典型园区网的业务部署

典型园区网的业务部署

1.1 高可靠冗余网络

在如图1-1 所示的树形拓扑网络中，如果核心设备宕机或者掉电，将导致全网故障。这是因为各汇聚层设备被分割开来，相互独立而无法通过。这是星形和树形网络存在的典型缺陷——单点故障。显而易见，一个需要7x24小时不间断服务的网络是不允许存在单点故障缺陷的。因此对于高可靠性网络的建设首先需要考虑的是避免单点故障或者降低单点故障发生时网络业务受影响的范围和程度。

图1-1 树形拓扑网络

​ 避免单点故障的最常见方法就是在各设备之间采用更多的冗余物理链路进行连接，如图1-2所示，在核心层采用多台设备进行全互连防止单点故障，而在汇聚层和接入层则采用双归属甚至环形连接来达到上行链路的负载分担和冗余备份。不过在此类网络中，一个数据报文从一个终端转发到另一个终端可能有多条路径，如果每条路经都转发一份报文，则目的终端将收到大量重复的报文，广播报文也会在网络中被不断复制，最终形成广播风暴，因此不得不采用一定的算法来计算并选择终端之间的唯一转发路径。最先被开发设计出来解决此问题的协议当属STP（Spanning Tree Protocol,生成树协议）。

图1-2 网状网络

​ STP的计算将错综复杂的物理网络整理成一颗逻辑转发数，将那些当前没有必要使用的链路进行逻辑阻塞，从而避免网络环路。而当某些当前在用的链路故障时，STP又可以快速启用那些曾经被阻塞的链路来替代之，从而恢复网络的连通性。

​ 全网状或半网状的网络采用大量的冗余物理链路来实现网络的不间断转发或者快速恢复，其建设成本相对高昂。在一定的条件下，网络对可靠性和快速自愈能力的要求可以适当降低，因此可以根据需要适当裁剪部分冗余链路而形成更为简洁经济的网络拓扑。图1-3所示的环形网络就是典型的代表之一。

图1-3 环形网络

​ 环形网络常常通过多个核心设备形成核心环网，每个核心设备再根据需要单链路或双链路接入至接入层网络。在此类网络中部署STP仍然是解决环路行之有效的方法之一。但在环形网络中，STP并不是最佳选择，RRPP(Rapid Ring Protcct Protocol，快速环网保护协议)在上述拓扑结构中显得更加高效快捷。

​ RRPP是专门针对环形网络拓扑开发设计的协议，他利用少量的冗余链路来完成环网上的冗余备份。RRPP的核心思想是在正常情况下阻塞环上某个链路，并通过协议报文的交互来监控其余链路的工作状态，一旦发现某链路发生故障，将快速恢复被阻塞的链路。相对于STP，RRPP具有更小的资源开销和更快的收敛速度，但由于实际物理冗余链路的匮乏，其可靠性在一定程度上有所损失，若环上同时发生了两个链路的故障，将导致网络被分割。

​ 根据实际情况，边缘接入层可以继续选择RRPP运行子环，或者选择其他针对性的冗余备份协议。

​ 针对网状网路的拓扑优化，除环形网络之外，还有另一种应用更为广泛的网络拓扑。如图1-4所示，所有接入层设备都采用双上行链路分别接入到上一级的两个设备，因此被称之为双归属网络。

图1-4 双归属网络

​ 在双归属网络中，如果允许STP来实现冗余备份，网络的倒换收敛时间在秒级；而采用另一种更为高效的冗余备份协议——Smart Link(智能链路)来实现冗余备份，网络倒换收敛时间则降低到毫秒级。Smart Link之所以能够到达如此高效的倒换性能，归因于此网络中任何一条链路的故障倒换都只需要直接相连的交换机一次动作即可完成，而不需要像STP那样等待协议报文交互和在计算。

​ Smart Link设备将上行的两条链路作为一个备份组来考虑，在任何时刻都保持其中一条链路工作，而阻塞另外一条链路。当工作链路发生故障并被检测到时，Smart Link设备立即启用阻塞链路而恢复网络连通。

​ 在某些特殊情况下，Smart Link也可能失去作用。例如，当上一级交换机的所有上行链路都出现故障时，下一级交换机并不能够感知这种网络拓扑的变化。为了弥补Smart Link的缺陷，Monitor Link应运而生。

