《华为H3C网络改造建议书 地级市银行网络改造.doc》由会员分享,可在线阅读,更多相关《华为H3C网络改造建议书 地级市银行网络改造.doc(71页珍藏版)》请在三一办公上搜索。
1、某地级银行华为H3C网络改造方案计划书目录第1章网络现状分析41.1概述41.2农行应用分析41.3业务系统对承载网络的需求51.4网络改造需求61.4.1 市行核心改造需求61.4.2 市区支行、县区支行改造需求61.4.3 网点改造需求6第2章总体设计72.1设计原则72.2市行局域网改造方案82.2.1网络改造后市级分行网络结构82.2.2分行数据中心局域网模型设计92.2.3市行改造设备选型112.2.4分区分层扩展112.3支行、网点网络改造方案112.3.1整体拓扑图112.3.2 网点至汇聚的点到点实现方法122.3.3 VRRP具体实现方法132.3.4 Auto Detect
2、DLDP(自动侦测)完成跨广域网的链路切换142.3.5 广域网链路152.3.6 ATM的接入152.3.7支行、网点改造设备选型162.4市分行数据中心合理化建议162.5方案特点19第3章IP地址规划193.1IP地址规划原则193.2IP地址分配策略20第4章路由设计214.1路由设计规程214.2IGP路由协议设计244.3 全省路由规划知识要点29第5章QOS策略设计315.1QoS需求简述315.2拥塞的产生、影响和对策315.2.1引入流分类、流量监管等流量管理技术335.2.2 采用策略路由引导流量,优化使用网络的带宽资源335.3几种主要的流量管理措施345.4 QoS设计
3、34第6章网络安全366.1安全设计概述366.2用户安全认证管理EAD端点安全准入防御376.3TIPPING POINT IPS保护应用层的安全406.4.1 网络中的安全威胁406.4.2 TIPPING POINT 主动入侵防御416.4.3 TIPPING POINT IPS 特点416.4.4 TIPPING POINT的部署456.4.5 TIPPING POINT IPS设备选型456.4各分区安全构架设计456.5其他安全防护考虑516.6网络病毒控制52第7章网管部署网络设计557.1Quidview网络管理系统557.2Quidview各组件功能607.2.1网络管理框架
4、(NMF)607.2.2网络配置中心(NCC)637.2.3设备管理组件64第8章建议设备说明658.1S9500658.2S3600678.3TIPPING POINT IPS71第1章 网络现状分析1.1 概述某省某银行的信息化建设时间较早,随着业务规模的扩大以及新业务的推广、办公应用系统的增加,现有的网络模式已经不能满足应用、带宽、安全、线路类型和管理规范性等要求。根据总行关于数据大集中项目的规范要求,以及业务发展新的需要,本着先进性、现实性和经济性统一的原则进行全省市分行、网点的改造,充分发挥网络的承载支撑作用,为各类生产和办公信息系统提供统一的综合业务网络平台。1.2 农行应用分析根
5、据农行的网络系统总体设计方案,农行业务可以分为两类:一类是与柜面业务密切相关的业务,简称为营业性业务;一类是与银行管理、办公有关的业务,简称为OA业务。两种业务之间有一定的信息流,但又各自独立,同时都需要与外部交换信息(如同城交换,网上服务等业务)。对于营业性业务,目前其信息流向都是纵向的,同级机构之间的业务信息交换都经过上级机构转发。在时延方面,营业性业务的实时性要求高,要求在限定的较短的时间内完成。这个时间通常为数秒。在这个时限内完成得快一点或慢一点关系不大。业务偶尔短时中断(如几天中断一两次,每次1分钟)可以容忍,经常性或较长时间的中断(几分钟以上)是不容许的。在流量方面,营业性业务信息
6、相对于管理业信息流量较小,时间分布有规律,突发性流量较易预测。对于OA业务,其信息流向与某银行组织结构相关,行内的OA业务基本上是纵向流量,在将来的企业内部网中会有横向流量。在时延方面,OA业务有两种不同的要求:一种是语音、活动图象、电视会议等多媒体业务实时性非常强,大大高于营业性业务的要求;另一种是普通管理信息,如文件、图象等,基本上是非实时性的,只要在一定时间内完成即可,大大低于营业性业务的要求。在流量方面,OA业务基本上都是随机猝发性信息,流量较大且难以预测。目前各农行OA业务数据主要是在局域网上传输,在广域网上传输的数据量初期不大。但随着业务的发展,OA业务数据在广域网上的传输也会逐渐
