| 1.1 园区网络简介 |
顾名思义,园区网络就是我们在工作与生活的园区内使用的网络。园区有大有小,具有不同的行业属性,相应地,园区网络也会变化多样。但是,无论如何变化,园区网络有构成其不同层次的统一部件模型。那么什么是园区网络?从不同的维度看园区网络有什么不同?它有哪些统一的部件模型?下面将详细介绍。
1.1.1 什么是园区网络
日常生活中,我们会接触到各种各样的网络。
当您回到家中,惬意地躺在沙发上,掏出手机,自动接入家里的Wi-Fi网络开始追剧时,接入的是家庭网络。家庭网络有简有繁。简单的家庭网络只有一台无线路由器,提供上网功能。复杂的家庭网络面向的是智慧生活,可以为家中各种智能终端,例如电视机、音响、手机、计算机等,提供高速网络服务;可以接入NAS(Network Attached Storage,网络附接存储)子系统,能够提供数据安全存储、内容自动获取和信息共享的服务;可以接入智能安防子系统,支持远程监控家庭环境和智能检测威胁及报警;可以接入IoT(Internet of Things,物联网)子系统,对家庭的各种电器和智能设备进行自动或远程控制,例如回家路上提前打开空调,进门就可以享受舒适的环境。
家庭网络对外连接的通常是运营商的城域网。运营商通过城域网,为各类企业用户和个人用户提供以互联网连接、专线、VPN(Virtual Private Network,虚拟专用网)为主的电信互联网服务,以及基于互联网服务的各类增值服务,例如互联网电视服务。城域网覆盖城市和乡村,通常由使用广域网技术的路由器构成核心层,由使用局域网技术的以太网交换机构成汇聚层,由以太网交换机或者使用PON(Passive Optical Network,无源光网络)技术的OLT(Optical Line Terminal,光线路终端)、ONU(Optical Network Unit,光网络单元)构成接入网。城域网之间通过各种广域网互联,形成一个全球性的互联网。
当您随时随地掏出手机通过移动通信信号上网时,接入的是移动通信网络。移动通信网络通常由运营商建设和运营,由一系列的基站以及基站控制器、回传网络和核心网构成,可以在广阔的范围内为用户提供语音通话服务以及高速无线上网服务。
还有一类我们经常接触到的网络。
当您走进校园学习、走进单位工作、走进商场购物、到旅游景点游玩、入住酒店休息时,您可能会注意到这些场所也被网络覆盖。在校园里,有供老师办公教学用的封闭办公网,也有供学生访问教学资源和访问互联网的半开放学生网;在单位内部,有单位建设的内部网络供员工办公使用,这些网络通常是封闭的,以保证安全性;在商场和酒店,除了有内部人员使用的封闭办公网外,还有向消费者开放的网络,后者作为优质服务的一部分用于提升企业的竞争力。这些网络都属于园区网络。
传统的园区网络一般是一个在连续的、有限的地理区域内相互连接的局域网,不连续区域的网络会被视作不同的园区网络。很多企业和校园都有多个园区,园区之间通过广域网技术进行连接。现在,受云计算和SDN等技术的影响,企业业务大量部署在云端,多个园区之间会通过SD-WAN(Software Defined Wide Area Network,软件定义广域网)技术进行互联,企业可以统一管理多个园区的网络,这种情况下,企业多个园区的网络也可以看作一个逻辑上的园区网络。
园区网络的规模可大可小,小的有如SOHO(Small Office Home Office,家居办公室),大的有校园、企业、公园、购物中心等。园区的规模是有限的,一般的大型园区,例如高校园区、工业园区,规模依然被限制在几平方千米以内,在这个范围内,可以使用局域网技术构建网络。超过这个范围的“园区”通常被视作一个“城域”,需要用到城域网技术,相应的网络会被视作城域网。
