(方案)广汽乘用车园区网络建议书32244.pdf

《(方案)广汽乘用车园区网络建议书32244.pdf》由会员分享，可在线阅读，更多相关《(方案)广汽乘用车园区网络建议书32244.pdf（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、.广汽乘用车网络建议书 版本 1.0 2015 年 8 月 .第一章 建网原则与目标 1.1建网原则 高可靠性-网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各业务系统的正常运行。技术先进性和实用性-保证满足用户应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到楼层网络应用的现状和未来发展趋势。高性能-骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的

2、高质量传输.标准开放性-支持国际上通用标准的网络协议（如 TCP/IP）、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如公共数据网、金融网络、行其它网络)之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性-根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。可管理性-对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理。1.2目标网络 随着网络及应用技术日新月异，正在向应用多样化、综合化发展，本次系统网络的总体目标是建设一个具有较大容量高速传输能力的、有可靠稳定服务质量保证的信

3、息化综合网络。具体建设目标如下：.一、架构高速的网络通道，组建一个具有网络延时小、响应速度快、传输效率高、信息吞吐量大、高可用的综合应用网络，满足数据集中要求，具备业务可扩展能力。二、建立多应用统一的网络平台，为目前和今后的业务与管理等不同应用系统提供统一的多功能的网络支撑环境。通过完善的 QoS 服务质量保证手段，确保对于不同要求的应用能实现相应的延时变化、带宽及丢包率的具体要求，保证同一网络平台上的多种应用能够正常运行。同时确保网络不发生拥塞，提高网络的使用效率。三、建立具有先进性与可扩展性的网络体系，为广汽乘用车系统网络提供持续发展前景。四、建立规化、标准化的安全体系，为全网提供安全可靠

4、的安全运行机制。五、建立统一的网络管理平台，应用高效科学的网络管理技术，实时监控网络运行情况，提高网络管理水平。第二章 组网方案 2.1方案设计 本次网络构建是因为广汽乘用车系统需要新建园区网络，需要考虑设备的稳定性、吞吐量和延时。鉴于办公网络越来越丰富，对网络的带宽和性能的要求也在逐步提高。本次项目网络的组网架构为典型的三层架构，楼层接入交换机堆叠后连接三层汇聚交换机，由汇聚交换机终结二层流量，数据中心核心交换机通过千兆光或电口连接服务器或者服务器接入区交换机，并且使用 CSS 集群技术将 2 台核心设备虚拟成一台，园区核心交换机使用 CSS2 技术集群，负责整个园区网络的流量转发，三层网络

5、架构更为分明，便于管理维护。构建后网络设备承载所有楼层全部的办公、服务器等关键业务。.2.1.1 方案描述 楼层接入层交换机：推荐使用 10/100/1000M 自适应交换机，即华为新一代绿色节能的全千兆高性能二层以太交换机 S5700-28P-LI-AC。通过 iStack 堆叠链路捆绑保证可靠性和防止网络环路，并且提高网络整体吞吐量。S5700-28P-LI-AC 交换机 园区核心交换机：核心机房网络是核心，因此网络设备的处理性能、稳定性等因素决定了业务的质量。为建设一个稳定、可靠、高性能的骨干网，我们建议采用高可靠性、高性能的华为公司 S12708 交换机，其主要亮点和创新有置 ENP(

6、华为自主研发下一代交换机芯片)，支持 SDN，支持随板 AC，随板 BRAS 功能（即正常接口板卡，可以支持无线控制器和计费功能），CSS2 交换网硬件集群（华为自主研发业界独创集群技术，交换背板集群方式）支持384*10GE/64*40GE。S12708 交换机 .汇聚交换机：推荐使用华为 S5700-28C-EI-24S-AC、新一代绿色节能的全千兆高性能三层以太交换机，其主要亮点和创新有，4*10GE 万兆上行，iStack 堆叠，支持 OSPF，BGP，ISIS，IGMP，IPV6 支持 EEE 能效以太网支持 G.8032 支持双电源槽位 网络管理软件：推荐使用华为 Esight 软

7、件，eSight 是华为企业网络产品线面向企业市场推出的 IP+IT 统一网络管理系统，遵循 ITIL 规，为企业和合作伙伴提供融合、开放的运维平台，实现对企业资源、业务以及用户的统一管理，可对全网设备提供统一性能、告警、资源、配置、拓扑能力，实现全网设备的统一管理，简化管理，提升运维效率，是网络运维优化必不可少的工具，其主要亮点和创新有，eSight 智能报表 NTA 网流分析管理组件等 Esight 软件 无线 AP：推荐使用华为 AP5130DN，此 AP 为经济适用级 802.11ac 产品，整机 1.75Gbps 接入，特性丰富，适合部署在企业办公、机场车站、数字列车、体育场馆等环境

