本文摘要

互联网园区办公网络是大家耳熟能详的应用场景，但随着互联网公司业务的发展，近几年的需求变化给网络带来了新的机遇和挑战，本文从互联网园区办公的业务挑战出发，分析了业务变化下对网络提出的新要求，基于这些需求探讨如何构建全新的园区网络。希望可以通过本文给读者明晰建设园区办公网络的关键点和提供建议。

业务变化下的新挑战

随着互联网公司业务的发展，越来越多的业务融入办公场景之中，除了传统的OA办公业务外，产品开发、测试、客服等业务也需要办公网络的统一承载。它变得更像是一张生产网，任何一个模块出现问题都会影响整个公司业务的正常运行。

除了网络稳定性以外，还要为员工提供更好的办公体验，提升工作效率。营造好体验的网络环境需要关注两点，一个是基于Wi-Fi技术的无线办公体验，另一个则是支持IPv6业务开发、测试的网络能力。Wi-Fi技术的不断成熟驱使无线办公成为常态，越来越多的办公终端、业务终端都依靠无线来接入网络，因此对无线的可靠性和体验提出了更高的要求；另外，近两年来国家开始致力于推动IPv6的落地建设，一些互联网公司也陆续在数据中心部署IPv6。可能有人会问在办公网内是否有必要部署IPv6呢？实际是非常必要的，因为IPv6业务应用的开发和验证，都需要办公网提供IPv6能力来支撑。

前面我们提到了在办公网中需要实现多业务，对于网络的安全性也提出了更高的要求。特别是随着物联网技术的兴起，大量无线终端（比如哑终端、IoT智能终端等）接入到网络中。万物互联的时代下，构建在网络稳定和优质体验之上的其实是安全，正所谓“网络千万条，安全第一条；用网不规范，运维两行泪”。

综上提到的几点是因为业务的变化而驱使网络的革新，但是从网络自身角度，其运维的方式也需要积极改变，实现更多主动运维和可视化运维的能力，特别是无线网络。无线传输看不见摸不着，终端多且密集，体验无法感知，出现问题后优化效果不明显仍旧遭到投诉，运维叫苦连天。因此我们需要用统一的、可视化的运维手段来辅助技术人员便捷、轻松地管理无线网络。

▲ 图1-1 变化多端的业务需求

新挑战造就新机遇

针对上文提到的业务变化，回归到网络本身，如何更好地支撑持续增长的多样化业务需要我们思考。在给出具体方案建议之前，我们先分析一下业务给网络提出了哪些具体要求。

1网络架构可靠

多业务承载的场景下，业务的不间断运营是需要网络支撑的最基本需求，特别是生产业务。因此在架构设计上要保证网络的冗余可靠性，规避因单点故障（设备、链路等）所带来的风险。

2网络极致体验

目标是致力于为业务提供优质的网络环境，对关键应用的体验做优先保障。另外随着无线的技术发展，未来终端演进到Wi-Fi 6是一个必然趋势。在高并发场景下确实需要利用Wi-Fi 6技术的红利提升高密场景下的无线体验，比如更快的接入速率、更高的转发效率以及更强的抗干扰能力。此外对于IPv6的支持，无论是国家政策驱动还是内部测试环境需要，都需要网络层面加以支撑。

3网络强安全

万物互联的时代，终端类型和规模越来越多，对于终端的合法检测以及接入管控是重中之重。传统的认证客户端虽然可以做到一些终端检测，比如检测防火墙是否开启，系统是否更新到最新版本等，但落地执行时经常受到使用者的抵触，比如不会安装或不愿安装客户端等原因。因此不仅需要一个更加轻量化的方式对终端进行安全合法检查，让用户更容易接受。同时，这个方式还要满足新网络安全法中提到的要求：“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”。

4网络易运维

网络的运维优化是亘古不变的难题，特别是无线网络，终端漫游、粘滞远端关联等问题时常发生。确实需要有一个技术手段帮助运维人员清晰地看到无线体验状态情况，并给出针对性的优化建议。

天罗地网，牢不可破

面临当下的挑战，尊龙时凯网络园区办公解决方案通过交换机及无线虚拟化技术构建稳定可靠的网络架构，承载多种多样的业务需求；通过IPv6和Wi-Fi 6的部署为员工提供优质的办公体验。同时为了确保企业各层面信息的安全，方案从终端入网检测到最后的权限分配提供了全周期的安全防线。为了更加便捷的管理无线网络，部署WIS智能平台实现无线的体验可视化和智能优化。

