云时代面向智慧应用的可运营园区网络建设

2016-09-16许化栋山东省邮电规划设计院有限公司规划研究院副院长高级工程师

信息通信技术与政策 2016年6期

关键词：园区智慧用户

许化栋　山东省邮电规划设计院有限公司规划研究院副院长，高级工程师

云时代面向智慧应用的可运营园区网络建设

许化栋山东省邮电规划设计院有限公司规划研究院副院长，高级工程师

云时代的到来，高校校园、大型企业等园区信息化面临新的形势与需求，如何建设面向智慧应用的园区承载网络是当前面临的重要课题。本文探讨云时代园区网络业务需求，给出面向智慧应用的园区网络建设和精细化运营方案。

智慧园区；多业务；安全；精细化运营；建设

1　引言

互联网云时代的到来，高校校园、大型企业等园区信息化面临新的形势与需求，园区基础网络建设直接影响智慧园区信息化建设。

高校校园、大型企业等园区网络通常包含公共区、办公区、生活区等区域，园区内需承载普通上网、语音、视频监控、视频会议、IPTV等业务，但目前园区普遍针对重要应用无QoS保障机制、安全性较低、稳定性较差、可靠性低、无线覆盖不完善，基础网络建设相对滞后，制约了园区信息化的发展，不能满足智慧园区的建设承载需求。

本文正是基于此背景，对云时代面向智慧应用的可运营园区网络建设进行探讨。

2　智慧园区业务需求分析

随着信息技术的发展与应用的普及，以大型企业、高校等为代表的智慧园区典型业务需求包含传统语音、视频会议、视频监控、IPTV、普通宽带以及门禁等信息交互智慧应用，园区内各类业务典型场景应用和对业务承载需求见表1。

3　面向智慧园区网络建设面临的挑战

与传统的园区网络相比，面向智慧园区网络建设特点和面临的挑战如下：

（1）场景复杂，业务多样，网络需具有多业务承载能力

园区囊括办公区、居住区、公共区等场景，业务包括传统语音、视频会议、视频监控、IPTV、普通宽带以及门禁等信息交互智慧应用，且一般园区接入终端数量过万。园区网络应适应各类场景需要，通过一张网络实现各类业务的良好承载。

（2）园区网络安全性与稳定性要求高

大型园区尤其是校园网场景，各种网络安全攻击与威胁多见，传统的信息安全设备已逐渐不能满足业务需求。面向智慧应用的园区承载网需解决多维接入认证、分权分域管理、行为监管、预防网络攻击等安全性问题，并需统筹考虑网络、线路和设备的可靠性以确保网络整体可靠性。

表1　园区典型场景业务与承载需求

（3）园区网络要求有效管控用户带宽

以P2P为代表的新型互联网应用，对带宽的占用迅速增长，并且传播内容难以管控。面向智慧应用的园区网络需有效控制应用带宽、阻断非法内容传播、实现基于业务的流量监管。

（4）园区网络要求计费认证灵活和易于管理

随着移动互联网和智能终端飞速发展，传统802.1x方式已经难以满足接入终端多样化的需求，面向智慧应用的园区网络需建设更便捷、更具普适性的接入认证计费方案，并实现全网设备有效网管、快速问题定位和处理。

（5）园区网络Internet出口一般多点接入

大型园区网络往往通过连接多运营商等方式实现多出口接入Internet，面向智慧应用的园区网络需实现出口流量的优化选择和负载均衡。

4　面向智慧应用的园区网络建设方案

4.1建设目标

面向智慧应用的园区网络建设目标是：通过园区内一张网络，实现各类业务统一承载，将园区网络建设成为一张安全可靠、可管理、可控制、可精细运营、可提供差异化服务的综合信息承载网，满足智慧园区的信息化承载需求。

4.2设计思路

结合面向智慧应用的园区业务需求和网络建设目标，网络设计思路和功能目标如下：

（1）一张网络实现多业务承载

园区内通过建设一张IP网络，实现传统语音、视频会议、视频监控、IPTV、普通宽带以及门禁等信息交互智慧应用的综合承载。网络应具备如下能力：

●用户及业务的隔离。能对用户、业务进行区分、隔离和单独管控，不同用户不同业务使用互不影响。

●网络应具备端到端服务质量保障。能够提供端到端的服务质量保障，实现对于网络协议控制管理、语音、视频类数据流根据协议类型来进行分类和标记，保障不同业务质量和用户感知。