8、，高密用户接入无忧，无线业务自在随行。性能特点，33MIMO(三条空间流)，最高速率 1.75Gbps，外置天线，增益 20dbm .2.1.2 方案分析 本方案充分利用大容量设备简化网络结构，实现典型的三层结构：核心，汇聚、接入三层网络结构。当前主流厂家核心设备已经具备高密度 10GE 和 40GE 接口能力和 Tbit 交换能力，为网络后续升级提供足够的性能，满所有现网业务需求和未来 3-5 年的使用需求，减轻核心交换机转发压力。从投资来说：一次性投入，后续扩容只需增加接入交换机以及 WLAN 网络的配置。从安全角度来看：把二层网络围缩小，不安全的二层广播域围会大大减小。从可靠性角度来看：

9、核心设备的可靠性设计达到冗余和负载均衡的目的，可靠性会提升一个量级。从后期维护来看：网络层次简单清晰，网络节点减少，更方便维护。从转发效率来看：网流量交换路径缩短，延迟肯定减小，整网规模减小，全网效率也会提升。2.2 网络结构的特点分析 本方案充采用典型的三层结构：核心，汇聚、接入，结构较为清晰，便于扩展。从投资来说：一次性投入，后续扩容只需增加接入交换机以及这部分网络的配置；从安全角度来看：核心设备不容易受到直接干扰；安全策略和安全改造较容易实现；广播风暴限制在所级单位；从可靠性角度来看：网络层次比较清晰，便于扩展，核心压力较小；从网络网络规划看：有一个清晰的路由层面和交换层面，设备及互连链

10、路减少，同时节省 IP 地址，规划更简洁。乘用车现网网络架构分析 .现有网络存在以下几个问题：1.设备老旧容易出现故障，有中断业务的危险性。2.设备互连方式没有冗余设计，容易出现单点故障。3.设备性能低，难以维持日后的网络业务升级。2.3园区网整体网络建设规划 2.3.1 物理组网规划 如错误!未找到引用源。所示，核心区域建议采用园区出口、核心层、和接入层的架构模型，具有如下的优势：层次化设计：核心层、接入层，每层功能清晰，架构稳定，易于扩展和维护。模块化设计：每一个模块一个楼层，部门部调整涉及围小，定位问题也容易。冗余性设计：双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护

11、。对称性设计：网络的对称性便于业务部署，拓扑直观，便于设计和分析。园区网核心区的星型设计使得网络架构简单，易于维护和部署。但星型不等于不成环，仍然需要运行破环协议，推荐使用 MSTP 协议。2.3.3 核心层设计规划 核心层部署园区的核心设备，连接所有的汇聚交换机，转发各个部门之间的流量。核心层对三个以上部门规模的企业来说是必须的，除了减少连线、路由 Peer 之外，让扩展以及日常策略调整也变得简单。通常情况下，核心层需要采用全连接结构，保持核心层设备的配置尽量简单，并且和业.务部门无关。当前交换机技术发展已经开始走向虚拟化、软件定义化（SDN），所选择核心设备应具备向未来网络平滑演进能力，才

12、能保障投资有效性 方案实际核心层部署园区的核心设备，通过2台核心双10GE链路连接数据中心交换机，1GE 光纤链路连接汇聚交换机，转发各个楼层之间的流量以及数据中心流量。园区核心层建议部署 2 台，使用 CSS2 技术将 2 台核心交换机虚拟成一台虚拟交换机进行业务处理配置集群方式是通过业务端口堆叠，部署集群的优点是组网配置管理简单、。该方案重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用TRUNK 链路保证链路级可靠性。为了增加网络可靠性、降低网络组网复杂度，办公楼网络未来向虚拟化、扁平化方

13、向发展，同层次交换机可以多台虚拟成一台，接入交换机通过堆叠（Stack）特性，将多台接入交换机虚拟成一台接入交换机，核心交换机通过 CSS2（Cluster Switch）将两台交换机虚拟成一台交换机。网络接入层/汇聚层/核心层交换机虚拟化后，可以减少网络节点、简化网络拓扑，二层网络不需要部署 RSTP/MSTP/RRPP/Smart Link 等复杂的环网协议和可靠性保护协议，实现无二层环路网络构建，提高二层网络可靠性和链路故障收敛性能，三层网络虚拟化的多台设备间路由表统一计算、路由收敛速度快，通过交换机虚拟化设计，交换机互联的两条链路就可以作为 Trunk 链路进行管理，对于虚拟交换机而言

