園區(qū)網(wǎng)技術(shù)方案建議書

1、 園區(qū)網(wǎng)絡(luò)平臺建設(shè)方案 STYLEREF Contents 目錄 DOCPROPERTY Product&Project Name ONE NET Campus 園區(qū)網(wǎng)解決方案 DOCPROPERTY DocumentName 技術(shù)建議書園區(qū)網(wǎng)網(wǎng)絡(luò)概述園區(qū)網(wǎng)概述園區(qū)網(wǎng)的定義園區(qū)網(wǎng)一般是指企業(yè)或者機構(gòu)的內(nèi)部網(wǎng)絡(luò)，與廣域互聯(lián)、數(shù)據(jù)中心相關(guān)。園區(qū)網(wǎng)的主要目的是使企業(yè)主業(yè)務(wù)運作更有效率。目前我們通常涉及的園區(qū)網(wǎng)包括校園網(wǎng)、企業(yè)OA網(wǎng)、企業(yè)生產(chǎn)網(wǎng)和科技園區(qū)網(wǎng)。其中：企業(yè)OA網(wǎng)包括政府、金融、能源、交通等領(lǐng)域企業(yè)生產(chǎn)網(wǎng)包括電力、石油、制造行業(yè)科技園區(qū)網(wǎng)包括高新科技園軟件園一般情況下，園區(qū)網(wǎng)按規(guī)模來劃分也可

2、以分解成大型園區(qū)網(wǎng)、中型園區(qū)網(wǎng)、小型園區(qū)網(wǎng)。其中中型園區(qū)網(wǎng)和小型園區(qū)網(wǎng)有時統(tǒng)稱為中小型園區(qū)網(wǎng)。有時候企業(yè)還存在不同地域的辦公分支機構(gòu)，這些分支機構(gòu)是不包含在園區(qū)網(wǎng)內(nèi)部的。所以通常所說的園區(qū)網(wǎng)都止于公網(wǎng)邊緣，可以理解成一個私網(wǎng)。園區(qū)網(wǎng)的要求隨著用戶對IT成本、效率和體驗的更高要求，讓網(wǎng)絡(luò)面臨了更大挑戰(zhàn)，網(wǎng)絡(luò)變得更加復(fù)雜。如何使網(wǎng)絡(luò)能夠更好的為企業(yè)服務(wù)，如何解決網(wǎng)絡(luò)多廠商的協(xié)同工作，如何解決運維等對我們的園區(qū)網(wǎng)絡(luò)建設(shè)提出了新的要求。網(wǎng)絡(luò)需要標準無論在PC時代還是互聯(lián)網(wǎng)時代，新技術(shù)的標準化是基礎(chǔ)和前提，物聯(lián)網(wǎng)時代關(guān)鍵技術(shù)的標準化還不成熟。網(wǎng)絡(luò)需要協(xié)同網(wǎng)絡(luò)部件間的協(xié)同、網(wǎng)絡(luò)間的協(xié)同、網(wǎng)絡(luò)和應(yīng)用的協(xié)同能

3、有效屏蔽網(wǎng)絡(luò)復(fù)雜性，讓網(wǎng)絡(luò)更加智能，讓網(wǎng)絡(luò)變得透明。網(wǎng)絡(luò)需要一攬子服務(wù)企業(yè)業(yè)務(wù)的擴張、商業(yè)模式的創(chuàng)新更加依賴信息化平臺支撐，一攬子的服務(wù)給客戶帶來網(wǎng)絡(luò)建設(shè)成本、效率和體驗上的最佳平衡，讓網(wǎng)絡(luò)像供水、供電一樣，隨需而用。華為園區(qū)網(wǎng)解決方案華為公司提出ONE NET解決方案，是基于標準化、協(xié)同、一攬子的企業(yè)網(wǎng)絡(luò)解決方案。ONE NET架構(gòu)是整合產(chǎn)品、方案和服務(wù)于一體的完整體系，為各個行業(yè)應(yīng)用構(gòu)建堅實的基礎(chǔ)網(wǎng)絡(luò)平臺。ONE NET以開放標準的產(chǎn)品為基礎(chǔ)，針對各種應(yīng)用場景，為企業(yè)用戶提供網(wǎng)絡(luò)部件間、網(wǎng)絡(luò)與網(wǎng)絡(luò)間、網(wǎng)絡(luò)與應(yīng)用間的全方位協(xié)同解決方案，同時針對不同用戶的差異化需求，華為攜手合作伙伴一起為用戶

4、提供端到端的一攬子網(wǎng)絡(luò)建設(shè)服務(wù)。ONE NET通過標準化的產(chǎn)品、全方位的協(xié)同解決方案和一攬子的服務(wù)，屏蔽網(wǎng)絡(luò)的復(fù)雜性，讓用戶的體驗就像一張網(wǎng)。園區(qū)網(wǎng)設(shè)計原則企業(yè)園區(qū)網(wǎng)是企業(yè)的業(yè)務(wù)信息平臺，應(yīng)本著以下原則進行建設(shè)：超前性與實用性結(jié)合網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，如果設(shè)備缺乏先進性，設(shè)備可能很快落后甚至被淘汰，但也不能過分超前，以避免造成投資的浪費。為此，在網(wǎng)絡(luò)建設(shè)中，需注意超前性與實用性結(jié)合，確保投資有效，使之能真正發(fā)揮出相應(yīng)的作用。安全性與可靠性在園區(qū)網(wǎng)建設(shè)中，安全性是整個網(wǎng)絡(luò)建設(shè)中的重中之重，要通過各種技術(shù)確保系統(tǒng)應(yīng)用的安全性。同時，要求系統(tǒng)本身具有高度的可靠性，這樣才能保證網(wǎng)絡(luò)客戶的應(yīng)用。可管理性網(wǎng)絡(luò)

5、管理是一個長期的投資，在網(wǎng)絡(luò)建設(shè)中對網(wǎng)絡(luò)可管理是一項重要的應(yīng)用原則，通過選擇全網(wǎng)的可管理性軟件，減少日常維護費用。可擴展性企業(yè)網(wǎng)絡(luò)不但需要能夠滿足當前需要，隨著后續(xù)企業(yè)規(guī)模的擴大、技術(shù)的發(fā)展，未來網(wǎng)絡(luò)需要承載更多的業(yè)務(wù)及提供更多的優(yōu)質(zhì)服務(wù)。所以，網(wǎng)絡(luò)的可擴展性是網(wǎng)絡(luò)建設(shè)中必須提前規(guī)劃的重點。未來園區(qū)網(wǎng)的發(fā)展企業(yè)戰(zhàn)略與機構(gòu)設(shè)置息息相關(guān)，機構(gòu)設(shè)置往往聚焦于在專業(yè)后臺部門的集中化、前臺銷售部門分散化問題（部門設(shè)置需要網(wǎng)絡(luò)基礎(chǔ)設(shè)施靈活、可擴展），現(xiàn)代技術(shù)的發(fā)展數(shù)字化、網(wǎng)絡(luò)化為企業(yè)機構(gòu)的集中化與分布化提供了條件。園區(qū)網(wǎng)發(fā)展和企業(yè)信息化發(fā)展歷程是相輔相成的，可以說企業(yè)信息化引領(lǐng)園區(qū)網(wǎng)，也可以說是園區(qū)網(wǎng)發(fā)展

6、支撐企業(yè)信息化發(fā)展。目前隨著信息化的發(fā)展，園區(qū)網(wǎng)面臨著不同的挑戰(zhàn)：企業(yè)業(yè)務(wù)全球發(fā)展使得企業(yè)承載網(wǎng)從“傳統(tǒng)的有線局域網(wǎng)”，演變?yōu)椤胺涸诘臉I(yè)務(wù)承載網(wǎng)”，實現(xiàn)隨時隨地接入成為企業(yè)信息化的首要需求。另外，隨著物聯(lián)網(wǎng)時代的到來，園區(qū)網(wǎng)不再是IT專用網(wǎng)絡(luò)，越來越演變成一張“企業(yè)物聯(lián)網(wǎng)”，多樣化的海量終端將接入到這張網(wǎng)絡(luò)中去。業(yè)務(wù)的多樣化承載也必然對網(wǎng)絡(luò)的質(zhì)量以及安全性提出了全新的要求，網(wǎng)絡(luò)不再是簡單的管道，而要輔助業(yè)務(wù)系統(tǒng)實現(xiàn)完美體驗。而越來越復(fù)雜的ICT系統(tǒng)如何依靠現(xiàn)有的人力和能力維護已經(jīng)成為企業(yè)CIO很關(guān)注的一個問題，這也要求園區(qū)網(wǎng)網(wǎng)絡(luò)的易維護成為必須需求。諾蘭模型根據(jù)企業(yè)信息化發(fā)展遵循客觀規(guī)律的經(jīng)典

