霍 宏，裴 文，陳常龍

（蘭州石化公司自動化研究院，蘭州 730000）

1 企業(yè)網(wǎng)絡(luò)基本情況

近幾年來，石化企業(yè)信息應(yīng)用系統(tǒng)的數(shù)量不斷增加、范圍不斷延伸，企業(yè)生產(chǎn)、運行、管理等各方面的工作對網(wǎng)絡(luò)平臺的依賴程度也越來越高。伴隨著企業(yè)日益增長的業(yè)務(wù)需求，企業(yè)局域網(wǎng)的建設(shè)也必須向著“高可靠、高安全、高性能、可擴展”的方向邁進(jìn)，以保證企業(yè)各種信息系統(tǒng)的穩(wěn)定運行，更好地為企業(yè)各級用戶服務(wù)。

1.1 現(xiàn)狀概述

石化企業(yè)局域網(wǎng)光纜里程長，覆蓋面積大。網(wǎng)絡(luò)設(shè)施覆蓋范圍廣、涉及用戶多。原有網(wǎng)絡(luò)為2007 年建成，分核心、匯聚、接入三個層次。接入層提供用戶計算機網(wǎng)絡(luò)接入點，設(shè)備端口相對密集，可以在端口上設(shè)置簡單的訪問控制策略，放置地點一般為辦公樓樓道機柜；匯聚層是大量接入層設(shè)備的匯聚點，提供路由計算、安全過濾、流量控制等功能，通常放置在二級單位辦公樓機柜間；核心層實現(xiàn)各自治系統(tǒng)網(wǎng)絡(luò)之間的優(yōu)化傳輸，是所有流量的最終承受者，具備冗余和高速數(shù)據(jù)轉(zhuǎn)發(fā)能力，放置地點在企業(yè)核心機房和區(qū)域網(wǎng)絡(luò)中心機房。三層網(wǎng)絡(luò)架構(gòu)設(shè)計消除了單點故障，是企業(yè)網(wǎng)絡(luò)穩(wěn)定運行的基礎(chǔ)。

1.2 路由架構(gòu)

原有網(wǎng)絡(luò)在核心層及匯聚層網(wǎng)絡(luò)設(shè)備中，采用了兩種不同類別的路由協(xié)議。一部分網(wǎng)絡(luò)設(shè)備啟用了OSPF 動態(tài)路由協(xié)議，另一部分啟用了Trunk 鏈路類型端口連接的靜態(tài)路由協(xié)議。下面以服務(wù)器至核心、機關(guān)至核心為例，簡要說明這兩種路由協(xié)議的應(yīng)用形式。

服務(wù)器至核心交換機之間采用靜態(tài)路由協(xié)議。所屬機房的服務(wù)器交換機通過一條捆綁鏈路Eth－trunk 1 連至核心2，連至核心1 的為一條共享備用鏈路，并人為配置為Admin Down 狀態(tài)，這樣由于核心1、核心2 互為備份交換機，當(dāng)服務(wù)器交換機的捆綁鏈路中斷或者核心2 交換機出現(xiàn)故障后，可以手動啟用備用鏈路，保證網(wǎng)絡(luò)正常通信。

1.3 存在問題

經(jīng)過對原有網(wǎng)絡(luò)基本情況以及近期故障原因分析，發(fā)現(xiàn)原有骨干網(wǎng)絡(luò)主要存在以下幾點問題。

1.3.1 設(shè)備性能不足

原有網(wǎng)絡(luò)設(shè)備幾乎都已過保，設(shè)備消耗也比較嚴(yán)重。設(shè)備整體性能下降而企業(yè)網(wǎng)絡(luò)業(yè)務(wù)卻不斷增加，致使部分設(shè)備在網(wǎng)絡(luò)流量高峰時段CPU 占用率達(dá)70%以上。設(shè)備性能已成為網(wǎng)絡(luò)擴展的瓶頸，亟待升級更換。表1 為部分節(jié)點CPU 占用率示例。

表1 部分節(jié)點CPU 占用率

1.3.2 核心層交換機業(yè)務(wù)繁重

核心交換機除負(fù)責(zé)整體網(wǎng)絡(luò)數(shù)據(jù)流量的傳輸外，還承擔(dān)著主要業(yè)務(wù)網(wǎng)關(guān)功能，降低了其高速轉(zhuǎn)發(fā)能力。同時，當(dāng)網(wǎng)絡(luò)業(yè)務(wù)發(fā)生改變時，需頻繁對核心交換機進(jìn)行變更操作，影響其穩(wěn)定性。由于核心交換機集多種業(yè)務(wù)于一身，增加了網(wǎng)絡(luò)故障處理的難度。

