企业网络设计
企业网主要包括三块内容:园区网、广域网和数据中心。按照网络用途来分,也可以分为办公网和生产网。
||第一层设计:按网络业务和安全划分
首先按照网络是否连通、按照业务和安全要求,划分出是几张网。通常只有安全要求高才会这么做。
这个以政府单位财政局举例会讲一点,财政局有2张网,财务专网和办公网,两张网之间完全隔离,如果一个员工即要接入财务专网,又要接入办公网,则需要两台电脑。
在弱电间会有两套接入交换机,在核心机房会有两套核心交换机,然后有不同的路由器通过不同的专线接入财务专网和办公网。
当然这种完全隔离的网络也可以使用VDC、VRF和MPLS V P N等技术来实现,但我用传统的方式来说会更容易理解。
||第二层设计:按大区域划分每一张网络
在划分出要设计几张网后,进行每一张网络的设计。这时候一般会分为园区网,广域网和数据中心区域。
这时候要把该网整体的简单的拓扑图画出来了。例如下图,绿色部分为数据中心,红色部分为园区网,蓝色部分为广域网。
||第三层设计:按照地理位置进行细化
不管是数据中心或园区网,都可能不在一个地理位置。这一步的设计就是把每个大区域按照地理位置进行细化。
例如数据中心分为北京数据
中心、天津数据中心、广州数据中心,园区网是北京总部、石家庄分支、沈阳分支、哈尔滨分支。
||第四层设计:每区域内的网络设计
园区网:园区网会再次根据功能进行区域划分,一般要分为核心区域、广域网接入区、Internet接入区、服务器接入区、无线AC接入区、有线终端接入区等。
然后要确定物理连接方式,逻辑连接方式,使用什么技术连接,都使用什么方案,最后进行设备选型。
广域网:确定广域网使用什么线路(裸纤,运营商专线或互联网V P N),使用什么连接技术,什么路由协议(BGP还是OSPF),根据业务确定QOS,进行设备选型。
数据中心:数据中心相对比园区网更加标准化。每个数据中心内部会包括内网区域、外网区域、DMZ区域,运维区,也有按照业务分的分为WEB Server区域、数据库区域、存储区域等,这个要根据实际的业务情况来进行划分。
网络在这一块是实现需求的,并不是提出需求的。笔者会在数据中心章节讲到几种划分案例。
— 网络设计案例 —
下面笔者结合实际案例,简单讲解一些网络设计案例,整个《阿森实战网络设计》将围绕这些设计进行展开讲解。
||某互联网公司网络架构
废话不多说,先上一张拓扑图。
这是某公司浓缩后的企业网架构图,首先从业务角度,网络一分为二,蓝色虚线上面的为IDC线上业务,提供公司网站,APP等对外服务,蓝色虚线以下为办公网业务,提供员工上网,访问内网,V P N移动办公。
以美团点评为例,你使用美团APP、美团外卖APP,都算线上业务,而你在公司上互联网,文件共享都算线下业务。
线上网络:该公司租用了一家IDC提供商的机房,每个IDC约租二十个柜子。每个IDC内部又分为内外网,外网使用IDC提供的BGP线路,内网通过IDC的专线打通,这都算数据中心部分,数据中心互联则叫做DCI。
线下网络:即办公网,北京总部和各个分支都是独立的局域网或者说园区网,然后使用路由器通过Internet V P N把各个分支和总部连接起来。而把各个分支与总部连接起来的网间网就叫做广域网。
广域网设计:在广域网部分,该公司使用了思科的DMV P N技术,上海和北京之间使用了运营商的点到点专线(MSTP线路)。
路由协议设计:每个IDC机房是一个私有BGP AS,整个办公网是一个私有BGP AS,AS内部全部用OSPF连通,通过双向重分布把BGP和OSPF打通。
||某市经济技术开发区网络架构
这是某市经济技术开发区的拓扑图。由于该开发区所有的视频监控由该开发区政府管,所以在开发区内建了多个小机房,做为视频监控头的结点。
最终“开发区办公楼”做为总部,做为连接互联网、政务网和IDC机房的总出口。
考虑到线路冗余和成本问题,并没有使用星型拓扑,而是采用环型拓扑来进行连接。除办公楼外,其他节点机房通过裸光互联,两个机房间一般不超过5公里。
这可以说是一个大的局域网或者说城域网都可以。整个环网采用了OSPF做为路由协议进行连接。
||某商业银行网络架构
这是某个省级商业银行的简化版拓扑,银行一般的拓扑都是这种。首先银行一般有多个数据中心,最少是两地三中心。
即两个城市,有三个数据中心,其中A城市有两个,B城市有一个。A城市的两个DC之间一般为双活,数据为同步传输,可以做到机房级的灾备,切换速度会比较快,而B城市的数据中心可能为异步传输,防止城市级的灾难,如地震,洪水,军事打击等。
接着讲本拓扑图,该银行有两个数据中心,一个主站点,一个灾备中心,两个DC在同一个城市,通过运营商点到点专线互联。
接下来是石家庄市分行,分别通过点到点专线连接到“总行数据中心”和“总行灾备中心”,然后石家庄支行再连接到石家庄市分行。张家口是河北的一个地级市,它通过两根点到点专线连接到石家庄市分行,张家口支行再通过专线连接到张家口市分行。
在这个图上,会涉及到BGP和OSFP协议,DC和石家庄市分行之间是BGP,石家庄市分行以下是OSPF协议,并有多个OSPF协议,之间会进行双点双向重分布。
而每个银行,不管是分行或支行,都有双核心交换机,双广域网路由器,双运营商专线,达到了设备和链路级别的冗余。
两条专线会根据业务不同,通过PRB和路由条目进行分流,实现在默认情况下一条专线走银行的生产流量,一条专线走视频监控、OA办公的流量,互为备用。并且在专线上启用QOS,两条专线都会优先保证生产。即当默认跑生产流量的专线故障后,办公流量会降级,QOS保证生产流量。
||某大型传统企业网络架构
这是某个中型企业的一张网络,两个数据中心均托管在了IDC机房,另一个备份的站点使用了AWS的云服务。然后公司有5个办公区。
整个网络通过电信的MPLS V P N网和Internet V P N做互联,实现冗余和负载均衡,所有办公区都能够接入三个数据中心,办公区之间通过CN2网或V P N直接转发,不经过数据中心。
||某互联网企业数据中心网络架构
该拓扑图是某互联网公司线上机房的拓扑图简化版。所有机房分布在北京和广州两个城市。
两个城市间,即广州核心节点A和北京核心节点A之间通过20G运营商链路进行连接,广州核心节点B和北京核心节点B通过20G运营商链路进行连接。
在北京区域,每个IDC机房都通过裸光+波分设备的方式分别连接到北京核心节点A和核心节点B,实现冗余和负载均衡。核心节点和IDC机房之间带宽可达到200G或更高。
||某大学网络架构
这张拓扑是一个大学的拓扑图。该大学在市内有一个老校区,在大学城有一个新校区,两个校区间通过40公里的光纤和100Mbps的运营商专线(运营商线路为备用线路,通过浮动静态路由切换)进行连接。
两个校区分别接入了互联网,但只有老校区接入了教育网,该校IP地址汇总做得很好,整个学校全部使用的是静态路由。
网络设计是网路工程师的看家本领,是对整个网络设计生命周期很关键的一环。