分类: 交通业解决方案预览模式: 普通 | 列表
1.      交通厅局信息化建设现状及问题分析
在过去的几年里,随着各省交通厅局对IT信息化建设的重视和投入的不断提高,交通厅局信息化建设逐步完善,得益于此,交通厅局不管是交通运输管理效率还是对外公众服务等都得到了极大的改善和提高,同时,交通厅局信息化建设需求也开始向协同应用和综合服务的新阶段转变。

交通厅局信息化建设目前主要面临以下4个方面的问题:

l  一厅多局信息化建设独立、分散

多年来,大部分省份交通厅及下属各局IT系统相对独立建设,交通厅有交通厅的信息化系统,交通厅下属运管局、高速公路局、公路局等都有各自独立的信息化系统,信息化系统条块分割严重,不利于信息互通共享。由于交通厅领导需要通过下属各局数据进行决策支持,交通厅需要提供面向社会的出行服务,并且下属各局需要进行横向协作,这就要求交通厅及下属各局之间需要IT系统互通,实现信息共享,但目前各业务局信息化各自独立建设现状严重制约彼此互通,从信息化应用层面看,没有统一格式,数据格式不统一,信息需要经过中转加工才能实现,从网络层面,各自独立建设的纵向网络如同多条平行线,缺乏横向通道。

l  广域网带宽问题逐渐显现

交通厅一厅多局一般来说存在专网、内网以及外网,专网和内网要求省市县纵向互通,业务覆盖交通政务以及视频会议等业务,省市县广域网覆盖范围广、接入用户多、承载业务复杂,交通厅一厅多局广域网建成已经有相当长时间,面对近年来数据大集中带来的业务整合,高清视频、IP语音、公共资源平台等应用上线,广域网带宽及安全等问题逐渐显现。

l  安全防护手段落后

交通厅一厅多局专网、内网、外网等安全防护手段也日益落后,难于应对层出不穷的黑客攻击。计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。

l  IT基础资源管理

信息化建设的发展必然会增加大量复杂繁多的IT基础设施,这些基础设施如何简单、联动、智能管理也必然会成为一厅多局信息化建设运维人员面临的问题。

2.      H3C解决方案
我们从如何解决目前交通厅局面临的问题、如何符合交通厅局信息化发展趋势及需求两个维度出发,提出了构建交通厅局资源化信息平台解决方案,下面我们将对此展开探讨。

2.1.  面向一厅多局的数据中心建设
私有云的建设是现在企业IT信息化建设的发展趋势之一,企业私有云可以为企业提供可靠的数据安全保护、高品质的服务质量,同时可以降低企业总体TCO。因此,对于交通厅局来说,私有云的建设也是目前IT信息化建设的重点,通过建设面向一厅多局的数据中心,可以为未来交通厅局提供私有云服务打下基础。另外,以往交通厅信息化没有面向各个业务局,只是关注交通厅本身OA、电子政务方面,各业务局信息化集中在各业务局,因此,应用系统是分散的,数据也是分散的,这种建设模式不利于交通厅一厅多局信息共享与挖掘,资源利用率低下,因此,需要建设一个能够实现面向一厅多局、网络横、纵向互通的统一数据中心,以实现信息的共享与数据的挖掘。

数据中心建设本着如下原则:

ü  标准:模块化分区建设;计算、存储、业务网络采用以太网技术,消除异构网络

ü  简单:网络虚拟化,简化网络结构,提高网络可靠性

ü  融合:安全设施与网络资源紧密耦合,形成一体化融合安全网络

一厅多局数据中心采用模块化设计架构,包括核心交换区、各业务功能区(物理上可以暂不在一起)、系统管理区、外联区,各功能区设置不同业务局服务器软硬件资源,各功能区松耦合设计,每个区域有自己独立的网络、安全设备,在数据中心集中设置IT综合管理区和外联区。模块化数据中心好处是:有利于网络稳定可靠,各区域之间松耦合,因此单个区域的故障不会扩散到其他区域;有利于网络安全控制,各区域根据需求分别设置不同的安全策略,做到数据中心安全灵活部署、灵活控制;有利于新业务部署和管理,方便功能区更改扩容,方便管理维护,统一出口避免重复建设。例如,数据中心按照运管局、公路局、高速公路局等业务系统服务器进行分区设计,各分区各模块之间松耦合,这样可以很好的保证数据中心的业务扩展性,扩展新的业务系统或模块时不需要对核心或其它模块进行改动。同时模块化设计也可以很好的分散风险,在某一模块(除核心区外)出现故障时不会影响到其它模块,将数据中心的故障影响降到最小。

交通厅局数据中心网络应简化设计,通过网络N:1虚拟化技术,数据中心网络的核心、汇聚、接入等各网络层次多台设备均可以分别逻辑化为一台设备,简化数据中心网络架构,提高可靠性。H3C网络N:1虚拟化技术为IRF2,数据中心级设备从核心层设备到接入层设备均支持IRF2,可以很好的满足数据中心网络可靠性,简化网络架构。通过IRF2,可以为数据中心构建一个大二层的网络,可以很好的满足交通厅局数据中心服务器集群、虚拟机动态迁移等大二层网络环境的需求,为交通厅局构建企业私有云提供基础支撑。

对于交通厅局来说,有了统一的数据中心之后,各业务数据将集中至数据中心,而业务相关的数据将是数据中心重中之重的资源,是不能受到任何威胁的,因此,数据中心建设不得不考虑的问题就是数据中心的安全防护,H3C针对数据中心专门设计了安全防护方案,下面的章节会有介绍,在此不再赘述。

