稳定可靠的中型企业网的构建实例

来源:期刊VIP网所属分类:计算机网络发布时间:2012-07-24浏览:

  摘 要:提供一种中型企业网络建设的技术思路,着重介绍网络建设中增强稳定性和可靠性的几种典型技术及实现。

  关键词:网络结构、冗余配置、路由策略、双机热备、服务品质等

  1 构建稳定可靠的企业网的目的和意义

  现代企业,无论规模大小,建设不同要求的企业网对大多数企业而言是必须的。即便是一个最小规模的工作室,最简单的局域网都能给用户带来资源共享(文件共享)的便利和费用的节省(比如共享上网)。

  随着企业规模的扩大,企业网是各信息应用系统正常运行的基础,企业网带给用户的就不仅仅只有资源共享及节约费用了,而是能和运行在其上的信息应用系统共同带给用户新的生产力。运行在企业网之上的信息应用系统涉及企业管理、生产的各个方面,能极大提高企业效率。因此,企业网的建设已是规模企业的必然选择;同时,企业网的稳定可靠也成为企业网建设中最重要的追求。

  本文后面阐述的思想及技术实现适用于1 000人左右的企业用于构建稳定可靠的企业网。本文对网络建设中的常规思路及通用做法着墨不多,以介绍经验为主;重点介绍冗余技术的设计与实现。如果读者的业对网络的要求较低或从降低成本考虑,可适当降低冗余配置程度,比如核心与各汇聚局域网以单链路连接、单因特网宽带接入等,但这样做的后果就是可靠性大大降低。本文的思路与技术实现已经在实例网络中得到体现。

  2 构建稳定可靠企业网的几个要点

  2.1 稳定可靠的网络结构

  确立网络结构时,除了要考虑可扩展性、可管理性等方面外,更应看重稳定性、可靠性方面的设计。

  首先确定网络拓扑结构。各种拓扑结构各有优缺点也各有针对性,如果没有特殊需求,一般建议选择星型拓扑结构,因为这种拓扑结构有结构简单、容易实现、便于管理及故障点容易检测和排除。此结构是目前构建中小型企业网的主流结构。但是星型结构在可靠性方面有个大缺陷,就是中心节点的故障会导致网络瘫痪。对此缺陷,必须采取必要措施加以弥补,这个措施就是中心节点的冗余配置。企业网的中心节点一般是核心交换机。中心节点的冗余配置不是指设置2个中心,而是指加强作为中心节点的核心交换机的配置,使得中心节点非常可靠,不容易失败。

  接着,确定网络的层次结构。清晰合理的层次结构也有利于网络的稳定可靠。网络具有层次结构,既有利于后期的管理,也有利于故障的隔离。在实例中,把网络划分成了三个层次:核心层、汇聚层、接入层。接入层直接为终端提供接入;汇聚层终结VLAN;核心层以转发各局域网网间流量为主。

  然后,确定同城不同区域局域网的互联方法。这部分可根据企业应用系统的要求,同时根据成本花销情况(毕竟租用电信运行商线路是很昂贵的),选择适合自己企业的互联方法。可以租用数据专线,也可通过因特网以VPN的方式互联。本例中,采取的是数据专线做互联主链路,VPN做备用链路。

  图1就是按照上述思路强化了结构的网络实例拓扑图。针对星型结构的缺陷,中心节点由2台核心交换机组成。核心交换机与各局域网都以双链路连接,因特网宽带也采取双链路接入。

  2.2 IP规划及路由策略

  IP规划及路由策略问题往往容易被中小型企业网设计者轻视,但等网络建成了,才会发现由于前期缺少策划导致后面的工作很繁琐。

  由于中型企业内部网段比较多,如果仍然像在小型企业网那样在私有网段内随意指定IP地址段,往往会导致后期的路由指向困难及其它问题。

  而路由策略不仅要考虑是否要启用动态路由,还要考虑采用路由聚合,及支持策略路由功能等。启用动态路由的理由是应对可能的IP网段太多;采用路由聚合的理由是简化路由指向;策略路由能解决一些基于源地址的路由指向。

  规划IP时,适当考虑可变长度子网掩码(VLSM)技术,便于灵活调整子网的个数及主机的数量,以满足网络划分的不同数量要求。也要考虑路由聚合,把便于路由聚合的IP地址段分配给同一局域网内。

  在核心层启用互联网段,用于各汇聚层网络的互联互通。

  2.3 远程接入及访问因特网部分的设计

  这部分通常的网络方案设计中,设计人员喜欢既配置了路由器又配置防火墙。其实,如果路由要求不高的情况下,可以只选配防火墙。

  本网络实例中,防火墙不但承担了对因特网的访问任务,还承担了外埠分支机构的VPN接入任务。考虑到现代企业对因特网访问的依赖程度提高了,实例网络安排了双防火墙双因特网接入。

  而针对外埠分支机构的专线接入,可直接接入核心交换机,也无需路由器。

  这样做的好处是结构简单,在功能上也没什么缺失。结构简单的好处是低故障率,出了故障也容易排查。

  2.4 网络管理

  网络管理其实是开始于设计阶段的,设计网络结构时要考虑后面的运行管理,比如分层的网络结构让VLAN终结在汇聚交换机。IP在规划时考虑到路由的聚合,会给后期的路由指向带来方便。

  谈网络管理,必然要涉及网管软件。网管软件不是网络管理的必需,但随着网络规模的扩大,它的作用就越大,也越重要。对于规模不大的中小型企业网络,尽量在设计阶段就考虑到管理因素而又针对性地设计,以求网络开始运行后,在没有采用任何网管软件前能够手工地较快速地定位故障点,进而排除故障。

