校园网络整体解决方案

122 篇文章 4 订阅
13 篇文章 5 订阅

建设智慧简单的校园网络架构:
构建一个超宽融合的承载网络,接入整个校园网的所有子业务及终端,实现全连接校园,然后从核心层到接入层用虚拟化技术,构建不同业务规划的VN,最后用sdn完成自动化的网络布置,最终实现智简校园网的目的。
在这里插入图片描述
智简校园整体规划介绍:
在这里插入图片描述
1、 网络管理规划包括管理网络的打通和SDN控制器对设备的纳管。
2、 管理网络分为2种方式:带外管理和带内管理,所谓带外管理就是在路由交换上面单独连起来一套网络专用于管理用,一般接在AUX口或control口。这样成本高,带内管理就是传统的管理方式,和业务共用一个网络,例如snmp、web管理等,带内管理成本低,但一旦网络业务中断设备也没法管理和运维了。现在有一种折中的方案:集中的设备就用带外管理,分散的设备就用带内管理,例如:机房里面的设备都在一起就用带外管理,其它楼层汇聚和接入就用带内管理。
3、 物理网络规划:核心、汇聚、接入都采用堆叠或集群技术,将2台或2台以上的交换机横向虚拟成一台交换机,并提供冗余备份。
避免了传统的二层环路设计,不再用mstp破环了,另外在三层网络中,堆叠或集群的交换机共享相同的路由表,宿敌了网络发生的故障和收敛时间,堆叠的方法更适合网络的扩展和管理、维护。
4、 链路可靠性规划:链路冗余设计是链路可靠性规划的主要方案,在园区网中通常采用双上行链路的冗余设计来提高设备间链路的可靠性,同时对于冗余链路,常用链路聚合技术将多条物理链路通过lacp/捆绑等方式虚拟成一条以态链路Eth-Trunk。
5、 在虚拟化园区方案中,物理网络为虚拟网络提供了路由可达的承载网络,使用VXlan封装后的业务报文在vxlan结点间互通,物理承载网络用ospf进行互通。
6、 SDN控制器开启了物理网络路由的自动编排功能,并在物理网络资源中规划好互通的IP网段后,后自动完成OSPF路由的编排并下发到border结点和Edge结点设备,以实现物理网络的自动化部署,物理网络规划时同时将设备上规划的BGP源接口(一般在设备上启一个loopback口用)网段引到入OSPF区域,完成BGP源接口的互通。
7、 VXLAN采用BGP evpn完成控制平台转发,包括隧道动态建立,arp/dn表的传送、路由信息传送,因此在vxlan隧道节点VTEP(border节点和edge节点)都要部署BGP,BGP部署是用SDN控制器自动完成部署,在创建虚拟网络时,选择了作为border节点、Edge节点设备后,SDN会自动下发BGP对等体地址等配置来完成BGP部署,另外为了减少CPU资源的消耗,推荐在配置节点角色同时,选择其中一台VTEP设备作为RR(路由反射器)。
8、 虚拟网络规划,一般在核心设备采用border节点,在接入层采用Edge节点。在园区虚拟方案中,border节点负责园区内的虚拟网络同外网互防,一般是border节点设备连接北向防火墙,对出入流量进行安全策略控制,并且是基于VN的网络和北向互方,这个VN可以一对一和防火墙进行三层连接,也可以以共享式的和防火墙连接,一对一独占式的可以很灵活对每个VN安全区域做安全策略,而共享方式的全部一起用一个策略不灵活。
9、 在虚拟化方案中,每个VN就是一个VPN实例,一个vn可以包含多个子网,且同一个VN内的用户是默认可以互通的,但不同VN是默认路由隔离的,可以按一个部门一个VN类似于传统网络的vlan,如果一个部门再进行不同隔离,可以通用基于用户角色进行安全组之间的策略来控制连通性,VN间是通过VPN路由进行三层隔离,默认VN间不能进行互访,有2种方式调协互访,一种是通用虚拟网内互访,一种是防火墙互访,
10、 在虚拟网络中,Edge节点是业务数据从物理网络进入VN的边界点,可以根据用户所属的VLAN进入VN的不同子网,所以在设计网络时,先规划好vlan和不VN间的映射关系,同时配置有线用户和无线用户的VLAN,有线用户根据VLAN直接接入VXLAN,无线经过capwap报文隧道转发到wac(可能是border节点或edge节点),vn接入一般有四种:静态,主要用于位置固定的哑终端,动态授权vlan,主要用于手机等移动设备,voice vlan主要用于IP电话接入,vlan池,适合高密度的接入。
