引言：隨著業(yè)務需求的不斷增加，銀行信息系統(tǒng)對網(wǎng)絡的依賴程度越來越高，對筆者單位網(wǎng)絡環(huán)境搭建提出了更高的要求，本文介紹用虛擬化技術(shù)搭建千兆-萬兆網(wǎng)絡實例，以供大家學習借鑒。

隨著信息技術(shù)的不斷發(fā)展，信息化建設程度不斷提高，業(yè)務需求在不斷增加，銀行信息系統(tǒng)對網(wǎng)絡的依賴程度越來越高，這對我單位網(wǎng)絡環(huán)境搭建也提出了更高要求。傳統(tǒng)意義上的快速以太網(wǎng)及千兆以太網(wǎng)在某種程度上已經(jīng)不能滿足網(wǎng)絡需求。在這樣的背景下，我單位著手搭建千兆-萬兆網(wǎng)絡以滿足網(wǎng)絡需求。

網(wǎng)絡虛擬化技術(shù)簡介

網(wǎng)絡虛擬化主要是將N個物理網(wǎng)絡設備通過技術(shù)手段組成一個邏輯設備，對網(wǎng)絡設備進行統(tǒng)一集中的管理。對于網(wǎng)絡虛擬化技術(shù)，各設備廠商均推出了自家的虛擬化解決方案，如思科的VSS，華為的CSS，H3C的IRF2等。

網(wǎng)絡虛擬化技術(shù)主要包括分布設備管理、分布冗余路由和分布鏈路聚合3個方面的技術(shù)。利用虛擬化路由熱備份技術(shù)，增強虛擬架構(gòu)可靠性和高性能，消除單點故障，避免業(yè)務中斷；通過分布式跨設備鏈路聚合技術(shù)，實現(xiàn)多條上行鏈路的負載分擔和互為備份，提高網(wǎng)絡架構(gòu)冗余性和鏈路資源利用率；共用一個IP管理整個彈性架構(gòu)，簡化網(wǎng)絡設備和拓撲管理，提高運營效率。

支持網(wǎng)絡虛擬化的設備可以使用戶的投資得到更多的價值回報，這主要體現(xiàn)在易管理、易擴充、高可靠性幾個方面，多臺設備的統(tǒng)一管理、按需購買、平滑擴充；1：N完全備份的高可靠性。

技術(shù)方案

1.總體設計

筆者單位全網(wǎng)與互聯(lián)網(wǎng)物理隔離。網(wǎng)絡采用萬兆以太網(wǎng)技術(shù)，網(wǎng)絡結(jié)構(gòu)分為3層，分別是核心層、匯聚層和接入層，網(wǎng)絡拓撲圖如圖1所示。

圖1 總體結(jié)構(gòu)圖

依據(jù)功能進行網(wǎng)絡主干規(guī)劃，核心層采用2臺支持IRF2技術(shù)的H3C S10508數(shù)據(jù)中心級交換機構(gòu)成這個內(nèi)部網(wǎng)絡核心架構(gòu)，能提供強大的交換機能力和冗余備份，并因采用IRF2技術(shù)，能方便地進行管理和擴充。

匯聚層采用支持CSS的華為S7700、S5700系列交換機，分為生產(chǎn)區(qū)、工作區(qū)、管理區(qū)和安全區(qū)，通過萬兆冗余鏈路，分別連接到核心設備上，以提高網(wǎng)絡的穩(wěn)定性。

接入層設備采用思科、華為和H3C等公司的可管理接入交換機，通過千兆冗余鏈路與匯聚交換機連接，具有很好的接入控制能力。

網(wǎng)絡出口處采用2臺H3C 8804核心路由器作為下聯(lián)路由器，主要負責省內(nèi)各地市中支、縣支行的接入，并與2臺思科7609路由器上聯(lián)路由器連接，上聯(lián)總行。

配置兩臺天融信TG5307組成主備模式，對外聯(lián)作接入控制。采用2臺H3C 8808系列高端路由器作為金融網(wǎng)路由器與130多家外聯(lián)金融機構(gòu)連接，由于是單向?qū)鹑跈C構(gòu)開放服務，因此采用更為簡便的靜態(tài)路由協(xié)議。

為了更好地開發(fā)“數(shù)學益智游戲”校本課程，我們根據(jù)不同年齡段學生的心理特點和認知規(guī)律，制定了數(shù)學益智游戲的“菜單”（即游戲主題和內(nèi)容）。該課程體系設置基本仿照教科書的編排內(nèi)容，循序漸進，螺旋上升，分類整合，并確定了每個階段的目標和內(nèi)容（見表1）。

