杨铋钰，孔艺权

（岭南师范学院信息工程学院，湛江524048）

提出一种园区冗余网络架构方案。该方案针对园区网的组网特性，整合各种网络结构的优势和不同网络协议之间的相互兼容性，重点对核心层交换机配备和出口路由规划等问题进行分析与研究，并借助Packet Tracker仿真平台，设计和搭建一个具有冗余容错、负载均衡特性的双核心多出口园区网络拓扑。仿真结果表明，该网络架构能够较好实现设备冗余、链路冗余、网关冗余和路由冗余，从而为园区网的平稳运行提供稳固保障。

复杂网络；园区网；冗余备份；双核心；多出口

0 引言

随着园区信息化建设工程的推进，园区网的规模日趋扩大、功能日渐完备、结构更加复杂，网络的整体复杂性愈益凸显。从分析园区网的复杂性特征着手，加强网络核心区域和关键节点的优化设计，对构建高性能、强稳定性兼备的园区网具有重大现实意义。冗余网络架构设计作为园区网优化设计的重要方面，是保障园区网稳定运行的施力点，同时也是复杂网络环境下园区网可靠性研究的着力点[1]。因此，在层次化设计基础上，提出一种园区冗余网络架构，实现园区网由单核心向双核心转变，由单链路出口向多链路出口转变，是符合当下园区网建设和管理实践的。

1 园区网复杂性特征分析

园区网是一个不断扩展的复杂网络系统，其自身具有显著的复杂性特征：即少数关键节点拥有大量连结，多数非关键节点只拥有少数连结甚至没有连结[2]。这就意味着，关键节点在带来网络集中管理和统一控制便利的同时，也易于形成网络的正常运行对关键节点的依赖，从而导致园区网的可靠性、稳定性和安全性问题突出并且表面化了。

园区网的平稳运行和正常提供服务是由功能不同的各个子网共同予以支撑的，各个子网中又包含了处于不同应用层级的节点群。可见，园区网的各个组成部分实际上呈现为一种依赖关系，具体表现为：就整体网络而言，一个子网通过其关键节点，同与之具有业务联系的另一子网关键节点建立链接，并以此为基础发挥其应有效能；就具体子网而言，子网内一个应用层级的节点群通过传输介质与另一层级的节点群连通起来，以使子网得以正常运转。这样，在节点容量有限的情况下，因单点故障或网络扰动而发生的节点失效将在子网间和层间产生相互作用[3]，由此所带来的级联效应轻则导致局部网络的级联失效，重则导致全局网络的级联瘫痪，从而影响了园区网的正常运转。

2 园区冗余网络架构设计

基于上述复杂性特征分析，本文以提高园区网的冗余度为主导，以设计和添加网络核心区域与关键节点的备份为中心，提出并设计一个园区冗余网络架构，包括4个子网：出口网络、有线园区网络、无线园区网络和网信中心网络。

2.1 子网架构设计

根据预定设计目标，拟对园区网进行整体设计，主要是对出口网络、有线园区网络、无线园区网络进行架构设计。园区网的整体架构如图1所示。

图1 整体网络架构设计图

（1）出口网络架构设计说明

在出口边界处部署两台路由器，它们将各自通过单链路上行连接ISP路由器，通过双链路下行交叉连接两台核心交换机。两台出口路由器之间是单链路连通的。出口子网的网络架构如图2所示。

图2 出口网络架构设计图

在路由通信方面，拟采用动态路由协议和静态路由实现路由畅通。出口路由器和ISP路由器将各自运行路由信息协议（Routing Information Protocol，RIP），以使得出口路由器将内网访问外网的数据包准确无误地传送至ISP路由器。为区分各自下联核心交换机的两条链路路由优先级大小，两台出口路由器均配置基于度量值（metric）的缺省路由[4]，巧妙实现出口路由器的下行链路备份。这样一来，出口网络将不仅具有冗余容错的能力，还将具备出口流量负载分担的能力。

在网络安全方面，拟采用网络地址转换（Network Address Translation，NAT）和访问控制列表（Access Con⁃trol Lists，ACL）实现安全防御。分别在出口路由器上建立标准访问控制列表，以白名单限制的方式允许园区网用户对外网的访问。此外，使用网络地址端口转换（Network Address Port Translation，NAPT）将内网私有IP地址映射到公用IP地址的不同端口上。同时，出口路由器上还将配置反向NAT用于发布内网的Web服务器，使得互联网用户可以使用公用IP地址访问园区网站。需要说明的是，本文中的网络安全服务是出口路由器通过整合防火墙功能来提供的。

（2）有线园区网络架构设计说明

拟采用层次化网络架构方法[5]，将有线园区网络划分为核心层、汇聚层和接入层三个管理层次，以期简化管理复杂度、隔离故障域，使网络结构更具合理性和安全性。有线子网的网络架构如图3所示。

