工程环境下网络设备调试与优化的研究

孙道远

摘 要： 按照网络规划设计，在交换机、路由器、UTM等网络设备上进行配置部署从而实现网络的通畅及性能优化，以满足企业的业务需求和网络的运行安全可靠。在园区网络部署前，使用网络设备在实验室环境中模拟真实情境进行调试。结果表明：通过网络组建的仿真测试，对网络中可能出现的故障进行了调试与排除，实现了网络预期的全部功能。在工程环境下网络的搭建，为园区网络设计部署可行性提供了有效的验证，加快了网络组建的建设进度，提高了网络工程技术人员园区网络建设能力。

关键词： 园区网络； 工程环境； 设备调试； 网络优化

中图分类号： TP 393.18 文献标志码： A 文章编号： 1671-2153（2018）02-0092-05

0 引 言

网络设备调试与优化是网络工程建设所需的重要岗位技能。在进行网络部署前按照设计方案进行仿真测试，可以加快工程建设进度。目前，在网络工程实施前大多采用虚拟仿真平台进行测试，如思科的Cisco packet tracer模拟器、华三的HCL模擬器等。但是，模拟器环境下的搭建网络和工程环境下的仿真测试相比存在着一定的差别和缺陷，如具体采用设备的型号、功能和实现方法等[1]。本文以一个园区网络的部署作为研究对象，选取园区网的主要部分，采用真实的网络设备从实验室的模拟向具体工程应用进行转变，以实现网络工程建设规范实施和技术人员实践能力的提升。

1 园区网络工程的设计

1.1 网络项目情境与业务需求分析

某企业为满足业务发展需要，设立了总部和分支机构两个区域。为了更好管理业务数据，总部建立了云计算数据中心，数据中心交换机上部署了虚拟化组网，为云计算平台提供高可用的网络接入服务。使用两台交换机相互聚合作为汇聚层设备，汇聚层通过安全设备和分支机构及合作伙伴进行连接，网络中具体业务终端通过安全设备和总部数据中心及外部网络相连接，实现安全可靠的网络互联。在企业进行网络信息化项目规划与建设的中，部署了数据负载均衡策略；总分机构之间部署链路加密等功能，实现安全可靠的数据传输。本研究选用了H3C系列网络设备进行实施，设备选用如表1所示。

1.2 园区网络拓扑结构设计

在进行网络组建的过程中，选取企业园区网骨干部分作为研究对象，网络设计的过程中，使用分层建设思想，采用接入层、汇聚层、核心层三层结构。服务器群连接在两台堆叠交换机组成的数据中心上，汇聚层采用两台交换机形成双核心设置，实现可靠性与负载均衡，总部网络的数据通过UTM安全设备和分部及分支机构向连接，总部具体的业务部门通过接入层交换机连接，具体拓扑及接口如图1所示。

1.3 设备的连接及IP地址设置

在实施过程中，首先要使用568B类型的双绞线按照网络拓扑结构图进行设备连接。当网络物理连接完成后，使用Console配置线和Secure-CRT软件进入网络设备命令行界面中，为每一台设备进行命名。接着，在通信网段的接口上设置IP地址，其中三层交换机与路由器相连接的接口在设置IP地址时，需要将接口配置成路由模式。同时，在实施过程中为了后期维护方便，要为连接线路设置清晰的标签。

2 园区网络具体实施方案

在园区网络仿真测试的部署中，网络设备的配置调试思路要清晰明确，按照先进行交换网络部分的调试，再进行路由网络部分的调试优化，在整体网络贯通的基础上，部署网络安全功能，最后进行集成测试[2]。

2.1 交换网络设备调试及优化

2.1.1 划分虚拟局域网

VLAN划分是接入层网络的基本配置，IRF数据中心作为总部服务器集群的接入设备，IRF上创建了4个VLAN，网关在S2和S3上，因此在S2和S3上也需要创建相同的4个VLAN。在IRF交换机上需要进行VLAN 的创建和端口的换分。VLAN的划分可以使网络应用变得更加的灵活，管理更加的便利。交换机之间的Trunk端口允许多个VLAN的数据通过，在此设置只允许业务网的VLAN通过，如不加以控制可能导致干道链路的负担。业务部门交换机S1连接具体的业务终端，在上面也划分了4个VLAN。

2.1.2 建立虚拟化数据中心

在园区网络建设过程中，服务器群为企业业务提供重要的资源保障，需要建立数据中心实现其安全可靠与管理。在本研究中，使用两台数据中心交换机通过IRF虚拟化为一台逻辑设备进行统一管理[3]。当其中一台交换机出现故障时，能够实现设备、链路切换，保证业务不中断。规划IRF-1和IRF-2间的XG1/0/27-28 端口间线路作为虚拟链路，使用光纤模块线连接，采用链式堆叠方式，将两个物理端口添加到一个逻辑端口中，通过IRF技术实现网络设备虚拟化。此外为了检测IRF的故障，使用MAD BFD技术进行多活检测，在两台交换机的23号端口之间使用双绞线建立一条检测链路，并将端口添加到VLAN 1000中，在此VLAN接口上为每台成员设备配置不同的MADip，与成员设备编号绑定。

