【正文】 RP group master、生成樹實(shí)例和生成樹實(shí)例與VLAN映射的關(guān)系，可提高網(wǎng)絡(luò)鏈路利用率和可靠性。在分布層配置多個(gè)VRRP組，組master和backup角色均勻分布在兩臺(tái)核心路由交換機(jī)上，使兩臺(tái)網(wǎng)關(guān)設(shè)備同時(shí)完成備份和負(fù)載分擔(dān)功能；通過多生成樹實(shí)例規(guī)劃，使接入設(shè)備不同VLAN業(yè)務(wù)負(fù)載分擔(dān)在兩條上行鏈路，并且到達(dá)的匯聚設(shè)備為第一跳網(wǎng)關(guān)master；實(shí)例root與生成樹實(shí)例映射VLAN的三層網(wǎng)關(guān)master在同一臺(tái)匯聚設(shè)備上，使STP協(xié)議能夠通過計(jì)算合理阻塞鏈路，并且縮小鏈路故障引起的網(wǎng)絡(luò)震蕩范圍；若接入設(shè)備上有VLAN重疊，匯聚設(shè)備設(shè)置為二層TRUNK鏈路。一些安全特性的配合使用，更能增強(qiáng)網(wǎng)絡(luò)的健壯性：在網(wǎng)絡(luò)邊緣直接與用戶相連的端口可以配置邊緣端口和BPDU保護(hù)，防止從這些端口接收到BPDU報(bào)文引起網(wǎng)絡(luò)拓?fù)渥兓?；在匯聚網(wǎng)關(guān)上配置TC保護(hù)和根保護(hù)特性，防止攻擊造成拓?fù)漕l繁變化。主要HA性能參數(shù)網(wǎng)絡(luò)故障收斂性能接入層設(shè)備主備倒換（S7506E）50毫秒接入層核心層鏈路故障/恢復(fù)1秒核心層設(shè)備主備倒換50毫秒核心層設(shè)備故障1秒鏈路單通故障2秒. 虛擬園區(qū)網(wǎng)設(shè)計(jì)一個(gè)煙廠企業(yè)園區(qū)，需要生產(chǎn)平臺(tái)、管理運(yùn)營、銷售、安保監(jiān)控等業(yè)務(wù)隔離。隔離的手段可以是物理隔離，也可以是邏輯隔離。相對于物理隔離，邏輯隔離（網(wǎng)絡(luò)虛擬化）具有無需重復(fù)建設(shè)、能提供統(tǒng)一的安全、管理、HA策略等優(yōu)點(diǎn)，并且能夠更好地提供面向應(yīng)用的服務(wù)。一般煙廠園區(qū)網(wǎng)虛擬化的需求主要如下：l 橫向不同部門/分類間業(yè)務(wù)的隔離，提高涉密業(yè)務(wù)的安全性，同時(shí)提供訪問控制策略，滿足不同部門間業(yè)務(wù)互訪的要求l 為園區(qū)內(nèi)各部門提供統(tǒng)一的Internet出口，供內(nèi)部用戶訪問Internet和為外部公眾提供應(yīng)用服務(wù)，進(jìn)行集中控制管理l 提供廣域網(wǎng)接口，實(shí)現(xiàn)相同部門/種類業(yè)務(wù)的縱向互通l 數(shù)據(jù)中心資源邏輯上分三部分：部門內(nèi)部數(shù)據(jù)區(qū)、共享數(shù)據(jù)區(qū)和對外服務(wù)數(shù)據(jù)區(qū)，分別為獨(dú)立部門內(nèi)部、業(yè)務(wù)交互部門和外部公眾提供服務(wù)l 為重要業(yè)務(wù)提供端到端的Qos保證為了滿足煙廠園區(qū)網(wǎng)虛擬化的需求，H3C公司提出了EAD＋MPLS VPN的解決方案，可以實(shí)現(xiàn)與企業(yè)各部門工作流相適應(yīng)的、從客戶側(cè)就開始安全控制的端到端的虛擬通道，實(shí)現(xiàn)和用戶上層應(yīng)用系統(tǒng)權(quán)限無縫匹配。