部署指南
部署指南
https://support.huawei.com/enterprise/zh/doc/EDOC1100368575/e64f745b
总体原则
园区网络作为网络基础设施,为用户提供网络通信服务和访问资源权限,其复杂多样的访问关系以及多种多样的业务类型必然要求园区网的设计要有良好的 设计原则。园区网设计过程中,应当遵循如下设计原则:
- 可靠性原则
:园区网必须稳定可靠工作,业务不中断,保证业务体验。这就要求关键部件采用冗余或备份架构,发生故障时可以快速恢复。
- 可信任原则
:网络必须安全、可信任,保障网络和业务安全。这就要求全网安全可信,具有完善的安全防护措施,防止恶意破坏,保护数据和网络安全。
- 可扩展原则
:网络平滑升级和扩展,满足未来3~5年的发展规划,充分发挥网络价值,减少重复投资,避免资源浪费。这就要求园区网适应不同业务部署和扩展需求,包括部署新业务以及网络平滑扩展等要求。
- 易管理原则
:网络容易管理和维护,网络诊断和故障定位容易,降低运维难度,提升客户体验。这就要求全网多业务智能、主动和综合管理,实时分析网络健康状况,积极预防,故障发生时可以快速排除故障,减少损失。
- 可运营原则
:支持和方便部署新业务,如VoIP、UC(统一通信)、智真、桌面云等。
- 经济性原则
最大化投资回报和降低投资成本。
网络架构设计
在大中型园区网络场景中,如果需要通过虚拟化方案做到业务和网络解耦,在不改变基础网络的情况下,实现一网多用和业务的灵活、快速部署,这就对园区的虚拟网络架构提出了异于传统网络的要求。
Underlay即为物理网络层,Overlay为基于VXLAN技术构建在Underlay之上的虚拟网络层。
Overlay包括Fabric和VN两部分:
- Fabric:对Underlay网络抽象后的资源池化网络。在创建实例化的虚拟网络(VN)时,可以选取Fabric中的网络资源。Fabric组网中,对VXLAN隧道端点VTEP(VXLAN Tunnel Endpoints)做了进一步的角色划分:
- Border:Fabric网络的边界网关节点,对应实体为物理网络设备,提供Fabric网络与外部网络间的数据转发。一般将支持VXLAN的核心交换机作为Border。
- Edge:Fabric网络的边缘节点,对应实体为物理网络设备,接入用户的流量从这里进入Fabric网络。一般将支持VXLAN的接入交换机或汇聚交换机作为Edge。
- 虚拟网络(VN):Virtual Network,通过将Fabric实例化,能够构建逻辑上隔离的虚拟网络实例(图中的VN1、VN2)。一个VN对应一个隔离网络(业务网络),比如研发专网。
- Underlay网络架构设计
大中型园区网络虚拟化方案的物理组网继承传统大中型园区的网络规划,通常采用核心层为“根”的树形网络架构,拓扑稳定,易于扩展和维护。
,园区网络可划分为接入层、汇聚层、核心层,以及各个功能分区,各功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位
远端模块
极简全光园区组网,远端模块可以拉远部署到桌面,与中心交换机组合部署。
接入层
接入层为用户提供各种接入方式,是终端接入网络的第一层。接入层通常由接入交换机组成,接入层交换机在网络中数量众多,安装位置分散,通常是简单的二层交换机。如果终端层存在无线终端设备,接入层需要无线接入点AP设备,AP设备通过接入交换机接入网络。
极简全光园区三层组网,接入交换机作为中心交换机部署,管理下挂远端模块。
汇聚层
汇聚层是接入层与园区核心骨干网之间的网络分界线,主要用于转发用户间的“横向”流量,同时转发到核心层的“纵向”流量。汇聚层可作为部门或区域内部的交换核心,实现与区域或部门专用服务器区的连接。另外汇聚层还可以扩展接入终端的数量。
极简全光园区二层组网,汇聚交换机作为中心交换机部署,管理下挂远端模块。
核心层
核心层是园区数据交换的核心,连接园区网的各个组成部分,如数据中心/网络管理区、汇聚层、出口区等,核心层负责整个园区网络的高速互联。网络需要实现带宽的高利用率和网络故障的快速收敛,通常需要部署高性能的核心交换机,通常三个以上部门规模的园区网建议规划核心层。
