华为企业园区网络建设-技术方案-建议书.docx

《华为企业园区网络建设-技术方案-建议书.docx》由会员分享，可在线阅读，更多相关《华为企业园区网络建设-技术方案-建议书.docx（54页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业园区网技术建议书华为数据中心网络技术建议书内部公开目 录1 项目概述 6.1.1 项目背景6.1.2 项目目标6.2 总体系统设计6.2.1 需求分析6.2.2 设计原则7.3 网路架构设计8.3.1 总体网络架构8.3.1.1 典型园区网网络架构 8.3.1.2 经济型园区网网络架构9.3.1.3 虚拟交换园区网网络架构 1. 03.2 分层网络设计1.23.2.1接入层1.23.2.2汇聚层1.33.2.3核心层1.33.2.4出口层1.33.3 二三层网络分界点设计1. 34 高可靠性设计1.44.1 网络高可靠性设计1.44.2 设备高可靠性设计1.94.2.1 重要部件冗余 2.

2、04.2.2 设备自身安全 2.04.3 园区交换机虚拟化设计2. 14.3.1 汇聚交换机的集群CSS(Cluster Switch Switching)214.3.2 接入交换机的堆叠iStack 2. 45 安全方案设计2.55.1 园区网安全方案总体设计2. 55.2 园区接入安全设计2.65.3 园区网络监管/监控3.05.3.1 防IP/MAC地址盗用和ARP中间人攻击 3. 05.3.2 防IP/MAC地址扫描攻击 3. 25.3.3 广播/组播报文抑制3. 35.4 园区网边界防御 3.35.4.1防火墙部署设计 .3 35.4.2防火墙功能设计 .3 45.4.3防火墙性能选

3、择 .3 45.4.4虚拟防火墙设计 .3 55.4.5NAT设计 .3 55.5 园区网出口安全 3.66网管系统方案设计 .3 86.1 网管系统概述3.86.2 系统优势介绍3.86.2.1 网络管理优势功能4. 06.2.2 网络流量分析器优势功能 4. 06.2.3 认证计费优势功能4. 16.3 网管系统部署4.22022-04-27版权所有，侵权必究第2页，共54页华为数据中心网络技术建议书内部公开6.3.1 集中式网管系统部署 4. 26.3.2 分布式网管系统部署 4. 47设备介绍.4 67.1 园区汇聚/核心交换机4. 67.2 园区接入交换机 4.87.2.1 Quid

4、way S5300系列交换机 4. 87.2.2 Quidway S3300系列交换机 5. 07.2.3 Quidway S2300系列交换机 5. 22022-04-27版权所有，侵权必究第3页，共54页华为数据中心网络技术建议书内部公开表目录错误！未找到目录项。图目录图1 典型园区网网络架构9.图2 经济型园区网网络架构1. 0图3 虚拟交换园区网网络架构1. 1图4 交换机集群（堆叠）方案1. 2图5 园区网高可靠性设计方案总览 1. 5图6 口子型组网.1 6图7 三角型组网.1 7图8 U字型组网.1 8图9 可靠性设计目标方案组网1. 9图10 黑客工具的危害性 2.0图11 集

5、群组网的优势2.2图12 两种集群方式比较 2.3图13 华为CSS集群技术 2.3图14 园区网安全方案总体设计2. 5图15 网络准入控制NAC 2.6图16 802.1x接入认证流程2.7图17 MAC认证流程2.8图18 802.1x MAC旁路认证流程2.9图19 WEB Portal认证流程 3.0图20 ARP中间人攻击防御 3.1图21 园区网防火墙功能部署3. 3图22 虚拟防火墙设计3.5图23 园区网出口安全设计3.7图24 企业网网管系统组件3.8图25 集中式网管系统部署4.3图26 分布式网管系统部署4.5图27 S9300系列交换机4.7图28 S5300系列交换

