随着数字化转型的需求变得日益明显，企业也需要重新考虑自身的网络基础设施。

现企业网络已成为许多公司的焦点，显然，数据中心战略需要改变，尽管新冠大流行已趋于温和，很多员工也回到了办公室工作，但本地和远程双线并存的工作环境依然存在，继续给网络现代化项目带来压力。

企业需要新的网络架构来推动更高的带宽、更精简及易扩展的网络。换言之，现代化的网络和应用对于保持企业竞争力至关重要。以下是几个需要考虑的重要方向：

云化转型

企业将网络基础设施和应用迁移到云平台，如公有云或混合云环境。云化转型可以提供更高的灵活性、可扩展性和可靠性，同时降低成本和管理复杂性。

云计算使企业能够从资本支出和折旧的模式转变为基于消费的 IT 模式，从而提升效率，开发和部署时间都有很大程度的缩短。向云计算迁移往往是一项艰巨的挑战。但是，从托管服务入手是一种不错的转型手段，它同时还能让运行在本地的应用程序为未来的迁移做好准备。在这方面，除了软件即服务（SaaS），网络即服务（NaaS）也是一种值得考虑的产品，它通过将一些网络功能转移到云中来减少对基础设施的需求。于此同时，围绕多云战略构建业务应用程序变得更加重要。

什么是网络即服务（NaaS）？它的优势、特点及其替代品又是什么

引入容器架构

随着“以消费为中心的”业务模式的深入人心，无论是在企业本地设施还是通过云服务，容器架构都能以更高效的方式提供网络服务，供应用程序消费。 此外，与布满物理服务器甚至虚拟机的网络相比，容器网络的占用空间要小得多，更适合轻量级工作负载和基于服务的实例。

现在正是企业回顾其虚拟IT环境的大好时机，来确定哪些工作负载适合从虚拟机迁移到容器，从而降低对基础设施需求并提高资源利用率。

投资更大的带宽

像 SDN 这样的战略有助于网络的配置和管理。但有时问题并不仅仅在于路由够不够智能，而是简单地由于物联网和多媒体应用堵塞了网络管通路，因此企业需要更多的网络容量。

数据、应用和服务的激增，无论是服务器，还是服务器到客户端的流量，都给网络路由带来了压力。下一代有线的网络，即 2.5 Gbps 客户端网络和 10 Gbps 或 25 Gbps 服务器网络。这将为处理激增的数据和应用需求提供更快的网络路径。如果从核心网络入手，满足这一需求的成本通常会很高，而如果从边缘网络入手，影响则会较小。对大多数公司来说，真正物有所值的是汇聚层，在这里增加更多网络容量有助于优化整体流量拥塞状况。

一文梳理新一代云化园区网络建设方案-建网篇（2023版）

拥抱WiFi6

最新一代的无线接入点是对高速有线网络的补充，并为重新配置工作空间的公司提供了更灵活的部署方式。

没有必要对所有接入点进行全面更换。相反，企业应分析其当前模式和每个接入点的平均负载，首先重点升级流量最大的接入点。随着时间的推移，将所有设备都升级到 Wi-Fi 6 应能带来更好的管理效益。

重新思考 VPN

一些公司的现代化计划侧重于将 “在家办公 “模式转变为长期的战略。为了支持更多的远程工作员工，企业正在重新考虑他们的 VPN 和相关的云计算策略。企业可以考虑为高价值的远程员工提供软件定义的广域网（SD-WAN）或基于云的 VPN 或基于云的 VPN，以减轻当前网络终端的负担。

为远程用户部署 SD-WAN

SD-WAN 可为分支机构提供更好的访问、控制和弹性，并可优化对云应用的远程访问。远程访问云应用。一些企业甚至考虑为其高价值用户部署 SD-WAN 端点，因为与典型的 VPN 连接相比，SD-WAN 技术可提供更好的始终在线体验。

MPLS 与 SD-WAN的比较

网络自动化

随着管理任务的扩展速度超过资源的增长速度，企业需要更智能地工作，而不是更辛苦地工作。网络的自动化，尤其是与业务案例或业务规则处理相关联时，可使公司更高效更迅速地响应管理请求。

随着 Al 技术的迅速成熟，基于 Al 的自动化现在已成为一种可行的选择。由于许多任务（如部署和迁移）都是可预测的，因此 Al 可以帮助简化这些功能。即使是新产品，如 OpenAl 的 ChatGPT，也正在被集成到网络自动化工具中。

