EWEBS應用虛擬化系統(tǒng)

1、EWEBS應用虛擬化系統(tǒng) EWEBS應用虛擬化系統(tǒng) 極通EWEBS是一種虛擬化平臺軟件，其主要功能是向企業(yè)提供最佳性能、靈活快捷的應用交付服務。管理員只需要將各種應用軟件集中部署在EWEBS服務器（集群）上，并通過EWEBS的應用程序虛擬化功能，將各種應用軟件整合到企業(yè)門戶中供終端用戶使用。終端客戶機無需安裝任何軟件，就能夠讓企業(yè)各種IT應用擺脫終端設備和網(wǎng)絡寬帶的限制，實現(xiàn)終端客戶機用戶在任何時間、任何地點、使用任何網(wǎng)絡設備、采用任何網(wǎng)絡連接，都能夠高效、快捷、安全、方便地訪問已經(jīng)集中部署在EWEBS服務器（集群）上的各種應用軟件。 *EWEBS簡介 技術角度 極通EWEBS是虛擬中間層 功

2、能角度 極通EWEBS是基于IT治理、軟件優(yōu)化、集中化管理、提高IT架構合理化利用率的綜合平臺，實現(xiàn)共享、簡單、快捷、靈活的應用 應用角度 將所有的應用軟件安裝在EWEBS服務器（群）上，客戶端零安裝，就可以基于WEB實時靈活應用。通過極通自主研發(fā)的AIP協(xié)議，把應用程序的人機交互邏輯（應用程序界面、鍵盤及鼠標的操作、音頻輸入輸出、讀卡器、打印輸出等）與計算邏輯隔離開來。在用戶訪問EWEBS服務器虛擬化后的應用時，用戶計算機只需要把人機交互邏輯通過AIP協(xié)議傳送到服務器端，服務器端為用戶開設獨立的會話空間，應用程序的計算邏輯在這個會話空間中運行，把變化后的人機交互邏輯傳送給客戶端，并且在客戶端

3、相應設備展示出來，從而使用戶獲得如同運行本地應用程序一樣的訪問感受。*EWEBS架構 *EWEBS主要功能發(fā)布桌面發(fā)布C/S應用發(fā)布B/S應用發(fā)布文檔發(fā)布目錄發(fā)布內(nèi)容用戶管理用戶賬號管理用戶組賬號管理密碼策略管理用戶安全策略服務器管理服務器配置策略服務器報警策略審計日志許可管理策略管理應用配置策略訪問控制策略輸入法策略時間策略負載均衡策略安全策略 *EWEBS技術優(yōu)勢 1.強大的負載均衡技術，實現(xiàn)動態(tài)集群 EWEBS可以區(qū)分應用程序，根據(jù)對應服務器上的綜合負載信息包括CPU、內(nèi)存、硬盤及網(wǎng)絡等服務器資源的綜合使用情況實現(xiàn)負載均衡。 2.完美的遠程輸入技術實現(xiàn)本地輸入保留客戶端的輸入法習慣，更無

4、須在服務器端安裝眾多的輸入法。由于文字輸入工作完全在本地進行，即使是手寫、語音等輸入方法都可以繼續(xù)使用。同時在EWEBS 本地輸入法中，由于采用了獨特的編碼、解碼技術，可以實現(xiàn)不同文字類型的自動切換，如繁簡字的切換可以方便的實現(xiàn)。3.完善的打印機制，雙重選擇 極通EWEBS立足于客戶應用，采用了雙重打印機制，用戶可以根據(jù)自己實際需要選擇。 原生打印，直接所有的驅(qū)動程序安裝在服務器端，打印時速度快，質(zhì)量好。 虛擬打印，不用在服務端安裝驅(qū)動程序，把用戶要打印的文檔生成xpdf文件，并把xpdf文件傳送到客戶端，使用客戶端的打印驅(qū)動進行打印。4.智能的主機動態(tài)IP定位技術 EWEBS中內(nèi)嵌了動態(tài)DN