​ Monitor Link专门负责对上行链路的监控。一旦发现上行链路全部故障，设备可以立即关闭下行链路而触发Smart Link的倒换。Smart Link与Monitor Link配合，可以实现网络链路快速高效的冗余备份。

​ 在冗余备份网络中，无论采用网状链接、环形链接还是双归属结构，一旦某条当前在用的链路发生故障，必然导致网络路径的改变，也必然引起网络连通性的中断，其不同之处仅在于中断时间的长短。然而另一链路级备份协议则可以更好的完成链路的冗余备份，它就是链路聚合（Link Aggregation）。

​ 链路聚合采用多条物理链路捆绑形成逻辑聚合组，只要链路聚合组的任何一条物理链路保持联通状态，则整个网络逻辑链路仍然保持连通状态。因此，当某条物理链路发生故障而失去连通性时，并不影响整个逻辑聚合组的连通状态，从而保证了网络的不间断连通性。如图1-5所示，在核心设备之间采用聚合链路互连，即使某条物理链路发生故障，聚合链路的状态仍然保持UP而不用倒换逻辑转发路径。

​ 除此之外，链路聚合技术还可以实现链路带宽的扩容。当多个物理链路聚合形成聚合链路时，其聚合链路的实际传输带宽为这些物理链路的传输带宽之和。链路上的实际流量将根据一定的算法自动分配到各物理链路上传输。

​ STP、RRPP、Smark Link等技术基本上都是针对二层网络而设计的。但实际的大型网络并非纯二层网络，其在边缘接入层采用二层网络，而在核心和汇聚层采用三层网络，以便将二层网络控制在可以接受的范围内，来降低广播报文对网络传输效率的影响。

图1-5 聚合链路的应用

​ 在三层网络中，常用于指导数据转发的是路由表，它有多种路由协议计算生成或手工配置完成。在网状或半网状链接的三层网络中，利用路由协议的自动选路能很容易实现链路冗余备份和倒换，如图1-6所示。值得一试的是，除了实现动态路由选路的冗余备份之外，大多数动态路由协议还可以实现ECMP(Equal Cost Multiple Path,等价多路径)。ECMP可以为同一目的地同时选择多条路径完成报文传送，从而提高链路利用率。

图1-6 路由备份的应用

​ 在常见的网络中，主机通常通过自己的网关将报文传送到远端目的地。但主机往往只能指定一个三层设备作为自己的网关，当网关发生故障时，主机不得不重新指定新的三层设备作为自己的网关，因此网关的不间断服务变得尤为重要。为了实现网关的不间断服务，就必须采用相应的备份手段来确保网关的可靠性，其中VRRP(Viratual Router Redundancy Protocol)是专门为此设计的。采用VRRP实现网关备份的网络如图1-7所示。

图1-7 VRRP的应用

​ VRRP将多个物理三层设备融合起来形成一个虚拟三层设备——虚拟路由器(Virtual Router),在这些物理三层设备之间通过选举的机制选出一个Master（主设备）来担当实际的三层网关，而其余三层设备则监控Master的工作状态，Master一旦发生故障，将重新选择产生新的Master而恢复实现网关的不间断服务。在三层网关下面的主机则以虚拟路由器为自己的网关，其并不关系由哪台物理设备担负实际的网关工作。

​ 网络设计时需要保证在VRRP发生主备倒换之后，主机仍然能够与新的Master保持连通。通常用VRRP与STP配合完成，并在主备设备之间采用物理链路保证协议报文的正常交互以及部分业务报文的转发。如果需要更加充分地利用当前物理链路的传输能力，还可以采用VRRP多备份组和MSTP来实现流量的负载分担。

​ 在实际网络中，核心设备常常采用关键部件冗余的框架式设备来提高核心层的可靠性，如主控板进行主备备份，电源实现1+1冗余备份等。但此种配置成本高昂，资源利用率较低。如果采用IRF堆叠技术将多个设备堆叠形成一个设备并组网时，则既可以满足高性能的要求，又可以充分利用设备的性能，同时降低成本。

