華為ONENET園區網設計指南1華為ONENET園區網解決方案概述2園區網設計方法3園區網絡設計指南4園區網絡安全設計指南目錄園區網的應用場景及分類園區分類小型園區中型園區大型園區終端用戶數量<200200-1000>1000企業OA網企業生產網校園網科技園區網政府、金融、交通、能源……電力、石油、制造行業……校園網高新科技園、軟件園……園區基礎網絡架構InternetWANPSTN出差員工

合作伙伴/訪客DMZ數據中心/

服務器群管理中心分支機構核心層匯聚層接入層應用層部門…部門A部門X專用網絡園區出口WebDNSEmail

APPSServersAPPSDB園區外部園區內部FWIPS/IDSAPxPonLB核心匯聚接入交換機高端語音路由器華為萬兆園區網架構交換機OneNetConnectEveryone,ConnectasOne產品方案核心終端/IT體驗萬兆|虛擬化|有線無線一體化|智真運維|桌面云|企業語音|能源管理|IPv6|NAC萬兆網絡極速靈活云承載可靠可視移動性業務隨行路由器防火墻WLANxPON華為萬兆園區基礎網絡架構部門A部門B訪客接入區內部公共區域核心層CE12800S9700匯聚層S7700S6700室外PON接入S5700AP6xxxx接入層數據中心網管中心eSightDMZ園區出口E1000ENE40EAR3200AR2200PBX分支訪客應用層位置三層組網選型兩層組網選型核心40GE核心層CE12800/S9700系列10GE匯聚層/核心層S9700/S7700匯聚10GE匯聚層S9700/S7700系列NA接入S5700系列APAP6010SN：室內標準型，2*2:2個流，單頻AP6010DN：室內標準型，2*2:2個流，雙頻AP6510DN：室外標準型，2*2:2個流，雙頻AP6610DN：室外網橋，2*2:2個流，雙頻（AC供電，光口上行）AP6310SN，室分型，2*2:2個流，單頻ACAC6605（盒式）S9700/7700ACU（插卡）出口路由器大中型園區：NE40E系列中小型園區：AR3200/AR2200系列支持語音的園區：AR3200/AR2200系列防火墻Eudemon

E1000E-X系列注：S57分為LI/SI/EI/HI，LI為二層千兆交換機，其他為三層千兆交換機。接入AP、IP電話、IP攝像頭等可PoE受電的終端時推薦選擇PoE交換機，S5700交換機命名中帶“PWR”表示為PoE型號。目錄1華為ONENET園區網解決方案概述2園區網設計方法3園區網絡設計指南4園區網絡安全設計指南子目錄2園區網絡設計方法設計總體目標3設計指導原則4設計參考標準5設計總體流程1需求分析指南2園區網設計總體流程重點內容：客戶網絡環境客戶網絡業務現網的痛點（若有）客戶的期望根據調研結果進行分析，內容至少包括：終端接入模式業務流量模型網絡帶寬/容量需求調研方案設計需求分析根據需求分析的結果進行方案設計：網絡架構設計網絡分層設計網絡特性設計園區網需求調研指南——總體編號需求分類需求調研的主要內容調研的主要目的1網絡環境了解網絡的建設、部署和使用情況；明確是改造網絡，還是新建網絡？初步確定網絡架構和設計方案。2網絡痛點了解客戶現有網絡的痛點（針對網絡改造升級場景），或者對網絡的期望。確定網絡的建設要求和目標，初步確定網絡需支持的特性。3網絡業務了解網絡中需要部署的業務及其特性，明確網絡業務和流量模型。確定網絡帶寬和業務特性。4業務安全了解業務是否需要隔離以及隔離要求（若有），了解網絡安全建設要求。確定業務隔離和網絡安全防護建設方案。5網絡規模了解網絡用戶規模以及3～5年之間的增長態勢。最終確定網絡架構與設計方案。6終端類型了解終端類型及接入要求。確定網絡接入方案。下面對這６個方面的需求調研內容逐一進行詳細說明。園區網需求調研指南——網絡環境調研需求編號主要調研內容需求分析指南1網絡建設情況：是新建網絡還是改造網絡？如果是新建網絡，設計的約束相對較小，可以充分采用我司現有方案和產品；如果是升級改造網絡，則網絡設計復雜度增加，需要考慮更多的情況，如設備的兼容性和利舊問題，網絡平滑過渡、業務是否允許中斷等問題。2網絡類型：有線網絡、無線網絡或者有線無線一體化網絡？主要是明確是否需要同時建設無線網絡，是否需要建設成線無線一體化。如果需要有線無線一體化，則推薦采用AC+AP的部署方式；如果需要統一認證，則推薦采用我司的NAC方案。3園區地理分布：集中或分散主要用于初步確定基礎網絡架構。如果地理位置比較集中的話，考慮單核心架構；如果地理位置比較分散，如存在多棟大樓時，而且每個分布點的網絡規格都比較大、各點之間的內部流量也比較大時，可能需要設置多個核心或匯聚。4客戶單位組織結構（可能的話）通過了解客戶單位的組織結構來初步了解園區網的大致使用情況，包括：客戶單位各組成機構如何使用網絡，或者如何為其部署網絡，是否存在需要根據部門、區域、業務等情況來設置網絡隔離，是否需要部署多個核心或匯聚點？是否有分支接入要求？若有，需要采用什么線路接入？5機房或網絡設備弱電間分布情況當機房或弱電間比較多時，通常可以將網絡各層分布式部署到各個機房或弱電間，即將核心或匯聚部署到各個機房或弱電間，通常可以在每個機房或弱電間部署一個匯聚點；當采用多核心互聯時，也可以將多核心分別部署在不同機房。除此之外，還要考慮設備擺放布局及其間隔距離等問題。園區網需求調研指南——網絡痛點調研需求編號主要調研內容需求分析指南1網絡速度：網絡是否擁塞？初步確定網絡帶寬以及交換機的大致規格。2網絡質量：業務經常中斷，網絡不穩定需要考慮采用網管或網絡分析軟件，找出具體原因，并在方案設計時加以重點考慮，比如，可以考慮采用具有硬件OAM功能的產品。同時，需要根據客戶所在的行業特色來分析其業務對網絡質量的要求，以保證網絡質量滿足其業務要求。3網絡規模：可接入用戶數量偏少了解客戶網絡現有用戶數量，以及將來3～5年用戶數量的增長規模。通常可以通過增加接入交換機的數量或更換更高密度的交換機，同時還需要考慮網絡容量是否滿足要求。4網絡能力：有線無線接入、遠程接入如果需要無線網絡，需要考慮有線無線一體化（統一部署、統一認證）。遠程接入時要考慮業務應用場景，是個人移動辦公遠程接入，還是分支機構固定接入，從而確定采用SSLVPN還是IPsecVPN，或者兩者都需要。5網絡安全：內部安全、終端安全、外部安全確定是否要采用相關的安全設備以及設備形態，同時了解用戶對安全的重視程度；如果對安全要求高，可以推薦采用獨立的安全設備，如果要求相對較低，可以采用集成的安全設備，如UTM或安全類的增值業務插卡等。針對現網改造場景，了解現網的不足之處，即客戶痛點，從而明確網絡建設要求和目標。可從如下幾方面入手：園區網需求調研指南——網絡業務調研編號主要調研內容需求分析指南1常用業務類型：辦公ERP、email、上網？正常的辦公業務對網絡帶寬要求不高，通常200Kbps左右，普通的網絡接入基本上就能滿足要求。2關鍵業務類型：數據、VoIP、視頻、桌面云？通常園區網屬于局域網，基本不用考慮網絡時延問題；部署VoIP、視頻和桌面云時如果涉及到分支、城域或廣域類型的連接時，則需要重點考慮網絡時延問題。如果需要部署桌面云，則需要重點考慮網絡的可靠性或可用性。如果有視頻需求，則需要充分考慮帶寬要求。部署VoIP時，是與PC共網絡，還是獨立？是否需要PoE供電？這涉及到交換機的數量和規格。3有需要特別關注的業務？優先保障客戶重點關注的業務，必要時進行QoS設計，保證客戶體驗。4多播業務的類型如果有，需要設計相應的多播/組播方案。5未來3～5年之內新增業務類型網絡需要考慮3～5年內業務發展的可能性，實現業務平滑升級和擴容，避免資源浪費和不能滿足使用。6現網業務環境（若有）現網運行的主要網絡協議、網絡拓撲和設備類型、數量，了解現網網絡質量及其對當前業務的支撐情況，供設計時參考。園區網需求調研指南——業務安全調研編號主要調研內容需求分析指南1業務安全：業務隔離與互通要求網絡業務是否需要隔離？如何隔離，物理隔離還是邏輯隔離？如果采用物理隔離，則相當于同時建設多張網，分別按照獨立的網絡進行設計即可；如果采用邏輯隔離，則需要采用VLAN/VPN等技術進行隔離，一張網承載多種業務，虛擬成多個園區網。同時，還需要考慮不同業務之間是否存在互通要求。如果有，需要事先制定好互通策略和方案。2網絡安全：外部安全防護主要需要考慮網絡邊界安全，需要部署防火墻、IPS/IDS、網絡日志審計、防毒墻等安全設備。

