焦化、烧结炼铁、炼钢、轧钢
XX钢铁园区网络项目
方案建议书
思科系统(中国)网络技术有限公司
目 录
61项目概述
61.1项目背景
71.2项目简介
71.3主要内容
81.4思科介绍
112网络基础平台技术方案设计
112.1技术方案总体设计目标
112.1.1高可用性
112.1.2高安全性
112.1.3可扩展性
122.1.4可管理性
122.1.5先进性
132.2技术方案设计原则
132.2.1层次化原则
142.2.2标准化原则
152.3XX钢铁园区网络架构设计
152.3.1整体网络拓朴结构设计
162.3.2网络系统功能
172.3.3技术性能说明
192.3.4核心层设计
212.3.5汇聚层设计
222.3.6接入层设计
232.3.7数据中心区域设计
272.3.8存储网络SAN设计
382.3.9出口网络区域设计
402.3.10网络和安全管理区域设计
422.3.11骨干网路由协议设计
462.3.12IP 地址规划
482.3.13路由技术及二层交换技术的应用设计
542.3.14网络高可靠性设计
642.4基于IP网络的业务系统数据隔离保护
652.5MPLS规划设计
652.5.1MPLS/VPN技术介绍
662.5.2MPLS/VPN应用设计
672.5.3MPLS/VPN安全分析
702.5.4CISCO MPLS/VPN优点
713“三网合一”技术方案设计
713.1“三网合一”对网络平台的要求
723.2QOS规划设计
723.2.1QoS简介
753.2.2QoS设计实现
773.2.3IP网络的QOS可管理性
783.2.4接入/汇聚/核心QoS实现方案
793.2.5MPLS/VPN QOS分析
833.3IP语音系统的设计
833.3.1思科统一通信系统概貌
873.3.2XX钢铁园区IP语音系统架构
923.3.3XX钢铁园区IP电话系统构成
933.3.4拨号方案规划
953.3.5内网中防火墙穿越的解决
963.3.6园区IP语音系统的管理
993.3.7具体产品型号功能描述
1303.4组播规划设计 (针对视频业务)
1303.4.1组播技术简介
1333.4.2组播路由协议的选择
1353.4.3采用PIM-SSM的组播设计
1364网络安全和管理技术方案设计
1364.1安全防护体系设计
1364.1.1网络安全设计概述
1414.1.2网络基础设施安全防护
1424.1.3网络基础设施集成的安全防护技术
1474.1.4端点安全防护技术
1534.1.5思科Netflow技术
1604.1.6思科网络分析模块系统
1634.1.7访问控制和网络准入技术
1694.1.8网络准入控制NAC-自动安全防御方案
1744.1.9思科安全监控、分析、响应系统-多厂商安全设备管理
1804.2网络管理系统设计
1804.2.1CiscoWorks2000
1864.2.2安全管理套件VMS2.2
1894.2.3组播管理CMM2.3(2)
1914.2.4Cisco Secure ACS认证系统
1954.2.5MPLS/VPN管理
1994.2.6网管系统服务器的选择
2015基于IP网络的应用系统
2015.1工业以太网解决方案
2045.2无线网络及定位应用
2065.3协同通信系统-IPICS
2076设备选型及描述
2076.1设备配置说明
2076.1.1核心层设备
2096.1.2汇聚层设备
2106.1.3接入层设备
2206.1.4数据中心交换机
2226.1.5出口路由器
2236.1.6网络安全产品(防火墙、IDS和VPN网关)
2306.1.7网管软件
2336.1.8终端安全防护系统
2386.2网络设备要求
2386.2.1网络设备散热要求
2396.2.2网络设备供电要求
2406.2.3网络设备MTBF说明
2427思科技术服务体系介绍
2427.1技术支持与服务
2457.2CSSP技术支持服务
2467.3备品备件建议原则
2467.3.1质保期内备品备件
2467.3.2质保期外备品备件
2477.3.3客户备品备件
1 项目概述
1.1 项目背景
1.2 项目简介
XX钢铁园区网络是服务于XX钢铁生产和管理的基础平台网络,以IP通信技术为核心,设计为提供数据、语音、视频业务的综合承载平台,辅以相应的网络管理和优化工具,满足XX钢铁对网络稳定性、安全性、高性能的总体要求。
1.3 主要内容
本文的主要内容包括项目背景及应用需求介绍、网络基础平台和网管系统设计、三网合一设计及业务应用设计几个部分。
1.4 思科介绍
思科系统公司是全球领先的互联网设备和解决方案供应商。它的网络设备和应用方案将世界各地的人、计算设备以及网络联结起来,使人们能够随时随地利用各种设备传送信息。
思科公司是美国最成功的公司之一。1984年由斯坦福大学的一对教授夫妇创办,1986年生产第一台路由器,让不同类型的网络可以可靠地互相联接,掀起了一场通信革命。思科公司每年投入30多亿美元进行技术研发,约占其销售额的14%-17%。过去20年,思科几乎成为了“互联网、网络应用、生产力”的同义词,思科公司在其进入的每一个领域都成为市场的领导者。1990年上市以来,思科公司的年收益已从6900万美元上升到2005财年的248亿美元。
思科坚信:互联网将改变人们的工作、生活、学习以及娱乐的方式。思科公司自身就是“全球网络经济”模式的受益者。利用跨越互联网以及内部网的网络应用,提高生产效率,并获得了竞争优势。2004财年,这为思科增加了22亿美元的收益,同时也提升了客户与合作伙伴的满意度。思科在客户支持、产品预定以及交货时间上的竞争力也随之大大提高了。思科公司目前拥有全球最大的互联网商务站点,公司全球业务90%以上的交易是在网上完成的。
随着全球经济一体化进程的加快,网络在中国社会的各个领域正在得到广泛的应用,成为推动新经济发展的核心力量。作为全球网络界和应用方案的领导者,思科系统公司非常重视这一态势,及时进入中国市场,并先后在北京(1994年8月)、上海(1995年9月)、广州(1996年3月)和成都(1996年5月)设立了代表处。目前,思科中国约有700名员工。
1998年6月2日,思科系统公司总裁兼首席执行官约翰·钱伯斯先生自担任这个职位以来首次访华,宣布建立思科系统(中国)网络技术有限公司,统领思科在华各项业务;在北京建立网络技术实验室,为国内网络技术机构提供网络解决方案的性能测试、ATM宽带交换机的性能测试、千兆位路由光纤传输和虚拟局域网的性能评估测试。这是思科系统公司在全球的三个大型实验室之一,也是它在亚洲最大的网络实验室。
1999年1月14日,思科系统公司又投资数百万美元加强其在中国的客户支持体系,在北京建立技术支持中心。这个中心是思科系统公司全球四大技术支持中心之一,向思科系统公司在中国的合作伙伴和用户提供每周7天、每天24小时的软硬件维护及支持服务。
从1998年6月至2001年,前中国国家主席江泽民先后两次亲切接见了到访的思科系统公司总裁兼首席执行官约翰·钱伯斯先生,鼓励思科系统公司为推进中国社会信息化建设贡献力量。
思科系统公司十分重视帮助中国教育和培养网络人才,到2005年6月,已先后与国内210多所著名高校合作成立了思科网络技术学院。2004年6月,思科与教育部签署“与35所示范性软件学院合作项目备忘录”,思科将为教育部推动下的35所示范性软件学院提供基于“思科网络技术学院项目”的全面的网络技术课程体系。思科每年在国内举办上千场技术报告会和研讨会,向国内介绍当今世界最新网络技术和产品。
除了支持网络人才的培养,思科还发挥其技术经验和优势回馈于社会,2003年5月,思科向卫生部及中国疾病控制中心捐赠价值2150万元人民币的设备和服务,协助建设国家、省、市、县四级防疫专网,为抗击非典做力所能及的工作。
思科系统公司在中国的服务与支持日臻完善。目前,除已建成北京技术支持中心(TAC)和北京、上海、广州、成都备件库外,还提供中文3W服务与支持,包括24小时全球电话热线服务和中文电子邮件服务以及各种技术培训。经验丰富的思科工程师不仅为用户解决各种问题带来了极大方便,更重要的是加强了思科系统(中国)网络技术有限公司代理商的技术能力,使其能更好地在第一线为用户提供直接的支持。
在中国,思科系统公司积极谋求和其他厂商广泛的、全方位的、深层次的合作。思科所有的销售业务都是通过渠道伙伴进行的,思科非常重视与渠道的合作,而且在这方面也有一套成熟的管理体制。这套体制以诚信、价值为基础;以分享、影响、保持为原则;以“授人以渔”为理念。思科通过认证、培训和全方位的服务与支持体系构建的独特渠道平台,使思科系统公司的用户可以享受全方位的技术支持、系统维护、人员培训等服务。
多年来,思科系统公司积极参与了中国几乎所有大型网络项目的建设,把最先进的网络技术和产品以最快的速度带给中国用户,使他们能够及时改善计算机网络及相关基础设施。这些项目既包括中国金融骨干网、中国教育科研网以及海关、邮政等系统网络的建设,也包括中国电信、中国联通和中国网通等电信运营商的网络基础建设;既有全国范围的骨干网络建设,也有针对新兴电信增值业务的设备部署。
2004年9月,思科总裁钱伯斯访华,并宣布将在未来5年内投资3200万美元于上海建立研发中心。在未来18个月内,思科公司上海研发中心将雇佣约100名优秀人才。上海研发中心将增强思科公司定制化产品的能力,从而满足中国、亚洲乃至于全球电信运营商不断变化的需求。这个研发中心的成立,不仅将支持思科公司的全球技术开发战略,同时也是思科公司持续加强对中国投入的重要战略组成部分。2005年10月,该研发中心正式启用。
中国社会信息化、网络化建设不仅需要领先的网络技术和设备,更需要正确建立和充分应用互联网的成功经验和策略咨询。思科互联网商业方案部(IBSG)积极与用户分享思科应用互联网的成功经验。在《财富》“全球500强”企业中,已有280多家企业的总裁和首席信息官分享了思科经验。美国《商业周刊》对此评论说,由于思科处在互联网经济的核心,它比任何其他公司都更适合于领导和推动全球经济企业发展向互联网转型。
