大企业智简园区网络部署方案

园区虚拟化网络主要是基于iMaster NCE-Campus新建，按照iMaster NCE-Campus的业务配置模型进行部署规划，具体规划如表3-1所示。

表3-1 园区虚拟化网络新建方案规划

规划项	详细部署思路
管理网络部署方案	iMaster NCE-Campus与园区内网对接 网络管理区网关与核心交换机之间通过三层路由互通。建议在网络管理区网关规划2条静态路由，一条用于iMaster NCE-Campus南向、iMaster NCE-CampusInsight南向与管理子网互通；一条用于iMaster NCE-Campus南向、DHCP服务器与用户子网互通。 设备开局上线方式 核心交换机采用手动配置上线，汇聚层和接入层网络设备即插即用上线。 核心交换机、汇聚交换机和接入交换机之间的互连端口、Eth-Trunk信息需提前规划好，然后通过网络规划模板导入到iMaster NCE-Campus。 汇聚交换机和接入交换机通过自协商管理VLAN打通管理网络，通过DHCP Option 148获取iMaster NCE-Campus的地址信息。 AP通过无线自协商管理VLAN打通管理网络，通过DHCP Option 43获取WAC的地址，然后在WAC上线。
Underlay部署方案	Underlay路由规划 Underlay物理网络中任意两台设备的三层连通，是部署虚拟网络的前提条件。可以选择手动配置或者通过iMaster NCE-Campus自动编排路由。推荐使用iMaster NCE-Campus自动编排。 考虑路由表能够根据网络拓扑变化而动态刷新，建议规划IGP动态路由协议，如OSPF。iMaster NCE-Campus支持OSPF路由自动编排。 Underlay防环规划 整网采用树形结构，核心层与汇聚层、汇聚层与接入层设备间为点到点连接，物理拓扑天然无环。为防止由于误连线等造成的环路，交换机须使能MSTP。三层组网推荐将核心层和汇聚层之间的互联链路去使能MSTP，并将每个汇聚交换机及其所下属的接入层交换机规划成一棵独立的MSTP树，汇聚交换机做根桥。
Overlay部署方案	Fabric规划 VXLAN控制面采用BGP EVPN，不同Border/Edge间需建立BGP EVPN连接，以Loopback接口作为建立BGP连接和VXLAN隧道封装的源接口。 推荐将Border设备（通常CPU处理能力最强）配置为路由反射器，Edge间不需要再建立BGP EVPN连接，从而减小CPU性能消耗。 外部网络出口采用L3独占出口，与出口防火墙设备对接互联，即每个VN都有一个对应的三层接口接入防火墙的安全区域，并实现外部互访。 通过配置Fabric的网络服务资源完成：用户VN和DHCP服务器的互访；到达DHCP服务器路由的配置下发；后续用户网关接口上DHCP Relay的配置下发。 有线用户接入控制在Fabric的接入管理中配置。 无线用户接入控制通过WAC的Web页面配置，不在Fabric中配置。 用户网络部署IPV4/IPV6双栈，IPV6使用IPV6 over IPV4方式。 VN规划 建议根据业务类型划分VN，VN和VN之间默认不允许互访。如果VN的互访诉求需要在Border上完成，可以在VN管理界面配置VN互访。 每个VN中又可以划分多个子网，包括静态VLAN用户、动态VLAN用户、静态语音VLAN用户和动态语音VLAN用户。
WLAN部署方案	目前，在部署分布式网关的大中型园区虚拟化方案中，无线网络采用WAC+Fit AP架构，本篇最佳实践以大企业园区网络虚拟化方案推荐组网介绍中的组网1举例，Border作为WAC角色纳管AP。 无线业务推荐采用隧道转发，无线网关在Border上，通过Border接入VN。 Fit AP的无线业务配置除认证模板在NCE-Campus上配置外，其他主要通过WAC的Web网管或者命令行方式进行集中配置。 AP上线方式 AP上线主要包括管理网络打通、WAC的IP地址信息获取、iMaster NCE-Campus上的AP ESN校验。其中，管理网络打通、WAC的IP地址信息获取可参考“管理网络部署方案 - 设备开局上线方式”规划；对于iMaster NCE-Campus上的AP ESN校验，支持以下两种方式，实际部署时请根据需求选择对应的上线方式： 提前导入AP信息：该方式需要在AP硬装时采集AP ESN信息，在网络规划模板中填写ESN、AP名称，连同其他信息（如Eth-Trunk等）一起，一次性导入iMaster NCE-Campus。 AP上线后手动修复：该方式不需要提前采集AP的ESN信息，需要现场施工时逐个安装AP并反馈AP ESN和位置信息，网络管理员可以同步在iMaster NCE-Campus纳管AP并根据AP位置修改AP名称。 SSID和业务VLAN规划 无线SSID可以规划为员工、哑终端、访客三个，其中员工SSID与研发、市场员工无线业务VLAN，哑终端SSID与研发、市场哑终端无线业务VLAN，分别是一对多的关系。实际现网中SSID与无线业务VLAN的对应关系，请根据具体业务需求进行规划。 WLAN网络准入规划 无线准入可以规划为三种，员工SSID使用802.1x认证，访客SSID使用自注册和MAC优先的Portal认证，哑终端SSID采用MAC认证。
出口网络部署方案	与出口防火墙设备对接互联，即每个VN都有一个对应的三层接口接入防火墙的安全区域，并实现外部互访。
接入控制部署方案	认证控制点和认证执行点规划 为了实现用户接入能够通过不同认证方式进行认证，Fabric不仅需要与认证服务器实现互通，还需要选取认证控制点设备，并且在控制点上绑定相应的认证模板。在分布式网关场景中： VXLAN到汇聚（即Edge下有扩展节点），有线用户接入认证除了在Edge节点部署认证控制点之外，还需要通过控制器将扩展节点指定为认证执行点，以上配置都在Fabric接入管理中配置。 无线用户接入认证控制点部署在WAC，即核心交换机。 认证方式规划 有线用户接入、无线用户接入均基于用户类型规划，参考“•WLAN网络准入规划”，对于员工，采用802.1x认证；对于访客，采用自注册和MAC优先的Portal认证；对于哑终端，采用MAC认证。 业务随行规划 在传统园区网络中，控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的，需要在大量的认证点交换机上提前配置，部署和维护工作量巨大。基于安全组的业务随行方案，实现了业务策略与IP地址的解耦，改变了访问控制策略的匹配机制，把原来的一步匹配改成了两步匹配：先用IP匹配安全组，再用安全组去匹配策略。IP与安全组的映射关系可以随着IP的分配情况动态刷新，从而实现了用户能够从园区网络中的任意位置、任意VLAN、任意IP网段接入，并可以始终控制其网络访问权限。