14、，实现跨设备的链路聚合（TRUNK），大大增强链路可靠性，另外可实现链路的流量负载均衡，构建无二层环路网络，网络可靠性（链路故障自收敛性能）和带宽利用率都得到提高。根据当前业务模块统计，广汽乘用车网络承载的业务类型主要有生产、办公、监控。因此将基于这几部分业务流量进行分析未来网络承载能力需求。暂按照本次网络满足未来 5 年需求进行分析，即能满足 2020 年业务需求为目标。办公业务需求预计：规模预计：当前广汽乘用车办公终端大概有 2000 用户，预计今后每年有 10%发展速度，即在 2020年用户数将达近 3220 人 办公业务带宽需求模型预计：当前每个用户带宽需求预计为 22Mbps 左右,

15、其中 办公业务：18Mbps 上网业务：2Mbps 语音业务：128kbps 考虑每年用户业务带宽需求增长 10%左右，那么预计在 2020 年单用户带宽需求约为35Mbps 由于上述需求主要为办公业务为主，并发率较高，在此按照 80%并发计算，那么根据上述用户规模以及业务带宽需求，在 2020 年广汽乘用车整体网络需要承载的业务流量将达：3220*35*80%=90.2Gbps 同时网络需要考虑至少 50%冗余，那么 2020 年整网应该承载的办公业务流量需求为 90.2/50%=180.4Gbps 实际配置：配置华为 12708 核心交换机，配置 248 端口电口和光口接口板，248 口电

16、口接口板卡，12 口万兆接口板卡，每台机配置 28 端口集群卡，共使用 4 根线缆，每卡占用 2.个端口，此种集群方式主要在交换网板上配置，不占用宝贵的业务槽位。2.3.4 接入层设计规划 接入层是最靠近用户的网络，为用户提供各种接入方式，是终端接入网络的第一层，一般部署二层设备，双归属到汇聚层两个不同的交换机。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。接入层需要具有高端口密度，以支持更多的终端接入园区网络。车间接入交换机：根据需求部署 138 台接入交换机 S5700-28P-LI-AC 在不同弱电井中使用业务端口堆叠技术进行堆叠，并通过千兆电口接入汇聚交换机，通

17、过千兆电口接入汇聚交换机的 combo 电口口特点是易管理、易扩展、低成本的千兆到桌面的接入设备。.2.3.5 汇聚层设计规划 汇聚层是部门的核心，转发部门用户间的“横向”流量。同时提供到核心层的“纵向”流量。对接入层隐藏核心层，作为园区网的配线架，将大量用户接入到互联的网络中，扩展核心层设备接入用户的数量。如下图所示，汇聚层需要双归到核心层并支持接入层的双归接入。通常汇聚层承担着L2/L3边缘的角色，需要具有高带宽、高端口密度、高转发性能等特点，用于支撑该汇聚层下各业务部门之间的流量 此次规划车间1和车间2等部署4台汇聚交换机，使用堆叠技术后将2台虚拟为一台后，每台配置一个单模光口上行模块实

18、现双上行到核心交换机，便于管理和更加可靠运行。共部署 8 台 S5700-28C-EI-24S-AC，下行为千兆光口，上行为 combo 口，特点是扩展好，性能优支持三层功能，并且更加节能，成本低性价比高等特点。2.3.6 网管规划 华为网管方案主要采用 esight，eSight 是华为推出的新一代面向企业园区和分支网络的管理系统，实现对企业资源、业务、用户的统一管理以及智能联动，支持对 IT&IP 以及第三方设备的统一管理，同时对网络流量、接入认证角色等进行智能分析，自动调整网络控制策略，全方位保证企业网络安全。同时 eSight 提供灵活的开放平台，为企业量身打造自己的智能管理系统提供基

19、础。还可支持 NTA 网流分析功能。针对企业网场景，华为 eSight 提供多种应用，包括：多厂商的设备管理；企业资源统一管理；可视化的企业统一视图；全方位的企业故障监控；机房精细化监控；辅助智能楼宇安防监控；企业网络监控性能管理；分权-分域-分时的用户管理。实际配置：平台软件一套含 60 个节点，以及配置一个 200 个节点的授权。.2.3.7 无线规划 利用华为最新的 802.11AC 技术高，速可靠的无线接入服务，支持 33MIMO，整机最高速率可达 1.75Gbps，支持双以太接口的链路聚合。适合部署在广汽物流仓库中，及时高密用户接入也无忧，方便各种哑终端接入，前期规划部署 40 个

