《【网络工程规划与设计案例教程】项目二_任务二_中小企业网络解决方案部署指南.doc》由会员分享,可在线阅读,更多相关《【网络工程规划与设计案例教程】项目二_任务二_中小企业网络解决方案部署指南.doc(181页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流【网络工程规划与设计案例教程】项目二_任务二_中小企业网络解决方案部署指南.精品文档. 中小企业网络解决方案部署指南华为技术有限公司201210目录1.中小企业网络解决方案概述11.1中小企业定义11.2中小企业分类11.2.1微型机构11.2.2小型机构11.2.3中小型机构11.2.4中型机构11.3中小企业网络的典型组网21.3.1微型机构典型组网21.3.2小型机构典型组网21.3.3中小型机构典型组网31.3.4中型机构典型组网31.4中小企业网络部署的主要关注点31.4.1园区互联31.4.2无线接入61.4.3NAC系统91.4
2、.4VoIP语音101.4.5可靠性101.4.6服务质量101.4.7分支接入111.4.8远程接入111.4.9访问公网111.4.10网络管理121.5产品配套关系122.基础网络部署132.1概述132.1.1基础网络部署简介132.1.2配套版本132.1.3部署思想142.2配置堆叠系统142.3配置管理IP地址152.4配置接口和VLAN152.4.1配置Eth-Trunk接口152.4.2用户侧接口配置162.4.3网络侧接口配置162.5配置用户网关172.5.1配置用户网关IP地址172.5.2配置DHCPServer(全局地址池)172.5.3配置DHCPServer(接
3、口地址池)172.5.4(可选)接入交换机上配置DHCPSnooping182.6配置路由182.7配置QoS182.7.1接入交换机上配置重标记192.7.2汇聚层交换机上配置QoS调度192.8配置可靠性192.9配置举例202.9.1组网需求202.9.2数据准备202.9.3操作步骤212.9.4配置文件313.无线接入部署383.1概述383.1.1WLAN简介383.1.2WLAN基本架构383.1.3典型组网403.1.4配套版本413.1.5部署思路413.2配置网络互通433.3配置AP发现AC433.3.1概述433.3.2配置AP通过DHCPOption43发现AC443
4、.3.3配置AP通过DHCPOption15和DNS解析发现AC443.4配置集成式AC453.4.1配置AC基本功能453.4.2在AC上管理AP453.4.3配置WLAN射频473.4.4配置ESS483.4.5配置VAP并下发到AP503.5配置终端513.6配置举例513.6.1组网需求513.6.2数据准备523.6.3配置思路523.6.4操作步骤533.6.5配置文件574.分支和远程接入部署594.1概述594.1.1分支和远程接入简介594.1.2部署思路604.2部署分支通过公网IPSecVPN接入604.2.1配置出口路由器接口的IP地址604.2.2配置静态路由604.
5、2.3配置IPSec614.3部署出差员工通过SSL VPN接入634.3.1配置虚拟网关644.3.2配置用户认证644.3.3配置端口转发654.3.4配置策略664.4配置举例674.4.1部署分支通过公网IPSecVPN接入674.4.2部署出差员工通过SSL VPN接入735.安全部署785.1概述785.1.1中小企业安全方案简介785.1.2NAC系统简介785.1.3典型组网815.1.4配套版本825.1.5部署思路825.2配置业务网关835.2.1配置AAA功能835.2.2配置Portal认证845.2.3配置802.1x认证855.3配置TSM服务器865.3.1配置
6、普通账号875.3.2配置按OU方式同步AD域账号信息895.3.3配置Portal认证控制955.3.4配置802.1x认证控制985.4配置TSMAgent1005.5配置举例1025.5.1部署基于802.1x认证的NAC系统1025.5.2部署基于Portal认证的NAC系统1196.VoIP语音部署1336.1概述1336.1.1企业语音业务简介1336.1.2典型组网1366.1.3配套版本1366.2配置网络互通1366.3配置总部/分布式分支的IP PBX1376.3.1配置信令IP地址和媒体IP地址1376.3.2配置号码归属的企业、群、号首集1376.3.3配置SIP服务器
7、1376.3.4配置字冠1386.3.5配置PBX用户1386.4配置SIP话机接入IP PBX1386.5配置POTS话机/FAX通过IAD接入IP PBX1406.6配置POTS话机/FAX通过SIPAG接入IP PBX1406.6.1配置SIPAG接口1406.6.2配置SIPAG用户1416.6.3配置SIPAG接入IP PBX1416.6.4复位SIPAG1426.7配置总部/分支IP PBX互联1426.7.1配置SIPIP中继群1426.7.2配置呼叫路由1436.8配置总部IP PBX与原有TDMPBX互联1436.8.1配置PRA中继群1446.8.2配置PRA中继1446.
