《大中型虛擬化園區網絡設計》屬于博主的“園區網”專欄，若想成為HCIE，對于園區網相關的知識需要非常了解，更多關于園區網的內容博主會更新在“園區網”專欄里，請持續關注！

一.前言

• 華為云園區網絡解決方案(簡稱CloudCampus解決方案)基于智簡網絡意圖驅動的理念，在云和SDN基礎上，引入大數據分析和AI等技術，幫助企業構建一張智能、極簡、融合、開放和安全的網絡。
• 本文基于CloudCampus解決方案，以大中型虛擬化園區網絡為例，講述大中型虛擬化園區網絡規劃設計流程，包括:網絡架構設計、Underlay網絡設計、Fabric與Overlay網絡設計、準入控制與業務隨行設計、WLAN設計、出口網絡設計、網絡安全與服務質量設計、運維管理設計。

二.CloudCampus解決方案及虛擬化園區網絡概述

1.大中型園區網絡

2.大中型園區網絡的業務需求與挑戰

• 隨著移動辦公、云計算、SDN、物聯網、人工智能以及大數據等概念的持續升溫，新技術、新應用層出不窮。這些應用和業務進入企業園區，給作為企業數字化轉型基石的園區網絡帶來了很多挑戰。

3.華為云園區網絡解決方案（CloudCampus解決方案）

4.大中型虛擬化園區網絡設計概述

三.網絡架構設計

1.網絡架構設計概述

• 整體設計原則:
  • 樹形組網、環形組網(核心設備)。
• 可靠性考慮:
  • 節點高可靠性:集群、堆疊、雙機熱備(AC或FW等)。
  • 鏈路高可靠性:冗余鏈路、Eth-Trunk。
• 組網層次設計原則:
  • 兩層組網:網絡層次簡單，問題易定位。
  • 三層組網:適用于多樓棟或多區域的園區場景。

2.網絡架構設計

• 在實際應用中，可以根據網絡規模或業務需要靈活選擇三層或二層架構。

• 網絡設計時，一般會根據網絡規模采用自底向上的方法來確定采用的基層架構。

四.Underlay網絡設計

1.underlay網絡設計大綱

2.vlan設計

• VLAN編號建議連續分配，以保證VLAN資源合理利用。
• 建議預留一定數量的VLAN以方便后續擴展。
• VLAN劃分需要區分業務VLAN、管理VLAN和互聯VLAN。
• 最常用的劃分方式是基于接口的方式進行劃分，根據不同的設計原則，將接入交換機不同接口劃分到不同的VLAN，從而實現不同業務類型用戶的隔離需求。

3.IP地址設計

• 園區網的IP地址主要分為業務IP地址、管理IP地址和互聯IP地址。

4.面向終端的DHCP服務設計

• 規劃獨立的DHCP Server為終端用戶分配IP地址。
• 建議在接入層設備配置DHCP Snooping，以避免非法攻擊。網絡管理員可以根據網絡需求為不同的主機選擇不同的分配策略:
  • 動態分配機制:為主機分配一個有限期限(租期)的IP地址。適用于主機需要臨時接入或者IP地址不足的場景，例如企業辦事處的出差員工便攜機、咖啡廳的移動終端。
  • 靜態分配機制:為指定主機或服務器分配固定的IP地址，例如DNS服務器。
• 地址池規劃需要將靜態配置的IP地址過濾掉。
• 根據客戶端在線時間合理規劃租期。
• 大中型園區DHCP服務器和園區主機通常不在同一個網段網關需開啟DHCP中繼功能。

5.路由設計

• 路由設計包括園區內部路由和園區出口路由設計。
  • 內部路由設計:
    • 主要滿足園區內部設備、終端的互通需求并且與外部路由交互。
    • 根據網關位置，建議按照如下兩種場景設計內部路由:
      • 網關在匯聚層:核心層、匯聚層都需要部署路由，考慮路由表能夠根據網絡拓撲變化而動態刷新，推薦規劃IGP動態路由協議，如OSPF。
      • 網關在核心層:只需要在核心層配置路由，建議優先采用靜態路由。
  • 出口路由設計:
    • 主要滿足內部終端訪問Internet、廣域網的需求
    • 大中型園區一般企業分支機構眾多，出口需要支持多種鏈路用于Internet訪問和企業內部互訪，需要大量路由引入園區內部，因此建議規劃動態路由協議，如OSPF。
• 園區動態路由協議建議規劃OSPF，以下為OSPF設計注意點:
  • Router ID建議采用Loopback接口IP地址。
  • 區域(Area)劃分遵循核心、匯聚、接入的分層原則，骨干區域建議包含出口路由器和核心交換機，非骨干區域的設計則是根據地理位置和設備性能而定。
• 說明：
  • 本頁內容體現的是VXLAN到接入組網場景下的路由設計。
  • 若場景為VXLAN到匯聚的組網，路由設計(如:OSPF區域的劃分設計)與VXLAN到接入組網場景一致，而路由域的邊界是匯聚層設備。

