1、 園區網絡平臺建設方案 STYLEREF Contents 目錄 DOCPROPERTY Product&Project Name ONE NET Campus 園區網解決方案 DOCPROPERTY DocumentName 技術建議書園區網網絡概述園區網概述園區網的定義園區網一般是指企業或者機構的內部網絡，與廣域互聯、數據中心相關。園區網的主要目的是使企業主業務運作更有效率。目前我們通常涉及的園區網包括校園網、企業OA網、企業生產網和科技園區網。其中：企業OA網包括政府、金融、能源、交通等領域企業生產網包括電力、石油、制造行業科技園區網包括高新科技園軟件園一般情況下，園區網按規模來劃分也可

2、以分解成大型園區網、中型園區網、小型園區網。其中中型園區網和小型園區網有時統稱為中小型園區網。有時候企業還存在不同地域的辦公分支機構，這些分支機構是不包含在園區網內部的。所以通常所說的園區網都止于公網邊緣，可以理解成一個私網。園區網的要求隨著用戶對IT成本、效率和體驗的更高要求，讓網絡面臨了更大挑戰，網絡變得更加復雜。如何使網絡能夠更好的為企業服務，如何解決網絡多廠商的協同工作，如何解決運維等對我們的園區網絡建設提出了新的要求。網絡需要標準無論在PC時代還是互聯網時代，新技術的標準化是基礎和前提，物聯網時代關鍵技術的標準化還不成熟。網絡需要協同網絡部件間的協同、網絡間的協同、網絡和應用的協同能

3、有效屏蔽網絡復雜性，讓網絡更加智能，讓網絡變得透明。網絡需要一攬子服務企業業務的擴張、商業模式的創新更加依賴信息化平臺支撐，一攬子的服務給客戶帶來網絡建設成本、效率和體驗上的最佳平衡，讓網絡像供水、供電一樣，隨需而用。華為園區網解決方案華為公司提出ONE NET解決方案，是基于標準化、協同、一攬子的企業網絡解決方案。ONE NET架構是整合產品、方案和服務于一體的完整體系，為各個行業應用構建堅實的基礎網絡平臺。ONE NET以開放標準的產品為基礎，針對各種應用場景，為企業用戶提供網絡部件間、網絡與網絡間、網絡與應用間的全方位協同解決方案，同時針對不同用戶的差異化需求，華為攜手合作伙伴一起為用戶

4、提供端到端的一攬子網絡建設服務。ONE NET通過標準化的產品、全方位的協同解決方案和一攬子的服務，屏蔽網絡的復雜性，讓用戶的體驗就像一張網。園區網設計原則企業園區網是企業的業務信息平臺，應本著以下原則進行建設：超前性與實用性結合網絡技術發展迅猛，如果設備缺乏先進性，設備可能很快落后甚至被淘汰，但也不能過分超前，以避免造成投資的浪費。為此，在網絡建設中，需注意超前性與實用性結合，確保投資有效，使之能真正發揮出相應的作用。安全性與可靠性在園區網建設中，安全性是整個網絡建設中的重中之重，要通過各種技術確保系統應用的安全性。同時，要求系統本身具有高度的可靠性，這樣才能保證網絡客戶的應用。可管理性網絡

5、管理是一個長期的投資，在網絡建設中對網絡可管理是一項重要的應用原則，通過選擇全網的可管理性軟件，減少日常維護費用。可擴展性企業網絡不但需要能夠滿足當前需要，隨著后續企業規模的擴大、技術的發展，未來網絡需要承載更多的業務及提供更多的優質服務。所以，網絡的可擴展性是網絡建設中必須提前規劃的重點。未來園區網的發展企業戰略與機構設置息息相關，機構設置往往聚焦于在專業后臺部門的集中化、前臺銷售部門分散化問題（部門設置需要網絡基礎設施靈活、可擴展），現代技術的發展數字化、網絡化為企業機構的集中化與分布化提供了條件。園區網發展和企業信息化發展歷程是相輔相成的，可以說企業信息化引領園區網，也可以說是園區網發展

6、支撐企業信息化發展。目前隨著信息化的發展，園區網面臨著不同的挑戰：企業業務全球發展使得企業承載網從“傳統的有線局域網”，演變為“泛在的業務承載網”，實現隨時隨地接入成為企業信息化的首要需求。另外，隨著物聯網時代的到來，園區網不再是IT專用網絡，越來越演變成一張“企業物聯網”，多樣化的海量終端將接入到這張網絡中去。業務的多樣化承載也必然對網絡的質量以及安全性提出了全新的要求，網絡不再是簡單的管道，而要輔助業務系統實現完美體驗。而越來越復雜的ICT系統如何依靠現有的人力和能力維護已經成為企業CIO很關注的一個問題，這也要求園區網網絡的易維護成為必須需求。諾蘭模型根據企業信息化發展遵循客觀規律的經典

7、模型，用于指導企業IT系統建設，分為6個階段，分別是初始、普及、控制、集成、數據管理、成熟。從第4階段，IT開始逐步支撐企業發展，IT正式步入信息階段。根據諾蘭模型的發展方向，當前園區網已經步入經營全球化。包括：業務全球化，大量分支機構接入；供應商、合作伙伴全球化；經營業務多樣化，需資源整合；支撐部門專業化，集中化，移動辦公人員增多需要及時協同商業信息。集成多系統，包括ERP、CRM管理平臺、Email、OA系統、知識管理系統、VoIP（Voice Over IP）、視頻會議、數據中心、呼叫客服中心。實現信息技術全球化。園區網絡總體設計方案園區網總體網絡架構園區網總體網絡設計原則園區網通常是一

