《中小企业网络解决方案技术建议书.doc》由会员分享,可在线阅读,更多相关《中小企业网络解决方案技术建议书.doc(59页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ONE NET Branch 中小企业网络解决方案V100R001C00技术建议书文档版本01发布日期2011-10-31华为技术有限公司版权所有 华为技术有限公司 2011。 保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证
2、。由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼 邮编:518129网址:客户服务邮箱:support客户服务电话:4008302118目 录1 导言81.1 中小企业解决方案概述81.2 中小企业面临的困难82 微型机构基础网络解决方案92.1 微型机构基础网络设计原则92.2 微型机构基础网络规划102.2.1 核心层设计规划102.2.2 接入层设计规划102.2.3 出口设计规划102.2.4 安全性设计规划102.3 微型机构基础
3、网络业务方案102.3.1 数据业务规划102.3.2 语音业务规划112.3.3 安全业务规划112.4 微型机构基础网络技术方案112.4.1 VLAN设计112.4.2 IP设计112.4.3 DHCP设计112.4.4 NAT设计122.4.5 安全设计122.4.6 远程接入设计122.4.7 网管设计122.5 微型机构基础网络方案特点123 小型机构基础网络解决方案133.1 小型机构基础网络设计原则133.2 小型机构基础网络规划143.2.1 核心层设计规划143.2.2 接入层设计规划143.2.3 出口设计规划143.2.4 安全性设计规划143.3 小型机构基础网络业务
4、方案143.3.1 数据业务规划143.3.2 语音业务规划153.3.3 安全业务规划153.4 小型机构基础网络技术方案153.4.1 VLAN设计153.4.2 IP设计153.4.3 DHCP设计163.4.4 NAT设计163.4.5 安全设计163.4.6 远程接入设计163.4.7 网管设计163.5 小型机构基础网络方案特点164 中小型机构基础网络解决方案174.1 中小型机构基础网络设计原则174.2 中小型机构基础网络规划184.2.1 核心层设计规划184.2.2 接入层设计规划184.2.3 出口设计规划184.2.4 可靠性设计规划184.2.5 安全性设计规划18
5、4.3 中小型机构基础网络业务方案184.3.1 数据业务规划184.3.2 语音业务规划194.3.3 安全业务规划194.4 中小型机构基础网络技术方案194.4.1 VLAN设计194.4.2 IP设计204.4.3 DHCP设计204.4.4 NAT设计204.4.5 安全设计204.4.6 远程接入设计204.4.7 可靠性设计204.4.8 网管设计214.5 中小型机构基础网络方案特点215 中型机构基础网络解决方案215.1 中型机构基础网络设计原则215.2 中型机构基础网络规划225.2.1 核心层设计规划225.2.2 汇聚层设计规划235.2.3 接入层设计规划235.
6、2.4 出口设计规划235.2.5 可靠性设计规划235.2.6 安全性设计规划235.3 中型机构基础网络业务方案235.3.1 数据业务规划235.3.2 语音业务规划245.3.3 安全业务规划245.4 中型机构基础网络技术方案245.4.1 VLAN设计245.4.2 IP设计245.4.3 DHCP设计255.4.4 NAT设计255.4.5 安全设计255.4.6 远程接入设计255.4.7 可靠性设计255.4.8 网管设计265.5 中型机构基础网络方案特点266 中小型机构高级安全解决方案266.1 中小型机构高级安全设计原则266.2 中小型机构高级安全业务方案276.2
7、.1 园区用户接入安全业务规划276.2.2 远程分支用户接入安全业务规划286.2.3 边界安全业务规划286.2.4 内网审计业务规划296.3 中小型机构高级安全技术方案296.3.1 安全检查设计296.3.2 远程接入安全设计296.3.3 防火墙设计296.3.4 内网安全设计296.3.5 内网审计设计306.3.6 ARP防攻击设计306.4 中小型机构高级安全方案特点307 中小型机构高级无线解决方案317.1 中小型机构高级无线设计原则317.2 中小型机构高级无线业务方案317.2.1 无线用户接入业务规划317.2.2 无线语音终端用户接入业务规划327.2.3 有线无
8、线一体化接入业务规划327.3 中小型机构高级无线技术方案327.3.1 WLAN认证设计327.3.2 SSID与VLAN设计337.3.3 DHCP设计337.3.4 射频设计347.3.5 WMM设计347.3.6 频点设计357.3.7 覆盖设计367.3.8 链路预算设计377.3.9 容量设计387.4 中小型机构高级无线方案特点388 中小型机构高级语音解决方案388.1 中小型机构高级语音设计原则388.2 中小型机构高级语音业务方案398.2.1 中型机构分布式多分支语音业务规划398.2.2 小型机构分布式多分支语音业务规划398.3 中小型机构高级语音技术方案408.3.
