主要内容及技术
使用三层接口规避广播风险
OSPF路由过滤技术
前言
一个大型企业网络的架构一般分为:接入层、汇聚层、核心层。从接入层到汇聚层可以采用VLAN、Trunk透传的方式,但是如果这个Trunk透到了核心层,就会使得二层网络规模变得巨大,甚至导致生成树协议也无法正常收敛。上一讲讲过的NAS区域网络改造,就出现了生成树协议无法收敛的情形。对于NAS区域网络,在经过一个月的研究以后,决定将业务区域交换机与Cisco4503E之间的链路全部改成三层链路,跑OSPF路由协议,并且使用路由过滤的方式,不让业务区域之间相互收到路由条目。这样做,不仅大大减小了STP收敛范围,也使得网络变得更加健壮。
一、需求描述
1.1、 第二次改造的方式
省公司两台NAS核心交换机原型号为ZTE8905,更换为Cisco4503E以后,虽然与Cisco、H3C的STP兼容性问题得到解决,但是整个网络中交换机数量多,业务VLAN多,且综合管理区域网络结构复杂。如果只是在Cisco4503E上采用二层透传VLAN的方式让各个区域的服务器与NAS机头通信,广播不好控制,而且经常出现网络因为STP计算出现短暂中断的情况。
由于网络规模较大,结构复杂,单纯的使用二层透传不容易控制广播,而且经常发生网络闪断的现象,所以,本次方案将对网络进行进一步改造,将二层透传模式改成三层路由传递模式。
1.2、 改造目的
在本次网络改造中,将各个业务区域交换机与Cisco 4503E之间的链路由现行的二层改为三层。这样,就可以将STP的计算规模限制在每个业务区域,而不必全网泛洪。从而,提升每个区域的STP计算效率,避免网络短暂中断。
将业务区域交换机与Cisco4503E之间的接口改为路由模式,也是为了更好的隔离各个业务区域,当一个业务的网络因为广播风暴出现故障的时候不会影响到另外一个区域。另外,为了更好的控制路由传递,流量能够自动在主备设备之间进行切换,本次改造将采用OSPF路由协议,并且结合分发列表、route-map,使得各个业务区域只能接收到到达NAS机头的路由。这样达到的目的就是:各个业务区域可以和NAS机头通信,但是不能相互访问。
1.3、 拓扑总图(不变)
二、IP地址规划
Cisco4503E-A设备互联接口与IP地址规划见下表
|
本端接口 |
本端IP地址 |
对端接口 |
对端IP地址 |
业务区域 |
|
Ge-3/5 |
10.115.128.177/30 |
LC-0/1 |
10.115.128.178/30 |
财务系统区 |
|
Ge-3/7 |
10.115.128.181/30 |
LC-0/4 |
10.115.128.182/30 |
DMZ区 |
|
Ge-3/2 |
10.115.128.185/30 |
LC-5 |
10.115.128.186/30 |
协同办公区 |
|
Ge-3/4 |
10.115.128.189/30 |
LC-5 |
10.115.128.190/30 |
综合业务区 |
|
Ge-2/2 |
10.115.128.193/30 |
Ge4-44 |
10.115.128.194/30 |
资产管理区 |
|
Ge-2/1 |
10.115.128.197/30 |
Ge-4/44 |
10.115.128.198/30 |
办公局域网 |
Cisco4503E-B设备互联接口与IP地址规划见下表
|
本端接口 |
本端IP地址 |
对端接口 |
对端IP地址 |
业务区域 |
|
Ge-3/5 |
10.115.128.201/30 |
LC-0/1 |
10.115.128.202/30 |
财务系统区 |
|
Ge-3/7 |
10.115.128.205/30 |
LC-0/4 |
10.115.128.206/30 |
DMZ区 |
|
Ge-3/2 |
10.115.128.209/30 |
LC-5 |
10.115.128.210/30 |
协同办公区 |
|
Ge-3/4 |
10.115.128.213/30 |
LC-5 |
10.115.128.214/30 |
综合业务区 |
|
Ge-2/2 |
10.115.128.217/30 |
Ge4-44 |
10.115.128.218/30 |
资产管理区 |
|
Ge-2/1 |
10.115.128.221/30 |
Ge-4/44 |
10.115.128.222/30 |
办公局域网 |
三、实施步骤
3.1、配置互联IP地址
由于双方设备都是交换机,所以需要首先将双方设备的互联接口改为路由接口
在Cisco 4503E-A上做如下配置:
interface gi 3/7
no switchport
ip add 10.115.128.181 255.255.255.252
no sh
在Cisco4503E-B上做如下配置:
interface gi 3/7
no switchport
ip add 10.115.128.205 255.255.255.252
no sh
3.2、在DMZ区域核心交换机S7506E上配置VRRP
在S7506E-01上配置业务网段和VRRP
int vlan 135
ip add 10.115.135.252 255.255.255.248
vrrp vrid 135 virtual-ip 10.115.135.254
vrrp vrid 135 prio 120
在S7605E-02上配置业务网段和VRRP
int vlan 135
ip add 10.115.135.253 255.255.255.248
vrrp vrid 135 virtual-ip 10.115.135.254
vrrp vrid 135 prio 80
3.3、配置OSPF路由协议和路由过滤
在所有设备上配置OSPF路由协议,保证每个业务区域可以和NAS机头互通,但是各个业务区域之间不能相互访问。此时,可以使用分发列表,不能互相访问的区域就不通告相关的路由条目。
注:因为OSPF工作的原理的特殊性,OSPF不能针对out方向执行路由过滤,因为OSPF向外发送的是LSA。所以对于OSPF的路由过滤只能配置在in方向上,但是这样做会导致配置工作量偏大,因为必须在每一台业务区域的核心交换机上都写一遍过滤命令。
以DMZ区域为例,DMZ区域只允许学习到S7503E和Cisco4503E之间的互联地址,NAS网段的地址,针对H3C S7503E交换机,可以配置如下命令进行路由过滤:
NAS机头网段:10.115.163.248/29
链路网段:10.115.128.180/30和10.115.128.204/30
H3C 7503E配置命令:
ipip-prefix NAS index 10 permit 10.115.163.248 29 less-equal 32
ipip-prefix NAS index 11 permit 10.115.128.180 30 less-equal 32
ipip-prefix NAS index 12 permit 10.115.128.204 30 less-equal 32
然后在OSPF进程中输入如下命令:
filter-policyip-prefix NAS import
如果业务区域的交换机是Force10-C300设备,可以使用ACL结合分发列表的方式来达到路由过滤的的目的
access-list1 permit 10.115.163.248 0.0.0.7
access-list1 permit 10.115.128.180 0.0.0.3
access-list1 permit 10.115.128.204 0.0.0.3
access-list1 deny any
然后在OSPF进程下输入如下命令:
distrib1 in
3.4、其他功能配置
在现阶段的网络环境中,所有业务区域的STP Root都配置在了Cisco 4503E-A上,将Cisco4503E和各个业务区域的交换机之间的链路改为三层链路以后,需要在各个业务区域重新规划STP的Root。