用友集團網(wǎng)絡(luò )規模大,業(yè)務(wù)承載復雜,對安全性、擴展性和靈活性要求高,并且管理維護人員有限。通過(guò)采用H3C iMC系列智能管理產(chǎn)品,全面解決了網(wǎng)絡(luò )可視化、精細化管理,實(shí)現了快速定位問(wèn)題和網(wǎng)絡(luò )業(yè)務(wù)快速靈活的業(yè)務(wù)部署,滿(mǎn)足用友集團網(wǎng)絡(luò )可管、可控和可運營(yíng)的需求。
應用背景
用友公司成立于1988年,是中國最大的管理軟件、ERP軟件、集團管理軟件、人力資源管理軟件、客戶(hù)關(guān)系管理軟件、小型企業(yè)管理軟件、財政及行政事業(yè)單位管理軟件、汽車(chē)行業(yè)管理軟件、煙草行業(yè)管理軟件、內部審計軟件及服務(wù)提供商,也是中國領(lǐng)先的企業(yè)云服務(wù)、醫療衛生軟件、管理咨詢(xún)及管理信息化人才培訓提供商。目前,用友擁有150多家分/子公司,并在日本、泰國、新加坡等亞洲地區建立了分公司或代表處。用友軟件的用戶(hù)分布中國及亞太地區達到120多萬(wàn)家企業(yè)與機構。
伴隨著(zhù)企業(yè)的高速發(fā)展,一期園區已經(jīng)不能滿(mǎn)足用友集團的需求,并主要體現在三個(gè)方面:
- 企業(yè)規模不斷擴大,原有園區規模無(wú)法滿(mǎn)足發(fā)展需求,急需改造和擴建;
- 網(wǎng)絡(luò )建設快,沒(méi)有統一規劃,各個(gè)業(yè)務(wù)系統相互割裂,無(wú)法有效統一管理和快速定位問(wèn)題;
- 目前的網(wǎng)絡(luò )模式無(wú)法支撐用友“云服務(wù)”的業(yè)務(wù)理念,網(wǎng)絡(luò )靈活性和擴展性差。
管理需求
目前用友軟件園一期網(wǎng)絡(luò )有1.5萬(wàn)多信息點(diǎn),二期三期規劃整個(gè)園區將有5萬(wàn)信息點(diǎn)規模,是國內最大的軟件園區。網(wǎng)絡(luò )按照功能使用設計劃分為辦公網(wǎng)、研發(fā)專(zhuān)網(wǎng)和數據中心網(wǎng)絡(luò ),本次園區網(wǎng)二期除了二期園區網(wǎng)絡(luò )建設之外,還需要充分考慮三地專(zhuān)網(wǎng)建設的辦公協(xié)同以及數據中心網(wǎng)絡(luò )建設。
網(wǎng)絡(luò )建設涉及廣域網(wǎng)、園區網(wǎng)和數據中心三個(gè)部分,涉及面廣,業(yè)務(wù)子系統多,業(yè)務(wù)承載靈活多變,對后續擴展性要求高,所以對網(wǎng)絡(luò )管理的需求設計到方方面面,歸納總結起來(lái)可分為園區網(wǎng)管理需求、廣域網(wǎng)管理需求和數據中心管理需求。
1. 園區網(wǎng)管理需求
用友集團園區網(wǎng)規模大,分為辦公和研發(fā)兩套網(wǎng)絡(luò ),網(wǎng)絡(luò )中包含500多臺網(wǎng)絡(luò )安全設備,承載近2萬(wàn)人的研發(fā)和辦公需求,而且園區中包含而用友軟件股份公司、產(chǎn)品公司和外租公司等復雜的業(yè)務(wù)類(lèi)型。
