公司內部區域網絡升級可行性方案

下面是筆者前段時間寫的公司某區域網絡升級可行性方案，歡迎大家拍磚！

一、 需求分析
　　隨著公司業務的拓展及規模的擴大，原有網絡已不能滿足公司的發展需求，經過公司各部門多次協商與論證，領導層決定對原有網絡的主干線路及設備進行一次大型的升級改造。
　　具體需求分析如下：
　�。ǎ保�、業務需求：作為一個獨立的AS網絡運營，擁有獨立的自治區域AS號，擁有屬于自己的公網IP地址等，可以實現獨立的AS網絡中可以運營的所有業務。
　�。ǎ玻�、地址分配：為每一個用戶動態與靜態相結合的方式分配公網IP地址。
　�。ǎ常�、運營計費：實現多種計費驗證方式相結合，安全、高效、方便管理及人性化計費。
　�。ǎ矗�、冗余備份：實現核心設備（核心路由及交換機等）冗余備份，避免核心設備單點故障。
　�。ǎ担�、負載均衡：實現多ISP接入鏈路負載均衡，路由優化選擇、流量分擔負載及避免單線路故障。
二、網絡現狀
　�。ǎ保�、帶寬及鏈路現狀：
　　原主干拓撲有三條鏈路光纖接入：中國網通、中電飛華、北京電信通，總帶寬是獨享50M，后因鏈路質量問題，撤銷了北京電信通的20M鏈路，另引進了中電飛華部分帶寬作補充，總帶寬仍維持在50M左右。三條鏈路分別通過各邊界路由器與防火墻接入，再通過cisco7505核心路由，實現了鏈路上手動策略的負載均衡與互為備份。
　�。ǎ玻�、主網絡設備現狀：
　　A、核心層主要設備：　�。�略）
　　B、匯聚層主要設備：　�。�略）
　　C、接入層主要設備：　�。�略）
　�。ǎ常┈F狀分析：
　　隨著公司規模的擴大，公司所轄各社區之間的互聯互通及資源共享將成為近期一段時間需要解決的問題，而現有的網絡帶寬、鏈路及設備等資源已不能滿足公司發展的要求。
　　A、帶寬及鏈路分析：在滿足z區域用戶的基礎上，也需要考慮公司所轄其他社區的接入情況，帶寬的需求，鏈路多元化的需求，鏈路冗余備份的需求，在升級改造前期，建外與z區域主干線路需至少接入100M獨享帶寬，及電信、網通、聯通等多條ISP鏈路。
　　B、設備性能的分析：z區域網絡的設計在相當長一段時間內不僅滿足了z區域網絡的需求，同時也滿足了技術先進性的要求，但由于公司現有業務及規模的擴大，在原有基礎上增加許多新的需求，如對設備處理能力的要求，對設備新技術支持的要求，對設備的冗余備份的要求、對運營計費驗證及安全方面的要求等。
　�。ǎ矗┬逻M資源：
　　為了與網絡升級改造能夠保持同步，在原有帶寬的基礎上，現已申請并接入了中國電信50M獨享帶寬，并且已從CNNIC申請了4096個公網IP地址，BGPv4自治區域AS號正在申請中。
　�。ǎ担�、主干拓撲：
　　z區域網絡以交換式以太網為主，其中接入層可提供快速以太網（100M）接入，核心層及匯聚層以千兆以太網進行傳輸。同時，z區域的ISP接入方式形式多樣，既支持光纖以太網接入、XDSL接入，也支持DDN、FR（幀中繼）、ATM等方式的接入，z區域局域網用戶端接入方式也有多種，如快速以太網接入、VDSL接入、DDN接入等等�！�
     （因涉及公司內部拓撲架構拓撲圖略）
三、設計目標
　　z區域網絡的改造是在原有網絡的基礎上進行較大規模的升級，盡管整體設計不發生變化，但對主干拓撲結構變進行了較大調整，并對相關資源進行了整合。
　　此次升級主干線路及設備仍采用快速以太網技術和千兆以太網技術，并符合相關的技術標準。
