二层网络规划，说说你们现在常用的二层技术

1.1 ⼆层⽹络规划（Layer2）

通常部署相同应⽤的服务器要求在同⼆层⼴播域内。⽅便业务的部署，扩展和搬迁，要求数据中⼼之间服务器尽量⼆层可达。如上⾯所述，传统的数据中⼼通常通过按照分区划分⼆层⽹络，即每个分区是⼀个⼆层⼴播域。

云计算在数据中⼼⼴泛应⽤，要求服务器资源⼤范围资源共享、虚拟机⼤范围迁移。因此数据中⼼的⽹络具备灵活的⼆层扩展能⼒。但基于xSTP的⼆层⽹络⽹络技术在扩展和可靠性存在很多缺陷。很多解决⼆层扩展能⼒技术出现，包括基于设备的虚拟化的CSS/iStack, 基于传统以太扩展的TRILL，基于IP的overlay技术vxlan等。

⼆层⽹络范围和采⽤什么⼆层技术，是数据中⼼基础⽹络的关键。

1.1.1 ⼆层部署规划建议

从业务发展的趋势看，数据中⼼内部⽹络必须具备灵活的⼆层扩展能⼒。保证业务灵活部署和扩展，以及资源的更⼤范围共享。

⼆层⽹络设计需要综合考虑设备能⼒，可靠性，业务安全。因此⼆层⽹络规模不能太⼤。建议⼤型数据中⼼划分为少量⼏个⼤型业务分区。以业务分区为单位构建⼆层⽹络区域，业务分区之间按需实现⼆层连接。典型组⽹如下图所⽰：

业务分区内部⼆层构建⽅案详见下⾯的⼏节。分区间之间⼆层可以应⽤VXLAN或者EVN等技术。

1.1.2 ⼆层技术⽐较

⽐较项线路利⽤率

堆叠SVFTRILL（CSS/iStack）

低，需要阻塞⾼，但是只适⽤⾼，可⽀持⾼部分线路于星形⽹络xSTP⽹络

需要运⾏xSTP协议避环⼀般

⼀般，⽹络规模受节点数和节点深度的限制

VXLAN⾼

⼆层环路问题可靠性扩展性

需要搭建星形⽹通过设备内络部私有协议

实现

⾼⼀般

⼀般，CSS只⽀⼀般，受限持两台设备于设备实现通过运⾏内基于IP的协

置ISIS协议避议实现路径环计算⾼⾼好，可以组好建较⼤⽹络

1.2 设备虚拟化组⽹⽅案规划

1.2.1 跨设备链路聚合（M-LAG）组⽹⽅案

跨设备链路聚合即M-LAG，英⽂全称(Multi-Chassis Link Aggregation Group)，是⼀种跨⽹络设备的⼆层端⼝虚拟化技术，两个设备有独⽴的控制平⾯，但⽀持把两个设备的端⼝组成链路捆绑。

如上图所⽰，M-LAG配对交换机对外提供M-LAG接⼝，⽤于接⼊⼆层业务；M-LAG配对交换机之间部署Peer-Link，⽤于MC-LAG协议消息交互，以及设备间横向业务流量转发；从三层视⾓看，M-LAG的配对设备⼜是两个独⽴的设备，可以⽀持独⽴的⽹管，并作为独⽴的OSPF路由节点。同时，M-LAG⽀持本地优先转发，最⼤程度减少M-LAG配对设备之间的东西向流量。M-LAG⽀持双主检测，由于两台配对设备为独⽴设备，因此通过带内或者带外的IP可达检测即可达到⽬的，不需要为此另外加线缆。M-LAG组⽹建议

组⽹⽅案⼀：汇聚层使能M-LAG功能

通过跨设备端⼝虚拟化技术（M-LAG），实现汇聚层和接⼊层交换机之间的⽹络逻辑⽆环化，取代STP。汇聚层两台交换机配对，汇聚交换机之间横向链路配置为peer-link。两台汇聚交换机下⾏连接同⼀接⼊交换机的端⼝配置为跨框的ETH-trunk.

