賀蓉 王宇 馬文洪 劉澤光
摘要 隨著社會的進步,互聯(lián)網(wǎng)技術不斷發(fā)展深入,我國各大企業(yè)的通信網(wǎng)絡面臨著嚴峻挑戰(zhàn)。信息網(wǎng)絡的優(yōu)化設計已成為各企業(yè)急需解決的問題。文章通過對信息網(wǎng)絡架構、設備、協(xié)議、接入端等幾方面對企業(yè)網(wǎng)絡優(yōu)化進行了分析探討。做到網(wǎng)絡架構層次清晰,具有高可靠性、開放性和可拓展性的特點。
關鍵詞 信息網(wǎng)絡;優(yōu)化原則;優(yōu)化策略
中圖分類號 TP3 文獻標識碼A 文章編號2095—6363(2016)04—0008—02
隨著社會的進步,互聯(lián)網(wǎng)技術不斷發(fā)展深入,我國各大企業(yè)的通信網(wǎng)絡面臨著嚴峻挑戰(zhàn),一方面由于網(wǎng)絡用戶數(shù)的驚人發(fā)展,網(wǎng)絡規(guī)模的不斷擴大,原有網(wǎng)絡硬件設備及技術的匱乏,已造成網(wǎng)絡出現(xiàn)各類復雜化、多樣化的問題。單靠管理人員日常的維護,已不能滿足企業(yè)發(fā)展的需要;另一方面,企業(yè)用戶對信息網(wǎng)絡新技術及網(wǎng)絡運行高效穩(wěn)定的需求,原有的信息網(wǎng)絡普遍存在周期短、負荷重、運行緩慢的狀況。信息網(wǎng)絡的優(yōu)化設計已成為各企業(yè)面臨的急需解決的問題。文章通過對信息網(wǎng)絡架構、設備、協(xié)議、接入端等幾方面進行了分析探討,對企業(yè)網(wǎng)絡進行了優(yōu)化。
1信息網(wǎng)絡優(yōu)化原則
1.1可擴展性原則
網(wǎng)絡優(yōu)化設計采用層次化設計,每個層次配置冗余設備,在網(wǎng)絡互聯(lián)層、匯聚層、核心層的設備都采用模塊化設計,可根據(jù)網(wǎng)絡的發(fā)展進行靈活擴展。
1.2高可用性原則
核心關鍵設備均采用全冗余設計,每個層次都采用雙機熱備的方式,層次與層次之間也采用全冗余連接。匯聚層采用ECMP(等價路由)、HSRP(熱備份路由協(xié)議)實現(xiàn)高效、負載均衡的雙機備份及鏈路的捆綁設計。
1.3靈活性原則
網(wǎng)絡采用模塊化設計,可簡化互連網(wǎng)絡的復雜性,同時為后續(xù)網(wǎng)絡擴展奠定了基礎。由于使模塊間的相關聯(lián)系大大減小,使得網(wǎng)絡可以方便地進行后續(xù)的擴展操作。
1.4安全性原則
信息網(wǎng)絡應有完整的安全策略控制體系以實現(xiàn)網(wǎng)絡的安全性原則。提供DoS服務、SSH安全協(xié)議以防止網(wǎng)絡的惡意進攻及對遠端管理的帶外設備管理方式進行加密等以保證網(wǎng)絡管理的安全性。同時防火墻要實現(xiàn)備份與負載均衡,以提高安全性及設備利用率。
2網(wǎng)絡架構的優(yōu)化
2.1層次化的網(wǎng)絡接入架構
這里所說的三層網(wǎng)絡架構采用的是層次化模型設計,將復雜的網(wǎng)絡分成幾個層次來設計,分別是核心層、匯聚層、接入層。三層網(wǎng)絡架構具有網(wǎng)絡性能高,層次清晰,網(wǎng)絡管理直觀、方便的特點。通過利用每個層次著重于某些特定功能的設置,使一個復雜的大問題變成許多個簡單的小問題,合理地分散了網(wǎng)絡設備帶來的安全風險。
1)核心層。核心層作為網(wǎng)絡最重要的部分只提供最簡單的功能,該層需要設計成高可用并且總是處于運行狀態(tài)。關鍵目標是提供數(shù)據(jù)流恢復,提供冗余性(交換機、引擎、線卡、光纖鏈路)。網(wǎng)絡核心區(qū)域不需要實現(xiàn)復雜的策略服務,也不需要直接提供用戶和服務器之間的連通。核心層可作為提供網(wǎng)絡設備、應用及數(shù)據(jù)存儲設備等其他功能區(qū)域的設備。網(wǎng)絡核心堅持“越簡單配置越好”這一原則,即采用最低的核心配置來降低配置的復雜性進而減少出現(xiàn)運行錯誤的概率。
