园区网技术方案建议书

园区网技术方案建议书内容摘要：

区网内部的 IP 地址 建议使用私网 IP 地址，在边缘网络通过 NAT 转换成公网地址后接入公网。 23  汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由是可以聚合的，这样可 以减少核心网络的路由数目。 DHCP规划 园区网中办公网络建议使用 DHCP，每个 DHCP 网段应保留部分静态 IP 供服务器等设备使用。 DHCP园区部署基本架构  在园区数据中心或服务器区部署独立的 DHCP Server。  在汇聚层网关部署 DHCP Relay 指向 DHCP Server 统一分配地址。  DHCP 园区内一般通过 VLAN分配地址， 如有特殊要求，在接入交换机部属 Option82，由 接入交换机 提供的 Option82 信息分配地址。 图 31 DHCP园区部署基本架构 DHCP部署基本原则  固定 IP 地址段和动态分配 IP 地址段保持连续。  按照业务区域进行 DHCP 地址的划分，便于统一管理及问题定位。  DHCP 需要跨网段获得 IP 地址时，启动 DHCP Relay 功能。  启动 DHCP 安全功能，禁止非法 DHCP Server 的架设和非法用户的接入。 DNS规划 DNS服务器的角色划分  Master 服务器：主服务器 作为 DNS 的管理服务器，可以增加、删除、修改域名， 修改的信息可以同步到 Slave服务器， 一般部署 1 台。 24  Slave 服务器：从服务器 从 Master 服务器获取域名信息，采用多台服务器形成集群的方式，统一对外提供DNS 服务，一般采用基于硬件的负载均衡器提供服务器集群的功能。 一般部署 2台从服务器。  Cache 服务器：缓存服务器 用于 缓存内部用户的 DNS请求结果，加快后续的访问。 一般部署在 Slave服务器上。 DNS服务器的 IP地址  Master 服务器：采用企业内网地址。  Slave 服务器：分配企业私网地址， 并在负载均衡器上分配一个虚拟的企业内网地址。 Inter 域名地址有两种方案：  一种是在防火墙上做 NAT 映射，把 Slave 服务器的虚拟地址映射为一个公网 IP 地址，用于外部 Inter 用户的访问。  另一种是在链路负载均衡设备上通过智能 DNS 为外部 Inter 用户提供服务。 DNS可靠性设计 众多内部用户发送 DNS 请求，被均匀分担到 Slave DNS1 和 DNS2。 当 Slave DNS1 服务器故障后，所有的 DNS 请求被分发给 Slave DNS2。 最终 DNS 服务器必须与外部 DNS通讯。 Master 服务器，建议放置在 DMZ 区域，并在同区内部建立 Slave DNS 服务器。 如只对内提供服务的 DNS 服务器，可以作为二级的 DNS 服务器，放入其他非 DMZ 区域。 当所有的 Slave DNS 都故障后，用户发送的 DNS 请求无响应。 用户就切换到备 DNS，由 Master DNS 处理所有的请求。 25 图 32 园区 DNS规划 二层设计 概述 建议采用 如 图 33 所示 的网络分层，汇聚层作为网关，接入层做透传转发。 这种设计方法下，接入层作为二层转发，需要部署破环协议。 26 图 33 二层设计组网图 STP STP 体系目前有三种协议可用，他们是 STP（ ） 、 RSTP()和MSTP()。 在一些老的设备上默认 启用 STP。 由于 STP 的收敛速度慢，所以在一些后来生产的设备上，都 默认启用 RSTP 或者 MSTP。 具体 选用 哪 一种生成树 协议，还要看网络的具体拓扑情况。 首先要明确什么时候需要部署 STP， 运行 STP 的首要条件就是网络中存在冗余链路。 接下来，才要考虑选用哪种 STP 协议。 针对存在 的 三种 STP 协议，需要进行如下考虑：  一些比较老的交换机可能不支持 RSTP 或者 MSTP，在有这些设备存在的网络中，就现实情况而言，还是应该启用 STP 协议。 如果资金允许， 可以 将 不支持 RSTP 或MSTP 的设备 换掉， 因为 采用 RSTP、 MSTP 可以提升 网络的性能。  