【51CTO.com原創(chuàng)稿件】建設(shè)背景：近期單位網(wǎng)絡(luò)系統(tǒng)改造，有一個業(yè)務(wù)系統(tǒng)需要接入單位的網(wǎng)絡(luò)，通過單位的網(wǎng)絡(luò)供互聯(lián)網(wǎng)及專網(wǎng)的用戶訪問。此業(yè)務(wù)系統(tǒng)規(guī)模較大，存在自身的網(wǎng)絡(luò)體系及IP地址規(guī)劃體系，且此業(yè)務(wù)系統(tǒng)非常重要，所以對于網(wǎng)絡(luò)故障時的自愈性要求很高。

　　網(wǎng)絡(luò)設(shè)計：

　　由于此業(yè)務(wù)系統(tǒng)存在自己的網(wǎng)絡(luò)體系及IP地址規(guī)劃，所以為了避免業(yè)務(wù)系統(tǒng)內(nèi)部修改太大，需要使用NAT設(shè)備在其出口處對其進(jìn)行NAT地址轉(zhuǎn)換，而且考慮到網(wǎng)絡(luò)的安全性以及對業(yè)務(wù)系統(tǒng)的訪問可控，故決定在業(yè)務(wù)系統(tǒng)出口路由器處增加一道防火墻，再與單位網(wǎng)絡(luò)的核心交換機(jī)相連。單位的核心網(wǎng)絡(luò)存在冗余性架構(gòu)，所以在此業(yè)務(wù)系統(tǒng)接入時，也要求其以雙歸方式接入，初始設(shè)計拓?fù)淙鐖D1所示：

　　圖1 業(yè)務(wù)系統(tǒng)接入初始設(shè)計圖

　　按照圖1中的拓?fù)洌梢钥紤]將此網(wǎng)絡(luò)系統(tǒng)用三層路由器的方式接入，且在出現(xiàn)故障時，通過次優(yōu)路由的方式進(jìn)行路徑切換，以保證業(yè)務(wù)不中斷，但是筆者單位以前的網(wǎng)絡(luò)架構(gòu)都是通過VRRP的方式來連接接入交換機(jī)，對接入交換機(jī)只提供一個IP地址作為網(wǎng)關(guān)，為了保證網(wǎng)絡(luò)架構(gòu)的統(tǒng)一，我們還考慮按照這種方式來組建網(wǎng)絡(luò)。根據(jù)這種網(wǎng)絡(luò)設(shè)計方案，我們也需要將防火墻配置成單活的主備方式，使其對WAN網(wǎng)絡(luò)和LAN網(wǎng)絡(luò)都分別只提供一個IP地址，同樣，業(yè)務(wù)系統(tǒng)出口的主備路由器也需要通過VRRP的方式為上連網(wǎng)絡(luò)只提供一個IP地址。

　　可是，此路由器不支持二層接口，所以必須通過一個二層交換機(jī)轉(zhuǎn)接的方式來進(jìn)行實(shí)現(xiàn)，如圖2所示：

　　圖2 業(yè)務(wù)系統(tǒng)接入設(shè)計圖二

　　但問題在于，筆者單位目前沒有富余的二層交換機(jī)可供使用，而且考慮到圖2的這種設(shè)計方案中，二層交換機(jī)為一個非常大的風(fēng)險點(diǎn)，一旦出現(xiàn)故障，網(wǎng)絡(luò)則失去自愈性。

　　于是，經(jīng)過對網(wǎng)絡(luò)的仔細(xì)分析和思考，筆者認(rèn)為可以通過利用核心交換機(jī)的二層接口功能來實(shí)現(xiàn)此網(wǎng)絡(luò)的設(shè)計方案。如圖3所示，可以在核心交換機(jī)新啟用兩個vlan，分別用于連接防火墻的LAN口和WAN口，而路由器上連到核心交換機(jī)的一個二層接口，此二層接口所處vlan與防火墻的LAN接口所處vlan相同。當(dāng)業(yè)務(wù)流量從WAN網(wǎng)絡(luò)進(jìn)入訪問業(yè)務(wù)系統(tǒng)時，就會通過核心交換機(jī)的路由引導(dǎo)，首先經(jīng)過防火墻的WAN口流入，從防火墻的LAN口流出，再經(jīng)過核心交換機(jī)流入路由器，如圖4中黑色箭頭所示：