如果對網絡安全要求比較高，比如需滿足安全等級保護要求，則推薦采用獨立的安全設備；否則，可以采用集成安全設備如UTM或安全增值業務插卡。3網絡安全：內部安全防護主要用于防止網絡內部用戶導致的安全事故，可以推薦采用上網行為管理的軟件或專用設備。4網絡安全：終端安全防護包括終端接入安全以及終端安全檢查，確定是否需要采用終端NAC方案。園區網需求調研指南——網絡規模調研編號主要調研內容需求分析指南1有線用戶或接入點規模確定接入交換機的端口數量及密度，同時根據對業務的調研情況，初步確定大致的網絡帶寬需求。2無線用戶的規模（若有）初步確定AC的規格和AP的數量；在一些重點區域（如會議室）是否需要考慮高密度接入。3現網情況及規格（若有）初步了解網絡改造的工作量，確定網絡升級方案，包括設備利舊、兼容性、平滑升級等方面的內容。43～5年后的網絡規模，或最近幾年的最高增長率網絡設計要滿足可擴展性要求，應當考慮園區網未來３～5年的發展需要，在設計時其網絡接口、容量和帶寬均需要有一定裕量，以便將來平滑擴容。網絡規模既包括用戶規模（即網絡用戶的數量或終端數量），也包括業務規模（業務的類型、帶寬、數量及其使用范圍）。5分支機構（若有）如有，則需要考慮分支與總部的聯結方式。總部是否需要采用專線和互聯網線路兩類線路？是否需要線路備份？園區網需求調研指南——終端類型調研編號主要調研內容需求分析指南1有線終端類：網絡接入能力（網卡的接口速率）可以確定接入交換機的大致規格。2無線終端類：終端類型：筆記本電腦、智能手機、移動智能設備PAD，無線接入能力：支持802.11abgn\ac\AP供電方式：直接電源供電，還是交換機PoE供電？需要考慮支持的接入頻段和模式。需要考慮接入認證模式。需要考慮是否采用有線無線統一認證。需要考慮是否允許訪客接入以及訪問區域。3啞終端類：IP電話、網絡打印機、IP攝像頭等需要考慮此類終端的接入和認證方案。4其他/特殊類型的終端：

如工業控制機、現場測控儀等可能會影響接入交換機的選型，如工業園區/生產網可能會要求采用工業交換機、室外機構，可能會影響設備的供電方式。5特殊的網絡設備：如專用的網絡加密設備、工業交換機等主要考慮兼容性，以及性能上的匹配，避免規格不一致。需求分析結果與設計內容對照關系網絡架構設計樹型環型無線網絡三層二層單層分層結構設計網絡特性設計安全性可靠性編號需求分類1網絡環境2網絡痛點3網絡業務4業務安全5網絡規模6終端類型核心層需求分析QoS…匯聚層接入層5.x1.x2.12.33.x5.x5.26.x3.32.54.x說明：１）數字1.1表示需求分析編號為１.1的需求２）數字5.x表示需求分析中編號為第５大類的所有需求園區網基礎網絡模型和業務類型分析數據中心出口區其他園區園區外部園區內部分支出差員工合作伙伴網絡管理應用終端DMZInternet/WAN核心層匯聚層接入層園區網可以提供各種各樣的業務，包括但不限于：數據：OA、email、FTP、ERP/MIS...語音：PSTN、VoIP、IM、QQ、UC...視頻：視頻會議、桌面云、智真…不同業務對網絡的要求不一樣。業務類型對網絡的基本要求數據網絡穩定可靠，不中斷，不丟包。語音網絡穩定可靠，時延和抖動小。視頻網絡穩定可靠，時延小，帶寬大。園區網設計總體指導思想園區網復雜多樣的訪問關系以及多種多樣的業務類型必然要求園區網的設計要有良好的指導思想和設計原則。園區網設計過程中，應當遵循如下思想原則：可靠性原則：園區網必須穩定可靠工作，業務永續。可信任原則：網絡必須安全、可信任。可擴展原則：網絡平滑升級和擴展，滿足未來3～5年的發展規劃可管理原則：網絡容易管理和維護，網絡診斷和故障定位容易。可運營原則：支持和方便部署新業務，如VoIP、UC（統一通信）、智真、桌面云等。經濟性原則：最大化ROI和降低TCO。ROI:

ReturnonInvestment,投資回報TCO:

TotalCostofOwnership,總體投資園區網設計原則設計原則含義客戶價值層次化根據功能作用和定位，園區網絡通常按照核心層、匯聚層與接入層等多個層次進行分層設計。化繁為簡，使網絡結構簡單，簡化網絡部署，具有良好的穩定性、可擴展性，同時也方便網絡管理。模塊化從業務角度出發，分為園區出口、數據中心、DMZ、網絡管理、分支、園區互聯、出差員工和合作伙伴等功能分區或業務類別。提供靈活多變的訪問和互聯方式，滿足不同業務需要，有利于實施差異化的業務控制。可靠性園區網穩定可靠，關鍵部位采用冗余或備份架構；發生故障時可以快速恢復。業務不中斷，保證業務體驗。安全性全網安全可信，具有完善的安全防護措施，防止惡意破壞，保護數據和網絡安全。打造一個可信網絡，保障網絡和業務安全。園區網設計原則（續）設計原則含義客戶價值可擴展性園區網可以適應不同業務部署和擴展需求，包括部署新業務以及網絡平滑擴展等要求。充分發揮網絡價值，減少重復投資，避免資源浪費。易管理全網多業務智能、主動和綜合管理，實時分析網絡健康狀況，積極預防；故障發生時可以快速排除故障，減少損失。降低運維難度，提升客戶體驗。業務體驗保證帶寬和性能設計，QoS設計等。保證業務質量以及業務體驗，讓客戶滿意。特色或亮點體現（可選）根據客戶的業務或需求，設計具有競爭力的方案。提高客戶對我司的關注度和信任，讓客戶滿意。園區網設計參考標準——國家標準GB/T15237術語學基本詞匯GB

2887計算機站場地技術條件GB

50311建筑與建筑群綜合布線系統工程設計規范GB

50312建筑與建筑群綜合布線系統工程驗收規范GB/Z15629.1信息技術系統間遠程通信和信息交換局域網和城域網特定要求第1部分：局域網標準綜述GB15629.1101信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分：無線局域網媒體訪問控制和物理層規范：5.8GHz頻段高速物理層擴展規范GB15629.1103信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分:無線局域網媒體訪問控制和物理層規范GB15629.1104信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分：無線局域網媒體訪問控制和物理層規范：2.4GHz頻段更高數據速率擴展規范園區網設計參考標準——國際標準ISO7498信息處理系統開放系統互連基本參考模型ISO/IECIS11801用戶建筑綜合布線EIA/TIA568A商業建筑電信布線標準EIA/TIA606商業建筑物電信基礎結構管理標準EIA/TIA607商業建筑物接地和接線規范EIA/TIATSB-72集中式光纖布線系統標準EIA/TIATSB-75開放式辦公布線系統標準ANSI

FDDI光纖分布式數據接口高速局域網標準ANSI

TPDDI銅線分布式數據接口高速局域網標準IEEE802.3CSAM/CD接口方式IEEE802.3u100Base規范IEEE802.3z1000Base-X(GBIC)規范IEEE802.3ae10G規范IEEE802.11...