9、1 终端接入设计408.3.2 网络接入设计408.3.3 号码规划设计418.3.4 路由设计418.3.5 语音业务设计418.3.6 语音可靠性设计428.3.7 语音QoS设计428.4 中小型机构高级语音方案特点429 中小企业典型应用439.1 经济性酒店解决方案439.2 经济型酒店网络规划449.2.1 核心层设计规划449.2.2 汇聚层设计规划459.2.3 接入层设计规划459.2.4 出口设计规划459.2.5 可靠性设计规划459.3 经济型酒店网络方案469.3.1 经济型酒店的网络部署469.3.2 经济型酒店无线网络部署方案479.3.3 经济型酒店安全部署方案
10、499.3.4 经济型酒店IP语音通信方案529.4 经济型酒店网络方案特点5310 设备说明5410.1 S9300系列5410.2 S7700系列5710.3 S5700系列5910.4 S3700系列6310.5 S2700系列6510.6 AR系列6710.7 防火墙系列6911 部署注意事项711 导言1.1 中小企业解决方案概述当前我国中小企业发展迅速,在国民经济和社会发展中的地位和作用与日增强,据统计中小企业占我国企业总数的99%以上,创造的产品和价值占GDP的60%,中小企业以其灵活的运行机制和市场适应能力成为推动中国经济社会发展的重要力量。随着信息化时代的不断发展,中小企业追
11、求更高效的沟通和交流管理方式,扩大自身的生产运营规模,增强企业的市场竞争力。这就要求以信息化为平台,以网络为承载媒介,提高企业的运作效率,降低运营成本,而网络建设无疑是其中最基本也是最重要的一个环节。华为公司从经济角度和企业规模角度将中小企业分为微型机构、小型机构、中小型机构和中型机构四种基础网络架构,中小企业可以根据自身的实际需要选择相应的网络建设方案。对于安全、无线接入、语音有特殊要求的中小企业,华为公司提供高级安全解决方案、高级无线解决方案和高级语音解决方案,并提供网络管理解决方案,满足不同层次中小企业的客户需求,保证网络建设质量的同时最大程度的节省企业的投资成本。1.2 中小企业面临的
12、困难中小企业需要着重解决企业基础网络安全、业务部署灵活性和运维压力太大的问题,华为公司针对企业运维痛点提供的解决方案包含用户NAC(Network Access Control)接入安全、园区边界安全、分支与远程接入、端到端语音部署、端到端无线部署、网络TOPO自动发现、服务器远程监控等方案,全面解决中小企业面临的基础网络安全和运维压力。2 微型机构基础网络解决方案2.1 微型机构基础网络设计原则目前50%以上的企业属于微型机构,典型的微型机构是小企业或大企业的分支办公室,这类机构通常为050信息点构成,因为企业员工数量少,业务需求单一,对企业网络有很高的经济性要求,对通信设备稳定度要求不高,
13、只需要基础网络能够支撑工作基本需要的Email、打印、终端互联即可。微型机构基础网络场景以低端AR路由器为中心搭建公司网络,AR承担作为企业网关,并支持Web、打印、认证、Email等业务接入,无线终端和有线终端的混合接入,同时AR路由器集成简单防火墙功能,提供边界安全。企业可以通过增加低成本交换机扩展接入范围,以提升扩展性。图2-1 微型机构基础网络物理架构2.2 微型机构基础网络规划2.2.1 核心层设计规划核心层用于转发各部门之间的流量。考虑到企业初期建设成本,采用AR200路由器作为核心层设备,与微型企业内部服务器区、DMZ(Demilitarized Zone)区、Internet区
14、和内部业务区进行互联,支撑企业内外部的业务流量。2.2.2 接入层设计规划接入层是最靠近用户的网络,为用户提供各种接入方式,是终端、边缘和IP电话等设备接入网络的第一层。一般都部署二层设备,有线用户通过S1700接入AR200,无线用户通过AR200自带的WLAN功能进行无线接入。2.2.3 出口设计规划微型机构通过AR获取公网地址,实现与WAN/Internet的互访,可以采用设置IP静态地址或PPP(Point-to-Point Protocol)动态方式获取公网地址。2.2.4 安全性设计规划通过AR200集成防火墙功能解决如下安全问题:l 微型机构内、外网之间的访问控制,实现微型机构内
