■陈晓辉 唐 强 刘 爽 中国石油塔里木油田分公司信息管理部

一、引言

近几年，随着互联网技术的不断发展，网络应用的不断丰富，用户可存在于网络空间的活动越来越多，上至六七十的老人，下到小学生都加入了这个行列。而企业因网络接入用户数急剧增加，随之接入的网络设备数量也在增多，设备配置也随着应用的需求不断的变化。在实际工作中，简单的扩充网络带宽来提高网络访问速度的做法效果并不理想。经过反复研究分析，采用综合性技术手段提高网络稳定性，对于访问速度的提高，用户体验十分显著。网络速度实际是恒定的，用户上网访问快慢的感受实际上是受带宽影响，但又存在有效带宽问题。

随着网络规模的增大并变得更为复杂，需要更多的功能、更好地控制网络组建。

二、如何提高网络稳定性问题研究

网络稳定，带宽中的有效带宽就比较高，用户上网访问速度就比较平稳，用户的访问体验就不会出现高低起伏，但网络访问稳定了并不代表速度就快了。要提高网络稳定性，首先应找出造成网络不稳定的原因，并结合实际情况尽可能把这些问题解决掉。

1.影响网络稳定性的因素。影响网络不稳定的因素很多，总结起来主要表现在五个方面：网络架构、路由体系、网络安全、桌面安全和系统安全。目前，对企业网络在这几方面情况分析如下：

(1)企业网络架构主要采用的是“三级”架构（核心、汇聚、接入）。总体思路很明确，但随着网络的不断延伸，接入用户的不断增加和新技术的应用，网络边界不断赋予新的内涵，边界功能化、明晰化成为现在存在的问题。

(2)随着技术的发展和网络应用的深入原来的路由体系是否适合现在不断扩展的企业网络，如何找出路由体系中关键技术的平衡点这都是技术难点。

(3)网络安全的隐患是影响网络稳定性的直接因素。经过近几年的努力，企业网络安全问题已得到很大提升，尤其是网络安全域划分的实施。

(4)桌面安全和系统安全对网络的局部稳定起到至关重要的作用。近两年部署的桌面安全准入系统的实施，使桌面安全和系统安全从根本上得到改善，为快速预测和提前相应提供了支持。

2.提高网络稳定性的措施。从影响网络稳定性的因素出发，我们结合业界的相关技术，提出了提高网络稳定性的措施。

（1）网络架构。企业网络是按照标准的三层结构部署，但是缺乏真正意义上的三层核心，不同功能网络之间边界不够清晰，没有使用安全设备进行隔离和访问控制。企业基于根据业务功能规划物理网络的设计原则，灵活性欠佳，且网络单元连接关系规划的不尽合理，造成部分应用数据流路径的不合理性。

针对企业网络现状，按照功能分区、逻辑分层的原则，并考虑安全区域划分的方式进行构造网络，增加统一的三网络核心，整合网络安全边界，优化网络单元连接和应用数据流路径。增加开发测试区，增强开发测试类应用的独立性和安全性；增加运行管理区，为企业网络运行管理、网络安全管理提供网络基础接入平台；增加数据摆渡区，隔离保护生产和科研网络，以保障企业核心业务；针对各网络功能区，定义网络安全边界，实施网络安全控制；增加各功能区网络设备和网络连接的冗余性，提高网络的可用性，包括：各功能区的冗余分布层和连接。

现在提倡扁平化管理，企业网络是按照标准的三层结构部署，按照功能分区、逻辑分层的原则，网络架构为核心——汇聚——接入。但随着网络规模的增大企业网络变得更为复杂，在网络接入层中有的地方包含了三层、四层，甚至五层接连，增加了数据转发层数，也就增加了故障点：上联设备故障，直接影响其下联设备。对用户来说直接影响了其上网体验。

（2）路由体系。路由协议是网络基础规则的重要内容，需要考察路由协议的开放性、可扩展性、灵活性和可管理性等方面，进行比较和选择。

下表中列出了几种路由协议各自的优点和需注意的问题。

?

根据前文提出的企业网络架构，考虑各种路由协议的特点，企业在内部网络采用OSPF路由和Static路由相结合的方式。

(3)网络安全。网络安全体系架构需要考虑三个层面的内容：网络安全架构、网络安全技术和网络设备配置安全，并通过不断的评估和规划，提高企业整体的安全水平。对企业网络安全技术部署现状的了解和分析，考虑认证鉴权、访问控制、审计跟踪、响应恢复、内容安全这五个方面。安全应该贯彻到整个IT架构中的各个层次，网络设备配置安全也非常重要，利用设备操作系统软件的许多安全技术，可以大大增强网络设备的安全性，从而为整个网络的安全又提供了一层保障。从口令管理、服务管理、访问控制和管理、攻击防范和路由安全这几个方面，提出网络设备配置安全：

①口令管理：要求使用加密口令，避免口令被恶意截取；

②服务管理：强调网络设备关闭不必要的服务，减少被攻击者利用的可能；

③访问控制和管理：要求对客户端的操作进行严格的认证、授权和审计；

④攻击防范：增加网络设备防范攻击功能的配置，减少网络设备被恶意攻击的风险；

⑤路由安全：关注路由协议认证，消除路由安全问题。

(4)桌面安全和系统安全。信息安全风险管理就是可以接受的代价，识别、控制、减少或消除可能影响信息系统的安全分析的过程。桌面和系统的安全风险管理并不仅仅只是着眼于防病毒，防攻击以及系统加固也很重要。但必要的加固措施存在以下几个问题：

