程。这个过程基本上是每天固定时间,视频监控数据需要上传到监控中心。其他时间段内根据实际情况要求不上传,或者只上传一路图像到监控中心。这样可以尽可能少的节省集中存储空间。加油站目前的传输线路以ADSL为主(1M或者2M),绝大多数加油站已经基于VPN完成了联网。
H3C加油站解决方案优势:
互联互通:灵活的网络接入方式,支持IPSec VPN、SSL VPN、SDH等多种接入方式,同时满足不同规模加油站的接入;省公司级别,以数据服务为核心的数据中心架构完美支撑分布式数据集中的结构
安全管理:综合的安全及管理平台,针对全局安全事件的管理分析,定位安全隐患和关联性的安全漏洞;对接入用户进行全面的身份认证;针对出口、核心等关键环节,实现2-7层线速全面防护及全面业务管理
应用集成:基于IP协议把语音、视频、监控进行多业务融合,IP语音、IP视频、IP监控不再是封闭系统,可更好的支持媒体服务的扩容;基于OAP平台的业务定制,满足面向未来的业务需求。
发表于2016-11-25 16:35:50
适用场景
中型互联网公司:互联网公司业务高速发展,服务器数量增加到1000台左右,人员也不断壮大到1000人左右,此时的数据中心和办公网规模增加,需要考虑多数据中心建设和同步方案,如下示意图:
数据中心网络方案
数据中心核心配置两台高性能数据中心级交换机满足高速交换功能,部署IRF2简化管理、提高可靠性、提高带宽利用率。原网络的数据中心网络下移作为接入交换机。路由器拉出专线与异地数据中心/CDN机房互联互通,并在出口开启IPSec VPN/GRE与其他数据中心建立备份通道。
服务器使用H3C UIS R100/R390系列机架式服务器,为提高服务器硬件利用率,服务器可部署H3C CAS CVK虚拟化平台。
办公网仍采用园区网交换机,同时配置无线控制器和Firewall等安全插卡,同时部署IRF2虚拟化技术提高可靠性,也便于网络管理,部署无线方案实现移动办公和终端接入。对于复杂多变的各种办公终端,部署EAD方案实现安全准入。
iMC实现网络统一管理,自动配置功能简化管理。部署NETCONF、Autoconfig等提高管理效率。
推荐配置:
| LB | Secpath L1000/L5000系列负载均衡器 |
|---|---|
| Router | SR6600-X/SR8800-X/CR16000+Firewall module |
| DC-Core | S9810/S10500/S12500X-AF系列 |
| DC-Access | S5120-HI/S5560-EI/S6300/S6800系列 |
| OA-Core | S7500E/S10500 |
| OA-Access | S5130-PWR |
| 无线控制器及AP | WX5000系列无线AC,WA4300-ACN 无线AP |
| Server | UIS R170/R190/R390二路机架式服务器 |
| 虚拟化平台 | H3C CAS CVK虚拟化平台 |
发表于2016-11-25 16:32:34
小型互联网数据中心网络方案适用场景小型互联网公司:互联网公司随着业务的发展,服务器数量增加到200台左右,人员也不断壮大到200人左右,此时数据中心和办公网规模增加,数据中心出口也需要考虑自建多运营商接入能力,如下示意图:
数据中心网络方案
数据中心核心配置两台数据中心级交换机满足高速交换功能,部署IRF2简化管理、提高可靠性、提高带宽利用率。原微型网络的数据中心核心下移作为接入交换机。数据中心出口新增负载均衡设备做链路负载均衡实现多运营商出口接入能力。服务器使用H3C UIS R100/R390系列机架式服务器,为提高服务器硬件利用率,服务器可部署H3C CAS CVK虚拟化平台。
办公网仍采用园区网交换机,多台部署IRF2虚拟化技术提高可靠性,也便于网络管理,并可选部署无线方案实现移动办公和终端接入。
针对网络安全,数据中心出口以及数据中心和办公网之间部署Firewall,实现业务和办公的隔离;对于复杂多变的各种办公终端,部署EAD方案实现安全准入。
iMC实现网络统一管理,自动配置功能简化管理。
推荐配置:
| LB | Secpath L1000系列负载均衡器 |
|---|---|
| Firewall-OUT | Secpath F10X0系列防火墙(吞吐量从1.5Gbps-10Gbps) |
| DC-Core | S6800/S9800/S10500系列 |
| DC-Access | S5120-HI/S5560-EI/S6300系列 |
| OA-Core | S5560-EI/S7500E |
| OA-Access | S5130-PWR |
| 无线控制器及AP | WX3000系列无线AC,WA4300-ACN 无线AP |
| Server | UIS R170/R190/R390二路机架式服务器 |
| 虚拟化平台 | H3C CAS CVK虚拟化平台 |
发表于2016-11-25 16:26:02
适用场景
互联网初创公司:公司发展初期服务器较少,人员也较少,此时的数据中心和办公网相对简单,如下示意图:
微型数据中心网络方案
服务器数量在50台以内,配置两台数据中心级交换机满足高速交换功能,部署IRF2简化管理、提高可靠性、提高带宽利用率。数据中心出口一般为静态路由接入某大型运营商。
服务器使用H3C UIS R100/R390系列机架式服务器,为提高服务器硬件利用率,服务器可部署H3C CAS CVK虚拟化平台。
办公网一般采用园区网交换机,部署IRF2虚拟化技术提高可靠性,也便于网络管理,并可选部署无线方案实现移动办公和终端接入。
在数据中心出口部署Firewall确保业务安全;数据中心与办公网之间部署Firewall实现业务和办公的隔离;对于复杂的各种办公终端,部署EAD方案实现安全准入。
iMC实现网络统一管理,自动配置功能简化管理。
采用H3C专利的IRF2(第二代智能弹性架构)技术,与传统技术相比,IRF2可以实现:从服务器到接入交换机,接入到核心交换机的双活上行,成倍提升网络运行效率;将网络故障收敛时间从十几秒大幅缩减到毫秒级;IRF2的N:1虚拟化功能可以简化50%以上管理运维工作量。
推荐配置:
| Firewall-OUT | Secpath F10X0系列防火墙(吞吐量从1.5Gbps-10Gbps) |
|---|---|
| DC-Core | S5560-EI,S5800,S6800 |
| OA-Core | S5130-PWR |
| 无线AP | WA4300-ACN FAT AP |
| Server | UIS R170/R190/R390二路机架式服务器 |
| 虚拟化平台 | H3C CAS CVK虚拟化平台 |
| vSwtich | H3C vSwitch |
发表于2016-11-25 16:01:56
大型互联网数据中心网络方案
适用场景<、strong>
大型互联网公司:互联网公司业务发展越来越快,服务器数量不断增加,达到5000台甚至以上规模,人员也壮大到2000人以上,此时的数据中心和办公网规模增加,需要考虑数据中心建设的模型化、标准化、自动化来实现网络的快速建设,满足业务的弹性增加,如下示意图:
数据中心网络方案<、strong>
数据中心核心配置四台高性能数据中心级交换机满足高速交换功能,汇聚与接入形成一个POD,POD内为二层网络,满足虚拟机迁移需求。
服务器使用H3C UIS R100/R390系列机架式服务器,为提高服务器硬件利用率,服务器可部署H3C CAS CVK虚拟化平台。
办公网采用高性能园区网交换机,配置无线控制器和Firewall等安全插卡,同时部署IRF2虚拟化技术提高可靠性,也便于网络管理,部署无线方案实现移动办公和终端接入。对于复杂多变的各种办公终端,部署EAD方案实现安全准入。
iMC实现网络统一管理,自动配置功能简化管理。部署NETCONF、Autoconfig等提高管理效率。
推荐配置:
| LB | Secpath L5000系列负载均衡器 |
|---|---|
| Router | SR6600-X/SR8800-X/CR16000+Firewall module |
| DC-Core | S9810/ S12500X-AF系列 |
| DC-Agg | S9800/S6800系列 |
| DC-Access | S5120-HI/S5560-EI/S6300/S6800系列 |
| OA-Core | S7500E/S10500 |
| OA-Agg | S5560-EI/S7500E |
| OA-Access | S5130-PWR |
| 无线控制器及AP | WX5000系列无线AC,WA4300-ACN 无线AP |
| Server | UIS R170/R190/R390二路机架式服务器 |
| 虚拟化平台 | H3C CAS CVK虚拟化平台 |
发表于2016-11-25 15:51:41
电力行业信息化概述
中国电力工业的价值贡献正处在一个从量变到质变的关键节点上,而变化的本质就是信息化与传统电力工业的深度融合,这样的趋势必然表现为今后电力系统信息数据的爆发性增长。一旦电力企业真正关注到客户信息海量的大数据,一个大规模生产、分享和应用数据的时代就会开启,而云计算这项技术有可能使如此大量的、不规则的复杂数据的存储、计算、分析和使用成为可能。建立分布式的电力系统私有云计算平台对解决电力系统各种复杂的计算问题提供了新的途径,有助于实现电力系统在线运行分析与优化控制。
