【文章內(nèi)容簡介】 SEP通過普通edge端口與STP混合組網(wǎng)l SEP通過noneighboredge端口與STP混合組網(wǎng) CSS/iStack園區(qū)網(wǎng)絡(luò)一般分層部署，大型園區(qū)網(wǎng)絡(luò)分為接入層、匯聚層和核心層。為保證可靠性，部署雙上行鏈路，不可避免鏈路冗余，需要部署破環(huán)協(xié)議，隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，xSTP協(xié)議收斂時間慢，可用性差，由此引出新的解決方案，即CSS/iStack技術(shù)。為了提高園區(qū)網(wǎng)的可靠性，在接入層推薦采用iStack（堆疊）技術(shù)，即多臺交換機堆疊在一起，選舉出一臺換機做為主交換機，一臺交換機為備交換機，剩下的交換機稱為從交換機。主交換機是整個堆疊系統(tǒng)中的控制中心。堆疊中每一臺交換機都同時具備成為主交換機或者備交換機的能力。iStack中多臺交換機作為一個整體對外體現(xiàn)為一臺邏輯設(shè)備，共用一個管理IP地址和一個MAC地址，且組建方便。堆疊的運維費用低，空間占用小，綠色節(jié)能。核心層采用CSS（集群）技術(shù)，匯聚采用CSS或iStack技術(shù)，即將兩臺交換機通過專用的堆疊電纜連接起來，選出一臺為主交換機，一臺為備交換機，對外呈現(xiàn)為一臺邏輯交換機。CSS/iStack技術(shù)在網(wǎng)絡(luò)擴容時，保護已有網(wǎng)絡(luò)規(guī)劃不變，擴容方便簡單，擴容的同時，將兩臺物理設(shè)備虛擬為一臺設(shè)備，簡化了設(shè)備的配置和管理。多臺設(shè)備間冗余、備份，提高系統(tǒng)的可靠性。不同網(wǎng)絡(luò)層級之間建立EthTrunk，支持跨成員端口聚合，消除了EthTrunk在單臺交換機上的單點故障。具有很高的可用性。Ethtrunk是物理層協(xié)議，是將—組物理接口捆綁在一起作為一個邏輯接口來增加帶寬的一種方法。通過在兩臺設(shè)備之間建立鏈路聚合組，可以提供更高的通訊帶寬和更高的可靠性。鏈路聚合不僅為設(shè)備間通信提供了冗余保護，而且不需要對硬件進行升級。EthTrunk的負載分擔模式分為手工負載分擔模式和靜態(tài)負載分擔模式。CSS/iStack技術(shù)代替?zhèn)鹘y(tǒng)的MSTP+VRRP組網(wǎng)，克服了網(wǎng)絡(luò)復(fù)雜時MSTP收斂時間過長、網(wǎng)絡(luò)拓撲不穩(wěn)定的弊端。圖11 CSS/iStack拓撲圖對可靠性要求較高的企業(yè)，推薦使用CSS/iStack技術(shù)，無需部署破環(huán)協(xié)議，網(wǎng)絡(luò)拓撲簡單，帶寬利用率高，網(wǎng)絡(luò)可靠性高。 路由設(shè)計 路由概述建議采用匯聚交換機作為路由和交換的分界點。圖12 路由交換分界點設(shè)計這種設(shè)計方法有如下的優(yōu)點：l 路由配置簡單只需要在2臺匯聚/核心交換機上配置路由。大量的接入交換機只做二層交換，配置簡單。便于采用接入交換機的“自動配置”功能，減少配置維護工作量。l 擴展性好在同一個匯聚/核心交換機下的服務(wù)器擴容方便，并且隨著業(yè)務(wù)的變化不需要更改網(wǎng)絡(luò)的配置，即插即用。 IGP設(shè)計IGP協(xié)議選擇由于園區(qū)網(wǎng)內(nèi)部可能存在不規(guī)則區(qū)域，且路由節(jié)點不是特別多，建議使用OSPF路由協(xié)議。每個業(yè)務(wù)部門區(qū)域作為一個單獨的OSPF區(qū)域。OSPF規(guī)劃l 規(guī)劃合理的RouteIDRouteID建議采用Loopback接口IP地址。