​ IRF（Intelligent Resilient Framework，智能弹性架构）通过堆叠链路将多个设备联合起来形成一个联合体，多个设备之间互相备份实现N+1的冗余备份，能大幅提高联合体的可靠性，保证不间断服务。同时IRF还将普通的链路聚合组扩展到多个设备之间，形成跨设备链路聚合，让流量在多个设备之间实现负载分担。因此IRF既实现了链路及的冗余备份，也实现了设备级的冗余备份，是一种比较全面的冗余备份技术。

1.2 组播业务的快速发展

​ 在IP网络不断发展壮大的情况下，多网合一的需求逐步形成。首先集成应用到IP网络中的当属广播电视等媒体应用。不同于传统的C/S应用，此类应用客户端数量巨大，如果客户端都与服务器建立一对一的连接，将导致服务器不堪重负。简单的广播虽然可以传递这些媒体数据，但将导致网络流量的大幅增加，因此在IP网络中出现了相对于单播和广播都不同的组播技术。

​ 单播转发依靠报文的目的IP地址实现报文的逐跳转发，最终传送到目的地。而组播并没有唯一标识接收者的目的IP，在组播报文中携带的目的IP是表示一组接收者的组播IP地址。因此，组播的转发机制也完全不同于单播转发。它依靠RPF（Reverse Path Forwarding，逆向路径转发）技术来实现组播报文的转发。在路由域内转发组播数据报文时，将根据单播路由表做逆向路径检查，以消除组播数据的冗余。

​ PIM(Protocol Independent Multicast)即采用RPF技术转发组播报文的组播路由协议代表之一。它依靠单播路由信息检查组播报文的合法性，再根据自己维护的组播组出接口列表转发组播报文。而在三层网络的边缘，网关设备负责将组播报文发送给最终客户端，因此网关必须维护组播客户端在本地的连接情况。此项维护工作交由运行在主机和网关之间的IGMP(Internet Group Management Protocol)来完成。

​ 在二层网络中，业务报文转发不再依赖于报文的IP地址，而完全依赖于报文的MAC地址。MAC地址和IP地址一样也分为单播、广播和组播等地址类型，因此在二层网络中，二层交换机只需要根据组播MAC地址维护好组播组和成员关系，即可有效地进行组播数据帧的转发。IGMP Snooping(互联网管理协议监察)以IGMP协议报文为基础，通过监听客户端和网关设备之间的交互来完成组播组与成员关系的维护。但在纯二层网络中，并没有一个网关设备运行IGMP来完成协议报文的交互。因此在二层网络中，还必须寻找一个设备来充当IGMP中的查询器，使得客户端和查询器之间的IGMP报文的正常交互得以进行，从而保证二层交换机可以正确维护成员关系。

​ IGMP Snooping的监控和组播成员维护都是基于VLAN实现的。如果客户端在不同的VLAN中，则需要在不同的VLAN内维护，而且还需要在不同的VLAN内转发相同的数据报文，这样将导致部分链路出现相同的两份组播数据报文(仅仅VLAN ID不同)而浪费网络带宽。为了解决这一问题，MVR（Multicast VLAN Register）提出了将组播数据流集中在同一VLAN中传送的思想。

​ MVR通过在特定的组播VLAN内维护组播成员关系。当客户端位于其他不同的VLAN时，交换机可以通过复制机制将组播报文从组播VLAN复制到客户端所在VLAN，而避免组播报文的重复转发；或者利用Hybrid链路的特性将客户端所在链路都加入到组播VLAN中，组播报文仅在组播VLAN内转发。前者被称之为基于VLAN的MVR，后者被称之为基于端口的MVR。

​

1.3 语言业务的部署

​ IP网络另一集成应用则是对语音业务的支持，即将传统语音纳入到IP网络中传输。传统语音网络采用电路交换技术，它可以保证语音信号的实时传送，具有低延迟、高带宽的特征。IP网络采用的却是完全不同的交换技术。

​ 数据报文的传送很可能是具有不同延迟甚至无序的，这将给语音通话带来严重的影响。为了保证语音报文有序均匀地抵达且具有最小延迟，网络设备不得不对语音报文加以区别并优先传送。Voice VLAN技术能够自动识别语音报文。它在接入层根据语音报文的特征(如语音报文的OUI)将其识别出来并将其标记为较高优先级，网络设备则根据其标定的优先级采用可靠的QoS保障机制确保语音报文的及时转发。

