“十四五”时期国家重点出版物出版专项规划项目
华为网络技术系列
丛书主编 徐文伟
华为数据通信 架构与技术
园区网络架构与技术
(第2版)
主 编 沈宁国 于 斌
副主编 黄明祥 许海林
人 民 邮 电 出 版 社
北 京
图书在版编目(CIP)数据
园区网络架构与技术/沈宁国,于斌主编. -- 2版. -- 北京:人民邮电出版社,2022.3
(华为网络技术系列)
ISBN 978-7-115-57535-7
Ⅰ. ①园… Ⅱ. ①沈… ②于… Ⅲ. ①局域网一架构 IV.①TP393.1
中国版本图书馆CIP数据核字(2021)第250764号
主 编 沈宁国 于 斌
副 主 编 黄明祥 许海林
责任编辑 韦 毅
责任印制 李 东 焦志炜
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 https://www.ptpress.com.cn
固安县铭成印刷有限公司印刷
开本:720×1000 1/16
印张:25.5 2022年3月第2版
字数:486千字 2022年3月河北第1次印刷
定价:129.00元
读者服务热线:(010)81055552 印装质量热线:(010)81055316
反盗版热线:(010)81055315
广告经营许可证:京东市监广登字20170147号
本系列图书基于华为公司工程创新、技术创新的成果以及在全球范围内丰富的商用交付经验,介绍新一代网络技术的发展热点和相关的网络部署方案。
本书以园区网络从PC时代迈向云时代所面临的业务挑战为切入点,详细介绍了云园区网络的架构与技术,旨在向读者全面呈现新一代园区网络的解决方案、技术实现和规划设计等内容。本书系统介绍云计算、虚拟化、大数据、AI、SDN等技术方案在园区网络中的应用,为快速、高效地重构园区网络提供参考。本书还提供详细的园区网络设计方法及部署建议,为构建自动化、智能化、云化的园区网络以及从容应对构建园区网络过程中面临的各种挑战提供帮助。
本书是了解和设计园区网络的实用指南,内容全面,通俗易懂,实用性强,适合网络规划工程师、网络技术支持工程师、网络管理员以及想了解园区网络技术的读者阅读。
主 任 徐文伟 华为战略研究院院长
副主任 胡克文 华为数据通信产品线总裁
赵志鹏 华为数据通信产品线副总裁
刘少伟 华为数据通信产品线研发部总裁
委 员(按姓氏音序排列)
陈金助 丁兆坤 杜志强 段俊杰
付 洁 国大正 胡 伟 李 兴
刘建宁 马 烨 孟文君 钱 骁
孙 亮 王 辉 王 雷 王晨曦
王建兵 吴局业 业苏宁 左 萌
主 编 沈宁国 于 斌
副主编 黄明祥 许海林
编写人员(按姓氏音序排列)
鲍小胜 陈 哲 付 丽 谷素琴
李 辉 李大鲲 李风乐 李吉媛
梁彦明 刘 巍 孙红叶 翁明杰
杨加园 张印熙 张镇伟 朱 玥
技术审校 蒋雅娜 姚成霞 阎 坤 陈月会
唐金华
该丛书由华为公司的一线工程师编写,从行业趋势、原理和实战案例等多个角度介绍了与数据通信相关的网络架构和技术,同时对虚拟化、大数据、软件定义网络等新技术给予了充分的关注。该丛书可以作为网络与数据通信领域教学及科研的参考书。
——李幼平
中国工程院院士,东南大学未来网络研究中心主任
当前,国家大力加强网络强国建设,数据通信就是这一建设的基石。这套丛书的问世对进一步构建完善的网络技术生态体系具有重要意义。
——何宝宏
中国信息通信研究院云计算与大数据研究所所长
该丛书以网络工程师的视角,呈现了各类数据通信网络设计部署的难点和未来面临的业务挑战,实践与理论相结合,包含丰富的第一手行业数据和实践经验,适用于网络工程部署、高校教学和科研等多个领域,在产学研用结合方面有着独特优势,填补了业界空白。
——王兴伟
东北大学教授、研究生院常务副院长,国家杰出青年科学基金获得者
该丛书对华为公司近年来在数据通信领域的丰富经验进行了总结,内容实用,可以作为数据通信领域图书的重要补充,也可以作为信息通信领域,尤其是计算机通信网络、无线通信网络等领域的教学参考。该丛书既有扎实的技术性,又有很强的实践性,它的出版有助于加快推动产学研用一体化发展,有助于培养信息通信技术方面的人才。
——徐恪
清华大学教授、计算机系副主任,国家杰出青年科学基金获得者
该丛书汇聚了作者团队多年的从业经验,以及对技术趋势、行业发展的深刻理解。无论是作为企业建设网络的参考,还是用于自身学习,这都是一套不可多得的好书。
——王震坡
北京理工大学教授,电动车辆国家工程实验室主任
这是传统网络工程师在云时代的教科书,了解数据通信网络的现在和未来也是网络人的一堂必修课。如果不了解这些内容,迎接我们的可能就只有被淘汰或者转行,感谢华为为这个行业所做的知识整理工作!
