漕河泾智慧园区整体解决方案-116p

1、漕河泾智慧园区整体解决方案深信服园区云解决方案技术建议书v5.01C9U.COM深信服科技有限公司2016年02月24日漕河泾智慧园区整体解决方案 目 录上海漕河泾智慧园区解决方案技术建议书5.0 TOC o 1-3 1 智慧园区的发展背景及思路 PAGEREF _Toc11860 42 漕河泾智慧园区项目概述 PAGEREF _Toc12432 72.1 建设意义 PAGEREF _Toc7988 82.2 建设原则 PAGEREF _Toc19310 82.3 建设关键需求 PAGEREF _Toc5562 112.4 建设组件及建设模式 PAGEREF _Toc25495 123 本次项

2、目建设方案思路 PAGEREF _Toc26289 153.1 漕河泾现状分析 PAGEREF _Toc32385 153.2 深信服方案思路 PAGEREF _Toc24098 173.3 园区云平台融合纳管方案 PAGEREF _Toc27326 213.4 智慧园区WIFI覆盖及应用平台 PAGEREF _Toc8286 223.5 智慧园区综合设备管理监控调度平台 PAGEREF _Toc4946 393.6 智慧园区拎包入住解决方案 PAGEREF _Toc19561 413.7 后期方案扩展智慧园区（物联网） PAGEREF _Toc17149 424 深信服园区云平台解决方案 P

3、AGEREF _Toc12966 464.1 园区云平台系统架构 PAGEREF _Toc32432 474.2 园区云平台资源管理 PAGEREF _Toc18928 484.2.1 完善的生命周期管理 PAGEREF _Toc6337 484.2.2 虚拟资源的弹性 PAGEREF _Toc7824 504.3 园区云平台功能特色 PAGEREF _Toc27284 514.3.1 统一资源门户 PAGEREF _Toc4512 514.3.2 易用的自助服务 PAGEREF _Toc20705 534.3.3 透视化的运维分析 PAGEREF _Toc13541 544.3.4 精细化的

4、运营管理 PAGEREF _Toc9906 554.4 园区云平台的价值 PAGEREF _Toc11819 555 深信服超融合架构解决方案 PAGEREF _Toc7635 575.1 超融合架构层 PAGEREF _Toc9877 585.1.1 服务器虚拟化（aSV） PAGEREF _Toc1870 585.1.2 网络虚拟化（aNET） PAGEREF _Toc11668 625.1.3 存储虚拟化（aSAN） PAGEREF _Toc29984 675.1.4 网络功能虚拟化（NFV） PAGEREF _Toc29783 715.2 多业务模板层 PAGEREF _Toc9809

5、 795.3 虚拟化管理平台 PAGEREF _Toc11761 805.3.1 服务器虚拟化管理模块 PAGEREF _Toc30997 805.3.2 网络虚拟化管理模块 PAGEREF _Toc400 825.3.3 存储虚拟化管理模块 PAGEREF _Toc15004 855.4 深信服超融合架构方案价值和优势总结 PAGEREF _Toc10096 875.4.1 深信服超融合架构价值 PAGEREF _Toc10939 875.4.2 深信服超融合架构的优势 PAGEREF _Toc20086 886 深信服桌面云架构解决方案 PAGEREF _Toc31132 906.1 智慧

6、园区桌面云解决方案概述 PAGEREF _Toc6040 906.1.1 服务提供商总部办公解决方案 PAGEREF _Toc30730 916.1.2 服务提供商分部办公解决方案 PAGEREF _Toc7541 936.1.3 租户用户办公解决方案 PAGEREF _Toc14111 946.1.4 终端接入解决方案 PAGEREF _Toc29137 956.2 智慧园区桌面云解决方案优势 PAGEREF _Toc31322 957 深信服云安全整体解决方案 PAGEREF _Toc2002 977.1 智慧园区云安全需求分析 PAGEREF _Toc14182 977.2 平台侧需求落

7、地 PAGEREF _Toc31015 1007.2.1 平台安全需求 PAGEREF _Toc31002 1007.2.2 接入安全需求 PAGEREF _Toc17806 1017.2.3 业务可靠需求 PAGEREF _Toc26491 1027.3 租户侧需求落地 PAGEREF _Toc26443 1047.3.1 租户间隔离需求分析 PAGEREF _Toc1220 1047.3.2 租户虚拟机需求分析 PAGEREF _Toc11405 1047.3.3 租户互联网业务需求分析 PAGEREF _Toc28613 1047.3.4 租户外网业务需求分析 PAGEREF _Toc1

8、242 1057.4 管理运维需求落地 PAGEREF _Toc15888 1068 深信服云解决方案案例实践及友商对比 PAGEREF _Toc10999 1088.1 深信服与H3C整体解决方案对比 PAGEREF _Toc21721 1088.2 成都电信私有云案例 PAGEREF _Toc5858 1098.3 宇宙互联云服务案例 PAGEREF _Toc7529 111智慧园区的发展背景及思路传统园区建设者对于园区建设只做到九通一平，即基本的水电气、交通、建筑等基础设施建设，信息化、智能化、IT建设都由入驻企业自行完成。而很多企业的IT机构却面临着一种新的困境：高昂的硬件成本和管理运

9、营成本、缓慢的业务部署速度以及缺乏统一管理的基础架构。1、高昂的成本支出随着IT规模的不断膨胀，数据中心内的服务器数量、网络复杂程度以及存储容量急剧增长，随之带来的是高昂的硬件成本支出以及运营成本支出（电力、制冷、占地空间、管理人员等）。基础结构成本：托管、冷却、连接服务器以及为服务器提供电源都会随着服务器数量的增长而导致成本大量增加。仅服务器电力需求一项就占总成本一大块，估计数据中心的 1000 台服务器的电力成本每年都在 45,000 美元以上。硬件成本：每年服务器在容量和计算能力上都呈增长趋势。随着服务器变得越来越强大，最大化的利用这些超强资源也变得愈加困难。IT 组织和应用服务用户习惯

