楊冬武

（中航工業(yè)航空動(dòng)力機(jī)械研究所 湖南 412002）

0 引言

由于單位新建辦公區(qū)域，必然產(chǎn)生已有網(wǎng)絡(luò)與新建網(wǎng)絡(luò)連接和協(xié)同工作的問(wèn)題，異地園區(qū)網(wǎng)設(shè)計(jì)與建設(shè)應(yīng)該從物理、邏輯、安全三個(gè)方面著手，并根據(jù)自身的需求和特點(diǎn)綜合考慮、權(quán)衡利弊、突出重點(diǎn)，以保證已有和新建園區(qū)網(wǎng)能夠滿(mǎn)足用戶(hù)日益提高的網(wǎng)絡(luò)性能需求。

1 物理架構(gòu)設(shè)計(jì)

物理架構(gòu)設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的基礎(chǔ)，一旦設(shè)計(jì)建成較難更改，且網(wǎng)絡(luò)硬件產(chǎn)品更新周期較快，因此在資金允許的情況下網(wǎng)絡(luò)核心和骨干應(yīng)盡量采用較高性能的產(chǎn)品，以備今后的網(wǎng)絡(luò)擴(kuò)展和升級(jí)。

異地園區(qū)網(wǎng)的物理設(shè)計(jì)可以把兩個(gè)園區(qū)網(wǎng)的物理架構(gòu)設(shè)計(jì)成相同模式，并通過(guò)中間鏈路連接，也可以在已有園區(qū)網(wǎng)的基礎(chǔ)上對(duì)新的園區(qū)網(wǎng)進(jìn)行物理架構(gòu)設(shè)計(jì)，再通過(guò)中間鏈路連接。

傳統(tǒng)的園區(qū)網(wǎng)物理架構(gòu)是以核心交換機(jī)為中心，一方面通過(guò)匯聚交換機(jī)連接服務(wù)器，另一方面通過(guò)匯聚交換機(jī)連接樓層接入交換機(jī)，再通過(guò)接入交換機(jī)連接用戶(hù)終端。

核心交換機(jī)是園區(qū)網(wǎng)的整網(wǎng)核心，目前往往采用將兩臺(tái)物理核心交換機(jī)通過(guò)虛擬化技術(shù)虛擬為一臺(tái)的方式來(lái)提高核心交換機(jī)的性能、帶寬和穩(wěn)定性。

由于用戶(hù)終端對(duì)數(shù)據(jù)交換的要求和接入交換機(jī)性能都不斷提高，同時(shí)為減少不必要的中間數(shù)據(jù)交換環(huán)節(jié)，新建園區(qū)網(wǎng)可以選擇樓層接入交換機(jī)通過(guò)光纖直連核心的模式進(jìn)行數(shù)據(jù)交換，為提高鏈路帶寬和穩(wěn)定性，核心和核心之間、核心和樓層交換機(jī)之間往往采用鏈路聚合模式，即可以把兩個(gè)10G的單鏈路聚合成一個(gè)20G的雙鏈路，如果需求較高可以進(jìn)行40G甚至80G的鏈路聚合，而目前市場(chǎng)上能提供的光模塊最高帶寬為10G。聚合鏈路中任意一條單鏈路斷開(kāi)網(wǎng)絡(luò)不會(huì)中斷，且聚合的單條物理鏈路之間可以對(duì)流量進(jìn)行負(fù)載分擔(dān)。

異地園區(qū)網(wǎng)物理設(shè)計(jì)如圖1所示：

圖1 異地園區(qū)網(wǎng)物理設(shè)計(jì)

2 邏輯架構(gòu)設(shè)計(jì)

邏輯架構(gòu)設(shè)計(jì)是異地園區(qū)網(wǎng)設(shè)計(jì)的關(guān)鍵，關(guān)系到園區(qū)網(wǎng)建成后的邏輯結(jié)構(gòu)和核心交換機(jī)的運(yùn)行模式，進(jìn)而影響整個(gè)園區(qū)網(wǎng)的性能和擴(kuò)展性，異地園區(qū)網(wǎng)的邏輯架構(gòu)設(shè)計(jì)可參考以下三種模式，并根據(jù)園區(qū)網(wǎng)自身的特點(diǎn)權(quán)衡利弊，合理選擇。

2.1 物理單核心架構(gòu)

