工业互联网园区网络 技术架构白皮书
目 录
1 工业互联网园区网络概述 .............................. 1
1.1 工业园区发展现状 .......................................... 1 1.2 工业园区网络发展现状 ...................................... 2 1.3 工业互联网园区网络内涵 .................................... 5 1.4 工业互联网园区网络利益相关方 .............................. 6
2 工业互联网园区网络架构 ............................. 37
2.1 园区网络组网架构 ......................................... 37 2.1.1 工业生产网络 ......................................... 37 2.1.2 企业信息网络 ......................................... 43 2.1.3 园区公共服务网络 ..................................... 45 2.1.4 云基础设施 ........................................... 48 2.2 园区网络组网实现 ......................................... 49 2.2.1 传统三层架构网络 ..................................... 49 2.2.2 大二层架构网络 ....................................... 52 2.2.3 无线网络架构 ......................................... 57 2.3 园区网络业务部署 ......................................... 66 2.3.1 园区网络主要业务 ..................................... 66 2.3.2 分层业务部署 ......................................... 67 2.3.3 管理和维护 ........................................... 69
1 工业互联网园区网络概述
1.1 工业园区发展现状
工业园区作为推进我国改革开放和经济发展的重要载体, 一直被视为经济建设的主战场。近年来,随着城市化快速推进和产业转型升级,工业园区的建设和发展取得了显著成效,为区域经济发展做出了重大贡献。目前全国各地已有近五百个国家级的经开区、出口加工区、保税区等,省级各类开发区超一千个,全国各类工业园区超两万个。
根据工业园区的发展规模,我国工业园区发展可分为三个阶段:1979 年-1990 年为工业园区的创建试点期;1991 年-2000 年为工业园区的高速增长期;2001 年到现今为工业园区的稳定和优化期。
根据工业园区的主导产业种类划分,可将工业园区划分为综合类工业园区、行业类工业园区、静脉产业类工业园区。综合类工业园区是由不同工业行业的企业组成的工业园区,主要指在高新技术产业开发区、经济技术开发区等工业园区基础上改造而成的工业园区。行业类工业园区以某一类工业行业的一个或几个企业为核心,通过物质和能量的继承,在更多同类企业或相关行业企业间建立共生关系的工业园区。静脉产业类工业园区以从事垃圾回收和再资源化利用的企业为主体建设的一类工业园区。
根据工业园区批准建设部门划分,可分为国家级工业园区和省(市)级及其他工业园区。其中,国家级工业园区统一由
— 1 —
国务院批准建设。该类工业园区产业结构、土地等资源利用、经济统计等全部由中央政府统一管理。省(市)级及其他工业园区,主要由省市人民政府批准建设的工业园区,不同于国家级工业园区的管理模式,该类工业园区相关管理权限是由地方政府决策。
从园区内经济构成的主体来看,可以分为两种:一是单个企 业或集团的私有园区。通常私有园区聚集配套企业较少,以生产和经营活动为主,实行标准化的生产经营区同生活区的分离, 采用封闭、半封闭式管理。当前,私有园区的建设取得了显著 成效,由于中小型企业缺少共有园区管理支持,私有园区开发 商针对中小型企业在公司建立和维护日常运作的需求,向中小 企业提供优质服务、建厂机制、办公场所、协助项目审批等业 务支持。二是由多个企业聚集的公有园区。公有园区聚集各种 生产要素,工业化的集约强度高,突出产业特色,优化功能布 局。
1.2 工业园区网络发展现状
随着互联网+时代的到来,互联网与社会经济深度融合,不断催生新应用、新服务、新业态、新方向,深刻改变了人们的生产方式、生活方式以及思维和认知方式,直接推动了经济的转型升级和高质量发展。在这种大背景和大趋势下,传统产业园区的发展方向、发展模式、建设方式等均面临着新挑战和新需求。对此,产业园区需以新一代信息技术利用为契机,紧密围绕企业快速发展需求,快速提升自身服务水平和质量,实现
— 2 —
转型发展,获取信息化环境下的核心竞争能力。网络作为工业 园区最重要的基础设施之一,通过融合新一代信息与通信技术, 具备迅捷信息采集、高速信息传输、高度集中计算、智能事务 处理和无所不在的服务提供能力,可以实现园区内及时、互动、整合的信息感知、传递和处理,可以显著提高园区产业集聚能 力、企业经济竞争力、园区可持续发展能力。
工业园区的配套设施建设一直聚焦于交通运输、供水、供电、排污等市政基础设施,园区信息化建设起步晚、时间短, 信息化配套设施及服务还不够完善。
目前工业园区网络存在的问题可以归纳为以下几点: 1、工业园区网络架构无法满足工业互联网新业务需求。 工业互联网业务的发展对园区网络基础设施提出了更高的 要求和需求。传统层级化的网络架构影响了信息交互的效率。现阶段园区网络的每个层面承担不同的网络功能,都需要用户来进行接入和控制。随着园区内企业规模的不断扩大、用户数目增多,导致网络规模和网络功能上不断激增,网络部署和管理会变得复杂。
2、工业园区网络宽带性价比低,不足以支撑工业互联网推广应用。
海量数据对容量和带宽提出更高的要求,工业互联网须建立在连续采样、大体量的工业大数据基础上,而海量数据的传输和存储,对网络的带宽、稳定性和覆盖率提出更高的要求。多数工业园区的网络基础以满足办公、生产相关的软件应用为主,传输速率、覆盖率、稳定性不足以支撑工业互联网应用;
