網(wǎng)絡(luò)改造拓展網(wǎng)絡(luò)應(yīng)用

單位局域網(wǎng)絡(luò)很早建成，由于受技術(shù)發(fā)展的限制，當(dāng)時(shí)建設(shè)的網(wǎng)絡(luò)已經(jīng)不能適應(yīng)現(xiàn)在的應(yīng)用需求，網(wǎng)速慢、設(shè)備老化、轉(zhuǎn)發(fā)性能低是制約網(wǎng)絡(luò)應(yīng)用的瓶頸。隨著近幾年信息化建設(shè)的快速推進(jìn)，網(wǎng)上應(yīng)用不斷增加和拓展，這一矛盾愈加突出，對(duì)網(wǎng)絡(luò)進(jìn)行全面升級(jí)改造已經(jīng)迫在眉睫。

網(wǎng)絡(luò)現(xiàn)狀

我單位2001年建成了局域網(wǎng)，采用核心設(shè)備到接入設(shè)備連接終端的星形拓?fù)浣Y(jié)構(gòu)方式，接入設(shè)備分布在各個(gè)樓層弱電井中，辦公大樓建設(shè)有網(wǎng)絡(luò)中心機(jī)房，從網(wǎng)絡(luò)中心機(jī)房到各弱電井采用室內(nèi)多模光纖敷設(shè)，核心設(shè)備和接入設(shè)備均配置千兆多模光模塊，實(shí)現(xiàn)核心交換機(jī)到樓層設(shè)備的縱向主干千兆連接。樓層交換機(jī)到各辦公室采用超五類線纜水平布線，配線間跳線和用戶終端線均采用5類線纜，接入交換機(jī)接口均為100Mbps，保證了百兆交換到桌面，拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 原有局域網(wǎng)絡(luò)拓?fù)鋱D

在過去很長一段時(shí)間里，因?yàn)檐浖?yīng)用不是很多，對(duì)網(wǎng)絡(luò)帶寬要求不高，所以基本能夠滿足辦公業(yè)務(wù)的要求。

存在的問題

最近幾年，我單位的網(wǎng)絡(luò)應(yīng)用有了突飛猛進(jìn)的發(fā)展，除傳統(tǒng)的辦公業(yè)務(wù)外，還有大量業(yè)務(wù)如：視頻直播和點(diǎn)播、門禁及樓宇音視頻監(jiān)控、語音識(shí)別、視頻會(huì)議、在線網(wǎng)絡(luò)培訓(xùn)等應(yīng)用，原有的網(wǎng)絡(luò)承載能力有限，導(dǎo)致網(wǎng)絡(luò)有時(shí)出現(xiàn)延時(shí)和卡頓現(xiàn)象，用戶體驗(yàn)不是很好。以上應(yīng)用的開展對(duì)網(wǎng)絡(luò)性能和網(wǎng)絡(luò)帶寬提出了更高的要求。

原有網(wǎng)絡(luò)中核心交換機(jī)到樓層接入交換機(jī)，只有一條上聯(lián)光纖線路，一旦線路或設(shè)備出現(xiàn)故障，容易造成整個(gè)樓層的終端無法上網(wǎng)，可靠性較低。而且核心設(shè)備采用冷備份，一旦生產(chǎn)的核心設(shè)備出現(xiàn)故障，只有將冷備機(jī)替換掉故障生產(chǎn)機(jī)，待故障機(jī)修好后，再替換下冷備機(jī)上線運(yùn)行，故障機(jī)修復(fù)后替換冷備機(jī)可以選擇業(yè)務(wù)不多的下班或晚上時(shí)間，但是生產(chǎn)機(jī)故障必須及時(shí)更換，造成一定時(shí)間的網(wǎng)絡(luò)中斷，使MTBF,即平均故障間隔時(shí)間縮短，降低用戶使用體驗(yàn)。

一個(gè)樓層的接入交換機(jī)的端口通常配置處于同一個(gè)網(wǎng)段，上聯(lián)端口也是一樣，靈活性較差，如果同一部門跨樓層，還要在別的樓層另外配一臺(tái)同一網(wǎng)段的小交換機(jī)，同時(shí)要拉一根網(wǎng)線，網(wǎng)絡(luò)變得復(fù)雜，給維護(hù)帶來不便。

服務(wù)器和終端在一個(gè)網(wǎng)段上，一來不便于服務(wù)器管理，二來服務(wù)器容易受到廣播風(fēng)暴的影響，不能及時(shí)響應(yīng)用戶訪問需求。