交通厅局有了统一数据中心,各功能区之间信息互通不必再通过广域网横向之间进行,可以直接在数据中心内部进行,通过面向各业务系统数据库中间件,轻松实现深度、多维度数据挖掘和应用集成,并且避免重复建设。统一的数据中心,为交通厅局面向一厅多局提供私有云服务提供了基础资源支撑。



2.1.1.      一厅多局数据中心实现方式
对于面向一厅多局的统一数据中心,应用系统繁多,服务器规模较大,数据流量复杂,从性能、可靠性、可管理成本方面对数据中心网络、存储、计算系统提出新的要求。

以往数据中心架构前端IP网络,计算网络,存储网络往往是异构的,如:前端采用以太网,计算网络采用InfiniBand网络,后端采用FC-SAN架构。异构的网络带来问题是:各网络之间数据的通信需要进行协议转换,资源开销大,通信效率低;网络建设成本高,业务扩展及扩容能力低;管理维护复杂。

基于以上问题,考虑到业界数据中心技术发展趋势,建议该数据中心采用新的统一以太网交换架构建设,通过万兆以太网组建数据中心前端通信IP网络、前端计算通信平台、后端存储交换平台:



图2 数据中心统一交换架构



随着以太网技术的普及,新的技术标准不断推动基础平台架构的变化与融合,万兆交换系统的时延已经降到微妙级别,而且当前已经有技术使得以太网芯片在cut-through方式下达到200~300纳秒级别,逼近Infiniband的低时延水平。对于计算型应用而言,采用以太网互联的微妙级时延已经能够满足大量的计算需求。近几年高性能计算TOP500排名中超过50%的计算网络互联采用了千兆以太网。随着万兆、40G/100G技术的深入发展和终端万兆接口技术成熟,以太网将成为服务器互联计算承载的主流平台。
适合于数据中心需要的无丢包以太网技术标准族(802.3Qau、802.1Qbb、802.1Qaz、Data Center Bridging Exchange Protocol)和相关技术已经发布,并在此基础上进一步支持FCoE,使得以太交换网络能够承载FC存储数据流。
因此,新一代统一交换架构数据中心前端网络、计算网络、后端存储网络统一采用10GE/100G以太网,建设简单,性能提升,成本降低。

在高密应用集中环境下,基础网络的高性能和可靠性要求变得苛刻,大量应用密集情况下,局部故障影响范围必须缩小。因此,对于网络故障快速收敛、故障自愈能力要求极高,这里,需要核心交换采用数据中心级不丢包以太网,并且交换机支持GR/BFD等高可靠技术,实现毫秒级切换。设备需要支持电源和主控故障不丢包技术。

数据集中意味大流量集中,对于交换机分缓存能力要求极高:核心交换剂采用分布式缓存技术,分布式缓存区别于传统方式的架构,整个分布式缓存机制由流量管理器在硬件层面协调,无需软件参与,因而工作在系统时钟级别。而每个数据中心核心交换机缓存大小均要求在万兆全线速条件下达到200毫秒的突发流量缓存能力,因此,在突发引起瞬时拥塞时,N个端口向一个端口转发的缓存能力是N*200毫秒,与传统出端口缓存固定能力相比有本质的提升。

数据中心随着服务器集群以及服务器虚拟化的广泛应用,未来将有更多的业务部署在虚拟机上,虚拟机的复制和动态迁移等需要一个大二层的网络环境支持,H3C IRF技术支持多台物理交换机虚拟化成一台逻辑交换机,虚拟化的逻辑交换机支持跨物理设备的链路聚合,这种技术简化了网络结构,二层网络无需启动STP或MSTP即可实现无环;同时,多台物理设备可以跨地域虚拟化,实现跨数据中心组建二层网络。


图2 数据中心IRF2技术



在数据中心安全防护方面,各功能区在服务器汇聚交换机设置防火墙、IPS、负载均衡、等插卡模块,实现数据中心网络安全融合,为各服务器区域提供2-7层安全及应用系统加速优化。网络安全融合解决方案可以做到网络安全性能可扩展、安全业务灵活部署,同时避免网络单点故障,降低网络复杂度,减少能耗。



图3 交通厅局网络安全融合解决方案



2.2.  交通厅局智能广域网解决方案
相对于交通厅局局域网和数据中心,广域网跨越距离远,线路资源有限,高速带宽费用昂贵,而目前快速增加的业务流量与有限的带宽资源之间的矛盾,使得广域网上的流量很容易产生拥塞,导致业务延时增加、流量抖动,甚至丢包等问题,因此,流量控制始终是广域网设计的核心问题。H3C智能广域网解决方案,从广域网的流量调度入手,通过智能负载分担、分层CAR等技术,实现精细化的流量控制。

2.2.1.      智能广域网实现方式
1、带宽预留与共享

为了兼顾业务传输质量和带宽均衡,有时需要为交通厅局关键部门和业务分配一定的预留带宽,保证该业务持续、正常运行,防止带宽被其他业务占用;同时,也需要各部门和业务能够共享剩余带宽,当业务突发时,保证总体带宽的利用效率。

通过流量调度方案可以很好的实现上述需求, 在地区A、B的汇聚路由器上,流量调度方案设计如下:

l  地区A、B之间广域网链路带宽155M;
l  为部门1、部门2各预留40M带宽,剩余75M作为共享带宽;
l  为保证视频质量的稳定,各部门视频流(10M)只能占用部门预留带宽,而不能走共享带宽;
l  在部门预留带宽内,数据流量可以自动根据视频流量大小调整带宽分配,当没有视频流量时,数据流量可以占用全部40M预留带宽,超过40M的流量占用共享带宽;有视频流量(2~10M)时,数据流量只占用剩余的预留带宽。


