摘要：提供一種中型企業(yè)網(wǎng)絡(luò)建設(shè)的技術(shù)思路，著重介紹網(wǎng)絡(luò)建設(shè)中增強穩(wěn)定性和可靠性的幾種典型技術(shù)及實現(xiàn)。

關(guān)鍵詞：網(wǎng)絡(luò)結(jié)構(gòu)、冗余配置、路由策略、雙機熱備、服務(wù)品質(zhì)等

1構(gòu)建穩(wěn)定可靠的企業(yè)網(wǎng)的目的和意義

現(xiàn)代企業(yè)，無論規(guī)模大小，建設(shè)不同要求的企業(yè)網(wǎng)對大多數(shù)企業(yè)而言是必須的。即便是一個最小規(guī)模的工作室，最簡單的局域網(wǎng)都能給用戶帶來資源共享（文件共享）的便利和費用的節(jié)?。ū热绻蚕砩暇W(wǎng)）。

隨著企業(yè)規(guī)模的擴大，企業(yè)網(wǎng)是各信息應(yīng)用系統(tǒng)正常運行的基礎(chǔ)，企業(yè)網(wǎng)帶給用戶的就不僅僅只有資源共享及節(jié)約費用了，而是能和運行在其上的信息應(yīng)用系統(tǒng)共同帶給用戶新的生產(chǎn)力。運行在企業(yè)網(wǎng)之上的信息應(yīng)用系統(tǒng)涉及企業(yè)管理、生產(chǎn)的各個方面，能極大提高企業(yè)效率。因此，企業(yè)網(wǎng)的建設(shè)已是規(guī)模企業(yè)的必然選擇；同時，企業(yè)網(wǎng)的穩(wěn)定可靠也成為企業(yè)網(wǎng)建設(shè)中最重要的追求。

本文后面闡述的思想及技術(shù)實現(xiàn)適用于1 000人左右的企業(yè)用于構(gòu)建穩(wěn)定可靠的企業(yè)網(wǎng)。本文對網(wǎng)絡(luò)建設(shè)中的常規(guī)思路及通用做法著墨不多，以介紹經(jīng)驗為主；重點介紹冗余技術(shù)的設(shè)計與實現(xiàn)。如果讀者的業(yè)對網(wǎng)絡(luò)的要求較低或從降低成本考慮，可適當降低冗余配置程度，比如核心與各匯聚局域網(wǎng)以單鏈路連接、單因特網(wǎng)寬帶接入等，但這樣做的后果就是可靠性大大降低。本文的思路與技術(shù)實現(xiàn)已經(jīng)在實例網(wǎng)絡(luò)中得到體現(xiàn)。

2構(gòu)建穩(wěn)定可靠企業(yè)網(wǎng)的幾個要點

2.1穩(wěn)定可靠的網(wǎng)絡(luò)結(jié)構(gòu)

確立網(wǎng)絡(luò)結(jié)構(gòu)時，除了要考慮可擴展性、可管理性等方面外，更應(yīng)看重穩(wěn)定性、可靠性方面的設(shè)計。

首先確定網(wǎng)絡(luò)拓撲結(jié)構(gòu)。各種拓撲結(jié)構(gòu)各有優(yōu)缺點也各有針對性，如果沒有特殊需求，一般建議選擇星型拓撲結(jié)構(gòu)，因為這種拓撲結(jié)構(gòu)有結(jié)構(gòu)簡單、容易實現(xiàn)、便于管理及故障點容易檢測和排除。此結(jié)構(gòu)是目前構(gòu)建中小型企業(yè)網(wǎng)的主流結(jié)構(gòu)。但是星型結(jié)構(gòu)在可靠性方面有個大缺陷，就是中心節(jié)點的故障會導致網(wǎng)絡(luò)癱瘓。對此缺陷，必須采取必要措施加以彌補，這個措施就是中心節(jié)點的冗余配置。企業(yè)網(wǎng)的中心節(jié)點一般是核心交換機。中心節(jié)點的冗余配置不是指設(shè)置2個中心，而是指加強作為中心節(jié)點的核心交換機的配置，使得中心節(jié)點非?？煽浚蝗菀资?。