2.1.3 在汇聚层交换机上进行链路聚合及检测

S2和S3作为网络汇聚层设备需要具备高可靠性，在此可以将两台交换机进行链路聚合设置并且开启DLDP（设备链路检测协议）。在交换网络中交换机通过链路聚合可以提高带宽，在数据访问量过大的情况下也可实现流量的均衡，减轻链路的压力。本研究中链路聚合选用动态链路聚合方式，首先设置成为动态聚合状态，再将物理端口加入聚合链路中，否则无法实现动态聚合功能，以此实现数据流的动态分配。DLDP的使用可以有效的检测链路的通信故障，使IRF，S2，S3三台交换机之间的数据能够正常转发。

2.1.4 使用MSTP+VRRP提高網络可靠性

MSTP（多生成树协议）+VRRP（虚拟路由器冗余协议）技术的结合是当前部署交换网络可靠性的重要技术，MSTP技术可以避免环路的产生，VRRP技术可以实现业务网段部分的出口数据负载均衡和互为备份[4]。在当前环境中IRF，S2，S3之间形成了交换网络中的环状结构，需要使用生成树协议加以控制，同时S2和S3又作为业务网段的物理网关，MSTP+VRRP技术的使用可以使上述问题得到有效合理的解决与优化。首先使用MSTP解决网络环路问题，在环形网络中同时运行2棵生成树，其中VLAN 10和VLAN 20以S2为根，S3作为备份；VLAN 30和VLAN40以S3为根，S2作为备份。以S2为例实施方案如下：

[S2]stp region-configuration //开启多生成树协议

[S2-mst-region]region-name H3C //命名区域名称

[S2-mst-region]instance 1 vlan 10 20 //将 VLAN 10、VLAN 20加入到实例1中

[S2-mst-region]instance 2 vlan 30 40 //将 VLAN 30、VLAN 40加入到实例2中

[S2-mst-region]active region-configuration //激活多生成树

[S2]stp instance 1 root primary //将 S2设置成为实例1的主根

[S2]stp instance 2 root secondary //将 S2设置成为实例1的备根

[S2]stp enable //在S2上全局开启STP

在网关的设置上，为了避免因网络故障产生链路中断，每个业务网段在S2和S3上设置两个物理网关地址，使用VRRP协议设置一个虚拟逻辑网关，作为路由网关使用，地址设置如表2所示。为了实现网络设备的有效利用，将S2作为业务网段VLAN 10和VLAN 20的Master设备，S3作为Backup设备；将S3作为业务网段VLAN 30和VLAN 40的Master设备，S2作为Backup设备。同时为了快速检测出Master主设备的故障，在Master备上配置监视指定的Track项使用BFD双向转发检测技术检测S2和R2，S3和R3的上行链路状态，如当Master设备S2连接上行链路的接口处于Down状态时，S2主动降低自己的优先级，使得备份组内S3成为Master，承担转发任务，S2故障恢复后再切换回S2。MSTP+VRRP技术的应用使得内部网络数据的交换和数据包的转发实现了有效的控制，提高了可靠性。

本文以业务网段VLAN 10为例进行设置：

[S2]interface Vlan-interface10 //在S2上开启VLAN 10接口

[S2-Vlan-interface10] ip address 192.30.10.252 255.255.255.0//设置VLAN 10接口IP地址

[S2-Vlan-interface10] vrrp vrid 10 virtual-ip 192.30.10.254//设置VLAN 10的虚拟IP地址

[S2-Vlan-interface10] vrrp vrid 10 priority 150//设置VLAN 10在S2上的优先级

[S2-Vlan-interface10] vrrp vrid 10 track 1 reduced 50//设置VLAN 10的track检测

[S2] track 1 bfd echo interface Ethernet1/0/1 remote ip 10.0.0.5 local ip 10.0.0.6//bfd检测

[S3]interface Vlan-interface10//在S2上开启VLAN 10接口

[S3-Vlan-interface10]ip address 192.30.10.253 255.255.255.0//设置VLAN 10接口IP地址

[S3-Vlan-interface10]vrrp vrid 10 virtual-ip 192.30.10.254//设置VLAN 10的虚拟IP地址

[S3-Vlan-interface10]vrrp vrid 10 priority 110//设置VLAN 10在S3上的优先级

2.2 园区网络路由的部署实现

本研究使用了网络收敛速度更快、度量更加优化、无环路的OSPF路由协议。在本网络中主要涉及到总部、分支机构和合作伙伴之间三部分网络，在OSPF路由协议设计的过程中，总部网络设备SW2，SW3，RT1，UTM上OSPF进程为10；在连接分部以及合作伙伴设备UTM，RT2，RT3上OSPF进程为20。

