产业园区网络解决方案技术白皮书v09.doc

密级：公开 发布对象：所有人员 产业园区网络解决方案 技术白皮书（V0.9） 文档归属：楼馆园VT 文档维护人：刘畅 Tel：15822505500 Email：liuch@ 版权声明：本文版权归锐捷网络有限公司所有，未经许可不得拷贝、传播 目录 1 前言 1 2 园区网需求分析 2 2.1 园区网常见场景 2 2.2 园区网网络建设需求 2 2.2.1 基础信息化需求 2 2.2.2 数据、应用服务融合需求 3 2.2.3 安全需求支撑 3 2.2.4 管理需求支撑 3 2.3 园区网业务体系架构 3 2.4 需求特点总结 4 3 锐捷园区网解决方案 5 3.1 产业园区整体网络拓扑图 5 3.2 园区网解决方案 5 3.2.1 基础网络方案设计 5 3.3 园区网出口解决方案 11 3.3.1 出口技术需求 11 3.3.2 出口区设计 12 3.4 无线网络方案 16 3.4.1 园区网应用场景 16 3.4.2 无线部署方式 16 3.4.3 高速智能转发架构 17 3.4.4 智能角色转换 17 3.4.5 有线无线统一管理 17 3.5 数据中心设计方案 18 3.5.1 建设园区网数据中心需要考虑的问题 18 3.5.2 数据中心拓扑设计 19 3.5.3 锐捷容灾解决方案六大特点 25 3.6 运维管理系统 27 3.6.1 产业园区网络管理面临的挑战 27 3.6.2 产业园区运维管理解决方案 27 4 解决方案价值和特点 34 4.1.1 网络平台保障－实现网络稳定、高速 34 4.1.2 数据存储保障－企业业务隔离，不数据丢失 34 4.1.3 无线网络保障－随时随地接入网络，业务不中断 34 4.1.4 网络安全保障－出口安全保障，确保业务稳定 35 4.1.5 运维管理保障－基于业务的高可控管理 35 5 典型成功案例 36 5.1 青岛软件园案例 36 5.2 大庆外包产业园案例 37 1 前言 随着当前中国经济的高速发展，各企业的业务也随之快速扩张，由于市场竞争的需要，企业围绕关联产业和产业链形成有机的分工与协作关系的产业园区正在快速的发展，逐渐在区域形成了聚集效应，给园区内的每个企业的发展带来了新的契机。 产业园区经济的形成也给各个企业带来了新的课题，为了提高竞争力，推进上下游产业的协同工作，进而更好地管理和沟通，就需要打通企业或部门间的壁垒，使企业的信息流畅通，这样也就必然向企业的IT部门提出了更高的要求—如何构建企业的园区网，能更好地为企业自身服务 产业园区是由同一产业链的多家企业形成的企业社区。入园企业享受相关的优惠政策，园区管委会负责园区建设，并为入驻企业统一提供各种服务；园区的规模、建筑形态等差别非常大。大型产业园占地几十平方公里，小型产业园只有一栋楼而已，常见的产业园类型有：软件产业园，航空软件园，电子软件园，动漫产业园，汽车产业园，医药产业园，环保产业园，物流产业园等等。 产业园快速的发展离不开园区各企业的大力支持，但如何为产业园区的用户提供更好的IT服务是园区开发商和运营部门考虑的重要问题，为更好的向园区内企业用户提供优质的上网服务和其他it配套业务是园区运维部门考虑的重要问题，要建立有特色的产业园区，为吸引更多企业和单位入住产业园区，服务将决定一切，那对于网络服务来说，如何能为园区网用户提供一个高质量的服务，锐捷在进行了多年的园区网建设和实践中可以为您提供一套完整的网络运营解决方案。 2 园区网需求分析 2.1 园区网常见场景 一般产业园的模式分为两种： 1、生产制造型企业：其特点是占地面积较大，包括车间、厂房、仓库等一些列的企业办公楼宇和配套设施，企业自主管理其IT运维服务系统。 2、办公型企业：园区管委会负责建设并自主运营，入住的主要对象是中小型企业，每个企业相对独立，这种用户对服务质量要求较高，尤其是信息化方面的服务。 