基礎網絡架構解決方案建立在網絡生命周期的基礎上，該周期包括準備、規劃、設計、部署、運營和優化6個基本階段，在充分調研和理解客戶需求的基礎上，確?？蛻粼诰W絡生命周期的各個階段都獲得所需的支持服務。

服務導向網絡架構的提出，就是要加速應用、業務流程和網絡資源之間的使用和融合，并使 IT 能夠為企業和客戶提供更好的服務。這就要求業務、應用開發、系統和網絡各部門人員不再是以往串行的工作模式，而是要求人員之間進行更有效的相互溝通，加強互動，企業網絡架構設計人員在新的業務、應用模式提出的初期階段介入其中，并提供相關的指導意見，使得新的業務和應用模式能夠符合企業網絡架構和安全規范。同時創新的業務和應用模式也可能要求網絡必須發生相應的調整和改變，這種改變甚至可能是巨大的，以符合企業整體信息架構的需要。

在今天數據大集中的背景下，企業建立自己的數據中心，用于存放企業關鍵數據，運行企業核心業務。數據中心既是企業的業務處理中心、信息資源中心，同時也成為了企業完整基礎網絡架構的中心。企業的其他部分網絡，這包括總部中心網絡、分支機構網絡、第三方單位外聯網絡、Internet/VPN網絡等，都存在接入到數據中心網絡的需求，獲取數據中心提供的相關服務。 

企業數據中心網絡

數據中心網絡通常根據模塊化或者區域化設計原則，按照每個業務功能劃分不同的區域，比如可以劃分為：生產區域、外聯區域、骨干網接入區域、Internet接入區域等。這需要根據企業的實際業務流程和模式進行劃分。而每個區域內部，則根據層次化設計原則，劃分為核心層、匯聚層、接入層。各功能區域之間通過核心交換區域進行互通。

企業備份中心網絡

企業根據需要建立備份中心，這包括同城災備中心和異地災備中心，確保在災難發生的情況下，企業業務能連續運作，不間斷的為客戶提供服務。 數據中心的備份包括備用應用系統、備用數據處理系統、數據備份系統、備用網絡系統等方面，而這些都建設在相應的備份中心。備份中心的網絡結構和數據中心網絡結構高度一致。高度一致并不是完全的復制和雷同，而是在滿足災備要求的前提下，根據企業具體情況，組建和數據中心相近的網絡和通信設置。比如備份中心可能只在主要節點采用冗余的網絡結構。 數據中心和備份中心之間通常采用DWDM、SONET/SDH、光纖以太網技術互連，以支持高速低延遲應用，比如同步數據復制。

總部中心網絡

企業總部往往是企業管理層所在地，他們需要及時獲得企業重要的業務分析數據，進行相關決策和執行相關流程。有的總部中心網絡和數據中心網絡在同一個地方，有的是在不同的地方。如果是在不同的地方，總部中心網絡也有可能通過DWDM、SONET/SDH、光纖以太網技術和數據中心、備份中心互連。 總部中心網絡通常也采用模塊化和層次化設計原則進行規劃設計。

分支機構網絡

分支機構網絡是企業整體基礎網絡結構的重要組成部分。企業分支機構有可能進一步劃分為一級分支機構、二級分支機構，一級分支機構通過廣域網直接連接到數據中心網絡，二級分支機構則通過廣域網連接一級分支機構。這需要根據企業具體的網絡需求來確定。 分支機構網絡通常也采用模塊化和層次化設計原則進行規劃設計。

企業骨干網絡

企業通過廣域網實現各級別分支機構、分支機構和企業數據中心網絡之間的連接。通常稱這樣的廣域網為企業骨干網。線路類型主要有點對點DDN專線、SDH 2M線路、ATM線路、幀中繼線路等。分支機構到數據中心網絡一般采用兩條廣域網線路，這兩條線路通常采用不同運營商，在這兩條線路上實現數據分流和線路互備策略。另外會部署QoS策略，保證業務數據優先。

