| 出版日期:2002-12-23 总期号:1179 本年期号:96 |
|
 |
四大升级思路
速度、结构、安全、管理 顾红 企业网络是企业一切IT系统建设必不可少的基础设施,如何对现有的企业网络进行升级,迎接新应用对企业网络的新需求,是企业IT部门面临的重要课题。速度、结构、安全、管理这四大方面,是企业网络常见的升级考虑。 升级企业园区网 千兆以太网是很好的选择 企业网络由企业园区网和企业广域网两部分构成。企业园区网目前采用的技术是千兆以太网或万兆以太网。企业园区网的构成包括核心层、汇接层和接入层三部分。一个典型园区网的拓扑图如图1所示。 
图1典型园区网拓扑图 千兆以太网在多模光缆上可以传输550米,在单模光纤上可以传输100公里。因此,利用千兆以太网完全可以构造大型园区网甚至构造城域网。当千兆带宽不够时,可以将多条千兆带宽进行捆绑,实现带宽聚合和负载。万兆以太网在单模光缆上的传输距离可达50公里,多条万兆的带宽也可以捆绑,实现带宽聚合和负载。由于目前千兆以太网的技术成熟、产品稳定、价格合理,因此,企业园区网从早期的FDDI和ATM升级到千兆以太网甚至万兆以太网,应当是园区网改造的很好选择。DPT和POS技术在企业园区网建设中性价比不高,建议没有必要采用。从应用的角度来看,服务器用千兆或万兆网卡接入网络有必要,工作站目前用百兆网卡接入网络就足够了。 高可靠性设计 企业园区网在结构方面一定要避免单点故障,应保证核心层的网络交换机实现热备份和负载均衡。一个考虑核心层容错的园区网的拓扑结构图如图2所示。 在企业园区网上,是否要部署内容交换(L4到L7交换),完全看服务器上的应用是否支持内容交换,一般情况下,企业园区网上的应用很少用到内容交换。为了应用的安全性,必然要将网络划分为不同的VLAN。VLAN的划分可以采用基于端口的方式划分,位于企业园区网上的任意端口可以跨越骨干网,通过IEEE 802.1Q标准划分在同一个VLAN里。目前,网络上几乎所有的应用都是基于IP协议实现的,不同VLAN之间需要通信,企业园区网的核心交换机就应支持IP,通过第三层交换可以实现不同VLAN之间的安全互访。如果采用Private VLAN技术,甚至可以实现同一VLAN内部的访问控制。 
图2 考虑核心层容错的园区网的拓扑图 企业园区网按照高可靠性的结构设计时,交换机上需要用到IEEE 802.1W Rapid Spanning Tree Protocol(RSTP) 和IEEE 802.1S Multiple STP(MSTP)技术。 RSTP可以提供Spanning Tree的快速收效(收敛时间为1秒,802.1D要50秒)。MSTP可以提供多条数据的转发路径,从而实现负载均衡。RSTP和MSTP在改进Spanning Tree的同时,保持了与IEEE 802.1D Spanning Tree的兼容性。RSTP和MSTP部署在核心交换机和汇接交换机上,就可以有效保证网络的高可靠性。 由于核心交换机上实现了三层交换,同时为了保证在任意一台核心交换机出故障时,第三层交换还能正常工作,需要在第三层交换机上配置HSRP或VRRP,之后就可以在第三层实现容错和负载均衡。 升级企业广域网 利用MPLS VPN构建企业广域网 构造企业广域网的线路,可以采用电信运营商提供的DDN或Frame Relay线路,也可以直接在Internet上采用VPN技术。但采用这两种方式都有弊端:租用线路的费用太高(采用长途专线),或者带宽没有保证(在Internet上构造VPN)。 
