本文摘要

互聯(lián)網(wǎng)園區(qū)辦公網(wǎng)絡(luò)是大家耳熟能詳?shù)膽?yīng)用場(chǎng)景，但隨著互聯(lián)網(wǎng)公司業(yè)務(wù)的發(fā)展，近幾年的需求變化給網(wǎng)絡(luò)帶來(lái)了新的機(jī)遇和挑戰(zhàn)，本文從互聯(lián)網(wǎng)園區(qū)辦公的業(yè)務(wù)挑戰(zhàn)出發(fā)，分析了業(yè)務(wù)變化下對(duì)網(wǎng)絡(luò)提出的新要求，基于這些需求探討如何構(gòu)建全新的園區(qū)網(wǎng)絡(luò)。希望可以通過(guò)本文給讀者明晰建設(shè)園區(qū)辦公網(wǎng)絡(luò)的關(guān)鍵點(diǎn)和提供建議。

業(yè)務(wù)變化下的新挑戰(zhàn)

隨著互聯(lián)網(wǎng)公司業(yè)務(wù)的發(fā)展，越來(lái)越多的業(yè)務(wù)融入辦公場(chǎng)景之中，除了傳統(tǒng)的OA辦公業(yè)務(wù)外，產(chǎn)品開(kāi)發(fā)、測(cè)試、客服等業(yè)務(wù)也需要辦公網(wǎng)絡(luò)的統(tǒng)一承載。它變得更像是一張生產(chǎn)網(wǎng)，任何一個(gè)模塊出現(xiàn)問(wèn)題都會(huì)影響整個(gè)公司業(yè)務(wù)的正常運(yùn)行。

除了網(wǎng)絡(luò)穩(wěn)定性以外，還要為員工提供更好的辦公體驗(yàn)，提升工作效率。營(yíng)造好體驗(yàn)的網(wǎng)絡(luò)環(huán)境需要關(guān)注兩點(diǎn)，一個(gè)是基于Wi-Fi技術(shù)的無(wú)線(xiàn)辦公體驗(yàn)，另一個(gè)則是支持IPv6業(yè)務(wù)開(kāi)發(fā)、測(cè)試的網(wǎng)絡(luò)能力。Wi-Fi技術(shù)的不斷成熟驅(qū)使無(wú)線(xiàn)辦公成為常態(tài)，越來(lái)越多的辦公終端、業(yè)務(wù)終端都依靠無(wú)線(xiàn)來(lái)接入網(wǎng)絡(luò)，因此對(duì)無(wú)線(xiàn)的可靠性和體驗(yàn)提出了更高的要求；另外，近兩年來(lái)國(guó)家開(kāi)始致力于推動(dòng)IPv6的落地建設(shè)，一些互聯(lián)網(wǎng)公司也陸續(xù)在數(shù)據(jù)中心部署IPv6。可能有人會(huì)問(wèn)在辦公網(wǎng)內(nèi)是否有必要部署IPv6呢？實(shí)際是非常必要的，因?yàn)镮Pv6業(yè)務(wù)應(yīng)用的開(kāi)發(fā)和驗(yàn)證，都需要辦公網(wǎng)提供IPv6能力來(lái)支撐。

前面我們提到了在辦公網(wǎng)中需要實(shí)現(xiàn)多業(yè)務(wù)，對(duì)于網(wǎng)絡(luò)的安全性也提出了更高的要求。特別是隨著物聯(lián)網(wǎng)技術(shù)的興起，大量無(wú)線(xiàn)終端（比如啞終端、IoT智能終端等）接入到網(wǎng)絡(luò)中。萬(wàn)物互聯(lián)的時(shí)代下，構(gòu)建在網(wǎng)絡(luò)穩(wěn)定和優(yōu)質(zhì)體驗(yàn)之上的其實(shí)是安全，正所謂“網(wǎng)絡(luò)千萬(wàn)條，安全第一條；用網(wǎng)不規(guī)范，運(yùn)維兩行淚”。

綜上提到的幾點(diǎn)是因?yàn)闃I(yè)務(wù)的變化而驅(qū)使網(wǎng)絡(luò)的革新，但是從網(wǎng)絡(luò)自身角度，其運(yùn)維的方式也需要積極改變，實(shí)現(xiàn)更多主動(dòng)運(yùn)維和可視化運(yùn)維的能力，特別是無(wú)線(xiàn)網(wǎng)絡(luò)。無(wú)線(xiàn)傳輸看不見(jiàn)摸不著，終端多且密集，體驗(yàn)無(wú)法感知，出現(xiàn)問(wèn)題后優(yōu)化效果不明顯仍舊遭到投訴，運(yùn)維叫苦連天。因此我們需要用統(tǒng)一的、可視化的運(yùn)維手段來(lái)輔助技術(shù)人員便捷、輕松地管理無(wú)線(xiàn)網(wǎng)絡(luò)。

