中小企业网络解决方案_技术建议书(模板).doc-道客多多

资源描述

1、ONE NET Branch 中小企业网络解决方案V100R001C00技术建议书文档版本 01发布日期 2011-10-31华为技术有限公司ONE NET Branch 中小企业网络解决方案技术建议书目录版权所有华为技术有限公司 2011。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的

2、全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址： http:/客户服务邮箱：客户服务电话： 4008302118ONE NET Branch 中小企业网络解决方案技术建议书目录目录1 导言 81.1 中小企业解决方案概述 81.2 中小企业面临的困难 82 微型机构基础网络解决方案

3、 92.1 微型机构基础网络设计原则 92.2 微型机构基础网络规划 102.2.1 核心层设计规划 .102.2.2 接入层设计规划 .102.2.3 出口设计规划 .102.2.4 安全性设计规划 .102.3 微型机构基础网络业务方案 102.3.1 数据业务规划 .102.3.2 语音业务规划 .112.3.3 安全业务规划 .112.4 微型机构基础网络技术方案 112.4.1 VLAN 设计 112.4.2 IP 设计 112.4.3 DHCP 设计 .112.4.4 NAT 设计 .122.4.5 安全设计 .122.4.6 远程接入设计 .122.4.7 网管设计 .122.5

4、微型机构基础网络方案特点 123 小型机构基础网络解决方案 133.1 小型机构基础网络设计原则 133.2 小型机构基础网络规划 143.2.1 核心层设计规划 .143.2.2 接入层设计规划 .143.2.3 出口设计规划 .14ONE NET Branch 中小企业网络解决方案技术建议书目录3.2.4 安全性设计规划 .143.3 小型机构基础网络业务方案 143.3.1 数据业务规划 .143.3.2 语音业务规划 .153.3.3 安全业务规划 .153.4 小型机构基础网络技术方案 153.4.1 VLAN 设计 153.4.2 IP 设计 153.4.3 DHCP 设计

5、.163.4.4 NAT 设计 .163.4.5 安全设计 .163.4.6 远程接入设计 .163.4.7 网管设计 .163.5 小型机构基础网络方案特点 164 中小型机构基础网络解决方案 174.1 中小型机构基础网络设计原则 174.2 中小型机构基础网络规划 184.2.1 核心层设计规划 .184.2.2 接入层设计规划 .184.2.3 出口设计规划 .184.2.4 可靠性设计规划 .184.2.5 安全性设计规划 .184.3 中小型机构基础网络业务方案 184.3.1 数据业务规划 .184.3.2 语音业务规划 .194.3.3 安全业务规划 .194.4 中小型机构基

6、础网络技术方案 194.4.1 VLAN 设计 194.4.2 IP 设计 204.4.3 DHCP 设计 .204.4.4 NAT 设计 .204.4.5 安全设计 .204.4.6 远程接入设计 .204.4.7 可靠性设计 .204.4.8 网管设计 .214.5 中小型机构基础网络方案特点 215 中型机构基础网络解决方案 215.1 中型机构基础网络设计原则 215.2 中型机构基础网络规划 22ONE NET Branch 中小企业网络解决方案技术建议书目录5.2.1 核心层设计规划 .225.2.2 汇聚层设计规划 .235.2.3 接入层设计规划 .235.2.4 出口设计

7、规划 .235.2.5 可靠性设计规划 .235.2.6 安全性设计规划 .235.3 中型机构基础网络业务方案 235.3.1 数据业务规划 .235.3.2 语音业务规划 .245.3.3 安全业务规划 .245.4 中型机构基础网络技术方案 245.4.1 VLAN 设计 245.4.2 IP 设计 245.4.3 DHCP 设计 .255.4.4 NAT 设计 .255.4.5 安全设计 .255.4.6 远程接入设计 .255.4.7 可靠性设计 .255.4.8 网管设计 .265.5 中型机构基础网络方案特点 266 中小型机构高级安全解决方案 266.1 中小型机构高级安全设计

