黃敬志
(廣東省電力試驗研究所,廣東 廣州 510600)
摘 要:介紹了廣東省廣電集團有限公司本部辦公大樓計算機網絡建設使用的部分關鍵技術,包括1 Gbps以太網技術、第三層交換技術、SMLT與VRRP技術、虛擬局域網技術和包過濾技術,并簡要說明了這些技術在該網絡中的應用情況。這些技術與相關的網絡安全技術相配合,將大大加強網絡的安全性和可靠性,保障其承載的各項重要業務能夠穩定、可靠、安全和高效地運行。
關鍵詞:計算機;局域網;網絡;升級;1 Gbps以太網;SMLT;VRRP;虛擬局域網;包過濾
廣東省廣電集團有限公司(以下簡稱廣電集團)本部大樓計算機網絡是公司本部內部的信息高速公路,目前承載了公司本部的辦公自動化系統(OAK)、服務中心(CALLCENTER)系統、工程項目管理系統等重要信息系統,是該企業各種應用系統的網絡支撐平臺,已成為企業經營、管理和生產中不可或缺的一部分。隨著各種業務系統應用在企業的不斷擴展,必然要求網絡有相應的增長,為適應用戶對新功能的需求,廣電集團對本部大樓局域網進行了升級改造。
1網絡設計原則
鑒于該網絡系統的重要性,網絡系統設計必須既適應當前應用考慮,又面向未來信息化發展需求。在制定網絡技術方案時,應遵循以下設計原則:
1.1實用性和先進性
采用先進成熟的技術滿足當前的業務需求,兼顧其他相關的業務需求,盡可能采用先進的網絡技術以適應更高的數據、多媒體信息的傳輸需要,使整個系統在一段時期內保持技術的先進性,并具有良好的發展潛力,以適應未來業務的發展和技術升級的需要。
1.2安全可靠性
為保證將來的業務應用,網絡必須具有高可靠性。要對網絡結構、網絡設備、服務器設備等各個方面進行高可靠性的設計和建設。在采用硬件備份、冗余等可靠性技術的基礎上,采用相關的軟件技術提供較強的管理機制、控制手段和事故監控和網絡安全保密等技術措施,提高網絡系統的安全可靠性。
1.3靈活性與可擴展性
網絡系統是一個不斷發展的系統,所以它必須具有良好的擴展性。能夠根據將來信息化的不斷深入發展的需要,方便地擴展網絡覆蓋范圍,擴大網絡容量和提高網絡各層次節點的功能。具備支持多種通信媒體、多種物理接口的能力,提高技術升級、設備更新的靈活性。
1.4開放性與互連性
具備與多種協議計算機通信網絡互連互通的特性,確保網絡系統基礎設施的作用可以充分發揮。在結構上真正實現開放,基于國際開放式標準,包括各種廣域網、局域網、計算機及數據庫協議,堅持全國統一規范的原則,從而為未來的業務發展奠定基礎。
1.5經濟性與投資保護
應以較高的性能價格比構建網絡系統,使資金的產出投入比達到最大值。能以較低的成本、較少的人員投入來維持系統運轉,提供高效能與高效益。盡可能保留并延長已有系統的投資,充分利用以往在資金與技術方面的投入。
1.6可管理性
由于系統本身具有一定復雜性,隨著業務的不斷發展,網絡管理的任務必定會日益繁重。所以在網絡的設計中,必須建立一個全面的網絡管理解決方案。網絡設備必須采用智能化、可管理的設備,同時采用先進的網絡管理軟件,實現先進的分布式管理。最終能夠實現監控、監測整個網絡的運行狀況,合理分配網絡資源,動態配置網絡負載,可以迅速確定網絡故障等。
2關鍵技術的應用與分析
根據以上設計原則并結合廣電集團的實際情況,我們選擇了目前市場主流的1 Gbps以太網技術作為該項目的技術框架,并輔以一系列的相關技術保證網絡運行的穩定和安全。
2.11 Gbps以太網技術
1 Gbps以太網是基于傳統的100 Mbps以太網技術發展而來,采用與100 Mbps以太網同樣的訪問方式。所以大量傳統的基于以太網環境下開發的應用不需要修改就可運行。與FastEthernet相同,全交換連接的以太網完全消除了CSMA/CD技術在共享式以太網中存在的碰撞和沖突問題,特別是隨著第三層交換機的出現,網絡傳輸效率大大提高,經測試,在交換以太網環境下,1 Gbps以太網可利用99%的帶寬,是非常理想的主干網技術。
大樓網絡采用星形拓撲結構,中心交換機采用北電網絡公司的核心三層路由交換機Passport 8610,接入層采用北電公司二層接入交換機BPS 2000交換至桌面。提供1 Gbps的骨干網,每位用戶獨享100 Mb帶寬。
2.2第三層交換技術
企業信息網承載業務的急劇擴大,帶來了網絡流量的急劇增長。為了解決廣播域問題,我們把較大的網絡分成若干個子網,并引入了路由器,為子網之間的信息提供路由。劃分子網的做法可以有效地抑制廣播風暴的產生。早期的虛擬局域網(virtual local area network, VLAN)間通信是利用外部路由器來完成的,但外部路由器的主要用途是連接廣域網,其內部交換性能在設計上并沒有作專門重點的考慮,所以使VLAN之間通信的延遲比較大,雖然現在也研究出交換能力強大的外部路由器,但價格卻非常昂貴。由于在局域網上,不同VLAN之間的通信數據量很大,這樣,如果路由器要對每一個數據包都路由一次,隨著網絡上數據量的不斷增大,路由器將成為瓶頸。第三層交換技術能較好解決這一問題。
