某大中型企业。有多个部门,财务部、人事部、销售部、工程部。同部门之间采用二层交换网络相连;不同部门之间采用VLAN路由方式互访。
企业有一台内部web服务器,承载着内部网站,方便员工了解公司的即时信息。局域网路由器启用多种路由协议(静态路由、动态路由协议),并实施路由控制、负载均衡、访问限制等功能。
企业有一条专线接到运营商用以连接互联网,由于从运营商只获取到一个公网IP地址,所以企业员工访问互联网需要做NAT网络地址转换。
需求分析:一、基础配置按照拓扑搭建网络:
1、为R1/Internet/Core1/ Core2/SW1/SW2/SW3/SW4命名。
2、在Core1/ Core1上设置特权密文密码123456。
3、配置R1 Core1/ Core1/Internet互联接口。
4、配置PC1-PC8的IP地址,采用DHCP自动获取方式配置。
财务部:PC1、PC3;172.16.1.0 172.16.1.254 vlan10
人事部:PC2、PC6;172.16.2.0 172.16.2.254 vlan20
销售部:PC4、PC8;172.16.3.0 172.16.3.254 vlan30
工程部:PC5、PC7;172.16.4.0 172.16.4.254 vlan40
5、IP地址规划,本次规划地址:
自己规划内网的IP地址,但必须用私网IP,可用IP外围如下:
IP:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16
R1与Internet之间用:200.1.1.0/24
PC9:200.200.200.200/24 GW:200.200.200.254/24
二、交换部分
1、Core1/ Core2/SW1/SW2/SW3/SW4的连接接口封装为Trunk。
2、在Core1/ Core2/SW1/SW2/SW3/SW4配置VTP, 域名为Cisco。Core1作为Server;其他交换机作为Client,设置密码。
3、按规划好的VLAN并创建这几个VLAN,分别给销售部VLAN命名为sales;人事部VLAN命名为hr;财务部VLAN命名为cw;工程部VLAN命名为gcb。并把相应的接口划分到所属vlan中。
4、Core1/ Core2连接接口做Etherchannel捆绑(聚合)。要求使用Cisco PAGP协议中的主动协商模式。
5、在Core1上启用DHCP服务, 并建立对应VLAN(根据规划的VLAN及IP地址)的地址池,为财务部、人事部、销售部、工程部电脑提供DHCP服务。其中DNS:202.103.224.68,其他默认配置。
三、路由部分
1、在R1上配置默认路由,出口指向运营商。
2、在Internet路由器上也配置默认路由。
3、[OSPF]在R1/ Core1/ Core2上配置单区域(area 0)OSPF,使得全网互通[R1与运营商Internet互联的接口不宣告]。
4、在Core1/ Core2配置HSRP路由冗余功能,使得财务部、人事部数据流量默认走Core1;销售部、工程部数据流量走Core2。
路由部分必须每完成一步检查现象!
四、安全部分
1、在Core1上做ACL访问限制: 除PC5以外,其他用户都可以ping通web server服务器;内网用户都可以访问企业网站(web server服务器),但内部服务器web server不能访问外网。
2、在SW1/SW3上启用端口安全功能,配置接入PC的端口,允许最大两个不同的MAC地址通过,如果违规,则SW1采用限制(Restrict)模式;SW3采用禁用(shutdown)模式。
五、广域网部分
1、在R1上配置PAT,使得企业内部所有PC都能访问互联网(ping通运营商的200.200.200.200),至此:内网PC全部互联,都可以访问内部网站。
2、在R1上配置静态NAT,把web服务器映射到公网IP:200.1.1.3,使得PC9能够访问到企业的网站。
实施:
NAT的地址转换:
外网能访问内网的服务器网站:
PC1与服务器连通性:
PC1访问内部服务器:
内网通信:
与外网通信:
PC5访问不到服务器:
PC5与外网连通性:
服务器不能访问外网:
外网与内网的通信:
NAT静态地址转换:
OSPF路由:
DHCP配置:
HSRP配置:
路由和ACL配置:
VTP配置:
端口安全配置:
PC自动获取IP地址:
办公楼的网络系统设计,既有有线网络系统,也有无线覆盖系统。
并且安防系统的网络系统有时候会单独设计,有时候和计算机网络系统共用局域网。
今天的案例重点介绍计算机网络和视频监控组网方式与选择。
某办公楼拟建总建筑面积约7500㎡;建筑类型为高层建筑,地上1-6层。
1
计算机网络系统建设架构
计算机网络系统主要是大楼内部各部门的网络应用以及为大楼的管理和各种应用搭建一个灵活应用,安全可靠的硬件平台。
将大楼的网络按部门分为若干个逻辑网段,将大楼的各种PC机、工作站、终端设备和局域网连接起来,并与广域网相连,形成结构合理、内外沟通的计算机网络系统。
并在此基础上建立能满足商务、办公自动化和管理需要的软硬件环境,开发各类信息库和应用系统,为大楼内的工作人员、访客提供充分、便捷的网络信息服务。
2
数据交换网络建设架构
计算机网络系统分内部办公网、外网。
各个网络拓扑为星型结构,采用分层设计,层次网络架构包括:接入层、核心层等二层,建立网络主干千兆,百兆到桌面的网络应用。
1) 物理网络描述
根据大楼业务网运营数据的特点,内部办公网、外网相互之间逻辑隔离。
中心网络采用多链路100M光纤链路INTERNET接入,以大容量高速骨干交换为网络核心,千兆光纤下行至各楼层小机房的全千兆接入二层交换,以及采用无线交换机对整个无线网路进行统一的管理。
终端采用无线或有线方式实现用户网络接入,确保楼内网络的灵活性和可扩展性。同时在网络边界防火墙出开出独立DMZ区域,作为中心核心数据管理存储中心,对内外提供不同服务。
依托物理平台,充分考虑当前各类应用以及网络数据的传输质量,采用虚拟局域网技术依据不同应用方向划分独立子网,有效地防止广播风暴及各类安全隐患在网络中的蔓延,确保各子网数据独立高效运行。
2) 内网描述
内部办公网面向中心内部用户,主要用于承载中心内部各类应用,如:OA、多媒体、 网络管理等无须上INTERNET的业务。
子网内部通过部署防火墙,审计,行为管理等安全产品实现内部用户对于各类应用数据访问的可控可管,确保中心日常办公应用及本地数据交换的高效性,具体部署根据实际需求利用VLAN等多种技术手段实现管理和区分。
OA办公系统应用于内部信息系统,为全中心提供完善的办公自动化服务,实现无纸化办公,提高工作效率。
功能包括收发文管理、办公管理、信息采编、公共信息管理、个人事务管理、内部邮件、即时通讯、信息检索等模块等。
全面实现全局无纸化网上办公,实现的功能包括行政办公,公共信息。
3) 外网描述
办公外网主要为:中心数据、物流查询功能的Internet接入服务、远程资源共享、信息流转、系统远程视频会议等,为各类中心内部及流动用户提供全面高效的数据访问和交互平台。
3
视频监控网络建设架构
视频监控网络作为数据网络的子网,前端接入层独立于数据网络之外,采用汇聚层专注用于监控数据传输,最后汇入核心层。
网络拓扑为星型结构,采用分层设计,层次网络架构包括:接入层、汇聚层、核心层等三层,建立网络主干千兆,百兆到终端的网络应用。
1) 终端信号采集
采用终端网络摄像机进行视频信号采集,采集数据为数字信号,无须在终端部署视频服务器等转换设备,降低投入成本。
且通过网络摄像机可以实现和其他安防监控系统实现联动,进一步提高产品利用率,使应用更高效。且网络摄像机基于IP架构,所有监控设备均通过IP链路连接,管理方便。
2) 监控数据传输
终端通过部署基于IP的网络摄像机,将视频信号直接以数字形式通过IP链路最终在监控核心交换处汇聚。
考虑到数据传输质量和实时性要求高,因此在核心交换位置采用大容量高速骨干交换对数据进行分发交换。
3) 监控数据存储
所有监控终端监控视频数据将通过IP链路汇聚后集中,采用IP-SAN模式实现高速实时存储,同属部署大容量存储阵列对规定时间段内所有监控数据进行存储备份,已备后续查询。
4) 实时监控及管理
在核心交换处旁路模式部署监控管理服务器,自动扫描发现所有监控中所有设备,并形成对应拓扑,并利用监控管理服务器对监控终端进行维护及数据采集和传输的控制。
同时采用千兆光链路将数据传输至安保监控中心,通过电视墙实时显示。
4
数据交换网络建设部署
1) 核心交换部署
终端节点约500个,部署千兆核心交换机,设置在2层信息中心主机房网络设备柜。