8、原则 266.2 中小型机构高级安全业务方案 276.2.1 园区用户接入安全业务规划 .276.2.2 远程分支用户接入安全业务规划 .286.2.3 边界安全业务规划 .286.2.4 内网审计业务规划 .296.3 中小型机构高级安全技术方案 296.3.1 安全检查设计 .296.3.2 远程接入安全设计 .296.3.3 防火墙设计 .296.3.4 内网安全设计 .296.3.5 内网审计设计 .306.3.6 ARP 防攻击设计 .306.4 中小型机构高级安全方案特点 307 中小型机构高级无线解决方案 317.1 中小型机构高级无线设计原则 317.2 中小型机构高级无线业务

9、方案 317.2.1 无线用户接入业务规划 .31ONE NET Branch 中小企业网络解决方案技术建议书目录7.2.2 无线语音终端用户接入业务规划 .327.2.3 有线无线一体化接入业务规划 .327.3 中小型机构高级无线技术方案 327.3.1 WLAN 认证设计 .327.3.2 SSID 与 VLAN 设计 .337.3.3 DHCP 设计 .337.3.4 射频设计 .347.3.5 WMM 设计 347.3.6 频点设计 .357.3.7 覆盖设计 .367.3.8 链路预算设计 .377.3.9 容量设计 .387.4 中小型机构高级无线方案特点 388 中小型机构

10、高级语音解决方案 388.1 中小型机构高级语音设计原则 388.2 中小型机构高级语音业务方案 398.2.1 中型机构分布式多分支语音业务规划 .398.2.2 小型机构分布式多分支语音业务规划 .398.3 中小型机构高级语音技术方案 408.3.1 终端接入设计 .408.3.2 网络接入设计 .408.3.3 号码规划设计 .418.3.4 路由设计 .418.3.5 语音业务设计 .418.3.6 语音可靠性设计 .428.3.7 语音 QoS 设计 428.4 中小型机构高级语音方案特点 429 中小企业典型应用 439.1 经济性酒店解决方案 439.2 经济型酒店网络规划 4

11、49.2.1 核心层设计规划 .449.2.2 汇聚层设计规划 .459.2.3 接入层设计规划 .459.2.4 出口设计规划 .459.2.5 可靠性设计规划 .459.3 经济型酒店网络方案 469.3.1 经济型酒店的网络部署 .469.3.2 经济型酒店无线网络部署方案 .479.3.3 经济型酒店安全部署方案 .49ONE NET Branch 中小企业网络解决方案技术建议书目录9.3.4 经济型酒店 IP 语音通信方案 529.4 经济型酒店网络方案特点 5310 设备说明 5410.1 S9300 系列 5410.2 S7700 系列 5710.3 S5700 系列 591

12、0.4 S3700 系列 6310.5 S2700 系列 6510.6 AR 系列 .6710.7 防火墙系列 6911 部署注意事项 71ONE NET Branch 中小企业网络解决方案技术建议书目录1 导言1.1 中小企业解决方案概述当前我国中小企业发展迅速，在国民经济和社会发展中的地位和作用与日增强，据统计中小企业占我国企业总数的 99%以上，创造的产品和价值占 GDP 的 60%，中小企业以其灵活的运行机制和市场适应能力成为推动中国经济社会发展的重要力量。随着信息化时代的不断发展，中小企业追求更高效的沟通和交流管理方式，扩大自身的生产运营规模，增强企业的市场竞争力。这就要求以信息

13、化为平台，以网络为承载媒介，提高企业的运作效率，降低运营成本，而网络建设无疑是其中最基本也是最重要的一个环节。华为公司从经济角度和企业规模角度将中小企业分为微型机构、小型机构、中小型机构和中型机构四种基础网络架构，中小企业可以根据自身的实际需要选择相应的网络建设方案。对于安全、无线接入、语音有特殊要求的中小企业，华为公司提供高级安全解决方案、高级无线解决方案和高级语音解决方案，并提供网络管理解决方案，满足不同层次中小企业的客户需求，保证网络建设质量的同时最大程度的节省企业的投资成本。1.2 中小企业面临的困难中小企业需要着重解决企业基础网络安全、业务部署灵活性和运维压力太大的问题，华为公司针对

14、企业运维痛点提供的解决方案包含用户 NAC（Network Access Control）接入安全、园区边界安全、分支与远程接入、端到端语音部署、端到端无线部署、网络 TOPO 自动发现、服务器远程监控等方案，全面解决中小企业面临的基础网络安全和运维压力。ONE NET Branch 中小企业网络解决方案技术建议书目录2 微型机构基础网络解决方案2.1 微型机构基础网络设计原则目前 50%以上的企业属于微型机构，典型的微型机构是小企业或大企业的分支办公室，这类机构通常为 050 信息点构成，因为企业员工数量少，业务需求单一，对企业网络有很高的经济性要求，对通信设备稳定度要求不高，只需要基础