2.2 园区网网络建设需求 2.2.1 基础信息化需求 n 保障各系统的IT化，信息点全覆盖 n 保障系统的可靠性、稳定性 n 隔离各企业之间的业务隔离 n 保障市场、研发、生产、办公数据的安全性，业务访问的合法性 2.2.2 数据、应用服务融合需求 n 部门间数据割裂：凭证满天飞，报表一大堆；一家一个数，责任相互推；决策无依据 n 对外服务分别提供：无法进行统一的管理和安全部署 2.2.3 安全需求支撑 n 如何保障内部数据共享、应用访问的安全 n 如何保障内部接入的安全 n 如何保障来自Internet、企业外联网络的访问安全 2.2.4 管理需求支撑 n 网络设备可视化管理 n 智能灵活的告警管理 n 关键业务评估和管理体系 n 融合事件、流量、性能和安全信息的多维拓扑呈现能力 最终实现降低企业信息管理的复杂程度，实现运筹帷幄的智能化园区管理。 2.3 园区网业务体系架构 基于以上问题，锐捷网络在进行了多年的园区网建设和实践中，通过对内部维护人员和对外部用户的管理上提出了数字化园区的整体架构。 2.4 需求特点总结 业务永不中断：1、架构稳定 2、设备冗余 3、数据存储连续 快速定位故障：1、业务资源统一管理 2、有线无线统一管理 3、安全行为审计 提高工作效率：1、上下级及时沟通 2、随时随地接入网络 企业业务安全：1、各企业业务相互隔离 2、出口安全 3 锐捷园区网解决方案 3.1 产业园区整体网络拓扑图 3.2 园区网解决方案 3.2.1 基础网络方案设计 架构稳定 完美重启特性 锐捷高端交换产品通过GR完美重启技术，可实现核心产品在进行引擎切换数据不间断转发的时候，路由邻居关系不会产生震荡，提升网络的可靠性。 GR机制的核心在于：当某设备的路由协议重启时，能够通知周边设备在一定时间内将到该设备的邻居关系和路由保持稳定。在路由协议重启完毕后，周边设备协助其进行路由信息同步，在尽量短的时间内使该设备的各种路由信息恢复到重启前的状态。在整个协议重启过程中，网络路由和转发保持高度稳定，报文转发路径也没有任何改变，整个系统可以不间断地转发IP报文。这个过程即称为完美重启。 锐捷RG-S8600系列万兆核心交换机支持GR for OSFP/BGP等路由协议，当主引擎发生主备倒换时，对端设备的继续保持与本设备的协议邻居关系，避免网络收敛和振荡，保证网络的稳定性。 设备冗余 一、 VSU虚拟云交换特性 使用VSU后，两台核心设备逻辑上变成1台。从而简化了网络拓扑。网络中不再需要生成树、VRRP等复杂的协议，大大降低配置维护工作量。此时汇聚到核心双链路上联，等同于双链路连接到1台核心上，实现跨设备链路聚合。即使一台核心或上联链路中断，也可实现快速切换。 二、 双星型链路快速切换 目前双链路上联组网方式已经成为一种很常见的组网方式，因此需要考虑如何保证链路的正常通信。路由技术和RSTP生成树技术均可实现双链路切换，但收敛时间均在秒级，在一定程度上仍然不能满足大多数用户的需求。 为了满足各方面的需求，锐捷网络提出了基于智能高可用IP设计理念的REUP的解决方案，实现了主备链路冗余备份及快速迁移，同时提供更简洁的配置，既保证快速收敛需求，同时又简化相应配置。 REUP技术可实现小于50ms的链路快速切换。设置双上行链路为1主（正常转发数据）1备（阻塞，不转发数据），当主链路断掉后，可实现小于50ms的链路快速切换。REUP可实现负载均衡，允许REUP对的两个端口同时转发不同vlan的数据报文，以便充分利用链路带宽。由于是二层技术，可以承载路由协议、MPLS等技术。 企业之间网络逻辑隔离 由于园区网的业务特点，各个企业经常会访问园区网所租用的数据中心，对于只有一套物理的网络系统的园区来说，各个企业之间访问数据中心需要有隔离措施，避免不同企业之间的交叉互访，所以园区网络拓扑结构一般为物理合一、逻辑隔离的网络拓扑结构，而各种不同的业务系统一般通过VLAN做业务隔离。 基础网络之安全技术 在网络安全层面尼姆达等网络蠕虫类病毒可以通过ACL控制协议的端口可以解决，但是像ARP攻击、等DOS或DDOS攻击该如何解决这类难题？大量的报文流送向CPU，占用了整个送CPU的报文通路的带宽，导致正常的控制流和管理流无法达到CPU，从而带来协议振荡无法管理，进而影响到数据面的转发，如果是核心设备将导致整个网络无法正常运行。 NFPP接受报文的端口或者发送到CPU通过对送往CPU的报文进行攻击检测，的场景进行安全检测，采取相应保护措施，从而达到对管理面、数据面和控制面的保护作用。 NFPP整体框架（见下图）： NFPP整个框架可以分为软件平台和硬件平台两大部分，软件平台主要负责报文流的分类和策略的实施，硬件平台主要对非法用户进行硬件隔离，以达到保护cpu资源的目的。