10、为每个应用服务部署一台独立服务器以确保完全控制该应用服务。几乎在所有情况下，部署这些功能强大的服务器将会使服务器过剩50-500%。软件成本：通常服务器需要从操作系统或应用软件厂商那里获取许可证与支持。管理成本：迄今为止，管理成本是服务器成本中最大的一个部分，分析专家估计管理成本占服务器总拥有成本的50-70%。IT技术 人员不得不对软硬件进行升级、打补丁、备份以及修复，部署新的服务器及应用，维护用户账户并执行许多其他任务。随着服务器数量的增长，IT 部门发现他们面临着满足相关服务器管理需求的挑战。2、缓慢的业务部署速度新的服务器、存储设备和网络设备的部署周期较长，整个过程包括硬件选型、采购、

11、上架安装、操作系统安装、应用软件安装、网络配置等。一般情况下，这个过程需要的工作量在2040小时，交付周期为46周。3、分散的管理策略数据中心内的IT基础设施处于分散的管理状态，具体表现为：机房管理员遵循“根据最坏情况下的工作负载来确定所有服务器的配置”这一策略导致服务器的配置普遍过高。容易出现大量“只安装一个应用程序”而未得到充分利用的x86服务器。提交变更请求与进行运营变更之间存在较长的延迟。缺少统一的集中化IT构建策略，无法对数据中心内的基础设施进行监控、管理、报告和远程访问。而随着各类新兴IT技术的发展，传统建设模式已经不能满足入驻企业、园区管理方的需求，亟需一种能解决传统园区缺乏整体

12、规划、信息重复建设、信息服务薄弱、资源浪费等问题的方案。信息化未来的最大价值在于使资源的供应方和需求方通过网络云服务平台联系在一起，这些资源包括传统的自然资源、社会人文资源、各行各业的工业企业资源和信息资源。现代化城市建设和管理，需要统一和协调三个方面的重大关注，特别是充分适应和满足众多中小企业高速发展产生的各种需求，才能确保更好带动区域经济健康良性成长。智慧园区信息化云服务平台的建设和落地，最重要的原因是综合性产业政策环境，园区管理内部的信息化需求，加上各行业中小企业产业建设发展带来的旺盛的信息化需求。打破传统的假设思路，通过构建智慧的园区云，提供内部和外部的全面融合。在国外，城市规划与设计

13、发展的主流目标是建设“智慧城市”，而较少谈到如何建设“智慧园区”。这主要是因为国外有一种主流观点，即脱离城市支持的独立产业园区，是不具有生命力和竞争力的，在未来还会对整个城市的交通和环境构成大量负面影响。基于这种观点，国外许多新城镇开发中，会将整个城镇区域划分成有机融合的产业区、商务办公区、住宅区、商业区、公共服务区和交通区域等，然后引入不同的开发商，按预先制定的统一规划进行开发，开发完成后就是一个功能齐全的产业新城。然而在国内，很多时候受土地规划属性的限制，新城镇不同用途的各个区域被人为分割开，并由不同的责任主体负责开发，不同开发主体之间难以形成统一的规划和设计方案。因此，“智慧园区”就从城

14、市开发的整体工作中突显出来，构成了与“智慧社区”相对应的一个独立的研究和发展目标。今年，上海市经信委专门组织研究“智慧新城”的规划和开发模式，说明政府已关注到了这其中存在的问题，但由于种种传统因素，“智慧新城”尚未成为开发主流。而且，由于各大产业园区是各级地方政府财税收入和财政支出的核心支柱，往往可以得到政府的更多关注和更大支持，所以在国内，“智慧园区”不仅是整个“智慧城市”中最重要的组成部分，而且也是最有可能得到优先发展的区域。智慧园区的发展，往往是在政府引导下，由本地政府相关单位和产业园区开发单位共同推进，因此相比智慧社区，在建立先进的园区管理和公共服务模式方面，具有更大优势和发展空间。而

15、且，各种先进服务模式一旦形成实际效果，将直接影响产业园区、乃至园区所在城市的吸引力和竞争力，因此成功模式的复制推广速度比较快，比较容易形成规模效应。因此，对先进或类似的产业园区进行调查研究和学习借鉴的工作十分重要，应当时刻保持足够的关注度和紧迫感，否则就容易丧失发展机遇。漕河泾智慧园区项目概述上海漕河泾新兴技术开发区（以下简称“漕河泾开发区”）是上海首家明确提出进行数字园区建设的国家级开发区，由上海市漕河泾新兴技术开发区发展总公司（以下简称“漕河泾总公司”）具体负责其开发、建设、经营、管理和服务。自2000年提出建设数字园区以来，制订了数字园区建设规划，并按照规划，大力开展园区信息基础设施环境

16、建设，着力加强信息化公共服务平台建设，不断提升信息化管理和服务水平，同时积极推进园区企业信息化应用，推进信息化与工业化融合。2006年被评为“上海市企业信息化示范园区”；2010年被评为“全国开发区推进信息化建设与创新先进单位”；2011年被评为首批“上海市数字园区”。漕河泾开发区一贯高度重视信息化工作，令漕河泾一直在本市产业园区中保持领先地位，走在全市前列。漕河泾开发区拥有强大的基础通信服务能力、丰富的信息化和智能化应用，以及日益完备的信息化服务体系，这些部分为未来打造“智慧漕河泾”打下了宝贵的基础。近年来，随着大数据、云计算、物联网、移动办公等新技术的高速发展和推广，以及围绕“智慧园区”概