15、网络能够支撑工作基本需要的 Email、打印、终端互联即可。微型机构基础网络场景以低端 AR 路由器为中心搭建公司网络，AR 承担作为企业网关，并支持 Web、打印、认证、Email 等业务接入，无线终端和有线终端的混合接入，同时AR 路由器集成简单防火墙功能，提供边界安全。企业可以通过增加低成本交换机扩展接入范围，以提升扩展性。图 2-1 微型机构基础网络物理架构ONE NET Branch 中小企业网络解决方案技术建议书目录2.2 微型机构基础网络规划2.2.1 核心层设计规划核心层用于转发各部门之间的流量。考虑到企业初期建设成本，采用 AR200 路由器作为核心

16、层设备，与微型企业内部服务器区、DMZ （Demilitarized Zone）区、Internet 区和内部业务区进行互联，支撑企业内外部的业务流量。2.2.2 接入层设计规划接入层是最靠近用户的网络，为用户提供各种接入方式，是终端、边缘和 IP 电话等设备接入网络的第一层。一般都部署二层设备，有线用户通过 S1700 接入 AR200，无线用户通过 AR200 自带的 WLAN 功能进行无线接入。2.2.3 出口设计规划微型机构通过 AR 获取公网地址，实现与 WAN/Internet 的互访，可以采用设置 IP 静态地址或 PPP（Point-to-Point Protocol ）动态方

17、式获取公网地址。2.2.4 安全性设计规划通过 AR200 集成防火墙功能解决如下安全问题：微型机构内、外网之间的访问控制，实现微型机构内、外网的安全隔离。外派员工与微型机构 DMZ 区的访问控制，实现外派员工与内网的安全隔离。2.3 微型机构基础网络业务方案2.3.1 数据业务规划有线用户数据业务：S1700 交换机作为二层接入设备，通过 VLAN 划分用户。AR 路由器作为三层网关，通过 DHCP（Dynamic Host Configuration Protocol）方式为有线用户分配 IP 地址。企业可以根据自身分区情况，划分多个 IP 地址段。AR 上行通过公网地址接入WAN/

18、Internet 网络，通过 AR 做 NAT，进行私网地址到公网地址的转换，实现有线用户与 WAN/Internet 网络的互访。无线用户数据业务：AR 作为胖 AP，无线用户通过 PSK 方式接入 AR，AR 路由器作为三层网关，通过 DHCP 方式为无线用户分配 IP 地址。AR 上行通过公网地址接入 WAN/Internet网络，通过 AR 做 NAT，进行私网地址到公网地址的转换，实现无线用户与WAN/Internet 网络的互访。外派员工数据业务：外派员工通过 IPSec VPN 方式与微型机构建立隧道，实现外派员工与微型机构的互访。可以在外派员工的电脑中安装硬件或通过纯软件方

19、式来实现 IPSec VPN 功能。ONE NET Branch 中小企业网络解决方案技术建议书目录服务器数据业务：企业事先规划好服务器区和 DMZ 的服务器地址，服务器使用静态地址，内部服务器区和 DMZ 区的服务器以 AR 作为网关。2.3.2 语音业务规划考虑到微型机构人数有限，同城微型机构建议 AR 作为 AG 场景应用，用户语音信息到总部注册，由总部统一分配号码及管理。异地微型机构建议 AR 作为 PBX（Private Branch Exchange）场景应用，用户语音信息到 PBX 注册，接入当地 PSTN（Public Switched Telephone Network

20、）网络，具体内容请参见 8 中小型机构高级语音解决方案。2.3.3 安全业务规划微型机构通常人数有限，不建议对用户接入进行权限控制，如企业有特殊需求，可以采用华为公司 NAC 方案，具体内容请参见 6 中小型机构高级安全解决方案。2.4 微型机构基础网络技术方案2.4.1 VLAN 设计VLAN 是将 LAN 内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN 内隔离广播域的技术。既隔离了广播域，减少了广播风暴，又增强了信息的安全性。 VLAN 通常根据业务需要进行规划，需要隔离的端口配置不同的 VLAN，需要防止广播域过大的地方配置 VLAN 用于减小广播域。 VLAN 最好不

