盗墓笔记,玄幻小说

解決方案

總體原則

基本設(shè)計原則

園區(qū)網(wǎng)絡(luò)作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施，為用戶提供網(wǎng)絡(luò)通信服務(wù)和訪問資源權(quán)限，其復(fù)雜多樣的訪問關(guān)系以及多種多樣的業(yè)務(wù)類型必然要求園區(qū)網(wǎng)的設(shè)計要有良好的指導(dǎo)思想和設(shè)計原則。園區(qū)網(wǎng)設(shè)計過程中，應(yīng)當(dāng)遵循如下設(shè)計原則：

可靠性原則：園區(qū)網(wǎng)必須穩(wěn)定可靠工作，業(yè)務(wù)不中斷，保證業(yè)務(wù)體驗(yàn)。這就要求關(guān)鍵部件采用冗余或備份架構(gòu)，發(fā)生故障時可以快速恢復(fù)。
可信任原則：網(wǎng)絡(luò)必須安全、可信任，保障網(wǎng)絡(luò)和業(yè)務(wù)安全。這就要求全網(wǎng)安全可信，具有完善的安全防護(hù)措施，防止惡意破壞，保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)安全。
可擴(kuò)展原則：網(wǎng)絡(luò)平滑升級和擴(kuò)展，滿足未來3～5年的發(fā)展規(guī)劃，充分發(fā)揮網(wǎng)絡(luò)價值，減少重復(fù)投資，避免資源浪費(fèi)。這就要求園區(qū)網(wǎng)適應(yīng)不同業(yè)務(wù)部署和擴(kuò)展需求，包括部署新業(yè)務(wù)以及網(wǎng)絡(luò)平滑擴(kuò)展等要求。
易管理原則：網(wǎng)絡(luò)容易管理和維護(hù)，網(wǎng)絡(luò)診斷和故障定位容易，降低運(yùn)維難度，提升客戶體驗(yàn)。這就要求全網(wǎng)多業(yè)務(wù)智能、主動和綜合管理，實(shí)時分析網(wǎng)絡(luò)健康狀況，積極預(yù)防，故障發(fā)生時可以快速排除故障，減少損失。
可運(yùn)營原則：支持和方便部署新業(yè)務(wù)，如VoIP、UC（統(tǒng)一通信）、智真、桌面云等。
經(jīng)濟(jì)性原則：最大化投資回報和降低投資成本。

網(wǎng)絡(luò)架構(gòu)設(shè)計

園區(qū)虛擬網(wǎng)絡(luò)架構(gòu)介紹

在大中型園區(qū)網(wǎng)絡(luò)場景中，如果需要通過虛擬化方案做到業(yè)務(wù)和網(wǎng)絡(luò)解耦，在不改變基礎(chǔ)網(wǎng)絡(luò)的情況下，實(shí)現(xiàn)一網(wǎng)多用和業(yè)務(wù)的靈活、快速部署，這就對園區(qū)的虛擬網(wǎng)絡(luò)架構(gòu)提出了異于傳統(tǒng)網(wǎng)絡(luò)的要求。圖2-70所示為園區(qū)虛擬網(wǎng)絡(luò)架構(gòu)，Underlay即為物理網(wǎng)絡(luò)層，Overlay為基于VXLAN技術(shù)構(gòu)建在Underlay之上的虛擬網(wǎng)絡(luò)層。

圖2-70 園區(qū)虛擬網(wǎng)絡(luò)架構(gòu)

