一種信息網(wǎng)絡(luò)上聯(lián)雙鏈路方案的設(shè)計(jì)與實(shí)現(xiàn)
2014-11-19 22:51:42尹秀艷田新成
電子技術(shù)與軟件工程 2014年20期
尹秀艷 田新成
摘 要 隨著電力企業(yè)信息化的不斷發(fā)展,信息網(wǎng)絡(luò)的可靠性顯得越來越重要,它承載了地區(qū)信息網(wǎng)絡(luò)的全部生產(chǎn)、管理業(yè)務(wù)。目前,唐山信息網(wǎng)絡(luò)通信系統(tǒng)與上級(jí)信息系統(tǒng)互聯(lián)為單鏈路、單設(shè)備上聯(lián),鏈路中任何環(huán)節(jié)發(fā)生故障,就會(huì)影響各類運(yùn)營業(yè)務(wù),存在較大的安全隱患。本文首先對(duì)雙防火墻組網(wǎng)技術(shù)簡要介紹,提出并分析了雙鏈路上聯(lián)方案和設(shè)計(jì)原則,重點(diǎn)對(duì)雙上聯(lián)關(guān)鍵技術(shù)探討與應(yīng)用,最后對(duì)雙鏈路設(shè)計(jì)方案實(shí)施效果進(jìn)行有針對(duì)性的實(shí)驗(yàn)驗(yàn)證。
【關(guān)鍵詞】信息網(wǎng)絡(luò) 雙鏈路 關(guān)鍵技術(shù)
唐山供電公司(以下簡稱唐供)至冀北電力有限公司(以下簡稱冀北)的信息網(wǎng)絡(luò)通道,是唐供信息最關(guān)鍵的通道。以往,唐山供電公司與上級(jí)單位冀北電力有限公司采用單鏈路、單設(shè)備上聯(lián),一旦鏈路或者設(shè)備出現(xiàn)故障,唐供內(nèi)包括5E系統(tǒng)、卡表售電系統(tǒng)等在內(nèi)的所有辦公業(yè)務(wù)將會(huì)停運(yùn),這嚴(yán)重影響了公司的正常的生產(chǎn)運(yùn)行,給公司帶來了不利的影響。為避免這種情況的出現(xiàn),實(shí)現(xiàn)雙設(shè)備雙鏈路尤為必要。
1 雙防火墻組網(wǎng)技術(shù)簡介
要實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性,首先應(yīng)該排除網(wǎng)絡(luò)中的單點(diǎn)故障點(diǎn),使網(wǎng)絡(luò)在任何一臺(tái)網(wǎng)絡(luò)設(shè)備失效時(shí)仍能提供網(wǎng)絡(luò)服務(wù)。這種方案通常要在核心層配置最少兩臺(tái)交換機(jī),同樣在防火墻層配置最少兩臺(tái)防火墻。為實(shí)驗(yàn)上述功能要求,防火墻必須應(yīng)用專門的雙機(jī)容錯(cuò)技術(shù),一般防火墻都有該功能,成為Failover(故障切換)或者“HA”。這種功能要求防火墻的兩端設(shè)備必須具有交換功能,對(duì)于兩個(gè)相互做Failover的設(shè)備,互為備份的鏈路需要有相同的配置。
2 上聯(lián)雙鏈路方案設(shè)計(jì)概況
2.1 方案背景
唐供至冀北的信息網(wǎng)絡(luò)通道,是唐供信息最關(guān)鍵的通道,承載了唐山地區(qū)信息網(wǎng)絡(luò)的全部生產(chǎn)、管理業(yè)務(wù)。唐供信息并非直連冀北,而是使用了綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)提供的通道。綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)為MPLS-VPN網(wǎng)絡(luò),由兩臺(tái)路由器作為雙鏈路出口,唐供信息用2臺(tái)核心路由器7609連接到雙鏈路上,2個(gè)內(nèi)置于7609上的防火墻模塊(FWSM)對(duì)唐供信息網(wǎng)絡(luò)和綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)進(jìn)行隔離。示意圖如1所示。
2.2 設(shè)計(jì)原則
