搜索
文/矫毅随着业务系统对于园区网络依赖性的逐渐增加,园区网络的建设作为组织的战略性投资,其重要性日益增强。如何建设一个满足信息系统的网络需求的园区网络,并能够迎合物联网、云计算的建设热点的网络需要,符合园区网技术的发展趋势,是园区网建设需要重点考虑的三方面问题。从现在和未来信息系统的网络需求角度看,体现出和以往不同的四个发展趋势:一是信息点接入种类和数量与以往大为不同,除了传统的个人电脑以外,打印机、扫描仪等办公设备,IP电话、视频会议等语音视讯设备,园区监控、工控终端等设备都需要在园区内实现网络的互通,自然对于网络提出了网络接入、语音处理、组播处理等有别于传统网络的技术要求,而随着组织规模化的发展和生产系统信息化的逐步落实,园区网络已经不再是简单实现无纸化办公的使用方式,而是提高组织规模化效益的重要环节和生产系统的重要承载,网络的高可用要求日益提高。二是接入方式和使用习惯和以往存在不同,传统的网络主要基于有线的连接方式,出于安全性等考虑,部署了绑定等诸多技术手段,使得用户的使用空间有很大的局限性。而随着各种智能手持终端的逐渐应用,无线网络在园区内的大规模部署,业务人员有了各种移动的网络应用需求,必然要求网络的接入方式、认证方式、网络访问权限控制等进行适应性调整。三是业务的差异化安全要求和业务融合的发展趋势之间存在矛盾。传统的园区网内的应用系统大部分是相互割裂的,不同的应用系统有不同的用户群组、服务器资源、网络和安全要求等,系统和系统之间要么很少交互,要么以手工或者半手工的方式完成。而随着信息系统的发展,业务系统之间协作的加强,越来越多的应用系统强调融合和交互,以提升业务系统的整体效率和价值。所以,对于现在和未来的园区网络设计,既要求能够满足业务之间的隔离需求,又需要能够灵活的处理业务之间的交互需求,必然要求网络的隔离和访问控制手段有新的设计方式。四是日益膨胀的信息系统规模对于网络可靠性以及技术支撑力量带来更大的压力。随着网络规模的扩大,随之而来的越来越多的网络问题,而维护力量未得到同比增长,这就要求网络设计之初就开始考虑到网络高可靠的设计,并简化网络运行维护的整体难度。以上就是从信息系统的网络需求角度考虑园区网的整体需求。从建设热点角度来看,目前物联网和云计算是比较热门的两个话题,也是主要的建设热点。物联网概念的提出,以及在物流等领域的应用,使得网络的接入信息点不再仅仅是人,而是向更宽泛的对象发展,传感器、移动终端、激光扫描器等都是未来网络需要接入的对象。物联网对网络提出了新的要求,例如需要采用IPv6技术解决海量信息点标识问题;采用VPN技术解决多业务承载问题;采用网关解决应用互通的异构网络融合问题和采用OAA技术解决应用系统的前端处理问题。至少在园区网络设计的时候需要考虑IPv6、MPLSVPN等相关特性,保证基础网络设施对于建设热点的技术扩展性。云计算则主要是借助SaaS、PaaS、IaaS等不同的商业模式改变了园区网内的业务系统的应用方式。现在很多的传统办公软件已经向云计算的方向发展,主要特点是:一,随需接入,用户通过电脑、手机、浏览器中的任何一种方式都可以使用传统只能在电脑上面使用的办公软件,这样,以前只能在特定的终端上使用的办公软件就能够通过其他终端的WEB方式,或者是采用智能手机等正常使用,极大地提高了办公的灵活性,但是这却对于网络的认证、访问权限下发等提出了更高的要求;二是企业协作,可以多人同时处理一个文件,改变了传统串行处理业务的工作方式,例如在设计领域广泛采用的二维和三维协同设计,都采用多人或多部门合作的方式共同完成同一产品的设计工作,自然改变了园区网内的流量模型和并发流量特征。从园区网络的技术发展趋势来看,在园区网内应用的网络技术主要经历了6个发展阶段:1、初始阶段。此时主要是少量信息终端接入,属于网络的实验阶段,业务承载比较少,此时主要解决网络连通问题,相关的其他问题不考虑。2、工作组OA阶段,此阶段主要解决办公自动化等问题,网络连接开始覆盖一定数量的办公终端,但是核心生产业务等应用还没有普遍采用网络承载。