企業外聯網絡

企業需要通過廣域網和第三方單位比如合作伙伴通信。通常稱這樣的廣域網為企業外聯網。第三方單位通過數據中心外聯區域訪問企業數據中心網絡，外聯區域安全級別較低，通常采用防火墻、NAT等安全手段，保證數據中心的安全。 

Internet/VPN網絡

目前企業網上應用的使用為客戶提供了極大的便利，比如銀行網銀系統?？蛻敉ㄟ^Internet訪問企業數據中心WEB服務器，獲取相關服務。另一方面，當企業員工需要通過Internet訪問企業資源時，可以采用VPN（虛擬專用網）技術，建立一條端到端的安全通道，類似于專用網絡，保證員工安全訪問企業資源。VPN提供了與傳統的專用網絡相同級別的信息安全。 Internet接入區域的安全級別較低，通常采用異構的二層防火墻，保證數據中心安全。

以上是對企業完整的基礎網絡架構的各個部分網絡進行描述，當然，根據具體企業的業務模式和網絡需求，每個企業可能會有所不同。在深刻理解今天企業客戶的聯網需求的基礎上，充分利用和調動自身網絡規劃與行業領域的實踐經驗和豐富的資源，積極幫助企業構建和優化各種類型的基礎網絡架構平臺，這包括上面提到的數據中心網絡、總部中心網絡、骨干網、分支機構網絡、外聯網絡、Internet/VPN網絡等。在一個強有力的IP基礎網絡架構平臺之上，讓企業的業務觸角無處不在，無論是客戶、合作伙伴、雇員還是競爭者能隨時隨地進行溝通，實現企業資源和信息的使用和共享。

 

一、面臨挑戰

隨著社會的發展和科技的進步，真實有效的信息已經成為企業賴以生存的源泉，企業信息化的水平已經成為企業的核心競爭力，但是隨著企業信息化建設的普及與規模發展，企業所面臨的風險和威脅也越來越大。外在的因素、內在的因素與更多不可欲知的災難，時刻威脅著企業生存。絕大多數企業都無法承擔由于計劃外系統中斷造成的停機而帶來的經濟與信譽等諸多方面的損失。而如何做到企業的業務永續運行，已經成為困擾企業經營決策者們的頭等大事。

根據我們對多家企業的數據中心事故的分析，我們總結出了數據中心安全運營的五大威脅：

第一：停電

機房意外停電是我們數據中心最常見的威脅，輕則導致設備關機，業務不可用；重則導致存儲設備數據不一致，設備無法開機導致數據永久丟失。

第二、病毒

病毒是最常見的安全威脅，因為病毒實時在發生變化，沒有一款殺毒軟件可以實時防范所有病毒。

第三、數據庫誤刪除

經統計數據中心發生的事故中人為誤操作事故的比例要遠遠高于設備故障造成的事故比例，因為人工運維管理的需求是多變的，加上人的狀態很大程度上會影響工作的質量和效率。

第四、程序bug

因為程序設計的時候沒有辦法測試所有實例，所有一些問題經常是慢慢發現，慢慢修復的。我們看微軟每年發布多少補丁就知道了我們的程序有多少漏洞，這些漏洞隨時可能導致程序崩潰，導致業務不可用或者數據不可用。

第五、存儲宕機

存儲宕機雖然不經常遇到，但是只要是程序就有bug，所以每年也是有幾例存儲宕機事故被報道出來的。另外一個raid5中同時壞掉2塊硬盤也會導致數據不可用。

 

 

二、解決方案

 

 

針對以上的數據中心安全運行需求，我們采用合適的技術手段一一解決潛在的威脅：

第一：電源風險

我們通過UPS不間斷電源+本地雙數據中心來解決，具體設計是在本地園區的兩個相隔不遠的大樓各建一個機房，中間通過裸纖互聯，設備分別放到兩個機房，做成雙活架構，每個機房配置足夠的UPS。

