某大中型企業。有多個部門,財務部、人事部、銷售部、工程部。同部門之間採用二層交換網絡相連;不同部門之間採用VLAN路由方式互訪。
企業有一臺內部web服務器,承載著內部網站,方便員工瞭解公司的即時信息。局域網路由器啟用多種路由協議(靜態路由、動態路由協議),並實施路由控制、負載均衡、訪問限制等功能。
企業有一條專線接到運營商用以連接互聯網,由於從運營商只獲取到一個公網IP地址,所以企業員工訪問互聯網需要做NAT網絡地址轉換。
需求分析:
一、基礎配置按照拓撲搭建網絡:
1、為R1/Internet/Core1/ Core2/SW1/SW2/SW3/SW4命名。
2、在Core1/ Core1上設置特權密文密碼123456。
3、配置R1 Core1/ Core1/Internet互聯接口。
4、配置PC1-PC8的IP地址,採用DHCP自動獲取方式配置。
財務部:PC1、PC3;172.16.1.0 172.16.1.254 vlan10
人事部:PC2、PC6;172.16.2.0 172.16.2.254 vlan20
銷售部:PC4、PC8;172.16.3.0 172.16.3.254 vlan30
工程部:PC5、PC7;172.16.4.0 172.16.4.254 vlan40
5、IP地址規劃,本次規劃地址:
自己規劃內網的IP地址,但必須用私網IP,可用IP外圍如下:
IP:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16
R1與Internet之間用:200.1.1.0/24
PC9:200.200.200.200/24 GW:200.200.200.254/24
二、交換部分
1、Core1/ Core2/SW1/SW2/SW3/SW4的連接接口封裝為Trunk。
2、在Core1/ Core2/SW1/SW2/SW3/SW4配置VTP, 域名為Cisco。Core1作為Server;其他交換機作為Client,設置密碼。
3、按規劃好的VLAN並創建這幾個VLAN,分別給銷售部VLAN命名為sales;人事部VLAN命名為hr;財務部VLAN命名為cw;工程部VLAN命名為gcb。並把相應的接口劃分到所屬vlan中。
4、Core1/ Core2連接接口做Etherchannel捆綁(聚合)。要求使用Cisco PAGP協議中的主動協商模式。
5、在Core1上啟用DHCP服務, 並建立對應VLAN(根據規劃的VLAN及IP地址)的地址池,為財務部、人事部、銷售部、工程部電腦提供DHCP服務。其中DNS:202.103.224.68,其他默認配置。
三、路由部分
1、在R1上配置默認路由,出口指向運營商。
2、在Internet路由器上也配置默認路由。
3、[OSPF]在R1/ Core1/ Core2上配置單區域(area 0)OSPF,使得全網互通[R1與運營商Internet互聯的接口不宣告]。
4、在Core1/ Core2配置HSRP路由冗餘功能,使得財務部、人事部數據流量默認走Core1;銷售部、工程部數據流量走Core2。
路由部分必須每完成一步檢查現象!
四、安全部分
1、在Core1上做ACL訪問限制: 除PC5以外,其他用戶都可以ping通web server服務器;內網用戶都可以訪問企業網站(web server服務器),但內部服務器web server不能訪問外網。
2、在SW1/SW3上啟用端口安全功能,配置接入PC的端口,允許最大兩個不同的MAC地址通過,如果違規,則SW1採用限制(Restrict)模式;SW3採用禁用(shutdown)模式。
五、廣域網部分
1、在R1上配置PAT,使得企業內部所有PC都能訪問互聯網(ping通運營商的200.200.200.200),至此:內網PC全部互聯,都可以訪問內部網站。
2、在R1上配置靜態NAT,把web服務器映射到公網IP:200.1.1.3,使得PC9能夠訪問到企業的網站。
實施:
NAT的地址轉換:
外網能訪問內網的服務器網站:
PC1與服務器連通性:
PC1訪問內部服務器:
內網通信:
與外網通信:
PC5訪問不到服務器:
PC5與外網連通性:
服務器不能訪問外網:
外網與內網的通信:
NAT靜態地址轉換:
OSPF路由:
DHCP配置:
HSRP配置:
路由和ACL配置:
VTP配置:
端口安全配置:
PC自動獲取IP地址:
案例:辦公樓的網絡建設架構方案(含監控規劃)
辦公樓的網絡系統設計,既有有線網絡系統,也有無線覆蓋系統。
並且安防系統的網絡系統有時候會單獨設計,有時候和計算機網絡系統共用局域網。
今天的案例重點介紹計算機網絡和視頻監控組網方式與選擇。
某辦公樓擬建總建築面積約7500㎡;建築類型為高層建築,地上1-6層。
1
計算機網絡系統建設架構
計算機網絡系統主要是大樓內部各部門的網絡應用以及為大樓的管理和各種應用搭建一個靈活應用,安全可靠的硬件平臺。
將大樓的網絡按部門分為若干個邏輯網段,將大樓的各種PC機、工作站、終端設備和局域網連接起來,並與廣域網相連,形成結構合理、內外溝通的計算機網絡系統。
並在此基礎上建立能滿足商務、辦公自動化和管理需要的軟硬件環境,開發各類信息庫和應用系統,為大樓內的工作人員、訪客提供充分、便捷的網絡信息服務。
2
數據交換網絡建設架構
計算機網絡系統分內部辦公網、外網。
各個網絡拓撲為星型結構,採用分層設計,層次網絡架構包括:接入層、核心層等二層,建立網絡主幹千兆,百兆到桌面的網絡應用。
1) 物理網絡描述
根據大樓業務網運營數據的特點,內部辦公網、外網相互之間邏輯隔離。
中心網絡採用多鏈路100M光纖鏈路INTERNET接入,以大容量高速骨幹交換為網絡核心,千兆光纖下行至各樓層小機房的全千兆接入二層交換,以及採用無線交換機對整個無線網路進行統一的管理。
終端採用無線或有線方式實現用戶網絡接入,確保樓內網絡的靈活性和可擴展性。同時在網絡邊界防火牆出開出獨立DMZ區域,作為中心核心數據管理存儲中心,對內外提供不同服務。
依託物理平臺,充分考慮當前各類應用以及網絡數據的傳輸質量,採用虛擬局域網技術依據不同應用方向劃分獨立子網,有效地防止廣播風暴及各類安全隱患在網絡中的蔓延,確保各子網數據獨立高效運行。
2) 內網描述
內部辦公網面向中心內部用戶,主要用於承載中心內部各類應用,如:OA、多媒體、 網絡管理等無須上INTERNET的業務。
子網內部通過部署防火牆,審計,行為管理等安全產品實現內部用戶對於各類應用數據訪問的可控可管,確保中心日常辦公應用及本地數據交換的高效性,具體部署根據實際需求利用VLAN等多種技術手段實現管理和區分。
OA辦公系統應用於內部信息系統,為全中心提供完善的辦公自動化服務,實現無紙化辦公,提高工作效率。
功能包括收發文管理、辦公管理、信息採編、公共信息管理、個人事務管理、內部郵件、即時通訊、信息檢索等模塊等。
全面實現全局無紙化網上辦公,實現的功能包括行政辦公,公共信息。
3) 外網描述
辦公外網主要為:中心數據、物流查詢功能的Internet接入服務、遠程資源共享、信息流轉、系統遠程視頻會議等,為各類中心內部及流動用戶提供全面高效的數據訪問和交互平臺。
3
視頻監控網絡建設架構
視頻監控網絡作為數據網絡的子網,前端接入層獨立於數據網絡之外,採用匯聚層專注用於監控數據傳輸,最後匯入核心層。
網絡拓撲為星型結構,採用分層設計,層次網絡架構包括:接入層、匯聚層、核心層等三層,建立網絡主幹千兆,百兆到終端的網絡應用。
1) 終端信號採集
採用終端網絡攝像機進行視頻信號採集,採集數據為數字信號,無須在終端部署視頻服務器等轉換設備,降低投入成本。
且通過網絡攝像機可以實現和其他安防監控系統實現聯動,進一步提高產品利用率,使應用更高效。且網絡攝像機基於IP架構,所有監控設備均通過IP鏈路連接,管理方便。
2) 監控數據傳輸
終端通過部署基於IP的網絡攝像機,將視頻信號直接以數字形式通過IP鏈路最終在監控核心交換處匯聚。
考慮到數據傳輸質量和實時性要求高,因此在核心交換位置採用大容量高速骨幹交換對數據進行分發交換。
3) 監控數據存儲
所有監控終端監控視頻數據將通過IP鏈路匯聚後集中,採用IP-SAN模式實現高速實時存儲,同屬部署大容量存儲陣列對規定時間段內所有監控數據進行存儲備份,已備後續查詢。
4) 實時監控及管理
在核心交換處旁路模式部署監控管理服務器,自動掃描發現所有監控中所有設備,並形成對應拓撲,並利用監控管理服務器對監控終端進行維護及數據採集和傳輸的控制。
同時採用千兆光鏈路將數據傳輸至安保監控中心,通過電視牆實時顯示。
4