▲ 圖1-1 變化多端的業(yè)務(wù)需求

新挑戰(zhàn)造就新機(jī)遇

針對(duì)上文提到的業(yè)務(wù)變化，回歸到網(wǎng)絡(luò)本身，如何更好地支撐持續(xù)增長(zhǎng)的多樣化業(yè)務(wù)需要我們思考。在給出具體方案建議之前，我們先分析一下業(yè)務(wù)給網(wǎng)絡(luò)提出了哪些具體要求。

1網(wǎng)絡(luò)架構(gòu)可靠

多業(yè)務(wù)承載的場(chǎng)景下，業(yè)務(wù)的不間斷運(yùn)營(yíng)是需要網(wǎng)絡(luò)支撐的最基本需求，特別是生產(chǎn)業(yè)務(wù)。因此在架構(gòu)設(shè)計(jì)上要保證網(wǎng)絡(luò)的冗余可靠性，規(guī)避因單點(diǎn)故障（設(shè)備、鏈路等）所帶來(lái)的風(fēng)險(xiǎn)。

2網(wǎng)絡(luò)極致體驗(yàn)

目標(biāo)是致力于為業(yè)務(wù)提供優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境，對(duì)關(guān)鍵應(yīng)用的體驗(yàn)做優(yōu)先保障。另外隨著無(wú)線(xiàn)的技術(shù)發(fā)展，未來(lái)終端演進(jìn)到Wi-Fi 6是一個(gè)必然趨勢(shì)。在高并發(fā)場(chǎng)景下確實(shí)需要利用Wi-Fi 6技術(shù)的紅利提升高密場(chǎng)景下的無(wú)線(xiàn)體驗(yàn)，比如更快的接入速率、更高的轉(zhuǎn)發(fā)效率以及更強(qiáng)的抗干擾能力。此外對(duì)于IPv6的支持，無(wú)論是國(guó)家政策驅(qū)動(dòng)還是內(nèi)部測(cè)試環(huán)境需要，都需要網(wǎng)絡(luò)層面加以支撐。

3網(wǎng)絡(luò)強(qiáng)安全

萬(wàn)物互聯(lián)的時(shí)代，終端類(lèi)型和規(guī)模越來(lái)越多，對(duì)于終端的合法檢測(cè)以及接入管控是重中之重。傳統(tǒng)的認(rèn)證客戶(hù)端雖然可以做到一些終端檢測(cè)，比如檢測(cè)防火墻是否開(kāi)啟，系統(tǒng)是否更新到最新版本等，但落地執(zhí)行時(shí)經(jīng)常受到使用者的抵觸，比如不會(huì)安裝或不愿安裝客戶(hù)端等原因。因此不僅需要一個(gè)更加輕量化的方式對(duì)終端進(jìn)行安全合法檢查，讓用戶(hù)更容易接受。同時(shí)，這個(gè)方式還要滿(mǎn)足新網(wǎng)絡(luò)安全法中提到的要求：“采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月”。

4網(wǎng)絡(luò)易運(yùn)維

網(wǎng)絡(luò)的運(yùn)維優(yōu)化是亙古不變的難題，特別是無(wú)線(xiàn)網(wǎng)絡(luò)，終端漫游、粘滯遠(yuǎn)端關(guān)聯(lián)等問(wèn)題時(shí)常發(fā)生。確實(shí)需要有一個(gè)技術(shù)手段幫助運(yùn)維人員清晰地看到無(wú)線(xiàn)體驗(yàn)狀態(tài)情況，并給出針對(duì)性的優(yōu)化建議。

天羅地網(wǎng)，牢不可破

面臨當(dāng)下的挑戰(zhàn)，銳捷網(wǎng)絡(luò)園區(qū)辦公解決方案通過(guò)交換機(jī)及無(wú)線(xiàn)虛擬化技術(shù)構(gòu)建穩(wěn)定可靠的網(wǎng)絡(luò)架構(gòu)，承載多種多樣的業(yè)務(wù)需求；通過(guò)IPv6和Wi-Fi 6的部署為員工提供優(yōu)質(zhì)的辦公體驗(yàn)。同時(shí)為了確保企業(yè)各層面信息的安全，方案從終端入網(wǎng)檢測(cè)到最后的權(quán)限分配提供了全周期的安全防線(xiàn)。為了更加便捷的管理無(wú)線(xiàn)網(wǎng)絡(luò)，部署WIS智能平臺(tái)實(shí)現(xiàn)無(wú)線(xiàn)的體驗(yàn)可視化和智能優(yōu)化。

