前言
园区网除了满足于用户访问互联网的需求之外,免不了还要支持一些特殊功能的专用网络,简称 “专网” 的支持。以高校园区网为例,除了校园网之外,往往还有 “财务专网”,“一卡通专网”,“保卫监控专网”,“多媒体教室专网”,“能源管控专网” 等等。
这些 “专网” ,大多没有访问公网的要求,但至少要与用户网络二层隔离,更严格的诸如 “财务” 和 “监控” 等,要求专网与其他网络完全隔离,无法互访。
如何设计一个良好架构,以尽可能低成本高效率的建设和运维这些专网,其实是有些讲究的。
专网成本
讲到底,我们讨论专网的建设方案,无非是为了尽可能的降低成本,无论是建设的物理成本和运维上的人力成本都尽可能的减低,这是我们的目标。所以我们来看看网络建设的成本到底在哪儿。
物理成本,无非就是交换机+综合布线(假定是传统架构,不考虑 PON),我们把他拆的细一点:
- 核心-汇聚交换机成本
- 接入交换机成本
- 光缆成本
- 铜缆成本
这里面,接入交换机和铜缆直接面向终端,成本是节省不了的。所以降低物理成本,其实质含义是 —— 复用光缆和核心/汇聚交换机。
人力成本,核心在于运维的一致性,而不在于具体的方式。无论采取什么方案,只要多个网络之间的运维模式是一致的 —— 或者说,网络架构是一致,人力成本就不高。因为在做好统一的规划后,后续就只是低技术含量的重复性工作,我们都可以设法自动化来做,再不济可以外包嘛。
考虑到实际情况,我们主要的生产网络 —— 在高校内通常称之为校园网,总是我们规模最大,投入最多,运维最熟悉的网络。通常也是最早建成的网络,所以专网的网络架构一致,其实说的就是和我们的主要生产网络架构一致。
我们总结一下:
- 尽量复用光缆和三层网络设备
- 统一网络架构,统一运维模式
专网架构
专网的架构方案其实很多,例如:
- 基于大二层隔离
- 无线有线统一,控制器-交换机打 tunnel
- 基于 VxLAN
- 基于 MPLS
- 基于 VLAN + VRF
方案无论好坏,只要和架构统一运维一致就是好方案。这里介绍下我们所采用的 VLAN + VRF 方案。
VLAN + VRF
VRF,全称Virtual Routing and Forwarding,所以顾名思义,他就是一个虚拟的路由表。就好像我们通过 VLAN 来虚拟 LAN 实现二层隔离, VRF 就是三层路由上的虚拟实现。
我们的校园网是一个非常传统的架构,二层接入,三层汇聚,然后路由到核心直至出口。
不同用户之间通过 vlan 区分,三层点规划好 interface vlan。到了接入层,一线网管这里就是 vlan 一把梭:
所以嘛,在这种传统结构下,VLAN 能解决的问题要什么 VxLAN!什么 MPLS 真不嫌麻烦!VLAN 搞定二层隔离,VRF 搞定三层隔离,完事。
如上图,专网开启步骤:
- 三层 interface vlan 建起来,地址规划好
- vrf 打上
- 向上另起接口路由(可以用子接口复用物理接口)
- 向下 trunk 打到接入层
- 接口分配 vlan 给终端
来看一下是否达到了预期的目的。
物理成本
三层交换机复用了,妥
二层部分光缆复用了(trunk 把 vlan 都打下去了),妥
三层间路由光缆可以复用(用子接口),也可以独立接口不复用,妥人力成本
运维模式没有变哦,初期规划做好之后,一线运维网管继续 vlan 一把梭,妥
妥, 妥, 妥, 妥
地址分配
大家都知道在不同的 vrf 中地址是可以重复的。不过我们在实际的规划里还是给所有的专网都分配了独立不重复的地址段。
为的是灵活性,想隔离就带着 vrf,想要互通了就去掉。地址规划的不重复可以给自己保留操作的空间。
设备支持
自然,需要三层设备支持 vrf 才可以这么玩了。不过 vrf 是一个很基本的参数,基本上稍微好一点的三层交换机就都能够支持(拿来跑汇聚的三层交换机,不会太烂吧?)。并不是什么高端设备专属的技术,不像 MPLS 需要老贵的路由器才能跑,所以可以放心用啦。
参考文献
VRF的二三事
VRF-Virtual Routing & Forwarding
