Diskussion über Netzwerkarchitektur und -technologie in der Finanzbranche

Inhaltsverzeichnis

1. Gesamtstruktur

2. Rechenzentrum

3. Zweige der ersten Ebene

4. Sekundärzweige

5. Zweig

6. Technische Diskussion

---

 

1. Gesamtstruktur

Die gesamte Struktur ist ein Rechenzentrum – Zweigstellen der ersten Ebene, Zweigstellen der zweiten Ebene und Unterzweige.

Topologie:

Zu berücksichtigende Kernbedürfnisse und Lösungen:

Hohe Verfügbarkeit:

Dual-Center, Dual-Geräte, Link-Bündelung, dynamische Protokolle, VRRP, Spanning Tree, BFD, Firewall HA

Gerätestapelung, Stapelung der Huawei-Serie, horizontale Virtualisierung sollen viele Fehler aufweisen, aber einfach zu verwalten und zu verwenden; VPC der Cisco-Serie, vertikale Virtualisierung, klassische 7-5-2-Architektur, bessere Stabilität, kompliziertere Konfiguration und Verwaltung

In der Praxis scheinen beide Technologien viele Anwendungsmöglichkeiten zu haben, sodass ein Vergleich schwierig ist.

Einfach zu erweitern:

Modulares und regionales Design. Jeder Bereich ist relativ unabhängig. Zur Verbindung des Kerns und der Bereiche wird statisches Routing verwendet. Das Hinzufügen und Entfernen von Bereichen hat keine Auswirkungen auf andere Bereiche.

Hochleistung:

Um eine höhere Leistung zu gewährleisten, sollte die Last jedes Geräts so weit wie möglich reduziert werden, um zu vermeiden, dass sich der gesamte Datenverkehr auf einer Seite des Geräts konzentriert. Daher muss Offloading-Technologie eingesetzt werden.

Der interne Datenverkehr wird nach Typ in Geschäfts- und Büroverkehr unterteilt. Bei der IP-Planung wird er daher auch nach Geschäfts- und Büroverkehr in zwei große Segmente unterteilt und der Datenverkehr auf dieser Grundlage aufgeteilt.

Bei Verwendung von statischem Routing wird statisches Routing + VRRP verwendet, um Entlastung und Redundanz zu erreichen.

Implementierung eines statischen Routen-Shunts

在设备上同一个接口下配置两个VRRP实例10和20，主用设备分别在业务和办公上
ip route 业务网段 业务地址下一跳为实例10的virtual-ip
ip route 业务网段 业务地址下一跳为实例20的virtual-ip

Wenn Sie OSPF verwenden, erhöhen Sie die Kosten, wenn Sie statische Routen über OSPF+Präfixliste einführen, um Auslagerung und Redundanz zu erreichen.

ospf 100
#
 import-route static route-policy static_ospf
#
route-policy static_ospf permit node 10
 if-match ip address prefix-list YW
#
route-policy static_ospf permit node 20
 if-match ip address prefix-list OA
 apply cost + 1000
#
 ip prefix-list    YW index 10 permit 业务网段
 ip prefix-list OA index 10 permit 办公网段
#

Wenn Sie BGP verwenden, erhöhen Sie die Kosten durch BGPcommunity, um Offloading und Redundanz zu erreichen.

#
BGP 65000
  network 总行办公地址 route-policy BGPCM-OA   
  network 总行业务地址 route-policy BGPCM-YW
  peer 一级分行互联地址 route-policy DS-OUT export
#
ip community-filter advanced DC-OA permit 65000:20
ip community-filter advanced DC-YW permit 65000:10
#
route-policy DS-OUT permit node 10
 if-match community-filter DC-YW 
#
route-policy DS-OUT permit node 20
 if-match community-filter DC-OA 
 apply cost 1000
#
route-policy BGPCM-OA permit node 10
 apply community 65000:20
#
route-policy BGPCM-YW permit node 10
 apply community 65000:10
#

Die Konvergenzzeit des dynamischen Routings sollte verkürzt und BFD damit verknüpft werden. Eine OSPF-Verbindung mit BFD ist erforderlich.

#这里联动BFD，主要为了快速切换
#由于上联分行使用的是MSTP链路，这种链路在发生故障时并不会使互连接口down
#而OSPF本身是一个在IP层上的协议，是无连接的，所有只有等到dead-time超时的时候才会认为此链路失效进行收敛
#dead-time的超时时间默认一般为40s，40s的中断时间是无法忍受的
#这里使用BFD联动上联接口，检测到链路中断后也可以快速触发OSPF收敛
#BGP是在TCP上的协议，链路中断会立即导致TCP的连接中断，也不会有这种问题，但仍可以联动BFD来加速收敛

Sicherheit:

Innerhalb der Zweigstelle wird ACL verwendet, um Geschäfts- und Büroverkehr zu isolieren.

