【51CTO.com 綜合報道】企業(yè)園區(qū)一般是企業(yè)總部機關(guān)、生產(chǎn)、研發(fā)等重要機構(gòu)的匯集區(qū)域，在網(wǎng)絡(luò)建設(shè)中有較大的規(guī)模。園區(qū)內(nèi)部終端數(shù)量龐大、種類豐富，對網(wǎng)絡(luò)業(yè)務(wù)的支持與變化一般要求有較大的靈活性；同時由于園區(qū)內(nèi)人員集中，網(wǎng)絡(luò)承載業(yè)務(wù)密集，一旦出現(xiàn)故障會產(chǎn)生較大影響面，因此要求園區(qū)網(wǎng)具有簡潔架構(gòu)、快速故障恢復(fù)能力、高可用性等特質(zhì)。

1 IRF2在園區(qū)應(yīng)用的價值

園區(qū)網(wǎng)絡(luò)一般是大型交換網(wǎng)絡(luò)，在這樣一個交換平臺上快速提供IT服務(wù)、保證業(yè)務(wù)被可靠訪問是關(guān)鍵。IRF2作為新一代交換機的核心特質(zhì)，對提升整個園區(qū)網(wǎng)絡(luò)的業(yè)務(wù)能力有很強的支撐作用。

IRF2能夠在很大程度上實現(xiàn)對園區(qū)網(wǎng)絡(luò)的邏輯改造：消除網(wǎng)絡(luò)環(huán)路，極大簡化網(wǎng)絡(luò)運行和支撐業(yè)務(wù)設(shè)計。IRF2本身的彈性能力更便于園區(qū)網(wǎng)絡(luò)擴展，IRF2與交換特性的融合更便于園區(qū)PoE、WLAN、IP語音等網(wǎng)絡(luò)應(yīng)用的部署。

2 基于IRF2虛擬化的園區(qū)網(wǎng)絡(luò)設(shè)計

2.1 傳統(tǒng)園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)及挑戰(zhàn)

傳統(tǒng)園區(qū)網(wǎng)絡(luò)在組網(wǎng)設(shè)計上一般會遵循模塊化設(shè)計思想，以企業(yè)內(nèi)部部門、樓宇建筑為網(wǎng)絡(luò)的模塊組件，如圖1所示。 

圖1 傳統(tǒng)園區(qū)結(jié)構(gòu)

這種經(jīng)典的設(shè)計方式將網(wǎng)絡(luò)按接入、匯聚、核心規(guī)劃成多層結(jié)構(gòu)：為便于用戶的擴展，一般將接入層網(wǎng)絡(luò)設(shè)計為二層接入，并將用戶端的三層網(wǎng)關(guān)設(shè)置在匯聚層設(shè)備上；同時為保證網(wǎng)關(guān)的HA能力，匯聚層采用雙節(jié)點冗余組網(wǎng)；核心層也采用雙節(jié)點組網(wǎng)以提升性能和冗余能力。

此種網(wǎng)絡(luò)的匯聚與核心層結(jié)構(gòu)清晰、運行持續(xù)穩(wěn)定。但是在網(wǎng)絡(luò)接入層，受實際因素影響，部署時會產(chǎn)生紛繁復(fù)雜的拓撲結(jié)構(gòu)，如圖2所示。 

圖2 多業(yè)務(wù)復(fù)雜接入網(wǎng)絡(luò)

企業(yè)內(nèi)部機構(gòu)的靈活快速組合變化是支撐核心業(yè)務(wù)調(diào)整的基本要求，這種要求帶來了基礎(chǔ)網(wǎng)絡(luò)隨著IT發(fā)展的適應(yīng)性調(diào)整。當(dāng)內(nèi)部業(yè)務(wù)發(fā)生變化時，機構(gòu)接入的網(wǎng)絡(luò)結(jié)構(gòu)也在不斷變化，從而帶來了接入網(wǎng)絡(luò)結(jié)構(gòu)的多樣性和復(fù)雜性，并對接入層網(wǎng)絡(luò)的快速、靈活擴展不斷提出新的要求。

越來越多的企業(yè)網(wǎng)絡(luò)開始部署IP語音、視頻終端等新興服務(wù)。同時，終端移動性越來越強，WLAN服務(wù)已經(jīng)成為一項基本的網(wǎng)絡(luò)接入要求。新業(yè)務(wù)的部署也給接入層網(wǎng)絡(luò)的結(jié)構(gòu)和業(yè)務(wù)支撐提出了挑戰(zhàn)。