6、机4.9图29 S3300系列交换机5.1图30 S2300系列交换机5.32022-04-27版权所有，侵权必究第4页，共54页华为数据中心网络技术建议书内部公开企业园区网技术建议书关键词：园区网，网络架构，可靠性，安全，集群 /堆叠，防火墙摘要：本文描述了企业园区网建设需求和设计方案 ,重点描述了园区网架构、可靠性、安全、增值业务和网络管理维护系统的设计方案。缩略语清单：l 缩略语l英文全名中文解释STP/RSTP/MSTP Spanning Tree Protocol/Rapid STP/MultipleSTP生成树协议/多生成树协议CSSiStack DLDP NAC DAIClust

7、er Switch Switching Intelligent StackDevice Link Detection Protocol Network Access Control Dynamic ARP Inspection集群交换系统智能堆叠架构设备连接检测协议网络接入控制动态ARP 检测2022-04-27版权所有，侵权必究第5页，共54页华为数据中心网络技术建议书内部公开1 项目概述根据实际情况增加项目介绍1.1 项目背景1.2 项目目标2 总体系统设计2.1 需求分析随着企业信息化建设不断深入，企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展，对于企业园区网的建设要求越

8、来越高。传统园区网建设初期往往面临如下问题： 网络架构较为混乱，不便于扩容和维护管理园区网在建设初期，设备和光纤/电缆随意布放，缺乏统一的网络分层规划管理，网络拓扑相对混乱，不便于对网络性能瓶颈进行正确评估和有效扩容，给日常网络管理也带来很大难度。 网络可靠性规划不合理，影响企业生产和经营管理、造成投资浪费由于缺乏有效的园区网规划，对于网络可靠性考虑不够，网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为，同时也存在网络过度冗余、造成投资浪费的现象。 网络信息安全存在隐患网络安全性是园区网建设的重中之重，传统园区网安全漏洞较多，无法应对内外部用户日益猖獗的网络攻击行为（例如：对园

9、区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息），对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络，网络层面的安全保证和防御措施也不到位，造成园区网的脆弱和易攻击。2022-04-27版权所有，侵权必究第6页，共54页华为数据中心网络技术建议书内部公开 无法满足日益增长的网络业务需求随着企业的业务发展，出现了基于园区网基础设施的丰富增值业务需求，例如：网络接入形式要求多样化，支持 WLAN 无线接入，满足移动办公、大区域无线缆覆盖等特殊要求；对于企业用户访问外网进行计费，计费策略可灵活设置（时长计 费、流量计费、按目的地址计费）；企业多出口链路场景下的负载均衡、灵活选路需

10、求。传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑，支持这些业务存在园区网络分散建设、重复投资的问题。 缺乏简单有效的网络管理系统，企业IT 网络运维部门面临很大压力当前，企业网IT 运维部门面临很大的网络运维压力，来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象，网络故障诊断、分析定位过程对于 IT 运维人员的技术能力和经验水平要求较高，缺乏简单有效/低成本的图形化网管工具、进行实时网络拓扑显示、状态监控和各种故障事件预警/告警展示。另外， IT 运维部门也需要实施统计园区网各路径的流量信息，便于对网络带宽进行管理和规划，给后续网络扩容提供参考。2.2 设计

11、原则 安全性安全性是企业园区网建设中的关键，它包括物理空间的安全控制及网络的安全控制。需要有完整的安全策略控制体系来实现企业园区网的安全控制。 可靠性、可用性高可靠性是园区网提供使用的关键，其可靠性设计包括：关键设备冗余、链路/网络冗余和重要业务模块冗余。关键设备均采用电信级全冗余设计，可实现单板热拔插、冗余的控制模块设计、冗余电源设计。采用冗余网络设计，每个层次均采用双机方式，层次与层次之间采用全冗余连接。提供多种冗余技术，采用高效、负载均衡的双机备份。可采用交换机的集群或者堆叠技术，在不降低网络可靠性的前提下，减化网络架构。 可扩展性2022-04-27版权所有，侵权必究第7页，共54页华

