【文章內(nèi)容簡介】 SEP通過普通edge端口與STP混合組網(wǎng)l SEP通過noneighboredge端口與STP混合組網(wǎng) CSS/iStack園區(qū)網(wǎng)絡(luò)一般分層部署，大型園區(qū)網(wǎng)絡(luò)分為接入層、匯聚層和核心層。為保證可靠性，部署雙上行鏈路，不可避免鏈路冗余，需要部署破環(huán)協(xié)議，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，xSTP協(xié)議收斂時(shí)間慢，可用性差，由此引出新的解決方案，即CSS/iStack技術(shù)。為了提高園區(qū)網(wǎng)的可靠性，在接入層推薦采用iStack（堆疊）技術(shù)，即多臺(tái)交換機(jī)堆疊在一起，選舉出一臺(tái)換機(jī)做為主交換機(jī)，一臺(tái)交換機(jī)為備交換機(jī)，剩下的交換機(jī)稱為從交換機(jī)。主交換機(jī)是整個(gè)堆疊系統(tǒng)中的控制中心。堆疊中每一臺(tái)交換機(jī)都同時(shí)具備成為主交換機(jī)或者備交換機(jī)的能力。iStack中多臺(tái)交換機(jī)作為一個(gè)整體對(duì)外體現(xiàn)為一臺(tái)邏輯設(shè)備，共用一個(gè)管理IP地址和一個(gè)MAC地址，且組建方便。堆疊的運(yùn)維費(fèi)用低，空間占用小，綠色節(jié)能。核心層采用CSS（集群）技術(shù)，匯聚采用CSS或iStack技術(shù)，即將兩臺(tái)交換機(jī)通過專用的堆疊電纜連接起來，選出一臺(tái)為主交換機(jī)，一臺(tái)為備交換機(jī)，對(duì)外呈現(xiàn)為一臺(tái)邏輯交換機(jī)。CSS/iStack技術(shù)在網(wǎng)絡(luò)擴(kuò)容時(shí)，保護(hù)已有網(wǎng)絡(luò)規(guī)劃不變，擴(kuò)容方便簡單，擴(kuò)容的同時(shí)，將兩臺(tái)物理設(shè)備虛擬為一臺(tái)設(shè)備，簡化了設(shè)備的配置和管理。多臺(tái)設(shè)備間冗余、備份，提高系統(tǒng)的可靠性。不同網(wǎng)絡(luò)層級(jí)之間建立EthTrunk，支持跨成員端口聚合，消除了EthTrunk在單臺(tái)交換機(jī)上的單點(diǎn)故障。具有很高的可用性。Ethtrunk是物理層協(xié)議，是將—組物理接口捆綁在一起作為一個(gè)邏輯接口來增加帶寬的一種方法。通過在兩臺(tái)設(shè)備之間建立鏈路聚合組，可以提供更高的通訊帶寬和更高的可靠性。鏈路聚合不僅為設(shè)備間通信提供了冗余保護(hù)，而且不需要對(duì)硬件進(jìn)行升級(jí)。EthTrunk的負(fù)載分擔(dān)模式分為手工負(fù)載分擔(dān)模式和靜態(tài)負(fù)載分擔(dān)模式。CSS/iStack技術(shù)代替?zhèn)鹘y(tǒng)的MSTP+VRRP組網(wǎng)，克服了網(wǎng)絡(luò)復(fù)雜時(shí)MSTP收斂時(shí)間過長、網(wǎng)絡(luò)拓?fù)洳环€(wěn)定的弊端。圖11 CSS/iStack拓?fù)鋱D對(duì)可靠性要求較高的企業(yè)，推薦使用CSS/iStack技術(shù)，無需部署破環(huán)協(xié)議，網(wǎng)絡(luò)拓?fù)浜唵?，帶寬利用率高，網(wǎng)絡(luò)可靠性高。 路由設(shè)計(jì) 路由概述建議采用匯聚交換機(jī)作為路由和交換的分界點(diǎn)。圖12 路由交換分界點(diǎn)設(shè)計(jì)這種設(shè)計(jì)方法有如下的優(yōu)點(diǎn)：l 路由配置簡單只需要在2臺(tái)匯聚/核心交換機(jī)上配置路由。大量的接入交換機(jī)只做二層交換，配置簡單。便于采用接入交換機(jī)的“自動(dòng)配置”功能，減少配置維護(hù)工作量。l 擴(kuò)展性好在同一個(gè)匯聚/核心交換機(jī)下的服務(wù)器擴(kuò)容方便，并且隨著業(yè)務(wù)的變化不需要更改網(wǎng)絡(luò)的配置，即插即用。 