笔者从事网络相关工作以来,先在乙方呆过,又做了甲方网络工程师至今。在做乙方的时候,搬过设备,填过售前的坑,也讲过方案,选过型。在笔者的从业经历中及遇到的很多问题中,笔者发现,很多公司网络出现问题的根本原因在于架构不清晰,设计不合理。

例如核心设备单点,一旦硬件故障,网络完全瘫痪,RMA(即备件件从库到现场的服务, Return Material Authorization)时间最少4小时;二层网络故障域过大,一个网络风暴把交换机CPU打死,全网完蛋,console登上去都反应不过来;IP地址段随心所欲使用,没有规划,也没有汇总,一个小公司企业网路由上千条;路由协议设计一把梭,全是OSPF Area 0;广域网专线拥塞,视频会议马赛克,加了带宽仍然拥塞;各种私有协议部署,被硬件厂商绑死。

这很多的问题,其实都是网络设计之初就应当想到的问题,但由于种种原因,变成了“历史遗留问题”。一个好的网络设计,应当能够避免和预防今后的很多网络问题,提高网络可用性,降低维护成本,有足够强的网络扩展性。

但在实际工作中,一步到位的设计却很难实现。

第一,从设备厂商,代理商角度出发,要卖大设备,新产品,在设计方案的时候要尽可能地提高利润,要尽可能地捆绑用户,并不会完全设身处地地为用户考虑,例如一个500台物理服务器的数据中心,思科N5K+N2K即可满足需要,他要推两台N7K给你,然后一堆功能用不上;一个30层将近6000信息点的大楼,直接核心接入大二层,全网二层VLAN一把梭,看起来省事了当,结果是一台电脑网卡故障,导致全网丢包。

第二,设计一个良好的网络需要工程师有扎实的理论基础、丰富的实战经验,懂需求,懂产品,懂技术,然而这类人在市场上却是相对较少的,往往集中在大型公司或厂商,甚至一些公司都没有专职的网络工程师,系统,运维,网络只有一个人。这些原因造成最后的结果就是一些中小型公司在设计网络的时候设计不合理,被厂商忽悠,得过且过,ping通就完事,出了问题再解决。



  
其实,我们在设计网络的时候都想要设计一个比较完美的网络方案。多数网工都听过很多教程,看过很多书,尤其是刚毕业的网工,刚刚考完CCIE或HCIE,斗志昂扬,但在听到需求后却无从下手。

老师讲过OSPF骨干区域和Normal区域,讲过各种LSA,但没讲一个城市5个Site该怎么连接最好,拉光纤,MSTP专线,MPLS专线还是IPSEC V P N ?VLAN怎么设计,1个楼层1个还是俩楼层一个?一个Mac笔记本用户使用无线丢包该怎么排错?给你一张CAD图,你怎么部署设计AP?安全部门要求你办公网全网IP可溯源(查找某一时刻这个IP谁在使用),你怎么做?交换机,路由器,无线,买思科还是华为?视频会议时不时马赛克怎么解决和预防?这些问题大多是依靠工程师经验,市面上几乎没有跟项目实战,网络设计相关的书籍。
  
本次订阅文章,面向的读者主要在有一定网络基础的在校学生,刚刚考完认证,需要实战来消化理论的考生,从事网络相关工作的甲方网络工程师、系统工程师、架构师、IT经理,在代理商工作的售前售后工程师。本次文章不适用于完全没有网络基础的同学或工作人员。
  
本次《实战网络设计》系列订阅文章,主要包括五大部分,26篇内容。五大部分,网络设计总述,园区网设计,广域网设计,数据中心设计和网络管理设计。以下介绍各个章节的内容概述:
  

00. 站在甲方视角看网络(试读)

本章将以一个甲方工程师的视角看待企业网络,谈谈笔者的一些感想,你是否感同深受?
  