出口网络
园区出口是园区内部网络到外部网络的边界,内部用户通过园区出口区接入到外部网络,外部网络的用户通过园区出口区接入到内部网络。园区出口区一般需要部署防火墙。提供边界安全防护能力。
数据中心区
数据中心区是管理业务服务器(例如文件服务器、邮件服务器等)的区域,为企业内部和外部用户提供业务服务。
网络管理区
网络管理区是部署运维管理系统的服务器区域。大中型园区网络虚拟化方案中,主要涉及如下系统的部署:
iMaster NCE-Campus:园区网络自动化引擎,主要对网络设备进行业务配置发放;支持与第三方平台集成,提供开放的接口;支持作为认证策略服务器,提供AAA认证和业务随行服务。
iMaster NCE-CampusInsight:园区网络智能分析引擎,基于Telemetry、大数据和智能算法,提供智能运维服务。
HiSec Insight:园区网络安全智能分析引擎,基于大数据和智能算法,提供安全协防服务。
DHCP服务器:实现用户终端IP地址的动态分配。
DMZ区
DMZ(Demilitarized Zone,半信任区)区为外部访客(非企业员工)提供访问业务,通常将公用服务器部署在该区域,其安全性受到严格控制。
出口网络架构
园区出口区一般需要部署出口路由器和防火墙。路由器解决内外网互通的问题,防火墙提供边界安全防护能力。为了保证可靠性,路由器和防火墙通常采用设备冗余部署。
根据是否需要部署路由器,通常会有 三种组网模型。
组网1是路由器做出口、防火墙直挂,
组网3是路由器做出口、防火墙旁挂。 为减少对现网流量的影响,或只需部分业务进行安全处理,可以考虑采用FW旁挂方式
组网2是防火墙直挂同时做出口,
出口的链路类型
如果出口区运营商提供的链路类型为EI、CE1、CPOS等非以太网的链路,考虑到路由器支持的接口类型比防火墙更为丰富,建议采用路由器做出口。
- 接口数量和密度
如果出口设备不仅要和Internet互连,还要和合作单位或分支机构通过专线互连,考虑到路由器支持的接口数量和密度更高,建议 采用路由器做出口。
- 协议类型
如果出口设备与外部网络运行动态路由器协议(如BGP协议、SDWAN),考虑到路由器的路由表规模和性能更强大,同时考虑到在出口设备上需要部署许多路由策略,建议 采用路由器做出口。
- QoS需求
如果需要在出口设备上部署QoS策略,考虑到路由器的QoS功能更强大,建议选择组网1,采用路由器做出口。
Overlay网络架构设计
Fabric网络根据物理网络层次有两层组网和三层组网。三层架构的Fabric网络的组网类型分为VXLAN到汇聚和VXLAN到接入两种。
集中式网关方案可以根据不同的园区网络场景,选择不同的Fabric组网。
- 园区网络改造场景:推荐选择VXLAN到汇聚,可以利旧不支持VXLAN的低端接入交换机。
- 园区网络新建场景:推荐选择VXLAN到接入,可以整网都采用虚拟化,实现Overlay自动化部署。
网络资源规划
VLAN/BD规划
BD资源规划
在VN中,二层广播域基于BD构建。在一个BD内,用户终端可以不受地理位置影响,进行互通。在大中型园区虚拟化方案中,BD资源的规划原则如下:
- BD与用户业务VLAN的对应关系建议为1:1,
- 在VN中,每创建一个基于VXLAN的用户网关,就会从Fabric全局的BD资源池中自动顺序调用一个BD资源。BD可不考虑如何划分,而只需关注用户业务VLAN的划分原则即可。
- BD资源池的范围应满足用户业务VLAN规划的数量。
VLAN资源规划
在大中型园区网络虚拟化方案中,虽然基于BD可以构建大二层广播域,但是用户终端还是通过VLAN接入园区网络,VLAN再与BD进行绑定。而且园区网络也需要通过VLAN进行互联。大中型园区网络虚拟化方案遵循传统园区网络VLAN的规划原则,具体如下:
- 按照不同业务区域划分不同的VLAN。
- 同一业务区域按照具体的业务类型划分不同的VLAN。
- VLAN编号建议连续分配,以保证VLAN资源合理利用。
- 建议预留一定数目VLAN以方便后续扩展。
IP地址规划
IP地址的规划建议遵循如下原则:
