黄敬志
(广东省电力试验研究所,广东 广州 510600)
摘 要:介绍了广东省广电集团有限公司本部办公大楼计算机网络建设使用的部分关键技术,包括1 Gbps以太网技术、第三层交换技术、SMLT与VRRP技术、虚拟局域网技术和包过滤技术,并简要说明了这些技术在该网络中的应用情况。这些技术与相关的网络安全技术相配合,将大大加强网络的安全性和可靠性,保障其承载的各项重要业务能够稳定、可靠、安全和高效地运行。
关键词:计算机;局域网;网络;升级;1 Gbps以太网;SMLT;VRRP;虚拟局域网;包过滤
广东省广电集团有限公司(以下简称广电集团)本部大楼计算机网络是公司本部内部的信息高速公路,目前承载了公司本部的办公自动化系统(OAK)、服务中心(CALLCENTER)系统、工程项目管理系统等重要信息系统,是该企业各种应用系统的网络支撑平台,已成为企业经营、管理和生产中不可或缺的一部分。随着各种业务系统应用在企业的不断扩展,必然要求网络有相应的增长,为适应用户对新功能的需求,广电集团对本部大楼局域网进行了升级改造。
1网络设计原则
鉴于该网络系统的重要性,网络系统设计必须既适应当前应用考虑,又面向未来信息化发展需求。在制定网络技术方案时,应遵循以下设计原则:
1.1实用性和先进性
采用先进成熟的技术满足当前的业务需求,兼顾其他相关的业务需求,尽可能采用先进的网络技术以适应更高的数据、多媒体信息的传输需要,使整个系统在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来业务的发展和技术升级的需要。
1.2安全可靠性
为保证将来的业务应用,网络必须具有高可靠性。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控和网络安全保密等技术措施,提高网络系统的安全可靠性。
1.3灵活性与可扩展性
网络系统是一个不断发展的系统,所以它必须具有良好的扩展性。能够根据将来信息化的不断深入发展的需要,方便地扩展网络覆盖范围,扩大网络容量和提高网络各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提高技术升级、设备更新的灵活性。
1.4开放性与互连性
具备与多种协议计算机通信网络互连互通的特性,确保网络系统基础设施的作用可以充分发挥。在结构上真正实现开放,基于国际开放式标准,包括各种广域网、局域网、计算机及数据库协议,坚持全国统一规范的原则,从而为未来的业务发展奠定基础。
1.5经济性与投资保护
应以较高的性能价格比构建网络系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留并延长已有系统的投资,充分利用以往在资金与技术方面的投入。
1.6可管理性
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络的设计中,必须建立一个全面的网络管理解决方案。网络设备必须采用智能化、可管理的设备,同时采用先进的网络管理软件,实现先进的分布式管理。最终能够实现监控、监测整个网络的运行状况,合理分配网络资源,动态配置网络负载,可以迅速确定网络故障等。
2关键技术的应用与分析
根据以上设计原则并结合广电集团的实际情况,我们选择了目前市场主流的1 Gbps以太网技术作为该项目的技术框架,并辅以一系列的相关技术保证网络运行的稳定和安全。
2.11 Gbps以太网技术
1 Gbps以太网是基于传统的100 Mbps以太网技术发展而来,采用与100 Mbps以太网同样的访问方式。所以大量传统的基于以太网环境下开发的应用不需要修改就可运行。与FastEthernet相同,全交换连接的以太网完全消除了CSMA/CD技术在共享式以太网中存在的碰撞和冲突问题,特别是随着第三层交换机的出现,网络传输效率大大提高,经测试,在交换以太网环境下,1 Gbps以太网可利用99%的带宽,是非常理想的主干网技术。
大楼网络采用星形拓扑结构,中心交换机采用北电网络公司的核心三层路由交换机Passport 8610,接入层采用北电公司二层接入交换机BPS 2000交换至桌面。提供1 Gbps的骨干网,每位用户独享100 Mb带宽。
2.2第三层交换技术
企业信息网承载业务的急剧扩大,带来了网络流量的急剧增长。为了解决广播域问题,我们把较大的网络分成若干个子网,并引入了路由器,为子网之间的信息提供路由。划分子网的做法可以有效地抑制广播风暴的产生。早期的虚拟局域网(virtual local area network, VLAN)间通信是利用外部路由器来完成的,但外部路由器的主要用途是连接广域网,其内部交换性能在设计上并没有作专门重点的考虑,所以使VLAN之间通信的延迟比较大,虽然现在也研究出交换能力强大的外部路由器,但价格却非常昂贵。由于在局域网上,不同VLAN之间的通信数据量很大,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将成为瓶颈。第三层交换技术能较好解决这一问题。