網(wǎng)絡(luò)可管理性較差，部分樓層采用光纖收發(fā)器接24-48口的桌面型交換機(jī)，如果終端全部斷網(wǎng)或出現(xiàn)同樣的問題，可以通過排查線路或更換交換機(jī)的方法解決，否則遇到一部分終端網(wǎng)絡(luò)正常，另一部分有故障，無法登錄到交換機(jī)上查看信息，因此很難進(jìn)行故障定位和排查，只有逐臺(tái)機(jī)器檢查，既費(fèi)時(shí)費(fèi)力，又效率低下。

局域網(wǎng)中對(duì)視頻流量沒有有效管理，主要表現(xiàn)在：1.沒有采用先進(jìn)的視頻流格式，采用低壓縮率，高帶寬的視頻壓縮格式，占用了過多的網(wǎng)絡(luò)帶寬資源。2.采用單播方式，沒有采用組播方式傳輸視頻流，使網(wǎng)絡(luò)中存在過多的流量，耗盡寶貴的帶寬資源。3.沒有進(jìn)行服務(wù)質(zhì)量（QOS）管理，造成視頻會(huì)議時(shí)經(jīng)常出現(xiàn)卡頓現(xiàn)象。

部分樓層采用收發(fā)器實(shí)現(xiàn)光信號(hào)轉(zhuǎn)換成電信號(hào)，增加了故障點(diǎn)。在實(shí)際生產(chǎn)環(huán)境中，光纖收發(fā)器較交換機(jī)光模塊相比有比較大的故障發(fā)生率，有時(shí)因?yàn)樵O(shè)備老化的問題，出現(xiàn)一些怪異的故障，增加了故障排查的難度。

辦公室內(nèi)存在多個(gè)終端用一個(gè)小交換機(jī)共用一個(gè)墻面信息點(diǎn)的情況，如果小交換機(jī)出現(xiàn)故障，會(huì)造成一個(gè)辦公室所有終端無法上網(wǎng)的情況。另外，如果出現(xiàn)跨辦公室人員調(diào)整，網(wǎng)線空置，使用人員容易將空置的網(wǎng)線插入到墻上信息口或本小交換機(jī)端口上，造成短路現(xiàn)象，影響網(wǎng)絡(luò)正常通信。

改造方案

基于單位以上的網(wǎng)絡(luò)現(xiàn)狀，為了使單位網(wǎng)絡(luò)能夠安全、穩(wěn)定、可靠地運(yùn)行，獲得更好的用戶體驗(yàn)，使用戶更加專注于網(wǎng)絡(luò)所承載的各項(xiàng)業(yè)務(wù)應(yīng)用。就必須對(duì)網(wǎng)絡(luò)進(jìn)行升級(jí)改造，改造的中心任務(wù)就是網(wǎng)絡(luò)提速，具體采取以下措施。

1.合理規(guī)劃辦公區(qū)網(wǎng)絡(luò)。單位辦公大樓呈“山”字形布局，橫向跨度就有108米，縱向深度最大84米，考慮到6類非屏蔽雙絞線的最大傳輸距離不超過100米，因此，將整個(gè)辦公大樓平均分成4個(gè)辦公區(qū)，各辦公區(qū)的樓層配置弱電機(jī)柜，放置接入交換機(jī)。

2.建設(shè)網(wǎng)絡(luò)中心機(jī)房，并以此為中心，網(wǎng)絡(luò)中心機(jī)房到各接入交換機(jī)的主干采用兩條萬兆光纖線路，與核心交換機(jī)采用跨機(jī)框連接，采用以太網(wǎng)通道技術(shù)進(jìn)行捆綁，這樣既可實(shí)現(xiàn)鏈路互為備份，避免其中一條鏈路故障導(dǎo)致網(wǎng)絡(luò)中斷；又可實(shí)現(xiàn)流量的負(fù)載均衡。核心交換機(jī)采用雙機(jī)冗余技術(shù)，防止一臺(tái)核心設(shè)備故障造成網(wǎng)絡(luò)不可訪問的現(xiàn)象，提高網(wǎng)絡(luò)的穩(wěn)定性與可靠性，保證網(wǎng)絡(luò)訪問不中斷。

