华为科技园区解决方案

华为科技园区解决方案华为技术有限公司科技园区已经成为了国民经济的重要支撑和国家创新体系的重要组成，一般由科技园区管理委员会和园区内的各种企业、大学、科研院所等构成。科技园区内的企业往往以智力密集型为主，园区的信息化能力直接影响到园区健康、迅速的发展。如何更好的向园区内企业提供优质的上网服务和IT业务，吸引更多企业和单位入住园区，是园区管委会所需考虑的重要问题。华为拥有多年的科技园区网络建设和实践经验，可以为您提供完整的网络解决方案。1.导言华为科技园区解决方案12.科技园区网络面临的挑战和发展趋势2.1问题和挑战企业业务全球发展使得企业承载网从“传统的有线局域网”演变为“泛在的业务承载网”，分支机构、家庭办公、商旅办公，多种业务要求随时、随地，任意终端自由接入。随着物联网时代的到来，科技园区网不再是IT专用网络，越来越演变成一张“企业物联网”，多样化的海量终端将接入到这张网络中去。IT系统到边缘，物联网将企业业务延伸到更广，监控、门禁、仪表、传感器成为网络的触角。业务的多样化承载必然对网络的质量以及安全性提出了全新的要求，网络不再是简单的管道，而要辅助业务系统实现完美体验。企业信息依赖度提升。数据集中后的信息实时性、灾备问题、多渠道共享能力是关注点，需要企业信息集中化。越来越复杂的ICT系统如何依靠现有的人力和能力维护已经成为企业CIO和园区管委会很关注的一个问题，这也要求园区网络的易维护性成为必须需求。2.2发展趋势网络需要协同：网络部件间的协同、网络间的协同、网络和应用的协同能有效屏蔽了网络复杂性，让网络更加智能，让网络变得透明。网络需要一揽子服务：企业业务的扩张、商业模式的创新更加依赖信息化平台支撑，一揽子的服务给客户带来网络建设成本、效率和体验上的最佳平衡，让网络像供水、供电一样，随需而用。阶段三：网络和应用相互协同协同屏蔽了网络复杂性，让网络更加智能，让网络变的透明。让应用触手可及阶段二：网络间相互协同阶段一：部件间相互协同各种业务系统对网络有其独特的要求，各种网络的安全边界也是客观存在的，网络间的信息流动需要得要精细化的管理无论何时、无论何地、无论是谁、采用何种终端、无论是那种应用，互联网移动网固网华为科技园区解决方案22.3华为ONENET解决方案华为公司提出ONENET解决方案，是基于标准化、协同、一揽子的园区网络解决方案。1.ONENET架构是整合产品、方案和服务于一体的完整体系，为各个行业应用构建坚实的基础网络平台。2.ONENET以开放标准的产品为基础，针对各种应用场景，为企业用户提供网络部件间、网络与网络间、网络与应用间的全方位协同解决方为适应不同企业不同场景，着重向您推荐以下几个部分，更为详细的方案请参考华为园区网络解决方案：案，同时针对不同用户的差异化需求，华为携手合作伙伴一起为用户提供端到端的一揽子网络建设服务。3.ONENET通过标准化的产品、全方位的协同解决方案和一揽子的服务，屏蔽网络的复杂性，让用户的体验就像一张网。科技园区基础网络解决方案•虚拟科技园区网解决方案•横行虚拟化»纵向虚拟化»企业之间网络隔离»企业之间数据访问方案»科技园区安全网络解决方案•科技园区无线解决方案•科技园区网语音及UC通信•቉ൈĂ߅۾Ăᄏዩࡼᔢଛຳੰጓᇗ౫ᐽෝါࠎቤఱઓኊཇሾ၉ݽ൒፫ಽෝါቧᇦછᑽ߁ጓᇗᏥᔫ፿ઓᄏዩኊገᎌᆮࢾ঱቉ࡼᏥᆒᔝᒅኊገᎌᎧဟ௩஠࢒ᒀဤ๸ኵᄏᇹኊገᎌཝཆછࡼୣঈਜ਼ݝၞถೆጙಁᔇॲᇗཱུᆀ൥௓ስ৙ၺĂ৙࢟ĂႲኊऎ፿ᓽኯถೆࠅ࢕ਖચݝၞᏥᆒITᇹᄻܤুኊገ࣪ᆚ౶ଆၣܤু࿾రಯஊኊገᎌॕ঍ࡼᆀ൥ᇹᄻ৩୐ளዩખᆐ੝ᔫ૛ۋኊገ࣪ቲጓཋဴ࿾ྜྷዐ௅ܤু߅৖ࡼገႤVRPື܎ᆀ൥আᏭቶཱུ፿ઓᄏዩስጙᐽᆀဵ15ৈਪଔܪᓰછᔝᒅ߅Ꮛࢻ଀ࡼᐵ൒੝ᔫLjቑ၄ৢ፪ཝཆછࡼདྷࡸݚ௜Ăୣঈถೆખᆐᔈ଄ཝཆITᆀ൥ࡼဣୃளዩఎहĂᄻጙࡼޘອᎧຳგଦ৩ࡍਖෝઑᄰဣዩ၀LjෝผᑞဣણஹHUAWEIonHUAWEIێ৛၀ᄰቧᆀପ఼ᆀညޘᆀ0ᓜᆀPC။ᒫ࣡ᒝถ၄૦ࠅঢ໭࿳ስᄿၫ௣ᒦቦਓᎮઑೊᏊཌᆀॊᑽ෣࣡໩ጓᓾᏎਖચࣶ඙ᄏ቏ᔫఱઓਈᇹ਌ಯܪᓰ቏ᄴጙಁᔇ华为科技园区解决方案33.