隨著以太網(wǎng)技術(shù)、IP技術(shù)、虛擬化技術(shù)的不斷融合，園區(qū)網(wǎng)得以不斷發(fā)展，其網(wǎng)絡(luò)環(huán)境、用戶模型、業(yè)務(wù)模型都發(fā)生了巨大的變化，用戶對(duì)園區(qū)網(wǎng)絡(luò)的移動(dòng)性、安全性、業(yè)務(wù)質(zhì)量等方面也有了更高的要求。與此同時(shí)，園區(qū)網(wǎng)管理與以往相比也有了很大的不同，它不再局限于設(shè)備的管理，而是更關(guān)注接入、安全、業(yè)務(wù)、流量等方面的管理。具體包括以下幾個(gè)方面：

　　■ 除傳統(tǒng)的有線接入外，WLAN、物聯(lián)網(wǎng)等技術(shù)的應(yīng)用越來(lái)越廣泛，接入終端類型越來(lái)越多，且辦公室、無(wú)線、SOHO等接入場(chǎng)景不固定。如何對(duì)不同的園區(qū)網(wǎng)絡(luò)進(jìn)行管理，以便為用戶提供始終如一的IT服務(wù)?

　　■ 企業(yè)內(nèi)部員工、合作伙伴、外來(lái)訪客等人員眾多且角色復(fù)雜，存在病毒傳播、黑客攻擊、信息泄露、非法接入、違規(guī)上網(wǎng)等行為與潛在威脅。如何防范與化解?

　　■ 不同的業(yè)務(wù)部門有不同的訪問權(quán)限和業(yè)務(wù)系統(tǒng)，如何將用戶和業(yè)務(wù)相互隔離并下發(fā)正確的權(quán)限，使恰當(dāng)?shù)娜嗽L問恰當(dāng)?shù)馁Y源?

　　■ 不同的業(yè)務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)帶寬、數(shù)據(jù)傳輸能力有不同的要求。如何判斷網(wǎng)絡(luò)中存在的瓶頸，對(duì)業(yè)務(wù)性能加以優(yōu)化?

　　更靈活、更安全、更精細(xì)的園區(qū)網(wǎng)管理

圖1. 園區(qū)網(wǎng)新一代管理模型

　　如圖1所示。為滿足園區(qū)網(wǎng)在移動(dòng)性、安全性、高質(zhì)量等方面管理需求，其管理必須具備更靈活、更安全、更精細(xì)的特征，具體包括以下幾個(gè)方面：[nextpage]

　　第一個(gè)層面，實(shí)現(xiàn)有線無(wú)線一體化管理

　　有線與無(wú)線網(wǎng)絡(luò)的融合使兩個(gè)網(wǎng)絡(luò)之間的界限變得越來(lái)越模糊。此時(shí)，無(wú)線網(wǎng)絡(luò)帶來(lái)的特殊業(yè)務(wù)、非法無(wú)線設(shè)備接入時(shí)的信息泄露、基于用戶的安全防護(hù)等問題，都給網(wǎng)管帶來(lái)了新的管理挑戰(zhàn)。

　　很多企業(yè)將無(wú)線與有線網(wǎng)絡(luò)分開管理，分別使用專門的管理工具軟件。這不僅帶來(lái)重復(fù)投資浪費(fèi)，且與有線網(wǎng)管隔裂的無(wú)線網(wǎng)管難以對(duì)無(wú)線用戶做到更精細(xì)的管理與控制，如判斷某個(gè)MAC地址的無(wú)線用戶是否有非法上網(wǎng)行為，發(fā)現(xiàn)無(wú)線用戶漫游到某個(gè)交換機(jī)端口并在端口上設(shè)置安全規(guī)則對(duì)用戶進(jìn)行控制……，等等。因此，只有有線無(wú)線一體化的網(wǎng)管才能將這些問題有效的解決。

