筆者工作的單位網(wǎng)絡(luò)規(guī)劃較大，其中有一個(gè)核心的數(shù)據(jù)中心機(jī)房，四個(gè)同城的分支部門機(jī)房。簡要的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

其中核心層的交換機(jī)放在數(shù)據(jù)中心機(jī)房，匯聚層的設(shè)備除了匯聚-4之外，其它的都分布在分支部門的機(jī)房。

存在的問題

首先在OSPF區(qū)域劃分的時(shí)候存在問題，嚴(yán)格來說核心設(shè)備和匯聚設(shè)備的互聯(lián)接口應(yīng)納入Area 0，另外存在斷層的情況Area1，Area2之后就直接跳到Area6，容易出現(xiàn)混亂。

匯聚-2和匯聚-1互聯(lián)并劃到Area1區(qū)域本身是不合里的，匯聚-2應(yīng)該直接與核心設(shè)備互聯(lián)并劃分單獨(dú)的區(qū)域。

骨干網(wǎng)絡(luò)存在VLAN透?jìng)鞯默F(xiàn)像，二、三層網(wǎng)絡(luò)邊界混亂。舉個(gè)例子網(wǎng)段2的網(wǎng)關(guān)地址是192.168.2.254/24配置在接入-1設(shè)備上面，然后在接入2交換機(jī)上面也要使用這個(gè)網(wǎng)段，為了達(dá)到這個(gè)目的將Vlan2透?jìng)鹘?jīng)過匯聚-1、核心 -A、核心 -B、匯聚-4、接入-2。這部分歷史遺留的問題，我想原因是因?yàn)楫?dāng)時(shí)部門的搬遷沒有理順，IP地址要保留新、舊辦公地點(diǎn)兩邊都使用同一個(gè)IP網(wǎng)段導(dǎo)致，網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

圖1 升級(jí)改造前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

所有用來起OSPF協(xié)議的都是SVI接口，工作模式都采用Trunk模式。接入層的交換機(jī)是性能較差的三層交換機(jī)，但是卻使用了OSPF路由協(xié)議跟匯聚設(shè)備互聯(lián)，這部分的歷史遺留問題使我非常的費(fèi)解，這樣配置是為了簡便操作還是統(tǒng)一管理了？嚴(yán)格上說這是屬于畫蛇添足吧，大大增加了設(shè)備性能的負(fù)擔(dān)，也存在OSPF被竊聯(lián)盜取路由表的隱患，因?yàn)樵瓉淼呐渲脹]有做OSPF認(rèn)證，也沒有配置被動(dòng)接口。

核心部門的接入設(shè)備采用雙線路冗余保障，本來這是一點(diǎn)不錯(cuò)的措施，可是采用OSPF的方式又有點(diǎn)畫蛇添足了。舉例子如圖2所示接入-3交換機(jī)主線路是連接到匯聚-1，備用線路是連接到匯聚-4，通過修改OSPF的COST值來實(shí)現(xiàn)流量往哪一條線路走。但是對(duì)于OSPF來說匯聚-1設(shè)備屬于area1，匯聚4的設(shè)備屬于area6，這也導(dǎo)致接入-3交換機(jī)被配置成為連接多區(qū)域的ABR，本身設(shè)備就是入門級(jí)三層交換機(jī)，要維護(hù)不同的區(qū)域的鏈路狀態(tài)數(shù)據(jù)庫，對(duì)設(shè)備的性能造成較大的影響。

實(shí)施的升級(jí)改造

分析上述存在的問題，我制訂了升級(jí)改造的方案，從新規(guī)劃OSPF在網(wǎng)絡(luò)中的部署，畫出網(wǎng)絡(luò)拓?fù)鋱D，如圖3所示：

圖2 升級(jí)改造中期網(wǎng)絡(luò)架構(gòu)圖

圖2 升級(jí)改造后網(wǎng)絡(luò)架構(gòu)圖

（1）對(duì)OSPF骨干區(qū)域重新進(jìn)行部署，核心設(shè)備和匯聚設(shè)備互聯(lián)的部分全部納入到骨干區(qū)域Area 0。聯(lián)合線路運(yùn)營商對(duì)物理光纖進(jìn)行切割，使得匯聚-3從Area 1區(qū)域里面剝離出來，直接跟核心-A相聯(lián)形成獨(dú)立的區(qū)域Area 3。

