基于eNSP的高可靠性企业园区网设计与仿真
2020-05-16赵洪钢余瑞丰李国栋
时 晨, 赵洪钢, 余瑞丰, 李国栋
(国防科技大学信息通信学院,西安710106)
0 引 言
互联网的迅猛发展为企业提供了公平竞争平台和大量市场机会,带来了直接、间接和潜在的效益;建设一个可靠、健壮、稳定的企业园区网,对改善经营环境、提高效率、开拓市场、宣传形象、提高效益至关重要。企业网络仿真平台(Enterprise Network Simulation Platform,eNSP)是一款免费、可扩展、图形化的网络设备仿真平台,主要对企业网络路由器、交换机、无线局域网等设备进行软件仿真,完美呈现真实设备部署实景,支持大型网络模拟[1]。使用该平台,可以灵活地在规划与设计阶段进行各种实验和性能测试,为网络的建设提供参考和依据。
在企业园区网设计与建设过程中,高可靠性是需要考虑的重要因素和技术难点[2]。本文首先介绍了虚拟局域网、链路聚合等企业园区网设计关键技术,提出了一种基于eNSP的高可靠性企业园区网设计方案,通过eNSP模拟企业园区网中的接入交换机、汇聚交换机等网络设备,并采用虚拟局域网(Virtual Local Area Network,VLAN)技术、多生成树协议(Multiple Instances Spanning Trees Protocol,MSTP)、链路聚合控制协议(Link Aggregation Control Protocol,LACP)和VLAN聚合等多种协议配置,使网络不仅具有较高的通信可靠性,并且能够满足多业务需求。仿真结果表明,该方案有效提升了企业园区网的可靠性和灵活性,能够为网络的建设提供有效的参考和依据。
1 企业园区网设计关键技术
1.1 VLAN 技术
在企业园区网中,主要的网络设备是交换机。交换机的所有端口都位于同一广播域中,一台主机发出的广播帧能够到达网络中的所有设备,有限的网络资源被大量广播信息占用,一旦由于某种原因,例如ARP攻击、端口故障、蠕虫病毒或人为操作不当等造成一台或多台设备产生过多的广播帧,可能会引发广播风暴[3],影响整个网络的连通性。VLAN技术是将一个物理局域网在逻辑上划分为多个虚拟局域网的以太网技术,减小了广播域的范围,抑制了广播帧对局域网内用户通信的影响[4]。VLAN技术的优势主要有[5]:
(1)有效控制广播域范围。广播帧仅在VLAN中传播,节省了带宽,提高了网络处理能力。
(2)增强局域网的安全性。不同VLAN内的用户不能进行数据链路层通信,若要通信需借助网络层设备。
(3)灵活构建虚拟工作组。VLAN划分不受物理位置的限制,网络构建和维护方便灵活。
(4)增强网络的可靠性。VLAN划分可以将一些故障限制在一个VLAN内。
1.2 以太网链路聚合技术
根据企业业务需求的发展和变化,如需对网络进行升级和扩容,往往会对骨干链路的带宽和可靠性提出更高的要求。传统做法是进行硬件升级,费用昂贵,且不够灵活。采用链路聚合技术,可以仅通过配置,将多个同类型的物理以太网接口捆绑成一个逻辑接口,可以增加链路带宽、设置备份链路以提高关键链路的可靠性[6]。LACP[7]能够在链路发生故障时,将备份链路自动切换为活动链路,保证链路的总带宽和连通性不受故障影响,提高链路的可靠性。
1.3 MSTP 技术
通常在设计企业园区网时,为避免单点故障需要进行链路的冗余备份,容易引发广播风暴。生成树协议[8](Spanning Tree Protocol,STP)可以将有环网络修剪为无环的树形网络[9],阻断冗余链路,避免广播风暴,并在链路发生故障时,自动启用冗余备份链路,保证网络的连通性,提高网络的可靠性[10]。MSTP[11]是STP的改进版:
(1)较STP可提高网络收敛速度,缩短冗余链路启用后网络中断的时间;
(2)计算多棵生成树,实现VLAN级别的负载分担,减少带宽浪费,降低链路发生拥塞的可能性;
(3)具备STP基本功能,避免环路带来的广播风暴。
以上3个特性均能提高网络的可靠性。
1.4 VLAN 聚合技术
在企业园区网中,由于业务需求,不同VLAN的用户也需要通过3层交换机实现通信,这就需要给每个VLAN单独划分一个IP子网。这些IP子网的网络地址、子网定向广播地址、子网网关地址都无法分配给用户,造成IP地址浪费;若前期划分的IP子网地址不足,极不利于网络升级和扩容,给网络管理带来了一定的难度。VLAN聚合技术通过配置Super-VLAN,其中包含多个位于同一IP子网的Sub-VLAN[12],共用同一个网关IP地址,既能够实现Sub-VLAN之间的2层隔离,又能根据需要实现Sub-VLAN的3层通信[13],避免不必要的IP地址浪费,降低网络管理的复杂性。
2 基于eNSP的高可靠性企业园区网设计
2.1 总体设计思路
本文使用eNSP 1.2.00.510网络设备仿真平台,设计了一种结构如图1所示的高可靠性企业园区网,S1/S2是汇聚交换机(3层交换机)、S3/S4是接入交换机(2层交换机)。
图1 高可靠性企业园区网组网模型
某企业的业务需求有:
(1)财务部、市场部和研发部的用户为企业员工,均能访问企业服务器;
(2)员工之间可以互通;
(3)企业客户可以访问企业服务器,客户之间不能互通;
(4)员工和客户之间不能互通。
