摘要：針對上海愷英網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)系統(tǒng)存在的信號弱、并發(fā)慢、網(wǎng)延時高、設(shè)備宕機等問題，我司通過對網(wǎng)絡(luò)環(huán)境實際狀況的綜合考察，進行了網(wǎng)絡(luò)改造。本文介紹了我司網(wǎng)絡(luò)改造的相關(guān)背景和在網(wǎng)絡(luò)改造過程中所遵循的相關(guān)設(shè)計原則，進一步介紹我司現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，將原有網(wǎng)絡(luò)架構(gòu)進行優(yōu)化。在網(wǎng)絡(luò)環(huán)境改造項目中，根據(jù)我司的現(xiàn)有環(huán)境，設(shè)計了2大塊網(wǎng)絡(luò)整體規(guī)劃，分別為辦公網(wǎng)絡(luò)模塊和WIFI無線模塊。每一塊設(shè)計了三級層次化的網(wǎng)絡(luò)冗余結(jié)構(gòu)，硬件與技術(shù)上的設(shè)計架構(gòu)保證了公司網(wǎng)絡(luò)環(huán)境性能的高效性與安全性。2021年6月，我司辦公網(wǎng)絡(luò)環(huán)境改造項目升級成功，建立后的網(wǎng)絡(luò)滿足公司所有部門網(wǎng)絡(luò)需求，并對今后各種大型網(wǎng)絡(luò)環(huán)境業(yè)務(wù)的開發(fā)與需求具有較強的延伸性與擴展性。

關(guān)鍵詞：網(wǎng)絡(luò)改造;wifi;辦公網(wǎng)絡(luò)

1.引言

上海愷英網(wǎng)絡(luò)有限公司的網(wǎng)絡(luò)于2013年建成，網(wǎng)絡(luò)采用的點到點單點直連架構(gòu)，線材為非標準5類線，接入層設(shè)備統(tǒng)一設(shè)備品牌H3C，主要服務(wù)于各個工位之間的網(wǎng)絡(luò)鏈接。核心為H3C-7506E相當于匯聚與策略路由轉(zhuǎn)向燈，出口上采用防火墻1：銳捷EG200GE服務(wù)于公司辦公位網(wǎng)絡(luò)出口。防火墻2：華為U200，服務(wù)于機房服務(wù)器出口。WIFI采用unify網(wǎng)絡(luò)環(huán)境，服務(wù)與辦公網(wǎng)與業(yè)務(wù)網(wǎng)的日常wifi。還有流控管理-深信服AC、移動辦公-深信服sslvpn等。

近年來，隨著公司人員擴招與業(yè)務(wù)展開，愷英網(wǎng)絡(luò)辦公網(wǎng)規(guī)模的需求逐漸增大，各種泛娛樂業(yè)務(wù)環(huán)境需求不斷增加、以及對網(wǎng)絡(luò)性能需求的提高，愷英內(nèi)部網(wǎng)絡(luò)系統(tǒng)越來越大，越來越難以管理，網(wǎng)絡(luò)環(huán)境也愈加復雜，在現(xiàn)有環(huán)境運行中出現(xiàn)信號弱、功率低、并發(fā)慢、網(wǎng)延時高、設(shè)備宕機等問題。希望通過網(wǎng)絡(luò)架構(gòu)的優(yōu)化與改造來提高公司網(wǎng)絡(luò)環(huán)境的水平。增強公司整體網(wǎng)絡(luò)實力，從而為項目部提供高效的網(wǎng)絡(luò)環(huán)境。2021年年初，決定對公司進行網(wǎng)絡(luò)環(huán)境改造項目，將眾多網(wǎng)絡(luò)節(jié)點、鏈路、冗余重新梳理與優(yōu)化。其目的是為了增強公司網(wǎng)絡(luò)效率，防范網(wǎng)絡(luò)宕機的風險，增強自身網(wǎng)絡(luò)發(fā)展，同時更方便地支持各個業(yè)務(wù)部門，滿足未來網(wǎng)絡(luò)環(huán)境需求。

