广域网扩容方案随着公司业务发展,对外网的依赖与日俱增,各种网络需求不断增加,此时各种网络问题也随之而来。为满足公司现在和未来的外网需求,搭建一个稳定、安全的外网平台,将对外网进行调整,以实现扩容外网带宽,使用多运营商DNS服务,加速关键应用流量,智能化主备线路切换的目的。具体方案如下:外网现状公司外网使用一条电信的10M光纤接入,通过光猫连接到cisco2811路由器上,再由傻瓜交换机连接到每台上网电脑。电信网吧董秘办后勤部门高管营销中心Cisco2811傻瓜交换机Fa0/1带宽100M带宽10M流入方向流出方向流出方向流入方向外网内网光猫Fa0/0带宽100M公司外网现状图现有问题1)今年6月至今,武汉电信DNS服务器受到攻击,导致大量网页无法打开,很多部门工作无法继续,故障还导致部分营销部门投标工作无法进行。2)各种上网需求激增,网络设备没有根据各种需求的特点使用流量策略。出现网页无法打开或者打开缓慢,标书上传失败等故障。3)如上图所示,公司路由器外网接口与电信的光猫设备之间连接是100M带宽,而由光猫到达电信机房的带宽只有10M。此时,cisco路由器会以100M的速度发送数据,到达电信机房后,对方只以10M的速度接收。因此线路间存在瓶颈,导致大于10M的数据在电信端被丢弃。而被丢弃的数据时没有优先级设置,可能会包括公司关键应用数据。解决方案问题分析DNS问题DNS协议功能是解析网址,将文本形式的网址转换成IP地址。前段时间电信DNS服务器故障不能工作,造成大量网页无法打开。解决办法,引入第二家运营商使用其DNS服务器做备用。实施细节,在路由设备上使用静态路由将电信和长宽的DNS服务器ip地址指定发送到各线路。DNS工作过程中,如果第一个DNS服务器无法响应,会向第二个DNS服务器发送请求。配置DNS时一个使用电信另一个可以使用长宽的,就可以解决DNS问题。现有流量分析使用cisco自带的netflow功能,将数据包进行分类统计,并且每天自动生成报表。7月26-31日流量统计,参看附件PDF文档。基本上每天,上传流量中:以使用HTTP、udp_app、tcp_app协议的流量为主;下载流量中:以使用udp_app、HTTP、tcp_app协议的流量为主。以“26日内网.pdf”为例,在排行报表的表项中流量使用第一的是占85%,其他应用只占个位数。由此可以发现上传流量中占主要流量。“应用-流出”表项中http占52%、udp_app占34%,表明26日下载流量中仍然占用约三分之一带宽。如上所述,为保证关键数据传输,就必须控制udp_app应用所占用的带宽。现在,详细描述应用的流量。如下图所示:udp_app应用是很多其他应用的集合,使用UDP协议和端口随机传输,而在该应用中迅雷下载使用的流量占比例最大。平时迅雷下载速度可以达到1M字节每秒,即8M比特每秒。此时打开网页将非常缓慢。控制迅雷下载速度是保证外网平台稳定流程的关键。控制迅雷下载速度的方法是阻止迅雷访问其调度服务器,没有调度服务器的帮助迅雷无法使用P2P方式下载,从而达到控制迅雷下载速度的目的。udp_app详细列表带宽瓶颈问题公司路由器的外网接口带宽为100M,而申请的带宽只有10M。此时造成带宽不一致问题,多余的流量会在电信端被丢弃。要保护公司关键应用流量,可以使用QoS,将关键应用流量分离出来优先传输,再是正常流量,最后在带宽允许的情况下传输迅雷等需要限制的流量并使用策略将此类过多的流量随机丢弃,以免影响其他应用传输。线路切换问题如“公司外网现状图”所示,公司只使用一条外网线路连接时,如果该线路故障,则公司外网无法使用。在外网扩容后,如下图所示,增加另一条线路后,对网络新增了一些需求。1.上文DNS问题中提到同时使用两家DNS服务器互为备份。该需求可以通过在路由器上设置静态路由明确指明去往各DNS需要走的线路。2.在另一条线路故障后,能自动切换。该功能需要启用SLA特性,使用ICMP协议以每秒一次的速度,侦测网关是否正常。如果不正常会触发track功能,自动删除使用该线路的路由条目。根据路由转发原理,所有流量会使用剩下的路由条目走另一条线路。负载均衡问题解决负载均衡问题有两套方案:1.使用等价默认路由,让设备自己选择负载均衡的数据流(有案例可以正常实现具体参见“三ISP接入环境下SLA-RTR的应用”)。同时针对控制迅雷下载速度,可以通过ACL屏蔽绝大多数调度服务器地址,将剩下的使用静态路由指定使用长宽线路,根据P2P传输原理该流量不会影响电信线路带宽。这样做既可以配合QOS策略减小迅雷对网络的冲击,又可以保留迅雷下载速度的优势。2.使用路由图,基于源IP地址人为区分数据流向。将高管和营销中心的数据指向电信线路,其他人则使用长宽线路。优先保证关键业务和部门的数据流量。针对迅雷,可以屏蔽绝大多数调度服务器地址,剩下的使用静态路由指定使用长宽线路,根据P2P传输原理该流量不会影响电信线路。