5、S技術，用戶只需經(jīng)過簡單的配置就可以獲得由極通科技專門為用戶提供的DNS服務。無論用戶的公網(wǎng)IP發(fā)生什么樣的變化，極通科技的DNS服務器都會在最短的時間內(nèi)為用戶提供最新的地址解析，用戶就可以一直使用固定的名稱來訪問應用服務器。 5.完備的安全防護體系不管是C/S還是B/S架構的應用，如何保證數(shù)據(jù)傳輸?shù)陌踩枪芾韱T要面對的問題，安全的關注點主要在三個方面： 用戶身份驗證的安全性：用戶身份驗證的安全主要包括用戶身份密碼的安全和驗證安全兩個環(huán)節(jié)，傳統(tǒng)的應用體系中，用戶驗證通常有用戶名/密碼驗證、USB key驗證及智能卡驗證等方法。在EWEBS中，采用用戶帳號和Windows帳號關聯(lián)的方式，用戶訪問

6、應用程序時不直接使用Windows 帳號密碼，而是使用EWEBS中為用戶單獨創(chuàng)建的帳號。用戶帳號的身份驗證支持用戶名/密碼、USB Key驗證、智能卡、指紋或視網(wǎng)膜等生物學身份驗證方法。 服務器的安全性： 在EWEBS中，直接內(nèi)嵌了Windows Active Directory 組策略的配置設置，管理員無需熟悉組策略的具體配置，只需要進行簡單的選擇，就可以輕松的限制用戶對某個具體的硬盤、系統(tǒng)任務欄或IE等服務器端資源的訪問。 數(shù)據(jù)傳輸?shù)陌踩裕?在EWEBS中，由于所有的應用程序都在服務器(集群)上運行，所以客戶端和服務器端傳送的僅僅是應用程序的輸入輸出邏輯，在沒有特別授權的情況下，數(shù)據(jù)無法

7、離開服務器(集群)，保證了數(shù)據(jù)的安全。EWEBS中還內(nèi)嵌了SSL通信技術來保證客戶端和服務器端網(wǎng)絡通訊的安全，通過訪問控制策略和和時間策略限制用戶在固定的時間固定的地點訪問固定的應用。 6.特有的資源整合技術，提升效率在EWEBS8中，專門開啟了獨立的共享空間，用于加載應用程序模塊的代碼段，用戶執(zhí)行應用程序時數(shù)據(jù)段存放在各自獨立的內(nèi)存空間中，這樣就減少從服務器硬盤上大量讀取代碼段的需求，從而減少服務器內(nèi)存、硬盤及CPU資源的消耗。因此在同樣的硬件條件下，服務器同時可以支持更多的用戶訪問。 7.遠程監(jiān)控技術、加大管控力度EWEBS中具有獨特的遠程監(jiān)控技術，可以進行遠程的集中式培訓、會議，另外可以

8、很好的監(jiān)視服務器的各項性能。8.圖形加速技術，擴大應用領域 傳統(tǒng)的方式遠程的應用各種圖像處理軟件，一般都是使用虛擬顯卡，調(diào)用圖形軟件GPU，性能很低，處理起來的效果很不理想。在EWEBS中，通過圖像加速技術，以物理顯卡來處理，提高顯示性能，達到理想應用。9. 提供SDK客戶化工具包，方便解決合作伙伴的各種應用軟件在多用戶環(huán)境下的兼容性問題 方便客戶將它的軟件和EWEBS軟件無縫整合，提供應用集成，方便二次開發(fā)以及功能的擴展。 *EWEBS應用環(huán)境 服務器操作系統(tǒng) Windows Server 2003Windows Server 2008Windows XP Professional服務器硬件

9、需求PIII 800M/512M RAM/ 40G 硬盤以上支持客戶端類型支持 Windows 全系列操作系統(tǒng)、Linux、Unix等多種操作系統(tǒng)支持所有網(wǎng)絡附錄資料：不需要的可以自行刪除 園區(qū)網(wǎng)絡虛擬化無論規(guī)模如何或有什么安全需求，企業(yè)現(xiàn)在都能在單一物理網(wǎng)絡上，受益于支持多個封閉用戶組的虛擬化園區(qū)網(wǎng)絡。綜述隨著對園區(qū)網(wǎng)絡的需求日益復雜，可擴展解決方案也越來越需要將多個網(wǎng)絡用戶組進行邏輯分區(qū)。網(wǎng)絡虛擬化提供了多個解決方案，能在保持現(xiàn)有園區(qū)設計的高可用性、可管理性、安全性和可擴展性優(yōu)勢的同時，實現(xiàn)服務和安全策略的集中。為達到出色效果，這些解決方案必須包括網(wǎng)絡虛擬化的三個主要方面：訪問控制、路徑隔

