【文章內(nèi)容簡介】 和防御措施也不到位造成園區(qū)網(wǎng)的脆弱和易攻擊。 華為數(shù)據(jù)中心網(wǎng)絡技術(shù)建議書 內(nèi) 部公開 20201127 版權(quán)所有，侵權(quán)必究 第 7頁，共 54頁 ? 無法滿足日益增長的網(wǎng)絡業(yè)務需求 隨著企業(yè)的業(yè)務發(fā)展 ，出現(xiàn)了基于園區(qū)網(wǎng)基礎設施的豐富 增值業(yè)務需求，例如：網(wǎng)絡接入形式要求多樣化，支持 WLAN 無線接入，滿足移動辦公、大區(qū)域無線纜覆蓋等特殊要求； 對于企業(yè)用戶 訪問外網(wǎng) 進行計費 ，計費策略可靈活設置（時長計費、流量計費、按目的地址計費）；企業(yè)多出口鏈路場景下的負載均衡、靈活選路需求。傳統(tǒng)園區(qū)網(wǎng)建設缺乏有效滿足這些增值業(yè)務需求的統(tǒng)一解決方案考慮，支持這些業(yè)務存在 園區(qū) 網(wǎng)絡 分散 建設 、 重復投資 的 問題。 ? 缺乏簡單有效的網(wǎng)絡管理系統(tǒng)，企業(yè) IT 網(wǎng)絡運維部門面臨很大壓力 當前，企業(yè)網(wǎng) IT 運維部門面臨很大的網(wǎng)絡運維壓力，來自于園區(qū)網(wǎng)內(nèi) 外部 的安全事件頻 發(fā) 、網(wǎng)絡可靠性低引起的網(wǎng)絡業(yè)務中斷現(xiàn)象，網(wǎng)絡故障診斷、分析定位過程對于 IT 運維人員的技術(shù)能力和經(jīng)驗水平要求較高，缺乏簡單有效 /低成本的圖形化網(wǎng)管工具、進行實時網(wǎng)絡拓撲顯示、狀態(tài)監(jiān)控和各種故障事件預警 /告警展示。另外， IT 運維部門也需要實施統(tǒng)計園區(qū)網(wǎng)各路徑的流量信息，便于對網(wǎng)絡帶寬進行管理和規(guī)劃 ，給后續(xù)網(wǎng)絡擴容提供參考 。 設計原則 ? 安全性 安全性 是 企業(yè)園區(qū)網(wǎng) 建設中的關鍵，它包括物理空間的安全控制及網(wǎng)絡的安全控制。 需要有 完整的安全策略控制體系 來 實現(xiàn) 企業(yè)園區(qū)網(wǎng)的 安全控制。 ? 可靠性 、 可用性 高可靠性 是 園區(qū)網(wǎng) 提供使用 的關鍵，其可靠性設計包括： 關鍵設備冗余 、 鏈路 /網(wǎng)絡 冗余 和 重要業(yè)務模塊冗余。 關鍵設備均采用電信級全冗余設計，可實現(xiàn) 單板 熱拔插、冗余的控制模塊設計、冗余電源設計。采用冗余網(wǎng)絡設計，每個層次均采用雙機方式與之間全冗余連接。提供多種冗余技術(shù)，采用高效、負載均衡的雙機備份。 可采用交換機的集群或者堆疊技術(shù)，在不降低網(wǎng)絡可靠性的前提下減化架構(gòu)。 ? 可擴展性 華為數(shù)據(jù)中心網(wǎng)絡技術(shù)建議書 內(nèi) 部公開 20201127 版權(quán)所有，侵權(quán)必究 第 8頁，共 54頁 園區(qū)網(wǎng) 方案設計中， 采用分層的網(wǎng)絡設計； 每個層次的設計所采用的設備本身都應具 足夠 高的端口密度，為 后續(xù)園區(qū)網(wǎng) 擴展奠定基礎。 在 園區(qū)出 口 層、核心層、 匯聚層 的設備都采用模塊化設計，可根據(jù) 園區(qū) 網(wǎng)的發(fā)展進行靈活擴展。 