华为企业园区网络建设-技术方案-建议书v

华为企业园区网络建设-技术方案-建议书v内容摘要：

园区网络架构规划设计 第 13 页 共 60 页  二三层网络分界点（用户网关）设置在接入交换机 接入交换机作为用户的二三层分界点（网关设备），即三层到边缘的园区网架构，接入交换机到汇聚交换机、汇聚交换机到核心交换机之间都是三层网络，运行 OSPF 等路由协议，整个企业园区是全路由型网络。 【优点】 1) 网络易扩展：园区网架构对物理网络拓扑依赖度低，可以任意网络拓扑形式扩展； 2) 网络易维护：全网为三层 网络、无二层环路网络风险，无需配置生成树协议、 RRPP和 VRRP，降低网络配置和维护工作量。 【缺点】 1) 交换机成本相对较高：相对与二层接入交换机，成本较高； 2) 接入层为三层网络，网络故障路由收敛速度相对较慢。 华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 14 页 共 60 页 4 园区 网络 高可靠性 规划 设计 园区网络 高可靠性 规划 设计 园区网高可靠性设计总体方案如下图所示： 图 41 园区网高可靠性设计方案总览 针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。 接入层网络是二层网络，接入交换机与汇聚交换机之间通过Smart Link/STP/RSTP/MSTP/RRPP 保证网络可靠性，同时解决二层网络环路问题；汇聚层交换机之间通过 VRRP（ BFD for VRRP）协议确定用户的主备网关，交换机互联通过 TRUNK链路，保证链路级可靠性，汇聚交换机与接入交换机之间可通过 DLDP 协议检测光纤单向故障（单通故障）。 园区网接入 /汇聚 /核心 交换机通过虚拟化技术进行集群（或堆叠），将两台 /多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时，提高网络可靠性，是未来高可靠性园区网的发展趋势。 华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 15 页 共 60 页 典型园区网可靠性组网设计方案有：口子型组网、三角型组网、 U 子型组网。  可靠性组网方案 1：口子型组网 图 42 口子型组网 接入交换机与汇聚交换机之间是二层网络，汇聚交换机作为用户网关设备，两台汇聚交换机之间通过二层 TRUNK 链路互连，多台接入交换机与两台汇聚交换机之间组成口子型二层环网，并且通过部署 STP/RSTP/MSTP/RRPP 等协议进行二层环网阻断、环网故障检测和保护倒换功能。 两台汇聚交换机运行 VRRP（ BFD+VRRP）协议确定主备用户网关， VRRP 报文直接在汇聚交换机直连的 TRUNK 链路上收发。 注意：两台汇聚交换机链路需要保证绝对可靠，必须采用 TRUNK 链路、包含两条以上物理链路，因为汇聚交换机间链路 DOWN，两台 汇聚交换机 VRRP 状态都为主（ VRRP 双主情况产生），此时接入二层环网阻塞在汇聚交换机之间的直连链路上，这样接入用户同时感知两个处于 VRRP 主用状态的网关设备（汇聚交换机），出现问题。 华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 16 页 共 60 页 口子型组网方案的优点是，园区网各个楼层接入交换机可以串在一起，与汇聚交换机组成二层环网，汇聚交换机统一为各楼层接入交换机下的用户分配 IP 地址，实现园区不同楼层的用户可以共用同一个 IP 地址网段； 该组网方案的缺点是接入层网络需要部署较为复杂的二层环网协议、网络配置和维护较为复杂。 口子型组网方案是园区网非常经典的可靠性设计 方案，适合各种规模的园区网应用场景。  可靠性组网方案 2：三角型组网 图 43 三角型组网 汇聚交换机作为用户网关设备，两台汇聚交换机之间通过二层链路互连，每台接入交换机上行有两条链路接入到两台汇聚交换机，接入交换机上行两条链路的主备关系 由运行的 Smart Link 协议确定。 两台汇聚交换机运行 VRRP（ BFD+VRRP）协议确定主备用户网关，VRRP 报文直接在汇聚交换机直连链路上收发。 注意：两台汇聚交换机链路需要保证绝对可华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 17 页 共 60 页 靠，必须采用 TRUNK 链路。 