企业移动办公及手机办公xx建设方案

1、企业移动办公及手机办公XX建议方案XX信息技术有限公司二。二。年二月 TOC o 1-5 h z HYPERLINK l bookmark23 o Current Document 概述1 HYPERLINK l bookmark30 o Current Document 总体方案3 HYPERLINK l bookmark34 o Current Document 方案概述3 HYPERLINK l bookmark38 o Current Document 软件部署架构4 HYPERLINK l bookmark41 o Current Document 技术原理4 HYPERLINK l

2、 bookmark45 o Current Document 访问场景6详细设计8拓扑结构8 HYPERLINK l bookmark58 o Current Document 用户认证9 HYPERLINK l bookmark66 o Current Document 加密方案9 HYPERLINK l bookmark70 o Current Document 应用部署10 HYPERLINK l bookmark81 o Current Document 客户端要求12 HYPERLINK l bookmark94 o Current Document 虚拟应用平台功能13 HYPER

3、LINK l bookmark131 o Current Document 系统配置方案16 HYPERLINK l bookmark134 o Current Document 服务器角色分类16 HYPERLINK l bookmark171 o Current Document 服务器容量估算17 HYPERLINK l bookmark175 o Current Document 服务器配置示意17 HYPERLINK l bookmark179 o Current Document 软硬件配置列表18概述移动办公系统是众多企业管理层及时掌握企业信息、快速进行管理决策的必备系统，其 对

4、企业的重要性不言而喻。传统的移动办公系统（如笔记本电脑+VPN模式，或者WAP手机）在使用中往往面临 着如下问题：客户端差异化问题：办公系统往往是基于PC机Windows系统开发的，但是数量最 大的移动终端往往是手机和PDA，将办公系统移植到手机上既费时费力，又带来 了额外的开发、维护和重新用户培训等一系列问题。网络及性能问题：移动办公的网络千差万别，而办公软件的运行往往是基于局域网 设计的，因此很多应用在移动办公使用时因网络而产生性能瓶颈，比如当邮件有比 较大的附件时，局域网内可以马上打开，但是广域网上需要等很长时间才能下载后 进行处理。安全性问题：移动办公是将企业关键信息传递在公共网络上，

5、因此面临着比在企业 内部使用更高的安全性要求，移动办公不仅有数据被截获的危险，而且移动终端更 加容易丢失，如果上面有信息敏感数据则对企业造成的无法估算的危害。同时如果 外部终端接入企业内网，会对企业内部造成系统级的安全威胁。传统的技术方案所带来的这些问题，需要企业不断地投入人力物力进行解决，给企业带 来了很大的管理和压力成本，因此企业提出了技术创新的要求。虚拟化技术的出现，使得企业得以从技术架构上根本解决如上问题。通过应用虚拟化使 得传统应用直接升级为了面向服务的架构，因此企业的OA办公软件、业务系统和ERP系 统等等，均不需要移植和安装在手机上，而通过虚拟服务就可以被手机访问和使用。虚拟化

6、应用的特点是只要在后台服务器安装一次，然后经过管理员的权限定义，就可以被用户通过 任意终端设备和任意网络所使用，而所有的数据和维护管理工作全部在数据中心。虚拟化技术不仅为企业带来了很大的资源节省和降低成本，同时使得企业的IT响应能 力大大提高，移动办公不再需要额外开发，而真正成为了企业IT架构的自然延伸，实现了 用户随时随地地安全访问企业内部信息。总体方案由于XX虚拟应用技术，分离了应用的使用平台和运行平台，因此手机和移动终端从应 用运行设备变成纯粹的输入输出设备，通过无线网络远程运行和操作Windows或Unix平台 的各种应用和服务，从而实现了用户的移动办公。方案概述在数据中心配置XX服务

7、器集群为应用的运行平台，实现稳定的大并发支撑能力，满足 大规模移动用户的同时使用。通过虚拟应用平台实现移动办公的总体架构如下图所示：移动办公系统的部署，对于目前OA系统的架构没有改变，只是在OA门户服务器的局 域网内，放置一组虚拟应用服务器集群，供移动用户访问，而固定办公用户仍直接访问OA 门户服务器，因此原办公模式不受影响。通过虚拟应用平台部署移动办公系统，一方面应用更加方便使用，用户无论在笔记本上 还是手机上，实际上使用的都是运行在虚拟应用服务器上的同一个应用，没有适应多种界面 的要求，而且可以实现同一个应用在不同的移动设备之间的漫游，实现了业务连续性；另一 方面，由于所有的应用都位于数据

