網(wǎng)絡(luò)規(guī)劃與設(shè)計第12講

1、4.6 虛擬化設(shè)計目前園區(qū)網(wǎng)架構(gòu)的特點主要是分層（接入、匯聚、核心）、分模塊(出口、數(shù)據(jù)中心、DMZ、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理等模塊)和節(jié)點、鏈路的冗余。隨著業(yè)務(wù)的發(fā)展，這種經(jīng)典的園區(qū)網(wǎng)設(shè)計也逐漸體現(xiàn)出一些不足，主要表現(xiàn)為：（1）匯聚、核心層的雙節(jié)點冗余設(shè)計，雖提高了網(wǎng)絡(luò)可靠性，但也使網(wǎng)絡(luò)結(jié)構(gòu)和互聯(lián)關(guān)系變得復(fù)雜，網(wǎng)絡(luò)擴展也變得困難。（2）冗余結(jié)構(gòu)使得網(wǎng)絡(luò)的樹形結(jié)構(gòu)中出現(xiàn)環(huán)路，并隨著企業(yè)的不斷發(fā)展，環(huán)網(wǎng)規(guī)模不斷擴大。因此一般都需部署MSTP等破環(huán)協(xié)議消除環(huán)路，同時運行VRRP等來支持節(jié)點冗余備份，導(dǎo)致網(wǎng)絡(luò)協(xié)議的部署變得復(fù)雜。（3）不同部門/群組用戶的資源訪問權(quán)限需要進行控制，不同業(yè)務(wù)間的訪問、傳輸和應(yīng)

2、用也需端到端的隔離。但傳統(tǒng)物理隔離技術(shù)已無法滿足，導(dǎo)致網(wǎng)絡(luò)重復(fù)建設(shè)、管理分散、安全策略難以部署。園區(qū)網(wǎng)虛擬化可以較好地解決上述問題。 通過園區(qū)網(wǎng)橫向虛擬化，解決傳統(tǒng)園區(qū)網(wǎng)的環(huán)路、可靠性、負載均衡等問題通過園區(qū)網(wǎng)的縱向虛擬化，實現(xiàn)園區(qū)內(nèi)部不同部門、不同終端、不同業(yè)務(wù)的隔離和安全。橫向虛擬化 橫向虛擬化，即在園區(qū)網(wǎng)的核心層、匯聚層、接入層分別采用CSS（Cluster Switch System，簇交換機系統(tǒng)）、虛擬堆疊（例如iStack）、鏈路聚合（例如Eth-Trunk）等技術(shù)，將多臺物理設(shè)備虛擬化成單臺邏輯設(shè)備并將鏈路聚合，以達到簡化網(wǎng)絡(luò)結(jié)構(gòu)、簡化網(wǎng)絡(luò)協(xié)議部署、提高網(wǎng)絡(luò)可靠性和可管理性、可擴

3、展性的目的。 橫向虛擬化示意圖橫向虛擬化的主要優(yōu)點（1）拓撲結(jié)構(gòu)簡化，消除了環(huán)路 復(fù)雜的網(wǎng)狀拓撲轉(zhuǎn)換成了簡潔的樹型拓撲，網(wǎng)絡(luò)各層之間通過捆綁的單邏輯鏈路互聯(lián)，消除了環(huán)路,并實現(xiàn)捆綁鏈路的高帶寬、鏈路的負載分擔和冗余備份。（2）路由簡化 園區(qū)網(wǎng)形成了樹狀、無環(huán)的拓撲結(jié)構(gòu)，網(wǎng)絡(luò)中數(shù)據(jù)的流向清晰明確。同時，每個虛擬節(jié)點設(shè)備的增刪不會改變園區(qū)網(wǎng)的邏輯結(jié)構(gòu)，也不會影響上下層網(wǎng)絡(luò)的協(xié)議交互。（3）協(xié)議簡化 橫向虛擬化后，不再需要在接入層使用復(fù)雜的生成樹協(xié)議，也不再需要在客戶端接入網(wǎng)關(guān)上運行VRRP協(xié)議。 （4）管理簡化 橫向整合后，原有的多臺物理設(shè)備作為一臺邏輯設(shè)備進行管理，被管設(shè)備的數(shù)量大大減少，提高設(shè)

4、備管理效率。橫向虛擬化設(shè)計要點（1）在核心層采用交換機集群(CSS) 技術(shù)，將多臺核心交換機組合成一臺邏輯設(shè)備，負責(zé)整個園區(qū)的高速互聯(lián)。（2）在匯聚層，采用CSS集群/iStack堆疊技術(shù)，將多臺匯聚/接入交換機組合成一臺虛擬的邏輯交換機。 (3) 在接入層，采用iStack堆疊技術(shù)，將多臺接入交換機虛擬成1臺邏輯交換機。（4）在核心層與匯聚層之間、匯聚層和接入層之間，采用鏈路聚合技術(shù)，將多個物理鏈路捆綁在一起作為一個邏輯鏈路。為何需要縱向虛擬化園區(qū)網(wǎng)中存在某些復(fù)雜的需求。例如一個企業(yè)網(wǎng)中有財務(wù)、供應(yīng)、研發(fā)和生產(chǎn)四個部門，這些部門的縱向獨立性要求其業(yè)務(wù)數(shù)據(jù)與其他部門安全隔離，但協(xié)同辦公又需要各

