华为科技园区决方案.pdf

华为科技园区 解决方案 华为技术有限公司 科 技园区已经成为了国民经济的重要支撑和国家创新体系的重要组成，一般由科 技园区管理委员会和园区内的各种企业、大学、科研院所等构成。科技园区内 的企业往往以智力密集型为主，园区的信息化能力直接影响到园区健康、迅速的发展。如 何更好的向园区内企业提供优质的上网服务和 IT 业务，吸引更多企业和单位入住园区，是 园区管委会所需考虑的重要问题。华为拥有多年的科技园区网络建设和实践经验，可以为 您提供完整的网络解决方案。 1. 导言 华为科技园区解决方案 1 2. 科技园区网络面临的挑战 和发展趋势 2.1 问题和挑战 企业业务全球发展使得企业承载网从“传 统的有线局域网”演变为“泛在的业务承载 网”， 分支机构、家庭办公、商旅办公，多种 业务要求随时、随地，任意终端自由接入。 随着物联网时代的到来，科技园区网不再 是IT专用网络，越来越演变成一张“企业物联 网”，多样化的海量终端将接入到这张网络中 去。IT系统到边缘，物联网将企业业务延伸到 更广，监控、门禁、仪表、传感器成为网络的 触角。 业务的多样化承载必然对网络的质量以及 安全性提出了全新的要求，网络不再是简单的 管道，而要辅助业务系统实现完美体验。 企业信息依赖度提升。数据集中后的信 息实时性、灾备问题、多渠道共享能力是关注 点，需要企业信息集中化。 越来越复杂的ICT系统如何依靠现有的人力 和能力维护已经成为企业CIO和园区管委会很关 注的一个问题，这也要求园区网络的易维护性 成为必须需求。 2.2 发展趋势 网络需要协同：网络部件间的协同、网络间的协同、网络和应用的协同能有效屏蔽了网络复杂 性，让网络更加智能，让网络变得透明。 网络需要一揽子服务：企业业务的扩张、商业模式的创新更加依赖信息化平台支撑，一揽子的服 务给客户带来网络建设成本、效率和体验上的最佳平衡，让网络像供水、供电一样，随需而用。 阶段三：网络和应用相互协同 协同屏蔽了网络复杂性，让网络更加智能，让网络变的透明。 让应用触手可及 阶段二：网络间相互协同 阶段一：部件间相互协同 各种业务系统对网络有其独特的要求， 各种网络的安全边界也是客观存在的， 网络间的信息流动需要得要精细化的管理 无论何时、无论何地、无论是 谁、采用何种终端、无论是那 种应用， 互联网 移动网 固网 华为科技园区解决方案 2 2.3 华为ONE NET解决方案 华为公司提出ONE NET解决方案，是基于标准化、协同、一揽子的园区网络解决方案。 1. ONE NET架构是整合产品、方案和服务于一体 的完整体系，为各个行业应用构建坚实的基础 网络平台。 2. ONE NET以开放标准的产品为基础，针对各种 应用场景，为企业用户提供网络部件间、网络 与网络间、网络与应用间的全方位协同解决方 为适应不同企业不同场景，着重向您推荐以下几个部分，更为详细的方案请参考华为园区网络解 决方案： 案，同时针对不同用户的差异化需求，华为 携手合作伙伴一起为用户提供端到端的一揽 子网络建设服务。 3. ONE NET通过标准化的产品、全方位的协同 解决方案和一揽子的服务，屏蔽网络的复杂 性，让用户的体验就像一张网。 科技园区基础网络解决方案 虚拟科技园区网解决方案 横行虚拟化 纵向虚拟化 企业之间网络隔离 企业之间数据访问方案 科技园区安全网络解决方案 科技园区无线解决方案 科技园区网语音及UC通信 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? IT? ? ? ? ? ? ? ? VRP ? ? ? ? ?15? ? ? ? IT? ? ? ? HUAWEI on HUAWEI ? ? ? ? PC ? ? ? ? ? ? ? 华为科技园区解决方案 3 3. 科技园区基础网络解决方案 科技园区网通常是一种用户高密度的非运营网络，在有限的空间内聚集了大量的终端和用户。同 时对于科技园区网而言，注重的是网络的简单可靠、易部署、易维护。因此，在科技园区网中拓扑结 构通常以星型结构为主；基于开放式网络架构，采用分层组网方案、模块化设计；企业可根据自身规 模选择二层或三层网络结构，选择合适的应用模块；通过Internet、PSTN、WAN与园区外相连，促进 内外协作，实现良性互动与发展。 