华为企业园区网络建设技术方案.docx

1、华为企业园区网络建设技术方案华为企业园区网络建设技术方案根据实际情况增加项目介绍1.1项目背景1.2项目目标园区总体系统规划设计1.3需求分析随着企业信息化建设不断深入，企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展，对于企业园区网的建设要求越来越高。传统园区网建设初期往往面临如下问题：(一)网络架构较为混乱，不便于扩容和维护管理：园区网在建设初期，设备和光纤/电缆随意布放，缺乏统一的网络分层规划管理，网络拓扑相对混乱，不便于对网络性能瓶颈进行正确评估和有效扩容，给日常网络管理也带来很大难度。(二)网络可靠性规划不合理，影响企业生产和经营管理、造成投资浪费：由于缺乏有效的园区网

2、规划，对于网络可靠性考虑不够，网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为，同时也存在网络过度冗余、造成投资浪费的现象。(三)网络信息安全存在隐患：网络安全性是园区网建设的重中之重，传统园区网安全漏洞较多，无法应对内外部用户日益猖獗的网络攻击行为（例如：对园区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息），对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络，网络层面的安全保证和防御措施也不到位，造成园区网的脆弱和易攻击。(四)无法满足日益增长的网络业务需求：随着企业的业务发展，出现了基于园区网基础设施的丰富增值业务需求，例如：网络接入形式要求多样化，支持

3、WLAN无线接入，满足移动办公、大区域无线缆覆盖等特殊要求；对于企业用户访问外网进行计费，计费策略可灵活设置（时长计费、流量计费、按目的地址计费）；企业多出口链路场景下的负载均衡、灵活选路需求。传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑，支持这些业务存在园区网络分散建设、重复投资的问题。(五)缺乏简单有效的网络管理系统，企业IT网络运维部门面临很大压力：当前，企业网IT运维部门面临很大的网络运维压力，来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象，网络故障诊断、分析定位过程对于IT运维人员的技术能力和经验水平要求较高，缺乏简单有效/低成本的图形化网管工具

4、、进行实时网络拓扑显示、状态监控和各种故障事件预警/告警展示。另外，IT运维部门也需要实施统计园区网各路径的流量信息，便于对网络带宽进行管理和规划，给后续网络扩容提供参考。1.4设计原则(一)安全性：安全性是企业园区网建设中的关键，它包括物理空间的安全控制及网络的安全控制。需要有完整的安全策略控制体系来实现企业园区网的安全控制。(二)可靠性、可用性：高可靠性是园区网提供使用的关键，其可靠性设计包括：关键设备冗余、链路/网络冗余和重要业务模块冗余。关键设备均采用电信级全冗余设计，可实现单板热拔插、冗余的控制模块设计、冗余电源设计。采用冗余网络设计，每个层次均采用双机方式，层次与层次之间采用全冗余

5、连接。提供多种冗余技术，采用高效、负载均衡的双机备份。可采用交换机的集群或者堆叠技术，在不降低网络可靠性的前提下，减化网络架构。(三)可扩展性：园区网方案设计中，采用分层的网络设计；每个层次的设计所采用的设备本身都应具足够高的端口密度，为后续园区网扩展奠定基础。在园区出口层、核心层、汇聚层的设备都采用模块化设计，可根据园区网的发展进行灵活扩展。功能的可扩展性是园区网随着发展提供增值业务的基础。实现防火墙、负载均衡、WLAN接入、认证计费等功能，为园区网增值业务的扩展提供基础。(四)可维护、可管理性：网络可管理性是园区网成功运维的基础。应提供低成本、简单有效的园区网统一网管系统，对园区网所有网络

6、设备进行管理，包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。2园区网络架构规划设计2.1园区网络总体网络架构规划设计2.1.1典型园区网网络架构图 31典型园区网网络架构典型园区网方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，在汇聚层交换机，通过模块化（业务单板）方式提供WLANAC控制器、防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。典型园区网的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用TRUNK链路保

7、证链路级可靠性。2.1.2经济型园区网网络架构图 32 经济型园区网网络架构考虑到节省园区网网络建设投资成本，允许网络存在单点故障，不再部署冗余交换机设备，交换机之间互联采用TRUNK链路，保证链路级可靠性，但是园区网交换机设备故障，会导致网络故障和业务中断。经济型的园区网汇聚层交换机仍然可通过模块化（业务单板）方式提供WLANAC控制器、防火墙、负载均衡器等增值业务功能。2.1.3虚拟交换园区网网络架构图 33 虚拟交换园区网网络架构园区网仍然按照分层结构建设，园区交换机分为接入层交换机、汇聚层交换机和核心层交换机。为了增加园区网可靠性、降低园区网组网复杂度，园区网未来向虚拟化、扁平化方向发

8、展，同层次交换机可以多台虚拟成一台，接入交换机通过堆叠（Stack）特性，将多台接入交换机虚拟成一台接入交换机，汇聚/核心交换机通过CSS（ClusterSwitch）将两台交换机虚拟成一台交换机。园区网接入层/汇聚层/核心层交换机虚拟化后，可以减少网络节点、简化网络拓扑，二层网络不需要部署RSTP/MSTP/RRPP/SmartLink等复杂的环网协议和可靠性保护协议，实现无二层环路网络构建，提高二层网络可靠性和链路故障收敛性能，三层网络虚拟化的多台设备间路由表统一计算、路由收敛速度快，通过交换机虚拟化设计，交换机互联的两条链路就可以作为Trunk链路进行管理，对于虚拟交换机而言，实现跨设备

