十個網絡優化改造案例之五 NAS區域網絡第二次改造
主要內容及技術
使用三層接口規避廣播風險
OSPF路由過濾技術
前言
一個大型企業網絡的架構一般分為:接入層、匯聚層、核心層。從接入層到匯聚層可以采用VLAN、Trunk透傳的方式,但是如果這個Trunk透到了核心層,就會使得二層網絡規模變得巨大,甚至導致生成樹協議也無法正常收斂。上一講講過的NAS區域網絡改造,就出現了生成樹協議無法收斂的情形。對於NAS區域網絡,在經過一個月的研究以後,決定將業務區域交換機與Cisco4503E之間的鏈路全部改成三層鏈路,跑OSPF路由協議,並且使用路由過濾的方式,不讓業務區域之間相互收到路由條目。這樣做,不僅大大減小了STP收斂範圍,也使得網絡變得更加健壯。
一、需求描述
1.1、 第二次改造的方式
省公司兩臺NAS核心交換機原型號為ZTE8905,更換為Cisco4503E以後,雖然與Cisco、H3C的STP兼容性問題得到解決,但是整個網絡中交換機數量多,業務VLAN多,且綜合管理區域網絡結構復雜。如果只是在Cisco4503E上采用二層透傳VLAN的方式讓各個區域的服務器與NAS機頭通信,廣播不好控制,而且經常出現網絡因為STP計算出現短暫中斷的情況。
由於網絡規模較大,結構復雜,單純的使用二層透傳不容易控制廣播,而且經常發生網絡閃斷的現象,所以,本次方案將對網絡進行進一步改造,將二層透傳模式改成三層路由傳遞模式。
1.2、
在本次網絡改造中,將各個業務區域交換機與Cisco 4503E之間的鏈路由現行的二層改為三層。這樣,就可以將STP的計算規模限制在每個業務區域,而不必全網泛洪。從而,提升每個區域的STP計算效率,避免網絡短暫中斷。
將業務區域交換機與Cisco4503E之間的接口改為路由模式,也是為了更好的隔離各個業務區域,當一個業務的網絡因為廣播風暴出現故障的時候不會影響到另外一個區域。另外,為了更好的控制路由傳遞,流量能夠自動在主備設備之間進行切換,本次改造將采用OSPF路由協議,並且結合分發列表、route-map,使得各個業務區域只能接收到到達NAS機頭的路由。這樣達到的目的就是:各個業務區域可以和
1.3、 拓撲總圖(不變)
二、IP地址規劃
Cisco4503E-A設備互聯接口與IP地址規劃見下表
本端接口 | 本端IP地址 | 對端接口 | 對端IP地址 | 業務區域 |
Ge-3/5 | 10.115.128.177/30 | LC-0/1 | 10.115.128.178/30 | 財務系統區 |
Ge-3/7 | 10.115.128.181/30 | LC-0/4 | 10.115.128.182/30 | DMZ區 |
Ge-3/2 | 10.115.128.185/30 | LC-5 | 10.115.128.186/30 | 協同辦公區 |
Ge-3/4 | 10.115.128.189/30 | LC-5 | 10.115.128.190/30 | 綜合業務區 |
Ge-2/2 | 10.115.128.193/30 | Ge4-44 | 10.115.128.194/30 | 資產管理區 |
Ge-2/1 | 10.115.128.197/30 | Ge-4/44 | 10.115.128.198/30 | 辦公局域網 |
Cisco4503E-B設備互聯接口與IP地址規劃見下表
本端接口 | 本端IP地址 | 對端接口 | 對端IP地址 | 業務區域 |
Ge-3/5 | 10.115.128.201/30 | LC-0/1 | 10.115.128.202/30 | 財務系統區 |
Ge-3/7 | 10.115.128.205/30 | LC-0/4 | 10.115.128.206/30 | DMZ區 |
Ge-3/2 | 10.115.128.209/30 | LC-5 | 10.115.128.210/30 | 協同辦公區 |
Ge-3/4 | 10.115.128.213/30 | LC-5 | 10.115.128.214/30 | 綜合業務區 |
Ge-2/2 | 10.115.128.217/30 | Ge4-44 | 10.115.128.218/30 | 資產管理區 |
Ge-2/1 | 10.115.128.221/30 | Ge-4/44 | 10.115.128.222/30 | 辦公局域網 |
三、實施步驟
3.1、配置互聯IP地址
由於雙方設備都是交換機,所以需要首先將雙方設備的互聯接口改為路由接口
在Cisco 4503E-A上做如下配置:
interface gi 3/7
no switchport
ip add 10.115.128.181 255.255.255.252
no sh
在Cisco4503E-B上做如下配置:
interface gi 3/7
no switchport
ip add 10.115.128.205 255.255.255.252
no sh
3.2、在DMZ區域核心交換機S7506E上配置VRRP
在S7506E-01上配置業務網段和VRRP
int vlan 135
ip add 10.115.135.252 255.255.255.248
vrrp vrid 135 virtual-ip 10.115.135.254
vrrp vrid 135 prio 120
在S7605E-02上配置業務網段和VRRP
int vlan 135
ip add 10.115.135.253 255.255.255.248
vrrp vrid 135 virtual-ip 10.115.135.254
vrrp vrid 135 prio 80
3.3、配置OSPF路由協議和路由過濾
在所有設備上配置OSPF路由協議,保證每個業務區域可以和NAS機頭互通,但是各個業務區域之間不能相互訪問。此時,可以使用分發列表,不能互相訪問的區域就不通告相關的路由條目。
註:因為OSPF工作的原理的特殊性,OSPF不能針對out方向執行路由過濾,因為OSPF向外發送的是LSA。所以對於OSPF的路由過濾只能配置在in方向上,但是這樣做會導致配置工作量偏大,因為必須在每一臺業務區域的核心交換機上都寫一遍過濾命令。
以DMZ區域為例,DMZ區域只允許學習到S7503E和Cisco4503E之間的互聯地址,NAS網段的地址,針對H3C S7503E交換機,可以配置如下命令進行路由過濾:
NAS機頭網段:10.115.163.248/29
鏈路網段:10.115.128.180/30和10.115.128.204/30
H3C 7503E配置命令:
ipip-prefix NAS index 10 permit 10.115.163.248 29 less-equal 32
ipip-prefix NAS index 11 permit 10.115.128.180 30 less-equal 32
ipip-prefix NAS index 12 permit 10.115.128.204 30 less-equal 32
然後在OSPF進程中輸入如下命令:
filter-policyip-prefix NAS import
如果業務區域的交換機是Force10-C300設備,可以使用ACL結合分發列表的方式來達到路由過濾的的目的
access-list1 permit 10.115.163.248 0.0.0.7
access-list1 permit 10.115.128.180 0.0.0.3
access-list1 permit 10.115.128.204 0.0.0.3
access-list1 deny any
然後在OSPF進程下輸入如下命令:
distrib1 in
3.4、其他功能配置
在現階段的網絡環境中,所有業務區域的STP Root都配置在了Cisco 4503E-A上,將Cisco4503E和各個業務區域的交換機之間的鏈路改為三層鏈路以後,需要在各個業務區域重新規劃STP的Root。
本文出自 “捷哥的IT小屋” 博客,謝絕轉載!
十個網絡優化改造案例之五 NAS區域網絡第二次改造