上海示范园区漕河泾智慧园区解决方案技术建议书V5.0116页深信服园区云解决方案技术建议书.pdf

《上海示范园区漕河泾智慧园区解决方案技术建议书V5.0116页深信服园区云解决方案技术建议书.pdf》由会员分享，可在线阅读，更多相关《上海示范园区漕河泾智慧园区解决方案技术建议书V5.0116页深信服园区云解决方案技术建议书.pdf（115页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 漕河泾智慧园区整体解决方案 深信服园区云解决方案技术建议书v5.0 漕河泾智慧园区整体解决方案 1 目 录 上海漕河泾智慧园区解决方案技术建议书5.0.1 智慧园区的发展背景及思路.4 2 漕河泾智慧园区项目概述.7 2.1 建设意义.8 2.2 建设原则.8 2.3 建设关键需求.11 2.4 建设组件及建设模式.12 3 本次项目建设方案思路.15 3.1 漕河泾现状分析.15 3.2 深信服方案思路.17 3.3 园区云平台融合纳管方案.21 3.4 智慧园区 WIFI 覆盖及应用平台.22 3.5 智慧园区综合设备管理监控调度平台.39 3.6 智慧园区拎包入住解决方案.41 3.7

2、 后期方案扩展智慧园区（物联网）.42 4 深信服园区云平台解决方案.46 4.1 园区云平台系统架构.47 4.2 园区云平台资源管理.48 4.2.1 完善的生命周期管理.48 4.2.2 虚拟资源的弹性.50 4.3 园区云平台功能特色.51 4.3.1 统一资源门户.51 4.3.2 易用的自助服务.53 4.3.3 透视化的运维分析.54 漕河泾智慧园区整体解决方案 2 4.3.4 精细化的运营管理.55 4.4 园区云平台的价值.55 5 深信服超融合架构解决方案.57 5.1 超融合架构层.58 5.1.1 服务器虚拟化（aSV）.58 5.1.2 网络虚拟化（aNET）.62

3、5.1.3 存储虚拟化（aSAN）.67 5.1.4 网络功能虚拟化（NFV）.71 5.2 多业务模板层.79 5.3 虚拟化管理平台.80 5.3.1 服务器虚拟化管理模块.80 5.3.2 网络虚拟化管理模块.82 5.3.3 存储虚拟化管理模块.85 5.4 深信服超融合架构方案价值和优势总结.87 5.4.1 深信服超融合架构价值.87 5.4.2 深信服超融合架构的优势.88 6 深信服桌面云架构解决方案.90 6.1 智慧园区桌面云解决方案概述.90 6.1.1 服务提供商总部办公解决方案.91 6.1.2 服务提供商分部办公解决方案.93 6.1.3 租户用户办公解决方案.94

4、 6.1.4 终端接入解决方案.95 6.2 智慧园区桌面云解决方案优势.95 7 深信服云安全整体解决方案.97 7.1 智慧园区云安全需求分析.97 7.2 平台侧需求落地.100 7.2.1 平台安全需求.100 7.2.2 接入安全需求.101 7.2.3 业务可靠需求.102 漕河泾智慧园区整体解决方案 3 7.3 租户侧需求落地.104 7.3.1 租户间隔离需求分析.104 7.3.2 租户虚拟机需求分析.104 7.3.3 租户互联网业务需求分析.104 7.3.4 租户外网业务需求分析.105 7.4 管理运维需求落地.106 8 深信服云解决方案案例实践及友商对比.108

5、8.1 深信服与 H3C 整体解决方案对比.108 8.2 成都电信私有云案例.109 8.3 宇宙互联云服务案例.111 漕河泾智慧园区整体解决方案 4 1 智慧园区的发展背景及思路 传统园区建设者对于园区建设只做到九通一平，即基本的水电气、交通、建筑等基础设施建设，信息化、智能化、IT 建设都由入驻企业自行完成。而很多企业的 IT 机构却面临着一种新的困境：高昂的硬件成本和管理运营成本、缓慢的业务部署速度以及缺乏统一管理的基础架构。1、高昂的成本支出 随着 IT 规模的不断膨胀，数据中心内的服务器数量、网络复杂程度以及存储容量急剧增长，随之带来的是高昂的硬件成本支出以及运营成本支出（电力、

6、制冷、占地空间、管理人员等）。基础结构成本：托管、冷却、连接服务器以及为服务器提供电源都会随着服务器数量的增长而导致成本大量增加。仅服务器电力需求一项就占总成本一大块，估计数据中心的 1000 台服务器的电力成本每年都在 45,000 美元以上。硬件成本：每年服务器在容量和计算能力上都呈增长趋势。随着服务器变得越来越强大，最大化的利用这些超强资源也变得愈加困难。IT 组织和应用服务用户习惯为每个应用服务部署一台独立服务器以确保完全控制该应用服务。几乎在所有情况下，部署这些功能强大的服务器将会使服务器过剩 50-500%。软件成本：通常服务器需要从操作系统或应用软件厂商那里获取许可证与支持。管理

