大中型虚拟化园区网络设计
1. 大中型园区网络的业务需求与挑战
(1)融合承载
需求:
接入终端及业务多样化,需要融合承载的园区网络
挑战:
Wi-Fi及IoT等业务各自独立规划、部署、管理,网络总体建设成本高
网络管理、运维工作量大
(2)网络部署自动化
需求:
应用和业务激增带来的部署、策略复杂性,网络部署需实现自动化
挑战:
重复工作量大,手工配置繁琐
新业务上线需逐台设备进行配置,周期长,成本高
网络策略部署与调整工作量大
(3)用户体验感知
需求:
网络运维需自动化、智能化,随时随地感知用户体验
挑战:
无法第一时间感知业务故障
故障发生后更多是依赖专业人员的运维经验判定业务故障原因,故障无法快速定位
网络无法实现自主优化
2. 华为云园区网络解决方案(CloudCampus解决方案)
(1)特点:
网络开通“快”,部署效率提升(设备即插即用、网络极简部署)
业务发放“快”,用户体验提升(业务随行、终端智能识别、智能HQoS)
智能运维“快”,整网性能提升(实时体验可视、精准故障分析、智能网络调优)
(2)亮点功能:
1)极简部署
物理&虚拟网络自动化
物理网络自动化:设备预配置,即插即用
虚拟网络自动化:自动化构建虚拟网络,实现一网多用
用户策略自动化:以用户、业务、体验为中心,用户策略随行,业务体验随身
2)有线&无线融合
华为园区交换机融合AC,实现有线无线深度融合,为用户提供有线和无线一致化的管理和体验
统一转发、统一认证、统一策略执行
3)无线&物联网融合
华为AP支持IoT模块,AP与IoT基站合一,实现Wi-Fi & IoT网络融合极简部署
4)LAN & WAN融合
特点:
融合的GUI界面,提升部署运维效率
丰富SD-WAN策略,提升应用体验
一个平台,降低用户投资
互联方案:
针对园区出口互联线路,CloudCampus解决方案提供两种互联技术:IPsec VPN和SD-WAN EVPN
WAN侧可提供的应用体验优化策略(应用识别、智能选路、QoS、NAT策略、应用优化等)
(3)部署模式
本地部署
华为公有云部署
MSP(管理服务提供商)自建云部署
(4)方案组件
1)iMaster NCE-Campus
是CloudCampus解决方案主要的配置和管理平台,是CloudCampus业务配置和运维监控的主要入口
特点:自动化+智能化、管理+控制+分析、归+建+维+优
2)iMaster NCE-CampusInsight
当前现状(AS-IS):以设备为中心的网络管理
未来理想状态(TO-BE):以用户体验为中心的AI智能运维
体验可视化、分钟级潜在故障识别和根因定位、网络预测性调优
3)WLAN Planner
高效的WLAN网络规划工具,信号仿真确认AP布放位置和信号覆盖情况
免安装、全场景、高效率、高质量
4)网络硬件产品
CloudEngine S交换机、NetEngine AR路由器、AirEngine Wi-Fi 6 AP、HiSecEngine AI防火墙
(5)网络架构(基于VXLAN的虚拟化园区网络场景)
分为网络层、管理层和应用层
网络层:引入虚拟化技术,分为物理网络和虚拟网络
管理层:网络提供配置管理,业务管理,维护和故障检测、安全威胁分析等管理能力
应用层:通过开放API接口将网络识别的用户身份、网络资源、业务质量、网络中的位置信息、网络拓扑等多种信息,
对上层业务开放通过这些标准化的开放接口,第三方可以根据自身业务需求量身定制业务创新应用
3. 虚拟化园区网络架构
(1)Underlay:物理网络、园区业务数据转发的基础承载网络
(2)Fabric:对Underlay网络抽象后的资源池化网络
(3)虚拟网络(VN):通过将Fabric实例化,能够构建逻辑上隔离的虚拟网络实例
4. 虚拟化园区网络中的网络节点
(1)出口网关:园区网络的出口设备,可以是AR路由器或防火墙
(2)防火墙节点:部署L4~L7安全策略时需该节点,可旁挂部署,或部署在园区出口处