这种设计相对传统的STP断点保护，逻辑拓扑更加清晰、链路利⽤更加⾼效。M-LAG的配对设备，控制平⾯和管理平⾯独⽴，只有协议⾯的耦合，理论上可靠性相对堆叠更⾼，还提供设备独⽴升级的能⼒，带来维护的⽅便性。

组⽹⽅案⼆：接⼊层使能M-LAG功能

同样M-LAG技术适⽤于服务器双⽹卡要求双活接⼊的应⽤场景。服务器双活接⼊两⽹卡共享MAC。双⽹卡实现基于流的负载分担策略。因此，通过M-LAG将服务器连接的端⼝配置为ETH-Trunk，两个端⼝的MAC和ARP表项同步。M-LAG可以结合普通以太，TRILL，VXLAN等技术实现服务器双活接⼊。【M-LAG部署应⽤限制：

组成M-LAG的两端设备类型要保持⼀致。如⼀端是SVF系统，另⼀端要求必须也是SVF系统。组成M-LAG的两端设备的桥ID要配置相同，根优先级都配置为最⾼。

组成M-LAG的两台设备配置为SVF系统时CE必须同时接⼊⽗交换机或同时接⼊叶⼦交换机。组成M-LAG的两台设备配置为SVF系统时peer-link接⼝必须配置在⽗交换机上。

组成M-LAG的两台设备配置为SVF系统时不⽀持跨SVF系统中叶⼦交换机创建Eth-trunk。如果接⼊设备通过三层接⼊到组成M-LAG的两端设备上，⽆论是双归接⼊还是单归接⼊，必须通过VRRP/VRRP6虚拟⽹关的⽅式接⼊。必须在两端设备上创建相同的VLAN，并在VLAN下启⽤VLANIF接⼝，并且VLANIF接⼝上配置的IP地址不能相同，但⽹段和掩码长度必须相同，否则掩码过长的设备上的⼀部分主机可能⽆法访问。

组成M-LAG的两端设备上不同VLAN对应的VLANIF三层接⼝不能配置相同的⽹段，也不允许两个设备上的不同类型的两个三层接⼝配置相同的⽹段。】

1.2.2 SVF组⽹⽅案

SVF即是super virtual fabric超级虚拟交换⽹是⼀种设备间的虚拟化技术。SVF相⽐CSS/iStack⽀持不同类型设备虚拟化。SVF可实现不同层次间的设备拟为⼀台设备进⾏集中管理,如汇聚和接⼊层之间，减少管理设备数量，简化⽤户运维场景，提⾼⽤户运维效率。

在SVF虚拟化系统中，设备划分为两种⾓⾊，⽗交换机和叶⼦交换机。部署在上⼀层的设备称为⽗交换机，⽗交换机扮演主控者⾓⾊，负责整个系统的控制和管理和转发。部置下层设备设备，称为叶⼦交换机。叶⼦交换机为纵向扩展设备，作为远程接⼝板接⼊⽗交换机，相当于⽗交换机的端⼝拉远，端⼝⽤于连接服务器。SVF组⽹建议

SVF技术主要应⽤于分区内部简化布线和管理。机架供电密度提升，单机架可部署的服务器的数量⼤幅增长。如果采⽤传统的EoR或者MOR部署模式，布线密度太⾼，⽆法进⾏管理和维

护。为解决这个问题必须引⼊ToR的布线模式，ToR解决了布线复杂度问题，但需要部署更多的设备，管理⽹元增多，引⼊⽹络设备的管理和维护问题。SVF技术可以同时解决以上ToR和EoR部署⾯临的问题。解决这个问题有两种组⽹⽅案。典型组⽹⽅案⼀

汇聚层和接⼊层之间增加汇接层。汇接层和接⼊层之间组成SVF虚拟化集群. 具体的物理组⽹如下图所⽰，汇接层设备部署在列头柜（EoR）或MoR⽹络柜，接⼊层部署在服务器机架内。这种组⽹模式下，通过该组⽹⽅案两台汇接层交换机作为⽗交换机，服务器的架顶交换机作为叶⼦节点。

建议⽗交换机选择CE6800和CE7800系列盒式设备。具体设备选型根椐服务器类型，规模和业务的流量收敛⽐等多个因素确定。千兆服务器的机架，叶⼦交换机采⽤CE5800系列交换机。万兆服务器机架，叶⼦交换机建议采⽤CE6800系列交换机。

以CE6800/CE7800作为⽗交换机组⽹，为保证组⽹的可靠性，建议两台⽗交换机间建⽴iStack集群。叶⼦节点双归到两台汇接交换机,汇接层和接⼊层整体形成⼀个SVF系统。

典型组⽹⽅案⼆

整个机房模块内部的汇聚层和接⼊层组成SVF⼦系统，即整个POD或者分区内部虚拟化为⼀台逻辑交换机进⾏管理。具体物理部署结构如下图所⽰，接⼊交换机部署在服务器机架的架顶，汇聚层部署在机房的⽹络区域机架。

