网络设计原则
园区网通常是在有限的空间内聚集了大量的终端和用户接入的高密度网络。对于园区网而言,看重的是网络的简单可靠、易部署、易维护,需遵循如下原则:
l 条理化原则
将园区网络划分为核心层、接入层等分层架构,每层功能清晰,架构稳固,易于扩展和维护。
l 模块化原则
将园区网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行题目定位。
l 可靠性原则
整套网络体系的可靠性是第一位,应选用主流的并得到广泛应用的着名设备品牌,在体系设计、设备选型、调试、安装等环节严酷实行国家、行业的有关标准及公安机关有关安全技术提防的要求,贯彻质量条例,保证体系的可靠性。
l 安全性原则
网络体系的设备必须知足安全性要求,设备选型不能选试验产品,要选先辈的市场主流产品,要能保证体系不间断运行。对关键的设备、数据和接口应采用冗余设计。网络环境下信息传输和数据存储要看重安全,保障体系网络的安全可靠性。包括物理空间的安全控制及网络的安全控制。必要有完备的安全策略控制系统来实现网络的安全控制。
l 先辈性原则
体系的设计方法和技术路线应吻合当前网络架构将来发展趋势,须充分兼顾需求和技术的发展,须充分考虑与其他体系的连接,建设可扩展的、开放的平台。重要设备须支撑升级演进,软件的设计应先辈天真,便于升级以及与其它体系的互联互控,同时应保证人机界面友爱,易于使用和操作,保证最终结果的优秀。
l 可扩展性原则
随着体系以后的扩展,用户容量将会赓续扩大,新的营业功能的要求将会层出不穷。这要求体系具备优秀的可扩展性,所以在体系建设的初期,首先立足于近期的应用需求进行体系配置,而以体系的可扩展性来保证往后十年内的发展需求。
网络体系的各个组成部件选用标准的硬件和软件,各个子体系的设计模块化,软、硬件能够平滑升级或更新,网络节点的增减对网络性能的影响不大。
l 易维护管理
网络可管理性是网络成功运维的基础,应提供简单有用的网络同一管理体系,对网络所有网络设备进行管理,包括网络拓扑表现、网络状况监控、故障事件实时预警和告警、网络流量统计。
l 投资珍爱
园区网络架构设计必须知足将来3-5年的使用需求,进步整网的行使率和扩展能力,使得可能的后续投资最小化。同时结合运维等方面的要求,获得最佳总体拥有成本。
总体架构设计
智能园区网络总体解决方案如下:
园区网络架构设计
智能园区网络分为办公园区、生产IT网络,生产OT网络,安全隔离区,数据中间区等等,各重要区域的营业承载如下:
办公园区:
• 通用办公区(市场、财务、研发等)
• 安防视频监控、楼宇智能网
生产园区(production-IT)
• 生产IT区域,有线、无线终端接入
• 生产IT区和办公网存在营业流量,通过安全隔离区安全控制
• 仓储、物流区域等场景
生产园区(production-OT)
• 工控网络,机器人控制生产
• 生产数据采集,光学检测
• 生产物流主动运输
园区网络的解决方案总体架构设计如下:
园区出口:
部署出口路由器,防火墙、IPS、DDOS、上网举动管理等安全设备,作为园区的同一出口,同时要提防外部Internet网络的攻击。
办公IT网络:
办公园区IT网络,一张物理网络同时承载有线办公网、无线办公网、安防网络、楼宇网络等等,基于Vxlan技术构建多个假造网络,一网多用,逻辑安全隔离。
核心、汇聚等框式交换机双机部署集群,接入交换机iStack堆叠,接入-汇聚,汇聚-核心双链路,进步整网的可靠性。
无线接入层部署业界领先的Wi-Fi 6 AP,上行最高带宽10Gbps,知足各种高带宽营业应用。
生产IT网络:
核心、汇聚等框式交换机双机部署集群,接入交换机iStack堆叠,接入-汇聚,汇聚-核心双链路,进步整网的可靠性。
无线接入层部署业界领先的Wi-Fi 6 AP,上行最高带宽10Gbps,知足各种高带宽、低时延营业应用。
安全隔离区:
安全隔离区作为生产IT网络和办公IT网络的中心隔离区域,重要是对办公区域访问生产IT网络的举动进行安全控制,杜绝各种安全风险。部署防火墙、沙箱、漏扫、及安全探针等设备。
根据整网安全分析的必要,在办公IT网络,生产IT网络,部署一部分安全探针,用于网络流量的采集。同时办公、生产的IT网络的汇聚层交换机,基于Netstream技术采集网络流量,用于整网安全风险的分析与预防。
网络管理区:
网络管理区用于部放SDN控制器,大数据智能运维平台CampusInsight,安全分析平台CIS,对整网进行管理,运维和安全防护;网络管理园区旁挂在园区的总核心上。
VxLAN组网设计方案
办公园区基于VxLAN等SDN技术,一张物理网络同时承载办公、安防、楼宇等多张营业网络,营业网络逻辑安全隔离。
Ø 各板块汇聚与政务核心构建一个假造网络Fabric实现假造化专网;承载多营业实现逻辑隔离
Ø 通过SDN控制器对办公网VXLAN营业实现主动化部署
Ø 各板块汇聚与接入之间二层互联
无线Wi-Fi覆盖方案
Wi-Fi已成为当今世界无处不在的技术,为数十亿设备提供连接,也是越来越多的用户上网接入的首选体例,并且有渐渐庖代有线接入的趋势。为适应新的营业应用和减小与有线网络带宽的差距,每一代802.11的标准都在大幅度的提拔其速率。
