6、论园区网的升级与改造

6、论园区网的升级与改造

摘要：

        2018年，XX公司园区网进行升级改造，项目投入600万。我作为公司信息中心技术负责人，参与了整个网络建设方案规划设计，并组织参与了项目招标、建设等工作。该项目是在公司原有园区网的基础上升级改造，对网络进行重新规划设计，提升网络性能及用户体验。主要改造包括多出口的升级改造，核心设备双机热备，IP地址重新规划，园区无线网络建设、网络安全升级等。项目完工后，立刻投入使用，公司同事普遍反映网速明显变快，稳定性提高。由于资源、资金投入有限，此园区网建设还存在一些不足，如海外带宽出口需增大，重要系统需要CDN加速等。针对这些问题，也给出了优化思路，将在后续建设中一步步完善，提升信息化建设整体水平。

正文：

        2018年5月至2018年9月，我作为XX公司园区网建设信息中心负责人，参与了公司园区网升级改造项目，负责整体网络规划设计，组织参与了整个项目的招标、工程建设，并承担了该网络的运维工作。我公司现有员工8000人，分布在园区10栋办公楼内，近期公司业务扩张，原有办公楼已经不能容纳新员工，需要新建2栋办公楼供新员工使用，园区内所有办公楼均使用光纤互联。随着公司员工人数的不断增多，原来网络架构问题日趋明显，出现过几次断网事件，公司员工普遍反应网络访问速度缓慢，于是公司决定对整个园区网进行升级改造。根据调研和对现网架构问题分析，发现目前主要存在以下问题：

        1、网络出口有1G电信链路和500M联通链路，无法进行有效负载均衡，大部分流量均通过电信出口访问互联网，联通出口利用率不高；员工上班高峰期，上网速度慢，经流量分析，发现内部用户使用迅雷等P2P下载软件，抢占带宽，导致其他用户无法正常上网。

        2、中心机房位于总部办公楼内，核心层1台CISCO6509E交换机，该设备已经停产，如果出现板卡，将无法进行有效替换，另外该设备存在单点故障，如果出现问题，会影响全网业务。

        3、随著BYOD移动时代来临，办公WIFI建设需求也越来越旺盛，公司高层决定依托原有线网络进行无线网络建设，实现整个园区无线网的覆盖。

        4、公司使用1个C类电信公有IP和20个联通IP,内网采用192.168.0.0/16段分配地址，由于前期缺乏规划，地址分配混乱，导致后期无法汇总，很难扩容。

        5、最近半年内网攻击增多，曾出现内网ARP攻击，导致用户断网，同时勒索病毒造成数据加密。根据上述调研总结的问题，结合目前公司现有网络架构，从如下几个方面，对现网进行了升级改造和优化。

一、网络出口优化

        由于现有出口是电信和联通双链路，但无法有效负载均衡，导致联通链路利用率较低，本次决定在出口增加部署负载均衡设备，经过交流和测试，发现F5产品负载均衡效果最好，但价格贵，操作界面不友好。最终我们选择了性价比高、管理界面更简单的深信服负载均衡硬件设备，实现出口多链路负载均衡，充分把两条链路利用起来，缓解了用户上网慢的问题。

        另外，针对P2P流量抢占带宽问题，前期尝试通过在交换机和路由器配置ACL，封堵相应端口实现，但由于P2P是动态端口，效果不好。于是在本次网络改造中，加入上网行为管理设备，对P2P下载、网页视频等业务进行流量限制，同时对重点业务进行带宽保障，防止困带宽抢占导致其他用户无法正常进行业务访问。上网行为管理设备上线后，彻底解决了大家反馈的上网慢问题。

二、网络核心区域改造

        原有网络采用单核心，且设备停产，风险较高。故本次将单核心升级为双核心，采用两台华为S12700E系列设备，配置双引擎双电源双交换网板，实现单设备冗余，同时将两台核心交换机通过CSS技术虚拟成一台，任何一台出现故障，都不影响业务正常运行，提升了网络可靠性，又能简化网络管理。用CSS技术替代传统的VRRP+MSTP组网，还能避免端口阻塞，提高网络性能。原有网络骨干均为千兆网络，已经不能满足业务高速发展的需求，故本次对汇聚交换机和骨干链路也进行了升级改造。将汇聚交换机升级为华为S5700H系列交换机，配置10G接口，通过多模光模块上行到核心交换机，构建万兆骨干链路。汇聚交换机保留一定扩展能力，支持扩展插槽，可以灵活扩展40G接口，将来可平滑升级为40G骨干网络。

三、园区无线网络建设

        为了节省成本和简化管理，本次无线网络与有线网络共用核心和汇聚交换机，在有线网络基础上扩展无线接入交换机，本次采用华为S5700-LI系列PoE交换机，提供无线接入，也为前端AP供电。考虑到不同区域需求，本次采用三种类型的无线AP，分别为：室外AP、室内高密AP、室内墙面AP。其中室外园区采用华为室外AP，具备防水防尘功能，适应室外恶劣环境，支待远距离覆盖；室内高密度会议室采用华为高密AP。配置智能天线，支持100人接入，能有效减少AP部署数量，防止同频干扰；室内小办公室采用墙面AP，保障每个角落信号无死角覆盖。最后配置无线控制器AC对所有AP进行统一管理、配置下发，也能保障无线用户在整个园区网实现无缝漫游。

四、IP地址优化改造

        由于前期IP地址规划不足，内网只有192.168.0.0/16一个网段，随着公司员工人数增多，个人电脑普及，公共机房建设，这段地址基本耗尽。网络建设初期地址分配杂乱无章，无法做到路由汇总，因此趁这次网络大规模升级改造机会对地址重新规划。地址主要按办公楼划分：因公司总部人数众多且固定IP较多，故总部继续沿用192.168.0.0/16段，其余办公区使用172.X.0.0/16段(X=OSPF区域编号），每个办公区一个B类地址，其中172.16.0.0/16网段作为全园区设备地址。同时使用10.X.0.0/16段作为全园区无线网络地址，划分方法与有线类似。

五、园区网络安全升级

       针对勒索病毒，本次首先进行了一轮系统升级，全部PC安装杀毒软件，同时在交换机和路庄器上配置ACL，封闭135、139、445等病毒传播端口。另外，在汇聚交换机上开启DHCP Snooping和DAI功能，防止ARP欺骗。同时本次在网络出口部署两台华为USG6500防火墙，在网络出口第一时间阻断各类来自互联网的攻击。最后按照三级等保技术要求，新增了日志审计、入侵检测、漏洞扫描等安全设备，实现体系化安全防护。

        经过多方配合，网络升级、改造上线以后，广大员工普遍感觉网络明显变快了，满意度显著提高。随着网络质量变好，流量必然大幅上升，安全建设也还需要进一步完善，同时我公司海外业务逐步扩大，需提升海外用户访问公司相关资源的速度，所以下一阶段主要有以下几方面需要完善：

    1、网管相对比较麻烦，后续可引入商业化运维系统，对全网进行监测；

    2、重要业务系统，增加区域CDN节点建设，加快用户访问速度；

    3、安全还倾向于被动安全防御，后续可以引入安全态势感知等主动安全防伤系统；

    4、IPv6支持有待改造，后续可逐步升级IPv6双栈，向IPv6逐渐过渡。