筆者單位網(wǎng)絡(luò)已經(jīng)正常運(yùn)行多年，并達(dá)到一定的規(guī)模。伴隨著辦公大樓上網(wǎng)人數(shù)的不斷增加，逐步發(fā)展到現(xiàn)在大約有上百個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)。每個(gè)樓層并沒(méi)有固定的樓層交換機(jī)，網(wǎng)絡(luò)基本由若干臺(tái)10/100M普通桌面型交換機(jī)級(jí)聯(lián)而成，零散地分布在天花板頂、辦公桌下等難以管理的地方。隨著公司網(wǎng)絡(luò)應(yīng)用的不斷增多，整個(gè)網(wǎng)絡(luò)的傳輸性能不斷下降，已無(wú)法滿足公司發(fā)展的需要。

對(duì)網(wǎng)絡(luò)進(jìn)行升級(jí)改造，還公司網(wǎng)絡(luò)一個(gè)高速、穩(wěn)定的傳輸性能，已經(jīng)迫在眉睫。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

主要問(wèn)題

網(wǎng)絡(luò)傳輸速度不快。目前，公司網(wǎng)絡(luò)的出口仍然是幾年前租用的本地電信10M光纖線路，在不開(kāi)展視頻、語(yǔ)音等網(wǎng)絡(luò)應(yīng)用的情況下，這樣的帶寬資源尚能應(yīng)付普通的網(wǎng)頁(yè)訪問(wèn)需求。但近年來(lái)，越來(lái)越多的多媒體業(yè)務(wù)，導(dǎo)致整個(gè)網(wǎng)絡(luò)傳輸速度不快，網(wǎng)絡(luò)傳輸性能已經(jīng)無(wú)法滿足公司網(wǎng)絡(luò)用戶的正常工作。

傳輸穩(wěn)定性比較差。整個(gè)公司網(wǎng)絡(luò)采用簡(jiǎn)單的二層星形網(wǎng)絡(luò)架構(gòu)（如圖1），網(wǎng)絡(luò)中的所有終端計(jì)算機(jī)都處于相同的一個(gè)網(wǎng)段中，IP地址資源比較緊缺，計(jì)算機(jī)之間相互搶用IP地址的現(xiàn)象頻繁發(fā)生，嚴(yán)重影響終端系統(tǒng)的上網(wǎng)穩(wěn)定性。在缺少安全驗(yàn)證機(jī)制的情況下，網(wǎng)絡(luò)病毒攻擊和廣播風(fēng)暴現(xiàn)象比較嚴(yán)重，加上網(wǎng)絡(luò)設(shè)備的抗病毒能力非常一般，同時(shí)智能化程度也比較低，這些因素也會(huì)影響整個(gè)公司網(wǎng)絡(luò)的傳輸穩(wěn)定性。另外，整個(gè)公司網(wǎng)絡(luò)通過(guò)代理網(wǎng)關(guān)的方式上網(wǎng)訪問(wèn)，代理網(wǎng)關(guān)設(shè)備相對(duì)于硬件路由器設(shè)備來(lái)說(shuō)，運(yùn)行性能是很不穩(wěn)定的，不適合7*24小時(shí)運(yùn)行。而且代理網(wǎng)關(guān)設(shè)備的自身穩(wěn)定性，也可能造成整個(gè)公司網(wǎng)絡(luò)隨時(shí)發(fā)生癱瘓。

網(wǎng)絡(luò)可管理性不高。舊的公司網(wǎng)絡(luò)基本由若干臺(tái)10/100M普通桌面型交換機(jī)級(jí)聯(lián)而成，它們零散地分布在天花板頂、辦公桌下等難以管理的地方，這些交換機(jī)不支持網(wǎng)絡(luò)管理功能，因此網(wǎng)絡(luò)一旦發(fā)生故障現(xiàn)象，管理人員很難快速定位和排查。網(wǎng)絡(luò)的可管理性不高，給技術(shù)人員的日常維護(hù)帶來(lái)了極大的麻煩，當(dāng)網(wǎng)絡(luò)發(fā)生問(wèn)題時(shí)，技術(shù)人員常常要來(lái)回走動(dòng)、手工定位，嚴(yán)重影響工作人員的管理效率。

