穩定可靠的中型企業網的構建實例

摘要：提供一種中型企業網絡建設的技術思路，著重介紹網絡建設中增強穩定性和可靠性的幾種典型技術及實現。

關鍵詞：網絡結構、冗余配置、路由策略、雙機熱備、服務品質等

1構建穩定可靠的企業網的目的和意義

現代企業，無論規模大小，建設不同要求的企業網對大多數企業而言是必須的。即便是一個最小規模的工作室，最簡單的局域網都能給用戶帶來資源共享（文件共享）的便利和費用的節省（比如共享上網）。

隨著企業規模的擴大，企業網是各信息應用系統正常運行的基礎，企業網帶給用戶的就不僅僅只有資源共享及節約費用了，而是能和運行在其上的信息應用系統共同帶給用戶新的生產力。運行在企業網之上的信息應用系統涉及企業管理、生產的各個方面，能極大提高企業效率。因此，企業網的建設已是規模企業的必然選擇；同時，企業網的穩定可靠也成為企業網建設中最重要的追求。

本文后面闡述的思想及技術實現適用于1 000人左右的企業用于構建穩定可靠的企業網。本文對網絡建設中的常規思路及通用做法著墨不多，以介紹經驗為主；重點介紹冗余技術的設計與實現。如果讀者的業對網絡的要求較低或從降低成本考慮，可適當降低冗余配置程度，比如核心與各匯聚局域網以單鏈路連接、單因特網寬帶接入等，但這樣做的后果就是可靠性大大降低。本文的思路與技術實現已經在實例網絡中得到體現。

2構建穩定可靠企業網的幾個要點

2.1穩定可靠的網絡結構

確立網絡結構時，除了要考慮可擴展性、可管理性等方面外，更應看重穩定性、可靠性方面的設計。

首先確定網絡拓撲結構。各種拓撲結構各有優缺點也各有針對性，如果沒有特殊需求，一般建議選擇星型拓撲結構，因為這種拓撲結構有結構簡單、容易實現、便于管理及故障點容易檢測和排除。此結構是目前構建中小型企業網的主流結構。但是星型結構在可靠性方面有個大缺陷，就是中心節點的故障會導致網絡癱瘓。對此缺陷，必須采取必要措施加以彌補，這個措施就是中心節點的冗余配置。企業網的中心節點一般是核心交換機。中心節點的冗余配置不是指設置2個中心，而是指加強作為中心節點的核心交換機的配置，使得中心節點非常可靠，不容易失敗。

接著，確定網絡的層次結構。清晰合理的層次結構也有利于網絡的穩定可靠。網絡具有層次結構，既有利于后期的管理，也有利于故障的隔離。在實例中，把網絡劃分成了三個層次：核心層、匯聚層、接入層。接入層直接為終端提供接入；匯聚層終結VLAN；核心層以轉發各局域網網間流量為主。

然后，確定同城不同區域局域網的互聯方法。這部分可根據企業應用系統的要求，同時根據成本花銷情況（畢竟租用電信運行商線路是很昂貴的），選擇適合自己企業的互聯方法。可以租用數據專線，也可通過因特網以VPN的方式互聯。本例中，采取的是數據專線做互聯主鏈路，VPN做備用鏈路。

圖1就是按照上述思路強化了結構的網絡實例拓撲圖。針對星型結構的缺陷，中心節點由2臺核心交換機組成。核心交換機與各局域網都以雙鏈路連接，因特網寬帶也采取雙鏈路接入。

圖1結構加強過的實例網絡拓撲圖

2.2IP規劃及路由策略

IP規劃及路由策略問題往往容易被中小型企業網設計者輕視，但等網絡建成了，才會發現由于前期缺少策劃導致后面的工作很繁瑣。

由于中型企業內部網段比較多，如果仍然像在小型企業網那樣在私有網段內隨意指定IP地址段，往往會導致后期的路由指向困難及其它問題。

而路由策略不僅要考慮是否要啟用動態路由，還要考慮采用路由聚合，及支持策略路由功能等。啟用動態路由的理由是應對可能的IP網段太多；采用路由聚合的理由是簡化路由指向；策略路由能解決一些基于源地址的路由指向。

規劃IP時，適當考慮可變長度子網掩碼（VLSM）技術，便于靈活調整子網的個數及主機的數量，以滿足網絡劃分的不同數量要求。也要考慮路由聚合，把便于路由聚合的IP地址段分配給同一局域網內。

在核心層啟用互聯網段，用于各匯聚層網絡的互聯互通。

2.3遠程接入及訪問因特網部分的設計

這部分通常的網絡方案設計中，設計人員喜歡既配置了路由器又配置防火墻。其實，如果路由要求不高的情況下，可以只選配防火墻。

本網絡實例中，防火墻不但承擔了對因特網的訪問任務，還承擔了外埠分支機構的VPN接入任務。考慮到現代企業對因特網訪問的依賴程度提高了，實例網絡安排了雙防火墻雙因特網接入。

而針對外埠分支機構的專線接入，可直接接入核心交換機，也無需路由器。

這樣做的好處是結構簡單，在功能上也沒什么缺失。結構簡單的好處是低故障率，出了故障也容易排查。

2.4網絡管理

網絡管理其實是開始于設計階段的，設計網絡結構時要考慮后面的運行管理，比如分層的網絡結構讓VLAN終結在匯聚交換機。IP在規劃時考慮到路由的聚合，會給后期的路由指向帶來方便。

談網絡管理，必然要涉及網管軟件。網管軟件不是網絡管理的必需，但隨著網絡規模的擴大，它的作用就越大，也越重要。對于規模不大的中小型企業網絡，盡量在設計階段就考慮到管理因素而又針對性地設計，以求網絡開始運行后，在沒有采用任何網管軟件前能夠手工地較快速地定位故障點，進而排除故障。

