管理书籍排行榜,言情小说君子以泽,完美世界

解決方案

總體原則

基本設計原則

園區(qū)網(wǎng)絡作為網(wǎng)絡基礎設施，為用戶提供網(wǎng)絡通信服務和訪問資源權限，其復雜多樣的訪問關系以及多種多樣的業(yè)務類型必然要求園區(qū)網(wǎng)的設計要有良好的指導思想和設計原則。園區(qū)網(wǎng)設計過程中，應當遵循如下設計原則：

可靠性原則：園區(qū)網(wǎng)必須穩(wěn)定可靠工作，業(yè)務不中斷，保證業(yè)務體驗。這就要求關鍵部件采用冗余或備份架構，發(fā)生故障時可以快速恢復。
可信任原則：網(wǎng)絡必須安全、可信任，保障網(wǎng)絡和業(yè)務安全。這就要求全網(wǎng)安全可信，具有完善的安全防護措施，防止惡意破壞，保護數(shù)據(jù)和網(wǎng)絡安全。
可擴展原則：網(wǎng)絡平滑升級和擴展，滿足未來3～5年的發(fā)展規(guī)劃，充分發(fā)揮網(wǎng)絡價值，減少重復投資，避免資源浪費。這就要求園區(qū)網(wǎng)適應不同業(yè)務部署和擴展需求，包括部署新業(yè)務以及網(wǎng)絡平滑擴展等要求。
易管理原則：網(wǎng)絡容易管理和維護，網(wǎng)絡診斷和故障定位容易，降低運維難度，提升客戶體驗。這就要求全網(wǎng)多業(yè)務智能、主動和綜合管理，實時分析網(wǎng)絡健康狀況，積極預防，故障發(fā)生時可以快速排除故障，減少損失。
可運營原則：支持和方便部署新業(yè)務，如VoIP、UC（統(tǒng)一通信）、智真、桌面云等。
經(jīng)濟性原則：最大化投資回報和降低投資成本。

網(wǎng)絡架構設計

園區(qū)虛擬網(wǎng)絡架構介紹

在大中型園區(qū)網(wǎng)絡場景中，如果需要通過虛擬化方案做到業(yè)務和網(wǎng)絡解耦，在不改變基礎網(wǎng)絡的情況下，實現(xiàn)一網(wǎng)多用和業(yè)務的靈活、快速部署，這就對園區(qū)的虛擬網(wǎng)絡架構提出了異于傳統(tǒng)網(wǎng)絡的要求。圖2-70所示為園區(qū)虛擬網(wǎng)絡架構，Underlay即為物理網(wǎng)絡層，Overlay為基于VXLAN技術構建在Underlay之上的虛擬網(wǎng)絡層。

圖2-70 園區(qū)虛擬網(wǎng)絡架構

Overlay包括Fabric和VN兩部分：

Fabric：對Underlay網(wǎng)絡抽象后的資源池化網(wǎng)絡。在創(chuàng)建實例化的虛擬網(wǎng)絡（VN）時，可以選取Fabric中的網(wǎng)絡資源。
Fabric組網(wǎng)中，對VXLAN隧道端點VTEP（VXLAN Tunnel Endpoints）做了進一步的角色劃分：
- Border：Fabric網(wǎng)絡的邊界網(wǎng)關節(jié)點，對應實體為物理網(wǎng)絡設備，提供Fabric網(wǎng)絡與外部網(wǎng)絡間的數(shù)據(jù)轉發(fā)。一般將支持VXLAN的核心交換機作為Border。
- Edge：Fabric網(wǎng)絡的邊緣節(jié)點，對應實體為物理網(wǎng)絡設備，接入用戶的流量從這里進入Fabric網(wǎng)絡。一般將支持VXLAN的接入交換機或匯聚交換機作為Edge。
虛擬網(wǎng)絡（VN）：Virtual Network，通過將Fabric實例化，能夠構建邏輯上隔離的虛擬網(wǎng)絡實例（圖中的VN1、VN2）。一個VN對應一個隔離網(wǎng)絡（業(yè)務網(wǎng)絡），比如研發(fā)專網(wǎng)。

