網絡改造拓展網絡應用

單位局域網絡很早建成，由于受技術發展的限制，當時建設的網絡已經不能適應現在的應用需求，網速慢、設備老化、轉發性能低是制約網絡應用的瓶頸。隨著近幾年信息化建設的快速推進，網上應用不斷增加和拓展，這一矛盾愈加突出，對網絡進行全面升級改造已經迫在眉睫。

網絡現狀

我單位2001年建成了局域網，采用核心設備到接入設備連接終端的星形拓撲結構方式，接入設備分布在各個樓層弱電井中，辦公大樓建設有網絡中心機房，從網絡中心機房到各弱電井采用室內多模光纖敷設，核心設備和接入設備均配置千兆多模光模塊，實現核心交換機到樓層設備的縱向主干千兆連接。樓層交換機到各辦公室采用超五類線纜水平布線，配線間跳線和用戶終端線均采用5類線纜，接入交換機接口均為100Mbps，保證了百兆交換到桌面，拓撲結構如圖1所示。

圖1 原有局域網絡拓撲圖

在過去很長一段時間里，因為軟件應用不是很多，對網絡帶寬要求不高，所以基本能夠滿足辦公業務的要求。

存在的問題

最近幾年，我單位的網絡應用有了突飛猛進的發展，除傳統的辦公業務外，還有大量業務如：視頻直播和點播、門禁及樓宇音視頻監控、語音識別、視頻會議、在線網絡培訓等應用，原有的網絡承載能力有限，導致網絡有時出現延時和卡頓現象，用戶體驗不是很好。以上應用的開展對網絡性能和網絡帶寬提出了更高的要求。

原有網絡中核心交換機到樓層接入交換機，只有一條上聯光纖線路，一旦線路或設備出現故障，容易造成整個樓層的終端無法上網，可靠性較低。而且核心設備采用冷備份，一旦生產的核心設備出現故障，只有將冷備機替換掉故障生產機，待故障機修好后，再替換下冷備機上線運行，故障機修復后替換冷備機可以選擇業務不多的下班或晚上時間，但是生產機故障必須及時更換，造成一定時間的網絡中斷，使MTBF,即平均故障間隔時間縮短，降低用戶使用體驗。

一個樓層的接入交換機的端口通常配置處于同一個網段，上聯端口也是一樣，靈活性較差，如果同一部門跨樓層，還要在別的樓層另外配一臺同一網段的小交換機，同時要拉一根網線，網絡變得復雜，給維護帶來不便。

服務器和終端在一個網段上，一來不便于服務器管理，二來服務器容易受到廣播風暴的影響，不能及時響應用戶訪問需求。

網絡可管理性較差，部分樓層采用光纖收發器接24-48口的桌面型交換機，如果終端全部斷網或出現同樣的問題，可以通過排查線路或更換交換機的方法解決，否則遇到一部分終端網絡正常，另一部分有故障，無法登錄到交換機上查看信息，因此很難進行故障定位和排查，只有逐臺機器檢查，既費時費力，又效率低下。

局域網中對視頻流量沒有有效管理，主要表現在：1.沒有采用先進的視頻流格式，采用低壓縮率，高帶寬的視頻壓縮格式，占用了過多的網絡帶寬資源。2.采用單播方式，沒有采用組播方式傳輸視頻流，使網絡中存在過多的流量，耗盡寶貴的帶寬資源。3.沒有進行服務質量（QOS）管理，造成視頻會議時經常出現卡頓現象。

部分樓層采用收發器實現光信號轉換成電信號，增加了故障點。在實際生產環境中，光纖收發器較交換機光模塊相比有比較大的故障發生率，有時因為設備老化的問題，出現一些怪異的故障，增加了故障排查的難度。

辦公室內存在多個終端用一個小交換機共用一個墻面信息點的情況，如果小交換機出現故障，會造成一個辦公室所有終端無法上網的情況。另外，如果出現跨辦公室人員調整，網線空置，使用人員容易將空置的網線插入到墻上信息口或本小交換機端口上，造成短路現象，影響網絡正常通信。

改造方案

基于單位以上的網絡現狀，為了使單位網絡能夠安全、穩定、可靠地運行，獲得更好的用戶體驗，使用戶更加專注于網絡所承載的各項業務應用。就必須對網絡進行升級改造，改造的中心任務就是網絡提速，具體采取以下措施。