8、種用戶高密度的非運營網絡，在有限的空間內聚集了大量的終端和用戶。同時對于園區網而言，注重的是網絡的簡單可靠、易部署、易維護。因此在園區網中，拓撲結構通常以星型結構為主，較少使用環網結構（環網結構較多的運用在運營商的城域網絡和骨干網絡中，可以節約光纖資源）。基于星型結構的園區網設計，通常遵循如下原則：層次化將園區網絡劃分為核心層、匯聚層、接入層。每層功能清晰，架構穩定，易于擴展和維護。模塊化將園區網絡中的每個部門或者每個功能區劃分為一個模塊，模塊內部的調整涉及范圍小，易于進行問題定位。冗余性關鍵設備采用雙節點冗余設計；關鍵鏈路采用Trunk方式冗余備份或者負載分擔；關鍵設備的電源、主控板等關鍵部

9、件冗余備份。提高了整個網絡的可靠性。安全隔離園區網絡應具備有效的安全控制。按業務、按權限進行分區邏輯隔離，對特別重要的業務采取物理隔離。可管理性和可維護性網絡應當具有良好的可管理性。為了便于維護，應盡可能選取集成度高、模塊可通用的產品。園區網總體網絡邏輯架構園區網絡的邏輯架構如下 REF _Ref297125762 r h 圖2-1所示，包括五大部分。園區網絡的邏輯架構終端層包含園區內的各種終端設備，例如PC、筆記本電腦、打印機、傳真、POTS話機、SIP話機、手機、攝像頭等等。接入層負責將各種終端接入到園區網絡，通常由以太網交換機組成。對于某些終端，可能還要增加特定的接入設備，例如無線接入的

10、AP設備、POTS話機接入的IAD等。匯聚層匯聚層將眾多的接入設備和大量用戶經過一次匯聚后再接入到核心層，擴展核心層接入用戶的數量。匯聚層通常還作為用戶三層網關，承擔L2/L3邊緣設備的角色，提供用戶管理、安全管理、QoS（QualityofService）調度等各項跟用戶和業務相關的處理。核心層核心層負責整個園區網的高速互聯，一般不部署具體的業務。核心網絡需要實現帶寬的高利用率和網絡故障的快速收斂。園區出口園區出口是園區網絡到外部公網的邊界，園區網的內部用戶通過邊緣網絡接入到公網，外部用戶（包括客戶、合作伙伴、分支機構、遠程用戶等）也通過邊緣網絡接入到內部網絡。數據中心區部署服務器和應用系統

11、的區域。為企業內部和外部用戶提供數據和應用服務。DMZ（Demilitarized Zone）區通常公用服務器部署于該區域，為外部訪客（非企業員工）提供相應的訪問業務，其安全性受到嚴格控制。Extranet區與DMZ區相似，但它主要是面向合作伙伴提供服務。網絡管理區對網絡、服務器、應用系統進行管理的區域。包括故障管理、配置管理、性能管理、安全管理等。園區網絡總體物理架構對應邏輯架構，園區網絡的物理架構如 REF _Ref297197174 r h 圖2-2所示。園區網絡的物理架構該組網結構具有如下特點：以核心節點為“根”的星型分層拓撲，架構穩定，易于擴展和維護。各部門和功能分區模塊清晰，模塊內

12、部調整涉及范圍小，易于進行問題定位。雙節點冗余設計，關鍵鏈路均采用Trunk鏈路，保證網絡的可靠性。支持各種業務終端接入，一張IP網絡承載所有業務。支持分支接入、員工遠程接入、合作伙伴接入、外部用戶訪問等各種外聯場景。核心區網絡規劃核心區是整個園區網絡的樞紐，連接著園區內的各個區域。承擔了內部數據流量和對外數據流量，在邏輯上成為可靠性、安全設計的中心。物理組網規劃如 REF _Ref304465081 r h 圖2-3所示，核心區域建議采用園區出口、核心層、匯聚層和接入層的架構模型，具有如下的優勢：層次化設計：核心層、匯聚層、接入層，每層功能清晰，架構穩定，易于擴展和維護。模塊化設計：每一個模

13、塊一個部門，部門內部調整涉及范圍小，定位問題也容易。冗余性設計：雙節點冗余性設計，適當的冗余性提高可靠性，過度的冗余不便于運行維護。對稱性設計：網絡的對稱性便于業務部署，拓撲直觀，便于設計和分析。核心區域組網結構圖園區網核心區的星型設計使得網絡架構簡單，易于維護和部署。但星型不等于不成環，仍然需要運行破環協議，推薦使用MSTP協議。園區出口設計規劃園區出口指企業接入廣域網和Internet的出口，園區出口的主要功能是外部的互訪，包括企業分支、出差員工、合作伙伴/訪客的訪問，具體內容請參見互聯區網絡規劃。Internet網絡的安全性低、可靠性低、費用低，WAN安全性高、可靠性高、費用高。為保證W

14、AN/Internet鏈路的高可靠性，可申請兩條鏈路，實現冗余備份，也可以WAN作為主用鏈路，Internet作為備份鏈路。園區出口網關需要配置防火墻、IPS等，根據不同的安全性要求和投資規模選擇安全部件。核心區域組網結構圖-園區出口核心層設計規劃核心層部署園區的核心設備，連接所有的匯聚交換機，轉發各個部門之間的流量。核心層對三個以上部門規模的企業來說是必須的，除了減少連線、路由Peer之外，讓擴展以及日常策略調整也變得簡單。通常情況下，核心層需要采用全連接結構，保持核心層設備的配置盡量簡單，并且和業務部門無關。核心層設備需要具有高帶寬、高轉發性能，否則將無法支撐企業內外部的業務流量。核心區域

15、組網結構圖-核心層匯聚層設計規劃匯聚層是部門的核心，轉發部門用戶間的“橫向”流量。同時提供到核心層的“縱向”流量。對接入層隱藏核心層，作為園區網的配線架，將大量用戶接入到互聯的網絡中，擴展核心層設備接入用戶的數量。如 REF _Ref304385841 r h 圖2-6所示，匯聚層需要雙歸到核心層并支持接入層的雙歸接入。通常匯聚層承擔著L2/L3邊緣的角色，需要具有高帶寬、高端口密度、高轉發性能等特點，用于支撐該匯聚層下各業務部門之間的流量。核心區域組網結構圖-匯聚層接入層設計規劃接入層是最靠近用戶的網絡，為用戶提供各種接入方式，是終端接入網絡的第一層，一般部署二層設備，雙歸屬到匯聚層兩個不同

