第11章 网络逻辑设计.ppt

横向虚拟化的主要优点 （1）拓扑结构简化，消除了环路 复杂的网状拓扑转换成了简洁的树型拓扑，网络各层之间通过捆绑的单逻辑链路互联，消除了环路,并实现捆绑链路的高带宽、链路的负载分担和冗余备份。 （2）路由简化 园区网形成了树状、无环的拓扑结构，网络中数据的流向清晰明确。同时，每个虚拟节点设备的增删不会改变园区网的逻辑结构，也不会影响上下层网络的协议交互。 （3）协议简化 横向虚拟化后，不再需要在接入层使用复杂的生成树协议，也不再需要在客户端接入网关上运行VRRP协议。 （4）管理简化 横向整合后，原有的多台物理设备作为一台逻辑设备进行管理，被管设备的数量大大减少，提高设备管理效率。 横向虚拟化设计要点 （1）在核心层采用交换机集群(CSS) 技术，将多台核心交换机组合成一台逻辑设备，负责整个园区的高速互联。 （2）在汇聚层，采用CSS集群/iStack堆叠技术，将多台汇聚/接入交换机组合成一台虚拟的逻辑交换机。 (3) 在接入层，采用iStack堆叠技术，将多台接入交换机虚拟成1台逻辑交换机。 （4）在核心层与汇聚层之间、汇聚层和接入层之间，采用链路聚合技术，将多个物理链路捆绑在一起作为一个逻辑链路。 为何需要纵向虚拟化 园区网中存在某些复杂的需求。例如一个企业网中有财务、供应、研发和生产四个部门，这些部门的纵向独立性要求其业务数据与其他部门安全隔离，但协同办公又需要各部门业务能进行可控互访。又如，园区内数据中心有的服务器同时为多个部门提供服务，有的服务器只为某个部门内部提供服务。 这些复杂的需求使得传统的网络物理隔离方案已无法满足这些应用的需求。网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等，都大大增加了用户在网络投资、建设、运维、管理方面的负担。因此，需要一个便于扩展的解决方案，来保持用户群组的完全隔离，实现服务和安全策略的集中，并保留原有设计的高可用性、安全性和可扩展性的优势。 什么是纵向虚拟化 园区网的纵向虚拟化，是通过各种隔离技术(VLAN、ACL、MCE、VPN等技术)，将一个物理网络划分成几个相互独立的逻辑网络，实现终端、业务的安全隔离以及应用资源的按需分配。 换句话说，纵向虚拟化是把网络设备和网络服务等软硬件资源都看成统一的资源，虽然在物理上这些资源是统一、集中的，但对不同终端或业务来说，能够使用到的资源、配置的安全策略、管理策略可以各不相同。 园区网纵向虚拟化示意图 纵向虚拟化的优点 （1）统一的业务承载网。纵向虚拟化后的所有业务都基于统一的以太网，统一的Internet/广域网接口。 （2）集中的数据中心。纵向虚拟化后，可屏蔽底层硬件服务器、存储设备间的差异，根据不同业务来分配使用资源。 （3）统一的网络管理和监控。纵向虚拟化可实现对全网资源的配置管理、对各种业务流量的监控、对不同群组的用户和业务提供灵活的安全策略服务。 园区网纵向虚拟化设计要点 园区网中不同层次的网络设备所采用的网络虚拟化技术手段是不同的。 （1）核心层的纵向虚拟化，主要采用MPLS VPN的方式。当然也可以使用MCE（Multi Custom Edge ，多角色用户边缘）技术，但不建议使用MCE，因为配置复杂，无法互通。 （2）汇聚层的纵向虚拟化，可采用MPLS VPN，当汇聚层设备不支持MPLS VPN的时候，尤其是在配合核心层使用MPLS VPN时,可采用MCE。 （3）接入层的纵向虚拟化，当接入网络是第二层网络时采用VLAN，当接入网络是第三层网络时采用MCE。 纵向虚拟化设计示意 园区网整体虚拟化 整体虚拟化=横向虚拟化+纵向虚拟化 在核心层、汇聚层、接入层分别通过iStack/CSS技术进行硬件设备的虚拟化，达到简化网络结构、简化网络协议部署、提高网络可靠性和可管理性的目的。 在各边缘网络（WAN出口、Internet出口）以及数据中心的安全方面，通过在汇聚交换机上部署FW（Firewall）单板或者部署独立的FW设备来保证。 全网通过MPLS L3VPN进行路径虚拟化，完成网络资源的隔离。 整体虚拟化示意（横向+纵向） 11.6.4 业务逻辑隔离方案—小型园区网 1) 小型园区网业务隔离设计 小型园区业务隔离设计方案，宜采用VLAN+ACL隔离方式。 采用VLAN，可以实现不同用户共享LAN设施，同时保证各自的网络二层信息隔离安全。 二层网络的VLAN隔离 对于三层终结业务隔离则需要在网络三层边界和数据区边界部署ACL，根据隔离要求设定控制策略，限制部门之间的访问权限。 采用VLAN+ACL方式隔离业务有如下特点： ①部署简单，容易理解，特别适合小型