第二、病毒、數據庫誤刪除

針對病毒和數據庫誤刪除這種數據邏輯故障問題，我們采用CDP數據錄像功能來解決，具體方案是通過CDP設備每隔幾十秒對生產存儲做一次快照，數據出現誤刪除或者發現病毒，我們可以在幾分鐘內將生產數據回退到之前正常狀態的任意時間點。 

第三、程序bug

針對程序的故障，我們分別在應用層使用負載均衡器實現應用的水平擴展和高可用，任意節點程序故障或者服務器故障，應用不受影響。

數據庫層面我們使用數據庫自帶的高可用方案比如oracle rac實現數據的水平擴展和高可用，防止程序bug導致的業務中斷。

第四、存儲宕機

針對存儲故障我們在用vplex metro實現存儲的虛擬化和高可用鏡像，不管任意存儲宕機，數據庫可以無感知的繼續運行。

通過以上改造最終達到無論是出現電源中斷、設備宕機、程序bug、人為誤操作、甚至機房出現意外都可以讓業務零中斷的效果！

 

 

另外我們的方案還可以根據業務的發展實現本地雙活數據中心到異地雙活數據中心的平滑過渡，有效的保護了前期的投資。
 
三、 客戶收益

1、防止機房電源故障、網絡帶寬出口故障等設備故障導致的業務不可用問題。
2、預防服務器、網絡、存儲設備故障導致的業務中斷或數據丟失問題。
3、防止運維人員誤操作導致的數據誤刪除、或者中病毒等原因導致的長時間業務中斷，實現分鐘級別的系統回退。

 

 

安全信息和事件管理

背景

伴隨著網絡相關業務和應用的飛速發展，安全風險也迅速增大，防范和化解安全風險成為切緣非常關注的問題，這就迫切要求企業加大信息化安全建設、風險監管建設的力度，使各信息系統具有更高的安全防范體系。同時，為滿足中國各行業法律法規的監督和管理，逐步向國際化管理靠攏，降低安全風險，增強事后審計與取證的能力，這需要IT系統建立嚴密的計算機管理規章制度、運行規程，并建立良好的故障處理反應機制，對風險政策制度、安全信息分析、風險監控等方面實行全行集中管理，建立健全的安全集中監控體系，保障信息系統的安全正常運行。

解決方案

安全信息與事件管理平臺設計是三層分布式體系結構，主要由事件收集引擎、關聯分析引擎、事件數據庫和管理所有安全結果的顯示臺（也即控制臺）組成。

1.事件收集引擎：負責收集和處理來自于多種廠商的設備的數據，設備包括：路由器、防火墻、防病毒、入侵檢測系統、電子郵件日志、訪問控制、VPN、防DoS攻擊設備、操作系統日志等等。

2.關聯分析引擎：負責實現管理、關聯分析、過濾和處理企業中所有發生的安全事件，它位于整體解決方案的中央，作為控制臺、事件數據庫和事件收集引擎之間的連接。

3.事件數據庫：集中存儲所有收集的事件，以及所有安全管理配置信息。

4.控制臺：配置系統、展示企業安全狀況，提供集中實時查看企業安全事件、深入調查分析以及對事件的自動響應的能力。

工作性質迅速變化，多種趨勢導致人們的交互和業務開展方式發生巨大轉變，企業面臨著諸多挑戰−員工隊伍移動性更強、更分散−內容和設備急劇增加−跨組織合作和流程增多−視頻通信迅速增多人通常是企業最重要的資產，也是其最大的消耗。在信息經濟中，公司員工的知識和專業技能是至關重要的競爭一輪的創新和效率突破不大可能通過增加更多傳統的 IT 系統或“辦公工具”來實現，而是應順應這些新趨勢，讓企業員工之間能隨時隨地以更及時、更自然、更全面的方式協作。