6.網絡開局

（1）網絡開局設計

• 大中型園區出口和核心設備通常部署在核心機房，地理位置集中，業務復雜，開局通常需要網絡工程師進站調測。因此核心層及核心以上的設備(包含核心層設備，旁掛獨立AC設備和出口設備)推薦采用WEB網管開局方式或命令行開局方式。
• 核心以下的設備(包含匯聚層設備、接入層設備和AP)由于數量眾多，業務配置相似從簡化部署考慮，推薦采用DHCP Option方式即插即用開局。
• 說明:核心層交換機通過本地命令行(CLI)獲取基礎配置(如IP地址)，完成網絡開局。一旦和控制器建立管理通道后，后期業務都是通過控制器自動下發的。

（2）基于DHCP的設備即插即用開局流程

• 待開局設備通過DHCP服務器獲取設備NETCONF使能狀態和iMasterNCE-Campus地址過程：
  • 管理員在網絡的核心設備部署DHCP服務器功能，配置DHCP Option 148選項，其中包含設備的NETCONF使能狀態、iMasterNCE-Campus的URL/IP和端口號信息。
  • 待開局設備(如圖為SW1)空配置啟動后，先使用VLAN1(缺省情況，交換機的PnP VLAN為VLAN1)主動向DHCP服務器發起請求。
  • DHCP服務器收到請求后，就會向SW1回應一個攜帶Option 148選項的DHCP報文。
  • SW1根據Option148選項中的內容(NETCONF使能狀態，iMasterNCE-Campus的URL/IP和端口號)向控制器注冊上線。

（3）PnP VLAN

• PnP VLAN(Plug and Play VLAN)，是為了完成交換機即插即用定義的VLAN，缺省為VLAN 1。
• PnP VLAN分為有線PnP VLAN和無線PnP VLAN，統一由iMaster NCE-Campus負責維護，通過在iMaster NCE-Campus上預配置，在核心交換機向iMaster NCE-Campus注冊后，自動下發到核心交換機。
  • 有線PnP VLAN是用來進行交換機管理IP地址的申請。
  • 無線PnP VLAN是用來設置AP的管理VLAN。交換機下聯設備是AP時，交換機自動將與AP相連端口的PVID修改為無線PnPVLAN 。
  • 對于交換機來講，有線和無線PnPVLAN可以不同，但是是同時協商的。如果僅配置有線PnP VLAN，交換機與AP相連端口的PVID將修改為有線PnP VLAN。

（4）網絡開局流程:設備先上線，再完成規劃

（5）網絡開局流程:先完成規劃，設備再上線

7.Underlay網絡自動化

• 自動配置路由域:開啟該功能后，自動配置Underlay網絡。用戶可以指定自動配置路由域的站點，并指定OSPF路由參數，當前支持的參數如下:
  • 域:單域為所有設備均屬于Area0;多域為邊界網關節點屬于Area0，其余每0個邊緣節點與邊界網關節點為一個Area。
  • 網絡類型:指定OSPF的網絡類型，可以選擇broadcast、P2MP或者P2P。
  • 加密:設置相鄰設備之間的加密方式，可以選擇HMAC-SHA256、MD5或者無。
  • OSPF平滑啟動:開啟OSPF GR功能。
• 開啟“自動配置路由域”前，需提前規劃Underlay網絡自動化所需的網絡資源
  • Underlay網絡設備(Fabric對應的網絡范圍)之間通過LANIF三層互聯:每一4條互聯鏈路分配1個VLAN。
  • 設備互聯VLANIF接口IP地址:自動分配30位掩碼長度的互聯地址。

五.Fabric與Overlay網絡設計

1.Fabric設計

（1）Fabric設計概述

• Fabric設計
• 園區Fabric是對Underlay網絡抽象后的資源池化網絡Fabric將Underlay網絡資源池化，以便實現“一網多用”。
• Fabric設計主要包含以下部分：
  • Fabric網絡資源規劃
  • Fabric組網及節點設計
  • Fabric與外部網絡互聯設計
  • Fabric網絡服務資源規劃
  • Fabric接入管理設計