这也符合NFPP“早发现，早隔离”的原则。同时结合IPFIX（IP information Flow eXport）流量监控技术基于端口进行流量监测，帮助网络管理者快速锁定异常不安全的数据源，在网络管理平台全网下发NFPP安全策略，及早的隔离非法数据源。 基于NFPP网络基础保护策略，我们可以轻松应对来自于arp、icmp、dhcp和ip扫描的攻击。 智能流量分析检测 进行流量监控和流量分析是整个网络合理化的重要环节，它能在最短的时间内发现安全威胁，在第一时间进行分析，通过流量分析来确定攻击，然后发出预警，快速采取措施。如何在核心的网络设备上监控流量、限制异常流量就成了大家关注的技术问题。 IPFIX是最新的流量监控技术国际标准，在IPFIX的RFC3917被提议以后，IETF在做流输出的标准化工作，这也是目前各大厂商大力推动的一个标准。通过IPFIX这种标准化的流量监控技术，各个厂商的网络设备可以采用同一种流量监控标准，极大地方便了网络流量的监控和实际部署。 传统的数据流量监控技术采用了特定的数据属性去标示一个数据流。例如，用源/目的IP地址、源/目的端口号、三层协议类型标示一个数据流（采集流量的时候也只采集相应的这几个属性）。网络中的数据流量有着各种各样的属性，只是简单的采用特定的属性去标示数据流并不能全面完整的采集监控流量。但是，如果采用多种属性去表示一个数据流，那采集的流量将会大大增加，极大的增加了网络设备、带宽和上层服务器的压力。  IPFIX采用了“模板”的格式灵活的定义一个数据流。在IPFIX的数据结构中，网络管理员可以在“模板”中灵活的定义想采集的网络流量的属性，然后在输出的数据流中可以包含已定义的“模板”以及相对应模板的数据流，通过这种方式，网络管理员可以自由的添加更改域（添加或更改特定的参数或协议），以便更方便地监控IP流量的信息。另一方面，由于输出格式具有可扩展性，因此如果流量监控的要求发生改变，网络管理员们也不必升级他们的路由器软件或管理工具。 锐捷网络十万兆产品的IPFIX技术是通过在每个线卡对数据流量进行采集，过滤，然后把采集到的数据发送到交换机的多业务卡上进行初步分析统计，最后发送到上层服务器进行数据收集统计，显示出图形化的结果。通过线卡收集采集数据，由业务卡进行初步分析，最后由上层服务器收集统计数据、显示结果，真正实现了分布式的流量监控技术。 使用IPFIX技术，通过对网络骨干链路的流量监控，由交换机将采集的数据发送到上层服务器，根据采集的数据进行模式匹配、基线分析等，可以进行DoS/DDoS攻击和蠕虫等病毒检测，同时结合记录的源数据包相关特征快速定位网络中的异常行为。 3.3 园区网出口解决方案 3.3.1 出口技术需求 园区网出口主要功能 园区网出口主要需求 NAT １、处理NAT及数据转发的技术 ２、NAT能力：并发连接数/新建连接数 3、多千兆/万兆处理性能 出口负载均衡 1、多链路的负载均衡 2、基于智能DNS的负载均衡 安全防护 1、出口的安全防护能力（尤其是防篡改、防挂马） 2、安全设备性能 流量控制 1、应用的识别能力、更新能力 ２、基于应用和用户的流量控制 ３、出口流量、用户统计分析报表 日志审计 １、如何方便定位到用户，而不是IP VPN接入 １、VPN拨入的易用性 ２、VPN用户并发数支持 ３、大量用户的管理 3.3.2 出口区设计 园区网络出口平台的主要功能框架如上图所示，它主要负责承担出口网络的数据转发、流量控制、安全防护、安全审计、远程VPN接入等功能。同时包含DMZ区域，部署DNS、WEB、Email等对外应用服务器，为外网提供相关资源访问服务。 外网连接层设计 外网连接层处于边界网的最外端，是边界网中的数据交换基础平台，此平台主要由边界网中的路由器来。外网连接层需要考虑以下三个方面： （一）路由转发性能，包括网络地址转换（NAT）、基于策略的路由选路（PBR）； NAT性能考核指标主要为NAT并发连接数及NAT每秒新建连接数。 NAT并发连接数指标要求=用户总数x用户并发在线率x每用户会话数=2000x100=20万 NAT每秒新建连接数指标要求=用户总数x用户并发在线率x每用户每秒新建连接数=2000x20=4万 （二）智能路由选路 园区网用户在访问属于不同ISP提供的信息资源时，外网连接层需要智能的根据用户访问的信息资源，选择不同的ISP（不同的广域网链路）来进行访问。