智能弹性架构在中小型网络规划与设计中的应用
——以某基层法院网络升级和改造为例

◎王振邦

2005年底，省高院完成了至各地市中院、宁波海事法院的二级专网建设， 2006年底，完成了三级专网的建设，至此全省三级法院全部实现了联网，2010年，对全省法院三级专网进行扩容改造。经过扩容改造后，目前省法院三级专网网络结构拓扑图如图1：

图1 省法院三级专网网络结构拓扑图

现省高院到各中院2M SDH链路，用于召开视频会议；另一条联通4M MSTP，用于远程庭审、数字法庭直播点播；一条电信10M MSTP链路，用于数据传输，同时这条链路也作为视频会议和远程庭审的备份链路。各中院到本地区基层法院在现有两条链路，分别为2M SDH和4M MSTP专线链路，实现数据链路与视频链路的分离。目前全网使用动态路由器OSPF协议，省高院核心路由器及市院上联路由设备放在AREA 0中，其余每个市院下联路由设备及下属基层院路由设备单独设置成一个AREA，各院局域网不参与到OSPF中。

根据省高院的指导性要求，基层法院必须建立一个能为其业务系统提供强有力保证的，并且稳定、可靠、高速的网络系统。

智能弹性架构，即IRF（Intelligent Resilient Framework），是H3C公司推出的创新性建设网络核心的新技术。通过IRF，以太网核心和汇聚主干可以实现高可用性、高可扩展性的特点。运用IRF技术，以一个逻辑交换实体的形式将多台千兆三层交换机互联在一起，形成分布式交换架构实现运行。在管理和配置多台运用IRF技术的分布式交换架构时，就像在和一台交换设备打交道。

一、项目存在问题

针对省高院对专网建设的要求，以及我们对某县基层法院现有网络的调研，发现某县基层法院网络存在以下问题：

（一） 原整个基层法院网络的网关均集中在核心交换机上

采用二层集中架构，广播带宽占用了骨干链路较多的带宽资源，本次升级改造，在接入交换机启用三层路由协议，网关下移到接入交换机上，通过路由互联减少骨干链路的广播带宽。

（二）OSPF区域类型设置不合理

对基院的中低端设备性能消耗较大，目前中院及基层院的广域网接入设备的性能普遍较低，且现网路由表规模大，对于网络变化产生的收敛速度慢，平时运行中出现设备性能吃紧，建议将修改OSPF区域类型，减低路由表规模，加快路由收敛速度，减轻设备压力。

（三）带宽不够，视频会议和远程庭审网络质量欠缺

当前视频技术快速发展，高清视频流对网络质量（带宽、时延、抖动、丢包率等）要求较高，现网带宽已无法满足法院视频业务的需求；建议增加网络带宽，以满足视频业务的快速发展需求。

（四）设备老化严重，设备性能、功能上与现在的主流设备相比，相差甚远

某县基层法院网络接入交换机已使用近13年，设备严重老化，已经超出了设备生命周期，经常出现故障，部分设备市面上已经停产，出现故障时将得不到及时的维修与更换，需要全部更换。

（五）网络访问控制不严

目前存在网络访问控制不严，导致非业务流量的产生并占用大量网络资源，影响正常的业务应用；建议严格限制各单位之间的访问。

（六）一台核心交换机给用户带来单点故障问题

由于原网络只有一台核心交换机，一旦出现故障，也就是单点核心交换机故障，那么，整个县基层信息系统均会瘫痪，造成重大影响，需要新增加一台核心交换机作冗余架构，并部署IRF技术。

