Home | 简体中文 | 繁体中文 | 杂文 | Github | 知乎专栏 | Facebook | Linkedin | Youtube | 打赏(Donations) | About
知乎专栏

6.3. 网线怎样连接才合理

一般小IDC,或者小客户,IDC只给一条共享或独享线路。单先连接非常简单,一条网线进入核心机柜,直接插到防火墙/路由器上即可。

由于我们是大客户对网络要求比较高,IDC给了我们两条线路,一条是Active,一条是Stand By。两条线路怎么连接防火墙呢?

6.3.1. 单个硬件防火墙方案

Firewall Cisco ASA 5550 + Switch 3Layer

		
=================================
Design by Neo chan
Homepage: http://netkiller.sf.net
=================================

Internet    ____________________________________________
  |  |     /                                            |
  v  v    v                                             |
+---------------------------------------------------+   |
|[1] [3] [5] [7] [] [] [] [] [] [] [] []     Switch |   |
|[2] [4] [6] [8] [] [] [] [] [] [] [] []  [SFP][SFP]|   |
+---------------------------------------------------+   |
  |         ____________________________________________/
  v        /
+---------------------------------------------------+
| [Wan]  [LAN]   [DMZ]                     Firewall |
|                                         [Console] |
+---------------------------------------------------+

Vlan 2
------------------
G0/0/1-4

Port
------------------
G0/0/1 		Internet Active Line
G0/0/3 		Internet Stand by Line
G0/0/4 		Debug, Mirror or Other

G0/0/2 		Firewal Outside
G0/0/5 		Firewal Inside

G0/0/6-24	Server
		
		

6.3.1.1. 防火墙

IDC 给你两条WLAN网线,一条是Active激活状态,如果这条网线出现中断,将自动切换到第二条网线上。

如果你直接将网线插到防火墙上,就意味着第二条备用线路你无法使用。我想出一个方案,如下图

防火墙Inside 口连接到交换机 5口

其他口连接服务器即可

6.3.1.2. 交换机

设置 G0/0/1 至 G0/0/4 为一个vlan,将两条WLAN网线分别插入1,3两个口

2口连接防火墙Outside口,

4口用于平时调试使用,可以直接插电脑等设备

6.3.2. 双防火墙方案

		
=================================
Design by Neo chan
Homepage: http://netkiller.sf.net
=================================

                Internet    
  _____________________________________
  ^                                    ^
  |                                    |   
  v                                    v   
+----------------------------+      +----------------------------+
| [Wan]  [LAN]    Firewall A |      | [Wan]  [LAN]    Firewall B |
|                            | <--> |                            |
+----------------------------+      +----------------------------+  
  +--------^                                  |
  |    _______________________________________/             
  v   /
+---------------------------------------------------+   
|[1] [3] [5] [7] [] [] [] [] [] [] [] []     Switch |   
|[2] [4] [6] [8] [] [] [] [] [] [] [] []  [SFP][SFP]|   
+---------------------------------------------------+  

		
		

两个防火墙分别插一条线,两个防火墙做HSRP心跳。

交换机可以是一台,也可以是两台,我当时使用 Cisco 4507 交换机,分别于 ASA 防火墙连接。

6.3.3. 网卡

6.3.3.1. 内外隔离

双网卡方案,一般服务器会提供至少2块网卡。 使用两个交换机,一个交换机连接接防火墙,另一个交换机独立不接入Internet

				
+------------+    +--------------+    /---> [eth0 Server A eth1] <---\    +--------------+    /---> [eth0 Server C]
| Firewall   |--->| Switch - WAN |---> ---> [eth0 Server B eth1] <--- <---| Switch - LAN |---> ---> [eth0 Server D]
+------------+    +--------------+    \---> [eth0 Server C eth1] <---/    +--------------+    \---> [eth0 Server E]
				
			

Internet 用户从防火墙进入,只能访问WAN交换机上的服务器,WAN上一般是WEB服务器,WEB服务器通过LAN交换机访问数据库,Memcache等服务器

这样既有效利用了网络IO,有能有效隔离不需要暴露在公网上的服务器还可以降低成本, WAN 可以使用 100M交换机,LAN 可以使用1G交换机,因为内部数据传输远远大于外部。

另外 WAN与LAN也可以使用VLAN实现

6.3.3.2. 负载均衡

eth0与eth1 做bonding, eth2与3做bonding, 然后内外隔离

				
+--------------+    /---> [eth0/1 Server A eth2/3] <---\    +--------------+
| Switch - WAN |---> ---> [eth0/1 Server B eth2/3] <--- <---| Switch - LAN |
+--------------+    \---> [eth0/1 Server C eth2/3] <---/    +--------------+
				
			

6.3.3.3. 交叉互联

在交换机端口有限的情况可以采用交叉互联。

交叉线连接与通过交换机连接二者差异:

A与B两个服务器举例:

  1. 交叉线连接A与B两个服务器,A发数据包,B接收数据包,如果接受方在接收包过程中出现异常(毫秒级),可能会堵塞,数据包会重新发包。交换机存储转发,仍然会接收数据放到背板缓存中,建立连接后交换机会处理一切。

  2. A 服务器出现故障宕机,A网卡灯不亮,那么B服务器的网卡将检测,认为没有插网线,B网卡灯也是不亮状态。而通过交换机B网卡仍然工作

6.3.3.4. 网络适配器

常见网络适配器品牌

Broadcom NetXtreme II Gigabit Ethernet Driver bnx2 v2.0.8-rh (Oct 11, 2010)

Emulex OneConnect 10Gbps NIC

Intel 10 Gigabit AT2 Server Adapter (E10G41AT2)

1G 千兆以太网产品

目前服务器1G网卡市场90%都被Broadcom NetXtreme占领,不仅仅限于服务器网卡,Cisco的设备中用的也是Broadcom NetXtreme芯片

10G 万兆以太网产品

万兆以太网标准很多,有10000BAST-T(使用双绞线连接),还有SFP+(850nm 光纤连接)

Dell 有通过6类线连接的万兆交换机8024,服务器端Dell给用户配的是Intel万兆网卡,使用方法与千兆一样。

笔者有两个刀笼(刀片服务器),刀笼配置万兆模块通过4条10G SFP+ 连接到8024,然后服务器使用6类双绞线,通过Intel网卡连接8024。

光纤万兆网卡与千兆网卡使用上并无不同。如果指示灯不亮,请调换RX/TX光纤跳线

			
# dmesg | grep Emulex
Copyright(c) 2004-2009 Emulex. All rights reserved.
be2net 0000:18:00.0: eth0 - Emulex OneConnect 10Gbps NIC
be2net 0000:18:00.1: eth1 - Emulex OneConnect 10Gbps NIC			
			
				

笔者使用过Emulex/Intel在Linux上无需驱动,光纤交换机Cisco 4507的万兆模块是Broadcom NetXtreme芯片的.

[提示]提示
无论是外形还是接口,万兆以太网与FC(Fibre Channel) HBA 卡很难区分,且卡上没有任何印刷文字提示,购买千万小心不要买错,最好与厂商反复确认。另外光纤交换机与FC交换机也容易混淆,我建议你网卡用Cisco交换机,存储用博科交换机