大中型虚拟化园区网络设计

《大中型虚拟化园区网络设计》属于博主的“园区网”专栏，若想成为HCIE，对于园区网相关的知识需要非常了解，更多关于园区网的内容博主会更新在“园区网”专栏里，请持续关注！

一.前言

• 华为云园区网络解决方案(简称CloudCampus解决方案)基于智简网络意图驱动的理念，在云和SDN基础上，引入大数据分析和AI等技术，帮助企业构建一张智能、极简、融合、开放和安全的网络。
• 本文基于CloudCampus解决方案，以大中型虚拟化园区网络为例，讲述大中型虚拟化园区网络规划设计流程，包括:网络架构设计、Underlay网络设计、Fabric与Overlay网络设计、准入控制与业务随行设计、WLAN设计、出口网络设计、网络安全与服务质量设计、运维管理设计。

二.CloudCampus解决方案及虚拟化园区网络概述

1.大中型园区网络

2.大中型园区网络的业务需求与挑战

• 随着移动办公、云计算、SDN、物联网、人工智能以及大数据等概念的持续升温，新技术、新应用层出不穷。这些应用和业务进入企业园区，给作为企业数字化转型基石的园区网络带来了很多挑战。

3.华为云园区网络解决方案（CloudCampus解决方案）

4.大中型虚拟化园区网络设计概述

三.网络架构设计

1.网络架构设计概述

• 整体设计原则:
  • 树形组网、环形组网(核心设备)。
• 可靠性考虑:
  • 节点高可靠性:集群、堆叠、双机热备(AC或FW等)。
  • 链路高可靠性:冗余链路、Eth-Trunk。
• 组网层次设计原则:
  • 两层组网:网络层次简单，问题易定位。
  • 三层组网:适用于多楼栋或多区域的园区场景。

2.网络架构设计

• 在实际应用中，可以根据网络规模或业务需要灵活选择三层或二层架构。

• 网络设计时，一般会根据网络规模采用自底向上的方法来确定采用的基层架构。

四.Underlay网络设计

1.underlay网络设计大纲

2.vlan设计

• VLAN编号建议连续分配，以保证VLAN资源合理利用。
• 建议预留一定数量的VLAN以方便后续扩展。
• VLAN划分需要区分业务VLAN、管理VLAN和互联VLAN。
• 最常用的划分方式是基于接口的方式进行划分，根据不同的设计原则，将接入交换机不同接口划分到不同的VLAN，从而实现不同业务类型用户的隔离需求。

3.IP地址设计

• 园区网的IP地址主要分为业务IP地址、管理IP地址和互联IP地址。

4.面向终端的DHCP服务设计

• 规划独立的DHCP Server为终端用户分配IP地址。
• 建议在接入层设备配置DHCP Snooping，以避免非法攻击。网络管理员可以根据网络需求为不同的主机选择不同的分配策略:
  • 动态分配机制:为主机分配一个有限期限(租期)的IP地址。适用于主机需要临时接入或者IP地址不足的场景，例如企业办事处的出差员工便携机、咖啡厅的移动终端。
  • 静态分配机制:为指定主机或服务器分配固定的IP地址，例如DNS服务器。
• 地址池规划需要将静态配置的IP地址过滤掉。
• 根据客户端在线时间合理规划租期。
• 大中型园区DHCP服务器和园区主机通常不在同一个网段网关需开启DHCP中继功能。

5.路由设计

• 路由设计包括园区内部路由和园区出口路由设计。
  • 内部路由设计:
    • 主要满足园区内部设备、终端的互通需求并且与外部路由交互。
    • 根据网关位置，建议按照如下两种场景设计内部路由:
      • 网关在汇聚层:核心层、汇聚层都需要部署路由，考虑路由表能够根据网络拓扑变化而动态刷新，推荐规划IGP动态路由协议，如OSPF。
      • 网关在核心层:只需要在核心层配置路由，建议优先采用静态路由。
  • 出口路由设计:
    • 主要满足内部终端访问Internet、广域网的需求
    • 大中型园区一般企业分支机构众多，出口需要支持多种链路用于Internet访问和企业内部互访，需要大量路由引入园区内部，因此建议规划动态路由协议，如OSPF。
• 园区动态路由协议建议规划OSPF，以下为OSPF设计注意点:
  • Router ID建议采用Loopback接口IP地址。
  • 区域(Area)划分遵循核心、汇聚、接入的分层原则，骨干区域建议包含出口路由器和核心交换机，非骨干区域的设计则是根据地理位置和设备性能而定。
• 说明：
  • 本页内容体现的是VXLAN到接入组网场景下的路由设计。
  • 若场景为VXLAN到汇聚的组网，路由设计(如:OSPF区域的划分设计)与VXLAN到接入组网场景一致，而路由域的边界是汇聚层设备。

