■

出口方面有4條千兆光纖通過(guò)不同代理商連接至電信IP城域網(wǎng)，聯(lián)通IP城域網(wǎng)和教育網(wǎng)等運(yùn)營(yíng)商網(wǎng)絡(luò)。分別通過(guò)1臺(tái)華三7506、3臺(tái)華三3600接入到互聯(lián)網(wǎng)數(shù)據(jù)中心。由于網(wǎng)關(guān)在各個(gè)運(yùn)營(yíng)商局端，在互聯(lián)網(wǎng)數(shù)據(jù)中心機(jī)房組成了一個(gè)二層的接入網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)數(shù)據(jù)中心的用戶通過(guò)直接分配不同運(yùn)營(yíng)商的IP實(shí)現(xiàn)IDC主機(jī)托管服務(wù)。

網(wǎng)絡(luò)改造前拓?fù)鋱D如圖1所示。

數(shù)據(jù)中心網(wǎng)絡(luò)存在的問(wèn)題

1.網(wǎng)絡(luò)不穩(wěn)定

a)IDC主機(jī)托管用戶、園區(qū)網(wǎng)中的上網(wǎng)用戶、專線用戶、內(nèi)網(wǎng)用戶，多用戶混雜存在相互透?jìng)?，相互影響?/p>

b)所有用戶全部都在一個(gè)VLAN13，無(wú)用的廣播、組播流量大，浪費(fèi)網(wǎng)絡(luò)帶寬資源。（如圖1所示）

c)所有用戶全部都在同一個(gè)VLAN，一旦有用戶中了網(wǎng)絡(luò)病毒，其它用戶都受影響。

2.用戶雙線的容易成環(huán)（如圖2所示）

圖1 改造前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

圖2 容易形成環(huán)

IDC用戶由于構(gòu)建內(nèi)網(wǎng)的需要，常常需要在自己的交換機(jī)上構(gòu)建內(nèi)網(wǎng)：

a)IDC用戶的內(nèi)網(wǎng)透?jìng)鞯狡渌脩簦▎尉€和多線都存在）

b)因?yàn)橛脩艚粨Q機(jī)（因用戶端沒(méi)有或沒(méi)必要?jiǎng)澐諺LAN）的存在很容易成環(huán)。（雙線或多線）

3.雙線用戶需要配置多個(gè)ISP的IP

由于用戶對(duì)聯(lián)通、電信、教育網(wǎng)不同的需求往往需要分配多個(gè)ISP的IP地址，目前只能將多個(gè)ISP的IP地址直接分配給用戶，這樣存在如下問(wèn)題：

a)用戶需要自己對(duì)我們分配的不同運(yùn)營(yíng)商的IP做路由優(yōu)化。

b)雙線或多線接入容易成環(huán)。

c)用戶感知度不好。

建設(shè)目標(biāo)

利用較少的投資，優(yōu)化全網(wǎng)結(jié)構(gòu)，解決網(wǎng)絡(luò)不穩(wěn)定、解決雙線容易成環(huán)、實(shí)現(xiàn)出方向和入方向的智能選擇路由、QoS帶寬限制及保障等問(wèn)題，同時(shí)加強(qiáng)網(wǎng)絡(luò)的安全性和可靠性，盡量避免單點(diǎn)故障、減少故障點(diǎn)，盡量實(shí)現(xiàn)設(shè)備與設(shè)備之間、線路與線路之間有冗余、實(shí)現(xiàn)互聯(lián)網(wǎng)數(shù)據(jù)中心的網(wǎng)絡(luò)故障能在較短的時(shí)間里進(jìn)行修復(fù)或者盡可能不要讓故障發(fā)生。

升級(jí)改造

網(wǎng)絡(luò)改造后拓?fù)鋱D如圖2所示。出口方面：將原有4條來(lái)自不同運(yùn)營(yíng)商的光纖接到新購(gòu)買的華三 S5500光纖交換機(jī)，同時(shí)在同一機(jī)柜部署一臺(tái)同配置的華三S5500交換機(jī)，作為冷備。一旦出現(xiàn)故障后，只要切換相關(guān)連接線路即可。華三S5500主交換機(jī)通過(guò)2條千兆光纖與天融信NGFW4000-UF(TG-41608)防火墻采用鏈路聚合技術(shù)LACP(Link Aggregation Control Protocol)將2個(gè)千兆光口靜態(tài)聚合成一個(gè)端口，通過(guò)這種方式大大提高了設(shè)備互聯(lián)的可靠性，同時(shí)使帶寬處理能力增加了2倍。具體配置如下：

