XX广域网改造设计方案v10.docx
- 文档编号:10536907
- 上传时间:2023-02-21
- 格式:DOCX
- 页数:15
- 大小:737.93KB
XX广域网改造设计方案v10.docx
《XX广域网改造设计方案v10.docx》由会员分享,可在线阅读,更多相关《XX广域网改造设计方案v10.docx(15页珍藏版)》请在冰豆网上搜索。
XX广域网改造设计方案v10
XX
广域网改造设计方案
2013年6月
1前言
本文档旨在为XX的广域网构架做出高可靠性的规划。
同时,也会详述我公司公司如何与和XX合作完成项目。
本文档面向的听众包括:
∙XX的IT管理员
∙XX的IT经理和其他有关业务经理
∙任何XX内部对此项目有关的人员
2现状分析
XX广域骨干网络是内部应用运行的基础平台,为企业B/S架构的业务系统、生产应用系统、上网流量提供广域网传输和通讯支持。
各分支都是通过单一链路专线连到公司本部。
当前XX的网络核心使用思科3700系列数据包的转发,并规划相应的ACL以保障不同网段之间的安全访问。
对于网络安全的防护,则由防火墙的安全功能特性进行保护。
2.1当前广域网应用的主要问题
●互联网访问经过广域网到总部出互联网,没有得到充分管控
●分支与总部之间业务访问缓慢
●单链路无冗余机制
●基层单位网络安全防护薄弱
●核心仍旧是千兆网络
主要问题
解决方案
备注
分支与总部单链路问题
使用电信网通双链路专线,通过EIGRP实现链路负载均衡
使用电信网通双链路专线,通过WOC广域网优化设备,实现链路的优化及负载均衡
广域网优化考虑因素:
●高可靠性——在确保系统和数据的可靠性的原则基础上,尽可能的做到高起点,选用先进的技术和设备,使构建的反向代理系统有较高的可靠性,以适应今后的发展。
●可扩展性——能够缩减(适用于小型站点)或扩展(适用于大型站点),并支持集中管理。
●可管理性和可维护性——在方案设计中在提供高可靠性的同时,也要注重提供系统的可管理性和可维护性。
整个系统应该能够采用基于网络管理员常用的界面对设备进行配置管理。
系统配置工作应该简单明了,流程清晰。
系统应该能够提供远程告警。
●合理的性能价格比——在满足当前的业务需求的同时,还考虑到今后业务发展的需求,确保在未来扩容时能够扩展到更多的性能和容量支持。
同时尽量选择经济的设备,做到最优的性价比。
3
建议优化方案
3.1建议广域网改造整体方案
根据以上需求分析,建议提供两个解决方案对整个广域网的改造。
由于思科EIGRP可以实现多条链路的负载均衡,可以有效的利用两条链路,并且支持链路的自动切换。
方案一
目标:
使用思科交换机与分支互联,使用EIGRP协议实现链路负载均衡
实现方式:
1.对分支站点的IP地址进行调研,有冲突的网段应做相应的调整
2.通过思科EIGRP协议实现与分支站点的负载均衡
优势
1.分支使用三层思科交换机作为核心,可以对分支VLAN等进行规划管控
2.EGIRP配置简单,交换机维护成本较低
3.作为EIGRP互联的交换机剩余端口可以供其他服务器或客户端使用
4.后期扩展新站点方面,只需要投入新的交换机,不需额外购买广域网优化设备
我公司们还提供WOC广域网加速设备对总部与分支进行广域网改造。
该设备在支持链路负载均衡的基础上,还提供了基于应用层的优化技术,对于广泛使用的应用程序,如ERP(SAP、OracleEBS、用友NC、金蝶EAS等)、电子邮件(Exchange、LotusNotes、Coremail等)、OA、CRM、数据库、文件共享、桌面虚拟化应用以及各类行业性软件等,都提供了相应的应用协议优化技术,大幅提升了应用程序在广域网中应用效率。
方案二
目标:
使用思WOC与分支互联,在实现链路负载均衡基础上对多种应用进行优化与加速。
实现方式:
1.在总部与分支两端安装WOC设备,通过该设备进行链路负载均衡与应用加速、优化。
优势
1.链路负载均衡可以根据策略针对不同的应用配置
2.支持针对不同应用、协议、数据进行加速与优化,
3.支持应用流量可视化,可以出具报表
4.分支站点间网络地址段有冲突不需要进行调整
改造后的网络拓扑如下:
3.2建议广域网方案
3.2.1方案一
公司总部与分支站点拥有相对独立的网络架构,该架构包含桌面客户端、服务器等组件。
目前根据公司数据流向,我公司们可以将其分为三个大类的流量:
●分支与分支站点的数据交互
●分支与总部的数据交互
●分支站点或总部内部的数据交互
上面三种数据交互方式有两种是需要跨WAN网络的,因此广域网的高可靠性以及高性能便成了重中之重的事情。
