docurl=/cn/Solution/IndustrySolution/Manufacturing/Solutions/201111/731886_30004_0.htm

烟草卷烟厂多业务承载网解决方案

【发布时间:2011-11-14】

伴随着烟草业务信息化水平的不断提高,业务系统对于网络的依赖性逐渐增强,如何结合卷烟厂生产业务系统、办公管理业务系统的实际需求,搭建可靠、可视的有前瞻性的多业务承载网络,是卷烟厂信息化建设需要考虑的重中之重

烟草卷烟厂多业务承载网解决方案

1.   概述

伴随着烟草信息化进程的提速,现有业务对于信息系统的依赖程度越来越高,势必对网络提出了比传统应用更高的要求。

随着网络规模的不断扩大,承载业务的不断增多,业务融合的趋势更加明显,网络设计和维护人员迫切需要一种方法,不但简化网络的设计、部署、维护,清晰掌握网络情况,更进一步的,对于上层应用屏蔽底层的差异,使得网络的节点情况、链路类型、路由设计、可靠性保障等很多的网络技术细节对于上层应用来讲像空气一样的透明。

业务的开展最希望能够无视底层基础设施的差异,以松耦合的方式进行部署实施,如何使得网络的接入方式、流量规划、高可用设计、安全策略等对于业务来说不可见,使得园区网络真正成为可进行业务弹性扩展的承载平台,是现在和未来园区网设计的主要出发点。

因此,当前对新方案的根本目标在于让网络更简单,更透明,这种简单不仅是网络架构简单,而且在新业务支持、组织架构调整等整体运维过程体现简单;这种透明也不仅是指网络协议少用,而且希望能够有效的简化网络结构,屏蔽底层差异性。

2.   多业务承载网络的方案特色

Ø  采用横向整合的技术打造网络最简逻辑架构,简化了网络的设计和维护。

Ø  采用纵向隔离技术将物理承载网在逻辑上划分为不同的业务平面,兼顾了业务的隔离和互访需求。

Ø  提供更高的网络可靠性,更好的保障特别是实时性业务较高的业务。

Ø  通过有线和无线、网络和安全的融合保证上层应用可以忽略信息点接入方式、安全策略等底层差异。

3.   H3C卷烟厂多业务承载解决方案

3.1.        园区网络技术发展

图1.  园区网技术发展趋势

随着烟草业务的发展,园区网络内也必然需要采用新的技术以便解决传统卷烟厂方案中的固有缺陷,通过技术手段的不断升级提供对于业务的更有利支撑。通过802.1XMPLS VPNIRF2等技术的应用,不但解决了VLANACLSTP/MSTPVRRP/VRRP+等协议设计、部署复杂等多方面问题,更进一步提供了传统技术所无法提供的灵活性和可靠性。是卷烟厂网络方案设计中必须遵循的技术发展方向。

烟草企业底层生产控制系统虽已基本实现了基础自动化和过程自动化,并且在此基础上形成了相对独立的系统,但是每个系统都有各自的处理逻辑,数据库,数据模型和通信机制,它们形成一个个信息孤岛,缺乏信息资源的共享和生产过程的统一管理。

为了消除信息化孤岛,发挥信息化潜力,并且结合当前园区网络技术发展趋势,建设一套物理网络同时承载卷烟厂办公、生产等业务已是必然选择,卷烟厂园区网络的演进方向如下图:

图2.  卷烟厂园区网向融合网络发展

可以将这种并发承载多种业务的网络称为“多业务承载园区网”,其有如下特点:

1)趋势上:

l  符合国家对信息化、工业化“两化融合的需求”,两化融合的的前提是基础设施的融合。

l  符合一体化“数字烟草”的信息化建设思路, 业务的集成、整合必须依赖底层网络等基础设施的高效整合。

l  多业务承载不仅仅是网络的融合,实际上更是计算资源、存储资源和上层应用的整合,符合信息化建设资源化、虚拟化、云化的大趋势,也是目前较热的物联网的必要条件。

2)技术上:

l  多业务承载可以较少重复建设,有效降低网络复杂度,减少故障隐患,从而降低运维成本,降低管理成本。

l  多业务承载可以集中信息化资源(如服务器和存储资源的集中和虚拟化),集中管理,提高设备利用率,提高管理效率。

l  多业务承载可以有效消除信息孤岛,充分实现数据共享,是数据集中、以及数据综合分析深度挖掘的基本前提。

l  多业务承载可以缩小网络规模,实现快速的网络故常恢复时间,可以有效保证生产业务实时性。

3.2.        纵向业务隔离

目前,有多种技术能够支持网络虚拟化分区、实现用户组业务的逻辑隔离,包括GREVRF-VRFMPLS L3/L2 VPN等。但是从虚拟园区网方案在行业应用的分析来看,VRF-VRFMPLS L3 VPN是应用较多的技术,也相对于其它技术更有优势。

