【正文】 園區(qū)網(wǎng)安全方案總體 規(guī)劃 設(shè)計 圖 51 園區(qū)網(wǎng)安全方案總體設(shè)計 從園區(qū)接入、網(wǎng)絡(luò)監(jiān)管 /監(jiān)控、邊界防御、園區(qū)出口傳輸安全等多緯度、多層次進行安全設(shè)計和安全防御，對內(nèi)部員工進行身份認證和網(wǎng)絡(luò)訪問權(quán)限控制，對企業(yè)內(nèi)部進行安全區(qū)域劃分、隔離和權(quán)限控制，對企業(yè)外部用戶訪問進行安全控制、數(shù)據(jù)加密，防止惡意攻擊。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 25 頁 共 60 頁 ? 高性能 由于 iStack 設(shè)備是由多個支持 iStack 特性的單機設(shè)備堆疊而成的， iStack 設(shè)備的交換容量和端口數(shù)量就是 iStack 內(nèi)部所有單機設(shè)備交換容量和端口數(shù)量的總和。 ? 強大的網(wǎng)絡(luò)擴展能力 通過增加成員設(shè)備，可以輕松自如的擴展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。 ? 簡化網(wǎng)絡(luò)運行 iStack 形成的虛擬設(shè)備中運行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運行的，例如路由協(xié)議會作為單一設(shè)備統(tǒng)一計算。 多臺設(shè)備堆疊成一臺設(shè)備后，從功能和管理方面，都可以作為一臺設(shè)備來看待。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 24 頁 共 60 頁 接入交換機的堆疊 iStack iStack 堆疊就是將多臺設(shè)備通過堆疊口連接起來形成一臺虛擬的邏輯設(shè)備。從上圖可以看出，接口板堆疊方式需要經(jīng)過兩個堆疊接口板轉(zhuǎn)發(fā)，處理復(fù)雜度增加；另外，接口板的硬件可靠性也比交換網(wǎng)低。相對于接口堆疊的方式，節(jié)省了 1～ 2 個接口槽位。 S93 系列的堆疊帶寬高達 128G(單向 )；并且可平滑升級到 200G(單向 )； 相對于業(yè)界的 80G（單向）的互聯(lián)帶寬，具有明顯的優(yōu)勢。 目前，業(yè)界有兩種堆疊的方式，一種是采用業(yè)務(wù)接口堆疊，一種是采用專用的堆疊線 ； 圖 48 兩種集群方式比較 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 23 頁 共 60 頁 華為的 S93 系列交換機采用堆疊線的方式，通過在主板板上插入堆疊卡，連接多臺設(shè)備。 4) 擴容方便 保護用戶投資。 2) 快速的故障收斂 故障收斂時間可以控制在 1ms, 大大降低了網(wǎng)絡(luò)鏈路 /節(jié)點的故障，對業(yè)務(wù)的影響。如下圖所示： 圖 47 集群組網(wǎng)的優(yōu)勢 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 22 頁 共 60 頁 采用集群技術(shù)，對企業(yè)園區(qū)網(wǎng)絡(luò)，有四大優(yōu)勢： 1) 減化管理和配置 首先，集群后需要管理的設(shè)備節(jié)點減少一半以上。 園區(qū)網(wǎng)絡(luò) 交換機虛擬化 規(guī)劃 設(shè)計 匯聚交換機的集群 CSS(Cluster Switch Switching) 所謂集群，就是把物理的多臺服務(wù)器連接在一起，對外表現(xiàn)為一臺邏輯的服務(wù)器，提供服務(wù)。 華為全系列交換機支持黑洞 MAC功能，園區(qū)交換機收到報文時比較報文目的 MAC地址，若與黑洞 MAC 表項相同則丟棄該報文。 ARP 攻擊與此類似，通過攻擊報文來更改 MAC 與 IP 地址的綁定，從而重新定向流量。 另外，以太網(wǎng)交換機的 MAC 地址表作為二層報文轉(zhuǎn)發(fā)的核心，在受到攻擊的時候，直接導致交換機無法正常工作。 華為公司全系列園區(qū)網(wǎng)交換機（ S9300/S5300/S3300/S2300）提供攻擊防范功能，能夠檢測出多種類型的網(wǎng)絡(luò)攻擊，并能采取相應(yīng)的措施保護設(shè)備自身及其所連接的內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)及設(shè)備的正常運行。