网络安全 频道

用虚拟化技术构建企业园区网络

  基于IRF2的园区接入

  通过IRF2来整合网络接入层,可以达到多个方面的效果:

  1.结构简化

  系统可以将最多可达到9台的物理设备虚拟化形成单一逻辑网络节点,使整体园区网络接入层形成统一的IRF2连接模型,告别复杂的拓扑结构。如H3C S3600系列交换机可采用普通千兆光口或电口进行IRF2连接,实现几乎对园区范围内各种距离位置的设备进行IRF2连接,满足接入层的光电混联需求。

  如图左侧,接入层IRF2对分布在不同物理位置的接入交换机采用光纤长距(公里级)连接、电缆短距(百米级)混合连接,对外只显示为一台逻辑设备,可分别从不同IRF2成员上联链路并进行捆绑,形成无环接入层网络。此方案对于企业实际网络部署有特殊物理位置要求、远距工作组级网络安全统一等多种需求有较强适应性。

  对于传统的级联接入,为避免产生更复杂的环路,一般在最下层采用单链路设计,这使得网络在带宽支持、冗余设计上存在不足。将两层以上的级联结构通过IRF2整合起来,将原有不支持IRF2的设备通过双链路聚合捆绑上联到IRF2系统,从而消除了接入层环路,并在接入层网络形成了链路级冗余及部分设备级冗余,使得网络保持了清晰的结构。

  2.灵活扩展

  扩展性在网络接入层设计上一般具有较大难度。由于组织结构的发展,使得企业对IT基础有快速发展的需求。在大规模模块化网络的扩展方式上,传统核心网络结构已经能够很好地支持,但在接入层常常会面临难以充分满足扩展性要求的难题,因为接入层网络拓扑复杂(通常是二层接入方式),设备与端口的扩展会使网络结构进一步复杂化。

  而通过IRF2系统,可以在接入层进行端口扩展,以满足不断增长的接入端口数要求。扩展后的系统对网络其它部分并不产生影响,形成了平滑的扩展能力,而对上行带宽有更高要求的业务,可以通过增加IRF2系统的上行聚合链路成员数量来平滑升级带宽。

  3.业务丰富

  部署了IRF2的接入环境可以提供丰富的网络业务设计。IRF2架构下的设备都支持H3C EAD端点准入安全解决方案,提供企业园区全面安全接入能力;PoE功能已经成为接入交换机的基本功能,同时随着新技术标准的不断推出,后续IRF2下将支持中、高功率的PoE标准,从而可提供企业网络有供电要求的各类新业务需求,如视频瘦终端(如PoE受电的终端)、视频电话、语音电话、无线接入AP等。

  4.组播支持

  目前,组播已经是对企业新兴业务(如视频培训)的主要技术支撑,如何在企业内部部署组播并能够开展灵活的组播业务,成为基础网络的重要实践内容。在基于全网IRF2的园区架构中,整个网络的组播分发结构十分明确,数据复制、转发的路径相对确定,并且简化了组播的很多设计工作,如不需要DR、PIM路径唯一、反向路径稳定、减少不必要的剪枝、复制点确定、所有组播要素具有IRF2冗余能力等,形成了一个简单的组播承载网。

  5.支持VPN等应用

  此外,随着IT业务的发展,通过VPN等虚拟化手段建设网络成为部分企业构建基础网络的重要选择。为了满足企业的实际应用需求,IRF2系统同样提供了BGP/MPLS VPN技术,能够很好解决企业的需求,帮助企业节省投资。

  BGP/MPLS VPN技术是一种对网络资源进行逻辑隔离的“纵向分割”的虚拟化技术,可提高网络使用效率,但在整网部署与实施过程中有一定技术要求。为保证网络的可靠性,一般会进行冗余设计,如网络设备冗余、链路冗余等,并采用在VPN接入层提供双PE接入同一VPN的可靠性组网方式。

  在全网BGP/MPLS VPN的架构上,实施IRF2技术进行物理节点的虚拟化整合,可将组成双PE的两个物理节点形成一个IRF2系统,可基本消除多PE接入所带来的等价路由处理问题。如果对网络中其它节点也进行IRF2整合,可以大规模减少MPLS VPN网络中的标签处理量、路由计算量,使网络结构更加稳定可靠。

0
相关文章