网络规划与设计第12讲

1、4.6 虚拟化设计目前园区网架构的特点主要是分层（接入、汇聚、核心）、分模块(出口、数据中心、DMZ、网络安全和网络管理等模块)和节点、链路的冗余。随着业务的发展，这种经典的园区网设计也逐渐体现出一些不足，主要表现为：（1）汇聚、核心层的双节点冗余设计，虽提高了网络可靠性，但也使网络结构和互联关系变得复杂，网络扩展也变得困难。（2）冗余结构使得网络的树形结构中出现环路，并随着企业的不断发展，环网规模不断扩大。因此一般都需部署MSTP等破环协议消除环路，同时运行VRRP等来支持节点冗余备份，导致网络协议的部署变得复杂。（3）不同部门/群组用户的资源访问权限需要进行控制，不同业务间的访问、传输和应

2、用也需端到端的隔离。但传统物理隔离技术已无法满足，导致网络重复建设、管理分散、安全策略难以部署。园区网虚拟化可以较好地解决上述问题。 通过园区网横向虚拟化，解决传统园区网的环路、可靠性、负载均衡等问题通过园区网的纵向虚拟化，实现园区内部不同部门、不同终端、不同业务的隔离和安全。横向虚拟化 横向虚拟化，即在园区网的核心层、汇聚层、接入层分别采用CSS（Cluster Switch System，簇交换机系统）、虚拟堆叠（例如iStack）、链路聚合（例如Eth-Trunk）等技术，将多台物理设备虚拟化成单台逻辑设备并将链路聚合，以达到简化网络结构、简化网络协议部署、提高网络可靠性和可管理性、可扩

3、展性的目的。 横向虚拟化示意图横向虚拟化的主要优点（1）拓扑结构简化，消除了环路 复杂的网状拓扑转换成了简洁的树型拓扑，网络各层之间通过捆绑的单逻辑链路互联，消除了环路,并实现捆绑链路的高带宽、链路的负载分担和冗余备份。（2）路由简化 园区网形成了树状、无环的拓扑结构，网络中数据的流向清晰明确。同时，每个虚拟节点设备的增删不会改变园区网的逻辑结构，也不会影响上下层网络的协议交互。（3）协议简化 横向虚拟化后，不再需要在接入层使用复杂的生成树协议，也不再需要在客户端接入网关上运行VRRP协议。 （4）管理简化 横向整合后，原有的多台物理设备作为一台逻辑设备进行管理，被管设备的数量大大减少，提高设

4、备管理效率。横向虚拟化设计要点（1）在核心层采用交换机集群(CSS) 技术，将多台核心交换机组合成一台逻辑设备，负责整个园区的高速互联。（2）在汇聚层，采用CSS集群/iStack堆叠技术，将多台汇聚/接入交换机组合成一台虚拟的逻辑交换机。 (3) 在接入层，采用iStack堆叠技术，将多台接入交换机虚拟成1台逻辑交换机。（4）在核心层与汇聚层之间、汇聚层和接入层之间，采用链路聚合技术，将多个物理链路捆绑在一起作为一个逻辑链路。为何需要纵向虚拟化园区网中存在某些复杂的需求。例如一个企业网中有财务、供应、研发和生产四个部门，这些部门的纵向独立性要求其业务数据与其他部门安全隔离，但协同办公又需要各

5、部门业务能进行可控互访。又如，园区内数据中心有的服务器同时为多个部门提供服务，有的服务器只为某个部门内部提供服务。这些复杂的需求使得传统的网络物理隔离方案已无法满足这些应用的需求。网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等，都大大增加了用户在网络投资、建设、运维、管理方面的负担。因此，需要一个便于扩展的解决方案，来保持用户群组的完全隔离，实现服务和安全策略的集中，并保留原有设计的高可用性、安全性和可扩展性的优势。什么是纵向虚拟化园区网的纵向虚拟化，是通过各种隔离技术(VLAN、ACL、MCE、VPN等技术)，将一个物理网络划分成几个相互独立的逻辑网络，实现终端、业务的安全

6、隔离以及应用资源的按需分配。换句话说，纵向虚拟化是把网络设备和网络服务等软硬件资源都看成统一的资源，虽然在物理上这些资源是统一、集中的，但对不同终端或业务来说，能够使用到的资源、配置的安全策略、管理策略可以各不相同。园区网纵向虚拟化示意图纵向虚拟化的优点（1）统一的业务承载网。纵向虚拟化后的所有业务都基于统一的以太网，统一的Internet/广域网接口。（2）集中的数据中心。纵向虚拟化后，可屏蔽底层硬件服务器、存储设备间的差异，根据不同业务来分配使用资源。（3）统一的网络管理和监控。纵向虚拟化可实现对全网资源的配置管理、对各种业务流量的监控、对不同群组的用户和业务提供灵活的安全策略服务。园区网

