网络架构设计概要

网络架构设计需要明确网络环境需求，主要涉及高可用、高性能、安全性、可扩展性、灵活性、自动化等需求。其中高可用、高性能、安全性是网络设计基础需求，可扩展性、灵活性、自动化是网络设计高级需求。传统网络架构主要以满足基础需求为目标，而在互联网业务背景下的网络架构需要满足网络设计高级需求，以支持互联网业务灵活的网络支持要求，实现网络运维的便捷化、可视化管理。

1、主体架构设计

考虑监管合规，主体架构仍然采用“水平分区、垂直分层”架构。

• 区域隔离设计：区域间必须经过物理防火墙，并且出口防火墙与内部防火墙异构。

• 区域内分层设计：部署区域汇聚交换机+接入交换机或者横向可扩展性的叶脊 Spine+Leaf 网络架构。

2、汇聚+接入网络设计

区域汇聚和核心层之间为区域安全边界，通过防火墙串联并设置访问控制，配置明细访问策略；防火墙通过静态路由的方式将流量回注；汇聚设备作为区域业务区的出口，通过三层网络连接到核心层；网络网关放在汇聚交换机上，实现区域内三层转发；汇聚设备旁挂 SLB、网络分析等智能服务设备，实现区域内负载均衡等功能；结构、节点、链路均采用冗余设计，满足高可用性要求。

3、叶脊 Spine+Leaf 网络设计

在传统业务模式下，网络流量主要是以纵向南北流量为主，三层网络设计可以很好地满足业务需求。伴随着虚拟化的兴起、软件架构的解耦及分布式应用大规模使用，三层架构的弊端逐渐显现出来，具体如下：

• 三层架构 STP 协议导致的上行连接网络资源浪费；

• 横向东西流量大，导致核心、汇聚设备压力过大；

• 网关在汇聚设备上，横向扩展能力弱；

• 大二层支持能力弱。

改进方式是采用基于 Overlay 技术的叶脊 Spine-Leaf 架构来构建大二层网络。通过构建大二层网络可以有效解决三层网络架构弊端。通过类似于 VPC 等协议解决 STP 协议导致的链路浪费问题，可使上行链路提高承载流量、解决东西流量问题及提高横向扩展能力。通过配合叶脊 Spine+Leaf 网络设计与基于 VXLAN（Virtual eXtensible LAN，可扩展虚拟局域网）的大二层技术，能够构建区域间、多数据中心间的大二层网络，实现跨区域业务扩容、虚拟化迁移、集群扩展等功能，无须重构 IP 网络环境。