华为科技园区解决方案

华为斜技园区丄一一解决序案HUAWei华为技术有限公司1导言华为科技园rx解决方案、1千G技园区已经成为了国民经济的重要支撑和国家创新体系的重要组成，一般由科科技园区管理委员会和园区内的各种企业、大学、科研院所等构成.科技园区内 的企业往往以智力密集型为主.园区的信息化能力直接影响到园区健康、迅速的发展。如 何更好的向园区内企业提供优质的上网服务和IT业务，吸引更多企业和单位入住园区，是 园区管委会所濡考虑的重要问题。华为拥有多年的科技园区网络建设和实践经验，可以为 您提供完整的网络解决方案；2.科技园区网络面临的挑战 和发展趋势2.2发展趋势网络需要协同，网络部件间的协同、网络间的协同.网络和应用的协同能有效屏蔽了网络复杂 性，让网络更加智能，让网络变得透明.华为科技园2S解决方案2.1问题和挑战企业业务全球发展使得企业承載网从“传 统的有线局域网”演变为“泛在的业务承取 网”，分支机构、家庭办公、商旅办公，多种 业务要求随时、随地，任意终端自由接入.随肴物联网时代的到来，科技园区网不再 是IT专用网络，越来越演变成一张“企业物联 网”，多样化的海塑终端将接入到这张网络中 去。IT系统到边缘，物联网将企业业务延伸到 更广，监控、门禁、仪表、传感器成为网络的 触角业务的多样化承載必然对网络的质塑以及 安全性提出了全新的要求，网络不再是简单的 管道，而要辅助业务系统实现完美体验.企业信息依赖度提升。数据集中后的信 息实时性、灾备问题、多渠道共享能力是关注 点，需要企业信息集中化。越来越复杂的ICT系统如何依靠现有的人力 和能力维护已经成为企业CIO和园区管委会很关 注的一个问题，这也要求园区网络的易维护性 成为必须需求.阶段二：网络间相互协同无论何时.无论何地.无论是 谁.采用何种终端.无论是那 种应用.安味上各种业务系统对网络有其独特的要求. 各种网络的安全边界也是客观存在的. 网络间的信息涼动需要得要淸细化的僧理阶段三：网络和应用相互协同让应用触手可及 协同屏蔽了网络复杂性.让网络更加智能，让网络变的透明。网络需要一揽子服务：企业业务的扩张、商业模式的创新更加依赖信患化平台支撑.一揽子的服 务给客户带来网络建设成本、效率和体验上的最佳平衡.让网络像供水、供电一样.随需而用。企业竞争加剧售策路和利愼式需要有与时俱进 第知识培训体系需要有稳定离效 的运维组织需要对未来技术 变单深刻連解需要有丰宙的网络 系统构建经验需要有全球化的交付和部吉能力一揽子服务让网络就像 供水、供电.随需而用2.3华为ONE NET解决方案华为公司提出0NE NET解决方案，是基于标准化、协同.华为科技园区解决方案31. ONE NET架构是整合产品、方案和服务于一体 的完整体系，为各个行业应用构建坚实的基础 网络平台。2. ONE NET以开放标准的产品为基础，针对各种 应用场景，为企业用户提供网络部件间、网络 与网络间、网络与应用间的全方位协同解决方揽子的园区网络解决方案.案.同时针对不同用户的差异化需求，华为 携手合作伙伴一起为用户提供端到端的一揽 子网络建设服务。3. ONE NET通过标准化的产品、全方位的协同 解决方案和一揽子的服务，屏蔽网络的复杂 性.让用户的体验就像一张网。让用户体 盼像一张网ONE NET屏蔽网络 复杂性顶级的战略合作.携手共KBT戦全球化的渠道布局.交付能力华为自己全球T网络的实践经診HUAVVB on一揽子为适应不同企业不同场景.肴重向您推荐以下几个部分.更为详细的方案请参考华为园区网络解 决方案：科技园区基础网络解决方案虚拟科技园区网解决方案 横行虚拟化 纵向虚拟化 企业之间网络隔离企业之间数据访问方案 科技园区安全网络解决方案 科技园区无线解决方案 科技园区网语音及UC通信3科技区基础网络解决方案科技园区网通常是一种用户高密度的非运营网络.