2、双链路流量调度

为保证高可靠,广域网普遍采用主、备冗余链路。随着业务类型和流量的增加,备链路已不再只是作为备份,而是与主链路进行分担,共同承载业务流量,实现对广域网链路资源的充分利用。

传统流量控制设计,都是基于单接口或链路的,当该接口或链路业务流量超出带宽后,就会产生丢包。采用流量调度方案,可以针对双链路组网结构,进行跨设备跨链路的统一流量调度,从而避免一条链路可能严重拥塞,而另外一条链路却空闲的情况,最大化利用链路带宽资源。

双链路流量调度实现方案设计如下:

l  业务分流:规划路由、策略路由,生产等重要业务走主链路,办公和视频业务走备用链路;
l  过载流量调度:主链路带宽被占满,超过的流量转发到备链路;
l  带宽保证:根据业务优先级进行带宽保证,链路故障、流量超载时,优先保证关键业务传输。


3、带宽公平调配

对于出口带宽较小,而人数较多的分支机构,经常会出现由于某个人收发大邮件等,占用大量的带宽,导致其他人上网速度明显变慢,甚至可能影响到其他的重要业务,比如视频会议。而大邮件收发属于正常办公业务,传统的流量控制只能控制所有用户的办公业务流量,而不能限制某个用户的流量。

通过基于在线IP的动态流量调度技术,则可以实现基于终端IP的带宽公平分配和共享,同时对重要业务进行带宽保证和优先转发。

带宽公平调配设计方案如下:

l  对在线用户进行带宽公平分配,例如某一时刻在线10人,则每个人员都可以得到至少200K的带宽。而另一时刻,有20人在线,则每个人可以得到的带宽则为至少100K。
l  此外,还可以设定分组,例如A、B、C三组,每个分组设定总体带宽,并将该带宽在组内进行公平分配。例如A组保证带宽500K,A组内10个人在线,则每个人可得到最少50K带宽。通过设定分组,可以满足不同类型用户的网络访问需求。
l  通过上述带宽公平分配,在总体流量较小时,用户可以使用富余的带宽,实现高速网络访问;当总体流量较大时,用户可以保证最低带宽,满足正常的办公和网络访问需求。


2.3.  交通厅局安全防护解决方案
从交通厅一厅多局广域网、局域网、数据中心三大应用场景入手,结合交通厅局用户的基础安全需求,H3C提出了iSPN安全解决方案:“远程安全接入”、“边界防护”、“内网控制”、“行为监管”及“数据中心保护”,为交通厅局用户构建了全面的安全体系。

1、远程安全接入解决方案

远程安全接入方案由安全接入网关和安全管理平台组成。安全接入网关SecPath防火墙/UTM融合多种VPN技术和专业防火墙功能,实现分支机构、合作伙伴、移动用户的一体化远程安全接入;并通过安全管理平台实现众多SecPath防火墙/UTM的统一部署、监控、管理。



2、边界防护解决方案

边界防护解决方案由安全网关、入侵防御系统和安全管理平台组成。安全网关SecPath防火墙/UTM融合2-4层的包过滤、状态检测等技术,配合SecPath IPS 4-7层的入侵防御系统,实现全面的2-7层安全防护,有效地抵御了非法访问、病毒、蠕虫、页面篡改等攻击;并通过安全管理平台对安全网关、入侵防御系统以及网络设备进行统一安全管理。



3、内网控制解决方案

内网控制解决方案由安全管理平台、安全防护设备和终端软件组成。通过终端软件接入并由安全管理平台进行身份认证和终端安全状态评估,确保每一个接入端点的安全,预防内网病毒、蠕虫的泛滥;安全监控和防护设备实时监控分析网络流量,并对发现的内网攻击进行阻断,同时上报安全管理平台进行分析;安全管理平台分析后与网络和安全设备联动,控制攻击来源,避免威胁的再次发生,并且为用户提供整网安全审计报告,从而得出整改策略和下一步建设方案。通过点(端点准入)、线(在线控制)、面(统一管理)相结合的立体防护,为用户提供最有效的内网安全解决方案。

4、行为监管解决方案

行为监管解决方案由应用控制网关,安全管理平台,用户管理平台组成,应用控制网关由H3C SecPath ACG盒式设备、SecBlade ACG插卡或SecPath UTM组成,可针对P2P/IM、网络游戏、炒股、非法网站访问等行为,进行精细化识别和控制,有效解决带宽滥用、访问非法网站感染病毒等问题。安全管理平台由SecCenter硬件或ACG Manager软件组成,帮助管理员全面了解用户行为和流量趋势,为加强整网安全、满足合规性要求提供决策依据,并且能够与用户管理平台联动,准确获得用户信息。用户管理平台由H3C iMC UAM用户管理平台与iNode客户端及相应的接入设备组成,对接入用户进行身份认证,从而能够准确识别接入网络的用户。

5、数据中心保护解决方案

数据中心保护解决方案由安全防御系统、应用优化系统、安全管理平台组成。安全防御系统融合DDoS防御、区域安全隔离、深度入侵防御等技术,实现对2~7层攻击的防御,并在部署时充分考虑可靠性,保障业务持续不间断地运行;应用优化系统包括负载均衡设备和网流分析设备。负载均衡设备能够以5~10倍的效能提升服务器响应速度和处理能力,为用户提供更佳体验;网流分析设备能够帮助管理员了解网络的流量状况,为排除网络故障和网络优化提供参考。同时,通过安全管理平台实现对设备、服务器的统一配置、监控和管理。





