基于MSTP和防火墻多出口的園區(qū)網(wǎng)可靠性設(shè)計(jì)

李兵

上海市經(jīng)濟(jì)管理學(xué)校 上海 200060

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用，網(wǎng)絡(luò)化、信息化成為一種必然的趨勢(shì)，很多企事業(yè)和政府部門都建立了自己的園區(qū)網(wǎng)。越來越多的企業(yè)的內(nèi)部管理和外部業(yè)務(wù)越來越多地依賴于網(wǎng)絡(luò)運(yùn)作，以提高工作效率，提升自身形象和社會(huì)影響力。然而，一旦網(wǎng)絡(luò)系統(tǒng)發(fā)生問題就將直接影響企業(yè)的正常運(yùn)作，造成經(jīng)濟(jì)損失，有損社會(huì)聲譽(yù)。因此，網(wǎng)絡(luò)的性能特別是網(wǎng)絡(luò)的可靠性就顯得尤為重要。

1 園區(qū)網(wǎng)可靠性分析

計(jì)算機(jī)網(wǎng)絡(luò)的可靠性，簡(jiǎn)單說來就是指網(wǎng)絡(luò)系統(tǒng)在規(guī)定的時(shí)間和條件下，能夠保持正常的信息流通，維持網(wǎng)絡(luò)應(yīng)用系統(tǒng)穩(wěn)定的能力。計(jì)算機(jī)網(wǎng)絡(luò)可靠性是一個(gè)系統(tǒng)化和科學(xué)化的概念。園區(qū)網(wǎng)的可靠性從網(wǎng)絡(luò)范圍來說可分為內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)的可靠性和訪問外部網(wǎng)絡(luò)的可靠性兩個(gè)方面。

1.1 實(shí)現(xiàn)園區(qū)網(wǎng)可靠性的基本設(shè)計(jì)思路

在園區(qū)網(wǎng)的重要節(jié)點(diǎn)采用相同功能的多個(gè)設(shè)備形成相互備份保護(hù)，如果一臺(tái)設(shè)備出故障，則另一臺(tái)設(shè)備能迅速接管故障設(shè)備，使對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的影響降到最低；同樣在園區(qū)網(wǎng)的出口，采用2條及以上不同的接入鏈路（通常是不同的ISP），一條鏈路中斷后，另一條鏈路則迅速接管中斷鏈路的流量，使對(duì)外業(yè)務(wù)數(shù)據(jù)受到的影響降到最低。

1.2 提高網(wǎng)絡(luò)可靠性的技術(shù)手段

網(wǎng)絡(luò)的可靠性是以各種投入為代價(jià)而實(shí)現(xiàn)的，因而在實(shí)際應(yīng)用中，需要在網(wǎng)絡(luò)建設(shè)費(fèi)用與網(wǎng)絡(luò)可靠性之間進(jìn)行權(quán)衡。從性價(jià)比的角度來說，并不是可靠性越高越好，而往往采用對(duì)網(wǎng)絡(luò)的關(guān)鍵設(shè)備或鏈路提供備份的辦法，保證網(wǎng)絡(luò)的相對(duì)可靠性。保障網(wǎng)絡(luò)可靠性的技術(shù)手段主要有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的優(yōu)化、網(wǎng)絡(luò)分層設(shè)計(jì)模型、容錯(cuò)與負(fù)載均衡技術(shù)、路由協(xié)議備份技術(shù)及選用高可靠性網(wǎng)絡(luò)產(chǎn)品等。下面主要探討應(yīng)用鏈路負(fù)載均衡與冗余設(shè)計(jì)技術(shù)提高網(wǎng)絡(luò)的可靠性。