2.網(wǎng)絡(luò)改造設(shè)計原則

首先是為了解決我們公司wifi信號弱、功率低、并發(fā)慢、網(wǎng)延時高和設(shè)備宕機等問題，新的網(wǎng)絡(luò)系統(tǒng)要具備較高的數(shù)據(jù)處理能力，滿足大量各類工作人員的辦公需求，同時考慮愷英網(wǎng)絡(luò)公司未來信息系統(tǒng)的發(fā)展需求。

其次，網(wǎng)絡(luò)系統(tǒng)還應(yīng)該能夠全方位的防護數(shù)據(jù)，防止病毒、外部入侵和黑客攻擊。

最后，在保證各項功能實現(xiàn)良好的基礎(chǔ)上，還要充分地利用現(xiàn)有資源，節(jié)省成本、統(tǒng)籌兼顧。為實現(xiàn)以上目標，在本次網(wǎng)絡(luò)改造過程中，我們遵循以下幾點改造原則：

2.1 先進性和實用性

愷英公司的網(wǎng)絡(luò)改造首先參照國際規(guī)范和標準，使用國際上先進的技術(shù)，借鑒國內(nèi)外的成功經(jīng)驗，且使愷英的網(wǎng)絡(luò)系統(tǒng)符合網(wǎng)絡(luò)運用的發(fā)展趨勢。同時要滿足各項功能需求。

2.2 可靠性

在網(wǎng)絡(luò)設(shè)計中，網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定及可靠是整個網(wǎng)絡(luò)系統(tǒng)正常運行的重要保證。在網(wǎng)絡(luò)改造過程中，應(yīng)該充分分析雙機冷備份方案的設(shè)計，使得改進后的網(wǎng)絡(luò)環(huán)境擁有不間斷網(wǎng)絡(luò)業(yè)務(wù)、網(wǎng)絡(luò)自動切換與恢復的能力。其次網(wǎng)絡(luò)環(huán)境中的核心設(shè)備的主要部件是否有故障隱患的可能性與故障恢復時效性，來保障公司網(wǎng)絡(luò)出現(xiàn)局部故障時，現(xiàn)有網(wǎng)絡(luò)環(huán)境依然能夠正常運行，以便于網(wǎng)絡(luò)運維人員對故障的診斷和排除。

2.3 高性能

網(wǎng)絡(luò)系統(tǒng)的性能是整個網(wǎng)絡(luò)環(huán)境命脈，所以愷英的網(wǎng)絡(luò)架構(gòu)設(shè)計中必須能保障網(wǎng)絡(luò)的高吞吐能力，能保證各種數(shù)據(jù)的高質(zhì)量傳輸，才能為公司業(yè)務(wù)開展提供便利而不是成為瓶頸。

2.4 擴展性

網(wǎng)絡(luò)系統(tǒng)應(yīng)該擁有良好的可擴展性，在愷英網(wǎng)絡(luò)發(fā)展中，在設(shè)備故障與更新中必須可以平滑地更換、擴充與升級，能極大的減少對整體網(wǎng)絡(luò)架構(gòu)的調(diào)整與網(wǎng)絡(luò)的影響，充分保護原來的架構(gòu)設(shè)計，減少成本。

3.網(wǎng)絡(luò)架構(gòu)方案和技術(shù)核心

愷英網(wǎng)絡(luò)以游戲業(yè)務(wù)為核心，集游戲研發(fā)、運營與發(fā)行為一體。公司通過游戲產(chǎn)品和發(fā)行平臺為主流進行橫縱布局。網(wǎng)絡(luò)環(huán)境非常復雜。愷英網(wǎng)絡(luò)公司的原有網(wǎng)絡(luò)架構(gòu)如圖1所示：

此次網(wǎng)絡(luò)改造對愷英網(wǎng)絡(luò)辦公樓的2個樓面做網(wǎng)絡(luò)改造替換建設(shè)，為了滿足泛娛樂網(wǎng)絡(luò)環(huán)境，決定使用無線辦公網(wǎng)絡(luò)全覆蓋，有線網(wǎng)絡(luò)全升級優(yōu)化。無線接入終端預(yù)計為2000個，有線接入終端預(yù)計3000個，且對辦公大樓網(wǎng)絡(luò)做規(guī)劃設(shè)計。

