工程環境下網絡設備調試與優化的研究

孫道遠

摘 要： 按照網絡規劃設計，在交換機、路由器、UTM等網絡設備上進行配置部署從而實現網絡的通暢及性能優化，以滿足企業的業務需求和網絡的運行安全可靠。在園區網絡部署前，使用網絡設備在實驗室環境中模擬真實情境進行調試。結果表明：通過網絡組建的仿真測試，對網絡中可能出現的故障進行了調試與排除，實現了網絡預期的全部功能。在工程環境下網絡的搭建，為園區網絡設計部署可行性提供了有效的驗證，加快了網絡組建的建設進度，提高了網絡工程技術人員園區網絡建設能力。

關鍵詞： 園區網絡； 工程環境； 設備調試； 網絡優化

中圖分類號： TP 393.18 文獻標志碼： A 文章編號： 1671-2153（2018）02-0092-05

0 引 言

網絡設備調試與優化是網絡工程建設所需的重要崗位技能。在進行網絡部署前按照設計方案進行仿真測試，可以加快工程建設進度。目前，在網絡工程實施前大多采用虛擬仿真平臺進行測試，如思科的Cisco packet tracer模擬器、華三的HCL模擬器等。但是，模擬器環境下的搭建網絡和工程環境下的仿真測試相比存在著一定的差別和缺陷，如具體采用設備的型號、功能和實現方法等[1]。本文以一個園區網絡的部署作為研究對象，選取園區網的主要部分，采用真實的網絡設備從實驗室的模擬向具體工程應用進行轉變，以實現網絡工程建設規范實施和技術人員實踐能力的提升。

1 園區網絡工程的設計

1.1 網絡項目情境與業務需求分析

某企業為滿足業務發展需要，設立了總部和分支機構兩個區域。為了更好管理業務數據，總部建立了云計算數據中心，數據中心交換機上部署了虛擬化組網，為云計算平臺提供高可用的網絡接入服務。使用兩臺交換機相互聚合作為匯聚層設備，匯聚層通過安全設備和分支機構及合作伙伴進行連接，網絡中具體業務終端通過安全設備和總部數據中心及外部網絡相連接，實現安全可靠的網絡互聯。在企業進行網絡信息化項目規劃與建設的中，部署了數據負載均衡策略；總分機構之間部署鏈路加密等功能，實現安全可靠的數據傳輸。本研究選用了H3C系列網絡設備進行實施，設備選用如表1所示。

1.2 園區網絡拓撲結構設計

在進行網絡組建的過程中，選取企業園區網骨干部分作為研究對象，網絡設計的過程中，使用分層建設思想，采用接入層、匯聚層、核心層三層結構。服務器群連接在兩臺堆疊交換機組成的數據中心上，匯聚層采用兩臺交換機形成雙核心設置，實現可靠性與負載均衡，總部網絡的數據通過UTM安全設備和分部及分支機構向連接，總部具體的業務部門通過接入層交換機連接，具體拓撲及接口如圖1所示。

1.3 設備的連接及IP地址設置

在實施過程中，首先要使用568B類型的雙絞線按照網絡拓撲結構圖進行設備連接。當網絡物理連接完成后，使用Console配置線和Secure-CRT軟件進入網絡設備命令行界面中，為每一臺設備進行命名。接著，在通信網段的接口上設置IP地址，其中三層交換機與路由器相連接的接口在設置IP地址時，需要將接口配置成路由模式。同時，在實施過程中為了后期維護方便，要為連接線路設置清晰的標簽。

2 園區網絡具體實施方案

在園區網絡仿真測試的部署中，網絡設備的配置調試思路要清晰明確，按照先進行交換網絡部分的調試，再進行路由網絡部分的調試優化，在整體網絡貫通的基礎上，部署網絡安全功能，最后進行集成測試[2]。

