指导信息
l 总行有关网络建设实施的指导意见相关内容索引:“分行网络中心的城域网路由器不得与连接总行的广域网接入路由器合用;网络中心应设置两台中心路由器,分别连接主线路和备份线路。两台中心路由器应做到互为热备、负载均衡。”
l 贵州分行业务城域网设计原则相关索引:“根据经济适用,设想我行将来5年内不超过18个网点(包括离行式自助银行)。不建造豪华城域网络,满足目前应用,同时考虑适用性、可靠性。”
一、技术说明
此次项目建设,支行采用一台2621XM路由器作为接入网关,同时配备串口模块作为2M线路的承载端口,同时为了保证主干线路中断后业务不中断,另行配备一块ISDN模块,只做备份使用,当主线路失效后,立即采用预先配置好的拨号线路(ISDN),在不超过2秒钟的时间内提供备份路径。
分行配置两台城域网接入路由器型号为CISCO3745,路由器本身带有两个10/100M的以太网口,无需另行增加局域网口。同时,该设备带有4个模块化的插槽,通过配置一定数量的模块可以满足我们不断的增长的城域网接入需求。
1、支行到分行的路由
支行路由器担负着关键数据的传送,同时还要能够提供备份选路功能。因此设计网络路由时,必须综合考虑,使用缺省路由、按需拨号、浮动静态路由等技术来可能保证网络的正常使用同时,还要使得备份线路的费用支出少。
我们建议在支行路由器中添加如下路由信息:
Ip route 0.0.0.0 0.0.0.0 x.x.x.x //x.x.x.x 地址指的是配备串口模块的分行路由器的广域网地址
Ip route 0.0.0.0 0.0.0.0 y.y.y.y 10 //y.y.y.y 地址指的是配备ISDN模块的分行路由器的广域网地址
这样,我们的路由器就会就有两条路由可以到达分行的网络,同时,因为我们的拨号线路具有更高的优先级数量,这样,使用2M主干线路的路由优先装入路由表,支行的所有的数据通过固定的租用线路流入分行。一旦我们的2M专线中断,我们设置的浮动静态路由就会生效:
条路由ip route 0.0.0.0 0.0.0.0 x.x.x.x 就会自动从路由表中删除,同时,第二条路由ip route 0.0.0.0 0.0.0.0 y.y.y.y 10
成为路由器优选路由,装载入路由器的路由表。整个过程从发现主端口宕掉到新的路由表装入,只需要3秒钟的时间,甚至更短,从而满足了备份线路的利用和我们业务不中断的要求。
ISDN备份线路具有128K的可用带宽,理想情况下只能满足我们部分业务数据的传输,因此。假设我们的主干线失效,备份线路起作用。但是需要传送的数据远远的超过了备份线路的负荷,这样我们也不能保证正常的业务数据通过线路到达分行(由于数据包的丢弃、延迟等造成得数据不一致,数据重发会使情况更加严重)。允许任何数据流激发ISDN的拨号,也将会使得线路备份的根本目的不能实现,不仅如此,有可能还会造成备份线路费用的急剧上升。
因此,有必要限制激发拨号的流量,仅仅将宝贵的生命带宽留给为核心的业务。这需要通过使用按需拨号来实现。通过某些条件,我们限制通过拨号列表的数据流,只有我们规定感兴趣的IP包才能激发备份线路的呼叫,同时,备份线路状态成为UP状态后,还要限制流入线路的流量(按需呼叫完成后,任何流量都可以保持线路的状态始终在UP状态,这样不利于QoS,同时还会造成备份线路长时间的在线,使得拨号费用的激增)。
2、分行到支行的路由
支行到分行的路由比较容易设置,关键在于选择感兴趣的流量策略;分行到支行的路由则需要联动支行一侧的设置才可以完美的解决设备和线路的使用问题。
