ONE NET园区网方案设计指南

ONENET园区网方案设计指南1ONE1ONENET园区网解决方案概述22园区网设计方法园区网设计方法33园区网络设计指南园区网络设计指南44园区网络安全设计指南园区网络安全设计指南小型园区大型园区终端用户数量200-1000汇聚接入交换机高端语音高端语音路由器APIPS/IDSAPIPS/IDSxPon体验终端/IT核心方案产品终端/IT核心方案产品PBX室外PON接入室外PON接入访客接入区访客接入区部门A部门B内部公共区域位置三层组网选型两层组网选型APACONEONENET园区网解决方案概述1园区网设计方法2园区网设计方法2园区网络设计指南3园区网络设计指南3园区网络安全设计指南4园区网络安全设计指南4园区网络设计方法2园区网络设计方法21122334455需求调研需求调研1.客户网络环境2.客户网络业务3.现网的痛点（若有）4.客户的期望需求分析根据调研结果进行分析，需求分析根据调研结果进行分析，内容至少包括：1.终端接入模式2.业务流量模型3.网络带宽/容量方案设计根据需求分析的结果进行方案设计：1.方案设计根据需求分析的结果进行方案设计：1.网络架构设计2.网络分层设计3.网络特性设计编号需求分类需求调研的主要内容调研的主要目的1网络环境了解网络的建设、部署和使用情况；明确是改造网络，还是新建网络？初步确定网络架构和设计方案。2网络痛点了解客户现有网络的痛点（针对网络改造升级场景或者对网络的期望。确定网络的建设要求和目标，初步确定网络需支持的特性。3网络业务了解网络中需要部署的业务及其特性，明确网络业务和流量模型。确定网络带宽和业务特性。4业务安全了解业务是否需要隔离以及隔离要求（若有了解网络安全建设要求。确定业务隔离和网络安全防护建设方案。5网络规模了解网络用户规模以及3～5年之间的增长态势。最终确定网络架构与设计方案。6终端类型了解终端类型及接入要求。确定网络接入方案。下面对这6个方面的需求调研内容逐一进行详细说明。需求编号主要调研内容需求分析指南散针对现网改造场景，了解现网的不足之处，即客户痛点，从而明确网络建设要求和目标。可从如下几方面入手：编号主要调研内容需求分析指南常用业务类型：办公ERP、email、上网？正常的办公业务对网络带宽要求不高，通常200Kbps左右，普通的网络接入基本上就能满足要求。关键业务类型：数据、VoIP、视频、桌面云？通常园区网属于局域网，基本不用考虑网络时延问题；部署VoIP、视频和桌面云时如果涉及到分支、城域或广域类型的连接时，则需要重点考虑网络时延问题。如果需要部署桌面云，则需要重点考虑网络的可靠性或可用性。如果有视频需求，则需要充分考虑带宽要求。部署VoIP时，是与PC共网络，还是独立？是否需要PoE供电？这涉及到交换机的数量和规格。有需要特别关注的业务？优先保障客户重点关注的业务，必要时进行QoS设计，保证客户体验。多播业务的类型如果有，需要设计相应的多播/组播方案。未来3～5年之内新增业务类型网络需要考虑3～5年内业务发展的可能性，实现业务平滑升级和扩容，避免资源浪费和不能满足使用。现网业务环境（若有）现网运行的主要网络协议、网络拓扑和设备类型、数量，了解现网网络质量及其对当前业务的支撑情况，供设计时参考。编号主要调研内容需求分析指南4.1业务安全：业务隔离与互通要求网络业务是否需要隔离？如何隔离，物理隔离还是逻辑隔离？如果采用物理隔离，则相当于同时建设多张网，分别按照独立的网络进行设计即可；如果采用逻辑隔离，则需要采用VLAN/VPN等技术进行隔离，一张网承载多种业务，虚拟成多个园区网。同时，还需要考虑不同业务之间是否存在互通要求。如果有，需要事先制定好互通策略和方案。4.2网络安全：外部安全防护主要需要考虑网络边界安全，需要部署防火墙、IPS/IDS、网络日志审计、防毒墙等安全设备。如果对网络安全要求比较高，比如需满足安全等级保护要求，则推荐采用独立的安全设备；否则，可以采用集成安全设备如UTM或安全增值业务插卡。4.3网络安全：内部安全防护主要用于防止网络内部用户导致的安全事故，可以推荐采用上网行为管理的软件或专用设备。4.4网络安全：终端安全防护包括终端接入安全以及终端安全检查，确定是否需要采用终端NAC方案。编号主要调研内容需求分析指南有线用户或接入点规模确定接入交换机的端口数量及密度，同时根据对业务的调研情况，初步确定大致的网络带宽需求。无线用户的规模（若有）初步确定AC的规格和AP的数量；在一些重点区域（如会议室）是否需要考虑高密度接入。现网情况及规格（若有）初步了解网络改造的工作量，确定网络升级方案，包括设备利旧、兼容性、平滑升级等方面的内容。3～5年后的网络规模，或最近几年的最高增长率网络设计要满足可扩展性要求，应当考虑园区网未来3~5年的发展需要，在设计时其网络接口、容量和带宽均需要有一定裕量，以便将来平滑扩容。网络规模既包括用户规模（即网络用户的数量或终端数量也包括业务规模（业务的类型、带宽、数量及其使用范围）。分支机构（若有）如有，则需要考虑分支与总部的联结方式。总部是否需要采用专线和互联网线路两类线路？是否需要线路备份？编号主要调研内容需求分析指南有线终端类：网络接入能力（网卡的接口速率）可以确定接入交换机的大致规格。无线终端类：•终端类型：笔记本电脑、智能手机、移动智能设备PAD，•无线接入能力：支持802.11abgn\ac\•AP供电方式：直接电源供电，还是交换机PoE供电？需要考虑支持的接入频段和模式。需要考虑接入认证模式。需要考虑是否采用有线无线统一认证。需要考虑是否允许访客接入以及访问区域。哑终端类：IP电话、网络打印机、IP摄像头等需要考虑此类终端的接入和认证方案。其他/特殊类型的终端：如工业控制机、现场测控仪等可能会影响接入交换机的选型，如工业园区/生产网可能会要求采用工业交换机、室外机构，可能会影响设备的供电方式。特殊的网络设备：如专用的网络加密设备、工业交换机等主要考虑兼容性，以及性能上的匹配，避免规格不一致。分层结构设计网络特性设计分层结构设计网络特性设计•树型•环型无线网络可靠性QoS…核心层汇聚层接入层安全性•三层•二层•单层需求分析网络架构设计编号需求分类1网络环境2网络痛点3网络业务4业务安全5网络规模6终端类型1)数字1.1表示需求分析编号为1.1的需求2)数字5.x表示需求分析中编号为第5大类的所有需求园区网可以提供各种各样的业务，包括但不限于：•数据：OA、email、FTP、ERP/MIS...•语音：PSTN、VoIP、IM、QQ、UC...•视频：视频会议、桌面云、智真…不同业务对网络的要求不一样。业务类型对网络的基本要求数据网络稳定可靠，不中断，不丢包。语音网络稳定可靠，时延和抖动小。视频网络稳定可靠，时延小，带宽大。园区网复杂多样的访问关系以及多种多样的业务类型必然要求园区网的设计要有良好的指导思想和设计原则。园区网设计过程中，应当遵循如下思想原则：①可靠性原则：园区网必须稳定可靠工作，业务永续。②可信任原则：网络必须安全、可信任。③可扩展原则：网络平滑升级和扩展，满足未来3～5年的发展规划④可管理原则：网络容易管理和维护，网络诊断和故障定位容易。