7、增多。OA业务信息流量具有突发性、不确定性和信息量大的特点。如FTP服务、Web浏览、电视会议都需要很高的带宽,才能满足应用的需要。因此,OA网对带宽的要求更高。1.3 业务系统对承载网络的需求农行业务对通信网络的需求主要包括如下五个方面:u 物理结构需求-营业性业务和OA业务的信息流量为纵向树型,但是灾难备份又要求网络具有迂回路由,因此,通信网络结构要由“树型”向“双星型”过渡;u 逻辑结构需求-营业性业务对实时性要求较高,但是流量不大,而OA业务对实时性要求不高,猝发性、随即性较强,流量通常较大。因此,在通信网络逻辑上应把营业性业务和OA业务的通信信道分离,避免因OA业务的猝发性和大流量造
8、成通信网络的拥塞,影响营业性业务的实时性和可靠性,保证营业性业务的正常进行;u 安全性需求-目前市级分行的业务和OA数据流量未进行分离,OA网内爆发病毒后非常容易扩散到业务网内,因此,为提高业务网的安全性,需在市级支行将业务和OA数据进行分离。u 可靠性需求-农行业务的链路需要有高可靠性,这种可靠性的保障主要表现为接入设备的高可靠性、接入链路的高可靠性。网络的主干设备必须具有全容错的结构,并具有热插拨的功能,保障带电修复有关故障,不影响网络系统工作。网络冗余设计包括双机热备份、双介质备份、双链路备份。u 网络互联需求-局域网网络不仅应能满足自身业务需要,实现和骨干网的互联互通,还应根据业务发展
9、和需要,能够和其他金融网络互联互通。u 具有较强的QoS控制能力u 为了保证网络资源充分保证重要性业务,需要具有较强的QoS控制能力,使链路故障和切换对业务的影响的时间最短。u 采用开放的体系和标准建设u 本次建设所采用的协议和技术完全符合国际或国家通用的开放标准。u 弹性可扩展u 网络平台,网络架构和设备均支持未来应用系统的变化和网络需求的变化方便的适应,并具有易扩展能力。u 整网的可管理u 针对本次实施的范围实现方便的管理。1.4 网络改造需求1.4.1 市行核心改造需求两台核心交换机双机冗余热备消除单点故障市行核心选用两台具有万兆扩展性的高端交换机S9512,提升核心性能,同时消除核心交
10、换机单点故障,提供冗余热备、负载分担,以提高网络的可靠性和业务处理能力。业务网和OA网的逻辑隔离 原有业务和OA仅仅通过VLAN的方式进行隔离,三层的访问均通过广域网路由器完成,且业务流和OA流的分离也同时在广域网路由器上完成,此次网络改造需将业务流和OA流在市行核心局域网就进行逻辑分流隔离,从而提高业务网的整体性能和安全性。1.4.2 市区支行、县区支行改造需求 市区支行、县区支行原有汇聚设备已不能满足日益增大的业务需求,此次改造需要升级更换至性能更高的设备。1.4.3 网点改造需求 随着网点OA系统的逐渐应用,以及广域网链路MSTP线路的大量应用,网点设备需要改造为转发性能更为优异的交换机
11、设备。为了避免OA突发的数据流量对业务流的影响,同时考虑到减少OA系统对业务系统的安全影响,在网点出口处完成业务和OA数据的分流。第2章 总体设计2.1 设计原则基于某省农行各市分行目前网络现状和未来业务发展的要求,在网络扩容设计构建中,应始终坚持以下原则: 统一性农行网络架构的构建、网络规划和网络管理都建立在“一个整体”的基础之上。整体网络的设计和建设都是基于对农行的应用、数据流和用户访问的全面理解。 标准性网络规范遵循业界公认的标准制度一个高兼容性网络架构,确保设备、技术的互通和互操作性,方便快速部署新的产品和技术,以适应业务的快速增长。 安全性网络安全同时考虑生产系统和办公系统数据的完整
12、和安全。网络架构需要具有支持整套安全体系实施的能力,以确保用户、合作伙伴和员工生产、办公的安全。 可靠性网络架构必须能够达到/超过业务系统对服务级别的要求。通过多层次的冗余连接考虑,以及设备自身的冗余支持使得整个架构在任意部分都能够满足业务系统不间断的连接需求。 可扩展性网络架构在功能、容量、覆盖能力等各方面具有易扩展能力,以适应快速的业务发展对基础架构的要求。 易管理性网络架构采用分层模块化设计,同时配合整体网络/系统管理,优化网络/系统管理和支持维护。2.2 市行局域网改造方案2.2.1网络改造后市级分行网络结构由于农行市级分行局域网络规模较大,网络应用复杂。所以建议采用主干千兆具备第三层