8、8.3配置呼叫路由1446.8.4配置路由后号码变换1456.9配置总部/分支IP PBX与PSTN/PLMN互联1456.10配置举例1457.网络管理1767.1概述1767.1.1eSight简介1767.1.2配套版本1767.2资源管理1767.2.1创建子网1767.2.2手工创建单个网元1777.2.3手工批量导入网元1787.2.4自动发现网元1787.2.5查看资源信息1797.2.6修改资源信息1797.2.7删除网元1797.2.8删除子网1807.3拓扑管理1807.3.1创建虚拟网元1817.3.2创建链路1817.3.3调整网元位置1827.3.4调整子网1827.
9、4告警管理1827.4.1浏览当前告警1827.4.2确认告警1837.4.3清除告警1837.5性能管理1847.5.1设置性能监视模板1847.5.2创建性能监视任务1857.5.3设置性能监视任务1867.5.4添加性能监视视图1867.5.5查询最近性能数据1877.5.6查询历史性能监视数据1877.5.7查看网元性能概况1887.6设备定制1887.6.1设置自定义设备基本信息1897.6.2设置自定义设备管理能力1897.6.3检测自定义设备网络状态1987.6.4调用自定义设备的Web网管2001. 中小企业网络解决方案概述1.1 中小企业定义在IT&IP领域中,中小企业(SM
10、B)通常是指信息点(电脑、服务器等)数量在一定规模以下、对于网络的业务需求相对较为简单的的企事业机构。中小企业所涉及的行业非常广泛,例如区县政府、普职教、酒店、制造、医疗、物流、连锁店、网吧、影楼、咖啡屋等等。业界对于中小企业的具体规模定义不尽相同。在华为公司,通常把信息点数量在1000以下的机构划分为中小企业。1.2 中小企业分类中小企业的网络按照其信息点规模和业务需求,可以分为微型机构、小型机构、中小型机构和中型机构四类。1.2.1 微型机构微型机构的信息点数量在50以下。微型机构因为企业员工数量少、业务需求单一,另外生存状态可能不稳定,所以对企业网络有很高的经济性要求,对通信设备稳定度要
11、求不高,只需要基础网络能够支撑基本工作需要的内部互联、接入Internet、收发Email、打印等简单业务即可。1.2.2 小型机构小型机构的信息点数量在50到100之间。小型机构由于业务量和员工数量达到一定规模,生存状态相对稳定,因此网络部署开始注重易管理、可扩展、稳定和安全性,但是依然注重网络的经济性要求。在业务上能够支撑基本工作需要的内部互联、接入Internet、收发Email、打印等简单业务即可。1.2.3 中小型机构中小型机构的信息点数量在100到300之间。中小型机构的网络部署更注重高性能、易管理、扁平化、高可靠性,而成本价格方面的优先级则相对降低。中小型机构的业务需求更为广泛,
12、除了内部互联、接入Internet、收发Email、打印等简单业务之外,可能还涉及企业VoIP语音、工业生产控制等等。1.2.4 中型机构中型机构的信息点数量在300到1000之间。中型机构的网络已经具备一定规模,其网络部署一般注重高性能、易管理、高可靠性、网络层次清晰,能够实现多业务的承载,并且关注网络的安全性和可扩展性。在业务上,中型机构中的业务种类更加丰富,语音、数据、安全、移动、广播、视频监控等多种业务综合部署,需要企业IP网络能够实现ALLIP全业务承载,并且可以提供对外的服务,例如供外部客户访问的网站/服务器、出差员工的外地远程接入服务等。1.3 中小企业网络的典型组网1.3.1
