论文部分内容阅读
摘 要:网络与日常生活密不可分,如同道路和汽车的关系,信息抵达哪里网络就要覆盖到哪里。大型网络建设使用设备多配置复杂,需要有很强的基础理论知识和实践经验,即使这样,高级工程师在实例部署时也需要查询相关手册,影响网络建设质量和故障排查效率。本文从实用角度出发,将本人多年的网络经验撰写成典型案例,供相关人员参考实用。
关键词:典型工程;系统集成;网络技术
1 规划和设计
典型网络建设采用星型网络拓扑结构,通常分为三个部分,分别为:中枢网络建设、分支机构网络建设、临时接入网络建设三部分。中枢网络是整个网络的最核心部分,承载着集团网络的业务服务器、中枢区内的办公需求、各分支机构的网络接入和临时移动端的访问。分支机构网络建设是异地的办事机构,业务开展内容需要与中心区网络业务统一,需要与核心网络的物理链接,城市间的网络连接需要租用一条透明链路2M宽带的DDN,通过QOS技术实现对网络线路的服务质量和带宽控制。而外地出差的移动办公人员需要通过IPsecVPN技术拨入到集团络网内,实现对网络内容的临时访问逻辑链接。
设备选型时要注意几点:一是高性能,有万兆级或千兆级可选,分布式交换级成本较高但性能足够强劲;二是可扩展性要好,能够适应网络发展趋势要求,兼容不同厂商不同品牌的网络设备,网络升级改造时更容易实施;三是稳定可靠,网络设备开机时间较长能够连续工作,有互为冗余待用机制的硬件结构设计,物理端口间有负载均衡功能或利用软件功能实现对硬件的QOS控制;四是安全抗攻击,网络安全日益凸显,有突发性、恶意性等的特点,采取分布式碎片化的饱和攻击,能否抵御住各攻击有相应的安全过滤机制保障非常重要。
2 中枢网络建设及部署
顾名思义,网络的中枢是一个网络的最核心部分,重要业务的功能都集中在核心层,这是网络结构决定的,也是业务系统需要的。处在核心位置方便系统的部署,满足对基础设施性能的要求,如:核心交换接入带宽更高、核心设备的背板带更宽、更便于维修、保养、排障等操作。根据前述原则,核心交换机有4个指标:一是基本指标,网络接口类型、用户可用插槽数、端口密度;二是功能指标:VLAN划分、堆叠、单播和组播协议支持、可网管、链路层是否具备弹性恢复的功能(如生成树、链路捆绑)、在网络层是否支持动态路由协议、是否支持等价多路由功能、是否支持网关冗余协议(VRRP、HSRP)等;三是性能指标,背板带宽、包转发率、支持的MAC地址数量、QOS;四是可靠性指标,switch是否支持关键模块的冗余(电源、风扇、交换矩阵、引擎)。switch定型后,按照业务功能不同为各部门分配VLAN号,各VLAN间通利用三层交换功能实现VLAN间的路由,达到互联互访。为业务服务器划出一个DMZ专区,用于业务流的访问。核心层交换机涉及几个重要技术:
(1)STP(Spanning Tree Protocol生成树协议):虽然星型网络很少会发生环路故障,但是网络越大这种情况越无法避免,因此当线路有环路时,STP会断开环路防止广播风暴的产生,同时恢复备份通信。STP是一个基于二层实现的协议,可以在一个具有多VLAN、大量交换机、多厂商的复杂环境中很好的实施。在未启用STP情况下,有时会发生网络瘫痪,使用sniffer工具抓包发现,无目的帧充斥在全网循环发送,流量不断升高,在未启用STP情况下,故障很难排除。
(2)VLAN(Virtual Local Area Network虚拟局域网):一个工作在二层的网络协议,一个VLAN为一个广播域,也就是我们所说的局域网,利用它实现划分不同网段,控制广播范围的目的,主要协议是802.1Q。
(3)SVI(switch virtual interface交换机虚拟接口):即VLAN的虚拟三层逻辑接口,是一个三层技术,用于VLAN间的路由。
(4)Trunking:链路聚集,也叫中继或干道基于OSI第二层,举例说明,A交换机一个端口配置为TRUNK,B交换机一个端口配置为TRUNK,用网线分别连接两台SW的TRUNK口,这条线就形成了干道,A交换机有VLAN1和VLAN2,B交换机中也有VLAN1和VLAN2,这样通过干道A和B中的VLAN相互可以透传,也就是说,A交换机VLAN1里的PC可以与B交换机VLAN1里的PC进行通讯,VLAN2同理。
3 分支机构网络建设及部署