园区网络使用的典型局域网技术包括遵循IEEE 802.3标准的以太网技术(有线)和遵循IEEE 802.11标准的Wi-Fi技术(无线)。
园区网络通常只有一个管理主体。也就是说,覆盖同一个区域的多个网络,如果有多个管理者,通常被认为是多个园区网络;如果都由一个管理者管理,我们会把这多个网络当作一个园区网络的多个子网。
1.1.2 园区网络的分类
园区网络服务于园区和园区内部组织。由于园区和园区内部组织具有多样性,园区网络也互有不同。
1.从规模大小看
按照终端用户数量或者网元数量,可将园区网络分为小型园区网络、中型园区网络和大型园区网络,如表1-1所示。中型园区网络和小型园区网络有时又被统称为中小型园区网络。
表1-1 按终端用户数量或者网元数量衡量的园区网络规模大小
通常来说,大型园区网络本身需求和结构复杂,管理维护的工作量很大,因此会有专业的运维团队负责整个园区的IT(Information Technology,信息技术)管理,包括园区网络的规划、建设、运维和故障处理,同时运维团队会构建完善的管理维护平台,协助其更好地完成运维工作;中小型园区网络受限于预算,通常不会有专业人员和专门的运维平台,往往只有一个员工兼职负责维护网络。
2.从服务对象看
从园区网络的服务对象看,有些园区网络是封闭的,使用者仅限于组织的内部人员,有些园区网络是开放的,外部人员也可以使用。封闭园区网络和开放园区网络的威胁来源不同,相应的网络安全需求和解决方案也会不同。
封闭园区网络的用户都是内部人员,内部人员的上网行为固定,而且可以通过内部的各种规章制度和奖惩措施进行有效管控。因此,封闭园区网络的威胁主要来自外部入侵。封闭园区网络通常采用堡垒模型,以避免外部非法接入和内部非法访问。一方面,需要引入NAC(Network Admission Control,网络准入控制),采用用户名/账号、令牌、证书等方式进行身份验证,防止非内部人员接入网络;另一方面,需要引入防火墙,部署在不同安全区域的边界,例如网络的出入口处。
对于开放园区网络,由于需要尽可能地服务于公众,网络接入认证既需要便于公众接入,又需要有效识别用户身份,为此用户身份识别系统一般使用手机号码加短信识别码、社交账号认证等方式,这样还简化了账号管理的工作量。另外,因为公众接入行为具有不确定性,网络安全威胁可能较多,需要在网络内部部署用户行为管控系统,避免有意或无意的非法行为。例如,用户终端感染了网络病毒,病毒就会对网络系统进行攻击;为了使网络有能力抑制攻击,用户行为管理系统需要能够识别用户行为,对用户流量实施隔离清洗,这样既可保证用户上网,又不影响网络中的其他用户。
实际运行的园区网络通常既有封闭子网,又有开放子网。服务于公众的网络总会有一个封闭子网,用于内部办公和管理;服务于内部人员的园区网络通常也会有部分开放的需求。例如,企业园区网络会开放部分区域网络给访客使用,以提高沟通和合作效率;政务园区网络会开放部分区域网络用于提供政务便民服务。这种情况下,封闭子网和开放子网之间分属不同的安全域,需要进行隔离。通常的隔离手段包括物理隔离、逻辑网络隔离、防火墙隔离等。对于需要强安全性的网络,一般采取物理隔离,即网络之间完全不互通。
3.从承载业务看
从网络承载的业务看,园区网络可以分为单业务园区网络和多业务园区网络。承载业务的复杂程度决定了园区网络架构的复杂性。
早期的园区网络通常只承载数据业务,园区的其他业务由其他专网承载。现在的多数中小企业网络业务单一,如租用写字楼中办公室的小型企业的基础网络通常由写字楼的出租方提供,因此企业的园区网络仅需要承载内部的数据通信业务。单业务园区网络的架构会趋于简单化。