無線局域網相關的一系列標準園區網設計參考標準——行業標準GA38-92中華人民共和國公共安全行業標準GA/T394出入口控制系統技術要求YD/T5037公用計算機互聯網工程設計規范YD/T5050公用計算機互聯網工程驗收規范JGJ/T1692民用建筑電氣設計規范其他標準或協議文檔描述RFC894AStandardfortheTransmissionofIPDatagramsoverEthernetNetworksRFC1042AStandardfortheTransmissionofIPDatagramsoverIEEE802NetworksRFC1166InternetNumbersRFC1918AddressAllocationforPrivateInternetsRFC3069VLANAggregationforEfficientIPAddressAllocation......園區網設計參考標準——使用優先級以上相關標準和規范中如有內容不一致之處，推薦按如下優先級順序使用：國家標準、規范部頒標準、規范國際標準、規范行業標準、規范地方標準、規范制造商的標準、規范目錄1華為ONENET園區網解決方案概述2園區網設計方法3園區網網絡設計指南4園區網網絡安全設計指南子目錄3園區網網絡設計指南基礎架構設計1分層結構設計2VLAN規劃與設計３IP地址規劃與路由設計４網絡管理設計５園區網架構選型指南根據核心交換節點的數量，園區網從邏輯結構上分為單核心和多核心兩種架構。單核心架構即樹型架構，只有一個核心交換節點；多核心架構存在多個核心交換節點，主要包括網狀架構和環型架構，其中環型架構應用相對較多一些。圖２網狀架構圖1樹型架構圖3環型架構架構類型架構描述優點缺點適用場景樹型架構邏輯上只有一個交換核心。結構簡單，方便管理，可擴展性強，增加節點容易。對設備和線路的要求相對較高，核心節點容易形成瓶頸，對其性能和可靠性要求較高。園區網絡規格不大，結構相對簡單。網狀架構邏輯上存在多個交換核心，相互之間可以全互聯或部分互聯。節點之間轉發效率高，網絡可靠性高，具有很強容錯能力，每臺設備有至少兩條出口條線路。增加節點復雜，線路數量較多，網絡結構復雜。園區網絡，各節點之間的數據流量非常大。環型架構邏輯上存在多個交換核心，僅相鄰兩點互連，所有節點成環型連接。節點之間轉發效率相對較高；可靠性較高，具有容錯功能，每臺設備具有兩條線路。可擴展性稍差，增加節點復雜，管理相對復雜。園區網絡規模非常大，或者因為地域因素（如地理覆蓋范圍大，各區域相隔比較遠）存在多個核心交換中心。園區網架構選型指南（續）園區網樹型架構核心層匯聚層接入層區域１區域N出口區園區網結構相對比較簡單，通常推薦采用樹型架構，容易部署和管理；同時可以進一步簡化網絡結構，可擴展性強；此外，為保證網絡可靠性，可以在網絡關鍵位置采用冗余備份措施。樹型網絡架構通常采用分層結構，分為三個層次：核心層：是園區網骨干，是園區數據交換的核心，聯接園區網的各個組成部分，如數據中心、管理中心、園區出口等匯聚層：處于園區網的中間層次，完成數據匯聚或交換的功能，可以提供一些關鍵的網絡基本功能，如路由、QoS、安全等。接入層：為終端用戶提供園區網接入功能，是園區網的邊界。每個層可以看作為是園區網內一個具有特定角色和功能的、結構定義良好的模塊。除此之外，大多數園區還需要有一個網絡出口區，用于與外部網絡連接。…表示堆疊線路，以下同園區網樹型架構（續）核心層匯聚層接入層區域１區域N…出口區網絡層次推薦最多3層！層次化設計：核心層、匯聚層、接入層，每層功能清晰，架構穩定，易于擴展和維護。模塊化設計：每個對應模塊一個部門或功能、業務區域，部門或區域內部調整涉及范圍小，定位問題容易。冗余性設計：雙節點冗余性設計，適當的冗余性提高可靠性，過度的冗余不便于運行維護。對稱性設計：網絡的對稱性便于業務部署，拓撲直觀，便于協議設計和分析。分層樹型架構的優點：從理論上講，分層樹型架構的層次可以任意多，但在大多數情況下，3個層次就足夠了，這樣，可以更好地控制網絡規模和網絡質量，同時也方便網絡管理和維護。樹型架構的不同結構類型樹型架構在實際應用中可以根據網絡規格或業務需要靈活劃分或調整，具體又可以分為三層、二層、單層等多種結構類型。（注：為方便說明，下圖未采用冗余對稱結構）。核心層匯聚層接入層區域１區域N出口區核心/匯聚層接入層出口區接入層出口區…三層結構二層結構單層結構園區網樹型架構應用指南采用分層的樹型架構時，可以根據網絡規模大小或業務的需求，選擇采用三層、二層、單層等多種類型的架構。園區網比較常用的是三層和二層結構，適用于普通的大中型園區，單層結構僅用于網絡規模非常小的微小型園區或分支。園區類型架構類型選型說明場景示例大型園區三層結構用戶規模比較大，通常超過1000人，或者部門或網絡區域數量眾多。大型科技園區或工業園區中型園區三層或二層結構用戶規模不是很大，通常在100～1000人之間，業務部門比較多、業務控制關系復雜時采用三層架構，否則可以采用二層架構。單個中小型企業的園區、中小型分支機構小型園區二層或單層結構網絡用戶規模比較小，通常不超過100人。微小型企業、SOHO型企業、小型分支機構樹型架構應用示例——大型園區接入層匯聚層核心層接入層匯聚層樓宇B：營銷中心樓宇A：行政及管理中心樓宇C：客戶中心樓宇D：研發中心樓宇E：測試中心樓宇F：生產中心在大型園區中，通常以樓宇為單位進行網絡建設。整個園區設置一個核心交換區（即核心層）。每棟樓宇可以按照二層樹型結構建設，即每棟樓作為一個獨立的匯聚點。大型園區采用這種樹型架構時，可以實現同一樓宇內的數據交換就在本樓宇內部完成，不同樓宇的數據交換通過核心層完成。同一樓宇內部的通信流量不同樓宇之間的通信流量樹型架構應用示例——中型園區中型園區通常采用二層結構，如圖１所示，根據網絡規模和業務需要，也可以采用三層結構，如圖２所示。當網絡接入點比較多，需要設置多個匯聚點時，可以采用三層結構。如新建辦公大樓，每層一個弱電間，可以作為一個匯聚點，整棟樓采用三層結構，設置一個核心層。當有不同的業務隔離要求時，如部門之間相互隔離，需要為每類業務或部門單獨設置一個匯聚點時，可以采用三層結構。一樓：營銷區二樓：行政區三樓：研發區四樓：測試區接入層匯聚層出口區核心層接入層出口區核心/匯聚層圖２三層結構圖１二層結構營銷區行政區研發區測試區同一樓層樹型架構選型指南園區網無論采用樹型架構、網狀架構，還是環型架構，其內部結構層次均可能采用三層、二層，甚至單層。如何來決定采用的具體結構層次，判斷標準主要有兩條（對應兩種選型方法）：１）網絡規模（自底向上法）：即網絡接入點或用戶的數量２）業務需求（自頂向下法）：主要體現在業務是否需要網絡隔離以及如何隔離。