上海鹏越惊虹技术有限公司网络实验室项目
6.5 接入层设计
接入层分为2个区域:互联网接入区(A1)、专线接入区(A2)。
6.5.1 互联网接入区(A1)设计
CORE-1CORE-2A1-SW-HJA1-LCA1-SWA1-FW-1A1-FW-2A1-BM
一台Allot NetEnforcer AC-804带宽管理设备。AC-804共有4个千兆以太网电口,可以同时管理两条互联网线路上的流量,定制并生成相应的报表。由于采用的外置的旁路(bypass)模块,因此在设备发生故障时也不对网络产生影响。
Allot内侧是两台NetScreen 208防火墙,每台防火墙连接一条互联网线路,负责互联网线路上的访问控制和IP地址转换。在NetScreen 208防火墙内侧是由两台Cisco 3750堆叠而成的一组交换机。通过NetScreen特有的Redundant Group
上海鹏越惊虹技术有限公司网络实验室项目
特性,将每台NetScreen 208分别连接到两台Cisco 3750交换机上,避免了单点故障的发生。
两台F5 Bip-IP 3400 Link Controller链路负载均衡设备的主要功能是实现Inbound方向的数据流的原进原出。另外,在F5上配置目标地址为所有地址、类型为Performance Layer4的VS(虚拟服务器),Pool Member为两台208的内口地址。根据需要选择两个Member同时使用还是一主一备,保证Outbound方向的数据流可以顺利通过F5。
F5后侧是由两台Cisco 3750堆叠而成的一组交换机,负责连接上面的隔离层交易区汇聚交换机。
6.5.2 专线接入区(A2)设计
专线接入区A2主要是用于远程专线的接入。在接入路由器和接入交换机之间启用OSPF动态路由,实现同一会员多条专线之间的冗余和自动切换。
A2-FW-1A2-FW-2A31-SW静态路由Cost 1Cost 2Area 0A31-R-1A31-R-2专线专网静态路由
如上图所示。所有的路由器通过通过两条不同的链路上联至接入交换机上,两条链路分别属于不同的vlan,两个Vlan分属于两台3750交换机。对于来自会员方
上海鹏越惊虹技术有限公司网络实验室项目
向的数据,路由器将优先选择COST累加值小的链路。在正常情况下,
专线接入路由器上配置到所连接专网的静态路由,在OSPF Area 0中重分发。在路由重分发时配合route-map技术,就可以有效的管理会员的交易专线。对于有两条线路的会员,在主线路连接的路由器上将静态路由重分发到OSPF Area 0中的metric的值为50,备用线路连接的路由器上将静态路由重分发到OSPF Area 0中的metric的值为100;对于只有一条专线的会员,其重分发的metric也是50。正常情况下,去往会员端的数据流将通过主用线路;当主线路故障时,流量将通过备份线路去往会员端。线路故障的切换时间不超过2秒,设备故障的切换时间不超过5秒。
CORE-1CORE-2A2-SW-HJA2-FW-1A2-FW-2A2-SWA2-R-1A2-R-2
接入交换机内侧是一组NetScreen ISG 1000防火墙,负责专线接入区的安全隔离和访问控制,使每根专线只能访问自己的主机系统。ISG 1000后侧是由两台Cisco 3750堆叠而成的一组汇聚交换机,负责连接上面的核心交换机。