典型網絡工程的設計與部署

張傳山

摘 要：網絡與日常生活密不可分，如同道路和汽車的關系，信息抵達哪里網絡就要覆蓋到哪里。大型網絡建設使用設備多配置復雜，需要有很強的基礎理論知識和實踐經驗，即使這樣，高級工程師在實例部署時也需要查詢相關手冊，影響網絡建設質量和故障排查效率。本文從實用角度出發，將本人多年的網絡經驗撰寫成典型案例，供相關人員參考實用。

關鍵詞：典型工程；系統集成；網絡技術

1 規劃和設計

典型網絡建設采用星型網絡拓撲結構，通常分為三個部分，分別為：中樞網絡建設、分支機構網絡建設、臨時接入網絡建設三部分。中樞網絡是整個網絡的最核心部分，承載著集團網絡的業務服務器、中樞區內的辦公需求、各分支機構的網絡接入和臨時移動端的訪問。分支機構網絡建設是異地的辦事機構，業務開展內容需要與中心區網絡業務統一，需要與核心網絡的物理鏈接，城市間的網絡連接需要租用一條透明鏈路2M寬帶的DDN，通過QOS技術實現對網絡線路的服務質量和帶寬控制。而外地出差的移動辦公人員需要通過IPsecVPN技術撥入到集團絡網內，實現對網絡內容的臨時訪問邏輯鏈接。

設備選型時要注意幾點：一是高性能，有萬兆級或千兆級可選，分布式交換級成本較高但性能足夠強勁；二是可擴展性要好，能夠適應網絡發展趨勢要求，兼容不同廠商不同品牌的網絡設備，網絡升級改造時更容易實施；三是穩定可靠，網絡設備開機時間較長能夠連續工作，有互為冗余待用機制的硬件結構設計，物理端口間有負載均衡功能或利用軟件功能實現對硬件的QOS控制；四是安全抗攻擊，網絡安全日益凸顯，有突發性、惡意性等的特點，采取分布式碎片化的飽和攻擊，能否抵御住各攻擊有相應的安全過濾機制保障非常重要。

2 中樞網絡建設及部署

顧名思義，網絡的中樞是一個網絡的最核心部分，重要業務的功能都集中在核心層，這是網絡結構決定的，也是業務系統需要的。處在核心位置方便系統的部署，滿足對基礎設施性能的要求，如：核心交換接入帶寬更高、核心設備的背板帶更寬、更便于維修、保養、排障等操作。根據前述原則，核心交換機有4個指標：一是基本指標，網絡接口類型、用戶可用插槽數、端口密度；二是功能指標：VLAN劃分、堆疊、單播和組播協議支持、可網管、鏈路層是否具備彈性恢復的功能（如生成樹、鏈路捆綁）、在網絡層是否支持動態路由協議、是否支持等價多路由功能、是否支持網關冗余協議（VRRP、HSRP）等；三是性能指標，背板帶寬、包轉發率、支持的MAC地址數量、QOS；四是可靠性指標，switch是否支持關鍵模塊的冗余（電源、風扇、交換矩陣、引擎）。switch定型后，按照業務功能不同為各部門分配VLAN號，各VLAN間通利用三層交換功能實現VLAN間的路由，達到互聯互訪。為業務服務器劃出一個DMZ專區，用于業務流的訪問。核心層交換機涉及幾個重要技術：

（1）STP（Spanning Tree Protocol生成樹協議）：雖然星型網絡很少會發生環路故障，但是網絡越大這種情況越無法避免，因此當線路有環路時，STP會斷開環路防止廣播風暴的產生，同時恢復備份通信。STP是一個基于二層實現的協議，可以在一個具有多VLAN、大量交換機、多廠商的復雜環境中很好的實施。在未啟用STP情況下，有時會發生網絡癱瘓，使用sniffer工具抓包發現，無目的幀充斥在全網循環發送，流量不斷升高，在未啟用STP情況下，故障很難排除。

（2）VLAN（Virtual Local Area Network虛擬局域網）：一個工作在二層的網絡協議，一個VLAN為一個廣播域，也就是我們所說的局域網，利用它實現劃分不同網段，控制廣播范圍的目的，主要協議是802.1Q。

（3）SVI（switch virtual interface交換機虛擬接口）：即VLAN的虛擬三層邏輯接口，是一個三層技術，用于VLAN間的路由。

（4）Trunking：鏈路聚集，也叫中繼或干道基于OSI第二層，舉例說明，A交換機一個端口配置為TRUNK，B交換機一個端口配置為TRUNK，用網線分別連接兩臺SW的TRUNK口，這條線就形成了干道，A交換機有VLAN1和VLAN2，B交換機中也有VLAN1和VLAN2，這樣通過干道A和B中的VLAN相互可以透傳，也就是說，A交換機VLAN1里的PC可以與B交換機VLAN1里的PC進行通訊，VLAN2同理。

3 分支機構網絡建設及部署

各分支機構的路由器分別與中樞區的匯聚路由器通過DDN專線鏈接，承擔著分支機構的業務訪問需求。各節點ROUTER與中樞區的總ROUTER實現P2P的典型配置。根據前述原則，核心路由器有6個指標：一是基本指標，網絡接口類型、用戶可用槽數、端口密度；二是功能指標，路由協議支持、源地址路由支持、透明橋接、策略路由方式、PPP、MLPPP（多鏈路PPP）、PPPOE支持、組播支持（因特網組管理協議IGMP、距離矢量組播路由協議DVMRP、協議無關組播協議PIM）、VPN支持、加密方式、MPLS；三是性能指標，全雙工線速轉發能力、設備吞吐量、端口吞吐量、背靠背楨數、路由表能力、背板能力、丟包率、時延、時延抖動、VPN支持能力、無故障工作時間、內部時鐘精度、Qos能力（隊列管理機制、端口硬件隊列數、QOS分類方式、分類業務帶寬保證、資源預留協議RSVP、區分服務IP DiffServ、CAR（承諾接入速率）支持）；四是可靠性指標，冗余、熱插拔組件、路由器冗余協議VRRP；五是網管指標，基于WEB的管理、網管類型、帶外網管支持、網管粒度、計費能力/協議；六是分組語音能力，分組語音支持方式、協議支持、語音壓縮能力、端口密度、信令支持。核心、節點路由器涉及幾個重要技術：

（1）CBWFQ（class-based weighted fair queuing基于類的加權公平隊列）：通常使用ACL訪問控制列表來定義數據流類別，實現對鏈路帶寬的負載均衡、策略路由、優化控制。

（2）路由協議：主要是動、靜態協議。

4 外地出差人員臨時接入部署

外地出差人員通過VPN客戶端軟件撥入到集團絡網內，實現對網絡內容的臨時訪問。根據前述原則，各節點防火墻有3個指標：一是基本指標，產品類型（包括三種：基于包過濾技術的防火墻、基于代理的防火墻、基于狀態監測的防火墻）、LAN接口；二是功能指標，協議支持、加密支持、認證支持、NAT支持、防御功能、管理功能、記錄和報表功能；三是性能指標，并發連接數、吞吐量。重要技術：主要是IPsecVPN。

參考文獻

[1]周亞軍.思科CCIE路由交換v5實驗指南[M].北京：電子工業出版社，2016-04-1.

[2]（美）赫卡著，羅進文 等譯 POD-Cisco ASA、PIX與FWSM防火墻手冊（第二版）[M].北京：人民郵電出版社，2010-04-1.