7、模型，用于指導(dǎo)企業(yè)IT系統(tǒng)建設(shè)，分為6個階段，分別是初始、普及、控制、集成、數(shù)據(jù)管理、成熟。從第4階段，IT開始逐步支撐企業(yè)發(fā)展，IT正式步入信息階段。根據(jù)諾蘭模型的發(fā)展方向，當前園區(qū)網(wǎng)已經(jīng)步入經(jīng)營全球化。包括：業(yè)務(wù)全球化，大量分支機構(gòu)接入；供應(yīng)商、合作伙伴全球化；經(jīng)營業(yè)務(wù)多樣化，需資源整合；支撐部門專業(yè)化，集中化，移動辦公人員增多需要及時協(xié)同商業(yè)信息。集成多系統(tǒng)，包括ERP、CRM管理平臺、Email、OA系統(tǒng)、知識管理系統(tǒng)、VoIP（Voice Over IP）、視頻會議、數(shù)據(jù)中心、呼叫客服中心。實現(xiàn)信息技術(shù)全球化。園區(qū)網(wǎng)絡(luò)總體設(shè)計方案園區(qū)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)園區(qū)網(wǎng)總體網(wǎng)絡(luò)設(shè)計原則園區(qū)網(wǎng)通常是一

8、種用戶高密度的非運營網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。同時對于園區(qū)網(wǎng)而言，注重的是網(wǎng)絡(luò)的簡單可靠、易部署、易維護。因此在園區(qū)網(wǎng)中，拓撲結(jié)構(gòu)通常以星型結(jié)構(gòu)為主，較少使用環(huán)網(wǎng)結(jié)構(gòu)（環(huán)網(wǎng)結(jié)構(gòu)較多的運用在運營商的城域網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)中，可以節(jié)約光纖資源）?；谛切徒Y(jié)構(gòu)的園區(qū)網(wǎng)設(shè)計，通常遵循如下原則：層次化將園區(qū)網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴展和維護。模塊化將園區(qū)網(wǎng)絡(luò)中的每個部門或者每個功能區(qū)劃分為一個模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進行問題定位。冗余性關(guān)鍵設(shè)備采用雙節(jié)點冗余設(shè)計；關(guān)鍵鏈路采用Trunk方式冗余備份或者負載分擔；關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部

9、件冗余備份。提高了整個網(wǎng)絡(luò)的可靠性。安全隔離園區(qū)網(wǎng)絡(luò)應(yīng)具備有效的安全控制。按業(yè)務(wù)、按權(quán)限進行分區(qū)邏輯隔離，對特別重要的業(yè)務(wù)采取物理隔離。可管理性和可維護性網(wǎng)絡(luò)應(yīng)當具有良好的可管理性。為了便于維護，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品。園區(qū)網(wǎng)總體網(wǎng)絡(luò)邏輯架構(gòu)園區(qū)網(wǎng)絡(luò)的邏輯架構(gòu)如下 REF _Ref297125762 r h 圖2-1所示，包括五大部分。園區(qū)網(wǎng)絡(luò)的邏輯架構(gòu)終端層包含園區(qū)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機、傳真、POTS話機、SIP話機、手機、攝像頭等等。接入層負責將各種終端接入到園區(qū)網(wǎng)絡(luò)，通常由以太網(wǎng)交換機組成。對于某些終端，可能還要增加特定的接入設(shè)備，例如無線接入的

10、AP設(shè)備、POTS話機接入的IAD等。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴展核心層接入用戶的數(shù)量。匯聚層通常還作為用戶三層網(wǎng)關(guān)，承擔L2/L3邊緣設(shè)備的角色，提供用戶管理、安全管理、QoS（QualityofService）調(diào)度等各項跟用戶和業(yè)務(wù)相關(guān)的處理。核心層核心層負責整個園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。園區(qū)出口園區(qū)出口是園區(qū)網(wǎng)絡(luò)到外部公網(wǎng)的邊界，園區(qū)網(wǎng)的內(nèi)部用戶通過邊緣網(wǎng)絡(luò)接入到公網(wǎng)，外部用戶（包括客戶、合作伙伴、分支機構(gòu)、遠程用戶等）也通過邊緣網(wǎng)絡(luò)接入到內(nèi)部網(wǎng)絡(luò)。數(shù)據(jù)中心區(qū)部署服務(wù)器和應(yīng)用系統(tǒng)

11、的區(qū)域。為企業(yè)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。DMZ（Demilitarized Zone）區(qū)通常公用服務(wù)器部署于該區(qū)域，為外部訪客（非企業(yè)員工）提供相應(yīng)的訪問業(yè)務(wù)，其安全性受到嚴格控制。Extranet區(qū)與DMZ區(qū)相似，但它主要是面向合作伙伴提供服務(wù)。網(wǎng)絡(luò)管理區(qū)對網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)進行管理的區(qū)域。包括故障管理、配置管理、性能管理、安全管理等。園區(qū)網(wǎng)絡(luò)總體物理架構(gòu)對應(yīng)邏輯架構(gòu)，園區(qū)網(wǎng)絡(luò)的物理架構(gòu)如 REF _Ref297197174 r h 圖2-2所示。園區(qū)網(wǎng)絡(luò)的物理架構(gòu)該組網(wǎng)結(jié)構(gòu)具有如下特點：以核心節(jié)點為“根”的星型分層拓撲，架構(gòu)穩(wěn)定，易于擴展和維護。各部門和功能分區(qū)模塊清晰，模塊內(nèi)

12、部調(diào)整涉及范圍小，易于進行問題定位。雙節(jié)點冗余設(shè)計，關(guān)鍵鏈路均采用Trunk鏈路，保證網(wǎng)絡(luò)的可靠性。支持各種業(yè)務(wù)終端接入，一張IP網(wǎng)絡(luò)承載所有業(yè)務(wù)。支持分支接入、員工遠程接入、合作伙伴接入、外部用戶訪問等各種外聯(lián)場景。核心區(qū)網(wǎng)絡(luò)規(guī)劃核心區(qū)是整個園區(qū)網(wǎng)絡(luò)的樞紐，連接著園區(qū)內(nèi)的各個區(qū)域。承擔了內(nèi)部數(shù)據(jù)流量和對外數(shù)據(jù)流量，在邏輯上成為可靠性、安全設(shè)計的中心。物理組網(wǎng)規(guī)劃如 REF _Ref304465081 r h 圖2-3所示，核心區(qū)域建議采用園區(qū)出口、核心層、匯聚層和接入層的架構(gòu)模型，具有如下的優(yōu)勢：層次化設(shè)計：核心層、匯聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴展和維護。模塊化設(shè)計：每一個模

13、塊一個部門，部門內(nèi)部調(diào)整涉及范圍小，定位問題也容易。冗余性設(shè)計：雙節(jié)點冗余性設(shè)計，適當?shù)娜哂嘈蕴岣呖煽啃?，過度的冗余不便于運行維護。對稱性設(shè)計：網(wǎng)絡(luò)的對稱性便于業(yè)務(wù)部署，拓撲直觀，便于設(shè)計和分析。核心區(qū)域組網(wǎng)結(jié)構(gòu)圖園區(qū)網(wǎng)核心區(qū)的星型設(shè)計使得網(wǎng)絡(luò)架構(gòu)簡單，易于維護和部署。但星型不等于不成環(huán)，仍然需要運行破環(huán)協(xié)議，推薦使用MSTP協(xié)議。園區(qū)出口設(shè)計規(guī)劃園區(qū)出口指企業(yè)接入廣域網(wǎng)和Internet的出口，園區(qū)出口的主要功能是外部的互訪，包括企業(yè)分支、出差員工、合作伙伴/訪客的訪問，具體內(nèi)容請參見互聯(lián)區(qū)網(wǎng)絡(luò)規(guī)劃。Internet網(wǎng)絡(luò)的安全性低、可靠性低、費用低，WAN安全性高、可靠性高、費用高。為保證W