方案介紹

1、建設目標

協作是指一起實現共同的目標。就在不久以前，人們協作的最好方式還是在同一時間聚集到同一地點，直接面對面的溝通。而在今天全球化的經濟環境中，由于業務資源的分散、服務的外包、辦公設施和差旅成本的日益增長，將人們聚到同一個物理地點不再是最有效的協作方式。但是，隨著思科協作解決方案的推出，人們現在可以隨時隨地互相協作，極大地節省了時間和費用。思科協作解決方案支持全部的語音、視頻和數據通信，包括移動協作的最新發展。

2、方案概要

 

 

思科協作解決方案整合了許多高級應用程序和服務，其中包括：

3、方案價值

思科協作解決方案可為人們提供前所未有的聯系、交流和協作方式，從而使企業或機構能夠改善交互、鼓勵創新以及更快更好地作出決策。協作可在三方面提供投資收益 (ROI)：

運營 ROI

協作通過減少或避免差旅、基礎設施、能源和辦公空間成本來改變運營方式。這個方面是最容易實現的，通常也是企業首要考慮，并往往能獲得最高的短期收益。

工作效率 ROI

提高員工工作效率是下一個巨大的業績挑戰和機遇。因此，更有效的協作能簡化產品開發流程，加快產品進入市場的速度，或縮短銷售周期。整個組織的參與度越高，產生的綜合影響就越大。 

戰略 ROI

戰略 ROI 最難衡量，但可能最具變革意義。從這個角度來看，協作可用于重構客服理念，開發新的業務模式，或將已有的競爭優勢帶入新市場。 

4、方案優勢

思科協作 (Cisco Collaboration) 解決方案可通過以下方式幫助您應對今天的種種商業挑戰并贏得競爭優勢：通過實時語音和視頻通信讓業務交互改觀快速組建動態團隊，無論身處何處，都能更快更好地做出決策通過即時聯系公司專家，提高客戶響應積極性跨越傳統企業邊界實現安全連接、通信和協作

 

 

一、面臨挑戰

1、用戶需要在建筑物內使語音和數據通信設備、交換設備和其他信息管理系統彼此相連，同時也使這些設備與外部通信網絡相連接。

2、網絡布線是信息網絡系統的“神經系”；

3、網絡系統規模越來越大，網絡結構越來越復雜，網絡功能越來越多，網絡管理維護越來越困難，網絡故障系統的影響也越來越大；

4、網絡布線系統關系到網絡的性能、投資、使用和維護等諸多方面，是網絡信息系統不可分割的重要組成部分；

5、綜合布線系統是智能化建筑連接“3A”系統的基礎設施。

二、解決方案

綜合布線系統是指按標準的、統一的和簡單的結構化方式編制和布置各種建筑物(或建筑群)內各種系統的通信線路，包括網絡系統、電話系統、監控系統、電源系統和照明系統等。因此，綜合布線系統是一種標準通用的信息傳輸系統。

綜合布線系統是智能化辦公室建設數字化信息系統基礎設施,是將所有語音、數據等系統進行統一的規劃設計的結構化布線系統，為辦公提供信息化、智能化的物質介質，支持將來語音、數據、圖文、多媒體等綜合應用。 

根據國際標準ISO 11801的定義，結構化布線系統可由以下系統組成。

工作區子系統

目的是實現工作區終端設備與水平子系統之間的連接，由終端設備連接到信息插座的連接線纜所組成。由信息插座、插座盒、連接跳線和適配器組成。

水平子系統

水平子系統也稱為配線子系統。

目的是實現信息插座和管理子系統（跳線架）間的連接，將用戶工作區引至管理子系統，并為用戶提供一個符合國際標準，滿足語音及高速數據傳輸要求的信息點出口。該子系統由一個工作區的信息插座開始，經水平布置到管理區的內側配線架的線纜所組成。系統中常用的傳輸介質是4對UTP（非屏蔽雙絞線），它能支持大多數現代通信設備，并根據速率要去靈活選擇線纜：在速率為10~100Mbit/s時一般采用5類或是6類雙絞線；在速率高于100Mbit/s時，采用光纖或是6類雙絞線。

