愷英網(wǎng)絡(luò)公司的網(wǎng)絡(luò)改造研究

摘要：針對(duì)上海愷英網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)系統(tǒng)存在的信號(hào)弱、并發(fā)慢、網(wǎng)延時(shí)高、設(shè)備宕機(jī)等問題，我司通過對(duì)網(wǎng)絡(luò)環(huán)境實(shí)際狀況的綜合考察，進(jìn)行了網(wǎng)絡(luò)改造。本文介紹了我司網(wǎng)絡(luò)改造的相關(guān)背景和在網(wǎng)絡(luò)改造過程中所遵循的相關(guān)設(shè)計(jì)原則，進(jìn)一步介紹我司現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，將原有網(wǎng)絡(luò)架構(gòu)進(jìn)行優(yōu)化。在網(wǎng)絡(luò)環(huán)境改造項(xiàng)目中，根據(jù)我司的現(xiàn)有環(huán)境，設(shè)計(jì)了2大塊網(wǎng)絡(luò)整體規(guī)劃，分別為辦公網(wǎng)絡(luò)模塊和WIFI無線模塊。每一塊設(shè)計(jì)了三級(jí)層次化的網(wǎng)絡(luò)冗余結(jié)構(gòu)，硬件與技術(shù)上的設(shè)計(jì)架構(gòu)保證了公司網(wǎng)絡(luò)環(huán)境性能的高效性與安全性。2021年6月，我司辦公網(wǎng)絡(luò)環(huán)境改造項(xiàng)目升級(jí)成功，建立后的網(wǎng)絡(luò)滿足公司所有部門網(wǎng)絡(luò)需求，并對(duì)今后各種大型網(wǎng)絡(luò)環(huán)境業(yè)務(wù)的開發(fā)與需求具有較強(qiáng)的延伸性與擴(kuò)展性。

關(guān)鍵詞：網(wǎng)絡(luò)改造;wifi;辦公網(wǎng)絡(luò)

1.引言

上海愷英網(wǎng)絡(luò)有限公司的網(wǎng)絡(luò)于2013年建成，網(wǎng)絡(luò)采用的點(diǎn)到點(diǎn)單點(diǎn)直連架構(gòu)，線材為非標(biāo)準(zhǔn)5類線，接入層設(shè)備統(tǒng)一設(shè)備品牌H3C，主要服務(wù)于各個(gè)工位之間的網(wǎng)絡(luò)鏈接。核心為H3C-7506E相當(dāng)于匯聚與策略路由轉(zhuǎn)向燈，出口上采用防火墻1：銳捷EG200GE服務(wù)于公司辦公位網(wǎng)絡(luò)出口。防火墻2：華為U200，服務(wù)于機(jī)房服務(wù)器出口。WIFI采用unify網(wǎng)絡(luò)環(huán)境，服務(wù)與辦公網(wǎng)與業(yè)務(wù)網(wǎng)的日常wifi。還有流控管理-深信服AC、移動(dòng)辦公-深信服sslvpn等。

近年來，隨著公司人員擴(kuò)招與業(yè)務(wù)展開，愷英網(wǎng)絡(luò)辦公網(wǎng)規(guī)模的需求逐漸增大，各種泛娛樂業(yè)務(wù)環(huán)境需求不斷增加、以及對(duì)網(wǎng)絡(luò)性能需求的提高，愷英內(nèi)部網(wǎng)絡(luò)系統(tǒng)越來越大，越來越難以管理，網(wǎng)絡(luò)環(huán)境也愈加復(fù)雜，在現(xiàn)有環(huán)境運(yùn)行中出現(xiàn)信號(hào)弱、功率低、并發(fā)慢、網(wǎng)延時(shí)高、設(shè)備宕機(jī)等問題。希望通過網(wǎng)絡(luò)架構(gòu)的優(yōu)化與改造來提高公司網(wǎng)絡(luò)環(huán)境的水平。增強(qiáng)公司整體網(wǎng)絡(luò)實(shí)力，從而為項(xiàng)目部提供高效的網(wǎng)絡(luò)環(huán)境。2021年年初，決定對(duì)公司進(jìn)行網(wǎng)絡(luò)環(huán)境改造項(xiàng)目，將眾多網(wǎng)絡(luò)節(jié)點(diǎn)、鏈路、冗余重新梳理與優(yōu)化。其目的是為了增強(qiáng)公司網(wǎng)絡(luò)效率，防范網(wǎng)絡(luò)宕機(jī)的風(fēng)險(xiǎn)，增強(qiáng)自身網(wǎng)絡(luò)發(fā)展，同時(shí)更方便地支持各個(gè)業(yè)務(wù)部門，滿足未來網(wǎng)絡(luò)環(huán)境需求。

