docurl=/cn/Solution/TechnologySolution/InterConnect/Business_Software/Home/News/201506/1055542_30004_0.htm

H3C iMC应用于用友集团网络管理系统的建设(《CTi论坛》)

【发布时间:2015-06-16】
用友集团网络规模大,业务承载复杂,对安全性、扩展性和灵活性要求高,并且管理维护人员有限。通过采用H3C iMC系列智能管理产品,全面解决了网络可视化、精细化管理,实现了快速定位问题和网络业务快速灵活的业务部署,满足用友集团网络可管、可控和可运营的需求。

  应用背景

  用友公司成立于1988年,是中国最大的管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件、小型企业管理软件、财政及行政事业单位管理软件、汽车行业管理软件、烟草行业管理软件、内部审计软件及服务提供商,也是中国领先的企业云服务、医疗卫生软件、管理咨询及管理信息化人才培训提供商。目前,用友拥有150多家分/子公司,并在日本、泰国、新加坡等亚洲地区建立了分公司或代表处。用友软件的用户分布中国及亚太地区达到120多万家企业与机构。

  伴随着企业的高速发展,一期园区已经不能满足用友集团的需求,并主要体现在三个方面:

  • 企业规模不断扩大,原有园区规模无法满足发展需求,急需改造和扩建;
  • 网络建设快,没有统一规划,各个业务系统相互割裂,无法有效统一管理和快速定位问题;
  • 目前的网络模式无法支撑用友“云服务”的业务理念,网络灵活性和扩展性差。

      管理需求

      目前用友软件园一期网络有1.5万多信息点,二期三期规划整个园区将有5万信息点规模,是国内最大的软件园区。网络按照功能使用设计划分为办公网、研发专网和数据中心网络,本次园区网二期除了二期园区网络建设之外,还需要充分考虑三地专网建设的办公协同以及数据中心网络建设。

      网络建设涉及广域网、园区网和数据中心三个部分,涉及面广,业务子系统多,业务承载灵活多变,对后续扩展性要求高,所以对网络管理的需求设计到方方面面,归纳总结起来可分为园区网管理需求、广域网管理需求和数据中心管理需求。

      1. 园区网管理需求

      用友集团园区网规模大,分为办公和研发两套网络,网络中包含500多台网络安全设备,承载近2万人的研发和办公需求,而且园区中包含而用友软件股份公司、产品公司和外租公司等复杂的业务类型。

      用友将自己的园区定义为“写字楼”模式,即将整个园区看成一个写字楼,各个产品公司甚至是未来的外部租赁公司都将会接入,园区内各个公司之间网络逻辑上相互独立,因此用友园区网实际上是由多个逻辑上独立的子网络构成。怎样对这样一个庞大的网络进行运营和管理,怎样对整个园区网络的网络设备故障告警、流量异常和用户准入有一个综合全面的管理,怎样实现园区网业务的灵活部署和快速调整,是摆在网络管理和运维部门面前的一个大难题。

      2. 广域网管理需求

      用友集团拥有北京、南昌和三亚(规划中)三大园区,还有150家分/子公司和驻外分支机构,分支机构大小从10人至300人不等,链路方式有SDH专线、VPN和ADSL接入,承载业务有视频、语音和数据,分支机构网络管理人员技术水平参差不齐。怎样有效管理管理各分支机构到总部之间的链路以及链路上承载的业务,怎么快速定位和恢复链路故障,怎样对各个分支机构的网络进行统一的管理和维护,怎么样分支机构的员工实现统一管理和灵活漫游,是网络管理部门最为关心的问题。

      3. 数据中心管理需求

      用友对二期数据中心的业务定位非常明确:一是满足用友自身业务发展需要,支持业务快速成长,提升竞争优势;二是面向用友的产品提供服务(例如用友SaaS 服务、U9、NC、S+S、电子商务等);三是面向用友伙伴及产业链提供增值服务,从而助用友早日跨入“世界级管理软件公司及领先的企业云服务提供商”行列。