7、成本：迄今为止，管理成本是服务器成本中最大的一个部分，分析专家估计管理成本占服务器总拥有成本的 50-70%。IT 技术 人员不得不对软硬件进行升级、打补丁、备份以及修复，部署新的服务器及应用，维护用户账户并执行许多其他任务。随着服务器数量的增长，IT 部门发现他们面临着满足相关服务器管理需求的挑战。2、缓慢的业务部署速度 漕河泾智慧园区整体解决方案 5 新的服务器、存储设备和网络设备的部署周期较长，整个过程包括硬件选型、采购、上架安装、操作系统安装、应用软件安装、网络配置等。一般情况下，这个过程需要的工作量在 2040 小时，交付周期为 46 周。3、分散的管理策略 数据中心内的 IT 基础

8、设施处于分散的管理状态，具体表现为：机房管理员遵循“根据最坏情况下的工作负载来确定所有服务器的配置”这一策略导致服务器的配置普遍过高。容易出现大量“只安装一个应用程序”而未得到充分利用的 x86 服务器。提交变更请求与进行运营变更之间存在较长的延迟。缺少统一的集中化 IT 构建策略，无法对数据中心内的基础设施进行监控、管理、报告和远程访问。而随着各类新兴 IT 技术的发展，传统建设模式已经不能满足入驻企业、园区管理方的需求，亟需一种能解决传统园区缺乏整体规划、信息重复建设、信息服务薄弱、资源浪费等问题的方案。信息化未来的最大价值在于使资源的供应方和需求方通过网络云服务平台联系在一起，这些资源包

9、括传统的自然资源、社会人文资源、各行各业的工业企业资源和信息资源。现代化城市建设和管理，需要统一和协调三个方面的重大关注，特别是充分适应和满足众多中小企业高速发展产生的各种需求，才能确保更好带动区域经济健康良性成长。智慧园区信息化云服务平台的建设和落地，最重要的原因是综合性产业政策环境，园区管理内部的信息化需求，加上各行业中小企业产业建设发展带来的旺盛的信息化需求。打破传统的假设思路，通过构建智慧的园区云，提供内部和外部的全面融合。在国外，城市规划与设计发展的主流目标是建设“智慧城市”，而较少谈到如何建设“智慧园区”。这主要是因为国外有一种主流观点，即脱离城市支持的独立产业 漕河泾智慧园区整体

10、解决方案 6 园区，是不具有生命力和竞争力的，在未来还会对整个城市的交通和环境构成大量负面影响。基于这种观点，国外许多新城镇开发中，会将整个城镇区域划分成有机融合的产业区、商务办公区、住宅区、商业区、公共服务区和交通区域等，然后引入不同的开发商，按预先制定的统一规划进行开发，开发完成后就是一个功能齐全的产业新城。然而在国内，很多时候受土地规划属性的限制，新城镇不同用途的各个区域被人为分割开，并由不同的责任主体负责开发，不同开发主体之间难以形成统一的规划和设计方案。因此，“智慧园区”就从城市开发的整体工作中突显出来，构成了与“智慧社区”相对应的一个独立的研究和发展目标。今年，上海市经信委专门组织

11、研究“智慧新城”的规划和开发模式，说明政府已关注到了这其中存在的问题，但由于种种传统因素，“智慧新城”尚未成为开发主流。而且，由于各大产业园区是各级地方政府财税收入和财政支出的核心支柱，往往可以得到政府的更多关注和更大支持，所以在国内，“智慧园区”不仅是整个“智慧城市”中最重要的组成部分，而且也是最有可能得到优先发展的区域。智慧园区的发展，往往是在政府引导下，由本地政府相关单位和产业园区开发单位共同推进，因此相比智慧社区，在建立先进的园区管理和公共服务模式方面，具有更大优势和发展空间。而且，各种先进服务模式一旦形成实际效果，将直接影响产业园区、乃至园区所在城市的吸引力和竞争力，因此成功模式的复

12、制推广速度比较快，比较容易形成规模效应。因此，对先进或类似的产业园区进行调查研究和学习借鉴的工作十分重要，应当时刻保持足够的关注度和紧迫感，否则就容易丧失发展机遇。漕河泾智慧园区整体解决方案 7 2 漕河泾智慧园区项目概述 上海漕河泾新兴技术开发区（以下简称“漕河泾开发区”）是上海首家明确提出进行数字园区建设的国家级开发区，由上海市漕河泾新兴技术开发区发展总公司（以下简称“漕河泾总公司”）具体负责其开发、建设、经营、管理和服务。自 2000 年提出建设数字园区以来，制订了数字园区建设规划，并按照规划，大力开展园区信息基础设施环境建设，着力加强信息化公共服务平台建设，不断提升信息化管理和服务水平