3.全面提升交換機(jī)性能。原有接入交換機(jī)背板帶寬為88Gbps,包轉(zhuǎn)發(fā)率為77.4Mpps，MAC地址表為8K。改造后，原有交換機(jī)將全部被替換，采用新型國產(chǎn)交換機(jī)，其背板帶寬為260Gbps，包轉(zhuǎn)發(fā)率為190Mpps,MAC地址表為30K，實(shí)現(xiàn)高密度、全線速、千兆接口、高可靠性的快速轉(zhuǎn)發(fā)，原有的核心交換機(jī)背板帶寬為480Gbps，包轉(zhuǎn)發(fā)率為243Mpps，MAC地址表為64K。改造后，原有的核心交換機(jī)也將被替換，采用新型國產(chǎn)交換機(jī)，其背板帶寬為120Tbps，包轉(zhuǎn)發(fā)率為50000Mpps，MAC地址表為512K，管理引擎實(shí)現(xiàn)1+1冗余，在數(shù)據(jù)交換能力得到2-3倍提高的同時(shí)，網(wǎng)絡(luò)的安全性、穩(wěn)定性、可靠性、可用性及擴(kuò)展性也得到加強(qiáng)。

4.建設(shè)高可靠性和高穩(wěn)定性的核心交換網(wǎng)絡(luò)。核心交換機(jī)采用雙機(jī)工作模式，將兩臺(tái)高性能、高可靠、高穩(wěn)定性的同品牌、相同配置的國產(chǎn)交換機(jī)利用虛擬交換技術(shù)VST（Virtual Switching Technologies）組成虛擬交換系統(tǒng)，兩臺(tái)設(shè)備之間用虛擬交換鏈路VSL（Virtual Switching Link）連接，采用這種技術(shù)可以使兩臺(tái)交換機(jī)在控制層面上有主從之分，而在數(shù)據(jù)轉(zhuǎn)發(fā)層面上是雙活的，即兩臺(tái)交換機(jī)都參與數(shù)據(jù)轉(zhuǎn)發(fā)，提高了設(shè)備利用率。

在傳統(tǒng)的組網(wǎng)方案中，為確保可靠性，通常采用雙鏈路冗余和雙核心熱備，采用VRRP技術(shù)組網(wǎng)，同HSRP熱備技術(shù)一樣，VRRP有主設(shè)備和從設(shè)備之分，同一時(shí)間，只有主設(shè)備在數(shù)據(jù)包的轉(zhuǎn)發(fā)工作，從設(shè)備不轉(zhuǎn)發(fā)數(shù)據(jù)包，并偵聽主設(shè)備工作狀態(tài)，一旦偵聽到主設(shè)備故障，從設(shè)備將升為主設(shè)備進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)。由此可見，這種方式在增強(qiáng)網(wǎng)絡(luò)可靠性的同時(shí)不能提高設(shè)備的利用率。當(dāng)然，VRRP也可以實(shí)現(xiàn)負(fù)載均衡，比如，網(wǎng)絡(luò)中有VLAN10和VLAN20兩個(gè)網(wǎng)段，要使兩個(gè)子網(wǎng)的流量分別經(jīng)過不同的鏈路和設(shè)備轉(zhuǎn)發(fā)，就要配置兩個(gè)VRRP組。為了避免產(chǎn)生生成樹環(huán)路，一個(gè)解決方案就是用MSTP生成樹協(xié)議和VRRP聯(lián)動(dòng)，而這樣組網(wǎng)帶來的問題是網(wǎng)絡(luò)中使用的協(xié)議多而且復(fù)雜，網(wǎng)絡(luò)收斂時(shí)間長。

采用虛擬交換技術(shù)，從物理拓?fù)鋪砜矗W(wǎng)絡(luò)環(huán)境和普通網(wǎng)絡(luò)環(huán)境搭建沒有區(qū)別，但是實(shí)際上從邏輯面上看，兩臺(tái)物理設(shè)備已經(jīng)虛擬成一臺(tái)設(shè)備，對(duì)接入層設(shè)備而言兩個(gè)核心設(shè)備實(shí)際就是一臺(tái)設(shè)備。這樣，VSS就可以使上聯(lián)鏈路帶寬增加，又可以不使用MSTP+VRRP方案，簡(jiǎn)化管理減少網(wǎng)絡(luò)協(xié)議的同時(shí)又可以加快收斂性能，如圖2所示。