13、交换的网络体系结构。市级分行核心改造后的网络结构如下图所示: 核心层负责整个网络的数据交换,同时也是整网(LAN)的路由交换中心,全网绝大部分第三层的转发操作都通过核心节点集中进行,为保证核心节点的高可用性,核心节点推荐采用双机备份方式。故网络核心层配置两台高性能核心交换机H3C S9512,以满足网络数据的快速转发需要。在网络结构上,双核心交换机形成双星型拓扑结构,楼层接入交换机、服务器通过双链路分别连接至核心机房的两台核心交换机,实现冗余链路,甚至实现链路上流量的负载均衡且互为备份,若其中一条线路出现故障,则备份线路自动启动,不会影响网络的运行,还可提高整个核心网络的性能。各种应用服务器系
14、统、网管系统可通过S9512提供的10/100/1000M业务板直接接入。为了充分保障核心交换平台的高可靠特性,S9512还支持双处理引擎以及冗余电源配置,规格指标达到电信级要求。市分行配置多台S9505作为汇聚设备,将市区支行、网点、区县支行、汇聚集中,同一组S9505上运行VRRP(虚拟路由冗余协议)协议,将业务和OA在市行局域网内分流,其中一台S9505作为业务的主交换机的同时备份OA,另一台S9505作为OA的主交换机同时作为业务的备份交换机,通过优先级的设置使流量在多条链路上负载分担和备份。两台S9505构成双机冗余结构, 达到无单点故障的目的。这样任意核心节点都可以作为业务的主要汇
15、总中心,核心节点与接入节点之间形成全冗余连接,以增强整体网络的容错和故障隔离能力。原楼层接入交换机均采通过GE线路接到一台核心交换机S8508上;同时,各种服务器群、网管平台均入楼层核心交换机S8508上。2.2.2分行数据中心局域网模型设计网络按照业务应用需求,划分以下主要功能区:l 生产区l 测试区l MIS区l 生产外联区l 广域接入区l 运行管理区各个区以扩展模块的形式分别连接到数据中心高可靠的核心交换网络。每个功能分区都采用接入层、核心层的二层组网方式,直接接入到分行数据中心网络核心。根据不同分区的功能要求,部署不同的控制策略以满足对本区访问的要求。OA用户区作为MIS区的一个子区,
16、通过访问控制连接到MIS区。具体各区连接示意图如下:2.2.3市行改造设备选型核心交换机:H3C S9512(2台)作为整个市分行数据中心局域网的核心层,其处理性能及可靠性也直接影响整个二级行网络的性能及可靠性,因此核心层设计需要重点关注在高可靠、高速交换的设计。汇聚交换机:H3C S9505(11台)建议采用两台高端交换机设备建设,两台设备通过冗余的千兆连接分别连接两台核心交换机,通过千兆连接实现接入层的接入。2.2.4分区分层扩展本方案按照分区分层设计,对于新增分区不会影响到核心结构和其他分区,非常易于实现功能区扩展。设备扩展S9500系列均有设备空余插槽,支持模块扩展,端口扩展,端口类型
17、扩展。S9500系列均采用分布式处理结构,新增的板卡支持分布式处理。2.3 支行、网点网络改造方案2.3.1整体拓扑图此次改造过程中,我们建议采用以下方案。市区、区县所有网点均通过二层链路到市分行汇聚,区县支行通过三层路由和市分行互通;详见具体拓扑。支行、网点直接接入市行汇聚交换机S9505,每一个支行采用两台三层交换机,通过动态路由协议与市分行两台S9505冗余相连,营业网点使用高性能的二层交换机接入市分行,通过VLAN的划分和ACL来隔离业务和OA等不同的应用。 在市汇聚交换机两台S9505上启用VRRP协议,根据业务类型划分VLAN,通过VRRP协议,将生产业务全部汇聚到核心A,将OA业
18、务全部汇聚到核心B, 在接入层实现业务的分流。确保OA与生产业务的安全隔离,通过VRRP的cost值来控制主、备交换机,从而达到广域网线路、核心交换机负载分担、互为主备的功能。详见3.3说明。2.3.2 网点至汇聚的点到点实现方法此次网络改造中,建议网点至汇聚采用点到点的连接方法,这样便于日后的维护和管理。网点采用智能二层交换机,双链路连接至市分行的一组汇聚设备,市分行的汇聚设备启用VRRP协议,将业务和OA进行分流,确保数据在网点出口处就完成自动分离上传。2.3.3 VRRP具体实现方法 图A 业务VRRP组实现如上图,VRRP协议和MSTP协议结合实现应用数据分流和核心交换机负载分担、冗余