物理單核心架構(gòu)是指在兩個(gè)異地園區(qū)網(wǎng)中選擇其中一個(gè)作為整網(wǎng)核心，另一個(gè)園區(qū)網(wǎng)作為核心的一部分進(jìn)入接入。所有的策略、路由、網(wǎng)關(guān)都配置在物理核心交換機(jī)上，另一園區(qū)網(wǎng)的核心交換機(jī)實(shí)際上只是作為整網(wǎng)的匯聚交換機(jī)與物理核心交換機(jī)互連。

物理單核心架構(gòu)的優(yōu)點(diǎn)是在已有園區(qū)網(wǎng)的基礎(chǔ)上新建另一物理區(qū)域的園區(qū)網(wǎng)比較容易，可以不改變已有園區(qū)網(wǎng)的拓?fù)浣Y(jié)構(gòu)和核心配置，在不中斷正常業(yè)務(wù)的情況下，直接擴(kuò)展新建新的園區(qū)網(wǎng)，然后把兩個(gè)物理網(wǎng)絡(luò)進(jìn)行連接，使新建園區(qū)網(wǎng)成為已有園區(qū)網(wǎng)的一個(gè)子網(wǎng)，或者把核心調(diào)整部署在新建園區(qū)網(wǎng)一邊，使已有園區(qū)網(wǎng)成為新建園區(qū)網(wǎng)的一個(gè)子網(wǎng)。由于整網(wǎng)在拓?fù)浣Y(jié)構(gòu)上沒(méi)有實(shí)質(zhì)的變化，因此對(duì)正常的業(yè)務(wù)工作影響較小。

物理單核心架構(gòu)的缺點(diǎn)也非常明顯：

（1）整網(wǎng)依賴(lài)于物理上的單核心，一旦核心交換機(jī)宕機(jī)或出現(xiàn)故障將導(dǎo)致整網(wǎng)癱瘓或無(wú)法提供網(wǎng)絡(luò)服務(wù)，因此物理單核心架構(gòu)在邏輯上也是單核心。

（2）由于所有VLAN的網(wǎng)關(guān)都存在于核心交換機(jī)上，而作為接入子網(wǎng)的一邊沒(méi)有自己的核心交換機(jī)，這就導(dǎo)致接入子網(wǎng)的所有數(shù)據(jù)交換，即使是子網(wǎng)內(nèi)部的數(shù)據(jù)交換都必須繞到核心再返回，使異地園區(qū)網(wǎng)互連鏈路上增加了大量不必要的數(shù)據(jù)包，增加了鏈路負(fù)擔(dān)，降低了網(wǎng)絡(luò)性能和效率。

物理單核心架構(gòu)兩個(gè)異地園區(qū)網(wǎng)之間可以采用二層網(wǎng)絡(luò)協(xié)議進(jìn)行連接，因此可以在兩個(gè)物理網(wǎng)絡(luò)之間安裝加密機(jī)進(jìn)行中間鏈路的信息安全保護(hù)。

物理單核心架構(gòu)如圖2所示：

圖2 物理單核心架構(gòu)

2.2 邏輯單核心架構(gòu)

邏輯單核心架構(gòu)是將兩個(gè)異地園區(qū)網(wǎng)物理上的核心交換機(jī)通過(guò)虛擬化技術(shù)在邏輯上虛擬為一臺(tái)，通過(guò)虛擬化技術(shù)連接的兩個(gè)物理交換機(jī)配置完全相同，這樣兩個(gè)園區(qū)網(wǎng)在邏輯上成為一個(gè)整體，共用一個(gè)核心，所有的策略、路由、網(wǎng)關(guān)都配置在這個(gè)邏輯核心上，每個(gè)VLAN在整個(gè)園區(qū)網(wǎng)內(nèi)都是唯一的，兩地物理交換機(jī)的互連端口采用鏈路聚合的方式進(jìn)行連接，鏈路帶寬是聚合的物理鏈路帶寬的疊加，這樣部署的優(yōu)點(diǎn)是：

（1）由于兩臺(tái)物理交換機(jī)的互連端口采用鏈路聚合的方式進(jìn)行連接，使整網(wǎng)核心在網(wǎng)絡(luò)帶寬和性能上都有成倍的提高。

