第29章_园区网典型组网架构及案例实践
- 当您在校园学习,单位工作,商场购物时,您可能会注意到,这些场所都被网络覆盖。通过网络,您可以访问学校内部资源,可以访问公司内部打印机打印文档,也可以访问Internet浏览新闻资讯。
- 这些网络在分类上都属于园区网络,一般由企业或者机构自己搭建。园区网络不仅可以提升企业的运作效率,同时也可以对外提供网络接入服务。
- 本章我们将学习园区网络基本架构,同时了解如何搭建一张园区网。
1.园区网络基本概念
1.1什么是园区网
- 园区网络是限定区域内,连接人与物的局域网络;园区网络通常只有一个管理主体;如果有多个管理主体,通常被认为为多个园区网络。
- 园区网络的规模可大可小,小到一个SOHO(Small Office Home Office,家居办公室),大到校园、企业园区、公园、购物中心等。园区的规模是有限的,一般的大型园区,例如高校园区、工业园区,规模依然被限制在几平方公里以内,在这个范围内,我们可以使用局域网技术构建网络。超过这个范围的“园区”通常被视作一个“城域”,需要使用到广域网技术,相应的网络会被视作城域网。
- 园区网络使用的典型局域网技术包括遵循IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师协会) 802.3 标准的Ethernet 技术(有线)和遵循IEEE 802.11 标准的Wi-Fi 技术(无线)。
1.2园区网络典型架构
园区网络典型层次和区域:
- 核心层:是园区网骨干,是园区数据交换的核心,联接园区网的各个组成部分,如数据中心、管理中心、园区出口等。
- 汇聚层:处于园区网的中间层次,完成数据汇聚或交换的功能,可以提供一些关键的网络基本功能,如路由、 QoS、安全等。
- 接入层:为终端用户提供园区网接入服务,是园区网的边界。
- 出口区:园区内部网络到外部网络的边界,用于实现内部用户接入到公网,外部用户接入到内部网络。一般会在此区域中部署大量的网络安全设备来抵御外部网络的攻击,如IPS(intrusion prevention system,入侵防御系统)、Anti-DDoS设备、Firewall(防火墙)等。
- 数据中心区:部署服务器和应用系统的区域,为企业内部和外部用户提供数据和应用服务。
- 网络管理区:部署网络管理系统的区域,包括SDN控制器,无线控制器,eLOG(日志服务器)等,管理监控整个园区网络。
1.3小型园区网络典型架构
1.4中型园区网络典型架构
1.5大型园区网络典型架构
1.6园区网络主要协议/技术
2.园区网络项目实战
2.1网络需求
- 某公司(规模为200人左右)因业务发展需要,准备搭建一张全新的园区网络,对网络需求如下:
- 能够满足公司当前的业务需求
- 网络拓扑简单,维护方便
- 提供有线接入供员工办公使用,提供WiFi服务供访客使用
- 做到简单的网络流量管理
- 保证一定的安全性
2.2园区网络项目生命周期
- 网络的规划与设计是一个项目的起点,完善细致的规划工作将为后续的项目具体工作打下坚实的基础。
- 项目实施是工程师交付项目的具体操作环节,系统的管理和高效的流程是确保项目实施顺利完成的基本要素。
- 要保证网络各项功能正常运行、从而支撑用户业务的顺利开展,需要对网络进行日常的维护工作和故障处理。
- 用户的业务在不断发展,因此用户对网络功能的需求也会不断变化。当现有网络不能满足业务需求,或网络在运行过程中暴露出了某些隐患时,就需要通过网络优化来解决。
2.3小型园区网络设计
2.4组网方案设计
- 整个网络采用三层架构
- 接入层接入交换机采用S3700,为员工PC以及打印机等终端提供百兆网络接入。
- 汇聚层采用S5700设备,作为二层网络的网关。
- 核心&出口采用AR2240设备,作为整个园区网络的出口。
- 注:Agg为Aggregation的缩写,表示汇聚层设备。Acc为Access的缩写,表示接入层设备。
2.5基础业务设计:VLAN设计
- VLAN编号建议连续分配,以保证VLAN资源合理利用。
- VLAN划分需要区分业务VLAN、 管理VLAN和互联VLAN。
- 最常用的划分方式是基于接口的方式。
2.5.1VLAN规划
- 预留二层设备的管理VLAN。
- 根据人员结构划分,分为访客VLAN,研发部VLAN,市场部VLAN,行政部VLAN。
- 考虑到三层交换机需要通过VLANIF与路由连通,所以需要预留互联VLAN。
- AP与AC之间建立CAPWAP隧道所需要的VLAN。
2.6基础业务设计:IP地址设计
2.6.1IP地址规划
