【正文】 35 可靠性設(shè)計(jì)目標(biāo)方案組網(wǎng)園區(qū)網(wǎng)可靠性方案設(shè)計(jì)的目標(biāo)方案或發(fā)展趨勢是各層次園區(qū)網(wǎng)交換機(jī)都進(jìn)行虛擬化，通過集群/堆疊技術(shù)將兩臺(tái)或多臺(tái)交換機(jī)虛擬成一臺(tái)交換機(jī)。U子型方案的優(yōu)點(diǎn)：二層接入網(wǎng)不存在環(huán)路，不需要配置相對復(fù)雜的環(huán)網(wǎng)保護(hù)協(xié)議（STP/RSTP/MSTP/RRPP）。for252。Link故障檢測和保護(hù)倒換速度快（200～400ms）；支持園區(qū)網(wǎng)園區(qū)不同樓層的用戶可以共用同一個(gè)IP地址網(wǎng)段。注意：兩臺(tái)匯聚交換機(jī)鏈路需要保證絕對可靠，必須采用TRUNK鏈路。 可靠性組網(wǎng)方案2：三角型組網(wǎng)注意：兩臺(tái)匯聚交換機(jī)鏈路需要保證絕對可靠，必須采用TRUNK鏈路、包含兩條以上物理鏈路，因?yàn)閰R聚交換機(jī)間鏈路DOWN，兩臺(tái)匯聚交換機(jī)VRRP狀態(tài)都為主（VRRP雙主情況產(chǎn)生），此時(shí)接入二層環(huán)網(wǎng)阻塞在匯聚交換機(jī)之間的直連鏈路上，這樣接入用戶同時(shí)感知兩個(gè)處于VRRP主用狀態(tài)的網(wǎng)關(guān)設(shè)備（匯聚交換機(jī)），出現(xiàn)問題。252。典型園區(qū)網(wǎng)可靠性組網(wǎng)設(shè)計(jì)方案有：口子型組網(wǎng)、三角型組網(wǎng)、U子型組網(wǎng)。VRRP）協(xié)議確定用戶的主備網(wǎng)關(guān)，交換機(jī)互聯(lián)通過TRUNK鏈路，保證鏈路級可靠性，匯聚交換機(jī)與接入交換機(jī)之間可通過DLDP協(xié)議檢測光纖單向故障（單通故障）。3 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計(jì)【缺點(diǎn)】2) 高可靠性，二層網(wǎng)絡(luò)故障收斂速度快；FRR保證三層網(wǎng)絡(luò)可靠性、加快路由收斂時(shí)間。二三層網(wǎng)絡(luò)分界點(diǎn)設(shè)計(jì) 核心層AC控制器）或者旁掛獨(dú)立的增值業(yè)務(wù)設(shè)備，為園區(qū)網(wǎng)用戶提供增值業(yè)務(wù)。 匯聚層另外接入交換機(jī)部署在樓道網(wǎng)絡(luò)機(jī)柜，數(shù)量大，對于成本、功耗和易管理維護(hù)等特性要求較高。 接入層園區(qū)網(wǎng)的網(wǎng)絡(luò)層次采用業(yè)界成熟的三層架構(gòu)：接入、匯聚和核心，最后企業(yè)園區(qū)通過出口層網(wǎng)絡(luò)設(shè)備（路由器或交換機(jī)）連接到外網(wǎng)通過。Link等復(fù)雜的環(huán)網(wǎng)協(xié)議和可靠性保護(hù)協(xié)議，實(shí)現(xiàn)無二層環(huán)路網(wǎng)絡(luò)構(gòu)建，提高二層網(wǎng)絡(luò)可靠性和鏈路故障收斂性能，三層網(wǎng)絡(luò)虛擬化的多臺(tái)設(shè)備間路由表統(tǒng)一計(jì)算、路由收斂速度快，Switch圖 22 經(jīng)濟(jì)型園區(qū)網(wǎng)網(wǎng)絡(luò)架構(gòu)考慮到節(jié)省園區(qū)網(wǎng)網(wǎng)絡(luò)建設(shè)投資成本，允許網(wǎng)絡(luò)存在單點(diǎn)故障，不再部署冗余交換機(jī)設(shè)備，交換機(jī)之間互聯(lián)采用TRUNK鏈路，保證鏈路級可靠性，但是園區(qū)網(wǎng)交換機(jī)設(shè)備故障，會(huì)導(dǎo)致網(wǎng)絡(luò)故障和業(yè)務(wù)中斷。 