13、微型机构典型组网微型机构可以以低端AR路由器为中心搭建公司网络。AR路由器作为企业网关,支持Web、打印、认证、Email等业务接入,以及无线终端和有线终端的混合接入。同时AR路由器集成简单防火墙功能,提供边界安全。企业可以通过增加低成本交换机扩展接入范围,以提升扩展性。图1 微型机构典型组网图1.3.2 小型机构典型组网小型机构可以以中低端交换机为中心搭建公司网络,该交换机作为中心汇聚点,通过其他低端交换机实现业务和终端的接入。同时部署AR路由器作为企业网关,连接广域网或Internet。AR路由器集成简单防火墙功能,提供边界安全。图2 小型机构典型组网图1.3.3 中小型机构典型组网中小型
14、企业的组网结构和小型企业类似,但因为企业规模的进一步扩大,有更强的企业内部互联以及企业出口的要求,对网络可靠性、可扩展性、安全性方面有一定要求。这些要求体现在设备上,则需要功能更强的AR作为企业网关,通过中心交换机的双备份以及流量分担,进一步提升中心汇聚点的交换机性能、容量以及可靠性。图3 中小型机构典型组网图1.3.4 中型机构典型组网中型机构网络中的信息点已经具备一定规模,同时机构中的业务种类也较为丰富,因此对于多业务承载、可靠性、可扩展性、安全性提出了较高的要求。并且要求可以提供网络管理、业务维护、故障处理等服务。图4 中型机构典型组网图1.4 中小企业网络部署的主要关注点1.4.1 园
15、区互联园区互联是指通过对网络设备的接口、VLAN、IP地址、DHCP、路由等方面的部署,使园区内的所有模块、所有终端能够实现最基本的互联互通,终端用户可以正常上线,并访问园区内的各种资源。(1)接口和链路在接口的部署方面,主要需要考虑如下几个方面:A通常情况下,接入交换机的用户侧接口使用FE接口,实现百兆到桌面的接入。B除了接入交换机的用户侧接口之外,其他的节点互联一般都采用GE/XGE接口。C通常接入交换机和汇聚交换机之间的链路、汇聚交换机和核心交换机之间的链路、核心交换机之间的互联链路建议采用Eth-Trunk链路。Eth-Trunk链路两端的设备上应创建Eth-Trunk接口并加入物理成
16、员接口。除了物理接口的选择之外,对于某个接口来说,还需要设置接口的链路类型。例如除了接入交换机的用户侧接口应配置为Access或者Hybrid类型之外,其他的接口均应配置为Trunk或者Hybrid接口类型。(2)VLANVLAN的部署对于企业网络来说至关重要,通过VLAN的部署,既可以隔离广播域,减少广播风暴;又可以实现用户之间的隔离,增强信息的安全性。在企业网络中的VLAN一般可以分为如下几种。表1 VLAN分类分类描述用户VLAN用户VLAN用来对不同的用户端口进行隔离,或者用来分割较大的广播域,减少广播风暴。用户VLAN通常根据业务需要进行规划。VLAN最好不要跨交换机,即使跨交换机,
17、数目也需要限制。VoiceVLANVoiceVLAN是为用户的语音数据流划分的专用VLAN,用户通过创建VoiceVLAN并将连接语音设备的端口加入VoiceVLAN,可以使语音数据集中在VoiceVLAN中进行传输,便于对语音流进行有针对性的QoS配置,提高语音流量的传输优先级,保证通话质量。GuestVLAN如果园区网中部署了基于802.1x的NAC系统,则用户在通过802.1x认证之前,接入交换机会把该用户端口加入到GuestVLAN,用户只能访问有限的网络资源,用于获取认证客户端软件或者执行其他一些应用升级程序(例如防病毒软件、操作系统补丁程序等)。当用户认证通过后,端口离开Guest
18、VLAN并加入用户VLAN。企业网络中部署VLAN,一般可遵循如下原则:A按照不同业务区域划分不同的VLAN。B同一业务区域按照具体的业务类型(如Web、APP、DB)划分不同的VLAN。CVLAN需连续分配以保证VLAN资源合理利用。D预留一定数目VLAN方便后续扩展。例如按照逻辑区域、地理区域和人员结构,可以分层规划VLAN如下。表2 VLAN规划样例逻辑区域VLAN规划核心层100199数据中心200999Web区域200299App区域300399DB区域400499接入网络20003499A地域20002199部门X20002009部门Y20102019B地域22002399业务网络
