一個設計得很差的網絡，讓捷哥陰溝翻船

一個設計得很差的網絡，讓捷哥陰溝翻船

 前言：
         離開遵義的前一天，捷哥終於是跳着腳發了一回脾氣。哎，這幫人真的以爲網絡就是插上網線就能通的，認爲搞網絡沒有技術含金量。我問問大夥：當一個通過了CCNA，CCIE筆試，並且有4年從業經驗的人，到一家公司去應聘，拿的薪水和應屆畢業生相當，還沒有HR的工資高的時候，你還幹不幹啊？ 如果你去到一家公司，空有一身本事沒有用武之地，憋屈不說還經常被人無端指責，你還幹不幹？有人說：幹啥啊？神經病吧？ 沒錯，捷哥沒有病，所以跳槽走了。


咱先來說說到底是怎麼一回事？
      話說是遵義新蒲客運站網絡調試，從10月28日，正好是NBA湖人隊揭幕戰那天開始的，到捷哥走的那天12月9日，這個網絡還有一個故障懸而未決。這事，落到捷哥頭上，他算是丟臉都丟到太平洋去了。不過這個事情完全不能怪捷哥，因爲這個網絡不是他設計的，也不是他去進行設備上架和接線操作的。捷哥只是被項目經理認爲是：”這傢伙會配置VLAN，會調試設備，拉他去看看“。所以，捷哥做了替死鬼。反正我是覺得這個網絡設計得糟糕透了。我們先看看網絡拓撲圖：

 
從圖上來看，整個網絡也只有7個交換機，一個核心設備，華爲S7703，一個匯聚層設備，華爲S5700，三個接入層交換機華爲S2700，就這麼個網絡，捷哥平時上課的時候教學生做實驗，交換機數量比這個多多了，也沒見出啥問題。不過請仔細看這個網絡結構，就算是個剛從北大青鳥或者YESLAB出來的學員，也一眼能看出問題：
問題1：網絡交換機爲什麼不做冗餘？

兩臺負責數據網絡通信的接入層交換機，直接接入了核心層交換機，按道理來說，設計這種簡單網絡的時候可以不用遵循”核心層“、匯聚層、接入層這樣的層次結構，但是這裏一個很致命的問題：數據網絡交換機，兩臺S2700爲什麼不互聯呢？ 如果其中任意一條鏈路斷線了，那這修復工程量該有多大？哦，忘了說了，核心交換機放在二樓，一臺網絡交換機放在一樓，一臺網絡交換機放在二樓電井裏。切……把這種可網管式交換機放在如此高的位置，要爬×××才能夠得着的位置也真是醉了。

問題2：這個接線太不符合規範了

 匯聚層交換機，S5700，大家看到了沒？它沒有直接和S7703連到一起，反而轉向去連了數據網絡S2700。額…… 捷哥表示自己做了4年網絡，也和大牛一起商討過，沒見過這麼接線的。不過捷哥頭上那位項目經理表示：”如果視頻監控的流量過大，直接拔了S5700和S2700之間的線就可以了，這叫做物理隔離！“ 噗………………！！！ 捷哥表示自己喝了一口水差點沒噴出來。發現廣播量大的時候用斷開物理鏈路去解決問題，這就跟一個人眼睛疼，你挖了他的眼睛沒啥區別了。這幫人總是說捷哥會劃VLAN，但你他媽要知道VLAN是啥啊？ 

於是，處理結果就是：捷哥想動手畫VLAN，可惜當時不知道網絡拓撲圖，他那幾個同事也沒給他說網絡拓撲。只能稀裏糊塗的給數據網絡配置了一個172.16.0.0/16，用USG6350直接充當了DHCP服務器。卻不知道，所有的監控攝像頭和無線AP都被一個”徐總“手下的給配置了192.168.1.0/24的IP，這下可好，沒劃分VLAN，一個廣播域裏存在了兩個網段。當然，在11月7日以前捷哥不知情。

