石化行業(yè)虛擬桌面VDI項(xiàng)目實(shí)施方案

1、THE SPECIFICATIONS AND INFORMATION REGARDING THE PRODUCTS IN THIS MANUAL ARE SUBJECT TO CHANGE WITHOUT NOTICE. ALL STATEMENTS, INFORMATION, AND RECOMMENDATIONS IN THIS MANUAL ARE BELIEVED TO BE ACCURATE BUT ARE PRESENTED WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED. USERS MUST TAKE FULL RESPONSI

2、BILITY FOR THEIR APPLICATION OF ANY PRODUCTS.THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANT

3、Y, CONTACT YOUR CISCO REPRESENTATIVE FOR A COPY.The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable p

4、rotection against harmful interference when the equipment is operated in a commercial environment. This equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications.

5、Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and ma

6、y radiate radio-frequency energy. If it is not installed in accordance with Ciscos installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specific

7、ations in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation.You can determine whether your equipment is cau

8、sing interference by turning it off. If the interference stops, it was probably caused by the Cisco equipment or one of its peripheral devices. If the equipment causes interference to radio or television reception, try to correct the interference by using one or more of the following measures:Turn t

9、he television or radio antenna until the interference stops.Move the equipment to one side or the other of the television or radio.Move the equipment farther away from the television or radio.Plug the equipment into an outlet that is on a different circuit from the television or radio. (That is, mak

10、e certain the equipment and the television or radio are on circuits controlled by different circuit breakers or fuses.)Modifications to this product not authorized by Cisco Systems, Inc. could void the FCC approval and negate your authority to operate the product.The following third-party software m

11、ay be included with your product and will be subject to the software license agreement:CiscoWorks software and documentation are based in part on HP OpenView under license from the Hewlett-Packard Company. HP OpenView is a trademark of the Hewlett-Packard Company. Copyright 1992, 1993 Hewlett-Packar

12、d Company.The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCBs public domain version of the UNIX operating system. All rights reserved. Copyright 1981, Regents of the University of California.Networ

13、k Time Protocol (NTP). Copyright 1992, David L. Mills. The University of Delaware makes no representations about the suitability of this software for any purpose.Point-to-Point Protocol. Copyright 1989, Carnegie-Mellon University. All rights reserved. The name of the University may not be used to en

14、dorse or promote products derived from this software without specific prior written permission.The Cisco implementation of TN3270 is an adaptation of the TN3270, curses, and termcap programs developed by the University of California, Berkeley (UCB) as part of the UCBs public domain version of the UN

15、IX operating system. All rights reserved. Copyright 1981-1988, Regents of the University of California.石化行業(yè)虛擬桌面VDI項(xiàng)目實(shí)施方案High Level Design目 錄 TOC o 1-4 h z u HYPERLINK l _Toc54800938 1.前言 PAGEREF _Toc54800938 h 5 HYPERLINK l _Toc54800939 前言 PAGEREF _Toc54800939 h 5 HYPERLINK l _Toc54800940 適用人員 PAGER

16、EF _Toc54800940 h 5 HYPERLINK l _Toc54800941 2.網(wǎng)絡(luò)整體架構(gòu)設(shè)計(jì) PAGEREF _Toc54800941 h 6 HYPERLINK l _Toc54800942 網(wǎng)絡(luò)整體架構(gòu) PAGEREF _Toc54800942 h 6 HYPERLINK l _Toc54800943 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu) PAGEREF _Toc54800943 h 6 HYPERLINK l _Toc54800944 局域網(wǎng)核心架構(gòu) PAGEREF _Toc54800944 h 8 HYPERLINK l _Toc54800945 路由協(xié)議設(shè)計(jì) PAGEREF _Toc5

17、4800945 h 8 HYPERLINK l _Toc54800946 路由協(xié)議介紹 PAGEREF _Toc54800946 h 8 HYPERLINK l _Toc54800947 靜態(tài)路由協(xié)議和動(dòng)態(tài)路由協(xié)議 PAGEREF _Toc54800947 h 9 HYPERLINK l _Toc54800948 IGP介紹 PAGEREF _Toc54800948 h 10 HYPERLINK l _Toc54800949 RIP協(xié)議 PAGEREF _Toc54800949 h 10 HYPERLINK l _Toc54800950 OSPF協(xié)議 PAGEREF _Toc54800950

18、h 10 HYPERLINK l _Toc54800951 IS-IS協(xié)議 PAGEREF _Toc54800951 h 11 HYPERLINK l _Toc54800952 動(dòng)態(tài)路由協(xié)議設(shè)計(jì) PAGEREF _Toc54800952 h 12 HYPERLINK l _Toc54800953 網(wǎng)絡(luò)的OSPF區(qū)域與邊界劃分： PAGEREF _Toc54800953 h 13 HYPERLINK l _Toc54800954 Bandwidth Reference PAGEREF _Toc54800954 h 13 HYPERLINK l _Toc54800955 Network Type