無(wú)線信號(hào)分布不均。由于無(wú)線上網(wǎng)節(jié)點(diǎn)是后續(xù)部署的，這就導(dǎo)致已經(jīng)投入使用的無(wú)線AP設(shè)備，缺乏明顯的規(guī)劃與布局，很多無(wú)線設(shè)備直接就放置在員工的手邊腳旁，很容易因?yàn)橛脩粢馔獾挠|碰而造成無(wú)線網(wǎng)絡(luò)上網(wǎng)失敗。另外，由于沒(méi)有統(tǒng)一的管理，究竟哪些無(wú)線上網(wǎng)節(jié)點(diǎn)設(shè)備工作狀態(tài)正常，管理人員無(wú)法及時(shí)知道，這會(huì)造成辦公大樓內(nèi)的無(wú)線上網(wǎng)信號(hào)分布很不均勻，給對(duì)應(yīng)區(qū)域的用戶上網(wǎng)帶來(lái)了明顯的不便。

改造目標(biāo)

從公司網(wǎng)絡(luò)的運(yùn)行現(xiàn)狀來(lái)看，我們認(rèn)為要想避免上面存在的一些問(wèn)題，確保網(wǎng)絡(luò)可以始終高速、可靠、穩(wěn)定地運(yùn)行，必須進(jìn)行網(wǎng)絡(luò)升級(jí)改造。整個(gè)網(wǎng)絡(luò)的升級(jí)改造目標(biāo)是：建設(shè)以公司網(wǎng)絡(luò)中心計(jì)算機(jī)機(jī)房為核心主干，通過(guò)千兆結(jié)構(gòu)連接不同辦公大樓和各個(gè)樓層。利用公司網(wǎng)絡(luò)管理中心，構(gòu)建網(wǎng)絡(luò)管理平臺(tái)和安全平臺(tái)。改造升級(jí)后的公司網(wǎng)絡(luò)將是一個(gè)可靠、安全、穩(wěn)定、易管理、可擴(kuò)展的先進(jìn)網(wǎng)絡(luò)，不但能夠滿足目前各個(gè)樓層用戶的高速接入、VPN專網(wǎng)等多種業(yè)務(wù)的發(fā)展需要，而且能夠滿足公司用戶對(duì)大流量數(shù)據(jù)要求的業(yè)務(wù)需要。

改造方案

一.請(qǐng)當(dāng)?shù)赜袑?shí)力的網(wǎng)絡(luò)集成商重新規(guī)劃設(shè)計(jì)辦公大樓公司網(wǎng)絡(luò)結(jié)構(gòu)，將舊的網(wǎng)絡(luò)中零散布置的交換機(jī)和網(wǎng)絡(luò)線纜全部清除。新的網(wǎng)絡(luò)采用二層網(wǎng)絡(luò)結(jié)構(gòu)，即核心層和接入層。所有核心網(wǎng)絡(luò)設(shè)備全部放置在公司網(wǎng)絡(luò)中心機(jī)房。辦公大樓與辦公大樓之間使用光纖連接，同時(shí)在各個(gè)樓層依次部署接入交換機(jī)?？紤]到未來(lái)公司網(wǎng)絡(luò)內(nèi)業(yè)務(wù)流量和網(wǎng)絡(luò)的升級(jí)能力，網(wǎng)絡(luò)出口采用品牌公司的路由交換機(jī)產(chǎn)品作為上網(wǎng)網(wǎng)關(guān)，通過(guò)千兆光纖與各個(gè)樓層交換機(jī)連接，達(dá)到千兆到桌面、千兆互連的目的。

