云時代面向智慧應用的可運營園區網絡建設

許化棟　山東省郵電規劃設計院有限公司規劃研究院副院長，高級工程師

云時代面向智慧應用的可運營園區網絡建設

許化棟山東省郵電規劃設計院有限公司規劃研究院副院長，高級工程師

云時代的到來，高校校園、大型企業等園區信息化面臨新的形勢與需求，如何建設面向智慧應用的園區承載網絡是當前面臨的重要課題。本文探討云時代園區網絡業務需求，給出面向智慧應用的園區網絡建設和精細化運營方案。

智慧園區；多業務；安全；精細化運營；建設

1　引言

互聯網云時代的到來，高校校園、大型企業等園區信息化面臨新的形勢與需求，園區基礎網絡建設直接影響智慧園區信息化建設。

高校校園、大型企業等園區網絡通常包含公共區、辦公區、生活區等區域，園區內需承載普通上網、語音、視頻監控、視頻會議、IPTV等業務，但目前園區普遍針對重要應用無QoS保障機制、安全性較低、穩定性較差、可靠性低、無線覆蓋不完善，基礎網絡建設相對滯后，制約了園區信息化的發展，不能滿足智慧園區的建設承載需求。

本文正是基于此背景，對云時代面向智慧應用的可運營園區網絡建設進行探討。

2　智慧園區業務需求分析

隨著信息技術的發展與應用的普及，以大型企業、高校等為代表的智慧園區典型業務需求包含傳統語音、視頻會議、視頻監控、IPTV、普通寬帶以及門禁等信息交互智慧應用，園區內各類業務典型場景應用和對業務承載需求見表1。

3　面向智慧園區網絡建設面臨的挑戰

與傳統的園區網絡相比，面向智慧園區網絡建設特點和面臨的挑戰如下：

（1）場景復雜，業務多樣，網絡需具有多業務承載能力

園區囊括辦公區、居住區、公共區等場景，業務包括傳統語音、視頻會議、視頻監控、IPTV、普通寬帶以及門禁等信息交互智慧應用，且一般園區接入終端數量過萬。園區網絡應適應各類場景需要，通過一張網絡實現各類業務的良好承載。

（2）園區網絡安全性與穩定性要求高

大型園區尤其是校園網場景，各種網絡安全攻擊與威脅多見，傳統的信息安全設備已逐漸不能滿足業務需求。面向智慧應用的園區承載網需解決多維接入認證、分權分域管理、行為監管、預防網絡攻擊等安全性問題，并需統籌考慮網絡、線路和設備的可靠性以確保網絡整體可靠性。

表1　園區典型場景業務與承載需求

（3）園區網絡要求有效管控用戶帶寬

以P2P為代表的新型互聯網應用，對帶寬的占用迅速增長，并且傳播內容難以管控。面向智慧應用的園區網絡需有效控制應用帶寬、阻斷非法內容傳播、實現基于業務的流量監管。

（4）園區網絡要求計費認證靈活和易于管理

隨著移動互聯網和智能終端飛速發展，傳統802.1x方式已經難以滿足接入終端多樣化的需求，面向智慧應用的園區網絡需建設更便捷、更具普適性的接入認證計費方案，并實現全網設備有效網管、快速問題定位和處理。

（5）園區網絡Internet出口一般多點接入

大型園區網絡往往通過連接多運營商等方式實現多出口接入Internet，面向智慧應用的園區網絡需實現出口流量的優化選擇和負載均衡。

4　面向智慧應用的園區網絡建設方案

4.1建設目標

面向智慧應用的園區網絡建設目標是：通過園區內一張網絡，實現各類業務統一承載，將園區網絡建設成為一張安全可靠、可管理、可控制、可精細運營、可提供差異化服務的綜合信息承載網，滿足智慧園區的信息化承載需求。

