局域网设计规划

一、局域网络拓扑结构设计原则

园区网通常采用核心，汇聚，接入的三层结构。

 

核心层：作为网络的核心部分，不仅要求实现高速的数据转发，而且要求性能高，容量大，具备高可靠性和高稳定性。通常核心层设备都有设备的备份设计及线路的备份设计。

 

汇聚层：要支持丰富的功能和特性。汇聚层要隔离接入层的各种变化对核心层的冲击。路由汇聚，路由策略，NAT，ACL等等功能通常在汇聚层实现。网关一般部署在汇聚层，汇聚设备做IRF，或运行DRNI，与核心三层互联运行动态路由协议。

 

接入层：要提供大量的接入端口以及各种接入端口类型。

 

数据中心可根据实际情况可以选择三层还是两层。

 

选择两层结构将网关下沉到接入，Spine与Leaf之间三层Full mesh连接。减少报文经过的节点数有利于高性能计算业务的部署，而且Spine-Leaf结构更能与SDN完美结合。

 

二、STP/RSTP/MSTP设计原则

 

三、VRRP/DHCP相关设计

 

VRRP的负载分担：

  在同一网络中配置多组VRRP时，尽量为不同的VRRP组设计Master，从而实现链路和设备的负载分担。

 

VRRP的稳定性设计：

  根据网络环境决定是否要使能VRRP抢占功能，并合理设置延时，这样可以避免由于网络状况的不稳定而引起的主备频繁切换。

 

安全性设计：

  在同一VRRP备份组使用认证，目前是通过密码关键字来确认同一备份组成员，可以避免误配置或网络上有意的攻击。

 

监控指定的端口：

  根据网络的设计，通常要对某些端口进行监视，这些端口激活直接影响VRRP成员的优先级别，从而决定VRRP成员是否成为Master。

四、IRF、链路聚合、DRNI等技术的设计原则

DRNI的优势

  DRNI（Distributed Resilient Network Interconnetc，分布式弹性网络互联）作为一种跨设备链路聚合的技术。除了具备增加带宽，提高链路可靠性，负载分担的优势外，还具备以下优势：

  1、更高的可靠性

把链路可靠性从单板级提高到了设备级。

  2、简化组网及配置

可以将DRNI理解为一种横向虚拟化技术，将双归接入的两台设备在逻辑上虚拟成一台设备。DRNI提供了一个没有环路的二层拓扑同时实现冗余备份，不再需要繁琐的生成树协议配置，极大的简化了组网及配置。

  3、独立升级

DRNI系统的两台设备可以分别进行升级。（堆叠不支持）

 

五、容量、性能、收敛比的规划

ARP/MAC/路由表规格

  在三层架构中，汇聚设备由于承担了网关的功能，ARP/MAC规格需要重点考虑，尤其时在服务器虚拟化场景中，汇聚的单板卡下可挂48个接入交换机，接入设备按48端口计算，最大可接入2000多台物理服务器，如果服务器再做虚拟化，很可能会超过板卡的ARP规格。

 

端口带宽使用规划

  端口使用也建议提前规划，保留几个端口以备紧急需求。

  端口带宽使用率建议规划不超过70%。

 

收敛比设计

  普通的局域网或园区网，单终端网络性能需求较小，可以设计较高的收敛比。如在千兆到桌面的二层网络架构中，接入交换机的上下链路收敛可以设计为20：1。

  数据中心等性能压力较大的环境中，则要求收敛比较小，一般不超过3：1。

 

六、局域网安全的相关设计

 

控制策略--认证授权

  对于来源不可靠的以太网接入使用802.1x认证

 

控制策略--业务隔离

  普通二层以太网网络中采用vlan进行隔离

  建议在接入交换机接入端口配置广播抑制门限。

 

控制策略--网络设备访问权限

  建议使用ssh登录

  配置ACL，仅允许指定地址登录设备

 

安全防御--网络防护

  主要通过防火墙来实现

 

管理审计--日志

  最好搭建日志服务器，记录设备的日志和对设备所有的操作信息。