企业园区网3.0架构
概览和框架
思科设计指导CCO文档 : http://www.cisco.com/go/srnd
目 录
企业园区网架构和设计介绍.................................................4
文档目标...........................................................................................................................4 介绍...................................................................................................................................4 企业园区网络...................................................................................................................5 园区网架构和设计原则.....................................................6
层次化...............................................................................................................................6
访问层.......................................................................................................................7 分发层.......................................................................................................................8 核心层.......................................................................................................................8 将控制平面和数据平面映射到物理层面.............................................................12 模块化.............................................................................................................................13
访问分发区域(access-distribution block)..............................................................13
多层访问分布区块Multi-Tier Access-Distribution Block.............................13 路由式的访问分发区块设计.........................................................................14 虚拟交换.........................................................................................................15 分发区域的设计比较.....................................................................................17 服务区域(Service Block)........................................................................................19 弹性、自愈的网络架构Resiliency.............................................................................20 灵活性Flexibility..........................................................................................................22 园区网络服务............................................................22
永不停顿的高可用性(Non-Stop High Availability )...............................................23
衡量可用性.............................................................................................................23 统一通信的需求.....................................................................................................26 园区网高可用性的工具和方法.............................................................................27
网络弹性/自愈Network Resiliency................................................................28 设备弹性/自愈Device Resiliency...................................................................28 操作弹性/自愈Operational Resiliency...........................................................29
接入和移动服务Access and Mobility Services.....................................................30
整合的有线和无线园区网络设计.........................................................................31 园区访问服务Campus Access Services.................................................................33 应用优化和保护服务.....................................................................................................35
园区网络QoS设计原则..........................................................................................35 网络弹性/自愈和QoS.............................................................................................38 虚拟服务Virtualization Services..............................................................................39
园区网络虚拟化机制.............................................................................................39 网络虚拟化.............................................................................................................41 安全服务.........................................................................................................................42
基础架构安全.........................................................................................................43
基础架构保护.................................................................................................43 网络架构的智能检测和监视.........................................................................44
周边访问控制和边界安全.....................................................................................44 终端安全.................................................................................................................44 分布式安全 – 深层防御.......................................................................................45 操作和管理服务.............................................................................................................45
故障管理.................................................................................................................46 主动式故障管理.....................................................................................................46 自我响应故障管理.................................................................................................46 事后分析能力.........................................................................................................47 记账和性能.............................................................................................................47 配置和安全.............................................................................................................47
园区网络架构的不断演变..................................................47
企业园区网架构和设计介绍
文档目标
本文档提供了园区网络架构概览,包括不同设计因素的描述、拓扑、技术、配置设计指南,以及高可用性设计、全服务园区交换架构。本文也意在针对具体的设计中提供给读者更多的园区最佳设计指导和配置范例
介绍
过去五十年年,随着通信和计算机技术的使用,企业已经不断的提升自身生产力和竞争优势。
过去的二十年,企业园区网络已经演变成这一企业商业计算和通信架构里的关键部分。 商业和通信技术的相互变革并没放缓,相反,目前的企业商业环境正在逐渐步入新的革新阶段。
人本网络,逐步浮现,也被称作为Media,阐明了在园区网络里对此的需求所占百分比已经发生了极其显著的变化。
人本网络是协作、互动、关注最终用户之间的实时通信,比如员工、客户、合作伙伴等等任何人之间。
用户在网络上的体验,成为技术系统成功与否的最大决策因素。
Web 2.0、协作应用、Mash-ups(使用现有网络内容并加以重组,创造全新的体验的网站正成为标准、所有这一切,都反映了一系列业务和技术变化,这种变化同时正在改变我们网络系统的要求。在企业商业活动中、企业与合作伙伴之间、与其它组织之间,这种改变也驱使对移动性需求的增加、对安全的高度需求增加、对身份的准确识别、对用户/设备/网络的准确分组需求增加。
当前企业园区网络面临的需求和改变概括的可以包含以下几个部分:
z 企业全局的可用性
-- 统一通信、金融、医疗、和其他关键系统正驱动对五个九的高可用系统的需求,对实时的互动应用提供高收敛时间;
-- 数据越来越集中,增加了对业务连续的网络系统的依赖需求
-- 网络变化的时间窗口正在不断缩小或者为0,因为企业商业的运作已经变成全局的并且处于7x24x365的时间操作模式
z 协作与实时通信应用程序的使用越来越多。
-- 用户体验正在成为一个最优先的业务通信系统决策依据
– -随着统一通信部署的增加,网络系统的正常运行时间就变得更加重要。
z 不断演变的安全威胁。
–- 安全威胁在数量和复杂性不断增加
–- 分布式和动态应用环境绕过传统安全检查点
z 企业必须适应变化,而不是推倒重来
– -IT采购面临设备需要提供更长的服务时间,并且需要适应未来以及目前的业务需求。
– -部署新的商业应用所拥有的时间窗口和资源正在下降。
– -新的网络协议和特性都开始出现(微软正在将IPv6引进到企业网络)
z 无论何时何地都能顺畅接入网络,这种需求和期待正在逐步提升 – -合作伙伴和访客访问企业网络的需求正在增加
– 便携式设备(笔记本电脑和PDA )的使用正在不断增加,推动功能齐全的安全的移动服务
– -越来越多的需要在不同地点支持多种设备类型
z 下一代应用正在推动高容量的要求。 – -嵌入式富媒体文件。 – -交互式高清晰度视频。
z 网络变得更加复杂。 – - 完全依靠自己力量整合,势必延迟网络部署并增加整体支出 – - 商业风险控制的规则,要求必须使用具有有效保障的网络系统设计
– 通过先进的技术(语音、区域划分、安全、无线),都对于基础的交换设计和容量提出特定的需求和改变。
本系统设计指南,通过最新的思科高级服务技术提供企业园区网络架构,并依赖最佳实践设计的原则,这些原则都已在企业系统环境中得到验证。
本文介绍了部署高可用性、安全、富服务园区网络中的关键架构组建和服务
它还定义了一个参考设计框架,每一个具体的设计章节提供背景知识,帮助网络工程师了解具体设计主题如何融入整体架构。
企业园区网络
企业园区网络通常理解为基础计算架构的一个部分,向遍布各物理位置的最终用户和设备,提供对网络通信服务和资源的访问。它可能跨越一个楼、建筑,甚至一个大的建筑物群,并且可以分布在更广的地理区域。某些网络只有单一的园区网络,同时作为核心或骨干网络,并提供其他网络之间的互联。园区核心网往往可以互连园区接入、数据中心和广域网部分。在最大型的企业,可能有多个园区网分布在世界各地,每个园区网络提供了最终用户访问和本地骨干连接。从技术或网络工程的角度来看,园区网络的概念也被理解为数据中心以外的高速layer-2和Layer-3以太交换网络部分。即便如此,所有这些定为或概念都没有完全描述今天园区网络的功能和服务。
为提供企业设计指南而定义的园区网络,由包含特定服务集合的综合元素构成,最终使用者和工作站设备都共享这些高速交换互联架构。比如数据传输服务(有线和无线)、数据识别和控制(安全性和应用优化)、数据监控与管理、整体系统管理和呈现。基本职能是这样的方式执行的:提供并直接支持更高级别的服务,此服务由最终用户社区所使用的IT组织提供。这些职能包括:
z 不间断的高可用性服务 z 接入和移动服务
z 应用优化和保护服务 z 虚拟化服务 z 安全服务
z 操作和管理服务
在本文后面的章节,概述了所有这些服务,并描述他们在园区网络里是如何互通。在六个服务区的更多细节之前,有必要理解规范园区网架构的首要设计标准和设计原则。园区网络设计可以从多个角度论述,比如从基础物理配线,到园区网络拓扑的设计,再到园区网络服务的应用部署。无论顺序或方式,所有这些都构成一个整体,遵循最基础的设计原则,而正确的使用这些原则,为上一层面服务提供坚实的/架构性的部署,这样才会确保其上面的服务层面更加有效的实施
园区网架构和设计原则
任何成功的架构或系统都必须有一个坚实的基础理论和原则。园区网的设计跟设计任何大型、复杂的系统没有区别。使用一套基本的工程指导原则,以确保园区网络设计能够平衡可用性、安全性、灵活性、可管理性,以满足当前和未来的业务和技术需求。最基本的工程和架构原则:层次性、模块化、冗余性、灵活性 。这些原则简要总结以下几节:
• 层次化 • 模块化 • 冗余性 • 灵活性
这些都不是孤立的原则。成功的设计和实施一个企业的园区网需要了解如何使每个部分适用于整体设计,以及每个部分如何适用于每一其他原则的需求。
层次化
一个成功园区网设计,关键因素是遵循良好的工程指导架构。一种结构化的系统是基于两个相互补充的原则: 层次化和模块化 。任何大型复杂的系统必须建立一套模块化组件,这些组件满足层次化和结构化的组织方式。将任何任务或系统分解为各功能组件有其直接的益处。每一个组成部分或模块可以有一个相对独立的设计,所有模块可作为半独立的内容提供更高的整体系统的可用性,以及更简单的管理和运作。程序开发人员多年来一直利用这一层次化结构和模块化方式的原则。
在早期的软件开发,程序员构造意大利面条式代码系统。这些早期的项目,高度优化且非常有效。但是,随着程序越来越大,他们不得不作相应的修改或改变,软件设计人员很快了解到,由于各个程序和系统组成之间缺乏隔离,这就意味着,任何微小的变化都可能影响整个系统。早期基于局域网的计算机网络往往和程序开发的早期阶段类似,都使用简单而高度优化的方式将少量电脑、打印机和服务器互联起来。随着这些局域网逐步升级,相互需要互联,也就形成了第一代园区网络,此时此刻,也就面临同样的挑战,网络这个区域的问
题常常会影响到整个网络,一个区域简单的增加或移出都必须谨慎计划,否则会影响网络的其他部分。同样,一个区域的网络故障,往往也就直接影响到整个校园网。
在软件开发的领域,应用系统的增长和复杂性问题,促成结构化编程设计采用模块化或子程序的系统。每个功能或软件模块都单独编辑,它可以修改,但不必更改整个程序。在园区网的设计遵循了相同的软件工程师所采用的基本工程方法。将园区网络系统划分为不同的子系统(如同积木),将这些不同区域子系统按照一定的顺序组织起来,这样,不管是每个园区网络子系统还是整个园区网络,就都可以实现更高程度的稳定性、灵活性、可管理性。
研究结构化设计规则必须适用于园区网络,从两个角度看待这个问题。第一,什么是园区网络的整体层次结构、每个层面需要哪些功能和职能?其次,哪些是关键模块、他们是如何和和其他部分紧密协同的?最基本的,传统的园区网络定义为一个三级层次模型:核心层、分布层、接入层,如图1所示。
需要注意的是,层次化有特殊角色的设计,但是对于园区网络的物理构建没有绝对的规则。诚然,许多园区网都采用三个物理层的设计,但这不是一个严格的要求。在一个较小的园区网络,该网络可能有两个层次,其核心和分布层可能在一个物理交换层。另一方面,园区网络也可能有四个或更多的物理层交换层,因为规模、配线结构、和/或自然地理位置,可能需要核心延伸。重要的是,而层次化网络往往定义了交换的物理拓扑,它们不是完全一样的东西。分层设计的关键原则是,每个层里的元素已经具有特定的功能和服务,在设计力也就具有独特的角色。
访问层
接入层是园区网络的第一层或边界,提供普通电脑、打印机、相机等类似终端设备的接入;此处也提供多级网络的连接扩展,比如接入IP电话、无线热点AP等。各种各样的可能类型的设备、不同服务和动态配置机制,在此层面都是必要的,这样使得园区网络的访问层成为功能最多的部分;下表所列出服务类型和功能,必须确保在接入层支持和提供
服务需求
服务特性
发现和配置服务 安全服务
802.1AF, CDP, LLDP, LLDP-MED IBNS (802.1X), (CISF): port security, DHCP snooping, DAI, IPSG
802.1X, MAB, Web-Auth
QoS marking, policing, queuing, deep packet inspection NBAR, etc.