典型園區(qū)網(wǎng)網(wǎng)絡(luò)架構(gòu)采用冗余網(wǎng)絡(luò)設(shè)計(jì)，每個(gè)層次均采用雙機(jī)方式，層次與層次之間采用全冗余連接。252。(五) 缺乏簡單有效的網(wǎng)絡(luò)管理系統(tǒng)，企業(yè)IT網(wǎng)絡(luò)運(yùn)維部門面臨很大壓力：當(dāng)前，企業(yè)網(wǎng)IT運(yùn)維部門面臨很大的網(wǎng)絡(luò)運(yùn)維壓力，來自于園區(qū)網(wǎng)內(nèi)外部的安全事件頻發(fā)、網(wǎng)絡(luò)可靠性低引起的網(wǎng)絡(luò)業(yè)務(wù)中斷現(xiàn)象，網(wǎng)絡(luò)故障診斷、分析定位過程對于IT運(yùn)維人員的技術(shù)能力和經(jīng)驗(yàn)水平要求較高，缺乏簡單有效/低成本的圖形化網(wǎng)管工具、進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)拓?fù)滹@示、狀態(tài)監(jiān)控和各種故障事件預(yù)警/告警展示。 需求分析 項(xiàng)目背景 項(xiàng)目目標(biāo)隨著企業(yè)信息化建設(shè)不斷深入，企業(yè)的生產(chǎn)業(yè)務(wù)系統(tǒng)、經(jīng)營管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)均得到大力發(fā)展，對于企業(yè)園區(qū)網(wǎng)的建設(shè)要求越來越高。(二) 網(wǎng)絡(luò)可靠性規(guī)劃不合理，影響企業(yè)生產(chǎn)和經(jīng)營管理、造成投資浪費(fèi)：由于缺乏有效的園區(qū)網(wǎng)規(guī)劃，對于網(wǎng)絡(luò)可靠性考慮不夠，網(wǎng)絡(luò)中既存在單點(diǎn)故障導(dǎo)致網(wǎng)絡(luò)可靠性低、影響企業(yè)生產(chǎn)和經(jīng)營管理行為，同時(shí)也存在網(wǎng)絡(luò)過度冗余、造成投資浪費(fèi)的現(xiàn)象。(四) 無法滿足日益增長的網(wǎng)絡(luò)業(yè)務(wù)需求：隨著企業(yè)的業(yè)務(wù)發(fā)展，出現(xiàn)了基于園區(qū)網(wǎng)基礎(chǔ)設(shè)施的豐富增值業(yè)務(wù)需求，例如：網(wǎng)絡(luò)接入形式要求多樣化，支持WLAN無線接入，滿足移動(dòng)辦公、大區(qū)域無線纜覆蓋等特殊要求；對于企業(yè)用戶訪問外網(wǎng)進(jìn)行計(jì)費(fèi)，計(jì)費(fèi)策略可靈活設(shè)置（時(shí)長計(jì)費(fèi)、流量計(jì)費(fèi)、按目的地址計(jì)費(fèi)）；企業(yè)多出口鏈路場景下的負(fù)載均衡、靈活選路需求。另外，IT運(yùn)維部門也需要實(shí)施統(tǒng)計(jì)園區(qū)網(wǎng)各路徑的流量信息，便于對網(wǎng)絡(luò)帶寬進(jìn)行管理和規(guī)劃，給后續(xù)網(wǎng)絡(luò)擴(kuò)容提供參考。(二) 可靠性、可用性：高可靠性是園區(qū)網(wǎng)提供使用的關(guān)鍵，其可靠性設(shè)計(jì)包括：關(guān)鍵設(shè)備冗余、鏈路/網(wǎng)絡(luò)冗余和重要業(yè)務(wù)模塊冗余。提供多種冗余技術(shù)，采用高效、負(fù)載均衡的雙機(jī)備份。(三) 可擴(kuò)展性：園區(qū)網(wǎng)方案設(shè)計(jì)中，采用分層的網(wǎng)絡(luò)設(shè)計(jì)；每個(gè)層次的設(shè)計(jì)所采用的設(shè)備本身都應(yīng)具足夠高的端口密度，為后續(xù)園區(qū)網(wǎng)擴(kuò)展奠定基礎(chǔ)。功能的可擴(kuò)展性是園區(qū)網(wǎng)隨著發(fā)展提供增值業(yè)務(wù)的基礎(chǔ)。(四) 可維護(hù)、可管理性：網(wǎng)絡(luò)可管理性是園區(qū)網(wǎng)成功運(yùn)維的基礎(chǔ)。