19、PAGEREF _Toc54800955 h 13 HYPERLINK l _Toc54800956 網(wǎng)絡(luò)OSPF通用設(shè)計(jì) PAGEREF _Toc54800956 h 13 HYPERLINK l _Toc54800957 交換設(shè)計(jì) PAGEREF _Toc54800957 h 14 HYPERLINK l _Toc54800958 VLAN設(shè)計(jì) PAGEREF _Toc54800958 h 14 HYPERLINK l _Toc54800959 VLAN 1設(shè)計(jì) PAGEREF _Toc54800959 h 14 HYPERLINK l _Toc54800960 EC設(shè)計(jì) PAGEREF

20、_Toc54800960 h 14 HYPERLINK l _Toc54800961 VLAN 規(guī)劃 PAGEREF _Toc54800961 h 14 HYPERLINK l _Toc54800962 TRUNK設(shè)計(jì) PAGEREF _Toc54800962 h 15 HYPERLINK l _Toc54800963 VPC設(shè)計(jì) PAGEREF _Toc54800963 h 15 HYPERLINK l _Toc54800964 3.IP地址規(guī)劃 PAGEREF _Toc54800964 h 18 HYPERLINK l _Toc54800965 IP地址結(jié)構(gòu)化設(shè)計(jì)需求分析 PAGEREF

21、_Toc54800965 h 18 HYPERLINK l _Toc54800966 IP地址的可管理性和高效性需求 PAGEREF _Toc54800966 h 19 HYPERLINK l _Toc54800967 IP地址的可擴(kuò)展性需求 PAGEREF _Toc54800967 h 19 HYPERLINK l _Toc54800968 IP地址的網(wǎng)絡(luò)管理層面劃分需求 PAGEREF _Toc54800968 h 19 HYPERLINK l _Toc54800969 IP地址的網(wǎng)絡(luò)結(jié)構(gòu)化需求 PAGEREF _Toc54800969 h 19 HYPERLINK l _Toc54800

22、970 IP地址規(guī)劃相關(guān)技術(shù) PAGEREF _Toc54800970 h 19 HYPERLINK l _Toc54800971 IP地址劃分策略 PAGEREF _Toc54800971 h 20 HYPERLINK l _Toc54800972 規(guī)范性策略 PAGEREF _Toc54800972 h 20 HYPERLINK l _Toc54800973 標(biāo)準(zhǔn)性策略 PAGEREF _Toc54800973 h 20 HYPERLINK l _Toc54800974 IP 地址空間范圍選取 PAGEREF _Toc54800974 h 20 HYPERLINK l _Toc548009

23、75 VLSM(可變長度子網(wǎng)掩碼) PAGEREF _Toc54800975 h 20 HYPERLINK l _Toc54800976 CIDR(無類別域間路由) PAGEREF _Toc54800976 h 20 HYPERLINK l _Toc54800977 IP地址配置方法 PAGEREF _Toc54800977 h 21 HYPERLINK l _Toc54800978 DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議) PAGEREF _Toc54800978 h 21 HYPERLINK l _Toc54800979 IP地址規(guī)劃設(shè)計(jì)與實(shí)現(xiàn) PAGEREF _Toc54800979 h 21 HY

24、PERLINK l _Toc54800980 IP地址規(guī)劃的設(shè)計(jì)原則 PAGEREF _Toc54800980 h 21 HYPERLINK l _Toc54800981 IP地址的網(wǎng)絡(luò)管理層面劃分設(shè)計(jì) PAGEREF _Toc54800981 h 22 HYPERLINK l _Toc54800982 IP地址范圍的選擇設(shè)計(jì) PAGEREF _Toc54800982 h 22 HYPERLINK l _Toc54800983 用戶網(wǎng)絡(luò)IP地址規(guī)劃策略設(shè)計(jì) PAGEREF _Toc54800983 h 22 HYPERLINK l _Toc54800984 IP地址規(guī)劃-用戶地址區(qū)設(shè)計(jì)建議 P

25、AGEREF _Toc54800984 h 22 HYPERLINK l _Toc54800985 用戶網(wǎng)絡(luò)地址 PAGEREF _Toc54800985 h 23 HYPERLINK l _Toc54800986 設(shè)備互聯(lián)網(wǎng)絡(luò)地址 PAGEREF _Toc54800986 h 23 HYPERLINK l _Toc54800987 網(wǎng)管（帶外）網(wǎng)絡(luò)地址 PAGEREF _Toc54800987 h 23 HYPERLINK l _Toc54800988 IP地址配置設(shè)計(jì) PAGEREF _Toc54800988 h 23 HYPERLINK l _Toc54800989 IP地址沖突的解決

26、PAGEREF _Toc54800989 h 23 HYPERLINK l _Toc54800990 IP地址空間預(yù)留 PAGEREF _Toc54800990 h 23 HYPERLINK l _Toc54800991 4.網(wǎng)絡(luò)安全設(shè)計(jì) PAGEREF _Toc54800991 h 24 HYPERLINK l _Toc54800992 控制平面保護(hù)原則 PAGEREF _Toc54800992 h 24 HYPERLINK l _Toc54800993 網(wǎng)絡(luò)設(shè)備安全設(shè)計(jì) PAGEREF _Toc54800993 h 24 HYPERLINK l _Toc54800994 關(guān)閉不必要的網(wǎng)絡(luò)服