19、35003999(3)IP地址IP地址的合理规划是网络设计中的重要一环,IP地址规划的好坏,影响到网络路由协议算法的效率、网络的性能、网络的可扩展性和网络的管理,也必将直接影响到网络应用的进一步发展。园区网的IP地址主要分为以下几类:ALoopBack地址为了方便管理,会为每一台网络设备创建一个LoopBack接口,并在该接口上单独指定一个IP地址作为管理地址。LoopBack地址务必使用32位掩码的地址,最后一位是奇数的表示路由器,是偶数的表示交换机,越是核心的设备,LoopBack地址越小。B互联地址互联地址是指两台网络设备相互连接的接口所需要的地址,互联地址务必使用30位掩码的地址。核心
20、设备使用较小的一个地址,互联地址通常要聚合后发布,在规划时要充分考虑使用连续的可聚合地址。C业务地址业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址,业务地址规划时所有的网关地址统一使用相同的末位数字,例如X.X.X.254都是表示网关。园区网的IP地址规划,一般可遵循如下原则:A唯一性、连续性、扩展性、实意性。a.唯一性一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。b.连续性连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。c.扩展性地址分配在每一层次上都要留有余量,在
21、网络规模扩展时能保证地址叠合所需的连续性。d.实意性好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大至判断出该地址所属的设备。B内部的IP地址建议使用私网IP地址,在边缘网络通过NAT转换成公网地址后接入公网。C汇聚交换机下接入的网段可能有很多,在规划的时候需要考虑路由聚合,这样可以减少核心网络的路由数。(4)DHCP中小企业中建议使用网关设备(例如出口路由器或者核心交换机)内置的DHCPServer功能来为用户分配IP地址。一般不建议网关设备部署DHCPRelay(因为需要独立的外置DHCP服务器),建议使用网关设备内置的DHCPServer功能即可。园区网中DHCP分配地址时,
22、一般根据VLAN来进行分配,如有特殊要求,可以在接入交换机部署DHCPOption82功能,根据交换机的接入信息来进行分配。另外,为了防止园区网中的各种有意或无意的DHCP攻击,例如DHCPDoS攻击、DHCPServer仿冒攻击、DHCP仿冒续租报文攻击等。可以在接入交换机上部署DHCPSnooping功能来进行防范。(5)路由对于中小企业来说,由于其内网规模较小,因此通常不需要部署BGP和IGP,使用静态路由即可。1.4.2 无线接入无线接入是指在企业内部署WLAN网络,实现各种移动终端(例如智能手机、PDA、笔记本电脑等)的接入,并提供与固定终端相同的接入体验。WLAN网络主要由STA、
23、AP、AC等部件组成。STA(Station)指各种接入终端,例如电脑、手机、PDA等。AP(AccessPoint)AP是WLAN网络的主要设备,是实现无线技术的关键部件。AP对上提供有线连接,对下提供无线接入,起到有线和无线网络的桥接作用。AC(AccessController)AC主要完成对AP设备的管理。包括AP点管理、射频管理、用户认证、完全管理等。AC通过CAPWAP(ControllingandProvisioningofWirelessAccessPoint)协议完成管理功能。在中小企业中部署WLAN一般需要考虑如下方面:(1)WLAN的架构WLAN网络主要有自治式和集中式两种
