案例一：

一個完全新建的網(wǎng)絡(luò)，只要在預(yù)算范圍內(nèi)，設(shè)計上不用有太多顧慮，可以直奔“完美”的方向。但中培偉業(yè)將要為大家分享的這個案例屬于基于原有架構(gòu)的優(yōu)化改造，預(yù)算非常有限，需要最大限度利用原有設(shè)備實現(xiàn)較好的設(shè)計效果。

這是一家小型日企，70人左右，沒有專職的IT。局域網(wǎng)傳輸速度慢，并且非常不穩(wěn)定，故障頻發(fā)，嚴(yán)重影響到了業(yè)務(wù)效率。企業(yè)老板是個在日本工作過多年的海歸，非常節(jié)儉，他希望能夠徹底優(yōu)化一下公司網(wǎng)絡(luò)，但又并不希望花多少錢，通過朋友找到了我們幫忙。

我們花了半天時間，先梳理了一下他們公司現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，繪制了如下拓?fù)洌▓D一）。

圖二 優(yōu)化設(shè)計拓?fù)?/p>

相信很多讀者和我們一樣，第一眼看到這個拓?fù)涞母杏X大概菊花一緊，心中默默冒出一句“WTF”……

不幸的是，這個拓?fù)鋱D是我們根據(jù)印象還原了一部分，實際情況比這更糟糕。

機(jī)房區(qū)域基本保持了最初實施時的雛形，但到了辦公區(qū)域，就是經(jīng)過歷史沉淀下來的非IT專業(yè)人士智慧的結(jié)晶了。

看到辦公區(qū)域的那個多出來的交換機(jī)和位置詭異的小HUB了嗎？這是因為這片區(qū)域是由會議室變成的辦公區(qū)，網(wǎng)口不夠了，就加了個交換機(jī)。

但那個串聯(lián)了交換機(jī)和防火墻的小HUB又是怎么回事呢？是因為路由設(shè)置的原因，大家上Internet默認(rèn)都是走日本的專線，從日本的出口出去，所以訪問一些國內(nèi)的政府網(wǎng)站會有問題。而這片區(qū)域的有兩個員工必須要經(jīng)常訪問國內(nèi)政府網(wǎng)站，于是就找了他們公司一個最懂IT的非IT人士給這樣解決了-----用一個小HUB，橋接內(nèi)網(wǎng)和防火墻的LAN口，本地Internet也接到了防火墻LAN口，用戶需要使用本地Internet時，在電腦上手動PPPOE撥號……

中培偉業(yè)在考慮這個案例的設(shè)計策略過程中，主要把握了以下幾大設(shè)計原則：

1、統(tǒng)一性：
      在網(wǎng)絡(luò)的系統(tǒng)化設(shè)計過程中，堅持“三統(tǒng)一”，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。根據(jù)這個基本原則從上至下對網(wǎng)絡(luò)展開全面設(shè)計與優(yōu)化。
2、經(jīng)濟(jì)性：

在充分滿足以上要求的前提下，應(yīng)充分考慮到企業(yè)的經(jīng)濟(jì)承受能力，盡可能地節(jié)約投資，花好每一分錢。著眼于近期目標(biāo)和長期的發(fā)展，選用先進(jìn)的設(shè)備進(jìn)行最佳性能組合，利用有限的投資構(gòu)造一個性能最佳的網(wǎng)絡(luò)系統(tǒng)。
3、適用性：
　　適用性設(shè)計應(yīng)能滿足目前對網(wǎng)絡(luò)應(yīng)用的要求，充分實現(xiàn)內(nèi)部管理、信息化等要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于直接提高用戶感知。

接下來請看中培偉業(yè)的優(yōu)化設(shè)計吧。

圖二 優(yōu)化設(shè)計拓?fù)?/p>

優(yōu)化方案主要從以下幾點加以改善：

1. 優(yōu)化接入層

1） 所有接入層交換機(jī)都由非網(wǎng)管型交換機(jī)更換為Cisco2950交換機(jī)，以便實現(xiàn)VLAN劃分、配置管理、生成樹、DHCP安全等功能。考慮到使機(jī)柜內(nèi)布線改動最小，仍然使用6臺24口交換機(jī)；考慮到成本問題，更換的交換機(jī)均為八至九成新二手貨；