它主要包括如下內(nèi)容：1) 用戶端點(diǎn)準(zhǔn)入控制對用戶的安全認(rèn)證和權(quán)限管理，使用我司的EAD解決方案（支持portal、VPN等認(rèn)證方式），在接入邊緣設(shè)備作認(rèn)證；把CAMS服務(wù)器\補(bǔ)丁服務(wù)器\病毒服務(wù)器等集中部署在數(shù)據(jù)中心內(nèi)部共享區(qū)，內(nèi)部所有用戶接入網(wǎng)絡(luò)都需要認(rèn)證，進(jìn)行集中的安全管理2) 業(yè)務(wù)邏輯隔離企業(yè)園區(qū)各部門共用一套物理網(wǎng)絡(luò)，邏輯隔離使用VRF+MPLS VPN技術(shù)。各部門用戶通過CE\MCE設(shè)備接入，通過二層VLAN或VRF進(jìn)行隔離。核心層用MPLS標(biāo)簽轉(zhuǎn)發(fā)，控制PE設(shè)備VPN路由引入，建立專用的VPN轉(zhuǎn)發(fā)通道，為數(shù)據(jù)中心提供PE或MCE接口，兼容數(shù)據(jù)中心內(nèi)部業(yè)務(wù)邏輯隔離和物理隔離。企業(yè)園區(qū)網(wǎng)絡(luò)支持端到端的業(yè)務(wù)邏輯隔離，支持Qos。3) 集中服務(wù)管理為園區(qū)內(nèi)用戶提供統(tǒng)一的Internet\WAN出口，進(jìn)行集中監(jiān)控、管理。網(wǎng)絡(luò)管理使用H3C的iMC網(wǎng)絡(luò)綜合管理中心，內(nèi)嵌的MPLS VPN Manager支持對MPLS VPN的專業(yè)管理。各種管理\策略服務(wù)器、應(yīng)用服務(wù)器、存儲(chǔ)設(shè)備等統(tǒng)一部署在數(shù)據(jù)中心，為全網(wǎng)提供統(tǒng)一的應(yīng)用和策略服務(wù)。H3C公司的EAD+MPLS VPN的網(wǎng)絡(luò)虛擬化方案在業(yè)界獨(dú)創(chuàng)性的實(shí)現(xiàn)了提供與企業(yè)各部門業(yè)務(wù)工作流完全匹配的從客戶側(cè)開始的安全控制的端到端的虛擬邏輯通道，使得各部門的業(yè)務(wù)數(shù)據(jù)能夠真正實(shí)現(xiàn)從端到端的安全虛擬通道中傳輸，起到了端到端有效的全程隔離作用，使得企業(yè)網(wǎng)絡(luò)和應(yīng)用實(shí)現(xiàn)無縫融合。根據(jù)現(xiàn)有網(wǎng)絡(luò)應(yīng)用，XX煙廠園區(qū)仍然采用L3 MPLS VPN進(jìn)行業(yè)務(wù)隔離，并根據(jù)日后的可控網(wǎng)絡(luò)的發(fā)展要求，實(shí)現(xiàn)整個(gè)煙草網(wǎng)絡(luò)的虛擬化。XX煙廠數(shù)字化園區(qū)生產(chǎn)網(wǎng)和辦公網(wǎng)共用一套物理網(wǎng)絡(luò)，邏輯隔離使用VRF+MPLS VPN技術(shù)。按照業(yè)務(wù)劃分，煙廠園區(qū)的VPN可以劃分辦公業(yè)務(wù)、卷煙生產(chǎn)業(yè)務(wù)、倉儲(chǔ)物流業(yè)務(wù)、監(jiān)控業(yè)務(wù)等等。 各部門用戶通過CE設(shè)備接入，通過二層VLAN或VRF進(jìn)行隔離。核心層用MPLS標(biāo)簽轉(zhuǎn)發(fā)，PE設(shè)備控制VPN路由引入，建立專用的VPN轉(zhuǎn)發(fā)通道，為數(shù)據(jù)中心提供PE接口，兼容數(shù)據(jù)中心內(nèi)部業(yè)務(wù)邏輯隔離和物理隔離。我們按照XX煙廠園區(qū)實(shí)際的需求，在不同的PE上配置相應(yīng)可以接入的VPN，不同的VLAN端口對應(yīng)各自相關(guān)的VPN（路由三層子接口）。