今天我要给大家介绍的是网络构造,在学习网络知识时,首先需要了解它的整体布局,这样才能为后续学习打下基础。
关于网络架构,我主要讲三个部分
网络结构
设备介绍
运维工作与网络发展的趋势和理念
小型网络架构
我们不妨思考一下网络通常讨论哪些内容,它们往往是从基础入手,因此我们首先介绍一个规模不大但具有代表性的网络构造。
一个小组织或许只有一百号人,又或者像我们住的一个寝室,这些其实也能算作一个小型社交圈。当然我们这个寝室的网络用户只有两三位,而人数较多的寝室可能有七八位。
这家小型企业仅有一百余名员工使用网络,其架构相对简单,通常只需配置一台路由器,这台路由器能兼具网关功能,再部署一台文件服务器,并连接打印机与终端计算机,同时增设无线网络用于管理,外部再安装防火墙,若再添置一台设备放置于防火墙之后,则无需单独配置防火墙,这样就构成了一个小型网络系统。
组建小型网络十分便捷,宿舍日常都在进行此类操作,唯独缺少文件服务器,也没有配备打印机,虽然具备无线网络,但缺乏相应的管理设备,倘若增添控制器,网络环境便能达到小型网络的标准。
可以设想一下开yun体育app官网网页登录入口,若自己的网络再略微扩大一些,便会形成一个规模较小的网络
中型网络架构
另有一些规模稍大的中型组织,比如员工数量达到五百名或七百名,但不超过一千人,搭建此类中型网络,其过程相对更为繁复,具体涉及哪些方面呢?
首要条件是配置服务器,随着用户数量增加,必然需要服务器支持,因此我们将服务器安置在独立的区域中;鉴于网络涉及众多部门,必须进行部门划分,以便多个部门能够分别接入。
网络架构通常都选用三层设计,我们自上而下进行说明,首先涉及的是外部网络连接,连接时会配备一台路由器,有时也会设置核心设备,再向下连接的是汇聚交换机,接入交换机彼此相连,中心网络大致呈现这种布局,当然可能还会包含其他装置,例如防火墙和无线网络设施。
中型网络大致是这个样子构建的,现实情况应当比这番描述更为繁复些。基本思路是在一般的小型网络架构基础之上,持续增添新的组件,使得层级更加丰富,原本的两级结构转变为三级体系。
大型网络架构
网络规模进一步扩大,当连接的设备数量超过一千台时,即可界定为大型网络,这种网络的构建过程比中型网络更为繁复。此外,若在此类网络中再增加路由器和防火墙设备,可能会引发交换机无法执行网络地址转换的情况。
企业外部网络连接通常由服务商负责架设,一般会同时与两家服务商合作,以防万一其中一条线路中断,整个网络也可能随之瘫痪,因此必须确保至少有两条线路接入。
设备外部连接时,通常会加装一道防火屏障,部分情况下会在防火屏障之后增设路径指引设备,也有部分将防火屏障与路径指引设备整合为一个整体,无需再配置独立的路径指引设备,直接采用防火屏障承担相关功能。
我负责的BYD项目采用防火墙,该防火墙充当路由器功能,连接交换机即可使用。
核心交换机有何用途?它具备多种功能,能够安装多种扩展模块,倘若安装了防火墙模块,便拥有了防火墙作用,倘若安装了路由器模块,便具备了路由器作用,NAT功能同样可以实现,只是模块是否购置由用户决定。
骨干网络
这个是骨干网架。骨干网架同样采用三层架构,图中未绘制完整,实际上也是三层架构。包含核心交换设备和汇聚设备。