表2-41列出了Fabric包含的資源池，以及創(chuàng)建VN時如何調用這些資源。

表2-41 Fabric包含的資源池以及創(chuàng)建VN時資源調用的對應表

Fabric包含的資源池	創(chuàng)建VN時如何調用資源池中的資源
VN資源池，主要是指Overlay能創(chuàng)建的VN數(shù)量。	創(chuàng)建VN，每創(chuàng)建一個VN就相當于使用了一個VN資源。
VLAN資源池，VN接入終端、與外部互聯(lián)等場景使用，配置Fabric全局資源池時規(guī)劃。	在VN中創(chuàng)建用戶網(wǎng)關時，設置的用戶VLAN為Fabric全局資源池中的資源。
BD/VNI資源池，VN中劃分的二層廣播域，對應的VBDIF接口作為用戶子網(wǎng)網(wǎng)關接口，配置Fabric全局資源池時規(guī)劃。	在VN中創(chuàng)建用戶網(wǎng)關時，會自動從BD/VNI資源池中調用資源，創(chuàng)建BD廣播域及對應的VBDIF接口。
用戶接入點資源池，配置Fabric的接入管理時規(guī)劃，包括接入點綁定的認證方式。	在VN中配置用戶接入時，可選取已規(guī)劃的接入點資源。
外部出口池，指VN可以使用的外部資源，配置Fabric時主要創(chuàng)建兩類：外部網(wǎng)絡，用于VN與外部互通。網(wǎng)絡服務資源，用于VN與認證服務器、DHCP服務器等互通	創(chuàng)建VN時，可選取外部網(wǎng)絡和網(wǎng)絡服務資源。

Underlay網(wǎng)絡架構設計

大中型園區(qū)網(wǎng)絡虛擬化方案的物理組網(wǎng)繼承傳統(tǒng)大中型園區(qū)的網(wǎng)絡規(guī)劃，通常采用核心層為“根”的樹形網(wǎng)絡架構，拓撲穩(wěn)定，易于擴展和維護。如圖2-71所示，園區(qū)網(wǎng)絡可劃分為接入層、匯聚層、核心層，以及各個功能分區(qū)，各功能分區(qū)模塊清晰，模塊內部調整涉及范圍小，易于進行問題定位。