(1)使用靜態(tài)路由穿過網(wǎng)絡(luò)邊界,即:不啟用動(dòng)態(tài)路由學(xué)習(xí)對(duì)方網(wǎng)絡(luò),同時(shí)降低對(duì)方設(shè)備配置的復(fù)雜度。(2)雙鏈路具備同時(shí)使用的能力,但從實(shí)用出發(fā),保障安全穩(wěn)定要優(yōu)先于追求線路利用率。(3)一旦出現(xiàn)非對(duì)稱路由,網(wǎng)絡(luò)不受其影響。(4)具備自動(dòng)切換能力,最大限度保證網(wǎng)絡(luò)可用性。
3 關(guān)鍵技術(shù)設(shè)計(jì)與應(yīng)用
3.1 防火墻A/A模式設(shè)計(jì)
考慮到路由模式在邏輯上更獨(dú)立,路由模式下通過靜態(tài)路由可以選擇:1路為主、1路為備,或兩路同時(shí)使用即一邊一個(gè)包。由于FWSM功能的限制,單防火墻對(duì)雙出口實(shí)現(xiàn)檢測(cè)和切換沒有經(jīng)過論證和測(cè)試。設(shè)計(jì)方案選擇了A/A模式,原理為:將一塊單防火墻虛擬為2個(gè)墻,另一塊防火墻同樣對(duì)稱虛擬為2個(gè)墻,4個(gè)墻兩兩成對(duì),每對(duì)運(yùn)行A/S。2對(duì)A/S防火墻分別對(duì)應(yīng)了2條鏈路,同時(shí)2個(gè)Active防火墻可以物理上分開在2個(gè)FWSM模塊上,因此具有實(shí)現(xiàn)負(fù)載均衡的能力。
3.2 非對(duì)稱路由(ASR)問題解決方法
應(yīng)用“ASR group”功能,當(dāng)asr-group的接口收到數(shù)據(jù)包而沒有會(huì)話信息時(shí),將在同group中其它的接口檢查,一旦發(fā)現(xiàn)符合,將重寫2層包頭并轉(zhuǎn)往相應(yīng)端口。asr-group并不是接收了非對(duì)稱路由,而是將非對(duì)稱路由的數(shù)據(jù)包轉(zhuǎn)給正確的接口。asr-group生效的前提條件為:A/A模式的failover、配置Stateful Failover(狀態(tài)同步)功能,配置replication http功能。
3.3 備用靜態(tài)路由切換設(shè)計(jì)
靜態(tài)路由本身沒有機(jī)制來確定路由是否仍然可用,應(yīng)用 “對(duì)象跟蹤”功能(Enhanced Object Tracking),通過將一個(gè)靜態(tài)路由與一個(gè)預(yù)定義的監(jiān)視目標(biāo)進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)了檢測(cè)和切換。設(shè)備通過IP SLA功能,使用ICMP echo-request數(shù)據(jù)包來監(jiān)視目標(biāo)。如果沒有在特定的時(shí)間段內(nèi)收到ICMP echo-reply,設(shè)備就會(huì)認(rèn)為對(duì)方已經(jīng)不可用,于是它會(huì)將相關(guān)的靜態(tài)路由刪除。此時(shí),原來配置為低優(yōu)先級(jí)的備用路由會(huì)啟用,用以取代被刪除的路由。
4 實(shí)驗(yàn)檢驗(yàn)
4.1 路由切換功能實(shí)驗(yàn)
使用4臺(tái)3750交換機(jī),模擬信息和通訊互連的4臺(tái)設(shè)備SW1和SW2模擬7609-1和7609-2,啟用OSPF+靜態(tài)路由SW2和SW3模擬M320和M120,啟用靜態(tài)路由。使用SW2上的Loopback0模擬冀北的DNS-1,使用SW3上的Loopback0模擬冀北的DNS-2。目的是測(cè)試備用靜態(tài)路由功能,測(cè)試IP SLA功能,測(cè)試策略路由功能,測(cè)試“對(duì)象跟蹤”功能。
4.2 雙鏈路故障實(shí)測(cè)檢驗(yàn)
切換前后配置拓?fù)鋱D如圖2所示,切換前2臺(tái)7609作為信息網(wǎng)絡(luò)接口設(shè)備,2臺(tái)7609上各配置1塊FWSM,其中FWSM-1運(yùn)行,F(xiàn)WSM-2未上線,M320作為接口設(shè)備。切換后2條線路物理連接為:7609-1至M320、7609-2至M120,2臺(tái)FWSM完成A/A模式配置,