20、AP5130DN，连接以太网接入交换机通过 POE 模块供电。2.3.8 可靠性设计规划 从上述拓扑图可以看到，网络可靠性由双链路冗余来保证。对于双链路冗余的网络，如果接入层进三层，在接入层和核心层之间采用三层路由的方式，通过等价路径再辅助部署 BFD（Bidirectional Forwarding Detection）快速检测故障，就能够保证链路故障、设备故障的快速切换，同时也能够充分利用冗余链路。传统的方案是 STPVRRP 的方案。该方案通过阻塞某些链路的转发实现二层破环，虽然该方案采用了标准的协议，支持多个厂家设备的混合组网，但是其缺点也是显而易见的：收敛时间 传统的 STP（Spa

21、nning Tree Protocol）技术收敛速度慢，在故障发生时，故障收敛时间10 秒；虽然采用 RSTP 进行优化，但收敛时间任是秒级，秒级的业务中断，会导致较差的用户体验。链路利用率低 如果同一机架的服务器属于同一 VLAN，则有一个上行链路的带宽无法利用。带宽利用率只有 50%；虽然 MSTP 基于 VLAN 进行优化，但不能从根本上解决问题。配置维护复杂，网络故障率高 每个接入交换机和汇聚交换机都需要运行 STP 协议，随着接入交换机的增加，交换机需要处理的 STP 也越来越复杂，会导致可靠性问题。我们推荐采用接入层交换机和核心层交换机间的链路进行链路捆绑方案来解决上述问题。这个方

22、案有四大优势：简化管理和配置 组网变得简洁不需要配置复杂的协议，如：STP/SmartLink/VRRP 等。快速的故障收敛 链路故障收敛时间可以控制在10ms，大大降低了网络链路/节点的故障对业务的影响。带宽利用率高 采用链路 Trunk 的方式，带宽利用率可以达到 100%。扩容方便、保护投资 随着业务的增加，当用户进行网络升级时，只需要增加新设备，而不需要更改网络配置。平滑扩容，很好的保护了投资。该方案极大提高了可靠性，以单链路故障率为 1 小时/1 千小时为例，增加到两条链路，就可以将故障率降低到 3.6 秒/1 千小时，可靠性从 3 个 9 提高到 6 个 9。可靠性的另一个重要方面

23、是设备可靠性，核心区设备一般为框式设备，在可靠性方面的.要求包括：支持主控单元的备份 支持电源模块的备份 支持模块化的风扇设计，支持单风扇失效 支持所有模块的热插拔 2.4在本方案中华为的优势 华为 Quidway S 系列以太网交换机采用最新一代高性能硬件和华为公司自主研发的 VRP软件平台，与业界同类产品相比，设计理念先进。在本方案中，二层架构对核心层设备要求更高，还具有如下特点：1、超大容量：核心和汇聚层均推荐采用华为 S12700 高端路由交换机，可构建万兆核心网络、高密度百/千兆自适应接入；S7700 整机可达 30T 的交换容量，每槽位支持 1210GE端口线速转发；最大支持 51

24、2K 路由转发表，能够支持更多三层业务的接入和线速转发；2、高可靠性：除了拥有主流的 STP/RSTP/MSTP、RRPP、Smart-Link、Monitor-Link 等二层高可靠性功能外，还支持 BFD 与各种路由协议的联动（包括 BGP、IS-IS、PIM、FRR、VRRP、VRF 和静态路由）；汇聚层避免单链路故障；3、标准开放：华为公司的产品和技术成熟、广兼容，与 Cisco、天融信、Redware 等多厂商设备的多种技术兼容对接、稳定运行。4、设备的高安全性：核心交换机在二层架构中比在三次架构中更易受到攻击。华为S7700支持层次化 CPU 通过保护：对于从接口板转发到 CPU

25、的协议报文和管理报文，S7700 根据协议类型对各类报文进行流量控制，从而避免 CPU 通道受到 DoS（Denial of Service）攻击而阻塞。对于从接口板转发到 CPU 的协议报文和管理报文，进行详细分类识别、优先级处理，流量控制、白报文过滤、CPU 队列 QoS 调度，CPU 端口限速，阻塞防各种 CPU 攻击，如 DDOS攻击、IP spoof、SYN FLOOD 等等。.第三章 网络技术方案 1.1VLAN 规划 1.1.1 VLAN 概述 VLAN 是将 LAN 的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个 LAN 隔离广播域的技术。当网络规模越来越庞大时，局部

