典型網(wǎng)絡(luò)工程的設(shè)計(jì)與部署

張傳山

摘 要：網(wǎng)絡(luò)與日常生活密不可分，如同道路和汽車的關(guān)系，信息抵達(dá)哪里網(wǎng)絡(luò)就要覆蓋到哪里。大型網(wǎng)絡(luò)建設(shè)使用設(shè)備多配置復(fù)雜，需要有很強(qiáng)的基礎(chǔ)理論知識(shí)和實(shí)踐經(jīng)驗(yàn)，即使這樣，高級(jí)工程師在實(shí)例部署時(shí)也需要查詢相關(guān)手冊(cè)，影響網(wǎng)絡(luò)建設(shè)質(zhì)量和故障排查效率。本文從實(shí)用角度出發(fā)，將本人多年的網(wǎng)絡(luò)經(jīng)驗(yàn)撰寫成典型案例，供相關(guān)人員參考實(shí)用。

關(guān)鍵詞：典型工程；系統(tǒng)集成；網(wǎng)絡(luò)技術(shù)

1 規(guī)劃和設(shè)計(jì)

典型網(wǎng)絡(luò)建設(shè)采用星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通常分為三個(gè)部分，分別為：中樞網(wǎng)絡(luò)建設(shè)、分支機(jī)構(gòu)網(wǎng)絡(luò)建設(shè)、臨時(shí)接入網(wǎng)絡(luò)建設(shè)三部分。中樞網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)的最核心部分，承載著集團(tuán)網(wǎng)絡(luò)的業(yè)務(wù)服務(wù)器、中樞區(qū)內(nèi)的辦公需求、各分支機(jī)構(gòu)的網(wǎng)絡(luò)接入和臨時(shí)移動(dòng)端的訪問(wèn)。分支機(jī)構(gòu)網(wǎng)絡(luò)建設(shè)是異地的辦事機(jī)構(gòu)，業(yè)務(wù)開展內(nèi)容需要與中心區(qū)網(wǎng)絡(luò)業(yè)務(wù)統(tǒng)一，需要與核心網(wǎng)絡(luò)的物理鏈接，城市間的網(wǎng)絡(luò)連接需要租用一條透明鏈路2M寬帶的DDN，通過(guò)QOS技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)線路的服務(wù)質(zhì)量和帶寬控制。而外地出差的移動(dòng)辦公人員需要通過(guò)IPsecVPN技術(shù)撥入到集團(tuán)絡(luò)網(wǎng)內(nèi)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)容的臨時(shí)訪問(wèn)邏輯鏈接。

設(shè)備選型時(shí)要注意幾點(diǎn)：一是高性能，有萬(wàn)兆級(jí)或千兆級(jí)可選，分布式交換級(jí)成本較高但性能足夠強(qiáng)勁；二是可擴(kuò)展性要好，能夠適應(yīng)網(wǎng)絡(luò)發(fā)展趨勢(shì)要求，兼容不同廠商不同品牌的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)升級(jí)改造時(shí)更容易實(shí)施；三是穩(wěn)定可靠，網(wǎng)絡(luò)設(shè)備開機(jī)時(shí)間較長(zhǎng)能夠連續(xù)工作，有互為冗余待用機(jī)制的硬件結(jié)構(gòu)設(shè)計(jì)，物理端口間有負(fù)載均衡功能或利用軟件功能實(shí)現(xiàn)對(duì)硬件的QOS控制；四是安全抗攻擊，網(wǎng)絡(luò)安全日益凸顯，有突發(fā)性、惡意性等的特點(diǎn)，采取分布式碎片化的飽和攻擊，能否抵御住各攻擊有相應(yīng)的安全過(guò)濾機(jī)制保障非常重要。