5、部門業(yè)務(wù)能進行可控互訪。又如，園區(qū)內(nèi)數(shù)據(jù)中心有的服務(wù)器同時為多個部門提供服務(wù)，有的服務(wù)器只為某個部門內(nèi)部提供服務(wù)。這些復(fù)雜的需求使得傳統(tǒng)的網(wǎng)絡(luò)物理隔離方案已無法滿足這些應(yīng)用的需求。網(wǎng)絡(luò)重復(fù)建設(shè)、分散管理、安全策略難部署、無法提供統(tǒng)一的應(yīng)用服務(wù)等，都大大增加了用戶在網(wǎng)絡(luò)投資、建設(shè)、運維、管理方面的負擔。因此，需要一個便于擴展的解決方案，來保持用戶群組的完全隔離，實現(xiàn)服務(wù)和安全策略的集中，并保留原有設(shè)計的高可用性、安全性和可擴展性的優(yōu)勢。什么是縱向虛擬化園區(qū)網(wǎng)的縱向虛擬化，是通過各種隔離技術(shù)(VLAN、ACL、MCE、VPN等技術(shù))，將一個物理網(wǎng)絡(luò)劃分成幾個相互獨立的邏輯網(wǎng)絡(luò)，實現(xiàn)終端、業(yè)務(wù)的安全

6、隔離以及應(yīng)用資源的按需分配。換句話說，縱向虛擬化是把網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)服務(wù)等軟硬件資源都看成統(tǒng)一的資源，雖然在物理上這些資源是統(tǒng)一、集中的，但對不同終端或業(yè)務(wù)來說，能夠使用到的資源、配置的安全策略、管理策略可以各不相同。園區(qū)網(wǎng)縱向虛擬化示意圖縱向虛擬化的優(yōu)點（1）統(tǒng)一的業(yè)務(wù)承載網(wǎng)?？v向虛擬化后的所有業(yè)務(wù)都基于統(tǒng)一的以太網(wǎng)，統(tǒng)一的Internet/廣域網(wǎng)接口。（2）集中的數(shù)據(jù)中心。縱向虛擬化后，可屏蔽底層硬件服務(wù)器、存儲設(shè)備間的差異，根據(jù)不同業(yè)務(wù)來分配使用資源。（3）統(tǒng)一的網(wǎng)絡(luò)管理和監(jiān)控。縱向虛擬化可實現(xiàn)對全網(wǎng)資源的配置管理、對各種業(yè)務(wù)流量的監(jiān)控、對不同群組的用戶和業(yè)務(wù)提供靈活的安全策略服務(wù)。園區(qū)網(wǎng)

7、縱向虛擬化設(shè)計要點園區(qū)網(wǎng)中不同層次的網(wǎng)絡(luò)設(shè)備所采用的網(wǎng)絡(luò)虛擬化技術(shù)手段是不同的。（1）核心層的縱向虛擬化，主要采用MPLS VPN的方式。當然也可以使用MCE（Multi Custom Edge ，多角色用戶邊緣）技術(shù)，但不建議使用MCE，因為配置復(fù)雜，無法互通。（2）匯聚層的縱向虛擬化，可采用MPLS VPN，當匯聚層設(shè)備不支持MPLS VPN的時候，尤其是在配合核心層使用MPLS VPN時,可采用MCE。（3）接入層的縱向虛擬化，當接入網(wǎng)絡(luò)是第二層網(wǎng)絡(luò)時采用VLAN，當接入網(wǎng)絡(luò)是第三層網(wǎng)絡(luò)時采用MCE?？v向虛擬化設(shè)計示意園區(qū)網(wǎng)整體虛擬化整體虛擬化=橫向虛擬化+縱向虛擬化在核心層、匯聚層、接