思科系统公司为建设一个信息化的中国社会不断贡献着自己的力量。思科相信,未来中国的前景将更加令人兴奋,思科期望不仅能参与到中国的市场,在不断变化的市场和行业中找准自己的定位和方向,成就更高的境界。而且能够成为中国优秀的企业公民,能够回馈社会。
2 网络基础平台技术方案设计
2.1 技术方案总体设计目标
2.1.1 高可用性
对于XX钢铁园区网这类制造业生产网络,高可用性是进行网络设计的基本目标。高可用性是指一方面要保证导致网络不可用的设备故障时间极短,另一方面,还要要保证网络能够满足各类数据传输的需求,不会因性能下降而导致不可接受的响应时间;
在达到高可用性的目标网络设计中要把先进的技术与现有的成熟技术结合起来,充分考虑到制造业生产网络应用的现状和未来发展趋势。设计中将采用高可靠性的网络产品和完备的网络备份策略来满足可靠性的要求,对于不同层次的设备和线路进行不同级别的可靠性设计,使网络具有故障自愈的能力。可靠性设计不仅包括网络设备等物理设计的可靠性,同时包括路由等逻辑设计的可靠性。XX钢铁园区网的骨干网络的可用性应当达到99.999%的目标。
2.1.2 高安全性
特殊的生产型业务性质决定了网络安全对于XX钢铁园区网有着极为重要的意义,在网络设计过程中采用一体化的网络安全设计思想,从而充分保证网核心骨干、汇聚、边缘接入多个部分网络访问的高安全性,将来可以实现到自防御网络体系的平滑升级。
2.1.3 可扩展性
业务的发展对网络的需求是不断变化的,网络应用系统为了满足这些需求也会随之变化。面对不断变化的情况和需求,网络应当能够作出快速和有效的反应。因此,网络必须具备良好的可扩展性,应支持核心业务系统的不断扩展,适应未来业务的发展和变化。同时,网络结构应当能够变化,具有灵活的伸缩能力,网络设备可以扩充和升级。
2.1.4 可管理性
随着网络规模的不断扩大和网络的不断复杂,网络的维护量随之增加。整个网络的可管理性变得尤为重要。因此,网络系统应当具有统一的可管理性,建立统一的网络管理平台。不仅实现对网络设备的管理,同时实现对网络策略的管理和不同协议的多级维护。
2.1.5 先进性
采用国际领先的网络产品和相关技术,支持业界最丰富的网络应用协议,支持现有业务和将来增加的新业务,保证骨干网上各类业务可靠传输和服务质量,满足XX钢铁园区网未来业务快速发展的需求。
2.2 技术方案设计原则
2.2.1 层次化原则
在XX钢铁园区网未来网络架构设计中,为了实现一个可管理的、可靠的、高性能网络,我们将采用层次化的方法,将网络分为核心层、分布层和接入层三个层次进行设计。这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下,三个层次的网络设备各司其职又相互协同工作,从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。
拓扑结构如下图所示:
其每一层的网络设备功能描述如下:
核心层:提供高速的三层交换骨干
· 核心层不进行终端系统的连接;
· 核心层少用或不实施影响高速交换性能的ACL等功能。
分布层:作为接入层和核心层的分界层,分布层完成以下的功能:
· 本功能区VLAN 间的路由;
· IP地址或路由区域的汇聚;
接入层:提供Layer2或Layer3的网络接入,通过VLAN定义实现接入的隔离。网络接入层具有以下特点:
· 接入层接入端口规划容量根据实际使用情况具有一定的扩展性;
上述每一个层次结构内部需要采用冗余的架构来保障该层功能的稳定可靠。
2.2.2 标准化原则
网络设计中所用的各种管理信令、接口规程、协议须符合国际标准,便于扩展和网络的互连互通。支持国际上各种通用标准的网络协议和标准等,支持大型的动态路由协议,支持策略路由功能。保证与其它网络(如互联网等)之间的平滑连接。
2.3 XX钢铁园区网络架构设计
2.3.1 整体网络拓朴结构设计
整个网络采用层次化设计原则,从网络的逻辑结构来看,网络分为三层,即:核心层、汇聚层和接入层。核心层由共4台核心路由交换机组成,核心路由交换机之间通过10G万兆光纤网状冗余互联形成高速万兆核心层。各汇聚层路由交换机通过万兆光纤分别冗余上联至核心路由交换机。各个接入交换机也通过双千兆光纤冗余上联至两台汇聚路由交换机。数据中心交换机分别通过2条万兆上联至核心路由交换机,网络出口交换机分别通过2条千兆上联至核心交换机。
25
Internetwork
Performance
Monitor
生成的网络延时统计报告
网络的总体结构设计如下图所示:
2.3.2 网络系统功能
本方案选用10GE万兆以太网络技术,同时选用了Cisco公司成熟、稳定、先进的企业级最高端路由交换机,并对XX钢铁园区网络进行优化设计,使园区网络系统具备丰富的网络系统功能,为XX钢铁业务的稳定运行奠定了坚实的基础。
XX钢铁园区网络系统功能总结如下:
· 高速L2/L3层数据传输:核心层至汇聚层10GE冗余链路,汇聚层至接入层1GE冗余链路。
·
持续可用性(高可靠性):核心节点、汇聚节点采用冗余双设备,核心节点之间网状冗余连接,核心节点和汇聚节点之间双链路冗余互连,接入节点双链路冗余上联至汇聚节点,使用高度智能的动态路由协议,核心和汇聚设备均采用双电源的冗余配备。网络系统在设备级、链路级、系统级均具备极高可靠性。
· 提供MPLS
VPN功能:所有核心节点路由交换机及所有板卡、20台汇聚层1节点交换机及所有板卡均具备全部MPLS功能,可以为XX钢铁园区网络提供完善的MPLS
VPN功能。
·
提供Multicast组功能:本方案中选用的所有Cisco路由交换机均具备丰富的组播功能,不仅具备所有其它厂商设备所有组播功能外,Cisco还提供其它厂商不具备的更优化、更高性能的SSM和IGMPv3功能,同时Cisco网络系统还提供独有的MPLS-VPN内组播功能―――该功能对XX钢铁园区网络视频监控业务非常有用。方案中选用的CISCO路由交换机都支持组播管理MIB,可以通过Cisco组播网络管理软件(CMM)进行组播管理,可以打消用户对组播流像是“黑夜行船”无法控制的顾虑。
· 提供丰富的Qos功能:本网络系统提供DiffServ
Qos机制,避免了瞬时拥塞造成关键业务、关键数据丢失,确保网络系统的持续可用。
·
提供了丰富的网络安全功能:Cisco网络设备本身具备许多丰富的安全防护功能,从而使网络系统自身具备极高的威胁抵御能力,同时利用PIX防火墙、IPS/IDS入侵检测设备,或采用6500平台上的安全服务模块,更进一步提高了网络系统的安全防御能力。
2.3.3 技术性能说明
方案中选用的Cisco设备主要性能说明如下:
·
核心Catalyst6509E交换机具有单引擎工作下720Gbps分布式交换处理能力,L2/L3分组硬件转发速率可达400Mpps。
·
汇聚交换机1Catalyst6506E具有单引擎工作下480Gbps分布式交换处理能力,L2/L3分组硬件转发速率可达240Mpps。
· 数据中心交换机 Catalyst4948具有最高136Gbps交换能力,L2/L3分组转发率达102Mpps。
·
接入交换机Catalyst3750、3560、2960具有最高达32Gbps交换矩阵,L2/L3分组转发率达39Mpps。
· PIX535防火墙交换处理能力达1.7Gbps,IPS4255入侵检测在线处理能力达500Gbps。
· 路由器:
· Cisco7600路由器:OC-192(10Gbps)级别的服务汇聚平台
· Cisco7300路由器:OC-48(2.5Gbps)级别的路由器平台
· Cisco ISR路由器:支持数据、语音、安全、加密等功能的全业务路由平台
由Cisco网络设备经优化设计而组建的XX钢铁园区网络系统具有关键性能如下:
· 网络系统动态路由收敛时间小于300毫秒。
· 网络系统组播路由切换时间小于1秒。
2.3.4 核心层设计
核心层配置4台高性能路由交换机Catalyst6509E,分别放置于2个不同位置的主控机房,实现设备/物理地点的双重冗余。由于核心层的主要作用是负责在各汇聚层设备之间的第三层数据交换和路由,所以需要有很高的处理交换能力和安全稳定性。所以在这里选择使用4台Catalyst6509E路由交换机,
Catalyst6509E有着非常高的多层交换能力。它使用Cisco的先进技术:ClassBar高速无阻塞交换距阵,Supervisor
720G交换引擎模块可使整个路由器的交换能力达到720Gbps,这足以应付目前大型园区网络的需要和将来的业务发展的需要。同时Catalyst6509E还具有很高的可升级扩展能力,使交换机的处理能力可以随着使用端口数的增加而提高。整机的第3层交换能力可达400Mpps。
每台核心路由器的配置如下:
· 配置SuperEngine 720路由引擎;
· 配置双电源系统;
· 配置4口万兆光纤模块三块,每台提供12个单模万兆端口;
· 配置48口千兆光纤模块一块,每台提供48个单模千兆端口;
· 配置48口千兆电口模块一块,每台提供48个千兆电口;
4台核心Catalyst6509E交换机采用万兆光纤方式实现网状连接,保证了整个核心层有极高的可靠性,同时可根据业务流量用双万兆链路可以实现绑定技术,实现了极高的性能。每个核心节点机房配置的两台万兆核心交换机之间通过1条万兆兆以太网端口以全双工方式连接,实现10Gbps全双工带宽的冗余备份能力。48口千兆单模光纤和电口模块用于连接IDS/Firewall等其它直连网络设备。
设计特点:
· 实现了极高的可靠性。任何一处、任何一点、任何线路的故障均不影响整个核心网络的运行。
· 实现了极高的性能。除了核心设备本身极高的性能外,由于采用了链路冗余连接,核心节点之间可实现10G级别的连接带宽。
·
