3、廣域網技術選擇
3.1廣域網互連技術
3.1.1 數字資料網絡
數字資料網絡(Digital Data Network,DDN)是一種利用數字信道提供資料信号傳輸的資料傳輸網,是一個半永久性連接配接電路的公共數字資料傳輸網絡,為使用者提供了一個高品質、高帶寬的數字傳輸通道。
利用DDN網絡實作區域網路互連時,必須借助于路由器和DDN網絡提供的資料終端裝置DTU。DTU其實是專線的數據機,直接和DDN網絡通過專線連接配接,如下圖所示:
DDN網絡可以為兩個終端使用者之間提供帶寬最低為9.6kbps,最高為2Mbps的資料業務,雖然面臨各種新型傳輸技術的挑戰,但由于DDN可以為任何信号和傳輸協定提供透明傳遞,至今為止DDN仍在廣域網互連技術應用中占據一席之地。
3.1.2 SDH
SDH(Synchronous Digital Hierarchy,同步數字型系)網絡是基于光纖的同步資料傳輸網絡,采用分組交換和時分複用(TDM)技術,主要由光纖和挂接在光纖上的分插複用器(ADM)、數字交叉連接配接(DXC)、光使用者環路載波系統(OLC)構成網絡的主體,整個網絡中的裝置由高準确度的主時鐘同一控制。SDH網絡基本的運作載體是雙向運作的光纖環路,可根據需要采用單環、雙環或者多環結構,SDH支援多種網絡拓撲結構,組網方式非常靈活。如下圖所示:
3.1.3 MSTP
基于SDH的多業務傳送平台(Multi-Service Transport Platform,MSTP)是指基于SDH平台同時實作TDM、ATM、以太網等業務的接入、處理和傳送,提供統一網管的多業務節點。下圖是利用MSTP技術,實作一個企業不同區域網路絡之間連接配接的示例。
MSTP裝置借助于SDH的網絡提供的鍊路,形成MSTP業務環,企業的不同區域網路借助路由器直接接入到MSTP裝置的以太網接口。這些企業網絡所有的區域網路之間的連接配接并不需要占用多個SDH信道,而是共享一個傳統SDH信道的帶寬。通過這種方式,可以避免企業網絡連接配接對SDH網絡資源的大量浪費;同時由于各個區域網路絡之間通路的透明性、随機性和不确定性,企業使用者的網絡感受和傳統SDH互連方式差別不大。
3.1.4 傳統VPN技術
傳統的VPN技術主要是基于實作資料安全的協定來完成的,主要包括兩個層次的資料安全傳輸協定,分别為二層協定和三層協定。二層協定的典型代表為L2TP,主要用于利用撥号系統實作遠端使用者安全接入企業網絡;典型的三層協定包括IPSec和GRE,其中IPSec主要是在IP協定上實作封裝,GRE是一種規範,可以适用于多種協定的封裝。
基于三層協定的VPN技術主要用于企業各區域網路之間的連接配接,分為點對點方式和中心輻射方式,如下圖所示。
在點對點方式下,兩個分支區域網路絡邊界上部署VPN網關或者是帶有VPN功能的防火牆、路由器,這些VPN網關通過實體鍊路接入網際網路,并由IPSec協定或GRE協定形成兩個路由器之間的邏輯隧道,實作區域網路絡之間的資料傳遞;中心輻射狀方式下,核心區域網路和各分支區域網路的邊界上都部署VPN網關,核心區域網路路由器和每個分支區域網路絡路由器支架建立邏輯隧道,完成多個區域網路分支的互連,分支區域網路之間的通路需要經過核心區域網路的轉發。
3.1.5 MPLS VPN技術
