【正文】 ms, Inc. All rights reserved. Page 6浦發(fā)廣域網(wǎng)加速試點(diǎn)方案設(shè)計(jì)設(shè)備選型寧波分行作為浦發(fā)銀行重要的分支機(jī)構(gòu)，不論用戶數(shù)還是流量都在全行位居前列，廣域網(wǎng)絡(luò)加速設(shè)備要求能夠提供 30Mbps 應(yīng)用系統(tǒng)流量的加速能力，支持分行并發(fā)客戶端數(shù)量為 1000 個(gè)，為了避免兩端設(shè)備故障造成廣域網(wǎng)擁塞或者應(yīng)用系統(tǒng)通信性能下降，兩端加速設(shè)備也需要熱備份。 按照此需求，思科推薦在總行和分行兩邊各自部署兩臺(tái) WAE6124GB，每臺(tái) WAE6124GB 最高可支持 90M 的廣域帶寬，每邊的兩臺(tái) WAE6124GB 可以同時(shí)工作實(shí)現(xiàn)負(fù)載均衡（參見(jiàn)后面的設(shè)計(jì)），達(dá)到180M 的廣域帶寬，WAE6124GB 支持最高 6000 個(gè) TCP 會(huì)話，即使 1000 個(gè)用戶同時(shí)傳輸，每個(gè)用戶的TCP 會(huì)話數(shù)平均可達(dá) 6 條，滿足一般情況下的需求，如果兩臺(tái)同時(shí)工作則可以達(dá)到 12020 個(gè)會(huì)話?？傂械木W(wǎng)絡(luò)加速設(shè)備的型號(hào)目前和寧波分行相同，如果未來(lái)在全行部署網(wǎng)絡(luò)加速設(shè)備，總行需要更高性能的設(shè)備，可以將現(xiàn)在配置的兩臺(tái) WAE6124GB 部署在其它分行，總行另外購(gòu)買(mǎi)更高檔次的設(shè)備，不會(huì)造成投資的浪費(fèi)。此外，在總行再部署一臺(tái) WAE512 作為中央網(wǎng)絡(luò)管理平臺(tái)，管理總行和分行所有的加速設(shè)備。方案架構(gòu)設(shè)計(jì) 通過(guò)對(duì)浦發(fā)銀行廣域網(wǎng)架構(gòu)和應(yīng)用場(chǎng)景的認(rèn)識(shí)，作為切實(shí)可行的網(wǎng)絡(luò)加速優(yōu)化解決方案，必須滿足以下條件：1） 網(wǎng)絡(luò)加速和優(yōu)化對(duì)用戶和應(yīng)用完全透明，不需要應(yīng)用和客戶端任何的調(diào)整。2） 不改變目前的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)的容錯(cuò)架構(gòu)不允許破壞，現(xiàn)在網(wǎng)絡(luò)的物理連接不需任何改變。3） 不能影響目前的網(wǎng)絡(luò)控制策略如 QOS 策略和安全控制策略，如采用非透明 tunnel 模式則無(wú)法對(duì)網(wǎng)絡(luò)的流量進(jìn)行識(shí)別，也就無(wú)法實(shí)施 QOS 和安全控制。4） 不改變目前的線路流量分配策略，各種類(lèi)型的應(yīng)用經(jīng)過(guò)優(yōu)化后仍然保持原來(lái)的主選線路。思科網(wǎng)絡(luò)加速器的部署支持 Inline 串接模式、旁路模式和混接模式即一頭是旁路模式、一頭是串接模式，總行和分行的部署模式無(wú)需一樣，下面分別對(duì)于串接和旁路模式在浦發(fā)銀行網(wǎng)絡(luò)環(huán)境下的部署的技術(shù)特點(diǎn)進(jìn)行分析：1） 串接模式不論是總行還是分行，浦發(fā)銀行的網(wǎng)絡(luò)大多數(shù)采用容錯(cuò)的連接架構(gòu)，兩臺(tái)廣域網(wǎng)路由器和兩臺(tái)核心局域網(wǎng)交換機(jī)之間交叉雙連，如下圖所示：Copyright 169。 2020 Cisco Systems, Inc. All rights reserved. Page 7串接模式需要將網(wǎng)絡(luò)加速設(shè)備串在廣域路由器和局域網(wǎng)交換機(jī)之間，如下圖所示：這樣的設(shè)計(jì)在在浦發(fā)的網(wǎng)絡(luò)環(huán)境下存在以下嚴(yán)重問(wèn)題：? 即使部署了兩臺(tái)網(wǎng)絡(luò)加速設(shè)備也無(wú)法實(shí)現(xiàn)熱備，一臺(tái)加速設(shè)備壞了，另外一臺(tái)要將其加速的流量接管過(guò)來(lái)需要手工拔線連接。? 