15、、外网的安全隔离。l 外派员工与微型机构DMZ区的访问控制,实现外派员工与内网的安全隔离。2.3 微型机构基础网络业务方案2.3.1 数据业务规划l 有线用户数据业务:S1700交换机作为二层接入设备,通过VLAN划分用户。AR路由器作为三层网关,通过DHCP(Dynamic Host Configuration Protocol)方式为有线用户分配IP地址。企业可以根据自身分区情况,划分多个IP地址段。AR上行通过公网地址接入WAN/Internet网络,通过AR做NAT,进行私网地址到公网地址的转换,实现有线用户与WAN/Internet网络的互访。l 无线用户数据业务:AR作为胖AP,无
16、线用户通过PSK方式接入AR,AR路由器作为三层网关,通过DHCP方式为无线用户分配IP地址。AR上行通过公网地址接入WAN/Internet网络,通过AR做NAT,进行私网地址到公网地址的转换,实现无线用户与WAN/Internet网络的互访。l 外派员工数据业务:外派员工通过IPSec VPN方式与微型机构建立隧道,实现外派员工与微型机构的互访。可以在外派员工的电脑中安装硬件或通过纯软件方式来实现IPSec VPN功能。l 服务器数据业务:企业事先规划好服务器区和DMZ的服务器地址,服务器使用静态地址,内部服务器区和DMZ区的服务器以AR作为网关。2.3.2 语音业务规划考虑到微型机构人数
17、有限,同城微型机构建议AR作为AG场景应用,用户语音信息到总部注册,由总部统一分配号码及管理。异地微型机构建议AR作为PBX(Private Branch Exchange)场景应用,用户语音信息到PBX注册,接入当地PSTN(Public Switched Telephone Network)网络,具体内容请参见8 中小型机构高级语音解决方案。2.3.3 安全业务规划微型机构通常人数有限,不建议对用户接入进行权限控制,如企业有特殊需求,可以采用华为公司NAC方案,具体内容请参见6 中小型机构高级安全解决方案。2.4 微型机构基础网络技术方案2.4.1 VLAN设计VLAN是将LAN内的设备逻
18、辑地而不是物理地划分为一个个网段,从而实现在一个LAN内隔离广播域的技术。既隔离了广播域,减少了广播风暴,又增强了信息的安全性。l VLAN通常根据业务需要进行规划,需要隔离的端口配置不同的VLAN,需要防止广播域过大的地方配置VLAN用于减小广播域。l VLAN最好不要跨交换机,即使跨交换机,数目也需要限制。l S1700根据接入位置为不同PC分配不同的VLAN,不同S1700交换机采用不同的VLAN,避免广播域过大,利于问题及时定位。2.4.2 IP设计l IP地址分为动态IP与静态IP的选取,原则上服务器、特殊终端设备建议采用静态IP。办公用设备建议使用DHCP动态获取(如办公用PC等)
19、。l AR200上行优选固定IP地址接入,其次选择PPP方式接入。AR作为DHCP网关和DHCP Server,为有线、无线用户分配私网IP地址。l 服务器采用静态IP地址接入。2.4.3 DHCP设计DHCP部署的基本原则为固定IP地址段和动态分配IP地址段保持连续,按照业务区域进行DHCP地址的划分,便于统一管理及问题定位。启动DHCP安全功能,禁止非法DHCP Server的架设和非法用户的接入。AR作为DHCP网关和DHCP Server,为有线、无线用户分配私网IP地址。有线用户通过S1700交换机携带VLAN信息,AR终结VLAN并给有线用户分配私网IP地址。无线用户通过PSK方式