11、 出口网络规划:
在虚拟化方案中,当用户网关位于overlay网络内部时,overlay网络外网资源的每一个出口都对应防火墙上的一个三层逻辑接口,防火墙采用双机热备加自动智能选路功能,双机热备采用主备模式,防火墙下行采用VRRP备份组的主设备为同一台防火墙,
出口规划图:
在这里插入图片描述
12、 业务部署规划:
Edge结点是业务数据从物理网络进入VN的边界点,Edge设备是用户网络准入的认证点,认证方式常用3种:802.1x,mac,portal。
13、 SDN控制器安装部署规划:
SDN采用企业私有云方式部署,规划了2个网络平面:内部通信网络平面,业务、北向接口、南向接口共享一个平面。
每个平面功能,:
内部通信平台:用于控制器各业务之间节点通信,包含大数据平台、数据库之间通信。
业务平面:用于控制器发放南北向业务,例如用负载均衡将业务分发到多个节点。
北向平面:用于控制器接收北向业务,例如通过WEB管理控制器的平面。
南向平台:用于控制器接收南向业务,例如通过netconf协议与设备通信。(最早提出的openflow协议也可以作为南向接口通信,只是要求下联白板交换机,传统旧设备不支持,对用户和厂家冲击力太大一直没发展也来)
14、 SDN控制器配置发放流程:
基于整体的网络规划,SDN控制器完成开局部署和日常运维管理:
在这里插入图片描述
15、 设备纳管:
SDN控制器能够对园区网络设备进行业务发放的前提是打通SDN控制器和网络设备间的管理通信(带内和带外),完成对网络设备的纳管,过程如下:首先,创建网络站点,站点代表用户网络,结合地图系统,可以让管理员直接的了解用户网络的位置信息。
其次,将需要纳管的设备添加到设备站点中,让SDN控制器知道该站点需要纳管哪些设备,这一步可以将设备的序列号等信息导入,也可以按模版指导入。
最后,在工程人员将网络设备安装好并连好线后,管理员就要打通SDN控制器和设备管理之间的通道,有些厂家常用DHCP来打通管理通道。
16、 网络自动化部署步骤:
打通管理通道后,首先要做的就是构建虚拟化园区网络。
首先,配置物理网络自动化资源池,包括二层互通的VLAN资源、三层互通的IP地址资源,SDN控制器再结合协议获取拓扑信息,完成物理网络OSPF路由编排,并将配置下发到网络设备,完成自动化部署,这一步完成后就打通了承载虚拟网络报文转发的物理网络。
其次,配置虚拟网络全局资源池,包括子网、vlan、广播域BD、Vxlan,网络标识4类资源是虚拟网络规划的总体范围,创建VN时,SDN控制器会从该资源池内自动分配相关资源。
再次,配置虚拟网络,主要包括Vxlan的控制层面配置(例如BGP对等体、border节点选取、Edge节点选取等)、有线和无线网络接入配置(如用户接入认证控制点的设置等)。
最后,配置VN,这一步就是创建提前规划好的VN,每个VN代表一个业务网络(如一卡通业务、物联专用网等分别创建一个VN),如果不同业务之间要互访还要配置VN互访。
17、 用户接入策略部署步骤:
构建好虚拟网各后就要自动发放网络业务,这里以部署典型的用户接入访问策略为列,介绍SDN控制器如何基于创新型的业务随行方案,实现策略的自动化发放:
首先,配置安全组,安全组分为动态用户组和静态资源组,动态用户组代表接入的用户,配置时需要授权的用户账号添加进来即可,无须填写IP地址,用户终端接入认证通过协议报文中的IP地址信息,生成IP组与安全组的动态映射表,静态资源组代表的是用户访问的资源,比如内部服务器、互联网资源等,因为这些Ip地址比较固定,配置时需要添加IP地址,对应生成IP与安全组的静态映射表。
其次,配置安全组策略,不同的安全组配置完成后,就要配置组与组之间的控制策略,提前做好策略规划后,在控制器上配置完成即可,最后SDN控制器会将安全组及安全组策略发放到策略执行点设备上。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

项目工程师余工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值