配線子系統要求在90m范圍內，它是指從樓層接線間的配線架至工作區的信息點的實際長度。如果需要某些寬帶應用時，可以采用光纜。信息出口采用插孔為ISDN8芯（RJ-45)的標準插口，每個信息插座都可靈活地運用，并根據實際應用要求可隨意更改用途。配線子系統最常見的拓撲結構是星形結構，該系統中的每一點都必須通過一根獨立的線纜與管理子系統的配線架連接。

管理間子系統

本子系統由交連、互連配線架組成。管理點為連接其它子系統提供連接手段。交連和互連允許將通訊線路定位或重定位到建筑物的不同部分，以便能更容易地管理通信線路，使在移動終端設備時能方便地進行插拔?；ミB配線架根據不同的連接硬件分樓層配線架（箱）IDF和總配線架（箱）MDF，IDF可安裝在各樓層的干線接線間，MDF一般安裝在設備機房。

垂直干線子系統

目的是實現計算機設備、程控交換機（PBX）、控制中心與各管理子系統間的連接，是建筑物干線電纜的路由。該子系統通常是兩個單元之間，特別是在位于中央點的公共系統設備處提供多個線路設施。系統由建筑物內所有的垂直干線多對數電纜及相關支撐硬件組成，以提供設備間總配線架與干線接線間樓層配線架之間的干線路由。常用介質是大對數雙絞線電纜和光纜。

設備間子系統

本子系統主要是由設備間中的電纜、連接器和有關的支撐硬件組成，作用是將計算機、PBX、攝像頭、監視器等弱電設備互連起來并連接到主配線架上。設備包括計算機系統、網絡集線器（Hub）、網絡交換機（Switch）、程控交換機（PBX）、音響輸出設備、閉路電視控制裝置和報警控制中心等。 

建筑群子系統

該子系統將一個建筑物的電纜延伸到建筑群的另外一些建筑物中的通信設備和裝置上，是結構化布線系統的一部分，支持提供樓群之間通信所需的硬件。它由電纜、光纜和入樓處的過流過壓電氣保護設備等相關硬件組成，常用介質是光纜。

建筑群子系統布線有以下三種方式：

（1）地下管道敷設方式：在任何時候都可以敷設電纜，且電纜的敷設和擴充都十分方便，它能保持建筑物外貌與表面的整潔，能提供最好的機械保護。它的缺點是要挖通溝道，成本比較高。

（2）直埋溝內敷設方式：能保持建筑物與道路表面的整齊，擴充和更換不方便，而且給線纜提供的機械保護不如地下管道敷設方式，初次投資成本比較低。

（3）架空方式：如果建筑物之間本來有電線桿，則投資成本是最低的，但它不能提供任何機械保護，因此安全性能較差，同時也會影響建筑物外觀的美觀性。

三、客戶收益

1、實施后，布線系統將能夠適應現代和未來通信技術的發展，并且實現話音、數據通信等信號的統一傳輸。

2、布線系統能滿足各種應用的要求，即任一信息點能夠連接不同類型的終端設備，如電話、計算機、打印機、電腦終端、電傳真機、各種傳感器件以及圖像監控設備等。

3、綜合布線系統中除去固定于建筑物內的水平纜線外，其余所有的接插件都是基本式的標準件，可互連所有話音、數據、圖像、網絡和樓宇自動化設備，以方便使用、搬遷、更改、擴容和管理。

4、綜合布線系統是可擴充的，以便將來有更大的用途時，很容易將新設備擴充進去。

5、采用綜合布線系統后可以使管理人員減少，同時，因為模塊化的結構，工作難度大大降低了日后因更改或搬遷系統時的費用。

6、對符合國際通信標準的各種計算機和網絡拓撲結構均能適應，對不同傳遞速度的通信要求均能適應，可以支持和容納多種計算機網絡的運行。

高密度覆蓋無線

一、面臨挑戰

當前，4G移動無線網絡中已經成為每個人生活中必不可少交流方式，人均占用終端量越來越高，接入密度越來越高，因此高密度接入是我們目前必須考慮的應用場景。日常辦公、生活中越來越多的應用依靠企業無線網絡，通過企業無線網絡提供日常應用需要。因此無線接入點吞吐量、無線接入點終端接入數、客戶端應用的體驗、復雜環境安裝方式、可擴展性等都是我們目前必須考慮的問題。