全网状的核心网,保证了来自汇聚节点的流量能够经最短路径转发至目的地,而无需经其它设备中继转发,保证了系统核心的转发高效率。
2.3.5 汇聚层设计
曹妃甸园区设计共有10个汇聚节点,在此处选用了思科公司高端核心交换机6509E
20台,分别放置在各个汇聚节点控制机房。每个汇聚节点机房分别配置两台6509E交换机做冗余备份,每台6509E交换机通过1条万兆光纤分别上联至核心层的两台6509E核心路由交换机,同时两台6509E之间也以2条千兆链路连接,实现极高的性能和可靠性。
6506E交换机,
· 每台配置SUP 720引擎,双电源系统;
· 配置4口的万兆板卡一块,2个万兆单模光纤模块,
· 48个千兆单模光口
· 48个千兆电口。
2.3.6 接入层设计
接入层节点需根据业务要求来确定,分别配置2类接入交换机:
高性能接入交换机
支持3层交换功能,提供大业务量或节点业务服务器等关键设备的接入,并可作为MPLS VPN的多业务CE设备
一般性能交换机
支持2层交换功能,实现业务隔离,提供大量信息终端设备的接入
接入层是网络的最边缘部分,直接连接网络用户终端(MES/ERP系统等)。接入层交换机由于数量很大,所以在选择时要考虑要有较高性价比。
同时接入层交换机还应该有较为完善的功能,如较强的QoS能力,一定的安全控制能力,支持VLAN技术等。在本方案中,可选用三款交换机:Catalyst3750、Catalyst3560、Catalyst2960。
所有接入交换机采用2条千兆单模光纤线路双上联至汇聚层6506E路由交换机,
Catalyst3750/3560/2960交换机提供48个10/100M或1000M电口(依具体型号而定)连接终端。
2.3.7 数据中心区域设计
传统企业内部网/局域网内的服务器部署没有严格的规定,往往造成数据的分散存储,由此带来安全性、性能性、可靠性方面的各种问题。新的企业园区网在设计之初,就应该避免业务数据的分散部署,因此构建一个高效、安全、可靠的数据中心就成为一个企业信息化的重要内容。
数据中心的设计,必须考虑以下5点:
1. 存储整合与虚拟化
使用计算的出现,要求数据中心及其存储联网基础设施进行相应的改进,以实现使用计算的优势。对于SAN,这就意味着进行前所未有的大规模整合,并通过存储及网络虚拟化方面的改进提高可管理性。
2. 服务器群整合
为改善服务,对业务需求快速作出响应,数据集中已经成为企业发展的必然趋势。
业务连续性
业务连续性计划中最重要的部分是存储技术和基础网络,它们能够保护公司的数据和知识资产并保持其可用性。
3. 内容网络
思科内容传输网络(CDN)允许服务供应商和企业将丰富的媒体内容分配到离目标客户更近的地方,它克服了如网络带宽可用性、距离或延迟障碍、源服务器可扩展性和峰值期间的拥塞等问题。
4. 高性能运算
集群和高性能计算正逐步进入企业。很多应用,例如Microsoft Exchange和Oracle
10g,都能组成集群(而且经常按集群销售)。
5. 存储网络安全
为了保持一个企业的正常运行,数据——企业最重要的资产——必须在任何时候都可供使用。不仅数据丢失会造成灾难性的后果,数据无法访问也会造成同样严重的损失。
以往的数据中心建设中,遵循的是“以服务器为中心”的原则,由于业务的复杂性,客户往往需要选择数据交换机、4-7层交换机、Cache设备、SSL访问集中器、应用加速设备、防火墙、入侵检测设备等种类繁多的设备,来实现数据交换、服务器负载均衡、业务数据缓存、SSL流量处理、网络安全管理等业务需求。复杂的技术组合带来了更高的投资成本和管理维护成本,不同厂商产品间的无缝集成也极大的困扰着客户。
随着客户的要求不断变化,新的数据中心设计已开始遵循“以业务为中心”的原则,所有的服务器、网络设备、计算能力等都必须具备模块化的组合能力,以适应持续增长的业务处理要求。
思科数据中心网络架构
是一种全面的架构,利用它,IT 经理能够:
● 实现计算、存储和网络资源的整合与虚拟化
● 使员工、合作伙伴和客户能够以最佳方式安全地访问信息和应用
● 能够保护并快速恢复IT 资源和应用的正常运行
思科数据中心网络架构包括:
● 联网基础设施:千兆/ 万兆、Infiniband 和存储交换与光传输
● 交互式服务:存储阵列服务、计算服务、L4-7 交换、安全服务与应用
优化服务
● 管理:阵列管理器(网元与网络管理)和VFrame(服务器与服务调配)
思科数据中心网络架构的基础:
● 思科服务导向网络架构(SONA),即企业对智能信息网络(IIN)技术
发展理念的实施。思科SONA注重提高网络基础设施提供的交互式服务
的价值,以增强商业应用的性能,交互式服务包括应用优化、安全以及
服务器与存储阵列交换等。
思科已经成功地与技术、渠道和服务合作伙伴建立了合作关系,包括IBM、EMC 和HP
等能够将思科产品集成到自身服务中的原始存储制造商(OSM)。另外,IBM、HP 和Dell
等服务器合作伙伴还能将思科Infiniband交换和千兆以太网交换技术集成到其刀片服务器中,提供无缝、和谐的解决方案。
不仅如此,思科与IBM
还合作开发了数据中心架构,形成了由两位业界领先厂商联合提供的端到端解决方案:http://www.ciscoibm.com/datacenter
结合XX钢铁园区网的整体网络部署方案,建议数据中心采用如下设计方案
思科的6500交换机提供了一个高性能的综合业务交换平台,集成了各类业务服务模块,能够满足客户最全面的技术需求,简化了网络结构的复杂度,并提供更优的设备兼容性和更高效简单的综合管理。
思科的4948交换机提供全线速的千兆接入和万兆上联,是服务器集群接入的理想之选。
同时思科还将提供存储交换、高性能计算、光交换等全线数据中心技术产品。
2.3.8 存储网络SAN设计
2.3.8.1 SAN网络概述
在整个二十世纪八十年代,连接主机和存储设备的标准方法是通过像IDE或并行SCSI(图1.1)这样的接口实现的点对点的DAS(直接连接存储)方式。并行SCSI提供了相对快速(5或10Mb/s)的访问SCSI硬盘的速度,并且几个硬盘可以通过同一个接口连接到计算机上。在当时这个系统工作的很好,相对可靠、快速的连接允许系统管理员使用扁平线缆或复合线缆来连接内部或外部的存储设备。但是,随着存储子系统变得越来越大,计算机变得越来越快,一个新问题出现了:外部存储(曾经只是放在桌面上靠近计算机摆放的一个简单的磁盘驱动器)开始变的庞大起来。磁带库、RAID(廉价冗余磁盘阵列)和其他SCSI设备开始需要越来越多的空间,这就要求并行SCSI连接从主机延伸出来的越来越远。同时,I/O(输入/输出)速率也在不断增长,那么如何在一大捆线(32或64位
数据总线宽)中保持信号的一致性也就成为了一个需要在物理学上解决的问题。简单的并行SCSI改良版被设计了出来,目的就在于增加数据传输的距离和解决信号一致性问题。但是,它们最终都难以克服高速信号在并行SCSI总线架构下传输这一技术难题。
图1.1并行SCSI总线连接
所有这些解决方案都处于一种缓慢的进展中,最终存储界决定采用具有高速传输能力的串行协议,它具有良好抗干扰性、易于连接性以及充足的带宽。不同的串行规范(如串行存储架构[SSA]和光纤通道协议都同样领先于并行SCSI技术)都在为能够被业界最终采纳而竞争着,而各个公司都开始着手试验不同的串行通讯介质。这些新的高速线路使得串行数据传输(使用简单的一对电缆按顺序进行串行的数据位传输,而不是使用一大捆线缆在同一时间内传输几个字节或文字)成为解决信号问题的最实用的解决方案。高速线路使得光纤通道协议提供高达100MB/s的数据传输速率,而并行传输10~20MB/s的极限相对来说就慢得多了。
当光纤通道协议最先被用于存储连接这一领域时,这一技术被采用的一个主要原因就是它提供了更远的数据传输距离和简易的电缆连接方式。这种扩展的直连方式用一条高速串行线路替代了旧的并行SCSI连接(图1.2)。新的光纤通道连接提供了快得多的接口速率和简单的电缆连接(四条通过DB9型接头的铜线,或者光纤),可以将存储设备分布在距主机最远达10公里的范围内,甚至通过使用光纤扩展器更可延伸到30公里的范围。
图1.2 使用光纤通道延伸存储距离
这时,与磁盘的连接开始使用FC-AL(光纤通道仲裁环路协议),它允许磁盘在一个环路拓扑上就地址和通信量与主机进行协商(图1.3)。因为兼备了简易连接及分布存储的能力,用户现在可以将相互独立的设备连接到主机上。为了使连接工作变得更为简单,人们开始使用一种新的设备——光纤通道网络集线器(HUB)。光纤通道网络集线器,作为一个将光纤仲裁环路中的每一部分以纯粹电子方式简单的连接在一起的设备,使得动态地在网络上添加或移走存储设备并且无须重新设置变为可能。随着光纤通道网络集线器在日渐复杂的环境中使用,制造商开始为这些光纤通道网络集线器添加“智能”,使得他们能够独立地处理类似在环路中添加或移走设备所产生的网络错误和电子干扰等问题。一种集线器的替代者就是光纤通道网络交换机,与集线器不同,它不仅仅是将环路的每个部分连接在一起,而且它提供传统交换机所具有的包交换能力。
图1.3 光纤仲裁环路磁盘设置连接到一台主机
因为现在有了光纤通道网络,其他主机(非存储设备)可以加入网络来分享网络资源了。在SAN软件的帮助下,在网络上不同设备间分享存储资源突然变为可能。存储共享首先在新的SAN中实现,一些多媒体和影像产品公司探索出使用光纤通道网络在工作站之间共享巨大数据文件这样一种方法,从而使分布的图像编辑及生产全数字化产品成为可能(图1.4)。
光纤通道网络演变过程的下一大步是随着增强了可靠性和可管理性的具有光纤通道交换能力的fabric而来的。早期实施的FC-AL难于管理、不稳定并且在部件间的互操作上易于产生问题。因为FC-AL太复杂,它有时会发生无法进行任何通讯,并且始终滞留在一个环路操作上的问题。解决这些问题的方法就是转移到交换的fabric架构上来,它不仅提供链路的可靠性和可管理性,而且具有替代共享环路的、交换的、可以高速连接网络所有节点的链路。结果,一个交换机的每一个端口现在可以提供一条全双工1Gb/s可用带宽,而不是所有连接到一个环路的设备共享1Gb/s可用带宽的一部分。目前,部署光纤通道网络的大多数都是Fabrics体系结构,在一个典型的可交换光纤通道网络fabric