01. 纸上功夫也重要:设计原则与方法论

我们很多工程师,都是埋头苦干型,干起活来一点不含糊,但是说的时候却不知道怎么说。明明知道思科的无线比华为的稳定,但却拿不出来说服老板的理由;又或者遇到一个未接触过的领域,如何进行品牌选择呢;或是用户提出一个需求,该怎么把用户描述的需求转化成对接厂商的需求呢?本章将会把重点放在设计原则、需求分析上,教你一些设计原则和方法论,虽然我们是工程师,但一些纸上功能也是要掌握的。
  

02. 小细节影响大范围:IP编址很重要

说起IP地址的规划和使用,很多人觉得不值一提,敞开用,随便用。但在实际项目中却是一个很容易被忽视的细节。我曾见过一个有50多个分支的公司,IP地址段就是挨着用,最后造成路由条目十分宏大,防火墙策略也很多很难维护。本章将讲解IP地址的基本原理和设计思路,包括CIDR和VLSM,在实际项目中如何规划IP地址段,私有IP地址设计,如何维护IP地址规划表。

03. “上帝视角”看网络:至顶向下的企业网设计总览

笔者工作一年多之后,发现网络设计比调试更困难。因为这种方案在培训班没有讲过,也没有人来教,更多是自己摸索。而学习的最好途径就是多看一些成熟的公司的设计方案。本章读者将带领读者看一个大的集团网络都有哪些部分组成,会包括园区网、广域网、数据中心,有线、无线,互联网接入区,IP电话、视频会议等。让读者对一个大网有一个概念上的认识,先画一个蓝图。即使你现在维护的网络很小,也会大致清楚以后可能会遇到哪些需求和问题。

园区网设计部分

04. 园区网设计总述与案例分享

从这一章节开始,将开始介绍园区网部分的设计。开篇会讲园区网有哪些组成,有线区域、无线区域、内网服务器区域、互联网接入区域、DMZ区域、V P N区域、广域网接入区域,终端用户区域。同时将会分享一些园区网的设计思路和项目案例。
  

05.园区网有线网络设计上

本章和下篇主要讲解园区网中有线部分的设计,即我们常说的路由交换在园区网中的使用。包括VLAN、STP、VTP、FHRP(首跳网关冗余)、虚拟化技术(VSS,CSS)、DHCP等交换技术,也包括OSPF等三层路由技术。文章会穿插某个企业办公楼,某财政局和某开发园政府视频监控网(距离较远的)的设计,最后会分享现在比较流行的云管理交换机,路由器和一些基于云控制器的集中管理的园区网设计方法。
  

06.园区网有线网络设计下

这一篇主要将介绍技术实现部分。包括VLAN划分、汇聚层冗余设计、FHRP协议的使用,链路冗余和负载均衡,园区网中的静态和动态路由,最后我们讲现在企业网中的DHCP冗余技术。

7. 企业网安全之AAA服务器

本章会讲一个大的主题,即在安全领域常常会用到的问题,IP地址溯源。你们安全组的同事是否要求过你根据IP找到对应的人和设备?你全都找到了吗,一个企业网如何设计才能严防死守,每个IP地址,每个时间都在你的掌握之中?同时我们如何做网络准入,个人的电脑拿到公司可以上网吗,网络都实名认证了吗?这些在本章将会得到一一解答。

8.企业网安全之内网安全上-企业网防病毒

对于网络工程师而言,网络案例就是防火墙,ACL,802.1X,其实网络安全更重要的是防病毒,打补丁,装杀毒软件,定期打补丁,本篇将简要介绍企业网中的防病毒程序。

9.企业网安全之内网安全中-二层安全

在完成网络的基础部署之后,终端上网已经不是问题了,但常常还会遇到很多安全方面的挑战。例如遇到乱接线导致的环路和广播风暴,私接HUB导致正常用户拿到错误的IP地址,电脑中毒导致的ARP等。本章将以详细的分析实际使用中的多个二层安全问题,并提出解决办法,同时分享一些设备上线前的安全最佳实践及案例等。

10.企业网安全之内网安全下-设备管理(附免费软件)

本章将会重点介绍网络中常常说到的AAA,包括AAA的基本原理,使用场景,常用的AAA服务器。AAA该怎么设计,服务如何冗余。同时会介绍如何使用AAA对设备进行统一认证、分级授权和审计。

11.互联网接入区设计

现在几乎所有的企业网中的办公网都是要接入互联网的,基于很多公司的内网业务都是基于互联网的。那么如何把一个网络接入互联网,如何进行高可用,如何进行负载均衡,如何节省流量,如何分配资源都成为了一个个问题,都要用到哪些设备,怎么连接,怎么选型,本章将主要讲解这些内容。