Overlay包括Fabric和VN兩部分：

Fabric：對Underlay網(wǎng)絡(luò)抽象后的資源池化網(wǎng)絡(luò)。在創(chuàng)建實(shí)例化的虛擬網(wǎng)絡(luò)（VN）時，可以選取Fabric中的網(wǎng)絡(luò)資源。
Fabric組網(wǎng)中，對VXLAN隧道端點(diǎn)VTEP（VXLAN Tunnel Endpoints）做了進(jìn)一步的角色劃分：
- Border：Fabric網(wǎng)絡(luò)的邊界網(wǎng)關(guān)節(jié)點(diǎn)，對應(yīng)實(shí)體為物理網(wǎng)絡(luò)設(shè)備，提供Fabric網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間的數(shù)據(jù)轉(zhuǎn)發(fā)。一般將支持VXLAN的核心交換機(jī)作為Border。
- Edge：Fabric網(wǎng)絡(luò)的邊緣節(jié)點(diǎn)，對應(yīng)實(shí)體為物理網(wǎng)絡(luò)設(shè)備，接入用戶的流量從這里進(jìn)入Fabric網(wǎng)絡(luò)。一般將支持VXLAN的接入交換機(jī)或匯聚交換機(jī)作為Edge。
虛擬網(wǎng)絡(luò)（VN）：Virtual Network，通過將Fabric實(shí)例化，能夠構(gòu)建邏輯上隔離的虛擬網(wǎng)絡(luò)實(shí)例（圖中的VN1、VN2）。一個VN對應(yīng)一個隔離網(wǎng)絡(luò)（業(yè)務(wù)網(wǎng)絡(luò)），比如研發(fā)專網(wǎng)。

表2-41列出了Fabric包含的資源池，以及創(chuàng)建VN時如何調(diào)用這些資源。

表2-41 Fabric包含的資源池以及創(chuàng)建VN時資源調(diào)用的對應(yīng)表

Fabric包含的資源池	創(chuàng)建VN時如何調(diào)用資源池中的資源
VN資源池，主要是指Overlay能創(chuàng)建的VN數(shù)量。	創(chuàng)建VN，每創(chuàng)建一個VN就相當(dāng)于使用了一個VN資源。
VLAN資源池，VN接入終端、與外部互聯(lián)等場景使用，配置Fabric全局資源池時規(guī)劃。	在VN中創(chuàng)建用戶網(wǎng)關(guān)時，設(shè)置的用戶VLAN為Fabric全局資源池中的資源。
BD/VNI資源池，VN中劃分的二層廣播域，對應(yīng)的VBDIF接口作為用戶子網(wǎng)網(wǎng)關(guān)接口，配置Fabric全局資源池時規(guī)劃。	在VN中創(chuàng)建用戶網(wǎng)關(guān)時，會自動從BD/VNI資源池中調(diào)用資源，創(chuàng)建BD廣播域及對應(yīng)的VBDIF接口。
用戶接入點(diǎn)資源池，配置Fabric的接入管理時規(guī)劃，包括接入點(diǎn)綁定的認(rèn)證方式。	在VN中配置用戶接入時，可選取已規(guī)劃的接入點(diǎn)資源。
外部出口池，指VN可以使用的外部資源，配置Fabric時主要創(chuàng)建兩類：外部網(wǎng)絡(luò)，用于VN與外部互通。網(wǎng)絡(luò)服務(wù)資源，用于VN與認(rèn)證服務(wù)器、DHCP服務(wù)器等互通	創(chuàng)建VN時，可選取外部網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)資源。

Underlay網(wǎng)絡(luò)架構(gòu)設(shè)計

大中型園區(qū)網(wǎng)絡(luò)虛擬化方案的物理組網(wǎng)繼承傳統(tǒng)大中型園區(qū)的網(wǎng)絡(luò)規(guī)劃，通常采用核心層為“根”的樹形網(wǎng)絡(luò)架構(gòu)，拓?fù)浞€(wěn)定，易于擴(kuò)展和維護(hù)。如圖2-71所示，園區(qū)網(wǎng)絡(luò)可劃分為接入層、匯聚層、核心層，以及各個功能分區(qū)，各功能分區(qū)模塊清晰，模塊內(nèi)部調(diào)整涉及范圍小，易于進(jìn)行問題定位。