的配置(图1.5)里,多个主机和存储单元全部通过一个或多个光纤交换机连接到一个相同的光纤通道网络中。
图1.4 存储共享的多主机仲裁环路
今天,时下的SAN与计算机网络看起来很相像。网络基础构件例如交换机、集线器、网桥和路由器负责通过网络以帧为单位传输信息。网络接口卡(在SAN中称为HBA,以替代SCSI的主机总线适配卡)将计算机系统连接到同一个网络中。
图1.5 光纤通道交换网络、多主机和存储单元设置
2.3.8.2 开放式平台
SAN的开放性体现在几个方面,一方面在能够支持多种计算机平台的共享;另一方面是存储区域网络(SAN)能够集成多厂商的存储产品;此外,SAN遵循多厂商的存储组织所定义的标准和性能评测指标。在很大程度上保护用户系统投资。
2.3.8.3 存储整合
随着数据需求的增长,管理成百台的主机和管理连接到这些主机的本地硬盘变的越来越困难。为了管理这种增长,系统管理员已经开始将他们的存储资源进行集中。巨大的存储磁盘阵列和存储池比本地存储更有效并且更具可管理性。
随着存储需求的不断增长,直联到主机的本地存储模式已经被打破。系统管理员经常遇到这样一个问题:虽然一个公司已经拥有了足够的存储资源,但这些存储资源往往不在正确的地方。例如,假设一台WEB服务器需要使用的存储资源超出了其本地存储允许的范围,而且在本地已经没有继续用SCSI连接扩充存储资源的余地;而与此同时这个WEB服务器附近的数据库服务器却还拥有许多GB的空余存储资源。在老式本地存储模式下,针对以上问题就没有可以解决的方法,您不得不订购超出您需求很多的存储资源;但因为您的存储资源利用率很低,使得您还是会处于总是没有足够的存储资源的窘地。您同样不得不订购超出您需求很多的服务器资源,因为虽然您不需要更多的CPU计算能力,但是,您需要更多的插槽。
随着光纤通道网络的出现,允许客户端和存储系统共存并共享信息的要求导致了一系列利用这种共享能力的解决方案。曾经只限于类似视频编辑和多媒体制作领域的存储共享,已经成为一项通用技术,使用于任何需要通过存储池对存储进行方便地管理的地方,例如互联网服务提供商(ISP)和内容服务提供商(ASP)等。实际上,绝大多数互操作的IT环境都可以从这项技术中获益。
通过诸如VERITAS Volume Manager、Tivilo SANergy和DataCore
SANsymphony等软件,用户现在可以在多主机间分配和共享存储资源。
通过使用SAN架构,巨大的、集中的磁盘存储池可以被多个主机所分享,在需要的时候还可以磁盘从共用的存储池中分配出新的卷。这样极大提高了存储资源的利用效率,免去了许多昂贵的、本地、用不上的磁盘存储池。与各自为政的本地存储不同,一个巨大的、容易管理的虚拟存储池更便于集中化的管理,而且将分散的本地存储设备的费用和对其的管理集中合并为集中存储设备的费用和对集中存储设备的管理。
资源共享是通过高层软件实现的,这些高层软件发现到并管理着网络上的所有存储资源。主机中的驱动程序和软件管理着这些机器可以或者不可以访问一个存储设备中的某个特定区域。总之,中心管理员能够在网络和所有主机运行的实时状态下,将存储资源的任意部分分配给指定的主机。
我们以一个拥有大量的用户WEB主页账号的ISP为例。这样的ISP一般有大量的群集或独立的Web服务器池,这些能够帮助消除了网络负荷压力并在互联网上提供了冗余能力的Web服务器池就可以接入到一个或两个冗余的SAN中。存储分配和共享管理软件运行在所有这些主机上面,不同的WEB主页账号被分配到不同的WEB服务器上。当一台主机出现故障时,就会有一个自动进程或手动操作将那些用户的卷重新定位给另外一台WEB服务器;同样当存储设备出现故障时,也会有一个自动进程或手动操作将Web服务器自动转移到另外一个备份存储设备上,这样就能够保证提供不中断服务并消除本地用户对本地硬盘的依赖性。在某些方案中,让多个WEB服务器访问SAN上同一块只读的数据,这样既提供了高带宽数据流量,还省去了价格昂贵的同一份数据的多份冗余拷贝。
2.3.8.4 提高数据备份效率
最近发展出来的第三方拷贝技术,是另外一个解决“整个备份循环周期时间过长”这一问题的SAN技术实施方案。这种技术就是使用所谓“数据搬运工”的特殊硬件设备与新一代的备份软件配合工作,在传输备份数据时完全不去使用IP协议的传输网络通道;这种技术是将需要备份的数据从SAN网络上的备份设备直接传输给同一个SAN网络上的磁带备份设备。因为这是一种不经过服务器干预的SAN网络内部存储设备间的之间数据传输,数据不用拷贝到服务器内存,所以它的数据传输速度非常快,并且大大地减少了CPU为备份操作所需做的计算工作。由于节省了从本地内存到存储设备的拷进和拷出的时间,
我们可以用宝贵的CPU周期来做其他工作:例如运行主机上安装的其他应用程序。目前Chaparral Network
Storage和Crossroads Systems等公司已经在其Fibre
Channel-to-SCSI(光纤通道到SCSI)的桥接器上开发出并实现了这种“第三方拷贝技术”,利用这些设备结合数据备份厂商软件就可以在不需要主机进行干预的情况下将数据完全通过光纤通道网络来传输。
2.3.8.5 SAN网络设计
随着企业从DAS向SAN环境的移植,越来越多的企业倾向于将SAN基础设施作为整个存储解决方案的关键组件。企业不但在逐步从以服务器为中心的旧存储解决方案向以存储为中心的新模式转移,进而还继续向以网络为中心的最新模式转移。数据处理能力和存储容量的快速增长刺激了人们对智能存储局域网解决方案的需求。存储局域网(SAN)基础设施必须能够提高可扩展性、可用性、可管理性、可维护性和安全性,这与其它数据网络基础设施的要求是一致的。
现在,越来越多的企业认为,智能SAN基础设施是一种必须由多种关键业务应用和服务共享的企业资源。例如,许多公司都正在为电子商务及其它金融服务部署基于Web的应用,因而非常需要部署智能SAN,以便满足企业的法律、合同或服务等级要求。由于SAN基础设施具有很高的灵活性和可扩展性,因而能支持越来越多的用户和应用同时访问存储。最先进的SAN面临的问题是,现有交换机的容量少,功能老化,安全性低。Cisco
MDS
9000系列不但能解决这些问题,还能提供企业应用需要的业界领先的特性、高性能和可以扩展的平台。思科率先认识到,SAN应作为真正的数据网络对待,它需要智能网络特性和服务,这样才能将SAN发展成真正的网络。
下面几节将阐述SAN的几个设计准则。在设计和部署SAN时,必须认真考虑这些准则。
· 可扩展性
SAN解决方案不但能提供富有吸引力的投资回报(ROI),还能降低总拥有成本(TCO),因此,很多企业都从DAS部署转向了SAN部署。另外,通过服务器和存储整合,以及对磁盘和磁带设备的共享访问,企业还能够进一步节省开支。随着SAN继续从用于增加连接的基本输出端网络发展成可以扩展的网络基础设施,可扩展性将成为主要问题。SAN必须随着应用数据的增长而扩展,而且扩大容量时不能干扰应用的正常运行。随着SAN基础设施对iSCSI和FCIP等多种协议的支持,SAN必须提供智能服务才能区分和管理多种流量,并在整个多协议基础设施上提供服务等级。基于Cisco
MDS 9000系列平台的SAN解决方案能够从单台交换机角度和整个SAN角度提供业界领先的可扩展性。
· 高可用性
数据可用性、数据完整性和数据一致性不但对客户至关重要,还能提高SAN基础设施在IT机构中的重要性。企业SAN的组件及设计永续性必须能提供真正的7×24×365或者99.999%的可用性。从应用角度看,只有从战略角度端到端(服务器到磁盘)设计和实施高可用性SAN,才能达到这一要求。这种系统级高可用性涉及很多组件,例如服务器和应用集群、服务器和网络层的I/O多路径、将存储和服务器资源自动恢复到冗余路径、SAN中应用的动态恢复以及许多其它设计属性。随着人们对这些组件和特性的重视程度的提高,高可用性已经成为所有部署SAN的客户都十分重视的基本指标。为增强网络的可用性,多数SAN交换机制造商都提供内置的硬件和软件冗余性。不仅如此,高可用性设计还与网络级永续性有关。作为Cisco
MDS 9500导向器提供的交换机级永续性的补充,思科还提供大量网络可用性服务。Cisco MDS
9000系列提供了许多新特性,例如状态化交换机流程重启、状态化交换管理引擎故障恢复和各种网络服务,例如能够在通用永续性物理SAN上定义虚拟网络,并能够完全隔离各虚拟网络上的网络服务的虚拟SAN(VSAN)技术。
· 可管理性
随着存储资源的不断增加,企业面临的管理问题也越来越突出。将智能网络服务移植到网络之后,多数企业SAN已经从小型同类SAN孤岛过渡到了大型异类存储和交换环境。从DAS移植到SAN之后,公司需要用原有的工具和管理资源管理这些新环境。尽管网络环境的整合度和集中度越来越高,但网络管理仍然越来越复杂。组件厂商必须认识到通用端到端可管理性的重要性,并提供内置设备管理接口,以支持这些端到端管理系统。另外,厂商还必须遵守开放式管理标准,以便用各种现有工具管理其解决方案。
促使各厂商向标准看齐的一个原因是成本。企业已经认识到,专有解决方案的实施和维护成本一般比较高。采用了不同厂商的专有协议和服务实施方案的许多SAN环境都出现了管理既昂贵又困难的SAN孤岛。基础设施整合带来的潜在规模经济刺激了企业对简化解决方案管理的需求。通过基于开放标准的管理工具的整合,不但能降低复杂性,还能减少管理SAN需要的人数,从而缩减管理开支。
Cisco MDS 9000
系列能够为管理软件集成提供基于标准的开放式接口。利用各种业界领先的存储管理软件包,客户可以无缝地集成思科解决方案,以简化整个基础设施的管理。思科正与领先的存储和管理厂商联合,共同为集中式端到端存储管理提供新功能。
