摘　要：提供一種中型企業(yè)網(wǎng)絡(luò)建設(shè)的技術(shù)思路，著重介紹網(wǎng)絡(luò)建設(shè)中增強(qiáng)穩(wěn)定性和可靠性的幾種典型技術(shù)及實(shí)現(xiàn)。

　　關(guān)鍵詞：網(wǎng)絡(luò)結(jié)構(gòu)、冗余配置、路由策略、雙機(jī)熱備、服務(wù)品質(zhì)等

　　1　構(gòu)建穩(wěn)定可靠的企業(yè)網(wǎng)的目的和意義

　　現(xiàn)代企業(yè)，無(wú)論規(guī)模大小，建設(shè)不同要求的企業(yè)網(wǎng)對(duì)大多數(shù)企業(yè)而言是必須的。即便是一個(gè)最小規(guī)模的工作室，最簡(jiǎn)單的局域網(wǎng)都能給用戶帶來(lái)資源共享(文件共享)的便利和費(fèi)用的節(jié)省(比如共享上網(wǎng))。

　　隨著企業(yè)規(guī)模的擴(kuò)大，企業(yè)網(wǎng)是各信息應(yīng)用系統(tǒng)正常運(yùn)行的基礎(chǔ)，企業(yè)網(wǎng)帶給用戶的就不僅僅只有資源共享及節(jié)約費(fèi)用了，而是能和運(yùn)行在其上的信息應(yīng)用系統(tǒng)共同帶給用戶新的生產(chǎn)力。運(yùn)行在企業(yè)網(wǎng)之上的信息應(yīng)用系統(tǒng)涉及企業(yè)管理、生產(chǎn)的各個(gè)方面，能極大提高企業(yè)效率。因此，企業(yè)網(wǎng)的建設(shè)已是規(guī)模企業(yè)的必然選擇;同時(shí)，企業(yè)網(wǎng)的穩(wěn)定可靠也成為企業(yè)網(wǎng)建設(shè)中最重要的追求。

　　本文后面闡述的思想及技術(shù)實(shí)現(xiàn)適用于1 000人左右的企業(yè)用于構(gòu)建穩(wěn)定可靠的企業(yè)網(wǎng)。本文對(duì)網(wǎng)絡(luò)建設(shè)中的常規(guī)思路及通用做法著墨不多，以介紹經(jīng)驗(yàn)為主;重點(diǎn)介紹冗余技術(shù)的設(shè)計(jì)與實(shí)現(xiàn)。如果讀者的業(yè)對(duì)網(wǎng)絡(luò)的要求較低或從降低成本考慮，可適當(dāng)降低冗余配置程度，比如核心與各匯聚局域網(wǎng)以單鏈路連接、單因特網(wǎng)寬帶接入等，但這樣做的后果就是可靠性大大降低。本文的思路與技術(shù)實(shí)現(xiàn)已經(jīng)在實(shí)例網(wǎng)絡(luò)中得到體現(xiàn)。

　　2　構(gòu)建穩(wěn)定可靠企業(yè)網(wǎng)的幾個(gè)要點(diǎn)

　　2.1　穩(wěn)定可靠的網(wǎng)絡(luò)結(jié)構(gòu)

　　確立網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，除了要考慮可擴(kuò)展性、可管理性等方面外，更應(yīng)看重穩(wěn)定性、可靠性方面的設(shè)計(jì)。