• Fabric網絡資源規劃:
• 在創建VN之前，需要提前進行全局資源配置，包括VLAN、VXLAN網絡標示(VNI)和橋接廣播域(BD)三類資源池的設置。創建VN時，iMaster NCE-Campus會從該資源池內自動分配相關資源。
  • 互聯VLAN:Fabric在創建外部網絡資源時，需要互聯VLAN，與出口網絡對接Fabric在創建網絡服務資源時，需要互聯VLAN，與網絡管理區對接，
  • BD:在VN中隔離二層廣播域，一般與用戶接入的業務VLAN是1:1的對應關系BD規劃的資源范圍要滿足用戶的業務VLAN數量，默認范圍1~4095。
  • VNI:類似于VLAN ID，用于區分VXLAN段，默認范圍1~4095。

（2）Fabric組網場景匯總

• 針對二層或三層組網架構，可選Border或Edge作為網關。
  • 集中式網關:Border做網關可統一集中管理、簡化運維。
  • 分布式網關:Edge做網關方便擴展網絡規模。
• 優先推薦組網場景:
  • 集中式網關，VXLAN到匯聚，核心隨板AC部署，或核心旁掛獨立AC。
  • 分布式網關，VXLAN到匯聚，核心隨板AC部署，或核心旁掛獨立AC。

（3）Fabric組網設計：VXLAN覆蓋范圍選擇

（4）Fabric組網設計：集中式網關與分布式網關

（5）Fabric與外部網絡互聯設計

（6）Fabric網絡服務資源規劃

• 在Fabric的網絡服務資源設計中，通過在Border節點創建網絡服務資源，使得園區內部業務終端能夠訪問網絡管理區的服務資源，比如DHCP服務器、準入服務器等。

• 網絡服務資源根據部署位置不同，在Fabric中有3種場景設計模型。

（7）Fabric接入管理設計

• 創建Fabric過程中，需要對用戶接入的認證控制點進行設計，包括接入點資源池規劃，其中，有線接入點資源指的是終端接入的交換機端口，無線接入點資源指的是終端接入的SSID。在集中式網關方案中:
  • 有線用戶接入認證控制點建議部署在Edge，在Fabric接入管理中進行設計規劃。
  • 無線用戶接入認證控制點部署在AC，認證控制點的設計規劃取決于AC的類型。

2.Overlay設計

（1）VN設計流程

（2）VN設計

（3）VN接入設計

• Edge節點是業務數據從物理網絡進入VN的邊界點，根據用戶所屬的VLAN進入不同的VN。
• 有線用戶流量根據VLAN直接接入虛擬網絡;無線用戶流量被轉發到隨板AC后，隨板AC解封裝CAPWAP報文后根據VLAN進入對應的BD轉發。

（4）VN之間互訪設計

（5）邏輯網絡到物理網絡的映射原理

六.準入控制及業務隨行設計

1.用戶管理

• 用戶管理方案設計主要是確認用戶數據源服務器，企業常見的用戶數據源服務器有RADIUS服務器、AD服務器和LDAP服務器。

2.用戶認證

（1）用戶認證技術選擇

• 常用的認證技術包括802.1X，MAC和Portal認證，各種認證方式差異如表所示：

• 在大中型園區網絡中，企業員工建議使用802.1X認證、訪客使用Portal認證、啞終端使用MAC認證。
• 如果客戶希望在同一個接入點使用多種認證方式，可以考慮配置成混合認證模式，配置混合認證后，終端使用任意認證方式，只要校驗成功，均可以接入網絡，適合同一個端口給多種類型用戶接入的場景。比如IP話機下掛PC終端的場景，可以配置MAC+802.1X混合認證，IP話機用MAC認證，PC終端用802.1X認證。

（2）已認證用戶與VN的關聯

3.策略管控

（1）訪問策略分層設計

• 網絡訪問策略在邏輯上可分為兩層:
  • 第一層是VN，各個VN間缺省時不能互訪業務數據相互隔離。解決方案提供了在Fabric內實現VN間互訪，或通過外部網絡互訪的能力。
  • 第二層是VN內的安全組，通過將用戶及網絡資源劃分為不同的安全組，來實現組間通信流量的管控，由業務隨行策略執行點負責執行組安全間訪問策略。