IGP設(shè)計(jì)IGP協(xié)議選擇由于園區(qū)網(wǎng)內(nèi)部可能存在不規(guī)則區(qū)域，且路由節(jié)點(diǎn)不是特別多，建議使用OSPF路由協(xié)議。每個(gè)業(yè)務(wù)部門區(qū)域作為一個(gè)單獨(dú)的OSPF區(qū)域。OSPF規(guī)劃l 規(guī)劃合理的RouteIDRouteID建議采用Loopback接口IP地址。l OSPF核心區(qū)域規(guī)劃出口路由器和核心交換機(jī)作為OSPF的Area0，出口路由器作為ASBR和ABR，核心交換機(jī)為ABR。每個(gè)匯聚交換機(jī)和核心交換機(jī)組網(wǎng)部署為不同的OSPF Area ID1，2，N。l OSPF邊緣區(qū)域規(guī)劃每個(gè)匯聚交換機(jī)和核心交換機(jī)組網(wǎng)部署為不同的OSPF Area ID1,2,N，Area1,2,N使用OSPFNSSA區(qū)域。與原先的普通的完全OSPF區(qū)域相比，通過規(guī)劃減少LSA在區(qū)域間的傳播，減少路由條數(shù)；和純stub區(qū)域相比部署路由協(xié)議更加靈活。另外核心交換機(jī)和出口路由器通過區(qū)域匯總，限制了區(qū)域間傳播的LSA條目。邊緣區(qū)域使用NSSA區(qū)域的優(yōu)勢(shì)在于：能精簡骨干區(qū)域路由器的路由表；減少骨干區(qū)域內(nèi)OSPF交互的信息量；提高路由表項(xiàng)的穩(wěn)定性。一個(gè)區(qū)域的路由計(jì)算和網(wǎng)絡(luò)調(diào)整不會(huì)影響其它區(qū)域，因故障引起的路由震蕩被隔離在區(qū)域內(nèi)部。如果部門較少，建議只配置Area0。圖13 OSPF規(guī)劃圖 BGP設(shè)計(jì)園區(qū)網(wǎng)中使用BGP的場景l(fā) 場景1路由數(shù)量過于龐大，OSPF難以勝任時(shí)。一般單獨(dú)一個(gè)園區(qū)內(nèi)部路由數(shù)目可能不會(huì)很多，但是當(dāng)一個(gè)企業(yè)分支眾多且IP規(guī)劃不十分合理，導(dǎo)致路由條目過多，特別是園區(qū)的出口路由器上可建議部署B(yǎng)GP進(jìn)行合理規(guī)劃引入部分路由。l 場景2由于業(yè)務(wù)需要，需要大量的使用路由策略或者是業(yè)務(wù)分流，使用OSPF等協(xié)議不擅長，使用BGP可以方便的控制路由策略，來分配業(yè)務(wù)流向。l 場景3部署MPLS VPN技術(shù)時(shí)，用于復(fù)雜的隔離策略等。園區(qū)網(wǎng)使用BGP的基本規(guī)劃l Routerid的規(guī)劃BGP的routerid與OSPF的routerid共用一個(gè)，與Loopback接口地址相同。l ASnumber的規(guī)劃由于企業(yè)網(wǎng)中都是私有網(wǎng)絡(luò)，所以BGP使用私有的AS number。l IBGP和EBGP的選擇由于企業(yè)網(wǎng)的規(guī)模通常都不會(huì)很大，通常IBGP就可以滿足一般的需求了。BGP對(duì)設(shè)備的要求BGP協(xié)議本身并不消耗很多資源，只有當(dāng)運(yùn)行BGP的設(shè)備需要學(xué)習(xí)到很多條路由，需要建立很多鄰居關(guān)系時(shí)才會(huì)要求設(shè)備自身的性能很高。只要規(guī)劃得當(dāng)，任何檔次的設(shè)備（包括接入層設(shè)備）都可以運(yùn)行BGP協(xié)議。 組播規(guī)劃 組播概述IP組播技術(shù)實(shí)現(xiàn)了IP網(wǎng)絡(luò)中點(diǎn)到多點(diǎn)的高效數(shù)據(jù)傳送。相對(duì)于數(shù)據(jù)單播傳送，組播有效節(jié)省網(wǎng)絡(luò)帶寬，降低對(duì)網(wǎng)絡(luò)設(shè)備的要求，用戶規(guī)?？梢造`活變化，用戶規(guī)模的增大不會(huì)對(duì)網(wǎng)絡(luò)和服務(wù)器造成帶寬和性能壓力。所以在實(shí)時(shí)數(shù)據(jù)傳送、多媒體會(huì)議、數(shù)據(jù)拷貝、游戲和仿真等諸多方面都有廣泛的應(yīng)用。組播在園區(qū)網(wǎng)一般用于特殊場景，例如：網(wǎng)上教學(xué)、IP組播視頻會(huì)議等業(yè)務(wù)。 