欧美综合国产精品99久久,日韩一区二区三在线,宅男视频色版APP

企業(yè)園區(qū)網(wǎng)絡硬件案列

發(fā)布時間：2022-03-25

智能園區(qū)網(wǎng)絡建設方案案例

**通訊成立于1997年，是全球領先的通訊與信息解決方案及服務提供商，當前廣州科學城總部研發(fā)基地由于園區(qū)網(wǎng)絡設備老舊需進行替換和改造，既有的老舊園區(qū)網(wǎng)絡采用傳統(tǒng)的組網(wǎng)方式，存在多個業(yè)務系統(tǒng)，沒有按照信息安全規(guī)定要求進行系統(tǒng)間路由隔離，部門調(diào)動時，網(wǎng)絡無及時進行匹配，耗時長，響應速度慢，對于網(wǎng)絡中用戶權限控制，一般采用用戶認證加授權 VLAN 或 ACL 的方式實現(xiàn)用戶訪問資源或用戶間的隔離，存在一定風險，此外網(wǎng)絡的業(yè)務部署，一般都是采用手工配置命令行，或通過 SNMP 來配置。都是基于設備語言，效率低，業(yè)務上線速度慢，同時現(xiàn)網(wǎng)所運行的設備即將或者已經(jīng)達到廠家建議使用年限，基于以上，**通訊對廣州總部的園區(qū)網(wǎng)絡進行數(shù)字化改造。

**通訊廣州科學城總部研發(fā)基地

1.1.2 園區(qū)網(wǎng)絡面臨的問題

1. 1. 1. 一網(wǎng)無法多用

企業(yè)各業(yè)務系統(tǒng)的終端實際部署位置在一起，這就很難再用傳統(tǒng)的獨立建網(wǎng)方式實現(xiàn)網(wǎng)絡隔離，要求能做到物理網(wǎng)絡共享，邏輯上隔離，降低成本。

1. 1. 1. 隔離效果差

不同權限的用戶有混坐的情況，如研發(fā)人員、外包人員等，且人員位置經(jīng)常變動，不同權限的用戶間也有權限控制的需求，而傳統(tǒng)的 VLAN 或 ACL 的隔離方式管理工作量巨大，策略數(shù)量也是大部分網(wǎng)絡設備所無法承受的。

1. 1. 1. 業(yè)務部署慢

園區(qū)部署新業(yè)務，按照傳統(tǒng)的業(yè)務開通方法，需要在大量設備上配置大量命令，耗時耗力。

1.2 解決思路

華為的解決思路是：

1. 1. 業(yè)務跟網(wǎng)絡解耦

在物理網(wǎng)絡（underlay)之上，創(chuàng)建邏輯上的疊加網(wǎng)絡（overlay），以此實現(xiàn)業(yè)務跟網(wǎng)絡的解耦，從而實現(xiàn)在不改變基礎網(wǎng)絡的情況下，實現(xiàn)一網(wǎng)多用和業(yè)務的靈活部署。

1. 1. 用戶身份跟網(wǎng)絡 IP/VLAN 解耦

基于用戶身份的訪問控制，包括權限控制和優(yōu)先級等。用戶身份由用戶接入網(wǎng)絡時下發(fā)，跟 IP/VLAN 無綁定關系，實現(xiàn)業(yè)務隨行。

1. 1. 控制器自動化配置

網(wǎng)絡中部署集中的控制器，基于上面兩個解耦技術，將園區(qū)網(wǎng)絡按照用戶管理視角抽象，只需關注人、人的身份、虛擬網(wǎng)絡，圖形化的配置虛擬網(wǎng)絡的業(yè)務和業(yè)務隨行策略，實現(xiàn)業(yè)務的快速部署。

1.3 總體網(wǎng)絡架構

1.3.1 總體網(wǎng)絡設計原則

園區(qū)網(wǎng)通常是一種用戶高密度的非運營網(wǎng)絡，在有限的空間內(nèi)聚集了大量的終端和用戶。同時對于園區(qū)網(wǎng)而言，注重的是網(wǎng)絡的簡單可靠、易部署、易維護。因此在園區(qū)網(wǎng)中，拓撲結構通常以星型結構為主，較少使用環(huán)網(wǎng)結構（環(huán)網(wǎng)結構較多的運用在運營商的城域網(wǎng)絡和骨干網(wǎng)絡中，可以節(jié)約光纖資源）。

