一、局域网络拓扑结构设计原则
园区网通常采用核心,汇聚,接入的三层结构。
核心层:作为网络的核心部分,不仅要求实现高速的数据转发,而且要求性能高,容量大,具备高可靠性和高稳定性。通常核心层设备都有设备的备份设计及线路的备份设计。
汇聚层:要支持丰富的功能和特性。汇聚层要隔离接入层的各种变化对核心层的冲击。路由汇聚,路由策略,NAT,ACL等等功能通常在汇聚层实现。网关一般部署在汇聚层,汇聚设备做IRF,或运行DRNI,与核心三层互联运行动态路由协议。
接入层:要提供大量的接入端口以及各种接入端口类型。
数据中心可根据实际情况可以选择三层还是两层。
选择两层结构将网关下沉到接入,Spine与Leaf之间三层Full mesh连接。减少报文经过的节点数有利于高性能计算业务的部署,而且Spine-Leaf结构更能与SDN完美结合。
二、STP/RSTP/MSTP设计原则
三、VRRP/DHCP相关设计
VRRP的负载分担:
在同一网络中配置多组VRRP时,尽量为不同的VRRP组设计Master,从而实现链路和设备的负载分担。
VRRP的稳定性设计:
根据网络环境决定是否要使能VRRP抢占功能,并合理设置延时,这样可以避免由于网络状况的不稳定而引起的主备频繁切换。
安全性设计:
在同一VRRP备份组使用认证,目前是通过密码关键字来确认同一备份组成员,可以避免误配置或网络上有意的攻击。
监控指定的端口:
根据网络的设计,通常要对某些端口进行监视,这些端口激活直接影响VRRP成员的优先级别,从而决定VRRP成员是否成为Master。
四、IRF、链路聚合、DRNI等技术的设计原则
DRNI的优势
DRNI(Distributed Resilient Network Interconnetc,分布式弹性网络互联)作为一种跨设备链路聚合的技术。除了具备增加带宽,提高链路可靠性,负载分担的优势外,还具备以下优势:
1、更高的可靠性
把链路可靠性从单板级提高到了设备级。
2、简化组网及配置
可以将DRNI理解为一种横向虚拟化技术,将双归接入的两台设备在逻辑上虚拟成一台设备。DRNI提供了一个没有环路的二层拓扑同时实现冗余备份,不再需要繁琐的生成树协议配置,极大的简化了组网及配置。
3、独立升级
DRNI系统的两台设备可以分别进行升级。(堆叠不支持)
五、容量、性能、收敛比的规划
ARP/MAC/路由表规格
在三层架构中,汇聚设备由于承担了网关的功能,ARP/MAC规格需要重点考虑,尤其时在服务器虚拟化场景中,汇聚的单板卡下可挂48个接入交换机,接入设备按48端口计算,最大可接入2000多台物理服务器,如果服务器再做虚拟化,很可能会超过板卡的ARP规格。
端口带宽使用规划
端口使用也建议提前规划,保留几个端口以备紧急需求。
端口带宽使用率建议规划不超过70%。
收敛比设计
普通的局域网或园区网,单终端网络性能需求较小,可以设计较高的收敛比。如在千兆到桌面的二层网络架构中,接入交换机的上下链路收敛可以设计为20:1。
数据中心等性能压力较大的环境中,则要求收敛比较小,一般不超过3:1。
六、局域网安全的相关设计
控制策略--认证授权
对于来源不可靠的以太网接入使用802.1x认证
控制策略--业务隔离
普通二层以太网网络中采用vlan进行隔离
建议在接入交换机接入端口配置广播抑制门限。
控制策略--网络设备访问权限
建议使用ssh登录
配置ACL,仅允许指定地址登录设备
安全防御--网络防护
主要通过防火墙来实现
管理审计--日志
最好搭建日志服务器,记录设备的日志和对设备所有的操作信息。
