楊 露，程 方，李 萌

（長江三峽通航管理局，湖北 宜昌 443000）

1 網(wǎng)絡(luò)現(xiàn)狀分析（見圖1）

圖1 現(xiàn)有網(wǎng)絡(luò)架構(gòu)圖

該企業(yè)目前的網(wǎng)絡(luò)由外網(wǎng)區(qū)域、內(nèi)網(wǎng)區(qū)域、DMZ區(qū)域組成，而且每一個區(qū)域都有對應(yīng)的子區(qū)域。由于三個區(qū)域的業(yè)務(wù)不同，每個區(qū)域的部署邏輯也各不相同。其中，外網(wǎng)區(qū)域由一臺外網(wǎng)核心交換機(jī)作為中心節(jié)點(diǎn)，以星型結(jié)構(gòu)發(fā)散，連通該企業(yè)各辦公大樓及外圍站點(diǎn)的互聯(lián)網(wǎng)絡(luò)。其上行鏈路為單鏈路，上級設(shè)備為上網(wǎng)行為管理和出口防火墻。A區(qū)域連接到其他區(qū)域都為單鏈路。內(nèi)網(wǎng)核心層由A區(qū)域內(nèi)網(wǎng)核心、A區(qū)域內(nèi)網(wǎng)匯聚、B區(qū)域內(nèi)網(wǎng)匯聚、C區(qū)域內(nèi)網(wǎng)匯聚組成，各區(qū)域之間相互獨(dú)立，而又通過A區(qū)域核心交換機(jī)實現(xiàn)互聯(lián)互通，核心層與匯聚層之間通過動態(tài)路由協(xié)議OSPF實現(xiàn)，各區(qū)域內(nèi)部通過二層vlan和trunk方式實現(xiàn)互聯(lián)[1]。DMZ區(qū)位于外網(wǎng)區(qū)域和內(nèi)網(wǎng)區(qū)域之間，該區(qū)域網(wǎng)絡(luò)由DMZ防火墻連接至DMZ交換機(jī)，通過DMZ交換機(jī)將業(yè)務(wù)數(shù)據(jù)發(fā)送至各業(yè)務(wù)服務(wù)器。

2 現(xiàn)有網(wǎng)絡(luò)存在的問題分析及優(yōu)化

2.1 該企業(yè)核心網(wǎng)絡(luò)存在的問題及優(yōu)化

該企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)呈星型結(jié)構(gòu)，控制簡單，任何區(qū)域只需和中心節(jié)點(diǎn)連接，中心節(jié)點(diǎn)可以方便對每個站點(diǎn)提供網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)重新配置，易于網(wǎng)絡(luò)監(jiān)控和管理；但是由于外網(wǎng)核心交換機(jī)作為中心節(jié)點(diǎn)，如果網(wǎng)絡(luò)吞吐量過大會使得核心交換機(jī)承受較大的負(fù)擔(dān)，交換機(jī)一旦發(fā)生宕機(jī)等故障，則該企業(yè)網(wǎng)絡(luò)及業(yè)務(wù)將會受到影響，此外星型結(jié)構(gòu)需要消耗大量的光纜，安裝及維護(hù)的工作量也大大增加。

根據(jù)等保2.0的要求，考慮到核心區(qū)域需要冗余，結(jié)合該企業(yè)網(wǎng)絡(luò)的實際需求，考慮到現(xiàn)有核心交換機(jī)與新購置的交換機(jī)主控版本不同，不能在原核心交換機(jī)上進(jìn)行擴(kuò)容配置。通過使用新購置的交換機(jī)配置成堆疊模式來替換原核心交換機(jī)，同時擴(kuò)充C外網(wǎng)區(qū)域、B外網(wǎng)區(qū)域及DMZ區(qū)域的鏈路為雙鏈路聚合，提升鏈路的冗余能力和帶寬。

2.2 該企業(yè)互聯(lián)網(wǎng)出口區(qū)域網(wǎng)絡(luò)存在的問題及優(yōu)化

出口防火墻開啟入侵防御功能，雖然可以實時對入侵事件進(jìn)行監(jiān)控和阻斷，但是由于該企業(yè)互聯(lián)網(wǎng)出口區(qū)域的上網(wǎng)行為管理設(shè)備以及防火墻都為單臺設(shè)備，存在設(shè)備單點(diǎn)故障風(fēng)險?？紤]到互聯(lián)網(wǎng)出口處重要性，需要改造為雙設(shè)備冗余設(shè)計，本次改造擬計劃采用雙設(shè)備互為主備的方式進(jìn)行部署。由于現(xiàn)有的設(shè)備不能與其他廠家的設(shè)備兼容，所以需新購置兩臺與原型號相同的設(shè)備進(jìn)行冗余設(shè)計。

在出口鏈路方面，原來的主干鏈路只有電信遷過來的一根主干光纜，在網(wǎng)絡(luò)長期運(yùn)行過程中，也曾出現(xiàn)過因市政施工導(dǎo)致的光纜中斷，從而整個網(wǎng)絡(luò)宕機(jī)的情況。所以為了提高整體網(wǎng)絡(luò)的穩(wěn)定性，在整改過程中，采用電信和移動兩家光纜線路作為出口鏈路，考慮到費(fèi)用問題，兩條出口鏈路的帶寬不全相同，電信的先纜作為主干光纜，平時鏈路正常連接時作為業(yè)務(wù)主要訪問通道，而移動鏈路作為在電信鏈路出現(xiàn)故障時候的備用鏈路，只能保證基本的辦公需求，而無法滿足大規(guī)模的業(yè)務(wù)訪問。