H3C云网融合解决方案服务电力云综述
而如何实现电力企业应用在云中的部署,如何实现各种终端基于安全策略的获取相应的应用服务,成为电力企业IT需要关注的内容。H3C VCF(Virtual Converged Framework)虚拟融合架构解决方案,则成为电力企业私有云构建的新IT解决之道。VCF架构自下向上分为三个层面。
1)基础架构层
基础承载层包括端点、网络、计算、存储的基础设施,涉及企业IT基础架构的全部设施,在网络部分不仅包含的传统网络,也增加了新网络技术如OpenFlow、NFV、Overlay;终端实现了从传统PC到智能终端(Apple IOS、安卓、Windows 8)的管理;数据中心部分包含服务器及存储、网络的集成和整体交付。
2)融合控制层
融合控制层包括VCFC、VCF-EIC、VCF-CAS,分别实现对网络、终端、云计算的软件定义。
其中,VCFC是H3C SDN Controller,提供了对传统经典网络、OpenFlow网络、Overlay网络、NFV网络的支持和网络集中控制,更重要的是提供了基于OF的各种SDN APP,实现SDN的价值,如:软件定义的L2、L3、QoS、TE转发APP、Overlay转发APP、服务链APP、SDN APP的大规模集群架构,以及基于VCF Controller SDK的第三方APP。
VCF-CAS实现了云计算的软件定义,实现VM的创建、迁移、克隆、快照等集中管理功能。
VCF-EIC实现了终端的软件定义,实现对终端(不仅限于设备,还包括iNode、iOS等软件)的安全认证、健康检查、MDM(Mobile Device Management)、MAM(Mobile Application Management)。
3)资源管理层
资源管理层实现面向端点/用户/应用的资源虚拟化,对计算、存储、网络等资源的统一自动化编排,以及资源的按需交付、应需而动。
基于OpenStack,原有的H3C iMC平台在实现网络业务编排的同时,可以支持计算、存储、数据库、安全、DNS等各类资源申请、管理以及业务编排,并且提供完善的自服务门户,为企业IT基础设施建设提供全套的运维、服务、管理、监控服务。
基于资源管理层,提供Open API,支持基于iMC VCF SDK的第三方APP,支持第三方软件对接,支持应用联动需求。
4)VCF架构下的电力企业IT基础架构
电力企业IT基础架构的发展和演进依次走过标准化、虚拟化、自动化、业务驱动这几个阶段,最终完成向智能电网私有云模式的转变。
H3C VCF通过软件定义架构,实现了应用在IT系统(服务器、存储、网络、终端系统)的智能化、自动化的协同部署,实现更加高效、便捷的新IT架构。
方案总结:
在云计算时代,每天新增的数据量非常巨大,需要处理的数据也成倍增加,这就要求电力IT系统具备更高的处理性能。传统的处理方式主要通过购买更高性能的设备来提升IT系统性能,但是整个IT系统的性能提升并不明显,主要原因在于IT系统内部各组件各自为战,无法有效的协同工作。通过统一的控制器实现IT系统的集中控制和调度,通过融合的管理平台实现面向应用的自动化运维,通过云网融合的IT架构,能够实现IT系统的协同工作,为各种云应用提供高效的IT基础架构平台和技术指导。
随着产品技术的成熟,以及产品价格的不断下降,数据中心,特别是大型电力数据中心,是时候告别传统架构了,一个融合的时代已经到来。只有一个完全虚拟化、自动化的融合数据中心才能使“云计算”这片云真正腾飞起来。H3C云网融合数据中心解决方案通过创新的全面虚拟化、融合控制和融合管理,为今后电力数据中心建设开辟了一个新的建设方向,也为云计算的落地做好了更加充分的准备。
发表于2016-11-18 01:44:41
一、微型互联网数据中心网络方案
互联网公司发展初期服务器较少,人员也较少,此时的数据中心和办公网相对简单,如下示意图:
1、 服务器数量在50台以内,配置两台数据中心级交换机满足高速交换功能,部署IRF2简化管理、提高可靠性、提高带宽利用率。数据中心出口一般为静态路由接入某大型运营商。
2、 服务器使用H3C UIS R100/R390系列机架式服务器,为提高服务器硬件利用率,服务器可部署H3C CAS CVK虚拟化平台。
3、 办公网一般采用园区网交换机,部署IRF2虚拟化技术提高可靠性,也便于网络管理,并可选部署无线方案实现移动办公和终端接入。
4、 在数据中心出口部署Firewall确保业务安全;数据中心与办公网之间部署Firewall实现业务和办公的隔离;对于复杂多变的各种办公终端,部署EAD方案实现安全准入。
5、 iMC实现网络统一管理,自动配置功能简化管理。
网络设备均采用H3C专利的IRF2(第二代智能弹性架构)技术,与传统的MSTP和VRRP技术相比,IRF2可以实现:从服务器到接入交换机,接入交换机到核心交换机的双Active上行,成倍提升网络运行的效率;将网络的故障收敛时间从十几秒大幅缩减到毫秒级;IRF2的N:1虚拟化功能可以简化50%以上的管理运维工作量。
推荐可选网络产品配置如下:
| Firewall-OUT | Secpath F10X0系列防火墙(吞吐量从1.5Gbps-10Gbps) |
|---|---|
| DC-Core | S5560-EI,S5800,S6800 |
| OA-Core | S5130-PWR |
| 无线AP | WA4300-ACN FAT AP |
| Server | UIS R170/R190/R390二路机架式服务器 |
| 虚拟化平台 | H3C CAS CVK虚拟化平台 |
| vSwtich | H3C vSwitch |
二、小型互联网数据中心网络方案
互联网公司随着业务的发展,服务器数量增加到200台左右,人员也不断壮大到200人左右,此时的数据中心和办公网规模增加,数据中心出口也需要考虑自建多运营商接入能力,如下示意图:
1、 数据中心核心配置两台数据中心级交换机满足高速交换功能,部署IRF2简化管理、提高可靠性、提高带宽利用率。原微型网络的数据中心核心下移作为接入交换机。数据中心出口新增负载均衡设备做链路负载均衡实现多运营商出口接入能力。
2、 服务器使用H3C UIS R100/R390系列机架式服务器,为提高服务器硬件利用率,服务器可部署H3C CAS CVK虚拟化平台。
3、 办公网仍采用园区网交换机,多台部署IRF2虚拟化技术提高可靠性,也便于网络管理,并可选部署无线方案实现移动办公和终端接入。
4、 针对网络安全,数据中心出口以及数据中心和办公网之间部署Firewall,实现业务和办公的隔离;对于复杂多变的各种办公终端,部署EAD方案实现安全准入。
5、 iMC实现网络统一管理,自动配置功能简化管理。
推荐可选网络产品配置如下:
| LB | Secpath L1000系列负载均衡器 |
|---|---|
| Firewall-OUT | Secpath F10X0系列防火墙(吞吐量从1.5Gbps-10Gbps) |
| DC-Core | S6800/S9800/S10500系列 |
| DC-Access | S5120-HI/S5560-EI/S6300系列 |
| OA-Core | S5560-EI/S7500E |
| OA-Access | S5130-PWR |
| 无线控制器及AP | WX3000系列无线AC,WA4300-ACN 无线AP |
| Server | UIS R170/R190/R390二路机架式服务器 |
| 虚拟化平台 | H3C CAS CVK虚拟化平台 |
三、中型互联网数据中心网络方案
互联网公司业务高速发展,服务器数量增加到1000台左右,人员也不断壮大到1000人左右,此时的数据中心和办公网规模增加,需要考虑多数据中心建设和同步方案,如下示意图:
1、 数据中心核心配置两台高性能数据中心级交换机满足高速交换功能,部署IRF2简化管理、提高可靠性、提高带宽利用率。原网络的数据中心网络下移作为接入交换机。路由器拉出专线与异地数据中心/CDN机房互联互通,并在出口开启IPSec VPN/GRE与其他数据中心建立备份数据同步通道提高可靠性。
2、 服务器使用H3C UIS R100/R390系列机架式服务器,为提高服务器硬件利用率,服务器可部署H3C CAS CVK虚拟化平台。
3、 办公网仍采用园区网交换机,同时配置无线控制器和Firewall等安全插卡,同时部署IRF2虚拟化技术提高可靠性,也便于网络管理,部署无线方案实现移动办公和终端接入。对于复杂多变的各种办公终端,部署EAD方案实现安全准入。
4、 iMC实现网络统一管理,自动配置功能简化管理。网络设备部署NETCONF、Autoconfig等提高管理和部署效率。
推荐可选网络产品配置如下:
| LB | Secpath L1000/L5000系列负载均衡器 |
|---|---|
| Router | SR6600-X/SR8800-X/CR16000+Firewall module |
| DC-Core | S9810/S10500/S12500X-AF系列 |
| DC-Access | S5120-HI/S5560-EI/S6300/S6800系列 |
| OA-Core | S7500E/S10500 |
