网络设计原则

园区网通常是在有限的空间内聚集了大量的终端和用户接入的高密度网络。对于园区网而言，注重的是网络的简单可靠、易部署、易维护，需遵循如下原则：

l 层次化原则

将园区网络划分为核心层、接入层等分层架构，每层功能清晰，架构稳定，易于扩展和维护。

l 模块化原则

将园区网络中的每个部门或者每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。

l 可靠性原则

整套网络系统的可靠性是第一位，应选用主流的并得到广泛应用的知名设备品牌，在系统设计、设备选型、调试、安装等环节严格执行国家、行业的有关标准及公安机关有关安全技术防范的要求，贯彻质量条例，保证系统的可靠性。

l 安全性原则

网络系统的设备必须满足安全性要求，设备选型不能选试验产品，要选先进的市场主流产品，要能保证系统不间断运行。对关键的设备、数据和接口应采用冗余设计。网络环境下信息传输和数据存储要注重安全，保障系统网络的安全可靠性。包括物理空间的安全控制及网络的安全控制。需要有完整的安全策略控制体系来实现网络的安全控制。

l 先进性原则

系统的设计方法和技术路线应符合当前网络架构未来发展趋势，须充分兼顾需求和技术的发展，须充分考虑与其他系统的连接，建设可扩展的、开放的平台。主要设备须支持升级演进，软件的设计应先进灵活，便于升级以及与其它系统的互联互控，同时应保证人机界面友好，易于使用和操作，保证最终效果的优异。

l 可扩展性原则

随着系统以后的扩展，用户容量将会不断扩大，新的业务功能的要求将会层出不穷。这要求系统具备良好的可扩展性，所以在系统建设的初期，首先立足于近期的应用需求进行系统配置，而以系统的可扩展性来保证今后十年内的发展需求。

网络系统的各个组成部件选用标准的硬件和软件，各个子系统的设计模块化，软、硬件能够平滑升级或更新，网络节点的增减对网络性能的影响不大。

l 易维护管理

网络可管理性是网络成功运维的基础，应提供简单有效的网络统一管理系统，对网络所有网络设备进行管理，包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。

l 投资保护

园区网络架构设计必须满足未来3-5年的使用需求，提高整网的利用率和扩展能力，使得可能的后续投资最小化。同时结合运维等方面的要求，获得******总体拥有成本。

总体架构设计

智能园区网络总体解决方案如下：

 园区网络架构设计

智能园区网络分为办公园区、生产IT网络，生产OT网络，安全隔离区，数据中心区等等，各主要区域的业务承载如下：

办公园区：

• 通用办公区（市场、财务、研发等）

• 安防视频监控、楼宇智能网

生产园区（production-IT）

• 生产IT区域，有线、无线终端接入

• 生产IT区和办公网存在业务流量，通过安全隔离区安全控制

• 仓储、物流区域等场景

生产园区（production-OT）

• 工控网络，机器人控制生产

• 生产数据采集，光学检测

• 生产物流自动运输

园区网络的解决方案总体架构设计如下：

园区出口：

部署出口路由器，防火墙、IPS、DDOS、上网行为管理等安全设备，作为园区的统一出口，同时要防范外部Internet网络的攻击。

办公IT网络：

办公园区IT网络，一张物理网络同时承载有线办公网、无线办公网、安防网络、楼宇网络等等，基于Vxlan技术构建多个虚拟网络，一网多用，逻辑安全隔离。

核心、汇聚等框式交换机双机部署集群，接入交换机iStack堆叠，接入-汇聚，汇聚-核心双链路，提高整网的可靠性。

无线接入层部署业界领先的Wi-Fi 6 AP，上行最高带宽10Gbps，满足各种高带宽业务应用。

生产IT网络：

核心、汇聚等框式交换机双机部署集群，接入交换机iStack堆叠，接入-汇聚，汇聚-核心双链路，提高整网的可靠性。

无线接入层部署业界领先的Wi-Fi 6 AP，上行最高带宽10Gbps，满足各种高带宽、低时延业务应用。

安全隔离区：

安全隔离区作为生产IT网络和办公IT网络的中间隔离区域，主要是对办公区域访问生产IT网络的行为进行安全控制，杜绝各种安全风险。部署防火墙、沙箱、漏扫、及安全探针等设备。

根据整网安全分析的需要，在办公IT网络，生产IT网络，部署一部分安全探针，用于网络流量的采集。同时办公、生产的IT网络的汇聚层交换机，基于Netstream技术采集网络流量，用于整网安全风险的分析与预防。

网络管理区：

网络管理区用于部放SDN控制器，大数据智能运维平台CampusInsight，安全分析平台CIS，对整网进行管理，运维和安全防护；网络管理园区旁挂在园区的总核心上。

VxLAN组网设计方案

办公园区基于VxLAN等SDN技术，一张物理网络同时承载办公、安防、楼宇等多张业务网络，业务网络逻辑安全隔离。

Ø 各板块汇聚与政务核心构建一个虚拟网络Fabric实现虚拟化专网；承载多业务实现逻辑隔离

Ø 通过SDN控制器对办公网VXLAN业务实现自动化部署

Ø 各板块汇聚与接入之间二层互联

无线Wi-Fi覆盖方案

Wi-Fi已成为当今世界无处不在的技术，为数十亿设备提供连接，也是越来越多的用户上网接入的首选方式，并且有逐步取代有线接入的趋势。为适应新的业务应用和减小与有线网络带宽的差距，每一代802.11的标准都在大幅度的提升其速率。

