时事通讯:注册和保存!获得特别优惠,免费章节,文章参考指南更新,并插入什么是发生在你的角落的行业通过订阅InformIT通讯的脉搏!注册后免费优惠券!
尝试Safari在线图书现在!访问最大的完全可搜索的电子参考图书馆的程序员和IT专业人员!
广域网是网络中的一个地方,它聚集了运行一组不同协议的各种类型、速度和链接,跨越城市、州甚至国家边界。广域网路最大的例子就是因特网本身,它可以被看作是公共广域网路。广域网路的主要目的是将用户和应用程序连接到各种局域网。
从其定义中可以明显看出,广域网是来自企业网络中不同地方的所有数据聚合的中心点。正因为如此,不仅要了解广域网是如何构建的,还要了解已经并继续为网络的这个地方带来变化的底层业务驱动因素,这一点非常重要。
在这本书中,您将研究当今存在的广域网路的多样性、业务模式、相关的新兴趋势以及它们如何产生“下一代”广域网路。一旦你读完了前四章(或第一部分),你就会明白构建这样的网络的核心需求取决于对现代路由/交换基础设施的使用,这些基础设施具有高可用性、可伸缩、灵活,最重要的是,服务丰富。
本章描述了广域网路体系结构的各种类型及其相关的各个方面。
广域网解决方案简介
由于全球劳动力日益分散,企业比以往任何时候都更依赖wan。因此,当涉及到主总部和区域总部、分支机构、供应商、合作伙伴和客户之间的通信时,业务性能现在直接与质量、可靠性和安全性的实现程度挂钩。由于新的IP服务和应用的发展,如VoIP、视频和移动数据连接,以及远程连接的道路战士和有线和无线网络的统一,前端路由器必须执行各种各样的功能。
根据连接性、传输协议以及媒体是私有的还是公共的,可能有几种不同的WAN类型。四种主要的广域网类型如下:
分支/私人WAN聚合
互联网的优势
雷竞技电脑网站数据中心互联
湾大分支
WAN聚合角色还可以根据在企业网络中常见的类型细分为以下三类:
基本广域网聚合(将在下一节中解释)
安全广域网聚合(基于IPsec或安全套接字层虚拟专用网络[SSL VPN]的附加解决方案)
优化广域网聚集(附加解决方案基于广域网优化与Web缓存通信协议版本2/基于策略路由[WCCPv2/PBR]和广域网应用服务[WAAS])
图1 - 1显示了各种WAN选项,并将它们放在透视图中,以了解它们是如何组合在一起的。
WAN选项。
分支/私有广域网聚合角色
分支广域网路聚合是一种将所有企业分支连接并聚合到广域网路核心路由器(或头端)的方法。在面向云的方面,路由器接口使用各种物理传输选项(如表1-1所示),而在校园核心方面,连接是千兆以太网(GE)或万兆以太网(10gige),作为校园核心交换机到WAN的上行链路。租用线路是与广域网云接口最常用的方式之一(现在以太网络更是如此)。在广域网聚合/边缘路由器中,IPsec隧道终止功能和防火墙功能通常不会被折叠。这通常是用传统的第2层连接实现的经典的轮辐式设计。
图1 - 2显示了基本的广域网聚合拓扑。
广域网拓扑聚合。
表1-1显示了广域网连接的各种选项。
表1 - 1WAN连接选项
类型 |
物理传输介质 |
优点 |
缺点 |
典型的带宽 |
协议封装 |
||
租用线路 |
T1 / E1, T3 / E3 |
私人 |
昂贵的 |
1.544到45mbps |
高级数据控制(HDLC), PPP |
||
电路交换 |
包通过SONET/SDH OC3/OC12/ OC192 |
负担得起的 |
更不安全 |
155mbps到10gbps |
高阶资料连结控制,购买力平价 |
||
分组交换 |
T1 / E1, T3 / E3 (pvc) |
负担得起的 |
共享带宽 |
最高可达45mbps |
帧中继 |
||
细胞继电器 |
OC3 / OC12 / OC48 |
私人 |
每港口成本更高 |
可达620mbps |
自动取款机 |
||
地铁以太网 |
以太网,GE, 10g |
负担得起的 |
缺乏固有可靠性 |
高达10gbps |
以太网(frag - ge, frag - 10gige) |
请注意
