星融元的云化園區(qū)網(wǎng)絡(luò)架構(gòu)是一個(gè)開放化的網(wǎng)絡(luò)，雖然在多方面進(jìn)行了創(chuàng)新設(shè)計(jì)，但仍可以比較方便地和傳統(tǒng)園區(qū)網(wǎng)絡(luò)無縫對接。

相關(guān)閱讀：深入底層架構(gòu)的全面變革，星融元發(fā)布云化園區(qū)網(wǎng)絡(luò)解決方案

下面我們以常見的幾種場景為例進(jìn)行說明：

• 對接原有的園區(qū)網(wǎng)絡(luò)架構(gòu)

• 對接上行出口設(shè)備（核心交換機(jī)/防火墻）
  

• 對接認(rèn)證系統(tǒng)
  

• 對接雙上行服務(wù)器

與原有園區(qū)網(wǎng)絡(luò)架構(gòu)的對接

園區(qū)網(wǎng)絡(luò)已經(jīng)建設(shè)完成，接入是二層網(wǎng)絡(luò)，網(wǎng)關(guān)部署在匯聚層，匯聚和核心之間采用OSPF路由協(xié)議互聯(lián)。

對接思路：

1. 將原有的核心交換機(jī)連接Leaf/Spine架構(gòu)的云化園區(qū)網(wǎng)絡(luò)Pod；

2. 為了盡可能不影響現(xiàn)有OSPF網(wǎng)絡(luò)，核心需要運(yùn)行BGP路由協(xié)議和Spine互聯(lián)，云化園區(qū)網(wǎng)絡(luò)和現(xiàn)有網(wǎng)絡(luò)通過不同的路由域邏輯隔離，互不影響；

3. 若云化園區(qū)網(wǎng)絡(luò)需要和現(xiàn)有網(wǎng)絡(luò)彼此互通，則配置一條簡單的路由引入命令即可；

4. 若云化園區(qū)網(wǎng)絡(luò)不再需要和其余網(wǎng)絡(luò)通信，唯一的出口就是核心交換機(jī)，則可以不用配置路由引入，在Spine上配置默認(rèn)路由即可。

與原有上行出口設(shè)備的對接

云化園區(qū)網(wǎng)絡(luò)對上行出口設(shè)備沒有品牌和類型要求——既可以是做堆疊的一對核心交換機(jī)，也可以是一對雙機(jī)防火墻。根據(jù)對接設(shè)備的不同配置模式有不同的對接方式，我們僅以該場景下的最佳實(shí)踐進(jìn)行分析和例證。

場景1：一對堆疊的核心交換機(jī)/防火墻

對接思路：

每臺Spine的兩個(gè)上行口做鏈路聚合，并配置一個(gè)三層的交換機(jī)虛擬接口（SVI），對端核心交換機(jī)配置跨設(shè)備的鏈路聚合端口，也配置一個(gè)三層SVI，即上下兩個(gè)網(wǎng)段IP互聯(lián)。另外，因?yàn)樵苹瘓@區(qū)網(wǎng)絡(luò)去堆疊的設(shè)計(jì)，Spine和核心交換機(jī)之間需要通過BGP路由協(xié)議互聯(lián)。

防火墻做堆疊和交換機(jī)做堆疊沒有太大差異，對接方式同上。

場景2：一對主備防火墻

防火墻主備部署時(shí)，控制面會通過專有的HA協(xié)議進(jìn)行狀態(tài)管理、會話同步、表項(xiàng)同步、策略同步等；數(shù)據(jù)面一般由虛擬路由器冗余協(xié)議（VRRP）實(shí)現(xiàn)主備切換。

對接思路：

1. 每臺Spine的兩個(gè)上行口保持在同一VLAN，并配置一個(gè)三層SVI口，每臺防火墻分別運(yùn)行兩對VRRP組，主墻的VRRP角色均為Master，備墻的VRRP角色均為Backup;

2. 每臺Spine的SVI口和兩臺防火墻的VRRP虛接口通過BGP路由協(xié)議對接，即上下兩個(gè)網(wǎng)段IP互聯(lián)；

正常情況下，兩個(gè)VRRP組的虛接口均落在主墻，當(dāng)主墻任意下行鏈路故障時(shí)，HA協(xié)議會控制兩個(gè)VRRP組同時(shí)進(jìn)行主備切換，確保業(yè)務(wù)流量統(tǒng)一切換到備墻。

場景3：一對主主防火墻

在HA+VRRP配置模式下，防火墻主主是通過運(yùn)行兩對VRRP互為主備實(shí)現(xiàn)的。

（VRRP-1的Master是防火墻A，Backup是防火墻B，VRRP-2的Master是防火墻B，Backup是防火墻A）

對接思路：

和云化園區(qū)網(wǎng)絡(luò)對接時(shí)，配置和主備模式時(shí)基本一致，區(qū)別在于每臺防火墻分別運(yùn)行四對VRRP組，每臺Spine的SVI口和兩臺防火墻的兩個(gè)VRRP虛接口通過BGP路由協(xié)議對接，上下仍是兩個(gè)網(wǎng)段IP互聯(lián)，但每臺Spine有兩個(gè)下一跳分別指向兩臺防火墻，實(shí)現(xiàn)ECMP負(fù)載分擔(dān)。

和園區(qū)網(wǎng)絡(luò)認(rèn)證系統(tǒng)的對接

AAA（Authentication Authorization Accounting，認(rèn)證/授權(quán)/計(jì)費(fèi)）是目前主流的認(rèn)證框架體系，由接入用戶、接入設(shè)備、認(rèn)證服務(wù)器三部分組成，接入用戶是需要獲取網(wǎng)絡(luò)訪問權(quán)限的實(shí)體，接入設(shè)備一般是交換機(jī)，負(fù)責(zé)驗(yàn)證用戶身份和管理用戶接入，認(rèn)證服務(wù)器負(fù)責(zé)管理用戶信息。AAA可以通過多種協(xié)議來實(shí)現(xiàn)。

• 在與接入用戶交互階段：星融元云化園區(qū)網(wǎng)絡(luò)支持802.1x（有線終端）、MAC（啞終端）、Portal（無線終端）三種認(rèn)證方式。

• 在與認(rèn)證服務(wù)器交互階段：星融元云化園區(qū)網(wǎng)絡(luò)支持主流的RADIUS、TACACS+兩種認(rèn)證協(xié)議，支持認(rèn)證/授權(quán)/計(jì)費(fèi)功能。

實(shí)踐應(yīng)用中，星融元云化園區(qū)網(wǎng)絡(luò)和知名的開源軟件FreeRADIUS進(jìn)行了全方位適配開發(fā)，也和ForeScout、ClearPass、ISE等主流商用認(rèn)證系統(tǒng)成功對接。

和園區(qū)雙上行服務(wù)器的對接

園區(qū)網(wǎng)絡(luò)中可能還包括由計(jì)算、存儲服務(wù)器組成的小規(guī)模數(shù)據(jù)中心，如某企業(yè)的辦公網(wǎng)和研發(fā)網(wǎng)。和普通上網(wǎng)終端不同，這些業(yè)務(wù)服務(wù)器需要兩張網(wǎng)卡做Bond實(shí)現(xiàn)高可靠接入，傳統(tǒng)園區(qū)一般采用接入交換機(jī)做堆疊的方式，而云化園區(qū)網(wǎng)絡(luò)采用更輕量級的MC-LAG方式。

更多云化園區(qū)解決方案相關(guān)信息，請持續(xù)關(guān)注。