PVST+, Rapid PVST+, EIGRP, OSPF, DTP, PAgP/LACP, UDLD, FlexLink, Portfast, UplinkFast, BackboneFast, LoopGuard, BPDUGuard, Port Security, RootGuard
Power over Ethernet
网络设别和访问 应用设别服务
集成网络控制服务器
物理架构服务
接入层提供了智能化的划分网络基础设施和计算机设备,提供了一个安全,服务质量和信任边界。这是安全架构网络防御的第一层面,终端设备和网络架构在此进行协商接入;就园区网的整体设计看,访问交换层提供最主要的接入层服务,也是提供丰富园区网服务的关键设备。
分发层
园区网的分布层设计具有独特的作用,它作为接入和核心的服务和控制之间的边界。接入层和核心层都是本质上有特定用途的网络层;接入层致力于满足最终设备的连接功能、核心层致力于提供不间断连接整个校园网络。而分布层在另一方面提供多种用途:
这是一个所有接入交换机的聚集点,并且提供访问层之间的数据策略。 分布层也是网络核心的组成部分,提供核心路由的设计。 第三个角色就是提供汇聚、策略控制、分布层与分布层的隔离
回到软件系统的开发,分发层提供子程序和主程序数据的输入和输出。园区网的分发层定义了边界网络控制平面协议( EIGRP、OSPF协议、生成树) ,并担任访问层内部以及访问层之间的策略控制。分布层的这些功能既介入访问/分发模块又介入核心层面,因此,分发层的特性选择,往往依据这些需求决定,比如接入层控制需求、核心层功能需求、接入层和核心层互联需求。后续文档会有更细的描述。
核心层
园区网的核心是在某些方面简单但却最重要的组成部分。它提供了一个非常有限的服务集合,旨在提供在线用续的高可用性和运行操作。在现代商业世界的核心是网络必须提供一个永不停顿的7x24x365服务。园区网络关键的设计目标是基于提供适当水平的冗余,当任意组件(交换机、引擎、线卡、光纤)故障时提供最佳的数据恢复。网络设计还必须允许偶然,但却是必要的,硬件和软件升级/改变,但不影响整个网络的应用。.核心的网络不应该执行任何复杂的策略服务,也不应该有任何直接连接的用户/服务器。核心也应该有起码的控制平面配置,并配合高可用性设备配置正确的物理冗余以提供永不停顿的服务能力。
园区网的核心层是所有园区架构组件的骨干互联。作为网络的一部分,互联不同区域的终端设备、计算、数据中心的存储服务、其他服务。核心层将园区网络所有子区域容为一体。一个必须解答的问题是:核心层是否必须?比如,一个园区网只分布在同一建筑物内部或多个邻接的光纤互联建筑物,那么可能需要将核心层分割为2个分发层的交换机,如下图:
值得考虑的是,在任何园区网设计,即使是那些被物理分割的分布核心,其主要目标仍然是提供容错和主干连接。将分布和核心分成两个独立的模块,可以创建一个明晰的区域划分,这样实际的下层更改不会影响整个网络,比如数据中心、广域网、或者其他网络部分。.核心层还提供了灵活性的设计,以满足物理的布线和物理区域的要求。比如,一个园区网络由多个园区建筑构成,如下图,可以通过多核心组织结构来提供物理上的多功能,这样确保核心不会受不同物理区域的制约,又能实质上的做到逻辑隔离,使得设计变得非常合理、灵活、高可用,更加能够适应扩展需求。
单独核心的设计思想,另一个优势就是,随着网络的扩张,独立的核心提供了园区网络非常好的扩展能力,而减低整个网络设计的复杂度,复杂的设计可能回带来高可用的减低。它也往往是最符合成本效益的解决方案。
如下图:随着网络规模的增长和对应的大量互联的需求,很明显看出,具有核心层的设计才是真正合理的网络设计。
园区网络有一个专门的核心层允许允许园区网络规模不断增长,而不影响子模块的设计、数据中心和网络的其他部分的设计。这一点尤其重要,因为规模的增加可能是分布层的增加,也可能是物理区域的增加,更可能是复杂性的提升。在一个更大、更复杂的园区网络,核心层提供了整个园区网络的容量和扩展能力!
何时必须设计单独的物理核心,取决于多个因素。明晰的核心能力非常重要,它允许园区网解决物理设计上的各种难题。然而,应该记住,一个重要目标是,有一个独立的园区网络核心,可以提供可扩展性和尽量减少变化带来的危险,比如移动、增加,改变某些园区网络子模块。一般来说,如果一个网络,没有设计为合适的模块化而被提升为核心层,随着网络规模的增加,规模或复杂性和网络变化开始影响到核心设备,它常常指出设计需要将核心和分布独立开来设计以满足增长的功能需求。
将控制平面和数据平面映射到物理层面
执行层次化的园区网设计不仅仅是一个物理的设计问题。为了实现这一理想水平的故障/发展变化隔离,逻辑控制平面的设计和数据平面的设计也必须遵循分层设计原则。最重要的是,将物理连接、逻辑控制平面、数据平面映射到同一层次模型,这非常必要,以产生最优的网络设计部署。从物理的角度来看,分发层提供核心部分和接入部分的边界。它在核心基础设施和接入之间提供了物理界限。分发层还应当是核心控制平面和接入控制平面的界面和汇集点,允许核心层的管理/修改独立性,核心层的修改不会带来访问接入层的变化。
数据在整个园区网络的走向,也是分层设计需要考虑的方面更是目标。
下图所示,相同物理链路故障,会导致3个不同的数据恢复路径,但是影响却各不相同,左边是不希望看到的效果,右测是最佳设计的效果。
分层设计的好处在于可以使每一个层面具有专门特性和功能,进而获得对应的网络性能。比如可以控制数据流按照既定的流向传输(接入层Æ分发层Æ核心层),备选路径也会按照既定的设计路径传输,就可以避免不必要的数据流向其他层面,比如上图左测流向使接入层承担了不必要的额外流量。同样,数据流量总是从接入到分发层到核心层,这样比较容易在每个层面执行一致的策略机制。这样可降低设计复杂性,没有必要考虑是否有可能性的其他意外流量或两次通过策略层。设计层次性网络,以支持一致性的数据流行为也有效的提高网络收敛时间。等价多路径(ECMP Equal-cost multi-path)设计和其他完全冗余配置,确保这些分层的数据走向也能够快速和决定性的收敛时间,即使非全网状设计,如上图右侧“best”设计。
模块化
第二个设计原则是模块化结构设计。系统的模块化是组成大园区网的基石。模块化特出的优势是可以提供隔离。故障点可以隔离在其他网络模块之外,提供简单的故障排错和整个网络的高可用型。网络的变化、升级或增加新服务,可以有效控制范围,提供园区网络的更灵活的维护和操作。当某个模块容量不够或不满足新的功能服务需求,可以通过同样结构的其他分层设计的模块替代。园区网络架构是基于核心部分对两个基础模块的互联来实现:
• 访问模块(access-distribution block) • 服务模块(Services block)
下面来介绍园区网络下的这些功能区域模块,更详细的设计指导,可以参考对应的特定设计文档。
访问分发区域(access-distribution block)
访问接入/分发模块是园区网络架构里最熟悉的部分。是园区网络设计的基础。恰当设计的访问分发block需要长时间的设计确保整个架构的成功和稳定。访问分发部分由园区网三个层面的其中两个组成:接入层和分发层,每个层面都有各自指定的服务和功能需求,这是网络拓扑的控制平面设计选择,比如路由、spanning-tree协议,以确保整体架构的完善设计。目前有三个基础设计选择供访问分发区块和对应的控制平面:
• Multi-tier多层 • Routed access路由访问 • Virtual switch虚拟交换
而所有这三个设计使用相同的基本物理拓扑和布线结构,有不同的layer-2和Layer-3的边界存在,如何冗余的网络拓扑结构的设计、如何负载平衡,每一个设计里都有各自关键的区别。针对每一个部分,下面提供了一个简短说明
多层访问分布区块Multi-Tier Access-Distribution Block
下图描述了multi-tier access-distribution模块,是传统的园区网络访问分发区块设计,所有访问层交换机处于2层工作模式,分发层交换机设计为2、3层转发。基于VLAN的trunk向下互联至接入层。一个默认的网关协议比如HSRP/GLBP,运行在分发层的交换机上,分发层和核心层运行路由协议。在访问端口和交换机之间的连路运行Spanning-tree并执行spanning-tree的加固特性比如loopguard、rootguard、BGPDGuard。
Multi-tier设计由两个基本的不同,主要在于VLAN是定义为何种工作模式。Looped设计里,配置一对多的VLAN跨越多访问交换机,因此,每一个spanned VLAN有一个spanning-tree或二层looped拓扑。另一个设计,V字型或loop-free的设计,为每一个访问交换机定义为一的VLAN,避免拓扑loop,带来几个益处,包括每设备上联的负载均衡(使用GLBP)、减轻依靠spanning-tree提供网络恢复、减低广播风暴的风险、避免unicast泛洪(在不对称的二层/三层转发拓扑里也有类似的风险)。
路由式访问分步区块的设计可以参考CCO指南:http://www.cisco.com/go/srnd.