⑤可运营原则：支持和方便部署新业务，如VoIP、UC（统一通信）、智真、桌面云等。⑥经济性原则：最大化ROI和降低TCO。ROI:ReturnonInvestment,投资回报设计原则含义客户价值层次化根据功能作用和定位，园区网络通常按照核心层、汇聚层与接入层等多个层次进行分层设计。化繁为简，使网络结构简单，简化网络部署，具有良好的稳定性、可扩展性，同时也方便网络管理。模块化从业务角度出发，分为园区出口、数据中心、DMZ、网络管理、分支、园区互联、出差员工和合作伙伴等功能分区或业务类别。提供灵活多变的访问和互联方式，满足不同业务需要，有利于实施差异化的业务控制。可靠性园区网稳定可靠，关键部位采用冗余或备份架构；发生故障时可以快速恢复。业务不中断，保证业务体验。安全性全网安全可信，具有完善的安全防护措施，防止恶意破坏，保护数据和网络安全。打造一个可信网络，保障网络和业务安全。设计原则含义客户价值可扩展性园区网可以适应不同业务部署和扩展需求，包括部署新业务以及网络平滑扩展等要求。充分发挥网络价值，减少重复投资，避免资源浪费。易管理全网多业务智能、主动和综合管理，实时分析网络健康状况，积极预防；故障发生时可以快速排除故障，减少损失。降低运维难度，提升客户体验。业务体验保证带宽和性能设计，QoS设计等。保证业务质量以及业务体验，让客户满意。特色或亮点体现根据客户的业务或需求，设计具有竞争力的方案。提高客户对我司的关注度和信任，让客户满意。GB/T15237术语学基本词汇GB2887计算机站场地技术条件GB50311建筑与建筑群综合布线系统工程设计规范GB50312建筑与建筑群综合布线系统工程验收规范GB/Z15629.1信息技术系统间远程通信和信息交换局域网和城域网特定要求第1部分：局域网标准综述GB15629.1101信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒体访问控制和物理层规范：5.8GHz频段高速物理层扩展规范GB15629.1103信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范GB15629.1104信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒体访问控制和物理层规范：2.4GHz频段更高数据速率扩展规范信息处理系统开放系统互连基本参考模型ISO/IECIS11801用户建筑综合布线EIA/TIA568A商业建筑电信布线标准EIA/TIA606商业建筑物电信基础结构管理标准EIA/TIA607商业建筑物接地和接线规范EIA/TIATSB-72集中式光纤布线系统标准EIA/TIATSB-75开放式办公布线系统标准ANSIFDDI光纤分布式数据接口高速局域网标准ANSITPDDI铜线分布式数据接口高速局域网标准CSAM/CD接口方式IEEE802.3u100Base规范IEEE802.3z1000Base-X(GBIC)规范IEEE802.3ae10G规范IEEE802.11...无线局域网相关的一系列标准GA38-92中华人民共和国公共安全行业标准GA/T394出入口控制系统技术要求YD/T5037公用计算机互联网工程设计规范YD/T5050公用计算机互联网工程验收规范JGJ/T1692民用建筑电气设计规范其他标准或协议文档描述AStandardfortheTransmissionofIPDatagramsoverEthernetNetworksAStandardfortheTransmissionofIPDatagramsoverIEEE802NetworksInternetNumbersAddressAllocationforPrivateInternetsVLANAggregationforEfficientIPAddressAllocation......以上相关标准和规范中如有内容不一致之处，推荐按如下优先级顺序使用：①国家标准、规范②部颁标准、规范③国际标准、规范④行业标准、规范⑤地方标准、规范⑥制造商的标准、规范ONEONENET园区网解决方案概述1园区网设计方法2园区网设计方法2园区网网络设计指南3园区网网络设计指南3园区网网络安全设计指南4园区网网络安全设计指南4园区网网络设计指南3园区网网络设计指南31122334455图1树型架构根据核心交换节点的数量，园区网从逻辑结构上分为单核心和多核心两种架构。单核心架构即树型架构，只有一个核心交换节点；多核心架构存在多个核心交换节点，主要包括网状架构和环型架构，其中环型架构应用相对较多一些。图3环型架构图3环型架构架构类型架构描述优点缺点适用场景树型架构逻辑上只有一个交换核心。可扩展性强，增加节点容易。对设备和线路的要求相对较高，核心节点容易形成瓶颈，对其性能和可靠性要求较高。结构相对简单。网状架构逻辑上存在多个交换核心，相互之间可以全互联或部分互联。节点之间转发效率高，网络可靠性高，具有很强容错能力，每台设备有至少两条出口条线路。环型架构逻辑上存在多个交换核心，仅相邻两点互连，所有节点成环型连接。节点之间转发效率相对较高；可靠性较高，具有容错功能，每台设备具有两条线路。或者因为地域因素各区域相隔比较远）存在多个核心交换中心。……园区网结构相对比较简单，通常推荐采用树型架构，容易部署和管理；同时可以进一步简化网络结构，可扩展性强；此外，为保证网络可靠性，可以在网络关键位置采用冗余备份措施。树型网络架构通常采用分层结构，分为三个层次：•核心层：是园区网骨干，是园区数据交换的核心，联接园区网的各个组成部分，如数据中心、管理中心、园区出口等•汇聚层：处于园区网的中间层次，完成数据汇聚或交换的功能，可以提供一些关键的网络基本功能，如路由、QoS、安全等。•接入层：为终端用户提供园区网接入功能，是园区网的边界。每个层可以看作为是园区网内一个具有特定角色和功能的、结构定义良好的模块。除此之外，大多数园区还需要有一个网络出口区，用于与外部网络连接。……分层树型架构的优点：层次化设计：核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和维护。模块化设计：每个对应模块一个部门或功能、业务区域，部门或区域内部调整涉及范围小，定位问题容易。冗余性设计：双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护。对称性设计：网络的对称性便于业务部署，拓扑直观，便于协议设计和分析。从理论上讲，分层树型架构的层次可以任意多，但在大多数情况下，3个层次就足够了，这样，可以更好地控制网络规模和网络质量，同时也方便网络管理和维护。网络层次推荐最多3层！网络层次推荐最多3层！树型架构在实际应用中可以根据网络规格或业务需要灵活划分或调整，具体又可以分为三层、二层、单层等多种结构类型。（注：为方便说明，下图未采用冗余对称结构）。区域1…区域1…三层结构二层结构单层结构采用分层的树型架构时，可以根据网络规模大小或业务的需求，选择采用三层、二层、单层等多种类型的架构。