8、中心的机房，集中管理的同时，也大大提高了办公数据的安全性。而在手机和虚拟应用服务器之间只需20k左右的带宽，因为其间传递的并非实际的业务 数据，而是虚拟化数据。这样既保证了OA系统可以在低带宽网络下使用，又避免了业务数 据在公网传输的安全隐患。2.2.软件部署架构虚拟应用服务器上软件部署包括：在底层Windows2003操作系统之上安装XX XenApp 虚拟应用服务器，然后在虚拟应用服务器之上安装各种办公软件如OFFICE软件、邮件系统 以及浏览器阅读器等工具软件。手机上的软件部署包括：在手机操作系统上安装虚拟应用接收器。手机上不安装任何应用软件的客户端，通过虚拟应用接收器，可以使用所有虚拟

9、应用服务器上的应用，整个软件架构如下图所示:跪作系统层OFFICE 软件邮件会文阅读器浏贤希Citrix XenApp 服吾器办必软件IB通道度拟应用层Windows Server 2003iPhone OSWindows MobileSymbian S60/S BO虚拟应用接收器 (X n.A 00 Receiver)手HI筐拟应用服务畚手机的网络访问只需要指定虚拟应用服务器的IP地址、用户登陆的用户名和口令，以 及登录域名称等信息即可，用户打开虚拟应用接收器就可以获取服务器上授权使用的应用图 标，打开应用图标即可使用。技术原理虚拟应用服务器和虚拟应用接收器之间，通过XX ICA协议建立通道

10、，使得客户端设 备可以远程操作服务器上的应用。ICA协议连接了运行在服务器上的应用进程和业务PC机的输入输出设备，通过ICA的 32个虚拟通道（分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等）， 运行在服务器上的应用进程的输入输出数据重新定向到远端客户端的输入输出设备上，因此 业务用户使用服务器上的应用时感觉就像在使用本地应用一样。ICA协议如下图所示：虚拟化应用实现了应用软件运行在服务器上，但是对该软件的操作（输入输出）在客户 端设备上，所有的输入如点击、键盘的操作被ICA协议同步到服务器上执行，所有的输出 如屏幕的刷新也被ICA协议同步到客户端。虚拟化应用操作模式如下图所

11、示：ICA协议是一种高效率的数据交换协议，采用了数据压缩、加密和连接优化技术，每一 个用户的连接只占用10K-20K的网络带宽，而实际运行的客户端软件位于后台的局域网内，因此终端用户相当于用拨号线的链路就可以享受到局域网内的运行速度。同时ICA协议可以分别针对单独的虚拟通道进行控制，这样为用户的访问和使用带来 了细粒度的控制。比如如果控制用户不许通过打印机把信息打印出来，只需要中断ICA连 接中的打印机通道即可。访问场景用户在使用移动办公OA系统时的访问方式如下：笔记本用户打开浏览器，输入统一的访问网址，然后在出现的身份认证页面里输入自己 的用户身份，通过后就会看到OA门户图标以及其他被授权使

12、用的应用图标。点击OA门户 图标，界面显示建立服务的连接条，大约10秒钟后出现OA门户的界面，剩下的操作就和 本地IE访问OA门户一样。手机用户可以预先设置好访问地址和用户名口令，这样直接打开OA图标就可以使用 OA门户。面向服务的访问使用体现在： 用户可以中断和重连服务(session disconnect and reconnect)，当用户离开一段时间， 但又不想结束业务操作，可以选择断开服务，这时用户屏幕上的OA应用消失，等 用户回来后，重新输入身份认证，通过后刚才做了一半的业务就重新出现在屏幕上， 可以继续工作。客户端和网络故障不会影响业务操作，如果业务用户的客户端设备死机或者网络中

13、 断，同上面一样只是服务断开，工作是运行在服务器上，并没有受影响。用户只需 要更换任意客户端或网络，就可以重新连接服务，继续刚才中断了一半的业务操作。会话超时(Session timeout)，管理员可以在后台设置服务超时，当一个用户打开业 务操作后长时间不用，系统可以自动释放该会话，业务界面暂时消失。当这个用户 重新使用时，再做身份认证后，继续刚才的业务操作。会话监控(Session Shadow)，系统有远程监控的功能和权限，如果某用户出现操作 上的问题，有相关权限的管理人员，可以监控该用户的操作，两个人可以共享同一 个会话服务，管理人员可以远程帮助用户操作或解决问题。其中访问服务超时设置