19、备份的功能。1、由S9505A和S9505B建立一个业务的VRRP组1,设定其虚拟IP A1、虚拟MAC A2。业务主机的网关均设为A1。2、设定S9505A的优先级cost值为150,S9505B的优先级cost值为100,则S9505A由于优先级较高自动成为业务VRRP组的Master,S9505B成为Backup。 3、在业务VRRP组内设置这样一条命令,当S9505A故障或接入交换机至S9505A的链路故障时,S9505A的优先级减为50,则此时S9505B由于优先级cost值为100而成为新的业务VRRP组的主交换机,从而完成交换机设备、链路的备份切换功能。2.3.4 Auto De
20、tectDLDP(自动侦测)完成跨广域网的链路切换 由于网点至核心经过广域网线路,会经过运营商设备,例如光电转换器,实际中会遇到当运营商侧故障链路断掉后而网点设备端口无法感知,仍然处于UP状态,此时无法实现链路的自动切换,必须手动查找故障进行手动切换,无法满足金融业务的高实时性要求。S3600交换机特有的Auto Detect(自动侦测)和DLDP(设备连接检测协议)功能通过定时发送数据包确认对端设备状态能够发现跨广域网的链路故障,从而将数据实时切换到备份线路上。当主链路恢复正常后,网点交换机S3600可迅速发现,将数据切换到主链路上。S3600-SIISP1光电转换器端口是UP的,光电转换器
21、是好的,到底是运营商链路断了!?我查查查!光电转换器地市网络Auto DetectDLDP技术可以实现跨越广域网的链路检测当链路出现问题,而光电转换器、ISP设备都是正常时仍然可以实现链路的正常检测,完成接入点的链路切换!ISP链路问题,切换!Auto DetectDLDPF0 UPF12.3.5 广域网链路根据各市区支行、区县支行、网点的实际情况,选择合适的广域网带宽。为保证网络可靠性和业务、OA分离的需求,均采用两条广域网链路。考虑到后期监控系统的应用,广域网带宽需具有可扩展性,所以贵行对杭州分行的广域网线路带宽做了适当的调整,当带宽需要升级时无需改变物理线路,只需运营商对线路进行直接升级
22、即可。所以,市区支行选用50M MSTP线路和10M MSTP线路,50M MSTP线路作为OA主线路,10M MSTP作为业务主线路。区县支行根据各自规模的大小不同,可选用20M MSTP线路作为OA主线路,10M MSTP线路作为业务主线路。所有营业网点选用 20M MSTP线路作为OA主线路,10M MSTP线路作为业务主线路。各级单位的业务、OA两条线路均互为备份。2.3.6 ATM的接入ATM机分为网点内和离行式两种,网点内的ATM直接接入所在营业网点的局域网,离行式的ATM可通过专线路接入市分行汇聚设备上。目前杭州市区有4多台离行式ATM,后期会采用MSTP线路统一汇聚至市行的S9
23、505交换机,汇聚时采用一对一的方式,这样一旦发生故障时影响范围较小,减少风险。2.3.7支行、网点改造设备选型市分行汇聚交换机: S9505网点:S360028TP-SI网点设备建议采用智能二层交换机,网点设备双链路上行,考虑到端口备份,应至少具有上行端口。支行:S360052P-EI支行建议采用具有丰富三层路由功能特性的高性能交换机设备。 2.4 合理化建议2.4 市分行数据中心合理化建议1、带外网管如何保证业务的连续运作,尤其是在错误发生时保持服务的连续性和可用性?这是农行各数据中心在网络运行维护、管理,整网设计时关注的一个重要问题。无论是复杂的系统管理应用程序(如专业网络管理系统),还
24、是价格相对低廉的网络管理程序(如简单的网管系统,如SNMPc),都依赖于生产性网络自身的正常运转来进行网络管理与监测,而在网络连接本身运转不正常的情况下,它们就无法有效地发挥作用。工程师们必须带上笔记本电脑,以及相关的检测工具,来到出问题的设备那里,进行问题的诊断,最终恢复网络连接并使其正常运作。这一过程费时费力,成本昂贵,就是通常所说的“本地管理”。远程管理则允许管理员采用与生产性网络相脱离的独立连接途径,通过网络、串口或modem连接,实现对网络资产的访问。远程网络管理可以通过带外管理架构来实现。带外管理架构能够提供安全的替代性途径远程访问、监测和管理生产性基础设施内的众多网络资产。如果网