圖2-71 大中型網(wǎng)絡虛擬化方案的物理組網(wǎng)圖

表2-42 物理網(wǎng)絡分層以及各功能區(qū)域介紹

名稱	描述
終端層	終端層是指接入園區(qū)網(wǎng)絡的各種終端設備，例如電腦、打印機、IP話機、手機、攝像頭等。
接入層	接入層為用戶提供各種接入方式，是終端接入網(wǎng)絡的第一層。接入層通常由接入交換機組成，接入層交換機在網(wǎng)絡中數(shù)量眾多，安裝位置分散。如果終端層存在無線終端設備，接入層需要無線接入點AP設備，AP設備通過接入交換機接入網(wǎng)絡。
匯聚層	匯聚層是接入層與園區(qū)核心骨干網(wǎng)之間的網(wǎng)絡分界線，主要用于轉發(fā)用戶間的“橫向”流量，同時轉發(fā)到核心層的“縱向”流量。匯聚層可作為部門或區(qū)域內部的交換核心，實現(xiàn)與區(qū)域或部門專用服務器區(qū)的連接。另外匯聚層還可以擴展接入終端的數(shù)量。
核心層	核心層是園區(qū)數(shù)據(jù)交換的核心，連接園區(qū)網(wǎng)的各個組成部分，如數(shù)據(jù)中心/網(wǎng)絡管理區(qū)、匯聚層、出口區(qū)等，核心層負責整個園區(qū)網(wǎng)絡的高速互聯(lián)。網(wǎng)絡需要實現(xiàn)帶寬的高利用率和網(wǎng)絡故障的快速收斂，通常需要部署高性能的核心交換機，通常三個以上部門規(guī)模的園區(qū)網(wǎng)建議規(guī)劃核心層。
出口網(wǎng)絡	園區(qū)出口是園區(qū)內部網(wǎng)絡到外部網(wǎng)絡的邊界，內部用戶通過園區(qū)出口區(qū)接入到外部網(wǎng)絡，外部網(wǎng)絡的用戶通過園區(qū)出口區(qū)接入到內部網(wǎng)絡。園區(qū)出口區(qū)一般需要部署防火墻。提供邊界安全防護能力。
網(wǎng)絡管理區(qū)	網(wǎng)絡管理區(qū)是部署運維管理系統(tǒng)的服務器區(qū)域。大中型園區(qū)網(wǎng)絡虛擬化方案中，主要涉及如下系統(tǒng)的部署： iMaster NCE-Campus：園區(qū)網(wǎng)絡自動化引擎，主要對網(wǎng)絡設備進行業(yè)務配置發(fā)放；支持與第三方平臺集成，提供開放的接口；支持作為認證策略服務器，提供AAA認證和業(yè)務隨行服務。 iMaster NCE-CampusInsight：園區(qū)網(wǎng)絡智能分析引擎，基于Telemetry、大數(shù)據(jù)和智能算法，提供智能運維服務。 CIS：園區(qū)網(wǎng)絡安全智能分析引擎，基于大數(shù)據(jù)和智能算法，提供安全協(xié)防服務。 DHCP服務器：實現(xiàn)用戶終端IP地址的動態(tài)分配。

物理網(wǎng)絡架構分層規(guī)劃

針對物理網(wǎng)絡接入層、匯聚層和核心層的層次結構，在實際應用中，可以根據(jù)網(wǎng)絡規(guī)模或業(yè)務需要靈活選擇三層或二層架構，如圖2-72所示。

涉及一棟樓的園區(qū)網(wǎng)絡，通常采用二層架構，只需要接入層和匯聚層。涉及多棟樓的大型園區(qū)網(wǎng)絡（比如高校園區(qū)網(wǎng)），通常采用三層架構，需要接入層、匯聚層和核心層。

圖2-72 物理網(wǎng)絡架構分層

網(wǎng)絡設計時，一般會根據(jù)網(wǎng)絡規(guī)模采用自底向上的方法來確定采用幾層架構，設計方法如圖2-73所示。

圖2-73 網(wǎng)絡架構分層設計方法

Overlay網(wǎng)絡架構設計

Overlay網(wǎng)絡架構設計主要是對Fabric組網(wǎng)進行設計。如圖2-74所示，F(xiàn)abric網(wǎng)絡根據(jù)物理網(wǎng)絡層次有兩層組網(wǎng)和三層組網(wǎng)。三層架構的Fabric網(wǎng)絡的組網(wǎng)類型分為VXLAN到匯聚和VXLAN到接入兩種。

圖2-74 Fabric組網(wǎng)示意圖

分布式網(wǎng)關方案建議在網(wǎng)絡規(guī)模較大的三層物理組網(wǎng)中部署，如果是網(wǎng)絡規(guī)模較小的兩層組網(wǎng)，推薦采用集中式網(wǎng)關方案，便于Border作為用戶網(wǎng)關統(tǒng)一管理、簡化運維。而且Fabric組網(wǎng)推薦采用VXLAN到匯聚，如果采用VXLAN到接入，接入交換機作為Edge節(jié)點，所有的接入交換機都將作為用戶網(wǎng)關，這會大大增加運維管理的工作量。

