基于虛擬三層架構(gòu)的企業(yè)園區(qū)網(wǎng)設(shè)計與仿真

孟祥成

（三江學(xué)院 計算機(jī)科學(xué)與工程學(xué)院，江蘇 南京 210012）

傳統(tǒng)的企業(yè)園區(qū)組網(wǎng)基本上采用三層樹形組網(wǎng)，三層樹形組網(wǎng)的優(yōu)勢是可以縮短核心層到接入層的光纖布線距離、支持更大規(guī)模的網(wǎng)絡(luò)、網(wǎng)絡(luò)改造相對較容易。但是該架構(gòu)需要更多的光纖模塊和設(shè)備，整體組網(wǎng)成本也較高[1]。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，散布在網(wǎng)絡(luò)中的設(shè)備資源沒有充分利用起來，資源利用率低下[2]；同時網(wǎng)絡(luò)設(shè)備之間通過較多的傳輸介質(zhì)線纜相互鏈接，難免也會有介質(zhì)傳輸?shù)墓收稀Ｒ虼?，該仿真實驗通過對虛擬化技術(shù)的運(yùn)用，基于虛擬化系統(tǒng)和虛擬路由冗余協(xié)議實現(xiàn)一種虛擬三層架構(gòu)中小企業(yè)辦公網(wǎng)的設(shè)計與仿真實現(xiàn)，降低組網(wǎng)成本和提升整網(wǎng)絡(luò)的可靠性[3]，同時也加深了讀者對一虛多的虛擬化技術(shù)的認(rèn)識具有重要意義。

1 相關(guān)技術(shù)

1.1 虛擬化系統(tǒng)

虛擬化系統(tǒng)VS（Virtual System）是將一臺具有較高性能的物理交換機(jī)設(shè)備虛擬成多臺邏輯上的交換機(jī)設(shè)備[4]。將單個交換機(jī)的硬件資源分配給多個虛擬交換機(jī)，使每個虛擬交換機(jī)都具備一部分的CPU 資源，使單臺交換機(jī)同時為多個任務(wù)提供服務(wù)，從而提高了交換機(jī)資源的利用率，達(dá)到降低硬件數(shù)量成本的目的。

VS 軟件通過復(fù)制物理設(shè)備的進(jìn)程，可以實現(xiàn)三個方面的虛擬化：控制平面虛擬化、管理平面的虛擬化、轉(zhuǎn)發(fā)平面的虛擬化。

控制平面的虛擬化：每個VS 運(yùn)行自己的控制協(xié)議進(jìn)程，一個VS 的進(jìn)程異常對其它VS 不會造成影響。

管理平面的虛擬化：每個VS 維護(hù)自己獨立的配置文件，可以由不同的管理員進(jìn)行管理。

轉(zhuǎn)發(fā)平面的虛擬化：每個VS 維護(hù)自己獨立的轉(zhuǎn)發(fā)表及協(xié)議棧，各VS 之間的數(shù)據(jù)流量不會相互干擾，嚴(yán)格保障業(yè)務(wù)隔離和安全性。

1.2 虛擬路由冗余協(xié)議

虛擬路由協(xié)議VRRP（Virtual Router Redundancy Protocol）是一種提高網(wǎng)絡(luò)可靠性的協(xié)議。通過配置VRRP，可以實現(xiàn)當(dāng)網(wǎng)關(guān)設(shè)備發(fā)生故障時，及時將業(yè)務(wù)切換到備份設(shè)備，從而保證通信的穩(wěn)定性和可靠性。

VRRP 在企業(yè)園區(qū)網(wǎng)中的主要工作過程：（1）VRRP備份組中的虛擬交換機(jī)以優(yōu)先級參數(shù)選舉出主設(shè)備Master，從而作為網(wǎng)絡(luò)流量數(shù)據(jù)報文上下行的設(shè)備。（2）作為Master 的虛擬交換機(jī)間隔一定的時間向備份組內(nèi)所有Backup 設(shè)備發(fā)送VRRP 通告報文。（3）如果Master交換機(jī)出現(xiàn)故障，不能正常工作，VRRP 備份組中的Backup 虛擬交換機(jī)將被選舉作為新的主設(shè)備Master，承擔(dān)網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的任務(wù)。

