園區網絡
構建無所不聯、隨心體驗的園區網絡
隨著雲時代的到來,數位化正在深刻改變企業的生產和運營方式。新興業態如智慧園區、智能醫療、掌上金融和電子政務等應運而生,為企業帶來了更多的發展機遇。這些新型業務需要更快速、更穩定、更自由的網絡支持,以滿足其日益增長的需求。高速穩定、靈活可擴展、安全可靠、管理監控完善、故障備份及支持新興技術等是構建新型園區網絡的重要要求特點。在構建園區網絡時,我們致力於根據客戶需求和預算選擇最適合的網絡設備和解決方案,以打造適應業務需求的園區網絡,幫助企業實現數位化轉型,迎接未來的挑戰。
1. 網絡架構總體說明
為了方便網絡管理,園區網絡通常按照功能或業務進行分層分區設計,園區內部網絡包括終端層、接入層、匯聚層、核心層、出口區,園區外部的其他園區、分支、出差員工等通過Internet或專線與園區內部實現互通。
各個分層模塊在網絡中的作用如下:
終端層:包含園區內的各種終端設備,例如PC、筆記本電腦、印表機、傳真、POS話機、SIP話機、手機、攝像頭等。
接入層:為終端用戶提供園區網接入功能,是園區網的邊界。接入層通常由乙太網交換機組成。對於某些終端,可能還要增加特定的接入設備,例如無線接入的AP設備等。
匯聚層:將眾多的接入設備和大量用戶經過一次匯聚後再接入到核心層,擴展核心層接入用戶的數量,完成數據匯聚或交換的功能。匯聚層通常還作為用戶三層網關,承擔二三層邊緣設備的角色,提供用戶管理、安全管理、QoS調度等各項跟用戶和業務相關的處理。
核心層:園區網的骨幹區域,是園區數據交換的核心,聯接園區網的各個組成部分,如數據中心、匯聚層、出口區等。核心層網絡需要實現帶寬的高利用率和網絡故障的快速收斂。
出口區:園區內部網絡到外部網絡的邊界,內部用戶通過邊緣網絡接入到公網,外部用戶(包括客戶、合作夥伴、分支機構、遠程用戶等)通過邊緣網絡接入到內部網絡。
數據中心區:部署伺服器和應用系統的區域,為企業內部和外部用戶提供數據和應用服務。
DMZ區:通常公用伺服器部署於該區域,為外部訪客(非企業員工)提供相應的訪問業務,其安全性受到嚴格控制。
2. 網絡架構設計原則
園區網絡架構需要遵循的設計原則:
- 層次化設計:每個層可以看作為是園區網內一個具有特定角色和功能的、結構定義良好的模塊,層次化的設計結構,易於擴展和維護,降低了設計的複雜度和難度。理論上,分層架構的層次可以任意多,但在大多數情況下,3個層次(如上面說的接入層、匯聚層和核心層)就足夠了,這樣可以更好地控制網絡規模和網絡質量,同時也方便網絡管理和維護。
- 模塊化設計:每個模塊對應一個部門、功能或業務區域,可根據網絡規模靈活擴展,部門或區域內部調整涉及範圍小,容易進行問題定位。
- 冗餘設計:雙節點冗餘性設計可以保證設備級可靠,適當的冗餘提高可靠性,但過度的冗餘也不便於運行維護。如果無法做好雙節點冗餘設計,對框式的核心交換機或者出口路由器,可以考慮單板級的冗餘,如雙主控板,雙交換網板。另外,關鍵鏈路可以採用Eth-Trunk鏈路實現鏈路級可靠性。
- 對稱性設計:網絡的對稱性便於業務部署,拓撲直觀,便於協議設計和分析。
在實際應用中,網絡架構可以根據網絡規模或業務需要靈活劃分或調整,通常分為三層、二層、單層等多種結構類型。比如,涉及一棟樓的網絡覆蓋只需要接入層和匯聚層夠了,涉及多棟樓的網絡覆蓋很可能需要接入層、匯聚層和核心層。
