提升公司網絡性能

筆者單位網絡已經正常運行多年，并達到一定的規模。伴隨著辦公大樓上網人數的不斷增加，逐步發展到現在大約有上百個網絡節點。每個樓層并沒有固定的樓層交換機，網絡基本由若干臺10/100M普通桌面型交換機級聯而成，零散地分布在天花板頂、辦公桌下等難以管理的地方。隨著公司網絡應用的不斷增多，整個網絡的傳輸性能不斷下降，已無法滿足公司發展的需要。

對網絡進行升級改造，還公司網絡一個高速、穩定的傳輸性能，已經迫在眉睫。

圖1 網絡拓撲結構

主要問題

網絡傳輸速度不快。目前，公司網絡的出口仍然是幾年前租用的本地電信10M光纖線路，在不開展視頻、語音等網絡應用的情況下，這樣的帶寬資源尚能應付普通的網頁訪問需求。但近年來，越來越多的多媒體業務，導致整個網絡傳輸速度不快，網絡傳輸性能已經無法滿足公司網絡用戶的正常工作。

傳輸穩定性比較差。整個公司網絡采用簡單的二層星形網絡架構（如圖1），網絡中的所有終端計算機都處于相同的一個網段中，IP地址資源比較緊缺，計算機之間相互搶用IP地址的現象頻繁發生，嚴重影響終端系統的上網穩定性。在缺少安全驗證機制的情況下，網絡病毒攻擊和廣播風暴現象比較嚴重，加上網絡設備的抗病毒能力非常一般，同時智能化程度也比較低，這些因素也會影響整個公司網絡的傳輸穩定性。另外，整個公司網絡通過代理網關的方式上網訪問，代理網關設備相對于硬件路由器設備來說，運行性能是很不穩定的，不適合7*24小時運行。而且代理網關設備的自身穩定性，也可能造成整個公司網絡隨時發生癱瘓。

網絡可管理性不高。舊的公司網絡基本由若干臺10/100M普通桌面型交換機級聯而成，它們零散地分布在天花板頂、辦公桌下等難以管理的地方，這些交換機不支持網絡管理功能，因此網絡一旦發生故障現象，管理人員很難快速定位和排查。網絡的可管理性不高，給技術人員的日常維護帶來了極大的麻煩，當網絡發生問題時，技術人員常常要來回走動、手工定位，嚴重影響工作人員的管理效率。

無線信號分布不均。由于無線上網節點是后續部署的，這就導致已經投入使用的無線AP設備，缺乏明顯的規劃與布局，很多無線設備直接就放置在員工的手邊腳旁，很容易因為用戶意外的觸碰而造成無線網絡上網失敗。另外，由于沒有統一的管理，究竟哪些無線上網節點設備工作狀態正常，管理人員無法及時知道，這會造成辦公大樓內的無線上網信號分布很不均勻，給對應區域的用戶上網帶來了明顯的不便。

改造目標

從公司網絡的運行現狀來看，我們認為要想避免上面存在的一些問題，確保網絡可以始終高速、可靠、穩定地運行，必須進行網絡升級改造。整個網絡的升級改造目標是：建設以公司網絡中心計算機機房為核心主干，通過千兆結構連接不同辦公大樓和各個樓層。利用公司網絡管理中心，構建網絡管理平臺和安全平臺。改造升級后的公司網絡將是一個可靠、安全、穩定、易管理、可擴展的先進網絡，不但能夠滿足目前各個樓層用戶的高速接入、VPN專網等多種業務的發展需要，而且能夠滿足公司用戶對大流量數據要求的業務需要。

改造方案

一.請當地有實力的網絡集成商重新規劃設計辦公大樓公司網絡結構，將舊的網絡中零散布置的交換機和網絡線纜全部清除。新的網絡采用二層網絡結構，即核心層和接入層。所有核心網絡設備全部放置在公司網絡中心機房。辦公大樓與辦公大樓之間使用光纖連接，同時在各個樓層依次部署接入交換機。考慮到未來公司網絡內業務流量和網絡的升級能力，網絡出口采用品牌公司的路由交換機產品作為上網網關，通過千兆光纖與各個樓層交換機連接，達到千兆到桌面、千兆互連的目的。

二.增大網絡出口帶寬。伴隨著網絡應用的不斷深入，以及公司網絡規模的不斷擴大，公司網絡的出口帶寬資源也應該及時擴大，之前租用的10MB出口帶寬考慮改造為100MB。畢竟使用了100MB大小的出口帶寬后，公司網絡的上網訪問速度會更快，公司用戶可以享受到更位快速、更高優質的網絡服務，如此一來就可以有效提升公司用戶的工作效率，同時可以滿足用戶不斷增長的快速訪問要求。公司網絡內部的Web服務器、電子郵件服務器以及文件服務器等也能對外提供更快的訪問速度，有效改善公司用戶的服務滿意度。將出口帶寬資源增大到100MB級別后，相對于網絡設備的連接端口來說，無形之中可以改善網絡端口的可靠性和穩定性，確保網絡訪問服務質量得到明顯提升。此外，平時頻繁發生的一些異常流量故障，在出口帶寬大小大幅度提升后，或許會自然消失。當然，時下十分流行的網絡應用對上網帶寬的需求也是逐步提高，比方說很受歡迎的視頻會議服務、語音教學業務以及在線流媒體的下載訪問服務等，都需要大容量網絡帶寬資源的支持。