1.合理規劃辦公區網絡。單位辦公大樓呈“山”字形布局，橫向跨度就有108米，縱向深度最大84米，考慮到6類非屏蔽雙絞線的最大傳輸距離不超過100米，因此，將整個辦公大樓平均分成4個辦公區，各辦公區的樓層配置弱電機柜，放置接入交換機。

2.建設網絡中心機房，并以此為中心，網絡中心機房到各接入交換機的主干采用兩條萬兆光纖線路，與核心交換機采用跨機框連接，采用以太網通道技術進行捆綁，這樣既可實現鏈路互為備份，避免其中一條鏈路故障導致網絡中斷；又可實現流量的負載均衡。核心交換機采用雙機冗余技術，防止一臺核心設備故障造成網絡不可訪問的現象，提高網絡的穩定性與可靠性，保證網絡訪問不中斷。

3.全面提升交換機性能。原有接入交換機背板帶寬為88Gbps,包轉發率為77.4Mpps，MAC地址表為8K。改造后，原有交換機將全部被替換，采用新型國產交換機，其背板帶寬為260Gbps，包轉發率為190Mpps,MAC地址表為30K，實現高密度、全線速、千兆接口、高可靠性的快速轉發，原有的核心交換機背板帶寬為480Gbps，包轉發率為243Mpps，MAC地址表為64K。改造后，原有的核心交換機也將被替換，采用新型國產交換機，其背板帶寬為120Tbps，包轉發率為50000Mpps，MAC地址表為512K，管理引擎實現1+1冗余，在數據交換能力得到2-3倍提高的同時，網絡的安全性、穩定性、可靠性、可用性及擴展性也得到加強。

4.建設高可靠性和高穩定性的核心交換網絡。核心交換機采用雙機工作模式，將兩臺高性能、高可靠、高穩定性的同品牌、相同配置的國產交換機利用虛擬交換技術VST（Virtual Switching Technologies）組成虛擬交換系統，兩臺設備之間用虛擬交換鏈路VSL（Virtual Switching Link）連接，采用這種技術可以使兩臺交換機在控制層面上有主從之分，而在數據轉發層面上是雙活的，即兩臺交換機都參與數據轉發，提高了設備利用率。

在傳統的組網方案中，為確保可靠性，通常采用雙鏈路冗余和雙核心熱備，采用VRRP技術組網，同HSRP熱備技術一樣，VRRP有主設備和從設備之分，同一時間，只有主設備在數據包的轉發工作，從設備不轉發數據包，并偵聽主設備工作狀態，一旦偵聽到主設備故障，從設備將升為主設備進行數據包轉發。由此可見，這種方式在增強網絡可靠性的同時不能提高設備的利用率。當然，VRRP也可以實現負載均衡，比如，網絡中有VLAN10和VLAN20兩個網段，要使兩個子網的流量分別經過不同的鏈路和設備轉發，就要配置兩個VRRP組。為了避免產生生成樹環路，一個解決方案就是用MSTP生成樹協議和VRRP聯動，而這樣組網帶來的問題是網絡中使用的協議多而且復雜，網絡收斂時間長。

采用虛擬交換技術，從物理拓撲來看，網絡環境和普通網絡環境搭建沒有區別，但是實際上從邏輯面上看，兩臺物理設備已經虛擬成一臺設備，對接入層設備而言兩個核心設備實際就是一臺設備。這樣，VSS就可以使上聯鏈路帶寬增加，又可以不使用MSTP+VRRP方案，簡化管理減少網絡協議的同時又可以加快收斂性能，如圖2所示。

5.原有的核心交換機退出充當數據中心交換機，原有交換機由于交換性能指標有限，背板帶寬、包轉發率以及MAC地址容量都較小，原來配置的光模塊速率最高都只能到千兆,且板卡上的光口密度不夠，配置的RJ45接口卡速率也是千兆，雖然可以將光模塊升級為10G光模塊，但一是進口設備的光模塊價格較為昂貴。二是接入設備和核心設備上的光模塊要成對更換。三是既使在老舊設備上更換了10G光模塊，由于原有設備的轉發能力有限，更換后不一定使整體性能提升。再有就是會使老設備負荷增加，容易引起設備故障，再者接入到核心依然是單鏈路單設備，仍然有故障隱患。因此，采用將老舊設備元器件升級的辦法依然達不到組建大型辦公局域網的要求，但是直接報廢又非?？上?。為保護設備投資，決定將這兩臺原來的核心交換機組成一個虛擬交換系統，作為數據中心交換機，滿足網絡中心機房內服務器間的數據交換。