MPLS(Multiprotocol Label Switching,多協定标簽交換)VPN是一種基于MPLS技術的IP-VPN,是在網絡路由和交換裝置上應用MPLS技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的标記交換實作的IP虛拟專用網(IP VPN),可用來構造合适帶寬的企業網絡、專用網絡,滿足多種靈活的業務需求。采用MPLSVPN技術可以把現有的IP網絡分解成邏輯上隔離的網絡,這種邏輯上隔離的網絡可用在解決企業互連、政府相同/不同部門的互連,也可以用來提供新的業務,為解決IP網絡位址不足、QoS需求、專用網絡等需求提供較好的解決途徑,是以也成為新型典型營運商提供區域網路絡互連服務的主要手段。
如下圖是一個典型的MPLS VPN承載平台。
承載平台上的裝置主要由各類路由器組成,這些路由器在MPLS VPN平台中的角色各不相同,分别被稱為P(Provider Router)裝置、PE(Provider Edge Router)裝置、CE(Customer Edge)裝置。P路由器是MPLS核心網中的路由器,這些路由器隻負責依據MPLS标簽完成資料包的高速轉發;PE路由器是MPLS核心網上的邊緣路由器,與使用者的CE路由器互連,PE裝置負責待傳輸資料包的MPLS标簽的生成和彈出,負責将資料包按标簽發送給P路由器或接收來自P路由器的含标簽資料包,PE路由器還将發起根據路由建立交換标簽的動作;CE路由器是直接與電信營運商相連的使用者端路由器,該裝置上不存在任何帶有标簽的資料包,CE路由器将使用者網絡的資訊發送給PE路由器,以便于在MPLS平台上進行路由資訊的處理。
3.2廣域網性能優化
通過分析通信網絡的所有組成部分,确定如何進行優化,提高總體性能并降低綜合費用。廣域網性能的優化,可以從以下幾個方面進行考慮。
3.2.1廣域網網絡瓶頸
在企業内部網中,無論各個區域網路絡内部的帶寬如何備援,一旦各區域網路的廣域網連接配接不能提供區域網路互訪的帶寬需求,都會形成企業網絡的瓶頸,會嚴重影響企業網絡的整體性能。
是以,在進行邏輯設計時,應在保證總體投資不超過預算的同時,盡量提升廣域網絡的帶寬;另外,當借助于廣域網将各區域網路互連起來後,可以對這些網絡之間的互訪設計較為嚴格的通路控制政策,隻允許必要的通信流量,提供對廣域網帶寬的合理利用和配置設定。
3.2.2利用路由器實作廣域網預留帶寬
路由器不是實作區域網路絡互連的唯一裝置,代理伺服器、應用網關等裝置也都可以實作各區域網路的互連,隻是互連的層次不同。由于路由器工作在網絡層,并且具有一些針對資訊流的優化措施,是以應盡量使用路由器來完成區域網路互連,這些優化措施包括:
- 路由器可過濾不必要的區域網路通信量,包括廣播通信流量、不支援路由協定的通信和發向未知網絡的資訊等。
- 路由器擁有較強的資料包檢查、驗證機制,并且可以通過資料包的優化級别、隊列機制等,對網絡流量進行優化。
- 路由器可以針對不同的廣域網技術,對各類協定參數進行優化,通過不斷調整參數,達到整體網絡性能的優化。
- 路由器可以将各類錯誤的影響限制在一個特定的區域内,限制了錯誤的影響範圍。
3.2.3 壓縮
采用資料壓縮技術可以有效利用較小的廣域網絡帶寬,這些壓縮技術主要由廣域網絡中的路由器實作。實作資料傳輸壓縮的方式主要有兩種,分别是基于曆史資料的壓縮和所有資料包壓縮。
3.2.4鍊路聚合
當路由器上的一個廣域網連結提供的帶寬不能滿足應用需求時,網絡管理可以考慮申請多個廣域網鍊路,并且将這些鍊路聚合成一個虛拟的鍊路,進而實作對廣域網絡的優化。
3.2.5資料優先權排序
資料包的優先權排序賦予管理者更多的靈活性,管理者可賦予傳輸隊列中對時間敏感的消息更高的優先權,保證這些資料的優先發送和溢出保護。通常優先權方案為每個資料包配置設定确定的優先權,然後按緊急、進階、一般和低級4個級别為資料包賦予4個優先權隊列之一。
