华为企业网网络规划.ppt

网络规划 网络规划其实很难 一个合格的网络设计师需要具备如下条件 精通TCP IP协议族中数十个协议的原理 精通N家厂商的N百种设备的性能和配置 还要具备统筹学 经济学 哲学的基本思想 丰富的实践经验和组织协调能力 对网络中的新技术保持高度的敏感性 胆大心细 临危不乱的良好心里素质 网络规划其实很简单 瞎说 根本没那么恐怖 常用的协议不超过10个 了解大概就行 主流厂商只有几家 相同厂家的产品配置相同 很多网络的模型都十分相似 照猫画虎即可 不就是画几个框框 圈几个圈圈 连几根线么 网络规划其实很崇高 当你进行网络规划时 你与画 向日葵 的凡 高 谱写 命运交响曲 的贝多芬 唱 我的太阳 的帕瓦罗帝 设计 鸟巢 的安德鲁 没什么区别 因为你们都是 艺术工作者 目录 网络概述设备选型拓扑选择端口选择备份方案IGP路由协议规划网络安全规划 贺岁大片 网络帝国 路由器 男主角 网络中最重要的设备 提供最丰富的接口连接 软件特性 也是构建网络的核心力量 以太网设备 L2 L3 LAN接入 女主角 提供各种以太网接口类型的线速转发功能 是构建局域网和城域网的核心力量 路由交换设备 反串 提供LAN交换板的路由器 提供增强型引擎的交换机 路由器和交换机的融合趋势越来越明显 其他设备 配角 网管 安全 语音 视讯设备 提供网络的管理或业务增值功能 二层或物理层交换设备 剧务 ATM交换机 FR X 25交换机 DDN节点机 传输设备 对各种物理端口进行带宽或时隙的拆分 对于网络规划通常是不可见的 网络分类 LAN定义 通常指几公里以内的 可以通过某种介质互联的计算机 打印机 modem或其它设备的集合 特点 距离短 延迟小 数据速率高 传输可靠 LAN的设计目标 运行在有限的地理区域 允许网络设备同时访问高带宽的介质 通过局部管理控制网络的权限 提供全时的局部服务 连接物理上相邻的设备 WAN定义 在大范围区域内提供数据通信服务 主要用于互连局域网 WAN分类 公用电话网 PSTN 综合业务数字网 ISDN 数字数据网 DDN X 25共用分组交换网 帧中继 FrameRelay 异步传输模式 ATMWAN的设计目标 运行在广阔的地理区域 通过低速串行链路进行访问 网络控制服从公共服务的规则 提供全时的或部分时间的连接 连接物理上分离的 遥远的 甚至全球的设备 网络中的设备 基于CPU的设备此类设备功能最强 由于所有的功能都由软件实现 几乎无所不能 但转发性能方面差强人意 基于ASIC的设备由固化的硬件芯片实现全线速的转发 但灵活性和升级能力很差 通常只能实现基本的路由及转发功能 但对一些特殊的业务能力 VPN NAT 策略路由 支持很弱 基于NP的设备由微码级的可编程网络处理器实现全线速的转发 灵活性和升级能力远远优于ASIC 但较基于CPU的设备还有一定的差距 网络的层次划分 核心层交换数据包 实现高速的数据流量运转 核心层的设备不但需要容量大 转发快 而且需要具备高稳定性 汇聚层隔离拓朴结构变化 控制路由表的大小及控制流量 端口的收敛 实现丰富的业务特性 接入层将终端用户接入到网络中 大量的端口 强大的接入能力 实现丰富的业务特性 几点说明在小型的网络中 层次不一定这么明显 很可能只有两个甚至一个层次的设备 在一些大型网络中 层次可能划分的更细 例如 增加了边缘接入层 和骨干核心层 在某个范围之内的核心层 在上一级网络中很可能只是汇聚层 网络规划基本原则 可靠性原则从设备本身 电信级可靠性 和网络拓扑 无单点故障 两方面考虑 可扩展性原则从设备性能 是否已达到满配 可升级的能力 是否可以通过平滑的软硬件升级支持未来的新业务和新特性 和IP地址 路由协议规划等方面考虑 可运营性原则仅仅提供IP级别的连通是远远不够的 网络是否能够提供丰富的业务 足够健壮的安全级别 对关键业务的QOS保证 搭建网络的目的是真正能够给用户带来效益 可管理原则提供灵活的网络管理平台 利用一个平台实现对系统中的各种类型设备进行统一管理 提供网管对设备进行拓扑管理 配置备份 软件升级 实时监控网络中的流量及异常情况 网络规划流程图 