二.增大網(wǎng)絡(luò)出口帶寬。伴隨著網(wǎng)絡(luò)應(yīng)用的不斷深入，以及公司網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，公司網(wǎng)絡(luò)的出口帶寬資源也應(yīng)該及時(shí)擴(kuò)大，之前租用的10MB出口帶寬考慮改造為100MB。畢竟使用了100MB大小的出口帶寬后，公司網(wǎng)絡(luò)的上網(wǎng)訪問(wèn)速度會(huì)更快，公司用戶可以享受到更位快速、更高優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)，如此一來(lái)就可以有效提升公司用戶的工作效率，同時(shí)可以滿足用戶不斷增長(zhǎng)的快速訪問(wèn)要求。公司網(wǎng)絡(luò)內(nèi)部的Web服務(wù)器、電子郵件服務(wù)器以及文件服務(wù)器等也能對(duì)外提供更快的訪問(wèn)速度，有效改善公司用戶的服務(wù)滿意度。將出口帶寬資源增大到100MB級(jí)別后，相對(duì)于網(wǎng)絡(luò)設(shè)備的連接端口來(lái)說(shuō)，無(wú)形之中可以改善網(wǎng)絡(luò)端口的可靠性和穩(wěn)定性，確保網(wǎng)絡(luò)訪問(wèn)服務(wù)質(zhì)量得到明顯提升。此外，平時(shí)頻繁發(fā)生的一些異常流量故障，在出口帶寬大小大幅度提升后，或許會(huì)自然消失。當(dāng)然，時(shí)下十分流行的網(wǎng)絡(luò)應(yīng)用對(duì)上網(wǎng)帶寬的需求也是逐步提高，比方說(shuō)很受歡迎的視頻會(huì)議服務(wù)、語(yǔ)音教學(xué)業(yè)務(wù)以及在線流媒體的下載訪問(wèn)服務(wù)等，都需要大容量網(wǎng)絡(luò)帶寬資源的支持。

三.部署專業(yè)防火墻?？紤]到公司網(wǎng)絡(luò)需要連接到國(guó)際互聯(lián)網(wǎng)上，所以未來(lái)上線的各個(gè)業(yè)務(wù)系統(tǒng)，需要增加防火墻確保網(wǎng)絡(luò)訪問(wèn)的安全，避免公司網(wǎng)絡(luò)中的重要業(yè)務(wù)系統(tǒng)受到來(lái)自Internet網(wǎng)絡(luò)的病毒、木馬、黑客攻擊。選用的網(wǎng)絡(luò)防火墻一定要滿足下面幾個(gè)功能要求：首先要有較強(qiáng)的地址轉(zhuǎn)換能力，因?yàn)楣揪W(wǎng)絡(luò)用戶數(shù)量不斷增多，網(wǎng)絡(luò)傳輸流量會(huì)隨著時(shí)間推移不斷增大，選用的專業(yè)防火墻必須能提供很強(qiáng)大的地址轉(zhuǎn)換能力，并支持正向地址轉(zhuǎn)換、反向地址轉(zhuǎn)換，支持并發(fā)連接數(shù)量在10000以上。其次，能預(yù)防、抵制大多數(shù)常見(jiàn)的惡意攻擊，比方說(shuō)可以預(yù)防非法端口掃描、IP欺騙、不明協(xié)議攻擊、大包ICMP攻擊等多種攻擊。第三，要具有多安全區(qū)域保護(hù)功能，也就是說(shuō)選用的網(wǎng)絡(luò)防火墻產(chǎn)品，每個(gè)物理連接端口應(yīng)對(duì)應(yīng)一個(gè)安全保護(hù)區(qū)域，每個(gè)區(qū)域中定義的安全策略僅對(duì)本地區(qū)域有效，而不影響其他區(qū)域的安全性能。選好的網(wǎng)絡(luò)防火墻部署在核心路由交換機(jī)與公司網(wǎng)絡(luò)服務(wù)器群之間，配合入侵檢測(cè)手段，確保公司網(wǎng)絡(luò)中的數(shù)據(jù)安全可靠。部署好的安全防范措施，能實(shí)現(xiàn)對(duì)公司網(wǎng)絡(luò)整體運(yùn)行的實(shí)時(shí)監(jiān)視與控制，能實(shí)時(shí)監(jiān)視和控制接入公司網(wǎng)絡(luò)中的所有設(shè)備；在網(wǎng)絡(luò)發(fā)生異常、故障等情況下報(bào)警，以便及時(shí)有效地解決網(wǎng)絡(luò)故障；能防止惡意用戶對(duì)網(wǎng)絡(luò)的入侵，同時(shí)也起到安全監(jiān)控的作用：一旦有非法入侵，就可以在第一時(shí)間發(fā)現(xiàn)、記錄并進(jìn)行自動(dòng)報(bào)警。