基于星型結構的園區(qū)網(wǎng)設計，通常遵循如下原則：

層次化

將園區(qū)網(wǎng)絡劃分為核心層、匯聚層、接入層。每層功能清晰，架構穩(wěn)定，易于擴展和維護。

模塊化

將園區(qū)網(wǎng)絡中的每個部門或者每個功能區(qū)劃分為一個模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進行問題定位。

冗余性

關鍵設備采用雙節(jié)點冗余設計；關鍵鏈路采用Trunk方式冗余備份或者負載分擔；關鍵設備的電源、主控板等關鍵部件冗余備份。提高了整個網(wǎng)絡的可靠性。

安全隔離

園區(qū)網(wǎng)絡應具備有效的安全控制。按業(yè)務、按權限進行分區(qū)邏輯隔離，對特別重要的業(yè)務采取物理隔離。

可管理性和可維護性

網(wǎng)絡應當具有良好的可管理性。為了便于維護，應盡可能選取集成度高、模塊可通用的產(chǎn)品。

1.3.2 園區(qū)網(wǎng)總體邏輯架構

華為SD-Campus園區(qū)網(wǎng)絡的邏輯架構如下圖所示

1. 1. AC-Campus

云管理控制器，負責 overlay 網(wǎng)絡的業(yè)務管理和自動化部署。

1. 1. IAE

負責認證用戶管理、業(yè)務隨行策略配置和自動化下發(fā)。

1. 1. eSight

負責園區(qū)及分支設備零配置開局、無線定位、設備 underlay 配置、設備監(jiān)控等。

1. 1. Route Node

路由出口節(jié)點，園區(qū)需要到數(shù)據(jù)中心或者 Internet 時通過此節(jié)點轉發(fā)；如果路由出口節(jié)點是防火墻時，FW Node 可以復用此節(jié)點。

1. 1. FW Node

安全節(jié)點，需要做 L4-L7 高級安全策略（如 IPS、AV 等）時需要部署該節(jié)點。

1. 1. Border Node

L3 網(wǎng)關設備，用于 Fabric 網(wǎng)絡和第三方網(wǎng)絡間三層轉發(fā)，用戶跟第三方網(wǎng)絡流量從這里出入 VXLAN 隧道。

1. 1. Edge Node

用戶的 VXLAN 網(wǎng)關，可能是 L2 網(wǎng)關也有可能是 L3 網(wǎng)關，接入用戶的流量從這里進入 VXLAN 網(wǎng)絡。Edge 節(jié)點同時也作為無線控制器，無線流量經(jīng)由 CAPWAP 隧道到達 Edge 節(jié)點，Edge 節(jié)點剝 CAPWAP 隧道后進入 VXLAN 網(wǎng)絡。

1. 1. Transparency Node

Fabric 網(wǎng)絡的透傳節(jié)點，不感知 Fabric。透傳節(jié)點不需要支持 VXLAN，可以是傳統(tǒng)三層交換機。

1. 1. Access Node(Wired)

有線接入節(jié)點，用戶從這里接入有線網(wǎng)絡并最終接入 Fabric 網(wǎng)絡，可以和 Edge Node

合一。

1. 1. Access Node(Wireless)

無線接入節(jié)點，用戶從這里接入無線網(wǎng)絡，并最終接入 Fabric 網(wǎng)絡。無線接入節(jié)點不需要支持 VXLAN，傳統(tǒng)的無線接入節(jié)點（AP）都可以。

1.3.3 園區(qū)網(wǎng)總體物理架構

對應邏輯架構，園區(qū)網(wǎng)絡的物理架構如圖2-2所示。

園區(qū)網(wǎng)絡的物理架構

核心層

在核心層部署兩臺核心交換機S12708，集群方式部署提高可靠性，同時S12708作為VxLAN網(wǎng)絡分布式三層網(wǎng)關。核心層與匯聚層10G互聯(lián)。

核心交換機旁掛兩臺防火墻，實現(xiàn)園區(qū)內(nèi)部業(yè)務訪問隔離、安全管控等功能。

匯聚層

改造后的園區(qū)最終有3個匯聚節(jié)點，分別位于A、B、E三棟樓；每個匯聚點部署兩臺匯聚交換機S7706，通過集群方式提高可靠性，同時S7706作為VxLAN網(wǎng)絡分布式二層網(wǎng)關。匯聚層與接入層千兆互聯(lián)。

