华为数通基础17-企业园区网发展

实用标准项目编号: 华为网络整体解决方案目录1 概述 (4)2 企业网络建设设计原则 (5)3 华为产品解决方案 (7)3.1 整体架构设计 (7)3.1.1 总体网络架构 (7)3.1.2 有线网络解决方案 (8)3.1.2.1 核心层网络设计 (9)3.1.2.2 汇聚层网络设计 (9)3.1.2.3 接入层网络设计 (10)3.1.3 数据中心解决方案 (10)3.1.4 无线网络解决方案 (11)3.1.4.1 无线网络的建设需求 (11)3.1.4.2 无线网络解决方案 (14)3.2 高可靠性设计 (18)3.2.1 网络高可靠性设计 (18)3.2.2 设备高可靠性设计 (18)3.2.2.1 重要部件冗余 (18)3.2.2.2 设备自身安全 (19)3.3 安全方案设计 (21)3.3.1 园区网安全方案总体设计 (21)3.3.2 园区内网安全设计 (21)3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击 (21)3.3.2.2 防IP/MAC地址扫描攻击 (23)3.3.2.3 广播/组播报文抑制 (25)3.3.3 园区网边界防御 (26)3.3.4 园区网出口安全 (27)3.3.5 无线安全设计 (28)3.3.5.1 无线局域网的安全威胁 (29)3.3.5.2 华为无线网络的安全策略 (30)4 设备介绍........................................................................................................ 错误!未定义书签。

4.1 Quidway® S9300系列交换机............................................... 错误!未定义书签。

4.2 Quidway® S7700系列交换机............................................... 错误!未定义书签。

数通网络开放可编程V100R020C10开发指南文档版本01发布日期2021-02-05版权所有 © 华为技术有限公司 2021。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：https://客户服务邮箱：******************客户服务电话：4008302118前言概述本文档介绍了基于NCE 提供的开放可编程功能进行设备对接、快速构建业务等二次开发的操作指导。

读者对象本文档主要适用于以下工程师：●系统管理员●维护工程师●技术支持工程师符号约定在本文中可能出现下列标志，它们所代表的含义如下。

图形界面元素引用约定本文中可能出现下列图形界面元素，它们所代表的含义如下。

命令行格式约定本文可能出现下列命令行格式，它们所代表的含义如下。

修改记录目录前言 (ii)1 基础知识 (1)1.1 NETCONF (1)1.2 YANG模型 (4)1.3 Jinja2模板 (7)1.4 Python编程基础 (8)1.5 软件包结构 (8)1.6 日志记录 (9)1.6.1 查看日志 (9)1.6.2 设置日志级别 (9)2 开发流程 (11)3 开发准备 (12)4 开发环境部署 (13)4.1 安装Python解析器 (13)4.2 安装开放可编程SDK (14)4.3 安装集成开发环境 (14)4.4 安装Gpg4Win及生成签名用密钥 (15)5 开发设备原子驱动包 (17)5.1 创建原子驱动包模板 (17)5.2 开发原子驱动包 (18)5.2.1 编辑软件包配置文件 (18)5.2.2 编写设备YANG模型 (20)5.2.3 开发代码 (24)5.2.3.1 引入必要的头文件 (24)5.2.3.2 编写设备纳管定制 (25)5.2.3.3 编写设备类型能力定制 (26)5.2.3.3.1 配置设备驱动数据 (26)5.2.3.3.2 设置业务自定义处理 (30)5.2.3.3.3 设置数据前置处理 (31)5.2.3.3.4 设置数据后置处理 (31)5.2.3.3.5 设置数据联动 (31)5.2.3.4 编写设备特性能力定制 (32)5.2.3.5 管理资源 (34)5.3 验证原子驱动包 (35)5.3.1 验证YANG文件 (35)5.4 编译原子驱动包 (35)6 开发网络业务插件包 (37)6.1 创建业务包模板 (37)6.2 开发业务包 (38)6.2.1 编辑软件包配置文件 (38)6.2.2 开发业务YANG模型 (41)6.2.3 开发业务包代码 (45)6.2.4 开发Jinja2模板 (46)6.3 验证业务包 (49)6.3.1 验证YANG文件 (49)6.3.2 执行单元测试 (49)6.4 编译业务包 (51)7 开发业务还原业务插件包 (53)7.1 创建业务包模板 (53)7.2 开发业务包 (54)7.2.1 编辑软件包配置文件 (54)7.2.2 开发业务YANG模型 (57)7.2.3 开发业务包代码 (62)7.2.4 开发Jinja2模板 (64)7.3 验证业务包 (65)7.3.1 验证YANG文件 (65)7.3.2 执行单元测试 (65)7.4 编译业务包 (69)8 开发RPC业务插件包 (71)8.1 创建业务包模板 (71)8.2 开发业务包 (72)8.2.1 编辑软件包配置文件 (72)8.2.2 开发业务YANG模型 (74)8.2.3 开发业务包代码 (78)8.2.4 开发Jinja2模板 (80)8.3 验证业务包 (80)8.3.1 验证YANG文件 (80)8.3.2 执行单元测试 (80)8.4 编译业务包 (81)9 导入并安装软件包 (83)9.1 登录系统 (83)10 软件包升级说明 (88)11 业务安全 (138)1基础知识本节介绍进行开放可编程开发需要具备的基础知识，包括NETCONF、YANG、Jinja2、Python和软件包结构等。