華三S5500的配置：

interface Bridge-Aggre gation1

圖3 改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

防火墻的配置：

核心層：天融信NGFW 4000-UF往下通過(guò)4個(gè)光纖千兆口中分別兩兩連接至Array公司的兩臺(tái)APV2600負(fù)載均衡設(shè)備一主一備(所有用戶的NAT、基于源IP地址的策略路由、QoS即針對(duì)電信、聯(lián)通的IP地址限制帶寬，Smart智能DNS解析等功能都在負(fù)載均衡器上面，因此采用了雙核心，大大地提高了互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)的可靠性和穩(wěn)定性)。同時(shí)也采用了鏈路聚合技術(shù)LACP(Link Aggregation Control Proto col)將2個(gè)千兆光口靜態(tài)聚合成一個(gè)端口，提高了可靠性，增加了帶寬處理能力。

Array的配置：

1、鏈路聚合配置：

2、NAT的配置：

3、QoS的配置：

4、基于源IP地址的策略路由

匯聚及接入層：兩臺(tái)Array公司的負(fù)載均衡器往下分別通過(guò)3個(gè)千兆光纖端口連接至3臺(tái)華三公司S5500。同時(shí)也采用了鏈路聚合技術(shù)LACP(Link Aggregation Control Protocol)將3個(gè)千兆光口靜態(tài)聚合成一個(gè)端口，提高了可靠性，增加了帶寬處理能力。

為了減少Array APV2600負(fù)載均衡器的負(fù)載，因此將IDC用戶的私有網(wǎng)段IP網(wǎng)關(guān)（作為IDC主機(jī)托管用戶服務(wù)器IP的網(wǎng)關(guān)）部署在華三S5500。3臺(tái)華三交換機(jī)采用虛擬化技術(shù)IRF（IRF是 Intelligent Resilient Framework的簡(jiǎn)稱，即智能彈性架構(gòu)）將3臺(tái)華三交換機(jī)虛擬成一臺(tái)邏輯交換機(jī)，使用BFD MAD做分裂檢測(cè)。這樣可以大大地提高主干接入層即IDC用戶網(wǎng)關(guān)匯聚點(diǎn)的穩(wěn)定生及可靠性。

IDC接入交換機(jī)通過(guò)雙千兆光纖鏈路分別連接至數(shù)據(jù)中心交換機(jī)1和數(shù)據(jù)中心交換機(jī)2，或者是數(shù)據(jù)中心交換機(jī)2和數(shù)據(jù)中心交換機(jī)3。通過(guò)這種方式可以避免單臺(tái)設(shè)備故障時(shí)，不受影響，仍然可以正常地提供網(wǎng)絡(luò)服務(wù)。

改造后的效果

實(shí)踐證明：通過(guò)以上的升級(jí)改造，利用較少的投資，優(yōu)化了全網(wǎng)結(jié)構(gòu)，大大地提高了網(wǎng)絡(luò)的穩(wěn)定性及可靠性；采用NAT技術(shù)和每一個(gè)用戶一個(gè)VLAN完全避免二層網(wǎng)絡(luò)成環(huán)后，影響其它所有用戶的問(wèn)題；采用基于目的IP和源IP地址的策略路由和Smart智能DNS解析，實(shí)現(xiàn)出方向和入方向智能選擇路由，提高了用戶的感知度；實(shí)現(xiàn)QoS精確帶寬的限制，提高了帶寬資源利用率，豐富了IDC主機(jī)托管的產(chǎn)品種類；同時(shí)進(jìn)一步通過(guò)防火墻和IPS等產(chǎn)品加強(qiáng)網(wǎng)絡(luò)的安全性和可靠性；通過(guò)多線路、多設(shè)備、雙機(jī)冗余，避免了單點(diǎn)故障，減少故障點(diǎn)，盡量實(shí)現(xiàn)設(shè)備與設(shè)備之間、線路與線路之間有冗余、達(dá)到了互聯(lián)網(wǎng)數(shù)據(jù)中心的網(wǎng)絡(luò)故障能在較短的時(shí)間里進(jìn)行修復(fù)，同時(shí)也滿足了客戶對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量的較高要求，提高了用戶的感知度，提升了服務(wù)質(zhì)量。