基于公司實際發(fā)展與反復論證的綜合比較，并考慮到公司網(wǎng)絡(luò)的運行現(xiàn)狀，通過思科、博大、H3C、華為、銳捷等廠商的網(wǎng)絡(luò)設(shè)備性價比的對比，最終選取華為系列網(wǎng)絡(luò)設(shè)備，并設(shè)計出了整個網(wǎng)絡(luò)系統(tǒng)的拓撲結(jié)構(gòu)圖。整個網(wǎng)絡(luò)系統(tǒng)分為二大塊，wifi模塊、辦公網(wǎng)絡(luò)模塊。每塊分為三個層次，分別是接入層、核心層、防火墻出口層。經(jīng)過網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)架構(gòu)如圖2所示：

兩大模塊的核心技術(shù)及構(gòu)造過程如下：

（1）辦公網(wǎng)絡(luò)環(huán)境

在核心機房采用防火墻、電信光纖、2層、三層交換機等設(shè)備鏈接服務(wù)器環(huán)境、wifi環(huán)境、辦公網(wǎng)絡(luò)環(huán)境，各個工位到接入層交換機由原來的5類線替換為6類線。從而構(gòu)建起辦公室局域網(wǎng)絡(luò)。

其中，核心交換機采用S6730進行堆疊，目的是為了可靠冗余性，性能優(yōu)良性，具有優(yōu)良的容錯能力，以及良好的擴展性。防火墻采用USG-6555E，通過HA技術(shù)實現(xiàn)設(shè)備的雙機備份，在出口做負載均衡以及出口的流控規(guī)則，實現(xiàn)廣域網(wǎng)與局域網(wǎng)之間的網(wǎng)絡(luò)管控。同時鏈路聚合LACP模式的使用，能在不進行硬件升級的條件下，將多個物理接口捆綁為一個邏輯接口，從而達到增加鏈路帶寬，保證系統(tǒng)運行的可靠性的目的。并且能在實現(xiàn)增大帶寬的同時，又能有效的提高設(shè)備之間的可靠性。每臺防火墻通過多模光纖鏈分別至兩臺核心交換機，進行端口聚合，將鏈路進行捆綁，保證鏈路上的可靠性與安全性。接入層做環(huán)形堆疊，單個設(shè)備光口直連核心，對該端口線路做鏈路聚合，可最大程度達到安全、冗余效果。從而優(yōu)化設(shè)備管理終端與端口規(guī)劃。與此同時，核心交換機其余40G端口可以進行擴容增加服務(wù)器匯聚交換機。這與原來的網(wǎng)絡(luò)環(huán)境形成了強烈的對比，原來網(wǎng)絡(luò)全是點到點，單線直連，如一臺設(shè)備故障，設(shè)備下其他直連將無法工作。該套方案徹底解決網(wǎng)絡(luò)無冗余、無備份、無負載、管理復雜等情況。為后期網(wǎng)絡(luò)擴展提供優(yōu)良扎實的基礎(chǔ)。

（2）wifi網(wǎng)絡(luò)環(huán)境

老的wifi網(wǎng)絡(luò)架構(gòu)不成體系，沒有配套的架構(gòu)圖與統(tǒng)一的管理方式，本次講全新設(shè)計WIFI網(wǎng)絡(luò)系統(tǒng)。兩臺WIFI-AC6508進行旁掛。AC無線控制器采用雙機，進行HA部署，確保wifi環(huán)境的可靠性與穩(wěn)定性。下行直接通過萬兆端口接入各個樓層間的接入交換機。每臺接入雙上行分別至兩臺核心交換機，包括將原來的Poe交換機也在這次改造中改成雙上行鏈路。

無線AP 根據(jù)前期現(xiàn)場工勘和公司實際情況，采用高密接入型設(shè)備AP6050DN，進行全公司無線網(wǎng)的覆蓋。無線認證采用AAA Radius認證方式。把無線設(shè)備做802.1x認證代理模式，負責連接公司AD系統(tǒng)的Radius認證服務(wù)，負責用戶與Radius服務(wù)之間身份認證信息的轉(zhuǎn)發(fā)，而無線用戶就作為802.1x的請求方。這樣做能使此認證方式利于帳號與AD域帳號統(tǒng)一管理，既提高了賬戶安全性，又提高了管理的方便性，也提高了管控性。