路由式的访问分发区块设计
对于传统的multi-tier分发区块设计而言,另一个设计方法就是让访问层交换机运行三层路由协议,提供二层/三层数据转发,与分发层使用点对点的三层路由链路,路由从分发层下移到访问层,看起来设计上有大的变化,实质却是multi-tier的简单而最佳的设计。
在多层和路由访问设计的最佳实践里,每一个访问层交换机提供独立的语音、数据以及其他必须的VLAN服务。在路由式访问设计里,默认网关和VLAN的根终结从分发层下移到访问层交换机。而最终工作站的IP地址和默认网关保持不变,访问层交换机的VLAN指定和端口配置保持不变。路由端口的配置,访问控制列表、ip helper和其他配置,对于每一个VLAN保持一致。不必要配置HSRP/GLBP,因为所有VLAN的路由接口都本地访问交换机提供,对于PIM的查询需要必要的优化。
路由式的访问分发区块设计,比传统的多层设计有很多优点,传统的多层设计使用2层上联的访问。
路由式设计提供端到端的排错工具,比如ping和traceroute,使用单一的控制协议比如EIGRP、OSPF,不需要使用HSRP方式。某些网络环境还能使用HSRP,但不是全部,因为这种环境不能让VLAN跨多访问交换机。更多细节参考:http://www.cisco.com/go/srnd.
虚拟交换
Virtual Switching System (VSS)虚拟交换分发区块的设计值得向路由式和传统多层设计推荐,引进VSS和堆叠技术使传统的交换机冗余和链路冗余有一个更加好的策略。过去,多个访问交换机都分别连接到两个冗余的分发层交换机,而网络控制协议比如HSRP、802.1D spanning-tree、EIGRP,决定了数据在网络里的走向、决定了交换机和链路容错的方式。
在VSS的概念里,分发层交换机可以当作一个虚拟的逻辑交换机看待,如下图。这个改变,为网络的拓扑带来了显著的变化。不再是一个访问交换机通过两个上联链路到两个分发层交换机,不再需要控制协议决定哪个链路主用,此时,VSS里只需要访问交换机通过一个MEC(multi-chassis etherchannel)上联到“单个”的VSS虚拟交换机。 虚拟交换机及其逻辑结构如下图:
这种改变,带来了很多优势,如下图,负载均衡、链路冗余,现在依赖于以太网通道,数据流量负载均衡基于流,而不再基于client或subnet。当一个上联链路断开,数据流量自动的通过以太网通道的其余链路分发,不需要等待HSRP或其他的协议去恢复。这样的网络里不需要二层拓扑里的loop,也就不依赖于spanning-tree提供拓扑维护和链路冗余,而已,此时的设计里,允许子网和VLANs跨多访问交换机。VSS拓扑和Spanning-tree拓扑如下图:
VSS架构设计里最显著的先进性在于无物理Loop、无须spanning-tree。然而,However,这不仅仅是结构上的区别。VSS架构设计给分发层带来了很多配置、操作上的基础改变。通过简化网络拓扑,使用单一的VSS虚拟分发交换机,网络设计很多方面得到简化,某些方面不再需要。HSRP或GLBP不再需要,因为已经由交换机承担默认网关。对于按子网或VLAN的配置比如访问控制列表、ip-helper、其他的一些内容只需配置一次,无须复制,而是在VSS的两个交换机之间同步;也会同步到备用的引擎。
注意:虽然VSS里无须Spanning-tree,但是不能关闭它,它作为冗余机制的备选。
VSS不限于园区网的分发层设计,任何园区网络里需要控制平面和硬件冗余,都可以由VSS提供。VSS系统简化网络拓扑,减少运行Spanning-tree和路由协议的设备数量。任何多链路冗余互联都可以使用VSS这样的简单节点和更少的链路。下图,一个极端的案例,端到端二层的基于spanning-tree的全冗余结构移植到基于VSS的端到端的结构。移植后,所有链路都可以转发数据,结构简化,没有Spanning-tree的loop。
即便如此,我们在园区网络设计中,仍然需要遵守分层式的设计。适当的使用layer-2和Layer-3的汇接、安全、QoS边界,都仍然可以应用到VSS系统环境。绝大多数园区网络设计都会从VSS设计中受益;更多内容参考: http://www.cisco.com/go/srnd.
分发区域的设计比较
Multi-tier多层、Routed access路由访问、Virtual switch虚拟,三种设计的每一个方式,都提供了不同的途径,VSS和Routed路由方式将比传统的多层方式具有更多的优势,简化全网配置和操作、按流的上行/下行负载均衡、快速收敛,都是和传统的多层方式不同。
在园区网设计中,此方式的选择是极其重要的。下表对三种作了简单的比较,在作出决定之间,需要详细参考Cisco对于这些设计策略的内容,以考量自己的环境中都考虑到所有这些因素。
访问分发控制平面协议
传统多层 Spanning Tree (PVST+, Rapid-PVST+ or MST)
STP Required for network redundancy and to prevent L2 loops Spanning Tree and FHRP (HSRP, GLBP, VRRP) Supported
(requires L2 spanning tree loops)
Distribution HSRP, GLBP, VRRP required
No
900 msec to 50 seconds
路由模式 VSS方式 EIGRP or OSPF
PAgP, LACP
Spanning Tree
2 No1 No 网络恢复机制 EIGRP or OSPF
Multi-Chassis
Etherchannel (MEC)
Supported
VLAN跨越 No
Layer 2/3边界 第一跳冗余协议
访问到分发的按流负载均衡
收敛
Access Not Required Yes - ECMP 50 to 600 msec
4 Distribution3 Not Required Yes - MEC 50 to 600 msec
Change Control
双分发层交换机设双分发层交换机单一虚拟交换计需要人工配置同步,但设计需要人工配置同机系统自动同步配置,允许独立的代码升级和步,但允许独立的代码但不允许独立的代码修改 升级和修改 升级
路由模式和VSS模式都不需要STP的配置来维护拓扑,但是保留STP以使用比如BPDU
Guard
2 1 同上
VSS的设计可以配置路由式的访问层,单位影响VLAN跨越的能力 到访问层的收敛时间50 to 600 msec.
3
4 服务区域(Service Block)
服务区域对于园区网设计是相对新的部分。如下图,当园区网络设计者计划将网络迁移到IPv4/IPv6双栈环境,迁移到基于控制器的WLAN环境,并且继续继承久经考验的UC统一通信服务,此时,一些列的现实挑战便逐渐浮现。平滑的将这些服务集成到园区网络里,是非常重要的,必须提供正确的操作管理流程和容错手段,必须持续的维护灵活性和可扩展性设计。比如,IPv6的服务可以通过过渡性的ISATAP overlay,允许IPv6设备在非IPv6的园区网设备上建立隧道。这种过渡性的途径允许快速引进新的服务而不是网络全局性的重新部署。
这里给出一个举例,说明服务区域里应该提供的推荐性功能: 集中式的LWAPP无线控制 IPv6 ISATAP隧道终结 本地Internet边界
统一通信服务(比如Cisco的UC管理、网关、MTP等等) 策略网关
服务区域不必是一个独立的实体,网络上可能有多个服务区域存在,依赖于不同物理区域间是否需要冗余、网络的规模、其他操作和物理上的因素。在园区网络中,服务区域担当集中式的服务目的,将专门的服务规划到专门的服务交换里去,做到完全干净的操作处理和配置管理。
弹性、自愈的网络架构Resiliency
虽然架构化设计原则和模块化、分层思想是园区网络设计的整体,但是还不足以创建可持续和可扩展的网络基础架构。比如软件开发,在软件开发领域,仅仅对于输入得到正确的输出还远远不够。同样的道理,园区网络如果只能正确的将数据从一个点传到另一个点,还远远不够。正如近些年软件操作系统和程序领域所暴露的诸多安全弱点。软件设计人员逐步认识到程序正确远远不够。系统设计也必须考虑防止故障和非常规状态。最简单的破坏系统的方法之一就是PUSH,以找出系统设计的边界,发现系统安全弱点。
如果一个软件系统接受输入的范围的值从1~10,如果想破环此系统,可以输入1万、10万等等,以查看核实系统崩溃。同样,如果想破坏网络,使用同样的方法,向网络引入足够多的数据流和其他非常规的场景,以发现网络弱点。软件工程师已经对此类问题足够重视并且采用了许多解决方法,包括边界检查、assert check、增加模块化设计。网络工程师也面临同样类似的最基本的设计挑战,需要调整网络设计策略以提供更具弹性、自愈的网络架构。
在网络的设计概念里,何谈弹性的设计?最基本的特性就是不管是正常的非正常的状态下,系统仍然保持可用的能力。正常状态包括诸如改变窗口、正常的或预期的数据流和数据模型。非正常状态包括诸如硬件或软件故障、极端数据负载、非常规数据模型、内部或外部的拒绝服务(DoS)、或其他任何非计划内的事件。如下图(具有弹性特色的园区网络)所示,有诸多方法可以做到弹性设计,包括加固单独的组件、交换机和网络链路、增加吞吐或速率限制,在边界设备加强行为控制,使用仪器和管理工具对网络操作做出反馈。