总体思路是:
(1)所有用户分为4个工作组,对应财务部、市场部、研发部和企业客户,为每个工作组划分1个VLAN;
(2)为提高关键链路的可靠性,在汇聚交换机之间配置LACP,设置链路冗余备份;
(3)为避免单点故障,在交换机之间设置冗余链路;
(4)开启MSTP,提高网络可靠性,针对不同VLAN实现负载分担;
(5)配置VLAN聚合降低管理成本、节省IP地址。本局域网未设计外网连接。
2.2 详细网络规划
为了使交换机既能在2层隔离广播风暴又能在3层实现网络互通,在S1/S2上划分2个Super-VLAN,分别是:VLAN100/200,以及4个Sub-VLAN,分别是:VLAN10/20/30/40。 VLAN100 聚合VLAN10/20,VLAN200聚合VLAN30/40;所有VLAN均处于同一IP子网10.1.1.0/24。
为实现冗余链路在关键链路发生故障时自动启用,在S1/S2之间配置LACP链路聚合。在所有交换机上开启MSTP,创建两个实例,使得财务部和市场部的数据流量优先使用S3-S1-Server路径,S3-S2-S1-Server作为备份;研发部和企业客户的数据流量优先使用S4-S2-S1-Server路径,S4-S1-Server作为备份,以减轻设备负载且不同路径互为备份。
配置VLAN间路由,使得用户之间可以互访,并且都可以访问企业服务器;S4配置交换机端口2层隔离,使得企业客户之间不能互通,提供更安全、灵活的组网方案[14];配置访问控制列表(Access Control Lists,ACL),使网络设备可以通过匹配规则过滤报文[15],使得员工与客户之间不能互通。IP地址规划见表1。
3 基于eNSP的高可靠性企业园区网配置实现
3.1 S1 的配置实现
对S1进行Super-VLAN、VLAN、LACP和MSTP等多种协议配置,主要代码如下:
(1)Super-VLAN
[s1]vlan batch 10 20 30 40 100
#创建vlan
[s1-vlan100]aggregate-vlan
#指定vlan100为Super-VLAN
表1 设备IP地址规划
[s1-vlan100]access-vlan 10 20
#将Sub-VLAN加入Super-VLAN
[s1-Vlanif100]arp-proxy enable
#使能vlanif100接口的ARP代理功能
[s1-Vlanif100]arp-proxy inter-sub-vlan-proxy enable
#使能Sub-VLAN间的ARP代理功能
(2)VLAN Trunk(G0/0/4 同G0/0/3)
[s1-GigabitEthernet0/0/3]port link-type trunk
#将G0/0/3 改为trunk 模式
[s1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20 30 40
#G0/0/3 允许Sub-VLAN 通过
(3)VLAN间路由
[s1-Vlanif100]ip address 10.1.1.254 24
#配置vlanif100的IP地址
[s1-Vlanif1]ip address 172.16.1.254 24
(4)LACP(G0/0/2 同G0/0/1)
[s1]interface Eth-Trunk 1
#创建Eth-Trunk1接口
[s1-Eth-Trunk1]mode lacp-static
#配置链路聚合模式为LACP
[s1-Eth-Trunk1]trunkport GigabitEthernet 0/0 /1 0/0 /2 0 /0 /24
#将接口加入Eth-Trunk1
[s1-Eth-Trunk1]max active-linknumber 2
#配置活动接口上限阈值
[s1-Eth-Trunk1]least active-linknumber 1
#配置活动接口下限阈值
[s1-Eth-Trunk1]port link-type trunk
#将Eth-Trunk1改为trunk模式
[s1-Eth-Trunk1]port trunk allow-pass vlan 10 20 30 40
#Eth-Trunk1允许Sub-VLAN通过
[s1]lacp priority 100
#配置S1成为LACP主动端
[s1-GigabitEthernet0/0/1]lacp priority 100
#配置接口优先级确定活动链路
(5)MSTP
[s1]stp region-configuration
#进入MST域视图
[s1-mst-region]region-name qiyewang
#配置MST域名
[s1-mst-region]instance 1 vlan 10 20
#配置实例1映射VLAN10、VLAN20
[s1-mst-region]instance 2 vlan 30 40
#配置实例2映射VLAN30、VLAN40
[s1-mst-region]active region-configuration
#激活MST域配置
[s1]stp instance 1 priority 0
#配置实例1中S1为根桥
[s1]stp instance 2 priority 4096