上述兩條標準或方法在實際工作中均同時采用，相互印證或補充；當兩種方法的判斷結果不相同時，采取就高不就低的原則，選擇層數最多的結果作為統一的最終結果。例如：根據網絡規模來判斷，適合采用二層結構；但根據業務需求來判斷，需要采用三層結構，則最終結果為：園區網應采用三層結構。網絡接入規模業務需求分析二層結構三層結構三層結構判斷原則：就高不就低樹型架構選型示例一——根據網絡規模（自底向上法）根據網絡規模來決定樹型架構的層次，是一種自底向上的設計方法。其簡要流程如下：確定接入端口數量選擇接入交換機計算接入交換機的數量數量>1選擇匯聚交換機采用單層結構計算接入交換機的上行線路數量計算匯聚交換機的數量數量>1采用三層結構采用二層結構方法：根據需求5.x(即網絡規模需求）確定接入端口數量前提：假設一個端口對應一個用戶或一個網絡接入點）方法：根據需求6.1(網卡的接口速率)初步選定交換機，即確定交換機的規格（接入能力、端口密度、上行方式）數量＝【網絡接入規模/接入交換機的下行端口密度】方法：根據接入交換機的上行端口速率選擇匯聚交換機方法１：數量＝【網絡帶寬/接入交換機上行端口速率】；方法２：數量＝【網絡接入規模×接入端口速率×帶寬收斂比/接入交換機上行端口速率】（注：通常推薦只在接入層進行帶寬收斂，其它層不進行）數量＝【接入交換機上行線路數量/匯聚交換機下行端口密度】NYNY樹型架構選型示例二——根據業務需求（自頂向下法）適用場景：當園區網的多種業務需要進行網絡隔離時，可以直接確定采用三層結構，實現物理隔離。示例場景：公司有研發、生產、財務、人力等多家部門，各部門之間需要進行網絡隔離，要求各部門數據不能直接進行二層訪問。網絡解決方案：由于有多個部門需要隔離，每個部門形成一個獨立的匯聚區域，部門內部可以二層互通，不同部門之間不能直接互通（可以通過核心層互通，二層或三層均可）。核心層匯聚層接入層生產研發財務出口區人力園區網多核心互聯設計指南對于大型或超大型園區，網絡在邏輯結構上存在多個交換核心，多核心之間存在多種互聯解決方案：全互聯架構(全網狀架構)：如圖１所示，所有核心兩兩互聯。部分互聯架構（部分網狀架構）：如圖２所示，核心均聯結到同一個或多個（非全部）核心上（所有核心均在同一個層次）。改進的星型架構：如圖３所示，增加一個新的核心交換節點，形成雙層核心架構。環型架構：如圖４所示，相鄰的節點互聯，整體成環。圖２部分互聯架構圖４環型架構圖１全互聯架構圖３改進的星型架構架構類型優點缺點應用場景全互聯架構各核心之間全互聯，交換效率比較高，可靠性高。組網復雜，占用較多的線路和接口資源，可擴展性差，管理復雜。對轉發性能要求非常高的場景，適用于高端用戶，如大型ISP/IDC。部分互聯架構只有部分核心兩兩互聯，節省線路資源，可擴展性好。容易形成性能瓶頸，轉發效率和可靠性有所降低，對核心的性能要求非常高。普通園區，低成本建設要求，核心之間的數據量不大。改進星型架構（推薦1）各核心之間連接關系和網絡結構簡單，便于管理和維護，可擴展性好。需增加新的核心設備，同時對新核心設備的要求非常高，可靠性較低。對網絡管理與轉發效率都比較關注的高端用戶，以成本換效率。環型架構（推薦2）節省線路和設備接口資源，網絡結構簡單，可靠性較高。核心之間可能需要多次轉發，導致轉發效率稍低。可擴展性較差各核心之間數據交換量比較平均，低投資成本。園區網多核心互聯設計指南（續1）園區網多核心互聯設計指南（續2）樓宇B樓宇C樓宇D樓宇A園區網采用環型架構時，節點內部按照樹型架構進行設計；節點之間通過核心層進行互聯訪問，既可以采用二層互聯方式，也可以采用三層互聯方式，推薦采用三層互聯方式。互聯方式二層互聯三層互聯主要技術或協議VPLS、TRILL、L2VPN、IP、MPLSVPN、xSTP、RRPP、SEP、RPR。IP路由協議（OSPF、IS-IS、BGP、RIP、靜態路由等）。優點二層轉發效率高，二層交換機即可實現，對設備要求不高，建設成本相對較低。組網簡單，可擴展性強，網絡管理簡單，可充分利用路由協議的優勢（如路由收斂、鏈路故障切換等）。缺點沖突域大，需要復雜的網絡配置和管理（如需要部署xSTP或RRPP、SEP等二層環網協議）；網絡可擴展性較差。需采用三層設備，對設備性能要求高，投資成本相對較大。適用范圍僅在特殊場景（如明確需要二層互聯時）下使用。普通園區均可使用。接入層匯聚層核心層接入層匯聚層核心層環型架構在園區中應用相對較少，除了增加核心互聯功能外，其內部結構仍可按樹型架構設計，因此下面僅以樹型架構為例進行相關介紹。同一樓宇內部的通信流量不同樓宇之間的通信流量園區多核心互聯設計應用示例當園區網需要進行多核心互聯時，首先可以考慮采用改進型的星型架構；如果受投資成本以及環境條件限制（如線路資源有限）時，可以推薦采用環型架構。環型架構的可擴展性和管理性相對星型架構要差一些，只在一些特殊場景推薦使用，通常要滿足以下所有條件時才推薦采用環型架構：樓宇之間存在大量的數據交換，各樓宇具有同等重要的作用；采用星型架構時容易形成性能瓶頸；樓宇之間不能采用全互聯方式。１）改進星型互聯２）環型互聯樓宇B樓宇C樓宇D樓宇A樓宇B樓宇C樓宇D樓宇A分層設計方法子目錄3園區網網絡設計指南基礎架構設計1分層結構設計2VLAN規劃與設計３IP地址規劃與路由設計４網絡管理設計５核心層設計匯聚層設計接入層設計網關設計出口區設計配置計算示例分層設計方法分層設計方法——自底向上設計對園區網進行分層設計有助于降低設計的復雜度和難度。采用分層設計方法是指采用模塊化和層次化技術分別設計每一層，同時根據對流量負載、流量和網絡或用戶行為的分析來規劃層與層之間的互連。分層設計可以采用自頂向下或自底向上兩種設計思路。從工程實現的角度出發，自底向上設計法更貼近客戶需求，其可操作性更強一些、設計風險更小一些，因此，推薦采用自底向上設計法，即先設計接入層，然后設計匯聚層，接下來設計核心層和出口區。匯聚層接入層出口區核心層自頂向下設計自底向上設計推薦不推薦…分層設計方法——自底向上設計（續）分層設計并不是將園區網各層分開獨立設計，而是為了提高設計的可靠性和可行性才分開設計的。當為每層選擇所使用的技術時，需要綜合考慮本層設計對其它層次的的影響和制約，或者其它層對本層設計的影響或制約。網絡設計是一個不斷重復、審視和完善的過程，最終方案必須綜合考慮所有層次之間的相互影響或制約關系。園區網設計涉及到因素比較多，除了商業上和技術上的因素外，可能還需要考慮一些其它因素（如機房空間、環境因素、兼容和利舊），因此，設計園區網絡時必須要有系統和全局的觀點。匯聚層接入層出口區核心層…網絡設計是一個不斷重復、審視、完善的系統過程。影響或制約園區網網絡設計全景圖：分層、分區、流量模型DMZ數據中心/

