园区网典型组网架构及案例实践

园区网典型组网架构及案例实践

园区网络基本概念

园区网络是限定区域内，连接人与物的局域网络

• 园区网络通常只有一个管理主体，如果有多个管理主体，通常被认为为多个园区网络

园区网络使用的典型局域网技术包括遵循IEEE 802.3 标准的Ethernet 技术 和遵循IEEE 802.11 标准的Wi-Fi 技术

园区网络典型架构

园区网络典型层次和区域：

• 核心层：是园区网骨干，是园区数据交换的核心，联接园区网的各个组成部分，如数据中心、管理中心、园区出口等
• 汇聚层：处于园区网的中间层次，完成数据汇聚或交换的功能，可以提供一些关键的网络基本功能，如路由、 QoS、安全等
• 接入层：为终端用户提供园区网接入服务，是园区网的边界
• 出口区：园区内部网络到外部网络的边界，用于实现内部用户接入到公网，外部用户接入到内部网络。一般会在此区域中部署大量的网络安全设备来抵御外部网络的攻击，如IPS [intrusion prevention system，入侵防御系统]、Anti-DDoS设备、Firewall等
• 数据中心区：部署服务器和应用系统的区域，为企业内部和外部用户提供数据和应用服务
• 网络管理区：部署网络管理系统的区域，包括SDN控制器，无线控制器，eLOG [日志服务器] 等，管理监控整个园区网络

小型园区网络典型架构

• 小型园区网络特点：
  • 用户数量较少：小型园区网络应用于接入用户数量较少的场景，一般支持几个至几十个用户
  • 仅单个地点：网络覆盖范围也仅限于一个地点
  • 网络无层次性：网络不分层次结构
  • 网络需求简单：网络建设的目的常常就是为了满足内部资源互访

中型园区网络典型架构

中型园区网络特点：

• 规模中等：中型园区网络能够支撑几百至上千用户的接入
• 使用场合最多
• 功能分区：
  • 中型网络引入了按功能进行分区的理念，也就是模块化的设计思路，但功能模块相对较少
  • 一般根据业务需要进行灵活分区
• 一般采用三层网络结构：核心、汇聚、接入

大型园区网络典型架构

大型园区网络可能是覆盖多幢建筑的网络，也可能是通过WAN连接一个城市内的多个园区的网络。一般会提供接入服务，允许出差员工通过VPN等技术接入公司内部网络。

• 大型园区网络特点：覆盖范围广、用户数量多、网络需求复杂、功能模块全、网络层次丰富

典型园区网络建设流程

园区网络项目生命周期

规划与设计

• 设备选型、物理拓扑、逻辑拓扑、使用技术与协议等

部署与实施

• 设备安装、单机调测、联调测试、割接并网等

网络运维

• 日常维护、软件与配置备份、集中式网管监控、软件升级等

网络优化

• 提升网络的安全性、软件与配置备份、提升网络的用户体验等

小型园区网络设计

基础业务设计：IP地址设计

业务IP地址：业务IP地址是服务器、主机以及网关的IP地址

• 网关IP地址推荐统一使用相同的末位数字
• 各业务IP地址范围要清晰区分，每一类业务终端IP地址连续、可聚合
• 建议使用掩码为24位的IP地址段

管理IP地址

• 二层设备使用VLANIF地址作为管理IP地址，建议网关下的所有二层交换机使用同一网段

网络设备互联IP地址

• 互联IP地址推荐使用30位掩码的IP地址，核心设备使用主机地址较小的IP地址

基础业务设计：路由设计

中小型园区网络的路由设计包括园区内部的路由设计、园区出口与Internet/广域设备之间的路由设计

园区内部的路由设计：主要满足园区内部设备/终端的互通需求，并且可以与外部路由交互。由于中小型园区的网络规模比较小，网络结构也比较简单

• AP设备：通过DHCP分配IP地址后默认会生成一条缺省路由
• 交换机、网关设备：通过静态路由即可满足需求，无需部署复杂的路由协议

园区出口的路由设计：出口路由设计主要满足园区内部用户访问Internet和广域网的需求。出口设备与 Internet或者WAN连接时，建议在出口设备上配置静态路由来满足需求。