2.網(wǎng)絡(luò)改造設(shè)計(jì)原則

首先是為了解決我們公司wifi信號(hào)弱、功率低、并發(fā)慢、網(wǎng)延時(shí)高和設(shè)備宕機(jī)等問題，新的網(wǎng)絡(luò)系統(tǒng)要具備較高的數(shù)據(jù)處理能力，滿足大量各類工作人員的辦公需求，同時(shí)考慮愷英網(wǎng)絡(luò)公司未來信息系統(tǒng)的發(fā)展需求。

其次，網(wǎng)絡(luò)系統(tǒng)還應(yīng)該能夠全方位的防護(hù)數(shù)據(jù)，防止病毒、外部入侵和黑客攻擊。

最后，在保證各項(xiàng)功能實(shí)現(xiàn)良好的基礎(chǔ)上，還要充分地利用現(xiàn)有資源，節(jié)省成本、統(tǒng)籌兼顧。為實(shí)現(xiàn)以上目標(biāo)，在本次網(wǎng)絡(luò)改造過程中，我們遵循以下幾點(diǎn)改造原則：

2.1 先進(jìn)性和實(shí)用性

愷英公司的網(wǎng)絡(luò)改造首先參照國際規(guī)范和標(biāo)準(zhǔn)，使用國際上先進(jìn)的技術(shù)，借鑒國內(nèi)外的成功經(jīng)驗(yàn)，且使愷英的網(wǎng)絡(luò)系統(tǒng)符合網(wǎng)絡(luò)運(yùn)用的發(fā)展趨勢(shì)。同時(shí)要滿足各項(xiàng)功能需求。

2.2 可靠性

在網(wǎng)絡(luò)設(shè)計(jì)中，網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定及可靠是整個(gè)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要保證。在網(wǎng)絡(luò)改造過程中，應(yīng)該充分分析雙機(jī)冷備份方案的設(shè)計(jì)，使得改進(jìn)后的網(wǎng)絡(luò)環(huán)境擁有不間斷網(wǎng)絡(luò)業(yè)務(wù)、網(wǎng)絡(luò)自動(dòng)切換與恢復(fù)的能力。其次網(wǎng)絡(luò)環(huán)境中的核心設(shè)備的主要部件是否有故障隱患的可能性與故障恢復(fù)時(shí)效性，來保障公司網(wǎng)絡(luò)出現(xiàn)局部故障時(shí)，現(xiàn)有網(wǎng)絡(luò)環(huán)境依然能夠正常運(yùn)行，以便于網(wǎng)絡(luò)運(yùn)維人員對(duì)故障的診斷和排除。

2.3 高性能

網(wǎng)絡(luò)系統(tǒng)的性能是整個(gè)網(wǎng)絡(luò)環(huán)境命脈，所以愷英的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中必須能保障網(wǎng)絡(luò)的高吞吐能力，能保證各種數(shù)據(jù)的高質(zhì)量傳輸，才能為公司業(yè)務(wù)開展提供便利而不是成為瓶頸。