图3 有线园区网络架构设计图

有线园区网络的核心层将部署两台交换机，它们分别通过双链路上行连接两台出口路由器，通过多链路下行交叉连接各台汇聚层交换机；汇聚层交换机将分别通过上行链路交叉连接核心层交换机，通过下行链路交叉连接接入层交换机，以达到链路的备份。核心交换机之间是双链路经由链路聚合连通的，同时还将通过建立单链路链接，实现与不同子网核心设备之间的互连。

从网络可靠性方面考虑，拟对有线园区网络进行冗余部署。在有线子网核心层同时部署两台交换机，以降低因单点故障而导致全网瘫痪的风险，维护其全网中枢的地位。运用跨设备链路聚合技术（Link Aggre⁃gation Control Protocol，LACP），将不同核心交换机上的两个以太端口配置成一个聚合端口，实现二者之间的链路聚合，以降低因带宽而引起的网络瓶颈问题的风险[6]。经由上述部署，性能一致、功能同一的两台核心交换机将在物理上互联起来，虚拟化为逻辑上的单台设备，较好地解决了核心层设备的单点失效问题，极大地增强了全网的可靠性。

从路由高效性方面考虑，拟采用路由备份技术，对有线子网进行网关冗余配备。核心层交换机将采用热备份路由协议（Hot Standby Router Protocol，HSRP）来保证网关的不间断工作，为有线网络主机提供路由网关备份。首先，两台核心交换机将基于VLAN数目，分别配置具有相同组标识的HSRP组。其次，经过优先级配置，指定其中一台交换机充当ID数为奇数的VLAN的活动网关设备，另一台交换机充当ID数为偶数的VLAN的活动网关设备，两者之间形成互为备份关系[7]。再次，配置两台核心交换机上HSRP组的端口跟踪和允许抢占，以确保一台交换机上的出口链路发生故障时，另一台交换机能够及时抢占并转换为相应VLAN的活动网关设备。由此，两台核心交换机不仅实现了路由网关的冗余备份，还各自承载了数据流量，实现了负载分担。

从网络稳定性方面考虑，拟采用生成树协议避免网络中的路径回环。核心层交换机将配置支持VLAN的多VLAN生成树（Per VLAN Spanning Tree，PVST），通过为其中的每一VLAN运行独立的生成树实例，以达到构建无环路的逻辑树状网络的目的[8]。在具体配置核心交换机时，通过指定优先级，使得其中一台交换机充当ID数为奇数的VLAN的根网桥，另一台交换机充当ID数为偶数的VLAN的根网桥，从而既提供了链路备份，也保证了数据传输路径的最优化。

（3）无线园区网络架构设计说明

无线园区网络具有建设成本低、覆盖区域广、组网灵活的特点[9]，它能够突破传统布线限制，为用户提供可移动的网络互连。作为有线园区网络的延展和扩充，无线园区网络实行独立管理，在设备和链路配备上完全独立于有线网络区域。在架构规划方面，无线园区网络采用扁平化设计的二层网络架构，即减少对汇聚层的设计，只考虑核心层和接入层的部署[10]。无线子网的网络架构如图4所示。

图4 无线园区网络架构设计图

无线园区网络自上而下划分为核心层和接入层两大主体部分。核心层由两台核心交换机组成，分别通过单条链路与两台有线核心交换机链接，实现有线网络区域与无线网络区域的互联互通。类似于有线核心交换机，两台无线核心交换机也经过链路聚合、HSRP、STP等相关配置，形成全冗余的无线网络核心，保证该网络的高速数据交换和快速路由收敛。无线网络的接入层将部署多台以太网供电（Power over Ethernet，PoE）交换机[11]，其中的每台PoE交换机都与两台核心交换机建立交叉连接，提供骨干链路的备份。PoE交换机还将通过链路下联支持PoE供电的无线接入点（Ac⁃cess Point，AP），在传递以太网数据的同时提供直流供电，确保无线AP的正常运转。另外，在无线园区网络中部署PoE交换机还将简化网络布线、降低故障发生点，且有利于网络稳定性的提高[12]。

相较于有线园区网络，无线园区网络的接入终端主要以智能手机、平板电脑等智能设备为主，用户群体又以作息时间差异较小的年轻用户占绝大多数，这就可能导致同一时段内对网络的需求过大，引起网络卡顿等问题。因此，在园区无线组网过程中，应结合使用超密集组网、网络切片、移动边缘计算等5G技术[13]，以带来无线园区网络的超高密度连接、ms级别时延以及峰值10Gbps以上的带宽，更好实现高速率、高可靠的数据传输，保障无线网络的畅通运行。但谈及具体部署，由于当下5G技术正处于应用初期，独立组网技术尚未完全成熟，在建设实践中宜采用非独立组网的方式进行5G部署。借此方式，无线园区网络的综合性能将得到加强，网络部署的成本也将由此降低[14]。