目录 网络概述设备选型拓扑选择端口选择备份方案IGP路由协议规划网络安全规划 设备选型需要参考的因素 可靠性该设备是否提供关键模块 电源 主控板 的冗余备份 具备何种级别的可靠性转发性能通常做如下考虑 通过某设备的流量 该设备满配最大流量 2 业务支持能力除了普通的IP路由功能外 是否需要该设备支持诸如 NAT 各种VPN 策略路由 等业务属性 CPU ASIC NP 端口支持是否能够提供组网所需要的端口 扩展能力是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持 CPU ASIC NP 价格因素在综合考虑以上因素的基础上选择适当的设备 只选对的 不选贵的 目录 网络概述设备选型拓扑选择端口选择备份方案IGP路由协议规划网络安全规划 网络中常用的拓扑结构 星形或双星形常见于下层网络与上层之间的拓扑结构 主要的网络流量都在分支节点与核心节点之间发生 两个分支节点之间不通讯或流量很少 网络中常用的拓扑结构 网状或部分网状常见于同一层次 核心层或汇聚层 之间的设备互联 这些设备之间通常都是对等通信 或者这些设备之间需要确保互联而增加很多的冗余链路 网络中常用的拓扑结构 混合组网在同一个网络中 不同的层次之间通常采用不同的拓扑结构 通常核心层或汇聚层采用网状或部分网状相连 核心层与汇聚层或汇聚层与接入层之间采用星形或双星形相连 目录 网络概述设备选型拓扑选择端口选择备份方案IGP路由协议规划网络安全规划 网络中常用的端口类型 高速端口 100M以上 POS 155M 622M 2 5G ATM 155M 622M 快速以太网 100MFE GE 10GE 中速端口 10M 100M E3 34 368M T3 44 736M 以太网 10M 低速端口 10M以下 PSTN异步拨号 56K ISDN异步拨号 64K V24同步SA 64K V35同步SA 2M T1 1 54M E1 2M ADSL 2M 8M 网络中常用的端口拆分及聚合 高速端口的拆分ATM接口通过ATM交换机拆分 可以连接任意带宽的ATM接口CPOS接口通过传输设备拆分 可以连接不同带宽的E1接口高速以太网通过MSTP传输设备拆分 可以连接任意带宽的以太网接口 E1接口通过DDN节点机设备拆分 可以连接不同带宽的同步串口优点是上层设备只需提供M个端口就可以连接N个下层设备 M N 低速端口的聚合N个相同带宽为M的以太网接口可以聚合成一个NXM带宽的接口 N个相同带宽为M的串口或E1接口可以聚合成一个NXM带宽的接口 优点是可以用低速的端口提供高速的带宽 聚合后的N个物理接口从逻辑上表现为一个接口 只使用一个IP地址 聚合接口本身的聚合及备份由链路层协议解决 网络中常用的端口互联方式 对等型互联互联的两台设备之间接口类型及带宽完全相同 例如 E1 E1 100MFE 100MFE 常用于同一层次之间的设备互联 非对等型同质接口互联互联的两台设备之间的接口类型相同 但带宽不同 例如 ATM ATM交换机 n ATM 例如 1GE MSTP传输设备 n FE 常用于上层设备的1个端口与N个下层设备之间互联 优点是上层设备只需提供M个端口就可以连接N个下层设备 M N 非对等型异质接口互联互联的两台设备之间的接口类型不相同 而且带宽也不同 例如 CPOS 传输设备 n E1 例如 E1 DDN节点机 n 64K 常用于上层设备的1个端口与N个下层设备之间互联 优点是上层设备只需提供M个端口就可以连接N个下层设备 M N 目录 网络概述设备选型拓扑选择端口选择备份方案IGP路由协议规划网络安全规划 网络中常用的备份原则 基本的备份原则备份花费的代价 设备故障带来的损失 通常只考虑N 1备份 即 关键的设备 链路 模块中任何一个出现故障 不会影响整网运行 备份通常从拓扑 设备自身 协议等几方面考虑 备份不仅仅要从逻辑的角度考虑 更需要从物理的角度考虑问题 接入层备份思路通常选择不具备关键模块冗余功能的设备 通常不考虑双机备份或者仅提供双链路级别上行的备份 汇聚层备份思路通常选择具备关键模块冗余功能的设备 通常考虑双机备份 