3、广域网技术选择
3.1广域网互连技术
3.1.1 数字数据网络
数字数据网络(Digital Data Network,DDN)是一种利用数字信道提供数据信号传输的数据传输网,是一个半永久性连接电路的公共数字数据传输网络,为用户提供了一个高质量、高带宽的数字传输通道。
利用DDN网络实现局域网互连时,必须借助于路由器和DDN网络提供的数据终端设备DTU。DTU其实是专线的调制解调器,直接和DDN网络通过专线连接,如下图所示:
DDN网络可以为两个终端用户之间提供带宽最低为9.6kbps,最高为2Mbps的数据业务,虽然面临各种新型传输技术的挑战,但由于DDN可以为任何信号和传输协议提供透明传递,至今为止DDN仍在广域网互连技术应用中占据一席之地。
3.1.2 SDH
SDH(Synchronous Digital Hierarchy,同步数字体系)网络是基于光纤的同步数据传输网络,采用分组交换和时分复用(TDM)技术,主要由光纤和挂接在光纤上的分插复用器(ADM)、数字交叉连接(DXC)、光用户环路载波系统(OLC)构成网络的主体,整个网络中的设备由高准确度的主时钟同一控制。SDH网络基本的运行载体是双向运行的光纤环路,可根据需要采用单环、双环或者多环结构,SDH支持多种网络拓扑结构,组网方式非常灵活。如下图所示:
3.1.3 MSTP
基于SDH的多业务传送平台(Multi-Service Transport Platform,MSTP)是指基于SDH平台同时实现TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。下图是利用MSTP技术,实现一个企业不同局域网络之间连接的示例。
MSTP设备借助于SDH的网络提供的链路,形成MSTP业务环,企业的不同局域网借助路由器直接接入到MSTP设备的以太网接口。这些企业网络所有的局域网之间的连接并不需要占用多个SDH信道,而是共享一个传统SDH信道的带宽。通过这种方式,可以避免企业网络连接对SDH网络资源的大量浪费;同时由于各个局域网络之间访问的透明性、随机性和不确定性,企业用户的网络感受和传统SDH互连方式区别不大。
3.1.4 传统VPN技术
传统的VPN技术主要是基于实现数据安全的协议来完成的,主要包括两个层次的数据安全传输协议,分别为二层协议和三层协议。二层协议的典型代表为L2TP,主要用于利用拨号系统实现远程用户安全接入企业网络;典型的三层协议包括IPSec和GRE,其中IPSec主要是在IP协议上实现封装,GRE是一种规范,可以适用于多种协议的封装。
基于三层协议的VPN技术主要用于企业各局域网之间的连接,分为点对点方式和中心辐射方式,如下图所示。
在点对点方式下,两个分支局域网络边界上部署VPN网关或者是带有VPN功能的防火墙、路由器,这些VPN网关通过物理链路接入互联网,并由IPSec协议或GRE协议形成两个路由器之间的逻辑隧道,实现局域网络之间的数据传递;中心辐射状方式下,核心局域网和各分支局域网的边界上都部署VPN网关,核心局域网路由器和每个分支局域网络路由器支架建立逻辑隧道,完成多个局域网分支的互连,分支局域网之间的访问需要经过核心局域网的转发。
3.1.5 MPLS VPN技术
MPLS(Multiprotocol Label Switching,多协议标签交换)VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网(IP VPN),可用来构造合适带宽的企业网络、专用网络,满足多种灵活的业务需求。采用MPLSVPN技术可以把现有的IP网络分解成逻辑上隔离的网络,这种逻辑上隔离的网络可用在解决企业互连、政府相同/不同部门的互连,也可以用来提供新的业务,为解决IP网络地址不足、QoS需求、专用网络等需求提供较好的解决途径,因此也成为新型典型运营商提供局域网络互连服务的主要手段。
如下图是一个典型的MPLS VPN承载平台。