核心7609-1、7609-2進(jìn)行配置,優(yōu)選M320一路為主鏈路,優(yōu)選7609-1為默認(rèn)路由發(fā)布者,配置M120一路為備鏈路,7609-2為備用默認(rèn)路由發(fā)布者,使用檢測(cè)功能,能夠?qū)崿F(xiàn)故障檢測(cè)后的線路切換。
5 結(jié)論
本文主要對(duì)一種信息網(wǎng)絡(luò)上聯(lián)雙鏈路方案的設(shè)計(jì)與改進(jìn),提出了一種可靠性更高的雙鏈路互備切換方案,并對(duì)關(guān)鍵技術(shù)如具有故障切換功能的防火墻負(fù)載均衡模式組網(wǎng)技術(shù)、非對(duì)稱路由問題解決方式以及備用靜態(tài)路由切換設(shè)計(jì)方法探討分析。最后進(jìn)行了路由切換功能實(shí)驗(yàn)和雙鏈路故障實(shí)測(cè)檢驗(yàn)。實(shí)測(cè)結(jié)果和運(yùn)行經(jīng)驗(yàn)表明該雙鏈路設(shè)計(jì)方案能夠滿足與冀北上聯(lián)穩(wěn)定、可靠運(yùn)行要求,減少了故障率,保證了關(guān)鍵業(yè)務(wù)的實(shí)時(shí)有效傳輸。該設(shè)計(jì)方案可以廣泛應(yīng)用于信息系統(tǒng)上聯(lián)鏈路改造工作中。
參考文獻(xiàn)
[1]孫瑩,王葵.電力系統(tǒng)自動(dòng)化[M].北京:中國電力出版社,2004:51-65.
[2]李研.防火墻在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用[J].電子測(cè)試,2013(5):127-129.
[3]鄭黎輝,王啟東.基于SDH和ADSL雙鏈路冗余的通信網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2009,30(20):4624-4626.
[4]劉繼君,徐家澍,秦學(xué)東.內(nèi)蒙古電力信息網(wǎng)絡(luò)安全技術(shù)分析[J].內(nèi)蒙古電力技術(shù),2009,27 (5):53-55.
作者簡介
尹秀艷 (1982-),女,山東省臨沂市人。現(xiàn)為唐山供電公司工程師,從事運(yùn)營監(jiān)測(cè)和信息通信工作。
田新成 (1982-),男,河北省唐山市人。現(xiàn)為唐山供電公司工程師,從事調(diào)度自動(dòng)化工作。
作者單位
唐山供電公司 河北省唐山市 063000
摘 要 隨著電力企業(yè)信息化的不斷發(fā)展,信息網(wǎng)絡(luò)的可靠性顯得越來越重要,它承載了地區(qū)信息網(wǎng)絡(luò)的全部生產(chǎn)、管理業(yè)務(wù)。目前,唐山信息網(wǎng)絡(luò)通信系統(tǒng)與上級(jí)信息系統(tǒng)互聯(lián)為單鏈路、單設(shè)備上聯(lián),鏈路中任何環(huán)節(jié)發(fā)生故障,就會(huì)影響各類運(yùn)營業(yè)務(wù),存在較大的安全隱患。本文首先對(duì)雙防火墻組網(wǎng)技術(shù)簡要介紹,提出并分析了雙鏈路上聯(lián)方案和設(shè)計(jì)原則,重點(diǎn)對(duì)雙上聯(lián)關(guān)鍵技術(shù)探討與應(yīng)用,最后對(duì)雙鏈路設(shè)計(jì)方案實(shí)施效果進(jìn)行有針對(duì)性的實(shí)驗(yàn)驗(yàn)證。
【關(guān)鍵詞】信息網(wǎng)絡(luò) 雙鏈路 關(guān)鍵技術(shù)