2)匯聚層。匯聚層的主要作用是在工作站接入核心層前先做匯聚,以此來減輕核心層設備的負荷。由于匯聚層處于網(wǎng)絡接入層和核心層之間,所以要盡量采用同一系列的交換機設備,支持三層交換技術,并配置高速光模塊,以達到網(wǎng)絡隔離和分段的目的。網(wǎng)絡匯聚層中的交換機可以采用端口匯聚技術進行捆綁以實現(xiàn)冗余,同時采用三層路由互聯(lián),防止了鏈路出現(xiàn)環(huán)路,保證所有上行鏈路都將有效轉發(fā)流量。
3)接入層。接入層作為網(wǎng)絡接入邊界可在用戶接入端和架構間劃分智能化的邊界,同時可提供網(wǎng)絡安全服務。接入層可提供以下安全服務:端口安全;動態(tài)ARP檢測;MAC地址三位一體綁定等。網(wǎng)絡身份驗證、應用服務(QoS標記、排隊等)、智能網(wǎng)絡控制服務(路由協(xié)議、端口聚合等)物理架構服務(以太網(wǎng)供電POE)等。
2.2三層路由架構
在滿足層次化網(wǎng)絡接入架構的連接后,需要考慮的是如何實現(xiàn)這些設備之間的數(shù)據(jù)信息傳遞,為了提高在發(fā)生鏈路或節(jié)點故障時提供更快的收斂速度,避免二層鏈路可能造成的環(huán)路,以及減少因突發(fā)異常流量造成對核心設備的性能影響,可使用三層路由架構。三層路由主要包含動態(tài)路由協(xié)議和靜態(tài)路由協(xié)議。
1)動態(tài)路由協(xié)議。路由協(xié)議是用于網(wǎng)絡路由器之間交換路由信息的協(xié)議。可以動態(tài)獲取整個網(wǎng)絡的路由信息,選擇最佳路徑,然后將路徑添加到路由表中。動態(tài)路由適用于網(wǎng)絡規(guī)模大、網(wǎng)絡拓撲復雜的網(wǎng)絡。
開放式最短路徑優(yōu)先(OSPF)是一個鏈路狀態(tài)路由協(xié)議,具有快速收斂功能,能夠適應大型網(wǎng)絡架構;使用分層區(qū)域體系,能夠減少單個路由器的CPU負擔正確處理錯誤路由信息,構成結構化的網(wǎng)絡;在網(wǎng)絡中,OSPF可作為核心交換區(qū)與各服務器接入?yún)^(qū)和匯聚交換區(qū)之間主要的內部網(wǎng)關路由協(xié)議(IGP),為應用通信提供最優(yōu)的路由算法和最短的路徑,并提供路徑冗余,為業(yè)務的高可用性提供保障。
2)靜態(tài)路由協(xié)議。靜態(tài)路由協(xié)議一般是指網(wǎng)絡管理員在路由器中手動配置的固定路由表,在所有的路由中,靜態(tài)路由優(yōu)先級最高,因為其簡單、高效、可靠,不會像動態(tài)的那樣隨著網(wǎng)絡的調整改變而變化。由于無法對網(wǎng)絡的改變作出反映,靜態(tài)路由一般被用于網(wǎng)絡規(guī)模不大、拓撲結構固定的網(wǎng)絡中。靜態(tài)路由和動態(tài)路由都有各自不同的特點和適用范圍,當動態(tài)路由與靜態(tài)路由發(fā)生沖突時,我們一般是以靜態(tài)路由為準,動態(tài)路由則通常作為靜態(tài)路由的補充存在著,在局域網(wǎng)的邊界區(qū)域也可采用靜態(tài)路由來進行輔助路由的轉發(fā)。
2.3二層扁平架構
扁平化的網(wǎng)絡架構有很多優(yōu)勢:首先,網(wǎng)絡中利用能力最強、功能最豐富的核心設備來提供集中的業(yè)務控制和管理,這樣不僅有利于功能和業(yè)務的部署,而且由于這些功能是由核心設備提供的,確保了在提供這些業(yè)務和功能的同時也具有較好的處理性能;其次,核心設備的高可靠性為這些應用和業(yè)務的部署提供了保障。另外,扁平化后的網(wǎng)絡只需要考慮核心層設備是否能夠支持這些業(yè)務特性即可,因為業(yè)務功能只涉及到核心層設備。邊緣接入層設備只需對端口和帶寬進行擴充和增加即可。