4.2設計思路

結合面向智慧應用的園區業務需求和網絡建設目標，網絡設計思路和功能目標如下：

（1）一張網絡實現多業務承載

園區內通過建設一張IP網絡，實現傳統語音、視頻會議、視頻監控、IPTV、普通寬帶以及門禁等信息交互智慧應用的綜合承載。網絡應具備如下能力：

●用戶及業務的隔離。能對用戶、業務進行區分、隔離和單獨管控，不同用戶不同業務使用互不影響。

●網絡應具備端到端服務質量保障。能夠提供端到端的服務質量保障，實現對于網絡協議控制管理、語音、視頻類數據流根據協議類型來進行分類和標記，保障不同業務質量和用戶感知。

（2）網絡安全性設計

●可通過對終端鑒別和授權，能對仿冒終端的識別、隔離與控制。

●能抑止合法終端的非法活動如網絡攻擊、病毒等。

（3）網絡可靠性設計

●網絡結構設計合理，拓撲簡單，易于擴展，支持可持續發展。

●主要網絡設備主控板、端口、電源等實現冗余備份，主要網絡節點進行設備、鏈路雙備份，日常流量負荷分擔，一旦某鏈路或節點出故障時可實現自動切換，保障關鍵業務不中斷。

（4）網絡管理與精細化運營需求

●支持接入方式多樣、計費策略靈活。

●可以通過域管理進行用戶區分，為用戶提供不同帶寬和權限。

●統一網絡管理。可針對某具體網絡設備實現遠程管理、配置、實現遠程啟閉、使能或禁止網絡接入等功能。

●實現網絡定位。網絡接入設備位置信息與GIS地理信息結合，可以確定有線無線網絡接入設備的物理地理位置信息，幫助實現門禁、考勤等信息化應用。

●大數據分析處理。園區上網會產生大量的網絡訪問信息。例如，上網時間、下網時間、上網地點、訪問的網頁等，通過統計分析，可以了解用戶在某一段時間關注內容、熱點等，可據此加以引導、管控。

（5）無線網絡全覆蓋要求。

●采用靈活的無線覆蓋手段。結合場景，可以采用室外大功率覆蓋、室內放裝覆蓋、室內分布系統覆蓋等方式進行無線網絡覆蓋。

●無線網絡容量充足。對于人員密集場所能滿足大并發量用戶的上網需求。

●移動漫游管理。實現無線接入用戶的無縫漫游，使無線終端在熱點區域漫游時不再受限于有線網絡。

4.3網絡建設方案

（1）基礎網絡建設

為滿足智慧園區業務需求，面向智慧應用的可運營園區網整體邏輯架構，可分為基礎網絡區、數據中心區、DMZ區、出口互聯區和運維管理區5個部分。其中，基礎網絡區可分為出口層、核心層、匯聚層、接入層和應用層。基礎網絡建設架構見圖1。

圖1　網絡架構圖

網絡各層主要功能說明和功能如下：

●出口層為高性能防火墻綜合設備，具有高性能的NAT功能、防御網絡攻擊以及流量管控能力，同時能針對出口多線路實現負載均衡，以提高網絡多線路資源的利用率。

●核心層主要由BRAS和核心交換機組成。BRAS實現認證、統一實名制管理。核心交換機負責整個園區內部互聯、業務轉發。核心交換機中集中部署WLAN AC板卡，實現有線無線流量深度融合和管理，規避AC設備單獨部署后通過有線轉發時無線流量存在瓶頸的問題，同時又節省投資、減少網絡故障點。