圖 21典型園區(qū)網(wǎng)的重要特征是不存在網(wǎng)絡(luò)單點(diǎn)故障，交換機(jī)設(shè)備和鏈路都存在冗余備份，接入交換機(jī)與核心交換機(jī)通過雙規(guī)或環(huán)網(wǎng)相連接，匯聚交換機(jī)雙規(guī)接入核心交換機(jī)，交換機(jī)之間采用TRUNK鏈路保證鏈路級可靠性。 虛擬交換園區(qū)網(wǎng)網(wǎng)絡(luò)架構(gòu)）將兩臺(tái)交換機(jī)虛擬成一臺(tái)交換機(jī)。通過交換機(jī)虛擬化設(shè)計(jì)，交換機(jī)互聯(lián)的兩條鏈路就可以作為Trunk鏈路進(jìn)行管理，對于虛擬交換機(jī)而言，實(shí)現(xiàn)跨設(shè)備的鏈路聚合（TRUNK），大大增強(qiáng)鏈路可靠性，另外可實(shí)現(xiàn)鏈路的流量負(fù)載均衡，構(gòu)建無二層環(huán)路網(wǎng)絡(luò)，網(wǎng)絡(luò)可靠性（鏈路故障自收斂性能）和帶寬利用率都得到提高。接入層交換機(jī)一般部署在樓道的網(wǎng)絡(luò)機(jī)柜中，接入園區(qū)網(wǎng)用戶（PC機(jī)或服務(wù)器），提供二層交換機(jī)功能，也支持三層接入功能（接入交換機(jī)為三層交換機(jī)）。園區(qū)匯聚層交換機(jī)一般部署在樓宇獨(dú)立的網(wǎng)絡(luò)匯聚機(jī)柜中，匯聚園區(qū)接入交換機(jī)的流量，一般提供三層交換機(jī)功能，匯聚層交換機(jī)作為園區(qū)網(wǎng)的網(wǎng)關(guān)，終結(jié)園區(qū)網(wǎng)用戶的二層流量，進(jìn)行三層轉(zhuǎn)發(fā)。園區(qū)核心層交換機(jī)部署在園區(qū)核心機(jī)房中，匯聚各樓宇/區(qū)域之間的用戶流量，提供三層交換機(jī)功能，連接園區(qū)外部網(wǎng)絡(luò)到內(nèi)部用戶的“縱向流量”和不同匯聚區(qū)域用戶之間的“橫向流量”要求高密10GE、高轉(zhuǎn)發(fā)性能。 出口層對于中小型企業(yè)園區(qū)網(wǎng)，核心層和出口層可進(jìn)行合并，通過核心交換機(jī)（S9300）的WAN接口板的廣域網(wǎng)接口（POS等）直接與外網(wǎng)相連。252。【缺點(diǎn)】本方案的缺點(diǎn)可以通過接入交換機(jī)堆疊/匯聚交換機(jī)集群（交換機(jī)虛擬化）方案來解決。252?！緝?yōu)點(diǎn)】1) 交換機(jī)成本相對較高：相對與二層接入交換機(jī)，成本較高； 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計(jì)接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機(jī)與匯聚交換機(jī)之間通過Smart 可靠性組網(wǎng)方案1：口子型組網(wǎng)口子型組網(wǎng)方案是園區(qū)網(wǎng)非常經(jīng)典的可靠性設(shè)計(jì)方案，適合各種規(guī)模的園區(qū)網(wǎng)應(yīng)用場景。圖 33 三角型組網(wǎng)匯聚交換機(jī)作為用戶網(wǎng)關(guān)設(shè)備，兩臺(tái)匯聚交換機(jī)之間通過二層鏈路互連，每臺(tái)接入交換機(jī)上行有兩條鏈路接入到兩臺(tái)匯聚交換機(jī)，接入交換機(jī)上行兩條鏈路的主備關(guān)系由運(yùn)行的Smart口子型組網(wǎng)場景下，多個(gè)樓層之間可以共用VRRP組，不受匯聚交換機(jī)VRRP組數(shù)量限制，可實(shí)現(xiàn)不同樓層間的園區(qū)用戶可以共享一個(gè)IP地址網(wǎng)段。 