#配置实例2中S1为备份根桥
3.2 S2 的配置实现
S2中Super-VLAN配置代码如下(VLAN、LACP、MSTP均同S1):
[s2-vlan200]aggregate-vlan
[s2-vlan200]access-vlan 30 40
[s2-Vlanif200]ip address 10.1.1.253 24
[s2-Vlanif200]arp-proxy enable
[s2-Vlanif200]arp-proxy inter-sub-vlan-proxy enable
3.3 S3 的配置实现
对S3进行VLAN(省略)、MSTP配置(同S1)。
3.4 S4 的配置实现
对S4进行VLAN、MSTP(均同S3),端口隔离和ACL等协议配置,主要代码如下:
(1)端口隔离配置(E0/0/4 同E0/0/3)
[s4]port-isolate mode l2
#配置端口隔离模式为二层隔离
[s4-Ethernet0/0/3]port-isolate enable
#使能端口隔离功能
(2)ACL 配置(E0/0/4 同E0/0/3)
[s4]acl number 3000
[s4-acl-adv-3000]rule permit ip source 172.16.1.1 0.0.0.0
[s4-acl-adv-3000]rule deny ip source any
#配置只允许客户与Server通信的数据包通过
[s4-Ethernet0/0/4]traffic-filter outbound acl 3000
#在接口使能acl 3000
4 仿真结果及分析
4.1 开启MSTP带来的高可靠性分析
Wireshark是目前使用非常广泛的网络抓包分析软件之一[16]。通过Wireshark 对S3 的G0/0/1 和G0/0/2接口抓包,图2 左侧上半部分为S3 的G0/0/1接口抓包结果,左侧下半部分为S3的G0/0/2接口抓包结果,右侧为PC1 Ping Server的结果,可以看出,VLAN10访问Server的数据是通过S3的G0/0/1接口转发至S1,再经路由转发给Server。
图2 链路正常时VLAN10数据转发路径
对G0/0/1接口进行shutdown操作,模拟该链路发生故障,如图3所示,发现PC1访问Server的数据流量中断了一段时间,这是由于MSTP重新计算生成树而导致的,待连通性恢复之后,数据通过S3的G0/0/2接口转发至S2,进而转发至S1,最后转发给Server。VLAN30的测试结果也符合企业业务要求,这里不再赘述。从仿真结果可以看出,MSTP能够在对不同VLAN的实现负载分担、增加链路的总带宽、降低链路拥塞的可能性、存在冗余备份链路的情况下,有效避免2层环路带来的风险,提高园区网的可靠性,并且备份链路启用时无需人工操作,降低了管理成本。
图3 备份链路启用后VLAN10数据转发路径
4.2 LACP链路聚合带来的高可靠性分析
通过查看LACP接口成员信息,图4显示S1的G0/0/1 和G0/0/2 为活动接口,G0/0/24 为冗余备份接口,该链路的总带宽增大为配置LACP之前的2倍。对S1的G0/0/2进行shutdown操作,模拟该链路发生故障的情况,再次查看eth-trunk 1接口。
图4 链路正常时的活动接口
图5显示G0/0/24接口状态变为活动接口。从仿真结果可见,LACP链路聚合增大了链路总带宽,实现了冗余链路在关键链路发生故障时自动启用,无需人工操作,降低了管理成本,并且保证了关键链路的连通性和总带宽不受故障影响,提高了网络的可靠性。
图5 链路故障后的活动接口
4.3 VLAN聚合带来的IP编址灵活性分析
在本园区网中,采用了VLAN聚合技术,通过创建Super-VLAN,给其VLANIF接口配置IP地址,再创建多个Sub-VLAN作为Super-VLAN的成员,Sub-VLAN都使用Super-VLAN的VLANIF接口IP地址作为网关。这样,Sub-VLAN之间仍然2层隔离以抑制广播风暴,并且可以通过Super-VLAN的网关地址实现3层互通。只要该IP子网的地址空间足够,新进用户只需根据实际所处工作组加入相应的Sub-VLAN即可;如果需要成立新的工作组,也只需创建新的Sub-VLAN成员加入Super-VLAN即可。VLAN聚合能够简化IP子网划分、降低管理成本、节省IP地址,使得VLAN划分更加灵活。
4.4 业务需求完成情况分析
该企业园区网的业务需求完成情况如图6~9所示。从仿真结果可以看出,本设计实现了该企业园区网的业务需求。
图6 员工均能访问企业服务器
图7 员工之间可以互通
图8 客户可访问企业服务器但客户之间不能互通
图9 员工和客户之间不能互通
5 结 语
本文根据某企业的实际业务需求,提出了一种基于eNSP的高可靠性企业园区网设计方案,通过eNSP模拟企业园区网中的接入交换机、汇聚交换机等网络设备,并采用VLAM、LACP链路聚合、多生成树协议MSTP和VLAN聚合等多种协议配置,使构建的网络不仅具有较高的通信可靠性,而且能够满足网络的多业务需求。仿真结果表明,该方案有效提升了企业园区网的可靠性和灵活性,能够为实际网络的建设提供了有效的参考和依据。