網絡冗余在某大型企業局域網中的應用

楊 露，程 方，李 萌

（長江三峽通航管理局，湖北 宜昌 443000）

1 網絡現狀分析（見圖1）

圖1 現有網絡架構圖

該企業目前的網絡由外網區域、內網區域、DMZ區域組成，而且每一個區域都有對應的子區域。由于三個區域的業務不同，每個區域的部署邏輯也各不相同。其中，外網區域由一臺外網核心交換機作為中心節點，以星型結構發散，連通該企業各辦公大樓及外圍站點的互聯網絡。其上行鏈路為單鏈路，上級設備為上網行為管理和出口防火墻。A區域連接到其他區域都為單鏈路。內網核心層由A區域內網核心、A區域內網匯聚、B區域內網匯聚、C區域內網匯聚組成，各區域之間相互獨立，而又通過A區域核心交換機實現互聯互通，核心層與匯聚層之間通過動態路由協議OSPF實現，各區域內部通過二層vlan和trunk方式實現互聯[1]。DMZ區位于外網區域和內網區域之間，該區域網絡由DMZ防火墻連接至DMZ交換機，通過DMZ交換機將業務數據發送至各業務服務器。

2 現有網絡存在的問題分析及優化

2.1 該企業核心網絡存在的問題及優化

該企業網絡結構呈星型結構，控制簡單，任何區域只需和中心節點連接，中心節點可以方便對每個站點提供網絡服務和網絡重新配置，易于網絡監控和管理；但是由于外網核心交換機作為中心節點，如果網絡吞吐量過大會使得核心交換機承受較大的負擔，交換機一旦發生宕機等故障，則該企業網絡及業務將會受到影響，此外星型結構需要消耗大量的光纜，安裝及維護的工作量也大大增加。

根據等保2.0的要求，考慮到核心區域需要冗余，結合該企業網絡的實際需求，考慮到現有核心交換機與新購置的交換機主控版本不同，不能在原核心交換機上進行擴容配置。通過使用新購置的交換機配置成堆疊模式來替換原核心交換機，同時擴充C外網區域、B外網區域及DMZ區域的鏈路為雙鏈路聚合，提升鏈路的冗余能力和帶寬。

2.2 該企業互聯網出口區域網絡存在的問題及優化

出口防火墻開啟入侵防御功能，雖然可以實時對入侵事件進行監控和阻斷，但是由于該企業互聯網出口區域的上網行為管理設備以及防火墻都為單臺設備，存在設備單點故障風險?？紤]到互聯網出口處重要性，需要改造為雙設備冗余設計，本次改造擬計劃采用雙設備互為主備的方式進行部署。由于現有的設備不能與其他廠家的設備兼容，所以需新購置兩臺與原型號相同的設備進行冗余設計。

在出口鏈路方面，原來的主干鏈路只有電信遷過來的一根主干光纜，在網絡長期運行過程中，也曾出現過因市政施工導致的光纜中斷，從而整個網絡宕機的情況。所以為了提高整體網絡的穩定性，在整改過程中，采用電信和移動兩家光纜線路作為出口鏈路，考慮到費用問題，兩條出口鏈路的帶寬不全相同，電信的先纜作為主干光纜，平時鏈路正常連接時作為業務主要訪問通道，而移動鏈路作為在電信鏈路出現故障時候的備用鏈路，只能保證基本的辦公需求，而無法滿足大規模的業務訪問。

3 基于該企業的網絡冗余技術

3.1 交換機堆疊技術

堆疊是指將多臺交換機設備通過線纜連接后組合在一起，虛擬化成一臺設備，是一種橫向虛擬化技術。目前，很多廠家推出了自己的堆疊技術，華為的堆疊技術稱為istack與CSS，思科的堆疊技術稱為vss,華三的堆疊技術稱為IRF。本文主要分析華為交換機堆疊技術在該企業網絡中的應用。

華為的堆疊技術分布在核心層、匯聚層以及接入層這個三個層面，其中核心層交換機與匯聚層交換機都是采用CSS集群技術，在接入層采用iStack堆疊技術，各設備層之間采用Eth-Trunk鏈路聚合技術，高效地對各個層面進行傳輸鏈接，華為的堆疊技術優勢總結如下。

3.1.1 網絡拓撲結構簡單

核心層、匯聚層以及接入層每個層面之間均采用了華為的堆疊技術，網絡拓撲結構簡單明了，xSTP破壞協議不需要重新架構，各個層面之間互不影響，邏輯設備少。

3.1.2 堆疊技術可靠性高

華為的堆疊技術將CSS集群技術、iStack堆疊技術與Eth-Trunk鏈路聚合技術組合使用，使得核心層、匯聚層以及接入層三個層面的設備兩兩配接入到組網中，當其中一條鏈路或者一臺設備出現故障，不會對另一條鏈路或者設備的運行造成影響，更不會影響到整個網絡的數據傳輸，極大地提升了整個網絡的效率和可靠性。

3.1.3 Eth-Trunk鏈路聚合技術的高效性

核心層、匯聚層以及接入層每個層面之間的鏈接采用了Eth-Trunk鏈路聚合技術，完善了傳統的一對一或者一對多的交互方式，Eth-Trunk鏈路聚合技術讓各個設備之間交互更加靈活，鏈路利用率顯著提高，同時Eth-Trunk鏈路也能提高鏈路的帶寬，能夠將單條鏈路的帶寬資源集合起來，提高了鏈路的帶寬，使得各個層面的傳輸效率顯著提高。

3.2 鏈路冗余技術

鏈路冗余，一般是指網絡通路的冗余，也就是說當網絡中的一條鏈路發生故障的時候，可以通過其他的鏈路進行網絡通信。鏈路的冗余能夠給網絡帶來健壯性、穩定性和可靠性，但是備份鏈路會使網絡存在環路，環路會引起廣播風暴、MAC表不穩定等問題。

4 網絡優化后的網絡架構

優化后的網絡架構，使用兩臺新的交換機做堆疊替換現有的外網核心交換機，配置外網核心交換機。新增A辦公區域外網核心交換機至C辦公區域匯聚、B辦公區域匯聚、DMZ區鏈路各一條，并與原有鏈路配置成鏈路聚合（見圖2）?；ヂ摼W出口區域優化后部署兩臺上網行為管理設備，由于原設備為網橋模式，新設備啟用主主模式，出口處設備冗余，即使單臺設備故障，無需人工干預，網絡出口能快速切換。

圖2 優化后的網絡架構圖

當互聯網用戶訪問時，數據先到達互聯網出口交換機，通過上網行為管理到達外網核心交換機。若其中一臺上網行為管理設備出現故障，另一臺上網行為管理設備能夠繼續使用，不用影響業務的正常訪問。

5 結語

隨著該企業的信息化進程不斷加快，各項核心業務的數據量不斷增多，一個高穩定性、高可靠性和高安全性的網絡是非常重要的，該企業通過網絡冗余技術不僅能夠保障該企業網絡的正常使，更是解決了原先網絡存在單點故障、核心吞吐量不足的問題。