华为企业园区网络建设技术方案.docx
《华为企业园区网络建设技术方案.docx》由会员分享,可在线阅读,更多相关《华为企业园区网络建设技术方案.docx(49页珍藏版)》请在冰豆网上搜索。
华为企业园区网络建设技术方案
华为企业园区网络建设技术方案
根据实际情况增加项目介绍
1.1项目背景
1.2项目目标
园区总体系统规划设计
1.3需求分析
随着企业信息化建设不断深入,企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展,对于企业园区网的建设要求越来越高。
传统园区网建设初期往往面临如下问题:
(一)网络架构较为混乱,不便于扩容和维护管理:
园区网在建设初期,设备和光纤/电缆随意布放,缺乏统一的网络分层规划管理,网络拓扑相对混乱,不便于对网络性能瓶颈进行正确评估和有效扩容,给日常网络管理也带来很大难度。
(二)网络可靠性规划不合理,影响企业生产和经营管理、造成投资浪费:
由于缺乏有效的园区网规划,对于网络可靠性考虑不够,网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为,同时也存在网络过度冗余、造成投资浪费的现象。
(三)网络信息安全存在隐患:
网络安全性是园区网建设的重中之重,传统园区网安全漏洞较多,无法应对内外部用户日益猖獗的网络攻击行为(例如:
对园区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息),对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络,网络层面的安全保证和防御措施也不到位,造成园区网的脆弱和易攻击。
(四)无法满足日益增长的网络业务需求:
随着企业的业务发展,出现了基于园区网基础设施的丰富增值业务需求,例如:
网络接入形式要求多样化,支持WLAN无线接入,满足移动办公、大区域无线缆覆盖等特殊要求;对于企业用户访问外网进行计费,计费策略可灵活设置(时长计费、流量计费、按目的地址计费);企业多出口链路场景下的负载均衡、灵活选路需求。
传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑,支持这些业务存在园区网络分散建设、重复投资的问题。
(五)缺乏简单有效的网络管理系统,企业IT网络运维部门面临很大压力:
当前,企业网IT运维部门面临很大的网络运维压力,来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象,网络故障诊断、分析定位过程对于IT运维人员的技术能力和经验水平要求较高,缺乏简单有效/低成本的图形化网管工具、进行实时网络拓扑显示、状态监控和各种故障事件预警/告警展示。
另外,IT运维部门也需要实施统计园区网各路径的流量信息,便于对网络带宽进行管理和规划,给后续网络扩容提供参考。
1.4设计原则 ü
(一)安全性:
安全性是企业园区网建设中的关键,它包括物理空间的安全控制及网络的安全控制。
需要有完整的安全策略控制体系来实现企业园区网的安全控制。
(二)可靠性、可用性:
高可靠性是园区网提供使用的关键,其可靠性设计包括:
关键设备冗余、链路/网络冗余和重要业务模块冗余。
关键设备均采用电信级全冗余设计,可实现单板热拔插、冗余的控制模块设计、冗余电源设计。
采用冗余网络设计,每个层次均采用双机方式,层次与层次之间采用全冗余连接。
提供多种冗余技术,采用高效、负载均衡的双机备份。
可采用交换机的集群或者堆叠技术,在不降低网络可靠性的前提下,减化网络架构。
(三)可扩展性:
园区网方案设计中,采用分层的网络设计;每个层次的设计所采用的设备本身都应具足够高的端口密度,为后续园区网扩展奠定基础。
在园区出口层、核心层、汇聚层的设备都采用模块化设计,可根据园区网的发展进行灵活扩展。
功能的可扩展性是园区网随着发展提供增值业务的基础。
实现防火墙、负载均衡、WLAN接入、认证计费等功能,为园区网增值业务的扩展提供基础。
(四)可维护、可管理性:
网络可管理性是园区网成功运维的基础。
应提供低成本、简单有效的园区网统一网管系统,对园区网所有网络设备进行管理,包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。
2园区网络架构规划设计
2.1园区网络总体网络架构规划设计
2.1.1典型园区网网络架构
图31 典型园区网网络架构
典型园区网方案采用层次化、模块化的设计思路,按照接入层、汇聚层、核心层和出口层进行网络设备设计部署,在汇聚层交换机,通过模块化(业务单板)方式提供WLAN AC控制器、防火墙、负载均衡器等增值业务功能,满足企业日益增长的业务需求。
典型园区网的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接入核心交换机,交换机之间采用TRUNK链路保证链路级可靠性。
2.1.2经济型园区网网络架构
图32经济型园区网网络架构
考虑到节省园区网网络建设投资成本,允许网络存在单点故障,不再部署冗余交换机设备,交换机之间互联采用TRUNK链路,保证链路级可靠性,但是园区网交换机设备故障,会导致网络故障和业务中断。
经济型的园区网汇聚层交换机仍然可通过模块化(业务单板)方式提供WLAN AC控制器、防火墙、负载均衡器等增值业务功能。
2.1.3虚拟交换园区网网络架构
图33虚拟交换园区网网络架构
园区网仍然按照分层结构建设,园区交换机分为接入层交换机、汇聚层交换机和核心层交换机。
为了增加园区网可靠性、降低园区网组网复杂度,园区网未来向虚拟化、扁平化方向发展,同层次交换机可以多台虚拟成一台,接入交换机通过堆叠(Stack)特性,将多台接入交换机虚拟成一台接入交换机,汇聚/核心交换机通过CSS(Cluster Switch )将两台交换机虚拟成一台交换机。
园区网接入层/汇聚层/核心层交换机虚拟化后,可以减少网络节点、简化网络拓扑,二层网络不需要部署RSTP/MSTP/RRPP/Smart Link等复杂的环网协议和可靠性保护协议,实现无二层环路网络构建,提高二层网络可靠性和链路故障收敛性能,三层网络虚拟化的多台设备间路由表统一计算、路由收敛速度快,
通过交换机虚拟化设计,交换机互联的两条链路就可以作为Trunk链路进行管理,对于虚拟交换机而言,实现跨设备的链路聚合(TRUNK),大大增强链路可靠性,另外可实现链路的流量负载均衡,构建无二层环路网络,网络可靠性(链路故障自收敛性能)和带宽利用率都得到提高。
图34交换机集群(堆叠)方案
2.2园区网络分层网络规划设计
园区网的网络层次采用业界成熟的三层架构:
接入、汇聚和核心,最后企业园区通过出口层网络设备(路由器或交换机)连接到外网通过。
这种分层的网络架构,可以保证根据的业务需求,分别对不同层次进行扩容。
2.2.1接入层
接入层交换机一般部署在楼道的网络机柜中,接入园区网用户(PC机或服务器),提供二层交换机功能,也支持三层接入功能(接入交换机为三层交换机)。
由于接入层交换机直接接园区网用户,根据用户接入信息点数目和类型(GE/FE),对接入交换机的GE/FE接口密度有较高的要求。
另外接入交换机部署在楼道网络机柜,数量大,对于成本、功耗和易管理维护等特性要求较高。
高用户密度的园区接入场景推荐使用S5300/S9300作为接入交换机,低用户密度的场景推荐使用S2300/S3300作为接入交换机。
2.2.2汇聚层
园区汇聚层交换机一般部署在楼宇独立的网络汇聚机柜中,汇聚园区接入交换机的流量,一般提供三层交换机功能,汇聚层交换机作为园区网的网关,终结园区网用户的二层流量,进行三层转发。
根据需要,可以在汇聚交换机上集成增值业务板卡(如防火墙,负载均衡器、WLAN AC控制器)或者旁挂独立的增值业务设备,为园区网用户提供增值业务。
汇聚交换机需要提供高密度的GE接口,汇聚接入交换机的流量,通过10GE接口接到核心交换机,推荐使用S9300系列交换机作为园区汇聚层交换机。
2.2.3核心层