一文梳理新一代云化园区网络建设方案-运维篇（2023版）

Al 支持的网络报告

所有这些网络现代化进程和IT技术变化创造了一个更加复杂的，数据高度密集的企业环境。有了如此多的工具，输出高级报告项目对企业保持变革领先变得更加重要。随着现代化网络变得越来越复杂，用于帮助分析和识别趋势并提供网络安全问题预警的 Al 也变得越来越常见。如果企业目前依赖于来自多个不同工具的报告，那么现在正是研究聚合工具的好时机，这些工具可以关联多个领域的报告，通过为 IT 团队连接多维度数据来提高对网络的洞察力。

星融元携手商业地产运营商共同进入AI时代

网络安全

网络管理的变化是深刻的，对网络安全的影响也最大。

强大的网络安全需求对所有企业都至关重要，因为风险不仅仅存在于网络基础设施，它还会延伸到企业声誉、收入甚至客户。在这一安全领域，依靠专家往往比在公司内部解决问题更好，因为外包服务可能对许多网络漏洞和问题见得多了，能够在问题出现时更快地做出反应。

传统的医院信息化建设背景下，网络建设面临着各种各样的困难。

1. 传统网络出现故障无法快速恢复。传统网络面临故障无法快速恢复的问题，出现问题排查困难，有时候会严重影响医院业务的正常开展。
2. 传统网络穿透性不强。医院病房楼建筑结构通常较为复杂，导致病房内信号覆盖范围不全面，特别是对于电梯内等特殊位置，网络覆盖效果很不理想。对于移动医护设备，出现网络不佳等问题时，会严重影响救治效率与就诊体验。
3. 传统网络承载量不足。当医院同时就诊人数过多致使某一区域内上网人数较多时，会导致网络异常缓慢，病人无法上网或上网卡顿，影响就医体验。
4. 医疗数据敏感。医疗数据涉及个人隐私、安全和计费等多种敏感信息，而传统的医院网络无法满足信息安全的建设需求。

智慧医院的网络架构设计

在智慧医院里，网络需求场合包括门诊大厅、病房、手术室、办公区、餐厅等，医生、护士、病患及家属等不同角色对网络的需求也各不相同，需要一个高并发、高性能、信号覆盖好、稳定的网络环境，用来支撑智慧医院内各项应用系统的正常运行。同时，智慧医院建设会涉及不同医院之间的业务协同，对于跨院的网络体系建设同样应考虑在内。

现代医院的网络架构可以分为院内和院间网络两部分。

1. 院内网络主要以有线网络为主并搭配无线网络，联通医院的各个部分，用以支撑智慧医院的HIS、LIS等典型系统，更好地服务医务人员及患者，是智慧医院运行的基础。
2. 院外网络是指可用于远程医疗、远程教育等区域医疗应用及与政府管理系统的对接。在智慧医院的建设中，这两种网络的稳定性和高效性将直接影响到整体运行的各个方面，因此网络架构设计在智慧医院中是十分必要的。

无缝漫游：基于分布式网关的漫游方案替代路径冗长的隧道转发

园区网络中的分布式网关设计，具体指的是：一个子网的网关以分布式的形式存在于每一个接入交换机上。它充分利用每一个接入层设备的能力，所有的跨子网转发动作在最近的分布式网关上完成，让网关功能不再成为压垮网络中某一台设备的潜在风险，同时大幅度提升整网的转发效率。

对比传统的无线方案，设备发生AP漫游后的流量不再需要绕道转发，也无需在配置前期考虑网络划分的问题——网络管理员只需要在网络初始化时一次性配置好所有分布式网关的信息即可，无需在运行过程中动态调整，从而进一步降低运维的复杂度。

了解更多：下一代园区网络，“分布式网关”实现更高效的无线漫游！

海量接入：引入云计算先进网络架构设计，网络扩展无瓶颈

区别于传统的三层拓扑，采用了开放网络架构的园区网络中，全部采用的是Clos结构的组网模型（Spine/Leaf）。这种架构早已广泛应用于云计算场景，它足够扁平，并且可以抛弃大机框设备用全盒式的单芯片交换机来组网，横向扩展十分灵活。

如图所示，随着规模的从小到大，这个Clos网络能够从一级横向扩展至多级，使得网络能够接入的终端数量从几十个到几十万个不等，并且，扩展的过程中原有的网络架构完全保持不变，新扩展的模块与原有模块架构完全一致，从而最大限度地降低了维护的复杂度。

了解更多：下一代园区网络，用Leaf/Spine架构替代传统“接入-汇聚-核心”三层架构

超高可靠：抛弃二层交换彻底隔绝广播风暴，比“堆叠”更可靠的“超堆叠”