采用2台支持3层交换路由功能高性能的核心交换机做双中心冗余,所有的接入层交换机采用2条千兆光纤链路连到2台核心交换机上,保证链路的冗余。服务器群通过2条千兆链路以冗余的方式连接到2台核心交换机。
采用VLAN划分策略对楼内网络终端、不同部门的终端、视频会议应用、智能化各子系统等划分VLAN;同一部门可以跨楼层进行相互访问,不同的部门间未经允许不能进行访问,不同VLAN间的通信通过核心交换机实现。负责内网络的转发。
采用模块化核心交换机,核心交换机具有1Tbps以上的背板交换容量,支持3层交换的路由功能,实现高性能的核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证了网络核心的高稳定性和可扩展性。
各核心交换机配置2个电源,实现电源冗余备份;配置千兆的光口/电口板卡,负责服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。
2) 楼层接入部署
部署百兆接入交换机,设置在各楼层小机房网络设备柜和保安监控室的网络设备柜,负责接入各终端计算机、无线AP等。
各接入交换机采用可网管二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配置24/48口10M/100M电口,2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。
3) 无线接入部署
部署百兆无线接入交换机,设置在1层信息中心机房,支持千兆上行端口,实现无线AP可控可管。无线AP与无线控制器无线交换机配合组网(Fit AP),便于集中管理。
使用无线网络部分覆盖,填补网络盲区,在有效覆盖范围内自由登录而不受时空的限制,本项目在各楼层公共区域设置无线路由器,实现办公区域全覆盖。
各无线路由器接入外网网络。配置高性能百兆无线局域网接入设备,无线AP上行接口采用百兆以太网接口接入,无线路由器支持802.11abgn,双频单模,集成天线,支持工作在2.4Ghz与5.8Ghz频段,能提供20M/40M信道技术。
视频监控局域网:
1) 汇聚交换部署
终端节点约60个,部署千兆核心交换机,设置在1层信息中心主机房网络设备柜。采用1台支持3层交换路由功能高性能的汇聚交换机。服务器群通过1条千兆链路连接到核心交换机。
采用模块化核心交换机,核心交换机具有1Tbps以上的背板交换容量,支持3层交换的路由功能,实现高性能的核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证了网络核心的高稳定性和可扩展性。
核心交换机配置2个电源,实现电源冗余备份;配置千兆的光口/电口板卡,负责前端视频终端、服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。
2) 楼层接入部署
部署百兆接入交换机,设置在各楼层小机房网络设备柜和保安监控室的网络设备柜,负责接入各终端计算机、无线AP等。
各接入交换机采用可网管二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配置8/16口10M/100M电口,2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。
5
服务器及存储部署
内网网络设置2台业务信息化数据库服务器 (一主一备),采用X86机型,设置2个光纤网卡作为存储端口;其他服务器根据应用需求具体另行配置。
针对业务信息化数据设置2套光纤磁盘阵列,同时部署数据镜像系统,保持2套阵列数据的同步性。光纤磁盘阵列采用FC-SAN网络,配置2台8口SAN交换机(考虑冗余),连接前端档案信息化数据库服务器。
考虑到公司信息化相关数据的重要性和实时性,对业务信息化数据库服务器部署在线容灾备份系统。通过在服务器上部署数据库在线容灾备份软件,对应用系统所依赖的重要数据实时的备份到存储设备上。
内网另配置智能卡服务器、OA服务器和FTP服务器等服务器群;外网配置网络边缘WEB服务器、防病毒服务器和邮件服务器等;监控网配置视频存储服务器等。
6
网络安全部署
考虑到整个网络后续的运行稳定性和数据安全性,将在中心网络中部署防火墙,入侵防御、防毒墙等安全产品,以有效的对进出网络以及DMZ区域数据访问进行有效的控制管理和授权。
1) 网络管理系统部署
