圖1 傳統(tǒng)園區(qū)結(jié)構(gòu)

如圖1所示，這種經(jīng)典的園區(qū)網(wǎng)設(shè)計(jì)將網(wǎng)絡(luò)按接入、匯聚、核心規(guī)劃成多層結(jié)構(gòu)：為便于用戶的擴(kuò)展，一般將接入層網(wǎng)絡(luò)設(shè)計(jì)為二層接入，并將用戶端的三層網(wǎng)關(guān)設(shè)置在匯聚層設(shè)備上；同時(shí)為保證網(wǎng)關(guān)的HA能力，匯聚層采用雙節(jié)點(diǎn)冗余組網(wǎng)；核心層也采用雙節(jié)點(diǎn)組網(wǎng)以提升性能和冗余能力。

然而這種傳統(tǒng)的園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)漸漸難以滿足新服務(wù)的要求：二層接入的網(wǎng)絡(luò)導(dǎo)致接入層與匯聚層網(wǎng)絡(luò)之間產(chǎn)生多環(huán)路，形成環(huán)網(wǎng)，企業(yè)IT業(yè)務(wù)的不斷調(diào)整將環(huán)網(wǎng)規(guī)模擴(kuò)大或復(fù)雜化；部分網(wǎng)絡(luò)為降低復(fù)雜度，消除了環(huán)路，卻因此帶來(lái)了單鏈路、單點(diǎn)接入的低可用性。因此，迫切需要在保證多業(yè)務(wù)、靈活性、可靠性、簡(jiǎn)易性、擴(kuò)展性的前提下，消除環(huán)路、簡(jiǎn)化網(wǎng)絡(luò)拓?fù)洹?/P>

虛擬園區(qū)網(wǎng)解決方案2.0通過(guò)將IRF2技術(shù)引入園區(qū)網(wǎng)絡(luò)方案中，解決了上述問(wèn)題。  

圖2 端到端的企業(yè)網(wǎng)絡(luò)IRF2架構(gòu)

如圖2所示，在企業(yè)園區(qū)網(wǎng)絡(luò)架構(gòu)中，使用IRF2技術(shù)分別在網(wǎng)絡(luò)匯聚與核心層各自進(jìn)行橫向整合，將多臺(tái)冗余設(shè)備虛擬化為單臺(tái)邏輯設(shè)備，形成一個(gè)網(wǎng)絡(luò)管理與轉(zhuǎn)發(fā)節(jié)點(diǎn)；在網(wǎng)絡(luò)接入層復(fù)雜的接入環(huán)境中實(shí)行IRF2整合，將多達(dá)9個(gè)的物理網(wǎng)絡(luò)節(jié)點(diǎn)虛擬化為單臺(tái)設(shè)備，完全消除接入層環(huán)路，并形成捆綁鏈路的高帶寬和可靠性上聯(lián)。在這樣的虛擬化下，網(wǎng)狀的企業(yè)園區(qū)網(wǎng)絡(luò)形成了一個(gè)非常簡(jiǎn)潔的架構(gòu)，網(wǎng)絡(luò)各層之間通過(guò)捆綁的單邏輯鏈路互聯(lián)，消除了環(huán)路。不再需要在接入層設(shè)計(jì)復(fù)雜的生成樹(shù)協(xié)議，也不再需要在變成單一邏輯節(jié)點(diǎn)的客戶端接入網(wǎng)關(guān)上運(yùn)行VRRP協(xié)議。

端到端IRF2部署使園區(qū)網(wǎng)絡(luò)形成了無(wú)環(huán)、樹(shù)狀、輻射型的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，極大簡(jiǎn)化了運(yùn)行維護(hù)管理工作。網(wǎng)絡(luò)中數(shù)據(jù)流的宏觀路徑上與簡(jiǎn)化后的整體網(wǎng)絡(luò)拓?fù)渚哂幸恢滦裕瑯I(yè)務(wù)流在網(wǎng)絡(luò)中的走向清晰明確。同時(shí)，每個(gè)IRF2節(jié)點(diǎn)本身的擴(kuò)展(如增加該節(jié)點(diǎn)設(shè)備)既不會(huì)改變企業(yè)網(wǎng)絡(luò)的邏輯結(jié)構(gòu)，也不會(huì)影響上下層網(wǎng)絡(luò)的協(xié)議交互。這種虛擬化網(wǎng)絡(luò)展現(xiàn)出優(yōu)化的整體架構(gòu)。

