網絡設計原則

園區網通常是在有限的空間內聚集了大量的終端和用戶接入的高密度網絡。對于園區網而言，注重的是網絡的簡單可靠、易部署、易維護，需遵循如下原則：

l 層次化原則

將園區網絡劃分為核心層、接入層等分層架構，每層功能清晰，架構穩定，易于擴展和維護。

l 模塊化原則

將園區網絡中的每個部門或者每個功能區劃分為一個模塊，模塊內部的調整涉及范圍小，易于進行問題定位。

l 可靠性原則

整套網絡系統的可靠性是第一位，應選用主流的并得到廣泛應用的知名設備品牌，在系統設計、設備選型、調試、安裝等環節嚴格執行國家、行業的有關標準及公安機關有關安全技術防范的要求，貫徹質量條例，保證系統的可靠性。

l 安全性原則

網絡系統的設備必須滿足安全性要求，設備選型不能選試驗產品，要選先進的市場主流產品，要能保證系統不間斷運行。對關鍵的設備、數據和接口應采用冗余設計。網絡環境下信息傳輸和數據存儲要注重安全，保障系統網絡的安全可靠性。包括物理空間的安全控制及網絡的安全控制。需要有完整的安全策略控制體系來實現網絡的安全控制。

l 先進性原則

系統的設計方法和技術路線應符合當前網絡架構未來發展趨勢，須充分兼顧需求和技術的發展，須充分考慮與其他系統的連接，建設可擴展的、開放的平臺。主要設備須支持升級演進，軟件的設計應先進靈活，便于升級以及與其它系統的互聯互控，同時應保證人機界面友好，易于使用和操作，保證最終效果的優異。

l 可擴展性原則

隨著系統以后的擴展，用戶容量將會不斷擴大，新的業務功能的要求將會層出不窮。這要求系統具備良好的可擴展性，所以在系統建設的初期，首先立足于近期的應用需求進行系統配置，而以系統的可擴展性來保證今后十年內的發展需求。

網絡系統的各個組成部件選用標準的硬件和軟件，各個子系統的設計模塊化，軟、硬件能夠平滑升級或更新，網絡節點的增減對網絡性能的影響不大。

l 易維護管理

網絡可管理性是網絡成功運維的基礎，應提供簡單有效的網絡統一管理系統，對網絡所有網絡設備進行管理，包括網絡拓撲顯示、網絡狀態監控、故障事件實時預警和告警、網絡流量統計。