注释:Scavenger Class(清道夫级别的流量)是指整个网络通信系统里面,一些新兴的流量,但是这些流量是对组织没有实质作用的,比如说,在一个公司的网络里面,点到点下载(BT、Emule)、联网游戏、娱乐类点播之类的应用流量,是设计生产性网络的时候,没有考虑进来的流量,甚至针对蠕虫病毒、DoS攻击的流量也属于这个范围,对于这些流量,在网络上传输的优先级用该是最小的,比best-effort还差,带宽限制以接近1%比率控制,也可允许在不影响商业运行的情况下,可以让这些流量在网络非高峰时期传输。
弹性设计既不是一个功能Feature也不是一个可以激活的某某事物。对于分层和模块化设计而言,弹性是一个基本的原则,通过许多关联的特性功能和设计选择而实现。将多个功能特性组合并为多个目的服务,体现为弹性设计。比如访问级的交换机端口安全,通过使用端口安全功能特性,可以根据入交换机端口的Frame帧的MAC地址决定是否允许数据包进入访问交换机。如果打开这个功能,就可以阻止许多“问题”发生,比如,中间人攻击、拒绝服务DoS泛洪攻击、以及减轻Spanning-tree LOOP的发生。实施端口安全,可以检查/限制此端口下“捆绑”了多少个终端。每个网络里,每个边界端口,都设计为规定数量的终端连接。通过实施显式规则,可以限制超数量终端接入等行为,这样的网络设计得到了比较高水准的整理网络弹性能力,比如端口安全可以阻止边界端口突发数千个MAC地址接入网络。通过工程化管理,允许网络如何工作、禁止网络某种行为发生,可以预防网络因异常事件而中断或减低服务性能。
如同端口安全一样,其他很多传统安全特性功能和服务质量(QoS)特性都可以也应该被用来解决安全问题和QoS需求,同时也提升园区网络基础架构的整体高可用性。弹性设计原则还延伸到对控制平面协议的配置,比如EIGRP、Rapid-PVST+、UDLD,延伸到提供交换机、网络设备等的弹性级别。路由协议汇总、使用spanning-tree的工具(Loopguard、
Rootguard)可以显式的使用来控制园区网络在正常运作下的行为,并对于期望的和不期望的事件做出响应。
弹性设计原则,是园区网络设计原则的第四大基本原则。正如实施分层和模块化是相互独立密不可分的一样,弹性设计也是网络整体设计密不可分的一个部分。设计弹性网络可能需要使用新的特性功能,但这也是如何选择我们网络层次结构和配置基本二层和三层拓扑的常规。
灵活性Flexibility
在许多企业商业环境,园区网络不再是网络的新鲜事物。园区网络发展经历了第一代和第二代构建周期,预期的园区网络生命周期已经从三年增加到五年,某种条件下已经增加到7年。同时,这些网络变得越来越大,也越来越复杂,与之同时企业商业的通信仍然需要继续发展。这就提出一个挑战,如何设计园区网络以提升其适应能力或灵活能力。调整网络某个部分的能力、增加新服务的能力、不用重新部署就增加容量的升级能力等等,都是设计园区网络需要考虑的因素。
结构化的分层设计本身就提供了高度的灵活性,因为他允许公平的独立性前提下对某个模块部分进行调整。核心层的调整,相对独立于分发层的区域。分发层的设计或容量的调整可以分阶段渐增的方式进行。此外,作为整体分层设计的一个部分,向园区网络架构引入服务区域,也是介于此原则,就是将服务的实施放到相对可控的范围。整体园区的模块化设计允许对整个架构的每一角色填充式的选择设备。伴随核心、分发、访问交换机的生命周期的循环,必须考虑每一部分都能够延伸服务能力(调整/升级)以支持企业商业需求,而不是征购硬件的更换。
其他一些领域很有可能在未来几年的网络设计里需要增加考虑,未来的应用环境也需对目前的设计作对应调整以适应那个时期新的灵活性需求,这些领域包括:
z 控制平面的灵活性 – 支持多路由、spanning-tree、其他控制协议等之间的迁移
z 转发平面的灵活性 – 支持引入IPv6应用能够平行于IPv4
z 用户组的灵活性 – 园区网络内转发能力和服务能够虚拟化,以支持企业管理架构内的调整。这能够满足供应商、伙伴、企业功能外包等需求。
z 数据管理和控制的灵活性 – 统一通信、协作的商业模式、软件模型的继续发展,点对点数据流呈增长趋势,这些基本领域的改变,需要园区网设计提供安全、监视、故障排除工具等手段,以满足新的数据模型。
z 灵活的安全架构 - 调整数据模型的高级率、新应用和通信模型开发后的持续安全威胁,需要园区网络安全架构适应这些变化。
任何园区网络演进能力都是实际商业和操作所必须的。确保整体架构满足最优灵活性将会保证未来的商业和技术需求,这将大大提高成本控制。
园区网络服务
园区网络架构远远超过基础分层设计,这在《Campus Architecture and Design Principles》讨论过。分层的原则是基本的,讨论如何设计园区网络,但并不定位于园区网络底层如何工作。向最终用户和设备提供何种服务?这些服务具有何种期望和具体指标?每个层面需要提供何种功能?园区网络如何来提供企业商业和技术需求?园区网络如何提供和有何需求可以分为六大类:
z z z z z z
永不停顿的高可用 有线接入和无线服务 应用优化和保护服务 虚拟化服务 安全服务
操作和管理服务
接下来的部分,将介绍这些服务和各服务的级别。
永不停顿的高可用性(Non-Stop High Availability )
很多情况下,园区网络的服务需求原则是网络的可用性。设备互联的可用和应用程序的可工作,依赖于园区网络的可用性。过去的园区网服务需求主要是可用,现在的可用有了更多内涵。可用性内涵和网络如何可用的需求在不断变化,比如随着统一通信的发展、高质量的视频等等,都依赖于所有商业进程中的网络本身。
衡量可用性
可用性,传统方法是使用一个参变量,比如网络工作时间的百分比或9的位数(b比如5个9)。可用性的计算基于网络中设备的MTBF(mean time between failures)和MTTR(mean time to repair故障修复时间),
提升MTBF(减低可能的故障)或减低MTTR(减低故障恢复时间),或同时优化二者,都能够提升可用性。单一设备的网络,所有我们需要考虑的是:设备可靠性如何?故障时恢复速度如何的快?多设备的网络,将会有其他的因素影响整个可用性及设计选择。
园区网络往往由众多设备组成,比如交换机,整个园区网络的MTBF基于每一个设备的MTBF、设备是否冗余。如果是三个交换机互联组成的网络,无冗余,任意一台故障,都会导致网络不可用。那么整个网络的MTBF取决于每一个交换机可能的故障频率。具备冗余交换机的网络,只有当同时两台都故障时,网络才不可用。如下图:
单个交换机互联
冗余交换机的网络
除了MTBF的不同情况下的不同计算,网络设计使用冗余和冗余程度还影响网络的MTTR。如下图(网络冗余对整个园区可靠性的影响):网络中服务、数据流的恢复时间,基于故障设备的恢复/替换时间和启用备用链路传输数据的时间。替换设备时,时间将因不同操作成员而以小时或天计算而不是分钟或秒,如果网络设计缺乏恰当的设备冗余度,其可用性将显著不同。
另一个常用的衡量可用性的指标,是DPM(defects per million)。当衡量网络故障的可能性,建立服务水平协议(SLA),DPM是一个很有用的工具。它衡量对于最终用户服务不可得时的影响。往往这是更好的衡量工具,因为这更反映了用户体验。DPM的计算方法的参
数:每个事件所导致的影响用户分钟数、受影响的总用户数、时间持续得时间、故障点时总的可用服务分钟数。
非常关注最终用户影响和网络自身影响的情况下,DPM是一个非常有用的衡量网络可用的工具。园区网络设计,可虑可用性时加入用户体验的因素,将是极其重要的,也是考虑高可用和永不停顿网络必须重视的问题。五个九的网络,多年来已经是最佳园区网络设计的标志,其允许一年内停机时间为5分钟。
如下表:
可用性 :DPM和停机时间
可用性 (百分比) 99.000 99.500 99.900 99.950 99.990 99.999 99.9999
深入考虑网路的操作性,最大化的获取每年停机时间5分钟,是非常有意义的目标。但是,作为一个单个的指标,也不是考量整个网络可用并满足企业发展的全部。DPM需要从最终各自不同的用户/应用衡量网路可用性,也是衡量SLA是否满足的有效工具。虽然如此,这还不够。园区网络设计第三个衡量指标是最大不可用时间(maximum outage),当网络故障时,任何应用和数据流都必须面对的周期。设计园区网络时,深层分析用户/应用的恢复时间,是第三个极其苛刻的设计考量参数。苛刻商业运作中的五分钟停机过程将给企业带来极其显著的影响。
DPM 10,000
天
5,000
天
1,000 500 100 10 1
时
时
钟
钟
钟
0.5 分5 分
4 小
钟
53 分
1
时
8 小
钟
23 分
3
时
19 小
钟
46 分
停机时间/年 (24x7x365)
15 小
钟
48 分36 分
统一通信的需求
园区网高可用性设计需要考虑:
z 该设计所支持的SLA级别(几个九)? z 网络是否满足SLA(DPM)?
z 当故障发生,对于应用和用户体验有何影响?
前两个是园区网络操作完整性的参数集合,用来决定网络操作的服务等级。 第三个是对企业业务停摆的衡量,各个故障会造成何种程度的停摆。而且,会随着应用的发展变化而变化,随着基础结构的变化而变化。
当企业迁移到VoIP和统一通信,可用性接受程度也会随之需要重新评估: z 对于语音和视频,需要何种网络恢复速度?何种情况下,语音的会话将会中断?
z 网络需要何种收敛速度和恢复?语音通话需要多久恢复?故障诊断时间? z 何种速度的收敛时间以避免呼叫信号中断、拨号音丢失、因连接丢失而重新注册话机(比如注册到Cisco CCM、SRST或者CCM express)?