l OSPF核心區(qū)域規(guī)劃出口路由器和核心交換機作為OSPF的Area0，出口路由器作為ASBR和ABR，核心交換機為ABR。每個匯聚交換機和核心交換機組網(wǎng)部署為不同的OSPF Area ID1，2，N。l OSPF邊緣區(qū)域規(guī)劃每個匯聚交換機和核心交換機組網(wǎng)部署為不同的OSPF Area ID1,2,N，Area1,2,N使用OSPFNSSA區(qū)域。與原先的普通的完全OSPF區(qū)域相比，通過規(guī)劃減少LSA在區(qū)域間的傳播，減少路由條數(shù)；和純stub區(qū)域相比部署路由協(xié)議更加靈活。另外核心交換機和出口路由器通過區(qū)域匯總，限制了區(qū)域間傳播的LSA條目。邊緣區(qū)域使用NSSA區(qū)域的優(yōu)勢在于：能精簡骨干區(qū)域路由器的路由表；減少骨干區(qū)域內(nèi)OSPF交互的信息量；提高路由表項的穩(wěn)定性。一個區(qū)域的路由計算和網(wǎng)絡(luò)調(diào)整不會影響其它區(qū)域，因故障引起的路由震蕩被隔離在區(qū)域內(nèi)部。如果部門較少，建議只配置Area0。圖13 OSPF規(guī)劃圖 BGP設(shè)計園區(qū)網(wǎng)中使用BGP的場景l(fā) 場景1路由數(shù)量過于龐大，OSPF難以勝任時。一般單獨一個園區(qū)內(nèi)部路由數(shù)目可能不會很多，但是當一個企業(yè)分支眾多且IP規(guī)劃不十分合理，導(dǎo)致路由條目過多，特別是園區(qū)的出口路由器上可建議部署B(yǎng)GP進行合理規(guī)劃引入部分路由。l 場景2由于業(yè)務(wù)需要，需要大量的使用路由策略或者是業(yè)務(wù)分流，使用OSPF等協(xié)議不擅長，使用BGP可以方便的控制路由策略，來分配業(yè)務(wù)流向。l 場景3部署MPLS VPN技術(shù)時，用于復(fù)雜的隔離策略等。園區(qū)網(wǎng)使用BGP的基本規(guī)劃l Routerid的規(guī)劃BGP的routerid與OSPF的routerid共用一個，與Loopback接口地址相同。l ASnumber的規(guī)劃由于企業(yè)網(wǎng)中都是私有網(wǎng)絡(luò)，所以BGP使用私有的AS number。l IBGP和EBGP的選擇由于企業(yè)網(wǎng)的規(guī)模通常都不會很大，通常IBGP就可以滿足一般的需求了。BGP對設(shè)備的要求BGP協(xié)議本身并不消耗很多資源，只有當運行BGP的設(shè)備需要學(xué)習(xí)到很多條路由，需要建立很多鄰居關(guān)系時才會要求設(shè)備自身的性能很高。只要規(guī)劃得當，任何檔次的設(shè)備（包括接入層設(shè)備）都可以運行BGP協(xié)議。 組播規(guī)劃 組播概述IP組播技術(shù)實現(xiàn)了IP網(wǎng)絡(luò)中點到多點的高效數(shù)據(jù)傳送。相對于數(shù)據(jù)單播傳送，組播有效節(jié)省網(wǎng)絡(luò)帶寬，降低對網(wǎng)絡(luò)設(shè)備的要求，用戶規(guī)?？梢造`活變化，用戶規(guī)模的增大不會對網(wǎng)絡(luò)和服務(wù)器造成帶寬和性能壓力。所以在實時數(shù)據(jù)傳送、多媒體會議、數(shù)據(jù)拷貝、游戲和仿真等諸多方面都有廣泛的應(yīng)用。組播在園區(qū)網(wǎng)一般用于特殊場景，例如：網(wǎng)上教學(xué)、IP組播視頻會議等業(yè)務(wù)。 組播地址規(guī)劃組播組用D類IP地址（～）來標識。按照使用范圍劃分，組播地址可以劃分為三部分。