2.1 交換網絡設備調試及優化

2.1.1 劃分虛擬局域網

VLAN劃分是接入層網絡的基本配置，IRF數據中心作為總部服務器集群的接入設備，IRF上創建了4個VLAN，網關在S2和S3上，因此在S2和S3上也需要創建相同的4個VLAN。在IRF交換機上需要進行VLAN 的創建和端口的換分。VLAN的劃分可以使網絡應用變得更加的靈活，管理更加的便利。交換機之間的Trunk端口允許多個VLAN的數據通過，在此設置只允許業務網的VLAN通過，如不加以控制可能導致干道鏈路的負擔。業務部門交換機S1連接具體的業務終端，在上面也劃分了4個VLAN。

2.1.2 建立虛擬化數據中心

在園區網絡建設過程中，服務器群為企業業務提供重要的資源保障，需要建立數據中心實現其安全可靠與管理。在本研究中，使用兩臺數據中心交換機通過IRF虛擬化為一臺邏輯設備進行統一管理[3]。當其中一臺交換機出現故障時，能夠實現設備、鏈路切換，保證業務不中斷。規劃IRF-1和IRF-2間的XG1/0/27-28 端口間線路作為虛擬鏈路，使用光纖模塊線連接，采用鏈式堆疊方式，將兩個物理端口添加到一個邏輯端口中，通過IRF技術實現網絡設備虛擬化。此外為了檢測IRF的故障，使用MAD BFD技術進行多活檢測，在兩臺交換機的23號端口之間使用雙絞線建立一條檢測鏈路，并將端口添加到VLAN 1000中，在此VLAN接口上為每臺成員設備配置不同的MADip，與成員設備編號綁定。

2.1.3 在匯聚層交換機上進行鏈路聚合及檢測

S2和S3作為網絡匯聚層設備需要具備高可靠性，在此可以將兩臺交換機進行鏈路聚合設置并且開啟DLDP（設備鏈路檢測協議）。在交換網絡中交換機通過鏈路聚合可以提高帶寬，在數據訪問量過大的情況下也可實現流量的均衡，減輕鏈路的壓力。本研究中鏈路聚合選用動態鏈路聚合方式，首先設置成為動態聚合狀態，再將物理端口加入聚合鏈路中，否則無法實現動態聚合功能，以此實現數據流的動態分配。DLDP的使用可以有效的檢測鏈路的通信故障，使IRF，S2，S3三臺交換機之間的數據能夠正常轉發。

2.1.4 使用MSTP+VRRP提高網絡可靠性

MSTP（多生成樹協議）+VRRP（虛擬路由器冗余協議）技術的結合是當前部署交換網絡可靠性的重要技術，MSTP技術可以避免環路的產生，VRRP技術可以實現業務網段部分的出口數據負載均衡和互為備份[4]。在當前環境中IRF，S2，S3之間形成了交換網絡中的環狀結構，需要使用生成樹協議加以控制，同時S2和S3又作為業務網段的物理網關，MSTP+VRRP技術的使用可以使上述問題得到有效合理的解決與優化。首先使用MSTP解決網絡環路問題，在環形網絡中同時運行2棵生成樹，其中VLAN 10和VLAN 20以S2為根，S3作為備份；VLAN 30和VLAN40以S3為根，S2作為備份。以S2為例實施方案如下：