數據交換網絡建設部署
1) 核心交換部署
終端節點約500個,部署千兆核心交換機,設置在2層信息中心主機房網絡設備櫃。
採用2臺支持3層交換路由功能高性能的核心交換機做雙中心冗餘,所有的接入層交換機採用2條千兆光纖鏈路連到2臺核心交換機上,保證鏈路的冗餘。服務器群通過2條千兆鏈路以冗餘的方式連接到2臺核心交換機。
採用VLAN劃分策略對樓內網絡終端、不同部門的終端、視頻會議應用、智能化各子系統等劃分VLAN;同一部門可以跨樓層進行相互訪問,不同的部門間未經允許不能進行訪問,不同VLAN間的通信通過核心交換機實現。負責內網絡的轉發。
採用模塊化核心交換機,核心交換機具有1Tbps以上的背板交換容量,支持3層交換的路由功能,實現高性能的核心轉發,支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制等業務功能,保證了網絡核心的高穩定性和可擴展性。
各核心交換機配置2個電源,實現電源冗餘備份;配置千兆的光口/電口板卡,負責服務器群、網絡管理、網絡安全系統、鏈路熱備及負載均衡網絡的接入。
2) 樓層接入部署
部署百兆接入交換機,設置在各樓層小機房網絡設備櫃和保安監控室的網絡設備櫃,負責接入各終端計算機、無線AP等。
各接入交換機採用可網管二層交換機,支持端口聚合、VLAN、STP、SNMP等特性;配置24/48口10M/100M電口,2個千兆光口,實現10M/100M到桌面,千兆上行到核心交換機。
3) 無線接入部署
部署百兆無線接入交換機,設置在1層信息中心機房,支持千兆上行端口,實現無線AP可控可管。無線AP與無線控制器無線交換機配合組網(Fit AP),便於集中管理。
使用無線網絡部分覆蓋,填補網絡盲區,在有效覆蓋範圍內自由登錄而不受時空的限制,本項目在各樓層公共區域設置無線路由器,實現辦公區域全覆蓋。
各無線路由器接入外網網絡。配置高性能百兆無線局域網接入設備,無線AP上行接口採用百兆以太網接口接入,無線路由器支持802.11abgn,雙頻單模,集成天線,支持工作在2.4Ghz與5.8Ghz頻段,能提供20M/40M信道技術。
視頻監控局域網:
1) 匯聚交換部署
終端節點約60個,部署千兆核心交換機,設置在1層信息中心主機房網絡設備櫃。採用1臺支持3層交換路由功能高性能的匯聚交換機。服務器群通過1條千兆鏈路連接到核心交換機。
採用模塊化核心交換機,核心交換機具有1Tbps以上的背板交換容量,支持3層交換的路由功能,實現高性能的核心轉發,支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制等業務功能,保證了網絡核心的高穩定性和可擴展性。
核心交換機配置2個電源,實現電源冗餘備份;配置千兆的光口/電口板卡,負責前端視頻終端、服務器群、網絡管理、網絡安全系統、鏈路熱備及負載均衡網絡的接入。
2) 樓層接入部署
部署百兆接入交換機,設置在各樓層小機房網絡設備櫃和保安監控室的網絡設備櫃,負責接入各終端計算機、無線AP等。
各接入交換機採用可網管二層交換機,支持端口聚合、VLAN、STP、SNMP等特性;配置8/16口10M/100M電口,2個千兆光口,實現10M/100M到桌面,千兆上行到核心交換機。
5
服務器及存儲部署
內網網絡設置2臺業務信息化數據庫服務器 (一主一備),採用X86機型,設置2個光纖網卡作為存儲端口;其他服務器根據應用需求具體另行配置。
針對業務信息化數據設置2套光纖磁盤陣列,同時部署數據鏡像系統,保持2套陣列數據的同步性。光纖磁盤陣列採用FC-SAN網絡,配置2臺8口SAN交換機(考慮冗餘),連接前端檔案信息化數據庫服務器。
考慮到公司信息化相關數據的重要性和實時性,對業務信息化數據庫服務器部署在線容災備份系統。通過在服務器上部署數據庫在線容災備份軟件,對應用系統所依賴的重要數據實時的備份到存儲設備上。
內網另配置智能卡服務器、OA服務器和FTP服務器等服務器群;外網配置網絡邊緣WEB服務器、防病毒服務器和郵件服務器等;監控網配置視頻存儲服務器等。
6
網絡安全部署
考慮到整個網絡後續的運行穩定性和數據安全性,將在中心網絡中部署防火牆,入侵防禦、防毒牆等安全產品,以有效的對進出網絡以及DMZ區域數據訪問進行有效的控制管理和授權。
1) 網絡管理系統部署