◆簡(jiǎn)化園區(qū)網(wǎng)絡(luò)協(xié)議部署

通過(guò)消除網(wǎng)絡(luò)中接入、匯聚的網(wǎng)絡(luò)環(huán)路，將環(huán)狀網(wǎng)絡(luò)轉(zhuǎn)變成樹(shù)形網(wǎng)絡(luò)，網(wǎng)狀的企業(yè)園區(qū)網(wǎng)絡(luò)形成了一個(gè)非常簡(jiǎn)潔的架構(gòu)，網(wǎng)絡(luò)各層之間通過(guò)捆綁的單邏輯鏈路互聯(lián)，消除了環(huán)路。不再需要在接入層設(shè)計(jì)復(fù)雜的生成樹(shù)協(xié)議，也不再需要在變成單一邏輯節(jié)點(diǎn)的客戶端接入網(wǎng)關(guān)上運(yùn)行VRRP協(xié)議。這是協(xié)議簡(jiǎn)化的一方面。  

圖3 IRF2結(jié)構(gòu)下園區(qū)路由區(qū)域簡(jiǎn)化設(shè)計(jì)

另一方面，當(dāng)傳統(tǒng)園區(qū)的規(guī)模發(fā)展到一定程度，網(wǎng)絡(luò)各部分均會(huì)形成網(wǎng)狀網(wǎng)絡(luò)結(jié)構(gòu)，因此整網(wǎng)路由按區(qū)域劃分進(jìn)行設(shè)計(jì)。以O(shè)SPF為例，一般將網(wǎng)絡(luò)核心和關(guān)鍵網(wǎng)絡(luò)組件設(shè)置于area 0，而將網(wǎng)絡(luò)子模塊設(shè)置于area 1、2、3等區(qū)域。采用IRF2進(jìn)行端到端虛擬化后，網(wǎng)絡(luò)結(jié)構(gòu)更加清晰，整網(wǎng)路由結(jié)構(gòu)也相應(yīng)得到簡(jiǎn)化。如圖3所示，區(qū)域性的路由因?yàn)檫壿嬫溌泛?jiǎn)化而形成了點(diǎn)到點(diǎn)、點(diǎn)到多點(diǎn)的簡(jiǎn)單結(jié)構(gòu)，與網(wǎng)絡(luò)設(shè)備相關(guān)的路由數(shù)量大幅減少，整網(wǎng)的路由計(jì)算量也大幅下降。同時(shí)，網(wǎng)絡(luò)層之間的鏈路捆綁避免了單條物理鏈路故障時(shí)對(duì)上層路由的影響，使得端到端IRF2網(wǎng)絡(luò)架構(gòu)上形成了一個(gè)穩(wěn)定的簡(jiǎn)化路由結(jié)構(gòu)，網(wǎng)絡(luò)規(guī)模的擴(kuò)大并不會(huì)增加路由復(fù)雜性，這種路由結(jié)構(gòu)不僅簡(jiǎn)化了網(wǎng)絡(luò)路由設(shè)計(jì)、降低了設(shè)備要求、減輕設(shè)備負(fù)載，并且有助于企業(yè)網(wǎng)絡(luò)長(zhǎng)期規(guī)劃和模塊化擴(kuò)展。

綜上所述，通過(guò)采用橫向整合的技術(shù)，既簡(jiǎn)化了協(xié)議部署，又保證網(wǎng)絡(luò)的二層擴(kuò)展，不會(huì)影響網(wǎng)絡(luò)的邏輯拓?fù)浜吐酚汕闆r。使得對(duì)于網(wǎng)絡(luò)的管理可以屏蔽二層的擴(kuò)展，更好滿足了園區(qū)網(wǎng)絡(luò)的簡(jiǎn)化部署、低成本維護(hù)和自由擴(kuò)展的需求。

2. 橫向整合的靈活擴(kuò)展

擴(kuò)展性在網(wǎng)絡(luò)接入層設(shè)計(jì)上一般具有較大難度。由于組織結(jié)構(gòu)的發(fā)展，使得企業(yè)對(duì)IT基礎(chǔ)相應(yīng)快速發(fā)展的需求。在大規(guī)模模塊化網(wǎng)絡(luò)的擴(kuò)展方式上，傳統(tǒng)核心網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)能夠很好的支持，但在接入層常常會(huì)面臨難以充分滿足擴(kuò)展性要求的難題，因?yàn)榻尤雽泳W(wǎng)絡(luò)拓?fù)鋸?fù)雜（其通常是二層接入方式），設(shè)備與端口的擴(kuò)展會(huì)使網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)一步復(fù)雜化。

