案例一：

一個完全新建的網(wǎng)絡，只要在預算范圍內(nèi)，設計上不用有太多顧慮，可以直奔“完美”的方向。但中培偉業(yè)將要為大家分享的這個案例屬于基于原有架構的優(yōu)化改造，預算非常有限，需要最大限度利用原有設備實現(xiàn)較好的設計效果。

這是一家小型日企，70人左右，沒有專職的IT。局域網(wǎng)傳輸速度慢，并且非常不穩(wěn)定，故障頻發(fā)，嚴重影響到了業(yè)務效率。企業(yè)老板是個在日本工作過多年的海歸，非常節(jié)儉，他希望能夠徹底優(yōu)化一下公司網(wǎng)絡，但又并不希望花多少錢，通過朋友找到了我們幫忙。

我們花了半天時間，先梳理了一下他們公司現(xiàn)有的網(wǎng)絡架構，繪制了如下拓撲（圖一）。

圖二 優(yōu)化設計拓撲

相信很多讀者和我們一樣，第一眼看到這個拓撲的感覺大概菊花一緊，心中默默冒出一句“WTF”……

不幸的是，這個拓撲圖是我們根據(jù)印象還原了一部分，實際情況比這更糟糕。

機房區(qū)域基本保持了最初實施時的雛形，但到了辦公區(qū)域，就是經(jīng)過歷史沉淀下來的非IT專業(yè)人士智慧的結晶了。

看到辦公區(qū)域的那個多出來的交換機和位置詭異的小HUB了嗎？這是因為這片區(qū)域是由會議室變成的辦公區(qū)，網(wǎng)口不夠了，就加了個交換機。

但那個串聯(lián)了交換機和防火墻的小HUB又是怎么回事呢？是因為路由設置的原因，大家上Internet默認都是走日本的專線，從日本的出口出去，所以訪問一些國內(nèi)的政府網(wǎng)站會有問題。而這片區(qū)域的有兩個員工必須要經(jīng)常訪問國內(nèi)政府網(wǎng)站，于是就找了他們公司一個最懂IT的非IT人士給這樣解決了-----用一個小HUB，橋接內(nèi)網(wǎng)和防火墻的LAN口，本地Internet也接到了防火墻LAN口，用戶需要使用本地Internet時，在電腦上手動PPPOE撥號……

中培偉業(yè)在考慮這個案例的設計策略過程中，主要把握了以下幾大設計原則：

1、統(tǒng)一性：
      在網(wǎng)絡的系統(tǒng)化設計過程中，堅持“三統(tǒng)一”，即統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一出口。根據(jù)這個基本原則從上至下對網(wǎng)絡展開全面設計與優(yōu)化。
2、經(jīng)濟性：

在充分滿足以上要求的前提下，應充分考慮到企業(yè)的經(jīng)濟承受能力，盡可能地節(jié)約投資，花好每一分錢。著眼于近期目標和長期的發(fā)展，選用先進的設備進行最佳性能組合，利用有限的投資構造一個性能最佳的網(wǎng)絡系統(tǒng)。
3、適用性：
　　適用性設計應能滿足目前對網(wǎng)絡應用的要求，充分實現(xiàn)內(nèi)部管理、信息化等要求，使網(wǎng)絡的整體性能盡快得到充分的發(fā)揮，并且便于直接提高用戶感知。

接下來請看中培偉業(yè)的優(yōu)化設計吧。

圖二 優(yōu)化設計拓撲

優(yōu)化方案主要從以下幾點加以改善：

1. 優(yōu)化接入層

1） 所有接入層交換機都由非網(wǎng)管型交換機更換為Cisco2950交換機，以便實現(xiàn)VLAN劃分、配置管理、生成樹、DHCP安全等功能。考慮到使機柜內(nèi)布線改動最小，仍然使用6臺24口交換機；考慮到成本問題，更換的交換機均為八至九成新二手貨；

2） 去掉HUB，減少沖突域和環(huán)路；

3） 將辦公區(qū)域交換機級聯(lián)到三層核心交換機上，減少級聯(lián)層級。

2. 優(yōu)化核心層

1） 兩臺Cisco3550之間用4條網(wǎng)線做鏈路聚合；

2） 啟用VRRP協(xié)議形成冗余架構。

3. 優(yōu)化級聯(lián)鏈路

1） 每臺接入層交換機上聯(lián)兩根線，分別接兩臺核心，形成鏈路冗余；

2） 所有交換機開啟快速生成樹，指定三層交換機為根橋。生成樹收斂后自動阻塞兩條級聯(lián)線其中的一根。

圖三 優(yōu)化接入層、核心層及級聯(lián)鏈路

4. 優(yōu)化出口鏈路

1） 調(diào)整防火墻位置，去日本總部的專線也屬于公司內(nèi)網(wǎng)，屬于信任關系，不再經(jīng)過防火墻；

2） 由路由器根據(jù)目標地址來判斷出口路徑，去往Internet的流量自動選擇本地Internet出口，去往日本總部的流量自動選擇專線出口。這樣才把這條本地Internet真正最大化利用起來，用戶感覺訪問大部分國內(nèi)網(wǎng)站明顯快了許多。不過這樣做的代價是，類似于google、facebook這類被GFW屏蔽的網(wǎng)站默認不再能訪問。不過這類需求可以通過撥通日本總部的VPN或使用日本的代理服務器來解決。

圖四 優(yōu)化出口鏈路

5. 優(yōu)化無線架構

1） 將AP級聯(lián)至核心交換機，減少級聯(lián)層級；

2） 重新部署SSID，改變原來以物理AP區(qū)分SSID的做法，每個物理AP上都啟用兩個相同的SSID，實現(xiàn)無線信號的全覆蓋，一個SSID供訪客使用，另一個供內(nèi)部員工使用。

圖五 優(yōu)化無線架構

6. 優(yōu)化網(wǎng)段和VLAN劃分

優(yōu)化前所有設備都在VLAN1下，都處于一個網(wǎng)段內(nèi)。優(yōu)化后規(guī)劃了3個網(wǎng)段，分別用于服務端設備、客戶端設備和訪客，每個網(wǎng)段對應一個VLAN，并且不再使用默認VLAN1。

經(jīng)過以上接入層優(yōu)化、核心層優(yōu)化、鏈路優(yōu)化、出口鏈路優(yōu)化、無線架構優(yōu)化、網(wǎng)段和VLAN劃分優(yōu)化幾個方面的優(yōu)化，這家公司的網(wǎng)絡架構總算“回歸正途”了。用戶實際使用下來的感知也明顯比之前穩(wěn)定，網(wǎng)速也有較大提升，無線信號覆蓋效果也比之前好了許多。

綜上，我們可知網(wǎng)絡設計與優(yōu)化需要考慮天（網(wǎng)絡互聯(lián)互通的適用性）、地（作為核心基礎架構之一的網(wǎng)絡搭接）、今（當前的用戶感知如何、用戶對網(wǎng)絡的需求是什么）、古（之前網(wǎng)絡的設計上存在哪些薄弱環(huán)節(jié)，以至無法更好滿足網(wǎng)絡需求），一個優(yōu)秀的網(wǎng)絡架構師面對的往往不是預算充分的環(huán)境，而這恰恰是考驗網(wǎng)絡架構師對于網(wǎng)絡架構核心問題的洞察力以及庖丁解牛般的架構功力的時候！