| OA-Access | S5130-PWR |
| 无线控制器及AP | WX5000系列无线AC,WA4300-ACN 无线AP |
| Server | UIS R170/R190/R390二路机架式服务器 |
| 虚拟化平台 | H3C CAS CVK虚拟化平台 |
| vSwtich | H3C vSwitch |
四、大型和超大型互联网数据中心网络方案
互联网公司业务发展越来越快,服务器数量不断增加,达到5000台甚至以上规模,人员也壮大到2000人以上,此时的数据中心和办公网规模增加,需要考虑数据中心建设的模型化、标准化、自动化来实现网络的快速建设,满足业务的弹性增加,如下示意图:
1、 数据中心核心配置四台高性能数据中心级交换机满足高速交换功能,汇聚与接入形成一个POD,POD内为二层网络,满足虚拟机迁移需求。
2、 服务器使用H3C UIS R100/R390系列机架式服务器,为提高服务器硬件利用率,服务器可部署H3C CAS CVK虚拟化平台。
3、 办公网采用高性能园区网交换机,配置无线控制器和Firewall等安全插卡,同时部署IRF2虚拟化技术提高可靠性,也便于网络管理,部署无线方案实现移动办公和终端接入。对于复杂多变的各种办公终端,部署EAD方案实现安全准入。
4、 iMC实现网络统一管理,自动配置功能简化管理。网络设备部署NETCONF、Autoconfig等提高管理和部署效率。
推荐可选网络产品配置如下:
| LB | Secpath L5000系列负载均衡器 |
|---|---|
| Router | SR6600-X/SR8800-X/CR16000+Firewall module |
| DC-Core | S9810/ S12500X-AF系列 |
| DC-Agg | S9800/S6800系列 |
| DC-Access | S5120-HI/S5560-EI/S6300/S6800系列 |
| OA-Core | S7500E/S10500 |
| OA-Agg | S5560-EI/S7500E |
| OA-Access | S5130-PWR |
| 无线控制器及AP | WX5000系列无线AC,WA4300-ACN 无线AP |
| Server | UIS R170/R190/R390二路机架式服务器 |
| 虚拟化平台 | H3C CAS CVK虚拟化平台 |
| vSwtich | H3C vSwitch |
五、云数据中心网络解决方案
随着移动互联网技术与业务的飞跃式发展,云计算、虚拟化、大数据等技术开始在互联网企业大规模部署,对网络平台提出了新的需求:
Ø 网络必须是一个“大二层”的网络,满足虚拟机灵活迁移的需求
Ø 网络必须满足云计算平台自动化部署、端到端交付的业务需求
Ø 网络必须满足云计算环境下业务资源灵活部署,资源灵活调配的需求
Ø 网络必须满足云计算环境下多租户隔离的需求
……
这些云计算、虚拟化、大数据等技术带来的挑战,不再是简单地由网络进行业务部署,而是转变成了业务驱动网络、网络随业务而变、网络支撑用户业务。SDN(Software Defined Network,软件定义网络)是一种创新性的网络架构,它通过Openflow等标准化技术实现网络设备的控制层面和数据层面的分离,进而实现对网络流量的灵活化、集中化、细粒度的控制,使得网络完全根据用户业务驱动、自上而下、随需进行灵活进行构建,从而满足用户的运维集中管理、部署灵活弹性、资源池化管理、海量租户规格、租户安全隔离、网络安全可靠等诸多需求。
云计算时代的网络架构如下图所示:
1、 VCF控制器集群实现对整个网络的集中管理和控制。北向使用Restful API实现与云管理平台的对接,南向使用Openflow、Netconf、OVS-DB等协议实现对网络设备的集中控制
2、 VXLAN IP Gateway:实现VXLAN Overlay网络与传统网络的互通。
3、 VXLAN Gateway:实现虚拟机,服务器等各种终端接入到VXLAN网络中
4、 服务节点:vFW,vLB等NFV设备组成的安全服务资源池,可通过服务链技术为租户灵活添加安全服务
5、 软件网关资源池:在没有硬件VXLAN IP Gateway的情况下,可使用vSR作为软件VXLAN IP Gateway资源池。
6、 服务器及虚拟化平台:服务器使用H3C UIS R100/R390系列机架式服务器,部署H3C CAS CVK虚拟化平台。
7、 软交换机:软交换机使用H3C S1020V,可作为VXLAN Gateway。在这种情况下,上层Leaf交换机不需要支持VXLAN Gateway功能。
推荐可选网络产品配置如下:
| SDN控制器 | H3C VCF Controller集群 |
|---|---|
| VXLAN IP Gateway | S9800/S12500X-AF/VSR |
| VXLAN Gateway | S6800/H3C vSwitch |
| 传统Leaf交换机 | S5560-EI |
| NFV | H3C vFW软件防火墙、vLB软件负载均衡、vSR软件路由器 |
| Router | SR6600-X/SR8800-X/CR16000 |
| Server | UIS R170/R190/R390二路机架式服务器 |
发表于2016-11-18 02:01:39
方案相关内容
金融行业分支机构众多,地理分布广泛。普遍存在小型分支接入、合作伙伴远程接入和移动办公等需求。随着网络安全技术的不断发展,VPN已成为成本最低、应用最广泛的接入技术。但是,以下难题却一直困扰着用户:
分支机构、合作伙伴、移动用户等不同接入需求如何解决
接入用户的安全如何保证
众多分支机构如何管理
H3C远程安全接入解决方案能彻底解决上述问题,是业界最佳的VPN方案,方案由安全接入网关和安全管理平台组成。安全接入网关SecPath防火墙融合多种VPN技术和专业防火墙功能,实现分支机构、合作伙伴、移动用户的一体化远程安全接入;并通过安全管理平台实现众多SecPath防火墙的统一部署、监控、管理。
1. 远程安全接入解决方案
分支机构接方式
方案亮点
总部双VPN网关组网,可以实现负载分担和备份。
支持OSPF over GRE over IPSec组网,实现动态链路检测和备份切换。
安全管理平BIMS、VPN Manager和SecCenter,实现远程接入的统一部署、监控和管理。
移动用户接入方式
方案亮点
无须客户端软件
使用SSL完成用户身份认证和报文加密,安全性高
包括本地认证、Radius认证、LDAP认证、AD认证、证书认证、双因素认证等完备的认证方式
2. 总体方案优势
一体化安全接入方式
一台VPN网关同时支持IPSec VPN、SSL VPN、GRE VPN 以及VPE(VPN+PE)技术,一台设备即可解决分支机构、合作伙伴、移动用户的不同接入需求。
在涉及到MPLS网的情况下,通过H3C专有的VPE技术,可将不同用户映射到相应的MPLS VPN,实现分支机构、移动用户和MPLS网的加密互联。
全面的接入安全保障
SecPath防火墙集成状态过滤、攻击防范、NAT、流量监控、动态路由等功能,能有效防范来自外部和内部攻击、过滤VPN隧道中的非法流量,既保护了传输通道的安全,也保证了传输内容的安全;同时,通过对接入用户的认证、授权和审计,防止接入用户越权使用网络,造成信息泄漏;对于移动用户的接入,则通过终端安全漏洞审查,杜绝不符合安全策略的用户接入。
统一安全管理
安全管理平台由BIMS、VPN Manager和SecCenter三个组件组成,实现了远程接入的统一部署、监控和管理。BIMS能对所有分支进行统一系统软件升级、策略集中下发,当分支机构通过拨号或者NAT连接上Internet时,公网IP地址不固定,普通的网管系统不能管理,BIMS能突破普通网管的限制,实现整网设备的统一部署;VPN Manager对VPN隧道实时监控,第一时间了解用户接入状态、流量分布;SecCenter对全网安全事件进行收集和分析,具有强大的审计功能,实时输出安全报告,协助管理员及时掌握远程接入安全状态。
高可靠性
通过双机热备、L3 Monitor、IPSec DPD、动态路由等先进技术对链路状态实时探测,在链路故障或者设备故障的情况下,及时发现故障并快速自动切换,保障业务不间断运行。
3. 典型案例
深圳平安保险全网VPN
深圳平安保险股份有限公司是中国第一家以保险为核心的,融证券、信托、银行、资产管理、企业年金等多元金融业务为一体的紧密、高效、多元的综合金融服务集团。公司市值超过100亿美元,是国际知名大型金融保险机构之一。
平安保险VPN项目的目标是通过VPN技术将平安保险遍布全国3000个营业网点和平安保险总部业务系统互联。项目中采用了两台SecPath F1000作为中心VPN网关,上连至Core Farm。3000台SecPath F100作为分支机构VPN网关,中心VPN网关和分支VPN网关通过IPSec VPN技术通过Internet互联,实现了远程分支机构和总部的业务互通。在管理上部署了CAMS管理软件:由网络管理框架、网络配置中心和VPN设备管理软件系统三个组件构成,用于对网络系统、VPN设备和操作系统提供统一的界面和统一的管理。部署了BIMS分支智能管理系统,对上千个分支机构的SecPath F100进行统一的OS、补丁、配置、策略等集中管理和下发