服務器區網絡管理&運維中心核心層匯聚層接入層區域/部門…區域/部門1區域/部門N出口區園區外部園區內部區域或部門N

專用的服務器區結構分層功能分區主要流量模型InternetWAN子目錄3園區網網絡設計指南基礎架構設計1分層結構設計2VLAN規劃與設計３IP地址規劃與路由設計４網絡管理設計５核心層設計匯聚層設計接入層設計網關設計出口區設計配置計算示例分層設計方法接入層設計接入層作為園區網的邊界，為用戶提供各種接入方式，是PC終端、網絡攝像機、打印機、IP電話等設備接入網絡的第一層，因此，滿足各方面的接入要求是接入層的首要任務。同時，接入層也需要對網絡提供保護，防止未經授權的用戶和應用進入網絡，因此，接入層需要在安全性和可用性方面提供適當的平衡。核心層匯聚層接入層區域１區域N出口區…接入層設計——設計要點接入層作為園區網的內部邊界，主要提供接入功能，除了可能需要高密度端口以支持更多的終端接入園區網絡外，可能還需要部署豐富的二層或三層接入特性，同時還需要考慮或部署安全性、可靠性等網絡特性。接入層的設計要點主要包括：架構設計——接入層網絡設備的工作模式、堆疊方案組網設計——上下行鏈路端口速率、端口密度、鏈路數量、線路類型、組網方式、可靠性設計等設備選型——選型指標及設備推薦核心層匯聚層接入層區域１區域N出口區…接入層設計——設計方法設計原則：滿足不同接入要求，可能包括：不同類型終端的接入不同接口速率的接入對網絡質量的不同要求的接入其他一些要求，如PoE供電…適度考慮擴展性提供相應的安全特性簡化網絡部署和管理編號需求分類1網絡環境2網絡痛點3網絡業務4業務安全5網絡規模6終端類型架構組網方式設備選型需求分析設計要素5.26.x設計流程示意接入層設計——架構設計設計要點內容1終端接入方式主要是指終端接入的線路類型以及終端供電方式，這需要根據需求1.2、2.4、5.1、5.2、6.x等的分析結果來確定。明確終端的接入方式后，也就相應地確定了接入交換機的端口速率及下行鏈路類型等參數。2接入規模及可擴展性要求即終端或網絡用戶的數量，以及網絡擴展性的要求，從而確定接入交換機的數量及其端口密度。接入層的擴展性主要考慮滿足當前接入數量即可。3交換機的工作方式當交換機的數量較多時，各交換機之間是否存在相互協同或制約關系。4上行組網方式即接入層如何與匯聚層進行層間互聯，包括鏈路類型以組網方式。5可靠性要求可靠性對交換機的工作方式及及上行組網方式均有相應的要求，高可靠性通常需要通過冗余設備和冗余鏈路來實現。6業務體驗保證總體上是指接入層要滿足園區網的接入要求，實際通常是指接入交換機的端口速率與終端網卡速率匹配，網絡收斂比合理，接入層上行帶寬滿足業務質量要求。接入層設計——交換機工作模式通常接入層會有多臺交換機。當接入層交換機數量較多時，需要考慮各臺交換機之間是否需要協同；因此，接入層交換機可以有兩種工作模式：獨立模式和堆疊模式工作模式獨立模式堆疊模式模式描述各交換機獨立工作，相互之間不存在依賴或協同關系。交換機采用堆疊方式，各交換機相互協同，邏輯上形成一臺設備。優點設備獨立工作，節點故障互不影響，擴容方便。兼容性好，不同類型設置可以共存。對設備要求不高，支持標準協議即可。降低管理復雜度，適合大規模部署。采用雙歸上行時可以避免鏈路單點故障。可以節省上行線路資源。缺點可靠性相對較低，容易存在單點故障。管理復雜度隨設備數量的增加而增加，不適用于大規模部署。需要增加設備之間的連接線路。對設備一致性要求高，兼容性較差。增加設備和節點難度大，故障維護難度增加，需要有效的失效檢測機制。應用場景普通小規模園區大中型園區、新建網絡接入層設計——堆疊設計盒式交換機采用iStack堆疊時，有如下兩種連接形態，推薦采用環形連接。鏈形連接環形連接鏈形連接環形連接連接方式描述使用堆疊電纜將一臺設備的左口（右口）和另一臺設備的右口（左口）連接起來，依次類推，第一臺設備的右口（左口）和最后一臺設備的左口（右口）沒有連接堆疊電纜。將鏈形連接第一臺設備的右口（左口）和最后一臺設備的左口（右口）連接起來。優點組網簡單，管理簡單。可靠性較高，當環形鏈路中出現一條鏈路故障時，堆疊系統仍能夠保持正常工作缺點當鏈形鏈路中出現一條鏈路故障時，會引起堆疊分裂。需要多增加一條堆疊連接線路接入層設計——堆疊方式多功能插卡槽位：2×12G堆疊卡

S5700系列后面板(部分)