網(wǎng)絡資源規(guī)劃

VLAN/BD規(guī)劃

BD資源規(guī)劃

在VN中，二層廣播域基于BD構建。在一個BD內，用戶終端可以不受地理位置影響，進行互通。在大中型園區(qū)虛擬化方案中，BD資源的規(guī)劃原則如下：

BD與用戶業(yè)務VLAN的對應關系建議為1:1，如圖2-75所示。
在VN中，每創(chuàng)建一個基于VXLAN的用戶網(wǎng)關，就會從Fabric全局的BD資源池中自動順序調用一個BD資源。BD可不考慮如何劃分，而只需關注用戶業(yè)務VLAN的劃分原則即可。
BD資源池的范圍應滿足用戶業(yè)務VLAN規(guī)劃的數(shù)量。

圖2-75 BD與業(yè)務VLAN關聯(lián)示意圖

VLAN資源規(guī)劃

在大中型園區(qū)網(wǎng)絡虛擬化方案中，雖然基于BD可以構建大二層廣播域，但是用戶終端還是通過VLAN接入園區(qū)網(wǎng)絡，VLAN再與BD進行綁定。而且園區(qū)網(wǎng)絡也需要通過VLAN進行互聯(lián)。大中型園區(qū)網(wǎng)絡虛擬化方案遵循傳統(tǒng)園區(qū)網(wǎng)絡VLAN的規(guī)劃原則，具體如下：

按照不同業(yè)務區(qū)域劃分不同的VLAN。
同一業(yè)務區(qū)域按照具體的業(yè)務類型劃分不同的VLAN。
VLAN編號建議連續(xù)分配，以保證VLAN資源合理利用。
建議預留一定數(shù)目VLAN以方便后續(xù)擴展。

VLAN的分類通常有業(yè)務VLAN、管理VLAN和互聯(lián)VLAN，設計建議如表2-43所示。

表2-43 VLAN資源規(guī)劃建議

分類	規(guī)劃建議
業(yè)務VLAN	通?？梢园凑者壿媴^(qū)域、組織結構和業(yè)務類型分層劃分VLAN范圍。按照邏輯區(qū)域劃分VLAN，如服務器區(qū)使用VLAN 200～VLAN 999，接入網(wǎng)絡使用VLAN 2000～VLAN 3499。按照組織結構劃分VLAN，如A部門使用VLAN 2000～VLAN 2499，B部門使用VLAN 2500～VLAN 2999。按照業(yè)務類型劃分VLAN，如A部門員工終端使用VLAN 2000～VLAN2099，A部門啞終端使用 VLAN 2100～VLAN 2199。
管理VLAN	主要用于園區(qū)網(wǎng)絡設備的管理，針對不同層次及功能區(qū)的網(wǎng)絡設備，管理VLAN規(guī)劃如下。網(wǎng)絡管理區(qū)服務器：如果非數(shù)據(jù)中心網(wǎng)絡，且涉及服務器數(shù)量較少，建議所有服務器規(guī)劃到一個管理VLAN。網(wǎng)絡管理區(qū)交換機：如果非數(shù)據(jù)中心網(wǎng)絡，且涉及交換機數(shù)量較少，建議使用物理的管理接口，不需要專門規(guī)劃管理VLAN。出口網(wǎng)絡設備：建議使用三層業(yè)務口作為管理接口，不需要專門規(guī)劃管理VLAN。核心交換機：建議單獨規(guī)劃一個管理VLAN，并將管理VLAN的VLANIF接口作為管理接口，iMaster NCE-Campus通過該接口來管理核心交換機。核心層以下設備：根據(jù)設備規(guī)模的不同，建議規(guī)劃一個或者多個管理VLAN，并將管理VLAN的VLANIF接口作為管理接口，iMaster NCE-Campus通過該接口來管理設備。如果設備規(guī)模較小，建議所有匯聚交換機、接入交換機、AP使用同一個管理VLAN。如果設備規(guī)模較大，建議所有匯聚交換機、接入交換機使用同一個管理VLAN，所有AP使用同一個管理VLAN。如果設備規(guī)模很大，建議按網(wǎng)絡層次規(guī)劃設備組，每個設備組使用同一個管理VLAN，比如將每個匯聚交換機及以下的設備劃分到一個設備組，使用同一個管理VLAN。
互聯(lián)VLAN	大中型園區(qū)網(wǎng)絡虛擬化方案中，Underlay網(wǎng)絡和Overlay網(wǎng)絡都需要使用VLAN互聯(lián)。 Underlay網(wǎng)絡：主要包含核心交換機與網(wǎng)絡管理區(qū)互聯(lián)VLAN（一般與核心層管理VLAN是同一個VLAN）；出口網(wǎng)絡互聯(lián)VLAN；核心層及以下設備互聯(lián)VLAN（用于OSPF路由自動編排）。 Overlay網(wǎng)絡：主要包含作為Border的核心交換機與外部網(wǎng)絡互聯(lián)VLAN；作為Border的核心交換機與網(wǎng)絡服務資源互聯(lián)VLAN。