- 综合考虑接入客户端个数并预留足够的IP地址,为每类业务规划网段及网关地址。
- 为管理IP划分网段。
- 为互联IP划分网段。
2.7基础业务设计:IP地址分配方式设计
- IP地址分配时可以使用动态IP分配或者静态IP绑定。在中小型园区中, IP地址具体的分配原则如下:
- 出口网关设备: WAN侧接口的IP地址由运营商进行分配,可以通过静态IP地址、 DHCP、 或者PPPoE方式分配,对于出口网关的IP地址需要提前与运营商沟通获取。
- 服务器、特殊终端设备(打卡机、打印服务器、 IP视频监控设备等)建议采用静态IP地址绑定方式分配。
- 用户终端:用户办公用PC、IP电话等设备建议通过在网关设备上部署DHCP Server后,统一通过DHCP方式动态分配。
2.7.1IP地址分配方式规划
- 出口网关采用PPPoE方式获取IP地址。
- 所有终端采用DHCP方式获取IP地址,服务器及打印机分配固定的IP地址。
- 所有网络设备上的IP地址采用手工静态方式配置(AP除外)。
2.8基础业务设计:路由设计
- 中小型园区网络的路由设计包括园区内部的路由设计及园区出口与Internet/广域设备之间的路由设计。
- 园区内部的路由设计:主要满足园区内部设备/终端的互通需求,并且可以与外部路由交互。由于中小型园 区的网络规模比较小,网络结构也比较简单。
- AP设备:通过DHCP分配IP地址后默认会生成一条缺省路由。
- 交换机、网关设备:通过静态路由即可满足需求,无需部署复杂的路由协议。
- 园区出口的路由设计:出口路由设计主要满足园区内部用户访问Internet和广域网的需求。出口设备与 Internet或者WAN连接时,建议在出口设备上配置静态路由来满足需求。
2.9WLAN设计
- 除了要规划组网和数据转发方式外,仍需进行:
- 网络覆盖设计:针对无线网络覆盖的区域设计规划,保证区域覆盖范围内的信号强度能满足用户的要求,并且解决相邻AP间的同频干扰问题。
- 网络容量设计:根据无线终端的带宽要求、终端数目、并发率、单AP性能等数据来设计部署网络所需的AP数量,确保无线网络性能可以满足所有终端的上网业务需求。
- AP布放设计:在网络覆盖设计的基础上,根据实际情况对AP的实际布放位置、布放方式和供电走线原则进行修正确认。
- 此外还需进行WLAN安全设计、漫游设计等,本课程不再一一列举。
2.10WLAN数据规划
2.11可靠性设计
2.12二层环路避免
2.13出口NAT设计
2.14安全设计
- 说明:本案例的安全设计仅依靠路由器或交换机设备实现。
2.15运维管理设计
2.16小型园区网络部署与实施
- 项目的部署与实施需要按照一定流程进行,内容包括:
- 方案制定
- 设备安装
- 网络调试
- 割接并网
- 转维培训
- 项目验收
- 具体流程按照项目实际情况进行确定。
2.17配置方案
- 网络设备之间物理线路连接,配置链路聚合,同时添加接口描述,详细内容如下:
- 基础业务-VLAN配置,采用基于端口的划分方式,详细内容如下:
- 基础业务-IP地址配置,终端与AP采用DHCP方式,设备采用静态配置,详细内容如下:
- 基础业务-IP地址分配方式配置,关于DHCP的详细内容如下:
- 基础业务-路由配置,由于网络规模较小且网元数量较少,采用静态路由方式,详细内容如下:
- 网络管理配置,采用Telnet远程管理,认证方式为AAA,详细内容如下:
- 网络出口配置
WLAN配置,按照WLAN规划内容进行配置即可。
安全相关配置,详细内容如下:
2.18小型园区网络调试
2.19小型园区网络运维
- 项目上线运行之后,就进入到了运维阶段,常见的运维手段包括:
- 设备环境
- 检查设备基本信息
- 检查设备运行状态
- 检查业务检查
- 告警处理
- 当网络达到一定规模,可以采用网络管理软件进行管理和运维,提升效率。
2.20小型园区网络优化
- 通过网络优化,能够整体提升网络的可靠性、健壮性,更好的支撑企业业务的发展。常见的优化方案包括但不限于:
- 设备性能优化,如升级硬件设备、更新设备软件版本等。
- 网络基础优化,如网络架构优化、路由协议调整等。
- 业务质量优化,如针对语音、视频业务的优先转发等。
- 应从网络需求出发,结合实际情况制定适合的优化方案。
3.本章总结
- 本章介绍了园区网络的概念、类型以及常见技术等。
- 了解园区网络生命周期:
- 规划与设计
- 部署与实施
- 网络运维
- 网络优化
- 结合之前课程内容,着重介绍了园区网络的规划设计与部署实施,完成一张小型园区网络的搭建。