智能彈性架構(gòu)在中小型網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)中的應(yīng)用
——以某基層法院網(wǎng)絡(luò)升級(jí)和改造為例

◎王振邦

2005年底，省高院完成了至各地市中院、寧波海事法院的二級(jí)專(zhuān)網(wǎng)建設(shè)， 2006年底，完成了三級(jí)專(zhuān)網(wǎng)的建設(shè)，至此全省三級(jí)法院全部實(shí)現(xiàn)了聯(lián)網(wǎng)，2010年，對(duì)全省法院三級(jí)專(zhuān)網(wǎng)進(jìn)行擴(kuò)容改造。經(jīng)過(guò)擴(kuò)容改造后，目前省法院三級(jí)專(zhuān)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖1：

圖1 省法院三級(jí)專(zhuān)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D

現(xiàn)省高院到各中院2M SDH鏈路，用于召開(kāi)視頻會(huì)議；另一條聯(lián)通4M MSTP，用于遠(yuǎn)程庭審、數(shù)字法庭直播點(diǎn)播；一條電信10M MSTP鏈路，用于數(shù)據(jù)傳輸，同時(shí)這條鏈路也作為視頻會(huì)議和遠(yuǎn)程庭審的備份鏈路。各中院到本地區(qū)基層法院在現(xiàn)有兩條鏈路，分別為2M SDH和4M MSTP專(zhuān)線鏈路，實(shí)現(xiàn)數(shù)據(jù)鏈路與視頻鏈路的分離。目前全網(wǎng)使用動(dòng)態(tài)路由器OSPF協(xié)議，省高院核心路由器及市院上聯(lián)路由設(shè)備放在AREA 0中，其余每個(gè)市院下聯(lián)路由設(shè)備及下屬基層院路由設(shè)備單獨(dú)設(shè)置成一個(gè)AREA，各院局域網(wǎng)不參與到OSPF中。

根據(jù)省高院的指導(dǎo)性要求，基層法院必須建立一個(gè)能為其業(yè)務(wù)系統(tǒng)提供強(qiáng)有力保證的，并且穩(wěn)定、可靠、高速的網(wǎng)絡(luò)系統(tǒng)。

智能彈性架構(gòu)，即IRF（Intelligent Resilient Framework），是H3C公司推出的創(chuàng)新性建設(shè)網(wǎng)絡(luò)核心的新技術(shù)。通過(guò)IRF，以太網(wǎng)核心和匯聚主干可以實(shí)現(xiàn)高可用性、高可擴(kuò)展性的特點(diǎn)。運(yùn)用IRF技術(shù)，以一個(gè)邏輯交換實(shí)體的形式將多臺(tái)千兆三層交換機(jī)互聯(lián)在一起，形成分布式交換架構(gòu)實(shí)現(xiàn)運(yùn)行。在管理和配置多臺(tái)運(yùn)用IRF技術(shù)的分布式交換架構(gòu)時(shí)，就像在和一臺(tái)交換設(shè)備打交道。

一、項(xiàng)目存在問(wèn)題

針對(duì)省高院對(duì)專(zhuān)網(wǎng)建設(shè)的要求，以及我們對(duì)某縣基層法院現(xiàn)有網(wǎng)絡(luò)的調(diào)研，發(fā)現(xiàn)某縣基層法院網(wǎng)絡(luò)存在以下問(wèn)題：

（一） 原整個(gè)基層法院網(wǎng)絡(luò)的網(wǎng)關(guān)均集中在核心交換機(jī)上

采用二層集中架構(gòu)，廣播帶寬占用了骨干鏈路較多的帶寬資源，本次升級(jí)改造，在接入交換機(jī)啟用三層路由協(xié)議，網(wǎng)關(guān)下移到接入交換機(jī)上，通過(guò)路由互聯(lián)減少骨干鏈路的廣播帶寬。