发表于2016-11-21 22:28:04
WLAN网络"三分靠建、七分靠管"。建的安全,管的规范才能让WLAN在金融行业充分发挥作用。
金融品智新无线
近年来在金融办公网及"精品网点"等场景,无线Wi-Fi技术无论是作为有线网络的补充或是局部取代有线网络,都有其现实意义。
金融业是安全敏感型行业,任何一套系统的运行开通或技术的实施都必须考虑安全问题,业内专家认为,中国的金融信息化要实现"管理集中、风险防范、绩效评估、客户至上、接轨国际和面向未来"这些要求,而由于WLAN其本身的实现机制,需要通过电磁波为传播介质,具有空口开放、容易受到监听等天然缺陷。另外,传统的胖AP逐点部署与管理也给网络管理员带来了较大的安全威胁与管理难度。相对于其他行业,WLAN未能在金融行业大量应用正是由于其对安全性与可靠性的要求远高于其他行业,因此必须采用切实有效的手段,建立企业级的安全策略和运维管理机制,既保留WLAN网络灵活、移动的特色,又能保障WLAN网络的安全和高效。本文主要从安全、可靠、灵活、运维管理等角度,阐述在金融行业中应用WLAN网络需要注意的一些问题。
一、七层立体安全防护
管理平台、统一监管
3-7<层安全防护
ARP攻击、MAC/IP欺骗、应用层攻击方案、用户流量行为审计
终端准入、权限可控
无线接入安全
7X24频谱监控,无线安全加密(WPA2/WAPI),非法AP检测,WIPS
建立空口加密,保障链路层安全
由于WLAN的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低内部用户的服务质量,更重要的是会成为金融的安全泄密点,因此利用WLAN进行通信必须具有较高的通信保密能力,目前有多种技术及手段可保证WLAN的安全管理,首先就是建立无线的空口加密机制。主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密,其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现WLAN数据的安全性保护。
现阶段常用的WLAN空口加密标准有WEP(Wired Equivalent Privacy,有线等效保密)、WPA(Wi-Fi Protected Access,Wi-Fi网络安全存取)、IEEE 802.11i(WPA2)、WAPI(Wireless LAN Authentication and Privacy Infrastructure,无线局域网鉴别和保密基础结构,中国WLAN安全强制标准)等。鉴于金融业所需的高安全性,建议使用更健壮的WPA、802.11i或WAPI等安全体系,保障WLAN网络的链路层安全。只要用户在首次选用WALN网络时,在AP接入模式上选择对应的加密算法即可,后续应用中对用户是透明的,与其他商业环境使用开放、共享的无线网络感受一样,既方便又能保障空口安全。
开通企业接入策略,保障网络层安全
空口加密只是WLAN安全管理的第一步,只是保证了接入无线网络的空口安全,由于金融客户采用WLAN主要进行办公及开展Wi-Fi Portal推送等业务,必须要和生产网隔离开来,因此有必要对WLAN实施企业级的接入控制策略,对每个接入的终端进行认证鉴权,控制其可达网络的范围。
对终端用户实施接入控制策略包含三方面的手段:
热点用户隔离
通过限制相同SSID下的接入用户的互访,可以保证终端用户无法在AP接入点上做互访,而不同SSID下的用户所对应的是不同的VLAN,因此所有的数据流量必须上行到AC,由AC控制器统一进行转发、交换和策略控制,从而防止信息进行本地交换而造成网络性能下降或病毒的泛滥等安全事件。
用户接入认证
通过用户接入认证实现对接入用户的身份认证,为网络服务提供安全保护。常用的无线接入认证主要有802.1X接入认证、MAC接入认证以及有线网络常用的Portal认证和PPPoE认证等。
动态控制用户权限
接入认证只解决了用户的身份验证问题,而无法对不同身份的用户提供不同等级的服务和访问权限,通过和Radius策略服务器配合,将带宽、VLAN、ACL、优先级等参数动态下发给终端用户,对于不同的用户群和业务可以控制其访问网络的权限,限制网络资源的使用,通过VLAN和优先级来标识用户和业务,并做到业务隔离。
对于内部办公的用户,必要时可部署终端准入控制(EAD)解决方案,通过增强的Radius策略服务器与无线客户端、WLAN设备和第三方软件配合,对接入WLAN网络的用户终端强制实施企业安全策略,比如是否正确安装杀毒软件、版本是否正确,操作系统是否安装了最新的补丁,是否安装了一些违规软件等,严格控制终端用户的网络使用行为,加强WLAN网络的主动防御能力。
另外,再配合Rogue AP检测功能,AC无线控制器可以识别并屏蔽所有非法接入的AP设备,从而确保了无线网络私搭乱建的威胁。通过以上方案,WLAN网络可以保证一个合法的用户被限定到一个唯一的网络访问路径中,并在这个网络中只能访问到限定的网络资源,同时又不会受到外界的侵犯,保证了WLAN网络在金融行业应用的端到端安全。但是金融机构是一个分布广、人员多的大型企业,WLAN规模部署不同于单点建设,安全策略如何便捷、快速、统一的部署变得更为重要,否则即使再安全的方案,也难免存在漏洞。
因此,近两年不仅仅是WLAN网络,甚至是整个IT的运维管理机制已和安全问题受到同等的关注。WLAN网络"三分靠建、七分靠管",要充分发挥WLAN的作用,使WLAN能够提供高效、可靠的业务,功能强大的网络管理应成为WLAN的重要组成部分,无线网络直接面对最终用户,对管理系统稳定性、实时性、有效性要求都较高。
二、可靠网络、保障业务永续运营
金融业务对于可靠性的要求远大于其他行业,任何一次网络中断都可能造成巨大损失。从而要求了金融业务的永续性。而无线网络部署模式从FAT模式到FIT模式的转变,固然带来了管理运维简化,三层漫游等便利,也使得AP高度集中,由无线控制器统一管理,一旦发生故障将导致大部分无线网络瘫痪,虽然可以开启AP本地转发功能,但此时无线网络仅承担转发功能,其他功能的缺失将造成网络安全隐患。
为了解决此弊端,H3C无线控制器可实现 DHCP,PORTAL热备,当无线控制发生故障时,备份无线控制器将第一时间感知到,并同步复制AP信息,用户信息,当备份控制器将直接接管无线网络后,由于主备倒换时间非常短,用户侧无感知,也不需要重新认证,即可继续使用无线网络,以保障业务永续运行。
三、灵活接入,智能办公
智能终端的大量普及,使其与我们生活已然密不可分,金融行业也不例外;在网点我们会见到各种各样的体验机,大堂经理们会拿着IPAD进行产品演示;无线的便捷,快速,灵活已经成为我们生活办公的一部分,但种类繁多的终端势必会使得网络更加混乱,而终端本身的不成熟,不可靠将造成整网的安全隐患。
为了既满足无线的灵活快捷,又符合金融行业对于安全的高要求,H3C推出了BYOD解决方案:
终端识别技术
为了针对不同种类的终端实现资产管理,安全策略下发,必备条件便是对终端进行识别,以区分设备厂商、产品型号、操作系统等信息;H3C可以通过对终端设备的MAC,HTTP、DHCP等信息进行精确解析,从而进行区分。
终端合规检查
在智能终端上安装H3C客户端以后,可针对终端进行防病毒软件、防间谍软件管理;Android智能终端安全隐患较多,可对智能终端进行安全策略检查,不符合安全要求的智能终端拒绝其接入企业网络:可进行APP(白名单/黑名单)管理,通信功能管理(蓝牙、GPS、Wi-Fi等)
灵活授权
H3C可根据接入用户身份、所用终端类别、用户所连SSID、用户所在区域、用户继入时间等元素进行灵活组合以制定安全策略。
四、规范无线业务管理,简单有效
WLAN网络实际上包含数据交换、转发和Wi-Fi射频两部分,既具有有线网络的共性,又具有无线的特性,因此运维管理系统需要能够覆盖有线和无线,实现一体化管理。通过统一的规划、监控、控制AC、PoE交换机、AP、终端STA等网络资源的使用和各种网络活动,能够优化网络性能,降低维护成本,提高无线的服务质量。
有线无线一体化管理
当前主流的WLAN组网一般为AC + PoE 交换机 + Fit AP方案,对管理员来说,除了需要了解无线设备,还需要了解给AP供电的PoE交换机,这就要求在一张拓扑视图内能够画出从AP到交换机甚至是路由器到托管的AC的物理路径,一旦网络出现状况,管理员能够迅速定位究竟是无线设备还是有线设备出现问题。
如果AP是使用PoE供电的方式,管理员可以在一体化的拓扑内对AP上联的设备进行查询并判断,通过对PoE端口的操作实现对AP的断电、上电;对AP按计划周期性启动和断电,比如在凌晨时段自动关闭设备或射频口,这样既节能减排、降低辐射同时充分提高了管理员的运维效率。
另外,通过无线射频覆盖和物理位置拓扑的集合,可以展现一个房间或楼层目前的无线信号覆盖情况,帮助用户定位信号过弱,上网速度慢或无法上网问题,通过调整AP的部署位置以及发射功率、信道等参数配置,实现最优、最经济的无线的信号覆盖。如图右侧显示了障碍物的详细情况,便于精准掌握的射频信号的衰减,右侧图显示了按信号强度查看射频的真实覆盖效果。
无线RF热图覆盖
告警管理
除了设备宕机、超过性能阈值等常见告警外,为了更进一步的定位WLAN网络问题,管理系统应该充分考虑到WLAN设备相关的特性例如提供Radio信道变更、终端STA关联失败、非法设备、Ad-hoc设备等WLAN特有业务告警,真正实现WLAN网络的无线管理。