20、接入AR,AR终结无线报文,作为无线用户网关分配私网IP地址。2.4.4 NAT设计NAT(Network Address Translation)用于实现私有网络和公有网络之间的互访。微型机构内部使用私有IP地址,微型机构出口AR使用公网地址与外界通信,AR需要部署NAT特性,实现用户侧私网地址到网络侧公网地址的转换,实现用户与WAN/Internet的互访。2.4.5 安全设计AR部署防火墙功能,将WAN/Internet区域划分为untrust区域,公用服务器区域划分为DMZ区,其他区域划分为trust区域。允许trust区域和DMZ区域互访,允许untrust区域与DMZ区域互访,不允
21、许trust区域和untrust区域之间的直接互访。基于安全考虑,建议AR部署ARP(Address Resolution Protocol)防攻击功能,以防止非法的ARP报文对网络的攻击。2.4.6 远程接入设计微型机构访问WAN/Internet通过AR的NAT功能实现。外派员工通过IPSec VPN访问微型机构。建议采用ESP封装模式,封装新的IP报文头并对原始数据报文进行加密,更为安全。2.4.7 网管设计AR和S1700交换机通过Web网管进行配置管理及日常网络维护。2.5 微型机构基础网络方案特点l 高性价比:低投资、高性能、经济的网络。l 简易性:结构清晰、简单、安装便捷,无需配
22、置专职维护人员。l 绿色环保:全方位节能设计、无风扇、省电无噪声。3 小型机构基础网络解决方案3.1 小型机构基础网络设计原则典型的小型机构是小企业或大企业的分支办公室,这类机构通常由50100信息点构成,因为企业已经达到一定规模,较大的业务量和员工数量都要求网络具备更高的稳定性,可扩展性,安全性,同时毕竟企业规模没有达到更大的规模,仍然需要网络经济、简洁便于维护。小型机构基础网络场景的方案特点以中低端交换机为中心搭建公司网络交换平台,该交换机作为中心汇聚点,通过其他低端交换机实现业务和终端的接入,并通过AR作为企业出口路由器,实现WAN和Internet互联,AR路由器集成简单防火墙功能,提
23、供边界安全。图3-1 小型机构基础网络物理架构3.2 小型机构基础网络规划3.2.1 核心层设计规划核心层用于转发各部门之间的流量,采用AR1200路由器作为核心层出口设备,S3700系列交换机汇聚内部服务器区和接入区流量,使内部服务器区、DMZ区、Internet区和内部业务区进行互联,支撑内外部的业务流量。3.2.2 接入层设计规划接入层是最靠近用户的网络,为用户提供各种接入方式,是终端、边缘和IP电话等设备接入网络的第一层,一般都部署二层设备。有线用户通过S2700交换机接入、S3700交换机汇聚流量到AR1200进行有线接入,无线用户通过WA600系列胖AP进行无线接入。3.2.3 出
24、口设计规划小型机构通过AR获取公网地址,实现与WAN/Internet的互访,可以采用设置IP静态地址或PPP动态方式获取公网地址。3.2.4 安全性设计规划通过AR1200集成防火墙功能解决如下安全问题:l 小型机构内、外网之间的访问控制,实现小型机构内、外网的安全隔离。l 外派员工与小型机构DMZ区的访问控制,实现外派员工与内网的安全隔离。3.3 小型机构基础网络业务方案3.3.1 数据业务规划l 有线用户数据业务:S2700交换机作为二层接入设备,通过VLAN划分用户。S3700交换机作为汇聚交换机聚合各接入交换机上送的VLAN流量到AR1200,AR1200通过DHCP方式为有线用户分
25、配IP地址。企业可以根据自身分区情况,划分多个IP地址段。AR1200上行通过公网地址接入WAN/Internet网络,通过AR做NAT,进行私网地址到公网地址的转换,实现有线用户与WAN/Internet网络的互访。l 无线用户数据业务:WA600系列AP作为胖AP,无线用户通过PSK方式接入WA600系列AP,AR1200作为三层网关,通过DHCP方式为无线用户分配IP地址。AR1200上行通过公网地址接入WAN/Internet网络,通过AR1200做NAT,进行私网地址到公网地址的转换,实现无线用户与WAN/Internet网络的互访。l 外派员工数据业务:外派员工通过IPSec VP
