企业园区网技术建议书

企业园区网技术建议书内容摘要：

和防御措施也不到位造成园区网的脆弱和易攻击。 华为数据中心网络技术建议书 内 部公开 20201127 版权所有，侵权必究 第 7页，共 54页  无法满足日益增长的网络业务需求 随着企业的业务发展 ，出现了基于园区网基础设施的丰富 增值业务需求，例如：网络接入形式要求多样化，支持 WLAN 无线接入，满足移动办公、大区域无线缆覆盖等特殊要求； 对于企业用户 访问外网 进行计费 ，计费策略可灵活设置（时长计费、流量计费、按目的地址计费）；企业多出口链路场景下的负载均衡、灵活选路需求。 传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑，支持这些业务存在 园区 网络 分散 建设 、 重复投资 的 问题。  缺乏简单有效的网络管理系统，企业 IT 网络运维部门面临很大压力 当前，企业网 IT 运维部门面临很大的网络运维压力，来自于园区网内 外部 的安全事件频 发 、网络可靠性低引起的网络业务中断现象，网络故障诊断、分析定位过程对于 IT 运维人员的技术能力和经验水平要求较高，缺乏简单有效 /低成本的图形化网管工具、进行实时网络拓扑显示、状态监控和各种故障事件预警 /告警展示。 另外， IT 运维部门也需要实施统计园区网各路径的流量信息，便于对网络带宽进行管理和规划 ，给后续网络扩容提供参考。 设计原则  安全性 安全性 是 企业园区网 建设中的关键，它包括物理空间的安全控制及网络的安全控制。 需要有 完整的安全策略控制体系 来 实现 企业园区网的 安全控制。  可靠性 、 可用性 高可靠性 是 园区网 提供使用 的关键，其可靠性设计包括： 关键设备冗余 、 链路 /网络 冗余 和 重要业务模块冗余。 关键设备均采用电信级全冗余设计，可实现 单板 热拔插、冗余的控制模块设计、冗余电源设计。 采用冗余网络设计，每个层次均采用双机方式与之间全冗余连接。 提供多种冗余技术，采用高效、负载均衡的双机备份。 可采用交换机的集群或者堆叠技术，在不降低网络可靠性的前提下减化架构。  可扩展性 华为数据中心网络技术建议书 内 部公开 20201127 版权所有，侵权必究 第 8页，共 54页 园区网 方案设计中， 采用分层的网络设计； 每个层次的设计所采用的设备本身都应具 足够 高的端口密度，为 后续园区网 扩展奠定基础。 在 园区出 口 层、核心层、 汇聚层 的设备都采用模块化设计，可根据 园区 网的发展进行灵活扩展。 功能的可扩展性是 园区网 随着发展提供增值业务的基础。 实现 防火墙、 负载均衡、 WLAN接入、认证计费等功能 ，为 园区网 增值业务的扩展提供基础。  可 维护 、 可 管理性 网络 可管理性是 园区网成功运维 的基础。 应提供低成本、简单有效的园区网统一网管系统，对园区网所有网络设备进行管理，包括拓扑显示、状态监控故障事件实时预警和告警 、网络流量统计。 3 网路架构设计 总体网络架构 典型园区网网络架构 华为数据中心网络技术建议书 内 部公开 20201127 版权所有，侵权必究 第 9页，共 54页 图 1 典型园区网网络架构 典型 园区网 方案 采用层 次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，在汇聚层交换机通过模块化 （业务单板） 方式提供防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。 典型园区网的重要特征是不存在网络单点故障，交换机设备和链路都冗余份，接入交换机与核心交换机通过双规或环网相连接，汇聚入核心机，交换机之间采用 TRUNK 链路保证链路级可靠性。 经济 型园区网网络架构 华为数据中心网络技术建议书 内 部公开 20201127 版权所有，侵权必究 第 10页，共 54页 图 2 经济型园区网网络架构 考虑到 节省 园区网网络建设投资成本， 允许网络存在单点故障，不再部署冗余交换机设 备，交换机之间互联采用 TRUNK 链路，保证链路级可靠性，但是园区网交换机设备故障，会导致网络故障和业务中断。 经济型的园区网汇聚层交换机仍然可通过模块化（业务单板）方式 提供防火墙、负载均衡器等增值业务功能。 