(3)边界网关(Border)节点:用于实现Fabric和外部网络之间的互联互通,一般为核心交换机
(4)透传(Transparent)节点:Fabric的透传节点,无需支持VXLAN
(5)边缘(Edge)节点:Fabric边缘设备,用于连接用户侧设备及Fabric,有线用户的数据从边缘节点进入VXLAN网络
(6)接入节点:包含有线接入节点和无线接入节点,一般就是接入交换机及AP设备
5. CloudCampus关键技术
(1)基于DHCP的网络设备即插即用
网络管理员提前在网络中部署DHCP服务(推荐部署在核心交换机)
DHCP服务器除了向待开局设备发放IP地址,还通过DHCP Option148告知iMaster NCE-Campus的IP地址与端口号
(2)准入认证
802.1x、MAC、Portal
(3)策略联动
若接入节点不支持VXLAN,接入与汇聚(网关)设备间可以部署策略联动,在网关设备上统一管理用户的访问策略
(4)业务随行
业务随行基于安全组进行策略管理及权限控制,不管用户身处何地,使用哪个IP地址,都可以保证该用户获得相同的网络权限,对其执行对应的用户策略
(5)终端识别
自动认证、自动授权、仿冒检测
终端识别方式:主动扫描识别、被动指纹识别
终端识别方法:
被动指纹识别:MAC OUI、HTTP UserAgent、DHCP Option、LLDP、mDNS
主动扫描识别:SNMP Query、Nmap
基于终端类型的策略自动下发流程:
管理员在iMaster NCE-Campus界面,开启终端识别功能,并选择终端类型,指定终端类型的策略
iMaster NCE-Campus将终端识别功能相关配置下发到网络设备
终端接入网络时,网络设备可以采集终端的指纹信息,上报给iMaster NCE-Campus
iMaster NCE-Campus自动匹配终端指纹库,识别终端的类型
iMaster NCE-Campus根据管理员定义的策略,对终端自动下发对应的准入和授权策略
(6)基于VXLAN的网络虚拟化
一张网承载多种业务
物理网络部署自动化
虚拟网络开通自动化
业务策略发放自动化
网络架构设计
1. 概述
(1)整体设计原则:
树形组网、环形组网(核心设备)
(2)可靠性考虑:
节点高可靠性:集群、堆叠、双机热备(AC或FW等)
链路高可靠性:冗余链路、Eth-Trunk
(3)组网层次设计原则:
两层组网:网络层次简单,问题易定位
三层组网:适用于多楼栋或多区域的园区场景
2. 网络架构设计
在实际应用中,可以根据网络规模或业务需要灵活选择三层或二层架构
层次化设计:易于扩展和维护,降低了设计的复杂度和难度
模块化设计:容易进行问题定位
冗余设计:适当的冗余提高可靠性,但过度的冗余也不便于运行维护
对称性设计:便于业务部署,拓扑直观,便于协议设计和分析
网络设计时,一般会根据网络规模采用自底向上的方法来确定采用的基层架构
确定接入接口的数量
选择接入交换机
计算接入交换机的数量
选择汇聚交换机
计算接入交换机的上行链路数
计算汇聚交换机的数量(>1,采用三层架构;否则,采用二层架构)
Underlay网络设计
基础业务设计
1. VLAN规划
VLAN编号建议连续分配,以保证VLAN资源合理利用
建议预留一定数量的VLAN以方便后续扩展
VLAN划分需要区分业务VLAN(逻辑区域、地理区域、人员结构和业务类型)、管理VLAN和互联VLAN
最常用的划分方式是基于接口的方式进行划分,根据不同的设计原则,将接入交换机不同接口划分到不同的VLAN,从而实现不同业务类型用户的隔离需求
2. IP地址规划
园区网的IP地址主要分为业务IP地址、管理IP地址和互联IP地址
遵循原则:唯一性、连续性、扩展性、易维护
注意点:
业务IP地址:考虑到广播域范围及规划的简易程度,建议为每个业务地址段预留掩码为24位的IP地址段,
如果业务终端超出200个,再为其顺延一个掩码为24位的IP地址段
管理IP地址:三层设备建议规划三层接口用于管理和开局,接口地址作为管理IP地址用于和控制器互通或者本地登录