17、念的新应用不断涌现和提升，对园区信息化工作提出了更高要求和更多挑战。与当前“智慧园区”的特征和要求相比，漕河泾开发区还存在一定优化和提升的空间。其中主要包括：尚未围绕“智慧园区”发展目标，建立强大而有效的应用支撑体系，目前诸多应用软件的协同能力不足，未能形成紧密围绕园区用户需求的信息推送能力； 尚未做好应对大数据和云计算技术发展的准备，数据的统一保存和协同处理能力不足，一些使用价值很大的数据尚未得到有效管理和充分使用； WiFI作为目前最为便捷、最流行的网络接入方式，可为漕河泾的写字楼、餐厅、公共绿地、公交枢纽等公共区域提供了无线网络接入服务。并可衍生提供如无线室内定位、大数据分析等功能；标准

18、化体系的建立和信息化服务团队的组织方面还存在不足，园区开发单位与所有相关单位之间应该可以建立更紧密的合作关系，从而形成更强大的工作合力。建设意义目前，各个产业园区的信息化水平参差不齐，但始终具有三个相对先进的发展制高点，即以上海漕河泾新兴技术开发区为代表的临港集团下属园区、以浦东软件园为代表的张江集团下属园区，以及以云计算产业基地为特色的市北高新技术服务业园区。除此之外，还有以创智天地为代表的杨浦科技创新产业集聚区和以数据服务产业为特色的崇明智慧岛产业园等几个新兴产业园区，在园区信息化方面也建立了不少特色项目。这些信息化管理和服务水平相对较高的产业园区，都是长期围绕着一个较高的发展目标，坚持从

19、实际需求出发，持续投入和不断提升相关能力的结果。每个园区的优秀系统和特色服务，都是与其自身定位和所处环境密切相关的。每个园区都具备先进的管理和服务理念，都具有完备的实施和服务团队。上海漕河泾新兴技术开发区已具备了良好的信息化基础环境，拥有大量的优质资源和优越条件，也拥有门类齐全和配置完善的人才队伍，应当比上述园区做的更好。同时需要根据漕河泾开发区的实际需求和自身特点，选择最合适和最优化的方案，找到属于漕河泾开发区特有的发展亮点。建设原则漕河泾智慧园区解决方案应该以云计算、物联网、运营支撑三大技术平台为基础，能够快速、方便地创建各类SaaS应用和物联网的应用，并且SaaS应用和物联网应用的各个系

20、统能够互通互联，各个系统达到有机的结合，从而降低了整个系统的CAPEX和OPEX。面向园区基础建设提供新一代绿色云计算数据中心及宽带承载、接入，通过室内、外Wifi覆盖网络，为园区打造基础网络平台，提供无缝数据接入。同时安防监控和楼宇智能化也能够体现整个园区的安全及智能程度。最后，通过园区服务平台为园区内部用户和入驻企业提供各项服务业务应用。通过园区管理平台为园区运营管理单位提供各项运营管理业务应用。本次项目的总体建设原则如下： 1、稳定性应采取各种必要技术措施，保证信息化云服务平台具备有优秀的稳定性，在保证性能的前提下，为主要业务提供 7x24 小时持续的支撑服务。2、安全性平台系统应能充分

21、考虑用户数据的安全，避免用户受到异常攻击或敏感数据窃取。应能主动评估业务系统的安全状况及提供弥补措施，并提供各种操作行为的可回溯能力。同时，应能提供独立的机房、专用的门禁及专享的运营管理团队，确保机房及信息化云服务平台运行的安全。3、可扩展性各平台应具备良好的扩展能力，满足数据中心长期发展的要求。根据业务的发展预测，平台系统定期按照适度预留的原则进行建设，能在规定时间内快速响应新的用户，新的业务的新增要求。4、灵活的 IT 基础架构满足资源的随时随地按需分配，需要建立一个灵活的硬件基础架构。硬件基础架构通常由虚拟的服务器池、共享的存储系统、网络和硬件管理软件组成。5、自动化资源部署云计算运行管

22、理平台的核心功能是自动为用户提供服务器、存储以及相关的系统软件和应用软件。用户、管理员和其他人员能通过 Web 界面使用该功能。要实现资源的自动部署，必须做到：首先，建立一个中心数据库来管理数据中心的硬件资源；其次，要规范化资源的使用，包括标准化操作系统、数据库软件、中间件软件的种类和版本。自动化的部署流程不仅能做到“随需应变”，适应用户的需求，而且能够带来以下好处：引入技术和创新的时间缩短，设计、采购和构建硬件和软件平台的人力成本降低，以及通过提高现有资源的利用率和复用率节省成本。6、端服务请求管理云计算运行管理平台提供一个统一的管理平台来实现端到端的流程管理，协调各个部门的合作，提高管理效

23、率。同时该管理平台负责全部的人工交互界面，权限控制和用户管理等功能。7、多样化的计费服务模式云计算服务管理平台可以提供用户多样化的资源服务请求与响应，可以基于用户不同的需求定制不同的计费模式，按需使用，可按次或按时计费。具备服务计费能力是运营云计算平台实现业务收入的重要基础。8、完善的资源监控及故障处理手段云计算服务管理平台提供资源和服务的各种运维能力，可以监控资源的使用情况，对于平台故障提供及时地预警报警，保证云计算平台的稳定运行。9、有助于建立 IT 管理规则为了实现数据中心的规范管理，需要以云计算运行管理平台为基础，有助于为数据中心制定一套完整的管理规则。10、开放性要求各类系统设计、产

