园区网出口常见应用模型.docx
《园区网出口常见应用模型.docx》由会员分享,可在线阅读,更多相关《园区网出口常见应用模型.docx(20页珍藏版)》请在冰豆网上搜索。
园区网出口常见应用模型
第7章园区网出口常见应用模型
园区网出口的设计与部署是园区网建设很关键的一个环节,也是经常产生网络拥塞和瓶颈的一个环节,为了能够更好的完成园区网出口的应用,本章就对出口的常见应用模型进行相关的介绍和阐述。
7.1园区网出口的功能需求
在介绍常见的应用模型前,我们首先对园区网出口的常见功能需求进行简单的介绍,目的是能够更好的分析我们对出口设备、线路的合理选择和功能部署,下面介绍的内容是园区网出口常见的功能需求。
7.1.1INTERNET访问
Internet为人们进行科学研究、商业活动、社会生活等方面的信息共享提供了重要手段,Internet访问是园区网出口最基本的需求,除了满足用户基本的WEB、Email、FTP、软件下载等常规的Internet访问需求外,还有在线电影、音视频聊天、BT下载等对网络实时性以及带宽需求比较大的Internet访问需求,基本的网络出口模型见图7-1。
图7-1
7.1.2CERNET访问
中国教育和科研计算机网(CERNET)是我国教育信息化的重要基础设施、国家信息化基础设施的重要组成部分和建立学习型社会的重要平台,支撑了许多教育信息化重大应用。
CERNET接入用户主要是高等学校和教育主管部门,CERNET提供面向教育的专门应用,包括许多国家层面教育信息化的重大应用,例如现代远程教育、网上招生远程录取、数字图书馆、中国教育科研网格、数字博物馆、国外大型期刊数据库、教育部的系列网站等。
CERNET已经成为世界上最大的学术性计算机网络,拥有光纤干线30000多公里,DWDM高速传输网20000多公里;覆盖全国31个省(自治区、直辖市)的200多座城市;主干网传输速率达到2.5-10Gbps,国际出口带宽超过3G,与国内其他互联网连接带宽超过10G;联网单位1500多个,用户1800多万。
我国高等院校的校园网络基本上都同时有Internet出口和CERNET出口,以满足学校用户的各种网络访问需求,校园网络出口模型见图7-2。
图7-2
7.1.3对外服务器公布
园区网出口不仅仅要满足内网用户访问Internet或者CERNET的需求,同时也要满足公网用户能够远程访问园区网内部的服务器,以达到对外提供信息服务的需求,如WEB、Email、FTP等应用服务。
在实现对外服务器公布的同时,我们还要考虑对外提供服务的服务器安全,以防止外部网络的攻击,有关园区网出口安全的话题不在本课题中进行重点讨论,我们这里只是对出口的应用模型进行阐述,对外服务器公布的模型见图7-3。
图7-3
7.1.4多出口策略应用
在园区网出口的建设和部署中,很多情况出口线路不仅仅有一条,而是有两个甚至多个出口,以满足不同网络资源的访问、基于速度的带宽考虑和线路的冗余备份等,下面是两种常见的园区网多出口应用模型。
1、两条Internet线路
园区网出口部署两条Internet线路时,大多数情况是选择两个不同的接入运营商,例如图7-4,其目的主要有以下几个方面:
●访问不同的网络资源走不同的运营商,从而加快资源的访问速度;比如访问网通的服务器和信息资源时走网通的线路,其他的资源访问走电信的线路;
●当上网流量比较大时,如果出口只有一条线路则很有能产生出口访问的拥塞和瓶颈,因此两条线路会分担上网流量,加快资源的访问速度;
●当其中一条线路失效时(失效的原因很多),另外一条线路能够立刻接收所有的出口流量,从而实现线路的自动冗余备份。
2、一条Internet线路、一条CERNET线路