内、外、监控网分别部署网络管理平台,及时地发现问题、跟踪定位和阻止泛滥,为网络操作人员提供监控和阻止网络攻击所必需的信息。
实现各网络运行情况告警并产生报表;集中管理网络设备、服务器及安全设备;自动产生全网设备的网络拓扑;显示流量;具有图形化配置方式。
2) 防火墙系统部署
在网络接入边界处,部署千兆高性能防火墙作为安全边界,对进出外网的数据进行有效的过滤和防护。
防火墙要求支持至少2个左右千兆电口,同时至少2个千兆光口,要求设备支持bypass功能,防治单点故障造成网络中断。
设备接入模式要求支持路由模式、透明模式、NAT模式、混杂模式等多种模式,要求支持基于域、接口、Alias别名等信息建立安全策略,能够基于文件大小,内容,url实现对HTTP服务的控制和过滤,同时要求支持邮件过滤,支持贝叶斯过滤方式,支持自主学习,能实现RBL实时黑名单地址管理。
能够对各类应用进行有效过滤和控制,如游戏,聊天,下载等。
3) 防病毒系统部署
在互联网接入区部署1台防毒墙系统,支持500的用户数。实现互联网访问网络时的安全策略,对外网的web、mail、ftp、qq、msn等多种形式的病毒查杀,支持脱壳技术。
外网配置1套支持500用户的网络版防病毒软件。
4) 入侵防御系统部署
在互联网接入区部署1台入侵防御系统,入侵防御系统从3个方面进行有效防御及保障:
主动防护:对网络蠕虫、木马、黑客攻击以及网络病毒等恶意流量的传播进行主动防护,保护用户网络资源;
系统漏洞遮断:为网络中的主机提供有效的系统漏洞防护方案,弥补由于补丁不能及时更新而造成的系统脆弱性;
应用访问控制:有效控制IM、P2P、VoIP等敏感应用对网络带宽的滥用;
关键业务系统保障:通过智能的安全防御,最大限度降低各种恶意行为对关键业务服务及设备的威胁。
01
建设原则
网络系统建设遵循统一规划、分步实施的指导思想,工程的设计必须在考虑到满足当前需求的同时,充分考虑到将来整个网络系统的投资保护和长期需要。
设计及实施充分遵循以下原则:
1、分层原则
整个网络采用层次化结构分为:核心层、接入层,将整个网络功能细化到各层,实现方便管理和规范网络结构。
2、网络技术先进性和实用性
网建设采用的交换和传输技术,具有一定的前瞻性,符合一定时期内网络通信技术发展的趋势,并在今后一定的时期内处于主流地位。
3、采用标准化、开放的网络技术
整个网络系统在结构上实现真正开放,全部采用或符合有关国际标准,使网络具有良好的开放性和兼容性。
开放的系统可以使用户自由地选择不同厂家的计算机、网络设备及操作系统,构成真正的跨软硬件平台的系统。
网络的设计基于国际标准,网络设备采用标准的接口和规范的协议,满足用户的不同需求并充分利用软硬件资源,保证系统运行的安全可靠,并具有较长的使用生命周期,以适应其业务不断发展的需要,有效地保护用户投资的长期效益。
4、网络高可靠性原则
由于企业的业务发展语音、视频会议、OA、ERP系统等应用对网络的稳定可靠运行要求特别高,对数据传输的实时性的要求也很高。
因而要求,一方面选用的网络设备具有相当高的可靠性,另一方面,在网络设计中要采用切实有效的系统备份、系统安全、数据安全和网络安全措施,以保障网络的高可靠性和安全性。
5、网络可扩充性
随着用户应用规模的不断扩大,网络应可以方便地进行扩充容量以支持更多的用户和应用;
随着网络技术的不断发展,网络必须能够平稳地过渡到新的技术和设备。
能够随时通过增加网络设备或模块来对现有设备进行升级和扩充,并能把替换下来的设备应用到分支或边缘网络上。
6、安全性和保密性
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离。
因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
要有多种的保护机制,如划分VLAN、MAC地址绑定、802.1x、802.1d 、802.1w 等。
另外,未来保护系统内部的网络安全性,整网设备支持ACL功能,将病毒包及非法包都限制在二层设备上,避免向上层网络扩散,保护网络整体的安全性设计。
7. 网络实现的高性价格比原则
在满足基本需求的条件下,如网络的可靠性、安全性、性能和一定的可扩展性等,尽可能降低网投资改造的费用。
网络技术和设备的选择以满足需要为原则,不一味追求高档次设备。
8、网络的可管理性
