如何做好企业网络改造方案

如何做好企业网络改造方案内容摘要：

高网络的安全性。 VLAN 是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了 VLAN 头，用 VLAN ID 把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟域网。 虚拟域网的好处是可以限制广播范围，并能够形成虚拟 工作组，动态管理网络。 VLAN 在交换机上的实现方法，可以大致划分为 4 类 : （ 1） 基于端口划分的 VLAN 这种划分 VLAN 的方法是根据以太网交换机的端口来划分，比如某交换机的 1~4端口为 VLAN 10， 5~17 为 VLAN 20， 18~24 为 VLAN 30，当然，这些属于同一 VLAN 的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的1~6 端口和交换机 2 的 1~4端口为同一 VLAN，即同一 VLAN 可以跨越数个以太网交换机，根据端口划分是目前定义 VLAN 的最广泛的方法， IEEE 端口来划分 VLAN 的国际标准。 这种划分的方法的优点是定义 VLAN 成员时非常简单，只要将所有的端口都指定义一下就可以了。 它的缺点是如果 VLAN A 的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。 13 13 （ 2） 基于 MAC 地址划分 VLAN 这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分，即对每个 MAC 地址的主机都配置他属于哪个组。 这种划分 VLAN 的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时， VLAN 不用重新配置，所 以，可以认为这种根据 MAC地址的划分方法是基于用户的 VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。 而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员，这样就无法限制广播包了。 另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样， VLAN 就必须不停的配置。 （ 3） 基于网络层划分 VLAN 这种划分 VLAN 的方法是根据每个主机的网络层地址或协议类型 (如果支持多协议 )划分的，虽然这种划分方 法是根据网络地址，比如 IP 地址，但它不是路由，与网络层的路由毫无关系。 它虽然查看每个数据包的 IP 地址，但由于不是路由，所以，没有 RIP， OSPF 等路由协议，而是根据生成树算法进行桥交换， 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的 VLAN，而且可以根据协议类型来划分 VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别 VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的 (相对于前面两种方法 )，一般的交换机芯 片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查 IP 帧头，需要更高的技术，同时也更费时。 当然，这与各个厂商的实现方法有关。 （ 4） 根据 IP 组播划分 VLAN IP 组播实际上也是一种 VLAN 的定义，即认为一个组播组就是一个 VLAN，这种划分的方法将 VLAN 扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合域网，主要是效率不高。 VLAN 规划建议 依据上述 VLAN 的定义， 公司 的 VLAN 划分可以规划为以下几个部分： 14 14 （ 1） 网络设备连接的 VLAN，交换机之间互联，需 要划分 VLAN，然后指定对应的物理端口到相应的 VLAN，这部分 VLAN 可以规划为 ID 相对比较大的取值从20202200； （ 2） 网络交换机提供给终端用户接入的 VLAN，可以为每个 公司 、每个楼层分配一个独立的 VLAN，这部分 VLAN 可以规划为 ID 从 101999，这部分预留空间比较大，甚至根据需要可以为每个交换机端口，每个终端分配一个 VLAN； （ 3） 网络管理和数据中心及其它应用 VLAN，这部分 VLAN ID 可以取 23004096中的数值。 