汇聚层部署CE12800系列，汇聚层作为SVF系统的⽗交换机。接⼊交换机需根据服务器的类型选择CE6800或者CE5800系列交换机。

整个机房模块部署SVF系统，因此⽗交换机出现故障直接影响机房模块的业务服务。建议在两台汇聚交换机分别组成两个独⽴的SVF⼦系统。服务器双⽹卡需要连接到属于不同⼦系统的两条接⼊交换机。具体拓扑如下图所⽰。

两个SVF系统之间配置跨⼦系统的ETH-TRUNK即M-LAG技术，实现冗余备份。两台交换机通过10GE或者40GE链路连接。互连链路配置为ETH-TRUNK，作为M-LAG的peer-link。M-LAG在为服务器流量提供负载分担的同时，也通过链路备份保证了⾼可靠性。当某⼀侧的链路或交换机故障时，服务器流量将切换⾄另⼀条链路。

注：使⽤SVF之后，可能导致部分业务特性，详见SVF配置⼿册和⽩⽪书。CE12800交换机作为⽗交换机当前不⽀持叶⼦节点双归到两台CE12800设备。

1.2.3 CSS/iStack组⽹⽅案

CSS（Cluster Switch System）：集群交换机系统，是⽹络虚拟化的⼀种形态。其通过把多台⽀持集群的交换机链接起来，从⽽组成⼀台更⼤的交换机。CSS的典型特征有：

1、 交换机多虚⼀：CSS对外表现为⼀台逻辑交换机，控制平⾯合⼀，统⼀管理。2、 转发平⾯合⼀：CSS内物理设备转发平⾯合⼀，转发信息共享并实时同步。

3、 跨设备链路聚合：跨CSS内物理设备的链路被聚合成⼀个TRUNK端⼝，和下游设备实现互联。

CSS/iStack组⽹建议

基于CSS/iStack典于组⽹结构如下图：部署⽅案：

l 通过堆叠（iStack）/集群（CSS，Cluster Switch System，交换机集群系统l 技术保证节点的可靠性；⼀台设备故障后，另外⼀台设备⾃动接管所有的业务。

l CSS LAG iStack 端到端可靠性架构打造⽆间断数据中⼼，保证业务持续运营。l 多台接⼊层堆叠，2台汇聚层集群。

l 接⼊与汇聚间采⽤多条10GE或40GE链路全mesh连接，保障链路⾼可靠。l 汇聚与核⼼间采⽤⾼速40GE链路全mesh连接，确保汇聚到核⼼⽆阻塞转发。⽅案特⾊：

l ⽆环以太⽹简化⽹络架构，收敛时间远优于xSTP，收敛时间达到ms级。

l 提升链路利⽤率，采⽤逐流⽅式负载均衡，⽀持不同负载分担⽅式，⼆层报⽂，IP报⽂。l 转发⽀持本地优先转发策略，减少设备间转发。

l 配置简单，不易引⼊配置故障，不需要配置多数可靠性的协议，如VRRP等,减化配置和维护⼯作量，减少出错的机率。

l 链路的可靠性保证，通过Trunk技术， ⼀条或多条链路故障后,流量⾃动切换到其他正常链路。

1.2.4 VS组⽹⽅案

CE12800系列提供VS（Virtual System）功能，可以将单台设备切分成多台虚拟设备使⽤，这些虚拟设备共⽤整机基础部件，但可以当作多台真实的交换机来部署。通过对设备的灵活切分，可以通过⼀组设备构建出多张逻辑⽹络，有效⽀持⽹络的虚拟化。华为VS技术提供的1:8-1：16设备虚拟化能⼒，满⾜多业务区（如⽣产区、办公区、DMZ区等）或多租户共享核⼼交换机的需求。

VS组⽹建议

在实际部署过程中，部分分区的⽹络规模⽐较⼩，可以将核⼼层和汇聚层部署在VS系统上，共⽤⼀组物理交换机。这样既不改动原有的分区结构与业务结构，保留原有的⽹络模型，⼜能减少⽹络**，简化运维。

图表 3?5纵向核⼼汇聚融合组⽹图

通常企业可能会有多张相互独⽴的⽹络，分别运⾏不同的业务(例如⽣产⽹和办公⽹) 。两张⽹需要四台核⼼交换机，**⼤，但资源利⽤率相对较低。部署VS 技术，两张⽹络在核⼼层共⽤两台物理交换机、独享不同的VS，既能实现⽹络隔离，⼜能充分灵活利⽤设备资源。图表 3?6横向多⽹核⼼融合组⽹图