从而避免访问路径跨越了不同ISP网络，确保资源访问效率最大化。 （三）多链路负载与备份功能 XX园区网出口网络平台分别连接至2条100M电信链路和1条100M网通链路。为了提高出口带宽的整体利用率，同时提供链路冗余备份，外网连接层必须提供多链路负载均衡与备份功能。在任意一条广域网链路发生故障时，能够自动将流量自动切换到其他广域网链路。 （四）智能DNS解析 为了让园区网对外开放的资源能够更快捷的让外部网络用户所访问，则需要合理引导外部网络用户所访问的路径。例如，通过智能DNS解析功能，在电信网用户访问园区门户网站域名时，自动解析成电信网IP，从而引导电信网络用户从园区的电信网链路访问园区园区门户服务，当网通用户访问时，则解析成网通IP，引导网通用户从XX园区网的网通链路进行访问。由此为外部网络用户提供一个动态最优的访问路径 安全防护层设计 安全防护，是出口网络设计中必不可少的内容。针对出口网络中所部署的安全防护，主要有以下四个方面： （一）报文过滤 通过访问控制列表（ACL）实现了灵活的各种粒度的报文过滤 ,包括：标准ACL 、扩展ACL。 （二）状态检测 基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤，包括：报头检查 、IP分片支持、特殊应用协议支持等。 （三）攻击防御 基于状态检测可以防御的各种网络攻击包括：IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardrop、Land、ping flood、UDP Flood等等。 防止网页被篡改——主动防御，避免网页防篡改软件只能保护静态页面且只能亡羊补牢的尴尬 防止网页被挂马——针对园区网站、政府网站挂马，传播木马盗号的黑客手段 （四）内容过滤 支持URL过滤，它能够针对URL地址进行灵活地分类，并应用到各种策略上，实现基于用户策略的URL访问过滤。支持内容过滤，实时将带有病毒、木马的数据流进行过滤阻断。 应用控制层设计 随着Internet应用的日益丰富，P2P应用的广泛推广，出口带宽的瓶颈效应越来越明显。 由于出口带宽有限，业务应用之间存在带宽竞争关系。目前，出口应用的带宽被P2P大量占用，直接影响了办公、教学、科研类应用的带宽保障。 出口带宽有限、带宽的分配不合理是园区边界网的最主要矛盾之一。因此，边界网中必须设置流量控制设备，对出口各种应用进行智能识别，实时监控出口各应用的带宽占用情况，并以此制定动态的带宽分配策略，实施动态带宽分配，控制P2P应用对出口带宽的过量占用，保障关键业务应用的带宽分配。 远程接入层设计 各个企业用户从外网访问园区网相应资源的时候，通常采用vpn的技术方式来实现，为了扩大服务范围，提升用户的满意度，通过锐捷SAM认证系统的权限管理可实现企业vpn用户拨入访问对应的企业应用服务器资源，而且部署的方式简单，降低管理精力投入。 日志管理层设计 实名制上网日志记录 基于用户名（非IP地址）的NAT日志、URL日志、流量日志记录 对用户的价值 易管理，快捷定位用户，提高管理效率 满足公安部82号令要求 3.4 无线网络方案 3.4.1 园区网应用场景 3.4.2 无线部署方式 对于园区网的无线部署我们采用哪种方式？无线接入点可支持Fat（胖）和Fit（瘦）两种工作模式。如果采用胖AP来进行部署，那么对于无线AP的统一管理和用户接入权限的控制是有难度的，原因如下： n 网管IP地址、SSID和加密认证方式等无线业务参数、信道和发射功率等射频参数均需要手工逐一配置； n 查看状态及用户统计时，需要逐一登陆查看； n AP软件无法自动完成，维护人员需要手动逐一对设备进行软件升级，费时费力； n 无法根据用户归属，进行接入权限分配和划分； n 无法进行负载分担、射频管理等智能业务。 AP统一管理、用户接入权限控制成为构建园区无线网络的首要问题，所以我们认为园区网无线的部署应该采用瘦AP的方式： n 自动查找AC（无线控制器），无需配置即插即用； n 自动识别周边AP，射频、信道自动配置； n 可以进行负载分担、射频管理等智能业务； n 无线控制器对所有FIT AP和在线用户进行统计和管理。 