网络主体由核心部分和数据部分构成。规模较大的网络设有专门的数据中心,该中心的建设过程较为繁琐。数据中心内部主要由多个服务器阵列组成,服务器设备通常都部署在数据中心之中。
通常情况下,大型网络包含一个中心交换设备,该设备再接入骨干核心交换设备,数据库中的交换设备与日常使用的交换设备有所不同,因为常规交换设备在传输数据包时,即便标称速率达到百吉或几十吉,但在传送大容量数据文件时,实际表现并不相同。
接下来骨干网会接入到广域网络。广域网络包含两种类型,一种是服务提供商的网络,另一种是专门用于广域连接的网络。这种广域网络主要承担着专用线路的传输功能,因为规模较大的网络通常设有多个分支机构,这些分支机构需要与外地的网络进行连接,因此会专门利用这种广域网络来建立专用线路。专用线路的使用与普通的上网服务有所不同,普通的上网服务主要是为了访问因特网资源。
广域网的专用线路用于连接不同地区的园区,实现建筑物之间的控制接入,例如工厂或园区中包含多个楼层和众多建筑,它们接入网络的方式是怎样的。
此外,由于当前普遍采用无线操控方式,因此配备了专门的无线连接设备,该设备通常由控制器集中管理,并且一般安装于主网络枢纽下方。
如果网络构造非常繁复,在维护环节就必须借助特定的应用程序,将其作为网络管理的中枢进行操控。该应用程序负责监测网络的数据传输状况,或是识别其中出现的异常现象。
事实上,庞大的网络构造并非常人想象中那般难以理解,起初是一个小企业构建的微型网络,最初仅配备一台交换设备,服务对象仅有一百名员工,这个微型网络的功能大致相当于为某个楼层提供连接服务,随着企业规模和员工数量的持续增长,网络逐渐演变为中型规模,这时便引入了中型网络的核心骨干系统进行支撑公司规模持续扩张,设备数量突破千台,需要增设分部,并接入远程网络,由于企业体量庞大,骨干网还需部署无线管理设备,同时要构建数据中心,鉴于网络规模庞大,必须配备网络监控工具,因此又增设了网络管理系统。
它实际上构造起来并不算特别难,是逐步演进形成的。去掉所有分支后,先观察一个主网络,这个是三级构造。
二层架构意味着连接的设备是骨干设备,其优势在于传输效率极高。其后方是服务器及存储资源区域,该区域可运用ARP协议。通常情况下,骨干设备会采用单列部署,并通过链路彼此串联。
接下来可以考察一下三个层级的构造。这三个层级与第二个层级存在差异,主要优势在于能够降低中心交换设备的配置成本。由于中心交换设备价格昂贵,其不足之处在于数据转发时会产生轻微的延迟,不过这种延迟完全可以不予考虑,当前网络运行效率很高,数据传输时间极为短暂,通常以毫秒计量,即便是资深用户也难以察觉到时间上的差异。
因此分层架构的优势在于能够削减开支,核心交换机的价格远超汇聚交换机,单台汇聚交换机的费用大约为几万元,而核心交换机的成本则高达几十万元。
选择是建三层还是建二层,得看你经营的大小,或者你预算充足就选二层。要是看重投入产出,就建三层。
考察一所高校,要构建一个校园网络,需要连接教学楼、学生公寓、食堂等附属建筑,还需包含分校区、计算机房等设施,对此该如何决策。
该类校园通常需部署广域网架构,其中包含一个核心区域,此核心区域具体设施如何配置?
