葉水勇，王 艷，方 軍，周高樂，溫永亮，羅志豐，郭小東

（國網(wǎng)黃山供電公司，安徽 黃山 245000）

0 引言

目前某公司局域網(wǎng)核心為 2 臺 Cisco 6509 系列交換機，二者互為冗余備份和負載均衡，通過千兆光纖鏈路與局域網(wǎng)接入層設備實現(xiàn)互聯(lián)。2 臺核心交換機各配一塊FWSM 防火墻模塊， 兩塊防火墻模塊做故障切換，即遇到故障時能快速切換；服務器VLAN 和調(diào)度三區(qū)的OMS 系統(tǒng)放在防火墻模塊上，通過在FWSM 建立2 個虛擬防火墻，并配置安全策略對這些區(qū)域進行安全防護。 由于核心設備的特殊性——長時間不間斷運行、 高負荷負載以及高吞吐量的數(shù)據(jù)處理， 因此對核心設備的性能、穩(wěn)定運行等不容忽視［1-2］，可見核心設備重要地位顯而易見。

目前該公司2 臺局域網(wǎng)核心6509 系列交換機的運行時間分別為2014年和2012年， 在設備的運行期間，設備的風扇、電源模塊、接口板卡等均出現(xiàn)過故障現(xiàn)象。 由于設備早已超出原廠的維保時間和設備的正常使用壽命，萬一設備出現(xiàn)故障，將得不到廠家及時的技術支持， 其后果是整個公司信息系統(tǒng)癱瘓，業(yè)務全部中斷。

1 網(wǎng)絡存在的問題分析

1.1 設備和鏈路帶寬利用率低

由于整個網(wǎng)絡系統(tǒng)采用VRRP+MSTP 組網(wǎng)，每個VRRP 組或MSTP 實例內(nèi)的兩臺核心設備都是主備關系，即在正常情況下只有主設備承擔數(shù)據(jù)轉發(fā)，備用設備和備用鏈路一直處于空閑狀態(tài)， 無法得到有效利用，設備和鏈路帶寬的利用率很低。

1.2 配置管理復雜

在二層網(wǎng)絡系統(tǒng)中部署MSTP 多生成樹時需要詳細規(guī)劃VLAN 和生成樹實例的歸屬， 在三層網(wǎng)絡系統(tǒng)中部署VRRP 實現(xiàn)熱備份時需要詳細規(guī)劃VRRP Master 的歸屬。 這樣整個網(wǎng)絡系統(tǒng)內(nèi)每臺設備都需要單獨配置和維護，日常運維管理的難度和復雜度就非常大，從而降低了網(wǎng)絡架構擴展的靈活性［3-4］。

1.3 MSTP+GLBP組網(wǎng)收斂時間慢

為防止二層網(wǎng)絡系統(tǒng)產(chǎn)生網(wǎng)絡環(huán)路及網(wǎng)關冗余備份的要求，需在網(wǎng)絡系統(tǒng)中部署MSTP 和GLBP 協(xié)議。 由于協(xié)議本身的限制，GLBP+MSTP 組網(wǎng)的鏈路震蕩收斂時間往往需要數(shù)秒，收斂時間較長，已無法滿足業(yè)務發(fā)展的需要。

針對上述存在的問題， 公司將通過橫向堆疊與縱向堆疊等虛擬化技術對信息內(nèi)網(wǎng)網(wǎng)絡架構進行升級改造，從而提高公司信息內(nèi)網(wǎng)的安全性、穩(wěn)定性和可靠性。