（2）网络安全性设计

●可通过对终端鉴别和授权，能对仿冒终端的识别、隔离与控制。

●能抑止合法终端的非法活动如网络攻击、病毒等。

（3）网络可靠性设计

●网络结构设计合理，拓扑简单，易于扩展，支持可持续发展。

●主要网络设备主控板、端口、电源等实现冗余备份，主要网络节点进行设备、链路双备份，日常流量负荷分担，一旦某链路或节点出故障时可实现自动切换，保障关键业务不中断。

（4）网络管理与精细化运营需求

●支持接入方式多样、计费策略灵活。

●可以通过域管理进行用户区分，为用户提供不同带宽和权限。

●统一网络管理。可针对某具体网络设备实现远程管理、配置、实现远程启闭、使能或禁止网络接入等功能。

●实现网络定位。网络接入设备位置信息与GIS地理信息结合，可以确定有线无线网络接入设备的物理地理位置信息，帮助实现门禁、考勤等信息化应用。

●大数据分析处理。园区上网会产生大量的网络访问信息。例如，上网时间、下网时间、上网地点、访问的网页等，通过统计分析，可以了解用户在某一段时间关注内容、热点等，可据此加以引导、管控。

（5）无线网络全覆盖要求。

●采用灵活的无线覆盖手段。结合场景，可以采用室外大功率覆盖、室内放装覆盖、室内分布系统覆盖等方式进行无线网络覆盖。

●无线网络容量充足。对于人员密集场所能满足大并发量用户的上网需求。

●移动漫游管理。实现无线接入用户的无缝漫游，使无线终端在热点区域漫游时不再受限于有线网络。

4.3网络建设方案

（1）基础网络建设

为满足智慧园区业务需求，面向智慧应用的可运营园区网整体逻辑架构，可分为基础网络区、数据中心区、DMZ区、出口互联区和运维管理区5个部分。其中，基础网络区可分为出口层、核心层、汇聚层、接入层和应用层。基础网络建设架构见图1。

图1　网络架构图

网络各层主要功能说明和功能如下：

●出口层为高性能防火墙综合设备，具有高性能的NAT功能、防御网络攻击以及流量管控能力，同时能针对出口多线路实现负载均衡，以提高网络多线路资源的利用率。

●核心层主要由BRAS和核心交换机组成。BRAS实现认证、统一实名制管理。核心交换机负责整个园区内部互联、业务转发。核心交换机中集中部署WLAN AC板卡，实现有线无线流量深度融合和管理，规避AC设备单独部署后通过有线转发时无线流量存在瓶颈的问题，同时又节省投资、减少网络故障点。

●汇聚层主要实现各接入设备和业务的汇聚和收敛，功能上主要实现QinQ标记、二层VLAN的透传，便于网络的扩展与组织。

●接入层由接入交换机、AP或PON组成，将校园用户有线和无线的各类终端实现网络接入。业务实现接入时，通过不用VLAN等方式进行用户/业务的逻辑区分和隔离。

园区汇聚/接入层有线接入可以采用PON组网，也可以采用纯LAN模式组网，实现各种终端接入。传统LAN模式需设置有源汇聚层交换机进行业务汇聚，层次相对复杂，用户侧较难以保障一根缆线入户实现多业务隔离和网络质量保障，如需多业务隔离和质量保障需采用多条缆线分别延伸至用户末端接入各类业务；PON模式采用无源设备扩展，带宽利用率高，且用户侧通过ONT扩展能实现末端一根缆线入户、多种业务的隔离，对多业务具有较好的承载性。建议新建面向智慧应用的园区网络采用PON网络组网；综合考虑网络现状，如果园区原LAN设备可网管、支持VLAN、线缆具备部署条件或能满足业务使用需要，也可采用LAN组网，但如进行网络设备改造时，也可采用10G PON+LAN进行网络升级改造（见图2）。

园区无线网络主要通过WLAN接入，部分特殊场景通过室内分布系统覆盖。WLAN覆盖规划与建设应根据用户分布和业务需求，满足各类场景下交互终端应用需求。为避免信号干扰，WLAN信道规划遵循蜂窝覆盖、信道间隔原则，AP可交替使用2.4G的1、6、11信道及5.0G的36、40、44信道；为扩大用户密集场景下网络容量，WLAN可进行双频组网。WLAN单频和双频覆盖组织示意见图3。

图2　基于PON和LAN网络的园区承载网络方案

图3　WLAN单频覆盖和双频覆盖的示意图

数据中心是园区数据集中存储区域，结合云计算，统一部署服务器资源池，为用户提供云服务。

网络管理区包含计费服务器、DHCP服务器、Portlal服务器、网管系统等，实现对园区内用户进行认证和管理，实现网络内所有设备的集中管理。

DMZ区主要提供外网的合法访问，包括提供公共用户访问的公开网站，以及对应的APP服务，并对出差的内部员工的访问，提供SSLVPN的安全访问。

（2）多业务承载方式

无线接入网WLAN空口配置WMM调度，通过SSID与VLAN进行1: 1匹配映射，并在有线侧进行优先级映射；有线接入网不同用户和业务可通过VLAN实现隔离，园区网络BRAS以下工作在二层，网络部署二层以802.1P为主、三层以Diffserv为主的QoS端到端保障机制；网络开启PIM-SM+IGMPSnooping组播协议，组播复制点设置在ONU或接入网交换机，网络能较好的支持组播，能保障普通上网、普通电话、视频会议、IPTV以及监控等业务的统一承载。