13、，同时积极推进园区企业信息化应用，推进信息化与工业化融合。2006 年被评为“上海市企业信息化示范园区”；2010 年被评为“全国开发区推进信息化建设与创新先进单位”；2011 年被评为首批“上海市数字园区”。漕河泾开发区一贯高度重视信息化工作，令漕河泾一直在本市产业园区中保持领先地位，走在全市前列。漕河泾开发区拥有强大的基础通信服务能力、丰富的信息化和智能化应用，以及日益完备的信息化服务体系，这些部分为未来打造“智慧漕河泾”打下了宝贵的基础。近年来，随着大数据、云计算、物联网、移动办公等新技术的高速发展和推广，以及围绕“智慧园区”概念的新应用不断涌现和提升，对园区信息化工作提出了更高要求和更

14、多挑战。与当前“智慧园区”的特征和要求相比，漕河泾开发区还存在一定优化和提升的空间。其中主要包括：尚未围绕“智慧园区”发展目标，建立强大而有效的应用支撑体系，目前诸多应用软件的协同能力不足，未能形成紧密围绕园区用户需求的信息推送能力；尚未做好应对大数据和云计算技术发展的准备，数据的统一保存和协同处理能力不足，一些使用价值很大的数据尚未得到有效管理和充分使用；WiFI 作为目前最为便捷、最流行的网络接入方式，可为漕河泾的写字楼、餐厅、公共绿地、公交枢纽等公共区域提供了无线网络接入服务。并可衍生提供如无线室内定位、大数据分析等功能；漕河泾智慧园区整体解决方案 8 标准化体系的建立和信息化服务团队的

15、组织方面还存在不足，园区开发单位与所有相关单位之间应该可以建立更紧密的合作关系，从而形成更强大的工作合力。2.1 建设意义 目前，各个产业园区的信息化水平参差不齐，但始终具有三个相对先进的发展制高点，即以上海漕河泾新兴技术开发区为代表的临港集团下属园区、以浦东软件园为代表的张江集团下属园区，以及以云计算产业基地为特色的市北高新技术服务业园区。除此之外，还有以创智天地为代表的杨浦科技创新产业集聚区和以数据服务产业为特色的崇明智慧岛产业园等几个新兴产业园区，在园区信息化方面也建立了不少特色项目。这些信息化管理和服务水平相对较高的产业园区，都是长期围绕着一个较高的发展目标，坚持从实际需求出发，持续投

16、入和不断提升相关能力的结果。每个园区的优秀系统和特色服务，都是与其自身定位和所处环境密切相关的。每个园区都具备先进的管理和服务理念，都具有完备的实施和服务团队。上海漕河泾新兴技术开发区已具备了良好的信息化基础环境，拥有大量的优质资源和优越条件，也拥有门类齐全和配置完善的人才队伍，应当比上述园区做的更好。同时需要根据漕河泾开发区的实际需求和自身特点，选择最合适和最优化的方案，找到属于漕河泾开发区特有的发展亮点。2.2 建设原则 漕河泾智慧园区解决方案应该以云计算、物联网、运营支撑三大技术平台为基础，能够快速、方便地创建各类 SaaS 应用和物联网的应用，并且 SaaS 应用和物联网应用 漕河泾智

17、慧园区整体解决方案 9 的各个系统能够互通互联，各个系统达到有机的结合，从而降低了整个系统的 CAPEX和 OPEX。面向园区基础建设提供新一代绿色云计算数据中心及宽带承载、接入，通过室内、外 Wifi 覆盖网络，为园区打造基础网络平台，提供无缝数据接入。同时安防监控和楼宇智能化也能够体现整个园区的安全及智能程度。最后，通过园区服务平台为园区内部用户和入驻企业提供各项服务业务应用。通过园区管理平台为园区运营管理单位提供各项运营管理业务应用。本次项目的总体建设原则如下：1、稳定性 应采取各种必要技术措施，保证信息化云服务平台具备有优秀的稳定性，在保证性能的前提下，为主要业务提供 7x24 小时持

18、续的支撑服务。2、安全性 平台系统应能充分考虑用户数据的安全，避免用户受到异常攻击或敏感数据窃取。应能主动评估业务系统的安全状况及提供弥补措施，并提供各种操作行为的可回溯能力。同时，应能提供独立的机房、专用的门禁及专享的运营管理团队，确保机房及信息化云服务平台运行的安全。3、可扩展性 各平台应具备良好的扩展能力，满足数据中心长期发展的要求。根据业务的发展预测，平台系统定期按照适度预留的原则进行建设，能在规定时间内快速响应新的用户，新的业务的新增要求。4、灵活的 IT 基础架构 满足资源的随时随地按需分配，需要建立一个灵活的硬件基础架构。硬件基础架构通常由虚拟的服务器池、共享的存储系统、网络和硬