 

目前的問題主要是：

1、來自其它WiFi網絡的干擾、非WIFI網絡的同頻干擾；

2、共道干擾: 一個地方有太多的AP, 但可用信道數量有限，越來越低效；

3、低速率的客戶端(ex. 802.11b) 影響整個網絡的性能；

4、客戶端選擇錯誤的頻段：2.4 GHz 信號通常比5G的信號好；

5、很多客戶端擁擠在同一個AP上，即使它移動到很遠的地方。

因此總結如下：新一代無線網絡覆蓋必須考慮高密度接入（HDX）的場景應用。

二、解決方案：（高密度接入主要產品為2700\3700\2800\3800）

產品芯片架構

定制化芯片架構優勢：主處理CPU、無線電模塊CPU

 

 

在802.11ac環境下, 總的可用帶寬增加到1.3（Wave 2 可達到5G）Gbps, 但仍然還是個共享介質的技術.,思科設計了一個更高效的數據包調度排隊機制，可以支持和保證每個Radio下60個客戶端的性能和體驗,3700支持Radio芯片上設計了一個單獨的RAM用于Caching, 利用額外的RAM為每客戶端數據包排隊的技術Cisco,通過定制化ASIC芯片實現性能加速、優化漫游、智能頻譜、智能波束、噪音抑制等。

產品架構特性

1、 Client Link 

lClientLink使用多個發送天線，通過調整相位，將信號更集中的發向客戶端。

l在混合客戶端環境, 通過系統的優化，使802.11a/n and 802.11ac 客戶端在自己最優的速率下工作，尤其這些客戶端在網絡信號覆蓋的邊緣位置。

l多天線以最佳模式為所有客戶端工作: 最短的發送接收路徑，利用多路反射。

l基于客戶端當前的位置，智能的調整每個數據包的方向，使得客戶端得到最好的信號連接。

l增強下行性能，增強用戶體驗。

2、Clean Air 

專用的硬件芯片用于頻譜檢測；

在對性能沒有影響的前提下，提供連續的，系統級智能頻譜；

準確的鑒別干擾源, 位置, 干擾影響范圍；

自動的響應和避免當前發生的和未來可能發生的干擾，并且全部生成歷史記錄和報告；

整個網絡級別的匯總所有的告警/警報，實現整個網絡的健康狀態監控；

提供完整的可視化視圖，3700支持80MHz 11ac全頻段(Wave 2 支持160MHz)。

3、RxSOP: 是AP Radio的接收靈敏度

 

 

降低Rx-SOP 到比較低的級別（-95dBm），可以增加覆蓋；

增加Rx-SOP到比較高的級別（-75dBm）,降低覆蓋面積，單可以提供更好的空間的利用率；l 小Cell Size和高效的頻譜利用（re-use）在高密度部署中是非常重要的；

4、 智能頻寬選擇和智能頻率選擇：智能的使用可能寬的信道、減少信道分配振蕩； 

5、增強空口介質公平性（ATF）：可根據SSID、客戶端智能分配空口介質使用時間；

6、 干擾緩解技術：自動化緩解WIFI和非WIFI干擾，增強穩定性和提升性能。

三、客戶收益

1、企業客戶

在辦公環境中，為企業的開放式辦公區提供高密度人群、高密度終端提供無線WI-FI服務；

在倉庫環境中，為客戶RFID掃描槍、叉車等倉儲應用提供智能無線漫游、智能緩解無線干擾，最終保障客戶良好體驗。

2、商業客戶

在商場環境中，為訪客的商業增值推廣、室內導航、大數據分析等提供優異的平臺支撐；

在大型會議或活動中，為訪客提供應用層面的大吞吐轉發，智能干擾分析等商業活動保障。