14、AN/Internet鏈路的高可靠性，可申請兩條鏈路，實現(xiàn)冗余備份，也可以WAN作為主用鏈路，Internet作為備份鏈路。園區(qū)出口網(wǎng)關(guān)需要配置防火墻、IPS等，根據(jù)不同的安全性要求和投資規(guī)模選擇安全部件。核心區(qū)域組網(wǎng)結(jié)構(gòu)圖-園區(qū)出口核心層設(shè)計規(guī)劃核心層部署園區(qū)的核心設(shè)備，連接所有的匯聚交換機，轉(zhuǎn)發(fā)各個部門之間的流量。核心層對三個以上部門規(guī)模的企業(yè)來說是必須的，除了減少連線、路由Peer之外，讓擴展以及日常策略調(diào)整也變得簡單。通常情況下，核心層需要采用全連接結(jié)構(gòu)，保持核心層設(shè)備的配置盡量簡單，并且和業(yè)務(wù)部門無關(guān)。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，否則將無法支撐企業(yè)內(nèi)外部的業(yè)務(wù)流量。核心區(qū)域

15、組網(wǎng)結(jié)構(gòu)圖-核心層匯聚層設(shè)計規(guī)劃匯聚層是部門的核心，轉(zhuǎn)發(fā)部門用戶間的“橫向”流量。同時提供到核心層的“縱向”流量。對接入層隱藏核心層，作為園區(qū)網(wǎng)的配線架，將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中，擴展核心層設(shè)備接入用戶的數(shù)量。如 REF _Ref304385841 r h 圖2-6所示，匯聚層需要雙歸到核心層并支持接入層的雙歸接入。通常匯聚層承擔著L2/L3邊緣的角色，需要具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能等特點，用于支撐該匯聚層下各業(yè)務(wù)部門之間的流量。核心區(qū)域組網(wǎng)結(jié)構(gòu)圖-匯聚層接入層設(shè)計規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端接入網(wǎng)絡(luò)的第一層，一般部署二層設(shè)備，雙歸屬到匯聚層兩個不同

16、的交換機。接入層除了需要部署豐富的二層特性外，還需要部署安全、可靠性等相關(guān)功能。接入層需要具有高端口密度，以支持更多的終端接入園區(qū)網(wǎng)絡(luò)。核心區(qū)域組網(wǎng)結(jié)構(gòu)圖-接入層可靠性設(shè)計規(guī)劃從上述組網(wǎng)圖可以看到，網(wǎng)絡(luò)可靠性由雙設(shè)備、鏈路冗余來保證。對于雙設(shè)備、鏈路冗余的網(wǎng)絡(luò)，如果接入層進三層，在接入層和核心層之間采用三層路由的方式，通過等價路徑再輔助部署B(yǎng)FD（Bidirectional Forwarding Detection）快速檢測故障，就能夠保證鏈路故障、設(shè)備故障的快速切換，同時也能夠充分利用冗余鏈路。更多的組網(wǎng)方式是在匯聚層進三層，這樣就需要解決接入層和匯聚層之間二層流量的環(huán)路問題。傳統(tǒng)的方案是S

17、TPVRRP的方案。該方案通過阻塞某些鏈路的轉(zhuǎn)發(fā)實現(xiàn)二層破環(huán)，雖然該方案采用了標準的協(xié)議，支持多個廠家設(shè)備的混合組網(wǎng)，但是其缺點也是顯而易見的：收斂時間傳統(tǒng)的STP（Spanning Tree Protocol）技術(shù)收斂速度慢，在故障發(fā)生時，故障收斂時間10秒；雖然采用RSTP進行優(yōu)化，但收斂時間任是秒級，秒級的業(yè)務(wù)中斷，會導(dǎo)致較差的用戶體驗。鏈路利用率低如果同一機架內(nèi)的服務(wù)器屬于同一VLAN，則有一個上行鏈路的帶寬無法利用。帶寬利用率只有50%；雖然MSTP基于VLAN進行優(yōu)化，但不能從根本上解決問題。配置維護復(fù)雜，網(wǎng)絡(luò)故障率高每個接入交換機和匯聚交換機都需要運行STP協(xié)議，隨著接入交換機的

18、增加，交換機需要處理的STP也越來越復(fù)雜，會導(dǎo)致可靠性問題。我們推薦采用集群+堆疊的無環(huán)網(wǎng)絡(luò)方案來解決上面的這些缺陷。核心、匯聚采用兩臺框式交換機集群。接入層采用盒式交換機，盒式交換機每兩臺堆疊。接入層交換機和核心/匯聚層交換機間的鏈路進行鏈路捆綁。這個方案有四大優(yōu)勢：簡化管理和配置首先，集群和堆疊技術(shù)將需要管理的設(shè)備節(jié)點減少一半以上。其次，組網(wǎng)變得簡潔不需要配置復(fù)雜的協(xié)議，如：STP/SmartLink/VRRP等?？焖俚墓收鲜諗挎溌饭收鲜諗繒r間可以控制在10ms，大大降低了網(wǎng)絡(luò)鏈路/節(jié)點的故障對業(yè)務(wù)的影響。帶寬利用率高采用鏈路Trunk的方式，帶寬利用率可以達到100%。擴容方便、保護投資

19、隨著業(yè)務(wù)的增加，當用戶進行網(wǎng)絡(luò)升級時，只需要增加新設(shè)備，而不需要更改網(wǎng)絡(luò)配置。平滑擴容，很好的保護了投資。該方案極大提高了可靠性，以單鏈路故障率為1小時/1千小時為例，增加到兩條鏈路，就可以將故障率降低到3.6秒/1千小時，可靠性從3個9提高到6個9?？煽啃缘牧硪粋€重要方面是設(shè)備可靠性，核心區(qū)設(shè)備一般為框式設(shè)備，在可靠性方面的要求包括：支持主控單元的備份支持電源模塊的備份支持模塊化的風扇設(shè)計，支持單風扇失效支持所有模塊的熱插拔安全性設(shè)計規(guī)劃核心層與園區(qū)出口部署防火墻設(shè)備，主要解決如下幾個安全問題：園區(qū)內(nèi)、外網(wǎng)之間的訪問控制，實現(xiàn)園區(qū)內(nèi)、外網(wǎng)的安全隔離。企業(yè)分支與園區(qū)內(nèi)網(wǎng)的訪問控制，實現(xiàn)企業(yè)分支

20、和園區(qū)內(nèi)網(wǎng)業(yè)務(wù)的安全隔離。出差員工與總部DMZ區(qū)的訪問控制，實現(xiàn)出差員工與園區(qū)內(nèi)網(wǎng)的安全隔離。合作伙伴/訪客與總部DMZ區(qū)的訪問控制，實現(xiàn)合作伙伴/訪客與園區(qū)內(nèi)網(wǎng)的安全隔離。互聯(lián)區(qū)網(wǎng)絡(luò)規(guī)劃物理組網(wǎng)規(guī)劃概述互聯(lián)區(qū)域網(wǎng)絡(luò)根據(jù)接入類型及服務(wù)類型劃分多個不同的互聯(lián)接入?yún)^(qū)域：Internet互聯(lián)企業(yè)外部用戶（例如企業(yè)分支、出差員工等）通過Internet訪問園區(qū)。Extranet互聯(lián)合作單位用戶通過廣域網(wǎng)或局域網(wǎng)訪問園區(qū)。Intranet互聯(lián)企業(yè)內(nèi)部用戶訪問園區(qū)內(nèi)部及數(shù)據(jù)中心。Internet互聯(lián)Internet互聯(lián)區(qū)域的網(wǎng)絡(luò)架構(gòu)Internet互聯(lián)區(qū)包括路由器、UTM等設(shè)備。其中UTM至少要包括防火墻

21、和IPS兩項功能。入侵檢測系統(tǒng)IPS對摻雜在應(yīng)用數(shù)據(jù)流中的惡意代碼、攻擊行為、DDOS攻擊等進行偵測，并實時進行響應(yīng)。防火墻在網(wǎng)絡(luò)層面，過濾非法流量、抵御外部的攻擊，保護內(nèi)部資源。防火墻和IPS本身都是重要的網(wǎng)絡(luò)設(shè)備，而且其位置一般都是作為網(wǎng)絡(luò)的出口。其位置和功能決定了防火墻和IPS設(shè)備應(yīng)該具有非常高的可靠性。為了保證Internet互聯(lián)區(qū)域的可靠性，所有設(shè)備均需要成對部署，即：兩臺路由器，兩臺UTM（至少含防火墻和IPS）。VPN接入?yún)^(qū)根據(jù)需要提供IPSec VPN和SSL VPN兩種接入功能，解決移動用戶的安全接入問題。IPSec VPN主要適用Site-to-Site方式接入SSL VP