在设备都支持 RSTP 协议的情况下，当网络中仅存在一个 VLAN 时，建议采用 RSTP，这样可以充分发挥 RSTP 的优势，加速网络的收敛。 另外，如果网络中存在多个VLAN，并且各个 VLAN 在拓扑上保持一致，也就是说在 trunk 链路上各个 VLAN的配置相同，也建议使用 RSTP。  基于上一条描述的条件，当网络中存在多个 VLAN，但是他们在 trunk 链路上的配置并不一致时，就要采用 MSTP 启用多个生成树实例。 网络部署 STP 时，给出下列建议： 27  根桥和备份根桥的选择 根桥的选择合适与否直接影响着网络的性能。 在一个合理根桥设置的网络中，会加快网络的收敛，数据报文会经过更短的路径到达目的地。 基于此目的，应本着两点原则进行根桥的选择 ： − 根桥和备份根桥应进行手动选择，不应该让网络自动选择。 手动选择可以达到网络的最优化。 − 优选二层网络的核心设备作为根桥或 备份根桥。 这里的核心包括处理性能上的优异和网络拓扑位置上的核心层。 数据网络的核心通常意味着距离服务器或者路由器更 近甚至直连，把根桥放在这个位置就意味着缩短了客户端到服务器或者路由器的平均距离。 当设置一台交换机为根桥或者备份根桥之后，用户不能再修改交换机的优先级。 并且同一台交换机不能既作为根桥，又作为备份根桥。  路径开销 的规划 路径开销（ PathCost）是一个端口量，反映了本端口所连接网络的开销。 该值越低，表示这个端口所在的链路带宽越大。 在一个 STP 网络中，某端口到根桥累计的路径开销就是通过所经过的各个桥上的各端口的路径开销累加而成，这个值叫做根路径开销（ RootPathCost）。 根路径开销的值直接影响着根 端口的选择。 在一台交换机上所有使能 STP 协议的端口中，根路径开销最小的就会成为根端口。 因此，根路径开销的设计也直接影响着数据的转发。 端口 的 路径开销 也是生成树计算的重要依据， 在 MSTP 中，在 不同 MSTI 上为同一端口 配置 不同的路径开销值， 可以 使不同 VLAN 的流量沿不同的物理链路转发，实现 按 VLAN 的负载 分担功能。  MSTP 域和实例 的规划 对于属于同一 个 域 内 的所有设备 ，应遵循以下几条配置原则： − 域名必须一致。 − 域修订等级必须一致。 − 域内 VLAN 和 MSTI 的映射关系必须一致。 − 每个 VLAN 只能对应一个 MSTI，即同一 VLAN 的数据只能在一个 MSTI 中传输；而一个 MSTI 可能对应多个 VLAN。 − 与终端相连的端口建议配置为边缘端口。 RRPP RRPP（ Rapid Ring Protection Protocol） 是一个专门应用于以太网环的二层协议，来源于EAPS 协议（ RFC3619），该协议提供最快 50 毫秒的保护性能。 该协议在 中的位置和 STP 相同。 RRPP 协议报文采用硬件广播转发，而非 STP 的逐跳处理。 与 STP 协议相比， RRPP 协议有如下特点：  拓扑收敛速度快，收敛时间最小可达 50 毫秒。  收敛时间与环网 上节点数无关，与网络规模无关。 说 明 28 RRPP部署注意事项  在 固定的单环和主环 /子环拓扑模型 上部署。  子环要固定连接到主环上， 支持 1 级子环。  网络完整时，阻断端口 是主节点从端口， 根据网络拓扑，规划从端口。  RRPP 环上端口不建议配置风暴抑制功能，避免因为丢弃 RRPPHello 报文导致广播风暴 ， 误操作或者其他异常情况可能导致广播风暴，影响整网业务。  RRPP 环内新增节点时，必须在新增节点先配置 RRPP 控制 VLAN。 如果没有提前配置控制 VLAN，而数据 VLAN 已经打开的情况下， RRPP 会因为 Hello 报 文中断导致广播风暴。  每个环都必须使用唯一的控制 VLAN，如果主环下挂接大量子环，会占用大量VLAN， 配置前做好网 络的 VLAN 规划。 RRPP的应用场景和注意点 RRPP 协议应用于对保护性能要求较高的简单二层以太网络，支持固定的单环、主环 /子环拓扑模型。 在华为公司的二层协议的定位中， RRPP 正被更优秀的 SEP（ Smart Ether Protection）协议替代。 