(单双分配使用如192.168.1.00.0.0.254双数192.168.1.10.0.0.254单数)长宽电信网吧董秘办后勤部门高管营销中心Cisco2811傻瓜交换机Fa0/1带宽100M带宽10M流入方向流出方向流出方向流入方向外网内网光猫Fa0/0带宽100M光猫流出方向流入方向Fa1/0带宽100M带宽10M具体实施设备使用现有的cisco2811路由器再添加1块2个快速以太网端口的模块,并更新IOS为c2800nm-entservicesk9-mz.124-24.T3或更新版本,需要支持cisco高级特性(SLA功能)。路由外网有两条线路,一条电信一条长宽。根据各ISP含有的不同网段做路由选择。对双方都没有所属的网段根据上文中负载均衡问题所述的方式负载均衡。DNS方面,由于两家运营商都有自己的DNS服务器,并且不能被其他ISP网络访问。解决方法:单独创建主机路由确定走向,在某条线路无法使用时根据上文中线路切换问题所述使用track命令调用SLA功能直接删掉相应主机路由。端口使用静态路由,无法动态感知线路故障。使用track命令调用ipsla功能监控网关,一旦发现断开自动从路由表中删除相应路由,此时流量将自动转到备用线路。传输涉及网段内网192.168.1.0/24外网电信:221.232.130.248/30长宽:涉及IP、协议及端口号需要优先处理的协议:DNS、HTTP、HTTPS、POP3、POP3S、SMTP、、weblogic需要优先处理的协议对应的端口号:TCP:80、8080、8000、443、110、995、7001、25UDP:53、7001、25需要丢弃处理的应用:bitterrent、eDonkey、emule(端口UDP4672)、使用UDP协议传输且长度小于512或大于12144的数据包(使用cisco自带的NBAR自动检测);所有目的IP为迅雷调度服务器的流量。需要优先处理的IP地址:高管、营销中心尽力而为传输的数据包:使用tcp协议传输的包长度大于512比特小于12144比特的数据包,及使用其他协议的数据包。普通传输的数据包:使用UDP协议传输且长度大于512或小于12144的数据包。传输策略根据公司现有网络需求,分析如下:根据现有的公司网络设备性能,实施中将尽量使用ACL来提取数据,以减少设备负载。根据网络现状,公司没有部署IP电话、视屏会议和视频电话等设备对延时敏感的设备。但根据新工业园规划需求,考虑到未来公司的发展将存在延时敏感流量,本次规划中留下相应优先级和扩展空间以满足未来发展需要。根据上文涉及IP、协议及端口号内容所述,将现有公司使用的应用网络流量分为三类:优先应用类:该类将使用ip优先级标记为3,该类的流量组成为使用优先处理的协议数据尽力而为应用类:该类将使用ip优先级标记为2、1,该类的流量组成为:使用优先处理的IP地址使用IP优先级2;使用普通IP地址的数据包使用IP优先级1优先丢弃应用类:该类将使用IP优先接标记为0,所有丢弃流量使用带宽分配带宽分配框架为:ip优先级为3并且使用优先传输IP地址的流量分配2M带宽,使用ip优先级为3且非优先传输IP地址分配2M带宽。如果使用优先传输IP地址的流量不够将使用非优先传输IP地址的流量,反之不可以。ip优先级为2并且使用优先传输IP地址的流量分配1M带宽,使用ip优先级为2且非优先传输IP地址分配1M带宽。如果使用优先传输IP地址的流量不够将使用非优先传输IP地址的流量,反之不可以。ip优先级为1的流量分配1M的带宽。ip优先级为0并且数据包长度小于1518字节的流量分配2M带宽,使用ip优先级为0且数据包长度大于1518字节的流量分配1M带宽。如果使用优先传输IP地址的流量不够将使用非优先传输IP地址的流量,反之不可以。实现完成以上方案,使用CBWFQ实现并对优先丢弃流量使用加权尾丢弃,尾丢弃阀值80%开始,允许突发流量为1M,超出流量丢弃。使用route-map在入口处根据上文规则标记IP优先级,并对迅雷调度服务器流量强制下一跳。安全外网设备安全使用Autosecure命令将自动关闭有风险的服务,强化安全功能。访问控制安全使用ACL允许某主机IP访问路由器。使用更严密的密码配置。监控及改进流量监控对流量实时监控,主要检测某种突发性流量过多,奇怪流量等。并对外网流量统计,以便优化流量控制。在cisco路由器上已经启用了netflow功能,并且每天可以生成报表。随着需求的增加,未来将需要进一步分析流量。如下图所示,将傻瓜交换机更换为华为2300系列交换机,设置端口镜像并使用专用电脑分析流量。配置改进随着公司的发展,有更多的新的需求出现,需要网络更好的支持;迅雷调度服务器可能会新增或者修改IP,这将再次影响网络服务质量。根据以上问题,网络设备的配置需要不断的修改和完善以满足需要。改进配置的流程:首先确定问题或需求,使用netflow工具进行初步分析,再通过流量监控抓包进行更细致的分析,制定解决策略,在测试完成后保存修改配置。长宽电信网吧董秘办后勤部门高管营销中心Cisco2811华为2300系列交换机Fa0/1带宽100M带宽10M流入方向流出方向流出方向流入方向外网内网光猫Fa0/0带宽100M光猫流出方向流入方向Fa1/0带宽100M带宽10M流量分析端口镜像具体配置:设备安全流量监控路由策略端口监控流控策略