內、外、監控網分別部署網絡管理平臺,及時地發現問題、跟蹤定位和阻止氾濫,為網絡操作人員提供監控和阻止網絡攻擊所必需的信息。
實現各網絡運行情況告警併產生報表;集中管理網絡設備、服務器及安全設備;自動產生全網設備的網絡拓撲;顯示流量;具有圖形化配置方式。
2) 防火牆系統部署
在網絡接入邊界處,部署千兆高性能防火牆作為安全邊界,對進出外網的數據進行有效的過濾和防護。
防火牆要求支持至少2個左右千兆電口,同時至少2個千兆光口,要求設備支持bypass功能,防治單點故障造成網絡中斷。
設備接入模式要求支持路由模式、透明模式、NAT模式、混雜模式等多種模式,要求支持基於域、接口、Alias別名等信息建立安全策略,能夠基於文件大小,內容,url實現對HTTP服務的控制和過濾,同時要求支持郵件過濾,支持貝葉斯過濾方式,支持自主學習,能實現RBL實時黑名單地址管理。
能夠對各類應用進行有效過濾和控制,如遊戲,聊天,下載等。
3) 防病毒系統部署
在互聯網接入區部署1臺防毒牆系統,支持500的用戶數。實現互聯網訪問網絡時的安全策略,對外網的web、mail、ftp、qq、msn等多種形式的病毒查殺,支持脫殼技術。
外網配置1套支持500用戶的網絡版防病毒軟件。
4) 入侵防禦系統部署
在互聯網接入區部署1臺入侵防禦系統,入侵防禦系統從3個方面進行有效防禦及保障:
主動防護:對網絡蠕蟲、木馬、黑客攻擊以及網絡病毒等惡意流量的傳播進行主動防護,保護用戶網絡資源;
系統漏洞遮斷:為網絡中的主機提供有效的系統漏洞防護方案,彌補由於補丁不能及時更新而造成的系統脆弱性;
應用訪問控制:有效控制IM、P2P、VoIP等敏感應用對網絡帶寬的濫用;
關鍵業務系統保障:通過智能的安全防禦,最大限度降低各種惡意行為對關鍵業務服務及設備的威脅。
大廈網絡建設方案
01
建設原則
網絡系統建設遵循統一規劃、分步實施的指導思想,工程的設計必須在考慮到滿足當前需求的同時,充分考慮到將來整個網絡系統的投資保護和長期需要。
設計及實施充分遵循以下原則:
1、分層原則
整個網絡採用層次化結構分為:核心層、接入層,將整個網絡功能細化到各層,實現方便管理和規範網絡結構。
2、網絡技術先進性和實用性
網建設採用的交換和傳輸技術,具有一定的前瞻性,符合一定時期內網絡通信技術發展的趨勢,並在今後一定的時期內處於主流地位。
3、採用標準化、開放的網絡技術
整個網絡系統在結構上實現真正開放,全部採用或符合有關國際標準,使網絡具有良好的開放性和兼容性。
開放的系統可以使用戶自由地選擇不同廠家的計算機、網絡設備及操作系統,構成真正的跨軟硬件平臺的系統。
網絡的設計基於國際標準,網絡設備採用標準的接口和規範的協議,滿足用戶的不同需求並充分利用軟硬件資源,保證系統運行的安全可靠,並具有較長的使用生命週期,以適應其業務不斷髮展的需要,有效地保護用戶投資的長期效益。
4、網絡高可靠性原則
由於企業的業務發展語音、視頻會議、OA、ERP系統等應用對網絡的穩定可靠運行要求特別高,對數據傳輸的實時性的要求也很高。
因而要求,一方面選用的網絡設備具有相當高的可靠性,另一方面,在網絡設計中要採用切實有效的系統備份、系統安全、數據安全和網絡安全措施,以保障網絡的高可靠性和安全性。
5、網絡可擴充性
隨著用戶應用規模的不斷擴大,網絡應可以方便地進行擴充容量以支持更多的用戶和應用;
隨著網絡技術的不斷髮展,網絡必須能夠平穩地過渡到新的技術和設備。
能夠隨時通過增加網絡設備或模塊來對現有設備進行升級和擴充,並能把替換下來的設備應用到分支或邊緣網絡上。
6、安全性和保密性
在系統設計中,既考慮信息資源的充分共享,更要注意信息的保護和隔離。
因此係統應分別針對不同的應用和不同的網絡通信環境,採取不同的措施,包括系統安全機制、數據存取的權限控制等。
要有多種的保護機制,如劃分VLAN、MAC地址綁定、802.1x、802.1d 、802.1w 等。
另外,未來保護系統內部的網絡安全性,整網設備支持ACL功能,將病毒包及非法包都限制在二層設備上,避免向上層網絡擴散,保護網絡整體的安全性設計。
7. 網絡實現的高性價格比原則
在滿足基本需求的條件下,如網絡的可靠性、安全性、性能和一定的可擴展性等,儘可能降低網投資改造的費用。
網絡技術和設備的選擇以滿足需要為原則,不一味追求高檔次設備。
8、網絡的可管理性
