华为园区网解决方案设计指南课件

华为ONENET园区网设计指南华为ONENET园区网设计指南1华为ONENET园区网解决方案概述2园区网设计方法3园区网络设计指南4园区网络安全设计指南目录1华为ONENET园区网解决方案概述2园区网设计方法3园区网的应用场景及分类园区分类小型园区中型园区大型园区终端用户数量<200200-1000>1000企业OA网企业生产网校园网科技园区网政府、金融、交通、能源……电力、石油、制造行业……校园网高新科技园、软件园……园区网的应用场景及分类园区分类小型园区中型园区大型园区终端用园区基础网络架构InternetWANPSTN出差员工

合作伙伴/访客DMZ数据中心/

服务器群管理中心分支机构核心层汇聚层接入层应用层部门…部门A部门X专用网络园区出口WebDNSEmail

APPSServersAPPSDB园区外部园区内部FWIPS/IDSAPxPonLB核心汇聚接入交换机高端语音路由器园区基础网络架构InternetWANPSTN出差员工D华为万兆园区网架构交换机OneNetConnectEveryone,ConnectasOne产品方案核心终端/IT体验万兆|虚拟化|有线无线一体化|智真运维|桌面云|企业语音|能源管理|IPv6|NAC万兆网络极速灵活云承载可靠可视移动性业务随行路由器防火墙WLANxPON华为万兆园区网架构交换机OneNet产品方案核心终端/IT华为万兆园区基础网络架构部门A部门B访客接入区内部公共区域核心层CE12800S9700汇聚层S7700S6700室外PON接入S5700AP6xxxx接入层数据中心网管中心eSightDMZ园区出口E1000ENE40EAR3200AR2200PBX分支访客应用层位置三层组网选型两层组网选型核心40GE核心层CE12800/S9700系列10GE汇聚层/核心层S9700/S7700汇聚10GE汇聚层S9700/S7700系列NA接入S5700系列APAP6010SN：室内标准型，2*2:2个流，单频AP6010DN：室内标准型，2*2:2个流，双频AP6510DN：室外标准型，2*2:2个流，双频AP6610DN：室外网桥，2*2:2个流，双频（AC供电，光口上行）AP6310SN，室分型，2*2:2个流，单频ACAC6605（盒式）S9700/7700ACU（插卡）出口路由器大中型园区：NE40E系列中小型园区：AR3200/AR2200系列支持语音的园区：AR3200/AR2200系列防火墙Eudemon

E1000E-X系列注：S57分为LI/SI/EI/HI，LI为二层千兆交换机，其他为三层千兆交换机。接入AP、IP电话、IP摄像头等可PoE受电的终端时推荐选择PoE交换机，S5700交换机命名中带“PWR”表示为PoE型号。华为万兆园区基础网络架构部门A部门B访客接入区内部公共区域目录1华为ONENET园区网解决方案概述2园区网设计方法3园区网络设计指南4园区网络安全设计指南目录1华为ONENET园区网解决方案概述2园区网设计方子目录2园区网络设计方法设计总体目标3设计指导原则4设计参考标准5设计总体流程1需求分析指南2子目录2园区网络设计方法设计总体目标3设计指导原则4设计参考园区网设计总体流程重点内容：客户网络环境客户网络业务现网的痛点（若有）客户的期望根据调研结果进行分析，内容至少包括：终端接入模式业务流量模型网络带宽/容量需求调研方案设计需求分析根据需求分析的结果进行方案设计：网络架构设计网络分层设计网络特性设计园区网设计总体流程重点内容：根据调研结果进行分析，内容至少包园区网需求调研指南——总体编号需求分类需求调研的主要内容调研的主要目的1网络环境了解网络的建设、部署和使用情况；明确是改造网络，还是新建网络？初步确定网络架构和设计方案。2网络痛点了解客户现有网络的痛点（针对网络改造升级场景），或者对网络的期望。确定网络的建设要求和目标，初步确定网络需支持的特性。3网络业务了解网络中需要部署的业务及其特性，明确网络业务和流量模型。确定网络带宽和业务特性。4业务安全了解业务是否需要隔离以及隔离要求（若有），了解网络安全建设要求。确定业务隔离和网络安全防护建设方案。5网络规模了解网络用户规模以及3～5年之间的增长态势。最终确定网络架构与设计方案。6终端类型了解终端类型及接入要求。确定网络接入方案。下面对这６个方面的需求调研内容逐一进行详细说明。园区网需求调研指南——总体编号需求分类需求调研的主要内容调研园区网需求调研指南——网络环境调研需求编号主要调研内容需求分析指南1网络建设情况：是新建网络还是改造网络？如果是新建网络，设计的约束相对较小，可以充分采用我司现有方案和产品；如果是升级改造网络，则网络设计复杂度增加，需要考虑更多的情况，如设备的兼容性和利旧问题，网络平滑过渡、业务是否允许中断等问题。2网络类型：有线网络、无线网络或者有线无线一体化网络？主要是明确是否需要同时建设无线网络，是否需要建设成线无线一体化。如果需要有线无线一体化，则推荐采用AC+AP的部署方式；如果需要统一认证，则推荐采用我司的NAC方案。3园区地理分布：集中或分散主要用于初步确定基础网络架构。如果地理位置比较集中的话，考虑单核心架构；如果地理位置比较分散，如存在多栋大楼时，而且每个分布点的网络规格都比较大、各点之间的内部流量也比较大时，可能需要设置多个核心或汇聚。4客户单位组织结构（可能的话）通过了解客户单位的组织结构来初步了解园区网的大致使用情况，包括：客户单位各组成机构如何使用网络，或者如何为其部署网络，是否存在需要根据部门、区域、业务等情况来设置网络隔离，是否需要部署多个核心或汇聚点？是否有分支接入要求？若有，需要采用什么线路接入？5机房或网络设备弱电间分布情况当机房或弱电间比较多时，通常可以将网络各层分布式部署到各个机房或弱电间，即将核心或汇聚部署到各个机房或弱电间，通常可以在每个机房或弱电间部署一个汇聚点；当采用多核心互联时，也可以将多核心分别部署在不同机房。除此之外，还要考虑设备摆放布局及其间隔距离等问题。园区网需求调研指南——网络环境调研需求编号主要调研内容需求分园区网需求调研指南——网络痛点调研需求编号主要调研内容需求分析指南1网络速度：网络是否拥塞？初步确定网络带宽以及交换机的大致规格。2网络质量：业务经常中断，网络不稳定需要考虑采用网管或网络分析软件，找出具体原因，并在方案设计时加以重点考虑，比如，可以考虑采用具有硬件OAM功能的产品。同时，需要根据客户所在的行业特色来分析其业务对网络质量的要求，以保证网络质量满足其业务要求。3网络规模：可接入用户数量偏少了解客户网络现有用户数量，以及将来3～5年用户数量的增长规模。通常可以通过增加接入交换机的数量或更换更高密度的交换机，同时还需要考虑网络容量是否满足要求。4网络能力：有线无线接入、远程接入如果需要无线网络，需要考虑有线无线一体化（统一部署、统一认证）。远程接入时要考虑业务应用场景，是个人移动办公远程接入，还是分支机构固定接入，从而确定采用SSLVPN还是IPsecVPN，或者两者都需要。5网络安全：内部安全、终端安全、外部安全确定是否要采用相关的安全设备以及设备形态，同时了解用户对安全的重视程度；如果对安全要求高，可以推荐采用独立的安全设备，如果要求相对较低，可以采用集成的安全设备，如UTM或安全类的增值业务插卡等。针对现网改造场景，了解现网的不足之处，即客户痛点，从而明确网络建设要求和目标。可从如下几方面入手：园区网需求调研指南——网络痛点调研需求编号主要调研内容需求分园区网需求调研指南——网络业务调研编号主要调研内容需求分析指南1常用业务类型：办公ERP、email、上网？正常的办公业务对网络带宽要求不高，通常200Kbps左右，普通的网络接入基本上就能满足要求。2关键业务类型：数据、VoIP、视频、桌面云？通常园区网属于局域网，基本不用考虑网络时延问题；部署VoIP、视频和桌面云时如果涉及到分支、城域或广域类型的连接时，则需要重点考虑网络时延问题。如果需要部署桌面云，则需要重点考虑网络的可靠性或可用性。如果有视频需求，则需要充分考虑带宽要求。部署VoIP时，是与PC共网络，还是独立？是否需要PoE供电？这涉及到交换机的数量和规格。3有需要特别关注的业务？优先保障客户重点关注的业务，必要时进行QoS设计，保证客户体验。4多播业务的类型如果有，需要设计相应的多播/组播方案。5未来3～5年之内新增业务类型网络需要考虑3～5年内业务发展的可能性，实现业务平滑升级和扩容，避免资源浪费和不能满足使用。6现网业务环境（若有）现网运行的主要网络协议、网络拓扑和设备类型、数量，了解现网网络质量及其对当前业务的支撑情况，供设计时参考。园区网需求调研指南——网络业务调研编号主要调研内容需求分析指园区网需求调研指南——业务安全调研编号主要调研内容需求分析指南1业务安全：业务隔离与互通要求网络业务是否需要隔离？如何隔离，物理隔离还是逻辑隔离？如果采用物理隔离，则相当于同时建设多张网，分别按照独立的网络进行设计即可；如果采用逻辑隔离，则需要采用VLAN/VPN等技术进行隔离，一张网承载多种业务，虚拟成多个园区网。同时，还需要考虑不同业务之间是否存在互通要求。如果有，需要事先制定好互通策略和方案。2网络安全：外部安全防护主要需要考虑网络边界安全，需要部署防火墙、IPS/IDS、网络日志审计、防毒墙等安全设备。