1.3 VXLAN组⽹⽅案规划

1.3.1 VXLAN技术概述

传统的数据中⼼业务分区⽹络⼀般采⽤汇聚-接⼊两层架构，业务⽹关⼀般部署于汇聚设备，在传统⼆层组⽹中，⼀般使⽤STP＋VRRP的⽅案达到破环效果，但该⽅案有收敛速度慢，链路利⽤率低,配置复杂等问题，并且⽹络规模受限。为什么需要引⼊VXLAN技术？

第⼀、 应⽤需要⼆层⽹络。1）应⽤节点没有DNS和SNAT改造，所以⼀类应⽤节点必须固定在⼀个⼆层⽹和Subnet下。如果不实施⼤⼆层，⽽改为⼀个TOR⼀个⼆层域，则每⼀类应⽤节点必须限定在某⼀台TOR上，且存在扩展上限。⽆法实现灵活部署、动态绑定。 2）虚拟机与物理机的HA，Oracle RAC双活，虚拟机vMotion等业务都需要⼆层。

第⼆、 需要⼤⼆层：1）⼤⼆层主要来源于规模资源下应⽤灵活弹性和充分共享的诉求，即当前分区过多，难以实现多个应⽤系统资源共享。因此部署⼤⼆层可实现规模资源下应⽤系统的灵活部署。2）⼤⼆层规模实践经验是4000台物理机（参考华为廊坊基地），因此共享资源的范围不需要太⼤，⼀个⽹5000台以内即可。第三、 为什么要引⼊VXLAN架构。

（1）⾸先是扁平化、⾼可扩展性以及规模的组⽹能⼒诉求选取了Spine-leaf架构，由于⽹络仍需⼆层⽹络（⽆法像百度构建三层的Spine-Leaf架构），则在此类⽹络架构的技术⽬前只有TRILL和VXLAN。

此外，VXLAN技术本⾝具有下列特点：

l ⽹络依赖⼩，基于IP的overlay，仅需要边界设备间IP可达。l 环路避免，隧道间⽔平分割、IP overlay TTL避免环路。l ⾼效转发，数据流量基于IP路由 SPF及ECMP快速转发。l 虚拟化，Overlay VNI构建虚拟⽹络，⽀持多达16Ｍ的虚拟⽹络。l 物理设备、vSwitch均能够部署，部署灵活。

1.3.2 VXLAN组⽹设计

VXLAN技术的典型组⽹如下图所⽰。基础⽹络⾻⼲和叶⼦两层架构即spine-leaf架构，spine层和Leaf之间纯IP的⽹络，通过IP的多链路负载均衡，可以实现低收敛⽐甚⾄⽆阻塞。Leaf交换机部署为VTEP接⼊物理服务器或者虚拟化服务器。

VXLAN的部署范围有两种模式，整个数据中⼼或分区内部。VXLAN域限制在物理分区内部署，这种模式Board-Leaf连接核⼼交换机，分区之间通过IP直接通信。整个数据中⼼模式Board-Leaf直接接出⼝路由器。

⽹关，防⽕墙，负载均衡等增值服务设备部署，可以灵活部署，可以在spine，Leaf层，独⽴⽹络服务区域等。

1.3.3 VXLAN⽹关设计建议

⽹关独⽴部署

⽹关与基础⽹络分离，基础⽹络内部只作⼆层交换，部署独⽴⽹关设备处理不同⼦⽹间和南北⽅向的流量。该模式⽹关⽔平扩展，提升⽹络的弹性扩展能⼒。

典型组⽹如下图所⽰，⽹关，负载均衡（LB），防⽕墙(FW)等⽹络增值服务部署在独⽴的业务区域。⽹络服务设备通过独⽴的交换机连接VXLAN⽹络，这些交换机通常称为Service Leaf。Service Leaf作为VXLAN的三层⽹关，实现跨VXLAN的报⽂交换。该⽅案可以通过增加⽹关设备，解决⽹关设备ARP等表项的性能和容量。多对⽹关按照租户或者VLAN/VNI进⾏业务划分。

⽹关独⽴部署⽅式另⼀典型组⽹如下图所⽰，⽹关和边界结点（BoarderLeaf）融合在同⼀设备。⽹关设备兼作南北和跨⼦⽹的业务⽹关。该组⽹⽅式适⽤于以向北流量为主的应⽤场景。⽹关独⽴部署适⽤于可靠性要求⾼，Fabric⽹络规模⼤，服务器接⼊数量有弹性增长需求的场景。

