智慧園區固移多業務融合承載和統一認證方案

呂城錦，鐘志剛，李 穎，佟 恬（中訊郵電咨詢設計院有限公司，北京 100048）

0 前言

發展創新性園區，走新型現代化發展道路，是提高國家競爭力的重要載體，目前我國已進入企業園區和產業集群互動發展階段。隨著科學技術的發展以及信息化水平的進一步提升，園區的網絡業務也在逐步擴展，為了提高管理水平，提升企業經濟效益和社會效益，必須建立高速、穩定、便捷、安全的通信網絡。

1 園區業務需求

園區網絡服務包括企業內部組網、共享互聯網、互聯網專線，共計3項業務需求。

a）企業內部組網。為滿足園區內各企業經營、管理需求，各企業需有各自獨立虛擬專用網，用于信息化辦公，包含有線和Wi-Fi 2種接入方式。

b）共享互聯網。為用戶提供共享帶寬的互聯網接入服務，包含有線和Wi-Fi 2種接入方式。

c）互聯網專線。為有需求的企業提供互聯網專線服務。

2 園區網絡現狀及存在問題

典型的園區三層網絡架構如圖1 所示，分為核心層、匯聚層、接入層。

圖1 園區典型網絡架構

目前，園區網絡建設技術整體比較落后，發展不均衡，標準不統一，缺乏長遠規劃，具體存在以下一些問題。

a）各業務單獨組網，造成網絡結構復雜，設備數量多，擴展性差，不易管理。

b）傳統園區網絡業務開通需1～3 個月，業務開通周期長，設備配置復雜。

c）用戶體驗差，用戶每次接入互聯網均需認證，無法實現無感知認證。

d）故障定位難，排障時間長，運維難度大。

e）有線、Wi-Fi業務無法實現統一認證，需多套認證設備，造成資源浪費。

f）隨著VR 等新應用的發展，Wi-Fi帶寬無法滿足日益增長的帶寬需求。

g）各業務均需設置獨立的接入設備，不能實現接入設備資源共享混合接入多種業務。

3 智慧園區網絡承載解決方案

為了解決園區網絡目前存在的問題，本文提出一種新型園區網絡承載架構，采用“邊緣（匯聚+接入）+核心”的結構，實現企業內部組網、共享互聯網、互聯網專線3種業務的統一承載，各業務邏輯隔離，網絡總體架構如圖2所示。

園區統一承載網各園區間采用三層協議組網，選用SR（Segment Routing）+EVPN（Ethernet VPN）技術。轉發面采用SR 技術以簡化MPLS 網絡的控制平面，中間節點不需要維護路徑信息，網絡配置更簡化，業務開通更迅速，實現路徑故障快速恢復，網絡容量擴展能力更強。EVPN 在分離控制面與數據面的同時，可以簡化配置，采用EVPN 實現對不同業務的邏輯隔離，即互聯網業務采用二層EVPN 方式隔離共享和專線業務，企業內部組網采用三層VPN 實現各園區內構建企業虛擬專網。

園區內作為小型局域網，采用二層組網方式，通過VLAN技術實現多業務的邏輯隔離。

網絡采用SDN 控制器，實現靈活簡便的路徑控制與調整，實現業務策略快速下發，實現網絡資源直觀可視，實現靈活的帶寬調整與動態路由選擇。及時發現和處理網絡存在的風險，便于網絡維護、降低業務故障概率。

新建Wi-Fi 網絡的園區采用802.11 ax/ac 設備，通過AC集中部署的方式實現Wi-Fi服務。

圖2 網絡總體架構

4 智慧園區網絡管理解決方案

4.1 LAN及WAN網絡的統一管控

通過SDN網管控制器實現LAN、WAN網絡的統一控制、統一管理、統一運維，實現網絡的可視化、自動化、智能化，解決分支園區業務開通慢、部署難等問題。

目前，傳統網絡由若干個物理設備，比如路由器、交換機和防火墻等組成，這些設備本質上還是一個一個單獨的“盒子”，而且這些“盒子”之間通常存在著復雜的網絡關系，一旦其中一個節點出現問題，可能會影響整個網絡。而SDN 是一種網絡架構，其從根本上改變了整個網絡的設計、管理和運營方式，讓網絡變得更加靈活、可靠。

SDN 通過將數據層面和控制層面分離，讓傳統的物理網絡設備不再具備決定轉發的能力，而是統一交給上層能理解整個網絡拓撲的統一控制器。借助控制器，網絡工程師可通過軟件的方式，實現新業務的轉發策略。