16、的交換機。接入層除了需要部署豐富的二層特性外，還需要部署安全、可靠性等相關功能。接入層需要具有高端口密度，以支持更多的終端接入園區網絡。核心區域組網結構圖-接入層可靠性設計規劃從上述組網圖可以看到，網絡可靠性由雙設備、鏈路冗余來保證。對于雙設備、鏈路冗余的網絡，如果接入層進三層，在接入層和核心層之間采用三層路由的方式，通過等價路徑再輔助部署BFD（Bidirectional Forwarding Detection）快速檢測故障，就能夠保證鏈路故障、設備故障的快速切換，同時也能夠充分利用冗余鏈路。更多的組網方式是在匯聚層進三層，這樣就需要解決接入層和匯聚層之間二層流量的環路問題。傳統的方案是S

17、TPVRRP的方案。該方案通過阻塞某些鏈路的轉發實現二層破環，雖然該方案采用了標準的協議，支持多個廠家設備的混合組網，但是其缺點也是顯而易見的：收斂時間傳統的STP（Spanning Tree Protocol）技術收斂速度慢，在故障發生時，故障收斂時間10秒；雖然采用RSTP進行優化，但收斂時間任是秒級，秒級的業務中斷，會導致較差的用戶體驗。鏈路利用率低如果同一機架內的服務器屬于同一VLAN，則有一個上行鏈路的帶寬無法利用。帶寬利用率只有50%；雖然MSTP基于VLAN進行優化，但不能從根本上解決問題。配置維護復雜，網絡故障率高每個接入交換機和匯聚交換機都需要運行STP協議，隨著接入交換機的

18、增加，交換機需要處理的STP也越來越復雜，會導致可靠性問題。我們推薦采用集群+堆疊的無環網絡方案來解決上面的這些缺陷。核心、匯聚采用兩臺框式交換機集群。接入層采用盒式交換機，盒式交換機每兩臺堆疊。接入層交換機和核心/匯聚層交換機間的鏈路進行鏈路捆綁。這個方案有四大優勢：簡化管理和配置首先，集群和堆疊技術將需要管理的設備節點減少一半以上。其次，組網變得簡潔不需要配置復雜的協議，如：STP/SmartLink/VRRP等。快速的故障收斂鏈路故障收斂時間可以控制在10ms，大大降低了網絡鏈路/節點的故障對業務的影響。帶寬利用率高采用鏈路Trunk的方式，帶寬利用率可以達到100%。擴容方便、保護投資

19、隨著業務的增加，當用戶進行網絡升級時，只需要增加新設備，而不需要更改網絡配置。平滑擴容，很好的保護了投資。該方案極大提高了可靠性，以單鏈路故障率為1小時/1千小時為例，增加到兩條鏈路，就可以將故障率降低到3.6秒/1千小時，可靠性從3個9提高到6個9。可靠性的另一個重要方面是設備可靠性，核心區設備一般為框式設備，在可靠性方面的要求包括：支持主控單元的備份支持電源模塊的備份支持模塊化的風扇設計，支持單風扇失效支持所有模塊的熱插拔安全性設計規劃核心層與園區出口部署防火墻設備，主要解決如下幾個安全問題：園區內、外網之間的訪問控制，實現園區內、外網的安全隔離。企業分支與園區內網的訪問控制，實現企業分支

20、和園區內網業務的安全隔離。出差員工與總部DMZ區的訪問控制，實現出差員工與園區內網的安全隔離。合作伙伴/訪客與總部DMZ區的訪問控制，實現合作伙伴/訪客與園區內網的安全隔離。互聯區網絡規劃物理組網規劃概述互聯區域網絡根據接入類型及服務類型劃分多個不同的互聯接入區域：Internet互聯企業外部用戶（例如企業分支、出差員工等）通過Internet訪問園區。Extranet互聯合作單位用戶通過廣域網或局域網訪問園區。Intranet互聯企業內部用戶訪問園區內部及數據中心。Internet互聯Internet互聯區域的網絡架構Internet互聯區包括路由器、UTM等設備。其中UTM至少要包括防火墻

21、和IPS兩項功能。入侵檢測系統IPS對摻雜在應用數據流中的惡意代碼、攻擊行為、DDOS攻擊等進行偵測，并實時進行響應。防火墻在網絡層面，過濾非法流量、抵御外部的攻擊，保護內部資源。防火墻和IPS本身都是重要的網絡設備，而且其位置一般都是作為網絡的出口。其位置和功能決定了防火墻和IPS設備應該具有非常高的可靠性。為了保證Internet互聯區域的可靠性，所有設備均需要成對部署，即：兩臺路由器，兩臺UTM（至少含防火墻和IPS）。VPN接入區根據需要提供IPSec VPN和SSL VPN兩種接入功能，解決移動用戶的安全接入問題。IPSec VPN主要適用Site-to-Site方式接入SSL VP

22、N主要適用于Client-to-Site方式接入可以部署獨立的IPSec VPN網關和SSL VPN網關，也可以采用UTM設備統一接入。Extranet互聯Extranet互聯區域的網絡架構如 REF _Ref298228140 r h 圖2-10所示，由于Extranet區域屬于企業外部用戶接入的區域，從網絡信任關系上講，安全等級與DMZ相同，都屬于非可信網絡，不能直接與園區連接。訪問權限應限制在本區域內部及DMZ區域，內網訪問應嚴格控制。業務隔離：同DMZ區域，主要提供對外服務，因此對該區域網絡應與內網隔離，必要的業務可以通過嚴格控制訪問DMZ區域。防火墻：在網絡層面，通過NAT技術隱藏內