⽹关部署在SPINE节点

⽹关部署在⾻⼲交换机（SPINE）,与传统服务器分区模式⼀致，⽹关集中部署在分区的汇聚点。这种模式下防⽕墙和LB等⽹络服务设备通常旁挂⾻⼲交换机。

适⽤场景：

适合于中⼩数据中⼼、接⼊服务器规模不⼤的场景，如管理分区，开发测试区等。

⽹关部署在Leaf

所有的业务⽹关部署在就近的连接交换机上，实现业务就近选择⽹关。同⼀Leaf节点下的主机通信都在Leaf节点本地交换，相⽐其他⽅案路径最优。但⽹关部署Leaf，对Leaf节点配置要求⾼.Leaf上要保保存业务的主机路由，需要设备⽀持更⼤的路由表规格和VXLAN三层⽹关功能。同⼀个⼦⽹的⽹关需要配置在多个设备上，虚拟机迁移需要同进迁移ACL，策略路由，包过滤配置等。配置和维护复杂，并且与传统⽹络运维模式不⼀样。

⽹关部署在Leaf⽅案，适⽤于跨⼦⽹东西向流量⼤应⽤场景如Headoop集群。

1.3.4 VTEP部署设计建议

硬件交换机(Leaf)模式

VXLAN的VTEP部署在Leaf（TOR）上，实现VXLAN封装与解封装。物理服务器和虚拟化服务器都通过VLAN接⼊物理交换机，根椐Port和VLAN映射到VXLAN的VNI。同时VXLAN的三层⽹关部署在物理交换机上，这种⽅式俗称为纯硬模式。组⽹如下图：

VTEP部署在Leaf节点，可以兼容不同的虚拟化软件⼚商。运维模式与传统⽹络⼀致。⽹络性能相⽐软件vSwitch作为VTEP性能⾼。

软件vSwitch模式

虚拟化服务器直接在vSwitch作VXLAN的报⽂封装，即vSwitch作为VTEP。只有物理服务器连接的硬件交换机实现VXLAN报⽂封装功能。这种⽅式称为混合模式。

VTEP部署在vSwitch上，可以兼容不同物理⽹络，可以⽀持传统⽹络演进到VXLAN组⽹。

性能运维

软件vSwitch模式硬件交换机(Leaf)模式

增加10-20%负荷线速界⾯不清晰：虚拟化参与运维界⾯保持不变：业务转发；由于ToR必须vSwitch维持原有功能不⽀持VTEP⽹关，软硬件变，硬件新增功能；都参与业务转发，两个界

⾯都需维护；

难于适配多个虚拟化平台可适配多个虚拟化平台；

兼容性

VTEP部署在硬件交换机的⽅案适⽤于使⽤多虚拟化平台应⽤场景。VTEP部署在vSwitch适⽤于单⼀虚拟化平台，或者利旧当前⽹络设备的应⽤场景。

1.3.5 服务器接⼊⽅案

物理服务器或者虚拟化服务器要求基于流的⽅式实现。服务器⽹卡双归到两台Leaf交换机。为保证两台Leaf交换机同步MAC和ARP表项。

⽅案⼀：Leaf交换机iStack堆叠，⽀持服务器主备/双活⽅式接⼊，以简化运维。

⽅案⼆：Leaf交换机配置M-LAG，⽀持服务器双活和接⼊，详见M-LAG的⽅案设计建议部分。

1.3.6 VXLAN控制⾯设计

VXLAN标准对控制没有统⼀规定，控制⾯可集中在SDN控制器或下沉到⽹络设备。1） 控制⾯下沉模式，参见下图。

TOR收到免费ARP（Gratuitous ARP）后，进⾏头端复制，⽹关收到GARP之后，触发⽣成主机路由。 TOR（leaf）通过BGP同步⽹关⽣成的主机表项（ip mac vtep vni）。 TOR(VTEP)收到本地ARP请求，查看本地是否有ARP表项：

如果请求的是本地服务器（主机路由是本地⽣成），则在本地⼴播。 如果请求的是远端地服务器（主机路由是远端⽣成），则封装为VXLAN单播报⽂，发送到远端NVE。

远端设备收到ARP请求后在本地⼴播。 如果找不到表项，根据设备隧道表（VNI，VTEP IPList）进⾏头端复制⼴播。

适⽤于私有云数据中⼼，对可靠性、运维要求⾼、服务器规模不⼤的场景。

2） 控制⾯集中模式，参见下图。

采⽤overlay控制⾯全部提升到控制器上（即隧道表，ARP，MAC全部都由控制器下发），控制器具备带内（数据⾯）虚拟感知（MAC接⼊） 能⼒。适⽤于互联⽹公有云、对服务器接⼊规模⼤的场景。

