【51CTO.com原創(chuàng)稿件】建設(shè)背景:近期單位網(wǎng)絡(luò)系統(tǒng)改造,有一個(gè)業(yè)務(wù)系統(tǒng)需要接入單位的網(wǎng)絡(luò),通過(guò)單位的網(wǎng)絡(luò)供互聯(lián)網(wǎng)及專(zhuān)網(wǎng)的用戶(hù)訪(fǎng)問(wèn)。此業(yè)務(wù)系統(tǒng)規(guī)模較大,存在自身的網(wǎng)絡(luò)體系及IP地址規(guī)劃體系,且此業(yè)務(wù)系統(tǒng)非常重要,所以對(duì)于網(wǎng)絡(luò)故障時(shí)的自愈性要求很高。
網(wǎng)絡(luò)設(shè)計(jì):
由于此業(yè)務(wù)系統(tǒng)存在自己的網(wǎng)絡(luò)體系及IP地址規(guī)劃,所以為了避免業(yè)務(wù)系統(tǒng)內(nèi)部修改太大,需要使用NAT設(shè)備在其出口處對(duì)其進(jìn)行NAT地址轉(zhuǎn)換,而且考慮到網(wǎng)絡(luò)的安全性以及對(duì)業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)可控,故決定在業(yè)務(wù)系統(tǒng)出口路由器處增加一道防火墻,再與單位網(wǎng)絡(luò)的核心交換機(jī)相連。單位的核心網(wǎng)絡(luò)存在冗余性架構(gòu),所以在此業(yè)務(wù)系統(tǒng)接入時(shí),也要求其以雙歸方式接入,初始設(shè)計(jì)拓?fù)淙鐖D1所示:
圖1 業(yè)務(wù)系統(tǒng)接入初始設(shè)計(jì)圖
按照?qǐng)D1中的拓?fù)?,可以考慮將此網(wǎng)絡(luò)系統(tǒng)用三層路由器的方式接入,且在出現(xiàn)故障時(shí),通過(guò)次優(yōu)路由的方式進(jìn)行路徑切換,以保證業(yè)務(wù)不中斷,但是筆者單位以前的網(wǎng)絡(luò)架構(gòu)都是通過(guò)VRRP的方式來(lái)連接接入交換機(jī),對(duì)接入交換機(jī)只提供一個(gè)IP地址作為網(wǎng)關(guān),為了保證網(wǎng)絡(luò)架構(gòu)的統(tǒng)一,我們還考慮按照這種方式來(lái)組建網(wǎng)絡(luò)。根據(jù)這種網(wǎng)絡(luò)設(shè)計(jì)方案,我們也需要將防火墻配置成單活的主備方式,使其對(duì)WAN網(wǎng)絡(luò)和LAN網(wǎng)絡(luò)都分別只提供一個(gè)IP地址,同樣,業(yè)務(wù)系統(tǒng)出口的主備路由器也需要通過(guò)VRRP的方式為上連網(wǎng)絡(luò)只提供一個(gè)IP地址。
可是,此路由器不支持二層接口,所以必須通過(guò)一個(gè)二層交換機(jī)轉(zhuǎn)接的方式來(lái)進(jìn)行實(shí)現(xiàn),如圖2所示:
圖2 業(yè)務(wù)系統(tǒng)接入設(shè)計(jì)圖二
但問(wèn)題在于,筆者單位目前沒(méi)有富余的二層交換機(jī)可供使用,而且考慮到圖2的這種設(shè)計(jì)方案中,二層交換機(jī)為一個(gè)非常大的風(fēng)險(xiǎn)點(diǎn),一旦出現(xiàn)故障,網(wǎng)絡(luò)則失去自愈性。