圖2-71 大中型網(wǎng)絡(luò)虛擬化方案的物理組網(wǎng)圖

表2-42 物理網(wǎng)絡(luò)分層以及各功能區(qū)域介紹

名稱	描述
終端層	終端層是指接入園區(qū)網(wǎng)絡(luò)的各種終端設(shè)備，例如電腦、打印機(jī)、IP話機(jī)、手機(jī)、攝像頭等。
接入層	接入層為用戶提供各種接入方式，是終端接入網(wǎng)絡(luò)的第一層。接入層通常由接入交換機(jī)組成，接入層交換機(jī)在網(wǎng)絡(luò)中數(shù)量眾多，安裝位置分散。如果終端層存在無線終端設(shè)備，接入層需要無線接入點(diǎn)AP設(shè)備，AP設(shè)備通過接入交換機(jī)接入網(wǎng)絡(luò)。
匯聚層	匯聚層是接入層與園區(qū)核心骨干網(wǎng)之間的網(wǎng)絡(luò)分界線，主要用于轉(zhuǎn)發(fā)用戶間的“橫向”流量，同時轉(zhuǎn)發(fā)到核心層的“縱向”流量。匯聚層可作為部門或區(qū)域內(nèi)部的交換核心，實(shí)現(xiàn)與區(qū)域或部門專用服務(wù)器區(qū)的連接。另外匯聚層還可以擴(kuò)展接入終端的數(shù)量。
核心層	核心層是園區(qū)數(shù)據(jù)交換的核心，連接園區(qū)網(wǎng)的各個組成部分，如數(shù)據(jù)中心/網(wǎng)絡(luò)管理區(qū)、匯聚層、出口區(qū)等，核心層負(fù)責(zé)整個園區(qū)網(wǎng)絡(luò)的高速互聯(lián)。網(wǎng)絡(luò)需要實(shí)現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂，通常需要部署高性能的核心交換機(jī)，通常三個以上部門規(guī)模的園區(qū)網(wǎng)建議規(guī)劃核心層。
出口網(wǎng)絡(luò)	園區(qū)出口是園區(qū)內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的邊界，內(nèi)部用戶通過園區(qū)出口區(qū)接入到外部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)的用戶通過園區(qū)出口區(qū)接入到內(nèi)部網(wǎng)絡(luò)。園區(qū)出口區(qū)一般需要部署防火墻。提供邊界安全防護(hù)能力。
網(wǎng)絡(luò)管理區(qū)	網(wǎng)絡(luò)管理區(qū)是部署運(yùn)維管理系統(tǒng)的服務(wù)器區(qū)域。大中型園區(qū)網(wǎng)絡(luò)虛擬化方案中，主要涉及如下系統(tǒng)的部署： iMaster NCE-Campus：園區(qū)網(wǎng)絡(luò)自動化引擎，主要對網(wǎng)絡(luò)設(shè)備進(jìn)行業(yè)務(wù)配置發(fā)放；支持與第三方平臺集成，提供開放的接口；支持作為認(rèn)證策略服務(wù)器，提供AAA認(rèn)證和業(yè)務(wù)隨行服務(wù)。 iMaster NCE-CampusInsight：園區(qū)網(wǎng)絡(luò)智能分析引擎，基于Telemetry、大數(shù)據(jù)和智能算法，提供智能運(yùn)維服務(wù)。 CIS：園區(qū)網(wǎng)絡(luò)安全智能分析引擎，基于大數(shù)據(jù)和智能算法，提供安全協(xié)防服務(wù)。 DHCP服務(wù)器：實(shí)現(xiàn)用戶終端IP地址的動態(tài)分配。

物理網(wǎng)絡(luò)架構(gòu)分層規(guī)劃

針對物理網(wǎng)絡(luò)接入層、匯聚層和核心層的層次結(jié)構(gòu)，在實(shí)際應(yīng)用中，可以根據(jù)網(wǎng)絡(luò)規(guī)?；驑I(yè)務(wù)需要靈活選擇三層或二層架構(gòu)，如圖2-72所示。

涉及一棟樓的園區(qū)網(wǎng)絡(luò)，通常采用二層架構(gòu)，只需要接入層和匯聚層。涉及多棟樓的大型園區(qū)網(wǎng)絡(luò)（比如高校園區(qū)網(wǎng)），通常采用三層架構(gòu)，需要接入層、匯聚層和核心層。