如果对网络安全要求比较高，比如需满足安全等级保护要求，则推荐采用独立的安全设备；否则，可以采用集成安全设备如UTM或安全增值业务插卡。3网络安全：内部安全防护主要用于防止网络内部用户导致的安全事故，可以推荐采用上网行为管理的软件或专用设备。4网络安全：终端安全防护包括终端接入安全以及终端安全检查，确定是否需要采用终端NAC方案。园区网需求调研指南——业务安全调研编号主要调研内容需求分析指园区网需求调研指南——网络规模调研编号主要调研内容需求分析指南1有线用户或接入点规模确定接入交换机的端口数量及密度，同时根据对业务的调研情况，初步确定大致的网络带宽需求。2无线用户的规模（若有）初步确定AC的规格和AP的数量；在一些重点区域（如会议室）是否需要考虑高密度接入。3现网情况及规格（若有）初步了解网络改造的工作量，确定网络升级方案，包括设备利旧、兼容性、平滑升级等方面的内容。43～5年后的网络规模，或最近几年的最高增长率网络设计要满足可扩展性要求，应当考虑园区网未来３～5年的发展需要，在设计时其网络接口、容量和带宽均需要有一定裕量，以便将来平滑扩容。网络规模既包括用户规模（即网络用户的数量或终端数量），也包括业务规模（业务的类型、带宽、数量及其使用范围）。5分支机构（若有）如有，则需要考虑分支与总部的联结方式。总部是否需要采用专线和互联网线路两类线路？是否需要线路备份？园区网需求调研指南——网络规模调研编号主要调研内容需求分析指园区网需求调研指南——终端类型调研编号主要调研内容需求分析指南1有线终端类：网络接入能力（网卡的接口速率）可以确定接入交换机的大致规格。2无线终端类：终端类型：笔记本电脑、智能手机、移动智能设备PAD，无线接入能力：支持802.11abgn\ac\AP供电方式：直接电源供电，还是交换机PoE供电？需要考虑支持的接入频段和模式。需要考虑接入认证模式。需要考虑是否采用有线无线统一认证。需要考虑是否允许访客接入以及访问区域。3哑终端类：IP电话、网络打印机、IP摄像头等需要考虑此类终端的接入和认证方案。4其他/特殊类型的终端：

如工业控制机、现场测控仪等可能会影响接入交换机的选型，如工业园区/生产网可能会要求采用工业交换机、室外机构，可能会影响设备的供电方式。5特殊的网络设备：如专用的网络加密设备、工业交换机等主要考虑兼容性，以及性能上的匹配，避免规格不一致。园区网需求调研指南——终端类型调研编号主要调研内容需求分析指需求分析结果与设计内容对照关系网络架构设计树型环型无线网络三层二层单层分层结构设计网络特性设计安全性可靠性编号需求分类1网络环境2网络痛点3网络业务4业务安全5网络规模6终端类型核心层需求分析QoS…汇聚层接入层5.x1.x2.12.33.x5.x5.26.x3.32.54.x说明：１）数字1.1表示需求分析编号为１.1的需求２）数字5.x表示需求分析中编号为第５大类的所有需求需求分析结果与设计内容对照关系网络架构设计树型无线网络三层分园区网基础网络模型和业务类型分析数据中心出口区其他园区园区外部园区内部分支出差员工合作伙伴网络管理应用终端DMZInternet/WAN核心层汇聚层接入层园区网可以提供各种各样的业务，包括但不限于：数据：OA、email、FTP、ERP/MIS...语音：PSTN、VoIP、IM、QQ、UC...视频：视频会议、桌面云、智真…不同业务对网络的要求不一样。业务类型对网络的基本要求数据网络稳定可靠，不中断，不丢包。语音网络稳定可靠，时延和抖动小。视频网络稳定可靠，时延小，带宽大。园区网基础网络模型和业务类型分析数据中心出口区其他园区园区外园区网设计总体指导思想园区网复杂多样的访问关系以及多种多样的业务类型必然要求园区网的设计要有良好的指导思想和设计原则。园区网设计过程中，应当遵循如下思想原则：可靠性原则：园区网必须稳定可靠工作，业务永续。可信任原则：网络必须安全、可信任。可扩展原则：网络平滑升级和扩展，满足未来3～5年的发展规划可管理原则：网络容易管理和维护，网络诊断和故障定位容易。可运营原则：支持和方便部署新业务，如VoIP、UC（统一通信）、智真、桌面云等。经济性原则：最大化ROI和降低TCO。ROI:

ReturnonInvestment,投资回报TCO:

TotalCostofOwnership,总体投资园区网设计总体指导思想园区网复杂多样的访问关系以及多种多样的园区网设计原则设计原则含义客户价值层次化根据功能作用和定位，园区网络通常按照核心层、汇聚层与接入层等多个层次进行分层设计。化繁为简，使网络结构简单，简化网络部署，具有良好的稳定性、可扩展性，同时也方便网络管理。模块化从业务角度出发，分为园区出口、数据中心、DMZ、网络管理、分支、园区互联、出差员工和合作伙伴等功能分区或业务类别。提供灵活多变的访问和互联方式，满足不同业务需要，有利于实施差异化的业务控制。可靠性园区网稳定可靠，关键部位采用冗余或备份架构；发生故障时可以快速恢复。业务不中断，保证业务体验。安全性全网安全可信，具有完善的安全防护措施，防止恶意破坏，保护数据和网络安全。打造一个可信网络，保障网络和业务安全。园区网设计原则设计原则含义客户价值层次化根据功能作用和定位，园区网设计原则（续）设计原则含义客户价值可扩展性园区网可以适应不同业务部署和扩展需求，包括部署新业务以及网络平滑扩展等要求。充分发挥网络价值，减少重复投资，避免资源浪费。易管理全网多业务智能、主动和综合管理，实时分析网络健康状况，积极预防；故障发生时可以快速排除故障，减少损失。降低运维难度，提升客户体验。业务体验保证带宽和性能设计，QoS设计等。保证业务质量以及业务体验，让客户满意。特色或亮点体现（可选）根据客户的业务或需求，设计具有竞争力的方案。提高客户对我司的关注度和信任，让客户满意。园区网设计原则（续）设计原则含义客户价值可扩展性园区网可以适园区网设计参考标准——国家标准GB/T15237术语学基本词汇GB

2887计算机站场地技术条件GB

50311建筑与建筑群综合布线系统工程设计规范GB

50312建筑与建筑群综合布线系统工程验收规范GB/Z15629.1信息技术系统间远程通信和信息交换局域网和城域网特定要求第1部分：局域网标准综述GB15629.1101信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒体访问控制和物理层规范：5.8GHz频段高速物理层扩展规范GB15629.1103信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范GB15629.1104信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒体访问控制和物理层规范：2.4GHz频段更高数据速率扩展规范园区网设计参考标准——国家标准GB/T15237术语学基园区网设计参考标准——国际标准ISO7498信息处理系统开放系统互连基本参考模型ISO/IECIS11801用户建筑综合布线EIA/TIA568A商业建筑电信布线标准EIA/TIA606商业建筑物电信基础结构管理标准EIA/TIA607商业建筑物接地和接线规范EIA/TIATSB-72集中式光纤布线系统标准EIA/TIATSB-75开放式办公布线系统标准ANSI

FDDI光纤分布式数据接口高速局域网标准ANSI

TPDDI铜线分布式数据接口高速局域网标准IEEE802.3CSAM/CD接口方式IEEE802.3u100Base规范IEEE802.3z1000Base-X(GBIC)规范IEEE802.3ae10G规范IEEE802.11...

