【51CTO.com獨家特稿】某單位局域網已經組建四年左右，其網絡的主要設備包括核心交換機、硬件防火墻，一直在滿負荷運行；在這段時間，盡管單位的終端數量沒有大幅度增加，不過終端的硬件設備基本都已更新升級，終端的上網應用要求越來越高。每天上網的數據流量在急劇攀升，數據類型也是非常復雜，目前局域網的出口帶寬資源以及網絡設備的負載能力，已經無法適應上網需求。有鑒于此，單位領導要求立即拿出升級改造方案，確保單位局域網既能穩定可靠運行，又能有效提升上網速度。

組網結構

該局域網目前使用的核心交換機是H3C S8500系列路由交換機，該設備是整個網絡中最為重要的網絡設備，它下接東樓、南樓、西樓三座樓的三層交換機，每座樓的各個樓層全部使用H3C S3050二層交換機，各個終端用戶全部通過二層交換機接入局域網，進行上網訪問；為了對上網用戶進行計費，并保證上網訪問的安全，局域網的核心路由交換機直接連接到專門的計費網關，再通過硬件防火墻，并租用本地的電信100M出口帶寬連接到Internet網絡。每個終端系統的上網地址都是各個大樓的三層交換機進行集中分配和設置，再路由到局域網的核心交換機上。一旦各個樓層的網絡出現了什么意外，例如發生設備損壞或網絡病毒引起的廣播風暴現象時，網管員可以在三層交換機上進行相關處理，禁止讓故障現象上傳到局域網的核心層，整個局域網的組網拓撲圖如圖1所示。

圖1

改造需求

由于當時手頭沒有更多的三層交換機可以利用，單位新增加的上網用戶連接到局域網時，沒有通過匯聚層交換機，而是通過二層交換機直接與局域網的H3C S8500系列路由交換機進行連接的；伴隨著新增上網用戶的越來越多，網管員就必須在核心路由交換機上劃分越來越多的VLAN，并且需要在核心層上進行大量的配置工作，例如限制交換端口的速率，定義訪問控制列表，設置VLAN接口地址等等。如此多的配置操作，顯然會將H3C S8500系列路由交換機寶貴的系統資源給消耗不少，最終的結果就是直接導致核心路由交換機反應遲鈍，運行性能不穩定。同時，核心路由交換機既承擔來自上層的數據處理，又承擔來自中層的數據處理，甚至終端的接入也需要由它來調度，這會讓核心路由交換機工作時間一長之后，容易顯得不堪重負。

為了讓局域網網絡始終高速、穩定地運行，我們需要重點改造、設計核心層，確保核心層自身先要保持較高的可靠性，同時核心層不能有明顯的傳輸延遲。要達到這一目的，我們必須要想辦法不讓任何因素影響核心層的通信速度，包括為VLAN分配參數、使用訪問控制列表、路由和包過濾等等；日后，局域網規模擴大時，不能簡單地增加三層交換機的數量，而要優先升級核心層設備，確保核心層的性能可以應付足夠大的業務需求。#p#

改造過程

既然新增用戶沒有通過匯聚層就接入了局域網，那么改造升級的頭等大事就是新買幾臺三層交換機作為匯聚層交換機使用，讓新增加的用戶分別通過這幾臺三層交換機，連接到核心路由交換機上，以避免核心層不需要處理來自中層的業務數據。

1、升級出口帶寬

仔細觀察舊的組網結構圖，網管員發現核心路由交換機是通過普通的以太交換端口與計費網關、硬件防火墻進行連接的，這種類型端口的固定速率只有100Mbps，通過該端口訪問Internet，出口帶寬最大只能是100M。而在最近一段時間，網管員發現每天晚上8:00左右的上網高峰期時段，這個以太交換端口的帶寬資源占用率達到了95%左右，并且該數值在很長一段時間內都沒有變化；實際上在這種狀態下，核心交換機的出口以太端口已經處于滿負載運行狀態，此時上網用戶自然會感覺到上網沖浪速度明顯沒有平時的快。為了改善這種滿負載運行狀態，網管員特地對上網用戶進行了限速訪問，經過一段時間的觀察，結果發現出口交換端口的帶寬資源占用率最高達到了90%左右，不過該數值仍然無法緩解上網速度緩慢的現象。如此看來，100M大小的出口帶寬顯然無法滿足整個局域網的上網訪問需求，這種現象可以理解為：由于終端系統對上網帶寬資源的消耗是無止境的，無論保留多大的帶寬資源，終端系統都有可能將它消耗掉；比方說，在上網高峰期時段，終端系統的上網速度可能只有可憐的10Kbps、20Kbps，可是在上網空閑時段，終端系統在沒有任何限制的情況下，上網速度能夠達到200Kbps甚至更大。試想一下，要是在上網高峰期，同時有幾百個人上網訪問，其中一些用戶在上網看電影、BT下載或在線玩游戲時，這些特殊應用可能就要消耗70、80M出口帶寬資源，那么其他人就沒有多少帶寬資源可以利用了，此時他們的上網速度就會受到嚴重影響。

