1、-_项目编号: 华为网络整体解决方案华为整体网络解决方案_36 - 2目 录1 概述 .32 企业网络建设设计原则 .43 华为产品解决方案 .63.1 整体架构设计 .63.1.1 总体网络架构 .63.1.2 有线网络解决方案 .73.1.2.1 核心层网络设计 .73.1.2.2 汇聚层网络设计 .73.1.2.3 接入层网络设计 .83.1.3 数据中心解决方案 .83.1.4 无线网络解决方案 .83.1.4.1 无线网络的建设需求 .93.1.4.2 无线网络解决方案 .113.2 高可靠性设计 .143.2.1 网络高可靠性设计 .143.2.2 设备高可靠性设计 .143.2.
2、2.1 重要部件冗余 .143.2.2.2 设备自身安全 .153.3 安全方案设计 .163.3.1 园区网安全方案 总体设计 .163.3.2 园区内网安全设计 .173.3.2.1 防 IP/MAC 地址盗用和 ARP 中间人攻击 .173.3.2.2 防 IP/MAC 地址扫描攻击 .183.3.2.3 广播/组播报文抑制 .203.3.3 园区网边界防御 .203.3.4 园区网出口安全 .213.3.5 无线安全设计 .223.3.5.1 无线局域网的安全威胁 .233.3.5.2 华为无线网络的安全策略 .234 设备介绍 .254.1 Quidway S9300 系列交换机 .
3、254.2 Quidway S7700 系列交换机 .324.3 Quidway S5700 系列交换机 .374.4 无线控制器 WS6603.44华为整体网络解决方案_36 - 31 概述企业园区网络承载企业所有 IT 基础设施和企业所有上层软件应用,对一个企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视,传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中,还是在公司的咖啡厅、待客室,今天的用户都需要方便地获取各种网络服务。一个典型的企业园区网络通常由楼宇办公网络、数据中心、Internet 出口、以将这四部分互联起来的主干网络组成,其中办公网络可分为有线网络和
4、无线网络。在规划与建设一个企业园区网络的时候,这些部分都要充分考虑。 同时,企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问题,如何构建一个保障企业未来 510 年扩展,同时兼顾设备的投资保护的企业园区网络,困扰着每一位企业 CIO。 华为企业园区网解决方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性,可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业园区网络。 华为整体网络解决方案_36 - 42 企业网络建设设计原则在网络建设项目中,我们应该遵循以下设计原则:1) 合理性、整体性原则系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的
5、需求是系统建设的首要原则。 深入调研,全力做好网络与信息系统安全检测、监测和认证的需求分析,这是系统成败的关键; 充分考虑已有资源(软硬件设备及人员)合理利用,避免出现不必要的浪费; 系统建设尽可能模拟国内外最常用的几种网络应用模式。 系统建设要有一定的前瞻性。在网络建成后的 3-5 年之内,不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平,避免技术环境过于超前造成投资浪费。2) 标准化原则为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性,应建立一个开放的、遵循国际标准的网络系统。 建设的方案要科学、正确、严谨、且现实可行; 采用的先进技术
6、应是成熟的、经过实践证明是成功的技术; 选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品3) 先进性原则系统建设应充分考虑网络通信技术和互联网技术的发展,建设是循序渐进的,初期重点应在网络基础环境和基本系统上: 系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境; 系统实现采用先进的网络技术、网络安全检测技术。4) 安全可靠性原则华为整体网络解决方案_36 - 5本系统具有特殊性,因此安全保密性非常复杂。系统要有极强的自我保护能力。 选用具有 C2 安全级或 B1 安全级的系统软件平台; 配置功能齐全、可视化程度高的网管系统,对网络运行情况进行实时监督和控制; 采
7、取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。5) 可管理性原则随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控和维护,以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护,本方案将提供先进而完善的网络管理系统。这样,即方便网络管理员的工作,减轻了劳动强度,也提高了网络系统的管理程度。6) 灵活、可伸缩性原则为适应因特网和互联网络技术的发展,系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外,在网络系统的设计过程中,还需要考虑整个网络系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求,又能满足今后整个计算机系统的发展需要。 应用软件
8、设计要采用结构化和模块设计方法,使系统逻辑结构清晰、易读,在功能的划分和设计时,使各模块尽可能相对独立、减少相关性以易于扩充、维护和修改。 网络系统要具有异种设备的异种网络的互联互通能力,以达到保护已有资源并能与其他信息系统交流信息的目的。7) 绿色节能原则随着数据中心的不断壮大,数据中心的电费不断增长,目前,通信/IT 设备节能是降低能耗的基础,采用底能耗的设备是节能减排最主要的途径。华为整体网络解决方案_36 - 63 华为产品解决方案3.1 整体架构设计3.1.1 总体网络架构整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则,以及考虑到技术的先进