　　首先確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。各種拓?fù)浣Y(jié)構(gòu)各有優(yōu)缺點(diǎn)也各有針對(duì)性，如果沒(méi)有特殊需求，一般建議選擇星型拓?fù)浣Y(jié)構(gòu)，因?yàn)檫@種拓?fù)浣Y(jié)構(gòu)有結(jié)構(gòu)簡(jiǎn)單、容易實(shí)現(xiàn)、便于管理及故障點(diǎn)容易檢測(cè)和排除。此結(jié)構(gòu)是目前構(gòu)建中小型企業(yè)網(wǎng)的主流結(jié)構(gòu)。但是星型結(jié)構(gòu)在可靠性方面有個(gè)大缺陷，就是中心節(jié)點(diǎn)的故障會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。對(duì)此缺陷，必須采取必要措施加以彌補(bǔ)，這個(gè)措施就是中心節(jié)點(diǎn)的冗余配置。企業(yè)網(wǎng)的中心節(jié)點(diǎn)一般是核心交換機(jī)。中心節(jié)點(diǎn)的冗余配置不是指設(shè)置2個(gè)中心，而是指加強(qiáng)作為中心節(jié)點(diǎn)的核心交換機(jī)的配置，使得中心節(jié)點(diǎn)非常可靠，不容易失敗。

　　接著，確定網(wǎng)絡(luò)的層次結(jié)構(gòu)。清晰合理的層次結(jié)構(gòu)也有利于網(wǎng)絡(luò)的穩(wěn)定可靠。網(wǎng)絡(luò)具有層次結(jié)構(gòu)，既有利于后期的管理，也有利于故障的隔離。在實(shí)例中，把網(wǎng)絡(luò)劃分成了三個(gè)層次：核心層、匯聚層、接入層。接入層直接為終端提供接入;匯聚層終結(jié)VLAN;核心層以轉(zhuǎn)發(fā)各局域網(wǎng)網(wǎng)間流量為主。

　　然后，確定同城不同區(qū)域局域網(wǎng)的互聯(lián)方法。這部分可根據(jù)企業(yè)應(yīng)用系統(tǒng)的要求，同時(shí)根據(jù)成本花銷(xiāo)情況(畢竟租用電信運(yùn)行商線路是很昂貴的)，選擇適合自己企業(yè)的互聯(lián)方法。可以租用數(shù)據(jù)專(zhuān)線，也可通過(guò)因特網(wǎng)以VPN的方式互聯(lián)。本例中，采取的是數(shù)據(jù)專(zhuān)線做互聯(lián)主鏈路，VPN做備用鏈路。

　　圖1就是按照上述思路強(qiáng)化了結(jié)構(gòu)的網(wǎng)絡(luò)實(shí)例拓?fù)鋱D。針對(duì)星型結(jié)構(gòu)的缺陷，中心節(jié)點(diǎn)由2臺(tái)核心交換機(jī)組成。核心交換機(jī)與各局域網(wǎng)都以雙鏈路連接，因特網(wǎng)寬帶也采取雙鏈路接入。

　　2.2　IP規(guī)劃及路由策略

　　IP規(guī)劃及路由策略問(wèn)題往往容易被中小型企業(yè)網(wǎng)設(shè)計(jì)者輕視，但等網(wǎng)絡(luò)建成了，才會(huì)發(fā)現(xiàn)由于前期缺少策劃導(dǎo)致后面的工作很繁瑣。

　　由于中型企業(yè)內(nèi)部網(wǎng)段比較多，如果仍然像在小型企業(yè)網(wǎng)那樣在私有網(wǎng)段內(nèi)隨意指定IP地址段，往往會(huì)導(dǎo)致后期的路由指向困難及其它問(wèn)題。

　　而路由策略不僅要考慮是否要啟用動(dòng)態(tài)路由，還要考慮采用路由聚合，及支持策略路由功能等。啟用動(dòng)態(tài)路由的理由是應(yīng)對(duì)可能的IP網(wǎng)段太多;采用路由聚合的理由是簡(jiǎn)化路由指向;策略路由能解決一些基于源地址的路由指向。

　　規(guī)劃IP時(shí)，適當(dāng)考慮可變長(zhǎng)度子網(wǎng)掩碼(VLSM)技術(shù)，便于靈活調(diào)整子網(wǎng)的個(gè)數(shù)及主機(jī)的數(shù)量，以滿足網(wǎng)絡(luò)劃分的不同數(shù)量要求。也要考慮路由聚合，把便于路由聚合的IP地址段分配給同一局域網(wǎng)內(nèi)。

