总体原则
基本设计原则
园区网络作为网络基础设施,为用户提供网络通信服务和访问资源权限,其复杂多样的访问关系以及多种多样的业务类型必然要求园区网的设计要有良好的指导思想和设计原则。园区网设计过程中,应当遵循如下设计原则:
可靠性原则:园区网必须稳定可靠工作,业务不中断,保证业务体验。这就要求关键部件采用冗余或备份架构,发生故障时可以快速恢复。
可信任原则:网络必须安全、可信任,保障网络和业务安全。这就要求全网安全可信,具有完善的安全防护措施,防止恶意破坏,保护数据和网络安全。
可扩展原则:网络平滑升级和扩展,满足未来3~5年的发展规划,充分发挥网络价值,减少重复投资,避免资源浪费。这就要求园区网适应不同业务部署和扩展需求,包括部署新业务以及网络平滑扩展等要求。
易管理原则:网络容易管理和维护,网络诊断和故障定位容易,降低运维难度,提升客户体验。这就要求全网多业务智能、主动和综合管理,实时分析网络健康状况,积极预防,故障发生时可以快速排除故障,减少损失。
可运营原则:支持和方便部署新业务,如VoIP、UC(统一通信)、智真、桌面云等。
经济性原则:最大化投资回报和降低投资成本。
网络架构设计
园区虚拟网络架构介绍
在大中型园区网络场景中,如果需要通过虚拟化方案做到业务和网络解耦,在不改变基础网络的情况下,实现一网多用和业务的灵活、快速部署,这就对园区的虚拟网络架构提出了异于传统网络的要求。图2-70所示为园区虚拟网络架构,Underlay即为物理网络层,Overlay为基于VXLAN技术构建在Underlay之上的虚拟网络层。
图2-70 园区虚拟网络架构
Overlay包括Fabric和VN两部分:
- Fabric:对Underlay网络抽象后的资源池化网络。在创建实例化的虚拟网络(VN)时,可以选取Fabric中的网络资源。Fabric组网中,对VXLAN隧道端点VTEP(VXLAN Tunnel Endpoints)做了进一步的角色划分:
- Border:Fabric网络的边界网关节点,对应实体为物理网络设备,提供Fabric网络与外部网络间的数据转发。一般将支持VXLAN的核心交换机作为Border。
- Edge:Fabric网络的边缘节点,对应实体为物理网络设备,接入用户的流量从这里进入Fabric网络。一般将支持VXLAN的接入交换机或汇聚交换机作为Edge。
- 虚拟网络(VN):Virtual Network,通过将Fabric实例化,能够构建逻辑上隔离的虚拟网络实例(图中的VN1、VN2)。一个VN对应一个隔离网络(业务网络),比如研发专网。
表2-41列出了Fabric包含的资源池,以及创建VN时如何调用这些资源。
| Fabric包含的资源池 | 创建VN时如何调用资源池中的资源 |
| VN资源池,主要是指Overlay能创建的VN数量。 | 创建VN,每创建一个VN就相当于使用了一个VN资源。 |
| VLAN资源池,VN接入终端、与外部互联等场景使用,配置Fabric全局资源池时规划。 | 在VN中创建用户网关时,设置的用户VLAN为Fabric全局资源池中的资源。 |
| BD/VNI资源池,VN中划分的二层广播域,对应的VBDIF接口作为用户子网网关接口,配置Fabric全局资源池时规划。 | 在VN中创建用户网关时,会自动从BD/VNI资源池中调用资源,创建BD广播域及对应的VBDIF接口。 |
| 用户接入点资源池,配置Fabric的接入管理时规划,包括接入点绑定的认证方式。 | 在VN中配置用户接入时,可选取已规划的接入点资源。 |
外部出口池,指VN可以使用的外部资源,配置Fabric时主要创建两类:
| 创建VN时,可选取外部网络和网络服务资源。 |
Underlay网络架构设计
大中型园区网络虚拟化方案的物理组网继承传统大中型园区的网络规划,通常采用核心层为“根”的树形网络架构,拓扑稳定,易于扩展和维护。如图2-71所示,园区网络可划分为接入层、汇聚层、核心层,以及各个功能分区,各功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位。
表2-42 物理网络分层以及各功能区域介绍
| 名称 | 描述 |
| 终端层 | 终端层是指接入园区网络的各种终端设备,例如电脑、打印机、IP话机、手机、摄像头等。 |