建議網絡系統中的所有設備均應是可管理的,支持遠程監控和故障的過程診斷和恢復,並可通過網管軟件方便地監控網絡運行的實時情況,對出現的問題及時處理和解決。
02
建設目標
網絡建設目標是:建設一個支持數字化、網絡化、自動化的先進的基礎網絡平臺,滿足內部信息共享、0A 系統的需要,也滿足企業信息化建設的長期要求。
網絡平臺具有良好的服務質量、較高安全性、便於管理和維護,能夠支持企業的各種辦公和科研應用,信息發佈。
骨幹速率採用1000M速率。
網絡關鍵節點建議使用能夠冗餘熱備保障系統連續穩定運行。
具有高帶寬、高可靠、高性能、高安全的特性。
03
組網結構
基於以上要求分析,大廈網絡解決方案總體設計以高性價比、高安全性、良好的可擴展性、可管理性和統一的網管為原則,以及考慮到技術的先進性、成熟性,並採用模塊化的設計方法。
我們提出採用如下拓撲結構方式進行網絡建設:
具體網絡詳細情況描述
機房分佈:在1 層、2 層、3 層、5 層、8 層、10 層、13 層各設置弱電配電間,在1層設置大樓總機房。
無線 AP 接入點分佈:1 層 X 個點、3-14 層每層個 X 個點。
樓層信息點匯聚情況:
1 層、1、3 層牆插、電話到各層層配電間,4-5 層到 5 層配電間。
6-8 層牆插、電話到8 層配電間。
9-11 層牆插、電話到10 層配電間。
12-14 層牆插、電話到14 層配電間。
如上圖所示,採用層次化結構設計原則,分為核心層、接入層。
本局域網組網模型將網絡結構分為核心層和接入層:
● 核心層 :核心層要承擔各業務應用服務器與底下接入交換機的千兆連接,所以要配置一臺高性能多業務交換機,要具備分佈式業務處理體系結構,實現業務的 全分佈式處理,並能提供穩定、可靠、安全的高性能L2/L3 層交換服務,以及電信級、自適應的可靠性設計。
● 接入層 :接入層交換機要可以提供48 端口或者24 端口,並能通過千兆鏈路連接到核心交換機,可以使用堆疊的方式擴展端口密度,同時能支持ARP防控,以及多業務的融合能力,對業務需要的網絡參數能夠自動生成、自動下發、自動調整和自動優化。
● 路由器部分 :採用 H3C 的 MSR66002X1 新一代路由器將內網與外網分離,基本保護了內網的安全。
並能實現內部網絡與廣域網互聯支持靜態路由、RIP、OSPF 等常見路由協議,支持NAT 功能。
● 無線 AP:未知產品
●IP 地址規劃
04
方案特點
1、對內部各個不同的樓層,根據不同的業務,劃分不同的虛擬網VLAN,一來保證數據系統的安全,阻截無權限用戶對關鍵數據系統的訪問。
另一方面,通過VLAN的劃分,縮小每種業務的廣播域,減小因數據的過度廣播造成對帶寬資源的浪費,保 證網絡系統的資源有效的利用於必須的業務,提高業務處理能力,提高辦公效率。
2、通過合理的 DHCP IP地址分配,保證系統具有良好的結構化和合理的可擴展性。
對於每個部門分配相應的IP地址段,並預留足夠的擴展空間,從而在一些部門用戶 數量急劇增加時,不因地址空間不夠用而造成地址管理的混亂,影響系統的正常運行。
3、本網絡方案支持多種ACL訪問控制策略,在整個網絡系統劃分不同虛擬網絡的同時,在不同的網絡間配置合理的路由和訪問控制策略ACL,能夠對用戶訪問網絡資源的權限進行設置,保證網絡的受控訪問。
使路由表項不重複、不遺漏,以使數據在 合理的方向傳遞,保證路由資源的高效利用。
4、提供聯通專線、二級運營商兩項網絡接入,雙網互備,方便移動用戶接入 internet。
05
配置步驟
1、創建 VLAN 10-140 [Switch]vlan 10
2、將 E1/0/2口加入 VLAN10
[Switch-vlan2]port Ethernet1/0/2
3、進入 VLAN 接口 10 [Switch-vlan10]int vlan 10
4、為 VLAN10配置 IP 地址
[Switch-vlan10-interface10]ip address 166.111.1.1 255.255.255.0
5、全局時能DHCP功能
[Switch]dhcp enable
6、創建 DHCP地址池
[Switch]dhcp server ip-pool h3c
