本文摘要

互聯網園區辦公網絡是大家耳熟能詳的應用場景，但隨著互聯網公司業務的發展，近幾年的需求變化給網絡帶來了新的機遇和挑戰，本文從互聯網園區辦公的業務挑戰出發，分析了業務變化下對網絡提出的新要求，基于這些需求探討如何構建全新的園區網絡。希望可以通過本文給讀者明晰建設園區辦公網絡的關鍵點和提供建議。

業務變化下的新挑戰

隨著互聯網公司業務的發展，越來越多的業務融入辦公場景之中，除了傳統的OA辦公業務外，產品開發、測試、客服等業務也需要辦公網絡的統一承載。它變得更像是一張生產網，任何一個模塊出現問題都會影響整個公司業務的正常運行。

除了網絡穩定性以外，還要為員工提供更好的辦公體驗，提升工作效率。營造好體驗的網絡環境需要關注兩點，一個是基于Wi-Fi技術的無線辦公體驗，另一個則是支持IPv6業務開發、測試的網絡能力。Wi-Fi技術的不斷成熟驅使無線辦公成為常態，越來越多的辦公終端、業務終端都依靠無線來接入網絡，因此對無線的可靠性和體驗提出了更高的要求；另外，近兩年來國家開始致力于推動IPv6的落地建設，一些互聯網公司也陸續在數據中心部署IPv6。可能有人會問在辦公網內是否有必要部署IPv6呢？實際是非常必要的，因為IPv6業務應用的開發和驗證，都需要辦公網提供IPv6能力來支撐。

前面我們提到了在辦公網中需要實現多業務，對于網絡的安全性也提出了更高的要求。特別是隨著物聯網技術的興起，大量無線終端（比如啞終端、IoT智能終端等）接入到網絡中。萬物互聯的時代下，構建在網絡穩定和優質體驗之上的其實是安全，正所謂“網絡千萬條，安全第一條；用網不規范，運維兩行淚”。

綜上提到的幾點是因為業務的變化而驅使網絡的革新，但是從網絡自身角度，其運維的方式也需要積極改變，實現更多主動運維和可視化運維的能力，特別是無線網絡。無線傳輸看不見摸不著，終端多且密集，體驗無法感知，出現問題后優化效果不明顯仍舊遭到投訴，運維叫苦連天。因此我們需要用統一的、可視化的運維手段來輔助技術人員便捷、輕松地管理無線網絡。

▲ 圖1-1 變化多端的業務需求

新挑戰造就新機遇

針對上文提到的業務變化，回歸到網絡本身，如何更好地支撐持續增長的多樣化業務需要我們思考。在給出具體方案建議之前，我們先分析一下業務給網絡提出了哪些具體要求。

1網絡架構可靠

多業務承載的場景下，業務的不間斷運營是需要網絡支撐的最基本需求，特別是生產業務。因此在架構設計上要保證網絡的冗余可靠性，規避因單點故障（設備、鏈路等）所帶來的風險。

2網絡極致體驗

目標是致力于為業務提供優質的網絡環境，對關鍵應用的體驗做優先保障。另外隨著無線的技術發展，未來終端演進到Wi-Fi 6是一個必然趨勢。在高并發場景下確實需要利用Wi-Fi 6技術的紅利提升高密場景下的無線體驗，比如更快的接入速率、更高的轉發效率以及更強的抗干擾能力。此外對于IPv6的支持，無論是國家政策驅動還是內部測試環境需要，都需要網絡層面加以支撐。

3網絡強安全

萬物互聯的時代，終端類型和規模越來越多，對于終端的合法檢測以及接入管控是重中之重。傳統的認證客戶端雖然可以做到一些終端檢測，比如檢測防火墻是否開啟，系統是否更新到最新版本等，但落地執行時經常受到使用者的抵觸，比如不會安裝或不愿安裝客戶端等原因。因此不僅需要一個更加輕量化的方式對終端進行安全合法檢查，讓用戶更容易接受。同時，這個方式還要滿足新網絡安全法中提到的要求：“采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月”。

4網絡易運維

網絡的運維優化是亙古不變的難題，特別是無線網絡，終端漫游、粘滯遠端關聯等問題時常發生。確實需要有一個技術手段幫助運維人員清晰地看到無線體驗狀態情況，并給出針對性的優化建議。

天羅地網，牢不可破

面臨當下的挑戰，銳捷網絡園區辦公解決方案通過交換機及無線虛擬化技術構建穩定可靠的網絡架構，承載多種多樣的業務需求；通過IPv6和Wi-Fi 6的部署為員工提供優質的辦公體驗。同時為了確保企業各層面信息的安全，方案從終端入網檢測到最后的權限分配提供了全周期的安全防線。為了更加便捷的管理無線網絡，部署WIS智能平臺實現無線的體驗可視化和智能優化。