我们都知道，在需要高可靠的网络场景中我们往往需要进行冗余设计，但由此会产生网络环路并导致广播风暴影响整网的正常运行。所以在组网实践中我们有了生成树协议（STP），通过一定的算法人为阻塞链路来打破环路。
链路的阻塞无疑是对资源的浪费，在新一代的园区网络设计中，我们完全有能力抛弃二层网络（即消除网络中的广播），通过纯三层路由转发+ECMP来实现100%的链路利用率，并且这样的网络同时也具备相当的高可靠特性。

另一方面，园区网络为提高网络可靠性避免链路/设备单点故障，还往往采用堆叠组的架构。堆叠技术将多台设备虚拟成一台，对外呈现出统一的控制平面，简化了管理和配置也提升了性能和吞吐量，但堆叠组的升级复杂度和设备替换问题却也成为了让一线网工头疼的问题。

新一代基于Spine/Leaf架构的园区网络，我们得到的是一个集群化的网络，在保证了高可靠和运维简单的前提下，网络升级和稳定性也得到了本质的提升。

了解更多：新一代云化园区网络架构，根除网络广播风暴难题

极简运维：单一配置模板+简单易用的网络集群+轻量控制器，更适合小规模网络场景

新一代云园区交换机支持零配置部署，同层设备采用同一套配置模板，并且开局自动加载配置文件、升级文件，实现设备的免现场配置和部署。

和传统园区SDN控制器相比，新一代云园区控制器的最大特点是“轻量”，它不会将路由计算、 QoS策略/安全策略下发、接入安全检测等计算任务集中在控制器上，而是分布式在每个交换机上计算，控制器只进行简单的状态查看和配置管理。

原生安全：出口安全设备池化，高效利用安全资源

在网络出口架构方面，新一代园区网络引入了资源池方案，结合SDN流量编排技术，可将各类安全资源池化，避免了传统串联模式的单点故障和升级调整困难的问题。

校园网络正在面临的哪些挑战？

• 无线覆盖和漫游
• 高带宽高并发
• 物联网设备的引入

分场景的无线网络设计原则

普通教室等场景

此类场景属于学校内常见场景，比如普通教室、开阔办公室、会议室、实验室、图书馆等。这类区域师生人数较多，环境相对开阔且面积较大；无线不仅要承载师生办公业务、同时学员还会使用无线访问流媒体、游戏、下载文件等，对无线设备的性能提出了较高要求。因此，推荐在此类环境中使用支持802.11 ax协议的吸顶式AP。既满足此类环境对无线性能的要求，满足老师、学员、访客的日常上网需求。

小型办公室场景

对于学校内小型的隔间办公室，此类环境一般房间密集且数量较多，每个房间2~3个用户，同时无线建设时要求尽量减少对环境的影响。因此在此类场景推荐使用面板式的无线AP。

面板式AP采用国标86面板尺寸设计，满足办公室等建筑施工规范性要求施，快速安装，直接替换掉原有有线面板即可。此外，面板式AP在提供无线信号覆盖的同时，还能提供有线网络和电话口，符合办公室等对有线无线网络的共同需求。

办公楼、图书馆区域

设计思路：在图书馆区域，里面有阅览室、自习室、接待室、报告厅，等场景，都使用吸顶AP进行覆盖，对于报告厅场景采用高密吸顶AP进行覆盖。除了确保人数承载外，还主要确保AP间的干扰。

宿舍楼，部分办公楼重要办公室

对于这两种区域，房间密集，单均为接入并发较少，每个隔墙都为水泥墙，需要考虑信号衰减问题。因此针对这种区域每个房间放置面板，用于信号覆盖和人员接入。

体育馆、食堂

食堂来说，场景比较空旷，接入并发相对较多，采用普通吸顶AP进行无线覆盖，单个设备的覆盖面积半径为15米。

会议中心

接入并发较多，固采取高密吸顶AP进行覆盖，一个会议室根据接入并发人数、场景大小，合理部署AP数量，另外还需要考虑信号干扰问题。

无线认证系统的设计原则

对于校园老师以及学生来说，推荐使用Portal账号密码认证，登录的账号可以为教师姓名、手机号、工号等具有唯一性信息，实现一人一账号自行登录；对于来访人员，推荐使用微信认证、短信认证的认证方式，方便快捷。对教学设备接入网络可以视情况而定。