24、品及网络构建都要满足相关的国际标准和国家标准，提供标准结构及接口，有效地兼容各种品牌、厂商、电子运营商的系统和网络，实现多系统、多平台的互联互通。建设关键需求针对上述提及的建设原则，建议IT架构需要满足如下要求：1、IT资源全面池化伴随着数据与业务的集中，传统数据中心的硬件架构已经无法满足业务的快速上线和灵活的业务部署，新架构需要通过软件定义的方式实现全新的IT基础架构，也就是通过服务器虚拟化将所有X86的计算资源池化、通过网络虚拟化构建出适合虚拟机迁移的大二层环境、最后通过存储虚拟化实现存储空间的融合。对于软件定义的数据中心，需要充分保障物理资源层、资源抽象与控制层和云服务层稳定性与安全性。

25、2、安全优化如影随形随着业务的不断扩展，4-7层的安全、优化架构也需要紧密跟随。传统的烟囱式建设方式会让数据中心里出现大量的安全、优化设备，同时也会让安全管理变得复杂。从业务的角度上分析，新的IT架构必须能够对旧系统、旧应用进行平滑迁移，4-7层的安全、优化特性按需部署，资源灵活调度；从管理的角度上分析，平台的建设需要将所有4-7层的安全、优化机制下沉至虚拟机，通过统一的管理平台对虚拟机的整个生命周期进行管理，同时精细的管理到虚拟机中的安全、优化应用。所以需要充分保障整个数据中心中各类业务的安全可靠，并提供新、旧业务的平滑迁移。3、自助统一的业务交付建造新一代的数据中心，最终目标是要实现系统的

26、按需运营，多种服务的开通，而这依赖于对计算、存储、网络资源的调度和分配，同时提供用户管理、组织管理、工作流管理、自助Portal界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理，还要从全局而非割裂地管理资源，因此统一管理平台与自动化服务交付是提升服务效率的重要因素。4、“云Wifi”架构实现智慧覆盖WiFI作为目前最为便捷、最流行的网络接入方式，可为漕河泾的写字楼、餐厅、公共绿地、公交枢纽等公共区域提供了无线网络接入服务。并可衍生提供如无线室内定位、大数据分析等功能。整个智慧园区通过采用“云WIFI”技术架构，通过集中管理技术，构建面向

27、未来的智慧型综合体园区。通过统一规划的网络将数据信息传送到核心管理平台，通过平台完成对漕河泾分层级、分用户的WIFI网络使用与各项应用的统一管理，计算，存储，实现整个园区的智能化管理与人性化的服务模式。建设组件及建设模式为了实现上述建设的关键需求，通过IT架构的优势，将业务系统效率发挥至极致。深信服通过“智慧云接入 + 园区云平台 + 云安全方案 + 超融合架构（业务、桌面、接入）”实现了资源、业务、数据的集中承载和统一调度，整体解决方案系统逻辑架构图如下：利用通用的硬件基础架构，搭建好整个智慧园区的基础架构，在通用的X86平台之上，利用软件定义的思路，将计算、网络、安全和存储进行全面的融合，

28、构建出池化的超融合基础架构。在此基础之上，利用云管理平台，能够实现租户的隔离和管理、生命周期管理、运维管理系统、资源及业务的编排、计费审计特性等一些列符合智慧园区需求的功能特性。通过各类接口像PaaS和SaaS包括大数据进行对接，从而为上层的园区类各类智慧应用和桌面云，终端云提供统一的底层支撑。最后通过自动化的运维和安全及服务实现端到端的业务交付。目前，综合设备管理监控调度平台、WIFI应用平台以及园区管理服务平台均可以通过超融合架构进行有效的承载：1、综合设备管理监控调度平台：园区综合管理监控平台可实现楼宇设备管理、能耗监控、视频监控、安保巡防、外勤管理、信息查询、事件处理等功能。主要涉及计

29、算资源和存储资源，可通过云主机（视频服务器，业务数据调用、应用服务主机）和云存储（大容量监控视频存储，读写要求不高）提供全面的支撑，从而满足整个管理、监控及调度功能；2、Wifi应用平台：各AP通过园区接入网到汇聚，汇聚旁挂无线控制器实现无线基础网的搭建，汇聚连入数据中心核心，通过数据中心核心和云平台部署radius，portal，APP等服务器通信，再通过硬件虚拟的逻辑防火墙进行上网。主要涉及计算资源、网络资源和存储资源，可通过云主机（认证服务器、Portal服务器、App服务器、DB服务器）、云网络功能（云防火墙、云无线控制器、云负载均衡）和云存储（数据库的支撑，用于认证和数据存放）进行统

30、一部署，利用虚拟化技术，实现多租户隔离和按需应用管理等功能；3、园区管理服务平台：主要实现园区内部各类管理功能，通过模块的方式进行整合，包括：园区总公司管理模块、园区企业软件模块、政府监管软件模块和各类通用服务模块，可以利用云主机整合现有系统计算资源的能力（将所有业务系统虚拟化）。本次项目建设方案思路漕河泾现状分析目前数据中心里拥有一套CloudStack的平台，该平台运行在Cisco UCS刀片服务器上，通过后端的NetAPP SAN存储提供整体服务（FlexPod系统架构）。在FlexPod架构上利用Xen平台实现计算虚拟化，CloudStack Agent 通过XAPI接口连接到Clou