（2）任意一臺(tái)物理核心交換機(jī)宕機(jī)或出現(xiàn)故障，另一物理核心交換機(jī)仍能作為整網(wǎng)核心提供網(wǎng)絡(luò)服務(wù)，邏輯上的核心交換機(jī)能夠正常運(yùn)行，因?yàn)檫壿媶魏诵募軜?gòu)在物理上實(shí)際是雙核心。

（3）對(duì)網(wǎng)絡(luò)用戶(hù)影響最小，用戶(hù)可以在兩個(gè)異地園區(qū)網(wǎng)之間任意改變物理位置而不用修改IP地址，即同一VLAN可以存在于兩個(gè)異地園區(qū)網(wǎng)的任何物理位置。

（4）有利于在已有園區(qū)網(wǎng)的基礎(chǔ)上異地新建園區(qū)網(wǎng)，因?yàn)樵谶壿嬌闲陆ǖ膱@區(qū)網(wǎng)與已有園區(qū)網(wǎng)為同一網(wǎng)絡(luò)，核心交換機(jī)策略、VLAN劃分和用戶(hù)IP都不用做任何修改，而新增VLAN在兩個(gè)物理區(qū)域都能使用。

（5）由于配置策略完全相同，中間鏈路斷開(kāi)后兩地的物理核心交換機(jī)將獨(dú)自成為各自園區(qū)網(wǎng)的邏輯核心，不會(huì)影響兩個(gè)異地園區(qū)網(wǎng)的正常使用。

邏輯單核心架構(gòu)的缺點(diǎn)是由于兩個(gè)異地園區(qū)網(wǎng)的物理核心交換機(jī)之間采用虛擬化技術(shù)連接，這就要求中間鏈路為透明的兩層網(wǎng)絡(luò)連接，而不能使用較為安全的三層網(wǎng)絡(luò)安全協(xié)議連接，給中間鏈路連接的不可控區(qū)域帶來(lái)一定的安全隱患。

盡管從性能、穩(wěn)定性、健壯性、可擴(kuò)展性、方便用戶(hù)等方面考慮，邏輯單核心架構(gòu)是較為理想的選擇，但如果園區(qū)網(wǎng)與互聯(lián)網(wǎng)物理隔離的保密單位兩個(gè)異地園區(qū)網(wǎng)之間的物理鏈路存在不可控區(qū)域，則必須在兩個(gè)物理區(qū)域之間安裝密碼機(jī)進(jìn)行數(shù)據(jù)傳輸加密，而密碼機(jī)一般采用三層網(wǎng)絡(luò)安全協(xié)議，這就導(dǎo)致兩地核心交換機(jī)之間無(wú)法使用虛擬化技術(shù)，因此對(duì)于信息安全要求較高的單位，兩個(gè)互連的異地園區(qū)網(wǎng)之間如果存在不可控區(qū)域則不能采用邏輯單核心的架構(gòu)。

邏輯單核心架構(gòu)如圖3所示：

圖3 邏輯單核心架構(gòu)

2.3 邏輯雙核心架構(gòu)

邏輯雙核心架構(gòu)是指在兩個(gè)異地園區(qū)網(wǎng)內(nèi)分別建立各自的核心交換機(jī)，在各自的核心交換機(jī)上建立自己的VLAN網(wǎng)關(guān)、路由和配置，兩個(gè)園區(qū)網(wǎng)在物理上是一個(gè)整體，可以互連互通，相互交換數(shù)據(jù)，而在邏輯上是兩個(gè)獨(dú)立的網(wǎng)絡(luò)，

邏輯雙核心架構(gòu)的優(yōu)點(diǎn)是：

（1）即使中間的互連鏈路斷開(kāi)兩個(gè)物理網(wǎng)絡(luò)都能正常運(yùn)行，業(yè)務(wù)工作不受影響，因?yàn)檫壿嬰p核心架構(gòu)在物理上也是雙核心。

（2）由于VLAN網(wǎng)關(guān)存在于異地園區(qū)網(wǎng)各自的核心交換機(jī)上，兩個(gè)物理網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)交換只在本網(wǎng)內(nèi)部進(jìn)行，減少了中間互連鏈路的上不必要的數(shù)據(jù)流量。

