網(wǎng)絡(luò)現(xiàn)狀

校園網(wǎng)出口設(shè)備深信服AD-2000上聯(lián)三條光纖鏈路到運(yùn)營(yíng)商，下聯(lián)兩臺(tái)思科ASA 5550防火墻，防火墻下聯(lián)兩臺(tái)思科6509-E核心交換機(jī)，新校區(qū)各棟樓的思科3560-E匯聚交換機(jī)分別上聯(lián)兩臺(tái)核心交換機(jī)，老校區(qū)一臺(tái)思科6509交換機(jī)作為匯聚交換機(jī)分別上聯(lián)兩臺(tái)核心交換機(jī)，新老兩個(gè)校區(qū)各棟樓的樓層接入交換機(jī)分別上聯(lián)到各棟樓的匯聚交換機(jī)，接入交換機(jī)主要采用思科、華為、華三等主流廠商的設(shè)備。原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 原網(wǎng)絡(luò)拓?fù)鋱D

存在的問題

兩臺(tái)核心交換機(jī)配置的是HSRP+PVST，一臺(tái)為主，另一臺(tái)為備。兩臺(tái)防火墻配置的是Failover，也是一臺(tái)為主，另一臺(tái)為備?，F(xiàn)在的問題是主設(shè)備出問題時(shí)，切到備用設(shè)備延時(shí)嚴(yán)重，通過分析論證得知是因?yàn)閺闹骱诵慕粨Q機(jī)切換到備用核心交換機(jī)需要等待HSRP收斂時(shí)間加上生成樹收斂時(shí)間，而且從主防火墻切換到備用防火墻也是需要時(shí)間的。那我們能不能做到主備設(shè)備切換時(shí)只需要等待第一跳冗余協(xié)議的收斂時(shí)間呢?答案是肯定的，傳統(tǒng)的園區(qū)網(wǎng)絡(luò)架構(gòu)通用的是VRRP+MSTP，配置多個(gè)VLAN，核心交換機(jī)之間通過Trunk鏈路作為心跳線保持連接，一部分MSTP實(shí)例的主根設(shè)置在主核心交換機(jī)上，次根設(shè)置在備用核心交換機(jī)上；另外一部分MSTP實(shí)例的主根設(shè)置在備用核心交換機(jī)上，次根設(shè)置在主核心交換機(jī)上。VRRP主備路由器角色的配置和MSTP實(shí)例的主備根配置保持一致，要切換二者同時(shí)切換。

其實(shí)，完全沒必要配置MSTP，更不用配置MSTP實(shí)例的主備根，甚至可以關(guān)閉核心交換機(jī)的生成樹功能。解決此問題的方法是兩臺(tái)核心交換機(jī)之間的鏈路走三層，這樣核心交換機(jī)和匯聚交換機(jī)之間就不存在環(huán)路，一部分VLAN通過VRRP主備路由器角色配置走主核心交換機(jī)，出問題后走備用核心交換機(jī)；另一部分VLAN通過VRRP主備路由器角色配置走備用核心交換機(jī)，出問題后走主核心交換機(jī)。如此一來就完美的解決了采用HSRP+PVST模式導(dǎo)致主備設(shè)備切換延時(shí)嚴(yán)重的問題。

圖2 改造后的網(wǎng)絡(luò)拓?fù)鋱D

升級(jí)改造解決方案

最近在一次例行設(shè)備巡檢時(shí)發(fā)現(xiàn)備用防火墻損壞，完全不能工作，一旦主防火墻、主核心交換機(jī)故障，整個(gè)校園網(wǎng)用戶都不能上網(wǎng)。因此，急需改造現(xiàn)有網(wǎng)絡(luò)，改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

（1）物理連接調(diào)整

使用一條6類雙絞線連接備用核心交換機(jī)和主防火墻，連接備用核心交換機(jī)的防火墻端口設(shè)置成內(nèi)部接口，其余連接保持不變。

（2）備用核心交換機(jī)配置調(diào)整

首先，將備用核心交換機(jī)的配置導(dǎo)出來，然后將連接到備用核心交換機(jī)的所有線纜全部拔掉，刪除備用核心交換機(jī)的所有配置并重啟設(shè)備，在交換機(jī)上關(guān)閉VTP功能，建立VLAN，創(chuàng)建三層以太通道用來連接主核心交換機(jī)，配置SVI接口和SVI接口的VRRP主備路由器角色，連接到匯聚交換機(jī)的接口全部配置成Trunk，創(chuàng)建默認(rèn)路由下一跳指向主防火墻，再創(chuàng)建一條帶管理距離的默認(rèn)路由下一跳指向三層以太通道的對(duì)端IP地址。最后，再創(chuàng)建一條到內(nèi)網(wǎng)網(wǎng)段的下一跳指向三層以太通道對(duì)端IP地址的靜態(tài)路由。

VRRP配置如下（部分）：

（3）主防火墻配置調(diào)整

首先，將連接備用核心交換機(jī)的防火墻端口設(shè)置成內(nèi)部接口，然后創(chuàng)建一條到內(nèi)網(wǎng)網(wǎng)段的下一跳指向主核心交換機(jī)的靜態(tài)路由，最后創(chuàng)建一條帶管理距離的到內(nèi)網(wǎng)網(wǎng)段的下一跳指向備用核心交換機(jī)的靜態(tài)路由，其余配置保持不變。

路由配置如下：

（4）主核心交換機(jī)配置調(diào)整

首先，將主核心交換機(jī)的配置導(dǎo)出來，然后將連接到主核心交換機(jī)的所有線纜全部拔掉，刪除主核心交換機(jī)的所有配置并重啟設(shè)備，在交換機(jī)上關(guān)閉VTP功能，建立VLAN，創(chuàng)建三層以太通道用來連接備用核心交換機(jī)，配置SVI接口和SVI接口的VRRP主備路由器角色，連接到匯聚交換機(jī)的接口全部配置成Trunk，創(chuàng)建默認(rèn)路由下一跳指向主防火墻，再創(chuàng)建一條帶管理距離的默認(rèn)路由下一跳指向三層以太通道的對(duì)端IP地址。最后，再創(chuàng)建一條到內(nèi)網(wǎng)網(wǎng)段的下一跳指向三層以太通道對(duì)端IP地址的靜態(tài)路由。

VRRP配置如下（部分）：

升級(jí)改造后的效果

實(shí)踐證明：通過以上的升級(jí)改造，優(yōu)化了全網(wǎng)結(jié)構(gòu)，使得網(wǎng)絡(luò)層次更加清晰，更加扁平化，大大提高了網(wǎng)絡(luò)的穩(wěn)定性和可靠性，同時(shí)滿足了用戶對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量的較高要求，提高了用戶的感知度，減輕了運(yùn)維人員的壓力，提升了服務(wù)質(zhì)量。