6.网络开局

（1）网络开局设计

• 大中型园区出口和核心设备通常部署在核心机房，地理位置集中，业务复杂，开局通常需要网络工程师进站调测。因此核心层及核心以上的设备(包含核心层设备，旁挂独立AC设备和出口设备)推荐采用WEB网管开局方式或命令行开局方式。
• 核心以下的设备(包含汇聚层设备、接入层设备和AP)由于数量众多，业务配置相似从简化部署考虑，推荐采用DHCP Option方式即插即用开局。
• 说明:核心层交换机通过本地命令行(CLI)获取基础配置(如IP地址)，完成网络开局。一旦和控制器建立管理通道后，后期业务都是通过控制器自动下发的。

（2）基于DHCP的设备即插即用开局流程

• 待开局设备通过DHCP服务器获取设备NETCONF使能状态和iMasterNCE-Campus地址过程：
  • 管理员在网络的核心设备部署DHCP服务器功能，配置DHCP Option 148选项，其中包含设备的NETCONF使能状态、iMasterNCE-Campus的URL/IP和端口号信息。
  • 待开局设备(如图为SW1)空配置启动后，先使用VLAN1(缺省情况，交换机的PnP VLAN为VLAN1)主动向DHCP服务器发起请求。
  • DHCP服务器收到请求后，就会向SW1回应一个携带Option 148选项的DHCP报文。
  • SW1根据Option148选项中的内容(NETCONF使能状态，iMasterNCE-Campus的URL/IP和端口号)向控制器注册上线。

（3）PnP VLAN

• PnP VLAN(Plug and Play VLAN)，是为了完成交换机即插即用定义的VLAN，缺省为VLAN 1。
• PnP VLAN分为有线PnP VLAN和无线PnP VLAN，统一由iMaster NCE-Campus负责维护，通过在iMaster NCE-Campus上预配置，在核心交换机向iMaster NCE-Campus注册后，自动下发到核心交换机。
  • 有线PnP VLAN是用来进行交换机管理IP地址的申请。
  • 无线PnP VLAN是用来设置AP的管理VLAN。交换机下联设备是AP时，交换机自动将与AP相连端口的PVID修改为无线PnPVLAN 。
  • 对于交换机来讲，有线和无线PnPVLAN可以不同，但是是同时协商的。如果仅配置有线PnP VLAN，交换机与AP相连端口的PVID将修改为有线PnP VLAN。

（4）网络开局流程:设备先上线，再完成规划

（5）网络开局流程:先完成规划，设备再上线

7.Underlay网络自动化

• 自动配置路由域:开启该功能后，自动配置Underlay网络。用户可以指定自动配置路由域的站点，并指定OSPF路由参数，当前支持的参数如下:
  • 域:单域为所有设备均属于Area0;多域为边界网关节点属于Area0，其余每0个边缘节点与边界网关节点为一个Area。
  • 网络类型:指定OSPF的网络类型，可以选择broadcast、P2MP或者P2P。
  • 加密:设置相邻设备之间的加密方式，可以选择HMAC-SHA256、MD5或者无。
  • OSPF平滑启动:开启OSPF GR功能。
• 开启“自动配置路由域”前，需提前规划Underlay网络自动化所需的网络资源
  • Underlay网络设备(Fabric对应的网络范围)之间通过LANIF三层互联:每一4条互联链路分配1个VLAN。
  • 设备互联VLANIF接口IP地址:自动分配30位掩码长度的互联地址。

五.Fabric与Overlay网络设计

1.Fabric设计

（1）Fabric设计概述

• Fabric设计
• 园区Fabric是对Underlay网络抽象后的资源池化网络Fabric将Underlay网络资源池化，以便实现“一网多用”。
• Fabric设计主要包含以下部分：
  • Fabric网络资源规划
  • Fabric组网及节点设计
  • Fabric与外部网络互联设计
  • Fabric网络服务资源规划
  • Fabric接入管理设计