5.原有的核心交換機(jī)退出充當(dāng)數(shù)據(jù)中心交換機(jī)，原有交換機(jī)由于交換性能指標(biāo)有限，背板帶寬、包轉(zhuǎn)發(fā)率以及MAC地址容量都較小，原來配置的光模塊速率最高都只能到千兆,且板卡上的光口密度不夠，配置的RJ45接口卡速率也是千兆，雖然可以將光模塊升級(jí)為10G光模塊，但一是進(jìn)口設(shè)備的光模塊價(jià)格較為昂貴。二是接入設(shè)備和核心設(shè)備上的光模塊要成對(duì)更換。三是既使在老舊設(shè)備上更換了10G光模塊，由于原有設(shè)備的轉(zhuǎn)發(fā)能力有限，更換后不一定使整體性能提升。再有就是會(huì)使老設(shè)備負(fù)荷增加，容易引起設(shè)備故障，再者接入到核心依然是單鏈路單設(shè)備，仍然有故障隱患。因此，采用將老舊設(shè)備元器件升級(jí)的辦法依然達(dá)不到組建大型辦公局域網(wǎng)的要求，但是直接報(bào)廢又非?？上А楸Ｗo(hù)設(shè)備投資，決定將這兩臺(tái)原來的核心交換機(jī)組成一個(gè)虛擬交換系統(tǒng)，作為數(shù)據(jù)中心交換機(jī)，滿足網(wǎng)絡(luò)中心機(jī)房內(nèi)服務(wù)器間的數(shù)據(jù)交換。

圖2 虛擬交換系統(tǒng)示意圖

6.在采用硬件設(shè)備冗余和鏈路冗余的同時(shí)，為保證網(wǎng)絡(luò)的穩(wěn)定性和可靠性，設(shè)備內(nèi)部包括交換引擎、電源模塊和板卡等元器件采用全對(duì)稱硬件體系結(jié)構(gòu)，能夠做到任意一個(gè)處理器和網(wǎng)絡(luò)接口模塊出現(xiàn)故障都不會(huì)影響其他模塊，這種設(shè)計(jì)極大地降低了掉線率，增強(qiáng)了設(shè)備的可靠性，提高了設(shè)備可用時(shí)間，具有較高的MTBF（平均無故障時(shí)間Mean Time Between Failures）值，板卡和模塊都支持熱插拔，當(dāng)機(jī)箱內(nèi)的一個(gè)板卡出現(xiàn)故障時(shí)，可以不用整個(gè)機(jī)器斷電就能進(jìn)行故障板卡的更換，從而不影響其他板卡上的正常數(shù)據(jù)交換。

7.大大提高了網(wǎng)絡(luò)的可管理性。新購買的交換機(jī)將全部采用可編程交換機(jī)，支持多種管理方式，如：Telnet、Console、SSH、Web、Snmp（V1/V2/V3）、RMON 和第三方網(wǎng)絡(luò)管理軟件等多種管理方式，極大地方便了管理員從設(shè)備中獲取數(shù)據(jù)交換信息，為網(wǎng)管員進(jìn)一步監(jiān)控網(wǎng)絡(luò)流量，進(jìn)行故障分析和定位，排查網(wǎng)絡(luò)故障提供了強(qiáng)有力的硬件支持。同時(shí)，單位購買了一套第三方的網(wǎng)管軟件，能夠?qū)崟r(shí)地將數(shù)據(jù)包交換、源地址、目的地址、協(xié)議和端口使用、組播和廣播、網(wǎng)絡(luò)帶寬占用情況、設(shè)備利用率、數(shù)據(jù)交換錯(cuò)誤的原因等信息，通過曲線圖、直方圖、餅圖、儀表盤等方式直觀地展示出來，方便管理員及時(shí)了解網(wǎng)絡(luò)運(yùn)行情況，跟蹤監(jiān)視大數(shù)據(jù)流量，根據(jù)系統(tǒng)報(bào)錯(cuò)和告警信息，能夠追根溯源，精準(zhǔn)定位，查找到產(chǎn)生故障的計(jì)算機(jī)，為下一步的排障工作提供技術(shù)支持。