後來，問題接踵而至。
進站口的工作人員表示上不了網，於是捷哥再次辛苦一下他的大寶，從遵義匯川區開10多公里的車，期間還越過了東環線、長沙路這樣的堵車點，趕到新蒲客運站。發現的問題是什麼呢？ 當捷哥把筆記本電腦接在網線上的時候，發現電腦是可以從DHCP服務器獲取到172.16.0.0/16，但就是上不了網。當捷哥聽說進站口的網絡信號是靠着無線AP橋接過來的時候，如下圖：
 
捷哥以爲是無線AP信號不好，建議使用架空線纜的方式。但是3天以後，一個電話讓捷哥暴跳如雷。

電話裏是那個“徐總”打來的，他說，無線IP都是192.168.1.0/24網段的，你幹嘛要給數據網絡配置172.16.0.0/16啊？捷哥當時正在吃飯呢，聽到那個電話捷哥就蒙了！怎麼？一個廣播域裏還有兩個網段？而且是被俗稱爲“垃圾IP”的“192.168.1.0/24”。結果電話那頭捷哥被噎了：“你懂不懂網絡啊？搞不清楚情況就亂配IP？” 這下子，讓捷哥發了脾氣。 
後來解決問題，就是捷哥和徐總把所有的視頻監控、所有無線AP都改成了172.16.0.0/16網段，算是暫時解決問題了。 
不過回到公司，捷哥又遭到搞弱電的項目經理噎了一嘴：“你把所有監控都改成172.16.255.0了，然後你又在防火牆上拒絕了172.16.255.0/24，那你就不怕那些能正常上網的電腦獲取到172.16.255.0?” 噗！…… 捷哥又差點沒鬱悶死。 172.16.0.0網段，6萬多個IP地址，新蒲客運站纔多少個終端，分配到底恐怕也不會得到172.16.255.0這裏去吧，而且DHCP可以設置排除地址，這點，捷哥早就考慮到了，把172.16.255.0--172.16.255.254這段IP地址排除出DHCP地址池就能搞定。

最後不到一個星期，新的問題又來了，只要是客運段的大屏一開，網絡就卡得不行。這很顯然是大量的廣播流量影響了數據的傳輸。看來，VLAN的劃分已經是在所難免了。不過，真的要去劃分VLAN的時候，還有3個問題擺在面前：
（1）劃分VLAN需要知道網絡邏輯結構，也就是需要畫拓撲圖，捷哥可以在所有交換機上使用lldp enable開啓發現命令，然後使用display lldp neib brief來查看交換機的鄰居，這樣能畫出拓撲圖
（2）  VLAN劃分好了，但是交換機哪些接口是接數據網絡的？哪些接口是接監控設備的。這個倒是可以通過交換機上貼的標籤去查看。看來這羣弱電工程師還是知道要給線纜打標籤
（3）這個問題非常致命：
在新蒲這邊的核心交換機S7703上，有一條GPON專線，直接接到了涼水井總站，其目的是新蒲的售票服務器要和涼水井總站互通。如果要在新蒲這邊的交換機劃分VLAN，那麼，那條GPON專線就需要改成trunk鏈路。但是讓捷哥沒氣死的是：涼水井總站那邊負責網絡的小夥，也他媽是一個不懂裝懂的二貨，他告訴捷哥說：“我們這邊有兩個服務器，一個是192.168.0.0網段的，一個是192.168.1.0網段的，你要劃了VLAN我們整個網絡都要崩潰。” 捷哥心想：媽的，又是碰到一個廣播域內跑兩個網段的齷齪設計。 
 
如果按照項目經理說的：你就把監控和大屏的鏈路找到，用VLAN強行分離，反正監控和大屏又不需要上網。但是這樣做，又出現了一個致命問題：

看見一條鏈路了吧，就是接着無線WIFI的鏈路。從二層交換機S2700接入WIFI，通過WIFI橋接的方式連接進站口的辦公室。偏偏又在進站口辦公室用了一個非網管式的8口小交換機。這就意味着，從機房到進站口辦公室只有一條鏈路，所有需要上網的信息點和監控攝像頭都被弄到了一條鏈路上。這意味着：如果你強行劃分VLAN去隔離，要麼監控攝像頭不能用，要麼進站口辦公室電腦無法上網。如果不強行劃分VLAN， 那這個大屏和監控運行導致的網絡延遲增大這又無法解決。怎麼辦？