21、要跨交换机，即使跨交换机，数目也需要限制。 S1700 根据接入位置为不同 PC 分配不同的 VLAN，不同 S1700 交换机采用不同的VLAN，避免广播域过大，利于问题及时定位。2.4.2 IP 设计 IP 地址分为动态 IP 与静态 IP 的选取，原则上服务器、特殊终端设备建议采用静态 IP。办公用设备建议使用 DHCP 动态获取（如办公用 PC 等）。 AR200 上行优选固定 IP 地址接入，其次选择 PPP 方式接入。 AR 作为 DHCP 网关和 DHCP Server，为有线、无线用户分配私网 IP 地址。服务器采用静态 IP 地址接入。2.4.3 DHCP 设计DHCP

22、部署的基本原则为固定 IP 地址段和动态分配 IP 地址段保持连续，按照业务区域进行 DHCP 地址的划分，便于统一管理及问题定位。启动 DHCP 安全功能，禁止非法DHCP Server 的架设和非法用户的接入。AR 作为 DHCP 网关和 DHCP Server，为有线、无线用户分配私网 IP 地址。有线用户通过 S1700 交换机携带 VLAN 信息，AR 终结 VLAN 并给有线用户分配私网 IP 地址。ONE NET Branch 中小企业网络解决方案技术建议书目录无线用户通过 PSK 方式接入 AR，AR 终结无线报文，作为无线用户网关分配私网 IP地址。2.4.4 NAT 设

23、计NAT（ Network Address Translation）用于实现私有网络和公有网络之间的互访。微型机构内部使用私有 IP 地址，微型机构出口 AR 使用公网地址与外界通信，AR 需要部署 NAT 特性，实现用户侧私网地址到网络侧公网地址的转换，实现用户与WAN/Internet 的互访。2.4.5 安全设计AR 部署防火墙功能，将 WAN/Internet 区域划分为 untrust 区域，公用服务器区域划分为 DMZ 区，其他区域划分为 trust 区域。允许 trust 区域和 DMZ 区域互访，允许untrust 区域与 DMZ 区域互访，不允许 trust 区域和 untr

24、ust 区域之间的直接互访。基于安全考虑，建议 AR 部署 ARP（Address Resolution Protocol）防攻击功能，以防止非法的 ARP 报文对网络的攻击。2.4.6 远程接入设计微型机构访问 WAN/Internet 通过 AR 的 NAT 功能实现。外派员工通过 IPSec VPN 访问微型机构。建议采用 ESP 封装模式，封装新的 IP 报文头并对原始数据报文进行加密，更为安全。2.4.7 网管设计AR 和 S1700 交换机通过 Web 网管进行配置管理及日常网络维护。2.5 微型机构基础网络方案特点高性价比：低投资、高性能、经济的网络。简易性：结构清晰、简单、

25、安装便捷，无需配置专职维护人员。绿色环保：全方位节能设计、无风扇、省电无噪声。ONE NET Branch 中小企业网络解决方案技术建议书目录3 小型机构基础网络解决方案3.1 小型机构基础网络设计原则典型的小型机构是小企业或大企业的分支办公室，这类机构通常由 50100 信息点构成，因为企业已经达到一定规模，较大的业务量和员工数量都要求网络具备更高的稳定性，可扩展性，安全性，同时毕竟企业规模没有达到更大的规模，仍然需要网络经济、简洁便于维护。小型机构基础网络场景的方案特点以中低端交换机为中心搭建公司网络交换平台，该交换机作为中心汇聚点，通过其他低端交换机实现业务和终端的接入，并通过 A

26、R 作为企业出口路由器，实现 WAN 和 Internet 互联，AR 路由器集成简单防火墙功能，提供边界安全。图 3-1 小型机构基础网络物理架构ONE NET Branch 中小企业网络解决方案技术建议书目录3.2 小型机构基础网络规划3.2.1 核心层设计规划核心层用于转发各部门之间的流量，采用 AR1200 路由器作为核心层出口设备，S3700系列交换机汇聚内部服务器区和接入区流量，使内部服务器区、DMZ 区、Internet 区和内部业务区进行互联，支撑内外部的业务流量。3.2.2 接入层设计规划接入层是最靠近用户的网络，为用户提供各种接入方式，是终端、边缘