針對(duì)用戶終端數(shù)量大規(guī)模增長(zhǎng)，IRF2相關(guān)的應(yīng)對(duì)方案是：在接入層的IRF2系統(tǒng)中增加成員進(jìn)行端口擴(kuò)展，以滿足不斷增長(zhǎng)的接入端口數(shù)要求。擴(kuò)展后的系統(tǒng)對(duì)網(wǎng)絡(luò)其它部分并不產(chǎn)生影響，形成了平滑的擴(kuò)展能力，而對(duì)上行帶寬有更高要求的業(yè)務(wù)，可以通過(guò)增加IRF2系統(tǒng)的上行聚合鏈路成員數(shù)量來(lái)平滑升級(jí)帶寬。

3. 多業(yè)務(wù)承載

部署了IRF2的接入環(huán)境可以提供豐富的網(wǎng)絡(luò)服務(wù)設(shè)計(jì)，以對(duì)業(yè)務(wù)部署提供更好的支持。IRF2架構(gòu)下的設(shè)備都支持H3C EAD端點(diǎn)準(zhǔn)入安全解決方案，提供企業(yè)園區(qū)全面安全接入能力，通過(guò)基于身份的網(wǎng)絡(luò)準(zhǔn)入和動(dòng)態(tài)策略下發(fā)，解決園區(qū)內(nèi)移動(dòng)辦公應(yīng)用的問(wèn)題；PoE功能已經(jīng)成為接入交換機(jī)的基本功能，同時(shí)隨著新技術(shù)標(biāo)準(zhǔn)的不斷推出，后續(xù)IRF2下將支持中、高功率的PoE標(biāo)準(zhǔn)，從而可提供企業(yè)網(wǎng)絡(luò)有供電要求的各類新業(yè)務(wù)需求，如視頻瘦終端（如PoE受電的終端）、視頻電話、語(yǔ)音電話、無(wú)線接入AP等；集成的Voice VLAN功能為部署IRF2接入的IP語(yǔ)音提供了便利。

同時(shí)，通過(guò)MPLS VPN的部署，解決了多網(wǎng)融合，共用同一張物理網(wǎng)絡(luò)的環(huán)境下IP地址重疊的問(wèn)題，并為各種應(yīng)用搭建了端到端的業(yè)務(wù)通道，并通過(guò)IRF2的部署，避免了雙PE（MPLS VPN中的概念）情況下CE雙上行規(guī)劃的問(wèn)題；組播VPN等網(wǎng)絡(luò)服務(wù)的部署解決了監(jiān)控業(yè)務(wù)在園區(qū)網(wǎng)絡(luò)中融合組網(wǎng)和后續(xù)OA互通等問(wèn)題……

凡此種種，都說(shuō)明全虛擬化的虛擬園區(qū)網(wǎng)2.0解決方案通過(guò)IRF2的橫向整合和VPN的縱向隔離技術(shù)，在園區(qū)網(wǎng)絡(luò)向交換資源化的發(fā)展過(guò)程中，通過(guò)VPN、安全、無(wú)線、組播、語(yǔ)音等多種網(wǎng)絡(luò)服務(wù)的不斷遞進(jìn)，形成了對(duì)于OA、多媒體業(yè)務(wù)、監(jiān)控網(wǎng)絡(luò)、跨部門(mén)協(xié)作甚至于可控物聯(lián)等業(yè)務(wù)進(jìn)行良好支撐的園區(qū)網(wǎng)絡(luò)架構(gòu)。#p#

三、 虛擬園區(qū)網(wǎng)的整體部署  

圖4 虛擬園區(qū)網(wǎng)的整體部署

整合橫向虛擬化及縱向虛擬化技術(shù)后，虛擬園區(qū)網(wǎng)的整體部署情況如圖4所示，在接入層、匯聚層、核心層通過(guò)IRF2技術(shù)進(jìn)行橫向整合，整合后，安全模塊通過(guò)板卡的形式靈活部署在匯聚層交換機(jī)，DC前端交換機(jī)及Internet出口前端的交換機(jī)上。