在有限的空间内聚集了大塑的终端和用户。同 时对于科技园区网而言.注重的是网络的简单可靠、易部署、易纷护因此.在科技园区网中拓扑结 构通常以星型结构为主：基于开放式网络架构.采用分层组网方案、模块化设计：企业可根据自身规 模选择二层或三层网络结构.选择合适的应用模块：通过Internet、PSTN、WAN与园区外相连.促进 内外协作，实现良性互动与发展。NE40EInternetWAN .OSN680QMJI E :；园区出口 :设备管理芒型悬心 :IP+IT统一管理/严管理吕兰1/ S570V37C0；7OG管理中心；:核心层 一 _ 一 一 “ j _ 一S9300 S7700据中心/摩务潘群ServersWebDNSEmailAPPSDB汇聚层M-5683T4华为科技罚rx解决方案接入层企业A R32OO/22OO/120O 企业B| 企业X WA6XX专用网络MA5621 ；：PSTN应用层应用层包含了园区内的各种终端设备，例如PC、 笔记本电脑、打印机、传真、POTS话机、SIP话 机、手机、摄像头等等.接入层负责将各种终端接入到园区网络，通常由 以太网交唤机组成.对于某些终端，可能还要 增加转定的接入设备，例如：无线接入的AP设 备、POTS话机接入的IAD等。汇聚层汇聚层将众多的接入设备和大量用户经过 一次汇聚后再接入到核心层.扩展核心层接入 用户的数虽.汇聚层通常还作为用户三层网关 的位垃.承担L2/L3边缘的角色.提供用户管 理、安全管理、QoS调度等各项跟用户和业务相 关的处理.核心层方案特点:华为科技园艮解决方案5核心层负责整个园区网的高速互联.一般 不部署具体的业务.核心网络需要实现带宽的 高利用率和故障的快速收敛.园区出口园区岀口是园区网络到外部公网的边界， 园区网的内部用户通过边缘网络接入到公网. 外部用户（包括客户、合作伙伴、分支机构、 远程用户等）也通过边缘网络接入到内部网 络.数据中心/服务器区部署服务器和应用系统的区域，为企业内 部和外部用户提供数据和应用服务。网络管理区对网络、服务器、应用系统进行管理的区 域.包括故障管理、配置管理、性能管理、安 全管理等. 以核心节点为“根”的星型分层拓扑，架 构稳定，易于扩展和维护.各企业和功能分区模块清晰，模块内部调 整涉及范围小，易于进行问麵定位.双节点冗余设计，关键链路均采用Trunk链 路，保证网络的可靠性。支持各种业务终端接入，一张IP网络承载所 有业务。支持分支接入、员工远程接入、合作伙伴 接入、用户访问等各种外联场景.4虚拟科技区网解决方案科技园区网通过在核心层、汇聚层以及接入层部署集群、堆邀、eth-trunk和MPLS VPN技术实现横 向虚拟化和纵向虚拟化.解决传统企业网的二层环路和可靠性等问题.同时实现企业内部不同部门、 不同业务的隔离4.1横行虚拟化D网络需求科技园区或者企业的核心层，要求高可靠 性、高扩展性、高转发能力.2）解决方案横向虚拟化即在科技园区网的核心层、汇 聚层、接入层分别采用集群/堆叠技术.将多台 物理设备虚拟化成单台逻辑设备达到简化网 络结构、简化网络协议部署、提高网络可靠性 和可管理性的目的。Internet园区出口核心层N WACSSCSS/iStack 企业A ；企业B ；、其他区域,r事:.Stack（闍朗国I：国翱企业A ；：、企业B 其他区域；3）方案特色部署简化：网状的科技园区网络形成了一个非常简洁的架构.网络各层之间通过捆绑的单逻辑链路互联，消除了环路.不再需要在接入层设计复杂的生成树协议.