廣域路由器和局域網(wǎng)交換機(jī)之間存在多條連接，返回的流量無(wú)法保證和出去的流量走的是同一條鏈路，這樣造成流量來(lái)回經(jīng)過(guò)不同的加速設(shè)備，無(wú)法實(shí)現(xiàn)加速。? 串接模式下所有的流量都需要經(jīng)過(guò)網(wǎng)絡(luò)加速設(shè)備，除了增加不必要的轉(zhuǎn)發(fā)時(shí)延外，對(duì)總行加速設(shè)備的選型必須按照實(shí)際經(jīng)過(guò)的流量即全國(guó)所有分行的總流量考慮，這樣 40M 的性能遠(yuǎn)遠(yuǎn)不能滿足要求，因?yàn)槠渌髁考词共蛔黾铀偬幚?，網(wǎng)絡(luò)加速設(shè)備也要進(jìn)行檢查，如果性能不夠會(huì)造成大量的丟包。2） 旁路模式旁路模式下網(wǎng)絡(luò)加速設(shè)備連接在局域網(wǎng)交換機(jī)上，需要加速優(yōu)化的流量通過(guò) PBR 策略路由或WCCPv2 由交換機(jī)送到網(wǎng)絡(luò)加速設(shè)備，網(wǎng)絡(luò)加速設(shè)備處理完畢在送回網(wǎng)絡(luò)，這里涉及一個(gè)非常重要的問(wèn)題即返回的流量送到哪里，下面對(duì)于 PBR 策略路由和 WCCPv2 兩種設(shè)計(jì)方案進(jìn)行分析。Copyright 169。 2020 Cisco Systems, Inc. All rights reserved. Page 8? PBR 策略路由在交換機(jī)上定義 PBR 策略路由將需要加速的流量送到網(wǎng)絡(luò)加速設(shè)備，PBR 通過(guò) ACL 篩選需要加速的應(yīng)用，PBR 類(lèi)似靜態(tài)路由般指定流量的下一跳，無(wú)法實(shí)現(xiàn)應(yīng)用流量在兩臺(tái)網(wǎng)絡(luò)加速上的動(dòng)態(tài)負(fù)載均衡，如果要兩臺(tái)網(wǎng)絡(luò)加速設(shè)備分?jǐn)傌?fù)載，只能如下圖：應(yīng)用 A 流量首選指向網(wǎng)絡(luò)加速設(shè)備 A，次選指向網(wǎng)絡(luò)加速設(shè)備 B，應(yīng)用 B 流量首選指向網(wǎng)絡(luò)加速設(shè)備 B，次選指向網(wǎng)絡(luò)加速設(shè)備 A，實(shí)現(xiàn)靜態(tài)分?jǐn)傌?fù)載，但是當(dāng)一臺(tái)網(wǎng)絡(luò)加速設(shè)備故障，如 A 故障，交換機(jī) B 由于和網(wǎng)絡(luò)加速設(shè)備不直連，交換機(jī) B 的 PBR 并不知道加速設(shè)備 A 故障，應(yīng)用 A 的流量仍然送向加速設(shè)備 A 的地址，造成這部分流量的中斷，即使不做負(fù)載均衡，交換機(jī) A 和 B 上所有加速應(yīng)用首選都指向加速設(shè)備 A，次選指向加速設(shè)備 B，當(dāng)加速設(shè)備 A 故障，交換機(jī) B 仍然無(wú)法感知，上面的流量仍然送向加速設(shè)備 A，只有交換機(jī) A 能夠感知到加速設(shè)備 A 故障，將應(yīng)用流量改送加速設(shè)備 B。為了保障兩臺(tái)網(wǎng)絡(luò)加速設(shè)備的熱備，只有將網(wǎng)絡(luò)加速設(shè)備都連接在一臺(tái)交換機(jī)上，并且 PBR 只定義在一臺(tái)交換機(jī)上，這顯然在浦發(fā)網(wǎng)絡(luò)環(huán)境中不可能做到，所以 PBR 策略路由無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)加速設(shè)備的熱備。