这些衡量具有客观的和主观的因素。除了定义应用何时失效,还需定义对于员工和用户而言,什么是具有破坏性的,何事件将中断他们的日常工作,何事件意味着整个网络的失效。基于网络的通信在个人或企业事务中变得越来越普及,对于可提供在线工作的网络的要求也变得越来越严格和苛刻。
如果某个指标评估主观上的失效判断,确实具有基本的人的通信模型感受。比如每个人评判通话中断的时间,各人感受各有不同,但大致在3-6秒。
RTP数据流的时延时非常严格的。比如,人耳能够监测50毫秒很更低的声音中断,那么平均的会话中断大概接近200毫秒。对于会话中丢失语音信息的补充能力、语音信号视为中断(或者认为另一个人在讲话)的时间阀值,远远大于人耳所能检测的程度。
统一通信系统里的MTTR衡量比较
所以,园区网络设计中,统一通信设计考量和五个九设计考量一样总要。
注意:语音和视频不是唯一的收敛需求高的应用,贸易系统、医疗系统、其他实时应用,都需要很严格的收敛速度甚至比语音/视频要求更高。上文用语音来做例子,因为语音已经成为大部分企业网路里都会使用的一个应用,因此也是所有园区网络设计的参考标准/最低需求。
园区网高可用性的工具和方法
ESE(思科企业解决方案工程)园区网设计指南所采用的方法,既可以解决五个九的高可用问题,又可以提供统一通信级别的园区网恢复时间要求,从三个方面提供高可用服务:
z 网络自愈/弹性
z 设备自愈/弹性 z 操作自愈/弹性
这种方法基于分析网络失效的关键因素(如下图:网络失效的原因分析),基于使用分层的、自愈弹性、模块化组合考量结合思科Catalyst交换机,定义一些列的设计参考。
网络弹性/自愈Network Resiliency
网络弹性/自愈,主要关注整个设计部署的拓扑如何冗余、链路和设备如何冗余,已经控制平面的协议(EIGRP、OSPF、PIM、STP)如何优化设计使用。物理冗余是确保整个网络可用性的极其重要的部分。即使一个部件失效,仍然有备用部件保证网络继续服务。园区网络控制平面的能力能够保证物理冗余下数据操作的合规、保证网络的负载均衡、网络的有效收敛和网络的可运行。详细的控制平面协议的设计可以参考专门文档,这里给出所有设计场景里的基本原则:
z 无论何处,尽可能采纳交换机的硬件冗余能力,为网络失效提供最首要的监测和恢复机制(比如:多机箱的以太网通道、等价多路径失效恢复)。这确保高效恢复和更加确定的明确的故障恢复。
z 为失效监测和恢复机制提供深层防御措施(defense-in-depth)。比如链路监测和恢复可以使用Layer-1的链路监测(802.3z和802.3ae)方法,更可以使用Layer-2的UDLD技术作为备份,以监测交换机到交换机的链路处于工作状态。
z 确保设计是自我稳定的。综合使用控制平面的模块化机制(比如路由汇总)和软件上的阀值机制(比如ip接口的dampening),确保任何意外事件发生时,控制平面自身仍可以正常工作。
这些原则旨在整个架构模块设计方法的补充,加强更好的弹性/自愈能力。
设备弹性/自愈Device Resiliency
在冗余的网络拓扑里,使用冗余的链路和交换机,可以应对很多园区网的高可用挑战,当冗余本身不是网络设计的全部。每一个园区网络设计都有其单点故障点,而整个园区网的
高可用性也就依赖于此单点设备的高可用性。比如访问层,对于所接入的设备而言,每一个访问层交换机都是单点故障点,保证网络服务的高可用也就依赖于这些单个设备的能力。 设备弹性/自愈,包括网络弹性/自愈,可以通过恰当的物理冗余、设备加固、软件功能增强来获得。研究表明,园区网络最最普遍的失效跟物理层的部件失效有关,比如电源、风扇、光钎链路。所以设备弹性/自愈里,最重要的是链路冗余、电源备份、线卡备份。如果是语音网络里,比如部署IP电话的园区网络,电源冗余就更加必要,需要支持POE供电的交换机提供不停顿的电话供电。越来越多的设备依赖于访问层交换机的高可用性和能力来维护所连接设备的供电能力。除此,最常见的设备失效跟硬件引擎和软件有关系。使用冗余的设备引擎可以确保网络免受重新激活和数据丢失。这就需要充分利用交换机的高可用特性,比如状态化切换、不停顿转发NSF/SSO、设备堆叠技术。
这些机制,都为交换矩阵和控制平面提供在线冗余,确保数据转发和网络控制平面在任何形式的硬件和软件故障时,无缝自恢复
注意:更详细的可以参考Campus Redundant Supervisor Design
除了保证园区网络中的每一个交换机都有必要的硬件和软件的冗余,还建议采用恰当的方法保护交换机控制平面的安全性。现代多Gigabit速率的交换网络,可以很轻松地打垮任何CPU。数据在网络里传输时,都通过硬件实现,CPU只会在需要对控制平面操作和其他系统管理时,才会用到。而潜在的某种条件下的事件比如DoS攻击,会直接打击CPU。这种情况下,除非非常完美的交换机硬件架构和控制平面,整个网络可能因为CPU过载而停摆,比如因过载,CPU来不及处理控制平面的协议EIGRP/STP和其他管理目的动作(telnet/ssh)。那么可以从三个角度来设计园区网络的这个部分:
z 通过模块化设计,设置控制平面和CPU负载的底线,同时,设计当任何异常来临时,能够隔离控制平面。
z 减低泛洪事件的可能性,比如减低二层拓扑的范围,使用Spanning-tree的工具加固spanning-tree设计
z 引进硬件CPU保护机制、控制平面保护机制(CoPP),为流向CPU的数据流限制和定义优先级别
三者联合设计,针对物理层失效的物理冗余、针对不停顿的数据/控制平面的引擎冗余、CPU硬件保护能力,是园区网络设计里,加固设备自身的关键设计,以确保设备自身的高可用性。
操作弹性/自愈Operational Resiliency
设计网络嫩购从失效事件恢复,只是整个不停顿网络架构设计的一部分。企业的环境仍然需要真正的7x24x365的高可用性。
现在的网络,已经很难找出真正的修改窗口(change window),或者,何时可以将网络停摆以供全局维护或其他应用需求,越来越需要总是在线的通信联络,而另一方面,很多应用比如基于大机的庞大应用系统已经逐步向基于WEB的和基于同一痛惜的系统。
园区网络,企业主干网络的一部分或全部,必须设计满足标准的操作程序、配置修改、软件和硬件而不中断网络服务。
生产网络里的修改、软件升级、硬件升级或更换,可能归因于网络的部署和设备冗余需求。通过冗余交换机的双active链路的设计,可以获得sub-second的网络收敛事件。通过在某个网络组件规划中断事件,可以允许升级动作,然后可以在最短时间内将整个网络恢复为可服务状态。同样的,对于单个的设备升级而不影响其提供服务,可以通过简单的内部冗余实现比如冗余电源、引擎配合系统软件的功能。园区网络里升级软件的两个主要机制比如:
z 交换机系统的服务在线软件升级可以确保升级时,设备仍然处于服务状态。比如使用前面提到的NSF/SSO,可以保证200MS时间的数据丢失而实现全软件的升级。
z 再比如网络设备模块化的软件系统,可以确保只升级系统的某个模块而整个系统仍然处于服务状态,而不影响数据转发和其他部件的工作。
园区网络具备不停顿的服务能力,依赖于园区网络设计之初的恰当的功能考虑。网络和设备及别的冗余、必要的软件控制机制、数据流的控制保证和快速收敛,这些都需要前瞻性的不停顿网络架构设计。
接入和移动服务Access and Mobility Services
园区网络架构里的可影响因素在不断变化,也就带来不断变化的企业网络设计的不断增长的期望,需要提供任何时间/任何地点的网络连接,这一点,在现今园区网络设计里,尤为突出。移动需求和灵活性需求的提升,已经在园区网络访问服务设计里变得尤为重要。日益增长的移动需求,包括有线的和无线的,可以根据特征概括为三个趋势:
z 日益增长的笔记本及手持设备的使用,这是企业网络最主要的使用工具。 z 合作伙伴、其他访客的现场访问也越来越流行,需要随时接入园区网络,这些接入往往使用各自随身的计算设备,而可能需要使用园区网络的服务设备比如电话、打印机、其他类似的网络服务。
z 需要接入网络的设备数量和类型都在不断增长,比如VoIP电话、桌面视频摄像、安全摄像设备等等。
网络设备在园区网络内移动,需要捆绑更多的服务和策略,以满足统一的管理,也便于实现投资保护。为了实现这样高级别的移动访问,园区网络必须确保如下的访问服务集成到整个园区网络架构里:
z 物理的接入网络的设备必须能够自动协商的获得正确的layer-1和layer-2的服务,比如PoE、链路带宽/双工、子网(VLAN或SSID)
z 执行网络设备身份识别,必要时,执行网络准入授权。
z 对于特定的用户、设备、数据流(比如RTP流)执行必要的QoS策略 z 为特定的用户和设备实施一定的安全策略 z 网络和设备检测并注册所接入设备的位置
z 设备能够自动协商并注册正确的工作站参数比如DHCP,还包括其他的服务,比如统一通信和呼叫代理服务
对于园区网络的挑战是,决定如何部署这些设计来满足不同的需求、移动的不同需求,投资保护的需求,灵活操作的需求,挑战还来自于在更传统的固有配置里如何平衡安全和所期望的可用性。
整合的有线和无线园区网络设计
满足动态和灵活的网络访问的方法之一就是向园区网络引入802.11无线。802.11提供简单的漫游并且价格低廉,是一种增强网络访问的方法,不管对于高可用的无限设备还是高可用的有线设备,园区网络规划中引入无线访问方式,都可以满足提供更多服务和易于移动的需求。在园区网络架构里集成有线和无线访问方法,是罪行的网络整合阶段。如下图(企业网络整合发展),企业网络已经走过了多个集成或整合阶段:
有两个动力推动网络整合的进程。第一个是园区网络的整合减低了操作成本,通过引进通用系统和(更加重要)通用操作支持团队和流程;第二,同样重要,通过整,原来孤立的商业流程可以变得更加机密集合,提升企业业务可用性。比如,企业语音、视频、数据网络的整合,驱动现在业界流行的统一通信的发展,让业务具备更加高效的手段使用各种个人与个人之间的通信联络工具。这种下一代的整合,将有线和无线都整合到园区网络,是基于同样的驱动原因。原来只有在孤立的场景或特定的解决方案里才使用的无线系统,现在被紧密整合到园区网络架构,以期在绝大多数情况下获取更多的投资保护。通过使用通用的后端认证系统、桌面客户系统、通用的安全服务,和类似的通用的支持流程,可以获取更加有效的和有利的操作环境。重要的是,下一历史阶段的整合设计,将要无缝的提供有线/无线访问
环境,以获得优秀的协作和通用服务而不依赖于底层物理访问连接方式,这将大大提高企业业务的效能。
作为整合有线和无线架构的发展过程,这将显得很重要,就是平衡高度移动性和应用的不可中断性之间的关系。当前,有线技术和无线技术在性质和能力上还不尽相同,决定使用无线还是有线或者二者都需要的时候,需要作出一定的分析,分析移动的真正需求。是需要易于移动的无线还是需要保护数据服务的有线:
有线和无线环境关键的区别之一就是,共享介质和专享介质的区别以及他们各自的主要功能。有线的访问端口是交换式的全双工资源,每一个客户有专门的硬件资源提供访问服务,比如QoS和安全。无线介质,则是共享的资源,使用公平仲裁协议从共享资源里公平分配。无线访问提供高度灵活的可无缝漫游于园区网络的访问能力,同时其风险在于网络服务可能因极端情况而受到威胁,不会总是提供有保证的网络服务等级需求。有线端口则提供更多的可靠保证,比如QoS抖动、时延、数据报的可靠性(多播),提供更高性能和最基本的layer-1/2的故障隔离。但是,有线端口是一个固定物理位置的资源。下表的分析,可以帮助权衡使用有线还是无线的访问模式:
有线和无线对于应用需求的支持比较
可用性
有线
无线
交换式的以太网提供固有的现代的5Ghz的无线系统,具有layer-1的故障隔离,很好的性能,在集中式的无线管理,提供无线端口的适当的交换机平台里很能提供多层保护, 但是,所有无线介质潜layer-2的故障隔离和DOS保护 在性的易受蓄意的或无意的安全威
胁,比如DOS(radio jamming、RF interface),集中式无线管理可以提供这些威胁挑战的解决方法1 .