首先连接数据中心,接着延伸至各个教学楼,再通往学生宿舍,深入宿舍的每一层,之后借助虚拟专用网络与分支机构相连。学校同样需要接入互联网,因此会选用运营商提供的线路,并安装防火墙。学校的网络布局大体上与大型网络的设计思路相仿。
设备介绍
现在我们分析设施的建设情况。首先是隔离装置,隔离装置当前主要讲解四种类型,
华为的高端防火墙
华三系列的防火墙
瞻博(Juniper)高端防火墙
思科防火墙
当前公司普遍采用华为的防火墙设备。过去,Juniper产品使用广泛,在我刚入职时所见皆是Juniper设备,而今多数已更换为华为产品。华三的设备使用频率相对较低,而思科的产品则更为少见。
有人询问 Juniper 和思科哪个技术更出色,Juniper 的交换设备主要面向顶级市场,而思科的产品则属于中档定位。
上网行为管理
企业规模较大时,部署网络行为监控系统是必要措施,目前仅探讨两种产品:深信服与华为。
深信服的管理平台操作便捷,能够控制部分网络活动。例如限制访问特定网址,或追踪所有查看过的页面。用户能一目了然地了解对方浏览了哪些网页。
网络活动监控本质上有两个作用,一是收集相关依据,二是约束个人操作。借助此类监控能够记录其网络活动,观察其上网究竟在做什么,是否在认真工作,又或者偶尔在分心。
网络活动监控很容易引发矛盾,假如你是技术人员,认为这项工作与你职责无关,就对他进行监视,这种做法肯定要不得,否则你在单位里也难以立足……
核心交换机
核心交换机体积可观,毋庸置疑确实体积可观。部分设备高达两米,仅需一个机柜即可容纳,也有高度在一米左右的,可依据实际需要选购。
核心交换机体积越大,价格就越昂贵,而且分量非常重,一个人难以搬动,需要多个人合力才能抬起。在最初没有安装扩展板的时候,两个人尚能搬运,但等它装满扩展板后,重量变得令人难以置信,两个人根本无法挪动。因此,它的价格高昂也有其合理性,毕竟包含大量的金属材料,成本自然很高。
它的功能非常出色,由于所有信息都必须经由它进行中转。核心交换机仅负责一项任务,就是进行信息中转。只要收到数据就立即进行中转,收到数据就立刻进行中转,除此之外不做任何其他事情,专门负责信息中转。核心交换机就是用来完成这项工作的。
由于所有访问量,包括内部网络用户的所有数据传输,都集中到这里,再转发出去,为了实现快速传输且不发生拥堵,设备的处理能力必须十分出色。
核心交换机的价格是多少,需要参考各个企业的购买成本,这种型号的10508核心,最低也要五十万元以上。它的费用还跟扩展模块的配置有关,不同的扩展模块费用存在差异,模块数量增加,整体价格就会上升。对于部分采用新设计的设备,价格甚至可能达到一百万。
H3C 10508与华为的970/12700性能相仿,华为最新推出的是16800型号,该型号端口主要为100G,传输速率极高。12700型号的部分端口同样是100G,其速度表现惊人,目的是为未来5G技术普及后的万物互联和云计算应用奠定基础。
接下来介绍汇聚交换机,在国内用主要是思科、华为和华三的。
有学生询问集线交换机有何用途。集线是将所有接入设备集中管理。已将部分交换机接入其中,使得数据传输集中处理。
它的任务比核心交换机更繁重些,不仅负责光信号转发,还能执行一些控制措施。例如,可以禁止用户访问某些网站,这通过在汇聚层进行配置来实现。汇聚层的作用在于实施过滤规则,比如允许或阻止用户获取特定资源,进行基础的数据筛选。
另有些汇聚节点充当连接点,信息通常存储于个人设备,若需在不同网络区域间传输kaiyun全站网页版登录,则经由连接点进行
汇聚一般两个功能做得比较多,就是做SL跟做DHCP中继。
DHCP服务器是专门设置的一类设备,用于分配IP地址,当需要在不同网段之间传递请求时,会启用中继机制,这个机制通常由网关实现,称为网关中继,中继能够帮助跨网段完成IP地址的获取。
设置工作十分便捷,我们当前所采用的华为中心交换机多为5720 EI/HI型号,其版本标识为5720,在采购环节务必仔细核对版本信息,因为存在不同的版本类型。
华三部署的设备种类丰富,涵盖5800、5600、5500等系列,这些不同系列的型号,其性能表现各有侧重,功能上也会有所区别。
有学生询问过能否跨网段取得IP地址,跨网段取得IP地址是依靠DHCP中继来实现的,一旦启用了DHCP中继功能,便能够实现跨网段获取IP地址的目的。
另外涉及连接交换机,这个设备功能比较有限,主要就是负责连接功能,用户只需决定采用千兆速率还是百兆速率即可,这两者之间选择是关键。千兆速率的带宽是百兆速率的十倍,不过两者间的成本差异并不显著,因此我们通常都采购千兆型号的交换机。
再举一个例子,是关于设施的选择问题。学校宿舍总共有8座楼,每座楼有6个楼层,每个楼层有4个区域,每个区域有5间房间,每间房间住6个人,也就是说一个区域有30个人,一个楼层有120个人,那么宿舍网络设备该如何配置?这些设备要集中部署在何处?