——丘子隽
平安科技平安云网络产品部总监
该丛书将园区办公网络、数据中心网络和广域互联网的网络架构与技术讲解得十分透彻,内容通俗易懂,对金融行业的IT主管和工作人员来说,是一套优秀的学习和实践指导图书。
——郑倚志
兴业银行信息科技部数据中心主任
“2020年12月31日,华为CloudEngine数据中心交换机全球销售额突破10亿美元。”
我望向办公室的窗外,一切正沐浴在旭日玫瑰色的红光里。收到这样一则喜讯,倏忽之间我的记忆被拉回到2011年。
那一年,随着数字经济的快速发展,数据中心已经成为人工智能、大数据、云计算和互联网等领域的重要基础设施,数据中心网络不仅成为流量高地,也是技术创新的热点。在带宽、容量、架构、可扩展性、虚拟化等方面,用户对数据中心网络提出了极高的要求。而核心交换机是数据中心网络的中枢,决定了数据中心网络的规模、性能和可扩展性。我们洞察到云计算将成为未来的趋势,云数据中心核心交换机必须具备超大容量、极低时延、可平滑扩容和演进的能力,这些极致的性能指标,远远超出了当时的工程和技术极限,业界也没有先例可循。
作为企业BG的创始CEO,面对市场的压力和技术的挑战,如何平衡总体技术方案的稳定和系统架构的创新,如何保持技术领先又规避不确定性带来的风险,我面临一个极其艰难的抉择:守成还是创新?如果基于成熟产品进行开发,或许可以赢得眼前的几个项目,但我们追求的目标是打造世界顶尖水平的数据中心交换机,做就一定要做到业界最佳,铸就数据中心带宽的“珠峰”。至此,我的内心如拨云见日,豁然开朗。
我们勇于创新,敢于领先,通过系统架构等一系列创新,开始打造业界最领先的旗舰产品。以终为始,秉承着打造全球领先的旗舰产品的决心,我们快速组建研发团队,汇集技术骨干力量进行攻关,数据中心交换机研发项目就此启动。
CloudEngine 12800数据中心交换机的研发过程是极其艰难的。我们突破了芯片架构的限制和背板侧高速串行总线(SerDes)的速率瓶颈,打造了超大容量、超高密度的整机平台;通过风洞试验和仿真等,解决了高密交换机的散热难题;通过热电、热力解耦,突破了复杂的工程瓶颈。
我们首创数据中心交换机正交架构、Cable I/O、先进风道散热等技术,自研超薄碳基导热材料,系统容量、端口密度、单位功耗等多项技术指标均达到国际领先水平,“正交架构+前后风道”成为业界构筑大容量系统架构的主流。我们首创的“超融合以太”技术打破了国外FC (Fiber Channel,光纤通道)
存储网络、超算互联IB (InfiniBand)网络的技术封锁;引领业界的AI ECN (Electronic Communication Network,电子通信网络)技术实现了RoCE(RDMA over Converged Ethernet,基于聚合以太网的远程直接存储器访问)网络的实时高性能;PFC (Power Factor Correction,功率因数校正)死锁预防技术更是解决了RoCE大规模组网的可靠性问题。此外,华为在高速连接器、SerDes、高速AD/DA (Analog to Digital/Digital to Analog,模数/数模) 转换、大容量转发芯片、400GE光电芯片等多项技术上,全面填补了技术空白,攻克了众多世界级难题。
2012年5月6日,CloudEngine 12800数据中心交换机在北美拉斯维加斯举办的Interop展览会闪亮登场。CloudEngine 12800数据中心交换机闪耀着深海般的蓝色光芒,静谧而又神秘。单框交换容量高达48 Tbit/s,是当时业界最高水平的3倍;单线卡支持8个100GE端口,是当时业界最高水平的4倍。业界同行被这款交换机超高的性能数据所震撼,业界工程师纷纷到华为展台前一探究竟。我第一次感受到设备的LED指示灯闪烁着的优雅节拍,设备运行的声音也变得如清谷幽泉般悦耳。随后在2013年日本东京举办的Interop展览会上,CloudEngine 12800数据中心交换机获得了DCN (Data Center Network,数据中心网络)领域唯一的金奖。
我们并未因为CloudEngine 12800数据中心交换机的成功而停止前进的步伐,我们的数据通信团队继续攻坚克难,不断进步,推出了新一代数据中心交换机——CloudEngine 16800。
华为数据中心交换机获奖无数,设备部署在90多个国家和地区,服务于3800多家客户,2020年发货端口数居全球第一,在金融、能源等领域的大型企业以及科研机构中得到大规模应用,取得了巨大的经济效益和社会效益。
数据中心交换机的成功,仅仅是华为在数据通信领域众多成就的一个缩影。CloudEngine 12800数据中心交换机发布一年多之后,2013年8月8日,华为在北京发布了全球首个以业务和用户体验为中心的敏捷网络架构,以及全球首款S12700敏捷交换机。我们第一次将SDN (Software Defined Network,软件定义网络)理念引入园区网络,提出了业务随行、全网安全协防、IP (Internet Protocol,互联网协议)质量感知以及有线和无线网络深度融合四大创新方案。基于可编程ENP (Ethernet Network Processor,以太网络处理器)灵活的报文处理和流量控制能力,S12700敏捷交换机可以满足企业的定制化业务诉求,助力客户构建弹性可扩展的网络。在面向多媒体及移动化、社交化的时代,传统以技术设备为中心的网络必将改变。
多年来,华为以必胜的信念全身心地投入数据通信技术的研究,业界首款2T路由器平台NetEngine 40E-X8A / X16A、业界首款T级防火墙USG9500、业界首款商用Wi-Fi 6产品AP7060DN……随着这些产品的陆续发布,华为IP产品在勇于创新和追求卓越的道路上昂首前行,持续引领产业发展。
这些成绩的背后,是华为对以客户为中心的核心价值观的深刻践行,是华为在研发创新上的持续投入和厚积薄发,是数据通信产品线几代工程师孜孜不倦的追求,更是整个IP产业迅猛发展的时代缩影。我们清醒地意识到,5G、云计算、人工智能和工业互联网等新基建方兴未艾,这些都对IP网络提出了更高的要求,“尽力而为”的IP网络正面临着“确定性”SLA (Service Level Agreement,服务等级协定)的挑战。这是一次重大的变革,更是一次宝贵的机遇。
我们认为,IP产业的发展需要上下游各个环节的通力合作,开放的生态是IP产业成长的基石。为了让更多人加入到推动IP产业前进的历史进程中来,华为数据通信产品线推出了一系列图书,分享华为在IP产业长期积累的技术、知识、实践经验,以及对未来的思考。我们衷心希望这一系列图书对网络工程师、技术爱好者和企业用户掌握数据通信技术有所帮助。欢迎读者朋友们提出宝贵的意见和建议,与我们一起不断丰富、完善这些图书。
