某单位局域网在当初刚刚建设,选购网络交换设备的时候,本着应用先行、节约成本的原则,采用了一种非常保守的方案,那就是所采购的网络交换设备只要能够满足眼前的网络应用就可以了,在网络连接接口方面没有留下足够的扩展空间,同时在数据交换能力方面也没有多大的拓展余地。
运行现状
该单位局域网规模比较大,大致分为三个工作区域,其中A楼区域和B楼区域使用的核心交换机都是Huawei型号的S5516交换机,这种类型的交换机由于运行性能不是很高,网络管理员仅仅将该交换机作为A楼区域和B楼区域的汇聚层交换机,让它集中连接来自A楼各个楼层的接入交换机和来自B楼各个楼层的接入交换机;同时,为了让划分在各个楼层交换机上的所有Vlan都能通过局域网的核心交换机,访问Internet网络,网络管理员特地将S5516交换机的各个交换端口都设置成了TRUNK工作模式。局域网中的核心交换机采用的是Huawei型号的S6503交换机,该交换机不仅承担着整个局域网网络的所有数据交换业务,各个虚拟工作子网的网关全部设置在该交换机上,而且它还作为汇聚交换机连接主楼区域的各个楼层交换机与局域网的服务器群,整个网络拓扑图结构,如图1所示。考虑到S6503交换机在平时的工作过程中,运行负荷实在是太大,因此网络管理员并没有在该交换机上设置ACL安全访问规则,来有效保护本地服务器群的运行安全,很显然本地服务器群的运行存在着很大的安全隐患。
随着上网人数的不断增多,以及大流量网络应用的逐步兴起,局域网中的数据传输流量也是在不断增大,这给原本只能满足传统网络应用的数据交换设备带来了很大的运行压力;特别是在最近一段时间,局域网中的ARP病毒、蠕虫病毒疯狂肆虐,由这些病毒引发的广播风暴现象,更让这些核心网络交换设备“力不从心”,进而在数据传输、处理、交换方面表现得比较迟钝,最终导致整个局域网网络的上网传输速度非常缓慢,严重的时候还会发生整个网络不能上网的故障现象。很明显,这些现象的频繁发生,已经严重影响了局域网用户的正常工作效率;为此,想办法对该局域网网络进行升级、改造,以便大幅度提升其运行性能,已经成为了网络管理员刻不容缓需要解决的重点问题。
升级要求
要是想快速地提升局域网的整体运行性能,最简单、最直接的办法就是重新购买三台性能更高的交换机,来分别替换Huawei型号的S6503交换机以及另外两台S5516交换机,不过这种简单地通过替换设备的升级方法,需要耗费很大的升级成本,这在经济条件十分有限的情况下,这种升级改造网络的办法无疑不是网络管理员最好的选择。考虑到局域网中运行压力比较大的设备,就是核心交换机S6503交换机,并且该交换机的整体运行性能,与整个局域网的运行性能息息相关,如果核心交换机的运行性能在一定程度上得到明显提升后,那么整个局域网的运行性能提升也会立竿见影;因此,从升级改造效果与升级改造成本来看,采购一台性能更高的核心交换机来替换原来的S6503交换机,不但升级改造起来十分容易,而且投入的成本远远没有大规模替换网络设备那样多,同时新的核心交换机投入运行后,原来的核心交换机就可以“下放”为普通的链路汇聚设备,来连接局域网中心区域各个楼层的接入交换机了,这么一来新的核心交换机就会“一心一意”地承担整个局域网网络的三层数据交换工作,而不需要象以往那样既要作为汇聚设备使用,又要作为所有虚拟工作子网的网关使用。
升级改造