第三层交换技术就是将路由技术与交换技术合二为一的技术。它既有路由器功能,因为它可操作在网络协议的第三层,是一种路由理解设备,能起到路由决定的作用;它又有交换机功能,因为它的速度极快,几乎达到第二层交换的速度。第三层交换机在对第一个数据流进行路由后,它将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,可根据此表直接从二层通过而不必再次路由,从而消除每次都要进行路由选择而造成网络的延迟,提高了数据包转发的效率, 可以胜任VLAN之间线速交换。路由器的转发采用最长匹配的方式,实现复杂,通常使用软件来实现。而三层交换机的路由查找是针对流的,它利用CACHE技术,很容易采用ASIC实现,因此,可以大大节约成本,并实现快速转发。
本次工程我们采用了加拿大北电网络(环球)公司的核心三层路由交换机Passport 8610作为中心交换机,其拥有128 Gbps的三层交换能力,使得在不同虚拟网络之间的数据传输也可以达到线速交换,不会产生不同虚拟网之间数据传输速度上的瓶颈。
2.3SMLT技术与VRRP技术
multilink trunk(MLT)技术是在两台交换机之间提供2条以上链接,在连接处于正常情况下,数据可分别利用多条链路进行数据传送,多条连接之间采用负载均担技术(图1)。这样也就成倍地扩展了交换机之间的连接带宽,扩展了骨干节点之间的连接带宽。当其中一条连接出现故障时,交换机将自动检测故障并使用没有故障的其他连接传送数据,以保障网络交换机之间的正常连接。
distributed multilink trunk(DMLT)是在multilink trunk的基础上,在配置互连的链路时,多条链路端口可分布于交换机不同的I/O模板(图2)。这样,交换设备中某个I/O模板出现故障时,不会影响链路连接。
split multilink trunk(SMLT)是在DMLT的基础上将两台交换机在逻辑上作为一台交换机,实现在不同交换机上的MLT,从而在节点级保障了链路的安全冗余(图3)。
SMLT功能使得当汇接-接入交换机连接到骨干交换机时,不仅可以将多条链路进行捆绑,增加中继带宽及提供链路冗余功能,而且一组MLT的端口可以连接到两台不同的骨干交换机上。广电集团本部大楼中心交换机与数据中心(IDC)核心交换机互为备份,接入层交换机分别与两台中心Passport 8610交换机提供1条光纤通道,充分利用SMLT功能提供节点的保护。两台Passport 8610分别放置在两个不同的场地(本部大楼中心机房和IDC机房),它们之间运行IST协议。接入交换机分别连接至两台核心交换机,因此即使其中一台中心交换机Passport 8610上的I/O板卡故障,甚至某台交换机完全损坏,都不会影响接入用户正常访问,用户甚至感觉不到网络节点发生过故障。
虚拟路由冗余协议(virtual router redundancy protocol,VRRP)提供网络层的节点可靠性。由于目前大部分主机不支持动态路由协议,一般采用缺省路由方式转发不在同一网段内的数据包,因此可能导致因一台Passport 8610故障而引起局域网内主机找不到缺省网关。即使主机支持动态路由协议,那么当一台Passport 8610发生故障后,需要重新进行路由计算,而路由计算由于会考虑到路由波动等因素,计算时间至少需要20~30 s。这对于实时应用或关键业务来说是不能忍受的。为了解决这个矛盾,在两台路由交换机上使用VRRP。VRRP在多台路由交换机上产生一个虚拟的工作IP地址,其中优先级别高端口首先使用这个IP地址,其它路由端口处于监测状态。当使用虚拟IP地址的路由器局域网端口故障、以太网线路故障或其它设定条件发生时,此IP地址会自动切换到其它优先级别较高的路由器端口上。IP切换在1~2 s以内就可以完成,大大保护了数据的实时性和关键业务的运行。
广电集团的服务器和PC机使用的缺省网关的IP地址为虚拟网际协议(virtualinternet protocol,VIP)地址,这个VIP地址不是任何Passport 8610的端口的地址,而是一个虚拟地址。通过VRRP,两台Passport 8610交换机协商优先级别,优先级别高的交换机(如图3中左面路由交换机)将广播自己为VIP的所有者,所以主机将需要路由的数据发送到左面的Passport 8610。另外一台Passport 8610处于监测状态,一旦发现左面交换机发生故障,它将立刻接管VIP地址,并向网络发送广播包声称自己是VIP地址的属主。这样在交换机发生故障后,主机会将需要路由的数据包很快发送到另外一台交换机上,应用程序甚至感觉不到网络路径发生了切换。