二、项目设计规划原则

（一）先进性原则

技术上采用IRF智能弹性架构网络技术和主流的网络设备，确保对数据、语音、视频业务的全面支撑，并适度考虑前瞻。

（二）稳定性原则

三级专网必须具有很高的可靠性和稳定性，以满足法院业务对基础网络日益提高的稳定性要求，充分考虑了线路备份、设备备份、模块备份和路由冗余备份。

（三）安全和保密性原则

设计过程中必须依据国家各项法规政策，在网络建构上划分相应的区域，在硬件设备上考虑相应模块，使得在基本网络层就具有很高的安全性，并能与保密系统建设相衔接。

（四）易管性原则

网络维护管理必须最大可能的简单、便捷，能方便的维护并管理三级专网的设备状况和链路情况。

（五）科学性原则

对业务数据流进行负载平摊或分流，将现有资源尽量做到互备方式，防止部分设备或者链路空载。

三、核心层设计

核心层是整个网络的中心，直接决定整个系统的运行效率，设备方面，本次网络改造采用2台H3C的S7508E-X交换机，通过IRF的千兆链路边接提供核心千兆的高带宽，实现双机热备。这样，实现设备冗余的同时，还提高了这些网络设备的性能和实现网络管理的简化。这一技术的使用，不仅增加了网络设备之间连接链路的带宽，还同时实现了链路与设备的冗余，从而避免了单核心出现故障导致整个基层法院不能使用网络的问题，从而实现了增加网络可靠性的目的。

要形成一个IRF，需要先连接成员设备的IRF物理端口。IRF端口的连接是基于IRF物理端口的连接而建立的，因此需要将IRF端口和IRF物理端口对应起来，即将IRF端口和IRF物理端口进行绑定。一个IRF端口可以对应一个IRF物理端口，也可以通过对应多个IRF物理端口来实现聚合IRF端口，以达到链路备份和扩展带宽的效果。

本案例中通过对2台H3C的S7508E-X交换机使用10G SFP堆叠模块的方式，使其在成员设备间进行连接。

根据图2所示，将设备S7508E-X上 的TengigabitEthernet1/0/1与TengigabitEthernet1/0/2进行绑定，将另一台设备S7508E-X上的TengigabitEthernet1/0/3和TengigabitEthernet1/0/4进行绑定，然后将两台设备各自绑定好的IRF端口通过10G IRF物理端口与同一个IRF端口进行绑定，实现聚合IRF端口。在进行成员设备的连接时，本设备上与IRF-Port1绑定的IRF物理端口只能和邻居成员设备IRF-Port2口上绑定的IRF物理端口相连，本设备上与IRF-Port2口绑定的IRF物理端口只能和邻居成员设备IRF-Port1口上绑定的IRF物理端口相连，如图2所示。

图2 IRF物理连接图

Device A为原H3C S7508E-X设备，为消除核心交换机的单点故障，并将转发能力提高一倍，需要另外增加一台Device B新的H3C S7508E-X设备。

鉴于IRF虚拟化技术具有管理简便、网络扩展能力强、可靠性高等优点，所以本例使用IRF技术构建网络汇聚层（即在Device A和Device B上配置IRF功能），接入层设备通过聚合双链路上行。

为了防止万一IRF链路故障导致IRF分裂、网络中存在两个配置冲突的IRF，需要启用MAD检测功能。因为成员设备比较少，采用BFD MAD检测方式来监测IRF的状态。

针对OSPF区域类型设置不合理，对基层法院的中低端设备性能消耗较大等问题。在核心层中采用动态OSPF，这是因为RIP路由协议存在路数的限制和会产生环路的问题，而OSPF路由协议不存在以上问题，在交互路由时是采用增量更新的方式，这些都是OSPF动态路由的优势。为了节省网络带宽资源与加强网络可靠性，在连接接入用户的VLAN虚接口设置成被动接口，使其不能发送OSPF协议报文，节省网络带宽资源的同时，防止路由信息泄漏，给基层法院网络的可靠性又增加了一道屏障。

四、网络安全部署

在整个网络中，基层法院服务器和法院大楼内的计算机和所有下级单位均要求访问全国的法院专网；而其他单位只 能访问某县基层法院开发的服务器资源。

基于以上特征，在某县基层法院核心交换机的上行端口部署了2台迪普的万兆防火墙，并开启如下功能：

将员工网络、公司服务器网络、外部网络划分到不同安全区域，对安全区域间的流量进行检测和保护。

图3 项目配置示意图

根据对外提供的网络服务的类型开启相应的内容安全防护功能。例如文件服务器开启文件过滤和数据过滤，针对邮件服务器开启邮件过滤，并且针对所有服务器开启反病毒和入侵防御。

开启DDoS防御功能，抵抗外网主机对内网服务器进行的大流量攻击，保证企业业务的正常开展。

对内外网之间的流量部署带宽策略，控制流量带宽和连接数，避免网络拥塞，同时也可辅助进行DDoS攻击的防御。

五、结语