Internet线路通常是包月形式,无论学校使用的流量有多大,每月固定收取一定费用,但是由于通过Internet线路访问CERNET的资源速度比较慢,而且教育网中有些资源是对Internet屏蔽的,通过Internet线路完全无法访问,所以如果学校只使用Internet出口,则会造成无法正常利用教育网资源的情况。
相反教育网出口是按照流量收费的,如果完全通过教育网来做出口,则会因为流量巨大造成网络资费过高。
基于速度、资源利用情况和费用的考虑,目前高校网络普遍采用两个出口的方式,其中一个出口为CERNET国家教育网出口,另一个为Internet出口,如图7-5,并且采用如下的方式确定访问方式,访问CERNET资源时(CERNET提供的地址列表中的地址)通过CERNET出口访问,访问CERNET地址列表以外的地址时,走电信出口。
图7-4
图7-5
7.1.5负载均衡和热备份
随着网络技术和信息化建设的发展,人们将越来越多的关键业务主机和数据放到了信息网络中,借以提高业务效率,实现自动化的管理。
因此网络出口设备的性能、功能、安全性等得到人们的集中关注,网络出口设备安装在内部网络和不可信任网络的临界点,是内外网络所有往来流量集中地,所有的对外应用和服务都要经过出口设备,一旦临界点发生硬件和线路故障,将使内外网络的链接中断,对外的关键业务将无法进行,甚至影响整个企业的运作。
为了保障网络365x24x7的运转,关键业务的连续服务,除考虑高可用性的关键业务主机外,作为信息流量集中地的网络出口设备和运营商线路,我们应当考虑采用高可用性的解决方案,即网络出口的负载均衡和热备份(设备备份和线路备份),图7-6和图7-7是两个简单的网络出口模型;
图7-6
图7-7
7.1.6系统状态监控
网络出口设备的系统状态监控指的是,管理员能够实时地监控出口设备的配置信息和运行状态信息,且只有被授权有控制和查询设备权限的用户才能监控设备状态。
管理员可以实时监视设备的各种状态,如各种服务的运行状态、规则配置情况、启停各种服务的运行情况、以及对设备进行重启或关闭操作等,能够及时发现问题。
7.1.7日志记录和分析
系统日志是对网络出口设备的状态以及通过设备的数据包进行记录,供管理员进行分析并获得所需的信息,对管理员事后的数据统计分析有比较大的作用。
7.2园区网出口的设备需求
前面一个章节介绍的是园区网出口常见的功能需求,其中Internet访问、CERNET访问、对外服务器公布、多出口策略应用、负载均衡和热备份属于应用功能需求,系统状态监控、日志记录和分析属于管理功能需求。
目前,园区网出口设备的选择主要有三种方式:
路由器、防火墙以及代理服务器。
下面就对这三种方式的出口设备需求进行简单的介绍,以方便我们更好的进行网络出口的设计和规划。
7.2.1路由器
用路由器作为园区网的出口设备是一种比较典型的应用方式,它能够很好的满足网络出口设备的各种应用功能需求,但是这里有几个关键点需要特别强调:
●由于园区网出口是一个信息流量集中地,对出口的设备性能有足够的要求,因此在选择路由器时,必须要选择性能足够强的高端路由器;
●虽说路由器在出口应用功能需求上能够很好的满足,但是路由器的管理功能需求比较弱,尤其是人机界面,需要管理员有足够的设备操作能力;
●路由器相对于其他的安全产品,在网络出口的安全防护方面不是强项,因此要是考虑网络出口的安全防护则需要与其他的安全产品来协同部署。
7.2.2防火墙
用防火墙作为园区网的出口设备也是一种比较普及的应用方式,它能够很好的满足网络出口设备的各种管理功能需求,并且能够完整地实现出口设备的各种应用功能需求,但是同样有几个关键点需要特别说明:
●防火墙作为园区网的出口设备,对它的性能要求有比较大的考验,尤其是在数据流量大且复杂功能启用的比较多时,防火墙的性能会下降的比较明显;
●网络出口单独采用防火墙,其目的除了满足出口的应用需求外,更重要的一点是对安全方面的考虑,对各种网络攻击行为的防护;
