本文详细介绍了园区网络的典型架构,包括核心层、汇聚层、接入层和出口区,以及各行业的特点。涵盖了以太网交换、VLAN划分、无线接入技术(如WLAN和CAPWAP)、网络冗余(VRRP和MSTP)、DHCP、NTP、SNMP、防火墙技术、NAT、IPv6和组播等内容,展示了如何构建可靠、安全的园区网络环境。
一、典型技术应用概述
1.园区网络典型架构
- 核心层:是园区网骨干,是园区数据交换的核心,联接园区网的各个组成部分,如数据中心、管理中心、园区出口等。
- 汇聚层:处于园区网的中间层次,完成数据汇聚或交换的功能,可以提供一些关键的网络基本功能,如路由、安全等。
- 接入层:为终端用户提供园区网接入功能,是园区网的边界。出口区:园区内部网络到外部网络的边界,用于实现内部用户接入到公网,外部用户(包括客户、合作伙伴、分支机构、远程用户等)接入到内部网络。
- 数据中心区:部署服务器和应用系统的区域,为企业内部和外部用户提供数据和应用服务。
2.常见的行业园区网
- 企业园区网络
- 关注网络可靠性、先进性,持续提升员工的办公体验,保障运营生产的效率和质量。
- 校园网络
- 分为普教园区和高教园区。
- 高教园区相对复杂,通常存在教研网、学生网,还可能有运营性的宿舍网络。
- 网络可管理性、安全性要求高;对网络先进性亦有要求。
- 政务园区网络
- 通常指政府机构的内部网络。
- 安全要求极高,通常采用内网和外网隔离的措施保障涉密信息的绝对安全。
- 商业园区网络
- 商场、超市、酒店、公园等。
- 网络主要用于服务消费者,此外还包含服务内部办公的子网。
- 提供上网服务,并构建商业智能化系统提升用户体验,降低运维成本,提升商业效率,实现价值转移。
3.园区网络主要协议/技术
二、以太网交换基础
1.从TCP/IP对等模型说起
- 将网络的通信过程划分为小一些、简单一些的部件,有助于各个部件的开发、设计和故障排除。
- 通过网络组件的标准化,允许多个供应商进行开发。
- 通过定义在模型的每一层实现什么功能,鼓励产业的标准化。
- 允许各种类型的网络硬件和软件相互通信。
2.什么是二层交换
3.VLAN
- VLAN ( Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。
- 一个VLAN中所有设备都是在同一广播域内,不同的VLAN为不同的广播域。
- VLAN内的设备间可以直接通信,而VLAN间不能直接互通。
- VLAN之间互相隔离,不同VLAN间需通过三层设备实现相互通信。
- 一个VLAN一般为一个逻辑子网。
- VLAN中成员多基于交换机的端口分配,所谓的VLAN划分,通常指的是将交换机的接口添加到特定的VLAN中,从而该接口所连接的设备也加入到了该VLAN。
4.以太网二层接口类型概述
交换机的以太网二层接口主要存在以下三种类型:
- Access : 常用来连接用户PC、服务器等终端设备的接口。Access接口所连接的这些设备的网卡往往只收发无标记帧。Access接口只能加入一个VLAN。
- Trunk:Trunk接口允许多个VLAN的数据帧通过,这些数据帧通过802.1QTag实现区分。Trunk接口常用于交换机之间的互联,也用于连接路由器、防火墙等设备的子接口。
- Hybrid : Hybrid接口与Trunk接口类似,也允许多个VLAN的数据帧通过,这些数据帧通过802.1Tag实现区分。用户可以灵活指定Hybrid接口在发送某个(或某些)VLAN的数据帧时是否携带Tag。
4.1.Access接口
4.2.Trunk接口
4.3.Hybrid接口
5.VLAN划分方式总览
| VLAN划分方式 | 原理 |
|---|---|
| 基于接口 | 根据交换机的接口来划分VLAN |
| 基于MAC地址 | 根据数据帧的源MAC地址来划分VLAN |
| 基于子网划分 | 根据数据帧中的源IP地址来划分VLAN |
| 基于协议划分 | 根据数据帧所属的协议(族)类型及封装格式来划分VLAN |
| 基于策略(MAC地址、IP地址、接口)划分 | 根据配置的策略划分VLAN,能实现多种组合的划分方式,包括接口、MAC地址、IP地址等 |
6.实现VLAN之间的IP可达性
6.1.通过路由器物理接口实现
6.2.通过路由器子接口实现(单臂路由)
6.3.通过三层交换机实现
7.以太网链路聚合
- 链路聚合( Link Aggregation,LAG)是将多条物理链路捆绑在一起成为一条逻辑链路,从而增加链路带宽的技术。
- 完成聚合后的链路称为以太网聚合链路。
8.生成树技术:防环+保证二层网络可靠性
- 解决交换网络中的环路问题
- 动态地适应根据网络拓扑变更
- 配合冗余链路,保证二层网络可靠性
三、无线接入
1.WLAN与主要网元
1.1.WLAN概述
- WLAN ( Wireless Local Area Network,无线局域网)广义上是指以无线电波、激光、红外线等来代替有线局域网中的部分或全部传输介质所构成的网络。
- 本文介绍的WLAN技术基于802.11标准系列。
- 802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。
- 此后这一标准又不断得到补充和完善,形成802.11的标准系列,例如802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n、802.11ac等。
2.WLAN组网架构综述
2.1.FAT AP
2.2.AC+FIT AP
2.2.1.基本概念
- AC (Access Controller,无线控制器):在AC+FIT AP网络架构中,AC对无线局域网中的所有FIT AP进行控制和管理。
- AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制。
- FITAP(瘦AP)负责802.11报文的加解密、802.11的物理层功能、接受AC的管理、空口的统计等简单功能。
- AC和AP之间使用的通信协议是CAPWAP。
- 相比于FAT AP架构,AC+FIT AP架构的优点如下。
- 配置与部署更容易
- 安全性更高
- 更新与扩展容易
2.2.2.什么是CAPWAP
- CAPWAP( Control And Provisioning of Wireless Access Points Protocol Specification ,无线接入点控制和配置协议)定义了如何对AP进行管理、业务配置,即AC通过CAPWAP隧道来实现对AP的集中管理和控制。
- CAPWAP协议定义的主要内容有:AP自动发现AC,AC对AP进行安全认证,AP从AC获取软件,AP从AC获得初始和动态配置等。通过该协议,AP和AC之间建立起CAPWAP隧道。
2.2.3.CAPWAP隧道的功能
- CAPWAP隧道有两种:控制隧道和数据隧道。
- 控制隧道主要传输控制报文(也称管理报文,是AC管理控制AP的报文);数据隧道主要传输数据报文。CAPWAP隧道可以进行数据传输层安全加密,因此传输的报文更加安全。当采用隧道转发模式时,AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互。
四、网络可靠性
1.使用VRRP实现网关冗余
1.1.VRRP的基本应用
1.2.MSTP+VRRP典型应用
2.实例应用
2.1.配置vlan
LSW3
vlan batch 10 20 30 40
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int g0/0/3
port link-type access
port default vlan 10
int g0/0/4
port link-type access
port default vlan 20
int g0/0/5
port link-type access
port default vlan 30
int g0/0/6
port link-type access
port default vlan 40
LSW2
vlan batch 10 20 30 40
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
LSW1
vlan batch 10 20 30 40
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
2.2.配置ip
LSW3
LSW2
int vlan 10
ip add 192.168.10.252 24
int vlan 20
ip add 192.168.20.252 24
int vlan 30
ip add 192.168.30.252 24
int vlan 40
ip add 192.168.40.252 24
//查看端口ip配置
dis ip int b
LSW1
int vlan 10
ip add 192.168.10.253 24
int vlan 20
ip add 192.168.20.253 24
int vlan 30
ip add 192.168.30.253 24
int vlan 40
ip add 192.168.40.253 24
//查看端口ip配置
dis ip int b
2.3.mstp生成树配置
LSW1
stp region-configuration #域的配置
region-name test #名字配置
revision-level 1 #修订号设置
instance 1 vlan 10 20 #实例的映射关系实例1对应vlan 10 20
instance 2 vlan 30 40 #实例的映射关系实例2对应vlan 30 40
active region-configuration #激活配置
LSW2
stp region-configuration
region-name test
revision-level 1
instance 1 vlan 10 20
instance 2 vlan 30 40
active region-configuration
LSW3
stp region-configuration
region-name test
revision-level 1
instance 1 vlan 10 20
instance 2 vlan 30 40
active region-configuration
mstp生成树主根与备根设置
LSW1
stp instance 1 priority 4096
stp instance 2 priority 8192
LSW2
stp instance 2 priority 4096
stp instance 1 priority 8192
LSW3查看生成树的阻塞结果
[Huawei]dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE
0 GigabitEthernet0/0/3 DESI FORWARDING NONE
0 GigabitEthernet0/0/4 DESI FORWARDING NONE
0 GigabitEthernet0/0/5 DESI FORWARDING NONE
0 GigabitEthernet0/0/6 DESI FORWARDING NONE
1 GigabitEthernet0/0/1 ALTE DISCARDING NONE