（3）安全性与可靠性

园区二层网络通过VLAN、PPPoE等方式实现用户、业务有效隔离，网络能有效解决ARP攻击、网络风暴等问题；另外，网络方案中可融合了安全技术，部署了综合防御网关、网络行为审计、入侵防御设备、远程安全访问系统等，全网能较好的防御病毒攻击、不法行为审计、终端有效管理、远程访问灵活安全等特性，构建园区网全方位、立体化的安全体系。

园区内主要设备自身双电源、双冗余、关键业务部署在不同板卡外，关键设备实现双接入、双冗余、互为备份，尤其是BRAS采用双机Session级热备份，二层网络采用VRRP、BFD、Trunk等替代传统STP机制，克服STP收敛时间长、链路利用率低、配置维护复杂、网络故障率高和稳定性差等问题，提升链路可靠性和带宽利用率，实现了网络各层级冗余设计，保障了网络的高可靠性。

（4）IPv6与SDN演进

园区全网采用双栈模式，IPv6与IPv4均独立完整，均保持所需的功能性和安全性；且IPv6结构与IPv4网络结构可相同，在网络各接入、汇聚、核心、BRAS及数据中心设备等，同时运行IPv4和IPv6协议，实现园区网络对IPv6业务全面兼容。

园区核心交换机等设备尽量采用支持一机双平面，实现传统网络平面与增强控制平面可以独立部署，并支持基于可编程芯片ENP和POF协议无感知转发技术，可以平滑地过渡到未来SDN时代的控制与转发分离架构。

5　园区网络精细化运营方案

5.1用户认证规划

常见的认证计费方案主要有Portal/Web、802.1x、PPPoE、IPoE等，各种认证方式均具有不同特点、适应不同的场景，具体认证计费方案比较见表2。

表2　常见认证计费方式比较

园区采用基于BRAS的认证方案，可根据具体不同场景采用适合的认证方式，生活区可采用PPPoE认证，办公区可采用IPoE认证，打印机、IP电话等哑终端可采用IPoE并配合MAC认证的方式，公共区采用Portal认证方式，具体实现见表3。

表3　园区不同场景认证方式比较

5.2集中网络管理

园区根据营运需要，建设集中网络管理系统，实现网络中的路由器、交换机、WLAN、AR和防火墙设备统一监控和统一管理。集中网管系统建设应基于并满足网络的运维主要需求：

（1）全网一体化管理

通过集中网管，可以统一监控园区所有交换机、路由器、安全设备以及IT设备，支持拓扑可视化拓扑管理，支持网络、设备有声告警等。

（2）批量配置管理

向导式的业务部署以及基于表单导入，实现对设备的批量配置，提升管理效率。

（3）性能和故障管理

基于NetFlow、NetStream、sFlow协议对网络流量进行深入分析，收集BRAS、交换机等数据信息，实时呈现流量及带宽使用情况，并具有流量统计功能，为网络故障、带宽拥塞、异常流量等诊断等提供依据。

5.3日志管理系统

园区可建设日志管理系统，且系统应支持专业NAT溯源，对用户上网行为进行审计，对路由器、防火墙等设备的会话日志进行采集和分析，实现NAT信息和用户数据信息关联。

5.4行为安全审计

园区可建设行为安全审计系统，建议采用旁挂BRAS模式部署，对整体的网络结构完全不造成任何影响，并能通过BRAS把全网上网流量进行镜像到行为安全审计系统接口，对流量进行分析和记录。且BRAS可把用户认证的信息，包括用户账号，动态获得的IP地址对应关系也一并传递到行为安全审计系统，使系统能实现完整的行为记录。

（1）URL访问审计

审计域用户所访问的URL，支持审计所有URL和仅审计指定分类的URL。

（2）Web内容上传审计

审计用户通过HTTP协议POST的内容，供事后追查在论坛/博客上发表的不良言论。

（3）Web文件外发审计

审计用户通过HTTP协议上传的文件，审计用户Web文件下载通过网站下载的文件名称、类型和大小，了解用户下载行为，有效追踪泄密事件。

（4）邮件审计

审计邮件标题、邮件内容、发件人、收件人、邮件附件等。

（5）IM聊天审计

IM审计需要使用行为安全审计系统客户端，可以审计的IM软件包括QQ、阿里旺旺、飞信、MSN、雅虎通和Gtalk，可以审计聊天内容和外发的附件。根据以上审计内容，形成详细的报告和相关数据趋势分析，实现精准的违法溯和网络行为趋势分析。