· 安全性
SAN的安全性已经成为SAN设计中最重要的问题。如果应用数据的安全性或完整性受到破坏,将会严重影响企业的收入、公司形象和生产率。随着数据量的不断增加和重要程度的升级,对数据的安全保护要求也越来越高。企业不但要求保护基础设施管理的安全,还要求按照策略提供多级安全保护,并保持扩展能力。例如,如果联机数据事务处理被中断,金融公司将遭受多方面的严重损失。另外,银行等机构必须按照法律的要求,采取严密的防范措施。如果数据因安全问题或其它干扰而丢失,零售公司不但会减少收入,还会损害公司形象。在现有的SAN实施中,许多基础设施部署都为安全牺牲了效率。许多客户都实施了相互隔离的SAN孤岛,以便为应用和用户建立物理上隔绝的管理和安全域。另外,网络管理员造成的错误还可能造成整个网络停机。现有交换机厂商产品的不足经常导致客户只能选择次优的安全实施方案。
Cisco MDS 9000
系列提供了多级安全特性,包括基于角色的管理、SNMPv3安全数据访问、帧级访问控制表(ACL)和虚拟存储局域网(VSAN)。分层的安全实施方案能够保证为共享同一网络的用户和应用提供最佳保护。基于角色的访问为网络管理员提供了多级控制,使机构内只有少数人拥有控制权限。利用VSAN提供的其它安全特性,不但能够为多个应用提供相同的基础物理网络,还能提供网络服务的SAN级隔离。为管理数据抽样使用SNMPv3之后,不但能保证加密和用户认证,还能改善管理数据的完整性。
· 可维护性
发现SAN中的问题之后,必须用适当的通知机制触发可维护性操作。指定人员收到警报之后,应及时采取措施解决问题。因此,SAN基础设施必须支持多种功能,以便快速发现问题,报告问题,解决问题,并作好记录。
Cisco MDS
9000系列能够提供上述特性,包括主动或被动通知网络事件的“呼叫到家”,以及陷阱产生及大量记录和通知功能,以保护客户的存储网络资源。思科及其合作伙伴能够提供集成式解决方案,利用这些可维护性功能和特性快速解决SAN中发生的问题。
2.3.8.6 思科存储网络优势
· 单一交换架构存储网络的扩展性
端口通道功能让用户最多个物理链路集成到一个逻辑链路中。这个逻辑链路可以包括设备中的任何端口,从而确保了在某个端口或物理链路发生故障时,该逻辑链路能够继续运行。此外,交换结构最短路径优先(FSPF)的多路径功能可以为在路径路径上进行负载均衡,并能在某个交换机发生故障时动态地重新设置数据传输的路由。
· 采用VSAN技术
Cisco
多层智能化存储网络在业界首次采用了虚拟SAN(VSAN)技术。这种技术可以在一个单一的SAN结构中创建多个基于硬件的独立环境,从而提高SAN的使用效率。每个VSAN都可以作为一个常规的SAN进行单独分区,并拥有它自己的交换服务,从而提高可扩展性和恢复能力。VSAN不仅可以将SAN基础设施的成本分摊得更低,还可以确保数据传输的绝对隔离和安全,保持对各个VSAN的配置的独立控制。
· 有助于加强投资保护的多协议智能
Cisco多层智能化存储网络所特有的交换架构让它可以无缝地集成新的传输协议,以获得最大限度的灵活性,如光纤通道、iSCSI和FCIP。利用基于以太网的iSCSI以低廉的成本连接到共享的存储空间,以及用FCIP在数据中心之间建立连接。Cisco多层智能化存储网络采用了独特的设计,用户可以无缝地移植到新的技术,同时保留一套统一的功能、服务和管理工具。
· 全面的安全性
为了满足人们对于在存储网络中实现无懈可击的安全性的需求,Cisco
多层智能化存储网络针对所有可能的被攻击点采用了广泛的安全措施。为了防范未经授权的管理访问,Cisco多层智能化存储网络采用了SSH、RADIUS、SNMPv3和角色访问控制(Role-based
Access Control)等技术。为了防止攻击威胁到控制流量的安全,Cisco
多层智能化存储网络还采用了光纤通道安全(FC-SP)协议。FC-SP可以在整个交换结构中提供保密性、数据源认证和面向无连接的完整性。Cisco
多层智能化存储网络用VSAN技术确保了数据传输的安全,以隔离同一交换结构中的不同数据传输,并利用硬分区和软分区技术来满足VSAN中的传输隔离要求。基于硬件的ACL可以提供更加精确的高级安全选项。Cisco
多层智能化存储网络可以利用思科在保障全球数据网络中最敏感数据的安全方面所积累的经验,提供业界最安全的存储网络平台。
· 先进的诊断和故障修复工具
Cisco 多层智能化存储网络的多层智能包括多种先进的网络分析和调试工具。为了在大规模的存储网络中进行故障管理,Cisco
多层智能化存储网络利用"FC
Traceroute"等命令来获取数据流的详细路径和时限,并利用交换端口分析工具(SPAN)有效地捕获网络流量。可以利用Cisco
Fabric
Analyzer(一种内嵌的光纤通道分析工具)管理流量。Cisco多层智能化存储网络可以为诊断和分析企业的存储网络提供最全面的工具集。
· 便于管理
要实现存储网络的潜在能力就意味着要提供相应的管理功能。为了满足所有用户的需求,Cisco多层智能化存储网络可以提供三种主要的管理模式:命令行界面(CLI),图形界面Cisco
Fabric Manager,以及与第三方存储管理工具集成。
2.3.9 出口网络区域设计
XX钢铁园区网络需要与互联网/相关外部网络连接,网络安全是主要的考虑要素。需要部署防火墙和入侵检测系统,进行安全控制和管理,入侵检测系统对非法入侵进行检测和报告。如下图所示:
选项一、采用独立系统的出口网络设计
如上图所示,
路由器、交换机、各类安全产品集成在一起,实现网络出口功能。但由此带来网络结构复杂,同时由于不同的系统和设备功能和性能的差异,很容易形成网络瓶颈,影响业务使用效果。
为避免不同功能的设备出现单点故障,一般采取双机冗余配置,不可避免导致技术集成难度加大,对网络管理维护的难度也随之提高。
选项二、采用整合系统的出口网络设计
思科Catalyst6500交换机提供了一个高性能的综合业务交换平台,集成了各类安全服务模块:
· 思科Catalyst 6500防火墙系统(FWSM)服务模块
· 思科Catalyst 6500系列入侵检测系统(IDSM-2)服务模块
· 思科Catalyst 6500系列网络分析(NAM)服务模块
· 思科Catalyst 6500系列网络异常检测(ADSM)服务模块
· 思科Catalyst 6500系列网络异常防护(AGSM)服务模块
· 思科Catalyst 6500系列Web VPN服务模块
· 思科Catalyst 6500系列IPSec VPN服务SPA模块
同时兼具Catalyst
6500交换机的高可靠性、高性能的技术优势,能够满足客户最全面的安全技术需求,简化了网络结构的复杂度,并提供更优的设备兼容性和更高效简单的综合管理。
2.3.10 网络和安全管理区域设计
网络和安全管理区域是对XX钢铁园区网络进行网络管理和安全管理的一个网络区域。XX钢铁园区网络系统中各种设备的log信息、Snmp
Trap流量、网管Polling流量和IDS告警信息等都将送往总控中心管理平台进行分析和监控,同时,日常维护管理的配置命令也会从总控中心管理平台发送到网络中的每台设备。总控中心区域的安全性将直接影响到整个XX钢铁园区网络的安全性和可靠性。
建议XX钢铁园区网络使用独立的安全区域来集中管理,可以通过本方案设计中的核心层和汇聚层路由交换机提供的MPLS功能划分网络和安全管理区域VPN,为了更好的实现网络管理和安全管理,同时我们还需要对网管数据流的监控功能,包括由网管系统和安管系统采集流量,需要交换机具有流量监控功能,能对需要监控的VLAN和端口进行实时监控。记录和报告网络信息,监控网络数据流,保证业务安全。
对于系统日志信息的适当集中和分析对正确管理网络极为关键。从安全角度来说,系统日志提供了有关安全违背和配置变化的重要信息。根据问题设备的不同,可能会需要不同级别的系统日志信息。如果发送全部记录信息,对个人或系统日志分析算法来说,要进行分类的信息就太多了。仅为记录而记录是不能提高安全性的。
安全管理和控制中心应该包含以下几个管理系统:
(1) AAA 管理系统
主控中心区域配置Cisco Access Control Server
AAA认证服务器,对XX钢铁园区网络所有的登陆进行统一认证,对于AAA认证服务器来说,必须支持管理员分级制度,使分管不同应用和不同部门的管理员拥有管理权限内的用户认证,同时进行统一的记录。本方案配置了ACS4.0
AAA认证管理系统。
(2) 网络设备和故障管理系统
对于一个大型的网络管理方案不可能是一个或两个简单的网络管理软件就可以做到的事情,而是需要一系列的网络管理软件各司其职,又相互配合,来共同实现一个完善的网络管理系统。在本次的设计方案中我们配置了思科网管产CiscoWorks
LMS网络设备管理系统,对全网络路由交换设备进行集中管理。
(3) 安全设备管理系统VMS
CiscoWorks
VMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具,防火墙,以及基于网络的入侵检测系统(IDS)。在本方案中,在主控网络中心配置了Cisco
VMS2.2安全管理套件,对IDS和防火墙以及终端防护系统CSA进行集中管理。
(4) 组播管理系统CMM
建议配备Cisco Multicast Manager2.3(2)组播网管系统,对组播功能应用进行统一管理。Cisco®
Multicast
Manager是一个基于软件的管理平台,提供了广泛的组播监控工具和较深的诊断能力,可以帮助客户管理网络组播:检查组播配置、监控组播成员、解决组播故障、分析组播流等。Cisco
Multicast
Manager可以提供精确的组播细节信息。使用SNMP协议收集关于RP,MSDP,组播源,组播组,IGMP统计,组播路由表,组播分发树的信息。Cisco