按照上述升级要求,网络管理员选用了运行性能更高的Huawei型号的S9508交换机,作为整个局域网的新核心交换机,并且让该核心交换机单独承担现有网络的所有三层数据交换业务;先前的核心交换机S6503交换机被“下放”作为普通的汇聚层交换机,来连接局域网中心区域各个楼层的接入交换机。S6503交换机在被降格使用后,原先与局域网路由器保持连接的交换端口,现在被改造成直接与新核心交换机S9508交换机保持连接,其他交换端口不需要进行任何改变,这样一来升级改造的工作量就不会很大,有利于提高网络升级、改造的效率。当新核心交换机被接入局域网后,处于局域网中心区域的所有服务器主机群,全部通过多模光纤线路与新核心交换机S9508交换机进行连接,同时为了保证这些服务器主机的运行安全,网络管理员只要在S9508交换机上设置合适的安全访问控制规则就可以了,同时还能顺便利用该交换机的其他安全功能,来保护局域网服务器群的运行安全。
同样地,位于A楼区域和B楼区域的汇聚层交换机,也通过多模光纤线路与新核心交换机S9508交换机进行连接,并且将新核心交换机的所有交换端口全部设置成TRUNK工作模式,确保来自各个区域的虚拟工作子网都能顺利地访问新核心交换机,并通过设置在新核心交换机的网关地址访问Internet网络。在完成升级改造任务后,我们见到了全新的局域网网络拓扑图结构(如图2所示);从该结构图中,我们可以清楚地看出,新核心交换机不但作为Internet访问出口设备,同时连接了来自中心区域、A楼区域、B楼区域的汇聚层交换机设备,而且还扮演着所有虚拟工作子网网关的角色,独立承担着所有虚拟工作子网访问Internet时的数据交换业务。对比新核心交换机与旧核心交换机的工作性能,我们发现新核心交换机无论在功能扩展方面还是自身运行性能方面,都要比旧的核心交换机强很多,同时新核心交换机新增加了几个千兆以太网电口,那样一来那些安装了千兆网卡的文件服务器可以直接连接到新核心交换机上,那么文件服务器的FTP数据传输能力就能得到充分的发挥。更为重要的是,新核心交换机还允许用户根据工作要求,自行安装插入专业的防火墙安全保护模块,来对连接到核心交换机上的所有虚拟工作子网提供网络访问安全保护。
很明显,这种改造、升级方案,不但投入的设备以及模块比较少,能够有效地节约升级成本,而且升级、改造操作也很简单,只有部分网络连接线路需要调整,其他位置几乎不需要进行调整,整个局域网用户几乎感觉不出有什么影响,此外被替换下来的旧核心交换机也能得到充分利用,避免了贵重网络设备的资源浪费。
升级测试
在完成升级、改造任务后,网络管理员对整个局域网的运行稳定性以及安全性进行了测试,经过一段时间的观察、分析,局域网中的上网用户普遍反映,通过文件传输工具向局域网中的文件服务器上传或下载数据时,速度有了大幅度提升,同时访问局域网中的其他服务器时,速度也不象以往那样慢慢吞吞了。
通过对网络运行状态的持续监控、测试,网络管理员发现单位局域网中即使存在比较严重的广播风暴现象,或者出现了大规模的病毒爆发,新核心交换机的CPU消耗率也不会超过50%,并且新核心交换机的运行状态一直很稳定;在安全性方面,网络管理员由于在核心交换机上新安装了专业的防火墙安全保护模块,整个网络的运行安全只需要在防火墙上进行集中设置,而不需要单独在各个虚拟工作子网中进行重复设置,这样一来大大减轻了网络管理员管理、维护网络的工作量。
总之,升级改造后的局域网网络,在下面几个性能方面得到了明显提升:1、数据交换能力有明显提升;由于新核心交换机不但自身性能有大幅提升,而且在工作过程中它也是一心一意地承担数据交换工作,而不象旧交换机那样负载压力较大,所以新核心交换机可以大幅提升整个局域网网络的数据交换能力。2、安全性能更高;由于新核心交换机既能允许用户自行定义安全控制规则,又能允许用户自由安装专业防火墙模块,所以网络管理员可以根据实际工作要求,在防火墙上展开更多的安全控制操作,来保护整个网络的运行安全性。3、运行稳定性得到了保证;经过实践测试,在局域网发生大规模网络病毒爆发或存在广播风暴现象时,核心交换机的CPU消耗率仍然不会超过50%,这说明核心交换机对网络病毒的抵抗能力明显增强,因此局域网的运行稳定性自然也能得到保证了。