網絡關鍵資訊(如有關拓撲結構改變的路由協定更新)自動被配置設定到緊急優先權隊列中,緊急資料包在所有資訊中具有最高優先權。緊急優先權隊列中所有的資料包發送完以後,路由器再按照使用者配置參數控制的順序向廣域網接口發送其他隊列的資料包。
3.2.6協定帶寬預留
協定帶寬預留可以讓管理者為特殊的協定和應用按比例配置設定帶寬。例如,網絡管理者可以将廣域網總帶寬的10%配置設定給HTTP協定,10%配置設定給FTP協定,20%配置設定給SMTP和POP3協定,其餘的帶寬不做配置設定。
協定帶寬預留不同于資料優先權排序的方案,主要是根據協定的類型進行帶寬預留約定。例如,方廣域網帶寬的10%預留給HTTP協定時,即使網絡裝置上還存在較高優先權的資料包需要發送,隻要HTTP協定資料占據了10%的帶寬,這些高優先權的資料也不能占用HTTP的帶寬;而預留的另一個意思是,如果這些預留的帶寬特定協定使用不了,則可以由其他協定占用。
3.2.7對話公平
對話公平是對協定預留方案的增強,它保證通信平等地在所有使用者間傳輸,不允許某個使用者壟斷廣域網帶寬。對話公平主要是為了防止一些使用者長期占用網絡資源,而影響了其他使用者的網絡通路。對話公平在協定帶寬預留的基礎上,将預留的網絡帶寬平均配置設定給所有的協定使用者。例如總帶寬的10%被配置設定給了HTTP協定,而目前有20個HTTP對話連接配接,則,,每個連接配接的帶寬都将被限制為HTTP協定預留帶寬的1/20.也就是總帶寬的0.5%,這樣可以保證每個HTTP使用者都能夠均衡地通路網絡。
4、IP位址和路由規劃
4.1 IP位址規劃
為了使網絡正常運作,正确配置設定IP位址是很關鍵的,而且如果位址配置設定合理,可便于對位址進行彙總。位址彙總可以確定路由表更小,路由表查找效率更高,路由更新資訊更少,減少對網絡帶寬的占用,而且容易定位網絡故障。
4.1.1确定所需IP位址數量
為了确定使用者網絡中需要IP位址的數量,要通過需求調研和實地考察的方式來确定哪些裝置需要IP位址(這些裝置包括路由器、交換機、防火牆、伺服器、IP電話和辦公PC等),需要确定每個裝置有幾個接口需要IP位址。
此外,還要考慮由于網絡的發展,需要保留一定位址,一般需要預留總數的10%~20%。如果沒能預留足夠的位址空間,那麼随着網絡規模擴充,将不得不重新配置路由器,增加新的子網和路由資訊。在最壞情況下,可能不得不需要為整個網絡重新配置設定位址。
确定所需IP位址數量後,如果使用者網絡需要接入Internet,則需要向相關網絡位址管理機構申請位址,通常向提供Internet接入服務的ISP申請位址空間,包括申請IPv4位址和IPv6位址。
4.1.2網絡位址轉換(NAT)
因為可用的IPv4公有位址數量有限,往往無法從ISP那裡申請足夠的IPv4位址,而且未來申請ipv4位址會越來越困難,是以考慮到網絡發展的需要,可以在内部使用IPv4私有位址。通常使用NAT裝置來實作網絡位址轉換,如防火牆、路由器都可以提供NAT服務。
4.1.3劃分子網
路由器用于連接配接多個邏輯分開的網絡。邏輯網絡代表一個單獨的網絡或一個子網,通常為一個廣播域。當資料網從一個子網傳輸到另一個子網時,需要通過路由器判斷資料的網絡位址選擇路徑,完成資料轉發工作。路由器要使用子網路遮罩完成計算網絡位址的功能。
在配置路由器的接口位址時,需要配置IP位址和相應的掩碼。路由器不僅要使用這些資訊作為接口編址,還要确定接口所連子網的位址,把它記入路由表中,作為連接配接到該接口的直連邏輯網段。