27、務(wù) PAGEREF _Toc54800994 h 24 HYPERLINK l _Toc54800995 啟用關(guān)鍵服務(wù) PAGEREF _Toc54800995 h 25 HYPERLINK l _Toc54800996 TCP Keepalives PAGEREF _Toc54800996 h 25 HYPERLINK l _Toc54800997 網(wǎng)絡(luò)時(shí)間協(xié)議 - NTP PAGEREF _Toc54800997 h 25 HYPERLINK l _Toc54800998 登陸提示 PAGEREF _Toc54800998 h 25 HYPERLINK l _Toc54800999 系統(tǒng)日

28、志 PAGEREF _Toc54800999 h 25 HYPERLINK l _Toc54801000 調(diào)整系統(tǒng)默認(rèn)配置 PAGEREF _Toc54801000 h 26 HYPERLINK l _Toc54801001 密碼設(shè)置 PAGEREF _Toc54801001 h 26 HYPERLINK l _Toc54801002 SNMP網(wǎng)管協(xié)議 PAGEREF _Toc54801002 h 26 HYPERLINK l _Toc54801003 遠(yuǎn)程登陸空閑時(shí)間 PAGEREF _Toc54801003 h 26 HYPERLINK l _Toc54801004 設(shè)備的訪問控制 PAG

29、EREF _Toc54801004 h 27 HYPERLINK l _Toc54801005 Console/Aux控制端口 PAGEREF _Toc54801005 h 27 HYPERLINK l _Toc54801006 VTY虛擬終端遠(yuǎn)程訪問 PAGEREF _Toc54801006 h 27 HYPERLINK l _Toc54801007 SNMP網(wǎng)管協(xié)議訪問 PAGEREF _Toc54801007 h 27 HYPERLINK l _Toc54801008 設(shè)備的登陸認(rèn)證、授權(quán)和審計(jì) PAGEREF _Toc54801008 h 28 HYPERLINK l _Toc5480

30、1009 簡單的登陸密碼和特權(quán)密碼 PAGEREF _Toc54801009 h 28 HYPERLINK l _Toc54801010 設(shè)備本地存放的用戶數(shù)據(jù)庫中存放用戶名密碼 PAGEREF _Toc54801010 h 28 HYPERLINK l _Toc54801011 AAA認(rèn)證 PAGEREF _Toc54801011 h 28 HYPERLINK l _Toc54801012 進(jìn)一步建議 PAGEREF _Toc54801012 h 29 HYPERLINK l _Toc54801013 5.ASA5585防火墻設(shè)計(jì) PAGEREF _Toc54801013 h 30 HYPE

31、RLINK l _Toc54801014 ASA5585防火墻設(shè)計(jì)概述 PAGEREF _Toc54801014 h 30 HYPERLINK l _Toc54801015 ASA5585模式 PAGEREF _Toc54801015 h 30 HYPERLINK l _Toc54801016 安全級別和NAT PAGEREF _Toc54801016 h 32 HYPERLINK l _Toc54801017 ASA5585 ACL PAGEREF _Toc54801017 h 32 HYPERLINK l _Toc54801018 ASA5585 故障切換 PAGEREF _Toc5480

32、1018 h 33 HYPERLINK l _Toc54801019 故障切換的類型 PAGEREF _Toc54801019 h 33 HYPERLINK l _Toc54801020 6.存儲(chǔ)網(wǎng)絡(luò)設(shè)計(jì) PAGEREF _Toc54801020 h 34 HYPERLINK l _Toc54801021 7.QoS設(shè)計(jì) PAGEREF _Toc54801021 h 35 HYPERLINK l _Toc54801022 8.網(wǎng)絡(luò)管理設(shè)計(jì) PAGEREF _Toc54801022 h 37 HYPERLINK l _Toc54801023 9.UCS服務(wù)器設(shè)計(jì) PAGEREF _Toc5480

33、1023 h 38 HYPERLINK l _Toc54801024 Cisco UCS解決方案概覽 PAGEREF _Toc54801024 h 38 HYPERLINK l _Toc54801025 架構(gòu)簡介 PAGEREF _Toc54801025 h 38 HYPERLINK l _Toc54801026 Cisco 的創(chuàng)新技術(shù) PAGEREF _Toc54801026 h 38 HYPERLINK l _Toc54801027 Cisco Unified Computing System 部件 PAGEREF _Toc54801027 h 40 HYPERLINK l _Toc548

34、01028 Cisco UCS安裝方案 PAGEREF _Toc54801028 h 42 HYPERLINK l _Toc54801029 整體架構(gòu) PAGEREF _Toc54801029 h 42 HYPERLINK l _Toc54801030 安裝過程簡介 PAGEREF _Toc54801030 h 42 HYPERLINK l _Toc54801031 Cisco統(tǒng)一計(jì)算系統(tǒng)安裝與配置 PAGEREF _Toc54801031 h 44 HYPERLINK l _Toc54801032 安裝現(xiàn)場準(zhǔn)備工作 PAGEREF _Toc54801032 h 44 HYPERLINK l

