目 录
小组学习分工
小组长:负责整个项目的统筹协调,确保各阶段按时完成,同时深度参与网络规划,特别是易管理原则的制定,利用其领导力推动智能化管理策略的落地,提升运维效率。
组员:参与网络拓扑设计,分析需求并协助设计网络架构,确保网络高效且稳定。
组员:负责网络地址规划,设计合理的IP地址分配和子网划分,以满足当前及未来需求。
组员:专注DHCP配置,实现自动分配IP地址,优化客户端接入流程,考虑安全配置。
组员:主攻网络优化,针对网络拓扑优化与网络安全优化,识别并解决网络性能瓶颈,增强安全防护。
组员:负责设备命名规则的制定与实施,确保命名逻辑清晰,便于后续运维。
组员:负责组网设计的细节实施,包括设备选型与布局,确保硬件配置符合设计规范。
组员:参与执行摘要与结论的编写,提炼项目核心信息,总结成果,并协助完成接口描述规则的制定,确保网络接口信息记录清晰准确。
1. 执行摘要
1.1. 园区设计简介
图 1园区多层网络部署模式
图1显示了多层部署模式。根据分布层网络块数量、可扩展性和性能要求不同,园区可以部署以上两种模式中的任意一种。
1.2. 园区局域网和无线局域网设计指南
为园区用例设计一个局域网并不存在放之四海而皆准的设计。园区局域网的规模可以小至单台交换机和小型远程站点的无线接入点,也可以是一个大型、分布式、多个建筑综合体,具有高密度的有线端口和集中化的无线需求。其部署可能要求网络所提供的服务高度可用,而对风险的容忍度很低,或者可能对于出故障再修复方法有一定的容忍度,同时数量有限的用户遭受较长时间的服务中断被认为是可接受的。使用精益的云管理方法对于一些场所可能是可接受的,而对于网络设备密度更加集中的较大总部场所来说,则现场 IT 员工更受青睐。这些部署的平台选择的驱动因素通常是网络容量的需求、所提供的设备和网络功能,以及满足对于组织来说很重要的任何合规要求这一需求。
大多数园区有线局域网设计的复杂度是在与接入层和分布层互连时才暴露出来。如果连接至接入层的设备在第二层有邻接需求,而囿于网络的规模,连线需要覆盖连接至一个分布层的多个配线间,则您可以调整传统的多层园区设计来满足这些需求。然而,存在一些更受青睐的替代方案,可让部署变得更加易于管理且更不易出错。这类替代方案包括在分布层使用交换机堆叠或虚拟交换系统 (VSS) 来简化分布层选项,这使得 IT 人员可以更加轻松地进行部署和故障排除。通过部署思科 Catalyst 即时接入解决方案,将接入层和分布层合并至一个设备管理域中,您可以使这种简化更进一步。尽管传统的多层园区设计是得到广泛部署的有效解决方案,但鉴于有更好的替代方法,它并非我们通常推荐的方案。推荐的设计选择并非仅有的选择,但是考虑到要求范围,它们是重点强调的首选选择。
(1) 高密度大型园区设计
高密度大型园区设计具有连接至一个核心的多个分布层,并在有线端口和 WLAN 设备的接入层具有密度要求。首选的设计具有支持超过 1000 个有线及无线用户和设备的容量,而且高度可用,能够实现关键业务的连续性,同时具有支持诸如 NetFlow 及网络虚拟化和分段等高级功能的能力。您可能选择这种设计用于密度低于所支持密度的情况;然而,其要求会提出对关键业务连续性或高级功能的需求。
(2) 中密度园区设计
中密度园区设计是单一分布层,它可以单独使用,或者用作连接至另一个分布层或其它服务的折叠核心,或者也可能连接至远程站点(已发展到需要一个汇聚层)的广域网路由器。接入层中对有线端口和 WLAN 设备的需求量通常为数百个(而大型设计中则为数千个),需要的接入点少于100 个。首选设计力求满足典型的业务连续性需求,这类需求不需要提供所有冗余组件和标准网络功能。
(3) 小型站点园区设计
小型站点园区设计是单一接入交换机或者单一接入交换机堆叠。接入层中对有线端口和 WLAN 设备的需求量通常为数十个(而中型设计中则为数百个),需要的接入点少于 25 个。首选设计力求将成本最小化,同时提供最少数量的组件和功能。务连续性需求,这类需求不需要提供所有冗余组件和标准网络功能。
2. 企业园区网络设计方案
2.1. 基本设计原则