唐山供電公司(以下簡稱唐供)至冀北電力有限公司(以下簡稱冀北)的信息網(wǎng)絡(luò)通道,是唐供信息最關(guān)鍵的通道。以往,唐山供電公司與上級(jí)單位冀北電力有限公司采用單鏈路、單設(shè)備上聯(lián),一旦鏈路或者設(shè)備出現(xiàn)故障,唐供內(nèi)包括5E系統(tǒng)、卡表售電系統(tǒng)等在內(nèi)的所有辦公業(yè)務(wù)將會(huì)停運(yùn),這嚴(yán)重影響了公司的正常的生產(chǎn)運(yùn)行,給公司帶來了不利的影響。為避免這種情況的出現(xiàn),實(shí)現(xiàn)雙設(shè)備雙鏈路尤為必要。
1 雙防火墻組網(wǎng)技術(shù)簡介
要實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性,首先應(yīng)該排除網(wǎng)絡(luò)中的單點(diǎn)故障點(diǎn),使網(wǎng)絡(luò)在任何一臺(tái)網(wǎng)絡(luò)設(shè)備失效時(shí)仍能提供網(wǎng)絡(luò)服務(wù)。這種方案通常要在核心層配置最少兩臺(tái)交換機(jī),同樣在防火墻層配置最少兩臺(tái)防火墻。為實(shí)驗(yàn)上述功能要求,防火墻必須應(yīng)用專門的雙機(jī)容錯(cuò)技術(shù),一般防火墻都有該功能,成為Failover(故障切換)或者“HA”。這種功能要求防火墻的兩端設(shè)備必須具有交換功能,對(duì)于兩個(gè)相互做Failover的設(shè)備,互為備份的鏈路需要有相同的配置。
2 上聯(lián)雙鏈路方案設(shè)計(jì)概況
2.1 方案背景
唐供至冀北的信息網(wǎng)絡(luò)通道,是唐供信息最關(guān)鍵的通道,承載了唐山地區(qū)信息網(wǎng)絡(luò)的全部生產(chǎn)、管理業(yè)務(wù)。唐供信息并非直連冀北,而是使用了綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)提供的通道。綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)為MPLS-VPN網(wǎng)絡(luò),由兩臺(tái)路由器作為雙鏈路出口,唐供信息用2臺(tái)核心路由器7609連接到雙鏈路上,2個(gè)內(nèi)置于7609上的防火墻模塊(FWSM)對(duì)唐供信息網(wǎng)絡(luò)和綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)進(jìn)行隔離。示意圖如1所示。
2.2 設(shè)計(jì)原則
(1)使用靜態(tài)路由穿過網(wǎng)絡(luò)邊界,即:不啟用動(dòng)態(tài)路由學(xué)習(xí)對(duì)方網(wǎng)絡(luò),同時(shí)降低對(duì)方設(shè)備配置的復(fù)雜度。(2)雙鏈路具備同時(shí)使用的能力,但從實(shí)用出發(fā),保障安全穩(wěn)定要優(yōu)先于追求線路利用率。(3)一旦出現(xiàn)非對(duì)稱路由,網(wǎng)絡(luò)不受其影響。(4)具備自動(dòng)切換能力,最大限度保證網(wǎng)絡(luò)可用性。
3 關(guān)鍵技術(shù)設(shè)計(jì)與應(yīng)用
3.1 防火墻A/A模式設(shè)計(jì)
考慮到路由模式在邏輯上更獨(dú)立,路由模式下通過靜態(tài)路由可以選擇:1路為主、1路為備,或兩路同時(shí)使用即一邊一個(gè)包。由于FWSM功能的限制,單防火墻對(duì)雙出口實(shí)現(xiàn)檢測(cè)和切換沒有經(jīng)過論證和測(cè)試。設(shè)計(jì)方案選擇了A/A模式,原理為:將一塊單防火墻虛擬為2個(gè)墻,另一塊防火墻同樣對(duì)稱虛擬為2個(gè)墻,4個(gè)墻兩兩成對(duì),每對(duì)運(yùn)行A/S。2對(duì)A/S防火墻分別對(duì)應(yīng)了2條鏈路,同時(shí)2個(gè)Active防火墻可以物理上分開在2個(gè)FWSM模塊上,因此具有實(shí)現(xiàn)負(fù)載均衡的能力。
3.2 非對(duì)稱路由(ASR)問題解決方法