l   中小型园区

对于一些中小型园区,网络设备层次少、结构简单、业务划分关系固定,非常适合VRF-VRF方案。利用园区内设备的虚拟路由转发功能,为不同群组/业务划分固定的逻辑隔离通道,满足业务的横向隔离需求。一次配置完成后即可稳定地提供服务,支持通道间的地址重叠和控制策略不一致。

l   大型园区

对于大型复杂园区,更适合使用MPLS L3 VPN技术建立虚拟化园区网络。MPLS L3 VPN已在广域网应用多年,技术成熟、控制灵活,对于虚拟网络间的互访业务能够提供很好的支持。由于在大型园区内部,无论业务系统集中还是分布部署,都可能存在跨VPN的业务互访和资源共享,VRF-VRFGRE等隔离技术无法很好地支撑这种业务访问模式。MPLS VPN依靠路由、接口VPN实例绑定关系建立VPN通道进行通信,通过路由的引入引出控制策略,实现VPN间灵活的互访,并且能够支持可靠性检测、多路径负载均衡等技术,所以更适合网络规模大、设备台数多的组网应用环境。

利用MPLS VPN把网络虚拟化从广域延伸到园区,需要园区交换机产品对MPLS VPN特性提供全面的支持,否则无法实现真正的网络虚拟化。以H3C为例,其路由器、交换机、安全等产品能够提供全面的网络虚拟化技术支持,实现跨广域、园区的端到端虚拟化部署方案。

图3.  H3C端到端的虚拟化解决方案

3.3.        横向网络整合

简化网络可以从两个层面进行分析:简化园区网络拓扑和简化园区网络协议部署。

l  简化园区网络拓扑

                                                                         

图4.  传统园区结构

如图5所示,这种经典的园区网设计将网络按接入、汇聚、核心规划成多层结构:为便于用户的扩展,一般将接入层网络设计为二层接入,并将用户端的三层网关设置在汇聚层设备上;同时为保证网关的HA能力,汇聚层采用双节点冗余组网;核心层也采用双节点组网以提升性能和冗余能力。

然而这种传统的园区网络结构渐渐难以满足新服务的要求:二层接入的网络导致接入层与汇聚层网络之间产生多环路,形成环网,企业IT业务的不断调整将环网规模扩大或复杂化;部分网络为降低复杂度,消除了环路,却因此带来了单链路、单点接入的低可用性。因此,迫切需要在保证多业务、灵活性、可靠性、简易性、扩展性的前提下,消除环路、简化网络拓扑。

虚拟园区网解决方案2.0通过将IRF2技术引入园区网络方案中,解决了上述问题。

图5.  端到端的企业网络IRF2架构

如图6所示,在企业园区网络架构中,使用IRF2技术分别在网络汇聚与核心层各自进行横向整合,将多台冗余设备虚拟化为单台逻辑设备,形成一个网络管理与转发节点;在网络接入层复杂的接入环境中实行IRF2整合,将多达9个的物理网络节点虚拟化为单台设备,完全消除接入层环路,并形成捆绑链路的高带宽和可靠性上联。在这样的虚拟化下,网状的企业园区网络形成了一个非常简洁的架构,网络各层之间通过捆绑的单逻辑链路互联,消除了环路。不再需要在接入层设计复杂的生成树协议,也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。

端到端IRF2部署使园区网络形成了无环、树状、辐射型的网络拓扑结构,极大简化了运行维护管理工作。网络中数据流的宏观路径上与简化后的整体网络拓扑具有一致性,业务流在网络中的走向清晰明确。同时,每个IRF2节点本身的扩展(如增加该节点设备)既不会改变企业网络的逻辑结构,也不会影响上下层网络的协议交互。这种虚拟化网络展现出优化的整体架构。

l  简化园区网络协议部署

通过消除网络中接入、汇聚的网络环路,将环状网络转变成树形网络,网状的企业园区网络形成了一个非常简洁的架构,网络各层之间通过捆绑的单逻辑链路互联,消除了环路。不再需要在接入层设计复杂的生成树协议,也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。这是协议简化的一方面。