- 唯一性:一个IP网络中不能有两个主机采用相同的IP地址。即使使用MPLS(Multiprotocol Label Switching,多协议标记交换) 或VPN(Virtual Private Network,虚拟专用网)隔离,也建议不同VPN-Instance(VRF)下不要使用相同的IP地址。
- 连续性:同一业务的节点地址要连续,便于路由规划和汇总。连续的地址便于路由聚合,可以减小路由表的大小,加快路由计算和收敛速率。比如,汇聚交换机下接入的网段可能有很多,在规划的时候需要考虑路由聚合,这样可以减少核心网络的路由数。
- 扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时无须新增地址段及路由条目。
- 易维护:设备地址段、各业务地址段清晰区分,易于后续基于地址段实施统计监控、安全防护等策略。好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备。IP地址的规划可以与VLAN的规划对应起来。例如,IP地址的第三个字节与VLAN编号的后三位保持一致,这样可以便于管理员记忆和管理。
- 园区内部的IP地址建议使用私网IP地址,在边缘网络通过NAT转换成公网地址后接入公网。园区网中的DMZ区或Internet互联区有少量设备使用公网IP。
园区网的IP地址主要分为管理IP地址、互联IP地址、业务IP地址和Loopback接口地址
Underlay网络和Overlay网络都需要使用IP地址互联。
- Underlay网络:主要包含核心交换机与网络管理区互联IP地址(一般互联的VLANIF接口复用核心层管理VLANIF接口);出口网络互联IP地址;核心层及以下设备互联IP地址(用于OSPF路由自动编排)。
- Overlay网络:主要包含作为Border的核心交换机与外部网络互联IP地址;作为Border的核心交换机与网络服务资源互联IP地址。
Loopback接口的IP地址被指定为报文的源地址,可以提高网络可靠性。大中型园区网络虚拟化方案采用的VXLAN技术,其控制面通过BGP EVPN进行交互,需要使用Loopback接口在VXLAN隧道端点Border/Edge间建立BGP对等体。
DHCP规划
大中型园区网络虚拟化方案中,主要在开局管理子网设计和VN内用户子网设计时,需要用到DHCP功能
管理子网的DHCP规划
大中型园区由于核心层以下设备数量较多,在开局部署时,建议规划专门用于设备管理地址分配的DHCP服务器。管理子网的DHCP规划如下。
- 建议核心交换机作为管理子网的DHCP服务器,在管理子网网关接口上配置地址池。
- 配置DHCP Option 148选项中携带iMaster NCE-Campus地址信息。
- 如果该管理子网网关接口同时作为AP的管理子网网关接口,建议配置DHCP Option 43选项中携带WAC地址信息。
用户子网的DHCP规划
大中型园区建议规划独立的DHCP服务器,对用户终端进行IP地址分配。用户子网的DHCP规划建议如下:
- 建议整个园区规划一个DHCP服务器来简化运维。
- 大中型园区DHCP服务器和园区主机通常不在同一个网段,建议用户网关开启DHCP中继功能。
- 建议在用户网关对应的BD内配置DHCP Snooping,能够保证用户终端从合法的DHCP服务器获取IP地址,避免被非法攻击。另外,采用DHCP Option方式的终端识别功能,也需要配置DHCP Snooping。
- DHCP提供的动态IP地址分配,需要根据用户终端在线时间合理规划租期,大中型园区场景中的办公区在线时间长,需要规划较长的租期。
如果需要为指定用户终端分配固定的IP地址,不通过DHCP动态分配,DHCP地址池规划时,需要将静态配置的IP地址过滤掉,避免预留IP地址被分配。
① 网络管理区与设备管理子网互通
② 核心到汇聚、接入路由互通
③ VXLAN控制面路由协议
④ VN间互通
⑤ VN与外部网络互通
⑥ VN与网络管理区互通
① 网络管理区与设备管理子网互通
- 主要用于iMaster NCE-Campus对网络设备进行配置管理;iMaster NCE-CampusInsight对网络设备进行智能运维。