承载平台上的设备主要由各类路由器组成,这些路由器在MPLS VPN平台中的角色各不相同,分别被称为P(Provider Router)设备、PE(Provider Edge Router)设备、CE(Customer Edge)设备。P路由器是MPLS核心网中的路由器,这些路由器只负责依据MPLS标签完成数据包的高速转发;PE路由器是MPLS核心网上的边缘路由器,与用户的CE路由器互连,PE设备负责待传输数据包的MPLS标签的生成和弹出,负责将数据包按标签发送给P路由器或接收来自P路由器的含标签数据包,PE路由器还将发起根据路由建立交换标签的动作;CE路由器是直接与电信运营商相连的用户端路由器,该设备上不存在任何带有标签的数据包,CE路由器将用户网络的信息发送给PE路由器,以便于在MPLS平台上进行路由信息的处理。
3.2广域网性能优化
通过分析通信网络的所有组成部分,确定如何进行优化,提高总体性能并降低综合费用。广域网性能的优化,可以从以下几个方面进行考虑。
3.2.1广域网网络瓶颈
在企业内部网中,无论各个局域网络内部的带宽如何冗余,一旦各局域网的广域网连接不能提供局域网互访的带宽需求,都会形成企业网络的瓶颈,会严重影响企业网络的整体性能。
因此,在进行逻辑设计时,应在保证总体投资不超过预算的同时,尽量提升广域网络的带宽;另外,当借助于广域网将各局域网互连起来后,可以对这些网络之间的互访设计较为严格的访问控制策略,只允许必要的通信流量,提供对广域网带宽的合理利用和分配。
3.2.2利用路由器实现广域网预留带宽
路由器不是实现局域网络互连的唯一设备,代理服务器、应用网关等设备也都可以实现各局域网的互连,只是互连的层次不同。由于路由器工作在网络层,并且具有一些针对信息流的优化措施,因此应尽量使用路由器来完成局域网互连,这些优化措施包括:
- 路由器可过滤不必要的局域网通信量,包括广播通信流量、不支持路由协议的通信和发向未知网络的信息等。
- 路由器拥有较强的数据包检查、验证机制,并且可以通过数据包的优化级别、队列机制等,对网络流量进行优化。
- 路由器可以针对不同的广域网技术,对各类协议参数进行优化,通过不断调整参数,达到整体网络性能的优化。
- 路由器可以将各类错误的影响限制在一个特定的区域内,限制了错误的影响范围。
3.2.3 压缩
采用数据压缩技术可以有效利用较小的广域网络带宽,这些压缩技术主要由广域网络中的路由器实现。实现数据传输压缩的方式主要有两种,分别是基于历史数据的压缩和所有数据包压缩。
3.2.4链路聚合
当路由器上的一个广域网链接提供的带宽不能满足应用需求时,网络管理可以考虑申请多个广域网链路,并且将这些链路聚合成一个虚拟的链路,从而实现对广域网络的优化。
3.2.5数据优先权排序
数据包的优先权排序赋予管理员更多的灵活性,管理员可赋予传输队列中对时间敏感的消息更高的优先权,保证这些数据的优先发送和溢出保护。通常优先权方案为每个数据包分配确定的优先权,然后按紧急、高级、一般和低级4个级别为数据包赋予4个优先权队列之一。
网络关键信息(如有关拓扑结构改变的路由协议更新)自动被分配到紧急优先权队列中,紧急数据包在所有信息中具有最高优先权。紧急优先权队列中所有的数据包发送完以后,路由器再按照用户配置参数控制的顺序向广域网接口发送其他队列的数据包。
3.2.6协议带宽预留
协议带宽预留可以让管理员为特殊的协议和应用按比例分配带宽。例如,网络管理员可以将广域网总带宽的10%分配给HTTP协议,10%分配给FTP协议,20%分配给SMTP和POP3协议,其余的带宽不做分配。
协议带宽预留不同于数据优先权排序的方案,主要是根据协议的类型进行带宽预留约定。例如,方广域网带宽的10%预留给HTTP协议时,即使网络设备上还存在较高优先权的数据包需要发送,只要HTTP协议数据占据了10%的带宽,这些高优先权的数据也不能占用HTTP的带宽;而预留的另一个意思是,如果这些预留的带宽特定协议使用不了,则可以由其他协议占用。
3.2.7对话公平
对话公平是对协议预留方案的增强,它保证通信平等地在所有用户间传输,不允许某个用户垄断广域网带宽。对话公平主要是为了防止一些用户长期占用网络资源,而影响了其他用户的网络访问。对话公平在协议带宽预留的基础上,将预留的网络带宽平均分配给所有的协议用户。例如总带宽的10%被分配给了HTTP协议,而当前有20个HTTP对话连接,则,,每个连接的带宽都将被限制为HTTP协议预留带宽的1/20.也就是总带宽的0.5%,这样可以保证每个HTTP用户都能够均衡地访问网络。