　　此次升級改造規劃分以下四個階段進行：
　　第一階段：前期準備工作－主要包括網絡改造的整體設計、網絡改造的技術論證、網絡改造可行性方案的出臺。 該階段包括三個重要環節：
　�。ǎ保�、整體規劃設計環節：根據公司的需求分析，規劃設計出需要升級改造的模型拓撲。
　�。ǎ玻�、技術論證整合環節：根據整體規劃設計環節中的模型拓撲，對相關技術可行性進行反復論證和技術資源的整合。
　�。ǎ常�、可行方案擬定環節：通過整體規劃設計環節和技術論證整合環節后，本階段擬定完成可行性方案。
　　第二階段：資源整合工作－主要包括相關升級資源的落實、相關升級資源的整合、內部人員及用戶的協調通知。 該階段包括三個重要環節：
　�。ǎ保�、升級資源引進環節：該環節根據第一階段出臺的可行性方案的要求，對此次升級所需的資源如設備、鏈路、帶寬等進行選購和引進。
　�。ǎ玻�、升級資源整合環節：該環節是在資源引進后，首先對資源進行相應測試和分配，然后根據現有資源和引進資源開始進行整合。
　�。ǎ常�、實施階段準備環節：該環節主要為下一階段做準備，如具體實施人員的工作分工與搭配，用戶方面的協調與通知等。
　　第三階段：整改實施工作－主要包括主干拓撲結構的升級、各技術環節具體實現、整改實施完畢后的測試工作。 該階段包括三個重要環節：
　�。ǎ保�、主干拓撲升級環節：核心設備的上架、相關鏈路拓撲的更改，計費運營設備的調整。
　�。ǎ玻�、具體技術實現環節：涉及到具體的設備調試、具體的設備配置等具體技術工作。
　�。ǎ常�、升級完畢測試環節：以上各環節完畢后，需要對升級后的網絡進行各環節測試和整體測試。
　　第四階段：正式運營工作－主要包括用戶端網絡重新接入、網絡運營期間的監控、網絡運營期間的正常維護等。
　�。ǎ保�、用戶網絡接入環節：該環節主要是升級用戶端接入及配置方式（如通知或者協助更改為DHCP獲取地址等）。
　�。ǎ玻�、正式運營監控環節：實時監控升級后網絡使用狀況，及時發現問題及時解決，并對網絡狀況進行分析，成熟后進入正式運營階段。
　�。ǎ常�、正常運營維護環節：新的網絡正式運營，新的計費策略實施、開始正式網絡運營的日常維護和管理。
四、設計原則
　　網絡工程一般都會遵循以下設計原則，網絡升級改造也不例外：
　�。ǎ保�、實用性原則：網絡設計方案中應把握“夠用”和“實用” 原則，網絡系統應采用成熟可靠的技術和設備，做到實用、經濟和有效。
　�。ǎ玻�、開放性原則：網絡系統采用開放的標準和技術，如TCP/IP協議、IEEE802系列標準等，以滿足未來網絡系統的擴充和與其他網絡的互相通信等需求。
　�。ǎ常�、高可用性/可靠性原則：應確保很高的平均無故障時間和盡可能低的平均故障率。
　�。ǎ矗�、安全性原則：確保網絡可以抵擋住常見及一般性的攻擊，并輔之實時監控和分析等手段，對特殊的網絡攻擊和入侵進行相應處理。
　�。ǎ担�、先進性原則： 構建一個現代化的網絡系統，應盡可能采用先進而成熟的技術，在一段時間內保證其主流地位。
　�。ǎ叮�、易用性原則：整個系統易于安裝、管理和使用。網絡系統應該具有良好的可管理性和很高的資源利用率。此外，在滿足現有網絡應用的同時，還應為以后的應用升級奠定基礎。
　�。ǎ罚�、可擴展性原則：網絡總體設計不僅要考慮到近期目標，也要為網絡的進一步發展留有擴展余地，因此需要統一規劃和設計。
五、 總體設計