23、網拓撲，保護內部資源控制訪問權限。Intranet互聯企業內部用戶訪問園區內部或數據中心。Intranet互聯區域的網絡架構網絡方面主要考慮線路雙歸，路由及設備的冗余備份。需要部署獨立的互聯接入設備并部署2臺進行熱備，保證設備的可靠性。內部網絡屬于較安全的區域，是綠色區域，風險比較低。主要的安全風險來自內部網絡自身的用戶（如用戶未經授權的存取）。在接入設備中，根據實際需求控制不同分支之間的數據互通的訪問控制。數據中心出口交換機處部署防火墻設備進行安全檢查和權限控制；接入層交換機處部署負載均衡器實現服務器資源的有效利用；數據中心出口交換機采用雙鏈路接入園區核心層交換機，實現高可靠性。數據中心內部

24、的設計請參見數據中心解決方案技術建議書DMZ區規劃DMZ區是部署對外業務和服務的區域，狹義的DMZ僅對互聯網用戶提供服務。廣義的DMZ區還對內部用戶或合作伙伴提供服務。DMZ區規劃圖設置DMZ區是出于安全性和業務便利性的考慮。DMZ區放置對外服務的Web、FTP、Email服務器，也放置方便內部用戶訪問Internet的Proxy、DNS服務器等。外部用戶可以訪問DMZ區的Web、FTP等服務，但不能訪問到內部的服務。內部用戶可以訪問DMZ區也可以訪問內部的服務。內部服務區規劃內部服務器區用于放置為企業內部提供服務的服務器。對外服務所需的APP和DB服務器，建議放在DMZ區，規模達到一定程度需

25、要建設專門的數據中心。內部服務器規劃圖由于內部用戶能夠造成更大的安全威脅，所以內部服務器采取“未經明確允許的就是被禁止的”及“最小授權”的嚴格安全策略。內部服務器區安全部署重點關注內部子分區的隔離，按照企業組織、密級、業務進行子分區劃分。各子分區共用的設備，不同部門或業務采用虛擬技術隔離，如VLAN、VPN實例；子分區分開使用的設備，網絡管理、系統管理在物理位置上分開。通過NAT技術實現公網和私網的轉換，通過IPSec、SSL VPN、GRE over IPSec等技術實現安全訪問。園區網絡技術方案VLAN規劃VLAN概述VLAN是將LAN內的設備邏輯地而不是物理地劃分為一個個網段，從而實現在

26、一個LAN內隔離廣播域的技術。當網絡規模越來越龐大時，局部網絡出現的故障會影響到整個網絡，VLAN的出現可以將網絡故障限制在VLAN范圍內，增強了網絡的健壯性。VLAN功能劃分用戶VLAN用戶VLAN即普通VLAN，也就是我們日常所說的VLAN，是用來對不同端口進行隔離的一種手段。VLAN通常根據業務需要進行規劃，需要隔離的端口配置不同的VLAN，需要防止廣播域過大的地方配置VLAN用于減小廣播域。VLAN最好不要跨交換機，即使跨交換機，數目也需要限制。Voice VLANVoice VLAN是為用戶的語音數據流劃分的VLAN，用戶通過創建Voice VLAN并將連接語音設備的端口加入Voic

27、e VLAN，可以使語音數據集中在Voice VLAN中進行傳輸，便于對語音流進行有針對性的QoS配置，提高語音流量的傳輸優先級，保證通話質量。Guest VLAN網絡中用戶在通過802.1x等認證之前接入設備會把該端口加入到一個特定的VLAN（即Guest VLAN），用戶訪問該VLAN內的資源不需要認證，只能訪問有限的網絡資源。用戶從處于Guest VLAN的服務器上可以獲取802.1x客戶端軟件，升級客戶端或執行其他應用升級程序（例如：防病毒軟件、操作系統補丁程序等）。認證成功后，端口離開Guest VLAN加入用戶VLAN，用戶可以訪問其特定的網絡資源。Multicast VLANMu

28、lticast VLAN即組播VLAN，組播交換機運行組播協議時需要組播VLAN來承載組播流。組播VLAN主要是用來解決當客戶端處于不同VLAN中時，上行的組播路由器必須在每個用戶VLAN復制一份組播流到接入組播交換機的問題。VLAN規劃原則一個二層網絡規劃的基本原則：區分業務VLAN、管理VLAN和互聯VLAN按照業務區域劃分不同的VLAN同一業務區域按照具體的業務類型（如：Web、APP、DB）劃分不同的VLANVLAN需連續分配，以保證VLAN資源合理利用預留一定數目VLAN方便后續擴展VLAN規劃建議VLAN根據多種原則組合劃分。按照邏輯區域劃分VLAN范圍：例如：核心網絡區：1001

29、99服務器區：200999，預留10001999接入網絡：20003499業務網絡：35003999按照地理區域劃分VLAN范圍例如：接入網絡A的地理區域使用20002199接入網絡B的地理區域使用22002399按照人員結構劃分VLAN范圍例如：接入網絡A地理區域A部門使用20002009接入網絡A地理區域B部門使用20102019按照業務功能劃分VLAN范圍例如：Web服務器區域：200299APP服務器區域：300399DB服務器區域：400499IP規劃考慮到后期擴展性，在園區IP地址規劃時主要以易管理為主要目標。園區網中的DMZ區或Internet互聯區有少量設備使用公網IP，園區內

30、部使用的則是私網IP。IP地址是動態IP或靜態IP的選取原則如下：原則上服務器，特殊終端設備（打卡機，打印服務器，IP視頻監控設備等）和生產設備建議采用靜態IP。辦公用設備建議使用DHCP動態獲取，如辦公用PC、IP電話等。IP地址規劃原則IP地址規劃的原則唯一性一個IP網絡中不能有兩個主機采用相同的IP地址。即使使用了支持地址重疊的MPLS/VPN技術，也盡量不要規劃為相同的地址。連續性連續地址在層次結構網絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率。擴展性地址分配在每一層次上都要留有余量，在網絡規模擴展時能保證地址疊合所需的連續性。實意性“望址生意”，好的IP地址規劃使每個地址