7、配置動態分配的IP 地址範圍、有效期、網關地址、DNS地址 [Switch-dhcp -pool-h3c]network 166.111.1.0 mask 255.255.255.0 [Switch-dhcp -pool-h3c] expired day 3
[Switch-dhcp -pool-h3c]gateway-list 166.11.1.1 [Switch-dhcp -pool-h3c]dns-list 202.106.0.20
8、配置某個地址為不可分配地址
[Switch]dhcp server forbidden-ip 166.11.1.1
9、指定 VLAN10虛接口工作在全局地址池模式下
[Switch]dhcp select global interface vlan-interface 10
VLAN20 VLAN30相應的樓層配置如同上述命令
10、開啟遠程 Telnet 功能
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple h3c
銀行網絡建設方案
本次分享的銀行網絡模型參考了國內外同行業的組網模型,按照標準化、模塊化、結構的原則對生產中心進行升級,將生產中心過於扁平化、安全性低的現狀改變,所以可以將生產中心規劃成:
核心交換區、生產服務器區、前置機區、網銀區、運行管理區、樓層接入區、辦公服務器區、廣域網接入區、災備中心互聯區、中間業務外聯區等功能模塊。
在各分區邊界部署防火牆,確保訪問的安全,實現生產中心的高性能、高安全、高擴展和易管理。
- 核心交換區:為生產網絡的各功能子區提供核心路由交換。
- 生產核心區:部署天津商行生產服務和生產小機。
- 前置機服務器區:連接各種業務前置機專用區域
- 樓層接入區(遷移):負責本地辦公用戶的接入。
- 網銀區(遷移):部署網上銀行業務的服務器。
- DWDM 區:連接生產中心和災備中心的廣域傳輸系統區域。
- 廣域網接入區:部署下聯各省市分行、天津各區縣支行、分理處的骨幹網路由器。
- 中間業務外聯區: 通過專線連接監管單位、合作伙伴,為第三方機構提供外聯服務。
- 運行維護區:部署網絡和系統管理及維護的業務系統。
01
設計概述
1 東麗數據中心整體結構
東麗數據中心主要需要建立IP網絡和存儲網絡。在IP網絡中,按業務功能和安全需要分 為不同的網絡區域,各個網絡區域有獨立的網絡設備(如交換機、防火牆等) 連接相應的主機、服務器、 pc機等設備, 每個網絡區域的匯聚/ 接入交換機再連接到IP網的核心交換機上;每個網絡區域內部可以根據需要再分為不同的控制區域。
IP網絡主要分為以下網絡區域:核心交換區、生產核心區、前置機服務器區、樓層接入區、開發測試區、 網銀區、 DWDM 區、廣域網接入區、中間業務外聯區、運行維護區, 如圖:
2 VLAN規劃
在模塊化網絡架構中可以看到,數據中心首先是被劃分為網絡分區,然後基於每個應用對各自架構的QOS需求, 再進一步將網絡分區劃分為邏輯組。為了完成以上闡述的模塊化架構,需要在網絡的第2層創建VLAN。在不同分區之間互聯點和分區內部上行連接點上,都需要創建VLAN。
3 路由設計
在數據內部, 交換核心區域和其他功能區域的匯聚交換機之間運行OSPF骨幹區域AREA 0,其他區域內部分別運行OSPF和靜態路由。
02
核心交換區設計
1 具體設計
在東麗數據中心中,核心交換區連接了其他不同的分區。它也作為數據中心連接災備 中心和廣域網絡的連接點。核心區在數據中心架構中的作用是,儘可能快速地在網絡之間實 現數據傳輸的路由和數據交換。
核心區主要部署兩臺高端交換機S12508 交換機連接其他功能分區,提供10G 和 GE 鏈 路的雙歸屬連接。兩臺核心交換器之間採取Trunk 鏈路連接,啟用IRF技術,將兩條核心交換機虛擬成一臺。
核心區交換機連接到所有其他區的邊緣設備,有兩類連接連接到核心,一 類是來自核心生產業務(比如生產核心區, 前置機區)的連接,對該類應用提供高速訪問服務,採用萬兆接口這兩個區域的匯聚交換機。另一類是其它業務。每個區匯聚交換機/ 接入交換機都上行連接到Core-SW1和 Core-SW2。每個區交換機將使用單獨的VLAN,VLAN 跨越兩個交換機,上行鏈接到核心。
2 VLAN劃分
與每個子區域的互聯接口可劃分為同一VLAN,將核心交換區域與各子域的互聯鏈路進行鏈路聚合。如下圖所示:
3 路由規劃
在 2 臺 Core-SW1 和 Core-SW2 核心交換機和各區域的匯聚交換機連接端口上運行OSPF動態路由協議,所屬的區域為Area 0,這樣各個網絡分區系統都可以通過核心區域知道整個網絡系統的路由。
採用IRF技術後,可以大大簡化網絡中的路由設置,減少需要的互聯路由網段,其中,除網銀與中間業務外聯區外,其它區域的匯聚 / 接入交換機與核心之間的互聯鏈路都進行聚合,生產核心區和前置機區在各自區域的核心/ 接入交換機上啟用三層功能,採用OSPF和核 心交換區之間進行互通,如下圖所示意:
03
生產核心區規劃
1 拓撲
生產核心區用於連接核心的生產業務系統的小機、服務器等生產主機;在該區域採用三層架構,採用全千兆智能接入交換機S5500EI 系列交換機提供小機及服務器的光口、電口接入,每個接入交換機採用雙千兆光口分別上行到生產核心區的兩條匯聚交換機S9508E交換機上,兩條S9508E 交換機互相之間採用雙萬兆鏈路聚合捆綁,啟用IRF功能,將兩臺匯聚交換機虛擬成一臺交換機,每個S9508E 各出一個萬兆接口上聯到數據中心核心交換機 S12508 上,上行的兩條萬兆鏈路啟用鏈路捆綁功能,聚合成一條20G 的物理鏈路。
2 VLAN規劃
上聯到核心交換區的VLAN 採用鏈路聚合, 合併為一個VLAN,在分區內部根據不同級別 的應用再進一步分配。VLAN 分配主要考慮互聯VLAN 和主機。
匯聚層交換機與核心交換機間運行OSPF路由協議。在設備間運行OSPF時,建議將匯聚層 95 的相關接口劃分在一個OSPF-STUB區域中,以免數據中心中收到過多的LSA。各個功能區與核心區通訊路徑要保證雙向一致性和確定性。
在任何鏈路狀況下,通訊雙方的往返路徑均相同,並且可預知。 生產核心區外連核心區的2條鏈路的進行鏈路捆綁,在路由計算上,只有一條路徑,但是該路徑包含2個萬兆端口,提供物理層面的冗餘。
04
前置機區規劃
1拓撲
前置機區連接生產類系統的前置機等;該區使用4臺千兆智能交換機S5500-52C-EI交換 機。4臺 S5500-52C-EI交換機採用IRF虛擬化技術將4臺交換機虛擬成一臺交換機。
2 VLAN規劃
上聯到核心區的鏈路進行鏈路捆綁,採用同一個VLAN 進行互聯。 在分區內部根據不同級別的應用再進一步分配。VLAN 分配主要考慮互聯VLAN 和主機。
3路由規劃
接入交換機啟用三層功能,前置機網關設置在接入交換機上,接入交換機與核心交換機間運行OSPF路由協議。在設備間運行OSPF時,建議將接入交換機的相關接口劃分在一個 OSPF- STUB區域中,以免數據中心中收到過多的LSA。
各個功能區與核心區通訊路徑要保證雙向一致性和確定性。在任何鏈路狀況下,通訊雙方的往返路徑均相同,並且可預知。前置區外連核心區的2 條萬兆鏈路的進行鏈路捆綁, 在路由計算上,只有一條路徑,但是該路徑包含2 個萬兆端口,提供物理層面的冗餘。
05
廣域網接入區規劃
廣域網接入區主要連接與各省市分行,天津市內各區縣支行,分理處等的上聯網絡設 備,該區使用兩臺SR6608 核心路由器作為各分支機構的上聯設備,每個SR6608 配置3個CPOS廣域接口,2 個主用,一個備用。
1 路由規劃
廣域網接入區與整個數據中心採用統一的策略和部署方案,在核心區作為OSPF骨幹區 的前提下,廣域網接入區內部路由協議採用OSPF,在區域內路由詳細規劃上,建議如下:
廣域網路由器與核心交換機互聯的端口,劃分為OSPF骨幹域0域
廣域網路由器下聯接口,按照原有的路由規劃,劃分為1、 2、 3、 4 和 10、 20 、30 、40 等幾個路由子域。路由器到核心交換機上的鏈路採用Trunk 鏈路進行連接。
06
IRF虛擬化技術
IRF 2交換機虛擬化實現多臺設備虛擬化成一臺設備,即多臺設備當做一臺設備來運行、管理。 大大簡化數據中心日益複雜的組網和管理維護,相比於傳統的MSTP、VRRP和多路徑 的路由協議,IRF 可以免除這些協議的部署,簡化設備併成倍的提升網絡性能與可靠性。
1 技術優點
IRF堆疊具有以下主要優點:
簡化管理。IRF堆疊形成之後,用戶連接到任何一臺成員設備的任何一個端口可以登錄 IRF堆疊系統, 這相當於直接登錄IRF 系統中的Master設備, 通過對Master設備的配置達到管理整個IRF堆疊以及堆疊內所有成員設備的效果,而不用物理連接到每臺成員設備上分別對它們進行配置和管理。