n 自动升级，无需手工干预； n 支持访问权限灵活分配； 3.4.3 高速智能转发架构 锐捷网络在无线方面提出了第二代智能转发架构，提出了智能流分类的概念（可以根据ssid，vlan等信息划分数据流），对于时延敏感类的业务数据进行本地转发，对于安全敏感类的数据实现集中式转发，锐捷网络802.11N AP实际吞吐量为180M，充分体现智能转发的优势。 3.4.4 智能角色转换 智能角色转换体现在以下方面，我们在部署智能无线网络的时候通常会考虑到控制器的冗余，如果一台控制器或者链路出现故障，另外的控制器能够接管所有AP的工作，但是如果我们由于资金有限无法购买多台控制器的情况下如何实现冗余呢？在这种情况下，锐捷网络提出了胖瘦智能转换的概念，也就是说如果当AC宕机后，AP和AC之间失去心跳，那么AP目前的瘦模式会自动切换为胖模式，继续为企业的办公用户提供永续不间断的转发业务。当AC恢复了正常的状态，AP切换为瘦模式。这两次切换的过程无需人工手动干预，完全是AP自动完成的。 3.4.5 有线无线统一管理 RG-SNC-WLAN可对无线网络中的无线控制器和无线接入点等设备与有线网络设备进行一体化集中管理，网管人员对全网设备信息和状态可随时全盘掌握。通过整体拓扑监视、多视图的监视和分组管理，可将行业客户的大规模部署无线网络设备进行集中化的控管。 强大的无线状态管控 RG-SNC-WLAN组件可自动创建系列无线接入点配置文件，统一远程配置AP的射频功率、无线信道分配等参数，并可实时与设备保持配置信息的同步与更新。 通过RG-SNC-WLAN组件中强大的四维监视工具，可实时统计和监视全网的设备工作状态、资源利用、无线设备告警、信道使用情况、实时流量等多维度状态，全部以统计图形直观显示给网管人员，特别便利于网管人员的日常管理工作。 3.5 数据中心设计方案 3.5.1 建设园区网数据中心需要考虑的问题 随着企业之间竞争的加剧，各个企业对数据的安全要求越来越高，保证数据中心的高可用性， 提供7×24小时网络服务成为企业建网的首要目标，也是数据中心建设关注的第一要素。 导致网络不可用，即网络故障的原因主要有两类： 1. 不可控因素，如自然灾害、战争、大停电、人为破坏等 通过建设生产中心、本地备份中心、异地容灾中心，即“两地三中心”模式，通过良好的整体规划设计，保证不可控因素影响下数据中心的高可用。 2. 可控因素，如设备故障、链路故障、网络拥塞、维护误操作、恶意攻击等。 对于园区网数据中心还有一项非常重要的需求：业务分类和隔离需求 在园区网各个企业的数据业务是需要相互隔离的，而且不同企业对数据中心的服务级别也提出了差异化的要求，比如存储空间的要求、安全级别的要求等。 基于以上需求，锐捷网络提出针对于园区网数据中心的解决方案 3.5.2 数据中心拓扑设计 网络设备分层设计 按照网络核心，汇聚和接入的模型对数据中心以及之内的每一个功能区域按照层次化结构模型进行划分： 核心层 构成整个数据中心生产局域网的高速交换核心，为各个功能分区提供高可靠高稳定和支持快速愈合的第三层接入服务。在核心层设计以高可靠，高速交换为主要原则； 汇聚层 各个功能分区的交换核心组成IDC的汇聚层。汇聚层提供各个分区内部接入层的汇聚，作为各个分区的对外接入，集中实现接入控制和安全控制；各种增值业务部署在这一层； 在服务器数量较少和IDC发展初期，建议将核心层和汇聚层合二为一，采用高性能的核心路由交换机作为核心即可，不仅可以节约投资，同时亦可部署各种扩展功能模块或旁挂设备。 接入层 在各个分区主机和服务器的接入，具有高密度的接入能力。支持基于主机端口的访问控制，并针对接入的数据流进行标记工作，便于传输过程中逐级实现针对流量的QoS控制策略。 服务器接入分级设计 分层： Web层 负责应用界面的提供，是业务系统和数据的对外界面。 Application层 负责数据的计算和转换，即中间件技术，如WebLogic、J2EE等。 Database层 负责数据的存储。 三级之间通过交换网络的互连，层层的安全保护，形成结构清晰的易于部署的服务器接入架构。 实现技术保证 锐捷网络在相关产品设计上考虑了诸多因素，包括物理设备、链路层、IP层、传输层和应用层，全方位的提高网络可用性。 