• Fabric网络资源规划:
• 在创建VN之前，需要提前进行全局资源配置，包括VLAN、VXLAN网络标示(VNI)和桥接广播域(BD)三类资源池的设置。创建VN时，iMaster NCE-Campus会从该资源池内自动分配相关资源。
  • 互联VLAN:Fabric在创建外部网络资源时，需要互联VLAN，与出口网络对接Fabric在创建网络服务资源时，需要互联VLAN，与网络管理区对接，
  • BD:在VN中隔离二层广播域，一般与用户接入的业务VLAN是1:1的对应关系BD规划的资源范围要满足用户的业务VLAN数量，默认范围1~4095。
  • VNI:类似于VLAN ID，用于区分VXLAN段，默认范围1~4095。

（2）Fabric组网场景汇总

• 针对二层或三层组网架构，可选Border或Edge作为网关。
  • 集中式网关:Border做网关可统一集中管理、简化运维。
  • 分布式网关:Edge做网关方便扩展网络规模。
• 优先推荐组网场景:
  • 集中式网关，VXLAN到汇聚，核心随板AC部署，或核心旁挂独立AC。
  • 分布式网关，VXLAN到汇聚，核心随板AC部署，或核心旁挂独立AC。

（3）Fabric组网设计：VXLAN覆盖范围选择

（4）Fabric组网设计：集中式网关与分布式网关

（5）Fabric与外部网络互联设计

（6）Fabric网络服务资源规划

• 在Fabric的网络服务资源设计中，通过在Border节点创建网络服务资源，使得园区内部业务终端能够访问网络管理区的服务资源，比如DHCP服务器、准入服务器等。

• 网络服务资源根据部署位置不同，在Fabric中有3种场景设计模型。

（7）Fabric接入管理设计

• 创建Fabric过程中，需要对用户接入的认证控制点进行设计，包括接入点资源池规划，其中，有线接入点资源指的是终端接入的交换机端口，无线接入点资源指的是终端接入的SSID。在集中式网关方案中:
  • 有线用户接入认证控制点建议部署在Edge，在Fabric接入管理中进行设计规划。
  • 无线用户接入认证控制点部署在AC，认证控制点的设计规划取决于AC的类型。

2.Overlay设计

（1）VN设计流程

（2）VN设计

（3）VN接入设计

• Edge节点是业务数据从物理网络进入VN的边界点，根据用户所属的VLAN进入不同的VN。
• 有线用户流量根据VLAN直接接入虚拟网络;无线用户流量被转发到随板AC后，随板AC解封装CAPWAP报文后根据VLAN进入对应的BD转发。

（4）VN之间互访设计

（5）逻辑网络到物理网络的映射原理

六.准入控制及业务随行设计

1.用户管理

• 用户管理方案设计主要是确认用户数据源服务器，企业常见的用户数据源服务器有RADIUS服务器、AD服务器和LDAP服务器。

2.用户认证

（1）用户认证技术选择

• 常用的认证技术包括802.1X，MAC和Portal认证，各种认证方式差异如表所示：

• 在大中型园区网络中，企业员工建议使用802.1X认证、访客使用Portal认证、哑终端使用MAC认证。
• 如果客户希望在同一个接入点使用多种认证方式，可以考虑配置成混合认证模式，配置混合认证后，终端使用任意认证方式，只要校验成功，均可以接入网络，适合同一个端口给多种类型用户接入的场景。比如IP话机下挂PC终端的场景，可以配置MAC+802.1X混合认证，IP话机用MAC认证，PC终端用802.1X认证。

（2）已认证用户与VN的关联

3.策略管控

（1）访问策略分层设计

• 网络访问策略在逻辑上可分为两层:
  • 第一层是VN，各个VN间缺省时不能互访业务数据相互隔离。解决方案提供了在Fabric内实现VN间互访，或通过外部网络互访的能力。
  • 第二层是VN内的安全组，通过将用户及网络资源划分为不同的安全组，来实现组间通信流量的管控，由业务随行策略执行点负责执行组安全间访问策略。