四.部署雙線路互備。為了保證公司網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性、可靠性，放置出現(xiàn)單點(diǎn)故障，考慮使用雙交換機(jī)、雙線路互相備份的運(yùn)行機(jī)制。兩條網(wǎng)絡(luò)傳輸線路在正常狀態(tài)下，自動(dòng)分擔(dān)公司網(wǎng)絡(luò)的數(shù)據(jù)傳輸流量，一旦發(fā)生某臺(tái)核心路由交換機(jī)故障或單條線路失效時(shí)，數(shù)據(jù)傳輸流量可以自動(dòng)切換到正常狀態(tài)的線路，確保公司網(wǎng)絡(luò)訪問(wèn)不掉線。

五.部署無(wú)線上網(wǎng)節(jié)點(diǎn)。梳理好上網(wǎng)節(jié)點(diǎn)與樓層交換機(jī)的對(duì)應(yīng)關(guān)系，根據(jù)樓層的不同，將上網(wǎng)用戶劃分到不同工作網(wǎng)段，減少?gòu)V播風(fēng)暴和網(wǎng)絡(luò)病毒攻擊現(xiàn)象的出現(xiàn)。在這些基礎(chǔ)之上，合理規(guī)劃與布局無(wú)線上網(wǎng)節(jié)點(diǎn)，保證大樓各個(gè)區(qū)域的無(wú)線上網(wǎng)信號(hào)分布均勻，讓大樓用戶在任何位置都能自由接入無(wú)線網(wǎng)絡(luò)。

改造過(guò)程

由于公司網(wǎng)絡(luò)改造工程工作量大，影響范圍廣，為了達(dá)到更平穩(wěn)的改造效果，我們決定采用分布實(shí)施的方式，將改造過(guò)程分為幾個(gè)階段進(jìn)行：首先對(duì)核心層網(wǎng)絡(luò)進(jìn)行改造。依照上網(wǎng)節(jié)點(diǎn)分布情況和具體數(shù)量，考慮到核心層網(wǎng)絡(luò)設(shè)備需要為公司網(wǎng)絡(luò)的各項(xiàng)業(yè)務(wù)應(yīng)用提供一個(gè)優(yōu)質(zhì)、高效的數(shù)據(jù)傳輸平臺(tái)，考慮到公司網(wǎng)絡(luò)日后的平滑升級(jí)需要，特別選用了兩臺(tái)配置高、性能好的品牌核心路由交換機(jī)，來(lái)作為公司網(wǎng)絡(luò)的雙核心節(jié)點(diǎn)。每臺(tái)核心設(shè)備都配置多口千兆光纖模塊接口，全線速的二層1000M級(jí)別數(shù)據(jù)交換能力，確保數(shù)據(jù)報(bào)文在各個(gè)交換端口都能進(jìn)行無(wú)阻塞轉(zhuǎn)發(fā)，讓核心設(shè)備的高交換能力得到充分發(fā)揮。為了讓不同辦公樓的用戶都能通過(guò)公司網(wǎng)絡(luò)中心的出口上網(wǎng)，在其他辦公樓放置匯聚交換機(jī)，通過(guò)千兆光纖收發(fā)器將它們連接到網(wǎng)絡(luò)中心的核心設(shè)備上，并借助該設(shè)備的大容量背板交換帶寬，實(shí)現(xiàn)高效、穩(wěn)定的三層路由交換目的。各個(gè)樓層放置接入層交換機(jī)，以千兆速率連接到網(wǎng)絡(luò)中心的核心設(shè)備?？紤]安全因素、虛擬局域網(wǎng)功能以及網(wǎng)絡(luò)流量管控等需要，部分辦公樓采用路由交換能力強(qiáng)的三層交換機(jī)或路由器實(shí)現(xiàn)網(wǎng)絡(luò)接入。