华为公司的愿景与使命是“把数字世界带入每个人、每个家庭、每个组织,构建万物互联的智能世界”。IP网络正是“万物互联”的基础。我们将继续凝聚全人类的智慧和创新能力,以开放包容、协同创新的心态,与各大高校和科研机构紧密合作。希望能有更多的人加入IP产业创新发展活动,让我们种下一份希望、发出一缕光芒、释放一份能量,携手走进万物互联的智能世界。
徐文伟
华为董事、战略研究院院长
2021年12月
过去的一个世纪,教育水平的差距造成了这样一种现象:发达地区的知识经济与落后地区的农业经济同时存在于我们这个世界。优质教育是联合国发布的17个可持续发展目标之一,具体来说,就是要确保包容和公平的优质教育,让全民终身享有学习机会。在教育资源有限的前提下,填补“知识鸿沟”、促进公平教育,已成为世界各国共同关注的问题。毋庸置疑,教育信息化是填补“知识鸿沟”的主要手段,其核心是通过ICT(Information and Communication Technology,信息通信技术)为学生、老师、管理者构建具备支持随时随地学习、能够跨越时空沟通与协作、可以进行高效的教育管理、便捷安全等特点的智慧教育环境。
西安交通大学在教育信息化方面走在全国高校的前列,在智慧校园网建设方面也有独到的见解和丰富的实践经验。2017年2月,学校启动了中国西部科技创新港的建设,以创新港为平台,建成了中国高校首个“智慧学镇5G校园”,实现了智慧教育、智慧安防、智慧物业等十大功能,打造了“人人皆学、处处能学、时时可学”的校区、园区、社区一体化智慧教育服务体系。作为全球业界领先的ICT解决方案供应商,华为深入参与了创新港的项目建设,采用VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)技术实现了科研、教学、宿舍与企业办公等场景的隔离;通过有线和无线网络深度融合技术实现了整个创新港无线网络的无缝漫游;以业务随行技术保障了终端用户随时随地体验的一致性;以物联网技术提供了贵重资产管理、智能建筑、智慧路灯甚至智慧井盖等应用。华为的云园区网络解决方案可以很好地实现学生、老师等各类群体之间的自由交流,打破信息孤岛,提高产学研效率,这也是华为作为出色的ICT解决方案供应商给教育行业带来的独特价值。
《园区网络架构与技术》一书承载了华为在园区网络领域的最新研究成果,是华为长期以来在该领域的技术积累和成功实践的总结,是业界难得一见的深入阐述云园区网络的网络架构、关键技术、规划部署和未来演进方向的图书。此书详细介绍了虚拟化、大数据、AI(Artificial Intelligence,人工智能)、SDN等关键技术在园区网络中的应用,可以帮助读者全面了解园区网络当前面临的主要挑战及其解决思路,帮助从业者快速、高效地完成园区网络的重构。特别值得推荐的是,此书还展示了校园网工程实践案例,介绍了云园区网络的详细部署过程和业务效果,可以作为建设类似的园区网络的参考。可以说,无论是出于学习的目的还是工程实施参考的目的,此书都是广大园区网络技术从业者和爱好者的有益参考。
郑庆华
西安交通大学副校长
2019年10月
园区网络的建设和维护一直是困扰各大公司CIO (Chief Information Officer,首席信息官)和运维人员的难题。企业和组织对园区网络的要求越来越高,业务对园区网络的依赖越来越深,不断有新的需求冲击现有园区网络。
特别是在使用无线网络成为园区网络的基本要求之后,BYOD (Bring Your Own Device,携带自己的设备办公)带来的边界消失、接入控制、网络安全等问题随之出现在园区网络内部。同时,无线网络部署和管理的复杂性冲击着现有的运维体系。如何在预算有限和人力紧缺的前提下,快速地提升园区网络的性能,满足企业和组织对网络不断提高的要求,这是园区网络亟待解决的问题。
华为公司运维着一个自己的超级园区网络,该超级园区网络由7个巨型园区网络(并发接入终端数量超过20万个)以及12000多个中小型园区网络组成,为华为提供无处不在的Wi-Fi (Wireless Fidelity,无线保真)网络和BYOD服务。不断变化的网络业务、统一的用户接入和服务保障、开放但安全性强的接入服务、云终端语音视频即时通信、全网视频直播,所有这些需求不断驱动华为的网络运维团队和产品设计团队思考网络的本质和发展方向。
2012年,华为首先提出了敏捷园区的理念和解决方案,从业务需求变化的角度重新审视园区网络的设计理念和组网方案,推动园区网络完成了自VLAN(Virtual Local Area Network,虚拟局域网)概念出现以来最大的改变。园区网络从面向连接的网络转变成面向多业务承载的高品质网络。特别是敏捷园区网络完整地实现了对基于Wi-Fi技术的无线网络的支持,极大地丰富了园区网络的应用场景和业务能力。从此,随时随地处理业务不再是理念,而是现实。
目前,华为的敏捷园区网络已经发展为云园区网络。云园区网络应用IoT、Wi-Fi 6、SDN、SD-WAN、云管理和AI等技术,帮助企业构建一张全无线接入、全球一张网、全云化管理和全智能运维的园区网络。基于多年的持续创新和不断实践,华为在园区网络规划设计、运行维护方面积累了非常丰富的经验。本书基于这些丰富的经验,系统、深入地介绍了新一代园区网络解决方案的总体架构和关键技术。希望能够通过本书帮助大家真正理解我们需要什么样的园区网络,明白如何构建理想中的园区网络,以及如何享受到先进网络带给我们的便利和价值。
关于本书第2版
本书第1版于2020年3月出版,当时华为园区网络解决方案处于CloudCampus 1.0(智简园区网络)阶段。本书第2版动笔之时,华为园区网络解决方案已经演进至CloudCampus 3.0(云园区网络)阶段。这期间,园区网络在业务上和架构上都有了明显的变化。首先,数字化正在从园区办公延伸到生产和运营的方方面面,智慧门店、远程医疗、远程教学、柔性制造……各种各样的新兴业态不断涌现;其次,大量的应用正加速从本地部署迁移到云端部署,园区网络从PC时代迈向云时代。在这个过程中,园区网络作为连接终端和云端的重要基础设施,也正从本地的局域互通向多分支多云互联、全球一张网的架构演进。面向云时代,园区网络在架构和技术上面临一些新的问题,例如Wi-Fi无法连续组网、LAN/WAN难以打通、云网不匹配、故障难以定位等。本书第2版聚焦于云时代的这些问题,介绍云园区网络通过新的架构和关键技术、让企业实现极速的无线业务体验、随时随地的自由协作和沟通、敏捷的云应用上线,以及可靠的应用体验保障,帮助大企业、政府、高校等机构,以及教育、医疗、零售、交通等行业,在云时代抓住数字化转型的新机会。
本书内容
本书共分13章,以园区网络从PC (Personal Computer,个人计算机)时代迈向云时代所面临的业务挑战为切入点,详细介绍云园区网络的架构与技术,旨在向读者全面呈现新一代园区网络的解决方案、技术实现和规划设计,并给出部署建议。