●基于上面两点的阐述,防火墙在功能和性能上得到了双方面压力,因此锐捷网络建议在园区网出口应该采用“高端路由器+防火墙”的整体应用方案,合理的把功能和性能压力有效的分担在两个设备上,各负其职。
7.2.3代理服务器(不推荐)
代理服务器原理上就是在PC或者服务器上安装双网卡,其中一个网卡连内部网络,另外一个网卡连外部出口线路上,在这台PC或者服务器上安装代理软件。
这种方式价格相对低廉,同时可以通过采用高主频的CPU来提高网络性能,但是在实际应用和管理上存在一些必须要面对的问题。
●代理服务器的配置、维护和管理难度大,对管理人员的能力要求较高;
●代理服务器采用软件模式,长时间运行容易死机,因此需要定期重新启动一次服务器。
●代理服务器常常采用Linux系统,当遇到机房调整、服务器维护或者碰到代理服务器死机的情况,服务器重新启动需要等待5-10分钟;
●如果内网中的很多用户启用了BT或者在线视频等占用带宽大的应用时,就会影响其他人的正常上网,代理服务器基本无法实现对内部IP地址限速的功能,即给每台PC进行最大带宽的限制;
●代理服务器对DDOS攻击的防范有限,很容易由于恶意攻击而进入瘫痪状态,防攻击能力差是代理服务器的一大缺陷;
●代理服务器不支持多出口线路的负载均衡和自动备份功能,因此无法充分利用多出口的带宽和信息资源。
综上所述,锐捷网络不推荐用户采用代理服务器方式进行园区网出口的部署,有条件的用户应该采用“高端路由器+防火墙”的整体应用方案。
7.3园区网出口的线路需求
在介绍完前面有关园区网出口的功能需求和设备需求后,我们来看一看在出口部署时的线路需求,下面主要从Internet运营商线路和CERNET线路两个方面进行阐述,目的是让大家了解一下出口线路的选择范围和合理使用。
7.3.1Internet运营商线路
中国国内有六大基础电信运营商,即中国电信、中国网通、中国移动、中国联通、中国卫通和中国铁通,他们都有Internet接入服务且接入方式非常丰富,其中适合园区网Internet接入的方式主要为光纤接入,这其中主要是由中国电信、中国网通和中国铁通来提供Internet的光纤接入服务,我们在选择Internet运营商线路时主要是从这三家运营商来进行合理的选择。
7.3.2CERNET线路
中国教育和科研计算机网CERNET是由国家投资建设,教育部负责管理,清华大学等高等学校承担建设和运行的全国性学术计算机互联网络,是全国最大的公益性计算机互联网络,1996年被国务院确认为全国四大骨干网之一。
CERNET目前有10个地区中心,38个省节点,全国中心设在清华大学。
CERNET目前联网大学、教育机构、科研单位超过1500个,用户超过1500万人,是我国教育信息化的基础平台。
为进一步加强网络管理、提高服务质量、拓展服务领域,2000年8月,教育部党组批准CERNET转制方案,即保持CERNET原有的科研体制不变,继续承担国家建设CERNET的科研项目,同时组建赛尔网络有限公司,负责CERNET主干网的运行与维护,并发展网络增值业务。
因此,我国高等院校的校园网络出口基本上都要有CERNET出口,以满足学校用户的各种网络访问需求。
7.4园区网出口的常见应用模型
有了前面的基础知识,本小节我们正式开始介绍园区网出口的常见应用模型,为了更好的让大家掌握这方面的内容,我们从部署的设备及线路角度展开应用模型的介绍,并且分别从单设备单出口、单设备多出口、多设备单出口、多设备多出口四个应用模型进行介绍。
7.4.1单设备单出口应用模型
单设备单出口的应用模型图见7-1,此模型是最简单的应用模型,无论是采用路由器还是防火墙,也无论是Internet出口还是CERNET出口,它的出口功能部署和实现相对起来都很简单,只需要在路由器或者防火墙上启用下面的主要功能即可:
●启用到内网的静态路由和到外网的默认路由功能;
