【51CTO.com獨(dú)家特稿】某單位局域網(wǎng)已經(jīng)組建四年左右，其網(wǎng)絡(luò)的主要設(shè)備包括核心交換機(jī)、硬件防火墻，一直在滿負(fù)荷運(yùn)行；在這段時(shí)間，盡管單位的終端數(shù)量沒有大幅度增加，不過終端的硬件設(shè)備基本都已更新升級，終端的上網(wǎng)應(yīng)用要求越來越高。每天上網(wǎng)的數(shù)據(jù)流量在急劇攀升，數(shù)據(jù)類型也是非常復(fù)雜，目前局域網(wǎng)的出口帶寬資源以及網(wǎng)絡(luò)設(shè)備的負(fù)載能力，已經(jīng)無法適應(yīng)上網(wǎng)需求。有鑒于此，單位領(lǐng)導(dǎo)要求立即拿出升級改造方案，確保單位局域網(wǎng)既能穩(wěn)定可靠運(yùn)行，又能有效提升上網(wǎng)速度。

組網(wǎng)結(jié)構(gòu)

該局域網(wǎng)目前使用的核心交換機(jī)是H3C S8500系列路由交換機(jī)，該設(shè)備是整個(gè)網(wǎng)絡(luò)中最為重要的網(wǎng)絡(luò)設(shè)備，它下接?xùn)|樓、南樓、西樓三座樓的三層交換機(jī)，每座樓的各個(gè)樓層全部使用H3C S3050二層交換機(jī)，各個(gè)終端用戶全部通過二層交換機(jī)接入局域網(wǎng)，進(jìn)行上網(wǎng)訪問；為了對上網(wǎng)用戶進(jìn)行計(jì)費(fèi)，并保證上網(wǎng)訪問的安全，局域網(wǎng)的核心路由交換機(jī)直接連接到專門的計(jì)費(fèi)網(wǎng)關(guān)，再通過硬件防火墻，并租用本地的電信100M出口帶寬連接到Internet網(wǎng)絡(luò)。每個(gè)終端系統(tǒng)的上網(wǎng)地址都是各個(gè)大樓的三層交換機(jī)進(jìn)行集中分配和設(shè)置，再路由到局域網(wǎng)的核心交換機(jī)上。一旦各個(gè)樓層的網(wǎng)絡(luò)出現(xiàn)了什么意外，例如發(fā)生設(shè)備損壞或網(wǎng)絡(luò)病毒引起的廣播風(fēng)暴現(xiàn)象時(shí)，網(wǎng)管員可以在三層交換機(jī)上進(jìn)行相關(guān)處理，禁止讓故障現(xiàn)象上傳到局域網(wǎng)的核心層，整個(gè)局域網(wǎng)的組網(wǎng)拓?fù)鋱D如圖1所示。

圖1

改造需求

由于當(dāng)時(shí)手頭沒有更多的三層交換機(jī)可以利用，單位新增加的上網(wǎng)用戶連接到局域網(wǎng)時(shí)，沒有通過匯聚層交換機(jī)，而是通過二層交換機(jī)直接與局域網(wǎng)的H3C S8500系列路由交換機(jī)進(jìn)行連接的；伴隨著新增上網(wǎng)用戶的越來越多，網(wǎng)管員就必須在核心路由交換機(jī)上劃分越來越多的VLAN，并且需要在核心層上進(jìn)行大量的配置工作，例如限制交換端口的速率，定義訪問控制列表，設(shè)置VLAN接口地址等等。如此多的配置操作，顯然會將H3C S8500系列路由交換機(jī)寶貴的系統(tǒng)資源給消耗不少，最終的結(jié)果就是直接導(dǎo)致核心路由交換機(jī)反應(yīng)遲鈍，運(yùn)行性能不穩(wěn)定。同時(shí)，核心路由交換機(jī)既承擔(dān)來自上層的數(shù)據(jù)處理，又承擔(dān)來自中層的數(shù)據(jù)處理，甚至終端的接入也需要由它來調(diào)度，這會讓核心路由交換機(jī)工作時(shí)間一長之后，容易顯得不堪重負(fù)。

為了讓局域網(wǎng)網(wǎng)絡(luò)始終高速、穩(wěn)定地運(yùn)行，我們需要重點(diǎn)改造、設(shè)計(jì)核心層，確保核心層自身先要保持較高的可靠性，同時(shí)核心層不能有明顯的傳輸延遲。要達(dá)到這一目的，我們必須要想辦法不讓任何因素影響核心層的通信速度，包括為VLAN分配參數(shù)、使用訪問控制列表、路由和包過濾等等；日后，局域網(wǎng)規(guī)模擴(kuò)大時(shí)，不能簡單地增加三層交換機(jī)的數(shù)量，而要優(yōu)先升級核心層設(shè)備，確保核心層的性能可以應(yīng)付足夠大的業(yè)務(wù)需求。#p#