2.4.  交通厅局IT资源管理解决方案
H3C iMC基础IT资源管理解决方案以对网络资源的基本管理为核心,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。iMC采用全新的SOA架构为设计思想,基于B/S架构,对外提供多种开放接口,既能与用户原有业务系统有机融合,又能方便吸纳第三方服务,形成“面向业务”、“融合联动”、“开放架构”的管理流程。





图14 交通厅局IT资源管理



1、全面的基础资源管理

除了传统的路由器、交换机外,更能对网络中的无线、安全、语音、存储、服务器、打印机、UPS等设备进行管理,实现设备资源的集中化管理;基于H3C专利的发现算法,能快速、准确地发现网络资源,包括路由方式、ARP方式、IPsec VPN方式、网段方式等;支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。

2、灵活方便的拓扑功能

除传统的IP拓扑视图外,支持网络拓扑、二层拓扑、邻居拓扑、机房机架拓扑等视图,用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑;通过拓扑实时展示网络设备及链路状态,实时定位网络故障。

3、智能的告警管理

    iMC具有完备的告警和故障管理机制及流程,能自动汇总全网中故障设备,形成故障设备列表,使管理员能快速、便捷的找到需要关注的故障设备;提供对重复告警、突发的大

流量告警、未知告警的自动过滤,用户还可以自定义过滤规则,以有效压缩海量网络告警,使得管理员直接关注真正的网络故障;提供包括实时远程告警(手机短信、Email告警)、声光告警板集中告警(按告警类型分类告警)、拓扑实时展示告警等多种机制,为管理员从多角度实时监控网络状态。

4、方便易用的性能管理

iMC支持对CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等指标的监视,支持TopN统计排序;支持对每一个性能指标设置两级阈值,发送不同级别的告警,用户可以根据告警信息直接了解到设备某指标的性能情况;对监控的信息支持饼图、折线图、曲线图等多种方式输出,提供灵活的组合条件统计和查询,性能报表支持导出Html、Txt、Excel、Pdf格式文件。

5、智能化的配置和软件管理

通过NMS管理员能方便的对设备配置文件和软件文件进行集中管理,包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能;同时NMS提供设备配置的基线化版本管理,可以对配置文件的变化进行比较跟踪;提供设备软件的升级历史记录,可以全面审计设备软件版本的变化,并可快速的恢复历史版本,极大的方便了对设备的管理,提高了网络的可维护性。

6、专业的应用性能监控

iMC基础资源提供对多种Web服务器(Apache服务器、IIS服务器等)、应用服务器(Microsoft .NET、WebLogic、WebSphere等)、操作系统(Windows、Linux、SunSolaris、FreeBSD、IBM AIX、HP- UX、Tru64 Unix、Mac OS等)、数据库(Oracle、MySQL、MS SQL Server、IBMDB2、Sybase等)进行性能监控,及时发现应用系统中存在的问题。由于采用了可扩展的系统架构,对于任何提供JMX或者SNMP接口的应用,通过自定义方式,均可进行监控。

7、丰富的报表功能

iMC系统自带近百张报表,涵盖告警、网元、性能、拓扑、配置等各功能模块,报表可实时、按周期在线查看,也可直接通过Email发送给相关责任人,使得真个基础IT资源状况一目了然。如果系统提供的报表数据不能满足需求,可通过iAR智能分析报表进行定制报表。



3.      成功案例
山西省“交通厅1166工程数据专网”(以下简称“1166”工程)是山西省交通厅“十一五”科技规划的核心,即建设一个省厅与市局通信专网,构成一个数据中心体系,整合与开发六大公众服务平台(交通电子政务、交通公众服务、交通指挥调度、交通市场监管、交通业务管理、交通决策分析),整合与完善六大综合管理系统(运管、公路、高速、征稽、海事、战备)。 “1166”工程的建设,对提升山西省交通行业自主创新能力和管理水平,实现资源合理配置和提高交通有效供给能力等具有重要意义。

山西省交通厅“1166”工程采用H3C SR8812作省核心路由,S7510E作核心交换,同时部署防火墙插卡和ACG插卡,通过专线直联一厅四局,并跨广域网连接11个地市。整网部署了iMC管理平台,并配置NTA、MPLSVPN、ACL、QoS、EAD组件进行统一网络管理。通过上述产品和解决方案,山西省交通厅1166工程数据专网在一套网络上实现了交通厅局多业务的承载,提高了交通厅局IT资源利用率,减少重复投资;数据专网整体具备了较高的处理性能和扩展能力,安全性和可靠性得到了极大的提高,整体网络统一化、可视化管理,简化了网络运维管理。以上一系列的解决方案,为山西省交通厅一厅多局公众服务平台、综合业务管理等提供了高效可靠的信息化平台。

1.      交通厅局信息化建设现状及问题分析
在过去的几年里,随着各省交通厅局对IT信息化建设的重视和投入的不断提高,交通厅局信息化建设逐步完善,得益于此,交通厅局不管是交通运输管理效率还是对外公众服务等都得到了极大的改善和提高,同时,交通厅局信息化建设需求也开始向协同应用和综合服务的新阶段转变。