19、件管理软件组成。5、自动化资源部署 漕河泾智慧园区整体解决方案 10 云计算运行管理平台的核心功能是自动为用户提供服务器、存储以及相关的系统软件和应用软件。用户、管理员和其他人员能通过 Web 界面使用该功能。要实现资源的自动部署，必须做到：首先，建立一个中心数据库来管理数据中心的硬件资源；其次，要规范化资源的使用，包括标准化操作系统、数据库软件、中间件软件的种类和版本。自动化的部署流程不仅能做到“随需应变”，适应用户的需求，而且能够带来以下好处：引入技术和创新的时间缩短，设计、采购和构建硬件和软件平台的人力成本降低，以及通过提高现有资源的利用率和复用率节省成本。6、端服务请求管理 云计算运行

20、管理平台提供一个统一的管理平台来实现端到端的流程管理，协调各个部门的合作，提高管理效率。同时该管理平台负责全部的人工交互界面，权限控制和用户管理等功能。7、多样化的计费服务模式 云计算服务管理平台可以提供用户多样化的资源服务请求与响应，可以基于用户不同的需求定制不同的计费模式，按需使用，可按次或按时计费。具备服务计费能力是运营云计算平台实现业务收入的重要基础。8、完善的资源监控及故障处理手段 云计算服务管理平台提供资源和服务的各种运维能力，可以监控资源的使用情况，对于平台故障提供及时地预警报警，保证云计算平台的稳定运行。9、有助于建立 IT 管理规则 为了实现数据中心的规范管理，需要以云计算运

21、行管理平台为基础，有助于为数据中心制定一套完整的管理规则。10、开放性 漕河泾智慧园区整体解决方案 11 要求各类系统设计、产品及网络构建都要满足相关的国际标准和国家标准，提供标准结构及接口，有效地兼容各种品牌、厂商、电子运营商的系统和网络，实现多系统、多平台的互联互通。2.3 建设关键需求 针对上述提及的建设原则，建议 IT 架构需要满足如下要求：1、IT 资源全面池化 伴随着数据与业务的集中，传统数据中心的硬件架构已经无法满足业务的快速上线和灵活的业务部署，新架构需要通过软件定义的方式实现全新的 IT 基础架构，也就是通过服务器虚拟化将所有 X86 的计算资源池化、通过网络虚拟化构建出适合

22、虚拟机迁移的大二层环境、最后通过存储虚拟化实现存储空间的融合。对于软件定义的数据中心，需要充分保障物理资源层、资源抽象与控制层和云服务层稳定性与安全性。2、安全优化如影随形 随着业务的不断扩展，4-7 层的安全、优化架构也需要紧密跟随。传统的烟囱式建设方式会让数据中心里出现大量的安全、优化设备，同时也会让安全管理变得复杂。从业务的角度上分析，新的 IT 架构必须能够对旧系统、旧应用进行平滑迁移，4-7 层的安全、优化特性按需部署，资源灵活调度；从管理的角度上分析，平台的建设需要将所有 4-7 层的安全、优化机制下沉至虚拟机，通过统一的管理平台对虚拟机的整个生命周期进行管理，同时精细的管理到虚拟

23、机中的安全、优化应用。所以需要充分保障整个数据中心中各类业务的安全可靠，并提供新、旧业务的平滑迁移。3、自助统一的业务交付 漕河泾智慧园区整体解决方案 12 建造新一代的数据中心，最终目标是要实现系统的按需运营，多种服务的开通，而这依赖于对计算、存储、网络资源的调度和分配，同时提供用户管理、组织管理、工作流管理、自助 Portal 界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理，还要从全局而非割裂地管理资源，因此统一管理平台与自动化服务交付是提升服务效率的重要因素。4、“云 Wifi”架构实现智慧覆盖 WiFI 作为目前最为便捷、最流

24、行的网络接入方式，可为漕河泾的写字楼、餐厅、公共绿地、公交枢纽等公共区域提供了无线网络接入服务。并可衍生提供如无线室内定位、大数据分析等功能。整个智慧园区通过采用“云 WIFI”技术架构，通过集中管理技术，构建面向未来的智慧型综合体园区。通过统一规划的网络将数据信息传送到核心管理平台，通过平台完成对漕河泾分层级、分用户的 WIFI 网络使用与各项应用的统一管理，计算，存储，实现整个园区的智能化管理与人性化的服务模式。2.4 建设组件及建设模式 为了实现上述建设的关键需求，通过 IT 架构的优势，将业务系统效率发挥至极致。深信服通过“智慧云接入+园区云平台+云安全方案+超融合架构（业务、桌面、接

25、入）”实现了资源、业务、数据的集中承载和统一调度，整体解决方案系统逻辑架构图如下：漕河泾智慧园区整体解决方案 13 利用通用的硬件基础架构，搭建好整个智慧园区的基础架构，在通用的 X86 平台之上，利用软件定义的思路，将计算、网络、安全和存储进行全面的融合，构建出池化的超融合基础架构。在此基础之上，利用云管理平台，能够实现租户的隔离和管理、生命周期管理、运维管理系统、资源及业务的编排、计费审计特性等一些列符合智慧园区需求的功能特性。通过各类接口像 PaaS 和 SaaS 包括大数据进行对接，从而为上层的园区类各类智慧应用和桌面云，终端云提供统一的底层支撑。最后通过自动化的运维和安全及服务实现端