4.1.4階層化IP位址規劃
IP位址規劃是一個重要步驟,配置設定不合理就會出現網絡管理困難或混亂。階層化IP位址規劃是一種結構化配置設定位址方式,而不是随機配置設定。
下圖是某公司的網絡拓撲結構,該機關申請到了4段C類位址:202.4.2.0/24、202.4.3.0/24、202.4.4.0/24、202.4.5.0/24。根據業務需要,劃分成8個邏輯子網,每個子網最多能有126台主機。
如果不采用階層化位址配置設定方式,每個子網IP位址随機配置設定如下:
子網1:202.4.2.0/25 子網2:202.4.5.128/25
子網3:202.3.128/25 子網4:202.4.4.0/25
子網5:202.4.3.0/25 子網6:202.4.5.0/25
子網7:202.4.4.128/25 子網8:202.4.2.128/25
使用階層化位址規劃使得骨幹網上的路由表更小,減輕了核心路由器的處理壓力。另外,也意味着小型局部故障不需要在整個網絡中通告。例如,如果路由器D和子網1相連的端口發生故障,此時彙總路由不必發生變化,去往子網1的流量由路由器D恢複錯誤資訊,因而故障不會通知到核心路由器和其他地區,減少了路由更新導緻的網絡和路由器開銷。彙總路由後,路由器發送路由更新資訊時,須采用CIDR格式,即A.B.C.D/n格式。
4.2路由規劃
完成劃分子網和IP位址階層化配置設定後,使用者網絡可能被劃分成多個邏輯網絡,每個邏輯網絡都是一個廣播域,不同邏輯網絡之間的通信需要使用路由器來實作。路由器的功能就是将每個封包按照到達目的網絡的最佳路徑轉發。而路由器必須使用一定的路由協定才能彼此學習路由資訊,為封包選擇最佳路徑。是以在網絡規劃設計中,選擇并配置合适的路由協定也是影響最終網絡性能的關鍵因素。
4.2.1路由表
路由器通過查詢路由表進行IP封包轉發。路由表中的每一項就是一條路由資訊,一項路由資訊應該包括目的位址/字首長度、下一跳位址(Next Hop)和接口(Interface)。
路由表中往往包含一項特殊路由資訊:字首長度為0,通常記為0.0.0.0/0,這是預設路由。預設路由可以比對任意IP位址,隻有其他路由項和IP封包目的位址都不比對時才采用預設路由。當路由器需要轉發IP封包時,它就在路由表中查找目的位址/字首長度與IP報頭中目的IP位址相比對的那一項。具體方法如下:
(1)将路由表中目的位址與IP封包的目的IP位址從左向右進行比較,如果相同位的資料大于或等于字首長度值,則比對該項路由資訊;
(2)如果有多項路由資訊和IP封包的目的IP位址比對,則按照“最長比對字首”選擇,按照字首長度最大的那條路由項轉發封包;
(3)沒有比對的路由項時,如果存在預設路由,則按預設路由轉發封包;如果沒有預設路由,則丢棄此封包,向封包的源端發送一條目的不可達ICMP差錯報。
路由表中的路由項可以由可以由系統管理者手工配置,這類稱為靜态路由;也可以是路由器通過路由協定動态學習生成,這類稱為動态路由。
動态路由能适應網絡拓撲的變化,但對于靜态路由,當網絡拓撲結構發生變化時,網絡管理者必須手工修改路由器配置。但是靜态路由也具有很多優點:當網絡沒有備援線路時,靜态路由是最有效的路由機制,不必因為學習路由而消耗網絡帶寬;此外靜态路由可以根據需要确定IP封包傳輸路徑,可用于加強安全通路控制。是以要根據實際需要,合理使用靜态路由和動态路由,注意兩者之間的協調。
4.2.2路由度量
路由器的重要工作就是确定到達目标網絡的最佳路徑。路由協定要用一定的度量标準來評估哪一條路徑最佳,主要由以下度量方法:
(1)跳數:到達目标網絡所經過的路由器個數稱為跳數,跳數最少的路徑為最佳;
(2)帶寬:網絡鍊路的帶寬,帶寬最小的路徑最不理想;
(3)時延:累積時延最小的路徑為首選路徑。如果采用時延度量,路由器可以通過發送一個“回應請求”封包,等接收到其他路由器的“回應響應”封包後,測出它到其他路由器的時延;
(4)代價:通常與帶寬成反比,由最慢的鍊路組成的路徑代價最高,因而是最不理想的路徑;
(5)負載:路徑的使用率(即目前使用了多少帶寬)。因為負載經常發生變化,是以預設情況下不被列入路徑的計算中;
(6)可靠性:成功傳輸封包的可能性。因為可靠性也經常發生變化,是以預設情況下不被列入路徑的計算中。
一些路由協定使用組合度量,例如同時考慮帶寬、時延等。
4.2.3路由協定選擇原則
(1)路由協定類型選擇。
路由選擇協定分為兩大類:距離矢量協定和鍊路狀态協定。網絡設計人員可以依據以下條件在兩種類型中進行選擇。
當滿足下列條件時,可以選擇距離向量路由選擇協定:
- 網絡使用一種簡單的、扁平的結構,不需要階層化設計;
- 網絡使用的是簡單的中心輻射狀結構;
- 管理人員缺乏對路由協定的了解,路由操作能力差;
- 收斂時間對網絡的影響較小。
當滿足下列條件時,可以選擇鍊路狀态路由選擇協定:
- 網絡采用階層化設計,尤其是大型網絡;
- 管理者對鍊路狀态路由協定了解較深;
- 快速收斂對網絡的影響較大。
注:一般的網絡階層化設計為:核心層(網絡的高速交換主幹)、彙聚層(提供基于政策的連接配接)、接入層 (将工作站接入網絡);網絡扁平化是指将傳統的接入、彙聚、核心三層網絡架構進行了簡化,是以人們形象地将其冠以“扁平”的稱号。
(2)路由選擇協定度量。
當網絡中存在多條路徑時,路由協定适用路徑成本來決定适用哪條路徑。不同的路由選擇協定的路徑成本是不同的,傳統協定以路由器的跳數作為路徑成本,新一代的協定還将參考時延、帶寬、可靠性及其他因素。
對路徑成本存在着兩個方面的考慮:一是對路徑成本的限制設定,例如,如果設定基于跳數進行選擇,路由協定的有效路徑路徑成本必須小于16,這些路徑成本直接決定了網絡的連通性和效率;二是多個路由協定共存時的路徑成本轉換,路由器上可能會運作多個協定,不同的路由協定對路徑的路徑成本不同,設計人員需要建立起不同路徑成本之間的映射關系,讓多個協定之間互相補充。
(3)路由選擇協定順序。
路由器上可能會存在多個不同的路由協定,針對一個目标網絡,這些路由協定都會選擇出具有最小路徑成本的路徑,但是不同協定的路徑成本不同,可比較性較小。設計人員建立的協定路徑成本的轉換關系隻是用于不同路由協定之間的路由補充,不能用于具體路徑的選擇。
是以,設計人員可以在網絡中運作多個路由選擇協定,并約定這些協定之間的順序,這些順序可以用路由協定權值來表示,權值越小的協定順序越靠前。一旦多個路由協定都選出了最優路徑,則具有最小權值的路由協定的路徑生效。
(4)階層化與非階層化路由選擇協定。
路由協定從階層化角度可以分為支援和不支援兩種。在非階層化協定中,所有路由器的角色都是一樣的;在階層化協定中,不同路由器的角色不同,需要處理的路由資訊量也不同。
對于采用階層化設計的網絡來說,最好采用階層化路由選擇協定。
(5)内部與外部路由選擇協定。
路由協定根據自治區域的劃分以及作用,可以分為内部網關協定和外部網關協定。設計人員需要選擇正确的、合适的協定類型,例如對于内部網關協定,較為常見的是RIP、OSPF、IGRP;對于外部網關協定,多選擇BGP協定。
(6)分類與無類路由選擇協定。
(7)靜态路由選擇協定。