　　在核心層啟用互聯(lián)網(wǎng)段，用于各匯聚層網(wǎng)絡(luò)的互聯(lián)互通。

　　2.3　遠(yuǎn)程接入及訪問(wèn)因特網(wǎng)部分的設(shè)計(jì)

　　這部分通常的網(wǎng)絡(luò)方案設(shè)計(jì)中，設(shè)計(jì)人員喜歡既配置了路由器又配置防火墻。其實(shí)，如果路由要求不高的情況下，可以只選配防火墻。

　　本網(wǎng)絡(luò)實(shí)例中，防火墻不但承擔(dān)了對(duì)因特網(wǎng)的訪問(wèn)任務(wù)，還承擔(dān)了外埠分支機(jī)構(gòu)的VPN接入任務(wù)。考慮到現(xiàn)代企業(yè)對(duì)因特網(wǎng)訪問(wèn)的依賴程度提高了，實(shí)例網(wǎng)絡(luò)安排了雙防火墻雙因特網(wǎng)接入。

　　而針對(duì)外埠分支機(jī)構(gòu)的專(zhuān)線接入，可直接接入核心交換機(jī)，也無(wú)需路由器。

　　這樣做的好處是結(jié)構(gòu)簡(jiǎn)單，在功能上也沒(méi)什么缺失。結(jié)構(gòu)簡(jiǎn)單的好處是低故障率，出了故障也容易排查。

　　2.4　網(wǎng)絡(luò)管理

　　網(wǎng)絡(luò)管理其實(shí)是開(kāi)始于設(shè)計(jì)階段的，設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)時(shí)要考慮后面的運(yùn)行管理，比如分層的網(wǎng)絡(luò)結(jié)構(gòu)讓VLAN終結(jié)在匯聚交換機(jī)。IP在規(guī)劃時(shí)考慮到路由的聚合，會(huì)給后期的路由指向帶來(lái)方便。

　　談網(wǎng)絡(luò)管理，必然要涉及網(wǎng)管軟件。網(wǎng)管軟件不是網(wǎng)絡(luò)管理的必需，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，它的作用就越大，也越重要。對(duì)于規(guī)模不大的中小型企業(yè)網(wǎng)絡(luò)，盡量在設(shè)計(jì)階段就考慮到管理因素而又針對(duì)性地設(shè)計(jì)，以求網(wǎng)絡(luò)開(kāi)始運(yùn)行后，在沒(méi)有采用任何網(wǎng)管軟件前能夠手工地較快速地定位故障點(diǎn)，進(jìn)而排除故障。

　　之所以有這樣的考慮，是因?yàn)檫x擇一種適合本企業(yè)網(wǎng)絡(luò)的網(wǎng)管軟件并不是一件簡(jiǎn)單的事情。選擇網(wǎng)管軟件首先要清楚，自己要管理什么，是性能管理?故障管理?配置管理?安全管理?計(jì)費(fèi)管理?或者全部，或者部分。其次，在技術(shù)上要清楚，網(wǎng)管軟件大體分三個(gè)層次，即網(wǎng)元治理、網(wǎng)絡(luò)層治理和業(yè)務(wù)治理，而本企業(yè)需要什么樣的治理?基于以上原因，網(wǎng)管軟件更適合在網(wǎng)絡(luò)系統(tǒng)建立并運(yùn)行后，在需求分析的基礎(chǔ)上選擇平臺(tái)級(jí)的網(wǎng)管軟件。開(kāi)始階段可選擇由設(shè)備廠商提供的網(wǎng)元治理類(lèi)的網(wǎng)管軟件，比如CISCO Works。

　　3　熱備功能的實(shí)現(xiàn)及其它功能的說(shuō)明

　　結(jié)構(gòu)上做了冗余設(shè)計(jì)，要真正地發(fā)揮設(shè)備和鏈路的熱備的作用，還要進(jìn)行相關(guān)設(shè)定后才能實(shí)現(xiàn)。其它功能也是企業(yè)網(wǎng)必須具備的。