（2）安全組劃分

（3）資源組劃分

（4）策略控制矩陣設計

（5）認證點和策略執行點位置選擇

• 一般認證點選擇用戶網關設備，并且網關設備同時作為策略執行點，部署業務隨行功能。主要原因：
  • 接入交換機數量較多，在每臺接入交換機上配置認證功能較為繁瑣，管理起來也較為麻煩。
  • 控制器需要向策略執行點設備同步權限策略，如果選用接入交換機作為認證點，則策略執行點設備的數量會大幅增加(因為接入交換機數量較多)，不僅增加了控制器上設備管理的工作量和難度，還延長了每次同步策略的時間。
• 對于用戶網關以下的二層網絡中能夠互通的用戶，如果想要進行互訪控制，可以部署二層隔離使用戶在二層不能互通，流量必須經過用戶網關。

（6）IP-Group同步

4.終端識別

（1）終端識別方法設計

• iMaster NCE-Campus可查看整個園區網絡終端的類型、操作系統等摘要信息，對終端進行多維度的精細化管理。對于園區IP話機、打印機、IP攝像頭等啞終端設備，還可以實現基于終端識別的自動準入，從而減少管理員手動配置工作量。

• 若管理員無法精確選出應采用的終端識別的方法，推薦開啟5個識別方法:MAC OU1、HTTP UserAgent.DHCP Option、LLDP、mDNS。
• Nmap掃描方法識別周期長，推薦默認關閉，被動指紋識別方法無法滿足終端識別的場景再開啟Nmap識別方法。

（2）終端策略設計

• 園區網絡管理員可以通過iMaster NCE-Campus為終端設備自動下發對應策略，而無需手動為每種類型的業務終端配置不同的策略。
• 終端策略支持基于終端類型或操作系統或生產廠商下發對應終端策略。

七.WLAN設計

1.WLAN業務方案

• 大中型園區的WLAN網絡通常采用AC+FIT AP的組網架構。
• 根據AC在園區網絡中的部署位置，可分為AC旁掛式組網和AC直連式組網。采用隨板AC時，只能采用直連式組網;采用獨立AC時，有直連式與旁掛式兩種組網方式，推薦采用旁掛式組網。

2.隨板AC方案在VXLAN虛擬化園區中的部署

3.獨立AC方案在VXLAN虛擬化園區中的部署

4.虛擬化園區網絡中WLAN部署方案設計

八.出口網絡設計

1.網絡出口設計概述

• 出口區作為園區網與外部網絡(包括互聯網、廣域網)的分界線，擔負著內外網的互通和安全防護的功能。
• 出口區設計的要求通常包括:
  • 網絡暢通:內部用戶可以順利訪問外部網絡;如果對外提供網絡訪問，還要求外部用戶可以訪問園區內網服務。
  • 網絡安全:保證園區網安全可控，尤其是邊界安全，需要配置防火墻、IPS(Intrusion Prevention System，入侵防御系統)等，根據不同的安全性要求和投資規模選擇安全部件。
  • 接入方式豐富靈活:提供多種多樣的接入手段和方式，如LAN側和WAN側接入等。
  • 業務控制能力強:方便業務部署和隔離，如提供各類VPN接入方式，包括IPSeC VPN、SSLVPN、MPLS VPN等。

2.出口網絡的業務使用場景

3.連接WAN側設計

4.連接LAN側設計

5.防火墻雙機熱備

• 防火墻作為出口設備時，建議部署雙機熱備來提升防火墻的可靠性。

• 如圖，防火墻作為園區網絡出口設備與核心交換機直連，兩臺防火墻設備配置雙機熱備功能，互聯的Eth-Trunk鏈路作為主備通道，當主用防火墻發生故障后，備用防火墻可以接替主用防火墻，進行業務報文的轉發。

6.出口路由設計：防火墻直連部署

• 防火墻與核心交換機間的路由包括核心交換機上園區內網到外部網絡的路由，以及防火墻上外部網絡到園區內網的回程路由。
• 在防火墻直連部署場景，推薦通過靜態路由實現核心交換機與防火墻互通。

7.出口路由設計：防火墻旁掛部署

九.運維管理設計

1.園區網絡運維面臨的挑戰

2.園區網絡運維功能全景圖

3.基礎網絡運維設計

• 大中型虛擬化園區網絡方案中，iMaster NCE-Campus能夠對其納管的設備提供全面的基礎網絡管理、網元管理、業務管理和系統管理功能，主要有用戶管理、日志管理、資源管理、拓撲管理、告警管理、性能管理同時，傳統網絡運維中常用的協議也支持在iMaster NCE-Campus中應用。

4.智能運維設計

5.智能運維方案部署設計