25、络设备断网,带外管理能够通过独立的网络系统帮助恢复其网络连接,并在最短的时间内使其重新接受管理并恢复生产运作。与传统的带内管理相比,带外管理架构的优点就在于:更有效的网络维护方式、更高的生产力、更低的风险。因此,在本次的运行管理区的设计上,建议采用带内带外网络管理相结合的方式。采用带外网管使用专门的通道传送网管信令,提高了网管的效率和可靠性,同时可利用带内网管系统对全网的网络、设备、链路等全面监控的,提供管理手段的补充,保证了一级分行数据中心的易管理,实现一套高可靠、高安全的网络管理体系构架。 2、DMZ设置数据中心采用各分区设置DMZ子网,使各个分区可以通过DMZ子网进行联系,实现内部互联和
26、对广域的上联下联VLAN分离,网络更加容易控制,实现方式如下图所示:可采用统一的DMZ区域设置方式实现各区间的数据交换,另外,还可考虑在安全要求高的关键业务区访问时增加防火墙设置并部署IPS。2.5 方案特点 此次网络改造方案的特点总结有以下几点:1、支行、网点设备交换路由一体化,减少设备单点故障,维护简单。2、网点全部采用智能二层交换机,协议配置、管理简单,且即将进行的IP地址改造也无须对网点配置进行更改。3、支行采用三层连接市核心,根据支行的实际业务应用需求便于做访问控制等策略。4、市核心增加一台S9508核心交换机,电信级可靠性,高性能、扩展性好,与原有的S9508形成双冗余结构,提升网
27、络核心性能和可靠性,满足农行日益增长的业务需求。5、市汇聚层采用S9505支持双引擎,高密度以太接入,支持万兆,高品质QoS,无条件保障生产业务先行。6、目前杭州市农行网络的主要应用为生产业务与OA,伴随着新的业务系统的上线,以及后期监控数据也将运行于此次改造的新网之上,而监控数据的高数据量、低延时对网络核心设备就提出了更高的要求,所以在此次改造中推荐采用华为3Com的核心交换机S9505,保证网络在未来5年内的先进性。第3章 IP地址规划3.1 IP地址规划原则IP地址的合理规划是网络设计中的重要一环。IP地址规划合理,便于对网络的统一管理,在网络改造、扩展时有高度的灵活性,实施方便。根据网
28、络的拓扑结构作合理的IP地址划分,便于网络中的路由汇聚,可以大大减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高网络的运行效率。IP地址设计原则如下:l 唯一性:一个IP网络中不能有两个主机采用相同的IP地址;l 简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的项目;l 连续性:连续地址在层次结构网络中易于进行路由汇聚,大大减少路由表,提高路由算法的效率;l 可扩展性:地址分配在同一层次上都要留有余量,在网络规模扩展时能保证地址段所需的连续性;l 灵活性:地址分配应具备灵活性,以满足多种路由策略的优化。3.2 IP地址分配策略IP地址的分配应遵循如下策略:l I
29、P地址应由总行统一根据目前网络IP地址的分配统一进行规划;l 地址分配方案应与原有网络地址分配方案统一考虑,原有网络地址分配尽量保持不变;l 地址分配应本着简化路由选择,充分利用地址空间,兼顾今后网络发展,便于业务管理等原则进行;l 地址分配方案需要考虑可变长子网掩码技术;l 充分考虑未来在若干节点的系统可扩充性;l IP地址分配能够反映层次化网络的拓扑结构;l 尽量节省IP地址空间;l 有利于路由协议的配置,地址归纳和自治域的设定;l 方便网络管理;l 在各个层次都预留地址以适应不同层次的扩容;结合中国某银行全国网络IP地址规范,对IP地址的规划有如下具体策略要求:1) IP地址分配应尽量符