交通厅局信息化建设目前主要面临以下4个方面的问题:

l  一厅多局信息化建设独立、分散

多年来,大部分省份交通厅及下属各局IT系统相对独立建设,交通厅有交通厅的信息化系统,交通厅下属运管局、高速公路局、公路局等都有各自独立的信息化系统,信息化系统条块分割严重,不利于信息互通共享。由于交通厅领导需要通过下属各局数据进行决策支持,交通厅需要提供面向社会的出行服务,并且下属各局需要进行横向协作,这就要求交通厅及下属各局之间需要IT系统互通,实现信息共享,但目前各业务局信息化各自独立建设现状严重制约彼此互通,从信息化应用层面看,没有统一格式,数据格式不统一,信息需要经过中转加工才能实现,从网络层面,各自独立建设的纵向网络如同多条平行线,缺乏横向通道。

l  广域网带宽问题逐渐显现

交通厅一厅多局一般来说存在专网、内网以及外网,专网和内网要求省市县纵向互通,业务覆盖交通政务以及视频会议等业务,省市县广域网覆盖范围广、接入用户多、承载业务复杂,交通厅一厅多局广域网建成已经有相当长时间,面对近年来数据大集中带来的业务整合,高清视频、IP语音、公共资源平台等应用上线,广域网带宽及安全等问题逐渐显现。

l  安全防护手段落后

交通厅一厅多局专网、内网、外网等安全防护手段也日益落后,难于应对层出不穷的黑客攻击。计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。

l  IT基础资源管理

信息化建设的发展必然会增加大量复杂繁多的IT基础设施,这些基础设施如何简单、联动、智能管理也必然会成为一厅多局信息化建设运维人员面临的问题。

2.      H3C解决方案
我们从如何解决目前交通厅局面临的问题、如何符合交通厅局信息化发展趋势及需求两个维度出发,提出了构建交通厅局资源化信息平台解决方案,下面我们将对此展开探讨。

2.1.  面向一厅多局的数据中心建设
私有云的建设是现在企业IT信息化建设的发展趋势之一,企业私有云可以为企业提供可靠的数据安全保护、高品质的服务质量,同时可以降低企业总体TCO。因此,对于交通厅局来说,私有云的建设也是目前IT信息化建设的重点,通过建设面向一厅多局的数据中心,可以为未来交通厅局提供私有云服务打下基础。另外,以往交通厅信息化没有面向各个业务局,只是关注交通厅本身OA、电子政务方面,各业务局信息化集中在各业务局,因此,应用系统是分散的,数据也是分散的,这种建设模式不利于交通厅一厅多局信息共享与挖掘,资源利用率低下,因此,需要建设一个能够实现面向一厅多局、网络横、纵向互通的统一数据中心,以实现信息的共享与数据的挖掘。

数据中心建设本着如下原则:

ü  标准:模块化分区建设;计算、存储、业务网络采用以太网技术,消除异构网络

ü  简单:网络虚拟化,简化网络结构,提高网络可靠性

ü  融合:安全设施与网络资源紧密耦合,形成一体化融合安全网络

一厅多局数据中心采用模块化设计架构,包括核心交换区、各业务功能区(物理上可以暂不在一起)、系统管理区、外联区,各功能区设置不同业务局服务器软硬件资源,各功能区松耦合设计,每个区域有自己独立的网络、安全设备,在数据中心集中设置IT综合管理区和外联区。模块化数据中心好处是:有利于网络稳定可靠,各区域之间松耦合,因此单个区域的故障不会扩散到其他区域;有利于网络安全控制,各区域根据需求分别设置不同的安全策略,做到数据中心安全灵活部署、灵活控制;有利于新业务部署和管理,方便功能区更改扩容,方便管理维护,统一出口避免重复建设。例如,数据中心按照运管局、公路局、高速公路局等业务系统服务器进行分区设计,各分区各模块之间松耦合,这样可以很好的保证数据中心的业务扩展性,扩展新的业务系统或模块时不需要对核心或其它模块进行改动。同时模块化设计也可以很好的分散风险,在某一模块(除核心区外)出现故障时不会影响到其它模块,将数据中心的故障影响降到最小。

交通厅局数据中心网络应简化设计,通过网络N:1虚拟化技术,数据中心网络的核心、汇聚、接入等各网络层次多台设备均可以分别逻辑化为一台设备,简化数据中心网络架构,提高可靠性。H3C网络N:1虚拟化技术为IRF2,数据中心级设备从核心层设备到接入层设备均支持IRF2,可以很好的满足数据中心网络可靠性,简化网络架构。通过IRF2,可以为数据中心构建一个大二层的网络,可以很好的满足交通厅局数据中心服务器集群、虚拟机动态迁移等大二层网络环境的需求,为交通厅局构建企业私有云提供基础支撑。

对于交通厅局来说,有了统一的数据中心之后,各业务数据将集中至数据中心,而业务相关的数据将是数据中心重中之重的资源,是不能受到任何威胁的,因此,数据中心建设不得不考虑的问题就是数据中心的安全防护,H3C针对数据中心专门设计了安全防护方案,下面的章节会有介绍,在此不再赘述。

交通厅局有了统一数据中心,各功能区之间信息互通不必再通过广域网横向之间进行,可以直接在数据中心内部进行,通过面向各业务系统数据库中间件,轻松实现深度、多维度数据挖掘和应用集成,并且避免重复建设。统一的数据中心,为交通厅局面向一厅多局提供私有云服务提供了基础资源支撑。



2.1.1.      一厅多局数据中心实现方式
对于面向一厅多局的统一数据中心,应用系统繁多,服务器规模较大,数据流量复杂,从性能、可靠性、可管理成本方面对数据中心网络、存储、计算系统提出新的要求。

