信息化基础架构逐步创新中交一航局第一公程有限公司内容提要一、前言二、信息化链路拓宽创新过程三、核心网络架构创新过程四、实施效果及经济效益一、前言企业信息化的内容很多,归纳起来有两大部分,信息化基础架构和业务应用信息化。业务应用信息化既是业务创新,业务的每次创新可以给企业带来竞争优势,带来更多的用户和市场份额;信息化基础架构是指除应用和数据之外的各种系统资源,既是技术创新,在互联网应用的推动下,新一代的业务基础架构逐渐走进人们的视野,并开始改变人们对业务机遇的把握。我公司在“十五”期间生产经营规模超速运转,企业OA网络协同办公平台、远程船舶数字化管理平台、远程施工现场视频浏览和视频会议平台等等应用,在企业内部、企业之间、地区之间被推到管理前台。随着业务息化的需求和Internte环境的高速发达,系统中数据流量动越来越大,与此同时,Internet网络中的黑客、病毒也在大量繁殖,使得企业信息化基础架构随时要经受暴风骤雨般的海量信息冲击。如何能够在专业维护人员少的情况下,同时保障系统的稳定运行,这对基础构架的建立、管理、安全提出了更高的可靠性要求。二、信息化链路拓宽创新过程•1、通过ISP拓宽公司信息高速公路的过程中基础架构在不断创新•2、通过光纤、微波无线技术拓宽信息高速公路的过程中基础架构在不断创新图5无线局域网示意图二、信息化链路拓宽创新过程2.1通过ISP拓宽公司信息高速公路•在2000年到2006年期间,公司内部网络架构与Internet链路的连接带宽,从培训推广各部门通过56Kmodie传递E—mail开始,发展到目前20M专线,这期间经历五种模式升级。•由于每次链路拓宽升级都是抢在新技术刚推出,在企业应用中没有可参照的方案,所以链路的每次升级都要经过可行性研究试验分析,在保证技术参数的条件下,找出成本合理的最佳解决方案。网络带宽(单位K)5612851240001000010000200002000年2001年2002年2003年2004年2005年2006年二、信息化链路拓宽创新过程2.1.1电话线上网模式(2000—2001年)2.1.2ADSL拨号上网模式(2002年)2.1.3ADSL专线上网模式(2003年)2.1.4光纤10M专线上网模式(2004年)2.1.5网通10M、电信10M解决不同ISP之间互访速度(2006年)二、信息化链路拓宽创新过程2.1.5网通10M、电信10M解决不同ISP之间互访速度“中国电信”和“中国网通”不同ISP之间相互限制互访速度和带宽,导致南方项目部通过电信不能访问公司北方网站,公司通过网通也不能访问南方视频站点。2006年我重点解决公司属各施工单位大跨距管理所遇到南北互联互通问题。为什么不同ISP之间互访速度过慢•链路带宽限制•不同ISP之间相互限制互访速度•不能有效利用多条链路,使数据通过最佳链路传输为什么不同ISP之间互访速度过慢SiSi内部服务器网通ISP电信ISP南方项目部北方项目部访问北方项目部方案比较2.1.5网通10M、电信10M解决不同ISP之间互访速度2.1.5.1使用CDN(ContentDistributionNetwork)服务2.1.5.2增加OSPF(开放路由协议):2.1.5.3通过双链路VPN的方式2.1.5.4使用负载设备2.1.5网通10M、电信10M解决不同ISP之间互访速度2.1.5.1使用CDN(ContentDistributionNetwork)服务使用CDN服务,使各个重要骨干城市都有自己的镜像服务器,可以把流量导向位置最近,速率最快的服务器。优点:可以实现外部用户访问内部服务器都能通过最近,最快的服务器到达。缺点:CDN的设备实现比较复杂,而且造价昂贵,并且只能保证外部用户对内部服务器的访问速度,不能对内部用户访问广域网的速度作保证。2.1.5网通10M、电信10M解决不同ISP之间互访速度2.1.5.2增加OSPF(开放路由协议):OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(AutonomousSystem),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。我们可以利用在公司互联网的出口增加一个具有OSPF路由的路由器来解决南北互联的问题。缺点有以下几点:1、价格过于昂贵,如果选择一个适合我们实际情况的,其价位在30万以上。同时要申请加入到ISP的OSPF路由域中,必须给ISP付年租,租金每年要几万元。2、带来各种安全问题,路由器本身的安全防范功能很弱,把它放在公司网络的边界,必然会带来各种各样的安全问题,导致网络的不稳定。3、降低网络速度,增加网络延迟时间,因为OSPF学习到全部互联网络的路由表,这是很大的数据库。当内部网络的数据包通过路由器时,它会查询整个路由表,再转发数据包,就会导致网络延迟增加,网络效率降。2.1.5网通10M、电信10M解决不同ISP之间互访速度2.1.5.3通过双链路VPN的方式此种方案主要解决外部网络对公司内部网络VPN访问存在南北互联互通的问题。是一种比较简单的方式部,与公司建立虚拟局域网络。缺点:1、增加网络风险:从图中我们可以看出,此种网络结构有两个网络出口,是正常网络安全风险的二倍。2、网络维护结构复杂,网络维护量大,我们要时刻维护所有网络静态路由。3、此种方案从根本上讲,没有解决南北互联互通的问题:它没有能够解决公司网络访问外部南北网络互联互通问题。内部网络访问外部网络还是要受默认路由的限制;外部网络(非VPN)访问公司服务器器,还是要遇到南北互联互通的问题。