园区网比较常用的是三层和二层结构，适用于普通的大中型园区，单层结构仅用于网络规模非常小的微小型园区或分支。园区类型架构类型选型说明场景示例大型园区三层结构用户规模比较大，通常超过1000人，或者部门或网络区域数量众多。大型科技园区或工业园区中型园区三层或二层结构用户规模不是很大，通常在100～1000人之间，业务部门比较多、业务控制关系复杂时采用三层架构，否则可以采用二层架构。单个中小型企业的园区、中小型分支机构小型园区二层或单层结构网络用户规模比较小，通常不超过100人。微小型企业、SOHO型企业、小型分支机构在大型园区中，通常以楼宇为单位进行网络建设。整个园区设置一个核心交换区（即核心层）。每栋楼宇可以按照二层树型结构建设，即每栋楼作为一个独立的汇聚点。大型园区采用这种树型架构时，可以实现同一楼宇内的数据交换就在本楼宇内部完成，不同楼宇的数据交换通过核心层完成。不同楼宇之间的通信流量同一楼宇内部的通信流量中型园区通常采用二层结构，如图1所示，根据网络规模和业务需要，也可以采用三层结构，如图2所示。当网络接入点比较多，需要设置多个汇聚点时，可以采用三层结构。如新建办公大楼，每层一个弱电间，可以作为一个汇聚点，整栋楼采用三层结构，设置一个核心层。当有不同的业务隔离要求时，如部门之间相互隔离，需要为每类业务或部门单独设置一个汇聚点时，可以采用三层结构。园区网无论采用树型架构、网状架构，还是环型架构，其内部结构层次均可能采用三层、二层，甚至单层。如何来决定采用的具体结构层次，判断标准主要有两条（对应两种选型方法）：1)网络规模（自底向上法）：即网络接入点或用户的数量2)业务需求（自顶向下法主要体现在业务是否需要网络隔离以及如何隔离。上述两条标准或方法在实际工作中均同时采用，相互印证或补充；当两种方法的判断结果不相同时，采取就高不就低的原则，选择层数最多的结果作为统一的最终结果。例如：根据网络规模来判断，适合采用二层结构；但根据业务需求来判断，需要采用三层结构，则最终结果为：园区网应采用三层结构。二层结构三层结构网络接入规模二层结构三层结构网络接入规模三层结构业务需求分析三层结构业务需求分析判断原则：就高不就低根据网络规模来决定树型架构的层次确定接入端口数量选择接入交换机计算接入交换机的数量↓↓选择接入交换机计算接入交换机的数量↓数量>1数量＝【网络接入规模/接入交换机的下行端口数量>1数量＝【网络接入规模/接入交换机的下行端口采用单层结构采用单层结构选择汇聚交换机选择汇聚交换机计算接入交换机的上行线路数量计算接入交换机的上行线路数量方法：根据接入交换机的上行端口速率选择汇聚 计算汇聚交换机的数量↓数量>1方法1：数量＝【网络带宽/接入交换机上行端口速率】； 计算汇聚交换机的数量↓数量>1方法1：数量＝【网络带宽/接入交换机上行端口速率】；方法2：数量＝【网络接入规模×接入端口速率×带宽收敛比/接入数量＝【接入交换机上行线路数量/汇聚交换机下行端口数量＝【接入交换机上行线路数量/汇聚交换机下行端口采用三层结构采用三层结构采用二层结构采用二层结构适用场景：当园区网的多种业务需要进行网络隔离时，可以直接确定采用三层结构，实现物理隔离。示例场景：公司有研发、生产、财务、人力等多家部门，各部门之间需要进行网络隔离，要求各部门数据不能直接进行二层访问。网络解决方案：由于有多个部门需要隔离，每个部门形成一个独立的汇聚区域，部门内部可以二层互通，不同部门之间不能直接互通（可以通过核心层互通，二层或三层均可）。对于大型或超大型园区，网络在逻辑结构上存在多个交换核心，多核心之间存在多种互联解决方案：①全互联架构(全网状架构)：如图1所示，所有核心两两互联。②部分互联架构（部分网状架构如图2所示，核心均联结到同一个或多个（非全部）核心上（所有核心均在同一个层次）。③改进的星型架构：如图3所示，增加一个新的核心交换节点，形成双层核心架构。④环型架构：如图4所示，相邻的节点互联，整体成环。图2部分互联架构图3改进的星型架构图4环型架构全互联架构各核心之间全互联，交换效率比较高，可靠性高。线路和接口资源，可扩展性差，管理复杂。对转发性能要求非常高的场景，适用于高端用户，如大型ISP/IDC。部分互联架构只有部分核心两两互联，节省线路资源，可扩展性好。容易形成性能瓶颈，转发效率和可靠性有所降低，对核心的性能要求非常高。普通园区，低成本建设要求，核心之间的数据量不大。改进星型架构各核心之间连接关系和网络结构简单，便于管需增加新的核心设备，同时对新核心设备的要对网络管理与转发效率都比较关注的换效率。环型架构节省线路和设备接口资靠性较高。核心之间可能需要多次转发，导致转发效率稍低。可扩展性较差各核心之间数据交换量比较平均，低投资成本。园区网采用环型架构时，节点内部按照树型架构进行设计；节点之间通过核心层进行互联访问，既可以采用二层互联方式，也可以采用三层互联方式，推荐采用三层互联方式。园区网采用环型架构时，节点内部按照树型架构进行设计；节点之间通过核心层进行互联访问，既可以采用二层互联方式，也可以采用三层互联方式，推荐采用三层互联方式。等）。等）。）；不同楼宇之间的通信流量同一楼宇内部的通信流量环型架构在园区中应用相对较少，除了增加核心互联功能外，其内部结构仍可按树型架构设计不同楼宇之间的通信流量同一楼宇内部的通信流量1)改进星型互联当园区网需要进行多核心互联时，首先可以考虑采用改进型的星型架构；如果受投资成本以及环境条件限制（如线路资源有限）时，可以推荐采用环型架构。环型架构的可扩展性和管理性相对星型架构要差一些，只在一些特殊场景推荐使用，通常要满足以下所有条件时才推荐采用环型架构：①楼宇之间存在大量的数据交换，各楼宇具有同等重要的作用；②采用星型架构时容易形成性能瓶颈；③楼宇之间不能采用全互联方式。园区网网络设计指南13园区网网络设计指南13分层设计方法接入层设计汇聚层设计分层设计方法接入层设计汇聚层设计核心层设计出口区设计网关设计配置计算示例2334455自顶向下设计…不推荐自底向上设自顶向下设计…不推荐自底向上设计推荐推荐对园区网进行分层设计有助于降低设计的复杂度和难度。采用分层设计方法是指采用模块化和层次化技术分别设计每一层，同时根据对流量负载、流量和网络或用户行为的分析来规划层与层之间的互连。分层设计可以采用自顶向下或自底向上两种设计思路。从工程实现的角度出发，自底向上设计法更贴近客户需求，其可操作性更强一些、设计风险更小一些，因此，推荐采用自底向上设计法，即先设计接入层，然后设计汇聚层，接下来设计核心层和出口区。影响或制约影响或制约……分层设计并不是将园区网各层分开独立设计，而是为了提高设计的可靠性和可行性才分开设计的。当为每层选择所使用的技术时，需要综合考虑本层设计对其它层次的的影响和制约，或者其它层对本层设计的影响或制约。网络设计是一个不断重复、审视和完善的过程，最终方案必须综合考虑所有层次之间的相互影响或制约关系。园区网设计涉及到因素比较多，除了商业上和技术上的因素外，可能还需要考虑一些其它因素（如机房空间、环境因素、兼容和利旧因此，设计园区网络时必须要有系统和全局的观点。