2023
软考专家-任铄的个人空间-软考专家-任铄个人主页-哔哩哔哩视频
华为数据中心网络设计指南
https://support.huawei.com/enterprise/zh/doc/EDOC1100023543/4e8ed1d3#ZH-CN_TOPIC_0085938736
https://zhuanlan.zhihu.com/p/579502998
试题:企业与多分支机构的广域网互联,通常采用MPLS(多协议标签交换)技术,网络层的数据包可以基于多种物理媒介进行传送,如ATM、帧中继、租赁专线/PPP等。随着5G、Al、物联网等新兴技术与企业云的广泛应用,一种新的网络技术SD-WAN(软件定义广域网络)将企业的分支、总部和企业云互联起来,在不同混合链路(MPLS、Internet、5G、LTE 等)之间选择最优的链路进行传输,提供优质的网络体验。通过部署SD-WAN提高了企业分支网络的可靠性、灵活性和运维效率,确保分支网络一直在线,保证业务的连续和稳定。
1、针对传统WAN技术的难点和痛点,详细叙述SD-WAN技术在企业网络中能够解决的哪些问题。
2、详细叙述你参与设计和实施的大中型网络项目中采用的SD-WAN方案。
3、分析和评估你所采用的SD-WAN方案的效果以及相关的改进措施。
随着随着5G、Al、物联网等新兴技术的发展,为WAN带来更多的发展机遇,同时在商业和技术上,给传统WAN提出更大的挑战。本人在某大型集团公司信息中心工作,集团公司目前在全国各地有40多家分支机构,主要采用基于MPLS 等网络的WAN技术来解决视频会议、协同办公、财务支付等工作。近年来,随着市场环境变化、分支机构变更、业务规模扩展等,现有的WAN技术越来越不能满足当前的业务发展需要。集团公司领导决定于2021年6月份起,对全集团的WAN网络进行改造,以降本增效。本人作为信息中心负责人,负责本次工程的立项、交付、验收等全过程管理。
我司总部位于深圳,技术研发中心位于北京,财务支付中心位于上海,同时在全国30多个省市,以及经济发达的副省级城市设有分支机构。集团目前在用的传统WAN解决方案,主要存在如下问题:
一是MPLS等专线成本高,在当前疫情情况下,对公司成本造成压力。二是管理运维复杂,分支机构设备厂家、型号都不一致,无法统一配置、纳管、维护。三是分支机构调整、新增时,网络层级进行调整,传统WAN部署时间较长。四是传统WAN结构比较封闭,云上互联较为困难。
构建安全、稳定的IT基础设施是支撑企业数字化转型的关键,网络技术选型尤为重要。经过反复论证,我们选择了SD-WAN,即即软件定制广域网。SD-WAN将SDN技术定制到广域网场景,增加了基于OpenFlow 协议的SDN控制器,作为网络的控制平面,负责控制流量,实现可编程的智能网络。在网络末端新增CPE接入网关,提供MPLS、互联网等混合链路,提高网络接入的多样性。
SD-WAN技术解决方案拥有"相比专线成本更低、即插即用部署、流量可视集中管理、智能选路应用加速"四大优势。在企业级网络中,SD-WAN能解决以下问题:
一是支持连接云。企业云化,要求企业 WAN 连接各种云资源。云资源在企业 WAN 网络里可以抽象成一个云站点。云站点需要一个虚拟网关设备来连接企业的分支和公有云。该虚拟网关设备建立在云端,且需要快速创建。SD-WAN 的网络控制器能远程调度公有云 API 和资源,将云端的设备自动拉起,快速打通公有云和分支之间的网络。
二是降低互联成本。近些年来,互联网的覆盖范围和网络性能不断提升,其网络质量与传统专线的差距越来越小,互联网也成为了企业 WAN 互联的新选择。SD-WAN 支持混合 WAN,既允许企业选择运营商提供的 MPLS 专线进行 WAN 分支互联,也允许企业选择互联网进行 WAN 分支互联。因此,SD-WAN 能有效降低企业 WAN 的部署成本。
三是提升应用体验。混合 WAN 的引入使得企业有多种 WAN 链路供选择。不同的 WAN 链路具备不同的网络质量,比如,MPLS 专线价格高,但是链路质量有保证;互联网虽然可以承载大带宽的应用,但时延较大、丢包也相对严重。SD-WAN 支持基于应用选路,让高价值应用优先通过高质量的 WAN 链路传输,从而有效地提升应用体验。
四是快速上线新业务。传统WAN专线方式,业务首次开通速度慢,无法满足业务快速上线的诉求。SD-WAN 支持设备即插即用,能快速开通新分支的网络,支撑业务上线。SD-WAN的即插即用特性使分支网络的开通时间减少至数小时,大大提升了站点网络业务的交付能力。
五是提升运维效率。由于企业分支数量多、地域分布广泛,企业 WAN 急需一个集中的管控和运维系统来提升效率。在集中管控方面,SD-WAN 能远程管理分支站点设备、支持零配置开局、支持集中策略发放等。在运维方面,SD-WAN 支持可视化运维、智能运维、实时监控告警和日志信息,大大提升了运维效率。
与传统的广域网相比,SD-WAN无论从业务开通、维护,还是业务接入的灵活性,复杂场景的适应性,都有了质的飞跃。
目前,三大运营商均推出了SD-WAN智选专线业务,华为、中兴等电信设备商,阿里、腾讯云、网宿等互联网厂商也提出了相应软硬件解决方案。鉴于各分支机构都是采用运营商线路,并且分支机构当地都有运营商分公司,因此我们最终选择了与某运营商合作,软硬件解决方案采用华为公司方案。
由于公司网络扁平化,结构比较简单。因此,在集团总部部署一套SDN控制器,各分支机构部署CPE设备。末端CPE设备采取邮件开局的方式,网络管理员将开局邮件发送到指定邮箱,开通人员在收到开局邮件后,通过点击邮件中的 URL,设备自动完成开通部署。这种开通方式,不需要技术人员到现场开通,由于技术水平要求不高,当地机构人员就可以轻松完成开通工作,节省了大量的人工成本。
网络管理员通过SDN控制器,可以对CPE进行配置,也可以下发虚拟防火墙,虚拟广域网优化控制器功能至CPE,实现相应功能,无需专门购买防火墙等硬件,满足财务支付中心等对网络安全的需要。同时,CPE还能连接到私有云平台上,满足研发平台部署在云上的需求。
末端CPE具有多种接口,支持MPLS、xDSL、PON光纤宽带、4G LTE,以及5G等多种连接类型,并支持多种接口绑定,构建接口资源池,从而实现主备线路选路,流量负载均衡等功能,能够最大程度的保证已有投资。
对于公司来说,针对业务级别不同,还可以自主选择线路类型。比如,视频会议,对网络质量要求比较高,就把优先级和QoS设得高一点,使用MV网。办公网络,可以把网络质量设置得低一点,使用互联网等。根据测算,同比例带宽情况下,SD-WAN相较MV,每年至少可节省30%的网络成本。
整个项目历经2个月时间,经过前期需求规划、设备备货、工程实施,最终通过各使用部门的验收,公司在使用SD-WAN后运营成本降低了38%、实施效率提高了59%、应用延迟降低了45%、减少了94%意外停机时间,受到了公司领导的一致好评。
通过此次网络改造项目,成功实现了集团公司将本增效的目的,简化了运维工作,为业务的发展提供了良好的网络环境。鉴于5G网络深度覆盖不够,所有的CPE设备本次均没有配置5G无线板卡,即当某运营商网络全阻时,无法提供异网应急备份链路。因此,将在二期工程中对此予以完善。另外,还需要加强对信息中心员工的新技术培训,提高网络维护能力。
https://zhuanlan.zhihu.com/p/579502998
单核心局域网络核心交机 设备故障容易产生单点故障 导致整网失效 本次通过设置双重核心交换机来满足网络的可靠性要求,
上下行采用Eth-Trunk,
接入层交换机以单点接入汇聚层交换机,可靠性不高。 接入层采用环网接入+虚拟网关的组网方式。
接入层每一台交换机分别连接两台汇聚层交换机,形成双节点结构,使核心交换机、接入层交换机都在环网上。
Eth-Trunk采用链路聚合技术,可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,链路聚合接口的最大带宽可以达到各成员接口带宽之和。达到增加链路带宽的目的。
Eth-Trunk采用备份链路的机制,当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,可以有效的提高设备之间链路的可靠性。
- 负载分担 在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。
使用冗余链路提高网络可靠性, 但是这也带来了网络环路的问题。网络环路会引发广播风暴和MAC地址表振荡等问题,导致用户通信质量差,甚至通信中断。
为了解决环路问题,引入stp协议
stp协议包括
生成树协议STP 、快速生成树协议RSTP 、多生成树协议MSTP 。
RSTP在STP基础上进行了改进,可实现网络拓扑的快速收敛。
STP和RSTP不能按VLAN阻塞冗余链路,局域网内所有的VLAN共享一棵生成树,所有VLAN的报文都沿着一棵生成树进行转发,
因此无法在VLAN间实现流量的负载分担;
同时,链路被阻塞后将不承载任何流量,造成带宽浪费,还有可能造成部分VLAN的报文无法转发。
MSTP弥补了STP和RSTP的缺陷,兼容STP和RSTP,既可以快速收敛,又提供了数据转发的多个路径,在数据转发过程中实现VLAN数据的负载均衡。
核心、汇聚、接入设备上线后,使能MSTP破环,配置核心设备STP优先级4096、汇聚设备STP优先级8192。
MSTP 阻塞了二层网络中的冗余链路,将网络修剪成树状,达到消除环路与防止网络广播风暴的目的。
考虑到业务的可靠性,部署 vrrp 路由层面可以实现无缝热切换 ,在一条上行链路断开的时候,流量能切换到另外一条上行链路转发。
为保障网络的稳定性、可靠性、流畅性, 企业 选择多运营商接入互联网,既能够实现互相的冗余,又能够根据不同的流量进行负载分担,对不同运营商数据中心的访问,可以实现智能选路。
例如访问电信的数据中心流量从电信出口,访问联通数据中心的流量从联通的出口出。
数字化转型也对企业的可持续发展产生了巨大影响。
随着数字化能力全面在企业场景落地,当前企业面临数字化转型与升级的加速 。网络支撑大量智能应用 是企业数字化转型的基石。
随着BYOD移动办公、物联网、SDN软件定义网络、云计算、大数据以及人工智能等概念的持续升温。
新技术、新应用层出不穷,
这些应用和业务进入企业园区,给传统园区网络带来了很多挑战。
接入终端及业务多样化,需要融合承载的园区网络
传统园区网络的有线、Wi-Fi及IoT等业务各自独立规划设计,独立部署,运维管理工作量也大。网络总体建设成本高;
传统模式下,网络部署需要手工通过命令行或Web管理等方式,逐台配置设备,对于规模较大的园区,手工重复工作量大,配置繁琐;
新业务上线需要新增专用业务网络,周期长,成本高。
面向用户和业务的策略部署,传统的通过VLAN+ACL进行策略管理的方式,
需要手工配置策略网络部署效率低下。
应用和业务激增带来了策略复杂 部署困难,网络自动化成为普遍需求
传统运维模式下,网管只能监控网络KPI,无法感知用户体验,IT人员无法第一时间感知业务故障;
故障发生后更多是依赖专业人员的运维经验判定业务故障原因,故障无法快速定位;
网络指标劣化后,需要由IT人员借助网管评估网络状况,做出针对性的优化策略并部署,网络无法实现自主优化。
传统的单点被动防御的安全防御体系, 只能对网络设备或者安全设备单独调度,在威胁发生时只能各自为战 ;
一旦威胁突破安全边界,很容易在企业内网泛滥而难以控制。
在面临"伪装"的灰色流量进行检测时,威胁检出率低,漏报率高。
在网络的接入层部署认证,有利于实现权限的细颗粒度管理和网络的高安全性
当用户认证点从接入层上移到汇聚层和核心层之后,认证点的数量大大减少,可以有效缓解AAA服务器的压力
将用户认证点设置在接入层相比较将其设置在汇聚层或者核心层各有优缺点,可采用策略联动作为解决方案
A、虚拟化园区方案使用VXLAN技术采用MAC in UDP的封装方式在传统的IP网络上虚拟出一层逻辑网络
D、 Underlay同络实现IP可达性,使经过VXLAN封装后的业务报文在VTEP节点之间互通
答案:C
解析: C选项、因为iMaster NCE-Campus实现underlay网络路由域自动编排时支持仅支持OSPF路由协议,并且支持路由协议的多区域部署。
5G承载网
应用入侵防范
部署Web应用防火墙对应用系统的HTTP/HTTPS流量进行分析,防护以Web应用程序漏洞为主要目标的攻击。
2016年6月,我作为某集团公司公司的信息中心负责人,
全程参与了公司IT基础设施升级建设项目的 规划设计、工程招标、项目实施和测试验收。
该项目工期12个月,项目投资2000万元,
我们主要从 服务器、存储、 网络和安全系统4个方面进行了 升级改造.