由于网络规模的扩大,逐渐开始考虑区域隔离和访问控制的问题,此时在网络中普遍采用了VLAN加ACL的技术部署。3、OA、生产融合阶段,随着办公自动化的逐步开展,开始逐步把生产系统放在网络中部署,生产系统依赖网络,必然要求网络有更高的可靠性。此阶段通过冗余的网络架构保证网络的可靠性,初步提供了不间断的网络服务,此时为了解决冗余的网络架构下网络环路的问题,大量部署了STP和VRRP协议。4、业务优化阶段,随着大量多媒体业务在网络中部署,造成网络流量、实时性、可靠性等要求进步一提高,为了以简单的方式提高网络链路的利用率,此时网络中开始使用MSTP和VRRPE等网络技术。5、跨部门协作阶段,随着网络的大规模利用,越来越多的业务部门通过园区网络承载,就必然面临业务部门在网络中的隔离和互访的问题。传统的网络隔离方式为VLAN加ACL的技术方案,但是这种方案存在配置麻烦,改动困难等问题。为了动态的实现这一需求。网络中开始部署802.1X和MPLSVPN的虚拟化技术,并一定程度开始逐步替代网络中VLAN加ACL的技术方案。6、可控物联阶段,此时更海量的信息点以多样的接入手段接入网络中,形成了更大规模的网络体系,为了提高整网的可靠性,并简化网络、安全、无线等全业务部署,除了纵向的MPLSVPN部署进行业务隔离之外,还采用了虚拟化技术IRF2进行了全网的横向整合,并彻底替换掉网络中STP、MSTP、VRRP、VRRPE等协议的部署,完成了网络技术化繁为简的更新换代。虽然不能以偏概全,但是从信息系统的网络需求、建设热点的网络需要和园区网的技术发展趋势三方面来看,园区网的上层应用架构已经开始了固定终端向多样化终端、固定空间向灵活空间、低效串行处理向高效实时并发处理的方式进行转变,自然需要我们在园区网络设计之初就考虑,园区网基础架构将如何设计?网络的认证方式、接入方式、收敛性设计、可靠性、安全性设计等应该如何考虑,现实的需求推动我们在园区网设计时寻求更有效的解决方案。H3C虚拟园区网解决方案,正是针对于信息系统的网络需求,考虑物联网、云计算等建设热点的网络需要,并结合园区网技术的发展趋势,形成了园区网络的系统建设思路。从2008年开始逐步推出了虚拟园区网1.0和2.0的解决方案,解决了园区网络的一系列问题。H3C虚拟园区网解决方案,有着全虚拟化的网络架构、网络服务的统一承载、轻量级网络管理的特点。特点一:全虚拟化的网络架构体现在对于网络的横向整合、纵向隔离和防火墙等网络服务的虚拟化部署,希望将网络基础设施、网络服务虚拟成为可动态调配的资源;其中横向整合的虚拟化技术,是在园区网内部署IRF2技术,达到简化网络、灵活扩展的目的,并提供更高的可靠性。传统网络采用全冗余的网络结构保证网络的可靠性,然而,随着网络规模的逐步扩大,其网络拓扑和协议部署的复杂度基本上是指数级增加的;而衡量网络可靠性的重要指标-网络收敛速度反而逐步下降。为了走出这个怪圈。在园区网中采用IRF2技术是最合理的技术选择。简化网络可以从两个层面进行分析:简化园区网拓扑和简化园区网协议部署。经典的园区网设计将网络按接入、汇聚、核心规划成多层结构:为便于用户的扩展,一般将接入层网络设计为二层接入,并将用户端的三层网关设置在汇聚层设备上;同时为保证高可靠,汇聚和核心节点采用全冗余部署。然而这种传统的园区网络结构渐渐难以满足新服务的要求:二层接入的网络导致接入层与汇聚层网络之间产生多环路,形成环网,企业IT业务的不断调整将环网规模扩大或复杂化;部分网络为降低复杂度,消除了环路,却因此带来了单链路、单点接入的低可用性。因此,迫切需要在保证多业务、灵活性、可靠性、简易性、扩展性的前提下,消除环路、简化网络拓扑。在全虚拟化的网络架构中,使用IRF2技术分别在网络汇聚与核心层各自进行横向整合,将多台冗余设备虚拟化为单台逻辑设备,形成一个网络管理与转发节点;在网络接入层复杂的接入环境中部署IRF2整合,将多达9个的物理网络节点虚拟化为单台设备,完全消除接入层环路,并形成捆绑链路的高带宽和可靠性上联。