靜态路由指手動配置并且不依賴于路由選擇協定進行更新的路由。靜态路由經常用于連接配接一個末梢網絡,也就是隻能通過一條路徑到達的網絡部分。靜态路由最常見的使用方法就是預設路由。網絡設計人員應該對設計網路中的末梢網絡進行區分,并設定這些末梢網絡的預設路由。
靜态路由一般情況下要比其他動态路由協定級别高,也就是說,即使通過動态路由協定選出了一條最優路徑,資料包仍然會依據靜态路由制定的路徑進行傳遞。是以設計人員要根據實際需要來确定靜态路由選擇協定的範圍,以免使動态路由協定失效。
最後,靜态路由資訊可以導入動态路由選擇協定形成的路由表項中,形成路由資訊的互補關系。
4.2.4路由協定的選擇
路由協定使路由器動态地學習如何到達其他網絡以及如何與其他路由器交換路由資訊。針對使用者網絡的特點,選擇合适的路由協定,保證網絡拓撲發生變化時能快速收斂,而且盡可能使路由更新資訊較少,以減少網絡帶寬和裝置處理的花費。
為了确定哪一種路由協定更适合使用者網絡,應該了解使用者的需求目标和不同路由協定的特征,從中選出最滿足需求的路由協定。下表給出了常用路由協定對應的分類特點。
路由協定 | 内部或外部 | 距離矢量或鍊路狀态 | 支援層次型結構 | 類别化或無類别化 | 度量 | 收斂時間 | 支援的網絡規模 |
RIPv1 | 内部 | 距離矢量 | 不支援 | 類别化 | 跳數 | 慢 | 小型 |
RIPv2 | 内部 | 距離矢量 | 不支援 | 無類别化 | 跳數 | 慢 | 小型 |
IGRP | 内部 | 距離矢量 | 不支援 | 類别化 | 組合 | 慢 | 中等 |
EIGRP | 内部 | 混合型 | 支援 | 無類别化 | 組合 | 快 | 大型 |
OSPF | 内部 | 鍊路狀态 | 支援 | 無類别化 | 代價 | 快 | 大型 |
IS-IS | 内部 | 鍊路狀态 | 支援 | 無類别化 | 代價 | 快 | 超大型 |
BGP-4 | 外部 | 路徑矢量(混合型) | 不支援 | 無類别化 | 路徑屬性 | 慢 | 超大型 |
設計網絡時往往會使用階層化模型,選擇路由協定時可以根據核心層、分布層和接入層各層的不同需求選擇不同的路由協定。
(1)核心層路由協定。
核心層是網絡的骨幹,提供高速連結,通常使用備援鍊路保證網絡的高可用性,而且應該能夠實作同等路徑之間的負載均衡。當鍊路失效時,應該能及時做出反應,并盡快适應改變。是以需要選擇收斂快速的路由協定OSPF和IS-IS,IS-IS配置較為複雜,是以在核心層通常采用OSPF協定。距離矢量路由協定(如RIPv2)不适合作為核心層路由協定,因為它收斂慢,當鍊路發生變化時,可能導緻網絡連接配接中斷。
(2)分布層路由協定。
分布層彙聚接入層,實作到核心層的連接配接,原則上可以使用任何内部路由協定,如RIP、OSPF和IS-IS,分布層不僅要進行路由,還要重新配置設定或過濾核心層和接入層之間的路由資訊。
路由重新配置設定是指一個網絡中運作了兩種或兩種以上路由協定,那麼來自一種路由協定的資訊被重新分給另一種路由協定。路由的重新配置設定由運作多種路由協定的路由器完成。在路由重新配置設定中可能會産生回路,是以還需要考慮路由過濾,即禁止通告某些路由資訊,以避免産生回路。
(3)接入層路由協定。
接入層向使用者提供網絡資源通路。接入層裝置的記憶體和處理能力沒有核心層和分布層大,是以選擇路由協定時要加以考慮。由于接入層裝置記憶體小,是以分布層應該對進入該層的路由資訊進行過濾。接入層看選擇使用靜态路由,如果使用動态路由,可選擇的路由協定包括RIPv2和OSPF。