在新業(yè)務(wù)與IT需求的驅(qū)動下，傳統(tǒng)的園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)漸漸難以滿足新服務(wù)提供要求：二層接入的網(wǎng)絡(luò)導(dǎo)致接入層與匯聚層網(wǎng)絡(luò)之間產(chǎn)生多環(huán)路，形成環(huán)網(wǎng)，企業(yè)IT業(yè)務(wù)的不斷調(diào)整將環(huán)網(wǎng)規(guī)模擴大或復(fù)雜化；部分網(wǎng)絡(luò)為降低復(fù)雜度，消除了環(huán)路，卻因此帶來了單鏈路、單點接入的低可用性。如此，多業(yè)務(wù)、靈活性、擴展性、可靠性、簡易性使得企業(yè)接入網(wǎng)絡(luò)結(jié)構(gòu)處于魚和熊掌不可兼得的境地。#p#

2.2 基于IRF2的園區(qū)網(wǎng)絡(luò)架構(gòu)

在企業(yè)園區(qū)網(wǎng)絡(luò)架構(gòu)中，使用IRF2技術(shù)，分別在網(wǎng)絡(luò)匯聚與核心層各自進行橫向整合，將多臺冗余設(shè)備虛擬化為單臺邏輯設(shè)備，形成一個網(wǎng)絡(luò)管理與轉(zhuǎn)發(fā)節(jié)點；在網(wǎng)絡(luò)接入層復(fù)雜的接入環(huán)境中實行IRF2整合，將多達9個的物理網(wǎng)絡(luò)節(jié)點虛擬化為單臺設(shè)備，完全消除接入層環(huán)路，并形成捆綁鏈路的高帶寬和可靠性上聯(lián)。如圖3所示，在這樣的虛擬化下，網(wǎng)狀的企業(yè)園區(qū)網(wǎng)絡(luò)形成了一個非常簡潔的架構(gòu)，網(wǎng)絡(luò)各層之間通過捆綁的單邏輯鏈路互聯(lián)，消除了環(huán)路。不再需要在接入層設(shè)計復(fù)雜的生成樹協(xié)議，也不再需要在變成單一邏輯節(jié)點的客戶端接入網(wǎng)關(guān)上運行VRRP協(xié)議。 

圖3 端到端的企業(yè)網(wǎng)絡(luò)IRF2架構(gòu)

端到端IRF2部署使園區(qū)網(wǎng)絡(luò)形成了無環(huán)、樹狀、輻射型的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，極大簡化了運行維護管理工作。網(wǎng)絡(luò)中數(shù)據(jù)流的宏觀路徑上與簡化后的整體網(wǎng)絡(luò)拓撲具有一致性，業(yè)務(wù)流在網(wǎng)絡(luò)中的走向清晰明確。同時，每個IRF2節(jié)點本身的擴展(如增加該節(jié)點設(shè)備)既不會改變企業(yè)網(wǎng)絡(luò)的邏輯結(jié)構(gòu)，也不會影響上下層網(wǎng)絡(luò)的協(xié)議交互。這種虛擬化網(wǎng)絡(luò)展現(xiàn)出優(yōu)化的整體架構(gòu)。#p#

2.3 基于IRF2的園區(qū)接入

通過IRF2來整合網(wǎng)絡(luò)接入層，可以達到多個方面的效果：

結(jié)構(gòu)簡化  將最多可達到9臺的物理設(shè)備虛擬化形成單一邏輯網(wǎng)絡(luò)節(jié)點，使整體園區(qū)網(wǎng)絡(luò)接入層形成統(tǒng)一的IRF2連接模型，告別了復(fù)雜的拓樸結(jié)構(gòu)。如H3C S3600系列交換機可采用普通千兆光口或電口進行IRF2連接，實現(xiàn)幾乎對園區(qū)范圍內(nèi)各種距離位置的設(shè)備進行IRF2連接，滿足接入層的光電混聯(lián)需求。如圖4所示。 

圖4 簡化的接入層

圖4左側(cè)，接入層IRF2對分布在不同物理位置的接入交換機采用光纖長距(公里級)連接、電纜短距(百米級)混合連接，對外只顯示為一臺邏輯設(shè)備，可分別從不同IRF2成員上聯(lián)鏈路并進行捆綁，形成無環(huán)接入層網(wǎng)絡(luò)。此方案對于企業(yè)實際網(wǎng)絡(luò)部署有特殊物理位置要求、遠距工作組級網(wǎng)絡(luò)安全統(tǒng)一等多種需求有較強適應(yīng)性。