14、可以针对不同的用户进行不同的设置，例如对于VIP用户，可 以设置永不超时，这样VIP用户即使不操作也会一直连接；对于一般用户，可以设置超时 时间例如30分钟，这样如果这个用户30分钟不操作，该连接就会释放。详细设计拓扑结构虚拟应用服务器群组要求和OA门户服务器部署在同一局域网内，可以放置在用户数据 中心机房内，用户数据中心需要和移动网络连接，一般有两种连接方式:1，通过APN专线连接，企业用户向无线运营商申请APN专线，连接企业用户的数据中心和无线运营商，这样用户的手机访问可以直接进入数据中心；2，通过公网（internet）连接，企业用户需要开通数据中心和1 nternet的线路访问，用户通

15、过手机访问和来自互联网的访问一样，可以访问其数据中心。用户数据中心的网络拓扑图如下所示:以太网省公司移动办公用户省公司 门户服务器用户认证为了提高系统访问的安全性，移动用户在访问虚拟应用平台时需要进行身份认证，以确 定该用户是否可以使用移动办公应用，防止非法用户或其他非授权人员的访问。由于企业办公软件以Windows平台为主，因此建议采用微软的活动目录AD作为统一 的用户身份管理系统。AD域不仅统一定义用户身份，还定义了用户访问服务器的权限和行 为控制等组策略等。移动办公系统会在公网上传递用户身份，因此建议提高用户认证强度。虚拟应用平台支 持的身份认证模式包括：静态口令：目前的用户名加口令，属

16、于低强度身份认证，建议只在内网使用数字证书：通过数字证书可以有效识别客户端有效性。可以统一采用企业内部认可 的证书体系，通过在虚拟应用平台和用户手机客户端加载数字证书，来确保用户身 份的可靠性。如果用户手机丢失，则发证机构将该证书作废，则丢失手机无法使用 移动办公系统。动态口令/双因素认证:虚拟应用平台经集成了大量的高强度身份认证技术，如RSA 令牌等等。认证令牌可以硬件、软件和智能卡等多种形式向用户提供。令牌在发售 时已经使用唯一的128位种子初始化；内部芯片每分钟都会使用一种算法，组合该 种子与当前时间，生成一个随机的数字作为动态密码，从而提高用户的密码强度。生物识别(如指纹)及其他高强度

17、认证：应用集中发布平台预留了集成其他身份认 证的接口，如RADIUS认证等等，可以方便地集成用户自由认证或第三方认证。加密方案从安全性角度考虑，移动办公和手机访问需要对链路传输信息进行加密，需要配置VPN 接入设备。移动办公的VPN设备需要支持各种手机终端，XX提供了支持智能手机的VPN 安全网关AGEE。AGEE支持对XX虚拟服务器的单点登录，SSL加密、智能手机的ICA转发以及对客户端的智能访问(SmartAccess)等功能。其部署方案为放置在DMZ区域，如下图所示:括动域禳入域内都域微显n牌阿无通认证-很枳和重计双因素iAUE 中M卡-睡I中证书）-由用理:球拷专损坞止成泅路H居和代砚

18、/困相归悯 _*不腿收任何业著敝握 不ifi行任何业、代理 -iflMM南C商建即曾南） : 通佰协议与应用天差 沮再任何蜩TMSE3I出于对后台系统保护的需要，管理者可以制定对后台系统更加严格的访问条件，比如用 户访问来自PC机还是来自手机，如果是PC机是否安装了企业要求的防病毒软件等等，需 要使用AGEE SmartAccess智能访问控制。针对用户访问的场景的智能分析，包括：接入角色分析，基于用户身份接入设备识别，用户使用的是什么机器，什么操作系统接入设备配置，用户的设备中是否有防病毒、软件、服务、外设等等网络位置分析，用户来自于办公室、楼层还是家中、网吧其他定制的安全扫描基于扫描结果可

19、以决定哪些应用可以访问，控制范围包括集中应用发布平台上发布的所 有应用，以及每个应用的操作权限如：是否可以访问应用在应用系统中否可以打印从文件中粘贴复制内容上传和下载文件，保存到本地或者文件服务器在线安全编辑（内存中进行）应用部署移动办公系统的部署工作，主要是将应用客户端部署在虚拟应用服务器上。以Lotus Notes为例说明如何在服务器上进行应用部署。部署基于Notes的虚拟应用时，对于原先部属的Lotus Notes办公系统、Domino服务器、 数据库服务器等应用系统不变，通过在原来的Domino服务器前，增加了 XX虚拟服务器。 原先安装在客户端的Notes客户端程序现在需要安装在XX