此次建设目标是使一个支行数据网络接入分行网络中心,随着我行业务的开展,今后会有更多的支行将网络接入分行,这就要考虑诸来自各个支行的多线路共存情况,以及出现某条线路不能正常运转,冗余链路的切换问题等等。
这时候我们可以采用HSRP技术解决主从链路共存、实效切换的问题。
3、HSRP技术
HSRP技术又名为热备份路由协议
热备分路由协议HSRP被看作是在网络中提供一个容错层的一种方法。HSRP是Cisco的一个专有协议,现已收录RFC2281。HSRP协议保护跳路由器(first-hop router)不出现故障。HSRP在系统设定路由器(default router,既默认路由器)出现故障的地方予以恢复。因此,开发了HSRP来改变这种情况。HSRP利用监视功能来确定路由器接口的状态。如果我们在网络中配置了多个HSRP组,则我们既有一个备分组,也可以跨异种网络实现负载均衡。
现在网络中的交换平台非常流行,为了在任何时候都能使用网络,必须建立一个冗余层。冗余只是HSRP起作用的地方。现在的大型网络模型都是一个具有层次性的模型,如果在交换机上配置HSRP,它不仅能提供一条至汇聚层的活动路径,而且还能提供一条备分路径。此外,HSRP不仅允许冗余层的存在,而且也能提供负载共享的能力。
当网络出现故障时,传统的处理方法包括默认网关(default gateway),地址解析协议代理(proxy ARP),路由选择信息协议(RIP)和路由发现协议(IRDP)。但是因为种种原因,它们在处理故障时都不是很有效。
当网络中出现故障的时候,热备分路由协议HSRP认为在这个问题往往是由于个中继路由器出现故障所致,因为它在主机上配置的常常是静态的默认网关地址。以前,由于默认网关地址的失败,使得主机不能与本子网之外的设备进行通信。现在因为有了热备分路由协议,默认网关可以是一个虚拟路由器地址。如果活动路由器出现故障,主机将切换到备分路由器,继续转发分组。
二、一个支行接入
从分行到各个支行路由需要的下一跳,都在一个子网内实现。利用HSRP来跟踪连接某个支行的链路信息,例如:设置两台3745采用HSRP,保证对分行主机提供到达该支行的的下一跳网关,同时,设置活动的HSRP路由器跟踪该支行的2M线路,如果这条线路失效,则活动的3745路由器主动的将主控权交给备用路由器,这样和支行的路由器一起联动,实现网络的自动路由。
如果支行和分行两侧的路由器设置参数不统一,则会出现支行主线路失效,数据包已经通过备份线路流向分行,但是分行的路由器没有及时地更换路由,造成残缺的路由回路,使得从分行返回的相应数据包无法到达支行,这样我们的备份机制是不完整的。
三、多个支行接入
我们的业务城域网达到一定规模,会有若干的支行接入到分行数据网络。我们不可能为每个支行购买成对的接入路由器,这样做的成本过于昂贵。但是,每个支行都需要主线路接入和备份线路共存。这样需要分行的核心同时具有到每个支行的不中断通路,同时,每个支行也要备份线路保证核心业务不中断。
我们仍旧采用HSRP来实现多个热备组的共存。如下图所示:
亦即我们为每个支行设立一个HSRP组,每个热备组内的活动路由器追踪到达该热备组对应的支行的主线路。这样,就能保证分行的路由器针对因为任何一个支行的主线路失效而造成该行备份线路的更新信息得到及时得响应,就是说我们分行的城域网路由器相应的那个热备组就会将路由器切换至ISDN线路。
四、拨号发起限制
从分行去往支行A的数据流是不能向支行B的线路发起呼叫的,反之亦然。因此我们在具体实施过程中还要考虑分行是否通过备份线路向支行发起呼叫,如果允许的话,还要考虑是否允许到支行A的数据激发到支行B的线路。这一些和按需呼叫、访问控制都有密切的联系,详细设置必须做出实际调查方能得出。