　　3.1　HSRP實(shí)現(xiàn)雙機(jī)熱備

　　HSRP原理，首先由多臺(tái)路由器組成備份組，此備份組可看成是一臺(tái)虛擬的路由器，有獨(dú)立的虛擬IP，網(wǎng)內(nèi)主機(jī)以這臺(tái)虛擬路由器為網(wǎng)關(guān)。在備份組內(nèi)有一臺(tái)路由器是活動(dòng)路由器，由它來(lái)完成虛擬路由器的工作，當(dāng)此臺(tái)活動(dòng)路由器出故障時(shí)，組內(nèi)的另一臺(tái)路由器會(huì)接替活動(dòng)路由器，來(lái)完成虛擬路由器的轉(zhuǎn)發(fā)工作。而這些，對(duì)網(wǎng)內(nèi)主機(jī)是透明的，它們只能看到虛擬路由器。CISCO大部分3層交換機(jī)都支持HSRP。

　　以某VLAN為例給出設(shè)置要點(diǎn)。

　　1、在核心交換機(jī)A上

　　Interface VLAN7

　　ip address 192.168.7.253 255.255.255.0

　　standby 7 192.168.7.254　　/*虛擬路由器的IP

　　standby 7 priority 110　　　/*設(shè)置優(yōu)先級(jí)

　　standby 7 preempt　　　　 /*設(shè)置搶占模式

　　2、在核心交換機(jī)B上

　　Interface VLAN7

　　ip address 192.168.7.252 255.255.255.0

　　standby 7 192.168.7.254

　　standby 7 preempt

　　3、在網(wǎng)內(nèi)電腦上

　　把網(wǎng)關(guān)設(shè)置為192.168.7.254

　　3.2　SLA實(shí)現(xiàn)雙鏈路自動(dòng)切換

　　SLA(Service Level Agreement)服務(wù)品質(zhì)保障協(xié)議，可用于網(wǎng)絡(luò)偵測(cè)，通過(guò)發(fā)送指定協(xié)議的報(bào)文來(lái)偵測(cè)鏈路的情況，根據(jù)鏈路情況選擇路由。

　　如果第二鏈路是另一家電信運(yùn)營(yíng)商的租用線路，實(shí)現(xiàn)此功能相對(duì)簡(jiǎn)單。如果考慮降低成本，一線多用，可用寬帶線路通過(guò)IPSEC VPN來(lái)搭建第二鏈路，這就多了IPSEC VPN的設(shè)置工作。

　　由于IPSEC VPN的實(shí)現(xiàn)因網(wǎng)關(guān)設(shè)備的不同而不同，本文就省略這部分設(shè)置的說(shuō)明，只說(shuō)明下交換機(jī)端的設(shè)置要點(diǎn)。實(shí)現(xiàn)原理：路由器(或三層交換機(jī))通過(guò)(ICMP)PING遠(yuǎn)端路由器(或三層交換機(jī))來(lái)驗(yàn)證第一鏈路的狀態(tài)，如果第一鏈路失敗，則激活第二鏈路，實(shí)現(xiàn)故障切換。使用對(duì)象跟蹤功能(object track)保證靜態(tài)路由的可靠備份。

　　ip sla 1

　　icmp-echo 192.168.1.6 　/*ping遠(yuǎn)端交換機(jī)第一鏈路接口

　　timeout 1000

　　threshold 2

　　frequency 3

　　ip sla schedule 1 life forever start-time now

　　……

　　track 1 ip sla 1 reachability　/*跟蹤ip sla 1，如果沒(méi)有返回ping包，則track狀態(tài)為down

　　……

　　ip route 192.168.176.0　255.255.240　192.168.1.6　track 1　/*只有track狀態(tài)為up時(shí)，此靜態(tài)路由建立。如果track為down，則下面這條路有開(kāi)始轉(zhuǎn)發(fā)數(shù)據(jù)。

　　ip route 192.168.176.0 255.255.240.0 192.168.1.2 10

　　注：遠(yuǎn)端網(wǎng)絡(luò)由若干C類(lèi)網(wǎng)段組成，所以掩碼是255.255.240.0，這里采用了路由聚合。要采用路由聚合，必須先有網(wǎng)絡(luò)地址規(guī)劃，即便是私有地址，也不可以隨意指定。