这个选择非常容易,接入设备方面我们可以选用华为的5720型号,或者华三的5120型号都可以。汇聚设备方面选择HI系列或者EI系列都可以。
网络项目实施
接到一个项目应当如何推进?举例来说,若企业承接了一项网络工程任务并委派你去负责,具体该怎样开展呢?
启动阶段需要汇集资料,所有工作都要从这一步开始,只是获取资料的具体内容不同而已,网络相关的任务需要搜集网络方面的资讯。
首先需要整理设备列表,这样做的原因在于,为后续绘制拓扑结构图或进行设备管理提供依据。
接着统计故障数量,通常网络维护的费用依据故障数量来核算,因此必须将这个数据统计完整,统计不到的话就需要亲自去排查,确保所有故障都被找出。每发现一个故障就相当于获得一份报酬,这对公司的发展更有益,公司收益增长后大家的收入也会相应增加。
需要搜集现有的网络结构图,若缺乏这些图示,实际操作将难以进行。没有这些图示,根本无法了解整体构造,遇到故障时同样束手无策。
还有现行vlan规则,网站架构是怎样的,如何划分网络区域,设备命名准则、设备维护方法、防护措施、端口标注,设备登录认证,聚合配置权限,以及设备远程操作许可等等诸多事项。
此外,无线设置、DHCP授权、AC等信息也需整理,流程标准、操作手册、既有实例也都要汇集。
或许你会问这么多内容如何记住,这没关系,你明白它表达的含义即可,可以借助后面提供的这个范例来汇集资料。
所有物品全部备齐之后,便着手进行初步维护工作。工作人员随即进入现场,进入现场后需明确具体任务,必须制定相应方案,此方案即为网络管理计划,其中包含十二个要点。
交换机需要清点,搜集到的资料未必完整,用户提供的也可能不全,毕竟资产管理工作头绪繁多,部分资产他们自身也难以理清。因此,清点交换机时,也顺便核对一下资产状况。
另需寻找绘制拓扑图的工具,若能找到现成的便直接使用,若找不到,则需自行寻觅一个性能优良的方案。然后确立相关规范,接着组建核心工作小组,团队组建完毕后绘制拓扑结构图(前文已提及设备已进行梳理),同时可将交换机安装场所、所选用型号等信息一并记录在案。
绘制拓扑图的目的在于提升后续维护工作的效率。当出现重大故障时,能够迅速定位问题区域,明确故障发生的具体位置。这有助于快速进行故障排除,解决问题后可以清晰地了解整个网络的布局情况。
另附光缆的实体连接结构图,再有我们通用的工作设备,需要寻获一个能实现规范化的工具。倘若寻不到,便要自行设计一个,动手创造方能解决需求。因此有兴趣者亦可钻研编程技艺,独立开发所需应用。
继续讲解聚合表的用途,我们知道聚合表和交换机的常规设置,需要做好配置优化的检查、交换机可靠设置等,完成这些任务,这一年的工作也就结束了,第一年就算顺利完成了。
通常最初阶段乙方承担的期望并不严苛,偶尔出现失误对方也不会过于在意,因此会将基础性任务处理完毕,或许部分内容需要延续至下一年度才能完善细节。
若能妥善完成这些准备工作,后续的维护工作将十分便捷,能够为我们节省大量时间,务必确保所有人都严格遵循既定规范。
最常见三个问题及解决方法
首个问题在于环路,这种状况在连接交换机设备时极易发生,其波及范围相当广泛,甚至会导致某个特定区域的网络完全中断。
熟悉网络维护的人清楚,其实网络故障排查并不复杂,需要先执行一条指令清除接口设置,再检查接口内包的INPUT和OUTPUT状态,当数量异常时,往往表示存在故障。具体来说,INPUT包汇集到核心设备,若下游交换机的INPUT数值超出OUTPUT,就可能导致运行异常,数值差异显著时,甚至可能形成环路。