2.4 擴(kuò)展性

網(wǎng)絡(luò)系統(tǒng)應(yīng)該擁有良好的可擴(kuò)展性，在愷英網(wǎng)絡(luò)發(fā)展中，在設(shè)備故障與更新中必須可以平滑地更換、擴(kuò)充與升級(jí)，能極大的減少對(duì)整體網(wǎng)絡(luò)架構(gòu)的調(diào)整與網(wǎng)絡(luò)的影響，充分保護(hù)原來的架構(gòu)設(shè)計(jì)，減少成本。

3.網(wǎng)絡(luò)架構(gòu)方案和技術(shù)核心

愷英網(wǎng)絡(luò)以游戲業(yè)務(wù)為核心，集游戲研發(fā)、運(yùn)營與發(fā)行為一體。公司通過游戲產(chǎn)品和發(fā)行平臺(tái)為主流進(jìn)行橫縱布局。網(wǎng)絡(luò)環(huán)境非常復(fù)雜。愷英網(wǎng)絡(luò)公司的原有網(wǎng)絡(luò)架構(gòu)如圖1所示：

此次網(wǎng)絡(luò)改造對(duì)愷英網(wǎng)絡(luò)辦公樓的2個(gè)樓面做網(wǎng)絡(luò)改造替換建設(shè)，為了滿足泛娛樂網(wǎng)絡(luò)環(huán)境，決定使用無線辦公網(wǎng)絡(luò)全覆蓋，有線網(wǎng)絡(luò)全升級(jí)優(yōu)化。無線接入終端預(yù)計(jì)為2000個(gè)，有線接入終端預(yù)計(jì)3000個(gè)，且對(duì)辦公大樓網(wǎng)絡(luò)做規(guī)劃設(shè)計(jì)。

基于公司實(shí)際發(fā)展與反復(fù)論證的綜合比較，并考慮到公司網(wǎng)絡(luò)的運(yùn)行現(xiàn)狀，通過思科、博大、H3C、華為、銳捷等廠商的網(wǎng)絡(luò)設(shè)備性價(jià)比的對(duì)比，最終選取華為系列網(wǎng)絡(luò)設(shè)備，并設(shè)計(jì)出了整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖。整個(gè)網(wǎng)絡(luò)系統(tǒng)分為二大塊，wifi模塊、辦公網(wǎng)絡(luò)模塊。每塊分為三個(gè)層次，分別是接入層、核心層、防火墻出口層。經(jīng)過網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)架構(gòu)如圖2所示：

兩大模塊的核心技術(shù)及構(gòu)造過程如下：

（1）辦公網(wǎng)絡(luò)環(huán)境

在核心機(jī)房采用防火墻、電信光纖、2層、三層交換機(jī)等設(shè)備鏈接服務(wù)器環(huán)境、wifi環(huán)境、辦公網(wǎng)絡(luò)環(huán)境，各個(gè)工位到接入層交換機(jī)由原來的5類線替換為6類線。從而構(gòu)建起辦公室局域網(wǎng)絡(luò)。