无线局域网相关的一系列标准园区网设计参考标准——国际标准ISO7498信息处理系统园区网设计参考标准——行业标准GA38-92中华人民共和国公共安全行业标准GA/T394出入口控制系统技术要求YD/T5037公用计算机互联网工程设计规范YD/T5050公用计算机互联网工程验收规范JGJ/T1692民用建筑电气设计规范其他标准或协议文档描述RFC894AStandardfortheTransmissionofIPDatagramsoverEthernetNetworksRFC1042AStandardfortheTransmissionofIPDatagramsoverIEEE802NetworksRFC1166InternetNumbersRFC1918AddressAllocationforPrivateInternetsRFC3069VLANAggregationforEfficientIPAddressAllocation......园区网设计参考标准——行业标准GA38-92中华人民共和园区网设计参考标准——使用优先级以上相关标准和规范中如有内容不一致之处，推荐按如下优先级顺序使用：国家标准、规范部颁标准、规范国际标准、规范行业标准、规范地方标准、规范制造商的标准、规范园区网设计参考标准——使用优先级以上相关标准和规范中如有内容目录1华为ONENET园区网解决方案概述2园区网设计方法3园区网网络设计指南4园区网网络安全设计指南目录1华为ONENET园区网解决方案概述2园区网设计方子目录3园区网网络设计指南基础架构设计1分层结构设计2VLAN规划与设计３IP地址规划与路由设计４网络管理设计５子目录3园区网网络设计指南基础架构设计1分层结构设计2VLA园区网架构选型指南根据核心交换节点的数量，园区网从逻辑结构上分为单核心和多核心两种架构。单核心架构即树型架构，只有一个核心交换节点；多核心架构存在多个核心交换节点，主要包括网状架构和环型架构，其中环型架构应用相对较多一些。图２网状架构图1树型架构图3环型架构园区网架构选型指南根据核心交换节点的数量，园区网从逻辑结构上架构类型架构描述优点缺点适用场景树型架构逻辑上只有一个交换核心。结构简单，方便管理，可扩展性强，增加节点容易。对设备和线路的要求相对较高，核心节点容易形成瓶颈，对其性能和可靠性要求较高。园区网络规格不大，结构相对简单。网状架构逻辑上存在多个交换核心，相互之间可以全互联或部分互联。节点之间转发效率高，网络可靠性高，具有很强容错能力，每台设备有至少两条出口条线路。增加节点复杂，线路数量较多，网络结构复杂。园区网络，各节点之间的数据流量非常大。环型架构逻辑上存在多个交换核心，仅相邻两点互连，所有节点成环型连接。节点之间转发效率相对较高；可靠性较高，具有容错功能，每台设备具有两条线路。可扩展性稍差，增加节点复杂，管理相对复杂。园区网络规模非常大，或者因为地域因素（如地理覆盖范围大，各区域相隔比较远）存在多个核心交换中心。园区网架构选型指南（续）架构类型架构描述优点缺点适用场景树型架构逻辑上只有一个交换核园区网树型架构核心层汇聚层接入层区域１区域N出口区园区网结构相对比较简单，通常推荐采用树型架构，容易部署和管理；同时可以进一步简化网络结构，可扩展性强；此外，为保证网络可靠性，可以在网络关键位置采用冗余备份措施。树型网络架构通常采用分层结构，分为三个层次：核心层：是园区网骨干，是园区数据交换的核心，联接园区网的各个组成部分，如数据中心、管理中心、园区出口等汇聚层：处于园区网的中间层次，完成数据汇聚或交换的功能，可以提供一些关键的网络基本功能，如路由、QoS、安全等。接入层：为终端用户提供园区网接入功能，是园区网的边界。每个层可以看作为是园区网内一个具有特定角色和功能的、结构定义良好的模块。除此之外，大多数园区还需要有一个网络出口区，用于与外部网络连接。…表示堆叠线路，以下同园区网树型架构核心层汇聚层接入层区域１区域N出口区园区网结构园区网树型架构（续）核心层汇聚层接入层区域１区域N…出口区网络层次推荐最多3层！层次化设计：核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和维护。模块化设计：每个对应模块一个部门或功能、业务区域，部门或区域内部调整涉及范围小，定位问题容易。冗余性设计：双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护。对称性设计：网络的对称性便于业务部署，拓扑直观，便于协议设计和分析。分层树型架构的优点：从理论上讲，分层树型架构的层次可以任意多，但在大多数情况下，3个层次就足够了，这样，可以更好地控制网络规模和网络质量，同时也方便网络管理和维护。园区网树型架构（续）核心层汇聚层接入层区域１区域N…出口区网树型架构的不同结构类型树型架构在实际应用中可以根据网络规格或业务需要灵活划分或调整，具体又可以分为三层、二层、单层等多种结构类型。（注：为方便说明，下图未采用冗余对称结构）。核心层汇聚层接入层区域１区域N出口区核心/汇聚层接入层出口区接入层出口区…三层结构二层结构单层结构树型架构的不同结构类型树型架构在实际应用中可以根据网络规格或园区网树型架构应用指南采用分层的树型架构时，可以根据网络规模大小或业务的需求，选择采用三层、二层、单层等多种类型的架构。园区网比较常用的是三层和二层结构，适用于普通的大中型园区，单层结构仅用于网络规模非常小的微小型园区或分支。园区类型架构类型选型说明场景示例大型园区三层结构用户规模比较大，通常超过1000人，或者部门或网络区域数量众多。大型科技园区或工业园区中型园区三层或二层结构用户规模不是很大，通常在100～1000人之间，业务部门比较多、业务控制关系复杂时采用三层架构，否则可以采用二层架构。单个中小型企业的园区、中小型分支机构小型园区二层或单层结构网络用户规模比较小，通常不超过100人。微小型企业、SOHO型企业、小型分支机构园区网树型架构应用指南采用分层的树型架构时，可以根据网络规模树型架构应用示例——大型园区接入层汇聚层核心层接入层汇聚层楼宇B：营销中心楼宇A：行政及管理中心楼宇C：客户中心楼宇D：研发中心楼宇E：测试中心楼宇F：生产中心在大型园区中，通常以楼宇为单位进行网络建设。整个园区设置一个核心交换区（即核心层）。每栋楼宇可以按照二层树型结构建设，即每栋楼作为一个独立的汇聚点。大型园区采用这种树型架构时，可以实现同一楼宇内的数据交换就在本楼宇内部完成，不同楼宇的数据交换通过核心层完成。同一楼宇内部的通信流量不同楼宇之间的通信流量树型架构应用示例——大型园区接入层汇聚层核心层接入层汇聚层楼树型架构应用示例——中型园区中型园区通常采用二层结构，如图１所示，根据网络规模和业务需要，也可以采用三层结构，如图２所示。当网络接入点比较多，需要设置多个汇聚点时，可以采用三层结构。如新建办公大楼，每层一个弱电间，可以作为一个汇聚点，整栋楼采用三层结构，设置一个核心层。当有不同的业务隔离要求时，如部门之间相互隔离，需要为每类业务或部门单独设置一个汇聚点时，可以采用三层结构。一楼：营销区二楼：行政区三楼：研发区四楼：测试区接入层汇聚层出口区核心层接入层出口区核心/汇聚层图２三层结构图１二层结构营销区行政区研发区测试区同一楼层树型架构应用示例——中型园区中型园区通常采用二层结构，如图１树型架构选型指南园区网无论采用树型架构、网状架构，还是环型架构，其内部结构层次均可能采用三层、二层，甚至单层。