IP地址規(guī)劃

IP地址的規(guī)劃建議遵循如下原則：

唯一性：一個IP網(wǎng)絡中不能有兩個主機采用相同的IP地址。即使使用MPLS（Multiprotocol Label Switching，多協(xié)議標記交換）或VPN（Virtual Private Network，虛擬專用網(wǎng)）隔離，也建議不同VPN-Instance（VRF）下不要使用相同的IP地址。
連續(xù)性：同一業(yè)務的節(jié)點地址要連續(xù)，便于路由規(guī)劃和匯總。連續(xù)的地址便于路由聚合，可以減小路由表的大小，加快路由計算和收斂速率。比如，匯聚交換機下接入的網(wǎng)段可能有很多，在規(guī)劃的時候需要考慮路由聚合，這樣可以減少核心網(wǎng)絡的路由數(shù)。
擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時無須新增地址段及路由條目。
易維護：設備地址段、各業(yè)務地址段清晰區(qū)分，易于后續(xù)基于地址段實施統(tǒng)計監(jiān)控、安全防護等策略。好的IP地址規(guī)劃使每個地址具有實際含義，看到一個地址就可以大致判斷出該地址所屬的設備。IP地址的規(guī)劃可以與VLAN的規(guī)劃對應起來。例如，IP地址的第三個字節(jié)與VLAN編號的后三位保持一致，這樣可以便于管理員記憶和管理。
園區(qū)內部的IP地址建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡通過NAT轉換成公網(wǎng)地址后接入公網(wǎng)。園區(qū)網(wǎng)中的DMZ區(qū)或Internet互聯(lián)區(qū)有少量設備使用公網(wǎng)IP。

園區(qū)網(wǎng)的IP地址主要分為管理IP地址、互聯(lián)IP地址、業(yè)務IP地址和Loopback接口地址，如表2-44所示。

表2-44 IP地址規(guī)劃建議

分類	規(guī)劃建議
管理IP地址	主要用于和iMaster NCE-Campus互通或者本地登錄。建議根據(jù)管理VLAN劃分原則，同一管理VLAN下的設備采用同一個IP地址段。針對不同層次及功能區(qū)的網(wǎng)絡設備，管理IP地址規(guī)劃如下。網(wǎng)絡管理區(qū)服務器管理IP地址，在iBMC管理接口配置。網(wǎng)絡管理區(qū)交換機管理IP地址。出口網(wǎng)絡設備管理IP地址，建議復用業(yè)務接口作為管理接口，可不單獨規(guī)劃。核心交換機管理IP地址。匯聚層以下設備管理IP地址。
互聯(lián)IP地址	互聯(lián)地址是指兩臺網(wǎng)絡設備相互連接的接口所需要的地址。互聯(lián)地址推薦使用30位掩碼的地址，核心設備使用較小的地址，互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時要充分考慮使用連續(xù)的可聚合地址。大中型園區(qū)網(wǎng)絡虛擬化方案中，Underlay網(wǎng)絡和Overlay網(wǎng)絡都需要使用IP地址互聯(lián)。 Underlay網(wǎng)絡：主要包含核心交換機與網(wǎng)絡管理區(qū)互聯(lián)IP地址（一般互聯(lián)的VLANIF接口復用核心層管理VLANIF接口）；出口網(wǎng)絡互聯(lián)IP地址；核心層及以下設備互聯(lián)IP地址（用于OSPF路由自動編排）。 Overlay網(wǎng)絡：主要包含作為Border的核心交換機與外部網(wǎng)絡互聯(lián)IP地址；作為Border的核心交換機與網(wǎng)絡服務資源互聯(lián)IP地址。
業(yè)務IP地址	業(yè)務地址是服務器、業(yè)務終端以及網(wǎng)關的地址。網(wǎng)關地址推薦統(tǒng)一使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關。各業(yè)務地址范圍要清晰區(qū)分，每一類業(yè)務終端地址連續(xù)、可聚合。考慮廣播域范圍及規(guī)劃的簡易程度，建議為每個業(yè)務地址段預留掩碼為24位的地址段，如果業(yè)務終端超出200，再為其順延一個掩碼為24位的地址段。
Loopback接口地址	Loopback接口的IP地址被指定為報文的源地址，可以提高網(wǎng)絡可靠性。大中型園區(qū)網(wǎng)絡虛擬化方案采用的VXLAN技術，其控制面通過BGP EVPN進行交互，需要使用Loopback接口在VXLAN隧道端點Border/Edge間建立BGP對等體。