整網(wǎng)通過(guò)MPLS/VPN或MCE多跳技術(shù)進(jìn)行路徑虛擬化，完成對(duì)網(wǎng)絡(luò)資源的隔離。

通過(guò)部署橫向虛擬化及縱向虛擬化技術(shù)完成了整體的虛擬園區(qū)網(wǎng)架構(gòu)。#p#

四、 虛擬園區(qū)網(wǎng)最佳實(shí)踐

1. 政務(wù)行政中心最佳實(shí)踐

某市新行政中心園區(qū)，由幾十棟樓宇組成，建成后將有上百家局委辦入住，其網(wǎng)絡(luò)部分將會(huì)承載電子政務(wù)等各種應(yīng)用。此園區(qū)的信息化建設(shè)不僅要求提供統(tǒng)一的平臺(tái)環(huán)境，而且需要以此為契機(jī)完成電子政務(wù)的整合與發(fā)展。

此次園區(qū)建設(shè)意義大、難度高，尤其在可靠性、擴(kuò)展性方面需要著重考慮： 

◆現(xiàn)網(wǎng)幾萬(wàn)個(gè)信息點(diǎn)，整網(wǎng)幾百臺(tái)設(shè)備，管理、維護(hù)難度大。 

◆出于可靠性考慮，全網(wǎng)冗余部署，造成網(wǎng)絡(luò)環(huán)路繁多，需部署VRRP+MSTP避免廣播風(fēng)暴。 

◆無(wú)線、安全需求眾多，尤其是互聯(lián)網(wǎng)出口，需要重點(diǎn)進(jìn)行安全考慮。 

◆上百家局委辦的業(yè)務(wù)既有獨(dú)立業(yè)務(wù)需求，又有共享業(yè)務(wù)需求。在電子政務(wù)整合的發(fā)展過(guò)程中，網(wǎng)絡(luò)需要具備靈活性，需要適應(yīng)業(yè)務(wù)的調(diào)整。   

圖5 政務(wù)中心最佳實(shí)踐

通過(guò)虛擬園區(qū)網(wǎng)2.0的部署，滿足了客戶的需求： 

◆全網(wǎng)橫向整合。通過(guò)核心、匯聚、接入的設(shè)備虛擬化，將網(wǎng)絡(luò)的管理和轉(zhuǎn)發(fā)節(jié)點(diǎn)降低到原來(lái)的六分之一，降低了管理和維護(hù)的難度。 

◆提供無(wú)縫擴(kuò)展能力。通過(guò)設(shè)備虛擬化，可以保證接入、匯聚、核心設(shè)備橫向擴(kuò)展的時(shí)候，網(wǎng)絡(luò)邏輯拓?fù)洳话l(fā)生變化。達(dá)到了網(wǎng)絡(luò)的平滑擴(kuò)展。 

◆消除網(wǎng)絡(luò)環(huán)路。通過(guò)設(shè)備虛擬化，將全冗余網(wǎng)絡(luò)中的環(huán)路徹底消除，避免了VRRP+MSTP的協(xié)議部署。并提供了更高的收斂速度。 

◆降低網(wǎng)絡(luò)中路由處理。通過(guò)設(shè)備虛擬化，降低了網(wǎng)絡(luò)設(shè)備路由鄰居的數(shù)量，進(jìn)而降低現(xiàn)網(wǎng)路由數(shù)目為傳統(tǒng)方案的一半以下。 

◆全網(wǎng)有線無(wú)線網(wǎng)絡(luò)一體化設(shè)計(jì)、網(wǎng)絡(luò)安全一體化設(shè)計(jì)、通過(guò)虛擬化環(huán)境下的模塊化部署，實(shí)現(xiàn)了網(wǎng)絡(luò)業(yè)務(wù)的資源化部署。 

◆通過(guò)縱向隔離的MPLS VPN部署，既滿足了現(xiàn)有情況下的業(yè)務(wù)隔離和共享訪問(wèn)的需求，同時(shí)也對(duì)未來(lái)的業(yè)務(wù)發(fā)展提供了很好的擴(kuò)展性。

通過(guò)虛擬園區(qū)網(wǎng)2.0解決方案的部署,解決了某市行政中心的業(yè)務(wù)需求,并提供了與傳統(tǒng)網(wǎng)絡(luò)架構(gòu)相比更透明的網(wǎng)絡(luò)架構(gòu),更易擴(kuò)展的網(wǎng)絡(luò)方案。

