基础网络架构解决方案建立在网络生命周期的基础上,该周期包括准备、规划、设计、部署、运营和优化6个基本阶段,在充分调研和理解客户需求的基础上,确保客户在网络生命周期的各个阶段都获得所需的支持服务。
服务导向网络架构的提出,就是要加速应用、业务流程和网络资源之间的使用和融合,并使 IT 能够为企业和客户提供更好的服务。这就要求业务、应用开发、系统和网络各部门人员不再是以往串行的工作模式,而是要求人员之间进行更有效的相互沟通,加强互动,企业网络架构设计人员在新的业务、应用模式提出的初期阶段介入其中,并提供相关的指导意见,使得新的业务和应用模式能够符合企业网络架构和安全规范。同时创新的业务和应用模式也可能要求网络必须发生相应的调整和改变,这种改变甚至可能是巨大的,以符合企业整体信息架构的需要。
在今天数据大集中的背景下,企业建立自己的数据中心,用于存放企业关键数据,运行企业核心业务。数据中心既是企业的业务处理中心、信息资源中心,同时也成为了企业完整基础网络架构的中心。企业的其他部分网络,这包括总部中心网络、分支机构网络、第三方单位外联网络、Internet/VPN网络等,都存在接入到数据中心网络的需求,获取数据中心提供的相关服务。
企业数据中心网络
数据中心网络通常根据模块化或者区域化设计原则,按照每个业务功能划分不同的区域,比如可以划分为:生产区域、外联区域、骨干网接入区域、Internet接入区域等。这需要根据企业的实际业务流程和模式进行划分。而每个区域内部,则根据层次化设计原则,划分为核心层、汇聚层、接入层。各功能区域之间通过核心交换区域进行互通。
企业备份中心网络
企业根据需要建立备份中心,这包括同城灾备中心和异地灾备中心,确保在灾难发生的情况下,企业业务能连续运作,不间断的为客户提供服务。 数据中心的备份包括备用应用系统、备用数据处理系统、数据备份系统、备用网络系统等方面,而这些都建设在相应的备份中心。备份中心的网络结构和数据中心网络结构高度一致。高度一致并不是完全的复制和雷同,而是在满足灾备要求的前提下,根据企业具体情况,组建和数据中心相近的网络和通信设置。比如备份中心可能只在主要节点采用冗余的网络结构。 数据中心和备份中心之间通常采用DWDM、SONET/SDH、光纤以太网技术互连,以支持高速低延迟应用,比如同步数据复制。
总部中心网络
企业总部往往是企业管理层所在地,他们需要及时获得企业重要的业务分析数据,进行相关决策和执行相关流程。有的总部中心网络和数据中心网络在同一个地方,有的是在不同的地方。如果是在不同的地方,总部中心网络也有可能通过DWDM、SONET/SDH、光纤以太网技术和数据中心、备份中心互连。 总部中心网络通常也采用模块化和层次化设计原则进行规划设计。
分支机构网络
分支机构网络是企业整体基础网络结构的重要组成部分。企业分支机构有可能进一步划分为一级分支机构、二级分支机构,一级分支机构通过广域网直接连接到数据中心网络,二级分支机构则通过广域网连接一级分支机构。这需要根据企业具体的网络需求来确定。 分支机构网络通常也采用模块化和层次化设计原则进行规划设计。
企业骨干网络
企业通过广域网实现各级别分支机构、分支机构和企业数据中心网络之间的连接。通常称这样的广域网为企业骨干网。线路类型主要有点对点DDN专线、SDH 2M线路、ATM线路、帧中继线路等。分支机构到数据中心网络一般采用两条广域网线路,这两条线路通常采用不同运营商,在这两条线路上实现数据分流和线路互备策略。另外会部署QoS策略,保证业务数据优先。
企业外联网络
企业需要通过广域网和第三方单位比如合作伙伴通信。通常称这样的广域网为企业外联网。第三方单位通过数据中心外联区域访问企业数据中心网络,外联区域安全级别较低,通常采用防火墙、NAT等安全手段,保证数据中心的安全。
Internet/VPN网络