接著，確定網(wǎng)絡(luò)的層次結(jié)構(gòu)。清晰合理的層次結(jié)構(gòu)也有利于網(wǎng)絡(luò)的穩(wěn)定可靠。網(wǎng)絡(luò)具有層次結(jié)構(gòu)，既有利于后期的管理，也有利于故障的隔離。在實例中，把網(wǎng)絡(luò)劃分成了三個層次：核心層、匯聚層、接入層。接入層直接為終端提供接入；匯聚層終結(jié)VLAN；核心層以轉(zhuǎn)發(fā)各局域網(wǎng)網(wǎng)間流量為主。

然后，確定同城不同區(qū)域局域網(wǎng)的互聯(lián)方法。這部分可根據(jù)企業(yè)應(yīng)用系統(tǒng)的要求，同時根據(jù)成本花銷情況（畢竟租用電信運行商線路是很昂貴的），選擇適合自己企業(yè)的互聯(lián)方法?？梢宰庥脭?shù)據(jù)專線，也可通過因特網(wǎng)以VPN的方式互聯(lián)。本例中，采取的是數(shù)據(jù)專線做互聯(lián)主鏈路，VPN做備用鏈路。

圖1就是按照上述思路強化了結(jié)構(gòu)的網(wǎng)絡(luò)實例拓撲圖。針對星型結(jié)構(gòu)的缺陷，中心節(jié)點由2臺核心交換機組成。核心交換機與各局域網(wǎng)都以雙鏈路連接，因特網(wǎng)寬帶也采取雙鏈路接入。

圖1結(jié)構(gòu)加強過的實例網(wǎng)絡(luò)拓撲圖

2.2IP規(guī)劃及路由策略

IP規(guī)劃及路由策略問題往往容易被中小型企業(yè)網(wǎng)設(shè)計者輕視，但等網(wǎng)絡(luò)建成了，才會發(fā)現(xiàn)由于前期缺少策劃導致后面的工作很繁瑣。

由于中型企業(yè)內(nèi)部網(wǎng)段比較多，如果仍然像在小型企業(yè)網(wǎng)那樣在私有網(wǎng)段內(nèi)隨意指定IP地址段，往往會導致后期的路由指向困難及其它問題。

而路由策略不僅要考慮是否要啟用動態(tài)路由，還要考慮采用路由聚合，及支持策略路由功能等。啟用動態(tài)路由的理由是應(yīng)對可能的IP網(wǎng)段太多；采用路由聚合的理由是簡化路由指向；策略路由能解決一些基于源地址的路由指向。

規(guī)劃IP時，適當考慮可變長度子網(wǎng)掩碼（VLSM）技術(shù)，便于靈活調(diào)整子網(wǎng)的個數(shù)及主機的數(shù)量，以滿足網(wǎng)絡(luò)劃分的不同數(shù)量要求。也要考慮路由聚合，把便于路由聚合的IP地址段分配給同一局域網(wǎng)內(nèi)。

在核心層啟用互聯(lián)網(wǎng)段，用于各匯聚層網(wǎng)絡(luò)的互聯(lián)互通。

2.3遠程接入及訪問因特網(wǎng)部分的設(shè)計

這部分通常的網(wǎng)絡(luò)方案設(shè)計中，設(shè)計人員喜歡既配置了路由器又配置防火墻。其實，如果路由要求不高的情況下，可以只選配防火墻。

本網(wǎng)絡(luò)實例中，防火墻不但承擔了對因特網(wǎng)的訪問任務(wù)，還承擔了外埠分支機構(gòu)的VPN接入任務(wù)?？紤]到現(xiàn)代企業(yè)對因特網(wǎng)訪問的依賴程度提高了，實例網(wǎng)絡(luò)安排了雙防火墻雙因特網(wǎng)接入。

而針對外埠分支機構(gòu)的專線接入，可直接接入核心交換機，也無需路由器。

這樣做的好處是結(jié)構(gòu)簡單，在功能上也沒什么缺失。結(jié)構(gòu)簡單的好處是低故障率，出了故障也容易排查。

2.4網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理其實是開始于設(shè)計階段的，設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)時要考慮后面的運行管理，比如分層的網(wǎng)絡(luò)結(jié)構(gòu)讓VLAN終結(jié)在匯聚交換機。IP在規(guī)劃時考慮到路由的聚合，會給后期的路由指向帶來方便。