26、N方式与小型机构建立隧道,实现外派员工与小型机构的互访。可以在外派员工的电脑中安装硬件或通过纯软件方式来实现IPSec VPN功能。l 服务器数据业务:企业事先规划好服务器区和DMZ的服务器地址,服务器使用静态地址,S2700交换机作为二层接入设备,通过VLAN划分服务器,内部服务器区和DMZ区的服务器以AR1200作为网关。3.3.2 语音业务规划基于小型机构人数规模,如果总部需要对小型机构进行控制,则AR作为AG场景应用,用户语音信息到总部注册,由总部统一分配号码及管理,可以由总部提供丰富的语音业务,但是会增加总部的负荷。如果小型机构需要自行进行控制,则AR作为PBX场景应用,用户语音信息
27、到AR注册,由AR统一分配号码及管理,减轻了总部的负荷,但是无法使用总部提供的丰富的语音业务。具体内容请参见8 中小型机构高级语音解决方案。3.3.3 安全业务规划如果需要对用户的接入安全进行控制,则建议部署NAC方案。可以采用在S2700交换机上部署802.1X认证或者在AR上部署Portal认证的方式,均可以实现对用户接入的安全控制,具体内容请参见6 中小型机构高级安全解决方案。3.4 小型机构基础网络技术方案3.4.1 VLAN设计VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段,从而实现在一个LAN内隔离广播域的技术。VLAN技术既隔离了广播域,减少了广播风暴,又增强了信息
28、的安全性。l VLAN通常根据业务需要进行规划,需要隔离的端口配置不同的VLAN,需要防止广播域过大的地方配置VLAN用于减小广播域。 l VLAN最好不要跨交换机,即使跨交换机,数目也需要限制。l S2700根据接入位置为不同PC分配不同的VLAN,不同S2700交换机采用不同的VLAN,避免广播域过大,利于问题及时定位。l S3700交换机汇聚S2700交换机的VLAN信息,透传给AR1200设备,实现VLAN的终结。3.4.2 IP设计IP地址分为动态IP与静态IP的选取,原则上服务器、特殊终端设备建议采用静态IP。办公用设备建议使用DHCP动态获取如办公用PC等。AR1200上行优选固
29、定IP地址接入,其次选择PPP方式接入。AR1200作为DHCP网关和DHCP Server,为有线、无线用户分配私网IP地址。服务器采用静态IP地址接入。3.4.3 DHCP设计DHCP部署基本原则为固定IP地址段和动态分配IP地址段保持连续,按照业务区域进行DHCP地址的划分,便于统一管理及问题定位。启动DHCP安全功能,禁止非法DHCP Server的架设和非法用户的接入。AR1200作为DHCP网关和DHCP Server,为有线、无线用户分配私网IP地址。l 有线用户通过S2700交换机携带VLAN信息,S3700交换机聚合S2700交换机上送的VLAN流量到AR1200,AR120
30、0终结VLAN后给有线用户分配私网IP地址。l 无线用户通过PSK方式接入WA600系列AP,WA600系列AP终结无线报文,二层透传无线用户的DHCP请求报文,AR1200终结VLAN后给无线用户分配私网IP地址。3.4.4 NAT设计NAT称为网络地址转换,用于实现私有网络和公有网络之间的互访。小型机构内部使用私有IP地址,小型机构出口AR使用公网地址与外界通信,AR需要部署NAT特性,实现用户侧私网地址到网络侧公网地址的转换,实现用户与WAN/Internet的互访。3.4.5 安全设计AR部署防火墙功能,将WAN/Internet区域划分为untrust区域,公用服务器区域划分为DMZ