其中，核心交換機(jī)采用S6730進(jìn)行堆疊，目的是為了可靠冗余性，性能優(yōu)良性，具有優(yōu)良的容錯(cuò)能力，以及良好的擴(kuò)展性。防火墻采用USG-6555E，通過HA技術(shù)實(shí)現(xiàn)設(shè)備的雙機(jī)備份，在出口做負(fù)載均衡以及出口的流控規(guī)則，實(shí)現(xiàn)廣域網(wǎng)與局域網(wǎng)之間的網(wǎng)絡(luò)管控。同時(shí)鏈路聚合LACP模式的使用，能在不進(jìn)行硬件升級(jí)的條件下，將多個(gè)物理接口捆綁為一個(gè)邏輯接口，從而達(dá)到增加鏈路帶寬，保證系統(tǒng)運(yùn)行的可靠性的目的。并且能在實(shí)現(xiàn)增大帶寬的同時(shí)，又能有效的提高設(shè)備之間的可靠性。每臺(tái)防火墻通過多模光纖鏈分別至兩臺(tái)核心交換機(jī)，進(jìn)行端口聚合，將鏈路進(jìn)行捆綁，保證鏈路上的可靠性與安全性。接入層做環(huán)形堆疊，單個(gè)設(shè)備光口直連核心，對(duì)該端口線路做鏈路聚合，可最大程度達(dá)到安全、冗余效果。從而優(yōu)化設(shè)備管理終端與端口規(guī)劃。與此同時(shí)，核心交換機(jī)其余40G端口可以進(jìn)行擴(kuò)容增加服務(wù)器匯聚交換機(jī)。這與原來的網(wǎng)絡(luò)環(huán)境形成了強(qiáng)烈的對(duì)比，原來網(wǎng)絡(luò)全是點(diǎn)到點(diǎn)，單線直連，如一臺(tái)設(shè)備故障，設(shè)備下其他直連將無法工作。該套方案徹底解決網(wǎng)絡(luò)無冗余、無備份、無負(fù)載、管理復(fù)雜等情況。為后期網(wǎng)絡(luò)擴(kuò)展提供優(yōu)良扎實(shí)的基礎(chǔ)。

（2）wifi網(wǎng)絡(luò)環(huán)境

老的wifi網(wǎng)絡(luò)架構(gòu)不成體系，沒有配套的架構(gòu)圖與統(tǒng)一的管理方式，本次講全新設(shè)計(jì)WIFI網(wǎng)絡(luò)系統(tǒng)。兩臺(tái)WIFI-AC6508進(jìn)行旁掛。AC無線控制器采用雙機(jī)，進(jìn)行HA部署，確保wifi環(huán)境的可靠性與穩(wěn)定性。下行直接通過萬兆端口接入各個(gè)樓層間的接入交換機(jī)。每臺(tái)接入雙上行分別至兩臺(tái)核心交換機(jī)，包括將原來的Poe交換機(jī)也在這次改造中改成雙上行鏈路。

無線AP 根據(jù)前期現(xiàn)場(chǎng)工勘和公司實(shí)際情況，采用高密接入型設(shè)備AP6050DN，進(jìn)行全公司無線網(wǎng)的覆蓋。無線認(rèn)證采用AAA Radius認(rèn)證方式。把無線設(shè)備做802.1x認(rèn)證代理模式，負(fù)責(zé)連接公司AD系統(tǒng)的Radius認(rèn)證服務(wù)，負(fù)責(zé)用戶與Radius服務(wù)之間身份認(rèn)證信息的轉(zhuǎn)發(fā)，而無線用戶就作為802.1x的請(qǐng)求方。這樣做能使此認(rèn)證方式利于帳號(hào)與AD域帳號(hào)統(tǒng)一管理，既提高了賬戶安全性，又提高了管理的方便性，也提高了管控性。

另一方面，為了建立獨(dú)立安全的vlan環(huán)境。設(shè)計(jì)出根據(jù)不同射頻和訪客業(yè)務(wù)進(jìn)行區(qū)分SSID，如 2.4G SSID ，5G SSID，訪客guest SSID等，2.4G SSID的開設(shè)是為了以防老型號(hào)設(shè)備無法正常連接5G射頻。又對(duì)不同射頻SSID中的VLAN進(jìn)行了安全性設(shè)計(jì)與規(guī)劃，管理VLAN、業(yè)務(wù)VLAN與訪客VLAN之間互相分離，其中業(yè)務(wù)VLAN又根據(jù)實(shí)際業(yè)務(wù)需求建立獨(dú)立安全的vlan環(huán)境。

其中最重要的點(diǎn)在于WLAN信道規(guī)劃，它將影響到無線網(wǎng)絡(luò)的帶寬、性能、擴(kuò)展以及抗干擾能力，也將直接影響到公司員工對(duì)WIFI使用的直觀體驗(yàn)。本次WLAN設(shè)計(jì)了通過信道覆蓋密度與信道干擾因素，選擇了2.4G/5G單頻或雙頻覆蓋方式，其目的如下：