8.在以往帶寬不夠的情況下，必須通過合理規(guī)劃和配置，確保關(guān)鍵應(yīng)用不受影響。在劃分各類流量的優(yōu)先級(jí)后，讓優(yōu)先級(jí)高的流量先通過，而像FTP等對(duì)延遲不敏感的流量延緩?fù)ㄟ^，這就是保證服務(wù)質(zhì)量（QOS），而現(xiàn)在網(wǎng)絡(luò)已提速，帶寬較以前有較大的提高，再加上負(fù)載均衡技術(shù)的應(yīng)用，以往高帶寬的突發(fā)流量現(xiàn)在對(duì)網(wǎng)絡(luò)造成的影響也不是那么顯著了，客戶也不會(huì)經(jīng)常抱怨網(wǎng)速太慢了，無形中減輕了運(yùn)維人員的壓力。客戶在享受較高滿意度的應(yīng)用體驗(yàn)的同時(shí)，可以大幅度拓展音頻和視頻等網(wǎng)絡(luò)應(yīng)用，使客戶能上網(wǎng)、愛上網(wǎng)、離不開網(wǎng)絡(luò)，提升客戶滿意度，滿足客戶不斷增長的帶寬需求。

9.對(duì)現(xiàn)有局域網(wǎng)的子網(wǎng)重新規(guī)劃和設(shè)計(jì)。刪除沒有用的子網(wǎng)，劃分服務(wù)器網(wǎng)段，并與終端的子網(wǎng)區(qū)分開來，避免終端子網(wǎng)的廣播風(fēng)暴對(duì)服務(wù)器造成影響。所有網(wǎng)段之間的數(shù)據(jù)交換通過三層核心交換機(jī)實(shí)現(xiàn)。

10.采用六類非屏蔽雙絞線水平布線，替換原有的超五類線。六類非屏蔽8芯銅纜PC101004，優(yōu)于原有的TIA/EIA-568超五類傳輸標(biāo)準(zhǔn)，可用于語音、綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)（ISDN）、ATM155Mbps和622Mbps，快速以太網(wǎng)和千兆以太網(wǎng)；比五類和超五類線纜具有傳輸距離長，傳輸損耗小，耐磨、抗壓強(qiáng)等特性?？梢灾С智д滓蕴W(wǎng)并實(shí)現(xiàn)100米的傳輸，能抵御一部分的外界電磁波干擾，并不會(huì)降低傳輸效率。

經(jīng)驗(yàn)總結(jié)

網(wǎng)絡(luò)改造是個(gè)系統(tǒng)工程，不能在原有網(wǎng)絡(luò)基礎(chǔ)上搞修修補(bǔ)補(bǔ)，這種打補(bǔ)丁的方式不但體現(xiàn)不了整體效果的提升，而且會(huì)產(chǎn)生這樣那樣的問題，因此，我單位對(duì)此次改造進(jìn)行重新規(guī)劃設(shè)計(jì)，清除原有的設(shè)備，重新進(jìn)行水平和垂直布線，更換核心交換機(jī)，提升數(shù)據(jù)交換能力。

網(wǎng)絡(luò)的健壯性和可用性也是衡量網(wǎng)絡(luò)好壞的一項(xiàng)重要指標(biāo)，為確保網(wǎng)絡(luò)穩(wěn)定可靠，采用了鏈路冗余、設(shè)備冗余、板卡冗余的設(shè)計(jì)，將設(shè)備故障和斷網(wǎng)的影響降低到最小，提高網(wǎng)絡(luò)運(yùn)行時(shí)間，提升客戶上網(wǎng)體驗(yàn)。

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)也日趨復(fù)雜，而維護(hù)人員并沒有增加，就要求提高運(yùn)維人員的維修效率，而提高網(wǎng)絡(luò)的可管理性則是實(shí)現(xiàn)效率提升的有效手段。通過跟蹤監(jiān)視、追根溯源、查找定位，準(zhǔn)確判斷故障節(jié)點(diǎn)，及時(shí)拆除網(wǎng)絡(luò)故障。

為確保網(wǎng)絡(luò)正常運(yùn)行，安全防護(hù)必不可少，有必要在局域網(wǎng)絡(luò)邊界部署防火墻、入侵檢測(cè)（IDS）、入侵防御（IPS）等設(shè)備，并添加策略以抵御來自外部和內(nèi)部的攻擊；局域網(wǎng)內(nèi)部署防病毒服務(wù)器，并定期更新病毒庫；定期為局域網(wǎng)終端分發(fā)系統(tǒng)補(bǔ)丁；為方便局域網(wǎng)和互聯(lián)網(wǎng)交換信息，應(yīng)部署網(wǎng)閘等設(shè)備實(shí)現(xiàn)數(shù)據(jù)交換。