圖2 虛擬交換系統示意圖

6.在采用硬件設備冗余和鏈路冗余的同時，為保證網絡的穩定性和可靠性，設備內部包括交換引擎、電源模塊和板卡等元器件采用全對稱硬件體系結構，能夠做到任意一個處理器和網絡接口模塊出現故障都不會影響其他模塊，這種設計極大地降低了掉線率，增強了設備的可靠性，提高了設備可用時間，具有較高的MTBF（平均無故障時間Mean Time Between Failures）值，板卡和模塊都支持熱插拔，當機箱內的一個板卡出現故障時，可以不用整個機器斷電就能進行故障板卡的更換，從而不影響其他板卡上的正常數據交換。

7.大大提高了網絡的可管理性。新購買的交換機將全部采用可編程交換機，支持多種管理方式，如：Telnet、Console、SSH、Web、Snmp（V1/V2/V3）、RMON 和第三方網絡管理軟件等多種管理方式，極大地方便了管理員從設備中獲取數據交換信息，為網管員進一步監控網絡流量，進行故障分析和定位，排查網絡故障提供了強有力的硬件支持。同時，單位購買了一套第三方的網管軟件，能夠實時地將數據包交換、源地址、目的地址、協議和端口使用、組播和廣播、網絡帶寬占用情況、設備利用率、數據交換錯誤的原因等信息，通過曲線圖、直方圖、餅圖、儀表盤等方式直觀地展示出來，方便管理員及時了解網絡運行情況，跟蹤監視大數據流量，根據系統報錯和告警信息，能夠追根溯源，精準定位，查找到產生故障的計算機，為下一步的排障工作提供技術支持。

8.在以往帶寬不夠的情況下，必須通過合理規劃和配置，確保關鍵應用不受影響。在劃分各類流量的優先級后，讓優先級高的流量先通過，而像FTP等對延遲不敏感的流量延緩通過，這就是保證服務質量（QOS），而現在網絡已提速，帶寬較以前有較大的提高，再加上負載均衡技術的應用，以往高帶寬的突發流量現在對網絡造成的影響也不是那么顯著了，客戶也不會經常抱怨網速太慢了，無形中減輕了運維人員的壓力?？蛻粼谙硎茌^高滿意度的應用體驗的同時，可以大幅度拓展音頻和視頻等網絡應用，使客戶能上網、愛上網、離不開網絡，提升客戶滿意度，滿足客戶不斷增長的帶寬需求。

9.對現有局域網的子網重新規劃和設計。刪除沒有用的子網，劃分服務器網段，并與終端的子網區分開來，避免終端子網的廣播風暴對服務器造成影響。所有網段之間的數據交換通過三層核心交換機實現。

10.采用六類非屏蔽雙絞線水平布線，替換原有的超五類線。六類非屏蔽8芯銅纜PC101004，優于原有的TIA/EIA-568超五類傳輸標準，可用于語音、綜合業務數據網絡（ISDN）、ATM155Mbps和622Mbps，快速以太網和千兆以太網；比五類和超五類線纜具有傳輸距離長，傳輸損耗小，耐磨、抗壓強等特性。可以支持千兆以太網并實現100米的傳輸，能抵御一部分的外界電磁波干擾，并不會降低傳輸效率。

經驗總結

網絡改造是個系統工程，不能在原有網絡基礎上搞修修補補，這種打補丁的方式不但體現不了整體效果的提升，而且會產生這樣那樣的問題，因此，我單位對此次改造進行重新規劃設計，清除原有的設備，重新進行水平和垂直布線，更換核心交換機，提升數據交換能力。

網絡的健壯性和可用性也是衡量網絡好壞的一項重要指標，為確保網絡穩定可靠，采用了鏈路冗余、設備冗余、板卡冗余的設計，將設備故障和斷網的影響降低到最小，提高網絡運行時間，提升客戶上網體驗。

隨著網絡規模的擴大，網絡結構也日趨復雜，而維護人員并沒有增加，就要求提高運維人員的維修效率，而提高網絡的可管理性則是實現效率提升的有效手段。通過跟蹤監視、追根溯源、查找定位，準確判斷故障節點，及時拆除網絡故障。

為確保網絡正常運行，安全防護必不可少，有必要在局域網絡邊界部署防火墻、入侵檢測（IDS）、入侵防御（IPS）等設備，并添加策略以抵御來自外部和內部的攻擊；局域網內部署防病毒服務器，并定期更新病毒庫；定期為局域網終端分發系統補??；為方便局域網和互聯網交換信息，應部署網閘等設備實現數據交換。