华为整体网络解决方案
3 华为产品解决方案
3.1 整体架构设计
3.1.1 总体网络架构
整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法,组网图如下所示:
网络架构
整个网络的设计方案采用层次化、模块化的设计思路,按照接入层、汇聚层、核心层和出口层进行网络设备设计部署,通过模块化或者购买单独设备的方式提供WLAN AC控制器,在汇聚层交换机,提供防火墙、负载均衡器等增值业务功能,满足企业日益增长的业务需求。
整个网络的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接入核
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 6
华为整体网络解决方案
心交换机,交换机之间采用TRUNK链路保证链路级可靠性。
3.1.2 有线网络解决方案
整个网络层次建议采用业界成熟的三层架构:接入、汇聚和核心,最后企业园区通过出口层网络设备(路由器或交换机)连接到外网通过。
这种分层的网络架构,可以保证根据的业务需求,分别对不同层次进行扩容。
3.1.2.1 核心层网络设计
核心层交换机部署在园区核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6,可为园区构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
所以建议核心层采用双机冗余备份的方式构造,消除单点故障,设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G链路互联,达到高带宽、高转发性能的效果。
本次建议采用华为的S9300高性能交换机构造核心层,实现高性能的骨干网络。华为S9300支持大容量、高转发性能,完全能够满足各网络的数据转发。
3.1.2.2 汇聚层网络设计
汇聚层交换机的重要性也是比较高的,一般部署在楼宇独立的网络汇聚机柜中,汇聚园区接入交换机的流量,一般提供三层交换机功能,汇聚层交换机作为园区网的网关,终结园区网用户的二层流量,进行三层转发。当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关,能够承载校园园区融合业务的需求。
根据需要,可以在汇聚交换机上集成增值业务板卡(如防火墙,负载均衡器、WLAN AC控制器)或者旁挂独立的增值业务设备(如WLAN 盒式AC等),为园区网用户提供增值业务。
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 7
华为整体网络解决方案
汇聚层与核心层共同组建成骨干网络,所以汇聚设备的性能要求也是比较高的,建议采用10G的链路互联,达到万兆骨干网络。
汇聚交换机需要提供高密度的GE接口,汇聚接入交换机的流量,通过10GE接口接到核心交换机,推荐使用S9300系列交换机作为园区汇聚层交换机。
3.1.2.3 接入层网络设计
接入层交换机一般部署在楼道的网络机柜中,接入园区网用户(PC机或服务器),提供二层交换机功能,也支持三层接入功能(接入交换机为三层交换机)。
提供网络的第一级接入功能,一般完成简单的二层交换,安全、Qos都位于这一层。对于园区网的接入层设备,建议采用千兆二层接入的方式,应该具有线速二层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。
3.1.3 数据中心解决方案
数据中心的设计目标是实现高冗余、高带宽、高安全性、高可靠性等目的。数据中心内的网络设备主要是:核心交换机、核心防火墙、核心路由器、负载均衡设备。
核心交换机的主要功能是连接服务器,因此必须考虑企业未来的业务增长,核心交换机必须具有很好的扩展性,随着以后网络的扩展,必须具有多个插槽,以便以后网络扩展的时候能够增加网络模块。由于核心交换机在整个网络中具有十分重要的地位,因此核心交换机必须具有电信级的可靠性和稳定性,核心网络对数据的快速转发速度要求很高,因此核心交换机需要具备高容量的交换带宽和包转发速率。我们建议采用华为的S7700系列高性能交换机,采用双机双电源。可实现万兆或者千兆接入,实现数据中心高转发性能的效果。并且可以通进扩展防火墙模块等方面,实现数据中心的安全。
3.1.4 无线网络解决方案
随着以太网的广泛应用,因特网的日益普及,以及移动终端的不断增加,人们对移动IP接入的需求迅速增长。无线局域网WLAN(Wireless Local Area Network )作为有线以太网的延伸,一定程度上满足了这种需求。
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 8
华为整体网络解决方案
由于无线网络的部署灵活性高,所以受到很多用户的青睐,整个无线网络,WLAN 解决方案可以运行在现有的有线企业网络的基础上,也可以采用一个独立的网络。它为园区提供了具有部署方便性、安全性、可扩展性的无线网络,让用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务。
我们建议采用华为的无线解决方案,在核心网络中部署一套无线控制器,无线AP接入到接入层交换机上,各无线AP通过无线控制器统一管理。从而实现易维护、易管理。
3.1.4.1 无线网络的建设需求
在无线网络建设中,为了解决大规模部署情况下的统一配置、调整问题,以及射频的智能管理问题,现在无线网络建设普遍都采用了瘦AP建网模式。瘦AP的另一个好处是实现了三层漫游环境下避免重新认证,从而使漫游切换时间小于50ms。这对于企业的移动业务,尤其是对切换时间要求最苛刻的语音业务意义重大。
然而,随着无线网络的发展,一些新的需求也逐渐变得越来越强烈。主要有以下几个方面:
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 9
华为整体网络解决方案
稳定问题:
由于WLAN网络的组网设计包含无线控制器、接入交换机、无线接入点等大量设备,在大部分情况下,还需要通过以太网解决供电问题,所有这些环节都会影响校园无线网络的稳定性;同时由于无线信号的传播深受环境影响,多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象,实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以如何实时根据环境动态调整无线接入点的信道、发射功率等也是经常困扰无线校园管理人员的难题。
安全问题:
由于无线网络的特殊性,园区无线用户的安全问题就更加突出。对无线网络的用户来说,所有有线网络存在的安全威胁和隐患都同样存在。同时,任何不可信的无线设备可以在信号覆盖范围内进行网络接入的尝试,一定程度上也加剧了无线用户所面临的安全隐患。
无线网络的安全问题已经不再是单一的物理层安全,也包括了用户接入安全、网络层安全、设备安全、安全管理等多个层面上,如何能使企业无线用户在使用网络时能够像使用有线网络一样安全、可靠,正逐渐成为无线企业网络建设所关注的核心。
管理问题:
相对于FAT AP来说,虽然FIT AP解决方案帮助网区管理人员实现了无线网络的灵活安装与应用,但管理无线网络却仍然是一项非常耗时且麻烦的事情。在无线园区网络环境中尤为如此。
传统的FIT AP解决方案由无线控制器(AC)及无线接入点(FIT AP)构成,虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能,但是与有线网络难于统一,无法在整个企业范围内实现用户管理及认证、服务质量控制和安全策略实施等。因此,通常引入无线网络会降低安全性,整个网络管理起来比较复杂,并且维护成本也比预期高。把网络作为一个整体,整合有线和无线网络,实现统一的网络控制和管理,对于企业来说具有重要的意义。
扩展问题:
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 10