如何来决定采用的具体结构层次，判断标准主要有两条（对应两种选型方法）：１）网络规模（自底向上法）：即网络接入点或用户的数量２）业务需求（自顶向下法）：主要体现在业务是否需要网络隔离以及如何隔离。上述两条标准或方法在实际工作中均同时采用，相互印证或补充；当两种方法的判断结果不相同时，采取就高不就低的原则，选择层数最多的结果作为统一的最终结果。例如：根据网络规模来判断，适合采用二层结构；但根据业务需求来判断，需要采用三层结构，则最终结果为：园区网应采用三层结构。网络接入规模业务需求分析二层结构三层结构三层结构判断原则：就高不就低树型架构选型指南园区网无论采用树型架构、网状架构，还是环型架树型架构选型示例一——根据网络规模（自底向上法）根据网络规模来决定树型架构的层次，是一种自底向上的设计方法。其简要流程如下：确定接入端口数量选择接入交换机计算接入交换机的数量数量>1选择汇聚交换机采用单层结构计算接入交换机的上行线路数量计算汇聚交换机的数量数量>1采用三层结构采用二层结构方法：根据需求5.x(即网络规模需求）确定接入端口数量前提：假设一个端口对应一个用户或一个网络接入点）方法：根据需求6.1(网卡的接口速率)初步选定交换机，即确定交换机的规格（接入能力、端口密度、上行方式）数量＝【网络接入规模/接入交换机的下行端口密度】方法：根据接入交换机的上行端口速率选择汇聚交换机方法１：数量＝【网络带宽/接入交换机上行端口速率】；方法２：数量＝【网络接入规模×接入端口速率×带宽收敛比/接入交换机上行端口速率】（注：通常推荐只在接入层进行带宽收敛，其它层不进行）数量＝【接入交换机上行线路数量/汇聚交换机下行端口密度】NYNY树型架构选型示例一——根据网络规模（自底向上法）根据网络规模树型架构选型示例二——根据业务需求（自顶向下法）适用场景：当园区网的多种业务需要进行网络隔离时，可以直接确定采用三层结构，实现物理隔离。示例场景：公司有研发、生产、财务、人力等多家部门，各部门之间需要进行网络隔离，要求各部门数据不能直接进行二层访问。网络解决方案：由于有多个部门需要隔离，每个部门形成一个独立的汇聚区域，部门内部可以二层互通，不同部门之间不能直接互通（可以通过核心层互通，二层或三层均可）。核心层汇聚层接入层生产研发财务出口区人力树型架构选型示例二——根据业务需求（自顶向下法）适用场景：核园区网多核心互联设计指南对于大型或超大型园区，网络在逻辑结构上存在多个交换核心，多核心之间存在多种互联解决方案：全互联架构(全网状架构)：如图１所示，所有核心两两互联。部分互联架构（部分网状架构）：如图２所示，核心均联结到同一个或多个（非全部）核心上（所有核心均在同一个层次）。改进的星型架构：如图３所示，增加一个新的核心交换节点，形成双层核心架构。环型架构：如图４所示，相邻的节点互联，整体成环。图２部分互联架构图４环型架构图１全互联架构图３改进的星型架构园区网多核心互联设计指南对于大型或超大型园区，网络在逻辑结构架构类型优点缺点应用场景全互联架构各核心之间全互联，交换效率比较高，可靠性高。组网复杂，占用较多的线路和接口资源，可扩展性差，管理复杂。对转发性能要求非常高的场景，适用于高端用户，如大型ISP/IDC。部分互联架构只有部分核心两两互联，节省线路资源，可扩展性好。容易形成性能瓶颈，转发效率和可靠性有所降低，对核心的性能要求非常高。普通园区，低成本建设要求，核心之间的数据量不大。改进星型架构（推荐1）各核心之间连接关系和网络结构简单，便于管理和维护，可扩展性好。需增加新的核心设备，同时对新核心设备的要求非常高，可靠性较低。对网络管理与转发效率都比较关注的高端用户，以成本换效率。环型架构（推荐2）节省线路和设备接口资源，网络结构简单，可靠性较高。核心之间可能需要多次转发，导致转发效率稍低。可扩展性较差各核心之间数据交换量比较平均，低投资成本。园区网多核心互联设计指南（续1）架构类型优点缺点应用场景全互联架构各核心之间全互联，交换效率园区网多核心互联设计指南（续2）楼宇B楼宇C楼宇D楼宇A园区网采用环型架构时，节点内部按照树型架构进行设计；节点之间通过核心层进行互联访问，既可以采用二层互联方式，也可以采用三层互联方式，推荐采用三层互联方式。互联方式二层互联三层互联主要技术或协议VPLS、TRILL、L2VPN、IP、MPLSVPN、xSTP、RRPP、SEP、RPR。IP路由协议（OSPF、IS-IS、BGP、RIP、静态路由等）。优点二层转发效率高，二层交换机即可实现，对设备要求不高，建设成本相对较低。组网简单，可扩展性强，网络管理简单，可充分利用路由协议的优势（如路由收敛、链路故障切换等）。缺点冲突域大，需要复杂的网络配置和管理（如需要部署xSTP或RRPP、SEP等二层环网协议）；网络可扩展性较差。需采用三层设备，对设备性能要求高，投资成本相对较大。适用范围仅在特殊场景（如明确需要二层互联时）下使用。普通园区均可使用。接入层汇聚层核心层接入层汇聚层核心层环型架构在园区中应用相对较少，除了增加核心互联功能外，其内部结构仍可按树型架构设计，因此下面仅以树型架构为例进行相关介绍。同一楼宇内部的通信流量不同楼宇之间的通信流量园区网多核心互联设计指南（续2）楼宇B楼宇C楼宇D楼宇A园区园区多核心互联设计应用示例当园区网需要进行多核心互联时，首先可以考虑采用改进型的星型架构；如果受投资成本以及环境条件限制（如线路资源有限）时，可以推荐采用环型架构。环型架构的可扩展性和管理性相对星型架构要差一些，只在一些特殊场景推荐使用，通常要满足以下所有条件时才推荐采用环型架构：楼宇之间存在大量的数据交换，各楼宇具有同等重要的作用；采用星型架构时容易形成性能瓶颈；楼宇之间不能采用全互联方式。１）改进星型互联２）环型互联楼宇B楼宇C楼宇D楼宇A楼宇B楼宇C楼宇D楼宇A园区多核心互联设计应用示例当园区网需要进行多核心互联时，首先分层设计方法子目录3园区网网络设计指南基础架构设计1分层结构设计2VLAN规划与设计３IP地址规划与路由设计４网络管理设计５核心层设计汇聚层设计接入层设计网关设计出口区设计配置计算示例分层设计方法分层设计方法子目录3园区网网络设计指南基础架构设计1分层结构分层设计方法——自底向上设计对园区网进行分层设计有助于降低设计的复杂度和难度。采用分层设计方法是指采用模块化和层次化技术分别设计每一层，同时根据对流量负载、流量和网络或用户行为的分析来规划层与层之间的互连。分层设计可以采用自顶向下或自底向上两种设计思路。从工程实现的角度出发，自底向上设计法更贴近客户需求，其可操作性更强一些、设计风险更小一些，因此，推荐采用自底向上设计法，即先设计接入层，然后设计汇聚层，接下来设计核心层和出口区。汇聚层接入层出口区核心层自顶向下设计自底向上设计推荐不推荐…分层设计方法——自底向上设计对园区网进行分层设计有助于降低设分层设计方法——自底向上设计（续）分层设计并不是将园区网各层分开独立设计，而是为了提高设计的可靠性和可行性才分开设计的。当为每层选择所使用的技术时，需要综合考虑本层设计对其它层次的的影响和制约，或者其它层对本层设计的影响或制约。网络设计是一个不断重复、审视和完善的过程，最终方案必须综合考虑所有层次之间的相互影响或制约关系。园区网设计涉及到因素比较多，除了商业上和技术上的因素外，可能还需要考虑一些其它因素（如机房空间、环境因素、兼容和利旧），因此，设计园区网络时必须要有系统和全局的观点。汇聚层接入层出口区核心层…网络设计是一个不断重复、审视、完善的系统过程。影响或制约分层设计方法——自底向上设计（续）分层设计并不是将园区网各层园区网网络设计全景图：分层、分区、流量模型DMZ数据中心/

