串联式结构(类型1)
(1)CE交换机
CE(Customer Edge,客户边缘)交换机,在互联网上和LAN上分别使用着不同的冗余技术。
在互联网上是通过BGP实现冗余备份的。
具体说来,就是在PE(Provider Edge,运营商边缘)交换机和EBGP对等体之间,以及CE交换机之间安排IBGP对等体,生成迂回路径。
而LAN上则是通过FHRP实现活动/备份冗余结构的。
如果是出站通信,正常情况下只有活动路由器会接收数据包,然后根据通过BGP学习到的路径转发数据包。
如果是入站通信,则在ISP中操作BGP属性,让数据包只会被传给活动路由器。
(2)防火墙
防火墙同样也是由活动机和备用机构成的。
我们应该另外设计用于同步的链路和用于同步的VLAN,然后交换设置信息和状态信息的同步数据包,将设备状态的变化对服务通信流量的影响控制在最小范围之内。
(3)L2交换机(设置在防火墙和负载均衡器之间)
L2交换机将防火墙和负载均衡器的冗余机制分隔开。
如果没有这台L2交换机,当防火墙或负载均衡器其中一方执行故障转移时,另一方就会受其影响也会随之执行故障转移。
为了避免不必要的服务中断,这台L2交换机是绝对必要的。
(4)负载均衡器
我们可以认为负载均衡器的设计和防火墙的基本上是一样的,同样也是由活动机和备用机构成。
也是要另外单独设计用于同步的链路和用于同步的VLAN,然后交换设置信息和状态信息的同步数据包,
将设备状态的变化对服务器通信流量的影响控制在最小范围之内。
(5)L2交换机(设置在负载均衡器和服务器之间)
几乎没有任何一种结构是让服务器直接连接到负载均衡器上去的。
说起来,负载均衡器本身就并不具备大量的物理端口,所以必须通过L2交换机去连接服务器。
考虑到L2交换机本身可能会发生故障,所以应该连接成四方形的回路。
(6)服务器
服务器网卡是通过网卡组合实现冗余备份的。
冗余方式有很多种,但最简单易行,也是最受人们欢迎的是由活动/备用机构成的AFT方式。
考虑到交换机可能会发生故障,我们必须让活动机和备用机各自连接不同的交换机才行。
采用AFT方式时,通信流量容易集中到活动网卡上,但是对于通信流量的增加,人们大多会选择增设负载均衡器这种横向扩展的方法来应对。
横向扩展同时具有冗余备份的效果,人们将负载均衡服务器并列配置并实施健康检查,以此来实现服务器和服务本身的冗余备份。
串联式结构(类型2)
(1)L2交换机(DMZ)
DMZ区域的L2交换机利用StackWise技术使得冗余备份和结构简化能够同时实现。
从物理角度上看存在两台交换机,但从逻辑角度上看则只有一台。
不过防火墙和负载均衡器应分别连接不同的物理交换机,以应对某台物理交换机发生故障的情况。
(2)交换机模块
交换机模块和L2交换机(DMZ)一样,也是通过StackWise技术实现冗余备份的。
负载均衡器分别连接到不同的物理交换机上,以应对某台物理交换机发生故障的情况。
至于L3交换机的连接,则是形成链路聚合之后分别从不同的物理交换机获取物理链路。
交换机模块是按用途(DMZ,Trust,虚拟通信流量)划分开的,它们的通信流量不会互相影响。
(3)刀片服务器和虚拟化处理
刀片服务器按用途对应交换机模块,并与交换机模块是自动进行物理连线的,每个用途对应两台交换机模块,总共有六台交换机模块。
虚拟化处理能够简单快速的添加服务器,这使得服务器容易在不知不觉中越来越多,所以我们必须巧妙的将负载均衡分配出去。
(4)L3交换机(Trust区域)
Trust区域是通过VSS形成的。
VSS和StackWise技术一样,从物理角度上看存在两台交换机,但从逻辑角度上看则只有一台。
两道防火墙分别和不同的物理交换机连接,利用链路聚合使交换机模块的连接能够同时实现链路冗余和带宽扩展。
分别连接不同的物理交换机,是为了让通信在某台交换机发生故障时不至于中断。
术语解释
ISP:互联网服务供应商(Internet Service Provider),
又称因特网服务提供者、互联网服务提供商、网络服务供应商,即指提供互联网存取服务的公司。
通常大型的电讯公司都会兼任互联网服务供应商,一些ISP则独立于电信公司之外。
BGP:边界网关协议(Border Gateway Protocol),
是互联网上一个核心的去中心化自治路由协议(Routing Protocol)。
它通过维护IP路由表或‘前缀’表来实现自治系统(Autonomous system,AS)之间的可达性,属于矢量路由协议。
BGP不使用传统的内部网关协议(Interior Gateway Protocol,IGP)的指标,而使用基于路径、网络策略或规则集来决定路由。
因此,它更适合被称为矢量性协议,而不是路由协议。
BGP的邻居关系(或称通信对端/对等实体)是通过人工配置实现的,对等实体之间通过TCP(端口179)会话交互数据。
BGP路由器会周期地发送19字节的保持存活keep-alive
消息来维护连接(默认周期为60秒)。
在路由协议中,只有BGP使用TCP作为传输层协议。
同一个AS自治系统中的两个或多个对等实体之间运行的BGP被称为IBGP(Internal/Interior BGP)。
归属不同的AS的对等实体之间运行的BGP称为EBGP(External/Exterior BGP)。