2 虛擬交換技術的比較和選型

2.1 IRF虛擬交換的技術方案

智能彈性架構技術 IRF（Intelligent Resilient Framework）是一種通過智能彈性架構的虛擬化技術，將多臺物理設備虛擬成1 臺邏輯設備，從而使多臺設備可以實現(xiàn)協(xié)同工作和不間斷的統(tǒng)一維護及管理［5-6］。 IRF 是在對網(wǎng)絡物理拓撲結構的連接方式不做任何改變的條件下， 通過智能彈性架構的虛擬化技術將同一網(wǎng)絡層的多臺物理設備進行橫向整合，最終形成1 臺邏輯設備，從而使多臺物理設備可以實現(xiàn)協(xié)同工作并統(tǒng)一進行維護管理， 這樣就可以在邏輯上實現(xiàn)對網(wǎng)絡架構的優(yōu)化， 并提升網(wǎng)絡運行整體的效率。 IRF 主要有環(huán)型和鏈型兩種橫向堆疊的拓撲連接方式， 設備可分為主（Master） 和備（Slave）兩種角色。

2.2 VCF虛擬交換的技術方案

虛擬融合框架技術 VCF（Virtual Converged Framework）是對1 臺已經(jīng)形成的邏輯虛擬設備從縱向的角度進行異步結構的擴展。 把1 臺盒式的設備當成一塊遠程的接口板融入到主設備的系統(tǒng)里，從而達到擴展主設備系統(tǒng)的I／O 端口數(shù)量及實現(xiàn)對主設備系統(tǒng)進行集中管控的目的［7-8］。

VCF 的設備可分為 PE（Port Extender） 和 CB（Controlling Bridge）兩種角色。 其中 PE 為縱向的擴展設備（稱為遠程的接口板或端口的擴展器），CB 為控制設備；PE 設備在管理設備拓撲上的能力沒有CB 設備強，不能替代 CB。 如圖1 所示，（a）是框式設備或是盒式設備各自形成IRF 堆疊橫向虛擬化系統(tǒng)，有環(huán)形堆疊和鏈型堆疊（虛線存在的情況）兩種拓撲形式；（b） 是框式設備與盒式設備形成VCF 縱向虛擬化系統(tǒng)（簡稱 VCF Fabric）。

圖1 IRF 橫向虛擬化和VCF 縱向虛擬化對比圖

一般來說IRF 橫向堆疊是由Master 來管理控制，系統(tǒng)端口的密度及轉發(fā)能力是隨著Slave 的增加而不斷增加。 對于VCF 縱向堆疊是由CB 來管理控制， 系統(tǒng)端口的密度是隨著PE 的增加而不斷增加，但系統(tǒng)轉發(fā)能力總體上是取決于CB 設備。

通過對上述兩種虛擬交換技術方案比較， 決定采用IRF 橫向堆疊與VCF 縱向堆疊技術對信息內(nèi)網(wǎng)網(wǎng)絡架構進行升級改造。

2.3 VCF的技術機制

在VCF 中一般是使用成本較低的盒式設備來作為PE，而使用處理能力比較強的框式設備或盒式設備來作為CB。 在實際使用中CB 一般是采用橫向堆疊，這樣可以使 PE 的上行實現(xiàn)冗余［9-10］。在圖2 中PE 為盒式設備，CB 為 IRF 堆疊，PE 與 CB 之間的互聯(lián)口又稱為縱向Fabric 口，PE 與CB 形成的堆疊設備對外來說就相當于1 臺設備，只有1 個管理點。整個拓撲建立包括兩個方面：一方面是多臺CB 設備依據(jù)IRF 相關規(guī)則和拓撲計算建立橫向堆疊； 另一方面是CB 通過縱向 Fabric 口向外發(fā)送HELLO 報文，根據(jù)PE 反饋信息建立縱向Fabric。

如圖3 所示， 縱向 Fabric 建立過程主要分為四步：第一步，完成擴展板編號（SLot-ID）的分配和獲取［11-12］。 CB 上 VCF Fabric 口會周期性地發(fā)送探測報文，一旦Slot-ID 分配完成則停止發(fā)送。第二步，完成軟件的加載。包括PE 發(fā)送加載請求，CB 提供版本文件描述信息， 以及確認加載和加載完成等幾個子過程。 這其中Bootware（類似于個人電腦上的BIOS）和App（即主機軟件）的加載實現(xiàn)過程類似。 第三步，PE以下載后的版本重啟并完成在CB 的注冊。 第四步，CB 向PE 下發(fā)配置信息。