（2）使二、三層網(wǎng)絡(luò)邊界清浙化，將匯聚設(shè)備和核心設(shè)備互聯(lián)的端口改成路由口的工作模式。舉個(gè)例子匯聚-1的G2/0/1和核心-A的G3/0/1互聯(lián)，進(jìn)入接口配置模式配置：

Int GigabitEthernet2/0/1

port link-mode route

這樣就把VLAN透?jìng)鞯膯栴}解決了，接下來就是通過行政力量要求一些部門更改IP地址。這部分需要說明一下因?yàn)椴糠諭P地址是捆綁業(yè)務(wù)系統(tǒng)使用，也就是不能更改。筆者通過劃分子網(wǎng)掩碼的方法將一個(gè)大網(wǎng)段劃分為幾個(gè)細(xì)的網(wǎng)段，勉強(qiáng)地解決了這些問題。

（3）給OSPF路由協(xié)議添加認(rèn)證。這是OSPF協(xié)議安全方面最基本也是最有效的措施。以匯聚-1和核心-A之間的OSPF協(xié)議為例配置如下所示：

需要注意的是在OSPF區(qū)域和物理接口都需要配置MD5加密，兩端的密鑰需要配置一致，密碼是區(qū)分大小寫的。

（4）將不需要參與OSPF協(xié)議的端口設(shè)置成為被動(dòng)接口，運(yùn)行了OSPF協(xié)議的接口都會(huì)發(fā)hello包嘗試認(rèn)識(shí)新鄰居，一般只是交換機(jī)互聯(lián)的端口需要接收和轉(zhuǎn)發(fā)hello包。將物理端口和SVI端口配置成被動(dòng)接口，這樣OSPF包文就不會(huì)從這些端口上轉(zhuǎn)發(fā)出去。簡要命令如下：

正常情況下交換機(jī)暫時(shí)沒被使用的端口應(yīng)該手動(dòng)添加一個(gè)shutdown命令，用以杜絕物理端口被亂用。

（5）取消接入層的OSPF協(xié)議，改用二層網(wǎng)絡(luò)技術(shù)互聯(lián)。一般一個(gè)接入點(diǎn)的網(wǎng)段有限，完全沒有必要使用OSPF協(xié)議去交換路由表，改用VRRP網(wǎng)關(guān)冗余技術(shù)能有效地減低設(shè)備的負(fù)擔(dān)，另外一種方式是使用鏈路捆綁的技術(shù)，使兩條線路能疊加使用互為負(fù)載冗余。因?yàn)閱挝蛔庥玫膫溆镁€路帶寬跟主線路不一致，所以做不了熱備份故采用了網(wǎng)關(guān)冗余的技術(shù)去改造。

總結(jié)

本項(xiàng)目的改造重點(diǎn)在于對(duì)網(wǎng)絡(luò)的梳理，OSPF的區(qū)域重新劃配，明淅二、三層網(wǎng)絡(luò)邊界。改造后網(wǎng)絡(luò)穩(wěn)定性大大提高，但仍然存在不足的地方，接下來的工作是對(duì)OSPF路由的匯總進(jìn)行梳理。OSPF是一種優(yōu)秀的路由協(xié)議，但是千萬不可濫用，合理規(guī)范使用才能發(fā)揮其優(yōu)越的性能。還是那句老話，網(wǎng)絡(luò)強(qiáng)調(diào)的是穩(wěn)定高效。解決類似的歷史遺留問題通常需要結(jié)合行政管理力量，協(xié)調(diào)應(yīng)用業(yè)務(wù)部門和網(wǎng)絡(luò)支撐部門，雙方達(dá)到統(tǒng)一才能進(jìn)行實(shí)施。因此在做方案設(shè)計(jì)的時(shí)候盡量考慮嚴(yán)謹(jǐn)，做出多套備用方案多種選擇。將影響范圍限制到最小。