项目目标是为我公司提供一整套完整的具备
可靠性、安全性、先进性、可用性、 可维护性 可扩充性、以及兼容性的数据中心系统架构。
本文从企业数字化转型所需的IT基础设施升级建设的背景出发,
简要分析传统三层网络架构与大二层网络架构与主要技术对比,
详细描述了大二层网络架构,
对企业数字化转型建设方案中的重点进行介绍,
同时对企业数字化转型后 虚拟化环境下运维管理中存在的问题进行讨论,为数字化转型中IT基础设施的建设提供可供参考的经验和思考。
我所在的集团公司是一家业务范围横跨化工、化纤、建材和新材料等领域,
集研发、制造、采购、供应、销服于一体的传统制造型企业。
十三五"以来, 陆续上线了HR系统、OA系统、全面预算系统、国企在线监管系统 实施了ERP优化及推广等信息化项目,
信息'化已经成为公司集约化管理、集团化运作的常规和必要手段.
随着BYOD移动办公、物联网、 SDN软件定义网络、云计算、大数据以及人工智能等概念的持续升温,
新技术、新应用层出不穷,
这些应用和业务进入企业园区,给传统园区网络带来了很多挑战。
接入终端及业务多样化,需要融合承载的园区网络
传统园区网络的有线、Wi-Fi及IoT等业务各自独立规划部署设计,独立部署管理,网络总体建设成本高;网络管理、运维工作量也大。
传统模式下,网络部署需要手工通过命令行或Web管理等方式,逐台配置设备,对于规模较大的园区,手工重复工作量大,配置繁琐;
新业务上线需要新增专用业务网络,周期长,成本高。
传统的通过VLAN+ACL进行策略管理的方式,网络部署效率低下,且需要手工配置策略,维护工作量大 。
传统运维模式下,网管只能监控网络KPI,无法感知用户体验,IT人员无法第一时间感知业务故障;
故障发生后更多是依赖专业人员的运维经验判定业务故障原因,故障无法快速定位;
网络指标劣化后,需要由IT人员借助网管评估网络状况,做出针对性的优化策略并部署,网络无法实现自主优化。
新型未知威胁从"入侵"到"内部扩散",边界防御方案捉襟见肘
据统计全球每天诞生超过百万全新的恶意软件。 传统安全防御手段只能对网络设备或者安全设备单独调度,一旦威胁突破安全边界,很容易在企业内网泛滥而难以控制。
随着网络建设到了一定规模,日益复杂的网络架构,给企业带来了前所未有的运维难度。对制造业发展而言,数字化转型已不是"选择题,而是关乎生存和长远发展的"必修课"
我公司为响应党的号召, 落实党中央决策部署,推动数字化转型发展
针对老系统面对的问题及现阶段同行业的虚拟化网络升级趋势, 进行了网络升级项目的建设
本次网络升级改造项目我们携手华为建设高品质万兆园区网络, 园区网络解决方案基于智简网络意图驱动的理念,在云和SDN基础上,引入大数据分析和人工智能等技术,帮助企业构建一张超宽、极简、智能、安全和开放的网络。
园区网络网络架构 分为网络层、管理层和应用层。
- 网络层
引入虚拟化技术,把网络层分为物理网络和虚拟网络。
-
- 物理网络:又称为Underlay网络,为园区网络提供基础连接服务。为了适应多类型终端的接入需求,物理网络提供统一的三网融合接入能力,可以同时接入有线终端、无线终端和IoT(Internet of Things,物联网)终端。
- 虚拟化网络:又称为Overlay网络,通过虚拟化技术,在物理网络上构建出一张或者多张虚拟的Overlay网络,业务策略被部署在虚拟化网络上,与物理网络脱离,从而将业务的复杂度和网络的复杂度相互解耦。虚拟网络可以有多张,服务于不同的业务,或者服务于不同的客户群。
- 管理层
管理层为网络提供配置管理,业务管理,维护和故障检测、安全威胁分析等管理能力。传统园区网络中,使用网管系统进行网络管理,网管系统虽然能够呈现网络状态,但是缺乏灵活性和自动化能力。如果业务需求发生变动,需要管理员对业务进行规划,然后手工重新修改相应网络设备(路由器、交换机、防火墙)上的配置。这种手工调整的方式效率低且容易出错。在快速变化的业务环境下,网络的灵活性非常关键,需要有自动化的工具来协助管理网络和业务。CloudCampus采用iMaster NCE-Campus实现网络和业务的自动发放。
iMaster NCE-Campus实现了对设备、应用的抽象,允许应用通过编排、调用抽象模型,快速实现应用的开发和自动部署。通过iMaster NCE-Campus,网络管理员面对的不再是独立的若干个设备(例如:交换机、路由器、AP等)和设备上的离散的配置(例如访问控制策略、QoS策略、路由策略),而是对外呈现出完整的网络概念。
- 应用层
高品质万兆园区网络解决方案基于iMaster NCE-Campus提供了标准化接口,通过开放API接口将网络识别的用户身份、网络资源、业务质量、网络中的位置信息、网络拓扑等多种信息,对上层业务开放,通过这些标准化的开放接口,第三方可以根据自身业务需求量身定制业务创新应用,满足业务需求。
Underlay网络架构设计
园区网络虚拟化方案的物理组网继承传统大中型园区的网络规划,通常采用核心层为"根"的树形网络架构,拓扑稳定,易于扩展和维护。 ,园区网络可划分为接入层、汇聚层、核心层,以及各个功能分区,各功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位。
接入层为用户提供各种接入方式,是终端接入网络的第一层。 如果终端层存在无线终端设备,接入层需要无线接入点AP设备,AP设备通过接入交换机接入网络。极简全光园区三层组网,接入交换机作为中心交换机部署,管理下挂远端模块。
汇聚层是接入层与园区核心骨干网之间的网络分界线,主要用于转发用户间的"横向"流量,同时转发到核心层的"纵向"流量。汇聚层可作为部门或区域内部的交换核心,实现与区域或部门专用服务器区的连接。
核心层是园区数据交换的核心,连接园区网的各个组成部分,如数据中心/网络管理区、汇聚层、出口区等,核心层负责整个园区网络的高速互联。
改造前单核心局域网络核心交机 设备故障容易产生单点故障 导致整网失效 本次通过设置双重核心交换机来满足网络的可靠性要求,
上下行采用Eth-Trunk,
接入层交换机以单点接入汇聚层交换机,可靠性不高。 接入层采用环网接入+虚拟网关的组网方式。
接入层每一台交换机分别连接两台汇聚层交换机,形成双节点结构,使核心交换机、接入层交换机都在环网上。
Eth-Trunk采用链路聚合技术,可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,链路聚合接口的最大带宽可以达到各成员接口带宽之和。达到增加链路带宽的目的。
Eth-Trunk采用备份链路的机制,当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,可以有效的提高设备之间链路的可靠性。
- 负载分担 在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。
使用冗余链路提高网络可靠性, 但是这也带来了网络环路的问题。网络环路会引发广播风暴和MAC地址表振荡等问题,导致用户通信质量差,甚至通信中断。
为了解决环路问题,引入stp协议
stp协议包括
生成树协议STP 、快速生成树协议RSTP 、多生成树协议MSTP 。
RSTP在STP基础上进行了改进,可实现网络拓扑的快速收敛。
数字化的兴起,是21世纪以来经济社会发展的一个突出特征。
党的二十大报告明确指出,要加快建设数字中国,发展数字经济,促进数字经济和实体经济深度融合。
2023年初,中共中央、国务院印发《数字中国建设整体布局规划》,这是党的二十大后中央在数字化发展领域作出的最新擘画
CloudCampus的三种部署模式
本地部署 客户购买控制器 自己运营 软件永久license sns
,将软件补丁、软件升级(含升级版本的新特性)、远程支持等打包在一起组成SnS年费
msp自建云部署 msp 购买控制器 msp运营 软件交易模式 TBL 订阅
华为公有云 不卖控制器 华为运营 软件交易模式 saas
RD的作用是使路由前缀唯一化
PE从CE接收到IPv4路由后,给IPv4的路由增加RD转换为全局唯一的VPN-IPv4路由
在同一PE设备上,不同的VPN实例确实需要不同的RD值,但RD值在全局范围内需要唯一,而不仅限于单一PE设备。
控制路由信息发布的通常是RT(路由目标)。
Underlay和Fabric
Underlay网络
Fabric网络
Underlay网络是整个园区虚拟网络的"底座",是由物理网络设
备建立的物理组网,为园区内所有业务提供互联互通能力。
园区Fabric是一个物理网络设备抽象后的网络资源池, Fabric将
Underlay网络资源池化,以便实现"一网多用"。
Fabric的信息主要包含如下:
可表现为多层架构(核心、汇聚及接入层)
终端接入的Overlay网络资源池(BD-ID、VNI)
可表现为多种拓扑(树状、环状、网状等)
终端接入的VLAN ID池
Underlay信息主要包含设备互联VLAN、IP地址及IGP
终端的接入点池(交换机端口或SSID,即有线或无线接入)等
这些资源池可用于创建多个虚拟网络。
Overlay是一个基于物理网络、采用隧道技术且实现了转发面和控制面分离的逻辑网
络。
非独立组网方式是4G向5G过渡的一种方案,独立组网是一种全新的组网方式,核心网和终端都采用5G标准,是端到端的5G
网络架构 ,
采用了软件定义网络、网络切片、网络虚拟化以及边缘计算等新技术,以满足各种新的业务场景需求。建设5G虚拟教育专网
需要使用独立组网方式。
5G切片与5G网络都是端到端的,但5G切片网络具备定制性和专用性,可以为某个特殊场景提供通信网络,为某些终端提供专用网络。
引入切片后,一张物理网络可以根据用户需求从逻辑层面划分为不同的专用网络,从而可以实现资源隔离和网络复用。
每个切片所构成的虚拟网络都可以用户提供不同方面的能力。
例如,远程校企协作实训对于低时延要求特别高,那么可以创建低时延切片;
而有些高密场景需要的是大带宽,那么就可以创建大带宽切片。
此外.可以根据校园的规模及应用特性,定制低时延、均衡的一个切片,形成在大移动边缘计算(mobile edgecomputing. MEC),
是一个在移动网络边缘运行特定任务的云服务器.
MEC是一个资源池,把5G与MEC进行结合,把各种服务部署到MEC中,在靠近MEC的位置部署5G的用户面功能(user plane function.UPF)。
在5G核心网的控制下,在UPF上对终端要访问的业务进行分流,
如果UPF识别到业务流是访问MEC的,就把这些数据分流转发到MEC上,如果UPF发现终端访问的是专网外的,则不做分流,继续转发到大网上去
这个分流功能是5G网络专门为MEC这类场景设计的。
学校将主要业务平台部署到MEC平台上,可直接实现就近访问,这样更能发挥5G网络低时延的优势。
移动终端访问MEC上的应用的时候,终端与应用之间的数据交互不需要出学校的专网,数据更安全。
DHCP Snooping:在交换机上启用DHCP Snooping功能,只允许来自可信端口的DHCP报文通过,从而防止恶意DHCP服务器的攻击。
- IP Source Guard:结合DHCP Snooping使用,通过绑定IP地址和端口来确保只有合法的设备才能使用分配的IP地址。
我集团公司老信息化硬件平台于2016年底建成并投入使用,数据中心 承载 公司办公系统等内部业务系统,供总部及全国多个分部使用。
我公司业务系统比较先进,但其原有基础架构呈"烟囱式",多个核心业务系统是分开部署的。
随着业务类型和业务规模的持续增加,
这种传统架构的不足更为明显,不仅运维复杂,且升级扩展困难,无法很好地满足业务需求。严重影响了业务上线速度,
当前落后的IT基础设施 已严重制约数字化转型发展
对制造业发展而言,数字化转型已不是"选择题,而是关乎生存和长远发展的"必修课"
我公司为响应党的号召, 落实党中央决策部署,推动数字化转型发展
针对老系统面对的问题及现阶段同行业的数字化转型所需的IT基础设施升级趋势, 进行了IT基础设施升级项目的建设
服务器解决方案
集团公司数据中心现有的服务器以浪潮 联想的机架服务器为主,
各服务器运行单独的业务系统,造成服务器利用率低且运维节点繁杂,不利于管理人员维护,
且一旦系统遇到性能瓶颈,需要升级硬件平台时,就要面临系统停机,业务中断,针对以上问题,
公司 选择了 华为Tecal E9000 融合架构 刀片服务器 解决方案
华为Tecal E9000刀片服务器机箱高12U,支持交直流供电,
可容纳16个半宽刀片服务器或8 个全宽刀片服务器,
可扩展4个华为CX系列交换模块,
卓越的性能 、便捷的管理 具有灵活的扩展性 高能效。
能帮助公司以统一的资源池化平台高效支撑业务需要,包括CRM、OA、企业邮箱等多个核心业务系统.