[S2]stp region-configuration //開啟多生成樹協議

[S2-mst-region]region-name H3C //命名區域名稱

[S2-mst-region]instance 1 vlan 10 20 //將 VLAN 10、VLAN 20加入到實例1中

[S2-mst-region]instance 2 vlan 30 40 //將 VLAN 30、VLAN 40加入到實例2中

[S2-mst-region]active region-configuration //激活多生成樹

[S2]stp instance 1 root primary //將 S2設置成為實例1的主根

[S2]stp instance 2 root secondary //將 S2設置成為實例1的備根

[S2]stp enable //在S2上全局開啟STP

在網關的設置上，為了避免因網絡故障產生鏈路中斷，每個業務網段在S2和S3上設置兩個物理網關地址，使用VRRP協議設置一個虛擬邏輯網關，作為路由網關使用，地址設置如表2所示。為了實現網絡設備的有效利用，將S2作為業務網段VLAN 10和VLAN 20的Master設備，S3作為Backup設備；將S3作為業務網段VLAN 30和VLAN 40的Master設備，S2作為Backup設備。同時為了快速檢測出Master主設備的故障，在Master備上配置監視指定的Track項使用BFD雙向轉發檢測技術檢測S2和R2，S3和R3的上行鏈路狀態，如當Master設備S2連接上行鏈路的接口處于Down狀態時，S2主動降低自己的優先級，使得備份組內S3成為Master，承擔轉發任務，S2故障恢復后再切換回S2。MSTP+VRRP技術的應用使得內部網絡數據的交換和數據包的轉發實現了有效的控制，提高了可靠性。

本文以業務網段VLAN 10為例進行設置：

[S2]interface Vlan-interface10 //在S2上開啟VLAN 10接口

[S2-Vlan-interface10] ip address 192.30.10.252 255.255.255.0//設置VLAN 10接口IP地址

[S2-Vlan-interface10] vrrp vrid 10 virtual-ip 192.30.10.254//設置VLAN 10的虛擬IP地址

[S2-Vlan-interface10] vrrp vrid 10 priority 150//設置VLAN 10在S2上的優先級

[S2-Vlan-interface10] vrrp vrid 10 track 1 reduced 50//設置VLAN 10的track檢測

[S2] track 1 bfd echo interface Ethernet1/0/1 remote ip 10.0.0.5 local ip 10.0.0.6//bfd檢測

[S3]interface Vlan-interface10//在S2上開啟VLAN 10接口

[S3-Vlan-interface10]ip address 192.30.10.253 255.255.255.0//設置VLAN 10接口IP地址

[S3-Vlan-interface10]vrrp vrid 10 virtual-ip 192.30.10.254//設置VLAN 10的虛擬IP地址

[S3-Vlan-interface10]vrrp vrid 10 priority 110//設置VLAN 10在S3上的優先級

2.2 園區網絡路由的部署實現

本研究使用了網絡收斂速度更快、度量更加優化、無環路的OSPF路由協議。在本網絡中主要涉及到總部、分支機構和合作伙伴之間三部分網絡，在OSPF路由協議設計的過程中，總部網絡設備SW2，SW3，RT1，UTM上OSPF進程為10；在連接分部以及合作伙伴設備UTM，RT2，RT3上OSPF進程為20。

本文以UTM設備上的路由協議設置為例，連接了S1，S3，R2，R3等4個設備。在設備上部署OSPF路由協議，首先需要啟動OSPF進程，指定置OSPF骨干區域，在OSPF路由協議區域模式下將其所包含的直連網段添加其中，在完成了OSPF基本功能配置后再進行安全及優化設置。在UTM的OSPF區域和接口模式下使用ospf authentication？螄mode simple plain huainan命令啟用OSPF驗證，以此保護業務網段的數據安全。以太網接口的默認ospf網絡類型為broadcast，收斂時間較慢，為了優化OSPF網絡，以盡可能加快OSPF收斂速度，使用ospf network？螄type p2p命令將接口網絡類型調整為point？螄to？螄point類型。由于UTM同時處于OSPF進程10和進程20中，此時需要在各自進程中使用import？螄route ospf Process？螄id命令進行進程的相互引入。

在SW2，SW3，RT1，RT2，RT3上需要進行OSPF協議中進行基本功能配置、安全特性設置及網絡優化。為了保護服務器群的業務網段數據，提高OSPF路由協議的安全性，在匯聚層交換機S2和S3上服務器VLAN的接口上使用silent？螄interface命令可以將服務器網段虛擬局域網接口變成靜默接口，靜止發送OSPF報文，S2和S3可以學習到外部的路由，但其他路由器學習不到S2和S3連接的業務網段數據報文。