用友將自己的園區定義為“寫(xiě)字樓”模式,即將整個(gè)園區看成一個(gè)寫(xiě)字樓,各個(gè)產(chǎn)品公司甚至是未來(lái)的外部租賃公司都將會(huì )接入,園區內各個(gè)公司之間網(wǎng)絡(luò )邏輯上相互獨立,因此用友園區網(wǎng)實(shí)際上是由多個(gè)邏輯上獨立的子網(wǎng)絡(luò )構成。怎樣對這樣一個(gè)龐大的網(wǎng)絡(luò )進(jìn)行運營(yíng)和管理,怎樣對整個(gè)園區網(wǎng)絡(luò )的網(wǎng)絡(luò )設備故障告警、流量異常和用戶(hù)準入有一個(gè)綜合全面的管理,怎樣實(shí)現園區網(wǎng)業(yè)務(wù)的靈活部署和快速調整,是擺在網(wǎng)絡(luò )管理和運維部門(mén)面前的一個(gè)大難題。
2. 廣域網(wǎng)管理需求
用友集團擁有北京、南昌和三亞(規劃中)三大園區,還有150家分/子公司和駐外分支機構,分支機構大小從10人至300人不等,鏈路方式有SDH專(zhuān)線(xiàn)、VPN和ADSL接入,承載業(yè)務(wù)有視頻、語(yǔ)音和數據,分支機構網(wǎng)絡(luò )管理人員技術(shù)水平參差不齊。怎樣有效管理管理各分支機構到總部之間的鏈路以及鏈路上承載的業(yè)務(wù),怎么快速定位和恢復鏈路故障,怎樣對各個(gè)分支機構的網(wǎng)絡(luò )進(jìn)行統一的管理和維護,怎么樣分支機構的員工實(shí)現統一管理和靈活漫游,是網(wǎng)絡(luò )管理部門(mén)最為關(guān)心的問(wèn)題。
3. 數據中心管理需求
用友對二期數據中心的業(yè)務(wù)定位非常明確:一是滿(mǎn)足用友自身業(yè)務(wù)發(fā)展需要,支持業(yè)務(wù)快速成長(cháng),提升競爭優(yōu)勢;二是面向用友的產(chǎn)品提供服務(wù)(例如用友SaaS 服務(wù)、U9、NC、S+S、電子商務(wù)等);三是面向用友伙伴及產(chǎn)業(yè)鏈提供增值服務(wù),從而助用友早日跨入“世界級管理軟件公司及領(lǐng)先的企業(yè)云服務(wù)提供商”行列。
數據中心業(yè)務(wù)集中度越來(lái)越高,對數據中心的網(wǎng)絡(luò )可用性和可靠性也要求越來(lái)越高,但卻難以獲知網(wǎng)絡(luò )可用性,提高網(wǎng)絡(luò )利用率更是無(wú)從下手:當前網(wǎng)絡(luò )設備的能力是否滿(mǎn)足業(yè)務(wù)的要求,是否存在瓶頸和能力浪費?作為一個(gè)運營(yíng)的數據中心,如何對各個(gè)子公司的服務(wù)器及托管和外租服務(wù)器進(jìn)行精細化的流量管理和監控?如何測量并實(shí)施持續改進(jìn)?究竟是哪些應用、哪些終端占據了寶貴的帶寬資源?這些成為網(wǎng)絡(luò )管理部門(mén)面臨的又一大難題。
解決方案
用友網(wǎng)絡(luò )通過(guò)部署H3C iMC智能管理中心及相應的業(yè)務(wù)組件,很好的解決了上述管理需求。
1. 園區網(wǎng)解決方案——iMC智能管理平臺+ EAD終端準入控制系統+ WSM無(wú)線(xiàn)運營(yíng)管理組件+NTA網(wǎng)絡(luò )流量分析組件,構建有線(xiàn)無(wú)線(xiàn)一體化、智能可視化、安全分級可控的基礎網(wǎng)絡(luò )管理平臺。
iMC支持分權管理,可以為不同的子公司管理員分配不同的賬號,讓他們擁有管理本公司所屬網(wǎng)絡(luò )、安全和無(wú)線(xiàn)產(chǎn)品的權限,既能滿(mǎn)足對各子公司對自己所屬網(wǎng)絡(luò )的管理需求,又能實(shí)現用友園區網(wǎng)絡(luò )的統一管理。
