园区网络架构介绍

WAN
OSN6800
分支机构
Internet 园区出口
PSTN
出差员工 合作伙伴/访客
园区外部 园区内部
S9300/5700
Servers
APPS DB
S5700/3700/2700
E1000E
NE40E AR3200 2200/1200
E1000E
Web DNS S3700/2700
核心 汇聚 接入 交换机
接入层
部门A
部门…
部门X
专用网络
融· 易的分支用户管理 融合一体化的远程用户安全：有线无 线用户安全一体化 易于远程统一的安全策略部署 融合多种业务VIP用户权限一致性远 程管理
应用层
HUAWEI TECHNOLOGIES Co., Ltd.
Page 9
HUAWEI Confidential
DMZ 设计
S9300 S7700
Email APPS
数据中心/服务器群
核心层
DMZ
高端 语音 路由器
eSight
管理中心
汇聚层
S9300/7700/ 5700
MA5683T
AP FW IPS/IDS
接入层
部门A
AR3200/2200/1200
S5700/3700/2700 WA6XX 部门… 部门X
专用网络 MA5621
DMZ区是部署对外业务和 服务的区域，狭义的DMZ仅对 互联网用户提供服务。广义的 DMZ区还对内部用户，以及为 合作伙伴提供的服务。 设置DMZ区是出于安全性 和业务便利性的考虑。 外部用户可以访问DMZ区 的web、ftp等服务，但不能访 问到内部的服务。 DMZ区放置对外服务的 web、ftp、mail服务器，也放 置方便内部用户访问Internet的 proxy、dns服务器等 涉及公网和私网转换主要 应用NAT、IPSec/SSL VPN、 GRE over IP Sec等技术。
IPsec VPN
出wk.baidu.com员工 合作伙伴 访客
IPSec/SSL VPN
分支机构
3G/4G\xPON\xDSL
通过WAN访问： 分支员工<->内部服务器
WAN IP/VPN
Internet
通过Internet访问 分支员工<->内部服务器 出差员工<->内部服务器
园区内访问： DMZ<->内部服务器 园区员工<->内部服务器
方案一
方案二
接入层
部门A 部门B 其他区域 L2交换
HUAWEI TECHNOLOGIES Co., Ltd.
Page 13
HUAWEI Confidential
二层接入园区网（推荐方案）
业务流程： 接入设备仅仅为用户提供二层接入功能，并根据 企业具体情况划分VLAN 汇聚设备作为二三层网络的分界点，为用户提供 三层网关 园区接入侧通过MSTP防止网络环路 接入层到汇聚层通过SmartLink或者链路汇聚 （CSS）保证设备间可靠性 通过BFD＋VRRP保证用户网关可靠性 园区汇聚、核心、出口均采用三层路由互联，并 通过IP FRR做快速路由收敛 优点： 低成本，接入侧交换机采用二层交换机，保护和 节省用户投资 满足部门内特殊业务的二层互通需求 缺点： 接入交换机和汇聚交换机之间存在二层环路风险 接入交换机和汇聚交换机之间的链路利用率低 上述两个问题,可通过汇聚交换机集群和接入交换机的 堆叠技术解决
园区出口
冗余性设计：双节点冗余性设计，适当的冗余性提高 可靠性，过度的冗余不便于运行维护
对称性设计：网络的对称性便于业务部署，拓扑直观， 便于协议设计和分析。
核心层
星型网络：
汇聚层
优势：园区网重要的是网络架构简单易维护易 部署，环形网络多用于需要节约光纤的网络 破环技术：星型不等于不成环，因此环保护协 议运行是必须的，有多种全网破环协议，推荐 MSTP
融·易分支
融· 易的远程网络维护 易于远程网络资源统一管理， 网络可视化管理，网络流量、 网络链路、网络设备状态监控 易于远程网络快速安装部署， 调试 融合一体的接入方式：多类型 终端、多种WAN类型上行
分支机构
IPSec VPN 3G/4G\xPON\xDSL
出差员工 合作伙伴/访客
IPSec/SSL VPN
LB xPon
应用层
HUAWEI TECHNOLOGIES Co., Ltd.