图6.   IRF2结构下园区路由区域简化设计

另一方面,当传统园区的规模发展到一定程度,网络各部分均会形成网状网络结构,因此整网路由按区域划分进行设计。以OSPF为例,一般将网络核心和关键网络组件设置于area 0,而将网络子模块设置于area 123等区域。采用IRF2进行端到端虚拟化后,网络结构更加清晰,整网路由结构也相应得到简化。如图7所示,区域性的路由因为逻辑链路简化而形成了点到点、点到多点的简单结构,与网络设备相关的路由数量大幅减少,整网的路由计算量也大幅下降。同时,网络层之间的链路捆绑避免了单条物理链路故障时对上层路由的影响,使得端到端IRF2网络架构上形成了一个稳定的简化路由结构,网络规模的扩大并不会增加路由复杂性,这种路由结构不仅简化了网络路由设计、降低了设备要求、减轻设备负载,并且有助于企业网络长期规划和模块化扩展。

综上所述,通过采用横向整合的技术,既简化了协议部署,又保证网络的二层扩展,不会影响网络的逻辑拓扑和路由情况。使得对于网络的管理可以屏蔽二层的扩展,更好满足了园区网络的简化部署、低成本维护和自由扩展的需求。

3.4.        终端接入控制

通过网络接入控制对接入网络的终端进行接入安全保障和基于身份的动态访问授权。

虚拟园区网使用逻辑隔离技术,在一张物理网络上虚拟出多套封闭的逻辑资源。在用户接入网络的时候,必须要考虑用户所属群组与逻辑网络资源之间的对应关系,以便于给用户分配正确的权限,并保证封闭逻辑资源的安全性。

这里,建议部署H3C的终端准入控制(EADEnd user Admission Domination)系统,该系统根据接入用户的身份信息,与网络设备配合对用户进行动态授权,控制不同群组用户能够访问到不同的逻辑资源;并能提供用户终端的安全性和法规遵从性检查,加强对用户的集中管理,提高网络终端的主动安全防御能力。

在使用EAD系统进行灵活准入控制的时候,根据应用场景不同,通常有两种控制方式:

l   802.1x方式

图7.  802.1x方式的网络接入控制典型组网

如图2所示,接入控制点在园区网络的接入层设备、认证协议使用802.1x802.1x是端口安全的标准协议,能够在认证用户及其关联的VPN间形成连接,防止在未授权情况下访问禁止接入的资源。

初始情况下,未认证用户连接网络时,根据预配的策略,用户不能接入网络,或只能访问部分安全等级要求不高的公共资源,如公共资源VPN里的打印机、软件升级服务器、病毒库版本升级服务器、访问Internet服务等,无法访问其它安全等级较高的私有VPN资源。

用户使用EAD系统通过认证后,网管会根据认证用户名的群组归属属性,由策略服务器给接入层控制设备下发端口归属关系配置调整信息,建立用户接入端口与相应VPN的连接关系,提供用户对相应VPN内资源的访问通道。此时,用户只能访问所授权访问VPN内的资源,无法访问和查看其它用户VPN内的资源,从而实现对接入用户的资源访问权限控制和安全的逻辑隔离。并且同一物理端口在不同时刻可分别提供给多个用户使用,每次认证通过后策略服务器都会根据认证用户属性下发端口归属VPN的配置信息,使用户接入到不同的VPN中去。用户在未认证时,可能都能访问相同的公共资源,但用户认证后,就只能分别访问所归属VPN内的资源,同一台终端先后使用不同的用户名认证接入网络,能够访问到的资源也是不同的。这样大大提高了用户动态接入网络资源的灵活性。

802.1x方式在网络接入的最前端进行访问权限控制和安全检查,通过调整用户接入端口与VPN的映射关系来控制用户对相应VPN资源的访问,具有较高的安全性。同时,能够支持用户的位置移动性,无论用户从边缘的哪个接口接入,都能访问到相同的授权资源。

l   Portal方式

对于无法在接入层设备进行接入访问控制的组网,还可以采用一种基于汇聚网关的Portal认证方案。

图8.  Portal方式网络接入控制典型组网

在这个方案中,用户的接入身份认证和权限控制点不在接入层设备上,而是在位置较高的汇聚、核心层,这样可以兼容下层网络的异构性、对接入层设备的要求也较低。但是,这种部署方式要求虚拟化VPN资源的划分要在Portal认证点之上。

初始情况下,用户可以访问不需要认证的资源,如本地局域网内的部分资源、Internet服务等。当用户需要通过Portal网关访问受控资源的时候,就需要启动EAD客户端或通过认证网关推送的认证界面进行认证,服务器根据认证用户信息,下发控制策略给Portal网关,建立用户与相应VPN资源的访问通道、限制对其它VPN虚拟资源的访问。