互联IP地址:互联地址通常要聚合后发布,在规划时要充分考虑使用连续的可聚合地址
3. DHCP服务设计
规划独立的DHCP Server为终端用户分配IP地址
建议在接入层设备配置DHCP Snooping,以避免非法攻击
根据网络需求为不同的主机选择不同的分配策略:动态分配机制、静态分配机制
地址池规划需要将静态配置的IP地址过滤掉
根据客户端在线时间合理规划租期
大中型园区DHCP服务器和园区主机通常不在同一个网段,网关需开启DHCP中继功能
4. 路由设计
路由设计包括园区内部路由和园区出口路由设计
内部路由设计:
主要满足园区内部设备、终端的互通需求并且与外部路由交互。
根据网关位置,建议按照如下两种场景设计内部路由:
网关在汇聚层:核心层、汇聚层都需要部署路由,考虑路由表能够根据网络拓扑变化而动态刷新,推荐规划IGP动态路由协议,如OSPF。
网关在核心层:只需要在核心层配置路由,建议优先采用静态路由
出口路由设计:
主要满足内部终端访问Internet、广域网的需求。
大中型园区一般企业分支机构众多,出口需要支持多种链路用于Internet访问和企业内部互访,
需要大量路由引入园区内部,因此建议规划动态路由协议,如OSPF。
园区动态路由协议建议规划OSPF,以下为OSPF设计注意点:
Router ID建议采用Loopback接口IP地址。
区域(Area)划分遵循核心、汇聚、接入的分层原则,骨干区域建议包含出口路由器和核心交换机,非骨干区域的设计则是根据地理位置和设备性能而定。
LAN自动化设计
1. 网络开局设计
核心层及核心以上的设备(包含核心层设备,旁挂独立AC设备和出口设备)推荐采用WEB网管开局方式或命令行开局方式。
核心以下的设备(包含汇聚层设备、接入层设备和AP)由于数量众多,业务配置相似,从简化部署考虑,推荐采用DHCP Option方式即插即用开局。
基于DHCP的设备即插即用开局流程:
管理员在网络的核心设备部署DHCP服务器功能,配置DHCP Option 148选项,其中包含设备的NETCONF使能状态、iMaster NCE-Campus的URL/IP和端口号信息。
待开局设备(如SW)空配置启动后,先使用VLAN 1(缺省情况,交换机的PnP VLAN为VLAN 1)主动向DHCP服务器发起请求。
DHCP服务器收到请求后,就会向SW1回应一个携带Option 148选项的DHCP报文。
SW1根据Option 148选项中的内容(NETCONF使能状态,iMaster NCE-Campus的URL/IP和端口号)向控制器注册上线。
PnP VLAN:是为了完成交换机即插即用定义的VLAN,缺省为VLAN 1
有线PnP VLAN是用来进行交换机管理IP地址的申请
无线PnP VLAN是用来设置AP的管理VLAN,交换机下联设备是AP时,交换机自动将与AP相连端口的PVID修改为无线PnP VLAN
对于交换机来讲,有线和无线PnP VLAN可以不同,但是是同时协商的。如果仅配置有线PnP VLAN,交换机与AP相连端口的PVID将修改为有线PnP VLAN。
2. Underlay网络自动化
自动配置路由域:开启该功能后,自动配置Underlay网络。
域:单域为所有设备均属于Area 0;多域为边界网关节点属于Area 0,其余每个边缘节点与边界网关节点为一个Area。
网络类型:指定OSPF的网络类型,可以选择broadcast、P2MP或者P2P。
加密:设置相邻设备之间的加密方式,可以选择HMAC-SHA256、MD5或者无。
OSPF平滑启动:开启OSPF GR功能。
开启“自动配置路由域”前,需提前规划Underlay网络自动化所需的网络资源:
Underlay网络设备(Fabric对应的网络范围)之间通过VLANIF三层互联:每一条互联链路分配1个VLAN。
设备互联VLANIF接口IP地址:自动分配30位掩码长度的互联地址。
Fabric与Overlay网络设计