SEP SEP 支持各种类型的复杂组网，例如： 支持与 STP、 RSTP、 MSTP、 RRPP 协议混合组网，支持任意拓扑且支持拓扑查看。 通过查 看拓扑可快速找出阻塞端口。 当有故障产生，可快速定位故障出现的位置，从而提高了可维护性。 SEP 支持多种阻塞端口选择策略，从而灵活地实现了流量负载分担，收敛时间在 50ms 以内。 SEP 协议具有环网协议基本的快速保护性能：  拓扑收敛速度快。  收敛时间与环网上节点数无关 ，与网络规模无关。 SEP的局限性和应用限制 SEP 是我司私有协议，不能和其他公司设备直接对接。 SEP 协议具备较强的混合组网能力，从一定程度上解决了这个问题。 SEP的应用场景和注意点 SEP 协议应用于对保护性能要求较高的二层以太网络，可以支持复杂拓扑模型，是华为公司目前主推的快速环网保护协议。 典型场景包括四种：  SEP 单环 说 明 29  SEP 多环  SEP 通过普通 edge 端口与 STP 混合组网 30  SEP 通过 noneighboredge 端口与 STP 混合组网 31 CSS/iStack 园区网络一般分层部署，大型园区网络分为接入层、汇聚层和核心层。 为保证可靠性，部署双上行链路，不可避免链路冗余，需要部署破环协议，随着网络规模的不断扩大，xSTP 协议收敛时间慢，可用性差，由此引出新的解决方案，即 CSS/iStack 技术。 为了提高园区网的可靠性，在接入层推荐采用 iStack（堆叠）技术，即多台交换机堆叠在一起，选举出一台换机做为主交换机，一台交换机为备交换机，剩下的交换机称为从交换机。 主交换机是整个堆叠系统中的控制中心。 堆叠中每一台交换机都同时具备成为主交换机或者备交换机的能力。 iStack 中多台交换机作为一个整体对外体现为一台逻辑设备，共用一个管理 IP 地址和一个 MAC 地址，且组建方便。 堆叠的运维费用低，空间占用小， 绿色节能。 核心层采用 CSS（集群）技术 ，汇聚采用 CSS 或 iStack 技术 ，即将两台交换机通过专用的堆叠电缆连 接起来，选出一台为主交换机，一台为备交换机，对外呈现为一台逻辑交换机。 CSS/iStack 技术在网络扩容时，保护已有网络规划不变，扩容方便简单，扩容的同时，将两台物理设备虚拟为一台设备，简化了设备的配置和管理。 多台设备间冗余、备份，提高系统的可靠性。 不同网络层级之间建立 EthTrunk，支持跨成员端口聚合，消除了 EthTrunk 在单台交换机上的单点故障。 具有很高的可用性。 Ethtrunk 是物理层协议，是将 — 组物理接口捆绑在一起作为一个逻辑接口来增加带宽的一种方法。 通过在两台设备之间建立链路聚合组，可以提供更高的通讯带宽和更高的可靠性。 链路聚合不仅为设备间通信提供了冗余保护，而且不需要对硬件进行升级。 EthTrunk 的负载分担模式 分为手工负载分担模式和静态负载分担模式。 CSS/iStack技术代替传统的 MSTP+VRRP 组网，克服了网络复杂时 MSTP 收敛时间过长、网络拓扑不稳定的弊端。 图 34 CSS/iStack拓扑图 对可靠性要求较高的企业 ，推荐使用 CSS/iStack 技术，无需部署破环协议，网络拓扑简单，带宽利用率高，网络可靠性高。 32 路由设计 路由概述 建议采用汇聚交换机作为路由和交换的分界点。 图 35 路由交换分界点设计 这种设计方法有如下的优点：  路由配置简单 只需要在 2 台汇聚 /核心交换机上 配置路由。 大量的接入交换机只做二层交换，配置简单。 便于采用接入交换机的“自动配置”功能， 减少配置维护工作量。  扩展性好 在同一个汇聚 /核心交换机下的服务器扩容方便，并且随着业务的变化 不需要更改网络的配置，即插即用。 IGP设计 IGP协议选择 由于园区网内部可能存在不规则区域，且路由节点不是特别多，建议使用 OSPF 路由协议。 每个业务部门区域作为一个单独的 OSPF 区域。 33 OSPF规划  规划合理的 RouteID RouteID 建议采用 Loopback 接口 IP 地址。  OSPF 核心区域规划 出口路由器和核心交换机作为 OSPF 的 Area0， 出口路由器作为。