用友子公司之間協(xié)同辦公需求比較普遍,因此員工的權限管理和安全準入也是各個(gè)子公司非常關(guān)注的問(wèn)題。終端準入解決方案(EAD)根據接入用戶(hù)的具體身份信息,實(shí)現靈活的準入認證和漫游策略,通過(guò)用戶(hù)名密碼認證之后,EAD終端準入系統將動(dòng)態(tài)下發(fā)該用戶(hù)所屬的VLAN信息和其所屬網(wǎng)絡(luò )訪(fǎng)問(wèn)權限的ACL,將終端用戶(hù)劃分到其所屬的子公司的邏輯網(wǎng)絡(luò )中,實(shí)現無(wú)論用戶(hù)在什么位置,無(wú)論是通過(guò)有線(xiàn)或是無(wú)線(xiàn)方式接入,都能夠準確的找到其所屬的認證服務(wù)器,接入正確的子公司網(wǎng)絡(luò )中獲取正確的網(wǎng)絡(luò )訪(fǎng)問(wèn)權限。EAD終端準入系統的部署,有效的解決了非法用戶(hù)和不安全用戶(hù)的接入,同時(shí)滿(mǎn)足了用戶(hù)不同接入方式和不同接入地點(diǎn)的統一策略和權限管理需求。
用友園區內無(wú)線(xiàn)部署采用無(wú)線(xiàn)控制器AC+FIT AP的組網(wǎng)方式,無(wú)線(xiàn)控制器AC以插卡形式內置于核心交換機上,AP采用PoE供電方式,簡(jiǎn)化了無(wú)線(xiàn)組網(wǎng)和部署。接入統一采用和有線(xiàn)一致的EAD認證策略,一次性完成無(wú)線(xiàn)和安全認證,并且可以通過(guò)對無(wú)線(xiàn)AP進(jìn)行分組,讓各個(gè)子公司區域的AP發(fā)布除了用友軟件園的“ufida”的SSID之外,再發(fā)布各子公司自己的SSID。在管理方面,部署WSN無(wú)線(xiàn)運營(yíng)管理組件,依托iMC智能管理平臺,實(shí)現整個(gè)園區有線(xiàn)無(wú)線(xiàn)一體化的管理,在iMC系統全面的有線(xiàn)網(wǎng)絡(luò )管理的基礎上,提供無(wú)線(xiàn)網(wǎng)絡(luò )管理能力,實(shí)現無(wú)線(xiàn)端到端的管理,網(wǎng)絡(luò )拓撲更加清晰和準確,能夠快速的發(fā)現問(wèn)題和解決問(wèn)題,簡(jiǎn)化維護難度,節省用戶(hù)投入,節約維護成本。
iMC NTA網(wǎng)絡(luò )流量分析組件提供網(wǎng)絡(luò )流量信息統計和分析功能,能夠及時(shí)了解各種網(wǎng)絡(luò )應用占用的網(wǎng)絡(luò )帶寬,便于調整網(wǎng)絡(luò )出口的業(yè)務(wù)流量控制策略;了解各種業(yè)務(wù)消耗的網(wǎng)絡(luò )資源和網(wǎng)絡(luò )應用中TopN流量的源主機,便于調整網(wǎng)絡(luò )出口的用戶(hù)流量控制策略;同時(shí)可以幫助管理員全面了解各個(gè)子公司的用戶(hù)流量情況,幫助網(wǎng)絡(luò )管理員及時(shí)發(fā)現網(wǎng)絡(luò )瓶頸,防范網(wǎng)絡(luò )病毒的攻擊,除此之外,iMC NTA網(wǎng)絡(luò )流量分析組件還提供豐富的網(wǎng)絡(luò )流量分析報表,幫助客戶(hù)在網(wǎng)絡(luò )規劃、網(wǎng)絡(luò )監控、網(wǎng)絡(luò )優(yōu)化、故障診斷和網(wǎng)絡(luò )寫(xiě)字樓模式運維等方面做出客觀(guān)準確的決策。
2. 廣域網(wǎng)管理解決方案——iMC智能管理平臺+ IPsec VPN業(yè)務(wù)管理組件+BIMS分支節點(diǎn)智能管理系統+EAD終端準入控制系統構建智能廣域網(wǎng)承載多業(yè)務(wù)。