在AS边界上与其他AS交换信息的路由器被称作边界路由器(border/edge router)。
在互联网操作系统(Cisco IOS)中,iBGP通告的路由的距离为200,优先级比eBGP和任何内部网关协议(IGP)通告的路由都低。
其他的路由器实现中,优先级顺序也是eBGP高于IGP,而IGP又高于IBGP。
路由协议,Routing Protocol,
是一种指定数据包转送方式的网络协议。
Internet网络的主要节点设备是路由器,路由器通过路由表来转发接收到的数据。
转发策略可以是人工指定的(通过静态路由、策略路由等方法)。
在具有较小规模的网络中,人工指定转发策略没有任何问题。
但是在具有较大规模的网络中(如跨国企业网络、ISP网络),如果通过人工指定转发策略,将会给网络管理员带来巨大的工作量,并且在管理、维护路由表上也变得十分困难。
为了解决这个问题,动态路由协议应运而生。
动态路由协议可以让路由器自动学习到其他路由器的网络,并且网络拓扑发生改变后自动更新路由表。
网络管理员只需要配置动态路由协议即可,相比人工指定转发策略,工作量大大减少。
AS:自治系统(Autonomous system),
是指在一个(有时是多个)实体管辖下的所有IP网络和路由器的全体,它们对互联网执行共同的路由策略。
IGP:内部网关协议(Interior Gateway Protocol),
是指在一个自治系统(AS)内部所使用的一种路由协议。
与此相对,外部网关协议(Exterior Gateway Protocol,EGP)用来在自治系统之间确定网络可达性、并通过内部网关协议来解析某个自治系统内部的路由。
FHRP:首跳冗余性协议(first hop redundancy protocol)主要是用来解决网关问题,提高冗余性和负载均衡。
它提供了默认网关的冗余性,其方法是让一台路由器充当活跃的网关路由器,而另一台或多台其它路由器则处于备用模式。
在可以使用首跳冗余协议之前,网络的冗余性依赖于代理ARP和静态网关配置。
ARP:地址解析协议(Address Resolution Protocol),
是通过解析网路层地址来找寻数据链路层地址的一个在网络协议包中极其重要的网络传输协议。
ARP也可能指是在多数操作系统中管理其相关地址的一个进程。
VLAN:虚拟局域网(Virtual Local Area Network),
是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
AFT:网卡出错冗余(Adapter Fault olerance),
provides automatic redundancy for a server's network connection.
If the primary adapter fails, the secondary adapter takes over.
Adapter Fault Tolerance supports two to eight adapters per team.
This teaming type works with any hub or switch.
All team members must be connected to the same subnet.
DMZ:对外网络(Demilitarized Zone),
译名为“非军事区”,又名Perimeter network,即“边界网络”、周边网络或“对外网络”,为一种网络架构的布置方案,常用的架设方案是在不信任的外部网络和可信任的内部网络外,创建一个面向外部网络的物理或逻辑子网,该子网能设置用于对外部网络的服务器主机。
Network switch:网络交换机,
是一种网络数据转发设备,能够对数据包进行高速地“交换”。
二层交换机工作于OSI参考模型的第二层,即数据链路层。
交换机内部的CPU会在每个端口成功连接时,通过将MAC地址和端口对应,形成一张MAC表。
在今后的通讯中,发往该MAC地址的数据包将仅送往其对应的端口,而不是所有的端口。
因此交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。
第三层交换技术是在网络模型中的第三层实现了数据包的高速转发。
简单地说,第三层交换技术就是:第二层交换技术+第三层转发技术。
这是一种利用第三层协议中的信息来加强第二层交换功能的机制。
一个具有第三层交换功能的设备是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单的把路由器设备的硬件及软件简单地叠加在局域网交换机上。
从硬件的实现上看,当前,第二层交换机的接口模块都是通过高速背板/总线(速率可高达几十Gbit/s)交换数据的,在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背板/总线上,这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据,从而突破了传统的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)。
参考
图解服务器端网络架构 P312-316