IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 備份交換機 打造可靠網(wǎng)絡(luò)系統(tǒng)

備份交換機 打造可靠網(wǎng)絡(luò)系統(tǒng)

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

網(wǎng)絡(luò)系統(tǒng)是業(yè)務(wù)系統(tǒng)運行的支撐平臺,系統(tǒng)穩(wěn)定是評價整個網(wǎng)絡(luò)安全性與可靠性的關(guān)鍵因素。采取防火墻防病毒軟件等措施可以保障網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運行,但網(wǎng)絡(luò)核心設(shè)備——交換機的穩(wěn)定運行才是保障網(wǎng)絡(luò)安全與可靠的最基本因素。

網(wǎng)絡(luò)停頓兩個小時后

A公司是一家制造型企業(yè),設(shè)有辦公室、財務(wù)部、一車間、二車間等多個部門。2003年公司采用了Cisco系列交換機來構(gòu)建整個企業(yè)的千兆網(wǎng)絡(luò)系統(tǒng)

其中,網(wǎng)絡(luò)的核心層采用的是Cisco Catalyst 6509設(shè)備,匯聚采用的是Cisco 3560G,接入層采用的是Cisco 2950系列交換機。所有交換機之間均采用光纖進(jìn)行連接。

2008年,該公司的ERP系統(tǒng)正式上線運行了。生產(chǎn)、采購、銷售等各個部門的業(yè)務(wù)處理全部依賴該ERP系統(tǒng)。突然有一天,公司的核心交換機引擎發(fā)生故障,導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)中斷,各個部門均不能使用ERP系統(tǒng),整個公司的業(yè)務(wù)幾乎停頓。所幸集成商及時趕到,提供了備份引擎,及時解決了這次突發(fā)事件。但是整個網(wǎng)絡(luò)停頓了將近兩個小時,造成的損失很大。

事發(fā)后,公司盡管更換了核心交換機引擎,恢復(fù)了系統(tǒng)的正常運行。但是作為CIO的老劉心里還是很擔(dān)心:目前公司的經(jīng)營管理都依賴ERP系統(tǒng),如果網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障,則意味著生產(chǎn)經(jīng)營的停頓。這次雖然及時解決了故障,但是難免下次還會再次出現(xiàn)類似的安全事故。想到這里,老劉一陣寒戰(zhàn)。經(jīng)過仔細(xì)思量,老劉決定成立網(wǎng)絡(luò)改造項目小組,對公司現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)行分析和改造,構(gòu)建一個高安全性和高可靠性的網(wǎng)絡(luò)系統(tǒng)。

經(jīng)過對現(xiàn)有網(wǎng)絡(luò)的狀況進(jìn)行分析,項目小組總結(jié)出了公司網(wǎng)絡(luò)系統(tǒng)存在的幾個典型問題:

1. 現(xiàn)有的Cisco 6509核心交換機引擎是整個網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)的關(guān)鍵。因此,交換機引擎的失效就意味著系統(tǒng)的癱瘓。而公司的核心交換機一直以來采用的都是單引擎,這也是此次安全事故發(fā)生的根本原因所在。

2.除了核心交換機可能出現(xiàn)故障外,一般匯聚層和接入層的交換機也可能發(fā)生故障,而且其故障發(fā)生的頻率明顯要高于核心交換機。雖然此類故障發(fā)生時不會影響整個網(wǎng)絡(luò),但也會造成局部網(wǎng)絡(luò)癱瘓,從而產(chǎn)生小的安全事故。

3.鏈路也存在發(fā)生安全故障的可能性。因為原有系統(tǒng)鋪設(shè)的光纜均為6芯,但在實際使用過程中只融接了其中的2芯。一旦鏈路中斷,故障也就不可避免。

改造網(wǎng)絡(luò)的兩種方案

基于此,項目小組認(rèn)為要想保證各項業(yè)務(wù)的正常運行,網(wǎng)絡(luò)必須具有高可靠性,決不能出現(xiàn)單點故障。這就需要從整個網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計、設(shè)備選型和日常維護(hù)等方面出發(fā)進(jìn)行網(wǎng)絡(luò)的高可靠性設(shè)計和改造。同時,關(guān)鍵設(shè)備要采用硬件備份、冗余等可靠性技術(shù),以提高安全性和可靠性。針對該公司網(wǎng)絡(luò)的實際情況,其可用性設(shè)計要包括網(wǎng)絡(luò)設(shè)備本身的冗余能力和網(wǎng)絡(luò)的冗余設(shè)計。而當(dāng)前的關(guān)鍵是建立N+1備份系統(tǒng),一旦主系統(tǒng)發(fā)生故障,仍可采用備份系統(tǒng)維持運行。經(jīng)過深思熟慮,項目小組提出了兩種解決方案。

方案一:考慮到引擎是6509交換機,決定增加1臺引擎作為備份;增加一臺6509交換機以進(jìn)行核心交換機冗余,該交換機的配置要與當(dāng)前6509交換機一樣;在鏈路冗余方面,主干連接(主干設(shè)備之間及其與匯接設(shè)備之間的連接)要具備可靠的線路冗余方式;在路由冗余方面,采用動態(tài)路由協(xié)議以實現(xiàn)路由冗余,當(dāng)鏈路中斷時,路由能夠迅速收斂。

方案二:首先對核心交換機進(jìn)行冗余;其次對網(wǎng)絡(luò)系統(tǒng)中的光纖鏈路進(jìn)行冗余;最后,進(jìn)行匯聚層交換機冗余,匯聚層設(shè)備雖然可靠性較高,但是也存在設(shè)備的單點故障問題,因此需要對匯聚層交換機進(jìn)行冗余。