网络设计是一个不断重复、网络设计是一个不断重复、审视、完善的系统过程。结构分层功能分区主要流量模型结构分层功能分区主要流量模型园区网网络设计指南13园区网网络设计指南13分层设计方法接入层设计汇聚层设计核心层设计分层设计方法接入层设计汇聚层设计核心层设计出口区设计网关设计配置计算示例2334455……接入层作为园区网的边界，为用户提供各种接入方式，是PC终端、网络摄像机、打印机、IP电话等设备接入网络的第一层，因此，满足各方面的接入要求是接入层的首要任务。同时，接入层也需要对网络提供保护，防止未经授权的用户和应用进入网络，因此，接入层需要在安全性和可用性方面提供适当的平衡。……接入层作为园区网的内部边界，主要提供接入功能，除了可能需要高密度端口以支持更多的终端接入园区网络外，可能还需要部署丰富的二层或三层接入特性，同时还需要考虑或部署安全性、可靠性等网络特性。接入层的设计要点主要包括：•架构设计——接入层网络设备的工作模式、堆叠方案•组网设计——上下行链路端口速率、端口密度、链路数量、线路类型、组网方式、可靠性设计等•设备选型——选型指标及设备推荐编号需求分类1网络环境2网络痛点3网络业务4业务安全5网络规模6终端类型需求分析需求分析设计要素设计要素•组网方式•设备选型设计原则：1.满足不同接入要求，可能包括：•不同类型终端的接入•不同接口速率的接入•对网络质量的不同要求的接入•其他一些要求，如PoE供电…2.适度考虑扩展性3.提供相应的安全特性4.简化网络部署和管理设计要点1终端接入方式主要是指终端接入的线路类型以及终端供电方式，这需要根据需求1.2、2.4、5.1、5.2、6.x等的分析结果来确定。明确终端的接入方式后，也就相应地确定了接入交换机的端口速率及下行链路类型等参数。2接入规模及可扩展性要求即终端或网络用户的数量，以及网络扩展性的要求，从而确定接入交换机的数量及其端口密度。接入层的扩展性主要考虑满足当前接入数量即可。3交换机的工作方式当交换机的数量较多时，各交换机之间是否存在相互协同或制约关系。4上行组网方式即接入层如何与汇聚层进行层间互联，包括链路类型以组网方式。5可靠性要求可靠性对交换机的工作方式及及上行组网方式均有相应的要求，高可靠性通常需要通过冗余设备和冗余链路来实现。6业务体验保证总体上是指接入层要满足园区网的接入要求，实际通常是指接入交换机的端口速率与终端网卡速率匹配，网络收敛比合理，接入层上行带宽满足业务质量要求。通常接入层会有多台交换机。当接入层交换机数量较多时，需要考虑各台交换机之间是否需要协同；因此，接入层交换机可以有两种工作模式：独立模式和堆叠模式工作模式独立模式堆叠模式模式描述各交换机独立工作，相互之间不存在依赖或协同关系。交换机采用堆叠方式，各交换机相互协同，逻辑上形成一台设备。优点•设备独立工作，节点故障互不影响，扩容方便。•兼容性好，不同类型设置可以共存。•对设备要求不高，支持标准协议即可。•降低管理复杂度，适合大规模部署。•采用双归上行时可以避免链路单点故障。•可以节省上行线路资源。缺点•可靠性相对较低，容易存在单点故障。•管理复杂度随设备数量的增加而增加，不适用于大规模部署。•需要增加设备之间的连接线路。•对设备一致性要求高，兼容性较差。•增加设备和节点难度大，故障维护难度增加，需要有效的失效检测机制。应用场景普通小规模园区大中型园区、新建网络盒式交换机采用iStack堆叠时，有如下两种连接形态，推荐采用环形连接。链形连接链形连接环形连接连接方式描述使用堆叠电缆将一台设备的左口（右口）和另一台设备的右口（左口）连接起来，依次类推，第一台设备的右口（左口）和最后一台设备的左口（右口）没有连接堆叠电缆。将链形连接第一台设备的右口（左口）和最后一台设备的左口（右口）连接起来。优点组网简单，管理简单。可靠性较高，当环形链路中出现一条链路故障时，堆叠系统仍能够保持正常工作缺点当链形链路中出现一条链路故障时，会引起堆叠分裂。需要多增加一条堆叠连接线路接入层采用iStack堆叠时，根据堆叠连接所采用的端口类型，分为如下两种堆叠方式：堆叠方式堆叠卡堆叠业务口堆叠方式描述堆叠组内各交换机使用专用的堆叠卡、配以堆叠专用线缆实现互联。堆叠组内各交换机使用标准的业务口和线缆实现互联。优点•不占用业务口，节省端口资源。•高速、稳定、可靠性强。•无需采购额外部件。•支持长距堆叠、ETH-Trunk。典型产品S5700S3700可供选择的下行端口速率：接入层下行链路是指终端接入接入层交换机的线路类型，通常只要和终端网卡的速率匹配即可。通常有如下几种途径来决定链路类型：①直接根据终端网卡速率来决定接入交换机的下行端口速率。比如：如果终端全是百兆网卡，则可以采用端口支持百兆或百兆自适应的接入交换机，如S2700或S3700。②根据业务带宽来确定接入交换机的端口速率。这需要详细分析用户的业务类型及其带宽需求，比如，媒体行业用户存在同时传送多路高清视频的需求，则其接入交换机可能需要千兆接入端口。通常情况下可以采用第一种方法来选择交换机。第二种方法适用于新建网络（包括新购终端)时使用。第二种方法的难点在于对业务及其带宽需求的真实识别。除了线路类型外，还需要考虑线路长度。通常终端到接入交换机的距离不是很远，小于100米时推荐采用UTP电缆，大于100米时则需要考虑采用光纤连接。可供选择的上行可供选择的上行端口速率：上行链路是指接入层到汇聚层的链路。上行链路设计主要考虑链路类型（即上行接口速率/带宽/线路类型）、数量及上行组网方式，基本原则是：在满足速率/带宽/可靠性要求的情况下尽量减少线路数量。具体包括如下内容：（一）确定上行接口速度一般情况下根据下行端口速率和端口密度就可以确定接入交换机的型号，相应地其上行接口速率也就随之确定；如果存在多种上行接口速率，优择上行接口速率较高的型号。（二）确定上行线路类型上行链路的线路类型主要是指采用电缆线路或光纤线路，通常需要根据线路介质类型、传输速率、线路标准、传输距离等多种因素进行选择。如表1所示，不同传输速率、传输介质和标准的线缆，其传输的距离不同。表1不同速率和标准的线路及其传输距离对照参考表(部分数据，仅供参考)接入层线路选择的简要对应关系如表2所示。当采用光纤连接时，需要考虑光纤的传输模式。多模光纤适用于近距离（约几百米）传输，单模光纤适用于长远、高速传输。同时，如果光纤资源紧缺，可以考虑采用单纤双向光模块，用一根光纤传输双向信号。（三）上行带宽与上行链路数量计算确定交换机型号之后，需要确定每台交换机的上行带宽和链路数量。通常每台交换机至少有一条上行链路，如果单条链路不能满足上行带宽要求时，则需要采条多条上行链路。有些情况下，为了提高链路可靠性，交换机也需要采用多条链路上行，在此暂不考虑这种场景。接入层的上行带宽和上行链路数量计算方法有多种，可以综合使用，推荐如下两种方法：①业务分析方法：即对园区网中所有网络业务所需的最大带宽进行分析和计算，由此确定上行带宽和链路数量。这是一种自顶向下的分析方法，要求对园区网络业务非常了解。采用此法时，通常可以假定业务无阻塞，即网络收敛比为1：1。