园区网络作为网络基础设施,为用户提供网络通信服务和访问资源权限,其复杂多样的访问关系以及多种多样的业务类型必然要求园区网的设计要有良好的指导思想和设计原则。园区网设计过程中,应当遵循如下设计原则:
可靠性原则:园区网必须稳定可靠工作,业务不中断,保证业务体验。这就要求关键部件采用冗余或备份架构,发生故障时可以快速恢复。
可信任原则:网络必须安全、可信任,保障网络和业务安全。这就要求全网安全可信,具有完善的安全防护措施,防止恶意破坏,保护数据和网络安全。
可扩展原则:网络平滑升级和扩展,满足未来3~5年的发展规划,充分发挥网络价值,减少重复投资,避免资源浪费。这就要求园区网适应不同业务部署和扩展需求,包括部署新业务以及网络平滑扩展等要求。
易管理原则:网络容易管理和维护,网络诊断和故障定位容易,降低运维难度,提升客户体验。这就要求全网多业务智能、主动和综合管理,实时分析网络健康状况,积极预防,故障发生时可以快速排除故障,减少损失。
可运营原则:支持和方便部署新业务,如VoIP、UC(统一通信)、智真、桌面云等。
经济性原则:最大化投资回报和降低投资成本。
2.2. 设备命名规则
设备命名建议由多个字段组成,可以准确描述出设备实际的地理位置、设备在园区网络中的角色,如图2所示。为了避免设备命名过长,每个字段可以采用首字母缩写,比如A_B-4F_CSW_HW_S12700E-12_a。
图 2设备命名样例
*标号* | *含义* |
---|---|
*A* | 园区站点名称。 |
*B* | 设备在园区中的地理位置,一般命名为机房名称+楼层。 |
*C* | 设备在园区网络中的角色。 |
*D* | 设备品牌名,比如样例中的HW,代表Huawei。 |
*E* | 设备型号。 |
*F* | 设备编号,可以按字母或者数字排序。 |
表 1设备命名规则
2.3. 接口描述规则
物理接口建议配置description,便于后续从描述信息中了解端口对接情况。一般建议描述内容包含3个部分,如图3所示。
图 3接口描述样例
*标号* | *含义* |
---|---|
*A* | 描述本端连接的方向,比如连接的是下行设备的接口。 |
*B* | 对端设备名称。 |
*C* | 对端设备接口。 |
表 2接口描述原则
3. 组网设计
组网设计的目标是进行网络连通性设计,实现网络设备的互联互通。
3.1. 组网架构选型
如图4所示,园区网络常用的组网模型分为四种,以适应用不同网络规模的要求。
图 4中小型园区网络常用组网模型
中小型园区网络可以根据“网络规模类需求调研与分析”中描述的网络规模类需求调研结果来选择组网架构。通常中小型园区网络规格相对较小,对于单个园区或分支,通常采用单层内网组网架构(出口区+接入层)或双层内网组网架构(出口区+汇聚层+接入层),出口区设备通常也作为网关;对于网络规模较大的中型园区,也可以采用包括核心层、汇聚层、接入层的三层内网组网架构,同时,将网关部署在核心层。
对于多园区或分支互联的场景,需要设计出口互联架构,常用的架构有Hub-Spoke、Mesh两种类型,以及这两种架构的不同变型组合,如图5所示:
图 5出口互联模型
3.2. 出口区组网设计
图 6出口区组网拓扑示意
网络出口区的组网设计需要考虑如下方面:
(1) 出口网关设备的选择:
中型的商超、普教场景以及高安全应用场景,采用防火墙设备。
家庭酒店、小型零售、分支等,可采用AR设备。
微型门店仅部署单台AP时,采用AP设备。AP支持双上行出口,一个出口接外网,用于连接互联网;一个出口接内网,用于连接总部或内部服务器区。
(2) 出口组网设计:
对于中型的商超、普教场景,网络规模较大,推荐出口采用防火墙双机组网,出口的链路推荐多运营商链路备份。
对于酒店、门店、中小型商超等场景,网络规模相对较小,推荐出口采用单设备组网,出口采用单运营商链路即可。
(3) 出口网关设备需要部署的主要功能:
基本的VPN功能、WAN口/拨号接入功能。
对于安全有需求的场景,可以部署安全防火墙功能。
(4) 出口网关设备选型的设计约束:
AP做出口时,仅支持配置一个默认的WAN侧地址。AP双上行出口时,禁止配置默认路由,同时,如果有两个可达的dhcp server,必须先部署外网的,保证AP可以申请到正确的地址注册到控制器,然后修改另外端口的PVID vlan,允许新创建的vlanif接口使用动态的方式获取地址。
FW作为认证点时,仅可以支持云平台的有线Portal认证。
出口网关备份场景,AR不支持配置备份,建议选择FW做出口网关。
非SD-WAN场景下,AR做网关,AR不支持Eth-trunk;如果和AR直连的LSW要做堆叠,则需要LSW作为网关,通过3层和AR互联。
(5) NAT设计:
NAT主要用于实现内部网络(简称内网,使用私有IP地址)访问外部网络(简称外网,使用公有IP地址)的功能。当内网的主机要访问外网时,通过NAT技术可以将其私网地址转换为公网地址,可以实现多个私网用户共用一个公网地址来访问外部网络,这样既可保证网络互通,又节省了公网地址。
对于中小型园区网络,推荐采用Easy IP方式。
Easy IP是一种利用出接口的公网IP地址作为NAT转后的地址,同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景,Easy IP也一样支持。Easy IP方式特别适合小型局域网访问Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境,一般具有以下特点:内部主机较少。对于这种情况,可以使用Easy IP方式使局域网用户都通过这个IP地址接入Internet。
(6) 出口带宽评估:
出口带宽是由园区网络的出口业务类型(如在线视频、在线音乐、办公上网、总部/分支站点互联互访业务等,统称为上网业务)以及对应的终端并发访问的数量规模来决定的。不同上网业务需要的带宽不同,如办公上网的带宽为200kbps左右,在线高清视频为40Mbps左右;同时,不同上网业务的终端并发访问量也各不相同,因此需要对上网业务类型及其带宽有一个全面的了解,确定每类上网业务所需的出口带宽及其并发量,最终综合形成全网的出口带宽。同时,出口带宽也受运营商线路价格的影响以及出口设备的带宽能力的限制,出口带宽越高,线路价格就越贵;出口带宽越高,对设备能力要求就越高,对应地就需要部署更高档的出口设备。
对于中小型园区网络,通常可以先根据经验值以及出口带宽成本来评估所需要的出口带宽,待网络运行一段时间后,根据此段期间上网业务的运行情况评估一下是否需要进行重新评估。
3.3. 汇聚层组网设计
图 7汇聚层组网拓扑示意
汇聚层的组网设计需要考虑如下方面:
对于酒店、门店、中小型商超等场景,网络规模相对较小,汇聚层采用单台设备组网即可;当网络规模较大时,汇聚层可以采用多台设备组网。
由于AR不支持Eth-trunk,所以AR作为出口网关时汇聚层设备不推荐采用堆叠组网。
通常推荐网络出口设备作为网关;当出口设备不支持Eth-trunk时,如果汇聚层需要采用堆叠组网时,则可以将汇聚层作为网关,与出口区通过三层路由方式互联。
对于小型商超、门店场景,网络规模更小,可以没有汇聚层设备,采用单设备组网或单层内网组架构。
对于有AP接入的汇聚层设备,推荐采用提供PoE供电的交换机,即PoE交换机。
选择PoE交换机时,需要考虑与AP的PoE供电要求是否相匹配,包括单端口的供电能力或规格以及整机的PoE供电能力,整机的PoE供电能力要求可以简单计算:
交换机的PoE供电功率≥接入AP的数量*AP需要的PoE供电功率
3.4. 接入层组网设计
图 8接入层组网拓扑示意
接入层负责接入各类终端,因此接入层的设计是与需要接入的终端类型、数量紧密相关的,相关的组网设计需要考虑如下方面:
(1) 接入设备的选择:
接入层设备既可以是有线接入设备,如交换机,也可以是无线接入设备,如AP,根据网络接入需求来确定选择何种类型的接入设备。
根据接入区域的接入终端密度选择对应的端口数量的设备,对于接入终端或信息点数量比较多的场景,可以采用高密度端口的交换机(如48口的交换机)或接入能力更强大的高性能AP。