35、_Toc54801033 Cisco 6140XP連接，USC Manger設(shè)置 PAGEREF _Toc54801033 h 47 HYPERLINK l _Toc54801034 配置管理IP、Server Port和Uplink Port PAGEREF _Toc54801034 h 50 HYPERLINK l _Toc54801035 實(shí)現(xiàn)KVM連接，使用vMedia PAGEREF _Toc54801035 h 51 HYPERLINK l _Toc54801036 在 Cisco UCS Manager 上配置MAC Pool、WWNN Pool、WWPN Pool PAGERE

36、F _Toc54801036 h 52 HYPERLINK l _Toc54801037 創(chuàng)建服務(wù)配置文件并關(guān)聯(lián)到刀片服務(wù)器 PAGEREF _Toc54801037 h 63 HYPERLINK l _Toc54801038 配置SAN 交換機(jī)和分區(qū) PAGEREF _Toc54801038 h 64 HYPERLINK l _Toc54801039 VMWare軟件安裝 PAGEREF _Toc54801039 h 66 HYPERLINK l _Toc54801040 10.培訓(xùn)課程計(jì)劃 PAGEREF _Toc54801040 h 79 HYPERLINK l _Toc54801041

37、 概述 PAGEREF _Toc54801041 h 79 HYPERLINK l _Toc54801042 培訓(xùn)要求 PAGEREF _Toc54801042 h 80 HYPERLINK l _Toc54801043 培訓(xùn)總體要求 PAGEREF _Toc54801043 h 80 HYPERLINK l _Toc54801044 培訓(xùn)對象 PAGEREF _Toc54801044 h 80 HYPERLINK l _Toc54801045 對培訓(xùn)對象的要求 PAGEREF _Toc54801045 h 80 HYPERLINK l _Toc54801046 培訓(xùn)講師 PAGEREF _T

38、oc54801046 h 80 HYPERLINK l _Toc54801047 培訓(xùn)環(huán)境 PAGEREF _Toc54801047 h 80 HYPERLINK l _Toc54801048 作息時(shí)間 PAGEREF _Toc54801048 h 80 HYPERLINK l _Toc54801049 培訓(xùn)內(nèi)容 PAGEREF _Toc54801049 h 80前言前言這篇文檔描述了虛擬桌面VDI項(xiàng)目的高層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，該文檔將該項(xiàng)目作為深化設(shè)計(jì)的基礎(chǔ)。適用人員本文檔主要供從事虛擬桌面VDI項(xiàng)目設(shè)計(jì)與實(shí)施的相關(guān)人員使用。網(wǎng)絡(luò)整體架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)整體架構(gòu)虛擬桌面VDI項(xiàng)目的網(wǎng)絡(luò)整體架構(gòu)如下：nex

39、us7000作為數(shù)據(jù)中心和辦公網(wǎng)絡(luò)的核心，為了實(shí)現(xiàn)不同功能區(qū)和不同業(yè)務(wù)的隔離，通過VDC功能，將每一臺nexus7000劃分為兩個(gè)邏輯設(shè)備；其中一個(gè)邏輯設(shè)備作為數(shù)據(jù)中心的核心，另一臺邏輯設(shè)備作為辦公網(wǎng)絡(luò)的核心；兩臺nexus7000分為四臺邏輯設(shè)備，四臺邏輯設(shè)備之間通過10G線路進(jìn)行全網(wǎng)狀連接，從而實(shí)現(xiàn)不同核心之間的冗余備份連接。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)虛擬桌面VDI項(xiàng)目數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)如下圖所示：N7010-1VDC2ASA5585ucsucs61406140MDS9148DC LANN7010-2VDC2兩臺nexus7000分別使用一個(gè)VDC作為數(shù)據(jù)中心網(wǎng)絡(luò)的核心，每臺fabric switch

40、6140分別采用10G上行鏈路和兩臺nexus7000互聯(lián)。 每臺fabric switch6140的兩條上行鏈路形成一個(gè)VPC組；兩臺nexus7000之間通過兩條10G鏈路連接，這些鏈路同時(shí)作為VPC的PEER-LINK使用；這種VPC方式，即可避免STP環(huán)路的形成，有可以充分提高fabric switch6140與nexus7000之間鏈路的有效利用率。每臺UCS機(jī)箱分別通過4條上行鏈路與fabric switch6140相連，兩臺fabric switch6140之間通過2條10G鏈路連接。兩臺ASA5585作為核心防火墻使用，每臺ASA5585通過2個(gè)10鏈路分別和兩臺nexu700