建议网络系统中的所有设备均应是可管理的,支持远程监控和故障的过程诊断和恢复,并可通过网管软件方便地监控网络运行的实时情况,对出现的问题及时处理和解决。
02
建设目标
网络建设目标是:建设一个支持数字化、网络化、自动化的先进的基础网络平台,满足内部信息共享、0A 系统的需要,也满足企业信息化建设的长期要求。
网络平台具有良好的服务质量、较高安全性、便于管理和维护,能够支持企业的各种办公和科研应用,信息发布。
骨干速率采用1000M速率。
网络关键节点建议使用能够冗余热备保障系统连续稳定运行。
具有高带宽、高可靠、高性能、高安全的特性。
03
组网结构
基于以上要求分析,大厦网络解决方案总体设计以高性价比、高安全性、良好的可扩展性、可管理性和统一的网管为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
我们提出采用如下拓扑结构方式进行网络建设:
具体网络详细情况描述
机房分布:在1 层、2 层、3 层、5 层、8 层、10 层、13 层各设置弱电配电间,在1层设置大楼总机房。
无线 AP 接入点分布:1 层 X 个点、3-14 层每层个 X 个点。
楼层信息点汇聚情况:
1 层、1、3 层墙插、电话到各层层配电间,4-5 层到 5 层配电间。
6-8 层墙插、电话到8 层配电间。
9-11 层墙插、电话到10 层配电间。
12-14 层墙插、电话到14 层配电间。
如上图所示,采用层次化结构设计原则,分为核心层、接入层。
本局域网组网模型将网络结构分为核心层和接入层:
● 核心层 :核心层要承担各业务应用服务器与底下接入交换机的千兆连接,所以要配置一台高性能多业务交换机,要具备分布式业务处理体系结构,实现业务的 全分布式处理,并能提供稳定、可靠、安全的高性能L2/L3 层交换服务,以及电信级、自适应的可靠性设计。
● 接入层 :接入层交换机要可以提供48 端口或者24 端口,并能通过千兆链路连接到核心交换机,可以使用堆叠的方式扩展端口密度,同时能支持ARP防控,以及多业务的融合能力,对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。
● 路由器部分 :采用 H3C 的 MSR66002X1 新一代路由器将内网与外网分离,基本保护了内网的安全。
并能实现内部网络与广域网互联支持静态路由、RIP、OSPF 等常见路由协议,支持NAT 功能。
● 无线 AP:未知产品
●IP 地址规划
04
方案特点
1、对内部各个不同的楼层,根据不同的业务,划分不同的虚拟网VLAN,一来保证数据系统的安全,阻截无权限用户对关键数据系统的访问。
另一方面,通过VLAN的划分,缩小每种业务的广播域,减小因数据的过度广播造成对带宽资源的浪费,保 证网络系统的资源有效的利用于必须的业务,提高业务处理能力,提高办公效率。
2、通过合理的 DHCP IP地址分配,保证系统具有良好的结构化和合理的可扩展性。
对于每个部门分配相应的IP地址段,并预留足够的扩展空间,从而在一些部门用户 数量急剧增加时,不因地址空间不够用而造成地址管理的混乱,影响系统的正常运行。
3、本网络方案支持多种ACL访问控制策略,在整个网络系统划分不同虚拟网络的同时,在不同的网络间配置合理的路由和访问控制策略ACL,能够对用户访问网络资源的权限进行设置,保证网络的受控访问。
使路由表项不重复、不遗漏,以使数据在 合理的方向传递,保证路由资源的高效利用。
4、提供联通专线、二级运营商两项网络接入,双网互备,方便移动用户接入 internet。
05
配置步骤
1、创建 VLAN 10-140 [Switch]vlan 10
2、将 E1/0/2口加入 VLAN10
[Switch-vlan2]port Ethernet1/0/2
3、进入 VLAN 接口 10 [Switch-vlan10]int vlan 10
4、为 VLAN10配置 IP 地址
[Switch-vlan10-interface10]ip address 166.111.1.1 255.255.255.0
5、全局时能DHCP功能
[Switch]dhcp enable
6、创建 DHCP地址池
[Switch]dhcp server ip-pool h3c