圖2 VCF 典型拓撲圖

圖3 PE 加入以及VCF 建立過程圖

如圖4 所示，PE 與 CB 之間的縱向 Fabric 口連接就相當于框式設備的背板連接，PE 與CB 之間在邏輯上通常以HASH 的方式對多個物理線路進行捆綁形成連接鏈路，從而使帶寬得到增加并使上、下行流量的收斂比保持在合適的水平上［13-14］。

圖4 VCF Fabric 連接方式圖

3 實施部署方案

此次網(wǎng)絡架構優(yōu)化主要涉及兩部分的業(yè)務，一部分是核心設備上的業(yè)務， 一部分是防火墻板卡的業(yè)務。針對這種情況，此次網(wǎng)絡架構優(yōu)化將通過兩部分實施完成： 將舊的兩臺C6509 核心交換機更換為國網(wǎng)采購的兩臺H3C 10510 核心交換機， 并利用IRF2 技術實現(xiàn)核心層交換機虛擬化部署，加強核心網(wǎng)絡的可靠性和穩(wěn)定性； 將兩塊FWSM 防火墻模塊更換為兩臺啟明星辰USG-FW-1200SP，完成舊核心網(wǎng)絡設備上業(yè)務遷移至新的核心交換機， 并保證遷移后所有業(yè)務系統(tǒng)的正常運行及整個網(wǎng)絡系統(tǒng)的正常運行。

3.1 核心網(wǎng)絡設備虛擬化方案

原有大樓信息機房的兩臺信息內(nèi)網(wǎng)核心交換機由GLBP+MSTP 模式更換為兩臺H3C LS-10510E 交換機組成的IRF2 組網(wǎng)模式，實現(xiàn)虛擬化。 所有雙鏈路接入核心設備的鏈路更改為聚合鏈路， 實現(xiàn)邏輯上單鏈路接入，提升接入帶寬，并在邏輯上做到無環(huán)網(wǎng)絡運行［15-16］。

3.1.1 核心層的架構設計

核心設備采用兩臺H3C LS-10510E 交換機，并在每臺核心主干交換機上配置一塊具備萬兆接口的板卡， 將每臺核心主干交換機上萬兆模塊配有2 個10 GB 的以太網(wǎng)接口通過萬兆尾釬實現(xiàn)互聯(lián)， 利用IRF 技術實現(xiàn)鏈路的冗余， 這樣就可以防止某臺核心設備的引擎出現(xiàn)故障時， 網(wǎng)絡不會出現(xiàn)雙激活的狀態(tài)。在這個IRF 中，通過板卡和引擎上的萬兆接口將2 個機箱實現(xiàn)互聯(lián)， 并激活2 個機箱的交換陣列和數(shù)據(jù)平面，這樣當1 個虛擬交換機出現(xiàn)故障時，網(wǎng)絡系統(tǒng)就不需要利用L2／L3 協(xié)議進行重收斂， 就可以在1 秒內(nèi)完成虛擬交換機的轉換， 保證網(wǎng)絡系統(tǒng)正常穩(wěn)定運行。

3.1.2 接入層的架構設計

每個接入層交換機都采用雙鏈路模式， 與核心交換機實現(xiàn)雙鏈路的冗余， 且采用STP 生成樹協(xié)議來防止網(wǎng)絡出現(xiàn)環(huán)路， 從而可以實現(xiàn)故障的自動切換。 IRF 實現(xiàn)之后，兩條鏈路采用聚合的方式與核心互聯(lián)，充分利用兩條鏈路，使帶寬得以翻倍，一旦有鏈路中斷，會比生成樹協(xié)議更快的速度實現(xiàn)收斂。

