摘要:针对上海恺英网络有限公司网络系统存在的信号弱、并发慢、网延时高、设备宕机等问题,我司通过对网络环境实际状况的综合考察,进行了网络改造。本文介绍了我司网络改造的相关背景和在网络改造过程中所遵循的相关设计原则,进一步介绍我司现有的网络架构,将原有网络架构进行优化。在网络环境改造项目中,根据我司的现有环境,设计了2大块网络整体规划,分别为办公网络模块和WIFI无线模块。每一块设计了三级层次化的网络冗余结构,硬件与技术上的设计架构保证了公司网络环境性能的高效性与安全性。2021年6月,我司办公网络环境改造项目升级成功,建立后的网络满足公司所有部门网络需求,并对今后各种大型网络环境业务的开发与需求具有较强的延伸性与扩展性。
关键词:网络改造;wifi;办公网络
1.引言
上海恺英网络有限公司的网络于2013年建成,网络采用的点到点单点直连架构,线材为非标准5类线,接入层设备统一设备品牌H3C,主要服务于各个工位之间的网络链接。核心为H3C-7506E相当于汇聚与策略路由转向灯,出口上采用防火墙1:锐捷EG200GE服务于公司办公位网络出口。防火墙2:华为U200,服务于机房服务器出口。WIFI采用unify网络环境,服务与办公网与业务网的日常wifi。还有流控管理-深信服AC、移动办公-深信服sslvpn等。
近年来,随着公司人员扩招与业务展开,恺英网络办公网规模的需求逐渐增大,各种泛娱乐业务环境需求不断增加、以及对网络性能需求的提高,恺英内部网络系统越来越大,越来越难以管理,网络环境也愈加复杂,在现有环境运行中出现信号弱、功率低、并发慢、网延时高、设备宕机等问题。希望通过网络架构的优化与改造来提高公司网络环境的水平。增强公司整体网络实力,从而为项目部提供高效的网络环境。2021年年初,决定对公司进行网络环境改造项目,将众多网络节点、链路、冗余重新梳理与优化。其目的是为了增强公司网络效率,防范网络宕机的风险,增强自身网络发展,同时更方便地支持各个业务部门,满足未来网络环境需求。
2.网络改造设计原则
首先是为了解决我们公司wifi信号弱、功率低、并发慢、网延时高和设备宕机等问题,新的网络系统要具备较高的数据处理能力,满足大量各类工作人员的办公需求,同时考虑恺英网络公司未来信息系统的发展需求。
其次,网络系统还应该能够全方位的防护数据,防止病毒、外部入侵和黑客攻击。
最后,在保证各项功能实现良好的基础上,还要充分地利用现有资源,节省成本、统筹兼顾。为实现以上目标,在本次网络改造过程中,我们遵循以下几点改造原则:
2.1 先进性和实用性
恺英公司的网络改造首先参照国际规范和标准,使用国际上先进的技术,借鉴国内外的成功经验,且使恺英的网络系统符合网络运用的发展趋势。同时要满足各项功能需求。
2.2 可靠性
在网络设计中,网络系统的稳定及可靠是整个网络系统正常运行的重要保证。在网络改造过程中,应该充分分析双机冷备份方案的设计,使得改进后的网络环境拥有不间断网络业务、网络自动切换与恢复的能力。其次网络环境中的核心设备的主要部件是否有故障隐患的可能性与故障恢复时效性,来保障公司网络出现局部故障时,现有网络环境依然能够正常运行,以便于网络运维人员对故障的诊断和排除。
2.3 高性能
网络系统的性能是整个网络环境命脉,所以恺英的网络架构设计中必须能保障网络的高吞吐能力,能保证各种数据的高质量传输,才能为公司业务开展提供便利而不是成为瓶颈。
2.4 扩展性
网络系统应该拥有良好的可扩展性,在恺英网络发展中,在设备故障与更新中必须可以平滑地更换、扩充与升级,能极大的减少对整体网络架构的调整与网络的影响,充分保护原来的架构设计,减少成本。
3.网络架构方案和技术核心
恺英网络以游戏业务为核心,集游戏研发、运营与发行为一体。公司通过游戏产品和发行平台为主流进行横纵布局。网络环境非常复杂。恺英网络公司的原有网络架构如图1所示:
此次网络改造对恺英网络办公楼的2个楼面做网络改造替换建设,为了满足泛娱乐网络环境,决定使用无线办公网络全覆盖,有线网络全升级优化。无线接入终端预计为2000个,有线接入终端预计3000个,且对办公大楼网络做规划设计。
基于公司实际发展与反复论证的综合比较,并考虑到公司网络的运行现状,通过思科、博大、H3C、华为、锐捷等厂商的网络设备性价比的对比,最终选取华为系列网络设备,并设计出了整个网络系统的拓扑结构图。整個网络系统分为二大块,wifi模块、办公网络模块。每块分为三个层次,分别是接入层、核心层、防火墙出口层。经过网络改造后的网络架构如图2所示:
两大模块的核心技术及构造过程如下:
(1)办公网络环境
在核心机房采用防火墙、电信光纤、2层、三层交换机等设备链接服务器环境、wifi环境、办公网络环境,各个工位到接入层交换机由原来的5类线替换为6类线。从而构建起办公室局域网络。
其中,核心交换机采用S6730进行堆叠,目的是为了可靠冗余性,性能优良性,具有优良的容错能力,以及良好的扩展性。防火墙采用USG-6555E,通过HA技术实现设备的双机备份,在出口做负载均衡以及出口的流控规则,实现广域网与局域网之间的网络管控。同时链路聚合LACP模式的使用,能在不进行硬件升级的条件下,将多个物理接口捆绑为一个逻辑接口,从而达到增加链路带宽,保证系统运行的可靠性的目的。并且能在实现增大带宽的同时,又能有效的提高设备之间的可靠性。每台防火墙通过多模光纤链分别至两台核心交换机,进行端口聚合,将链路进行捆绑,保证链路上的可靠性与安全性。接入层做环形堆叠,单个设备光口直连核心,对该端口线路做链路聚合,可最大程度达到安全、冗余效果。从而优化设备管理终端与端口规划。与此同时,核心交换机其余40G端口可以进行扩容增加服务器汇聚交换机。这与原来的网络环境形成了强烈的对比,原来网络全是点到点,单线直连,如一台设备故障,设备下其他直连将无法工作。该套方案彻底解决网络无冗余、无备份、无负载、管理复杂等情况。为后期网络扩展提供优良扎实的基础。
(2)wifi网络环境
老的wifi网络架构不成体系,没有配套的架构图与统一的管理方式,本次讲全新设计WIFI網络系统。两台WIFI-AC6508进行旁挂。AC无线控制器采用双机,进行HA部署,确保wifi环境的可靠性与稳定性。下行直接通过万兆端口接入各个楼层间的接入交换机。每台接入双上行分别至两台核心交换机,包括将原来的Poe交换机也在这次改造中改成双上行链路。
无线AP 根据前期现场工勘和公司实际情况,采用高密接入型设备AP6050DN,进行全公司无线网的覆盖。无线认证采用AAA Radius认证方式。把无线设备做802.1x认证代理模式,负责连接公司AD系统的Radius认证服务,负责用户与Radius服务之间身份认证信息的转发,而无线用户就作为802.1x的请求方。这样做能使此认证方式利于帐号与AD域帐号统一管理,既提高了账户安全性,又提高了管理的方便性,也提高了管控性。
另一方面,为了建立独立安全的vlan环境。设计出根据不同射频和访客业务进行区分SSID,如 2.4G SSID ,5G SSID,访客guest SSID等,2.4G SSID的开设是为了以防老型号设备无法正常连接5G射频。又对不同射频SSID中的VLAN进行了安全性设计与规划,管理VLAN、业务VLAN与访客VLAN之间互相分离,其中业务VLAN又根据实际业务需求建立独立安全的vlan环境。
其中最重要的点在于WLAN信道规划,它将影响到无线网络的带宽、性能、扩展以及抗干扰能力,也将直接影响到公司员工对WIFI使用的直观体验。本次WLAN设计了通过信道覆盖密度与信道干扰因素,选择了2.4G/5G单频或双频覆盖方式,其目的如下:
2.1 AP交替使用2.4G的2、7、12信道5.0G的36、40、44信道模式,启用单频进行覆盖,避免信号相互干扰;
2.2 对于会议室等高密度用户接入的场所,将独立使用2.4G或5.0G的频段,启用双频进行覆盖,以便提供更好的接入能力与并发能力。