同时配合基于OpenStack开放架构的FusionSphere云操作系统,
可提供强大的虚拟化功能和资源池管理,丰富的云基础服务组件和工具,开放的API接口等,
可以帮助 公司水平整合数据中心物理和虚拟资源,垂直优化业务平台。
存储解决方案
数字经济时代,数据作为新型的生产要素,已经成为基础性资源和战略性资源,
数据应用蓬勃发展,需要 安全、可靠的数据设施 保驾护航。
集团现有存储设备在最初上线时其存储空间已经基本规划分配完毕,现在已经没有足够的空间留给新的业务系统,
鉴于核心ERP生产系统数据存储重要性的要求,
本次项目采用华为OceanStor Dorado 18000 作为本次数据中心方案的核心存储设备,
华为OceanStor Dorado 18000 是面向企业核心业务打造的高性能和可靠性的高端存储产品。
华为OceanStor Dorado 18000存储系统基于融合理念,兼具SAN和NAS一体化、多控、双活等能力,可满足云时代A公司对存储系统更高性能、更低时延、更加弹性的要求。
采用全新一代的硬件平台和极致稳定的SmartMatrix全互联架构,可容忍8个控制器中的7个发生故障,
业务不中断,保障核心业务持续在线;
全闪存数据中心方案,凭借其高可用、高可靠、 高性能、高安全等特性,极大地缩减数据中心空间和能耗上的开支。
经测算,在相同的容量下,SSD的电力能耗降低70%,空间占用节省50%,其大幅降低数据中心的TCO总成本。
这也将切实有效地引领数据中心迈向"碳中和"。
最后通过OceanStor 3664SNS 的32GB高性能光纤交换机,组成的SAN链路直接接入Tecal E9000刀箱,为虚拟化系统和erp应用系统提供高速共享数据存储,实现高IO吞吐,低延迟的高质量存储网络。
自然灾害严重威胁数据的安全,为增强业务应用系统、重要数据的可用性,抵御灾难发生时带来的风险
针对数据中心备份系统遇到的问题,根据主流备份技术的不断更新,
本次项目采用 华为虚拟带库作为备份系统的核心设备,替换集团现有的传统磁带库备份方式,,
提高备份性能 缩短备份窗口时间, 增加数据保护的能力。
虚拟带库同时支持FC和Ethernet两种协议,可以同时对FC链路的虚拟化平台服务器集群、SAP应用服务器集群以及Ethernet链路的 服务器集群进行数据备份,
作为备份系统的一部分,内蒙子公司 同样会部署一套华为虚拟带库作为异地灾备系统,
通过集团内部网络专线把备份数据流通过华为的压缩去重技术快速的传往内蒙子公司进行灾备,
华为的压缩去重技术降低了备份带宽的同时,提高了备份设备的空间利用率,节省了成本。
为保障关键数据安全, 在本地数据中心与异地灾备中心之间建立GRE隧道,使用IPSec协议实现备份数据的加密传输,
网络解决方案
虚拟机在不同的物理服务器之间迁移,且要保持IP地址不变、TCP连接不中断。因此,虚拟机动态迁移只能在同一个二层网络内运行,而不能跨二层迁移。
这种特性,带来了云数据中心网络结构的巨大变化,东西流量逐渐超过南北流量,由此催生了扁平化的大二层网络模型
数据中心由于服务器虚拟化,且虚拟机迁移需要二层网络环境,
传统网络接入、汇聚、核心三层架构,网关部署在汇聚层交换机,无法实现虚拟机迁移。
首先在接入层使用了华为iStack横向虚拟化技术,将4台华为5730 万兆接入交换机,虚拟成1台,
通过横向虚拟化技术,替代传统VRRP+MSTP组网,能有效简化网络管理,同时避免阻塞端口,让所有链路都能利用起来,提升网络性能。
通过传统IP技术构建underlay网络后,还要实现租户隔离,项目通过VXLAN技术,构建overlay网络,
并结合SDN技术,平滑对接云平台,将网络资源也虚拟成资源池,可以为租户动态、灵活、快速,并且图形化的方式进行网络资源分配。
单核心局域网络核心交机 设备故障容易产生单点故障 导致整网失效 本次通过设置双重核心交换机来满足网络的可靠性要求,
上下行采用Eth-Trunk,
接入层交换机以单点接入汇聚层交换机,可靠性不高。 接入层采用环网接入+虚拟网关的组网方式。
接入层每一台交换机分别连接两台汇聚层交换机,形成双节点结构,使核心交换机、接入层交换机都在环网上。
Eth-Trunk采用链路聚合技术,可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,链路聚合接口的最大带宽可以达到各成员接口带宽之和。达到增加链路带宽的目的。
Eth-Trunk采用备份链路的机制,当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,可以有效的提高设备之间链路的可靠性。
- 负载分担 在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。
使用冗余链路提高网络可靠性, 但是这也带来了网络环路的问题。网络环路会引发广播风暴和MAC地址表振荡等问题,导致用户通信质量差,甚至通信中断。
为了解决环路问题,引入stp协议
stp协议包括
生成树协议STP 、快速生成树协议RSTP 、多生成树协议MSTP 。
RSTP在STP基础上进行了改进,可实现网络拓扑的快速收敛。
STP和RSTP不能按VLAN阻塞冗余链路,局域网内所有的VLAN共享一棵生成树,所有VLAN的报文都沿着一棵生成树进行转发,
因此无法在VLAN间实现流量的负载分担;
同时,链路被阻塞后将不承载任何流量,造成带宽浪费,还有可能造成部分VLAN的报文无法转发。
MSTP弥补了STP和RSTP的缺陷,兼容STP和RSTP,既可以快速收敛,又提供了数据转发的多个路径,在数据转发过程中实现VLAN数据的负载均衡。
核心、汇聚、接入设备上线后,使能MSTP破环,配置核心设备STP优先级4096、汇聚设备STP优先级8192。
MSTP 阻塞了二层网络中的冗余链路,将网络修剪成树状,达到消除环路与防止网络广播风暴的目的。
考虑到业务的可靠性,部署 vrrp 路由层面可以实现无缝热切换 ,在一条上行链路断开的时候,流量能切换到另外一条上行链路转发。
为保障网络的稳定性、可靠性、流畅性, 企业 选择多运营商接入互联网,既能够实现互相的冗余,又能够根据不同的流量进行负载分担,对不同运营商数据中心的访问,可以实现智能选路。
例如访问电信的数据中心流量从电信出口,访问联通数据中心的流量从联通的出口出。
分支机构 采用Internet和专线双链路,对于安全性和链路质量要求高的业务(如生产业务)优先走专线,Internet做备份链路;
对于链路质量或安全性要求不高的业务(如办公及视频业务)优先走Internet,专线做备份链路;
通过Internet分担MPLS的流量压力,同时互为备份提高可靠性。
MST域的域名、实例和VLAN的映射关系、MST域的修订级别都相同时,这两台设备属于同一个MST域。
MST域RG1内,分别配置MSTI1、MSTI2的根桥和备份根桥。
配置实例MSTI1和MSTI2中将要被阻塞端口的路径开销值大于缺省值。
创建VRRP备份组1和VRRP备份组2,在备份组1中,配置DeviceA为Master设备,DeviceB为Backup设备
配置DeviceA的优先级为120,抢占延时为20秒,作为Master设备。 DeviceB的默认 缺省值是100为100,作为Backup设备。
Master设备在备份组中的优先级,取值范围是0~255。
0表示设备停止参与VRRP备份组,用来使备份设备尽快成为Master设备,而不必等到计时器超时;
255则保留给IP地址拥有者。缺省值是100。
,优先级越大,路由器越有可能成为Master
可靠性设计
- 设备级可靠性
- 交换机可靠性设计
- WAC可靠性设计
- 防火墙可靠性设计
- 链路级可靠性
stp instance 1 root primary
stp instance 2 root secondary
stp bpdu-protection
stp pathcost-standard legacy
stp region-configuration
region-name RG1
instance 1 vlan 2
instance 2 vlan 3
interface Vlanif2
ip address 10.1.2.102 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.2.100
vrrp vrid 1 priority 120
vrrp vrid 1 preempt timer delay 20
核心层
核心使用CSS集群组网,上下行采用Eth-Trunk,
汇聚层
接入层 汇聚交换机采用iStack堆叠,接入层 汇聚交换机之间采用Eth-Trunk,构建高可靠、无环的网络。iStack虚拟化成为一台逻辑上的设备,端口数量充足,简化了管理。
使用Eth-Trunk和汇聚层互联,逻辑上网络结构简单,不再需要使用STP、VRRP。具有高可靠性、高上行带宽、快速收敛的
stp instance 1 root primary stp instance 2 root secondary stp bpdu-protection stp pathcost-standard legacy # stp region-configuration region-name RG1 instance 1 vlan 2 instance 2 vlan 3
interface Vlanif2 ip address 10.1.2.102 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.2.100 vrrp vrid 1 priority 120 vrrp vrid 1 preempt timer delay 20
由于接入备份的需要,用户部署了冗余链路。冗余备份链路的存在导致出现环网,可能会引起广播风暴和MAC地址表项被破坏。用户希望在存在冗余备份链路的同时消除网络中的环路,在一条上行链路断开的时候,流量能切换到另外一条上行链路转发,还能合理利用网络带宽。
此时可以在网络中部署MSTP解决环路问题。同时在DeviceA和DeviceB上配置VRRP,HostA以DeviceA为默认网关接入Internet,DeviceB作为备份网关;HostB以DeviceB为默认网关接入Internet,DeviceA作为备份网关,以实现可靠性及流量的负载分担。
接入层交换机启用STP生成树协议、MSTP多区域生成树协议来解决以太网环路,防止网络广播风暴。
保障应用不中断
考虑到业务的可靠性,部署采用vrrp 路由层面可以实现无缝热切换 ,在一条上行链路断开的时候,流量能切换到另外一条上行链路转发。
避免冗余备份链路导致的环网问题,消除网络中的环路。
数据中心由于服务器虚拟化,且虚拟机迁移需要二层网络环境,传统网络接入、汇聚、核心三层架构,网关部署在汇聚层交换机,无法实现虚拟机迁移。
Eth-Trunk采用链路聚合技术,可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,链路聚合接口的最大带宽可以达到各成员接口带宽之和。达到增加链路带宽的目的。
Eth-Trunk采用备份链路的机制,当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,可以有效的提高设备之间链路的可靠性。
- 负载分担 在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。
在接入层使用了华为iStack横向虚拟化技术,将4台华为5730 万兆接入交换机,虚拟成1台, 采用vrrp 路由层面可以实现无缝热切换 保障应用不中断
原先接入层交换机以单点接入汇聚层,可靠性不高。 接入层每一台交换机分别连接两台核心聚交换机,形成双节点结构,使核心交换机、接入层交换机都在环网上。
交换机启用STP生成树协议、MSTP多区域生成树协议来解决以太网环路,防止网络广播风暴。
通过传统IP技术构建underlay网络后,
通过VXLAN技术,构建overlay网络, 实现租户隔离,
并结合SDN技术,平滑对接云平台,将网络资源也虚拟成资源池,可以为租户动态、灵活、快速,并且图形化的方式进行网络资源分配。
通过传统IP技术构建underlay网络后,还要实现租户隔离,项目通过VXLAN技术,构建overlay网络,
并结合SDN技术,平滑对接云平台,将网络资源也虚拟成资源池,可以为租户动态、灵活、快速,并且图形化的方式进行网络资源分配。
环网接入+虚拟网关的组网方式。
通过横向虚拟化技术,替代传统VRRP+MSTP组网,能有效简化网络管理,同时避免阻塞端口,让所有链路都能利用起来,提升网络性能。
网络安全方案
为了消除数据中心存在的安全隐患,为核心数据提供可靠、便捷的使用环境,
Overlay网络架构设计
Overlay网络架构设计主要是对Fabric组网进行设计。 Fabric网络根据物理网络层次有两层组网和三层组网。
三层架构的Fabric网络的组网类型分为VXLAN到汇聚和VXLAN到接入两种。
VXLAN到接入适用于园区网络新建场景:推荐选择VXLAN到接入,可以整网都采用虚拟化,实现Overlay自动化部署。
本次园区网络改造方案选择VXLAN到汇聚,可以利旧不支持VXLAN的低端接入交换机。