首先,本书介绍云园区网络的总体架构和业务模型,以及如何构建云园区网络的物理网络和虚拟网络。
其次,本书介绍如何实现云园区网络的自动化部署和业务的自动化发放,以及如何将AI和大数据等先进技术应用到云园区网络的运维和安全领域,实现智能运维和端到端网络安全。
最后,本书结合智能时代的业务特征,介绍园区网络未来的发展趋势。在技术和业务的双轮驱动下,园区网络将更加自动化、智能化,并最终走向完全自治自愈的网络,实现网络的自动驾驶。
第1章 认识园区网络
本章首先介绍园区网络的定义,然后从不同角度分析不同形态的园区网络,在这个基础上抽象出园区网络的基本构成。此外,本章还介绍园区网络的演进过程,即从最初的简单局域网形态过渡到三层组网架构的形态,再逐步演进到多业务承载的形态,并最终演进到目前的云园区网络的形态。
第2章 园区网络的发展趋势和面临的挑战
本章首先从不同行业的视角介绍数字化转型的趋势,然后总结出数字化转型对园区网络的挑战,进而提出园区网络应对数字化转型挑战的理念,最后从全无线接入、全球一张网、全云化管理、全智能运维等几个维度介绍园区网络的重构之路。
第3章 云园区网络的总体架构
本章首先介绍云园区网络的基本架构、关键部件,以及这些关键部件之间的交互接口。然后,本章介绍云园区网络的业务模型,涉及物理网络的抽象模型、虚拟网络的抽象模型以及园区业务层的抽象模型等。最后,本章结合园区网络的规模和业务特征,介绍云园区网络的3种云化部署方式。
第4章 构建云园区网络的物理网络
物理网络是网络通信服务的基础架构,为数据通信提供物理传输载体。云园区网络需要一张超宽的物理承载网络,以满足网络资源池化、业务部署自动化的要求。本章首先介绍超宽转发的关键技术方案,即网络要有足够大的吞吐能力,单位时间内转发的数据量要足够大;然后介绍超宽接入的关键技术方案,即网络的接入能力要足够宽泛,任何终端在任何时间、任何地点都可以接入网络;最后介绍如何利用这些关键技术方案构建一张超宽转发、广泛覆盖的物理网络。
第5章 构建云园区网络的虚拟网络
云园区网络的业务是通过虚拟网络来承载的,业务与物理网络是解耦的,业务的变更只会影响虚拟网络,不会涉及物理网络的变更。本章首先介绍为什么网络需要虚拟化,为什么引入虚拟网络可以屏蔽物理网络,达到业务和物理网络解耦的目的;然后介绍为什么选择VXLAN作为网络虚拟化的关键技术,如何通过VXLAN技术构建虚拟网络;最后,为了更加方便读者理解,本章结合具体的实例,介绍网络虚拟化技术在园区网络中的典型应用。
第6章 云园区网络自动化部署
云园区网络引入了SDN的思想,SDN通过将网络的复杂度从硬件转移到软件,从分布式变成集中式,让控制器代替管理员去面对和处理复杂的问题,这就将管理员从复杂的手工操作中解脱出来,实现了网络的自动化部署。本章介绍物理网络自动化,即如何实现设备自动上线、网络自动编排;虚拟网络自动化,即如何通过控制器灵活调用网络资源,根据业务需求灵活创建、修改或删除虚拟网络实例;用户接入自动化,即如何实现接入配置自动化、账号管理自动化、身份识别自动化和用户策略自动化。
第7章 云园区网络智能运维
随着业务复杂度的增长和多样化的发展,网络运维管理成为企业的难题。在云园区网络中,网络管理员希望运维管理更多地关注面向用户和应用的体验管理,同时使网络管理员从复杂的设备管理中解脱出来,实现运维的智能化。本章介绍如何将人工智能应用于运维领域,如何基于运维数据(设备性能指标、终端日志等数据),通过大数据分析、AI算法及专家经验库等,将网络中的用户体验数字化,将网络运行状态可视化,预测网络故障,辅助网络管理员及时发现网络问题,保障网络的良好运行,提升用户体验。
第8章 云园区端到端网络安全
全球网络威胁形势不断变化,新型未知威胁复杂且隐蔽,攻击频率和严重程度不断增长,传统防御捉襟见肘。本章介绍基于大数据的智能安全协防方案,大数据安全协防从离散的样本处理转向全息化的大数据分析,从人工为主转向自动化分析为主,从静态特征为主转向动态特征、全路径、行为与意图分析为主。大数据安全协防方案通过网络信息收集、高级威胁分析、威胁呈现/联动处置、策略下发、阻断隔离等过程形成全面的网络防御系统,保证园区网络和业务的安全。
第9章 云园区网络的开放生态
在企业数字化转型过程中,没有任何一家公司能够凭借一己之力为所有行业提供差异化的服务,ICT企业除了不断推出满足用户需求的新产品、新解决方案以外,更要致力于成为一家生态型企业。本章介绍云园区网络如何通过开放云、管、端协同的新ICT架构和接口,汇聚和培育千万开发者,对多个行业的ICT解决方案进行横向整合,推动“生态协同式”的产业创新,带动新生态系统的崛起。
第10章 云园区网络部署实践
本章先从应用实践的角度介绍园区网络的整体设计流程,然后以校园网场景为例介绍园区网络的部署实践。围绕高校对校园网在多网融合、架构先进、按需扩展等方面的诉求,介绍校园云园区网络的需求规划、网络部署、业务发放等内容。
第11章 华为IT成熟实践
华为公司目前在全球设立了14个研发中心和36个联合创新中心,在全球有近20万名员工和超过6万个合作伙伴,业务遍布全球178个国家。为支撑业务发展,华为公司运维着一个自己的超级园区网络,这个园区网络在网络架构、网络规模、业务复杂度、技术方案先进性等几个方面均处于世界领先水平,因此华为园区网络自然就是云园区网络解决方案的最好的试金石。本章结合华为公司的数字化转型之路,介绍了华为IT业务的发展历程、典型园区网络场景的解决方案,以及华为园区网络未来的发展与展望等。
第12章 云园区网络组件
本章介绍云园区网络相关的组件,包括CloudEngine S系列园区交换机、AirEngine系列无线局域网组件、NetEngine AR系列分支路由器、HiSecEngine USG系列企业安全组件、iMaster NCE-Campus园区网络管控分析系统、HiSec Insight高级威胁分析系统等,以及相关产品的应用场景和主要的功能特性。
第13章 云园区网络的未来展望
当前人类社会来到以智能技术为代表的第四次工业革命的门前,AI技术将会把人类社会从信息时代推进到智能时代。本章结合智能时代的业务特征,介绍园区网络未来的发展趋势。在技术和业务的双轮驱动下,园区网络将更加自动化、智能化,并最终成为完全自治自愈的网络,实现网络的自动驾驶。
致谢
本书由华为技术有限公司“数据通信数字化信息和内容体验部”以及“数据通信架构与设计部”联合编写。在写作过程中,华为数据通信产品线的领导给予了很多的指导、支持和鼓励。本书所提的云园区建设方案基于西安交通大学全国高校首个“智慧学镇5G校园”的实践示范,在本书的编撰过程中,我们与西安交通大学网络信息中心的老师一起对案例进行了反复的推敲。在此,诚挚感谢相关领导的扶持和各位老师的帮助!