— 3 —
工业专线宽带价格偏高,工业网络在设备、安装、使用、入场等费用上都有差别,相同带宽的商用产品收费较高,存在较大的价格调整空间;工业宽带的发展环境还不成熟,对网络的要求迫切性没有体现,需求没有完全释放,国家对工业领域的宽带支持政策尚有欠缺。
3、工业互联网网络标准不统一,产品集成难以实现。 工业互联网要实现企业、机器、产品、用户之间全流程、全方位、实时的互联互通,达到研发、生产、管理、服务的高度协同,对标准化提出了新要求,需要制定统一的技术标准、服务标准、管理标准和安全标准。工业园区网络异构性普遍存在,网络接口不同,统一的工业互联网标准尚未制定,严重制约着产品、服务的集成。另外,由于缺乏较多典型工业互联网的应用成功案例的示范引领,使很多企业难以下定决心改变现在的生产和经营模式。
4、综合网络化系统集成企业缺乏,不能满足工业互联网发展需求。
工业互联网将无处不在的传感器、嵌入式终端系统、智能控制系统、通信设施连接成一个智能网络,使人与人、人与机器、机器与机器、服务与服务之间能够互联,最终支撑智能化生产、网络化协同、个性化定制和服务化延伸等工业互联网新模式新业务的实施,这对系统集成企业提出了更高的要求。目前,系统集成企业主要分布于各个细分行业,从事分领域的系统集成业务,能提供综合网络化系统集成服务的集成商较少, 难以满足工业互联网的发展需求。
— 4 —
5、缺乏工业控制系统的网络安全保障体系。
工业控制系统的安全防护措施普遍不足,利用工业控制系统的漏洞感染数据采集与监控系统,从而导致工业设备停止运转、数据丢失等安全事件时有发生,工业控制系统存在的安全隐患不容小觑。
1.3 工业互联网园区网络内涵
工业互联网园区是一个国家或区域的政府根据自身经济发展的内在要求,通过行政或市场手段划出一块区域,聚集各种生产要素,并利用工业互联网各项使能技术,构建工业环境下人、机、物全面互联的关键基础设施,实现工业研发、设计、生产、销售、管理、服务等产业全要素的泛在互联,支持工业数据的开放流动与深度融合,推动工业资源的优化集成与高效配置、支撑工业应用的创新升级与推广普及,从而使之成为功能布局优化、结构层次合理、产业特色鲜明的新型工业企业聚集发展区。
工业互联网园区网络是指在工业互联网园区内部部署的以实现园区企业设备互联和信息互通的网络基础设施,由园区到厂区、由管理到生产的综合性基础网络体系。工业互联网园区网络主要由工业生产网、企业信息网、园区公共服务网以及云基础设施组成。其中:
工业生产网是指部署在工厂内部的,用以实现生产现场各类生产设备、传感器、执行器、工控机等互联,以及工业数据采集、工业操控与维护的网络;
— 5 —
企业信息网是指部署在各企业内部的办公区域内,用以实现部门互通的网络;
园区公共服务网是实现园区内工业企业间互联互通并向园区内各企业提供基础公共服务的网络;
云基础设施作为工业互联网园区内部信息汇聚的重要基础设施,实现园区内多家企业私有云和公有云的承载。
1.4 工业互联网园区网络利益相关方
工业互联网园区网络建设的核心是建设低延时、高可靠、广覆盖的工业互联网网络基础设施,集合网络、软件、物联网技术和服务,实现数据在工业各个环节的无缝传递,支撑形成实时感知、协同交互、智能反馈的生产模式,提升园区产业服务水平,提高服务的明确性、高效性、灵活性,建立自主创新的网络服务体系。
工业互联网园区网络利益相关方包括四种角色,分别是建设方、运营方、维护方、使用方。
建设方是指执行工业互联网园区建设计划,组织、督促基本建设工作,支配、使用基本建设投资的基层单位。一般表现为:行政上有独立的组织形式,经济上实行独立核算,编有独立的总体设计和基本建设计划,是基本建设法律关系的主体。
运营方是整个园区的内部专门设置的对园区网络各项事宜进行统一管理的单位。
维护方负责园区网络基础设施维护。
— 6 —
使用方一般是指入驻园区的各工业企业,他们从运营方租用网络等资源。
— 7 —
2 工业互联网园区网络架构 2.1 园区网络组网架构
工业互联网园区网络主要由工业生产网、企业信息网、园区公共服务网以及云基础设施组成。其架构如图 5 所示。
图 5 工业互联网园区网络总体架构
3.1.1 工业生产网络
(1) 功能和性能
工业生产网络主要连接工厂内部的各种要素,包括人员 (如生产人员、设计人员、外部人员)、机器(如生产装备)、 材料(如原材料、过程件、制成品)、环境(如仪表、监测设备) 等。
工业生产网络架构、技术多样,需要合考虑布置成本、使用场景要求,在生产现场布设工业有线通信和工业无线通信相结合互补的网络,满足生产控制管理和工业应用的需求。
— 8 —
工业有线主要适合带宽、可靠性、实时性要求高且位置相 对固定的设备接入。工业有线主要分为工业总线与工业以太网。工业总线协议有几十种,主流协议有 Modbus、Profibus、IO- link、CAN/CANopen、CC-Link,主要用于 PLC 南向的简单数据量和模拟量接入,传输距离一般较短,数据传输速率较低,抗 干扰能力差相对较差,安全性基本没有考虑。工业以太网协议数量众多, 主流协议有 DeviceNet、Profinet、EtherCAT、EtherNet/IP、Modbus-TCP,多用于 PLC 北向输出,通信速率高、网络拓扑灵活,也存在协议种类多,协议间互联互通性较差等 问题,难以进行灵活部署与快速扩展。
工业无线适合广覆盖、移动性强的使用应用,以可靠性、带宽要求不高的传感器网络、移动机器人等应用为代表,适合灵活的工业应用布置。其中 Wi-Fi 技术具有部署容易、组网灵活和可移动等优势,但可靠性和安全性难以足工业级需求。LoRa 技术,适用于低速率、低功耗的中长距离场景。ZigBee、ISA 100.11a、Wireless Hart、WIA FA/PA 等技术受限于传输距离或者传输速率,多用在传感器、仪表等传输距离有限、传输速率不高的使用场景。RFID、UWB 等技术多用于定位应用。基于公共蜂窝网络的 NB-IoT 等技术,具有广域覆盖、可靠性保障、QoS 等优点,适用于低速率、低功耗的传感设备接入。
因此,为适应智能制造发展,工厂内部网络需要进行扁平化、IP 化、无线化及灵活组网等各方面的改进。
1) 工厂内网络扁平化。扁平化包括两个方面,一是工厂OT
系统将逐渐打破车间级、现场级分层次组网模式,智能机器之
— 9 —