41、0相連。兩臺ASA5585形成ACTIVE/ACTIVE的工作組為數(shù)據(jù)中心提供安全防護(hù)。在數(shù)據(jù)中心另外添加一個(gè)OOB（帶外管理）網(wǎng)絡(luò)，該網(wǎng)絡(luò)連接nexus7000、fabric switch6140的mgmt端口和ASA5585的端口，供數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備緊急管理時(shí)使用。fabric switch6140和nexus7000之間通過二層連接，數(shù)據(jù)中心內(nèi)各網(wǎng)絡(luò)的三層缺省網(wǎng)關(guān)都終結(jié)在nexus7000上；如果應(yīng)用有相關(guān)的負(fù)載分擔(dān)和FW要求，可將該應(yīng)用網(wǎng)絡(luò)的三層缺省網(wǎng)關(guān)指向ASA5585或ACE上。局域網(wǎng)核心架構(gòu)局域網(wǎng)核心的架構(gòu)如下所示：10GE1GEASA5585C6509EC6509E8G FCC

42、ore LANN7010-1VDC3N7010-2VDC3企業(yè)內(nèi)部網(wǎng)兩臺nexus7000分別使用一個(gè)VDC作為辦公網(wǎng)絡(luò)的核心，每臺核心6509E交換機(jī)通過上行10G鏈路分別和兩臺nexus7000相連，兩臺nexus7000之間通過多條鏈路實(shí)現(xiàn)互聯(lián)。另外添加一個(gè)OOB（帶外管理）網(wǎng)絡(luò)，該網(wǎng)絡(luò)連接nexus7000的mgmt端口，供nexus7000緊急管理時(shí)使用。Cat6500和nexus7000之間的連接采用三層方式，使用OSPF路由協(xié)議互聯(lián)。 路由協(xié)議設(shè)計(jì)路由協(xié)議介紹目前的TCP/IP網(wǎng)絡(luò)，幾乎全部是通過路由器互聯(lián)起來的，Internet就是成千上萬個(gè)IP子網(wǎng)通過路由器互聯(lián)起來的國際性網(wǎng)

43、絡(luò)。這種網(wǎng)絡(luò)稱為以路由器為基礎(chǔ)的網(wǎng)絡(luò)（router based network），形成了以路由器為節(jié)點(diǎn)的“網(wǎng)間網(wǎng)”。在“網(wǎng)間網(wǎng)”中，路由器不僅負(fù)責(zé)對IP分組的轉(zhuǎn)發(fā)，還要負(fù)責(zé)與別的路由器進(jìn)行聯(lián)絡(luò)，共同確定“網(wǎng)間網(wǎng)”的路由選擇和維護(hù)路由表。路由動(dòng)作包括兩項(xiàng)基本內(nèi)容：尋徑和轉(zhuǎn)發(fā)。尋徑即判定到達(dá)目的地的最佳路徑，由路由選擇算法來實(shí)現(xiàn)。由于涉及到不同的路由選擇協(xié)議和路由選擇算法，要相對復(fù)雜一些。為了判定最佳路徑，路由選擇算法必須啟動(dòng)并維護(hù)包含路由信息的路由表，其中路由信息依賴于所用的路由選擇算法不同而不盡相同。路由選擇算法將收集到的不同信息填入路由表中，根據(jù)路由表可將目的網(wǎng)絡(luò)與下一站（nexthop）的

44、關(guān)系告訴路由器。路由器間互通信息進(jìn)行路由更新，更新維護(hù)路由表使之正確反映網(wǎng)絡(luò)的拓?fù)渥兓?，并由路由器根?jù)量度來決定最佳路徑。這就是路由選擇協(xié)議（routing protocol），具體路由協(xié)議例如路由信息協(xié)議（RIP）、開放式最短路徑優(yōu)先協(xié)議（OSPF）和邊界網(wǎng)關(guān)協(xié)議（BGP）等。靜態(tài)路由協(xié)議和動(dòng)態(tài)路由協(xié)議典型的路由選擇方式有兩種：靜態(tài)路由和動(dòng)態(tài)路由。靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會(huì)發(fā)生變化。由于靜態(tài)路由不能對網(wǎng)絡(luò)的改變作出反映，一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點(diǎn)是簡單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級最高。當(dāng)動(dòng)態(tài)路由

45、與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實(shí)時(shí)地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由更新信息，表明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會(huì)重新計(jì)算路由，并發(fā)出新的路由更新信息。這些信息通過各個(gè)網(wǎng)絡(luò)，引起各路由器重新啟動(dòng)其路由算法，并更新各自的路由表以動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?。?dòng)態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、拓?fù)浣Y(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)。當(dāng)然，各種動(dòng)態(tài)路由協(xié)議會(huì)不同程度地占用網(wǎng)絡(luò)帶寬和CPU資源。靜態(tài)路由和動(dòng)態(tài)路由有各自的特點(diǎn)和適用范圍，因此在網(wǎng)絡(luò)中動(dòng)態(tài)路由通常作為靜態(tài)路由的補(bǔ)充。在默認(rèn)情況下，當(dāng)一個(gè)分組在路由器中進(jìn)行尋址時(shí)，路由器首先查找