QoS服交换式以太网提供多种专门硬802.11e标准增强了WLAN的务质量 件队列,包括每端口的strict priorityQoS功能,为无线终端提供了进一
队列,支持有保证的QoS服务策略。步的QoS保障,数据限速、抖动等另外,每端口每VLAN特性提供更细等,满足严格的QoS策略需求 粒度数据标记和数据控制,保护异常
行为的客户访问。
组播
极低的光纤和铜缆BER(bit
error rates),加之专门的硬件队列,提供了极高的组播数据流保护(组播基于UDP,数据包丢失时没有重传机制)
与有线相比,无线的BER较高,不利于提供组播业务。注意,对于单播,802.11提供数据
acknowledged transmissions,以获得类似于有线的的高BER
点对点可以,每端口ACL和PVLAN数据流的控制 隔离允许设备级的数据分割
认证
可以,可以实现设备级的数据比阻断
802.1x客户认证,在交换机的客户认证协议被集成到无线标环境里得到支持,可以作为早期网络准里,何以和无线终端协同工作。无环境的增补,但部署起来可能比同等线设计里,向来部署一直得协同客户环境的无线复杂 认证策略 基于地理位置的服务是对早期即有成熟环境的补充
当前的无线系统已经完全集成了基于地理位置的服务
位置
1
Layer-3 DoS防护,对于有线和无线的环境,都是一样的
随着时间的推移,企业商业应用需求不端调整,园区网络必将同时部署有线和无线网络。而单一一方(无线或有线)都不能满足全部的商业应用需求。对于网络设计人员的挑战就是,部署集成的园区网方案以满足最佳的服务需求,因为所有设备都基于网络整合的原则,并提供通用的网络服务且满足统一操作和管理。
园区访问服务Campus Access Services
园区网络访问层重要的特性就是,允许终端设备从网络架构里自动协商到所应具备的参数和设置。一般而言,交换机的设计,园区的或数据中心,看起来都基本类似。他们由基本的以太网连接、恰当的访问端口、基本的整体网络容量组成。随着数据中心和园区网络环境的发展,设计方法和系统需求都变得越来越个性化。最明显的一个区域就是网络访问层。园区网络的访问层需要支持多种设备类型 – 电话、无线AP、数字摄像头、笔记本,而这每一类型的设备都需要各自不同的服务和策略。这与数据中心的设计就截然不同 – 数据中心有高密度刀片服务器、服务器群、虚拟服务器系统。无线环境里需要PoE、客户认证、动态QoS、安全服务,这又与传统的交换环境乃至数据中心需求都不同。
研究这些访问服务的不断发展,利于理解访问层是如何变化的。DHCP是一个网络环境里的最初基本机制,利于动态的边缘设备的网络配置,易于网络设备在物理环境里移动。动态的协商IP地址配置,易于移走或增加PC、打印机或其他设备。包括利于VoIP部署,利于话机的移动,利于使用者的移动。除了IP的动态自动配置,还利于VoIP设备动态的服务注册比如SCCP注册到Cisco的呼叫管理服务器,包括动态的网络服务的获取。IP电话动态的协商电源(PoE)、QoS、拓扑、安全等参数,利于提供非常优越的即插即用能力。思科的邻居发现协议提供了终端设备比如IP电话,能够像网络标识自己以协商配置参数。IP电话通过CDP标识自己所需要的语音数据VLAN以及如何标识话机所连接的PC过来的数据CoS位。同样的,交换机也会理解如何标识话机互联端口的电源参数已经正确的端口QoS配置。现今的增降的动态协商过程是,在话机获得正确的语音VLAN之前,必须协商正确的PoE和CDP参数,这给动态协商过程提供了更高的信任度和安全特性。
另一个值得注意的是,CDP的网络发现和配置能力已经得到IEEE LLDP和
LLDP-MED协议的补充(Link Layer Discovery Protocol-Media Endpoint Discovery)。LLDP和LLDP-MED对CDP即有扩展又有重叠,但仍然有许多不同。LLDP不提供CDP第二版本的特性,比如交换机和话机之间的双向电源协商,这可以减低PoE电源环就环境里的供
电过渡使用。在绝大多数园区网络环境里,都会需要访问层交换机端口既支持CDP又支持LLDP/LLDP-MED。这利于移动设备的自动协商入网。作为最终用户,移动性需求逐渐增加,不管设备支持CDP还是LLDP或二者都支持,都需要从园区网络动态的协商或得对应设备的参数、服务等等。
802.1x认证方法是下一设计阶段动态访问的策略之一。802.1x不仅提供比较强的认证方法,还用来进一步配置网络服务、VLAN签发、QoS、端口ACL策略。但802.1x策略签发不再是每一个设备类型的全局默认选择,比如IP电话环境,而是在特定的设备和用户环境里使用。当初向园区网络引进802.1x部署常常会碰到挑战,比如网络里的20年以上的老的设备和操作系统。传统的老的有线网络在设计当初就根本没考虑需要安全认证。而新的交换机功能就可以满足这些挑战,比如MAC地址bypass(MAB)、基于网页认证方式、开放认证功能。随着时间的推移,不管无线、有线尤其需要设备在有线无线访问域间移动,一种通用的认证系统将会成为通用的部署模式。统一的有线和无线能力将会进一步发展,有线网络正在逐步采纳802.1ae和802.1af标准,在访问端口和终端设备间提供认证和加密,提供如同今天的无线安全802.11i的服务。
附加标准802.1af MAC密钥安全协议是管理用于加解密信息的短期会话密钥的
802.1x的扩展。初始密钥,或主密钥,一般通过802.1x和IETF的可扩展认证协议等外部方法获得。正在开发的第三个相关协议是802.1AR:安全设备身份协议。802.1AR保证可信赖的网络部件的身份。
统一定为服务是有线和无线网络里另一个集成趋势。定为服务解决很多动态网络环境里的挑战性问题。尤其对于可以随处漫游的设备,在做故障排错时,尤为重用。当统一通信的终端接入网络,决定使用何种呼叫管理控制策略、使用何编码/网关/MTP资源,如果没有某种形式的动态定位信息取代静态资源配置,其管理将变得很难。
应用优化和保护服务
园区网络通常都提供最高容量并确保任何接入点的最低时延。是否需要QoS机制以及数据优先级区分和保护,往往成为网络设计的争辩之一。经历了形形色色互联网的安全问题比如蠕虫和其他类似的事件,绝大多数网络工程人员已经意识到没有恰当的QoS服务和安全保障,几乎不可能获得永续的应用服务保证。
一系列的因素也影响着支持企业商业需求的网络能力:
z 随着万兆以太网引入普通网络,高级的TCP流控机制的使用产生了更大的突发数据,在网络的访问层和核心层设备之间带来更大潜在的速率不匹配,驱动更大队列的使用。
z 点对点数据的增长,不同应用和数据类型的协议端口的过渡使用,带来另一方面的挑战。应用伪装为WEB数据以及不同服务需求下的多应用系统使用相同的HTTP端口,都是端口过渡使用的案例。
z 园区网络的数据流越来越复杂和多样化。预知网络冲突点变得越来越难,因为点对点会话在网络中来去自由,数据流模型可以随之而不断变化。
z 企业应用系统越来越多,处理共享通用WEB前端,此时,就更难以靠TCP/UDP端口号来区分苛刻的还是非苛刻的数据流,这几乎成为不可能。尤其这些应用使用不同的端口号,且可以伪装成HTTP数据流,在网络防火墙里动态搜索可使用资源,此时,就更加难以发现哪些是网络需要的、哪些不是网络需要的应用。
当园区网络发展到统一通信阶段,更多地语音和高清视频加入到企业网络,所有这些因素就会变得同时存在于网络里了。
园区网络QoS设计原则
园区网络里的应用服务和数据流,都需要优化和保护,此时,需要明确有何QoS工具可以使用和如何使用。园区网络里,除了需要交换连路上的队列,在访问层,分类、标记、策略也是最佳的QoS功能。
设计园区网络策略是,有三种QoS设计原则非常重要:
z 只要技术和管理上都允许,分类和打标记尽可能的靠近源。这利于端到端的差分服务/Per-Hop行为。
z 需要排除数据流的策略,尽可能靠近源。尤其比如存在DoS和WORM攻击。 z 如果条件允许,优选硬件方式执行QoS服务功能,而不是软件方式。
在网络的边界/访问层启用分类、标记、策略,可以建立一道QoS信任边界。在信任边界,所有数据都被正确的识别,打上正确的CoS/DSCP标记。它定义了什么样的数据流是受保护的应用流,而其他则不受保护。将信任边界尽可能定义在靠近网络的边缘,意味着“所有”应用流,甚至是同事之间的个人语音通信,都是受到保护的。如下图,园区QoS信任边界推荐:
在当前的园区网络QoS设计,对进来的任何数据流,每个交换机的访问端口都配置为不信任QoS标记,除非是AUX端口或语音VLAN。从IP话机来的数据是信任流,否则不是。这在专门的话机语音环境里,是可以的,但是,随着统一通信的继续发展,语音/视频应用开始以其他PC应用的形式出现,越来越需要有选择的智能的信任某一特定应用数据流,即使来自”不信任”的计算机。使用按VLAN或端口流量策略,是一种机制,用来有选择的信任某一端口范围内的数据流,且满足某一数据速率定义。每个边界端口都可以配置检测指定范围的端口,如果为超过事先定义的数据速率,就标记一个正确的DSCP值。超过此限制速率的就丢弃,防止伪装欺骗,比如使用高优先的端口。虽然这样的基于策略的方法在某种环境工作得很好,但是,随着复杂应用的增加,他们共享某个端口,黑客也可能共享此端口(被信任的端口),此时,就需要更强大的方法来解决。
深层数据包检测(DPI:deep packet inspection),能够检查IP数据包的payload部分,而不是仅仅依靠TCP/UDP端口号来检查,DPI检查数据包里携带的是何种类型的数据。这可以解决上面所描述的问题。具有NBAR功能的交换机设备可以检查特定的UDP流里是否确实是一个RTP流或其他基于应用的流,它会检查包含在数据包里的RTP头信息,如下图,使用DIP提供智能QoS信任边界:
在网络边界进行检测和恰当的标记特定的应用数据流,可以提供更细粒度的和更精确的QoS信任边界。
终端设备不会被认为是信任设备,除非被IT管理人员严格的管理,才会被认为是信任的。有一种很简单的方法,就是在普通计算机的网卡上,可以随意的给所有数据包打上任何分类。比如定义DSCP为EF,就可以很容易的黑客网络资源,比如使预留给实时应用(VoIP)的资源,这样,可以在园区网络以VoIP服务形式肆意传输数据。如果引入桌面机的安全代理,那么可以提供集中式的QoS分类、标记,这是另一种手段,可以得到更细粒度QoS信任策略。值得注意的是,园区网络QoS设计时,桌面安全代理和操作系统,不能全面取代交换机所具备的策略和数据控制能力。值得推荐的是,全区网络加入桌面安全代理和操作系统的打标记能力,同时网络自身仍然设计提供恰当的数据标识和策略控制。