功能的可擴展性是 園區(qū)網(wǎng) 隨著發(fā)展提供增值業(yè)務的基礎。實現(xiàn) 防火墻、 負載均衡、 WLAN接入、認證計費等功能 ，為 園區(qū)網(wǎng) 增值業(yè)務的擴展提供基礎。 ? 可 維護 、 可 管理性 網(wǎng)絡 可管理性是 園區(qū)網(wǎng)成功運維 的基礎。 應提供低成本、簡單有效的園區(qū)網(wǎng)統(tǒng)一網(wǎng)管系統(tǒng)，對園區(qū)網(wǎng)所有網(wǎng)絡設備進行管理，包括拓撲顯示、狀態(tài)監(jiān)控故障事件實時預警和告警 、網(wǎng)絡流量統(tǒng)計。 3 網(wǎng)路架構(gòu)設計 總體網(wǎng)絡架構(gòu) 典型園區(qū)網(wǎng)網(wǎng)絡架構(gòu) 華為數(shù)據(jù)中心網(wǎng)絡技術(shù)建議書 內(nèi) 部公開 20201127 版權(quán)所有，侵權(quán)必究 第 9頁，共 54頁 圖 1 典型園區(qū)網(wǎng)網(wǎng)絡架構(gòu) 典型 園區(qū)網(wǎng) 方案 采用層 次化、模塊化的設計思路，按照接入層、匯聚層、核心層和出口層進行網(wǎng)絡設備設計部署，在匯聚層交換機通過模塊化 （業(yè)務單板） 方式提供防火墻、負載均衡器等增值業(yè)務功能，滿足企業(yè)日益增長的業(yè)務需求。 典型園區(qū)網(wǎng)的重要特征是不存在網(wǎng)絡單點故障，交換機設備和鏈路都冗余份，接入交換機與核心交換機通過雙規(guī)或環(huán)網(wǎng)相連接，匯聚入核心機，交換機之間采用 TRUNK 鏈路保證鏈路級可靠性。 經(jīng)濟 型園區(qū)網(wǎng)網(wǎng)絡架構(gòu) 華為數(shù)據(jù)中心網(wǎng)絡技術(shù)建議書 內(nèi) 部公開 20201127 版權(quán)所有，侵權(quán)必究 第 10頁，共 54頁 圖 2 經(jīng)濟型園區(qū)網(wǎng)網(wǎng)絡架構(gòu) 考慮到 節(jié)省 園區(qū)網(wǎng)網(wǎng)絡建設投資成本， 允許網(wǎng)絡存在單點故障，不再部署冗余交換機設 備，交換機之間互聯(lián)采用 TRUNK 鏈路，保證鏈路級可靠性，但是園區(qū)網(wǎng)交換機設備故障，會導致網(wǎng)絡故障和業(yè)務中斷。 經(jīng)濟型的園區(qū)網(wǎng)匯聚層交換機仍然可通過模塊化（業(yè)務單板）方式 提供防火墻、負載均衡器等增值業(yè)務功能 。 虛擬交換 園區(qū)網(wǎng)網(wǎng)絡架構(gòu) 華為數(shù)據(jù)中心網(wǎng)絡技術(shù)建議書 內(nèi) 部公開 20201127 版權(quán)所有，侵權(quán)必究 第 11頁，共 54頁 圖 3 虛擬交換園區(qū)網(wǎng)網(wǎng)絡架構(gòu) 園區(qū)網(wǎng)仍然按照分層結(jié)構(gòu)建設，園區(qū)交換機分為接入層、匯聚和核心層交換機。 為了增加園區(qū)網(wǎng)可靠性、降低園區(qū)網(wǎng)組網(wǎng)復雜度，園區(qū)網(wǎng)未來向虛擬化、扁平化方向發(fā)展，同層次交換機可以多臺虛擬成一臺， 接入交換機通過堆疊（ Stack） 特性，將多臺接入交換機虛擬成一臺接入交換機，匯聚 /核心交換機 通過CSS（ Cluster Switch ） 將兩臺交換機虛擬成一臺交換機 。 