②网络收敛比法：即根据接入到汇聚的网络收敛比进行计算，此法属于自底向上的分析方法。网络收敛比是此法的关键点，可以根据客户要求来确定，或者参考行业经验值（通常在4～20之间）。下面对这两种方法进行详细介绍（假定所有交换机是同一型号，其配置完全相同）。此法假设网络业务无阻塞（否则需要考虑网络收敛比，需要结合第二种方法)，通过分析每个用户所需的最大网络带宽来计算接入层上行带宽和每台交换机上行链路数量，如下：•接入层上行带宽＝单用户最大带宽×网络接入规模•交换机数量＝【网络接入规模/单台交换机下行端口数量】•单台交换机上行链路数量＝【上行带宽/交换机数量/交换机上行端口速率】注：注：2)上述两种方法均与实际情况有一定的误差，供参考。在确定交换机型号后可以根据网络收敛比要求来确定交换机上行链路数量：•单台交换机上行带宽＝【单台交换机下行端口总数×端口速率/网络收敛比】•单台交换机上行链路数量＝【单台交换机上行带宽/交换机上行端口速率】随着多媒体业务的逐渐深入，园区网接入层的带宽要求增长迅速，推荐接入到汇聚之间的上行链路采用10Gbps线路，即万兆到汇聚，以提供高性能、无阻塞的网络服务。采用万兆上行线路有如下收益：•增加吞吐量——物理端口的带宽容量提升10倍，可以有效避免上行带宽不足的风险。•高性能——将数据复用到一条高速链路而不是多条低速链路上可以加速应用性能。•降低TCO——降低交换机每端口的成本，同时可减少线路连接的额外开支。•简化设计——只需要管理、运行和维护一条高速链路即可，从而代替多条线路捆绑上行。多条低速线路捆绑万兆上行根据接入层设备的工作模式和汇聚层设备的数量以及其它要求（如可靠性接入层可以有多种上行组网方式，分别适用于不同场景的需要。组网方式对比项目适用场景可靠性建设成本网络结构全互联上行高高复杂接入层堆叠、对可靠性要求非常高的场景。口字型上行较高较高较复杂接入层堆叠、对可靠性要求较高的场景。双归上行高高较复杂汇聚层有多台设备，对可靠性要求非常高的场景。单上行低低简单汇聚层只有一台设备，如小型园区Trunk/LAG双归上行接入层可靠性设计主要包括两个方面：•设备可靠性：要求设备具有电信级可靠性99.999%，支持双电源接入，支持双风扇等。•链路可靠性：体现在链路设计以及组网形态上，通常采用多链路上行，包括Trunk/LAG技术、双归上行等。下面主要介绍链路可靠性相关技术。•Trunk是一种捆绑技术，将多个物理接口捆绑成一个逻辑接口。将若干条物理链路捆绑在一起所形成的逻辑链路称之为链路聚合组（LAG）或者Trunk。Trunk技术可以实现增加带宽、提高可靠性和负载分担的功能。•双归上行是指一台下级设备同时接入到两台不同的上级设备上，当其中一条链路故障时，另一条链路可以正常工作，保证上下级设备之间的链路不中断。SwitchASwitchASwitchBGE0/0/1GE0/0/1Trunk接口的特性交换机系列支持二层转发和三层转发（单播及组播）全系列支持使用HASH算法进行流的负载分担支持基于Trunk接口的QoSS5700S6700S7700S9700支持基于物理接口的QoS，不支持基于逻辑接口的QoSS2700S3700支持绑定VPN实例S7700S9700支持热备份和热插拔支持不同接口板上的接口加入到同一个Eth-TrunkTrunk接口的分类•Eth-Trunk：只能由以太网链路构成。•IP-Trunk：只能由POS链路构成。Trunk接口的约束条件①物理接口的物理参数必须一致，包括数量、速率、双工方式、流控方式。②必须保证数据的有序性。Trunk成员接口备份为提高Trunk接口的可靠性，可以为成员接口配置备份接口。如果成员接口故障，使用同一Trunk接口中处于Up状态的其他接口作为备份接口承载故障接口上的流量。成员接口备份称为组内备份，也可称为组内快速倒换。说明：Trunk成员接口备份只适用于静态LACP模式的Eth-Trunk接口。Trunk接口的负载分担•目前支持的负载分担方式为逐流负载分担。•逐流负载分担能保证包的顺序，但不能保证带宽利用率。Eth-Trunk的速率在二层模式下，Eth-Trunk的速率由以下两个条件决定：•Up链路上限阈值。•Trunk中状态为Up的端口的数目。S2700S2700、S3700、S5700LI和S5700S-LI不支持E-Trunk，其余系列交换机支持E-•E-Trunk（EnhancedTrunk）是一种实现跨设备链路聚合的机制，基于LACP（单台设备链路聚合的标准）进行了扩展，能够实现多台设备间的链路聚合，从而把链路可靠性从单板级提高到了设备级。•E-Trunk机制主要应用于接入层双归接入汇聚层时，接入层到汇聚层的链路保护以及对汇聚层设备节点故障的保护。在没有使用E-Trunk前，接入层通过Eth-Trunk链路只能单归到一台汇聚层设备。如果Eth-Trunk出现故障或者汇聚层设备故障，接入层将无法与汇聚层设备继续进行通信。使用E-Trunk后，接入层可以双归到汇聚层上，从而实现设备间保护。E-Trunk的约束条件为了能够提高接入层与汇聚层之间链路的可靠性，使得接入层直连汇聚层的链路能够自动切换，必须保证汇聚层交换机上E-Trunk的配置一致，而且必须遵循以下规则，如图所示。•SW1与SW3直连的Eth-Trunk，与SW2与SW3直连的Eth-Trunk的工作速率和双工模式必须相同，即保证key值相同，且必须加入ID相同的E-Trunk。•汇聚层两台设备所指定的地址互为对端和本端IP地址，保证三层可达即可，建议使用环回口地址。•必须配置E-Trunk与BFD会话绑定。•汇聚层两台设备上设置的报文密码（可配）必须相同。(续上页)•只有静态LACP模式的Eth-Trunk才能加入E-Trunk。•静态LACP模式Eth-Trunk加入E-Trunk后，其工作模式就不可修改。•一个Eth-Trunk只能加入一个E-Trunk。如果该Eth-Trunk已经加入其他E-Trunk时，必须退出原有E-Trunk，才能加入新的E-Trunk。LACP优先级、系统ID都必须一致。•一台设备上最多创建16个E-Trunk。一个E-Trunk最多可以加入64个静态LACP模式的Eth-Trunk。为提高接入层链路可靠性，可以采用双归上行组网方式，同一台接入交换机分别接入不同的汇聚层设备。采用双归上行时，必然存在环路问题。当接入层与汇聚层之间采用二层接入时，需要部署二层破环协议。二层破环协议主要有：•xSTP：STP/MSTP/RSTP双归上行引起环路问题示意图其中，RRPP、SEP是华为公司自主知识产权协议。•生成树协议适用于任何形式的二层网络。协议是否快速收敛是否支持多实例特点应用场景XX形成一棵无环路的树：解决广播风暴并实现冗余备份。无需区分用户或业务流量，所有VLAN共享一棵生成树。适用于收敛时间要求不高的二层网络。√X•形成一棵无环路的树：解决广播风暴并实现冗余备份。•收敛速度快。适用于收敛时间要求高的单环、相切环、相交环。√√•形成一棵无环路的树：解决广播风暴并实现冗余备份。•收敛速度快。•多棵生成树在VLAN间实现负载均衡，不同VLAN的流量按照不同的路径转发。