硬件设备冗余，如设备双主控、单板热插拔、冗余电源、冗余风扇。 物理链路冗余，如以太网链路聚合等。 二层路径冗余，如：MSTP等技术。 三层路径冗余，如：VRRP、ECMP、动态路由快速收敛。 快速故障检测技术，如：RLDP等。 不间断转发技术，如REUP、GR等。 除了产品高可用性外，锐捷网络在数据中心整体设计上提供完整的高可用方案，具体可分为：服务器接入高可用设计，接入层到汇聚的高可用设计，汇聚层的高可用设计。 一、服务器接入高可用设计 为了实现接入高可用，服务器通常采用多链路上行，即服务器的两块甚至多网卡接入，服务器中的网络驱动程序将两块或者多块网卡捆绑成一个虚拟的网卡，如果一个网卡失效，另一个网卡会接管它的MAC地址，两块网卡使用一个IP地址，而且必须位于同一广播域，即同一子网下。服务器和接入交换机之间的连接方式如下图所示： 服务器采用交换机容错模式分别接入到两台机柜式交换机上，并且将VLAN Trunk到两台设备上，实现服务器的高可靠接入。 二、接入到汇聚高可用设计 锐捷网络推荐三角型接法： －链路冗余，路径冗余，故障收敛时间最短。 －VLAN 可以跨汇聚层交换机，服务器部署灵活。 在实际部署中，还可以根据实际情况选择如下方案： 锐捷网络能够实现分布式设备管理、分布式路由和跨设备链路聚合。部署锐捷网络设备，除了提高网络的可用性，减少单点故障影响，还可以： －分布式处理二三层协议，极大提高网络高性能。 －每组当成一个逻辑Fabric，配置管理更高效。 －堆叠组内设备软件版本同步升级，升级容易。 －整个堆叠组的设备支持热插拔，灵活管理。 －接入与汇聚采用MSTP+VRRP：提高可用性，还可以做到链路的负载均衡。 三、 汇聚高可用性设计 1）汇聚交换设备之间的VRRP； 2）VRRP协议实现虚拟网关的冗余备份机制，配置多个VRRP组实现网关的负载分担，但要注意当一个网关出现故障时，这种负载分担就失去作用了。可以通过配置调整网关的优先级来控制VRRP组内master的选举。合理配置master发送hello报文的时间，这会影响master失效时，backup接替master的响应时间（通常是3个hello时间），但当VRRP组很多时，hello timer设置的过小会增加网关设备CPU的负担。使用非抢占模式时，可以保持业务流量的稳定、减少倒换次数，避免不必要的中断。使用抢占模式时，建议配置抢占delay时间，避免网络不稳定时引起VRRP组内master的频繁变化，严重影响业务。建议在VRRP组内配上对上行端口的监控功能，以提高网络的可用性。通过指定的负载均衡算法，对指向服务器的流量做负载均衡，保证服务器群能尽最大努力向外提供服务，提升服务器的可用性，提升服务器群的处理性能。 安全和运维特性 特点一：防火墙模块的作用 1.应用在服务器区，不仅可以做到保护托管的各部门服务器避免网络攻击 2.安全隔离各办公单位，保证各接入单位安全。 做到以上两点同时，虚拟化一块变多块，无需买多台独立防火墙，简化部署节省投资。 特点二：流量分析模块和BMC系统之间的联动 IPFIX流量分析模块与BMC系统强联动，做到不同企业数据业务系统在网络上的实时预警和故障定位。 BMC+IPFIX，从业务到网路端到端运维管理，体现工作业绩与价值。 数据连续存储 如图所示，在该方案中，采用RG-IS-V2000/3000虚拟化管理引擎，实现FC SAN、IP SAN统一集中管理，通过锐捷存储虚拟化引擎基于网络层的容灾功能——跨盘阵镜像、快照、复制，真正保证了数据的实时镜像和零时间恢复，当一台存储故障时另一台存储可以继续工作，实现无缝切换。完全基于网络层容灾技术架构，采用虚拟化引擎和FC光纤阵列共同实现。 3.5.3 锐捷容灾解决方案六大特点 1. 零时间故障自动切换 当任何一台磁盘阵列因为故障无法正常工作时，无须手工操作，业务系统继续在正常的磁盘中读写数据，完全不影响业务的正常使用，真正做到零时间故障自动恢复，无需人工干预。保证即使在故障发生时关键系统业务决不会中断。 不分主从、同步读写的方式，是该方案实现零时间自动切换的关键所在。 2. 系统平滑升级 传统容灾方案实施周期较长，会涉及到大量的客户端安装和数据迁移的工作。 