　網絡拓撲結構設計采用三層設計模型，實際上核心層、匯聚層、接入層并沒有清晰的分界線，分層的設計目的是為了幫助實現成功的網絡設計，并定義那些必須存在于網絡中的功能。z區域網絡拓撲結構從整體上也是遵循三層設計模型的。
　 （１）、接入層設計：
    A、接入層設計策略：提供各種接入方式，將流量接入網絡；控制訪問，保證網絡安全；執行其它的邊緣功能（如Qos等），是網絡的對外可見部分，是用戶與網絡的連接場所。
　　B、接入層的性能：網絡分段；廣播能力和多播能力；命名、代理和本地高速緩存功能；介質訪問的安全性、路由器發現。
　　C、接入層設計要點：根據此次需求及以上設計策略和接入層的性能進行分析，z區域網絡需要從子網規劃、冗余鏈路規劃進行升級改造。
　　i、子網規劃設計：從現有的4096個公網地址，其中保留2個C類數量的IP地址使用DHCP分配給z區域普通終端用戶，保留1個C類數量的IP地址靜態分配給z區域專用或特殊需求用戶。同時，為了節約IP地址資源，同時根據用戶的分布情況，按理想狀態下，每棟樓宇同時在線50用戶，共10棟大約同時在線500個IP地址劃分為10個VLAN（每棟樓劃為一個vlan）。但實際狀態下，每棟樓同時在線用戶最高應保持在30-40用戶左右，每棟樓將會有10-20個冗余地址備用。
　　ii、冗余ISP鏈路規劃：多ISP鏈路，可以互為備份，互為冗余，通過負載均衡方式，避免單點故障，并實現流量分擔負載和路徑優化選擇。原中國網通、中電飛華各ISP鏈路的接入，基本上實現了雙鏈路冗余備份，但隨著公司規模及需求的擴大，中國電信鏈路的需求也隨增大，同時考慮對帶寬的需求，前期計劃在原基礎上再接入中國網通50M、中國電信50帶寬，目前中國電信鏈路已經接入。
　 （２）、匯聚層設計：
　　A、匯聚層設計策略及性能：主干網帶寬管理、區域篩選和服務篩選；基于策略的分布；網關服務；協議間路由的重新分配；介質轉換。
　　B、匯聚層園區網功能包括：地址聚合或區域聚合、部門訪問或工作組訪問、廣播/多點傳送域的定義；VLAN間路由；所需的任何介質轉換；安全性。
　　C、匯聚層設計要點：
　　本層次升級主要是vlan及vlan間路由重新配置。根據子網規劃要求，需要劃分為10個用戶端VLAN，一個內部vlan，一個管理vlan（服務器及設備）。
　（３）、核心層設計：
    A、核心層性能：路徑優化、信息流的優先化、負載均衡、備用路徑、交換式訪問、封裝。
    B、核心層設計策略：路由聚合;核心層與匯聚層連接最小化;減少網絡策略;任何形式的策略必須在核心層外執行，如數據包的過濾及Qos處理;禁止采用任何降低核心層設備處理能力或增加數據包交換延遲時間的方法;對網絡中每個目的地具備充分的可到達性;具有足夠的路由信息來交換發往網絡中任意端設備的數據包;核心層的路由器不應該使用默認的路徑到達內部的目的地;聚合路徑能夠用來減少核心層路由表大小;默認路徑用來到達外部目的地。
    C、核心層分類：壓縮型和核心網型
    壓縮型：網絡規模小，設置核心路由器扮演網絡核心層與匯聚層上所有其它路由器相連，甚至將匯聚層的功能包含在核心層，此種網絡特性容易管理，但擴展性不好，易存在單點故障。z區域目前網絡拓撲核心層屬于這種類型。
    核心網型：對于大型網絡使用一組高速局域網連接的路由器，或者一系列高速的廣域網鏈接形成一個核心層網絡。用某個網絡作為核心層，可將冗余加入到核心層規劃中。目前大型的ISP運營商網絡一般屬于這種類型。