特别感谢西安交通大学参与智慧学镇项目建设并对本书提出宝贵意见的老师们:锁志海,李卫,李国栋,徐墨,刘俊,罗军锋,李虎群,安宁刚,杨帆,覃遵颖,张哲,成永刚,吴飞龙,朱晓芒,刘宸,张心,魏跃堂。
参与本书编写和审校的人员虽然有多年ICT从业经验,但因时间仓促,书中错漏之处在所难免,望读者不吝赐教,在此表示衷心的感谢。
本书常用图标
在信息社会,通信网络无处不在,而园区网络一直处在网络的战略核心位置。园区包括工厂、政府机关、商场、写字楼、校园、公园等。可以说,在一个城市中,除了马路和家庭住所之外,都是园区。据统计,90%的城市居民在园区内工作与生活,每个人每天有18小时都身处园区中,80%的GDP(Gross Domestic Product,国内生产总值)是在园区内创造的。园区网络作为园区通向数字世界的基础设施,是园区不可或缺的一部分,在日常办公、研发生产、运营管理中扮演着越来越重要的角色。本章将介绍园区网络的基本概念及演进历程。
顾名思义,园区网络就是我们在工作与生活的园区内使用的网络。园区有大有小,具有不同的行业属性,相应地,园区网络也会变化多样。但是,无论如何变化,园区网络有构成其不同层次的统一部件模型。那么什么是园区网络?从不同的维度看园区网络有什么不同?它有哪些统一的部件模型?下面将详细介绍。
日常生活中,我们会接触到各种各样的网络。
当您回到家中,惬意地躺在沙发上,掏出手机,自动接入家里的Wi-Fi网络开始追剧时,接入的是家庭网络。家庭网络有简有繁。简单的家庭网络只有一台无线路由器,提供上网功能。复杂的家庭网络面向的是智慧生活,可以为家中各种智能终端,例如电视机、音响、手机、计算机等,提供高速网络服务;可以接入NAS(Network Attached Storage,网络附接存储)子系统,能够提供数据安全存储、内容自动获取和信息共享的服务;可以接入智能安防子系统,支持远程监控家庭环境和智能检测威胁及报警;可以接入IoT(Internet of Things,物联网)子系统,对家庭的各种电器和智能设备进行自动或远程控制,例如回家路上提前打开空调,进门就可以享受舒适的环境。
家庭网络对外连接的通常是运营商的城域网。运营商通过城域网,为各类企业用户和个人用户提供以互联网连接、专线、VPN(Virtual Private Network,虚拟专用网)为主的电信互联网服务,以及基于互联网服务的各类增值服务,例如互联网电视服务。城域网覆盖城市和乡村,通常由使用广域网技术的路由器构成核心层,由使用局域网技术的以太网交换机构成汇聚层,由以太网交换机或者使用PON(Passive Optical Network,无源光网络)技术的OLT(Optical Line Terminal,光线路终端)、ONU(Optical Network Unit,光网络单元)构成接入网。城域网之间通过各种广域网互联,形成一个全球性的互联网。
当您随时随地掏出手机通过移动通信信号上网时,接入的是移动通信网络。移动通信网络通常由运营商建设和运营,由一系列的基站以及基站控制器、回传网络和核心网构成,可以在广阔的范围内为用户提供语音通话服务以及高速无线上网服务。
还有一类我们经常接触到的网络。
当您走进校园学习、走进单位工作、走进商场购物、到旅游景点游玩、入住酒店休息时,您可能会注意到这些场所也被网络覆盖。在校园里,有供老师办公教学用的封闭办公网,也有供学生访问教学资源和访问互联网的半开放学生网;在单位内部,有单位建设的内部网络供员工办公使用,这些网络通常是封闭的,以保证安全性;在商场和酒店,除了有内部人员使用的封闭办公网外,还有向消费者开放的网络,后者作为优质服务的一部分用于提升企业的竞争力。这些网络都属于园区网络。
传统的园区网络一般是一个在连续的、有限的地理区域内相互连接的局域网,不连续区域的网络会被视作不同的园区网络。很多企业和校园都有多个园区,园区之间通过广域网技术进行连接。现在,受云计算和SDN等技术的影响,企业业务大量部署在云端,多个园区之间会通过SD-WAN(Software Defined Wide Area Network,软件定义广域网)技术进行互联,企业可以统一管理多个园区的网络,这种情况下,企业多个园区的网络也可以看作一个逻辑上的园区网络。
园区网络的规模可大可小,小的有如SOHO(Small Office Home Office,家居办公室),大的有校园、企业、公园、购物中心等。园区的规模是有限的,一般的大型园区,例如高校园区、工业园区,规模依然被限制在几平方千米以内,在这个范围内,可以使用局域网技术构建网络。超过这个范围的“园区”通常被视作一个“城域”,需要用到城域网技术,相应的网络会被视作城域网。
园区网络使用的典型局域网技术包括遵循IEEE 802.3标准的以太网技术(有线)和遵循IEEE 802.11标准的Wi-Fi技术(无线)。
园区网络通常只有一个管理主体。也就是说,覆盖同一个区域的多个网络,如果有多个管理者,通常被认为是多个园区网络;如果都由一个管理者管理,我们会把这多个网络当作一个园区网络的多个子网。
园区网络服务于园区和园区内部组织。由于园区和园区内部组织具有多样性,园区网络也互有不同。
1.从规模大小看
按照终端用户数量或者网元数量,可将园区网络分为小型园区网络、中型园区网络和大型园区网络,如表1-1所示。中型园区网络和小型园区网络有时又被统称为中小型园区网络。
表1-1 按终端用户数量或者网元数量衡量的园区网络规模大小
通常来说,大型园区网络本身需求和结构复杂,管理维护的工作量很大,因此会有专业的运维团队负责整个园区的IT(Information Technology,信息技术)管理,包括园区网络的规划、建设、运维和故障处理,同时运维团队会构建完善的管理维护平台,协助其更好地完成运维工作;中小型园区网络受限于预算,通常不会有专业人员和专门的运维平台,往往只有一个员工兼职负责维护网络。
2.从服务对象看
从园区网络的服务对象看,有些园区网络是封闭的,使用者仅限于组织的内部人员,有些园区网络是开放的,外部人员也可以使用。封闭园区网络和开放园区网络的威胁来源不同,相应的网络安全需求和解决方案也会不同。
封闭园区网络的用户都是内部人员,内部人员的上网行为固定,而且可以通过内部的各种规章制度和奖惩措施进行有效管控。因此,封闭园区网络的威胁主要来自外部入侵。封闭园区网络通常采用堡垒模型,以避免外部非法接入和内部非法访问。一方面,需要引入NAC(Network Admission Control,网络准入控制),采用用户名/账号、令牌、证书等方式进行身份验证,防止非内部人员接入网络;另一方面,需要引入防火墙,部署在不同安全区域的边界,例如网络的出入口处。
对于开放园区网络,由于需要尽可能地服务于公众,网络接入认证既需要便于公众接入,又需要有效识别用户身份,为此用户身份识别系统一般使用手机号码加短信识别码、社交账号认证等方式,这样还简化了账号管理的工作量。另外,因为公众接入行为具有不确定性,网络安全威胁可能较多,需要在网络内部部署用户行为管控系统,避免有意或无意的非法行为。例如,用户终端感染了网络病毒,病毒就会对网络系统进行攻击;为了使网络有能力抑制攻击,用户行为管理系统需要能够识别用户行为,对用户流量实施隔离清洗,这样既可保证用户上网,又不影响网络中的其他用户。