31、dStack平台的Management Server。同时，Primary Storage和Secondary Storage均通过NetApp的物理存储构建（不同的LUN对应不同的存储类型），最终实现了80+的租户托管服务。详细拓扑如下：其中：Cisco UCS 5108的刀片服务器资源配置为：8台B200系列刀片，每块刀片服务器部署2颗E5 2650的CPU，12根8GB内存，2块300GB 10K SAS硬盘。NetAPP Storage 的资源配置为：分为SAS磁盘池以及SATA磁盘池，SAS磁盘池12T，SATA磁盘池24T。存储连接方式为FC。超过80家以上的租户均已独立的Clus

32、ter存在于现有CloudStack平台内，Zone区域代表整个数据中心，通过不同的POD规划处不同的机架（Rack），在每个POD中又包含了大量的Cluster，每个Cluster即一个租户，在每个Cluster中，通过Host来标示租户的虚拟机（虚拟业务），通过Primary Storage实现该租户内部的共享存储体系，存放的是所有虚拟机（虚拟业务）生成的数据。所有的虚拟机都是通过Xen Server创建，由Xen平台实现整个虚拟机的生命周期管理，Primary Storage由CloudStack的Management Server和NetAPP Storage形成对应关系，通过划分不同

33、的LUN，实现不同的Cluster内部存储隔离。在CloudStack架构中还存在Secondary Storage，该存储区域映射为NetAPP Storage中另外一个LUN，存放所有Cluster中的镜像文件等。从物理网络结构来看，基础架构资源池通过UCS 6248UP来进行计算和存储的连接（计算为IP，存储为FC），通过一对核心交换机将整个FlexPod系统进行连接，并通过旁路的防火墙实现安全防御，一对负载均衡设备提供了基于链路和服务器的负载均衡。具体如下图所示：深信服方案思路本次漕河泾智慧园区项目，涉及到基础架构层面的搭建、云平台的搭建、云安全的设计和桌面云、终端云的接入，具体如下：

34、园区云内部：1、通过超融合基础架构平台，构建出计算、网络、安全及存储的统一资源池；计算虚拟化将计算资源由物理形态转变为逻辑形态，更加可靠和灵活；网络虚拟化能够在拓扑上展现出业务逻辑，使得流量模型更加清晰；存储虚拟化能够充分利用服务器的硬盘资源构建出分布式存储体系架构；vWAC能够将园区内的AP进行统一的接入管理。vAF和vAD能够充分的保障东西向流量的安全和优化。2、通过桌面云基础架构，搭建起远端桌面虚拟化的底层基础设施；3、充分利旧现有硬件基础架构，并纳入到超融合平台中进行资源的统一池化，并由园区云管理平台aCloud实现集中的业务调度（超融合部分使用OpenStack进行对接，桌面云部分使

35、用RESTful接口进行调度）；4、分公司、子公司及租户企业（LSN服务）：通过光纤将数据中心延展至分支机构或租户企业，通过LSN，企业仅需购买交换机即可实现接入、桌面、网络、安全、计算、存储等各类功能，如图所示：企业租户通过物理交换机即可连入园区云，通过虚拟路由器创建不同的VPC，实现多租户之间的隔离，利用虚拟防火墙保障业务系统的安全性，通过虚拟负载均衡实现多VM之间的灵活调度，通过虚拟无线控制器可以延展WLAN网络。所有的互联网业务也通过该虚拟路由器进行隔离，通过WAN口连接南北向物理交换机，利用硬件防火墙、上网行为管理、负载均衡等安全设备，确保互联网出口安全；通过LAN口连入VPC内部，

36、实现内部资源访问。5、平滑升级到OpenStack平台，如下图所示：首先对所有UCS上的业务及数据进行一次备份，用于容灾或迁移失败的回滚，通过超融合一体机，将一块USC B200上的业务迁移到一体机上（通过V2V的虚拟化迁移工具），然后在B200上安装超融合组件，待稳定运行一周后，再将第二块B200上的业务迁移到安装好超融合的B200刀片上，继续运行。以此类推，最后将超融合一体机上的数据迁移至最后一块B200刀片，完成全部的迁移动作。业务迁移完成后，通过OpenStack的园区云管理平台，实现统一的租户管理、资源调度及业务编排等功能。园区云平台融合纳管方案整个方案充分的利用现有的物理硬件平台，

37、借助深信服超融合基础架构，平滑的像园区云进行过渡。首我们将现有的UCS+NetAPP架构（FlexPod）逐步的迁移到超融合环境，具体的迁移方案参考漕河泾智慧园区详细迁移方案技术建议书。通过在UCS系统上部署超融合的底层虚拟化内核，与新增的超融合一体机构建出完整的计算资源池，并通过OpenStack接口与园区云管理平台aCloud的Nova组件进行对接，从而实现计算资源的融合管理。同时，再利用REST接口，实现aDesk桌面云的接入。最后通过统一的Portal实现租户的资源申请，包括主机、桌面、存储、网络和安全。首先使用新的机器部署新的云平台acloud；将xensever上的虚拟机采用v2v

38、迁移技术迁移到alcoud平台，即将原来在netapp上的镜像迁移到acloud上面的分布式存储中。整个周期分两个周期，第一周期先迁移云主机部分，第二周期迁移云桌面部分，具体实施由深信服技术人员负责。迁移的时候，需要虚拟机停机，所以迁移时间建议是下班时间，并且提前通知客户；原先的虚拟资源是属于不同公司的，迁移之后，按照之前的业务部署，将各虚拟机主机划分到不同的租户管理中，每个公司属于一个租户，并且有自己的独立VPC；待所有旧平台的虚拟机迁移后，将原来的UCS 5108上面的xensever平台替换成acloud平台，将原先的两个集群融合成一个集群，并且由alcoud平台纳管原先的netapp存