組播地址規(guī)劃組播組用D類IP地址（～）來標(biāo)識(shí)。按照使用范圍劃分，組播地址可以劃分為三部分。l 協(xié)議保留組播地址地址范圍：～。此地址范圍被IANA預(yù)留，一般供網(wǎng)絡(luò)協(xié)議使用。該范圍內(nèi)的地址屬于局部范疇，此地址的組播報(bào)文不能被轉(zhuǎn)發(fā)。l 用戶組播地址地址范圍：～，此地址范圍也稱為公用組播地址，在全網(wǎng)范圍內(nèi)有效，可以用于Internet上。l 本地管理組地址地址范圍：～，此地址范圍也稱為私有組播地址，主要用于測試或供內(nèi)部網(wǎng)絡(luò)在內(nèi)部使用，這個(gè)地址的組播不能上公網(wǎng)，類似于單播協(xié)議使用的私網(wǎng)地址。園區(qū)內(nèi)部部署的組播業(yè)務(wù)只是供本園區(qū)內(nèi)部使用，建議采用本地管理組地址作為組播地址。 組播路由選擇根據(jù)協(xié)議的作用范圍，組播協(xié)議分為主機(jī)路由器之間的協(xié)議（即組播成員關(guān)系管理協(xié)議）和路由器路由器之間協(xié)議（即組播路由協(xié)議）。l 組成員關(guān)系管理協(xié)議包括IGMP（互連網(wǎng)組管理協(xié)議，目前存在VVV3三個(gè)版本）；l 組播路由協(xié)議又分為域內(nèi)組播路由協(xié)議和域間組播路由協(xié)議兩類。域內(nèi)組播路由協(xié)議包括：PIMSM、PIMDM、DVMRP等協(xié)議；域間組播路由協(xié)議包括MBGP、MSDP等協(xié)議。同時(shí)為了有效抑制組播數(shù)據(jù)在二層網(wǎng)絡(luò)中的擴(kuò)散，引入了IGMP Snooping等二層組播協(xié)議。園區(qū)網(wǎng)絡(luò)的路由屬于域內(nèi)路由，所以園區(qū)網(wǎng)絡(luò)部署的組播業(yè)務(wù)不涉及跨域問題。園區(qū)網(wǎng)絡(luò)域內(nèi)組播路由推薦使用PIM組播路由協(xié)議。PIM不依賴于某一特定單播路由協(xié)議，為IP組播提供路由信息的可以是靜態(tài)路由、RIP、OSPF、ISIS、BGP等任何一種單播路由協(xié)議。組播路由和單播路由協(xié)議無關(guān)，只要通過單播路由協(xié)議能夠產(chǎn)生相應(yīng)組播路由表項(xiàng)即可。與其它組播協(xié)議相比，PIM開銷更小，組播效率更高。PIM定義了兩種模式：l 密集模式（DenseMode）PIMDM密集模式協(xié)議，采用了擴(kuò)散/剪枝機(jī)制。同時(shí)，假定帶寬不受限制，每個(gè)路由器都想接收組播數(shù)據(jù)包。PIMDM采用反向路徑轉(zhuǎn)發(fā)RPF動(dòng)態(tài)建立最短路徑樹SPT。該模式適合于組播組成員相對(duì)比較密集、組播源和接受者比較靠近、組播數(shù)據(jù)流比較大且比較穩(wěn)定、規(guī)模較小的網(wǎng)絡(luò)。l 稀疏模式（SparseMode）PIMSM與PIMDM的根本差別在于PIMSM是基于顯式加入模型，即接收者向集合點(diǎn)RP（RendezvousPoint）發(fā)送加入消息，而路由器只在已加入某個(gè)組播組輸出接口上轉(zhuǎn)發(fā)那個(gè)組播組的數(shù)據(jù)包。PIMSM采用共享樹進(jìn)行組播數(shù)據(jù)包的轉(zhuǎn)發(fā)。每一個(gè)組有一個(gè)集合點(diǎn)RP，組播源沿最短路徑向RP發(fā)送數(shù)據(jù)，再由RP沿最短路徑將數(shù)據(jù)發(fā)送到各個(gè)接收端。PIMSM主要優(yōu)勢(shì)之一是它不局限于通過共享樹接收組播信息，還提供從共享樹向SPT轉(zhuǎn)換的機(jī)制。從協(xié)議的設(shè)計(jì)優(yōu)劣情況比較，PIMSM優(yōu)于PIMDM。該模式適用于組播組成員分布相對(duì)分散、范圍較廣、視頻源多、規(guī)模較大的網(wǎng)絡(luò)。IGMP組播成員管理機(jī)制是針對(duì)第三層設(shè)計(jì)的。