一、簡介

企業(yè)網(wǎng)架構有多種多樣的形式，從最傳統(tǒng)的三層組網(wǎng)架構到今天華為主推的自動駕駛網(wǎng)絡，簡稱ADN。中間也經(jīng)歷了很多種架構，隨著企業(yè)規(guī)模的越來越大，對應用的要求越來越多，也越來越復雜。以前的企業(yè)網(wǎng)只需要滿足員工上網(wǎng)的需求就行了，后來隨著ERP、OA、文件共享系統(tǒng)的加入了，需求發(fā)生了變化，底層的架構隨之也帶來了諸多挑戰(zhàn)，第一點帶寬的挑戰(zhàn)，以前互聯(lián)千兆，桌面百兆?，F(xiàn)在各種系統(tǒng)加入到了網(wǎng)絡中，相應的帶寬就無法滿足需求，需要10G互聯(lián)，甚至更高，40G或100G互聯(lián)。第二點設備穩(wěn)定性的挑戰(zhàn)，隨之各種應用系統(tǒng)的增加，企業(yè)對網(wǎng)絡的穩(wěn)定性要求也提出了要求，要確保內(nèi)聯(lián)網(wǎng)故障小于10分鐘的需求，就需要網(wǎng)絡設備提供冗余性保障，互聯(lián)鏈路提供冗余性保障。第三點運維的挑戰(zhàn)，企業(yè)的各種應用系統(tǒng)，對訪問者的身份認證權限是有要求，不同的人員有不同的權限。傳統(tǒng)的網(wǎng)絡中，權限與IP的關系是緊耦合的，一旦人員的IP地址改變后，后續(xù)的權限將不生效，需要重新配置新的策略。目前廠商的解決方案有：H3C的業(yè)務隨行方案是全網(wǎng)大二層，全網(wǎng)配置VxLAN，使終端人員的IP不會改變。華為的業(yè)務隨行方案是策略與IP進行解耦，通過認證后的加入相應的安全組來實現(xiàn)業(yè)務隨行，目前業(yè)界能做到IP與策略解耦，只有思科和華為兩家，廠商需要有自研芯片才能做到。還有傳統(tǒng)網(wǎng)絡，需要工程師，一個一個設備去調(diào)試，調(diào)試完網(wǎng)絡，再進行系統(tǒng)調(diào)試和上線，這個過程是很長的，而且配置復雜難懂，不利于維護。后期的網(wǎng)絡維護，還需要網(wǎng)絡工程師每天對設備日志進行查看，并且進行分析日志產(chǎn)生原因。發(fā)生故障后，網(wǎng)管系統(tǒng)不能及時發(fā)現(xiàn)。使用者與網(wǎng)絡管理者，將出現(xiàn)一個時間差。以上問題，只是我個人理解上有限的幾個觀點，還有很多很多問題。接下去我會逐一分析各種網(wǎng)絡架構，純屬個人觀點。

一、傳統(tǒng)組網(wǎng)架構

1.1拓撲

1.2分析

這是一個非常傳統(tǒng)的網(wǎng)絡架構，整個架構分為了接入層、匯聚層、核心層，出口是一臺路由器。接入的設備不多，服務器幾臺，終端若干個，滿足企業(yè)網(wǎng)上網(wǎng)的需求就夠了。后續(xù)如果有ERP、OA、文件共享、無線等各種各樣的系統(tǒng)，加入進來，這個時候就有以下幾個缺點：

服務器連接到接入交換機是單鏈路接入，一旦鏈路出問題，服務器就會成為孤島，不能提供服務器。

服務器沒有做集群，一旦服務器宕機，講不能提供服務。

接入、匯聚、核心都是單點故障，且都是串聯(lián)，沒有任何逃生鏈路，一旦這個串聯(lián)中的某一臺設備故障，網(wǎng)絡就不能運行。

接入、匯聚、核心互聯(lián)都是千兆、且單鏈路，沒有冗余鏈路來提供熱備，一旦鏈路出問題，接入交換機將無法轉(zhuǎn)發(fā)東西向和南北向流量。

設備管理還是帶內(nèi)管理，一旦業(yè)務鏈路出故障，將無法進行設備管理。

二、傳統(tǒng)組網(wǎng)架構升級

2.1拓撲

2.2分析

這個三層架構比之前的傳統(tǒng)架構可靠性方面增強了很多，匯聚、核心做了堆疊，出口防火墻做了雙機熱備，出口防火墻做了VRRP。將數(shù)據(jù)中心和網(wǎng)管、DMZ單獨做了pod，并且pod中也對匯聚和接入做了堆疊，提高了設備的可靠性，且服務器也雙歸接入到了接入交換機，下面介紹了各層用到了哪些技術:

接入層主要用到了邊緣端口（使終端快速上線）、VLAN(將不同的業(yè)務劃到不同的VLAN,進行隔離)、DHCP Snooping（防私設DHCP服務器）、DAI(防止ARP欺騙)、BPDU保護（防止收到終端過來的BPDU）、LAG(提供冗余且增加帶寬)。

匯聚層主要用到了VPN實例（將不同的流量加入到不同的VPN實例，進行路由隔離）、OSPF(路由學習)。

核心層主要用到了VPN實例（將不同的流量加入到不同的VPN實例，進行路由隔離）、OSPF(路由學習)。

數(shù)據(jù)中心/網(wǎng)管區(qū)防火墻用到了雙機熱備、匯聚交換機和接入交換機用了堆疊，服務器雙歸接入到接入交換機。

出口層防火墻采用雙機熱備，路由器采用BGP進行出口選路。

DMZ區(qū)和數(shù)據(jù)中心/網(wǎng)管區(qū)類似，不做解釋。

三、極簡二層組網(wǎng)（無控制器）

3.1拓撲

?

3.2分析

這種網(wǎng)絡架構是時下比較流行的網(wǎng)絡架構，只有接入層、核心層、service層、broad層，省略了匯聚層。減少了匯聚層，故障點大大減少，運維效率也會大大提升。極簡的組網(wǎng)帶來極簡的轉(zhuǎn)發(fā)，接入一跳即達核心，沒有中間收斂比的限制，網(wǎng)絡更加可靠。由于無控制器，所以不推薦使用VxLAN技術，還是使用VLAN技術，來進行流量隔離，即多個VLAN一個VPN實例一個虛墻的架構，將不同的流量進行路由層面的隔離，類似于數(shù)據(jù)中心VPC的網(wǎng)絡架構。下面介紹下，各層用到的技術：

接入層主要運用堆疊技術（將物理兩臺設備邏輯上一臺設備，提供可靠性和性能）、邊緣端口（使終端快速上線）、VLAN(將不同的業(yè)務劃到不同的VLAN,進行隔離)、DHCP Snooping（防私設DHCP服務器）、DAI(防止ARP欺騙)、BPDU保護（防止收到終端過來的BPDU）、LAG(提供冗余且增加帶寬)。服務器采用雙歸接入，提高帶寬和可靠性。

核心層主要運用堆疊技術（將物理兩臺設備邏輯上一臺設備，提供可靠性和性能）、隨板AC（核心交換機自帶AC功能，無需購買單獨設備，做到有線和無線深度融合）、VPN實例（將不同的流量加入到不同的VPN實例，進行路由隔離）、靜態(tài)路由。

service層防火墻采用雙機熱備（提高可靠性）、虛墻（將物理防火墻拆分成多個虛墻）、NAT-Policy、Security-Policy等，根墻采用OSPF。

broad層采用VPN實例（將不同的internet和wan進行隔離）、OSPF、BGP。

四、極簡二層組網(wǎng)（有控制器）

4.1拓撲

4.2分析

這種就是業(yè)界目前主推的AND（自動駕駛網(wǎng)絡），華為這個的解決方案叫做CloudCampus2.0。網(wǎng)絡主要分為兩層，接入層、核心層。整個網(wǎng)絡將分為underlay網(wǎng)絡和overlay網(wǎng)絡。overlay是一種虛擬網(wǎng)絡，overaly網(wǎng)絡如何變動，對underlay網(wǎng)絡毫無影響。不同的業(yè)務或不同的流量，將創(chuàng)建不同的overlay網(wǎng)絡，使流量進行隔離。擴展性很強，采用的數(shù)據(jù)中心的spine和leaf架構，橫向擴展優(yōu)秀。由控制器進行創(chuàng)建overlay網(wǎng)絡，采用netconfig/yang協(xié)議，解放了網(wǎng)管人員的雙手。所有的網(wǎng)絡設備通過telemetry協(xié)議，進行主動式秒級推送設備狀態(tài)數(shù)據(jù)到分析器，分析器進行分析，得出網(wǎng)絡存在哪些風險點，哪些故障，通過控制器能進行AP自動信道調(diào)優(yōu)等等，解放了雙眼。分析器通過大數(shù)據(jù)、AI能分析出故障點發(fā)生的原因，使網(wǎng)管人員一目了然，解放了大腦。防火墻和交換機這些設備，具備探針功能，將威脅上傳到分析器，分析器再聯(lián)動控制器，進行威脅流量的阻斷。

總結

以上是生活随笔為你收集整理的企业组网架构分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。