网络体系是事务体系运转的支撑渠道，体系安稳是点评整个网络安全性与牢靠性的要害要素。采纳防火墙和防病毒软件等办法能够确保网络体系的安稳运转，但网络中心设备——交流机的安稳运转才是确保网络安全与牢靠的最根本要素。　　

网络中止两个小时后

A公司是一家制造型企业，设有办公室、财务部、一车间、二车间等多个部分。2003年公司选用了Cisco系列交流机来构建整个企业的千兆网络体系(如图1)。

图1 改造前的网络拓扑结构图

其间，网络的中心层选用的是Cisco Catalyst 6509设备，会聚选用的是Cisco 3560G，接入层选用的是Cisco 2950系列交流机。一切交流机之间均选用光纤进行衔接。

2008年，该公司的ERP体系正式上线运转了。出产、收购、出售等各个部分的事务处理悉数依靠该ERP体系。忽然有一天，公司的中心交流机引擎发生毛病，导致整个网络体系中止，各个部分均不能运用ERP体系，整个公司的事务简直中止。所幸集成商及时赶到，供给了备份引擎，及时处理了这次突发事件。可是整个网络中止了将近两个小时，形成的丢失很大。

事发后，公司尽管更换了中心交流机引擎，康复了体系的正常运转。可是作为CIO的老刘心里仍是很忧虑：现在公司的经营办理都依靠ERP体系，假设网络体系呈现毛病，则意味着出产经营的中止。这次尽管及时处理了毛病，可是不免下次还会再次呈现相似的安全事故。想到这儿，老刘一阵寒战。通过细心思量，老刘决议树立网络改造项目小组，对公司现有网络体系进行剖析和改造，构建一个高安全性和高牢靠性的网络体系。

通过对现有网络的情况进行剖析，项目小组总结出了公司网络体系存在的几个典型问题：

1. 现有的Cisco 6509中心交流机引擎是整个网络体系数据转发的要害。因而，交流机引擎的失效就意味着体系的瘫痪。而公司的中心交流机一直以来选用的都是单引擎，这也是此次安全事故发生的根本原因地点。

2.除了中心交流机或许呈现毛病外，一般会聚层和接入层的交流机也或许发生毛病，而且其毛病发生的频率显着要高于中心交流机。尽管此类毛病发生时不会影响整个网络，但也会形成部分网络瘫痪，然后发生小的安全事故。

3.链路也存在发生安全毛病的或许性。因为原有体系铺设的光缆均为6芯，但在实践运用进程中只融接了其间的2芯。一旦链路中止，毛病也就不可防止。

改造网络的两种计划

根据此，项目小组以为要想确保各项事务的正常运转，网络有必要具有高牢靠性，决不能呈现单点毛病。这就需要从整个网络的结构规划、设备选型和日常保护等方面动身进行网络的高牢靠性规划和改造。一同，要害设备要选用硬件备份、冗余等牢靠性技能，以进步安全性和牢靠性。针对该公司网络的实践情况，其可用性规划要包含网络设备自身的冗余才能和网络的冗余规划。而当时的要害是树立N+1备份体系，一旦主体系发生毛病，仍可选用备份体系坚持运转。通过深思熟虑，项目小组提出了两种处理计划。

计划一：考虑到引擎是6509交流机，决议添加1台引擎作为备份;添加一台6509交流机以进行中心交流机冗余，该交流机的装备要与当时6509交流机相同;在链路冗余方面，骨干衔接(骨干设备之间及其与汇接设备之间的衔接)要具有牢靠的线路冗余方法;在路由冗余方面，选用动态路由协议以完结路由冗余，当链路中止时，路由能够敏捷收敛。

计划二：首要对中心交流机进行冗余;其次对网络体系中的光纤链路进行冗余;***，进行会聚层交流机冗余，会聚层设备尽管牢靠性较高，可是也存在设备的单点毛病问题，因而需要对会聚层交流机进行冗余。

