可靠型园区网组网，你该如何选择最优方案？

企业组网非常考验网工的内功，选择何种组网方案、选择合适的网关位置、如何保证网关可靠性等等一系列问题，每个环节都考验网工的理论功底和实操经验。

典型可靠型组网方案

对于大型企业经常需要保证网络的可靠性，以此来确保生产的稳定性，例如大型医院、银行、省市县政府单位、电厂、汽车行业等等。目前典型可靠型组网方案有如下三种：
① VRRP+MSTP
② 堆叠+链路聚合
③ 三层路由（网关放在接入，向上运行三层路由协议）。

目前比较常用的是前面两种。

当然近几年流行的SDN、Vxlan技术也可以应用于目前的可靠型园区网络，我们暂时将该网络称之为大二层园区网。大二层园区网成本较高且技术普及度低，在园区网中用的并不多，但非常适用于需要进行灵活分区分域多业务隔离的园区网络如数据中心网络。随着SDN、Vxlan技术的普及以及支持SDN、Vxlan硬件设备的价格下降，大二层园区网也许会成为第四种常用的可靠型组网方案。

典型组网方案，如何2选1？

我们对以上较常用的两种方案进行对比：

参考项	VRRP	堆叠
成本	成本小。传统公有技术，技术较成熟。可以跨厂商跨型号对接，方便网络改造。	成本高。各厂商私有技术。低端交换机不支持。需要10G业务口或堆叠卡互联。容易被厂商绑架。
利旧	容易实现设备利旧，尤其是传统网络改造。	堆叠的多台设备需要同厂商、同型号（大版本相同），不利于设备利旧。
技术复杂度	配置量大，技术复杂度高。	配置简单，逻辑架构简单。运维管理方便。
收敛	收敛慢	收敛快

两者对比下来，推荐使用堆叠技术。随着10G光模块的普及以及硬件设备的下降，近些年堆叠组网的成本越来越低，因此新建网络推荐使用堆叠技术。

方案1：VRRP+MSTP

VRRP为成熟的标准协议，现有部署案例丰富；支持不同厂家不同型号的设备对接；两台网关设备的规格单独计算，可支持适量的超额预定。部署VRRP协议提供网关冗余，当主设备故障时，备设备可以接管网关功能。

VRRP的部署建议：

1、二层运行MSTP协议，同一VLAN中，MSTP的根桥和VRRP的主要指定为一台设备，使二三层拓扑一致。
2、通过优先级参数直接指定VRRP网关的主备。
3、不根据网关设备的上行链路状态来切换VRRP主备，主备设备互联链路参与路由计算，由三层路由牵引流量转发。
4、网关与接入设备运行MSTP协议，当接入交换机与主网关之间链路故障时，由MSTP收敛来完成链路切换，VRRP网关不进行切换。
5、有多个VLAN（对应多个网段）在网关终结时，二三层均部署基于VLAN的负载均衡。当然由于交换环路的影响，为了配合VRRP基于多Vlan负载分担，需要使用MSTP技术。MSTP可以根据vlan生成多个实例，让不同的实例阻塞不同的链路，以此来实现VRRP基于Vlan的负载分担。

如果网关设备之间的直连物理链路为三层链路，三层链路无法透传下行交换机的业务VLAN。此时下行链路的中断（如下图），链路无法依赖STP进行收敛，只能依靠VRRP协议本身检测。为了加快VRRP的主备切换，可以部署BFD for VRRP。

BFD for VRRP的部署建议：

1、在备设备上部署BFD检测，在VRRP中联动BFD，BFD故障时快速触发主备切换。
指定备设备配置为立即抢占，主设备配置为延时抢占，以避免回切时流量丢失。
2、由于BFD检测时延短，对设备性能消耗大，当存在多个VLAN的VRRP网关时，可以部署单独的管理VRRP来联动BFD，多个业务VRRP网关再联动管理VRRP的主备状态，每个业务VLAN下的VRRP不再单独交互VRRP的主备状态。
3、部署按VLAN进行VRRP的负载均衡时，需要分别部署两个管理VRRP，在对应VLAN的VRRP备设备上联动BFD。

方案2：堆叠+链路聚合

堆叠技术也可以称为集群技术或者网络虚拟化技术（多虚一）。堆叠逻辑上体现为一台设备，具有统一的配置平台。在单一逻辑设备上部署网关即可。设备故障或链路故障的切换机制由集群机制保障，无需管理员详细设计。部署集群/堆叠可以简化逻辑拓扑，在逻辑设备上部署单一的网关即可。设备故障或链路故障的切换机制由既有的集群机制去保障，无需管理员详细设计。

部署建议：

1、两台网关设备之间以集群/堆叠链路互联，部署为集群/堆叠，逻辑上体现为一台设备，具有统一的配置平台。
2、在统一的配置平台上部署业务网关地址。
3、接入交换机到两台网关设备的多条链路直接配置为Eth-Trunk链路捆绑即可。
4、两条网关设备之间部署独立的双主检测链路，或借用网关与接入交换机之间的链路进行双主检测。

以下是华为给出的典型园区网堆叠架构的组网方案：

网关位置如何选择？

这里的网关特指终端用户的网关。

网关作为园区网络二层交换、三层路由的分界点，其部署位置可以根据网络规模和业务需要而灵活设置。

从理论上讲，网关可以设置在网络的任何层次。网关部署位置不同时，交换与路由域覆盖范围有所不同，园区中能部署的网络业务也有区别。

因此，网关位置必须适中，需要综合衡量网络业务、网络性能、管理等多方面的因素。

1、网关选择在汇聚层

对于经典的三层结构，通用的作法是将网关设置在汇聚层。这样二层广播范围适中，接入的终端数量及对网关设备的ARP/MAC等表项要求也比较合适。

2、网关选择在核心层

有些场景中希望对园区内的访问行为集中管控，或存在大范围跨设备的VLAN部署（例如无线漫游、虚机迁移、Voice VLAN、基于用户身份的VLAN分配等业务），会将网关直接部署在核心层。

这种场景所有的终端均以核心层设备作为网关，对核心层设备的ARP、MAC、用户数等规格要求较高；同时网关设在核心层，广播域较大，需要采取其他手段来减小广播域，例如端口隔离或为每个端口划分一个VLAN等方式，如果VLAN规格与终端数量有差距，也可能需要部署QinQ VLAN。

3、网关选择在接入层

以太网没有独立的控制层面，表项大多从转发面的流量自学习，这就导致以太网络很难精确定位故障。基于这种考虑，有些用户会尽量减小二层网络的范围，将网关部署在接入层。

这样场景全网三层网络，故障定位精确；同时，自由选择各种认证机制，均可简单实现从接入开始的安全策略。三层网络范围较大，需要对路由域进行分区规划；同时要求接入设备支持三层功能。

每一份赞赏源于懂得

赞赏

0人进行了赞赏支持