22、N主要適用于Client-to-Site方式接入可以部署獨立的IPSec VPN網(wǎng)關(guān)和SSL VPN網(wǎng)關(guān)，也可以采用UTM設(shè)備統(tǒng)一接入。Extranet互聯(lián)Extranet互聯(lián)區(qū)域的網(wǎng)絡(luò)架構(gòu)如 REF _Ref298228140 r h 圖2-10所示，由于Extranet區(qū)域?qū)儆谄髽I(yè)外部用戶接入的區(qū)域，從網(wǎng)絡(luò)信任關(guān)系上講，安全等級與DMZ相同，都屬于非可信網(wǎng)絡(luò)，不能直接與園區(qū)連接。訪問權(quán)限應(yīng)限制在本區(qū)域內(nèi)部及DMZ區(qū)域，內(nèi)網(wǎng)訪問應(yīng)嚴格控制。業(yè)務(wù)隔離：同DMZ區(qū)域，主要提供對外服務(wù)，因此對該區(qū)域網(wǎng)絡(luò)應(yīng)與內(nèi)網(wǎng)隔離，必要的業(yè)務(wù)可以通過嚴格控制訪問DMZ區(qū)域。防火墻：在網(wǎng)絡(luò)層面，通過NAT技術(shù)隱藏內(nèi)

23、網(wǎng)拓撲，保護內(nèi)部資源控制訪問權(quán)限。Intranet互聯(lián)企業(yè)內(nèi)部用戶訪問園區(qū)內(nèi)部或數(shù)據(jù)中心。Intranet互聯(lián)區(qū)域的網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)方面主要考慮線路雙歸，路由及設(shè)備的冗余備份。需要部署獨立的互聯(lián)接入設(shè)備并部署2臺進行熱備，保證設(shè)備的可靠性。內(nèi)部網(wǎng)絡(luò)屬于較安全的區(qū)域，是綠色區(qū)域，風險比較低。主要的安全風險來自內(nèi)部網(wǎng)絡(luò)自身的用戶（如用戶未經(jīng)授權(quán)的存?。Ｔ诮尤朐O(shè)備中，根據(jù)實際需求控制不同分支之間的數(shù)據(jù)互通的訪問控制。數(shù)據(jù)中心出口交換機處部署防火墻設(shè)備進行安全檢查和權(quán)限控制；接入層交換機處部署負載均衡器實現(xiàn)服務(wù)器資源的有效利用；數(shù)據(jù)中心出口交換機采用雙鏈路接入園區(qū)核心層交換機，實現(xiàn)高可靠性。數(shù)據(jù)中心內(nèi)部

24、的設(shè)計請參見數(shù)據(jù)中心解決方案技術(shù)建議書DMZ區(qū)規(guī)劃DMZ區(qū)是部署對外業(yè)務(wù)和服務(wù)的區(qū)域，狹義的DMZ僅對互聯(lián)網(wǎng)用戶提供服務(wù)。廣義的DMZ區(qū)還對內(nèi)部用戶或合作伙伴提供服務(wù)。DMZ區(qū)規(guī)劃圖設(shè)置DMZ區(qū)是出于安全性和業(yè)務(wù)便利性的考慮。DMZ區(qū)放置對外服務(wù)的Web、FTP、Email服務(wù)器，也放置方便內(nèi)部用戶訪問Internet的Proxy、DNS服務(wù)器等。外部用戶可以訪問DMZ區(qū)的Web、FTP等服務(wù)，但不能訪問到內(nèi)部的服務(wù)。內(nèi)部用戶可以訪問DMZ區(qū)也可以訪問內(nèi)部的服務(wù)。內(nèi)部服務(wù)區(qū)規(guī)劃內(nèi)部服務(wù)器區(qū)用于放置為企業(yè)內(nèi)部提供服務(wù)的服務(wù)器。對外服務(wù)所需的APP和DB服務(wù)器，建議放在DMZ區(qū)，規(guī)模達到一定程度需

25、要建設(shè)專門的數(shù)據(jù)中心。內(nèi)部服務(wù)器規(guī)劃圖由于內(nèi)部用戶能夠造成更大的安全威脅，所以內(nèi)部服務(wù)器采取“未經(jīng)明確允許的就是被禁止的”及“最小授權(quán)”的嚴格安全策略。內(nèi)部服務(wù)器區(qū)安全部署重點關(guān)注內(nèi)部子分區(qū)的隔離，按照企業(yè)組織、密級、業(yè)務(wù)進行子分區(qū)劃分。各子分區(qū)共用的設(shè)備，不同部門或業(yè)務(wù)采用虛擬技術(shù)隔離，如VLAN、VPN實例；子分區(qū)分開使用的設(shè)備，網(wǎng)絡(luò)管理、系統(tǒng)管理在物理位置上分開。通過NAT技術(shù)實現(xiàn)公網(wǎng)和私網(wǎng)的轉(zhuǎn)換，通過IPSec、SSL VPN、GRE over IPSec等技術(shù)實現(xiàn)安全訪問。園區(qū)網(wǎng)絡(luò)技術(shù)方案VLAN規(guī)劃VLAN概述VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個個網(wǎng)段，從而實現(xiàn)在

26、一個LAN內(nèi)隔離廣播域的技術(shù)。當網(wǎng)絡(luò)規(guī)模越來越龐大時，局部網(wǎng)絡(luò)出現(xiàn)的故障會影響到整個網(wǎng)絡(luò)，VLAN的出現(xiàn)可以將網(wǎng)絡(luò)故障限制在VLAN范圍內(nèi)，增強了網(wǎng)絡(luò)的健壯性。VLAN功能劃分用戶VLAN用戶VLAN即普通VLAN，也就是我們?nèi)粘Ｋf的VLAN，是用來對不同端口進行隔離的一種手段。VLAN通常根據(jù)業(yè)務(wù)需要進行規(guī)劃，需要隔離的端口配置不同的VLAN，需要防止廣播域過大的地方配置VLAN用于減小廣播域。VLAN最好不要跨交換機，即使跨交換機，數(shù)目也需要限制。Voice VLANVoice VLAN是為用戶的語音數(shù)據(jù)流劃分的VLAN，用戶通過創(chuàng)建Voice VLAN并將連接語音設(shè)備的端口加入Voic

27、e VLAN，可以使語音數(shù)據(jù)集中在Voice VLAN中進行傳輸，便于對語音流進行有針對性的QoS配置，提高語音流量的傳輸優(yōu)先級，保證通話質(zhì)量。Guest VLAN網(wǎng)絡(luò)中用戶在通過802.1x等認證之前接入設(shè)備會把該端口加入到一個特定的VLAN（即Guest VLAN），用戶訪問該VLAN內(nèi)的資源不需要認證，只能訪問有限的網(wǎng)絡(luò)資源。用戶從處于Guest VLAN的服務(wù)器上可以獲取802.1x客戶端軟件，升級客戶端或執(zhí)行其他應(yīng)用升級程序（例如：防病毒軟件、操作系統(tǒng)補丁程序等）。認證成功后，端口離開Guest VLAN加入用戶VLAN，用戶可以訪問其特定的網(wǎng)絡(luò)資源。Multicast VLANMu

28、lticast VLAN即組播VLAN，組播交換機運行組播協(xié)議時需要組播VLAN來承載組播流。組播VLAN主要是用來解決當客戶端處于不同VLAN中時，上行的組播路由器必須在每個用戶VLAN復(fù)制一份組播流到接入組播交換機的問題。VLAN規(guī)劃原則一個二層網(wǎng)絡(luò)規(guī)劃的基本原則：區(qū)分業(yè)務(wù)VLAN、管理VLAN和互聯(lián)VLAN按照業(yè)務(wù)區(qū)域劃分不同的VLAN同一業(yè)務(wù)區(qū)域按照具體的業(yè)務(wù)類型（如：Web、APP、DB）劃分不同的VLANVLAN需連續(xù)分配，以保證VLAN資源合理利用預(yù)留一定數(shù)目VLAN方便后續(xù)擴展VLAN規(guī)劃建議VLAN根據(jù)多種原則組合劃分。按照邏輯區(qū)域劃分VLAN范圍：例如：核心網(wǎng)絡(luò)區(qū)：1001

