园区网络架构介绍

HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialSecurityLevel:47pt30ptColor::white:LTMediumFonttobeusedbycustomersand:Arial什么是园区网？政府、金融、交通、能源„„电力、石油、制造行业„„学校园网高新科技园、软件园„„园区分类小型园区中型园区大型园区终端用户数量200200-10001000HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidential计算机时代信息时代Page3信息时代需要建设园区网诺兰模型企业信息化发展遵循客观规律的经典模型，用于指导企业IT系统建设，分为6个阶段。1初始2普及3控制系统林立，难以共享4集成整合系统，尽量打通各业务流程5数据管理数据进行统一的规划和应用6成熟IT能完全满足企业发展需求质变eSight园区安全策略：多维接入认证、分权分域管理、文件管理、行为监管园区移动接入：移动办公、泛在移动设备接入、移动安全保障园区智能管理：一站式网管、基于业务的流量监管、快速问题处理阶段能力从第4阶段，IT开始逐步支撑企业发展HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidential企业成长需要建设园区网WAN•3G/4G\xPON\xDSL•UnitizedWLANNEHigh-endRouter•RemoteSecurityAccessiAccess、eSpaceARG3NE40E/NE20ENE40E/NE20EWA603SN/WA603DN/WA633SN灾备中心数据中心分支接入•Integration：voice,data,IPsecInternet•X-WDM•NGDCSwitchS12800S2700/S3700/S5700/S7700/S9300总部园区•CampusSwitch移动办公Page4HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage5园区网设计概述数据中心园区出口其他园区园区外部园区内部分支出差员工合作伙伴核心层网络管理Internet/WAN汇聚层接入层应用层DMZ您的企业可充分利用这些成功设计原则，借鉴成熟案例和方法，建设和优化网络，满足您的业务要求。层次化结构：核心层、汇聚层和接入层，具有稳定性，可扩展性，可靠性。模块化设计：园区出口，数据中心，DMZ，网络管理，分支、园区间、出差员工和合作伙伴灵活访问和互联。高可靠性设计：关键部位冗余架构与可靠故障恢复迅速。虚拟化设计：纵向虚拟化提供丰富的隔离和安全，横向虚拟化简化网络、优化流量、易于管理。整体网络安全设计：防止恶意破坏，保护数据和网络安全。智能网络设计：全网多业务主动和综合管理，实时分析网络健康状况，积极预防，排除故障，减少损失。基于云、物联网的安全，智能化园区HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage6园区基础网络架构InternetWANPSTN出差员工合作伙伴/访客DMZ数据中心/服务器群管理中心分支机构核心层汇聚层接入层应用层部门…部门A部门X专用网络园区出口WebDNSEmailAPPSServersAPPSDBAR3200/2200/1200eSightWA6XXE1000EE1000ENE40ENE40ES9300S7700S9300/7700/5700S5700/3700/2700S5700/3700/2700OSN6800WA6XXAR32002200/1200MA5683TMA5621园区外部园区内部AR3200/2200/1200S9300/5700S5700/3700/2700S3700/2700FWIPS/IDSAPxPonLB核心汇聚接入交换机高端语音路由器HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidential可持续发展的云网络数据中心RackserverBladeserver服务器TORInternet接入层核心层汇聚层存储EOR灾备数据中心WANIP/VPN主数据中心管理中心MainframeBladeserver服务器存储EORMainframe可演进面向“云计算”和“虚拟化”可永续LFR打造无间断，无环，扁平化以太网，IP+光多级灾备可池化资源按需调度，提供多租户服务可视化智能可视网管实现IP&IT统一管理与您共同面对云计算、数据大集中、虚拟化、突发灾难、多租户服务、多系统、多业务对企业的挑战，为您打造可持续发展的云网络数据中心。DWDMPage7HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidential扁平化架构树状多层架构Page8坚强广域网集中管理：业务集中在核心节点，各分支节点只与核心节点互访行业：大中型企业各地分支与总部互联层级管理：业务集中，纵向业务为主，横向业务在同级中心节点完成行业：政府专网两纵间互联；教育网，金融骨干平台纵向行业（电力、能源）上下级单位互联……企业金融交通电力能源教育政府高可靠，立足之本高品质，“高清”体验可视运维，智能管理承载平台架构层级管理、横向协助：分级分域，多业务中心，既要纵向业务隔离又要横行业务互通行业：电子政务网、政府网、广电HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidential融·易分支InternetWANPSTN出差员工合作伙伴/访客分支机构DMZ数据中心/管理中心核心层汇聚层接入层应用层部门…部门A部门X专用网络园区出口WebDNSEmailAPPSServersAPPSDB企业总部3G/4G\xPON\xDSLIPSec/SSLVPN分支机构融·易的远程业务部署融合业务一体化网关：语音、视频、融合通信、增值业务等易于业务资源部署、业务快速发放、状态监控、故障定位、快速恢复融·易的远程网络维护易于远程网络资源统一管理，网络可视化管理，网络流量、网络链路、网络设备状态监控易于远程网络快速安装部署，调试融合一体的接入方式：多类型终端、多种WAN类型上行融·易的分支用户管理融合一体化的远程用户安全：有线无线用户安全一体化易于远程统一的安全策略部署融合多种业务VIP用户权限一致性远程管理IPSecVPNPage9HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage10DMZ设计InternetDMZWANIP/VPNWebDNSEmailproxyAPPS出差员工合作伙伴访客3G/4G\xPON\xDSLIPSec/SSLVPN分支机构数据中心ServersAPPSDBDMZ区是部署对外业务和服务的区域，狭义的DMZ仅对互联网用户提供服务。