综合业务网应用分析
综合业务网是一个以IP为中心,可以支持语音、数据和多媒体业务的融合或部分融合的全业务网络。随着IP/MPLS技术的成熟应用,综合业务网在政府、教育以及集团大客户得到了广泛的应用,但相对于专线大客户来说,由运营商承建的大量中小企业IP服务网络更是综合业务网的典型代表。因为运营商要留住这些集团用户,关键就是要能提供视频、语音和数据的综合网络服务。因此,我们重点分析中小企业的需求和解决之道。
目前企业对于一站式服务主要有两方面的需求:企业的基础通信服务和企业的增值信息服务。
企业基础通信服务
●企业局域网组网服务(包含网络布线,局域网交换机组网)
●企业Internet接入服务(基础Internet接入、内部上网FW增值防护、内部上网审计信息过滤)
●企业广域网互联服务(DDN,InternetVPN,MPLSL3/L2 VPN)
●移动办公VPN接入
●会议电视、视频监控建设
增值信息服务
●企业办公终端防病毒服务、终端补丁更新服务(防病毒部署、个人防火墙等)
●企业独立域名商务Mail邮箱
●企业独立域名网站代建
●EDC代建与出租服务(企业内部数据中心代建与企业内部主机在电信数据中心托管。主要提供机房空间租用、集中存储备份服务等)
●OA、CRM、ERP出租服务
基于这些服务,运营商和企业对网络设备提出了一些新的要求。例如三网融合的能力、VPN解决方案的提供能力、数据安全保障能力以及网管可用性程度等等。而这些要求无疑都是围绕综合业务提供能力而言的。
一、三网融合的能力
三网融合是指在一张承载网上同时实现语音、视频和数据业务的传输,将过去分开建设的三张网融合在一起。
那么,对于汇聚层路由器来说,语音业务的顺利开展需要其为各种VoIP业务提供透明通道,而视频业务主要对其提出了QoS和组播两大要求,数据业务则要求汇聚层路由器具备智能性和丰富的安全控制策略。
华为公司有丰富而专业的语音、视频专用设备和解决方案,NE20系列路由器作为这些解决方案的承载设备,关键是能提供高效的通道。
NE20系列路由器作为汇聚交换机都能为其提供优异的透明通道。在IPPBX或者H.323语音专网方案中,NE20系列路由器通过10/100M以太网接口将企业的IPPBX或者H.323VG设备接入大网中;在语音需求很少的情况下,也有直接通过路由器组建的企业语音网,NE20系列路由器可以通过E1/CE1或者以太网接口能为其汇聚下的子网提供透明通道;在NGN组网中,AG设备往往通过二层交换机汇聚后接入到路由器上,由于此时语音数据都直接通过分组交换,而且为了追求高的通话质量,数据包往往不能压缩到很小,所以数据流量较大。这就对路由器的QoS和转发性能要求较高,此时NE20系列路由器凭借其强大的QoS能力和较强的转发性能为企业语音专网提供良好的保障。
华为VRPQoS提供的丰富QoS机制完全能够满足三网合一的上述要求:
图1所示为QoS在三网合一中的应用示例。
NE20系列路由器无论作为接入路由器还是DS区域路由器都能很好的完成任务,为三网融合提供高QoS保障。
NE20系列路由器能支持IGMP、PIM-DM、PIM-SM、PIM-SSM、MBGP、MSDP等完善的组播协议,加上其较强的转发性能,很好地支持了视频业务的应用。
二、完善的VPN功能
VPN,尤其是基于Internet的VPN技术已经成为服务提供商吸引中小企业的有力手段。对于VPN用户而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的Internet费用,无疑是非常有吸引力的;而且,企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成;VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活、方便性等特性将给企业的网络管理带来很大的方便。NE20系列路由器能支持几乎所有的VPN技术。
在综合业务网络中,NE20系列路由器往往作为业务汇聚设备,所以其VPN功能的重点应用应该是L2TP。