30、合RFC1918的标准;2) 各一级分行的IP地址分配方案,必须遵守中国某银行全国网络IP地址规范;3) 各地址空间中,服务器和终端从低到高分配,网关从高到低分配。4) 网络设备互连和网络设备的Loopback管理地址采用单独的地址段: 网络设备互连地址 考虑临时加入网络监控工具的可能性,使用29位掩码,地址从低到高分配; 同类设备互连,编号小的设备取奇地址,编号大的设备取偶地址; 不同层次的设备互连,靠近网络核心的设备取奇地址,远离网络核心的设备取偶地址。 网络设备的Loopback管理地址: 使用32位掩码,地址从高到低分配。根据上述IP地址规划原则和分配策略,某省农行已经进行了IP地址规
31、划。此次方案保留现有网络IP地址分配方案。第4章 路由设计4.1 路由设计规程在互联网飞速发展的今天,TCP/IP协议已经成为数据网络互联的主流协议。各种网络上运行的大大小小各种型号路由器,承担着控制本世纪或许最重要信息的流量,而这成百上千台路由器间的协同工作,离不开路由协议。因此在大型网络的规划构建中,选择适当的路由协议是非常重要的。目前常用的单播路由协议有多种,如RIP、OSPF、IS-IS、BGP,以及Cisco私有的IGRP/EIGRP协议等。不同的路由协议有各自的特点,分别适用于不同的条件之下。互连是网络构建最基础和最本质的要求,选择适当的路由协议需要以此为目标,并综合考虑以下因素:
32、1) 路由协议的开放性:开放性的路由协议保证了不同厂商都能对本路由协议进行支持,这不仅保证了目前网络的互通性,而且保证了将来网络发展的扩充能力和用户构建网络时的设备选择空间,这点在很多情况下是需要重点考虑的。2) 网络的拓扑结构:网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算,对复杂网络的适应能力较弱。对于比较复杂的网络,需要使用处理能力更强的协议,如OSPF、EIGRP等。3) 网络节点数量:不同的协议对于网络规模的支持能力有所不同,需要按需求适当选择,有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。建行全省网络节点较多,路由信息也非常
33、多,而且网络状况会千变万化,将导致路由刷新相对频繁,所以对路由协议的性能提出很高的要求。如能支持的节点数、路由选径是否最佳、路由算法必须具有快速收敛性、灵活性等。4) 网络间的互通及关联要求:通过划分成相对独立管理的网络区域,可以减少网络间的相关性,有利于网络的管理和扩展。可通过划分区域等形式,路由协议要能支持减少网络间的相关性。必要时还要考虑路由信息安全因素和对路由交换的限制策略管理。5) 管理和安全上的要求:通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要,例如对路由的传播和选用提出一些人为的要求,就需要路由协议对策略的支持。根据以上原
34、则,现在各种大型网络构建中,为节省投资、保证网络的持续扩展性,都在使用开放、标准而又健壮的协议。如整个金融系统网络都在由IBM专有的SNA体系向开放标准的TCP/IP体系过渡,由于竞争的作用,这将会大大降低银行网络的构建及维护费用。本次网络改造涉及分行二级骨干网,省中心局域网,地市中心局域网的改造。要求所采用的协议和技术完全符合国际或国家通用的开放标准,并在网络平台,网络架构和设备上要求适应并支持未来应用系统的变化和网络需求的变化,具有易扩展能力。因此本项目网络改造构建中,全网使用开放标准的OSPF+静态(或RIP)路由协议+BGP(和MPLS VPN相关),将使得网络在以后的扩展中具有更多的
35、选择空间,不会受到使用某一封闭标准而带来的扩展限制。OSPF协议特点总的来说,由于OSPF发展成熟,厂商支持广泛,已经成为世界上使用最广泛的IGP,尤其在企业级网络,也是IETF推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主要优点,OSPF都能适应。l OSPF是真正的loop-free(无路由自环)路由协议:源自其采用算法本身(链路状态及最短路径树算法)的优点;l OSPF收敛速度快:能够在最短的时间内将路由变化传递到整个自治系统并完成路由重新计算;l 支持等价路由负载分担,能更有效地利用链路资源;l 提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由