基于Portal方式的接入控制简化方案也得到了广泛应用,如在某个大型园区网络中部署了虚拟化技术对办公业务和访问Internet业务进行逻辑隔离,采用Portal认证方式:用户接入网络后,无需认证即可访问Internet,此时用户无法访问办公业务资源;当用户需要访问办公VPN资源的时候,数据流触发Portal网关推送认证界面给用户,用户认证通过后即可访问办公VPN资源,但此时由于策略服务器给Portal网关下发了控制策略,用户无法再同时访问Internet,若需访问Internet,用户需要退出认证。这样,能够更加灵活、简化对网络虚拟资源的访问控制,更便于部署和使用。

网络接入控制包含两方面内容:一是对接入用户访问网络虚拟资源的权限控制,二是对接入用户的合法性和安全性检查。EAD系统充分支持这两方面功能,无论使用802.1x方式还是Portal方式的认证,都能对接入终端的安全性、合规性进行检查,并提供检查报告,对不满足要求的终端,限制其接入网络。对认证通过并进行了访问授权的用户,仍能提供实时的安全状态监测,以保障终端和网络的安全性。

3.5.        多业务承载

部署了IRF2的接入环境可以提供丰富的网络服务设计,以对业务部署提供更好的支持。IRF2架构下的设备都支持H3C EAD端点准入安全解决方案,提供企业园区全面安全接入能力,通过基于身份的网络准入和动态策略下发,解决园区内移动办公应用的问题;PoE功能已经成为接入交换机的基本功能,同时随着新技术标准的不断推出,后续IRF2下将支持中、高功率的PoE标准,从而可提供企业网络有供电要求的各类新业务需求,如视频瘦终端(如PoE受电的终端)、视频电话、语音电话、无线接入AP等;集成的Voice VLAN功能为部署IRF2接入的IP语音提供了便利。

同时,通过MPLS VPN的部署,解决了多网融合,共用同一张物理网络的环境下IP地址重叠的问题,并为各种应用搭建了端到端的业务通道,并通过IRF2的部署,避免了双PEMPLS VPN中的概念)情况下CE双上行规划的问题;组播VPN等网络服务的部署解决了监控业务在园区网络中融合组网和后续OA互通等问题……

凡此种种,都说明全虚拟化的虚拟园区网2.0解决方案通过IRF2的横向整合和VPN的纵向隔离技术,在园区网络向交换资源化的发展过程中,通过VPN、安全、无线、组播、语音等多种网络服务的不断递进,形成了对于OA、多媒体业务、监控网络、跨部门协作甚至于可控物联等业务进行良好支撑的园区网络架构。

 

4.   H3C卷烟厂多业务承载网安全部署

基于通常的需求,园区网内安全设备的部署位置一般位于园区网络的汇聚层和互联网出口处。

基于前述虚拟化的园区网系统架构,在虚拟园区网中安全设备部署的核心问题是各类安全设备如何在虚拟化环境下进行部署。因此,我们将就MPLS VPN下的FW部署和互联网出口处的安全部分分别阐述。

4.1.        MPLS VPN环境中的防火墙部署

MPLS VPN组网环境中,由于以下情况的存在,网络汇聚层需要进行访问控制和地址转换:

l  每个VPN内部可能存在多个不同的网段,为了有效控制网段间互访和服务器与终端间的访问,需要在汇聚层采用防火墙做单向访问控制;

l  两个或者多个VPN互访时,不同VPN内的IP地址可能存在地址冲突,所以需要在网络汇聚层进行地址转换。

如图8所示为比较常见的传统防火墙部署组网情况及其局限性。

图9.  传统园区网防火墙部署示意图

此部署方式会对防火墙的接口类型、协议处理有较高要求。例如,当组网为汇聚和核心采用万兆链路并在汇聚和核心之间采用MPLS VPN组网的时候,就需要防火墙支持万兆链路并能够参与路由计算和处理MPLS报文。此部署方式会对防火墙的接口数量有较高要求。例如,当组网为接入和汇聚之间采用千兆光链路的时候,需要防火墙有较高的端口密度,并在汇聚层下挂多台防火墙才能满足部署要求,势必造成部署成本过高和管理节点过多的情况。

虚拟园区网下采用FW插卡部署,可解决传统部署模式带来的接口类型、协议处理、建设成本和运维管理等一系列的问题。如图9所示为在MPLS VPN环境中,防火墙的部署方式。将一块FW模块插入汇聚层交换机内,由交换机的接口板卡与接入以及核心设备连接,这样就无须考虑防火墙的接口类型等方面的要求;并且保证防火墙的处理在PECE之间,可以不必要求防火墙参与OSPF等动态路由协议计算和MPLS报文处理,大大简化了网络设计和运行维护。可见,模块化的安全部署方式在简化设计、降低总拥有成本等方面具有较大优势,是网络设计时需要考虑的常用设计方法之一。