31、具有實際含義，看到一個地址就可以大致判斷出該地址所屬的設備。園區IP地址基本分類Loopback地址為了方便管理，會為每一臺路由器創建一個Loopback接口，并在該接口上單獨指定一個IP地址作為管理地址。Loopback地址務必使用32位掩碼的地址。最后一位是奇數的表示路由器，是偶數的表示交換機，越是核心的設備，Loopback地址越小。互聯地址互聯地址是指兩臺網絡設備相互連接的接口所需要的地址，互聯地址務必使用30位掩碼的地址。核心設備使用較小的一個地址，互聯地址通常要聚合后發布，在規劃時要充分考慮使用連續的可聚合地址。業務地址業務地址是連接在以太網上的各種服務器、主機所使用的地址以及網關

32、的地址，業務地址規劃時所有的網關地址統一使用相同的末位數字，如：.254都是表示網關。園區網內部的IP地址建議使用私網IP地址，在邊緣網絡通過NAT轉換成公網地址后接入公網。匯聚交換機下接入的網段可能有很多，在規劃的時候需要考慮路由是可以聚合的，這樣可以減少核心網絡的路由數目。DHCP規劃園區網中辦公網絡建議使用DHCP，每個DHCP網段應保留部分靜態IP供服務器等設備使用。DHCP園區部署基本架構在園區數據中心或服務器區部署獨立的DHCP Server。在匯聚層網關部署DHCP Relay指向DHCP Server統一分配地址。DHCP園區內一般通過VLAN分配地址，如有特殊要求，在接入交換

33、機部屬Option82，由接入交換機提供的Option82信息分配地址。DHCP園區部署基本架構DHCP部署基本原則固定IP地址段和動態分配IP地址段保持連續。按照業務區域進行DHCP地址的劃分，便于統一管理及問題定位。DHCP需要跨網段獲得IP地址時，啟動DHCP Relay功能。啟動DHCP安全功能，禁止非法DHCP Server的架設和非法用戶的接入。DNS規劃DNS服務器的角色劃分Master服務器：主服務器作為DNS的管理服務器，可以增加、刪除、修改域名，修改的信息可以同步到Slave服務器，一般部署1臺。Slave服務器：從服務器從Master服務器獲取域名信息，采用多臺服務器形成

34、集群的方式，統一對外提供DNS服務，一般采用基于硬件的負載均衡器提供服務器集群的功能。一般部署2臺從服務器。Cache服務器：緩存服務器用于緩存內部用戶的DNS請求結果，加快后續的訪問。一般部署在Slave服務器上。DNS服務器的IP地址Master服務器：采用企業內網地址。Slave服務器：分配企業私網地址，并在負載均衡器上分配一個虛擬的企業內網地址。Internet域名地址有兩種方案：一種是在防火墻上做NAT映射，把Slave服務器的虛擬地址映射為一個公網IP地址，用于外部Internet用戶的訪問。另一種是在鏈路負載均衡設備上通過智能DNS為外部Internet用戶提供服務。DNS可靠性

35、設計眾多內部用戶發送DNS請求，被均勻分擔到Slave DNS1和DNS2。當Slave DNS1服務器故障后，所有的DNS請求被分發給Slave DNS2。最終DNS服務器必須與外部DNS通訊。Master 服務器，建議放置在DMZ區域，并在同區內部建立Slave DNS服務器。如只對內提供服務的DNS服務器，可以作為二級的DNS服務器，放入其他非DMZ區域。當所有的Slave DNS都故障后，用戶發送的DNS請求無響應。用戶就切換到備DNS，由Master DNS處理所有的請求。園區DNS規劃二層設計概述建議采用如 REF _Ref304486851 r h * MERGEFORMAT 圖

36、3-3所示的網絡分層，匯聚層作為網關，接入層做透傳轉發。這種設計方法下，接入層作為二層轉發，需要部署破環協議。二層設計組網圖STPSTP體系目前有三種協議可用，他們是STP（IEEE802.1D）、RSTP(IEEE802.1w)和MSTP(IEEE802.1s)。在一些老的設備上默認啟用STP。由于STP的收斂速度慢，所以在一些后來生產的設備上，都默認啟用RSTP或者MSTP。具體選用哪一種生成樹協議，還要看網絡的具體拓撲情況。首先要明確什么時候需要部署STP，運行STP的首要條件就是網絡中存在冗余鏈路。接下來，才要考慮選用哪種STP協議。針對存在的三種STP協議，需要進行如下考慮：一些比較

37、老的交換機可能不支持RSTP或者MSTP，在有這些設備存在的網絡中，就現實情況而言，還是應該啟用STP協議。如果資金允許，可以將不支持RSTP或MSTP的設備換掉，因為采用RSTP、MSTP可以提升網絡的性能。在設備都支持RSTP協議的情況下，當網絡中僅存在一個VLAN時，建議采用RSTP，這樣可以充分發揮RSTP的優勢，加速網絡的收斂。另外，如果網絡中存在多個VLAN，并且各個VLAN在拓撲上保持一致，也就是說在trunk鏈路上各個VLAN的配置相同，也建議使用RSTP。基于上一條描述的條件，當網絡中存在多個VLAN，但是他們在trunk鏈路上的配置并不一致時，就要采用MSTP啟用多個生成樹