8、入層分別通過iStack/CSS技術(shù)進行硬件設(shè)備的虛擬化，達到簡化網(wǎng)絡(luò)結(jié)構(gòu)、簡化網(wǎng)絡(luò)協(xié)議部署、提高網(wǎng)絡(luò)可靠性和可管理性的目的。在各邊緣網(wǎng)絡(luò)（WAN出口、Internet出口）以及數(shù)據(jù)中心的安全方面，通過在匯聚交換機上部署FW（Firewall）單板或者部署獨立的FW設(shè)備來保證。全網(wǎng)通過MPLS L3VPN進行路徑虛擬化，完成網(wǎng)絡(luò)資源的隔離。整體虛擬化示意（橫向+縱向）4.6.4 業(yè)務(wù)邏輯隔離方案小型園區(qū)網(wǎng)1) 小型園區(qū)網(wǎng)業(yè)務(wù)隔離設(shè)計 小型園區(qū)業(yè)務(wù)隔離設(shè)計方案，宜采用VLAN+ACL隔離方式。 采用VLAN，可以實現(xiàn)不同用戶共享LAN設(shè)施，同時保證各自的網(wǎng)絡(luò)二層信息隔離安全。二層網(wǎng)絡(luò)的VLAN隔

9、離 對于三層終結(jié)業(yè)務(wù)隔離則需要在網(wǎng)絡(luò)三層邊界和數(shù)據(jù)區(qū)邊界部署ACL，根據(jù)隔離要求設(shè)定控制策略，限制部門之間的訪問權(quán)限。采用VLAN+ACL方式隔離業(yè)務(wù)有如下特點：部署簡單，容易理解，特別適合小型園區(qū)網(wǎng)絡(luò)。采用VLAN+ACL實現(xiàn)業(yè)務(wù)隔離，對網(wǎng)絡(luò)設(shè)備功能要求不高，有利于企業(yè)降低采購成本。分布式ACL需要配置嚴格復(fù)雜策略控制，靈活性和擴展性較差。當業(yè)務(wù)、網(wǎng)絡(luò)需要調(diào)整時, 配置需要跟隨變動。大中型園區(qū)網(wǎng)業(yè)務(wù)隔離設(shè)計從業(yè)務(wù)隔離靈活性、配置管理復(fù)雜度、擴展性、組網(wǎng)對設(shè)備的要求等多方面綜合對比，MPLS L3VPN技術(shù)最適合應(yīng)用在大中型園區(qū)內(nèi)進行業(yè)務(wù)隔離。MPLS L3VPN是一種基于網(wǎng)絡(luò)邊緣設(shè)備PE（P

10、rovider Edge）的L3 VPN技術(shù)。它使用BGP在服務(wù)提供商骨干網(wǎng)上發(fā)布VPN路由，使用MPLS在服務(wù)提供商骨干網(wǎng)上轉(zhuǎn)發(fā)VPN報文。MPLS L3VPN組網(wǎng)方式靈活、可擴展性好，并能夠方便地支持MPLS QoS和MPLS TE，因此得到越來越多的應(yīng)用。在園區(qū)網(wǎng)中，通過三層交換機同樣可以構(gòu)建MPLS VPN網(wǎng)絡(luò)，承載所有業(yè)務(wù)的傳輸數(shù)據(jù)，并進行安全隔離。在大中型園區(qū)網(wǎng)絡(luò)核心、匯聚、接入三層結(jié)構(gòu)中，一般將匯聚交換機作為二、三層網(wǎng)絡(luò)分界點。MPLS L3VPN都會從匯聚層部署，但是在匯聚層網(wǎng)絡(luò)不支持MPLS L3VPN的時候，那么就只能在核心層部署了。在核心層部署MPLS L3VPN的時候，

11、通常會在不支持MPLS的匯聚層部署MCE來配合完成隔離。無論上述哪種情形，接入層均需要通過VLAN隔離。在核心和匯聚層上部署MPLS L3VPN核心層上部署MPLS VPN,匯聚層部署MCE采用MPLS VPN+VLAN或者MPLS VPN+MCE+VLAN方式隔離業(yè)務(wù)有如下特點： 資源利用率高、擴展性強，可以容納VPN數(shù)量很大，同一VPN用戶很容易擴充。特別適合大中型園區(qū)網(wǎng)絡(luò)。 采用私有路由表實現(xiàn)業(yè)務(wù)隔離，不同的VPN處在不同的轉(zhuǎn)發(fā)表項中，邏輯結(jié)構(gòu)清晰，維護簡便。 MPLS VPN支持靈活的訪問控制策略，可以實現(xiàn)靈活的組網(wǎng)方式，如Extranet組網(wǎng)方式、Hub&Spoke組網(wǎng)方式，更容易滿足企業(yè)對業(yè)務(wù)多樣性隔離部署的需求。4.7 邏輯設(shè)計說明書邏輯設(shè)計結(jié)果用邏輯設(shè)計說明書描述。邏輯設(shè)計說明書沒有統(tǒng)一的格式，但應(yīng)包括以下主要內(nèi)容： （1）網(wǎng)絡(luò)邏輯設(shè)計方案； （2）項目的投資概算； (3) 甲乙雙方的簽字。 邏輯設(shè)計說明書的參考目錄邏輯設(shè)計說明書參考目錄 項目簡介設(shè)計依據(jù) 4.1 需求分析(簡介