29、99服務(wù)器區(qū)：200999，預(yù)留10001999接入網(wǎng)絡(luò)：20003499業(yè)務(wù)網(wǎng)絡(luò)：35003999按照地理區(qū)域劃分VLAN范圍例如：接入網(wǎng)絡(luò)A的地理區(qū)域使用20002199接入網(wǎng)絡(luò)B的地理區(qū)域使用22002399按照人員結(jié)構(gòu)劃分VLAN范圍例如：接入網(wǎng)絡(luò)A地理區(qū)域A部門使用20002009接入網(wǎng)絡(luò)A地理區(qū)域B部門使用20102019按照業(yè)務(wù)功能劃分VLAN范圍例如：Web服務(wù)器區(qū)域：200299APP服務(wù)器區(qū)域：300399DB服務(wù)器區(qū)域：400499IP規(guī)劃考慮到后期擴展性，在園區(qū)IP地址規(guī)劃時主要以易管理為主要目標。園區(qū)網(wǎng)中的DMZ區(qū)或Internet互聯(lián)區(qū)有少量設(shè)備使用公網(wǎng)IP，園區(qū)內(nèi)

30、部使用的則是私網(wǎng)IP。IP地址是動態(tài)IP或靜態(tài)IP的選取原則如下：原則上服務(wù)器，特殊終端設(shè)備（打卡機，打印服務(wù)器，IP視頻監(jiān)控設(shè)備等）和生產(chǎn)設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動態(tài)獲取，如辦公用PC、IP電話等。IP地址規(guī)劃原則IP地址規(guī)劃的原則唯一性一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址。即使使用了支持地址重疊的MPLS/VPN技術(shù)，也盡量不要規(guī)劃為相同的地址。連續(xù)性連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率。擴展性地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所需的連續(xù)性。實意性“望址生意”，好的IP地址規(guī)劃使每個地址

31、具有實際含義，看到一個地址就可以大致判斷出該地址所屬的設(shè)備。園區(qū)IP地址基本分類Loopback地址為了方便管理，會為每一臺路由器創(chuàng)建一個Loopback接口，并在該接口上單獨指定一個IP地址作為管理地址。Loopback地址務(wù)必使用32位掩碼的地址。最后一位是奇數(shù)的表示路由器，是偶數(shù)的表示交換機，越是核心的設(shè)備，Loopback地址越小。互聯(lián)地址互聯(lián)地址是指兩臺網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址，互聯(lián)地址務(wù)必使用30位掩碼的地址。核心設(shè)備使用較小的一個地址，互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時要充分考慮使用連續(xù)的可聚合地址。業(yè)務(wù)地址業(yè)務(wù)地址是連接在以太網(wǎng)上的各種服務(wù)器、主機所使用的地址以及網(wǎng)關(guān)

32、的地址，業(yè)務(wù)地址規(guī)劃時所有的網(wǎng)關(guān)地址統(tǒng)一使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關(guān)。園區(qū)網(wǎng)內(nèi)部的IP地址建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡(luò)通過NAT轉(zhuǎn)換成公網(wǎng)地址后接入公網(wǎng)。匯聚交換機下接入的網(wǎng)段可能有很多，在規(guī)劃的時候需要考慮路由是可以聚合的，這樣可以減少核心網(wǎng)絡(luò)的路由數(shù)目。DHCP規(guī)劃園區(qū)網(wǎng)中辦公網(wǎng)絡(luò)建議使用DHCP，每個DHCP網(wǎng)段應(yīng)保留部分靜態(tài)IP供服務(wù)器等設(shè)備使用。DHCP園區(qū)部署基本架構(gòu)在園區(qū)數(shù)據(jù)中心或服務(wù)器區(qū)部署獨立的DHCP Server。在匯聚層網(wǎng)關(guān)部署DHCP Relay指向DHCP Server統(tǒng)一分配地址。DHCP園區(qū)內(nèi)一般通過VLAN分配地址，如有特殊要求，在接入交換

33、機部屬Option82，由接入交換機提供的Option82信息分配地址。DHCP園區(qū)部署基本架構(gòu)DHCP部署基本原則固定IP地址段和動態(tài)分配IP地址段保持連續(xù)。按照業(yè)務(wù)區(qū)域進行DHCP地址的劃分，便于統(tǒng)一管理及問題定位。DHCP需要跨網(wǎng)段獲得IP地址時，啟動DHCP Relay功能。啟動DHCP安全功能，禁止非法DHCP Server的架設(shè)和非法用戶的接入。DNS規(guī)劃DNS服務(wù)器的角色劃分Master服務(wù)器：主服務(wù)器作為DNS的管理服務(wù)器，可以增加、刪除、修改域名，修改的信息可以同步到Slave服務(wù)器，一般部署1臺。Slave服務(wù)器：從服務(wù)器從Master服務(wù)器獲取域名信息，采用多臺服務(wù)器形成

34、集群的方式，統(tǒng)一對外提供DNS服務(wù)，一般采用基于硬件的負載均衡器提供服務(wù)器集群的功能。一般部署2臺從服務(wù)器。Cache服務(wù)器：緩存服務(wù)器用于緩存內(nèi)部用戶的DNS請求結(jié)果，加快后續(xù)的訪問。一般部署在Slave服務(wù)器上。DNS服務(wù)器的IP地址Master服務(wù)器：采用企業(yè)內(nèi)網(wǎng)地址。Slave服務(wù)器：分配企業(yè)私網(wǎng)地址，并在負載均衡器上分配一個虛擬的企業(yè)內(nèi)網(wǎng)地址。Internet域名地址有兩種方案：一種是在防火墻上做NAT映射，把Slave服務(wù)器的虛擬地址映射為一個公網(wǎng)IP地址，用于外部Internet用戶的訪問。另一種是在鏈路負載均衡設(shè)備上通過智能DNS為外部Internet用戶提供服務(wù)。DNS可靠性

35、設(shè)計眾多內(nèi)部用戶發(fā)送DNS請求，被均勻分擔到Slave DNS1和DNS2。當Slave DNS1服務(wù)器故障后，所有的DNS請求被分發(fā)給Slave DNS2。最終DNS服務(wù)器必須與外部DNS通訊。Master 服務(wù)器，建議放置在DMZ區(qū)域，并在同區(qū)內(nèi)部建立Slave DNS服務(wù)器。如只對內(nèi)提供服務(wù)的DNS服務(wù)器，可以作為二級的DNS服務(wù)器，放入其他非DMZ區(qū)域。當所有的Slave DNS都故障后，用戶發(fā)送的DNS請求無響應(yīng)。用戶就切換到備DNS，由Master DNS處理所有的請求。園區(qū)DNS規(guī)劃二層設(shè)計概述建議采用如 REF _Ref304486851 r h * MERGEFORMAT 圖

36、3-3所示的網(wǎng)絡(luò)分層，匯聚層作為網(wǎng)關(guān)，接入層做透傳轉(zhuǎn)發(fā)。這種設(shè)計方法下，接入層作為二層轉(zhuǎn)發(fā)，需要部署破環(huán)協(xié)議。二層設(shè)計組網(wǎng)圖STPSTP體系目前有三種協(xié)議可用，他們是STP（IEEE802.1D）、RSTP(IEEE802.1w)和MSTP(IEEE802.1s)。在一些老的設(shè)備上默認啟用STP。由于STP的收斂速度慢，所以在一些后來生產(chǎn)的設(shè)備上，都默認啟用RSTP或者MSTP。具體選用哪一種生成樹協(xié)議，還要看網(wǎng)絡(luò)的具體拓撲情況。首先要明確什么時候需要部署STP，運行STP的首要條件就是網(wǎng)絡(luò)中存在冗余鏈路。接下來，才要考慮選用哪種STP協(xié)議。針對存在的三種STP協(xié)議，需要進行如下考慮：一些比較