12、为数据中心网络技术建议书内部公开园区网方案设计中，采用分层的网络设计；每个层次的设计所采用的设备本身都应具足够高的端口密度，为后续园区网扩展奠定基础。在园区出口层、核心层、汇聚层的设备都采用模块化设计，可根据园区网的发展进行灵活扩展。功能的可扩展性是园区网随着发展提供增值业务的基础。实现防火墙、负载均衡、WLAN 接入、认证计费等功能，为园区网增值业务的扩展提供基础。可维护、可管理性网络可管理性是园区网成功运维的基础。应提供低成本、简单有效的园区网统一网管系统，对园区网所有网络设备进行管理，包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。3 网路架构设计3.1 总体网络架

13、构3.1.1 典型园区网网络架构2022-04-27版权所有，侵权必究第8页，共54页华为数据中心网络技术建议书内部公开图1 典型园区网网络架构典型园区网方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，在汇聚层交换机，通过模块化（业务单板）方式提供WLAN AC 控制器、防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。典型园区网的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用TRUNK链路保证链路级可靠性。3.1.2 经济型园区网网络架

14、构2022-04-27版权所有，侵权必究第9页，共54页华为数据中心网络技术建议书内部公开图2 经济型园区网网络架构考虑到节省园区网网络建设投资成本，允许网络存在单点故障，不再部署冗余交换机设备，交换机之间互联采用TRUNK 链路，保证链路级可靠性，但是园区网交换机设备故障，会导致网络故障和业务中断。经济型的园区网汇聚层交换机仍然可通过模块化（业务单板）方式提供WLAN AC控制器、防火墙、负载均衡器等增值业务功能。3.1.3 虚拟交换园区网网络架构2022-04-27版权所有，侵权必究第10页，共54页华为数据中心网络技术建议书内部公开图3 虚拟交换园区网网络架构园区网仍然按照分层结构建设，

15、园区交换机分为接入层交换机、汇聚层交换机和核心层交换机。为了增加园区网可靠性、降低园区网组网复杂度，园区网未来向虚拟化、扁平化方向发展，同层次交换机可以多台虚拟成一台，接入交换机通过堆叠（ Stack） 特性，将多台接入交换机虚拟成一台接入交换机，汇聚/核心交换机通过 CSS（Cluster Switch ）将两台交换机虚拟成一台交换机。园区网接入层/汇聚层/核心层交换机虚拟化后，可以减少网络节点、简化网络拓 扑，二层网络不需要部署RSTP/MSTP/RRPP/SmartLink 等复杂的环网协议和可靠性保护协议，实现无二层环路网络构建，提高二层网络可靠性和链路故障收敛性能，三层网络虚拟化的多

16、台设备间路由表统一计算、路由收敛速度快，通过交换机虚拟化设计，交换机互联的两条链路就可以作为Trunk 链路进行管理， 对于虚拟交换机而言，实现跨设备的链路聚合（ TRUNK），大大增强链路可靠性，另2022-04-27版权所有，侵权必究第11页，共54页华为数据中心网络技术建议书内部公开外可实现链路的流量负载均衡，构建无二层环路网络，网络可靠性（链路故障自收敛性能）和带宽利用率都得到提高。图4 交换机集群（堆叠）方案3.2 分层网络设计园区网的网络层次采用业界成熟的三层架构：接入、汇聚和核心，最后企业园区通过出口层网络设备（路由器或交换机）连接到外网通过。这种分层的网络架构，可以保证根据的业

17、务需求，分别对不同层次进行扩容。3.2.1 接入层接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（PC 机或服务器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机）。由于接入层交换机直接接园区网用户， 根据用户接入信息点数目和类型（GE/FE），对接入交换机的 GE/FE 接口密度有较高的要求。另外接入交换机部署在楼道网络机柜，数量大，对于成本、功耗和易管理维护等特性要求较高。高用户密度的园区接入场景推荐使用 S5300/S9300 作为接入交换机，低用户密度的场景推荐使用S2300/S3300作为接入交换机。2022-04-27版权所有，侵权必究第12页，共54页3