接入層

部署接入交換機，滿足園區(qū)內(nèi)有線終端接入需求。建議每4臺接入組成一個堆疊組，提高可靠性的同時節(jié)省了光纖資源。

數(shù)據(jù)中心區(qū)

部署2臺數(shù)據(jù)中心萬兆接入交換機CE6856HI和6臺數(shù)據(jù)中心千兆接入交換機CE5855EI，實現(xiàn)服務器的萬兆及千兆接入需求。同時數(shù)據(jù)中心接入交換機支持SDN功能演進。

網(wǎng)絡管理區(qū)

在網(wǎng)管區(qū)部署esight網(wǎng)管系統(tǒng)，實現(xiàn)全網(wǎng)設備可視化管理；

部署園區(qū)SDN控制器Agile Controller-Campus，實現(xiàn)基于園區(qū)Vxlan架構下的業(yè)務隨行、業(yè)務快速部署等SDN特性；

該組網(wǎng)結構具有如下特點：

以核心節(jié)點為“根”的星型分層拓撲，架構穩(wěn)定，易于擴展和維護。
各部門和功能分區(qū)模塊清晰，模塊內(nèi)部調(diào)整涉及范圍小，易于進行問題定位。
雙節(jié)點冗余設計，關鍵鏈路均采用Trunk鏈路，保證網(wǎng)絡的可靠性。
支持各種業(yè)務終端接入，一張IP網(wǎng)絡承載所有業(yè)務。
支持分支接入、員工遠程接入、合作伙伴接入、外部用戶訪問等各種外聯(lián)場景。

1.4 SD-Campus 網(wǎng)絡原理

1.4.1 Underlay 網(wǎng)絡原理

Underlay 網(wǎng)絡，access 節(jié)點為二層設備，對流量做二層轉發(fā)。Access 節(jié)點可以為堆疊，或者環(huán)網(wǎng)。但是 Access 到 Edge 必須是樹形組網(wǎng)，因一個 Access 節(jié)點只能到一個 Edge 做認證。

Underlay 其他節(jié)點都是三層設備，對流量做三層轉發(fā)，Underlay 的路由可以部署

OSPF/ISIS/BGP 等。

Edge 設備跟 Border 設備間可以用 ECMP 冗余組網(wǎng)，提高三層網(wǎng)絡可靠性及增加通道帶寬。

1.4.2 Overlay 網(wǎng)絡原理--數(shù)據(jù)平面

1.4.2.1 VXLAN 三層網(wǎng)關部署

VXLAN 三層網(wǎng)關按部署方式的不同，可以分為集中式網(wǎng)關和分布式網(wǎng)關。

圖2-7 VXLAN 集中式三層網(wǎng)關

集中式網(wǎng)關場景下，所有跨子網(wǎng)的流量都要到三層網(wǎng)關上轉發(fā)，轉發(fā)路徑不是最優(yōu)，網(wǎng)關流量處理壓力大。、

圖2-8 VXLAN 分布式三層

分布式網(wǎng)關場景下，同一個 edge 節(jié)點既做二層網(wǎng)關，也做三層網(wǎng)關。同一個 Edge 節(jié)點上不同子網(wǎng)流量通信直接在 Edge 上轉發(fā)，轉發(fā)路徑優(yōu)。

分布式網(wǎng)關場景下，各 Edge 節(jié)點可以提供相同的網(wǎng)關 MAC 地址和 IP 地址，用戶位置移動后，網(wǎng)關 IP 和 MAC 不變，用戶不感知實際接入網(wǎng)關的位置變化。

1.4.3 SD-Campus 自動化原理

1.4.3.1 Underlay 自動化

Underlay 自動化通過 eSight 部署零配置開局實現(xiàn)。

1.4.3.2 Overlay 自動化

AC-Campus 作為 overlay 自動化功能的核心，實現(xiàn)將用戶業(yè)務語言到網(wǎng)絡具體配置的自動翻譯與下發(fā)。

圖2-13 Overlay 自動化

首先，需要在控制器上創(chuàng)建站點并加入設備，為后續(xù)業(yè)務編排做準備。
預留全局資源，包括 VLAN 和子網(wǎng)，后續(xù) VN 網(wǎng)絡所用的 VLAN 和子網(wǎng)從配置的全局資源中分配。
Fabric 網(wǎng)絡的管理。
- 首先，創(chuàng)建 Fabric，通常一個站點創(chuàng)建一個 Fabric，Fabric 中加入設備并標識角色（Border/edge/access），如果是 border 或 edge，需要指定環(huán)回口地址，用于