1.4 TRILL组⽹⽅案规划

1.4.1 TRILL技术概述

传统⼆层⽹络需要配置MSTP、RRPP等破环协议阻断环路，从⽽使⼤量冗余链路⽆法使⽤，对⽹络带宽形成浪费。TRILL（Transparent Interconnection of Lots of Links）是⼀种在⼆层⽹络上基于链路状态计算的路由协议，它通过扩展IS-IS协议来实现。 TRILL的部署既可以避免产⽣⼆层环路，⼜可以实现多链路的负载均衡。TRILL的特点如下：

l TRILL引⼊ISIS协议，⽣成分发树，解决⼆层环路的问题，同时增加了⼆层⽹络的灵活性l ⽀持ECMP等价多路径转发，任何⼀条路径故障，流量均可以切换到其它路径上去l 快速收敛，可以达到毫秒级

l ⾼扩展性，⽹络规模扩张容易，最⼤可以⽀持512台⽹络设备的⽹络规模l 简化了配置，并且配置灵活

1.4.2 TRILL组⽹设计

TRILL技术可以应⽤于以下⼏个场景，分区的内部的⽹络，实现分区间的⼆层连接。

业务区内部构建⼆层⽹络

数据中⼼内新建⼀个分区，分区内部服务器规模⼤，需要接⼊交换机数量较多。

采⽤TRILL等技术实现分区内部⼤⼆层。⾸先应将⽹关向上迁移⾄汇聚层，实现⼤范围VLAN的接⼊。在汇聚和接⼊之间使能TRILL特性，在互联链路上配置 为TRILL的Carrier VLAN。接⼊设备作为RB edge上配置CE VLAN 接⼊服务器。

汇聚交换机做RB spine，通过VS虚拟化为两个设备，其中TRILL VS为TRILL终结设备，⽹关VS作为南北业务和跨VLAN业务的⽹关。如果跨VLAN流量不⼤，建议采⽤内环⽹关⽅案，⽆需划分⽹关VS与TRILL VS。

⽹关VS之间配置VRRP协议，实现业务冗余倒换。通常防⽕墙旁挂连接在汇聚交换机的上⽹关VS上。

TRILL技术可充分利⽤接⼊和汇聚之间链路带宽，实现多路径负载分担。⽀持分区实现分区内部的低收敛⽐。使⽤TRILL技术⽅便业务的带宽扩展，可以⽀持将汇聚设备扩展为四台甚⾄更多。

分区内部⼆层扩展

在数据中⼼中，汇聚作为⼆三层的分界，汇聚到核⼼为三层连接。后期为了分区扩展的需要，需要在POD主业务区和POD副业务区连通⼀个⼆层的⽹络，则在原有的三层上运⾏TRILL的⽅式，提⾼线路的利⽤率和减少环路的产⽣。图1-1 TRILL⼆三层混合部署具体部署如下：

1) 核⼼与汇聚之间不但要运⾏三层，同时还需要在它们之间部署TRILL，要求核⼼、汇聚设备⽀持TRILL功能；

2) 在需要⼆层互通的分区之间运⾏TRILL，不需要互通的则仍然运⾏三层。

3) 原有业务区为传统⼆层区域，与TRILL域之间可能会存在环路，如果存在环路，需要使⽤前⾯介绍的TRILL与传统⼆层融合的⽅法来避环。

4) 分区的扩展通常需要连接⾼带宽的链路，并且需要划分单独的⼆层通道。

5) ⼆层扩展分区的⽹关通常选择业务量较⼤的分区的汇聚设备上，可以采⽤集群 VS或者VSVRRP⽅式，推荐使⽤集群 VS⽅式，这样可以避免使⽤VRRP，减少配置的复杂度。6) 另外，分区和其它的分区间则通过三层互访。

TRILL分区与传统⼆层融合

原有⼆层分区为xSTP分区，需要对该分区进⾏⼆层的扩展，⽽新的⽀持TRILL。对于这样的场景可以采⽤三种⽅式来解决。图 4?33TRILL与传统⼆层混合部署

⽅式1：边缘节点堆叠⽅式

TRILL域边缘节点设备是堆叠或者可改造为堆叠，如A、B，逻辑上形成⼀台设备。接⼊TRILL⽹络后，以堆叠设备为界，上⾯为TRILL⽹络，下⾯⽤MSTP以及堆叠技术破环，整⽹⽆环。⽹络链路/设备故障时，拓扑由TRILL或者MSTP计算⾃动收敛。⽅式2：TRILL边缘节点模拟xSTP根桥⽅式