2.3 園區網絡VPN安全鏈路的實現

UTM是一種被稱為統一威脅管理的網絡安全設備，不僅可以部署路由功能還可以實現防火墻及防攻擊、防病毒等功能。在園區網中使用的是H3C系列U-200S，它具有5 kM的以太網接口，其中G0/0作為管理接口，其他接口作為配置接口，和總部網絡相連的G0/1和G0/2接口劃分在Trust安全域中，連接分部的G0/3接口和連接合作伙伴的G0/4接口劃分在Untrust安全域中。要實現數據在Trust和Untrust兩個安全域中傳輸需要在UTM創建域間策略規則進行數據引流，具體創建的域間策略規則有：Local域到Trust域、Local域到Untrust域、Trust域到local域、Untrust域到Local域、Untrust域到Trust域以及Trust域到Untrust域。在這些域間策略規則中設置需要通過的源IP地址和目的IP地址，最后將過濾動作設置為Permit，域間策略規則的實施在UTM上實現了數據的引流。上述部署可以在UTM圖形界面中基本配置的接口管理和安全域中實現。

在企業園區網絡中，為了保障總部與分部及合作伙伴鏈路的數據傳輸安全，使用了VPN（虛擬專用網）技術，它可以在公共的網絡中建立加密的傳輸隧道[5]。在測試過程中，分別在UTM和R2，UTM和R3之間通過GRE over IPSec的方式建立VPN進行數據通信。VPN部署的具體思路：① 首先設置ACL確定要保護的數據，此時主要保護總部業務網段和分部業務網段之間的相互訪問的數據；② 設置安全提議，這是建立加密隧道的基礎，根據具體情況此處采用了ESP安全協議，使用了DES加密算法和HMAC-SHA-1認證算法，保證數據的機密性和完整性；③ 設置安全策略，在安全策略中需要確定對業務數據流進行和保護措施，采用IKE自動協商方式與對等體生成秘鑰并建立SA；④ 最后，在接口上進行策略的應用，由于本研究使用了GRE over IPSec VPN，需要在Tunnel端口上進行策略的應用。

3 網絡調試與測試結果

網絡組建部署完畢后需要對網絡的功能進行測試，以確定網絡功能的實現。

（1） 路由測試。通過在路由器R2上使用display ip routing？螄table進行查看路由信息，R2已經學習到園區網絡中的全部路由信息。R2路由表如圖2所示。

（2） 鏈路通暢測試。在路由網絡部分部署成功的基礎上，為了進一步測試鏈路的通暢，在IRF的VLAN 10中接入一臺PC，作為市場部服務器，其IP地址為192.30.10.2，從分部R2發送數據至該服務器，如圖3所示實現了暢通。

（3） VPN測試。當UTM分別和R2及R3建立IPsec VPN后，需要在兩個受保護的網段之間相互發送數據流，才能夠激活IPSec SA，否則SA無法建立。圖4現實了分部R2上SA的建立情況。通過測試結果，可以清晰的看到UTM和R2之間的VPN已經成功建立，數據在傳輸的過程中進行了加密保護。

4 結 論

工程環境下園區網絡組建的實施，按照工程項目的實施流程，對網絡設備進行調試和網絡性能進行優化，使用了交換、路由、安全等方面的網絡技術，實現了網絡的暢通、可靠和安全。通過工程環境下的網絡設備仿真測試，增強了網絡技術人員的網絡工程實施能力，對網絡的設計方案進行了驗證，網絡功能進行了測試，加快了園區網絡的實施進度，對中小企業園區網絡的建設具有很好的現實意義。

參考文獻：

[1] 李長春. 基于小型企業網絡應用的實驗綜述[J]. 滁州職業技術學院學報，2014（2）：57-60.

[2] 孫光懿. 基于策略路由和NAT的多出口校園網仿真實驗設計[J]. 西北民族大學學報（自然科學版），2017，38（106）：14-20.

[3] 杭州華三通信技術有限公司. 路由交換技術（第3卷）[M]. 北京：清華大學出版社，2012.

[4] 朱婭晶. 論計算機網絡可靠性的優化策略[J]. 石家莊鐵路職業技術學院學報，2017（2）：72-75.

[5] 許葵元. 提高計算機網絡可靠性的方法研究[J]. 遼寧科技學院學報，2014（1）：15-17.