MPLS規(guī)劃如下圖所示。 這里的CE的設(shè)備也可以是無線AP設(shè)備。不同業(yè)務(wù)部門的人員，通過有線或者無線方式進(jìn)行EAD端點(diǎn)準(zhǔn)入的認(rèn)證，認(rèn)證通過后則能夠自動(dòng)接入到相應(yīng)部門的不同VPN中，實(shí)現(xiàn)園區(qū)內(nèi)不同類業(yè)務(wù)的安全隔離。. IP地址規(guī)劃設(shè)計(jì)IP地址的合理設(shè)計(jì)是數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，機(jī)場信息化網(wǎng)絡(luò)必須對IP地址進(jìn)行統(tǒng)一規(guī)劃。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址采用RFC1918規(guī)定的地址段（不包括外聯(lián)區(qū)域IP地址）。根據(jù)選擇的IP地址段和數(shù)據(jù)中心的業(yè)務(wù)功能模塊進(jìn)行映射。IP地址的分配應(yīng)遵循以下幾個(gè)原則： l 唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址 l 簡單性：地址分配應(yīng)簡單易于管理，降低擴(kuò)展的代價(jià)，降低路由設(shè)備負(fù)擔(dān)l 連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，提高路由效率 l 可擴(kuò)展性：在每一層次上地址都要留有余量，保證網(wǎng)絡(luò)可擴(kuò)展 l 靈活性：地址分配有靈活性，以滿足多種應(yīng)用策略，充分利用地址空間 為了有效地利用地址空間，我們可以對IP地址進(jìn)行子網(wǎng)劃分，從地址的主機(jī)部分借取若干位作為子網(wǎng)號(hào)， 剩余部分仍然表示主機(jī)號(hào)，另外，為了靈活地在不同規(guī)模的子網(wǎng)中分配不同數(shù)量 IP地址，我們需要采用VLSM技術(shù)，它可根據(jù)需要在任意位劃分子網(wǎng)邊界，對一個(gè)主網(wǎng)絡(luò)號(hào)，可分出最小只有兩個(gè)主機(jī)號(hào)的子網(wǎng)，亦可劃分出一個(gè)較大的子網(wǎng)，因此它很靈活，特別是在廣域在中，只需兩個(gè)主機(jī)號(hào)地址，VLSM非常有用，大大節(jié)約了地址空間，又保證了網(wǎng)絡(luò)設(shè)計(jì)的靈活性。 在進(jìn)行地址分配時(shí)，一般先用一個(gè)定長的子網(wǎng)掩碼將地址空間分成若干個(gè)相同規(guī)模的子網(wǎng)，再在每個(gè)子網(wǎng)中根據(jù)所需的子網(wǎng)數(shù)量和規(guī)模采用VLSM進(jìn)行子網(wǎng)的細(xì)分。 采用VLSM時(shí)應(yīng)注意下列三點(diǎn)： l 事先要有規(guī)劃，使子網(wǎng)以可疊合的塊進(jìn)行分配 l 可能會(huì)造成對已有網(wǎng)絡(luò)地址的重新設(shè)置 l 新的網(wǎng)絡(luò)必須仔細(xì)規(guī)劃地址分配 為縮減路由表的款項(xiàng)，提高路由的效率，路由聚合(Route Summarization 或 Route Aggregation) 是一個(gè)非常重要而有效的手段。