在这样的虚拟化部署下,网状的园区网络形成了一个非常简洁的架构,网络各层之间通过捆绑的单逻辑链路互联,消除了环路。不再需要在接入层设计复杂的生成树协议,也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。端到端IRF2部署使园区网络形成了无环、树状、辐射型的网络拓扑结构,极大简化了运行维护管理工作。网络中的数据流在宏观路径上与简化后的整体网络拓扑具有一致性,业务流在网络中的走向清晰明确。同时,每个IRF2节点本身的扩展(如增加该节点设备)既不会改变园区网络的逻辑结构,也不会影响上下层网络的协议交互。这种虚拟化架构将在园区网整个生命周期中不断展现整体架构的优越性。另一方面,当传统园区的规模发展到一定程度,网络各部分均会形成网状网络结构,因此整网路由按区域划分进行设计。以OSPF为例,一般将网络核心和关键网络组件设置于area0,而将网络子模块设置于area1、2、3等区域。采用IRF2进行端到端虚拟化后,网络结构更加清晰,整网路由结构也相应得到简化。区域性的路由因为逻辑链路简化而形成了点到点、点到多点的简单结构,与网络设备相关的路由数量大幅减少,整网的路由计算量也大幅下降。同时,网络层之间的链路捆绑避免了单条物理链路故障时对上层路由的影响,使得端到端IRF2网络架构上形成了一个稳定的简化路由结构,网络规模的扩大并不会增加路由复杂性,这种路由结构不仅简化了网络路由设计、降低了设备要求、减轻设备负载,并且有助于园区网络的长期规划和模块化扩展。扩展性在网络接入层设计上一般具有较大难度。由于组织结构的发展,使得园区网络需要响应快速发展的需求。在大规模模块化网络的扩展方式上,传统核心网络结构已经能够很好的支持,但在接入层常常会面临难以充分满足扩展性要求的难题,因为接入层网络拓扑复杂(其通常是二层接入方式),设备与端口的扩展会使网络结构进一步复杂化。针对用户终端数量大规模增长,IRF2技术的应对方案是:在接入层的IRF2系统中增加成员进行端口扩展,以满足不断增长的接入端口数要求。扩展后的系统对网络其它部分并不产生影响,形成了平滑的扩展能力,而对上行带宽有更高要求的业务,可以通过增加IRF2系统的上行聚合链路成员数量来平滑升级带宽。全虚拟化的网络架构的纵向隔离是指支持网络虚拟化分区、实现用户组业务的逻辑隔离,技术选择可以包括GRE、VRF逐跳、MPLSL3/L2VPN等。但是从园区网络虚拟化方案在行业应用的分析来看,VRF逐跳和MPLSL3VPN是应用较多的技术。对于一些中小型园区,网络设备层次少、结构简单、业务划分关系固定,非常适合VRF逐跳的技术方案。利用园区内设备的虚拟路由转发功能,为不同群组/业务划分固定的逻辑隔离通道,满足业务的横向隔离需求。一次配置完成后即可稳定地提供服务,支持通道间的地址重叠和控制策略不一致。而MPLSL3VPN主要针对中大型园区网络进行设计,具有更加灵活的特点,关于这一点,我们有专门的材料进行介绍。全虚拟化的网络架构中的网络服务的虚拟化指的是FW、IPS等网络服务模块可以虚拟化的方式部署,通过IRF2整合,将多个机框式交换系统整合在一起,逻辑上形成一个大的交换系统,在这个系统中,无论安全模块部署在组内的任何一个框上,都能够被本组的其他框所共享,每个机框上行流量都能够基于本身的需求进行安全处理,而不必关心这个安全模块部署在哪个机框上,同时,在路由表项,安全策略等方面,对于不同的业务可以给予不同的保障,真正实现了按需分配,组内共享的安全资源化,俗称为“安全模块一拖N部署”。不但如此,还可以通过一分多的虚拟化技术,使不同业务或用户群在同一个IRF2组内共享相同的安全硬件,而在逻辑上进行隔离,降低了建设成本,提高了安全服务的调度能力,为业务的灵活部署提供有效的支撑。综上所述,通过IRF2进行横向整合、通过MPLSVPN进行纵向隔离、现网的安全等网络服务模块