扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛管理 来源:zdnet安全频道 2009年1月16日
关键字: 网络管理
下面是笔者前段时间写的公司某区域网络升级可行性方案。
一、 需求分析
随着公司业务的拓展及规模的扩大,原有网络已不能满足公司的发展需求,经过公司各部门多次协商与论证,领导层决定对原有网络的主干线路及设备进行一次大型的升级改造。
具体需求分析如下:
(1)、业务需求:作为一个独立的AS网络运营,拥有独立的自治区域AS号,拥有属于自己的公网IP地址等,可以实现独立的AS网络中可以运营的所有业务。
(2)、地址分配:为每一个用户动态与静态相结合的方式分配公网IP地址。
(3)、运营计费:实现多种计费验证方式相结合,安全、高效、方便管理及人性化计费。
(4)、冗余备份:实现核心设备(核心路由及交换机等)冗余备份,避免核心设备单点故障。
(5)、负载均衡:实现多ISP接入链路负载均衡,路由优化选择、流量分担负载及避免单线路故障。
二、网络现状
(1)、带宽及链路现状:
原主干拓扑有三条链路光纤接入:中国网通、中电飞华、北京电信通,总带宽是独享50M,后因链路质量问题,撤销了北京电信通的20M链路,另引进了中电飞华部分带宽作补充,总带宽仍维持在50M左右。三条链路分别通过各边界路由器与防火墙接入,再通过cisco7505核心路由,实现了链路上手动策略的负载均衡与互为备份。
(2)、主网络设备现状:
A、核心层主要设备: (略)
B、汇聚层主要设备: (略)
C、接入层主要设备: (略)
(3)现状分析:
随着公司规模的扩大,公司所辖各社区之间的互联互通及资源共享将成为近期一段时间需要解决的问题,而现有的网络带宽、链路及设备等资源已不能满足公司发展的要求。
A、带宽及链路分析:在满足z区域用户的基础上,也需要考虑公司所辖其他社区的接入情况,带宽的需求,链路多元化的需求,链路冗余备份的需求,在升级改造前期,建外与z区域主干线路需至少接入100M独享带宽,及电信、网通、联通等多条ISP链路。
B、设备性能的分析:z区域网络的设计在相当长一段时间内不仅满足了z区域网络的需求,同时也满足了技术先进性的要求,但由于公司现有业务及规模的扩大,在原有基础上增加许多新的需求,如对设备处理能力的要求,对设备新技术支持的要求,对设备的冗余备份的要求、对运营计费验证及安全方面的要求等。
(4)新进资源:
为了与网络升级改造能够保持同步,在原有带宽的基础上,现已申请并接入了中国电信50M独享带宽,并且已从CNNIC申请了4096个公网IP地址,BGPv4自治区域AS号正在申请中。
(5)、主干拓扑:
z区域网络以交换式以太网为主,其中接入层可提供快速以太网(100M)接入,核心层及汇聚层以千兆以太网进行传输。同时,z区域的ISP接入方式形式多样,既支持光纤以太网接入、XDSL接入,也支持DDN、FR(帧中继)、ATM等方式的接入,z区域局域网用户端接入方式也有多种,如快速以太网接入、VDSL接入、DDN接入等等。
(因涉及公司内部拓扑架构拓扑图略)
三、设计目标
z区域网络的改造是在原有网络的基础上进行较大规模的升级,尽管整体设计不发生变化,但对主干拓扑结构变进行了较大调整,并对相关资源进行了整合。
此次升级主干线路及设备仍采用快速以太网技术和千兆以太网技术,并符合相关的技术标准。
此次升级改造规划分以下四个阶段进行:
第一阶段:前期准备工作-主要包括网络改造的整体设计、网络改造的技术论证、网络改造可行性方案的出台。 该阶段包括三个重要环节:
(1)、整体规划设计环节:根据公司的需求分析,规划设计出需要升级改造的模型拓扑。
(2)、技术论证整合环节:根据整体规划设计环节中的模型拓扑,对相关技术可行性进行反复论证和技术资源的整合。
(3)、可行方案拟定环节:通过整体规划设计环节和技术论证整合环节后,本阶段拟定完成可行性方案。
第二阶段:资源整合工作-主要包括相关升级资源的落实、相关升级资源的整合、内部人员及用户的协调通知。 该阶段包括三个重要环节:
(1)、升级资源引进环节:该环节根据第一阶段出台的可行性方案的要求,对此次升级所需的资源如设备、链路、带宽等进行选购和引进。
(2)、升级资源整合环节:该环节是在资源引进后,首先对资源进行相应测试和分配,然后根据现有资源和引进资源开始进行整合。
(3)、实施阶段准备环节:该环节主要为下一阶段做准备,如具体实施人员的工作分工与搭配,用户方面的协调与通知等。
第三阶段:整改实施工作-主要包括主干拓扑结构的升级、各技术环节具体实现、整改实施完毕后的测试工作。 该阶段包括三个重要环节:
(1)、主干拓扑升级环节:核心设备的上架、相关链路拓扑的更改,计费运营设备的调整。
(2)、具体技术实现环节:涉及到具体的设备调试、具体的设备配置等具体技术工作。
(3)、升级完毕测试环节:以上各环节完毕后,需要对升级后的网络进行各环节测试和整体测试。
第四阶段:正式运营工作-主要包括用户端网络重新接入、网络运营期间的监控、网络运营期间的正常维护等。
(1)、用户网络接入环节:该环节主要是升级用户端接入及配置方式(如通知或者协助更改为DHCP获取地址等)。
(2)、正式运营监控环节:实时监控升级后网络使用状况,及时发现问题及时解决,并对网络状况进行分析,成熟后进入正式运营阶段。
(3)、正常运营维护环节:新的网络正式运营,新的计费策略实施、开始正式网络运营的日常维护和管理。
四、设计原则
网络工程一般都会遵循以下设计原则,网络升级改造也不例外:
(1)、实用性原则:网络设计方案中应把握“够用”和“实用” 原则,网络系统应采用成熟可靠的技术和设备,做到实用、经济和有效。
(2)、开放性原则:网络系统采用开放的标准和技术,如TCP/IP协议、IEEE802系列标准等,以满足未来网络系统的扩充和与其他网络的互相通信等需求。
(3)、高可用性/可靠性原则:应确保很高的平均无故障时间和尽可能低的平均故障率。
(4)、安全性原则:确保网络可以抵挡住常见及一般性的攻击,并辅之实时监控和分析等手段,对特殊的网络攻击和入侵进行相应处理。
(5)、先进性原则: 构建一个现代化的网络系统,应尽可能采用先进而成熟的技术,在一段时间内保证其主流地位。
(6)、易用性原则:整个系统易于安装、管理和使用。网络系统应该具有良好的可管理性和很高的资源利用率。此外,在满足现有网络应用的同时,还应为以后的应用升级奠定基础。
(7)、可扩展性原则:网络总体设计不仅要考虑到近期目标,也要为网络的进一步发展留有扩展余地,因此需要统一规划和设计。
五、 总体设计
网络拓扑结构设计采用三层设计模型,实际上核心层、汇聚层、接入层并没有清晰的分界线,分层的设计目的是为了帮助实现成功的网络设计,并定义那些必须存在于网络中的功能。z区域网络拓扑结构从整体上也是遵循三层设计模型的。
(1)、接入层设计:
A、接入层设计策略:提供各种接入方式,将流量接入网络;控制访问,保证网络安全;执行其它的边缘功能(如Qos等),是网络的对外可见部分,是用户与网络的连接场所。
B、接入层的性能:网络分段;广播能力和多播能力;命名、代理和本地高速缓存功能;介质访问的安全性、路由器发现。
C、接入层设计要点:根据此次需求及以上设计策略和接入层的性能进行分析,z区域网络需要从子网规划、冗余链路规划进行升级改造。
i、子网规划设计:从现有的4096个公网地址,其中保留2个C类数量的IP地址使用DHCP分配给z区域普通终端用户,保留1个C类数量的IP地址静态分配给z区域专用或特殊需求用户。同时,为了节约IP地址资源,同时根据用户的分布情况,按理想状态下,每栋楼宇同时在线50用户,共10栋大约同时在线500个IP地址划分为10个VLAN(每栋楼划为一个vlan)。但实际状态下,每栋楼同时在线用户最高应保持在30-40用户左右,每栋楼将会有10-20个冗余地址备用。
ii、冗余ISP链路规划:多ISP链路,可以互为备份,互为冗余,通过负载均衡方式,避免单点故障,并实现流量分担负载和路径优化选择。原中国网通、中电飞华各ISP链路的接入,基本上实现了双链路冗余备份,但随着公司规模及需求的扩大,中国电信链路的需求也随增大,同时考虑对带宽的需求,前期计划在原基础上再接入中国网通50M、中国电信50带宽,目前中国电信链路已经接入。