SDN網管控制器可實現對網絡核心和匯聚設備進行管控；可實現網絡資源可視、業務自動化部署、業務快速開通、網絡性能優化、電信級可靠性保障等功能。具體包含以下功能。

a）配置發放自動化。通過對網絡設備和業務進行抽象，實現多種類型配置的自動發放，提供多種業務配置模板和批量配置模板，應支持自動配置校驗。可實現接入交換機及AP的即插即換。

b）帶寬按需分配功能。按需調整帶寬、業務預約發放。

c）集中算路及流量調優要求。對于具有重路由恢復能力的業務，當業務的工作路徑或者保護路徑發生故障時，網元控制平面會自動向控制器請求路徑計算，控制器根據全網拓撲計算一條最優路徑返回給網元，網元則按照最優路徑建立恢復路徑。

d）網絡性能監控及分析功能。

e）資源可視化。通過圖形化的方式實時呈現鏈路、隧道等資源利用率。顯示業務多層信息，端到端顯示業務路徑。

f）網絡生存性分析和資源預警。

4.2 多業務統一無感知認證

一套認證系統實現多業務統一認證（包含有線/Wi-Fi），企業內部組網業務終端實現完全無感知認證，共享互聯網業務終端第一次登錄需輸入“賬號+密碼”，終端再次登錄即可實現自動登錄，實現無感知認證。各業務認證流程如下。

4.2.1 企業內部組網

企業內部組網認證流程分為登錄、錄入、接入、認證、IP地址分配5部分，如圖3所示。

圖3 企業內部組網認證流程

a）管理員登錄MAC 地址注冊門戶（MAC Portal）。為使用企業內部組網服務的企業提供MAC 地址注冊門戶（MAC Portal）管理員賬號及密碼，實現對各自終端MAC 地址進行增、刪、改等管理操作。各家企業管理員在園區特定區域通過管理員賬號及密碼登錄MAC Portal，無需控制器MAC地址識別，終端自動獲得或靜態配置IP 地址，通過管理員賬號及密碼登錄MAC Portal。

b）管理員錄入終端MAC 地址等字符段。管理員登錄MAC Portal 后，即可手工通過逐條或批量導入方式，完成對使用企業內部組網服務的終端MAC 地址等字符段信息的增加、修改、刪除等管理操作，字符段包含的字符類型及格式如表1所示。

表1 字符段信息

c）終端網絡接入。企業管理員在MAC Portal 中錄入終端MAC 地址后，終端可立即通過有線/無線方式接入網絡。

（a）有線接入：在園區特定位置，提供共享的RJ45插口（10/100/1 000M 自適應）。用戶終端通過網線連接RJ45插口。

（b）Wi-Fi 接入：終端設備搜索并連接SSID，輸入Wi-Fi密碼。

d）網絡認證。用戶終端通過有線或無線方式接入網絡后，網絡控制器自動識別終端MAC 地址，判斷該終端是否為企業內部組網服務。如MAC 地址認證通過，即為該終端分配VLANID，引入專用VRF；如MAC 地址認證未通過，不提供企業內部組網服務，終端自動進入共享互聯網認證通道。

e）IP 地址分配。各企業自行搭建內部組網及相關服務器，根據各企業的業務需求提供一定范圍的專用私網IP 地址段（B 類/16 位），私網地址定義以RFC1918 為準。在各園區（C 類/24 位）進行詳細劃分、管理和業務部署，每個/24地址段通過網關地址實現企業虛擬專用網內的DHCP中繼功能。

各企業用戶終端通過靜態或者DHCP 動態方式獲得私網IP 地址，在終端設置FTP 服務器的IP 地址后即可使用企業組網服務。

4.2.2 共享互聯網

有線接入：端口為10M/100M/1 000M 自適應。終端首次接入，打開電腦的網頁瀏覽器，彈出用戶認證的Portal 頁面，輸入統一發放的“賬號+密碼”，認證通過后即可訪問共享互聯網業務，終端再次在共享互聯網業務覆蓋范圍內接入時，無需再次輸入“賬號+密碼”進行認證。

Wi-Fi 接入：終端首次接入，搜索并連接SSID，輸入Wi-Fi密碼。在自動彈出或打開網頁瀏覽器后彈出的用戶認證Portal 頁面，輸入“賬號+密碼”進行認證，認證通過后即可訪問共享互聯網業務，終端再次在共享互聯網業務覆蓋范圍內接入時，無需再次輸入“賬號+密碼”進行認證。

啞終端接入：有啞終端訪問共享互聯網需求的用戶需提前將啞終端接入申請的相關信息（相機MAC、共享互聯網賬號等）通過郵件等方式反饋給園區管理部門，之后后臺技術部門將啞終端相關信息集中錄入至認證系統，實現與共享互聯網用戶賬號綁定，錄入完成后，啞終端設備進入園區指定覆蓋區域即可自動實現免Portal訪問共享互聯網。