9、的链路聚合（TRUNK），大大增强链路可靠性，另外可实现链路的流量负载均衡，构建无二层环路网络，网络可靠性（链路故障自收敛性能）和带宽利用率都得到提高。图 34 交换机集群（堆叠）方案2.2园区网络分层网络规划设计园区网的网络层次采用业界成熟的三层架构：接入、汇聚和核心，最后企业园区通过出口层网络设备（路由器或交换机）连接到外网通过。这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。2.2.1接入层接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（PC机或服务器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机）。由于接入层交换机直接接园区网用户，根据用

10、户接入信息点数目和类型（GE/FE），对接入交换机的GE/FE接口密度有较高的要求。另外接入交换机部署在楼道网络机柜，数量大，对于成本、功耗和易管理维护等特性要求较高。高用户密度的园区接入场景推荐使用S5300/S9300作为接入交换机，低用户密度的场景推荐使用S2300/S3300作为接入交换机。2.2.2汇聚层园区汇聚层交换机一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为园区网的网关，终结园区网用户的二层流量，进行三层转发。根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡器、WLANAC控制器）或者旁挂独立的增值业务设

11、备，为园区网用户提供增值业务。汇聚交换机需要提供高密度的GE接口，汇聚接入交换机的流量，通过10GE接口接到核心交换机，推荐使用S9300系列交换机作为园区汇聚层交换机。2.2.3核心层园区核心层交换机部署在园区核心机房中，汇聚各楼宇/区域之间的用户流量，提供三层交换机功能，连接园区外部网络到内部用户的“纵向流量”和不同汇聚区域用户之间的“横向流量”要求高密10GE、高转发性能。推荐使用S9300作为园区核心层交换机。2.2.4出口层园区出口路由器，连接Internet/WAN广域网和园区内部局域网。推荐华为AR和SRG系列路由器作为企业出口路由器。对于中小型企业园区网，核心层和出口层可进行合

12、并，通过核心交换机（S9300）的WAN接口板的广域网接口（POS等）直接与外网相连。3.3二三层网络分界点设计二三层网络分界点（用户网关）设置在汇聚交换机汇聚交换机作为用户的网关设备，接入交换机与汇聚交换机之间是二层网络，通过STP/RSTP/MSTP/RRPP保证网络可靠性和防止二层网络环路产生，汇聚交换机与核心交换机之间是三层网络，运行OSPF等路由协议，通过等价路由、IPFRR保证三层网络可靠性、加快路由收敛时间。【优点】1)接入交换机是二层交换机，成本低，并且可保护客户现有低端二层交换机的投资；2)高可靠性，二层网络故障收敛速度快；【缺点】1)接入交换机和汇聚交换机之间存在二层环路风

13、险，需要配置保证；2)接入交换机与汇聚交换机之间链路利用率低，需要启用二层协议负载均担多实例以提高链路利用率。本方案的缺点可以通过接入交换机堆叠/汇聚交换机集群（交换机虚拟化）方案来解决。园区汇聚交换机作为二三层网络分界点（用户网关设备）是经典的园区网架构，推荐使用。二三层网络分界点（用户网关）设置在接入交换机接入交换机作为用户的二三层分界点（网关设备），即三层到边缘的园区网架构，接入交换机到汇聚交换机、汇聚交换机到核心交换机之间都是三层网络，运行OSPF等路由协议，整个企业园区是全路由型网络。【优点】1)网络易扩展：园区网架构对物理网络拓扑依赖度低，可以任意网络拓扑形式扩展；2)网络易维护：

14、全网为三层网络、无二层环路网络风险，无需配置生成树协议、RRPP和VRRP，降低网络配置和维护工作量。【缺点】1)交换机成本相对较高：相对与二层接入交换机，成本较高；2)接入层为三层网络，网络故障路由收敛速度相对较慢。3园区网络高可靠性规划设计3.1园区网络高可靠性规划设计园区网高可靠性设计总体方案如下图所示：图 41 园区网高可靠性设计方案总览针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。接入层网络是二层网络，接入交换机与汇聚交换机之间通过SmartLink/STP/RSTP/MSTP/RRPP保证网络可靠性，

15、同时解决二层网络环路问题；汇聚层交换机之间通过VRRP（BFDforVRRP）协议确定用户的主备网关，交换机互联通过TRUNK链路，保证链路级可靠性，汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障（单通故障）。园区网接入/汇聚/核心交换机通过虚拟化技术进行集群（或堆叠），将两台/多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时，提高网络可靠性，是未来高可靠性园区网的发展趋势。典型园区网可靠性组网设计方案有：口子型组网、三角型组网、U子型组网。 可靠性组网方案1：口子型组网图 42 口子型组网接入交换机与汇聚交换机之间是二层网络，汇聚交换机作为用户网关设备，两台汇聚交换机之间通过二层TRUNK链路互连，多台接入交换机与两台汇聚交换机之间组成口子型二层环网，并且通过部署STP/RSTP/MSTP/RRPP等协议进行二层环网阻断、环网故障检测和保护倒换功能。两台汇聚交换机运行VRRP（BFD+VRRP）协议确定主备用户网关，VRRP报文直接在汇聚交换机直连的TRUNK链路上收发。注意：两台汇聚交换机链路需要保证绝对可靠，必须采用TRUNK链路、包含两条以上物理链路，因为汇聚交换机间链路DOWN，两台汇聚交换机VRR