【IT168 专稿】网络升级和改造是一个永恒不变的话题，也是一个永远没有终点的道路。因为没有哪个网络可以保证高效稳定的运行十年以上，那么什么时候网络就需要改造与升级呢？当目前的环境不能保障网络的高效运行时，就应该从软件，硬件两方面来升级我们原有网络了。今天笔者就为大家呈现一个教育城域网的改造实例，让大家明白网络改造，网络升级应该如何完成。

    改造前网络现状：

    笔者所在的教育城域网是一个以信息中心为核心的网络，各个分支分别连向区级下属中小学。全区分支网络有一百五十多个，可以说网络覆盖面积非常大。各个分支与核心网络连接采用的是租用电信光纤的形式，借助电信部门的ATM网络进行连接。每个分支网络租用光纤的带宽为2M。

    核心网络由一台CISCO 6509组成，下接多台4000设备。整个城域网的总出口带宽不大，只有20M，通过光纤连接出去。网络的安全防范措施主要以在路由交换设备上添加访问控制列表来完成，借助反向访问控制列表实现对病毒与黑客的阻拦功能。各个分支网络通过分支点上路由器的静态路由连接核心6509设备。（如图1）

图1 点击放大

    网络管理方面以MRTG为主，在CISCO 6509和4000等多台设备上配置SNMP设置，用一台专门的服务器充当MRTG网络管理服务器，让MRTG监测CISCO 6509与4000上各个接口的流量并以网页的形式体现出来。（如图2）

图2 点击放大

    安全方面除了上面提到的利用访问控制列表外，还在CISCO 6509上为各个分支网络划分了不同VLAN虚拟局域网，阻止入侵的扩散。

    改造前存在的网络问题：

    前面也提到了只有在网络出现问题不能高效的运行时，才需要我们对其进行改造和升级。所以在升级网络前一定要知道当前网络存在的问题。笔者所在的教育城域网是在2000年到2001年之间建立完成的，至今已经有六年了，而在这六年里网络节点不断增多，网络应用也逐步扩大，以前的网络已经不堪重负，在以下几个方面存在着比较明显的缺陷。

    网络速度异常缓慢：
    整个教育城域网的总体网络传输速度非常缓慢，而且随着网络分支节点的增多而愈加明显。毕竟总体20M带宽要满足150多个学校的外网访问，在中午和上午等高峰时间是远远不能满足实际需求的。

    设备负载过大：
    开始购买CISCO 6509时认为该设备足以担当起城域网核心设备的重任，但是在实际使用中却发现问题还是不少的，不光是CISCO 6509多层交换机就连其下接的4000设备也存在高峰时期负载过大的现象，内存占用过高，CPU使用率也居高不下。一方面是因为应用访问连接数过多，另一方面也是由网络病毒带来的。

    网络管理名存实亡：
城域网基本上没有采用任何网络管理工具，仅有的MRTG流量图也经常因为该服务器的当机而中断，即使绘制出来的流量图也有很多错误数据，反应出来信息与实际不符。每到网络出现问题时笔者和其他网络管理员就瞎忙一气，对于网络故障的起因也是一头雾水，不知道从何找起。

    网络安全屡次受挫：
仅仅通过访问控制列表来防范病毒和黑客的攻击还是远远不够的，现实中的教育城域网中的各个分支网络基本上都出现过因为黑客入侵，病毒攻击造成的服务器瘫痪，网络崩溃的情况。核心网络设备也经常收到Ddos拒绝服务攻击和漏洞后门入侵。网络安全问题急待解决。

    改造措施 升级手段：

    经过区信息中心的争取，教育城域网的改造与升级工作于今年年初进行并于今年年中完成。这次网络改造的重点就是上面遇到的四大问题。

    购买缓存服务器并扩大带宽总出口：
    从第一个大问题中我们可以了解到网络速度异常缓慢，一方面是因为分支节点过多，出口带宽远远不够用；而另一方面也是因为没有合理利用带宽资源造成的。所以笔者从两个方面入手来解决网络速度缓慢问题。