也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。路由简化：端到端堆叠/集群部署，使科技 园区网络形成了无环、树状、辐射型的网络拓 扑结构，极大简化了运行维护管理工作。网络 中数据流的宏观路径上与简化后的整体网络拓 扑具有一致性.业务流在网络中的走向清晰明 确.同时，每个堆叠/集群节点本身的扩展（如增加该节点设备）既不会改变企业网络的逻辑 结构.也不会影响上下层网络的协议交互。管理简化：横向整合后.原有的多台设备 作为一台设备进行管理，对管理的设备数虽进 行大大的简化，提高对设备管理的效率。4.2纵向虚拟化D网络需求充分利用设备，物理上这些资源是统一、 集中的，同时给多个企业提供不同业务.能够 安全隔离，灵活部署.易于管理。2）解决方案纵向虚拟化就是把网络等硬件设备和应用 服务等都看成统一的资源，通过技术手段和方 案设计，把这套共有的资源虚拟成多套逻辑资 源.供不同的群组/业务使用。虽然在物理上这 些资源是统一、集中的.但对不同的用户/业务 来说，能够使用到的资源和配買的安全/管理策 略可能各不相同。企业网的纵向虚拟化是指对 企业网络中物理网络的逻辑虚拟化。即将一个 物理网络虚拟为几个若干逻辑网络.且这些虚 拟化的逻辑网络是相互独立的.园区出口核心层汇聚层接入层华为科技园肢解决方案3）方案特色接入控制：保证用户接入身 份可靠及安全性 业务逻辑隔离：不同权限企 业业务间相互隔离。资源隔离：不同企业用户 可访问资源的安全隔离。43企业之间网络隔离D网络需求科技园区网络是企业办公业务、生产业务、销售业务的承载体。一方面.企业对园区网络的可靠 性、安全性、扩展性、高性能需求日益提高：另一方面.企业内部部门岀于业务安全隔离的考虑，需要限制不同部门之间的业务互访.控制部门的资源访问权限。主要采用VLAN、ACL. VPN等技术.从 逻辑上对网络资源进行隔离区分。逻辑隔离方式不但简化了网络的复杂性和维护规模.而且从业务的 角度看，网络层次明显结构清晰维护简便.2）解决方案VLAN+ACL隔离方式:VLAN是将一个物理的LAN在逻辑上划分成多个广播域（多个VLAN）。同一VLAN内的主机间可以 直接二层通信，而V3N间不能直接互通。采用VLAN,可以实现不同用户共享LAN设施.同时保证各 自的网络二层隔离信息安全。VLAN技术可以有效解决二层隔离 的需求.而对于三层终结业务隔离则需 要在网络三层边界和数据区边界部署 ACL,根据隔离要求设定策略控制.限 制企业之间的访问权限。采用VLAN+ACL方式隔离业务有如 下特点： 部署简单，容易理解.特别适合小 型园区网络. 采用VLAN+ACL实现业务隔离，对网 络设备功能要求不高，有利于企业 降低采购成本匸园区出口核心层接入层1企业A华为科技园氏解决方案MPLS VPN+VLAN或者MPLS VPN+MCE+VLAN方式VLAN1VLAN12VLAN1 la .2VLAN1VLAN2MPLS L3VPN组网方式灵活、可扩展性好.并能够方便地支持MPLS QoS和MPLS TE.因此得到越来 越多的应用.通常会在汇聚层部署MCE来配合完成隔离采用MPLS VPN+VLAN或者MPLS VPN+MCE+VLAN方式隔离业务有如下特点:采用私有路由表实现 业务隔离，不同的VPN 处在不同的转发表项 中，逻辑结构清晰， 维护简便。华为科技园区解决方案9资源利用率高、扩展性 强.可以容纳的VPN数 塑很大，同一VPN用户 很容易扩充。特别适合 大中型园区网络。4.4企业之间数据访问方案D网络需求企业经常会访问科技园区网所租用的数据中心,2）解决方案数据中心服务器根据应用情况可以分为：公共月艮务器：为不同企业或者不同安全级别 用户组提供公共的应用服务。