张传山

摘 要：网络与日常生活密不可分，如同道路和汽车的关系，信息抵达哪里网络就要覆盖到哪里。大型网络建设使用设备多配置复杂，需要有很强的基础理论知识和实践经验，即使这样，高级工程师在实例部署时也需要查询相关手册，影响网络建设质量和故障排查效率。本文从实用角度出发，将本人多年的网络经验撰写成典型案例，供相关人员参考实用。

关键词：典型工程；系统集成；网络技术

1 规划和设计

典型网络建设采用星型网络拓扑结构，通常分为三个部分，分别为：中枢网络建设、分支机构网络建设、临时接入网络建设三部分。中枢网络是整个网络的最核心部分，承载着集团网络的业务服务器、中枢区内的办公需求、各分支机构的网络接入和临时移动端的访问。分支机构网络建设是异地的办事机构，业务开展内容需要与中心区网络业务统一，需要与核心网络的物理鏈接，城市间的网络连接需要租用一条透明链路2M宽带的DDN，通过QOS技术实现对网络线路的服务质量和带宽控制。而外地出差的移动办公人员需要通过IPsecVPN技术拨入到集团络网内，实现对网络内容的临时访问逻辑链接。

设备选型时要注意几点：一是高性能，有万兆级或千兆级可选，分布式交换级成本较高但性能足够强劲；二是可扩展性要好，能够适应网络发展趋势要求，兼容不同厂商不同品牌的网络设备，网络升级改造时更容易实施；三是稳定可靠，网络设备开机时间较长能够连续工作，有互为冗余待用机制的硬件结构设计，物理端口间有负载均衡功能或利用软件功能实现对硬件的QOS控制；四是安全抗攻击，网络安全日益凸显，有突发性、恶意性等的特点，采取分布式碎片化的饱和攻击，能否抵御住各攻击有相应的安全过滤机制保障非常重要。

2 中枢网络建设及部署

顾名思义，网络的中枢是一个网络的最核心部分，重要业务的功能都集中在核心层，这是网络结构决定的，也是业务系统需要的。处在核心位置方便系统的部署，满足对基础设施性能的要求，如：核心交换接入带宽更高、核心设备的背板带更宽、更便于维修、保养、排障等操作。根据前述原则，核心交换机有4个指标：一是基本指标，网络接口类型、用户可用插槽数、端口密度；二是功能指标：VLAN划分、堆叠、单播和组播协议支持、可网管、链路层是否具备弹性恢复的功能（如生成树、链路捆绑）、在网络层是否支持动态路由协议、是否支持等价多路由功能、是否支持网关冗余协议（VRRP、HSRP）等；三是性能指标，背板带宽、包转发率、支持的MAC地址数量、QOS；四是可靠性指标，switch是否支持关键模块的冗余（电源、风扇、交换矩阵、引擎）。switch定型后，按照业务功能不同为各部门分配VLAN号，各VLAN间通利用三层交换功能实现VLAN间的路由，达到互联互访。为业务服务器划出一个DMZ专区，用于业务流的访问。核心层交换机涉及几个重要技术：

（1）STP（Spanning Tree Protocol生成树协议）：虽然星型网络很少会发生环路故障，但是网络越大这种情况越无法避免，因此当线路有环路时，STP会断开环路防止广播风暴的产生，同时恢复备份通信。STP是一个基于二层实现的协议，可以在一个具有多VLAN、大量交换机、多厂商的复杂环境中很好的实施。在未启用STP情况下，有时会发生网络瘫痪，使用sniffer工具抓包发现，无目的帧充斥在全网循环发送，流量不断升高，在未启用STP情况下，故障很难排除。

（2）VLAN（Virtual Local Area Network虚拟局域网）：一个工作在二层的网络协议，一个VLAN为一个广播域，也就是我们所说的局域网，利用它实现划分不同网段，控制广播范围的目的，主要协议是802.1Q。

（3）SVI（switch virtual interface交换机虚拟接口）：即VLAN的虚拟三层逻辑接口，是一个三层技术，用于VLAN间的路由。

（4）Trunking：链路聚集，也叫中继或干道基于OSI第二层，举例说明，A交换机一个端口配置为TRUNK，B交换机一个端口配置为TRUNK，用网线分别连接两台SW的TRUNK口，这条线就形成了干道，A交换机有VLAN1和VLAN2，B交换机中也有VLAN1和VLAN2，这样通过干道A和B中的VLAN相互可以透传，也就是说，A交换机VLAN1里的PC可以与B交换机VLAN1里的PC进行通讯，VLAN2同理。

3 分支机构网络建设及部署

各分支机构的路由器分别与中枢区的汇聚路由器通过DDN专线链接，承担着分支机构的业务访问需求。各节点ROUTER与中枢区的总ROUTER实现P2P的典型配置。根据前述原则，核心路由器有6个指标：一是基本指标，网络接口类型、用户可用槽数、端口密度；二是功能指标，路由协议支持、源地址路由支持、透明桥接、策略路由方式、PPP、MLPPP（多链路PPP）、PPPOE支持、组播支持（因特网组管理协议IGMP、距离矢量组播路由协议DVMRP、协议无关组播协议PIM）、VPN支持、加密方式、MPLS；三是性能指标，全双工线速转发能力、设备吞吐量、端口吞吐量、背靠背桢数、路由表能力、背板能力、丢包率、时延、时延抖动、VPN支持能力、无故障工作时间、内部时钟精度、Qos能力（队列管理机制、端口硬件队列数、QOS分类方式、分类业务带宽保证、资源预留协议RSVP、区分服务IP DiffServ、CAR（承诺接入速率）支持）；四是可靠性指标，冗余、热插拔组件、路由器冗余协议VRRP；五是网管指标，基于WEB的管理、网管类型、带外网管支持、网管粒度、计费能力/协议；六是分组语音能力，分组语音支持方式、协议支持、语音压缩能力、端口密度、信令支持。核心、节点路由器涉及几个重要技术：

（1）CBWFQ（class-based weighted fair queuing基于类的加权公平队列）：通常使用ACL访问控制列表来定义数据流类别，实现对链路带宽的负载均衡、策略路由、优化控制。

（2）路由协议：主要是动、静态协议。

4 外地出差人员临时接入部署

外地出差人员通过VPN客户端软件拨入到集团络网内，实现对网络内容的临时访问。根据前述原则，各节点防火墙有3个指标：一是基本指标，产品类型（包括三种：基于包过滤技术的防火墙、基于代理的防火墙、基于状态监测的防火墙）、LAN接口；二是功能指标，协议支持、加密支持、认证支持、NAT支持、防御功能、管理功能、记录和报表功能；三是性能指标，并发连接数、吞吐量。重要技术：主要是IPsecVPN。

参考文献

[1]周亚军.思科CCIE路由交换v5实验指南[M].北京：电子工业出版社，2016-04-1.

[2]（美）赫卡著，罗进文 等译 POD-Cisco ASA、PIX与FWSM防火墙手册（第二版）[M].北京：人民邮电出版社，2010-04-1.