三.部署專業防火墻。考慮到公司網絡需要連接到國際互聯網上，所以未來上線的各個業務系統，需要增加防火墻確保網絡訪問的安全，避免公司網絡中的重要業務系統受到來自Internet網絡的病毒、木馬、黑客攻擊。選用的網絡防火墻一定要滿足下面幾個功能要求：首先要有較強的地址轉換能力，因為公司網絡用戶數量不斷增多，網絡傳輸流量會隨著時間推移不斷增大，選用的專業防火墻必須能提供很強大的地址轉換能力，并支持正向地址轉換、反向地址轉換，支持并發連接數量在10000以上。其次，能預防、抵制大多數常見的惡意攻擊，比方說可以預防非法端口掃描、IP欺騙、不明協議攻擊、大包ICMP攻擊等多種攻擊。第三，要具有多安全區域保護功能，也就是說選用的網絡防火墻產品，每個物理連接端口應對應一個安全保護區域，每個區域中定義的安全策略僅對本地區域有效，而不影響其他區域的安全性能。選好的網絡防火墻部署在核心路由交換機與公司網絡服務器群之間，配合入侵檢測手段，確保公司網絡中的數據安全可靠。部署好的安全防范措施，能實現對公司網絡整體運行的實時監視與控制，能實時監視和控制接入公司網絡中的所有設備；在網絡發生異常、故障等情況下報警，以便及時有效地解決網絡故障；能防止惡意用戶對網絡的入侵，同時也起到安全監控的作用：一旦有非法入侵，就可以在第一時間發現、記錄并進行自動報警。

四.部署雙線路互備。為了保證公司網絡傳輸的穩定性、可靠性，放置出現單點故障，考慮使用雙交換機、雙線路互相備份的運行機制。兩條網絡傳輸線路在正常狀態下，自動分擔公司網絡的數據傳輸流量，一旦發生某臺核心路由交換機故障或單條線路失效時，數據傳輸流量可以自動切換到正常狀態的線路，確保公司網絡訪問不掉線。

五.部署無線上網節點。梳理好上網節點與樓層交換機的對應關系，根據樓層的不同，將上網用戶劃分到不同工作網段，減少廣播風暴和網絡病毒攻擊現象的出現。在這些基礎之上，合理規劃與布局無線上網節點，保證大樓各個區域的無線上網信號分布均勻，讓大樓用戶在任何位置都能自由接入無線網絡。

改造過程

由于公司網絡改造工程工作量大，影響范圍廣，為了達到更平穩的改造效果，我們決定采用分布實施的方式，將改造過程分為幾個階段進行：首先對核心層網絡進行改造。依照上網節點分布情況和具體數量，考慮到核心層網絡設備需要為公司網絡的各項業務應用提供一個優質、高效的數據傳輸平臺，考慮到公司網絡日后的平滑升級需要，特別選用了兩臺配置高、性能好的品牌核心路由交換機，來作為公司網絡的雙核心節點。每臺核心設備都配置多口千兆光纖模塊接口，全線速的二層1000M級別數據交換能力，確保數據報文在各個交換端口都能進行無阻塞轉發，讓核心設備的高交換能力得到充分發揮。為了讓不同辦公樓的用戶都能通過公司網絡中心的出口上網，在其他辦公樓放置匯聚交換機，通過千兆光纖收發器將它們連接到網絡中心的核心設備上，并借助該設備的大容量背板交換帶寬，實現高效、穩定的三層路由交換目的。各個樓層放置接入層交換機，以千兆速率連接到網絡中心的核心設備。考慮安全因素、虛擬局域網功能以及網絡流量管控等需要，部分辦公樓采用路由交換能力強的三層交換機或路由器實現網絡接入。

接著，對大樓內部網絡優化調整。清除所有舊的網線，重新進行結構化綜合步線。考慮到大樓以前沒有預先置留弱電井，所以沿樓梯在不同樓層板間鉆孔，各個樓層的所有上網節點沿圓孔水平布線到主機房，其他辦公樓到公司網絡中心之間使用光纖敷設。工作區的布線由跳線和信息插座組成，跳線使用六類非屏蔽線，信息插座采用某品牌的單孔或雙孔平面型插座，表面貼有明顯的標識，來識別對應插座的位置，插座接口帶有滑門，可以避免灰塵進入。信息插座安裝在離地面50厘米的墻壁上，插座卡線方式統一采用標準的TIA568B方式。從樓層交換機到用戶工作區采用六類非屏蔽雙絞線，線纜兩端都貼上標簽，以記錄線纜的目的地和起源地。合理進行地址規劃。為了避免地址沖突和廣播風暴現象發生，將公司網絡根據辦公用戶部門的不同，劃分不同工作網段，并為它們指定不同的地址范圍。利用核心路由交換機中的DHCP技術，為不同網段分配不同的IP地址，對所有上網設備事先在DHCP中登記物理地址，對它們進行地址綁定操作，對重要設備如打印機、服務器、防火墻等，全部使用固定的IP地址，同時將各種服務器全部置于防火墻保護之下。此外，根據上網節點的分布情況，按需部署了無線上網節點，確保無線上網信號均勻覆蓋，無線設備得到有效監管。

改造效果

這次網絡改造最明顯之處，就是對公司網絡的上網帶寬進行了提升，改善了公司網絡用戶的上網訪問速度和使用效果。另外，部署了雙核心上網節點，實現了數據轉發設備冗余，改善了公司網絡的運行安全性和穩定性。經過一段時間的運行實踐，公司網絡的運行穩定性、安全性都得到了有效提升。