華為政務園區網絡解決方案
需求與挑戰
政務園區網是獨立的政務大樓、大型的政務園區內的網絡,各級政務機構辦公網絡需求最終都是由政務園區網絡來進行承載,此外各級政務機構的小中型數據中心也是在政務園區網內來進行部署的。由于政府行業的特點,政務園區網相對于普通企業園區網存在如下的特點:
- 園區內存在多個部委或者委辦局,各部門或者委辦局之間的業務需要彼此隔離,縱向連接到各自部委下的上級單位和下級單位,例如園區內省文化廳某機關的網絡縱向需要連接到上級文化部和下級市級的文化局;
- 高度的網絡安全需求,政務網絡承載著涉及國計民生的重大政務應用與重要政務信息,因此網絡的高度安全對政務網絡來說十分重要;
- 接入終端密度大,匯聚層要求可靠性高;
- 實行差異化的QoS服務,保證關鍵業務的承載質量。
政務園區網絡解決方案
政務園區網絡解決方案通過如下方案實現業務層的需求:
- VLAN、MPLS VPN技術,實現部委間業務縱向隔離;
- CSS、iStack無環以太網組網技術,實現政務園區網絡的易擴展、高可靠;
- 分級分業務的QoS保障,保障關鍵政務應用及關鍵業務部門的應用體驗;
- 全系列網絡安全設備,實現終端、內部邊界、出口全方位立體安全;
- 政務園區WLAN部署方案,實現政務無線辦公及外部訪客接入。
圖1 華為政務園區網絡解決方案
VLAN、MPLS VPN技術,實現部委間業務縱向隔離
通過以下措施實現政務園區網內各部委或者委辦局業務間的隔離:
- 各委辦局各自局域網劃分VLAN;
- 各委辦局局域網上聯到園區網匯聚交換設備,匯聚交換設備作為各委辦局三層網關,實現VLAN與MPLS VPN路由映射;
- 園區出口處城域網PE設備完成園區數據流量的MPLS標簽標記。
圖2 VLAN+MPLS VPN實現縱向業務隔離
CSS、iStack技術實現無環以太網組網
無環以太網組網具體組網如下:
設備堆疊/集群:2臺或多臺接入層交換機之間通過iStack技術進行堆疊,2臺匯聚層交換機之間通過CSS技術組建交換集群,2臺核心交換機之間通過CSS技術組建交換集群。堆疊、集群之后,當一臺故障時,另一臺自動接管所有業務。
鏈路聚集:通過Trunk技術,實現鏈路的聚集,一條或多條鏈路故障后,流量自動切換到其他正常的鏈路。
圖3 CSS+iStack無環以太網組網
通過應用無環以太網技術,滿足政務園區網絡接入層終端密度大,匯聚層核心層高可靠的需求。無環以太網技術組網簡單,不需要配置多數可靠性的協議,可以減化配置和維護工作量,減少出錯機率。
分級分業務的QoS保障
園區網實現端到端的QoS保障,園區網所有節點應用QoS策略。QoS策略在多個應用隊列之間進行調度。接入節點通過Remark 802.1p/DSCP進行流量區分,其他節點根據流分類調度。一般情況采用絕對優先方式(SP)調度,特殊情況采用WFQ及HQoS進行調度。
圖4 政務園區網絡QoS保障方案
終端、內部邊界、出口立體安全
遠程安全:遠程接入控制IPSec/SSL VPN;
邊界防御:防火墻、IDS/IPS;
網絡監管:ACL流量控制、DHCP服務器欺詐攻擊防范、ARP欺騙攻擊防范;
IP地址欺騙攻擊防范、ARP限速功能、DHCP限速功能、MAC地址表容量攻擊防護能力;
接入安全:終端安全接入控制(NAC)、用戶隔離、端口隔離。
圖5 政務園區網絡立體安全方案
政務園區網WLAN部署方案
在園區網的核心層部署AC設備,采用主備方式,由AC統一管理AP和無線用戶。AC設備推薦核心交換機(如S97/77等)上直接配置插卡式AC,方便管理,也可采用旁掛獨立AC設備(如AC6605)。
Huawei系列AP支持自適應信道調整、自適應功率調整,方便進行無線網絡的部署。
訪客區安全方案:訪客區劃分專門SSID,并與專用VLAN映射,實現訪客區與內部網絡的安全隔離。
圖6 政務園區WLAN部署方案
方案特點
- 部署方便:華為AP支持功率自適應調整、頻段自適應調整,輕松部署無線網絡
- 運維簡單:核心層集中部署AC,eSight網管平臺支持有線無線一體化管理
- 高可靠性:主備AC方案實現無線網絡的高可靠
- 高安全性:訪客區和內部網絡安全隔離
客戶價值
華為政府園區解決方案幫助政府客戶實現:
1. 多部門業務虛擬隔離,多業務差異化承載
縱向虛擬化,采用MPLS VPN技術實現多業務隔離,橫向虛擬化,采用集群、堆疊技術提高網絡交換容量,實現多業務承載,并采用H-QoS技術實現多業務調度,確?蛻魳I務體驗。
2. 政務無線與有線一體化網絡
園區除了以有線的以太方式部署之外,在不便部署有線接口地方,通過部署 AP 靈活接入用戶,并使兩類用戶具有相同的業務體驗,實現園區網中有線無線完全的融合安全可靠,匯聚設備融合AC。
3. 高度網絡安全
華為NAC帶給客戶泛在安全、全面的終端準入控制,無論有線、無線、分支、遠程都可以實現認證和授權。
4. 分支機構業務靈活部署
智能多業務網關AR G3支持接入、路由、交換、安全、語音等多業務融合,具備完善的接口類型,支持靈活組網,提升網絡可擴展性。
5.園區網絡簡單易維
全系列網絡設備支持統一網管,設備支持業務零配置自動部署,簡化運維復雜度,大幅降低OPEX。
- 上一篇:華為電子政務外網縣級網絡解決方案 2014/10/2
- 下一篇:S7700交換機光口與其它廠家交換機對接無法up 2014/10/1