| 知乎專欄 | 多維度架構 | 微信號 netkiller-ebook | QQ群:128659835 請註明“讀者” |
一般小IDC,或者小客戶,IDC只給一條共享或獨享線路。單先連接非常簡單,一條網綫進入核心機櫃,直接插到防火牆/路由器上即可。
由於我們是大客戶對網絡要求比較高,IDC給了我們兩條線路,一條是Active,一條是Stand By。兩條線路怎麼連接防火牆呢?
Firewall Cisco ASA 5550 + Switch 3Layer
================================= Design by Neo chan Homepage: http://netkiller.sf.net ================================= Internet ____________________________________________ | | / | v v v | +---------------------------------------------------+ | |[1] [3] [5] [7] [] [] [] [] [] [] [] [] Switch | | |[2] [4] [6] [8] [] [] [] [] [] [] [] [] [SFP][SFP]| | +---------------------------------------------------+ | | ____________________________________________/ v / +---------------------------------------------------+ | [Wan] [LAN] [DMZ] Firewall | | [Console] | +---------------------------------------------------+ Vlan 2 ------------------ G0/0/1-4 Port ------------------ G0/0/1 Internet Active Line G0/0/3 Internet Stand by Line G0/0/4 Debug, Mirror or Other G0/0/2 Firewal Outside G0/0/5 Firewal Inside G0/0/6-24 Server
IDC 給你兩條WLAN網綫,一條是Active激活狀態,如果這條網綫出現中斷,將自動切換到第二條網線上。
如果你直接將網綫插到防火牆上,就意味着第二條備用線路你無法使用。我想出一個方案,如下圖
防火牆Inside 口連接到交換機 5口
其他口連接伺服器即可
=================================
Design by Neo chan
Homepage: http://netkiller.sf.net
=================================
Internet
_____________________________________
^ ^
| |
v v
+----------------------------+ +----------------------------+
| [Wan] [LAN] Firewall A | | [Wan] [LAN] Firewall B |
| | <--> | |
+----------------------------+ +----------------------------+
+--------^ |
| _______________________________________/
v /
+---------------------------------------------------+
|[1] [3] [5] [7] [] [] [] [] [] [] [] [] Switch |
|[2] [4] [6] [8] [] [] [] [] [] [] [] [] [SFP][SFP]|
+---------------------------------------------------+
兩個防火牆分別插一條綫,兩個防火牆做HSRP心跳。
交換機可以是一台,也可以是兩台,我當時使用 Cisco 4507 交換機,分別于 ASA 防火牆連接。
雙網卡方案,一般伺服器會提供至少2塊網卡。 使用兩個交換機,一個交換機連接接防火牆,另一個交換機獨立不接入Internet
+------------+ +--------------+ /---> [eth0 Server A eth1] <---\ +--------------+ /---> [eth0 Server C] | Firewall |--->| Switch - WAN |---> ---> [eth0 Server B eth1] <--- <---| Switch - LAN |---> ---> [eth0 Server D] +------------+ +--------------+ \---> [eth0 Server C eth1] <---/ +--------------+ \---> [eth0 Server E]
Internet 用戶從防火牆進入,只能訪問WAN交換機上的伺服器,WAN上一般是WEB伺服器,WEB伺服器通過LAN交換機訪問資料庫,Memcache等伺服器
這樣既有效利用了網絡IO,有能有效隔離不需要暴露在公網上的伺服器還可以降低成本, WAN 可以使用 100M交換機,LAN 可以使用1G交換機,因為內部數據傳輸遠遠大於外部。
另外 WAN與LAN也可以使用VLAN實現
eth0與eth1 做bonding, eth2與3做bonding, 然後內外隔離
+--------------+ /---> [eth0/1 Server A eth2/3] <---\ +--------------+ | Switch - WAN |---> ---> [eth0/1 Server B eth2/3] <--- <---| Switch - LAN | +--------------+ \---> [eth0/1 Server C eth2/3] <---/ +--------------+
在交換機連接埠有限的情況可以採用交叉互聯。
交叉綫連接與通過交換機連接二者差異:
A與B兩個伺服器舉例:
交叉綫連接A與B兩個伺服器,A發數據包,B接收數據包,如果接受方在接收包過程中出現異常(毫秒級),可能會堵塞,數據包會重新發包。交換機存儲轉發,仍然會接收數據放到背板緩存中,建立連接後交換機會處理一切。
A 伺服器出現故障宕機,A網卡燈不亮,那麼B伺服器的網卡將檢測,認為沒有插網綫,B網卡燈也是不亮狀態。而通過交換機B網卡仍然工作
Broadcom NetXtreme II Gigabit Ethernet Driver bnx2 v2.0.8-rh (Oct 11, 2010)
Emulex OneConnect 10Gbps NIC
Intel 10 Gigabit AT2 Server Adapter (E10G41AT2)
目前伺服器1G網卡市場90%都被Broadcom NetXtreme佔領,不僅僅限于伺服器網卡,Cisco的設備中用的也是Broadcom NetXtreme晶片
萬兆乙太網標準很多,有10000BAST-T(使用雙絞綫連接),還有SFP+(850nm 光纖連接)
Dell 有通過6類綫連接的萬兆交換機8024,伺服器端Dell給用戶配的是Intel萬兆網卡,使用方法與千兆一樣。
筆者有兩個刀籠(刀片伺服器),刀籠配置萬兆模組通過4條10G SFP+ 連接到8024,然後伺服器使用6類雙絞綫,通過Intel網卡連接8024。
光纖萬兆網卡與千兆網卡使用上並無不同。如果指示燈不亮,請調換RX/TX光纖跳綫
# dmesg | grep Emulex Copyright(c) 2004-2009 Emulex. All rights reserved. be2net 0000:18:00.0: eth0 - Emulex OneConnect 10Gbps NIC be2net 0000:18:00.1: eth1 - Emulex OneConnect 10Gbps NIC
筆者使用過Emulex/Intel在Linux上無需驅動,光纖交換機Cisco 4507的萬兆模組是Broadcom NetXtreme晶片的.
![[提示]](/graphics/tip.png) | 提示 |
|---|---|
| 無論是外形還是介面,萬兆乙太網與FC(Fibre Channel) HBA 卡很難區分,且卡上沒有任何印刷文字提示,購買千萬小心不要買錯,最好與廠商反覆確認。另外光纖交換機與FC交換機也容易混淆,我建議你網卡用Cisco交換機,存儲用博科交換機 |