源地址交換機路由網(wǎng)絡(luò)割接

■陜西 汪雙文

引言

隨著技術(shù)發(fā)展，保密形式愈發(fā)嚴峻，因此省公司要求將各地市公司的外網(wǎng)統(tǒng)一至省公司出口。

我公司外網(wǎng)原來接用地市電信公司資源，通過NAT設(shè)備地址轉(zhuǎn)換后，供我公司人員使用，大約有500個終端。根據(jù)省公司要求，現(xiàn)需要將電信通道撤掉，換成省公司通道，網(wǎng)絡(luò)的平滑割接便成了難題。

為達到在割接過程中不中斷用戶網(wǎng)絡(luò)目的，本文通過采用基于源地址的交換機策略路由，將省公司統(tǒng)一出口劃分的網(wǎng)段分流至省公司出口，而原公司自己劃分的網(wǎng)段走電信出口，從而實現(xiàn)了公司外網(wǎng)過度的平滑進行。本文主要針對在網(wǎng)絡(luò)割接過程中碰到的問題及解決方法進行詳細闡述。

網(wǎng)絡(luò)結(jié)構(gòu)及割接需求

組網(wǎng)結(jié)構(gòu)

我公司原外網(wǎng)由一臺防火墻、一臺H3C 7506E核心交換機，下接各縣局以及辦公樓各樓層接入交換機組成。按照省公司要求，接入省公司統(tǒng)一出口。

省公司通道中，有一臺網(wǎng)康設(shè)備，實現(xiàn)對網(wǎng)絡(luò)行為審計功能，上行為一臺SR8808路由器。原核心交換機下劃分地址段為192.168.100.0/24-192.168.106.0/24共7個c段，劃 分 有 20個 vlan，每個vlan為26位掩碼。省公司統(tǒng)一出口給公司分配的網(wǎng)段為192.168.16.0/24-192.168.31.0/24。

電信通道下一跳地址為：192.168.4.2（防火墻接口地址），省公司通道下一跳地址為 ：192.168.255.10（三 級 網(wǎng)路由器VPN接口地址）。

割接要求

由于用戶多，接入交換機較多，而且分布地理位置廣泛，最近的就在核心交換機機柜，最遠的則在70Km外的一個縣公司機房。如果將核心交換機vlan全部重新分配地址，將造成大面積不能上網(wǎng)的情況。根據(jù)初步測算，將所有用戶調(diào)整到省公司大約需要2周時間，也就是說用戶最大中斷網(wǎng)絡(luò)時間為2周。由于辦公的需要，如財務(wù)網(wǎng)銀走賬、營銷電費收繳，都需要外網(wǎng)，因此長時間的斷網(wǎng)造成的災(zāi)難性是難以估計的。

因此領(lǐng)導(dǎo)提出了割接要求為：在割接過程中，不能中斷用戶網(wǎng)絡(luò)。

實施方案

方案提出

根據(jù)割切的要求，本人開始計劃了幾套方案。最開始想法是增加一臺核心交換機，接通省公司通道。然后將接入層交換機逐個更換至新加核心交換機上，實現(xiàn)用戶網(wǎng)絡(luò)部中斷。但是一方面由于機柜空間限制放不下大型交換機，另一方面而購買一臺新7506交換機的話，成本將在十萬元左右，成本太高，而且割接完成后，這臺交換機就浪費。因此該方案放棄。

第二種方案就是增加一臺防火墻設(shè)備，將電信和省公司通道都接入防火墻，防火墻下接核心交換機。防火墻中將原網(wǎng)段分為一個區(qū)域，省公司分配網(wǎng)段為一個區(qū)域，通過分區(qū)實現(xiàn)不同路由選擇。但是本人在測試原防火墻后發(fā)現(xiàn)，該防火墻（H3C 7506E防火墻模塊）不支持此策略路由。如果購買一臺防火墻（如捷普4000）仍需要幾萬的費用。該方案也被放棄。

最后本人只能在交換機上作文章。在交換機上做基于源地址的策略路由，根據(jù)源地址的不同來確定下一跳的方式來實現(xiàn)割接目的。

策略路由簡介

策略路由是一種比利用目標網(wǎng)絡(luò)進行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制，策略路由的優(yōu)先級別高于普通路由。應(yīng)用了策略路由以后，路由器將根據(jù)用戶指定的策略決定如何對需要路由的數(shù)據(jù)包進行處理。一個借口應(yīng)用策略路由，將對該接口受到的所有數(shù)據(jù)包進行檢查，不符合策略路由的數(shù)據(jù)包將按照傳統(tǒng)的路由轉(zhuǎn)發(fā)進行處理。符合策略的數(shù)據(jù)包則會按照用戶策略指定的下一跳地址進行轉(zhuǎn)發(fā)。

策略路由在我國應(yīng)用最大的在電信網(wǎng)通之間互聯(lián)互通。由于電信、網(wǎng)通之間互訪較慢，因此人們接入雙線路，用策略路由實現(xiàn)電信數(shù)據(jù)走電信，網(wǎng)通數(shù)據(jù)走網(wǎng)通。但是這些一般屬于目的地址的路由。