在第三層，路由器可以對(duì)組播報(bào)文的轉(zhuǎn)發(fā)進(jìn)行控制。但是在很多情況下，組播報(bào)文要不可避免地經(jīng)過一些二層交換設(shè)備，如果不對(duì)二層設(shè)備進(jìn)行相應(yīng)的配置，則組播報(bào)文就會(huì)轉(zhuǎn)發(fā)給二層交換設(shè)備的所有接口，這顯然會(huì)浪費(fèi)大量的系統(tǒng)資源，IGMP Snooping可以很好解決這個(gè)問題。IGMP Snooping運(yùn)行于二層交換機(jī)，是一種二層組播協(xié)議，通過偵聽上層路由器和用戶主機(jī)之間發(fā)送的組播協(xié)議報(bào)文來建立二層轉(zhuǎn)發(fā)表項(xiàng)，維護(hù)組播報(bào)文的出端口信息，從而管理和控制組播數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)。在園區(qū)網(wǎng)絡(luò)中，建議采用采用PIMSM+IGMP Snooping來實(shí)現(xiàn)組播業(yè)務(wù)開展。匯聚交換機(jī)到組播源采用PIMSM協(xié)議；接入交換機(jī)通過IGMP Snooping+組播VLAN，實(shí)現(xiàn)跨VLAN的組播；終端上部署IGMP。組播VLAN可以滿足跨VLAN復(fù)制的需求，不同VLAN的用戶分別進(jìn)行同一組播源點(diǎn)播時(shí)，可以在交換機(jī)上配置組播VLAN，并將用戶VLAN加入組播VLAN，以實(shí)現(xiàn)組播數(shù)據(jù)在不同的VLAN內(nèi)傳送，便于對(duì)組播源和組播組成員的管理和控制，同時(shí)也可以減少帶寬浪費(fèi)。園區(qū)網(wǎng)絡(luò)比較簡單時(shí)，一般RP設(shè)置在和源DR所在的核心交換機(jī)上；園區(qū)網(wǎng)絡(luò)比較復(fù)雜時(shí)，選取一臺(tái)性能較高的路由器作為源DR。在采用層次化結(jié)構(gòu)組網(wǎng)的園區(qū)網(wǎng)絡(luò)中，視頻源建議直接部署接入核心層上，最大程度減少PIMSM協(xié)議范圍，縮短組播流量路徑，減少組播流量對(duì)帶寬的占用。所以RP選擇部署在核心層設(shè)備上，從網(wǎng)絡(luò)的可靠性、可用性等方面綜合考慮，選用2個(gè)核心設(shè)備為RP，通過Anycast RP技術(shù)可實(shí)現(xiàn)負(fù)載均衡及冗余，MSDP（Multicast Source Discovery Protocol）是實(shí)現(xiàn)Anycast RP的關(guān)鍵協(xié)議，MSDP容許RP共享活動(dòng)源信息。在Anycast RP環(huán)境，兩個(gè)RP在Loopback接口配置相同的IP地址。Anycast RP Loopback地址應(yīng)當(dāng)是32位掩碼的主機(jī)地址。IP路由將自動(dòng)選擇最好的RP。Anycast RP提供了IP Multicast的快速切換（幾秒內(nèi)）及負(fù)載均衡。圖14 園區(qū)網(wǎng)絡(luò)組播業(yè)務(wù)部署 安全設(shè)計(jì) 安全概述隨著企業(yè)網(wǎng)絡(luò)的應(yīng)用和發(fā)展，企業(yè)生產(chǎn)和經(jīng)營活動(dòng)對(duì)于網(wǎng)絡(luò)的依賴性不斷增強(qiáng)。但病毒、木馬、間諜軟件、網(wǎng)絡(luò)攻擊等各種信息安全威脅也在不斷增加。統(tǒng)計(jì)表明，網(wǎng)絡(luò)安全已經(jīng)超過對(duì)網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的需求，成為企業(yè)用戶最關(guān)心的問題，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為企業(yè)網(wǎng)建設(shè)的重點(diǎn)。在傳統(tǒng)的園區(qū)網(wǎng)絡(luò)建設(shè)中，一般認(rèn)為園區(qū)內(nèi)部是安全的，威脅主要來自外界。在園區(qū)邊界上，一般使用防火墻、IDS/IPS作為安全設(shè)備。隨著安全