26、到端的业务交付。目前，综合设备管理监控调度平台、WIFI 应用平台以及园区管理服务平台均可以通过超融合架构进行有效的承载：漕河泾智慧园区整体解决方案 14 1、综合设备管理监控调度平台：园区综合管理监控平台可实现楼宇设备管理、能耗监控、视频监控、安保巡防、外勤管理、信息查询、事件处理等功能。主要涉及计算资源和存储资源，可通过云主机（视频服务器，业务数据调用、应用服务主机）和云存储（大容量监控视频存储，读写要求不高）提供全面的支撑，从而满足整个管理、监控及调度功能；2、Wifi 应用平台：各 AP 通过园区接入网到汇聚，汇聚旁挂无线控制器实现无线基础网的搭建，汇聚连入数据中心核心，通过数据中心核

27、心和云平台部署 radius，portal，APP 等服务器通信，再通过硬件虚拟的逻辑防火墙进行上网。主要涉及计算资源、网络资源和存储资源，可通过云主机（认证服务器、Portal 服务器、App 服务器、DB 服务器）、云网络功能（云防火墙、云无线控制器、云负载均衡）和云存储（数据库的支撑，用于认证和数据存放）进行统一部署，利用虚拟化技术，实现多租户隔离和按需应用管理等功能；3、园区管理服务平台：主要实现园区内部各类管理功能，通过模块的方式进行整合，包括：园区总公司管理模块、园区企业软件模块、政府监管软件模块和各类通用服务模块，可以利用云主机整合现有系统计算资源的能力（将所有业务系统虚拟化）。

28、漕河泾智慧园区整体解决方案 15 3 本次项目建设方案思路 3.1 漕河泾现状分析 目前数据中心里拥有一套 CloudStack 的平台，该平台运行在 Cisco UCS 刀片服务器上，通过后端的 NetAPP SAN 存储提供整体服务（FlexPod 系统架构）。在FlexPod 架构上利用 Xen 平台实现计算虚拟化，CloudStack Agent 通过 XAPI 接口连接到 CloudStack 平台的 Management Server。同时，Primary Storage 和Secondary Storage 均通过 NetApp 的物理存储构建（不同的 LUN 对应不同的存储类型

29、），最终实现了 80+的租户托管服务。详细拓扑如下：其中：Cisco UCS 5108 的刀片服务器资源配置为：8 台 B200 系列刀片，每块刀片服务器部署 2 颗 E5 2650 的 CPU，12 根 8GB 内存，2 块 300GB 10K SAS 硬盘。NetAPP Storage 的资源配置为：漕河泾智慧园区整体解决方案 16 分为 SAS 磁盘池以及 SATA 磁盘池，SAS 磁盘池 12T，SATA 磁盘池 24T。存储连接方式为 FC。超过 80 家以上的租户均已独立的 Cluster 存在于现有 CloudStack 平台内，Zone区域代表整个数据中心，通过不同的 POD

30、规划处不同的机架（Rack），在每个 POD中又包含了大量的 Cluster，每个 Cluster 即一个租户，在每个 Cluster 中，通过 Host来标示租户的虚拟机（虚拟业务），通过 Primary Storage 实现该租户内部的共享存储体系，存放的是所有虚拟机（虚拟业务）生成的数据。所有的虚拟机都是通过 Xen Server 创建，由 Xen 平台实现整个虚拟机的生命周期管理，Primary Storage 由CloudStack 的 Management Server 和 NetAPP Storage 形成对应关系，通过划分不同的 LUN，实现不同的 Cluster 内部存储隔离

31、。在 CloudStack 架构中还存在Secondary Storage，该存储区域映射为 NetAPP Storage 中另外一个 LUN，存放所有 Cluster 中的镜像文件等。从物理网络结构来看，基础架构资源池通过 UCS 6248UP 来进行计算和存储的连接（计算为 IP，存储为 FC），通过一对核心交换机将整个 FlexPod 系统进行连接，漕河泾智慧园区整体解决方案 17 并通过旁路的防火墙实现安全防御，一对负载均衡设备提供了基于链路和服务器的负载均衡。具体如下图所示：3.2 深信服方案思路 本次漕河泾智慧园区项目，涉及到基础架构层面的搭建、云平台的搭建、云安全的设计和桌面云、