1 GigabitEthernet0/0/2 ROOT FORWARDING NONE
1 GigabitEthernet0/0/3 DESI FORWARDING NONE
1 GigabitEthernet0/0/4 DESI FORWARDING NONE
2 GigabitEthernet0/0/1 ROOT FORWARDING NONE
2 GigabitEthernet0/0/2 ALTE DISCARDING NONE
2 GigabitEthernet0/0/5 DESI FORWARDING NONE
2 GigabitEthernet0/0/6 DESI FORWARDING NONE
#Role ALTE表示阻塞
#MSTID 1 阻塞的是GigabitEthernet0/0/1,MSTID 2 阻塞的是GigabitEthernet0/0/2
2.4.创建vrrp
LSW1(设置优先级即为主设备)
int vlan 10
vrrp vrid 10 virtual-ip 192.168.10.254
#vrid与vlan对应(也可以不对应)
vrrp vrid 10 priority 110
#默认优先级为100
LSW2(不设置优先级即为备设备)
int vlan 10
vrrp vrid 10 virtual-ip 192.168.10.254
LSW1(查看vrrp)
[Huawei]dis vrrp brief
VRID State Interface Type Virtual IP
----------------------------------------------------------------
10 Master Vlanif10 Normal 192.168.10.254
----------------------------------------------------------------
Total:1 Master:1 Backup:0 Non-active:0
对于vlanif10为Master主角色。
LSW2(查看vrrp)
[Huawei]dis vrrp brief
VRID State Interface Type Virtual IP
----------------------------------------------------------------
10 Backup Vlanif10 Normal 192.168.10.254
----------------------------------------------------------------
Total:1 Master:0 Backup:1 Non-active:0
对于vlanif10为Backup备角色
注:vlan20也同上面相类似
LSW1(设置优先级即为主设备)
int vlan 30
vrrp vrid 30 virtual-ip 192.168.30.254
LSW2(不设置优先级即为备设备)
int vlan 30
vrrp vrid 30 virtual-ip 192.168.30.254
#vrid与vlan对应(也可以不对应)
vrrp vrid 30 priority 110
#默认优先级为100
注:vlan40也同上面相类似
3.集群/堆叠简介
- iStack ( Intelligent Stack,智能堆叠),简称堆叠,是指将多台支持堆叠特性的交换机设备组合在一起,从逻辑上组合成一台交换设备。iStack针对华为盒式交换机。
- CSS(Cluster Switch System,集群交换机系统),又称为集群,是指将两台支持集群特性的交换机设备组合在一起,从逻辑上组合成一台交换设备。csS针对华为框式交换机。
4.网络可靠性首先使用堆叠、集群技术,其次才是mstp+vrrp
5.堆叠与园区网络树形结构组网形态
五、网络服务与网络管理
1.DHCP
2.NTP
NTP主要应用于网络中所有设备时钟需要保持一致的场合
- 网络管理:对从不同路由器采集来的日志信息、调试信息进行分析时,需要以时间作为参照依据。
- 计费系统:要求所有设备的时钟保持一致。
- 多个系统协同处理同一个复杂事件:为保证正确的执行顺序,多个系统必须参考同一时钟。
- 备份服务器和客户机之间进行增量备份:要求备份服务器和所有客户机之间的时钟同步。
- 系统时间:某些应用程序需要知道用户登录系统的时间以及文件修改的时间。
3.LLDP
4.SNMP
4.1.SNMP简介
- SNMP(Simple Network Management Protocol,简单网络管理协议)是广泛应用于TCP/IP网络的网络管理标准协议。
- SNMP提供了一种通过运行网络管理软件的中心计算机(即网络管理工作站NMS)来管理设备的方法。
- 通过“利用网络管理网络”的方式,SNMP实现了对网络设备的高效和批量的管理;同时,SNMP协议也屏蔽了不同产品之间的差异,实现了不同种类和厂商的网络设备之间的统一管理。
5.NETCONF/YANG
5.1.SNMP的短板
SNMP并不是面向配置的协议,随着网络规模的增大、复杂性的增加,SNMP已经不能适应当前复杂网络的管理,特别是不能满足配置管理的需求。
5.2.NETCONF
- NETCONF( NetworkConfiguration Protocol,网络配置协议)提供了一种网管和网络设备之间通信的机制。
- 网络管理员可以利用这套机制在网管上增加、修改、删除网络设备的配置,获取网络设备的配置和状态信息。
- NETCONF基于XML(Extensible Markup Language,可扩展标记语言).