▲图3-1 园区办公网络解决方案架构

下面我们一起看下这张“天罗地网”具体是如何“编织”的。

● 构建稳定可靠的组网架构：

互联网多出口冗余：通过部署多台出口设备实现主备冗余切换。利用RNS（Ruijie Network Service）技术检测外网链路，如果出现故障，会联动出口设备VRRP（Virtual Router Redundancy Protocol）协议的快速切换。

网络骨干高可靠：交换设备部署VSU（Virtual Switching Unit）虚拟化技术提高可靠性。对外提供统一IP，简化管理；链路聚合技术，无需配置STP（Spanning-Tree Protocol）等防环协议，逻辑拓扑简单；故障时毫秒级主备切换，冗余可靠。

无线网络高冗余：配置VAC（Virtual-AC）虚拟化，相较于热备的部署方式可以节省一半无线AP的授权；AC平滑扩容，成员AC宕机不影响业务连续性，巩固了无线网络的健壮性。

● 优化员工办公的极致体验：

针对关键业务设置保底带宽，防止资源抢占，闲时带宽可灵活租用，忙时返还。

部署Wi-Fi 6，提升无线体验

1)    速率提升：1024-QAM技术每星座点可携带更多的数据，直接提升信息量；缩短GI开销，提高数据信息的时间占比。

2)   效率提升：OFDMA（Orthogonal Frequency Division Multiple Access）正交频分多址使同一信道内可传输不同的RU数据，提升传输效率；相较于Wi-Fi 5增加了上行MU-MIMO技术，提升多用户能力。

3)   抗干扰加强：通过动态CCA门限区分OBSS与MYBSS，在微弱干扰下仍旧可以发送数据。

构建IPv6网络，支撑研发、测试场景

1)   简单的地址规划：SLAAC（Stateless address autoconfiguration）无状态地址自动获取方式，通过RA报文通告网络前缀，结合EUI-64可以自动生成IPv6地址；通过Option扩展字段携带DNS Server地址，让终端获取到更多信息，使地址规划变得简单清晰。

2)   安全策略加强：部署以SAVI（Source Address Validation Improvements）为核心的安全策略，可以防止IPv6在接入层面的攻击，做到全面的双栈安全。

● 打造全面立体的安全防护：

构建四道安全防线，对终端进行全过程的安全防护。

▲ 图3-2 四道安全防线

1)   终端审批防线：支持多种协议（DHCP指纹等）实现终端自动发现，基于云端特征库精准识别终端类型，通过预设策略实现自动或手动审批入网，非法终端直接禁止接入网络。

▲图3-3 终端审批

2)   终端合规防线：用浏览器护航插件代替客户端部署，让使用者更加容易接受，落地更简单。护航插件对终端进行合规性检查，比如是否安装杀毒软件，是否升级到最新系统补丁等。通过合规检测后方可进入下一道防线。

▲图3-4 护航插件检测

3)   实名认证防线：第三条防线会对身份进行实名认证，支持802.1X、Portal、微信、短信、二维码等多种认证方式，满足不同角色人群选择。

4)   网络访问权限：通过实名认证后，管理平台会根据人员身份分配对应的网络权限，通过动态VLAN的方式让其获取到对应权限的IP网段，实现权限对应身份。而且支持标准协议，跨品牌设备兼容无忧。

部署日志系统平台，集中存放NAT及URL等日志，满足新网络安全法实现运营合规。

▲图3-5 日志系统

● 实现管理人员的轻松运维：

部署WIS（Wireless Intelligent Servic）无线智能服务平台，实现无线运维的可视化、智能化

1)   体验可视化：可以将终端的无线使用体验从不同维度量化呈现，包括速率、时延、丢包等，协助运维人员更加清晰地掌握终端的体验情况。

2)   智能分析：基于后端大数据分析能力结合终端侧反馈的信息，分析体验差的原因，比如漫游粘滞、远端关联等，并给出优化建议，协助运维人员了解无线优化方式。

3)   报表呈现：可以基于日、周、月的体验数据，包括故障情况等，以图表形式量化运维团队的工作和成效。

▲图3-6 WIS平台

探索与实践

尊龙时凯网络园区办公解决方案从组网架构、用户体验、安全防护以及运维管理四个方面构建了一张稳定、好用、安全，便捷运维的企业园区办公网络，更好地支撑业务稳定运行。

▲图4-1方案价值点总结

与此同时，我们也在不断打磨和精进方案，希望未来可以更好地为客户提供服务与支撑，也欢迎各位多多提出宝贵的建议。

相关推荐：

• 坐在云端管网络
• 基于Rogue AP反制的无线安全技术探讨
• 居安思危，主动革新 ——浅析园区办公网络的建设
• 坐在云端管网络
• 基于Rogue AP反制的无线安全技术探讨
• 居安思危，主动革新 ——浅析园区办公网络的建设