本人公司這種情況，則是相反的，兩類不同的用戶（一類為原IP段，一類省公司分配段），都要去訪問 internet。

策略路由實施過程

由于受到這樣的啟發(fā)，本人開始動手寫基于源地址的策略路由。最初的想法，是寫兩個策略，一個為走省公司通道策略，一個為走電信通道策略，但是兩個策略中，匹配項來回更改較為繁雜復(fù)雜。因此采取一個走默認路由，一個走策略路由方式實現(xiàn)。這樣簡單，便于實施。

添加默認路由

首先配置省公司通道的接口地址，7506端為192.168.255.11，路由器端為192.168.255.10，然后增加全局默認路由改為省公司通道，優(yōu)先級為30高于電信通道路由，使其優(yōu)先于電信路由生效。

建立策略路由

（1）建立ACL

這樣將原IP地址段按照vlan段進行全部匹配。

(2)創(chuàng)建流分類

(3)創(chuàng)建流行為

(4)創(chuàng)建QOS策略

（5）應(yīng)用QOS到全局

至此就實現(xiàn)了：新更改的源地址為192.168.16.0-31.0段的客戶通過省公司通道訪問internet，原192.168.100.0-106.0段的客戶仍可以通過電信訪問internet。

檢驗

（1）先 建 立 測 試vlan，賦予省公司新分配地址192.168.16.0/24，pc機 為 該vlan ip，跟蹤一個intert地址，發(fā)現(xiàn)第一跳為省公司通道出口；用原網(wǎng)段地址訪問下一跳為電信出口。

用兩臺pc上網(wǎng)時，原ip段正常訪問，省公司段地址則通過網(wǎng)康設(shè)備要求認證審計才能訪問internet。這樣，就達到了兩個段地址同時存在，且能同時訪問internet。

缺陷及消除

缺陷

當檢測完成后，以為一切順利時，這時一個對端口抓包發(fā)現(xiàn)了缺陷。在觀察端口時發(fā)現(xiàn)，端口沒有廣播包產(chǎn)生。也就是說交換機自身的廣播尋址無法作用了。這樣的后果就是，接在同一個交換機上的兩臺pc機之間都是ping不通的。作為網(wǎng)管員，本人也不能遠程管理人和一臺接入層交換機。

分析原因，原來是在全局下應(yīng)用了qos策略，使得vlan內(nèi)的廣播數(shù)據(jù)包夜被轉(zhuǎn)移到了下一跳，無法訪問網(wǎng)關(guān)接口了。

消除缺陷

想清楚了問題原因，解決起來就簡單了許多，只要將私有地址訪問私有地址的數(shù)據(jù)包過濾出來，不讓重定向到下一跳即可。于是再建立ACL number 3002

建立基于源地址與目的地址的匹配規(guī)則，并定義流類別和行為

割接實施

首先規(guī)劃好vlan，仍按26位掩碼進行劃分，然后逐個vlan進行過度到省公司通道，當該vlan下用戶全部更改pc機網(wǎng)絡(luò)參數(shù)后，則在acl 3001中刪除該段地址的匹配項。從而實現(xiàn)了在割接前，以及割接后，都不影響其他段用戶正常上網(wǎng)，達到了平滑割接的目的。

經(jīng)驗總結(jié)

創(chuàng)建策略

在消除缺陷的時候，由于類3和行為3后創(chuàng)建，因此在添加進qos時，沒有調(diào)整順序，直接為添加，排在了類2行為2后面。檢測缺陷時，缺陷仍然存在。

檢查了幾次策略，認為沒有錯誤，但就是沒有執(zhí)行。于是想到了順序問題。在交換機執(zhí)行qos策略路由時，是按照先后順序執(zhí)行。而如果類2和行為2在前執(zhí)行的話，已經(jīng)將所有匹配的數(shù)據(jù)包跳到了下一跳，因此在執(zhí)行下面類和行為時，已經(jīng)沒有數(shù)據(jù)包匹配了，所以總是匹配不了數(shù)據(jù)包，也就沒有廣播包發(fā)出到各個端口，缺陷仍然存在。

于是在定義qos的時候，將類3和行為3放在前面執(zhí)行，缺陷得以消除。

策略應(yīng)用

開始時，本人將qos策略應(yīng)用在兩個通道接入端口inbound方向，發(fā)現(xiàn)策略根本不生效，后又改為outbound方向無法生效。于是仔細研究這個inbound與outbound區(qū)別。

得知區(qū)別后，最準確的應(yīng)為各接入端口進入交換機的數(shù)據(jù)上做策略，因此開始在各端口下應(yīng)用策略。但是7506E交換機共有40個接入口，應(yīng)用起來太繁瑣，而且每次修改acl，都要重新取消qos的應(yīng)用，就更加繁瑣了。

全局下進入交換機的數(shù)據(jù)，那么匹配的時候，從接入口發(fā)來的數(shù)據(jù)包則匹配成功，同時從上行口返回的數(shù)據(jù)，由于源地址發(fā)生了改變（為公網(wǎng)IP地址），目的地址才為vlan下劃分的私有地址。想通了這一點，于是將qos應(yīng)用于全局的inbound方向，終于解決問題。