圖2-72 物理網(wǎng)絡(luò)架構(gòu)分層

網(wǎng)絡(luò)設(shè)計時，一般會根據(jù)網(wǎng)絡(luò)規(guī)模采用自底向上的方法來確定采用幾層架構(gòu)，設(shè)計方法如圖2-73所示。

圖2-73 網(wǎng)絡(luò)架構(gòu)分層設(shè)計方法

Overlay網(wǎng)絡(luò)架構(gòu)設(shè)計

Overlay網(wǎng)絡(luò)架構(gòu)設(shè)計主要是對Fabric組網(wǎng)進(jìn)行設(shè)計。如圖2-74所示，F(xiàn)abric網(wǎng)絡(luò)根據(jù)物理網(wǎng)絡(luò)層次有兩層組網(wǎng)和三層組網(wǎng)。三層架構(gòu)的Fabric網(wǎng)絡(luò)的組網(wǎng)類型分為VXLAN到匯聚和VXLAN到接入兩種。

圖2-74 Fabric組網(wǎng)示意圖

分布式網(wǎng)關(guān)方案建議在網(wǎng)絡(luò)規(guī)模較大的三層物理組網(wǎng)中部署，如果是網(wǎng)絡(luò)規(guī)模較小的兩層組網(wǎng)，推薦采用集中式網(wǎng)關(guān)方案，便于Border作為用戶網(wǎng)關(guān)統(tǒng)一管理、簡化運(yùn)維。而且Fabric組網(wǎng)推薦采用VXLAN到匯聚，如果采用VXLAN到接入，接入交換機(jī)作為Edge節(jié)點(diǎn)，所有的接入交換機(jī)都將作為用戶網(wǎng)關(guān)，這會大大增加運(yùn)維管理的工作量。

網(wǎng)絡(luò)資源規(guī)劃

VLAN/BD規(guī)劃

BD資源規(guī)劃

在VN中，二層廣播域基于BD構(gòu)建。在一個BD內(nèi)，用戶終端可以不受地理位置影響，進(jìn)行互通。在大中型園區(qū)虛擬化方案中，BD資源的規(guī)劃原則如下：

BD與用戶業(yè)務(wù)VLAN的對應(yīng)關(guān)系建議為1:1，如圖2-75所示。
在VN中，每創(chuàng)建一個基于VXLAN的用戶網(wǎng)關(guān)，就會從Fabric全局的BD資源池中自動順序調(diào)用一個BD資源。BD可不考慮如何劃分，而只需關(guān)注用戶業(yè)務(wù)VLAN的劃分原則即可。
BD資源池的范圍應(yīng)滿足用戶業(yè)務(wù)VLAN規(guī)劃的數(shù)量。

圖2-75 BD與業(yè)務(wù)VLAN關(guān)聯(lián)示意圖

VLAN資源規(guī)劃

在大中型園區(qū)網(wǎng)絡(luò)虛擬化方案中，雖然基于BD可以構(gòu)建大二層廣播域，但是用戶終端還是通過VLAN接入園區(qū)網(wǎng)絡(luò)，VLAN再與BD進(jìn)行綁定。而且園區(qū)網(wǎng)絡(luò)也需要通過VLAN進(jìn)行互聯(lián)。大中型園區(qū)網(wǎng)絡(luò)虛擬化方案遵循傳統(tǒng)園區(qū)網(wǎng)絡(luò)VLAN的規(guī)劃原則，具體如下：

按照不同業(yè)務(wù)區(qū)域劃分不同的VLAN。
同一業(yè)務(wù)區(qū)域按照具體的業(yè)務(wù)類型劃分不同的VLAN。
VLAN編號建議連續(xù)分配，以保證VLAN資源合理利用。
建議預(yù)留一定數(shù)目VLAN以方便后續(xù)擴(kuò)展。