集中式网关方案可以根据不同的园区网络场景,选择不同的Fabric组网。
- 园区网络改造场景:推荐选择VXLAN到汇聚,可以利旧不支持VXLAN的低端接入交换机。
- 园区网络新建场景:推荐选择VXLAN到接入,可以整网都采用虚拟化,实现Overlay自动化部署。
网络资源规划
VLAN/BD规划
BD资源规划
在VN中,二层广播域基于BD构建。在一个BD内,用户终端可以不受地理位置影响,进行互通。在大中型园区虚拟化方案中,BD资源的规划原则如下:
- BD与用户业务VLAN的对应关系建议为1:1,
- 在VN中,每创建一个基于VXLAN的用户网关,就会从Fabric全局的BD资源池中自动顺序调用一个BD资源。BD可不考虑如何划分,而只需关注用户业务VLAN的划分原则即可。
- BD资源池的范围应满足用户业务VLAN规划的数量。
VLAN资源规划
在大中型园区网络虚拟化方案中,虽然基于BD可以构建大二层广播域,但是用户终端还是通过VLAN接入园区网络,VLAN再与BD进行绑定。而且园区网络也需要通过VLAN进行互联。
VLAN的分类通常有管理VLAN、互联VLAN和业务VLAN
大中型园区网络虚拟化方案遵循传统园区网络VLAN的规划原则,具体如下:
- 按照不同业务区域划分不同的VLAN。
- 同一业务区域按照具体的业务类型划分不同的VLAN。
- VLAN编号 连续分配,以保证VLAN资源合理利用。同时预留一定数目VLAN以方便后续扩展。
Underlay自动化资源池是Underlay网络进行OSPF路由编排时使用到的地址池。
Fabric资源池包括VLAN、桥接广播域和VXLAN网络标识,是Fabric网络规划的总体范围。配置Fabric时,iMaster NCE-Campus会从该资源池内自动分配相关资源。
创建Fabric网络时,首选需要选择组网类型(本案例采用集中式网关),然后再按需添加Underlay网络的设备资源。
最后,启用Underlay网络的路由自动编排功能,以及配置BGP-EVPN,保证Fabric网络采用的VXLAN协议的控制面报文能够转发。
配置外部网络
背景信息
在园区虚拟化方案中,要实现Fabric与外部网络互访,就需要配置Border设备与出口网络设备的对接。在Fabric网络中,Border设备与出口网络设备对接的出口类型基于虚拟网络(VN)可分为三种:L3共享出口、L3独占出口和L2共享出口。
Border/Edge作为VXLAN隧道端点,需要建立BGP EVPN对等体关系,此时,建议配置路由反射器功能。如果不配置路由反射器,则所有Edge之间及Edge与Border之间都需要配置BGP对等体,不仅配置复杂,而且大量的BGP连接会消耗设备CPU性能。
https://support.huawei.com/enterprise/zh/doc/EDOC1100368575/7b0ad12d#ZH-CN_TOPIC_0268148267
管理子网的DHCP规划
大中型园区由于核心层以下设备数量较多,在开局部署时,建议规划专门用于设备管理地址分配的DHCP服务器。管理子网的DHCP规划如下。
- 建议核心交换机作为管理子网的DHCP服务器,在管理子网网关接口上配置地址池。
- 配置DHCP Option 148选项中携带iMaster NCE-Campus地址信息。
- 如果该管理子网网关接口同时作为AP的管理子网网关接口,建议配置DHCP Option 43选项中携带WAC地址信息。
用户子网的DHCP规划
大中型园区建议规划独立的DHCP服务器,对用户终端进行IP地址分配。用户子网的DHCP规划建议如下:
- 建议整个园区规划一个DHCP服务器来简化运维。
- 大中型园区DHCP服务器和园区主机通常不在同一个网段,建议用户网关开启DHCP中继功能。
- 建议在用户网关对应的BD内配置DHCP Snooping,能够保证用户终端从合法的DHCP服务器获取IP地址,避免被非法攻击。另外,采用DHCP Option方式的终端识别功能,也需要配置DHCP Snooping。
- DHCP提供的动态IP地址分配,需要根据用户终端在线时间合理规划租期,大中型园区场景中的办公区在线时间长,需要规划较长的租期。
如果需要为指定用户终端分配固定的IP地址,不通过DHCP动态分配,DHCP地址池规划时,需要将静态配置的IP地址过滤掉,避免预留IP地址被分配。
本次项目在信息安全规划和设计时, 通过划分安全域实现业务的正常运行和安全的有效保障,
结合该公司实际情况,数据中心 划分为应用业务安全域、数据库安全域、安全运维管理安全域。三个安全域。
为了实现不同区域的边界防范和隔离,
应用业务安全域 入口处部署部署WAF设备 通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护,对攻击进行检测和阻断;
数据库安全域应部署部署防火墙设备, 通过有效的访问控制策略,对数据库区域进行安全防护;
安全运维管理安全域 旁挂漏洞扫描设备,定期对数据中心内服务器等关键设备 进行扫描,及时发现安全漏洞和威胁,可供修复和完善。
IPS是入侵防御系统 访问服务器的流量都要经过IPS
会对数据的网络层 ,传输层,应用层中各字段做分析并与特征库做比对,如果没有问题,才转发出去。
IPS规划在这个位置会加大网络的延迟。
同时,网络中部署一个IPS会存在有单点故障。 bypass
在防火墙上可部署的防范措施有(4); A.访问控制 B.NAT F. DDoS攻击检测和阻止
网络架构
网络整体架构和传输线路的可靠性、稳定性和保密性是业务系统安全的基础
网络架构的合理性直接影响着能否有效的承载业务需要,因此网络架构需要具备一定的冗余性,包括通信链路的冗余,通信设备的冗余;
同时网络各个部分的带宽,以及网络通信设备的处理能力需要满足业务高峰时期数据交换需求。
合理的分区分域以及重要业务系统与其他区域隔离
划分安全区域:根据企业各部门的工作职能、重要性和所涉及信息的重要程度等因素综合考虑划分安全区域,子网网段和 VLAN。
划分安全区域,一般企业安全区域主要包含分支接入区、用户接入区、业务应用区、DMZ (Demilitarized zone,隔离区)即互联网服务区、互联网接入区以及安全管理区。
识别关键节点确保冗余设计:
针对企业核心和各区域核心等关键核心节点双节点冗余部署,满足一个节点故障业务切换到另一个节点后业务不中断。
网络中ICT基础设施选型:满足正常的网络利用率,建议平均值不超过40%,峰值不超过70%;
同时带宽分配按照企业业务系统服务的重要次序定义优先级,在网络拥堵时优先保障重要业务系统。
合理的分区分域以及重要业务系统与其他区域隔离
划分安全区域:根据企业各部门的工作职能、重要性和所涉及信息的重要程度等因素综合考虑划分安全区域,子网网段和 VLAN。
划分安全区域,一般企业安全区域主要包含分支接入区、用户接入区、业务应用区、DMZ (Demilitarized zone,隔离区)即互联网服务区、互联网接入区以及安全管理区。
识别关键节点确保冗余设计:
针对企业核心和各区域核心等关键核心节点双节点冗余部署,满足一个节点故障业务切换到另一个节点后业务不中断。
网络中ICT基础设施选型:满足正常的网络利用率,建议平均值不超过40%,峰值不超过70%;
同时带宽分配按照企业业务系统服务的重要次序定义优先级,在网络拥堵时优先保障重要业务系统。
企业网络中一般会有两种业务:
一种是面向互联网用户的门户网站业务,
一种是面向内部办公人员的办公OA业务;
基于上述两种业务会产生四种访问方式:互联网客户通过互联网访问对外业务、
内部员工通过互联网访问内部业务、内部员工通过分支机构访问内部业务以及内部员工通过内网访问内部业务。
对应的通信传输场景也有四种,下面将针对不同通信传输场景进行方案介绍:
互联网客户通过互联网访问对外业务场景:采用安全通信协议SSL/TLS对传输内容进行加密保障交互过程中信息的保密性和完整性,通信传输中采
用的安全通信协议SSL/TLS一般由业务系统自身集成。
内部员工通过互联网访问内部业务场景:采用在互联网接入区部署SSLVPN实现通过互联网远程接入的安全通信。
内部员工通过分支机构访问内部业务场景:采用在总部和分支部署IPsec安全网关实现总部和分支之间的安全通信。
内部员工通过内网访问内部业务场景:建议采用安全通信协议SSL/TLS对传输内容进行加密。内部网络安全风险虽然没有互联网访问风险高,但是
随着攻击手段的迭代,内部网络也越来越不安全,因此建议业务系统采用安全通信协议进行通信。
安全区域边界
企业的通信网络划分安全区域后,在不同信任级别的安全区域之间就形成了区域边界,因此,需要对安全区域边界实施安全策略,防止非法接入、非法访问和威胁横
向扩散。
网络安全等级保护解决方案的主打产品:
HiSec Insight安全态势感知系统、
FireHunter6000沙箱、
SecoManager安全控制器、
HiSecEngine USG系列防火墙
和HiSecEngine AntiDDoS防御系统。
华为HiSec Insight安全态势感知系统是基于商用大数据平台FusionInsight的APT防御系统,结合智能检索引擎可进行多维度海量数据分析,主动实时地发现各类安全威胁事件,还原出整个APT攻击链攻击行为。
FireHunter 6000沙箱
FireHunter 6000是华为公司推出的高性能APT威胁检测系统,利用多引擎虚拟检测技术以及传统的安全检测技术,基于行为特征检测,识别网络中传输的恶意文件和C&C攻击,有效避免未知威胁攻击的扩散和企业核心信息资产损失
6.3 SecoManager安全控制器
SecoManager安全控制器是华为针对数据中心、园区、海量分支等不同场景推出的统一安全控制器,提供安全网元/策略统一管理、安全策略编排、日志管理和
AntiDDoS管理等功能,支持安全功能服务化、可视化,协同网络、安全设备和大数据智能分析系统形成全面威胁感知、分析和响应的整网主动安全防护体系。
6.4 HiSecEngine USG系列防火墙
HiSecEngine USG6000E/6000F系列防火墙是华为面向大中型企业、小型企业或
分支机构推出的Al防火墙设备。
在提供NGFW能力的基础上,联动安全分析器HiSec Insight、 FireHunter沙箱、安全控制器SecoManager等其他安全设备,
主动防御网络威胁,增强边界检测能力,有效防御高级威胁;同时内置加解密引擎、模式匹配引擎以及网络处理器加速引擎三大引擎,显著提升防火墙对内容安全检测、IPsec等业务的处理性能。
HiSecEngine AntiDDoS 防御系统
华为HiSecEngine AntiDDoS防御系统在防护传统网络层DDoS攻击的基础上,
重点加强了针对门户网站、APP、API、DNS等应用层攻击的识别和过滤,并支持IPv4/IPv6双栈防护,保护用户业务可用性。
AntiDDoS防御系统由AntiDDoS设备和管理中心组成,其中AntiDDoS设备包含检测中心和清洗中心两部分,整个方案包括检测中心、清洗中心和SecoManager管理中心三大部分。
完整的安全体系不可能一蹴而就,是一个长期经营、不断完善的过程。各企事业单位在满足等级保护要求的基础网络安全能力之外,
公安部又组织和进行了护网行动,以攻促防,不断提升各行业的网络安全运维人员的安全技能和组织人员的安全意识,从而不断完善各企事业单位的网络安全体系。
等级保护体系包含管理和技术两个方面,通过部署相应的安全产品可以满足等级保护技术要求,但为了提升整网的安全防护能力,除部署基本的安全产品外,还需从
效率、效果等方面做能力提升设计。华为网络安全等级保护解决方案通过智能、协同、灵活的能力达到减少网络安全运维人员的工作量、提升威胁处置效率、降低威胁
对业务系统影响的目的。
安全态势感知系统采用智能检测算法与多维度海量数据关联分析对安全告警进行降噪,输出精准威胁事件,降低运维工作量。
安全态势感知系统协同网络和安全实现威胁自动近源处置,提升威胁处置效率,缩小威胁横向扩散的范围,降低威胁对业务的影响。
安全与网络、业务深度融合,通过灵活的安全业务编排能力为业务提供按需的防护能力。
安全通信网络
网络整体架构和传输线路的可靠性、稳定性和保密性是业务系统安全的基础,通
信网络的安全主要包括网络架构、通信传输和可信验证等方面。下面将从这几维度介
绍安全通信网络的通用要求。
网络架构
网络架构的合理性直接影响着能否有效的承载业务需要,因此网络架构需要具备
一定的冗余性,包括通信链路的冗余,通信设备的冗余;
同时网络各个部分的带宽,以及网络通信设备的处理能力需要满足业务高峰时期数据交换需求。
并合理的划分安全区域,子网网段和 VLAN。
等保二级中只提出了要做合理的分区分域以及重要业务系统与其他区域隔离的要
求。等保三级在等保二级的基础上增加了对网络处理能力的要求,强调要满足业
务高峰时的需求,同时强调通信线路和关键网络设备要冗余部署,提升系统的可
用性。
通信传输
网络通信传输应采用加密或者校验码技术保证通信过程中输的完整性和保密性。
等保二级中只对完整性提出了要求,等保三级在等保二级的基础上增加了对保密
性的要求,要求用密码技术实现通信传输的保密性。
可信验证
基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程