Multicast
Manager支持所有组播技术,例如PIM-SM,PIM-DM,双向PIM,MSDP,SSM。用户仅仅需要点击CMM菜单按钮,就可以获取关于组播网络健康状况的详细信息。
2.3.11 骨干网路由协议设计
对一个大网络来说,选择一个合适的路由协议是非常重要的,不恰当的选择有时对网络是致命的,路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。
目前存在的路由协议有:RIP(v1&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等,根据路由算法的性质,它们可分为两类:距离矢量(DistanceVector)协议(RIP/IGRP/EIGRP)和连接状态(LinkState)协议(OSPF/IS-IS)。
可用于大规模的网络同时又基于标准的IGP的路由协议有OSPF和IS-IS。两种路由协议均是基于链路状态计算的最短路径路由协议;采用同一种最短路径算法(Dijkstra)。两种路由协议在实现方法,网络结构上十分相似,均在大型ISP网络中得到成功应用。
作为链路状态协议,IS-IS和OSPF有着许多相同的特征:
· 通过维护一个链路状态数据库,使用基于Dijkstra的SPF路由算法。
· 使用Hello包来建立和维护路由器之间的邻接关系。
· 使用域(area)来建立两个层次的网络拓扑。
· 具有域间路由聚合的能力。
· 都是无类(classless)协议。
· 通过选举指派路由器(Designed Router)来代替网络广播。
· 都具有认证的能力。
(IS-IS)
IS-IS为ISO标准路由协议。
IS-IS的网络拓扑结构分为两个层次,即把Area分为主干Area和非主干Area,非主干Area之间网络流量必须通过主干Area。
下图是IS-IS
分Area的状态。所有的路由器都完全处于某一Area内,Area的分界点在线上,而不在路由器上。用来连接Area的路由器是Level
2和Level 1/Level 2路由器,和其它Area不直接相连的路由器是Level 1路由器。
由于网络链路的速度不同,为了区分链路速度和吞吐能力,达到最佳路径选择,可以设置
IS-IS链路的metric值。对于相同的链路,也可以提供不同的metric来影响路由器路由选择;以达到最佳路径选择。
IS-IS 扩展性较好,IS-IS可以有多个Level-2 Area,这可以使骨干扩充更为容易。
IS-IS
DR的处理过程比OSPF相对来讲,要简单一些。IS-IS占用网络资源较小,路由收敛和恢复时间快。IS-IS采用较小的协议数据包承载路由信息,这使得路由信息繁衍速度更快。
使用IS-IS时,必须使所有的Level 2路由器保持连通。
(OSPF)
OSPF是一套链路状态路由协议,路由选择的变化基于网络中路由器物理连接的状态与速度,变化被立即广播到网络中的每一个路由器。每个路由器计算到网络的每一目标的一条路径,创建以它为根的路由拓扑结构树,其中包含了形成路由表基础的最短路径优先树(SPF树)。
下图是OSPF分Area的状态。OSPF
Area的分界处在路由器上,如图所示,一些接口在一个Area内,一些接口在其它Area内,当一个OSPF路由器的接口分布在多个Area内时,这个路由器就被称为边界路由器(ABR)。每个路由器仅与它们自己区域内的其它路由器交换LSA。Area0被作为主干区域,所有区域必须与Area0相邻接。在ABR(区域边界路由器,Area
Border Router)上定义了两个区域之间的边界。ABR与Area0和另一个非主干区域至少分别有一个接口。
OSPF允许自治系统中的路由按照虚拟拓扑结构配置,而不需要按照物理互连结构配置。不同区域可以利用虚拟链路连接。
允许在无IP情况下,使用点到点链路,节省IP空间。
OSPF是一个高效而复杂的协议,路由器运行OSPF需要占用更多CPU资源。
下面从层次能力、稳定性、扩展性和可管理性四个方面对OSPF和IS-IS作一综合比较:
(1)OSPF
· 层次能力
通过 areas支持层次化
边界在router 内
链路状态数据库(LSDB)来自网络或路由器LSA 尺寸 — 64 KB to 5000 条链路的限制
· 稳定性
依靠路由设计和实现
大型网络中使用呈现增强的趋势
· 扩展性
使用扩展 TLV 编码策略
新扩展需开发时间
· 管理性
企业网中大范围使用
可借鉴经验较多
(2)IS-IS
· 层次能力
通过 levels支持层次化
边界在连接上
LSDB: 来自LSP数量—最大 256的限制
· 稳定性
依靠路由设计和实现
大型网络中使用较多
· 扩展性
使用扩展 TLV 编码策略
新扩展较容易实现
· 管理性
使用于大型 ISPs
排错和预测容易
可见,作为两个最著名的IGP协议,OSPF和IS-IS均适合大型环境。综合考虑到产品对OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS工程经验,建议采用OSPF做为XX钢铁园区网络的主用动态路由协议。
2.3.12 IP 地址规划
良好的网络拓扑结构和网络地址规划是XX钢铁园区网络稳定、安全、高速、高效运行的基础,合理、统一地规划和分配IP地址和子网,以利于网络路由的迭合,减少路由表的大小和复杂性,提高三层路由的效率以及网络的性能和稳定性。
2.3.12.1 IP地址规划背景
IP地址是TCP/IP协议族中的网络层逻辑地址,它被用来唯一地标识网络中的一个节点,TCP/IP协议已经成为计算机网络的事实上的国际标准。为了保证全球的IP地址唯一性,所有想与Internet连接的企业需要向Internet的地址分配组织:IANA(InternetAssignedNumberAuthority)申请合法的IP地址或使用IANA分配的专有IP地址;Internet的地址分配组织:IANA在地址的分配中,保留了三个IP地址块作为企业的专有地址:
10.0.0.0-----10.255.255.255
172.16.0.0---172.31.255.255
192.168.0.0---192.168.255.255
2.3.12.2 IP地址分配原则
IP地址的分配应遵循以下几个原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项
连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间
良好的IP网络地址规划主要有以下优点:
便于网络的统一管理、监控,提高网络的安全性和可靠性
便于网络的扩展,在网络的扩展过程中只需对网络拓扑进行局部的改动,不会对整个网络产生任何影响。
便于网络路由聚类,减少路由表的数量,提高网络的运行效率,减少对路由器CPU、内存的消耗。
2.3.12.3 网络IP地址规划的建议
为了有效地利用地址空间,我们可以对IP地址进行子网划分,可采用变长子网掩码技术(VLSM
VariableLengthSubnetMask)和路径叠合技术(RouteSummarization) , 有效地利用地址空间,
同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。
对于XX钢铁园区网络 IP地址的规划也应遵循层次式分配原则,按照连续地址块划分。使用变长子网掩码 (VLSM)
技术,对地址块进行层层分割,然后逐层分配给各个楼层和业务区域
。这样,一方面可以充分利用IP地址资源,满足各项业务的需要,另一方面也便于通过路由汇聚压缩路由表尺寸,提高交换机的效率,限制路由变化的影响范围,从而提高路由的稳定性。
2.3.13 路由技术及二层交换技术的应用设计
二层交换技术已在企业网中应用多年,随着三层交换技术的成熟优化,为解决传统二层交换网络的技术局限提供了手段。XX钢铁园区网络在网络设计中,应用如下设计思路:
2.3.13.1 尽量采用路由到边缘的设计
采用路由技术可带来如下好处:
1. 网络拓扑变化时获得最快速的路由收敛
2. 在所有等价链路上的第三层负载均衡
3. 收敛过程和生成树协议无关,不会有环路的麻烦
4. 无需配置HSRP/GLBP协议
2.3.13.2 采用二层交换技术的技术要点
标准生成树的拓扑收敛问题:IEEE802.1D生成树协议通过从网格化物理拓扑结构而构建一个无环路逻辑转发拓扑结构,提供了冗余连接,消除了数据流量环路的威胁。原始生成树协议IEEE
802.1D通常在50秒内就可以恢复一个链接故障[融合时间=(2xForward_Delay)+Max_Age]。当设计此协议时,这种停机还是可接受的,但是当前的关键任务应用(如语音和视频)却要求更快速的网络融合。
然而,由于业务系统的要求或成本等其它原因,客户也必须在某些情况下使用VLAN技术来实现跨设备的接入管理和网络隔离,因此我们建议在部署VLAN时尽量保证VLAN的范围不用超出本地汇聚节点的范围(即不采用跨节点VLAN设计),跨节点的不同VLAN间互访通过路由技术完成。
为保证二层交换网络的稳定运行,可采用以下方法
1.有效的限制生成树的大小
2.使用快速生成树技术(802.1w)
3.使用多生成树技术(802.1s)
4.使用其它二层网络优化技术
使用上述方法和技术,可使得一个二层交换网络摆脱固有的收敛速度慢的困扰,成为一个高效、可靠的业务网络平台。
详见后续技术说明。
1.有效的限制生成树的大小
生成树中的交换机需要维护和计算生成树的信息,生成树涉及的设备和链路数量将直接影响到交换机维护和计算生成树拓扑信息时的网络收敛速度,因此尽量缩小VLAN的访问,将会有利于网络拓扑的稳定和冗余恢复速度。
通过修改子网掩码的方式,可以在不修改IP地址的前提下,进行IP网段的划分:
(举例:)
全网型VLAN
节点型VLAN