      数据中心业务集中度越来越高,对数据中心的网络可用性和可靠性也要求越来越高,但却难以获知网络可用性,提高网络利用率更是无从下手:当前网络设备的能力是否满足业务的要求,是否存在瓶颈和能力浪费?作为一个运营的数据中心,如何对各个子公司的服务器及托管和外租服务器进行精细化的流量管理和监控?如何测量并实施持续改进?究竟是哪些应用、哪些终端占据了宝贵的带宽资源?这些成为网络管理部门面临的又一大难题。

      解决方案

      用友网络通过部署H3C iMC智能管理中心及相应的业务组件,很好的解决了上述管理需求。

      1. 园区网解决方案——iMC智能管理平台+ EAD终端准入控制系统+ WSM无线运营管理组件+NTA网络流量分析组件,构建有线无线一体化、智能可视化、安全分级可控的基础网络管理平台。

      iMC支持分权管理,可以为不同的子公司管理员分配不同的账号,让他们拥有管理本公司所属网络、安全和无线产品的权限,既能满足对各子公司对自己所属网络的管理需求,又能实现用友园区网络的统一管理。

      用友子公司之间协同办公需求比较普遍,因此员工的权限管理和安全准入也是各个子公司非常关注的问题。终端准入解决方案(EAD)根据接入用户的具体身份信息,实现灵活的准入认证和漫游策略,通过用户名密码认证之后,EAD终端准入系统将动态下发该用户所属的VLAN信息和其所属网络访问权限的ACL,将终端用户划分到其所属的子公司的逻辑网络中,实现无论用户在什么位置,无论是通过有线或是无线方式接入,都能够准确的找到其所属的认证服务器,接入正确的子公司网络中获取正确的网络访问权限。EAD终端准入系统的部署,有效的解决了非法用户和不安全用户的接入,同时满足了用户不同接入方式和不同接入地点的统一策略和权限管理需求。

      用友园区内无线部署采用无线控制器AC+FIT AP的组网方式,无线控制器AC以插卡形式内置于核心交换机上,AP采用PoE供电方式,简化了无线组网和部署。接入统一采用和有线一致的EAD认证策略,一次性完成无线和安全认证,并且可以通过对无线AP进行分组,让各个子公司区域的AP发布除了用友软件园的“ufida”的SSID之外,再发布各子公司自己的SSID。在管理方面,部署WSN无线运营管理组件,依托iMC智能管理平台,实现整个园区有线无线一体化的管理,在iMC系统全面的有线网络管理的基础上,提供无线网络管理能力,实现无线端到端的管理,网络拓扑更加清晰和准确,能够快速的发现问题和解决问题,简化维护难度,节省用户投入,节约维护成本。

      iMC NTA网络流量分析组件提供网络流量信息统计和分析功能,能够及时了解各种网络应用占用的网络带宽,便于调整网络出口的业务流量控制策略;了解各种业务消耗的网络资源和网络应用中TopN流量的源主机,便于调整网络出口的用户流量控制策略;同时可以帮助管理员全面了解各个子公司的用户流量情况,帮助网络管理员及时发现网络瓶颈,防范网络病毒的攻击,除此之外,iMC NTA网络流量分析组件还提供丰富的网络流量分析报表,帮助客户在网络规划、网络监控、网络优化、故障诊断和网络写字楼模式运维等方面做出客观准确的决策。

      2. 广域网管理解决方案——iMC智能管理平台+ IPsec VPN业务管理组件+BIMS分支节点智能管理系统+EAD终端准入控制系统构建智能广域网承载多业务。

      用友拥有150多个外地分支机构,广域网结构非常庞大,针对VPN链路多,配置复杂等情况,本次解决方案中加入iMC IPsec VPN业务管理组件(IVM),可以方便的对IPsec VPN网络设备进行统一管理和监控。该组件采用业界标准的SOA架构,通过IPSec VPN业务部署配置功能可以快速、有效的部署VPN网络,满足用友软件公司快速扩张不断收购和新建分支机构对IPsec VPN的频繁调整需求;通过IPSec VPN业务拓扑可直观展示VPN网络逻辑结构,通过IPSec VPN业务监视功能可以监控IPSec VPN通道流量和趋势,帮助管理员及时发现隐患、定位问题和解决问题,保障集团广域网的畅通;通过iMC IVM的部署,将网络管理者从繁琐复杂的配置中解决放出,简化了VPN的部署和维护的同时保障了业务部署的快捷和准确,实现用友集团广域网的智能管理。