1. Fabric设计
(1)概述
园区Fabric是对Underlay网络抽象后的资源池化网络,Fabric将Underlay网络资源池化,以便实现“一网多用”。
Fabric设计主要包含以下部分:
Fabric网络资源规划
Fabric组网及节点设计
Fabric与外部网络互联设计
Fabric网络服务资源规划
Fabric接入管理设计
(2)Fabric组网场景汇总
针对二层或三层组网架构,可选Border或Edge作为网关:
集中式网关:Border做网关可统一集中管理、简化运维
分布式网关:Edge做网关方便扩展网络规模
优先推荐的组网场景
集中式网关:VXLAN到汇聚,核心随板AC部署,或核心旁挂独立AC
分布式网关:VXLAN到汇聚,核心随板AC部署,或核心旁挂独立AC
(3)VXLAN覆盖范围选择
VXLAN范围:
从核心层到接入层:需要全网端到端运维部署自动化
从核心层到汇聚层:需利用旧现网接入层交换机、或不希望在接入层部署VXLAN
(4)集中式网关与分布式网关
集中式网关(推荐):
优点:跨子网流量集中管理,简化网关部署和管理
缺点:转发路径并非最优
分布式网关:
优点:跨子网流量转发路径最优
缺点:网关部署、故障定位及网络运维相对集中式网关复杂。VTEP节点之间需交互及维护主机路由
(5)网关方案选择
集中式网关:
网关位置:Border
推荐Edge位置:汇聚交换机
终端规模:<=50000
分布式网关:
网关位置:Edge
推荐Edge位置:汇聚交换机
终端规模:<=100000
(6)单Border
核心层:集群或单设备,S127E,部署Eth-Trunk
汇聚成:集群或单设备,S127E、S67,部署Eth-Trunk
接入层:有线——堆叠或单设备、无线——瘦AP
服务器区:控制器、分析器及DHCP Server通过服务器区交换机接入
(7)双Border
核心层:集群或单设备,S127E,部署Eth-Trunk,逻辑上的双机
汇聚成:集群或单设备,S127E、S67,部署Eth-Trunk,与核心层形成负载分担
(8)与外部网络互联设计
L3共享出口方式:多个VN共享L3出口,与出口设备互通,且这些VN使用相同的安全策略
L3独占出口方式:每个VN单独一个L3出口,与出口设备互通,且每个VN采用个性化的安全策略
L2共享出口方式:Border节点不作为用户网关,且用户网关必须是Fabric外部的设备
(9)Fabric网络服务资源规划
直连服务资源场景:Border与网络服务资源直连,Border将互联端口以Untagged方式加入互联VLAN
直连交换机场景:Border通过交换机与网络服务资源相连,Border将互联端口以Tagged方式加入互联VLAN
服务器部署在远端场景:Border通过外部网络与网络服务资源相连
(10)Fabric接入管理设计
在创建Fabric过程中,需要对用户接入的认证控制点进行设计,包括接入点资源池规划。
有线接入点资源:终端接入的交换机端口,有线用户接入认证控制点建议部署在Edge
无线接入点资源:终端接入的SSID,无线用户接入认证控制点建议部署在AC
接入端口设计
Fabric扩展AP:下挂设备为华为AP,运行在FIT AP模式
Fabric扩展交换机:下挂设备为华为交换机
终端:终端、未部署策略联动场景下连接的交换机/AP
2. Overlay设计
(1)VN设计流程
VN设计:基于Fabric划分多个VN
策略设计:
根据用户划分安全组,定义组间策略(即策略控制矩阵)
根据策略控制矩阵,定义VN间互访策略
VN接入设计:
规划物理网络的VLAN和VN的BD的映射关系
规划终端用户接入方式
(2)VN设计
网络服务抽象:通过编排实现物理网络资源池化,将网络抽象未FaaS(Fabric as a Service),VN是FaaS的实例,包括:
IP/VLAN
外部网络
网络资源
接入点
网络业务编排:
下发VNI与BD的映射关系
下发BD与VLAN的映射关系