序等进行可信验证,同时对报文转发流程等关键执行环节进行动态可信验证处
理,对检测到的异常事件进行实时告警,同时将异常事件上送日志审计中心进行
事后统一审计。
应用层入侵防护系统(IPS)
在内外部边界部署入侵防护系统IPS,对网络中的流量进行深度检测,对入侵行为进行有效拦截,保护内部核心资产,防止核心资产被攻击者入侵。
网络层入侵防护系统(抗DDoS)在互联网接入区部署专业的抗DDoS系统进行防御,对网络层入侵进行全面防御。
该系统主要包含: DDoS检测中心、DDoS清洗中心、DDoS管理中心。
主动防御(诱捕系统)
部署诱捕系统,在事前发现威胁,在事中对威胁进行精准监测和溯源,在
事后对威胁进行威胁处置。与传统的安全手段形成有效互补,为企业构建
更加安全的防御体系。该系统主要由两大能力组成,包括诱饵和蜜罐。
诱饵可以由网络中的交换机或者防火墙承担,通过交换机或者防火墙开启
诱饵功能获取网络中空闲IP将攻击流量诱导至蜜罐内,实现伪装节点的
全面覆盖,提升诱捕攻击者的命中率。
蜜罐部署在管理中心,结合企业内部业务系统进行高度仿真定制,增加捕
获攻击者的概率,延长攻击者的攻击进程。
入侵防范
等级保护通用要求中关于入侵防范的要求主要包含:在关键网络节点处监视网络攻击行为,包括已知威胁和新型攻击,对监控到的攻击事件进行记录并告警,同
时对内、外网发起的攻击行为进行防护和限制。
为满足上述要求,建议在区域边界处部署网络层入侵防护系统抗DDoS、应用层入侵防护设备IPS、APT沙箱以及诱捕系统,用于防御已知威胁和新型攻击威胁,与边界防火墙形成互补,建立
一整套的安全防护体系,进行多层次、多手段的检测和防护。
安全通信网络
网络整体架构和传输线路的可靠性、稳定性和保密性是业务系统安全的基础,通信网络的安全主要包括网络架构、通信传输和可信验证等方面。下面将从这几维度介
绍安全通信网络的通用要求。
网络架构
网络整体架构和传输线路的可靠性、稳定性和保密性是业务系统安全的基础
网络架构的合理性直接影响着能否有效的承载业务需要,因此网络架构需要具备一定的冗余性,包括通信链路的冗余,通信设备的冗余;
同时网络各个部分的带宽,以及网络通信设备的处理能力需要满足业务高峰时期数据交换需求。
合理的分区分域以及重要业务系统与其他区域隔离
划分安全区域:根据企业各部门的工作职能、重要性和所涉及信息的重要程度等因素综合考虑划分安全区域,子网网段和 VLAN。
划分安全区域,一般企业安全区域主要包含分支接入区、用户接入区、业务应用区、DMZ (Demilitarized zone,隔离区)即互联网服务区、互联网接入区以及安全管理区。
识别关键节点确保冗余设计:
针对企业核心和各区域核心等关键核心节点双节点冗余部署,满足一个节点故障业务切换到另一个节点后业务不中断。
网络中ICT基础设施选型:满足正常的网络利用率,建议平均值不超过40%,峰值不超过70%;
同时带宽分配按照企业业务系统服务的重要次序定义优先级,在网络拥堵时优先保障重要业务系统。
企业网络中一般会有两种业务:
一种是面向互联网用户的门户网站业务,
一种是面向内部办公人员的办公OA业务;
基于上述两种业务会产生四种访问方式:互联网客户通过互联网访问对外业务、
内部员工通过互联网访问内部业务、内部员工通过分支机构访问内部业务以及内部员工通过内网访问内部业务。
对应的通信传输场景也有四种,下面将针对不同通信传输场景进行方案介绍:
互联网客户通过互联网访问对外业务场景:采用安全通信协议SSL/TLS对传输内容进行加密保障交互过程中信息的保密性和完整性,通信传输中采
用的安全通信协议SSL/TLS一般由业务系统自身集成。
内部员工通过互联网访问内部业务场景:采用在互联网接入区部署SSLVPN实现通过互联网远程接入的安全通信。
内部员工通过分支机构访问内部业务场景:采用在总部和分支部署IPsec安全网关实现总部和分支之间的安全通信。
内部员工通过内网访问内部业务场景:建议采用安全通信协议SSL/TLS对传输内容进行加密。内部网络安全风险虽然没有互联网访问风险高,但是
随着攻击手段的迭代,内部网络也越来越不安全,因此建议业务系统采用安全通信协议进行通信。
WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改,
如非法无线用户、仿冒AP的欺骗、恶意终端的拒绝服务型攻击等。
WLAN安全设计主要包括以下方面:
1.空口安全:如非法AP、非法终端、非法Ad-hoc网络与拒绝服务型攻击等识别与防护。
2.终端接入安全:确保用户接入无线网络的合法性和安全性。
3.业务安全:保证用户的业务数据在传输过程中的安全性,避免合法用户的业务数据在传输过程中被非法捕获。
通过厂商、集成商、设计院等各方同力配合,组织方案论证、设计和实施,项目按期交付验收,
目前系统和数据迁移过渡平滑,平台运行稳定高效,
满足日常业务应用的同时,具有一定资源富余,满足将来扩展要求。得到公司领导和业务部门的充分肯定。
虽然项目取得了成功,但在有些方面还是存在不足。
最主要的问题就是基于虚拟化数据中心的管理制度不完善,现有制度是基于传统的数据中心,不适用于虚拟化的数据中心,
这方面还需要加强制度建设和人员培训,在后期的运维工作中不断完善。
数字化转型,只有起点没有终点,本次集团公司it基础设施改造只是数字化转型的第一步,未来公司将进一步深化转型之路。
下一步我们将通过物联网技术将生产线设备与核心业务系统进行深层次整合,并结合大数据实现现生产和销售的预测等功能。
总体来说,项目是成功的,我也通过这个项目学习到了不少经验,为数字化转型二期项目打下坚实的基础。
为保障网络的稳定性、可靠性、流畅性, 企业 选择多运营商接入互联网,既能够实现互相的冗余,又能够根据不同的流量进行负载分担,对不同运营商数据中心的访问,可以实现智能选路。
例如访问电信的数据中心流量从电信出口,访问联通数据中心的流量从联通的出口出。
分支机构 采用Internet和专线双链路,对于安全性和链路质量要求高的业务(如生产业务)优先走专线,Internet做备份链路;
对于链路质量或安全性要求不高的业务(如办公及视频业务)优先走Internet,专线做备份链路;
通过Internet分担MPLS的流量压力,同时互为备份提高可靠性。
在园区网络中通常在设备间采用双上行链路的冗余设计来提高设备间链路的可靠性,
同时对于冗余链路常用链路聚合的方案将多条物理链路通过LACP协议虚拟成一条逻辑的Eth-Trunk链路
链路聚合技术主要有以下三个优势:
- 增加带宽:链路聚合接口的最大带宽可以达到各成员接口带宽之和。
- 提供可靠性:当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,从而提高链路聚合接口的可靠性。
- 负载分担:在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。
整体设计原则:
树形组网、环形组网(核心设备)。
可靠性考虑:
节点高可靠性:集群、堆叠、双机热备(AC或FW等)。 可以考虑单板级的冗余,如双主控板,双交换网板。
链路高可靠性:冗余链路、Eth-Trunk。关键链路可以采用Eth-Trunk链路实现链路级可靠性。
随着无线终端的普及以及WLAN技术的发展,家庭、企业园区 越来越依赖无线wifi,并将其作为接入网络的主要手段。
近年来出现新型应用对吞吐率和时延要求也更高,比如4K和8K视频(传输速率可能会达到20Gbps)、
VR/AR、游戏(时延要求低于5ms)、
远程办公、在线视频会议和云计算等。
虽然最新发布的Wi-Fi 6已经重点关注了高密场景下的用户体验,然而面对上述更高要求的吞吐率和时延依旧无法完全满足需求。
为保障网络的稳定性、可靠性、流畅性,许多单位、企业会选择多运营商接入互联网,既能够实现互相的冗余,又能够根据不同的流量进行负载分担,对不同运营商数据中心的访问,可以实现智能选路,例如访问电信的数据中心流量从电信出口,访问联通数据中心的流量从联通的出口出。
出于校园网络扁平化考虑,本期宿舍Wi-Fi的承载网络采用接入+核心两层的极简架构。
在接入层,选择创新的全万兆光电混合交换机---CloudEngine S5732-H48XUM2CC,配套光电混合缆可为AirEngine 5760-22W提供300米超远距PoE++供电的同时提供高达10Gbps接入带宽。
基于光电协同的全光以太接入方案既可解决POL回传方案无法为AP供电问题,也可解决网线接入方案带宽无法升级的难题,是构建Wi-Fi 6品质承载网的理想选择。
在核心层,选择华为旗舰园区核心交换机---CloudEngine S12700E,作为每个校区宿舍网络的核心,该交换机最大可管理1万台Wi-Fi 6 AP,
实现有线与Wi-Fi网络深度融合的同时,节省独立AC购置及部署成本。
需要说明的是,上述接入及核心交换机支持VxLAN网络虚拟化技术,在当前承载网络上可按需部署多种彼此隔离的数据业务,从而实现"一网多用,融合部署",节省网络建设和管理成本。
考虑到学生业务模型,本期打通了每个校区宿舍网络和教学科研网在校内的互联互通,学生在宿舍可直接访问教学科研网,无需绕行到外网才可访问学校的网站,极大减轻了学校教学科研网络出口带宽压力。
自动的网络部署,智能的网络运维
"
三分建设,七分运维",对于校园网络运维的重要性不言而喻,东大也不例外。全新升级的宿舍网络新增了近万台Wi-Fi 6面板AP,近千台交换机,如何高效的完成1万+台设备(交换机+AP)的日常管理,如何保障Wi-Fi 6网络的业务体验,成为大家关心的共同话题。
为提升园区网络运营管理效率,
华为于2019年发布了园区网络一站式管理平台---iMaster NCE-Campus,集网络管理、控制和分析功能于一体,提供面向设备、用户及业务的集中管控,这一切也在东大宿舍网络部署中得到充分的验证。
考虑到新学期开学在即,而三个校区122栋宿舍楼近万台设备安装调试,加之疫情不利影响,不少人对项目交付周期抱有一丝担心,但结果证明这些担心是多余的。
基于iMaster NCE-Campus提供的Underlay自动化部署功能,
交换机及Wi-Fi 6 AP设备上电后自动向iMaster NCE-Campus发起注册并自动同步业务配置,一改传统方案里需要人工现场逐台配置和调试的开局方式,
真正做到了"设备即插即用"、"网络即插即通",
降低了设备部署成本,也缩短了设备开通和上线时间,仅用39天完成全校Wi-Fi网络升级改造。
针对原有重复或叠加建网导致网络管理复杂、扩展性不足的问题,本期宿舍网络采用了基于VxLAN技术的网络虚拟化方案,
即基于iMaser NCE-Campus的SDN网络控制能力实现了Overlay虚拟网络的自动化发放,在核心交换机和接入交换机之间快速部署基于VxLAN技术的虚拟业务网络,对不同宿舍区域通过划分不同的虚拟网络进行业务隔离。
实践表明,在当前的宿舍网络中新增部署一张虚拟业务网络只需几分钟,让"一网多用"成为现实,充分发挥园区网络虚拟化的价值。这让新业务快速上线及灵活调整,可让东大IT人员从繁杂的网络管理工作中解放出来,将更多时间和精力聚焦数字化业务创新。
而在网络分析方面,基于AI加持的iMaster NCE-CampusInsight分析组件实时采集和分析Wi-Fi网络及用户数据,并提供7个维度的网络健康度评估,让IT人员直观了解当前网络状态和质量;
师生用户体验可视,从用户接入网络到断开连接的整个过程,CampusInsight可提供用户全旅程体验感知;
当用户接入发生故障时,通过接入协议回放快速定位故障及根因,并提供修复建议辅助IT人员快速排障。更为重要的是,CampusInsight可通过大数据及AI技术学习网络模型并进行业务趋势预测,基于预测结果对Wi-Fi网络进行智能的射频调整和优化,为全校师生提供更优的Wi-Fi网络接入服务,实现校园网络从管理到服务的转变。
此次合作,华为为东大规划建设了一张面向未来多网融合的校园网络,实现网络、业务、管理的多重融合。
首先是网络融合,通过整合有线、Wi-Fi、IoT移动网络,帮助师生无差别访问校内资源和互联网;
其次是业务融合,满足一站式业务办理、管理运营、基于数据整合的用户画像与精准服务等多维度的全网络场景应用;
最后是管理融合,融合后的网络管理更简单更智能,能为校园全面数字化提供更稳固的ICT底座支撑。
Wi-Fi 6园区网络一经开通,凭借优异的业务体验受到了全校师生一致好评
配置pbr的匹配流量
[R2]acl number 3000
[R2-acl-adv-3000] rule 5 permit ip source 192.168.10.0 0.0.0.255
[R2-acl-adv-3000] rule 10 permit ip source 192.168.30.0 0.0.0.255
[R2-acl-adv-3000]acl number 3001
[R2-acl-adv-3001] rule 5 permit ip source 192.168.20.0 0.0.0.255
[R2-acl-adv-3001] rule 10 permit ip source 192.168.40.0 0.0.0.255
[R2-acl-adv-3001]q
pbr策略,最后在流量的入接口调用即可
[R2]policy-based-route huawei permit node 10