以往数据中心架构前端IP网络,计算网络,存储网络往往是异构的,如:前端采用以太网,计算网络采用InfiniBand网络,后端采用FC-SAN架构。异构的网络带来问题是:各网络之间数据的通信需要进行协议转换,资源开销大,通信效率低;网络建设成本高,业务扩展及扩容能力低;管理维护复杂。

基于以上问题,考虑到业界数据中心技术发展趋势,建议该数据中心采用新的统一以太网交换架构建设,通过万兆以太网组建数据中心前端通信IP网络、前端计算通信平台、后端存储交换平台:



图2 数据中心统一交换架构



随着以太网技术的普及,新的技术标准不断推动基础平台架构的变化与融合,万兆交换系统的时延已经降到微妙级别,而且当前已经有技术使得以太网芯片在cut-through方式下达到200~300纳秒级别,逼近Infiniband的低时延水平。对于计算型应用而言,采用以太网互联的微妙级时延已经能够满足大量的计算需求。近几年高性能计算TOP500排名中超过50%的计算网络互联采用了千兆以太网。随着万兆、40G/100G技术的深入发展和终端万兆接口技术成熟,以太网将成为服务器互联计算承载的主流平台。
适合于数据中心需要的无丢包以太网技术标准族(802.3Qau、802.1Qbb、802.1Qaz、Data Center Bridging Exchange Protocol)和相关技术已经发布,并在此基础上进一步支持FCoE,使得以太交换网络能够承载FC存储数据流。
因此,新一代统一交换架构数据中心前端网络、计算网络、后端存储网络统一采用10GE/100G以太网,建设简单,性能提升,成本降低。

在高密应用集中环境下,基础网络的高性能和可靠性要求变得苛刻,大量应用密集情况下,局部故障影响范围必须缩小。因此,对于网络故障快速收敛、故障自愈能力要求极高,这里,需要核心交换采用数据中心级不丢包以太网,并且交换机支持GR/BFD等高可靠技术,实现毫秒级切换。设备需要支持电源和主控故障不丢包技术。

数据集中意味大流量集中,对于交换机分缓存能力要求极高:核心交换剂采用分布式缓存技术,分布式缓存区别于传统方式的架构,整个分布式缓存机制由流量管理器在硬件层面协调,无需软件参与,因而工作在系统时钟级别。而每个数据中心核心交换机缓存大小均要求在万兆全线速条件下达到200毫秒的突发流量缓存能力,因此,在突发引起瞬时拥塞时,N个端口向一个端口转发的缓存能力是N*200毫秒,与传统出端口缓存固定能力相比有本质的提升。

数据中心随着服务器集群以及服务器虚拟化的广泛应用,未来将有更多的业务部署在虚拟机上,虚拟机的复制和动态迁移等需要一个大二层的网络环境支持,H3C IRF技术支持多台物理交换机虚拟化成一台逻辑交换机,虚拟化的逻辑交换机支持跨物理设备的链路聚合,这种技术简化了网络结构,二层网络无需启动STP或MSTP即可实现无环;同时,多台物理设备可以跨地域虚拟化,实现跨数据中心组建二层网络。


图2 数据中心IRF2技术



在数据中心安全防护方面,各功能区在服务器汇聚交换机设置防火墙、IPS、负载均衡、等插卡模块,实现数据中心网络安全融合,为各服务器区域提供2-7层安全及应用系统加速优化。网络安全融合解决方案可以做到网络安全性能可扩展、安全业务灵活部署,同时避免网络单点故障,降低网络复杂度,减少能耗。



图3 交通厅局网络安全融合解决方案



2.2.  交通厅局智能广域网解决方案
相对于交通厅局局域网和数据中心,广域网跨越距离远,线路资源有限,高速带宽费用昂贵,而目前快速增加的业务流量与有限的带宽资源之间的矛盾,使得广域网上的流量很容易产生拥塞,导致业务延时增加、流量抖动,甚至丢包等问题,因此,流量控制始终是广域网设计的核心问题。H3C智能广域网解决方案,从广域网的流量调度入手,通过智能负载分担、分层CAR等技术,实现精细化的流量控制。

2.2.1.      智能广域网实现方式
1、带宽预留与共享

为了兼顾业务传输质量和带宽均衡,有时需要为交通厅局关键部门和业务分配一定的预留带宽,保证该业务持续、正常运行,防止带宽被其他业务占用;同时,也需要各部门和业务能够共享剩余带宽,当业务突发时,保证总体带宽的利用效率。

通过流量调度方案可以很好的实现上述需求, 在地区A、B的汇聚路由器上,流量调度方案设计如下:

l  地区A、B之间广域网链路带宽155M;
l  为部门1、部门2各预留40M带宽,剩余75M作为共享带宽;
l  为保证视频质量的稳定,各部门视频流(10M)只能占用部门预留带宽,而不能走共享带宽;
l  在部门预留带宽内,数据流量可以自动根据视频流量大小调整带宽分配,当没有视频流量时,数据流量可以占用全部40M预留带宽,超过40M的流量占用共享带宽;有视频流量(2~10M)时,数据流量只占用剩余的预留带宽。


2、双链路流量调度

为保证高可靠,广域网普遍采用主、备冗余链路。随着业务类型和流量的增加,备链路已不再只是作为备份,而是与主链路进行分担,共同承载业务流量,实现对广域网链路资源的充分利用。