項目小組經(jīng)過討論,最終認(rèn)為,方案二中雙匯聚交換機能夠消除匯聚層設(shè)備的單點故障問題,相對來說具有更高的可靠性,但成本相對更高。同時,其實施和日常維修管理的技術(shù)難度也將大大提高。而方案一對核心設(shè)備和物理鏈路都進(jìn)行了冗余,問題考慮得更為全面,而且實施成本較低。因此,項目小組決定采用方案一對公司的網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造。同時,對于匯聚層、接入層采用N+1的備份方案,即各購買一臺匯聚層交換機和接入層交換機作為日常備用產(chǎn)品,并不投入系統(tǒng)運行。

實施安全的改造方案

按照原定的設(shè)計方案,在核心層增加一臺Cisco 6509交換機,其配置與原有的Cisco 6509配置相同,均放置在核心機房。同時,在匯聚層交換機上增加一塊光纖模塊,上連到新的Cisco 6509交換機。由于重新鋪設(shè)光纜成本較高,而原有系統(tǒng)鋪設(shè)的光纜均為6芯光纜。因此,要充分利用剩余的4芯,接入層保持不變。

鏈路聚合技術(shù) 鏈路匯聚是指將多個交換機之間、交換機和路由器之間以及交換機和服務(wù)器之間的并行鏈路同時使用,其功能是將交換機的多個低帶寬端口捆綁成一條高帶寬鏈路,從而實現(xiàn)鏈路的負(fù)載平衡,避免鏈路出現(xiàn)擁塞現(xiàn)象。通過該技術(shù),可將最多8條鏈路綁在一起,疊加傳輸帶寬,從而使快速以太網(wǎng)和千兆以太網(wǎng)實現(xiàn)最高800Mbps和8Gbps的連接帶寬。同時,當(dāng)部分端口聚合鏈路出現(xiàn)故障時,也不會導(dǎo)致連接中斷,其他鏈路將能夠不受影響地正常工作,從而增強了網(wǎng)絡(luò)的穩(wěn)定性和安全性。

單條GE鏈路在正常狀態(tài)下的鏈路帶寬為1G,采用鏈路聚合技術(shù)對兩條鏈路進(jìn)行聚合后,其上行帶寬可由原來的1G變?yōu)?G,同時,當(dāng)其中1條鏈路中斷時,整個鏈路仍可采用1G速率正常通信。這樣就實現(xiàn)了鏈路的冗余。

在進(jìn)行端口聚合的配置時,有大量的參數(shù)可供選擇,本案例僅選取基本的參數(shù)進(jìn)行配置。

熱備份路由協(xié)議 由于當(dāng)前網(wǎng)絡(luò)均采用Cisco網(wǎng)絡(luò)設(shè)備,因此可以采用Cisco的熱備份路由協(xié)議(HSRP)實現(xiàn)路由冗余。HSRP的目的在于當(dāng)有冗余交換機的時候,使主機看上去只使用一個交換機,并且即使在它當(dāng)前所使用的交換機出現(xiàn)故障的情況下,仍能夠保持路由的連通性。HSRP協(xié)議中所涉及到的多個交換機都映射為一個虛擬的交換機。如果核心交換機A和核心交換機B的默認(rèn)地址分別為192.168.1.2和192.168.1.3,虛擬交換機的地址為192.168.1.1,那么對于其他設(shè)備來說,只有一個虛擬的交換機,其地址為192.168.1.1。

HSRP使主交換機代替虛擬交換機進(jìn)行數(shù)據(jù)包的發(fā)送,終端把數(shù)據(jù)包發(fā)向該虛擬交換機,而實際轉(zhuǎn)發(fā)數(shù)據(jù)包的卻是主交換機。假如這個主交換機在某個時候由于某種原因而無法正常工作的話,那么備份的交換機將被用來代替原來的主交換機,承擔(dān)數(shù)據(jù)包的轉(zhuǎn)發(fā)功能,而不會在對主機的連通性上產(chǎn)生大的故障。

網(wǎng)絡(luò)中的主交換機和備份交換機在完成HSRP協(xié)議的選擇過程后發(fā)送消息包來實現(xiàn)主、備交換機之間的信息交換。假如主交換機失效,則備份交換機將取代它作為新的主交換機工作。而當(dāng)備份交換機失效或者變成主交換機時,另外一個交換機將被選為備份交換機。一般根據(jù)需要選擇部分配置作為交換機的實際配置并在主、備交換機上同時實現(xiàn)。

基于以上方案,項目小組順利完成了對公司網(wǎng)絡(luò)系統(tǒng)的改造。老劉認(rèn)為,網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性是全部業(yè)務(wù)運行的安全保障,系統(tǒng)安全也就意味著可靠性。公司網(wǎng)絡(luò)系統(tǒng)經(jīng)過本次改造,基本可以保障業(yè)務(wù)系統(tǒng)的安全運行。

此外,在網(wǎng)絡(luò)系統(tǒng)的建設(shè)中,還要注重系統(tǒng)維護(hù)的方便性和可管理性。過于復(fù)雜的系統(tǒng)對技術(shù)人員的素質(zhì)要求和系統(tǒng)的恢復(fù)時間等都提出了很高的要求,如果不能滿足這些要求,反倒成了不安全因素。因此,在系統(tǒng)安全的建設(shè)中一定要把握好這個度。

關(guān)鍵詞標(biāo)簽:交換機,網(wǎng)絡(luò)系統(tǒng)

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量