VLAN的分類通常有業(yè)務(wù)VLAN、管理VLAN和互聯(lián)VLAN，設(shè)計建議如表2-43所示。

表2-43 VLAN資源規(guī)劃建議

分類	規(guī)劃建議
業(yè)務(wù)VLAN	通?？梢园凑者壿媴^(qū)域、組織結(jié)構(gòu)和業(yè)務(wù)類型分層劃分VLAN范圍。按照邏輯區(qū)域劃分VLAN，如服務(wù)器區(qū)使用VLAN 200～VLAN 999，接入網(wǎng)絡(luò)使用VLAN 2000～VLAN 3499。按照組織結(jié)構(gòu)劃分VLAN，如A部門使用VLAN 2000～VLAN 2499，B部門使用VLAN 2500～VLAN 2999。按照業(yè)務(wù)類型劃分VLAN，如A部門員工終端使用VLAN 2000～VLAN2099，A部門啞終端使用 VLAN 2100～VLAN 2199。
管理VLAN	主要用于園區(qū)網(wǎng)絡(luò)設(shè)備的管理，針對不同層次及功能區(qū)的網(wǎng)絡(luò)設(shè)備，管理VLAN規(guī)劃如下。網(wǎng)絡(luò)管理區(qū)服務(wù)器：如果非數(shù)據(jù)中心網(wǎng)絡(luò)，且涉及服務(wù)器數(shù)量較少，建議所有服務(wù)器規(guī)劃到一個管理VLAN。網(wǎng)絡(luò)管理區(qū)交換機(jī)：如果非數(shù)據(jù)中心網(wǎng)絡(luò)，且涉及交換機(jī)數(shù)量較少，建議使用物理的管理接口，不需要專門規(guī)劃管理VLAN。出口網(wǎng)絡(luò)設(shè)備：建議使用三層業(yè)務(wù)口作為管理接口，不需要專門規(guī)劃管理VLAN。核心交換機(jī)：建議單獨(dú)規(guī)劃一個管理VLAN，并將管理VLAN的VLANIF接口作為管理接口，iMaster NCE-Campus通過該接口來管理核心交換機(jī)。核心層以下設(shè)備：根據(jù)設(shè)備規(guī)模的不同，建議規(guī)劃一個或者多個管理VLAN，并將管理VLAN的VLANIF接口作為管理接口，iMaster NCE-Campus通過該接口來管理設(shè)備。如果設(shè)備規(guī)模較小，建議所有匯聚交換機(jī)、接入交換機(jī)、AP使用同一個管理VLAN。如果設(shè)備規(guī)模較大，建議所有匯聚交換機(jī)、接入交換機(jī)使用同一個管理VLAN，所有AP使用同一個管理VLAN。如果設(shè)備規(guī)模很大，建議按網(wǎng)絡(luò)層次規(guī)劃設(shè)備組，每個設(shè)備組使用同一個管理VLAN，比如將每個匯聚交換機(jī)及以下的設(shè)備劃分到一個設(shè)備組，使用同一個管理VLAN。
互聯(lián)VLAN	大中型園區(qū)網(wǎng)絡(luò)虛擬化方案中，Underlay網(wǎng)絡(luò)和Overlay網(wǎng)絡(luò)都需要使用VLAN互聯(lián)。 Underlay網(wǎng)絡(luò)：主要包含核心交換機(jī)與網(wǎng)絡(luò)管理區(qū)互聯(lián)VLAN（一般與核心層管理VLAN是同一個VLAN）；出口網(wǎng)絡(luò)互聯(lián)VLAN；核心層及以下設(shè)備互聯(lián)VLAN（用于OSPF路由自動編排）。 Overlay網(wǎng)絡(luò)：主要包含作為Border的核心交換機(jī)與外部網(wǎng)絡(luò)互聯(lián)VLAN；作為Border的核心交換機(jī)與網(wǎng)絡(luò)服務(wù)資源互聯(lián)VLAN。