先进的大型网络通常服务于独立的大型园区。园区需要提供各种基础服务,例如消防管理服务、视频监控服务、车辆管理服务、能耗控制服务等。如果在大型园区内为每种服务各自部署专门的网络,成本会很高,且管理维护非常麻烦。因此,这些基础服务的技术逐步转向数字化和以太化,以便使用成熟的以太网承载。园区网络逐渐多业务化,一个网络需要承载多种不同的业务,不同的业务间需要实施隔离和保障,园区网络的架构也开始复杂化和虚拟化。
4.从接入方式看
从接入方式看,园区网络可以分为有线园区网络和无线园区网络。当前的园区网络大多数为有线和无线混合网络。无线园区网络不受端口位置和线缆的限制,网络使用自由,部署灵活。
传统的园区网络是有线园区网络。从使用者的角度看,每台接入网络的设备都需要通过网线连接到预置在墙体或者桌面的网口上。有线园区网络通过实体的线缆进行连接,不同连接之间基本不存在相互的影响。因此,有线网络的架构通常是结构化、层次化的,逻辑清晰,管理简单,故障易于排查。
无线园区网络和有线园区网络的特征差异很大。无线园区网络通常基于Wi-Fi标准,又称为WLAN(Wireless Local Area Network,无线局域网)。WLAN终端通过IEEE 802.11系列空口协议与WLAN接入点进行无线连接。由于是无线连接,网络部署和安装质量会决定网络覆盖的效果,且需要定期针对网络业务情况实施网络优化,才能保证网络质量。另外,无线网络易受外部信号源的干扰,进而引发一系列难以定位的异常。由于无线网络空间连接是不可见和不连续的,异常情况具有突发性,难以复现。无线网络的运维需要运维人员具备与无线空口相关的知识和业务经验。
5.从不同行业看
从园区网络服务的行业看,有更多不同的园区网络。为了满足不同行业园区的需求,需要根据园区网络服务的行业的特点设计园区网络架构,最终打造出带有行业属性的园区网络方案。典型的行业园区网络包括企业园区网络、校园网、政务园区网络、商业园区网络。
·企业园区网络:从严格意义上来说,企业园区网络的范畴很大,可以按不同行业再往下细分。这里介绍的企业园区网络实际上特指的是基于以太网交换设备组建的企业办公网。企业办公网的组网架构一般与企业内部组织架构相对应,如图1-1所示。围绕着企业的生产与办公,园区网络需要考虑的是如何保证架构的可靠性和先进性,持续提升员工的办公体验,保障生产的效率和质量。
图1-1 企业园区网络架构
·校园网:根据教育对象的不同,校园可以分为普教园区和高教园区。普教园区面向的是中小学生和教师,内部网络的结构和功能更接近企业园区网络。高教园区面向的是各大高等院校的学生和教师,相较于普教园区网络,高教园区网络要复杂得多,不但有并行的教研网和学生网,同时还有运营性的宿舍网络,对网络的部署方式和可管理性有特别高的要求。校园网不仅仅承担数据传输的功能,同时需要对在校学生的上网行为进行管理,避免出现偏激出位的行为。校园网还需要一定的研究和教学功能,因此学校对校园网的技术先进性有较高的要求。
·政务园区网络:通常指政府相关机构的内部网络。政务园区网络对安全性要求极高,通常采用内网和外网隔离的措施保障涉密信息的绝对安全。
·商业园区网络:通常指各种商业机构和商业场所的网络,例如商场、超市、酒店、博物馆、公园等。商业园区网络会包含一个服务于内部办公的封闭子网,但主要还是服务于消费者,例如商场超市的顾客、酒店的住客等。商业园区网络不仅仅提供网络服务,同时还会构建相应的商业智能化系统,通过网络系统提升客户体验,降低运营成本,提高商业效率,实现价值转移。
1.1.3 园区网络的构成
