杨 露,程 方,李 萌
(长江三峡通航管理局,湖北 宜昌 443000)
图1 现有网络架构图
该企业目前的网络由外网区域、内网区域、DMZ区域组成,而且每一个区域都有对应的子区域。由于三个区域的业务不同,每个区域的部署逻辑也各不相同。其中,外网区域由一台外网核心交换机作为中心节点,以星型结构发散,连通该企业各办公大楼及外围站点的互联网络。其上行链路为单链路,上级设备为上网行为管理和出口防火墙。A区域连接到其他区域都为单链路。内网核心层由A区域内网核心、A区域内网汇聚、B区域内网汇聚、C区域内网汇聚组成,各区域之间相互独立,而又通过A区域核心交换机实现互联互通,核心层与汇聚层之间通过动态路由协议OSPF实现,各区域内部通过二层vlan和trunk方式实现互联[1]。DMZ区位于外网区域和内网区域之间,该区域网络由DMZ防火墙连接至DMZ交换机,通过DMZ交换机将业务数据发送至各业务服务器。
该企业网络结构呈星型结构,控制简单,任何区域只需和中心节点连接,中心节点可以方便对每个站点提供网络服务和网络重新配置,易于网络监控和管理;但是由于外网核心交换机作为中心节点,如果网络吞吐量过大会使得核心交换机承受较大的负担,交换机一旦发生宕机等故障,则该企业网络及业务将会受到影响,此外星型结构需要消耗大量的光缆,安装及维护的工作量也大大增加。
根据等保2.0的要求,考虑到核心区域需要冗余,结合该企业网络的实际需求,考虑到现有核心交换机与新购置的交换机主控版本不同,不能在原核心交换机上进行扩容配置。通过使用新购置的交换机配置成堆叠模式来替换原核心交换机,同时扩充C外网区域、B外网区域及DMZ区域的链路为双链路聚合,提升链路的冗余能力和带宽。
出口防火墙开启入侵防御功能,虽然可以实时对入侵事件进行监控和阻断,但是由于该企业互联网出口区域的上网行为管理设备以及防火墙都为单台设备,存在设备单点故障风险。考虑到互联网出口处重要性,需要改造为双设备冗余设计,本次改造拟计划采用双设备互为主备的方式进行部署。由于现有的设备不能与其他厂家的设备兼容,所以需新购置两台与原型号相同的设备进行冗余设计。
在出口链路方面,原来的主干链路只有电信迁过来的一根主干光缆,在网络长期运行过程中,也曾出现过因市政施工导致的光缆中断,从而整个网络宕机的情况。所以为了提高整体网络的稳定性,在整改过程中,采用电信和移动两家光缆线路作为出口链路,考虑到费用问题,两条出口链路的带宽不全相同,电信的先缆作为主干光缆,平时链路正常连接时作为业务主要访问通道,而移动链路作为在电信链路出现故障时候的备用链路,只能保证基本的办公需求,而无法满足大规模的业务访问。
堆叠是指将多台交换机设备通过线缆连接后组合在一起,虚拟化成一台设备,是一种横向虚拟化技术。目前,很多厂家推出了自己的堆叠技术,华为的堆叠技术称为istack与CSS,思科的堆叠技术称为vss,华三的堆叠技术称为IRF。本文主要分析华为交换机堆叠技术在该企业网络中的应用。
华为的堆叠技术分布在核心层、汇聚层以及接入层这个三个层面,其中核心层交换机与汇聚层交换机都是采用CSS集群技术,在接入层采用iStack堆叠技术,各设备层之间采用Eth-Trunk链路聚合技术,高效地对各个层面进行传输链接,华为的堆叠技术优势总结如下。
3.1.1 网络拓扑结构简单
核心层、汇聚层以及接入层每个层面之间均采用了华为的堆叠技术,网络拓扑结构简单明了,xSTP破坏协议不需要重新架构,各个层面之间互不影响,逻辑设备少。
3.1.2 堆叠技术可靠性高
华为的堆叠技术将CSS集群技术、iStack堆叠技术与Eth-Trunk链路聚合技术组合使用,使得核心层、汇聚层以及接入层三个层面的设备两两配接入到组网中,当其中一条链路或者一台设备出现故障,不会对另一条链路或者设备的运行造成影响,更不会影响到整个网络的数据传输,极大地提升了整个网络的效率和可靠性。
3.1.3 Eth-Trunk链路聚合技术的高效性
核心层、汇聚层以及接入层每个层面之间的链接采用了Eth-Trunk链路聚合技术,完善了传统的一对一或者一对多的交互方式,Eth-Trunk链路聚合技术让各个设备之间交互更加灵活,链路利用率显著提高,同时Eth-Trunk链路也能提高链路的带宽,能够将单条链路的带宽资源集合起来,提高了链路的带宽,使得各个层面的传输效率显著提高。
链路冗余,一般是指网络通路的冗余,也就是说当网络中的一条链路发生故障的时候,可以通过其他的链路进行网络通信。链路的冗余能够给网络带来健壮性、稳定性和可靠性,但是备份链路会使网络存在环路,环路会引起广播风暴、MAC表不稳定等问题。
优化后的网络架构,使用两台新的交换机做堆叠替换现有的外网核心交换机,配置外网核心交换机。新增A办公区域外网核心交换机至C办公区域汇聚、B办公区域汇聚、DMZ区链路各一条,并与原有链路配置成链路聚合(见图2)。互联网出口区域优化后部署两台上网行为管理设备,由于原设备为网桥模式,新设备启用主主模式,出口处设备冗余,即使单台设备故障,无需人工干预,网络出口能快速切换。
图2 优化后的网络架构图
当互联网用户访问时,数据先到达互联网出口交换机,通过上网行为管理到达外网核心交换机。若其中一台上网行为管理设备出现故障,另一台上网行为管理设备能够继续使用,不用影响业务的正常访问。
随着该企业的信息化进程不断加快,各项核心业务的数据量不断增多,一个高稳定性、高可靠性和高安全性的网络是非常重要的,该企业通过网络冗余技术不仅能够保障该企业网络的正常使,更是解决了原先网络存在单点故障、核心吞吐量不足的问题。