H3C公司企业网络除了为日常企业办公提供信息交互的平台，也成为公司内部产品解决方案的主要实验基地，其中以业务软件的应用部署尤为突出。H3C自身部署了iMC智能管理中心之后，其很好地解决了H3C IT部门日常网络运维方面的难题，同时在实验局的开展中解决方案自身也不断得到完善。

H3C企业网络架构介绍

图1 H3C企业网络基础架构

目前H3C企业网络主要以杭州和北京两个基地作为园区网南北核心，同时拥有一个电信级数据中心，连接全国50个分支机构，全网超过1000个路由交换设备，如图1所示。H3C公司自2006年在其内部开始实施iMC解决方案，从刚开始仅仅部署网络资源管理组件，到现在iMC部署了包括EAD、无线、语音、VPN、QOS、流量分析与用户行为审计、数据中心管理等全方位综合网络平台管理系统。目前，近12000个信息点通过iMC平台进行监控，利用EAD组件管理日常超过4500在线用户。

iMC智能管理中心部署历程

iMC解决方案在H3C内网建设从2006年开始经历了三个阶段：

2006—2008年，搭建iMC平台系统，部署基础资源管理和EAD终端准入控制解决方案，满足公司网络设备基本网管功能和用户接入安全控制功能。

2008—2009年，部署流量分析与用户行为审计功能，无线业务管理组件，极大提高了公司内部网络运维和用户接入信息分析和统计能力。

2009年至今，部署语音管理、分支网点管理、QOS管理、VPN管理、数据中心管理等业务组件，H3C内网所有网络应用系统均可在在iMC平台下进行操作和维护，保证了IT部门能够对公司整体网络进行全方位进行监控维护和运行，提高了网络的运维稳定性。

实施效果

1.1 基础网络管理

H3C公司部署的是iMC V5新一代智能管理中心产品，管理全网超过1000台网络设备，能够提供实时告警和跟踪定位。同时通过完整的全网拓扑（如图2所示）管理和监控杭州、北京、深圳以及全国办事处。

图2 H3C网络拓扑展示

在iMC V5产品中提供了自定义首页功能，不同的管理员可以根据自身不同的关注点可以定制自己所需的首页页面。比如管理员关注的是无线业务的管理，就可以把无线的业务定义在首页上（如图3所示）；同样，一个管理员若关注VPN业务，则可以把VPN管理业务定义在首页上(如图4所示)。

图3首页定制（无线业务管理）

图4首页定制（VPN业务管理）

1.2 数据中心管理

H3C IT部门使用iMC V5对杭州、北京、深圳三地数据中心进行管理和维护（如图5所示），数据中心拓扑支持数据中心、机房、云图、链路等拓扑对象，提供全局的数据中心监控。数据中心楼层-机房分布拓扑显示数据中心内部管理、监控各机房在各楼层的分布。数据中心机房拓扑展示平面机房设计和立体机房监控，支持180度旋转机房拓扑（如图6所示）

图5数据中心拓扑

图6机房拓扑

在维护过程中还使用到了虚拟化管理功能，iMC可以与虚拟化软件（如VMWare ESX/ESXi）构建的虚拟网络进行统一管理的系统。提供对虚拟机(VM)、虚拟机链路、vSwitch、物理服务器（ESX/ESXi服务器）和vCenter的监控，并实现各虚拟网络设备间拓扑关系的展示。通过iMC V5平台，管理员可以方便迅速的部署和迁移虚拟化设备。

除了iMC V5平台，iMC产品家族中的APM应用管理组件可以提供系统与应用的监控管理能力，目前H3C在本地系统里已部署的应用系统（包括公司ERP系统，HRSS系统，PMS等核心业务系统）均已纳入APM的监控范畴，如图7所示。

图7 应用系统性能管理

1.3 广域承载网络管理

根据各地用户的数量和分部方式，H3C在杭州、北京、深圳三处核心办公区以及全国办事处之间网络互联方式有以下几种：

Ø 骨干节点采用电信SDH链路并基于MPLS VPN方式进行互联；

Ø 大型办事处采用专线形式进行互联；

Ø 小型办事处采用Internet IPSec VPN方式进行互联。

为了能进行统一管理，H3C IT同时部署了MPLS VPN、IPSec VPN和分支网点管理业务系统三个管理业务子系统，实现对全国办事接入设备和接入流量的统一流量监控和系统维护，并定制相应SLA业务可达性统计报表。

1) MPLS VPN业务管理

H3C网络划分成5个不同的VPN区域，区域之间有相应的隔离策略。通过MPLS管理可以对PE和CE核心设备进行集中管理，保证核心网络的稳定性

2) IPsec VPN业务管理

目前H3C在全国的办事处均采用IPsec VPN技术保证数据传输的安全性，但应用IPSec VPN的网络中的设备数量庞大、位置分散，管理起来非常困难，出现问题也无法及时定位解决，许多难题摆在面前，例如：如何进行IPSec VPN网络的运行状态监视；如何监控用户组用的VPN性能；怎样快速定位IPSec VPN设备故障等。

在采用IPsec VPN组件进行运维管理后，通过VPN业务部署配置，所有H3C办事处IPsec VPN节点均可集中管理运维和监控，IT部门能够快速、有效的部署VPN网络，IT运维人员能够轻松便捷的进行网络隐患和瓶颈的预防，以及发生故障时进行快速排查，同时基于网络域的批量操作功能减少了网络管理员的网络配置成本，提升网络管理效率。如图10所示。

3) 业务流量分析与QOS业务管理

H3C公司内部视频会议，IP电话会议使用频率很高，对网络中的关键应用类型、关键用户业务数据的服务质量保证需求也是公司IT运维人员的重点关注点。针对公司办事处接入带宽资源有限的问题，通过采用iMC QOS 智能管理组件和NTA流量分析组件综合解决此问题。

以杭州办事处为例，在北京研发中心和杭州办事处之间用QoS Manager实施QoS策略，保障视频会议质量，从验证结果看，在有大数据量传输的时候，视频会议质量得到了有效保障，画质清晰稳定，流量平稳。

图8 杭州办事处iMC QoS策略流量图

从图8可以看出，无论是否有大数据流传输（采用大文件传输方式），视频流量始终平稳。从视频会议实际画面看，画质始终保持清晰稳定。（图中蓝色为数据流，棕绿色为视频会议流量,杭州出口带宽为8M）根据iMC QoS流量统计数据计算，视频流量为：279.84Kbytes/s=2.24Mbps.数据流量最大时段平均为：650Kbytes/s=5.2Mbps。总计流量7.44Mbps，小于出口8M带宽。

1.4 终端准入管理

EAD解决方案是实施比较早的一个解决方案，在2006年公司IT和信息安全部门针对特殊的应用环境和公司信息安全管理规定，就要求实施EAD解决方案，对用户的网络访问行为进行有效的控制，实时监控用户行为及终端的安全状态。

针对公司对于终端的安全防护和实际组网规划需求，EAD解决方案的综合组网如图9所示：全网在终端接入层交换机启用802.1X议认证，客户端PC安装iNode智能客户端（以下简称iNode客户端）以及WSUS补丁管理插件，配合事先部署的Norton防病毒客户端；“隔离”服务器区分别放置了DHCP Server、微软AD域控制器和WSUS补丁服务器、Norton防病毒服务器等。

图9 EAD解决方案部署

结束语

iMC智能管理中心为H3C公司提供了全方位的管理功能。通过iMC平台和众多业务组件的部署和应用，H3C所有网络设备纳入管理体系，IT网络部门从传统的网络管理方式中脱离出来，提高了工作效率。