网络服务质量（ QOS）设计 QOS 介绍 QoS 是指一个网路利用各种各样的基 础技术（ FR,IP,ATM 等）向选定的网络通信提供更好的服务能力。 服务质量是保证 IP 网络能够为用户提供多种宽带业务的重要因素。 VOD、Video Conference、普通的 Web 访问、 FTP 文件传输对网络的带宽、时延要求是不同的。 理论上 IP 网只要带宽很高，用户通信流量相对很小时是不用考虑 QoS 的。 但网络技术在发展，用户的需求也在不断提高，从最初的访问 Web、文件传输、远程登录到宽带业务如视频点播、网络可视会议、在线交易等，用户需要的带宽逐步增加，对于网络运营商来说，必须考虑 QoS 问题。 尤其在骨干网中，带宽 、时延、延迟变化都是要优先考虑的内容。 QoS 可以为不同种类的业务提供不同的保障层次，从而使对时延敏感、带宽占用要求较高的业务得到稳定的传输，从而充分利用网络带宽，提供可靠的服务质量。 QoS 体系结构可在整个网络提供端到端 QoS 传送。 如要在网络传送 QoS，以下组件是必需的： （ 1） 单个网络内部 QoS，包括排队，时序安排，通信流量规定。 （ 2） QoS 信令技术 ,用来协调一致 QoS 所穿过所有网络设备。 （ 3） QoS 监视和管理功能，用于控制和管理网上端到端通信。 （ 4） 核心和边缘交换机所完成的 QoS 功能： （ 5） 核心交换机完成管理通信拥塞和避免通 信拥塞。 15 15 （ 6） 边缘交换机完成数据包分类，准入控制，配置管理。 QoS 可以使网络可以控制和有预见性的为各种各样的网络应用和通信类型提供服务。 可以提高以下功能： （ 1） 控制资源的能力，（带宽，设备，广域网设施等）。 （ 2） 划分细致的服务。 （ 3） 各种任务关键性应用并存。 （ 4） 有效的利用网络资源。 （ 5） 为将来全面整合网络打下基础。 QoS 的服务模型有三种： （ 1） BestEffort Service：一种单一的服务模式，应用可以在任意时刻发送数据，不通知网络。 如条件允许的话，网络也尽可能的传数据，不需要在可靠性，延时范围，吞吐量的保证。 通过 FIFO 来实现。 适用于一般的文件传输和 等。 （ 2） Integrated Service：是一种复合的服务模式，适于多种的 QoS 需求。 应用在发送数据前，向网络申请一种网络服务，网络确认后，再发送数据，并且数据必须满足应用申请时所描述的通信概况。 （ 3） Differentiated Service：是一种复合服务模式，能够满足多种的 QoS 需求。 应用发送数据前，不向交换机发送信号，网络根据每个数据包所指定的 QoS来提供服务。 目前 QoS 技术主要如下： （ 1） WRED （ Weighted Random Early Detection， WRED） 用于避免网络流量的振荡。 网络管理员可根据信息流量类型的不同而制定不同的 RED策略， WRED可以在网络发生拥塞时对重要的信息类型给予优先处理，而对低优先级的数据，在拥塞发生前就有意地丢弃一些，从而降低网络拥塞的程度。 丢弃的包可通过其上层传输控制进行纠错和重传。 （ 2） WFQ Weighted Fair Queuing 能够根据 IP Presedence、应用端口、 IP 协议或引入接口对 IP 包进行区分，并排在若干队列中，然后对 IP包的输出进行排程，从而满足带宽分配和延迟要求。 最常见的应用即根 据 IP优先级或应用端口，将 IP包放入不同优先级队列，高优先级队列先进行处理，在高优先级队列处理的空隙再处理低优先级队列，在处理低优先级队列时若高优先级队列出现 IP包，则转回高优先级队列进行处理。 16 16 （ 3） RSVP(Resource Reservation Protocol,RSVP) RSVP是 Integrated Service类型的一种网络协议。 原来的研究背景是会议应用，现被IETF集成服务工作组认为是集成服务中通用的资源预留解决方案。 RSVP本身不是一个路由选择协议，它仅仅被用来沿着所选定的路由预留资源。 其预 留建立在流的基础上，流由 IPv4的地址字段或 IPv6的流标识来指定，路由器 /交换机根据为该流建立的预留来调度分组的转发。 RSVP 使网络用户根据自己对带宽，时延的要求动态地申请保留网络资源来满足它们特别的应用要求。 