用友擁有150多個(gè)外地分支機構,廣域網(wǎng)結構非常龐大,針對VPN鏈路多,配置復雜等情況,本次解決方案中加入iMC IPsec VPN業(yè)務(wù)管理組件(IVM),可以方便的對IPsec VPN網(wǎng)絡(luò )設備進(jìn)行統一管理和監控。該組件采用業(yè)界標準的SOA架構,通過(guò)IPSec VPN業(yè)務(wù)部署配置功能可以快速、有效的部署VPN網(wǎng)絡(luò ),滿(mǎn)足用友軟件公司快速擴張不斷收購和新建分支機構對IPsec VPN的頻繁調整需求;通過(guò)IPSec VPN業(yè)務(wù)拓撲可直觀(guān)展示VPN網(wǎng)絡(luò )邏輯結構,通過(guò)IPSec VPN業(yè)務(wù)監視功能可以監控IPSec VPN通道流量和趨勢,幫助管理員及時(shí)發(fā)現隱患、定位問(wèn)題和解決問(wèn)題,保障集團廣域網(wǎng)的暢通;通過(guò)iMC IVM的部署,將網(wǎng)絡(luò )管理者從繁瑣復雜的配置中解決放出,簡(jiǎn)化了VPN的部署和維護的同時(shí)保障了業(yè)務(wù)部署的快捷和準確,實(shí)現用友集團廣域網(wǎng)的智能管理。
用友集團分支機構中有很多小規模機構是直接采用ADSL方式接入,因此IP地址是變化的,傳統的網(wǎng)絡(luò )管理方式無(wú)法對其進(jìn)行有效管理。BIMS分支網(wǎng)點(diǎn)智能管理系統組件能夠基于自動(dòng)配置服務(wù)器實(shí)現對分支機構的資源管理、配置管理、告警管理和系統管理等功能,同時(shí)提供權限控制平臺和報表管理實(shí)現對分支機構網(wǎng)絡(luò )的快捷部署、靈活調整和日常管理維護。BIMS簡(jiǎn)單易用、高性能、可擴展的特點(diǎn)可以輕松完成網(wǎng)絡(luò )的資源、業(yè)務(wù)和配置等管理任務(wù),有效提高了用友集團對中小型分支機構網(wǎng)絡(luò )的管理和維護,提高了整個(gè)用友網(wǎng)絡(luò )的安全性、可管理性和可維護性。
作為整個(gè)用友集團網(wǎng)絡(luò )的重要組成部分,各分支機構網(wǎng)絡(luò )也需要有嚴格的身份認證和準入制度,廣域網(wǎng)EAD解決方案就是針對這種應用場(chǎng)景專(zhuān)門(mén)開(kāi)發(fā)的,身份認證和管理策略都由總部統一管理維護,而且不依賴(lài)分支機構的接入交換機設備,在簡(jiǎn)化網(wǎng)絡(luò )管理的同時(shí)提高了分支機構網(wǎng)絡(luò )的安全性,而且分支機構用戶(hù)出差到總部時(shí)同樣能按照既定的認證和權限管理執行,深受用戶(hù)認可,已經(jīng)將廣域網(wǎng)EAD作為分支機構網(wǎng)絡(luò )建設的硬性標準之一。
3. 數據中心管理解決方案——iMC智能管理平臺+iAR智能分析報表管理組件+ NTA網(wǎng)絡(luò )流量分析組件構建精細化流量管理和可視化運維數據中心。