间将逐渐实现直接的横向互联。二是整个工厂管理控制系统扁平化,包括 IT 系统和 OT 系统部分功能融合(如 HMI),或通过工业云平台方式实现,实时控制功能下沉到智能机器。
2) 工厂内网络以太网/IP 化趋势。随着工业互联网技术的
发展演进,现场总线正在逐步被工业以太网替代。未来,工业内有线将被基于通用标准的工业以太网逐步取代各种私有的工业以太网,并实现控制数据与信息数据同口传输。为解决大量支持 IP 的装备接入问题,IPv6 技术将在工厂内广泛使用。
3) 工厂内无线网络成为有线网络的重要补充。目前无线技
术主要用于信息的采集、非实时控制和工厂内部信息化等场景, Wi-Fi、Zigbee、2G/3G/LTE、面向工业过程自动化的无线网络WIA-PA、WirelessHart 以及ISA100.11a 等技术已在工厂内获得 部分使用。同时无线技术正逐步向工业实时领域渗透,成为现 有工业有线控制网络有力的补充或替代,如 5G 已明确将工业控制作为其低时延、高可靠的重要应用场景,3GPP 也已开展相关的研究工作。IEC 也正在制定工厂自动化无线网络 WIA-FA 技术 标准。
4) 工厂内网络灵活化组网。未来基于智能机器柔性生产将
实现生产域根据需求进行灵活重构。智能机器可在不通生产域 间迁移和转换,并在生产域内实现即插即用。这需要工厂网络 的灵活组网,实现网络层资源可编排能力,软件定义网络(SDN) 是其中实现方式之一。
新型 IO-link 总线在传统模拟量采集的基础上,增加了数据传递功能,增加了传统气动阀门、传感器等的可维护性。以
— 10 —
OPC UA over TSN 为代表的标准化工业有线网络正在加速落地。同时,5G uRLLC、eMTC 将为工业低时延应用和大连接应用提供理想的无线接入方式。
(2) 管理
工厂环境涉及多个运行区域,联网设备众多,一般使用基于 Netconf、YANG 模型,以及 SNMP 协议进行网络管理。通过自动化配置、拓扑分析等网管软件,实现整个工业网络的自动发现与连接。
(3) 环境
工业现场环境复杂,网络设备和线路设施等可能处于综合 的电磁、物理、化学环境中,需要具备抗电磁干扰、防水防尘、耐极端温度、以及耐化学腐蚀等等能力。并且在不同的工厂、 同一工厂的不同区域,环境都会有所不同。对于工业场景的环 境描述,可参考 ISO/IEC 11801 系列标准对于工业场景通信布线系统定义的 MICE 环境条件体系。
表 1 ISO/IEC 11801 系列标准中 MICE 环境条件体系
环境条件分组和项目 机械作用(M) 冲击/碰撞 振动 拉伸 压扁 撞击 弯曲、曲挠和扭转 异物入侵 防尘 M1 -2峰值加速度: 40ms 幅度(2Hz to 环境9Hz): 1.5mm 加速度(9Hz to -2500Hz): 5ms 根据现场安装环境和 具体产品规范确定 最小值:45N/25mm (平均分布)静电 1J 根据现场安装环境和 具体产品规范确定 I1 最大直径:12.5mm 无要求 环境条件等级 M2 -2峰值加速度: 100ms 幅度(2Hz to 9Hz): 7.0mm 加速度(9Hz to -2500Hz): 20ms 根据现场安装环境和 具体产品规范确定 最小值:1100N/150mm (平均分布) 10J 根据现场安装环境和 具体产品规范确定 I2 最大直径:50μm 喷水流量:≤ 12.5L/min 防水 M3 -2峰值加速度: 250ms 幅度(2Hz to 9Hz): 15.0mm 加速度(9Hz to -2500Hz): 50ms 根据现场安装环境和具 体产品规范确定 最小值:2200N/150mm (平均分布) 30J 根据现场安装环境和具 体产品规范确定 I3 最大直径:50μm 喷 水 流 量 : ≤ 12.5L/min 喷嘴直径:≥ 6.3mm
— 11 —
喷嘴直径:≥6.3mm 距离:>2.5m C1 C2 -10℃ ~ +60℃ -25℃ ~ +70℃ 0.1℃/min 1.0℃/min 5% ~ 85%(不结露) 5% ~ 95%(结露) -2-2700Wm 1120Wm -6液体污染物(浓度单位:10) 0 <0.3 环境和化学 环境温度 温度变化速率 湿度 太阳辐射 氯化钠(食盐/海水) 油(干燥空气下的浓度) (油的类型根据现场安装 环境和产品规范确定) 硬脂酸钠(肥皂) 洗涤剂 导电材料 硫化氢 二氧化硫 三氧化硫 氯 (>50% 环境湿度) 氯 (<50% 环境湿度) 氯化氢 氟化氢 氨气 氮氧化物 臭氧 电磁 静电接触放电(0,667μC) 静电空气放电(0,132μC) 距 离 : > 2.5m 及 浸水:≤ 1m ,≤ 30min C3 -40℃ ~ +70℃ 3.0℃/min 5% ~ 95%(结露) -21120Wm <0.3 0 <0.005 4 <0.5 >5×10液体非凝胶 待研究 长期接触 <10/<50 <5/<10 <5/<10 <0.05/<0.3 <0.2/<1.0 0.6/<3.0 <0.1/<1.0 <50/<250 <5/<10 <0.1/<1 E3 4kv 8kv 10V/m(80~1000)MHz 3V/m(1400~2000)MHz 1V/m(2000~2700)MHz 10V@150kHz~800MHz 1000V 1000V 30Am-1 4 辐射抗扰度 射频场感应的传导抗扰度 电快速瞬态脉冲群 (共模) 浪涌(暂态接地电位差) ,线对地 工频磁场(50/60 Hz) 工频磁场 (60Hz~20000Hz) 无要求 >5×10液体非凝胶 无要求 待研究 无要求 暂时接触 -6气体污染物 (均值/峰值,浓度单位:10) <0.003/<0.01 <0.05/<0.5 <0.01/<0.03 <0.1/<0.3 <0.01/<0.03 <0.1/<0.3 <0.0005/<0.001 <0.005/<0.03 <0.002/<0.01 <0.02/<0.1 -/<0.06 0.06/<0.3 <0.001/<0.005 <0.01/<0.05 <1/<5 <10/<50 <0.05/<0.1 <0.5/<1 <0.002/<0.005 <0.025/<0.05 E1 E2 4kv 4kv 8kv 8kv 3V/m(80~1000)MHz 3V/m(80~1000)MHz 3V/m(1400~2000)MHz 3V/m(1400~2000)MHz 1V/m(2000~2700)MHz 1V/m(2000~2700)MHz 3V@150kHz~800MHz 3V@150kHz~800MHz 500V 500V 1Am-1 500V 500V 3Am-1 待研究 待研究 待研究 (4) 安全 随着更多的工业设备、工业应用使用网络,工厂间的流程 互联互通,相应的安全性风险激增。特别是底层工业控制网络 的安全考虑不充分,安全认证机制、访问控制手段的安全防护 能力不足,攻击者一旦通过互联网通道进入底层工业控制网络, 容易实现网络攻击。