27、和 IP 电话等设备接入网络的第一层，一般都部署二层设备。有线用户通过 S2700 交换机接入、S3700 交换机汇聚流量到 AR1200 进行有线接入，无线用户通过 WA600 系列胖 AP 进行无线接入。3.2.3 出口设计规划小型机构通过 AR 获取公网地址，实现与 WAN/Internet 的互访，可以采用设置 IP 静态地址或 PPP 动态方式获取公网地址。3.2.4 安全性设计规划通过 AR1200 集成防火墙功能解决如下安全问题：小型机构内、外网之间的访问控制，实现小型机构内、外网的安全隔离。外派员工与小型机构 DMZ 区的访问控制，实现外派员工与内网的安全隔离。3.3 小型

28、机构基础网络业务方案3.3.1 数据业务规划有线用户数据业务：S2700 交换机作为二层接入设备，通过 VLAN 划分用户。S3700 交换机作为汇聚交换机聚合各接入交换机上送的 VLAN 流量到 AR1200，AR1200 通过 DHCP 方式为有线用户分配 IP 地址。企业可以根据自身分区情况，划分多个 IP 地址段。AR1200 上行通过公网地址接入 WAN/Internet 网络，通过 AR 做 NAT，进行私网地址到公网地址的转换，实现有线用户与 WAN/Internet 网络的互访。无线用户数据业务：WA600 系列 AP 作为胖 AP，无线用户通过 PSK 方式接入 WA60

29、0 系列AP，AR1200 作为三层网关，通过 DHCP 方式为无线用户分配 IP 地址。AR1200上行通过公网地址接入 WAN/Internet 网络，通过 AR1200 做 NAT，进行私网地址到公网地址的转换，实现无线用户与 WAN/Internet 网络的互访。外派员工数据业务：ONE NET Branch 中小企业网络解决方案技术建议书目录外派员工通过 IPSec VPN 方式与小型机构建立隧道，实现外派员工与小型机构的互访。可以在外派员工的电脑中安装硬件或通过纯软件方式来实现 IPSec VPN 功能。服务器数据业务：企业事先规划好服务器区和 DMZ 的服务器地址，服务器

30、使用静态地址，S2700 交换机作为二层接入设备，通过 VLAN 划分服务器，内部服务器区和 DMZ 区的服务器以 AR1200 作为网关。3.3.2 语音业务规划基于小型机构人数规模，如果总部需要对小型机构进行控制，则 AR 作为 AG 场景应用，用户语音信息到总部注册，由总部统一分配号码及管理，可以由总部提供丰富的语音业务，但是会增加总部的负荷。如果小型机构需要自行进行控制，则 AR 作为PBX 场景应用，用户语音信息到 AR 注册，由 AR 统一分配号码及管理，减轻了总部的负荷，但是无法使用总部提供的丰富的语音业务。具体内容请参见 8 中小型机构高级语音解决方案。3.3.3 安全业务规划

31、如果需要对用户的接入安全进行控制，则建议部署 NAC 方案。可以采用在 S2700 交换机上部署 802.1X 认证或者在 AR 上部署 Portal 认证的方式，均可以实现对用户接入的安全控制，具体内容请参见 6 中小型机构高级安全解决方案。3.4 小型机构基础网络技术方案3.4.1 VLAN 设计VLAN 是将 LAN 内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN 内隔离广播域的技术。VLAN 技术既隔离了广播域，减少了广播风暴，又增强了信息的安全性。 VLAN 通常根据业务需要进行规划，需要隔离的端口配置不同的 VLAN，需要防止广播域过大的地方配置 VLAN 用于减

32、小广播域。 VLAN 最好不要跨交换机，即使跨交换机，数目也需要限制。 S2700 根据接入位置为不同 PC 分配不同的 VLAN，不同 S2700 交换机采用不同的VLAN，避免广播域过大，利于问题及时定位。 S3700 交换机汇聚 S2700 交换机的 VLAN 信息，透传给 AR1200 设备，实现VLAN 的终结。3.4.2 IP 设计IP 地址分为动态 IP 与静态 IP 的选取，原则上服务器、特殊终端设备建议采用静态IP。办公用设备建议使用 DHCP 动态获取如办公用 PC 等。AR1200 上行优选固定 IP 地址接入，其次选择 PPP 方式接入。 AR1200 作为 DHCP