我公司们建议采用思科三层作为核心,通过思科专有EIGRP协议将总部与分支站点组建成一个高可用、高可靠的网络。
具体网络拓扑图如下:
如上图所示,通过EGIRP协议组建的网络,我公司们可以获得如下好处:
●实现电信、联通两条链路的负载均衡。
每个站点的两条线路可同时运行,分担了数据的流量。
对于两条带宽大小不同的情况,建议通过设定两条链路的权重来实现。
●主备链路无缝切换,任意一个条链路故障,数据流量将会自动切换到另一条正常的链路,不会影响到业务运行。
如站点1的联通链路故障,那么站点1仍旧可以电信的链路访问其他各个站点。
●同时,在实施分支与总部EIGRP部署之后,分支与总部将构成一个稳定可靠的网络。
如下图所示,如果增加一个站点,则只需要宣告该站点的网段,将其加入到EIGRP域里,便可以和其他所有站点进行数据交互。
如果需要删除一个站点,则只需要断开交换机上连接电信联通的链路即可。
此外,如果任意站点故障,将不会影响到其他站点。
以站点3为例,假如站点3出现交换机故障,那么站点1、2以及其他站点之间的相互访问是正常的。
3.2.2方案二
针对方案二我公司们建议使用WOC广域网优化设备,通过在总部与分支两端搭建WOC设备,在实现专线流量削减,优化专线的同时,深信服WOC广域网优化还可帮助用户实现专线网络的智能备份。
利用公网建立加速VPN网络,当专线网络因运营商、路由设备等问题导致断线,业务数据将自动切换到加速VPN网络上,在进行专网健康状态保障的同时,维护业务高稳定可续性
广域网优化设备之所以可以优化专线流量,并对通常的Internet进行优化,主要源于三方面的技术手段:
数据优化:
广域网优化设备通过“基于码流特征的数据优化”和“LZO压缩算法”来实现冗余数据削减,从数据体积上减少业务传输对专线流量传输的压力。
传输优化:
该设备通过选择性应答、窗口处理机制优化、拥塞控制优化等方法改善TCP协议传输效率,可以进一步提高一些业务应用系统的响应速度。
协议优化:
而针对大量应答确认的应用层协议,如CIFS,广域网优化设备通过代理的方式减少应用协议交互,提高传输速率。
实施以上的架构,我公司们可以获得如下好处:
1.降低专线数据占用率,让XX自来水的更多业务系统通过专线方式来运行,保障高效的业务连通。
2.提高业务应用系统的访问速度,通过数据压缩、传输优化、协议优化等方式,广域网优化设备可以让客户内网有更顺畅的网络体验,有效提高工作效率。
3.为专线提供经济、高效的备份链路方案,保障数据备份高效稳定地运行。
在专线链路故障中断时,备份线路可以自动快速切换,保障数据备份的连续运行。
部分分支也可以采用快速VPN备份链路,以保障业务的稳定运行。
4.降低XX自来水的网络建设本。
通过部署广域网优化设备,组织可以有效降低线路成本,提高工作效率进而优化组织的业务运营。
4工作内容及培训计划
4.1工作内容
1
网络调研
2
广域网总部分支站点互联IP地址规划
3
广域网总部WOC或EIGRP搭建
4
广域网分支机构WOC或EIGRP搭建
5
总部与分支站点之间WOC或EIGRP部署及测试
6
广域网改造后网络优化
4.2培训计划
我公司们将在进行现场安装过程中,实施工程师需在安装过程中将安装内容及相关技术简单向用户方相关技术人员进行讲解;用户方的相关技术人员需与实施工程师及时沟通以获得第一手的感性认识,力求为后续的综合培训打好基础。
产品培训:
掌握理论知识
针对广域网实现中使用的设备与技术,对用户组成员进行详细的产品介绍、功能特点介绍、性能介绍等,帮助用户相关技术人员更明白地了解产品,方便今后的日常维护。
维护文档及系统培训
针对整个系统平台,对用户组成员进行系统介绍,参照安装记录,对安装方法、系统检测方法等关键技术进行详细介绍,使其了解合同产品设备的规格型号、性能、安装和配置方法,可以独立解决一些实际工作中碰到的基本问题,灵活地开展业务;并辅导其建立完整的维护文档,帮助用户相关技术人员进行模拟操作、模拟故障检测等。
我公司们将提供相关产品的培训教师以及所有的培训资料、培训设备和工具。
产品技术理论培训一般在项目实施规划准备期间进行,理论课程采用我公司们专用中文或英文教材,使用中文进行培训;现场实践操作培训一般在到货后、集成实施前或集成实施中进行。
实践课程中部分采用专用教材,部分采用实施工艺的相关章节,紧扣工程实施的具体环节。
培训的具体日程以双方最终协商结果为准。
所有的培训将由原厂商认可的有着丰富培训经验的我公司信息有限公司或原厂商工程师授课。