当管理系统收到告警后会根据告警级别改变拓扑节点颜色(也可根据用户需求定制),还可将告警以email、短信、SNMP Trap等方式转发给管理员,方便管理员在第一时间了解WLAN网络的故障。
性能管理
WLAN技术从802.11b一路走到802.11n,带宽得到了质的飞跃。WLAN逐渐从备份线路转变为承载线路,其资源利用情况逐渐成为用户关注点。以H3C WLAN管理系统为例,管理员可以通过WSM无线管理平台实时了解无线网络中的终端STA在线趋势、宽带趋势、终端STA最多的热点TopN、终端STA最多的SSID TopN等指标并给出形象的图标,从而使管理员能够及时掌握网络的性能负载。
无线网络状况TopN视图
无线入侵防御管理
802.11网络很容易受到大量网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rouge非法设备对于金融WLAN网络安全来说是一个很严重的威胁。通过无线入侵防御(WIDS)管理用于对有恶意的用户攻击和入侵无线网络进行早期检测,可以保护WLAN网络和用户不被无线网络上未经授权的设备访问,对于检测出的Rogue AP和Rogue移动用户进行管理,调动WLAN设备对其发起攻击要求其下线,并列入黑名单。
五、 结束语
随着越来越多的便携式笔记本和手持终端都开始支持Wi-Fi接入,进一步推动了WLAN的广泛使用。在金融办公网络部署WLAN可使办公用户便捷地接入网络;在分支网点部署WLAN,可向手持终端等设备推送特色金融服务等广告页面,以满足不同客户的个性化需求,提高金融的品质服务质量。目前,在工、农、中、建、民生、人寿、人保等金融机构的网点、分支机构、办公大楼、开发测试中心等均已经成功开展了WLAN应用。金融行业即将迎来新一轮无线建设浪潮,但不论在何种应用场景,加强WLAN的安全和运维,同时提供多样化的个性服务,将成为金融行业无线网络建设的重点。
发表于2016-11-18 02:02:22
问题和挑战
视频网站、网络电视等的出现对CDN产生了巨大的需求。视频应用在帮助网站吸引越来越多忠实用户的同时,也对网站的技术实力和宽带资源提出了更高的要求。一方面,网站要提供大用户量的视频应用服务,必须具备足够的带宽资源,一般的视频网站动辄就需要上百GB的带宽;另一方面,视频服务对实时性、不间断性要求极高,用户如果看到的视频时断时续,将大大影响用户对该视频网站的忠诚度。
传统的内容分发方式:
传统的内容分发缺点:
CDN数据中心网络的特点:
建设目标
CDN整体网络设计思路:
尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳。通过用户就近性和服务器负载的判断,CDN确保内容以一种极为高效的方式为用户的请求提供服务。
CDN数据中心网络建设需满足以下建设目标:
业务承载的高性能需求
提供良好的网络管理和扩展能力:
高效的网络结构:
解决方案
详细网络拓扑设计:
业务控制层:
业务接入层:
发表于2016-11-18 02:02:37
问题和挑战
GIS、客服支持系统、办公自动化(OA)、MIS 系统、电力市场和营销系统、电力调配系统(EMS)、配电管理系统(DMS)和呼叫中心(Call Center)等电力行业信息应用系统的使用。使得电力企业科学决策能力和管理效率都大大提高,让电力行业可以为用户提供更快速和优质服务。
随着传统的电力系统业务的变化,电力交易系统、电能量计量系统的建设;会议电视、变电站视频监控(无人值守)、输变电线路监控及电厂视频监控等视频业务的出现;监视全网运行状况,提供故障记录和分析的故障录波系统的建设:雷电定位系统、气象信息系统的建设;多媒体业务的出现等。因此,基于 Internet/Intranet 的体现信息化综合业务应用的管理信息系统将成为电力行业信息化的发展重点。
电力行业数据网络建设现状和关系:
建设目标
在业务上,这张网应该是可以满足多种媒体需求的网;其次,在管理上,要能够高效地为业务提供服务和保障 此外,还应该根据具体的应用特性,合理地调配网络资源的使用,将应用和网络基础资源紧密地结合在一起。
解决方案
PGM设备在电力行业网络中能实现如下功能:
PGM技术在电力行业网络中的应用如下图所示:
信息/调度两张广域网:运行IGP/BGP,MPLS VPN IDC体系架构
发表于2016-11-18 02:02:53
问题和挑战
随着网络技术的发展,网络扁平化设计日益成为发展趋势,传统高校网络的核心层+ 汇聚层+ 接入层的设计已成为过去,新一代高校网络的设计更多地采用核心层+ 接入层的模式。在万兆技术成熟的今天,万兆核心已经成为部署便捷、高速率、高性价比的下一代高校网络的基础;基于万兆芯片技术的核心路由平台成为下一代高校网络核心应用的典型特征。
硬件方面,下一代高校网络核心必须是健壮的,安全的,高可靠性的,可运营管理的。
建设目标
下一代高校网络需满足如下需求:
解决方案
下一代高校网的扁平化网络结构图:
PGM公司专门为高校等典型以太网环境量身定制的下一代以太网业务核心路由器MX 系列,能够提供运营商级以太网路由功能, 同时具有高密度的千兆/ 万兆接口;其中的旗舰产品MX960 ,在960Gbps 交换矩阵的支持下,提供全线速480*GE/48*10GE 端口,能够满足高校在今后3-5 年内核心网络容量的需求。PGM路由器在硬件层面先进的设计,使得路由器的包转发引擎PFE 和路由引擎RE 逻辑分离,路由的波动不影响PFE 的稳定性,而PFE 的负荷,不影响RE 的路由计算。从而确保路由器始终保持高稳定和高可靠性。
PGM路由器的性能:
发表于2016-11-18 02:03:20
问题和挑战
随着互联网的高速发展以及数字技术,网络技术,移动技术的不断革新,视听新媒体迅速崛起。视听新媒体拥有交互性,及时性,海量性等一系列传统广播电视不具有的优势,这些突出的传播特征深刻影响并改变受众的信息获取方式以及信息制作方式。视听新媒体的高速发展给传统广播电视带来前所未有的挑战。目前传统的广播电视已经无法满足用户的需求。传统广播电视网需要充分利用自身的优势,改造新一代的广播电视网。
建设目标
针对上述问题新一代广播电视网络需要满足用户的以下需求:
新一代广电城域网综合承载需满足以下建设目标:
提供互动电视的IP承载业务
提供PPPoE/DHCP的宽带上网业务,实现对公众用户的Internent服务
提供大客户(政府、银行)的专线接入和VPN接入
提供丰富的网络管理手段,实现网络的智能管理和维护
解决方案
广电城域网综合承载架构设计:
广电骨干网络设计拓扑:
广电骨干省网:
PGM T4000与PGM MX960可以提供终端IPv4/IPv6业务终结,MPLS VPN多业务跨区域承载,QOS精细化管理以及高速路由转发等功能。同时这2款产品均具备高端口密度和高可扩展能力,为今后业务扩展提供强有力支持。
广电地市城域网设计拓扑:
广电地市城域网:
发表于2016-11-18 02:03:39
问题和挑战
云计算,虚拟化时代下的金融行业客户的数据中心都在朝着集中计算资源,分布业务部署的多数据中心架构演进。如何利用现有的多数据中心的资源,响应业务系统的快速部署及灵活调度,关系到金融企业能否最大化IT架构能力,已支撑业务快速开展的需求,同时关系到金融企业能否灵活部署IT业务系统,已提高业务持续性服务,减少IT业务系统宕机风险。
建设目标
在如今的金融行业(尤其是银行)的企业中,多数据中心架构将会成为未来发展的趋势。金融企业的骨干网络需要随需而动地去支 撑并适应业务系统在多数据中心灵活部署及无缝迁移的需求。普天网络凭借多年在运营商领域的积累,可以提供成熟可靠的解决方 案,在提供先进技术的同时保证网络架构的可靠运行与平滑过渡。为金融企业客户实现多活数据中心铺桥搭路。在增强金融企业客 户IT业务的灵活部署能力的同时,为金融客户的业务创新与架构优化提供高性价比解决方案的强力支撑。
解决方案
广电城域网综合承载架构设计:
如上图所示,在不同的数据中心节点的MX路由器上应用扩展的BGP协议,形成不同节点的BGP对等关系。对于本端数据中心内的MAC地址的路由信息通过局域以太网的处理机制进行学习。然后通过BGP的路由更新信息将本端边界路由器学习到的MAC地址路由通告给已形成对等关系远端节点的边界
路由器。二层MAC地址路由的信息是通过扩展BGP协议的NLRI属性进行承载的。通过BGP对等体之间的路由通告,在每个数据中心节点的边界路由器上就具备了全网二层路由信息的逻辑拓扑及整体视图。
同时通过扩展BGP协议的RT属性进行不同业务系统二层路由信息的标识,已区分不同业务系统的不同VPN属性。同时边界路由器可以根据基于RT属性对具有不同VPN属性的二层路由条目进行策略设置,已控制二层路由信息的学习及传递。
在每个数据中心节点部署的MX路由器可以通过MC-LAG技术进行跨 机箱的链路捆绑,实现与数据中心核心交换设备间的流量负载分担, 提高链路冗余性的同时增强链路带宽利用率。
由于各个数据中心节点边界路由器运行了BGP协议,进而实现了双 宿主上联骨干PE路由器的双活链路拓扑,通过BGP协议的处理机制实现了上联PE链路的冗余及路由的快速收敛。