通过 proxyRSVP功能，路由器 /交换机可代替最终网络节点用户的应用申请资源。 这样使更多通用应用能享使 RSVP的优点。 作为一个新的信令协议， RSVP有以下基本特点： 1) 预留请求由是接收方发起，由接收方根据自身系统的特定环境和接收愿望指定不同的资源预留。 这种接收方起动的模式原则上允许系统的异构性。 2) 既支持单点投递的资源预留，也支持多点间的群组通信资源预留，并且它的过滤机制允许预留的资源可以被多个发送者共享或对同一个发送者的预留进行合并。 3) 它既可以用于主机，也可以用于路由器 /交换机。 4) 资源预留的建立在转发数据之前完成，其资源预留是单向的。 5) 用软状态指示预留的存在状态，周期性地被刷新，从而支持动态的成员和路由变化。 6) RSVP在端系统和路由器 /交换机上的开销通常与接收方数目的对数成正比。 7) RSVP传输维护通信量控制以及策略控制的参数对 RSVP来说是不透明的。 8) RSVP支持几种预留模式以适应各种应用，同 时对不支持 RSVP的路由器 /交换机提供旁路作用。 （ 4） IP Presedence IP Presedence不是一种协议，它是利用 IP包中的 TOS字段携带 IP包的类别信息。 通过对 IP包进行分类，在网络中可以根据 IP包的类别来进行基于策略的选路和提供质量保证。 （ 5） PBR(Policybased routing, PBR) 利用 PBR可以根据 IP包的源地址及应用端口等为依据，对该 IP包选择下一跳的路由，同时也能为 IP 包改变 IP Presedence。 PBR一般用在网络边缘，对进入网络的 IP 包进行分类，这样 IP包在网 络内部传输时就可根据 IP Presedence进行相应的路由策略。 （ 6） CAR (Committed Access Rate,CAR) 用户接入时与网络运营商所约定的速率。 当用户终端出来的流量超过 CAR时，超过的部17 17 分将被丢弃或标以最低的优先级。 一般用在网络接入层，用于限制网络入口速率。 QOS 设计 在 公司 网络信息网络中，多种用户并存，用户所需的服务也多样化。 为了满足用户的需求，区分不同的用户，保证网络的服务质量，我各个部门建议在办公信息网络中采用PolicyBased Routing(PBR)技术。 PolicyBased Routing(PBR)顾名思义，是基于策略的路由。 在自己的网络中，用户可以定义自己的策略，来决定哪些流量可以通过哪些路径传输，那些流量可以优先传送，那些流量要为其保证带宽；如何动态分配带宽等。 并且可以与 QoS 和 RSVP 结合，为不同的数据包提供不同的服务质量。 例如，当 公司网 中某些部门需要开视频会议时，我们采用 RSVP技术和 QoS 的 WFQ 技术，保证为视频会议预留充足带宽，同时也能满足数据流的传送。 我们还可以采用 PQ，为语音数据报设置较高的优先级，运用于语音接口上，将 IP 电话的延迟减少到最 低。 通过以上各种 QOS技术的合理运用，可以给 公司 办公大楼网络提供可靠的服务质量保证。 18 18 网络详细设计 网络设计  网络设备与线路变更 根据 公司 原有网络结构分析，在原有网络结构上增加 H3C S7506E 和 UTM(U200A)，把互联网路由器 AR2831替换为 H3C MSR5040,S3928替换为 S360052PEI。 原有网络 结 构分析 针对 公司的网络结构，原有网络存在很大隐患， 办公网络和 Inter网络处于同一网络内，而且还由一台核心交换机来支撑整个网络， 内部网络压力过大容 易引起网络延迟，丢包，互联网访问速度慢等现象。 而且 当这台核心交换机故障或者挂掉，那么势必会造成整个网络的全网瘫痪， 原来互联网与云天化集团网络都依靠单一网络作为传输，因而可能会导致访问速度慢，掉包严重时还可能出现断网。 所以增加一台核心交换机 S7506E，来与原来的华为 S6505做冗余， 互联网控制较弱，用户使用 P2P流量大无法对上互联网做出合理的控制。 原有网络 运行中存在的问题 1）由于传输延迟，造成了安全监控系统的画面不清，丢帧。 2） MES服务器负荷过重，有数据丢失现象。 3）路由交换系统超负荷运行，互联网 访问非常慢，高峰期常引起外网中断。 4）内部应用系统逐渐增加，在网应用负荷剧增，办公网较慢。 5）网络安全监控系统功能简单，局域网内电脑常遭病毒攻击。 6）互联网及应用缺乏有效的监控管理。 7）局域网。