18、.2.2 汇聚层华为数据中心网络技术建议书内部公开园区汇聚层交换机一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为园区网的网关，终结园区网用户的二层流量，进行三层转发。根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡器、WLAN AC控制器）或者旁挂独立的增值业务设备，为园区网用户提供增值业务。汇聚交换机需要提供高密度的GE 接口，汇聚接入交换机的流量，通过10GE 接口接到核心交换机，推荐使用S9300 系列交换机作为园区汇聚层交换机。3.2.3 核心层园区核心层交换机部署在园区核心机房中，汇聚各楼宇/区域之间的用户流量，

19、提供三层交换机功能，连接园区外部网络到内部用户的“纵向流量”和不同汇聚区域用户之间的“横向流量”要求高密10GE、高转发性能。推荐使用S9300 作为园区核心层交换机。3.2.4 出口层园区出口路由器，连接 Internet/WAN 广域网和园区内部局域网。推荐华为AR 和SRG 系列路由器作为企业出口路由器。对于中小型企业园区网，核心层和出口层可进行合并，通过核心交换机（S9300） 的WAN 接口板的广域网接口（POS 等）直接与外网相连。3.3 二三层网络分界点设计二三层网络分界点（用户网关）设置在汇聚交换机汇聚交换机作为用户的网关设备，接入交换机与汇聚交换机之间是二层网络， 通过 ST

20、P/RSTP/MSTP/RRPP 保证网络可靠性和防止二层网络环路产生，汇聚交换机与核心交换机之间是三层网络，运行 OSPF 等路由协议，通过等价路由、IP FRR 保证三层网络可靠性、加快路由收敛时间。【优点】2022-04-27版权所有，侵权必究第13页，共54页华为数据中心网络技术建议书内部公开1) 接入交换机是二层交换机，成本低，并且可保护客户现有低端二层交换机的投资；2) 高可靠性，二层网络故障收敛速度快；【缺点】1) 接入交换机和汇聚交换机之间存在二层环路风险，需要配置保证；2) 接入交换机与汇聚交换机之间链路利用率低，需要启用二层协议负载均担多实例以提高链路利用率。本方案的缺点可

21、以通过接入交换机堆叠/汇聚交换机集群（交换机虚拟化）方案来解决。园区汇聚交换机作为二三层网络分界点（用户网关设备）是经典的园区网架构，推荐使用。二三层网络分界点（用户网关）设置在接入交换机接入交换机作为用户的二三层分界点（网关设备），即三层到边缘的园区网架构， 接入交换机到汇聚交换机、汇聚交换机到核心交换机之间都是三层网络，运行OSPF等路由协议，整个企业园区是全路由型网络。【优点】1) 网络易扩展：园区网架构对物理网络拓扑依赖度低，可以任意网络拓扑形式扩展；2) 网络易维护：全网为三层网络、无二层环路网络风险，无需配置生成树协议、RRPP和VRRP，降低网络配置和维护工作量。【缺点】1) 交

22、换机成本相对较高：相对与二层接入交换机，成本较高；2) 接入层为三层网络，网络故障路由收敛速度相对较慢。4 高可靠性设计4.1 网络高可靠性设计园区网高可靠性设计总体方案如下图所示：2022-04-27版权所有，侵权必究第14页，共54页华为数据中心网络技术建议书内部公开图5 园区网高可靠性设计方案总览针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。接 入 层 网 络 是 二层网络 ， 接入交换 机与汇聚交 换机之间通 过 Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性，同时解决二层网络环