城域以太网在聚集特定地理区域的站点方面正获得很大的动力。这在今天的分数级GE和10gige中也可以很好地扩展,而且在IEEE已经在进行的40和100 Gbps的新标准P802.3ba中还可以扩展,初稿已经出来了
基本功能需求
路由器作为广域网汇聚平台的基本要求如表1-2所示。这些服务的规模和性能取决于给定部署的分支站点的集中度。具有独立控制、数据和输入/输出平面的平台是最理想的选择,原因显而易见。
表1 - 2广域网聚集角色的特征矩阵
功能/服务 |
功能/服务细节 |
IP路由(v4 / v6) |
内部网关协议IGP (Interior Gateway Protocol)、边界网关协议BGP (Border Gateway Protocol),收敛速度快,如BFD(双向故障检测) 策略路由 |
IP单播和多播 |
协议独立组播(PIM)稀疏、稀疏-密集模式、自动汇聚点(RP)、任意组播-RP、源特定组播、双向PIM、单播反向路径转发(uRPF) |
NetFlow |
v5、v9 NetFlow数据导出 |
服务质量(QoS) |
基于应用流量、协议/端口、ACL (access control list)分类 标记 分层QoS 基于类的加权公平排队、公平排队、低延迟排队、加权随机早期检测 交通警察 交通影响 链路分段与交错(LFI) |
压缩 |
用于语音通信的实时协议(RTP)报头压缩 |
Web缓存控制协议 |
WCCPv2用于web缓存引擎和广域网优化的数据和视频流量 |
多链路PPP (MLPPP) |
与LFI MLPPP |
MPLS (Multiprotocol Label Switching) |
基于2547的vpn,二层vpn |
高可用性(HA) |
内部HA和内部HA |
~基本服务水平协议要求
对于语音、视频和数据流量类型的融合广域网,一般需要满足的SLA (service level agreement)要求如表1-3所示。
表1 - 3典型的SLA目标
交通类型/应用程序 |
SLA目标 |
网络电话 |
交互式视频 视频会议 |
延迟<= 50毫秒 |
Jitter <= 5 ms 损失< = 1% 语音MOS(平均意见评分)>= 3.8 |
视频播放 视频点播(VoD) |
延迟<= 50毫秒 损失< = 1% |
关键任务WWW交通 声音信号 |
响应时间<= 3秒 |
服务丢失(RP收敛) |
IGP <= 3分钟 |
传统的广域网路(比如基于帧中继的广域网路)被认为是天生安全的,但事实并非如此(因为提供者确实使用共享的物理基础设施来承载此流量)。MPLS VPN是另一个例子,流量被隔离(通过虚拟路由/转发[VRF]实例和标签),但在穿越服务提供商云时仍然共享相同的物理基础设施。
使用某种形式的加密来实现机密性并不少见,其背后的驱动因素可能是公司策略(例如任何离开场所的流量都必须加密)或法规遵从性(例如HIPAA或SOX)。
安全广域网流量的常用技术如表1-4所示。第14章“安全服务用例”提供了进一步的细节。
表1 - 4安全广域网路技术的高级细节
安全广域网技术 |
细节 |
本地IPsec(单播和组播) |
IPsec同时使用加密和散列算法。虚拟隧道接口可以用于组播流量支持。 |
IPsec上的点到点通用路由封装(GRE)(或IPsec内部的点到点GRE) |
支持组播和路由协议的IPsec。 |
动态多点VPN (DM VPN) |
通常部署在公共Internet基础设施上。 |
远程访问vpn |
软IPsec/SSL VPN客户端和小型办公室/家庭办公室(SOHO;8xx/18xx)路由器隧道聚合。 |
组加密传输(GET VPN) |
无隧道加密,最适合私有IP或MPLS云。 |
请注意
在大多数情况下,安全连接解决方案的传输媒介(如表中所述)是公共WAN Internet。
网络边缘的角色
互联网边缘是企业专用网络与公共互联网连接的边界。从最简单的意义上说,互联网边缘设备充当内部网络的网关。与人们普遍理解的相反,互联网边缘不仅仅是指校园用户访问互联网的网络流量。