2 仿真實驗

2.1 虛擬三層網(wǎng)絡(luò)抽象模型

傳統(tǒng)企業(yè)網(wǎng)絡(luò)三層模型為核心層、匯聚層、接入層[5]。根據(jù)功能的不同，每層設(shè)備都需要具有一定功能的物理設(shè)備。核心層與接入層物理設(shè)備相連接，存在投入設(shè)備數(shù)量較多、費(fèi)用較高，容易導(dǎo)致網(wǎng)絡(luò)拓?fù)浠靵y，網(wǎng)絡(luò)管理維護(hù)工作量大等問題。為了有效消除這些影響，企業(yè)辦公網(wǎng)絡(luò)采用了通過VS 進(jìn)行建模的思路，如圖1 所示。

圖1 虛擬三層網(wǎng)絡(luò)抽象的業(yè)務(wù)模型

虛擬三層網(wǎng)絡(luò)業(yè)務(wù)模型的思想是通過VS 劃分隔離不同的業(yè)務(wù)，每個業(yè)務(wù)相對獨立如同運(yùn)行在獨立的設(shè)備上。不同的業(yè)務(wù)可以作為核心層交換機(jī)和多個匯聚層交換機(jī)，通過三層路由協(xié)議實現(xiàn)核心層與匯聚層之間的網(wǎng)絡(luò)通信。通過VS 實現(xiàn)了“核心交換機(jī)+匯聚交換機(jī)+接入交換機(jī)”的三層網(wǎng)絡(luò)邏輯架構(gòu)，可以起到隔離業(yè)務(wù)，提高安全性、可靠性的作用。

2.2 網(wǎng)絡(luò)拓?fù)錁?gòu)建

該企業(yè)辦公網(wǎng)絡(luò)主要分為四個部門：研制部、市場部、財務(wù)部、經(jīng)理部。根據(jù)虛擬三層網(wǎng)絡(luò)抽象的業(yè)務(wù)模型，本次仿真實驗基于eNSP網(wǎng)絡(luò)仿真平臺搭建[6-15]，通過1 臺華為AR3260 路由器、1臺CE12800 交 換 機(jī)、2 臺3700 交換機(jī)、2 臺5700 交換機(jī)以及4 臺PC，虛擬構(gòu)建一個企業(yè)辦公網(wǎng)絡(luò)。網(wǎng)絡(luò)結(jié)構(gòu)如圖2 所示。

圖2 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)圖

在核心層/匯聚層設(shè)備coreSwitchA 上劃分三個VS的業(yè)務(wù)，分別為coreVS1、converVS2 和 converVS3。coreVS1 作為核心層交換機(jī)，converVS2 和converVS3 作為匯聚層交換機(jī)，以實現(xiàn)一臺核心交換機(jī)+兩臺匯聚交換機(jī)+四臺接入交換機(jī)的三層網(wǎng)絡(luò)虛擬邏輯架構(gòu)。核心層業(yè)務(wù)與匯聚層業(yè)務(wù)之間路由通過三層路由協(xié)議開放最短路徑優(yōu)先協(xié)議OSPF 實現(xiàn)。在converVS2 和converVS3 上部署VRRP，實現(xiàn)網(wǎng)關(guān)冗余。接入層設(shè)備switchA、switchB、switchC 和switchD 分別作為企業(yè)辦公的四個部門接入交換機(jī)，只做些VLAN 劃分、接口配置。每臺接入交換機(jī)雙歸接入converVS2 和converVS3，在匯聚交換機(jī)上部署VRRP 實現(xiàn)網(wǎng)關(guān)冗余。PC1、PC2、PC3 和PC4 模擬四個部門的終端設(shè)備。3 臺HUB 作為網(wǎng)線對接頭，用于虛擬交換機(jī)之間端口相連接。

2.3 IP 數(shù)據(jù)設(shè)計

企業(yè)辦公網(wǎng)絡(luò)中設(shè)備相連接口以及IP 地址參數(shù)等信息，見表1 所示。

表1 IP 數(shù)據(jù)規(guī)劃表

2.4 實驗配置

2.4.1 創(chuàng)建VS 業(yè)務(wù)。在coreSwitchA 上創(chuàng)建VS 業(yè)務(wù)coreVS1 作為核心層交換機(jī)，并為該業(yè)務(wù)分配物理端口資源GE1/0/0、GE1/0/1、GE1/0/2、GE1/0/3，主要配置如下。[～core_SW1]admin //進(jìn)入admin 視圖[*core_SW1-admin]virtual-system coreVS1 // 創(chuàng)建VS業(yè)務(wù)coreVS1[*core_SW1-admin-vs:coreVS1]port-mode port //指定端口分配模式[*core_SW1-admin-vs:coreVS1]assign interface GE 1/0/0 to 1/0/3 //為VS 分配物理端口資源