目前企业网上应用的使用为客户提供了极大的便利,比如银行网银系统。客户通过Internet访问企业数据中心WEB服务器,获取相关服务。另一方面,当企业员工需要通过Internet访问企业资源时,可以采用VPN(虚拟专用网)技术,建立一条端到端的安全通道,类似于专用网络,保证员工安全访问企业资源。VPN提供了与传统的专用网络相同级别的信息安全。 Internet接入区域的安全级别较低,通常采用异构的二层防火墙,保证数据中心安全。
以上是对企业完整的基础网络架构的各个部分网络进行描述,当然,根据具体企业的业务模式和网络需求,每个企业可能会有所不同。在深刻理解今天企业客户的联网需求的基础上,充分利用和调动自身网络规划与行业领域的实践经验和丰富的资源,积极帮助企业构建和优化各种类型的基础网络架构平台,这包括上面提到的数据中心网络、总部中心网络、骨干网、分支机构网络、外联网络、Internet/VPN网络等。在一个强有力的IP基础网络架构平台之上,让企业的业务触角无处不在,无论是客户、合作伙伴、雇员还是竞争者能随时随地进行沟通,实现企业资源和信息的使用和共享。
一、面临挑战
随着社会的发展和科技的进步,真实有效的信息已经成为企业赖以生存的源泉,企业信息化的水平已经成为企业的核心竞争力,但是随着企业信息化建设的普及与规模发展,企业所面临的风险和威胁也越来越大。外在的因素、内在的因素与更多不可欲知的灾难,时刻威胁着企业生存。绝大多数企业都无法承担由于计划外系统中断造成的停机而带来的经济与信誉等诸多方面的损失。而如何做到企业的业务永续运行,已经成为困扰企业经营决策者们的头等大事。
根据我们对多家企业的数据中心事故的分析,我们总结出了数据中心安全运营的五大威胁:
第一:停电
机房意外停电是我们数据中心最常见的威胁,轻则导致设备关机,业务不可用;重则导致存储设备数据不一致,设备无法开机导致数据永久丢失。
第二、病毒
病毒是最常见的安全威胁,因为病毒实时在发生变化,没有一款杀毒软件可以实时防范所有病毒。
第三、数据库误删除
经统计数据中心发生的事故中人为误操作事故的比例要远远高于设备故障造成的事故比例,因为人工运维管理的需求是多变的,加上人的状态很大程度上会影响工作的质量和效率。
第四、程序bug
因为程序设计的时候没有办法测试所有实例,所有一些问题经常是慢慢发现,慢慢修复的。我们看微软每年发布多少补丁就知道了我们的程序有多少漏洞,这些漏洞随时可能导致程序崩溃,导致业务不可用或者数据不可用。
第五、存储宕机
存储宕机虽然不经常遇到,但是只要是程序就有bug,所以每年也是有几例存储宕机事故被报道出来的。另外一个raid5中同时坏掉2块硬盘也会导致数据不可用。
二、解决方案
针对以上的数据中心安全运行需求,我们采用合适的技术手段一一解决潜在的威胁:
第一:电源风险
我们通过UPS不间断电源+本地双数据中心来解决,具体设计是在本地园区的两个相隔不远的大楼各建一个机房,中间通过裸纤互联,设备分别放到两个机房,做成双活架构,每个机房配置足够的UPS。
第二、病毒、数据库误删除
针对病毒和数据库误删除这种数据逻辑故障问题,我们采用CDP数据录像功能来解决,具体方案是通过CDP设备每隔几十秒对生产存储做一次快照,数据出现误删除或者发现病毒,我们可以在几分钟内将生产数据回退到之前正常状态的任意时间点。
第三、程序bug
针对程序的故障,我们分别在应用层使用负载均衡器实现应用的水平扩展和高可用,任意节点程序故障或者服务器故障,应用不受影响。
数据库层面我们使用数据库自带的高可用方案比如oracle rac实现数据的水平扩展和高可用,防止程序bug导致的业务中断。
第四、存储宕机
针对存储故障我们在用vplex metro实现存储的虚拟化和高可用镜像,不管任意存储宕机,数据库可以无感知的继续运行。
通过以上改造最终达到无论是出现电源中断、设备宕机、程序bug、人为误操作、甚至机房出现意外都可以让业务零中断的效果!
