网络安全 频道

用虚拟化技术构建企业园区网络

  【IT168 技术】企业园区一般是企业总部机关、生产、研发等重要机构的汇集区域,其网络建设规模通常较大。企业园区网络内部终端数量庞大、种类丰富,对网络业务的支持与变化一般要求有较大的灵活性。同时由于园区内人员集中,网络承载业务密集,一旦出现故障会产生较大影响。因此企业园区网络需要具有简洁架构、快速故障恢复能力、高可用性等特质。

  随着企业园区网络需求的不断提升,传统网络架构模式已经不能满足用户的应用需求,各种先进的虚拟化技术正在被应用到园区网络中来。对于基础网络来说,虚拟化技术主要体现为在一套物理网络上采用VPN或VRF技术划分出多个相互隔离的逻辑网络。而H3C公司推出的虚拟化技术IRF2则可以将多个物理网络设备整合成一台逻辑设备,从而有效简化网络架构。

  IRF2在园区应用的价值

  园区网络一般是大型交换网络,在这样一个交换平台上快速提供IT服务、保证业务被可靠访问是关键。IRF2作为新一代交换机的核心特质,对提升整个园区网络的业务能力有很强的支撑作用。

  IRF2能够在很大程度上实现对园区网络的逻辑改造:消除网络环路,极大简化网络运行和支撑业务设计。IRF2本身的弹性能力更便于园区网络扩展,IRF2与交换特性的融合更便于园区PoE、WLAN、IP语音等网络应用的部署。

  传统园区网络在组网设计上一般会遵循模块化设计思想,以企业内部部门、楼宇建筑为网络的模块组件。这种经典的设计方式将网络按接入、汇聚、核心规划成多层结构。此种网络的汇聚与核心层结构清晰、运行持续稳定。但是在网络接入层,受实际因素影响,部署时会产生纷繁复杂的拓扑结构。企业内部机构的灵活快速组合变化是支撑核心业务调整的基本要求,这种要求带来了基础网络随着IT发展而进行的适应性调整。

  当内部业务发生变化时,企业机构网络接入的结构也在不断变化,从而带来了接入网络结构的多样性和复杂性,并对接入层网络的快速、灵活扩展不断提出新的要求。

  越来越多的企业网络开始部署IP语音、视频终端等新兴服务。同时,终端移动性越来越强,WLAN服务已经成为一项基本的网络接入要求。新业务的部署也给接入层网络的结构和业务支撑提出了挑战。

  在新业务与IT需求的驱动下,传统的园区网络结构渐渐难以满足新服务提供的要求:二层接入的网络导致接入层与汇聚层网络之间产生多环路,形成环网,企业IT业务的不断调整将环网规模扩大或复杂化;部分网络为降低复杂度,消除了环路,却因此带来了单链路、单点接入的低可用性。如此,多业务、灵活性、扩展性、可靠性、简易性使得企业接入网络结构处于鱼和熊掌不可兼得的境地。

  在企业园区网络架构中,使用IRF2技术,分别在网络汇聚与核心层各自进行横向整合,将多台冗余设备虚拟化为单台逻辑设备,形成一个网络管理与转发节点;在网络接入层复杂的接入环境中实行IRF2整合,将多达9个的物理网络节点虚拟化为单台设备,完全消除接入层环路,并形成捆绑链路的高带宽和可靠性上联。在这样的虚拟化下,网状的企业园区网络形成了一个非常简洁的架构,网络各层之间通过捆绑的单逻辑链路互联,消除了环路。网络不再需要在接入层设计复杂的生成树协议,也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。

  端到端IRF2部署使园区网络形成了无环、树状、辐射型的网络拓扑结构,极大简化了运行维护管理工作。网络中数据流在宏观路径上与简化后的整体网络拓扑具有一致性,业务流在网络中的走向清晰明确。同时,每个IRF2节点本身的扩展(如增加该节点设备)既不会改变企业网络的逻辑结构,也不会影响上下层网络的协议交互。这种虚拟化网络展现出优化的整体架构。

  基于IRF2的园区接入

  通过IRF2来整合网络接入层,可以达到多个方面的效果:

  1.结构简化

  系统可以将最多可达到9台的物理设备虚拟化形成单一逻辑网络节点,使整体园区网络接入层形成统一的IRF2连接模型,告别复杂的拓扑结构。如H3C S3600系列交换机可采用普通千兆光口或电口进行IRF2连接,实现几乎对园区范围内各种距离位置的设备进行IRF2连接,满足接入层的光电混联需求。

  如图左侧,接入层IRF2对分布在不同物理位置的接入交换机采用光纤长距(公里级)连接、电缆短距(百米级)混合连接,对外只显示为一台逻辑设备,可分别从不同IRF2成员上联链路并进行捆绑,形成无环接入层网络。此方案对于企业实际网络部署有特殊物理位置要求、远距工作组级网络安全统一等多种需求有较强适应性。

  对于传统的级联接入,为避免产生更复杂的环路,一般在最下层采用单链路设计,这使得网络在带宽支持、冗余设计上存在不足。将两层以上的级联结构通过IRF2整合起来,将原有不支持IRF2的设备通过双链路聚合捆绑上联到IRF2系统,从而消除了接入层环路,并在接入层网络形成了链路级冗余及部分设备级冗余,使得网络保持了清晰的结构。

  2.灵活扩展

  扩展性在网络接入层设计上一般具有较大难度。由于组织结构的发展,使得企业对IT基础有快速发展的需求。在大规模模块化网络的扩展方式上,传统核心网络结构已经能够很好地支持,但在接入层常常会面临难以充分满足扩展性要求的难题,因为接入层网络拓扑复杂(通常是二层接入方式),设备与端口的扩展会使网络结构进一步复杂化。

  而通过IRF2系统,可以在接入层进行端口扩展,以满足不断增长的接入端口数要求。扩展后的系统对网络其它部分并不产生影响,形成了平滑的扩展能力,而对上行带宽有更高要求的业务,可以通过增加IRF2系统的上行聚合链路成员数量来平滑升级带宽。

  3.业务丰富

  部署了IRF2的接入环境可以提供丰富的网络业务设计。IRF2架构下的设备都支持H3C EAD端点准入安全解决方案,提供企业园区全面安全接入能力;PoE功能已经成为接入交换机的基本功能,同时随着新技术标准的不断推出,后续IRF2下将支持中、高功率的PoE标准,从而可提供企业网络有供电要求的各类新业务需求,如视频瘦终端(如PoE受电的终端)、视频电话、语音电话、无线接入AP等。

  4.组播支持

  目前,组播已经是对企业新兴业务(如视频培训)的主要技术支撑,如何在企业内部部署组播并能够开展灵活的组播业务,成为基础网络的重要实践内容。在基于全网IRF2的园区架构中,整个网络的组播分发结构十分明确,数据复制、转发的路径相对确定,并且简化了组播的很多设计工作,如不需要DR、PIM路径唯一、反向路径稳定、减少不必要的剪枝、复制点确定、所有组播要素具有IRF2冗余能力等,形成了一个简单的组播承载网。

  5.支持VPN等应用

  此外,随着IT业务的发展,通过VPN等虚拟化手段建设网络成为部分企业构建基础网络的重要选择。为了满足企业的实际应用需求,IRF2系统同样提供了BGP/MPLS VPN技术,能够很好解决企业的需求,帮助企业节省投资。

  BGP/MPLS VPN技术是一种对网络资源进行逻辑隔离的“纵向分割”的虚拟化技术,可提高网络使用效率,但在整网部署与实施过程中有一定技术要求。为保证网络的可靠性,一般会进行冗余设计,如网络设备冗余、链路冗余等,并采用在VPN接入层提供双PE接入同一VPN的可靠性组网方式。

  在全网BGP/MPLS VPN的架构上,实施IRF2技术进行物理节点的虚拟化整合,可将组成双PE的两个物理节点形成一个IRF2系统,可基本消除多PE接入所带来的等价路由处理问题。如果对网络中其它节点也进行IRF2整合,可以大规模减少MPLS VPN网络中的标签处理量、路由计算量,使网络结构更加稳定可靠。

0
相关文章