4、IP地址和路由规划
4.1 IP地址规划
为了使网络正常运行,正确分配IP地址是很关键的,而且如果地址分配合理,可便于对地址进行汇总。地址汇总可以确保路由表更小,路由表查找效率更高,路由更新信息更少,减少对网络带宽的占用,而且容易定位网络故障。
4.1.1确定所需IP地址数量
为了确定用户网络中需要IP地址的数量,要通过需求调研和实地考察的方式来确定哪些设备需要IP地址(这些设备包括路由器、交换机、防火墙、服务器、IP电话和办公PC等),需要确定每个设备有几个接口需要IP地址。
此外,还要考虑由于网络的发展,需要保留一定地址,一般需要预留总数的10%~20%。如果没能预留足够的地址空间,那么随着网络规模扩展,将不得不重新配置路由器,增加新的子网和路由信息。在最坏情况下,可能不得不需要为整个网络重新分配地址。
确定所需IP地址数量后,如果用户网络需要接入Internet,则需要向相关网络地址管理机构申请地址,通常向提供Internet接入服务的ISP申请地址空间,包括申请IPv4地址和IPv6地址。
4.1.2网络地址转换(NAT)
因为可用的IPv4公有地址数量有限,往往无法从ISP那里申请足够的IPv4地址,而且未来申请ipv4地址会越来越困难,所以考虑到网络发展的需要,可以在内部使用IPv4私有地址。通常使用NAT设备来实现网络地址转换,如防火墙、路由器都可以提供NAT服务。
4.1.3划分子网
路由器用于连接多个逻辑分开的网络。逻辑网络代表一个单独的网络或一个子网,通常为一个广播域。当数据网从一个子网传输到另一个子网时,需要通过路由器判断数据的网络地址选择路径,完成数据转发工作。路由器要使用子网掩码完成计算网络地址的功能。
在配置路由器的接口地址时,需要配置IP地址和相应的掩码。路由器不仅要使用这些信息作为接口编址,还要确定接口所连子网的地址,把它记入路由表中,作为连接到该接口的直连逻辑网段。
4.1.4层次化IP地址规划
IP地址规划是一个重要步骤,分配不合理就会出现网络管理困难或混乱。层次化IP地址规划是一种结构化分配地址方式,而不是随机分配。
下图是某公司的网络拓扑结构,该单位申请到了4段C类地址:202.4.2.0/24、202.4.3.0/24、202.4.4.0/24、202.4.5.0/24。根据业务需要,划分成8个逻辑子网,每个子网最多能有126台主机。
如果不采用层次化地址分配方式,每个子网IP地址随机分配如下:
子网1:202.4.2.0/25 子网2:202.4.5.128/25
子网3:202.3.128/25 子网4:202.4.4.0/25
子网5:202.4.3.0/25 子网6:202.4.5.0/25
子网7:202.4.4.128/25 子网8:202.4.2.128/25
使用层次化地址规划使得骨干网上的路由表更小,减轻了核心路由器的处理压力。另外,也意味着小型局部故障不需要在整个网络中通告。例如,如果路由器D和子网1相连的端口发生故障,此时汇总路由不必发生变化,去往子网1的流量由路由器D恢复错误信息,因而故障不会通知到核心路由器和其他地区,减少了路由更新导致的网络和路由器开销。汇总路由后,路由器发送路由更新信息时,须采用CIDR格式,即A.B.C.D/n格式。
4.2路由规划
完成划分子网和IP地址层次化分配后,用户网络可能被划分成多个逻辑网络,每个逻辑网络都是一个广播域,不同逻辑网络之间的通信需要使用路由器来实现。路由器的功能就是将每个报文按照到达目的网络的最佳路径转发。而路由器必须使用一定的路由协议才能彼此学习路由信息,为报文选择最佳路径。因此在网络规划设计中,选择并配置合适的路由协议也是影响最终网络性能的关键因素。
4.2.1路由表
路由器通过查询路由表进行IP报文转发。路由表中的每一项就是一条路由信息,一项路由信息应该包括目的地址/前缀长度、下一跳地址(Next Hop)和接口(Interface)。
路由表中往往包含一项特殊路由信息:前缀长度为0,通常记为0.0.0.0/0,这是默认路由。默认路由可以匹配任意IP地址,只有其他路由项和IP报文目的地址都不匹配时才采用默认路由。当路由器需要转发IP报文时,它就在路由表中查找目的地址/前缀长度与IP报头中目的IP地址相匹配的那一项。具体方法如下:
(1)将路由表中目的地址与IP报文的目的IP地址从左向右进行比较,如果相同位的数据大于或等于前缀长度值,则匹配该项路由信息;
(2)如果有多项路由信息和IP报文的目的IP地址匹配,则按照“最长匹配前缀”选择,按照前缀长度最大的那条路由项转发报文;
(3)没有匹配的路由项时,如果存在默认路由,则按默认路由转发报文;如果没有默认路由,则丢弃此报文,向报文的源端发送一条目的不可达ICMP差错报。
路由表中的路由项可以由可以由系统管理员手工配置,这类称为静态路由;也可以是路由器通过路由协议动态学习生成,这类称为动态路由。
动态路由能适应网络拓扑的变化,但对于静态路由,当网络拓扑结构发生变化时,网络管理员必须手工修改路由器配置。但是静态路由也具有很多优点:当网络没有冗余线路时,静态路由是最有效的路由机制,不必因为学习路由而消耗网络带宽;此外静态路由可以根据需要确定IP报文传输路径,可用于加强安全访问控制。因此要根据实际需要,合理使用静态路由和动态路由,注意两者之间的协调。
4.2.2路由度量
路由器的重要工作就是确定到达目标网络的最佳路径。路由协议要用一定的度量标准来评估哪一条路径最佳,主要由以下度量方法:
(1)跳数:到达目标网络所经过的路由器个数称为跳数,跳数最少的路径为最佳;
(2)带宽:网络链路的带宽,带宽最小的路径最不理想;
(3)时延:累积时延最小的路径为首选路径。如果采用时延度量,路由器可以通过发送一个“回应请求”报文,等接收到其他路由器的“回应响应”报文后,测出它到其他路由器的时延;
(4)代价:通常与带宽成反比,由最慢的链路组成的路径代价最高,因而是最不理想的路径;
(5)负载:路径的利用率(即当前使用了多少带宽)。因为负载经常发生变化,因此默认情况下不被列入路径的计算中;
(6)可靠性:成功传输报文的可能性。因为可靠性也经常发生变化,因此默认情况下不被列入路径的计算中。
一些路由协议使用组合度量,例如同时考虑带宽、时延等。
4.2.3路由协议选择原则
(1)路由协议类型选择。
路由选择协议分为两大类:距离矢量协议和链路状态协议。网络设计人员可以依据以下条件在两种类型中进行选择。
当满足下列条件时,可以选择距离向量路由选择协议:
- 网络使用一种简单的、扁平的结构,不需要层次化设计;
- 网络使用的是简单的中心辐射状结构;
- 管理人员缺乏对路由协议的了解,路由操作能力差;
- 收敛时间对网络的影响较小。
当满足下列条件时,可以选择链路状态路由选择协议:
- 网络采用层次化设计,尤其是大型网络;
- 管理员对链路状态路由协议理解较深;
- 快速收敛对网络的影响较大。
注:一般的网络层次化设计为:核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层 (将工作站接入网络);网络扁平化是指将传统的接入、汇聚、核心三层网络架构进行了简化,因此人们形象地将其冠以“扁平”的称号。
(2)路由选择协议度量。
当网络中存在多条路径时,路由协议适用度量值来决定适用哪条路径。不同的路由选择协议的度量值是不同的,传统协议以路由器的跳数作为度量值,新一代的协议还将参考时延、带宽、可靠性及其他因素。
对度量值存在着两个方面的考虑:一是对度量值的限制设定,例如,如果设定基于跳数进行选择,路由协议的有效路径度量值必须小于16,这些度量值直接决定了网络的连通性和效率;二是多个路由协议共存时的度量值转换,路由器上可能会运行多个协议,不同的路由协议对路径的度量值不同,设计人员需要建立起不同度量值之间的映射关系,让多个协议之间相互补充。
(3)路由选择协议顺序。
路由器上可能会存在多个不同的路由协议,针对一个目标网络,这些路由协议都会选择出具有最小度量值的路径,但是不同协议的度量值不同,可比较性较小。设计人员建立的协议度量值的转换关系只是用于不同路由协议之间的路由补充,不能用于具体路径的选择。
因此,设计人员可以在网络中运行多个路由选择协议,并约定这些协议之间的顺序,这些顺序可以用路由协议权值来表示,权值越小的协议顺序越靠前。一旦多个路由协议都选出了最优路径,则具有最小权值的路由协议的路径生效。
