李 凌
(中国联通马鞍山市分公司,安徽 马鞍山 243000)
通过分析得出,内网拓扑如图1所示,用户内网出口为深信服防火墙,对电脑行为控制并进行NAT转换,深信服防火墙通过100 M电口与中国联通马鞍山市分公司华为ONU互联,出口为1条100 M DIA专线。内网3层交换机分配各网段地址,采购部和厂区另有1台SOHO路由器接入。采购部办公室未进行综合布线,约12部台式电脑通过无线网卡由WiFi接入SOHO路由器,综合部和其他部门接入小交换机或直联接入核心3层交换机。
在综合部测试网速,可以达到80 M,综合部经理反映有时网速慢,经查,个别电脑使用迅雷下载等造成了带宽拥塞。
在采购部测试网速,发现至网关时延较大且有抖动,TRACERT发现SOHO小路由器网关平均时延137 ms,丢包率6%,办公室无线环境较差,小路由器接入电脑较多,不堪重负。
综合部现场测速在80 M以上,因总出口为100 M,深信服防火墙AF1180未对IP地址限速,造成个别电脑占用带宽过多,影响其他用户使用。
图1 某纺织服装有限公司现有接入拓扑
采购部未进行综合布线,所有台式机都是通过无线互联,且到出口深信服防火墙AF1180路由跳数达3跳,为多级路由级联造成,到无线第一跳平均时延137 ms,丢包率6%。
厂区互联网流量和办公区共用100 M出口。
如图2所示,100 M出口不能满足用户需求,将华为ONU设备更换为H3C S5552P-EI-D-H3全千兆口3层交换机,通过双路由接入城域网两台不同设备,运行OSPF协议,通过优先级设置主备出口,3层交换机通过千兆电口和深信服防火墙对接,开通200 M带宽。配置cbs给予用户突发流量弹性带宽,实现双路保护,提升出口带宽,H3C S5552P配置SNMP简单网络管理协议对出口流量使用情况进行PRTG监控,对超流量进行预警。
图2 优化后目标网络
H3C S5552P路由配置[1]说明(为保护用户隐私,IP地址部分用字母XY替代)如下:
router id 58.242.X.4 /OSPF路由标识/
ospf 1 /启动OSPF路由进程/
import-route direct /引入直连路由/
area 0.0.0.0 /设置单区域0/
network 58.242.X.100 0.0.0.3 /双路由出口网络地址配置/
network 58.242.X.104 0.0.0.3
interface LoopBack1 /三层交换机环回地址/
ip address 58.242.X.4 255.255.255.255
interface Vlan-interface101 /深信服防火墙三层接口,VLAN101/
description ShenXinFuAF1180
ip address 58.242.Y.185 255.255.255.248
interface Vlan-interface2000 /备用出口,优先级100,VLAN2000/
ip address 58.242.X.102 255.255.255.252
ospf cost 100
interface Vlan-interface3000 /主用出口,优先级30,VLAN3000/
ip address 58.242.128.106 255.255.255.252
ospf cost 30
interface GigabitEthernet1/0/1 /深信服防火墙接入物理接口,VLAN101/
port access vlan 101
qos lr inbound cir 204800 cbs 12800000 /入200M速率,允许cbs突发流量/
qos lr outbound cir 204800 cbs 12800000/出200M速率,允许cbs突发流量/
interface GigabitEthernet1/0/24 /备用物理出口,VLAN2000/
port access vlan 2000
interface GigabitEthernet1/0/49 /主用物理接口,VLAN3000/
port access vlan 3000
speed 1000 /强制光口千兆全双工/
duplex full
snmp-agent /简单网络管理协议配置/
snmp-agent community read X /读团体字/
snmp-agent sys-info version v1 v3
acl number 2000 /访问控制列表,只允许特定IP登录设备,保障安全/
rule 0 permit source 58.242.X.0 0.0.0.255
rule 100 deny
local-user mascnc class manage /远程登录配置/
password hash service-type telnet
authorization-attribute user-role network-operator
深信服防火墙对部分IP地址限速,避免迅雷下载占用较多出口带宽,给予办公区和厂区分配不同的带宽,保证厂区带宽充足。
采购部和厂区SOHO小路由器更换为2层交换机,避免路由器两次NAT地址转换和路由转发造成效率降低。采购部无线接入台式电脑改为有线接入,采购部和厂区新增2层交换机接核心汇聚3层交换机,降低路由跳数。调整后内网时延大幅下降,丢包率0%。
通过以上优化,某纺织服装有限公司内网质量得到了明显改善,掉线现象得到消除,出口带宽实现扩容,增加了双路由接入,安全性大幅提高,间接提高了生产效率。