▲圖3-1 園區(qū)辦公網(wǎng)絡(luò)解決方案架構(gòu)

下面我們一起看下這張“天羅地網(wǎng)”具體是如何“編織”的。

● 構(gòu)建穩(wěn)定可靠的組網(wǎng)架構(gòu)：

互聯(lián)網(wǎng)多出口冗余：通過(guò)部署多臺(tái)出口設(shè)備實(shí)現(xiàn)主備冗余切換。利用RNS（Ruijie Network Service）技術(shù)檢測(cè)外網(wǎng)鏈路，如果出現(xiàn)故障，會(huì)聯(lián)動(dòng)出口設(shè)備VRRP（Virtual Router Redundancy Protocol）協(xié)議的快速切換。

網(wǎng)絡(luò)骨干高可靠：交換設(shè)備部署VSU（Virtual Switching Unit）虛擬化技術(shù)提高可靠性。對(duì)外提供統(tǒng)一IP，簡(jiǎn)化管理；鏈路聚合技術(shù)，無(wú)需配置STP（Spanning-Tree Protocol）等防環(huán)協(xié)議，邏輯拓?fù)浜?jiǎn)單；故障時(shí)毫秒級(jí)主備切換，冗余可靠。

無(wú)線(xiàn)網(wǎng)絡(luò)高冗余：配置VAC（Virtual-AC）虛擬化，相較于熱備的部署方式可以節(jié)省一半無(wú)線(xiàn)AP的授權(quán)；AC平滑擴(kuò)容，成員AC宕機(jī)不影響業(yè)務(wù)連續(xù)性，鞏固了無(wú)線(xiàn)網(wǎng)絡(luò)的健壯性。

● 優(yōu)化員工辦公的極致體驗(yàn)：

針對(duì)關(guān)鍵業(yè)務(wù)設(shè)置保底帶寬，防止資源搶占，閑時(shí)帶寬可靈活租用，忙時(shí)返還。

部署Wi-Fi 6，提升無(wú)線(xiàn)體驗(yàn)

1)    速率提升：1024-QAM技術(shù)每星座點(diǎn)可攜帶更多的數(shù)據(jù)，直接提升信息量；縮短GI開(kāi)銷(xiāo)，提高數(shù)據(jù)信息的時(shí)間占比。

2)   效率提升：OFDMA（Orthogonal Frequency Division Multiple Access）正交頻分多址使同一信道內(nèi)可傳輸不同的RU數(shù)據(jù)，提升傳輸效率；相較于Wi-Fi 5增加了上行MU-MIMO技術(shù)，提升多用戶(hù)能力。

3)   抗干擾加強(qiáng)：通過(guò)動(dòng)態(tài)CCA門(mén)限區(qū)分OBSS與MYBSS，在微弱干擾下仍舊可以發(fā)送數(shù)據(jù)。

構(gòu)建IPv6網(wǎng)絡(luò)，支撐研發(fā)、測(cè)試場(chǎng)景

1)   簡(jiǎn)單的地址規(guī)劃：SLAAC（Stateless address autoconfiguration）無(wú)狀態(tài)地址自動(dòng)獲取方式，通過(guò)RA報(bào)文通告網(wǎng)絡(luò)前綴，結(jié)合EUI-64可以自動(dòng)生成IPv6地址；通過(guò)Option擴(kuò)展字段攜帶DNS Server地址，讓終端獲取到更多信息，使地址規(guī)劃變得簡(jiǎn)單清晰。

2)   安全策略加強(qiáng)：部署以SAVI（Source Address Validation Improvements）為核心的安全策略，可以防止IPv6在接入層面的攻擊，做到全面的雙棧安全。

● 打造全面立體的安全防護(hù)：

構(gòu)建四道安全防線(xiàn)，對(duì)終端進(jìn)行全過(guò)程的安全防護(hù)。

▲ 圖3-2 四道安全防線(xiàn)

1)   終端審批防線(xiàn)：支持多種協(xié)議（DHCP指紋等）實(shí)現(xiàn)終端自動(dòng)發(fā)現(xiàn)，基于云端特征庫(kù)精準(zhǔn)識(shí)別終端類(lèi)型，通過(guò)預(yù)設(shè)策略實(shí)現(xiàn)自動(dòng)或手動(dòng)審批入網(wǎng)，非法終端直接禁止接入網(wǎng)絡(luò)。

