一种信息网络上联双链路方案设计与实现.docVIP

一种信息网络上联双链路方案设计与实现 　　摘 要 随着电力企业信息化的不断发展，信息网络的可靠性显得越来越重要，它承载了地区信息网络的全部生产、管理业务。目前，唐山信息网络通信系统与上级信息系统互联为单链路、单设备上联，链路中任何环节发生故障，就会影响各类运营业务，存在较大的安全隐患。本文首先对双防火墙组网技术简要介绍，提出并分析了双链路上联方案和设计原则，重点对双上联关键技术探讨与应用，最后对双链路设计方案实施效果进行有针对性的实验验证。 　　【关键词】信息网络 双链路 关键技术 　　唐山供电公司（以下简称唐供）至冀北电力有限公司（以下简称冀北）的信息网络通道，是唐供信息最关键的通道。以往，唐山供电公司与上级单位冀北电力有限公司采用单链路、单设备上联，一旦链路或者设备出现故障，唐供内包括5E系统、卡表售电系统等在内的所有办公业务将会停运，这严重影响了公司的正常的生产运行，给公司带来了不利的影响。为避免这种情况的出现，实现双设备双链路尤为必要。 　　1 双防火墙组网技术简介 　　要实现网络的高可用性，首先应该排除网络中的单点故障点，使网络在任何一台网络设备失效时仍能提供网络服务。这种方案通常要在核心层配置最少两台交换机，同样在防火墙层配置最少两台防火墙。为实验上述功能要求，防火墙必须应用专门的双机容错技术，一般防火墙都有该功能，成为Failover（故障切换）或者“HA”。这种功能要求防火墙的两端设备必须具有交换功能，对于两个相互做Failover的设备，互为备份的链路需要有相同的配置。 　　2 上联双链路方案设计概况 　　2.1 方案背景 　　唐供至冀北的信息网络通道，是唐供信息最关键的通道，承载了唐山地区信息网络的全部生产、管理业务。唐供信息并非直连冀北，而是使用了综合业务数据网提供的通道。综合业务数据网为MPLS-VPN网络，由两台路由器作为双链路出口，唐供信息用2台核心路由器7609连接到双链路上，2个内置于7609上的防火墙模块（FWSM）对唐供信息网络和综合业务数据网进行隔离。示意图如1所示。 　　2.2 设计原则 　　（1）使用静态路由穿过网络边界，即：不启用动态路由学习对方网络，同时降低对方设备配置的复杂度。（2）双链路具备同时使用的能力，但从实用出发，保障安全稳定要优先于追求线路利用率。（3）一旦出现非对称路由，网络不受其影响。（4）具备自动切换能力，最大限度保证网络可用性。 　　3 关键技术设计与应用 　　3.1 防火墙A/A模式设计 　　考虑到路由模式在逻辑上更独立，路由模式下通过静态路由可以选择：1路为主、1路为备，或两路同时使用即一边一个包。由于FWSM功能的限制，单防火墙对双出口实现检测和切换没有经过论证和测试。设计方案选择了A/A模式，原理为：将一块单防火墙虚拟为2个墙，另一块防火墙同样对称虚拟为2个墙，4个墙两两成对，每对运行A/S。2对A/S防火墙分别对应了2条链路，同时2个Active防火墙可以物理上分开在2个FWSM模块上，因此具有实现负载均衡的能力。 　　3.2 非对称路由（ASR）问题解决方法 　　应用“ASR group”功能，当asr-group的接口收到数据包而没有会话信息时，将在同group中其它的接口检查，一旦发现符合，将重写2层包头并转往相应端口。asr-group并不是接收了非对称路由，而是将非对称路由的数据包转给正确的接口。asr-group生效的前提条件为：A/A模式的failover、配置Stateful Failover（状态同步）功能，配置replication http功能。 　　3.3 备用静态路由切换设计 　　静态路由本身没有机制来确定路由是否仍然可用，应用 “对象跟踪”功能（Enhanced Object Tracking），通过将一个静态路由与一个预定义的监视目标进行关联，实现了检测和切换。设备通过IP SLA功能，使用ICMP echo-request数据包来监视目标。如果没有在特定的时间段内收到ICMP echo-reply，设备就会认为对方已经不可用，于是它会将相关的静态路由删除。此时，原来配置为低优先级的备用路由会启用，用以取代被删除的路由。 　　4 实验检验 　　4.1 路由切换功能实验 　　使用4台3750交换机，模拟信息和通讯互连的4台设备SW1和SW2模拟7609-1和7609-2，启用OSPF+静态路由SW2和SW3模拟M320和M120，启用静态路由。使用SW2上的Loopback0模拟冀北的DNS-1，使用SW3上的Loopback0模拟冀北的DNS-2。目的是测试备用静态路由功能，测试IP SLA功能，测试策略路由功能，测试“对象跟踪”功能。 　　4.2 双链路故障实测检验 　　切换前后配置拓扑图如图2所示，切换前2台7609