　　D、核心層設計要點：本次升級改造的重點也主要在核心層，并且還涉及到了主干拓撲的改變，更重要的是涉及到了路由協議和策略的變化，所以核心層的設計是最關鍵的。該設計中主要包括：
　　1、運營計費：希望此次計費系統升級改造后可以實現以下基本功能：
Ø     在原有計費功能（如流量監控、帶寬限制、訪問記錄、用戶管理等）的基礎上，實現帶寬、流量及傳輸速率的嚴格管理與控制。
Ø     除具備WEB頁面驗證外，還需具體其他驗證功能，如802.1x驗證、pppoe驗證、VPN驗證方式等。
Ø     實現計費與信息統計更人性化的功能及操作。
Ø     實現遠程計費系統管理。
Ø     需考慮到后期網絡升級和技術發展，設備對新性能的擴展及支持（如IPV6網絡的計費等等）。
Ø     客戶端信息自查詢功能。
　　ii、路由協議：要建立一個獨立的AS網絡運營，擁有獨立的自治區域AS號，擁有屬于自己的公網IP地址，在z區域網絡的邊界處需要使用BGP協議來實現與其他ISP運營商網絡的互聯，z區域內部網絡可以自行選擇使用靜態、動態、策略路由來實現，必要時需要三種路由協議結合使用，路由協議的選擇是非常重要。
　　iii、冗余備份：主要是對核心設備及主干鏈路進行冗余備份，核心路由器的冗余備份可以使用HSRP協議實現，核心交換機的冗余備份可以使用GEC/FEC（鏈路聚合協議）實現。
　　iv、負載均衡：此處主要指流量及帶寬分擔負載、路徑優化及自動選擇�？梢圆捎玫募夹g及協議如使用EIGRP、OSPF、BGP等技術實現。根據拓撲不同，可以選擇的協議也不同。
      
六、 方案分析
　　經過多方面論證，考慮到前期投資成本問題，暫時不考慮設備的冗余備份方案（略）。      
    因此，在綜合各方面的性能、成本、速度、業務、穩定性、計費運營等因素后，最終歸納為以下解決方案，分析如下：
（１）、BGP網絡方案：
   A、優勢：擁有自己獨立的BGP AS網絡，獨立運營BGP AS網絡，可以與其他BGP AS網絡（如中國電信、中國網通、中電飛華、中國聯通等）進行平等對接，不存在隸屬關系。擁有自己的公網IP地址，并且可以運營獨立BGP AS網絡上的業務。路徑的最佳優化選擇，可以實現真正意義上的自動多鏈路負載均衡。
     
   B、劣勢：投資成本較大，技術上實現復雜。需要投入高端、專業的骨干網絡BGP處理設備（如高端路由器）等，需要專業的BGP技術人員進行實時維護和處理。
   C、設備：為了節約成本，可選擇既滿足BGP處理，又同時作為內部網絡邊界或核心處理的設備。經過多方咨詢，cisco設備需要cisco 10000 ESR系列及以上的cisco12000 GSR系列（cisco的頂級產品）的設備，juniper需要M40(停產)或M120級別的設備。目前在一級電信運營商中，作BGP處理和核心處理一般使用以上兩種設備居多。
   D、簡略拓撲：

（２）非BGP網絡方案：
   A、優勢：最大節約成本，技術上實現起來較BGP網絡要簡單。利用現有的設備進行一系列升級，不更換核心設備及網絡架構，仍采用原有網絡通信協議，難度相對較小。多ISP鏈路仍然采用靜態路由＋策略路由方式實現手動的負載均衡。
