一种信息网络上联双链路方案的设计与实现
2014年10月23日 13:42 作者:lunwwcom文/尹秀艳【关键词】信息网络 双链路 关键技术唐山供电公司(以下简称唐供)至冀北电力有限公司(以下简称冀北)的信息网络通道,是唐供信息最关键的通道。以往,唐山供电公司与上级单位冀北电力有限公司采用单链路、单设备上联,一旦链路或者设备出现故障,唐供内包括5E 系统、卡表售电系统等在内的所有办公业务将会停运,这严重影响了公司的正常的生产运行,给公司带来了不利的影响。为避免这种情况的出现,实现双设备双链路尤为必要。1 双防火墙组网技术简介要实现网络的高可用性,首先应该排除网络中的单点故障点,使网络在任何一台网络设备失效时仍能提供网络服务。这种方案通常要在核心层配置最少两台交换机,同样在防火墙层配置最少两台防火墙。为实验上述功能要求,防火墙必须应用专门的双机容错技术,一般防火墙都有该功能,成为Failover(故障切换)或者“HA”。这种功能要求防火墙的两端设备必须具有交换功能,对于两个相互做Failover 的设备,互为备份的链路需要有相同的配置。2 上联双链路方案设计概况2.1 方案背景唐供至冀北的信息网络通道,是唐供信息最关键的通道,承载了唐山地区信息网络的全部生产、管理业务。唐供信息并非直连冀北,而是使用了综合业务数据网提供的通道。综合业务数据网为MPLS-VPN 网络,由两台路由器作为双链路出口,唐供信息用2 台核心路由 田新成随着电力企业信息化的不断发展,信息网络的可靠性显得越来越重要,它承载了地区信息网络的全部生产、管理业务。目前,唐山信息网络通信系统与上级信息系统互联为单链路、单设备上联,链路中任何环节发生故障,就会影响各类运营业务,存在较大的安全隐患。本文首先对双防火墙组网技术简要介绍,提出并分析了双链路上联方案和设计原则,重点对双上联关键技术探讨与应用,最后对双链路设计方案实施效果进行有针对性的实验验证。摘 要器7609 连接到双链路上,2 个内置于7609 上的防火墙模块(FWSM)对唐供信息网络和综合业务数据网进行隔离。示意图如1 所示。2.2 设计原则(1)使用静态路由穿过网络边界,即:不启用动态路由学习对方网络,同时降低对方设备配置的复杂度。(2)双链路具备同时使用的能力,但从实用出发,保障安全稳定要优先于追求线路利用率。(3)一旦出现非对称路由,网络不受其影响。(4)具备自动切换能力,最大限度保证网络可用性。3 关键技术设计与应用3.1 防火墙A/A模式设计考虑到路由模式在逻辑上更独立,路由模式下通过静态路由可以选择:1 路为主、1路为备,或两路同时使用即一边一个包。由于FWSM 功能的限制,单防火墙对双出口实现检测和切换没有经过论证和测试。设计方案选择了A/A 模式,原理为:将一块单防火墙虚拟为2 个墙,另一块防火墙同样对称虚拟为2 个墙,4 个墙两两成对,每对运行A/S。2对A/S 防火墙分别对应了2 条链路,同时2 个Active 防火墙可以物理上分开在2 个FWSM模块上,因此具有实现负载均衡的能力。图1:信息双链路示意图Tracking),通过将一个静态路由与一个预定义的监视目标进行关联,实现了检测和切换。设备通过IP SLA 功能,使用ICMP echorequest数据包来监视目标。如果没有在特定的时间段内收到ICMP echo-reply,设备就会认为对方已经不可用,于是它会将相关的静态路由删除。此时,原来配置为低优先级的备用路由会启用,用以取代被删除的路由。4 实验检验4.1 路由切换功能实验使用4 台3750 交换机,模拟信息和通讯互连的4 台设备SW1 和SW2 模拟7609-1 和7609-2, 启用OSPF+ 静态路由SW2 和SW3模拟M320 和M120, 启用静态路由。使用SW2 上的Loopback0 模拟冀北的DNS-1,使用SW3 上的Loopback0 模拟冀北的DNS-2。目的是测试备用静态路由功能,测试IP SLA功能,测试策略路由功能,测试“对象跟踪”功能。4.2 双链路故障实测检验切换前后配置拓扑图如图2 所示,切换前2 台7609 作为信息网络接口设备,2 台76093.2 非对称路由(ASR)问题解决方法应用“ASR group”功能,当asr-group 的接口收到数据包而没有会话信息时, 将在同group 中其它的接口检查,一旦发现符合,将重写2 层包头并转往相应端口。asr-group并不是接收了非对称路由,而是将非对称路由的数据包转给正确的接口。asrgroup生效的前提条件为:A/A 模式的failover、配置Stateful Failover( 状态同步)功能,配置replicationhttp 功能。3.3 备用静态路由切换设计静态路由本身没有机制来确定路由是否仍然可用, 应用“对象跟踪”功能(Enhanced Object