服务器区网络管理&运维中心核心层汇聚层接入层区域/部门…区域/部门1区域/部门N出口区园区外部园区内部区域或部门N

专用的服务器区结构分层功能分区主要流量模型InternetWAN园区网网络设计全景图：分层、分区、流量模型DMZ数据中心/

子目录3园区网网络设计指南基础架构设计1分层结构设计2VLAN规划与设计３IP地址规划与路由设计４网络管理设计５核心层设计汇聚层设计接入层设计网关设计出口区设计配置计算示例分层设计方法子目录3园区网网络设计指南基础架构设计1分层结构设计2VLA接入层设计接入层作为园区网的边界，为用户提供各种接入方式，是PC终端、网络摄像机、打印机、IP电话等设备接入网络的第一层，因此，满足各方面的接入要求是接入层的首要任务。同时，接入层也需要对网络提供保护，防止未经授权的用户和应用进入网络，因此，接入层需要在安全性和可用性方面提供适当的平衡。核心层汇聚层接入层区域１区域N出口区…接入层设计接入层作为园区网的边界，为用户提供各种接入方式，是接入层设计——设计要点接入层作为园区网的内部边界，主要提供接入功能，除了可能需要高密度端口以支持更多的终端接入园区网络外，可能还需要部署丰富的二层或三层接入特性，同时还需要考虑或部署安全性、可靠性等网络特性。接入层的设计要点主要包括：架构设计——接入层网络设备的工作模式、堆叠方案组网设计——上下行链路端口速率、端口密度、链路数量、线路类型、组网方式、可靠性设计等设备选型——选型指标及设备推荐核心层汇聚层接入层区域１区域N出口区…接入层设计——设计要点接入层作为园区网的内部边界，主要提供接接入层设计——设计方法设计原则：满足不同接入要求，可能包括：不同类型终端的接入不同接口速率的接入对网络质量的不同要求的接入其他一些要求，如PoE供电…适度考虑扩展性提供相应的安全特性简化网络部署和管理编号需求分类1网络环境2网络痛点3网络业务4业务安全5网络规模6终端类型架构组网方式设备选型需求分析设计要素5.26.x设计流程示意接入层设计——设计方法设计原则：编号需求分类1网络环境2网络接入层设计——架构设计设计要点内容1终端接入方式主要是指终端接入的线路类型以及终端供电方式，这需要根据需求1.2、2.4、5.1、5.2、6.x等的分析结果来确定。明确终端的接入方式后，也就相应地确定了接入交换机的端口速率及下行链路类型等参数。2接入规模及可扩展性要求即终端或网络用户的数量，以及网络扩展性的要求，从而确定接入交换机的数量及其端口密度。接入层的扩展性主要考虑满足当前接入数量即可。3交换机的工作方式当交换机的数量较多时，各交换机之间是否存在相互协同或制约关系。4上行组网方式即接入层如何与汇聚层进行层间互联，包括链路类型以组网方式。5可靠性要求可靠性对交换机的工作方式及及上行组网方式均有相应的要求，高可靠性通常需要通过冗余设备和冗余链路来实现。6业务体验保证总体上是指接入层要满足园区网的接入要求，实际通常是指接入交换机的端口速率与终端网卡速率匹配，网络收敛比合理，接入层上行带宽满足业务质量要求。接入层设计——架构设计设计要点内容1终端接入方式主要是指终端接入层设计——交换机工作模式通常接入层会有多台交换机。当接入层交换机数量较多时，需要考虑各台交换机之间是否需要协同；因此，接入层交换机可以有两种工作模式：独立模式和堆叠模式工作模式独立模式堆叠模式模式描述各交换机独立工作，相互之间不存在依赖或协同关系。交换机采用堆叠方式，各交换机相互协同，逻辑上形成一台设备。优点设备独立工作，节点故障互不影响，扩容方便。兼容性好，不同类型设置可以共存。对设备要求不高，支持标准协议即可。降低管理复杂度，适合大规模部署。采用双归上行时可以避免链路单点故障。可以节省上行线路资源。缺点可靠性相对较低，容易存在单点故障。管理复杂度随设备数量的增加而增加，不适用于大规模部署。需要增加设备之间的连接线路。对设备一致性要求高，兼容性较差。增加设备和节点难度大，故障维护难度增加，需要有效的失效检测机制。应用场景普通小规模园区大中型园区、新建网络接入层设计——交换机工作模式通常接入层会有多台交换机。当接入接入层设计——堆叠设计盒式交换机采用iStack堆叠时，有如下两种连接形态，推荐采用环形连接。链形连接环形连接链形连接环形连接连接方式描述使用堆叠电缆将一台设备的左口（右口）和另一台设备的右口（左口）连接起来，依次类推，第一台设备的右口（左口）和最后一台设备的左口（右口）没有连接堆叠电缆。将链形连接第一台设备的右口（左口）和最后一台设备的左口（右口）连接起来。优点组网简单，管理简单。可靠性较高，当环形链路中出现一条链路故障时，堆叠系统仍能够保持正常工作缺点当链形链路中出现一条链路故障时，会引起堆叠分裂。需要多增加一条堆叠连接线路接入层设计——堆叠设计盒式交换机采用iStack堆叠时，有如接入层设计——堆叠方式多功能插卡槽位：2×12G堆叠卡

