【正文】 心層并支持接入層的雙歸接入。 12 圖 26 核心區(qū)域組網(wǎng)結構圖 匯聚層 接入層設計規(guī)劃 接入層是最靠近用戶的網(wǎng)絡，為用戶提供各種接入方式，是終端 接入網(wǎng)絡的第一層，一般 部署二層設備，雙歸屬到匯聚層兩個不同的交換機 。 接入層需要具有高端口密度，以支持更多的終端接入園區(qū)網(wǎng)絡。 對于雙設備、鏈路冗余的網(wǎng)絡，如果接入層進三層， 在接入層和核心層之間采用三層路由的方式，通過等價路徑再輔助部署 BFD（ Bidirectional Forwarding Detection） 快速檢測故障，就能夠保證鏈路故障、設備故障的快速切換，同時也能夠充分利用冗余鏈路。傳統(tǒng)的方案是 STP＋ VRRP 的方案 。 ? 鏈路利用率低 如果同一機架內的服務器屬于同一 VLAN，則有 一個上行鏈路的帶寬無法利用。 ? 配置維護復雜，網(wǎng)絡故障率高 14 每個接入交換機和匯聚交換機都需要運行 STP 協(xié)議，隨著接入交換機的增加，交換機需要處理的 STP 也越來越復雜，會導致 可靠性問題。 核心 、 匯聚采用兩臺框式交換機集群。接入 層交換機 和核心 /匯聚 層交換機 間的鏈路 進行 鏈路捆綁。 ? 其次， 組網(wǎng)變得簡潔不需要配置復雜的協(xié)議，如： STP/SmartLink/VRRP 等。 ? 帶寬利用率高 采用鏈路 Trunk 的方式，帶寬利用率可以達到 100%。 平滑擴容，很好的保護了投資。 可靠性的另一個重要方面是設備可靠性，核心區(qū)設備一般為框式設備，在可靠性方面的要求包括： ? 支持主控單元的備份 ? 支持電源模塊的備份 ? 支持模塊化的風扇設計，支持單風扇失效 ? 支持所有模塊的熱插拔 安全性設計規(guī)劃 核心層與園區(qū)出口部署防火墻設備，主要解決如下幾個安全問題： ? 園區(qū)內、外網(wǎng) 之間的訪問控制 ， 實現(xiàn) 園區(qū)內、外網(wǎng) 的安全隔離 。 ? 出差員工與總部 DMZ 區(qū) 的訪問控制，實現(xiàn)出差員工與園區(qū)內網(wǎng)的安全隔離。 15 互聯(lián)區(qū)網(wǎng)絡規(guī)劃 物理組網(wǎng)規(guī)劃概述 圖 28 互聯(lián)區(qū)域網(wǎng)絡 根據(jù)接入類型及服務類型劃分多個不同的互聯(lián)接入?yún)^(qū)域 ： ? Inter 互聯(lián) 企業(yè)外部用戶 （例如企業(yè)分支、出差員工等） 通過 Inter 訪問 園區(qū) 。 ? Intra 互聯(lián) 企業(yè)內部用戶訪問園區(qū)內部及數(shù)據(jù)中心 。 其中 UTM 至少要包括防火墻和 IPS 兩項功能。 ? 防火墻在網(wǎng)絡層面，過濾非法流量 、 抵御外部的攻擊 ， 保護內部資源。其位置和功能決定了防火墻和 IPS 設備應該具有非常高的可靠性。 VPN 接入?yún)^(qū)根據(jù)需要提供 IPSec VPN 和 SSL VPN 兩種接入功能 ， 解決移動用戶的安全接入問題。 Extra互聯(lián) 圖 210 Extra互聯(lián) 區(qū)域 的網(wǎng)絡架構 如 圖 210 所示， 由于 Extra 區(qū)域 屬于 企業(yè) 外部用戶 接入的區(qū)域 ，從網(wǎng)絡信任關系 上 講，安全等級與 DMZ 相同，都屬于非可信網(wǎng)絡，不能直接與 園區(qū) 連接 。 ? 業(yè)務隔離 ： 同 DMZ 區(qū)域，主要提供對外服務，因此對該區(qū)域網(wǎng)絡應與內網(wǎng)隔離，必要的業(yè)務可以通過嚴格控制訪問 DMZ 區(qū)域。 Intra互聯(lián) 企業(yè) 內部用戶 訪問園區(qū)內部或數(shù)據(jù)中心 。 需 要部署獨立的互聯(lián)接入設備并部署 2 臺進行熱備，保證 設備的可靠性 。