（2）安全组划分

（3）资源组划分

（4）策略控制矩阵设计

（5）认证点和策略执行点位置选择

• 一般认证点选择用户网关设备，并且网关设备同时作为策略执行点，部署业务随行功能。主要原因：
  • 接入交换机数量较多，在每台接入交换机上配置认证功能较为繁琐，管理起来也较为麻烦。
  • 控制器需要向策略执行点设备同步权限策略，如果选用接入交换机作为认证点，则策略执行点设备的数量会大幅增加(因为接入交换机数量较多)，不仅增加了控制器上设备管理的工作量和难度，还延长了每次同步策略的时间。
• 对于用户网关以下的二层网络中能够互通的用户，如果想要进行互访控制，可以部署二层隔离使用户在二层不能互通，流量必须经过用户网关。

（6）IP-Group同步

4.终端识别

（1）终端识别方法设计

• iMaster NCE-Campus可查看整个园区网络终端的类型、操作系统等摘要信息，对终端进行多维度的精细化管理。对于园区IP话机、打印机、IP摄像头等哑终端设备，还可以实现基于终端识别的自动准入，从而减少管理员手动配置工作量。

• 若管理员无法精确选出应采用的终端识别的方法，推荐开启5个识别方法:MAC OU1、HTTP UserAgent.DHCP Option、LLDP、mDNS。
• Nmap扫描方法识别周期长，推荐默认关闭，被动指纹识别方法无法满足终端识别的场景再开启Nmap识别方法。

（2）终端策略设计

• 园区网络管理员可以通过iMaster NCE-Campus为终端设备自动下发对应策略，而无需手动为每种类型的业务终端配置不同的策略。
• 终端策略支持基于终端类型或操作系统或生产厂商下发对应终端策略。

七.WLAN设计

1.WLAN业务方案

• 大中型园区的WLAN网络通常采用AC+FIT AP的组网架构。
• 根据AC在园区网络中的部署位置，可分为AC旁挂式组网和AC直连式组网。采用随板AC时，只能采用直连式组网;采用独立AC时，有直连式与旁挂式两种组网方式，推荐采用旁挂式组网。

2.随板AC方案在VXLAN虚拟化园区中的部署

3.独立AC方案在VXLAN虚拟化园区中的部署

4.虚拟化园区网络中WLAN部署方案设计

八.出口网络设计

1.网络出口设计概述

• 出口区作为园区网与外部网络(包括互联网、广域网)的分界线，担负着内外网的互通和安全防护的功能。
• 出口区设计的要求通常包括:
  • 网络畅通:内部用户可以顺利访问外部网络;如果对外提供网络访问，还要求外部用户可以访问园区内网服务。
  • 网络安全:保证园区网安全可控，尤其是边界安全，需要配置防火墙、IPS(Intrusion Prevention System，入侵防御系统)等，根据不同的安全性要求和投资规模选择安全部件。
  • 接入方式丰富灵活:提供多种多样的接入手段和方式，如LAN侧和WAN侧接入等。
  • 业务控制能力强:方便业务部署和隔离，如提供各类VPN接入方式，包括IPSeC VPN、SSLVPN、MPLS VPN等。

2.出口网络的业务使用场景

3.连接WAN侧设计

4.连接LAN侧设计

5.防火墙双机热备

• 防火墙作为出口设备时，建议部署双机热备来提升防火墙的可靠性。

• 如图，防火墙作为园区网络出口设备与核心交换机直连，两台防火墙设备配置双机热备功能，互联的Eth-Trunk链路作为主备通道，当主用防火墙发生故障后，备用防火墙可以接替主用防火墙，进行业务报文的转发。

6.出口路由设计：防火墙直连部署

• 防火墙与核心交换机间的路由包括核心交换机上园区内网到外部网络的路由，以及防火墙上外部网络到园区内网的回程路由。
• 在防火墙直连部署场景，推荐通过静态路由实现核心交换机与防火墙互通。

7.出口路由设计：防火墙旁挂部署

九.运维管理设计

1.园区网络运维面临的挑战

2.园区网络运维功能全景图

3.基础网络运维设计

• 大中型虚拟化园区网络方案中，iMaster NCE-Campus能够对其纳管的设备提供全面的基础网络管理、网元管理、业务管理和系统管理功能，主要有用户管理、日志管理、资源管理、拓扑管理、告警管理、性能管理同时，传统网络运维中常用的协议也支持在iMaster NCE-Campus中应用。

4.智能运维设计

5.智能运维方案部署设计