基于MSTP和防火墙多出口的园区网可靠性设计
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于MSTP和防火墙多出口的园区网可靠性设计范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要 从园区网内部和园区网对外访问两个方面进行可靠性分析,提出基于mstp及防火墙多出口的园区网可靠性设计思路,主要讨论MSTP的概念、原理与配置方法,防火墙多出口技术及其优势和配置等,从而实现园区网的相对可靠性。
关键词 MSTP;防火墙多出口;园区网可靠性
中图分类号:TP393.08 文献标识码:B 文章编号:1671-489X(2013)09-0037-03
Reliability Design of Campus Network based on MSTP and Multiple Outlets Firewall//Li Bing
Abstract This paper analyzes the reliability from two aspects of internal and external network of campus network access, proposed a reliable design idea based on MSTP and firewall multiple outlets, discuss MSTP concepts, principles and configuration methods; advantages of firewall multiple outlets technology and the method of configuration, so as to realize the relative reliability of campus network.
Key words MSTP; firewall multiple outlets; campus network reliability
随着网络技术的发展和应用,网络化、信息化成为一种必然的趋势,很多企事业和政府部门都建立了自己的园区网。越来越多的企业的内部管理和外部业务越来越多地依赖于网络运作,以提高工作效率,提升自身形象和社会影响力。然而,一旦网络系统发生问题就将直接影响企业的正常运作,造成经济损失,有损社会声誉。因此,网络的性能特别是网络的可靠性就显得尤为重要。
1 园区网可靠性分析
计算机网络的可靠性,简单说来就是指网络系统在规定的时间和条件下,能够保持正常的信息流通,维持网络应用系统稳定的能力。计算机网络可靠性是一个系统化和科学化的概念。园区网的可靠性从网络范围来说可分为内部网络业务的可靠性和访问外部网络的可靠性两个方面。
1.1 实现园区网可靠性的基本设计思路
在园区网的重要节点采用相同功能的多个设备形成相互备份保护,如果一台设备出故障,则另一台设备能迅速接管故障设备,使对整个网络系统的影响降到最低;同样在园区网的出口,采用2条及以上不同的接入链路(通常是不同的ISP),一条链路中断后,另一条链路则迅速接管中断链路的流量,使对外业务数据受到的影响降到最低。
1.2 提高网络可靠性的技术手段
网络的可靠性是以各种投入为代价而实现的,因而在实际应用中,需要在网络建设费用与网络可靠性之间进行权衡。从性价比的角度来说,并不是可靠性越高越好,而往往采用对网络的关键设备或链路提供备份的办法,保证网络的相对可靠性。保障网络可靠性的技术手段主要有网络拓扑结构的优化、网络分层设计模型、容错与负载均衡技术、路由协议备份技术及选用高可靠性网络产品等。下面主要探讨应用链路负载均衡与冗余设计技术提高网络的可靠性。
2 链路负载均衡技术与网络可靠性
随着网络需求及网络技术的发展,单条链路、单台服务器或单台网络设备无法满足用户业务增长和对网络可靠性的需求。负载均衡(load balance)通过一种廉价、有效、透明的方法,将特定的业务,诸如网络服务、网络流量等通过多台设备或多个链路进行分担,扩展网络设备和链路的能力,满足用户业务不断发展的需求,保证业务的高可靠性。负载均衡具有高性能、可扩展性、可管理性、用户透明性等优点。
负载均衡技术从广义上讲有服务器负载均衡、防火墙负载均衡和链路负载均衡等类型,各种负载均衡技术应用于不同的场合。链路负载均衡指网络设备转发数据流量时,数据流量在满足一定的条件下选择不同的链路走向,从而达到链路流量分担,消除链路瓶颈,实现网络链路服务的可靠性。链路负载均衡技术在园区网的内部和网络出口均有一定的应用价值。
3 应用MSTP技术实现园区网内部负载均衡与链路冗余
3.1 MSTP概述
为了实现链路的冗余与备份,交换机之间往往会形成物理上的环路。但是一旦存在环路就会造成报文在环路内不断循环,造成广播风暴,影响网络的正常通信。802.1协议制订的STP协议,能够有效阻止网络风暴的产生,但是STP协议收敛速度慢,容易出现网络瓶颈。为此随后又推出了RSTP协议,RSTP协议很好地解决了网络收敛速度慢的问题,但是仍不能实现基于VLAN的流量均衡和冗余备份。
MSTP多实例生成树协议继承了STP和RSTP的优点,在不改变网络基本设备和物理拓扑结构的情况下,在不同的VLAN集合间采用不同的生成树逻辑拓扑。在MSTP协议中定义了实例(INSTANCE)的概念,所谓实例就是多个具有同样拓扑结构的VLAN集合。通过将多个具有同样拓扑结构的VLAN映射到同一个实例的方法,节省通信开销和资源占用率。MSTP协议通过控制各不同的VLAN实例使用不同的链路,从而形成不同的生成树拓扑结构,同时又互相提供链路备份,达到链路负载均衡、消除瓶颈、提供冗余的目的,提高网络的可靠性。
3.2 MSTP的配置与实现