如下图所示:当数据中心site1的 VM1系 统 被迁移到数据中心site2 后,采用了E-VPN技术的数据中心site1的边界路由器进行了MAC地 址路由信息的更新,其他各个数据中心节点的边界路由器更新自己的MAC地址路由表。此时site3内的客户端发起对VM1系统的访问流量,在site3的路由器上会生成NHRP的请求信息,此信息会被路由到site2的边界路由设备,因为当VM1系统迁移到site2后,site3与VM1间的二层访问的路径已经通过 E-VPN的路由更新的处理而被改变了。此二层路由条目的下一跳信息已经由site2的边 界路由器改为site3的边界路由器。所以NHRP的请求信息会被骨干网转发到site3的边界路由器。Site3的边界路由器将自己的可路 由IP地址作填充到NHRP的回应信息中。Site3的边界路由器收到NHRP回应后,将site3的边界路由器在回应信息中填充的IP地址 作为后续转发数据包的GRE封装的外层地址。后续来自site3客户端的访问请求会被骨干网络通过site2和site3间的GRE隧道透传到 site3的边界路由器。从而实现了对迁移后VM1系统的流量导引需求。
发表于2016-11-18 02:03:56
问题和挑战
数据大集中导致业务形态改变也对网络提出了新的挑战,具体包括集中存放的大数据的安全性和可靠性对网络设计带来的挑战;省级分支机构和市级分支机构通过广域网链路上传数据到数据中心时,有限的网络带宽资源和众多业务系统对带宽的需求之间的矛盾等等。广域网系统的健壮,安全和服务保障能力变得越来越重要, 本文档专注于介绍广域网的服务质量保障手段。
建设目标
在金融行业网络服务质量保障领域,普天网络能够提供全面成熟的解决方案。普天网络的服务质量保障解决方案具有基于工业标准 的良好互操作性,易于部署和实施。通过独特的系统架构为用户提供无与伦比的性能和功能集,使企业能够充分利用网络平台来支撑各种业务开展。
解决方案
金融行业广域网一般模型
金融行业的广域网一般是指租用运营商传输资源建设的,用于连接地理上分散的企业 总部,总部数据中心和各级分支机构的专有网络,其链路类型一般为点到点链路,常见的链路形态包括ATM PVC,,E1,MSTP等。以银行为例,其广域网一般由营业网点,一 级分行和总行三级节点组成。营业网点一般采用E1线路或双MSTP线路双归上联至一 级分行,一级分行一般采用双ATM PVC链路双归上联至总行核心路由器, 为了提高链路使用效率, 两条上行链路之间一般采用基于业务的负载分担方式, 即办公业务选择一条上行链路, 生产业务则选用另一条上行链路, 通过路由设计使不同业务选用另一条上行链路作为备选的次优链路。
普天网络广域网QoS解决方案
下图为金融行业广域网QoS解决方案具体部署样例, 以某银行广域网为例:
如图可看出典型的金融行业广域网络经过扁平化改造以后,结构上只有三个层次:营业网点,一级分行和总行。
部署QoS策略时业务分类在网络边缘节点完成,即营业网点的接入交换机EX4200VC会根据连接各业务系统的交换机端口号 或根据业务报文头部的特征信息(MF Classifier)对业务流量进行分类,由于网络带宽富裕,入接口不做限速。在EX4200VC上 联广域网路由器的出接口部署保护性的队列调度策略,比如 IP电话业务分配到VOIP队列,优先级为strict-high(LLQ), 但限速 至200Kbps以免把别的队列饿死,200Kbps带宽按照G.729a的语 音编码方式约可保障5路IP电话业务。其余生产或办公业务按 照业务特性可再聚合划分到金,银,铜三个保障级别,分配 到三个不同的硬件队列,网络设备之间的信令如ospf,bgp等单 独占用一个硬件队列如"network-control"来保障。剩下其它未分 类的流量都分配给"best-effort"队列。上述队列按照25% : 20% : 30% : %5 : 20% 的比例按照DWRR调度机制来分配接口服务完 strict-high队列后剩余的带宽。最后EX4200VC按照事先约好的 标 记 策 略 比 如 DSCP code-points为 所 有 从 出 接 口 转 发 出 给 SRX240上联路由器的业务报文打上相应的标记。
EX4200VC的下一跳设备SRX240在入接口处按照事先约定的标记策略如DSCP code-points通过BA Classifier对进入设备的流 量进行分类并分配队列,在出接口处按照与EX4200VC类似 的队列调度策略对出接口带宽进行动态分配,同时按照相同 的标记策略把从出接口转发往一级分行M10i下联路由器的业务报文进行重标记。
营 业 网 点 SRX240路 由 器 的 下 一 跳 设 备 M10i路 由 器 在 连 接 SRX240的线路/接口上按照事先约定的标记策略如 DSCP code- points等通过BA Classifier对进入设备的流量进行分类并分配队列,在出接口处按照与EX4200VC/SRX240类似的队列调度策 略对出接口带宽进行动态分配,同时按照相同的标记策略把从出接口发往分行内部核心交换机的业务报文进行重标记。
M10i的下一跳设备EX8208交换机在连接M10i的接口上按照事 先约定的标记策略如DSCP code-points等通过BA Classifier对进入设备的流量进行分类并分配队列,而在连接本地业务系统的接口上则根据连接各业务系统的交换机端口号或根据业务 报文头部的特征信息(MF Classifier)对业务流量进行分类,在出接口处按照与EX4200VC/SRX240/M10i类似的队列调度策略对出接口带宽进行动态分配,同时按照相同的标记策略把从出接口发往上联路由器M10i的业务报文进行重标记。
EX8208交换机的下一跳设备M10i上联路由器在连接EX8208的接口上按照事先约定的标记策略如DSCP code-points等通过BA Classifier对进入设备的流量进行分类并分配队列,在出接口处按照与EX4200VC/SRX240/M10i/EX8208类似的队列调度策略对出接口带宽进行动 态分配,同时按照相同的标记策略把从出接口发往总行路由器MX960的业务报文进行重标记。
报文到达MX960后就到达总行数据中心的业务系统了,由于数据中心内部一般不会有带宽瓶颈,所以这段网络可不部署队列调度策略。也跟根据需要部署保护性的调度策略,以防数据中心网络被异常流量冲击时能区分并保障关键业务。
上述只是业务流量上行方向的QoS策略部署,下行反方向也应部署一致的QoS策略,本文不再赘述。
发表于2016-11-18 02:04:11
问题和挑战
随着自动计算和交易对金融服务盈利能 力的重要性日益增加,金融服务行业对 高速计算和各种来源的市场数据的依赖 程度也在不断上升。从宏观角度看,每 一 微秒甚至纳秒的延迟都关乎业务盈亏。普天网络的交易型数据中心解决方案利用一个极快、简化的网络基础架构,帮助金融服务行业的企业线 速传输数据,并提供最高水平的安 全性和保证。
建设目标
在高性能交易、市场数据和算法交易应用方面,普天网络能够提供一流的解决方案。普天网络的交易型数据中心网络解决方案以极 具吸引力的价格,提供无与伦比的性能和功能,使企业能够充分利用最低延迟、最高永续性交易网络的优势。
解决方案
普天网络交易生产型数据中心网络解决方案包括QFX3500、EX8216、MX系列和SRX5000产品线,堪称市场上扩展能力最强的10GbE线速数据中心解决方案。
10GbE线速交换技术 先进的安全功能 不会降低交易计算能力 完全的高可用性 面临的挑战依靠高性能、高传输率的计算来获得业务成功的企业,需要建立一个复杂的网络,并 利用多种技术来支持其计算基础架构所需的性能。当前的解决方案已不能提供计算基 础架构技术发展所需的简洁性和功能。要想为交易、市场数据和算法交易应用提供网 络级的支持,会涉及很多难以满足的技术需求。一般来说,计算基础架构解决方案包 括了应用、平台驱动直至物理网络设备在内的一系列元素。计算解决方案在设备集群 间要求具备可预测的性能。当前的多层网络基础架构解决方案,并不能提供成功实施 交易平台、算法交易应用和市场数据分发系统所需的可预测性和低延迟。一种新的方 法也由此应运而生。
在交易计算领域中,延迟显然是一个重要的考虑事项,因为从源更快地将市场数据传 输给交易方或系统,将有助于更有效、及时地制定决策。而且,决策通过网络到达目 的交换地的速度也将影响到该请求的相对优势。但是,延迟并不是唯一需要考虑的因 素。不同交易往返时间的差异也是一个重要因素。抖动会影响平台或交易系统的总体 价值,因为,利用一个低抖动的基础架构可以实现一个可预测和公平的交易系统,向 所有客户提供相同的高性能体验。
由于性能特征对计算系统的使用至关重要,并且网络性能还与财务业绩密切相关,因 此,毫无疑问,企业首先、也最看重解决方案的性能,但与此同时,他们还需要一个 可扩展(以适应未来发展)、易管理(现有IT员工就可以管理)、安全(避免对业务 产生任何不必要的中断)的解决方案。
总之,如今的交易型数据中心需要一个高速、安全、易管理和强大的网络基础架构。
普天网络交易型数据中心网络解决方案
普天网络交易型数据中心解决方案能够为企业提供业内领先的高性能网络数据中心基 础架构,可为服务器、网络附加存储(NAS)和存储区域网络(SAN)提供10GbE连接,并 提供10GbE以上的状态防火墙业务网关和先进的边缘连接设备。
这一解决方案提供如今市场上功能最强大的10GbE服务器连接,适合于那些希望优化 交易和市场数据系统集群之间以太网连接的企业。通过在网络核心使用模块化的普天 网络Junos操作系统,能够简化操作,并显著提高网络运行的灵活性和可靠性。