31、区,其他区域划分为trust区域。允许trust区域和DMZ区域互访,允许untrust区域与DMZ区域互访,不允许trust区域和untrust区域之间直接互访。基于安全考虑,建议AR部署ARP防攻击功能,接入交换机部署DHCP Snooping功能,以防止非法的ARP报文对网络的攻击。3.4.6 远程接入设计小型机构访问WAN/Internet通过AR的NAT功能实现。外派员工通过IPSec VPN访问小型机构。建议采用ESP封装模式,封装新的IP报文头并对原始数据报文进行加密,更为安全。3.4.7 网管设计部署eSight网管系统进行日常网络维护。3.5 小型机构基础网络方案特点l 可扩
32、展:低投资、高性能,灵活网络架构易扩展,保护已有投资。l 易维护:扁平网络,层次少,简易网管配置简单,无需专职网管人员。l 区域划分清晰:部门间物理/逻辑隔离,保证业务安全,易排错。l 绿色节能:绿色节能、无噪音。4 中小型机构基础网络解决方案4.1 中小型机构基础网络设计原则中小型机构通常为100300信息点。中小型机构基础网络场景的方案特点是期待语音、数据、安全、移动业务丰富,希望获得一体化方案、一站式服务。中小型企业的组网结构和小型企业类似,但因为企业规模的进一步扩大,有更强的企业内部互联以及企业出口的要求,对网络可靠性、可扩展性、安全性有一定的要求。这些要求体现在设备上,就是需要功能更
33、强的AR作为企业出口路由器、需要通过链路备份机制提高可靠性、通过中心交换机的双备份以及流量分担。图4-1 中小型机构基础网络物理架构4.2 中小型机构基础网络规划4.2.1 核心层设计规划核心层用于转发各部门之间的流量,采用AR1200/AR2200路由器作为核心层出口设备,S5700系列交换机汇聚内部服务器区、DMZ区和接入区流量,使内部服务器区、DMZ区、Internet区和内部业务区进行互联,支撑内外部的业务流量。4.2.2 接入层设计规划接入层是最靠近用户的网络,为用户提供各种接入方式,是终端、边缘和IP电话等设备接入网络的第一层,一般都部署二层设备。l 有线用户通过S2700交换机接
34、入,S5700交换机汇聚S2700交换机上送的VLAN流量到AR1200/AR2200进行有线接入。l 无线用户通过WA600系列胖AP进行无线接入。4.2.3 出口设计规划中小型机构通过AR获取公网地址,实现与WAN/Internet的互访,可以采用设置IP静态地址或PPP动态方式获取公网地址。4.2.4 可靠性设计规划AR上行采用WAN和3G链路备份方式,以WAN侧链路为主用链路,3G链路平时不使用,仅作为备份。S5700交换机采用堆叠技术,将多台S5700交换机虚拟化为1台设备,一旦主用S5700交换机出现故障后,其他交换机能立即接替其成为主用交换机。4.2.5 安全性设计规划通过AR1
35、200/AR2200集成防火墙功能解决如下安全问题:l 中小型机构内、外网之间的访问控制,实现中小型机构内、外网的安全隔离。l 外派员工与中小型机构DMZ区的访问控制,实现外派员工与内网的安全隔离。4.3 中小型机构基础网络业务方案4.3.1 数据业务规划l 有线用户数据业务:S2700交换机作为二层接入设备,通过VLAN划分用户。S5700交换机作为汇聚交换机聚合各接入交换机的VLAN流量,AR1200/AR2200通过DHCP方式为有线用户分配IP地址。企业可以根据自身分区情况,划分多个IP地址段。AR1200/AR2200上行通过公网地址接入WAN/Internet、3G网络,通过AR1