l 投資保護

園區網絡架構設計必須滿足未來3-5年的使用需求，提高整網的利用率和擴展能力，使得可能的后續投資最小化。同時結合運維等方面的要求，獲得最佳總體擁有成本。

總體架構設計

智能園區網絡總體解決方案如下：

 園區網絡架構設計

智能園區網絡分為辦公園區、生產IT網絡，生產OT網絡，安全隔離區，數據中心區等等，各主要區域的業務承載如下：

辦公園區：

? 通用辦公區（市場、財務、研發等）

? 安防視頻監控、樓宇智能網

生產園區（production-IT）

? 生產IT區域，有線、無線終端接入

? 生產IT區和辦公網存在業務流量，通過安全隔離區安全控制

? 倉儲、物流區域等場景

生產園區（production-OT）

? 工控網絡，機器人控制生產

? 生產數據采集，光學檢測

? 生產物流自動運輸

園區網絡的解決方案總體架構設計如下：

園區出口：

部署出口路由器，防火墻、IPS、DDOS、上網行為管理等安全設備，作為園區的統一出口，同時要防范外部Internet網絡的攻擊。

辦公IT網絡：

辦公園區IT網絡，一張物理網絡同時承載有線辦公網、無線辦公網、安防網絡、樓宇網絡等等，基于Vxlan技術構建多個虛擬網絡，一網多用，邏輯安全隔離。

核心、匯聚等框式交換機雙機部署集群，接入交換機iStack堆疊，接入-匯聚，匯聚-核心雙鏈路，提高整網的可靠性。

無線接入層部署業界領先的Wi-Fi 6 AP，上行最高帶寬10Gbps，滿足各種高帶寬業務應用。

生產IT網絡：

核心、匯聚等框式交換機雙機部署集群，接入交換機iStack堆疊，接入-匯聚，匯聚-核心雙鏈路，提高整網的可靠性。

無線接入層部署業界領先的Wi-Fi 6 AP，上行最高帶寬10Gbps，滿足各種高帶寬、低時延業務應用。

安全隔離區：

安全隔離區作為生產IT網絡和辦公IT網絡的中間隔離區域，主要是對辦公區域訪問生產IT網絡的行為進行安全控制，杜絕各種安全風險。部署防火墻、沙箱、漏掃、及安全探針等設備。

根據整網安全分析的需要，在辦公IT網絡，生產IT網絡，部署一部分安全探針，用于網絡流量的采集。同時辦公、生產的IT網絡的匯聚層交換機，基于Netstream技術采集網絡流量，用于整網安全風險的分析與預防。

網絡管理區：

網絡管理區用于部放SDN控制器，大數據智能運維平臺CampusInsight，安全分析平臺CIS，對整網進行管理，運維和安全防護；網絡管理園區旁掛在園區的總核心上。

VxLAN組網設計方案

辦公園區基于VxLAN等SDN技術，一張物理網絡同時承載辦公、安防、樓宇等多張業務網絡，業務網絡邏輯安全隔離。

? 各板塊匯聚與政務核心構建一個虛擬網絡Fabric實現虛擬化專網；承載多業務實現邏輯隔離

? 通過SDN控制器對辦公網VXLAN業務實現自動化部署

? 各板塊匯聚與接入之間二層互聯

無線Wi-Fi覆蓋方案

Wi-Fi已成為當今世界無處不在的技術，為數十億設備提供連接，也是越來越多的用戶上網接入的首選方式，并且有逐步取代有線接入的趨勢。為適應新的業務應用和減小與有線網絡帶寬的差距，每一代802.11的標準都在大幅度的提升其速率。

然而移動業務的快速發展和高密度接入對Wi-Fi網絡的帶寬提出了更高的要求，在2013年發布的802.11ac標準引入了更寬的射頻帶寬（提升至160MHz）和更高階的調制技術（256-QAM），傳輸速度高達1.73Gbps，進一步提升Wi-Fi網絡吞吐量。另外，在2015年發布了802.11ac wave2標準，將波束成形和MU-MIMO等功能推向主流，提升了系統接入容量。但遺憾的是802.11ac僅支持5GHz頻段的終端，削弱了2.4GHz頻段下的用戶體驗。

下一代Wi-Fi需要解決更多終端的接入導致整個Wi-Fi網絡效率降低的問題， 802.11ax(Wi-Fi 6)標準將引入上行MU-MIMO、OFDMA頻分復用、1024-QAM高階編碼等技術，將從頻譜資源利用、多用戶接入等方面解決網絡容量和傳輸效率問題。目標是在密集用戶環境中將用戶的平均吞吐量相比如今的Wi-Fi 5提高至少4倍，并發用戶數提升3倍以上，因此，Wi-Fi 6(802.11ax)也被稱為高效無線（HEW）。

Wi-Fi 6是下一代802.11ax標準的簡稱。隨著Wi-Fi標準的演進，WFA為了便于Wi-Fi用戶和設備廠商輕松了解其設備連接或支持的Wi-Fi 型號，選擇使用數字序號來對Wi-Fi重新命名。另一方面，選擇新一代命名方法也是為了更好地突出 Wi-Fi 技術的重大進步，它提供了大量新功能，包括增加的吞吐量和更快的速度、支持更多的并發連接等。根據WFA的公告，現在的 Wi-Fi 命名分別對應如下 802.11技術標準：