●启用NAT功能,一则启用PAT功能使内网用户可以访问外网,二则启用静态NAT或者NAT端口映射功能实现对外服务器公布;
●如果采用防火墙,就可以部署DMZ区实现对外服务器公布;
●启用路由器ACL或者防火墙过滤规则实现对关键数据的安全访问控制。
7.4.2单设备多出口应用模型
单设备多出口的应用模型图见7-8和图7-9,此模型是比较典型的应用模型,无论是采用路由器还是防火墙,它的出口功能部署和实现都比较类似,但具体实施起来还是需要一定的技巧的。
图7-8图7-9
1、对于模型图7-8,我们看看在路由器或者防火墙上部署两条Internet线路的具体实现方法,常用的实现方法有三种:
●方法一:
基于目的地址的策略路由。
根据电信或者网通提供的地址列表进行数据分流,即访问电信资源时(电信提供的地址列表中的地址)通过电信出口访问,访问电信地址列表以外的地址时,走网通出口;或者相反,访问网通资源时(网通提供的地址列表中的地址)通过网通出口访问,访问网通地址列表以外的地址时,走电信出口;此方法通过静态路由、默认路由以及浮动的默认路由配置,以及相应的NAT配套配置,即可实现电信和网通线路的分流转发和自动备份功能。
●方法二:
基于源地址的策略路由。
根据内网用户的分布情况进行数据分流,比如IP地址为奇数的优先选取电信线路,为偶数的优先选取网通线路;或者办公楼、图书馆、实验楼等优先选取电信线路,宿舍楼、家属区优先选取网通线路;此方法通过相应的NAT配套配置,即可实现电信和网通线路的分流转发和自动备份功能。
●方法三:
基于线路带宽的数据自动分流。
该负载均衡策略是基于带宽的,一般有两种方案:
按报文的(目的地址+源地址)和按报文的源地址;基于带宽是根据外网口上配置的bandwidth,来计算多个外网口之间的带宽比,然后再根据每次经过的IP报文(目的地址+源地域)或源地址,按这个比例分配到多个外网口上。
此方法通过相应的NAT配套配置,即可实现电信和网通线路基于线路带宽的数据自动分流和自动备份功能。
2、对于模型图7-9,我们看看在路由器或者防火墙上部署一条Internet线路和一条CERNET线路的具体实现方法:
●实际上也是采用基于目的地址的策略路由。
根据CERNET提供的地址列表进行数据分流,即访问CERNET资源时(CERNET提供的地址列表中的地址)通过CERNET出口访问,访问CERNET地址列表以外的地址时,走Internet出口;此方法通过相应的NAT配套配置,即可实现CERNET和Internet线路的分流转发和自动备份功能;
●如果内网部分用户要求所有访问均通过CERNET出口或者Internet出口访问,那在路由器或者防火墙上来设定源地址路由,限定这些数据流强制通过CERNET出口或者Internet出口出去;
7.4.3多设备单出口应用模型
多设备单出口的应用模型见图7-10和图7-11,这两种模型的具体实施也是需要一定技巧的,下面就结合这两种模型分别进行阐述。
图7-10图7-11
1、对于模型图7-10,我们可以根据实际的应用情况灵活的掌握具体的实现方法,例如我们可以根据现场情况做到下面的三个变化:
●变化一:
防火墙工作在有DMZ区的路由模式、路由器承担NAT功能。
这也是我们推荐采用的实现方式,目的是合理的把网络出口设备的功能和性能压力分担在两个设备上,各负其职。
这样路由器负责内网用户的PAT和DMZ区服务器的静态NAT或者NAT端口映射;防火墙负责各种过滤规则的部署,尤其是对应用服务器群的严格控制,而其性能可以很好的承载该种应用。
●变化二:
防火墙工作在有DMZ区的路由模式并承担NAT功能,路由器只是负责路由功能。
这种变化的存在,主要是考虑因素是路由器的性能问题,可以用户采购的是中低端的路由器,不具备大流量下的NAT承载能力。
这里要求防火墙的性能要足够的强,否则启用多种复杂功能的防火墙很难能承担这么大的工作压力;
●变化三:
如果防火墙上没有部署DMZ区,则防火墙可以工作在透明桥模式、路由器承担NAT功能。
这种部署方式的优点在于防火墙重点任务是完成过滤规则的安全访问控制,而将其工作在透明桥模式,使得网络结构更清晰明了,尤其是在网络测试和性能分析是可以临时把防火墙撤掉而不用修改网络的逻辑结构,也不需要修改其他网络设备的配置,方便管理员的维护管理。
2、对于模型图7-11,我们需要掌握“路由器VRRP技术”或者“防火墙HA技术”,从而实现物理硬件设备的负载均衡和自动备份,下面就针对这两种技术做个简单的介绍,有关具体的内容请见《大型园区网冗余部署》章节或者其他资料。
●双路由器:
如果模型图7-11采用的是两台路由器,那么我们需要在路由器上部署和实现VRRP协议,将两台路由器虚拟成一台路由器,并完成网络出口设备的相关功能,从而实现物理硬件设备的负载均衡和自动备份的功能;
●双防火墙:
如果模型图7-11采用的是两台防火墙,那么我们需要在防火墙上部署和实现HA(高可用性),目前一般的防火墙都是采用Active-Standby机制来实现HA结构,如需要做到防火墙HA结构的负载均衡,则需要在防火墙上下端安装L4Switch,通过L4Switch的负载均衡功能实现Active-Active模式的HA结构。
可喜的是锐捷网络防火墙支持Active-Active模式的HA结构,从而节省了在防火墙上下端部署L4Switch来实现防火墙HA结构的负载均衡功能,有关更具体的HA内容请见相关的资料。
✧HAActive-Standby模式:
两台防火墙总是只有一个在转发数据,另一个则一直在备用,只有当正常运转的防火墙出现问题的时候,备用防火墙才接手转发数据;
✧HAActive–Active模式:
两台(或多台)防火墙可同时实现数据处理和转发功能,提高了数据包处理的效率与吞吐量,也平衡了网络负载,优化了网络性能。
7.4.4多设备多出口应用模型
经过上面三种应用模型的介绍,多设备多出口的应用模型再介绍起来就不会很复杂了,下面我们根据实际的应用情况对该模型做以下三种情况的介绍:
1、在前面模型图7-10的基础上,我们可以将其扩展到出口为两条Internet线路或者部署一条Internet线路和一条CERNET线路,这样多设备多出口应用模型完全类似于单设备多出口应用模型,这里不再进行过多的介绍。
2、有这样一种情况,园区网中有三个出口,一条电信线路、一条网通线路和一条CERNET线路,对于这样的多出口应用可以借鉴图7-6的模型用单台路由器或者单台防火墙来实现,当然还有一种比较好的办法可以实现三出口需求,见图7-12,图中无论是两台防火墙还是两台路由器,它的实现原理是一致的,下面我们来看看这种模型的功能是如何来实现的。
●首先需要在核心交换机上配置基于目的地址的策略路由,即根据CERNET提供的地址列表进行数据分流,访问CERNET资源时下一跳到左边的防火墙(静态路由),访问CERNET地址列表以外的地址时,下一跳到右边的防火墙(默认路由),同时在核心交换机上配置好浮动的默认路由下一跳到左边的防火墙,从而实现CERNET和双Internet线路的分流和适当备份功能;
●分别在两台防火墙上做好各自的出口配置,实现CERNET对外服务器的发布,以及电信、网通线路的策略路由和自动备份功能。
图7-12
3、如前面图7-7所示的模型,要想实现网络出口设备以及线路的双重负载均衡与自动备份,是非常复杂的,其中涉及到很多的技术环节,如您希望了解该种模型下的设计和部署,请致电锐捷网络技术支持中心,寻求更深入的技术支持。
7.5园区网与出口设备的整合应用案例
通过前面几部分内容的介绍,大家已经对园区网出口常见的应用模型有了全面的了解,接下来我们将针对典型的园区网模型结合出口设备的整合应用案例进行介绍。
7.5.1双核心园区网整合应用案例