36、200/AR2200做NAT,进行私网地址到公网地址的转换,实现有线用户与WAN/Internet网络的互访。l 无线用户数据业务:WA600系列AP作为胖AP,无线用户通过PSK方式接入WA600系列AP,AR1200/AR2200作为三层网关,通过DHCP方式为无线用户分配IP地址。AR1200/AR2200上行通过公网地址接入WAN/Internet网络,通过AR1200/AR2200做NAT,进行私网地址到公网地址的转换,实现无线用户与WAN/Internet网络的互访。l 外派员工数据业务:外派员工通过IPSec VPN方式与中小型机构建立隧道,实现外派员工与中小型机构的互访。可以在
37、外派员工的电脑中安装硬件或通过纯软件方式来实现IPSec VPN功能。l 服务器数据业务:企业事先规划好服务器区和DMZ的服务器地址,服务器使用静态地址。S2700交换机作为二层接入设备,通过VLAN划分服务器,内部服务器区和DMZ区的服务器以AR1200/AR2200作为网关。4.3.2 语音业务规划基于中小型机构人数规模,如果总部需要对中小型机构进行控制,则AR作为AG场景应用,用户语音信息到总部注册,由总部统一分配号码及管理,可以由总部提供丰富的语音业务,但是会增加总部的负荷。如果中小型需要自行进行控制,则AR作为PBX场景应用,用户语音信息到AR注册,由AR统一分配号码及管理,减轻了总
38、部的负荷,但是无法使用总部提供的丰富的语音业务。具体内容请参见8 中小型机构高级语音解决方案。4.3.3 安全业务规划如果需要对用户的接入安全进行控制,则建议部署NAC方案。可以采用在S27系列交换机上部署802.1X认证或者在AR上部署Portal认证的方式,均可以实现对用户接入的安全控制,具体内容请参见6 中小型机构高级安全解决方案。4.4 中小型机构基础网络技术方案4.4.1 VLAN设计VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段,从而实现在一个LAN内隔离广播域的技术。VLAN技术既隔离了广播域,减少了广播风暴,又增强了信息的安全性。l VLAN通常根据业务需要进行规
39、划,需要隔离的端口配置不同的VLAN,需要防止广播域过大的地方配置VLAN用于减小广播域。l VLAN最好不要跨交换机,即使跨交换机数目也需要限制。l S2700根据接入位置为不同PC分配不同的VLAN,不同S2700交换机采用不同的VLAN,避免广播域过大,利于问题及时定位。l S5700交换机汇聚S2700交换机的VLAN信息,透传给AR1200/AR2200设备,实现VLAN的终结。4.4.2 IP设计IP地址分为动态IP与静态IP的选取,原则上服务器、特殊终端设备建议采用静态IP。办公用设备建议使用DHCP动态获取(如办公用PC等)。AR1200/AR2200上行优选固定IP地址接入,
40、其次选择PPP方式接入。AR1200/AR2200作为DHCP网关和DHCP Server,为有线、无线用户分配私网IP地址。服务器采用静态IP地址接入。4.4.3 DHCP设计DHCP部署基本原则为固定IP地址段和动态分配IP地址段保持连续,按照业务区域进行DHCP地址的划分,便于统一管理及问题定位。启动DHCP安全功能,禁止非法DHCP Server的架设和非法用户的接入。AR1200/AR2200作为DHCP网关和DHCP Server,为有线、无线用户分配私网IP地址。l 有线用户通过S2700交换机携带VLAN信息,S5700交换机汇聚S2700上送的VLAN流量AR1200/AR2
41、200,AR1200/AR2200终结VLAN并给有线用户分配私网IP地址。l 无线用户通过PSK方式接入WA600系列AP,WA600系列AP终结无线报文,二层透传无线用户的DHCP请求报文,AR1200/AR2200终结VLAN后给无线用户分配私网IP地址。4.4.4 NAT设计NAT称为网络地址转换,用于实现私有网络和公有网络之间的互访。AR部署NAT特性,实现用户侧私网地址到网络侧公网地址的转换,实现用户与WAN/Internet的互访。在中小型机构基础网络场景中,WAN侧和3G侧都需要部署NAT特性,以防止某侧链路出现故障后仍能实现私网地址到公网地址的转换。4.4.5 安全设计AR部