VTEP 地址。

- 其次，配置策略聯(lián)動，指定對應的控制設備和接入設備及通信所用 IP 地址。
- 再次，指定 Fabric 跟外部網(wǎng)關的連接，用于虛擬網(wǎng)絡跟外部的通信。

- 最后，指定 DHCP server 地址，在 edge 上做 DHCP relay。
VN 網(wǎng)絡的管理。
- 首先創(chuàng)建 VN 網(wǎng)絡。
- 接著配置 VN 所關聯(lián)的子網(wǎng)。
- 最后指定哪些端口可以接入該 VN 網(wǎng)絡及這些端口認證的方式。

1.4.3.3 策略自動化

策略自動化的核心是 IAE，IAE 完成安全組定義，安全組策略的定義與下發(fā)，用戶認證后安全組授權。

圖2-14 5W1H 情景感知的安全組上下文定義

圖2-15 策略自動化過程

1.5 方案亮點

1.5.1 基于VxLAN的SDN多業(yè)務融合網(wǎng)絡

華為 SD-Campus 解決方案具有如下優(yōu)勢：

自動化

華為 SD-Campus 方案中，overlay 網(wǎng)絡的配置通過 AC-Campus 控制器集中配置，自動化下發(fā)，極大的減少額配置工作量及配置出錯的概率，將大中型園區(qū)網(wǎng)絡開局周期單位從”周”提升至”天”。

設備利舊，保護客戶投資

現(xiàn)網(wǎng)客戶網(wǎng)絡存在大量接入層設備，華為 SD-Campus 方案 VXLAN 起在匯聚層，對于接入交換機及 AP 可利舊，減少客戶向 SD-Campus 遷移的投資。

轉發(fā)面同步安全組，性能高

傳統(tǒng)園區(qū)的策略隨行方案中，有多個策略執(zhí)行點的情況下，安全組信息無法在設備間同步。跨策略執(zhí)行點的流量需要到防火墻上執(zhí)行策略，防火墻跟 IAE 之間進行安全組的信息同步，性能差。

在 SD-Campus 方案中，源安全組在 VXLAN 報文中攜帶，到目的策略執(zhí)行點查目的安全組，都是在轉發(fā)面實現(xiàn)，沒有控制面的同步過程，性能高。

分布式網(wǎng)關，漫游流量無迂回

傳統(tǒng)園區(qū)跨 AC 漫游時，網(wǎng)關網(wǎng)段不一致，只能三層漫游，流量需要通過 CAPWAP

繞回原 AC 轉發(fā)，轉發(fā)路徑長，故障點多，性能差。

SD-Campus 方案中，隨板 AC 作為分布式網(wǎng)關，用戶從任意 AC 接入，其網(wǎng)關地址都不變。AC 間漫游為二層漫游，流量無迂回，轉發(fā)路徑短，故障點少，性能高。

1.5.2 業(yè)務隨行

以用戶、業(yè)務和體驗為中心的策略管理

通過在Agile Controller上基于用戶組、應用識別來定義相應權限策略、訪問控制策略、業(yè)務流策略以及體驗相關的用戶/業(yè)務優(yōu)先級、帶寬、VPN資源策略等等。不僅實現(xiàn)用戶組間以及用戶組到資源組之間的權限控制，實現(xiàn)靈活并精細化進行用戶權限控制的同時，減少設備資源ACL消耗。同時，基于設備的應用識別，可以實現(xiàn)針對特定用戶、特定業(yè)務的帶寬、優(yōu)先級保障，解決了傳統(tǒng)園區(qū)用戶移動辦公IP地址變化體驗無法保障的問題。

全網(wǎng)統(tǒng)一的用戶體驗保障

無論用戶在分支、園區(qū)總部、出差遠程接入，無論用戶訪問企業(yè)內(nèi)網(wǎng)資源、互聯(lián)網(wǎng)資源，在VPN接入網(wǎng)關、互聯(lián)網(wǎng)出口防火墻、分支出口設備等影響體驗的關鍵執(zhí)行點上，都有相應的帶寬和QoS策略，保障用戶一致的業(yè)務體驗。對于VIP用戶的某些特定業(yè)務流量，可以進行優(yōu)先調(diào)度，并給予充分的帶寬保證。例如：提供VPN網(wǎng)關自動優(yōu)選、VIP用戶優(yōu)先接入。當用戶在遠程VPN接入，VPN客戶端會自動選擇時延最短的最優(yōu)網(wǎng)關作為接入網(wǎng)關。而當某網(wǎng)關的可用資源已經(jīng)被在線用戶耗盡無法接入新用戶時，網(wǎng)關可以自動強制部分普通用戶下線，為VIP釋放系統(tǒng)資源，保證VIP用戶的優(yōu)先接入和高優(yōu)先級業(yè)務的體驗。