另外我们的方案还可以根据业务的发展实现本地双活数据中心到异地双活数据中心的平滑过渡,有效的保护了前期的投资。
三、 客户收益
1、防止机房电源故障、网络带宽出口故障等设备故障导致的业务不可用问题。
2、预防服务器、网络、存储设备故障导致的业务中断或数据丢失问题。
3、防止运维人员误操作导致的数据误删除、或者中病毒等原因导致的长时间业务中断,实现分钟级别的系统回退。
安全信息和事件管理
背景
伴随着网络相关业务和应用的飞速发展,安全风险也迅速增大,防范和化解安全风险成为切缘非常关注的问题,这就迫切要求企业加大信息化安全建设、风险监管建设的力度,使各信息系统具有更高的安全防范体系。同时,为满足中国各行业法律法规的监督和管理,逐步向国际化管理靠拢,降低安全风险,增强事后审计与取证的能力,这需要IT系统建立严密的计算机管理规章制度、运行规程,并建立良好的故障处理反应机制,对风险政策制度、安全信息分析、风险监控等方面实行全行集中管理,建立健全的安全集中监控体系,保障信息系统的安全正常运行。
解决方案
安全信息与事件管理平台设计是三层分布式体系结构,主要由事件收集引擎、关联分析引擎、事件数据库和管理所有安全结果的显示台(也即控制台)组成。
1.事件收集引擎:负责收集和处理来自于多种厂商的设备的数据,设备包括:路由器、防火墙、防病毒、入侵检测系统、电子邮件日志、访问控制、VPN、防DoS攻击设备、操作系统日志等等。
2.关联分析引擎:负责实现管理、关联分析、过滤和处理企业中所有发生的安全事件,它位于整体解决方案的中央,作为控制台、事件数据库和事件收集引擎之间的连接。
3.事件数据库:集中存储所有收集的事件,以及所有安全管理配置信息。
4.控制台:配置系统、展示企业安全状况,提供集中实时查看企业安全事件、深入调查分析以及对事件的自动响应的能力。
工作性质迅速变化,多种趋势导致人们的交互和业务开展方式发生巨大转变,企业面临着诸多挑战−员工队伍移动性更强、更分散−内容和设备急剧增加−跨组织合作和流程增多−视频通信迅速增多人通常是企业最重要的资产,也是其最大的消耗。在信息经济中,公司员工的知识和专业技能是至关重要的竞争一轮的创新和效率突破不大可能通过增加更多传统的 IT 系统或“办公工具”来实现,而是应顺应这些新趋势,让企业员工之间能随时随地以更及时、更自然、更全面的方式协作。
方案介绍
1、建设目标
协作是指一起实现共同的目标。就在不久以前,人们协作的最好方式还是在同一时间聚集到同一地点,直接面对面的沟通。而在今天全球化的经济环境中,由于业务资源的分散、服务的外包、办公设施和差旅成本的日益增长,将人们聚到同一个物理地点不再是最有效的协作方式。但是,随着思科协作解决方案的推出,人们现在可以随时随地互相协作,极大地节省了时间和费用。思科协作解决方案支持全部的语音、视频和数据通信,包括移动协作的最新发展。
2、方案概要
思科协作解决方案整合了许多高级应用程序和服务,其中包括:
3、方案价值
思科协作解决方案可为人们提供前所未有的联系、交流和协作方式,从而使企业或机构能够改善交互、鼓励创新以及更快更好地作出决策。协作可在三方面提供投资收益 (ROI):
运营 ROI
协作通过减少或避免差旅、基础设施、能源和办公空间成本来改变运营方式。这个方面是最容易实现的,通常也是企业首要考虑,并往往能获得最高的短期收益。
工作效率 ROI
提高员工工作效率是下一个巨大的业绩挑战和机遇。因此,更有效的协作能简化产品开发流程,加快产品进入市场的速度,或缩短销售周期。整个组织的参与度越高,产生的综合影响就越大。
战略 ROI
战略 ROI 最难衡量,但可能最具变革意义。从这个角度来看,协作可用于重构客服理念,开发新的业务模式,或将已有的竞争优势带入新市场。
4、方案优势
思科协作 (Cisco Collaboration) 解决方案可通过以下方式帮助您应对今天的种种商业挑战并赢得竞争优势:通过实时语音和视频通信让业务交互改观快速组建动态团队,无论身处何处,都能更快更好地做出决策通过即时联系公司专家,提高客户响应积极性跨越传统企业边界实现安全连接、通信和协作
一、面临挑战
1、用户需要在建筑物内使语音和数据通信设备、交换设备和其他信息管理系统彼此相连,同时也使这些设备与外部通信网络相连接。
2、网络布线是信息网络系统的“神经系”;