S5700系列后面板(部分)

以S3700-28TP-PWR-EI为例2*GESFP上行口复用为堆叠口接入层采用iStack堆叠时，根据堆叠连接所采用的端口类型，分为如下两种堆叠方式：堆叠方式堆叠卡堆叠业务口堆叠方式描述堆叠组内各交换机使用专用的堆叠卡、配以堆叠专用线缆实现互联。堆叠组内各交换机使用标准的业务口和线缆实现互联。优点不占用业务口，节省端口资源。高速、稳定、可靠性强。无需采购额外部件。支持长距堆叠、ETH-Trunk。典型产品S5700S3700接入层设计——堆叠方式多功能插卡槽位：2×12G堆叠卡接入层设计——下行链路设计接入层下行链路是指终端接入接入层交换机的线路类型，通常只要和终端网卡的速率匹配即可。通常有如下几种途径来决定链路类型：直接根据终端网卡速率来决定接入交换机的下行端口速率。比如：如果终端全是百兆网卡，则可以采用端口支持百兆或百兆自适应的接入交换机，如S2700或S3700。根据业务带宽来确定接入交换机的端口速率。这需要详细分析用户的业务类型及其带宽需求，比如，媒体行业用户存在同时传送多路高清视频的需求，则其接入交换机可能需要千兆接入端口。通常情况下可以采用第一种方法来选择交换机。第二种方法适用于新建网络（包括新购终端)时使用。第二种方法的难点在于对业务及其带宽需求的真实识别。除了线路类型外，还需要考虑线路长度。通常终端到接入交换机的距离不是很远，小于100米时推荐采用UTP电缆，大于100米时则需要考虑采用光纤连接。可供选择的下行端口速率：10M、100M、GE、10GE速率？接入层设计——下行链路设计接入层下行链路是指终端接入接入层交接入层设计——上行链路设计上行链路是指接入层到汇聚层的链路。上行链路设计主要考虑链路类型（即上行接口速率/带宽/线路类型）、数量及上行组网方式，基本原则是：在满足速率/带宽/可靠性要求的情况下尽量减少线路数量。具体包括如下内容：（一）确定上行接口速度一般情况下根据下行端口速率和端口密度就可以确定接入交换机的型号，相应地其上行接口速率也就随之确定；如果存在多种上行接口速率，优择上行接口速率较高的型号。（二）确定上行线路类型上行链路的线路类型主要是指采用电缆线路或光纤线路，通常需要根据线路介质类型、传输速率、线路标准、传输距离等多种因素进行选择。可供选择的上行端口速率：100M、GE、10GE、40GE、100GE速率？数量？接入层设计——上行链路设计上行链路是指接入层到汇聚层的链路。接入层设计——上行链路设计（续1）如表1所示，不同传输速率、传输介质和标准的线缆，其传输的距离不同。传输距离传输速率100米之内100米之上100M电缆光纤1000M电缆或光纤10GE及以上光纤表2接入层线路推荐表速率标准介质接口最远距离FE（100M）10/100base-TXCAT5RJ45100m100base-FXMMFSFP2kmGE（1000M）1000base-TCAT5RJ45100m1000base-LXMMFSFP550mSMFSFP5km10GE（10000M）10Gbase-SR62.5umMMF（160MKm@850nm）SFP+/XFP26m50umMMF（2000MKm@850nm）SFP+/XFP300m10Gbase-LRM62.5umMMF（160/500MKm@850/1310nm）SFP+/XFP300m10Gbase-LRSMF/1310SFP+/XFP10km表1不同速率和标准的线路及其传输距离对照参考表(部分数据，仅供参考)接入层线路选择的简要对应关系如表2所示。当采用光纤连接时，需要考虑光纤的传输模式。多模光纤适用于近距离（约几百米）传输，单模光纤适用于长远、高速传输。同时，如果光纤资源紧缺，可以考虑采用单纤双向光模块，用一根光纤传输双向信号。接入层设计——上行链路设计（续1）如表1所示，不同传输速率、接入层设计——上行链路设计（续2）（三）上行带宽与上行链路数量计算确定交换机型号之后，需要确定每台交换机的上行带宽和链路数量。通常每台交换机至少有一条上行链路，如果单条链路不能满足上行带宽要求时，则需要采条多条上行链路。有些情况下，为了提高链路可靠性，交换机也需要采用多条链路上行，在此暂不考虑这种场景。接入层的上行带宽和上行链路数量计算方法有多种，可以综合使用，推荐如下两种方法：业务分析方法：即对园区网中所有网络业务所需的最大带宽进行分析和计算，由此确定上行带宽和链路数量。这是一种自顶向下的分析方法，要求对园区网络业务非常了解。采用此法时，通常可以假定业务无阻塞，即网络收敛比为1：1。网络收敛比法：即根据接入到汇聚的网络收敛比进行计算，此法属于自底向上的分析方法。网络收敛比是此法的关键点，可以根据客户要求来确定，或者参考行业经验值（通常在4～20之间）。下面对这两种方法进行详细介绍（假定所有交换机是同一型号，其配置完全相同）。接入层设计——上行链路设计（续2）（三）上行带宽与上行链路数接入层设计——上行链路设计（续3）１）业务分析法：此法假设网络业务无阻塞（否则需要考虑网络收敛比，需要结合第二种方法)，通过分析每个用户所需的最大网络带宽来计算接入层上行带宽和每台交换机上行链路数量，如下：接入层上行带宽＝单用户最大带宽×网络接入规模交换机数量＝【网络接入规模/单台交换机下行端口数量】单台交换机上行链路数量＝【上行带宽/交换机数量/交换机上行端口速率】２）网络收敛比法：在确定交换机型号后可以根据网络收敛比要求来确定交换机上行链路数量：单台交换机上行带宽＝【单台交换机下行端口总数×端口速率/网络收敛比】单台交换机上行链路数量＝【单台交换机上行带宽/交换机上行端口速率】注：１）符号【】表示向上取整，以下同。２）上述两种方法均与实际情况有一定的误差，供参考。接入层设计——上行链路设计（续3）１）业务分析法：注：接入层设计——万兆上行（推荐方案）随着多媒体业务的逐渐深入，园区网接入层的带宽要求增长迅速，推荐接入到汇聚之间的上行链路采用10Gbps线路，即万兆到汇聚，以提供高性能、无阻塞的网络服务。采用万兆上行线路有如下收益：增加吞吐量——物理端口的带宽容量提升10倍，可以有效避免上行带宽不足的风险。高性能——将数据复用到一条高速链路而不是多条低速链路上可以加速应用性能。降低TCO——降低交换机每端口的成本，同时可减少线路连接的额外开支。简化设计——只需要管理、运行和维护一条高速链路即可，从而代替多条线路捆绑上行。汇聚层接入层多条低速线路捆绑汇聚层接入层万兆上行100M\GE线路10GE线路接入层设计——万兆上行（推荐方案）随着多媒体业务的逐渐深入，接入层设计——组网方式根据接入层设备的工作模式和汇聚层设备的数量以及其它要求（如可靠性），接入层可以有多种上行组网方式，分别适用于不同场景的需要。汇聚层接入层全互联上行口字型上行双归上行单上行组网方式对比项目适用场景可靠性建设成本网络结构全互联上行高高复杂接入层堆叠、对可靠性要求非常高的场景。口字型上行较高较高较复杂接入层堆叠、对可靠性要求较高的场景。双归上行高高较复杂汇聚层有多台设备，对可靠性要求非常高的场景。单上行低低简单汇聚层只有一台设备，如小型园区接入层设计——组网方式根据接入层设备的工作模式和汇聚层设备的接入层设计——可靠性设计接入层可靠性设计主要包括两个方面：设备可靠性：要求设备具有电信级可靠性99.999%，支持双电源接入，支持双风扇等。链路可靠性：体现在链路设计以及组网形态上，通常采用多链路上行，包括Trunk/LAG技术、双归上行等。下面主要介绍链路可靠性相关技术。Trunk是一种捆绑技术，将多个物理接口捆绑成一个逻辑接口。将若干条物理链路捆绑在一起所形成的逻辑链路称之为链路聚合组（LAG）或者Trunk。Trunk技术可以实现增加带宽、提高可靠性和负载分担的功能。双归上行是指一台下级设备同时接入到两台不同的上级设备上，当其中一条链路故障时，另一条链路可以正常工作，保证上下级设备之间的链路不中断。双归上行Trunk/LAG接入层设计——可靠性设计接入层可靠性设计主要包括两个方面：双接入层设计——Trunk技术Trunk接口的特性交换机系列支持二层转发和三层转发（单播及组播）全系列支持使用HASH算法进行流的负载分担支持基于Trunk接口的QoSS5700S6700S7700S9700支持基于物理接口的QoS，不支持基于逻辑接口的QoSS2700S3700支持绑定VPN实例S7700S9700支持热备份和热插拔支持不同接口板上的接口加入到同一个Eth-TrunkGE0/0/1GE0/0/2GE0/0/3GE0/0/1GE0/0/2GE0/0/3接入层汇聚层Trunk接口的分类Eth-Trunk：只能由以太网链路构成。IP-Trunk：只能由POS链路构成。Trunk接口的约束条件物理接口的物理参数必须一致，包括数量、速率、双工方式、流控方式。必须保证数据的有序性。Eth-TrunkSwitchASwitchB接入层设计——Trunk技术Trunk接口的特性交换机系列接入层设计——Trunk技术（续）Trunk成员接口备份为提高Trunk接口的可靠性，可以为成员接口配置备份接口。如果成员接口故障，使用同一Trunk接口中处于Up状态的其他接口作为备份接口承载故障接口上的流量。成员接口备份称为组内备份，也可称为组内快速倒换。说明：Trunk成员接口备份只适用于静态LACP模式的Eth-Trunk接口。Trunk接口的负载分担目前支持的负载分担方式为逐流负载分担。逐流负载分担能保证包的顺序，但不能保证带宽利用率。Eth-Trunk的速率在二层模式下，Eth-Trunk的速率由以下两个条件决定：Up链路上限阈值。Trunk中状态为Up的端口的数目。接入层设计——Trunk技术（续）Trunk成员接口备份说接入层设计——E-TrunkEth-Trunk1Eth-Trunk10Eth-Trunk10E-Trunk1E-Trunk示意图接入层汇聚层E-Trunk（EnhancedTrunk）是一种实现跨设备链路聚合的机制，基于LACP（单台设备链路聚合的标准）进行了扩展，能够实现多台设备间的链路聚合，从而把链路可靠性从单板级提高到了设备级。