网络工程师案例分析每日一练试题 2021 10 28

案例背景
某大型企业计划对其总部园区网络进行升级改造，原网络为传统的三层架构（核心-汇聚-接入），存在设备老化、带宽瓶颈、无线覆盖不均、运维复杂等问题。新网络规划采用全万兆骨干、SDN（软件定义网络） overlay 方案、并部署新一代无线控制器与高密度AP，以实现业务灵活部署、简化运维及提升用户体验的目标。

网络拓扑与需求摘要
1. 核心层：部署两台高性能核心交换机，采用虚拟化技术（如堆叠或CSS）形成逻辑单一核心，负责高速数据交换及作为SDN控制器与Underlay网络的锚点。
2. 汇聚/接入层：各楼层接入交换机通过万兆光纤双归上联至两台核心交换机。计划在汇聚层启用EVPN（Ethernet VPN）作为VXLAN的控制平面，实现跨三层的大二层网络，满足虚拟机迁移和业务灵活部署需求。
3. 无线网络：部署无线控制器（AC）采用旁挂模式，核心交换机作为DHCP服务器并为AP提供网关。要求实现SSID与业务VLAN的灵活绑定，并针对访客网络进行隔离与限速。
4. 出口与安全：出口部署下一代防火墙，连接运营商线路。需配置路由策略、NAT及基础安全防护。内部服务器区需进行安全策略隔离。
5. 管理运维：计划引入SDN控制器和网络分析工具，实现配置自动化、策略统一下发和网络状态可视化。

试题问题
1. 在SDN overlay方案中，EVPN相比传统MLAG（跨设备链路聚合）+ VXLAN方案，在控制平面有何主要优势？请简要说明。
2. 为实现无线访客网络与内部员工网络的严格隔离（防止二层互通），在AC或交换机上可以采取哪些关键配置？（至少列出两点）
3. 若核心交换机作为DHCP服务器，为AP和无线终端分配地址。请简述在核心交换机上需要为AP管理VLAN和员工业务VLAN分别配置DHCP地址池的关键步骤或注意事项。
4. 在网络升级割接过程中，为最小化业务影响，通常可采用哪些割接策略或技术？请列举两种。

参考答案与解析要点

问题1解析
EVPN作为VXLAN的控制平面，其核心优势在于集中式、基于BGP协议的控制与学习。传统方案中，VXLAN隧道端点（VTEP）之间的隧道建立和主机MAC/IP地址学习依赖数据平面的泛洪与学习（Flood & Learn），效率较低且扩展性差。EVPN通过MP-BGP协议在控制平面分发VTEP的IP地址、主机MAC地址、IP地址以及所属VNI（VXLAN网络标识符）信息，实现了：

• 免泛洪学习：减少了不必要的BUM（广播、未知单播、组播）流量。
• 精准转发：VTEP之间预先建立VXLAN隧道，并精确知晓远端主机位置，实现最优转发。
• 活跃-活跃多归属：支持终端多归接入不同VTEP，并实现负载均衡与快速故障收敛，比传统的MLAG（活跃-备用）更具灵活性和可靠性。

问题2解析
关键配置包括：

1. VLAN隔离：为访客网络创建独立的VLAN和IP子网，并在连接AP的接入交换机端口上，将访客SSID对应的流量以带Tag的方式放入该VLAN。在核心或防火墙三层接口上，确保该VLAN与其他内部VLAN路由隔离（或通过ACL禁止互访）。
2. 无线用户隔离：在无线控制器（AC）上针对访客SSID启用客户端隔离（Client Isolation）功能，此功能通常在AP本地或由AC策略实现，能阻止关联到同一SSID（即同一VLAN）下的无线客户端之间直接进行二层通信，所有流量必须上送至网关进行策略检查。
3. 安全策略（补充）：在出口防火墙或核心交换机上，为访客VLAN配置严格的安全策略（ACL），仅允许其访问互联网，并明确禁止访问内部服务器及员工网段。

问题3解析
在核心交换机上配置DHCP服务器时需注意：

• AP管理VLAN地址池：

1. 创建独立的VLAN接口（如VLAN 100），并配置IP地址作为AP的网关。

1. 配置DHCP地址池，作用域为该VLAN子网。

1. 关键选项：必须在DHCP地址池中配置Option 138（或某些厂商特定Option）字段，其值为无线控制器（AC）的IP地址列表。这样AP获取IP地址后，才能自动发现并注册到AC。

1. 根据AP数量预留足够的地址空间。

• 员工业务VLAN地址池：

1. 创建对应的业务VLAN接口（如VLAN 10），配置IP地址作为无线员工的网关。

1. 配置DHCP地址池，作用域为该业务子网。

1. 关键选项：通常需要配置Option 3（路由器选项，即网关地址）、Option 6（DNS服务器地址）。

1. 根据用户规模规划地址池范围，可考虑设置租期。

注意：需确保DHCP服务已全局启用，且地址池与对应VLAN接口关联正确。

问题4解析
常用割接策略包括：

1. 分阶段割接/并行运行：将网络划分为多个逻辑区域（如按楼层、部门），分批进行割接。新旧系统可并行运行一段时间，逐步将业务流量迁移至新网络，风险可控，便于回退。
2. 冗余链路切换：利用现有网络的双上联或冗余路径，先迁移部分冗余链路至新设备，进行连通性和业务测试。确认无误后，再在计划的中断窗口内进行主链路切换，可大幅减少业务中断时间。
3. 业务低谷期操作：将主要割接操作严格安排在夜间或节假日等业务流量最低的时间段进行，最大限度降低对核心业务的影响。

****
本次案例分析涉及了现代园区网升级中的多项关键技术：SDN/EVPN VXLAN、无线网络隔离与部署、DHCP精细配置以及工程割接管理。网络工程师不仅需要理解具体技术的配置原理，更需要从整体架构和业务体验的角度进行规划设计，并具备严谨的实施方案以确保项目平稳落地。日常练习此类案例有助于巩固理论知识并提升解决实际工程问题的能力。