(4)层次化与非层次化路由选择协议。
路由协议从层次化角度可以分为支持和不支持两种。在非层次化协议中,所有路由器的角色都是一样的;在层次化协议中,不同路由器的角色不同,需要处理的路由信息量也不同。
对于采用层次化设计的网络来说,最好采用层次化路由选择协议。
(5)内部与外部路由选择协议。
路由协议根据自治区域的划分以及作用,可以分为内部网关协议和外部网关协议。设计人员需要选择正确的、合适的协议类型,例如对于内部网关协议,较为常见的是RIP、OSPF、IGRP;对于外部网关协议,多选择BGP协议。
(6)分类与无类路由选择协议。
(7)静态路由选择协议。
静态路由指手动配置并且不依赖于路由选择协议进行更新的路由。静态路由经常用于连接一个末梢网络,也就是只能通过一条路径到达的网络部分。静态路由最常见的使用方法就是默认路由。网络设计人员应该对设计网路中的末梢网络进行区分,并设定这些末梢网络的默认路由。
静态路由一般情况下要比其他动态路由协议级别高,也就是说,即使通过动态路由协议选出了一条最优路径,数据包仍然会依据静态路由制定的路径进行传递。因此设计人员要根据实际需要来确定静态路由选择协议的范围,以免使动态路由协议失效。
最后,静态路由信息可以导入动态路由选择协议形成的路由表项中,形成路由信息的互补关系。
4.2.4路由协议的选择
路由协议使路由器动态地学习如何到达其他网络以及如何与其他路由器交换路由信息。针对用户网络的特点,选择合适的路由协议,保证网络拓扑发生变化时能快速收敛,而且尽可能使路由更新信息较少,以减少网络带宽和设备处理的花费。
为了确定哪一种路由协议更适合用户网络,应该理解用户的需求目标和不同路由协议的特征,从中选出最满足需求的路由协议。下表给出了常用路由协议对应的分类特点。
路由协议 | 内部或外部 | 距离矢量或链路状态 | 支持层次型结构 | 类别化或无类别化 | 度量 | 收敛时间 | 支持的网络规模 |
RIPv1 | 内部 | 距离矢量 | 不支持 | 类别化 | 跳数 | 慢 | 小型 |
RIPv2 | 内部 | 距离矢量 | 不支持 | 无类别化 | 跳数 | 慢 | 小型 |
IGRP | 内部 | 距离矢量 | 不支持 | 类别化 | 组合 | 慢 | 中等 |
EIGRP | 内部 | 混合型 | 支持 | 无类别化 | 组合 | 快 | 大型 |
OSPF | 内部 | 链路状态 | 支持 | 无类别化 | 代价 | 快 | 大型 |
IS-IS | 内部 | 链路状态 | 支持 | 无类别化 | 代价 | 快 | 超大型 |
BGP-4 | 外部 | 路径矢量(混合型) | 不支持 | 无类别化 | 路径属性 | 慢 | 超大型 |
设计网络时往往会使用层次化模型,选择路由协议时可以根据核心层、分布层和接入层各层的不同需求选择不同的路由协议。
(1)核心层路由协议。
核心层是网络的骨干,提供高速链接,通常使用冗余链路保证网络的高可用性,而且应该能够实现同等路径之间的负载均衡。当链路失效时,应该能及时做出反应,并尽快适应改变。因此需要选择收敛快速的路由协议OSPF和IS-IS,IS-IS配置较为复杂,因此在核心层通常采用OSPF协议。距离矢量路由协议(如RIPv2)不适合作为核心层路由协议,因为它收敛慢,当链路发生变化时,可能导致网络连接中断。
(2)分布层路由协议。
分布层汇聚接入层,实现到核心层的连接,原则上可以使用任何内部路由协议,如RIP、OSPF和IS-IS,分布层不仅要进行路由,还要重新分配或过滤核心层和接入层之间的路由信息。
路由重新分配是指一个网络中运行了两种或两种以上路由协议,那么来自一种路由协议的信息被重新分给另一种路由协议。路由的重新分配由运行多种路由协议的路由器完成。在路由重新分配中可能会产生回路,因此还需要考虑路由过滤,即禁止通告某些路由信息,以避免产生回路。
(3)接入层路由协议。
接入层向用户提供网络资源访问。接入层设备的内存和处理能力没有核心层和分布层大,因此选择路由协议时要加以考虑。由于接入层设备内存小,因此分布层应该对进入该层的路由信息进行过滤。接入层看选择使用静态路由,如果使用动态路由,可选择的路由协议包括RIPv2和OSPF。