科技园区基础网络解决方案科技园区网通常是一种用户高密度的非运营网络，在有限的空间内聚集了大量的终端和用户。同时对于科技园区网而言，注重的是网络的简单可靠、易部署、易维护。因此，在科技园区网中拓扑结构通常以星型结构为主；基于开放式网络架构，采用分层组网方案、模块化设计；企业可根据自身规模选择二层或三层网络结构，选择合适的应用模块；通过Internet、PSTN、WAN与园区外相连，促进内外协作，实现良性互动与发展。应用层包含了园区内的各种终端设备，例如PC、笔记本电脑、打印机、传真、POTS话机、SIP话机、手机、摄像头等等。接入层负责将各种终端接入到园区网络，通常由以太网交换机组成。对于某些终端，可能还要增加特定的接入设备，例如：无线接入的AP设备、POTS话机接入的IAD等。汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。汇聚层通常还作为用户三层网关的位置，承担L2/L3边缘的角色，提供用户管理、安全管理、QoS调度等各项跟用户和业务相关的处理。InternetPSTNWANNE40EOSN6800S7700/5700S5700/37002700E1000ENE40EAR32002200/1200AR32002200/1200S9300S7700MA5683TS9300/7700/5700S5700/3700/2700/1700AR3200/2200/1200WA6XXMA5621Ꮚཌ߲ా࿸۸਌ಯጓᇗ਌ಯഗ೟ॊᇜ///਌ಯᒦቦ૏௡ށ୻ྜྷށ።፿ށ໩ጓA໩ጓB໩ጓxᓜ፿ᆀ൥ਖ਼ቦށၫ௣ᒦቦ0ॲᇗ໭ཬServersWebDNSEmailAPPSDBIP+ITᄻጙ਌ಯ华为科技园区解决方案4核心层核心层负责整个园区网的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率和故障的快速收敛。园区出口园区出口是园区网络到外部公网的边界，园区网的内部用户通过边缘网络接入到公网，外部用户（包括客户、合作伙伴、分支机构、远程用户等）也通过边缘网络接入到内部网络。数据中心/服务器区部署服务器和应用系统的区域，为企业内部和外部用户提供数据和应用服务。网络管理区对网络、服务器、应用系统进行管理的区域。包括故障管理、配置管理、性能管理、安全管理等。方案特点：以核心节点为“根”的星型分层拓扑，架•构稳定，易于扩展和维护。各企业和功能分区模块清晰，模块内部调•整涉及范围小，易于进行问题定位。双节点冗余设计，关键链路均采用Trunk链•路，保证网络的可靠性。支持各种业务终端接入，一张IP网络承载所•有业务。支持分支接入、员工远程接入、合作伙伴•接入、用户访问等各种外联场景。华为科技园区解决方案54.虚拟科技园区网解决方案科技园区网通过在核心层、汇聚层以及接入层部署集群、堆叠、eth-trunk和MPLSVPN技术实现横向虚拟化和纵向虚拟化，解决传统企业网的二层环路和可靠性等问题，同时实现企业内部不同部门、不同业务的隔离。4.1横行虚拟化1)网络需求科技园区或者企业的核心层，要求高可靠性、高扩展性、高转发能力。3)方案特色部署简化：网状的科技园区网络形成了一个非常简洁的架构，网络各层之间通过捆绑的单逻辑链路互联，消除了环路。不再需要在接入层设计复杂的生成树协议，也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。Ꮚཌ߲ాਖ਼ቦށ૏௡ށ୻ྜྷށ໩ጓA໩ጓB໚ჇཌᎮ໩ጓA໩ጓB໚ჇཌᎮCSSCSS/iStackiStackLAG路由简化：端到端堆叠/集群部署，使科技园区网络形成了无环、树状、辐射型的网络拓扑结构，极大简化了运行维护管理工作。网络中数据流的宏观路径上与简化后的整体网络拓扑具有一致性，业务流在网络中的走向清晰明确。同时，每个堆叠/集群节点本身的扩展（如增加该节点设备）既不会改变企业网络的逻辑结构，也不会影响上下层网络的协议交互。