網(wǎng)絡(luò)管理和維護難度大大降低，此方案適應(yīng)面廣，擴展性強，是未來園區(qū)網(wǎng)的發(fā)展趨勢。設(shè)備虛擬化通過跨設(shè)備的 TRUNK 鏈路，提升鏈路級可靠性，并且流量可以均勻分布在華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 19 頁 共 60 頁 TRUNK 成員鏈路上，提高鏈路帶寬利用率，條或多條鏈路故障后 ,流量自動切換到其他正常的鏈路。 ? 可靠性設(shè)計目標方案（發(fā)展趨勢）：園區(qū)網(wǎng)交換機虛擬化 圖 45 可靠性設(shè)計目標方案組網(wǎng) 園區(qū)網(wǎng)可靠性方案設(shè)計的目標方案或發(fā)展趨勢是各層次園區(qū)網(wǎng)交換機都進行虛擬化，通過集群 /堆疊技術(shù)將兩臺或多臺交換機虛擬成一臺交換機。由于不同 VRRP 組的網(wǎng)關(guān) IP 網(wǎng)段不能相同，因此每個 U 型接入網(wǎng)下的所有園區(qū)用戶需要獨占一個 IP 網(wǎng)段，不同 U 型接入網(wǎng)的用戶（不同樓層的園區(qū)用戶）之間不能共享一個 IP 網(wǎng)段，這是此方 案應(yīng)用的最大缺點。 ? 可靠性組網(wǎng)方案 3： U 字型組網(wǎng) 圖 44 U 字型組網(wǎng) 園區(qū)網(wǎng)匯聚交換機之間通過純?nèi)龑渔溌坊ミB，無直連二層鏈路。 三角型組網(wǎng)方案的優(yōu)點是：二層接入網(wǎng)不存在環(huán)路，不需要配置相對復(fù)雜的環(huán)網(wǎng)保護協(xié)議（ STP/RSTP/MSTP/RRPP）； Smart Link 故障檢測和保護倒 換速度快（ 200～ 400ms）；支持園區(qū)網(wǎng)園區(qū)不同樓層的用戶可以共用同一個 IP 地址網(wǎng)段。注意：兩臺匯聚交換機鏈路需要保證絕對可華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 17 頁 共 60 頁 靠，必須采用 TRUNK 鏈路。 ? 可靠性組網(wǎng)方案 2：三角型組網(wǎng) 圖 43 三角型組網(wǎng) 匯聚交換機作為用戶網(wǎng)關(guān)設(shè)備，兩臺匯聚交換機之間通過二層鏈路互連，每臺接入交換機上行有兩條鏈路接入到兩臺匯聚交換機，接入交換機上行兩條鏈路的主備關(guān)系 由運行的 Smart Link 協(xié)議確定。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 16 頁 共 60 頁 口子型組網(wǎng)方案的優(yōu)點是，園區(qū)網(wǎng)各個樓層接入交換機可以串在一起，與匯聚交換機組成二層環(huán)網(wǎng)，匯聚交換機統(tǒng)一為各樓層接入交換機下的用戶分配 IP 地址，實現(xiàn)園區(qū)不同樓層的用戶可以共用同一個 IP 地址網(wǎng)段； 該組網(wǎng)方案的缺點是接入層網(wǎng)絡(luò)需要部署較為復(fù)雜的二層環(huán)網(wǎng)協(xié)議、網(wǎng)絡(luò)配置和維護較為復(fù)雜。兩臺匯聚交換機運行 VRRP（ BFD+VRRP）協(xié)議確定主備用戶網(wǎng)關(guān)， VRRP 報文直接在匯聚交換機直連的 TRUNK 鏈路上收發(fā)。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 15 頁 共 60 頁 典型園區(qū)網(wǎng)可靠性組網(wǎng)設(shè)計方案有：口子型組網(wǎng)、三角型組網(wǎng)、 U 子型組網(wǎng)。 接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機與匯聚交換機之間通過Smart Link/STP/RSTP/MSTP/RRPP 保證網(wǎng)絡(luò)可靠性，同時解決二層網(wǎng)絡(luò)環(huán)路問題；匯聚層交換機之間通過 VRRP（ BFD for VRRP）協(xié)議確定用戶的主備網(wǎng)關(guān)，交換機互聯(lián)通過 TRUNK鏈路，保證鏈路級可靠性，匯聚交換機與接入交換機之間可通過 DLDP 協(xié)議檢測光纖單向故障（單通故障）。 