工业生产网络系统需要在保证生产这一前提条件下,对整
— 12 —
个工业网络进行隔离控制,保证工业网络与应用运行的安全可靠。各个生产区域内使用多冗余备份的控制设计,采用隔离网闸对网络进行隔离管理。工业网络安全一般通过对多种工业协议完整性、功能码、读写地址(读写权限)、工艺参数值的深度解析和过滤等方式,对异常数据、异常指令进行阻断和安全过滤的,同时,一般工业网络有多级的安全隔离设备,形成多层次的防护结构,最大程度的保障生产设备的平稳运行。
1) 网络安全防护,采取纵深防御策略,遵循区域划分、边
界隔离、链路防护、通信管控的原则,对工业互联网网络进行有针对性的防护。
2) 工厂内外部平台防护,综合运用硬件加固、网络隔离、
代码审计、数据保护、身份验证、访问控制、行为管控、风险追踪等技术,覆盖工业互联网各平台功能,从整体上提升平台安全防护能力。
3) 数据层面的防护,基于数据加密与数据流量审计技术,
实现覆盖业务数据全生命周期的安全防护与追溯。
4) 工业互联网的安全监测与态势感知,通过边缘计算、协
议深度解析、事件关联分析以及协同联动机制等技术,对工业大数据进行分析,分析工业互联网当前运行状态并预判未来安全走势,实现对工业互联网安全的全局掌控。
5) 其他需求
−
合法合规要求(包含国家、行业等相关法律、法规、标准等);
−
安全体系建设要求(安全管理、安全技术、安全运维);
— 13 —
−
安全风险评估需求(工控系统、信息系统等); 安全试验验证;
−
(5) 可靠性
整个工厂网络的可靠性可以分为线路可靠、设备可靠和系统应用可靠。工业网络线路在满足环境适应性的要求上,在重要线路可采用多冗余的网络设计,使用线路备份、环形网络拓扑等方式保障线路的可靠。工业设备通过数据驱动的预测性维护,提升使用的可靠性。重要设备使用双机热备份、虚拟化多冗余备份、冗余电源、UPS 等方式进一步提升设备的可靠性。重要工业系统应用软件使用多级备份、定时备份的方式,保障工业系统应用的可靠运行。
3.1.2 企业信息网络
(1) 功能
除了满足工业园区内企业用户的基本需求外,应充分考虑用户的体验及易用性,内网用户访问互联网及内网资源时,能够以最短的时间内获取,并且充分简化用户的接入认证过程。在访问互联网热点资源时,能够提升效率,并节省互联网出口带宽。在访问外部资源时,能优选负载更低、距离目标资源更近的出口链路。用户在互联网访问内网业务时,基于统一的客户端完成 VPN 拨号认证、应用推送、应用单点登陆,并实现信息安全保护。
对于外部用户访问门户等开放资源,由园区提供的智能DNS 服务,确保外部用户选择最合理的路径,快速访问此类资源,
— 14 —
提升园区的对外服务能力。
(2) 性能
园区企业网络的用户量庞大、业务应用逐渐丰富,对网络带宽的需求越来越高,需要在设备性能、带宽能力、接入用户能力、安全防护等多个方面考虑性能保障。
设备性能上,基于 CLOS 架构的骨干设备能够支撑更强大的交换能力,为高密度万兆、40G/100G 扩展提供支持。核心交换机、骨干路由器、数据中心核心设备(未来)均需要具备 100G 支持能力。
链路带宽上,有线网络骨干采用万兆互联、接入网络实现千兆到桌面的设计方案。
(3) 安全
园区企业网络的安全防护不应是孤立的设备堆砌,而应建系统级安全防护体系。在此体系中,用户、计算机终端、网络设备、安全设备、安全管理中心应充分协同,在安全事件出现前极力规避、预警,出现时能够及时发现,并具备能够依据事先定制好的应急方法进行自动化处理的能力,最后还需要输出完整的安全防护日志报表,供管理人员查看、分析并进行策略调整。
(4) 可靠性
园区企业网络建设对设备的可靠性要求很高,因此,必须 从设备自身和网络架构角度确保网络系统的稳定性,并且对于 安全防护也需要考虑一定的可靠性保障,防止安全防护导致的 可靠性降低。设备角度,核心层设备可采用多级交换架构设备,
— 15 —
利用引擎、交换矩阵关键部件的分离提高物理可靠性;架构方面,两台物理设备利用智能虚拟化或者堆叠技术提高故障的切换速度。
(5) 管理运维
园区网络的整体运行状态应该在一个视图内完整呈现,不仅局限在拓扑的发现、事件告警,还应观察到具体事件的处理进程,以及最终是否完成闭环操作。
网络运行中为各个业务系统提供了多少带宽,产生多少流量,由哪些用户的访问产生这些流量,都应能够测量并通过图形化方式展现。
网络需要具备感知用户的能力,而不仅仅是关注在 IP 地址、VLAN 规划的管理。在新一代园区网中,对用户的带宽管理、安全控制、行为审计,应基于用户或者账户名开展,才更能简化 园区网管理运维。并且在移动办公应用中,区分用户进行能否 访问应用的授权。
3.1.3 园区公共服务网络
(1) 功能
除了满足企业内各系统互连的基本需求,还应充分考虑各 企业之间互连的诉求,如企业通过公共服务网络访问互联网及 公有云,行业云资源时,能够以最短的时间内获取,并且充分 简化用户的认证过程。在访问公有云资源时,能优选负载更低、距离目标资源更近的出口的 POP 点。
外部用户访问各企业门户等开放资源,园区公共服务网可
— 16 —
以提供快速路由服务,确保网络用最合理的路径,快速访问到目标企业的资源或者园区公共资源,提升整个园区的对外服务能力。
(2) 性能
大型园区企业众多,业务应用丰富,对网络带宽的需求越来越高,需要在设备性能、带宽能力、接入用户能力、安全防护等多个方面考虑性能保障。
鉴于园区公共服务网络本质上是园区内骨干网,因此设备性能上,基于 CLOS 架构的骨干设备为基本诉求,设备必须可提供为高密度万兆接口,并具备 40G/100G 扩展能力。
链路带宽上,有线网络骨干采用万兆甚至 100GE 互联、接入各企业侧需要采用千兆或者万兆互连。
(3) 安全
园区公共服务网络承担着园区内所有企业之间互联互通以 及部分企业公网出口的任务,因此园区公共服务网络的安全极 为重要。园区公共服务网络安全防护不应是孤立的设备堆砌, 应该在整个园区协同各企业,构建 E2E 安全防护体系。在此体系中,园区公共服务网络,各企业网络,使用者、计算机终端、网络设备、安全设备、安全管理中心应充分协同,在出现安选 时间之前可以预警,并能快速隔离受影响网络,避免安全威胁 扩散到其他企业中。最后还需要输出完整的安全防护日志报表, 制定相应策略并通告园区内进驻的各企业。