（二）OSPF區(qū)域類(lèi)型設(shè)置不合理

對(duì)基院的中低端設(shè)備性能消耗較大，目前中院及基層院的廣域網(wǎng)接入設(shè)備的性能普遍較低，且現(xiàn)網(wǎng)路由表規(guī)模大，對(duì)于網(wǎng)絡(luò)變化產(chǎn)生的收斂速度慢，平時(shí)運(yùn)行中出現(xiàn)設(shè)備性能吃緊，建議將修改OSPF區(qū)域類(lèi)型，減低路由表規(guī)模，加快路由收斂速度，減輕設(shè)備壓力。

（三）帶寬不夠，視頻會(huì)議和遠(yuǎn)程庭審網(wǎng)絡(luò)質(zhì)量欠缺

當(dāng)前視頻技術(shù)快速發(fā)展，高清視頻流對(duì)網(wǎng)絡(luò)質(zhì)量（帶寬、時(shí)延、抖動(dòng)、丟包率等）要求較高，現(xiàn)網(wǎng)帶寬已無(wú)法滿(mǎn)足法院視頻業(yè)務(wù)的需求；建議增加網(wǎng)絡(luò)帶寬，以滿(mǎn)足視頻業(yè)務(wù)的快速發(fā)展需求。

（四）設(shè)備老化嚴(yán)重，設(shè)備性能、功能上與現(xiàn)在的主流設(shè)備相比，相差甚遠(yuǎn)

某縣基層法院網(wǎng)絡(luò)接入交換機(jī)已使用近13年，設(shè)備嚴(yán)重老化，已經(jīng)超出了設(shè)備生命周期，經(jīng)常出現(xiàn)故障，部分設(shè)備市面上已經(jīng)停產(chǎn)，出現(xiàn)故障時(shí)將得不到及時(shí)的維修與更換，需要全部更換。

（五）網(wǎng)絡(luò)訪問(wèn)控制不嚴(yán)

目前存在網(wǎng)絡(luò)訪問(wèn)控制不嚴(yán)，導(dǎo)致非業(yè)務(wù)流量的產(chǎn)生并占用大量網(wǎng)絡(luò)資源，影響正常的業(yè)務(wù)應(yīng)用；建議嚴(yán)格限制各單位之間的訪問(wèn)。

（六）一臺(tái)核心交換機(jī)給用戶(hù)帶來(lái)單點(diǎn)故障問(wèn)題

由于原網(wǎng)絡(luò)只有一臺(tái)核心交換機(jī)，一旦出現(xiàn)故障，也就是單點(diǎn)核心交換機(jī)故障，那么，整個(gè)縣基層信息系統(tǒng)均會(huì)癱瘓，造成重大影響，需要新增加一臺(tái)核心交換機(jī)作冗余架構(gòu)，并部署IRF技術(shù)。

二、項(xiàng)目設(shè)計(jì)規(guī)劃原則

（一）先進(jìn)性原則

技術(shù)上采用IRF智能彈性架構(gòu)網(wǎng)絡(luò)技術(shù)和主流的網(wǎng)絡(luò)設(shè)備，確保對(duì)數(shù)據(jù)、語(yǔ)音、視頻業(yè)務(wù)的全面支撐，并適度考慮前瞻。

（二）穩(wěn)定性原則

三級(jí)專(zhuān)網(wǎng)必須具有很高的可靠性和穩(wěn)定性，以滿(mǎn)足法院業(yè)務(wù)對(duì)基礎(chǔ)網(wǎng)絡(luò)日益提高的穩(wěn)定性要求，充分考慮了線路備份、設(shè)備備份、模塊備份和路由冗余備份。

（三）安全和保密性原則

設(shè)計(jì)過(guò)程中必須依據(jù)國(guó)家各項(xiàng)法規(guī)政策，在網(wǎng)絡(luò)建構(gòu)上劃分相應(yīng)的區(qū)域，在硬件設(shè)備上考慮相應(yīng)模塊，使得在基本網(wǎng)絡(luò)層就具有很高的安全性，并能與保密系統(tǒng)建設(shè)相銜接。

