某单位局域网已经组建四年左右,其网络的主要设备包括核心交换机、硬件防火墙,一直在满负荷运行;在这段时间,尽管单位的终端数量没有大幅度增加,不过终端的硬件设备基本都已更新升级,终端的上网应用要求越来越高。每天上网的数据流量在急剧攀升,数据类型也是非常复杂,目前局域网的出口带宽资源以及网络设备的负载能力,已经无法适应上网需求。有鉴于此,单位领导要求立即拿出升级改造方案,确保单位局域网既能稳定可靠运行,又能有效提升上网速度。
组网结构
该局域网目前使用的核心交换机是H3C S8500系列路由交换机,该设备是整个网络中最为重要的网络设备,它下接东楼、南楼、西楼三座楼的三层交换机,每座楼的各个楼层全部使用H3C S3050二层交换机,各个终端用户全部通过二层交换机接入局域网,进行上网访问;为了对上网用户进行计费,并保证上网访问的安全,局域网的核心路由交换机直接连接到专门的计费网关,再通过硬件防火墙,并租用本地的电信100M出口带宽连接到Internet网络。每个终端系统的上网地址都是各个大楼的三层交换机进行集中分配和设置,再路由到局域网的核心交换机上。一旦各个楼层的网络出现了什么意外,例如发生设备损坏或网络病毒引起的广播风暴现象时,网管员可以在三层交换机上进行相关处理,禁止让故障现象上传到局域网的核心层,整个局域网的组网拓扑图如图1所示。
图1
改造需求
由于当时手头没有更多的三层交换机可以利用,单位新增加的上网用户连接到局域网时,没有通过汇聚层交换机,而是通过二层交换机直接与局域网的H3C S8500系列路由交换机进行连接的;伴随着新增上网用户的越来越多,网管员就必须在核心路由交换机上划分越来越多的VLAN,并且需要在核心层上进行大量的配置工作,例如限制交换端口的速率,定义访问控制列表,设置VLAN接口地址等等。如此多的配置操作,显然会将H3C S8500系列路由交换机宝贵的系统资源给消耗不少,最终的结果就是直接导致核心路由交换机反应迟钝,运行性能不稳定。同时,核心路由交换机既承担来自上层的数据处理,又承担来自中层的数据处理,甚至终端的接入也需要由它来调度,这会让核心路由交换机工作时间一长之后,容易显得不堪重负。
为了让局域网网络始终高速、稳定地运行,我们需要重点改造、设计核心层,确保核心层自身先要保持较高的可靠性,同时核心层不能有明显的传输延迟。要达到这一目的,我们必须要想办法不让任何因素影响核心层的通信速度,包括为VLAN分配参数、使用访问控制列表、路由和包过滤等等;日后,局域网规模扩大时,不能简单地增加三层交换机的数量,而要优先升级核心层设备,确保核心层的性能可以应付足够大的业务需求。
改造过程
既然新增用户没有通过汇聚层就接入了局域网,那么改造升级的头等大事就是新买几台三层交换机作为汇聚层交换机使用,让新增加的用户分别通过这几台三层交换机,连接到核心路由交换机上,以避免核心层不需要处理来自中层的业务数据。
1、升级出口带宽
仔细观察旧的组网结构图,网管员发现核心路由交换机是通过普通的以太交换端口与计费网关、硬件防火墙进行连接的,这种类型端口的固定速率只有100Mbps,通过该端口访问Internet,出口带宽最大只能是100M。而在最近一段时间,网管员发现每天晚上8:00左右的上网高峰期时段,这个以太交换端口的带宽资源占用率达到了95%左右,并且该数值在很长一段时间内都没有变化;实际上在这种状态下,核心交换机的出口以太端口已经处于满负载运行状态,此时上网用户自然会感觉到上网冲浪速度明显没有平时的快。为了改善这种满负载运行状态,网管员特地对上网用户进行了限速访问,经过一段时间的观察,结果发现出口交换端口的带宽资源占用率最高达到了90%左右,不过该数值仍然无法缓解上网速度缓慢的现象。如此看来,100M大小的出口带宽显然无法满足整个局域网的上网访问需求,这种现象可以理解为:由于终端系统对上网带宽资源的消耗是无止境的,无论保留多大的带宽资源,终端系统都有可能将它消耗掉;比方说,在上网高峰期时段,终端系统的上网速度可能只有可怜的10Kbps、20Kbps,可是在上网空闲时段,终端系统在没有任何限制的情况下,上网速度能够达到200Kbps甚至更大。试想一下,要是在上网高峰期,同时有几百个人上网访问,其中一些用户在上网看电影、BT下载或在线玩游戏时,这些特殊应用可能就要消耗70、80M出口带宽资源,那么其他人就没有多少带宽资源可以利用了,此时他们的上网速度就会受到严重影响。