2.4.2 VS 業(yè)務(wù)間路由。使用OSPF 實現(xiàn)核心層業(yè)務(wù)與匯聚層業(yè)務(wù)之間的路由功能，業(yè)務(wù)coreVS1 主要命令如下。[*core_SW1-coreVS1]ospf router-id 10.0.111.111 //進(jìn)入OSPF 視圖，并指定ID 號[*core_SW1-coreVS1-ospf-1]area 0 //創(chuàng)建并進(jìn)入OSPF區(qū)域0 視圖[*core_SW1 -coreVS1 -ospf -1 -area -0.0.0.0]network 10.0.112.0 0.0.0.255 //配置區(qū)域所包含的網(wǎng)段[*core_SW1 -coreVS1 -ospf -1 -area -0.0.0.0]network 10.0.113.0 0.0.0.255[*core_SW1 -coreVS1 -ospf -1 -area -0.0.0.0]network 10.0.110.0 0.0.0.255

2.4.3 鏈路聚合配置。在業(yè)務(wù)coreVS1 中通過將端口g1/0/0 和g1/0/3 捆綁在一起成為一個邏輯接口，增加了鏈路帶寬，同時提高設(shè)備之間鏈路的可靠性。[*core_SW1-coreVS1]interface g1/0/0[*core_SW1-coreVS1-GE1/0/0]eth-trunk 1[*core_SW1-coreVS1-GE1/0/0]interface g1/0/3[*core_SW1-coreVS1-GE1/0/3]eth-trunk 1

2.4.4 在匯聚層converVS2 和converVS3 配置VRRP。

在converVS2 和converVS3 上創(chuàng)建VRRP 四個備份組。備份組1 配置converVS2 的優(yōu)先級為122，converVS3的優(yōu)先級為缺省值100，使converVS2 作為Master 承擔(dān)switchA 上行的流量。[*core_SW1-converVS2]interface Vlanif 22[*core_SW1-converVS2-Vlanif22]ip address 10.0.22.252 24[*core_SW1-converVS2-Vlanif22]vrrp vrid 1 virtual-ip 10.0.22.254 //虛擬網(wǎng)關(guān)[*core_SW1-converVS2-Vlanif22]vrrp vrid 1 priority 122//配置優(yōu)先級

上述列舉了部分關(guān)鍵的代碼，其它VS 業(yè)務(wù)配置、OSPF 配置以及備份組配置等過程配置與上面過程相類似，故省略。

3 仿真結(jié)果

3.1 基本功能配置測試

在admin 視圖下驗證VS 的信息，可以看到VS 中劃分了coreVS1、converVS2、converVS3 三個虛擬系統(tǒng)業(yè)務(wù)，結(jié)果如圖3 所示。

圖3 VS 信息配置驗證

3.2 連通性測試

PC1 與邊界路由器RouterA 進(jìn)行連通性測試，其中RouterA 與coreVS1 鏈路聚會端口地址為10.0.110.1、PC2地址為10.0.44.1，顯示結(jié)果ping 測試如圖4，跟蹤路由測試圖5 所示。

圖4 PC1 與RouterA 連通性ping 測試

圖5 PC1 與RouterA、RouterA 跟蹤路由測試

3.3 可靠性測試

模擬虛擬系統(tǒng)業(yè)務(wù)converVS2 故障，執(zhí)行命令virtual-system converVS2，進(jìn)入VS 管理視圖。執(zhí)行命令shutdown，關(guān)閉VS。由于虛擬系統(tǒng)中運(yùn)行了VRRP 協(xié)議，當(dāng)主業(yè)務(wù)converVS2 故障時，備份業(yè)務(wù)converVS3 將立即工作，PC1 與RouterA 跟蹤路由測試結(jié)果如圖6 所示。

圖6 企業(yè)網(wǎng)可靠性測試

4 結(jié)論

本文以企業(yè)辦公網(wǎng)絡(luò)三層架構(gòu)為基礎(chǔ)，基于eNSP 仿真技術(shù)平臺，設(shè)計實現(xiàn)了一種企業(yè)虛擬三層架構(gòu)網(wǎng)絡(luò)，節(jié)約了網(wǎng)絡(luò)資源、提升了網(wǎng)絡(luò)可靠性。該仿真實驗的設(shè)計與實現(xiàn)不僅可用于其它小型網(wǎng)絡(luò)辦公場所網(wǎng)絡(luò)系統(tǒng)運(yùn)維也可作為教學(xué)案例使用，具有一定的參考價值。