①不能确保所有计算机都安装了防火墙和杀毒软件；

②不能及时对杀毒软件、防火墙进行更新；

③不知道怎样对系统防护进行策略配置，不知道怎样对漏洞进行补丁安装。

近两年企业部署的桌面安全准入系统的实施，使桌面安全和系统安全从根本上得到改善。企业应从提高桌面准入客户端的安装率，挖掘该系统的深入应用，提高系统补丁的安装出发来解决这些问题。

三、企业提高网络稳定性实践方案

本实践方案是在影响网络稳定的五大因素的基础上，通过结合企业现状、利用现有的条件得出的一套提高企业网络稳定性的实践方案。以下将从网络结构介绍出发，详细阐述该实践方案。

1.网络架构。网络架构在功能分区、逻辑分层的总体思路指导下，采用“三级”架构，核心-汇聚-接入。所有只具备单链路接入的单位联接在边界路由器，边界路由器与核心A和核心B采用双链，数据中心与核心采用双链，重要并具备条件的各汇聚采用双链，从而实现核心A和核心B热备，无论核心A或B其中任何一个故障，各二级汇聚上用户或边界路由器用户都能无所察觉的正常访问数据中心资源，进行日常办公。从而加固了网络核心，明晰了网络边界，提高了企业网络稳定性。

图 网络架构总体设计

2.路由体系。根据OSPF（开放式最短路径优先）路由和Static（静态）路由的优缺点，结合企业现状，提出企业路由体系需遵循的三个原则：(1)动静路由的选择。

(2)减少路由器同步和收敛时间。

(3)明晰并统一语法。

企业网络是采用OSPF路由和Static路由结合的方式，这两种方式各有优缺点。Static路由可以精确的控制互联网络的路由行为，然而，如果经常发生网络拓扑变化，那么手动配置方式将导致静态路由的管理工作根本无法进行下去。OSPF路由能够使互联网络迅速并自动地响应网络拓扑的变化。但对于任何程序而言，自动化程度越高，可控程度就越差。通过Static路由这种精确控制互联网络的路由的方式，即减少各片区路由收敛对整网造成过大的影响，又在一定程度上规范了IP地址等网络资源的使用。

企业网络核心到边界，核心到汇聚采用OSPF路由，使互联网络迅速并自动地响应网络拓扑的变化，减少路由维护工作量。边界其他一些网络用户数较大的接入单位采用Static路由，通过这种精确控制互联网络的路由的方式，减少各片区路由收敛对整网造成过大的影响，在一定程度上规范了IP地址等网络资源的使用。接入边界的网络用户数较大的单位内部网络采用动态路由。并且统一路由规则，主要包括以下几点：

(1)RID（router id）是用来唯一表示OSPF网络中的一个节点，为避免由于组网不当造成相同自治系统中的RID冲突，路由器均需设置RID，RID的地址最好选择网络中最大的IP地址；

(2)合理使用OSPF的0区域，统一OSPF的语法和规则。

在本方案中，由于指出了网络路由协议使用原则，规范了路由的语法和规则，从而避免了路由配置错误；并且把可能产生的路由震荡局限在了比较小的范围，从而提高了网络稳定性。

3.网络安全。启用接入层交换机端口安全，采用适合企业现状的相关参数，减少ARP攻击。

4.桌面安全和系统安全。根据企业的实际情况，提出从两方面出发：(1)把IPS桌面化和桌面防火墙的使用实现防攻击。

(2)提高终端计算机补丁安装率。

基于策略的终端安全检查和控制功能，通过在sep（终端准入系统）策略服务器上制定详细的wsus（）策略来控制计算机的补丁更新，安装了sep客户端计算机只要接入网络，sep客户端就会执行相应的wsus策略检查并将结果提交给sep策略服务器，策略服务器在收到客户端传来检查结果后和制定的wsus策略进行比对，如客户端计算机满足wsus策略才被允许使用网络，否则只能访问隔离网段内的网络资源。针对不同区域实施不同策略，实现多组wsus服务器之间负载均衡，使客户端能在最短时间内获取补丁资源。

5.实践总结。企业网络是在不断的扩展，各种新技术也是层出不穷，如何解决网络稳定性的问题已成为当今乃至未来面临的主要难题。这提醒着我们要从全局角度出发，思考、分析、解决问题，“头痛医头，脚痛医脚”的方式无法适应当下网络的运维工作；并且要从体系角度进行网络建设和维护，改变简单的把“网络维护”看成“网络设备维护”的传统思想。

[1]（美）多伊尔著.葛建立，吴剑章译.TCP/IP路由技术，第一卷，2003.10.

[2]（美）卡德里奇（Kadrich,M.S.）著.伍前红，余发江，杨飏译.终端安全，2009.5；

[3]王锡林,郭庆平,程胜利.《计算机安全》[M].人民邮电出版社,1995.