【缺點】 1) 交換機成本相對較高：相對與二層接入交換機，成本較高； 2) 接入層為三層網(wǎng)絡(luò)，網(wǎng)絡(luò)故障路由收斂速度相對較慢。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計 第 13 頁 共 60 頁 ? 二三層網(wǎng)絡(luò)分界點（用戶網(wǎng)關(guān)）設(shè)置在接入交換機 接入交換機作為用戶的二三層分界點（網(wǎng)關(guān)設(shè)備），即三層到邊緣的園區(qū)網(wǎng)架構(gòu)，接入交換機到匯聚交換機、匯聚交換機到核心交換機之間都是三層網(wǎng)絡(luò)，運行 OSPF 等路由協(xié)議，整個企業(yè)園區(qū)是全路由型網(wǎng)絡(luò)。 本方案的缺點可以通過接入交換機堆疊 /匯聚交換機集群（交換機虛擬化）方案來解決。 二三層網(wǎng)絡(luò)分界點設(shè)計 ? 二三層網(wǎng)絡(luò)分界點（用戶網(wǎng)關(guān)）設(shè)置在匯聚交換機 匯聚交換機作為用戶的網(wǎng)關(guān)設(shè)備，接入交換機與匯聚交換機之間是二層網(wǎng)絡(luò)，通過STP/RSTP/MSTP/RRPP 保證網(wǎng)絡(luò)可靠性和防止二層網(wǎng)絡(luò)環(huán)路產(chǎn)生，匯聚交換機與核心交換機之間是三層 網(wǎng)絡(luò)，運行 OSPF 等路由協(xié)議，通過等價路由、 IP FRR 保證三層網(wǎng)絡(luò)可靠性、加快路由收斂時間。推薦華為 AR 和 SRG系列路由器作為企業(yè)出口路由器。 推薦使用 S9300 作為園區(qū)核心層交換機。 匯聚交換機需要提供高密度的 GE 接口，匯聚接入交換機的流量，通過 10GE 接口接到核心交換機，推薦使用 S9300 系列交換機作為園區(qū)匯聚層交換機。 匯聚層 園區(qū)匯聚層交換機一般部署在樓宇獨立的網(wǎng)絡(luò)匯聚機柜中，匯聚園區(qū)接入交換機的流量，一般提供三層交換機功能，匯聚層交換機作為園區(qū)網(wǎng)的網(wǎng)關(guān)，終結(jié)園區(qū)網(wǎng)用戶的二層流量，進行三層轉(zhuǎn)發(fā)。另外接入交換機部署在樓道網(wǎng)絡(luò)機柜，數(shù) 量大，對于成本、功耗和易管理維護等特性要求較高。 接入層 接入層交換機一般部署在樓道的網(wǎng)絡(luò)機柜中，接入園區(qū)網(wǎng)用戶（ PC 機或服務(wù)器），提供二層交換機功能，也支持三層接入功能（接入交換機為三層交換機）。 圖 34 交換機集群（堆疊）方案 園區(qū)網(wǎng)絡(luò) 分層網(wǎng)絡(luò) 規(guī)劃 設(shè)計 園區(qū)網(wǎng)的網(wǎng)絡(luò)層次采用業(yè)界成熟的三層架構(gòu)：接入、匯聚和核心，最后企業(yè)園區(qū)通過出口層網(wǎng)絡(luò)設(shè)備（路由器或交換機）連接到外網(wǎng)通過。為了增加園區(qū)網(wǎng)可靠性、降低園區(qū)網(wǎng)組網(wǎng)復(fù)雜度，園區(qū)網(wǎng)未來 向虛擬化、扁平化方向發(fā)展，同層次交換機可以多臺虛擬成一臺，接入交換機通過堆疊（ Stack）特性，將多臺接入交換機虛擬成一臺接入交換機，匯聚 /核心交換機通過 CSS（ Cluster Switch ）將兩臺交換機虛擬成一臺交換機。 經(jīng)濟型的園區(qū)網(wǎng)匯聚層交換機仍然可通過模塊化（業(yè)務(wù)單板）方式提供 WLAN AC 控制器、防火墻、負載均衡器等增值業(yè)務(wù)功能。 典型園區(qū)網(wǎng)的重要特征是不存在網(wǎng)絡(luò)單點故障，交換機設(shè)備和鏈路都存在冗余備份，接入交換機與核心交換機通過雙規(guī)或環(huán)網(wǎng)相連接，匯聚交換機雙規(guī)接入核心交換機，交換機之間采用 TRUNK 鏈路保證鏈路級可靠性。應(yīng)提供低成本、簡單有效的園區(qū)網(wǎng)統(tǒng)一網(wǎng)管系統(tǒng)，對園區(qū)網(wǎng)所有網(wǎng)絡(luò)設(shè)備進行管理，包括網(wǎng)絡(luò)拓撲顯示、網(wǎng)絡(luò)狀態(tài)監(jiān)控、故 障事件實時預(yù)警和告警、網(wǎng)絡(luò)流量統(tǒng)計。實現(xiàn)防火墻、負載均衡、 WLAN接入、認證計費等功能，為園區(qū)網(wǎng)增值業(yè)務(wù)的擴展提供基礎(chǔ)。 