32、终端云的接入，具体如下：漕河泾智慧园区整体解决方案 18 园区云内部：1、通过超融合基础架构平台，构建出计算、网络、安全及存储的统一资源池；计算虚拟化将计算资源由物理形态转变为逻辑形态，更加可靠和灵活；网络虚拟化能够在拓扑上展现出业务逻辑，使得流量模型更加清晰；存储虚拟化能够充分利用服务器的硬盘资源构建出分布式存储体系架构；vWAC 能够将园区内的 AP 进行统一的接入管理。vAF 和 vAD 能够充分的保障东西向流量的安全和优化。2、通过桌面云基础架构，搭建起远端桌面虚拟化的底层基础设施；3、充分利旧现有硬件基础架构，并纳入到超融合平台中进行资源的统一池化，并由园区云管理平台 aCloud

33、实现集中的业务调度（超融合部分使用 OpenStack 进行对接，桌面云部分使用 RESTful 接口进行调度）；漕河泾智慧园区整体解决方案 19 4、分公司、子公司及租户企业（LSN 服务）：通过光纤将数据中心延展至分支机构或租户企业，通过 LSN，企业仅需购买交换机即可实现接入、桌面、网络、安全、计算、存储等各类功能，如图所示：企业租户通过物理交换机即可连入园区云，通过虚拟路由器创建不同的 VPC，实现多租户之间的隔离，利用虚拟防火墙保障业务系统的安全性，通过虚拟负载均衡实现多 VM 之间的灵活调度，通过虚拟无线控制器可以延展 WLAN 网络。漕河泾智慧园区整体解决方案 20 所有的互联网

34、业务也通过该虚拟路由器进行隔离，通过 WAN 口连接南北向物理交换机，利用硬件防火墙、上网行为管理、负载均衡等安全设备，确保互联网出口安全；通过 LAN 口连入 VPC 内部，实现内部资源访问。5、平滑升级到 OpenStack 平台，如下图所示：首先对所有 UCS 上的业务及数据进行一次备份，用于容灾或迁移失败的回滚，通过超融合一体机，将一块 USC B200 上的业务迁移到一体机上（通过 V2V 的虚拟化迁移工具），然后在 B200 上安装超融合组件，待稳定运行一周后，再将第二块 B200 上 漕河泾智慧园区整体解决方案 21 的业务迁移到安装好超融合的 B200 刀片上，继续运行。以此类

35、推，最后将超融合一体机上的数据迁移至最后一块 B200 刀片，完成全部的迁移动作。业务迁移完成后，通过 OpenStack 的园区云管理平台，实现统一的租户管理、资源调度及业务编排等功能。3.3 园区云平台融合纳管方案 整个方案充分的利用现有的物理硬件平台，借助深信服超融合基础架构，平滑的像园区云进行过渡。首我们将现有的 UCS+NetAPP 架构（FlexPod）逐步的迁移到超融合环境，具体的迁移方案参考漕河泾智慧园区详细迁移方案技术建议书。通过在 UCS 系统上部署超融合的底层虚拟化内核，与新增的超融合一体机构建出完整的计算资源池，并通过 OpenStack 接口与园区云管理平台 aClo

36、ud 的 Nova 组件进行对接，从而实现计算资源的融合管理。同时，再利用 REST 接口，实现 aDesk 桌面云的接入。最后通过统一的 Portal 实现租户的资源申请，包括主机、桌面、存储、网络和安全。首先使用新的机器部署新的云平台 acloud；漕河泾智慧园区整体解决方案 22 将 xensever 上的虚拟机采用 v2v 迁移技术迁移到 alcoud 平台，即将原来在 netapp上的镜像迁移到 acloud 上面的分布式存储中。整个周期分两个周期，第一周期先迁移云主机部分，第二周期迁移云桌面部分，具体实施由深信服技术人员负责。迁移的时候，需要虚拟机停机，所以迁移时间建议是下班时间，

37、并且提前通知客户；原先的虚拟资源是属于不同公司的，迁移之后，按照之前的业务部署，将各虚拟机主机划分到不同的租户管理中，每个公司属于一个租户，并且有自己的独立 VPC；待所有旧平台的虚拟机迁移后，将原来的 UCS 5108 上面的 xensever 平台替换成acloud 平台，将原先的两个集群融合成一个集群，并且由 alcoud 平台纳管原先的netapp 存储。这样新老环境的硬件和存储，将由 acloud 平台统一纳管。3.4 智慧园区 WIFI 覆盖及应用平台 上海漕河泾新兴技术开发区是国务院批准设立的经济技术开发区、高新技术产业开发区和出口加工区。现规划面积 14.28 平方公里。为构建

38、漕河泾智慧园区，将进行整个漕河泾园区的无线覆盖。整个漕河泾开发区人流量可达 20 万人。目前的无线覆盖存在如下问题：不安全：沪公共 WIFI 钓鱼信号为 8%，用户易被钓鱼。导致用户财产损失，带来不良影响；难管控：用户上网行为不可管控，无法溯源，无法进行统一管理；体验差：无线网络速度慢，缺乏有效的流量管控。运营商代建的网络体验差；无回报：无线网络仅仅是一种投入，除了供客户上网之外，没有任何回报。针对该问题，需要将 WIFI 进行建设目标定位，通过 Wifi 的覆盖应该可以实现：最安全：防钓鱼 WIFI：保障公共区域安全；禁随身 WiFI：净化网络环境；VLAN 隔离：防止网络当中数据传输；管控