39、储。这样新老环境的硬件和存储，将由acloud平台统一纳管。智慧园区WIFI覆盖及应用平台上海漕河泾新兴技术开发区是国务院批准设立的经济技术开发区、高新技术产业开发区和出口加工区。现规划面积14.28平方公里。 为构建漕河泾智慧园区，将进行整个漕河泾园区的无线覆盖。整个漕河泾开发区人流量可达20万人。目前的无线覆盖存在如下问题：不安全：沪公共WIFI钓鱼信号为8%，用户易被钓鱼。导致用户财产损失，带来不良影响；难管控：用户上网行为不可管控，无法溯源，无法进行统一管理；体验差：无线网络速度慢，缺乏有效的流量管控。运营商代建的网络体验差；无回报：无线网络仅仅是一种投入，除了供客户上网之外，没有任何

40、回报。针对该问题，需要将WIFI进行建设目标定位，通过Wifi的覆盖应该可以实现：最安全：防钓鱼WIFI：保障公共区域安全；禁随身WiFI：净化网络环境；VLAN隔离：防止网络当中数据传输；管控严：限速管控：禁止大流量应用占网速；网络审计：满足公安和网监要求；体验佳：上网速度快：流量有序、保证带宽；无线信号稳定：负载均衡、少丢包、小延迟；认证便捷：支持多种认证方式；可增值：广告推送：个性化广告推送；互动营销：增加园区关注度；用户信息收集：实现定向营销。为构建一个全新的漕河泾智慧WIFI园区网，无线覆盖无死角应用跑得快是基础，网络安全与管理是支撑，业务运营是核心。其中Portal运营分析平台是核

41、心管理节点，对下辖所有节点进行软硬件管理及报表呈现。而对运营管理者来说只呈现出一个统一的入口管理界面。具体细分可以分为以下一些具体需求：一、网元管理上网行为与流控管理能对园区网的用户上网行为进行检测与管控，达到对全网全终端统一管控，管理无漏洞，全面应用管控提高园区用户工作效率与上网体验，精细流量管理确保业务正常进行的目标，实现动态流控，各个园区及各个用户的带宽可以根据带宽阀值的设定来相互借用。大数据对接和电信的大数据平台对接，实现基于终端的精准营销，第二期可以提供测试。安全防护要做到看得到真正的风险，而且要看到L2-7层的攻击整体安全状况，二是要真正能看到攻击与业务漏洞，及时查漏补缺，并能及时

42、防住攻击，实现保护整个漕河泾WiFi网络，避免来自内部和外部的攻击，分别在出口区域和服务器区域各部署一台下一代防火墙进行安全防护。保护portal服务，3A，WEB服务器，应用服务器的业务安全是安全防护中的重点。网络配置对子园区的的网络安全与优化设备通过一个统一的平台来进行网元设备的配置管理与维护，最大程度的减少与降低运维人员的管理成本。二、运营管理认证管理目前，漕河泾一卡通系统部署在桂平路702号电信恒联云计算机房，通过园区光纤网与公共餐厅、便利店、酒店、商业配套等消费区域刷卡终端互联，满足园区日均17.7万人流量的刷卡消费。e园区服务网站部署在漕河泾物业公司机房内，满足内外网用户访问并提供

43、各项服务。“智慧漕河泾”WiFi项目将分期进行，一期进行20个子园区的WiFi基础网全覆盖，包括写字楼大堂、公共餐厅、室内外商业配套、酒店、绿洲会所、室外公共绿地等区域，实现“一点认证、全园漫游”，轻应用信息发布等功能。二期、三期将与园区各应用系统对接，并开发“智慧漕河泾”APP软件，提供“一键上网”、e园区服务、一卡通服务等各项功能应用，探索WiFi覆盖范围之外的更大的商业价值。针对运营策略中的特定区域提供多种认证方式选择。全局采取短信认证方式满足公安部82号令要求，酒店会议厅提供微信认证方式给到租用单位吸粉、商业配套提供支付宝认证方式转化O2O互联网模式变现等。认证平台需要支持多种认证方式

44、。除了主流的几种认证方式，牢牢把握属地化WiFi运营思路和漕河泾总公司领导战略层面考虑，将一卡通、e园区服务与WiFi进行深度整合。整合工作分期进行，在一期项目中WiFi Portal入口页面提供短信认证、一卡通用户、e园区账号用户认证来提供免费上网。三种目前都已是实名，可以满足公安部82号令要求，通过平台功能开发，对这一卡通用户、e园区账号认证的这两种类型用户提供优选的上网策略，如免费上网时长增加，上网带宽增加等策略，提供园区WiFi差异化服务功能，最终目的是实现业务导流，引导潜在用户多去注册一卡通或E服务。在二期前，对WiFi使用情况进行调研、分析和归纳总结，将一卡通、e园区服务各项应用功

45、能加入轻APP应用或重APP中，探索新的商业模式。实现基于手机号的短信认证，与一卡通、子会员系统的对接实现基于账号的portal认证，以达到保障接入漕河泾园区网用户身份的合法性和满足网监部门公安部82号令；总体支持短信，微信，微信连WIFI，支付宝，一卡通，E园区5种认证方式。场景管理可以基于不同的场景推送不同的与场景有关联的广告，广告的形式可以是图片、FLASH、视频等形式，广告的内容是可以随需而变的，可根据子园区实际的需求来定义。对于不同的场景实现不同的认证方式，如在酒店举行了一个某公司的产品发布会，则对来参加此酒店的访客进行微信认证，达到吸粉的目的，而对于园区内的商业配套如全家超市这类用