主要的安全風險來自內部網(wǎng)絡自身的用戶（ 如用戶未經(jīng)授權的存取 ） 。 數(shù)據(jù)中心出口交換機處部署防火墻設備進行安全檢查和權限控制；接入層交換機處部署負載均衡器實現(xiàn)服務器資源的有效利用； 數(shù)據(jù)中心出口交換機采用雙鏈路接入園區(qū)核心層交換機，實現(xiàn)高可靠性。廣義的DMZ 區(qū)還對內部用戶 或合作伙伴提供 服務 。 DMZ 區(qū)放置對外服務的 Web、 FTP、Email服務器，也放置方便內部用戶訪問 Inter 的 Proxy、 DNS 服務器等 。 內部用戶可以訪問 DMZ區(qū)也可以訪問內部的服務。 對外服務所需的 APP 和 DB 服務器，建議放在 DMZ 區(qū) ，規(guī)模達到一定程度需要建設專門的數(shù)據(jù)中心 。 內部服務器區(qū)安全部署重點關注內部子分區(qū)的隔離， 按 照企業(yè)組織、密級、業(yè)務進行子分區(qū)劃分 。 通過 NAT 技術實現(xiàn)公網(wǎng)和私網(wǎng)的轉換，通過 IPSec、 SSL VPN、 GRE over IPSec 等技術實現(xiàn)安全訪問。當網(wǎng)絡規(guī)模越來越龐大時，局部網(wǎng)絡出現(xiàn)的故障會影響到整個網(wǎng)絡， VLAN 的出現(xiàn)可以將網(wǎng)絡故障限制在 VLAN 范圍內，增強了網(wǎng)絡的健壯性 。 VLAN 通常根據(jù)業(yè)務需要進行規(guī)劃，需要隔離的端口配置不同的 VLAN，需要防止廣播域過大的地方配置 VLAN 用于減小廣播域。 Voice VLAN Voice VLAN 是為用戶的語 音數(shù)據(jù)流劃分的 VLAN，用戶通過創(chuàng)建 Voice VLAN 并將連接語音設備的端口加入 Voice VLAN，可以使語音數(shù)據(jù)集中在 Voice VLAN 中進行傳輸，便于對語音流進行有針對性的 QoS 配置，提高語音流量的傳輸優(yōu)先級，保證通話質量 。 用戶從處于 Guest VLAN 的服務器上可以獲取 客戶端軟件，升級客戶端或執(zhí)行其他應用升級程序（例如 ： 防病毒軟件、操作系統(tǒng)補丁程序等）。 21 Multicast VLAN Multicast VLAN 即組播 VLAN，組播交換機運行組播協(xié)議時需要組播 VLAN 來承載組播流。 VLAN規(guī)劃原則 一個二層網(wǎng)絡規(guī)劃的基本原則 ： ? 區(qū)分業(yè)務 VLAN、管理 VLAN 和互聯(lián) VLAN ? 按照業(yè)務區(qū)域劃分不同的 VLAN ? 同一業(yè)務區(qū)域按照具體的業(yè)務類型（如 ： Web、 APP、 DB）劃分不同的 VLAN ? VLAN 需連續(xù)分配 ， 以保證 VLAN 資源合理利用 ? 預留一定數(shù)目 VLAN 方便后續(xù)擴展 VLAN規(guī)劃建議 VLAN 根據(jù)多種原則組合劃分 。 園區(qū) 網(wǎng)中的 DMZ區(qū)或 Inter 互聯(lián)區(qū)有少量設備使用公網(wǎng) IP，園區(qū)內部使用的則是私網(wǎng) IP。 ? 辦公用設備建議使用 DHCP 動態(tài)獲取 ， 如辦公用 PC、 IP 電話等 。 即使使用了支持地址重疊的MPLS/VPN 技術，也盡量不要規(guī)劃為相同的地址 。 ? 擴展性 地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性 。 園區(qū) IP地址基本分類 ? Loopback 地址 為了方便管理，會為每一臺路由器創(chuàng)建一個 Loopback 接口，并在該接口上單獨指定一個 IP 地址作為管理地址。