另一方面，学校经常会有外部人员来访，例如上级领导视察工作、家长会议、对外开放参观、社会组织活动等，这部分人员经常有手机端和电脑端无线上网的需求。在无线校园网络设计的时候，针对外部人员，需要充分考虑访客无线接入的便利性以及安全性。例如外来人员重复询问WI-FI密码无疑会增加IT运维工作的繁琐性，而且影响无线体验感。因此，外部人员认证需要充分考虑用户体验。推荐可以使用微信、短信方式认证、账号密码认证。

对于图书馆、教室、办公室、报告厅等场景，推荐采用Portal账号密码认证，内部员工接入时即需要认证，登录的账号可以为姓名、手机号、工号等具有唯一性的信息，实现一人一账号自行登录。

分布式的无线网络解决方案

区别于传统的三层拓扑，星融元将云计算领域的网络设计理念引入到园区，推出了基于全三层IP Fabric的云化园区解决方案，将云化深入到底层网络架构，从而支撑起面向的校园高性能分布式无线网络。

整体方案请参阅

• 全新的网络规划思路：采用领先的开放网络理念，基于最新的数据中心级网络技术、开放的网络操作系统，“一网多用”地构建出能够同时承载多种业务的超大规模校园网络。
• 全新的网络建设架构：抛弃传统校园网络架构所背负的历史包袱，通过纯三层网络、统一路由结构、天然无环、去堆叠、自主内生安全等创新的技术，建设架构极简、更可靠、更安全、更高性能新一代校园网络；
• 全新的高效运维体系：将开放网络的集中控制器、软件可编程引入到校园网络的运维系统中以有效支持NetDevOps，同时通过简化配置、自动部署等创新性设计大幅度提升网络运维的效率。

覆盖全场景的wifi6

极简运维的高效率无线漫游

• 一个子网的网关以分布式的形式存在于每一个接入Leaf上，充分利用每一个接入Leaf的能力，所有的跨子网转发动作在最近的分布式网关上完成，让网关功能不再成为压垮网络中某一台设备的潜在风险，同时大幅度提升整网的转发效率；
• 当移动终端发生漫游时，分布式网关的作用尤为重要，因为漫游后的接入Leaf上已经配置了网关信息，并且自动学习和同步了漫游终端的IP/MAC信息，因此漫游后的终端可以平滑地重新接入网络（所发信息无需再到一个“集中的网关”上去兜圈子），并且漫游过程中业务不断连（即确保不丢包，因为漫游后的接入Leaf上已经有了该漫游终端的所有信息）；
• 网络管理员只需要在网络初始化时一次性配置好所有分布式网关的信息即可，无需在运行过程中动态调整，从而进一步降低运维的复杂度。

双机防火墙的概念和分类

双机热备技术可以将一组防火墙虚拟成一台防火墙。其中，仅有一台防火墙可以处于活动，称为主设备（Active），其余称为备设备（Backup）。防火墙可通过此技术实现将配置和会话表（协议的连接状态表）信息的同步，若主防火墙发生故障，备防火墙可以平滑的接替，保障网络的稳定运行。

主备双机部署

主备模式下的两台防火墙，其中一台作为主设备，另一台作为备份设备。主设备处理所有业务，并将产生的会话信息传送到备份设备进行备份；备份设备不处理业务，只用做备份（如下图所示，Firewall 1处理全部业务，Firewall 2用做备份）。当主设备故障，备份设备接替主设备处理业务，从而保证新发起的会话能正常建立，当前正在进行的会话也不会中断。

主主双机部署

负载分担模式下两台设备均为主设备，都处理业务流量，同时又作为另一台设备的备份设备，备份对端的会话信息（如下图所示，Firewall 1和Firewall 2均处理业务，互为备份）。当其中一台故障后，另一台设备负责处理全部业务，从而保证新发起的会话能正常建立，当前正在进行的会话也不会中断

相关技术：VRRP

由于防火墙多部署于企业网络的出口，内外网之间的业务都要通过防火墙进行转发。若防火墙出现宕机将造成业务中断，因此，防火墙的可靠性就显得格外重要。为了更好地应对单机设备运行的风险，防火墙通过使用双机热备技术实现冗余功能，类似于虚拟路由冗余协议（VRRP，Virtual Router Redundancy Protocol），当局域网内承担路由转发功能的设备失效后，另一台将自动接管，从而实现IP路由的热备份与容错。