2. 企業(yè)園區(qū)最佳實(shí)踐

某新建生產(chǎn)型廠區(qū)業(yè)務(wù)類型清晰，但是隨著業(yè)務(wù)的發(fā)展，對(duì)于新建園區(qū)的網(wǎng)絡(luò)架構(gòu)提出諸多需求： 

◆現(xiàn)網(wǎng)分為辦公、生產(chǎn)、監(jiān)控等幾大類業(yè)務(wù)，需要進(jìn)行業(yè)務(wù)隔離。 

◆現(xiàn)網(wǎng)MIS系統(tǒng)需要監(jiān)控網(wǎng)絡(luò)和辦公系統(tǒng)進(jìn)行互通，所以需要業(yè)務(wù)上進(jìn)行互通。 

◆現(xiàn)網(wǎng)無(wú)線和安全需求明顯，需要整體考慮。

◆為保證可靠性，全網(wǎng)冗余部署，存在大量的網(wǎng)絡(luò)環(huán)路。  

圖6 企業(yè)園區(qū)最佳實(shí)踐

通過(guò)虛擬園區(qū)網(wǎng)2.0解決方案進(jìn)行方案部署，滿足了客戶網(wǎng)絡(luò)需求： 

◆采用MPLS VPN進(jìn)行網(wǎng)絡(luò)的縱向分割，保證了辦公、生產(chǎn)和監(jiān)控業(yè)務(wù)的邏輯隔離。 

◆通過(guò)共享VPN等技術(shù)，滿足辦公和監(jiān)控業(yè)務(wù)的業(yè)務(wù)互訪。 

◆整體設(shè)計(jì)有線和無(wú)線、網(wǎng)絡(luò)和安全，同通過(guò)管理平臺(tái)統(tǒng)一管理。 

◆通過(guò)設(shè)備的橫向整合，消除了網(wǎng)絡(luò)環(huán)路，避免了VRRP+MSTP協(xié)議的部署，同時(shí)降低了網(wǎng)絡(luò)中路由數(shù)量，并提高了網(wǎng)絡(luò)收斂速度。

通過(guò)虛擬園區(qū)網(wǎng)2.0解決方案的部署，解決了企業(yè)園區(qū)內(nèi)業(yè)務(wù)隔離和互訪的需求，并提供了邏輯架構(gòu)穩(wěn)定的網(wǎng)絡(luò)方案，滿足了業(yè)務(wù)現(xiàn)在和未來(lái)的網(wǎng)絡(luò)需求，為企業(yè)園區(qū)的信息化建設(shè)提供了良好的支撐。#p#

五、 結(jié)束語(yǔ)

園區(qū)虛擬化解決方案2.0作為下一代的企業(yè)園區(qū)網(wǎng)的建網(wǎng)思路，提供了一整套完整的實(shí)現(xiàn)虛擬化的方案。在設(shè)備層面整合了設(shè)備及鏈路資源，在邏輯層面整合了路徑及安全服務(wù)資源。這樣通過(guò)橫向虛擬化技術(shù)提升網(wǎng)絡(luò)的可管理性，可靠性及性能，通過(guò)縱向虛擬化技術(shù)實(shí)現(xiàn)了終端接入的安全和訪問(wèn)權(quán)限控制、業(yè)務(wù)數(shù)據(jù)傳輸?shù)陌踩綦x、應(yīng)用資源的按需分配、集中的網(wǎng)絡(luò)管理和策略部署。

在企業(yè)IT業(yè)務(wù)變得更復(fù)雜，更重要的同時(shí)，作為承載關(guān)鍵業(yè)務(wù)的企業(yè)網(wǎng)需要對(duì)這些變化不斷適應(yīng)，滿足企業(yè)業(yè)務(wù)發(fā)展的需要?？梢灶A(yù)見(jiàn)通過(guò)進(jìn)一步的整合及對(duì)企業(yè)網(wǎng)網(wǎng)絡(luò)資源的虛擬化，下一代的園區(qū)網(wǎng)將會(huì)更大程度的將成熟的技術(shù)通過(guò)虛擬化等技術(shù)屏蔽在底層，邏輯上更為簡(jiǎn)化，將整個(gè)園區(qū)網(wǎng)整合為一個(gè)矩陣，其網(wǎng)絡(luò)資源、安全等服務(wù)資源都可動(dòng)態(tài)劃分并邏輯隔離，通過(guò)這種方式提供更加強(qiáng)勁的業(yè)務(wù)承載能力，以不斷滿足企業(yè)IT發(fā)展的需求。