最后一位是奇數(shù)的表示路由器， 是偶數(shù)的表示交換機，越是核心的設備， Loopback 地址越小 。核心設備使用較小的一個地址，互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時要充分考慮使用連續(xù)的可聚合地址 。 ? 園區(qū)網(wǎng)內部的 IP 地址 建議使用私網(wǎng) IP 地址，在邊緣網(wǎng)絡通過 NAT 轉換成公網(wǎng)地址后接入公網(wǎng) 。 DHCP規(guī)劃 園區(qū)網(wǎng)中辦公網(wǎng)絡建議使用 DHCP，每個 DHCP 網(wǎng)段應保留部分靜態(tài) IP 供服務器等設備使用 。 ? 在匯聚層網(wǎng)關部署 DHCP Relay 指向 DHCP Server 統(tǒng)一分配地址 。 圖 31 DHCP園區(qū)部署基本架構 DHCP部署基本原則 ? 固定 IP 地址段和動態(tài)分配 IP 地址段保持連續(xù)。 ? DHCP 需要跨網(wǎng)段獲得 IP 地址時，啟動 DHCP Relay 功能。 DNS規(guī)劃 DNS服務器的角色劃分 ? Master 服務器：主服務器 作為 DNS 的管理服務器，可以增加、刪除、修改域名， 修改的信息可以同步到 Slave服務器， 一般部署 1 臺。一般部署 2臺從服務器。一般部署在 Slave服務器上。 ? Slave 服務器：分配企業(yè)私網(wǎng)地址， 并在負載均衡器上分配一個虛擬的企業(yè)內網(wǎng)地址。 ? 另一種是在鏈路負載均衡設備上通過智能 DNS 為外部 Inter 用戶提供服務 。當 Slave DNS1 服務器故障后，所有的 DNS 請求被分發(fā)給 Slave DNS2。 Master 服務器，建議放置在 DMZ 區(qū)域，并在同區(qū)內部建立 Slave DNS 服務器 。 當所有的 Slave DNS 都故障后，用戶發(fā)送的 DNS 請求無響應。 25 圖 32 園區(qū) DNS規(guī)劃 二層設計 概述 建議采用 如 圖 33 所示 的網(wǎng)絡分層，匯聚層作為網(wǎng)關，接入層做透傳轉發(fā)。 26 圖 33 二層設計組網(wǎng)圖 STP STP 體系目前有三種協(xié)議可用，他們是 STP（ ） 、 RSTP()和MSTP()。由于 STP 的收斂速度慢，所以在一些后來生產(chǎn)的設備上，都 默認啟用 RSTP 或者 MSTP。 首先要明確什么時候需要部署 STP， 運行 STP 的首要條件就是網(wǎng)絡中存在冗余鏈路。針對存在 的 三種 STP 協(xié)議，需要進行如下考慮： ? 一些比較老的交換機可能不支持 RSTP 或者 MSTP，在有這些設備存在的網(wǎng)絡中，就現(xiàn)實情況而言，還是應該啟用 STP 協(xié)議。 ? 在設備都支持 RSTP 協(xié)議的情況下，當網(wǎng)絡中僅存在一個 VLAN 時，建議采用 RSTP，這樣可以充分發(fā)揮 RSTP 的優(yōu)勢，加速網(wǎng)絡的收斂。 ? 基于上一條描述的條件，當網(wǎng)絡中存在多個 VLAN，但是他們在 trunk 鏈路上的配置并不一致時，就要采用 MSTP 啟用多個生成樹實例。在一個合理根橋設置的網(wǎng)絡中，會加快網(wǎng)絡的收斂，數(shù)據(jù)報文會經(jīng)過更短的路徑到達目的地。手動選擇可以達到網(wǎng)絡的最優(yōu)化。這里的核心包括處理性能上的優(yōu)異和網(wǎng)絡拓撲位置上的核心層。 當設置一臺交換機為根橋或者備份根橋之后，用戶不能再修改交換機的優(yōu)先級。 ? 路徑開銷 的規(guī)劃 路徑開銷（ PathCost）是一個端口量，反映了本端口所連接網(wǎng)絡的開銷。在一個 STP 網(wǎng)絡中，某端口到根橋累計的路徑開銷就是通過所經(jīng)過的各個橋上的各端口的路徑開銷累加而成，這個值叫做根路徑開銷（ RootPathCost）。