資深網絡架構專家、500強項目網絡運維負責人

——文章摘自聯想超級課

---

今天我跟大家講的課是網絡架構，我們學網絡，首先就要知道它的一個整體的結構，方便我們以後學習。

關於網絡架構，我主要講三個部分

✔ 網絡結構

✔ 設備介紹

✔ 運維工作與網絡發展的趨勢和理念

小型網絡架構

我們先想一下網絡一般講什麼，都是從小開始講，所以我們先講一個小型的典型的網絡結構。

比如一個小公司可能就一百個人，或者我們一個宿舍，這些實際上也可以說是一個小型網絡。當然我們這個宿舍用的網絡只有兩三個人，多的宿舍可能有七八個人。

小的公司就一百來個人用的網絡，它結構比較簡單，一般來說，加一個路由器，這個路由器同時可以做（01：40）CP，然後建一個文件服務器，連接打印機，連接終端電腦，再加個無線（管理使用無線），然後外面加個防火牆，同時也可以買個設備就在防火牆後面，防火牆也省了，這就是一個小型的網絡。

​

小型網絡組建很簡單，平時宿舍就天天在組建這種小型網絡，我們唯一缺少的就是文件服務器，也沒有打印機，wifi是有的，只是我們的wifi沒有控制器而已，如果加個控制器就跟小型網絡一樣了。

你可以想象一下，自己的網絡再把它稍微擴展一點，就變成一個小型的網絡了

中型網絡架構

還有稍微複雜一點中型網絡。比如說公司有500人或者 700人，總之在1000人以內，建構這種中型網絡，相對來說就要複雜一點，這會牽扯到哪些東西呢？

首先要有服務器，人多了肯定需要服務器，所以我們把服務器放在單獨的一個區域裡面；由於網絡會有很多部門，所以還要區分部門，會有多個部門接入。

當然網絡結構一般都採用三層結構，我們從上往下講，在構建的時候，第一個就是我們外網接入，接入進來會有一個路由器，當然有時候也會有核心要義，下面接匯聚的交換機，當然接入交換機是連起來的，中心的網絡大概就是這樣。當然可能還有其他設備，有防火牆，還有無線網絡之類的。

中型網絡大概就是這樣設計的，實際肯定比現在講的要複雜一點。大致就是在典型的小型網絡裡，往上面加東西，層次更多，一層變成三層。

大型網絡架構

接下來繼續講大型的網絡，接入超過一千臺設備都可以視為大型網絡，大型網絡接入比中型網絡更復雜一些。同時再有路由器和防火牆接入，可能交換機不支持NAT（網絡地址轉換）。

大型網絡結構外網接入，是由運營商提供，一般都會選擇兩個接入的運營商，因為如果一旦線路掛掉的話，網絡也可能會掛掉，所以至少要接入兩條。

然後接入的設備外層，一般會接一個防火牆，有些會在防火牆的後面再接路由器，有些防火牆和路由器是在一起的，沒有再接單獨的路由器，直接用防火牆來做了。

​

像我做的BYD項目是直接用防火牆，防火牆當路由器一樣的用，接上交換機就可以了。

核心交換機有什麼用呢？

它的功能很多，可以插很多板卡，如果你插上防火牆的板卡，它就有防火牆的功能，如果你插上路由器，就有路由器的功能，NAT的功能也是可以有的，只是說這個板卡你買不買而已。

骨幹網絡

下面就是骨幹網絡。骨幹網絡也是三層結構，下圖是沒畫完的，實際上也是三層結構。有核心交換機、有匯聚。

骨幹網絡主要是核心和數據。大型網絡有專門的數據中心，數據中心搭建比較複雜，裡面主要是服務器的一些群組，服務器一般也都會放在數據中心裡面。

一般來說，大型網絡有一個核心的交換機，然後再連到我們骨幹的核心交換機上面，數據庫裡的交換機跟我們平時的交換機還是有一點區別，因為平時交換機發包雖說號稱100G或幾十G，其實傳大數據文件的時候是不一樣的。

然後骨幹網再連到廣域網。廣域網你看到有兩個，一個是運營商，一個是廣域網。

廣域網主要是做專線用的，因為大型網絡都有分支機構，分支機構要連外地，就需要通過這個專線，所以會專門通過廣域網連接。專線跟上網還是有區別，上網業務主要是訪問因特網。