[R2-policy-based-route-huawei-10] if-match acl 3000
[R2-policy-based-route-huawei-10] apply ip-address next-hop 100.1.1.1
[R2-policy-based-route-huawei-10]policy-based-route huawei permit node 20
[R2-policy-based-route-huawei-20] if-match acl 3001
[R2-policy-based-route-huawei-20] apply ip-address next-hop 200.1.1.1
[R2-policy-based-route-huawei-20]inte g0/0/2
[R2-GigabitEthernet0/0/2]ip policy-based-route huawei
策略路由-企业网多出口_ensp中ar路由器可以全局调用pbr吗-CSDN博客
GRE Over IPSec配置及抓包分析_wireshare 抓包ipsec传输模式报文-CSDN博客
GRE over IPsec,IPsec不服,要求IPsec over GRE_gre隧道内层地址和外层地址-CSDN博客
CloudCampus的三种部署模式
本地部署
On-Premise
华为公有云部署
Huawei Public Cloud
MSP自建云部署
MSP-owned Cloud
场景定义
客户购买并拥有控制器、分析器等软件
实体,软件可以部署在其数据中心或者
公有云平台上。
华为运营,客户无需购买控制器
分析器,客户购买华为的云管理
网络服务来管理其网络。
MSP运营,MSP购买控制器、分析器
等软件做运营,软件可以部署在其数
据中心或者公有云上。
目标客户
政府、教育、大企业、零售、金融等行
业客户
政府、教育、大企业、零售、金
融等行业客户
运营主体
客户
华为
MSP、运营商
MSP、运营商
软件交易模式
永久License + SnS
SaaS模式
TBL订阅模式
13
Huawei Confidential
HUAWEI
WLAN设计
https://support.huawei.com/enterprise/zh/doc/EDOC1100368575/e56e448e
无线网络通过空口高频电磁波传输数据,随着传输距离的增加,无线信号强度会越来越弱,在无线信号覆盖边缘区域的终端业务体验会非常差。
同时,由于所有的无线设备均共享使用空口资源,若相邻的无线设备工作信道相近或相同,那么设备彼此之间的无线信号就会存在同频干扰或临频干扰的问题,
这些问题都会降低无线网络信号质量甚至导致无线网络无法使用。
为改善无线网络质量,使其满足无线建网标准要求,需要进行网规设计。
通过合理的网络规划来
降低WLAN网络信号覆盖盲区、
WLAN信号干扰等问题的出现概率,
选择合适的AP类型,规划AP接入合理数量的终端,保证各终端的带宽需求,提供更好的WLAN体验。
WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改,
如非法无线用户、仿冒AP的欺骗、恶意终端的拒绝服务型攻击等。
WLAN安全设计主要包括以下方面:
1.空口安全:如非法AP、非法终端、非法Ad-hoc网络与拒绝服务型攻击等识别与防护。
2.终端接入安全:确保用户接入无线网络的合法性和安全性。
3.业务安全:保证用户的业务数据在传输过程中的安全性,避免合法用户的业务数据在传输过程中被非法捕获。
组网层次包括两层组网与三层组网
1.两层组网:网络层次简单,问题易定位。
- 三层组网:适用于 大型多区域的园区场景。
接入、汇聚、核心三层架构,
接入层:为用户提供各种接入方式,是终端接入网络的第一层。
汇聚层:主要用于转发用户间的"横向"流量,同时转发到核心层的"纵向"流量。汇聚层可作为部门或区域内部的交换核心,另外
还可以扩展接入终端的数量。
核心层:是园区数据交换的核心,联接园区网的各个组成部分,如数据中心、管理中心、园区出口等。
传统网络
核心层 使用了 华为CSS横向虚拟化技术,将两台 华为 CloudEngine 16800虚拟成一台。 汇聚层 将4台 CloudEngine 6800 虚拟成一台
接入层使用了华为iStack横向虚拟化技术,将4台华为5730 万兆接入交换机,虚拟成1台,
通过横向虚拟化技术,替代传统VRRP+MSTP组网,能有效简化网络管理,同时避免阻塞端口,让所有链路都能利用起来,提升网络性能。
VRRP
主机与外部网络互联需要通过网关,当单网关出现问题时会面临较长时间的业务中断。
增加出口网关是提高系统可靠性的常见方法,此时如何在多个出口之间进行选路就成为需要解决的问题。
VRRP (Virtual Router Redundancy Protocol,虚拟路由冗余协议)把多台路由设备联合组成一台虚拟的路由设备。
当网关设备发生故障时, VRRP机制能够选举新的网关设备承担数据流量,从而保障网络的高可靠性。
以太网中为了进行链路备份,提高网络可靠性,通常会使用冗余链路,但是这也带来了网络环路的问题。网络环路会引发广播风暴和MAC地址表振荡等问题,导致用户通信质量差,甚至通信中断。为了解决环路问题,IEEE先后提出了生成树协议STP(Spanning Tree Protocol)、快速生成树协议RSTP(Rapid Spanning Tree Protocol)、多生成树协议MSTP(Multiple Spanning Tree Protocol)。
STP和RSTP不能按VLAN阻塞冗余链路,局域网内所有的VLAN共享一棵生成树,所有VLAN的报文都沿着一棵生成树进行转发,因此无法在VLAN间实现流量的负载分担;同时,链路被阻塞后将不承载任何流量,造成带宽浪费,还有可能造成部分VLAN的报文无法转发。
MSTP弥补了STP和RSTP的缺陷,兼容STP和RSTP,既可以快速收敛,又提供了数据转发的多个路径,在数据转发过程中实现VLAN数据的负载均衡。但MSTP中多实例和多进程的概念比较抽象,且配置较为复杂。
为了解决上述问题,
华为公司提出了VBST。VBST中生成树的形成是基于VLAN的,不同VLAN间可形成相互独立的生成树,不同VLAN内的流量沿着各自的生成树转发,进而可实现流量的负载分担。
核心、汇聚、接入设备上线后,使能VBST破环,配置核心设备STP优先级4096、汇聚设备STP优先级8192。
业务可靠性
云计算时代,网络的可靠性不再满足用户的需求,用户希望能够基于应用了解现网的情况,并根据应用的现状调整网络。
这种需求对于原有的网络提出了挑战:
传统的网络无法很好地识别应用。传统的网络无法基于应用调整。为了应对以上挑战,产生了两种技术:
SAC (Smart Application Control,智能应用控制),该技术能够灵活地识别应用
SPR (Smart Policy Routing,智能策略路由) ,该技术能够基于网络的状况或者应用的状况切换转发路径。
云计算时代,越来越多的用户把关注点从网络的连通性转移到业务的可用性上,如业务的可获得性、响应速
度和业务质量等。但是传统网络无法感知链路的质量和业务的需求,导致用户的业务体验较差。
SPR就是在这一背景下产生的一种策略路由。
它可以主动探测链路质量并匹配业务的需求,从而选择一条最优链路转发业务数据,
可以有效地避免网络黑洞、网络震荡等问题。
- 华为Quidway S5328C-SI:这是华为S5300系列的全千兆交换机,支持智能堆叠、MAC地址强制转发、虚拟电缆检测、以太网OAM、本地端口镜像和远程端口镜像等功能。1
- CloudEngine S16700系列
、CloudEngine S8700系列
、CloudEngine S5755-H系列
、CloudEngine S5735-L-V2系列:这些交换机面向企业、政府、教育、金融、制造等行业,打造极简管理、稳定可靠、业务智能的园区网络。2
- CloudEngine 16800系列
、CloudEngine 9800系列
、CloudEngine 8800系列
、CloudEngine 6800系列:这些数据中心交换机面向云数据中心和高端园区,适用于各种场景和网络规模,为规模化、自动化、可编程和实时可见性而打造。23
- S5735-S24ST4XE-V2全千兆三层汇聚交换机
、CE6865E-48S8CQ核心汇聚三层以太网48端口交换机
、S5731S-H24T4S/H48T4S/H48T4XC/H24T4XC-A三层汇聚交换机
、S5730-60C-HI敏捷48口千兆大中型园区网络汇聚交换机
、S6730-H24X6C-V2全万兆40GE/100GE上行QSFP28汇聚交换机
、S5735-L24T4S-QA2/ S5735-L24T4X-QA2智选24电口万光汇聚交换机
、S5720S-28X-LI 24千兆电4万兆汇聚交换机
、S5735S-L24T4S-A 24口千兆核心汇聚网管企业级交换机
、S6730S-H24X6C-A 24口全万兆光口交换机 三层网管核心汇聚 企业级
核心层:是园区数据交换的核心,联接园区网的各个组成部分,如数据中心、管理中心、园区出口等。
汇聚层:主要用于转发用户间的"横向"流量,同时转发到核心层的"纵向"流量。汇聚层可作为部门或区域内部的交换核心,另外
还可以扩展接入终端的数量。
接入层:为用户提供各种接入方式,是终端接入网络的第一层。
大中型园区网络通常采用核心层为"根"的树形网络架构, 拓扑稳定,易于扩展和维护。
组网层次设计原则:
两层组网:网络层次简单,问题易定位。
三层组网:适用于多楼栋或多区域的园区场景。
园区网络可划分 :接入层、汇聚层、核心层,
可靠性考虑:
节点高可靠性:集群、堆叠、双机热备(AC或FW等)。
链路高可靠性:冗余链路、Eth-Trunk。
VLAN编号建议连续分配,以保证VLAN资源合理利用。同时建议预留一定数量的VLAN以方便后续扩展。
VLAN划分需要区分业务VLAN、管理VLAN和互联VLAN。
VLAN的划分方式是基于接口的方式进行划分,根据不同的设计原则,将接入交换机不同接口划分到不同的
VLAN,从而实现不同业务类型用户的隔离需求。
园区网的IP地址主要分为业务IP地址、管理IP地址和互联IP地址。
业务IP地址是服务器、主机以及网关的IP地址。
二层设备使用VLANIF地址作为管理IP地址,建议网关以下的所有二层交换机使用同一IP网段。
网关IP地址推荐统一使用相同的末位数字,如.254。
各业务IP地址范围要清晰区分,每一类业务终端IP地址连续、可聚合。建议使用掩码为24位的IP地址段。
互联IP地址推荐使用30位掩码的IP地址,核心设备可使用主机地址较小的IP地址。
规划独立的DHCP Server为终端用户分配IP地址。
建议在接入层设备配置DHCP Snooping,以避免dhcp非法攻击。
网络管理员可以根据网络需求为不同的主机选择不同的分配策略:
1.动态分配机制:为主机分配一个有限期限(租期)的IP地址。适用于主机需要临时接入或者IP地址不足的场景,例如企业办
事处的出差员工便携机、咖啡厅的移动终端。
2.静态分配机制:为指定主机或服务器分配固定的IP地址,例如DNS服务器。
地址池规划需要将静态配置的IP地址过滤掉,根据客户端在线时间合理规划租期。
大中型园区DHCP服务器和园区主机通常不在同一个网段,网关需开启DHCP中继功能。
内部路由设计:
主要满足园区内部设备、终端的互通需求并且与外部路由交互。根据网关位置,建议按照如下两种场景设计内部路由:
网关在汇聚层:核心层、汇聚层都需要部署路由,考虑路由表能够根据网络拓扑变化而动态刷新,推荐规划IGP动态路由协议,如OSPF。
网关在核心层:只需要在核心层配置路由,建议优先采用静态路由。
Router ID建议采用Loopback接口IP地址。
- 区域(Area)划分遵循核心、汇聚、接入的分层原则,
骨干区域建议包含出口路由器和核心交换机,非骨干区域的设计则是根据地理位置和设备性能而定。
出口路由设计:主要满足内部终端访问Internet、广域网的需求。
大中型园区一般企业分支机构众多,出口需要支持多种链路用于Internet
访问和企业内部互访,需要大量路由引入园区内部,因此建议规划动态路由协议,如OSPF。
NFV vs. SDN
网络虚拟化的技术构架主要包括sdn 与nfv
NFV
由运营商提出,用统一的x86硬件设备来替代通信厂商昂贵的的网络设备。
将网络功能与通信厂商的网络设备设备进行解耦,
在通用的x86硬件设备安装软件 具备相应的网络功能 实现网络功能的虚拟化
通过在通用的x86硬件硬件设备上运行不同的模块化软件,在单一硬件设备上实现多样化的网络功能
SDN
将网络的转发面与控制面解耦,实现自动化、可编程的网络控制。实现集中管理和控制。
硬件仍负责转发,控制面负责决策
起源于园区,成熟于数据中心。
优化网络基础设施架构,如交换机、路由器、无线网络等。简化管理操作。
SDN与NFV并不冲突,二者都是新兴的网络架构。SDN实现了网络的可编程化,NFV以实现网络功能与硬件设备的解耦为目标。SDN和NFV 都以实现网络虚拟化为目标,实现物理设备的资源池化。