本文以UTM设备上的路由协议设置为例，连接了S1，S3，R2，R3等4个设备。在设备上部署OSPF路由协议，首先需要启动OSPF进程，指定置OSPF骨干区域，在OSPF路由协议区域模式下将其所包含的直连网段添加其中，在完成了OSPF基本功能配置后再进行安全及优化设置。在UTM的OSPF区域和接口模式下使用ospf authentication？蛳mode simple plain huainan命令启用OSPF验证，以此保护业务网段的数据安全。以太网接口的默认ospf网络类型为broadcast，收敛时间较慢，为了优化OSPF网络，以尽可能加快OSPF收敛速度，使用ospf network？蛳type p2p命令将接口网络类型调整为point？蛳to？蛳point类型。由于UTM同时处于OSPF进程10和进程20中，此时需要在各自进程中使用import？蛳route ospf Process？蛳id命令进行进程的相互引入。

在SW2，SW3，RT1，RT2，RT3上需要進行OSPF协议中进行基本功能配置、安全特性设置及网络优化。为了保护服务器群的业务网段数据，提高OSPF路由协议的安全性，在汇聚层交换机S2和S3上服务器VLAN的接口上使用silent？蛳interface命令可以将服务器网段虚拟局域网接口变成静默接口，静止发送OSPF报文，S2和S3可以学习到外部的路由，但其他路由器学习不到S2和S3连接的业务网段数据报文。

2.3 园区网络VPN安全链路的实现

UTM是一种被称为统一威胁管理的网络安全设备，不仅可以部署路由功能还可以实现防火墙及防攻击、防病毒等功能。在园区网中使用的是H3C系列U-200S，它具有5 kM的以太网接口，其中G0/0作为管理接口，其他接口作为配置接口，和总部网络相连的G0/1和G0/2接口划分在Trust安全域中，连接分部的G0/3接口和连接合作伙伴的G0/4接口划分在Untrust安全域中。要实现数据在Trust和Untrust两个安全域中传输需要在UTM创建域间策略规则进行数据引流，具体创建的域间策略规则有：Local域到Trust域、Local域到Untrust域、Trust域到local域、Untrust域到Local域、Untrust域到Trust域以及Trust域到Untrust域。在这些域间策略规则中设置需要通过的源IP地址和目的IP地址，最后将过滤动作设置为Permit，域间策略规则的实施在UTM上实现了数据的引流。上述部署可以在UTM图形界面中基本配置的接口管理和安全域中实现。

在企业园区网络中，为了保障总部与分部及合作伙伴链路的数据传输安全，使用了VPN（虚拟专用网）技术，它可以在公共的网络中建立加密的传输隧道[5]。在测试过程中，分别在UTM和R2，UTM和R3之间通过GRE over IPSec的方式建立VPN进行数据通信。VPN部署的具体思路：① 首先设置ACL确定要保护的数据，此时主要保护总部业务网段和分部业务网段之间的相互访问的数据；② 设置安全提议，这是建立加密隧道的基础，根据具体情况此处采用了ESP安全协议，使用了DES加密算法和HMAC-SHA-1认证算法，保证数据的机密性和完整性；③ 设置安全策略，在安全策略中需要确定对业务数据流进行和保护措施，采用IKE自动协商方式与对等体生成秘钥并建立SA；④ 最后，在接口上进行策略的应用，由于本研究使用了GRE over IPSec VPN，需要在Tunnel端口上进行策略的应用。

3 网络调试与测试结果

网络组建部署完毕后需要对网络的功能进行测试，以确定网络功能的实现。

（1） 路由测试。通过在路由器R2上使用display ip routing？蛳table进行查看路由信息，R2已经学习到园区网络中的全部路由信息。R2路由表如图2所示。

（2） 链路通畅测试。在路由网络部分部署成功的基础上，为了进一步测试链路的通畅，在IRF的VLAN 10中接入一台PC，作为市场部服务器，其IP地址为192.30.10.2，从分部R2发送数据至该服务器，如图3所示实现了畅通。

（3） VPN测试。当UTM分别和R2及R3建立IPsec VPN后，需要在两个受保护的网段之间相互发送数据流，才能够激活IPSec SA，否则SA无法建立。图4现实了分部R2上SA的建立情况。通过测试结果，可以清晰的看到UTM和R2之间的VPN已经成功建立，数据在传输的过程中进行了加密保护。

4 结 论

工程环境下园区网络组建的实施，按照工程项目的实施流程，对网络设备进行调试和网络性能进行优化，使用了交换、路由、安全等方面的网络技术，实现了网络的畅通、可靠和安全。通过工程环境下的网络设备仿真测试，增强了网络技术人员的网络工程实施能力，对网络的设计方案进行了验证，网络功能进行了测试，加快了园区网络的实施进度，对中小企业园区网络的建设具有很好的现实意义。

参考文献：

[1] 李长春. 基于小型企业网络应用的实验综述[J]. 滁州职业技术学院学报，2014（2）：57-60.

[2] 孙光懿. 基于策略路由和NAT的多出口校园网仿真实验设计[J]. 西北民族大学学报（自然科学版），2017，38（106）：14-20.

[3] 杭州华三通信技术有限公司. 路由交换技术（第3卷）[M]. 北京：清华大学出版社，2012.

[4] 朱娅晶. 论计算机网络可靠性的优化策略[J]. 石家庄铁路职业技术学院学报，2017（2）：72-75.

[5] 许葵元. 提高计算机网络可靠性的方法研究[J]. 辽宁科技学院学报，2014（1）：15-17.