23、路问题；汇聚层交换机之间通过 VRRP（BFD for VRRP）协议确定用户的主备网关，交换机互联通过TRUNK 链路，保证链路级可靠性，汇聚交换机与接入交换机之间可通过DLDP 协议检测光纤单向故障（单通故障）。园区网接入/汇聚/核心交换机通过虚拟化技术进行集群（或堆叠），将两台/多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时，提高网络可靠性，是未来高可靠性园区网的发展趋势。典型园区网可靠性组网设计方案有：口子型组网、三角型组网、U 子型组网。可靠性组网方案1：口子型组网2022-04-27版权所有，侵权必究第15页，共54页华为数据中心网络技术建议书内部公开图6 口子型组网接入交

24、换机与汇聚交换机之间是二层网络，汇聚交换机作为用户网关设备，两台汇聚交换机之间通过二层 TRUNK 链路互连，多台接入交换机与两台汇聚交换机之间组成口子型二层环网，并且通过部署 STP/RSTP/MSTP/RRPP 等协议进行二层环网阻断、环网故障检测和保护倒换功能。两台汇聚交换机运行VRRP（BFD+VRRP）协议确定主备用户网关，VRRP 报文直接在汇聚交换机直连的TRUNK 链路上收发。注意：两台汇聚交换机链路需要保证绝对可靠，必须采用TRUNK 链路、包含两条以上物理链路，因为汇聚交换机间链路 DOWN，两台汇聚交换机 VRRP 状态都为主（VRRP 双主情况产生），此时接入二层环网阻

25、塞在汇聚交换机之间的直连链路上，这样接入用户同时感知两个处于VRRP 主用状态的网关设备（汇聚交换机），出现问题。口子型组网方案的优点是，园区网各个楼层接入交换机可以串在一起，与汇聚交换机组成二层环网，汇聚交换机统一为各楼层接入交换机下的用户分配 IP 地址，实现园区不同楼层的用户可以共用同一个IP 地址网段； 该组网方案的缺点是接入层网络需要部署较为复杂的二层环网协议、网络配置和维护较为复杂。2022-04-27版权所有，侵权必究第16页，共54页华为数据中心网络技术建议书内部公开口子型组网方案是园区网非常经典的可靠性设计方案，适合各种规模的园区网应用场景。可靠性组网方案2：三角型组网图7

26、三角型组网汇聚交换机作为用户网关设备，两台汇聚交换机之间通过二层链路互连，每台接入交换机上行有两条链路接入到两台汇聚交换机，接入交换机上行两条链路的主备关系由运行的 Smart Link 协议确定。两台汇聚交换机运行VRRP（BFD+VRRP）协议确定主备用户网关，VRRP 报文直接在汇聚交换机直连链路上收发。注意：两台汇聚交换机链路需要保证绝对可靠，必须采用TRUNK 链路。口子型组网场景下，多个楼层之间可以共用 VRRP 组，不受汇聚交换机 VRRP 组数量限制，可实现不同楼层间的园区用户可以共享一个IP 地址网段。三角型组网方案的优点是：二层接入网不存在环路，不需要配置相对复杂的环网保护

27、协议（STP/RSTP/MSTP/RRPP）；Smart Link 故障检测和保护倒换速度快（200 400ms）；支持园区网园区不同楼层的用户可以共用同一个IP 地址网段。2022-04-27版权所有，侵权必究第17页，共54页华为数据中心网络技术建议书内部公开三角型组网方案的缺点是每台接入交换机上行需要部署主备两条链路，增加布线成本，对汇聚交换机的端口密度有较高要求。可靠性组网方案3：U 字型组网图8 U字型组网园区网汇聚交换机之间通过纯三层链路互连，无直连二层链路。汇聚交换机作为园区用户网关，与接入交换机组成二层网络，汇聚交换机的主备通过VRRP（BFD for VRRP）协议协商，VR