2 鏈路負(fù)載均衡技術(shù)與網(wǎng)絡(luò)可靠性

隨著網(wǎng)絡(luò)需求及網(wǎng)絡(luò)技術(shù)的發(fā)展，單條鏈路、單臺(tái)服務(wù)器或單臺(tái)網(wǎng)絡(luò)設(shè)備無法滿足用戶業(yè)務(wù)增長(zhǎng)和對(duì)網(wǎng)絡(luò)可靠性的需求。負(fù)載均衡（load balance）通過一種廉價(jià)、有效、透明的方法，將特定的業(yè)務(wù),諸如網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)流量等通過多臺(tái)設(shè)備或多個(gè)鏈路進(jìn)行分擔(dān)，擴(kuò)展網(wǎng)絡(luò)設(shè)備和鏈路的能力，滿足用戶業(yè)務(wù)不斷發(fā)展的需求，保證業(yè)務(wù)的高可靠性。負(fù)載均衡具有高性能、可擴(kuò)展性、可管理性、用戶透明性等優(yōu)點(diǎn)。

負(fù)載均衡技術(shù)從廣義上講有服務(wù)器負(fù)載均衡、防火墻負(fù)載均衡和鏈路負(fù)載均衡等類型，各種負(fù)載均衡技術(shù)應(yīng)用于不同的場(chǎng)合。鏈路負(fù)載均衡指網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流量時(shí)，數(shù)據(jù)流量在滿足一定的條件下選擇不同的鏈路走向，從而達(dá)到鏈路流量分擔(dān)，消除鏈路瓶頸，實(shí)現(xiàn)網(wǎng)絡(luò)鏈路服務(wù)的可靠性。鏈路負(fù)載均衡技術(shù)在園區(qū)網(wǎng)的內(nèi)部和網(wǎng)絡(luò)出口均有一定的應(yīng)用價(jià)值。

3 應(yīng)用MSTP技術(shù)實(shí)現(xiàn)園區(qū)網(wǎng)內(nèi)部負(fù)載均衡與鏈路冗余

3.1 MSTP概述

為了實(shí)現(xiàn)鏈路的冗余與備份，交換機(jī)之間往往會(huì)形成物理上的環(huán)路。但是一旦存在環(huán)路就會(huì)造成報(bào)文在環(huán)路內(nèi)不斷循環(huán)，造成廣播風(fēng)暴，影響網(wǎng)絡(luò)的正常通信。802.1協(xié)議制訂的STP協(xié)議，能夠有效阻止網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生，但是STP協(xié)議收斂速度慢，容易出現(xiàn)網(wǎng)絡(luò)瓶頸。為此隨后又推出了RSTP協(xié)議，RSTP協(xié)議很好地解決了網(wǎng)絡(luò)收斂速度慢的問題，但是仍不能實(shí)現(xiàn)基于VLAN的流量均衡和冗余備份。

MSTP多實(shí)例生成樹協(xié)議繼承了STP和RSTP的優(yōu)點(diǎn)，在不改變網(wǎng)絡(luò)基本設(shè)備和物理拓?fù)浣Y(jié)構(gòu)的情況下，在不同的VLAN集合間采用不同的生成樹邏輯拓?fù)洹Ｔ贛STP協(xié)議中定義了實(shí)例（INSTANCE）的概念，所謂實(shí)例就是多個(gè)具有同樣拓?fù)浣Y(jié)構(gòu)的VLAN集合。通過將多個(gè)具有同樣拓?fù)浣Y(jié)構(gòu)的VLAN映射到同一個(gè)實(shí)例的方法，節(jié)省通信開銷和資源占用率。MSTP協(xié)議通過控制各不同的VLAN實(shí)例使用不同的鏈路，從而形成不同的生成樹拓?fù)浣Y(jié)構(gòu)，同時(shí)又互相提供鏈路備份，達(dá)到鏈路負(fù)載均衡、消除瓶頸、提供冗余的目的，提高網(wǎng)絡(luò)的可靠性。

3.2 MSTP的配置與實(shí)現(xiàn)

為提高網(wǎng)絡(luò)的可靠性，在匯聚層可采用兩臺(tái)交換機(jī)，即分別上聯(lián)至兩臺(tái)匯聚核心SWA和SWB的交換機(jī)，以實(shí)現(xiàn)鏈路冗余，避免單鏈路故障，配置MSTP實(shí)現(xiàn)鏈路負(fù)載均衡。具體的拓?fù)浣Y(jié)構(gòu)如圖1所示。