46、靜態(tài)路由，如果查到則根據(jù)相應(yīng)的靜態(tài)路由轉(zhuǎn)發(fā)分組；否則再查找動(dòng)態(tài)路由。根據(jù)是否在一個(gè)自治域內(nèi)部使用，動(dòng)態(tài)路由協(xié)議分為內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）和外部網(wǎng)關(guān)協(xié)議（EGP）。這里的自治域指一個(gè)具有統(tǒng)一管理機(jī)構(gòu)、統(tǒng)一路由策略的網(wǎng)絡(luò)。自治域內(nèi)部采用的路由選擇協(xié)議稱為內(nèi)部網(wǎng)關(guān)協(xié)議，常用的有RIP、OSPF、IS-IS等；外部網(wǎng)關(guān)協(xié)議主要用于多個(gè)自治域之間的路由選擇，常用的是BGP協(xié)議。IGP介紹RIP協(xié)議RIP(Routing information Protocol)是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol，簡稱IGP)，適用于小型同類網(wǎng)絡(luò)，是典型的距離向量(d

47、istance-vector)協(xié)議。文檔見RFC1058、RFC1723。RIP通過廣播UDP報(bào)文來交換路由信息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計(jì)數(shù)(hop count)作為尺度來衡量路由距離，跳躍計(jì)數(shù)是一個(gè)包到達(dá)目標(biāo)所必須經(jīng)過的路由器的數(shù)目。如果到相同目標(biāo)有二個(gè)不等速或不同帶寬的路由器，但跳躍計(jì)數(shù)相同，則RIP認(rèn)為兩個(gè)路由是等距離的。RIP最多支持的跳數(shù)為15，即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為15，跳數(shù)16表示不可達(dá)。RIP的缺陷是無法支持具有多條路徑的大型網(wǎng)絡(luò)。OSPF協(xié)議OSPF協(xié)議于1991年在RFC1247中被第一次標(biāo)準(zhǔn)化，最新的版本是在RFC2328中。和

48、RIP協(xié)議不同，OSPF是一套鏈路狀態(tài)路由協(xié)議，這意味著路由選擇的變化基于網(wǎng)絡(luò)中路由器物理連接的狀態(tài)與速度，并且變化被立即廣播到網(wǎng)絡(luò)中的每一個(gè)路由器。當(dāng)一個(gè)OSPF路由器第一次被激活，它使用OSPF的“hello協(xié)議”來發(fā)現(xiàn)與它連接的鄰節(jié)點(diǎn)，然后用LSA（Link State Advertisement，鏈路狀態(tài)廣播信息）等和這些路由器交換鏈路狀態(tài)信息。每個(gè)路由器都創(chuàng)建了由每個(gè)接口、對應(yīng)鄰居節(jié)點(diǎn)和接口速度組成的數(shù)據(jù)庫。每個(gè)路由器從鄰接路由器收到的LSA被繼續(xù)向各自的鄰接路由器傳遞，直到網(wǎng)絡(luò)中的每個(gè)路由器收到了所有其它路由器的LSA。鏈路狀態(tài)數(shù)據(jù)庫不同于路由表，根據(jù)數(shù)據(jù)庫中的信息，每個(gè)路由器計(jì)算

49、到網(wǎng)絡(luò)的每一目標(biāo)的一條路徑，創(chuàng)建以它為根的路由拓?fù)浣Y(jié)構(gòu)樹，其中包含了形成路由表基礎(chǔ)的最短路徑優(yōu)先樹（SPF，Shortest Path First）。LSA每30分鐘被交換一次，除非網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有變化。例如，如果接口變化，信息立刻通過網(wǎng)絡(luò)廣播；如果有多余路徑，收斂將重新計(jì)算SPF樹。計(jì)算SPF樹所需的時(shí)間取決于網(wǎng)絡(luò)規(guī)模的大小。因?yàn)檫@些計(jì)算，路由器運(yùn)行 OSPF需要占用更多CPU資源。 一種彌補(bǔ)OSPF協(xié)議占用CPU和內(nèi)存資源的方法是將網(wǎng)絡(luò)分成獨(dú)立的層次域，稱為區(qū)域（Area）。每個(gè)路由器 僅與它們自己區(qū)域內(nèi)的其它路由器交換LSA。Area0被作為主干區(qū)域，所有區(qū)域必須與Area0相鄰接。在AB

50、R（Area Border Router，區(qū)域邊界路由器）上定義了兩個(gè)區(qū)域之間的邊界。ABR與Area0和另一個(gè)非主干區(qū)域至少分別有一個(gè)接口。這使得在路由表的一個(gè)條目中描述多個(gè)網(wǎng)絡(luò)成為可能。Figure 3-1 一個(gè)典型的OSPF網(wǎng)絡(luò)IS-IS協(xié)議IS-IS（Intermediate System-to-Intermediate System）是ISO（International Organization for Standardization）的標(biāo)準(zhǔn)協(xié)議，該協(xié)議與無連接網(wǎng)絡(luò)服務(wù)（Connectionless Network Service， CLNS）和其它ISO路由協(xié)議一起使用。IETF也

