笔者从事网络相关工作以来,先在乙方呆过,又做了甲方网络工程师至今。在做乙方的时候,搬过设备,填过售前的坑,也讲过方案,选过型。在笔者的从业经历中及遇到的很多问题中,笔者发现,很多公司网络出现问题的根本原因在于架构不清晰,设计不合理。

例如核心设备单点,一旦硬件故障,网络完全瘫痪,RMA(即备件件从库到现场的服务, Return Material Authorization)时间最少4小时;二层网络故障域过大,一个网络风暴把交换机CPU打死,全网完蛋,console登上去都反应不过来;IP地址段随心所欲使用,没有规划,也没有汇总,一个小公司企业网路由上千条;路由协议设计一把梭,全是OSPF Area 0;广域网专线拥塞,视频会议马赛克,加了带宽仍然拥塞;各种私有协议部署,被硬件厂商绑死。

这很多的问题,其实都是网络设计之初就应当想到的问题,但由于种种原因,变成了“历史遗留问题”。一个好的网络设计,应当能够避免和预防今后的很多网络问题,提高网络可用性,降低维护成本,有足够强的网络扩展性。

但在实际工作中,一步到位的设计却很难实现。

第一,从设备厂商,代理商角度出发,要卖大设备,新产品,在设计方案的时候要尽可能地提高利润,要尽可能地捆绑用户,并不会完全设身处地地为用户考虑,例如一个500台物理服务器的数据中心,思科N5K+N2K即可满足需要,他要推两台N7K给你,然后一堆功能用不上;一个30层将近6000信息点的大楼,直接核心接入大二层,全网二层VLAN一把梭,看起来省事了当,结果是一台电脑网卡故障,导致全网丢包。

第二,设计一个良好的网络需要工程师有扎实的理论基础、丰富的实战经验,懂需求,懂产品,懂技术,然而这类人在市场上却是相对较少的,往往集中在大型公司或厂商,甚至一些公司都没有专职的网络工程师,系统,运维,网络只有一个人。这些原因造成最后的结果就是一些中小型公司在设计网络的时候设计不合理,被厂商忽悠,得过且过,ping通就完事,出了问题再解决。



  
其实,我们在设计网络的时候都想要设计一个比较完美的网络方案。多数网工都听过很多教程,看过很多书,尤其是刚毕业的网工,刚刚考完CCIE或HCIE,斗志昂扬,但在听到需求后却无从下手。

老师讲过OSPF骨干区域和Normal区域,讲过各种LSA,但没讲一个城市5个Site该怎么连接最好,拉光纤,MSTP专线,MPLS专线还是IPSEC V P N ?VLAN怎么设计,1个楼层1个还是俩楼层一个?一个Mac笔记本用户使用无线丢包该怎么排错?给你一张CAD图,你怎么部署设计AP?安全部门要求你办公网全网IP可溯源(查找某一时刻这个IP谁在使用),你怎么做?交换机,路由器,无线,买思科还是华为?视频会议时不时马赛克怎么解决和预防?这些问题大多是依靠工程师经验,市面上几乎没有跟项目实战,网络设计相关的书籍。
  
本次订阅文章,面向的读者主要在有一定网络基础的在校学生,刚刚考完认证,需要实战来消化理论的考生,从事网络相关工作的甲方网络工程师、系统工程师、架构师、IT经理,在代理商工作的售前售后工程师。本次文章不适用于完全没有网络基础的同学或工作人员。
  
本次《实战网络设计》系列订阅文章,主要包括五大部分,26篇内容。五大部分,网络设计总述,园区网设计,广域网设计,数据中心设计和网络管理设计。以下介绍各个章节的内容概述:
  

1. 站在甲方视角看网络(试读)

本章将以一个甲方工程师的视角看待企业网络,谈谈笔者的一些感想,你是否感同深受?
  

2. 纸上功夫也重要:设计原则与方法论

我们很多工程师,都是埋头苦干型,干起活来一点不含糊,但是说的时候却不知道怎么说。明明知道思科的无线比华为的稳定,但却拿不出来说服老板的理由;又或者遇到一个未接触过的领域,如何进行品牌选择呢;或是用户提出一个需求,该怎么把用户描述的需求转化成对接厂商的需求呢?本章将会把重点放在设计原则、需求分析上,教你一些设计原则和方法论,虽然我们是工程师,但一些纸上功能也是要掌握的。
  

3. 小细节影响大范围:IP编址很重要

说起IP地址的规划和使用,很多人觉得不值一提,敞开用,随便用。但在实际项目中却是一个很容易被忽视的细节。我曾见过一个有50多个分支的公司,IP地址段就是挨着用,最后造成路由条目十分宏大,防火墙策略也很多很难维护。本章将讲解IP地址的基本原理和设计思路,包括CIDR和VLSM,在实际项目中如何规划IP地址段,私有IP地址设计,如何维护IP地址规划表。