3、网络系统规模越来越大,网络结构越来越复杂,网络功能越来越多,网络管理维护越来越困难,网络故障系统的影响也越来越大;
4、网络布线系统关系到网络的性能、投资、使用和维护等诸多方面,是网络信息系统不可分割的重要组成部分;
5、综合布线系统是智能化建筑连接“3A”系统的基础设施。
二、解决方案
综合布线系统是指按标准的、统一的和简单的结构化方式编制和布置各种建筑物(或建筑群)内各种系统的通信线路,包括网络系统、电话系统、监控系统、电源系统和照明系统等。因此,综合布线系统是一种标准通用的信息传输系统。
综合布线系统是智能化办公室建设数字化信息系统基础设施,是将所有语音、数据等系统进行统一的规划设计的结构化布线系统,为办公提供信息化、智能化的物质介质,支持将来语音、数据、图文、多媒体等综合应用。
根据国际标准ISO 11801的定义,结构化布线系统可由以下系统组成。
工作区子系统
目的是实现工作区终端设备与水平子系统之间的连接,由终端设备连接到信息插座的连接线缆所组成。由信息插座、插座盒、连接跳线和适配器组成。
水平子系统
水平子系统也称为配线子系统。
目的是实现信息插座和管理子系统(跳线架)间的连接,将用户工作区引至管理子系统,并为用户提供一个符合国际标准,满足语音及高速数据传输要求的信息点出口。该子系统由一个工作区的信息插座开始,经水平布置到管理区的内侧配线架的线缆所组成。系统中常用的传输介质是4对UTP(非屏蔽双绞线),它能支持大多数现代通信设备,并根据速率要去灵活选择线缆:在速率为10~100Mbit/s时一般采用5类或是6类双绞线;在速率高于100Mbit/s时,采用光纤或是6类双绞线。
配线子系统要求在90m范围内,它是指从楼层接线间的配线架至工作区的信息点的实际长度。如果需要某些宽带应用时,可以采用光缆。信息出口采用插孔为ISDN8芯(RJ-45)的标准插口,每个信息插座都可灵活地运用,并根据实际应用要求可随意更改用途。配线子系统最常见的拓扑结构是星形结构,该系统中的每一点都必须通过一根独立的线缆与管理子系统的配线架连接。
管理间子系统
本子系统由交连、互连配线架组成。管理点为连接其它子系统提供连接手段。交连和互连允许将通讯线路定位或重定位到建筑物的不同部分,以便能更容易地管理通信线路,使在移动终端设备时能方便地进行插拔。互连配线架根据不同的连接硬件分楼层配线架(箱)IDF和总配线架(箱)MDF,IDF可安装在各楼层的干线接线间,MDF一般安装在设备机房。
垂直干线子系统
目的是实现计算机设备、程控交换机(PBX)、控制中心与各管理子系统间的连接,是建筑物干线电缆的路由。该子系统通常是两个单元之间,特别是在位于中央点的公共系统设备处提供多个线路设施。系统由建筑物内所有的垂直干线多对数电缆及相关支撑硬件组成,以提供设备间总配线架与干线接线间楼层配线架之间的干线路由。常用介质是大对数双绞线电缆和光缆。
设备间子系统
本子系统主要是由设备间中的电缆、连接器和有关的支撑硬件组成,作用是将计算机、PBX、摄像头、监视器等弱电设备互连起来并连接到主配线架上。设备包括计算机系统、网络集线器(Hub)、网络交换机(Switch)、程控交换机(PBX)、音响输出设备、闭路电视控制装置和报警控制中心等。
建筑群子系统
该子系统将一个建筑物的电缆延伸到建筑群的另外一些建筑物中的通信设备和装置上,是结构化布线系统的一部分,支持提供楼群之间通信所需的硬件。它由电缆、光缆和入楼处的过流过压电气保护设备等相关硬件组成,常用介质是光缆。
建筑群子系统布线有以下三种方式:
(1)地下管道敷设方式:在任何时候都可以敷设电缆,且电缆的敷设和扩充都十分方便,它能保持建筑物外貌与表面的整洁,能提供最好的机械保护。它的缺点是要挖通沟道,成本比较高。
(2)直埋沟内敷设方式:能保持建筑物与道路表面的整齐,扩充和更换不方便,而且给线缆提供的机械保护不如地下管道敷设方式,初次投资成本比较低。
(3)架空方式:如果建筑物之间本来有电线杆,则投资成本是最低的,但它不能提供任何机械保护,因此安全性能较差,同时也会影响建筑物外观的美观性。
三、客户收益
1、实施后,布线系统将能够适应现代和未来通信技术的发展,并且实现话音、数据通信等信号的统一传输。
2、布线系统能满足各种应用的要求,即任一信息点能够连接不同类型的终端设备,如电话、计算机、打印机、电脑终端、电传真机、各种传感器件以及图像监控设备等。