另一方面，為了建立獨立安全的vlan環(huán)境。設(shè)計出根據(jù)不同射頻和訪客業(yè)務(wù)進行區(qū)分SSID，如 2.4G SSID ，5G SSID，訪客guest SSID等，2.4G SSID的開設(shè)是為了以防老型號設(shè)備無法正常連接5G射頻。又對不同射頻SSID中的VLAN進行了安全性設(shè)計與規(guī)劃，管理VLAN、業(yè)務(wù)VLAN與訪客VLAN之間互相分離，其中業(yè)務(wù)VLAN又根據(jù)實際業(yè)務(wù)需求建立獨立安全的vlan環(huán)境。

其中最重要的點在于WLAN信道規(guī)劃，它將影響到無線網(wǎng)絡(luò)的帶寬、性能、擴展以及抗干擾能力，也將直接影響到公司員工對WIFI使用的直觀體驗。本次WLAN設(shè)計了通過信道覆蓋密度與信道干擾因素，選擇了2.4G/5G單頻或雙頻覆蓋方式，其目的如下：

2.1 AP交替使用2.4G的2、7、12信道5.0G的36、40、44信道模式，啟用單頻進行覆蓋，避免信號相互干擾;

2.2 對于會議室等高密度用戶接入的場所，將獨立使用2.4G或5.0G的頻段，啟用雙頻進行覆蓋，以便提供更好的接入能力與并發(fā)能力。

Wifi改造后的網(wǎng)絡(luò)架構(gòu)如圖3所示：

本次網(wǎng)絡(luò)改造中，將辦公網(wǎng)絡(luò)環(huán)境和wifi環(huán)境兩大塊作為重點，適應(yīng)愷英網(wǎng)絡(luò)公司的未來發(fā)展需要，下一部分介紹本次網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)系統(tǒng)的特點。

4.網(wǎng)絡(luò)系統(tǒng)特點

4.1 辦公網(wǎng)環(huán)境多種協(xié)議保證了系統(tǒng)的高效性。在主線路采用5條ADSL，通過PPPOE協(xié)議來進行撥號，備份線路采用1條電信專線，通過PPP協(xié)議來上網(wǎng)。在防火墻設(shè)置CHAP認證模式來保證公司員工對網(wǎng)絡(luò)的訪問。另外利用PPP協(xié)議與PPPOE協(xié)議的IP協(xié)商機制，公司網(wǎng)絡(luò)的升級和擴容利于IP規(guī)劃、利用PPP協(xié)議與PPPOE協(xié)議的鏈路檢測機制，這樣可以保證鏈路的傳輸效率和端口流量的并發(fā)。在核心架構(gòu)處采用主機堆疊復用的方案，線路切換速度快，效率高、網(wǎng)絡(luò)波動小;而出口防火墻采用HA冷熱備份方式，同時做線路負載均衡技術(shù)處理，讓每條線路都能合理充分的利用到每條ADSL線路。

4.2 多種技術(shù)手段與預(yù)警方案保證了網(wǎng)絡(luò)的穩(wěn)定性與安全性。該網(wǎng)絡(luò)系統(tǒng)通過鏈路聚合技術(shù)、堆疊技術(shù)、HA技術(shù)、防火墻流控技術(shù)、防火墻負載均衡技術(shù)和各級身份鑒別及高質(zhì)量的設(shè)備把外界的攻擊、內(nèi)部不規(guī)范的上網(wǎng)行為、內(nèi)部老舊的硬件等對網(wǎng)絡(luò)環(huán)境的影響降到了最低。

4.3 線路冗余設(shè)計提高了網(wǎng)絡(luò)可靠性。本次網(wǎng)絡(luò)改造方案充分考慮到公司辦公網(wǎng)絡(luò)復雜大環(huán)境特點、設(shè)備老舊的情況以及網(wǎng)絡(luò)不可靠因素，每個網(wǎng)絡(luò)節(jié)點都使用了雙機冗余線路。當線路、設(shè)備端口出現(xiàn)故障時，策略路由能自動切換到冗余線路，這個切換過程對用戶來說是透明無感的，而且切換迅速。