(2)、汇聚层设计:
B、汇聚层园区网功能包括:地址聚合或区域聚合、部门访问或工作组访问、广播/多点传送域的定义;VLAN间路由;所需的任何介质转换;安全性。
C、汇聚层设计要点:
本层次升级主要是vlan及vlan间路由重新配置。根据子网规划要求,需要划分为10个用户端VLAN,一个内部vlan,一个管理vlan(服务器及设备)。
(3)、核心层设计:
A、核心层性能:路径优化、信息流的优先化、负载均衡、备用路径、交换式访问、封装。
B、核心层设计策略:路由聚合;核心层与汇聚层连接最小化;减少网络策略;任何形式的策略必须在核心层外执行,如数据包的过滤及Qos处理;禁止采用任何降低核心层设备处理能力或增加数据包交换延迟时间的方法;对网络中每个目的地具备充分的可到达性;具有足够的路由信息来交换发往网络中任意端设备的数据包;核心层的路由器不应该使用默认的路径到达内部的目的地;聚合路径能够用来减少核心层路由表大小;默认路径用来到达外部目的地。
C、核心层分类:压缩型和核心网型
压缩型:网络规模小,设置核心路由器扮演网络核心层与汇聚层上所有其它路由器相连,甚至将汇聚层的功能包含在核心层,此种网络特性容易管理,但扩展性不好,易存在单点故障。z区域目前网络拓扑核心层属于这种类型。
核心网型:对于大型网络使用一组高速局域网连接的路由器,或者一系列高速的广域网链接形成一个核心层网络。用某个网络作为核心层,可将冗余加入到核心层规划中。目前大型的ISP运营商网络一般属于这种类型。
D、核心层设计要点:本次升级改造的重点也主要在核心层,并且还涉及到了主干拓扑的改变,更重要的是涉及到了路由协议和策略的变化,所以核心层的设计是最关键的。该设计中主要包括:
1、运营计费:希望此次计费系统升级改造后可以实现以下基本功能:
Ø 在原有计费功能(如流量监控、带宽限制、访问记录、用户管理等)的基础上,实现带宽、流量及传输速率的严格管理与控制。
Ø 除具备WEB页面验证外,还需具体其他验证功能,如802.1x验证、pppoe验证、VPN验证方式等。
Ø 实现计费与信息统计更人性化的功能及操作。
Ø 实现远程计费系统管理。
Ø 需考虑到后期网络升级和技术发展,设备对新性能的扩展及支持(如IPV6网络的计费等等)。
Ø 客户端信息自查询功能。
ii、路由协议:要建立一个独立的AS网络运营,拥有独立的自治区域AS号,拥有属于自己的公网IP地址,在z区域网络的边界处需要使用BGP协议来实现与其他ISP运营商网络的互联,z区域内部网络可以自行选择使用静态、动态、策略路由来实现,必要时需要三种路由协议结合使用,路由协议的选择是非常重要。
iii、冗余备份:主要是对核心设备及主干链路进行冗余备份,核心路由器的冗余备份可以使用HSRP协议实现,核心交换机的冗余备份可以使用GEC/FEC(链路聚合协议)实现。
iv、负载均衡:此处主要指流量及带宽分担负载、路径优化及自动选择。可以采用的技术及协议如使用EIGRP、OSPF、BGP等技术实现。根据拓扑不同,可以选择的协议也不同。
六、 方案分析
经过多方面论证,考虑到前期投资成本问题,暂时不考虑设备的冗余备份方案(略)。
因此,在综合各方面的性能、成本、速度、业务、稳定性、计费运营等因素后,最终归纳为以下解决方案,分析如下:
(1)、BGP网络方案:
A、优势:拥有自己独立的BGP AS网络,独立运营BGP AS网络,可以与其他BGP AS网络(如中国电信、中国网通、中电飞华、中国联通等)进行平等对接,不存在隶属关系。拥有自己的公网IP地址,并且可以运营独立BGP AS网络上的业务。路径的最佳优化选择,可以实现真正意义上的自动多链路负载均衡。
B、劣势:投资成本较大,技术上实现复杂。需要投入高端、专业的骨干网络BGP处理设备(如高端路由器)等,需要专业的BGP技术人员进行实时维护和处理。