#
interface Vlan-interface10
 packet-filter 3010 inbound
#
interface Vlan-interface20
 packet-filter 3020 inbound

#禁止办公访问业务
acl number 3010
 rule 10 deny ip source 办公网段 destination 业务网段
 rule 1000 permit ip
#禁止业务访问业务
acl number 3020
 rule 10 deny ip source 业务网段 destination 办公网段
 rule 1000 permit ip

Da OSPF ein Link-State-Protokoll ist und das Senden und Empfangen von LSAs basierend auf Netzwerksegmenten nicht einschränken kann, werden die Routen anderer Zweige zwischen Zweigen gefiltert, wenn Routen über das Downstream-OSPF des sekundären Zweigs verteilt werden.

Einschränkungen können nur an jedem Zweig vorgenommen werden, und andere Routen können durch die Präfixliste daran gehindert werden, zur Routing-Tabelle hinzugefügt zu werden.

ip prefix-list ospfIn index 10 permit 需要的路由
Ospf 100
Filter-policy ip-prefix ospfIn import

Zwischen Zweigstellen wird das Community-Attribut von BGP, das mit der Zweigstelle und dem Rechenzentrum der ersten Ebene verbunden ist, verwendet, um die Routen anderer Zweigstellen zu filtern (oben implementiert).

Benutzerfreundlichkeit:

Konfigurieren Sie DHCP so, dass der Bürosystem-PC Plug-and-Play-fähig ist

2. Rechenzentrum

Topologie:

Zu berücksichtigende Kernbedürfnisse und Lösungen:

Aktiv-Aktiv in Aktiv- und Standby-Zentren.

Mithilfe der OTV-Technologie von Cisco, einer MACinIP-Technologie, ermöglicht diese Technologie, dass die Server in den primären und sekundären Zentren in derselben großen Layer-2-Umgebung vorhanden sind, sodass sich die primären und sekundären Zentren im selben Netzwerksegment befinden können.

Auf diese Weise kann VRRP auf dem Aggregation-Switch verwendet werden, um das Umschalten auf MS-Ebene auf der Netzwerkebene des aktiven Zentrums und des Backup-Centers abzuschließen. Natürlich kann der Anwendungsserver nicht so schnell sein.

3. Zweige der ersten Ebene

Topologie:

Zu berücksichtigende Kernbedürfnisse und Lösungen:

Umschalten zwischen Aktiv und Standby:

Der Uplink-Router des sekundären Zweigs ist direkt mit der Notfallwiederherstellung verbunden, und die Verwendung der BGP-Community zur Erzielung von Entlastung und Redundanz erhöht die Kosten.

Wenn Sie dann statische Routen über OSPF+Präfixliste importieren, erhöhen sich die Kosten für die Implementierung des Offloadings und die Rückführung in das Hauptzentrum.

4. Sekundärzweige

Topologie:

5. Zweig

Topologie:

#内部的互联口都可以使用链路捆绑技术，这里就不每个端口都写了
#办公侧的类似


sysname 上联路由器-业务

#管理地址，同时作为OSPF的router-id
interface LoopBack0
 description **Mangerment**
 ip address 10.95.34.254 255.255.255.255

#上联，与分行互联互联，改成p2p模式，不用选举BR,RDR，减少OSPF报文数
interface GigabitEthernet0/0
 description **link_to-UPlink**
 ospf network-type p2p
 ip address 10.95.253.14 255.255.255.252

#下联，与汇聚交换机-业务互联
interface GigabitEthernet0/0
 description **link_to-UPlink**
 ospf network-type p2p
 ip address 10.95.34.241 255.255.255.252

#横联，连接上联路由器-办公
interface GigabitEthernet0/2
 description **link_to-上联路由器-办公**
 ospf network-type p2p
 ip address 10.95.34.245 255.255.255.252

#一个支行定义为一个非骨干区域
#支行为最终分支，但由于是双点上联，由于分流的技术需要，不能定义为末节区域
#需要通过分行的骨干区域下发路由时做过滤，来减少路由
#这里联动BFD，主要为了快速切换
#由于上联分行使用的是MSTP链路，这种链路在发生故障时并不会使互连接口down
#而OSPF本身是一个在IP层上的协议，是无连接的，所有只有等到dead-time超时的时候才会认为此链路失效进行收敛
#dead-time的超时时间默认一般为40s，40s的中断时间是无法忍受的
#这里使用BFD联动上联接口，检测到链路中断后也可以快速触发OSPF收敛
#BGP是在TCP上的协议，链路中断会立即导致TCP的连接中断，也不会有这种问题
ospf 100 router-id 10.95.34.254
 bfd all-interfaces enable
 area 0.0.0.101
  network 10.95.253.14 0.0.0.0
  network 10.95.34.241 0.0.0.0
  network 10.95.253.245 0.0.0.0

sysname 汇聚交换机-业务
#
vlan 10
 description YeWu
#
vlan 20
 description OA
#
vlan 21
 description Video
#追踪上联接口，接口down时优先级下降10，变为备状态
#业务和办公流量隔离
interface Vlan-interface10
 ip address 10.95.34.126 255.255.255.128
 vrrp vrid 10 virtual-ip 10.95.34.126
 vrrp vrid 10 priority 105
 vrrp vrid 10 preempt-mode delay 100
 vrrp tracrk GigabitEthernet0/0
 packet-filter 3010 inbound
#业务侧办公vlan为备份
interface Vlan-interface20
 ip address 20.95.34.126 255.255.255.128
 vrrp vrid 20 virtual-ip 20.95.34.126
 packet-filter 3020 inbound
#
interface Vlan-interface21
 ip address 21.95.34.142 255.255.255.240
 vrrp vrid 21 virtual-ip 20.95.34.142
 packet-filter 3020 inbound