33、网关和 DHCP Server，为有线、无线用户分配私网 IP 地址。服务器采用静态 IP 地址接入。ONE NET Branch 中小企业网络解决方案技术建议书目录3.4.3 DHCP 设计DHCP 部署基本原则为固定 IP 地址段和动态分配 IP 地址段保持连续，按照业务区域进行 DHCP 地址的划分，便于统一管理及问题定位。启动 DHCP 安全功能，禁止非法DHCP Server 的架设和非法用户的接入。AR1200 作为 DHCP 网关和 DHCP Server，为有线、无线用户分配私网 IP 地址。有线用户通过 S2700 交换机携带 VLAN 信息，S3700 交换机聚合 S

34、2700 交换机上送的 VLAN 流量到 AR1200，AR1200 终结 VLAN 后给有线用户分配私网 IP 地址。无线用户通过 PSK 方式接入 WA600 系列 AP，WA600 系列 AP 终结无线报文，二层透传无线用户的 DHCP 请求报文，AR1200 终结 VLAN 后给无线用户分配私网IP 地址。3.4.4 NAT 设计NAT 称为网络地址转换，用于实现私有网络和公有网络之间的互访。小型机构内部使用私有 IP 地址，小型机构出口 AR 使用公网地址与外界通信，AR 需要部署 NAT 特性，实现用户侧私网地址到网络侧公网地址的转换，实现用户与 WAN/Internet 的互访

35、。3.4.5 安全设计AR 部署防火墙功能，将 WAN/Internet 区域划分为 untrust 区域，公用服务器区域划分为 DMZ 区，其他区域划分为 trust 区域。允许 trust 区域和 DMZ 区域互访，允许untrust 区域与 DMZ 区域互访，不允许 trust 区域和 untrust 区域之间直接互访。基于安全考虑，建议 AR 部署 ARP 防攻击功能，接入交换机部署 DHCP Snooping 功能，以防止非法的 ARP 报文对网络的攻击。3.4.6 远程接入设计小型机构访问 WAN/Internet 通过 AR 的 NAT 功能实现。外派员工通过 IPSec VPN

36、访问小型机构。建议采用 ESP 封装模式，封装新的 IP 报文头并对原始数据报文进行加密，更为安全。3.4.7 网管设计部署 eSight 网管系统进行日常网络维护。3.5 小型机构基础网络方案特点可扩展：低投资、高性能，灵活网络架构易扩展，保护已有投资。易维护：扁平网络，层次少，简易网管配置简单，无需专职网管人员。区域划分清晰：部门间物理/逻辑隔离，保证业务安全，易排错。绿色节能：绿色节能、无噪音。ONE NET Branch 中小企业网络解决方案技术建议书目录4 中小型机构基础网络解决方案4.1 中小型机构基础网络设计原则中小型机构通常为 100300 信息点。中小型机构基础

37、网络场景的方案特点是期待语音、数据、安全、移动业务丰富，希望获得一体化方案、一站式服务。中小型企业的组网结构和小型企业类似，但因为企业规模的进一步扩大，有更强的企业内部互联以及企业出口的要求，对网络可靠性、可扩展性、安全性有一定的要求。这些要求体现在设备上，就是需要功能更强的 AR 作为企业出口路由器、需要通过链路备份机制提高可靠性、通过中心交换机的双备份以及流量分担。图 4-1 中小型机构基础网络物理架构ONE NET Branch 中小企业网络解决方案技术建议书目录4.2 中小型机构基础网络规划4.2.1 核心层设计规划核心层用于转发各部门之间的流量，采用 AR

38、1200/AR2200 路由器作为核心层出口设备，S5700 系列交换机汇聚内部服务器区、DMZ 区和接入区流量，使内部服务器区、DMZ区、Internet 区和内部业务区进行互联，支撑内外部的业务流量。4.2.2 接入层设计规划接入层是最靠近用户的网络，为用户提供各种接入方式，是终端、边缘和 IP 电话等设备接入网络的第一层，一般都部署二层设备。有线用户通过 S2700 交换机接入，S5700 交换机汇聚 S2700 交换机上送的 VLAN流量到 AR1200/AR2200 进行有线接入。无线用户通过 WA600 系列胖 AP 进行无线接入。4.2.3 出口设计规划中小型机构通过 AR