2） 去掉HUB，減少沖突域和環(huán)路；

3） 將辦公區(qū)域交換機(jī)級聯(lián)到三層核心交換機(jī)上，減少級聯(lián)層級。

2. 優(yōu)化核心層

1） 兩臺Cisco3550之間用4條網(wǎng)線做鏈路聚合；

2） 啟用VRRP協(xié)議形成冗余架構(gòu)。

3. 優(yōu)化級聯(lián)鏈路

1） 每臺接入層交換機(jī)上聯(lián)兩根線，分別接兩臺核心，形成鏈路冗余；

2） 所有交換機(jī)開啟快速生成樹，指定三層交換機(jī)為根橋。生成樹收斂后自動阻塞兩條級聯(lián)線其中的一根。

圖三 優(yōu)化接入層、核心層及級聯(lián)鏈路

4. 優(yōu)化出口鏈路

1） 調(diào)整防火墻位置，去日本總部的專線也屬于公司內(nèi)網(wǎng)，屬于信任關(guān)系，不再經(jīng)過防火墻；

2） 由路由器根據(jù)目標(biāo)地址來判斷出口路徑，去往Internet的流量自動選擇本地Internet出口，去往日本總部的流量自動選擇專線出口。這樣才把這條本地Internet真正最大化利用起來，用戶感覺訪問大部分國內(nèi)網(wǎng)站明顯快了許多。不過這樣做的代價是，類似于google、facebook這類被GFW屏蔽的網(wǎng)站默認(rèn)不再能訪問。不過這類需求可以通過撥通日本總部的VPN或使用日本的代理服務(wù)器來解決。

圖四 優(yōu)化出口鏈路

5. 優(yōu)化無線架構(gòu)

1） 將AP級聯(lián)至核心交換機(jī)，減少級聯(lián)層級；

2） 重新部署SSID，改變原來以物理AP區(qū)分SSID的做法，每個物理AP上都啟用兩個相同的SSID，實現(xiàn)無線信號的全覆蓋，一個SSID供訪客使用，另一個供內(nèi)部員工使用。

圖五 優(yōu)化無線架構(gòu)

6. 優(yōu)化網(wǎng)段和VLAN劃分

優(yōu)化前所有設(shè)備都在VLAN1下，都處于一個網(wǎng)段內(nèi)。優(yōu)化后規(guī)劃了3個網(wǎng)段，分別用于服務(wù)端設(shè)備、客戶端設(shè)備和訪客，每個網(wǎng)段對應(yīng)一個VLAN，并且不再使用默認(rèn)VLAN1。

經(jīng)過以上接入層優(yōu)化、核心層優(yōu)化、鏈路優(yōu)化、出口鏈路優(yōu)化、無線架構(gòu)優(yōu)化、網(wǎng)段和VLAN劃分優(yōu)化幾個方面的優(yōu)化，這家公司的網(wǎng)絡(luò)架構(gòu)總算“回歸正途”了。用戶實際使用下來的感知也明顯比之前穩(wěn)定，網(wǎng)速也有較大提升，無線信號覆蓋效果也比之前好了許多。

綜上，我們可知網(wǎng)絡(luò)設(shè)計與優(yōu)化需要考慮天（網(wǎng)絡(luò)互聯(lián)互通的適用性）、地（作為核心基礎(chǔ)架構(gòu)之一的網(wǎng)絡(luò)搭接）、今（當(dāng)前的用戶感知如何、用戶對網(wǎng)絡(luò)的需求是什么）、古（之前網(wǎng)絡(luò)的設(shè)計上存在哪些薄弱環(huán)節(jié)，以至無法更好滿足網(wǎng)絡(luò)需求），一個優(yōu)秀的網(wǎng)絡(luò)架構(gòu)師面對的往往不是預(yù)算充分的環(huán)境，而這恰恰是考驗網(wǎng)絡(luò)架構(gòu)師對于網(wǎng)絡(luò)架構(gòu)核心問題的洞察力以及庖丁解牛般的架構(gòu)功力的時候！