可靠性組網(wǎng)方案3：U字型組網(wǎng)VRRP）協(xié)議協(xié)商，VRRP協(xié)議通過接入交換機(jī)轉(zhuǎn)發(fā)，每組接入交換機(jī)與兩臺(tái)匯聚交換機(jī)組成的一個(gè)物理U型網(wǎng)絡(luò)需要啟用一組VRRP，匯聚交換機(jī)通過多個(gè)物理端口會(huì)接入多個(gè)二層U型網(wǎng)絡(luò)，這樣匯聚交換機(jī)間需要運(yùn)行多個(gè)VRRP組（每個(gè)二層U型接入網(wǎng)絡(luò)運(yùn)行一個(gè)VRRP組），一般一個(gè)U型二層接入網(wǎng)覆蓋的是同一個(gè)樓層的接入交換機(jī)?？梢蕴岣邌喂?jié)點(diǎn)設(shè)備可靠性，一臺(tái)交換機(jī)故障，另外一臺(tái)交換機(jī)自動(dòng)接管故障設(shè)備上的所有業(yè)務(wù)，可以做到業(yè)務(wù)無損切換。網(wǎng)絡(luò)管理和維護(hù)難度大大降低，此方案適應(yīng)面廣，擴(kuò)展性強(qiáng)，是未來園區(qū)網(wǎng)的發(fā)展趨勢。設(shè)備本身要具有電信級5個(gè)9的可靠性，需要網(wǎng)絡(luò)設(shè)備支持: 主控1:1備份 DC電源1+1備份；AC電源1+1/2+2備份 模塊化的風(fēng)扇設(shè)計(jì)，高端配置支持單風(fēng)扇失效 無源背板，高可靠性如下圖所示,隨著黑客工具的泛濫和使用的方便,使的網(wǎng)絡(luò)攻擊的成本越來越來,但危害越來越大.Flood攻擊、SYN發(fā)生MAC地址攻擊的時(shí)候，攻擊者通過不停的發(fā)送MAC地址來刷新，填充交換機(jī)的MAC地址表，由于MAC地址表的規(guī)格有限，導(dǎo)致正常流量由于沒有正確的轉(zhuǎn)發(fā)表項(xiàng)而無法正常轉(zhuǎn)發(fā)。 園區(qū)網(wǎng)絡(luò)交換機(jī)虛擬化規(guī)劃設(shè)計(jì)所謂集群，就是把物理的多臺(tái)服務(wù)器連接在一起，對外表現(xiàn)為一臺(tái)邏輯的服務(wù)器，提供服務(wù)。圖 37 集群組網(wǎng)的優(yōu)勢采用集群技術(shù)，對企業(yè)園區(qū)網(wǎng)絡(luò)，有四大優(yōu)勢：快速的故障收斂隨著業(yè)務(wù)的增加，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級時(shí)，采用集群的方式，只需要增加新設(shè)備既可，不需要更改網(wǎng)絡(luò)配置的情況下，平滑擴(kuò)容，很好的保護(hù)了用戶投資。如下圖所示，這種方式有如下的優(yōu)勢：252。 不占用業(yè)務(wù)槽位252。S93系列采用堆疊線連接，實(shí)際上是對交換網(wǎng)的延伸。252。堆疊設(shè)備的角色分為Master和Slave；通過對Master252。iStack252。通過增加成員設(shè)備，可以輕松自如的擴(kuò)展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。252。設(shè)備在作為備份的同時(shí)也可以處理業(yè)務(wù)，一旦Master252。由于iStack因此，iStack4 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計(jì)園區(qū)網(wǎng)全方位的安全設(shè)計(jì)方案保證內(nèi)部、外部用戶訪問園區(qū)網(wǎng)資源的安全性。網(wǎng)絡(luò)準(zhǔn)入控制NAC企業(yè)網(wǎng)交換機(jī)與華為賽門鐵克的NAC方案配套，實(shí)現(xiàn)對接入用戶的身份認(rèn)證、終端健康檢查，并實(shí)現(xiàn)基于用戶角色的差異化權(quán)限控制。 、Portal、MAC等多種認(rèn)證方式，可以與園區(qū)網(wǎng)交換機(jī)實(shí)現(xiàn)接入、匯聚層的端點(diǎn)準(zhǔn)入控制。 強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評估。VLAN等。