第三層交換技術就是將路由技術與交換技術合二為一的技術。它既有路由器功能,因為它可操作在網絡協議的第三層,是一種路由理解設備,能起到路由決定的作用;它又有交換機功能,因為它的速度極快,幾乎達到第二層交換的速度。第三層交換機在對第一個數據流進行路由后,它將會產生一個MAC地址與IP地址的映射表,當同樣的數據流再次通過時,可根據此表直接從二層通過而不必再次路由,從而消除每次都要進行路由選擇而造成網絡的延遲,提高了數據包轉發的效率, 可以勝任VLAN之間線速交換。路由器的轉發采用最長匹配的方式,實現復雜,通常使用軟件來實現。而三層交換機的路由查找是針對流的,它利用CACHE技術,很容易采用ASIC實現,因此,可以大大節約成本,并實現快速轉發。
本次工程我們采用了加拿大北電網絡(環球)公司的核心三層路由交換機Passport 8610作為中心交換機,其擁有128 Gbps的三層交換能力,使得在不同虛擬網絡之間的數據傳輸也可以達到線速交換,不會產生不同虛擬網之間數據傳輸速度上的瓶頸。
2.3SMLT技術與VRRP技術
multilink trunk(MLT)技術是在兩臺交換機之間提供2條以上鏈接,在連接處于正常情況下,數據可分別利用多條鏈路進行數據傳送,多條連接之間采用負載均擔技術(圖1)。這樣也就成倍地擴展了交換機之間的連接帶寬,擴展了骨干節點之間的連接帶寬。當其中一條連接出現故障時,交換機將自動檢測故障并使用沒有故障的其他連接傳送數據,以保障網絡交換機之間的正常連接。
distributed multilink trunk(DMLT)是在multilink trunk的基礎上,在配置互連的鏈路時,多條鏈路端口可分布于交換機不同的I/O模板(圖2)。這樣,交換設備中某個I/O模板出現故障時,不會影響鏈路連接。
split multilink trunk(SMLT)是在DMLT的基礎上將兩臺交換機在邏輯上作為一臺交換機,實現在不同交換機上的MLT,從而在節點級保障了鏈路的安全冗余(圖3)。
SMLT功能使得當匯接-接入交換機連接到骨干交換機時,不僅可以將多條鏈路進行捆綁,增加中繼帶寬及提供鏈路冗余功能,而且一組MLT的端口可以連接到兩臺不同的骨干交換機上。廣電集團本部大樓中心交換機與數據中心(IDC)核心交換機互為備份,接入層交換機分別與兩臺中心Passport 8610交換機提供1條光纖通道,充分利用SMLT功能提供節點的保護。兩臺Passport 8610分別放置在兩個不同的場地(本部大樓中心機房和IDC機房),它們之間運行IST協議。接入交換機分別連接至兩臺核心交換機,因此即使其中一臺中心交換機Passport 8610上的I/O板卡故障,甚至某臺交換機完全損壞,都不會影響接入用戶正常訪問,用戶甚至感覺不到網絡節點發生過故障。
虛擬路由冗余協議(virtual router redundancy protocol,VRRP)提供網絡層的節點可靠性。由于目前大部分主機不支持動態路由協議,一般采用缺省路由方式轉發不在同一網段內的數據包,因此可能導致因一臺Passport 8610故障而引起局域網內主機找不到缺省網關。即使主機支持動態路由協議,那么當一臺Passport 8610發生故障后,需要重新進行路由計算,而路由計算由于會考慮到路由波動等因素,計算時間至少需要20~30 s。這對于實時應用或關鍵業務來說是不能忍受的。為了解決這個矛盾,在兩臺路由交換機上使用VRRP。VRRP在多臺路由交換機上產生一個虛擬的工作IP地址,其中優先級別高端口首先使用這個IP地址,其它路由端口處于監測狀態。當使用虛擬IP地址的路由器局域網端口故障、以太網線路故障或其它設定條件發生時,此IP地址會自動切換到其它優先級別較高的路由器端口上。IP切換在1~2 s以內就可以完成,大大保護了數據的實時性和關鍵業務的運行。
廣電集團的服務器和PC機使用的缺省網關的IP地址為虛擬網際協議(virtualinternet protocol,VIP)地址,這個VIP地址不是任何Passport 8610的端口的地址,而是一個虛擬地址。通過VRRP,兩臺Passport 8610交換機協商優先級別,優先級別高的交換機(如圖3中左面路由交換機)將廣播自己為VIP的所有者,所以主機將需要路由的數據發送到左面的Passport 8610。另外一臺Passport 8610處于監測狀態,一旦發現左面交換機發生故障,它將立刻接管VIP地址,并向網絡發送廣播包聲稱自己是VIP地址的屬主。這樣在交換機發生故障后,主機會將需要路由的數據包很快發送到另外一臺交換機上,應用程序甚至感覺不到網絡路徑發生了切換。