需要区分用户或业务流量，并实现负载分担。不同的VLAN通过不同的生成树转发流量，每棵生成树之间相互独立。适用于收敛时间要求高的二层网络。针对存在的三种STP协议，需要进行如下考虑：•一些比较老的交换机可能不支持RSTP或者MSTP，在有这些设备存在的网络中，就现实情况而言，还是应该启用STP协议。如果资金允许，可以将不支持RSTP或MSTP的设备换掉，因为采用RSTP、MSTP可以提升网络的性能。•在设备都支持RSTP协议的情况下，当网络中仅存在一个VLAN时，建议采用RSTP，这样可以充分发挥RSTP的优势，加速网络的收敛。另外，如果网络中存在多个VLAN，并且各个VLAN在拓扑上保持一致，也就是说在Trunk链路上各个VLAN的配置相同，也建议使用RSTP。•基于上一条描述的条件，当网络中存在多个VLAN，但是他们在Trunk链路上的配置并不一致时，就需要采用MSTP启用多个生成树实例。•若当前交换设备既支持STP又支持RSTP，建议选择使用RSTP。•若当前交换设备既支持STP/RSTP又支持MSTP，建议选择使用MSTP。在园区网中启用MSTP可以避免人为形成环路所造成的广播风暴，同时实现负载均衡。风险或问题：可能会遇到蓄意攻击导致STP计算错误。拓扑频繁变化产生大量TC报文导致交换机频繁删除MAC地址，造成未知单播报文的泛滥等问题。意外接入网络的交换机也可能影响整个网络的STP稳定性。解决方案：STP保护机制：BPDU保护、Root保护、TC保护、环路保护、共享链路保护。保护功能场景配置影响BPDU保护边缘端口在收到BPDU以后端口状态将变为非边缘端口，此时就会造成生成树的重新计算，如果攻击者伪造配置消息恶意攻击交换设备，就会引起网络震荡。交换设备上启动了BPDU保护功能后，如果边缘端口收到RSTBPDU，边缘端口将被shutdown，但是边缘端口属性不变，同时通知网管系统。定时器到期后设备只对其统一处理一次。这样可以避免频繁的删到正常的Forwarding状态。 SEP通常STP协议可以满足二层破环的要求，但如果对链路切换时间要求比较高时，要求网络在50ms内快速收敛时，STP协议就不能满足了，此时就需要采用快速环网协议了。X√√√√X√X√√√X√√√√•RPR需要专用硬件，成本较高，不推荐使用。•RRPP/SEP协议是专用于以太网的快速环保护协议，达到电信级倒换要求。与STP协议相比，RRPP/SEP协议有如下特点：拓扑收敛速度快，收敛时间最小可达50毫秒。收敛时间与环网上节点数无关，与网络规模无关。RRPP是一个专门应用于以太网环的链路层协议。RRPP支持的端口类型支持接口类型描述传统以太网接口传统以太网电接口支持接口类型描述传统以太网接口传统以太网电接口快速以太网接口GE接口千兆以太网GE接口xGE(xGigabitEthernet)GE接口万兆以太网GE接口Eth-Trunk接口包括FETrunk、GETrunk•收敛时间与环网上节点数无关，可应用于网络直径较大的网络。•在以太网环完整时能够防止数据环路引起的广播风暴。•当以太网环上一条链路断开时能迅速启用备份链路以恢复环网上各个节点之间的通信通路。•成本低。说明：S9700、S7700的RRPP版本分为华为版本和国标版本，其中华为版本支持了一些华为的私有协议。国标版本主要提供给中国境内用户使用，其他用户可以根据需要采用华为版本。图1单环应用组网图图3RRPP与STP混合组网图图2RRPP相交环应用场景图图4RRPP多实例组网图图1RRPP多实例相交环图2RRPP多实例相切环SEP园区接入层目前主要依靠MSTP或RRPP来实现二层组网可靠性，但均存在不足：•依赖标准的xSTP协议，业务收敛速度慢，通常在秒级；•RRPP协议报文采用硬件广播转发，收敛速度快，但同时要求环上必须全是同一家厂商的产品。•SEP支持各种类型的复杂组网，例如：支持与STP、RSTP、MSTP、RRPP协议混合组网，支持任意拓扑且支持拓扑查看，可快速找出阻塞端口。•SEP支持多种阻塞端口选择策略，灵活实现流量负载分担，收敛时间在50ms以内。•多厂家设备共存、扩容无障碍：可采用半环方案，不受限于环上都是同一厂家设备、破除现网封闭组网限制•优化提升现网收敛速度：SEP通过标准协议向STP通知拓扑变化，优化流量路径，使现网MSTP及时收敛。主边缘端口（PrimaryEdgePort）副边缘端口（SecondaryEdgePort）阻塞端口（BlockPort）故障之前的正常数据流向故障之后的数据流向图1未部署SEP半环保护图2部署SEP半环保护（发生故障时）图3部署SEP半环保护（发生故障之后）SEP可以支持复杂拓扑模型，是华为公司目前主推的快速环网保护协议。SEP开放环组网图SEP封闭环组网图SEP多环组网图SEP+MSTP混合环组网图SEP+RRPP混合环组网图SEP多实例组网图网络发送mac-withdraw报文。SmartLink（灵活链路，又称为备份链路）是一种为链路双上行提供可靠高效的链路备份、负载分担和快速切换机制的解决方案，常用于双上行组网。•相比生成树协议STP，SmartLink技术提供更高的收敛性能，•相比RRPP和SEP，SmartLink技术提供更简洁的配置使用方式。SmartLink可以在二层也可以在三层组网中使用，通常在园区网接入交换机和汇聚交换机之间使用。SmartLink技术有以下技术优点：•能够实现在双上行组网的两条链路正常情况下，只有一条处于连通状态，而另一条处于阻塞状态，从而防止了环路引起的广播风暴。•当主用链路发生故障后，流量会在毫秒级的时间内迅速切换到备用链路上，保证了数据的正常转发。•配置简单，便于用户操作。SmartLink负载分担传统SmartLink的一个缺点，非Active链路不承载任何用户业务数据，所有这些流量都必须经由Active链路承载，导致带宽利用率非常低。如图所示，缺省情况下，所有报文都通过SwitchD的GE0/0/1接口走Active链路进行传输。为了提高带宽的利用率，可以通过配置SmartLink负载分担，让部分VLAN的数据通过SwitchD的GE0/0/2接口进行传输。可以将VLAN100～VLAN200配置为一个实例，在SmartLink组中对实例进行负载分担，VLAN100～VLAN200报文通过备用链路转发，其它VLAN的报文通过主用链路转发。SmartLink与MonitorLink联动，用于监控上行链路，防止其长时间故障而出现流量丢失，增强可靠性。•DLDP能够检测光纤或者铜质双绞线（例如超五类双绞线）的链路状态。如果发现存在单向链路，DLDP协议会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。•DLDP主要针对线路两端接口工作在非自动协商模式的情况，线路两端的设备必须都支持DLDP功能才可以实现单向链路检测。DLDP功能不能在子接口和三层接口上配置。•DLDP能够和RRPP、SmartLink等保护协议联动实现单通保护倒换。当接入层采用堆叠时，根据汇聚层多台设备的的工作模式，可以采用如下两种组网方式。