網(wǎng)絡(luò)部署實戰(zhàn)：合理配置企業(yè)幀中繼網(wǎng)絡(luò)

在上篇文章中，考試大談到了幀中繼網(wǎng)絡(luò)的幾個管理要點。今天考試大將繼續(xù)這個話題，以考試大企業(yè)的一個實際案例，談?wù)剮欣^網(wǎng)絡(luò)的基本配置。
    如下圖，企業(yè)總公司在澳大利亞，而在內(nèi)地則有眾多的生產(chǎn)廠家。現(xiàn)在企業(yè)上層提出一個需求，要讓澳大利亞的總公司可以訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。同時，在速度、安全性上也有特殊的要求。因為在內(nèi)陸生產(chǎn)企業(yè)實施了ERP系統(tǒng)。澳大利亞總公司希望企業(yè)能夠暢通無阻的訪問內(nèi)陸生產(chǎn)廠商的系統(tǒng)，以便及時了解內(nèi)部企業(yè)的生產(chǎn)情況。另外，總公司也需要通過ERP系統(tǒng)直接給內(nèi)陸的生產(chǎn)廠商下訂單。為了達到這兩個目的，內(nèi)部生產(chǎn)廠與澳大利亞總公司之間的網(wǎng)絡(luò)連接必須快速、穩(wěn)定，并且要安全。為此，考試大就想到了通過幀中繼來連接兩地的網(wǎng)絡(luò)。企業(yè)在信息化方面的投資還算比較大方，這個項目資金很輕松的就批了下來。
    
    到現(xiàn)在為止這個網(wǎng)絡(luò)模式已經(jīng)快運行了兩年了，比較穩(wěn)定?？荚嚧蠼裉炀徒柽@個機會，來談?wù)剮欣^網(wǎng)絡(luò)配置的經(jīng)驗。希望這些經(jīng)驗?zāi)軌驇椭枰私鈳欣^網(wǎng)絡(luò)的朋友們，為他們點撥點撥。
    一、幀中繼網(wǎng)絡(luò)的基本配置步驟
    其實幀中繼網(wǎng)絡(luò)配置遠遠沒有我們所想的那么困難，只要通過一些簡單的步驟，就可以完成相關(guān)的配置。
    第一步：購買幀中繼服務(wù)
    企業(yè)要組建幀中繼網(wǎng)絡(luò)，就必須要有幀中繼服務(wù)。企業(yè)要想取得幀中繼服務(wù)，有兩種方式。一是自己建立一個專用的幀中繼網(wǎng)絡(luò)。但是，在實際工作中，企業(yè)之所以組建幀中繼網(wǎng)絡(luò)往往是為了連接遠在兩地的公司網(wǎng)絡(luò)，所以，自己組建幀中繼網(wǎng)絡(luò)的話，成本實在太高?？峙鲁艘恍┴敶髿獯值碾娦胚\營公司外，很難有這么大手筆的企業(yè)。所以，這種方式對于大部分企業(yè)來說，是行不通的。
    另外一種就是租用一些網(wǎng)絡(luò)運營商的線路，利用他們的線路來建立自己的幀中繼網(wǎng)絡(luò)。在租用線路的時候，企業(yè)可以考慮自己的需要進行選擇。若企業(yè)資金有限而且對于性能方面沒有特別苛刻的要求，則可以考慮跟他人共同租用一條線路，以降低幀中繼網(wǎng)絡(luò)部署的成本。若企業(yè)資金實力比較雄厚，不想跟別人分一杯羹的話，則可以租用一條專用線路，來組建自己的幀中繼網(wǎng)絡(luò)。
    通常情況下，考試大認為只要跟別人共同租用一條線路即可，這已經(jīng)可以滿足企業(yè)絕大部分的需要，如性能、安全方面的需求。
    第二步：連接硬件設(shè)備