51、已經(jīng)通過一系列RFCs將IS-IS與IP路由集成在一起。IS-IS是鏈路狀態(tài)協(xié)議，它采用最短路徑優(yōu)先算法（Shortest Path First， SPF或者Dijsktra）來計(jì)算通過網(wǎng)絡(luò)的最佳路徑。IS-IS提供兩級路由：區(qū)域內(nèi)的層次1（Level1， L1）路由和區(qū)域間的層次2（Level 2， L2）路由進(jìn)行互聯(lián)。IS-IS用有層次的地址分配將一個(gè)自治域分為多個(gè)L1路由區(qū)域，并區(qū)分L1和L2之間的路由。同 一區(qū)域內(nèi)的所有節(jié)點(diǎn)都使用L1路由互通，不同區(qū)域里的節(jié)點(diǎn)之間使用L2路由互通。IS-IS是鏈路狀態(tài)協(xié)議，路由器向其所在區(qū)域（L1或L2）內(nèi)的其它路由器擴(kuò)散與之相連的鏈路狀態(tài)，從而傳遞拓

52、撲信息，每個(gè)路由器會(huì)對接收到的其它路由器發(fā)來的鏈路狀態(tài)數(shù)據(jù)包（Link-State Packet， LSP）運(yùn)用SPF算法找到網(wǎng)絡(luò)里每個(gè)目的地的最短路徑。由于鏈路狀態(tài)協(xié)議中的任何路由器都依賴于路由區(qū)域中所有其他的路由器，路由器的數(shù)據(jù)庫里有防止路由環(huán)路的信息，所以IS-IS通常不允許對路由信息進(jìn)行過濾。IS-IS用兩個(gè)不同的hello-type協(xié)議來建立鄰居和交換信息：ES-IS和IS-IS。端系統(tǒng)和中間系統(tǒng)（End System-to-Intermediate System， ES-IS）協(xié)議被路由器用來發(fā)現(xiàn)主機(jī)（和主機(jī)發(fā)現(xiàn)路由器）和交換配置信息以及將數(shù)據(jù)包重定向到更好的路徑。IS-IS協(xié)議在

53、路由器之間建立和維護(hù)鄰居（中間系統(tǒng)），功能上類似于OSPF里用來發(fā)現(xiàn)和維護(hù)鄰居的hello協(xié)議。Figure 3-2一個(gè)典型的IS-IS網(wǎng)絡(luò)動(dòng)態(tài)路由協(xié)議設(shè)計(jì)虛擬桌面VDI項(xiàng)目將采用OSPF作為核心網(wǎng)絡(luò)的IGP協(xié)議。 網(wǎng)絡(luò)的OSPF區(qū)域與邊界劃分：路由結(jié)構(gòu)如下：10GE1GEASA5585C6509EC6509E8G FCCore LANN7010-1VDC3N7010-2VDC3企業(yè)內(nèi)部網(wǎng)OSFP AREA 0骨干域area 0中包含：核心Nexus交換機(jī)VDC3所有下聯(lián)數(shù)據(jù)中心三層端口；Bandwidth ReferenceOSPF設(shè)計(jì)之初，以當(dāng)時(shí)的最高帶寬100MB為參考值，100MB帶寬

54、的cost值為1。為了區(qū)分更高帶寬的鏈路，如1G和10G以及將來的40G、100G等高帶寬鏈路，我們需要在每臺OSPF路由器上設(shè)置默認(rèn)的帶寬參考值。建議將auto bandwidth reference 設(shè)置為100G，各類型鏈路的Cost如下表所示：Table SEQ Table * ARABIC 1 各類型鏈路OSPF cost (Default Bandwidth Reference為100G)鏈路類型帶寬Cost未來鏈路100G1萬兆10G10千兆1G100VLAN1G（等同千兆）100Network Type在網(wǎng)絡(luò)中，路由器間的物理連接均為以太網(wǎng)連接，OSPF默認(rèn)以太網(wǎng)的網(wǎng)絡(luò)類型為B

55、roadcast，為了減小鏈路開銷，建議調(diào)整OSPF的網(wǎng)絡(luò)類型為點(diǎn)到點(diǎn)（Point-to-Point）。網(wǎng)絡(luò)OSPF通用設(shè)計(jì)OSPF路由協(xié)議進(jìn)程包含許多全局屬性，通過對這些屬性的設(shè)計(jì)，可以增加協(xié)議的穩(wěn)定、安全等性能。OSPF timer 保持缺省值, OSPF 接口COST保持缺省設(shè)置.交換設(shè)計(jì)VLAN設(shè)計(jì)VLAN 1設(shè)計(jì)Vlan1覆蓋到全網(wǎng)的每一臺交換機(jī)，傳遞交換機(jī)管理信息。作為特殊VLAN，設(shè)計(jì)保留Vlan1，并作為Dot1Q的Native-vlan。EC設(shè)計(jì)EC(EtherChannel)設(shè)計(jì)原則：EC(EtherChannel)中所有端口的速率和Duplex必須一致；由于在同一設(shè)備模塊

