需求與挑戰(zhàn)

政務(wù)園區(qū)網(wǎng)是獨立的政務(wù)大樓、大型的政務(wù)園區(qū)內(nèi)的網(wǎng)絡(luò)，各級政務(wù)機(jī)構(gòu)辦公網(wǎng)絡(luò)需求最終都是由政務(wù)園區(qū)網(wǎng)絡(luò)來進(jìn)行承載，此外各級政務(wù)機(jī)構(gòu)的小中型數(shù)據(jù)中心也是在政務(wù)園區(qū)網(wǎng)內(nèi)來進(jìn)行部署的。由于政府行業(yè)的特點，政務(wù)園區(qū)網(wǎng)相對于普通企業(yè)園區(qū)網(wǎng)存在如下的特點：

• 園區(qū)內(nèi)存在多個部委或者委辦局，各部門或者委辦局之間的業(yè)務(wù)需要彼此隔離，縱向連接到各自部委下的上級單位和下級單位，例如園區(qū)內(nèi)省文化廳某機(jī)關(guān)的網(wǎng)絡(luò)縱向需要連接到上級文化部和下級市級的文化局；
• 高度的網(wǎng)絡(luò)安全需求，政務(wù)網(wǎng)絡(luò)承載著涉及國計民生的重大政務(wù)應(yīng)用與重要政務(wù)信息，因此網(wǎng)絡(luò)的高度安全對政務(wù)網(wǎng)絡(luò)來說十分重要；
• 接入終端密度大，匯聚層要求可靠性高；
• 實行差異化的QoS服務(wù)，保證關(guān)鍵業(yè)務(wù)的承載質(zhì)量。

政務(wù)園區(qū)網(wǎng)絡(luò)解決方案

政務(wù)園區(qū)網(wǎng)絡(luò)解決方案通過如下方案實現(xiàn)業(yè)務(wù)層的需求：

• VLAN、MPLS VPN技術(shù)，實現(xiàn)部委間業(yè)務(wù)縱向隔離；
• CSS、iStack無環(huán)以太網(wǎng)組網(wǎng)技術(shù)，實現(xiàn)政務(wù)園區(qū)網(wǎng)絡(luò)的易擴(kuò)展、高可靠；
• 分級分業(yè)務(wù)的QoS保障，保障關(guān)鍵政務(wù)應(yīng)用及關(guān)鍵業(yè)務(wù)部門的應(yīng)用體驗；
• 全系列網(wǎng)絡(luò)安全設(shè)備，實現(xiàn)終端、內(nèi)部邊界、出口全方位立體安全；
• 政務(wù)園區(qū)WLAN部署方案，實現(xiàn)政務(wù)無線辦公及外部訪客接入。

圖1 華為政務(wù)園區(qū)網(wǎng)絡(luò)解決方案

VLAN、MPLS VPN技術(shù)，實現(xiàn)部委間業(yè)務(wù)縱向隔離

通過以下措施實現(xiàn)政務(wù)園區(qū)網(wǎng)內(nèi)各部委或者委辦局業(yè)務(wù)間的隔離：

• 各委辦局各自局域網(wǎng)劃分VLAN；
• 各委辦局局域網(wǎng)上聯(lián)到園區(qū)網(wǎng)匯聚交換設(shè)備，匯聚交換設(shè)備作為各委辦局三層網(wǎng)關(guān)，實現(xiàn)VLAN與MPLS VPN路由映射；
• 園區(qū)出口處城域網(wǎng)PE設(shè)備完成園區(qū)數(shù)據(jù)流量的MPLS標(biāo)簽標(biāo)記。

圖2 VLAN+MPLS VPN實現(xiàn)縱向業(yè)務(wù)隔離

CSS、iStack技術(shù)實現(xiàn)無環(huán)以太網(wǎng)組網(wǎng)

無環(huán)以太網(wǎng)組網(wǎng)具體組網(wǎng)如下：

設(shè)備堆疊/集群：2臺或多臺接入層交換機(jī)之間通過iStack技術(shù)進(jìn)行堆疊，2臺匯聚層交換機(jī)之間通過CSS技術(shù)組建交換集群，2臺核心交換機(jī)之間通過CSS技術(shù)組建交換集群。堆疊、集群之后，當(dāng)一臺故障時，另一臺自動接管所有業(yè)務(wù)。

鏈路聚集：通過Trunk技術(shù)，實現(xiàn)鏈路的聚集，一條或多條鏈路故障后,流量自動切換到其他正常的鏈路。

圖3 CSS+iStack無環(huán)以太網(wǎng)組網(wǎng)

通過應(yīng)用無環(huán)以太網(wǎng)技術(shù)，滿足政務(wù)園區(qū)網(wǎng)絡(luò)接入層終端密度大，匯聚層核心層高可靠的需求。無環(huán)以太網(wǎng)技術(shù)組網(wǎng)簡單，不需要配置多數(shù)可靠性的協(xié)議，可以減化配置和維護(hù)工作量，減少出錯機(jī)率。

