一、簡介

企業網架構有多種多樣的形式，從最傳統的三層組網架構到今天華為主推的自動駕駛網絡，簡稱ADN。中間也經歷了很多種架構，隨著企業規模的越來越大，對應用的要求越來越多，也越來越復雜。以前的企業網只需要滿足員工上網的需求就行了，后來隨著ERP、OA、文件共享系統的加入了，需求發生了變化，底層的架構隨之也帶來了諸多挑戰，第一點帶寬的挑戰，以前互聯千兆，桌面百兆。現在各種系統加入到了網絡中，相應的帶寬就無法滿足需求，需要10G互聯，甚至更高，40G或100G互聯。第二點設備穩定性的挑戰，隨之各種應用系統的增加，企業對網絡的穩定性要求也提出了要求，要確保內聯網故障小于10分鐘的需求，就需要網絡設備提供冗余性保障，互聯鏈路提供冗余性保障。第三點運維的挑戰，企業的各種應用系統，對訪問者的身份認證權限是有要求，不同的人員有不同的權限。傳統的網絡中，權限與IP的關系是緊耦合的，一旦人員的IP地址改變后，后續的權限將不生效，需要重新配置新的策略。目前廠商的解決方案有：H3C的業務隨行方案是全網大二層，全網配置VxLAN，使終端人員的IP不會改變。華為的業務隨行方案是策略與IP進行解耦，通過認證后的加入相應的安全組來實現業務隨行，目前業界能做到IP與策略解耦，只有思科和華為兩家，廠商需要有自研芯片才能做到。還有傳統網絡，需要工程師，一個一個設備去調試，調試完網絡，再進行系統調試和上線，這個過程是很長的，而且配置復雜難懂，不利于維護。后期的網絡維護，還需要網絡工程師每天對設備日志進行查看，并且進行分析日志產生原因。發生故障后，網管系統不能及時發現。使用者與網絡管理者，將出現一個時間差。以上問題，只是我個人理解上有限的幾個觀點，還有很多很多問題。接下去我會逐一分析各種網絡架構，純屬個人觀點。

一、傳統組網架構

1.1拓撲

1.2分析

這是一個非常傳統的網絡架構，整個架構分為了接入層、匯聚層、核心層，出口是一臺路由器。接入的設備不多，服務器幾臺，終端若干個，滿足企業網上網的需求就夠了。后續如果有ERP、OA、文件共享、無線等各種各樣的系統，加入進來，這個時候就有以下幾個缺點：

服務器連接到接入交換機是單鏈路接入，一旦鏈路出問題，服務器就會成為孤島，不能提供服務器。

服務器沒有做集群，一旦服務器宕機，講不能提供服務。

接入、匯聚、核心都是單點故障，且都是串聯，沒有任何逃生鏈路，一旦這個串聯中的某一臺設備故障，網絡就不能運行。

接入、匯聚、核心互聯都是千兆、且單鏈路，沒有冗余鏈路來提供熱備，一旦鏈路出問題，接入交換機將無法轉發東西向和南北向流量。

設備管理還是帶內管理，一旦業務鏈路出故障，將無法進行設備管理。

二、傳統組網架構升級

2.1拓撲

2.2分析

這個三層架構比之前的傳統架構可靠性方面增強了很多，匯聚、核心做了堆疊，出口防火墻做了雙機熱備，出口防火墻做了VRRP。將數據中心和網管、DMZ單獨做了pod，并且pod中也對匯聚和接入做了堆疊，提高了設備的可靠性，且服務器也雙歸接入到了接入交換機，下面介紹了各層用到了哪些技術:

接入層主要用到了邊緣端口（使終端快速上線）、VLAN(將不同的業務劃到不同的VLAN,進行隔離)、DHCP Snooping（防私設DHCP服務器）、DAI(防止ARP欺騙)、BPDU保護（防止收到終端過來的BPDU）、LAG(提供冗余且增加帶寬)。

匯聚層主要用到了VPN實例（將不同的流量加入到不同的VPN實例，進行路由隔離）、OSPF(路由學習)。

核心層主要用到了VPN實例（將不同的流量加入到不同的VPN實例，進行路由隔離）、OSPF(路由學習)。

數據中心/網管區防火墻用到了雙機熱備、匯聚交換機和接入交換機用了堆疊，服務器雙歸接入到接入交換機。

出口層防火墻采用雙機熱備，路由器采用BGP進行出口選路。

DMZ區和數據中心/網管區類似，不做解釋。

三、極簡二層組網（無控制器）

3.1拓撲

?

3.2分析

這種網絡架構是時下比較流行的網絡架構，只有接入層、核心層、service層、broad層，省略了匯聚層。減少了匯聚層，故障點大大減少，運維效率也會大大提升。極簡的組網帶來極簡的轉發，接入一跳即達核心，沒有中間收斂比的限制，網絡更加可靠。由于無控制器，所以不推薦使用VxLAN技術，還是使用VLAN技術，來進行流量隔離，即多個VLAN一個VPN實例一個虛墻的架構，將不同的流量進行路由層面的隔離，類似于數據中心VPC的網絡架構。下面介紹下，各層用到的技術：

接入層主要運用堆疊技術（將物理兩臺設備邏輯上一臺設備，提供可靠性和性能）、邊緣端口（使終端快速上線）、VLAN(將不同的業務劃到不同的VLAN,進行隔離)、DHCP Snooping（防私設DHCP服務器）、DAI(防止ARP欺騙)、BPDU保護（防止收到終端過來的BPDU）、LAG(提供冗余且增加帶寬)。服務器采用雙歸接入，提高帶寬和可靠性。

核心層主要運用堆疊技術（將物理兩臺設備邏輯上一臺設備，提供可靠性和性能）、隨板AC（核心交換機自帶AC功能，無需購買單獨設備，做到有線和無線深度融合）、VPN實例（將不同的流量加入到不同的VPN實例，進行路由隔離）、靜態路由。

service層防火墻采用雙機熱備（提高可靠性）、虛墻（將物理防火墻拆分成多個虛墻）、NAT-Policy、Security-Policy等，根墻采用OSPF。

broad層采用VPN實例（將不同的internet和wan進行隔離）、OSPF、BGP。

四、極簡二層組網（有控制器）

4.1拓撲

4.2分析

這種就是業界目前主推的AND（自動駕駛網絡），華為這個的解決方案叫做CloudCampus2.0。網絡主要分為兩層，接入層、核心層。整個網絡將分為underlay網絡和overlay網絡。overlay是一種虛擬網絡，overaly網絡如何變動，對underlay網絡毫無影響。不同的業務或不同的流量，將創建不同的overlay網絡，使流量進行隔離。擴展性很強，采用的數據中心的spine和leaf架構，橫向擴展優秀。由控制器進行創建overlay網絡，采用netconfig/yang協議，解放了網管人員的雙手。所有的網絡設備通過telemetry協議，進行主動式秒級推送設備狀態數據到分析器，分析器進行分析，得出網絡存在哪些風險點，哪些故障，通過控制器能進行AP自動信道調優等等，解放了雙眼。分析器通過大數據、AI能分析出故障點發生的原因，使網管人員一目了然，解放了大腦。防火墻和交換機這些設備，具備探針功能，將威脅上傳到分析器，分析器再聯動控制器，進行威脅流量的阻斷。

總結

以上是生活随笔為你收集整理的企业组网架构分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。