| 接入层 | 接入层为用户提供各种接入方式,是终端接入网络的第一层。接入层通常由接入交换机组成,接入层交换机在网络中数量众多,安装位置分散。如果终端层存在无线终端设备,接入层需要无线接入点AP设备,AP设备通过接入交换机接入网络。 |
| 汇聚层 | 汇聚层是接入层与园区核心骨干网之间的网络分界线,主要用于转发用户间的“横向”流量,同时转发到核心层的“纵向”流量。汇聚层可作为部门或区域内部的交换核心,实现与区域或部门专用服务器区的连接。另外汇聚层还可以扩展接入终端的数量。 |
| 核心层 | 核心层是园区数据交换的核心,连接园区网的各个组成部分,如数据中心/网络管理区、汇聚层、出口区等,核心层负责整个园区网络的高速互联。网络需要实现带宽的高利用率和网络故障的快速收敛,通常需要部署高性能的核心交换机,通常三个以上部门规模的园区网建议规划核心层。 |
| 出口网络 | 园区出口是园区内部网络到外部网络的边界,内部用户通过园区出口区接入到外部网络,外部网络的用户通过园区出口区接入到内部网络。园区出口区一般需要部署防火墙。提供边界安全防护能力。 |
| 网络管理区 | 网络管理区是部署运维管理系统的服务器区域。大中型园区网络虚拟化方案中,主要涉及如下系统的部署:
|
物理网络架构分层规划
针对物理网络接入层、汇聚层和核心层的层次结构,在实际应用中,可以根据网络规模或业务需要灵活选择三层或二层架构,如图2-72所示。
涉及一栋楼的园区网络,通常采用二层架构,只需要接入层和汇聚层。涉及多栋楼的大型园区网络(比如高校园区网),通常采用三层架构,需要接入层、汇聚层和核心层。
网络设计时,一般会根据网络规模采用自底向上的方法来确定采用几层架构,设计方法如图2-73所示。
Overlay网络架构设计
Overlay网络架构设计主要是对Fabric组网进行设计。如图2-74所示,Fabric网络根据物理网络层次有两层组网和三层组网。三层架构的Fabric网络的组网类型分为VXLAN到汇聚和VXLAN到接入两种。
分布式网关方案建议在网络规模较大的三层物理组网中部署,如果是网络规模较小的两层组网,推荐采用集中式网关方案,便于Border作为用户网关统一管理、简化运维。而且Fabric组网推荐采用VXLAN到汇聚,如果采用VXLAN到接入,接入交换机作为Edge节点,所有的接入交换机都将作为用户网关,这会大大增加运维管理的工作量。
网络资源规划
VLAN/BD规划
BD资源规划
在VN中,二层广播域基于BD构建。在一个BD内,用户终端可以不受地理位置影响,进行互通。在大中型园区虚拟化方案中,BD资源的规划原则如下:
- BD与用户业务VLAN的对应关系建议为1:1,如图2-75所示。
- 在VN中,每创建一个基于VXLAN的用户网关,就会从Fabric全局的BD资源池中自动顺序调用一个BD资源。BD可不考虑如何划分,而只需关注用户业务VLAN的划分原则即可。
- BD资源池的范围应满足用户业务VLAN规划的数量。
VLAN资源规划
在大中型园区网络虚拟化方案中,虽然基于BD可以构建大二层广播域,但是用户终端还是通过VLAN接入园区网络,VLAN再与BD进行绑定。而且园区网络也需要通过VLAN进行互联。大中型园区网络虚拟化方案遵循传统园区网络VLAN的规划原则,具体如下:
- 按照不同业务区域划分不同的VLAN。
- 同一业务区域按照具体的业务类型划分不同的VLAN。
- VLAN编号建议连续分配,以保证VLAN资源合理利用。
- 建议预留一定数目VLAN以方便后续扩展。
VLAN的分类通常有业务VLAN、管理VLAN和互联VLAN,设计建议如表2-43所示。
| 分类 | 规划建议 |
| 业务VLAN | 通常可以按照逻辑区域、组织结构和业务类型分层划分VLAN范围。
|
| 管理VLAN | 主要用于园区网络设备的管理,针对不同层次及功能区的网络设备,管理VLAN规划如下。
|
| 互联VLAN | 大中型园区网络虚拟化方案中,Underlay网络和Overlay网络都需要使用VLAN互联。
|
IP地址规划
IP地址的规划建议遵循如下原则:
- 唯一性:一个IP网络中不能有两个主机采用相同的IP地址。即使使用MPLS(Multiprotocol Label Switching,多协议标记交换) 或VPN(Virtual Private Network,虚拟专用网)隔离,也建议不同VPN-Instance(VRF)下不要使用相同的IP地址。