●匯聚層主要實現各接入設備和業務的匯聚和收斂，功能上主要實現QinQ標記、二層VLAN的透傳，便于網絡的擴展與組織。

●接入層由接入交換機、AP或PON組成，將校園用戶有線和無線的各類終端實現網絡接入。業務實現接入時，通過不用VLAN等方式進行用戶/業務的邏輯區分和隔離。

園區匯聚/接入層有線接入可以采用PON組網，也可以采用純LAN模式組網，實現各種終端接入。傳統LAN模式需設置有源匯聚層交換機進行業務匯聚，層次相對復雜，用戶側較難以保障一根纜線入戶實現多業務隔離和網絡質量保障，如需多業務隔離和質量保障需采用多條纜線分別延伸至用戶末端接入各類業務；PON模式采用無源設備擴展，帶寬利用率高，且用戶側通過ONT擴展能實現末端一根纜線入戶、多種業務的隔離，對多業務具有較好的承載性。建議新建面向智慧應用的園區網絡采用PON網絡組網；綜合考慮網絡現狀，如果園區原LAN設備可網管、支持VLAN、線纜具備部署條件或能滿足業務使用需要，也可采用LAN組網，但如進行網絡設備改造時，也可采用10G PON+LAN進行網絡升級改造（見圖2）。

園區無線網絡主要通過WLAN接入，部分特殊場景通過室內分布系統覆蓋。WLAN覆蓋規劃與建設應根據用戶分布和業務需求，滿足各類場景下交互終端應用需求。為避免信號干擾，WLAN信道規劃遵循蜂窩覆蓋、信道間隔原則，AP可交替使用2.4G的1、6、11信道及5.0G的36、40、44信道；為擴大用戶密集場景下網絡容量，WLAN可進行雙頻組網。WLAN單頻和雙頻覆蓋組織示意見圖3。

圖2　基于PON和LAN網絡的園區承載網絡方案

圖3　WLAN單頻覆蓋和雙頻覆蓋的示意圖

數據中心是園區數據集中存儲區域，結合云計算，統一部署服務器資源池，為用戶提供云服務。

網絡管理區包含計費服務器、DHCP服務器、Portlal服務器、網管系統等，實現對園區內用戶進行認證和管理，實現網絡內所有設備的集中管理。

DMZ區主要提供外網的合法訪問，包括提供公共用戶訪問的公開網站，以及對應的APP服務，并對出差的內部員工的訪問，提供SSLVPN的安全訪問。

（2）多業務承載方式

無線接入網WLAN空口配置WMM調度，通過SSID與VLAN進行1: 1匹配映射，并在有線側進行優先級映射；有線接入網不同用戶和業務可通過VLAN實現隔離，園區網絡BRAS以下工作在二層，網絡部署二層以802.1P為主、三層以Diffserv為主的QoS端到端保障機制；網絡開啟PIM-SM+IGMPSnooping組播協議，組播復制點設置在ONU或接入網交換機，網絡能較好的支持組播，能保障普通上網、普通電話、視頻會議、IPTV以及監控等業務的統一承載。

（3）安全性與可靠性

園區二層網絡通過VLAN、PPPoE等方式實現用戶、業務有效隔離，網絡能有效解決ARP攻擊、網絡風暴等問題；另外，網絡方案中可融合了安全技術，部署了綜合防御網關、網絡行為審計、入侵防御設備、遠程安全訪問系統等，全網能較好的防御病毒攻擊、不法行為審計、終端有效管理、遠程訪問靈活安全等特性，構建園區網全方位、立體化的安全體系。

園區內主要設備自身雙電源、雙冗余、關鍵業務部署在不同板卡外，關鍵設備實現雙接入、雙冗余、互為備份，尤其是BRAS采用雙機Session級熱備份，二層網絡采用VRRP、BFD、Trunk等替代傳統STP機制，克服STP收斂時間長、鏈路利用率低、配置維護復雜、網絡故障率高和穩定性差等問題，提升鏈路可靠性和帶寬利用率，實現了網絡各層級冗余設計，保障了網絡的高可靠性。

（4）IPv6與SDN演進

園區全網采用雙棧模式，IPv6與IPv4均獨立完整，均保持所需的功能性和安全性；且IPv6結構與IPv4網絡結構可相同，在網絡各接入、匯聚、核心、BRAS及數據中心設備等，同時運行IPv4和IPv6協議，實現園區網絡對IPv6業務全面兼容。

園區核心交換機等設備盡量采用支持一機雙平面，實現傳統網絡平面與增強控制平面可以獨立部署，并支持基于可編程芯片ENP和POF協議無感知轉發技術，可以平滑地過渡到未來SDN時代的控制與轉發分離架構。