37、老的交換機可能不支持RSTP或者MSTP，在有這些設(shè)備存在的網(wǎng)絡(luò)中，就現(xiàn)實情況而言，還是應(yīng)該啟用STP協(xié)議。如果資金允許，可以將不支持RSTP或MSTP的設(shè)備換掉，因為采用RSTP、MSTP可以提升網(wǎng)絡(luò)的性能。在設(shè)備都支持RSTP協(xié)議的情況下，當網(wǎng)絡(luò)中僅存在一個VLAN時，建議采用RSTP，這樣可以充分發(fā)揮RSTP的優(yōu)勢，加速網(wǎng)絡(luò)的收斂。另外，如果網(wǎng)絡(luò)中存在多個VLAN，并且各個VLAN在拓撲上保持一致，也就是說在trunk鏈路上各個VLAN的配置相同，也建議使用RSTP?；谏弦粭l描述的條件，當網(wǎng)絡(luò)中存在多個VLAN，但是他們在trunk鏈路上的配置并不一致時，就要采用MSTP啟用多個生成樹

38、實例。網(wǎng)絡(luò)部署STP時，給出下列建議：根橋和備份根橋的選擇根橋的選擇合適與否直接影響著網(wǎng)絡(luò)的性能。在一個合理根橋設(shè)置的網(wǎng)絡(luò)中，會加快網(wǎng)絡(luò)的收斂，數(shù)據(jù)報文會經(jīng)過更短的路徑到達目的地?；诖四康模瑧?yīng)本著兩點原則進行根橋的選擇：根橋和備份根橋應(yīng)進行手動選擇，不應(yīng)該讓網(wǎng)絡(luò)自動選擇。手動選擇可以達到網(wǎng)絡(luò)的最優(yōu)化。優(yōu)選二層網(wǎng)絡(luò)的核心設(shè)備作為根橋或備份根橋。這里的核心包括處理性能上的優(yōu)異和網(wǎng)絡(luò)拓撲位置上的核心層。數(shù)據(jù)網(wǎng)絡(luò)的核心通常意味著距離服務(wù)器或者路由器更近甚至直連，把根橋放在這個位置就意味著縮短了客戶端到服務(wù)器或者路由器的平均距離。當設(shè)置一臺交換機為根橋或者備份根橋之后，用戶不能再修改交換機的優(yōu)先級。并

39、且同一臺交換機不能既作為根橋，又作為備份根橋。路徑開銷的規(guī)劃路徑開銷（PathCost）是一個端口量，反映了本端口所連接網(wǎng)絡(luò)的開銷。該值越低，表示這個端口所在的鏈路帶寬越大。在一個STP網(wǎng)絡(luò)中，某端口到根橋累計的路徑開銷就是通過所經(jīng)過的各個橋上的各端口的路徑開銷累加而成，這個值叫做根路徑開銷（RootPathCost）。根路徑開銷的值直接影響著根端口的選擇。在一臺交換機上所有使能STP協(xié)議的端口中，根路徑開銷最小的就會成為根端口。因此，根路徑開銷的設(shè)計也直接影響著數(shù)據(jù)的轉(zhuǎn)發(fā)。端口的路徑開銷也是生成樹計算的重要依據(jù)，在MSTP中，在不同MSTI上為同一端口配置不同的路徑開銷值，可以使不同VLAN

40、的流量沿不同的物理鏈路轉(zhuǎn)發(fā)，實現(xiàn)按VLAN的負載分擔功能。MSTP域和實例的規(guī)劃對于屬于同一個域內(nèi)的所有設(shè)備，應(yīng)遵循以下幾條配置原則：域名必須一致。域修訂等級必須一致。域內(nèi)VLAN和MSTI的映射關(guān)系必須一致。每個VLAN只能對應(yīng)一個MSTI，即同一VLAN的數(shù)據(jù)只能在一個MSTI中傳輸；而一個MSTI可能對應(yīng)多個VLAN。與終端相連的端口建議配置為邊緣端口。RRPPRRPP（Rapid Ring Protection Protocol）是一個專門應(yīng)用于以太網(wǎng)環(huán)的二層協(xié)議，來源于EAPS協(xié)議（RFC3619），該協(xié)議提供最快50毫秒的保護性能。該協(xié)議在IEEE802.1中的位置和STP相同。R

41、RPP協(xié)議報文采用硬件廣播轉(zhuǎn)發(fā)，而非STP的逐跳處理。與STP協(xié)議相比，RRPP協(xié)議有如下特點：拓撲收斂速度快，收斂時間最小可達50毫秒。收斂時間與環(huán)網(wǎng)上節(jié)點數(shù)無關(guān)，與網(wǎng)絡(luò)規(guī)模無關(guān)。RRPP部署注意事項在固定的單環(huán)和主環(huán)/子環(huán)拓撲模型上部署。子環(huán)要固定連接到主環(huán)上，支持1級子環(huán)。網(wǎng)絡(luò)完整時，阻斷端口是主節(jié)點從端口，根據(jù)網(wǎng)絡(luò)拓撲，規(guī)劃從端口。RRPP環(huán)上端口不建議配置風暴抑制功能，避免因為丟棄RRPPHello報文導(dǎo)致廣播風暴，誤操作或者其他異常情況可能導(dǎo)致廣播風暴，影響整網(wǎng)業(yè)務(wù)。RRPP環(huán)內(nèi)新增節(jié)點時，必須在新增節(jié)點先配置RRPP控制VLAN。如果沒有提前配置控制VLAN，而數(shù)據(jù)VLAN已經(jīng)打

42、開的情況下，RRPP會因為Hello報文中斷導(dǎo)致廣播風暴。每個環(huán)都必須使用唯一的控制VLAN，如果主環(huán)下掛接大量子環(huán)，會占用大量VLAN，配置前做好網(wǎng)絡(luò)的VLAN規(guī)劃。RRPP的應(yīng)用場景和注意點RRPP協(xié)議應(yīng)用于對保護性能要求較高的簡單二層以太網(wǎng)絡(luò)，支持固定的單環(huán)、主環(huán)/子環(huán)拓撲模型。在華為公司的二層協(xié)議的定位中，RRPP正被更優(yōu)秀的SEP（Smart Ethernet Protection）協(xié)議替代。SEPSEP支持各種類型的復(fù)雜組網(wǎng)，例如：支持與STP、RSTP、MSTP、RRPP協(xié)議混合組網(wǎng)，支持任意拓撲且支持拓撲查看。通過查看拓撲可快速找出阻塞端口。當有故障產(chǎn)生，可快速定位故障出現(xiàn)的位

43、置，從而提高了可維護性。SEP支持多種阻塞端口選擇策略，從而靈活地實現(xiàn)了流量負載分擔，收斂時間在50ms以內(nèi)。SEP協(xié)議具有環(huán)網(wǎng)協(xié)議基本的快速保護性能：拓撲收斂速度快。收斂時間與環(huán)網(wǎng)上節(jié)點數(shù)無關(guān)，與網(wǎng)絡(luò)規(guī)模無關(guān)。SEP的局限性和應(yīng)用限制SEP是我司私有協(xié)議，不能和其他公司設(shè)備直接對接。SEP協(xié)議具備較強的混合組網(wǎng)能力，從一定程度上解決了這個問題。SEP的應(yīng)用場景和注意點SEP協(xié)議應(yīng)用于對保護性能要求較高的二層以太網(wǎng)絡(luò)，可以支持復(fù)雜拓撲模型，是華為公司目前主推的快速環(huán)網(wǎng)保護協(xié)議。典型場景包括四種：SEP單環(huán)SEP多環(huán)SEP通過普通edge端口與STP混合組網(wǎng)SEP通過no-neighbor-ed

44、ge端口與STP混合組網(wǎng)CSS/iStack園區(qū)網(wǎng)絡(luò)一般分層部署，大型園區(qū)網(wǎng)絡(luò)分為接入層、匯聚層和核心層。為保證可靠性，部署雙上行鏈路，不可避免鏈路冗余，需要部署破環(huán)協(xié)議，隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，xSTP協(xié)議收斂時間慢，可用性差，由此引出新的解決方案，即CSS/iStack技術(shù)。為了提高園區(qū)網(wǎng)的可靠性，在接入層推薦采用iStack（堆疊）技術(shù)，即多臺交換機堆疊在一起，選舉出一臺換機做為主交換機，一臺交換機為備交換機，剩下的交換機稱為從交換機。主交換機是整個堆疊系統(tǒng)中的控制中心。堆疊中每一臺交換機都同時具備成為主交換機或者備交換機的能力。iStack中多臺交換機作為一個整體對外體現(xiàn)為一臺邏輯設(shè)備