26、网络出现的故障会影响到整个网络，VLAN 的出现可以将网络故障限制在 VLAN 围，增强了网络的健壮性。1.1.2 VLAN 功能划分 用户 VLAN 用户 VLAN 即普通 VLAN，也就是我们日常所说的 VLAN，是用来对不同端口进行隔离的一种手段。VLAN 通常根据业务需要进行规划，需要隔离的端口配置不同的 VLAN，需要防止广播域过大的地方配置 VLAN 用于减小广播域。VLAN 最好不要跨交换机，即使跨交换机，数目也需要限制。Voice VLAN Voice VLAN 是为用户的语音数据流划分的 VLAN，用户通过创建 Voice VLAN 并将连接语音设备的端口加入 Voice V

27、LAN，可以使语音数据集中在 Voice VLAN 中进行传输，便于对语音流进行有针对性的 QoS 配置，提高语音流量的传输优先级，保证通话质量。Guest VLAN 网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN（即Guest VLAN），用户访问该 VLAN 的资源不需要认证，只能访问有限的网络资源。用户从处于 Guest VLAN 的服务器上可以获取802.1x客户端软件，升级客户端或执行其他应用升级程序（例如：防病毒软件、操作系统补丁程序等）。认证成功后，端口离开 Guest VLAN 加入用户 VLAN，用户可以访问其特定的网络资源。Multicas

28、t VLAN Multicast VLAN 即组播 VLAN，组播交换机运行组播协议时需要组播 VLAN 来承载组播流。组播 VLAN 主要是用来解决当客户端处于不同 VLAN 中时，上行的组播路由器必须在每个用户VLAN 复制一份组播流到接入组播交换机的问题。1.1.3 VLAN 规划原则 一个二层网络规划的基本原则：区分业务 VLAN、管理 VLAN 和互联 VLAN 按照业务区域划分不同的 VLAN 同一业务区域按照具体的业务类型（如：Web、APP、DB）划分不同的 VLAN .VLAN 需连续分配，以保证 VLAN 资源合理利用 预留一定数目 VLAN 方便后续扩展 1.1.4 VL

29、AN 规划建议 VLAN 根据多种原则组合划分。按照逻辑区域划分 VLAN 围：例如：核心网络区：100199 服务器区：200999，预留 10001999 接入网络：20003499 业务网络：35003999 按照地理区域划分 VLAN 围 例如：接入网络 A 的地理区域使用 20002199 接入网络 B 的地理区域使用 22002399 按照人员结构划分 VLAN 围 例如：接入网络 A 地理区域 A 部门使用 20002009 接入网络 A 地理区域 B 部门使用 20102019 按照业务功能划分 VLAN 围 例如：Web 服务器区域：200299 APP 服务器区域：3003

30、99 DB 服务器区域：400499 1.2 IP 规划 考虑到后期扩展性，在园区 IP 地址规划时主要以易管理为主要目标。园区网中的 DMZ 区或Internet 互联区有少量设备使用公网 IP，园区部使用的则是私网 IP。IP 地址是动态 IP 或静态 IP 的选取原则如下：原则上服务器，特殊终端设备（打卡机，打印服务器，IP 视频监控设备等）和生产设备建议采用静态 IP。办公用设备建议使用 DHCP 动态获取，如办公用 PC、IP 等。1.2.1 IP 地址规划原则 IP 地址规划的原则 唯一性 一个 IP 网络中不能有两个主机采用相同的 IP 地址。即使使用了支持地址重叠的 MPLS/

31、VPN 技术，也尽量不要规划为相同的地址。.连续性 连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性 地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实意性“望址生意”，好的 IP 地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。园区 IP 地址基本分类 Loopback 地址 为了方便管理，会为每一台路由器创建一个 Loopback 接口，并在该接口上单独指定一个 IP 地址作为管理地址。Loopback 地址务必使用 32 位掩码的地址。最后一位是奇数的表示路由器，是偶数的表示交换机，越是核心的

32、设备，Loopback 地址越小。互联地址 互联地址是指两台网络设备相互连接的接口所需要的地址，互联地址务必使用 30 位掩码的地址。核心设备使用较小的一个地址，互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。业务地址 业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址，业务地址规划时所有的网关地址统一使用相同的末位数字，如：.254 都是表示网关。园区网部的 IP 地址 建议使用私网 IP 地址，在边缘网络通过 NAT 转换成公网地址后接入公网。汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由是可以聚合的，这样可以减少核心网络的路由数目。1.2.