PS：這條鏈路已經被項目經理看出了問題，在施工的時候出了點施工事故，挖斷了一條光纖的纖芯…… 但是勞務方那個SB徐總堅持說自己的施工沒問題。但沒問題這個網絡能出那麼多的故障？

那隻能是按照正常程序劃分VLAN了，使用VLAN間路由就可以完全解決這個問題。
VLAN 10劃給數據網絡，配置IP地址段：172.16.10.0/24
VLAN 20劃給監控攝像頭和監控服務器，配置IP地址段：172.16.20.0/24，在防火牆上不給這個網段做NAT，它就完全上不了網了
把那條帶着WIFI橋接的鏈路劃給VLAN10，給那邊的監控攝像頭配置172.16.10.225--172.16.10.254這段IP，最後在三層交換機上用ACL把這個地址段DENY掉，再在DHCP服務器上將這段地址排除掉就OK。

但是問題呢：
1、涼水井那條GPON專線怎麼處理？
弄一個一兩百塊錢的小路由器，把那條GPON專線接在路由器上就可以解決。
但是捷哥又要吐槽一句：新蒲客運站和涼水井客運站，Internet出口都是使用靜態IP的， 這是一個典型的L2L ×××的理想結構，你他媽的非要用什麼GPON，錢多沒地方使是吧？

2、而且那羣不懂裝懂的人，在網絡結構尚未規劃好的時候，已經給80多個監控攝像頭（也就是終端）都配置好了靜態的IP地址，而且還是192.168.1.0/24這段垃圾IP地址。 這個只是增大一下工作量就搞定。

後來，捷哥毛了，拍屁股走人。這個網絡捷哥懶得去解決了，爲啥呢，丟人啊！！當捷哥最後忍無可忍去找老總反饋的時候，老總首先想到的去找ISP，你他媽這和ISP有毛線關係？ 這羣人就以爲網絡就是拿交換機一插能通就行，不懂裝懂的人太多。
最後，捷哥不得不總結一下這個網絡的問題
（1）設計不符合常規
        俗話說：網絡分層，TCP/IP五層，弱電工程師負責物理層，這本來就是最底層的。網絡工程師負責上四層。底層是給上層提供服務的。所以按照網絡設計流程，是網絡工程師根據實際需求畫網絡邏輯結構圖，也就是拓撲圖，再根據具體選型的設備來決定哪些接口是設備互聯接口，哪些設備時接終端的。弱電工程師只管去根據拓撲圖布點和佈線即可。 問題是：這個新蒲客運站的網絡是已經接好線了，然後才讓捷哥去劃分VLAN，連拓撲圖都沒有，你說怎麼劃？ 

（2）嚴謹性的問題
        網絡工程師考慮網絡的角度，首先是這個網絡能否正常穩定的運行，能承受多大併發流量？ 所以在設計的時候一開始就要考慮各種不利因素，防患於未然。 而這個網絡呢，當捷哥去問那羣弱電工程師問題：“這個客運站一天能接多少乘客？有多少乘客要用WIFI？”被那羣人用：“沒多少”就給糊弄了。而且那羣弱電工程師總認爲捷哥嫌他們設計的網絡很糟糕，還指手畫腳的。 但問題是，這個網絡不止糟糕，簡直糟糕透了。

最後，捷哥補充兩句
1、一般來說，設計網絡的時候都是先考慮轉發設備，最後考慮終端。也就是說先把交換機VLAN配置好了，VLAN間路由測試通了纔去配置終端的IP地址。
2、192.168.0.0/24和192.168.1.0/24這段IP地址叫做“垃圾IP”，在局域網IP地址規劃的時候不能用。爲什麼呢？因爲現在很多廠商的無線路由器LAN端默認IP不是192.168.0.0/24就是192.168.1.0/24，如果你在局域網的網段使用“垃圾IP”，就會和無線路由器的LAN端發生IP地址段衝突。你說“改了路由器LAN端地址不就可以了嗎？” 拜託：不是所有人都會改那個玩意的，網絡工程師在設計網絡的時候，還是要考慮到方便菜鳥使用。