▲圖3-3 終端審批

2)   終端合規(guī)防線(xiàn)：用瀏覽器護(hù)航插件代替客戶(hù)端部署，讓使用者更加容易接受，落地更簡(jiǎn)單。護(hù)航插件對(duì)終端進(jìn)行合規(guī)性檢查，比如是否安裝殺毒軟件，是否升級(jí)到最新系統(tǒng)補(bǔ)丁等。通過(guò)合規(guī)檢測(cè)后方可進(jìn)入下一道防線(xiàn)。

▲圖3-4 護(hù)航插件檢測(cè)

3)   實(shí)名認(rèn)證防線(xiàn)：第三條防線(xiàn)會(huì)對(duì)身份進(jìn)行實(shí)名認(rèn)證，支持802.1X、Portal、微信、短信、二維碼等多種認(rèn)證方式，滿(mǎn)足不同角色人群選擇。

4)   網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限：通過(guò)實(shí)名認(rèn)證后，管理平臺(tái)會(huì)根據(jù)人員身份分配對(duì)應(yīng)的網(wǎng)絡(luò)權(quán)限，通過(guò)動(dòng)態(tài)VLAN的方式讓其獲取到對(duì)應(yīng)權(quán)限的IP網(wǎng)段，實(shí)現(xiàn)權(quán)限對(duì)應(yīng)身份。而且支持標(biāo)準(zhǔn)協(xié)議，跨品牌設(shè)備兼容無(wú)憂(yōu)。

部署日志系統(tǒng)平臺(tái)，集中存放NAT及URL等日志，滿(mǎn)足新網(wǎng)絡(luò)安全法實(shí)現(xiàn)運(yùn)營(yíng)合規(guī)。

▲圖3-5 日志系統(tǒng)

● 實(shí)現(xiàn)管理人員的輕松運(yùn)維：

部署WIS（Wireless Intelligent Servic）無(wú)線(xiàn)智能服務(wù)平臺(tái)，實(shí)現(xiàn)無(wú)線(xiàn)運(yùn)維的可視化、智能化

1)   體驗(yàn)可視化：可以將終端的無(wú)線(xiàn)使用體驗(yàn)從不同維度量化呈現(xiàn)，包括速率、時(shí)延、丟包等，協(xié)助運(yùn)維人員更加清晰地掌握終端的體驗(yàn)情況。

2)   智能分析：基于后端大數(shù)據(jù)分析能力結(jié)合終端側(cè)反饋的信息，分析體驗(yàn)差的原因，比如漫游粘滯、遠(yuǎn)端關(guān)聯(lián)等，并給出優(yōu)化建議，協(xié)助運(yùn)維人員了解無(wú)線(xiàn)優(yōu)化方式。

3)   報(bào)表呈現(xiàn)：可以基于日、周、月的體驗(yàn)數(shù)據(jù)，包括故障情況等，以圖表形式量化運(yùn)維團(tuán)隊(duì)的工作和成效。

▲圖3-6 WIS平臺(tái)

探索與實(shí)踐

銳捷網(wǎng)絡(luò)園區(qū)辦公解決方案從組網(wǎng)架構(gòu)、用戶(hù)體驗(yàn)、安全防護(hù)以及運(yùn)維管理四個(gè)方面構(gòu)建了一張穩(wěn)定、好用、安全，便捷運(yùn)維的企業(yè)園區(qū)辦公網(wǎng)絡(luò)，更好地支撐業(yè)務(wù)穩(wěn)定運(yùn)行。

▲圖4-1方案價(jià)值點(diǎn)總結(jié)

與此同時(shí)，我們也在不斷打磨和精進(jìn)方案，希望未來(lái)可以更好地為客戶(hù)提供服務(wù)與支撐，也歡迎各位多多提出寶貴的建議。

相關(guān)推薦：

• 坐在云端管網(wǎng)絡(luò)
• 基于Rogue AP反制的無(wú)線(xiàn)安全技術(shù)探討
• 居安思危，主動(dòng)革新 ——淺析園區(qū)辦公網(wǎng)絡(luò)的建設(shè)
• 坐在云端管網(wǎng)絡(luò)
• 基于Rogue AP反制的無(wú)線(xiàn)安全技術(shù)探討
• 居安思危，主動(dòng)革新 ——淺析園區(qū)辦公網(wǎng)絡(luò)的建設(shè)