接著，對(duì)大樓內(nèi)部網(wǎng)絡(luò)優(yōu)化調(diào)整。清除所有舊的網(wǎng)線，重新進(jìn)行結(jié)構(gòu)化綜合步線?？紤]到大樓以前沒(méi)有預(yù)先置留弱電井，所以沿樓梯在不同樓層板間鉆孔，各個(gè)樓層的所有上網(wǎng)節(jié)點(diǎn)沿圓孔水平布線到主機(jī)房，其他辦公樓到公司網(wǎng)絡(luò)中心之間使用光纖敷設(shè)。工作區(qū)的布線由跳線和信息插座組成，跳線使用六類非屏蔽線，信息插座采用某品牌的單孔或雙孔平面型插座，表面貼有明顯的標(biāo)識(shí)，來(lái)識(shí)別對(duì)應(yīng)插座的位置，插座接口帶有滑門(mén)，可以避免灰塵進(jìn)入。信息插座安裝在離地面50厘米的墻壁上，插座卡線方式統(tǒng)一采用標(biāo)準(zhǔn)的TIA568B方式。從樓層交換機(jī)到用戶工作區(qū)采用六類非屏蔽雙絞線，線纜兩端都貼上標(biāo)簽，以記錄線纜的目的地和起源地。合理進(jìn)行地址規(guī)劃。為了避免地址沖突和廣播風(fēng)暴現(xiàn)象發(fā)生，將公司網(wǎng)絡(luò)根據(jù)辦公用戶部門(mén)的不同，劃分不同工作網(wǎng)段，并為它們指定不同的地址范圍。利用核心路由交換機(jī)中的DHCP技術(shù)，為不同網(wǎng)段分配不同的IP地址，對(duì)所有上網(wǎng)設(shè)備事先在DHCP中登記物理地址，對(duì)它們進(jìn)行地址綁定操作，對(duì)重要設(shè)備如打印機(jī)、服務(wù)器、防火墻等，全部使用固定的IP地址，同時(shí)將各種服務(wù)器全部置于防火墻保護(hù)之下。此外，根據(jù)上網(wǎng)節(jié)點(diǎn)的分布情況，按需部署了無(wú)線上網(wǎng)節(jié)點(diǎn)，確保無(wú)線上網(wǎng)信號(hào)均勻覆蓋，無(wú)線設(shè)備得到有效監(jiān)管。

改造效果

這次網(wǎng)絡(luò)改造最明顯之處，就是對(duì)公司網(wǎng)絡(luò)的上網(wǎng)帶寬進(jìn)行了提升，改善了公司網(wǎng)絡(luò)用戶的上網(wǎng)訪問(wèn)速度和使用效果。另外，部署了雙核心上網(wǎng)節(jié)點(diǎn)，實(shí)現(xiàn)了數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備冗余，改善了公司網(wǎng)絡(luò)的運(yùn)行安全性和穩(wěn)定性。經(jīng)過(guò)一段時(shí)間的運(yùn)行實(shí)踐，公司網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性、安全性都得到了有效提升。