3 基于該企業(yè)的網(wǎng)絡(luò)冗余技術(shù)

3.1 交換機(jī)堆疊技術(shù)

堆疊是指將多臺交換機(jī)設(shè)備通過線纜連接后組合在一起，虛擬化成一臺設(shè)備，是一種橫向虛擬化技術(shù)。目前，很多廠家推出了自己的堆疊技術(shù)，華為的堆疊技術(shù)稱為istack與CSS，思科的堆疊技術(shù)稱為vss,華三的堆疊技術(shù)稱為IRF。本文主要分析華為交換機(jī)堆疊技術(shù)在該企業(yè)網(wǎng)絡(luò)中的應(yīng)用。

華為的堆疊技術(shù)分布在核心層、匯聚層以及接入層這個三個層面，其中核心層交換機(jī)與匯聚層交換機(jī)都是采用CSS集群技術(shù)，在接入層采用iStack堆疊技術(shù)，各設(shè)備層之間采用Eth-Trunk鏈路聚合技術(shù)，高效地對各個層面進(jìn)行傳輸鏈接，華為的堆疊技術(shù)優(yōu)勢總結(jié)如下。

3.1.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡單

核心層、匯聚層以及接入層每個層面之間均采用了華為的堆疊技術(shù)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡單明了，xSTP破壞協(xié)議不需要重新架構(gòu)，各個層面之間互不影響，邏輯設(shè)備少。

3.1.2 堆疊技術(shù)可靠性高

華為的堆疊技術(shù)將CSS集群技術(shù)、iStack堆疊技術(shù)與Eth-Trunk鏈路聚合技術(shù)組合使用，使得核心層、匯聚層以及接入層三個層面的設(shè)備兩兩配接入到組網(wǎng)中，當(dāng)其中一條鏈路或者一臺設(shè)備出現(xiàn)故障，不會對另一條鏈路或者設(shè)備的運(yùn)行造成影響，更不會影響到整個網(wǎng)絡(luò)的數(shù)據(jù)傳輸，極大地提升了整個網(wǎng)絡(luò)的效率和可靠性。

3.1.3 Eth-Trunk鏈路聚合技術(shù)的高效性

核心層、匯聚層以及接入層每個層面之間的鏈接采用了Eth-Trunk鏈路聚合技術(shù)，完善了傳統(tǒng)的一對一或者一對多的交互方式，Eth-Trunk鏈路聚合技術(shù)讓各個設(shè)備之間交互更加靈活，鏈路利用率顯著提高，同時Eth-Trunk鏈路也能提高鏈路的帶寬，能夠?qū)螚l鏈路的帶寬資源集合起來，提高了鏈路的帶寬，使得各個層面的傳輸效率顯著提高。

3.2 鏈路冗余技術(shù)

鏈路冗余，一般是指網(wǎng)絡(luò)通路的冗余，也就是說當(dāng)網(wǎng)絡(luò)中的一條鏈路發(fā)生故障的時候，可以通過其他的鏈路進(jìn)行網(wǎng)絡(luò)通信。鏈路的冗余能夠給網(wǎng)絡(luò)帶來健壯性、穩(wěn)定性和可靠性，但是備份鏈路會使網(wǎng)絡(luò)存在環(huán)路，環(huán)路會引起廣播風(fēng)暴、MAC表不穩(wěn)定等問題。

4 網(wǎng)絡(luò)優(yōu)化后的網(wǎng)絡(luò)架構(gòu)

優(yōu)化后的網(wǎng)絡(luò)架構(gòu)，使用兩臺新的交換機(jī)做堆疊替換現(xiàn)有的外網(wǎng)核心交換機(jī)，配置外網(wǎng)核心交換機(jī)。新增A辦公區(qū)域外網(wǎng)核心交換機(jī)至C辦公區(qū)域匯聚、B辦公區(qū)域匯聚、DMZ區(qū)鏈路各一條，并與原有鏈路配置成鏈路聚合（見圖2）?；ヂ?lián)網(wǎng)出口區(qū)域優(yōu)化后部署兩臺上網(wǎng)行為管理設(shè)備，由于原設(shè)備為網(wǎng)橋模式，新設(shè)備啟用主主模式，出口處設(shè)備冗余，即使單臺設(shè)備故障，無需人工干預(yù)，網(wǎng)絡(luò)出口能快速切換。

圖2 優(yōu)化后的網(wǎng)絡(luò)架構(gòu)圖

當(dāng)互聯(lián)網(wǎng)用戶訪問時，數(shù)據(jù)先到達(dá)互聯(lián)網(wǎng)出口交換機(jī)，通過上網(wǎng)行為管理到達(dá)外網(wǎng)核心交換機(jī)。若其中一臺上網(wǎng)行為管理設(shè)備出現(xiàn)故障，另一臺上網(wǎng)行為管理設(shè)備能夠繼續(xù)使用，不用影響業(yè)務(wù)的正常訪問。

5 結(jié)語

隨著該企業(yè)的信息化進(jìn)程不斷加快，各項核心業(yè)務(wù)的數(shù)據(jù)量不斷增多，一個高穩(wěn)定性、高可靠性和高安全性的網(wǎng)絡(luò)是非常重要的，該企業(yè)通過網(wǎng)絡(luò)冗余技術(shù)不僅能夠保障該企業(yè)網(wǎng)絡(luò)的正常使，更是解決了原先網(wǎng)絡(luò)存在單點(diǎn)故障、核心吞吐量不足的問題。