38、實例。網絡部署STP時，給出下列建議：根橋和備份根橋的選擇根橋的選擇合適與否直接影響著網絡的性能。在一個合理根橋設置的網絡中，會加快網絡的收斂，數據報文會經過更短的路徑到達目的地。基于此目的，應本著兩點原則進行根橋的選擇：根橋和備份根橋應進行手動選擇，不應該讓網絡自動選擇。手動選擇可以達到網絡的最優化。優選二層網絡的核心設備作為根橋或備份根橋。這里的核心包括處理性能上的優異和網絡拓撲位置上的核心層。數據網絡的核心通常意味著距離服務器或者路由器更近甚至直連，把根橋放在這個位置就意味著縮短了客戶端到服務器或者路由器的平均距離。當設置一臺交換機為根橋或者備份根橋之后，用戶不能再修改交換機的優先級。并

39、且同一臺交換機不能既作為根橋，又作為備份根橋。路徑開銷的規劃路徑開銷（PathCost）是一個端口量，反映了本端口所連接網絡的開銷。該值越低，表示這個端口所在的鏈路帶寬越大。在一個STP網絡中，某端口到根橋累計的路徑開銷就是通過所經過的各個橋上的各端口的路徑開銷累加而成，這個值叫做根路徑開銷（RootPathCost）。根路徑開銷的值直接影響著根端口的選擇。在一臺交換機上所有使能STP協議的端口中，根路徑開銷最小的就會成為根端口。因此，根路徑開銷的設計也直接影響著數據的轉發。端口的路徑開銷也是生成樹計算的重要依據，在MSTP中，在不同MSTI上為同一端口配置不同的路徑開銷值，可以使不同VLAN

40、的流量沿不同的物理鏈路轉發，實現按VLAN的負載分擔功能。MSTP域和實例的規劃對于屬于同一個域內的所有設備，應遵循以下幾條配置原則：域名必須一致。域修訂等級必須一致。域內VLAN和MSTI的映射關系必須一致。每個VLAN只能對應一個MSTI，即同一VLAN的數據只能在一個MSTI中傳輸；而一個MSTI可能對應多個VLAN。與終端相連的端口建議配置為邊緣端口。RRPPRRPP（Rapid Ring Protection Protocol）是一個專門應用于以太網環的二層協議，來源于EAPS協議（RFC3619），該協議提供最快50毫秒的保護性能。該協議在IEEE802.1中的位置和STP相同。R

41、RPP協議報文采用硬件廣播轉發，而非STP的逐跳處理。與STP協議相比，RRPP協議有如下特點：拓撲收斂速度快，收斂時間最小可達50毫秒。收斂時間與環網上節點數無關，與網絡規模無關。RRPP部署注意事項在固定的單環和主環/子環拓撲模型上部署。子環要固定連接到主環上，支持1級子環。網絡完整時，阻斷端口是主節點從端口，根據網絡拓撲，規劃從端口。RRPP環上端口不建議配置風暴抑制功能，避免因為丟棄RRPPHello報文導致廣播風暴，誤操作或者其他異常情況可能導致廣播風暴，影響整網業務。RRPP環內新增節點時，必須在新增節點先配置RRPP控制VLAN。如果沒有提前配置控制VLAN，而數據VLAN已經打

42、開的情況下，RRPP會因為Hello報文中斷導致廣播風暴。每個環都必須使用唯一的控制VLAN，如果主環下掛接大量子環，會占用大量VLAN，配置前做好網絡的VLAN規劃。RRPP的應用場景和注意點RRPP協議應用于對保護性能要求較高的簡單二層以太網絡，支持固定的單環、主環/子環拓撲模型。在華為公司的二層協議的定位中，RRPP正被更優秀的SEP（Smart Ethernet Protection）協議替代。SEPSEP支持各種類型的復雜組網，例如：支持與STP、RSTP、MSTP、RRPP協議混合組網，支持任意拓撲且支持拓撲查看。通過查看拓撲可快速找出阻塞端口。當有故障產生，可快速定位故障出現的位

43、置，從而提高了可維護性。SEP支持多種阻塞端口選擇策略，從而靈活地實現了流量負載分擔，收斂時間在50ms以內。SEP協議具有環網協議基本的快速保護性能：拓撲收斂速度快。收斂時間與環網上節點數無關，與網絡規模無關。SEP的局限性和應用限制SEP是我司私有協議，不能和其他公司設備直接對接。SEP協議具備較強的混合組網能力，從一定程度上解決了這個問題。SEP的應用場景和注意點SEP協議應用于對保護性能要求較高的二層以太網絡，可以支持復雜拓撲模型，是華為公司目前主推的快速環網保護協議。典型場景包括四種：SEP單環SEP多環SEP通過普通edge端口與STP混合組網SEP通過no-neighbor-ed

44、ge端口與STP混合組網CSS/iStack園區網絡一般分層部署，大型園區網絡分為接入層、匯聚層和核心層。為保證可靠性，部署雙上行鏈路，不可避免鏈路冗余，需要部署破環協議，隨著網絡規模的不斷擴大，xSTP協議收斂時間慢，可用性差，由此引出新的解決方案，即CSS/iStack技術。為了提高園區網的可靠性，在接入層推薦采用iStack（堆疊）技術，即多臺交換機堆疊在一起，選舉出一臺換機做為主交換機，一臺交換機為備交換機，剩下的交換機稱為從交換機。主交換機是整個堆疊系統中的控制中心。堆疊中每一臺交換機都同時具備成為主交換機或者備交換機的能力。iStack中多臺交換機作為一個整體對外體現為一臺邏輯設備

45、，共用一個管理IP地址和一個MAC地址，且組建方便。堆疊的運維費用低，空間占用小，綠色節能。核心層采用CSS（集群）技術，匯聚采用CSS或iStack技術，即將兩臺交換機通過專用的堆疊電纜連接起來，選出一臺為主交換機，一臺為備交換機，對外呈現為一臺邏輯交換機。CSS/iStack技術在網絡擴容時，保護已有網絡規劃不變，擴容方便簡單，擴容的同時，將兩臺物理設備虛擬為一臺設備，簡化了設備的配置和管理。多臺設備間冗余、備份，提高系統的可靠性。不同網絡層級之間建立Eth-Trunk，支持跨成員端口聚合，消除了Eth-Trunk在單臺交換機上的單點故障。具有很高的可用性。Eth-trunk是物理層協議，