28、RP 协议通过接入交换机转发，每组接入交换机与两台汇聚交换机组成的一个物理U 型网络需要启用一组VRRP，汇聚交换机通过多个物理端口会接入多个二层 U 型网络，这样汇聚交换机间需要运行多个VRRP 组（每个二层 U 型接入网络运行一个 VRRP 组），一般一个 U 型二层接入网覆盖的是同一个楼层的接入交换机。由于不同VRRP 组的网关 IP 网段不能相同，因此每个U 型接入网下的所有园区用户需要独占一个 IP 网段，不同 U 型接入网的用户（不同楼层的园区用户）之间不能共享一个IP 网段，这是此方案应用的最大缺点。U 子型方案的优点：二层接入网不存在环路，不需要配置相对复杂的环网保护协议（ST

29、P/RSTP/MSTP/RRPP）。2022-04-27版权所有，侵权必究第18页，共54页华为数据中心网络技术建议书内部公开可靠性设计目标方案（发展趋势）：园区网交换机虚拟化图9 可靠性设计目标方案组网园区网可靠性方案设计的目标方案或发展趋势是各层次园区网交换机都进行虚拟 化，通过集群/堆叠技术将两台或多台交换机虚拟成一台交换机。可以提高单节点设备可 靠性，一台交换机故障，另外一台交换机自动接管故障设备上的所有业务，可以做到业务无损切换。设备虚拟化通过跨设备的TRUNK 链路，提升链路级可靠性，并且流量可以均匀分布在TRUNK 成员链路上，提高链路带宽利用率，条或多条链路故障后,流量自动切换

30、到其他正常的链路。该方案另外一个优点网络配置和维护简单，园区二层接入网，不需要配置复杂的二层环网和保护倒换协议，二层链路故障直接感知快速切换，三层网络中多个设备间共享路由表，网络故障路由收敛速度快。网络管理和维护难度大大降低，此方案适应面广， 扩展性强，是未来园区网的发展趋势。4.2 设备高可靠性设计2022-04-27版权所有，侵权必究第19页，共54页4.2.1 重要部件冗余华为数据中心网络技术建议书内部公开设备本身要具有电信级5 个 9 的可靠性，需要网络设备支持: 主控 1:1 备份 交换网 1+1/1:1两种方式 DC 电源 1+1 备份；AC 电源 1+1/2+2备份 模块化的风扇

31、设计，高端配置支持单风扇失效 无源背板，高可靠性 独立的设备监控单元，和主控解耦 所有模块热插拔 完善的各种告警功能 设备管理1:1 备份4.2.2 设备自身安全如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来, 但危害越来越大.图10 黑客工具的危害性这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛 滥的网络攻击。2022-04-27版权所有，侵权必究第20页，共54页华为数据中心网络技术建议书内部公开华为公司全系列园区网交换机（S9300/S5300/S3300/S2300）提供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设

32、备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。华为全系列交换机支持的攻击防范功能包括防 DDOS 攻击、IP 欺骗攻击、Land 攻击、Ping of Death 攻击、Teardrop攻击、ICMP Flood 攻击、SYN FLOOD 攻击等。另外，以太网交换机的 MAC 地址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生 MAC 地址攻击的时候，攻击者通过不停的发送MAC 地址来刷新，填充交换机的MAC 地址表，由于MAC 地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。 ARP 攻击与此类似，通过攻击报文来更改M

33、AC 与IP 地址的绑定，从而重新定向流量。华为全系列交换机可以通过 MAC 地址与端口的绑定以及限制端口/VLAN/VSI 下 MAC 地址的最大学习个数可防止MAC 扫描，并通过 VLAN、IP、MAC 之间的任意绑定可防范ARP 攻击（SAI/DAI功能）。华为全系列交换机支持黑洞 MAC 功能，园区交换机收到报文时比较报文目的MAC 地址，若与黑洞MAC 表项相同则丢弃该报文。当用户察觉到某MAC 地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞MAC，从而将具有该 MAC 地址的报文过滤掉，避免遭受攻击。4.3 园区交换机虚拟化设计4.3.1 汇聚交换机的集群CSS(Clust