▲圖3-1 園區辦公網絡解決方案架構

下面我們一起看下這張“天羅地網”具體是如何“編織”的。

● 構建穩定可靠的組網架構：

互聯網多出口冗余：通過部署多臺出口設備實現主備冗余切換。利用RNS（Ruijie Network Service）技術檢測外網鏈路，如果出現故障，會聯動出口設備VRRP（Virtual Router Redundancy Protocol）協議的快速切換。

網絡骨干高可靠：交換設備部署VSU（Virtual Switching Unit）虛擬化技術提高可靠性。對外提供統一IP，簡化管理；鏈路聚合技術，無需配置STP（Spanning-Tree Protocol）等防環協議，邏輯拓撲簡單；故障時毫秒級主備切換，冗余可靠。

無線網絡高冗余：配置VAC（Virtual-AC）虛擬化，相較于熱備的部署方式可以節省一半無線AP的授權；AC平滑擴容，成員AC宕機不影響業務連續性，鞏固了無線網絡的健壯性。

● 優化員工辦公的極致體驗：

針對關鍵業務設置保底帶寬，防止資源搶占，閑時帶寬可靈活租用，忙時返還。

部署Wi-Fi 6，提升無線體驗

1)    速率提升：1024-QAM技術每星座點可攜帶更多的數據，直接提升信息量；縮短GI開銷，提高數據信息的時間占比。

2)   效率提升：OFDMA（Orthogonal Frequency Division Multiple Access）正交頻分多址使同一信道內可傳輸不同的RU數據，提升傳輸效率；相較于Wi-Fi 5增加了上行MU-MIMO技術，提升多用戶能力。

3)   抗干擾加強：通過動態CCA門限區分OBSS與MYBSS，在微弱干擾下仍舊可以發送數據。

構建IPv6網絡，支撐研發、測試場景

1)   簡單的地址規劃：SLAAC（Stateless address autoconfiguration）無狀態地址自動獲取方式，通過RA報文通告網絡前綴，結合EUI-64可以自動生成IPv6地址；通過Option擴展字段攜帶DNS Server地址，讓終端獲取到更多信息，使地址規劃變得簡單清晰。

2)   安全策略加強：部署以SAVI（Source Address Validation Improvements）為核心的安全策略，可以防止IPv6在接入層面的攻擊，做到全面的雙棧安全。

● 打造全面立體的安全防護：

構建四道安全防線，對終端進行全過程的安全防護。

▲ 圖3-2 四道安全防線

1)   終端審批防線：支持多種協議（DHCP指紋等）實現終端自動發現，基于云端特征庫精準識別終端類型，通過預設策略實現自動或手動審批入網，非法終端直接禁止接入網絡。

▲圖3-3 終端審批

2)   終端合規防線：用瀏覽器護航插件代替客戶端部署，讓使用者更加容易接受，落地更簡單。護航插件對終端進行合規性檢查，比如是否安裝殺毒軟件，是否升級到最新系統補丁等。通過合規檢測后方可進入下一道防線。

▲圖3-4 護航插件檢測

3)   實名認證防線：第三條防線會對身份進行實名認證，支持802.1X、Portal、微信、短信、二維碼等多種認證方式，滿足不同角色人群選擇。

4)   網絡訪問權限：通過實名認證后，管理平臺會根據人員身份分配對應的網絡權限，通過動態VLAN的方式讓其獲取到對應權限的IP網段，實現權限對應身份。而且支持標準協議，跨品牌設備兼容無憂。

部署日志系統平臺，集中存放NAT及URL等日志，滿足新網絡安全法實現運營合規。

▲圖3-5 日志系統

● 實現管理人員的輕松運維：

部署WIS（Wireless Intelligent Servic）無線智能服務平臺，實現無線運維的可視化、智能化

1)   體驗可視化：可以將終端的無線使用體驗從不同維度量化呈現，包括速率、時延、丟包等，協助運維人員更加清晰地掌握終端的體驗情況。

2)   智能分析：基于后端大數據分析能力結合終端側反饋的信息，分析體驗差的原因，比如漫游粘滯、遠端關聯等，并給出優化建議，協助運維人員了解無線優化方式。

3)   報表呈現：可以基于日、周、月的體驗數據，包括故障情況等，以圖表形式量化運維團隊的工作和成效。

▲圖3-6 WIS平臺

探索與實踐

銳捷網絡園區辦公解決方案從組網架構、用戶體驗、安全防護以及運維管理四個方面構建了一張穩定、好用、安全，便捷運維的企業園區辦公網絡，更好地支撐業務穩定運行。

▲圖4-1方案價值點總結

與此同時，我們也在不斷打磨和精進方案，希望未來可以更好地為客戶提供服務與支撐，也歡迎各位多多提出寶貴的建議。

相關推薦：

• 坐在云端管網絡
• 基于Rogue AP反制的無線安全技術探討
• 居安思危，主動革新 ——淺析園區辦公網絡的建設
• 坐在云端管網絡
• 基于Rogue AP反制的無線安全技術探討
• 居安思危，主動革新 ——淺析園區辦公網絡的建設