VLAN1: 192.168.10.0/24
VLAN1: 192.168.10.0/25
VLAN3: 192.168.10.128/25
VLAN2: 192.168.20.0/24
VLAN2: 192.168.20.0/25
VLAN4: 192.168.20.128/25
2.使用快速生成树技术(802.1w)
为加速网络融合并解决与生成树和虚拟LAN(VLAN)交互相关的地址可扩展性限制的问题,IEEE
委员会开发了两种新标准:在IEEE 802.1w 中定义的快速生成树协议(RSTP)和在IEEE 802.1s
中定义的多生成树协议(MST)。如果使用适当的话,RSTP能将在连接故障和恢复时所需的重新配置和恢复服务时间,减少到低于秒的量级,并保持同基于STP
设备的兼容性。
RSTP 可以保证在一个桥接/ 交换、桥接端口或LAN
发生故障之后,其连接性的快速恢复。一个新的根端口可以快速转换至传送端口状态。在LAN中桥接与转换之间明确的应答,允许指定端口快速转换至传送端口状态,此时,桥接端口可被配置在桥接/交换重新初始化时直接转换为传送端口状态。当特定的桥接端口连接于LAN
边缘的一个LAN 段时,这一点将十分有用,例如在该LAN 段没有其它的桥接或交换可用的情况时。
3.使用多生成树技术(802.1s)
当交换机需要为大量的VLAN维护相同的生成树时,采用多生成树技术(802.1s)可为成百上千的VLAN共享1个生成树实例,为交换机节省了带宽和CPU资源,使网络的拓扑信息的更新计算速度更快。
4.使用其它二层网络优化技术
序号
技术
功能描述
1
Root Guard:
在用于连接客户网络交换机的端口上启动了Root
Guard。如果生成树通过计算将连接客户网络的某个接口选为根端口(RP),则Root
Guard将把这个接口的状态变成受阻状态,以防止客户交换机成为根交换机或成为通往根交换机的路径。这能够控制网络并确保他们的生成树结构受到保护。
2
Portfast
Portfast是一种生成树增强特性,主要应用于连接主机的交换机端口,能够缩短连接主机的端口收敛时间。因为主机接入到交换机不会形成环路。Portfast能够绕过生成树的侦听(listening)和学习(learning)阶段,从而将连接时间从30秒缩短到了2到3秒。
3
BPDU Guard
恶意交换机或错误配置的交换机可嵌入错误的STP信息并在令人不注意中导致整个网络的运行中断,BPDU
Guard可帮助解决问题。当打开BPDU
Guard时,如果启动了Portfast的接口发送BPDU,则意味着是非法配置的状态,该接口将被置于关闭状态。
4
Loop Guard
Loop Guard可防止备用端口(alternate ports)或根端口(root
ports)因单向链路的故障而成为指定端口(designated
ports)。如果在整个交换机网络上打开这个特性,它将发挥最大效力。Loop
Guard可防止备用端口或根端口成为指定端口并确保生成树不在根路径或备用路径上发送BPDU。
2.3.14 网络高可靠性设计
网络的可靠性是为了避免单点故障的出现。主要体现在两个方面:一方面在于网络拓扑的设计,尽量使网络上不存在单点故障;另一方面,网络设备必须支持插卡、接口、电源等部件的冗余与热插拔能力以及支持例如VRRP/HSRP/GLBP
等冗余协议。但是网络的可靠性并不是单一设备可靠性的简单叠加,它主要包括:
· 设备级别的可靠性
· 链路级别的可靠性
· 软件级别或系统级别的可靠性
下面将详细介绍思科公司是如何使用独特的可靠性机制和技术创新来保障企业用户关键信息的可靠传递。
设备级别的可靠性
设备级别的高可靠性设计是网络核心设备选型时最关键因素。此时我们往往只考虑设备硬件的冗余,忽略了运行和存储于硬件上的软件、网络信息和管理信息。
一般情况下,设备级别的可靠性主要包括:
1. 物理冗余:提供双电源、双引擎、双交换矩阵和双时钟,甚至双核心设备。
思科的模块化交换机,包括Catalyst
6500的体系架构都是专为保证企业业务弹性而设计的,所有关键部件如路由交换引擎、电源、风扇均支持1+1或N+1冗余备份,所有的板卡都支持热插拔,并且采用隔离的无源背板连接各个部件,避免了某些厂商使用有源背板带来的单点故障问题。
2. 逻辑冗余:利用Ethernet Channel、FastEthernet Channel 和Gigabit
Ethernet Channel
技术为设备间链路提供负载的分担和链路的冗余;利用VRRP/HSRP/GLBP技术为第三层路由提供冗余,并利用所形成的虚拟路由器实现路由器之间的负载分担和冗余操作。后面的章节会详细介绍思科冗余网关协议的选择。
3. 不间断转发(Nonstop Forwarding,NSF)和状态化切换(Stateful
Switchover,SSO)功能:用于维护路由器中两个交换引擎之间路由状态信息,使主备引擎可以在不中断网络运行或丢弃包的情况下进行切换;在切换期间,
Cisco SSO 提供零中断的第二层连接,而 Cisco NSF
保证转发第三层数据包时保证不丢失分组,或丢失量最小。分组连续转发可以重新建立对等关系,而无需在整个网络中再次收敛路由协议。
Catalyst 6500支持NSF/SSO特性。
NSF/SSO是制造企业未来多业务融合网络必不可少的关键特性,第三方权威测试机构OPUS实验室对思科模块化交换机的NSF/SSO特性作了严格测试。测试网络中部署了思科IP电话系统和无线局域网接入点。测试结果表明思科NSF/SSO特性充分保证了第二层和第三层的弹性,L2的状态在引擎切换过程中保持,L3的路由也不会发生震荡。网络上的关键业务,尤其象IP语音通信这样的时延敏感应用也不会受影响,正在通话的IP电话通话不会掉线,无论此通话是保持在L2范围内还是跨过了L3的网络。进一步的测试还表明NSF/SSO特性不会降低用户网络的安全性,即在主备引擎切换过程中,所有设置的安全机制ACL策略等等都保持工作,不会给外来黑客有可趁之机。
4. 在线软件升级(ISSU):此功能指的是在升级系统的软件或软件模块不会中断或影响系统的操作。在线软件升级功能是
思科Catalyst
6500系列中的IOS软件模块化特性主要有简化软件变更、最小化计划外宕机时间和实现自动化策略控制三个方面的好处:
·
首先,IOS模块化简化了软件变更。通常,企业IT部门部署新软件之前都要经过验证,规划宕机时间表,最终部署。而模块化的IOS软件大大加快了验证速度,减小了软件兼容风险,另外,通过不间断软件升级(ISSU)子系统,可以在其他组件正常运行的同时更改代码,从而实现零宕机时间。根据客户调查的结果,企业可以将验证和部署新软件的时间从几个月缩短到几周,这对于保障关键业务,诸如交易平台、医疗应用、支持音频和视频的实时网络服务等业务都非常重要。简化的软件变更还大大加强了企业的网络安全水平。
·
其次,通过可自行恢复的独立进程,IOS模块化可以最小化计划外宕机时间。IOS模块化将不同的进程限制在独立的受保护的存储空间中,这项创新使系统可以单独重启某项进程,并提供不同进程的状态检测,这样,出错的进程就可以重新启动并恢复到上一个已知的状态和配置,而不必重新启动整个系统。重启恢复时间也从数分钟缩短到数毫秒。
·
第三,通过整合内置事件管理器(EEM)提供进程级别的自动化策略控制。自动化策略控制将耗时的任务下放给网络,让IT部门可以专注于更有价值的工作。这就帮助企业减小了"运营鸿沟"的不利影响。网络管理员可以用思科命令行界面(CLI)或工具通用语言(TCL)代码来制定策略,这些策略可用于不同方面,包括检测服务器上可用的升级补丁,下载补丁,并在预先指定的时间安装等。
Catalyst
6500的在线软件升级功能极大地增强了网络的整体可靠性,从硬件/软件一体化可靠性的角度帮助客户提升了整个业务的永续性,是在过去硬件冗余性基础上的一大进步。近一步来说,NSF/SSO、ISSU和Catalyst
6500现在拥有的模块化IOS互相配合工作,可以大大减少用户计划外和计划内的宕机时间,并且可以非常方便地进行软件升级、功能升级和Bug修复等维护工作。
链路级别的可靠性
网络链路级可靠性可以分为2 层路由链路和3 层路由链路两个方面:
1. 更快的链路灾备
·
快速生成树:为了解决了物理线路中断所造成的网络终端,我们往往会设置备份的物理线路,但是它们往往会形成环路,回路会产生无休止的数据路径,导致网络服务的中断以及额外的系统管理费用。IEEE802.1D生成树协议通过从网格化物理拓扑结构而构建一个无环路逻辑转发拓扑结构,提供了冗余连接,消除了数据流量环路的威胁。原始生成树协议IEEE
802.1D通常在50秒内就可以恢复一个链接故障[融合时间=(2xForward_Delay)+Max_Age]。当设计此协议时,这种停机还是可接受的,但是当前的关键任务应用(如语音和视频)却要求更快速的网络融合。为加速网络融合并解决与生成树和虚拟LAN(VLAN)交互相关的地址可扩展性限制的问题,IEEE
委员会开发了两种新标准:在IEEE 802.1w 中定义的快速生成树协议(RSTP)和在IEEE 802.1s
中定义的多生成树协议(MST)。如果使用适当的话,RSTP能将在连接故障和恢复时所需的重新配置和恢复服务时间,减少到低于秒的量级,并保持同基于STP
设备的兼容性。RSTP 可以保证在一个桥接/ 交换、桥接端口或LAN
发生故障之后,其连接性的快速恢复。一个新的根端口可以快速转换至传送端口状态。在LAN中桥接与转换之间明确的应答,允许指定端口快速转换至传送端口状态,此时,桥接端口可被配置在桥接/交换重新初始化时直接转换为传送端口状态。当特定的桥接端口连接于LAN
边缘的一个LAN 段时,这一点将十分有用,例如在该LAN 段没有其它的桥接或交换可用的情况时。Catalyst全线交换机均支持IEEE
802.1w和IEEE 802.1s协议。
·