45、，共用一個管理IP地址和一個MAC地址，且組建方便。堆疊的運維費用低，空間占用小，綠色節(jié)能。核心層采用CSS（集群）技術(shù)，匯聚采用CSS或iStack技術(shù)，即將兩臺交換機通過專用的堆疊電纜連接起來，選出一臺為主交換機，一臺為備交換機，對外呈現(xiàn)為一臺邏輯交換機。CSS/iStack技術(shù)在網(wǎng)絡(luò)擴容時，保護已有網(wǎng)絡(luò)規(guī)劃不變，擴容方便簡單，擴容的同時，將兩臺物理設(shè)備虛擬為一臺設(shè)備，簡化了設(shè)備的配置和管理。多臺設(shè)備間冗余、備份，提高系統(tǒng)的可靠性。不同網(wǎng)絡(luò)層級之間建立Eth-Trunk，支持跨成員端口聚合，消除了Eth-Trunk在單臺交換機上的單點故障。具有很高的可用性。Eth-trunk是物理層協(xié)議，

46、是將組物理接口捆綁在一起作為一個邏輯接口來增加帶寬的一種方法。通過在兩臺設(shè)備之間建立鏈路聚合組，可以提供更高的通訊帶寬和更高的可靠性。鏈路聚合不僅為設(shè)備間通信提供了冗余保護，而且不需要對硬件進行升級。Eth-Trunk的負載分擔模式分為手工負載分擔模式和靜態(tài)負載分擔模式。CSS/iStack技術(shù)代替?zhèn)鹘y(tǒng)的MSTP+VRRP組網(wǎng)，克服了網(wǎng)絡(luò)復(fù)雜時MSTP收斂時間過長、網(wǎng)絡(luò)拓撲不穩(wěn)定的弊端。CSS/iStack拓撲圖對可靠性要求較高的企業(yè)，推薦使用CSS/iStack技術(shù)，無需部署破環(huán)協(xié)議，網(wǎng)絡(luò)拓撲簡單，帶寬利用率高，網(wǎng)絡(luò)可靠性高。路由設(shè)計路由概述建議采用匯聚交換機作為路由和交換的分界點。路由交換

47、分界點設(shè)計這種設(shè)計方法有如下的優(yōu)點：路由配置簡單只需要在2臺匯聚/核心交換機上配置路由。大量的接入交換機只做二層交換，配置簡單。便于采用接入交換機的“自動配置”功能，減少配置維護工作量。擴展性好在同一個匯聚/核心交換機下的服務(wù)器擴容方便，并且隨著業(yè)務(wù)的變化不需要更改網(wǎng)絡(luò)的配置，即插即用。IGP設(shè)計IGP協(xié)議選擇由于園區(qū)網(wǎng)內(nèi)部可能存在不規(guī)則區(qū)域，且路由節(jié)點不是特別多，建議使用OSPF路由協(xié)議。每個業(yè)務(wù)部門區(qū)域作為一個單獨的OSPF區(qū)域。OSPF規(guī)劃規(guī)劃合理的RouteIDRouteID建議采用Loopback接口IP地址。OSPF核心區(qū)域規(guī)劃出口路由器和核心交換機作為OSPF的Area0，出口路

48、由器作為ASBR和ABR，核心交換機為ABR。每個匯聚交換機和核心交換機組網(wǎng)部署為不同的OSPF Area ID1，2，N。OSPF邊緣區(qū)域規(guī)劃每個匯聚交換機和核心交換機組網(wǎng)部署為不同的OSPF Area ID1,2,N，Area1,2,N使用OSPFNSSA區(qū)域。與原先的普通的完全OSPF區(qū)域相比，通過規(guī)劃減少LSA在區(qū)域間的傳播，減少路由條數(shù)；和純stub區(qū)域相比部署路由協(xié)議更加靈活。另外核心交換機和出口路由器通過區(qū)域匯總，限制了區(qū)域間傳播的LSA條目。邊緣區(qū)域使用NSSA區(qū)域的優(yōu)勢在于：能精簡骨干區(qū)域路由器的路由表；減少骨干區(qū)域內(nèi)OSPF交互的信息量；提高路由表項的穩(wěn)定性。一個區(qū)域的路由

49、計算和網(wǎng)絡(luò)調(diào)整不會影響其它區(qū)域，因故障引起的路由震蕩被隔離在區(qū)域內(nèi)部。如果部門較少，建議只配置Area0。OSPF規(guī)劃圖BGP設(shè)計園區(qū)網(wǎng)中使用BGP的場景場景1路由數(shù)量過于龐大，OSPF難以勝任時。一般單獨一個園區(qū)內(nèi)部路由數(shù)目可能不會很多，但是當一個企業(yè)分支眾多且IP規(guī)劃不十分合理，導(dǎo)致路由條目過多，特別是園區(qū)的出口路由器上可建議部署B(yǎng)GP進行合理規(guī)劃引入部分路由。場景2由于業(yè)務(wù)需要，需要大量的使用路由策略或者是業(yè)務(wù)分流，使用OSPF等協(xié)議不擅長，使用BGP可以方便的控制路由策略，來分配業(yè)務(wù)流向。場景3部署MPLS VPN技術(shù)時，用于復(fù)雜的隔離策略等。園區(qū)網(wǎng)使用BGP的基本規(guī)劃Routerid

50、的規(guī)劃BGP的routerid與OSPF的routerid共用一個，與Loopback接口地址相同。ASnumber的規(guī)劃由于企業(yè)網(wǎng)中都是私有網(wǎng)絡(luò)，所以BGP使用私有的AS number。IBGP和EBGP的選擇由于企業(yè)網(wǎng)的規(guī)模通常都不會很大，通常IBGP就可以滿足一般的需求了。BGP對設(shè)備的要求BGP協(xié)議本身并不消耗很多資源，只有當運行BGP的設(shè)備需要學(xué)習到很多條路由，需要建立很多鄰居關(guān)系時才會要求設(shè)備自身的性能很高。只要規(guī)劃得當，任何檔次的設(shè)備（包括接入層設(shè)備）都可以運行BGP協(xié)議。組播規(guī)劃組播概述IP組播技術(shù)實現(xiàn)了IP網(wǎng)絡(luò)中點到多點的高效數(shù)據(jù)傳送。相對于數(shù)據(jù)單播傳送，組播有效節(jié)省網(wǎng)絡(luò)帶寬

51、，降低對網(wǎng)絡(luò)設(shè)備的要求，用戶規(guī)模可以靈活變化，用戶規(guī)模的增大不會對網(wǎng)絡(luò)和服務(wù)器造成帶寬和性能壓力。所以在實時數(shù)據(jù)傳送、多媒體會議、數(shù)據(jù)拷貝、游戲和仿真等諸多方面都有廣泛的應(yīng)用。組播在園區(qū)網(wǎng)一般用于特殊場景，例如：網(wǎng)上教學(xué)、IP組播視頻會議等業(yè)務(wù)。組播地址規(guī)劃組播組用D類IP地址（55）來標識。按照使用范圍劃分，組播地址可以劃分為三部分。協(xié)議保留組播地址地址范圍：55。此地址范圍被IANA預(yù)留，一般供網(wǎng)絡(luò)協(xié)議使用。該范圍內(nèi)的地址屬于局部范疇，此地址的組播報文不能被轉(zhuǎn)發(fā)。用戶組播地址地址范圍：55，此地址范圍也稱為公用組播地址，在全網(wǎng)范圍內(nèi)有效，可以用于Internet上。本地管理組地址地址范圍：

52、55，此地址范圍也稱為私有組播地址，主要用于測試或供內(nèi)部網(wǎng)絡(luò)在內(nèi)部使用，這個地址的組播不能上公網(wǎng)，類似于單播協(xié)議使用的私網(wǎng)地址。園區(qū)內(nèi)部部署的組播業(yè)務(wù)只是供本園區(qū)內(nèi)部使用，建議采用本地管理組地址作為組播地址。組播路由選擇根據(jù)協(xié)議的作用范圍，組播協(xié)議分為主機-路由器之間的協(xié)議（即組播成員關(guān)系管理協(xié)議）和路由器-路由器之間協(xié)議（即組播路由協(xié)議）。組成員關(guān)系管理協(xié)議包括IGMP（互連網(wǎng)組管理協(xié)議，目前存在V1、V2、V3三個版本）；組播路由協(xié)議又分為域內(nèi)組播路由協(xié)議和域間組播路由協(xié)議兩類。域內(nèi)組播路由協(xié)議包括：PIM-SM、PIM-DM、DVMRP等協(xié)議；域間組播路由協(xié)議包括MBGP、MSDP等協(xié)議