该交易型数据中心网络基础架构基于Junos Os。这就显著降低了维护数据中心网络基础架构的总体运营支出,并为新兴的业务应用 提供支持。
通过实施普天网络交易型数据中心解决方案,企业能够支持最新的交易应用基础架构。该解决方案通过在普天网络EX8200以太网 交换机产品线上使用Junos OS L3功能套件,可支持多种多播应用。该解决方案使用普天网络MX系列3D通用边缘路由器,可在多 个位置间支持虚拟专用局域网服务(VPLS),透明地连接应用节点,并满足无缝的高可用性需求。此外,通过使用集群交换技术, 该解决方案还支持无生成树的拓扑结构,以提供高可用性支持。
该交易型数据中心有两种规模:小型化的用于规模和功耗至关重要的共置(Co-location)部署;以及高密度10GbE部署,其中两个网络层将支持数量最多的10GbE服务器,以满足更大规模的计算需求。
该网络布局提供一个倒“U”型上行链 路连接机制,通过主用/备用服务器网络 接口卡(NIC)连接来充分利用上行链路, 并支持完全的上行链路冗余性。我们建 议在每个服务器机架顶部安装2台普天网 络QFX3500以太网交换机,以便通过冗 余接口将40台10GbE服务器连接到2台架 顶交换机。利用一个8成员的链路汇聚组 (LAG)中的8个上行链路(其中的4个成 员 各 连 接 一 台 EX8200),每 台 架 顶 交 换 机 最 多 可 连 接 2台 EX8200交 换 机 。 EX8200交换机中的下行链路数量不应超 过可用端口数量的八分之七,以便始终 有 八 分 之 一 的 端 口 可 用 于 集 群 交 换 连 接。通过将所有架顶的上行链路都配置 为 主 用 状 态 , 我 们 可 以 利 用 用 16个10GbE上行链路将40台服务器连接到核心网络,从而通过完全非阻塞硬件有效实现1:2.5的超额开通率。如果使用一对普天网络 EX8216以太网交换机,下行链路的总数量将达到224个,从而使14个服务器机架能够分别连接各自的40台服务器。(在保留八分 之一端口的情况下)在一个交付点(POD)总计最多支持1120台服务器。MX系列3D通用边缘服务器可实现POD和其它位置的互连, 甚至无缝地作为数据中心的核心,这样从运维角度看就能使所有位置都极为相似,并根据需要保持L2或L3的连接。当然,此时 POD之间的带宽特性将发生变化。
特性与收益
发表于2016-11-18 02:04:27
问题和挑战
从整体网络架构来看,金融用户在进行 数据中心安全架构设计时,主要会面临 如下几点问题:
建设目标
普天网络公司一直关注着银行行业的发展,凭借在安全领域多年积累的经验,结合银行业的发展特点,普天提出了独有的安全 解决方案。目的就是保证银行在引入新技术、对数据中心内部进行改造、外围环境发生变化时,整网的安全性不会受到影响。普天网络公司将会继续通过提供业界领先的安全整体解决方案,为银行行业的持续发展提供最安全的保障。
解决方案
梳理/重构安全区域>
如左图所示,先定义最基本的分区架构:Internet区域与业务及OA区域物理隔离,业务与OA业务之间通过防火墙隔离。然后 进一步界定业务区域的分区:根据安全级别,将外联区、WEB服务区、测试区、骨干网接入区、网管区等区域划分出来;再根据 职能详细划分某些关键区域的安全,例如将DNS等基础业务剥离独立城区,将开放业务区根据类别分成多个区域,将需要引入虚拟 化的主机业务单独分区等等。
虚拟化安全
普天通过vGW虚拟网关这来解决数据中心的虚拟化安全问题,vGW能够监控和保护虚拟环境的安全,同时确保最高水平的虚拟 机主机容量。管理人员利用基于Web的管理控制台来定义和集中管理传统的防火墙规则,其中包括允许和拒绝的源、目的地、协议 以及采取的行动等。规则可以适用于所有虚拟机、一组具有相似的连接性和安全需求的虚拟机,或者单个虚拟 机。采用这些规则的策略还可以在全局、群组和单个虚拟机级别上执行。这种三层的规则和策略结构在简化管理的同时,还能让网 络管理员对虚拟网络的流量进行细粒度的控制。
得益于普天的P+V架构,可以 保障虚拟防火墙与物理防火墙之间的 信息同步。当vGW虚拟网关部署到物 理主机上时,vGW会直接调取普天 SRX防火墙的配置,了解自己所管辖 虚拟主机与其他虚拟主机之间的访问 关系,并相应调整vGW的配置;同样的,当vGW生成了新的虚拟机配置时,vGW也会将新虚拟机的命名、主机地址、访问关系等同步到普天SRX防火墙。
远程维护、远程办公的安全接入
普天通过 MAG系列网关为授权用户提供安全的远程和移动SSL VPN连接。普天 MAG支持为不同接入需求的用户提供不同的接入页面,用户在登录前可了解安全提示、系统维护时间等等信息。用户在登 录时,MAG网关可以基于多种因素进行授权,如用户的登陆地址、安全状况、登录时间等,甚至可以根据终端的文件系统与注册 表等信息来判断是否用户是使用自己的笔记本还是用的公用终端。在授权时,可支持细粒度的访问控制机制,实现应用层的访问控制,例如判断出用户是在网吧使用公用终端,MAG会临时限制用户可以访问的URL、文件、读写权限等。
对于机场、网吧、公共平台这类特殊站点MAG还可以建立基 于用户的虚拟安全工作站,保证内部 文件和数据的安全。在完成登录后, MAG会持续检测终端的安全状态,如 果终端的安全状况发生了变化,将强 制重新对用户进行评估和授权。
发表于2016-11-18 02:04:45
问题和挑战
轻量级制造园区的信息化建设主要面临如下的三个挑战:
密集办公条件下的信息安全问题:办公区域紧凑,非研发终端接入研发区端口,造成研发核心信息资产泄密;研发电脑通过厂区内的WIFI接入非研发区,外发核心信息资产。
低成本、可持续扩展的数据中心:数据中心空间小,存在安装、布线、搬迁和扩容方面的困难;轻量级企业初期规模小,但发展速度快,如何既要保证数据中心初期投资不能太大,又要保证系统的可扩展性,且初期规划的时候数据中心就需要考虑可靠性组网,保证后期扩展时组网架构的稳定。
低成本移动统一通信的需求:园区人员流动性强,需要一个低成本的移动统一通信纠方案;园区偏远,手机信号差,需要有一个替代手机通信的移动通信方案。
解决方案
密集办公条件下的信息安全设计
基于位置和设备的全员认证,解决端口账号混用:通过全员认证,账号/接入终端绑定,账号/接入区域绑定,基于用户组设定权限四个设计点,解决轻量级制造园区内密集办公端口混用的问题。
无线接入集中认证
无线集中认证,解决研发区终端通过WiFi访问外网的信息安全高风险问题:通过有线无线一体化认证,保证非研发无线用户的正常访问,在研发用户试图接入AP时,将会认证不通过,被AC禁止访问。
低成本移动统一通信设计一人一号、低成本、移动化的园区实时通信方案,解决园区内人员流动性强,外场调测移动通信频繁,手机信号弱,移动通信协作难的问题:灵活多样的组网及部署方式,保证室内室外Wifi无线网络全覆盖,每个员工分配一个企业办公公网号码,实现一号寻人。
移动通信解决方案
精细化AP部署,二层快速漫游,多AP负载分担保障园区内WiFi语音及视频服务质量,实现移动通话切换无感知:室内外,楼宇间及人员高密区域,采用相应的AP部署策略,保障无线覆盖无盲区。移动通话切换试验由普通漫游的250ms,缩短到小于100ms,实现用户漫游无感知。
发表于2016-11-18 02:04:59
问题和挑战
高等教育承担着培养高级专门人才、发展科学技术文化、促进社会主义现代化建设的重大任务。在改革的大趋势下,高校的信息系统的全面更新势在必然。
传统校园网中经常遇到且亟需解决的问题:
以上这些情况几乎是每个学校都共同面临的,网络架构和业务部署模式决定了这些问题存在的必然性。
建设目标
针对以上问题和分析,新一代校园网建设需满足以下建设目标:
多业务承载下的高性能需求
校园网深化管理的需求
提供良好的网络管理和扩展能力
解决方案
实现逻辑连接示意图:
借鉴运营商在新一代大规模网络中的部署经验,结合校园网的自身特点和需求,建设下一代校园网的新的思路:
新一代校园网扁平化网络架构
扁平化架构详细网络拓扑设计:
业务控制层:
宽带接入层:
发表于2016-11-18 02:05:15
问题和挑战
过去的二十年,医院信息化在大致经历了以行政管理为中心、以医生诊疗为中心的初期发展阶段后,步入了以服务患者为中心的数字化医院的发展阶段。数字医院以数字化医院建设为基础,需要实现包括网络服务,移动医疗,远程医疗,健康管理等服务于医疗患者的医疗业务新应用,然而医院信息化的发展现状让我们不得不面临着众多难题:
图1:医院信息化发展的三个阶段
建设目标
现代化的医院信息化要求数字医院解决方案同时考虑三个层面的问题:第一层面,医疗业务的信息化,实现网络化、无纸化、无胶片办公;第二层面,信息资源的管理,实现信息的整合、应用的整合,发挥信息化的优势;第三层面,从服务出发,激活医疗信息化的需求,激活时空阻隔,信息充分流通共享,持续创新,满足医疗服务的不断发展。
解决方案
信息化建设在现代化医院的运营中正发挥着越来越大的作用,我们需要更好的利用信息技术来实现沟通协同、业务覆盖和资源整合。普天深入体察医疗信息化发展的需求,提出了促进医疗信息资源流通的数字医院解决方案,实现了各医疗子系统之间以“EMR”为中心沟通融合。
图2:普天数字医院解决方案概览
普天数字医院解决方案的三大特点:
延伸医院信息化覆盖范围