PortFast:生成树协议会运行在交换机的所有端口上,但接入层交换机的许多端口连接着工作站或服务器,这些点到点连接是不会出现环路的。PortFast
技术将这类端口从STP 的计算中排除出去。当主机连接到交换机时,启动PortFast
的端口将直接成为转发状态,避免了STP计算造成用户在最初一段时间不能使用网络的情况,将工作站或服务器连接上网的时间减至最短。针对Access
端口跳过listening-learning 阶段。
· UplinkFast:当接入层交换机有两条链路连接汇聚层设备时,如果出现环路肯定会有一条链路在STP
计算时被阻断掉。在主链路断掉时,被生成树阻断的端口需要重新进行计算,在经过50秒后被打开参与用户数据的转发。在访问层交换机上启动UplinkFast功能后,如果交换机在直连的主链路上检测到失效,那么交换机会立即将被阻断的备份端口打开转发数据,通常情况下只需要2
到4 秒钟的时间。这样就可以通过UplinkFast 提高交换网络的收敛速度。
·
BackboneFast:汇聚层交换机与主干交换机之间为保证链路的可靠性,往往会形成环形链路,环形链路上某个链路或接口的故障会引起生成树的重新计算。在主链路断掉时,被生成树阻断的端口需要重新进行计算,在经过20秒的最大等待时间(Max_Age)后进入侦听(listening)状态,在经过30
秒后被打开参与用户数据的转发。在汇聚层交换机上启动BackboneFast
功能后,如果交换机在非直连的主链路上,即迂回链路上检测到失效,交换机快速收敛去掉最大等待时间(Max_Age)20
秒,因此可以节省生成树的计算时间至8~30 秒。
· 增强功能: UDLD(线路单向连通问题自动诊断功能),用于检测光纤或铜缆以太网链路上的故障。由于生成树具有单向的BPDU
流,对这种故障相当敏感。在一个端口突然不能发送BPDUs的时候,引起邻居的STP状态改变,导致邻居的“blocking”端口切换到“forwarding”状态。由于原forwarding
端口仍然可以接收包,从而引起环路。因此,UDLD可以监视物理电缆的配置,并将通过“ErrDisabled”状态将配置不正确的端口给down
掉。避免出现单向连接,当检测到一个因为介质或端口故障导致的单向连接时,将端口shutdown
并标识为“ErrDisabled”状态,同时产生一个syslog 信息。
2. 更全的链路捆绑
· Cisco PAgP 和 IEEE
802.3ad:PAgP是一个用于在检查Channel两端的参数的一致性以及在出现增加链路或链路失效时的重新适配的一个管理协议,PAgP
协议控制每个独立的物理或逻辑端口打成Channel 的行为,如果一个Channel
中的某个链路失效(拨掉光纤或光纤断了)了,agport 会进行更新,流量会在现有的端口上重新进行hash
计算,不会有包丢失。源自思科ISL 的802.3ad 把两个或多个 Link 捆绑成逻辑的虚拟的单一通道,子 Link
之间提供自动流量负载平衡和冗余,很大程度上会简化系统集成,减少升级骨干网络的投资。
· 点到点的冗余连接在重新建立的链路仍可进行负载均衡,链路恢复时间小于1 秒
3. 更强大的路由灾备
· VRRP/HSRP:虚拟路由器冗余协议/
热备份路由器协议,实现VRRP/HSRP的条件是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。
· GLBP:网关负载平衡协议,相对于HSRP与VRRP,GLBP
具有很多的优点,在保护第一个跳动路由器的同时能在所有可用路径上分配分组负载,使得网络带宽的利用率更高。以前,如果主路由器或路径中出现错误,则第一个跳动冗余功能只能在备份WAN
路径上转发分组。GLBP 可使组中的任一路由器担当备份作用,并能简化配置。最大的区别是在HSRP 和VRRP
中同一个GROUP中只有一个路由器在转发流量,其余路由器只是起备份作用,而在GLBP 中,同一个GROUP 的所有路由器(最多4
个)可以同时转发流量。这样就起到了负载均衡的作用。
系统级可靠性
系统级可靠性是指软件重新加载或升级时,系统重新启动对网络运行所造成的影响。系统级可靠性在组网的过程中往往容易忽略,但是对于主干网络设备来说,连接中断所造成的影响会很快波及整个网络。因此,尽可能大的缩短系统软件的加载时间才可以有效提供系统级可靠性。
2.4 基于IP网络的业务系统数据隔离保护
XX钢铁园区网络是基于IP技术的大型企业网络,在网络设计时必然涉及到不同的业务系统之间的业务隔离问题。从业务需求来看,目前业务系统主要分为2大类:
· 与生产过程直接相关的业务数据系统:如MES、ERP等
· 辅助性的业务协作系统:如办公OA系统、财务系统等
不同的业务系统面向不同的用户和终端,也有其各自独立的访问管理要求。
鉴于上述系统基本属于服务器-客户机模式的垂直业务系统,建议采用如下的业务访问隔离方案:
该方案的重点在于:
· 对业务系统的地址进行有效的规划
· 充分利用交换机设备的ACL功能来保证系统间互访的有序性,
· 不增加终端的管理负担
如需在全网范围内对业务系统间流量进行完全的访问和路由隔离,也可考虑采用MPLS VPN的方案。
2.5 MPLS规划设计
2.5.1 MPLS/VPN技术介绍
MPLS是由CISCO标记交换演变而来的IETF的标准协议,MPLS是一种标记转发的典范。标记表示路径和服务的属性,在入口的边缘、流入的数据包被处理做上标记,位于核心的设备仅仅读这些标记,赋于适当的服务,然后根据标记转发这些数据包,对这些数据包的分析、分类和过滤只发生一次,是在进入边缘设备时,经过出口的边缘设备时,标记被移去,数据包转发到最终目的地。
多协议标记交换MPLS的主要组成包括Edge LSR(edge label switch router),LSR(label
switch router)和标记(label)。
Edge LSR负有从非MPLS设备接收IP包和向这些设备传递标准IP包的双重任务。Edge
LSR负责开始的包处理和分类,并分配第一个label等,Edge
LSR的角色是把非标记包转换成标记的包。这种设备可以是任何一种路由器,如Catalyst6500、OSR7600,或Cisco
GSR.
LSR是根据预先计算出的交换表来交换标记包的核心设备。这种设备可以是一台交换机或一台路由器,一台ATM交换机也可以具有MPLS能力,如果它可以交换基于标记的包,该标记在ATM
VPI/VCI域中作为正常的ATM流量被携带。
标记是LSR用于转发包的头。该头格式决定于网络的特点。在路由网络中,标记是单独的32位头。在ATM网络中,LSR只读取标记,而不读网络层的包头。
观察MPLS如何运作的最简单办法是跟踪一个穿过服务提供商MPLS网络的包,如下图所示。
MPLS Operation描述
步骤
描述
1
当Cisco路由器加入IGP,如IS-IS时,SP网络自动建立路由表。
LDP用表中的拓扑结构建立邻接设备间的标记值。这个过程产生LSP---目的终点间预先配置的路径
2
一个包进入入口边缘LSR,在这里该包经过处理以决定它要求第三层什么样的服务,如QOS和带宽管理。基于路由和策略的要求,边缘LSR为包头选定一个标记并转发该包。
一个Cisco MPLS网络提供有区别的服务,包括各种合样的QOS及网络拥塞控制。
3
在核心层的LSR读取每个包的标记,并用表中所列的新的标记替换它。这个操作在所有的核心层hop上重复。
核心层的操作发生在包通过交换标记来进行交换,不同于通过最少延迟提供高速服务进行路由。
4
出口边缘LSR取掉标记,读取包头并转发给最终目的地
包终于到达最终目的地,在这个过程中我们简化了我们的网络,降低了我们的成本,提供有区别的、可能的服务水平协定(ServiceLevelAgreements)服务,并且拥有一个新的围绕虚拟专用网络(VPN)的增强服务。
2.5.2 MPLS/VPN应用设计
XX钢铁园区网络需要具有高度可靠稳定的网络,具有良好的先进性和可管理性,同时具有较高的安全性和支持VPN虚拟企业网的功能,可以采用MPLS/VPN技术作为安防网络的解决方案。
基于多协议标记交换(MPLS)的VPN,它实现了安全的高质量的VPN解决方案,尤其适合于在IP环境下使用,用MPLS建立的VPN能提供完全的可扩展性和高度的灵活性。MPLS利用标记,而不是IP的目标地址传递数据包,类似于邮政编码,其传输效率很高。与IP通道和虚电路体系结构不同,基于MPLS的VPN能够支持在每个VPN中的无连接路由选择,这种技术比较适合XX钢铁园区网络的骨干建设。
XX钢铁园区
MPLS-VPN骨干网络在单一的基础网络设施之上,为所有子系统提供VPN网络服务,同时能保障各子系统网络之间的相互独立和安全性,
对于VPN的划分,
可以根据各个子系统要求进行划分,大体上我们可以根据目前各个子系统的情况,分成几个VPN:视频监控管理系统VPN,网络管理系统VPN等,具体要在XX钢铁园区网络上划分几个VPN、
VPN的划分原则等需要通过深入的需求调查分析,进行深化设计。
在本方案中设计中,核心层4台Catalyst6509E路由交换机和汇聚层20台Catalyst6506E交换机配置的所有板卡都完全支持MPLS功能。
2.5.3 MPLS/VPN安全分析
XX钢铁园区网络将要建设一个统一的IP通信网络平台,为数据业务系统、监控管理系统和话音通信管理系统等提供综合的VPN的接入,可以在XX钢铁园区网络上建设多个子系统。XX钢铁园区网络承载着多个子系统,至关重要,直接关系到各个子系统的稳定运行,XX钢铁园区网络的安全直接影响到整个园区网各个子系统的安全,因此,为了保证XX钢铁园区网络的安全运行,在设计MPLS/VPN网络时考虑如下安全机制。
MPLS/VPN具有以下安全特点:
1)通过每个VPN独立的路由表以及核心中的MPLS交换,达到地址空间和路由的隔离。 2)