  之所以有这样的考虑,是因为选择一种适合本企业网络的网管软件并不是一件简单的事情。选择网管软件首先要清楚,自己要管理什么,是性能管理?故障管理?配置管理?安全管理?计费管理?或者全部,或者部分。其次,在技术上要清楚,网管软件大体分三个层次,即网元治理、网络层治理和业务治理,而本企业需要什么样的治理?基于以上原因,网管软件更适合在网络系统建立并运行后,在需求分析的基础上选择平台级的网管软件。开始阶段可选择由设备厂商提供的网元治理类的网管软件,比如CISCO Works。

  3 热备功能的实现及其它功能的说明

  结构上做了冗余设计,要真正地发挥设备和链路的热备的作用,还要进行相关设定后才能实现。其它功能也是企业网必须具备的。

  3.1 HSRP实现双机热备

  HSRP原理,首先由多台路由器组成备份组,此备份组可看成是一台虚拟的路由器,有独立的虚拟IP,网内主机以这台虚拟路由器为网关。在备份组内有一台路由器是活动路由器,由它来完成虚拟路由器的工作,当此台活动路由器出故障时,组内的另一台路由器会接替活动路由器,来完成虚拟路由器的转发工作。而这些,对网内主机是透明的,它们只能看到虚拟路由器。CISCO大部分3层交换机都支持HSRP。

  以某VLAN为例给出设置要点。

  1、在核心交换机A上

  Interface VLAN7

  ip address 192.168.7.253 255.255.255.0

  standby 7 192.168.7.254  /*虚拟路由器的IP

  standby 7 priority 110   /*设置优先级

  standby 7 preempt     /*设置抢占模式

  2、在核心交换机B上

  Interface VLAN7

  ip address 192.168.7.252 255.255.255.0

  standby 7 192.168.7.254

  standby 7 preempt

  3、在网内电脑上

  把网关设置为192.168.7.254

  3.2 SLA实现双链路自动切换

  SLA(Service Level Agreement)服务品质保障协议,可用于网络侦测,通过发送指定协议的报文来侦测链路的情况,根据链路情况选择路由。

  如果第二链路是另一家电信运营商的租用线路,实现此功能相对简单。如果考虑降低成本,一线多用,可用宽带线路通过IPSEC VPN来搭建第二链路,这就多了IPSEC VPN的设置工作。

  由于IPSEC VPN的实现因网关设备的不同而不同,本文就省略这部分设置的说明,只说明下交换机端的设置要点。实现原理:路由器(或三层交换机)通过(ICMP)PING远端路由器(或三层交换机)来验证第一链路的状态,如果第一链路失败,则激活第二链路,实现故障切换。使用对象跟踪功能(object track)保证静态路由的可靠备份。

  ip sla 1

  icmp-echo 192.168.1.6  /*ping远端交换机第一链路接口

  timeout 1000

  threshold 2

  frequency 3

  ip sla schedule 1 life forever start-time now

  ……

  track 1 ip sla 1 reachability /*跟踪ip sla 1,如果没有返回ping包,则track状态为down

  ……

  ip route 192.168.176.0 255.255.240 192.168.1.6 track 1 /*只有track状态为up时,此静态路由建立。如果track为down,则下面这条路有开始转发数据。

  ip route 192.168.176.0 255.255.240.0 192.168.1.2 10

  注:远端网络由若干C类网段组成,所以掩码是255.255.240.0,这里采用了路由聚合。要采用路由聚合,必须先有网络地址规划,即便是私有地址,也不可以随意指定。

  3.3 其它功能

  其它几个基本功能,有些是必须要采用的功能,比如VLAN、DHCP、访问控制列表等,能满足基本的网络管理要求;有些则是高级功能,如策略路由、QoS、动态路由等,能满足一些高级的网络管理要求,或者能提供管理的方便性。

  对于VLAN、DHCP、访问控制列表的使用,是企业网络管理中最基本的要求,网络管理员都应熟练掌握,本文不再赘述。而那些高级功能,则在网络运转起来后,根据需求决定是否采用。我在此提醒一下,有些功能需要交换机OS(操作系统)的升级。比如策略路由,一般三层交换机预装的OS都不支持,如果本企业确实需要这样的功能,可以通过升级OS来得到。

  4 结束语

  基于上述思路具有了冗余设计的实例网络在建成后,除了正常提供基本的网络功能外,在运行过程中还经历过一系列的故障的考验。某台核心交换机的一块接口业务板曾经损坏,由于是双核心交换机配置,得以迅速切换到另一台交换机,短时间内恢复了用户网络。核心网络与某局域网的电信专线连接也因为电信方的故障而中断过多次,而因为采用了基于SLA技术的设置实现了链路的自动切换,对用户应用并没有造成可感知的延时。以上事实足以证明实例网络在强化冗余能力方面的设计是成功的。

  当然,一方面的成功,不代表此网络方案就完美无缺,其实,就实例网络方案而言,缺点还很多,比如照顾了结构简单带来的稳定,但并不能增强网络的安全。本文主要阐述了为了追求网络的稳定和可靠,在方案设计上偏重的冗余设计部分。而在网络设计时,还应考虑后期网络管理及网络安全。如果在设计阶段,无法过多的考虑网络安全的因素,一定要在网络建成后加强网络安全建设。

期刊VIP网,您身边的高端学术顾问

文章名称: 稳定可靠的中型企业网的构建实例

文章地址: http://www.qikanvip.com/jisuanjiwangluo/3569.html