應(yīng)用“ASR group”功能,當(dāng)asr-group的接口收到數(shù)據(jù)包而沒有會(huì)話信息時(shí),將在同group中其它的接口檢查,一旦發(fā)現(xiàn)符合,將重寫2層包頭并轉(zhuǎn)往相應(yīng)端口。asr-group并不是接收了非對(duì)稱路由,而是將非對(duì)稱路由的數(shù)據(jù)包轉(zhuǎn)給正確的接口。asr-group生效的前提條件為:A/A模式的failover、配置Stateful Failover(狀態(tài)同步)功能,配置replication http功能。
3.3 備用靜態(tài)路由切換設(shè)計(jì)
靜態(tài)路由本身沒有機(jī)制來確定路由是否仍然可用,應(yīng)用 “對(duì)象跟蹤”功能(Enhanced Object Tracking),通過將一個(gè)靜態(tài)路由與一個(gè)預(yù)定義的監(jiān)視目標(biāo)進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)了檢測(cè)和切換。設(shè)備通過IP SLA功能,使用ICMP echo-request數(shù)據(jù)包來監(jiān)視目標(biāo)。如果沒有在特定的時(shí)間段內(nèi)收到ICMP echo-reply,設(shè)備就會(huì)認(rèn)為對(duì)方已經(jīng)不可用,于是它會(huì)將相關(guān)的靜態(tài)路由刪除。此時(shí),原來配置為低優(yōu)先級(jí)的備用路由會(huì)啟用,用以取代被刪除的路由。
4 實(shí)驗(yàn)檢驗(yàn)
4.1 路由切換功能實(shí)驗(yàn)
使用4臺(tái)3750交換機(jī),模擬信息和通訊互連的4臺(tái)設(shè)備SW1和SW2模擬7609-1和7609-2,啟用OSPF+靜態(tài)路由SW2和SW3模擬M320和M120,啟用靜態(tài)路由。使用SW2上的Loopback0模擬冀北的DNS-1,使用SW3上的Loopback0模擬冀北的DNS-2。目的是測(cè)試備用靜態(tài)路由功能,測(cè)試IP SLA功能,測(cè)試策略路由功能,測(cè)試“對(duì)象跟蹤”功能。
4.2 雙鏈路故障實(shí)測(cè)檢驗(yàn)
切換前后配置拓?fù)鋱D如圖2所示,切換前2臺(tái)7609作為信息網(wǎng)絡(luò)接口設(shè)備,2臺(tái)7609上各配置1塊FWSM,其中FWSM-1運(yùn)行,F(xiàn)WSM-2未上線,M320作為接口設(shè)備。切換后2條線路物理連接為:7609-1至M320、7609-2至M120,2臺(tái)FWSM完成A/A模式配置,
核心7609-1、7609-2進(jìn)行配置,優(yōu)選M320一路為主鏈路,優(yōu)選7609-1為默認(rèn)路由發(fā)布者,配置M120一路為備鏈路,7609-2為備用默認(rèn)路由發(fā)布者,使用檢測(cè)功能,能夠?qū)崿F(xiàn)故障檢測(cè)后的線路切換。
5 結(jié)論
本文主要對(duì)一種信息網(wǎng)絡(luò)上聯(lián)雙鏈路方案的設(shè)計(jì)與改進(jìn),提出了一種可靠性更高的雙鏈路互備切換方案,并對(duì)關(guān)鍵技術(shù)如具有故障切換功能的防火墻負(fù)載均衡模式組網(wǎng)技術(shù)、非對(duì)稱路由問題解決方式以及備用靜態(tài)路由切換設(shè)計(jì)方法探討分析。最后進(jìn)行了路由切換功能實(shí)驗(yàn)和雙鏈路故障實(shí)測(cè)檢驗(yàn)。實(shí)測(cè)結(jié)果和運(yùn)行經(jīng)驗(yàn)表明該雙鏈路設(shè)計(jì)方案能夠滿足與冀北上聯(lián)穩(wěn)定、可靠運(yùn)行要求,減少了故障率,保證了關(guān)鍵業(yè)務(wù)的實(shí)時(shí)有效傳輸。該設(shè)計(jì)方案可以廣泛應(yīng)用于信息系統(tǒng)上聯(lián)鏈路改造工作中。
參考文獻(xiàn)
[1]孫瑩,王葵.電力系統(tǒng)自動(dòng)化[M].北京:中國電力出版社,2004:51-65.