園區(qū)網(wǎng)接入層 /匯聚層 /核心層交換機虛擬化后， 可以減少網(wǎng)絡節(jié)點、簡化網(wǎng)絡拓撲，二層網(wǎng)絡不需要部署 RSTP/MSTP/RRPP/Smart Link 等復雜的環(huán)網(wǎng)協(xié)議和可靠性保護協(xié)議 ，實現(xiàn)無二層環(huán)路網(wǎng)絡構(gòu)建，提高二層網(wǎng)絡可靠性和鏈路故障收斂性能 ，三層網(wǎng)絡虛擬化的多臺設備間路由表統(tǒng)一計算、路由收斂速度快， 通過交換機虛擬化設計 ，交換機 互聯(lián)的 兩條鏈路就 可以作為 Trunk 鏈路 進行管理 ，對于虛擬交換機而言，實現(xiàn)跨設備的鏈路聚合（ TRUNK），大大增強鏈路可靠性，另外可實現(xiàn)鏈路的 流量 負載均衡，構(gòu)建無二層環(huán)路網(wǎng)絡，網(wǎng)絡可靠性（鏈路故障自收斂性能）和帶寬利用率都得到提高 。 華為數(shù)據(jù)中心網(wǎng)絡技術(shù)建議書 內(nèi) 部公開 20201127 版權(quán)所有，侵權(quán)必究 第 12頁，共 54頁 圖 4 交換機 集群 （堆疊） 方案 分層網(wǎng)絡設計 園區(qū)網(wǎng)的 網(wǎng)絡層次采用業(yè)界成熟的三層架構(gòu)：接入 、 匯聚和核心 ，最后企業(yè) 園區(qū)通過 出口層網(wǎng)絡設備（路由器或交換機） 連接到外網(wǎng)通過 。 這種分層的網(wǎng)絡架構(gòu)，可以保證根據(jù)的業(yè)務需求，分別對不同層次進行擴容。 接 入層 接入層 交換機 一般 部署 在 樓道 的 網(wǎng)絡機柜中，接入 園區(qū)網(wǎng)用戶（ PC 機或服務器） ，提供二層交換機功能 ，也支持三層接入功能（接入交換機為三層交換機） 。 由于接入層交換機直接接園區(qū)網(wǎng)用戶，根據(jù)用戶接入信息點數(shù)目和類型（ GE/FE），對接入交換機的 GE/FE 接口密度有較高的要求 。 另外接入交換機部署在樓道 網(wǎng)絡機柜 ，數(shù)量大，對于成本、功耗和易管理維護等特性要求較高。 高用戶密度的園區(qū)接入場景推薦使用 S5300/S9300 作為接入交換機，低用戶密度的場景推薦使用 S2300/S3300 作為接入交換機。 S5300SI； S5300EI。 S9300。 防雷 6KV；無風扇設計（ S2300）；綠色 ； 匯聚層 華為數(shù)據(jù)中心網(wǎng)絡技術(shù)建議書 內(nèi) 部公開 20201127 版權(quán)所有，侵權(quán)必究 第 13頁，共 54頁 園區(qū)匯聚層交換機一般部署在樓宇 獨立的 網(wǎng)絡匯聚 機柜中，匯聚 園區(qū)接入交換機的流量，一般提供三層交換機功能， 匯聚層 交換機 作為園區(qū)網(wǎng)的網(wǎng)關 ，終結(jié) 園區(qū)網(wǎng)用戶 的二層流量，進行三層轉(zhuǎn)發(fā)。 根據(jù)需要，可以在匯聚交換機上集成增值業(yè)務板卡（如防火墻，負載均衡器 、WLAN AC 控制器 ）或者旁掛獨立的增值業(yè)務設備，為 園區(qū)網(wǎng)用戶 提供增值業(yè)務。 