對于原有的二層結構的局域網(wǎng),我們可以根據(jù)公司各部門物理位置變動情況來判斷其改造情況,這樣更易于管理和故障的判斷。如果物理位置變動頻繁,即使用二層結構,新建網(wǎng)絡,變動相對較小最好使用三層結構便于網(wǎng)絡的管理及相應功能的實現(xiàn)。
3冗余優(yōu)化
3.1設備冗余優(yōu)化
采用虛擬交換系統(tǒng)(VSS),虛擬交換系統(tǒng)是為了提高運營效率、增強不間斷通信,通過網(wǎng)絡系統(tǒng)虛擬化技術將兩臺或是多臺用同一系列交換機組合成單一虛擬交換機,將系統(tǒng)帶寬容量擴展到原機箱引擎的2倍。VSS通過簡化網(wǎng)絡將交換機管理開銷降低至少50%。管理單一配置文件和節(jié)點,無需用相同策略配置冗余交換機兩次。
3.2引擎冗余優(yōu)化
引擎是核心設備的生命線,一旦引擎出現(xiàn)故障,設備將無法正常工作,同時引擎具有擴充核心設備的功能,如當一個引擎down掉后,備引擎直接成為主引擎。這樣減少了網(wǎng)絡的斷網(wǎng)時間。雙引擎是核心層必備冗余措施。
3.3電源冗余優(yōu)化
核心層和匯聚層設備上通常會采用雙電源設計來防止核心層設備斷電導致網(wǎng)絡大面積癱瘓。
3.4傳輸鏈路冗余
鏈路聚合是指將多個物理端口捆綁在一起,成為一個邏輯端口,以實現(xiàn)出/入流量在各成員端口中的負荷分擔。鏈路聚合增加了鏈路帶寬、實現(xiàn)了鏈路傳輸彈性和冗余性。
3.5協(xié)議路徑冗余
隨著企業(yè)網(wǎng)絡規(guī)模的不斷增大,網(wǎng)絡拓撲結構不住的發(fā)生著變化,造成網(wǎng)絡中運行著大量的協(xié)議報文,降低了網(wǎng)絡的帶寬利用率。OSPF協(xié)議可以通過將自治系統(tǒng)劃分成不同的區(qū)域(Area)來解決每一次網(wǎng)絡變化帶來的路由重新計算問題。
3.6安全性優(yōu)化
區(qū)域訪問策略優(yōu)化,使全網(wǎng)安全策略部署清晰,結構明朗,維護簡單,安全策略不重復部署,將每個安全區(qū)域的inbound的方向做精確到端口的安全策略,而outbound的方向默認是全部允許通過,但是為避免沒有用的流量仍然在網(wǎng)絡核心中傳播,將outbound的流量使用區(qū)域匯總地址來限制該區(qū)域能訪問其他區(qū)域的流量才允許出去,其他流量直接不允許離開自己的區(qū)域。每個區(qū)域的數(shù)據(jù)訪問另一個區(qū)域的數(shù)據(jù)均需要穿越兩道防火墻。
3.7接入安全優(yōu)化
端口安全的特性會通過MAC地址表記錄連接到交換機端口的以太網(wǎng)MAC地址,通過綁定,并只允許某個MAC地址通過本端口,其他MAc地址發(fā)送的數(shù)據(jù)包會被阻止。端口的安全特性可以防止未經(jīng)允許的設備訪問互聯(lián)網(wǎng)絡,增強其安全性。同時也可用于防止MAC地址泛洪造成MAC地址表填滿的狀況。
3.8網(wǎng)管服務器優(yōu)化
部署一臺網(wǎng)管服務器,維護人員通過網(wǎng)管服務器管理網(wǎng)絡設備,每次登陸,服務器都有記錄。起到了集中管理作用,便于統(tǒng)計操作人員管理信息。
4結論
以上討論的只不過是信息網(wǎng)絡優(yōu)化中的冰山一角。如信息網(wǎng)絡出現(xiàn)問題還要從全局出發(fā),注重細節(jié)分析,多角度提出設計優(yōu)化方案,以適應企業(yè)需求。網(wǎng)絡優(yōu)化設計要適應需求的發(fā)展,既要考慮到現(xiàn)實需求又要有長遠的考慮,同時有明確的階段目標和對策,使網(wǎng)絡具有可拓展性和業(yè)務升級的能力。另外還要適應技術的發(fā)展,做到網(wǎng)絡架構層次清晰,具有高可靠性、開放性和可拓展性的特點。