上行通常提供双链路级别的备份 并且汇聚层设备之间考虑环行连接 核心层备份思路通常选择具备电信级可靠性的设备 在拓扑上考虑核心层设备之间网状或部分网状连接 对称性备份与非对称性备份 对称性备份对称方案中主备两种方案所提供的带宽是相等的 备份设备或者备份链路同时也参与运营 非对称性备份非对称方案中备份链路提供较小或相等的带宽 只有在主用链路故障时备份链路才会生效 如果希望备份链路或备份设备也投入运行 可以通过策略路由或路由协议的规划使备份链路运行特定的部分业务流量 针对主机的备份技术 VRRP 路由器之间的VRRP两台路由器通过一台二层交换机交换VRRP报文信息 并向下提供虚拟IP及MAC地址 主用的路由器同时监控上行接口 上行链路故障或设备故障时会自动切换 虚拟地址 10 0 0 1虚拟MAC 00e0fc010203 接口10 0 0 2 接口10 0 0 3 监控上行端口 虚拟地址 10 0 0 1虚拟MAC 00e0fc010203 接口10 0 0 2 接口10 0 0 3 监控上行端口 三层交换机之间的VRRP两台L3通过一条互联的trunk接口交换VRRP报文信息 主用的L3同时监控上行接口 上行链路故障或设备故障时会自动切换 主机通常具备双机热备份机制 同时上连两台L3 针对网络设备的备份技术 链路层的备份PPP协议中的MP可以自动做到捆绑的N条链路之间的自动备份 流量的自动分配 故障时的自动切换 以太网的聚合技术 802 3ad 可以自动做到捆绑的N条链路之间的自动备份 流量的自动分配 故障时的自动切换 IP层的备份IP层的备份原理实际上是利用路由表添加路由的规则来实现的 对于到达相同目的地的路由 路由器只使用最优的一条 如果最优的路由消失 则依据相同的规则选择原来的次优路由 静态路由之间使用优先级不同来控制优劣 不同的动态路由协议之间使用优先级来控制优劣 同一协议内部使用不同的花费值来控制优劣 局域网内整机备份技术IRF通过增加设备来扩展端口数量和交换能力 同时也通过多台设备之间的互相备份增强了设备的可靠性 可以提供基于三层的链路 转发 管理 路由备份 目录 网络概述设备选型拓扑选择端口选择备份方案IGP路由协议规划网络安全规划 路由协议的规划 路由协议的选择 公欲善其事 必先利其器 不能让网络规划输在起跑线上 RIP 最古老的路由协议 特点 性能低下 只适合在小型的网络中使用 狗肉上不了大席 IGRP 在RIP的基础上稍加改进 拥有RIP所有的缺点 改良的狗肉 还是上不了大席 EIGRP 性能不错 但却是cisco的私有协议 互通性不好 而且容易引起法律纠纷 现在都是e世代了 拜托 能不能open一点 IS IS ISO与IETF帮派斗争的产物 本来是为OSI七层模型设计 后来强行移植到IP上 驴唇不对马嘴 OSPF 是因特网上使用最为广范的IGP 专家强力推荐 相信我 没错的 BGP 是目前因特网上唯一的一种EGP协议 只此一家 别无分店 静态路由 适合小型网络 动态路由的有效补充 配置容易 缺点是扩展性较差 网络变化适应性不好 目录 网络概述设备选型拓扑选择端口选择备份方案IGP路由协议规划网络安全规划 网络安全规划的基本原则 网络安全是一个复杂的体系结构 涉及到几乎全网中的任何设备以及任何层次 网络安全只是一个相对的概念 无论你付出多大的代价 都不存在绝对安全的网络 部署网络安全通常会带来副作用 例如 占用带宽 降低设备的处理能力 给使用和管理网络带来诸多不便之处 所以要在网络的安全和性能之间找到恰当的平衡点 补充说明 关键指标定义 重庆市公安局办公新大楼 内网 内网 外网物理隔离 分别设计 单独网管 1 覆盖范围 需要建成覆盖主楼17个楼层 七个裙楼 包括南业务楼 北业务楼 办证大厅 武警楼 门楼 后勤楼等 总信息点3000左右 2 速率要求 实现万兆骨干 先上千兆 但是必须留有万兆扩展空间 千兆到桌面 3 充分保障网络可靠性 统一网管 案例分析 公安新大楼 信息点分布 案例分析 公安新大楼 设计原则 1 实用性和先进性2 安全可靠性3 灵活性和可扩展性4 开放性和互连性5 可管理性 