原有⼆层⽹络接⼊TRILL域，运⾏xSTP协议进⾏破环，根桥设置在C（边缘节点），局部破环。TRILL建⽴⼆层通路，导致新环路产⽣，如路径1。

TRILL域边缘节点设备为独⽴设备，将设备D（边缘节点）配置为模拟根桥，所有边缘节点都作为根桥参与计算，新增阻塞点2，完全破环。

⽹络链路/设备故障时，拓扑由TRILL或者MSTP计算⾃动收敛。⽅式3：边缘节点配置AF⽅式：

下⾏设备双归接⼊TRILL域，边缘节点G和H之间设置优先级（可依据VLAN设置），设置H的优先级⾼于G，则新增阻塞点3，完全破除环。

H设备故障或者I到H的链路全部发⽣故障时，设备优先级倒换。下⾯表为这三种⽅式的⽐较：图 4?34TRILL三种部署综合⽐较

1.4.3 NickName设计

TRILL⽹络中的RB以nickname进⾏标识，nickname是⼀个2字节数值；Nickname相当于IP地址，⽤来唯⼀标识⼀台交换机。⼀台RB仅⽀持配置⼀个nickname，且须保证nickname全⽹唯⼀。Nickname 可以⼿动配置，也可以设备⾃动⽣成。跟随nickname的还有两个属性：

priority（优先级）、root priority（树根优先级），分别⽤于nickname冲突协商和分发树树根选举。

1）Nickname⽣成

nickname是⼀个2字节数值，使⽤随机算法⽣成2字节的随机值。为保证不冲突，将⽣成值与当前设备学习到的nickname值以及nickname保留值⽐较，如果冲突就重新计算⽣成。2）Nickname冲突协商

由于nickname可以⾃动⽣成，就可能出现两台RB产⽣相同的nickname，所以TRILL协议就提供了⼀个nickname优先级字段⽤于解决冲突。对于新⼊⽹的RB，需等待同步完现有⽹络LSDB后，确认本地Nickname和现⽹不冲突后再发布；如果冲突，则需要重新选取，避免影响现⽹中已有业务。

通常在TRILL组⽹设计中建议使⽤⼿动配置Nickname,⽅便管理和维护。建议核⼼交换机采⽤XX来做为NickName，例如：11,21等；汇聚交换机采⽤XXX来做为NickName，例如111,221等，其中第⼀个数字为核⼼的第⼀个数字，第⼆个数字为汇聚的编号，第三个则为具体的个数；接⼊交换机则采⽤XXXX，例如1101,2201等，其中第⼀个数字为核⼼的第⼀个数字，第⼆个数字为汇聚的编号，第三、四个则为具体的个数。例如核⼼为11,12，第⼀个分区的汇聚为111，112，第⼀个分区的接⼊交换机为1101,1102等。

1.4.4 TRILL⽹关设计

⽬前，由于芯⽚的限制，导致TRILL报⽂只有在出接⼝才能进⾏报⽂的解封装操作，所以到达三层⽹关接⼝需要外环。根据这样的应⽤⽅式，⽹关的部署⽅式⼤致为以下⼏种⽅式。

l VS⽅式做⽹关

交换机可以通过VS⼀虚⼆的⽅式，⼀台做TRILL的终结，另外⼀台做三层的⽹关，通过这样的⽅式解决TRILL⽹关部署的问题。图表 4?36VS⽅式做⽹关具体部署如下：

1) 在图中，在该图中部署TRILL⽹络，把上⾯的两台汇聚交换机做VS⼀虚多，虚拟成两台设备VS1、VS2；VS2做TRILL⽹络的终结，VS1做⽹关；⽬前华为⽀持该功能的设备为CE12800交换机；当然图中的VS1也可以分别使⽤⼀台单独的路由器或者交换机代替；

2) 两台汇聚交换机之间不需要线路连接；其中两台VS1之间运⾏VRRP，VRRP的⼼跳通过TRILL⽹络进⾏转发；

3) VS1和VS2之间需要根据实际应⽤的出⼝带宽和各VLAN互联流量的⼤⼩进⾏设置，通常⾄少需要设置两条甚⾄多台链路捆绑；

4) 不同VLAN之间的数据互访需要通过⽹关设备或者防⽕墙设备；⽽对外访问的数据也需要经过⽹关设备；⽹关的主备倒换主要依赖于VRRP的切换；

这种部署⽅式的特点是⽹关独⽴部署，适⽤于较⼤的⼆层⽹络规模，汇聚设备可以为独⽴的两台或者多台设备；⽽由于需要在⽹关之间运⾏VRRP协议，配置较为复杂，同时当汇聚设备较多时防⽕墙部署也较为复杂。l CSS VS⽅式做⽹关