12.企业网设计之防火墙的部署(一)

随着安全这个话题越来越受到重视,防火墙自然是企业网中不可或缺的一部分。那么防火墙都该部署在哪儿呢,互联网出口,数据中心;又该怎么部署,串联,旁路;路由模式还是透明模式,该如何保证冗余,该如何设计,传统防火墙、NGFW又是怎么一回事,从本篇起,三篇专栏专门讲防火墙。

13.企业网设计之防火墙的部署(二)

本篇将重点和详细地介绍思科防火墙的冗余部署

14.企业网设计之防火墙的部署(三)

本篇将讲一个在数据中心旁路部署防火墙的案例。

15.企业网远程接入V P N(一)远程V P N概览

本篇主要介绍如何在企业中设计和部署一个远程接入V P N,让公司的员工或合作伙伴不在公司的时候也可以连进内网。本章将将会讲到远程 V P N的产品,认证方式(用户名密码,双因素,OTP和证书认证),会讲到如何联动AAA,如何对接AD,如何基于用户身份进行不同的策略管理(例如A用户拨号能访问所有资源, B用户则只能访问指定资源)。

16.企业网远程接入V P N(二)基于Anyconnect的实践案例

本篇讲解一个真实的基于双因素认证,采用思科AnyconnectV P N的案例,讲到了利用LDAP连接后台员工数据库,通过动态码实现V P N双因素认证。

17.企业网远程接入V P N(三)基于Windows Server的远程接入V P N方案

本篇讲解了传统的PPTP的V P N连接方式,包括数据包分析和在Windows服务器上的实现 。

18.网络管理设计方法论

管是在学校学习还是在培训班学习,甚至是做乙方的实施工程师、技术支持工程师,对于网络管理的重视程序往往都比较轻。但当你在一个甲方公司开始做网工以后,你就发现网络管理的重要性了。新搭建的网络,设备崭新,走线清晰,拓扑图明朗。半年之后,进机房找不到相应设备,看着光纤不知道能不能拔,拓扑图打开后发现后来新添的设备没在上面,换了网工一脸蒙逼,不知所措。这其实都是在于网络管理设计。这一篇,笔者根据自己之前从事的甲方和乙方工作经验,和大家分享一下网络管理方面的内容,很多内容可能是很基础的,却是很多公司缺乏的。这一篇的内容即重要也不重要,欢迎大家进群分享自己的网络管理方法。

19.基于运营商点到点专线的广域网设计

从本章开始讲解广域网知识,本章将会介绍传统的广域网连接方案,基于点到点专线的连接,基于MPLS V P N 的连接,同时会讲解如何设计路由协议,是使用静态、OSPF还是BGP,如何实现设备、链路级别的冗余,如何实现流量的调度(例如生产网和OA网分离)和负载均衡(主备链路全部跑流量),广域网链路常见会有哪些问题。链路拥塞了如何找出元凶,如何一劳永逸地解决,如何进行监控。

20.基于运营商MPLS V P N的广域网设计

本篇讲解基于运营商的MPLS V P N来搭建企业内网的方案,不同于专线的点到点技术,MPLS是一个MA网络。在实际生产中,很多企业只知道去拉点到点的专线,但没有合理利用MPLS V P N,造成了成本的浪费。很大程度上,是有很多工程师没有理解这种技术,笔者将用大白话向大家介绍这项技术。

21.基于互联网IPSEC V P N的广域网设计

本章介绍如何使用在互联网上通过V P N 技术,实现广域网连接。该选择什么设备,防火墙还是路由器,使用何种技术,policy-based V P N 和route-based V P N 。

22.基于SDWAN的广域网设计

本章将介绍目前比较火热的广域网技术-------SDWAN。什么是SDWAN,为什么近年来这个概念比较火,它有哪些优势,如何进行SDWAN的设计,它真的如厂家所说的比专线便宜好用吗?本章会以Viptela或Citrx进行介绍。