园区核心层交换机部署在园区核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,连接园区外部网络到内部用户的“纵向流量”和不同汇聚区域用户之间的“横向流量”要求高密10GE、高转发性能。
推荐使用S9300作为园区核心层交换机。
2.2.4出口层
园区出口路由器,连接Internet/WAN广域网和园区内部局域网。
推荐华为AR和SRG系列路由器作为企业出口路由器。
对于中小型企业园区网,核心层和出口层可进行合并,通过核心交换机(S9300)的WAN接口板的广域网接口(POS等)直接与外网相连。
3.3 二三层网络分界点设计
✓二三层网络分界点(用户网关)设置在汇聚交换机
汇聚交换机作为用户的网关设备,接入交换机与汇聚交换机之间是二层网络,通过STP/RSTP/MSTP/RRPP保证网络可靠性和防止二层网络环路产生,汇聚交换机与核心交换机之间是三层网络,运行OSPF等路由协议,通过等价路由、IP FRR保证三层网络可靠性、加快路由收敛时间。
【优点】
1)接入交换机是二层交换机,成本低,并且可保护客户现有低端二层交换机的投资;
2)高可靠性,二层网络故障收敛速度快;
【缺点】
1)接入交换机和汇聚交换机之间存在二层环路风险,需要配置保证;
2)接入交换机与汇聚交换机之间链路利用率低,需要启用二层协议负载均担多实例以提高链路利用率。
本方案的缺点可以通过接入交换机堆叠/汇聚交换机集群(交换机虚拟化)方案来解决。
园区汇聚交换机作为二三层网络分界点(用户网关设备)是经典的园区网架构,推荐使用。
✓二三层网络分界点(用户网关)设置在接入交换机
接入交换机作为用户的二三层分界点(网关设备),即三层到边缘的园区网架构,接入交换机到汇聚交换机、汇聚交换机到核心交换机之间都是三层网络,运行OSPF等路由协议,整个企业园区是全路由型网络。
【优点】
1)网络易扩展:
园区网架构对物理网络拓扑依赖度低,可以任意网络拓扑形式扩展;
2)网络易维护:
全网为三层网络、无二层环路网络风险,无需配置生成树协议、RRPP和VRRP,降低网络配置和维护工作量。
【缺点】
1)交换机成本相对较高:
相对与二层接入交换机,成本较高;
2)接入层为三层网络,网络故障路由收敛速度相对较慢。
3园区网络高可靠性规划设计
3.1园区网络高可靠性规划设计
园区网高可靠性设计总体方案如下图所示:
图41园区网高可靠性设计方案总览
针对二层接入(接入交换机是二层交换机、汇聚交换机作为用户网关)典型园区网架构,从接入层、汇聚层、核心层来分层考虑网络可靠性设计。
接入层网络是二层网络,接入交换机与汇聚交换机之间通过Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性,同时解决二层网络环路问题;汇聚层交换机之间通过VRRP(BFD for VRRP)协议确定用户的主备网关,交换机互联通过TRUNK链路,保证链路级可靠性,汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障(单通故障)。
园区网接入/汇聚/核心交换机通过虚拟化技术进行集群(或堆叠),将两台/多台交换机虚拟化成一台交换机,降低网络拓扑复杂度的同时,提高网络可靠性,是未来高可靠性园区网的发展趋势。
典型园区网可靠性组网设计方案有:
口子型组网、三角型组网、U子型组网。
✓可靠性组网方案1:
口子型组网
图42口子型组网
接入交换机与汇聚交换机之间是二层网络,汇聚交换机作为用户网关设备,两台汇聚交换机之间通过二层TRUNK链路互连,多台接入交换机与两台汇聚交换机之间组成口子型二层环网,并且通过部署STP/RSTP/MSTP/RRPP等协议进行二层环网阻断、环网故障检测和保护倒换功能。
两台汇聚交换机运行VRRP(BFD+VRRP)协议确定主备用户网关,VRRP报文直接在汇聚交换机直连的TRUNK链路上收发。
注意:
两台汇聚交换机链路需要保证绝对可靠,必须采用TRUNK链路、包含两条以上物理链路,因为汇聚交换机间链路DOWN,两台汇聚交换机VRRP状态都为主(VRRP双主情况产生),此时接入二层环网阻塞在汇聚交换机之间的直连链路上,这样接入用户同时感知两个处于VRRP主用状态的网关设备(汇聚交换机),出现问题。