33、2 DHCP 规划 园区网中办公网络建议使用 DHCP，每个 DHCP 网段应保留部分静态 IP 供服务器等设备使用。SEP 的局限性和应用限制 SEP 是我司私有协议，不能和其他公司设备直接对接。SEP 协议具备较强的混合组网能力，从一定程度上解决了这个问题。1.2.3 SEP 的应用场景和注意点 SEP 协议应用于对保护性能要求较高的二层以太网络，可以支持复杂拓扑模型，是华为公司目前主推的快速环网保护协议。典型场景包括四种：说明.SEP 单环 SEP 多环 SEP 通过普通 edge 端口与 STP 混合组网 .SEP 通过 no-neighbor-edge 端口与 STP 混合组网 .1

34、.2.4 CSS/iStack 园区网络一般分层部署，大型园区网络分为接入层、汇聚层和核心层。为保证可靠性，部署双上行链路，不可避免链路冗余，需要部署破环协议，随着网络规模的不断扩大，xSTP 协议收敛时间慢，可用性差，由此引出新的解决方案，即 CSS/iStack 技术。为了提高园区网的可靠性，在接入层推荐采用 iStack（堆叠）技术，即多台交换机堆叠在一起，选举出一台换机做为主交换机，一台交换机为备交换机，剩下的交换机称为从交换机。主交换机是整个堆叠系统中的控制中心。堆叠中每一台交换机都同时具备成为主交换机或者备交换机的能力。iStack 中多台交换机作为一个整体对外体现为一台逻辑设备，

35、共用一个管理 IP 地址和一个MAC 地址，且组建方便。堆叠的运维费用低，空间占用小，绿色节能。核心层采用 CSS（集群）技术，汇聚采用 CSS 或 iStack 技术，即将两台交换机通过专用的堆叠电缆连接起来，选出一台为主交换机，一台为备交换机，对外呈现为一台逻辑交换机。CSS/iStack 技术在网络扩容时，保护已有网络规划不变，扩容方便简单，扩容的同时，将两台物理设备虚拟为一台设备，简化了设备的配置和管理。多台设备间冗余、备份，提高系统的可靠性。不同网络层级之间建立 Eth-Trunk，支持跨成员端口聚合，消除了 Eth-Trunk 在单台交换机上的单点故障。具有很高的可用性。Eth-t

36、runk 是物理层协议，是将组物理接口捆绑在一起作为一个逻辑接口来增加带宽的一种方法。通过在两台设备之间建立链路聚合组，可以提供更高的通讯带宽和更高的可靠性。链路聚合不仅为设备间通信提供了冗余保护，而且不需要对硬件进行升级。Eth-Trunk 的负载分担模式分为手工负载分担模式和静态负载分担模式。CSS/iStack 技术代替传统的 MSTP+VRRP 组网，克服了网络复杂时 MSTP 收敛时间过长、网络拓扑不稳定的弊端。图1-1 CSS/iStack 拓扑图 对可靠性要求较高的企业，推荐使用 CSS/iStack 技术，无需部署破环协议，网络拓扑简单，带宽利用率高，网络可靠性高。.1.3 路

37、由设计 1.3.1 路由概述 建议采用汇聚交换机作为路由和交换的分界点。图1-2 路由交换分界点设计 这种设计方法有如下的优点：路由配置简单 只需要在 2 台汇聚/核心交换机上配置路由。大量的接入交换机只做二层交换，配置简单。便于采用接入交换机的“自动配置”功能，减少配置维护工作量。扩展性好 在同一个汇聚/核心交换机下的服务器扩容方便，并且随着业务的变化不需要更改网络的配置，即插即用。1.3.2 IGP 设计 IGP 协议选择 由于园区网部可能存在不规则区域，且路由节点不是特别多，建议使用 OSPF 路由协议。每个业务部门区域作为一个单独的 OSPF 区域。.OSPF 规划 规划合理的 Rou

38、teID RouteID 建议采用 Loopback 接口 IP 地址。OSPF 核心区域规划 出口路由器和核心交换机作为 OSPF 的 Area0，出口路由器作为 ASBR和 ABR，核心交换机为 ABR。每个汇聚交换机和核心交换机组网部署为不同的 OSPF Area ID1，2，N。OSPF 边缘区域规划 每个汇聚交换机和核心交换机组网部署为不同的 OSPF Area ID1,2,N，Area1,2,N使用OSPFNSSA区域。与原先的普通的完全OSPF 区域相比，通过规划减少 LSA 在区域间的传播，减少路由条数；和纯 stub 区域相比部署路由协议更加灵活。另外核心交换机和出口路由器通