20、服务器上。相应的客户端的配置 文件，统一安装在一台单独的文件服务器之内，在客户端访问的时候，可以提取相应的客户 端信息进行认证。在将要部署XX系统的服务器上先安装好win2003 server和XX之后，那么就需要发布 Lotus Notes的客户端了。具体步骤如下：首先创建一个域管理员账号来安装Notes（如，Notesadmin）所有登陆系统的用户都有一个主目录，把此目录映射成一个盘符，如W，可运行 Microsoft Application Compatibility Scripts 目录下的 chkroot.cmd。用新创建的Notesadmin账号登陆系统，在命令行提示符下打入cha

21、nge user /install， 是系统处于安装模式，然后运行安装Lotus Notes，注意选择共享安装。安装完毕后，不要重启系统，再次运行Lotus Notes安装程序，此次不要选择共享 安装，在程序文件夹目录下选c:lotusnotes，在数据文件夹下选w:lotusnotesdata安装完毕后，不要启动notes，不要重启系统。在c:lotusnotes下打开notes.ini文 件，修改 Directory=w:lotusnotesdata，并添加一条目， WinNTIconPath=w:lotusnotesdataw32。保存此文件并剪切到 w:lotusnotesdata 目

22、 录下，在XX里发布lotus notes应用程序时，指定工作目录为w:lotusnotes制定登陆脚本，使每个登录的新用户都能拷贝Notesadmin的主目录到自己的w盘 下将每个用户登录Lotus的ID文件拷贝到其相应中央共享目录中通过这样配置，每个用户通过XX来使用Lotus时，互相之间就不会产生影响，每个用 户将有自己的配置或模板文件，使用起来得心应手。客户端要求虚拟应用的客户端支持最新的的智能手机，以及其他客户端操作系统。XX支持的智能手机/PDA如下：Apple iPhone/iPod Touch-Android GPhone-BlackBerry-Window Mobile/Po

23、cketPC-EPOS/Symbian-Nokia 9000 系列/E61/E70/-SE S60 3RDS80XX支持的其他客户端类型如下：-Windows:32-bit: 95, 98, NT and 2000/XP/2003/Vista16-bit: 3.1, 3.11, WFWG-CEDOS: 32-bit, 16-bit Real Mode VersionMacintosh: iMAC, 68k & PowerPC-Unix:-HP-UX-IBM AIXSolaris Sparc-Solaris x86-SunOS-SGI IRIXCompaq Tru64SCO - UnixWare

24、, OpenServerLinux: Red Hat, Caldera, SuSE, Slackware4.虚拟应用平台功能移动办公应用集中发布平台，不仅实现了应用的集中部署和远程使用，同时必须保证后 台服务器的可靠性、可扩展性和可管理性，具体功能如下。集群能力无论是用户访问，还是后台管理员的管理对象，都不是单台的服务器，而是一个单一的 集群。否则随着应用的增多和用户数的增多，对服务器的资源调度和管理将成为瓶颈。平台的集群功能包括：在操作系统之上建立集群平台层，管理员应用发布的设置和管理只需针对平台，而 不需一台一台服务器进行设置通过集群平台可以提高整体后台的可靠性和可扩展性通过集群平台可以有

25、效地将工作负载进行分担，其负载算法应根据服务器的CPU、 内存、磁盘交换等多种逻辑由管理员定义组合计算集群平台可以根据用户身份进行会话重连，以实现跨客户端设备和网络的工作漫游通过集群平台可以优化操作系统计算资源，如控制整体CPU计算能力按照用户均 分，优化应用的内存消耗等，以提高后台支持并发访问的能力应用控制应用发布平台能够实现应用粒度的控制，即各个应用可以在集群中独立发布，用户可以 针对单个应用独立访问。例如集群中1至4号服务器发布应用OA门户，5、6号服务器发 布OFFICE工具，7、8号服务器发布IE等工具，这样后台的管理更加灵活，1至4号服务 器可以专门针对OA应用进行优化。另外可以控

26、制应用运行的位置，如果用户使用PC机并 在局域网内，可以允许OFFICE以应用流模式下载并运行在客户端，以节省服务器计算资源。平台的应用控制功能包括：可以独立发布和访问应用，而不依赖于桌面可以实现应用只安装一次，就可以部署到平台服务器上，无需在每台服务器上安装可以控制应用的运行位置，如运行在服务器上还是运行在客户端可以控制应用在服务器上的进程数，以防止单个用户运行大量应用耗尽后台资源可以控制应用对外设的访问，如是否可以拷贝文件、是否可以打印、是否可以粘贴 内容可以解决应用兼容性问题，如将互相冲突的应用安装在同一台服务器上，以节省服 务器资源提供应用标准外设的支持以及非标准外设的集成接口带宽控制