　 B、劣勢：屬于短期內升級，以后隨著業務的擴展，規模的擴大，現有的網絡將無法滿足新的業務需求，但可以作為網絡改造的前期實施。公網IP地址將對ISP線路分網段分別穿透，無法將其融合于一網，無法實現自動多鏈路負載均衡。
   C、設備：核心路由交換設備暫不選購。
　 D、簡略拓撲：

（３）、運營計費方案：
　　由于運營計費驗證方式不同，Raidus計費器接入的位置也不同。如實現web＋DHCP方式進行驗證，計費器需要安裝在三層以上，而如果實現pppoe方式驗證，計費器需要安裝在二層匯聚設備上。由于驗證方式不同，工作在OSI及TCP/IP模型的位置不同，因此各驗證方式獨立運營，目前比較常用的驗證方式有：
   A、PPPOE驗證方式：
�。ǎ�、PPPOE方式優勢：成本低，通過PPPOE地址池分配4096個公網地址，減少公網地址的浪費，并且實現動態靜態相結合分配，可靈活控制，安全性較高，由于是點對點協議，不存在PPPOE網內廣播，所以不會因為某客戶數據廣播或流量過大而影響局域網其他客戶，易于管理和流量控制。
�。ǎ�、PPPOE方式劣勢：必須通過客戶端設備進行撥號才可以通過驗證，有些設備不支持PPPOE方式時，PPPOE實現比較困難。另外，PPPOE使用的是數據鏈路層的技術，每個數據包都要包含認證信息，這樣占據了一定的網絡帶寬。對于一些帶寬資源不是很豐富的網絡，不是個最佳的管理方式。由于PPPOE是點對點協議，很難開展Multicast業務，如iptv等業務開展困難。PPPOE服務器用來終結用戶發起的PPPOE session，所以必須放置在data path中，即串行連接，使得PPPOE服務器成為性能瓶頸和單個故障點。
　　如簡略拓撲所示：

　 B、web驗證方式：
（１、web驗證方式優勢：驗證方便，直接通過瀏覽器進行驗證，圖形界面化驗證，可以提供多種web增值服務；一般結合DHCPserver地址池動態分配地址與靜態地址相結合，因為這種驗證方式使用的都是三層以上的技術，所以可以實現網絡層以上的高層次服務，如多播業務、組播業務中的IPTV、視頻廣播等等，有利于新業務的開展。
（２、web驗證方式劣勢：因為通過web方式驗證，安全性較差，漏洞較多。另外DHCP分配地址有許多缺點，如mac地址與mac地址綁定、靜態地址與動態地址之間的沖突、靜態地址與靜態地址的沖突等無法有效控制。同樣也無法控制客戶端使用DHCP分配造成的沖突等等。
　　如拓撲所示：
　　
　 C、客戶端驗證方式：可以與web結合使用。不同廠商有不同的客戶端，主要特點是為了防代理和arp攻擊等。
七、設備選購
　　設備的選購需要根據方案來確定，如采用了BGP網絡方案，需要購進juniper M40（停產）/M120級別設備或者cisco12000GSR級設備；如采用非BGP網絡方案，核心層設備前期暫不作升級，可以節約成本；無論是采用BGP網絡方案還是非BGP網絡方案，冗余備份方案由于涉及成本過高，暫不考慮，但對于運營計費方案，是這次升級改造的重點，運營計費設備需要重新采購或升級。下面僅對運營計費設備作簡單介紹：
　　目前在運營計費設備廠商中，城市熱點、安騰、華為等廠商在國內信譽度較高，并且國內各大ISP及社區運營商采用城市熱點、安騰較多。
　　因此建議從城市熱點或安騰選購合適產品，目前兩家廠商都提供了不同的產品方案和報價。
　
八、 附工程進度及人員安排表
　　在經過多方案分析和對比并確定后，可立即根據方案確定相應負責人員和實施人員，并計算出工程進度，附之一表。