首页/合景注册/首页随着互联网应用的深入，人们对互联网的依赖也越来越重：对于互联网公司而言，如果因为故障导致用户无法使用Web服务，那么每一分钟的经济损失都会让公司难以承受;如果员工无法访问工作用途的Web应用程序，那么工作效率也随之大大下降……

　　冗余性是一条基准的IT准则。无论是运行同一Web应用程序的多台后端服务器，还是构建组成RAID阵列的磁盘驱动器，IT部门都要定期确保可用性，即便在出现故障的情况下也是如此。

　　为了保持网络的稳定性，在多台交换机组成的网络环境中，通常都使用一些备份连接，以提高网络的健壮性、稳定性，这里的备份连接也称为备份链路或者冗余链路。的网络环境中，通常都使用一些备份连接，以提高网络的健壮性、稳定性，这里的备份连接也称为备份链路或者冗余链路。

　　在骨干网设备连接中,单一链路的连接很容易实现,但一个简单的故障就会造成网络的中断.因此在实际网络组建的过程中,为了保持网络的稳定性,在多台交换机组成的网络环境中,通常都使用一些备份连接,以提高网络的健壮性、稳定性。

　　这里的备份连接也称为备份链路或者冗余链路.备份链路之间的交换机经常互相连接,形成一个环路,通过环路可以在一定程度上实现冗余.

　　链路的冗余备份能为网络带来健壮性、稳定性和可靠性等好处,但是备份链路也会使网络存在环路,环路问题是备份链路所面临的最为严重的问题,交换机之间的环路将导致网络新问题的发生。

　　目标是为了实现核心网络交换的负载均衡、互为备份、冗余等功能，先规划好物理架构，再逐步添加设备。在满足现有网络需求的同时，考虑未来发展，为未来可预期的风险提供保障。下图为前期简单的网络拓扑。

　　目前架构模式采用单台华为防火墙6306作为出口网关设备，兼顾内网安全，外部采用双链路ospf路由，一条电信，一条移动，当一条链路故障时，可切换到另外一条线路继续使用。下连华为交换机S5700，作为核心交换机，各服务器直连核心交换机以减少故障率，内网划分虚拟网络，使各部门及楼层逻辑隔离，当某部门或楼层被攻击、网络风暴等情况不会影响其他部门网络使用。

　　虽然现有网络能满足部分安全需求，但从图中不难看出，单点故障随时可能出现，当核心交换机、防火墙和防火墙与核心交换机之间的链路故障时，那么网络将陷于瘫痪之中，整个网络都不能访问。而且设备维修周期和新设备的采购周期较长，不能及时恢复网络使用。

　　1）考虑防火墙防御模块授权和硬盘采购成本较高，网络现状单台负担完全足够，所以防火墙采用主备模式，后面也可以采用负载模式。配置信息实时同步，及当主设备出现故障时或宕机，及时将外部线路连接到另一台设备上，以达到网络的不受任何影响。

　　2）核心交换机采用负载模式，也就是两台核心都在同时跑业务，当一台设备故障时，另一台也能实时接替所有工作，以达到冗余。

　　3）所有线路都采用双线，分别连接两台核心交换机，包括服务器，以达到带宽叠加和线路冗余效果，及当无故障时，传输速度提升一倍，当其中一条或者其中一台核心交换机故障时，另一条继续工作，不会产生断网现象。

　　1）到实地现场勘察，确定是否考略网络完全做处想应措施，比如独立机房，三网隔离，组网隔离等。

　　2）勘察生产环境现场，使用的设备的数量。其中包括接入层的傻瓜交换机，汇聚层的汇聚交换机以及核心层用到的核心交换机。其中在确认核心和汇聚交换机的时候，确认好核心到汇聚走的是光信号还是电信号。值得注意的是，当用光信号时，我们的核心需要采购全光口的设备。

　　3）设计到光模块的选购，市面上大多设备用到的光模块为LC-SPF俗称小方头光模块，使用比较稳定。也有用大方头和圆头的光模块，属于定制，市面较难采购。采购光模块时还需考虑单模和多模之分。

　　4）网线以及光纤跳线法兰的采购。采购跳纤时需根据光模块信号采购。可以考虑采购光收发，以便不时之需。

　　6）假设的网络还需考虑到网络延迟与可预测响应时间， 可靠性/可用性。即系统(包含路由器、核心层交换机、汇聚层交换机等设备)不停机运行，伸缩性。网络系统能否适应用户不断增长的需求，高安全性。保护用户信息和物理资源的完整性，包括数据备份、灾难恢复等。概括起来，系统分析员对网络用户方调查可通过填写调查表来完成。

　　→ 先配置防火墙，根据网络划分情况在防火墙上划分不同的安全区域以及优先级。，

　　→ 根据ip配置路由，考虑做网络冗余于是采用ospf路由，部分设备型号不支持ospf只能使用静态路由并引入到ospf中如图。

　　→ 防火墙1的安全策略需要暂时放开全为any后面一点一点收敛。以便测试调试需要。

　　→ 防火墙1的配置初步完成。防火墙2和防火墙1的配置类似相同。根据内网不同的需求，可将下面的局域网挂在不同的防火墙下，例如核心交换机下的网络保障较高可以同时挂在两个防火墙上，而办公网的安全保证较低可以挂靠在一个防火墙下。这样可减少防火墙的负担，合理的利用网络资源。值得注意的是在不同型号的交换机挂在防火墙上可能采用的路由方式也不同，有的不支持ospf 需要在防火墙上写好回指路由发布到ospf中。防火墙上的接口如果够多的话，需要将两个防火墙也链接起来，配置好ip并发布到ospf中。

　　1）先配置core1 根据内网需求划分好ip段。核心到汇聚的ip段划分如下：

　　4）配置接口ip并划分接口隔离group，使之每个接口间都不能互相访问，这样做对下面的局域网提高安全保证。

　　5）配置两个核心间的互联口和上联口ip 其中26口为连接core2使用，27口为连接防火墙1使用，28口为连接防火墙2使用。

　　7）值得注意下，由于核心下接的汇聚交换机不支持ospf功能，我们需要配置静态路由，在核心上写好回指路由并引入的ospf中。

　　1）防火墙到汇聚层配置完成，需在核心和防火墙处重启ospf进程，以便ospf学习到邻居。

　　office server foretress交换机配置方式跟汇聚类似，需提前规划好ip网段，根据需要的ip网段来划分不同的vlan，然后在防火墙中需写好回指路由。

　　1）可以在不同的交换机下试试夸网段访问是否正常，前提是要访问的网段与本网段不在同一隔离group下

　　在机柜上安装交换机时需要考虑每个交换机的间隙散热的问题，带有风扇的交换机尽量设备间隙大些。每个设备上需要打好标签，标好地址，固定好螺母，安好耳朵，设备需接地线. 网线光纤布置

　　布置网线时在每个接头处需打好标签，走线整洁，并用轧带固定好。跳纤时选择距离够用的跳纤，不用盘留光纤。需要考虑最后在布置完线后盒上机柜门，不碰电线，网线. 电源线布置

　　布置电线时，需考虑PDU插孔数是否够用，不够需在加PDU插拔，尽量与网络设备保持距离。走线时也需在插头处打好标签，与网线分开走线。同时在插孔出需固定，防止意外拉拽设备掉电。