匯聚交換機需要提供高密度的 GE 接口，匯聚接入交換機的流量 ，通過 10GE 接口接到核心交換機，推薦使用 S9300 系列交換機作為園區(qū)匯聚層交換機。 S5300－ EI， S9300， 核心層 園區(qū)核心層交換機部署在園區(qū)核心機房中 ，匯聚各 樓宇 /區(qū)域之間的 用戶 流量 ， 提供三層交換機功能 ， 連接園區(qū)外部網(wǎng)絡到內(nèi)部用戶的“縱向流量”和不同匯聚區(qū)域用戶之間的“橫向流量” 要求高密 10GE、 高 轉(zhuǎn)發(fā)性能 。 推薦使用 S9300 作為園區(qū)核心 層 交換機。 出口 層 園區(qū)出口路由器 ， 連接 Inter/WAN 廣域網(wǎng)和園區(qū) 內(nèi)部局域網(wǎng) 。 推薦華為 AR 和SRG系列路由器作為企業(yè)出口路由器。 對于中小型 企業(yè)園區(qū)網(wǎng)， 核心層 和出口層 可 進行合并 ， 通過核心交 換機（ S9300）的 WAN接口板的廣域網(wǎng)接口（ POS 等）直接與外網(wǎng)相連。 二三層網(wǎng)絡分界點設計 ? 二三層網(wǎng)絡分界點（用戶網(wǎng)關）設置在 匯聚交換機 匯聚交換機作為用戶的網(wǎng)關設備， 接入交換機與匯聚交換機之間是二層網(wǎng)絡，通過 STP/RSTP/MSTP/RRPP 保證 網(wǎng)絡 可靠性和防止 二層 網(wǎng)絡環(huán)路 產(chǎn)生， 匯聚交換機與核心交換機之間是三層網(wǎng)絡，運行 OSPF 等路由協(xié)議，通過等價路由、 IP FRR保證三層網(wǎng)絡可靠性、加快路由收斂時間。 【 優(yōu)點 】 1) 接入交換機是二層交換機，成本低，并且可保護客戶現(xiàn)有端二層交換機的投資； 2) 高 可靠性， 二 層網(wǎng)絡故障收斂速度快； 華為數(shù)據(jù)中心網(wǎng)絡技術(shù)建議書 內(nèi) 部公開 20201127 版權(quán)所有，侵權(quán)必究 第 14頁，共 54頁 【 缺點 】 1) 接入交換機和匯聚交換機之間存在二層環(huán)路風險，需要配置保證； 2) 接入交換機與匯聚交換機之間鏈路利用率低，需要啟二層協(xié)議負載均擔多實例以提高鏈路利用率。 本方案的缺點可以通過接入交換機堆疊 /匯聚交換機集群（交換機虛擬化）方案來解決。園區(qū)匯聚交換機作為二三層網(wǎng)絡分界點（用戶關設備）是經(jīng)典的園區(qū)網(wǎng)架構(gòu)，推薦使用。 ? 二三層網(wǎng)絡分界點（用戶網(wǎng)關）設置在接入交換機 接入交換機作為用戶的二三層分界點（網(wǎng)關設備）， 即 三層到邊緣的園區(qū)網(wǎng)架構(gòu)，接入交換機到匯聚交換機、匯聚交到核心之 間都是三層網(wǎng)絡，運行 OSPF 等路由協(xié)議， 整個企業(yè)園區(qū)是全路由型網(wǎng)絡。 【 優(yōu)點 】 1) 網(wǎng)絡易擴展： 園區(qū)網(wǎng)架構(gòu)對物理 網(wǎng)絡拓撲依賴度低，可以任意網(wǎng)絡拓撲形式擴展 ； 2) 網(wǎng)絡易維護： 全網(wǎng)為三 層網(wǎng)絡 、 無二層環(huán)路網(wǎng)絡風險，無需配置生成樹協(xié)議、 RRPP 和 VRRP，降低 網(wǎng)絡 配置和維護工作量 。 