虚拟交换 园区网网络架构 华为数据中心网络技术建议书 内 部公开 20201127 版权所有，侵权必究 第 11页，共 54页 图 3 虚拟交换园区网网络架构 园区网仍然按照分层结构建设，园区交换机分为接入层、汇聚和核心层交换机。 为了增加园区网可靠性、降低园区网组网复杂度，园区网未来向虚拟化、扁平化方向发展，同层次交换机可以多台虚拟成一台， 接入交换机通过堆叠（ Stack） 特性，将多台接入交换机虚拟成一台接入交换机，汇聚 /核心交换机 通过CSS（ Cluster Switch ） 将两台交换机虚拟成一台交换机。 园区网接入层 /汇聚层 /核心层交换机虚拟化后， 可以减少网络节点、简化网络拓扑，二层网络不需要部署 RSTP/MSTP/RRPP/Smart Link 等复杂的环网协议和可靠性保护协议 ，实现无二层环路网络构建，提高二层网络可靠性和链路故障收敛性能 ，三层网络虚拟化的多台设备间路由表统一计算、路由收敛速度快， 通过交换机虚拟化设计 ，交换机 互联的 两条链路就 可以作为 Trunk 链路 进行管理 ，对于虚拟交换机而言，实现跨设备的链路聚合（ TRUNK），大大增强链路可靠性，另外可实现链路的 流量 负载均衡，构建无二层环路网络，网络可靠性（链路故障自收敛性能）和带宽利用率都得到提高。 华为数据中心网络技术建议书 内 部公开 20201127 版权所有，侵权必究 第 12页，共 54页 图 4 交换机 集群 （堆叠） 方案 分层网络设计 园区网的 网络层次采用业界成熟的三层架构：接入 、 汇聚和核心 ，最后企业 园区通过 出口层网络设备（路由器或交换机） 连接到外网通过。 这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。 接 入层 接入层 交换机 一般 部署 在 楼道 的 网络机柜中，接入 园区网用户（ PC 机或服务器） ，提供二层交换机功能 ，也支持三层接入功能（接入交换机为三层交换机）。 由于接入层交换机直接接园区网用户，根据用户接入信息点数目和类型（ GE/FE），对接入交换机的 GE/FE 接口密度有较高的要求。 另外接入交换机部署在楼道 网络机柜 ，数量大，对于成本、功耗和易管理维护等特性要求较高。 高用户密度的园区接入场景推荐使用 S5300/S9300 作为接入交换机，低用户密度的场景推荐使用 S2300/S3300 作为接入交换机。 S5300SI； S5300EI。 S9300。 防雷 6KV；无风扇设计（ S2300）；绿色 ； 汇聚层 华为数据中心网络技术建议书 内 部公开 20201127 版权所有，侵权必究 第 13页，共 54页 园区汇聚层交换机一般部署在楼宇 独立的 网络汇聚 机柜中，汇聚 园区接入交换机的流量，一般提供三层交换机功能， 汇聚层 交换机 作为园区网的网关 ，终结 园区网用户 的二层流量，进行三层转发。 根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡器 、WLAN AC 控制器 ）或者旁挂独立的增值业务设备，为 园区网用户 提供增值业务。 汇聚交换机需要提供高密度的 GE 接口，汇聚接入交换机的流量 ，通过 10GE 接口接到核心交换机，推荐使用 S9300 系列交换机作为园区汇聚层交换机。 S5300－ EI， S9300， 核心层 园区核心层交换机部署在园区核心机房中 ，汇聚各 楼宇 /区域之间的 用户 流量 ， 提供三层交换机功能 ， 连接园区外部网络到内部用户的“纵向流量”和不同汇聚区域用户之间的“横向流量” 要求高密 10GE、 高 转发性能。 推荐使用 S9300 作为园区核心 层 交换机。 出口 层 园区出口路由器 ， 连接 Inter/WAN 广域网和园区 内部局域网。 推荐华为 AR 和SRG系列路由器作为企业出口路由器。 对于中小型 企业园区网， 核心层 和出口层 可 进行合并 ， 通过核心交 换机（ S9300）的 WAN接口板的广域网接口（ POS 等）直接与外网相连。 