Page 6
HUAWEI Confidential
可持续发展的云网络数据中心
主数据中心
Internet WAN IP/VPN 核心层 汇聚层
管理中心
灾备数据中心
与您共同面对云计算、 数据大集中、虚拟化、突发 灾难、多租户服务、多系统、 多业务对企业的挑战，为您 打造可持续发展的云网络数 据中心。
存储
DWDM
存储
HUAWEI TECHNOLOGIES Co., Ltd.
Page 7
HUAWEI Confidential
坚强广域网
扁平化架构
集中管理：业务集中在核心 节点，各分支节点只与核心 节点互访 行业：大中型企业各地分支 与总部互联 企业
金融
树状多层架构
层级管理：业务集中，纵向 业务为主，横向业务在同级 中心节点完成 行业：政府专网两纵间互联； 教育网，金融骨干平台纵向 行业（电力、能源）上下级 单位互联
WAN
PSTN
Internet
分支机构
园区出口
Web DNS Email APPS
企业总部
Servers APPS DB
数据中心/
核心层
DMZ
融· 易的远程业务部署 融合业务一体化网关：语 音、视频、融合通信、增 值业务等 易于业务资源部署、业务 快速发放、状态监控、故 障定位、快速恢复
管理中心
汇聚层
部门A 部门B 其他区域
接入层
环形网络的应用场景：并非所有园区网都一定 是星型的，特殊情况需要特殊考虑，比如地铁 调度网络
HUAWEI TECHNOLOGIES Co., Ltd.
Page 12
HUAWEI Confidential
二三层分界点设计方案
除非没有核心层的小园区网络，否则核心是三 层路由这一点业界已经形成共识，原因是二层 域不能太大，各部门地址规划独立 汇聚还是接入作为分界点有两种方案：
中型园区 200-1000
大型园区 >1000
HUAWEI TECHNOLOGIES Co., Ltd.
Page 2
HUAWEI Confidential
信息时代需要建设园区网
能力 6 成熟 IT能完全满足企业发展需求 5 数据管理 数据进行统一的规划和应用
从第4阶段，IT 开始逐步支撑 企业发展
企业总部
数据中心
DMZ
Web DNS
Servers APPS DB
Email proxy APPS
HUAWEI TECHNOLOGIES Co., Ltd.
Page 10
HUAWEI Confidential
内部服务器区设计
内部服务器区是放置为企业内 部提供服务的服务器，对外服务 所需的APP和DB服务器，建议放 在DMZ，规模达到一定程度需要 建设专门的数据中心。 内部用户能够造成更大的安全 威胁，采取“未经明确允许的就 是被禁止的”及“最小授权”的 严格安全策略 内部服务器区安全部署重点 关注内部子分区的隔离，安照企 业组织、密级、业务进行子分区 划分。 各子分区共用的设备,不同部门 或业务采用虚拟技术隔离，如 VLAN、VPN实例
企业总部
数据中心/ 服务器群 Servers APPS DB
DMZ
Web DNS Email proxy APPS
绝秘子分区或业务在物理位置、 接入交换机上分开； 网络管理、系统管理在物理位 置、接入交换机上分开 涉及公网和私网转换主要应 用NAT、IPSec/SSL VPN、 GRE over IP Sec等技术。
多维接入认证、分权分域管理、文件管理、行为监管
HUAWEI TECHNOLOGIES Co., Ltd.