双核心是一种技术比较成熟且应用比较普遍的园区网建设模型,在这种网络模型下,为了能够更好的满足出口建设的功能需求,我们一般需要整合核心层与出口设备的设计和部署,见图7-13。
图7-13
图7-13只是物理连接的设计,我们还需要做到如下的逻辑规划和部署,才能够实现整个园区网及出口的各项功能需求,如负载均衡和热备份、多出口策略路由等。
●出口路由器需要启用动态路由协议,如OSPF协议,同时将其划分到园区网的骨干区域Area0内,即出口设备也纳入到整个园区网的路由规划设计之内,目的是为了实现整网的负载均衡和热备份打好基础;
●出口路由器需要向Area0内注入一条默认路由(在OSPF协议的配置中用命令default-informationoriginatealways),目的是让核心交换机自动学习到默认路由,并且当路由器和核心交换机之间的硬件模块或者线路出现问题时,可以自动实现默认路由的动态调整;
●双核心园区网必须合理的规划和设计好OSPF路由协议,以保证整个园区网内部的路由合理性,最终实现内部网络以及出口设备的整体负载均衡和热备份,有关双核心园区网的OSPF规划与设计,请参见《园区网OSPF设计与部署》和《大型园区网冗余部署》这两个章节,具体的内容这里不再做过多的介绍。
●在图7-13的网络拓扑下,我们也可以考虑网络出口的安全性,在合理的位置部署防火墙或其他的安全产品,实现双核心园区网的综合应用。
7.5.2多核心环行园区网整合应用案例
多核心骨干环网是一种规模比较大的园区骨干网建设模型,一般部署这样的网络模型其整网的信息点和数据流量都会比较大,并且这种模型非常适合整个网络的扩展和升级,因此在该模型下为了能够更好的满足出口建设的各种功能需求,我们必须要选择性能比较强大的高端路由器和防火墙,例如图7-14。
图7-14
实现模型图7-14的逻辑规划和部署,请参考前面介绍过的“多设备多出口”的应用模型分析,同时需要参见《园区网OSPF设计与部署》和《大型园区网冗余部署》这两个章节,从而部署和实现骨干环网的建设,具体的内容这里也不再做过多的介绍。
7.6园区网出口的常见问题和解决思路
在部署园区网出口的时侯,我们会经常遇到一些共性的问题,那么本节中我们就针对三个典型的共性问题进行讨论,并寻找相应的解决思路和办法。
7.6.1私网公网地址的NAT转换
当园区网中既存在公有地址又存在私有地址时,我们需要注意在网络出口设备上的NAT配置方法,例如图7-15所示,内部网络中存在两类IP地址,一类是CERNET真地址,一类是私有地址;我们的需求是内网用户访问CERNET资源时走CERNET线路,访问非CERNET资源时走网通的线路,我们知道内网的CERNET地址对CERNET线路来说是可路由的,而对网通线路来说是假地址,是不可路由的,因此我们在出口路由器或者防火墙上配置NAT时,需要在网通出端口上对CERNET和私有地址都作NAT,在CERNET出端口上只对私有地址作NAT即可。
图7-15
7.6.2CERNET对外服务器的公网访问
当园区网中有服务器需要对外提供服务时,可能会存在一个访问问题,这个访问问题一般是产生在有两条不同运营商的出口线路时,例如图7-16,下面我们就看一看这是怎样的一个问题?
是如何产生的?
应该如何避免?
1、问题的现象描述。
图7-16是一个很典型的网络出口应用方式,它有网通和CERNET两个出口,其中内网有一台WEB服务器需要从CERNET线路提供访问服务,但是经过通常的配置后,我们发现有这样一个问题,即CERNET网络中的高校用户可以正常访问这台WEB服务器,而Internet中的用户“比如ADSL用户”却无法正常访问该WEB服务器,从而造成了用户应用服务的访问问题。
图7-1
图7-16
2、问题产生的原因分析。
我们现在看一看上述的问题现象是如何产生的,见图7-17。
●当Internet上的用户,例如ADSLPC访问园区网内部的WEB
升级会员 