由于上⾯的⽹关部署中存在需要部署VRRP，导致配置稍显复杂，⽽如果先通过CSS的⽅式虚拟化成⼀台，然后再VS的⽅式，则最终出现⼀台TRILL终结和⼀台⽹关的情况，从⽽不需要再进⾏VRRP的部署。

图表 4?37CSS VS⽅式做⽹关具体部署如下：

1) 在图中的TRILL⽹络中，⾸先把两台汇聚交换机做多虚⼀CSS操作，虚拟成⼀台逻辑交换机，然后对这台逻辑交换机再做VS⼀虚多，每台设备虚拟成两台设备VS1、VS2；其中VS2做TRILL⽹络的终结，VS1做⽹关；这么做可以更加合理的利⽤交换机的资源，⽬前华为⽀持该功能的设备为CE12800交换机；

2) VS1和VS2之间需要根据实际应⽤的出⼝带宽和各VLAN互联流量的⼤⼩进⾏设置，通常⾄少需要设置两条链路捆绑；不同VLAN之间的数据互访需要通过⽹关设备；对外访问的数据也需要经过⽹关设备；

这种组⽹的特点是资源重新进⾏分配，可以使分配的更加的合理，同时由于不需要再进⾏VRRP的部署，管理更加简单；该种⽅式下防⽕墙部署也⽐较⽅便。但是CSS/堆叠设备数量受限，⽬前CSS仅⽀持两台，扩展性受影响。l TRILL终结设备做⽹关

如果设备不能做VS虚拟化，则前⾯两种情况均不适⽤，但是⼜会有⼀些只有盒式设备做TRILL组⽹，需要这些设备做⽹关，可以利⽤VLAN mapping的⽅式，进⾏外环做⽹关。图表 4?38TRILL终结设备做⽹关具体部署如下：

1) 在图中的TRILL⽹络中，该汇聚交换机不做虚拟化设置，通过设置不同的VLAN，对接⼝进⾏外环操作，外环时可以使⽤多链路进⾏捆绑，以增加可靠性和带宽；这样对交换机的要求变低，使得⽬前华为CE交换机均可使⽤；

2) 根据图中所⽰，TRILL报⽂经过VLan100后，去掉TRILL头，变成了普通的⼆层报⽂，发送到VLan101中，然后到达⽹关，再经过三层进⾏转发；

3) 三层报⽂经Vlan101到达Vlan100后，通过TRILL发送给到相应的设备；

4) 在两台设备之间需要使⽤VRRP协议，⼼跳报⽂仍然是需要经过TRILL进⾏转发；同样不同VLAN之间的数据互访需要通过⽹关设备；

5) 对外访问的数据也需要经过⽹关设备；⽹关的主备倒换主要依赖与VRRP的切换；这种组⽹⽅式的特点是不⽀持VS的交换机也可以做⽹关，但是缺点是需要⽤掉⼏乎⼀倍的VLAN，同时配置稍显复杂，逻辑上清晰度不够。l ⽹关和RB设备合并部署（V1R510⽀持）

DRB设备⽆需VS虚拟化，在DRB接⼝上配置CE VLAN的三层接⼝，承担业务⽹关。

1.4.5 服务器接⼊设计

通常为了增加服务器的带宽，采取对服务器的⽹卡进⾏绑定的⽅式接⼊到TRILL中。服务器双活接⼊（使能nic teaming，基于MAC负载分担），两台设备同时学到相同MAC，MAC漂移。这种MAC漂移⼀般被认为是⽹络异常，可以通过改变接⼝MAC优先级等⽅法来规避该问题，但这样与VM迁移的要求⽭盾；或者在MAC漂移后认为发⽣环路⽽关闭接⼝，与双归接⼊的要求⽭盾。TRILL域以nickname做转发标识，两台接⼊设备配置同⼀虚拟nickname，在TRILL转发层⾯逻辑上形成⼀个转发节点，链路1和链路2形成负载分担链路。图表 4?39服务器双归接⼊到TRILL

双活接⼊设备中间有以太链路连接，被称为Peer-link。该链路实现两台设备之间传递协议报⽂，包括但不限于TRILL双活配对报⽂、E-Trunk同步报⽂、MAC同步报⽂、组播信息同步报⽂，同时还承载部分数据报⽂。

双归接⼊设备采⽤虚拟nickname作为转发标识，单归接⼊设备采⽤物理nickname作为转发标识（注：RB为CE128时，单归设备转发同样采⽤虚拟nickname，此时转发单归设备转发模型与双归设备相近。）