（3）可以?xún)蓚€(gè)物理園區(qū)網(wǎng)同步建設(shè)，并各自建立自己的核心，建成后再通過(guò)物理鏈路互連，也可以在已有園區(qū)網(wǎng)的基礎(chǔ)上在另一物理區(qū)域新建園區(qū)網(wǎng)，然后將新老核心互連，在物理上成為一個(gè)網(wǎng)。

（4）邏輯雙核心架構(gòu)的兩個(gè)物理核心之間不需要使用虛擬化技術(shù)進(jìn)行邏輯上的虛擬整合，因此兩個(gè)異地園區(qū)網(wǎng)之間可以采用三層網(wǎng)絡(luò)安全協(xié)議進(jìn)行互連，即可以使用密碼機(jī)對(duì)互連鏈路上的數(shù)據(jù)通信進(jìn)行加密保護(hù)。

邏輯雙核心架構(gòu)的缺點(diǎn)是：由于同一VLAN的網(wǎng)關(guān)只能存在于一個(gè)核心交換機(jī)上，因此同一VLAN不能同時(shí)存在于兩個(gè)不同的物理區(qū)域，用戶(hù)要在兩個(gè)物理區(qū)域之間變更位置則必須修改IP地址。

邏輯雙核心架構(gòu)如圖4所示：

圖4 邏輯雙核心架構(gòu)

綜合考慮以上三種異地園區(qū)網(wǎng)的邏輯設(shè)計(jì)模式，對(duì)于網(wǎng)絡(luò)安全要求較高的保密單位，如兩個(gè)異地園區(qū)網(wǎng)之間存在不可控區(qū)域則應(yīng)采用邏輯雙核心架構(gòu)的設(shè)計(jì)模式。

3 網(wǎng)絡(luò)安全設(shè)計(jì)

對(duì)于保密單位來(lái)說(shuō)，信息安全是網(wǎng)絡(luò)存在的前提，既要在異地園區(qū)網(wǎng)中為用戶(hù)提供協(xié)同、高效的網(wǎng)絡(luò)運(yùn)行環(huán)境，又要保證整網(wǎng)的信息安全，這就需要對(duì)兩個(gè)異地網(wǎng)絡(luò)特別是中間連接鏈路進(jìn)行全面考慮、綜合防護(hù)。

如果兩個(gè)異地園區(qū)網(wǎng)之間存在不可控區(qū)域，則中間連接鏈路必須使用加密機(jī)進(jìn)行連接。

園區(qū)網(wǎng)內(nèi)部應(yīng)采用防火墻進(jìn)行有效的數(shù)據(jù)訪問(wèn)控制，防火墻應(yīng)設(shè)置于核心交換機(jī)、匯聚交換機(jī)和密碼機(jī)之間，以對(duì)服務(wù)器、用戶(hù)終端和異地區(qū)域之間的接口流量數(shù)據(jù)進(jìn)行端到端的訪問(wèn)控制。

異地園區(qū)網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)如圖5所示：

圖5 異地園區(qū)網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)

4 結(jié)束語(yǔ)

2010年6月，IEEE 802.ba 40G/100G標(biāo)準(zhǔn)發(fā)布，以太網(wǎng)跨入40G/100G時(shí)代，新建園區(qū)網(wǎng)的核心及骨干帶寬能達(dá)到10G以上，如果異地園區(qū)網(wǎng)之間存在不可控區(qū)域，考慮到網(wǎng)絡(luò)安全的因素，應(yīng)采用邏輯雙核心模式并在異地區(qū)域之間安裝加密機(jī)，而目前加密機(jī)所支持的最高網(wǎng)絡(luò)帶寬為1G，必然成為異地園區(qū)網(wǎng)互連的瓶頸，進(jìn)而影響核心及整網(wǎng)的性能。未來(lái)，隨著支持更高網(wǎng)絡(luò)帶寬加密機(jī)的推出有望解決這一問(wèn)題。

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第2版）.北京：電子工業(yè)出版社，1999.4[2]杭州華三通信技術(shù)有限公司.新一代網(wǎng)絡(luò)建設(shè)理論與實(shí)踐.北京：電子工業(yè)出版社，2011.10

[3]（美）赫斯.虛擬化技術(shù)實(shí)戰(zhàn).北京：人民郵電出版社，2012.3

[4]孫麗麗、王偉峰.網(wǎng)絡(luò)存儲(chǔ)與虛擬化技術(shù).北京：北京航空航天大學(xué)，2013.9