36、信息的摘要,大大减少了整个自治系统所需传递的路由信息数量,减轻了对路由器的性能需求和管理难度,也使得路由信息不会随网络规模的扩大而急剧膨胀;l 协议设计精巧,将协议自身的报文开销控制到最小。主要采用的技术如下:n 用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文,非常短小。包含路由信息的报文时是触发更新的机制(有路由变化时才会发送)。但为了增强协议的健壮性,每1800秒全部更新一次。n 在广播网络中,使用组播地址(而非广播)发送报文,减少对其它不运行OSPF的网络 设备的干扰。n 在各类可以多址访问的网络中(广播,NBMA),通过选举DR,使同网段的路由器之间的路由交换(同步
37、)次数由 N*N次减少为N次。n 提出STUB区域的概念,使得STUB区域内不再传播引入的AS外部路由,并可以控制其它区域LSA的传入。n 在ABR(区域边界路由器)上支持路由聚合,进一步减少区域间的路由信息传递。n 在点到点接口类型中,通过配置按需拨号属性(OSPF over On Demand Circuits),使得OSPF不再定时发送hello报文及定期更新路由信息,保证低速链路上能节约网络带宽的消耗。只在网络拓扑真正变化时才发送更新信息。n 通过严格划分路由的级别(共分四级),提供更可信的路由选择。n 良好的安全性,OSPF支持基于接口的明文及MD5协议报文验证,可以很好地防止恶意攻
38、击和错误的配置;l OSPF适应各种规模的网络,经过适当的规划可以支持多达数千台。l 具备链路状态路由协议能感知全局网络拓扑相关信息的特点,可以扩展支持流量工程,最大程度地提高骨干网络资源的使用效率。基于以上的考虑,推荐在本项目中全网IGP路由协议使用OSPF路由协议。4.2 IGP路由协议设计某银行某省分行二级骨干网全网运行OSPF路由协议,拓扑如下:从上图中我们可以看出,从省分行到地市分行的拓扑结构为星型结构,整个数据网络采用分层结构,设置核心层、骨干汇聚层和接入层;在某省分行数据网络中设置核心层节点2个(省分行);设置骨干汇聚层节点10个(除宁波分行外的其它10个地市分行);在全省网络中
39、,设置主干域1个,OSPF子域10个,即省行核心节点与各地市分行骨干节点之间组成主干域;某省每个地区(除宁波分行外)设置为一个OSPF子域,该地市所有区县支行设备都归入一个子域或配置为NSSA区域直接和地市行的子域相连。各地市分行OSPF子域内可采用部分网状或星型连接。在骨干汇聚层(地市核心路由设备),各地市分行只能与省分行互通,各地市行之间不能互通,只能通过省分行核心设备转发后互通。生产业务拓扑图:OA业务拓扑图:生产和OA网络拓扑结构基本相同,当生产或OA设备、线路异常的情况下,为保证各种业务的快速恢复,该网络结构设计完全满足现行需求,从总的拓扑图中虽然显示生产和OA在同一网络结构中,但为
40、了有效保证生产和OA业务在路径选择上有所区别,可以在路由器上配置同一条线路上不同网段网cost值偏移方法或通过策略路由方法,来实现两条线路分别跑不同的业务,一旦其中一条线路上出现问题路由动态快速切换,即两种业务在两条线路上互为备份;路由表项调整:在整个网络中,为了减少路由表条目,我们可以在骨干区域的ABR(市分行核心路由设备)上,对路由进行相应的聚合,如下图:由于省分行和地市分行的网段均为独立网段,所以我们在市分行的核心路由设备上进行相应网段的路由聚合。该方法可大大减少设备上OSPF路由条目数,也便于网络维护。市分行与Internet连接拓扑:在市分行的网络结构中,除了生产、OA业务外,由于工
41、作方面需要,每个分行的部分PC都需要和Internet互通,为此,在全省农行的网络结构中,专门配备了一套设备用于和Internet互连,由于是金融行业,出于安全方面考虑,所有分行共用一个Internet出口,该出口设在省分行;由于和Internet连接为单独组网,线路安全级别低于生产、OA网络要求,所以地市分行和省分行的互连线路选用VPN线路,既安全又节约成本。我们将省中心一台设备和地市分行一台设备均作为PE设备,市分行负责接入Inertnet的交换机作为CE设备。分行内部结构:在市分行内部网络结构分为核心路由交换层、核心汇聚层、内网接入层;核心路由交换层:负责完成市分行省分行、市分行服务器网