广义的DMZ区还对内部用户，以及为合作伙伴提供的服务。设置DMZ区是出于安全性和业务便利性的考虑。外部用户可以访问DMZ区的web、ftp等服务，但不能访问到内部的服务。DMZ区放置对外服务的web、ftp、mail服务器，也放置方便内部用户访问Internet的proxy、dns服务器等涉及公网和私网转换主要应用NAT、IPSec/SSLVPN、GREoverIPSec等技术。园区内访问：数据中心-DMZ园区员工-DMZ通过Internet访问分支员工-DMZ出差员工-DMZ合作伙伴-DMZ访客-DMZIPsecVPN通过WAN访问：分支员工-DMZ企业总部HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidential内部服务器区设计InternetDMZWANIP/VPNWebDNSEmailproxyAPPS出差员工合作伙伴访客3G/4G\xPON\xDSLIPSec/SSLVPN分支机构数据中心/服务器群ServersAPPSDB内部服务器区是放置为企业内部提供服务的服务器，对外服务所需的APP和DB服务器，建议放在DMZ，规模达到一定程度需要建设专门的数据中心。内部用户能够造成更大的安全威胁，采取“未经明确允许的就是被禁止的”及“最小授权”的严格安全策略内部服务器区安全部署重点关注内部子分区的隔离，安照企业组织、密级、业务进行子分区划分。各子分区共用的设备,不同部门或业务采用虚拟技术隔离，如VLAN、VPN实例绝秘子分区或业务在物理位置、接入交换机上分开；网络管理、系统管理在物理位置、接入交换机上分开涉及公网和私网转换主要应用NAT、IPSec/SSLVPN、GREoverIPSec等技术。园区内访问：DMZ-内部服务器园区员工-内部服务器通过Internet访问分支员工-内部服务器出差员工-内部服务器IPsecVPN通过WAN访问：分支员工-内部服务器企业总部Page11HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidential分层的星型园区网络架构是基本原则层次化设计：核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和易于维护模块化设计：每一个模块一个部门，部门内部调整涉及范围小，定位问题也容易。冗余性设计：双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护对称性设计：网络的对称性便于业务部署，拓扑直观，便于协议设计和分析。核心层汇聚层接入层部门B部门A其他区域园区出口星型网络：优势：园区网重要的是网络架构简单易维护易部署，环形网络多用于需要节约光纤的网络破环技术：星型不等于不成环，因此环保护协议运行是必须的，有多种全网破环协议，推荐MSTP环形网络的应用场景：并非所有园区网都一定是星型的，特殊情况需要特殊考虑，比如地铁调度网络Page12HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage13二三层分界点设计方案除非没有核心层的小园区网络，否则核心是三层路由这一点业界已经形成共识，原因是二层域不能太大，各部门地址规划独立汇聚还是接入作为分界点有两种方案：方案一：二三层分界即网关设在汇聚设备上，即部门公用网关，采用SuperVlan或者子接口方式进入三层方案二：二三层分界即网关设在接入设备上，部门多个网关，整网没有二层广播域这两种方案各有优缺点，根据实际情况进行部署，选择最适合的企业业务的方案核心层汇聚层接入层部门B部门A其他区域园区出口L3路由L2交换方案一L3路由L2交换方案二HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage14二层接入园区网（推荐方案）业务流程：接入设备仅仅为用户提供二层接入功能，并根据企业具体情况划分VLAN汇聚设备作为二三层网络的分界点，为用户提供三层网关园区接入侧通过MSTP防止网络环路接入层到汇聚层通过SmartLink或者链路汇聚（CSS）保证设备间可靠性通过BFD＋VRRP保证用户网关可靠性园区汇聚、核心、出口均采用三层路由互联，并通过IPFRR做快速路由收敛优点：低成本，接入侧交换机采用二层交换机，保护和节省用户投资满足部门内特殊业务的二层互通需求缺点：接入交换机和汇聚交换机之间存在二层环路风险接入交换机和汇聚交换机之间的链路利用率低上述两个问题,可通过汇聚交换机集群和接入交换机的堆叠技术解决核心层汇聚层接入层部门B部门A其他区域园区出口L3路由L2交换MSTPSmartLink/LinkAggr.BFDforVRRP路由收敛HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage15三层接入园区网业务流程：全网路由结构，接入设备是二三层网络的分界点，接入设备作为终端设备的网关，提供二层终结，三层路由;终端采用SuperVlan或者普通VLAN方式接入网关全网采用IPFRR做快速路由收敛优点：纯三层结构，网络结构简单清晰，不依赖CSS