在園區(qū)出口層、核心層、匯聚層的設(shè)備都采用模塊化設(shè)計，可根據(jù)園區(qū)網(wǎng)的發(fā)展進行靈活擴展。 可采用交換機的集群或者堆疊技術(shù)，在不降低網(wǎng)絡(luò)可靠性的前提下，減化網(wǎng)絡(luò)架構(gòu)。采用冗余網(wǎng)絡(luò)設(shè)計，每個層次均采用雙機方式，層次與層次之間采用全冗余連接。 (二 ) 可靠性、可用性 ： 高可靠性是園區(qū)網(wǎng)提供使用的關(guān)鍵，其可靠性設(shè)計包括：關(guān)鍵設(shè)備冗余、鏈路 /網(wǎng)絡(luò)冗余和重要業(yè)務(wù)模塊冗余。 設(shè)計原則 (一 ) 安全性 ： 安全性是企業(yè)園區(qū)網(wǎng)建設(shè)中的關(guān)鍵，它包括物理空間的安全控制及網(wǎng)絡(luò)的安全控制。 (五 ) 缺乏簡單有效的網(wǎng)絡(luò)管理系統(tǒng)，企業(yè) IT網(wǎng)絡(luò)運維部門面臨很大壓力 ： 當前，企業(yè)網(wǎng) IT 運維部門面臨很大的網(wǎng)絡(luò)運維壓力，來自于園區(qū)網(wǎng)內(nèi)外部的安全事件頻發(fā)、網(wǎng)絡(luò)可華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)總體系統(tǒng)規(guī)劃設(shè)計 第 6 頁 共 60 頁 靠性低引起的網(wǎng)絡(luò)業(yè)務(wù)中斷現(xiàn)象，網(wǎng)絡(luò)故障診斷、分析定位過程對于 IT 運維人員的技術(shù)能力和經(jīng)驗水平要求較高，缺乏簡單有效 /低成本的圖形化網(wǎng)管工具、進行實時網(wǎng)絡(luò)拓撲顯示、狀態(tài)監(jiān)控和各種故障事件預(yù)警 /告警展示。 (四 ) 無法滿足日益增長的網(wǎng)絡(luò)業(yè)務(wù)需求 ： 隨著企業(yè)的業(yè)務(wù)發(fā)展，出現(xiàn)了基于園區(qū)網(wǎng)基礎(chǔ)設(shè)施的豐富增值業(yè)務(wù)需求，例如：網(wǎng) 絡(luò)接入形式要求多樣化，支持 WLAN 無線接入，滿足移動辦公、大區(qū)域無線纜覆蓋等特殊要求；對于企業(yè)用戶訪問外網(wǎng)進行計費，計費策略可靈活設(shè)置（時長計費、流量計費、按目的地址計費）；企業(yè)多出口鏈路場景下的負載均衡、靈活選路需求。 (二 ) 網(wǎng)絡(luò)可靠性規(guī)劃不合理，影響企業(yè)生產(chǎn)和經(jīng)營管理、造成投資浪費 ： 由于缺乏有效的園區(qū)網(wǎng)規(guī)劃，對于網(wǎng)絡(luò)可靠性考慮不夠，網(wǎng)絡(luò)中既存在單點故障導致網(wǎng)絡(luò) 可靠性低、影響企業(yè)生產(chǎn)和經(jīng)營管理行為，同時也存在網(wǎng)絡(luò)過度冗余、造成投資浪費的現(xiàn)象。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè) 技術(shù)方案建議書 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 第 2 頁 共 60 頁 目錄 1 項目概述 ..........................................................................................................................................................4 項目背景 .................................................................................................................................................4 項目目標 .................................................................................................................................................4 2 園區(qū)總體系統(tǒng)規(guī)劃設(shè)計 ..............................