PBR 策略還有一個(gè)非常關(guān)鍵的問(wèn)題必須考慮，經(jīng)過(guò)網(wǎng)絡(luò)加速設(shè)備處理后的流量扔回哪里，采用默認(rèn)路由的將所有流量送到某一網(wǎng)關(guān)地址，會(huì)嚴(yán)重破壞浦發(fā)銀行現(xiàn)有廣域網(wǎng)絡(luò)上的流量分配策略，中國(guó)電信和網(wǎng)通兩條線路作為不同應(yīng)用的首選路徑，最理想的方法是流量從哪臺(tái)設(shè)備來(lái)加速處理后再回那臺(tái)設(shè)備，采用 PBR 策略路由無(wú)法實(shí)現(xiàn)此功能。? WCCPv2 模式考慮到不改變現(xiàn)在的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，實(shí)現(xiàn)簡(jiǎn)單、透明部署，最佳的選擇為 WCCP 方式，思科 3560 以上的三層交換機(jī)和路由器都支持 WCCP 協(xié)議，特別像 6500 交換機(jī)是硬件實(shí)現(xiàn) WCCP，打開(kāi)此功能對(duì)性能幾乎沒(méi)有影響。網(wǎng)絡(luò)加速設(shè)備通過(guò) WCCP 協(xié)議注冊(cè)到交換機(jī)上，網(wǎng)絡(luò)設(shè)備作為 WCCP server，加速設(shè)備作為WCCP 的 client，一臺(tái)網(wǎng)絡(luò)設(shè)備上可以注冊(cè)多臺(tái)加速設(shè)備，一臺(tái)加速設(shè)備也可以同時(shí)注冊(cè)到多臺(tái)網(wǎng)絡(luò)設(shè)備，Copyright 169。 2020 Cisco Systems, Inc. All rights reserved. Page 9加速設(shè)備和網(wǎng)絡(luò)設(shè)備之間保持 WCCP 的 TCP 長(zhǎng)連接，并隨時(shí)監(jiān)測(cè)對(duì)方的狀態(tài)，當(dāng)某臺(tái)加速設(shè)備故障，網(wǎng)絡(luò)設(shè)備上注冊(cè)的對(duì)應(yīng) WCCP peer 就會(huì)消失，網(wǎng)絡(luò)設(shè)備也就不再把應(yīng)用的流量送往此加速設(shè)備，可以非常迅速的實(shí)現(xiàn)網(wǎng)絡(luò)加速設(shè)備的自動(dòng)熱備份。此外，如果有多臺(tái)加速設(shè)備同時(shí)注冊(cè)在網(wǎng)絡(luò)設(shè)備上時(shí)，網(wǎng)絡(luò)設(shè)備可以在這些加速設(shè)備之間實(shí)現(xiàn)動(dòng)態(tài)的基于會(huì)話的負(fù)載均衡。不同重定向技術(shù)的比較 Number of TCP Connections (with WAE7326)Last resortVery large scale data center deploymentsOnly if WCCPv2 can not be used (SP managed or lowend router)Generally RemendedRemended UseUp to 1GbpsUp to 16Gbps (platform dependent)Up to 2Gbps (two inline pairs)Up to 32Gbps (platform dependent)Maximum Throughput8 (IOS dependent)16000(not practical but possible)2 (serial cluster, tested limit)32Maximum Number of WAEs116000(not practical but possible)2 (serial cluster, tested limit)32Number of Active WAEsPBR4層交換機(jī)InlineWCCPv2思科網(wǎng)絡(luò)加速器 WCCP 模式下流量到網(wǎng)絡(luò)設(shè)備的 Return 有兩種方式 (1)IP Forwading (2) Negotiated Return 第一種方式 WAE 返回路由器的 IP Forwading 只能讓 WAE 返回給設(shè)定的 defaultgateway。如果是一臺(tái) WAE 連接多個(gè)路由器，即使通過(guò) HSRP 的方式，所有流量只能送給主路由器，無(wú)法實(shí)現(xiàn)原有路由器的返回。Copyright 169。 2020 Cisco Systems, Inc. All rights reserved. Page 10 另外一種叫 Negotiated Return 也叫做 GRE Return 方式，在 egress method 選擇了 negotiatedreturn 時(shí)候才可以使用，需要配置WAE(config) egressmethod negotiatedreturn interceptmethod wccpGRE return 方式使用 GRE 封裝的 WCCP 重定向方式，路由器使用 Router ID ip address(最高loopback 地址或物理接口地址）作為包的源地址，也是 WAE 返回路由器的目的地址。