    其實，企業(yè)若是租用他人線路的話，其實企業(yè)自己并不用購買多少的硬件設(shè)備。向幀中繼交換機這種代價昂貴的設(shè)備，往往出租方都會提供。當(dāng)我們租用他們的服務(wù)時，他們會提供給我一個幀中繼交換機的IP地址與端口好。我們只需要根據(jù)他們提供的參數(shù)，把企業(yè)網(wǎng)絡(luò)的路由器連接到他們的幀中繼交換機即可。
    對于思科的路由器與幀中繼交換機來說，有兩種連接方式。一是直接連接，二是通過信道服務(wù)單元/數(shù)字服務(wù)單元進行連接。具體采用哪種連接方式，企業(yè)網(wǎng)絡(luò)管理員可以根據(jù)自己打需要進行選擇。不過有時候，服務(wù)商也會提供一些連接上的限制，會剝奪網(wǎng)絡(luò)管理員的選擇權(quán)利。
    第三步：企業(yè)路由器與幀中繼交換機進行對話
    當(dāng)硬件連接好之后，路由器與幀中繼就會自主的進行對話。如當(dāng)用戶站設(shè)備的路由器有效時，路由器就會發(fā)送一個狀態(tài)查詢信息到幀中繼交換機。它主要由兩個目的，一是向幀中繼交換機告知自己這邊路由器的相關(guān)狀態(tài);二是向幀中繼交換機詢問其他遠端路由器的連接狀態(tài)。也就是說，這是一個投石問路，讓路由器能夠了解相關(guān)的路由信息，為后續(xù)的網(wǎng)絡(luò)通信奠定基礎(chǔ)。
    當(dāng)幀中繼交換機接收到企業(yè)路由器設(shè)備的請求時，它就會通過一個帶有遠端路由器數(shù)據(jù)鏈路連接標(biāo)識符的狀態(tài)信息來響應(yīng)請求，告訴企業(yè)那邊的路由器能否發(fā)送數(shù)據(jù)。通常情況下，對于每一個激活狀態(tài)的數(shù)據(jù)鏈路標(biāo)識符，每個路由器都會發(fā)送一個逆向的ARP請求數(shù)據(jù)包，用來向其他網(wǎng)絡(luò)設(shè)備介紹自己的當(dāng)前狀態(tài)。同時，也會請求每個遠端的路由器發(fā)送各自的網(wǎng)絡(luò)層地址來的標(biāo)識自己。
    第四步：本地路由器建立映射表
    當(dāng)本地路由器受到一個逆向的ARP消息的時候，路由器就會在幀中繼映射表中創(chuàng)建一個映射條目，映射表包含有本地數(shù)據(jù)鏈路標(biāo)識符和遠端路由器的網(wǎng)絡(luò)地址，以及相關(guān)的連接狀態(tài)信息。
    這個映射表對于網(wǎng)絡(luò)管理員來說非常的重要，因為通過這張表，我們就可以初步判斷幀中繼網(wǎng)絡(luò)的運行狀況，是否跟遠在他方的網(wǎng)絡(luò)有了連接。通常情況下，這個映射表中會出現(xiàn)如下三種狀態(tài)，它分別表示了路由器與幀交換機的一些連接情況。
    若映射表的連接狀態(tài)為活動狀態(tài)，則我們就可以放下心了，因為它表示連接是有效的，路由器可以從幀中繼交換機那邊交換數(shù)據(jù)。
    若映射表的狀態(tài)是不活動狀態(tài)，則說明本地到幀中繼交換機的連接是有效的。但是，遠端路由器到幀中繼的交換機是無效的，無法正常工作。這也就是說，企業(yè)兩端的網(wǎng)絡(luò)有一端沒有正常連接到幀中繼交換機中，或者說因為配置不對而無法跟幀交換機進行正常通信。
    若映射表的狀態(tài)為刪除狀態(tài)，這就會讓我們很頭疼。這表示沒有本地管理接口可以接收到幀中繼交換機的信息，或者說，在用戶站設(shè)備路由器和幀交換機之間沒有服務(wù)的發(fā)生。換句話說，就是自己路由器跟幀中繼的網(wǎng)絡(luò)出現(xiàn)了問題。