5　園區網絡精細化運營方案

5.1用戶認證規劃

常見的認證計費方案主要有Portal/Web、802.1x、PPPoE、IPoE等，各種認證方式均具有不同特點、適應不同的場景，具體認證計費方案比較見表2。

表2　常見認證計費方式比較

園區采用基于BRAS的認證方案，可根據具體不同場景采用適合的認證方式，生活區可采用PPPoE認證，辦公區可采用IPoE認證，打印機、IP電話等啞終端可采用IPoE并配合MAC認證的方式，公共區采用Portal認證方式，具體實現見表3。

表3　園區不同場景認證方式比較

5.2集中網絡管理

園區根據營運需要，建設集中網絡管理系統，實現網絡中的路由器、交換機、WLAN、AR和防火墻設備統一監控和統一管理。集中網管系統建設應基于并滿足網絡的運維主要需求：

（1）全網一體化管理

通過集中網管，可以統一監控園區所有交換機、路由器、安全設備以及IT設備，支持拓撲可視化拓撲管理，支持網絡、設備有聲告警等。

（2）批量配置管理

向導式的業務部署以及基于表單導入，實現對設備的批量配置，提升管理效率。

（3）性能和故障管理

基于NetFlow、NetStream、sFlow協議對網絡流量進行深入分析，收集BRAS、交換機等數據信息，實時呈現流量及帶寬使用情況，并具有流量統計功能，為網絡故障、帶寬擁塞、異常流量等診斷等提供依據。

5.3日志管理系統

園區可建設日志管理系統，且系統應支持專業NAT溯源，對用戶上網行為進行審計，對路由器、防火墻等設備的會話日志進行采集和分析，實現NAT信息和用戶數據信息關聯。

5.4行為安全審計

園區可建設行為安全審計系統，建議采用旁掛BRAS模式部署，對整體的網絡結構完全不造成任何影響，并能通過BRAS把全網上網流量進行鏡像到行為安全審計系統接口，對流量進行分析和記錄。且BRAS可把用戶認證的信息，包括用戶賬號，動態獲得的IP地址對應關系也一并傳遞到行為安全審計系統，使系統能實現完整的行為記錄。

（1）URL訪問審計

審計域用戶所訪問的URL，支持審計所有URL和僅審計指定分類的URL。

（2）Web內容上傳審計

審計用戶通過HTTP協議POST的內容，供事后追查在論壇/博客上發表的不良言論。

（3）Web文件外發審計

審計用戶通過HTTP協議上傳的文件，審計用戶Web文件下載通過網站下載的文件名稱、類型和大小，了解用戶下載行為，有效追蹤泄密事件。

（4）郵件審計

審計郵件標題、郵件內容、發件人、收件人、郵件附件等。

（5）IM聊天審計

IM審計需要使用行為安全審計系統客戶端，可以審計的IM軟件包括QQ、阿里旺旺、飛信、MSN、雅虎通和Gtalk，可以審計聊天內容和外發的附件。根據以上審計內容，形成詳細的報告和相關數據趨勢分析，實現精準的違法溯和網絡行為趨勢分析。

6　結束語

本文探討大型企業、校園等園區網絡需求以及網絡建設面臨的挑戰，提出可管理、可控制、可精細化運營的園區多業務綜合信息承載網絡解決方案。本方案能有效解決網絡中遇到的難題，并具有一定的前瞻性，具有SDN、IPv6支持與平滑演進能力，能滿足園區內信息化綜合承載和智慧園區的建設需求。

［1］張傳福，于新雁，盧輝斌，等.網絡融合環境下寬帶接入技術與應用［M］.電子工業出版社，2011:177-182.

［2］李立.網絡組建與管理實用教程［M］.清華大學出版社，2010:69-79

［3］Nadeau，Gray.軟件定義網絡［M］.人民郵電出版社，2014: 19-31.

2016-04-10）