廣域網的專線作用於連接異地的園區，連起來就是樓宇之間接入的控制。比如廠房或者園區裡有很多樓層、很多棟樓房，它接入的時候怎麼接入的。

另外因為現在都是無線控制，所以無線也有專門的無線接入。這個無線會集中在控制器來控制，一般都掛在骨幹網絡核心下面。

但如果網絡這麼複雜，我們要維護的時候就需要一個專門的軟件，作為一個網管平臺控制它。網管平臺來監控它的流量或是異常情況。

其實大型網絡結構實際也不復雜，首先是一個小型公司的小型網，剛開始只有一臺交換機，只有一百個人，小型網絡相當於接入一個樓層，然後公司和人員發展壯大為中型網絡，就有中型的一個骨幹網絡接進來。到公司更發達了，發展到上千臺設備以上，就要加其他的東西，加一個分支機構，然後連到異地網絡，因為公司比較大，還需要在骨幹網絡加個無線控制器，然後也需要建個數據中心，因為網絡比較大，就要有一個網管平臺，所以再加了一個網管平臺。

實際它設計也不是那麼複雜，就相當於一步一步發展起來的。如果把所有的旁枝全部去掉，就先看一個骨幹網絡，這是三層結構。

所謂二層結構，就是說接入的交換機是核心交換機，好處是速度很快。下面是服務器存儲數據中心，可以用ARP技術，一般這個核心是用單排，然後中間用鏈路連起來。

然後看一下三層的結構。三層跟二層有什麼區別，唯一的好處就是可以減少核心交換機的投入。因為核心交換機比較貴，缺點是轉換延時會稍微大一點，當然這種延時可以忽略不計，現在網絡性能都很強，轉換時間也非常短，都是毫秒級的，你深甚至感覺不到延時。

​

所以三層結構的好處就是可以節約成本，因為核心交換機比匯聚交換機成本會高很多，一臺匯交換機大概幾萬塊錢，一個核心交換機一臺就是需要幾十萬。

所以要選用三層還是二層，可以根據你的規模來算，或者你不差錢就選擇二層。如果考慮到投資就選用三層。

下面看一個案例：某大學需要建設一個校園網，覆蓋範圍包括校園裡的教學樓、學生宿舍以及食堂等附屬設施，另外還有分校、機房等相關設施，我們如何選擇。

這種校園一般要採用大型網絡結構，校園有一個是主校區，主校區裡面會建什麼呢？

首先數據中心，數據中心然後再連到各個教學樓，再連到學生宿舍，再到宿舍的各個樓層，然後再通過VPN連到分支機構。學校肯定還要上網，所以會選運營商的線路進來，加上防火牆。學校的設計大概跟大型網絡設計是一樣的。

設備介紹

下面我們看設備的建設。首先是防火牆，防火牆現在主要介紹四種：

✔ 華為的高端防火牆

✔ 華三系列的防火牆

✔ 瞻博（Juniper）高端防火牆

✔ 思科防火牆

現在企業用的用的比較多的是華為的防火牆。以前Juniper用得是很多的，我剛開始工作的時候看到都是Juniper，現在好多都是華為的了。華三的稍微用得少一些，思科看到得更少。

有朋友問Juniper跟思科誰的水平好。Juniper公司的交換機實際上做的是最高端的，思科的話只能算中端。

​

上網行為管理

如果公司大肯定要用上網行為管理，現在只介紹兩個：深信服和華為。

深信服的行為管理界面比較友好，可以管控一些上網行為。比如不讓你瀏覽哪個網頁，或者監控你所有瀏覽的頁面。他很直觀的可以看到你瀏覽了什麼網頁

上網行為管理說白了，一是可以抓一些證據，二是可以管控用戶行為。可以通過這種管理來抓拍他的上網行為，監控他上網到底在幹嗎，是不是在好好幹活，還是有些時候在玩。

當然上網行為管理是很容易結仇的，如果你是IT，覺得這個跟你關係不好，就監控他，肯定不能這麼做呀，不然你在公司也沒法混了……

核心交換機

你們可以看到核心交換機都很大，當然他確實都很大。兩米高的都有，就是一個機櫃，放它一個設備就夠了，也有一米多的，可以根據你的需求購買。

核心交換機越大就越貴，還非常重，一個人搬不動，要好幾個人才抬得動。剛開始沒插板的時候還好，兩個人可以搬動，等它插完了，重到你懷疑人生，倆人肯定是搬不動的。所以它的價格貴也有貴的原因，這麼多的鐵也是很花錢的。