l 協(xié)議保留組播地址地址范圍：～。此地址范圍被IANA預(yù)留，一般供網(wǎng)絡(luò)協(xié)議使用。該范圍內(nèi)的地址屬于局部范疇，此地址的組播報文不能被轉(zhuǎn)發(fā)。l 用戶組播地址地址范圍：～，此地址范圍也稱為公用組播地址，在全網(wǎng)范圍內(nèi)有效，可以用于Internet上。l 本地管理組地址地址范圍：～，此地址范圍也稱為私有組播地址，主要用于測試或供內(nèi)部網(wǎng)絡(luò)在內(nèi)部使用，這個地址的組播不能上公網(wǎng)，類似于單播協(xié)議使用的私網(wǎng)地址。園區(qū)內(nèi)部部署的組播業(yè)務(wù)只是供本園區(qū)內(nèi)部使用，建議采用本地管理組地址作為組播地址。 組播路由選擇根據(jù)協(xié)議的作用范圍，組播協(xié)議分為主機路由器之間的協(xié)議（即組播成員關(guān)系管理協(xié)議）和路由器路由器之間協(xié)議（即組播路由協(xié)議）。l 組成員關(guān)系管理協(xié)議包括IGMP（互連網(wǎng)組管理協(xié)議，目前存在VVV3三個版本）；l 組播路由協(xié)議又分為域內(nèi)組播路由協(xié)議和域間組播路由協(xié)議兩類。域內(nèi)組播路由協(xié)議包括：PIMSM、PIMDM、DVMRP等協(xié)議；域間組播路由協(xié)議包括MBGP、MSDP等協(xié)議。同時為了有效抑制組播數(shù)據(jù)在二層網(wǎng)絡(luò)中的擴散，引入了IGMP Snooping等二層組播協(xié)議。園區(qū)網(wǎng)絡(luò)的路由屬于域內(nèi)路由，所以園區(qū)網(wǎng)絡(luò)部署的組播業(yè)務(wù)不涉及跨域問題。園區(qū)網(wǎng)絡(luò)域內(nèi)組播路由推薦使用PIM組播路由協(xié)議。PIM不依賴于某一特定單播路由協(xié)議，為IP組播提供路由信息的可以是靜態(tài)路由、RIP、OSPF、ISIS、BGP等任何一種單播路由協(xié)議。組播路由和單播路由協(xié)議無關(guān)，只要通過單播路由協(xié)議能夠產(chǎn)生相應(yīng)組播路由表項即可。與其它組播協(xié)議相比，PIM開銷更小，組播效率更高。PIM定義了兩種模式：l 密集模式（DenseMode）PIMDM密集模式協(xié)議，采用了擴散/剪枝機制。同時，假定帶寬不受限制，每個路由器都想接收組播數(shù)據(jù)包。PIMDM采用反向路徑轉(zhuǎn)發(fā)RPF動態(tài)建立最短路徑樹SPT。該模式適合于組播組成員相對比較密集、組播源和接受者比較靠近、組播數(shù)據(jù)流比較大且比較穩(wěn)定、規(guī)模較小的網(wǎng)絡(luò)。l 稀疏模式（SparseMode）PIMSM與PIMDM的根本差別在于PIMSM是基于顯式加入模型，即接收者向集合點RP（RendezvousPoint）發(fā)送加入消息，而路由器只在已加入某個組播組輸出接口上轉(zhuǎn)發(fā)那個組播組的數(shù)據(jù)包。PIMSM采用共享樹進行組播數(shù)據(jù)包的轉(zhuǎn)發(fā)。每一個組有一個集合點RP，組播源沿最短路徑向RP發(fā)送數(shù)據(jù)，再由RP沿最短路徑將數(shù)據(jù)發(fā)送到各個接收端。PIMSM主要優(yōu)勢之一是它不局限于通過共享樹接收組播信息，還提供從共享樹向SPT轉(zhuǎn)換的機制。從協(xié)議的設(shè)計優(yōu)劣情況比較，PIMSM優(yōu)于PIMDM。該模式適用于組播組成員分布相對分散、范圍較廣、視頻源多、規(guī)模較大的網(wǎng)絡(luò)。IGMP組播成員管理機制是針對第三層設(shè)計的。