談網(wǎng)絡(luò)管理，必然要涉及網(wǎng)管軟件。網(wǎng)管軟件不是網(wǎng)絡(luò)管理的必需，但隨著網(wǎng)絡(luò)規(guī)模的擴大，它的作用就越大，也越重要。對于規(guī)模不大的中小型企業(yè)網(wǎng)絡(luò)，盡量在設(shè)計階段就考慮到管理因素而又針對性地設(shè)計，以求網(wǎng)絡(luò)開始運行后，在沒有采用任何網(wǎng)管軟件前能夠手工地較快速地定位故障點，進而排除故障。

之所以有這樣的考慮，是因為選擇一種適合本企業(yè)網(wǎng)絡(luò)的網(wǎng)管軟件并不是一件簡單的事情。選擇網(wǎng)管軟件首先要清楚，自己要管理什么，是性能管理？故障管理？配置管理？安全管理？計費管理？或者全部，或者部分。其次，在技術(shù)上要清楚，網(wǎng)管軟件大體分三個層次，即網(wǎng)元治理、網(wǎng)絡(luò)層治理和業(yè)務(wù)治理，而本企業(yè)需要什么樣的治理？基于以上原因，網(wǎng)管軟件更適合在網(wǎng)絡(luò)系統(tǒng)建立并運行后，在需求分析的基礎(chǔ)上選擇平臺級的網(wǎng)管軟件。開始階段可選擇由設(shè)備廠商提供的網(wǎng)元治理類的網(wǎng)管軟件，比如CISCO Works。

3熱備功能的實現(xiàn)及其它功能的說明

結(jié)構(gòu)上做了冗余設(shè)計，要真正地發(fā)揮設(shè)備和鏈路的熱備的作用，還要進行相關(guān)設(shè)定后才能實現(xiàn)。其它功能也是企業(yè)網(wǎng)必須具備的。

3.1HSRP實現(xiàn)雙機熱備

HSRP原理，首先由多臺路由器組成備份組，此備份組可看成是一臺虛擬的路由器，有獨立的虛擬IP，網(wǎng)內(nèi)主機以這臺虛擬路由器為網(wǎng)關(guān)。在備份組內(nèi)有一臺路由器是活動路由器，由它來完成虛擬路由器的工作，當此臺活動路由器出故障時，組內(nèi)的另一臺路由器會接替活動路由器，來完成虛擬路由器的轉(zhuǎn)發(fā)工作。而這些，對網(wǎng)內(nèi)主機是透明的，它們只能看到虛擬路由器。CISCO大部分3層交換機都支持HSRP。

以某VLAN為例給出設(shè)置要點。

1、在核心交換機A上

Interface VLAN7

ip address 192.168.7.253255.255.255.0

standby7192.168.7.254/*虛擬路由器的IP

standby7priority 110/*設(shè)置優(yōu)先級

standby7preempt /*設(shè)置搶占模式

2、在核心交換機B上

Interface VLAN7

ip address 192.168.7.252255.255.255.0

standby7192.168.7.254

standby7preempt

3、在網(wǎng)內(nèi)電腦上

把網(wǎng)關(guān)設(shè)置為192.168.7.254

3.2SLA實現(xiàn)雙鏈路自動切換

SLA(Service Level Agreement)服務(wù)品質(zhì)保障協(xié)議，可用于網(wǎng)絡(luò)偵測，通過發(fā)送指定協(xié)議的報文來偵測鏈路的情況，根據(jù)鏈路情況選擇路由。

如果第二鏈路是另一家電信運營商的租用線路，實現(xiàn)此功能相對簡單。如果考慮降低成本，一線多用，可用寬帶線路通過IPSEC VPN來搭建第二鏈路，這就多了IPSEC VPN的設(shè)置工作。