改造過程

既然新增用戶沒有通過匯聚層就接入了局域網(wǎng)，那么改造升級的頭等大事就是新買幾臺三層交換機(jī)作為匯聚層交換機(jī)使用，讓新增加的用戶分別通過這幾臺三層交換機(jī)，連接到核心路由交換機(jī)上，以避免核心層不需要處理來自中層的業(yè)務(wù)數(shù)據(jù)。

1、升級出口帶寬

仔細(xì)觀察舊的組網(wǎng)結(jié)構(gòu)圖，網(wǎng)管員發(fā)現(xiàn)核心路由交換機(jī)是通過普通的以太交換端口與計(jì)費(fèi)網(wǎng)關(guān)、硬件防火墻進(jìn)行連接的，這種類型端口的固定速率只有100Mbps，通過該端口訪問Internet，出口帶寬最大只能是100M。而在最近一段時(shí)間，網(wǎng)管員發(fā)現(xiàn)每天晚上8:00左右的上網(wǎng)高峰期時(shí)段，這個(gè)以太交換端口的帶寬資源占用率達(dá)到了95%左右，并且該數(shù)值在很長一段時(shí)間內(nèi)都沒有變化；實(shí)際上在這種狀態(tài)下，核心交換機(jī)的出口以太端口已經(jīng)處于滿負(fù)載運(yùn)行狀態(tài)，此時(shí)上網(wǎng)用戶自然會感覺到上網(wǎng)沖浪速度明顯沒有平時(shí)的快。為了改善這種滿負(fù)載運(yùn)行狀態(tài)，網(wǎng)管員特地對上網(wǎng)用戶進(jìn)行了限速訪問，經(jīng)過一段時(shí)間的觀察，結(jié)果發(fā)現(xiàn)出口交換端口的帶寬資源占用率最高達(dá)到了90%左右，不過該數(shù)值仍然無法緩解上網(wǎng)速度緩慢的現(xiàn)象。如此看來，100M大小的出口帶寬顯然無法滿足整個(gè)局域網(wǎng)的上網(wǎng)訪問需求，這種現(xiàn)象可以理解為：由于終端系統(tǒng)對上網(wǎng)帶寬資源的消耗是無止境的，無論保留多大的帶寬資源，終端系統(tǒng)都有可能將它消耗掉；比方說，在上網(wǎng)高峰期時(shí)段，終端系統(tǒng)的上網(wǎng)速度可能只有可憐的10Kbps、20Kbps，可是在上網(wǎng)空閑時(shí)段，終端系統(tǒng)在沒有任何限制的情況下，上網(wǎng)速度能夠達(dá)到200Kbps甚至更大。試想一下，要是在上網(wǎng)高峰期，同時(shí)有幾百個(gè)人上網(wǎng)訪問，其中一些用戶在上網(wǎng)看電影、BT下載或在線玩游戲時(shí)，這些特殊應(yīng)用可能就要消耗70、80M出口帶寬資源，那么其他人就沒有多少帶寬資源可以利用了，此時(shí)他們的上網(wǎng)速度就會受到嚴(yán)重影響。

為了有效提升局域網(wǎng)上網(wǎng)速度，唯一的辦法就是升級出口帶寬，使用1000M帶寬線路，同時(shí)做好交換端口的限速措施，保證終端用戶的BT下載、看電影、玩游戲等業(yè)務(wù)，不能影響核心層的工作性能。

2、保持帶寬匹配

將寬帶線路從100M升級為1000M之后，核心路由交換機(jī)上的普通以太端口就不能繼續(xù)使用了，因?yàn)樗鼈兊乃俾室呀?jīng)被固定成100M了，不過H3C S8500系列路由交換機(jī)考慮到擴(kuò)展升級的需要，已經(jīng)預(yù)留了幾個(gè)1000M的電接口，此時(shí)我們需要任意選擇一個(gè)電接口，作為局域網(wǎng)上網(wǎng)的主出口。