    第五步：自主檢測連接狀態(tài)
    幀中繼網(wǎng)絡(luò)其穩(wěn)定性要比普通的網(wǎng)絡(luò)高的多，其中很大一部分原因就是需要歸功于其出色的自動檢測功能。如在默認情況下，每隔一分鐘，路由器之間就會互發(fā)逆向ARP信息，向其他路由器宣布自己是有效的，同時也詢問其他路由器的有效情況。若發(fā)現(xiàn)實效的話，則就會馬上啟用后被的數(shù)據(jù)鏈路。
    同時，通常情況下，每隔10秒，用戶站設(shè)備路由器繼就會給幀中繼交換機發(fā)送一個維持信息，他的作用主要是用來驗證幀中繼交換機的有效狀態(tài)。若無效的話，用戶站設(shè)備也好找有打算。這個間隔，企業(yè)網(wǎng)絡(luò)管理員可以根據(jù)自己的網(wǎng)絡(luò)情況進行設(shè)置。
    通過以上幾個步驟，幀中繼網(wǎng)絡(luò)就基本配置完成了。若沒有特殊需要的話就可以拿來使用了。
    二、其他輔助配置與為維護
    1、 路由器的安全配置。
    連接在幀中繼網(wǎng)絡(luò)中的路由器雖然不怎么容易受到攻擊，但是出于安全的考慮，企業(yè)仍然需要考慮采取一些措施，來提高路由器的安全性。如在一些必要的情況下，網(wǎng)絡(luò)管理員會采用PPP身份認證，來保證只有合法的用戶才能夠訪問路由器。此時，需要注意，路由器的名字必須跟中心站點路由器的命名相一致。同時，為管理路由器的用戶設(shè)置一個用戶名與密碼，防止未經(jīng)授權(quán)的用戶訪問該路由器。
    2、 檢驗線路的連接狀態(tài)。
    如果設(shè)置好相關(guān)連接后，幀中繼網(wǎng)絡(luò)還是不能夠連接的話，則需要對線路進行檢驗，看看其是否處于連通狀態(tài)。一般情況下，在思科網(wǎng)絡(luò)環(huán)境中，可以在特權(quán)模式下運行Show Interface Serial 0命令來判斷其連通狀態(tài)。若線路是連通的，則往往會有如下三條提示信息(不同的路由器版本可能會稍有差異)。
    一是：Serial10 is up，line protocol is up，這條語句就表示幀中繼連接處于連通狀態(tài)。
    二是：LMI ENQ SENT 163,LMI stat recvd 136,若有這條語句，則表示與幀中繼的網(wǎng)絡(luò)連接正在發(fā)送與接收數(shù)據(jù)，兩者連接正常。
    三是：LMI type is CISCO。這條語句的含義表示路由器的LMI類型配置正確。
    若網(wǎng)絡(luò)管理員不能夠看到這三條信息，就需要檢查相關(guān)的配置，看看是否有問題，如需要查看是否啟用了維持機制。在有必要的情況下，需要向幀中繼服務(wù)提供商確認，看他們是否給你租用的線路配置了LMI。
    最后，在平時工作中，可能還需要利用Ping命令來檢查本地網(wǎng)絡(luò)到中心站點路由器的連接是否正常。通常情況下，只要成功率達到10%以上，就可以說明連接是正常的，不需要達到100%那么嚴格。
    其實，幀中繼網(wǎng)絡(luò)并沒有我們想象的那么復(fù)雜。故企業(yè)若有這個需要，同時在資金上又有所保證的話，則考試大認為，幀中繼網(wǎng)絡(luò)還是連接企業(yè)兩地網(wǎng)絡(luò)的一個首選。特別是需要兩地共用應(yīng)用軟件時，性能與穩(wěn)定性是其首要考慮的因素。此時，幀中繼網(wǎng)絡(luò)解決方案要比其他方案可行的多。