下发VBDIF对应的IP地址段
下发VRF绑定到VBDIF
(3)VN接入设计
Edge节点是业务数据从物理网络进入VN的边界点,根据用户所属的VLAN进入不同的VN
有线用户流量根据VLAN直接接入虚拟网络;
无线用户流量被转发到随板AC后,随板AC解封装CAPWAP报文后根据VLAN进入对应的BD转发
静态VLAN配置:
有线用户在接入交换机的端口配置静态VLAN
无线用户在SSID下配置静态的业务VLAN
动态授权VLAN
对于有线用户,授权VLAN下发到对应的认证点,用户流量到达后,关联至相应VLAN
对于无线用户,授权VLAN下发到对应得随板AC,用户流量到达后,关联至相应VLAN
(4)VN之间互访设计
不同的VN在Border上互通:
不同VN之间互访的流量通过Border转发,Border需负责打通VN(VRF)之间互访的路由
适用于两个VN属于相同的安全区域,安全控制需求比较低的场景
不同的VN到外部网关上做互通:
不同VN之间互访的流量通过Border引导到外部网关,有外部网关执行安全检查或发回,再由Border转发到目的地
适用于两个VN属于不同的安全区域,安全控制需求搞得场景
(5)逻辑网络到物理网络的映射原理
每个虚拟网络对应一个VRF
每个虚拟网络对应多个子网,每个子网对应一个BD和VNI
终端按VLAN进入虚拟网络
准入控制及业务随行设计
1. 用户管理方案设计
主要是:确认用户数据源服务器
RADIUS服务器:推荐使用华为iMaster NCE-Campus作为数据源服务器
AD/LDAP服务器:继续沿用,并使用iMaster NCE-Campus与之进行用户数据同步,最终由iMaster NCE-Campus进行网络授权
2. 用户认证
(1)用户认证技术
企业员工建议使用802.1X认证、访客使用Portal认证、哑终端使用MAC认证
(2)已认证用户与VN的关联
用户在iMaster NCE-Campus上创建虚拟网络
用户认证后获得VLAN授权,根据VLAN关联到虚拟网络
3. 策略管控
(1)访问策略分层设计
逻辑上分为两层:
第一层是VN,各个VN间缺省时不能互访,业务数据相互隔离。解决方案提供了在Fabric内实现VN间互访,或通过外部网络互访的能力
第二层是VN内的安全组,通过将用户及网络资源划分未不同的安全组,
来实现组间通信流量的管控,由业务随行策略执行点负责执行组安全间访问策略
(2)策略设计:
安全组划分——动态安全组:通过NAC授权将接入网络的终端或用户划分为不同的安全组(原则:5W1H)
根据企业组织架构定义企业员工的安全组;
定义组织架构内特殊群体的安全组,如VIP组;
定义接入网络的非企业员工的安全组,如访客组;
定义接入网络的哑终端的安全组,如打印机、门禁等
资源组划分——静态资源组:将一组IP地址资源静态指定为一个资源组(将企业分散的数据中心应用的IP地址聚合为资源组,简化部署)
根据安全要求定义内网网络资源组,如OA资源组、研发资源组等
如有Internet访问控制诉求,则定义Internet资源组
策略控制矩阵设计
根据需求得出业务随行中动态安全组和静态安全组的划分,并根据网络访问权限得出网络权限的访问矩阵
(3)认证点和策略执行点位置选择
一般认证点选择用户网关设备,并且网关设备同时作为策略执行点,部署业务随行功能:
接入交换机数量较多,在每台接入交换机上配置认证功能较为繁琐,管理起来也较为麻烦。
控制器需要项策略执行点设备同步权限策略,如果选用接入交换机作为认证点,
则策略执行点设备会大幅增加,不仅增加了控制器上设备管理的工作量和难度,还延长了每次同步策略的时间
(4)IP-Group同步
控制器向策略执行点交换机同步用户IP地址和Group的关联信息,认证点和策略执行点可以分离,
从而实现灵活组网,且第三方设备混合组网也可轻松应对
(5)业务随行场景化方案
4. 终端识别
(1)终端识别方法设计
网络分析
收集网络中的终端类型
确认网络是否部署Portal认证