廣電集團本部大樓中心交換機與數據中心核心交換機使用了SMLT技術和VRRP技術,分別在網絡七層協議的第二和第三層上保證了單一節點交換機故障引起的網絡失效。
2.4虛擬局域網(VLAN)技術
VLAN(virtual local area network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的技術。IEEE于1999年頒布了用以標準化VLAN實現方案的8021Q協議標準草案。 VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須被放置在同一個物理空間里,即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,從而有助于控制流量,減少設備投資,簡化網絡管理,提高網絡的安全性。VLAN是為解決以太網的廣播問題和安全性而提出的一種協議,它在以太網幀的基礎上增加了VLAN頭,用VLAN ID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態管理網絡。
采用VLAN的優點一是遏制機構范圍內的廣播和組廣播,進行跨區的帶寬和性能管理。如果不管理(或限制)這些工作組的整個范圍,網絡管理員將冒著在用戶間沒有或少有廣播防火墻情況下,建立大型平面網絡拓撲結構的風險。長久以來,大部分網絡設計者和管理員都從實踐中得知第二層平面網絡的擴展性不好。而且各站點發送數據包之前都要廣播查詢所要到達目的地的MAC地址,同時,由于大量應用層軟件需要廣播傳送某些數據包,而這些數據廣播包只需發向某一組用戶,此時如果沒有VLAN,這些數據包會很快占用整個網絡大量的資源,使得正常數據包無法搶得正常帶寬,嚴重影響到網絡效率及性能。VLAN是控制廣播發送的有效技術,它的采用可以減少對最終用戶站點、網絡服務器以及用于處理關鍵任務數據的背板重要部分的影響。
采用VLAN的另一個優點是大大縮減了網絡變更造成的管理任務,即管理員可以減少在整個網絡上添加用戶移動和改變用戶物理位置的工作量。這個性能也是多數廠商經常討論的話題,尤其是在多網絡服務器或多網絡操作系統的情況下,用戶需要多種用途的網絡操作,這種變更就顯得尤為重要。
VLAN在交換機上的實現方法,可以大致劃分為基于端口劃分VLAN、基于MAC地址劃分VLAN、基于網絡層劃分VLAN和根據IP組播劃分VLAN四類。本部大樓網在劃分VLAN時主要基于端口劃分,目前根據業務劃分了“VIP VLAN”、“營銷VLAN”、“財務VLAN”和“其它VLAN”,分別采用了不同的安全級別。
2.5包過濾(packet filtering)技術
廣電集團本部網絡使用虛擬局域網技術,它通過分割多個廣播域,使在二層VLAN之間無法互訪,VLAN之間的訪問需通過三層。在三層轉發時,我們使用了基于源地址的數據包過濾技術,實現了訪問控制的效果。
加拿大北電公司聲稱Passport8600集成了防火墻的功能,指的就是數據包過濾技術。利用該技術可以根據數據包的源-目的MAC地址、8021QVLAN、源-目的IP地址或一段IP、協議種類、UDP/TCP端口進行過濾,靈活地限制和防止非法訪問,并且Passport8600支持對TCP會話(TCPSession)的監控,可以設定任一源-目的IP地址、任一端口的TCP會話數(包括不完全會話數),當TCP會話數量超過允許范圍,將無法進行連接,從而可以對DOS攻擊進行防范。
3小結
廣電集團本部網絡工程使用的都是計算機網絡建設方面比較成熟的技術,具有運行穩定、管理靈活等優點,配合相關的網絡安全技術,如訪問認證技術和入侵檢測技術等,將大大加強網絡的安全性和可靠性,保障其承載的各項重要業務能夠穩定、可靠、安全和高效地運行。
參考文獻
[1]董春慶,王健慧. 千兆以太網技術綜述[EB/OL]. http://www.chinaitlab.com/www/news/articleshow.asp?id=1580, 2002-07-26.
[2] CCW. 三層交換:決勝應用與安全[EB/OL]. http://www.chinaitlab.com/www/news/articleshow.asp?id=8248, 2003-02-22.
[3] ChinaITLab. Vlan及第三層交換[EB/OL]. http://www.chinaitlab.com/www/news/articleshow.asp?id=7636, 2003-01-24.
[4] ChinaITLab. VLAN技術白皮書[EB/OL]. http://www.chinaitlab.com/www/news/articleshow.asp?id=3463, 2002-11-16.
