单位局域网络很早建成，由于受技术发展的限制，当时建设的网络已经不能适应现在的应用需求，网速慢、设备老化、转发性能低是制约网络应用的瓶颈。随着近几年信息化建设的快速推进，网上应用不断增加和拓展，这一矛盾愈加突出，对网络进行全面升级改造已经迫在眉睫。

网络现状

我单位2001年建成了局域网，采用核心设备到接入设备连接终端的星形拓扑结构方式，接入设备分布在各个楼层弱电井中，办公大楼建设有网络中心机房，从网络中心机房到各弱电井采用室内多模光纤敷设，核心设备和接入设备均配置千兆多模光模块，实现核心交换机到楼层设备的纵向主干千兆连接。楼层交换机到各办公室采用超五类线缆水平布线，配线间跳线和用户终端线均采用5类线缆，接入交换机接口均为100Mbps，保证了百兆交换到桌面，拓扑结构如图1所示。

图1 原有局域网络拓扑图

在过去很长一段时间里，因为软件应用不是很多，对网络带宽要求不高，所以基本能够满足办公业务的要求。

存在的问题

最近几年，我单位的网络应用有了突飞猛进的发展，除传统的办公业务外，还有大量业务如：视频直播和点播、门禁及楼宇音视频监控、语音识别、视频会议、在线网络培训等应用，原有的网络承载能力有限，导致网络有时出现延时和卡顿现象，用户体验不是很好。以上应用的开展对网络性能和网络带宽提出了更高的要求。

原有网络中核心交换机到楼层接入交换机，只有一条上联光纤线路，一旦线路或设备出现故障，容易造成整个楼层的终端无法上网，可靠性较低。而且核心设备采用冷备份，一旦生产的核心设备出现故障，只有将冷备机替换掉故障生产机，待故障机修好后，再替换下冷备机上线运行，故障机修复后替换冷备机可以选择业务不多的下班或晚上时间，但是生产机故障必须及时更换，造成一定时间的网络中断，使MTBF,即平均故障间隔时间缩短，降低用户使用体验。

一个楼层的接入交换机的端口通常配置处于同一个网段，上联端口也是一样，灵活性较差，如果同一部门跨楼层，还要在别的楼层另外配一台同一网段的小交换机，同时要拉一根网线，网络变得复杂，给维护带来不便。

服务器和终端在一个网段上，一来不便于服务器管理，二来服务器容易受到广播风暴的影响，不能及时响应用户访问需求。

网络可管理性较差，部分楼层采用光纤收发器接24-48口的桌面型交换机，如果终端全部断网或出现同样的问题，可以通过排查线路或更换交换机的方法解决，否则遇到一部分终端网络正常，另一部分有故障，无法登录到交换机上查看信息，因此很难进行故障定位和排查，只有逐台机器检查，既费时费力，又效率低下。

局域网中对视频流量没有有效管理，主要表现在：1.没有采用先进的视频流格式，采用低压缩率，高带宽的视频压缩格式，占用了过多的网络带宽资源。2.采用单播方式，没有采用组播方式传输视频流，使网络中存在过多的流量，耗尽宝贵的带宽资源。3.没有进行服务质量（QOS）管理，造成视频会议时经常出现卡顿现象。

部分楼层采用收发器实现光信号转换成电信号，增加了故障点。在实际生产环境中，光纤收发器较交换机光模块相比有比较大的故障发生率，有时因为设备老化的问题，出现一些怪异的故障，增加了故障排查的难度。

办公室内存在多个终端用一个小交换机共用一个墙面信息点的情况，如果小交换机出现故障，会造成一个办公室所有终端无法上网的情况。另外，如果出现跨办公室人员调整，网线空置，使用人员容易将空置的网线插入到墙上信息口或本小交换机端口上，造成短路现象，影响网络正常通信。

改造方案

基于单位以上的网络现状，为了使单位网络能够安全、稳定、可靠地运行，获得更好的用户体验，使用户更加专注于网络所承载的各项业务应用。就必须对网络进行升级改造，改造的中心任务就是网络提速，具体采取以下措施。