独享月艮务器：专门为一个企业或者相同安全 等级用户组提供独享的应用服务。MPLS VPN支持灵活的访问控 制策略.可以实现灵活的组网 方式，如Extranet组网方式、 Hub&Spoke组网方式，更容易满 足企业对业务多样性隔离部署 的需求.需要有效隔离企业之间访问权限.避免交叉互访。DMZ服务器：划nterne调户提供Web、Email 等Internet增值服务.MPLS L3VPN可以通过RT属性控制路由的发 布、选择，从而实现灵活的组网方式.简单的 隔离可以通过VLAN划分进行.VPN3 imx ex:c园区出口核心层汇聚层接入层VPN1VPN2im:bex:bim:aex:aVPN1 内部数据区. 公共服务器 im:a,b ex:afbVPN2 内部数据区. 独享服务器 im:aexiaVPN3DMZ服务器 im:cex:c3）方案特色充分利用数据中心资 源，有效隔离。部署灵活，服务器应 用分三种场景：公共、独 享、对外应用.通过MPLS VPN的路由 发布实现访问控制.5科技区安全网络解决方案远程安全： 远程接入控制IPSec/SSLVPN园区出口边界防御： 防火墙.IDS/IPS核心层接入层；部门A部门B华为科技呉ly解决方案科技园区安全形势严峻.垃圾邮件、黑客攻击、病毒蠕虫等通过互联传播.对科技园区网络的 安全构成严重威胁.华为安全网络解决方案针对Internet出口、科技园区域、远程访问等威胁严垂区 域，提出了一体化安全网络平台.ACL流虽控制DHCP服务器欺诈攻击防范ARP欺骗攻击防范IP地址欺骗攻击防范ARP限速功能DHCP限速功能MAC地址表容塑攻击防护能力接入安全：终端安全接入控制(NAC) 用户隔离端口隔离方案特点：边界安全：重点关注园区出口 对物理分区间、业务分区间进行隔离或进行访问控制保证分区 的安全。上网彳亍为管理：监控上网行为，防止触犯法律法规，优化控 制网络流虽合理配置，内网防护：防御内部局域网络由于ARP欺骗导致网络大 规模断网事故。用户终端安全：提供终端用户的认证.访问策略控 制.权限管理等.远程接入安全：通过安全加密的隧道进行远程访问，保 障远程用户的信息安全。6科技区无线解决方案S9300S7700核心交换机AR3200/2200/1200员工需要在任意时间、任意地点.能够更加便利地访问各种网络资源，华为无线网络解决方案.实 现无线与有线的融合.布网灵活.充分满足会议室、办公室等科技园区各种场合的无线接入的需要.华为科技园fx解决方案 PoE交换机WA600 糸列PoE交换机集成式AC独立式ACWS6000系列一体化网管 0APP ServerDHCP DNS方案特点：/有线无线一体化认证、一体化管理.业务 畅通无阴碍 集成/独立AC配合多种AP. 体化平台满 足各种场景的覆盖需求。 全新802.11n的WLAN网络，更高带宽.兼 容802.11 b/g用户接入。 交换机提供PoE功能.为AP供电.简化AP的 布放.61补丁 /病壽TSM 服务器出口路由器7科技区网语音及UC通信建设IP语音通信系统面临的挑战是如何在IP网络基础上.筑可以保护原有投资和用户使用习惯. 又可以让企业的语音业务和数据业务在同一张IP网络上协调运作，同时可以满足IP语音通信后续的发 展及用户数呈的扩容需求。/E1E1FXOAR2240AR2220AR122OAR200IADPC騷IT * ip?s模拟电话 PC IP电话；;PSTNAR3260总部大型(1000)中型(500)中小型(200)小型(32)SME(8):PBX统一通信UC (Unified Communication)是指，把计算机技术与传统通信技术统一一体 的新通信模式，融合各种终端与传统通信网络 在一个网络平台上，实现电话、传真、数据传 输、音频会议、呼叫中心、即时通信等众多应 用服务.