用友數據中心全網(wǎng)采用H3C IRF2虛擬化技術(shù),幫助實(shí)際物理設備虛擬化為邏輯設備,提供更好性能、更高穩定性、更簡(jiǎn)易的業(yè)務(wù)部署和更方便的維護。iMC在對IRF2虛擬交換機進(jìn)行有效的管理的同時(shí),還能夠對數據中心所在的機房及內部機架等進(jìn)行管理,將這些傳統網(wǎng)絡(luò )管理無(wú)法涉及的地方全部轉變?yōu)榭梢暬負洌ㄈ鐖D1所示),讓管理員可以按分區、樓層、機房、機架、設備面板等各類(lèi)視圖查看,方便其從各個(gè)維度對數據中心的各種資源進(jìn)行管理,讓管理員從宏觀(guān)到微觀(guān),逐步定位告警來(lái)源,簡(jiǎn)化網(wǎng)絡(luò )維護工作量。
圖1 iMC可視化拓撲管理示意圖
通過(guò)iMC NTA網(wǎng)絡(luò )流量分析組件的部署,能夠給數據中心管理員一個(gè)直觀(guān)的網(wǎng)絡(luò )流量分布圖,能夠從宏觀(guān)層面清晰的了解整個(gè)網(wǎng)絡(luò )中得各種應用帶寬,從微觀(guān)了解各個(gè)服務(wù)器機柜甚至單臺服務(wù)器的即時(shí)流量情況和歷史流量記錄,并且可以直觀(guān)展現各種業(yè)務(wù)消耗的網(wǎng)絡(luò )資源和網(wǎng)絡(luò )應用中TopN流量的源主機,可以讓管理員及時(shí)發(fā)現網(wǎng)絡(luò )瓶頸,防范網(wǎng)絡(luò )病毒的攻擊,并提供豐富的網(wǎng)絡(luò )流量分析報表,對數據中心管理員在網(wǎng)絡(luò )規劃、網(wǎng)絡(luò )監控、網(wǎng)絡(luò )優(yōu)化、故障診斷等方面做出客觀(guān)準確的決策,從而能夠幫助用友數據中心管理人員實(shí)現精細化的流量管理和網(wǎng)絡(luò )規劃及IDC運營(yíng)策略制定。
用友網(wǎng)絡(luò )的管理者在維護管理網(wǎng)絡(luò )的同時(shí)還承擔著(zhù)網(wǎng)絡(luò )運營(yíng)的工作。面對規模龐大的網(wǎng)絡(luò ),豐富的網(wǎng)絡(luò )業(yè)務(wù)和復雜的應用環(huán)境,所要完成的數據整理和統計工作太多太多——審計合規性報表、資產(chǎn)盤(pán)點(diǎn)報表、設備故障報表、網(wǎng)絡(luò )出口報表、無(wú)線(xiàn)業(yè)務(wù)報表等等,還有給集團領(lǐng)導部門(mén)和各入駐園區的產(chǎn)品公司提供的數據中心網(wǎng)絡(luò )、安全和應用等等,根本無(wú)法依靠人工進(jìn)行處理。通過(guò)部署iAR業(yè)務(wù)組件,利用iAR報表平臺和報表設計器功能,按照用友自身的管理規范和IDC運營(yíng)情況,實(shí)現數據提取、數據轉換和數據展示并生成報表,既能夠把網(wǎng)絡(luò )管理者從繁雜的數據中徹底解決出來(lái),又能夠提供全面的網(wǎng)絡(luò )運行、運維數據。
結束語(yǔ)
用友軟件園二期網(wǎng)絡(luò )的特點(diǎn)是一網(wǎng)、三地、多點(diǎn)輻射,包括園區網(wǎng)、數據中心、廣域網(wǎng)和分支網(wǎng)絡(luò ),無(wú)論是網(wǎng)絡(luò )規模、用戶(hù)數量還是業(yè)務(wù)級別在國內企業(yè)園區來(lái)說(shuō)都是屈指可數的。通過(guò)H3C iMC智能管理中心分布式部署、集中式管理,實(shí)現設備、用戶(hù)和業(yè)務(wù)的融合統一管理,全網(wǎng)資源、用戶(hù)與安全聯(lián)動(dòng),總部與三地實(shí)現分級管理,針對不同業(yè)務(wù)歸屬,進(jìn)行分權管理,全網(wǎng)用戶(hù)實(shí)現無(wú)縫漫游,有效地支撐起了用友整個(gè)園區的管理和運營(yíng)。