它的性能也很強大，因為所有數據都要通過它轉發。核心交換機只幹一個活，就是轉發。你給它數據就給你轉發出去，你給它數據就給你轉發出去，其他啥事兒不幹，光管轉發。核心交換機就是幹這活的。

因為你所有的流量，內網用戶的所有流量都匯聚進來，然後它轉發出去，要達到高速轉發無阻塞，它性能必須要非常強大。

核心交換機多少錢呢，要看各自公司的採購價格，但這種10508的核心，最少也超過50萬。它跟板卡選擇也有關係，不同的板卡價格是不一樣的，板卡越多就越貴。如果有些新的架構上百萬也有可能。

H3C 10508跟華為的970/12700差不多，現在華為最新出的是16800，基本上是100G的口，它的速度就非常快的。這個12700的幾個口是100G的，速度非常恐怖，就是為了以後5G上來之後的萬物互聯、雲計算做準備的。

​

接下來介紹匯聚交換機，在國內用主要是思科、華為和華三的。

有同學問匯聚交換機是幹什麼用的。匯聚就是把接入的東西匯聚到一起。把它接入了一些交換機，流量匯聚在一起。

它比核心交換機乾的活要多一點，是光要轉發，還可以做一些策略。比如哪些網站不讓你訪問，可以就在匯聚層上設置。匯聚的功能拿來做一些過濾策略，比如限制你訪問哪些資源，不讓你訪問哪些資源，做一個簡單的過濾。

還有一般匯聚會作為網關，數據平時我們在電腦裡面，當你跨網段訪問的時候就是通過網關

匯聚一般兩個功能做得比較多，就是做SL跟做DHCP中繼。

DHCP服務器是有專門的服務器，當跨網段訪問話有一箇中繼的功能，就是在網關上做的，所以有一個網關中繼，中繼可以跨網段獲取IP地址。

配置也很簡單，我們最新用的華為匯聚一般是5720 EI/HI，版本號是5720，購買的話要看清楚版本，因為有版本區分。

華三用的型號比較多，5800、5600、5500都有，根據不同的型號，它的功能會更強一些。

剛才有同學提問可以跨網段獲取IP嗎？跨網段獲取IP是DHCP中繼做的。啟用了DHCP中繼的話是可以跨網段獲取IP的。

還有就是接入交換機，它沒有太多作用，就提供一個接入而已，唯一的選擇就是要千兆接入還是要百兆接入。如果選用千兆接入，帶寬百兆跟千兆相差十倍，但價格相差不太大。所以我們採購都選用千兆交換機。

再分享一個案例，就是設備的選型。學校宿舍有8棟，每棟有6層，一層有四個單元，每個單元有5個宿舍，每個宿舍有6個人，即一個單元就有30個人，一層有120個人，宿舍接入如何選型？設備匯聚在哪個地方？

這個選型很簡單，接入設備我們可以選華為的5720或是華三的5120就可以。匯聚設備選HI或者EI的都行。

網絡項目實施

如果我們接了一個項目要怎麼做？比如公司接了個網絡項目派你去做怎麼做呢？

第一步收集信息。無論做任何項目，第一步都是要收集信息，只是收集信息不一樣而已。做網絡項目收集的是網絡相關的信息。

首先收集設備清單。為什麼要收集設備清單呢？是為後期做拓撲圖或管理做準備。

然後收集事故量。一般網絡維護是按事故量來計算，所以要把這個收集回來，收集不回來就要自己去跑，把它全部找出來。因為我們找一份就相當於掙了一份錢，對公司未來更好，公司的收入高了咱們收入自然會提高。