24、网络架构。自治式架构自治式架构又称为FATAP架构。在该架构下,AP实现所有无线接入功能(称为“胖AP”),不需要AC设备形态。WLAN早期广泛采用自治式架构,随着企业大量部署AP时,对AP进行配置、升级软件等管理工作将给用户带来很高的操作成本,管理成本提高,自治式架构应用逐步减少。目前通常在一些SOHO或者家庭WLAN中使用。集中式架构集中式架构又称为FITAP架构。在该架构下,通过AC集中管理和控制多个AP(称为瘦AP)。在集中式架构下,所有无线接入功能由AP和AC间共同完成:AC完成网络具有重要意义的功能,例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS和数据包转发等。AP
25、完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。AP和AC间采用CAPWAP协议进行通讯,AC与AP间可以是直连或者穿越二层或三层网络。集中式架构是企业网、运营商等WLAN方案的主要架构,便于集中管理、集中认证和集中安全管理。下文中的WLAN部署方案均基于集中式架构。(2)AC的部署方式在集中式WLAN架构中,根据AC的部署方式,又可分为集中式AC方案和分布式AC方案。集中式AC方案,是指整个网络中集中部署AC设备(一般是独立的AC设备),来控制和管理整网的AP设备。分布式AC方案,是指网络中分区域采用多个AC设备,分别对本区域的AP设备进行
26、管理。分布式AC方案一般不采用独立的AC设备,而是采用在汇聚交换机上集成AC功能,来实现对本交换机下挂的所有AP进行管理。集中式AC方案对于用户和网络的集中管理能力强,但是对AC的性能要求较高,投资成本较高;分布式AC方案对性能要求较低,投资成本较低,但是由于管理点分散,因此部署和管理相对复杂。(3)AC的部署位置根据AC在网络上所处位置,可分为AC旁挂方案和AC直路方案。AC旁挂方案AC旁挂方案是指将AC部署在用户网关设备(汇聚或核心交换机)一侧,实现对用户网关设备下所有AP的管理。旁挂方案主要用于原有网络汇聚/核心设备非华为设备的场景。AC直路方案AC直路方案是指在将AC部署在AP与用户网
27、关设备(汇聚或核心交换机)之间,实现对下辖所有AP的管理。直路方案主要用于新建网络或原有网络汇聚/核心设备为华为设备的场景。(4)AC的硬件形态根据AC的硬件形态,可分为独立AC方案和集成AC方案。独立AC方案独立AC方案是指采用单独的AC硬件设备(例如WS6603产品),通过直路或者旁挂方式实现对于所有AP的管理。独立AC方案一般应用在集中式AC的WLAN部署方案中。独立AC的性能优异,可以实现大容量高性能的WLAN网络部署。但是独立AC相比交换机集成的AC价格昂贵一些。集成AC方案集成AC方案是指不采用单独的AC硬件设备,而是采用在交换机中集成的AC硬件插卡(例如S7700的SPU板),来
28、实现对交换机下所有AP的管理。集成AC方案可应用在集中式AC部署方案中,也可应用在分布式AC部署方案中。集成AC方案部署较为简便,价格相对低廉一些,但是性能方面与独立的AC设备相比略差。(5)业务转发模式业务转发模式是指AP针对用户的业务数据的转发处理方式,包括独立转发模式和隧道模式两种。独立转发模式独立转发模式又称直接转发模式,是指AP上对用户数据由本地直接转发到上层网络,不需要经过AC处理,AC只对AP进行管理。而AP管理流封装在CAPWAP隧道中,到达AC终止。独立转发模式下,业务部署和设备管理简单,数据流量不经过AC,AC负担小;但是无法实施统一的安全监管策略。隧道转发模式隧道转发模式