（四）易管性原則

網(wǎng)絡(luò)維護(hù)管理必須最大可能的簡(jiǎn)單、便捷，能方便的維護(hù)并管理三級(jí)專(zhuān)網(wǎng)的設(shè)備狀況和鏈路情況。

（五）科學(xué)性原則

對(duì)業(yè)務(wù)數(shù)據(jù)流進(jìn)行負(fù)載平攤或分流，將現(xiàn)有資源盡量做到互備方式，防止部分設(shè)備或者鏈路空載。

三、核心層設(shè)計(jì)

核心層是整個(gè)網(wǎng)絡(luò)的中心，直接決定整個(gè)系統(tǒng)的運(yùn)行效率，設(shè)備方面，本次網(wǎng)絡(luò)改造采用2臺(tái)H3C的S7508E-X交換機(jī)，通過(guò)IRF的千兆鏈路邊接提供核心千兆的高帶寬，實(shí)現(xiàn)雙機(jī)熱備。這樣，實(shí)現(xiàn)設(shè)備冗余的同時(shí)，還提高了這些網(wǎng)絡(luò)設(shè)備的性能和實(shí)現(xiàn)網(wǎng)絡(luò)管理的簡(jiǎn)化。這一技術(shù)的使用，不僅增加了網(wǎng)絡(luò)設(shè)備之間連接鏈路的帶寬，還同時(shí)實(shí)現(xiàn)了鏈路與設(shè)備的冗余，從而避免了單核心出現(xiàn)故障導(dǎo)致整個(gè)基層法院不能使用網(wǎng)絡(luò)的問(wèn)題，從而實(shí)現(xiàn)了增加網(wǎng)絡(luò)可靠性的目的。

要形成一個(gè)IRF，需要先連接成員設(shè)備的IRF物理端口。IRF端口的連接是基于IRF物理端口的連接而建立的，因此需要將IRF端口和IRF物理端口對(duì)應(yīng)起來(lái)，即將IRF端口和IRF物理端口進(jìn)行綁定。一個(gè)IRF端口可以對(duì)應(yīng)一個(gè)IRF物理端口，也可以通過(guò)對(duì)應(yīng)多個(gè)IRF物理端口來(lái)實(shí)現(xiàn)聚合IRF端口，以達(dá)到鏈路備份和擴(kuò)展帶寬的效果。

本案例中通過(guò)對(duì)2臺(tái)H3C的S7508E-X交換機(jī)使用10G SFP堆疊模塊的方式，使其在成員設(shè)備間進(jìn)行連接。

根據(jù)圖2所示，將設(shè)備S7508E-X上 的TengigabitEthernet1/0/1與TengigabitEthernet1/0/2進(jìn)行綁定，將另一臺(tái)設(shè)備S7508E-X上的TengigabitEthernet1/0/3和TengigabitEthernet1/0/4進(jìn)行綁定，然后將兩臺(tái)設(shè)備各自綁定好的IRF端口通過(guò)10G IRF物理端口與同一個(gè)IRF端口進(jìn)行綁定，實(shí)現(xiàn)聚合IRF端口。在進(jìn)行成員設(shè)備的連接時(shí)，本設(shè)備上與IRF-Port1綁定的IRF物理端口只能和鄰居成員設(shè)備IRF-Port2口上綁定的IRF物理端口相連，本設(shè)備上與IRF-Port2口綁定的IRF物理端口只能和鄰居成員設(shè)備IRF-Port1口上綁定的IRF物理端口相連，如圖2所示。

圖2 IRF物理連接圖

Device A為原H3C S7508E-X設(shè)備，為消除核心交換機(jī)的單點(diǎn)故障，并將轉(zhuǎn)發(fā)能力提高一倍，需要另外增加一臺(tái)Device B新的H3C S7508E-X設(shè)備。