2.1.5网通10M、电信10M解决不同ISP之间互访速度2.1.5.4使用负载设备使用负载设备的OptimumRouteDetection机制可以针对内部用户访问广域网(Inbound)以及广域网用户访问内部服务器(Outbound)进行检测,并且对检测的过程和结果进行标准化,计算出最佳的链路,来解决公司现存南北互通互通的通信问题。负载设备特有的核心技术之一--OptimumRouteDetection即最佳路径检测机制。OptimumRouteDetection主要是解决不同ISP之间互相访问时速度过慢的问题。尤其在有多条广域网连线的网络环境中,通过OptimumRouteDetection检测机制,负载均衡设备对链路的延迟(RTT)和链路负载(Load)进行综合运算,为Inbound和Outbound的流量选择最佳链路,进行数据传输。2.1.5网通10M、电信10M解决不同ISP之间互访速度使用负载设备提高链路的可用性,加快不同ISP之间互访速度SiSi内部服务器网通ISP电信ISP南方项目部北方项目部访问南方项目部2.1.5网通10M、电信10M解决不同ISP之间互访速度经济性:与前几种方案相比较,我们仅需要购置一台负载均衡的设备,就能有效集成到公司现有的网络中去,不要再增置其它的网络设备,不需要付OSPF昂贵的年租。由此可以看出,该方案的经济性。网络安全性:负载均衡设备本身就会集成网络防火墙的功能,具有多GB入侵防御,可针对内外部攻击提供安全保护,包括病毒、蠕虫、木马、反扫描和协议异常。安全更新服务可针对1,500多个攻击签名文件提供连续的过滤,从而提供现行的保护;实时监控、识别和拦截DoS/DDoS及SYN攻击,可针对所有DoS攻击和服务器宕机保护服务器。设备本身能具有自我保护的机制。负载均衡设备放在网络的边界上,是安全的。灵活可扩展性:负载均衡设备能无缝的集成在现有的网络中去,充分利用原有的设备,使原有的资产得到了的发挥新的功效,原有的投资不被浪费掉,同时,因为该方案结构简单,更适合网络升级和扩容,在新的网络升级的方案,负载均衡设备也同样能使现有的投资的得到最大的保护。维护简单:因为该方案网络结构简单,维护量小,我们仅需要增加对负载均衡的设备维护,而不像以上两种方案,还需要负责静态路由和路由器的维护。同时负载均衡设备支持WEB、SNMP、TELNET等各种维护方式。维护方便、简单,可以随时随地维护网络设备。2.1.5.4.2负载均衡的方式解决南北互联互通的问题优点二、信息化链路拓宽创新过程2.2通过光纤、微波无线技术拓宽信息高速公路2.2.1、公司总部采用光纤连接周边项目部从2002到2003年信息化基础架构快速扩张,公司属各单位分别建立自己的局域网。为便于管理,控制成本,对公司所属周边预制构件厂、钢桩加工厂、试验检测中心等四个单位通过光纤连接42台计算机,加入到本部局域网。2.2.2、通过微波无线技术解决天津港8个项目部的网络通信由于天津港发展迅猛,基础施工条件往往不能够满足正常施工的需要,天津港区施工的几个项目部电话都不通,在天津港北疆港区、南疆港区握公司有8个施工项目部,由于施工现场地域条件等多种因素的限制,造成通信线路不能铺设到这些项目部基地。从2004到2006年采取了远程微波通讯系统,将公司总部的局域网延伸到项目部,90台计算机接入公司总部局域网。既解决了公司对项目部的网络管理问题,又解决了项目部由于通讯不畅造成的不必要浪费,进一步提高了公司的管理效率,同时也为公司整体节省了管理费用。三、公司核心网络架构创新过程问题提出:•瓶颈问题之一:公司内部的局域网用户快速增加到2006公司总部计算机数量由75台加238台。•瓶颈问题之二:公司信息化应用项目快速增加基础架构推动全公司信息化应用的同时,公司生产经营市场的快速扩张,使得公司的业务管理发生变革,业务信息化已代替了人们的传统工作方式。快速的信息流动已经成为满足企业超速发展的需要。以上问题迫使我们在“十五”期间对公司基础架构作了两次较大创新050100150200250数量20022003200420052006时间公司总部网络接入计算机发展情况天津港无线连接的网络计算机数量光纤接入公司周边项目部接入计算机数量公司总部计算机数量服务器数量123469122000200120022003200420052006服务器数量三、公司核心网络架构创新过程3.1增加网络核心管理2004年为基决网络的瓶颈问题为公司局域网增加核心交换机,网络核心是建立CISCO3550三层交换机上,利用CISCO3550VLAN功能把原来单一局域网分成10个虚拟局域网(VLAN),各个网络之间相互独立工作,又可以相互访问。Vlan网络体系优点:提高了网络的整体性能:提高网络整体安全性:网络管理简单、直观:三、公司核心网络架构创新过程3.2公司基础架构技术第二次创新核心网络主干线路升级千兆为了确保网络核心的稳定,将原有的核心交换机Cisco3550-24交换机降级为服务器组汇聚交换机,专门为服务器组进行服务,减轻其处理压力;核心位置增加一台Cisco4506插槽式三层路由交换机。引擎采用的是四代高效引擎,使网络性能和处理能力更强大。交换机配置一块6端口千兆广电复用端口,配置两块千兆光纤接口模块。这样,核心交换机可以通过千兆连接下层接入交换机,其中距离中心机房比较远的两台接入交换机采用光纤连接,其他的交换机采用千兆双绞线连接,将网络的主干链路提升为千兆,增加网络的负载能力。中心交换机升级为4506,公司网络核心交换机的处理能力达到了180Gbps.网络的主干链路和服务器网速提升为1000M四、实施效果及经济效益•解决了长期困扰公司南北互联互通的问题•高安全性•高性能和可靠性•网络管理与调试简单•基础架构前瞻性•良好的经济效益谢谢!