2.2 子网路由设计

为达到对子网的合理路由设计，采取划分区域的办法，从路由层面将整个园区网划分为路由骨干区域和非路由骨干区域。有线网络是园区网的主体部分，它在物理上分别与出口网络、无线网络和网信中心网络建立起连接，将分散的各个子网连通起来。因此，将有线网络定义为路由骨干区域，将其余三个子网定义为非路由骨干区域。在对园区进行路由部署时宜采用多区域的OSPF和静态路由。子网间的路由设计如图5所示。

图5 子网路由设计图

在有线园区网络的核心层进行OSPF骨干区域（area 0）配置，使其形成全网的路由骨干区域。同时，为满足多样业务需要，核心交换机上还将分别配置通往ISP和网信中心的静态路由，并在配置过程中遵循冗余备份思想，使用浮动静态路由备份技术，从而较好地保证主路由失效时，备份路由的立即响应并接替工作。另外，借助于路由重分布技术，上述静态路由和默认路由将被引入至OSPF域中[15]，以满足园区网不同用户的访问需要。在无线园区网络的核心层进行OSPF标准区域（area1）配置，使得无线网络区域变为路由层面上的一个可管理单元。需要提及的是，有线园区网络接入至无线园区网络的端口需要部署在area 1内，以便将无线网络从路由上引向骨干区域。

网信中心网络通过指向有线网络区域的静态路由提供互联网用户和园区网用户对它的访问。出口路由器利用通往有线核心的默认路由转发外网的数据流量。

3 园区冗余网络架构部署与仿真

Packet Tracer是思科公司开发的仿真平台，用户可直接在该平台的界面上使用拖拽控件设计、构建和配置网络，模拟网络中的数据交换活动。仿真平台上的网络拓扑如图6所示。受制于篇幅，下文以有线园区为例阐述网络设备的选型及配置工作。

图6 全局仿真拓扑图

3.1 有线园区网络设备选型

有线园区网络部署了6台Cisco 3560交换机，其中包含2台核心层交换机CSW-1、CSW-2和4台汇聚层交换机DSW-1、DSW-2、DSW-3、DSW-4；部署了4台Cisco 2960交换机作为接入层设备，分别命名为ASW-1、ASW-2、ASW-3、ASW-4；部署了8台PC作为有线终端设备。各交换机之间都通过交叉线连通，交换机与PC之间通过直通线连接。

3.2 有线园区网络设备配置

以核心层设备配置为例阐述有线园区网络设备的具体配置。核心层设备配置参数如表1所示。

表1 有线园区网络核心层设备配置参数表

4 园区冗余网络架构仿真测试

重点对有线园区网络实现了链路冗余、网关冗余和路由冗余进行仿真测试。

4.1 链路冗余性测试

选择汇聚交换机DSW-1和终端PC0进行链路冗余性测试。通过断开DSW-1中连接至核心交换机CSW-1的接口fastEthernet0/1模拟链路故障，并查看STP切换过程中PC0的网络通信质量。测试结果显示，PC0在网络通信过程中出现了短时间丢包现象，但对正常通信所产生的影响可忽略不计，网络通信质量符合要求。测试结果如图7所示。

图7 STP切换过程中有线网络质量图

4.2 网关冗余性测试

选择核心交换机CSW-1和终端PC0进行网关冗余性测试。在测试过程中，断开核心交换机CSW-1连接至OutRouter-2的端口fastEthernet0/2模拟端口故障，由于该端口被配置了VLAN 10的端口跟踪，所以断开该端口后，CSW-1中虚接口VLAN 10的优先级数目降低，CSW-2迅速抢占，成为VLAN 10的活动网关设备，CSW-1便成为VLAN 10的备份网关设备。经查看HSRP切换过程中VLAN 10主机PC0的网络通信质量可知，PC0在网络通信过程中出现了短时间丢包现象，但对正常通信所产生的影响可忽略不计，网络通信质量符合要求。测试结果分别如图8所示。

4.3 路由冗余性测试

选择核心交换机CSW-1进行路由冗余性测试。通过命令show ip route查看路由表项可知，在正常工作情况下，核心交换机CSW-1的默认下一跳出口路由是OutRouter-1的fastEthernet0/1（172.16.20.2）。在测试过程中，关闭CSW-1的端口fastEthernet0/1模拟端口故障，再通过命令show ip route查看路由表项，结果显示CSW-1的默认下一跳出口路由变为OutRouter-2的fastEthernet0/0（172.16.21.2）。测试结果如图9-图10所示。

图8 HSRP切换过程中有线网络质量图

图9 正常条件下CSW-1的路由表项图

图10 链路故障后CSW-1的路由表项图

5 结语

本文分析了复杂网络环境下园区网的拓扑结构特性和损害关系，提出一种园区冗余网络架构方案。该方案在考量了园区组网所存在的普遍性技术要求基础上，分层次、多维度对如何提高园区网的冗余度进行了具体设计。经由仿真可知，所提出的园区冗余网络架构具有较强的可靠性与较高的稳定性，同时兼有良好的可扩展性和兼容性，对当下的园区网络建设实践是具有一定指导意义的。