簡化網絡運行。IRF形成的虛擬設備中運行的各種控制協議也是作為單一設備統一運行 的,例如路由協議會作為單一設備統一計算。這樣省去了設備間大量協議報文的交互,簡化了網絡運行,縮短了網絡動盪時的收斂時間。IRF 技術的這一特性是常見的集群技術所不具 備的,後者僅僅能完成設備管理上的統一,而集群中的設備在網絡中仍然分別作為獨立節點運行。
低成本。 IRF 技術是將一些較低端的設備虛擬成為一個相對高端的設備使用,從而具有高端設備的端口密度和帶寬,以及低端設備的成本。比直接使用高端設備具有成本優勢。
強大的網絡擴展能力。通過增加成員設備,可以輕鬆自如的擴展堆疊系統的端口數、帶寬和處理能力。
保護用戶投資。由於具有強大的擴展能力,當用戶進行網絡升級時,不需要替換掉原有設備,只需要增加新設備既可。很好的保護了用戶投資。
高可靠性。堆疊的高可靠性體現在多個方面,比如: 成員設備之間堆疊物理端口支持聚合功能,堆疊系統和上、下層設備之間的物理連接也支持聚合功能,這樣通過多鏈路備份提高了堆疊系統的可靠性;堆疊系統由多臺成員設備組成,Master設備負責堆疊的運行、管理和維護, Slave 設備在作為備份的同時也可以處理業務,一旦Master 設備故障,系統會迅速自動選舉新的Master ,以保證通過堆疊的業務不中斷,從而實現了設備級的1:N 備份。IRF 是網絡可靠性保障的最優解決方案。
高性能。 由於IRF設備是由多個支持IRF特性的單機設備堆疊而成的,IRF設備的交換容 量和端口數量就是IRF內部所有單機設備交換容量和端口數量的總和。因此,IRF技術能夠通過多個單機設備的堆疊, 輕易的將設備的核心交換能力、用戶端口的密度擴大數倍, 從而大幅度提高了設備的性能。
豐富的功能。IRF支持包括IPv4、 IPv6、 MPLS、安全特性、OAA 插卡、高可用性等全部交換機特性,並且能夠高效穩定地運行這些功能,大大擴展了IRF設備的應用範圍。
廣泛的產品支持。IRF 技術作為一種通用的虛擬技術,對不同形態產品的堆疊一體化的 實現,使用同一技術,同時支持盒式設備的堆疊,以及框式分佈式設備的堆疊。
2 典型組網應用
使用 IRF 擴展端口數量
使用 IRF擴展端口數量如下圖所示。當接入的用戶數增加到原交換機端口密度不能滿足 接入需求時,可以通過在原有的堆疊系統中增加新的交換機而得到滿足。
使用 IRF 擴展系統處理能力
使用 IRF擴展系統處理能力如下圖所示。當中心的交換機轉發能力不能滿足需求時,可 以增加新交換機與原交換機組成堆疊系統來實現。若一臺交換機轉發能力為64M PPS,則通過增加一臺交換機進行擴展後,整個堆疊設備的轉發能力為128MPPS。需要強調的是,是整個堆疊設備的轉發能力整體提高,而不是單個交換機的轉發能力提高。
使用 IRF 擴展帶寬
使用 IRF擴展帶寬如下圖所示,當邊緣交換機上行帶寬增加時,可以增加新交換機與原 交換機組成堆疊系統來實現。將成員設備的多條物理鏈路配置成一個聚合組,可以增加到中心交換機的帶寬。而對中心交換機的而言,邊緣交換機的數量並沒有變化,物理上的兩臺交 換機看起來就是一臺交換機,原有交換機會將當前的配置批量備份到新加入的交換機。因此,這種變化對網絡規劃和配置影響很小。
跨越空間使用IRF
IRF2.0 可以通過光纖將相距遙遠的設備連接形成堆疊設備,如下圖所示,每個樓層的用 戶通過樓道交換機接入外部網絡,現使用堆疊光纖將各樓道交換機連接起來形成一個堆疊設備,這樣, 相當於每個樓只有一個接入設備,網絡結構變得更加簡單;每個樓層有多條鏈路到達核心網絡,網絡變得更加健壯、可靠; 對多臺樓道交換機的配置簡化成對對堆疊系統的配置,降低了管理和維護的成本。
使用 IRF 簡化組網
常見的網絡組網使用MSTP、VRRP等協議來支持鏈路冗餘、網關備份。 這種組網在各種場合均會使用,這裡僅以匯聚層與接入層之間的組網為例。
使用 IRF2.0後,匯聚層的多個設備成為了一個單一的邏輯設備,接入設備直接連接到虛擬設備。這個簡化後的組網不再需要使用MSTP、VRRP協議,簡化了網絡配置。同時依靠跨 設備的鏈路聚合,在成員出現故障時不再依賴MSTP、 VRRP等協議的收斂,提高了可靠性。
閱讀更多 思恆科技 的文章
