2-3金融廣域網(wǎng)路由部署方案-許青邦

1、2-3金融廣域網(wǎng)路由部署方案-許青邦金融廣域網(wǎng)路由部署方案文/許青邦如何從用戶的業(yè)務(wù)需求出發(fā)，利用領(lǐng)先的網(wǎng)絡(luò)架構(gòu)和路由協(xié)議，為金融行業(yè)提供可靠性與靈活性兼?zhèn)涞膹V域網(wǎng)通訊平臺(tái)？本文拋磚引玉，以一次部署實(shí)踐來(lái)作闡述。概述廣域網(wǎng)在金融網(wǎng)絡(luò)中起著舉足輕重的作用，它上聯(lián)數(shù)據(jù)中心，下聯(lián)分行、網(wǎng)點(diǎn)，好比遍布人體的血脈系統(tǒng)，源源不斷的輸送氧氣和各種營(yíng)養(yǎng)成分，是金融信息系統(tǒng)保持活力的物質(zhì)基礎(chǔ)。在當(dāng)前金融系統(tǒng)數(shù)據(jù)大集中的背景下，廣域網(wǎng)任何位置出現(xiàn)故障，小到一個(gè)網(wǎng)點(diǎn)，大到數(shù)據(jù)中心，都可能牽一發(fā)而動(dòng)全身，影響到眾多客戶的滿意度，因此構(gòu)建一個(gè)快速暢通、不間斷運(yùn)行的金融廣域網(wǎng)，是所有金融信息部門(mén)的當(dāng)務(wù)之急。組網(wǎng)結(jié)構(gòu)以某銀

2、行為例，其網(wǎng)絡(luò)由兩個(gè)數(shù)據(jù)中心、多家一級(jí)分行構(gòu)成，數(shù)據(jù)中心A為生產(chǎn)批量、測(cè)試業(yè)務(wù)的處理中心，數(shù)據(jù)中心B為生產(chǎn)聯(lián)機(jī)業(yè)務(wù)的處理中心，兩個(gè)中心互為備份。圖1為該銀行的全國(guó)廣域網(wǎng)拓?fù)鋱D：圖1某銀行的全國(guó)廣域網(wǎng)拓?fù)鋱D從圖中可以看出，這張廣域網(wǎng)從網(wǎng)絡(luò)層次上分為核心骨干網(wǎng)和一級(jí)骨干網(wǎng)兩部分，核心骨干網(wǎng)為連接數(shù)據(jù)中心A、數(shù)據(jù)中心B的廣域網(wǎng)，由2條鏈路組成，一級(jí)骨干網(wǎng)為互連數(shù)據(jù)中心A至分行、數(shù)據(jù)中心B至分行的廣域網(wǎng)，每個(gè)分行通過(guò)4條鏈路上連兩個(gè)數(shù)據(jù)中心。數(shù)據(jù)中心、分行都有各自的廣域區(qū)，廣域區(qū)由2臺(tái)匯聚交換機(jī)和多臺(tái)接入路由器組成，其作用是橫向連接局域網(wǎng)與廣域網(wǎng)，縱向打通各級(jí)廣域網(wǎng)分流目標(biāo)這家銀行的主要業(yè)務(wù)包括生產(chǎn)聯(lián)

3、機(jī)、生產(chǎn)批量、測(cè)試、語(yǔ)音等，除生產(chǎn)聯(lián)機(jī)的服務(wù)器位于數(shù)據(jù)中心B外,其余業(yè)務(wù)的服務(wù)器都位于數(shù)據(jù)中心A。各業(yè)務(wù)在核心骨干網(wǎng)、一級(jí)骨干網(wǎng)上的分流要求如圖2所示：1話音送珞二測(cè)試聯(lián)機(jī)批里：.：牛產(chǎn)聯(lián)機(jī),i-F"-師中心嘩路一：語(yǔ)音.中心隔爲(wèi)二；測(cè)述圖2業(yè)務(wù)分布圖在核心骨干網(wǎng)上，生產(chǎn)聯(lián)機(jī)、語(yǔ)音等業(yè)務(wù)承載在鏈路一上，生產(chǎn)批量、測(cè)試承載在鏈路二上。一級(jí)骨干網(wǎng)中，4條鏈路分別承載著四種主要業(yè)務(wù)，語(yǔ)音由分行至數(shù)據(jù)中心A的鏈路一承載，測(cè)試由分行至數(shù)據(jù)中心A的鏈路二承載，生產(chǎn)聯(lián)機(jī)承載在分行至數(shù)據(jù)中心B的鏈路一上，生產(chǎn)批量則承載在分行至數(shù)據(jù)中心B的鏈路二上。路由模型整體上采用分層路由模型，在廣域網(wǎng)的入口處（廣