提示:微软已经向Vista的IP栈引入许多流控机制,提供数据管理能力。本文档创建的同时,思科仍然在和微软协作提供最有效的、最具实践的使用新的QoS工具。目前的最佳实践,仍然推荐使用DPI所提供的传统的信任边界模式。
在园区网络QoS设计里使用信任边界,是园区网络架构的基础。当进入网络的数据都有正确的分类和标记,园区网络平台只需要提供恰当的队列机制。如下图,园区网络的QoS分类、标记、队列和策略:
网络弹性/自愈和QoS
园区网络使用QoS,往往是为了在某个网络拥塞时候,起到保护某种数据流的作用。在应用要求苛刻的园区环境里,使用QoS工具和设计原则,显式的通过CoS/DSCP标记保护苛刻应用,可以为网络提供增强的弹性/自愈或高可用性。增强基本的园区网QoS设计,并使用诸如scavenger队列(清道夫队列)、DPI、边缘策略,这样对于其余那些需要“尽力而为(best effort)”类型的应用,可以提供一定程度的服务保证。
使用清道夫分类(scavenger classification)的原则,相当简单。在任何网络里,都有一种数据流,它们只能享用“低于尽力而为(less-than-best-effort)”的服务。有些应用无需在指定的时间内完成,比如备份事件、其他非重要事件,都可以看成是“scavenger”数据。可以使用网络剩余资源进行服务。一旦某特定数据流被定义为此类服务,所有它们的数据包都被标记为DSCP值CS1,表明它们是“scavenger”数据。这种队列,具有高丢包可能性,具有定义好的服务阀值。
一旦定义了“清道夫”类别,便很容易应对网络中不期望使用的数据流。通过使用NBAR深层数据包检测,很容易可以决定网络里不需要的应用,要么丢弃要么标记为
“scavenger”(依靠数据类型和网络策略)。通过在园区网络访问端口应用入策略,可以检测任
何设备或应用发送异常高速数据流。一定时间内发送超过正常或允许范围值得流量,都可以定义为scavenger类型。
设计QoS或策略标识不正常流量为scavenger数据流,可以提供公平的数据流保护,即使那些尽力而为的数据流。对于正常的或允许的行为,这提供更加明确的控制,这是园区网弹性设计的重要部分。
注意:更详细的使用Scavenger QoS和园区网整个QoS,可以参考思科网站提供的《Enterprise QoS Solution Reference Network Design Guide Version 3.3》 ,有专门的园区网QoS设计章节。
虚拟服务Virtualization Services
许多企业为部门、商业单元、供应商、合作伙伴和访客,提供网络资源服务。每一个单元内的用户,都需要提供特定的策略和访问控制,以便更好的使用园区网的计算资源和服务。对于特定组,常常是某种规则或限制,强制使用特定的访问控制、数据格力、或数据流方向控制。而有些组可能需要比较长时间的资源使用,比如合作伙伴,另外一些组可能只需要暂时的资源访问,比如特定项目的参与人员/承包人员。而某些网络可能会发现,越来越多的需求是来自不断增长的访客。诸如企业需求改变、资产剥离、外包需求,同样影响企业的计算价格。现在的企业环境,通信和计算互相交融,任何变动,往往影响很多方面的乃至影响全局。这种因业务策略而引起突发网络改变,需要高度灵活的网络架构设计。 虚拟化 – 为应用提供逻辑的物理资源(一个物理设备,让多组或多设备操作共享,各自获得独立的逻辑设备),为园区网络提供了高度灵活的设计思想。所以,虚拟化设计,提供很重要的潜能,在企业网络的生命周期里,可以大大节减企业开支和操作成本。
园区网络虚拟化机制
对于园区网络,虚拟化并非新技术。VLAN技术就是园区网络的第一个虚拟化技术。如下图,使用一个交换机设备,取代多个HUB或网桥,为每一个用户组,提供分布式转发平面,这当时对于园区网络,是个极大的进步。
使用基于VLAN的交换设计,具有很多优势,增加资源容量、隔离和管理能力。当时,使用企业网络VLAN技术,影响最深的具有最大优势的,在于网络的灵活性,使用VLAN给企业网带来的灵活。灵活的动态重新配置网络、增加新的子网或企业工作组,无须物理上重新部署,为企业提供了很高的投资回报。现今的网络,从VLAN虚拟技术里,仍然获益匪浅。
诚然,VLAN提供了设备许多动态分组的灵活性,但它也有一些局限性。因为它是layer-2的虚拟化技术,所以局限于Layer-2网络的设计。在园区网络架构化分层设计里,不具有跨越大的功能域的灵活性。如果网络设计需要,可以使用VRF(virtualized routing and forwarding,配合GRE、802.1Q、MPLS)创建企业的VPN网络,延展了VLAN提供的配置灵活性。如下图:
VRF在单个物理交换机里为不同应用提供独立的路由和转发进程。每一个VRF有其独立的Layer-3转发表,VRF里的任何设备,都可以直接被三层路由/交换,但不能直接访问另一个VRF。这就类似于交换机里的VLAN定义了二层数据报转发和广播域,如果需要VLAN之间的访问,需要通过三层路由设备。
亦如VLAN网络使用802.1q trunk来延展VLAN,基于VRF设计的网络,使用802.1q、GRE隧道或MPLS tag来延展VRF。如下图,链路虚拟化:
在端到端的基于VRF三层转发虚拟化设计里,一种或三种些链路虚拟机制都可以使用,至于最终使用哪一种组合,依赖于数据流的特色和园区需要(点到点的或Hub-and-Spoke)。
网络虚拟化
网络虚拟化 - 通过单一的物理架构,提供多个虚拟的网络系统,每一个虚拟系统有独立的访问策略,支持所有安全、QoS、统一通信服务。单一物理园区允许多个独立的逻辑网络,各自拥有其必要的网络能力,如下图,多对一的虚拟到物理网络:
设计园区网络以提供虚拟化支持,可以分三个功能区:访问控制、路径隔离、服务边界,如下图(虚拟化园区网络所需的功能元素)所示。每一个部分都有各自对应的特性,相互协作,提供端到端的企业网络虚拟化解决方案。
启用访问控制,可以在网络边界执行策略和组的签发,可以动态的通过802.1x、MAB、WEB认证或网络准入设备实现。都可以用来为单个的用户和设备指定对应的VLAN。当然,也可以通过静态的配置来实现。服务边界,可以通过数据中心的部署来实现。
注意:网络虚拟化设计,进一步可以参考http://www.cisco.com/go/srnd
安全服务
安全的服务是任何网络设计的不可或缺的部分。
网络的相关关联、不断增加的移动设备的使用、黑客思想的不断变化(黑客以具有较高的攻击技能而自豪,并可以获得足够利益),都给园区网络的安全带来越来越多的安全威胁。 很多园区网络安全特性都已经在各种形式内容里得到讨论。安全不再是网络的附加品,而是紧密集成的园区网络整体,防止基础网络的安全隐患。
现今的网络环境里,有非常广泛的攻击者和攻击类型,从简单的数据窃取,到复杂的分布控制系统的肉鸡环境。总体上,园区网络所需考虑的,有六大基础安全威胁类型:
z z z z z
侦查攻击
拒绝服务或分布式拒绝服务 窃听攻击 间接伤害
未授权访问攻击
z 未授权使用资产、资源或信息
为了解决这些攻击和威胁,同时需要检测和阻止技术,以定位攻击者或威胁的根源,同时需要提供事件爆发时的快速响应。组合使用交换架构和外部监视和预防阻断设备,对于园区网络这些安全设计,都是不可缺少的。
园区网络的安全架构,可以分解成三个基础的部分:架构安全、周边/边界安全系统、端点安全和保护。
基础架构安全
设计园区网络架构时,有两个基本的安全考量。一是基础架构必须保护不被蓄意或无意的威胁 – 确保网络和网络服务皆可用。二是,基础架构必须提供网络状态的信息以便检测正在进行的威胁/攻击。
基础架构保护
安全设计必须保护网络架构里的三个基本元素:设备/交换机、链路、控制平面。 保护网络设备
保护园区交换机,从这里开始:使用安全管理、所有设备的变更控制。所有设备的配置管理,都必须使用AAA访问控制且使用加密的手段(比如SSH)。推荐的AAA方法是RADIUS或TACACS+,必须配置以支持命令授权和全程记录。另外,每个设备必须最小化配置以防攻击者获得访问或危及交换机自身。这可以通过比如Cisco操作系统的autosecure功能实现。AutoSecure是思科IOS系统的功能,可以自动将交换机配置为思科推荐的安全策略。这将大大增强设备自身的安全保护,同时推荐有正规的审计流程,以确保所有网络设备都遵从这些保护。
保护链路
保护交换机之间的链路,可以通过园区QoS设计来达到目标。设计可信任的边界和队列策略(在整个设计中使用scavenger攻击),可以保护信任区域或边界的链路容量,以免网络受到直接攻击。而对于QoS信任边界以外的区域,需要额外的保护机制,比如DDoS防护设备,以防恶意的针对链路的攻击。
保护控制平面
保护控制平面包括两个方面,加固系统CPU免受过载和控制平面协议的安全。使用基于MD5的认证,屏蔽无关端口的控制平面协议,可以提供控制平面第一级别的安全保护。进一步的,保护交换机的CPU免受威胁攻击。如果CPU受到攻击和过载(蓄意的或无意的),那么控制平面同样受到威胁。如果交换机无法处理路由、Spanning-tree或者其他控制数据报,网络便出现弱点,网络的可用性也就大打折扣。如本文的前面章节所讨论,这个问题可
以通过CPU的限速(硬件限速或硬件队列算法),配合智能的CoPP来解决。安全、QoS和可用性设计,都需要用来解决潜在的安全问题,以保证园区网络的高可用性。
网络架构的智能检测和监视
如果不能清楚地监视、检测网络的状态,就很难知道网络里恶意流量或未授权用户的威胁。下述机制可以用来智能检测反常或恶意行为:
z Netflow – 可以检测网络里的每一个数据包
z 硬件的DPI(NBAR) - 检测网络访问层不合规的应用数据流,允许有选择的控制(丢弃或施加策略)
z Syslog – 跟踪系统里发生的事件 除了使用NegFlow和DPI进行分布式的数据监视,在网路关键点使用IPS设备,也
可以提供网络发现和缓解能力。NetFlow提供非常灵活的机制检测和发现异常数据流,而IPS配合基于DPI的NBAR,可以深入检查单个数据报的内容。后台的监测系统必须支持所有这三种机制。相应的工具,比如类似思科的MARS,必须提供用以统一的收集数据,并精细的检测安全事件。
周边访问控制和边界安全