42、点设备、市分行中间业务之间的数据交换;核心汇聚层:负责完成网点交换机到市分行的接入和汇聚;内网接入层:负责完成内网生产、OA、Internet PC 的接入。4.3 全省路由规划知识要点OSPF路由协议规划OSPF router id规划每台设备的router id设置为与该设备的loopback地址,以此保证路由条目的稳定性。OSPF子区(AREA)规划OSPF里最重要的概念之一是存在层次和区域。OSPF允许把连续网络汇集起来,以进行分组。这样的组,和路由器一起维护到内含网络的接口,称为区域(area) 。每个区域独立运行基本链路状态路由算法的一个副本。OSPF将一个自治域再划分为区,相应地
43、即有两种类型的路由选择方式:当源和目的地在同一区时,采用区内路由选择;当源和目的地在不同区时,则采用区间路由选择。这就大大减少了网络开销,并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作,这也给网络的管理、维护带来方便。第5章 QOS策略设计5.1 QoS需求简述完成数据大集中后,许多业务和信息管理系统系统均以数据中心为后台来交换数据,同时大量的新业务产生对广域网络提出了更多传输质量要求,即对带宽、延迟、延迟抖动等传输性能有着特殊的需求。比如电视会议、ELearning,CallCenter需要高带宽、低延迟和低延迟抖动的保证。联机实时业务、Telnet
44、等关键任务虽然不一定要求高带宽,但非常注重低延迟,在拥塞发生时要求优先获得处理。这些新业务的不断涌现对IP网络的服务能力提出了更高的要求,各个业务应用已不再满足于能够简单地将报文送达目的地,而是还希望在投递过程中得到更好的服务,诸如支持为不同业务提供专用带宽、减少报文的丢失率、管理和避免网络拥塞、调控网络的流量、设置报文的优先级。所有这些,都要求网络应当具备更为完善的服务能力。5.2 拥塞的产生、影响和对策传统网络所面临的服务质量问题,主要是由网络拥塞引起的。所谓拥塞,是指由于供给资源的相对不足而造成服务速率下降(引入了额外的延迟)的一种现象。拥塞的产生在因特网分组交换的复杂环境下,拥塞极为常
45、见。以下图中的两种情况为例:流量拥塞示意图分组流从高速链路进入路由器,由低速链路转发出去。分组流从相同速率的多个接口同时进入路由器,由一个相同速率的接口转发出去。如果流量以线速到达,那么就会遭遇资源的瓶颈而导致拥塞。不仅仅是链路带宽的瓶颈会导致拥塞,任何用以正常转发处理的资源的不足,如可分配的处理器时间、缓冲区、内存资源的不足,都会造成拥塞。此外,在某个时间内对所到达的流量控制不力,使之超出了可分配的网络资源,也是引发网络拥塞的一个因素。拥塞的影响拥塞有可能会引发一系列的负面影响:拥塞增加了报文传输的延迟和延迟抖动。过高的延迟会引起报文重传。拥塞使网络的有效吞吐率降低,造成网络资源的损害。拥塞
46、加剧会耗费大量的网络资源(特别是存储资源),不合理的资源分配甚至可能导致系统陷入资源死锁而崩溃。可见,拥塞使流量不能及时获得资源,是造成服务性能下降的源头,然而在分组交换以及多用户业务并存的复杂环境下,拥塞又是常见的,因此必须慎重加以对待。对策增加网络带宽是解决资源不足的一个直接途径,然而它并不能解决所有导致网络拥塞的问题。解决网络拥塞问题的一个更有效的办法是增加网络层在流量控制和资源分配上的功能,为有不同服务需求的业务提供有区别的服务,正确地分配和使用资源。在进行资源分配和流量控制的过程中,尽可能地控制好那些可能引发网络拥塞的直接或间接因素,减少拥塞发生的概率;并在拥塞发生时,依据业务的性质
47、及其需求特性权衡资源的分配,将拥塞对QoS的影响减到最小。资源的相对不足是引发拥塞的根本原因。这些资源包括链路带宽,可分配的处理器时间、缓冲区、内存等等。考虑某个具体的流,如果在某个时间内对所到达的流量控制不力,使之超出了可分配的网络资源,那么将引发网络拥塞。5.2.1引入流分类、流量监管等流量管理技术流分类:依据一定的匹配规则识别出感兴趣的对象。流分类是有区别地实施服务的前提。流量监管:典型作用是对进入路由器的特定流量的规格进行监管。当流量超出规格时,可以采取限制或惩罚措施,以保护运营商的商业利益和网络资源不受损害。拥塞管理:网络拥塞时必须采取的解决资源竞争的措施。通常是将报文放入队列中缓存,并采取某种调度算法
