提升公司网络性能

2017-11-07

网络安全和信息化 2017年9期

笔者单位网络已经正常运行多年，并达到一定的规模。伴随着办公大楼上网人数的不断增加，逐步发展到现在大约有上百个网络节点。每个楼层并没有固定的楼层交换机，网络基本由若干台10/100M普通桌面型交换机级联而成，零散地分布在天花板顶、办公桌下等难以管理的地方。随着公司网络应用的不断增多，整个网络的传输性能不断下降，已无法满足公司发展的需要。

对网络进行升级改造，还公司网络一个高速、稳定的传输性能，已经迫在眉睫。

图1 网络拓扑结构

主要问题

网络传输速度不快。目前，公司网络的出口仍然是几年前租用的本地电信10M光纤线路，在不开展视频、语音等网络应用的情况下，这样的带宽资源尚能应付普通的网页访问需求。但近年来，越来越多的多媒体业务，导致整个网络传输速度不快，网络传输性能已经无法满足公司网络用户的正常工作。

传输稳定性比较差。整个公司网络采用简单的二层星形网络架构（如图1），网络中的所有终端计算机都处于相同的一个网段中，IP地址资源比较紧缺，计算机之间相互抢用IP地址的现象频繁发生，严重影响终端系统的上网稳定性。在缺少安全验证机制的情况下，网络病毒攻击和广播风暴现象比较严重，加上网络设备的抗病毒能力非常一般，同时智能化程度也比较低，这些因素也会影响整个公司网络的传输稳定性。另外，整个公司网络通过代理网关的方式上网访问，代理网关设备相对于硬件路由器设备来说，运行性能是很不稳定的，不适合7*24小时运行。而且代理网关设备的自身稳定性，也可能造成整个公司网络随时发生瘫痪。

网络可管理性不高。旧的公司网络基本由若干台10/100M普通桌面型交换机级联而成，它们零散地分布在天花板顶、办公桌下等难以管理的地方，这些交换机不支持网络管理功能，因此网络一旦发生故障现象，管理人员很难快速定位和排查。网络的可管理性不高，给技术人员的日常维护带来了极大的麻烦，当网络发生问题时，技术人员常常要来回走动、手工定位，严重影响工作人员的管理效率。

无线信号分布不均。由于无线上网节点是后续部署的，这就导致已经投入使用的无线AP设备，缺乏明显的规划与布局，很多无线设备直接就放置在员工的手边脚旁，很容易因为用户意外的触碰而造成无线网络上网失败。另外，由于没有统一的管理，究竟哪些无线上网节点设备工作状态正常，管理人员无法及时知道，这会造成办公大楼内的无线上网信号分布很不均匀，给对应区域的用户上网带来了明显的不便。

改造目标

从公司网络的运行现状来看，我们认为要想避免上面存在的一些问题，确保网络可以始终高速、可靠、稳定地运行，必须进行网络升级改造。整个网络的升级改造目标是：建设以公司网络中心计算机机房为核心主干，通过千兆结构连接不同办公大楼和各个楼层。利用公司网络管理中心，构建网络管理平台和安全平台。改造升级后的公司网络将是一个可靠、安全、稳定、易管理、可扩展的先进网络，不但能够满足目前各个楼层用户的高速接入、VPN专网等多种业务的发展需要，而且能够满足公司用户对大流量数据要求的业务需要。

改造方案

一.请当地有实力的网络集成商重新规划设计办公大楼公司网络结构，将旧的网络中零散布置的交换机和网络线缆全部清除。新的网络采用二层网络结构，即核心层和接入层。所有核心网络设备全部放置在公司网络中心机房。办公大楼与办公大楼之间使用光纤连接，同时在各个楼层依次部署接入交换机。考虑到未来公司网络内业务流量和网络的升级能力，网络出口采用品牌公司的路由交换机产品作为上网网关，通过千兆光纤与各个楼层交换机连接，达到千兆到桌面、千兆互连的目的。

二.增大网络出口带宽。伴随着网络应用的不断深入，以及公司网络规模的不断扩大，公司网络的出口带宽资源也应该及时扩大，之前租用的10MB出口带宽考虑改造为100MB。毕竟使用了100MB大小的出口带宽后，公司网络的上网访问速度会更快，公司用户可以享受到更位快速、更高优质的网络服务，如此一来就可以有效提升公司用户的工作效率，同时可以满足用户不断增长的快速访问要求。公司网络内部的Web服务器、电子邮件服务器以及文件服务器等也能对外提供更快的访问速度，有效改善公司用户的服务满意度。将出口带宽资源增大到100MB级别后，相对于网络设备的连接端口来说，无形之中可以改善网络端口的可靠性和稳定性，确保网络访问服务质量得到明显提升。此外，平时频繁发生的一些异常流量故障，在出口带宽大小大幅度提升后，或许会自然消失。当然，时下十分流行的网络应用对上网带宽的需求也是逐步提高，比方说很受欢迎的视频会议服务、语音教学业务以及在线流媒体的下载访问服务等，都需要大容量网络带宽资源的支持。