還要收集現有拓撲圖，你要維護沒有拓撲圖，說實話是沒法做的。結構都不知道怎麼維護，問題出來也沒法做。

還有現有的vlan規範，網站怎麼規劃的，怎麼加網段，交換機命名方式、交換機管理、安全機制、端口描述、交換機口令權限、匯聚權限、還有交換機遠程管理權限等好多。

然後還有無線配置、DHCP權限、AC這些都是需要收集的。流程規範、操作指導、現有的案例也要收集回來。

你可能會說這麼多哪裡記得住，沒關係，你知道它是什麼意思就可以，你可以套用下面這個模板來收集信息。

把這些東西都收集完了，就可以前期維護。我們的人開始進場。進場我們要幹什麼活，要先擬個計劃，就是網絡運維規劃項，這裡寫了12項。

​

第一個就是交換機盤點，我們收集的信息不一定是全的，用戶可能也不一定給你全的，因為資產管理比較複雜，很多資產可能他們自己也搞不明白。所以我們去盤點的時候，順便把資產也可以盤點一下。

還有就是尋找拓撲圖軟件，如果有就可以用現成的，如果沒有，我們要自己找一個比較好的。接下來制定標準，然後建立核心團隊，建好後畫出拓撲圖畫（上面提到已經盤點過），順便把交換機機房位置在哪、用哪些交換機都可以寫出來。

拓撲圖畫出來有什麼用？是為了我們以後維護方便。比如哪裡有大故障，可以及時看得到，找到故障點，到底是哪兒出了問題，方便及時排查，排查後就可以直觀地看到我們網絡長什麼樣。

還有光纖的物理明細拓撲圖，然後是我們標準化的工具，我們要找一個工具來做標準化。如果沒有就自己編一個，自己動手豐衣足食。所以大家有興趣也可以自己學編程，自己編寫工具。

繼續說匯聚的表，我們知道匯聚的表和交換機的標準配置，做好配置優化的審核、交換機穩定配置等，把這些做完這一年也就做完了，第一年就算完成了。

一般第一年甲方對我們的要求沒那麼高，犯個小錯誤也不會太在乎，所以把基礎的工作全部做完（可能有些一年還做不完，要做到第二年繼續補充細節）。

如果這些都做好對後期維護是非常方便的，會節約我們很多時間，大家標準化一定要做完。

​

最常見三個問題及解決方法

第一個故障是環路，接入交換機設備最容易出現就是環路，而且影響範圍特別大，可能致使一片區域的網絡用不了。

維護過網絡的朋友知道，其實它的網絡排查不難，首先用一條命令清空接口的配置，然後看一看接口下面的包INPUT和OUTPUT，如果多的話可能就有問題。INPUT匯聚到核心的包，如果是下面的交換機INPUT大於OUTPUT，就有可能出現異常，如果特別大的話可能出現環路。

第二個故障比較多的是私啟DHCP，這個故障要不是他們做測試會有私啟DHCP，要麼是有些用戶會插一個路由上去，然後有意無意的就分發了IP地址出來，所以也是有問題的。怎麼處理呢？一般來說，在用戶端查一下arp，看一下網關的MAC地址是多少，只要我們查到MAC地址，就可以通過交換機MAC地址查到它在哪裡，然後關掉就OK了。

DHCP Snooping也是可以的，如果我們開啟DHCP Snooping的話也可以解決這個問題，DHCP Snooping也叫信任端口，如果做好前期防範這個影響就很小了，如果沒有開啟信任端口的話就會有問題。當然不是每個交換機都支持信任端口，有的交換機就不支持，所以也開不了。

環路的時候一般從匯聚往下測，因為所有的流量都會集中到匯聚，通過匯聚往下再來匯聚口有異常，查到有異常後查到那個口，它接的交換機是哪一個，進來再往下找異常的交換機在哪裡，再往下查一段一段查就可以了。

剛說到開啟了一個trust的信任端口，開啟這個信任端口的時候，不是說每個口都開（可能有些設備是每個口都開的），比如華為不是每個口都開的。像華為交換機都只開權限在一個口上，就是主口上，其他口不用開。