對于圖2的級聯(lián)接入，為避免產(chǎn)生更復(fù)雜的環(huán)路，一般在最下層采用單鏈路設(shè)計，這使得網(wǎng)絡(luò)在帶寬支持、冗余設(shè)計上存在不足。圖4右側(cè)表示對存在多重級聯(lián)的接入網(wǎng)絡(luò)(參考圖2的接入層級聯(lián))進行IRF2優(yōu)化改造后的結(jié)構(gòu)。將兩層以上的級聯(lián)結(jié)構(gòu)通過IRF2整合起來，將原有不支持IRF2的設(shè)備通過雙鏈路聚合捆綁上聯(lián)到IRF2系統(tǒng)，從而可消除了接入層環(huán)路，并在接入層網(wǎng)絡(luò)形成了鏈路級冗余及部分設(shè)備級冗余，使得網(wǎng)絡(luò)保持了清晰的結(jié)構(gòu)。

靈活擴展 擴展性在網(wǎng)絡(luò)接入層設(shè)計上一般具有較大難度。由于組織結(jié)構(gòu)的發(fā)展，使得企業(yè)對IT基礎(chǔ)有快速發(fā)展的需求。在大規(guī)模模塊化網(wǎng)絡(luò)的擴展方式上，傳統(tǒng)核心網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)能夠很好的支持，但在接入層常常會面臨難以充分滿足擴展性要求的難題，因為接入層網(wǎng)絡(luò)拓撲復(fù)雜（其通常是二層接入方式），設(shè)備與端口的擴展會使網(wǎng)絡(luò)結(jié)構(gòu)進一步復(fù)雜化。圖2所示的多層級聯(lián)接入網(wǎng)絡(luò)通常就是網(wǎng)絡(luò)局部擴展產(chǎn)生的結(jié)構(gòu)。 

圖5 靈活擴展的IRF2園區(qū)接入

圖5展示了用戶終端數(shù)量大規(guī)模增長的IRF2應(yīng)對方案：在接入層的IRF2系統(tǒng)中增加成員進行端口擴展，以滿足不斷增長的接入端口數(shù)要求。擴展后的系統(tǒng)對網(wǎng)絡(luò)其它部分并不產(chǎn)生影響，形成了平滑的擴展能力，而對上行帶寬有更高要求的業(yè)務(wù)，可以通過增加IRF2系統(tǒng)的上行聚合鏈路成員數(shù)量來平滑升級帶寬。

業(yè)務(wù)豐富 部署了IRF2的接入環(huán)境可以提供豐富的網(wǎng)絡(luò)業(yè)務(wù)設(shè)計。IRF2架構(gòu)下的設(shè)備都支持H3C EAD端點準入安全解決方案，提供企業(yè)園區(qū)全面安全接入能力；PoE功能已經(jīng)成為接入交換機的基本功能，同時隨著新技術(shù)標準的不斷推出，后續(xù)IRF2下將支持中、高功率的PoE標準，從而可提供企業(yè)網(wǎng)絡(luò)有供電要求的各類新業(yè)務(wù)需求，如視頻瘦終端（如PoE受電的終端）、視頻電話、語音電話、無線接入AP等；集成的Voice VLAN功能為部署IRF2接入的IP語音提供了便利，如圖6所示。 

圖6 IRF2多種網(wǎng)絡(luò)服務(wù)接入

#p# 2.4 基于IRF2的園區(qū)路由結(jié)構(gòu)和組播流結(jié)構(gòu)

當(dāng)傳統(tǒng)園區(qū)的規(guī)模發(fā)展到一定程度，網(wǎng)絡(luò)各部分均會形成網(wǎng)狀網(wǎng)絡(luò)結(jié)構(gòu)，因此整網(wǎng)路由按區(qū)域劃分進行設(shè)計。以O(shè)SPF為例，一般將網(wǎng)絡(luò)核心和關(guān)鍵網(wǎng)絡(luò)組件設(shè)置于area 0，而將網(wǎng)絡(luò)子模塊設(shè)置于area 1、2、3等區(qū)域。采用IRF2進行端到端虛擬化后，網(wǎng)絡(luò)結(jié)構(gòu)更加清晰，整網(wǎng)路由結(jié)構(gòu)也相應(yīng)得到簡化。如圖7所示，區(qū)域性的路由因為邏輯鏈路簡化而形成了點到點、點到多點的簡單結(jié)構(gòu)，與網(wǎng)絡(luò)設(shè)備相關(guān)的路由數(shù)量大幅減少，整網(wǎng)的路由計算量也大幅下降。同時，網(wǎng)絡(luò)層之間的鏈路捆綁避免了單條物理鏈路故障時對上層路由的影響，使得端到端IRF2網(wǎng)絡(luò)架構(gòu)上形成了一個穩(wěn)定的簡化路由結(jié)構(gòu)，網(wǎng)絡(luò)規(guī)模的擴大并不會增加路由復(fù)雜性，這種路由結(jié)構(gòu)有助于企業(yè)網(wǎng)絡(luò)長期規(guī)劃和模塊化擴展。 