在一臺交換機上所有使能 STP 協(xié)議的端口中，根路徑開銷最小的就會成為根端口。 端口 的 路徑開銷 也是生成樹計算的重要依據(jù)， 在 MSTP 中，在 不同 MSTI 上為同一端口 配置 不同的路徑開銷值， 可以 使不同 VLAN 的流量沿不同的物理鏈路轉發(fā)，實現(xiàn) 按 VLAN 的負載 分擔功能。 ? 域修訂等級必須一致 。 ? 每個 VLAN 只能對應一個 MSTI，即同一 VLAN 的數(shù)據(jù)只能在一個 MSTI 中傳輸；而一個 MSTI 可能對應多個 VLAN。 RRPP RRPP（ Rapid Ring Protection Protocol） 是一個專門應用于以太網(wǎng)環(huán)的二層協(xié)議，來源于EAPS 協(xié)議（ RFC3619），該協(xié)議提供最快 50 毫秒的保護性能。 RRPP 協(xié)議報文采用硬件廣播轉發(fā)，而非 STP 的逐跳處理 。 ? 收斂時間與環(huán)網(wǎng) 上節(jié)點數(shù)無關，與網(wǎng)絡規(guī)模無關 。 ? 子環(huán)要固定連接到主環(huán)上， 支持 1 級子環(huán)。 ? RRPP 環(huán)上端口不建議配置風暴抑制功能，避免因為丟棄 RRPPHello 報文導致廣播風暴 ， 誤操作或者其他異常情況可能導致廣播風暴，影響整網(wǎng)業(yè)務 。如果沒有提前配置控制 VLAN，而數(shù)據(jù) VLAN 已經(jīng)打開的情況下， RRPP 會因為 Hello 報 文中斷導致廣播風暴。 RRPP的應用場景和注意點 RRPP 協(xié)議應用于對保護性能要求較高的簡單二層以太網(wǎng)絡，支持固定的單環(huán)、主環(huán) /子環(huán)拓撲模型。 SEP SEP 支持各種類型的復雜組網(wǎng)，例如： 支持與 STP、 RSTP、 MSTP、 RRPP 協(xié)議混合組網(wǎng)，支持任意拓撲且支持拓撲查看。當有故障產(chǎn)生，可快速定位故障出現(xiàn)的位置，從而提高了可維護性。 SEP 協(xié)議具有環(huán)網(wǎng)協(xié)議基本的快速保護性能： ? 拓撲收斂速度快 。 SEP的局限性和應用限制 SEP 是我司私有協(xié)議，不能和其他公司設備直接對接。 SEP的應用場景和注意點 SEP 協(xié)議應用于對保護性能要求較高的二層以太網(wǎng)絡，可以支持復雜拓撲模型，是華為公司目前主推的快速環(huán)網(wǎng)保護協(xié)議。為保證可靠性，部署雙上行鏈路，不可避免鏈路冗余，需要部署破環(huán)協(xié)議，隨著網(wǎng)絡規(guī)模的不斷擴大，xSTP 協(xié)議收斂時間慢，可用性差，由此引出新的解決方案，即 CSS/iStack 技術。主交換機是整個堆疊系統(tǒng)中的控制中心。 iStack 中多臺交換機作為一個整體對外體現(xiàn)為一臺邏輯設備，共用一個管理 IP 地址和一個 MAC 地址，且組建方便。 核心層采用 CSS（集群）技術 ，匯聚采用 CSS 或 iStack 技術 ，即將兩臺交換機通過專用的堆疊電纜連 接起來，選出一臺為主交換機，一臺為備交換機，對外呈現(xiàn)為一臺邏輯交換機。多臺設備間冗余、備份，提高系統(tǒng)的可靠性。具有很高的可用性。通過在兩臺設備之間建立鏈路聚合組，可以提供更高的通訊帶寬和更高的可靠性。 EthTrunk 的負載分擔模式 分為手工負載分擔模式和靜態(tài)負載分擔模式。 圖 34 CSS/iStack拓撲圖 對可靠性要求較高的企業(yè) ，推薦使用 CSS/iStack 技術，無需部署破環(huán)協(xié)議，網(wǎng)絡拓撲簡單，帶寬利用率高，網(wǎng)絡可靠性高。 圖 35 路由交換分界點