7、配置动态分配的IP 地址范围、有效期、网关地址、DNS地址 [Switch-dhcp -pool-h3c]network 166.111.1.0 mask 255.255.255.0 [Switch-dhcp -pool-h3c] expired day 3
[Switch-dhcp -pool-h3c]gateway-list 166.11.1.1 [Switch-dhcp -pool-h3c]dns-list 202.106.0.20
8、配置某个地址为不可分配地址
[Switch]dhcp server forbidden-ip 166.11.1.1
9、指定 VLAN10虚接口工作在全局地址池模式下
[Switch]dhcp select global interface vlan-interface 10
VLAN20 VLAN30相应的楼层配置如同上述命令
10、开启远程 Telnet 功能
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple h3c
本次分享的银行网络模型参考了国内外同行业的组网模型,按照标准化、模块化、结构的原则对生产中心进行升级,将生产中心过于扁平化、安全性低的现状改变,所以可以将生产中心规划成:
核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。
在各分区边界部署防火墙,确保访问的安全,实现生产中心的高性能、高安全、高扩展和易管理。
核心交换区:为生产网络的各功能子区提供核心路由交换。
生产核心区:部署天津商行生产服务和生产小机。
前置机服务器区:连接各种业务前置机专用区域
楼层接入区(迁移):负责本地办公用户的接入。
网银区(迁移):部署网上银行业务的服务器。
DWDM 区:连接生产中心和灾备中心的广域传输系统区域。
广域网接入区:部署下联各省市分行、天津各区县支行、分理处的骨干网路由器。
中间业务外联区: 通过专线连接监管单位、合作伙伴,为第三方机构提供外联服务。
运行维护区:部署网络和系统管理及维护的业务系统。
01
设计概述
1 东丽数据中心整体结构
东丽数据中心主要需要建立IP网络和存储网络。在IP网络中,按业务功能和安全需要分 为不同的网络区域,各个网络区域有独立的网络设备(如交换机、防火墙等) 连接相应的主机、服务器、 pc机等设备, 每个网络区域的汇聚/ 接入交换机再连接到IP网的核心交换机上;每个网络区域内部可以根据需要再分为不同的控制区域。
IP网络主要分为以下网络区域:核心交换区、生产核心区、前置机服务器区、楼层接入区、开发测试区、 网银区、 DWDM 区、广域网接入区、中间业务外联区、运行维护区, 如图:
2 VLAN规划
在模块化网络架构中可以看到,数据中心首先是被划分为网络分区,然后基于每个应用对各自架构的QOS需求, 再进一步将网络分区划分为逻辑组。为了完成以上阐述的模块化架构,需要在网络的第2层创建VLAN。在不同分区之间互联点和分区内部上行连接点上,都需要创建VLAN。
3 路由设计
在数据内部, 交换核心区域和其他功能区域的汇聚交换机之间运行OSPF骨干区域AREA 0,其他区域内部分别运行OSPF和静态路由。
02
核心交换区设计
1 具体设计
在东丽数据中心中,核心交换区连接了其他不同的分区。它也作为数据中心连接灾备 中心和广域网络的连接点。核心区在数据中心架构中的作用是,尽可能快速地在网络之间实 现数据传输的路由和数据交换。
核心区主要部署两台高端交换机S12508 交换机连接其他功能分区,提供10G 和 GE 链 路的双归属连接。两台核心交换器之间采取Trunk 链路连接,启用IRF技术,将两条核心交换机虚拟成一台。
核心区交换机连接到所有其他区的边缘设备,有两类连接连接到核心,一 类是来自核心生产业务(比如生产核心区, 前置机区)的连接,对该类应用提供高速访问服务,采用万兆接口这两个区域的汇聚交换机。另一类是其它业务。每个区汇聚交换机/ 接入交换机都上行连接到Core-SW1和 Core-SW2。每个区交换机将使用单独的VLAN,VLAN 跨越两个交换机,上行链接到核心。
2 VLAN划分
与每个子区域的互联接口可划分为同一VLAN,将核心交换区域与各子域的互联链路进行链路聚合。如下图所示:
3 路由规划
在 2 台 Core-SW1 和 Core-SW2 核心交换机和各区域的汇聚交换机连接端口上运行OSPF动态路由协议,所属的区域为Area 0,这样各个网络分区系统都可以通过核心区域知道整个网络系统的路由。