正如企业网络的外部边界,有防火墙或外部安全路由器提供安全和策略,园区网络访问层也充当着内部网络边界。网络必须做到当有客户端接入内部边界时,能够确保这是一个可知的信任的客户端(或者此接入点至少满足安全的最低需求)。内部网络边界必须具有信任策略和身份标识特性,提供安全认证机制,比如IBNS(802.1x)或网络准入控制(NAC)。这可以阻止未授权访问,和/或,接入网络时的访问遵从和风险控制。阻止未授权访问,同样可以缓解对于网络其他资产的安全威胁。
除了确保认证和接入网络的设备安全遵从,访问层同时也需要配置以保护许多二层的中间人攻击(Man-in-the-Middle).在所有访问端口配置思科的CISF(Cisco Integrated
Security Feature)、端口安全、DHCP Snooping、动态的ARP检测和IPSourceGurad,可以弥补IBNS、NAC设备所提供的安全访问控制策略。
终端安全
园区网络安全架构必须延展到包括客户自身。终端,比如笔记本电脑,是网络的最大安全弱点也最易受到攻击。终端设备里有重要的数据,受到威胁时,也极易成为跳板,其他攻击者,很容易使用此终端设备入侵内部网络。日益增长的肉鸡(bots),是众多终端安全威胁里最新的一种,能够给整个企业业务带来威胁。
安装客户端安全应用程序,必须Cisco CSA,是端到端安全架构的重要步骤,同时针对终端系统部署NAC和IBNS系统,融入网络安全整体构架。使用网络集成安全服务,也是复杂应用级别安全操作之一。
分布式安全 – 深层防御
现今企业网络,面临的最大的安全挑战,可能是安全威胁的规模(广度、深度)。如何检测、防御、缓解日益增长的安全威胁,需要使用一些列的安全工具,以适应网络及其安全威胁的规模变化。适应此规模变化的其中一种方法,就是在园区网络交换架构自身,提供分布式的安全服务。如下图所示 – 分布式安全服务。不同的安全侦查技术和策略执行机制,分布于园区网络的所有层面。当网络不断分布增长,安全服务也随着园区交换规模而增长。
除了提供可扩展的园区安全,分布式模式也更加强了深层防御的能力。通过在网络的所有层面提供集成安全功能,很容易提供冗余的安全监视和增强机制。
操作和管理服务
确保高效有力的园区网络管理,是整个园区网络设计的最苛刻的部分。随着园区网络投资周期的延续,对于最初的资本投入(CAPEX capital expenditures),运营成本(OPEX operational network costs)呈相对增加趋势。设备持续不断的处于服务状态,而每一设备整体的长期操作成本所占比例,相对于其初期投资,将逐步增加。能够管理、配置和排错,不管是对于网路里设备还是使用网络的应用,对于成功的网络设计是非常重要的。
FCAPS框架定义了网络管理的五个范畴:排错、配置、记账、性能和安全(Fault、 configuration、accounting、 performance、security)。网络管理的排错和每一区域的复杂
检查,超出本文档范畴,但是,理解园区网络设计原则,和整个管理框架里的交换容量,确是很必要的。下面会有每一部分的简要描述。
故障管理
整个园区网络的最首要的目标是,最小化故障对于网络应用和服务的影响。融入网络设计的冗余和弹性/自愈,可以阻止故障/失效对于园区网络可用性的影响。诚然,故障/失效不可避免,这就需要能够检测和响应失效/故障事件,同时可以提供足够的信息以执行事后故障分析,这对于健全的业务流程,非常重要。故障管理可以分为三个阶段:主动预警、及时响应、事后分析。
主动式故障管理
每个网络,不管是扩容、替换设备还是增加网络功能,最终都会需要安装新设备。主动事先测试硬件,在安装设备前能够确保其功能完备,可以帮助避免设备上线后的服务中断。只有当每一个设备厂商都确保提交给客户的设备是经过严格测试和认证的,才能确保上线可靠。同时,设备在运输和安装过程中,也有可能受到损伤,比如静电电荷可能导致设备部件损坏。在设备接入网络加载数据前,前进行严格的测试诊断,也能够避免生产过程中不必要的故障发生。
比如很多网络设备的自我诊断功能(GOLD),就是设计用来进行设备的整体诊断,以提供入网前的预检测功能,确保无潜在故障存在。GOLD可以提供在线的系统健康监视和诊断,提供网络中设备的持续的状态检测,比如在线的ping,测试正确地转发平面操作。GOLD也能提供运行或定制潜在的植入式的按需诊断。这些诊断可以提供潜在硬件故障的排错,也可以提供投入生产系统前的新硬件测试。
注意:更多的GOLD参
考:http://www.cisco.com/en/US/partner/products/ps7081/products_white_paper0900aecd801e659f.shtml
自我响应故障管理
园区网络设计的其中一个目标是,网络可以从任何故障事件中智能恢复。不同的控制平面协议,比如EIGRP或OSPF,提供对于故障事件的特定响应能力。但是,某些情况下,标准的控制平面能力还不足够,此时就需要设计额外的客户化方法以满足故障恢复需求。传统的方法是,使用中心化的监视系统获取事件,为每一类型的事件定义一个特定的动作脚本。在交换架构里,提供额外的分布式智能系统,可以弥补传统方法的不足,简化操作流程。使用网络设备的内嵌的事件管理工具,比如思科EEM(Embedded Event Manager),可以分布式的在网络不同交换机里执行脚本,而不是在中心的一个单一服务器上执行。智能的将脚本分布在园区网络里,提供分布式的处理能力和交换机直接的故障监测能力。其他的网络设备能力,比如EOT(enhanced object tracking),提供网络恢复机制可配置的智能。园区交换机具备可编程的能力,能够自我实现故障响应动作,具有客户化可修改的编成能力并随时间而改变,可以提供网络在故障状态下的自我响应能力。
事后分析能力
当故障发生时,网络能够从故障中恢复,这很重要。对于网络管理人员更重要的是,需要理解所发生的事件,以便维护网络的更高级别的整体可用性。拥有中心化的事件记录,比如通过SNMP和SYSlog信息,提供第一个级别的事后诊断信息或事件信息的网络拓扑。为了进一步提供某一设备特定故障的更详细信息,需要设备自身收集和存储更多的诊断数据。对于故障后不在线(比如完全断电)的设备,中心化管理系统就不能完全收集设备事件信息,就需要这些设备的本地化存储事件信息。某些机制(比如SEA – system event archive),设备自身可以提供存储机制,保存全部本地系统事件到NVRAM,重新启动设备后可以被读取。更多细节的部件级别的故障监视,比如通过Catalyst OBFL(on board failure logging)机制,对于硬件级别的故障非常必要。OBFL对于交换机和线卡,充当一个黑盒子。它记录操作温度、硬件运行时间、中断或其他重要事件和信息,可以帮助诊断设备里的硬件板卡/模块。复杂园区网络系统里,出现故障,是不可避免的。拥有事后分析系统,对于希望拥有多个九的高可用网络,使非常重要的
记账和性能
记账和性能是FCAPS模型的两个方面,主要指对于网络性能监视和计费。有些企业网络并不一定执行完全复杂的计费系统。但是,企业确实需要深入了解网络对于应用数据和终端系统性能的影响。安全架构里的提供监视、智能检测的工具,也同时能够提供应用层监视。NetFlow和基于NBAR的DPI,用来监测不希望或异常数据流,同时也能够发现正常应用的数据流。应用数据的不多增加(对于新应用数据模型的监测需要网络的升级和修改设计),都可以通过NetFlow跟踪。详细的应用数据分析可以通过NBAR状态和应用监视来收集。
除了跟踪数据模型和流量,通常还需要对于网络应用数据进行详细分析。分布式的网络分析工具,比如抓取数据报和RMON探针,对于整体园区网络设计都是非常有益的。这些提供远程收集数据的能力,并在中心管理控制窗口察看。虽然分布式数据分析工具非常有力,但往往不太可能让其跟全网每一交换机互联。此时,具备数据流跨范围传输能力,就显得非常必要,将数据流的拷贝从网络的一个地方传输到网络的另一个地方,以供远程检查数据报。最基本的交换机远程数据拷贝,可以通过RSPAN(remote span)和ERSPAN完成(Encapsulated RSPAN)。园区网络的访问交换机应该可以配置RSPAN和ERSPAN,来遵循最靠近数据源原则,向远端分析中心传输分析数据。ERSPAN是最佳推荐,因为它可以支持在多跳数三层路径上传输拷贝的数据,提供不同地点所有数据分析工具的整体协同工作。
配置和安全
在本文上述安全服务部分,已经讨论了网络设备的配置和安全内容,那里的目标是满足网络设计的FCAPS模型,同时提供更加复杂的端到端园区安全。
园区网络架构的不断演变
因新业务需求、技术进步变化和不断增长的用户期望,园区网络架构也在不断的演变发展。从长大10年的老的多层分区域的设计,转变为今天的新的基于路由访问或基于虚拟交换的分发区域设计,同样是为了适应现今的业务需求改变。如下图(园区分发区域设计的演进),虽然传统分层设计仍然提供了某种园区环境的”可用”性,但是,高可用性的需求、快速收敛、更优化使用网络容量和简单的操作需求,都激发了基础架构的变革,而这,正是新型园区网络架构设计所提供的。
逐步渐进的优化发展和改变,正在园区架构里不断发生。比如,传统的Layer-2访问设计(满足VLAN跨越和子网跨越),转变为基于虚拟交换机的设计。再如,单个访问交换机的子网设计转变为基于路由的设计。
正如本文所讨论的,其他主要的园区网络设计转变概括如下:
z z z z z z
永不停顿的高可用性服务 接入访问和移动服务 应用优化和保护服务 虚拟化服务 安全服务
操作和管理服务
所有这些引入到园区网络的设计,已经在本文论述。安全风险的增长、更灵活架构的需求、应用数据流的改变和SLA的需求,都驱动更强能力的园区架构。但是,向园区网络部署更加复杂的因业务所驱动的容量和服务,如果只是像打补丁一样设计,也是有挑战的。因为,正如本文说论述,任何成功的架构设计,都离不开每一个部分的可靠的设计理论和设计原则。园区网络设计或/和操作,所设计的任何企业业务,我们都推荐采纳整体的解决方
案,它基于可靠的系统设计原则。《Cisco ESE Campus Design Guide》,涵盖了本文的讨论和一些列设计子部分的细节(也可参考:
http://www.cisco.com/en/US/netsol/ns815/networking_solutions_program_home.html) ,为工程设计和操作人员提供了详细的基于系统的园区网络设计,这些整体设计,使高可用性、安全性、灵活性和可操作性得到平衡,以满足当前和未来的业务和技术需求。
因篇幅问题不能全部显示,请点此查看更多更全内容