【51CTO.com原创稿件】建设背景:近期单位网络系统改造,有一个业务系统需要接入单位的网络,通过单位的网络供互联网及专网的用户访问。此业务系统规模较大,存在自身的网络体系及IP地址规划体系,且此业务系统非常重要,所以对于网络故障时的自愈性要求很高。
网络设计:
由于此业务系统存在自己的网络体系及IP地址规划,所以为了避免业务系统内部修改太大,需要使用NAT设备在其出口处对其进行NAT地址转换,而且考虑到网络的安全性以及对业务系统的访问可控,故决定在业务系统出口路由器处增加一道防火墙,再与单位网络的核心交换机相连。单位的核心网络存在冗余性架构,所以在此业务系统接入时,也要求其以双归方式接入,初始设计拓扑如图1所示:
图1 业务系统接入初始设计图
按照图1中的拓扑,可以考虑将此网络系统用三层路由器的方式接入,且在出现故障时,通过次优路由的方式进行路径切换,以保证业务不中断,但是笔者单位以前的网络架构都是通过VRRP的方式来连接接入交换机,对接入交换机只提供一个IP地址作为网关,为了保证网络架构的统一,我们还考虑按照这种方式来组建网络。根据这种网络设计方案,我们也需要将防火墙配置成单活的主备方式,使其对WAN网络和LAN网络都分别只提供一个IP地址,同样,业务系统出口的主备路由器也需要通过VRRP的方式为上连网络只提供一个IP地址。
可是,此路由器不支持二层接口,所以必须通过一个二层交换机转接的方式来进行实现,如图2所示:
图2 业务系统接入设计图二
但问题在于,笔者单位目前没有富余的二层交换机可供使用,而且考虑到图2的这种设计方案中,二层交换机为一个非常大的风险点,一旦出现故障,网络则失去自愈性。
于是,经过对网络的仔细分析和思考,笔者认为可以通过利用核心交换机的二层接口功能来实现此网络的设计方案。如图3所示,可以在核心交换机新启用两个vlan,分别用于连接防火墙的LAN口和WAN口,而路由器上连到核心交换机的一个二层接口,此二层接口所处vlan与防火墙的LAN接口所处vlan相同。当业务流量从WAN网络进入访问业务系统时,就会通过核心交换机的路由引导,首先经过防火墙的WAN口流入,从防火墙的LAN口流出,再经过核心交换机流入路由器,如图4中黑色箭头所示:
图3 业务系统接入拓扑图三
图4 业务流向图
单点故障分析:
(1)防火墙单点故障
在如图3所示的拓扑中,当主防火墙或者主防火墙与主核心交换机之间的连线故障时,备防火墙开始工作,流量从主核心交换机流向备核心交换机再到备防火墙,详细的业务流向如图5所示。之所以流量会从备核心交换机流回主核心交换机,是因为主核心交换机还是VRRP的主设备,业务流量必须通过它流向业务系统的主路由器,在这种场景下,业务不会中断。
图5 防火墙单点故障业务流向图
(2)核心交换机单点故障
在如图3所示拓扑中,如果主核心交换机出现故障,则备核心交换机成为VRRP的主设备,上行流量首先从备核心交换机进入,***从备核心交换机流向备路由器,详细业务流向如图6所示,在此场景下,业务不会中断。
图6 核心交换机单点故障业务流向图
(3)主路由器单点故障
在如图3所示的拓扑中,如果主路由器出现故障,则业务流量会从主核心交换机到达备核心交换机再通过备路由器进入业务系统,详细业务流向如图7所示,在此场景下,业务不会中断。
图7 路由器单点故障业务流向图
总结:
综上所述,采用如图3的拓扑进行网络设计,不仅节省了一个二层交换机,而且在网络的可靠性方面,比图2的设计方式更胜一筹。这种方式,就相当于在核心交换机上分离出一个二层交换机供上下行相连使用,同时不影响本身的三层业务流量转发,大家在企业的网络设计时,遇到类似场景,不妨考虑一下这种部署方式。
个人简介:
何涛,男,毕业于北京邮电大学电磁场与微波技术专业,从业十年,现任职中国交通通信信息中心保障与网络中心高级工程师,专注于数据通信及网络安全方向的研究工作。原文标题为“巧妇能为无米之炊--利用三层交换机的二层功能组建自愈性网络”。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
【责任编辑:李玲玲 TEL:(010)68476606】