4.4 網(wǎng)絡(luò)環(huán)境簡單、易管理、易維護。公司網(wǎng)絡(luò)改造建設(shè)的必備條件，通過自主搭建監(jiān)控軟件普羅米修斯系統(tǒng)對各種網(wǎng)絡(luò)設(shè)備與設(shè)備性能進行監(jiān)控和管理。

4.5 基于用戶的流量管理，能做到防止P2P業(yè)務(wù)占用帶寬導致其他用戶無法正常使用無線網(wǎng)絡(luò)，基于SSID的流量管理，能做到預(yù)防某些SSID用戶流量過大影響其他SSID用戶的正常業(yè)務(wù)，比如訪客SSID的流量控制。

4.6 鏈路聚合的設(shè)計提高鏈路帶寬，增強了網(wǎng)絡(luò)可用性，支持設(shè)備的負載分擔。本次項目設(shè)計是把兩臺設(shè)備之間的多條物理鏈路聚合在一起，當一條邏輯鏈路來使用。鏈路中一個成員接口發(fā)生故障，該成員的物理鏈路會把流量切換到另一條鏈路上;鏈路聚合可以在一個接口上實現(xiàn)負載均衡，一個聚合口可以把流量分散到多個不同的成員口上，通過成員鏈路把流量發(fā)送到同一個目的地，將網(wǎng)絡(luò)產(chǎn)生擁塞的可能性降到最低。

4.7 WIFI采用AAA Radius與AD域控賬戶做對接的認證方式，利于帳號與AD域帳號統(tǒng)一管理、統(tǒng)一認證，既保障了賬戶的安全性、提降低了管理成，也提高了賬戶管理的便捷性與管控性。

4.8 針對WLAN方案的設(shè)計提高了公司無線網(wǎng)絡(luò)的各方面的性能以及抗干擾能力。優(yōu)化了公司員工上網(wǎng)體驗，避免信號相互干擾又實現(xiàn)了各個業(yè)務(wù)之間互相分離。

5.實施效果

游戲公司的網(wǎng)絡(luò)改造是一個非常復雜的工程，通過對網(wǎng)絡(luò)改造的精心規(guī)劃與準備，分步實施各項改造計劃，加上愷英的領(lǐng)導對網(wǎng)絡(luò)改造項目的大力支持，使得網(wǎng)絡(luò)改造工程的實施取得了預(yù)期的效果。

2021年6月，我司網(wǎng)絡(luò)升級改造項目圓滿成功，建成后的網(wǎng)絡(luò)系統(tǒng)實現(xiàn)了辦公環(huán)境、研發(fā)環(huán)境、WiFi環(huán)境的所有業(yè)務(wù)需求，并對今后各種新業(yè)務(wù)的開發(fā)具有較強的擴展能力，是一套基于用戶、業(yè)務(wù)、設(shè)備等先進網(wǎng)絡(luò)系統(tǒng)的管理模式。網(wǎng)絡(luò)系統(tǒng)的建成，不僅提高了公司業(yè)務(wù)部門工作效率和支撐部門業(yè)務(wù)處理能力，也樹立了IT運維部在公司的新形象，同時，還為我司大量泛娛樂業(yè)務(wù)的開展以及未來的長足發(fā)展奠定了堅實的基礎(chǔ)。

參考文獻：

[1] 任忠敏、林達峻、干峰等，數(shù)字化醫(yī)院中的網(wǎng)絡(luò)改造建設(shè)[J]，醫(yī)學信息（上旬刊），2007， 20（008）：1313-1315.

[2] 彭澎，計算機網(wǎng)絡(luò)教程[M]，北京：機械工業(yè)出版社，2002.

作者簡介：李汪林，1990，男，漢，籍貫：常德，職務(wù)職稱：IT經(jīng)理，學歷：本科，單位：上海愷英軟件技術(shù)有限公司 ，研究方向：公司的網(wǎng)絡(luò)改造與優(yōu)化，單位所在省市及郵編：上海，210000