2 中樞網(wǎng)絡(luò)建設(shè)及部署

顧名思義，網(wǎng)絡(luò)的中樞是一個(gè)網(wǎng)絡(luò)的最核心部分，重要業(yè)務(wù)的功能都集中在核心層，這是網(wǎng)絡(luò)結(jié)構(gòu)決定的，也是業(yè)務(wù)系統(tǒng)需要的。處在核心位置方便系統(tǒng)的部署，滿足對(duì)基礎(chǔ)設(shè)施性能的要求，如：核心交換接入帶寬更高、核心設(shè)備的背板帶更寬、更便于維修、保養(yǎng)、排障等操作。根據(jù)前述原則，核心交換機(jī)有4個(gè)指標(biāo)：一是基本指標(biāo)，網(wǎng)絡(luò)接口類型、用戶可用插槽數(shù)、端口密度；二是功能指標(biāo)：VLAN劃分、堆疊、單播和組播協(xié)議支持、可網(wǎng)管、鏈路層是否具備彈性恢復(fù)的功能（如生成樹、鏈路捆綁）、在網(wǎng)絡(luò)層是否支持動(dòng)態(tài)路由協(xié)議、是否支持等價(jià)多路由功能、是否支持網(wǎng)關(guān)冗余協(xié)議（VRRP、HSRP）等；三是性能指標(biāo)，背板帶寬、包轉(zhuǎn)發(fā)率、支持的MAC地址數(shù)量、QOS；四是可靠性指標(biāo)，switch是否支持關(guān)鍵模塊的冗余（電源、風(fēng)扇、交換矩陣、引擎）。switch定型后，按照業(yè)務(wù)功能不同為各部門分配VLAN號(hào)，各VLAN間通利用三層交換功能實(shí)現(xiàn)VLAN間的路由，達(dá)到互聯(lián)互訪。為業(yè)務(wù)服務(wù)器劃出一個(gè)DMZ專區(qū)，用于業(yè)務(wù)流的訪問(wèn)。核心層交換機(jī)涉及幾個(gè)重要技術(shù)：

（1）STP（Spanning Tree Protocol生成樹協(xié)議）：雖然星型網(wǎng)絡(luò)很少會(huì)發(fā)生環(huán)路故障，但是網(wǎng)絡(luò)越大這種情況越無(wú)法避免，因此當(dāng)線路有環(huán)路時(shí)，STP會(huì)斷開環(huán)路防止廣播風(fēng)暴的產(chǎn)生，同時(shí)恢復(fù)備份通信。STP是一個(gè)基于二層實(shí)現(xiàn)的協(xié)議，可以在一個(gè)具有多VLAN、大量交換機(jī)、多廠商的復(fù)雜環(huán)境中很好的實(shí)施。在未啟用STP情況下，有時(shí)會(huì)發(fā)生網(wǎng)絡(luò)癱瘓，使用sniffer工具抓包發(fā)現(xiàn)，無(wú)目的幀充斥在全網(wǎng)循環(huán)發(fā)送，流量不斷升高，在未啟用STP情況下，故障很難排除。

（2）VLAN（Virtual Local Area Network虛擬局域網(wǎng)）：一個(gè)工作在二層的網(wǎng)絡(luò)協(xié)議，一個(gè)VLAN為一個(gè)廣播域，也就是我們所說(shuō)的局域網(wǎng)，利用它實(shí)現(xiàn)劃分不同網(wǎng)段，控制廣播范圍的目的，主要協(xié)議是802.1Q。

（3）SVI（switch virtual interface交換機(jī)虛擬接口）：即VLAN的虛擬三層邏輯接口，是一個(gè)三層技術(shù)，用于VLAN間的路由。

（4）Trunking：鏈路聚集，也叫中繼或干道基于OSI第二層，舉例說(shuō)明，A交換機(jī)一個(gè)端口配置為TRUNK，B交換機(jī)一個(gè)端口配置為TRUNK，用網(wǎng)線分別連接兩臺(tái)SW的TRUNK口，這條線就形成了干道，A交換機(jī)有VLAN1和VLAN2，B交換機(jī)中也有VLAN1和VLAN2，這樣通過(guò)干道A和B中的VLAN相互可以透?jìng)?，也就是說(shuō)，A交換機(jī)VLAN1里的PC可以與B交換機(jī)VLAN1里的PC進(jìn)行通訊，VLAN2同理。