2.1 AP交替使用2.4G的2、7、12信道5.0G的36、40、44信道模式，啟用單頻進(jìn)行覆蓋，避免信號(hào)相互干擾;

2.2 對(duì)于會(huì)議室等高密度用戶接入的場(chǎng)所，將獨(dú)立使用2.4G或5.0G的頻段，啟用雙頻進(jìn)行覆蓋，以便提供更好的接入能力與并發(fā)能力。

Wifi改造后的網(wǎng)絡(luò)架構(gòu)如圖3所示：

本次網(wǎng)絡(luò)改造中，將辦公網(wǎng)絡(luò)環(huán)境和wifi環(huán)境兩大塊作為重點(diǎn)，適應(yīng)愷英網(wǎng)絡(luò)公司的未來發(fā)展需要，下一部分介紹本次網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)。

4.網(wǎng)絡(luò)系統(tǒng)特點(diǎn)

4.1 辦公網(wǎng)環(huán)境多種協(xié)議保證了系統(tǒng)的高效性。在主線路采用5條ADSL，通過PPPOE協(xié)議來進(jìn)行撥號(hào)，備份線路采用1條電信專線，通過PPP協(xié)議來上網(wǎng)。在防火墻設(shè)置CHAP認(rèn)證模式來保證公司員工對(duì)網(wǎng)絡(luò)的訪問。另外利用PPP協(xié)議與PPPOE協(xié)議的IP協(xié)商機(jī)制，公司網(wǎng)絡(luò)的升級(jí)和擴(kuò)容利于IP規(guī)劃、利用PPP協(xié)議與PPPOE協(xié)議的鏈路檢測(cè)機(jī)制，這樣可以保證鏈路的傳輸效率和端口流量的并發(fā)。在核心架構(gòu)處采用主機(jī)堆疊復(fù)用的方案，線路切換速度快，效率高、網(wǎng)絡(luò)波動(dòng)小;而出口防火墻采用HA冷熱備份方式，同時(shí)做線路負(fù)載均衡技術(shù)處理，讓每條線路都能合理充分的利用到每條ADSL線路。

4.2 多種技術(shù)手段與預(yù)警方案保證了網(wǎng)絡(luò)的穩(wěn)定性與安全性。該網(wǎng)絡(luò)系統(tǒng)通過鏈路聚合技術(shù)、堆疊技術(shù)、HA技術(shù)、防火墻流控技術(shù)、防火墻負(fù)載均衡技術(shù)和各級(jí)身份鑒別及高質(zhì)量的設(shè)備把外界的攻擊、內(nèi)部不規(guī)范的上網(wǎng)行為、內(nèi)部老舊的硬件等對(duì)網(wǎng)絡(luò)環(huán)境的影響降到了最低。

4.3 線路冗余設(shè)計(jì)提高了網(wǎng)絡(luò)可靠性。本次網(wǎng)絡(luò)改造方案充分考慮到公司辦公網(wǎng)絡(luò)復(fù)雜大環(huán)境特點(diǎn)、設(shè)備老舊的情況以及網(wǎng)絡(luò)不可靠因素，每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都使用了雙機(jī)冗余線路。當(dāng)線路、設(shè)備端口出現(xiàn)故障時(shí)，策略路由能自動(dòng)切換到冗余線路，這個(gè)切換過程對(duì)用戶來說是透明無感的，而且切換迅速。

4.4 網(wǎng)絡(luò)環(huán)境簡單、易管理、易維護(hù)。公司網(wǎng)絡(luò)改造建設(shè)的必備條件，通過自主搭建監(jiān)控軟件普羅米修斯系統(tǒng)對(duì)各種網(wǎng)絡(luò)設(shè)備與設(shè)備性能進(jìn)行監(jiān)控和管理。

