虚拟化园区网络方案

虚拟化园区网络方案

华为CloudCampus解决方案

基于智简网络意图驱动的理念,

在云和SDN基础上,引入大数据分析和AI等技术，

帮助企业构建一张智能、极简、融合、开放和安全的网络。

区别于传统园区关注独立的单台设备,虚拟化网络关注全网的整体业务体验,

通过iMaster NCE-Campus和VXLAN技术,实现网络资源能够任意灵活调度。

通过虚拟化技术,将物理网络资源进行池化处理,形成可供业务层任意调动的全网资源池,供源

iMaster NCE-Campus灵活分配。

同时，在一个物理网络上虚拟出多个逻辑上独立的虚拟网络,分别承载多种不同的业务,拥有相对独立的网络资源,做到了业务与网络解耦,方便业务管理。

本课程将介绍基于VXLAN的虚拟化园区网络方案部署流程及典型部署案例。

虚拟化园区网络架构

Underlay:由实体网络设备（如交换机、AP、防火墙、路由器等)建立的物理拓扑组网,

为园区所有业务提供互联互通的能力，是园区业务数据转发的基础承载网络。

Fabric:对Underlay网络抽象后的资源池化网络。

在创建实例化的虚拟网络（VN)时，可以选取Fabric中的网络资源。

虚拟网络(VN)：通过将Fabric实例化，能够构建逻辑上隔离的虚拟网络实例。

一个VN对应一个隔离网络（业务网络），比如研发专网。

出口网关：园区网络的出口设备，可以是AR路由器或防火墙。

边界网关（Border）节点：用于实现Fabric和外部网络之间的互

联互通。一般为核心交换机。

边缘（Edge） 节点： Fabric边缘设备，用于连接用户侧设备及Fabric。

有线用户的数据从边缘节点进入VXLAN封装。

VXLAN

透传(Transparent )节点: Fabric的透传节点,无需支持

接入节点：包含有线接入节点和无线接入节点，一般就是接入交换机及AP设备。

其中，有线接入节点可以和Edge节点合一，

即VXLAN 到接入；

另一种组网方式是有线接入节点无需支持VXLAN，而汇聚交换机和Edge节点合一，即VXLAN到汇聚，而有线接入节点与上联的VXLAN边缘节点建立策略联动。

为满足园区网络多业务融合的需求，通过iMaster NCE-Campus在园区网络上进行虚拟网络的部署和配置，

实现在同一个物理网络上根据业务划分不用的虚拟网络。

该虚拟网络基于VXLAN技术，能满足如下需求：

a网络设备能够基于DHCP即插即用。

园区中的多种业务共享同一个物理网络,不同业务之间逻辑隔离,且能控制互访策略。

业务配置自动化，虚拟网络的配置由iMaster NCE-Campus统一下发，不需要登录设备手工配置。

。

终端用户在园区内任意物理位置按需接入虚拟网络,实现终端用户认证上线以及业务随行。

组网可靠性是指租户网络的可靠性设计,为保证网络可靠性，可在任意的典型组网方案中通过添加设备或链路的形

式实现可靠性，

根据涉及的范围，可分为三个层次：

链路层可靠性设计，即针对链路进行可靠性设计；

交换机之间可通过部署多条链路并进行捆绑（Eth-Trunk）提高链路可靠性。

建议交换机堆叠组网时采用跨设备的Eth-Trunk来保证链路可靠性。

园区出口部署多条链路，对链路进行主备配置，组网方案包括：

可以采用单设备多出口链路，或多设备、每设备至少一条出口链路方案，推荐采用后者。

同时,为进一步提高可靠性,推荐不同的出口链路接入不同的运营商网络。

设备层可靠性设计，即针对设备进行可靠性设计；

设备的可靠性：中小型园区通常采用盒式设备，其可靠性设计通常包括如下两方面：

采用冗余组件提升设备的可靠性。