29、是指AP将用户数据、自身管理数据统一封装在CAPWAP隧道中,发送至AC,由AC统一转发。隧道转发模式下,流量全部经过AC,可以按用户需求规划安全监管策略;但是AC数据压力较大,对AC设备本身处理能力要求较高。(6)AP发现AC的方式当FITAP上线后,需要知道本AP所归属AC的IP地址,才能从AC获得相应的参数配置。AP发现AC通常有三种方式:广播方式在这种方式下,AP通过广播的方式向网络中所有的AC发起CAPWAP隧道连接,当有AC响应该AP后,CAPWAP隧道建立。这种方式下,AP发现AC是自主行为,在AC上无需进行任何配置。通过DHCPOption43发现AC在这种方式下,FITAP上
30、电后发起DHCP请求,以获取IP地址。DHCP服务器返回DHCP响应报文,除了分配IP地址之外,还通过响应报文中所携带的Option43选项,将AC的IP地址告知AP。通过DHCPOption15和DNS解析发现AC在这种方式下,FITAP上电后发起DHCP请求,以获取IP地址。DHCP服务器返回DHCP响应报文,除了分配IP地址之外,还通过响应报文中所携带的Option15选项,将AC的DNS域名告知AP。AP再向DNS服务器发起AC域名的解析请求,DNS服务器返回响应报文,告知AC的IP地址。表3AP发现AC的不同方式对比方式部署要求优势劣势适用网络广播方式无对已有网络没有额外要求仅能用于
31、AP/AC二层组网中小型WLAN网络,AP/AC二层组网Option43方式DHCPServer启动Option43属性适用于AP/AC任何组网中对网络有部署要求大中型WLAN网络,AP/AC二层或三层组网Option15+DNS方式部署DNSServer;DHCPServer支持Option15属性适用于AP/AC任何组网中对网络有部署要求大中型WLAN网络,AP/AC二层或三层组网(7)终端认证方式IEEE802.11标准要求WLAN终端在准备连接到网络时,必需进行“身份验证”。WLAN终端身份认证主要有两种方式:开放系统认证(Open-SystemAuthentication)开放系统认
32、证是IEEE802.11标准要求必备的一种方法,是最简单的认证算法,即不认证。所有请求认证的客户端都会通过认证。开放系统身份验证比较适合有众多用户的电信运营WLAN网络。共享密钥认证(Shared-KeyAuthentication)共享密钥式认证必需使用加密方式,要求每个WLAN终端都配置和AP完全一致的密钥(key)。共享密钥认证一般适用于企业网、校园网及家庭网络等。(8)用户认证方式相对于简单的WLAN终端身份验证机制,用户身份验证的安全性大大提高。通过提供有限的访问权限来验证用户身份,只有确定用户身份后才给予完整的网络访问权限,可有效判别用户的合法性。WLAN用户身份验证主要有Port
33、al、PSK、WAPI、802.1x等几种认证方式。由于在园区网中还有有线接入用户,而有线用户的认证方式一般是Portal认证和802.1x认证,因此为了实现有线无线一体化的用户体验,推荐WLAN中也使用Portal认证和802.1x认证。1.4.3 NAC系统NAC(NetworkAccessControl)系统,主要用来对用户终端的接入进行认证和控制,并将终端安全状况和网络准入控制结合在一起,通过检查、隔离、加固和审计等手段,加强网络用户终端的主动防御能力,保护企业网络的安全性。(1)华为的NAC系可以实现如下功能:通过多种身份认证方式确认终端用户的合法性。绑定检查终端的安全漏洞、终端杀毒
34、软件的安装和病毒库更新情况。通过统一接入策略和安全策略管理,控制终端用户的网络访问权限。通过桌面运维,完成进行桌面资产注册和监控、外设管理和软件分发。有关NAC系统部署的详细信息,请参考“5.安全部署”。1.4.4 VoIP语音在企业中,可以基于IP网络自建语音通信系统,可以使企业内部的语音通信不再需要通信费用,从而节省了企业的运营成本。建设IP语音通信系统面临的挑战是如何在IP网络基础上,既可以保护原有投资和用户使用习惯,又可以让企业的语音业务和数据业务在同一张IP网络上协调运作,同时可以满足IP语音通信后续的发展及用户数量的扩容需求。有关VoIP语音部署的详细信息,请参考“6.VoIP语音