DHCP規(guī)劃

大中型園區(qū)網(wǎng)絡虛擬化方案中，主要在開局管理子網(wǎng)設計和VN內用戶子網(wǎng)設計時，需要用到DHCP功能，如圖2-76所示。

圖2-76 DHCP功能使用場景示意圖

管理子網(wǎng)的DHCP規(guī)劃

大中型園區(qū)由于核心層以下設備數(shù)量較多，在開局部署時，建議規(guī)劃專門用于設備管理地址分配的DHCP服務器。管理子網(wǎng)的DHCP規(guī)劃如下。

建議核心交換機作為管理子網(wǎng)的DHCP服務器，在管理子網(wǎng)網(wǎng)關接口上配置地址池。
配置DHCP Option 148選項中攜帶iMaster NCE-Campus地址信息。
如果該管理子網(wǎng)網(wǎng)關接口同時作為AP的管理子網(wǎng)網(wǎng)關接口，建議配置DHCP Option 43選項中攜帶WAC地址信息。

用戶子網(wǎng)的DHCP規(guī)劃

大中型園區(qū)建議規(guī)劃獨立的DHCP服務器，對用戶終端進行IP地址分配。用戶子網(wǎng)的DHCP規(guī)劃建議如下：

建議整個園區(qū)規(guī)劃一個DHCP服務器來簡化運維。
大中型園區(qū)DHCP服務器和園區(qū)主機通常不在同一個網(wǎng)段，建議用戶網(wǎng)關開啟DHCP中繼功能。
建議在用戶網(wǎng)關對應的BD內配置DHCP Snooping，能夠保證用戶終端從合法的DHCP服務器獲取IP地址，避免被非法攻擊。另外，采用DHCP Option方式的終端識別功能，也需要配置DHCP Snooping。
DHCP提供的動態(tài)IP地址分配，需要根據(jù)用戶終端在線時間合理規(guī)劃租期，大中型園區(qū)場景中的辦公區(qū)在線時間長，需要規(guī)劃較長的租期。
如果需要為指定用戶終端分配固定的IP地址，不通過DHCP動態(tài)分配，DHCP地址池規(guī)劃時，需要將靜態(tài)配置的IP地址過濾掉，避免預留IP地址被分配。

路由協(xié)議規(guī)劃

大中型園區(qū)虛擬化方案中，Underlay與Overlay都需要部署路由協(xié)議，實現(xiàn)不同的三層互通需求，如圖2-77所示。表2-45列出了Underlay與Overlay需要部署路由協(xié)議的主要場景，以及具體的規(guī)劃說明。

圖2-77 大中型園區(qū)虛擬化方案中路由協(xié)議規(guī)劃示意圖