选择接入交换机时,需要考虑是否有PoE供电需求的终端接入,如PoE供电的IP摄像头;如果有,需要考虑PoE供电规格和能力的匹配,包括单端口的PoE供电能力、整机的PoE供电能力。
对于酒店、宿舍等多房间建筑模式的场景时,采用中心AP,提供RU PoE接入和管理,RU提供WLAN无线能力。
(2) 组网设计:
通常,对于中小型园区网络,接入层采用单设备单链路组网方式。为提高可靠性,接入层设备可以采用单设备双链路接入到汇聚层。AP使用双上行接入汇聚层时,AP的两个GE都需要同时使用,PoE供电可能不足,建议使用独立电源供电。
如果汇聚层采用堆叠组网时,推荐接入层采用Eth-Trunk链路与汇聚层互联,以提高组网可靠性。当接入层设备数量比较多,而汇聚层设备的端口数量有限时,可以考虑接入层采用堆叠组网方式,减少接入层总的上行链路的数量。
对于酒店、中小型商超、中型门店等场景,网络规模相对较小,推荐接入层采用单设备单链路组网方式与汇聚层备互联。
3.5. VLAN规划设计
VLAN规划时,VLAN编号建议连续分配,以保证VLAN资源合理利用。建议预留一定数量的VLAN以方便后续扩展。
VLAN划分需要区分业务VLAN、管理VLAN和互联VLAN,中小型园区网络通常采用二层网络组网,不建议配置互联VLAN。最常用的划分方式是基于接口的方式,根据不同的规划原则,将接入交换机不同接口划分到不同的VLAN,从而实现不同业务类型用户的隔离需求。
(1) 业务VLAN规划设计
业务VLAN可以根据多种原则划分VLAN,如表3所示。
VLAN划分分类 | 示例 |
---|---|
按照逻辑区域划分VLAN | 核心网络区:VLAN100~VLAN199服务器区:VLAN200~VLAN999,预留VLAN1000~VLAN1999接入网络:VLAN2000~VLAN3499业务网络:VLAN3500~VLAN3999 |
按照地理区域划分VLAN | 接入网络A的地理区域使用VLAN2000~VLAN2199接入网络B的地理区域使用VLAN2200~VLAN2399 |
按照人员结构划分VLAN | 接入网络A地理区域A部门使用VLAN2000~VLAN2009接入网络A地理区域B部门使用VLAN2010~VLAN2019 |
按照业务类型划分VLAN | Web服务器区域:VLAN200~VLAN299应用服务器区域:VLAN300~VLAN399数据库服务器区域:VLAN400~VLAN499 |
表 3业务VLAN规划原则
在实际应用中,还可以根据多种原则进行组合,例如,按照地理区域划分不同的VLAN,同一地理区域又按照人员结构划分不同的VLAN。假设某企业有A地区分部和B地区分部,为A地区分部用户分配VLAN10~VLAN19,为B地区分部用户分配VLAN20~VLAN29。A地区分部有财务部、销售部和采购部,为财务部用户分配VLAN10,为销售部用户分配VLAN11,为采购部用户分配VLAN12。
(2) 管理VLAN规划设计
二层网络设备(如二层交换机和AP)无法直接创建三层接口,需要创建VLANIF来进行管理,这时需要定义管理VLAN,管理VLAN主要用于用户通过远端网管集中管理设备。通常建议二层交换机和AP使用VLANIF接口地址作为管理地址。对于小型园区网络,建议所有设备采用同一个管理VLAN,可以直接采用缺省VLAN,进一步简化部署和管理;对于网络规模稍大的园区网络,可以考虑将有线网络(二层交换机)和无线网络(AP)各用一个管理VLAN,便于网络运维。
3.6. IP地址规划设计
IP地址规划需要参考网络业务、设备数量等因素进行设计,不但需要保持现网架构统一、IP地址清晰,还要考虑新增IP地址时保持网络架构和路由域的稳定。中小型单园区IP地址规划时,建议如下:
管理IP地址:二层设备使用VLANIF地址作为管理IP地址,建议网关下的所有二层交换机使用同一网段。
业务IP地址:业务IP地址是服务器、主机以及网关的IP地址。网关IP地址推荐统一使用相同的末位数字,比如:.254都是表示网关。各业务IP地址范围要清晰区分,服务器和客户端的IP地址范围也要清晰区分,每一类业务终端IP地址连续、可聚合。考虑到广播域范围及规划的简易程度,建议为每个业务地址段预留掩码为24位的IP地址段,如果业务终端超出200个,再为其顺延一个掩码为24位的IP地址段。