然而移动业务的快速发展和高密度接入对Wi-Fi网络的带宽提出了更高的要求，在2013年发布的802.11ac标准引入了更宽的射频带宽（提升至160MHz）和更高阶的调制技术（256-QAM），传输速度高达1.73Gbps，进一步提升Wi-Fi网络吞吐量。另外，在2015年发布了802.11ac wave2标准，将波束成形和MU-MIMO等功能推向主流，提升了系统接入容量。但遗憾的是802.11ac仅支持5GHz频段的终端，削弱了2.4GHz频段下的用户体验。

下一代Wi-Fi需要解决更多终端的接入导致整个Wi-Fi网络效率降低的问题， 802.11ax(Wi-Fi 6)标准将引入上行MU-MIMO、OFDMA频分复用、1024-QAM高阶编码等技术，将从频谱资源利用、多用户接入等方面解决网络容量和传输效率问题。目标是在密集用户环境中将用户的平均吞吐量相比如今的Wi-Fi 5提高至少4倍，并发用户数提升3倍以上，因此，Wi-Fi 6(802.11ax)也被称为高效无线（HEW）。

Wi-Fi 6是下一代802.11ax标准的简称。随着Wi-Fi标准的演进，WFA为了便于Wi-Fi用户和设备厂商轻松了解其设备连接或支持的Wi-Fi 型号，选择使用数字序号来对Wi-Fi重新命名。另一方面，选择新一代命名方法也是为了更好地突出 Wi-Fi 技术的重大进步，它提供了大量新功能，包括增加的吞吐量和更快的速度、支持更多的并发连接等。根据WFA的公告，现在的 Wi-Fi 命名分别对应如下 802.11技术标准：

和以往每次发布新的802.11标准一样，802.11ax也将兼容之前的802.11ac/n/g/a/b标准，老的终端一样可以无缝接入802.11ax网络。

 网络安全方案

基于安全协防整体防护理念和设计原则，所构建的安全防护体系，实现快速响应，调查追溯，优化安全策略，提升防护水平。

为了将威胁控制在局部区域，同时考虑到对网络攻击行为及时检测和处置，建议所有关键区域边界均应部署相应的安全防护措施，通过部署安全态势感知系统、安全策略智能管理和网络诱捕系统，“三位一体”构建主动防御体系，提高对未知威胁感知能力和响应能力。详细设计如下：

Ø 在安全隔离区与终端接入区边界部署防火墙、IPS、网络探针和诱捕系统实现该区域边界保护；

Ø 在安全隔离区与生产区边界部署防火墙、IDS、网络探针和诱捕系统实现该区域边界保护；

Ø 在生产区与IT网络边界部署防火墙、IPS、网络探针和诱捕系统实现该区域边界保护；

Ø 在生产区内部不同厂房车间FAB区边界部署防火墙、IDS、网络探针和诱捕系统实现该区域边界保护；

Ø 在与合作伙伴外部网络互联的边界部署防火墙、IPS、网络探针和诱捕系统实现该区域边界保护；

Ø 原则上禁止在生产网络的系统中安装TeamViewer等远程控制软件，避免绕过边界安全防护措施，带来安全风险；

Ø 如需远程运维，建议采用VPN接入安全隔离区，通过登录堡垒机对网内设备进行运维操作。

智能运维管理方案

1. 

2. 

3. 

4. 

5. 

6. 

7. 

8. 

9. 

10. 

10.1. 

10.2. 

10.2.1 

随着网络规模的不断增长、网络应用的不断推广、业务越来越多样化，大量路由器、交换机、WLAN 等被广泛的应用于网络，IT维护人员面对网络管理和运维中遇到的问题和挑战，需要一套高效、统一的控制器进行支撑，遵循ITIL规范，提供融合、开放的运维平台，实现对有线无线网络以及用户的统一管理。

管理方案设计

Ø 全网有线、无线网络统一、可视化管理，包括统一拓扑、统一告警、性能、统一报表等基本功能，满足网络的基本运维需求。

Ø 可分权分域，基于每个区域给予管理权限控制，确保网络的管理分工与安全。

Ø 分级网络管理，实现运维安全和大规模网络管理的能力。可以实现跨地区上下分层式管理，基于分层管理诉求，聚焦分层网络运维职能，上下分级各司其职，实现统一的拓扑管理、统一的资源管理、分层式的告警管理、全网汇聚Portal、统一的用户认证管理。

Ø 零配置部署管理，支持拓扑开局和设备标识开局，从网络规划、离线配置文件制作、设备布线上电、网络规划调整、开局以及故障设备替换等，提供了端到端设备运维能力，提高了运维人员效率。

Ø WLAN全生命周期的管理，可视规划、三步开通业务、360°监控到基于搜索的一键式故障诊断的WLAN全生命周期管理，帮助用户高效部署和管理无线网络。

Ø 移动化运维管理，用户可以在移动终端上进行无线网络管理，包括360监控、故障诊断等功能。

大数据智能运维管理方案

平台设计基于大数据分析平台构建，采用Telemetry 技术方案接收设备上报的数据，通过智能算法对网络数据进行分析、呈现。

网络智能分析器采用微服务架构，各个业务服务采用多实例部署，外部 HTTP 请求由消息总线进行分发到各个节点实例处理，并可通过扩充实例节点实现服务容量动态扩容，具备高可靠性和伸缩性。