1.5.3 質(zhì)量感知iPCA

設備級監(jiān)控可以7*24開啟監(jiān)測，隨時查看設備質(zhì)量。
使用網(wǎng)絡級監(jiān)控可以對第三方或者非敏捷設備，以及非管轄區(qū)域的網(wǎng)絡質(zhì)量進行監(jiān)測。通過監(jiān)測敏捷設備的端口，可獲知非敏捷設備區(qū)域的丟包情況。
使用路徑逐段檢測提供業(yè)務流全路徑的分段監(jiān)測結果，快速定位故障方向、故障鏈路、故障設備。
網(wǎng)絡級監(jiān)控支持同一個業(yè)務流多點對多點的測量。
通過eSight網(wǎng)管拓撲批量使能，無需下發(fā)復雜配置。
由eSight網(wǎng)管提供監(jiān)測結果可視化圖表界面，方便管理員對設備運維

1.5.4 零配置部署

可視化

對于網(wǎng)管人員提供全圖形的操作界面，從網(wǎng)絡規(guī)劃、配置生成、拓撲糾錯、部署過程展示實現(xiàn)端到端的可視化操作。

安全性

實現(xiàn)了端到端全部署流程的安全性，包括：使用白名單功能，過濾非法設備；網(wǎng)管本地保存了所有待部署設備的配置，這些配置由網(wǎng)管實現(xiàn)了自動加密壓縮保存，避免意外泄露；在待部署配置文件傳遞到待部署設備的過程中，通過使用SFTP加密傳輸通道保證了安全性。

配置文件易生成

通過在網(wǎng)管上選擇功能參數(shù)最終形成接入層交換機的配置模板，將配置差異設置為變量，并針對不同的接入層交換機分別進行賦值，即可最終批量生成每個接入層交換機單獨的配置文件。

縮短部署時間

利用零配置部署方案，可以從端到端流程上縮短部署時間，從原來數(shù)天才能完成的人工部署，數(shù)小時就可以實現(xiàn)。

部署規(guī)模大

傳統(tǒng)的交換機部署方案中，部署的規(guī)模都受限于管理設備的性能，通常規(guī)模幾十到上百臺。通過網(wǎng)管的介入，可以同時建立多個部署任務，同時部署規(guī)模輕松上千。

統(tǒng)一集中管理

部署管理服務建立在網(wǎng)管上，提供統(tǒng)一的部署策略和操作界面，并和部署后的設備管理流程有機結合，實現(xiàn)了網(wǎng)管從規(guī)劃到部署，設備運行管理，批量版本升級，故障設備替換等全生命周期管理。

1.6 設備清單

本次**通信園區(qū)SDN網(wǎng)絡改造項目--敏捷園區(qū)網(wǎng)絡的清單如下：

序號	配置名稱	數(shù)量
1	科學城園區(qū)網(wǎng)絡設備
1.1	S12708 核心交換機	2
1.2	S7706 A棟匯聚交換機	2
1.3	S7706 E棟匯聚交換機	2
1.4	S5732-H24S6Q B棟匯聚交換機	2
1.5	S5720-52P-LI-AC 接入交換機	148
1.6	接入層光模塊+堆疊線纜	810
1.7	eSight Network 網(wǎng)管系統(tǒng)	1
1.8	Agile Controller-Campus 園區(qū)網(wǎng)SDN控制器服務器	3
1.9	Agile Controller-Campus HW V100R003	1
2	科學城數(shù)據(jù)中心網(wǎng)絡設備
2.1	S6730-H48X6C數(shù)據(jù)中心萬兆接入交換機	2
2.2	S5731-S48T4X 數(shù)據(jù)中心千兆接入交換機	6
3	科學城安全設備
3.1	USG6580E 業(yè)務防火墻	2
3.2	終端準入系統(tǒng)iVanti（3年維保）	2000
4	原廠規(guī)劃服務
4.1	SDN網(wǎng)絡規(guī)劃設計與實施服務	1
4.2	數(shù)通工程技術應用支持_原廠支持服務	1
總計