4.3 基于大數據及AI的智能運維

將大數據、AI 引入網絡運維中，實時感知網絡/用戶數據，實現基于大數據、AI 的數據分析，依據數據分析結果，完成自動化/半自動化處理，實現網絡運維智能化、主動化、自動化。

a）網絡隱患預測。對精確的網絡狀態、KPI 等數據實時自動獲取分析，通過異常配置識別、資源超限預測等AI 技術挖掘網絡隱患，實時預測網絡隱患，在業務受損前消除隱患。

b）實現故障分鐘級自動定位。基于海量運維大數據實現故障傳播圖自學習，結合在線的嵌入式AI異常識別能力+關聯聚類算法實現故障根因分鐘級定位，歷史故障可回溯。

c）用戶體驗可視化。以用戶體驗為中心，提取用戶體驗關鍵指標，實時感知并依托大數據分析指標，逐步提升用戶體驗，提高用戶滿意度。

5 智慧園區網絡接入解決方案

5.1 Gbit/s級無線接入

隨著VR/AR、4K視頻、超高清視頻會議等高帶寬、低時延應用的出現，無線接入對吞吐性能的要求越來越高。Gbit/s 級無線接入能力依托新一代WiFi-6 產品，適用于高密度無線接入和高容量無線業務，滿足用戶帶寬、時延需求，使用戶獲得最佳體驗。

WiFi-6 是下一代802.11ax 標準的簡稱，引入多種新技術，使得傳輸速度更快、并發連接數更多、吞吐量更大，具有以下一些優勢。

a）采用OFDMA 技術：相同信道同時傳輸多個數據，提高信道利用率。

b）采用MU-MIMO 技術：支持2.4 與5G 的多用戶并發，提升傳輸效率，增加覆蓋范圍，降低使用成本。

c）采用空間復用技術：減少AP 之間的同頻干擾，達到信道資源的共享。

5.2 多業務任意端口靈活接入

共享互聯網和企業內部組網業務在園區內通過有線（任意RJ45 面板/有線接入交換機端口）和無線Wi-Fi（同一SSID）接入，實現多業務任意端口靈活接入。

有線接入用于電腦、打印機、相機等終端接入，可依據需求提供RJ45 面板或者RJ45 交換機接口，對于有供電需求的位置，可在提供RJ45 交換機接口的同時，提供IEEE 802.3bt標準POE 供電，每個端口提供最高60 W功率供電。

6 大型體育賽事組網解決方案

大型體育賽事的業務需求包括共享互聯網、媒體專用網、互聯網專線。

共享互聯網：對于大型體育賽事，無論是賽事的組織者，還是國內外的媒體記者，現場觀賽者，在比賽的準備和進行過程中，都需要信息的傳遞和共享，快速溝通。因此，需為媒體、工作人員、觀眾，提供共享帶寬的互聯網接入服務。在以往大型體育賽事中，認證方式比較復雜，難以實現無感知認證。

媒體專用網：是指為各家媒體分別組建一個虛擬專用網，提供賽時照片即拍即傳和文件回傳至各自媒體獨立工作間的服務，同時電腦、手機、相機等終端認證方式要簡單，尤其針對相機這類無法彈出Portal 頁面的啞終端。在以往大型體育賽事中，媒體專用網和共享互聯網都是物理隔離的，通過獨立組建一張物理網絡，再劃分不同VLAN 給不同新聞社使用。網絡結構復雜，設備數量多，組網成本很高。同時，用戶每次接入專網均需認證，無法實現一次認證，永久在線，用戶體驗差。

互聯網專線：是指通過有線網絡為有專線需求的用戶，在特定位置提供固定帶寬的互聯網接入服務，帶寬速率需可選可調節。而以往大型體育賽事中，專線業務開通周期長，設備配置復雜，無法實現帶寬隨選，或者帶寬調整很不靈活。

此外，大型賽事網絡的室內外場館數量多，距離遠，故障定位難，排障時間長，備品備件數量多，各場館都需要運維專家團隊，整體運維難度比較大。

以上3 項業務需求與園區業務需求類似，因此本文提出的園區組網解決方案可以應用到大型體育賽事組網方案中。

智慧園區網絡承載解決方案、網絡管理解決方案、網絡接入解決方案均可應用到大型體育賽事組網解決方案中，可以實現多業務融合承載、業務無感知認證、網絡智能運維、多業務任意端口靈活接入等。

7 結束語

智慧園區統一承載網采用SR+EVPN技術，為智能業務提供條件，網絡配置更簡化，業務開通更迅速，可以實現多業務融合承載、業務統一無感知認證、基于大數據及AI的智能運維等。

可以預見，智慧園區統一承載網將為園區提供質量更好、可靠性更高、便捷性更強的通信網絡，推動智慧園區網絡高質量、高水平發展。