采用IRF技术后,可以大大简化网络中的路由设置,减少需要的互联路由网段,其中,除网银与中间业务外联区外,其它区域的汇聚 / 接入交换机与核心之间的互联链路都进行聚合,生产核心区和前置机区在各自区域的核心/ 接入交换机上启用三层功能,采用OSPF和核 心交换区之间进行互通,如下图所示意:
03
生产核心区规划
1 拓扑
生产核心区用于连接核心的生产业务系统的小机、服务器等生产主机;在该区域采用三层架构,采用全千兆智能接入交换机S5500EI 系列交换机提供小机及服务器的光口、电口接入,每个接入交换机采用双千兆光口分别上行到生产核心区的两条汇聚交换机S9508E交换机上,两条S9508E 交换机互相之间采用双万兆链路聚合捆绑,启用IRF功能,将两台汇聚交换机虚拟成一台交换机,每个S9508E 各出一个万兆接口上联到数据中心核心交换机 S12508 上,上行的两条万兆链路启用链路捆绑功能,聚合成一条20G 的物理链路。
2 VLAN规划
上联到核心交换区的VLAN 采用链路聚合, 合并为一个VLAN,在分区内部根据不同级别 的应用再进一步分配。VLAN 分配主要考虑互联VLAN 和主机。
汇聚层交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时,建议将汇聚层 95 的相关接口划分在一个OSPF-STUB区域中,以免数据中心中收到过多的LSA。各个功能区与核心区通讯路径要保证双向一致性和确定性。
在任何链路状况下,通讯双方的往返路径均相同,并且可预知。 生产核心区外连核心区的2条链路的进行链路捆绑,在路由计算上,只有一条路径,但是该路径包含2个万兆端口,提供物理层面的冗余。
04
前置机区规划
1拓扑
前置机区连接生产类系统的前置机等;该区使用4台千兆智能交换机S5500-52C-EI交换 机。4台 S5500-52C-EI交换机采用IRF虚拟化技术将4台交换机虚拟成一台交换机。
2 VLAN规划
上联到核心区的链路进行链路捆绑,采用同一个VLAN 进行互联。 在分区内部根据不同级别的应用再进一步分配。VLAN 分配主要考虑互联VLAN 和主机。
3路由规划
接入交换机启用三层功能,前置机网关设置在接入交换机上,接入交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时,建议将接入交换机的相关接口划分在一个 OSPF- STUB区域中,以免数据中心中收到过多的LSA。
各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下,通讯双方的往返路径均相同,并且可预知。前置区外连核心区的2 条万兆链路的进行链路捆绑, 在路由计算上,只有一条路径,但是该路径包含2 个万兆端口,提供物理层面的冗余。
05
广域网接入区规划
广域网接入区主要连接与各省市分行,天津市内各区县支行,分理处等的上联网络设 备,该区使用两台SR6608 核心路由器作为各分支机构的上联设备,每个SR6608 配置3个CPOS广域接口,2 个主用,一个备用。
1 路由规划
广域网接入区与整个数据中心采用统一的策略和部署方案,在核心区作为OSPF骨干区 的前提下,广域网接入区内部路由协议采用OSPF,在区域内路由详细规划上,建议如下:
广域网路由器与核心交换机互联的端口,划分为OSPF骨干域0域
广域网路由器下联接口,按照原有的路由规划,划分为1、 2、 3、 4 和 10、 20 、30 、40 等几个路由子域。路由器到核心交换机上的链路采用Trunk 链路进行连接。
06
IRF虚拟化技术
IRF 2交换机虚拟化实现多台设备虚拟化成一台设备,即多台设备当做一台设备来运行、管理。 大大简化数据中心日益复杂的组网和管理维护,相比于传统的MSTP、VRRP和多路径 的路由协议,IRF 可以免除这些协议的部署,简化设备并成倍的提升网络性能与可靠性。
1 技术优点
IRF堆叠具有以下主要优点:
简化管理。IRF堆叠形成之后,用户连接到任何一台成员设备的任何一个端口可以登录 IRF堆叠系统, 这相当于直接登录IRF 系统中的Master设备, 通过对Master设备的配置达到管理整个IRF堆叠以及堆叠内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