分子網(wǎng)是將網(wǎng)絡(luò)號(hào)向主機(jī)號(hào)部分?jǐn)U展、即網(wǎng)絡(luò)邊界向右移的過程，而路徑疊合則是劃分子網(wǎng)的逆過程，通過將子網(wǎng)的邊界向左移的過程，可用一個(gè)較大的子網(wǎng)來代表一組連續(xù)的子網(wǎng)。 因此，路由聚合又稱為子網(wǎng)的集結(jié)或超級(jí)子網(wǎng)，它可得到縮小路由表，降低路由器內(nèi)存的使用，并減少路由協(xié)議產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)流量。對于具體IP網(wǎng)段規(guī)劃，要求每個(gè)業(yè)務(wù)網(wǎng)絡(luò)內(nèi)部IP網(wǎng)段能夠匯聚，并且每個(gè)業(yè)務(wù)網(wǎng)段又能夠分別匯聚，這樣，有利于路由策略控制。. QoS規(guī)劃設(shè)計(jì)1) QoS需求 針對網(wǎng)絡(luò)系統(tǒng)承載應(yīng)用的特點(diǎn)，對應(yīng)用進(jìn)行分類，以保證各自數(shù)據(jù)傳輸不受影響，對于敏感性的應(yīng)用應(yīng)能提供帶寬保證。如語音通訊、視頻通訊等。在網(wǎng)絡(luò)上要提供語音、視頻的傳輸；數(shù)據(jù)可以根據(jù)重要級(jí)別進(jìn)行分類，進(jìn)而提供不同的優(yōu)先級(jí)保證。2) 各業(yè)務(wù)子網(wǎng)QoS規(guī)劃一、業(yè)務(wù)流區(qū)分，對不同的業(yè)務(wù)進(jìn)行標(biāo)記從而達(dá)到區(qū)分不同業(yè)務(wù)流的目的在各業(yè)務(wù)子網(wǎng)核心交換機(jī)上，根據(jù)相應(yīng)的流分類策略，區(qū)分不同業(yè)務(wù)，標(biāo)記DSCP：實(shí)時(shí)業(yè)務(wù)(如視頻):DSCP標(biāo)記為EF需要帶寬保障的業(yè)務(wù)(如生產(chǎn)數(shù)據(jù)):DSCP標(biāo)記為AF4異地備份數(shù)據(jù):DSCP標(biāo)記為AF3管理信息:DSCP標(biāo)記為AF2二、流量管理，可以根據(jù)情況采用CAR的策略，對部分業(yè)務(wù)限制帶寬，從而減少非關(guān)鍵業(yè)務(wù)對帶寬的沖擊。三、帶寬保障，對關(guān)鍵性的業(yè)務(wù)進(jìn)行帶寬分配。在核心交換機(jī)上設(shè)置相應(yīng)的業(yè)務(wù)隊(duì)列（EF、AFAF3以及AF2隊(duì)列）并為每個(gè)隊(duì)列設(shè)置相應(yīng)的帶寬保證。3) 分類著色策略在各業(yè)務(wù)子網(wǎng)中，在匯聚交換機(jī)上著色，對業(yè)務(wù)流進(jìn)行分類：預(yù)留、語音（保證每路30K）、視頻（保證768K～2M）、加密公文（中等）、其他業(yè)務(wù)（最低保證）。在路由器/交換機(jī)上對不同的業(yè)務(wù)流打上不同的IP優(yōu)先級(jí)，對應(yīng)的優(yōu)先級(jí)如下：IP優(yōu)先級(jí)： 預(yù)留：6,7 語音：5 視頻：4 辦公公文： 31 其他業(yè)務(wù)：0 利用CAR 在設(shè)備連接的接口上標(biāo)記分類。4) 調(diào)度策略不同業(yè)務(wù)子網(wǎng)核心交換機(jī)上根據(jù)優(yōu)先級(jí)區(qū)分流，并配置基于流的加權(quán)公平隊(duì)列CBQ，并配置基于流的DifferServ。