NFV也是一种网络架构,它将传统物理设备的网络功能封装成独立的模块化软件,通过在硬件设备上运行不同的模块化软件,在单一硬件设备上实现多样化的网络功能。
SDN和NFV的相似之处主要体现在如下方面:
- 都以实现网络虚拟化为目标,实现物理设备的资源池化。
- 都提升了网络管理和业务编排效率。
- 都希望通过界面操作或者编程语言来进行网络编排。
网规从网络覆盖、网络容量和AP布放三方面进行方案设计。
- 网络覆盖设计保障覆盖范围内信号强度达到用户要求,减少同频干扰。
- 网络容量设计保障网络带宽能满足上网业务需求,保证流畅的上网体验。
- 在保证网络覆盖和容量设计的前提下,AP布放设计确保AP的布放、安装和连线在实际现场中顺利执行,避免出现AP布放方案不能在现场施工的情况。
NFV vs. SDN
NFV
SDN
将网络的转发面与控制面解耦,实现自动化、可编程的网络控制。让网络硬件设备可编程化,实现集中管理和控制。
开放可编程的控制平面
硬件仍负责转发,控制面负责决策
起源于园区,成熟于数据中心。
优化网络基础设施架构,如交换机、路由器、无线网络等。简化管理操作。
关系
SDN与NFV并不冲突,二者都是新兴的网络架构。SDN实现了网络的可编程化,NFV以
实现网络功能与硬件设备的解耦为目标。SDN的应用可以为NFV的发展提供一些借鉴。
无源光网络(passive optical network.PON).是一种点到点结构的网络,用光节点替代电节点,中间不需要交换机等网络设备,构成直接光纤通信网络。
信号传输和交换---直以光的形式存在。只在进出网络时进行光电转换 ,在光信号传输过程中,任何一个网络节点都不处理客户信息,实现了客户信息的透明传输。
无源光网络技术及架构可直接用于校园网络的整体更新和改造。
基于PON设备的全光网ODN包括光线路终端(OLT)和光网络单元(ONU)两种主要设备,
OLT是连接光纤中继终端的设备,是全光网中重要的中央设备,用于上联上层网络的上行接人,再通过光纤和无源分光器POS下连ONU设备,
通过单根光纤与用户端互连分光器,分光器下连到ONU设备,实现对用户终端设备ONU的控制和测距。
使用全光网架构的校园基础网络相比交换路由设备的弱电组网具有明显优势:
(1)网络吞吐率高。光网络大幅提升了吞吐能力,理论上带宽没有限制,只受限于网络进出时光电转换设备的带宽限
制,如10Gpon光网可轻松应对4K以上超高清及VR等应用。
(2)网络结构简单------大二层结构 OLT经分光器后直接连接ONU设备,ONU直接连接网络终端设备。网络
采用透明光通路链接,不需要价格较高且性能和带宽受限的交换机等网络设备,不受双绞线100米超距问题的影响,
极大地提高了传输容量和传输质量。
(3)组网成本低。全光网络使用单光纤连接,光纤数量少,单位长度的光纤成本低于网络电缆,用于铺设线缆的桥架也可以更小,建筑安装成本更低,同时节约了建筑空间。OLT和ONU设备整体成本也低于交换路由网络设备
(4)开放扩展性强。用光不同波长作为路由选择以兼容不同的协议、频率、制式和速率,实现端到端的业务 使用虚波长通道技术,网络扩展加入新节点不会影响到原有网络和设备。
(5)业务重构能力强。可直接新建直通光通道改变网络的结构,在不同节点可实现波长路由选择实现
动态重建。
(6)高可靠易维护。因使用无源的光信号处理元件,整体易于维护、网络的可靠程度高。室内的信号覆盖,所以,在规划5G校园虚3400MHz-3500MHz的带宽,信号频率比4G高,信号传输距离较短,穿透损耗大
高品质万兆园区网络解决方案 V100R023C10 部署指南-办公园区(VXLAN组网)
https://support.huawei.com/enterprise/zh/doc/EDOC1100368575/c692d5ea
华为智能云网云园区网络(CloudCampus)解决方案,应用前沿的有线和无线技术,加持大数据、AI和云技术,以业务为中心,构建万物互联、业务无忧和可平滑演进的园区网络,使能行业数字化转型。
iMaster NCE-Campus是智能云网云园区网络(CloudCampus)解决方案的重要组成,是华为推出的新一代园区与分支网络控制器,支持网络部署自动化,策略自动化,SD-WAN等创新方案,帮助企业降低OPEX运维成本,加速业务上云与数字化转型,让网络管理更便捷,让网络运维更智能。
基于7大类430+开放的API接口,华为智能云网云园区网络解决方案面向行业构建开放的架构,帮助客户使能数字化的行业园区网络。
什么是第三方认证?
第三方认证主要应用于商业Wi-Fi场景,在商场酒店、机场地铁、企业来访等场景通过Wi-Fi访问互联网时,网络提供方需要对接入网络的访客进行用户认证,同时提供宣传,推荐及营销等功能,访客通过认证后才被允许接入Wi-Fi使用网络。
由于出口和核心设备 部署在核心机房,地理位置集中,业务复杂,开局通常需要网络工程师进站调测。
因此核心层及核心以上的设备(包含核心层设备,旁挂独立AC设备和出口设备)推荐采用WEB网管开局方式或命令行开局方式。
核心以下的设备(包含汇聚层设备、接入层设备和AP)由于数量众多,业务配置相似,
从简化部署考虑, 采用DHCP Option方式即插即用开局。
核心层交换机通过本地命令行(CLI)获取基础配置(如IP地址),完成网络开局。一旦和控制器建立管理通道后,后期业务都是通过控制器自动下发的。
网络开局 与 Underlay网络自动化
基于DHCP的设备即插即用开局流程
待开局设备通过DHCP服务器获取设备NETCONF使能状态和iMaster NCE-Campus地址过程
- 管理员在网络的核心设备部署DHCP服务器功能,配置DHCP Option 148
选项,其中包含设备的NETCONF使能状态、iMaster NCE-Campus的
URL/IP和端口号信息。
- 待开局设备(如图为SW1)空配置启动后,先使用VLAN 1 (缺省情况,交
换机的PnP VLAN为VLAN1)主动向DHCP服务器发起请求。
- DHCP服务器收到请求后,就会向SW1回应一个携带Option 148选项的
DHCP报文。
- SW1根据Option 148选项中的内容(NETCONF使能状态,iMaster NCE-
Campus的URL/IP和端口号)向控制器注册上线。
管理员在核心交换机(Core)部署DHCP服务器功能,配置Option 148.
管理员在iMaster NCE-Campus创建园区站点。
管理员将交换机的信息(ESN号、设备型号等)导入到iMaster NCE-Campus(可批量导入)配置Core,使其被iMaster NCE-Campus纳管。
Fabric设计
园区Fabric是对Underlay网络抽象后的资源池化网络,Fabric将Underlay网络资源池化,以便实现"一网多用"。
Fabric设计主要包含以下部分:
Fabric网络资源规划 组网及节点设计 外部网络互联设计 网络服务资源规划 接入管理设计
Fabric网络资源规划:
在创建VN之前,需要提前进行全局资源配置,包括VLAN、 VXLAN网络标示(VNI)和桥接广播域(BD )三类资源池的设置。创建VN时, iMaster NCE-Campus会从该
资源池内自动分配相关资源。
互联VLAN: Fabric在创建外部网络资源时,需要互联VLAN,与出口网络对接。
Fabric在创建网络服务资源时,需要互联VLAN,与网络管理区对接。
BD:在VN中隔离二层广播域,一般与用户接入的业务VLAN是1:1的对应关系。
BD规划的资源范围要满足用户的业务VLAN数量,默认范围1~4095。
VNI:类似于VLAN ID,用于区分VXLAN段,默认范围1~4095。
Fabric组网场景汇总
针对二层或三层组网架构,可选Border或Edge作为网关。
云园区网络虚拟化方案基于用户网关的位置,主要分为集中式网关和分布式网关两种,
集中式网关方案中,用户网关集中部署在Border节点,所有跨子网的流量都经过Border节点进行转发;
分布式网关方案中,用户网关部署在多个Edge节点上,跨子网的流量通过Edge节点转发。
集中式网关: Border做网关可统一集中管理、简化运维。
分布式网关:Edge做网关方便扩展网络规模。
为了实现可统一集中管理、简化运维。本方案采用 Border做网关 集中式网关方式, VXLAN到汇聚, 核心旁挂独立AC
Overlay设计
Fabric接入管理设计
创建Fabric过程中,需要对用户接入的认证控制点进行设计,包括接入点资源池规划,
其中,有线接入点资源指的是终端接入的交换机端口,
无线接入点资源指的是终端接入的SSID。
在集中式网关方案中:
。有线用户接入认证控制点建议部署在Edge,在Fabric接入管理中进行设计规划。
无线用户接入认证控制点部署在AC,认证控制点的设计规划取决于AC的类型。
在大中型虚拟化园区网络方案中,每个VN为一个VPN实例(VRF), 一个VN中可以包含多个子网,同一VN内的用户之间默认可以三层互通, VN之间的用户默认是隔离
的。通常根据园区的业务来划分,独立的业务作为一个VN,
VN之间默认是隔离的。例如在企业园区中,办公网络业务、生产网络业务、科研网络业务等可划分成独立的VN。
VN接入设计:
Edge节点是业务数据从物理网络进入VN的边界点,根据用户所属的VLAN进入不同的VN。
因此在设计网络时,需要先规划好物理网络的VLAN和VN的BD的映射关系,同时配置有线用户和无线用户的VLAN。
有线线用户的VN接入设计
静态VLAN方式适用于终端接入位置固定、不认证的场景,这种接入方式更安全,但是缺乏灵活性,当终端位置发生变化时,需要重新配置。
动态授权VLAN的方式是结合用户认证流程下发VLAN信息的,适用于任意位置接入,且需要认证的场景,这种接入方式灵活性高,当终端位置变化时,不需
要修改配置。动态接入的自动化程度更高,管理和使用更方便,建议采用动态
接入方式。
无线用户的VN接入设计:
采用集中式网关, Border节点部署随板AC功能,建议规划无线用户流量直接通过CAPWAP隧道转发至随板AC,随板AC解封装CAPWAP报文后根据VLAN
进入对应的VN。管理员需将有线终端和无线终端接入VLAN划分在不重叠范围,
有线终端VLAN在Edge绑定BD,无线终端VLAN在Border绑定BD。
动态授权VLAN的方式是结合用户认证流程下发VLAN信息的,适用于任意位置接入,且需要认证的场景,这种接入方式灵活性高,当终端位置变化时,不需
要修改配置。动态接入的自动化程度更高,管理和使用更方便,建议采用动态
VN设计:
虚拟网络通常根据园区的业务来划分,独立的业务作为一个VN,
VN之间默认是隔离的。例如在校园网中,访客业务、教学业务、物联网业务、视频监控业
务等可以划分成独立的VN。
例如在企业园区中,办公网络业务、生产网络业务、科研网络业务等可划分成独立的VN。
策略设计:
由于用户角色的差异而导致的部分隔离需求,可通过部署策略管控技术(如业务随行)实现。
VN间默认是隔离的,需考虑VN内用户组间的访问需求,做额外的VN互通配置。
VN接入设计:
Edge节点是业务数据从物理网络进入VN的边界点,根据用户所属的VLAN进入不同的VN。
因此在设计网络时,需要先规划好物理网络的VLAN和VN的BD的映射关系,同时配置有线用户和无线用户的VLAN。
在大中型虚拟化园区网络方案中,每个VN为一个VPN实例(VRF), 一个VN中可以包含多个子网,同一VN内的用户之间默认可以三层互通, VN之间的用户默认是隔离
的。通常根据园区的业务来划分,独立的业务作为一个VN,
VN之间默认是隔离的。例如在企业园区中,办公网络业务、生产网络业务、科研网络业务等可划分成独立的VN。
VN接入设计:
Edge节点是业务数据从物理网络进入VN的边界点,根据用户所属的VLAN进入不同的VN。
因此在设计网络时,需要先规划好物理网络的VLAN和VN的BD的映射关系,同时配置有线用户和无线用户的VLAN。
有线线用户的VN接入设计
静态VLAN方式适用于终端接入位置固定、不认证的场景,这种接入方式更安全,但是缺乏灵活性,当终端位置发生变化时,需要重新配置。
动态授权VLAN的方式是结合用户认证流程下发VLAN信息的,适用于任意位置接入,且需要认证的场景,这种接入方式灵活性高,当终端位置变化时,不需
要修改配置。动态接入的自动化程度更高,管理和使用更方便,建议采用动态
接入方式。
无线用户的VN接入设计:
采用集中式网关, Border节点部署随板AC功能,建议规划无线用户流量直接通过CAPWAP隧道转发至随板AC,随板AC解封装CAPWAP报文后根据VLAN
进入对应的VN。管理员需将有线终端和无线终端接入VLAN划分在不重叠范围,
有线终端VLAN在Edge绑定BD,无线终端VLAN在Border绑定BD。
动态授权VLAN的方式是结合用户认证流程下发VLAN信息的,适用于任意位置接入,且需要认证的场景,这种接入方式灵活性高,当终端位置变化时,不需
要修改配置。动态接入的自动化程度更高,管理和使用更方便,建议采用动态
:https://blog.csdn.net/qq_25467441/article/details/140214072
园区网络典型物理架构
Internet
WAN
出口区