​ 传统语音电话并不需要额外的供电即可工作，而IP电话如果采用独立的供电系统势必给网络建设带来一系列的麻烦。PoE（Power over Ethernet，以太网供电）技术允许通过以太网线和PoE以太网交换机对IP电话进行远程供电，为传统语音网络迁移到IP语音网络排除了重要障碍。

1.4 网络安全的部署

​ IP网络的最基本的功能是完成所有IP报文的正确传送，保证业务正常运行。但这一切都基于网络的健康运行。如果网络发生故障或者收到攻击，正常的业务势必受到影响甚至导致业务中断，所以网络安全成为网络建设和维护考虑的重点。

​ 确保网络安全的基本思想是：正确地接入合法用户，防止非法用户的接入和攻击；控制流量沿正确的路径转发。针对合法用户和非法用户的判断区分，可以采用常用的各种身份认证和授权技术；针对流量控制则可以采用包过滤技术。

​ 在网络的接入边缘应尽可能采取恰当的身份认证和授权技术，如802.1X认证、集中MAC地址认证、Portal认证以及综合802.1X认证的端口安全技术。它们基本上都依赖于RADIUS或TACACS协议完成身份认证和授权。而在接入层或汇聚层应根据业务开展情况部署包过滤以拒绝非法流量进入网络，保护重要资源不被随意访问。

​ 网络安全的部署从更广泛的意义来看，不能仅限于网络设备的安全技术，而应该采用立体式综合防御。它涉及网络设备、终端用户以及管理网络设备和终端用户的一系列服务器。H3C推出的EAD(Endpoint Access Defense)综合解决方案综合了多种安全技术，全方位实现用户的身份认证、业务授权和行为控制。EAD方案在终端用户安装客户端软件对主机进行身份认证和一系列的健康检查，并报告检查结果给服务器。服务器则根据检查结果通知网络设备执行相应的隔离或授权行为，对被隔离用户服务器通过客户端软件进行健康检查恢复，如更新防病毒软件的病毒库、下载操作系统补丁软件等。主机健康检查成功后即可接入网络。

​ 上述EAD立体防御可确保接入到网络中的终端用户都是安全可靠的，从而从根源上保证了网络的安全。

1.5 网络管理的维护应用

​ 网络的健康运行离不开有效的管理，网络故障的快速定位和恢复离不开有效的维护措施和维护技能，所以网络管理和维护同样成为网络建设者和网络使用者关注的焦点。

​ 网络规模的进一步扩大化、业务的进一步复杂化使得网络管理员无法继续采用单台设备独立管理的模式，此时，用于网络设备通用管理的SNMP(Simple Network Management Protocol)发展起来。在SNMP中，被管理设备上的标准MIB（Management Information Base，管理信息库）实现了设备的工作状态记录。网管系统则通过SNMP协议对网络设备的工作状态进行查询，据此描绘网络拓扑，对参数进行设定，并接收来自网络设备的主动告警。这大大提高了网络管理的工作效率，加快了网络故障的反应速度。

​ 网络设备的日志反应设备工作状态的另一重要信息，对网络设备日志信息的有效管理也犹如对告警信息的管理一样重要。采用日志服务器集中收集并处理各网络设备的日志信息也是常用的网络管理手段之一。

​ 网络设备的急剧增长使得网管工作站的任务变得非常繁重。网络设备和网络自身的简化也成为网络建设和管理关注的内容。由此应运而生的集群（Cluster）和堆叠（Stack）技术在简化网络管理方面起到了重要作用。集群和堆叠都可以将多个设备联合起来形成一个管理单元，使得网管系统所见的管理单元大幅减少。

​ 网络管理的另一重要任务是对网络健康状况进行检查和监控，并对网络的未来建设提出正确的方案，因此网络当前流量的分布和网络资源的占用状况也是网络管理员关注的内容。镜像技术是当前采用最多、部署最为简单的网络监控方法之一。除此之外，镜像技术也是网络故障定位的必要手段之一。通过特定的镜像技术可以将指定的流量（如协议报文）镜像到指定服务器对其进行详细分析而定位问题。

​ 当网络管理员检查日志信息和设备告警信息时，会发现记录的时间信息杂乱无序，其原因在于各网络设备的时钟没有同步，NTP（Network Time Protocol）的部署可很好地实现各网络设备的时间同步