39、过区域汇总，限制了区域间传播的 LSA 条目。边缘区域使用 NSSA 区域的优势在于：能精简骨干区域路由器的路由表；减少骨干区域 OSPF 交互的信息量；提高路由表项的稳定性。一个区域的路由计算和网络调整不会影响其它区域，因故障引起的路由震荡被隔离在区域部。如果部门较少，建议只配置 Area0。图1-3 OSPF 规划图 .1.3.3 BGP 设计 园区网中使用 BGP 的场景 场景 1 路由数量过于庞大，OSPF 难以胜任时。一般单独一个园区部路由数目可能不会很多，但是当一个企业分支众多且 IP 规划不十分合理，导致路由条目过多，特别是园区的出口路由器上可建议部署 BGP 进行合理规划引入部

40、分路由。场景 2 由于业务需要，需要大量的使用路由策略或者是业务分流，使用 OSPF等协议不擅长，使用 BGP 可以方便的控制路由策略，来分配业务流向。场景 3 部署 MPLS VPN 技术时，用于复杂的隔离策略等。园区网使用 BGP 的基本规划 Routerid 的规划 BGP 的 routerid 与 OSPF 的 routerid 共用一个，与 Loopback 接口地址相同。ASnumber 的规划 由于企业网中都是私有网络，所以 BGP 使用私有的 AS number。IBGP 和 EBGP 的选择 由于企业网的规模通常都不会很大，通常 IBGP 就可以满足一般的需求了。BGP 对设

41、备的要求 BGP 协议本身并不消耗很多资源，只有当运行 BGP 的设备需要学习到很多条路由，需要建立很多邻居关系时才会要求设备自身的性能很高。只要规划得当，任何档次的设备（包括接入层设备）都可以运行 BGP 协议。1.4 组播规划 1.4.1 组播概述 IP 组播技术实现了 IP 网络中点到多点的高效数据传送。相对于数据单播传送，组播有效节省网络带宽，降低对网络设备的要求，用户规模可以灵活变化，用户规模的增大不会对网络和服务器造成带宽和性能压力。所以在实时数据传送、多媒体会议、数据拷贝、游戏和仿真等诸多方面都有广泛的应用。组播在园区网一般用于特殊场景，例如：网上教学、IP 组播视频会议等业务。

42、.1.4.2 组播地址规划 组播组用 D 类 IP 地址（224.0.0.0239.255.255.255）来标识。按照使用围划分，组播地址可以划分为三部分。协议保留组播地址 地址围：224.0.0.1224.0.0.255。此地址围被 IANA 预留，一般供网络协议使用。该围的地址属于局部畴，此地址的组播报文不能被转发。用户组播地址 地址围：224.0.1.0238.255.255.255，此地址围也称为公用组播地址，在全网围有效，可以用于 Internet 上。本地管理组地址 地址围：239.0.0.0239.255.255.255，此地址围也称为私有组播地址，主要用于测试或供部网络在部使

43、用，这个地址的组播不能上公网，类似于单播协议使用的私网地址。园区部部署的组播业务只是供本园区部使用，建议采用本地管理组地址作为组播地址。1.4.3 组播路由选择 根据协议的作用围，组播协议分为主机-路由器之间的协议（即组播成员关系管理协议）和路由器-路由器之间协议（即组播路由协议）。组成员关系管理协议包括 IGMP（互连网组管理协议，目前存在 V1、V2、V3 三个版本）；组播路由协议又分为域组播路由协议和域间组播路由协议两类。域组播路由协议包括：PIM-SM、PIM-DM、DVMRP 等协议；域间组播路由协议包括 MBGP、MSDP 等协议。同时为了有效抑制组播数据在二层网络中的扩散，引入了

44、 IGMP Snooping 等二层组播协议。园区网络的路由属于域路由，所以园区网络部署的组播业务不涉及跨域问题。园区网络域组播路由推荐使用 PIM 组播路由协议。PIM 不依赖于某一特定单播路由协议，为IP 组播提供路由信息的可以是静态路由、RIP、OSPF、IS-IS、BGP 等任何一种单播路由协议。组播路由和单播路由协议无关，只要通过单播路由协议能够产生相应组播路由表项即可。与其它组播协议相比，PIM 开销更小，组播效率更高。PIM 定义了两种模式：密集模式（Dense-Mode）PIM-DM 密集模式协议，采用了扩散/剪枝机制。同时，假定带宽不受限制，每个路由器都想接收组播数据包。PI