(4) 可靠性
园区公共服务网络本质为园区骨干网,因此可靠性要求很
— 17 —
高。一旦网络系统运行不正常或者出现故障中断将直接导致整个园区业务中断,因此,必须从设备自身和网络架构角度确保网络系统的稳定性,并且对于安全防护也需要考虑一定的可靠性保障,防止安全防护导致的可靠性降低。可靠性度量指标包括:MTTR、MTBF 和可用度。尽量减少 MTTR 和 MTBF,增加系统可用度,园区公共服务网络可靠性包括一系列技术。它主要涉及到系统及硬件可靠性设计方法、软件可靠性设计方法、可靠性测试验证方法和网络可靠性设计。
基于以上考虑,园区公共服务网络组网原则包括:分层组网、冗余技术和负载分担技术。
分层组网:基于规模,可将网络分为核心层,汇聚层, 边缘层。企业信息网络接入园区公共服务网络时采用冗 余备份设置,分别与园区公共服务网络边缘节点相连。 园区公共网络汇聚层设备双归到上层单点多设备或多点。汇聚层与核心层设备可以视情况合理设置。核心层设备 采用全互连或半互连,大流量两点一条可达,避免使用 多极互连。
同层内尽量多互连,单点考虑多设备。
下层双归或是多归到上层多个设备的单点上或是多点上。 局部根据业务流量情况适当调整。
(5) 管理运维
园区公共服务网络的整体运行状态应该在一个视图内进行完整呈现,不仅局限在拓扑的发现、事件告警,还应观察到具体事件的处理进程,以及最终是否完成闭环操作。
— 18 —
园区公共服务网络关注的重点应该是各进驻企业的互连带宽,各企业出口使用多少流量等SLA,要可以提供相应报表给各进驻企业,以明确园区公共服务网络提供的 SLA。
园区公共服务网络需要具备感知企业业务的能力。新一代园区公共服务网,应具备接管各企业内用户带宽管理、安全控制、行为审计的能力,以在企业内部网络出现重大灾难时作为备份接管业务,支撑生产的无中断。同时,需要提供企业内部网络及业务向园区公共服务网络迁移的方案及设计。
3.1.4 云基础设施
和传统中心机房的管理不同,数据中心建设有强大的管理 系统,通过应用层和控制器的协同,对转发层进行自动化管理, 快速发放各种业务。
图 6 数据中心架构
新一代的管理系统通过引入 AI,能够最大程度的实现管理
— 19 —
和故障定位的自动化。管理系统通过大数据引擎,采集网络中的全方位信息;通过基于 AI 的分析器,对网络故障进行实时定位。
(1) 性能
数据中心网络是整个园区网络中对性能要求最高的一个部分。通常通过采购专门的数据中心交换机,实现性能、功能和成本的平衡。
数据中心网络不同部分的业务流特性和园区网络其它部分不一致,对网络的其他性能指标也会有要求。例如:
HPC 等业务对网络的时延和丢包等要求有极高的要求, 需要数据中心交换机提供低时延网络等能力。 视频传输类业务,链路始终处于连续的高负载状态,这种场景下,端口的突发缓冲能力会极大的影响网络的性能,需要采用专用的大 Buffer 交换机。
(2) 可靠性
数据中心要求高可靠性。通过组网(冗余备份,胖树)等提供拓扑高可靠,通过网络虚拟化提供组网和业务高可靠以及通过多数据中心备份提供备份和容灾。
2.2 园区网络组网实现
3.2.1 传统三层架构网络
传统的三层架构网络基于标准的以太网交换机,整体拓扑简单,建设成本相对较低,支持的业务也比较简单。同时,因为没有针对网络维护进行优化,传统组网的可维护性较差。因
— 20 —
此,传统三层架构网络主要适合业务场景相对简单的场景,包括以下几种场景:
适合业务简单,不需要经常变更网络配置的私有园区网络;
规模较小的工业园区;
仅向租户提供基础互联业务的大型工业园区。
3.2.1.1 三层组网架构
传统上,网络被分为三层:接入层,汇聚层和核心层。 接入层
接入层是用户/终端接入网络的第一层。接入层通常由接入交换机组成,通常是简单的二层交换机。如果存在无线终端设备,接入层还会有AP 设备,AP 设备通过接入交换机接入网络。接入交换机需要部署丰富的二层特性,以及安全、可靠性等相关特性。另外,接入交换机还需要具有高端口密度的特性,以支持更多的终端接入园区网络。
汇聚层
汇聚层是接入层与核心骨干之间的分界线,主要用于转发 用户间的“横向”流量,同时提供到核心层的“纵向”流量。 汇聚层作为部门或区域内部的交换核心,实现与部门或区域专 用服务器区的连接。汇聚交换机在网络中通常承担三层接入网 关以及网络策略控制的任务,对于引入了安全认证的园区网络, 汇聚交换机同时也会作为认证控制点和策略执行点。汇聚交换 机需要具有高带宽、高端口密度、高转发性能等特点,用于支
— 21 —
撑该汇聚层下各业务部门之间的流量。
核心层
核心层是园区数据交换的核心,连接园区网络的各个组成部分,如数据中心、汇聚层、出口区等。核心层负责整个园区网络的高速互联。为了实现网络带宽的高利用率和网络故障的快速收敛,通常需要部署高性能的核心交换机,核心层对大规模的园区来说是必需的。针对无线网络,核心层还需要部署接入控制点(AC)。AC 作为无线的三层网络设备,提供三层路由交换功能。
图 7 三层(核心、汇聚、接入)架构 + 传统 VPN
对于较小型的园区网络,可能不设置独立的核心层,由汇聚层设备承担核心层功能,合称为核心汇聚层。 3.2.1.2 传统 VPN 实现网络隔离
园区中不同的企业间的网络必须完全隔离,同一企业内部
— 22 —
不同部门的网络往往也需要隔离;通过业务隔离,不同的业务部署之间可以相互独立,从而降低管理复杂度。例如:视频监控网络可以独立为一张视频监控虚拟网,视频监控负责人可以独立管理自己的设备和网络,视频设备的扩容调整无需和网络管理服务人进行协调。
传统三层组网采用传统的VPN 技术,常见的 VPN 技术包括: VLAN VPN BGP MPLS VPN
3.2.2 大二层架构网络
在移动化和新的业务需求的驱动下,传统网架构逐渐暴露出 “僵化”和“复杂”的问题。如 IP,VLAN 等往往与物理位置紧耦合,导致用户难以大范围移动,策略无法自动跟随。网络运维工作量巨大,网管人员 80%-90%的时间都陷在网络运维的泥潭里不能自拔。
为了克服传统三层架构网络业务承载能力弱,配置管理复杂,自动化程度有限的缺点,基于大二层,SDN 化的新一代园区架构被提出来,其最基本的特征是柔性和极简。
“柔性”一方面指网络架构本身非常灵活,业务部署(可以做到与位置无关;另一方面指网络架构本身开放可编程。