4.5 基于用戶的流量管理，能做到防止P2P業(yè)務(wù)占用帶寬導(dǎo)致其他用戶無法正常使用無線網(wǎng)絡(luò)，基于SSID的流量管理，能做到預(yù)防某些SSID用戶流量過大影響其他SSID用戶的正常業(yè)務(wù)，比如訪客SSID的流量控制。

4.6 鏈路聚合的設(shè)計(jì)提高鏈路帶寬，增強(qiáng)了網(wǎng)絡(luò)可用性，支持設(shè)備的負(fù)載分擔(dān)。本次項(xiàng)目設(shè)計(jì)是把兩臺(tái)設(shè)備之間的多條物理鏈路聚合在一起，當(dāng)一條邏輯鏈路來使用。鏈路中一個(gè)成員接口發(fā)生故障，該成員的物理鏈路會(huì)把流量切換到另一條鏈路上;鏈路聚合可以在一個(gè)接口上實(shí)現(xiàn)負(fù)載均衡，一個(gè)聚合口可以把流量分散到多個(gè)不同的成員口上，通過成員鏈路把流量發(fā)送到同一個(gè)目的地，將網(wǎng)絡(luò)產(chǎn)生擁塞的可能性降到最低。

4.7 WIFI采用AAA Radius與AD域控賬戶做對(duì)接的認(rèn)證方式，利于帳號(hào)與AD域帳號(hào)統(tǒng)一管理、統(tǒng)一認(rèn)證，既保障了賬戶的安全性、提降低了管理成，也提高了賬戶管理的便捷性與管控性。

4.8 針對(duì)WLAN方案的設(shè)計(jì)提高了公司無線網(wǎng)絡(luò)的各方面的性能以及抗干擾能力。優(yōu)化了公司員工上網(wǎng)體驗(yàn)，避免信號(hào)相互干擾又實(shí)現(xiàn)了各個(gè)業(yè)務(wù)之間互相分離。

5.實(shí)施效果

游戲公司的網(wǎng)絡(luò)改造是一個(gè)非常復(fù)雜的工程，通過對(duì)網(wǎng)絡(luò)改造的精心規(guī)劃與準(zhǔn)備，分步實(shí)施各項(xiàng)改造計(jì)劃，加上愷英的領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)改造項(xiàng)目的大力支持，使得網(wǎng)絡(luò)改造工程的實(shí)施取得了預(yù)期的效果。

2021年6月，我司網(wǎng)絡(luò)升級(jí)改造項(xiàng)目圓滿成功，建成后的網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)了辦公環(huán)境、研發(fā)環(huán)境、WiFi環(huán)境的所有業(yè)務(wù)需求，并對(duì)今后各種新業(yè)務(wù)的開發(fā)具有較強(qiáng)的擴(kuò)展能力，是一套基于用戶、業(yè)務(wù)、設(shè)備等先進(jìn)網(wǎng)絡(luò)系統(tǒng)的管理模式。網(wǎng)絡(luò)系統(tǒng)的建成，不僅提高了公司業(yè)務(wù)部門工作效率和支撐部門業(yè)務(wù)處理能力，也樹立了IT運(yùn)維部在公司的新形象，同時(shí)，還為我司大量泛娛樂業(yè)務(wù)的開展以及未來的長足發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)：

[1] 任忠敏、林達(dá)峻、干峰等，數(shù)字化醫(yī)院中的網(wǎng)絡(luò)改造建設(shè)[J]，醫(yī)學(xué)信息（上旬刊），2007， 20（008）：1313-1315.

[2] 彭澎，計(jì)算機(jī)網(wǎng)絡(luò)教程[M]，北京：機(jī)械工業(yè)出版社，2002.

作者簡介：李汪林，1990，男，漢，籍貫：常德，職務(wù)職稱：IT經(jīng)理，學(xué)歷：本科，單位：上海愷英軟件技術(shù)有限公司 ，研究方向：公司的網(wǎng)絡(luò)改造與優(yōu)化，單位所在省市及郵編：上海，210000