假設(shè)在域中有兩個(gè)生成樹實(shí)例，分別為實(shí)例1和實(shí)例2，并映射到VLAN 10 和VLAN 20。通過配置使不同VLAN的數(shù)據(jù)按照不同的生成樹轉(zhuǎn)發(fā)，VLAN 10的數(shù)據(jù)沿實(shí)例1轉(zhuǎn)發(fā)，VLAN 20的數(shù)據(jù)沿實(shí)例2轉(zhuǎn)發(fā)，實(shí)現(xiàn)流量的負(fù)載均衡。應(yīng)當(dāng)注意的是，在配置時(shí)同一個(gè)域內(nèi)設(shè)備的MSTP域名及VLAN映射關(guān)系都要保持一致。本文以神州數(shù)碼交換機(jī)產(chǎn)品為例，對(duì)交換機(jī)進(jìn)行配置，并以sw1交換機(jī)節(jié)點(diǎn)進(jìn)行具體配置（sw2交換機(jī)的配置與其類似）。

交換機(jī)sw1的參考配置如下：

交換機(jī)swA的參考配置如下：

swB和swA的配置方法相似，只要改變對(duì)mst 1和mst 2兩個(gè)不同實(shí)例的優(yōu)先級(jí)即可。在此網(wǎng)絡(luò)中，配置了匯聚swA為實(shí)例1的根橋，同時(shí)也是實(shí)例2的備份根橋。匯聚swB為實(shí)例2的根橋，同時(shí)作為實(shí)例1的備份根橋。正常情況下實(shí)例1和實(shí)例2各自走不同的鏈路，形成鏈路的負(fù)載均衡。當(dāng)根橋出現(xiàn)故障時(shí)，備份根橋可以取代原根橋進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，達(dá)到了設(shè)備與鏈路的備份與負(fù)載均衡，較好地實(shí)現(xiàn)了網(wǎng)絡(luò)的可靠性。

4 防火墻多出口實(shí)現(xiàn)訪問外網(wǎng)負(fù)載均衡與冗余，提高訪問外網(wǎng)的可靠性

在傳統(tǒng)的園區(qū)網(wǎng)，往往只有一個(gè)網(wǎng)絡(luò)出口，這種情況在中小型園區(qū)網(wǎng)中尤其突出。隨著對(duì)外網(wǎng)訪問量的增加，園區(qū)網(wǎng)對(duì)外訪問往往成為整個(gè)網(wǎng)絡(luò)的瓶頸。

4.1 傳統(tǒng)的單出口園區(qū)網(wǎng)絡(luò)存在的問題

在傳統(tǒng)的單出口的情況下，即使內(nèi)部網(wǎng)絡(luò)訪問是暢通的，但由于出口鏈路瓶頸仍然存在，對(duì)外網(wǎng)的訪問將成為園區(qū)網(wǎng)主要問題，從而影響對(duì)外業(yè)務(wù)的開展；由于對(duì)外的出口鏈路只有一個(gè)，當(dāng)僅有的一個(gè)出口發(fā)生故障時(shí)，整個(gè)網(wǎng)絡(luò)將不能對(duì)外訪問，園區(qū)網(wǎng)的可靠性大大降低，不利于設(shè)備和鏈路的維護(hù)與升級(jí)，當(dāng)要進(jìn)行必要的維護(hù)和升級(jí)時(shí)，將不得不中斷對(duì)外網(wǎng)的訪問。

4.2 防火墻多出口負(fù)載均衡應(yīng)用與配置

所謂多出口是指為了確保對(duì)因特網(wǎng)訪問，通常為網(wǎng)絡(luò)配置多個(gè)因特網(wǎng)接入鏈路，一般情況下接入不同的ISP；也有為了保障和重要業(yè)務(wù)所在的接入供應(yīng)商的連接，而采用對(duì)同一ISP接入兩個(gè)鏈路，這種網(wǎng)絡(luò)出口的結(jié)構(gòu)稱為出口多。