•当汇聚层采用iStack/CSS堆叠时，推荐采用无环组网方式。•当汇聚层设备不支持堆叠，支持Trunk/E-Trunk时，可以采用Trunk技术。无环组网方式Trunk技术当接入层与汇聚层之间采用三层接入时，仍然可以利用Trunk技术以及多线路上行组网方式提高线路的可靠性，仍然会存在环路问题。三层环路或多路径问题可以充分利用三层路由相关技术，如ECMP/UCMP、BFD、FRR等功能快速检测故障，保证链路故障、设备故障时快速切换，同时也能够充分利用冗余链路。50msCBCBAUCMP是指如果到达目的地有多条带宽不同，但优先级相同的等价物理链路UCMP是指如果到达目的地有多条带宽不同，但优先级相同的等价物理链路，则流量会根据带宽按比例分担到每条链路上。这样所有链路可根据带宽不同而分担不同比例的流量，使流量转发更合理。①使能接口UCMP后，则不能再使能全局UCMP；同理，全局UCMP使能后则无法再使能接口UCMP。推荐使用全局UCMP。②基于接口的UCMP给接口板下发的带宽精度为Mbit/s，主要是支持高速链路。全局UCMP由于涉及低速接口，使用Mbit/s为单位不能满足所有情况，所以采用以Kbit/s为单位的带宽。UCMP类型支持的接口类型基于接口的UCMP•GigabitEthernet全局UCMP•GigabitEthernet•ETH-TRUNK•BFD用于快速检测系统之间的通信故障，并在出现故障时通知上层应用。具体来说，BFD对系统间的、同一路径上的一种数据协议的连通性进行检测，这条路径可以是物理链路或逻辑链路，包括隧道。•BFD的目标：对相邻转发引擎之间的通道提供轻负荷、快速故障检测。这些故障包括接口、数据链路，甚至有可能是转发引擎本身。这一机制对所有类型的介质、协议层进行检测，实现全网统一的检测机制。BFD类型•BFDforVRRP•组播BFDBFD检测的链路类型备注•二层Eth-Trunk链路•二层Eth-Trunk成员链路检测Trunk成员口与检测Trunk口的BFD会话互相独立，可同时检测。VLANIF•VLAN以太成员链路•VLANIF接口检测VLANIF与检测VLAN成员口的BFD会话相互相独立，可同时检测。静态配置方式下，BFD能够检测的LSP类型有：•静态LSP•TE：Tunnel、与Tunnel绑定的静态CR-LSP和RSVPCR-LSP。动态配置方式下，BFD检测的LSP类型有:•TE：与Tunnel绑定的静态CR-LSP和RSVPCR-LSP动态BFD不支持检测整条TE隧道。层或链路层检测到故障时将故障消息上报上层路由系统，并立即使用一条备份链路转发报文。FRR的分类根据应用的位置不同公网IPFRR：用于保护公网交换机，适用于对于丢包、延时非常敏感的业务私网IPFRR：用于保护CE交换机VPNFRR：用于保护PE交换机IPFRR的典型应用如图1所示，网络中通过部署IPFRR来增强可靠性。其中CE1双归到PE1和PE2，并配置私网备份出接口和备份下一跳，使链路B为链路A的备份，链路A出现故障时可以快速切换到链路B上。线路类型可靠性技术适用场景二层链路Trunk/LAG多条链路单归上行跨设备双归上行二层环网协议xSTP/RRPP/SEP双归上行SmartLink/MonitorLink双归上行iStack/CSS+LAG无环以太网技术接入层与汇聚层均堆叠三层线路ECMP/UCMP三层多路径接入时多种线路和协议线路故障NSF/GR设备自身故障切换接入层主要是满足接入要求，对设备性能要求不是很高，通常采用盒式交换机。其选型因素既包括技术方面的，如接口速率、端口密度、PoE供电方式等，也包括非技术性的，如价格、利旧/兼容性等，需要综合考虑。下面仅从技术的角度来说明如何选型。指标项选型原则选型方法下行接口速率满足园区所有业务的接入速率/带宽要求方法一：根据业务需求来选择：选择园区网中对带宽要求最高的业务，将其所要求的带宽作为选择交换机下行端口速率的参考标准，选择高于此速率的最接近的接口速率。方法二：直接根据终端网卡的接口速率来选择，如百兆网卡选择百兆接入交换机，千兆网卡则选择千兆接入交换机。端口数量/密度设备数量尽可能最小网络用户规模或接口数就是所有交换机的端口总数。当端口总数比较大时，尽可能多地选择高密度接口的交换机。由于接入层扩展相对简单，可以暂不考虑网络扩展性问题，统一放在汇聚层或核心层来考虑。PoE供电方式满足终端设备的具体要求如果有IP电话、AP等需要PoE供电的接入终端时，则需要选用具有PoE供电功能的设备接入层通常采用盒式交换机，包括:①万兆接入场景：S6700交换机②千兆接入场景：S5700交换机，③百兆接入场景：S2700/S3700（三层接入）交换机万兆园区要求接入到汇聚的上行线路为10GE线路，推荐采用如下盒式交换机：①千兆接入场景：S5700系列全千兆交换机②万兆接入场景：S6700系列万兆交换机由于Sx7系列交换机的上行口最大10GE，不能提供L2/L3线速转发，因此，万兆园区推荐如下候选设备以弥补上行能力的不足：①千兆接入场景：CE5800交换机，可提供2*40GE接口②万兆接入场景：CE6800交换机，可提供4*40GE接口堆叠原则：u同一系列的交换机（例，37SI为一个系列，37EI（包含POE款型）为另一个系列）才能组成堆叠组，PWR等特性不影响堆叠特性；u不同系列交换机不可堆叠（例，37SI和37EI不能组成堆组，37EI和57EI不能组成堆叠组）。特例情况：•除S2752P（S2700-52P-EI、S2710-52P-SI）外，S2700全系列不支持业务口堆叠；•S2752P支持业务口堆叠，堆叠组成员最多为8台；•37同系列情况下，3752（S3700-52P-SI，S3700-52P-EI）为独特款型，仅同自身款型组成堆叠组，堆叠组成员最多为8台。iStack××××××××××××××××××××××√××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××88998899999园区网网络设计指南13园区网网络设计指南13分层设计方法接入层设计2分层设计方法接入层设计23汇聚层设计3核心层设计出口区设计网关设计核心层设计出口区设计网关设计配置计算示例455汇聚层是接入层与园区核心骨干网之间的网络分界线。汇聚层通常作为部门的核心，转发部门用户间的“横向”流量，同时提供到核心层的“纵向”流量。汇聚层对接入层隐藏核心层，作为园区网的配线架，将大量用户接入到园区网骨干网络中，扩展核心层设备接入用户的数量，同时，也有可能作为部门或区域内部的交换核心，实现与区域或部门专用服务器区的连接汇聚层通常需要考虑如下因素：…•降低网络复杂度…纵向流量纵向流量横向流量•提升或加速网络性能横向流量……纵向流量横向流量设计目标主要包括：•提供一致的网络基础业务•网络可扩展性•网络扩展的灵活性设计要点包括：•架构设计——汇聚层网络设备的工作模式、堆叠方案、可靠性设计•上行链路设计——链路类型、组网方式、上行带宽、链路数量、可靠性设计•设备选型——选型指标及设备推荐设计原则含义客户价值高性能原则充分满足园区网络业务对网络带宽/性能的要求，做到无阻塞/线速转发。