4. “上帝视角”看网络:至顶向下的企业网设计总览

笔者工作一年多之后,发现网络设计比调试更困难。因为这种方案在培训班没有讲过,也没有人来教,更多是自己摸索。而学习的最好途径就是多看一些成熟的公司的设计方案。本章读者将带领读者看一个大的集团网络都有哪些部分组成,会包括园区网、广域网、数据中心,有线、无线,互联网接入区,IP电话、视频会议等。让读者对一个大网有一个概念上的认识,先画一个蓝图。即使你现在维护的网络很小,也会大致清楚以后可能会遇到哪些需求和问题。

园区网设计部分

5. 园区网设计总述与案例分享

从这一章节开始,将开始介绍园区网部分的设计。开篇会讲园区网有哪些组成,有线区域、无线区域、内网服务器区域、互联网接入区域、DMZ区域、V P N区域、广域网接入区域,终端用户区域。同时将会分享一些园区网的设计思路和项目案例。
  

6. 园区网有线网络设计

本章主要讲解园区网中有线部分的设计,即我们常说的路由交换在园区网中的使用。包括VLAN、STP、VTP、FHRP(首跳网关冗余)、虚拟化技术(VSS,CSS)、DHCP等交换技术,也包括OSPF等三层路由技术。文章会穿插某个企业办公楼,某财政局和某开发园政府视频监控网(距离较远的)的设计,最后会分享现在比较流行的云管理交换机,路由器和一些基于云控制器的集中管理的园区网设计方法。
  

7. 项目实施分享:一个园区网从无到有

本章会以一个实际项目做为案例,讲解从公司确定租赁办公楼,到内部IT设计,申请预算、厂商方案设计HLD,方案评估,商务招标比价,确定合同,厂商LLD,项目入场,项目实施和交付,项目验收和培训的整个过程。也会讲在这个过程当中可能会遇到的一些坑及一些注意点。
  

8. 企业网安全之二层安全

在完成网络的基础部署之后,终端上网已经不是问题了,但常常还会遇到很多安全方面的挑战。例如遇到乱接线导致的环路和广播风暴,私接HUB导致正常用户拿到错误的IP地址,电脑中毒导致的ARP等。本章将以详细的分析实际使用中的多个二层安全问题,并提出解决办法,同时分享一些设备上线前的安全最佳实践及案例等。
  

9. 企业网安全之IP溯源与网络准入

本章会讲一个大的主题,即在安全领域常常会用到的问题,IP地址溯源。你们安全组的同事是否要求过你根据IP找到对应的人和设备?你全都找到了吗,一个企业网如何设计才能严防死守,每个IP地址,每个时间都在你的掌握之中?同时我们如何做网络准入,个人的电脑拿到公司可以上网吗,网络都实名认证了吗?这些在本章将会得到一一解答。
  

10. 企业网安全之AAA服务

本章将会重点介绍网络中常常说到的AAA,包括AAA的基本原理,使用场景,常用的AAA服务器。AAA该怎么设计,服务如何冗余。同时会介绍如何使用AAA对设备进行统一认证、分级授权和审计。
  

11. 企业网安全之防火墙的部署

随着安全这个话题越来越受到重视,防火墙自然是企业网中不可或缺的一部分。那么防火墙都该部署在哪儿呢,互联网出口,数据中心;又该怎么部署,串联,旁路;路由模式还是透明模式,该如何保证冗余,该如何设计,传统防火墙、NGFW又是怎么一回事,这些都在本章进行讲解。
  

12. 企业网安全之互联网接入设计

现在几乎所有的企业网中的办公网都是要接入互联网的,基于很多公司的内网业务都是基于互联网的。那么如何把一个网络接入互联网,如何进行高可用,如何进行负载均衡,如何节省流量,如何分配资源都成为了一个个问题,都要用到哪些设备,怎么连接,怎么选型,本章将主要讲解这些内容。
  

13. 企业网设计之服务器区域设计

一个企业中肯定会有内网的IT业务,而这些业务如何部署,是部署在园区内部的本地机房,租用IDC,还是云端,内网服务器区域如何设计,DMZ区域如何设计。机房如何设计,这些将是本章要探讨的内容。
  

14. 无线局域网设计与规划

在园区网或者说办公网中,无线已经是必不可少的一个组成部署。然后在接到一个设计无线的命令后,你如何来确定需求和进行设计,要用多少颗AP,什么型号的AP,放在哪里,要考虑哪些问题,本章将主要讲解WLAN的基本概念,和在部署前期遇到的问题,并会分享一些案例,如高密度部署场景,电梯部署场景,酒店部署场景等,
  

15. 无线局域网安全与认证

WLAN在企业中该如何注意安全问题,如何区分员工,设备,访客,如何实名认证满足《网络安全法》要求,本章讲主要讲解无线安全的设计和部署。
  

16. 无线局域网部署与案例分享

本章主要讲解目前的WLAN技术,包括现在经常遇见的胖瘦AP,集中转发和本地转发,小分支如何部署AP,云端AP部署方式及适用的场景等内容,在最后会分享如何对WLAN进行优化。
  

