【案例分享】一个糟糕的网络等待规划

我们的网络从最开始的200多台机器，逐渐的随着业务发展不断的，没有长远规划的扩展到现在，最高总数接近2000台，分散在整个生产厂区内。光缆总数40多公里，大体结构是核心设备cisco6513，由主干的光缆连接到汇聚层机房，汇聚层机房采用CISCO 3750或2960.vlan结构。

由汇聚层在向下分散。由光电收发器串联各个车间，班组，及零散的单位。汇聚层下采用的全都为非智能h智能交换机。8口。16口。24口，48口 HUB串接了下面的所有终端，由于

1，网络对外网的访问采用IP验证方式。

2上网行为管理针对IT进行管理。

3，建网之初大部分网络设备不支持DHCP，在加上机器少，所以没有考虑DHCP。

4网络发展缺少规划。信息化部门更多的是被企业发展牵着，今天发展一个厂，建一个车间，几天之内便要求信息化网络调通，一切都以能用为标准。

5，企业内部改革，多次的部门变动。厂区合并，电脑搬来搬去，人员不断的调整，导致基础资料混乱。IP .MAC地址统计困难（大部分的厂区操作人员是不会看自己IP 的。更别提什么是MAC了）

基于这些原因。网络现在一直采用的是静态地址，也导致了经常会有人私接电脑。造成网络冲突。考虑了多家的准入方案。大概得到的结果是如果不对整个网络中所有设备，网络结构进行全面的改造。以目前的结构难以控制到在接入末端的电脑私接问题。

目前所了解到的大部分准入方案包括集中。

1.架设在出口。用来控制用户对互联网的访问的准入系统。

2假设在核心设备段，实现可网关的网络设备下的接入准入。

3.采用ARP实现IPmac绑定。但产生的数据量较大。不宜全网采用。

         而我们的结构。因为从汇聚层下串接了多层。多为非智能的设备，我不只一次的在下面看到过10M的hub。经过hub的MAC地址变成同一个。经过无线路由的设备 ip mac地址统计不详细。而无法采用上述的方式来进行全网的准入改造。

问题是由于网络缺少规划造成的。但根本的原因是很多企业面临的尴尬。资金紧张，缺少技术能力，无奈之下而一步步的走到了这样的进退两难的结构上。