IP地址規(guī)劃

IP地址的規(guī)劃建議遵循如下原則：

唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的IP地址。即使使用MPLS（Multiprotocol Label Switching，多協(xié)議標(biāo)記交換）或VPN（Virtual Private Network，虛擬專用網(wǎng)）隔離，也建議不同VPN-Instance（VRF）下不要使用相同的IP地址。
連續(xù)性：同一業(yè)務(wù)的節(jié)點(diǎn)地址要連續(xù)，便于路由規(guī)劃和匯總。連續(xù)的地址便于路由聚合，可以減小路由表的大小，加快路由計算和收斂速率。比如，匯聚交換機(jī)下接入的網(wǎng)段可能有很多，在規(guī)劃的時候需要考慮路由聚合，這樣可以減少核心網(wǎng)絡(luò)的路由數(shù)。
擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時無須新增地址段及路由條目。
易維護(hù)：設(shè)備地址段、各業(yè)務(wù)地址段清晰區(qū)分，易于后續(xù)基于地址段實(shí)施統(tǒng)計監(jiān)控、安全防護(hù)等策略。好的IP地址規(guī)劃使每個地址具有實(shí)際含義，看到一個地址就可以大致判斷出該地址所屬的設(shè)備。IP地址的規(guī)劃可以與VLAN的規(guī)劃對應(yīng)起來。例如，IP地址的第三個字節(jié)與VLAN編號的后三位保持一致，這樣可以便于管理員記憶和管理。
園區(qū)內(nèi)部的IP地址建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡(luò)通過NAT轉(zhuǎn)換成公網(wǎng)地址后接入公網(wǎng)。園區(qū)網(wǎng)中的DMZ區(qū)或Internet互聯(lián)區(qū)有少量設(shè)備使用公網(wǎng)IP。

園區(qū)網(wǎng)的IP地址主要分為管理IP地址、互聯(lián)IP地址、業(yè)務(wù)IP地址和Loopback接口地址，如表2-44所示。

表2-44 IP地址規(guī)劃建議

分類	規(guī)劃建議
管理IP地址	主要用于和iMaster NCE-Campus互通或者本地登錄。建議根據(jù)管理VLAN劃分原則，同一管理VLAN下的設(shè)備采用同一個IP地址段。針對不同層次及功能區(qū)的網(wǎng)絡(luò)設(shè)備，管理IP地址規(guī)劃如下。網(wǎng)絡(luò)管理區(qū)服務(wù)器管理IP地址，在iBMC管理接口配置。網(wǎng)絡(luò)管理區(qū)交換機(jī)管理IP地址。出口網(wǎng)絡(luò)設(shè)備管理IP地址，建議復(fù)用業(yè)務(wù)接口作為管理接口，可不單獨(dú)規(guī)劃。核心交換機(jī)管理IP地址。匯聚層以下設(shè)備管理IP地址。
互聯(lián)IP地址	互聯(lián)地址是指兩臺網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址?；ヂ?lián)地址推薦使用30位掩碼的地址，核心設(shè)備使用較小的地址，互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時要充分考慮使用連續(xù)的可聚合地址。大中型園區(qū)網(wǎng)絡(luò)虛擬化方案中，Underlay網(wǎng)絡(luò)和Overlay網(wǎng)絡(luò)都需要使用IP地址互聯(lián)。 Underlay網(wǎng)絡(luò)：主要包含核心交換機(jī)與網(wǎng)絡(luò)管理區(qū)互聯(lián)IP地址（一般互聯(lián)的VLANIF接口復(fù)用核心層管理VLANIF接口）；出口網(wǎng)絡(luò)互聯(lián)IP地址；核心層及以下設(shè)備互聯(lián)IP地址（用于OSPF路由自動編排）。 Overlay網(wǎng)絡(luò)：主要包含作為Border的核心交換機(jī)與外部網(wǎng)絡(luò)互聯(lián)IP地址；作為Border的核心交換機(jī)與網(wǎng)絡(luò)服務(wù)資源互聯(lián)IP地址。
業(yè)務(wù)IP地址	業(yè)務(wù)地址是服務(wù)器、業(yè)務(wù)終端以及網(wǎng)關(guān)的地址。網(wǎng)關(guān)地址推薦統(tǒng)一使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關(guān)。各業(yè)務(wù)地址范圍要清晰區(qū)分，每一類業(yè)務(wù)終端地址連續(xù)、可聚合?？紤]廣播域范圍及規(guī)劃的簡易程度，建議為每個業(yè)務(wù)地址段預(yù)留掩碼為24位的地址段，如果業(yè)務(wù)終端超出200，再為其順延一個掩碼為24位的地址段。
Loopback接口地址	Loopback接口的IP地址被指定為報文的源地址，可以提高網(wǎng)絡(luò)可靠性。大中型園區(qū)網(wǎng)絡(luò)虛擬化方案采用的VXLAN技術(shù)，其控制面通過BGP EVPN進(jìn)行交互，需要使用Loopback接口在VXLAN隧道端點(diǎn)Border/Edge間建立BGP對等體。