一方面,L2TP协议利用公共网络的资源为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
另一方面,MPLSVPN虽然可以满足大部分用户的需求,但是对于一些特殊的需求并不能很好的解决。例如电子政务网中部门间协同办公和人员认证授权是电子政府应用的又一核心功能。由于部门间IP地址重叠,不能直接访问,需要将访问端IP转换成电子政务统一规划的IP,同时不相关部门不能互相访问,因此采用认证授权技术。L2TP技术可实现上述两种要求。各部门用户通过L2TP拨号到汇聚层“业务接入控制点”上,可获得政务网IP并获得授权,然后导入MPLSVPN,可实现资源访问和协同办公功能。
因此,作为综合业务网中的关键设备,NE20系列路由器在L2TP功能上做了一些突破。NE20既支持提供用户接入的LAC(L2TPAccessConcentrator)端功能,又支持LNS(L2TP Network Server)端高速硬件转发功能。由于NE20是集中式设备,所有的控制报文都在主控板上处理,为了不影响其他功能的正常运行,支持的最大用户数为8K,并将数据转发功能移到NP中处理以提高用户访问速度。
NE20作为LNS设备时支持将根据用户名、口令和域名,确定用户所要接入的VPN,这样可以将不同的企业用户接入到对应的企业的VPN中,并且在企业的独有地址空间中给企业的远端移动用户分配IP地址。这样运营商给多个MPLSVPN的企业用户提供共享的LNS设备,可以让企业分布于各地的移动用户通过该LNS设备(相当于企业的PE设备)来接入企业内部网络。
三、数据完全保障功能
在综合业务网中往往会汇聚多个企业的重要数据,因此企业用户会要求运营商提供强大的数据安全保障能力。
为更好的服务于综合业务网络,NE20系列路由器提供了各个层面的安全特性,比如AAA、NAT、ACL、软件防火墙、端口镜像、流量分析、登录用户认证等。
当然,安全是一个系统工程,并非某个设备就能解决,也不是每个设备支持了完善的安全特性就能解决的。华为公司有一套涉及核心管理层、应用层、系统层和网络层的综合安全解决方案。
目前,华为已成为业界领先的端到端设备及业务解决方案供应商,华为不仅提供完备的骨干层、汇聚层及接入层设备与解决方案,满足各种组网技术的需要,还在业务层及管理层提供丰富的业务及丰富的业务管理特性,全面提供满足运营商和企业网客户需求的客户化解决方案。
NE20系列路由器作为这些解决方案中的重要一环,以其丰富的接口特性、灵活的QoS策略、完善的VPN功能以及坚实的安全保障能力为广大企业信息化建设作出了贡献。
灵活丰富的功能、坚实的安全保障,这些特性无不处处体现着NE20系列路由器的灵动刚毅之美!
园区网应用分析
园区网发展到今天,已经从过去简单的局域网演变成物理区域跨度更远、网络规模更大、用户更多的大型网络,其关键特点是共有一个或多个外网出口、内部统一管理统一部署,习惯上我们认为园区网是一个办公网络,而往往将园区网中涉及个人用户的部分划到综合接入网范畴,因为这两者在业务类型和技术要求方面存在较大差异。
目前,园区网内部带宽充分,业务丰富,网络建设者最关心的问题开始转向安全、管理控制和网络出口瓶颈等几个方面。此文重点讨论NE20系列路由器在解决园区网出口瓶颈方面的杰出表现。
校园网因为其特殊性,在许多方面的需求非常苛刻,对网关设备提出很高的挑战。集中表现在以下方面:
●流量大,而且大流量的持续时间长
●病毒种类繁多,由此引起的攻击非常频繁
●有许多基于资源利用和节约成本的复杂策略需要配置
●应国家安全机构的要求,学校往往需要提供强大的全天候日志数据
●校园网关键网络设备必须有IPv6的支持和扩展能力
●通过以上分析可以看到,要胜任校园网出口网关的要求并不容易,设备必须具备超强的NAT、ACL性能和稳定性,以及可平滑升级性。
NE20系列路由器采用先进的NP集中式处理的体系结构,使其具备了强大的NAT功能以及高稳定性。
一、彻底消除作NAT网关时的各种瓶颈