之所以有這樣的考慮，是因為選擇一種適合本企業網絡的網管軟件并不是一件簡單的事情。選擇網管軟件首先要清楚，自己要管理什么，是性能管理？故障管理？配置管理？安全管理？計費管理？或者全部，或者部分。其次，在技術上要清楚，網管軟件大體分三個層次，即網元治理、網絡層治理和業務治理，而本企業需要什么樣的治理？基于以上原因，網管軟件更適合在網絡系統建立并運行后，在需求分析的基礎上選擇平臺級的網管軟件。開始階段可選擇由設備廠商提供的網元治理類的網管軟件，比如CISCO Works。

3熱備功能的實現及其它功能的說明

結構上做了冗余設計，要真正地發揮設備和鏈路的熱備的作用，還要進行相關設定后才能實現。其它功能也是企業網必須具備的。

3.1HSRP實現雙機熱備

HSRP原理，首先由多臺路由器組成備份組，此備份組可看成是一臺虛擬的路由器，有獨立的虛擬IP，網內主機以這臺虛擬路由器為網關。在備份組內有一臺路由器是活動路由器，由它來完成虛擬路由器的工作，當此臺活動路由器出故障時，組內的另一臺路由器會接替活動路由器，來完成虛擬路由器的轉發工作。而這些，對網內主機是透明的，它們只能看到虛擬路由器。CISCO大部分3層交換機都支持HSRP。

以某VLAN為例給出設置要點。

1、在核心交換機A上

Interface VLAN7

ip address 192.168.7.253255.255.255.0

standby7192.168.7.254/*虛擬路由器的IP

standby7priority 110/*設置優先級

standby7preempt /*設置搶占模式

2、在核心交換機B上

Interface VLAN7

ip address 192.168.7.252255.255.255.0

standby7192.168.7.254

standby7preempt

3、在網內電腦上

把網關設置為192.168.7.254

3.2SLA實現雙鏈路自動切換

SLA(Service Level Agreement)服務品質保障協議，可用于網絡偵測，通過發送指定協議的報文來偵測鏈路的情況，根據鏈路情況選擇路由。

如果第二鏈路是另一家電信運營商的租用線路，實現此功能相對簡單。如果考慮降低成本，一線多用，可用寬帶線路通過IPSEC VPN來搭建第二鏈路，這就多了IPSEC VPN的設置工作。

由于IPSEC VPN的實現因網關設備的不同而不同，本文就省略這部分設置的說明，只說明下交換機端的設置要點。實現原理：路由器（或三層交換機）通過（ICMP）PING遠端路由器（或三層交換機）來驗證第一鏈路的狀態，如果第一鏈路失敗，則激活第二鏈路，實現故障切換。使用對象跟蹤功能（object track）保證靜態路由的可靠備份。

ip sla 1

icmp-echo 192.168.1.6 /*ping遠端交換機第一鏈路接口

timeout 1000

threshold 2

frequency 3

ip sla schedule 1 life forever start-time now

……

track 1 ip sla 1 reachability/*跟蹤ip sla 1，如果沒有返回ping包，則track狀態為down

……

ip route 192.168.176.0255.255.240192.168.1.6track 1/*只有track狀態為up時，此靜態路由建立。如果track為down，則下面這條路有開始轉發數據。

ip route 192.168.176.0255.255.240.0192.168.1.210

注：遠端網絡由若干C類網段組成，所以掩碼是255.255.240.0，這里采用了路由聚合。要采用路由聚合，必須先有網絡地址規劃，即便是私有地址，也不可以隨意指定。

3.3其它功能

其它幾個基本功能，有些是必須要采用的功能，比如VLAN、DHCP、訪問控制列表等，能滿足基本的網絡管理要求；有些則是高級功能，如策略路由、QoS、動態路由等，能滿足一些高級的網絡管理要求，或者能提供管理的方便性。

對于VLAN、DHCP、訪問控制列表的使用，是企業網絡管理中最基本的要求，網絡管理員都應熟練掌握，本文不再贅述。而那些高級功能，則在網絡運轉起來后，根據需求決定是否采用。我在此提醒一下，有些功能需要交換機OS（操作系統）的升級。比如策略路由，一般三層交換機預裝的OS都不支持，如果本企業確實需要這樣的功能，可以通過升級OS來得到。

4結束語

基于上述思路具有了冗余設計的實例網絡在建成后，除了正常提供基本的網絡功能外，在運行過程中還經歷過一系列的故障的考驗。某臺核心交換機的一塊接口業務板曾經損壞，由于是雙核心交換機配置，得以迅速切換到另一臺交換機，短時間內恢復了用戶網絡。核心網絡與某局域網的電信專線連接也因為電信方的故障而中斷過多次，而因為采用了基于SLA技術的設置實現了鏈路的自動切換，對用戶應用并沒有造成可感知的延時。以上事實足以證明實例網絡在強化冗余能力方面的設計是成功的。

當然，一方面的成功，不代表此網絡方案就完美無缺，其實，就實例網絡方案而言，缺點還很多，比如照顧了結構簡單帶來的穩定，但并不能增強網絡的安全。本文主要闡述了為了追求網絡的穩定和可靠，在方案設計上偏重的冗余設計部分。而在網絡設計時，還應考慮后期網絡管理及網絡安全。如果在設計階段，無法過多的考慮網絡安全的因素，一定要在網絡建成后加強網絡安全建設。

作者簡介：馬勁松（1968-），男，江蘇南京人，工程師，從事多年企業網絡運行維護及建設。

注：文章內所有公式及圖表請以PDF形式查看。