实际运行的园区网络通常既有封闭子网,又有开放子网。服务于公众的网络总会有一个封闭子网,用于内部办公和管理;服务于内部人员的园区网络通常也会有部分开放的需求。例如,企业园区网络会开放部分区域网络给访客使用,以提高沟通和合作效率;政务园区网络会开放部分区域网络用于提供政务便民服务。这种情况下,封闭子网和开放子网之间分属不同的安全域,需要进行隔离。通常的隔离手段包括物理隔离、逻辑网络隔离、防火墙隔离等。对于需要强安全性的网络,一般采取物理隔离,即网络之间完全不互通。
3.从承载业务看
从网络承载的业务看,园区网络可以分为单业务园区网络和多业务园区网络。承载业务的复杂程度决定了园区网络架构的复杂性。
早期的园区网络通常只承载数据业务,园区的其他业务由其他专网承载。现在的多数中小企业网络业务单一,如租用写字楼中办公室的小型企业的基础网络通常由写字楼的出租方提供,因此企业的园区网络仅需要承载内部的数据通信业务。单业务园区网络的架构会趋于简单化。
先进的大型网络通常服务于独立的大型园区。园区需要提供各种基础服务,例如消防管理服务、视频监控服务、车辆管理服务、能耗控制服务等。如果在大型园区内为每种服务各自部署专门的网络,成本会很高,且管理维护非常麻烦。因此,这些基础服务的技术逐步转向数字化和以太化,以便使用成熟的以太网承载。园区网络逐渐多业务化,一个网络需要承载多种不同的业务,不同的业务间需要实施隔离和保障,园区网络的架构也开始复杂化和虚拟化。
4.从接入方式看
从接入方式看,园区网络可以分为有线园区网络和无线园区网络。当前的园区网络大多数为有线和无线混合网络。无线园区网络不受端口位置和线缆的限制,网络使用自由,部署灵活。
传统的园区网络是有线园区网络。从使用者的角度看,每台接入网络的设备都需要通过网线连接到预置在墙体或者桌面的网口上。有线园区网络通过实体的线缆进行连接,不同连接之间基本不存在相互的影响。因此,有线网络的架构通常是结构化、层次化的,逻辑清晰,管理简单,故障易于排查。
无线园区网络和有线园区网络的特征差异很大。无线园区网络通常基于Wi-Fi标准,又称为WLAN(Wireless Local Area Network,无线局域网)。WLAN终端通过IEEE 802.11系列空口协议与WLAN接入点进行无线连接。由于是无线连接,网络部署和安装质量会决定网络覆盖的效果,且需要定期针对网络业务情况实施网络优化,才能保证网络质量。另外,无线网络易受外部信号源的干扰,进而引发一系列难以定位的异常。由于无线网络空间连接是不可见和不连续的,异常情况具有突发性,难以复现。无线网络的运维需要运维人员具备与无线空口相关的知识和业务经验。
5.从不同行业看
从园区网络服务的行业看,有更多不同的园区网络。为了满足不同行业园区的需求,需要根据园区网络服务的行业的特点设计园区网络架构,最终打造出带有行业属性的园区网络方案。典型的行业园区网络包括企业园区网络、校园网、政务园区网络、商业园区网络。
·企业园区网络:从严格意义上来说,企业园区网络的范畴很大,可以按不同行业再往下细分。这里介绍的企业园区网络实际上特指的是基于以太网交换设备组建的企业办公网。企业办公网的组网架构一般与企业内部组织架构相对应,如图1-1所示。围绕着企业的生产与办公,园区网络需要考虑的是如何保证架构的可靠性和先进性,持续提升员工的办公体验,保障生产的效率和质量。
图1-1 企业园区网络架构
·校园网:根据教育对象的不同,校园可以分为普教园区和高教园区。普教园区面向的是中小学生和教师,内部网络的结构和功能更接近企业园区网络。高教园区面向的是各大高等院校的学生和教师,相较于普教园区网络,高教园区网络要复杂得多,不但有并行的教研网和学生网,同时还有运营性的宿舍网络,对网络的部署方式和可管理性有特别高的要求。校园网不仅仅承担数据传输的功能,同时需要对在校学生的上网行为进行管理,避免出现偏激出位的行为。校园网还需要一定的研究和教学功能,因此学校对校园网的技术先进性有较高的要求。
·政务园区网络:通常指政府相关机构的内部网络。政务园区网络对安全性要求极高,通常采用内网和外网隔离的措施保障涉密信息的绝对安全。
·商业园区网络:通常指各种商业机构和商业场所的网络,例如商场、超市、酒店、博物馆、公园等。商业园区网络会包含一个服务于内部办公的封闭子网,但主要还是服务于消费者,例如商场超市的顾客、酒店的住客等。商业园区网络不仅仅提供网络服务,同时还会构建相应的商业智能化系统,通过网络系统提升客户体验,降低运营成本,提高商业效率,实现价值转移。
园区网络虽然多种多样,但是它按业务架构可以抽象成具有不同层次部件的统一模型,如图1-2所示。正是基于园区网络抽象的统一模型,在园区网络会因为技术革新而变得更加复杂时,网络架构师可以找到化繁为简的契机,让园区网络变得像水一样,能够适应任意一种“盛水的容器”(园区)。下面在介绍园区网络不同的功能部件时,也会提及这些部件在未来园区网络架构中的变化。
1.园区数据网络
园区数据网络是基于以太网技术或者WLAN技术构建而成的,由园区内部所有数据通信设备构成,包含各类以太网交换机、AP(Access Point,接入点)、WAC(Wireless Access Controller,无线接入控制器)和FW(Firewall,防火墙)等,所有的内部数据流量都会经过园区数据网络进行转发。
园区数据网络通常由同一个管理者管理的多个子网构成,用于承载不同的业务,比如所有园区都会有的办公子网,用于日常员工办公;很多园区内部会保留独立的视频会议子网,并通过专门的子网和链路保证视频会议的质量;未来园区数据网络会接入IoT设备,有专门承载物联网业务数据的子网,而且由于提供不同业务的物联网技术不同,往往存在多个并行的物联网子网;另外,一般园区会有内部的数据中心,承载数据中心内部数据转发的子网被称为数据中心网络。未来园区数据网络的发展方向之一就是网络多业务化,由一个融合的园区数据网络统一承载各种业务。
注:LBS即Location Based Service,基于位置的服务。
图1-2 园区网络的统一模型
2.接入终端
对多数网络而言,终端并不被看作网络的一部分,而是被看作网络的消费者。原因是终端的产权所有者和管理者不是网络的管理者。但是园区网络有所不同,终端往往被看作网络的一部分,这是因为园区内部很多终端的所有者就是园区,或者园区网络管理者可以通过管理手段获得权限,从而对园区内部的终端实施管理。这样,园区数据网络和接入终端可以充分互动,形成端到端的网络。
将接入终端视作园区网络的一部分后,园区网络管理者可以更加积极地对终端实施管理和限制,从而简化解决方案。例如,强制终端安装指定的防病毒软件,并在接入网络时进行检查,这在极大地减少病毒对网络威胁的同时,简化了网络的防病毒解决方案。
端管协同也有利于网络向终端提供更为优质的服务。例如,未来Wi-Fi网络应用于电子课堂时,可以通过对接入终端进行批量指定来优化网络,提升AP的并发接入率、带宽和漫游性能,满足用户对视频质量的要求。
3.网络管理平台