和以往每次發布新的802.11標準一樣，802.11ax也將兼容之前的802.11ac/n/g/a/b標準，老的終端一樣可以無縫接入802.11ax網絡。

 網絡安全方案

基于安全協防整體防護理念和設計原則，所構建的安全防護體系，實現快速響應，調查追溯，優化安全策略，提升防護水平。

為了將威脅控制在局部區域，同時考慮到對網絡攻擊行為及時檢測和處置，建議所有關鍵區域邊界均應部署相應的安全防護措施，通過部署安全態勢感知系統、安全策略智能管理和網絡誘捕系統，“三位一體”構建主動防御體系，提高對未知威脅感知能力和響應能力。詳細設計如下：

? 在安全隔離區與終端接入區邊界部署防火墻、IPS、網絡探針和誘捕系統實現該區域邊界保護；

? 在安全隔離區與生產區邊界部署防火墻、IDS、網絡探針和誘捕系統實現該區域邊界保護；

? 在生產區與IT網絡邊界部署防火墻、IPS、網絡探針和誘捕系統實現該區域邊界保護；

? 在生產區內部不同廠房車間FAB區邊界部署防火墻、IDS、網絡探針和誘捕系統實現該區域邊界保護；

? 在與合作伙伴外部網絡互聯的邊界部署防火墻、IPS、網絡探針和誘捕系統實現該區域邊界保護；

? 原則上禁止在生產網絡的系統中安裝TeamViewer等遠程控制軟件，避免繞過邊界安全防護措施，帶來安全風險；

? 如需遠程運維，建議采用VPN接入安全隔離區，通過登錄堡壘機對網內設備進行運維操作。

智能運維管理方案

1. 

2. 

3. 

4. 

5. 

6. 

7. 

8. 

9. 

10. 

10.1. 

10.2. 

10.2.1 

隨著網絡規模的不斷增長、網絡應用的不斷推廣、業務越來越多樣化，大量路由器、交換機、WLAN 等被廣泛的應用于網絡，IT維護人員面對網絡管理和運維中遇到的問題和挑戰，需要一套高效、統一的控制器進行支撐，遵循ITIL規范，提供融合、開放的運維平臺，實現對有線無線網絡以及用戶的統一管理。

管理方案設計

? 全網有線、無線網絡統一、可視化管理，包括統一拓撲、統一告警、性能、統一報表等基本功能，滿足網絡的基本運維需求。

? 可分權分域，基于每個區域給予管理權限控制，確保網絡的管理分工與安全。

? 分級網絡管理，實現運維安全和大規模網絡管理的能力。可以實現跨地區上下分層式管理，基于分層管理訴求，聚焦分層網絡運維職能，上下分級各司其職，實現統一的拓撲管理、統一的資源管理、分層式的告警管理、全網匯聚Portal、統一的用戶認證管理。

? 零配置部署管理，支持拓撲開局和設備標識開局，從網絡規劃、離線配置文件制作、設備布線上電、網絡規劃調整、開局以及故障設備替換等，提供了端到端設備運維能力，提高了運維人員效率。

? WLAN全生命周期的管理，可視規劃、三步開通業務、360°監控到基于搜索的一鍵式故障診斷的WLAN全生命周期管理，幫助用戶高效部署和管理無線網絡。

? 移動化運維管理，用戶可以在移動終端上進行無線網絡管理，包括360監控、故障診斷等功能。

大數據智能運維管理方案

平臺設計基于大數據分析平臺構建，采用Telemetry 技術方案接收設備上報的數據，通過智能算法對網絡數據進行分析、呈現。

網絡智能分析器采用微服務架構，各個業務服務采用多實例部署，外部 HTTP 請求由消息總線進行分發到各個節點實例處理，并可通過擴充實例節點實現服務容量動態擴容，具備高可靠性和伸縮性。