53、。同時為了有效抑制組播數(shù)據(jù)在二層網(wǎng)絡(luò)中的擴散，引入了IGMP Snooping等二層組播協(xié)議。園區(qū)網(wǎng)絡(luò)的路由屬于域內(nèi)路由，所以園區(qū)網(wǎng)絡(luò)部署的組播業(yè)務(wù)不涉及跨域問題。園區(qū)網(wǎng)絡(luò)域內(nèi)組播路由推薦使用PIM組播路由協(xié)議。PIM不依賴于某一特定單播路由協(xié)議，為IP組播提供路由信息的可以是靜態(tài)路由、RIP、OSPF、IS-IS、BGP等任何一種單播路由協(xié)議。組播路由和單播路由協(xié)議無關(guān)，只要通過單播路由協(xié)議能夠產(chǎn)生相應(yīng)組播路由表項即可。與其它組播協(xié)議相比，PIM開銷更小，組播效率更高。PIM定義了兩種模式：密集模式（Dense-Mode）PIM-DM密集模式協(xié)議，采用了擴散/剪枝機制。同時，假定帶寬不受限制

54、，每個路由器都想接收組播數(shù)據(jù)包。PIM-DM采用反向路徑轉(zhuǎn)發(fā)RPF動態(tài)建立最短路徑樹SPT。該模式適合于組播組成員相對比較密集、組播源和接受者比較靠近、組播數(shù)據(jù)流比較大且比較穩(wěn)定、規(guī)模較小的網(wǎng)絡(luò)。稀疏模式（Sparse-Mode）PIM-SM與PIM-DM的根本差別在于PIM-SM是基于顯式加入模型，即接收者向集合點RP（RendezvousPoint）發(fā)送加入消息，而路由器只在已加入某個組播組輸出接口上轉(zhuǎn)發(fā)那個組播組的數(shù)據(jù)包。PIM-SM采用共享樹進行組播數(shù)據(jù)包的轉(zhuǎn)發(fā)。每一個組有一個集合點RP，組播源沿最短路徑向RP發(fā)送數(shù)據(jù)，再由RP沿最短路徑將數(shù)據(jù)發(fā)送到各個接收端。PIM-SM主要優(yōu)勢之一

55、是它不局限于通過共享樹接收組播信息，還提供從共享樹向SPT轉(zhuǎn)換的機制。從協(xié)議的設(shè)計優(yōu)劣情況比較，PIM-SM優(yōu)于PIM-DM。該模式適用于組播組成員分布相對分散、范圍較廣、視頻源多、規(guī)模較大的網(wǎng)絡(luò)。IGMP組播成員管理機制是針對第三層設(shè)計的。在第三層，路由器可以對組播報文的轉(zhuǎn)發(fā)進行控制。但是在很多情況下，組播報文要不可避免地經(jīng)過一些二層交換設(shè)備，如果不對二層設(shè)備進行相應(yīng)的配置，則組播報文就會轉(zhuǎn)發(fā)給二層交換設(shè)備的所有接口，這顯然會浪費大量的系統(tǒng)資源，IGMP Snooping可以很好解決這個問題。IGMP Snooping運行于二層交換機，是一種二層組播協(xié)議，通過偵聽上層路由器和用戶主機之間發(fā)送

56、的組播協(xié)議報文來建立二層轉(zhuǎn)發(fā)表項，維護組播報文的出端口信息，從而管理和控制組播數(shù)據(jù)報文的轉(zhuǎn)發(fā)。在園區(qū)網(wǎng)絡(luò)中，建議采用采用PIM-SM+IGMP Snooping來實現(xiàn)組播業(yè)務(wù)開展。匯聚交換機到組播源采用PIM-SM協(xié)議；接入交換機通過IGMP Snooping+組播VLAN，實現(xiàn)跨VLAN的組播；終端上部署IGMP。組播VLAN可以滿足跨VLAN復(fù)制的需求，不同VLAN的用戶分別進行同一組播源點播時，可以在交換機上配置組播VLAN，并將用戶VLAN加入組播VLAN，以實現(xiàn)組播數(shù)據(jù)在不同的VLAN內(nèi)傳送，便于對組播源和組播組成員的管理和控制，同時也可以減少帶寬浪費。園區(qū)網(wǎng)絡(luò)比較簡單時，一般RP設(shè)

57、置在和源DR所在的核心交換機上；園區(qū)網(wǎng)絡(luò)比較復(fù)雜時，選取一臺性能較高的路由器作為源DR。在采用層次化結(jié)構(gòu)組網(wǎng)的園區(qū)網(wǎng)絡(luò)中，視頻源建議直接部署接入核心層上，最大程度減少PIM-SM協(xié)議范圍，縮短組播流量路徑，減少組播流量對帶寬的占用。所以RP選擇部署在核心層設(shè)備上，從網(wǎng)絡(luò)的可靠性、可用性等方面綜合考慮，選用2個核心設(shè)備為RP，通過Anycast RP技術(shù)可實現(xiàn)負載均衡及冗余，MSDP（Multicast Source Discovery Protocol）是實現(xiàn)Anycast RP的關(guān)鍵協(xié)議，MSDP容許RP共享活動源信息。在Anycast RP環(huán)境，兩個RP在Loopback接口配置相同的IP

58、地址。Anycast RP Loopback地址應(yīng)當是32位掩碼的主機地址。IP路由將自動選擇最好的RP。Anycast RP提供了IP Multicast的快速切換（幾秒內(nèi)）及負載均衡。園區(qū)網(wǎng)絡(luò)組播業(yè)務(wù)部署可靠性規(guī)劃設(shè)備可靠性設(shè)備本身要具有電信級5個9的可靠性，需要網(wǎng)絡(luò)設(shè)備支持：主控1:1備份交換網(wǎng)1+1/1:1兩種方式DC電源1+1備份；AC電源1+1/2+2備份模塊化的風扇設(shè)計，高端配置支持單風扇失效無源背板，高可靠性獨立的設(shè)備監(jiān)控單元，和主控解耦所有模塊支持熱插拔完善的告警功能設(shè)備管理1:1備份單設(shè)備是通過部件的冗余設(shè)計來保證高可靠性。對于設(shè)備本身的節(jié)點故障，一般通過網(wǎng)絡(luò)協(xié)議感知故障點

59、后進行動態(tài)調(diào)整，實現(xiàn)流量的快速切換，提高可靠性，但是切換的時間比較長。華為支持框式交換機的集群CSS（Cluster Switch System）和盒式交換機的堆疊iStack技術(shù)，能夠把多臺物理設(shè)備連接在一起，對外表現(xiàn)為一臺邏輯設(shè)備，從功能和管理方面，都可以作為一臺設(shè)備來看待。單節(jié)點物理設(shè)備的故障，邏輯設(shè)備能夠快速感知，并快速將流量切換到UP狀態(tài)的鏈路上，減少丟包時間，具有更高的可靠性。采用華為S93系列交換機CSS技術(shù)，對園區(qū)核心網(wǎng)絡(luò)，有如下優(yōu)勢：簡化管理和配置首先，集群后需要管理的設(shè)備節(jié)點減少一半以上。其次，組網(wǎng)變得簡潔，不需要配置復(fù)雜的協(xié)議，包括STP/SmartLink/VRRP等。

60、快速的故障收斂鏈路故障收斂時間可以控制在10ms,大大降低了網(wǎng)絡(luò)鏈路/節(jié)點的故障對業(yè)務(wù)的影響。帶寬利用率高鏈路采用Trunk的方式，帶寬利用率可以達到100%。擴容方便隨著業(yè)務(wù)的增加，當網(wǎng)絡(luò)需要擴容時，如果采用集群方式，只需要增加新設(shè)備即可，不需要更改網(wǎng)絡(luò)配置。能做到平滑擴容，很好的保護了用戶投資。目前，業(yè)界有兩種集群的方式。一種是業(yè)務(wù)板集群（采用業(yè)務(wù)接口堆疊）一種是交換網(wǎng)集群（采用專用的集群線纜，即堆疊線）。華為的S93系列交換機采用交換網(wǎng)集群的方式，通過在主控板上插入堆疊卡，再用堆疊線連接多臺設(shè)備。相比業(yè)務(wù)板集群方式，有如下的優(yōu)勢：堆疊帶寬高交換網(wǎng)集群一般采用專用的接口線，堆疊帶寬高。S9