- 如果网络管理区是一个仅安装了iMaster NCE-Campus等系统的简单网络,建议在网络管理区网关和核心交换机配置静态路由。
- 如果网络管理区是一个数据中心,需要根据数据中心网络采用的路由协议,来灵活配置网络管理区网关和核心交换机的路由。
② 核心到汇聚、接入路由互通
- 主要用于Underlay网络三层路由互通,是部署Overlay网络的基础。
- 考虑路由表能够根据网络拓扑变化而动态刷新,建议规划IGP动态路由协议,如OSPF。推荐通过iMaster NCE-Campus配置OSPF路由自动编排,无需手动配置。
- OSPF路由自动编排功能会将BGP协议的源接口(如Loopback接口)的网段引入到OSPF路由域,使得BGP协议源接口间能够互通。
③ VXLAN控制面路由协议
- 通常在Border与Edge、Edge与Edge间部署BGP路由协议,使用BGP EVPN技术完成VXLAN网络控制面功能,包括VXLAN隧道动态建立,ARP表项传递、路由信息传递等。
- 推荐将Border配置为路由反射器,简化BGP对等体配置。
④ VN间互通
- 主要用于VN间不同用户子网在Border实现互通。
- VN间不同用户子网也可以在防火墙实现互通。
- 如果是在Border实现互通,可以通过iMaster NCE-Campus配置,配置完成后,Border上会通过BGP协议在不同VN的VRF间互相引入用户网段路由。
⑤ VN与外部网络互通
- 主要用于VN内用户子网访问外部Internet、广域网。
- 如果防火墙基于VRRP实现主备备份的双机热备,建议防火墙与Border间采用静态路由;如果防火墙不部署VRRP,防火墙与Border间需要采用动态路由,防火墙在主备切换时,可以通过动态路由实现业务流量路径的自动切换。
- Border侧通过iMaster NCE-Campus创建Fabric的外部网络资源,配置与防火墙互联接口及路由协议。
VN选择了外部网络资源后,Border会在外部网络资源的VRF与VN的VRF间互相引入路由。
- 防火墙侧通过登录设备Web界面或者命令行配置。
⑥ VN与网络管理区互通
- 主要用于VN内用户子网与DHCP服务器、准入服务器等网络服务资源互通。
- 建议采用静态路由。
- Border侧通过iMaster NCE-Campus创建Fabric的网络服务资源,创建过程中,配置与网络管理区互联接口,同时会自动创建去往网络服务资源的静态路由。
VN选择了网络服务资源后,Border会在网络服务资源的VRF与VN的VRF间互相引入路由。
- 网络管理区网关侧通过登录设备Web界面或者命令行配置。
Underlay防环设计
在大中型园区虚拟化方案中,Underlay网络的物理架构是一颗以核心交换机为根的树形网络结构,没有环路。
但是实际现网场景中,依然存在网络环路的问题,
比如人为连线错误导致的环路等。网络环路会引发广播风暴和MAC地址表震荡等问题,导致用户通信质量差,甚至通信中断。
交换机上支持通过RSTP、MSTP和VBST等多种协议来发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环形网络结构修剪成无环路的树形网络结构,达到破除环路的目的。
另外,如果当前活动的路径发生故障,还可以激活冗余备份链路,恢复网络连通性。
在大中型园区网络虚拟化方案中,由于Underlay网络规模较大,在部署RSTP、MSTP和VBST等破环协议时,需要考虑破环收敛时间、影响范围等因素,进行针对性的防环设计。
设计思路
在大中型园区网络虚拟化方案中,为了减小拓扑变化对整体网络的影响,在进行Underlay防环设计时,建议:
- 选取可靠性更高的设备作为根桥。
- 将整个Underlay网络划分为多个环路检测域。
射频调优
传统射频调优
WLAN网络中,AP的工作状态会受到周围环境的影响。例如,当相邻AP的工作信道存在重叠频段时,某个AP的功率过大会对相邻AP造成信号干扰。通过射频调优功能,动态调整AP的信道和功率,可以使同一AC管理的各AP的信道和功率保持相对平衡,保证AP工作在最佳状态。