为提高网络的可靠性,在汇聚层可采用两台交换机,即分别上联至两台汇聚核心SWA和SWB的交换机,以实现链路冗余,避免单链路故障,配置MSTP实现链路负载均衡。具体的拓扑结构如图1所示。
假设在域中有两个生成树实例,分别为实例1和实例2,并映射到VLAN 10 和VLAN 20。通过配置使不同VLAN的数据按照不同的生成树转发,VLAN 10的数据沿实例1转发,VLAN 20的数据沿实例2转发,实现流量的负载均衡。应当注意的是,在配置时同一个域内设备的MSTP域名及VLAN映射关系都要保持一致。本文以神州数码交换机产品为例,对交换机进行配置,并以sw1交换机节点进行具体配置(sw2交换机的配置与其类似)。
交换机sw1的参考配置如下:
enable
config
hostname sw1
vlan 10
switchport interface ethernet1/1-10
exit
vlan 20
switchport interface ethernet1/11-20
exit
interface ethernet1/21-22
switch mode trunk
exit
spanning-tree
spanning mst config
name mstpa
配置相同的mst域名称为mstpa
Instance 1 vlan 10
instance 2 vlan 20
exit
交换机swA的参考配置如下:
enable
config
host swA
vlan 10
exit
vlan 20
exit
interface ethernet1/21;22
switch mode trunk
exit
spanning-tree
spanning-tree mst config
name mstpa
instance 1 vlan 10
instance 2 vlan 20
exit
span mst 1 pri 4096
span mst 2 pri 8196
swB和swA的配置方法相似,只要改变对mst 1和mst 2两个不同实例的优先级即可。在此网络中,配置了汇聚swA为实例1的根桥,同时也是实例2的备份根桥。汇聚swB为实例2的根桥,同时作为实例1的备份根桥。正常情况下实例1和实例2各自走不同的链路,形成链路的负载均衡。当根桥出现故障时,备份根桥可以取代原根桥进行数据转发,达到了设备与链路的备份与负载均衡,较好地实现了网络的可靠性。
4 防火墙多出口实现访问外网负载均衡与冗余,提高访问外网的可靠性
在传统的园区网,往往只有一个网络出口,这种情况在中小型园区网中尤其突出。随着对外网访问量的增加,园区网对外访问往往成为整个网络的瓶颈。
4.1 传统的单出口园区网络存在的问题
在传统的单出口的情况下,即使内部网络访问是畅通的,但由于出口链路瓶颈仍然存在,对外网的访问将成为园区网主要问题,从而影响对外业务的开展;由于对外的出口链路只有一个,当仅有的一个出口发生故障时,整个网络将不能对外访问,园区网的可靠性大大降低,不利于设备和链路的维护与升级,当要进行必要的维护和升级时,将不得不中断对外网的访问。
4.2 防火墙多出口负载均衡应用与配置
所谓多出口是指为了确保对因特网访问,通常为网络配置多个因特网接入链路,一般情况下接入不同的ISP;也有为了保障和重要业务所在的接入供应商的连接,而采用对同一ISP接入两个链路,这种网络出口的结构称为出口多。
防火墙多出口多能最大限度地利用链路的带宽,并且当某一链路发生中断时,可以自动将其访问量分配到另一正常工作出口链路中,也即达到出口链路的流量负载均衡与备份。
本例以神州数码DCFW-1800系列为例进行配置,通过配置ISP路由方式来实现出口链路的负载均衡与冗余,使不同ISP流量走专有路由,从而提高网络速度。配置步骤大致为:配置ISP信息配置ISP路由上传ISP配置文件查看 ISP 路由配置信息删除已上传的预定义 ISP 配置文件。为保障链路和故障备份,还可以对链路进行相关的监控与备份配置,相关的关键配置及截图如图2所示。
1)配置ISP路由。目前国内的接入骨干网有电信、联通、教育网等,神州数码DCFW-1800系列防火墙系统自带了China-telecom和China-netcom两个ISP路由表,其他的ISP如unicom、cernet通过手工创建。考虑到线路带宽不同,在此设置了等价ISP路由,在转发时根据线路带宽设置转发比例。在图2中两条电信的路由转发比为1:1,在实际配置中也可根据具体的带宽情况配置不同的权值比例。图2中配置了多条ISP路由以供选择。
2)配置链路的监控与备份。当外网接口在up状态下,一旦该ISP运营商的线路出现故障,会影响内网用户通过该链路的对外访问。线路备份就是通过端口监控,当链路发生故障时自动切换到备份链路,保障出口访问的可靠性。下面的命令配置了名为track-for_eth0/3的监控对象和相应的监控地址:
track “track-for_eth0/3”
ip 202.96.218.23 interface ethernet0/3
Exit
interface ethernet0/3
monitor track “track-for_eth0/3”
Exit
如果要对其他线路进行监控,则也要进行相似的配置。
5 结束语
链路冗余与负载均衡是提高网络可靠性的重要技术之一,上述基于MSTP和防火墙多出口链路的设计与配置,实现链路的冗余与负载均衡。MSTP较好地保证了内部网络的可靠性,防火墙多出口链路为园区网对外的访问提供了较好的保障。
参考文献
[1]程庆梅.防火墙系统实训教程[M].北京:机械工业出版社,2012.
[2]雷傲然.企业园区网的可靠性设计思路与实现[J].时代报告,2012(9X):352.
[3]张雪敏.多生成树协议MSTP在实验中的应用[J].考试周刊,2012(59):112-115.
[4]丛玉华.多链路出口负载均衡技术的研究及实现[J].计算机与数字工程,2012(9):76-78.