分級分業(yè)務(wù)的QoS保障

園區(qū)網(wǎng)實現(xiàn)端到端的QoS保障，園區(qū)網(wǎng)所有節(jié)點應(yīng)用QoS策略。QoS策略在多個應(yīng)用隊列之間進(jìn)行調(diào)度。接入節(jié)點通過Remark 802.1p/DSCP進(jìn)行流量區(qū)分，其他節(jié)點根據(jù)流分類調(diào)度。一般情況采用絕對優(yōu)先方式（SP）調(diào)度，特殊情況采用WFQ及HQoS進(jìn)行調(diào)度。

圖4 政務(wù)園區(qū)網(wǎng)絡(luò)QoS保障方案

終端、內(nèi)部邊界、出口立體安全

遠(yuǎn)程安全：遠(yuǎn)程接入控制IPSec/SSL VPN；

邊界防御：防火墻、IDS/IPS；

網(wǎng)絡(luò)監(jiān)管：ACL流量控制、DHCP服務(wù)器欺詐攻擊防范、ARP欺騙攻擊防范；

IP地址欺騙攻擊防范、ARP限速功能、DHCP限速功能、MAC地址表容量攻擊防護(hù)能力；

接入安全：終端安全接入控制（NAC）、用戶隔離、端口隔離。

圖5 政務(wù)園區(qū)網(wǎng)絡(luò)立體安全方案

政務(wù)園區(qū)網(wǎng)WLAN部署方案

在園區(qū)網(wǎng)的核心層部署AC設(shè)備，采用主備方式，由AC統(tǒng)一管理AP和無線用戶。AC設(shè)備推薦核心交換機(jī)（如S97/77等）上直接配置插卡式AC，方便管理，也可采用旁掛獨立AC設(shè)備（如AC6605）。

Huawei系列AP支持自適應(yīng)信道調(diào)整、自適應(yīng)功率調(diào)整，方便進(jìn)行無線網(wǎng)絡(luò)的部署。

訪客區(qū)安全方案：訪客區(qū)劃分專門SSID，并與專用VLAN映射，實現(xiàn)訪客區(qū)與內(nèi)部網(wǎng)絡(luò)的安全隔離。

圖6 政務(wù)園區(qū)WLAN部署方案

方案特點

• 部署方便：華為AP支持功率自適應(yīng)調(diào)整、頻段自適應(yīng)調(diào)整，輕松部署無線網(wǎng)絡(luò)
• 運維簡單：核心層集中部署AC，eSight網(wǎng)管平臺支持有線無線一體化管理
• 高可靠性：主備AC方案實現(xiàn)無線網(wǎng)絡(luò)的高可靠
• 高安全性：訪客區(qū)和內(nèi)部網(wǎng)絡(luò)安全隔離

客戶價值

華為政府園區(qū)解決方案幫助政府客戶實現(xiàn)：

1. 多部門業(yè)務(wù)虛擬隔離，多業(yè)務(wù)差異化承載

縱向虛擬化，采用MPLS VPN技術(shù)實現(xiàn)多業(yè)務(wù)隔離，橫向虛擬化，采用集群、堆疊技術(shù)提高網(wǎng)絡(luò)交換容量，實現(xiàn)多業(yè)務(wù)承載，并采用H-QoS技術(shù)實現(xiàn)多業(yè)務(wù)調(diào)度，確�？蛻魳I(yè)務(wù)體驗。

2. 政務(wù)無線與有線一體化網(wǎng)絡(luò)

園區(qū)除了以有線的以太方式部署之外，在不便部署有線接口地方，通過部署 AP 靈活接入用戶，并使兩類用戶具有相同的業(yè)務(wù)體驗，實現(xiàn)園區(qū)網(wǎng)中有線無線完全的融合安全可靠，匯聚設(shè)備融合AC。

3. 高度網(wǎng)絡(luò)安全

華為NAC帶給客戶泛在安全、全面的終端準(zhǔn)入控制，無論有線、無線、分支、遠(yuǎn)程都可以實現(xiàn)認(rèn)證和授權(quán)。

4. 分支機(jī)構(gòu)業(yè)務(wù)靈活部署

智能多業(yè)務(wù)網(wǎng)關(guān)AR G3支持接入、路由、交換、安全、語音等多業(yè)務(wù)融合，具備完善的接口類型，支持靈活組網(wǎng)，提升網(wǎng)絡(luò)可擴(kuò)展性。

5.園區(qū)網(wǎng)絡(luò)簡單易維

全系列網(wǎng)絡(luò)設(shè)備支持統(tǒng)一網(wǎng)管，設(shè)備支持業(yè)務(wù)零配置自動部署，簡化運維復(fù)雜度，大幅降低OPEX。