46、户做支付宝认证，达到O2O目的。三、服务管理子园区的业主可以提出自己个性化的广告页面或方案，在系统中提交之后会有一个审批流程机制来保障广告推放的可行性四、数据分析通过对园区用户的上网行为数据采集，分析，统计进行大数据的归类、计算、输出呈现出对园区运营管理有价值的分析报告园区内搜索关键词的排行分析园区内用户点击率最高的URL排行分析园区内用户上网应用类型排行分析园区内用户上网流量排行分析园区内客流分析用户身份信息，上线时间，下线时间，持续时间等信息且能与上海电信大数据分析平台对接五、模块化页面展现提供一个多元化的入口，类似于一个浮动按钮，只要用户还在园区上网，在用户的终端上都一个浮动窗口来引导如

47、何更好的使用在园区的应用与服务，解决轻应用关闭后找不到入口的问题设计框架化的内容展现方式，上联放开发区相关的内容，中联放子园区内容，下联放物业方的内容，有平台可编辑修改。 用户的操作方式采用左右滑屏的方式，提供用户最佳移动端体验。通过与上海电信LBS地图引擎对接可以矢量图展现出用户当前所在的位置和导航信息。六、 WIFI功能服务信息：能推广展现园区的新闻，促销，活动等消息推广服务问卷调查功能：在园区提供问卷调查功能客户群管理：E服务认证的用户，一卡通认证的用户，微信认证的用户，短信认证的用户进行客户群归类，不同类客户不同数据展现。多种营销手段：支付宝认证，微信认证等技术手段 来实现营销。如在酒

48、店举行了一个某公司的产品发布会，则对来参加此酒店的访客进行微信认证，达到吸粉的目的，而对于园区内的商业配套如全家超市这类用户做支付宝认证，达到O2O目的。WIFI商业广告：认证前倒计时广告 倒计时间可调，认证前问卷调查，认证页面支持静态轮播，动态FLASH，视频广告。延时功能：关注微信实现延时 或其他营销手段实现延时开发标准接口：园区的信息化节点很多，如E服务，双创、人力等，本方案设计保障平台的扩展性与接口能力，利用无线技术实现与园区企业应用软件实现快速匹配，利用后台云数据库重新整合各应用子系统，打通各个节点的信息化互通。此次方案采用“云Wifi”的技术方式实现，分为硬件和软件两部分部署，具体

49、如下：硬件架构：本次方案建议采用深信服链路负载均衡2台,深信服上网行为管理设备2台，portal服务网关2台，轻APP软件一套（4台服务器承载）,SC集控网关2台，无线控制器2台。数据中心区域将采用深信服超融合架构，涵盖服务器虚拟化、网络虚拟化、存储虚拟化，数据中心区域所有服务器的安全防护以及访问优化将由深信服虚拟化版本防火墙和服务器负载均衡来完成。此外，将单独采用1台虚拟机作为外置数据中心，用于记录园区所有人员的上网行为数据。分别部署在如下位置（标红部分）：软件架构：“智慧漕河泾”WiFi云平台是基于全开放式综合平台的理念进行软件架构设计，预留了第三方认证接口、厂商API接口、短信平台接口、

50、数据存储接口、第三方地图引擎接口、上网行为设备接口、第三方广告接口、手机APP程序接口等，在系统架构方面都做了前瞻性的设计，可实现与各个外部系统的对接。同时，根据园区各个应用系统的个性化需求，也可以进行定制化软件开发，与园区各应用内部系统进行对接。整体网络采用华为+深信服+信锐的架构：交换网络选择华为的接入层设备，安全防护以及整体业务网络优化，选择深信服的4-7层网络设备，信锐的无线控制器加AP整体网络。AP采用本地转发的模式，认证网关管控平台在深信服Portal运营平台上面实现， 后端数据中心采用深信服超融合解决方案实现。从而实现优势：丰富的认证方式，便捷的接入方案 拥有业界最全面的认证方式

51、，认证无感知，一次登录、多次有效；一地登录、多地有效丰富的营销形式 微信营销，短信营销，网页营销关键字营销 业界唯一的、精准、有效（与深信服行为管理结合）与深信服设备无缝隙联动 ，实现更多开发可能性防钓鱼WIFI，公共场合上网安全有保障最精细的无线管控，提升带宽使用价值丰富的认证方式无线控制器支持802.1x、Portal、短信、微信、App、PSK、二维码审核、CA证书、临时访客、免用户认证、MAC地址等多种认证方式，支持MAC白名单和MAC黑名单。简单便捷的接入方案为客户提供简单、便捷的上网方案（一次登录、多次有效;一地登录、全园漫游）个性化的portal推送支持自动适配不同的终端设备；支

52、持指定不同日期、每天的不同时间(精确到小时)推送Portal；支持基于SSID、指定AP、AP组(NAS-ID)推送Portal；支持至少4个默认Portal模板；支持认证成功后可跳转至客户指定URL。精细的客流分析支持分析累计到店人数、首次到店人数、新登记用户数、接入用户数、首次到店人数、返点率、平均驻留时间。丰富的兼容性支持CMCC1.0、CMCC2.0、华为Portal2.0协议，可与华为、H3C、中兴、摩托罗拉、锐捷等主流WLAN厂商对接自定义Portal页面时间公平算法，让每个终端占用相等的无线信道时间，有效提高无线网络总吞吐率防终端粘滞技术，让终端接入最佳无线接入点，提高用户体验5

53、G终端优先接入5G，结合接入点间负载均衡，保证每个用户均能享受良好的上网体验减少无线报文的广播域，自动为终端进行VLAN分组并隔离，提升整体网络速度信锐高密度场景无线优化，给会议室、展厅用户更快速的无线体验Wifi增值服务：认证 + 推广 + 管理内置广告推送中心 实现定向营销内置客流分析功能，可将客流分析数据发送到关联的外置服务器上，便于银行进行大数据分析记录每个客户在园区的驻留时长，按照时长阶段进行分布统计，并计算出用户的平均驻留时长根据不同的地理位置，精准推送相应的信息人流密度分析智能识别终端，保证手机和平板的上网带宽，提供顾客满意度集中营销管理及分权管理同时，针对车载wifi也能做到有