[2]李研.防火墻在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用[J].電子測(cè)試,2013(5):127-129.
[3]鄭黎輝,王啟東.基于SDH和ADSL雙鏈路冗余的通信網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2009,30(20):4624-4626.
[4]劉繼君,徐家澍,秦學(xué)東.內(nèi)蒙古電力信息網(wǎng)絡(luò)安全技術(shù)分析[J].內(nèi)蒙古電力技術(shù),2009,27 (5):53-55.
作者簡介
尹秀艷 (1982-),女,山東省臨沂市人。現(xiàn)為唐山供電公司工程師,從事運(yùn)營監(jiān)測(cè)和信息通信工作。
田新成 (1982-),男,河北省唐山市人。現(xiàn)為唐山供電公司工程師,從事調(diào)度自動(dòng)化工作。
作者單位
唐山供電公司 河北省唐山市 063000
摘 要 隨著電力企業(yè)信息化的不斷發(fā)展,信息網(wǎng)絡(luò)的可靠性顯得越來越重要,它承載了地區(qū)信息網(wǎng)絡(luò)的全部生產(chǎn)、管理業(yè)務(wù)。目前,唐山信息網(wǎng)絡(luò)通信系統(tǒng)與上級(jí)信息系統(tǒng)互聯(lián)為單鏈路、單設(shè)備上聯(lián),鏈路中任何環(huán)節(jié)發(fā)生故障,就會(huì)影響各類運(yùn)營業(yè)務(wù),存在較大的安全隱患。本文首先對(duì)雙防火墻組網(wǎng)技術(shù)簡要介紹,提出并分析了雙鏈路上聯(lián)方案和設(shè)計(jì)原則,重點(diǎn)對(duì)雙上聯(lián)關(guān)鍵技術(shù)探討與應(yīng)用,最后對(duì)雙鏈路設(shè)計(jì)方案實(shí)施效果進(jìn)行有針對(duì)性的實(shí)驗(yàn)驗(yàn)證。
【關(guān)鍵詞】信息網(wǎng)絡(luò) 雙鏈路 關(guān)鍵技術(shù)
唐山供電公司(以下簡稱唐供)至冀北電力有限公司(以下簡稱冀北)的信息網(wǎng)絡(luò)通道,是唐供信息最關(guān)鍵的通道。以往,唐山供電公司與上級(jí)單位冀北電力有限公司采用單鏈路、單設(shè)備上聯(lián),一旦鏈路或者設(shè)備出現(xiàn)故障,唐供內(nèi)包括5E系統(tǒng)、卡表售電系統(tǒng)等在內(nèi)的所有辦公業(yè)務(wù)將會(huì)停運(yùn),這嚴(yán)重影響了公司的正常的生產(chǎn)運(yùn)行,給公司帶來了不利的影響。為避免這種情況的出現(xiàn),實(shí)現(xiàn)雙設(shè)備雙鏈路尤為必要。
1 雙防火墻組網(wǎng)技術(shù)簡介
要實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性,首先應(yīng)該排除網(wǎng)絡(luò)中的單點(diǎn)故障點(diǎn),使網(wǎng)絡(luò)在任何一臺(tái)網(wǎng)絡(luò)設(shè)備失效時(shí)仍能提供網(wǎng)絡(luò)服務(wù)。這種方案通常要在核心層配置最少兩臺(tái)交換機(jī),同樣在防火墻層配置最少兩臺(tái)防火墻。為實(shí)驗(yàn)上述功能要求,防火墻必須應(yīng)用專門的雙機(jī)容錯(cuò)技術(shù),一般防火墻都有該功能,成為Failover(故障切換)或者“HA”。這種功能要求防火墻的兩端設(shè)備必須具有交換功能,對(duì)于兩個(gè)相互做Failover的設(shè)備,互為備份的鏈路需要有相同的配置。
2 上聯(lián)雙鏈路方案設(shè)計(jì)概況
2.1 方案背景