整個內(nèi)部核心交換機、匯聚交換機和下聯(lián)路由器使用OSPF動態(tài)路由協(xié)議，上聯(lián)路由器與下聯(lián)路由器運行BGP協(xié)議，所有訪問總行的流量通過默認路由指向上聯(lián)路由器。

部署入侵檢測系統(tǒng)，賽門鐵克防病毒軟件、LanDesk補丁分發(fā)，非法外聯(lián)防范等加強網(wǎng)絡安全。

2.網(wǎng)絡結(jié)構(gòu)設計

筆者單位網(wǎng)絡規(guī)模較大，普通的平面網(wǎng)絡結(jié)構(gòu)設計模型難以滿足設計的要求；層次型網(wǎng)絡設計模型，由于其機構(gòu)清晰，有良好的伸縮能力，易于實現(xiàn)和排除故障并易于管理等特點，可充分滿足網(wǎng)絡的需求。

因此，采用基于網(wǎng)絡虛擬化的核心結(jié)構(gòu)進行設計，核心層采用H3C的IRF2技術(shù)，匯聚層采用華為的CSS技術(shù)。其優(yōu)勢有：采用鏈路冗余設計，保證了整個網(wǎng)絡穩(wěn)定；很好地解決了端口擴展和交換能力，同時增強了設備的可靠性；網(wǎng)絡層次結(jié)構(gòu)更加完善、可匯總路由，降低核心路由表項，安全性更高，預防和控制能力更強，將對網(wǎng)絡的攻擊、病毒和破壞盡量控制在邊緣完成；各接入層內(nèi)部通訊量大，無需通過核心處理，采用層結(jié)構(gòu)更加合理。

3.路由協(xié)議設計

考慮到OSPF路由協(xié)議調(diào)整策略更加靈活，易于網(wǎng)絡維護和問題排查，并且現(xiàn)有技術(shù)人員對于OSPF協(xié)議熟悉程度更好，因此選擇OSPF作為省內(nèi)范圍的路由協(xié)議。其中省級中支的核心交換機、匯聚交換機等劃分到area0中，地市中支與轄屬縣支行按地域區(qū)號尾數(shù)劃分，分別對應到area2-area9中。

劃分區(qū)域使網(wǎng)絡層次更加分明，不同區(qū)域之間的進行路由匯總，間接縮小路由表容量，并減輕路由器轉(zhuǎn)發(fā)負擔。上聯(lián)路由器與下聯(lián)路由器統(tǒng)一運行BGP路由協(xié)議，并通過默認路由指向總行。

4.網(wǎng)絡管理設計

全網(wǎng)采用靜態(tài)IP地址，每個入網(wǎng)設備需要注冊才能使用，做到每個IP地址責任到人。部署深信服網(wǎng)絡流量分析系統(tǒng)，對全網(wǎng)流量傳輸?shù)臄?shù)據(jù)類型、來源、目標等實施精確監(jiān)測，隨時掌握重要數(shù)據(jù)鏈路上“傳什么”和“誰在傳”等信息。

通過網(wǎng)絡流量分析系統(tǒng)，網(wǎng)絡管理員均可以根據(jù)應用流量情況、分支行帶寬利用率、網(wǎng)絡時延和重傳率情況等指標對相應的網(wǎng)絡運行質(zhì)量進行分析，從而快速發(fā)現(xiàn)引起擁堵數(shù)據(jù)種類、源和目的地址，提高了處理網(wǎng)絡問題時“對癥下藥”的能力。

5.存在的問題及改進

整個網(wǎng)絡升級改造基本完成后，網(wǎng)絡性能得到極大提升，達到了預期的目標和要求。網(wǎng)絡運行過程中，發(fā)現(xiàn)電視會議開會期間，到各地市中支、縣支行的主鏈路帶寬占用率高，影響了其他業(yè)務的正常開展，而備份鏈路則相對寬松。

導致這個情況主要原因是，為達到鏈路負載均衡的目的，在OSPF協(xié)議的主備鏈路上COST值設置為相同的值，但地市中支、縣支行普遍將業(yè)務VLAN、電視會議VLAN主網(wǎng)關(guān)設置在主路由器（路由交換一體機）上，因此在電視會議開會過程中，網(wǎng)絡流量均偏向了主鏈路。因此，在下聯(lián)路由器采用了策略路由，將指向電視會議地址的流量全部引流至備路由器，進而從備鏈路流向，成功解決了該問題。

結(jié)論

網(wǎng)絡虛擬化技術(shù)提升快速建網(wǎng)能力，節(jié)約建網(wǎng)投資和使用成本，加強了網(wǎng)絡安全可靠和擴展能力，減輕運維壓力，是對網(wǎng)絡健壯性提升最有效方式之一。