口子型组网场景下，多个楼层之间可以共用 VRRP 组，不受汇聚交换机 VRRP 组数量限制，可实现不同楼层间的园区用户可以共享一个 IP 地址网段。 三角型组网方案的优点是：二层接入网不存在环路，不需要配置相对复杂的环网保护协议（ STP/RSTP/MSTP/RRPP）； Smart Link 故障检测和保护倒 换速度快（ 200～ 400ms）；支持园区网园区不同楼层的用户可以共用同一个 IP 地址网段。 三角型组网方案的缺点是每台接入交换机上行需要部署主备两条链路，增加布线成本，对汇聚交换机的端口密度有较高要求。  可靠性组网方案 3： U 字型组网 图 44 U 字型组网 园区网汇聚交换机之间通过纯三层链路互连，无直连二层链路。 汇聚交换机作为园区用户网关，与接入交换机组成二层网络，汇聚交换机的主备通过 VRRP（ BFD for VRRP）协议协商， VRRP 协议通过接入交换机转发，每组接入交换机与两台汇聚交换机组成的一个华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 18 页 共 60 页 物理 U型网络需要启用一组 VRRP，汇聚交换机通过多个物理端口会接入多个二层 U型网络，这样汇聚交换机间需要运行多个 VRRP 组（每个二层 U 型接入网络运行一个 VRRP 组），一般一个 U 型二层接入网覆盖的是同一个楼层的接入交换机。 由于不同 VRRP 组的网关 IP 网段不能相同，因此每个 U 型接入网下的所有园区用户需要独占一个 IP 网段，不同 U 型接入网的用户（不同楼层的园区用户）之间不能共享一个 IP 网段，这是此方 案应用的最大缺点。 U 子型方案的优点：二层接入网不存在环路，不需要配置相对复杂的环网保护协议（ STP/RSTP/MSTP/RRPP）。  可靠性设计目标方案（发展趋势）：园区网交换机虚拟化 图 45 可靠性设计目标方案组网 园区网可靠性方案设计的目标方案或发展趋势是各层次园区网交换机都进行虚拟化，通过集群 /堆叠技术将两台或多台交换机虚拟成一台交换机。 可以提高单节点设备可靠性，一台交换机故障，另外一台交换机自动接管 故障设备上的所有业务，可以做到业务无损切换。 设备虚拟化通过跨设备的 TRUNK 链路，提升链路级可靠性，并且流量可以均匀分布在华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 19 页 共 60 页 TRUNK 成员链路上，提高链路带宽利用率，条或多条链路故障后 ,流量自动切换到其他正常的链路。 该方案另外一个优点网络配置和维护简单，园区二层接入网，不需要配置复杂的二层环网和保护倒换协议，二层链路故障直接感知快速切换，三层网络中多个设备间共享路由表，网络故障路由收敛速度快。 网络管理和维护难度大大降低，此方案适应面广，扩展性强，是未来园区网的发展趋势。 园区网络 设备高可靠性 规划 设计 重要部件冗余 设备本身要具有电信级 5 个 9 的可靠性，需要网络设备支持 :  主控 1:1 备份  交换网 1+1/1:1 两种方式  DC 电源 1+1 备份； AC 电源 1+1/2+2 备份  模块化的风扇设计，高端配置支持单风扇失效  无源背板，高可靠性  独立的设备监控单元，和主控解耦  所有模块热插拔  完善的各种告警功能  设备管理 1:1 备份 华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 20 页 共 60 页 设备自身安全 如下图所示 ,随着黑客工具的泛滥和使用的方便 ,使的网络攻击的成本越来越来 ,但危害越来越大 . 图 46 黑客工具的危害性 这就要求具有强大灵活的自身防护功能 ,以不变应万变的方法 ,才能抵挡日益泛滥的网络攻击。 华为公司全系列园区网交换机（ S9300/S5300/S3300/S2300）提供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。 华为全系列交换机支持的攻击防范功能包括防 DDOS 攻击、 IP 欺骗攻击、 Land 攻击、Ping of Death 攻击、 Teardrop 攻击、 ICMP Flood 攻击、 SYN FLOOD 攻击等。 另外，以太网交换机的 MAC 地址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。 