图10.            MPLS VPN环境下防火墙最佳部署示意图

4.2.        互联网出口安全部署

互联网出口通常面临网络层和应用层的攻击,因此是控制安全威胁的最佳控制点之一。相应的,此处的安全设计和部署也通常是园区网中最复杂的场景之一。

针对不同场景的需求和保证网络边界的安全和完整性,在互联网出口通常需要部署访问控制、地址转换、应用层防护、流量控制、行为审计、链路负载均衡、DMZ区服务器负载均衡、SSL远程接入、DDoS攻击防护等多种技术手段。由于各种技术的侧重不同,催生出了多种组合的方案。下面将围绕其中的一种常用方案进行展开,描述在互联网出口处进行访问控制、地址转换、应用防护、行为审计、链路负载均衡多种技术混合部署的设计方式。

图11.            虚拟园区网出口FW+IPS+ACG+LB板卡组网

如图10所示,业务板卡采用主备方式进行部署。具体的部署方式如下:

l  两台园区出口交换机(S9500E)作为IRF堆叠使用;

l  在互联网出口处,部署LB的情况下,应存在两个不同的互联网出口,连接到两台路由器上,这样LB才能够发挥作用;

l  FW在转发路径上,使用路由模式,提供访问控制及攻击防御等功能,部署方式采用主备方式,采用VRRP部署,MASTER进行流量转发;

l  IPS采用主备方式部署,在S9500E上通过MQC引流,转发到主IPS上,当主IPS失效后,通过MQC的下一跳备份功能,流量被引导到备份的IPS上,IPSACG部署的位置在S9500EFW的三层转发路径上,将不会存在上下行不一致的问题。

l  ACG采用主备方式部署,在S9500E上通过MQC引流,转发到主ACG上,当主ACG失效后,通过MQC的下一跳备份功能,流量被引导到备份的ACG上,IPSACG部署的位置在S9500EFW的三层转发路径上,将不会存在上下行不一致的问题。

l  LB作为连接出口路由器的设备,使用链路负载分担功能,并且使能NAT OUTBOUND功能让内网用户能够访问Internet,同时,两台LB之间使用VRRP进行主备,为提升两台设备故障的恢复能力,两台LB可以直接使用状态备份;

l  S9500E作为三层转发设备。与FW之间为三层转发。

图12.            虚拟园区网出口FW+IPS+ACG+LB板卡流量路径

如图11所示为流量路径,具体如下:

两条蓝色的虚线并不代表流量会同时从两套板卡上经过,而是说明在这一部署方式下,流量所流经的路径。

1. 园区网出方向:用户侧->外网侧(流量经过所有的多业务板卡)。用户侧数据按照交换机->ACG->IPS->防火墙->LB的顺序进行转发,在这个转发路径上,交换机进行一次三层转发(即将用户侧流量通过三层转发发送给防火墙),流量先被重定向到ACG,然后被重定向到IPS上。通过防火墙转发后,转发到LB上,LB通过链路负载分担并进行NAT转换后,转发到外网出口的路由器上。

2. 园区网入方向:外网侧->用户侧方向。外网方向的数据流根据不同的目的地址,到达不同的LB板卡上,LB进行NAT转换后,其下一跳是FW,在经过FW转发后,流量重定向到IPSACG进行处理,处理完成后,再由交换机转发给内网用户。

5.   结束语

烟草卷烟厂多业务承载网解决方案为下一代的卷烟厂的建网思路,提供了一整套完整的实现虚拟化的方案。在设备层面整合了设备及链路资源,在逻辑层面整合了路径及安全服务资源。这样通过横向虚拟化技术提升网络的可管理性,可靠性及性能,通过纵向虚拟化技术实现了终端接入的安全和访问权限控制、业务数据传输的安全隔离、应用资源的按需分配、集中的网络管理和策略部署。

在烟草IT业务变得更复杂,更重要的同时,作为承载关键业务的企业网需要对这些变化不断适应,满足企业业务发展的需要。可以预见通过进一步的整合及对企业网网络资源的虚拟化,下一代的园区网将会更大程度的将成熟的技术通过虚拟化等技术细节屏蔽在底层,逻辑上更为简化,将整个园区网整合为一个矩阵,其网络资源、安全等服务资源都可动态划分并逻辑隔离,通过这种方式提供更加强劲的业务承载能力,以不断满足企业IT发展的需求。

联系我们