企业园区网建设需求分析

随着当前中国经济的高速发展，各企业的业务也随之快速扩张，由于市场竞争的需要，企业围绕关联产业和产业链形成有机的分工与协作关系的园区正在快速的发展，逐渐在区域形成了聚集效应，给园区内的每个企业的发展带来了新的契机。

园区经济的形成也给各个企业带来了新的课题，为了提高竞争力，推进上下游产业的协同工作，进而更好地管理和沟通，就需要打通企业或部门间的壁垒，使企业的信息流畅通，这样也就必然向企业的IT部门提出了更高的要求—如何构建企业的园区网，能更好地为企业自身服务？

企业园区网分析

目前企业园区网建设中关注的主要四方面：

网络的智能化：原有各自独立的路由、交换、安全、语音、视频等功能，现在都开始向融合方向发展，在这个演进发展趋势中，通用性的网络设备如何实现个性化、行业化的定制，成为网络智能化发展的方向，同时带来了集成化后的设备配置、管理方面的易用性要求。

全网全方位的安全：由于传统防火墙功能单一，存在很多安全盲点，而整合是未来安全产品的必然趋势，单一功能的防火墙市场将快速萎缩。2007年多功能安全网关替换传统防火墙的趋势将非常明显。当前的安全也已经通过单一的对网络的安全防护，扩展到全方位的安全规划，不仅原有的防火墙、防毒墙、IPS在融合，对员工的安全认证、管理也必须考虑，还要考虑环境的安全，供电、防潮、防进入等，这样才能构建一个真正意义上的安全环境。因此，安全的挑战就是整体的规划和对全方位的管理。

数据中心的整合：应用系统将深度融合，数据高度集中，在数据大集中的过程中，企业原有分散建设的各自独立的异构系统需要进行整合，需要有一套标准化的技术和协议对整合后的平台进行规范，有利于后续业务的发展和扩张。在这样的数据大集中后，最大的挑战是随之带来的风险的大集中，如何保障集中后的数据的安全，不仅仅是网络的安全，还有数据的备份和恢复，访问的安全控制等。

多媒体的建设：视频会议等多媒体网络技术的应用，可以很大的节省企业的日常业务成本，而企业园区内的监控部署（安防和生产），可以很好的预防企业生产的事故的发生，更好的对现场进行远程控制。

当前企业园区网建设存在风险的主要原因是

企业园区内各企业各部门的网络建设缺乏统一规划，还是各自系统、各自产品独立建设；

原来企业园区内的网络设备缺乏统一标准，厂家自定义规格，多厂家设备存在互通问题，更谈不上融合；

只关注系统实现功能，而轻视了对系统的管理，在系统规模日益庞大的情况下，粗放式的简单管理已经成为系统发展的瓶颈；

企业园区内各企业各部门的安全措施各自为阵，安全漏洞依然无法解决，安全威胁仍就肆意猖獗；

企业园区网建网思路

正是敏锐地发现了以上存在的问题，H3C创造性地提出了新一代企业园区网建设思路：IP网络＋IP安全＋IP存储＋IP通信＋IP管理＝融合企业园区网解决方案[NextPage]

为什么要选择IP技术实现企业园区网架构整合呢？众所周知，TCP/IP是迄今为止应用最广泛、最成熟、最为开放、标准化程度最高的技术体系，具有简单、开放、灵活扩展、管理和互操作等一系列优势，已经成为当今互联网、电信网、政务网、企业网的主要承载技术。IP协议弹性强，能更好地适应IT网络的各种变化。例如在存储技术领域，传统的FC技术存在兼容性和扩展性等方面的问题，基于IP的存储能够更好地实现平台兼容性及业务扩展性，并可实现更灵活的数据服务定制。基于这样的潮流，H3C推出了IT On IP(简称IToIP)的企业园区网建设理念及整体解决方案。

IToIP企业园区网解决方案

IT On IP就是基于统一的IP技术来构建IT系统。从技术的发展过程来看，从IP网络到基于IP的通信、再到基于IP的存储和统一的IT资源管理，基于IP技术构建整个IT系统是IT系统发展的必然方向，H3C正沿此方向提供全面的产品及整体解决方案。

针对企业园区网建设的需求特点，H3C提出了基于IToIP的企业园区网总体架构：

IToIP的企业园区网总体架构以IP智能安全渗透网络为躯干、IP通信和IP存储为两翼，IP智能管理中心为神经中枢，其中IP智能安全渗透网络又包括网络架构优化、网络业务拓展、安全渗透防御。

IToIP并不是一种产品的堆积，而是一种完全基于IP的融合IT解决方案。在整个信息的生命周期中，信息的产生、存储、传送、处理都是通过IP的方式进行，中间不用任何的转化，这样就能够对整个IT系统更好地管理，提升效率。