3 分支機(jī)構(gòu)網(wǎng)絡(luò)建設(shè)及部署

各分支機(jī)構(gòu)的路由器分別與中樞區(qū)的匯聚路由器通過(guò)DDN專線鏈接，承擔(dān)著分支機(jī)構(gòu)的業(yè)務(wù)訪問(wèn)需求。各節(jié)點(diǎn)ROUTER與中樞區(qū)的總ROUTER實(shí)現(xiàn)P2P的典型配置。根據(jù)前述原則，核心路由器有6個(gè)指標(biāo)：一是基本指標(biāo)，網(wǎng)絡(luò)接口類型、用戶可用槽數(shù)、端口密度；二是功能指標(biāo)，路由協(xié)議支持、源地址路由支持、透明橋接、策略路由方式、PPP、MLPPP（多鏈路PPP）、PPPOE支持、組播支持（因特網(wǎng)組管理協(xié)議IGMP、距離矢量組播路由協(xié)議DVMRP、協(xié)議無(wú)關(guān)組播協(xié)議PIM）、VPN支持、加密方式、MPLS；三是性能指標(biāo)，全雙工線速轉(zhuǎn)發(fā)能力、設(shè)備吞吐量、端口吞吐量、背靠背楨數(shù)、路由表能力、背板能力、丟包率、時(shí)延、時(shí)延抖動(dòng)、VPN支持能力、無(wú)故障工作時(shí)間、內(nèi)部時(shí)鐘精度、Qos能力（隊(duì)列管理機(jī)制、端口硬件隊(duì)列數(shù)、QOS分類方式、分類業(yè)務(wù)帶寬保證、資源預(yù)留協(xié)議RSVP、區(qū)分服務(wù)IP DiffServ、CAR（承諾接入速率）支持）；四是可靠性指標(biāo)，冗余、熱插拔組件、路由器冗余協(xié)議VRRP；五是網(wǎng)管指標(biāo)，基于WEB的管理、網(wǎng)管類型、帶外網(wǎng)管支持、網(wǎng)管粒度、計(jì)費(fèi)能力/協(xié)議；六是分組語(yǔ)音能力，分組語(yǔ)音支持方式、協(xié)議支持、語(yǔ)音壓縮能力、端口密度、信令支持。核心、節(jié)點(diǎn)路由器涉及幾個(gè)重要技術(shù)：

（1）CBWFQ（class-based weighted fair queuing基于類的加權(quán)公平隊(duì)列）：通常使用ACL訪問(wèn)控制列表來(lái)定義數(shù)據(jù)流類別，實(shí)現(xiàn)對(duì)鏈路帶寬的負(fù)載均衡、策略路由、優(yōu)化控制。

（2）路由協(xié)議：主要是動(dòng)、靜態(tài)協(xié)議。

4 外地出差人員臨時(shí)接入部署

外地出差人員通過(guò)VPN客戶端軟件撥入到集團(tuán)絡(luò)網(wǎng)內(nèi)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)容的臨時(shí)訪問(wèn)。根據(jù)前述原則，各節(jié)點(diǎn)防火墻有3個(gè)指標(biāo)：一是基本指標(biāo)，產(chǎn)品類型（包括三種：基于包過(guò)濾技術(shù)的防火墻、基于代理的防火墻、基于狀態(tài)監(jiān)測(cè)的防火墻）、LAN接口；二是功能指標(biāo)，協(xié)議支持、加密支持、認(rèn)證支持、NAT支持、防御功能、管理功能、記錄和報(bào)表功能；三是性能指標(biāo)，并發(fā)連接數(shù)、吞吐量。重要技術(shù)：主要是IPsecVPN。

參考文獻(xiàn)

[1]周亞軍.思科CCIE路由交換v5實(shí)驗(yàn)指南[M].北京：電子工業(yè)出版社，2016-04-1.

[2]（美）赫卡著，羅進(jìn)文 等譯 POD-Cisco ASA、PIX與FWSM防火墻手冊(cè)（第二版）[M].北京：人民郵電出版社，2010-04-1.