各分支机构的路由器分别与中枢区的汇聚路由器通过DDN专线链接,承担着分支机构的业务访问需求。各节点ROUTER与中枢区的总ROUTER实现P2P的典型配置。根据前述原则,核心路由器有6个指标:一是基本指标,网络接口类型、用户可用槽数、端口密度;二是功能指标,路由协议支持、源地址路由支持、透明桥接、策略路由方式、PPP、MLPPP(多鏈路PPP)、PPPOE支持、组播支持(因特网组管理协议IGMP、距离矢量组播路由协议DVMRP、协议无关组播协议PIM)、VPN支持、加密方式、MPLS;三是性能指标,全双工线速转发能力、设备吞吐量、端口吞吐量、背靠背桢数、路由表能力、背板能力、丢包率、时延、时延抖动、VPN支持能力、无故障工作时间、内部时钟精度、Qos能力(队列管理机制、端口硬件队列数、QOS分类方式、分类业务带宽保证、资源预留协议RSVP、区分服务IP DiffServ、CAR(承诺接入速率)支持);四是可靠性指标,冗余、热插拔组件、路由器冗余协议VRRP;五是网管指标,基于WEB的管理、网管类型、带外网管支持、网管粒度、计费能力/协议;六是分组语音能力,分组语音支持方式、协议支持、语音压缩能力、端口密度、信令支持。核心、节点路由器涉及几个重要技术:
(1)CBWFQ(class-based weighted fair queuing基于类的加权公平队列):通常使用ACL访问控制列表来定义数据流类别,实现对链路带宽的负载均衡、策略路由、优化控制。
(2)路由协议:主要是动、静态协议。
4 外地出差人员临时接入部署
外地出差人员通过VPN客户端软件拨入到集团络网内,实现对网络内容的临时访问。根据前述原则,各节点防火墙有3个指标:一是基本指标,产品类型(包括三种:基于包过滤技术的防火墙、基于代理的防火墙、基于状态监测的防火墙)、LAN接口;二是功能指标,协议支持、加密支持、认证支持、NAT支持、防御功能、管理功能、记录和报表功能;三是性能指标,并发连接数、吞吐量。重要技术:主要是IPsecVPN。
参考文献
[1]周亚军.思科CCIE路由交换v5实验指南[M].北京:电子工业出版社,2016-04-1.
[2](美)赫卡著,罗进文 等译 POD-Cisco ASA、PIX与FWSM防火墙手册(第二版)[M].北京:人民邮电出版社,2010-04-1.
关键词:典型工程;系统集成;网络技术
1 规划和设计
典型网络建设采用星型网络拓扑结构,通常分为三个部分,分别为:中枢网络建设、分支机构网络建设、临时接入网络建设三部分。中枢网络是整个网络的最核心部分,承载着集团网络的业务服务器、中枢区内的办公需求、各分支机构的网络接入和临时移动端的访问。分支机构网络建设是异地的办事机构,业务开展内容需要与中心区网络业务统一,需要与核心网络的物理链接,城市间的网络连接需要租用一条透明链路2M宽带的DDN,通过QOS技术实现对网络线路的服务质量和带宽控制。而外地出差的移动办公人员需要通过IPsecVPN技术拨入到集团络网内,实现对网络内容的临时访问逻辑链接。
设备选型时要注意几点:一是高性能,有万兆级或千兆级可选,分布式交换级成本较高但性能足够强劲;二是可扩展性要好,能够适应网络发展趋势要求,兼容不同厂商不同品牌的网络设备,网络升级改造时更容易实施;三是稳定可靠,网络设备开机时间较长能够连续工作,有互为冗余待用机制的硬件结构设计,物理端口间有负载均衡功能或利用软件功能实现对硬件的QOS控制;四是安全抗攻击,网络安全日益凸显,有突发性、恶意性等的特点,采取分布式碎片化的饱和攻击,能否抵御住各攻击有相应的安全过滤机制保障非常重要。
2 中枢网络建设及部署
顾名思义,网络的中枢是一个网络的最核心部分,重要业务的功能都集中在核心层,这是网络结构决定的,也是业务系统需要的。处在核心位置方便系统的部署,满足对基础设施性能的要求,如:核心交换接入带宽更高、核心设备的背板带更宽、更便于维修、保养、排障等操作。根据前述原则,核心交换机有4个指标:一是基本指标,网络接口类型、用户可用插槽数、端口密度;二是功能指标:VLAN划分、堆叠、单播和组播协议支持、可网管、链路层是否具备弹性恢复的功能(如生成树、链路捆绑)、在网络层是否支持动态路由协议、是否支持等价多路由功能、是否支持网关冗余协议(VRRP、HSRP)等;三是性能指标,背板带宽、包转发率、支持的MAC地址数量、QOS;四是可靠性指标,switch是否支持关键模块的冗余(电源、风扇、交换矩阵、引擎)。switch定型后,按照业务功能不同为各部门分配VLAN号,各VLAN间通利用三层交换功能实现VLAN间的路由,达到互联互访。为业务服务器划出一个DMZ专区,用于业务流的访问。核心层交换机涉及几个重要技术:
(1)STP(Spanning Tree Protocol生成树协议):虽然星型网络很少会发生环路故障,但是网络越大这种情况越无法避免,因此当线路有环路时,STP会断开环路防止广播风暴的产生,同时恢复备份通信。STP是一个基于二层实现的协议,可以在一个具有多VLAN、大量交换机、多厂商的复杂环境中很好的实施。在未启用STP情况下,有时会发生网络瘫痪,使用sniffer工具抓包发现,无目的帧充斥在全网循环发送,流量不断升高,在未启用STP情况下,故障很难排除。
(2)VLAN(Virtual Local Area Network虚拟局域网):一个工作在二层的网络协议,一个VLAN为一个广播域,也就是我们所说的局域网,利用它实现划分不同网段,控制广播范围的目的,主要协议是802.1Q。
(3)SVI(switch virtual interface交换机虚拟接口):即VLAN的虚拟三层逻辑接口,是一个三层技术,用于VLAN间的路由。
(4)Trunking:链路聚集,也叫中继或干道基于OSI第二层,举例说明,A交换机一个端口配置为TRUNK,B交换机一个端口配置为TRUNK,用网线分别连接两台SW的TRUNK口,这条线就形成了干道,A交换机有VLAN1和VLAN2,B交换机中也有VLAN1和VLAN2,这样通过干道A和B中的VLAN相互可以透传,也就是说,A交换机VLAN1里的PC可以与B交换机VLAN1里的PC进行通讯,VLAN2同理。
3 分支机构网络建设及部署
各分支机构的路由器分别与中枢区的汇聚路由器通过DDN专线链接,承担着分支机构的业务访问需求。各节点ROUTER与中枢区的总ROUTER实现P2P的典型配置。根据前述原则,核心路由器有6个指标:一是基本指标,网络接口类型、用户可用槽数、端口密度;二是功能指标,路由协议支持、源地址路由支持、透明桥接、策略路由方式、PPP、MLPPP(多鏈路PPP)、PPPOE支持、组播支持(因特网组管理协议IGMP、距离矢量组播路由协议DVMRP、协议无关组播协议PIM)、VPN支持、加密方式、MPLS;三是性能指标,全双工线速转发能力、设备吞吐量、端口吞吐量、背靠背桢数、路由表能力、背板能力、丢包率、时延、时延抖动、VPN支持能力、无故障工作时间、内部时钟精度、Qos能力(队列管理机制、端口硬件队列数、QOS分类方式、分类业务带宽保证、资源预留协议RSVP、区分服务IP DiffServ、CAR(承诺接入速率)支持);四是可靠性指标,冗余、热插拔组件、路由器冗余协议VRRP;五是网管指标,基于WEB的管理、网管类型、带外网管支持、网管粒度、计费能力/协议;六是分组语音能力,分组语音支持方式、协议支持、语音压缩能力、端口密度、信令支持。核心、节点路由器涉及几个重要技术:
(1)CBWFQ(class-based weighted fair queuing基于类的加权公平队列):通常使用ACL访问控制列表来定义数据流类别,实现对链路带宽的负载均衡、策略路由、优化控制。
(2)路由协议:主要是动、静态协议。
4 外地出差人员临时接入部署
外地出差人员通过VPN客户端软件拨入到集团络网内,实现对网络内容的临时访问。根据前述原则,各节点防火墙有3个指标:一是基本指标,产品类型(包括三种:基于包过滤技术的防火墙、基于代理的防火墙、基于状态监测的防火墙)、LAN接口;二是功能指标,协议支持、加密支持、认证支持、NAT支持、防御功能、管理功能、记录和报表功能;三是性能指标,并发连接数、吞吐量。重要技术:主要是IPsecVPN。
参考文献
[1]周亚军.思科CCIE路由交换v5实验指南[M].北京:电子工业出版社,2016-04-1.
[2](美)赫卡著,罗进文 等译 POD-Cisco ASA、PIX与FWSM防火墙手册(第二版)[M].北京:人民邮电出版社,2010-04-1.