简化网络运行。IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行 的,例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。IRF 技术的这一特性是常见的集群技术所不具 备的,后者仅仅能完成设备管理上的统一,而集群中的设备在网络中仍然分别作为独立节点运行。
低成本。 IRF 技术是将一些较低端的设备虚拟成为一个相对高端的设备使用,从而具有高端设备的端口密度和带宽,以及低端设备的成本。比直接使用高端设备具有成本优势。
强大的网络扩展能力。通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。
保护用户投资。由于具有强大的扩展能力,当用户进行网络升级时,不需要替换掉原有设备,只需要增加新设备既可。很好的保护了用户投资。
高可靠性。堆叠的高可靠性体现在多个方面,比如: 成员设备之间堆叠物理端口支持聚合功能,堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master设备负责堆叠的运行、管理和维护, Slave 设备在作为备份的同时也可以处理业务,一旦Master 设备故障,系统会迅速自动选举新的Master ,以保证通过堆叠的业务不中断,从而实现了设备级的1:N 备份。IRF 是网络可靠性保障的最优解决方案。
高性能。 由于IRF设备是由多个支持IRF特性的单机设备堆叠而成的,IRF设备的交换容 量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此,IRF技术能够通过多个单机设备的堆叠, 轻易的将设备的核心交换能力、用户端口的密度扩大数倍, 从而大幅度提高了设备的性能。
丰富的功能。IRF支持包括IPv4、 IPv6、 MPLS、安全特性、OAA 插卡、高可用性等全部交换机特性,并且能够高效稳定地运行这些功能,大大扩展了IRF设备的应用范围。
广泛的产品支持。IRF 技术作为一种通用的虚拟技术,对不同形态产品的堆叠一体化的 实现,使用同一技术,同时支持盒式设备的堆叠,以及框式分布式设备的堆叠。
2 典型组网应用
使用 IRF 扩展端口数量
使用 IRF扩展端口数量如下图所示。当接入的用户数增加到原交换机端口密度不能满足 接入需求时,可以通过在原有的堆叠系统中增加新的交换机而得到满足。
使用 IRF 扩展系统处理能力
使用 IRF扩展系统处理能力如下图所示。当中心的交换机转发能力不能满足需求时,可 以增加新交换机与原交换机组成堆叠系统来实现。若一台交换机转发能力为64M PPS,则通过增加一台交换机进行扩展后,整个堆叠设备的转发能力为128MPPS。需要强调的是,是整个堆叠设备的转发能力整体提高,而不是单个交换机的转发能力提高。
使用 IRF 扩展带宽
使用 IRF扩展带宽如下图所示,当边缘交换机上行带宽增加时,可以增加新交换机与原 交换机组成堆叠系统来实现。将成员设备的多条物理链路配置成一个聚合组,可以增加到中心交换机的带宽。而对中心交换机的而言,边缘交换机的数量并没有变化,物理上的两台交 换机看起来就是一台交换机,原有交换机会将当前的配置批量备份到新加入的交换机。因此,这种变化对网络规划和配置影响很小。
跨越空间使用IRF
IRF2.0 可以通过光纤将相距遥远的设备连接形成堆叠设备,如下图所示,每个楼层的用 户通过楼道交换机接入外部网络,现使用堆叠光纤将各楼道交换机连接起来形成一个堆叠设备,这样, 相当于每个楼只有一个接入设备,网络结构变得更加简单;每个楼层有多条链路到达核心网络,网络变得更加健壮、可靠; 对多台楼道交换机的配置简化成对对堆叠系统的配置,降低了管理和维护的成本。
使用 IRF 简化组网
常见的网络组网使用MSTP、VRRP等协议来支持链路冗余、网关备份。 这种组网在各种场合均会使用,这里仅以汇聚层与接入层之间的组网为例。
使用 IRF2.0后,汇聚层的多个设备成为了一个单一的逻辑设备,接入设备直接连接到虚拟设备。这个简化后的组网不再需要使用MSTP、VRRP协议,简化了网络配置。同时依靠跨 设备的链路聚合,在成员出现故障时不再依赖MSTP、 VRRP等协议的收敛,提高了可靠性。