网络管理平台是一个传统的部件,但在最新的园区网络架构中,网络管理平台的定位和它的动能都发生了质的变化,这是化繁为简的关键之一。传统的网络管理平台通常包含各种网管,能够为网络或者设备提供有限的远程管理维护功能。新一代的网络管理平台不但具有网管的全部功能,而且其管理维护功能会发生质变,能够对常用场景或者流程实施自动化管理。同时,网络管理平台还是业务应用的底座,可提供开放的南北向接口,允许各种业务系统调用网络。
4.安全平台
基于新一代的网络管理平台还可以构建新一代的安全平台,通过调用网络管理平台提供的南北向接口,再结合Telemetry采集的网络大数据,提供智能化的安全管理。
先进的安全平台能够对APT(Advanced Persistent Threat,高级可持续性攻击,业界常称高级持续性威胁,本书用后者)攻击进行防御,这需要有网络大数据的支持。安全平台可以基于网络管理平台提供的大数据分析检测APT攻击,也可以通过调用网络管理平台提供的南北向接口完成威胁流隔离和自动清洗,实现对APT攻击的防御。
5.业务应用平台
未来园区可以通过网络管理平台提供的南北向接口开发更多业务应用,构建基于园区网络的业务应用平台。比如对于商业园区网络,可以调用网络管理平台的接口以获取Wi-Fi网络提供的定位数据,开发客流热力相关的应用,从而为商业场地的调整提供参考。
园区网络的诞生其实并没有明确的标志性事件。从技术的角度看,园区网络中使用过多种技术,例如令牌环技术、ATM(Asynchronous Transfer Mode,异步转移模式)技术等。以太网和以太网交换机出现以后,园区网络得到了快速的发展。在园区网络几十年的发展过程中,绝大多数园区网络都是基于以太网构建的,园区网络的最核心部件一直都是以太网交换机。因此,本节把以太网的出现作为园区网络发展的起点,通过总结园区网络40余年的发展与变化,梳理出园区网络的发展演进轨迹。
1980年,IEEE(Institute of Electrical and Electronics Engineers,电气电子工程师学会)发布了IEEE 802.3标准,规定了包括物理层连线、电信号和介质访问控制协议的内容,这个标准的制定标志着以太网技术的正式诞生。相比之前的组网技术,使用双绞线连接的以太网成本较低、易于组网,从而快速成为园区网络的主流。
早期的园区网络使用集线器作为接入设备。由于集线器是共享媒介的物理层设备,无法接入大量用户,否则会因为冲突域的增大而严重影响网络性能,冲突域的大小限制了局域网的规模。这个时期的局域网并发用户数通常不超过16个。一个园区网络会被划分为很多局域网,局域网间通过昂贵且低速的路由器互联。这种架构的局域网只能满足少量用户在线,往往一个部门只有一台计算机能够上网,大家轮流使用这台计算机收发邮件,浏览BBS(Bulletin Board System,电子公告板系统)。
20世纪80年代末期,出现了以太网交换机。早期的以太网交换机在数据链路层工作,因此又被称为二层交换机。二层交换机对外提供多个端口,每个终端连接在一个端口上。内部采用“存储-转发”机制,终端间可以并行收发报文而不会相互影响。二层交换机消除了链路上的冲突,局域网的规模也随之扩大。但是,所有二层交换机的端口都在一个BD(Bridge Domain,广播域)中,BD的大小限制了局域网的规模,如果局域网规模过大,则会面临广播风暴的困扰。使用二层交换机组网的局域网并发用户数通常不超过64个,与集线器相比,明显扩大了局域网的规模,降低了网络间的互联成本。二层交换机迅速取代集线器,成为园区网络的标准部件。
这一代的园区网络由于结构简单,其上承载的业务也相对简单,因此通常没有专门的管理维护系统,管理维护的工作由专业人员完成,由此发展出对技能要求相对较高的网络工程师这个岗位群体。
这一代的园区网络为园区提供了基础的网络服务,部分计算机终端可以接入网络中。但是,这一代的园区网络将路由器作为骨干节点,既昂贵又速度缓慢,只能提供非实时的电子邮件类服务。
进入20世纪90年代,网络领域出现两个激动人心的发明:WWW(World Wide Web,万维网)和即时通信软件。万维网于1989年诞生,20世纪90年代开始普及,万维网上精美的网站和主页吸引着大众的目光,人们激动地讨论起多媒体。即时通信软件兼具电话和电子邮件的优点,1996年一经问世便迅速普及,从那时起,人们的工作和生活开始越来越依赖各种即时通信软件。万维网需要有足够的带宽支持,基于路由器的园区骨干网无法满足要求。即时通信业务对私密性具有天然的要求,并且每个人都希望接入网络,使用自己的计算机和他人进行通信,而受限于网络规模,不是所有的计算机都可以联网,因此无法满足即时通信的要求。这些都对园区网络提出了更高的要求。
在这个背景下,三层交换机在1996年问世。三层交换机集成了二层交换功能和三层路由功能,也被称为路由式交换机。它针对园区场景优化设计的三层转发引擎简单高效,三层路由功能接近或者等同于二层交换功能。三层交换机第一次将三层路由功能引入局域网内部,单个局域网可以划分为多个子网,分别接入不同的三层接口。三层结构化园区网络如图1-3所示,这种结构化的组网方式消除了BD对网络规模的限制,局域网规模不再受限于冲突域或者BD,可以通过子网不断重复的方式按需扩展网络的规模,每个人、每个终端都可以按需接入网络。同时,由三层交换机构成的园区网络骨干使得整个网络的带宽大大提高,用户可以流畅地访问由万维网带来的多媒体世界。各类办公系统也不失时机地迁移到网络上,网络化无纸化办公成为现实。
图1-3 三层结构化园区网络
需要特别指出的是,随着芯片技术的发展,业界很快出现了支持硬件路由查找功能的ASIC(Application Specific Integrated Circuit,专用集成电路)芯片,使用ASIC芯片的三层交换机具备了三层转发引擎。使用ASIC芯片的全硬件三层转发交换机性能更高、成本更低,从而迅速普及。全硬件转发的三层交换机和二层交换机一起“统治”了园区网络,受益于低成本的技术,园区网络的市场出现了爆炸式增长。
与此同时,以太网技术也进入爆发期。1995年,IEEE发布了IEEE 802.3u FE(Fast Ethernet,快速以太网)标准,以太网进入100 Mbit/s时代;1999年,IEEE发布了IEEE 802.3ab GE(Gigabit Ethernet,吉比特以太网,也称千兆以太网)标准,以太网可以在双绞线上达到1000 Mbit/s的速率。相对之前的10 Mbit/s,以太网的速率整整提高了100倍。速率的提高给园区网络带来两个方面的影响:第一,以太网淘汰了同样有竞争力的ATM技术,成为园区网络最主要的技术选择;第二,以太网的带宽发展远远领先于园区网络业务需求的发展,通常情况下,园区网络中链路带宽的使用率不超过50%,一旦超过这个比例,就需要对链路进行扩容。充足的带宽资源可以让网络变得简单,包括QoS(Quality of Service,服务质量)在内的复杂特性机制都显得不那么重要了。这条技术路线和ASIC化转发引擎的优势高度吻合,园区网络的发展方向也就固化了下来,以太网交换机开始沿着ASIC化的高性能方向进化。