课程设置
结合本次广域网改造项目,选择了以下培训课程:
课程
课时
培训人员
现场培训
2天
对管理人员进行配置、操作上的培训,增强管理人员的实践能力
产品培训
1天
培训课程涉及产品、产品功能等相关理论知识培训
维护文档及系统培训
1天
系统介绍,参照安装记录,对安装方法、系统检测方法等关键技术进行详细介绍,使其了解合同产品设备的规格型号、性能、安装和配置方法
5
项目所需要采购硬件设备
硬件选型
硬件设备
设备型号
数目
防火墙
SophosUTM220
1
防火墙
SophosUTM100
2
交换机
CISCOWS-C3750G-24T-S
4
软件License
硬件许可证
许可证描述
网络防护许可证
启用入侵防护系统(IPS),其中包括模式更新、DoS/洪泛防护、基于SSL和IPSec的VPN和远程访问、高级路由、WAN链路平衡以及详细的网络安全防护报告
3
WEB防护许可证
使用具有病毒和间谍软件过滤器功能的Web流量分析,包括模式更新、基于URL过滤器的96种类别、AD/eDirSSO身份验证、HTTPS过滤、IM/P2P应用程序控制以及详细的Web使用情况报告。
3
方案二硬件选型:
硬件选型
硬件设备
设备型号
数目
交换机
CISCOWS-C3750G-24T-S
4
广域网加速设备
广域网加速设备
软件License
硬件许可证
许可证描述
6风险规避手段
风险规避手段
1.按照先找两个对于实时通讯相对低的站点进行EIGRP或WOC测试,等待测试完全通过再分批次部署在其他站点。
2.在部署过程中实时备份,做好回滚机制。
3.在重大切割断网测试时间选择下班或休息日,尽可能少的影响正常业务
7
附件
7.1.1EIGRP技术
精确路由计算和多路由支持。
EIGRP协议继承了IGRP协议的最大的优点是矢量路由权。
EIGRP协议在路由计算中要对网络带宽、网络时延、信道占用率和信道可信度等因素作全面的综合考虑,所以EIGRP的路由计算更为准确,更能反映网络的实际情况。
同时EIGRP协议支持多路由,使路由器可以按照不同的路径进行负载分担。
较少带宽占用。
使用EIGRP协议的对等路由器之间周期性的发送很小的hello报文,以此来保证从前发送报文的有效性。
路由的发送使用增量发送方法,即每次只发送发生变化的路由。
发送的路由更新报文采用可靠传输,如果没有收到确认信息则重新发送,直至确认。
EIGRP还可以对发送的EIGRP报文进行控制,减少EIGRP报文对接口带宽的占用率,从而避免连续大量发送路由报文而影响正常数据业务的事情发生。
快速收敛。
路由计算的无环路和路由的收敛速度是路由计算的重要指标。
EIGRP协议由于使用了DUAL算法,使得EIGRP协议在路由计算中不可能有环路路由产生,同时路由计算的收敛时间也有很好的保证。
因为,DUAL算法使得EIGRP在路由计算时,只会对发生变化的路由进行重新计算;对一条路由,也只有此路由影响的路由器才会介入路由的重新计算。
下面的网络图说明如何双收敛。
TheexamplefocusesondestinationNonly.这个例子的重点目的地DUAL。
EachnodeshowsitscosttoN(inhops).每个节点显示其成本为N(跳数)。
Thearrowsshowthenode'ssuccessor.箭头显示节点的继任者。
So,forexample,CusesAtoreachNandthecostis2.因此,举例来说,C使用一个达到N的成本是2
MD5认证。
为确保路由获得的正确性,运行EIGRP协议进程的路由器之间可以配置MD5认证,对不符合认证的报文丢弃不理,从而确保路由获得的安全。
路由聚合。
EIGRP协议可以通过配置,对所有的EIGRP路由进行任意掩码长度的路由聚合,从而减少路由信息传输,节省带宽。
实现负载分担。
去往同一目的的路由表项,可根据接口的速率、连接质量和可靠性等属性,自动生成路由优先级,报文发送时可根据这些信息自动匹配接口的流量,达到几个接口负载分担的目的。
配置简单。
使用EIGRP协议组建网络,路由器配置非常简单,它没有复杂的区域设置,也无需针对不同网络接口类型实施不同的配置方法。
使用EIGRP协议只需使用routereigrp命令在路由器上启动EIGRP路由进程,然后再使用network命令使能网络范围内的接口即可。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 广域网 改造 设计方案 v10