然而移动营业的快速发展和高密度接入对Wi-Fi网络的带宽提出了更高的要求,在2013年发布的802.11ac标准引入了更宽的射频带宽(提拔至160MHz)和更高阶的调制技术(256-QAM),传输速度高达1.73Gbps,进一步提拔Wi-Fi网络吞吐量。另外,在2015年发布了802.11ac wave2标准,将波束成形和MU-MIMO等功能推向主流,提拔了体系接入容量。但遗憾的是802.11ac仅支撑5GHz频段的终端,减弱了2.4GHz频段下的用户体验。
下一代Wi-Fi必要解决更多终端的接入导致整个Wi-Fi网络服从降低的题目, 802.11ax(Wi-Fi 6)标准将引入上行MU-MIMO、OFDMA频分复用、1024-QAM高阶编码等技术,将从频谱资源行使、多用户接入等方面解决网络容量和传输服从题目。目标是在密集用户环境中将用户的平均吞吐量相比现在的Wi-Fi 5进步至少4倍,并发用户数提拔3倍以上,因此,Wi-Fi 6(802.11ax)也被称为高效无线(HEW)。
Wi-Fi 6是下一代802.11ax标准的简称。随着Wi-Fi标准的演进,WFA为了便于Wi-Fi用户和设备厂商轻松了解其设备连接或支撑的Wi-Fi 型号,选择使用数字序号来对Wi-Fi重新命名。另一方面,选择新一代命名方法也是为了更好地凸起 Wi-Fi 技术的庞大提高,它提供了大量新功能,包括增长的吞吐量和更快的速度、支撑更多的并发连接等。根据WFA的通知布告,如今的 Wi-Fi 命名分别对应如下 802.11技术标准:
发布年份 | 802.11标准 | 频段 | 新命名 |
2009 | 802.11n | 2.4 GHz或5 GHz | Wi-Fi 4 |
2013 | 802.11ac wave1 | 5 GHz | Wi-Fi 5 |
2015 | 802.11ac wave2 | 5 GHz | |
2019 | 802.11ax | 2.4 GHz或5 GHz | Wi-Fi 6 |
和以往每次发布新的802.11标准一样,802.11ax也将兼容之前的802.11ac/n/g/a/b标准,老的终端一样可以无缝接入802.11ax网络。
网络安全方案
基于安全协防团体防护理念和设计原则,所构建的安全防护系统,实现快速相应,调查追溯,优化安全策略,提拔防护水平。
为了将威胁控制在局部区域,同时考虑到对网络攻击举动及时检测和处置,建议所有关键区域边界均应部署响应的安全防护措施,通过部署安全态势感知体系、安全策略智能管理和网络诱捕体系,“三位一体”构建自动防御系统,进步对未知威胁感知能力和相应能力。细致设计如下:
Ø 在安全隔离区与终端接入区边界部署防火墙、IPS、网络探针和诱捕体系实现该区域边界珍爱;
Ø 在安全隔离区与生产区边界部署防火墙、IDS、网络探针和诱捕体系实现该区域边界珍爱;
Ø 在生产区与IT网络边界部署防火墙、IPS、网络探针和诱捕体系实现该区域边界珍爱;
Ø 在生产区内部不同厂房车间FAB区边界部署防火墙、IDS、网络探针和诱捕体系实现该区域边界珍爱;
Ø 在与合作伙伴外部网络互联的边界部署防火墙、IPS、网络探针和诱捕体系实现该区域边界珍爱;
Ø 原则上禁止在生产网络的体系中安装TeamViewer等长途控制软件,避免绕过边界安全防护措施,带来安全风险;
Ø 如需长途运维,建议采用VPN接入安全隔离区,通过登录堡垒机对网内设备进行运维操作。
智能运维管理方案
随着网络规模的赓续增加、网络应用的赓续推广、营业越来越多样化,大量路由器、交换机、WLAN 等被广泛的应用于网络,IT维护人员面对网络管理和运维中碰到的题目和挑衅,必要一套高效、同一的控制器进行支持,遵循ITIL规范,提供融合、开放的运维平台,实现对有线无线网络以及用户的同一管理。
管理方案设计
Ø 全网有线、无线网络同一、可视化管理,包括同一拓扑、同一告警、性能、同一报表等基本功能,知足网络的基本运维需求。
Ø 可分权分域,基于每个区域给予管理权限控制,确保网络的管理分工与安全。
Ø 分级网络管理,实现运维安全和大规模网络管理的能力。可以实现跨地区上下分层式管理,基于分层管理诉求,聚焦分层网络运维职能,上下分级各司其职,实现同一的拓扑管理、同一的资源管理、分层式的告警管理、全网汇聚Portal、同一的用户认证管理。
Ø 零配置部署管理,支撑拓扑开局和设备标识开局,从网络规划、离线配置文件制作、设备布线上电、网络规划调整、开局以及故障设备替代等,提供了端到端设备运维能力,进步了运维人员服从。
Ø WLAN全生命周期的管理,可视规划、三步开通营业、360°监控到基于搜索的一键式故障诊断的WLAN全生命周期管理,帮助用户高效部署和管理无线网络。
Ø 移动化运维管理,用户可以在移动终端上进行无线网络管理,包括360监控、故障诊断等功能。
大数据智能运维管理方案
平台设计基于大数据分析平台构建,采用Telemetry 技术方案接收设备上报的数据,通过智能算法对网络数据进行分析、呈现。
网络智能分析器采用微服务架构,各个营业服务采用多实例部署,外部 HTTP 请求由新闻总线进行分发到各个节点实例处理,并可通过扩充实例节点实现服务容量动态扩容,具备高可靠性和伸缩性。
下一条:没有了