除了选择可靠性高的设备外,

还可以通过采用双电源或冗余部件(冗余的板卡)的方式进一步提高设备自身工作的可靠性。

采用联合组网的方式提供设备级可靠性。

即通过多台设备联合组网的方式来提高设备工作的可靠性,比如主备、堆叠等组网方式。

园区网络出口区部署两台设备做双机备份,形成主备关系。

目前,防火墙双机模式仅支持镜像模式; AR支持双CPE组网,两台设备和两条出口链路

可同时工作。

内网设备,如核心/汇聚层的LSW设备,通过堆叠实现设备级的备份。目前,仅交换机支持堆叠。

SD-WAN 方案

 SD-WAN EVPN互联场景，适用于海量分支和总部/数据 中心(Hub站点)互访场景，

可以满足多总部/区域中心 的方式组网,分支、总部间可以实现多条链路互访,支 持智能选路(基于应用、质量选路)、链路QoS调度、 链路质量的呈现；

支持Hub-Spoke、Full-Mesh、 Partial-Mesh组网;

支持主、备Hub站点,以提高总部网络访问的可靠性; 支持多VPN（VRF），

支持WAN侧的多VPN互联；

在高安全要求的场景，如金融行业，可在站点同时部署 FW设备。 方案约束 。需要分支、总部都是支持SD-WAN的AR设备。

SD-WAN方案业务设计

VPN规划：根据业务/部门可以将网络划分为多个VPN，每个VPN的业务可以单独做策略，同时可以实现VPN间隔离。

智能选路：定义流量策略（可以基于网段、应用）设计智能选路，将高优先级应用如语音、视频优选可靠性高的链路（如

MPLS链路），一般的数据访问可以选低优先级链路。

QoS应用：多级QoS调度，应用 -> VPN -> 端口三级的QoS。

安全:通过配置ACL流量过滤、URL过滤、防火墙、IPS,实现流量的安全处理。

站点上网：支持本地上网、集中上网和混合上网模式；本地有Internet出口链路时，可以直接配置本地直接上网，上网流

量需要集中监管时，则可以选择集中上网。

与传统网络互通：支持与传统网络互通。

VLAN规划设计

VLAN分为业务VLAN、管理VLAN和互联VLAN。

VLAN编号建议连续分配，以保证VLAN资源合理利用。

建议预留一定数量的VLAN以方便后续扩展。

最常用的划分方式是基于接口的方式，

根据不同的设计原则，将接入交换机不同接口划分到不同的VLAN，从而实现不同业务类型用户的隔离需求。

IP地址规划设计

管理IP地址

二层设备使用VLANIF地址作为管理IP地址，建议网关以下的所有二层交换机使用同一IP网段。

互联IP地址

互联IP地址推荐使用30位掩码的IP地址,核心设备可使用主机地址较小的IP地址。

业务IP地址

业务IP地址是服务器、主机以及网关的IP地址。

网关IP地址推荐统一使用相同的末位数字，如.254。

各业务IP地址范围要清晰区分,每一类业务终端IP地址连续、可聚合。

建议使用掩码为24位的IP地址段。

传统的网络开局需要工程安装人员、网络调测人员共同参与,安装、调测周期长,业 务上线慢,消耗人力多,云园区网络解决方案支持自动化开局。

自动化开局 云管理方案可以实现设备即插即用，在设备满足一定约束条件的 前提下,

设备上电后即可自动连接到指定的云管理平台,并获取 完整的业务配置，实现设备即插即用、业务快速开通的效果。

设备即插即用约束条件 管理员在云管理平台上登记了设备ESN（可以扫码录入、手工录 入等），同时绑定了有效的License授权包。

管理员在云管理平台上已对设备或设备组完成离线预配置。

设备可以通过DHCP Server（由其他云盒设备担任或客户自行部 署)获取到有效的IP地址、DNS服务,并且该地址具备与 Internet通信的能力。