　　3.3　其它功能

　　其它幾個(gè)基本功能，有些是必須要采用的功能，比如VLAN、DHCP、訪問(wèn)控制列表等，能滿足基本的網(wǎng)絡(luò)管理要求;有些則是高級(jí)功能，如策略路由、QoS、動(dòng)態(tài)路由等，能滿足一些高級(jí)的網(wǎng)絡(luò)管理要求，或者能提供管理的方便性。

　　對(duì)于VLAN、DHCP、訪問(wèn)控制列表的使用，是企業(yè)網(wǎng)絡(luò)管理中最基本的要求，網(wǎng)絡(luò)管理員都應(yīng)熟練掌握，本文不再贅述。而那些高級(jí)功能，則在網(wǎng)絡(luò)運(yùn)轉(zhuǎn)起來(lái)后，根據(jù)需求決定是否采用。我在此提醒一下，有些功能需要交換機(jī)OS(操作系統(tǒng))的升級(jí)。比如策略路由，一般三層交換機(jī)預(yù)裝的OS都不支持，如果本企業(yè)確實(shí)需要這樣的功能，可以通過(guò)升級(jí)OS來(lái)得到。

　　4　結(jié)束語(yǔ)

　　基于上述思路具有了冗余設(shè)計(jì)的實(shí)例網(wǎng)絡(luò)在建成后，除了正常提供基本的網(wǎng)絡(luò)功能外，在運(yùn)行過(guò)程中還經(jīng)歷過(guò)一系列的故障的考驗(yàn)。某臺(tái)核心交換機(jī)的一塊接口業(yè)務(wù)板曾經(jīng)損壞，由于是雙核心交換機(jī)配置，得以迅速切換到另一臺(tái)交換機(jī)，短時(shí)間內(nèi)恢復(fù)了用戶網(wǎng)絡(luò)。核心網(wǎng)絡(luò)與某局域網(wǎng)的電信專(zhuān)線連接也因?yàn)殡娦欧降墓收隙袛噙^(guò)多次，而因?yàn)椴捎昧嘶赟LA技術(shù)的設(shè)置實(shí)現(xiàn)了鏈路的自動(dòng)切換，對(duì)用戶應(yīng)用并沒(méi)有造成可感知的延時(shí)。以上事實(shí)足以證明實(shí)例網(wǎng)絡(luò)在強(qiáng)化冗余能力方面的設(shè)計(jì)是成功的。

　　當(dāng)然，一方面的成功，不代表此網(wǎng)絡(luò)方案就完美無(wú)缺，其實(shí)，就實(shí)例網(wǎng)絡(luò)方案而言，缺點(diǎn)還很多，比如照顧了結(jié)構(gòu)簡(jiǎn)單帶來(lái)的穩(wěn)定，但并不能增強(qiáng)網(wǎng)絡(luò)的安全。本文主要闡述了為了追求網(wǎng)絡(luò)的穩(wěn)定和可靠，在方案設(shè)計(jì)上偏重的冗余設(shè)計(jì)部分。而在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，還應(yīng)考慮后期網(wǎng)絡(luò)管理及網(wǎng)絡(luò)安全。如果在設(shè)計(jì)階段，無(wú)法過(guò)多的考慮網(wǎng)絡(luò)安全的因素，一定要在網(wǎng)絡(luò)建成后加強(qiáng)網(wǎng)絡(luò)安全建設(shè)。