Wifi改造后的网络架构如图3所示:
本次网络改造中,将办公网络环境和wifi环境两大块作为重点,适应恺英网络公司的未来发展需要,下一部分介绍本次网络改造后的网络系统的特点。
4.网络系统特点
4.1 办公网环境多种协议保证了系统的高效性。在主线路采用5条ADSL,通过PPPOE协议来进行拨号,备份线路采用1条电信专线,通过PPP协议来上网。在防火墙设置CHAP认证模式来保证公司员工对网络的访问。另外利用PPP协议与PPPOE协议的IP协商机制,公司网络的升级和扩容利于IP规划、利用PPP协议与PPPOE协议的链路检测机制,这样可以保证链路的传输效率和端口流量的并发。在核心架构处采用主机堆叠复用的方案,线路切换速度快,效率高、网络波动小;而出口防火墙采用HA冷热备份方式,同时做线路负载均衡技术处理,让每条线路都能合理充分的利用到每条ADSL线路。
4.2 多种技术手段与预警方案保证了网络的稳定性与安全性。该网络系统通过链路聚合技术、堆叠技术、HA技术、防火墙流控技术、防火墙负载均衡技术和各级身份鉴别及高质量的设备把外界的攻击、内部不规范的上网行为、内部老旧的硬件等对网络环境的影响降到了最低。
4.3 线路冗余设计提高了网络可靠性。本次网络改造方案充分考虑到公司办公网络复杂大环境特点、设备老旧的情况以及网络不可靠因素,每个网络节点都使用了双机冗余线路。当线路、设备端口出现故障时,策略路由能自动切换到冗余线路,这个切换过程对用户来说是透明无感的,而且切换迅速。
4.4 网络环境简单、易管理、易维护。公司网络改造建设的必备条件,通过自主搭建监控软件普罗米修斯系统对各种网络设备与设备性能进行监控和管理。
4.5 基于用户的流量管理,能做到防止P2P业务占用带宽导致其他用户无法正常使用无线网络,基于SSID的流量管理,能做到预防某些SSID用户流量过大影响其他SSID用户的正常业务,比如访客SSID的流量控制。
4.6 链路聚合的设计提高链路带宽,增强了网络可用性,支持设备的负载分担。本次项目设计是把两台设备之间的多条物理链路聚合在一起,当一条逻辑链路来使用。链路中一个成员接口发生故障,该成员的物理链路会把流量切换到另一条链路上;链路聚合可以在一个接口上实现负载均衡,一个聚合口可以把流量分散到多个不同的成员口上,通过成员链路把流量发送到同一个目的地,将网络产生拥塞的可能性降到最低。
4.7 WIFI采用AAA Radius与AD域控账户做对接的认证方式,利于帐号与AD域帐号统一管理、统一认证,既保障了账户的安全性、提降低了管理成,也提高了账户管理的便捷性与管控性。
4.8 针对WLAN方案的设计提高了公司无线网络的各方面的性能以及抗干扰能力。优化了公司员工上网体验,避免信号相互干扰又实现了各个业务之间互相分离。
5.实施效果
游戏公司的网络改造是一个非常复杂的工程,通过对网络改造的精心规划与准备,分步实施各项改造计划,加上恺英的领导对网络改造项目的大力支持,使得网络改造工程的实施取得了预期的效果。
2021年6月,我司网络升级改造项目圆满成功,建成后的网络系统实现了办公环境、研发环境、WiFi环境的所有业务需求,并对今后各种新业务的开发具有较强的扩展能力,是一套基于用户、业务、设备等先进网络系统的管理模式。网络系统的建成,不仅提高了公司业务部门工作效率和支撑部门业务处理能力,也树立了IT运维部在公司的新形象,同时,还为我司大量泛娱乐业务的开展以及未来的长足发展奠定了坚实的基础。
参考文献:
[1] 任忠敏、林达峻、干峰等,数字化医院中的网络改造建设[J],医学信息(上旬刊),2007, 20(008):1313-1315.
[2] 彭澎,计算机网络教程[M],北京:机械工业出版社,2002.
作者简介:李汪林,1990,男,汉,籍贯:常德,职务职称:IT经理,学历:本科,单位:上海恺英软件技术有限公司 ,研究方向:公司的网络改造与优化,单位所在省市及邮编:上海,210000