第二个问题频发在于私自开启DHCP功能,这种状况的产生,要么源于他们的测试活动,要么由于部分用户随意接入路由设备,无意间分配了IP地址,因此确实存在弊端。对此应如何应对呢?通常情况下,先在客户端查询ARP,确认网关的MAC地址是什么,一旦找到该地址,便能在交换机中查明其具体位置,接着将其关闭即可。
启用DHCP侦听功能同样能够应对此状况,开启该功能可有效处理相关事宜,该功能亦称作可信端口,若事先妥善部署,其不良后果会显著降低,倘若未设置可信端口,则会出现相应问题,不过并非所有交换设备都具备此功能,部分设备并不支持,因此无法应用。
测试环路通常从汇聚点开始向下进行,由于所有数据都会汇聚于此,经由汇聚端口向下游检测,若发现汇聚端口存在异常,需查明该端口连接的交换机,接着从该交换机继续向下寻找异常设备,逐段排查直至问题解决。
刚刚谈到启动了信任通道的一个入口,启动这个入口时,并非所有端口都需要启用,虽然部分设备可能每个端口都启用,但华为并非如此。例如华为的交换机,仅将权限设置在主端口上,其他端口无需开启。
第三种常见故障是光缆线路故障,这类故障最为普遍,通常网络运行正常时,其发生频率相对较低kaiyun.ccm,尤其在上层网络,例如汇聚交换机或核心机房,基本上不存在线路故障现象
当接入层交换机与汇聚层交换机之间通过光纤互联时,这条线路常常会出现故障,具体表现为光纤链路失效现象。
如何排查这个故障?需要按照先软件后硬件的顺序进行,首先检查交换机的端口是否失效,倘若失效了,就必须前往现场进行查看,毕竟端口已经完全无法使用,只能通过现场观察来解决问题。
检查灯具是否开启,光纤指示灯仅负责接收信号,接收到信号时会发光,因此如果一端亮而另一端不亮,说明有的线路中断,有的线路正常,光纤传输采用单向模式,若发现此现象或两端均不亮,首先需确认尾纤是否完好,若尾纤损坏,可能是老鼠啃咬所致,因为尾纤是老鼠喜欢的咬物。
不确定就换个新的,如果还是不行就更换光模块,重新插拔测试一下,如果这些方法都没用,就检查交换机设置是否正确,如果还不行,那就只能进行光路测试,确认是否有光信号传输,光纤主链路是否中断。
倘若上述方法均无效,调配环节通常无需担忧,尚有后续流程,需检测其损耗程度,损耗数值越趋近于零则效果更佳,通常在负十区间内亦可视为合格,当然,亦可进行打环测试,采用打光手段则更为便捷。
在负责机房管理期间,不仅需要执行维护任务,还要关注机房的整体布局,力求环境整洁美观。首先应当将光纤盘安装在最前面,紧接着放置交换机设备。连接交换机的网线,可以从侧面引出,也可以从后面铺设,但侧面走线更为便捷,且线缆颜色不易混淆。最后将所有线缆整理妥当。
软件学习
平时学习或者练习可以用系统软件和维护软件。
其中一个产品是华为的仿真工具,个人认为该工具开发得相当出色,能够模仿各种设备,核心的汇聚功能以及完整的网络架构都可以进行仿真。
其次还有VMware,HP和微软的原装方案、虚拟化技术以及QM同样适用,我个人更倾向于选择VMware构建虚拟环境,主要考虑到便于将多台虚拟服务器进行互联操作。
三是CRT,我们专门研究交换机用的
另有联络助手程序可供操练,该配置较为简便,运用方式相当便捷,其性能颇为突出。