防火墻多出口多能最大限度地利用鏈路的帶寬，并且當(dāng)某一鏈路發(fā)生中斷時(shí)，可以自動(dòng)將其訪問量分配到另一正常工作出口鏈路中，也即達(dá)到出口鏈路的流量負(fù)載均衡與備份。

本例以神州數(shù)碼DCFW-1800系列為例進(jìn)行配置，通過配置ISP路由方式來實(shí)現(xiàn)出口鏈路的負(fù)載均衡與冗余，使不同ISP流量走專有路由，從而提高網(wǎng)絡(luò)速度。配置步驟大致為：配置ISP信息→配置ISP路由→上傳ISP配置文件→查看 ISP 路由配置信息→刪除已上傳的預(yù)定義 ISP 配置文件。為保障鏈路和故障備份，還可以對(duì)鏈路進(jìn)行相關(guān)的監(jiān)控與備份配置，相關(guān)的關(guān)鍵配置及截圖如圖2所示。

1）配置ISP路由。目前國(guó)內(nèi)的接入骨干網(wǎng)有電信、聯(lián)通、教育網(wǎng)等，神州數(shù)碼DCFW-1800系列防火墻系統(tǒng)自帶了China-telecom和China-netcom兩個(gè)ISP路由表，其他的ISP如unicom、cernet通過手工創(chuàng)建。考慮到線路帶寬不同，在此設(shè)置了等價(jià)ISP路由，在轉(zhuǎn)發(fā)時(shí)根據(jù)線路帶寬設(shè)置轉(zhuǎn)發(fā)比例。在圖2中兩條電信的路由轉(zhuǎn)發(fā)比為1:1，在實(shí)際配置中也可根據(jù)具體的帶寬情況配置不同的權(quán)值比例。圖2中配置了多條ISP路由以供選擇。

2）配置鏈路的監(jiān)控與備份。當(dāng)外網(wǎng)接口在up狀態(tài)下，一旦該ISP運(yùn)營(yíng)商的線路出現(xiàn)故障，會(huì)影響內(nèi)網(wǎng)用戶通過該鏈路的對(duì)外訪問。線路備份就是通過端口監(jiān)控，當(dāng)鏈路發(fā)生故障時(shí)自動(dòng)切換到備份鏈路，保障出口訪問的可靠性。下面的命令配置了名為track-for_eth0/3的監(jiān)控對(duì)象和相應(yīng)的監(jiān)控地址：

如果要對(duì)其他線路進(jìn)行監(jiān)控，則也要進(jìn)行相似的配置。

5 結(jié)束語

鏈路冗余與負(fù)載均衡是提高網(wǎng)絡(luò)可靠性的重要技術(shù)之一，上述基于MSTP和防火墻多出口鏈路的設(shè)計(jì)與配置，實(shí)現(xiàn)鏈路的冗余與負(fù)載均衡。MSTP較好地保證了內(nèi)部網(wǎng)絡(luò)的可靠性，防火墻多出口鏈路為園區(qū)網(wǎng)對(duì)外的訪問提供了較好的保障。

[1]程慶梅.防火墻系統(tǒng)實(shí)訓(xùn)教程[M].北京:機(jī)械工業(yè)出版社,2012.

[2]雷傲然.企業(yè)園區(qū)網(wǎng)的可靠性設(shè)計(jì)思路與實(shí)現(xiàn)[J].時(shí)代報(bào)告,2012(9X):352.

[3]張雪敏.多生成樹協(xié)議MSTP在實(shí)驗(yàn)中的應(yīng)用[J].考試周刊,2012(59):112-115.

[4]叢玉華.多鏈路出口負(fù)載均衡技術(shù)的研究及實(shí)現(xiàn)[J].計(jì)算機(jī)與數(shù)字工程,2012(9):76-78.