唐供至冀北的信息網(wǎng)絡(luò)通道,是唐供信息最關(guān)鍵的通道,承載了唐山地區(qū)信息網(wǎng)絡(luò)的全部生產(chǎn)、管理業(yè)務(wù)。唐供信息并非直連冀北,而是使用了綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)提供的通道。綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)為MPLS-VPN網(wǎng)絡(luò),由兩臺(tái)路由器作為雙鏈路出口,唐供信息用2臺(tái)核心路由器7609連接到雙鏈路上,2個(gè)內(nèi)置于7609上的防火墻模塊(FWSM)對(duì)唐供信息網(wǎng)絡(luò)和綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)進(jìn)行隔離。示意圖如1所示。
2.2 設(shè)計(jì)原則
(1)使用靜態(tài)路由穿過網(wǎng)絡(luò)邊界,即:不啟用動(dòng)態(tài)路由學(xué)習(xí)對(duì)方網(wǎng)絡(luò),同時(shí)降低對(duì)方設(shè)備配置的復(fù)雜度。(2)雙鏈路具備同時(shí)使用的能力,但從實(shí)用出發(fā),保障安全穩(wěn)定要優(yōu)先于追求線路利用率。(3)一旦出現(xiàn)非對(duì)稱路由,網(wǎng)絡(luò)不受其影響。(4)具備自動(dòng)切換能力,最大限度保證網(wǎng)絡(luò)可用性。
3 關(guān)鍵技術(shù)設(shè)計(jì)與應(yīng)用
3.1 防火墻A/A模式設(shè)計(jì)
考慮到路由模式在邏輯上更獨(dú)立,路由模式下通過靜態(tài)路由可以選擇:1路為主、1路為備,或兩路同時(shí)使用即一邊一個(gè)包。由于FWSM功能的限制,單防火墻對(duì)雙出口實(shí)現(xiàn)檢測(cè)和切換沒有經(jīng)過論證和測(cè)試。設(shè)計(jì)方案選擇了A/A模式,原理為:將一塊單防火墻虛擬為2個(gè)墻,另一塊防火墻同樣對(duì)稱虛擬為2個(gè)墻,4個(gè)墻兩兩成對(duì),每對(duì)運(yùn)行A/S。2對(duì)A/S防火墻分別對(duì)應(yīng)了2條鏈路,同時(shí)2個(gè)Active防火墻可以物理上分開在2個(gè)FWSM模塊上,因此具有實(shí)現(xiàn)負(fù)載均衡的能力。
3.2 非對(duì)稱路由(ASR)問題解決方法
應(yīng)用“ASR group”功能,當(dāng)asr-group的接口收到數(shù)據(jù)包而沒有會(huì)話信息時(shí),將在同group中其它的接口檢查,一旦發(fā)現(xiàn)符合,將重寫2層包頭并轉(zhuǎn)往相應(yīng)端口。asr-group并不是接收了非對(duì)稱路由,而是將非對(duì)稱路由的數(shù)據(jù)包轉(zhuǎn)給正確的接口。asr-group生效的前提條件為:A/A模式的failover、配置Stateful Failover(狀態(tài)同步)功能,配置replication http功能。
3.3 備用靜態(tài)路由切換設(shè)計(jì)
靜態(tài)路由本身沒有機(jī)制來確定路由是否仍然可用,應(yīng)用 “對(duì)象跟蹤”功能(Enhanced Object Tracking),通過將一個(gè)靜態(tài)路由與一個(gè)預(yù)定義的監(jiān)視目標(biāo)進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)了檢測(cè)和切換。設(shè)備通過IP SLA功能,使用ICMP echo-request數(shù)據(jù)包來監(jiān)視目標(biāo)。如果沒有在特定的時(shí)間段內(nèi)收到ICMP echo-reply,設(shè)備就會(huì)認(rèn)為對(duì)方已經(jīng)不可用,于是它會(huì)將相關(guān)的靜態(tài)路由刪除。此時(shí),原來配置為低優(yōu)先級(jí)的備用路由會(huì)啟用,用以取代被刪除的路由。