#设置为业务根桥，办公的备根
stp region-configuration
 region-name region1
 instance 1 vlan 10 
 instance 2 vlan 20 
 instance 2 vlan 21
 active region-configuration
#
 stp instance 1 root primary
 stp instance 2 root secondry
 stp mode rstp
#
interface GigabitEthernet0/0
 description **link_to-上联路由器-业务**
 ip address 10.95.34.242 255.255.255.252

#下联和横联
inter g0/xxx
port link-type trunk
port trunk allow-pass vlan 10,20,21
undo port trunk allow-pass vlan 1
#
ospf 100 router-id 10.95.34.254
 bfd all-interfaces enable
 area 0.0.0.101
  network 10.95.34.126 0.0.0.0
  network 20.95.34.126 0.0.0.0
  network 20.95.34.142 0.0.0.0
#禁止办公访问业务
acl number 3010
 rule 10 deny ip source 20.95.34.0 0.0.0.255 destination 10.95.34.0 0.0.0.255
 rule 1000 permit ip
#禁止业务访问业务
acl number 3020
 rule 10 deny ip source 10.95.34.0 0.0.0.255 destination 20.95.34.0 0.0.0.255
 rule 1000 permit ip

#这个实在是没啥东西

sysname 接入交换机01

#管理地址
interface Vlan-interface10
 ip address 10.95.34.250 255.255.255.128
#
#末节端口
interface GigabitEthernet0/9
 port link-mode bridge
 port access vlan 10
 stp edged-port
#  

6. Technische Diskussion

Verwenden Sie statisches Routing oder dynamisches Routing:

Bei der Verbindung des Kerns mit jedem Funktionsbereich:

Der Vorteil der Verwendung von statischem Routing besteht darin, dass es einfacher ist, den Verkehrspfad zu ordnen. Der Pfad jedes Netzwerksegments ist auf einen Blick klar, was die Fehlerbehebung und die Umleitung des Datenverkehrs vereinfacht.

Darüber hinaus ist ein Fehler im Falle eines Fehlers auf die einzelnen Funktionsbereiche beschränkt und hat keinen Einfluss auf die Weiterleitung in anderen Bereichen, wodurch die Stabilität erhöht wird.

Voraussetzung für die Verwendung von statischem Routing ist, dass die IP-Planung gut durchgeführt wird und die Netzwerksegmentplanung für jeden Funktionsbereich getrennt werden muss, da sonst die Wartung einer großen Anzahl unordentlicher statischer Routen schwierig wird.

Wenn sich das gesamte Netzwerk in einer OSPF-Domäne befindet, ist die Konfiguration zwar praktisch, der Verkehrspfad wird jedoch unbekannt und die Fehlerbehebung wird unpraktisch, und die Verkehrsverteilung kann nicht allein mit OSPF erreicht werden.

Darüber hinaus wird im Allgemeinen nicht empfohlen, Firewall-Geräte zu OSPF-Bereichen hinzuzufügen. Bei der Verbindung mit Firewalls wird im Allgemeinen statisches Routing empfohlen.

Versuchen Sie hier, statisches Routing zu verwenden.

Bei der Zusammenschaltung von Zweigen:

Hierbei handelt es sich um eine mundförmige Struktur aus vier Routern, die nur dynamische Protokolle verwenden kann. Statische Routen können bei einem Fehler nicht automatisch wechseln.

Sollten die vier Geräte eine mundförmige Struktur oder eine vollständig miteinander verbundene Struktur verwenden:

Unter normalen Umständen sollte eine mundförmige Struktur verwendet werden, um eine ausreichende Redundanz sicherzustellen. Übermäßige Redundanz ist nur eine Verschwendung.

Wenn jedoch eine Firewall vorhanden ist, sollte diese vollständig miteinander verbunden sein, da die gemeinsame Firewall-HA eine lebensgefährliche Operation ist. Wenn der Core-Switch symmetrisch angeschlossen ist und einer ausfällt, wird die Firewall auf der Downstream-Verbindung dies tun der Haupt sein.

In diesem Fall kommt es zu einer Betriebsunterbrechung.

Sollte BGP oder OSPF bei der Verbindung von Zweigstellen verwendet werden?

Der Vorteil von BGP besteht darin, dass es das Routing genauer steuern kann, die Konfiguration ist jedoch relativ kompliziert und sollte im Hinblick auf den zukünftigen Betrieb und die Wartung nicht in Filialen verwendet werden.

Wenn in hochrangigen Zweigstellen professionelles Wartungspersonal vorhanden ist, ist es besser, BGP zu verwenden.