图3 考虑安全性的企业广域网拓扑图 有没有一种既能保证高带宽,又能保证低价格的方式来组建企业的广域网呢?显然MPLS VPN是较好的选择。MPLS VPN属于IP VPN的一种,与传统的VPN不同,它不依靠封装和加密技术,而是依靠转发表和数据包标记来创建一个安全的VPN。目前,中国网通以高速宽带互联网CNCnet为基础推出商用的MPLS VPN服务。CNCnet是基于IP Over DWDM技术组建的宽带IP网,其带宽达到40G,企业广域网完全可以在CNCnet上实现高速互联。 利用运营商SDH网络 除了采用DDN、Frame Relay、MPLS VPN方式来建设企业广域网外,还可以租用电信运营商的SDH网络构造广域网。电信运营商的SDH线路连接到企业广域网的核心路由器上,提供155Mbps的Multichannel STM-1光纤接口,该接口可以划分出63个E1子接口,那么,远程分支机构就可以通过E1(2.048Mbps)线路接入到分支机构。 合理利用双运营商线路 有两个因素导致企业申请双运营商,一是广域网线路备份,二是为获得更高的带宽。如何合理利用两条线路的资源,是很多企业广域网忽视的问题。 一种方法是通过动态路由协议的负载均衡功能,比如OSPF或EIGRP。采用这种方法几乎不需要对路由器进行配置,最多也只是修改某些端口的Bandwidth或cost参数。但这种方式的问题是,路由协议无法区分线路的实际带宽,也无法区分不同的业务流量。比如OSPF就无法在512K DDN和2M SDH线路之间,按合理的比例分配流量,而EIGRP也无法将Internet流量和业务流量分开,让它们各行其道,互不干扰。 所以,建议采取策略路由技术(Policy-Based Routing),它能够将不同类型的流量分开,并为不同的流量指定不同的路由线路。合理的策略是将业务与视频、OA、Internet访问等非业务流量隔开,因为视频等应用会不定时地产生突发流量,足以影响正常业务的传输。策略路由的主要缺点是配置相对复杂。 实施QoS管理 广域网的宽带永远是不够的,即使是2Mbps的广域网带宽,如果不能实施正确的QoS管理,当广域网上运行语音视频和数据传输时,线路的拥塞将导致关键业务不能正常运行。 QoS是建设广域网时最容易被忽略的,特别是那些申请了2Mbps线路的企业。QoS能够为用户带来一种保证:在广域网线路发生拥塞时,保证优先发送指定的业务流量,或为业务流量确保一个最低的带宽。当广域网还负载OA、视频、语音或Internet访问(企业总部集中出口)时,QoS是必须的。 根据企业网络的实际情况,建议将广域网流量分成三类——不可中断的实时业务(包括语音、ERP等)、可中断的实时业务(如OA)、其他流量(包括Internet访问、视频等)。QoS可以通过多种技术实现, CBWFQ是一种基于流量分类的加权公平队列技术,非常适合企业广域网的环境。利用QoS能够保证在广域网线路出现拥塞时,关键业务的带宽。 保障广域网内部安全 最基本的安全控制手段是,在企业分支机构的路由器上设置访问控制列表(Access-Control-List),检查每一个从分支机构进入广域网的数据包,过滤掉所有对企业总部或其他分支机构的非法访问。 由于业务和数据越来越集中到企业的总部,建议在企业总部局域网和广域网之间增加防火墙,最大限度地防范来自广域网上的攻击。要知道,ACL只能起到访问控制的作用,而对于大多数的“拒绝服务攻击”和IP地址欺骗,就无能为力。防火墙应当支持双机热备份,可以避免由于引入防火墙而给网络主干带来的单点故障。 另外,对防火墙、路由器、核心交换机等关键网络设备的保护,也是至关重要的。应配置网管软件对移动用户的拨号访问,以及对网络设备的访问进行集中的身份认证、授权和记帐(AAA)。当用户访问网络设备时,网管软件能够详细记录用户名、访问时间,以及执行过的每一条命令,这些审计将对提高网络的安全性带来巨大帮助。 对企业网络从速度、结构、安全、管理四方面进行全方位升级,是摆在所有企业IT建设中一项重要的基础工程。没有一个智能健康的企业网络,其上的一切应用是不可能正常运行的。 |
||||||||||||||||||||||||||||