    第一，申请经费扩充网络带宽总出口，将原来的20M出口扩大为35M，从而提高了接近100%的带宽。

    第二，为了合理利用网络带宽资源，购买了缓存服务器——Netshine ICS，通过配置Netshine ICS开启缓存服务，可以节省大量的带宽，比如不同的学校访问相同的页面的话，以前需要占用两次带宽，而现在只需要占用一次，另一次由缓存服务器提供信息，而且缓存服务器会在网络不繁忙的时候自动访问常用网站获取缓存信息。（如图3）

图3 点击大图

    增加高性能核心设备，降低负载压力：
    由于6509和4000设备的负载过高，设备压力大，所以笔者对核心设备进行了升级，购买了华为3COM公司的8500，他的价格只有CISCO 6509的一半，但是性能却差不多。对于城域网来说主要注重以下几个方面来选择核心设备即可——强大的ACL支持，webcache的支持或基于防火墙的负载均衡，具有强大的抗毒能力防范网内病毒，强大的交换能力，良好的QOS支持，主模块有上联接口(GBIC)。而华为3COM的8500设备正好满足这些需求。所以购买来后让网络的核心层由6509与8500共同工作，降低负载压力。（如图4）

图4

    增强网络管理，提高网络监控能力：
    网络管理必须要借助网络管理工具，对于以前采取的手工对抗病毒与黑客的方法必须进行改变。所以教育城域网选择了一款名为packetshaper的网络流量监测硬件产品。（如图5）

图5

    packetshaper是packeteer公司开发的产品，他是一种可以帮助公司的网络管理员发现流量使用情况，控制流量，并最终解决带宽使用效率问题的应用流管理设备。通过监视，控制和压缩网络流量packetshaper可以为关键应用提供高质量的服务，并可以根据企业和其他客户业务的实际需要来分配宝贵的网络带宽资源。该产品具有流量监视，流量整型，流量压缩的特点，可以在核心网络中对每个分支点的网络流量进行控制，可以限制任何一个分支网络的带宽，更强大的是他可以针对某个服务进行限制，同时通过他的分析我们还能够知道网络中存在的问题以及十大带宽占用情况。（如图6）

图6 点击大图

    提高网络安全变被动为主动：
    以往教育城域网的网络安全非常脆弱，一个大规模的蠕虫病毒爆发后后果不堪想象。病毒问题也是造成网络速度缓慢的主要原因，而黑客入侵则使整个城域网办公系统，网站应用彻底瘫痪。针对这些安全问题笔者采取了添置新的安全设备来解决。

    首先为了阻止黑客的入侵，选择了一款防火墙——SecPath 1000F。他是华为3Com公司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。（如图7）

图7 点击大图

另外为了让网络安全从被动变为主动，购买了一款入侵防护系统IPS，由于IPS可以对网络入侵主动采取阻挡措施，并且经常和防火墙联动操作。这样通过IPS和防火墙共同作用可以最大限度的阻止黑客的入侵。笔者购买的IPS为华为3COM公司的TippingPoint，该设备获得了多个安全大奖，具备对2层到7层流量的深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，既可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络基础设施的保护、对网络应用的保护和对网络性能的保护。（如图8）

图8

    总结：
    改造和升级后的网络从根本上解决了前面的四大顽疾，在高带宽出口和缓存服务器的共同作用下各个分支网络的访问速度明显提升；在CISCO 6509和华为3COM 8500产品的共同运行下，网络负载压力也大大减小；在网络管理员和packetshaper的配合下，城域网的管理变得不再复杂，网络故障也都在第一时间得到解决，对于以前棘手的BT，电驴，P2P软件以及一些占用带宽的软件与服务也得到了适当的控制；整个网络也在入侵防护系统TippingPoint和防火墙1000F的联动下有如铜墙铁壁一样，让黑客与病毒望而却步。总的来说本次网络改造与升级是相当成功，为教育城域网的顺利运行提供了强有力的保障，给我们这些网络管理者提供了坚强的后盾。