应用层 包含了园区内的各种终端设备，例如PC、 笔记本电脑、打印机、传真、POTS话机、SIP话 机、手机、摄像头等等。 接入层 负责将各种终端接入到园区网络，通常由 以太网交换机组成。对于某些终端，可能还要 增加特定的接入设备，例如：无线接入的AP设 备、POTS话机接入的IAD等。 汇聚层 汇聚层将众多的接入设备和大量用户经过 一次汇聚后再接入到核心层，扩展核心层接入 用户的数量。汇聚层通常还作为用户三层网关 的位置，承担L2/L3边缘的角色，提供用户管 理、安全管理、QoS调度等各项跟用户和业务相 关的处理。 Internet PSTN WAN NE40E OSN6800 S7700/5700 S5700/37002700 E1000E NE40E AR3200 2200/1200 AR3200 2200/1200 S9300 S7700 MA5683T S9300/7700/ 5700 S5700/3700/2700/1700 AR3200/2200/1200 WA6XX MA5621 ? ? ? ? ? ? ? ? ? ?A?B?x? ? Servers Web DNS Email APPS DB IP+IT? 华为科技园区解决方案 4 核心层 核心层负责整个园区网的高速互联，一般 不部署具体的业务。核心网络需要实现带宽的 高利用率和故障的快速收敛。 园区出口 园区出口是园区网络到外部公网的边界， 园区网的内部用户通过边缘网络接入到公网， 外部用户（包括客户、合作伙伴、分支机构、 远程用户等）也通过边缘网络接入到内部网 络。 数据中心/服务器区 部署服务器和应用系统的区域，为企业内 部和外部用户提供数据和应用服务。 网络管理区 对网络、服务器、应用系统进行管理的区 域。包括故障管理、配置管理、性能管理、安 全管理等。 方案特点： 以核心节点为“根”的星型分层拓扑，架 构稳定，易于扩展和维护。 各企业和功能分区模块清晰，模块内部调 整涉及范围小，易于进行问题定位。 双节点冗余设计，关键链路均采用Trunk链 路，保证网络的可靠性。 支持各种业务终端接入，一张IP网络承载所 有业务。 支持分支接入、员工远程接入、合作伙伴 接入、用户访问等各种外联场景。 华为科技园区解决方案 5 4. 虚拟科技园区网解决方案 科技园区网通过在核心层、汇聚层以及接入层部署集群、堆叠、eth-trunk和MPLS VPN技术实现横 向虚拟化和纵向虚拟化，解决传统企业网的二层环路和可靠性等问题，同时实现企业内部不同部门、 不同业务的隔离。 4.1 横行虚拟化 1) 网络需求 科技园区或者企业的核心层，要求高可靠 性、高扩展性、高转发能力。 3) 方案特色 部署简化：网状的科技园区网络形成了一个非常简洁的架构，网络各层之间通过捆绑的单逻辑链 路互联，消除了环路。不再需要在接入层设计复杂的生成树协议，也不再需要在变成单一逻辑节点的 客户端接入网关上运行VRRP协议。 ? ? ? ? ?A?B?A?B? CSS CSS/iStack iStack LAG 路由简化：端到端堆叠/集群部署，使科技 园区网络形成了无环、树状、辐射型的网络拓 扑结构，极大简化了运行维护管理工作。网络 中数据流的宏观路径上与简化后的整体网络拓 扑具有一致性，业务流在网络中的走向清晰明 确。同时，每个堆叠/集群节点本身的扩展（如 增加该节点设备）既不会改变企业网络的逻辑 结构，也不会影响上下层网络的协议交互。 管理简化：横向整合后，原有的多台设备 作为一台设备进行管理，对管理的设备数量进 行大大的简化，提高对设备管理的效率。 2) 解决方案 横向虚拟化即在科技园区网的核心层、汇 聚层、接入层分别采用集群/堆叠技术，将多台 物理设备虚拟化成单台逻辑设备，达到简化网 络结构、简化网络协议部署、提高网络可靠性 和可管理性的目的。 华为科技园区解决方案 6 3) 方案特色 接入控制：保证用户接入身 份可靠及安全性。 4.3 企业之间网络隔离 1) 网络需求 科技园区网络是企业办公业务、生产业务、销售业务的承载体。