42、署防火墙功能,将WAN/Internet区域、3G区域划分为untrust区域,公用服务器区域划分为DMZ区,其他区域划分为trust区域。允许trust区域和DMZ区域互访,允许untrust区域与DMZ区域互访,不允许trust区域和untrust区域之间直接互访。基于安全考虑,建议AR部署ARP防攻击功能,接入交换机部署DHCP Snooping功能,以防止非法的ARP报文对网络的攻击。4.4.6 远程接入设计l 中小型机构访问WAN/Internet通过AR的NAT功能实现。l 外派员工通过IPSec VPN访问中小型机构。建议采用ESP封装模式,封装新的IP报文头并对原始数据报文进行
43、加密,更为安全。4.4.7 可靠性设计l 链路备份设计:AR上行采用WAN和3G链路备份方式,以WAN侧链路为主用链路,3G链路平时不使用,仅作为备份。一旦WAN侧链路发生故障,则AR自动切换到3G链路,从3G链路获取公网地址后进行NAT转换,实现中小型机构与网络侧的访问。考虑到WAN侧链路比3G链路安全性高,不受天气影响,WAN链路带宽也优于3G链路,建议当WAN侧链路恢复后,采用AR自动回切功能,将使用的3G链路拆掉,重新切换到WAN侧链路。l 设备备份设计:S5700交换机作为汇聚设备,一旦出现故障将导致所有用户均无法访问网络侧,在中小型机构中建议S5700交换机采用堆叠技术,将多台S5
44、700交换机虚拟化为1台设备,一旦主用S5700交换机出现故障后,其他交换机能立即接替其成为主用交换机,确保中小型机构网络业务的正常运行。4.4.8 网管设计部署eSight网管系统进行日常网络维护。4.5 中小型机构基础网络方案特点l 可扩展:低投资、高性能,灵活网络架构,随时扩展语音、无线,保护已有投资。l 易维护:通过免费网管简单配置,无需专职网管人员。l 可靠性高:核心汇聚采用堆叠,AR路由器采用3G链路备份,网络层次少,维护简单,可靠性高。5 中型机构基础网络解决方案5.1 中型机构基础网络设计原则中型机构通常为3001000信息点。中型机构基础网络场景的方案特点是期待语音、数据、安
45、全、移动业务丰富,希望获得一体化方案、一站式服务。并且对网络安全要求更高,需要配置专业的防火墙设备提升安全性和远程接入能力。中型企业的组网结构和中小型企业类似,但因为企业规模的进一步扩大,有更强的企业内部互联以及企业出口的要求,对网络可靠性、可扩展性、安全性的要求更高。这些要求体现在设备上,就是需要功能更强的AR作为企业出口路由器、需要专业的防火墙设备、需要通过内置AC完成对无线用户的接入控制管理、通过汇聚交换机的双备份以及流量分担。图5-1 中型机构基础网络物理架构5.2 中型机构基础网络规划5.2.1 核心层设计规划核心层用于转发各部门之间的流量,采用AR3200路由器作为核心层出口设备,
46、S7700系列交换机汇聚内部服务器区、DMZ区和接入区流量,使内部服务器区、DMZ区、Internet区和内部业务区进行互联,支撑内外部的业务流量。核心层部署专业防火墙设备,实现安全防护的同时也作为远程接入VPN的网关,实现外派员工与中型机构的互访。5.2.2 汇聚层设计规划汇聚层是部门的核心,转发部门用户间的“横向”流量。同时提供到核心层的“纵向”流量。S5700系列交换机汇聚S2700交换机上送的业务流量,用于支撑该汇聚层下各业务部门之间的互访。5.2.3 接入层设计规划接入层是最靠近用户的网络,为用户提供各种接入方式,是终端、边缘和IP电话等设备接入网络的第一层,一般都部署二层设备。有线用户通过S2700交换机接入;无线用户通过WA600系列胖AP进行无线接入。5.2.4 出口设计规划中型机构通过AR获取公网地址,实现与WAN/Internet的互访,可以采用设置IP静态地址或PPP动态方式获取公网地址。5.2.5 可靠