34、er Switch Switching)所谓集群，就是把物理的多台服务器连接在一起，对外表现为一台逻辑的服务器，提供服务。因为企业园区网为了增加可靠性，都是双节点备份，特别适合集群技术。如下图所示：2022-04-27版权所有，侵权必究第21页，共54页华为数据中心网络技术建议书内部公开图11 集群组网的优势采用集群技术，对企业园区网络，有四大优势：1) 减化管理和配置首先，集群后需要管理的设备节点减少一半以上。其次，组网变得简洁，不需要配置复杂的协议，包括STP/SmartLink/VRRP等。2) 快速的故障收敛故障收敛时间可以控制在 1ms, 大大降低了网络链路/节点的故障，对业务的影响

35、。3) 带宽利用率高采用链路Trunk的方式，带宽利用率可以达到100。4) 扩容方便2022-04-27版权所有，侵权必究第22页，共54页华为数据中心网络技术建议书内部公开保护用户投资。随着业务的增加，当用户进行网络升级时，采用集群的方式，只需要增加新设备既可，不需要更改网络配置的情况下，平滑扩容，很好的保护了用户投资。目前，业界有两种堆叠的方式，一种是采用业务接口堆叠，一种是采用专用的堆叠线；图12 两种集群方式比较华为的 S93 系列交换机采用堆叠线的方式，通过在主板板上插入堆叠卡，连接多台设备。如下图所示，这种方式有如下的优势：图13 华为CSS集群技术采用交换机网集群的方式，相比接

36、口板集群，有如下的优势： 堆叠带宽高交换机网集群一般采用专用的接口线，堆叠带宽高。2022-04-27版权所有，侵权必究第23页，共54页华为数据中心网络技术建议书内部公开S93 系列的堆叠带宽高达 128G(单向)；并且可平滑升级到 200G(单向)； 相对于业界的80G（单向）的互联带宽，具有明显的优势。 不占用业务槽位S93 系列采用在主控板预留的灵活插卡槽位，插入堆叠卡互联的方式，不占用接口槽位。相对于接口堆叠的方式，节省了12 个接口槽位。 可靠性高S93 系列采用堆叠线连接，实际上是对交换网的延伸。从上图可以看出，接口板堆叠方式需要经过两个堆叠接口板转发，处理复杂度增加；另外，接口

37、板的硬件可靠性也比交换网低。总体来看，交换网堆叠在软件和硬件方面，可靠性都高于接口堆叠的方式。4.3.2 接入交换机的堆叠iStackiStack 堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。一个园区网用户上行的2 个网络接口，对于堆叠后的设备，可以看作Trunk 接口。多台设备堆叠成一台设备后，从功能和管理方面，都可以作为一台设备来看待。华为的iStack堆叠技术有如下的优势： 简化管理堆叠设备的角色分为Master 和 Slave；通过对 Master 设备的配置达到管理整个iStack 堆叠以及堆叠内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管

38、理。 简化网络运行iStack 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的， 例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互， 简化了网络运行，缩短了网络动荡时的收敛时间。 强大的网络扩展能力通过增加成员设备，可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。2022-04-27高可靠性版权所有，侵权必究第24页，共54页华为数据中心网络技术建议书内部公开堆叠的高可靠性体现在多个方面，比如：成员设备之间堆叠物理端口支持聚合功能，堆叠系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了堆叠系统的可靠性；堆叠系统由多台成员设备组成，M

39、aster 设备负责堆叠的运行、管理和维护， Slave 设备在作为备份的同时也可以处理业务，一旦Master 设备故障，系统会迅速自动选举新的 Master，以保证通过堆叠的业务不中断，从而实现了设备级的1:N 备份。高性能由于iStack 设备是由多个支持iStack 特性的单机设备堆叠而成的，iStack 设备的交换容量和端口数量就是iStack 内部所有单机设备交换容量和端口数量的总和。因此，iStack 技术能够通过多个单机设备的堆叠，轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。5 安全方案设计5.1 园区网安全方案总体设计图14 园区网安全方案总体设计从园区接入、网络监管/监控、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御，对内部员工进行身份认证和网络访问权限控制，对