广电集团本部大楼中心交换机与数据中心核心交换机使用了SMLT技术和VRRP技术,分别在网络七层协议的第二和第三层上保证了单一节点交换机故障引起的网络失效。
2.4虚拟局域网(VLAN)技术
VLAN(virtual local area network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的8021Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量,减少设备投资,简化网络管理,提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
采用VLAN的优点一是遏制机构范围内的广播和组广播,进行跨区的带宽和性能管理。如果不管理(或限制)这些工作组的整个范围,网络管理员将冒着在用户间没有或少有广播防火墙情况下,建立大型平面网络拓扑结构的风险。长久以来,大部分网络设计者和管理员都从实践中得知第二层平面网络的扩展性不好。而且各站点发送数据包之前都要广播查询所要到达目的地的MAC地址,同时,由于大量应用层软件需要广播传送某些数据包,而这些数据广播包只需发向某一组用户,此时如果没有VLAN,这些数据包会很快占用整个网络大量的资源,使得正常数据包无法抢得正常带宽,严重影响到网络效率及性能。VLAN是控制广播发送的有效技术,它的采用可以减少对最终用户站点、网络服务器以及用于处理关键任务数据的背板重要部分的影响。
采用VLAN的另一个优点是大大缩减了网络变更造成的管理任务,即管理员可以减少在整个网络上添加用户移动和改变用户物理位置的工作量。这个性能也是多数厂商经常讨论的话题,尤其是在多网络服务器或多网络操作系统的情况下,用户需要多种用途的网络操作,这种变更就显得尤为重要。
VLAN在交换机上的实现方法,可以大致划分为基于端口划分VLAN、基于MAC地址划分VLAN、基于网络层划分VLAN和根据IP组播划分VLAN四类。本部大楼网在划分VLAN时主要基于端口划分,目前根据业务划分了“VIP VLAN”、“营销VLAN”、“财务VLAN”和“其它VLAN”,分别采用了不同的安全级别。
2.5包过滤(packet filtering)技术
广电集团本部网络使用虚拟局域网技术,它通过分割多个广播域,使在二层VLAN之间无法互访,VLAN之间的访问需通过三层。在三层转发时,我们使用了基于源地址的数据包过滤技术,实现了访问控制的效果。
加拿大北电公司声称Passport8600集成了防火墙的功能,指的就是数据包过滤技术。利用该技术可以根据数据包的源-目的MAC地址、8021QVLAN、源-目的IP地址或一段IP、协议种类、UDP/TCP端口进行过滤,灵活地限制和防止非法访问,并且Passport8600支持对TCP会话(TCPSession)的监控,可以设定任一源-目的IP地址、任一端口的TCP会话数(包括不完全会话数),当TCP会话数量超过允许范围,将无法进行连接,从而可以对DOS攻击进行防范。
3小结
广电集团本部网络工程使用的都是计算机网络建设方面比较成熟的技术,具有运行稳定、管理灵活等优点,配合相关的网络安全技术,如访问认证技术和入侵检测技术等,将大大加强网络的安全性和可靠性,保障其承载的各项重要业务能够稳定、可靠、安全和高效地运行。
参考文献
[1]董春庆,王健慧. 千兆以太网技术综述[EB/OL]. http://www.chinaitlab.com/www/news/articleshow.asp?id=1580, 2002-07-26.
[2] CCW. 三层交换:决胜应用与安全[EB/OL]. http://www.chinaitlab.com/www/news/articleshow.asp?id=8248, 2003-02-22.
[3] ChinaITLab. Vlan及第三层交换[EB/OL]. http://www.chinaitlab.com/www/news/articleshow.asp?id=7636, 2003-01-24.
[4] ChinaITLab. VLAN技术白皮书[EB/OL]. http://www.chinaitlab.com/www/news/articleshow.asp?id=3463, 2002-11-16.