　　有線無(wú)線一體化管理要求在同一個(gè)管理平臺(tái)上實(shí)現(xiàn)兩者的融合，在底層將MIB、命令行格式等打通，在功能上將拓?fù)?、告警、性能等相互兼容，在技術(shù)上則需要將ACL、QoS等應(yīng)用到無(wú)線網(wǎng)絡(luò)中，實(shí)現(xiàn)設(shè)備的一體化管理。這樣，用戶可以在同一套軟件、同一個(gè)拓?fù)渖喜榭从芯€和無(wú)線設(shè)備的狀態(tài)，在利用成熟的有線管理技術(shù)的同時(shí)，還可以對(duì)無(wú)線設(shè)備和無(wú)線業(yè)務(wù)進(jìn)行單獨(dú)配置，實(shí)現(xiàn)AC、Fat AP、Fit AP、移動(dòng)終端的統(tǒng)一管理;另外，無(wú)線網(wǎng)絡(luò)的AP數(shù)量眾多，可能存在非法AP設(shè)備接入的問題，管理軟件還應(yīng)提供Rouge AP防護(hù)、熱點(diǎn)覆蓋、無(wú)線定位等多種業(yè)務(wù)功能，并對(duì)海量設(shè)備提供批量配置升級(jí)、策略模板等功能，提升管理效率，降低維護(hù)成本。

　　第二個(gè)層面，實(shí)現(xiàn)可信可控可審計(jì)的安全接入

　　對(duì)園區(qū)網(wǎng)而言，安全問題非常重要。一旦在網(wǎng)絡(luò)內(nèi)發(fā)生病毒和蠕蟲肆虐，破壞程度和范圍將持續(xù)擴(kuò)大，嚴(yán)重時(shí)會(huì)引起系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓，使用戶蒙受嚴(yán)重?fù)p失。此外，對(duì)于有業(yè)務(wù)和應(yīng)用隔離需求的用戶來(lái)說，頻繁的業(yè)務(wù)變化要求網(wǎng)絡(luò)基礎(chǔ)設(shè)施具備動(dòng)態(tài)、易于調(diào)整的特點(diǎn)，而傳統(tǒng)通過物理方式隔離的管理方案無(wú)法滿足需求。網(wǎng)絡(luò)重復(fù)建設(shè)、分散管理、安全策略難部署、無(wú)法提供統(tǒng)一的應(yīng)用服務(wù)等，都大大增加了用戶在網(wǎng)絡(luò)投資、建設(shè)和運(yùn)維、管理方面的負(fù)擔(dān)。這就需要園區(qū)網(wǎng)管理能夠基于用戶身份進(jìn)行隔離和權(quán)限下發(fā)，并實(shí)現(xiàn)事前認(rèn)證、事中控制和事后的審計(jì);

　　首先從控制用戶安全接入網(wǎng)絡(luò)的角度入手，集成終端安全檢查、用戶身份認(rèn)證、動(dòng)態(tài)訪問授權(quán)、用戶行為審計(jì)等功能，通過智能客戶端、安全策略服務(wù)器、智能聯(lián)動(dòng)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)訪問園區(qū)網(wǎng)的用戶終端強(qiáng)制實(shí)施安全檢查，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，以加強(qiáng)用戶終端的主動(dòng)防御能力，為網(wǎng)管人員提供有效、易用的管理工具和手段。

　　園區(qū)網(wǎng)管理還應(yīng)該保證訪問網(wǎng)絡(luò)的用戶正確獲得訪問相關(guān)資源的權(quán)限，對(duì)認(rèn)證用戶動(dòng)態(tài)下發(fā)VPN、VLAN、ACL等安全控制策略，根據(jù)業(yè)務(wù)和應(yīng)用劃分訪問權(quán)限和業(yè)務(wù)流向，進(jìn)行橫向安全隔離，同時(shí)也能根據(jù)需要提供靈活的互訪控制。管理軟件還應(yīng)該考慮與部署在Internet出口的行為審計(jì)系統(tǒng)聯(lián)動(dòng)，將審計(jì)信息中的IP地址與用戶身份信息的自動(dòng)關(guān)聯(lián)，實(shí)現(xiàn)基于用戶的行為審計(jì)，進(jìn)一步加強(qiáng)整網(wǎng)的穩(wěn)定和安全。