策略服務(wù)器也就是管理服務(wù)器，NAC方案的核心是整合與聯(lián)動(dòng)，其中的安全策略服務(wù)器是NAC方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)檢查評估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。圖 432)4)獲取業(yè)務(wù)網(wǎng)絡(luò)訪問權(quán)限。 用戶MAC認(rèn)證用戶終端上電（），用戶發(fā)起ARP或DHCP請求等報(bào)文；認(rèn)證服務(wù)器將攜帶VLAN或二三層ACL的Radius屬性下發(fā)至園區(qū)交換機(jī)，根據(jù)用戶認(rèn)證結(jié)果控制其網(wǎng)絡(luò)訪問權(quán)限；5)252。用戶終端上電，用戶發(fā)起ARP或DHCP請求等報(bào)文；認(rèn)證服務(wù)器將攜帶VLAN或二三層ACL的Radius屬性下發(fā)至園區(qū)交換機(jī)，根據(jù)用戶認(rèn)證結(jié)果控制其網(wǎng)絡(luò)訪問權(quán)限；5)圖 461)3)Portal服務(wù)器通過Portal6)獲取業(yè)務(wù)網(wǎng)絡(luò)訪問權(quán)限。規(guī)劃設(shè)計(jì) 防IP/MAC地址盜用和ARP中間人攻擊Snooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCP接口等信息，DHCP另外，DHCPSnooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。這樣，可以完成交換機(jī)對假冒DHCP252。ARP并動(dòng)態(tài)建立綁定關(guān)系。 防IP/MAC地址掃描攻擊當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí)，觸發(fā)ARP園區(qū)交換機(jī)支持IP地址掃描攻擊的防護(hù)能力，收到目的IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會(huì)發(fā)送一個(gè)ARP請求報(bào)文，并針對目的地址下一條丟棄表項(xiàng)（棄后續(xù)所有目的地址為該直連網(wǎng)段的ARP報(bào)文），以防止后續(xù)報(bào)文持續(xù)沖擊CPU。在上述基礎(chǔ)上，交換機(jī)還支持基于接口設(shè)置ARPmiss不再處理，直接丟棄。如果ARP 防MAC地址掃描攻擊交換機(jī)二層MAC轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表，華為園區(qū)交換機(jī)支持基于端口/VLAN的MAC學(xué)習(xí)數(shù)目限制，同時(shí)支持MAC表學(xué)習(xí)速率限制，有效防御MAC地址掃描攻擊行為。 廣播/組播報(bào)文抑制可基于端口或VLAN限制廣播報(bào)文流量百分比或速率閾值。園區(qū)網(wǎng)防火墻功能部署企業(yè)園區(qū)網(wǎng)邊界防御分為兩個(gè)部分：園區(qū)出口邊界防御、園區(qū)內(nèi)部邊界防御。園區(qū)網(wǎng)中防火墻功能無論是獨(dú)立設(shè)備部署還是集成在核心/匯聚交換機(jī)內(nèi)部，都必須支持靈活的業(yè)務(wù)流控制策略配置，能把特定的流量引到防火墻進(jìn)行處理，其他流量進(jìn)行旁路。設(shè)計(jì)方式，即交換機(jī)內(nèi)集成的多塊防火墻板卡支持負(fù)載分擔(dān)和主備模式，不同交換機(jī)內(nèi)的防火墻支持Active/Active模式，同時(shí)能夠處理流量。包過濾：支持基于ACL的基本包過濾，支持基于FTP、HTTP等應(yīng)用層協(xié)議包過濾（ASPF）； 防火墻性能選擇252。252。從數(shù)據(jù)流數(shù)目方面考慮,決定設(shè)備的防護(hù)性能 每秒新建連接數(shù)：決定單位時(shí)間的防護(hù)能力 ACL匹配速