一方面，企业对园区网络的可靠 性、安全性、扩展性、高性能需求日益提高；另一方面，企业内部部门出于业务安全隔离的考虑，需 业务逻辑隔离：不同权限企 业业务间相互隔离。 资源隔离：不同企业用户 可访问资源的安全隔离。 ? ? ? ? ?A ?B ?N ? ? ? ? 4.2 纵向虚拟化 1) 网络需求 充分利用设备，物理上这些资源是统一、 集中的，同时给多个企业提供不同业务，能够 安全隔离，灵活部署，易于管理。 2) 解决方案 纵向虚拟化就是把网络等硬件设备和应用 服务等都看成统一的资源，通过技术手段和方 案设计，把这套共有的资源虚拟成多套逻辑资 源，供不同的群组/业务使用。虽然在物理上这 些资源是统一、集中的，但对不同的用户/业务 来说，能够使用到的资源和配置的安全/管理策 略可能各不相同。企业网的纵向虚拟化是指对 企业网络中物理网络的逻辑虚拟化。即将一个 物理网络虚拟为几个若干逻辑网络，且这些虚 拟化的逻辑网络是相互独立的。 华为科技园区解决方案 7 ? ? ? ? VLAN1VLAN2VLAN1VLAN2 ? ? ? ? VLAN1VLAN2VLAN1VLAN2 L3? L2? MPLS MPLS MCEMCE VLAN技术可以有效解决二层隔离 的需求，而对于三层终结业务隔离则需 要在网络三层边界和数据区边界部署 ACL，根据隔离要求设定策略控制，限 制企业之间的访问权限。 采用VLAN+ACL方式隔离业务有如 下特点： 部署简单，容易理解，特别适合小 型园区网络。 采用VLAN+ACL实现业务隔离，对网 络设备功能要求不高，有利于企业 降低采购成本。 MPLS VPN+VLAN或者MPLS VPN+MCE+VLAN方式 MPLS L3VPN组网方式灵活、可扩展性好，并能够方便地支持MPLS QoS和MPLS TE，因此得到越来 越多的应用，通常会在汇聚层部署MCE来配合完成隔离。 要限制不同部门之间的业务互访，控制部门的资源访问权限。主要采用VLAN、ACL、VPN等技术，从 逻辑上对网络资源进行隔离区分。逻辑隔离方式不但简化了网络的复杂性和维护规模，而且从业务的 角度看，网络层次明显，结构清晰，维护简便。 2) 解决方案 VLAN+ACL隔离方式： VLAN是将一个物理的LAN在逻辑上划分成多个广播域（多个VLAN）。同一VLAN内的主机间可以 直接二层通信，而VLAN间不能直接互通。采用VLAN，可以实现不同用户共享LAN设施，同时保证各 自的网络二层隔离信息安全。 ? ? ? ? ?A?B? ACL ACL ACLACLACLACL 华为科技园区解决方案 8 3) 方案特色 充分利用数据中心资 源，有效隔离。 部署灵活，服务器应 用分三种场景：公共、独 享、对外应用。 通过MPLS VPN的路由 发布实现访问控制。 采用MPLS VPN+VLAN或者MPLS VPN+MCE+VLAN方式隔离业务有如下特点： 采用私有路由表实现 业务隔离，不同的VPN 处在不同的转发表项 中，逻辑结构清晰， 维护简便。 资源利用率高、扩展性 强，可以容纳的VPN数 量很大，同一VPN用户 很容易扩充。特别适合 大中型园区网络。 ? ? ? ? VPN3 im:c ex:c VPN1 im:a ex:a VPN2 im:b ex:b VPN1 ? ? im:a,b ex:a,b VPN2 ? ? im:a ex:a VPN3 DMZ? im:c ex:c MPLS PEPE MPLS VPN支持灵活的访问控 制策略，可以实现灵活的组网 方式，如Extranet组网方式、 Hub&Spoke组网方式，更容易满 足企业对业务多样性隔离部署 的需求。 4.4 企业之间数据访问方案 1) 网络需求 企业经常会访问科技园区网所租用的数据中心，需要有效隔离企业之间访问权限，避免交叉互访。 2) 解决方案 数据中心服务器根据应用情况可以分为： 公共服务器：为不同企业或者不同安全级别 用户组提供公共的应用服务。 独享服务器：专门为一个企业或者相同安全 等级用户组提供独享的应用服务。 DMZ服务器：为Internet用户提供Web、Email 等Internet增值服务。 