為了有效提升局域網上網速度，唯一的辦法就是升級出口帶寬，使用1000M帶寬線路，同時做好交換端口的限速措施，保證終端用戶的BT下載、看電影、玩游戲等業務，不能影響核心層的工作性能。

2、保持帶寬匹配

將寬帶線路從100M升級為1000M之后，核心路由交換機上的普通以太端口就不能繼續使用了，因為它們的速率已經被固定成100M了，不過H3C S8500系列路由交換機考慮到擴展升級的需要，已經預留了幾個1000M的電接口，此時我們需要任意選擇一個電接口，作為局域網上網的主出口。

當然，僅僅在核心路由交換機上調整端口還沒有用，因為與主出口相連的計費網關、硬件防火墻設備，以前它們的連接端口速度也是選用的100M，無法與現在的1000M速度保持匹配，所以這些設備的連接端口同樣需要調整。考慮到單位局域網舊的計費網關、硬件防火墻設備，都沒有提供1000M的連接接口，不得已網管員只好將這些設備重新更換為支持1000M連接的設備。這樣一來，1000M的硬件防火墻通過本地電信提供的1000M線路連接Internet網絡，解決了整個出口通道的傳輸瓶頸問題。

3、進行核心備份

由于之前的核心路由交換機，既要承擔匯聚層的任務，又要充當接入層的角色，現在經過增加匯聚層交換機，并將劃分VLAN、配置接口地址、使用訪問控制列表等工作，全部調整到新的匯聚層交換機上后，核心路由交換機的工作負荷大大減輕。以前配置在核心路由交換機上的命令大約有3000行，現在經過配置調整轉移后，可能只有不到800行，顯然這些減少的配置命令不但是形式上的減負，而且核心路由交換機日后將不需要對任何數據包進行分析、處理、轉發，只需要一心一意地做好路由轉發工作，這既會降低系統CPU資源的消耗率，又會提高路由轉發速度，保證整體性能的穩定。經過這樣的處理后，核心路由交換機仍然可以繼續發揮作用，不需要急于升級換代。

不過，核心路由交換機主要是由電子元件組成的，在長時間工作之后，電子元件很容易發生老化現象，這種現象時刻會威脅交換機的運行穩定性。考慮到它是局域網中最重要的網絡設備，萬一哪一天由于電子元件老化原因引起性能下降的話，整個局域網的運行都會受到影響，并且出現問題后，一時半會還不能找到合適的替代設備；到時真的出現這一幕的話，我們將不得不暫停網絡運行，停止一切網絡工作。為了保障局域網的穩定運行，我們十分有必要再選用一臺同型號的H3C S8500系列路由交換機，作為備份核心路由交換機；日后主核心路由交換機出現意外運行不正常時，備份交換機能夠立即頂上來發揮作用，確保讓上網用戶感覺不到任何變化；此外，在條件允許的情況下，我們盡可能采用雙線路連接，保證通信線路始終連接暢通。這么一來，單位局域網的組網結構圖就被調整成圖2所示的界面了。

圖2

最后結論

相信經過上述升級改造，整個局域網的運行穩定性會大大提升，而且由于整個出口帶寬的大幅度增大，那么終端用戶的上網速度明顯會快了許多。上述改造方案不但解決了網絡傳輸瓶頸問題，而且由于采用了雙機、雙線路備份措施，即使其中的某臺核心交換機或某條通信線路出現意外，整個局域網的上網不會受到絲毫影響，因此網絡運行的可靠性得到了有效保證。

經過一段時間的測試和觀察后，網管員發現現在可以按需對終端用戶分配帶寬資源，上網用戶不再反映網絡訪問速度時快時慢的現象；在改造后的試運行期間，單位局域網運行高效、穩定，從沒有發生大的安全網絡事故，整個單位的網絡辦公效率得到了顯著提升。