圖7 IRF2結(jié)構(gòu)下園區(qū)路由區(qū)域簡化設(shè)計

目前，組播已經(jīng)是對企業(yè)新興業(yè)務(wù)(如視頻培訓(xùn))的主要技術(shù)支撐，如何在企業(yè)內(nèi)部部署組播并能夠開展靈活的組播業(yè)務(wù)成為基礎(chǔ)網(wǎng)絡(luò)的重要實踐內(nèi)容。在基于全網(wǎng)IRF2的園區(qū)架構(gòu)中，整個網(wǎng)絡(luò)的組播分發(fā)結(jié)構(gòu)十分明確。如圖8所示，數(shù)據(jù)復(fù)制、轉(zhuǎn)發(fā)的路徑相對確定，并且簡化了組播的很多設(shè)計工作，如不需要DR、PIM路徑唯一、反向路徑穩(wěn)定、減少不必要的剪枝、復(fù)制點確定、所有組播要素具有IRF2冗余能力等，形成了一個簡單的組播承載網(wǎng)。 

圖8 IRF2體系下的全網(wǎng)組播流結(jié)構(gòu)

#p# 2.5 IRF2&VPN的園區(qū)虛擬化應(yīng)用實施

隨著IT業(yè)務(wù)的發(fā)展，VPN虛擬化的網(wǎng)絡(luò)成為部分企業(yè)構(gòu)建基礎(chǔ)網(wǎng)絡(luò)的首要選擇，通過一套物理網(wǎng)絡(luò)承載不同的業(yè)務(wù)流，在各業(yè)務(wù)之間提供完全的VPN分離手段，有效的滿足不同業(yè)務(wù)之間的獨立、隔離要求，并對局部互通性提供很好的支撐。BGP/MPLS VPN技術(shù)能夠很好解決上述需求，并節(jié)省企業(yè)投資。 

圖9 IRF2實現(xiàn)園區(qū)網(wǎng)MPLS VPN的簡化

BGP/MPLS VPN技術(shù)是一種對網(wǎng)絡(luò)資源進行邏輯隔離的“縱向分割”的虛擬化技術(shù)，可提高網(wǎng)絡(luò)使用效率和節(jié)省TCO，但在整網(wǎng)部署與實施過程中有一定技術(shù)要求。為保證網(wǎng)絡(luò)的可靠性，一般會進行冗余設(shè)計，如網(wǎng)絡(luò)設(shè)備冗余、鏈路冗余等，并采用在VPN接入層提供雙PE接入同一VPN的可靠性組網(wǎng)方式，如圖9左圖所示。加上幾乎全網(wǎng)的PE之間形成VPN關(guān)系的全互通結(jié)構(gòu)，需要在設(shè)計上引入了更多內(nèi)容，如等價路由的VPN分發(fā)等。

在全網(wǎng)BGP/MPLS VPN的架構(gòu)上，實施IRF2技術(shù)進行物理節(jié)點的虛擬化整合，可將組成雙PE的兩個物理節(jié)點形成一個IRF2系統(tǒng)，如圖9右圖所示，可基本消除多PE接入所帶來的等價路由處理問題。如果是二層接入方式還消除了環(huán)路問題，同時IRF2形成的單PE節(jié)點包含多物理設(shè)備又提供了足夠的冗余備份能力，并且PE的接入方式也因為鏈路捆綁而變得更為簡單。

如果對網(wǎng)絡(luò)中其它節(jié)點如多個P設(shè)備也進行IRF2整合，可以大規(guī)模減少MPLS VPN網(wǎng)絡(luò)中的標簽處理量、路由計算量，使網(wǎng)絡(luò)結(jié)構(gòu)更加穩(wěn)定可靠。

IRF2由于本身在網(wǎng)絡(luò)互聯(lián)、冗余備份、拓撲簡化等各方面對網(wǎng)絡(luò)結(jié)構(gòu)提供了變革性的優(yōu)化，在兼容傳統(tǒng)網(wǎng)絡(luò)部署方式的同時，對企業(yè)新業(yè)務(wù)持續(xù)發(fā)展能夠起到很好的支撐作用。新一代的IRF2企業(yè)網(wǎng)絡(luò)架構(gòu)以清晰、簡捷的基本因素滿足上層業(yè)務(wù)的復(fù)雜性變更，其完全消除網(wǎng)絡(luò)環(huán)路、簡化路由結(jié)構(gòu)、大規(guī)模降低運維管理工作量的特點，逐步會成為企業(yè)網(wǎng)絡(luò)變革演化的推動力。