网络无阻塞，业务运行流畅。可靠性原则汇聚点工作稳定可靠，网络不中断。网络工作稳定可靠，不中断。扩展性原则设计时要充分考虑网络的可扩展性，满足园区网未来3～5的发展需求。网络平滑升级，业务无缝迁移。分区原则根据网络及业务隔离的需要，分区设置汇聚点。既可以针对不同规模的区域，因地制宜，配置不同规格的网络设备；也可以按照统一标准建设所有分区，便于业务扩展和迁移。满足网络及业务隔离的需要，网络建设贴近实际需求。根据汇聚层设备之间的工作关系架构含义适用场景独立模式各台设备独立工作，独立的上、下行线路，相互之间不存在协同或备份切换等关系，设备的工作状态互不影响。中小型园区备份模式多台汇聚层设备之间相互协同、互为备份，其上、下行线路可能存在备份关系。中型园区集群模式多台汇聚层设备采用集群/堆叠工作方式，其上、下行线路可能存在备份或聚合关系。新建园区汇聚层可以采用双链路或单链路上行接入核心层，如图1所示。通常推荐汇聚层采用双链路上行。当核心层有多台设备时，或者对链路可靠性要求高时，推荐采用双归上行，以提高网络和链路可靠性。当核心层与汇聚层均采用CSS/iStack模式时，推荐汇聚层采用如下两种双归上行方式，形成无环网络：①全互联（Mesh互联）：所有汇聚层设备均双归上行，适用于高可靠性场合。②口字型上行：即口字型互联，每台汇聚设备单链路上行，适用于远距离互联或节省成本场景。根据汇聚层设备的工作方式和上行组网方式，汇聚层可以有多种部署模式，如下图所示，其适用的网络规模和可靠性从上向下依次降低。集群模式1集群模式2双设备模式单点模式集群模式1集群模式2中...计算原则：•上行带宽通常以区域为单位进行计算，既可以每个区域单独计算，也可以所有区域采用统一标准计算。推荐采用统一标准计算。•当采用统一标准计算时，为保证业务平滑迁移，应以最大规模的区域和业务最大带宽作为计算标准。•为保险起见和方便计算，汇聚层所有的流量均当作南北流量来进行带宽计算。计算方法：用如下两种方法分别计算，取其值大者。1)业务分析法：假设业务无阻塞，直接根据业务带宽和网络接入规模来计算上行带宽：上行带宽1＝业务带宽×网络接入规模×（1+网络3～5年增长率）2)网络收敛比法：根据网络收敛比和接入层的上行上行带宽2＝接入层所有交换机的上行带宽/网络收敛比】×（1+网络3～5年增长率）最终的上行带宽为：上行带宽=MAX（上行带宽1，上行带宽2）40GE、100GE下行端口速率：GE、10GE、40GE（根据业务带宽需求或接入层的上行速率来选择）汇聚层通常采用双归上行，其上行链路设计主要考虑链路类型（即上行接口速率/带宽）及数量，基本原则是：①优选高速率接口；②尽量减少上行接口数量，当需要多条链路上行时，采用链路聚合方式上行，提高可靠性和简化管理。考虑到性能和成本等多种因素，汇聚层上行链路通常采用GE、10GE、40GE、100GE等几种；万兆园区上行链路推荐采用10GE、40GE、100GE。在选定汇聚层交换机及其上行速率之后，可以确定其上行链路数量，计算方法：上行链路数量=【上行带宽/上行接口速率】与接入层的上行链路一样，汇聚层的上行链路的线路类型也需要根据设备之间的连接距离和传输速率来决定采用电缆线路或光纤线路，简要对照关系可参考表1所示10M、FE、GE和10GE速率的光纤类型与传输距离可参考接入层链路设计相关章节的内容，此处只给出40GE光纤线路的参考数据，如表2所示。当采用40GE线路时，需要注意由于其传输速率比较高，导致其传输距离有限，从而会限制设备的存放位置。由于汇聚层是区域的核心交换区，因此其可靠要求比较高，同样需要考虑设备级和链路级的可靠性。设备级的可靠性通常要求设备具有电信级5个9的可靠性，支持：•主控1:1备份•交换网1+1/1:1两种方式•DC电源1+1备份；AC电源1+1/2+2备份•模块化风扇设计，高端配置支持单风扇失效•无源背板，高可靠性•独立的设备监控单元，和主控解耦•所有模块支持热插拔由此可见，单设备是通过部件的冗余设计来保证高可靠性。对于设备级的节点故障，可以采用冗余备份方式来避免单点故障，网络协议自动感知故障后对网络流量进行动态调整，实现流量的快速切换。汇聚层线路级的可靠性推荐采用冗余备份线路双归上行，相关技术与接入层可靠性技术相同，不再详述。汇聚层设备根据网络规模，既可以采用盒式设备，也可以采用框式设备。对于小型园区网，可以采用盒式设备；对大中型园区网，推荐采用框式设备。可供选型参考的技术指标包括：指标项选型原则选型方法下行接口速率与接入层交换机的上行链路速率匹配。参考接入交换机的上行接口速率，推荐采用万兆速率的接口。上行接口速率尽量选择调整高速率接品，以减少上行链路数量。选择最高速度的上行接口，同时需要考虑与核心层设备的匹配问题。交换容量匹配园区网业务要求。根据业务类型、用户规模以及扩展性要求进行评估，然后选择对应规格的产品。转发能力端口数量/密度设备数量尽可能最小化，方便组网和管理。网络用户规模或接口数就是所有交换机的端口总数。当端口总数比较大时，尽可能多地选择高密度接口的交换机。由于接入层扩展相对简单，可以暂不考虑网络扩展性问题，统一放在汇聚层或核心层来考虑。端口类型匹配传输速率和传输距离要求。根据传输速率和传输距离决定采用光口或电口。通常推荐采用电口，当传输速率大、传输距离远时采用光口。汇聚层设备通常按区域配置，可以根据网络实际情况选择不同规格和型号的网络设备。为便于说明，此处假设网络分区及其设备是同样规格的。汇聚层设备选型主要考虑性能和扩展性，同时需要考虑与接入层、核心层的对接问题。当采用自底向上设计方法时，汇聚层必须与接入层设备进行匹配，其选型方法和步骤可参考如下：①确定下行接口速率：通常可以先根据接入交换机的上行接口速率，初步确定汇聚交换机的下行接口速率。②确定下行端口数量和密度：下行端口数量等于接入层交换机所有上行链路数量。当数量较多时，尽量选择高密度接口的设备，减少管理复杂度，节省空间。③确定交换容量：假定园区网络业务无阻塞，同时考虑发展要求，确定网络带宽，从而确定交换机的交换容量。通常按分区方法设置汇聚交换机，其交换容量计算方法如下：方法一：交换容量=网络带宽=业务最大带宽*网络分区最大规模*（1+网络3～5年的增长率）方法二：交换容量=接入交换机上行端口速率*上行端口数量上述两种方法，可以相互验证，取其大者。④确定上行接口速率：通常情况下，根据前几个条件或步骤就可以确定交换机的型号，相应地，其上行接口速率也就随之确定；否则，尽量选择上行速率最快的设备。S5700S6700S7700S9700S5700S6700S7700S9700……汇聚层设备通常要求：•强转发能力•高端口密度•可靠性高，达到99.999%•支持丰富的二层和三层特性设备推荐：交换机系列适用园区类型盒式交换机S5700中小型园区S6700框式交换机S7700大中型园区S9700大型园区S5700S6700S7700S9700交换容量256Gbps960Gbps2Tbps5.12Tbps/7.68Tbps转发能力192Mpps7