普天数字医院解决方案在保证医院传统的管理和临床信息化基础上,支持移动医疗,远程医疗,慢病管理,医疗云等医疗业务的开展。
医疗业务深度整合优化
通过医疗云可实现医院信息化资源的优化复用、弹性扩容、安全管控、运营节能综合经营目标;协助构建以电子病历为核心的综合信息平台,解决医疗流程的协同优化。
开放合作的解决方案
开放融合的医疗云服务平台使得我们可以与各种医疗信息化应用厂家一起共同扩大医疗信息应用的效能。
发表于2016-11-18 02:05:30
问题和挑战
银行业未来的发展趋势是银行业和信息技术的密切结合,只有拥有信息技术优势银行才在业务上拥有优势。伴随着信息化进程的不断深入,信息安全已经引起各大银行的重视,是信息化建设的重中之重。
当前银行网络的特点:
根据以上特点,银行网络可划分为数据中心,骨干网和分行网络三块区域分别提供不同网络功能。其中骨干网主要实现与分支机构的连接,而数据中心又可细分为多块功能区域:
数据中心
传统金融数据中心简单划分安全区域存在的问题:
建设目标
银行网络整体安全设计思路:
金融数据中心安全建设思路:
通过网络安全区域划分最终实现同一业务系统各层次间纵向访问控制,不同业务系统间横向隔离及访问控制。
解决方案
金融数据中心整体架构
外连路由器:
外层防火墙:
DMZ核心交换机:
内层防火墙内层防火墙
内网核心交换机:
分布层交换机:
接入交换机
发表于2016-11-18 02:12:13
问题和挑战
随着公司业务的迅速发展,对于信息化建设以及网络基础设施的发展提出了更高的要求,另一方面,证监会对券商的网络安全提出了更高的标准与要求。证券公司对自身的网络安全建设提出了更高的要求,希望将增强现有的网络安全措施,提升现有的网络安全防御体系。
当前银行网络的特点:
建设目标
采用PGM防火墙和IDP解决方案为证券所有的网上交易平台提供了全面的安全防护;采用PGM SSG140为全国58家营业部提供业务网安全防护;采用PGM SA4000为OA用户提供远程安全接入。通过部署PGM的解决方案,证券网络构架实现了最高的安全性,任意区域间的互访都经过了防火墙的访问控制,实现了完美、集成化的网络安全体系。
解决方案
金融数据中心整体架构
协助完成营业部内网的核心交易和非核心交易网段分离,并达到交易及办公通讯线路的分离。设置调整营业部交易防火墙策略,满足营业部各网段间及营业部与总部交易、办公网的访问控制。完成营业部防火墙主备模式配置,并制定相关应急措施以满足主备防火墙同时故障下的交易业务的正常开展。根据需求,在每个营业部部署2台PGM SSG140防火墙作为营业部业务网络的核心防火墙。通过PGM安全设备的部署,满足了证券营业部安全改造的需求,提升了证券营业部网络的整体安全性和可靠性。
为了真正实现网络防火墙全异构,在总部核心交易区边界处部署两台PGMISG1000防火墙,提高整体网络的安全等级。防火墙部署为透明模式,与总部原有防火墙配合完成各应用系统的访问控制,确保业务数据的安全。利用ISG1000基于安全域的策略配置,可以灵活针对交易流量,非交易流量,营业部数据流量设置相关安全策略和策略行为,最大化提升核心网络内网安全级别。托管机房防火墙及入侵防护设备的部署证券在全国有7个托管机房,主要提供网上行情、网上交易业务及网站发布等功能。主要实施内容如下:
各托管站点互联网防火墙采用PGM SSG 550M(100兆带宽)及PGMISG1000(1000兆带宽)防火墙,每条线路一台,配置相关访问策略以满足各互联网应用的访问控制。
每个站点部署一台PGM IDP 250防入侵设备或ISG 1000附带防入侵模块,做到满足业务应用情况下的入侵检测防范。
IDC安全部署说明证券的IDC托管机房有不同的出口带宽,其中,3个有千兆Internet出口的IDC机房,部署PGM ISG 1000防火墙加IDP模块,每个IDC部署2台PGM ISG1000,每台PGM ISG1000配置1块IDP模块,两台PGM ISG1000以主备的高可靠方式部署,提供高性能的防火墙与IPS。其余4个站点为百兆Internet出口,其中两个部署2台PGMSSG550M以HA的方式部署,另两个站点为Internet出口部署单台PGM SSG550M。配置相关访问策略以满足各互联网应用的访问控制。4个部署SSG550M的站点部署一台PGM IDP 250入侵防御设备,部署在IDC托管机房,对来自Internet的流量进行应用层检测期货交易主机房安全防护和营业部网络类似,证券采用两台PGM SSG140作为期货交易主机房的核心防火墙,分别作主/备高可用性模式,避免单点故障。对于期货总部网络,根据业务和安全性将网络分成不同安全区域,实现逻辑上的安全隔离。对于各网段之间访问,可以根据安全需求,在PGM SSG140上配置相应的访问策略和攻击防护策略,并可以对不同种数据流执行分类和服务质量的保障。除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、根据安全需要在策略里定义地址翻译等功能。通过这些主要的安全元素和附加元素的控制,PGM SSG140可以对进出期货网络的数据流量进行严格的访问控制,达到保护内网系统资源安全的目的。
网络的安全离不开对设备安全的管理。PGM防火墙支持丰富的管理功能,防火墙本身自带Web Ui管理界面和命令行管理界面,可以方便的通过图形界面或命令行完成防火墙的配置和维护。由于证券部署了大量的PGM安全设备,为了能够对分布在各处的安全设备进行统一管理,证券还采用了部署PGMNSM集中管理平台系统对各PGM设备进行统一配置、日志收集、性能监控。证券在数据中心部署了一套NSMXpress集中管理系统。由于它提供的统一集成式管理界面能够控制所有的设备参数,因此大大降低了安全设备管理的复杂性。NSMXpress管理系统只需几分钟就能安装完毕,并且易于扩展和部署。对安全管理用户来说能够从NSMXpress获得很多收益。它为IT部门提供了一套简单易用的管理方案,同时控制数据中心、站点托管机房和营业部安全设备,包括设备配置、网络设置、安全策略管理、设备性能监控等。借助NSM,IT部门不但能利用统一的集中式解决方案管理整个设备生命周期,还能全面了解整套的调查和报告工具,对于需要存储180天的日志,NSMXpress本身自带高容量存储单元,同时可将日志导出到其他存储设备进行保存。数据中心技术人员能够和IDC或营业部安全管理员通力合作,提高管理效率和安全性,减少支出,降低运营成本。
发表于2016-11-18 02:12:36
问题和挑战
证券公司业务的发展带来了信息化的升级需求。合并了证券之后,证券拥有了两个数据中心,分别位于上海和北京。随着业务的发展,证券希望把上海和北京的数据网络整合,整合多张网络,采用一张网络提供稳定快速的服务。然而,证券行业有着业务系统繁多、数据量巨大以及对于整体网络的工作连续性要求,这些客观要求对于证券和PGM的工程师提出了不小的挑战。证券目前有39个营业部,分别连接在上海和北京的两个中心,同时,证券需要通过广域网访问业务服务器和交易数据。在证券公司与银行之间的数据访问方面,上海和北京的两个数据中心需要与5家银行在业务数据通信方面的访问。需要通过VRRP实现了数据的冗余备份,实现了两中心与上证和深证交易所之间的业务通信。同时,上海和北京的两个数据中心要通过L3 MPLS VPN网络承载实现数据同步。在管理方面,证券需要通过L3 MPLS VPN网络承载,不建立独立的网络。
建设目标
PGM网络的工程师经过和证券客户的紧密沟通,利用自己强大的产品和方案实现了客户对网络的设计构想,并针对升级后的网络进行了业务连通性、路由容量以及路由振荡方面的严格测试,通过测试表明,PGM的解决方案在各方面均能满足证券的需求。通过此次PGM的解决方案实施,证券顺利完成了异地数据中心的网络重组,原有的多套网络被整合成为了一张高性能、高稳定性的网络,高质量的信息化建设为证券的业务发展起到良好的助推作用。
解决方案
证券信息技术部对以上问题进行充分考量,提出了新颖的网络架构,与各个网络设备厂商进行了充分的交流,并组织主流网络设备厂商进行了严格测试。经过全面的比较,PGM网络凭借强大产品线和丰富的行业经验,结合证券客户提出的构架思想,以过硬的产品质量和性能指标胜出,完美的承担了此次方案的设备供应和主干实施工作。解决方案整体采用了4台PGM M10i路由器,2台PGM M7i路由器,46台PGM J2320路由器以及8台PGM EX 4200交换机。具体网络结构图。
网络结构示意图:
网络结构拓扑图:
PGM具有全面的路由交换产品,为证券构建从总部到分支的总体解决方案。在北京和上海中心部署的PGM M10i作为PRouter,部署PGM M7i作为PE Router,为业务提供L3 MPLS VPN和L2 MPLS VPN的网络接入。具有高可靠性、高稳定性,解决原有高流量时不稳定的问题,并具有高密度端口,为以后的业务扩张做好准备。在北京和上海部署PGM J2320外联银行和交易中心,传送资金交易数据,并在北京与上海直接启用VRRP,互为备份,通过VPLS传送VRRP心跳,在Master出现故障时进行切换。并在外联Router与PE之间通过PGM EX4200连接,提供冗余电源,消除单电源故障隐患。部署PGM EX4200系列交换机组成VC作为核心交换机,接入北京和上海本地业务。在各营业部部署PGM J2320路由器,通过E1上联北京和上海的P Router。