當(dāng)然，僅僅在核心路由交換機(jī)上調(diào)整端口還沒有用，因?yàn)榕c主出口相連的計(jì)費(fèi)網(wǎng)關(guān)、硬件防火墻設(shè)備，以前它們的連接端口速度也是選用的100M，無法與現(xiàn)在的1000M速度保持匹配，所以這些設(shè)備的連接端口同樣需要調(diào)整?？紤]到單位局域網(wǎng)舊的計(jì)費(fèi)網(wǎng)關(guān)、硬件防火墻設(shè)備，都沒有提供1000M的連接接口，不得已網(wǎng)管員只好將這些設(shè)備重新更換為支持1000M連接的設(shè)備。這樣一來，1000M的硬件防火墻通過本地電信提供的1000M線路連接Internet網(wǎng)絡(luò)，解決了整個(gè)出口通道的傳輸瓶頸問題。

3、進(jìn)行核心備份

由于之前的核心路由交換機(jī)，既要承擔(dān)匯聚層的任務(wù)，又要充當(dāng)接入層的角色，現(xiàn)在經(jīng)過增加匯聚層交換機(jī)，并將劃分VLAN、配置接口地址、使用訪問控制列表等工作，全部調(diào)整到新的匯聚層交換機(jī)上后，核心路由交換機(jī)的工作負(fù)荷大大減輕。以前配置在核心路由交換機(jī)上的命令大約有3000行，現(xiàn)在經(jīng)過配置調(diào)整轉(zhuǎn)移后，可能只有不到800行，顯然這些減少的配置命令不但是形式上的減負(fù)，而且核心路由交換機(jī)日后將不需要對任何數(shù)據(jù)包進(jìn)行分析、處理、轉(zhuǎn)發(fā)，只需要一心一意地做好路由轉(zhuǎn)發(fā)工作，這既會降低系統(tǒng)CPU資源的消耗率，又會提高路由轉(zhuǎn)發(fā)速度，保證整體性能的穩(wěn)定。經(jīng)過這樣的處理后，核心路由交換機(jī)仍然可以繼續(xù)發(fā)揮作用，不需要急于升級換代。

不過，核心路由交換機(jī)主要是由電子元件組成的，在長時(shí)間工作之后，電子元件很容易發(fā)生老化現(xiàn)象，這種現(xiàn)象時(shí)刻會威脅交換機(jī)的運(yùn)行穩(wěn)定性?？紤]到它是局域網(wǎng)中最重要的網(wǎng)絡(luò)設(shè)備，萬一哪一天由于電子元件老化原因引起性能下降的話，整個(gè)局域網(wǎng)的運(yùn)行都會受到影響，并且出現(xiàn)問題后，一時(shí)半會還不能找到合適的替代設(shè)備；到時(shí)真的出現(xiàn)這一幕的話，我們將不得不暫停網(wǎng)絡(luò)運(yùn)行，停止一切網(wǎng)絡(luò)工作。為了保障局域網(wǎng)的穩(wěn)定運(yùn)行，我們十分有必要再選用一臺同型號的H3C S8500系列路由交換機(jī)，作為備份核心路由交換機(jī)；日后主核心路由交換機(jī)出現(xiàn)意外運(yùn)行不正常時(shí)，備份交換機(jī)能夠立即頂上來發(fā)揮作用，確保讓上網(wǎng)用戶感覺不到任何變化；此外，在條件允許的情況下，我們盡可能采用雙線路連接，保證通信線路始終連接暢通。這么一來，單位局域網(wǎng)的組網(wǎng)結(jié)構(gòu)圖就被調(diào)整成圖2所示的界面了。

圖2

最后結(jié)論

相信經(jīng)過上述升級改造，整個(gè)局域網(wǎng)的運(yùn)行穩(wěn)定性會大大提升，而且由于整個(gè)出口帶寬的大幅度增大，那么終端用戶的上網(wǎng)速度明顯會快了許多。上述改造方案不但解決了網(wǎng)絡(luò)傳輸瓶頸問題，而且由于采用了雙機(jī)、雙線路備份措施，即使其中的某臺核心交換機(jī)或某條通信線路出現(xiàn)意外，整個(gè)局域網(wǎng)的上網(wǎng)不會受到絲毫影響，因此網(wǎng)絡(luò)運(yùn)行的可靠性得到了有效保證。

經(jīng)過一段時(shí)間的測試和觀察后，網(wǎng)管員發(fā)現(xiàn)現(xiàn)在可以按需對終端用戶分配帶寬資源，上網(wǎng)用戶不再反映網(wǎng)絡(luò)訪問速度時(shí)快時(shí)慢的現(xiàn)象；在改造后的試運(yùn)行期間，單位局域網(wǎng)運(yùn)行高效、穩(wěn)定，從沒有發(fā)生大的安全網(wǎng)絡(luò)事故，整個(gè)單位的網(wǎng)絡(luò)辦公效率得到了顯著提升。