【 缺點 】 1) 交換機成本相對較高：相對與二層接入交換機，成本較高； 2) 接入層為三層網(wǎng)絡，網(wǎng)絡故障路由收斂速度相對較慢。 4 高可靠性設計 網(wǎng)絡高可靠性設計 園區(qū)網(wǎng)高可靠性設計總體方案如下圖所示： 華為數(shù)據(jù)中心網(wǎng)絡技術(shù)建議書 內(nèi) 部公開 20201127 版權(quán)所有，侵權(quán)必究 第 15頁，共 54頁 圖 5 園區(qū)網(wǎng)高可靠性設計方案總覽 針對二層接入（接入交換機 是二層交換機、匯聚交換機作為用戶網(wǎng)關） 典型園區(qū)網(wǎng)架構(gòu)，從接入層、匯聚層、核心層來分層考慮網(wǎng)絡可靠性設計。 接入層網(wǎng)絡是二層網(wǎng)絡，接入交換機與匯聚交換機之間通過 Smart Link/STP/RSTP/MSTP/RRPP 保證網(wǎng)絡可靠性，同時解決二層網(wǎng)絡環(huán)路問題 ；匯聚層交換機之間通過 VRRP（ BFD for VRRP）協(xié)議確定用戶的主備網(wǎng)關，交換機互聯(lián)通過TRUNK 鏈路，保證鏈路級可靠性，匯聚交換機與接入交換機之間可通過 DLDP 協(xié)議檢測光纖單向故障（單通故障） 。 園區(qū)網(wǎng)接入 /匯聚 /核心交換機通過虛擬化技術(shù)進行集群 （或堆疊）， 將兩臺 /多臺交換機虛擬化成一臺交換機，降低網(wǎng)絡拓撲復雜度的同時提高可靠性是未來高可靠性園區(qū)網(wǎng)的發(fā)展趨勢。 典型園區(qū)網(wǎng)可靠性組網(wǎng)設計方案有：口子型組網(wǎng)、三角型組網(wǎng)、 U子型組網(wǎng)。 ? 可靠性組網(wǎng)方案 1：口子型組網(wǎng) 華為數(shù)據(jù)中心網(wǎng)絡技術(shù)建議書 內(nèi) 部公開 20201127 版權(quán)所有，侵權(quán)必究 第 16頁，共 54頁 圖 6 口子型組網(wǎng) 接入交換機與匯聚交換機之間是二層網(wǎng)絡， 匯聚交換機作為用戶網(wǎng)關設備，兩臺匯聚交換機之間通過二層 TRUNK 鏈路互連，多臺接入交換機與兩臺匯聚交換機之間組成口子型二層環(huán)網(wǎng)，并且 通過 部署 STP/RSTP/MSTP/RRPP 等 協(xié)議進行二層環(huán)網(wǎng)阻斷、環(huán)網(wǎng)故障檢測和保護倒換功能 。兩臺匯聚交換機運行 VRRP（ BFD+VRRP）協(xié)議確定主備用戶網(wǎng)關， VRRP 報文 直接在匯聚交換機直連的 TRUNK 鏈路上收發(fā) 。注意：兩臺匯聚交換機 鏈路 需要保證絕對可靠 ，必須采用 TRUNK 鏈路、包含兩條以上物理鏈路 ， 因為匯聚交換機間鏈路 DOWN，兩臺匯聚交換機 VRRP 狀態(tài)都為主（ VRRP 雙主情況產(chǎn)生）， 此時 接入二層環(huán)網(wǎng)阻塞在匯聚交換機之間的直連鏈路上 ，這樣接入用戶同時感知兩個處于 VRRP 主用狀態(tài)的網(wǎng)關設備（匯聚交換機），出現(xiàn)問題。 口子型組網(wǎng)方案的優(yōu)點是，園區(qū)網(wǎng) 各個樓層接入交換機可以串在一起，與匯聚交換機組成二層環(huán)網(wǎng)， 匯聚交換機統(tǒng)一為各樓層接入交換機下的用戶分配 IP 地址，實