4、域區(qū)交換機(jī)）標(biāo)記路由，在廣域網(wǎng)核心位置（廣域路由器）根據(jù)路由類型作數(shù)據(jù)分流，總體的路由協(xié)議規(guī)劃見(jiàn)圖3：eBGP血PFOnSPFiw:踣由再忑布:舊GF與OSPF100n間ms再總布OEPFCTiBCP選供IE卩也H胳也舷中右人圖3路由協(xié)議總體規(guī)劃圖廣域網(wǎng)使用BGF路由協(xié)議，為數(shù)據(jù)中心A數(shù)據(jù)中心B、分行各分配一個(gè)AS,三者之間分別建立eBGP鄰居關(guān)系，同時(shí)在廣域區(qū)內(nèi)部建立iBGP鄰居關(guān)系，使BGF路由縱向貫穿整個(gè)廣域網(wǎng)。廣域區(qū)內(nèi)部需要運(yùn)行一個(gè)OSPF300的進(jìn)程，主要用于交換廣域區(qū)設(shè)備的loopback地址路由，以供建立iBGP鄰居關(guān)系用。局域網(wǎng)內(nèi)部運(yùn)行OSPF100進(jìn)程，廣域區(qū)交換機(jī)作為廣域網(wǎng)

5、和局域網(wǎng)的交匯點(diǎn)，同時(shí)運(yùn)行OSPF100OSPF300BGP三種路由協(xié)議，其中OSPF100與BGF之間存在路由再發(fā)布關(guān)系。路由標(biāo)示在廣域區(qū)交換機(jī)上用Community標(biāo)示由局域網(wǎng)進(jìn)入的路由。Community是一種任選傳遞的BGP屬性，可以跨AS傳遞。與普通的ACL相比,Community更加靈活，可以極大簡(jiǎn)化網(wǎng)絡(luò)核心的路由策略。根據(jù)前面提到的機(jī)構(gòu)設(shè)置、業(yè)務(wù)劃分情況，采用兩級(jí)Community定義，第一級(jí)為行級(jí)和機(jī)構(gòu)IDCommunity,前兩個(gè)字節(jié)表示行級(jí)，后兩個(gè)字節(jié)表示總行或分行的ID，第二級(jí)為業(yè)務(wù)類型Community,前兩個(gè)字節(jié)表示路由類別（生產(chǎn)、辦公、語(yǔ)音等），后兩個(gè)字節(jié)表示具體的

6、業(yè)務(wù)類型。兩級(jí)Community的具體數(shù)值分配如表1和表2所示：表1標(biāo)識(shí)不同行級(jí)和機(jī)構(gòu)ID的一級(jí)Community行級(jí)和ID級(jí)Community數(shù)據(jù)中心A100:1數(shù)據(jù)中心B100:2一級(jí)分行101:101-199表2標(biāo)識(shí)不同業(yè)務(wù)類型的二級(jí)Community業(yè)務(wù)類型二級(jí)Community生產(chǎn)聯(lián)機(jī)201:1生產(chǎn)批量201:2測(cè)試201:3語(yǔ)音202:1例如，數(shù)據(jù)中心A生產(chǎn)批量路由的Community值為100:1201:2，數(shù)據(jù)中心B生產(chǎn)聯(lián)機(jī)路由的Community值為100:2201:1。另外，對(duì)于有些只需要在數(shù)據(jù)中心之間交換、不對(duì)分行發(fā)布的路由，需要增加第三級(jí)Community,標(biāo)示這類路由

7、發(fā)布的范圍。廣域網(wǎng)路由規(guī)劃廣域網(wǎng)的核心骨干網(wǎng)、一級(jí)骨干網(wǎng)使用eBGP路由協(xié)議，具體部署見(jiàn)圖4:eCGP圖4廣域網(wǎng)的路由規(guī)劃圖根據(jù)該銀行業(yè)務(wù)的需要，生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量、測(cè)試三種業(yè)務(wù)在核心骨干網(wǎng)、一級(jí)骨干網(wǎng)上需要實(shí)現(xiàn)數(shù)據(jù)分流，分流關(guān)系可以歸納總結(jié)為表3和表4：表3核心骨干網(wǎng)的業(yè)務(wù)分流關(guān)系線路序號(hào)"業(yè)務(wù)類型一-生產(chǎn)聯(lián)機(jī)生產(chǎn)批量測(cè)試核心骨干鏈路一122核心骨干鏈路二211表4一級(jí)骨干網(wǎng)的業(yè)務(wù)分流關(guān)系線路序號(hào)業(yè)務(wù)類型生產(chǎn)聯(lián)機(jī)生產(chǎn)批量測(cè)試分行至數(shù)據(jù)中心A鏈路一342分行至數(shù)據(jù)中心A二431分行至數(shù)據(jù)中心B鏈路一12無(wú)分行至數(shù)據(jù)中心B鏈路二21無(wú)注：表格中數(shù)字(1、2、3、4)表示鏈路備份的順序。

