應用場景
1、大中型企業、政府、制造業、零售業、SOHO園區;
2、企業生產網、科技園區網、校園網;
技術痛點分析
1、“架構混亂,不易管理”: 園區網在建設初期,設備和光纖/電纜隨意布放,缺乏統一的網絡分層規劃管理,網絡拓撲相對混亂,不便于對網絡性能瓶頸進行正確評估和有效擴容,給日常網絡管理也帶來很大難度。
2、“規劃不合理,影響生產和投資浪費”: 由于缺乏有效的園區網規劃,對于網絡可靠性考慮不夠,網絡中既存在單點故障導致網絡可靠性低、影響企業生產和經營管理行為,同時也存在網絡過度冗余、造成投資浪費的現象。
3、“網絡信息安全存在隱患”: 網絡安全性是園區網建設的重中之重,傳統園區網安全漏洞較多,無法應對內外部用戶日益猖獗的網絡攻擊行為(例如:對園區網設備進行攻擊、消耗網絡帶寬、竊取企業核心電子資產信息),對于內部和外部用戶缺乏有效的身份認證手段、用戶可隨意接入網絡,網絡層面的安全保證和防御措施也不到位,造成園區網的脆弱和易攻擊。
4、“無法滿足日益增長的網絡業務需求”:隨著企業的業務發展,出現了基于園區網基礎設施的豐富增值業務需求,例如:網絡接入形式要求多樣化,支持WLAN無線接入,滿足移動辦公、大區域無線纜覆蓋等特殊要求;對于企業用戶訪問外網進行計費,計費策略可靈活設置(時長計費、流量計費、按目的地址計費);企業多出口鏈路場景下的負載均衡、靈活選路需求。傳統園區網建設缺乏有效滿足這些增值業務需求的統一解決方案考慮,支持這些業務存在園區網絡分散建設、重復投資的問題。
5、”缺乏簡單有效的網絡管理系統,企業IT網絡運維部門壓力很大”:當前,企業網IT運維部門面臨很大的網絡運維壓力,來自于園區網內外部的安全事件頻發、網絡可靠性低引起的網絡業務中斷現象,網絡故障診斷、分析定位過程對于IT運維人員的技術能力和經驗水平要求較高,缺乏簡單有效/低成本的圖形化網管工具、進行實時網絡拓撲顯示、狀態監控和各種故障事件預警/告警展示。另外,IT運維部門也需要實施統計園區網各路徑的流量信息,便于對網絡帶寬進行管理和規劃,給后續網絡擴容提供參考。
系統架構
根據客戶的實際情況與特點提出個性化解決方案
1、接入層:為終端用戶提供園區網接入功能,是園區網的邊界。接入層通常由以太網交換機組成。對于某些終端,還要增加特定的接入設備,例如無線接入的AP設備等,增強型POE交換機可以滿足多種POE受電設備的接入,使園區網業務類型更加多元化。
2、匯聚層:將眾多的接入設備和大量用戶經過一次匯聚后再接入到核心層,擴展核心層接入用戶的數量,完成數據匯聚或交換的功能。匯聚層通常還作為用戶三層網關,承擔二三層邊緣設備的角色,提供用戶管理、安全管理、QoS調度等各項跟用戶和業務相關的處理。
3、核心層:園區網的骨干區域,是園區數據交換的核心,聯接園區網的各個組成部分,如數據中心、匯聚層、出口區等。核心層網絡需要實現帶寬的高利用率和網絡故障的快速收斂。
4、出口區:園區內部網絡到外部網絡的邊界,內部用戶通過邊緣網絡接入到公網,外部用戶(包括客戶、合作伙伴、分支機構、遠程用戶等)通過邊緣網絡接入到內部網絡。且包含分割不同安全域的網絡安全設備,負責四層至七層協議信息安全。
數據中心區:部署服務器和應用系統的區域,為企業內部和外部用戶提供數據和應用服務。
5、DMZ區:通常公用服務器部署于該區域,為外部訪客(非企業員工)提供相應的訪問業務,其安全性受到嚴格控制。
設計原則:
1、可靠性原則:園區網必須穩定可靠工作,業務不中斷,保證業務體驗。這就要求關鍵部件采用冗余或備份架構,發生故障時可以快速恢復。
2、可信任原則:網絡必須安全、可信任,保障網絡和業務安全。這就要求全網安全可信,具有完善的安全防護措施,防止惡意破壞,保護數據和網絡安全。
3、可擴展原則:網絡平滑升級和擴展,滿足未來3~5年的發展規劃,充分發揮網絡價值,減少重復投資,避免資源浪費。這就要求園區網適應不同業務部署和擴展需求,包括部署新業務以及網絡平滑擴展等要求。
4、易管理原則:網絡容易管理和維護,網絡診斷和故障定位容易,降低運維難度,提升客戶體驗。這就要求全網多業務智能、主動和綜合管理,實時分析網絡健康狀況,積極預防,故障發生時可以快速排除故障,減少損失。
5、可運營原則:支持和方便部署新業務,如VoIP、UC(統一通信)、智真、桌面云等。
經濟性原則:更大化投資回報和降低投資成本。
典型園區網絡架構模型
在此架構的基礎上,方案融合虛擬化、有線無線深度融合、WIFI6、智能網絡運維等關鍵技術。
網絡虛擬化:數通方面,通過設備的虛擬化堆疊,簡化園區網數據轉發平面與管理平面復雜度。配合跨設備的鏈路聚合,極大的簡化了全網邏輯復雜度,整個網絡可以被當做一臺交換機管理,簡化運維,降低Opex。不僅如此,網絡虛擬化技術還打破了傳統園區網絡架構中MSTP+VRRP來保證可靠性的復雜模型,且在不損失鏈路性能的同時,也保證了網絡的高可靠性。安全方面,通過部署集成了IPS、WAF、防毒墻、上網行為管理等功能下一代防火墻與云環境中的態勢感知系統聯動,實現網絡內外聯防,保障園區網的信息安全,并提高網絡運維管理人員的使用體驗。
有線無線深度融合:傳統園區網中,無線網絡的流量與設備是獨立于有線網的,不僅在整體結構上增加了復雜度、轉發能力也有所限制,且兩套網絡的用戶認證也是分開的。使用有線無線深度融合技術可以解決以上的所有問題,AP與有線設備均由交換機統一管理,有線無線的流量通過交換機統一轉發,有線無線的用戶認證點都在交換機上統一認證,有線無線網絡控制策略都在交換機是統一控制,真正的做到了有線無線的深度融合。
WIFI6:802.11ax高效率無線標準已于2019年正式發布,目前各主流網絡廠商均已陸續推出支持該協議的無線AP。該協議標準的推出意味著無線接入技術又邁出了一大步,相比于上一代標準,實現網絡帶寬提升4倍,并發用戶數提升4倍。進一步將網絡時延從平均30ms降低至10ms,能夠保證VR/AR教學流暢無眩暈、企業4K高清會議無線辦公、工業制造AGV漫游零丟包,加速各行各業的企業數字化轉型。
智能網絡運維:傳統網管軟件的升級,通過與云環境聯動,提供全場景,全生命周期,全商業模式的設備云化管理。實現云網規,云部署,云優化,業務快速下發,自動化部署。