对接场景：基于全三层IP路由的云化园区网络

星融元的云化园区网络架构是一个开放化的网络，虽然在多方面进行了创新设计，但仍可以比较方便地和传统园区网络无缝对接。

• Spine/Leaf的精简架构，天然无环路，无需堆叠。
• 全三层组网，消除二层广播风暴的同时，还有效地隔绝了内网病毒的广播。
• 一套配置模版，全网自动化部署，设备上线即插即用。
• 支持云原生操作系统环境和开放的RESTful API接口，让网络随需而动。

更多介绍：全三层组网消除二层广播风暴-云化园区解决方案-星融元

场景1：对接一对主备防火墙

配置思路：

• 每台Spine的两个上行口保持在同一VLAN，并配置一个三层SVI口
• 每台防火墙分别运行两对VRRP组，主墙的VRRP角色均为Master，备墙的VRRP角色均为Backup，每台Spine的SVI口和两台防火墙的VRRP虚接口通过BGP路由协议对接，即上下两个网段IP互联

流量转发路径：

• 上行：Leaf1—>Spine1和Spine2—> FW1
• 下行： FW1—>Spine1和Spine2—>Leaf1和Leaf2

典型故障分析：

• 无故障：两个VRRP组的虚接口均落在主墙
• ①或②故障： HA协议会控制两个VRRP组同时进行主备切换，确保业务流量统一切换到备墙，①+②故障同理
• ③故障：和CASE1③故障相同

场景2：对接一对主主防火墙

在HA+VRRP配置模式下，防火墙主主是通过两对VRRP组互为主备实现的（例如VRRP-1的Master是防火墙A，Backup是防火墙B，VRRP-2的Master是防火墙B，Backup是防火墙A）

对接思路：

配置思路：

• 每台Spine的两个上行口保持在同一VLAN，并配置一个三层SVI口
• 每台防火墙分别运行四对VRRP组，每两对VRRP组互为主备，每台Spine的SVI口和两台防火墙的两个VRRP虚接口通过BGP路由协议对接，上下仍是两个网段IP互联，但每台Spine有两个下一跳分别指向两台防火墙，实现ECMP负载分担

流量转发路径：

• 上行：Leaf1—>Spine1和Spine2—>FW1和FW2
• 下行：FW1—>Spine1和Spine2—>Leaf1和Leaf2

典型故障分析：

• 无故障；VRRP1的虚接口落在FW1，VRRP2的虚接口落在FW2
• ①故障：VRRP1主备切换，此时Spine1的上行流量切到FW2
• ①+②故障：相当于Spine1设备故障，Spine2接替上下行流量
• ③故障：和CASE1③故障相同

云计算、人工智能和 5G 的大规模增长促使对能够支持新型 400G 技术和架构的高带宽、可扩展解决方案的需求激增。

400G 的解决方案非常适合应对流量持续增长的大容量电信提供商、大型数据中心以及企业。与常规的100G解决方案相比，400G 光收发器模块的每个 RU 可提供 4 倍的高带宽——通过在更少的物理空间中提供相同的带宽，降低每比特成本。另一方面，在现网中引入400G交换机后总端口将会更少，管理起来也更容易。

星融元400G以太网交换机（CX-N系列）

CX732Q-N是星融元推出的一款400G以太网交换机产品，转发时延低至~400ns。

• 32x400G QSFP-DD 端口，兼容40G/100G/200G，可实现平滑的升级过渡
• 支持带内网络遥测：2x10G SFP+ 的INT端口为后端提供实时精准的遥测数据；基于可编程交换芯片实现，不占用CPU性能
• 128G M.2 SSD
• 5+1热插拔风扇，1+1电源

CX-N系列低时延云交换机型号一览

相关阅读：私有云网络的进化之路：与开放网络技术的完美融合

开放的软件架构——AsterNOS

包含CX732Q-N交换机在内的CX-N全系交换机都搭载了AsterNOS网络操作系统，它具备高度的功能定制和可扩展性，帮助实现网络运维自动化，可为云数据中心多业务融合、AIGC网络、高性能计算（HPC）、大数据分析等多种业务场景提供卓越的网络服务。

对比社区版SONiC，AsterNOS在以下方面做了大量功能补充和增强：

支持EVPN多归属

与MC-LAG 解决方案相比，EVPN Multi-homing不仅能更好地解决可扩展性和流量负载平衡方面的限制，还能提高 VXLAN 接入端的可靠性。

参阅：MC-LAG还是Multi-Homing？探讨网络通信高可用性的新选择

思科风格命令行

此外，AsterNOS 完全支持 Cisco风格的命令行模式，大大降低了运维端的学习成本。下面是我们在使用 AserNOS 的交换机上演示以不同的命令行模式（Cisco-like Klish/Linux Bash）配置 VLAN