選擇結構模型的判斷標準主要有兩條:
- 網絡規模(自底向上法):即網絡接入點或用戶數量。
- 業務需求(自頂向下法):主要體現在業務是否需要網絡隔離以及如何隔離。
這兩條標準一般在實際應用中同時採用,相互印證或補充。當兩種標準的判斷結果不相同時,採取就高不就低的原則,選擇層數最多的結果作為統一的最終結果。例如:根據網絡規模來判斷,適合採用二層結構;但根據業務需求來判斷,需要採用三層結構,則最終結果為:園區網應採用三層結構。
下面分別從用戶數量、網絡規模和業務需求三方面給出架構選擇建議。
根據用戶數量
園區網比較常用的是三層和二層結構,適用於普通的大中型園區,單層結構僅用於網絡規模非常小的微小型園區或分支。
園區類型
大型園區
中型園區
小型園區
結構類型
三層結構
三層或二層結構
二層或單層結構
選型說明
用戶規模比較大,或者部門或網絡區域數量眾多。
用戶規模不是很大,業務部門比較多、業務控制關係複雜時採用三層架構,否則可採用二層架構。
網絡用戶規模比較小。
根據網絡規模
根據網絡規模來決定架構的層次,是一種自底向上的設計方法。
根據業務需求
當園區網的多種業務需要進行網絡隔離時,可以直接確定採用三層結構,實現物理隔離。
例如,某公司有研發、生產、財務、人力等多個部門,各部門之間需要進行網絡隔離,要求各部門數據不能直接進行二層訪問。通常各部門之間是業務隔離的,建議每個部門形成一個獨立的匯聚區域,部門內部可以二層互通,不同部門之間不能直接互通。如果部門之間有業務互訪的需求,則需要進行嚴格控制。通過在核心層設備上部署ACL來進行訪問控制。
3. 網絡架構解決方案
大型園區網絡
大型園區網絡解決方案需具有高度的擴展性、安全性和靈活性的特點,以滿足多個建築物內1000終端以上的接入管理能力,並支持多業務虛擬網絡的構建。在大型園區網絡解決方案中,可採用典型的接入—匯聚—核心三層架構,同時結合SDN和VxLAN技術,實現多業務虛擬網絡的構建。通過SDN技術,可實現對網絡的集中管理和控制,提高網絡的靈活性和自適應能力。而VxLAN技術則可以擴展數據中心網絡,實現多用戶環境下的虛擬化網絡服務。
針對不同典型場景如高教園區、政務辦公園區、大企業總部園區等,可以採取以下措施:
- 高密度無線覆蓋:利用多個無線接入點實現大範圍、高密度的無線覆蓋,滿足園區內全無線辦公用戶的需求,提升用戶體驗。
- 安全防護機制:部署完善的安全防護設備和策略,保障網絡的安全性和數據的機密性,特別適用於政務辦公園區等對安全要求較高的場景。
- 超寬帶寬支持:提供大容量、高速率的網絡連接,滿足多業務虛擬網絡的需求,支持大規模數據傳輸和處理。
通過以上方案的實施,可以極大提升全無線辦公用戶的體驗,提高企業生產效率,同時滿足大型園區網絡對於超寬、安全、低碳智能網絡的需求,為企業的未來發展奠定堅實基礎。
中型園區網絡
中型園區通常採用二層結構,根據網絡規模和業務需要,也可以採用三層結構。
當網絡接入點比較多,需要設置多個匯聚點時,可以採用三層結構。如新建辦公大樓,每層一個弱電間,可以作為一個匯聚點,整棟樓採用三層結構,設置一個核心層;當有不同的業務隔離要求時,如部門之間相互隔離,需要為每類業務或部門單獨設置一個匯聚點時,可以採用三層結構。