口子型组网方案的优点是,园区网各个楼层接入交换机可以串在一起,与汇聚交换机组成二层环网,汇聚交换机统一为各楼层接入交换机下的用户分配IP地址,实现园区不同楼层的用户可以共用同一个IP地址网段; 该组网方案的缺点是接入层网络需要部署较为复杂的二层环网协议、网络配置和维护较为复杂。
口子型组网方案是园区网非常经典的可靠性设计方案,适合各种规模的园区网应用场景。
✓可靠性组网方案2:
三角型组网
图43三角型组网
汇聚交换机作为用户网关设备,两台汇聚交换机之间通过二层链路互连,每台接入交换机上行有两条链路接入到两台汇聚交换机,接入交换机上行两条链路的主备关系由运行的Smart Link协议确定。
两台汇聚交换机运行VRRP(BFD+VRRP)协议确定主备用户网关,VRRP报文直接在汇聚交换机直连链路上收发。
注意:
两台汇聚交换机链路需要保证绝对可靠,必须采用TRUNK链路。
口子型组网场景下,多个楼层之间可以共用VRRP组,不受汇聚交换机VRRP组数量限制,可实现不同楼层间的园区用户可以共享一个IP地址网段。
三角型组网方案的优点是:
二层接入网不存在环路,不需要配置相对复杂的环网保护协议(STP/RSTP/MSTP/RRPP);Smart Link故障检测和保护倒换速度快(200~400ms);支持园区网园区不同楼层的用户可以共用同一个IP地址网段。
三角型组网方案的缺点是每台接入交换机上行需要部署主备两条链路,增加布线成本,对汇聚交换机的端口密度有较高要求。
✓可靠性组网方案3:
U字型组网
图44U字型组网
园区网汇聚交换机之间通过纯三层链路互连,无直连二层链路。
汇聚交换机作为园区用户网关,与接入交换机组成二层网络,汇聚交换机的主备通过VRRP(BFD for VRRP)协议协商,VRRP协议通过接入交换机转发,每组接入交换机与两台汇聚交换机组成的一个物理U型网络需要启用一组VRRP,汇聚交换机通过多个物理端口会接入多个二层U型网络,这样汇聚交换机间需要运行多个VRRP组(每个二层U型接入网络运行一个VRRP组),一般一个U型二层接入网覆盖的是同一个楼层的接入交换机。
由于不同VRRP组的网关IP网段不能相同,因此每个U型接入网下的所有园区用户需要独占一个IP网段,不同U型接入网的用户(不同楼层的园区用户)之间不能共享一个IP网段,这是此方案应用的最大缺点。
U子型方案的优点:
二层接入网不存在环路,不需要配置相对复杂的环网保护协议(STP/RSTP/MSTP/RRPP)。
✓可靠性设计目标方案(发展趋势):
园区网交换机虚拟化
图45可靠性设计目标方案组网
园区网可靠性方案设计的目标方案或发展趋势是各层次园区网交换机都进行虚拟化,通过集群/堆叠技术将两台或多台交换机虚拟成一台交换机。
可以提高单节点设备可靠性,一台交换机故障,另外一台交换机自动接管故障设备上的所有业务,可以做到业务无损切换。
设备虚拟化通过跨设备的TRUNK链路,提升链路级可靠性,并且流量可以均匀分布在TRUNK成员链路上,提高链路带宽利用率,条或多条链路故障后,流量自动切换到其他正常的链路。
该方案另外一个优点网络配置和维护简单,园区二层接入网,不需要配置复杂的二层环网和保护倒换协议,二层链路故障直接感知快速切换,三层网络中多个设备间共享路由表,网络故障路由收敛速度快。
网络管理和维护难度大大降低,此方案适应面广,扩展性强,是未来园区网的发展趋势。
3.2园区网络设备高可靠性规划设计
3.2.1重要部件冗余
设备本身要具有电信级5个9的可靠性,需要网络设备支持:
✓主控1:
1备份
✓交换网1+1/1:
1两种方式
✓DC电源1+1备份;AC电源1+1/2+2备份
✓模块化的风扇设计,高端配置支持单风扇失效
✓无源背板,高可靠性
✓独立的设备监控单元,和主控解耦
✓所有模块热插拔
✓完善的各种告警功能
✓设备管理1:
1备份
3.2.2设备自身安全
如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大.