DHCP規(guī)劃

大中型園區(qū)網(wǎng)絡(luò)虛擬化方案中，主要在開局管理子網(wǎng)設(shè)計和VN內(nèi)用戶子網(wǎng)設(shè)計時，需要用到DHCP功能，如圖2-76所示。

圖2-76 DHCP功能使用場景示意圖

管理子網(wǎng)的DHCP規(guī)劃

大中型園區(qū)由于核心層以下設(shè)備數(shù)量較多，在開局部署時，建議規(guī)劃專門用于設(shè)備管理地址分配的DHCP服務(wù)器。管理子網(wǎng)的DHCP規(guī)劃如下。

建議核心交換機(jī)作為管理子網(wǎng)的DHCP服務(wù)器，在管理子網(wǎng)網(wǎng)關(guān)接口上配置地址池。
配置DHCP Option 148選項(xiàng)中攜帶iMaster NCE-Campus地址信息。
如果該管理子網(wǎng)網(wǎng)關(guān)接口同時作為AP的管理子網(wǎng)網(wǎng)關(guān)接口，建議配置DHCP Option 43選項(xiàng)中攜帶WAC地址信息。

用戶子網(wǎng)的DHCP規(guī)劃

大中型園區(qū)建議規(guī)劃獨(dú)立的DHCP服務(wù)器，對用戶終端進(jìn)行IP地址分配。用戶子網(wǎng)的DHCP規(guī)劃建議如下：

建議整個園區(qū)規(guī)劃一個DHCP服務(wù)器來簡化運(yùn)維。
大中型園區(qū)DHCP服務(wù)器和園區(qū)主機(jī)通常不在同一個網(wǎng)段，建議用戶網(wǎng)關(guān)開啟DHCP中繼功能。
建議在用戶網(wǎng)關(guān)對應(yīng)的BD內(nèi)配置DHCP Snooping，能夠保證用戶終端從合法的DHCP服務(wù)器獲取IP地址，避免被非法攻擊。另外，采用DHCP Option方式的終端識別功能，也需要配置DHCP Snooping。
DHCP提供的動態(tài)IP地址分配，需要根據(jù)用戶終端在線時間合理規(guī)劃租期，大中型園區(qū)場景中的辦公區(qū)在線時間長，需要規(guī)劃較長的租期。
如果需要為指定用戶終端分配固定的IP地址，不通過DHCP動態(tài)分配，DHCP地址池規(guī)劃時，需要將靜態(tài)配置的IP地址過濾掉，避免預(yù)留IP地址被分配。

路由協(xié)議規(guī)劃

大中型園區(qū)虛擬化方案中，Underlay與Overlay都需要部署路由協(xié)議，實(shí)現(xiàn)不同的三層互通需求，如圖2-77所示。表2-45列出了Underlay與Overlay需要部署路由協(xié)議的主要場景，以及具體的規(guī)劃說明。

圖2-77 大中型園區(qū)虛擬化方案中路由協(xié)議規(guī)劃示意圖

欧美一区激情在线观看_午夜亚洲中文电影_老人看护网站av_青青草成人影视_自拍小视频在线看男人日韩_国产很爽的超薄丝袜脚交视频_久久影院亚洲理论_熟妇高潮一区二区高潮_国产清纯91在线系列_国产精品www嫩草桃花岛