10、離和服務邊緣。通過實施這些解決方案，網(wǎng)絡虛擬化即能與思科系統(tǒng)公司的服務導向網(wǎng)絡架構(SONA)相結合，為遷移到智能化信息網(wǎng)絡的企業(yè)創(chuàng)建一個強大的框架。SONA網(wǎng)絡利用NAC和IEEE 802.1x協(xié)議提供身份識別服務，從而實現(xiàn)最優(yōu)訪問控制。在用戶獲準接入網(wǎng)絡后，三個路徑隔離解決方案GRE隧道、VRF-lite和MPLS VPN能在保留當前園區(qū)網(wǎng)設計優(yōu)勢的同時，在現(xiàn)有局域網(wǎng)上疊加分區(qū)機制，將網(wǎng)絡劃分為安全、虛擬的網(wǎng)絡。這些解決方案解決了與分布部署服務和安全策略相關的問題。最后，共享服務和安全策略實施的集中化，大大減少了在園區(qū)網(wǎng)中維護不同群組的安全策略和服務所需的資本和運營開支。這種集中化有助于在

11、園區(qū)中實施一致的策略。挑戰(zhàn)園區(qū)網(wǎng)絡的設計建議一直缺乏一種對網(wǎng)絡流量分區(qū)，以便為封閉用戶組提供安全獨立環(huán)境的方式（表1）。有許多因素都在推動對于創(chuàng)建封閉用戶組的需要，包括： 企業(yè)中存在不同級別的訪問權限：幾乎每個企業(yè)都需要解決方案來為客戶、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問級別。 法規(guī)遵從性：部分企業(yè)受法律或規(guī)定的要求，必須對較大的機構進行分區(qū)。例如，在金融公司中，銀行業(yè)務必須與證券交易業(yè)務分開。 過大的企業(yè)需要簡化網(wǎng)絡：對于非常大型的園區(qū)網(wǎng)絡，如機場、醫(yī)院或大學來說，過去，為保證不同用戶組或部門間的安全性，就必須構建和管理不同的物理網(wǎng)絡，這種做法既昂貴又難以管理。 網(wǎng)絡整合：在

12、合并和收購時，通常需要迅速集成所收購公司的網(wǎng)絡。 外包：隨著外包和離岸外包的普及，子承包商必須證明各客戶的信息間完全隔離。尤其當一家承包商服務于相互競爭的公司時，這尤為重要。 提供網(wǎng)絡服務的企業(yè)：零售連鎖公司為其他公司支持售貨亭或為加油站提供互聯(lián)網(wǎng)接入；同樣，服務于多家航空公司和零售商的機場能使用單一網(wǎng)絡來提供隔離服務和共享服務。 表1. 不同垂直行業(yè)中網(wǎng)絡分區(qū)的應用示例垂直行業(yè)網(wǎng)絡虛擬化應用示例制造業(yè)生產(chǎn)工廠(自動裝置，生產(chǎn)環(huán)境自動化等)，管理，銷售，視頻監(jiān)視。 金融業(yè)交易大廳，管理，合并。政府支持不同部門的共同建筑物和設施。在部分國家，法律要求這些部門采用不同網(wǎng)絡。醫(yī)療總體趨勢是在進行治療

13、的同時提供賓館式服務。須隔離醫(yī)護人員、核磁共振成像(MRI)和其他技術設備、病人互聯(lián)網(wǎng)接入，以及為病人提供的廣播和電視等媒體服務。 商業(yè)智能樓宇：多企業(yè)園區(qū)不同部門共享部分資源。多個公司位于同一園區(qū)，其中不同建筑物分屬不同部門，但全使用相同的核心和互聯(lián)網(wǎng)接入機制。園區(qū)所有者管理建筑物自動化體系，覆蓋所有建筑物。零售售貨亭，分支機構中的公共無線局域網(wǎng)，RF識別，WLAN設備（例如，不支持任何WLAN安全特性的較早的WLAN條碼閱讀器）。教育學生、教授、管理人員和外部研究團隊間需要隔離。此外，分布于多個建筑物的各院系可能需要訪問各自的服務器區(qū)域。而某些資源（例如互聯(lián)網(wǎng)、電子郵件和新聞）可能需要共享