45、M-DM 采用反向路径转发 RPF 动态建立最短路径树 SPT。该模式适合于组播组成员相对比较密集、组播源和接受者比较靠近、组播数据流比较大且比较稳定、规模较小的网络。稀疏模式（Sparse-Mode）PIM-SM 与 PIM-DM 的根本差别在于 PIM-SM 是基于显式加入模型，即接收者向集合点 RP（RendezvousPoint）发送加入消息，而路由器只在已加入某个组播组输出接口上转发那个组播组的数据包。PIM-SM 采用共享树进行组播数据包的转发。每一个组有一个集合点RP，组播源沿最短路径向 RP 发送数据，再由 RP 沿最短路径将数据.发送到各个接收端。PIM-SM 主要优势之一是

46、它不局限于通过共享树接收组播信息，还提供从共享树向 SPT 转换的机制。从协议的设计优劣情况比较，PIM-SM 优于 PIM-DM。该模式适用于组播组成员分布相对分散、围较广、视频源多、规模较大的网络。IGMP 组播成员管理机制是针对第三层设计的。在第三层，路由器可以对组播报文的转发进行控制。但是在很多情况下，组播报文要不可避免地经过一些二层交换设备，如果不对二层设备进行相应的配置，则组播报文就会转发给二层交换设备的所有接口，这显然会浪费大量的系统资源，IGMP Snooping 可以很好解决这个问题。IGMP Snooping 运行于二层交换机，是一种二层组播协议，通过侦听上层路由器和用户主

47、机之间发送的组播协议报文来建立二层转发表项，维护组播报文的出端口信息，从而管理和控制组播数据报文的转发。在园区网络中，建议采用采用 PIM-SM+IGMP Snooping 来实现组播业务开展。汇聚交换机到组播源采用 PIM-SM 协议；接入交换机通过 IGMP Snooping+组播 VLAN，实现跨 VLAN 的组播；终端上部署 IGMP。组播 VLAN 可以满足跨 VLAN 复制的需求，不同 VLAN 的用户分别进行同一组播源点播时，可以在交换机上配置组播 VLAN，并将用户 VLAN 加入组播 VLAN，以实现组播数据在不同的 VLAN传送，便于对组播源和组播组成员的管理和控制，同时也

48、可以减少带宽浪费。园区网络比较简单时，一般 RP 设置在和源 DR 所在的核心交换机上；园区网络比较复杂时，选取一台性能较高的路由器作为源 DR。在采用层次化结构组网的园区网络中，视频源建议直接部署接入核心层上，最大程度减少 PIM-SM 协议围，缩短组播流量路径，减少组播流量对带宽的占用。所以 RP 选择部署在核心层设备上，从网络的可靠性、可用性等方面综合考虑，选用 2 个核心设备为 RP，通过 Anycast RP 技术可实现负载均衡及冗余，MSDP（Multicast Source Discovery Protocol）是实现 Anycast RP 的关键协议，MSDP 容许 RP 共享

49、活动源信息。在 Anycast RP 环境，两个 RP 在 Loopback 接口配置相同的 IP 地址。Anycast RP Loopback地址应当是 32 位掩码的主机地址。IP 路由将自动选择最好的 RP。Anycast RP 提供了 IP Multicast 的快速切换（几秒）及负载均衡。.图1-4 园区网络组播业务部署 1.5 安全设计 1.5.1 安全概述 随着企业网络的应用和发展，企业生产和经营活动对于网络的依赖性不断增强。但病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。统计表明，网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为企业用户最关心的问题，

50、网络安全基础设施也日渐成为企业网建设的重点。在传统的园区网络建设中，一般认为园区部是安全的，威胁主要来自外界。在园区边界上，一般使用防火墙、IDS/IPS 作为安全设备。随着安全挑战的不断升级，仅通过传统的安全措施和独立工作的形式进行边界防御已经远远不够了，安全模型需要由被动模式向主动模式转变，从根源终端彻底解决网络安全问题，提高整个企业的信息安全水平。目前园区网络安全一般从网络监管、边界防御、接入安全及远程接入等方面进行考虑。接入安全主要指导园区的安全接入，包括终端安全接入控制，例如：用户隔离，端口隔离等；远程接入涉及分支机构、出差人员对园区部的安全访问；边界防御通过防火墙、IPS/IDS