　　第三個(gè)層面，實(shí)現(xiàn)端到端的業(yè)務(wù)感知與性能優(yōu)化

　　隨著IP電話、視頻會(huì)議等帶寬敏感型業(yè)務(wù)和無(wú)線局域網(wǎng)、城域以太網(wǎng)的應(yīng)用越來(lái)越廣泛，帶寬豐富的園區(qū)網(wǎng)開始出現(xiàn)帶寬不夠用、性能瓶頸等情況。從網(wǎng)絡(luò)的角度感知業(yè)務(wù)、保障業(yè)務(wù)的傳輸質(zhì)量變得重要起來(lái)。這需要園區(qū)網(wǎng)管理在關(guān)鍵業(yè)務(wù)出現(xiàn)不正常時(shí)，能夠?qū)Χ说蕉说臉I(yè)務(wù)流量進(jìn)行分析，判斷出流量瓶頸并進(jìn)行性能優(yōu)化。

　　園區(qū)網(wǎng)管理要能滿足企業(yè)對(duì)業(yè)務(wù)流量的感知和分析需求。對(duì)于各種業(yè)務(wù)在網(wǎng)絡(luò)中的運(yùn)行情況，管理軟件提供基于NetStream/sFlow/DIG等多種技術(shù)的流量分析功能，通過各種可視化的流量視圖，對(duì)業(yè)務(wù)流量中的接口、應(yīng)用、主機(jī)、會(huì)話、IP組、7層應(yīng)用等進(jìn)行分析，從而找出流量瓶頸，規(guī)劃接口帶寬，建立各種業(yè)務(wù)的流量分布模型。需要指出的是，MPLS VPN、IPv6等技術(shù)在園區(qū)網(wǎng)內(nèi)的應(yīng)用越來(lái)越廣泛，管理軟件必須考慮對(duì)MPLS和IPv6的支持，以便在需要時(shí)分析出每個(gè)VPN或IPv6網(wǎng)絡(luò)的流量分布情況。

　　同時(shí)還應(yīng)該能滿足企業(yè)對(duì)業(yè)務(wù)傳輸質(zhì)量的性能優(yōu)化和測(cè)量需求，這要求管理軟件能夠與路由、交換設(shè)備配合，完成流量性能優(yōu)化的配置，通過方便、易用的圖形化界面，讓管理員可以實(shí)現(xiàn)對(duì)指定的關(guān)鍵業(yè)務(wù)、關(guān)鍵用戶進(jìn)行端到端服務(wù)保證，真正實(shí)現(xiàn)QoS的所見即可得。對(duì)于某些業(yè)務(wù)(如IP語(yǔ)音的時(shí)延、抖動(dòng)、丟包等)，通過對(duì)關(guān)鍵指標(biāo)的測(cè)量，就可以知道傳輸質(zhì)量能否滿足要求，這要求管理軟件可以提供圖形化的SLA(服務(wù)水平協(xié)議)工具，有效審計(jì)和判斷QoS實(shí)施效果。

　　小結(jié)和展望

　　園區(qū)網(wǎng)的新一代管理具有更靈活、更安全、更精細(xì)的特點(diǎn)，這要求管理平臺(tái)、終端軟件、安全設(shè)備等各種資源之間能夠?qū)崿F(xiàn)智能聯(lián)動(dòng)，從而為一體化、可信任、業(yè)務(wù)隔離、精細(xì)感知的園區(qū)網(wǎng)管理打下基礎(chǔ)。此外，與數(shù)據(jù)中心有關(guān)的標(biāo)準(zhǔn)化、虛擬化、自動(dòng)化等技術(shù)正方興未艾，使園區(qū)網(wǎng)架構(gòu)向扁平化方向發(fā)展;FCoE技術(shù)的引入也使存儲(chǔ)設(shè)備成為園區(qū)網(wǎng)管理的對(duì)象，而虛擬交換機(jī)、虛擬服務(wù)器等虛擬設(shè)備的廣泛應(yīng)用將對(duì)園區(qū)網(wǎng)管理帶來(lái)新的挑戰(zhàn)。從封閉到融合、從靜態(tài)到動(dòng)態(tài)、從物理到虛擬，將成為園區(qū)網(wǎng)新的發(fā)展方向。