1.合理规划办公区网络。单位办公大楼呈“山”字形布局，横向跨度就有108米，纵向深度最大84米，考虑到6类非屏蔽双绞线的最大传输距离不超过100米，因此，将整个办公大楼平均分成4个办公区，各办公区的楼层配置弱电机柜，放置接入交换机。

2.建设网络中心机房，并以此为中心，网络中心机房到各接入交换机的主干采用两条万兆光纤线路，与核心交换机采用跨机框连接，采用以太网通道技术进行捆绑，这样既可实现链路互为备份，避免其中一条链路故障导致网络中断；又可实现流量的负载均衡。核心交换机采用双机冗余技术，防止一台核心设备故障造成网络不可访问的现象，提高网络的稳定性与可靠性，保证网络访问不中断。

3.全面提升交换机性能。原有接入交换机背板带宽为88Gbps,包转发率为77.4Mpps，MAC地址表为8K。改造后，原有交换机将全部被替换，采用新型国产交换机，其背板带宽为260Gbps，包转发率为190Mpps,MAC地址表为30K，实现高密度、全线速、千兆接口、高可靠性的快速转发，原有的核心交换机背板带宽为480Gbps，包转发率为243Mpps，MAC地址表为64K。改造后，原有的核心交换机也将被替换，采用新型国产交换机，其背板带宽为120Tbps，包转发率为50000Mpps，MAC地址表为512K，管理引擎实现1+1冗余，在数据交换能力得到2-3倍提高的同时，网络的安全性、稳定性、可靠性、可用性及扩展性也得到加强。

4.建设高可靠性和高稳定性的核心交换网络。核心交换机采用双机工作模式，将两台高性能、高可靠、高稳定性的同品牌、相同配置的国产交换机利用虚拟交换技术VST（Virtual Switching Technologies）组成虚拟交换系统，两台设备之间用虚拟交换链路VSL（Virtual Switching Link）连接，采用这种技术可以使两台交换机在控制层面上有主从之分，而在数据转发层面上是双活的，即两台交换机都参与数据转发，提高了设备利用率。

在传统的组网方案中，为确保可靠性，通常采用双链路冗余和双核心热备，采用VRRP技术组网，同HSRP热备技术一样，VRRP有主设备和从设备之分，同一时间，只有主设备在数据包的转发工作，从设备不转发数据包，并侦听主设备工作状态，一旦侦听到主设备故障，从设备将升为主设备进行数据包转发。由此可见，这种方式在增强网络可靠性的同时不能提高设备的利用率。当然，VRRP也可以实现负载均衡，比如，网络中有VLAN10和VLAN20两个网段，要使两个子网的流量分别经过不同的链路和设备转发，就要配置两个VRRP组。为了避免产生生成树环路，一个解决方案就是用MSTP生成树协议和VRRP联动，而这样组网带来的问题是网络中使用的协议多而且复杂，网络收敛时间长。

采用虚拟交换技术，从物理拓扑来看，网络环境和普通网络环境搭建没有区别，但是实际上从逻辑面上看，两台物理设备已经虚拟成一台设备，对接入层设备而言两个核心设备实际就是一台设备。这样，VSS就可以使上联链路带宽增加，又可以不使用MSTP+VRRP方案，简化管理减少网络协议的同时又可以加快收敛性能，如图2所示。

5.原有的核心交换机退出充当数据中心交换机，原有交换机由于交换性能指标有限，背板带宽、包转发率以及MAC地址容量都较小，原来配置的光模块速率最高都只能到千兆,且板卡上的光口密度不够，配置的RJ45接口卡速率也是千兆，虽然可以将光模块升级为10G光模块，但一是进口设备的光模块价格较为昂贵。二是接入设备和核心设备上的光模块要成对更换。三是既使在老旧设备上更换了10G光模块，由于原有设备的转发能力有限，更换后不一定使整体性能提升。再有就是会使老设备负荷增加，容易引起设备故障，再者接入到核心依然是单链路单设备，仍然有故障隐患。因此，采用将老旧设备元器件升级的办法依然达不到组建大型办公局域网的要求，但是直接报废又非常可惜。为保护设备投资，决定将这两台原来的核心交换机组成一个虚拟交换系统，作为数据中心交换机，满足网络中心机房内服务器间的数据交换。