46、是將組物理接口捆綁在一起作為一個邏輯接口來增加帶寬的一種方法。通過在兩臺設備之間建立鏈路聚合組，可以提供更高的通訊帶寬和更高的可靠性。鏈路聚合不僅為設備間通信提供了冗余保護，而且不需要對硬件進行升級。Eth-Trunk的負載分擔模式分為手工負載分擔模式和靜態負載分擔模式。CSS/iStack技術代替傳統的MSTP+VRRP組網，克服了網絡復雜時MSTP收斂時間過長、網絡拓撲不穩定的弊端。CSS/iStack拓撲圖對可靠性要求較高的企業，推薦使用CSS/iStack技術，無需部署破環協議，網絡拓撲簡單，帶寬利用率高，網絡可靠性高。路由設計路由概述建議采用匯聚交換機作為路由和交換的分界點。路由交換

47、分界點設計這種設計方法有如下的優點：路由配置簡單只需要在2臺匯聚/核心交換機上配置路由。大量的接入交換機只做二層交換，配置簡單。便于采用接入交換機的“自動配置”功能，減少配置維護工作量。擴展性好在同一個匯聚/核心交換機下的服務器擴容方便，并且隨著業務的變化不需要更改網絡的配置，即插即用。IGP設計IGP協議選擇由于園區網內部可能存在不規則區域，且路由節點不是特別多，建議使用OSPF路由協議。每個業務部門區域作為一個單獨的OSPF區域。OSPF規劃規劃合理的RouteIDRouteID建議采用Loopback接口IP地址。OSPF核心區域規劃出口路由器和核心交換機作為OSPF的Area0，出口路

48、由器作為ASBR和ABR，核心交換機為ABR。每個匯聚交換機和核心交換機組網部署為不同的OSPF Area ID1，2，N。OSPF邊緣區域規劃每個匯聚交換機和核心交換機組網部署為不同的OSPF Area ID1,2,N，Area1,2,N使用OSPFNSSA區域。與原先的普通的完全OSPF區域相比，通過規劃減少LSA在區域間的傳播，減少路由條數；和純stub區域相比部署路由協議更加靈活。另外核心交換機和出口路由器通過區域匯總，限制了區域間傳播的LSA條目。邊緣區域使用NSSA區域的優勢在于：能精簡骨干區域路由器的路由表；減少骨干區域內OSPF交互的信息量；提高路由表項的穩定性。一個區域的路由

49、計算和網絡調整不會影響其它區域，因故障引起的路由震蕩被隔離在區域內部。如果部門較少，建議只配置Area0。OSPF規劃圖BGP設計園區網中使用BGP的場景場景1路由數量過于龐大，OSPF難以勝任時。一般單獨一個園區內部路由數目可能不會很多，但是當一個企業分支眾多且IP規劃不十分合理，導致路由條目過多，特別是園區的出口路由器上可建議部署BGP進行合理規劃引入部分路由。場景2由于業務需要，需要大量的使用路由策略或者是業務分流，使用OSPF等協議不擅長，使用BGP可以方便的控制路由策略，來分配業務流向。場景3部署MPLS VPN技術時，用于復雜的隔離策略等。園區網使用BGP的基本規劃Routerid

50、的規劃BGP的routerid與OSPF的routerid共用一個，與Loopback接口地址相同。ASnumber的規劃由于企業網中都是私有網絡，所以BGP使用私有的AS number。IBGP和EBGP的選擇由于企業網的規模通常都不會很大，通常IBGP就可以滿足一般的需求了。BGP對設備的要求BGP協議本身并不消耗很多資源，只有當運行BGP的設備需要學習到很多條路由，需要建立很多鄰居關系時才會要求設備自身的性能很高。只要規劃得當，任何檔次的設備（包括接入層設備）都可以運行BGP協議。組播規劃組播概述IP組播技術實現了IP網絡中點到多點的高效數據傳送。相對于數據單播傳送，組播有效節省網絡帶寬

51、，降低對網絡設備的要求，用戶規模可以靈活變化，用戶規模的增大不會對網絡和服務器造成帶寬和性能壓力。所以在實時數據傳送、多媒體會議、數據拷貝、游戲和仿真等諸多方面都有廣泛的應用。組播在園區網一般用于特殊場景，例如：網上教學、IP組播視頻會議等業務。組播地址規劃組播組用D類IP地址（55）來標識。按照使用范圍劃分，組播地址可以劃分為三部分。協議保留組播地址地址范圍：55。此地址范圍被IANA預留，一般供網絡協議使用。該范圍內的地址屬于局部范疇，此地址的組播報文不能被轉發。用戶組播地址地址范圍：55，此地址范圍也稱為公用組播地址，在全網范圍內有效，可以用于Internet上。本地管理組地址地址范圍：

52、55，此地址范圍也稱為私有組播地址，主要用于測試或供內部網絡在內部使用，這個地址的組播不能上公網，類似于單播協議使用的私網地址。園區內部部署的組播業務只是供本園區內部使用，建議采用本地管理組地址作為組播地址。組播路由選擇根據協議的作用范圍，組播協議分為主機-路由器之間的協議（即組播成員關系管理協議）和路由器-路由器之間協議（即組播路由協議）。組成員關系管理協議包括IGMP（互連網組管理協議，目前存在V1、V2、V3三個版本）；組播路由協議又分為域內組播路由協議和域間組播路由協議兩類。域內組播路由協議包括：PIM-SM、PIM-DM、DVMRP等協議；域間組播路由協議包括MBGP、MSDP等協議