l 本方案无需在现有服务器上安装任何软件，完全不对现有服务器的兼容性和性能造成影响； l 虚拟化容灾平台可以直接兼容客户现有阵列，无需进行数据迁移，及可实现容灾。保障了停机时间降低到最小，系统平滑切换； l 该方案实施的核心优势在于“业务先行恢复，数据在线容灾”。保证现有业务连续运行的同时，进行数据容灾。实施停机时间降低到最小，最大程度降低业务切换风险。 3. 高稳定性 l 锐捷虚拟化管理平台采用和小型机相同的RISC架构，具有极高的稳定性和性能； l 锐捷虚拟化管理平台所使用的嵌入式操作系统VxWorks。该系统由于开发难度较高，开发周期较长，主要用于对于稳定性和安全性要求较高的国防领域和专业工业控制领域。 高性能，高稳定性的架构配合高可靠的系统保证XX园区系统7×24小时×365天稳定运行。 4. 高性能 l 采用1.5万转的高性能SAS硬盘，相对早期的SCSI和FC硬盘，内部传输率更高，转速更快。报表查询速度提升一倍，但是成本减少一半； l 容灾方案不分主从，相比传统的主从模式，将安全所带来的数据库性能损耗降到最低； l RG-iS-V2000虚拟化控制平台采用了智能业务识别机制，在两个磁盘阵列进行初次数据同步时（或故障恢复时），可根据前端业务的繁忙情况进行镜像自动调优，优先保证业务性能，再利用闲时进行阵列间的数据同步。 5. 降低TCO 采用锐捷容灾解决方案最大程度降低总体拥有成本（TCO）。 l 硬件成本：虚拟化管理平台可以整合XX园区现有存储设备，保护XX园区原有投资； l 软件成本：未来升级不需要为新增加的服务器和磁盘阵列购买任何的License，节省园区未来升级成本； l 管理成本：采用统一的管理平台，管理方便，实施简单，为XX园区节省管理成本。 6. 高扩展性 1）园区级全冗余容灾 锐捷网络XX园区系统容灾解决方案具有高拓展性，能够让XX园区以最小的投入将原有系统升级，实现自动、实时的远程容灾。 我们建议在不同楼宇各放置一套业务服务器、虚拟化平台和磁盘阵列。真正做到跨园区的远距离、业务级、全实时、全自动的园区业务容灾平台。 2）全业务数据整合 随着XX园区业务应用系统的不断发展，数据量的增加，如果出现信息孤岛将会严重降低系统的性能，甚至造成系统的瘫痪，影响XX园区正常工作，成为困扰园区数字化发展的瓶颈。 利用虚拟化管理平台，能够很容易的整合XX园区现有的不同品牌，不同类型的存储设备，将其他业务整合到统一的存储平台进行管理。 RG-iS-V2000/3000虚拟化管理引擎能够让XX园区从容面对未来业务整合带来的难题。 3.6 运维管理系统 3.6.1 产业园区网络管理面临的挑战 3.6.2 产业园区运维管理解决方案 以多层逻辑视图对业务系统进行透视管理 n 多维度立体透视关键业务系统及其资源关系 n 将资源对象按照网络层，计算层，应用层进行分层管理 n 根据业务资源对象之间的逻辑依赖关系，生成资源层间依赖视图 n 根据拓扑关联和业务逻辑关联关系，进行图形化的事件传播显示 智能灵活的告警管理能力------快速定位故障 n 可支持识别，处理，关联多厂商的上千种告警事件，并通过多种手段通知给用户 n 内置上千种事件，并可扩展支持更多的网络和系统事件与告警 n 具备事件匹配和抖动处理，过滤等关联机制，提高事件识别效率 n 可图形化的定义事件处理和分发策略 n 支持短信，邮件，声光等告警通知手段 智能性能指标监测和趋势告警---------快速定位故障 n 可自动进行后台性能指标不间断监测，并根据性能模型实时提示性能变化趋势 n 内置性能采集引擎，能够灵活的通过复杂公式定义采集指标 n 可自动后台运行多个并发采集进程，并生成历史性能数据库 n 可通过自适应算法自动计算业务系统性能基线 n 可进行图形化的性能数据查询和趋势分析 n 可根据自定义性能门限生成告警并通知相关管理人员 多厂商IP网络、系统和应用组件自动发现能力------以业务为核心的IT统一资源管理 n 可自动发现和监控多厂商网络设备，服务器，存储，安全设备，UPS，计算机，中间件等IP基础设施，具备强大的多协议物理和逻辑拓扑发现和呈现能力 n 基于三层路由协议的广域网发现和拓扑呈现能力 n 基于数据库，Web Service接口的应用层中间件自动发现能力 n 