39、严：限速管控：禁止大流量应用占网速；网络审计：满足公安和网监要求；漕河泾智慧园区整体解决方案 23 体验佳：上网速度快：流量有序、保证带宽；无线信号稳定：负载均衡、少丢包、小延迟；认证便捷：支持多种认证方式；可增值：广告推送：个性化广告推送；互动营销：增加园区关注度；用户信息收集：实现定向营销。为构建一个全新的漕河泾智慧 WIFI 园区网，无线覆盖无死角应用跑得快是基础，网络安全与管理是支撑，业务运营是核心。其中 Portal 运营分析平台是核心管理节点，对下辖所有节点进行软硬件管理及报表呈现。而对运营管理者来说只呈现出一个统一的入口管理界面。具体细分可以分为以下一些具体需求：一、网元管理 上

40、网行为与流控管理 能对园区网的用户上网行为进行检测与管控，达到对全网全终端统一管控，管理无漏洞，全面应用管控提高园区用户工作效率与上网体验，精细流量管理确保业务正常进行的目标，实现动态流控，各个园区及各个用户的带宽可以根据带宽阀值的设定来相互借用。大数据对接 和电信的大数据平台对接，实现基于终端的精准营销，第二期可以提供测试。安全防护 要做到看得到真正的风险，而且要看到 L2-7 层的攻击整体安全状况，二是要真正能看到攻击与业务漏洞，及时查漏补缺，并能及时防住攻击，实现保护整个漕河泾WiFi 网络，避免来自内部和外部的攻击，分别在出口区域和服务器区域各部署一台下一代防火墙进行安全防护。保护 p

41、ortal 服务，3A，WEB 服务器，应用服务器的业务安全是安全防护中的重点。漕河泾智慧园区整体解决方案 24 网络配置 对子园区的的网络安全与优化设备通过一个统一的平台来进行网元设备的配置管理与维护，最大程度的减少与降低运维人员的管理成本。二、运营管理 认证管理 目前，漕河泾一卡通系统部署在桂平路 702 号电信恒联云计算机房，通过园区光纤网与公共餐厅、便利店、酒店、商业配套等消费区域刷卡终端互联，满足园区日均17.7 万人流量的刷卡消费。e 园区服务网站部署在漕河泾物业公司机房内，满足内外网用户访问并提供各项服务。“智慧漕河泾”WiFi 项目将分期进行，一期进行 20 个子园区的 WiF

42、i 基础网全覆盖，包括写字楼大堂、公共餐厅、室内外商业配套、酒店、绿洲会所、室外公共绿地等区域，实现“一点认证、全园漫游”，轻应用信息发布等功能。二期、三期将与园区各应用系统对接，并开发“智慧漕河泾”APP 软件，提供“一键上网”、e 园区服务、一卡通服务等各项功能应用，探索 WiFi 覆盖范围之外的更大的商业价值。针对运营策略中的特定区域提供多种认证方式选择。全局采取短信认证方式满足公安部 82 号令要求，酒店会议厅提供微信认证方式给到租用单位吸粉、商业配套提供支付宝认证方式转化 O2O 互联网模式变现等。认证平台需要支持多种认证方式。除了主流的几种认证方式，牢牢把握属地化 WiFi 运营思

43、路和漕河泾总公司领导战略层面考虑，将一卡通、e 园区服务与 WiFi 进行深度整合。整合工作分期进行，在一期项目中 WiFi Portal 入口页面提供短信认证、一卡通用户、e 园区账号用户认证来提供免费上网。三种目前都已是实名，可以满足公安部 82 号令要求，通过平台功能开发，对这一卡通用户、e 园区账号认证的这两种类型用户提供优选的上网策略，如免费上网时长增加，上网带宽增加等策略，提供园区 WiFi 差异化服务功能，最终目的是实现业务导流，引导潜在用户多去注册一卡通或 E 服务。在二期前，对 WiFi 使用情况进行 漕河泾智慧园区整体解决方案 25 调研、分析和归纳总结，将一卡通、e 园区

44、服务各项应用功能加入轻 APP 应用或重APP 中，探索新的商业模式。实现基于手机号的短信认证，与一卡通、子会员系统的对接实现基于账号的portal 认证，以达到保障接入漕河泾园区网用户身份的合法性和满足网监部门公安部82 号令；总体支持短信，微信，微信连 WIFI，支付宝，一卡通，E 园区 5 种认证方式。场景管理 可以基于不同的场景推送不同的与场景有关联的广告，广告的形式可以是图片、FLASH、视频等形式，广告的内容是可以随需而变的，可根据子园区实际的需求来定义。对于不同的场景实现不同的认证方式，如在酒店举行了一个某公司的产品发布会，则对来参加此酒店的访客进行微信认证，达到吸粉的目的，而对