39、获取公网地址，实现与 WAN/Internet 的互访，可以采用设置 IP 静态地址或 PPP 动态方式获取公网地址。4.2.4 可靠性设计规划AR 上行采用 WAN 和 3G 链路备份方式，以 WAN 侧链路为主用链路， 3G 链路平时不使用，仅作为备份。S5700 交换机采用堆叠技术，将多台 S5700 交换机虚拟化为 1 台设备，一旦主用 S5700 交换机出现故障后，其他交换机能立即接替其成为主用交换机。4.2.5 安全性设计规划通过 AR1200/AR2200 集成防火墙功能解决如下安全问题：中小型机构内、外网之间的访问控制，实现中小型机构内、外网的安全隔离。外派员工与中小型机构

40、 DMZ 区的访问控制，实现外派员工与内网的安全隔离。4.3 中小型机构基础网络业务方案4.3.1 数据业务规划有线用户数据业务：S2700 交换机作为二层接入设备，通过 VLAN 划分用户。S5700 交换机作为汇聚交换机聚合各接入交换机的 VLAN 流量，AR1200/AR2200 通过 DHCP 方式为有线用户分配 IP 地址。企业可以根据自身分区情况，划分多个 IP 地址段。AR1200/AR2200 上行通过公网地址接入 WAN/Internet、3G 网络，通过AR1200/AR2200 做 NAT，进行私网地址到公网地址的转换，实现有线用户与WAN/Internet 网络的互访

41、。ONE NET Branch 中小企业网络解决方案技术建议书目录无线用户数据业务：WA600 系列 AP 作为胖 AP，无线用户通过 PSK 方式接入 WA600 系列AP，AR1200/AR2200 作为三层网关，通过 DHCP 方式为无线用户分配 IP 地址。AR1200/AR2200 上行通过公网地址接入 WAN/Internet 网络，通过AR1200/AR2200 做 NAT，进行私网地址到公网地址的转换，实现无线用户与WAN/Internet 网络的互访。外派员工数据业务：外派员工通过 IPSec VPN 方式与中小型机构建立隧道，实现外派员工与中小型机构的互访。可以在外

42、派员工的电脑中安装硬件或通过纯软件方式来实现 IPSec VPN 功能。服务器数据业务：企业事先规划好服务器区和 DMZ 的服务器地址，服务器使用静态地址。S2700 交换机作为二层接入设备，通过 VLAN 划分服务器，内部服务器区和 DMZ 区的服务器以 AR1200/AR2200 作为网关。4.3.2 语音业务规划基于中小型机构人数规模，如果总部需要对中小型机构进行控制，则 AR 作为 AG 场景应用，用户语音信息到总部注册，由总部统一分配号码及管理，可以由总部提供丰富的语音业务，但是会增加总部的负荷。如果中小型需要自行进行控制，则 AR 作为PBX 场景应用，用户语音信息到 AR 注册

43、，由 AR 统一分配号码及管理，减轻了总部的负荷，但是无法使用总部提供的丰富的语音业务。具体内容请参见 8 中小型机构高级语音解决方案。4.3.3 安全业务规划如果需要对用户的接入安全进行控制，则建议部署 NAC 方案。可以采用在 S27 系列交换机上部署 802.1X 认证或者在 AR 上部署 Portal 认证的方式，均可以实现对用户接入的安全控制，具体内容请参见 6 中小型机构高级安全解决方案。4.4 中小型机构基础网络技术方案4.4.1 VLAN 设计VLAN 是将 LAN 内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN 内隔离广播域的技术。VLAN 技术既隔离了广播

44、域，减少了广播风暴，又增强了信息的安全性。 VLAN 通常根据业务需要进行规划，需要隔离的端口配置不同的 VLAN，需要防止广播域过大的地方配置 VLAN 用于减小广播域。 VLAN 最好不要跨交换机，即使跨交换机数目也需要限制。 S2700 根据接入位置为不同 PC 分配不同的 VLAN，不同 S2700 交换机采用不同的VLAN，避免广播域过大，利于问题及时定位。 S5700 交换机汇聚 S2700 交换机的 VLAN 信息，透传给 AR1200/AR2200 设备，实现 VLAN 的终结。ONE NET Branch 中小企业网络解决方案技术建议书目录4.4.2 IP 设计IP 地址