图46黑客工具的危害性
这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。
华为公司全系列园区网交换机(S9300/S5300/S3300/S2300)提供攻击防范功能,能够检测出多种类型的网络攻击,并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运行。
华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。
另外,以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。
发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷新,填充交换机的MAC地址表,由于MAC地址表的规格有限,导致正常流量由于没有正确的转发表项而无法正常转发。
ARP攻击与此类似,通过攻击报文来更改MAC与IP地址的绑定,从而重新定向流量。
华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描,并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击(SAI/DAI功能)。
华为全系列交换机支持黑洞MAC功能,园区交换机收到报文时比较报文目的MAC地址,若与黑洞MAC表项相同则丢弃该报文。
当用户察觉到某MAC地址的报文具有一定攻击性,则可以在园区交换机上配置黑洞MAC,从而将具有该MAC地址的报文过滤掉,避免遭受攻击。
3.3园区网络交换机虚拟化规划设计
3.3.1汇聚交换机的集群CSS(Cluster Switch Switching)
所谓集群,就是把物理的多台服务器连接在一起,对外表现为一台逻辑的服务器,提供服务。
因为企业园区网为了增加可靠性,都是双节点备份,特别适合集群技术。
如下图所示:
图47集群组网的优势
采用集群技术,对企业园区网络,有四大优势:
1) 减化管理和配置
首先,集群后需要管理的设备节点减少一半以上。
其次,组网变得简洁,不需要配置复杂的协议,包括STP/SmartLink/VRRP等。
2) 快速的故障收敛
故障收敛时间可以控制在< 1ms, 大大降低了网络链路/节点的故障,对业务的影响。
3) 带宽利用率高
采用链路Trunk的方式,带宽利用率可以达到100%。
4) 扩容方便
保护用户投资。
随着业务的增加,当用户进行网络升级时,采用集群的方式,只需要增加新设备既可,不需要更改网络配置的情况下,平滑扩容,很好的保护了用户投资。
目前,业界有两种堆叠的方式,一种是采用业务接口堆叠,一种是采用专用的堆叠线;
图48两种集群方式比较
华为的S93系列交换机采用堆叠线的方式,通过在主板板上插入堆叠卡,连接多台设备。
如下图所示,这种方式有如下的优势:
图49华为CSS集群技术
采用交换机网集群的方式,相比接口板集群,有如下的优势:
✓堆叠带宽高
交换机网集群一般采用专用的接口线,堆叠带宽高。
S93系列的堆叠带宽高达128G(单向);并且可平滑升级到200G(单向); 相对于业界的80G(单向)的互联带宽,具有明显的优势。
✓不占用业务槽位
S93系列采用在主控板预留的灵活插卡槽位,插入堆叠卡互联的方式,不占用接口槽位。
相对于接口堆叠的方式,节省了1~2个接口槽位。
✓可靠性高
S93系列采用堆叠线连接,实际上是对交换网的延伸。
从上图可以看出,接口板堆叠方式需要经过两个堆叠接口板转发,处理复杂度增加;另外,接口板的硬件可靠性也比交换网低。
总体来看,交换网堆叠在软件和硬件方面,可靠性都高于接口堆叠的方式。
3.3.2接入交换机的堆叠iStack
iStack堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。
一个园区网用户上行的2个网络接口,对于堆叠后的设备,可以看作Trunk接口。
多台设备堆叠成一台设备后,从功能和管理方面,都可以作为一台设备来看待。
华为的iStack堆叠技术有如下的优势:
✓简化管理
堆叠设备的角色分为Master和Slave;通过对Master 设备的配置达到管理整个iStack 堆叠以及堆叠内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
✓简化网络运行
iStack 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算。
这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
✓强大的网络扩展能力
通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。
✓高可靠性
堆叠的高可靠性体现在多个方面,比如:
成员设备之间堆叠物理端口支持聚合功能,堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master 设备负责堆叠的运行、管理和维护,Slave 设备在作为备份的同时也可以处理业务,一旦Master 设备故障,系统会迅速自动选举新的Master,以保证通过堆叠的业务不中断,从而实现了设备级的1:
N 备份。
✓高性能
由于iStack 设备是由多个支持iStack 特性的单机设备堆叠而成的,iStack设备的交换容量和端口数量就是iStack 内部所有单机设备交换容量和端口数量的总和。
因此,iStack 技术能够通过多个单机设备的堆叠,轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
4园区网络安全方案规划设计
4.1园区网安全方案总体规划设计
图51 园区网安全方案总体设计
从园区接入、网络监管/监控、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御,对内部员工进行身份认证和网络访问权限控制,对企业内部进行安全区域划分、隔离和权限控制,对企业外部用户访问进行安全控制、数据加密,防止恶意攻击。
园区网全方位的
安全设计方案保证内部、外部用户访问园区网资源的安全性。
4.2园区接入安全规划设计
图52 网络准入控制NAC
企业网交换机与华为赛门铁克的NAC方案配套,实现对接入用户的身份认证、终端健康检查,并实现基于用户角色的差异化权限控制。
NAC解决方案包含三个关键组件:
通信代理、网络访问控制设备(园区交换机)和认证策略服务器组:
通信代理也就是安全客户端,是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估检查以及安全策略实施的主体,其主要功能包括:
✧支持802.1x、Portal、MAC等多种认证方式,可以与园区网交换机实现接入、汇聚层的端点准入控制。
✧检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息,这些信息将被传递到安全策略服务器,执行端点准入的判断与控制。
✧安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。
不按要求实施安全策略的用户终端将被限制在隔离区。
✧实时监控