在第三層，路由器可以對組播報文的轉(zhuǎn)發(fā)進行控制。但是在很多情況下，組播報文要不可避免地經(jīng)過一些二層交換設(shè)備，如果不對二層設(shè)備進行相應(yīng)的配置，則組播報文就會轉(zhuǎn)發(fā)給二層交換設(shè)備的所有接口，這顯然會浪費大量的系統(tǒng)資源，IGMP Snooping可以很好解決這個問題。IGMP Snooping運行于二層交換機，是一種二層組播協(xié)議，通過偵聽上層路由器和用戶主機之間發(fā)送的組播協(xié)議報文來建立二層轉(zhuǎn)發(fā)表項，維護組播報文的出端口信息，從而管理和控制組播數(shù)據(jù)報文的轉(zhuǎn)發(fā)。在園區(qū)網(wǎng)絡(luò)中，建議采用采用PIMSM+IGMP Snooping來實現(xiàn)組播業(yè)務(wù)開展。匯聚交換機到組播源采用PIMSM協(xié)議；接入交換機通過IGMP Snooping+組播VLAN，實現(xiàn)跨VLAN的組播；終端上部署IGMP。組播VLAN可以滿足跨VLAN復(fù)制的需求，不同VLAN的用戶分別進行同一組播源點播時，可以在交換機上配置組播VLAN，并將用戶VLAN加入組播VLAN，以實現(xiàn)組播數(shù)據(jù)在不同的VLAN內(nèi)傳送，便于對組播源和組播組成員的管理和控制，同時也可以減少帶寬浪費。園區(qū)網(wǎng)絡(luò)比較簡單時，一般RP設(shè)置在和源DR所在的核心交換機上；園區(qū)網(wǎng)絡(luò)比較復(fù)雜時，選取一臺性能較高的路由器作為源DR。在采用層次化結(jié)構(gòu)組網(wǎng)的園區(qū)網(wǎng)絡(luò)中，視頻源建議直接部署接入核心層上，最大程度減少PIMSM協(xié)議范圍，縮短組播流量路徑，減少組播流量對帶寬的占用。所以RP選擇部署在核心層設(shè)備上，從網(wǎng)絡(luò)的可靠性、可用性等方面綜合考慮，選用2個核心設(shè)備為RP，通過Anycast RP技術(shù)可實現(xiàn)負載均衡及冗余，MSDP（Multicast Source Discovery Protocol）是實現(xiàn)Anycast RP的關(guān)鍵協(xié)議，MSDP容許RP共享活動源信息。在Anycast RP環(huán)境，兩個RP在Loopback接口配置相同的IP地址。Anycast RP Loopback地址應(yīng)當是32位掩碼的主機地址。IP路由將自動選擇最好的RP。Anycast RP提供了IP Multicast的快速切換（幾秒內(nèi)）及負載均衡。圖14 園區(qū)網(wǎng)絡(luò)組播業(yè)務(wù)部署 安全設(shè)計 安全概述隨著企業(yè)網(wǎng)絡(luò)的應(yīng)用和發(fā)展，企業(yè)生產(chǎn)和經(jīng)營活動對于網(wǎng)絡(luò)的依賴性不斷增強。但病毒、木馬、間諜軟件、網(wǎng)絡(luò)攻擊等各種信息安全威脅也在不斷增加。統(tǒng)計表明，網(wǎng)絡(luò)安全已經(jīng)超過對網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的需求，成為企業(yè)用戶最關(guān)心的問題，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為企業(yè)網(wǎng)建設(shè)的重點。在傳統(tǒng)的園區(qū)網(wǎng)絡(luò)建設(shè)中，一般認為園區(qū)內(nèi)部是安全的，威脅主要來自外界。在園區(qū)邊界上，一般使用防火墻、IDS/IPS作為安全設(shè)備。隨著安全