园区网络虽然多种多样,但是它按业务架构可以抽象成具有不同层次部件的统一模型,如图1-2所示。正是基于园区网络抽象的统一模型,在园区网络会因为技术革新而变得更加复杂时,网络架构师可以找到化繁为简的契机,让园区网络变得像水一样,能够适应任意一种“盛水的容器”(园区)。下面在介绍园区网络不同的功能部件时,也会提及这些部件在未来园区网络架构中的变化。
1.园区数据网络
园区数据网络是基于以太网技术或者WLAN技术构建而成的,由园区内部所有数据通信设备构成,包含各类以太网交换机、AP(Access Point,接入点)、WAC(Wireless Access Controller,无线接入控制器)和FW(Firewall,防火墙)等,所有的内部数据流量都会经过园区数据网络进行转发。
园区数据网络通常由同一个管理者管理的多个子网构成,用于承载不同的业务,比如所有园区都会有的办公子网,用于日常员工办公;很多园区内部会保留独立的视频会议子网,并通过专门的子网和链路保证视频会议的质量;未来园区数据网络会接入IoT设备,有专门承载物联网业务数据的子网,而且由于提供不同业务的物联网技术不同,往往存在多个并行的物联网子网;另外,一般园区会有内部的数据中心,承载数据中心内部数据转发的子网被称为数据中心网络。未来园区数据网络的发展方向之一就是网络多业务化,由一个融合的园区数据网络统一承载各种业务。
注:LBS即Location Based Service,基于位置的服务。
图1-2 园区网络的统一模型
2.接入终端
对多数网络而言,终端并不被看作网络的一部分,而是被看作网络的消费者。原因是终端的产权所有者和管理者不是网络的管理者。但是园区网络有所不同,终端往往被看作网络的一部分,这是因为园区内部很多终端的所有者就是园区,或者园区网络管理者可以通过管理手段获得权限,从而对园区内部的终端实施管理。这样,园区数据网络和接入终端可以充分互动,形成端到端的网络。
将接入终端视作园区网络的一部分后,园区网络管理者可以更加积极地对终端实施管理和限制,从而简化解决方案。例如,强制终端安装指定的防病毒软件,并在接入网络时进行检查,这在极大地减少病毒对网络威胁的同时,简化了网络的防病毒解决方案。
端管协同也有利于网络向终端提供更为优质的服务。例如,未来Wi-Fi网络应用于电子课堂时,可以通过对接入终端进行批量指定来优化网络,提升AP的并发接入率、带宽和漫游性能,满足用户对视频质量的要求。
3.网络管理平台
网络管理平台是一个传统的部件,但在最新的园区网络架构中,网络管理平台的定位和它的动能都发生了质的变化,这是化繁为简的关键之一。传统的网络管理平台通常包含各种网管,能够为网络或者设备提供有限的远程管理维护功能。新一代的网络管理平台不但具有网管的全部功能,而且其管理维护功能会发生质变,能够对常用场景或者流程实施自动化管理。同时,网络管理平台还是业务应用的底座,可提供开放的南北向接口,允许各种业务系统调用网络。
4.安全平台
基于新一代的网络管理平台还可以构建新一代的安全平台,通过调用网络管理平台提供的南北向接口,再结合Telemetry采集的网络大数据,提供智能化的安全管理。
先进的安全平台能够对APT(Advanced Persistent Threat,高级可持续性攻击,业界常称高级持续性威胁,本书用后者)攻击进行防御,这需要有网络大数据的支持。安全平台可以基于网络管理平台提供的大数据分析检测APT攻击,也可以通过调用网络管理平台提供的南北向接口完成威胁流隔离和自动清洗,实现对APT攻击的防御。
5.业务应用平台
未来园区可以通过网络管理平台提供的南北向接口开发更多业务应用,构建基于园区网络的业务应用平台。比如对于商业园区网络,可以调用网络管理平台的接口以获取Wi-Fi网络提供的定位数据,开发客流热力相关的应用,从而为商业场地的调整提供参考。