六、网络安全
1.园区网络安全概述
2.基于防火墙的安全区域划分及安全策略
- 安全区域(Security Zone),或者简称为区域(Zone),是一个安全的概念,大部分的安全策略都基于安全区域实施。
- 一个安全区域是防火墙若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。
- 将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。
3.防火墙双机热备概述
3.1.需求
- 防火墙部署在网络出口位置时,如果发生故障会影响到整网业务。需提升网络的可靠性。
- 部署多台防火墙可提升可靠性,需保证设备切换过程中的业务连续性。
3.2.方案
- 部署两台FW并组成双机热备。
- 双机热备需要两台硬件和软件配置均相同的FW。
- 两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。
- 当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
4.NAT
4.1.需求
- 内网用户(采用私网IP地址)需访问Internet,需对其源IP地址进行转换,转换为公网IP地址。
- 外网用户需访问采用私网IP地址的服务器(例如WEB服务器)。
4.2.NAT( Network Address Translation )
- NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程。
- 常用NAT:
- 源IP地址转换(Source IP address-based NAT):
- No-Port地址转换(No-PAT)
- 网络地址及端口转换(NAPT)
- 源IP地址转换(Source IP address-based NAT):
- 目的IP地址转换(Destination IP address-based NAT):
- NAT Server
七、VPN
1.VPN技术应用场景
- 对于规模较大的企业来说,网络访问需求不仅仅局限于公司总部网络内,分公司、出差员工、合作单位等也需要访问公司总部的网络资源,一般采用VPN(Virtual Private Network,虚拟专用网络)技术来实现这一需求。
- VPN可以在不改变现有网络结构的情况下,建立虚拟专用连接。因其具有廉价、专用和虚拟等多种优势,在现网中应用非常广泛。
- VPN是一类技术的统称,不同的VPN技术拥有不同的特性和实现方式,常见的VPN技术包括IPSec VPN、GRE VPN、L2TPVPN、MPLS VPN等。
八、组播
1.组播应用场景
- 企业存在一些公告信息,例如天气、值班表、机房注意事项、宣传视频等,为方便公司员工和来访人员及时获取这些信息,通常采用在公司人员密集处布置显示屏的方式。
- 每一块显示屏显示的内容一致,这是典型的点到多点通信的场景。如果采用单播的方式传递信息,网络中的设备性能及链路带宽都会面临一定程度的浪费。
- 组播技术有效地满足了单点发送、多点接收的需求,实现了IP网络中点到多点业务数据的高效传送,能够大量节约网络带宽、降低网络负载。
2.组播网络基本架构
组播网络大体可以分为三个部分:
- 源端网络:将组播源产生的组播数据发送至组播网络。
- 组播转发网络:形成无环的组播转发路径,该转发路径也被称为组播分发树(Multicast Distribution Tree)。
- 成员端网络:让组播网络感知组播组成员位置与加入的组播组。
九、IPV6
1.IPv6概述
- IPv4协议是目前广泛部署的因特网协议。在因特网发展初期,IPv4以其协议简单、易于实现、互操作性好的优势而得到快速发展。但随着因特网的迅猛发展,IPv4地址空间不足的问题日趋明显,IPv6取代IPv4势在必行。
- IPv6(Internet Protocol Version6)是网络层协议的第二代标准协议,也被称为IPng(IP Next Generation)。它是Internet工程任务组IETF( Internet Engineering Task Force)设计的一套规范,是IPv4(Internet Protocol Version4)的升级版本。
- IPv6地址长度为128bit,海量的地址空间,满足物联网等新兴业务、有利于业务演进及扩展。
2.ICMPv6
- ICMPv6 ( Internet Control Message Protocol for IPv6)是IPv6的基础协议之一。
- ICMPv6报文被广泛应用于其它协议中,包括NDP、PathMTU发现机制等。
- ICMPv6控制着IPv6中的地址自动配置、地址解析、地址冲突检测、路由选择、以及差错控制等关键环节。
3.IPv6路由
1445
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