45、于园区内的商业配套如全家超市这类用户做支付宝认证，达到 O2O 目的。三、服务管理 子园区的业主可以提出自己个性化的广告页面或方案，在系统中提交之后会有一个审批流程机制来保障广告推放的可行性 四、数据分析 通过对园区用户的上网行为数据采集，分析，统计进行大数据的归类、计算、输出呈现出对园区运营管理有价值的分析报告 园区内搜索关键词的排行分析 园区内用户点击率最高的 URL 排行分析 园区内用户上网应用类型排行分析 园区内用户上网流量排行分析 园区内客流分析 漕河泾智慧园区整体解决方案 26 用户身份信息，上线时间，下线时间，持续时间等信息且能与上海电信大数据分析平台对接 五、模块化页面展现 提

46、供一个多元化的入口，类似于一个浮动按钮，只要用户还在园区上网，在用户的终端上都一个浮动窗口来引导如何更好的使用在园区的应用与服务，解决轻应用关闭后找不到入口的问题 设计框架化的内容展现方式，上联放开发区相关的内容，中联放子园区内容，下联放物业方的内容，有平台可编辑修改。用户的操作方式采用左右滑屏的方式，提供用户最佳移动端体验。通过与上海电信 LBS 地图引擎对接可以矢量图展现出用户当前所在的位置和导航信息。六、WIFI 功能 服务信息：能推广展现园区的新闻，促销，活动等消息推广服务 问卷调查功能：在园区提供问卷调查功能 客户群管理：E 服务认证的用户，一卡通认证的用户，微信认证的用户，短信认证

47、的用户 进行客户群归类，不同类客户不同数据展现。多种营销手段：支付宝认证，微信认证等技术手段 来实现营销。如在酒店举行了一个某公司的产品发布会，则对来参加此酒店的访客进行微信认证，达到吸粉的目的，而对于园区内的商业配套如全家超市这类用户做支付宝认证，达到 O2O 目的。WIFI 商业广告：认证前倒计时广告 倒计时间可调，认证前问卷调查，认证页面支持静态轮播，动态 FLASH，视频广告。延时功能：关注微信实现延时 或其他营销手段实现延时 漕河泾智慧园区整体解决方案 27 开发标准接口：园区的信息化节点很多，如 E 服务，双创、人力等，本方案设计保障平台的扩展性与接口能力，利用无线技术实现与园区企

48、业应用软件实现快速匹配，利用后台云数据库重新整合各应用子系统，打通各个节点的信息化互通。此次方案采用“云 Wifi”的技术方式实现，分为硬件和软件两部分部署，具体如下：硬件架构：本次方案建议采用深信服链路负载均衡 2 台,深信服上网行为管理设备 2 台，portal 服务网关 2 台，轻 APP 软件一套（4 台服务器承载）,SC 集控网关 2 台，无线控制器 2 台。数据中心区域将采用深信服超融合架构，涵盖服务器虚拟化、网络虚拟化、存储虚拟化，数据中心区域所有服务器的安全防护以及访问优化将由深信服虚拟化版本防火墙和服务器负载均衡来完成。此外，将单独采用 1 台虚拟机作为外置数据中心，用于记录

49、园区所有人员的上网行为数据。分别部署在如下位置（标红部分）：漕河泾智慧园区整体解决方案 28 软件架构：“智慧漕河泾”WiFi 云平台是基于全开放式综合平台的理念进行软件架构设计，预留了第三方认证接口、厂商 API 接口、短信平台接口、数据存储接口、第三方地图引擎接口、上网行为设备接口、第三方广告接口、手机 APP 程序接口等，在系统架构方面都做了前瞻性的设计，可实现与各个外部系统的对接。同时，根据园区各个应用系统的个性化需求，也可以进行定制化软件开发，与园区各应用内部系统进行对接。整体网络采用华为+深信服+信锐的架构：交换网络选择华为的接入层设备，安全防护以及整体业务网络优化，选择深信服的

50、4-7 层网络设备，信锐的无线控制器加 AP整体网络。AP 采用本地转发的模式，认证网关管控平台在深信服 Portal 运营平台上面实现，后端数据中心采用深信服超融合解决方案实现。从而实现优势：丰富的认证方式，便捷的接入方案 拥有业界最全面的认证方式，认证无感知，一次登录、多次有效；一地登录、多地有效 漕河泾智慧园区整体解决方案 29 丰富的营销形式 微信营销，短信营销，网页营销 关键字营销 业界唯一的、精准、有效（与深信服行为管理结合）与深信服设备无缝隙联动，实现更多开发可能性 防钓鱼 WIFI，公共场合上网安全有保障 最精细的无线管控，提升带宽使用价值 丰富的认证方式 无线控制器支持 80