3.2 防火墻遷移方案

公司原網(wǎng)絡架構中， 通過部署在Cisco 6509 交換機上的防火墻模塊， 實現(xiàn)對現(xiàn)有網(wǎng)絡中服務器區(qū)的網(wǎng)絡安全防護，但考慮到安全性和穩(wěn)定性，決定將防護功能從原有交換模塊上剝離，通過本次改造，由兩臺啟明星辰USG-FW-1200SP 承擔起服務器區(qū)防護的任務， 為了更高的安全模式和對不同業(yè)務采用不同的安全策略，需將服務器區(qū)各業(yè)務系統(tǒng)（caiwu、server1、server2、OMS）的網(wǎng)關部署在防火墻，每個業(yè)務區(qū)單獨一條線路從核心交換區(qū)到防火墻， 所有訪問服務器區(qū)的流量， 都通過防火墻進行流量安全清洗后，重新灌回網(wǎng)絡。

4 實施效果

4.1 簡化網(wǎng)絡的配置管理

主干設備升級改造后，兩臺主干設備就虛擬成1 臺設備，通過連接到某臺設備的Console 口就可以登錄到虛擬后的邏輯設備進行配置管理， 配置1 次就可以完成對兩臺設備的配置， 而不需要對兩臺設備分別進行配置。 只需配置1 個管理地址即可管理兩臺設備，原市公司、省公司和國網(wǎng)公司監(jiān)控的兩臺內(nèi)網(wǎng)核心設備的地址減少為1 個，節(jié)省了市公司、省公司和國網(wǎng)公司監(jiān)控軟件的節(jié)點數(shù)。

4.2 優(yōu)化網(wǎng)絡的業(yè)務運行

主干設備升級改造后， 原先雙鏈路上行至兩臺核心的接入設備可以通過配置鏈路聚合來消除二層環(huán)路、提高鏈路帶寬。同時可減少網(wǎng)絡設備之間存在的大量協(xié)議交互報文， 這樣當網(wǎng)絡出現(xiàn)動蕩時可以縮短收斂時間，簡化網(wǎng)絡的運行［17-18］。

4.3 提高網(wǎng)絡的運行可靠性

主干設備升級改造后，一旦某臺設備出現(xiàn)故障，網(wǎng)絡系統(tǒng)運行的各種協(xié)議、 配置信息會自動備份轉移到另一臺設備上， 從而確保網(wǎng)絡系統(tǒng)中的各類業(yè)務不會出現(xiàn)中斷，實現(xiàn)設備的N-1 備份，提高網(wǎng)絡的運行可靠性。

4.4 局域網(wǎng)性能得到優(yōu)化

現(xiàn)在通過雙鏈路連接內(nèi)網(wǎng)核心設備的局域網(wǎng)接入設備和匯聚設備都配置stp 協(xié)議來消除環(huán)路，雙上行鏈路只有1 條鏈路承載業(yè)務流量。 內(nèi)網(wǎng)核心在IRF+VCF 架構形成后可以將以上設備的雙上行鏈路進行鏈路的聚合， 兩條鏈路都承載業(yè)務流量并且互為備份，即消除了二層環(huán)路又提高了鏈路的帶寬。

5 結束語

本文針對公司信息內(nèi)網(wǎng)存在的網(wǎng)絡運行問題，通過采用IRF 橫向堆疊與VCF 縱向堆疊技術對信息內(nèi)網(wǎng)網(wǎng)絡架構進行升級改造。 網(wǎng)絡升級改造后，網(wǎng)絡中不再有空閑的熱備核心設備，信息內(nèi)網(wǎng)核心的性能提升1 倍；網(wǎng)絡中不再有空閑冗余光纖鏈路，所有接入上聯(lián)的兩條1 000 MB 的光纖聚合為1 條2 000 MB 的鏈路通道； 核心設備以及光纖的物理損壞，備用設備接替工作的中斷時間達到毫秒標準，滿足存儲系統(tǒng)及小機系統(tǒng)的網(wǎng)絡切換需求； 部分網(wǎng)絡得以簡化，消除了大量生成樹協(xié)議，減少了網(wǎng)絡系統(tǒng)中數(shù)據(jù)資源的內(nèi)耗。 從而有效提高公司信息網(wǎng)絡運行的安全性、穩(wěn)定性和可靠性，為公司各業(yè)務系統(tǒng)的安全穩(wěn)定運行提供堅強的保障。