35、部署”。 1.4.5 可靠性中小企业中的可靠性措施包括以下几类:(1)设备可靠性:通过部署CSS/iStack、部件冗余等方式保证设备自身的可靠性。(2)链路可靠性:通过部署Eth-Trunk来实现链路的冗余备份和负载分担。(3)二层网络可靠性:通过部署MSTP、SmartLink、DLDP、SEP、RRPP等特性来保证二层网络的可靠性。我们推荐使用iStack+Eth-Trunk的组合方案来保证网络的可靠性。在这种方案中,由于采用了iStack技术将多台设备虚拟成了一台设备,而传统的双归接入等拓扑结构也被更简单的Eth-Trunk所取代。采用iStack+Eth-Trunk后,通常不再需要部
36、署MSTP、SmartLink、DLDP、SEP、RRPP等二层可靠性特性。1.4.6 服务质量(1)在中小企业中,对于QoS的部署主要考虑如下两个因素:中小企业网络中,除了传统的WWW、E-Mail、FTP等数据业务,还承载着视频监控、电视会议、语音电话、生产调度等业务。这些业务有一个共同特点,即对带宽、延迟、延迟抖动等传输性能有着特殊的需求。比如视频监控、电视会议需要高带宽、低延迟抖动的保证。语音业务虽然不要求高带宽,但非常注重时延,在拥塞发生时要求优先获得处理。中小企业网应该是一个无阻塞的网络,部署QoS主要是防止BT等非正常业务流量对企业中关键业务以及关键客户流量形成冲击。(2)在中小
37、企业网络中部署QoS,一般需要关注如下内容:通常采用Diff-Serv模型。最重要的是要根据不同业务类型,做好各种业务的优先级和带宽规划。接入层设备在用户侧对各种业务进行识别,并给业务流报文加上优先级标记。其余各层设备按照优先级对报文进行队列调度和转发。如果网络的带宽无法保证所有业务的无阻塞转发,则可以在汇聚层和核心层设备上部署流量监管、流量整形、拥塞避免等QoS措施,保障高优先级业务。1.4.7 分支接入分支接入是指对于企业的分支机构(例如外研所、办事处等),通过专网或公网方式,到企业的总部园区,实现分支与总部的互通。对于中小企业来说,通过自建广域网、租用运营商的专线、租用运营商MPLSL3
38、VPN业务等互联方式,由于其费用都比较昂贵,因此通常不作为分支接入的首选。而通过公网方式实现分支接入是最常用的方式。公网方式是通过不安全的公共网络接入的,因此关键是要保证数据的安全性。公网方式是依靠在分支和总部园区网关之间构建点对点VPN,通过隧道方式来保证数据的安全可靠传输。对于中小企业的分支接入,较适合的VPN技术是IPSecVPN。IPSecVPN是以IPSec协议为基础的VPN技术,由于IPSec协议提供了强大的加密和验证功能,可以对总部/分支之间的通信提供安全性和可靠性保障。1.4.8 远程接入远程接入是指出差员工或者合作伙伴在非固定办公地点,例如酒店、机场等场所,通过公网(例如In
39、ternet)接入园区网,并访问园区网中的内部资源。由于远程接入是通过不安全的公共网络接入的,因此关键是要保证远程访问的安全性。远程接入是依靠在用户终端和园区网网关之间构建点对点VPN,通过隧道方式来保证数据的安全可靠传输。对于中小企业的员工远程接入,较适合的VPN技术是SSL VPN。SSL VPN是以HTTPS(Secure HTTP)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全
40、保证。1.4.9 访问公网访问公网是指园区网的内部用户访问公共网络(如Internet)的场景。在园区网中,访问公网都是通过企业的园区出口路由器统一出口的。对于中小企业来说,在部署访问公网时,一般需要考虑如下因素:(1)由于企业内部用户一般是采用私网IP地址,因此园区出口处,需要通过旁挂或直路的方式,部署NAT设备,实现私网和公网地址的转换。(2)园区出口是内网和外网的边界,因此必须要在园区出口处,需要通过旁挂或直路的方式,部署防火墙设备,对数据流进行过滤保护,防护来自公网的安全威胁。1.4.10 网络管理对于中小型企业,由于其网络建设的资金有限,在网络管理方面,可以考虑采用免费或者价格较为低