核心设备通常应该具备 高可靠性和高冗余性 高性能 大容量 并且具备良好的扩展能力 迅速升级能力 采用先进的逐包转发技术 具备抵御 冲击波 等病毒的能力 案例分析 公安新大楼 核心设备选择 端口需求 24个千兆电接口 用于连接服务器 33个千兆光接口 用于连接各个楼层设备 并且有扩展33个万兆接口的能力 具备相当的处理性能 核心设备不二的选择 S8500系列产品 万兆核心交换机 S8500系列 业界首台Tbit核心交换机 S8500交换机的特色 特色一 深度业务感知 BT限流 与IDS联动 特色二 全分布式线速 支持全分布式线速业务处理和IP包转发的核心交换机特色三 安全的逐包转发 安全的最长匹配逐包转发技术 基于ASIC实现最长匹配逐包转发的核心交换机特色四 丰富的接口板卡选择 弹性可扩展的容量 可扩展弹性容量核心交换机 720G 428Mpps 交换容量 吞吐率 容量可平滑升级翻翻达1 44T 857Mpps 未来甚至还可以升级到2 88T 1428Mpps 始终保持业界容量和处理能力的优势 并可平滑支持未来40G以太网等大带宽新技术 特色五 弹性可扩展的业务 采用NP ASIC架构的核心交换机 ASIC 基本业务如MPLS QoS 组播等 经济高效低成本 NP 增值业务如NAT Webswitch IDS Firewall等 前所未有的灵活性支持层出不穷的新业务 完美结合 灵活性与低成本两不误特色六 新一代万兆技术 支持强大的QoS保障 丰富的ACL 策略路由 安全等特性 实现应用智能 服务质量 QoS 机制和安全性功能的完美结合 用户能够在不牺牲万兆线速性能的情况下更有效地使用自己的网络提供更多的业务支持 S8500全分布式业务处理 S8500的业务处理都分布在各线卡上 各线卡协同工作 分别处理 这种处理模式与集中式处理模式相比 有很大的优越性 集中式处理模式一般将业务处理放到单个业务处理板上 所有业务数据流量都要转到这个业务处理板上 这样整机业务性能实际受限于这块业务处理板的能力 一般无法支持大数据量的处理 形成性能瓶颈 S8500各线卡都包含处理能力强大的包处理转发引擎 可以线速处理二层 IPv4 策略路由 MPLSVPN和组播等各种数据包转发 集中式业务处理 分布式业务处理 S8500的配置 基本配置篇 机柜 主机 主控板 电源 一个完整的配置包括 机柜 可选 主机 主控板 电源 接口板卡 电缆注意点 主机各不相同 主控卡各不相同 电源板各不相同 接口板卡全部通用 S8500的配置 接口板卡篇 整体而言 S8500的板卡目前分为2种 标准型和增强型 增强型支持MPLS 配置 光纤模块篇 S8500系列光纤模块包括100M 1000M 万兆接口 所有模块均为SFP形式 S8512配置实例 机柜 双主控 双电源 33个千兆单模光接口 24口千兆电接口 基本配置 接口板卡配置 光纤模块配置 案例分析 公安新大楼 接入设备选择 1 二层还是三层 三层转发完全由核心设备完成 对于核心交换机的负荷过大全网配置二层协议 配置复杂且要求核心设备支持过多的接入级二层协议为了支持大量的VLAN间转发核心设备必须配置大量的三层接口大面积的二层广播域极易造成广播风暴 和不必要的垃圾流量泛滥网络冗余备份主要靠二层的STP协议完成 造成大量链路处于空闲状态 链路带宽浪费严重 三层转发由接入层设备有效分担 核心交换机的负荷小接入级二层协议主要在接入层完成 对于核心设备的功能要求简单 且可以简化全网的配置 VLAN间转发由接入L3分担可以减少核心设备三层接口的数量将二层广播域限制在接入层降低广播流量的范围网络冗余备份靠三层的路由完成 通过等效路由还可以做到流量的合理分担 对链路的利用率高 案例分析 公安新大楼 接入设备选择 2 S5600还是S6500 功能性能可靠性扩展性价格 S5600全千兆智能弹性交换机 S5624P24个千兆电口 4SFP 1口扩展槽 2个专用堆叠接口S5624P PWRS5624 POE电源S5648P48个千兆电口 4SFP 1口扩展槽 2个专用堆叠接口S5648P PWRS5648 POE电源 192 240G交换容量66M