此后的很长时间内,除了在2003年引入VLAN技术进一步解决了网络扩展性的问题外,整个园区网络的技术发展全部集中在速率的提高上,10GE、40GE和100GE相继问世。
网络规模扩大后,基于SNMP(Simple Network Management Protocol,简单网络管理协议)的网络管理系统被引入园区网络中。但是,简单网络管理协议并没有给各个园区的网络维护团队带来太多的帮助,园区网络的维护和故障处理依旧依赖网络工程师的技能。
三层园区网络满足了计算机终端接入园区网络的需求,能够提供高性能的网络连接,满足基于万维网的各种多媒体业务和各种办公系统的需要。结构化组网满足了扩展网络规模的需求。但是,园区网络的灵活性和可管理性并没有得到提升。
2007年一般被认为是智能移动终端发轫之年。随后,智能移动终端快速普及,应用越来越广泛,Wi-Fi技术也随之快速发展。
1997年,IEEE 802.11标准的发布标志着Wi-Fi标准的诞生。Wi-Fi技术虽然出现得非常早,但在出现后的十多年中,却始终限于在家庭网络以及其他小型网络中使用。虽然业界一直希望将Wi-Fi网络作为办公网络的无线化补充引入园区网络,但该想法一直没有实现,其主要原因如下。
·需求不足。早期只有少量便携式计算机内置Wi-Fi网卡,且这些便携式计算机同时支持RJ45类型的有线网口,因此,对Wi-Fi网络的需求不强烈。
·安全性威胁。传统有线网络的安全性部分依赖于物理空间的隔离,外部人员会被门禁等安保系统隔离在办公区域外部。因此,网口防非法接入的需求不强,通常不会部署NAC功能。Wi-Fi网络的空口打破了空间的隔离,必须增加NAC功能,提高安全性。在没有良好软硬件支撑的情况下,NAC功能的部署和运维非常复杂,是网络管理员的“噩梦”。因此,网络管理员通常会排斥大规模部署Wi-Fi网络。
·传统的网络架构不利于Wi-Fi网络的大规模部署。为了能够快速普及,Wi-Fi网络巧妙地采用了Piggy-Back的组网方式,通过CAPWAP(Control and Provisioning of Wireless Access Points,无线接入点控制和配置)隧道在WAC和AP间构建出与物理网络无关的虚拟专用网。该虚拟专用网虽然理论上可以承载在任何固定网络上,但在大规模部署时,也会带来问题。例如,在大规模Wi-Fi用户终端接入的场景下,如果Wi-Fi网络采用性能规格高的WAC集中式部署,数据流量将全部成为南北向流量,与园区网络东西向流量为主的流量模型和网络模型不符,导致核心节点设备压力过大;如果采用性能低的WAC分布式部署,在大规模漫游场景下,迂回流量过多,将会导致WAC设备负载过重。
因此,智能终端出现前,Wi-Fi技术一直被作为“热点”覆盖的技术,在园区网络中零星存在。比如很多园区会用Wi-Fi网络覆盖会议室。
智能移动终端出现并很快进入生产力领域后,全面覆盖Wi-Fi网络成为刚需,而Wi-Fi网络的大规模组网问题和NAC功能的部署问题也成为阻碍Wi-Fi网络大规模部署的技术和管理难题。
为了解决这两个问题,业界的网络设备商纷纷推出了多业务融合的网络解决方案。华为公司在2012年也推出了自己的多业务融合网络解决方案——敏捷园区网络解决方案。
创新的有线和无线网络融合特性同时解决了Wi-Fi网络的两大难题,使Wi-Fi网络的大规模部署成为现实。有线和无线网络融合特性是在汇聚层的敏捷交换机上部署经过优化的“Wi-Fi控制器”,将有线和无线网络的管理平面合一,实现NAC的统一。通过Wi-Fi网络创新的“本地转发模式”和敏捷交换机统一转发有线和无线网络报文的特性,解决了大规模Wi-Fi用户终端接入的组网问题。
Wi-Fi网络被统一接入园区网络,成为这一代园区网络的典型特征。同时,引入SDN概念用于简化业务。总体来说,这一代网络非常好地满足了企业在无线化转型初期的需求,但是仍存在许多问题。例如,Wi-Fi网络的服务质量不够好,只能作为有线网络的补充;大规模引入Wi-Fi网络带来的维护难题没有被解决;没有优化网络架构,多业务承载仍然依赖VPN技术,敏捷性不足等。但庆幸的是,敏捷交换机的推出为园区网络的进一步演进提供了较好的硬件基础。
云计算在过去十几年已经彻底改变了企业的办公及生产方式,大量的业务从本地服务器迁移至云端。过去,工业化的标志是“用电”;而现在,数字化的标志是“上云”。据IDC(International Data Corporation,国际数据公司)的统计,到2021年年底,将有80%企业加快上云节奏,同时,公有云、私有云或混合云的多云接入方式将会是企业的主流选择。也就是说,企业园区网络正从传统的PC时代向云时代迈进。
在这个过程中,数字化正从园区办公延伸到生产和经营的方方面面,无人门店、远程医疗、远程教学、柔性制造、物流追踪等各种各样的新兴业态不断涌现,工业生产的资源配置、产品结构以及运营模式都在发生深刻的变革,在消费互联网方兴未艾之际,工业互联网再一次引领数字化转型的浪潮。
如图1-4所示,随着云时代的到来,园区网络作为连接终端和云的重要基础设施,也正从本地的局域互通走向多分支、多云互联的全球一张网的架构。
图1-4 园区网络从PC时代到云时代
云时代的园区网络具备4个方面的典型特征,介绍如下。
·接入无线化:接入全面无线化,有线网络仅用作补充,办公网、生产网、物联网多网融合。
·全球一张网:应用部署在云端,总部和分布在全球的分支统一承载在一张网上,实现云网一体化。
·整网自动化:整个园区网络端到端支持SDN、LAN(Local Area Network,局域网)、WLAN和WAN(Wide Area Network,广域网),整网业务自动化发放。
·AI驱动运维:网络状态可视、用户体验可视,网络基于AI实现预测性维护,主动优化用户和应用体验。
PC时代的园区网络有清晰的边界,一般限定在某个物理或者地域范围内,而企业业务的上云打破了这个边界,使得园区网络变成一种无边界的状态。例如企业业务可能在私有云上,也可能在公有云上;企业的分支可能是跨地域的,也可能是全球化的。这些情况下,云端和终端的互联、云和云之间的互联、总部和分支之间的互联以及分支和分支的互联都可能被纳入园区网络的范畴。因此,云时代的园区网络是无边界、跨地域和全球化的。
总之,园区网络经历了前面几个阶段的演进,在带宽、规模以及业务融合等几个方面都有了长足的发展。然而,随着行业数字化转型的推进,园区网络在连接、体验、运维、安全、生态等几个方面又面临新的挑战,例如,IoT业务要求连接无处不在;高清视频、AR(Augmented Reality,增强现实)、VR(Virtual Reality,虚拟现实)等业务需要高品质的网络支撑;海量的设备需要极简的业务部署和网络运维等。为了应对上述挑战,业界厂商也逐步将AI、大数据等新技术引入园区网络,并推出一系列新的解决方案,例如管理全面SDN化、架构全面虚拟化、接入全面无线化、业务全面自动化等。园区网络进入了新一轮令人激动的技术创新演进阶段,这一阶段的园区网络逐步具备了智能化和云化的特征,可以为客户提供极简的业务部署、极简的网络运维等。本书后续将围绕云园区网络解决方案进行详细的介绍。