在自动发现算法上，作为网络基础设施专业厂商，我们对于网络设备的多样性的支持，对于多厂商的协议尤其是二层协议有更深入的理解和支持，除了LLDP外，还包括一些厂商的私有二层协议，比如CDP，HDP等；在信息处理上，我们能够基于标准的协议数据，进行网络链路的流量负载分析，能够根据负载情况进行染色，能帮助用户一目了然的看到异常流量的分布情况； n n 多线程并发发现机制，成倍优化传统拓扑发现效率，适合大型网络的拓扑发现 n 支持通过标准管理协议对可管理型机房基础设施的监控 融合事件、流量、性能和安全信息的多维拓扑呈现能力------以业务为核心的IT统一资源管理 n 支持分层显示物理和拓扑视图，并可支持多种自动布局算法 n 支持业务系统视图的呈现 n 可提供平面或者网段分层拓扑显示模式 n 通过与事件管理器的无缝连接，实现设备状态在事件管理器中的实时通知与处理 n 在拓扑图中集成图形化流量和性能指标查看视图 n 提供安全域管理视图，直接与安全边界和等级保护体系相结合 灵活强大的可定制报表功能------以业务为核心的IT统一资源管理 n 内置强大的报表引擎，可根据后台任务自动生成运维统计报表并进行自动分发 n 可图形化选择数据，订购丰富的业务和资源运行统计报表 n 后台按照报表定义，按照模板自动生成报表并进行报表分发，自动发送给感兴趣的管理人员 关键业务评估和管理体系------以业务为核心的IT统一资源管理 n 提供业内独有的面向业务系统的评价指标体系：业务安全等级（风险程度），业务健康度，业务繁忙度 n 可以从评价指标直接下钻关联到具体的资源实时运行指标，或者对历史运行中的某个时刻进行指标下钻，并获取IT系统运行的某个时间点的快照数据； n 能够提供图形化的建模工具，根据实际经验和环境，定义个性化的业务运行评估模型； n 提供基于用户敏感度，业务敏感度和资源敏感度的IT问题-影响程度指标关联体系，帮助管理人员更好的对问题进行排序和优先处理，快速判断问题影响范围和严重程度； n 提供多业务管理视图，适合在监控中心直观反映关键业务系统的运行态势 可视化的业务和资源建模能力-----网络透明化管理 n 提供可视化业务建模工具，适应业务环境的变化 n 所见即所得的业务系统和关系建模 n 可配置性能模型和信息模型 n 提供自动业务拓扑生成功能，可根据选择的资源自动生成业务拓扑关系 n 可基于身份管理系统接口导入用户信息，并针对用户群进行业务建模，将用户关联到业务系统 信息平台业务实时监控-----网络透明化管理 通过ipfix的流量分析功能和RIIL运营平台结合，可以实现全网流量的可视化，从而实现对信息平台业务的实时流量监控。 4 解决方案价值和特点 4.1.1 网络平台保障－实现网络稳定、高速 u 高冗余架构设计 u 万兆核心、千兆骨干 u VSU实现毫秒级的链路切换 u NFPP保护网络设备稳定运行 4.1.2 数据存储保障－企业业务隔离，不数据丢失 u 基于网络层的虚拟化容灾 u 无延时存储设备切换 u 企业业务隔离 u FC/IP SAN完美兼容 4.1.3 无线网络保障－随时随地接入网络，业务不中断 u 802.11n的全MIMO技术 u 业内最快的802.11n u RIPT保障无线网络永不中断 u 有线无线统一管理 4.1.4 网络安全保障－出口安全保障，确保业务稳定 u 强大NAT转发能力和出口防护能力 u 出口日志审计 u 精细的带宽管理 u 便捷安全的远程接入 4.1.5 运维管理保障－基于业务的高可控管理 u 基于业务的IT资源统一管理 u 流量精确管理，故障预警、快速定位、排除 u 流量分析，合理优化园区IT资源投入 5 典型成功案例 5.1 青岛软件园案例 整个网络分为园区运营及IDC数据中心两部分，软件园目前在用共7座楼，每个楼配置1台48口的三层全千兆交换机，实现各公司的接入，后续如果有公司申请线路资源可以增加交换机即可，方便扩展，每台交换机放置于每座楼的分机房，通过单模光纤连接到核心交换机上。 IDC机房内部分为以下几个部分： 接待区、洽谈区、值班室、设备操作间、监控室、普通服务器区、VIP服务器区、网络机柜区等，共设置服务器机柜120台，网络机柜12台，每个服务器机柜按照10台服务器进行设计，服务器通过千兆网卡与接入交换机2900相连，2900