以S3700-28TP-PWR-EI為例2*GESFP上行口復用為堆疊口接入層采用iStack堆疊時，根據堆疊連接所采用的端口類型，分為如下兩種堆疊方式：堆疊方式堆疊卡堆疊業務口堆疊方式描述堆疊組內各交換機使用專用的堆疊卡、配以堆疊專用線纜實現互聯。堆疊組內各交換機使用標準的業務口和線纜實現互聯。優點不占用業務口，節省端口資源。高速、穩定、可靠性強。無需采購額外部件。支持長距堆疊、ETH-Trunk。典型產品S5700S3700接入層設計——下行鏈路設計接入層下行鏈路是指終端接入接入層交換機的線路類型，通常只要和終端網卡的速率匹配即可。通常有如下幾種途徑來決定鏈路類型：直接根據終端網卡速率來決定接入交換機的下行端口速率。比如：如果終端全是百兆網卡，則可以采用端口支持百兆或百兆自適應的接入交換機，如S2700或S3700。根據業務帶寬來確定接入交換機的端口速率。這需要詳細分析用戶的業務類型及其帶寬需求，比如，媒體行業用戶存在同時傳送多路高清視頻的需求，則其接入交換機可能需要千兆接入端口。通常情況下可以采用第一種方法來選擇交換機。第二種方法適用于新建網絡（包括新購終端)時使用。第二種方法的難點在于對業務及其帶寬需求的真實識別。除了線路類型外，還需要考慮線路長度。通常終端到接入交換機的距離不是很遠，小于100米時推薦采用UTP電纜，大于100米時則需要考慮采用光纖連接。可供選擇的下行端口速率：10M、100M、GE、10GE速率？接入層設計——上行鏈路設計上行鏈路是指接入層到匯聚層的鏈路。上行鏈路設計主要考慮鏈路類型（即上行接口速率/帶寬/線路類型）、數量及上行組網方式，基本原則是：在滿足速率/帶寬/可靠性要求的情況下盡量減少線路數量。具體包括如下內容：（一）確定上行接口速度一般情況下根據下行端口速率和端口密度就可以確定接入交換機的型號，相應地其上行接口速率也就隨之確定；如果存在多種上行接口速率，優擇上行接口速率較高的型號。（二）確定上行線路類型上行鏈路的線路類型主要是指采用電纜線路或光纖線路，通常需要根據線路介質類型、傳輸速率、線路標準、傳輸距離等多種因素進行選擇。可供選擇的上行端口速率：100M、GE、10GE、40GE、100GE速率？數量？接入層設計——上行鏈路設計（續1）如表1所示，不同傳輸速率、傳輸介質和標準的線纜，其傳輸的距離不同。傳輸距離傳輸速率100米之內100米之上100M電纜光纖1000M電纜或光纖10GE及以上光纖表2接入層線路推薦表速率標準介質接口最遠距離FE（100M）10/100base-TXCAT5RJ45100m100base-FXMMFSFP2kmGE（1000M）1000base-TCAT5RJ45100m1000base-LXMMFSFP550mSMFSFP5km10GE（10000M）10Gbase-SR62.5umMMF（160MKm@850nm）SFP+/XFP26m50umMMF（2000MKm@850nm）SFP+/XFP300m10Gbase-LRM62.5umMMF（160/500MKm@850/1310nm）SFP+/XFP300m10Gbase-LRSMF/1310SFP+/XFP10km表1不同速率和標準的線路及其傳輸距離對照參考表(部分數據，僅供參考)接入層線路選擇的簡要對應關系如表2所示。當采用光纖連接時，需要考慮光纖的傳輸模式。多模光纖適用于近距離（約幾百米）傳輸，單模光纖適用于長遠、高速傳輸。同時，如果光纖資源緊缺，可以考慮采用單纖雙向光模塊，用一根光纖傳輸雙向信號。接入層設計——上行鏈路設計（續2）（三）上行帶寬與上行鏈路數量計算確定交換機型號之后，需要確定每臺交換機的上行帶寬和鏈路數量。通常每臺交換機至少有一條上行鏈路，如果單條鏈路不能滿足上行帶寬要求時，則需要采條多條上行鏈路。有些情況下，為了提高鏈路可靠性，交換機也需要采用多條鏈路上行，在此暫不考慮這種場景。接入層的上行帶寬和上行鏈路數量計算方法有多種，可以綜合使用，推薦如下兩種方法：業務分析方法：即對園區網中所有網絡業務所需的最大帶寬進行分析和計算，由此確定上行帶寬和鏈路數量。這是一種自頂向下的分析方法，要求對園區網絡業務非常了解。采用此法時，通常可以假定業務無阻塞，即網絡收斂比為1：1。網絡收斂比法：即根據接入到匯聚的網絡收斂比進行計算，此法屬于自底向上的分析方法。網絡收斂比是此法的關鍵點，可以根據客戶要求來確定，或者參考行業經驗值（通常在4～20之間）。下面對這兩種方法進行詳細介紹（假定所有交換機是同一型號，其配置完全相同）。接入層設計——上行鏈路設計（續3）１）業務分析法：此法假設網絡業務無阻塞（否則需要考慮網絡收斂比，需要結合第二種方法)，通過分析每個用戶所需的最大網絡帶寬來計算接入層上行帶寬和每臺交換機上行鏈路數量，如下：接入層上行帶寬＝單用戶最大帶寬×網絡接入規模交換機數量＝【網絡接入規模/單臺交換機下行端口數量】單臺交換機上行鏈路數量＝【上行帶寬/交換機數量/交換機上行端口速率】２）網絡收斂比法：在確定交換機型號后可以根據網絡收斂比要求來確定交換機上行鏈路數量：單臺交換機上行帶寬＝【單臺交換機下行端口總數×端口速率/網絡收斂比】單臺交換機上行鏈路數量＝【單臺交換機上行帶寬/交換機上行端口速率】注：１）符號【】表示向上取整，以下同。２）上述兩種方法均與實際情況有一定的誤差，供參考。接入層設計——萬兆上行（推薦方案）隨著多媒體業務的逐漸深入，園區網接入層的帶寬要求增長迅速，推薦接入到匯聚之間的上行鏈路采用10Gbps線路，即萬兆到匯聚，以提供高性能、無阻塞的網絡服務。采用萬兆上行線路有如下收益：增加吞吐量——物理端口的帶寬容量提升10倍，可以有效避免上行帶寬不足的風險。高性能——將數據復用到一條高速鏈路而不是多條低速鏈路上可以加速應用性能。降低TCO——降低交換機每端口的成本，同時可減少線路連接的額外開支。簡化設計——只需要管理、運行和維護一條高速鏈路即可，從而代替多條線路捆綁上行。匯聚層接入層多條低速線路捆綁匯聚層接入層萬兆上行100M\GE線路10GE線路接入層設計——組網方式根據接入層設備的工作模式和匯聚層設備的數量以及其它要求（如可靠性），接入層可以有多種上行組網方式，分別適用于不同場景的需要。匯聚層接入層全互聯上行口字型上行雙歸上行單上行組網方式對比項目適用場景可靠性建設成本網絡結構全互聯上行高高復雜接入層堆疊、對可靠性要求非常高的場景。口字型上行較高較高較復雜接入層堆疊、對可靠性要求較高的場景。雙歸上行高高較復雜匯聚層有多臺設備，對可靠性要求非常高的場景。單上行低低簡單匯聚層只有一臺設備，如小型園區接入層設計——可靠性設計接入層可靠性設計主要包括兩個方面：設備可靠性：要求設備具有電信級可靠性99.999%，支持雙電源接入，支持雙風扇等。鏈路可靠性：體現在鏈路設計以及組網形態上，通常采用多鏈路上行，包括Trunk/LAG技術、雙歸上行等。下面主要介紹鏈路可靠性相關技術。Trunk是一種捆綁技術，將多個物理接口捆綁成一個邏輯接口。將若干條物理鏈路捆綁在一起所形成的邏輯鏈路稱之為鏈路聚合組（LAG）或者Trunk。Trunk技術可以實現增加帶寬、提高可靠性和負載分擔的功能。雙歸上行是指一臺下級設備同時接入到兩臺不同的上級設備上，當其中一條鏈路故障時，另一條鏈路可以正常工作，保證上下級設備之間的鏈路不中斷。雙歸上行Trunk/LAG接入層設計——Trunk技術Trunk接口的特性交換機系列支持二層轉發和三層轉發（單播及組播）全系列支持使用HASH算法進行流的負載分擔支持基于Trunk接口的QoSS5700S6700S7700S9700支持基于物理接口的QoS，不支持基于邏輯接口的QoSS2700S3700支持綁定VPN實例S7700S9700支持熱備份和熱插拔支持不同接口板上的接口加入到同一個Eth-TrunkGE0/0/1GE0/0/2GE0/0/3GE0/0/1GE0/0/2GE0/0/3接入層匯聚層Trunk接口的分類Eth-Trunk：只能由以太網鏈路構成。IP-Trunk：只能由POS鏈路構成。Trunk接口的約束條件物理接口的物理參數必須一致，包括數量、速率、雙工方式、流控方式。必須保證數據的有序性。Eth-TrunkSwitchASwitchB接入層設計——Trunk技術（續）Trunk成員接口備份為提高Trunk接口的可靠性，可以為成員接口配置備份接口。如果成員接口故障，使用同一Trunk接口中處于Up狀態的其他接口作為備份接口承載故障接口上的流量。成員接口備份稱為組內備份，也可稱為組內快速倒換。說明：Trunk成員接口備份只適用于靜態LACP模式的Eth-Trunk接口。Trunk接口的負載分擔目前支持的負載分擔方式為逐流負載分擔。逐流負載分擔能保證包的順序，但不能保證帶寬利用率。Eth-Trunk的速率在二層模式下，Eth-Trunk的速率由以下兩個條件決定：Up鏈路上限閾值。Trunk中狀態為Up的端口的數目。接入層設計——E-TrunkEth-Trunk1Eth-Trunk10Eth-Trunk10E-Trunk1E-Trunk示意圖接入層匯聚層E-Trunk（EnhancedTrunk）是一種實現跨設備鏈路聚合的機制，基于LACP（單臺設備鏈路聚合的標準）進行了擴展，能夠實現多臺設備間的鏈路聚合，從而把鏈路可靠性從單板級提高到了設備級。E-Trunk機制主要應用于接入層雙歸接入匯聚層時，接入層到匯聚層的鏈路保護以及對匯聚層設備節點故障的保護。在沒有使用E-Trunk前，接入層通過Eth-Trunk鏈路只能單歸到一臺匯聚層設備。如果Eth-Trunk出現故障或者匯聚層設備故障，接入層將無法與匯聚層設備繼續進行通信。使用E-Trunk后，接入層可以雙歸到匯聚層上，從而實現設備間保護。S2700、S3700、S5700LI和S5700S-LI不支持E-Trunk，其余系列交換機支持E-Trunk。