三.部署专业防火墙。考虑到公司网络需要连接到国际互联网上，所以未来上线的各个业务系统，需要增加防火墙确保网络访问的安全，避免公司网络中的重要业务系统受到来自Internet网络的病毒、木马、黑客攻击。选用的网络防火墙一定要满足下面几个功能要求：首先要有较强的地址转换能力，因为公司网络用户数量不断增多，网络传输流量会随着时间推移不断增大，选用的专业防火墙必须能提供很强大的地址转换能力，并支持正向地址转换、反向地址转换，支持并发连接数量在10000以上。其次，能预防、抵制大多数常见的恶意攻击，比方说可以预防非法端口扫描、IP欺骗、不明协议攻击、大包ICMP攻击等多种攻击。第三，要具有多安全区域保护功能，也就是说选用的网络防火墙产品，每个物理连接端口应对应一个安全保护区域，每个区域中定义的安全策略仅对本地区域有效，而不影响其他区域的安全性能。选好的网络防火墙部署在核心路由交换机与公司网络服务器群之间，配合入侵检测手段，确保公司网络中的数据安全可靠。部署好的安全防范措施，能实现对公司网络整体运行的实时监视与控制，能实时监视和控制接入公司网络中的所有设备；在网络发生异常、故障等情况下报警，以便及时有效地解决网络故障；能防止恶意用户对网络的入侵，同时也起到安全监控的作用：一旦有非法入侵，就可以在第一时间发现、记录并进行自动报警。

四.部署双线路互备。为了保证公司网络传输的稳定性、可靠性，放置出现单点故障，考虑使用双交换机、双线路互相备份的运行机制。两条网络传输线路在正常状态下，自动分担公司网络的数据传输流量，一旦发生某台核心路由交换机故障或单条线路失效时，数据传输流量可以自动切换到正常状态的线路，确保公司网络访问不掉线。

五.部署无线上网节点。梳理好上网节点与楼层交换机的对应关系，根据楼层的不同，将上网用户划分到不同工作网段，减少广播风暴和网络病毒攻击现象的出现。在这些基础之上，合理规划与布局无线上网节点，保证大楼各个区域的无线上网信号分布均匀，让大楼用户在任何位置都能自由接入无线网络。

改造过程

由于公司网络改造工程工作量大，影响范围广，为了达到更平稳的改造效果，我们决定采用分布实施的方式，将改造过程分为几个阶段进行：首先对核心层网络进行改造。依照上网节点分布情况和具体数量，考虑到核心层网络设备需要为公司网络的各项业务应用提供一个优质、高效的数据传输平台，考虑到公司网络日后的平滑升级需要，特别选用了两台配置高、性能好的品牌核心路由交换机，来作为公司网络的双核心节点。每台核心设备都配置多口千兆光纤模块接口，全线速的二层1000M级别数据交换能力，确保数据报文在各个交换端口都能进行无阻塞转发，让核心设备的高交换能力得到充分发挥。为了让不同办公楼的用户都能通过公司网络中心的出口上网，在其他办公楼放置汇聚交换机，通过千兆光纤收发器将它们连接到网络中心的核心设备上，并借助该设备的大容量背板交换带宽，实现高效、稳定的三层路由交换目的。各个楼层放置接入层交换机，以千兆速率连接到网络中心的核心设备。考虑安全因素、虚拟局域网功能以及网络流量管控等需要，部分办公楼采用路由交换能力强的三层交换机或路由器实现网络接入。

接着，对大楼内部网络优化调整。清除所有旧的网线，重新进行结构化综合步线。考虑到大楼以前没有预先置留弱电井，所以沿楼梯在不同楼层板间钻孔，各个楼层的所有上网节点沿圆孔水平布线到主机房，其他办公楼到公司网络中心之间使用光纤敷设。工作区的布线由跳线和信息插座组成，跳线使用六类非屏蔽线，信息插座采用某品牌的单孔或双孔平面型插座，表面贴有明显的标识，来识别对应插座的位置，插座接口带有滑门，可以避免灰尘进入。信息插座安装在离地面50厘米的墙壁上，插座卡线方式统一采用标准的TIA568B方式。从楼层交换机到用户工作区采用六类非屏蔽双绞线，线缆两端都贴上标签，以记录线缆的目的地和起源地。合理进行地址规划。为了避免地址冲突和广播风暴现象发生，将公司网络根据办公用户部门的不同，划分不同工作网段，并为它们指定不同的地址范围。利用核心路由交换机中的DHCP技术，为不同网段分配不同的IP地址，对所有上网设备事先在DHCP中登记物理地址，对它们进行地址绑定操作，对重要设备如打印机、服务器、防火墙等，全部使用固定的IP地址，同时将各种服务器全部置于防火墙保护之下。此外，根据上网节点的分布情况，按需部署了无线上网节点，确保无线上网信号均匀覆盖，无线设备得到有效监管。