23.数据中心网络设计(上)基础介绍

我们知道,数据中心是为用户提供服务的地方,通常有服务器、存储、防火墙、交换机、路由器等设备组成。它可以是提供内网服务,例如工厂;也可以是提供互联网服务,例如淘宝、美团的数据中心。第一二篇文章我们将介绍数据中心内部网络,即在一个数据中心内部都会用到哪些设备和技术;第三四篇文章我们将介绍多数据中心互联。

24.数据中心网络设计(下)案例介绍

本篇通过一个企业的实际数据中心来讲解数据中心都由哪些设备,使用了哪些协议和哪些技术。

25.两地三中心的数据中心网络

本章将把前面两节的内容串联出来,尝试剖析所谓的两地三中心的网络架构。同时将引入云端网络,如何把办公网或本地数据中心与AWS或阿里云这样的去连接起来,又要注意哪些事项。

26.跨数据中心的二层网络

现在很多数据中心及两地三中心DRP的方案中,一个重要的技术点是说在某些场景下两个DC之间是要能够保证二层通信,即一个IP子网即在DC1和也在DC2,本篇文章来结合案例具体讲解一下跨数据中心的二层网络的实现。

27.无线网络基础知识

本篇主要介绍一些比较基础的无线知识,对于一些刚学习网络,对无线还不是很懂的同学可以做一个入门了解,包括什么是单频、双频,什么是频宽,20Mhz,40Mhz,80Mhz都是什么,RSSI,SNR是什么等,是一些比较基础的知识。大拿可以略过。

28.无线站点勘察与设计

本篇带来重量级干货,如何进行无线站点勘察和无线点位设计,即大家平时说的怎么给AP选点位,如何放AP,还包括需求分析、站点勘察、架构设计、如何实施、如何优化,并会介绍一些无线的工具。

29.基于控制器的无线架构

本篇将讲在中大型企业中,基于控制器的无线架构。包括控制器,瘦AP的产品,瘦AP如何注册到控制器,它们之间是如何通信的,以及无线AP、控制器高可用的设计。

30.无线优化(完结篇)

本篇主要讲解基于控制器的无线的一些优化。不管是甲方还是乙方,很多工程师使用默认配置配完了控制器后就不管了,这其实是问题大大的。我们需要对无线加以优化再运行,这能很大程度上提高无线的运行效果。

扩展阅读第一期


为了让各位读者钱花的更值,让我们的文章更贴近实战,干货大大地多。在每期结尾,我会增加一个扩展阅读。扩展阅读有两种,一种是知识小分享,我会分享包括一些软件,工具,书籍、小技术或小案例等,有时候我们需要一个功能确迟迟找不到,其实不是我们不会用,只是我们不知道罢了。

另一种是面试问与答,可能是一些开放性思维的问题,也可能是一些技术问题。然后会在下一期的内容中进行一些答案讲解。这个板块的内容,不限于本章或网络方面的内容,我每期会在“知识小分享”或“面积问与答”中二选一进行扩展。今天作为试读写,两个都放了出来,试读也希望大家有所收获。

知识小分享:


本期知识小分享先为大家介绍一款免费画拓扑图、流程图的软件。我们常用Visio来画拓扑图,然而Visio使用起来其实是很贵的,大概要4000RMB,如果公司注重版权(外企居多),那么公司可能不会给每个人都配visio,又或者在Mac笔记本或Linux上没有visio版本,这时候怎么办呢,阿森老师隆重介绍一款轻量级的免费的画图工具,draw.io;它支持在线画图,或者你下载软件到本地,支持Windows,Mac, 基于是Linux。接下来的课程中很多图阿森都将使用draw.io来进行绘画,以下是官网,接下来就靠你自己研究了。

官网:https://www.draw.io/
  
效果图





面试问与答:

本期的问与答为发散型问题:

背景:你是一个公司的网络管理员,你们公司租了2层半的写字楼。11层,12层和13层半层,13层另外半层是共享办公室。你们在11层有一个核心机房,所有有线无线及服务器核心设备在机房。你们公司接入了互联网。电信光猫----防火墙-----上网行为管理-----核心交换机------接入交换机。你们公司的线上业务在AWS上,这时候一个坐在13层的程序猿说他用Mac笔记本SSH远程主机老掉线,你怎么解决,你的思路是什么。阿森的排错思路我们下期见。