“极简”指网络管理大幅简化, SDN 新园区架构的目标是消灭命令行,采用 SDN 控制器全面管理网络。 3.2.2.1 适用场景
大二层园区网络采用 VxLAN/EVPN 的 overlay 架构,在这种
— 23 —
灵活架构之上,业务与网段可以对应,用户和 IP 可以绑定,策略部署可以极大简化,无线业务得到优化,服务链得以轻松部署,完全满足了移动化条件的诉求;管控面引入控制器,解决了传统网络管理复杂的难题,实现软件定义园区网的目标,最终达到部署随心、接入随意、业务随行的效果。综上,大二层园区网络适用于以下部署场景:
一张物理网需要安全承载多种业务 业务对网络灵活性有较高要求 有线无线一体化 多园区统一组网 海量物联设备安全纳管
3.2.2.2 大二层网络架构
图 8 大二层网络架构
如图 8 所示, 大二层架构网络的标准模型采用接入 (access)/汇聚(leaf)/核心(spine)三层结构,基于 SDN VXLAN 技术,逻辑上核心层(spine)设备作为三层 VXLAN 网关, 汇聚层(leaf)设备作为二层 VXLAN 网关,接入层(access) 设备仅仅完成用户接入和简单的 VLAN 隔离能力。
— 24 —
在汇聚(leaf)和核心(spine)设备之间构建一个大二层网络。在leaf 层以上采用基于VXLAN 的overlay 技术,leaf 层以下采用传统 VLAN 技术,在 leaf 上进行 VLAN—VXLAN 的映射, 在 access 及 leaf 上配置 VLAN,实现每用户一个 VLAN,用户之间相互隔离。
出口可以部署专门的 wan border leaf 角色和外网进行对接,实现 VXLAN 域和外网的路由互通。
网络的控制平面采用了 EVPN(Ethernet VPN)技术,通过BGP 协议来实现园区网内用户终端的 ARP/MAC 信息的同步/扩散; 同时在汇聚层设备支持 ARP 代答机制,有效抑制 ARP 广播;
网络的转发平面采用了基于 VXLAN 的 overlay 转发(隧道转发)。封装和解封装节点称为 VTEP(Virtual Tunnel End Point,虚拟隧道端点),这些节点完成普通报文到 VXLAN 的封装(上行)和解封装(下行),外层转发是标准的 IP 转发,容易为熟悉 IP 的人们理解和掌握,这也是 VXLAN 技术在众多overlay 技术中能胜出的关键。
总的来看,大二层园区网络既能做到本地 L3 转发,最大限度地释放交换机的大带宽交换能力,又能限定广播域到极小的范围,避免广播风暴。同时整个网络架构又是一个大二层扁平化结构,非常好地解决了用户移动办公带来的体验/策略难以跟随的挑战和困难,是一种非常灵活/弹性的新一代网络架构,也是传统网络难以具备的。
基于大二层技术实现业务解耦、策略随行。所谓业务解耦, 指用户移动到哪里,用户的体验不变;不需要管理员实施复杂
— 25 —
的配置策略,用户移动,自动感知获取相应的权限,即策略随行。策略随行的核心就是“名址绑定”,名址绑定就是用户名和 IP/MAC 地址一一对应。 3.2.2.3 大二层业务隔离
图 9 基于 overlay 的逻辑网络
整网采用 VXLAN overlay 的技术,实现基于业务的网络切片,为每个专用业务分配一个逻辑网络,且具备跨区域的通道隔离能力,相比 MPLS 的隔离方式,SDN VXLAN 的隔离只需要在端点(VTEP)做隔离,不需要全网隔离,端点之间只需要 IP 可达。
提供两种隔离方式,一是类似 MPLS 的 VRF 隔离,每个用户组在VTEP 节点分配不同的VRF,VRF 之间在路由层面实现隔离。
— 26 —
二是 ACL 的隔离方式,不同用户组在接入之后获取的是不同 IP 网段,一条 ACL 就可以实现不同用户组之间的网络隔离。
图 10 大二层园区网络的业务隔离方式
3.2.2.4 基于 SDN 的网络架构
传统的方案存在网络僵化,难以满足用户移动需求,运维复杂,等问题。基于 SDN 的架构可对园区网中的移动用户和固定用户和各类终端进行识别,按照用户所属的用户组,或者终 端所代表的一类应用进行标记后下发策略;用户和终端可以不 受位置限制,部署可以随意、位置接入可以随意,但是最终获 取的网络资源和网络权限保持一致,最终达到网随人动的效果。
SDN 架构中管理员不需要逐台设备配置 VPN,只需在控制器的图形界面上配置“私网”及其“二层网络域”, 相关的网络配置会自动下发到所有的交换机;
终端上线后,根据认证自动进入其对应的逻辑网络; 同一私网内的业务可以互通,不同私网之间的业务完全隔离。通过组间访问控制,控制用户组和资源组以及不同用户组之间的访问权限。通过组内访问控制,控制各个用户之间以及用户服务 器互访。
— 27 —
对于移动地点的用户,因其所属用户组不变,其资源访问体验一致。对于访问部门服务器的用户,可以创建“相关的用户组及其关联的接入场景、安全组,保障用户访问体验一致。
总体说来,SDN 场景下,整网的核心是园区网控制器组件。所有对网络的自动化上线,接入管理,用户组/策略管理,业务 配置管理,网络运维管理全部在控制器上通过图形化界面完成。从而实现业务快速部署,网络可视运维。
3.2.3 无线网络架构
3.2.3.1 园区无线通信技术概述
园区内部对无线连接网络有强烈的需求,需求包括: 办公终端无线化。办公终端无线接入需要网络能够提供 高性能、高可靠、高安全和有服务质量保证的无线网络; 工业无线接入。生产过程中,大量终端需要无线接入网络。通常需要提供广泛覆盖的,高可靠,高安全的无线网络。
园区常用的无线通讯技术主要包括 5G 和Wi-Fi。Wi-Fi 6 和5G 是同一代的无线技术,两者共享很多基础技术,但面向的应用场景不同。
5G 网络是一种广域无线网络技术,通常由运营商承建,园区使用者从运营商处租用部分 5G 网络资源,构成覆盖园区的虚拟专网。园区无需关注 5G 网络的架构,仅需要了解自身的需求, 由运营商给出合适的虚拟专网解决方案。
Wi-Fi 是一种局域无线网络技术,通常由园区自行承建,自
— 28 —
行维护,供自己使用。
3.2.3.2 Wi-Fi 的 AC/AP 叠加式组网架构
AC/AP 叠加式组网架构是一种传统的组网方式,AP/AC 间通过 CAPWAP 隧道连接,可以叠加在任意有线网络上,适合:已有有线网络,新建无线网络的场景;也可用于对无线网络要求较低的场景。
对于小型网络,AC 和 FIT AP 可以部署在一个二层网络下, AC 和 FIT AP 在同一个广播域,AP 通过本地广播可以直接找到AC。此时,AC 和 FIT AP 之间的网络可部署专用回传网络。