第三個比較多的故障是光纖鏈路故障。這個故障是最多的，平時我們網絡好它出問題的機率也挺小，特別是上層的網絡像匯聚壓力器或核心機房，基本上沒什麼鏈路問題。

如果下層接入交換機，到匯聚交換機連接的話，一般都是光纖連接，然後鏈路就容易出現問題，即光纖的鏈路故障。

怎麼查看這個故障？可以遵循先軟後硬的原則，就是先看交換機的端口是不是宕掉的，如果宕掉的話，就要到現場去看，因為宕都宕掉了咱啥也做不了，只能到現場看。

看一下燈有沒有亮，光纖的燈只管收，有收到它就亮，所以如果有一頭是亮的一頭是不亮的，就有的是宕掉的，有的不是宕掉的。光纖是單通的形式，如果我們看到這種或看到都不亮的話，第一步就是看看尾纖是不是好的，如果它是壞的，可能老鼠咬壞了，它最愛咬這個尾纖了，尾纖也比較好咬。

如果不確定就直接換一個，如果還沒好就把光模塊換了，重新插拔試一下行不行，如果這些都不行，就看一下交換機配製有沒有問題，還是不行，我們就只能去打光測試，看有沒有光過來，光纖主鏈路有沒有斷掉。

如果這些都不行，配製也沒問題，還有一步，測一下它的損耗，損耗越接近0越好，一般負10左右都算比較好的。當然打環測一下也可以，打光更方便點。

還有機房運維的時候，不光是維護，還要看看機房這一塊，機房要做得很漂亮。第一步把光纖盤放在第一個，第二個就放我們的交換機，接入交換機的線，從側面也可以，從後面也行，側面比較好找線，顏色會變好些，然後其他再綁好。

軟件學習

平時學習或者練習可以用系統軟件和維護軟件。

一個是華為的模擬器，個人覺得做的很好，也可以模擬出所有的設備，核心匯聚、完整網絡都可以模擬出來。

二是VMware，當然HP、微軟自帶、虛擬機和QM也可以。我個人比較喜歡用VMware來做虛擬機，因為建服務器可以連在一起。

三是CRT，我們專門研究交換機用的

還有WhatsUp管理軟件可以練習，這個設置比較簡單，功能操作比較友好，它功能還是比較強大的。

工具分享

現場配製交換機用的線。現在支持藍牙了，用藍牙也可以。

光筆：測試打光使用，看光纖是不是完好。如果光纖完好，光比無法測出，還需要使用專門測損耗的設備。

測損耗設備不使用時默認數值是-70，使用時如果檢測數值為0到-25是正常使用狀態，如果超過-25，光纖可能是斷線狀態。

測斷點設備當然就是測斷點用的了，可以通過光反射測光纖中間有沒有折斷。

網絡運維面臨的挑戰

隨著網絡的迅速發展，我們的運維工作也面臨著極大的挑戰。

第一個就是感知世界，萬物互聯。大家一直在說萬物聯網，萬物聯網實際上離我們很近了，5G應用後，會加速推動物聯網的進行，網絡建設者們也希望終端接入和數據管控更快捷，更安全。

二是敏捷商業，快速上線。任何工作都要快速的上線，雲計算出現後，就要求我們做東西要快，商業模式日新月異，不斷增長的新業務只有快速上線才能抓住商機。新業務、新應用產生了大量數據，網絡本身就是重要的數據來源之一，可以挖掘特殊商業價值，同時大數據又對網絡帶寬和轉發質量的保證與監控提出更高要求。

還有無線網絡馬上就出WIFI6了，WIFI6出來後會對我們現在的網絡造成很大沖擊，因為現有的接入的速度比較慢，接入人數也有很大的限制。

第三是以人為本，泛在接入，隨著Wlan和智能終端的普及，移動辦公成為大勢所趨。

四是簡化管理，效率提升。層出不窮的需求導致網絡協議與網絡設備的複雜程度持續增長，如何降低網絡管理難度，提升管理效率，這需要全新的網絡架構來支撐。

業界網絡發展趨勢

第一個就是無序自治，第二個就是分類集中，現在是SDN軟件定義網絡，未來就是All Cloud雲化網絡，雲控制所有的東西，相當於AI管理。

雲化網絡的特徵是什麼？雲來統一管理所有的東西，統一承載，統一管理，按需定義資源、彈性的擴展、自動部署，自動分佈自愈，如雲工作。以後的維護就是會自動化運維，不需要我們去管他，網絡有故障會自動修補，硬件故障可能還是要人去換，當然機器人也可以換。

​

所以以後我們工作的機可能會越來越少，但是如果我們會複雜的網絡維護很牛了，那個時候工資可能更高。

因此我們一定要看未來的趨勢是什麼，學習趨勢的東西