于是,經(jīng)過(guò)對(duì)網(wǎng)絡(luò)的仔細(xì)分析和思考,筆者認(rèn)為可以通過(guò)利用核心交換機(jī)的二層接口功能來(lái)實(shí)現(xiàn)此網(wǎng)絡(luò)的設(shè)計(jì)方案。如圖3所示,可以在核心交換機(jī)新啟用兩個(gè)vlan,分別用于連接防火墻的LAN口和WAN口,而路由器上連到核心交換機(jī)的一個(gè)二層接口,此二層接口所處vlan與防火墻的LAN接口所處vlan相同。當(dāng)業(yè)務(wù)流量從WAN網(wǎng)絡(luò)進(jìn)入訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)時(shí),就會(huì)通過(guò)核心交換機(jī)的路由引導(dǎo),首先經(jīng)過(guò)防火墻的WAN口流入,從防火墻的LAN口流出,再經(jīng)過(guò)核心交換機(jī)流入路由器,如圖4中黑色箭頭所示:
圖3 業(yè)務(wù)系統(tǒng)接入拓?fù)鋱D三
圖4 業(yè)務(wù)流向圖
單點(diǎn)故障分析:
(1)防火墻單點(diǎn)故障
在如圖3所示的拓?fù)渲校?/span>當(dāng)主防火墻或者主防火墻與主核心交換機(jī)之間的連線(xiàn)故障時(shí),備防火墻開(kāi)始工作,流量從主核心交換機(jī)流向備核心交換機(jī)再到備防火墻,詳細(xì)的業(yè)務(wù)流向如圖5所示。之所以流量會(huì)從備核心交換機(jī)流回主核心交換機(jī),是因?yàn)橹骱诵慕粨Q機(jī)還是VRRP的主設(shè)備,業(yè)務(wù)流量必須通過(guò)它流向業(yè)務(wù)系統(tǒng)的主路由器,在這種場(chǎng)景下,業(yè)務(wù)不會(huì)中斷。
圖5 防火墻單點(diǎn)故障業(yè)務(wù)流向圖
(2)核心交換機(jī)單點(diǎn)故障
在如圖3所示拓?fù)渲校?/span>如果主核心交換機(jī)出現(xiàn)故障,則備核心交換機(jī)成為VRRP的主設(shè)備,上行流量首先從備核心交換機(jī)進(jìn)入,最后從備核心交換機(jī)流向備路由器,詳細(xì)業(yè)務(wù)流向如圖6所示,在此場(chǎng)景下,業(yè)務(wù)不會(huì)中斷。
圖6 核心交換機(jī)單點(diǎn)故障業(yè)務(wù)流向圖
(3)主路由器單點(diǎn)故障
在如圖3所示的拓?fù)渲校?/span>如果主路由器出現(xiàn)故障,則業(yè)務(wù)流量會(huì)從主核心交換機(jī)到達(dá)備核心交換機(jī)再通過(guò)備路由器進(jìn)入業(yè)務(wù)系統(tǒng),詳細(xì)業(yè)務(wù)流向如圖7所示,在此場(chǎng)景下,業(yè)務(wù)不會(huì)中斷。
圖7 路由器單點(diǎn)故障業(yè)務(wù)流向圖
總結(jié):
綜上所述,采用如圖3的拓?fù)溥M(jìn)行網(wǎng)絡(luò)設(shè)計(jì),不僅節(jié)省了一個(gè)二層交換機(jī),而且在網(wǎng)絡(luò)的可靠性方面,比圖2的設(shè)計(jì)方式更勝一籌。這種方式,就相當(dāng)于在核心交換機(jī)上分離出一個(gè)二層交換機(jī)供上下行相連使用,同時(shí)不影響本身的三層業(yè)務(wù)流量轉(zhuǎn)發(fā),大家在企業(yè)的網(wǎng)絡(luò)設(shè)計(jì)時(shí),遇到類(lèi)似場(chǎng)景,不妨考慮一下這種部署方式。
個(gè)人簡(jiǎn)介:
何濤,男,畢業(yè)于北京郵電大學(xué)電磁場(chǎng)與微波技術(shù)專(zhuān)業(yè),從業(yè)十年,現(xiàn)任職中國(guó)交通通信信息中心保障與網(wǎng)絡(luò)中心高級(jí)工程師,專(zhuān)注于數(shù)據(jù)通信及網(wǎng)絡(luò)安全方向的研究工作。原文標(biāo)題為“巧婦能為無(wú)米之炊--利用三層交換機(jī)的二層功能組建自愈性網(wǎng)絡(luò)”。