CBQ以及Differserv根據(jù)報(bào)文的流分類報(bào)文提供不同的轉(zhuǎn)發(fā)策略，對于EF類業(yè)務(wù)將分別保證帶寬和時(shí)延，對于AF類業(yè)務(wù)將保證業(yè)務(wù)帶寬，其它類業(yè)務(wù)將只保證可達(dá)性。5) 丟棄策略做CAR的時(shí)候，超過預(yù)定流量的直接丟棄。各業(yè)務(wù)子網(wǎng)具體業(yè)務(wù)的QOS保障和應(yīng)用在核心骨干網(wǎng)和安防、OA、商業(yè)網(wǎng)絡(luò)上肯定會(huì)有語音、視頻等流量在網(wǎng)絡(luò)上傳送，在網(wǎng)絡(luò)設(shè)備的QOS保障是必不可少。下面以視頻會(huì)議的QOS保障為例，來說明QOS在業(yè)務(wù)網(wǎng)上的應(yīng)用。一、在匯聚交換機(jī)設(shè)備上對視頻流進(jìn)行分流和著色。在不同業(yè)務(wù)子網(wǎng)匯聚交換機(jī)上，運(yùn)用ACL 策略對視頻流進(jìn)行分流，把關(guān)鍵業(yè)務(wù)流同其他流量區(qū)分開來，在交換機(jī)上用QOS CAR對視頻流進(jìn)行著色處理，使其IP precedence值設(shè)置為緊急隊(duì)列EF。二、在匯聚交換機(jī)配置策略，使DSCP匹配EF的視頻流進(jìn)入緊急優(yōu)先發(fā)送隊(duì)列LLQ，同時(shí)在上行鏈路上應(yīng)用該策略，保障關(guān)鍵業(yè)務(wù)流得到交換機(jī)的優(yōu)先發(fā)送。三、同樣在業(yè)務(wù)網(wǎng)核心交換機(jī)上，可以設(shè)置同樣的策略，使DSCP匹配EF的關(guān)鍵業(yè)務(wù)流進(jìn)入各自的緊急優(yōu)先發(fā)送隊(duì)列，同時(shí)在各個(gè)流出口的接口上應(yīng)用該策略，關(guān)鍵業(yè)務(wù)流均能得到優(yōu)先發(fā)送。四、通過在全網(wǎng)配置的策略一致，保障了關(guān)鍵業(yè)務(wù)流在各級(jí)交換機(jī)的優(yōu)先發(fā)送級(jí)別，從而在全網(wǎng)范圍內(nèi)保障視頻的低延時(shí)、低抖動(dòng)，實(shí)現(xiàn)對關(guān)鍵業(yè)務(wù)流在整網(wǎng)的端到端的QOS保障。同樣，對于語音這類對丟包非常敏感的報(bào)文，網(wǎng)絡(luò)設(shè)備有RTP實(shí)時(shí)傳輸協(xié)議來對語音流進(jìn)行可靠的低延時(shí)、低丟包的端到端的QOS保證。對于其他對延時(shí)沒有具體要求的業(yè)務(wù)數(shù)據(jù)流，一般都是要求有一定的帶寬保障。同樣的按照前述QOS的實(shí)施思路，通過分流、著色、應(yīng)用策略使此類業(yè)務(wù)進(jìn)入AF隊(duì)列，從而也能達(dá)到對特定的業(yè)務(wù)數(shù)據(jù)流的帶寬保證。. XX煙廠園區(qū)網(wǎng)無線網(wǎng)絡(luò)設(shè)計(jì). 方案邏輯組網(wǎng)圖XX煙廠數(shù)字化園區(qū)是有線基礎(chǔ)網(wǎng)絡(luò)上建設(shè)的一套無線網(wǎng)絡(luò)，H3C推薦采用雙星型冗余組網(wǎng)結(jié)構(gòu)。在建設(shè)完成的數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)之上分別將H3C WA2110AG無線AP以百兆速率連接至接入交換機(jī)（H3C S7506E），H3C WX5002無線控制器以千兆速率連接至核心交換機(jī)（H3C S9512）。用戶通過無線控制器和無線