　　圖3 業(yè)務(wù)系統(tǒng)接入拓?fù)鋱D三

　　圖4 業(yè)務(wù)流向圖

　　單點(diǎn)故障分析：

　　(1)防火墻單點(diǎn)故障

　　在如圖3所示的拓?fù)渲校?span style="color: rgb(255, 102, 0);">當(dāng)主防火墻或者主防火墻與主核心交換機(jī)之間的連線故障時，備防火墻開始工作，流量從主核心交換機(jī)流向備核心交換機(jī)再到備防火墻，詳細(xì)的業(yè)務(wù)流向如圖5所示。之所以流量會從備核心交換機(jī)流回主核心交換機(jī)，是因為主核心交換機(jī)還是VRRP的主設(shè)備，業(yè)務(wù)流量必須通過它流向業(yè)務(wù)系統(tǒng)的主路由器，在這種場景下，業(yè)務(wù)不會中斷。

　　圖5 防火墻單點(diǎn)故障業(yè)務(wù)流向圖

　　(2)核心交換機(jī)單點(diǎn)故障

　　在如圖3所示拓?fù)渲校?span style="color: rgb(255, 102, 0);">如果主核心交換機(jī)出現(xiàn)故障，則備核心交換機(jī)成為VRRP的主設(shè)備，上行流量首先從備核心交換機(jī)進(jìn)入，***從備核心交換機(jī)流向備路由器，詳細(xì)業(yè)務(wù)流向如圖6所示，在此場景下，業(yè)務(wù)不會中斷。

　　圖6 核心交換機(jī)單點(diǎn)故障業(yè)務(wù)流向圖

　　(3)主路由器單點(diǎn)故障

　　在如圖3所示的拓?fù)渲校?span style="color: rgb(255, 102, 0);">如果主路由器出現(xiàn)故障，則業(yè)務(wù)流量會從主核心交換機(jī)到達(dá)備核心交換機(jī)再通過備路由器進(jìn)入業(yè)務(wù)系統(tǒng)，詳細(xì)業(yè)務(wù)流向如圖7所示，在此場景下，業(yè)務(wù)不會中斷。

　　圖7 路由器單點(diǎn)故障業(yè)務(wù)流向圖

　　總結(jié)：

　　綜上所述，采用如圖3的拓?fù)溥M(jìn)行網(wǎng)絡(luò)設(shè)計，不僅節(jié)省了一個二層交換機(jī)，而且在網(wǎng)絡(luò)的可靠性方面，比圖2的設(shè)計方式更勝一籌。這種方式，就相當(dāng)于在核心交換機(jī)上分離出一個二層交換機(jī)供上下行相連使用，同時不影響本身的三層業(yè)務(wù)流量轉(zhuǎn)發(fā)，大家在企業(yè)的網(wǎng)絡(luò)設(shè)計時，遇到類似場景，不妨考慮一下這種部署方式。

　　個人簡介：

[[188641]]

　　何濤，男，畢業(yè)于北京郵電大學(xué)電磁場與微波技術(shù)專業(yè)，從業(yè)十年，現(xiàn)任職中國交通通信信息中心保障與網(wǎng)絡(luò)中心高級工程師，專注于數(shù)據(jù)通信及網(wǎng)絡(luò)安全方向的研究工作。原文標(biāo)題為“巧婦能為無米之炊--利用三層交換機(jī)的二層功能組建自愈性網(wǎng)絡(luò)”。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】

【責(zé)任編輯：李玲玲 TEL：（010）68476606】