为了有效提升局域网上网速度,唯一的办法就是升级出口带宽,使用1000M带宽线路,同时做好交换端口的限速措施,保证终端用户的BT下载、看电影、玩游戏等业务,不能影响核心层的工作性能。
2、保持带宽匹配
将宽带线路从100M升级为1000M之后,核心路由交换机上的普通以太端口就不能继续使用了,因为它们的速率已经被固定成100M了,不过H3C S8500系列路由交换机考虑到扩展升级的需要,已经预留了几个1000M的电接口,此时我们需要任意选择一个电接口,作为局域网上网的主出口。
当然,仅仅在核心路由交换机上调整端口还没有用,因为与主出口相连的计费网关、硬件防火墙设备,以前它们的连接端口速度也是选用的100M,无法与现在的1000M速度保持匹配,所以这些设备的连接端口同样需要调整。考虑到单位局域网旧的计费网关、硬件防火墙设备,都没有提供1000M的连接接口,不得已网管员只好将这些设备重新更换为支持1000M连接的设备。这样一来,1000M的硬件防火墙通过本地电信提供的1000M线路连接Internet网络,解决了整个出口通道的传输瓶颈问题。
3、进行核心备份
由于之前的核心路由交换机,既要承担汇聚层的任务,又要充当接入层的角色,现在经过增加汇聚层交换机,并将划分VLAN、配置接口地址、使用访问控制列表等工作,全部调整到新的汇聚层交换机上后,核心路由交换机的工作负荷大大减轻。以前配置在核心路由交换机上的命令大约有3000行,现在经过配置调整转移后,可能只有不到800行,显然这些减少的配置命令不但是形式上的减负,而且核心路由交换机日后将不需要对任何数据包进行分析、处理、转发,只需要一心一意地做好路由转发工作,这既会降低系统CPU资源的消耗率,又会提高路由转发速度,保证整体性能的稳定。经过这样的处理后,核心路由交换机仍然可以继续发挥作用,不需要急于升级换代。
不过,核心路由交换机主要是由电子元件组成的,在长时间工作之后,电子元件很容易发生老化现象,这种现象时刻会威胁交换机的运行稳定性。考虑到它是局域网中最重要的网络设备,万一哪一天由于电子元件老化原因引起性能下降的话,整个局域网的运行都会受到影响,并且出现问题后,一时半会还不能找到合适的替代设备;到时真的出现这一幕的话,我们将不得不暂停网络运行,停止一切网络工作。为了保障局域网的稳定运行,我们十分有必要再选用一台同型号的H3C S8500系列路由交换机,作为备份核心路由交换机;日后主核心路由交换机出现意外运行不正常时,备份交换机能够立即顶上来发挥作用,确保让上网用户感觉不到任何变化;此外,在条件允许的情况下,我们尽可能采用双线路连接,保证通信线路始终连接畅通。这么一来,单位局域网的组网结构图就被调整成图2所示的界面了。
图2
最后结论
相信经过上述升级改造,整个局域网的运行稳定性会大大提升,而且由于整个出口带宽的大幅度增大,那么终端用户的上网速度明显会快了许多。上述改造方案不但解决了网络传输瓶颈问题,而且由于采用了双机、双线路备份措施,即使其中的某台核心交换机或某条通信线路出现意外,整个局域网的上网不会受到丝毫影响,因此网络运行的可靠性得到了有效保证。
经过一段时间的测试和观察后,网管员发现现在可以按需对终端用户分配带宽资源,上网用户不再反映网络访问速度时快时慢的现象;在改造后的试运行期间,单位局域网运行高效、稳定,从没有发生大的安全网络事故,整个单位的网络办公效率得到了显著提升。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国