45、分为动态 IP 与静态 IP 的选取，原则上服务器、特殊终端设备建议采用静态IP。办公用设备建议使用 DHCP 动态获取（如办公用 PC 等）。AR1200/AR2200 上行优选固定 IP 地址接入，其次选择 PPP 方式接入。AR1200/AR2200 作为 DHCP 网关和 DHCP Server，为有线、无线用户分配私网 IP 地址。服务器采用静态 IP 地址接入。4.4.3 DHCP 设计DHCP 部署基本原则为固定 IP 地址段和动态分配 IP 地址段保持连续，按照业务区域进行 DHCP 地址的划分，便于统一管理及问题定位。启动 DHCP 安全功能，禁止非法DHCP Server

46、的架设和非法用户的接入。AR1200/AR2200 作为 DHCP 网关和 DHCP Server，为有线、无线用户分配私网 IP 地址。有线用户通过 S2700 交换机携带 VLAN 信息，S5700 交换机汇聚 S2700 上送的VLAN 流量 AR1200/AR2200，AR1200/AR2200 终结 VLAN 并给有线用户分配私网 IP 地址。无线用户通过 PSK 方式接入 WA600 系列 AP，WA600 系列 AP 终结无线报文，二层透传无线用户的 DHCP 请求报文，AR1200/AR2200 终结 VLAN 后给无线用户分配私网 IP 地址。4.4.4 NAT 设计N

47、AT 称为网络地址转换，用于实现私有网络和公有网络之间的互访。AR 部署 NAT 特性，实现用户侧私网地址到网络侧公网地址的转换，实现用户与 WAN/Internet 的互访。在中小型机构基础网络场景中，WAN 侧和 3G 侧都需要部署 NAT 特性，以防止某侧链路出现故障后仍能实现私网地址到公网地址的转换。4.4.5 安全设计AR 部署防火墙功能，将 WAN/Internet 区域、3G 区域划分为 untrust 区域，公用服务器区域划分为 DMZ 区，其他区域划分为 trust 区域。允许 trust 区域和 DMZ 区域互访，允许 untrust 区域与 DMZ 区域互访，不允许 tr

48、ust 区域和 untrust 区域之间直接互访。基于安全考虑，建议 AR 部署 ARP 防攻击功能，接入交换机部署 DHCP Snooping 功能，以防止非法的 ARP 报文对网络的攻击。4.4.6 远程接入设计中小型机构访问 WAN/Internet 通过 AR 的 NAT 功能实现。外派员工通过 IPSec VPN 访问中小型机构。建议采用 ESP 封装模式，封装新的 IP报文头并对原始数据报文进行加密，更为安全。4.4.7 可靠性设计链路备份设计：ONE NET Branch 中小企业网络解决方案技术建议书目录AR 上行采用 WAN 和 3G 链路备份方式，以 WAN 侧链

49、路为主用链路， 3G 链路平时不使用，仅作为备份。一旦 WAN 侧链路发生故障，则 AR 自动切换到 3G 链路，从 3G 链路获取公网地址后进行 NAT 转换，实现中小型机构与网络侧的访问。考虑到 WAN 侧链路比 3G 链路安全性高，不受天气影响，WAN 链路带宽也优于 3G链路，建议当 WAN 侧链路恢复后，采用 AR 自动回切功能，将使用的 3G 链路拆掉，重新切换到 WAN 侧链路。设备备份设计：S5700 交换机作为汇聚设备，一旦出现故障将导致所有用户均无法访问网络侧，在中小型机构中建议 S5700 交换机采用堆叠技术，将多台 S5700 交换机虚拟化为1 台设备，一旦主用 S5700 交换机出现故障后，其他交换机能立即接替其成为主用交换机，确保中小型机构网络业务的正常运行。4.4.8 网管设计部署 eSight 网管系统进行日常网络维护。4.5 中小型机构基础网络方案特点可扩展：低投资、高性能，灵活网络架构，随时扩展语音、无线，保护已有投资。易维护：通过免费网管简单配置，无需专职网管人员。可靠性高：核心汇聚采用堆叠，AR 路由器采用 3G 链路备份，网络层次少，维护简单，可靠性

展开阅读全文