53、。同時為了有效抑制組播數據在二層網絡中的擴散，引入了IGMP Snooping等二層組播協議。園區網絡的路由屬于域內路由，所以園區網絡部署的組播業務不涉及跨域問題。園區網絡域內組播路由推薦使用PIM組播路由協議。PIM不依賴于某一特定單播路由協議，為IP組播提供路由信息的可以是靜態路由、RIP、OSPF、IS-IS、BGP等任何一種單播路由協議。組播路由和單播路由協議無關，只要通過單播路由協議能夠產生相應組播路由表項即可。與其它組播協議相比，PIM開銷更小，組播效率更高。PIM定義了兩種模式：密集模式（Dense-Mode）PIM-DM密集模式協議，采用了擴散/剪枝機制。同時，假定帶寬不受限制

54、，每個路由器都想接收組播數據包。PIM-DM采用反向路徑轉發RPF動態建立最短路徑樹SPT。該模式適合于組播組成員相對比較密集、組播源和接受者比較靠近、組播數據流比較大且比較穩定、規模較小的網絡。稀疏模式（Sparse-Mode）PIM-SM與PIM-DM的根本差別在于PIM-SM是基于顯式加入模型，即接收者向集合點RP（RendezvousPoint）發送加入消息，而路由器只在已加入某個組播組輸出接口上轉發那個組播組的數據包。PIM-SM采用共享樹進行組播數據包的轉發。每一個組有一個集合點RP，組播源沿最短路徑向RP發送數據，再由RP沿最短路徑將數據發送到各個接收端。PIM-SM主要優勢之一

55、是它不局限于通過共享樹接收組播信息，還提供從共享樹向SPT轉換的機制。從協議的設計優劣情況比較，PIM-SM優于PIM-DM。該模式適用于組播組成員分布相對分散、范圍較廣、視頻源多、規模較大的網絡。IGMP組播成員管理機制是針對第三層設計的。在第三層，路由器可以對組播報文的轉發進行控制。但是在很多情況下，組播報文要不可避免地經過一些二層交換設備，如果不對二層設備進行相應的配置，則組播報文就會轉發給二層交換設備的所有接口，這顯然會浪費大量的系統資源，IGMP Snooping可以很好解決這個問題。IGMP Snooping運行于二層交換機，是一種二層組播協議，通過偵聽上層路由器和用戶主機之間發送

56、的組播協議報文來建立二層轉發表項，維護組播報文的出端口信息，從而管理和控制組播數據報文的轉發。在園區網絡中，建議采用采用PIM-SM+IGMP Snooping來實現組播業務開展。匯聚交換機到組播源采用PIM-SM協議；接入交換機通過IGMP Snooping+組播VLAN，實現跨VLAN的組播；終端上部署IGMP。組播VLAN可以滿足跨VLAN復制的需求，不同VLAN的用戶分別進行同一組播源點播時，可以在交換機上配置組播VLAN，并將用戶VLAN加入組播VLAN，以實現組播數據在不同的VLAN內傳送，便于對組播源和組播組成員的管理和控制，同時也可以減少帶寬浪費。園區網絡比較簡單時，一般RP設

57、置在和源DR所在的核心交換機上；園區網絡比較復雜時，選取一臺性能較高的路由器作為源DR。在采用層次化結構組網的園區網絡中，視頻源建議直接部署接入核心層上，最大程度減少PIM-SM協議范圍，縮短組播流量路徑，減少組播流量對帶寬的占用。所以RP選擇部署在核心層設備上，從網絡的可靠性、可用性等方面綜合考慮，選用2個核心設備為RP，通過Anycast RP技術可實現負載均衡及冗余，MSDP（Multicast Source Discovery Protocol）是實現Anycast RP的關鍵協議，MSDP容許RP共享活動源信息。在Anycast RP環境，兩個RP在Loopback接口配置相同的IP

58、地址。Anycast RP Loopback地址應當是32位掩碼的主機地址。IP路由將自動選擇最好的RP。Anycast RP提供了IP Multicast的快速切換（幾秒內）及負載均衡。園區網絡組播業務部署可靠性規劃設備可靠性設備本身要具有電信級5個9的可靠性，需要網絡設備支持：主控1:1備份交換網1+1/1:1兩種方式DC電源1+1備份；AC電源1+1/2+2備份模塊化的風扇設計，高端配置支持單風扇失效無源背板，高可靠性獨立的設備監控單元，和主控解耦所有模塊支持熱插拔完善的告警功能設備管理1:1備份單設備是通過部件的冗余設計來保證高可靠性。對于設備本身的節點故障，一般通過網絡協議感知故障點

59、后進行動態調整，實現流量的快速切換，提高可靠性，但是切換的時間比較長。華為支持框式交換機的集群CSS（Cluster Switch System）和盒式交換機的堆疊iStack技術，能夠把多臺物理設備連接在一起，對外表現為一臺邏輯設備，從功能和管理方面，都可以作為一臺設備來看待。單節點物理設備的故障，邏輯設備能夠快速感知，并快速將流量切換到UP狀態的鏈路上，減少丟包時間，具有更高的可靠性。采用華為S93系列交換機CSS技術，對園區核心網絡，有如下優勢：簡化管理和配置首先，集群后需要管理的設備節點減少一半以上。其次，組網變得簡潔，不需要配置復雜的協議，包括STP/SmartLink/VRRP等。

60、快速的故障收斂鏈路故障收斂時間可以控制在10ms,大大降低了網絡鏈路/節點的故障對業務的影響。帶寬利用率高鏈路采用Trunk的方式，帶寬利用率可以達到100%。擴容方便隨著業務的增加，當網絡需要擴容時，如果采用集群方式，只需要增加新設備即可，不需要更改網絡配置。能做到平滑擴容，很好的保護了用戶投資。目前，業界有兩種集群的方式。一種是業務板集群（采用業務接口堆疊）一種是交換網集群（采用專用的集群線纜，即堆疊線）。華為的S93系列交換機采用交換網集群的方式，通過在主控板上插入堆疊卡，再用堆疊線連接多臺設備。相比業務板集群方式，有如下的優勢：堆疊帶寬高交換網集群一般采用專用的接口線，堆疊帶寬高。S9