接入層設計——E-Trunk（續1）Eth-Trunk1Eth-Trunk10Eth-Trunk10E-Trunk1E-Trunk示意圖接入層匯聚層E-Trunk的約束條件為了能夠提高接入層與匯聚層之間鏈路的可靠性，使得接入層直連匯聚層的鏈路能夠自動切換，必須保證匯聚層交換機上E-Trunk的配置一致，而且必須遵循以下規則，如圖所示。SW1與SW3直連的Eth-Trunk，與SW2與SW3直連的Eth-Trunk的工作速率和雙工模式必須相同，即保證key值相同，且必須加入ID相同的E-Trunk。匯聚層兩臺設備所指定的地址互為對端和本端IP地址，保證三層可達即可，建議使用環回口地址。必須配置E-Trunk與BFD會話綁定。匯聚層兩臺設備上設置的報文密碼（可配）必須相同。（后續）SW3SW1SW2接入層設計——E-Trunk（續2）(續上頁)只有靜態LACP模式的Eth-Trunk才能加入E-Trunk。靜態LACP模式Eth-Trunk加入E-Trunk后，其工作模式就不可修改。一個Eth-Trunk只能加入一個E-Trunk。如果該Eth-Trunk已經加入其他E-Trunk時，必須退出原有E-Trunk，才能加入新的E-Trunk。一個E-Trunk中，兩端設備上所加入的Eth-TrunkID、LACP優先級、系統ID都必須一致。一臺設備上最多創建16個E-Trunk。一個E-Trunk最多可以加入64個靜態LACP模式的Eth-Trunk。Eth-Trunk1Eth-Trunk10Eth-Trunk10E-Trunk1E-Trunk示意圖接入層匯聚層SW3SW1SW2接入層設計——可靠性設計：雙歸上行組網為提高接入層鏈路可靠性，可以采用雙歸上行組網方式，同一臺接入交換機分別接入不同的匯聚層設備。采用雙歸上行時，必然存在環路問題。匯聚層接入層當接入層與匯聚層之間采用二層接入時，需要部署二層破環協議。二層破環協議主要有：xSTP：STP/MSTP/RSTPRPRERPSRRPPSEP其中，RRPP、SEP是華為公司自主知識產權協議。雙歸上行引起環路問題示意圖接入層設計——二層破環協議環網協議優點缺點RRPP收斂速度快，收斂時間小于50毫秒，滿足電信級可靠性，且支持不同業務流量負載均衡。是華為公司的私有協議，無法實現與其他制造商設備的互通。對網絡拓撲有嚴格的要求，需要人為劃分邏輯拓撲分出主環子環，不利于復雜網絡的部署。僅支持環形組網，且僅支持一級子環。生成樹協議：STP/RSTP/MSTP生成樹協議適用于任何形式的二層網絡。生成樹協議是IEEE標準協議，實現與其他制造商設備的互通。STP、RSTP、MSTP是以太網絡二層破環技術的標準協議，應用成熟、場景廣泛，且支持與其他制造商設備互通。生成樹協議收斂速度慢，收斂時間在秒級，且收斂速度受網絡拓撲影響，不能滿足一些實時業務的要求，無法滿足收斂速度達到電信級可靠性要求。SEP適用于任何形式的二層網絡。收斂速度快，收斂時間小于50毫秒，滿足電信級可靠性。SEP支持各種類型的復雜組網。如，支持與STP、RSTP、MSTP、RRPP協議混合組網，支持任意拓撲且支持拓撲查看。通過查看拓撲可快速找出阻塞端口，可快速定位故障出現的位置，從而提高了可維護性。支持多種阻塞端口選擇策略，從而靈活地實現了流量負載分擔。是華為公司的私有協議，無法實現與其他制造商設備的互通，部署SEP協議的網絡上的設備必須都是華為公司數據通信設備。部署SEP協議的網絡，網絡收斂后必定選出一個阻塞端口阻塞數據流量通過，即使是直連鏈路。ERPS收斂速度快，滿足電信級可靠性。ERPS協議是ITU-T標準協議，實現與其他制造商設備的互通。當前僅支持單環組網。接入層設計——xSTP技術對比協議是否快速收斂是否支持多實例特點應用場景STPXX形成一棵無環路的樹：解決廣播風暴并實現冗余備份。無需區分用戶或業務流量，所有VLAN共享一棵生成樹。適用于收斂時間要求不高的二層網絡。RSTP√X形成一棵無環路的樹：解決廣播風暴并實現冗余備份。收斂速度快。適用于收斂時間要求高的單環、相切環、相交環。MSTP√√形成一棵無環路的樹：解決廣播風暴并實現冗余備份。收斂速度快。多棵生成樹在VLAN間實現負載均衡，不同VLAN的流量按照不同的路徑轉發。需要區分用戶或業務流量，并實現負載分擔。不同的VLAN通過不同的生成樹轉發流量，每棵生成樹之間相互獨立。適用于收斂時間要求高的二層網絡。接入層設計——xSTP技術選擇針對存在的三種STP協議，需要進行如下考慮：一些比較老的交換機可能不支持RSTP或者MSTP，在有這些設備存在的網絡中，就現實情況而言，還是應該啟用STP協議。如果資金允許，可以將不支持RSTP或MSTP的設備換掉，因為采用RSTP、MSTP可以提升網絡的性能。在設備都支持RSTP協議的情況下，當網絡中僅存在一個VLAN時，建議采用RSTP，這樣可以充分發揮RSTP的優勢，加速網絡的收斂。另外，如果網絡中存在多個VLAN，并且各個VLAN在拓撲上保持一致，也就是說在Trunk鏈路上各個VLAN的配置相同，也建議使用RSTP。基于上一條描述的條件，當網絡中存在多個VLAN，但是他們在Trunk鏈路上的配置并不一致時，就需要采用MSTP啟用多個生成樹實例。若當前交換設備既支持STP又支持RSTP，建議選擇使用RSTP。若當前交換設備既支持STP/RSTP又支持MSTP，建議選擇使用MSTP。在園區網中啟用MSTP可以避免人為形成環路所造成的廣播風暴，同時實現負載均衡。接入層設計——STP保護機制風險或問題：可能會遇到蓄意攻擊導致STP計算錯誤。拓撲頻繁變化產生大量TC報文導致交換機頻繁刪除MAC地址，造成未知單播報文的泛濫等問題。意外接入網絡的交換機也可能影響整個網絡的STP穩定性。解決方案：STP保護機制：BPDU保護、Root保護、TC保護、環路保護、共享鏈路保護。保護功能場景配置影響BPDU保護邊緣端口在收到BPDU以后端口狀態將變為非邊緣端口，此時就會造成生成樹的重新計算，如果攻擊者偽造配置消息惡意攻擊交換設備，就會引起網絡震蕩。交換設備上啟動了BPDU保護功能后，如果邊緣端口收到RSTBPDU，邊緣端口將被shutdown，但是邊緣端口屬性不變，同時通知網管系統。接入層設計——STP保護機制（續）保護功能場景配置影響TC保護交換設備在接收到拓撲變化報文后，會執行MAC地址表項和ARP表項的刪除操作，如果頻繁操作則會對CPU的沖擊很大。啟用防TC-BPDU報文攻擊功能后，在單位時間內，交換設備處理拓撲變化報文的次數可配置。如果在單位時間內，交換設備在收到拓撲變化報文數量大于配置的閾值，那么設備只會處理閾值指定的次數。對于其他超出閾值的拓撲變化報文，定時器到期后設備只對其統一處理一次。這樣可以避免頻繁的刪除MAC地址表項和ARP表項，從而達到保護設備的目的。Root保護由于維護人員的錯誤配置或網絡中的惡意攻擊，根橋收到優先級更高的BPDU，會失去根橋的地位，重新進行生成樹的計算，并且由于拓撲結構的變化，可能造成高速流量遷移到低速鏈路上，引起網絡擁塞。對于啟用Root保護功能的指定端口，其端口角色只能保持為指定端口。一旦啟用Root保護功能的指定端口收到優先級更高的RSTBPDU時，端口狀態將進入Discarding狀態，不再轉發報文。在經過一段時間（通常為兩倍的ForwardDelay），如果端口一直沒有再收到優先級較高的RSTBPDU，端口會自動恢復到正常的Forwarding狀態。環路保護當出現鏈路擁塞或者單向鏈路故障，根端口和Alternate端口會老化。根端口老化，會導致系統重新選擇根端口（而這有可能是錯誤的），Alternate端口老化，將遷移到Forwarding狀態，這樣會產生環路。在啟動了環路保護功能后，如果根端口或Alternate端口長時間收不到來自上游的RSTBPDU時，則向網管發出通知信息（如果是根端口則進入Discarding狀態）。而阻塞端口則會一直保持在阻塞狀態，不轉發報文，從而不會在網絡中形成環路。直到根端口收到RSTBPDU，端口狀態才恢復正常到Forwarding狀態。共享鏈路保護（MSTP保護功能）在交換設備雙歸屬接入網絡的組網中，當多個進程的共享鏈路故障時，可能會引起環路。當共享鏈路故障時，通過共享鏈路保護功能，使本設備的工作模式強制轉換為RSTP，配合使用根保護功能，可以避免網絡環路。接入層設計——二層環網快速收斂設計RPR需要專用硬件，成本較高，不推薦使用。RRPP/SEP協議是專用于以太網的快速環保護協議，達到電信級倒換要求。與STP協議相比，RRPP/SEP協議有如下特點：拓撲收斂速度快，收斂時間最小可達50毫秒。收斂時間與環網上節點數無關，與網絡規模無關。協議50ms內收斂非單獨硬件支持支持環網支持任意拓撲xSTPX√√√RPR√X√XRRPP√√√XSEP√√√√通常STP協議可以滿足二層破環的要求，但如果對鏈路切換時間要求比較高時，要求網絡在50ms內快速收斂時，STP協議就不能滿足了，此時就需要采用快速環網協議了。MasterTransit心跳刷新數據TransitTransitRRPPSEP接入層設計——RRPPRRPP是一個專門應用于以太網環的鏈路層協議。相比其他以太環網技術，RRPP具有以下優勢。收斂時間與環網上節點數無關，可應用于網絡直徑較大的網絡。在以太網環完整時能夠防止數據環路引起的廣播風暴。當以太網環上一條鏈路斷開時能迅速啟用備份鏈路以恢復環網上各個節點之間的通信通路。成本低。說明：S9700、S7700的RRPP版本分為華為版本和國標版本，其中華為版本支持了一些華為的私有協議。國標版本主要提供給中國境內用戶使用，其他用戶可以根據需要采用華為版本。支持接口類型描述傳統以太網接口傳統以太網電接口FE接口快速以太網接口GE接口千兆以太網GE接口xGE(x