图2 虚拟交换系统示意图

6.在采用硬件设备冗余和链路冗余的同时，为保证网络的稳定性和可靠性，设备内部包括交换引擎、电源模块和板卡等元器件采用全对称硬件体系结构，能够做到任意一个处理器和网络接口模块出现故障都不会影响其他模块，这种设计极大地降低了掉线率，增强了设备的可靠性，提高了设备可用时间，具有较高的MTBF（平均无故障时间Mean Time Between Failures）值，板卡和模块都支持热插拔，当机箱内的一个板卡出现故障时，可以不用整个机器断电就能进行故障板卡的更换，从而不影响其他板卡上的正常数据交换。

7.大大提高了网络的可管理性。新购买的交换机将全部采用可编程交换机，支持多种管理方式，如：Telnet、Console、SSH、Web、Snmp（V1/V2/V3）、RMON 和第三方网络管理软件等多种管理方式，极大地方便了管理员从设备中获取数据交换信息，为网管员进一步监控网络流量，进行故障分析和定位，排查网络故障提供了强有力的硬件支持。同时，单位购买了一套第三方的网管软件，能够实时地将数据包交换、源地址、目的地址、协议和端口使用、组播和广播、网络带宽占用情况、设备利用率、数据交换错误的原因等信息，通过曲线图、直方图、饼图、仪表盘等方式直观地展示出来，方便管理员及时了解网络运行情况，跟踪监视大数据流量，根据系统报错和告警信息，能够追根溯源，精准定位，查找到产生故障的计算机，为下一步的排障工作提供技术支持。

8.在以往带宽不够的情况下，必须通过合理规划和配置，确保关键应用不受影响。在划分各类流量的优先级后，让优先级高的流量先通过，而像FTP等对延迟不敏感的流量延缓通过，这就是保证服务质量（QOS），而现在网络已提速，带宽较以前有较大的提高，再加上负载均衡技术的应用，以往高带宽的突发流量现在对网络造成的影响也不是那么显著了，客户也不会经常抱怨网速太慢了，无形中减轻了运维人员的压力。客户在享受较高满意度的应用体验的同时，可以大幅度拓展音频和视频等网络应用，使客户能上网、爱上网、离不开网络，提升客户满意度，满足客户不断增长的带宽需求。

9.对现有局域网的子网重新规划和设计。删除没有用的子网，划分服务器网段，并与终端的子网区分开来，避免终端子网的广播风暴对服务器造成影响。所有网段之间的数据交换通过三层核心交换机实现。

10.采用六类非屏蔽双绞线水平布线，替换原有的超五类线。六类非屏蔽8芯铜缆PC101004，优于原有的TIA/EIA-568超五类传输标准，可用于语音、综合业务数据网络（ISDN）、ATM155Mbps和622Mbps，快速以太网和千兆以太网；比五类和超五类线缆具有传输距离长，传输损耗小，耐磨、抗压强等特性。可以支持千兆以太网并实现100米的传输，能抵御一部分的外界电磁波干扰，并不会降低传输效率。

经验总结

网络改造是个系统工程，不能在原有网络基础上搞修修补补，这种打补丁的方式不但体现不了整体效果的提升，而且会产生这样那样的问题，因此，我单位对此次改造进行重新规划设计，清除原有的设备，重新进行水平和垂直布线，更换核心交换机，提升数据交换能力。

网络的健壮性和可用性也是衡量网络好坏的一项重要指标，为确保网络稳定可靠，采用了链路冗余、设备冗余、板卡冗余的设计，将设备故障和断网的影响降低到最小，提高网络运行时间，提升客户上网体验。

随着网络规模的扩大，网络结构也日趋复杂，而维护人员并没有增加，就要求提高运维人员的维修效率，而提高网络的可管理性则是实现效率提升的有效手段。通过跟踪监视、追根溯源、查找定位，准确判断故障节点，及时拆除网络故障。

为确保网络正常运行，安全防护必不可少，有必要在局域网络边界部署防火墙、入侵检测（IDS）、入侵防御（IPS）等设备，并添加策略以抵御来自外部和内部的攻击；局域网内部署防病毒服务器，并定期更新病毒库；定期为局域网终端分发系统补丁；为方便局域网和互联网交换信息，应部署网闸等设备实现数据交换。