二三层网络分界点设计  二三层网络分界点（用户网关）设置在 汇聚交换机 汇聚交换机作为用户的网关设备， 接入交换机与汇聚交换机之间是二层网络，通过 STP/RSTP/MSTP/RRPP 保证 网络 可靠性和防止 二层 网络环路 产生， 汇聚交换机与核心交换机之间是三层网络，运行 OSPF 等路由协议，通过等价路由、 IP FRR保证三层网络可靠性、加快路由收敛时间。 【 优点 】 1) 接入交换机是二层交换机，成本低，并且可保护客户现有端二层交换机的投资； 2) 高 可靠性， 二 层网络故障收敛速度快； 华为数据中心网络技术建议书 内 部公开 20201127 版权所有，侵权必究 第 14页，共 54页 【 缺点 】 1) 接入交换机和汇聚交换机之间存在二层环路风险，需要配置保证； 2) 接入交换机与汇聚交换机之间链路利用率低，需要启二层协议负载均担多实例以提高链路利用率。 本方案的缺点可以通过接入交换机堆叠 /汇聚交换机集群（交换机虚拟化）方案来解决。 园区汇聚交换机作为二三层网络分界点（用户关设备）是经典的园区网架构，推荐使用。  二三层网络分界点（用户网关）设置在接入交换机 接入交换机作为用户的二三层分界点（网关设备）， 即 三层到边缘的园区网架构，接入交换机到汇聚交换机、汇聚交到核心之 间都是三层网络，运行 OSPF 等路由协议， 整个企业园区是全路由型网络。 【 优点 】 1) 网络易扩展： 园区网架构对物理 网络拓扑依赖度低，可以任意网络拓扑形式扩展 ； 2) 网络易维护： 全网为三 层网络 、 无二层环路网络风险，无需配置生成树协议、 RRPP 和 VRRP，降低 网络 配置和维护工作量。 【 缺点 】 1) 交换机成本相对较高：相对与二层接入交换机，成本较高； 2) 接入层为三层网络，网络故障路由收敛速度相对较慢。 4 高可靠性设计 网络高可靠性设计 园区网高可靠性设计总体方案如下图所示： 华为数据中心网络技术建议书 内 部公开 20201127 版权所有，侵权必究 第 15页，共 54页 图 5 园区网高可靠性设计方案总览 针对二层接入（接入交换机 是二层交换机、汇聚交换机作为用户网关） 典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。 接入层网络是二层网络，接入交换机与汇聚交换机之间通过 Smart Link/STP/RSTP/MSTP/RRPP 保证网络可靠性，同时解决二层网络环路问题 ；汇聚层交换机之间通过 VRRP（ BFD for VRRP）协议确定用户的主备网关，交换机互联通过TRUNK 链路，保证链路级可靠性，汇聚交换机与接入交换机之间可通过 DLDP 协议检测光纤单向故障（单通故障）。 园区网接入 /汇聚 /核心交换机通过虚拟化技术进行集群 （或堆叠）， 将两台 /多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时提高可靠性是未来高可靠性园区网的发展趋势。 典型园区网可靠性组网设计方案有：口子型组网、三角型组网、 U子型组网。  可靠性组网方案 1：口子型组网 华为数据中心网络技术建议书 内 部公开 20201127 版权所有，侵权必究 第 16页，共 54页 图 6 口子型组网 接入交换机与汇聚交换机之间是二层网络， 汇聚交换机作为用户网关设备，两台汇聚交换机之间通过二层 TRUNK 链路互连，多台接入交换机与两台汇聚交换机之间组成口子型二层环网，并且 通过 部署 STP/RSTP/MSTP/RRPP 等 协议进行二层环网阻断、环网故障检测和保护倒换功能。 两台汇聚交换机运行 VRRP（ BFD+VRRP）协议确定主备用户网关， VRRP 报文 直接在汇聚交换机直连的 TRUNK 链路上收发。 注意：两台汇聚交换机 链路 需要保证绝对可靠 ，必须采用 TRUNK 链路、包含两条以上物理链路 ， 因为汇聚交换机间链路 DOWN，两台汇聚交换机 VRRP 状态都为主（ VRRP 双主情况产生）， 此时 接入二层环网阻塞在汇聚交换机之间的直连链路上 ，这样接入用户同时感知两个处于 VRRP 主用状态的网关设备（汇聚交换机），出现问题。 口子型组网方案的优点是，园区网 各个楼层接入交换机可以串在一起，与汇聚交换机组成二层环网， 汇聚交换机统一为各楼层接入交换机下的用户分配 IP 地址，实。