由于IPSEC VPN的實現(xiàn)因網(wǎng)關(guān)設(shè)備的不同而不同，本文就省略這部分設(shè)置的說明，只說明下交換機端的設(shè)置要點。實現(xiàn)原理：路由器（或三層交換機）通過（ICMP）PING遠端路由器（或三層交換機）來驗證第一鏈路的狀態(tài)，如果第一鏈路失敗，則激活第二鏈路，實現(xiàn)故障切換。使用對象跟蹤功能（object track）保證靜態(tài)路由的可靠備份。

ip sla 1

icmp-echo 192.168.1.6 /*ping遠端交換機第一鏈路接口

timeout 1000

threshold 2

frequency 3

ip sla schedule 1 life forever start-time now

……

track 1 ip sla 1 reachability/*跟蹤ip sla 1，如果沒有返回ping包，則track狀態(tài)為down

……

ip route 192.168.176.0255.255.240192.168.1.6track 1/*只有track狀態(tài)為up時，此靜態(tài)路由建立。如果track為down，則下面這條路有開始轉(zhuǎn)發(fā)數(shù)據(jù)。

ip route 192.168.176.0255.255.240.0192.168.1.210

注：遠端網(wǎng)絡(luò)由若干C類網(wǎng)段組成，所以掩碼是255.255.240.0，這里采用了路由聚合。要采用路由聚合，必須先有網(wǎng)絡(luò)地址規(guī)劃，即便是私有地址，也不可以隨意指定。

3.3其它功能

其它幾個基本功能，有些是必須要采用的功能，比如VLAN、DHCP、訪問控制列表等，能滿足基本的網(wǎng)絡(luò)管理要求；有些則是高級功能，如策略路由、QoS、動態(tài)路由等，能滿足一些高級的網(wǎng)絡(luò)管理要求，或者能提供管理的方便性。

對于VLAN、DHCP、訪問控制列表的使用，是企業(yè)網(wǎng)絡(luò)管理中最基本的要求，網(wǎng)絡(luò)管理員都應(yīng)熟練掌握，本文不再贅述。而那些高級功能，則在網(wǎng)絡(luò)運轉(zhuǎn)起來后，根據(jù)需求決定是否采用。我在此提醒一下，有些功能需要交換機OS（操作系統(tǒng)）的升級。比如策略路由，一般三層交換機預(yù)裝的OS都不支持，如果本企業(yè)確實需要這樣的功能，可以通過升級OS來得到。

4結(jié)束語

基于上述思路具有了冗余設(shè)計的實例網(wǎng)絡(luò)在建成后，除了正常提供基本的網(wǎng)絡(luò)功能外，在運行過程中還經(jīng)歷過一系列的故障的考驗。某臺核心交換機的一塊接口業(yè)務(wù)板曾經(jīng)損壞，由于是雙核心交換機配置，得以迅速切換到另一臺交換機，短時間內(nèi)恢復(fù)了用戶網(wǎng)絡(luò)。核心網(wǎng)絡(luò)與某局域網(wǎng)的電信專線連接也因為電信方的故障而中斷過多次，而因為采用了基于SLA技術(shù)的設(shè)置實現(xiàn)了鏈路的自動切換，對用戶應(yīng)用并沒有造成可感知的延時。以上事實足以證明實例網(wǎng)絡(luò)在強化冗余能力方面的設(shè)計是成功的。

當然，一方面的成功，不代表此網(wǎng)絡(luò)方案就完美無缺，其實，就實例網(wǎng)絡(luò)方案而言，缺點還很多，比如照顧了結(jié)構(gòu)簡單帶來的穩(wěn)定，但并不能增強網(wǎng)絡(luò)的安全。本文主要闡述了為了追求網(wǎng)絡(luò)的穩(wěn)定和可靠，在方案設(shè)計上偏重的冗余設(shè)計部分。而在網(wǎng)絡(luò)設(shè)計時，還應(yīng)考慮后期網(wǎng)絡(luò)管理及網(wǎng)絡(luò)安全。如果在設(shè)計階段，無法過多的考慮網(wǎng)絡(luò)安全的因素，一定要在網(wǎng)絡(luò)建成后加強網(wǎng)絡(luò)安全建設(shè)。

作者簡介：馬勁松（1968-），男，江蘇南京人，工程師，從事多年企業(yè)網(wǎng)絡(luò)運行維護及建設(shè)。

注：文章內(nèi)所有公式及圖表請以PDF形式查看。