GigabitEthernet)GE接口萬兆以太網GE接口Eth-Trunk接口包括FETrunk、GETrunkRRPP支持的端口類型接入層設計——RRPP組網應用圖2RRPP相交環應用場景圖圖1單環應用組網圖圖3RRPP與STP混合組網圖圖4RRPP多實例組網圖接入層設計——RRPP組網應用（續）圖2RRPP多實例相切環圖1RRPP多實例相交環接入層設計——SEP特色方案：SEP組網方案SEP支持各種類型的復雜組網，例如：支持與STP、RSTP、MSTP、RRPP協議混合組網，支持任意拓撲且支持拓撲查看，可快速找出阻塞端口。SEP支持多種阻塞端口選擇策略，靈活實現流量負載分擔，收斂時間在50ms以內。多廠家設備共存、擴容無障礙：可采用半環方案，不受限于環上都是同一廠家設備、破除現網封閉組網限制優化提升現網收斂速度：SEP通過標準協議向STP通知拓撲變化，優化流量路徑，使現網MSTP及時收斂。園區接入層目前主要依靠MSTP或RRPP來實現二層組網可靠性，但均存在不足：依賴標準的xSTP協議，業務收斂速度慢，通常在秒級；RRPP協議報文采用硬件廣播轉發，收斂速度快，但同時要求環上必須全是同一家廠商的產品。SEPMSTP接入層設計——SEP工作原理圖1未部署SEP半環保護圖2部署SEP半環保護（發生故障時）圖3部署SEP半環保護（發生故障之后）主邊緣端口（PrimaryEdgePort）副邊緣端口（SecondaryEdgePort）阻塞端口（BlockPort）故障之前的正常數據流向故障之后的數據流向接入層設計——SEP組網應用SEP可以支持復雜拓撲模型，是華為公司目前主推的快速環網保護協議。SEP開放環組網圖SEP封閉環組網圖SEP多環組網圖接入層設計——SEP組網應用(續1)SEP+MSTP混合環組網圖SEP+RRPP混合環組網圖SEP多實例組網圖接入層設計——SEP組網應用(續2)圖1SEP聯動VPLS應用組網圖如圖1所示，CE通過開放環接入VPLS網絡。為了消除開放環冗余鏈路，在開放環上部署了SEP協議，同時實現了當環網上發生鏈路故障時，SEP能夠迅速恢復環網上各節點間通信通路。為了保證SEP網絡發生拓撲變化時，VPLS網絡能夠及時感知下游網絡拓撲發生變化，可在SEP網絡的邊緣設備上配置SEP聯動VPLS。當SEP網絡拓撲發生變化時，通過SEP聯動VPLS功能，邊緣設備會向VPLS網絡發送mac-withdraw報文。VPLS網絡收到mac-withdraw報文后，進行MAC地址表項和ARP表項刷新，保證流量可靠傳輸。如圖2所示，LSW1～LSW5運行SEP協議，實現接入層的冗余保護倒換、拓撲查看。在SEP段的邊緣設備LSW1上部署SEP和CFM聯動功能。當CFM檢測到匯聚層網絡產生故障時，設備LSW1通過CFM協議報文將故障消息通知OAM管理模塊，觸發綁定CFM的端口SEP狀態變為Down。由于綁定CFM的端口位于SEP段上，當綁定CFM的端口SEP狀態變為Down后，LSW2上的端口需要發出FLUSH-FDB報文通知SEP段上其他節點拓撲發生變化。LSW3接收到FLUSH-FDB報文后，LSW3上的阻塞端口需要放開進入轉發狀態，并發送FLUSH-FDB報文，觸發刷新SEP段上的節點MAC地址轉發表和ARP表，從而實現下級網絡感知上級網絡故障，保證業務可靠傳輸。圖2SEP與CFM聯動應用組網圖接入層設計——SmartlinkSmartLink可以在二層也可以在三層組網中使用，通常在園區網接入交換機和匯聚交換機之間使用。SmartLink技術有以下技術優點：能夠實現在雙上行組網的兩條鏈路正常情況下，只有一條處于連通狀態，而另一條