56、上可能存在多個(gè)以太網(wǎng)控制器，EC設(shè)計(jì)為同一板卡中同一控制器控制的端口的組合；使用手工方式來配置EC，將EC兩端接口模式設(shè)為：Desirable；EC中所有端口必須在同一個(gè)VLAN中，或都是Trunk端口；EC中所有端口所用的Channel Protocol必須一致；Etherchannel Guard：交換機(jī)間的EC連接端口上啟用Etherchannel Guard功能，可以防止Etherchannel的誤配置（即一端交換機(jī)機(jī)上的有關(guān)端口配置成EC模式，另一端交換機(jī)上的有關(guān)端口沒有配置成EC模式，或不在同一個(gè)EC中），將誤配置的有關(guān)端口置于Err-disabled狀態(tài)下，從而防止二層環(huán)路。VL

57、AN 規(guī)劃VLAN劃分應(yīng)考慮的統(tǒng)一規(guī)劃，該部分內(nèi)容與用戶確認(rèn)后填寫，下面只是示例：部門VLAN業(yè)務(wù)A200業(yè)務(wù)B201業(yè)務(wù)C202業(yè)務(wù)D203業(yè)務(wù)E204業(yè)務(wù)F205業(yè)務(wù)G206業(yè)務(wù)H207業(yè)務(wù)I208業(yè)務(wù)J209Table SEQ Table * ARABIC 2：集團(tuán)規(guī)劃-華能國際VLAN劃分TRUNK設(shè)計(jì)UCS機(jī)箱和Fabric swithc之間鏈路為trunk；Fabric switch之間鏈路為trunk；Fabric switch6140和Nexus7000之間鏈路為trunk；Nexus7000之間鏈路為trunk；VPC設(shè)計(jì)概述網(wǎng)絡(luò)結(jié)構(gòu)中的二層交換技術(shù)因其靈活性得到了廣泛的應(yīng)用

58、，雖然二層環(huán)的威脅一直存在，但二層技術(shù)所帶來的正面效果在各種網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)中一直占有一席之地，同時(shí)避免二層環(huán)的技術(shù)也在不斷發(fā)展，其中常用的就是在傳統(tǒng)二層網(wǎng)絡(luò)存在冗余路徑時(shí)采用Spanning-Tree協(xié)議通過只保留一條轉(zhuǎn)發(fā)路徑、阻塞冗余路徑的方式來避免二層環(huán)路的產(chǎn)生。vPC（Virtual port-channel）是新近發(fā)展的用于避免環(huán)路和有效使用鏈路資源的二層網(wǎng)絡(luò)技術(shù)，它是Port-channel技術(shù)的進(jìn)一步發(fā)展，vPC可以實(shí)現(xiàn)跨機(jī)箱多鏈路捆綁，它一方面采用負(fù)載均衡的方法充分使用網(wǎng)絡(luò)鏈路，另一方面利用port channel方式避免二層環(huán)路的產(chǎn)生，消除Spanning-Tree的阻塞接口，

59、在冗余鏈路中弱化對Spanning-Tree的依賴，在鏈路或設(shè)備失效的情況下提供快速收斂。術(shù)語說明vPC peer-linkvPC peernon-vPC devicevPC peer-keepalive linkvPC member portvPCvPC member portCFS protocol*VPC Peer-對等交換機(jī)：交換機(jī)S1 和S2 作為對等交換機(jī)，通過對等鏈路連接，它們構(gòu)成一個(gè)vPC 的單一邏輯終端。這些設(shè)備需要運(yùn)行Cisco NX-OS，才能運(yùn)行vPC 協(xié)議。vPC Peer-link-對等鏈路：這是兩個(gè)vPC 對等交換機(jī)間的多端口萬兆以太網(wǎng)端口信道鏈路。該鏈路是一個(gè)標(biāo)

60、準(zhǔn)IEEE 802.3ad 端口信道，修改生成樹協(xié)議權(quán)值，能夠使用對等鏈路，將數(shù)據(jù)包標(biāo)記為從本地對等設(shè)備發(fā)出。vPC Peer keepalive link-對等設(shè)備保持激活鏈路：對等設(shè)備保持激活鏈路是一條通常運(yùn)行在帶外管理網(wǎng)絡(luò)上的邏輯鏈路。它提供一條第三層通信協(xié)議，能用作輔助測試，來確定遠(yuǎn)程對等設(shè)備是否正確運(yùn)行。不通過vPC對等設(shè)備保持激活鏈路發(fā)送任何數(shù)據(jù)或同步流量，只會(huì)發(fā)送一個(gè)表示原始交換機(jī)正在運(yùn)行vPC 的幀。vPC member port-成員端口：一個(gè)vPC成員端口是一個(gè)物理端口，位于屬于vPC成員的某一vPC對等交換機(jī)之上。為運(yùn)行vPC 實(shí)例，則至少與每個(gè)對等交換機(jī)上的一個(gè)成員端口