随着网络和信息系统应用的迅速发展,园区网承载了越来越多的内容,一个优秀的网络可以明显的提升企业的经营管理水平和生产效率,成为园区信息流的神经系统。传统的园区网建设是由业主或租住企业自建,运营商通常只提供园区或企业出口的线路租用。
目前很多园区业主或入住企业自建的园区网络仍然采用粗放的建设和维护模式,缺少统一规划,网络变更受短期需求驱动,变动频繁,复杂度增加,故障率上升,维护成本增加。这也给运营商带来了新的市场机会,可以及时介入园区网络的精细化运营。随着技术进步和运营能力提升,电信运营商目前已经可以为园区提供更多的服务和资源,提升用户的忠诚度,也通过ICT服务获得更多的收益,加快ICT战略转型的节奏。
从园区网络应用类型的角度可以把园区划分成三类,共享型、独占型、公众混合型。
共享型园区内有多家独立的法人,园区入住的企事业单位需要相对独立的IT系统,也需要公共的IT资源,可以共同使用一张物理网络。例如开发区、软件园、工业园、CBD、政务中心、高教区等通常都可以建设成为共享型园区。
独占型园区包括酒店、医院、度假村、大中型企业园区等,通常只有一个法人或者多个法人有统一的领导者。
公众混合型园区包括校园、机场、各类场馆等,这些场所既有大量公众客户,又有企业私有IT系统,所以称为公众混合型。
不同类型的园区在建设园区网的过程中需要采用不同的网络方案,商业模式也有所不同。共享型园区和混合型园区都适合电信运营商进行园区内部的网络建设和运营,独占型园区则可以参与IT系统代建代维的方式与园区业主合作。本文以讨论共享型园区和公众混合型园区的网络建设方案为主。
数字化园区包含的内容非常丰富,包括基础数据网络以及各类IT应用系统、多媒体通信系统等,各子系统的内容如下图所示。
电信运营商可以充分发挥网络资源优势充分参与以网络为核心的园区信息平台的建设。网络的接入和管理属于基础服务业务。安全服务、无线接入以及依托于数据中心的应用服务可以作为园区网的增值业务。
当多个企事业单位共用一个园区网络时,需要对网络的访问权限进行灵活的划分和管理。共享型园区和混合型园区内很多不同的公司/部门/群组在同时使用网络,通常各自的办公和生产业务需要与其他公司业务隔离,并限制外部人员的访问权限。例如一个软件园内入住了很多研发型企业,这些企业共用园区网络,共用基于SAAS技术的OA软件和进销存管理软件,共享园区视频监控系统。出于保密和安全性的要求,不能允许园区内的其他企业访问某一企业内部的网络,网络需要在逻辑上进行隔离和划分。园区内部的各企业独立建设网络并不是一个好的方式,经常导致网络重复建设、缺乏管理、安全策略难部署、无法提供统一的应用服务等问题,用户在网络投资、建设和运维、管理方面的负担不断增加。网络的虚拟化技术很好地解决了网络的逻辑隔离和访问控制的问题。
网络的虚拟化技术有很多种,包括整网逻辑隔离技术、设备的一对多虚拟化,多对一的虚拟化,网络互联点对点VPN接入,网络远程多点接入VPN技术等。传统的VLAN划分也是网络逻辑隔离技术的一种,可用于二层网络的逻辑隔离,但无法用于大型的三层网络。MPLS L3VPN逐渐成为网络虚拟化的主流技术,可支持大型园区网络的整网虚拟化,具备组网方式灵活、扩展性好、支持Qos等优点,每一个虚拟网络可以独立规划路由,并运行路由协议实例。例如开启BGP/MPLS VPN之后可以利用BGP在骨干网上传播VPN的私网路由信息,用MPLS来转发VPN业务流。
在设备层面利用IRF2.0虚拟化技术实现横向整合,在网络层面利用MPLS VPN逻辑子网技术实现纵向虚拟化。通过虚拟化技术的组合应用,实现了端到端的虚拟化,包括网络的核心层、汇聚层、接入层,以及园区内部数据中心访问、internet接入、广域网互联等各部分网络资源都可以实现逻辑上的独立访问和控制。
虚拟化园区网络中,用户的接入方式包括局域网有线接入、广域网接入、远程VPN接入、无线接入等,通常的接入方式是局域网交换机有线接入。随着无线应用成为园区网络建设的热点,用户将会更多通过无线局域网(WLAN)接入到园区网络中。通过接入控制能够保证网络访问的安全和接入用户正确获得访问相关资源的权限。H3C的EAD认证系统可以对通过认证的用户动态下发VPN和对应的资源访问和使用权限。园区内企业的员工在公共会议室仍然可以获得与固定工位上相同的网络访问权限,企业扩张或园区内搬迁调整的过程中,不必对网络做任何调整,就可以获得恰当的网络访问权限。具体的实现过程是,用户在接入网络时,需要经过802.1x认证。用户与接入交换机连接后,在通过认证之前,交换机的受控端口属于非授权状态,端口被关闭,此时用户不能访问网络资源。用户通过身份认证后,端口进入授权状态,并通过认证服务器下发受控端口的所属VLAN和安全策略,用户只能访问所属VLAN和安全策略下的网络资源。对于园区核心采用MPLS VPN构建的网络,接入交换机(作为CE)的VLAN与汇聚(作为PE)交换机的VPN进行关联绑定,实现全网端到端的逻辑隔离和虚拟化。通过中央服务器和客户端的配合,还可以监控接入用户的安全状态,拒绝非法接入网络,防止终端ARP欺骗和攻击,进一步加强了整网的稳定和安全。
对于无线方式,用户通过无线AP接入无线网络,因为Fit AP模式下,AP只是将用户的802.11MAC报文进行CAPWAP隧道封装,透传给无线控制器AC,因此无线用户访问网络资源的流量是通过AC进行转发和控制的。此时可以在无线控制器AC上为每个用户分配不同的VLAN和安全策略。
H3C园区虚拟化解决方案是一种真正的面向应用网络架构设计方案,该方案能够帮助电信运营商实现和园区业主/入住企业的双赢,为用户带来的好处包括:
u 降低网络投资、减少重复建设。避免了业务、数据物理隔离需要重复建设、应用服务器、安全设备重复采购的缺点,提高了整体资源的利用率;
u 端到端的业务安全隔离。通过接入访问控制、MPLS VPN隔离、应用虚拟化技术为用户业务提供端到端的安全隔离,同时能够实现灵活的互访和网络扩展。结合H3C虚拟化数据中心,实现一体化的园区网虚拟化解决方案。
u 终端接入灵活、安全。认证客户端能够杜绝非法终端接入网络,并且让合法终端在任意位置接入网络均获得相同的VPN归属和访问权限。方便做到灵活办公和公用办公,真正实现网络虚拟化。
u 降低管理难度、提高管理效率。通过iMC专业管理平台对整网资源进行统一的管理和部署,提高管理效率。
(详细内容略)
以上方案为协会会员单位报送,如有对接需求,请联系CCIA智慧城市创新解决方案研究中心。(或点击“我要询价”,留下您的需求信息)
H3C园区网解决方案