9、性、成熟性,并采用模块化的设计方法,组网图如下所示:网络架构整个网络的设计方案采用层次化、模块化的设计思路,按照接入层、汇聚层、核心层和出口层进行网络设备设计部署,通过模块化或者购买单独设备的方式提供 WLAN AC 控制器,在汇聚层交换机,提供防火墙、负载均衡器等增值业务功能,满足企业日益增长的业务需求。整个网络的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接华为整体网络解决方案_36 - 7入核心交换机,交换机之间采用 TRUNK 链路保证链路级可靠性。3.1.2 有线网络解决方案整个网络层次建议采用业界成熟的三层
10、架构:接入、汇聚和核心,最后企业园区通过出口层网络设备(路由器或交换机)连接到外网通过。这种分层的网络架构,可以保证根据的业务需求,分别对不同层次进行扩容。3.1.2.1核心层网络设计核心层交换机部署在园区核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层,应该在提供大容量、高性能 L2/L3 交换服务基础上,能够进一步融合了硬件 IPv6,可为园区构建融合业务的基础网络平台,进而帮助用户实现 IT 资源整合的需求。所以建议核心层采用双机冗余备份的方式构造,消除单点故障,设备的关键部
11、分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G 链路互联,达到高带宽、高转发性能的效果。本次建议采用华为的 S9300 高性能交换机构造核心层,实现高性能的骨干网络。华为 S9300 支持大容量、高转发性能,完全能够满足各网络的数据转发。3.1.2.2汇聚层网络设计汇聚层交换机的重要性也是比较高的,一般部署在楼宇独立的网络汇聚机柜中,汇聚园区接入交换机的流量,一般提供三层交换机功能,汇聚层交换机作为园区网的网关,终结园区网用户的二层流量,进行三层转发。当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关,能够承载校园园区融合
12、业务的需求。根据需要,可以在汇聚交换机上集成增值业务板卡(如防火墙,负载均衡华为整体网络解决方案_36 - 8器、WLAN AC 控制器)或者旁挂独立的增值业务设备(如 WLAN 盒式 AC 等),为园区网用户提供增值业务。汇聚层与核心层共同组建成骨干网络,所以汇聚设备的性能要求也是比较高的,建议采用 10G 的链路互联,达到万兆骨干网络。汇聚交换机需要提供高密度的 GE 接口,汇聚接入交换机的流量,通过10GE 接口接到核心交换机,推荐使用 S9300 系列交换机作为园区汇聚层交换机。3.1.2.3接入层网络设计接入层交换机一般部署在楼道的网络机柜中,接入园区网用户(PC 机或服务器) ,提
13、供二层交换机功能,也支持三层接入功能(接入交换机为三层交换机)。提供网络的第一级接入功能,一般完成简单的二层交换,安全、Qos 都位于这一层。对于园区网的接入层设备,建议采用千兆二层接入的方式,应该具有线速二层交换、IRF 智能弹性堆叠技术以及高级 QoS 策略等功能。3.1.3 数据中心解决方案数据中心的设计目标是实现高冗余、高带宽、高安全性、高可靠性等目的。数据中心内的网络设备主要是:核心交换机、核心防火墙、核心路由器、负载均衡设备。核心交换机的主要功能是连接服务器,因此必须考虑企业未来的业务增长,核心交换机必须具有很好的扩展性,随着以后网络的扩展,必须具有多个插槽,以便以后网络扩展的时候
14、能够增加网络模块。由于核心交换机在整个网络中具有十分重要的地位,因此核心交换机必须具有电信级的可靠性和稳定性,核心网络对数据的快速转发速度要求很高,因此核心交换机需要具备高容量的交换带宽和包转发速率。我们建议采用华为的 S7700 系列高性能交换机,采用双机双电源。可实现万兆或者千兆接入,实现数据中心高转发性能的效果。并且可以通进扩展防火墙模块等方面,实现数据中心的安全。华为整体网络解决方案_36 - 93.1.4 无线网络解决方案随着以太网的广泛应用,因特网的日益普及,以及移动终端的不断增加,人们对移动 IP 接入的需求迅速增长。无线局域网 WLAN(Wireless Local Area
15、Network )作为有线以太网的延伸,一定程度上满足了这种需求。 由于无线网络的部署灵活性高,所以受到很多用户的青睐,整个无线网络,WLAN 解决方案可以运行在现有的有线企业网络的基础上,也可以采用一个独立的网络。它为园区提供了具有部署方便性、安全性、可扩展性的无线网络,让用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务。我们建议采用华为的无线解决方案,在核心网络中部署一套无线控制器,无线 AP 接入到接入层交换机上,各无线 AP 通过无线控制器统一管理。从而实现易维护、易管理。3.1.4.1无线网络的建设需求在无线网络建设中,为了解决大规模部署情况下的统一配置、调整问题,以
16、及射频的智能管理问题,现在无线网络建设普遍都采用了瘦 AP 建网模式。瘦 AP 的另一个好处是实现了三层漫游环境下避免重新认证,从而使漫游切换时间小于 50ms。这对于企业的移动业务,尤其是对切换时间要求最苛刻的语音业务意义重大。然而,随着无线网络的发展,一些新的需求也逐渐变得越来越强烈。主要有以下几个方面:华为整体网络解决方案_36 - 10稳定问题:由于 WLAN 网络的组网设计包含无线控制器、接入交换机、无线接入点等大量设备,在大部分情况下,还需要通过以太网解决供电问题,所有这些环节都会影响校园无线网络的稳定性;同时由于无线信号的传播深受环境影响,多径等问题导致无线信号在不同方向上存在非
17、常复杂的衰减现象,实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以如何实时根据环境动态调整无线接入点的信道、发射功率等也是经常困扰无线校园管理人员的难题。安全问题:由于无线网络的特殊性,园区无线用户的安全问题就更加突出。对无线网络的用户来说,所有有线网络存在的安全威胁和隐患都同样存在。同时,任何不可信的无线设备可以在信号覆盖范围内进行网络接入的尝试,一定程度上也加剧了无线用户所面临的安全隐患。无线网络的安全问题已经不再是单一的物理层安全,也包括了用户接入安全、网络层安全、设备安全、安全管理等多个层面上,如何能使企业无线用户在使用网络时能够像使用有线网络一样安全、可靠,正逐渐成为无线企业网络建设所关注的核心。