1.3.3 路由協(xié)議維護(hù)不便

由于OSPF 路由和靜態(tài)路由的計算方式不同，所以兩種路由配置形式也不相同，增加了協(xié)議應(yīng)用的難度。同時，靜態(tài)路由無法自動根據(jù)網(wǎng)絡(luò)拓?fù)渥兓淖?，必須進(jìn)行手動配置才能保證網(wǎng)絡(luò)連通性，無法實現(xiàn)網(wǎng)絡(luò)的無中斷切換，降低了運維工作效率。

1.3.4 冗余性能不足

受限于設(shè)備性能及鏈路老化等問題，原有網(wǎng)絡(luò)的冗余措施僅部分生效，某些關(guān)鍵冗余技術(shù)也無法應(yīng)用，加大了網(wǎng)絡(luò)整體的風(fēng)險性。當(dāng)網(wǎng)絡(luò)發(fā)生故障后，需進(jìn)行人工跳線工作，調(diào)整鏈路恢復(fù)網(wǎng)絡(luò)，極易造成長時間、大面積業(yè)務(wù)中斷。

2 網(wǎng)絡(luò)關(guān)鍵技術(shù)部署

企業(yè)骨干網(wǎng)絡(luò)的性能提升，需要在合理調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，因地制宜地部署各種可靠性技術(shù)，并通過多種技術(shù)的有效結(jié)合，達(dá)到網(wǎng)絡(luò)整體性能穩(wěn)固的目的。

2.1 網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化

為進(jìn)一步提高核心交換機高速數(shù)據(jù)轉(zhuǎn)發(fā)的主要性能，減輕核心交換機的業(yè)務(wù)負(fù)荷，將原有網(wǎng)絡(luò)存在于核心設(shè)備的業(yè)務(wù)網(wǎng)關(guān)全部下移至匯聚層交換機，以直連路由的形式發(fā)布到接入層網(wǎng)絡(luò)中。接入層設(shè)備通過VLAN 透傳，終結(jié)到各匯聚交換機的下行口上。其優(yōu)點在于既保障了業(yè)務(wù)網(wǎng)段的穩(wěn)定運行，又避免了因業(yè)務(wù)變動而對核心交換機進(jìn)行頻繁操作，降低了網(wǎng)絡(luò)運維中故障處理的難度。

新增兩臺H3C 7510 作為服務(wù)器匯聚交換機，其余4 臺華為S5752 作為備用交換機。服務(wù)器接入單獨匯聚交換機且與新核心交換機之間有冗余鏈路，不會產(chǎn)生因為核心設(shè)備故障導(dǎo)致的大面積應(yīng)用業(yè)務(wù)中斷。

在所有的網(wǎng)絡(luò)匯聚層交換機中，雙設(shè)備之間采用雙萬兆互聯(lián)，單萬兆上行；單設(shè)備匯聚分別雙萬兆上行至雙核心交換機。由于萬兆光口對光纖衰耗要求比較高，根據(jù)近幾年鏈路更新及建設(shè)情況，對匯聚到核心的鏈路重新進(jìn)行優(yōu)化選擇。

2.2 OSPF 路由協(xié)議應(yīng)用

重新設(shè)計企業(yè)骨干網(wǎng)絡(luò)的OSPF 路由架構(gòu)，將企業(yè)核心層及匯聚層網(wǎng)絡(luò)全部納入OSPF 路由協(xié)議范疇。

交換機默認(rèn)沒有運行OSPF 協(xié)議。需要人為進(jìn)行配置。企業(yè)骨干網(wǎng)絡(luò)OSPF 協(xié)議主要采用3 種模式：雙核心交換機互連、雙核心至雙匯聚交換機、雙核心至單匯聚交換機，下面分別就這3 種模式簡要說明OSPF 的配置過程。

2.2.1 核心交換機互連

一是配置核心交換機的Router ID。企業(yè)大樓核心（以下簡稱核心1）配置為10.X.X.1；區(qū)域中心核心（以下簡稱核心2）配置為10.X.X.2。

二是啟動LoopBack 接口作為管理接口，并配置接口地址。為了管理方便通常將接口地址和Router ID 配置一致。

三是配置互連Vlan 及Vlan 接口地址。啟用雙核心互連Vlan，配置接口IP，掩碼為255.255.255.252。這里應(yīng)用了VLSM（可變長子網(wǎng)掩碼）技術(shù)，以便最有效地利用現(xiàn)有的地址空間。

四是啟動OSPF 進(jìn)程。兩臺核心都啟動OSPF 1 進(jìn)程。

五是配置OSPF 區(qū)域。因為兩臺核心之間連接處于骨干區(qū)域，所以必須配置為Area 0。

六是配置區(qū)域所包含的網(wǎng)段并在指定網(wǎng)段的接口上使能OSPF。缺省情況下，接口不屬于任何區(qū)域且OSPF 功能處于關(guān)閉狀態(tài)。一個網(wǎng)段只能屬于一個區(qū)域，并且必須為每個運行OSPF 的接口指明屬于某一個特定的區(qū)域。在這個配置過程中，需要使用盡量精確的反掩碼。