确认终端是动态DHCP分配IP地址,还是静态分配IP地址
根据设备信息,选择需要开启的终端识别方法
终端识别功能开启方法:推荐MAC OUI、HTTP UserAgent、DHCP Option、LLDP、mDNS
(2)终端策略设计
终端策略设计支持基于终端类型或操作系统或生产厂商下发对应终端策略
WLAN设计
1. WLAN业务方案
组网架构:AC+FIT AP
组网方式:旁挂AC(随板AC)、直连AC
业务方案:
随板AC方案:
交换机内置AC功能
支持业务随行,有线无线用户统一在交换机上做策略
有线无线用户统一运维
独立AC方案:
独立AC(旁挂到核心设备)
无线用户支持业务随行,但需IP-Group同步方案配合
有线无线用户不统一运维
2. 随板AC方案在VXLAN虚拟化园区中的部署
集中式网关场景:Border交换机具备随板AC功能,管理全网AP
推荐Border部署随板AC功能,AP推荐采用隧道转发模式
无线用户在随板AC上进入VN,Border作为无线用户网关
无线用户组策略在Border上执行,支持业务随行
分布式网关场景:Border交换机具备随板AC功能,管理全网AP
当整网无线用户数量超过50k时,推荐分布式网关场景,AP推荐采用隧道转发模式
无线用户在随板AC上进入VN,Border作为无线用户网关
无线用户组策略在Border上执行,支持业务随行
3. 独立AC方案在VXLAN虚拟化园区中的部署
集中式网关场景:
AC统一管理AP,采用隧道转发模式,无线用户流量经AP进行CAPWAP封装后送达AC,AC解封后,在Border上入VN
Border作为无线用户网关
无线用户组策略在Border上执行,支持业务随行
分布式网关场景:Border交换机具备随板AC功能,管理全网AP
AC统一管理AP,采用隧道转发模式,无线用户流量经AP进行CAPWAP封装后送达AC,AC解封后,在Border上入VN
Border作为无线用户网关
无线用户组策略在Border上执行,支持业务随行
4. 虚拟化园区网络中WLAN部署方案设计
优先推荐随板AC,AP优先选择隧道转发模式
出口网络设计
1. 概述
出口区设计的要求:
网络畅通
网络安全:保障园区网安全可控
接入方式丰富灵活
业务控制能力强
业务使用场景:
安全:防火墙、URL过滤
NAT:源NAT、NAT Server
远程接入:SSL VPN接入
多园区互联:MPLS VPN、IPSec VPN
2. 连接WAN侧设计
路由器出口:单路由器单出口、单路由器双出口、双路由器单出口、双路由器双出口、多路由器多出口
防火墙出口:单FW单出口、单FW双出口、双FW单出口、双FW双出口
连接WAN侧设计,需要考虑的有:
出口链路类型
SD-WAN需求
协议对接需求
3. 连接LAN侧设计
路由对接:单路由单核心交换机对接、双路由器口型对接堆叠核心交换机、双路由器交叉对接堆叠核心交换机
防火墙对接:单FW对接单核心交换机、双FW口型对接堆叠核心交换机、双FW交叉对接堆叠核心交换机
设计建议:
核心交换机建议采用集群/堆叠部署,形成逻辑上的一台交换机,提供了核心交换设备的可靠性
出口网关通常采用双机部署来满足可靠性要求。
出口网关和核心交换机之间推荐采用交叉对接,并采用链路聚合的方案增强设备链路层面的可靠性和转发带宽
4. 防火墙双机热备
防火墙作为出口设备时,建议部署双机热备来提升防火墙的可靠性
5. 防火墙旁挂部署
原则:
可灵活定义流量是否经过防火墙
容易扩展
防火墙故障后,对业务的影响较小
6. 出口路由设计
(1)防火墙直连部署
防火墙与核心交换机间的路由包括:
核心交换机上园区内网到外部网络的路由
防火墙上外部网络到园区内网的回程路由
直连部署:推荐通过静态路由实现核心交换机与防火墙互通
(2)防火墙旁挂部署
旁挂部署场景:
推荐通过静态路由实现核心交换机与防火墙互通
推荐通过动态路由实现核心交换机与出口路由器互通
7. 安全区域设计
防火墙默认安全区域:
Trust区域:较高安全级别、内网终端用户