7、纵向虚拟化设计要点园区网中不同层次的网络设备所采用的网络虚拟化技术手段是不同的。（1）核心层的纵向虚拟化，主要采用MPLS VPN的方式。当然也可以使用MCE（Multi Custom Edge ，多角色用户边缘）技术，但不建议使用MCE，因为配置复杂，无法互通。（2）汇聚层的纵向虚拟化，可采用MPLS VPN，当汇聚层设备不支持MPLS VPN的时候，尤其是在配合核心层使用MPLS VPN时,可采用MCE。（3）接入层的纵向虚拟化，当接入网络是第二层网络时采用VLAN，当接入网络是第三层网络时采用MCE。纵向虚拟化设计示意园区网整体虚拟化整体虚拟化=横向虚拟化+纵向虚拟化在核心层、汇聚层、接

8、入层分别通过iStack/CSS技术进行硬件设备的虚拟化，达到简化网络结构、简化网络协议部署、提高网络可靠性和可管理性的目的。在各边缘网络（WAN出口、Internet出口）以及数据中心的安全方面，通过在汇聚交换机上部署FW（Firewall）单板或者部署独立的FW设备来保证。全网通过MPLS L3VPN进行路径虚拟化，完成网络资源的隔离。整体虚拟化示意（横向+纵向）4.6.4 业务逻辑隔离方案小型园区网1) 小型园区网业务隔离设计 小型园区业务隔离设计方案，宜采用VLAN+ACL隔离方式。 采用VLAN，可以实现不同用户共享LAN设施，同时保证各自的网络二层信息隔离安全。二层网络的VLAN隔

9、离 对于三层终结业务隔离则需要在网络三层边界和数据区边界部署ACL，根据隔离要求设定控制策略，限制部门之间的访问权限。采用VLAN+ACL方式隔离业务有如下特点：部署简单，容易理解，特别适合小型园区网络。采用VLAN+ACL实现业务隔离，对网络设备功能要求不高，有利于企业降低采购成本。分布式ACL需要配置严格复杂策略控制，灵活性和扩展性较差。当业务、网络需要调整时, 配置需要跟随变动。大中型园区网业务隔离设计从业务隔离灵活性、配置管理复杂度、扩展性、组网对设备的要求等多方面综合对比，MPLS L3VPN技术最适合应用在大中型园区内进行业务隔离。MPLS L3VPN是一种基于网络边缘设备PE（P

10、rovider Edge）的L3 VPN技术。它使用BGP在服务提供商骨干网上发布VPN路由，使用MPLS在服务提供商骨干网上转发VPN报文。MPLS L3VPN组网方式灵活、可扩展性好，并能够方便地支持MPLS QoS和MPLS TE，因此得到越来越多的应用。在园区网中，通过三层交换机同样可以构建MPLS VPN网络，承载所有业务的传输数据，并进行安全隔离。在大中型园区网络核心、汇聚、接入三层结构中，一般将汇聚交换机作为二、三层网络分界点。MPLS L3VPN都会从汇聚层部署，但是在汇聚层网络不支持MPLS L3VPN的时候，那么就只能在核心层部署了。在核心层部署MPLS L3VPN的时候，

11、通常会在不支持MPLS的汇聚层部署MCE来配合完成隔离。无论上述哪种情形，接入层均需要通过VLAN隔离。在核心和汇聚层上部署MPLS L3VPN核心层上部署MPLS VPN,汇聚层部署MCE采用MPLS VPN+VLAN或者MPLS VPN+MCE+VLAN方式隔离业务有如下特点： 资源利用率高、扩展性强，可以容纳VPN数量很大，同一VPN用户很容易扩充。特别适合大中型园区网络。 采用私有路由表实现业务隔离，不同的VPN处在不同的转发表项中，逻辑结构清晰，维护简便。 MPLS VPN支持灵活的访问控制策略，可以实现灵活的组网方式，如Extranet组网方式、Hub&Spoke组网方式，更容易满足企业对业务多样性隔离部署的需求。4.7 逻辑设计说明书逻辑设计结果用逻辑设计说明书描述。逻辑设计说明书没有统一的格式，但应包括以下主要内容： （1）网络逻辑设计方案； （2）项目的投资概算； (3) 甲乙双方的签字。 逻辑设计说明书的参考目录逻辑设计说明书参考目录 项目简介设计依据 4.1 需求分析(简介