27、由于应用集中运行时，会话会持续消耗网络带宽，因此带宽控制能力，是后台支持并发 能力的一个重要指标。平台的带宽控制能力包括：每用户消耗带宽应尽可能低，例如10K-20K控制带宽的消耗，如设定每用户消耗带宽的最大值能够细粒度控制传输数据对带宽的消耗，如分别控制打印数据、磁盘文件拷贝、声 音数据等对带宽消耗的最大值提供网络硬件加速方案，实现诸如压缩、缓存和TCP/CIFS等协议优化，以进一步 节省带宽，从而提高用户在有限带宽下的应用体验终端访问控制由于用户的访问终端和环境各异，例如终端设备和PC机共存，而PC机的安全隐患较 多，因此需要针对用户的访问进行识别和权限控制。平台的访问控制能力包括：能够识

28、别用户访问的终端设备类型能够通过策略设置，即使相同的客户如果通过不同的终端设备访问到的应用不同， 例如某些应用只有图形终端能用，PC机不能用等能够通过策略设置，即使相同的应用如果通过不同的终端设备或网络环境访问时使 用的外设不同，例如在办公室可以打印，办公室外不许打印。能够设别终端设备是否满足安全条件，比如是否安装防病毒软件等，如果安装了才 可以使用某些应用，后者才可以使用某些外设等可视化监控对服务器和客户端用户的使用进行监控，并提供可视化监控界面和报表，是集中应用发 布平台的必备功能，因为用户业务运行的压力全部在服务器上，用户的使用和后台服务器状 态、操作系统报错、网络状况密切相关，能否全面

29、监控和管理，是所有用户正常使用的保证。平台的访问控制能力包括：提供平台健康状况监控的可视化仪表盘自动收集所有服务器的系统事件报警和错误并统一通知管理员提供相关的数据钻取帮助管理员定位用户问题提供用户远程访问会话信息记录提供用户体验记录，包括会话内部的事件记录（如连接过程、加载驱动、加载配置 文件的详细过程和时间记录）提供系统管理的统计报表，如用户访问统计、资源消耗情况、网络延时统计、系统 出错统计等提供用户的远程工作监控和接管5.系统配置方案目前企业应用是以32位操作系统为主，而32位操作系统的内存访问瓶颈是2G内核空 间，虽然操作系统可以扩展用户访问空间，但是无法扩展内核空间，因此只要2G内

30、核空间 用完，配再多的内存都是无效，服务器性能也无法提升。虚拟应用服务器的配置可以采用服务器虚拟化技术，因为服务器虚拟化可以有效解决 32位系统的内存瓶颈问题，将一台物理服务器虚拟成多台逻辑服务器（4G-8G），然后在每 台逻辑服务器中安装32位操作系统及软件。5.1.服务器角色分类虚拟应用平台所需逻辑服务器的角色包括：XenApp服务器（虚拟应用，运行各种办公软件）Windows 2003 Server + SP2（Enterprise）-XX XenApp-微软终端服务用户的办公软件WEB服务器（访问门户）Windows 2003 Standard Server + SP2-IIS 6 或

31、 Tomcat 等XX Web Interface域控制器DC （用户管理及权限定义）Windows 2003 Standard Server + SP2-为避免单点故障，域控制器需要有备份数据库/文件服务器（记录配置参数存放配置文件）Windows 2003 Server + SP2MS SQL Server服务器容量估算在整个架构设计中，辅助服务器压力不大，用户访问使用OA系统的压力全部集中在 XenApp服务器上。压力测试的基准数据来源于硬件厂商如IBM的实验室对服务器计算能力的实测数据， 在模拟多个并发用户分别以简单、普通、高负载三种操作频率使用流行的MS Office 2000 软件，Windows 2000/2003 Enterprise Server + XX XenApp 服务器 + IBM 刀片服务器 HS20 （配有 2 路至强 DP 2.4G， 4G RAM，一个 40G 的 IDE 硬盘，一个 18G15000 转 scsi 硬盘，2块千兆网卡），可以最多支持320、215、170个并发用户。再根据XX以往的成功 实施经验，如果使用2-4-2（2CPU，4G内存，2个硬盘）的