项目小组通过评论，终究以为，计划二中双会聚交流机能够消除会聚层设备的单点毛病问题，相对来说具有更高的牢靠性，但本钱相对更高。一同，其施行和日常修理办理的技能难度也将大大进步。而计划一对中心设备和物理链路都进行了冗余，问题考虑得更为全面，而且施行本钱较低。因而，项目小组决议选用计划一对公司的网络体系进行改造。一同，关于会聚层、接入层选用N+1的备份计划，即各购买一台会聚层交流机和接入层交流机作为日常备用产品，并不投入体系运转。

施行安全的改造计划

依照原定的规划计划，在中心层添加一台Cisco 6509交流机，其装备与原有的Cisco 6509装备相同，均放置在中心机房。一同，在会聚层交流机上添加一块光纤模块，上连到新的Cisco 6509交流机。因为从头铺设光缆本钱较高，而原有体系铺设的光缆均为6芯光缆。因而，要充分利用剩下的4芯，接入层坚持不变(如图2)。

图2 改造后的网络拓扑结构图

链路聚合技能 链路会聚是指将多个交流机之间、交流机和路由器之间以及交流机和服务器之间的并行链路一同运用，其功用是将交流机的多个低带宽端口捆绑成一条高带宽链路，然后完结链路的负载平衡，防止链路呈现拥塞现象。通过该技能，可将最多8条链路绑在一同，叠加传输带宽，然后使快速以太网和千兆以太网完结***800Mbps和8Gbps的衔接带宽。一同，当部分端口聚合链路呈现毛病时，也不会导致衔接中止，其他链路将能够不受影响地正常作业，然后增强了网络的安稳性和安全性。

单条GE链路在正常状态下的链路带宽为1G，选用链路聚合技能对两条链路进行聚合后，其上行带宽可由本来的1G变为2G，一同，当其间1条链路中止时，整个链路仍可选用1G速率正常通讯。这样就完结了链路的冗余。

在进行端口聚合的装备时，有很多的参数可供挑选，本事例仅选取根本的参数进行装备。

热备份路由协议 因为当时网络均选用Cisco网络设备，因而能够选用Cisco的热备份路由协议(HSRP)完结路由冗余。HSRP的意图在于当有冗余交流机的时分，使主机看上去只运用一个交流机，而且即便在它当时所运用的交流机呈现毛病的情况下，仍能够坚持路由的连通性。HSRP协议中所涉及到的多个交流机都映射为一个虚拟的交流机。假设中心交流机A和中心交流机B的默许地址分别为192.168.1.2和192.168.1.3，虚拟交流机的地址为192.168.1.1，那么关于其他设备来说，只要一个虚拟的交流机，其地址为192.168.1.1。

HSRP使主交流机替代虚拟交流机进行数据包的发送，终端把数据包发向该虚拟交流机，而实践转发数据包的却是主交流机。假设这个主交流机在某个时分因为某种原因而无法正常作业的话，那么备份的交流机将被用来替代本来的主交流机，承当数据包的转发功用，而不会在对主机的连通性上发生大的毛病。

网络中的主交流机和备份交流机在完结HSRP协议的挑选进程后发送音讯包来完结主、备交流机之间的信息交流。假设主交流机失效，则备份交流机将替代它作为新的主交流机作业。而当备份交流机失效或许变成主交流机时，别的一个交流机将被选为备份交流机。一般根据需要挑选部分装备作为交流机的实践装备并在主、备交流机上一同完结。

根据以上计划，项目小组顺利完结了对公司网络体系的改造。老刘以为，网络体系的安全性和牢靠性是悉数事务运转的安全确保，体系安全也就意味着牢靠性。公司网络体系通过本次改造，根本能够确保事务体系的安全运转。

此外，在网络体系的建造中，还要重视体系保护的方便性和可办理性。过于杂乱的体系对技能人员的本质要求和体系的康复时间等都提出了很高的要求，假设不能满意这些要求，反倒成了不安全要素。因而，在体系安全的建造中一定要掌握好这个度。

【修改引荐】

1. 交流机网络安全策略全方位解析
2. 怎么架起安全的交流机体系