華為政務(wù)園區網(wǎng)絡(luò )解決方案
需求與挑戰
政務(wù)園區網(wǎng)是獨立的政務(wù)大樓、大型的政務(wù)園區內的網(wǎng)絡(luò ),各級政務(wù)機構辦公網(wǎng)絡(luò )需求最終都是由政務(wù)園區網(wǎng)絡(luò )來(lái)進(jìn)行承載,此外各級政務(wù)機構的小中型數據中心也是在政務(wù)園區網(wǎng)內來(lái)進(jìn)行部署的。由于政府行業(yè)的特點(diǎn),政務(wù)園區網(wǎng)相對于普通企業(yè)園區網(wǎng)存在如下的特點(diǎn):
- 園區內存在多個(gè)部委或者委辦局,各部門(mén)或者委辦局之間的業(yè)務(wù)需要彼此隔離,縱向連接到各自部委下的上級單位和下級單位,例如園區內省文化廳某機關(guān)的網(wǎng)絡(luò )縱向需要連接到上級文化部和下級市級的文化局;
- 高度的網(wǎng)絡(luò )安全需求,政務(wù)網(wǎng)絡(luò )承載著(zhù)涉及國計民生的重大政務(wù)應用與重要政務(wù)信息,因此網(wǎng)絡(luò )的高度安全對政務(wù)網(wǎng)絡(luò )來(lái)說(shuō)十分重要;
- 接入終端密度大,匯聚層要求可靠性高;
- 實(shí)行差異化的QoS服務(wù),保證關(guān)鍵業(yè)務(wù)的承載質(zhì)量。
政務(wù)園區網(wǎng)絡(luò )解決方案
政務(wù)園區網(wǎng)絡(luò )解決方案通過(guò)如下方案實(shí)現業(yè)務(wù)層的需求:
- VLAN、MPLS VPN技術(shù),實(shí)現部委間業(yè)務(wù)縱向隔離;
- CSS、iStack無(wú)環(huán)以太網(wǎng)組網(wǎng)技術(shù),實(shí)現政務(wù)園區網(wǎng)絡(luò )的易擴展、高可靠;
- 分級分業(yè)務(wù)的QoS保障,保障關(guān)鍵政務(wù)應用及關(guān)鍵業(yè)務(wù)部門(mén)的應用體驗;
- 全系列網(wǎng)絡(luò )安全設備,實(shí)現終端、內部邊界、出口全方位立體安全;
- 政務(wù)園區WLAN部署方案,實(shí)現政務(wù)無(wú)線(xiàn)辦公及外部訪(fǎng)客接入。
圖1 華為政務(wù)園區網(wǎng)絡(luò )解決方案
VLAN、MPLS VPN技術(shù),實(shí)現部委間業(yè)務(wù)縱向隔離
通過(guò)以下措施實(shí)現政務(wù)園區網(wǎng)內各部委或者委辦局業(yè)務(wù)間的隔離:
- 各委辦局各自局域網(wǎng)劃分VLAN;
- 各委辦局局域網(wǎng)上聯(lián)到園區網(wǎng)匯聚交換設備,匯聚交換設備作為各委辦局三層網(wǎng)關(guān),實(shí)現VLAN與MPLS VPN路由映射;
- 園區出口處城域網(wǎng)PE設備完成園區數據流量的MPLS標簽標記。
圖2 VLAN+MPLS VPN實(shí)現縱向業(yè)務(wù)隔離
CSS、iStack技術(shù)實(shí)現無(wú)環(huán)以太網(wǎng)組網(wǎng)
無(wú)環(huán)以太網(wǎng)組網(wǎng)具體組網(wǎng)如下:
設備堆疊/集群:2臺或多臺接入層交換機之間通過(guò)iStack技術(shù)進(jìn)行堆疊,2臺匯聚層交換機之間通過(guò)CSS技術(shù)組建交換集群,2臺核心交換機之間通過(guò)CSS技術(shù)組建交換集群。堆疊、集群之后,當一臺故障時(shí),另一臺自動(dòng)接管所有業(yè)務(wù)。
鏈路聚集:通過(guò)Trunk技術(shù),實(shí)現鏈路的聚集,一條或多條鏈路故障后,流量自動(dòng)切換到其他正常的鏈路。
圖3 CSS+iStack無(wú)環(huán)以太網(wǎng)組網(wǎng)
通過(guò)應用無(wú)環(huán)以太網(wǎng)技術(shù),滿(mǎn)足政務(wù)園區網(wǎng)絡(luò )接入層終端密度大,匯聚層核心層高可靠的需求。無(wú)環(huán)以太網(wǎng)技術(shù)組網(wǎng)簡(jiǎn)單,不需要配置多數可靠性的協(xié)議,可以減化配置和維護工作量,減少出錯機率。
分級分業(yè)務(wù)的QoS保障