C、设备:为了节约成本,可选择既满足BGP处理,又同时作为内部网络边界或核心处理的设备。经过多方咨询,cisco设备需要cisco 10000 ESR系列及以上的cisco12000 GSR系列(cisco的顶级产品)的设备,juniper需要M40(停产)或M120级别的设备。目前在一级电信运营商中,作BGP处理和核心处理一般使用以上两种设备居多。
(2)非BGP网络方案:
A、优势:最大节约成本,技术上实现起来较BGP网络要简单。利用现有的设备进行一系列升级,不更换核心设备及网络架构,仍采用原有网络通信协议,难度相对较小。多ISP链路仍然采用静态路由+策略路由方式实现手动的负载均衡。
B、劣势:属于短期内升级,以后随着业务的扩展,规模的扩大,现有的网络将无法满足新的业务需求,但可以作为网络改造的前期实施。公网IP地址将对ISP线路分网段分别穿透,无法将其融合于一网,无法实现自动多链路负载均衡。
C、设备:核心路由交换设备暂不选购。
(3)、运营计费方案:
由于运营计费验证方式不同,Raidus计费器接入的位置也不同。如实现web+DHCP方式进行验证,计费器需要安装在三层以上,而如果实现pppoe方式验证,计费器需要安装在二层汇聚设备上。由于验证方式不同,工作在OSI及TCP/IP模型的位置不同,因此各验证方式独立运营,目前比较常用的验证方式有:
A、PPPOE验证方式:
(1、PPPOE方式优势:成本低,通过PPPOE地址池分配4096个公网地址,减少公网地址的浪费,并且实现动态静态相结合分配,可灵活控制,安全性较高,由于是点对点协议,不存在PPPOE网内广播,所以不会因为某客户数据广播或流量过大而影响局域网其他客户,易于管理和流量控制。
(2、PPPOE方式劣势:必须通过客户端设备进行拨号才可以通过验证,有些设备不支持PPPOE方式时,PPPOE实现比较困难。另外,PPPOE使用的是数据链路层的技术,每个数据包都要包含认证信息,这样占据了一定的网络带宽。对于一些带宽资源不是很丰富的网络,不是个最佳的管理方式。由于PPPOE是点对点协议,很难开展Multicast业务,如iptv等业务开展困难。PPPOE服务器用来终结用户发起的PPPOE session,所以必须放置在data path中,即串行连接,使得PPPOE服务器成为性能瓶颈和单个故障点。
B、web验证方式:
(1、web验证方式优势:验证方便,直接通过浏览器进行验证,图形界面化验证,可以提供多种web增值服务;一般结合DHCPserver地址池动态分配地址与静态地址相结合,因为这种验证方式使用的都是三层以上的技术,所以可以实现网络层以上的高层次服务,如多播业务、组播业务中的IPTV、视频广播等等,有利于新业务的开展。
(2、web验证方式劣势:因为通过web方式验证,安全性较差,漏洞较多。另外DHCP分配地址有许多缺点,如mac地址与mac地址绑定、静态地址与动态地址之间的冲突、静态地址与静态地址的冲突等无法有效控制。同样也无法控制客户端使用DHCP分配造成的冲突等等。
C、客户端验证方式:可以与web结合使用。不同厂商有不同的客户端,主要特点是为了防代理和arp攻击等。
七、设备选购
设备的选购需要根据方案来确定,如采用了BGP网络方案,需要购进juniper M40(停产)/M120级别设备或者cisco12000GSR级设备;如采用非BGP网络方案,核心层设备前期暂不作升级,可以节约成本;无论是采用BGP网络方案还是非BGP网络方案,冗余备份方案由于涉及成本过高,暂不考虑,但对于运营计费方案,是这次升级改造的重点,运营计费设备需要重新采购或升级。下面仅对运营计费设备作简单介绍:
目前在运营计费设备厂商中,城市热点、安腾、华为等厂商在国内信誉度较高,并且国内各大ISP及社区运营商采用城市热点、安腾较多。
因此建议从城市热点或安腾选购合适产品,目前两家厂商都提供了不同的产品方案和报价。
八、 附工程进度及人员安排表
在经过多方案分析和对比并确定后,可立即根据方案确定相应负责人员和实施人员,并计算出工程进度。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。