54、效的覆盖，结合目前已经日益成熟的3G/4G无线网络，通过车载路由器把3G/4G网络信号转换成WIFI信号覆盖整个车厢，并通过云平台，构建集无线上网、信息发布、广告发布、智能定位、网络社区于一体的多媒体信息服务。整体架构如下：车载Wifi的价值在于：通过移动互联网实现角色的转换，具备移动互联网的广告特性，通过“以网换网”的方式实现盈利，并可以根据移动终端的类型进行不同类型的展示，当乘客进入公交车，连接到WIFI网络后，用户页面自动重定向，系统自动推送广告页面、促销信息、商家活动信息等，能快速获取WIFI入口商业价值，还可以在视频中植入广告，从而赚取广告费用。微信营销、O2O推广、APP分发和指定

55、网站跳转能够帮助更好的实现运营和营销工作。其他配套设备部署方式如下：链路负载均衡：对于漕河泾园区用户访问互联网资源的上网调度，深信服AD系列应用交付设备在接收到内网用户访问的流量以后，通过预先设定链路负载策略将用户访问流量分配到不同的互联网链路之上，实现出站流量负载均衡，提升互联网链路带宽利用率。通过内置的全球IP地址库，深信服AD系列应用交付设备可以精确地为用户选择最佳链路，从而彻底解决用户上网慢的问题。此外，负载均衡还可通过实时健康检查机制监控各条的链路运行状况，并按照事先设定的负载均衡策略结合链路质量等因素，合理地调度来自不同用户的入站访问，从而实现多条链路之间形成冗余，保障用户访问的稳

56、定性。互联网出口上网行为管理与流控：部署于互联网出口，为园区网络终端和用户提供、权限控制、合规审计；此外，还针对园区全部用户、关键应用，提供全局统一的带宽控制策略。互联网出口安全防护：部署于互联网出口，针对用户的上网终端提供安全威胁过滤、木马恶意流量检测、DMZ服务器保护、NAT、路由等安全防护功能。此外，互联网出口上网行为管理设备、无线网络上网行为管理设备和下一代防火墙设备之间需要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让AF、AC同步识别身份信息，便于后续的报表分析、威胁定位、合规审计等。Portal平台：统一部署，统一认证，

57、多种认证模板。实现与H3c控制器联动把用户认证页面统一重定向到Portal认证平台，所有的用户都统一的管理、统一认证。不同场景可以使用不同的认证页面，更加灵活，满足个性化的需求，同时，每个子园区的管理员，只能管理他权限内的页面，权限划分更加合理。多种认证方式，满足不同场景的需求深信服统一Portal认证平台，支持多种认证方式，包括：用户名密码认证、微信认证、短信认证、支付宝认证、APP认证、不需要认证，以及二次到店免认证功能等轻APP：实现属地化的应用显示当前的用户名，及在线时长显示当前用户有几条未读的消息。（平台需提供推送消息功能）提供问卷调查功能。（平台要能设置调查内容，并统计调查结果）提

58、供地图定位功能。以九宫格形式，显示多个广告位，点击广告位后，可以跳转到具体的介绍页面。系统提供广告位编辑和页面编辑功能，编辑时，只支持静态的图片和文字。不支持js。提供用户主动下线连接智慧园区综合设备管理监控调度平台云平台作为园区业务系统的资源承载，IT资源需要能够及时、按需响应园区业务系统扩容、平台上线要求。Scale-out横向弹性扩容得益于云平台采用的采用分布式Scale-out的架构设计，在园区业务系统需要扩展升级时，只需增加相应的服务器计算节点，及可实现容量和性能的线性提升。快速响应园区资源需求由于方案采用的是IT资源全面池化的超融合基础架构，对于园区规划的智慧管理平台及相关的园区智

59、能建筑集成系统、公共安全防范系统、园区应急处置系统、单兵系统建设、园区环境监测系统、园区服务系统、平台运行系统、交通引导系统、停车场管理系统、园区能源监测系统等各类应用系统，云平台都能快速的响应IT资源需求，稳定可靠地承载园区平台业务。一次建设，复用平台资源园区云平台投入建设运营，即可为园区各类平台提供资源承载。后期园区业务、平台上线，不需额外搭建服务平台及相应复杂硬件架构，只需在云平台上按需提供资源，即可快速交付业务；当园区某些业务系统收缩，云平台亦可释放原有资源用于承载新业务，真正实现“一次建设，资源复用”。4、统一智慧呈现平台园区建设的各类智慧平台、大数据分析平台，最终可以依托云平台的池

60、化资源，统一呈现，实现统一智慧呈现平台，参考呈现效果如下：智慧园区拎包入住解决方案园区建设脚步从最开始的安全园区、便利园区、绿色园区到如今的智慧园区，以其功能复用、融合式、智能型等特点不断吸引各类企业入驻。随着园区规模的扩大及企业分支机构数量的增加，企业办公桌面的统一管理、协同合作、信息安全、移动访问变得尤为重要，企业的快速发展需要IT提供高效稳定支撑。传统企业桌面管理面临许多挑战分析现有的IT建设方案，PC的分散部署以及工作方式的限制面对智慧园区的建设显得无能为力：移动办公难：人机绑定限制性大，严重影响办公效率，无法实现移动办公；管理难度大：PC硬件和用户分布广泛，导致其很难形成标准化的管理