出口区:园区内部网络到外部网络的边界,用于实现内部用户接入到公网,外部用户(包括客户、合作伙伴、分支机构、远程用户等)接入到内部网络。可以在出口区部署防火墙设备保证内部网络的安全性。
数据中心
网管运维区
核心层:是园区数据交换的核心,联接园区网的各个组成部分,如数据中心、管理中心、园区出口等。
汇聚层:主要用于转发用户间的"横向"流量,同时转发到核心层的"纵向"流量。汇聚层可作为部门或区域内部的交换核心,另外
还可以扩展接入终端的数量。
接入层:为用户提供各种接入方式,是终端接入网络的第一层。
终端层:终端层是指接入园区网络的各种终端设备,例如电脑、打
印机、IP话机、手机、摄像头等。
接入层
数据中心:部署服务器和应用系统的区域,为企业内部和外部用户
提供数据和应用服务。
终端层
iStack/CSS链路
网管运维区:管理网络服务器(例如网管系统、认证服务器等)的
区域。
9
Huawei Confidential
HUAWEI
为什么选择VXLAN实现园区网络虚拟化
vlan 技术 只支持二层网络虚拟化
MPLS VPN 运营商级别的技术要求 需端到端支持MPLS
VXLAN 可构建在任意物理网络之上
VXLAN可构建在任意复杂的三层网络之上。支持三层虚拟网络。搭配SDN控制器实现集中自动化部署及 设备的即插即用,已有成功实践。
一对VTEP地址就对应着一条VXLAN隧道。
在源端封装报文后通过隧道向目的端VTEP发送封装报文,目的端VTEP对接收到的封装报文进行解封装。
通常情况下使用设备的Loopback接口地址作为VTEP地址。
BD (Bridge Domain,桥域):
。 类似VLAN ID,用于区分VXLAN段。不同VXLAN段的虚拟机不能直接二层相互通信。
。类似传统网络中采用VLAN划分广播域,在VXLAN网络中一个BD就标识一个大二层广播域。
。 一个租户可以有一个或多个VNI, VNI长度为24 bit,支持多达16 M的租户。
。 VNI以1:1方式映射到广播域BD,同一个BD内的终端可以进行二层互通。
在计算机中,24位色(也称为2的24次方)指的是RGB色彩模式中的颜色组合数量,即红色、绿色和蓝色三个颜色通道各自有256级(从0到255),因此总共能组合出约1678万种色彩。这种色彩深度在许多应用中提供了足够的色彩丰富性,满足大多数视觉需求12。
内部路由设计:
主要满足园区内部设备、终端的互通需求并且与外部路由交互。根据网关位置,建议按照如下两种场景设计内部路由:
网关在汇聚层:核心层、汇聚层都需要部署路由,考虑路由表能够根据网络拓扑变化而动态刷新,推荐规划IGP动态路由协议,如OSPF。
网关在核心层:只需要在核心层配置路由,建议优先采用静态路由。
Router ID建议采用Loopback接口IP地址。
- 区域(Area)划分遵循核心、汇聚、接入的分层原则,
骨干区域建议包含出口路由器和核心交换机,非骨干区域的设计则是根据地理位置和设备性能而定。
出口路由设计:主要满足内部终端访问Internet、广域网的需求。
大中型园区一般企业分支机构众多,出口需要支持多种链路用于Internet
访问和企业内部互访,需要大量路由引入园区内部,因此建议规划动态路由协议,如OSPF。
大中型园区出口和核心设备通常部署在核心机房,地理位置集中,业务复杂,开局通
常需要网络工程师进站调测。因此核心层及核心以上的设备(包含核心层设备,旁挂
独立AC设备和出口设备)推荐采用WEB网管开局方式或命令行开局方式。
核心以下的设备(包含汇聚层设备、接入层设备和AP)由于数量众多,业务配置相似,
从简化部署考虑,推荐采用DHCP Option方式即插即用开局。
说明:核心层交换机通过本地命令行(CLI)获取基础配置(如IP地址),完成网络
开局。一旦和控制器建立管理通道后,后期业务都是通过控制器自动下发的。
基于DHCP的设备即插即用开局流程
待开局设备通过DHCP服务器获取设备NETCONF使能状态和iMaster NCE-Campus地址过程
- 管理员在网络的核心设备部署DHCP服务器功能,配置DHCP Option 148
选项,其中包含设备的NETCONF使能状态、iMaster NCE-Campus的
URL/IP和端口号信息。
- 待开局设备(如图为SW1)空配置启动后,先使用VLAN 1 (缺省情况,交
换机的PnP VLAN为VLAN1)主动向DHCP服务器发起请求。
- DHCP服务器收到请求后,就会向SW1回应一个携带Option 148选项的
DHCP报文。
- SW1根据Option 148选项中的内容(NETCONF使能状态,iMaster NCE-
Campus的URL/IP和端口号)向控制器注册上线。
管理员在核心交换机(Core)部署DHCP服务器功能,配置Option 148.
管理员在iMaster NCE-Campus创建园区站点。
管理员将交换机的信息(ESN号、设备型号等)导入到iMaster NCE-Campus(可批量导入)配置Core,使其被iMaster NCE-Campus纳管。
Fabric设计
园区Fabric是对Underlay网络抽象后的资源池化网络,Fabric将Underlay网络资源池化,以便实现"一网多用"。
Fabric设计主要包含以下部分:
Fabric网络资源规划 组网及节点设计 外部网络互联设计 网络服务资源规划 接入管理设计
Fabric网络资源规划:
在创建VN之前,需要提前进行全局资源配置,包括VLAN、 VXLAN网络标示(VNI)和桥接广播域(BD )三类资源池的设置。创建VN时, iMaster NCE-Campus会从该
资源池内自动分配相关资源。
互联VLAN: Fabric在创建外部网络资源时,需要互联VLAN,与出口网络对接。
Fabric在创建网络服务资源时,需要互联VLAN,与网络管理区对接。
BD:在VN中隔离二层广播域,一般与用户接入的业务VLAN是1:1的对应关系。
BD规划的资源范围要满足用户的业务VLAN数量,默认范围1~4095。
VNI:类似于VLAN ID,用于区分VXLAN段,默认范围1~4095。
Fabric组网场景汇总
针对二层或三层组网架构,可选Border或Edge作为网关。
集中式网关: Border做网关可统一集中管理、简化运维。
分布式网关:Edge做网关方便扩展网络规模。
优先推荐组网场景:
·集中式网关, VXLAN到汇聚, 核心旁挂独立AC。E
Fabric组网场景汇总
针对二层或三层组网架构,可选Border或Edge作为网关。
集中式网关: Border做网关可统一集中管理、简化运维。
分布式网关:Edge做网关方便扩展网络规模。
为了实现可统一集中管理、简化运维。本方案采用 Border做网关 集中式网关方式, VXLAN到汇聚, 核心旁挂独立AC
Fabric设计
Overlay设计
Fabric网络服务资源规划
在Fabric的网络服务资源设计中,通过在Border节点创建网络服务资源,使得园区内部业务终端能够访问网络管理区的服务资源,比如DHCP服务器、准入服务器等。
网络服务资源根据部署位置不同,在Fabric中有3种场景设计模型。
直连服务器场景 Border与网络服务资源直连,Border将互联端口以Untagged方式加入互联VLAN。
直连交换机场景 Border通过交换机与网络服务资源相连,Border将互联端口以Tagged方式加入互联VLAN。
服务器部署在远端场景 Border通过外部网络与网络服务资源相连。
Overlay设计
Fabric接入管理设计
创建Fabric过程中,需要对用户接入的认证控制点进行设计,包括接入点资源池规划,
其中,有线接入点资源指的是终端接入的交换机端口,
无线接入点资源指的是终端接入的SSID。
在集中式网关方案中:
。有线用户接入认证控制点建议部署在Edge,在Fabric接入管理中进行设计规划。
无线用户接入认证控制点部署在AC,认证控制点的设计规划取决于AC的类型。
Overlay设计
Fabric接入管理设计
创建Fabric过程中,需要对用户接入的认证控制点进行设计,包括接入点资源池规划,
其中,有线接入点资源指的是终端接入的交换机端口,
无线接入点资源指的是终端接入的SSID。
在集中式网关方案中:
。有线用户接入认证控制点建议部署在Edge,在Fabric接入管理中进行设计规划。
无线用户接入认证控制点部署在AC,认证控制点的设计规划取决于AC的类型。
VN设计:
虚拟网络通常根据园区的业务来划分,独立的业务作为一个VN,
VN之间默认是隔离的。例如在校园网中,访客业务、教学业务、物联网业务、视频监控业
务等可以划分成独立的VN。
例如在企业园区中,办公网络业务、生产网络业务、科研网络业务等可划分成独立的VN。
策略设计:
由于用户角色的差异而导致的部分隔离需求,可通过部署策略管控技术(如业务随行)实现。
VN间默认是隔离的,需考虑VN内用户组间的访问需求,做额外的VN互通配置。
VN接入设计:
Edge节点是业务数据从物理网络进入VN的边界点,根据用户所属的VLAN进入
不同的VN。
因此在设计网络时,需要先规划好物理网络的VLAN和VN的BD的映射关系,同时配置有线用户和无线用户的VLAN。
在大中型虚拟化园区网络方案中,每个VN为一个VPN实例(VRF), 一个VN中可以包含多个子网,同一VN内的用户之间默认可以三层互通, VN之间的用户默认是隔离
的。
静态VLAN方式适用于终端接入位置固定、不认证的场景,这种接入方式更安全,
但是缺乏灵活性,当终端位置发生变化时,需要重新配置。
动态授权VLAN的方式是结合用户认证流程下发VLAN信息的,适用于任意位置
接入,且需要认证的场景,这种接入方式灵活性高,当终端位置变化时,不需
要修改配置。动态接入的自动化程度更高,管理和使用更方便,建议采用动态
接入方式。
无线用户的VN接入设计:
如果采用分布式网关, Border节点部署随板AC功能,无线用户流量经过CAPWAP隧道转发至随板AC,随板AC解封装CAPWAP报文后,再根据无线用户
所属的VLAN进入对应的VN。
如果采用集中式网关, Border节点部署随板AC功能,建议规划无线用户流量直接通过CAPWAP隧道转发至随板AC,随板AC解封装CAPWAP报文后根据VLAN
进入对应的VN。管理员需将有线终端和无线终端接入VLAN划分在不重叠范围,
有线终端VLAN在Edge绑定BD,无线终端VLAN在Border绑定BD。
VN之间的互访,可以通过Border或外部网关实现。
通过Border互通
两个VN如果属于相同的安全区域,安全控制需求比较低,可以直接在Border上互通,另外可以结合业务随行策略进行更精细化的权限控制。
要实现不同VN的互通,需要在Border上互相引入对方可访问的网段路由。
通过外部网关互通
两个VN如果属于不同的安全区域,安全控制需求高,建议在外部网关防火墙上做互通,同时在防火墙上配置安全区域策略进行权限控制。
每个虚拟网络对应一个VRF。每个虚拟网络对应多个子网,每个子网对应一个BD和VNI。终端按VLAN进入虚拟网络。
整体设计原则:
树形组网、环形组网(核心设备)。
可靠性考虑:
节点高可靠性:集群、堆叠、双机热备(AC或FW等)。
链路高可靠性:冗余链路、Eth-Trunk。
组网层次设计原则:
。两层组网:网络层次简单,问题易定位。
。 三层组网:适用于多楼栋或多区域的园区场景。
云计算时代,越来越多的用户把关注点从网络的连通性转移到业务的可用性上,如业务的可获得性、响应速
度和业务质量等。但是传统网络无法感知链路的质量和业务的需求,导致用户的业务体验较差。
SPR就是在这一背景下产生的一种策略路由。
它可以主动探测链路质量并匹配业务的需求,从而选择一条最优链路转发业务数据,可以有效地避免网络黑洞、网络震荡等问题。
业务可靠性简介
云计算时代,网络的可靠性不再满足用户的需求,用户希望能够基于应用了解现网的情
况,并根据应用的现状调整网络。
这种需求对于原有的网络提出了挑战:
传统的网络无法很好地识别应用。
传统的网络无法基于应用调整。
为了应对以上挑战,产生了两种技术:
SAC ( Smart Application Control,智能应用控制),该技术能够灵活地识别应用。
SPR ( Smart Policy Routing,智能策略路由) ,该技术能够基于网络的状况或者应用的状况切换转发路径。
VRRP
主机与外部网络互联需要通过网关,当单网关出现问题时会面临较长时间的业务中断。
增加出口网关是提高系统可靠性的常见方法,此时如何在多个出口之间进行选路就成为需要解决的问题。
VRRP (Virtual Router Redundancy Protocol,虚拟路由冗余协议)把多台路由设备联合组成一台虚拟的路由设备。
当网关设备发生故障时, VRRP机制能够选举新的网关设备承担数据流量,从而保障网络的高可靠性。
业务可靠性
云计算时代,网络的可靠性不再满足用户的需求,用户希望能够基于应用了解现网的情况,并根据应用的现状调整网络。
这种需求对于原有的网络提出了挑战:
传统的网络无法很好地识别应用。传统的网络无法基于应用调整。为了应对以上挑战,产生了两种技术:
SAC (Smart Application Control,智能应用控制),该技术能够灵活地识别应用
SPR (Smart Policy Routing,智能策略路由) ,该技术能够基于网络的状况或者应用的状况切换转发路径。