4 實(shí)驗(yàn)檢驗(yàn)
4.1 路由切換功能實(shí)驗(yàn)
使用4臺(tái)3750交換機(jī),模擬信息和通訊互連的4臺(tái)設(shè)備SW1和SW2模擬7609-1和7609-2,啟用OSPF+靜態(tài)路由SW2和SW3模擬M320和M120,啟用靜態(tài)路由。使用SW2上的Loopback0模擬冀北的DNS-1,使用SW3上的Loopback0模擬冀北的DNS-2。目的是測(cè)試備用靜態(tài)路由功能,測(cè)試IP SLA功能,測(cè)試策略路由功能,測(cè)試“對(duì)象跟蹤”功能。
4.2 雙鏈路故障實(shí)測(cè)檢驗(yàn)
切換前后配置拓?fù)鋱D如圖2所示,切換前2臺(tái)7609作為信息網(wǎng)絡(luò)接口設(shè)備,2臺(tái)7609上各配置1塊FWSM,其中FWSM-1運(yùn)行,F(xiàn)WSM-2未上線,M320作為接口設(shè)備。切換后2條線路物理連接為:7609-1至M320、7609-2至M120,2臺(tái)FWSM完成A/A模式配置,
核心7609-1、7609-2進(jìn)行配置,優(yōu)選M320一路為主鏈路,優(yōu)選7609-1為默認(rèn)路由發(fā)布者,配置M120一路為備鏈路,7609-2為備用默認(rèn)路由發(fā)布者,使用檢測(cè)功能,能夠?qū)崿F(xiàn)故障檢測(cè)后的線路切換。
5 結(jié)論
本文主要對(duì)一種信息網(wǎng)絡(luò)上聯(lián)雙鏈路方案的設(shè)計(jì)與改進(jìn),提出了一種可靠性更高的雙鏈路互備切換方案,并對(duì)關(guān)鍵技術(shù)如具有故障切換功能的防火墻負(fù)載均衡模式組網(wǎng)技術(shù)、非對(duì)稱路由問題解決方式以及備用靜態(tài)路由切換設(shè)計(jì)方法探討分析。最后進(jìn)行了路由切換功能實(shí)驗(yàn)和雙鏈路故障實(shí)測(cè)檢驗(yàn)。實(shí)測(cè)結(jié)果和運(yùn)行經(jīng)驗(yàn)表明該雙鏈路設(shè)計(jì)方案能夠滿足與冀北上聯(lián)穩(wěn)定、可靠運(yùn)行要求,減少了故障率,保證了關(guān)鍵業(yè)務(wù)的實(shí)時(shí)有效傳輸。該設(shè)計(jì)方案可以廣泛應(yīng)用于信息系統(tǒng)上聯(lián)鏈路改造工作中。
參考文獻(xiàn)
[1]孫瑩,王葵.電力系統(tǒng)自動(dòng)化[M].北京:中國電力出版社,2004:51-65.
[2]李研.防火墻在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用[J].電子測(cè)試,2013(5):127-129.
[3]鄭黎輝,王啟東.基于SDH和ADSL雙鏈路冗余的通信網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2009,30(20):4624-4626.
[4]劉繼君,徐家澍,秦學(xué)東.內(nèi)蒙古電力信息網(wǎng)絡(luò)安全技術(shù)分析[J].內(nèi)蒙古電力技術(shù),2009,27 (5):53-55.
作者簡介
尹秀艷 (1982-),女,山東省臨沂市人。現(xiàn)為唐山供電公司工程師,從事運(yùn)營監(jiān)測(cè)和信息通信工作。
田新成 (1982-),男,河北省唐山市人。現(xiàn)為唐山供電公司工程師,從事調(diào)度自動(dòng)化工作。
作者單位
唐山供電公司 河北省唐山市 063000