IP智能安全渗透网络平台

一般，企业园区网络规模比较大，接入节点数目比较多，企业园区内独立的企业也比较多，各企业的生产数据在网络上的传输也必须保证端到端的安全，各企业、各部门间的业务隔离需求就显得比较迫切，随着各企业业务的快速增长，企业网络的扩展性也应该比较强。针对企业园区网络建设的这些特点，H3C公司提出了企业园区的IP智能安全渗透网络方案，该方案包括如下部分：层次化设计、高可靠性设计、虚拟化设计、无线网络设计、整体网络安全设计等。

层次化设计

在企业园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。典型的企业园区网络结构可以分成三层：接入层、汇聚层、核心层。

接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、QoS和POE功能都位于这一层。对于企业园区网的接入层设备，建议采用千兆三层接入的方式，应该具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。

汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关；对于企业园区网的汇聚层设备，应该能够承载企业园区的多种融合业务，能够融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载企业园区融合业务的需求。

核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于企业园区网核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的RPR环网结构或多设备冗余的星型结构。对于企业园区网核心层设备，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为企业园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。

高可靠性

小型企业园区高可靠网络设计方案

对于小型企业园区网络，接入端口数量不多、但可靠性要求较高；对交换容量、带宽要求较高。我们推荐高速、无阻塞交换千兆两层扁平组网模型。为用户提供千兆接入、支持语音和POE、网络可以运行OSPF协议，两层扁平网络结构，易于配置和管理，并能适应用户未来几年网络应用的需要，提供预留容量。

两层简化扁平网络结构，汇聚、核心合为一层，减少了网络设备数量，易于配置和管理，为用户提供千兆桌面接入、支持语音和POE功能。接入、核心层设备都为机架式，可用多种不同端口类型的单板组合，使用灵活、可扩充性强，节省网络投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。[NextPage]

中型企业园区高可靠网络设计方案

对于中型企业园区网络，推荐采用千兆接入组网模型。为用户提供三层千兆到桌面的接入服务，整网配置OSPF协议，网络故障收敛速度快、易于管理和维护。VLAN终结在接入端口，限制广播域范围，较少广播报文对网络带宽的消耗。从接入层开始即可进行快速三层交换，利用网络中存在的等价多路径实现业务流量的负载分担。

网络按照分层、模块化的思路进行设计和规划，根据业务、区域等规划因素进行模块化区域划分，每个区域有自己的汇聚核心与网络核心相连。网络各层设备都为三层设备，支持OSPF。在接入层设备上提供千兆端口接入，支持语音和POE。 接入层千兆双归属到汇聚层设备，提供链路冗余备份，利用存在的ECMP实现流量负载分担。区域汇聚核心间提供千兆链路连接，双机备份和加速路由收敛。汇聚层千兆双归属到网络核心，根据实际带宽需要也可千兆链路捆绑双上行到核心，会聚层可采用堆叠设备，它提供的分布式路由和分布式设备管理使整个堆叠设备当成一台交换机进行路由转发和管理，而且支持热插拔，不会因为堆叠组单台设备故障引起整个接入业务中断。两台核心设备间通过千兆捆绑链路连接，完成高速数据交换和双机热备份。

大型企业园区高可靠网络设计方案

对于大型园区网络，推荐采用环网组网模型，核心层可考虑用多台设备搭建RPR环替代双机热备份。这样可以实现10ms的故障检测时间以及50ms的业务倒换时间，可以做到故障切换时完全不影响正在进行的音频业务，完全满足电信级可靠性的要求。

RPR与SDH拓扑结构类似，RPR为互逆双环拓扑结构，环上的每段光路工作在同一速率上。建成后的核心层主要负责核心业务处理、跨区域业务量疏通、及与其它网络互联互通，同时可作为P设备，配合汇聚层PE设备，完成MPLS VPN业务的部署，将企业园区内不同业务进行隔离，保证各个业务在同一网络平台上运行、互不影响。

H3C公司RPR技术采用双环逆向拓朴结构，外环和内环同时可传送数据和控制信息，具有完全分布式的访问控制方法，实现电信级故障自动保护倒换IPS功能，业务倒换时间小于50ms；拓朴收集自动完成，能自动选择业务最优路径；利用RPR-Fa公平算法，环网带宽动态调整，实现带宽全局公平和局部最优利用；实现流量等级保证QoS，支持带宽预留的业务；继承传统Ethernet概念，支持所有Ethernet上层协议和业务。带宽可平滑扩展，1G-10G，甚至40G。且具有完善的操作和维护平台，具有可运营、可管理的能力。

虚拟化