41、廉的轻量级网管系统。同时,还要尽量考虑如下因素:(1)多厂商设备共管IP网络是开放的,各厂商混合组网成为企业组网普遍情况。因此在企业中部署具备多厂商设备共管能力的网管系统,可以极大降低网络管理维护的成本,提高效率。(2)IP和IT设备共管传统的网管系统只对IP网络设备进行管理,而对于服务器、打印机等IT设备不进行管理。因此如果可以实现对IP和IT设备的共同管理,则可以很好的实现企业资源的统一管理,提高管理效率,降低管理成本。eSight应用平台是华为面向企业网管理推出的新一代面向企业园区和分支网络管理系统,实现对企业资源、业务、用户的统一管理以及智能联动。eSight应用平台支持对IT&IP,
42、以及第三方设备的统一管理,同时提供灵活的开放平台,为企业量身打造自己的智能管理系统提供基础。eSight可分为体验版、精简版、标准版和专业版。其中体验版是免费的,精简版价格也较为低廉,因此对于中小企业来说,推荐使用eSight的体验版或者精简版来实现对网络的管理。1.5 产品配套关系表4 中小企业网络解决方案产品配套关系表部件产品版本接入交换机微型机构S1700系列V100R006C00小型机构S2700系列V100R006C00中小型机构S2700系列V100R006C00中型机构S2700系列V100R006C00汇聚交换机小型机构S3700系列V100R006C00中小型机构S3700/
43、S5700系列V100R006C00中型机构S5700系列V100R006C00核心交换机中型机构S7700系列V100R006C00出口路由器(含IPSecVPN网关)微型机构AR200系列V200R002C00小型机构AR1200系列V200R001C01中小型机构AR1200/AR2200系列V200R001C01中型机构AR2200/AR3200系列V200R001C01防火墙(含SSL VPN网关)Eudemon系列防火墙非特定ACS7700SPU插卡V100R006C00APWA603SNWA603DNWA633SNWA653SNWA653DNWA653ENV100R003C01N
44、AC准入服务器TSMServerV100R002C06NAC终端代理TSMAgentV100R002C06IP PBXSoftCo系列V100R002ARG3系列路由器V200R001C01SIPAGARG3系列路由器V200R001C01IAD非特定,根据需要可选择华为生产的IAD101H/102H/104H/208E(M)/132E(T)/12等型号的产品80IAD非特定SIP话机非特定,根据需要可选择华为生产的HWET325/523/525/635/655/685、HWMC820C/830C/850/851等型号的产品非特定网管系统eSight体验版/精简版V200R001C002. 基
45、础网络部署2.1 概述2.1.1 基础网络部署简介基础网络部署,其目的是通过对网络设备的接口、VLAN、IP地址、DHCP等方面的配置,使企业内的所有模块、所有终端能够实现最基本的互联互通,终端用户可以正常上线,并访问企业内的各种资源。2.1.2 配套版本表5 基础网络配套产品和版本机构分类部件产品版本微型机构接入交换机S1700系列V100R006C00出口路由器AR200系列V200R002C00小型机构接入交换机S2700系列V100R006C00汇聚交换机S3700系列V100R006C00出口路由器AR1200系列V200R001C01中小型机构接入交换机S2700系列V100R006C00