本篇最佳实践基于虚拟化分布式网关方案常用的三层组网介绍部署思路，其中，汇聚交换机做为Edge节点，核心交换机作为Border节点。用户网关采用分布式部署方式，选取汇聚交换机作为用户网关，如图3-1所示。具体组网说明如下：

• 为了保证设备级可靠性，防火墙采用VRRP主备方式的双机热备，核心、汇聚、接入采用堆叠组网。
• 为了保证链路级可靠性，链路间采用Eth-Trunk组网。
• 无线业务的部署采用Fit AP+WAC的架构，核心交换机作为WAC设备，AP设备运行Fit AP模式。
• 管理层部件主要涉及iMaster NCE-Campus、iMaster NCE-CampusInsight、DHCP服务器。由于管理层部件需要根据实际的业务需求选取服务器或虚拟机资源数量，请以各管理层部件产品手册中要求的规格为准，本案例中各部件部署的数据规划选取的是较小配置规格。
• 安装管理层部件的服务器通过堆叠的Switch（Switch作为网络管理区三层网关）接入到园区网络，并且每台服务器采用双网卡主备方式绑定网口（服务器网卡bond缺省采用主备模式，对接Switch时，Switch的对接接口需要加入相同VLAN），如图3-2所示。如果管理层部件部署在数据中心机房，服务器侧组网可参考数据中心网络方案。安装各管理层部件的服务器与数据中心交换机的连线要求可参考各管理层部件的产品手册。

  图3-1 大企业园区虚拟化方案分布式网关场景组网图（汇聚做Edge和用户网关，核心做Border）

• 

网络管理区的物理服务器部署组网图