Internet边缘提供多种功能,如表1-5所示。
表1 - 5Internet Edge路由器功能
函数 |
细节 |
校园和数据中心的企业互联网网关雷竞技电脑网站 |
校园内的用户可以上网浏览、收发电子邮件、使用即时通讯等。 |
分支机构的企业互联网网关 |
分支机构的用户访问Internet来浏览、发送电子邮件和使用实例消息传递,等等。这是为了加强一个公共集合 |
策略在整个企业中承担将所有流量带到头部的负担。 |
|
非军事区(DMZ)服务 |
DMZ区域为传统的FTP、DNS、NTP服务。 |
远程工作人员(远程用户) |
远程工作者或公路战士通过加密VPN技术(如IPsec或SSL VPN软客户端或硬客户端(如Cisco 800系列路由器)通过互联网连接到企业资源。 |
分支WAN备份 |
这作为分支机构路由器通过公共Internet连接到公司的头端的备份或备选连接。该场景常用的远程接入技术有DM VPN、GRE over IPsec和基于VTI (dynamic virtual tunnel interface)的远程接入。 |
多宿主 |
这是互联网边缘路由器直接连接到多个服务提供商的地方。这为限电提供了更高的容错性,并通过先进的路由技术提供了更大的路径选择。这就要求路由器能够支持Internet路由表的一个或多个副本。 |
图1 - 3显示Internet边缘拓扑。
广域网互联网边缘拓扑。
~基本功能需求
处于互联网边缘的设备的主要功能是充当专网(校园或数据中心)和公网(即互联网)的分界线。雷竞技电脑网站单个设备所需的功能取决于互联网边缘的设计,尽管通常的基本功能是表1-6中列出的。
表1 - 6Internet边缘网络设备特性要求
功能/服务 |
细节 |
IP路由(v4 / v6) |
IGP、BGP收敛速度快,如BFD策略路由。路由规模大(Internet路由表)。 |
NetFlow |
v5、v9 NetFlow数据导出 |
QoS |
基于应用流量、协议/端口、acl分类 标记 分层QoS 基于类的WFQ,公平排队,LLQ, WRED 交通警察 交通影响 LFI |
分布式拒绝服务(DDoS)缓解 |
远程触发黑洞(rbh), rACL,防火墙 |
WCCP |
WCCPv2的web缓存引擎 |
防火墙 |
L4-L7防火墙 |
地址转换 |
网络/端口地址转换(NAT/PAT)与应用层网关(ALG) |
高可用性 |
框内和框间HA |
奔跑哈 |
HSRP (Hot Standby Router Protocol)、VRRP (Virtual Router Redundancy Protocol)、GLBP (Gateway Load Balancing Protocol) |
深度数据包检测 |
基于网络的应用识别(NBAR)、柔性包匹配(FPM) |
安全广域网连接 |
DMVPN、GRE over IPsec、IPsec |
雷竞技电脑网站数据中心互联
雷竞技电脑网站数据中心互连(DCI)是另一个广域网功能,有人试图通过第2层或第3层链路将两个数据中心连接在一起。第2层扩展更为常见,因为它们能够跨数据中心接收所有以太网帧(甚至dot1Q或QinQ [IEEE 802.1Q-in-Q VLAN])。雷竞技电脑网站这通常是通过某种伪线(例如,用于两个数据中心的MPLS以太网[EoMPLS],以及用于多站点数据中心连接的虚拟专用局域网服务[VPLS])来完成的。雷竞技电脑网站DCI背后的主要驱动因素如下:
雷竞技电脑网站数据中心整合与虚拟化(VMWare VMotion)
灾备或数据中心HA雷竞技电脑网站
地理集群,集群是跨地理连接的
第2层扩展
图1 - 4显示DCI拓扑
WAN DCI拓扑。
基本功能需求
DCI边缘设备的主要功能是在数据中心之间扩展vlan,以使前面列出的应用程序(如VMWare的VMotion或地理集群)发挥作用。雷竞技电脑网站这种类型的连接的收敛和故障转移时间非常重要,因为从应用程序的角度来看,底层假设通常要求它们位于同一局域网。
请注意