DMZ区域:中等安全级别、需对外提供服务的服务器所在区域
Untrust区域:低安全级别、Internet等不安全的网络
8. 安全策略设计
针对不同的安全区域开启不同的安全策略
网络安全与服务质量设计
1. 网络安全
(1)总体安全设计
设计原则:
没有绝对安全的网络,只有相对完善的防护措施;
安全是动态变化的,不同网络的安全诉求不同,要按需设计,适合就是最好的
安全是个系统问题,网络相关的所有方面都要进行安全设计
安全体系:
出口安全
内网安全:有线网络安全、无线网络安全
(2)出口网络安全设计
建议在园区出口防火墙部署如下安全业务实现网络边界防护:
将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。
根据公司对外提供的网络服务的类型开启相应的内容安全防护功能,例如针对所有服务器开启反病毒和入侵防御。
针对内网员工访问外部网络的行为,开启URL过滤、反病毒等功能。
出口安全方案设计:
推荐采用防火墙、入侵防御系统等专用安全设备;
也可以采用具有上述安全功能的路由器设备。
(3)有线网络安全设计
安全措施内容和作用:
开启流量抑制和风暴控制
开启DHCP Snooping,上行口配置成trust
开启IPSG和DAI
开启端口隔离
开启CPU防攻击
开启攻击溯源
开启端口防攻击
开启用户级限速
(4)无线网络安全设计
WLAN安全设计主要包括以下方面:
空口安全:如非法AP、非法终端、非法Ad-Hoc网络与拒绝服务型攻击等识别与防护
终端接入安全:确保用户接入无线网络的合法性和安全性
业务安全:保证用户的业务数据在传输过程中的安全性,避免合法用户的业务数据在传输过程中被非法捕获
无线空口安全设计:WIDS(无线入侵检测系统)、WIPS(无线干扰防御系统)、攻击检测、管理帧保护功能PMF
无线终端接入安全设计:空口加密与认证、终端接入安全、暴力破解
无线业务安全设计:AP与AC间有线网络安全、数据传输安全(AP与AC之间的CAPWAP隧道支持采用DTLS加密方式)
2. 服务质量
QoS设计流程通常按照需求调研分析、流量分类设计、调度策略设计3个步骤进行
(1)需求调研分析
在部署QoS之前,要准确掌握网络中各种业务及其流量模型,以及每种业务的服务质量需求
(2)流量分类设计
常见业务的特征分析
网络协议、管理协议、VoIP数据流、语音信令、多媒体会议、游戏、流媒体、在线直播、低时延数据业务、大数据量业务、普通业务、低优先级业务
(3)调度策略设计
有线调度策略设计:
通常部署业务主要分为以下三个方面:
接入层流量识别
汇聚层/核心层DiffServ部署
出口防火墙带宽控制
针对无线终端QoS策略,建议考虑如下设计:
用户带宽
信道抢占
终端接入AP信号强度
组播业务体验
VIP用户体验
运维管理设计
1. 园区网络运维面临的挑战
精准检测、体验感知、问题识别
2. 园区网络运维功能全景图
管理监控:可视化
故障处理:智能化
3. 基础网络运维设计
iMaster NCE-Campus能够对其纳管的设备提供全面的基础网络管理、网元管理、业务管理和系统管理功能,
主要有用户管理、日志管理、资源管理、拓扑管理、告警管理、性能管理
4. 智能运维设计
华为智能运维方案,是采用Telemetry技术将设备上的运维数据发送给华为iMaster NCE-CampusInsight
iMaster NCE-CampusInsight可提供的运维管理功能:
网络可视化:无线网络健康度、有线网络健康度、一体化拓扑
园区业务分析:问题分析、接入分析、性能分析、协议回放
智能无线网络:智能无线射频调优、WLAN拓扑
用户应用体验:应用分析
5. 智能运维方案部署设计
过程:
iMaster NCE-Campus与iMaster NCE-CampusInsight对接
园区网络设备的Syslog、性能数据等信息的采集:在设备上开启采集开关,然后向CampusInsight发送
设计内容:
网络带宽设计、部署位置设计