NE20E-8路由器包转发性能高达6Mpps,作为网关可实现千兆线速转发。NE20系列路由器做NAT网关时性能出色,可支持25万条并发连接,每秒刷新连接数达到5万条。这意味着NE20系列路由器可支持2万个私网用户同时上网。
NE20系列路由器提供内部服务器的地址转换应用,通过采用负载均衡的方式提高了系统处理能力和响应速度。将一个公网地址映射为几个内部服务器地址,通过负载均衡算法把流量分发到不同服务器上,可以让多台服务器承担工作。
强大的ACL支持能力:在数百条ACL的情况下,依然能保持NAT的线速处理。
二、病毒泛滥下的高稳定性
NE20系列路由器中所有复杂业务由NP处理,CPU通过流控向NP反馈负载程度,负载过高时NP智能丢弃需要CPU处理的低优先级报文,始终保证主要业务不受影响。
NE20系列路由器支持基于用户IP的会话连接数量的控制,可配置将会话数量限制在5-10240之间,在一定程度上限制了网络中的非法代理、黑户网吧、病毒大量传播等破坏网络正常运行行为。并且在开启了并发连接数限制功能之后,对NAT性能没有影响,出口链路依然能达到千兆线速。
三、完善的策略路由功能
NE20系列路由器通过多个出口连接不同公网(Internet、教育网和政府网)。结合ACL规则、策略路由来配置NAT功能,实现流量在多出口的负载分担和备份。用户访问不同公网则走不同的网络出口,同时当一个出口出现故障时流量能自动切换到另一个出口,从而保证业务不中断。另外,还可以通过配置允许某些用户只能访问特定网络(如教育网)。
NE20系列路由器还支持IPv6策略路由。
四、强大的NAT日志功能
传统网关用CPU收集分类日志信息,流量很大的时候严重影响性能,一般需要另外购买昂贵的日志服务器系统,使建设成本成倍增加。
NE20系列路由器摈弃了传统日志处理方法,采用全新技术,在NP上直接处理二进制日志信息,并提供服务器端软件,即使大流量下日志处理也不影响系统性能。服务器端软件支持高速存储、日志查询、辅助分析等功能,可以提供每个月全天24小时完全日志记录和存储。月处理日志数据量可达上百GB,对全网所有流量了如指掌。
五、支持IPv6扩展能力
NE20系列路由器全面支持IPv4和IPv6双协议栈,提供通用的IPv4路由协议和IPv6路由协议,支持IPv4向IPv6过渡的多种技术:手工配置隧道、自动配置隧道、GRE隧道、6to4隧道和NAT-PT(NetworkAddressTranslation-ProtocolTranslation)等。关键是,这些升级仅仅是软件升级,而无需改动硬件!
网络层次:NE20系列路由器一般部署在校园网的出口,作为校园网网关路由器。
设备和链路:校园网核心汇聚交换机和网关路由器之间普遍采用千兆以太网(Ge),网关路由器到公网和教育网的出口普遍采用100M/10M以太网(Fe)。
NAT功能:在公网出口配置NAT转换,并配置NATServer,使外网能够访问校园的Web服务等。使能NATALG功能,对于一些报文的数据部分可能包含IP地址或端口信息的特殊协议,例如ICMP、FTP、MSN、QQ等,NE20系列路由器能对其进行应用层翻译,使承载在这些协议上的业务等顺利通过Nat网关路由器转发。
路由处理:配置到公网出口的默认路由,校园网入口部署策略路由,对教育网的访问从教育网出口转发。
QoS:在公网入口、教育网入口、校园网入口配置防火墙,屏蔽常见病毒端口;对网络流量进行流量监控,对部分用户进行带宽保证等。
除北京外国语大学外,北京科技大学万兆校园网、福州医科大学校园网众多大专院校都采用了NE20系列路由器作为网关出口设备。
总的说来,NE20系列路由器凭借先进的NP集中转发架构,大幅度提升NAT性能,通过对NAT功能的扩展和完善,能有效地保障网关多功能下的高性能和优异的稳定性,很好地解决了目前园区网的出口网关瓶颈问题,为教育、石油、煤炭、冶金、钢铁、烟草、机械制造、化工、食品等行业用户更好地利用信息化平台提供了坚实基础。
面对复杂而充满压力的应用环境,灵活满足用户需求并让用户放心使用,正是NE20系列路由器灵动、刚毅之美的完美诠释。
更多内容请看PCdog.com--Cisco路由器配置手册 OSPF路由协议 交换机与路由器密码恢复专题