8、.BGP勺分流通過(guò)修改屬性值實(shí)現(xiàn)，常用的分流屬性有MEDLP(LocalPreferenee)等。在BGP的選路規(guī)則中，LP優(yōu)先于MED而且不受其他屬性的影響，是BGP分流的最佳選擇。表5和表6中是分配的LP具體值：表5核心骨干網(wǎng)的LP值線路序號(hào)業(yè)務(wù)類型生產(chǎn)聯(lián)機(jī)生產(chǎn)批量測(cè)試核心骨干鏈路一(LP3)400300300核心骨干鏈路二(LP4)300400400表6一級(jí)骨干網(wǎng)的LP值線路序號(hào)業(yè)務(wù)類型生產(chǎn)聯(lián)機(jī)生產(chǎn)批量測(cè)試分行至數(shù)據(jù)中心(LP1)A鏈路一200100500分行至數(shù)據(jù)中心(LP2)A鏈路二100200600分行至數(shù)據(jù)中心(LP5)B鏈路一600500無(wú)分行至數(shù)據(jù)中心(LP6)B鏈路二500

9、600無(wú)由于LP屬性只能在AS內(nèi)部傳遞，因此用于eBGFP寸需要在鄰居的inbound方向根據(jù)路由類型設(shè)置LP值。廣域區(qū)路由規(guī)劃如前所述，廣域區(qū)采用OSP印BGP勺雙層路由結(jié)構(gòu)，圖5為廣域區(qū)的具體路由部署：圖5廣域區(qū)的路由規(guī)劃圖為減少iBGP連接的數(shù)量，在廣域區(qū)中使用路由反射器技術(shù)。廣域區(qū)交換機(jī)由于處于廣域區(qū)的中心位置，理所當(dāng)然成為路由反射器。將兩臺(tái)交換機(jī)放在同一cluster中，降低重復(fù)路由信息，骨干路由器作為路由反射器客戶端，分別與兩臺(tái)交換機(jī)建立iBGP鄰居關(guān)系。路由再發(fā)布廣域區(qū)交換機(jī)位于局域網(wǎng)和廣域網(wǎng)之間，是iBGP與OSPF100路由再發(fā)布的邊界點(diǎn)，再發(fā)布策略如下圖6所示：iBGPIO

10、SPFnetwikiiBGPOSP匚100.iirMjitroutP如屮芒A圖6iBGP與OSPF100的路由再發(fā)布策略1.iBGPOSPF100iBGP路由是以import-route方式導(dǎo)入OSPF100的。由于交換機(jī)從BGF學(xué)到的都是iBGP路由，因此在將BGP導(dǎo)入OSPF100時(shí)，還需要使能iBGP導(dǎo)入IGP的再發(fā)布特性。為了確保iBGP路由能夠?qū)隣SPF100,需要調(diào)整BGP和OSPF100的路由優(yōu)先級(jí)，例如，BGP的路由優(yōu)先級(jí)全部設(shè)置為170,OSPF的內(nèi)部路由優(yōu)先級(jí)設(shè)為110，外部路由設(shè)為190。如圖7所示，假設(shè)廣域區(qū)交換機(jī)二從iBGP學(xué)到路由X,通過(guò)再發(fā)布導(dǎo)入OSPFI00,

11、廣域區(qū)交換機(jī)一同時(shí)從iBGP和OSPF10（學(xué)到路由X,由于iBGP路由優(yōu)先級(jí)170低于OSPf外部路由優(yōu)先級(jí)190,交換機(jī)二將iBGP路由導(dǎo)入OSPF10Q圖7iBGPOSPF100路由控制2.OSPF100iBGPOSPF100路由并不直接以import-route方式導(dǎo)入BGP而是采用network的方式，將OSPF100中的路由按需導(dǎo)入BGP避免了繁瑣的路由過(guò)濾控制。并且，廣域區(qū)的兩臺(tái)交換機(jī)之間不能交換本地始發(fā)路由，否則將導(dǎo)致OSPF100的外部路由不能正確發(fā)布到BG沖。如圖8所示，假設(shè)OSPF100中有一條局域網(wǎng)路由Y,廣域區(qū)交換機(jī)二將丫導(dǎo)入BGP并發(fā)布給廣域區(qū)交換機(jī)一。若交換機(jī)一同時(shí)從iBGP和OSPF學(xué)到路由Y，由于iBGP優(yōu)先，會(huì)導(dǎo)致交換機(jī)一無(wú)法正確發(fā)布路由。為使交換機(jī)一能夠正確將OSPF100路由發(fā)布到BGP中，需要讓交換機(jī)一和二不交換本地路由，最簡(jiǎn)單的辦