17. 企业网设计与远程接入V P N

本章主要介绍如何在企业中设计和部署一个远程接入V P N,让公司的员工或合作伙伴不在公司的时候也可以连进内网。本章将将会讲到远程 V P N的产品,认证方式(用户名密码,双因素,OTP和证书认证),会讲到如何联动AAA,如何对接AD,如何基于用户身份进行不同的策略管理(例如A用户拨号能访问所有资源, B用户则只能访问指定资源)。
  

广域网设计部分

18. 企业网设计之基于运营商的广域网设计

从本章开始讲解广域网知识,本章将会介绍传统的广域网连接方案,基于点到点专线的连接,基于MPLS V P N 的连接,同时会讲解如何设计路由协议,是使用静态、OSPF还是BGP,如何实现设备、链路级别的冗余,如何实现流量的调度(例如生产网和OA网分离)和负载均衡(主备链路全部跑流量),广域网链路常见会有哪些问题。链路拥塞了如何找出元凶,如何一劳永逸地解决,如何进行监控。
  

19. 企业网设计之基于V P N的广域网设计

本章介绍如何使用在互联网上通过V P N 技术,实现广域网连接。该选择什么设备,防火墙还是路由器,使用何种技术,policy-based V P N 和route-based V P N 。
  

20. 企业网设计之基于SDWAN的广域网设计

本章将介绍目前比较火热的广域网技术-------SDWAN。什么是SDWAN,为什么近年来这个概念比较火,它有哪些优势,如何进行SDWAN的设计,它真的如厂家所说的比专线便宜好用吗?本章会以Viptela或Citrx进行介绍。


  

数据中心设计部分

21. 数据中心网络设计

本章开始讲解数据中心的网络技术,讲解数据中心的一些发展,网络需求,传统的数据中心设计,新型的数据中心设计,数据中心级的网络技术,最后会分享两个实际项目中的设计案例。

  

22. 数据中心之跨DC的二层网络

本章将介绍一个老生常谈的问题,数据中心的二层网络。分析什么情况需要二层网络,并介绍各种二层DCI的解决办法,包括传统的Trunk直通,及后来出现的OTV,VXLAN等新型技术。

  

23. 多地多中心的数据中心网络

本章将把前面两节的内容串联出来,尝试剖析所谓的两地三中心的网络架构。同时将引入云端网络,如何把办公网或本地数据中心与AWS或阿里云这样的去连接起来,又要注意哪些事项。
  

24. 基于互联网架构的数据中心设计

本章将介绍目前中小型互联网公司的数据中心架构,从几百台物理服务器到两、三万台物理服务器如何设计,从一个数据中心到七八个数据中心该怎么规划。内外网如何部署,路由协议如何设计,如何优化,互联网出口要不要使用防火墙等技术。
  

网络管理设计部分

25. 网络管理设计

本章将介绍一些在网络维护和管理中常用到的技术和网络软件,如网络监控、自动备份配置、Syslog记录及监控等。

26. IPv6的简单设计与案例分享

鉴于国家对于要求IPv6上线的要求,最后一个章节将对IPv6进行一些介绍,包括IPv6的基本介绍,如何使用,如何和IPv4连通等。最后分享一个真实的IDC上线IPv6的案例。

扩展阅读第一期


为了让各位读者钱花的更值,让我们的文章更贴近实战,干货大大地多。在每期结尾,我会增加一个扩展阅读。扩展阅读有两种,一种是知识小分享,我会分享包括一些软件,工具,书籍、小技术或小案例等,有时候我们需要一个功能确迟迟找不到,其实不是我们不会用,只是我们不知道罢了。

另一种是面试问与答,可能是一些开放性思维的问题,也可能是一些技术问题。然后会在下一期的内容中进行一些答案讲解。这个板块的内容,不限于本章或网络方面的内容,我每期会在“知识小分享”或“面积问与答”中二选一进行扩展。今天作为试读写,两个都放了出来,试读也希望大家有所收获。

知识小分享:


本期知识小分享先为大家介绍一款免费画拓扑图、流程图的软件。我们常用Visio来画拓扑图,然而Visio使用起来其实是很贵的,大概要4000RMB,如果公司注重版权(外企居多),那么公司可能不会给每个人都配visio,又或者在Mac笔记本或Linux上没有visio版本,这时候怎么办呢,阿森老师隆重介绍一款轻量级的免费的画图工具,draw.io;它支持在线画图,或者你下载软件到本地,支持Windows,Mac, 基于是Linux。接下来的课程中很多图阿森都将使用draw.io来进行绘画,以下是官网,接下来就靠你自己研究了。

官网:https://www.draw.io/
  
效果图





面试问与答:

本期的问与答为发散型问题:

背景:你是一个公司的网络管理员,你们公司租了2层半的写字楼。11层,12层和13层半层,13层另外半层是共享办公室。你们在11层有一个核心机房,所有有线无线及服务器核心设备在机房。你们公司接入了互联网。电信光猫----防火墙-----上网行为管理-----核心交换机------接入交换机。你们公司的线上业务在AWS上,这时候一个坐在13层的程序猿说他用Mac笔记本SSH远程主机老掉线,你怎么解决,你的思路是什么。阿森的排错思路我们下期见。