      用友集团分支机构中有很多小规模机构是直接采用ADSL方式接入,因此IP地址是变化的,传统的网络管理方式无法对其进行有效管理。BIMS分支网点智能管理系统组件能够基于自动配置服务器实现对分支机构的资源管理、配置管理、告警管理和系统管理等功能,同时提供权限控制平台和报表管理实现对分支机构网络的快捷部署、灵活调整和日常管理维护。BIMS简单易用、高性能、可扩展的特点可以轻松完成网络的资源、业务和配置等管理任务,有效提高了用友集团对中小型分支机构网络的管理和维护,提高了整个用友网络的安全性、可管理性和可维护性。

      作为整个用友集团网络的重要组成部分,各分支机构网络也需要有严格的身份认证和准入制度,广域网EAD解决方案就是针对这种应用场景专门开发的,身份认证和管理策略都由总部统一管理维护,而且不依赖分支机构的接入交换机设备,在简化网络管理的同时提高了分支机构网络的安全性,而且分支机构用户出差到总部时同样能按照既定的认证和权限管理执行,深受用户认可,已经将广域网EAD作为分支机构网络建设的硬性标准之一。

      3. 数据中心管理解决方案——iMC智能管理平台+iAR智能分析报表管理组件+ NTA网络流量分析组件构建精细化流量管理和可视化运维数据中心。

      用友数据中心全网采用H3C IRF2虚拟化技术,帮助实际物理设备虚拟化为逻辑设备,提供更好性能、更高稳定性、更简易的业务部署和更方便的维护。iMC在对IRF2虚拟交换机进行有效的管理的同时,还能够对数据中心所在的机房及内部机架等进行管理,将这些传统网络管理无法涉及的地方全部转变为可视化拓扑(如图1所示),让管理员可以按分区、楼层、机房、机架、设备面板等各类视图查看,方便其从各个维度对数据中心的各种资源进行管理,让管理员从宏观到微观,逐步定位告警来源,简化网络维护工作量。


      图1 iMC可视化拓扑管理示意图

      通过iMC NTA网络流量分析组件的部署,能够给数据中心管理员一个直观的网络流量分布图,能够从宏观层面清晰的了解整个网络中得各种应用带宽,从微观了解各个服务器机柜甚至单台服务器的即时流量情况和历史流量记录,并且可以直观展现各种业务消耗的网络资源和网络应用中TopN流量的源主机,可以让管理员及时发现网络瓶颈,防范网络病毒的攻击,并提供丰富的网络流量分析报表,对数据中心管理员在网络规划、网络监控、网络优化、故障诊断等方面做出客观准确的决策,从而能够帮助用友数据中心管理人员实现精细化的流量管理和网络规划及IDC运营策略制定。

      用友网络的管理者在维护管理网络的同时还承担着网络运营的工作。面对规模庞大的网络,丰富的网络业务和复杂的应用环境,所要完成的数据整理和统计工作太多太多——审计合规性报表、资产盘点报表、设备故障报表、网络出口报表、无线业务报表等等,还有给集团领导部门和各入驻园区的产品公司提供的数据中心网络、安全和应用等等,根本无法依靠人工进行处理。通过部署iAR业务组件,利用iAR报表平台和报表设计器功能,按照用友自身的管理规范和IDC运营情况,实现数据提取、数据转换和数据展示并生成报表,既能够把网络管理者从繁杂的数据中彻底解决出来,又能够提供全面的网络运行、运维数据。

      结束语

      用友软件园二期网络的特点是一网、三地、多点辐射,包括园区网、数据中心、广域网和分支网络,无论是网络规模、用户数量还是业务级别在国内企业园区来说都是屈指可数的。通过H3C iMC智能管理中心分布式部署、集中式管理,实现设备、用户和业务的融合统一管理,全网资源、用户与安全联动,总部与三地实现分级管理,针对不同业务归属,进行分权管理,全网用户实现无缝漫游,有效地支撑起了用友整个园区的管理和运营。

  • 联系我们