Page 3
HUAWEI Confidential
企业成长需要建设园区网
分支接入 移动办公
ARG3
•3G/4G\xPON\xDSL •Integration： voice,data,IPsec
Internet
您的企业可充分利用这些成功设计原 则，借鉴成熟案例和方法，建设和优化网 络，满足您的业务要求。
园区内部
DMZ
层次化结构：核心层、汇聚层和接入层，具有稳 定性，可扩展性，可靠性。 模块化设计：园区出口，数据中心， DMZ，网络 管理，分支、园区间、出差员工和合作伙伴灵活 访问和互联。 高可靠性设计：关键部位冗余架构与可靠故障恢 复迅速。 虚拟化设计：纵向虚拟化提供丰富的隔离和安全， 横向虚拟化简化网络、优化流量、易于管理。 整体网络安全设计：防止恶意破坏，保护数据和 网络安全。
园区出口
方案一：二三层分界即网关设在汇聚设备 上，即部门公用网关，采用SuperVlan或 者子接口方式进入三层 方案二：二三层分界即网关设在接入设备 上，部门多个网关，整网没有二层广播域 这两种方案各有优缺点，根据实际情况进行部 署，选择最适合的企业业务的方案
L3路由
核心层
汇聚层
L2交换 L3路由
S2700/S3700/S5700/ S7700/S9300
HUAWEI TECHNOLOGIES Co., Ltd.
Page 4
HUAWEI Confidential
园区网设计概述
其他园区 分支 出差员工 合作伙伴 Internet/WAN 园区出口 数据中心 网络管理 核心层 汇聚层 接入层
园区外部
应用层
基于云、物联网的安全，智能化园区
智能网络设计：全网多业务主动和综合管理，实 时分析网络健康状况，积极预防，排除故障，减 少损失。
HUAWEI TECHNOLOGIES Co., Ltd.
Page 5
HUAWEI Confidential
园区基础网络架构
NE40E S5700/3700/2700 AR3200/2200/1200 WA6XX
4 集成 整合系统，尽量打通各业务流程
计算机时代
质变 3 控制 系统林立，难以共享 2 普及
信息时代
园区智能管理：
一站式网管、基于业务的流量监管、快速问题处理 eSight
园区移动接入：
1 初始 阶段
移动办公、泛在移动设备接入、移动安全保障
园区安全策略： 诺兰模型 企业信息化发展遵循客观规律的经典模型，用 于指导企业IT系统建设，分为6个阶段。
接入层
TOR
EOR
EOR
可演进 面向 “云计算” 和“虚拟化”
可永续 LFR打造无间断， 无环，扁平化以太网，IP+ 光多级灾备
Main frame
Rack server
Main frame
Blade server 服务器
Blade server 服务器
可池化 资源按需调度，提 供多租户服务 可视化 智能可视网管实现 IP&IT统一管理
Security Level:
园区网络架构介绍
www.huawei.com
HUAWEI TECHNOLOGIES Co., Ltd.
HUAWEI Confidential
什么是园区网？
政府、金融、交通、能源„„
电力、石油、制造行业„„
学校园网
高新科技园、软件园 „„
园区分类 终端用户数量
小型园区 <200
交通
电力
高可靠，立足之本 高品质，“高清”体验 承载平台架构 可视运维，智能管理
能源
层级管理、横向协助： 分级分域，多业务中心，既 要纵向业务隔离又要横行业 务互通 行业：电子政务网、政府网、 广电
教育
政府
……
HUAWEI TECHNOLOGIES Co., Ltd.
Page 8
HUAWEI Confidential
HUAWEI TECHNOLOGIES Co., Ltd.
Page 11
HUAWEI Confidential
分层的星型园区网络架构是基本原则
层次化设计：核心层、汇聚层、接入层，每层功能清 晰，架构稳定，易于扩展和易于维护 模块化设计：每一个模块一个部门，部门内部调整涉 及范围小，定位问题也容易。
•Remote Security Access iAccess、eSpace
WAN
NE40E/NE20E NE High-end Router NE40E/NE20E
灾备中心
总部园区
•X-WDM
数据中心
•Unitized WLAN •Campus Switch
•NGDC Switch
S12800
WA603SN/WA603DN/WA633SN
IPsec VPN
出差员工 合作伙伴 访客
分支机构
3G/4G\xPON\xDSL
通过WAN访问： 分支员工<->DMZ
WAN IP/VPN
IPSec/SSL VPN 通过Internet访问 Internet 分支员工<->DMZ 出差员工<->DMZ 合作伙伴<->DMZ 访客<->DMZ
园区内访问： 数据中心<->DMZ 园区员工<->DMZ