IP地址分配时可以动态IP分配或者静态IP绑定。在中小型园区中,IP地址具体的分配原则如下:
出口网关设备:WAN侧接口的IP地址由运营商进行分配,可以通过静态IP地址、DHCP或者PPPoE方式分配,对于出口网关的IP地址需要提前与运营商沟通获取。
服务器、特殊终端设备(打卡机、打印服务器、IP视频监控设备等)建议采用静态IP地址绑定方式分配。
网络设备-二层交换机:当二层交换机和网关设备直连时,IP地址建议通过静态绑定方式分配;当二层交换机和三层交换机直连时,IP地址建议通过在网关设备上部署DHCP Server,统一通过DHCP方式动态分配。
网络设备-AP:AP设备的IP地址建议通过在网关设备上部署DHCP Server后,统一通过DHCP方式动态分配。
用户终端:用户办公用PC、IP电话等设备建议通过在网关设备上部署DHCP Server后,统一通过DHCP方式动态分配。
3.7. 路由规划设计
中小型单园区网络的路由设计包括园区内部的路由设计及园区出口与Internet/广域设备之间的路由设计。中小型园区网络规模比较小,通常推荐采用静态路由或默认路由。
园区内部的路由设计:主要满足园区内部设备/终端的互联互通需求,并且可以与外部路由交互。由于中小型单园区的网络规模比较小,网络结构也比较简单,内网通常是二层网络,网关设置在出口设备上。
AP设备:通过DHCP分配IP地址后默认会生成一条缺省路由。
交换机、网关设备:推荐部署静态路由。
园区出口的路由设计:出口路由设计主要满足园区内部用户访问Internet和广域网的需求。出口设备与Internet或者WAN连接时,建议在出口设备上配置静态路由来满足需求。
3.8. 组网可靠性设计
对于一些中小型园区网络,如果业务严重依赖于网络,则通常会对网络可靠性有比较高要求。云管理网络的可靠性主要包括平台可靠性和租户网络可靠性两个方面,下面分别介绍如何进行相关方案的设计。
(1) 平台可靠性
公有云管理平台的可靠性无需租户设计,由平台运营商来负责设计和实现,租户直接使用即可。公有云管理平台的可靠性分为技术架构的可靠性和运营的可靠性两个方面,其中:
技术架构的可靠性:云管理平台支持以分布式集群方式部署,具有较高的可靠性;
运营可靠性:公有云管理平台通常都有专门的SRE团队负责平台运营的安全和可靠性。
(2) 租户网络可靠性
租户网络的可靠性需要由租户进行规划和设计,通常采用双设备、双链路结合Eth-trunk技术和堆叠技术来实现,总体方案如下图9所示。
图 9可靠性组网
链路的可靠性,包括:
出口链路可靠性:如下图所示,园区出口部署多条链路,对链路进行主备配置,组网方案包括:
可以采用单设备多出口链路,或多设备中的每台设备至少一条出口链路方案,推荐采用后者。
同时,为进一步提高可靠性,推荐不同的出口链路接入不同的运营商网络。
结 论
园区网络设计需依据不同的规模和需求选择合适的模型,如高密度大型园区需高度可用性和高级功能支持,中密度园区侧重典型业务连续性,小型园区则追求成本效益和简洁性。设计原则中,可靠性、安全性、可扩展性、易管理性、可运营性和经济性被强调为关键指导方针,确保网络满足当前及未来需求的同时,控制成本并优化用户体验。
设备命名和接口描述规则的标准化对于网络的长期维护至关重要,通过明确的命名约定和接口描述,可以简化故障排查和日常管理。组网设计部分强调了网络架构的合理规划,针对中小型园区推荐采用适宜的单层、双层或三层组网模型,以及出口互联的Hub-Spoke、Mesh架构等,以应对不同场景需求。
出口区设计特别关注网关设备的选择与功能配置,如防火墙的部署确保安全性,AR设备的灵活性,以及AP设备在特定微环境中的应用,同时考虑了NAT策略以实现内外网的高效互通,特别是推荐Easy IP方案对于中小型园区的适用性。
综上所述,企业园区网络设计应遵循既定原则,采取灵活的架构策略,注重细节实施,以构建一个稳定、安全、高效且易于管理的网络环境,支撑各类业务的持续发展。