2.2.2 雙核心至雙匯聚互連

以此分廠為例，雙核心至雙匯聚的OSPF 配置涉及雙設(shè)備互連的情況。

匯聚1 分別啟用了兩個Vlan 接口，分別連接核心1 和匯聚2，兩個接口同處于Area 4 中。其余配置步驟與上述核心之間的配置相同。

2.2.3 雙核心至單匯聚互連

以本分廠為例，雙核心至單匯聚的互連涉及OSPF 中cost值的計算問題。其算法為：Cost ＝100×106／鏈路帶寬。在這里，鏈路帶寬以bps 來表示。也就是說，OSPF 的Cost 與鏈路的帶寬成反比，帶寬越高，Cost 越小，表示OSPF 到目的地的距離越近。

核心至匯聚升級為雙萬兆光纖連接，其鏈路的cost 值相同，在配置Vlan 接口的過程中，通過手動設(shè)定接口cost 值，達(dá)到區(qū)分主備鏈路的目的。

在整個OSPF 的配置過程中，為了減少不必要的OSPF Hello 報文的發(fā)送，提高網(wǎng)絡(luò)資源的利用率，在相應(yīng)的Vlan 接口下啟用silent－interface 命令，使其變成靜默接口，這兩個接口不再向下連的各個匯聚發(fā)送Hello 報文。

匯聚交換機除了禁止環(huán)回接口外，還禁止了所有的業(yè)務(wù)VLAN 接口，這樣使得匯聚所有的下連接口不再發(fā)送Hello 報文，避免網(wǎng)絡(luò)資源的浪費，而其下連接口的直連路由仍可以由其他接口發(fā)布出去。

2.3 VRRP 協(xié)議應(yīng)用

為了實現(xiàn)企業(yè)骨干網(wǎng)絡(luò)發(fā)生故障后，能夠快速、自動地切換到冗余環(huán)境中，保證企業(yè)業(yè)務(wù)流轉(zhuǎn)的通暢性，需要在雙設(shè)備之間應(yīng)用VRRP 協(xié)議。

VRRP 協(xié)議的具體實施分為以下幾步：

一是創(chuàng)建VRRP 備份組并配置虛擬IP 地址。

二是配置路由器在備份組的優(yōu)先級。

三是配置備份組中的路由器工作在搶占方式，并設(shè)定搶占延遲時間。

四是配置監(jiān)視指定接口。

五是配置備份組發(fā)送和接收VRRP 報文的認(rèn)證。

六是配置備份組中Master 路由器發(fā)送VRRP 通告報文的時間間隔。

七是檢查VRRP 備份組的狀態(tài)信息。

使用缺省優(yōu)先級的匯聚，其priority 值為100，所以優(yōu)先級高的匯聚作為Master 承擔(dān)業(yè)務(wù)轉(zhuǎn)發(fā)。

2.4 鏈路聚合技術(shù)應(yīng)用

在企業(yè)骨干網(wǎng)絡(luò)的所有雙設(shè)備之間運用鏈路聚合技術(shù)，提高了雙設(shè)備互連的帶寬性能，消除單線故障隱患。

由于雙核心、雙匯聚對應(yīng)的冗余設(shè)備型號性能完全相同，故采用靜態(tài)聚合模式，簡要配置過程分3 步進(jìn)行：

第一步，創(chuàng)建Eth－trunk 接口。

第二步，配置接口類型及允許通過Vlan。

第三步，將以太網(wǎng)接口加入Eth－trunk 聚合組。

3 結(jié)語

石化企業(yè)骨干網(wǎng)絡(luò)升級優(yōu)化歷經(jīng)現(xiàn)場調(diào)研、方案設(shè)計、配置備份、設(shè)備安裝、鏈路調(diào)整、網(wǎng)絡(luò)規(guī)劃、設(shè)備聯(lián)調(diào)、網(wǎng)絡(luò)割接等階段，達(dá)到了企業(yè)網(wǎng)絡(luò)綜合性能提升的預(yù)期效果。目前，企業(yè)骨干網(wǎng)絡(luò)保持穩(wěn)定、高速運行。

隨著網(wǎng)絡(luò)技術(shù)和用戶需求的不斷發(fā)展，陳舊的網(wǎng)絡(luò)運維模式在管理企業(yè)整體網(wǎng)絡(luò)環(huán)境的工作中也略顯捉襟見肘。搭建綜合性的可擴展的網(wǎng)絡(luò)管理平臺將是我們下一步的重點工作。同時，在網(wǎng)絡(luò)基礎(chǔ)條件允許的情況下，我們還將對企業(yè)生產(chǎn)網(wǎng)絡(luò)、末端接入網(wǎng)絡(luò)進(jìn)行升級優(yōu)化，為石化企業(yè)整體網(wǎng)絡(luò)提升畫上圓滿句號。