14、或通過一個服務區(qū)訪問。此外，建筑物自動化體系也必須分開。園區(qū)局域網(wǎng)的發(fā)展網(wǎng)絡虛擬化允許多個用戶組訪問同一物理網(wǎng)絡，但從邏輯上對它們進行一定程度的隔離，以便它們無法查看其他組這是多年來網(wǎng)絡經(jīng)理面臨的挑戰(zhàn)。在上世紀90年代，L2交換是園區(qū)局域網(wǎng)的標志性特征，虛擬局域網(wǎng)(VLAN)是在一個通用基礎設施中將局域網(wǎng)劃分為不同工作組的標準。此解決方案安全高效，但無法很好地擴展，而且隨著園區(qū)局域網(wǎng)的發(fā)展，其管理也非易事。核心和分布層中L3交換的出現(xiàn)，在VLAN方式的基礎上對可擴展性、性能和故障排除進行了優(yōu)化。過去幾年中，所構建的基于L3的園區(qū)網(wǎng)絡已經(jīng)證實，它們便于擴展、功能強大，具有高性能。但在網(wǎng)絡分區(qū)和封

15、閉用戶組方面，L3園區(qū)方式有著重大缺陷和限制。在此情況下，添加封閉用戶組即意味著增加成本和復雜度。解決方案：網(wǎng)絡虛擬化因此我們需要一個便于擴展的解決方案，來保持用戶組完全隔離，實現(xiàn)服務和安全策略的集中，并保留園區(qū)網(wǎng)設計的高可用性、安全性和可擴展性優(yōu)勢。為支持此解決方案，網(wǎng)絡設計必須高效地解決以下問題： 訪問控制：確保能識別合法用戶和設備，對其分類，并允許其接入獲得訪問授權的網(wǎng)絡部分。 路徑隔離：確保各用戶或設備都能高效地分配到正確、安全的可用資源集即正確的VPN。 服務邊緣：確保合法的用戶和設備能訪問相應的正確服務，并集中實施策略。 思科解決方案能通過幾個方式實現(xiàn)網(wǎng)絡虛擬化。虛擬化技術使單一物

16、理設備或資源能作為它自己的多個物理版本，在網(wǎng)絡中共享。網(wǎng)絡虛擬化是思科SONA框架的一個重要組件。思科SONA使用虛擬化技術來改進服務器和存儲局域網(wǎng)（SAN）等網(wǎng)絡資產(chǎn)的使用。例如，一個物理防火墻能配置為執(zhí)行多個虛擬防火墻的功能，幫助企業(yè)優(yōu)化資源和安全投資。其他虛擬化戰(zhàn)略包括集中策略管理、負載均衡和動態(tài)分配等。虛擬化能提高靈活性和網(wǎng)絡效率，降低資本和運營開支。訪問控制：身份驗證和接入層安全接入層安全對于保護園區(qū)局域網(wǎng)免遭外部威脅十分重要。通過在威脅進入園區(qū)前即采取防御措施的特性，能對思科網(wǎng)絡虛擬化解決方案構成補充。IEEE 802.1X即是這樣一種技術，它是端口安全的標準。802.1X在用戶及

17、其相關的VPN間形成強大的連接，防止在未授權情況下訪問禁止接入的資源。另一種補充技術是思科網(wǎng)絡準入控制(NAC)。NAC的職責是在邊緣防御威脅，在有害流量到達分布層或核心層前即將其刪除。NAC有助于確保用戶不會使園區(qū)基礎設施遭受到任何病毒、蠕蟲等威脅。路徑隔離：L3 VPN為支持園區(qū)網(wǎng)絡虛擬化，思科提供了三個非常適用于典型園區(qū)網(wǎng)絡設計，并混合使用了L2和L3技術的解決方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道為在園區(qū)網(wǎng)絡上創(chuàng)建封閉用戶組提供了一種相當簡單且高效的方法。GRE隧道非常適于作為托管“訪客”接入的企業(yè)解決方案，使公司能為訪客或來訪者提供全球互聯(lián)網(wǎng)接入