发生 MAC 地址攻击的时候，攻击者通过不停的发送 MAC 地址来刷新，填充交换机的 MAC 地址表，由于 MAC 地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。 ARP 攻击与此类似，通过攻击报文来更改 MAC 与 IP 地址的绑定，从而重新定向流量。 华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 21 页 共 60 页 华为全系列交换机可以通过 MAC 地址与端口的绑定以及限制端口 /VLAN/VSI 下 MAC 地址的最大学习个数可防止 MAC 扫描，并通过 VLAN、 IP、 MAC 之间的任意绑定可防范 ARP 攻击（ SAI/DAI 功能）。 华为全系列交换机支持黑洞 MAC功能，园区交换机收到报文时比较报文目的 MAC地址，若与黑洞 MAC 表项相同则丢弃该报文。 当用户察觉到某 MAC 地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞 MAC，从而将具有该 MAC 地址的报文过滤掉，避免遭受攻击。 园区网络 交换机虚拟化 规划 设计 汇聚交换机的集群 CSS(Cluster Switch Switching) 所谓集群，就是把物理的多台服务器连接在一起，对外表现为一台逻辑的服务器，提供服务。 因为企业园区网为了增加可靠性，都是双节点备份，特别适合集群技术。 如下图所示： 图 47 集群组网的优势 华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 22 页 共 60 页 采用集群技术，对企业园区网络，有四大优势： 1) 减化管理和配置 首先，集群后需要管理的设备节点减少一半以上。 其次，组网变得 简洁，不需要配置复杂的协议，包括 STP/SmartLink/VRRP 等。 2) 快速的故障收敛 故障收敛时间可以控制在 1ms, 大大降低了网络链路 /节点的故障，对业务的影响。 3) 带宽利用率高 采用链路 Trunk 的方式，带宽利用率可以达到 100％。 4) 扩容方便 保护用户投资。 随着业务的增加，当用户进行网络升级时，采用集群的方式，只需要增加新设备既可，不需要更改网络配置的情况下，平滑扩容，很好的保护了用户投资。 目前，业界有两种堆叠的方式，一种是采用业务接口堆叠，一种是采用专用的堆叠线 ； 图 48 两种集群方式比较 华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 23 页 共 60 页 华为的 S93 系列交换机采用堆叠线的方式，通过在主板板上插入堆叠卡，连接多台设备。 如下图所示，这种方式有如下的优势： 图 49 华为 CSS 集群技术 采用交换机网集群的方式，相比接口板集群，有如下的优势：  堆叠带宽高 交换机网集群一般采用专用的接口线，堆叠带宽高。 S93 系列的堆叠带宽高达 128G(单向 )；并且可平滑升级到 200G(单向 )； 相对于业界的 80G（单向）的互联带宽，具有明显的优势。  不占用业务槽位 S93 系列采用在主控板预留的灵活插卡槽位，插入堆叠卡互联的方式，不占用接口槽位。 相对于接口堆叠的方式，节省了 1～ 2 个接口槽位。  可靠性高 S93 系列采用堆叠线连接，实际上是对交换网的延伸。 从上图可以看出，接口板堆叠方式需要经过两个堆叠接口板转发，处理复杂度增加；另外，接口板的硬件可靠性也比交换网低。 总体来看，交换网堆叠在软件和硬件方面，可靠性都高于接口堆叠的方式。 华为企业园区网络建设技术方案建议书 园区网络高可靠性规划设计 第 24 页 共 60 页 接入交换机的堆叠 iStack iStack 堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。 一个园区网用户上行的 2 个网络接口，对于堆叠后的设备，可以看作 Trunk 接口。 多台设备堆叠成一台设备后，从功能和管理方面，都可以作为一台设备来看待。 华为的 iStack 堆叠技术有如下的优势：  简化管理 堆叠设备的角色分为 Master 和 Slave；通过对 Master 设备的配置达到管理整个iStack 堆叠以及堆叠内所有成员设 备的效果，而不用物理连接到每台成员。