传统流量控制设计,都是基于单接口或链路的,当该接口或链路业务流量超出带宽后,就会产生丢包。采用流量调度方案,可以针对双链路组网结构,进行跨设备跨链路的统一流量调度,从而避免一条链路可能严重拥塞,而另外一条链路却空闲的情况,最大化利用链路带宽资源。

双链路流量调度实现方案设计如下:

l  业务分流:规划路由、策略路由,生产等重要业务走主链路,办公和视频业务走备用链路;
l  过载流量调度:主链路带宽被占满,超过的流量转发到备链路;
l  带宽保证:根据业务优先级进行带宽保证,链路故障、流量超载时,优先保证关键业务传输。


3、带宽公平调配

对于出口带宽较小,而人数较多的分支机构,经常会出现由于某个人收发大邮件等,占用大量的带宽,导致其他人上网速度明显变慢,甚至可能影响到其他的重要业务,比如视频会议。而大邮件收发属于正常办公业务,传统的流量控制只能控制所有用户的办公业务流量,而不能限制某个用户的流量。

通过基于在线IP的动态流量调度技术,则可以实现基于终端IP的带宽公平分配和共享,同时对重要业务进行带宽保证和优先转发。

带宽公平调配设计方案如下:

l  对在线用户进行带宽公平分配,例如某一时刻在线10人,则每个人员都可以得到至少200K的带宽。而另一时刻,有20人在线,则每个人可以得到的带宽则为至少100K。
l  此外,还可以设定分组,例如A、B、C三组,每个分组设定总体带宽,并将该带宽在组内进行公平分配。例如A组保证带宽500K,A组内10个人在线,则每个人可得到最少50K带宽。通过设定分组,可以满足不同类型用户的网络访问需求。
l  通过上述带宽公平分配,在总体流量较小时,用户可以使用富余的带宽,实现高速网络访问;当总体流量较大时,用户可以保证最低带宽,满足正常的办公和网络访问需求。


2.3.  交通厅局安全防护解决方案
从交通厅一厅多局广域网、局域网、数据中心三大应用场景入手,结合交通厅局用户的基础安全需求,H3C提出了iSPN安全解决方案:“远程安全接入”、“边界防护”、“内网控制”、“行为监管”及“数据中心保护”,为交通厅局用户构建了全面的安全体系。

1、远程安全接入解决方案

远程安全接入方案由安全接入网关和安全管理平台组成。安全接入网关SecPath防火墙/UTM融合多种VPN技术和专业防火墙功能,实现分支机构、合作伙伴、移动用户的一体化远程安全接入;并通过安全管理平台实现众多SecPath防火墙/UTM的统一部署、监控、管理。



2、边界防护解决方案

边界防护解决方案由安全网关、入侵防御系统和安全管理平台组成。安全网关SecPath防火墙/UTM融合2-4层的包过滤、状态检测等技术,配合SecPath IPS 4-7层的入侵防御系统,实现全面的2-7层安全防护,有效地抵御了非法访问、病毒、蠕虫、页面篡改等攻击;并通过安全管理平台对安全网关、入侵防御系统以及网络设备进行统一安全管理。



3、内网控制解决方案

内网控制解决方案由安全管理平台、安全防护设备和终端软件组成。通过终端软件接入并由安全管理平台进行身份认证和终端安全状态评估,确保每一个接入端点的安全,预防内网病毒、蠕虫的泛滥;安全监控和防护设备实时监控分析网络流量,并对发现的内网攻击进行阻断,同时上报安全管理平台进行分析;安全管理平台分析后与网络和安全设备联动,控制攻击来源,避免威胁的再次发生,并且为用户提供整网安全审计报告,从而得出整改策略和下一步建设方案。通过点(端点准入)、线(在线控制)、面(统一管理)相结合的立体防护,为用户提供最有效的内网安全解决方案。

4、行为监管解决方案

行为监管解决方案由应用控制网关,安全管理平台,用户管理平台组成,应用控制网关由H3C SecPath ACG盒式设备、SecBlade ACG插卡或SecPath UTM组成,可针对P2P/IM、网络游戏、炒股、非法网站访问等行为,进行精细化识别和控制,有效解决带宽滥用、访问非法网站感染病毒等问题。安全管理平台由SecCenter硬件或ACG Manager软件组成,帮助管理员全面了解用户行为和流量趋势,为加强整网安全、满足合规性要求提供决策依据,并且能够与用户管理平台联动,准确获得用户信息。用户管理平台由H3C iMC UAM用户管理平台与iNode客户端及相应的接入设备组成,对接入用户进行身份认证,从而能够准确识别接入网络的用户。

5、数据中心保护解决方案

数据中心保护解决方案由安全防御系统、应用优化系统、安全管理平台组成。安全防御系统融合DDoS防御、区域安全隔离、深度入侵防御等技术,实现对2~7层攻击的防御,并在部署时充分考虑可靠性,保障业务持续不间断地运行;应用优化系统包括负载均衡设备和网流分析设备。负载均衡设备能够以5~10倍的效能提升服务器响应速度和处理能力,为用户提供更佳体验;网流分析设备能够帮助管理员了解网络的流量状况,为排除网络故障和网络优化提供参考。同时,通过安全管理平台实现对设备、服务器的统一配置、监控和管理。





2.4.  交通厅局IT资源管理解决方案
H3C iMC基础IT资源管理解决方案以对网络资源的基本管理为核心,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。iMC采用全新的SOA架构为设计思想,基于B/S架构,对外提供多种开放接口,既能与用户原有业务系统有机融合,又能方便吸纳第三方服务,形成“面向业务”、“融合联动”、“开放架构”的管理流程。