鑒于IRF虛擬化技術(shù)具有管理簡(jiǎn)便、網(wǎng)絡(luò)擴(kuò)展能力強(qiáng)、可靠性高等優(yōu)點(diǎn)，所以本例使用IRF技術(shù)構(gòu)建網(wǎng)絡(luò)匯聚層（即在Device A和Device B上配置IRF功能），接入層設(shè)備通過(guò)聚合雙鏈路上行。

為了防止萬(wàn)一IRF鏈路故障導(dǎo)致IRF分裂、網(wǎng)絡(luò)中存在兩個(gè)配置沖突的IRF，需要啟用MAD檢測(cè)功能。因?yàn)槌蓡T設(shè)備比較少，采用BFD MAD檢測(cè)方式來(lái)監(jiān)測(cè)IRF的狀態(tài)。

針對(duì)OSPF區(qū)域類(lèi)型設(shè)置不合理，對(duì)基層法院的中低端設(shè)備性能消耗較大等問(wèn)題。在核心層中采用動(dòng)態(tài)OSPF，這是因?yàn)镽IP路由協(xié)議存在路數(shù)的限制和會(huì)產(chǎn)生環(huán)路的問(wèn)題，而OSPF路由協(xié)議不存在以上問(wèn)題，在交互路由時(shí)是采用增量更新的方式，這些都是OSPF動(dòng)態(tài)路由的優(yōu)勢(shì)。為了節(jié)省網(wǎng)絡(luò)帶寬資源與加強(qiáng)網(wǎng)絡(luò)可靠性，在連接接入用戶(hù)的VLAN虛接口設(shè)置成被動(dòng)接口，使其不能發(fā)送OSPF協(xié)議報(bào)文，節(jié)省網(wǎng)絡(luò)帶寬資源的同時(shí)，防止路由信息泄漏，給基層法院網(wǎng)絡(luò)的可靠性又增加了一道屏障。

四、網(wǎng)絡(luò)安全部署

在整個(gè)網(wǎng)絡(luò)中，基層法院服務(wù)器和法院大樓內(nèi)的計(jì)算機(jī)和所有下級(jí)單位均要求訪問(wèn)全國(guó)的法院專(zhuān)網(wǎng)；而其他單位只 能訪問(wèn)某縣基層法院開(kāi)發(fā)的服務(wù)器資源。

基于以上特征，在某縣基層法院核心交換機(jī)的上行端口部署了2臺(tái)迪普的萬(wàn)兆防火墻，并開(kāi)啟如下功能：

將員工網(wǎng)絡(luò)、公司服務(wù)器網(wǎng)絡(luò)、外部網(wǎng)絡(luò)劃分到不同安全區(qū)域，對(duì)安全區(qū)域間的流量進(jìn)行檢測(cè)和保護(hù)。

圖3 項(xiàng)目配置示意圖

根據(jù)對(duì)外提供的網(wǎng)絡(luò)服務(wù)的類(lèi)型開(kāi)啟相應(yīng)的內(nèi)容安全防護(hù)功能。例如文件服務(wù)器開(kāi)啟文件過(guò)濾和數(shù)據(jù)過(guò)濾，針對(duì)郵件服務(wù)器開(kāi)啟郵件過(guò)濾，并且針對(duì)所有服務(wù)器開(kāi)啟反病毒和入侵防御。

開(kāi)啟DDoS防御功能，抵抗外網(wǎng)主機(jī)對(duì)內(nèi)網(wǎng)服務(wù)器進(jìn)行的大流量攻擊，保證企業(yè)業(yè)務(wù)的正常開(kāi)展。

對(duì)內(nèi)外網(wǎng)之間的流量部署帶寬策略，控制流量帶寬和連接數(shù)，避免網(wǎng)絡(luò)擁塞，同時(shí)也可輔助進(jìn)行DDoS攻擊的防御。

五、結(jié)語(yǔ)