MPLS L3VPN可以通过RT属性控制路由的发 布、选择，从而实现灵活的组网方式。简单的 隔离可以通过VLAN划分进行。 华为科技园区解决方案 9 5. 科技园区安全网络解决方案 科技园区安全形势严峻，垃圾邮件、黑客攻击、病毒蠕虫等通过互联传播，对科技园区网络的 安全构成严重威胁。华为安全网络解决方案针对Internet出口、科技园区域、远程访问等威胁严重区 域，提出了一体化安全网络平台。 方案特点： 边界安全：重点关注园区出口，对物理分区间、业务分区间进行隔离或进行访问控制，保证分区 的安全。 上网行为管理：监控上网行为，防止触犯法律法规，优化控 制网络流量合理配置。 内网防护：防御内部局域网络由于ARP欺骗导致网络大 规模断网事故。 用户终端安全：提供终端用户的认证、访问策略控 制、权限管理等。 远程接入安全：通过安全加密的隧道进行远程访问，保 障远程用户的信息安全。 ? ?IPSec/SSL VPN ?: ?IDS/IPS ?: ACL? DHCP? ARP? IP? ARP? DHCP? MAC? ?: ?NAC? ? ? ? ? ? ? ?A?B? 华为科技园区解决方案 10 6. 科技园区无线解决方案 员工需要在任意时间、任意地点，能够更加便利地访问各种网络资源，华为无线网络解决方案，实 现无线与有线的融合，布网灵活，充分满足会议室、办公室等科技园区各种场合的无线接入的需要。 方案特点： 有线无线一体化认证、一体化管理，业务 畅通无阻碍。 集成/独立AC配合多种AP，一体化平台，满 足各种场景的覆盖需求。 全新802.11n的WLAN网络，更高带宽，兼 容802.11 b/g用户接入。 交换机提供PoE功能，为AP供电，简化AP的 布放。 PoE? PoE? PoE? ? ? ? ?AC ?AC WS6000? WA600? S5700/3700/2700/1700 AR3200/2200/1200 S9300 S7700 ? APP Server DHCPDNSTSM ? ? 华为科技园区解决方案 11 7. 科技园区网语音及UC通信 建设IP语音通信系统面临的挑战是如何在IP网络基础上，既可以保护原有投资和用户使用习惯， 又可以让企业的语音业务和数据业务在同一张IP网络上协调运作，同时可以满足IP语音通信后续的发 展及用户数量的扩容需求。 统一通信UC（Unified Communication）是 指，把计算机技术与传统通信技术统一一体 的新通信模式，融合各种终端与传统通信网络 在一个网络平台上，实现电话、传真、数据传 输、音频会议、呼叫中心、即时通信等众多应 用服务。统一通信不仅是网络的融合，而且是 应用的融合。 ? IP? ? AR3260 AR2240AR2220AR1220AR200 ?1000? ?500?200?32?SME(8) E1 E1 E1 FXO PBX FXS IAD FXO PBX PC ? ?IP?PC?IP?PC?IP?PC 华为科技园区解决方案 12 方案特点： 设备利旧： 利用企业的IP网络承载企业的语音通信业 务，最大程度发挥IP网络的承载能力；对于企业 原来通过E1接口接入到运营商PSTN网络的TDM PBX设备，通过E1接口接到企业的AR设备上，达 到充分利用TDM PBX设备。 降低通信成本： 企业用户通过企业内部的IP网络进行语音 通信，企业内员工的长途话费与本地话费降到 零。 丰富企业通信手段： IP语音通信系统相对于传统的语音通信系 统，可以很好的支持各种增值业务， 如：一号 通业务，可以通过号码绑定，使客户不会错过 任何一个商务电话。 提供沟通效率：将电话、传真、电话会 议、即时消息、短消息等各种通信方式整合在 一起。 UC? DBeConsoleUC serverDconfServerWSIServerPCIP? AR 3200/2200/1200 AR 3200/2200/1200 AR 3200/2200/1200IP PBXIP PBX AR 3200/2200/1200AR 3200/2200/1200 VoIP? UC client DMZ ? ?1 ? PC IP? UC client ?PC IP? UC