- 连续性:同一业务的节点地址要连续,便于路由规划和汇总。连续的地址便于路由聚合,可以减小路由表的大小,加快路由计算和收敛速率。比如,汇聚交换机下接入的网段可能有很多,在规划的时候需要考虑路由聚合,这样可以减少核心网络的路由数。
- 扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时无须新增地址段及路由条目。
- 易维护:设备地址段、各业务地址段清晰区分,易于后续基于地址段实施统计监控、安全防护等策略。好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备。IP地址的规划可以与VLAN的规划对应起来。例如,IP地址的第三个字节与VLAN编号的后三位保持一致,这样可以便于管理员记忆和管理。
- 园区内部的IP地址建议使用私网IP地址,在边缘网络通过NAT转换成公网地址后接入公网。园区网中的DMZ区或Internet互联区有少量设备使用公网IP。
园区网的IP地址主要分为管理IP地址、互联IP地址、业务IP地址和Loopback接口地址,如表2-44所示。
| 分类 | 规划建议 |
| 管理IP地址 | 主要用于和iMaster NCE-Campus互通或者本地登录。建议根据管理VLAN划分原则,同一管理VLAN下的设备采用同一个IP地址段。针对不同层次及功能区的网络设备,管理IP地址规划如下。
|
| 互联IP地址 | 互联地址是指两台网络设备相互连接的接口所需要的地址。互联地址推荐使用30位掩码的地址,核心设备使用较小的地址,互联地址通常要聚合后发布,在规划时要充分考虑使用连续的可聚合地址。大中型园区网络虚拟化方案中,Underlay网络和Overlay网络都需要使用IP地址互联。
|
| 业务IP地址 | 业务地址是服务器、业务终端以及网关的地址。网关地址推荐统一使用相同的末位数字,如:.254都是表示网关。各业务地址范围要清晰区分,每一类业务终端地址连续、可聚合。考虑广播域范围及规划的简易程度,建议为每个业务地址段预留掩码为24位的地址段,如果业务终端超出200,再为其顺延一个掩码为24位的地址段。 |
| Loopback接口地址 | Loopback接口的IP地址被指定为报文的源地址,可以提高网络可靠性。大中型园区网络虚拟化方案采用的VXLAN技术,其控制面通过BGP EVPN进行交互,需要使用Loopback接口在VXLAN隧道端点Border/Edge间建立BGP对等体。 |
DHCP规划
大中型园区网络虚拟化方案中,主要在开局管理子网设计和VN内用户子网设计时,需要用到DHCP功能,如图2-76所示。
管理子网的DHCP规划
大中型园区由于核心层以下设备数量较多,在开局部署时,建议规划专门用于设备管理地址分配的DHCP服务器。管理子网的DHCP规划如下。
- 建议核心交换机作为管理子网的DHCP服务器,在管理子网网关接口上配置地址池。
- 配置DHCP Option 148选项中携带iMaster NCE-Campus地址信息。
- 如果该管理子网网关接口同时作为AP的管理子网网关接口,建议配置DHCP Option 43选项中携带WAC地址信息。
用户子网的DHCP规划
大中型园区建议规划独立的DHCP服务器,对用户终端进行IP地址分配。用户子网的DHCP规划建议如下:
- 建议整个园区规划一个DHCP服务器来简化运维。
- 大中型园区DHCP服务器和园区主机通常不在同一个网段,建议用户网关开启DHCP中继功能。
- 建议在用户网关对应的BD内配置DHCP Snooping,能够保证用户终端从合法的DHCP服务器获取IP地址,避免被非法攻击。另外,采用DHCP Option方式的终端识别功能,也需要配置DHCP Snooping。
- DHCP提供的动态IP地址分配,需要根据用户终端在线时间合理规划租期,大中型园区场景中的办公区在线时间长,需要规划较长的租期。
如果需要为指定用户终端分配固定的IP地址,不通过DHCP动态分配,DHCP地址池规划时,需要将静态配置的IP地址过滤掉,避免预留IP地址被分配。
路由协议规划
大中型园区虚拟化方案中,Underlay与Overlay都需要部署路由协议,实现不同的三层互通需求,如图2-77所示。表2-45列出了Underlay与Overlay需要部署路由协议的主要场景,以及具体的规划说明。