WAE 上需要加靜態(tài)路由指向此 Router ID 地址，這樣 WAE 選擇返回路由器群組的多條路由策略就可以保證 inal router selection。WAE(config) ip route Router ID mask gateway’s ip采用 Negotiated Return 需要網(wǎng)絡(luò)加速設(shè)備和網(wǎng)絡(luò)設(shè)備之間同時(shí)支持才可以，這樣就能實(shí)現(xiàn)流量從哪里來(lái)就返回到哪里，不用擔(dān)心破壞浦發(fā)銀行目前的應(yīng)用線路選擇策略。Copyright 169。 2020 Cisco Systems, Inc. All rights reserved. Page 11推薦方案設(shè)計(jì)考慮到網(wǎng)絡(luò)加速設(shè)備的熱備以及不改變目前的浦發(fā)銀行網(wǎng)絡(luò)的結(jié)構(gòu)，最佳的部署模式為旁路 WCCP方式。思科 WAAS 通過(guò) DRE 和 LZ 技術(shù)，以及 TFO 技術(shù)和協(xié)議優(yōu)化技術(shù)，幫助浦發(fā)銀行削減廣域網(wǎng)高峰流量，而不會(huì)影響數(shù)據(jù)、信息或協(xié)議的完整性，使得廣域網(wǎng)鏈路能夠健康，平穩(wěn)，高效地運(yùn)作。通過(guò)WAAS 的透明傳輸技術(shù)，浦發(fā)銀行可以在不影響現(xiàn)有的部署，在現(xiàn)有的網(wǎng)絡(luò)上透明集成 WAAS 技術(shù)，同時(shí)不影響以后的網(wǎng)絡(luò)擴(kuò)展和新的應(yīng)用部署。兩臺(tái) WAE612 不僅可以提供冗余，還可以提供負(fù)載均衡，為浦發(fā)銀行網(wǎng)絡(luò)的擴(kuò)展性和穩(wěn)定性提供堅(jiān)實(shí)的基礎(chǔ)。由于數(shù)據(jù)中心流量較大，對(duì)擴(kuò)展性和可靠性的要求較高，一般建議采用硬件流量重定向的方案來(lái)對(duì)全網(wǎng)流量進(jìn)行優(yōu)化。由于浦發(fā)銀行已經(jīng)部署了具有硬件加速的 Sup720 引擎，所以建議在Catalyst6509 上通過(guò)硬件 WCCP 來(lái)執(zhí)行重定向工作，絲毫不會(huì)影響到現(xiàn)在的網(wǎng)絡(luò)性能。在總分行交換機(jī)上配置 WCCP redirection，將從局域網(wǎng)出去和廣域網(wǎng)進(jìn)來(lái)的流量都送到 WAE612進(jìn)行優(yōu)化和加速，如不希望影響其它應(yīng)用的流量，一種是在 WAE 上定義策略對(duì)其它類(lèi)型的流量不做處理，一種是在路由器上定義 WCCP redirection 的 ACL，只將需要優(yōu)化加速的流量才送到 WAE，其它流量不變，建議采用后一種模式。思科推薦方案的特點(diǎn)總結(jié)：Copyright 169。 2020 Cisco Systems, Inc. All rights reserved. Page 121） 在正常工作情況下，兩臺(tái)網(wǎng)絡(luò)加速設(shè)備動(dòng)態(tài)負(fù)載均衡，同時(shí)工作，支持 180M 的廣域流量，12020個(gè) TCP 會(huì)話，即使一臺(tái)故障，也支持 90M 的廣域流量，遠(yuǎn)遠(yuǎn)高于 30M 的帶寬要求。2） 現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)容錯(cuò)不作任何改變，部署網(wǎng)絡(luò)加速后不受任何影響。3） 非常成熟的透明加速技術(shù)，思科從此產(chǎn)品的設(shè)計(jì)起即采用的是透明方式，其它公司在透明模式的大勢(shì)所趨下不得已在最近半年才修改 tunnel 加速機(jī)制，支持透明加速，透明模式存在非常多的問(wèn)題，幾乎無(wú)任何用戶使用。4） 在浦發(fā)銀行的網(wǎng)絡(luò)環(huán)境下最佳的部署方