对于大型网络,通常不会构建专用的 Wi-Fi 回传网络,而是借用有线网络回传。三层组网下,AC 和FIT AP 不在同一网段, 中间网络必须要保证 AP 和AC 路由可达, AC 和FIT AP 间会通过三层 CAPWAP 建立回传通道。图 12 为一个典型的大型网络的Wi-Fi 组网架构。
回传网络
回传网络本身是基于交换机的有线网络,可以是传统三层组网,也可以是大二层架构的网络。在构建有线网络时,我们需要考虑是否有无线回传的需求,需要预留出相应的资源,如VLAN 资源,IP 地址资源,VN 资源等。
构建回传网络时,需要考虑无线网络采用隧道转发模式还是直接转发模式。对于隧道转发模式,所有的控制都在 AC 上进行,回传网络需要保证所有 AP 和 AC 之间路由可达、带宽足够即可;对于直接转发模式,有线网络的网关和地址池设置需
— 29 —
要
— 30 —
考虑 Wi-Fi 接入的特点并进行针对性调整。
AC 部署
图 11 大型网络的 Wi-Fi 组网架构
理论上, AC 可以部署在网络的任意地方, 仅需要保证AP/AC 间路由可达。但是,AC 作为无线网络接入控制点、业务提供点、漫游控制点,在隧道转发模式下是转发核心节点,对连接的可靠性和性能要求非常高。因此,AC 通常会和网络中的核心交换机部署在一起,通过多条捆绑的链路旁挂在核心交换机上。
— 31 —
AP 部署
— 32 —
AP 按需部署在网络中,直接接入无线终端。对于企业级 AP, 为了保证可靠性,通常采用吸顶式的安装方式,AP 被固定在天花板上,从而降低外部各种因素对 AP 的影响。企业级的 AP 都支持 PoE 供电技术,因此需要接入交换机的 POE。
实际部署 AP 时,应该提前使用厂家提供的规划软件进行精细的规划;实际部署过程中,可能会出现 AP 部署位置偏离规划位置的情况,还需要使用厂商提供的验收工具对覆盖效果进行测量和验收。
在选择 Wi-Fi 供应商时,不能仅仅考虑系统的功能和性能, 还需要重点考察厂商的场景化解决方案提供能力,以及网络规 划和网络安装工具的完备性。
AC 热备
AC 一旦出现异常,会对网络造成极大的影响。通常建议部署 AC 热备方案。AC 热备方式及差异如表 2 所示。
表 2 三种备份方式比较
对比项 切换速度 VRRP 双机热备 主备切换速度快,对业务影响小。通过配置 VRRP 抢占时间, 相比于其他备份方式实现更快的切换。 双链路双机热备 AP 状态切换慢,需等待检测到CAPWAP 断链超时后才会切换,主备切换后终端不需要重新上线。 N+1 备份 AP 状态切换慢,需等待检测到CAPWAP 断链超时后才会切换,AP、终端均需要重新上 线,业务会出现短暂中断。 支持。 主备 AC 异地部署 适用范围 VRRP 协议是二层协议,不支持主备 AC 异地部署。 对可靠性要求高,且无须异地部署主备AC 的场景。 支持。 对可靠性要求高,且要求异地部署主备 AC 的场景。 对可靠性要求较低, 对成本控制要求较高的场景。 Navi AC
— 33 —
大型企业在部署无线网络时,在为内部员工提供接入服务的同时,通常还需要为访客用户提供无线接入。通过Navi AC 组网,如图 12 所示,企业可以将访客流量引导到安全的半信任区
(Demilitarized Zone,DMZ)的Navi AC 进行集中管理,从而达到内部员工接入和访客接入安全隔离。
图 12 NaviAC 典型组网
3.2.3.3 多网融合架构
多网融合架构性能高,WLAN 网络品质好,但是需要有线网络的配合。因此,适用于新建整个网络的场景,特别是对 WLAN 网络有较高品质要求的网络。
1) 多网融合架构提出的原因
传统 AC/AP 组网中,采用 AC 集中部署,集中转发的架构, Wi-Fi 网络通过 CAPWAP 隧道,承载在有线网络中。这种架构很
— 34 —
好的隔离了有线网络和无线网络,部署简单快速。但是,这种
— 35 —
架构下,所有的流量都要穿越整个网络到核心层的 AC 上进行汇聚和分发,存在着效率低下的问题,对 AC 造成巨大的压力。
尤其是在Wi-Fi 演进到 Wi-Fi 6 后,无线网络的性能和有线网络已经在一个水平线上,系统效率问题被放大。业界开始提出本地转发的系统架构,本地的用户数据报文直接进行转发。AC 简化为用户和 AP 接入管理,以及用户漫游流量的转发。本地转发部分解决了效率问题,但带来另外两个问题:
有线无线网络转发耦合:如: 门厅效应问题需要 IP Pool 进行解决。但是,本地转发引入后,这些问题被直接放到有线网络上,需要有线网络通过精细规划和配置进行解决。这给网络规划管理人员带来很大的压力; 有线无线网络控制分离:虽然有线流量和无线流量无差 异的跑在有线网络中,但业务控制点却有两个,有线的 交换机和无线的 AC,再叠加上隧道承载的漫游的无线流 量。这导致网络中几乎不可能部署任何业务策略。另外, 有线用户和无线用户分别在不同设备上进行接入控制和 管理,也给管理人员带来更多的压力。
基于以上考虑,业界提出了“有线无线融合”的解决方案,通过将 Wi-Fi 的 AC 特性融合进交换机,使得网络可以统一承载有线无线流量,再将 IOT 融合进来,形成多网融合架构。
2) 有线无线融合架构
通过将有线业务的管理控制点和无线网络的管理控制点进 行有机融合,使得单一设备能够同时接入管理有线和无线业务, 这种设备通常体现为交换机,内置了 Wi-Fi AC 特性,本文称之
— 36 —
为融合交换机。
基于融合交换机的 Wi-Fi 网络,AP 被和有线交换机一样进行管理,主要差异均被融合交换机所屏蔽。
基于融合交换机的解决方案同样有利于无线业务的简化。如 13 图所示,无线业务无需单独考虑高可靠解决方案,基于交换机成熟的可靠性技术(堆叠,链路聚合等等)天然具备高可靠能力。
图 13 基于融合交换机的有线无线融合解决方案
3) Wi-Fi 和 IOT 融合架构
传统的 IOT 网络部署时,多张 IOT 网络并行的部署在网络
— 37 —
中,分别承载不同的业务。例如:Zigbee 用于承载智能能效管理业务,RFID 用于承载资产管理业务,各种 IOT 网络有自己的网关和接入网络。主要存在以下问题:
成本高昂。 站点资源冲突。
频谱资源冲突,干扰严重。
为了解决这一问题,在网络中引入“无线锚点”的概念,无线锚点统一提供安装点位、电源和回传资源,统一协调各种无线技术,实现多网融合。Wi-Fi AP 是提供“无线锚点”特性的最合适载体,原因如下:
Wi-Fi AP 的尺寸,供电能力和回传带宽适合作为“无线锚点”。相对于 IOT 基站,Wi-Fi AP 具备很强的供电、回传能力,本身的尺寸也适合让微型的 IOT 基站嵌入; Wi-Fi AP 的发射功率远超其它 IOT 设备,由 Wi-Fi 主动协调各种无线技术更为有效;
Wi-Fi 提供厂商一般规模更大,有能力整合部分 IOT 设备。
目前主流的 Wi-Fi /IOT 融合方案包含两种:
外置融合方案。Wi-Fi AP 提供供电和回传接口,IOT 设备旁挂 AP,使用 AP 提供的供电和回传资源;
内置融合方案。Wi-Fi AP 提供内置插槽,IOT 设备以内置插卡的形式存在,使用 AP 提供的供电和回传资源。 综合刊内置融合方案更优,因为:
电磁兼容性好。IOT 插卡的设计严格受限,天线位置确
— 38 —
定,且可以和锚点AP 设备联动,实现干扰避免,消除冲突;
安装友好。仅仅需要一个安装点位,一次安装,简单快捷。
问题处理简单。内置方案有锚点设备提供方提前进行方案集成,发生问题,锚点设备提供商会主导问题分析和解决,避免 AP 与IOT 厂家扯皮。
4) 多网融合架构和基础网络
多网融合架构中,基础网络通过虚拟网络为不同的业务提供回传服务。例如:为 Zigbee 承载的智能能效管理业务,RFID 承载的资产管理业务以及视频回传业务等,分别创建不同的虚拟网络。
对于传统三层架构网络,通常使用 VLAN VPN 进行构建。针对不同的业务,规划不同的业务 VLAN,全网部署VLAN VPN,实现业务隔离和回传。
对于大二层架构网络,可以直接使用 VN 承载不同的业务。通过 SDN 控制器,自动化部署 VN,实现业务隔离和业务回传。
— 39 —
3.3 园区网络业务部署
图 14 园区网络业务部署
如图 14 所示,园区网络中通常存在一个网络管理平台。该平台本身承担业务部署的功能,同时作为业务底座。
网络管理平台通常是一个云化平台,部署在园区数据中心里。基于该底座的各业务平台(模块)通常也部署在园区数据中心。
3.3.1 园区网络主要业务
园区的业务包含基础服务类业务和生产力类业务两大类。1)基础服务类业务
基础服务类业务主要指直接服务于园区用户的基础服务和网络基础服务。一般包括:
网络管理和维护类:对网络本身的运营状态进行管理, 对网络故障进行快速定位恢复;
网络运营类:对多租户服务提供支持,分别服务于不同的租户企业。
园区服务类:典型如:视频监控网络,能耗管理网络等。
— 40 —
每种服务需要独立的物理/逻辑网络承载,需要独立的进行管理维护。 2)生产力类业务
生产力类业务直接服务于企业的各业务流程,包括网络业务类,安全业务类,通讯类等:
网络业务类:针对园区企业内部的各种组织和组织的通讯需要,通过合理的组织网络,给予支持。一般包括各种子网配置管理、VPN 配置、远程接入等;
安全业务类:一般包括基本的防火墙和高级的 APT 防护。防火墙的部署一般放在不同的安全区域的边界处。例如: 接入网络和数据中心网络交界处。 APT 防护通常包含三部分:探针散布在网络的各设备中,分析器和其他服务 器共同部署在企业数据中心中,流量清洗设备部署在网 络核心层。
通讯类:通讯类业务一般包含语音电话,视频通话,视频会议,视频直播等多种业务,对网络服务质量有较高要求。一般需要部署通讯服务器,通讯网关,CDN 网关等设备。
3.3.2 分层业务部署
1) 三层部署架构
一般来说,业务部署采用三层架构。网络中有三处位置通常被用来部署业务类服务器或者探针,从而实现业务部署。
数据中心或者中心机房。很多的业务服务器需要提供复杂
— 41 —
的业务逻辑或者需要高性能的通用计算能力,这类业务服务器通常基于通用的计算平台。
网关,一般是核心交换机,由于几乎所有的南北向流量都会经过核心交换机,因此,核心交换机是另一个适合的业务服务器部署点。
接入层网络设备。接入层网络设备适合用来部署探针,从而在网络边缘对流量进行识别与控制。新兴的基于 AI 的各种业务服务需要大数据的支持,需要接入层网络设备支持Telemetry 能力,从而能够最大程度的提供原始流量信息。
2) 业务服务器虚拟化
三层部署架构下,需要根据业务服务器部署情况,对网络进行配置,将业务引导到相应的业务服务器上。这就意味着, 业务的部署和网络耦合在一起,不利于业务的快速部署和快速调整。
对于实现了大二层架构的网络,使用虚拟化技术,结合SDN 集中控制的思路,可以实现业务的灵活和快速部署。这就需要引入业务服务器虚拟化的概念,包括业务服务器云化和业务服务器池化。
业务服务器云化
基于通用计算平台架构的业务服务器适合云化,云化后, 业务服务器被部署在园区内部数据中心的私有云或者外部公有云上。云化服务器包括两种方式:基于虚拟机的云化和基于微服务的云化。
基于虚拟机的云化对业务服务器的改造较少。业务服务器
— 42 —
直接运行在虚拟机中,通过虚拟机的动态创建或者删除,实现服务器的弹性扩展。
微服务化对业务服务器的改造相对较大,但虚拟化效果更 好。业务服务器呈现为多个微服务,运行在网络云操作系统中, 可以实现更精细的负载调整和弹性扩展。
业务服务器池化
使用专用硬件平台业务服务器,需要通过虚拟化技术,降低部署的复杂度和对网络架构的影响。池化技术可以实现业务自动部署和动态调用。
基于业务链技术,业务可以动态连接到服务器资源池中, 按需分配资源。业务链的创建和撤销由 Controller 动态管理, 在 VN 的层面上进行配置和实施,无需人为干涉。
3.3.3 管理和维护
管理和维护是网络运行过程中最为复杂的环节。传统上, 网络管理人员必须依靠人力和经验对网络进行维护,所能依赖的,只有厂商提供的纸质或者电子的故障排除手册以及基于SNMP 的网管。
随着云计算的普及,运维工作开始逐步变化。云化的管理平台存储、运算能力极大提升,成本极大降低。能够在有限的成本下提供近乎无限的存储和计算扩展能力。因此,基于云计算平台的管理运维系统快速抛弃了信息采集能力有限的 MIB 和SNMP,转向基于 Telemetry 的大数据采集技术。
AI 技术逐步成熟。云化管理运维系统拥有网络大数据后,
— 43 —
再结合数据驱动的 AI 技术,可以实现故障的自动定位。从前依靠经验猜测的故障定位过程变成基于大数据的人工智能故障定位。再结合知识库,可以提供易于操作的恢复指导,甚至能够实现网络自愈。
— 44 —
因篇幅问题不能全部显示,请点此查看更多更全内容