图14 交通厅局IT资源管理



1、全面的基础资源管理

除了传统的路由器、交换机外,更能对网络中的无线、安全、语音、存储、服务器、打印机、UPS等设备进行管理,实现设备资源的集中化管理;基于H3C专利的发现算法,能快速、准确地发现网络资源,包括路由方式、ARP方式、IPsec VPN方式、网段方式等;支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。

2、灵活方便的拓扑功能

除传统的IP拓扑视图外,支持网络拓扑、二层拓扑、邻居拓扑、机房机架拓扑等视图,用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑;通过拓扑实时展示网络设备及链路状态,实时定位网络故障。

3、智能的告警管理

    iMC具有完备的告警和故障管理机制及流程,能自动汇总全网中故障设备,形成故障设备列表,使管理员能快速、便捷的找到需要关注的故障设备;提供对重复告警、突发的大

流量告警、未知告警的自动过滤,用户还可以自定义过滤规则,以有效压缩海量网络告警,使得管理员直接关注真正的网络故障;提供包括实时远程告警(手机短信、Email告警)、声光告警板集中告警(按告警类型分类告警)、拓扑实时展示告警等多种机制,为管理员从多角度实时监控网络状态。

4、方便易用的性能管理

iMC支持对CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等指标的监视,支持TopN统计排序;支持对每一个性能指标设置两级阈值,发送不同级别的告警,用户可以根据告警信息直接了解到设备某指标的性能情况;对监控的信息支持饼图、折线图、曲线图等多种方式输出,提供灵活的组合条件统计和查询,性能报表支持导出Html、Txt、Excel、Pdf格式文件。

5、智能化的配置和软件管理

通过NMS管理员能方便的对设备配置文件和软件文件进行集中管理,包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能;同时NMS提供设备配置的基线化版本管理,可以对配置文件的变化进行比较跟踪;提供设备软件的升级历史记录,可以全面审计设备软件版本的变化,并可快速的恢复历史版本,极大的方便了对设备的管理,提高了网络的可维护性。

6、专业的应用性能监控

iMC基础资源提供对多种Web服务器(Apache服务器、IIS服务器等)、应用服务器(Microsoft .NET、WebLogic、WebSphere等)、操作系统(Windows、Linux、SunSolaris、FreeBSD、IBM AIX、HP- UX、Tru64 Unix、Mac OS等)、数据库(Oracle、MySQL、MS SQL Server、IBMDB2、Sybase等)进行性能监控,及时发现应用系统中存在的问题。由于采用了可扩展的系统架构,对于任何提供JMX或者SNMP接口的应用,通过自定义方式,均可进行监控。

7、丰富的报表功能

iMC系统自带近百张报表,涵盖告警、网元、性能、拓扑、配置等各功能模块,报表可实时、按周期在线查看,也可直接通过Email发送给相关责任人,使得真个基础IT资源状况一目了然。如果系统提供的报表数据不能满足需求,可通过iAR智能分析报表进行定制报表。



3.      成功案例
山西省“交通厅1166工程数据专网”(以下简称“1166”工程)是山西省交通厅“十一五”科技规划的核心,即建设一个省厅与市局通信专网,构成一个数据中心体系,整合与开发六大公众服务平台(交通电子政务、交通公众服务、交通指挥调度、交通市场监管、交通业务管理、交通决策分析),整合与完善六大综合管理系统(运管、公路、高速、征稽、海事、战备)。 “1166”工程的建设,对提升山西省交通行业自主创新能力和管理水平,实现资源合理配置和提高交通有效供给能力等具有重要意义。

山西省交通厅“1166”工程采用H3C SR8812作省核心路由,S7510E作核心交换,同时部署防火墙插卡和ACG插卡,通过专线直联一厅四局,并跨广域网连接11个地市。整网部署了iMC管理平台,并配置NTA、MPLSVPN、ACL、QoS、EAD组件进行统一网络管理。通过上述产品和解决方案,山西省交通厅1166工程数据专网在一套网络上实现了交通厅局多业务的承载,提高了交通厅局IT资源利用率,减少重复投资;数据专网整体具备了较高的处理性能和扩展能力,安全性和可靠性得到了极大的提高,整体网络统一化、可视化管理,简化了网络运维管理。以上一系列的解决方案,为山西省交通厅一厅多局公众服务平台、综合业务管理等提供了高效可靠的信息化平台。

济南百谷信息技术有限公司销售部联系方式
序号    部门    联系人    电话    区域    企业QQ
1    区域销售    樊经理    0531-83196112    济南、临沂、日照、枣庄    800066617
2    区域销售    夏经理    15266158665    青岛、威海、    
3    区域销售    郭经理    0531-83199961    济南、淄博、德州、滨州、    
4    区域销售    胡经理    0531-83196110    济南、聊城、济宁、菏泽    
5    区域销售    李经理    0531-83196110    济南、潍坊、东营、莱芜、泰安    
6    战略集成部    胡经理    15315414501    济南、烟台    
7    战略集成部    房经理    0531-83196110        
8    24销售热线    胡来华    13608928216    24小时销售服务热线     
手机:13608928216
电话:(86)531-83196110
传真:(86)531-83196117                                        
E-mail:sdbaigu@sdbaigu.com
地址:山东济南花园路历下软件园乙座3F
欢迎浏览:Http://www.sdbaigu.com
百谷商城:http://shop.sdbaigu.com/
电子地图:http://edizhi.edushi.com/sdbaigu  

查看更多...

分类:交通业解决方案 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 5