管理简化：横向整合后，原有的多台设备作为一台设备进行管理，对管理的设备数量进行大大的简化，提高对设备管理的效率。2)解决方案横向虚拟化即在科技园区网的核心层、汇聚层、接入层分别采用集群/堆叠技术，将多台物理设备虚拟化成单台逻辑设备，达到简化网络结构、简化网络协议部署、提高网络可靠性和可管理性的目的。华为科技园区解决方案63)方案特色接入控制：保证用户接入身份可靠及安全性。4.3企业之间网络隔离1)网络需求科技园区网络是企业办公业务、生产业务、销售业务的承载体。一方面，企业对园区网络的可靠性、安全性、扩展性、高性能需求日益提高；另一方面，企业内部部门出于业务安全隔离的考虑，需业务逻辑隔离：不同权限企业业务间相互隔离。资源隔离：不同企业用户可访问资源的安全隔离。Ꮚཌ߲ాਖ਼ቦށ૏௡ށ୻ྜྷށ໩ጓA໩ጓB໩ጓNጙᐽᇕಯᆀኋผᆐࣶᐽ൝૷ᆀLjဣሚᆀ൥ৢሱਜ਼ڔཝ৆ಭ4.2纵向虚拟化1)网络需求充分利用设备，物理上这些资源是统一、集中的，同时给多个企业提供不同业务，能够安全隔离，灵活部署，易于管理。2)解决方案纵向虚拟化就是把网络等硬件设备和应用服务等都看成统一的资源，通过技术手段和方案设计，把这套共有的资源虚拟成多套逻辑资源，供不同的群组/业务使用。虽然在物理上这些资源是统一、集中的，但对不同的用户/业务来说，能够使用到的资源和配置的安全/管理策略可能各不相同。企业网的纵向虚拟化是指对企业网络中物理网络的逻辑虚拟化。即将一个物理网络虚拟为几个若干逻辑网络，且这些虚拟化的逻辑网络是相互独立的。华为科技园区解决方案7Ꮚཌ߲ాਖ਼ቦށ૏௡ށ୻ྜྷށVLAN1VLAN2VLAN1VLAN2Ꮚཌ߲ాਖ਼ቦށ૏௡ށ୻ྜྷށVLAN1VLAN2VLAN1VLAN2L3വᎅL2ୣધMPLSMPLSMCEMCEVLAN技术可以有效解决二层隔离的需求，而对于三层终结业务隔离则需要在网络三层边界和数据区边界部署ACL，根据隔离要求设定策略控制，限制企业之间的访问权限。采用VLAN+ACL方式隔离业务有如下特点：部署简单，容易理解，特别适合小•型园区网络。采用VLAN+ACL实现业务隔离，对网•络设备功能要求不高，有利于企业降低采购成本。MPLSVPN+VLAN或者MPLSVPN+MCE+VLAN方式MPLSL3VPN组网方式灵活、可扩展性好，并能够方便地支持MPLSQoS和MPLSTE，因此得到越来越多的应用，通常会在汇聚层部署MCE来配合完成隔离。要限制不同部门之间的业务互访，控制部门的资源访问权限。主要采用VLAN、ACL、VPN等技术，从逻辑上对网络资源进行隔离区分。逻辑隔离方式不但简化了网络的复杂性和维护规模，而且从业务的角度看，网络层次明显，结构清晰，维护简便。2)解决方案VLAN+ACL隔离方式：VLAN是将一个物理的LAN在逻辑上划分成多个广播域（多个VLAN）。同一VLAN内的主机间可以直接二层通信，而VLAN间不能直接互通。采用VLAN，可以实现不同用户共享LAN设施，同时保证各自的网络二层隔离信息安全。Ꮚཌ߲ాਖ਼ቦށ૏௡ށ୻ྜྷށ໩ጓA໩ጓB໚ჇཌᎮACLACLACLACLACLACL华为科技园区解决方案83)方案特色充分利用数据中心资源，有效隔离。部署灵活，服务器应用分三种场景：公共、独享、对外应用。通过MPLSVPN的路由发布实现访问控制。采用MPLSVPN+VLAN或者MPLSVPN+MCE+VLAN方式隔离业务有如下特点：采用私有路由表实现•业务隔离，不同的VPN处在不同的转发表项中，逻辑结构清晰，维护简便。资源利用率高、扩展性•强，可以容纳的VPN数量很大，同一VPN用户很容易扩充。特别适合大中型园区网络。Ꮚཌ߲ాਖ਼ቦށ૏௡ށ୻ྜྷށVPN3im:cex:cVPN1im:aex:aVPN2im:bex:bVPN1ดݝၫ௣ཌLj৛ৢॲᇗ໭im:a,bex:a,bVPN2ดݝၫ௣ཌLjࣖሱॲᇗ໭im:aex:aVPN3DMZॲᇗ໭im:cex:cMPLSPEPEMPLSVPN支持灵活的访问控•制策略，可以实现灵活的组网方