统一通信不仅是网络的融合，而且是 应用的融合。UC应用服务器总部AR 3200/2200/1200AR 3200/2200/1200AR 3200/200/1200l区域中心n区域中心1区域中心2AR 3200/2200/1200bvoip系统电话网*模拟电话PC IP电话UC client务豈 服务踣server Dconfterxer /V/SIServer模拟电话PC P电话UC cl entIE)PSTNInternetIntranet模拟电话PC IP电话UC华为科技园(X解决方案3方案特点：设备利旧：利用企业的IP网络承载企业的语音通信业 务最大程度发挥IP网络的承载能力：对于企业 原来通过E1接口接入到运营商PSTN网络的TDM PBX设备，通过E1接口接到企业的AR设备上，达 到充分利用TDM PBX设备.降低通信成本：企业用户通过企业内部的IP网络进行语音 通信，企业内员工的长途话费与本地话费降到丰富企业通信手段：IP语音通信系统相对于传统的语音通信系 统，可以很好的支持各种增值业务，如：一号 通业务.可以通过号码绑定，使客户不会错过 任何一个商务电话。提供沟通效率：将电话、传真、电话会 议、即时消息、短消息等各种通信方式整合在 起.4华为科技灵25解决方案组件位置选用组件组件特点接入交换机S1700系列S2700系列S3700系列支持ACL、QoS、端口限速，有效安全隔离、保障关键业 务质汇聚交换机S5700系列三层千兆交换机.多桂化隔离女全措施，支持NAC,梢 确ACL控制：建议两台堆叠.核心交换机S7700系列S9300系列三层核心框式交换机.多样化隔离安全措施，支持NAC精确ACL控制，内置AC统一调度管理企业出口路由器AR32OO/22OO/12OO 系列NE40E系列LAN/WAN/ADSL2+/G.SHDSL等接口.集成防火墙、IPSec隧 道、语音等功能。eSight企业网专用网络管理系统。终端代理TSM Agent终端安全综合管理软件，它提供了强大的终端安全管理 功能包括身份认证、终端安全状态检杳和修复、终端 用户行为管理、注册资产、接收公告等多种功能.准入服务器TSM Server为企业提供安全接入控制、终端安全管理、补丁管理、 终端用户的行为管理、软件分发和资产管理。APWA603/633/653 系列WLAN关键设备，支持302.11 a/b/g/n,简化网络部署. 自动AC发现和配置.实时管理。ACS9300 SPU插卡WS6603系列无线城域网殛盖、热点覆盖等应用环境的理想接入控制 器.提供大容量、高性能、高可靠性、易安装、易维护的 无线数据控制业务.具有组网灵活、绿色节能等优势=华为技术有限公旬 深圳市龙岗区坂田华为搭地 m： 518129 电话：46 755 28780808www.huawei ccxn版权所有华为技术有限公司2011,保留一切权利，非经华为技术有限公司书面同意，任何单位和个人不得損自摘抄、复制本手册内容的部分或全部.并不得以任何形丈传播:商标声明理、HUAWEI、华为、火是华为技术有限公司的商标或者注册商标。在本手册中以及本手册描述的产品中.出现的其他商标.产品名称、服务名称以及公司名称.由其各自的所有人拥有.免责声明 本文档可能含有预测信息.包括但不限于有关未来的财务.运营、产品 系列、新技术等信息。由于实践中存在很多不确定因素.可能导致实际 结果与预测信息有很大的差别.因此.本文档信息仅供参考.不构成任 何要约或承诺：华为可能不经通知修改上述信息.恕不另行通知。