基础业务设计：VLAN设计

• VLAN编号建议连续分配，以保证VLAN资源合理利用
• VLAN划分需要区分业务VLAN、 管理VLAN和互联VLAN
• 最常用的划分方式是基于接口的方式

基础业务设计：IP地址分配方式设计

1. 出口网关设备： WAN侧接口的IP地址由运营商进行分配，可以通过静态IP地址、 DHCP、 或者PPPoE方式分配，对于出口网关的IP地址需要提前与运营商沟通获取
2. 服务器、特殊终端设备建议采用静态IP地址绑定方式分配
3. 用户终端：用户办公用PC、IP电话等设备建议通过在网关设备上部署DHCP Server后，通过DHCP方式分配

WLAN组网设计

根据AC和AP的IP地址情况，以及数据流量是否流经AC，可将组网划分为：

• 直连二层组网、旁挂二层组网、直连三层组网、旁挂三层组网

WLAN数据转发方式设计：WLAN中的数据包括控制报文和数据报文

• 控制报文通过CAPWAP隧道转发
• 用户数据报文分为隧道转发、直接转发

可靠性设计：

• 端口级别的可靠性：为了增加接入交换机与汇聚交换机之间的可靠性，同时为了增加链路带宽，采用以太网链路聚合技术
• 设备级别的可靠性：可以采用iStack或者CSS技术

安全设计

1. 流量管控

   • 允许部门之间的流量互访，但不允许访问Internet
   • 访客可以访问Internet但不能访问园区内部网络
   • 可以用过traffic-policy、traffic-filter等技术完成内外网隔离，通过NAT控制内部网络访问Internet

2. DHCP安全

   • 在园区网中，经常会出现有员工私接带DHCP的无线路由器，导致内网地址混乱，出现地址冲突、无法上网等情况。一般会在接入交换机使能DHCP Snooping防止这种情况

3. 网络管理安全

   • 当使用Telnet或WEB等方式对设备进行网络管理时，可以通过ACL技术，仅允许固定的用户登录管理
   • 对于集中式网管，SNMPv3增加了身份验证和加密处理，可以大大提高网管的安全性

运维管理设计

• 传统设备管理

  • 保证网络管理员与设备IP可达的情况下，可以通过Telnet、WEB以及SSH等方式对设备进行管理
  • 当网络中设备较多时，可部署基于SNMP协议的统一网管软件进行网络的运维与管理

• 基于iMaster NCE平台管理

  • 除了基于SNMP的传统网管之外，也可采用iMaster NCE平台进行网络的管理和运维

小型园区网络部署与实施

项目的部署与实施需要按照一定流程进行，内容包括：

• 方案制定、设备安装、网络调试、割接并网、转维培训、项目验收

配置方案：

1. 网络设备之间物理线路连接，配置链路聚合，同时添加接口描述
2. VLAN配置
3. IP地址配置
4. IP地址分配方式配置
5. 路由配置
6. 网络管理配置
7. 网络出口配置
8. WLAN配置
9. 安全相关配置

小型园区网络调试

小型园区网络运维

项目上线运行之后，就进入到了运维阶段，常见的运维手段包括：

• 设备环境检查、设备基本信息检查、设备运行状态检查、业务检查、告警处理

当网络达到一定规模，可以采用网络管理软件进行管理和运维，提升效率

小型园区网络优化

通过网络优化，能够提升网络的可靠性、健壮性，更好的支撑企业业务的发展。常见的优化方案包括但不限于：

• 设备性能优化，如升级硬件设备、更新设备软件版本等
• 网络基础优化，如网络架构优化、路由协议调整等
• 业务质量优化，如针对语音、视频业务的优先转发等

应从网络需求出发，结合实际情况制定适合的优化方案