18、，而又能防止這些用戶訪問內(nèi)部資源。在圖1中，GRE隧道與Cisco VRF-lite特性共用，為訪客接入創(chuàng)建了一個簡單、易于管理的解決方案。圖1. 結合使用GRE隧道和VRF-lite該解決方案的優(yōu)勢包括： 能跨越典型的多層園區(qū)網(wǎng)絡（無需園區(qū)級VLAN）。 訪客用戶流量與其他公司局域網(wǎng)流量隔離。 所有訪客流量的進入點位于中央位置，使安全性和服務質(zhì)量(QoS)策略更易于管理。 甚至能通過廣域網(wǎng)擴展到分支機構。 在將GRE隧道作為支持封閉用戶組的解決方案時，需要注意的一個因素是隧道本身較難配置和管理，因此不建議解決方案部署超過兩條隧道。此類網(wǎng)絡虛擬化適用于需要星型拓撲的場合。VRF-liteVRF

19、-lite是一個思科特性，通常稱為多VRF客戶邊緣，通過使用單一路由設備支持多個虛擬路由器，來提供園區(qū)分區(qū)解決方案。VRF-lite是MPLS的輕量版本。利用VRF-lite，網(wǎng)絡經(jīng)理能靈活地為任意特定VPN使用任意IP地址空間，而無論它是否與其他VPN的地址空間重疊或沖突。這種靈活性在很多場合都非常實用。例如，當所收購公司的網(wǎng)絡合并到一個共享局域網(wǎng)中，所收購的網(wǎng)絡能作為獨立VPN進入基礎設施，幾乎或完全不會干擾網(wǎng)絡上的日常業(yè)務流程。VRF-lite能用作端到端解決方案，如圖2所示，也能與另一解決方案共用來支持封閉用戶組，這將在下一部分中討論?？傮w來說，VRF-lite的可擴展性高于GRE隧道

20、，但它最適用于有四或五個分區(qū)的網(wǎng)絡。每次添加用戶組時，它都需要人工重配置，因此相當耗費勞力。圖2. VRF作為端到端解決方案部署MPLS VPN另一種為封閉用戶組進行園區(qū)網(wǎng)絡分區(qū)的方法為基于MPLS的L3 VPN。和GRE隧道與VRF-lite一樣，MPLS VPN提供了一種安全可靠的方式，在通用物理基礎設施上進行網(wǎng)絡邏輯分區(qū)。盡管電信運營商使用MPLS技術的時間已有幾年，但因為局域網(wǎng)交換機上缺乏對MPLS的支持，它還未在企業(yè)網(wǎng)絡中廣泛部署。而不斷改變的業(yè)務需求，以及相應的新產(chǎn)品面世，正幫助MPLS成為園區(qū)基礎設施中的重要技術。隨著Cisco Catalyst 6500系列提供了對于MPLS

21、VPN的支持，對許多大型企業(yè)來說，MPLS技術已擁有了廉宜價位。MPLS VPN具有本文中討論的其他解決方案的所有優(yōu)勢（參見圖3）。此外，任何MPLS VPN都能通過配置，連接至用戶和位于網(wǎng)絡中任意地點的資源，而不會影響性能或網(wǎng)絡設計。相應地，MPLS VPN也是三個思科網(wǎng)絡基礎設施虛擬化解決方案中可擴展性最高的。當添加或改動用戶組時，無需人工重配置，這提高了可擴展性，降低了運營開支。當在網(wǎng)絡邊緣使用VLAN，在園區(qū)的路由部分使用L3 VPN時，保留了層次化園區(qū)網(wǎng)部署的所有優(yōu)勢，同時該解決方案還能在園區(qū)局域網(wǎng)中實現(xiàn)端到端、可擴展分區(qū)，并支持集中的安全特性和服務。和VRF-lite一樣，網(wǎng)絡定址靈活性也是MPLS VPN的另一優(yōu)勢。圖3. MPLS VPN支持任意到任意連接統(tǒng)一接入提供靈活性這三個思科園區(qū)網(wǎng)虛擬化解決方案并不限制用戶使用任何特定的接入類型。盡管他們在單一物理網(wǎng)絡基礎設施中工作，但這些解決方案能輕松地支持移動用戶。無論使用的解決方案是基于GRE隧道、VRF-lite還是MPLS VPN，用戶只要能接入網(wǎng)絡，就能透明地與其所屬的封閉用戶組相關聯(lián)。虛擬化服務虛擬化網(wǎng)絡服務是思科網(wǎng)絡基礎設施虛擬化解決方案和SONA的一個重要組件，能幫助企業(yè)高效運營，從而減少其網(wǎng)絡上使用的設備數(shù)目。思科網(wǎng)絡虛擬化解決方案支持集中服務，包括： 集中設備，如防火墻和入侵檢測系統(tǒng)(IDS) 安