E-Trunk机制主要应用于接入层双归接入汇聚层时，接入层到汇聚层的链路保护以及对汇聚层设备节点故障的保护。在没有使用E-Trunk前，接入层通过Eth-Trunk链路只能单归到一台汇聚层设备。如果Eth-Trunk出现故障或者汇聚层设备故障，接入层将无法与汇聚层设备继续进行通信。使用E-Trunk后，接入层可以双归到汇聚层上，从而实现设备间保护。S2700、S3700、S5700LI和S5700S-LI不支持E-Trunk，其余系列交换机支持E-Trunk。接入层设计——E-TrunkEth-Trunk1Eth-T接入层设计——E-Trunk（续1）Eth-Trunk1Eth-Trunk10Eth-Trunk10E-Trunk1E-Trunk示意图接入层汇聚层E-Trunk的约束条件为了能够提高接入层与汇聚层之间链路的可靠性，使得接入层直连汇聚层的链路能够自动切换，必须保证汇聚层交换机上E-Trunk的配置一致，而且必须遵循以下规则，如图所示。SW1与SW3直连的Eth-Trunk，与SW2与SW3直连的Eth-Trunk的工作速率和双工模式必须相同，即保证key值相同，且必须加入ID相同的E-Trunk。汇聚层两台设备所指定的地址互为对端和本端IP地址，保证三层可达即可，建议使用环回口地址。必须配置E-Trunk与BFD会话绑定。汇聚层两台设备上设置的报文密码（可配）必须相同。（后续）SW3SW1SW2接入层设计——E-Trunk（续1）Eth-Trunk1E接入层设计——E-Trunk（续2）(续上页)只有静态LACP模式的Eth-Trunk才能加入E-Trunk。静态LACP模式Eth-Trunk加入E-Trunk后，其工作模式就不可修改。一个Eth-Trunk只能加入一个E-Trunk。如果该Eth-Trunk已经加入其他E-Trunk时，必须退出原有E-Trunk，才能加入新的E-Trunk。一个E-Trunk中，两端设备上所加入的Eth-TrunkID、LACP优先级、系统ID都必须一致。一台设备上最多创建16个E-Trunk。一个E-Trunk最多可以加入64个静态LACP模式的Eth-Trunk。Eth-Trunk1Eth-Trunk10Eth-Trunk10E-Trunk1E-Trunk示意图接入层汇聚层SW3SW1SW2接入层设计——E-Trunk（续2）(续上页)Eth-T接入层设计——可靠性设计：双归上行组网为提高接入层链路可靠性，可以采用双归上行组网方式，同一台接入交换机分别接入不同的汇聚层设备。采用双归上行时，必然存在环路问题。汇聚层接入层当接入层与汇聚层之间采用二层接入时，需要部署二层破环协议。二层破环协议主要有：xSTP：STP/MSTP/RSTPRPRERPSRRPPSEP其中，RRPP、SEP是华为公司自主知识产权协议。双归上行引起环路问题示意图接入层设计——可靠性设计：双归上行组网为提高接入层链路可靠性接入层设计——二层破环协议环网协议优点缺点RRPP收敛速度快，收敛时间小于50毫秒，满足电信级可靠性，且支持不同业务流量负载均衡。是华为公司的私有协议，无法实现与其他制造商设备的互通。对网络拓扑有严格的要求，需要人为划分逻辑拓扑分出主环子环，不利于复杂网络的部署。仅支持环形组网，且仅支持一级子环。生成树协议：STP/RSTP/MSTP生成树协议适用于任何形式的二层网络。生成树协议是IEEE标准协议，实现与其他制造商设备的互通。STP、RSTP、MSTP是以太网络二层破环技术的标准协议，应用成熟、场景广泛，且支持与其他制造商设备互通。生成树协议收敛速度慢，收敛时间在秒级，且收敛速度受网络拓扑影响，不能满足一些实时业务的要求，无法满足收敛速度达到电信级可靠性要求。SEP适用于任何形式的二层网络。收敛速度快，收敛时间小于50毫秒，满足电信级可靠性。SEP支持各种类型的复杂组网。如，支持与STP、RSTP、MSTP、RRPP协议混合组网，支持任意拓扑且支持拓扑查看。通过查看拓扑可快速找出阻塞端口，可快速定位故障出现的位置，从而提高了可维护性。支持多种阻塞端口选择策略，从而灵活地实现了流量负载分担。是华为公司的私有协议，无法实现与其他制造商设备的互通，部署SEP协议的网络上的设备必须都是华为公司数据通信设备。部署SEP协议的网络，网络收敛后必定选出一个阻塞端口阻塞数据流量通过，即使是直连链路。ERPS收敛速度快，满足电信级可靠性。ERPS协议是ITU-T标准协议，实现与其他制造商设备的互通。当前仅支持单环组网。接入层设计——二层破环协议环网协议优点缺点RRPP收敛速度快接入层设计——xSTP技术对比协议是否快速收敛是否支持多实例特点应用场景STPXX形成一棵无环路的树：解决广播风暴并实现冗余备份。无需区分用户或业务流量，所有VLAN共享一棵生成树。适用于收敛时间要求不高的二层网络。RSTP√X形成一棵无环路的树：解决广播风暴并实现冗余备份。收敛速度快。适用于收敛时间要求高的单环、相切环、相交环。MSTP√√形成一棵无环路的树：解决广播风暴并实现冗余备份。收敛速度快。多棵生成树在VLAN间实现负载均衡，不同VLAN的流量按照不同的路径转发。需要区分用户或业务流量，并实现负载分担。不同的VLAN通过不同的生成树转发流量，每棵生成树之间相互独立。适用于收敛时间要求高的二层网络。接入层设计——xSTP技术对比协议是否快速收敛是否支持多实接入层设计——xSTP技术选择针对存在的三种STP协议，需要进行如下考虑：一些比较老的交换机可能不支持RSTP或者MSTP，在有这些设备存在的网络中，就现实情况而言，还是应该启用STP协议。如果资金允许，可以将不支持RSTP或MSTP的设备换掉，因为采用RSTP、MSTP可以提升网络的性能。在设备都支持RSTP协议的情况下，当网络中仅存在一个VLAN时，建议采用RSTP，这样可以充分发挥RSTP的优势，加速网络的收敛。另外，如果网络中存在多个VLAN，并且各个VLAN在拓扑上保持一致，也就是说在Trunk链路上各个VLAN的配置相同，也建议使用RSTP。基于上一条描述的条件，当网络中存在多个VLAN，但是他们在Trunk链路上的配置并不一致时，就需要采用MSTP启用多个生成树实例。若当前交换设备既支持STP又支持RSTP，建议选择使用RSTP。若当前交换设备既支持STP/RSTP又支持MSTP，建议选择使用MSTP。在园区网中启用MSTP可以避免人为形成环路所造成的广播风暴，同时实现负载均衡。接入层设计——xSTP技术选择针对存在的三种STP协议，需接入层设计——STP保护机制风险或问题：可能会遇到蓄意攻击导致STP计算错误。拓扑频繁变化产生大量TC报文导致交换机频繁删除MAC地址，造成未知单播报文的泛滥等问题。意外接入网络的交换机也可能影响整个网络的STP稳定性。解决方案：STP保护机制：BPDU保护、Root保护、TC保护、环路保护、共享链路保护。保护功能场景配置影响BPDU保护边缘端口在收到BPDU以后端口状态将变为非边缘端口，此时就会造成生成树的重新计算，如果攻击者伪造配置消息恶意攻击交换设备，就会引起网络震荡。交换设备上启动了BPDU保护功能后，如果边缘端口收到RSTBPDU，边缘端口将被shutdown，但是边缘端口属性不变，同时通知网管系统。接入层设计——STP保护机制风险或问题：保护功能场景配置影接入层设计——STP保护机制（续）保护功能场景配置影响TC保护交换设备在接收到拓扑变化报文后，会执行MAC地址表项和ARP表项的删除操作，如果频繁操作则会对CPU的冲击很大。启用防TC-BPDU报文攻击功能后，在单位时间内，交换设备处理拓扑变化报文的次数可配置。如果在单位时间内，交换设备在收到拓扑变化报文数量大于配置的阈值，那么设备只会处理阈值指定的次数。对于其他超出阈值的拓扑变化报文，定时器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项，从而达到保护设备的目的。Root保护由于维护人员的错误配置或网络中的恶意攻击，根桥收到优先级更高的BPDU，会失去根桥的地位，重新进行生成树的计算，并且由于拓扑结构的变化，可能造成高速流量迁移到低速链路上，引起网络拥塞。对于启用Root保护功能的指定端口，其端口角色只能保持为指定端口。一旦启用Root保护功能的指定端口收到优先级更高的RSTBPDU时，端口状态将进入Discarding状态，不再转发报文。在经过一段时间（通常为两倍的ForwardDelay），如果端口一直没有再收到优先级较高的RSTBPDU，端口会自动恢复到正常的Forwarding状态。环路保护当出现链路拥塞或者单向链路故障，根端口和Alternate端口会老化。根端口老化，会导致系统重新选择根端口（而这有可能是错误的），Alternate端口老化，将迁移到Forwarding状态，这样会产生环路。在启动了环路保护功能后，如果根端口或Alternate端口长时间收不到来自上游的RSTBPDU时，则向网管发出通知信息（如果是根端口则进入Discarding状态）。而阻塞端口则会一直保持在阻塞状态，不转发报文，从而不会在网络中形成环路。直到根端口收到RSTBPDU，端口状态才恢复正常到Forwarding状态。共享链路保护（MSTP保护功能）在交换设备双归属接入网络的组网中，当多个进程的共享链路故障时，可能会引起环路。当共享链路故障时，通过共享链路保护功能，使本设备的工作模式强制转换为RSTP，配合使用根保护功能，可以避免网络环路。接入层设计——STP保护机制（续）保护功能场景配置影响TC接入层设计——二层环网快速收敛设计RPR需要专用硬件，成本较高，不推荐使用。RRPP/SEP协议是专用于以太网的快速环保护协议，达到电信级倒换要求。与STP协议相比，RRPP/SEP协议有如下特点：拓扑收敛速度快，收敛时间最小可达50毫秒。收敛时间与环网上节点数无关，与网络规模无关。协议50ms内收敛非单独硬件支持支持环网支持任意拓扑xSTPX√√√RPR√X√XRRPP√√√XSEP√√√√通常STP协议可以满足二层破环的要求，但如果对链路切换时间要求比较高时，要求网络在50ms内快速收敛时，STP协议就不能满足了，此时就需要采用快速环