3、综合布线系统中除去固定于建筑物内的水平缆线外,其余所有的接插件都是基本式的标准件,可互连所有话音、数据、图像、网络和楼宇自动化设备,以方便使用、搬迁、更改、扩容和管理。
4、综合布线系统是可扩充的,以便将来有更大的用途时,很容易将新设备扩充进去。
5、采用综合布线系统后可以使管理人员减少,同时,因为模块化的结构,工作难度大大降低了日后因更改或搬迁系统时的费用。
6、对符合国际通信标准的各种计算机和网络拓扑结构均能适应,对不同传递速度的通信要求均能适应,可以支持和容纳多种计算机网络的运行。
高密度覆盖无线
一、面临挑战
当前,4G移动无线网络中已经成为每个人生活中必不可少交流方式,人均占用终端量越来越高,接入密度越来越高,因此高密度接入是我们目前必须考虑的应用场景。日常办公、生活中越来越多的应用依靠企业无线网络,通过企业无线网络提供日常应用需要。因此无线接入点吞吐量、无线接入点终端接入数、客户端应用的体验、复杂环境安装方式、可扩展性等都是我们目前必须考虑的问题。
目前的问题主要是:
1、来自其它WiFi网络的干扰、非WIFI网络的同频干扰;
2、共道干扰: 一个地方有太多的AP, 但可用信道数量有限,越来越低效;
3、低速率的客户端(ex. 802.11b) 影响整个网络的性能;
4、客户端选择错误的频段:2.4 GHz 信号通常比5G的信号好;
5、很多客户端拥挤在同一个AP上,即使它移动到很远的地方。
因此总结如下:新一代无线网络覆盖必须考虑高密度接入(HDX)的场景应用。
二、解决方案:(高密度接入主要产品为2700\3700\2800\3800)
产品芯片架构
定制化芯片架构优势:主处理CPU、无线电模块CPU
在802.11ac环境下, 总的可用带宽增加到1.3(Wave 2 可达到5G)Gbps, 但仍然还是个共享介质的技术.,思科设计了一个更高效的数据包调度排队机制,可以支持和保证每个Radio下60个客户端的性能和体验,3700支持Radio芯片上设计了一个单独的RAM用于Caching, 利用额外的RAM为每客户端数据包排队的技术Cisco,通过定制化ASIC芯片实现性能加速、优化漫游、智能频谱、智能波束、噪音抑制等。
产品架构特性
1、 Client Link
lClientLink使用多个发送天线,通过调整相位,将信号更集中的发向客户端。
l在混合客户端环境, 通过系统的优化,使802.11a/n and 802.11ac 客户端在自己最优的速率下工作,尤其这些客户端在网络信号覆盖的边缘位置。
l多天线以最佳模式为所有客户端工作: 最短的发送接收路径,利用多路反射。
l基于客户端当前的位置,智能的调整每个数据包的方向,使得客户端得到最好的信号连接。
l增强下行性能,增强用户体验。
2、Clean Air
专用的硬件芯片用于频谱检测;
在对性能没有影响的前提下,提供连续的,系统级智能频谱;
准确的鉴别干扰源, 位置, 干扰影响范围;
自动的响应和避免当前发生的和未来可能发生的干扰,并且全部生成历史记录和报告;
整个网络级别的汇总所有的告警/警报,实现整个网络的健康状态监控;
提供完整的可视化视图,3700支持80MHz 11ac全频段(Wave 2 支持160MHz)。
3、RxSOP: 是AP Radio的接收灵敏度
降低Rx-SOP 到比较低的级别(-95dBm),可以增加覆盖;
增加Rx-SOP到比较高的级别(-75dBm),降低覆盖面积,单可以提供更好的空间的利用率;l 小Cell Size和高效的频谱利用(re-use)在高密度部署中是非常重要的;
4、 智能频宽选择和智能频率选择:智能的使用可能宽的信道、减少信道分配振荡;
5、增强空口介质公平性(ATF):可根据SSID、客户端智能分配空口介质使用时间;
6、 干扰缓解技术:自动化缓解WIFI和非WIFI干扰,增强稳定性和提升性能。
三、客户收益
1、企业客户
在办公环境中,为企业的开放式办公区提供高密度人群、高密度终端提供无线WI-FI服务;
在仓库环境中,为客户RFID扫描枪、叉车等仓储应用提供智能无线漫游、智能缓解无线干扰,最终保障客户良好体验。
2、商业客户
在商场环境中,为访客的商业增值推广、室内导航、大数据分析等提供优异的平台支撑;
在大型会议或活动中,为访客提供应用层面的大吞吐转发,智能干扰分析等商业活动保障。
