基于虚拟化技术搭建网络

引言：随着业务需求的不断增加，银行信息系统对网络的依赖程度越来越高，对笔者单位网络环境搭建提出了更高的要求，本文介绍用虚拟化技术搭建千兆-万兆网络实例，以供大家学习借鉴。

随着信息技术的不断发展，信息化建设程度不断提高，业务需求在不断增加，银行信息系统对网络的依赖程度越来越高，这对我单位网络环境搭建也提出了更高要求。传统意义上的快速以太网及千兆以太网在某种程度上已经不能满足网络需求。在这样的背景下，我单位着手搭建千兆-万兆网络以满足网络需求。

网络虚拟化技术简介

网络虚拟化主要是将N个物理网络设备通过技术手段组成一个逻辑设备，对网络设备进行统一集中的管理。对于网络虚拟化技术，各设备厂商均推出了自家的虚拟化解决方案，如思科的VSS，华为的CSS，H3C的IRF2等。

网络虚拟化技术主要包括分布设备管理、分布冗余路由和分布链路聚合3个方面的技术。利用虚拟化路由热备份技术，增强虚拟架构可靠性和高性能，消除单点故障，避免业务中断；通过分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份，提高网络架构冗余性和链路资源利用率；共用一个IP管理整个弹性架构，简化网络设备和拓扑管理，提高运营效率。

支持网络虚拟化的设备可以使用户的投资得到更多的价值回报，这主要体现在易管理、易扩充、高可靠性几个方面，多台设备的统一管理、按需购买、平滑扩充；1：N完全备份的高可靠性。

技术方案

1.总体设计

笔者单位全网与互联网物理隔离。网络采用万兆以太网技术，网络结构分为3层，分别是核心层、汇聚层和接入层，网络拓扑图如图1所示。

图1 总体结构图

依据功能进行网络主干规划，核心层采用2台支持IRF2技术的H3C S10508数据中心级交换机构成这个内部网络核心架构，能提供强大的交换机能力和冗余备份，并因采用IRF2技术，能方便地进行管理和扩充。

汇聚层采用支持CSS的华为S7700、S5700系列交换机，分为生产区、工作区、管理区和安全区，通过万兆冗余链路，分别连接到核心设备上，以提高网络的稳定性。

接入层设备采用思科、华为和H3C等公司的可管理接入交换机，通过千兆冗余链路与汇聚交换机连接，具有很好的接入控制能力。

网络出口处采用2台H3C 8804核心路由器作为下联路由器，主要负责省内各地市中支、县支行的接入，并与2台思科7609路由器上联路由器连接，上联总行。

配置两台天融信TG5307组成主备模式，对外联作接入控制。采用2台H3C 8808系列高端路由器作为金融网路由器与130多家外联金融机构连接，由于是单向对金融机构开放服务，因此采用更为简便的静态路由协议。

为了更好地开发“数学益智游戏”校本课程，我们根据不同年龄段学生的心理特点和认知规律，制定了数学益智游戏的“菜单”（即游戏主题和内容）。该课程体系设置基本仿照教科书的编排内容，循序渐进，螺旋上升，分类整合，并确定了每个阶段的目标和内容（见表1）。

整个内部核心交换机、汇聚交换机和下联路由器使用OSPF动态路由协议，上联路由器与下联路由器运行BGP协议，所有访问总行的流量通过默认路由指向上联路由器。

部署入侵检测系统，赛门铁克防病毒软件、LanDesk补丁分发，非法外联防范等加强网络安全。

2.网络结构设计

笔者单位网络规模较大，普通的平面网络结构设计模型难以满足设计的要求；层次型网络设计模型，由于其机构清晰，有良好的伸缩能力，易于实现和排除故障并易于管理等特点，可充分满足网络的需求。

因此，采用基于网络虚拟化的核心结构进行设计，核心层采用H3C的IRF2技术，汇聚层采用华为的CSS技术。其优势有：采用链路冗余设计，保证了整个网络稳定；很好地解决了端口扩展和交换能力，同时增强了设备的可靠性；网络层次结构更加完善、可汇总路由，降低核心路由表项，安全性更高，预防和控制能力更强，将对网络的攻击、病毒和破坏尽量控制在边缘完成；各接入层内部通讯量大，无需通过核心处理，采用层结构更加合理。

3.路由协议设计

考虑到OSPF路由协议调整策略更加灵活，易于网络维护和问题排查，并且现有技术人员对于OSPF协议熟悉程度更好，因此选择OSPF作为省内范围的路由协议。其中省级中支的核心交换机、汇聚交换机等划分到area0中，地市中支与辖属县支行按地域区号尾数划分，分别对应到area2-area9中。

划分区域使网络层次更加分明，不同区域之间的进行路由汇总，间接缩小路由表容量，并减轻路由器转发负担。上联路由器与下联路由器统一运行BGP路由协议，并通过默认路由指向总行。

4.网络管理设计

全网采用静态IP地址，每个入网设备需要注册才能使用，做到每个IP地址责任到人。部署深信服网络流量分析系统，对全网流量传输的数据类型、来源、目标等实施精确监测，随时掌握重要数据链路上“传什么”和“谁在传”等信息。

通过网络流量分析系统，网络管理员均可以根据应用流量情况、分支行带宽利用率、网络时延和重传率情况等指标对相应的网络运行质量进行分析，从而快速发现引起拥堵数据种类、源和目的地址，提高了处理网络问题时“对症下药”的能力。

5.存在的问题及改进

整个网络升级改造基本完成后，网络性能得到极大提升，达到了预期的目标和要求。网络运行过程中，发现电视会议开会期间，到各地市中支、县支行的主链路带宽占用率高，影响了其他业务的正常开展，而备份链路则相对宽松。

导致这个情况主要原因是，为达到链路负载均衡的目的，在OSPF协议的主备链路上COST值设置为相同的值，但地市中支、县支行普遍将业务VLAN、电视会议VLAN主网关设置在主路由器（路由交换一体机）上，因此在电视会议开会过程中，网络流量均偏向了主链路。因此，在下联路由器采用了策略路由，将指向电视会议地址的流量全部引流至备路由器，进而从备链路流向，成功解决了该问题。

结论

网络虚拟化技术提升快速建网能力，节约建网投资和使用成本，加强了网络安全可靠和扩展能力，减轻运维压力，是对网络健壮性提升最有效方式之一。