负载均衡
负载均衡功能可以实现在WLAN网络中均衡AP的负载,充分地保证每个STA的带宽。负载均衡适用于高密度无线网络环境中,用来有效保证STA的合理接入。
频谱导航
现网应用中,大多数STA同时支持2.4G和5G频段。当STA通过AP接入网络时,通常默认选择2.4G接入。这就导致信道本身就少的2.4G频段显得更加拥挤,负载高,干扰大;
而信道多,干扰小的5G频段优势得不到发挥。特别是在高密度用户或者2.4G频段干扰较为严重的环境中,5G频段可以提供更好的接入能力,减少干扰对用户上网的影响。如果用户想要接入5G,则需要在STA上手工选择。
通过频谱导航功能,AP可以控制STA优先接入5G,减少2.4G频段上的负载和干扰,提升用户体验。
无线漫游设计
在WLAN网络中,无线终端具备有移动通信的能力,但由于单个AP设备的信号覆盖范围都是有限的,终端用户在移动过程中,往往会出现从一个AP覆盖范围跨越到另一个AP覆盖范围的情况。因此保障用户在不同AP间移动和切换接入时的良好的业务体验是WLAN网络质量的关键指标。
漫游需要解决的主要问题有:
- 保证用户IP地址不变,漫游后仍能访问初次上线时关联的网络,且所能执行的业务保持不变。
- 避免漫游过程中用户的认证时间过长而导致数据丢包甚至业务中断。
二层漫游,即终端漫游前后对应的业务vlan、网关不变,流量在新的AP可以直接转发,无需流量绕行。网络部署时,
漫游推荐部署二层漫游,单AC时,用户网关可以部署在WAC或者位置较高的核心交换机;
多WAC部署时(AC旁挂或者直挂),网关推荐在位置较高的核心交换机,跨WAC间的漫游, 仍为二层漫游。二层漫游时,网关不变,对流量转发模式(隧道转发、直接转发)无限制,可以根据业务需要选择。
三层漫游,即终端漫游前后所属的vlan、网关发生变化,终端在不同的3层网络中移动。如不同的楼栋/区域,已部署不同的VLAN域和不同的网关,此时跨楼栋/区域的漫游,就为三层漫游。漫游后,用户的IP地址不变,在新的网络中该IP是无法直接和其对应网关通信的,会导致漫游后流量不通,因此必须在WAC间建立隧道,将漫游终端的流量发送到原来的网关。此时,就必须要配置跨WAC漫游组,WAC间建隧道,中转漫游终端的流量。
网络中必须部署三层漫游时,推荐用隧道转发模式,避免AP间建大量的漫游隧道,只通过WAC间的漫游隧道中转流量。
因跨WAC漫游,特别是WAC间的三层漫游时,需要将STA产生的业务流量通过WAC之间的隧道重定向到STA漫游前的源WAC上再进行转发,功能复杂的同时也增加了WAC设备资源消耗以及WAC间的链路消耗
。因此,在实际部署中,建议通过合理的规划尽量避免STA发生WAC间漫游,比如将同一个楼宇或站点之间的AP规划到同一个WAC下进行管理。如果跨WAC漫游不可避免,需要合理的规划漫游组成员的数量,减少漫游组成员之间用户信息同步造成的资源消耗。
分布式AP零漫游
医疗场景医生查房和护士治疗时,跨病房会出现移动终端的漫游,如果有持续丢包,会导致护士手持终端扫码时“转圈圈”或者服务异常。分布式AP系统由AirEngine 9700D-S (DAP)+ AirEngine 5760-11DH (ORU) + 天线模块(AU)以及光电混合缆、馈线组成,采用射频天线拉远技术,多个ORU、AU归属于同一个射频,采用同一个信道,同时对外广播同一个BSSID,无线终端在AU、ORU之间移动时,不感知跨AP的移动,也不会产生漫游动作,因此也称为“零漫游”,避免终端移动时因漫游导致丢包。终端在一个DAP覆盖范围内移动时,是“零漫游”行为,但如果跨DAP移动时,则认为正常的漫游,通过智能漫游、AI漫游,增强漫游效果,减少漫游丢包。分布式AP部署时,同时可以支持内外网、IOT融合场景覆盖。
分布式AP采用的是同频部署的技术,目的是保障漫游不丢包,同时会影响接入容量和业务带宽
原文地址:https://blog.csdn.net/qq_25467441/article/details/140469596
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!