園區網(wǎng)實(shí)現端到端的QoS保障,園區網(wǎng)所有節點(diǎn)應用QoS策略。QoS策略在多個(gè)應用隊列之間進(jìn)行調度。接入節點(diǎn)通過(guò)Remark 802.1p/DSCP進(jìn)行流量區分,其他節點(diǎn)根據流分類(lèi)調度。一般情況采用絕對優(yōu)先方式(SP)調度,特殊情況采用WFQ及HQoS進(jìn)行調度。
圖4 政務(wù)園區網(wǎng)絡(luò )QoS保障方案
終端、內部邊界、出口立體安全
遠程安全:遠程接入控制IPSec/SSL VPN;
邊界防御:防火墻、IDS/IPS;
網(wǎng)絡(luò )監管:ACL流量控制、DHCP服務(wù)器欺詐攻擊防范、ARP欺騙攻擊防范;
IP地址欺騙攻擊防范、ARP限速功能、DHCP限速功能、MAC地址表容量攻擊防護能力;
接入安全:終端安全接入控制(NAC)、用戶(hù)隔離、端口隔離。
圖5 政務(wù)園區網(wǎng)絡(luò )立體安全方案
政務(wù)園區網(wǎng)WLAN部署方案
在園區網(wǎng)的核心層部署AC設備,采用主備方式,由AC統一管理AP和無(wú)線(xiàn)用戶(hù)。AC設備推薦核心交換機(如S97/77等)上直接配置插卡式AC,方便管理,也可采用旁?huà)飒毩C設備(如AC6605)。
Huawei系列AP支持自適應信道調整、自適應功率調整,方便進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò )的部署。
訪(fǎng)客區安全方案:訪(fǎng)客區劃分專(zhuān)門(mén)SSID,并與專(zhuān)用VLAN映射,實(shí)現訪(fǎng)客區與內部網(wǎng)絡(luò )的安全隔離。
圖6 政務(wù)園區WLAN部署方案
方案特點(diǎn)
- 部署方便:華為AP支持功率自適應調整、頻段自適應調整,輕松部署無(wú)線(xiàn)網(wǎng)絡(luò )
- 運維簡(jiǎn)單:核心層集中部署AC,eSight網(wǎng)管平臺支持有線(xiàn)無(wú)線(xiàn)一體化管理
- 高可靠性:主備AC方案實(shí)現無(wú)線(xiàn)網(wǎng)絡(luò )的高可靠
- 高安全性:訪(fǎng)客區和內部網(wǎng)絡(luò )安全隔離
客戶(hù)價(jià)值
華為政府園區解決方案幫助政府客戶(hù)實(shí)現:
1. 多部門(mén)業(yè)務(wù)虛擬隔離,多業(yè)務(wù)差異化承載
縱向虛擬化,采用MPLS VPN技術(shù)實(shí)現多業(yè)務(wù)隔離,橫向虛擬化,采用集群、堆疊技術(shù)提高網(wǎng)絡(luò )交換容量,實(shí)現多業(yè)務(wù)承載,并采用H-QoS技術(shù)實(shí)現多業(yè)務(wù)調度,確?蛻(hù)業(yè)務(wù)體驗。
2. 政務(wù)無(wú)線(xiàn)與有線(xiàn)一體化網(wǎng)絡(luò )
園區除了以有線(xiàn)的以太方式部署之外,在不便部署有線(xiàn)接口地方,通過(guò)部署 AP 靈活接入用戶(hù),并使兩類(lèi)用戶(hù)具有相同的業(yè)務(wù)體驗,實(shí)現園區網(wǎng)中有線(xiàn)無(wú)線(xiàn)完全的融合安全可靠,匯聚設備融合AC。
3. 高度網(wǎng)絡(luò )安全
華為NAC帶給客戶(hù)泛在安全、全面的終端準入控制,無(wú)論有線(xiàn)、無(wú)線(xiàn)、分支、遠程都可以實(shí)現認證和授權。
4. 分支機構業(yè)務(wù)靈活部署
智能多業(yè)務(wù)網(wǎng)關(guān)AR G3支持接入、路由、交換、安全、語(yǔ)音等多業(yè)務(wù)融合,具備完善的接口類(lèi)型,支持靈活組網(wǎng),提升網(wǎng)絡(luò )可擴展性。
5.園區網(wǎng)絡(luò )簡(jiǎn)單易維
全系列網(wǎng)絡(luò )設備支持統一網(wǎng)管,設備支持業(yè)務(wù)零配置自動(dòng)部署,簡(jiǎn)化運維復雜度,大幅降低OPEX。
- 上一篇:華為電子政務(wù)外網(wǎng)縣級網(wǎng)絡(luò )解決方案 2014/10/2
- 下一篇:S7700交換機光口與其它廠(chǎng)家交換機對接無(wú)法up 2014/10/1