华为企业园区网络建设技术方案根据实际情况增加项目介绍1.1项目背景1.2项目目标园区总体系统规划设计1.3需求分析随着企业信息化建设不断深入，企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展，对于企业园区网的建设要求越来越高。

传统园区网建设初期往往面临如下问题：(一)网络架构较为混乱，不便于扩容和维护管理：园区网在建设初期，设备和光纤/电缆随意布放，缺乏统一的网络分层规划管理，网络拓扑相对混乱，不便于对网络性能瓶颈进行正确评估和有效扩容，给日常网络管理也带来很大难度。

(二)网络可靠性规划不合理，影响企业生产和经营管理、造成投资浪费：由于缺乏有效的园区网规划，对于网络可靠性考虑不够，网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为，同时也存在网络过度冗余、造成投资浪费的现象。

(三)网络信息安全存在隐患：网络安全性是园区网建设的重中之重，传统园区网安全漏洞较多，无法应对内外部用户日益猖獗的网络攻击行为（例如：对园区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息），对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络，网络层面的安全保证和防御措施也不到位，造成园区网的脆弱和易攻击。

(四)无法满足日益增长的网络业务需求：随着企业的业务发展，出现了基于园区网基础设施的丰富增值业务需求，例如：网络接入形式要求多样化，支持WLAN无线接入，满足移动办公、大区域无线缆覆盖等特殊要求；对于企业用户访问外网进行计费，计费策略可灵活设置（时长计费、流量计费、按目的地址计费）；企业多出口链路场景下的负载均衡、灵活选路需求。

传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑，支持这些业务存在园区网络分散建设、重复投资的问题。

(五)缺乏简单有效的网络管理系统，企业IT网络运维部门面临很大压力：当前，企业网IT运维部门面临很大的网络运维压力，来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象，网络故障诊断、分析定位过程对于IT运维人员的技术能力和经验水平要求较高，缺乏简单有效/低成本的图形化网管工具、进行实时网络拓扑显示、状态监控和各种故障事件预警/告警展示。

园区网网关放接入交换机还是汇聚交换机好?参考思路：1、传统园区网网络架构介绍(接入-汇聚-核心)；2、网关放汇聚交换机组网模型及优缺点分析(可靠性、成本、扩展性等方面)；(1)MSTP+VRRP模型(2)iStack模型3、网关放接入交换机模型分析：4、结论在这里，若准备了VXlan等大二层技术的同学，可以分析下VXIan场景下网关放接入和汇聚的优缺点。

(详见视频和宝典)。

现网的网关部署一般为：传统网络位于汇聚，VXIan网络位于接入(分布式网关)。

参考答案：一、传统园区网网络架构介绍：园区网网络架构一般按照接入-汇聚-核心组网。

园区网接入主要接入PC、服务器等终端；汇聚主要将同一网络区域的接入交换机汇聚到一起，位于接入和核心交换机之间；核心主要用于局域网不同区域之间的互联和数据交换。

二、网关放汇聚交换机组网模型及优缺点分析2.1MSTP+VRRP(1)相关概念MSTP,相比RSTP可实现不同VLAN间的负载均衡；VRRP,一般是两台设备通过配置相同的VirtUaIIP地址实现网关冗余。

常见于服务器或者客户端网关地址、防火墙对外提供服务地址。

(2)模型介绍该组网模型,我们将网关放在汇聚交换机,通过VRRP提供冗余。

以Vkmlo为例,VlaniflO网关VlaniflO地址为172.16.10.254,通过设置SWl和SW2上的优先级使得SWl为vlaniflθ的InaSter设备，同理SW2为VIanif20的InaSter 设备。

配合MSTP 可实现SW3访问VIanlo网关路径为SW3-SW1,访问vlan20网关路径为SW3-SW2,,(3)优缺点分析优点：①可靠性：实现网关的冗余，SWl 和SW2单台设备故障不长时间影响SW3与外部网络的通信。

②成本：SW3等接入交换机因仅用作二层接入，且接入交换机因数量较大。

整体的采购成本相对较低。

③扩展性：同一网段PC 可以在任意接入交换机接入到该网络中(接口Vlan 等配置正常的情况下)缺点：①接入交换机上行链路使用率：如上图，SW3的instancelθ将阻塞与SW2互联接口， instance20将阻塞与SWl 互联的接口，从而导致同一实例vlan 对应链路的使用率相对差一 些。