王志東 徐 劼 盧 紅

（國(guó)網(wǎng)江陰市供電公司，江蘇 江陰 214400）

利用環(huán)網(wǎng)和鏈路聚合方式提高二層網(wǎng)絡(luò)可靠性

王志東 徐 劼 盧 紅

（國(guó)網(wǎng)江陰市供電公司，江蘇 江陰 214400）

隨著信息系統(tǒng)的不斷拓展，有些辦公場(chǎng)所承擔(dān)的業(yè)務(wù)日趨重要，對(duì)網(wǎng)絡(luò)質(zhì)量要求比較高，同時(shí)網(wǎng)絡(luò)中承載的語音視頻傳輸?shù)葦?shù)據(jù)對(duì)鏈路的負(fù)載要求日益增加。而由于實(shí)際網(wǎng)絡(luò)拓?fù)涞膹?fù)雜性，往往形成部分鏈路網(wǎng)路流量偏大、負(fù)載不均衡的現(xiàn)象，另外大部分設(shè)備都是單鏈路連接，安全性不能得到保障，特別是在鄉(xiāng)鎮(zhèn)支干網(wǎng)絡(luò)之間。而通過環(huán)網(wǎng)方式和思科交換機(jī)具備的鏈路聚合功能，可以一定程度上提高網(wǎng)路的安全性和帶寬，從而達(dá)到解決網(wǎng)絡(luò)瓶頸的目的。

鏈路聚合；STP；安全性

1 現(xiàn)象描述

江陰市供電公司骨干網(wǎng)絡(luò)設(shè)備包括兩臺(tái)廣域網(wǎng)路由器，中興ZTE M6000-1和ZTE M6000-2，兩臺(tái)局域網(wǎng)核心交換機(jī)，其中cisco6509為主交換機(jī)，cisco4507為備交換機(jī)。

公司的核心設(shè)備使用三層交換機(jī)進(jìn)行vlan劃分，兩臺(tái)主設(shè)備間使用hsrp協(xié)議進(jìn)行網(wǎng)關(guān)熱備。余下的匯聚層和接入層交換機(jī)都是二層交換，沒有使用三層路由，另外由于光纖通道資源的不足，大部分設(shè)備都是單鏈路連接，所以網(wǎng)絡(luò)的安全性受到協(xié)議和鏈路通道的雙重制約。

那么如何在此情況下確保重要場(chǎng)合的網(wǎng)絡(luò)安全呢？經(jīng)過查詢資料，發(fā)現(xiàn)porttrunking鏈路聚合功能和環(huán)網(wǎng)STP生成樹協(xié)議可以利用起來。

鏈路聚合又稱端口聚合，英文名porttrunking.功能是將交換機(jī)的多個(gè)低帶寬端口捆綁成一條高帶寬鏈路，可以實(shí)現(xiàn)鏈路負(fù)載平衡。避免鏈路出現(xiàn)擁塞現(xiàn)象。通過配置，可通過兩個(gè)或以上的端口進(jìn)行聚合，分別負(fù)責(zé)特定端口的數(shù)據(jù)轉(zhuǎn)發(fā)，防止單條鏈路轉(zhuǎn)發(fā)速率過低而出現(xiàn)丟包的現(xiàn)象。

STP － Spanning Tree Protocol（生成樹協(xié)議）是用來邏輯上斷開環(huán)路，防止二層網(wǎng)絡(luò)的廣播風(fēng)暴的產(chǎn)生，當(dāng)線路出現(xiàn)故障，斷開的接口被激活，恢復(fù)通信，起備份線路的作用。那它到底是怎么來斷開環(huán)路的呢？我們知道端口狀態(tài)一般有四種，阻塞狀態(tài)、偵聽狀態(tài)、學(xué)習(xí)狀態(tài)、轉(zhuǎn)發(fā)狀態(tài)，STP會(huì)在形成環(huán)路的端口上把它處于BLOCK阻塞狀態(tài)，這樣就在邏輯上斷開了環(huán)路。

2 處理過程

2.1 鏈路聚合方式提高安全性

在重要辦公場(chǎng)所利用鏈路聚合方式確保通道安全，如營(yíng)銷大樓及運(yùn)維站等，如圖1所示。

圖1

在思科交換機(jī)的鏈路聚合需要用到以下命令：

2.1.1 channel-group 1 mode{auto|on| desirable|passive} //將物理端口加入PortChannel，該命令的auto：被動(dòng)協(xié)商；on：不協(xié)商；desirable：主動(dòng)協(xié)商；

2.1.2 interface port-channel //進(jìn)入?yún)R聚接口配置模式

4507R（Config）#interface portchannel 1

4507R （Config-If-Port-Channel1）#

2.1.3 鏈路聚合配置如下

4507R#interface Port-channel1

4507R（Config-If-Port-Channel1）#switchport trunk encapsulation dot1q

4507R（Config-If-Port-Channel1）#switchport trunk allowed vlan 1，8，17

4507R（Config-If-Port-Channel1）#switchport mode trunk

!

將端口gi1/0/11-12加入port-channel 1通道

4507R（Config）interface range GigabitEthernet1/0/11 - 12

4507R（Config-if）#description to jy4507-mis2-gi7/5

4507R（Config-if）#switchport trunk encapsulation dot1q

4507R（Config-if）#switchport trunk allowed vlan 1，8，17

4507R（Config-if）#switchport mode trunk

4507R（Config-if）#channel-group 1 mode desirable

!

#3750R：

在3750R交換機(jī)上建立port-channel2通道，同樣將gi6/5和gi7/5加入該通道。

配置成功后，此時(shí)cisco4507R的端口1/0/11，1/0/12匯聚成一個(gè)匯聚端口，匯聚端口名為Port-Channel1，cisco 3750R的端口gi6/5，gi7/5匯聚成一個(gè)匯聚端口，匯聚端口名為Port-Channel2。

2.2 環(huán)網(wǎng)方式提高安全性

在地理環(huán)境比較遠(yuǎn)，沒有條件進(jìn)行點(diǎn)對(duì)點(diǎn)雙鏈路設(shè)置的辦公場(chǎng)所進(jìn)行環(huán)網(wǎng)配置，在進(jìn)出兩條鏈路的選擇最好是不同光纜的不同方向，如農(nóng)村供電所和變電所，

在每臺(tái)交換機(jī)上啟用STP協(xié)議，特別要注意的是在同一個(gè)子環(huán)中交換機(jī)最好使用同一個(gè)品牌，以便STP協(xié)議協(xié)商時(shí)生成樹一致。而一個(gè)環(huán)中也不能有過多的交換機(jī)，一般不多于7-8個(gè)。

登錄到供電所的交換機(jī)，使用show spanning-tree vlan 7命令，查看環(huán)網(wǎng)接口狀態(tài)，如果兩個(gè)接口狀態(tài)都是FWD轉(zhuǎn)發(fā)狀態(tài)，接著使用show cdp neighbors 查看他的鄰居交換機(jī)，然后登錄到鄰居交換機(jī)上繼續(xù)使用show spanning-tree vlan 7命令。直到看到有某一個(gè)交換機(jī)的接口狀態(tài)是BLK阻塞狀態(tài)，則說明該環(huán)網(wǎng)上業(yè)務(wù)是正常的，STP協(xié)議阻斷了一個(gè)端口，不會(huì)形成網(wǎng)絡(luò)風(fēng)暴，同時(shí)又增加了鏈路的安全性。

結(jié)語

利用生成樹協(xié)議的特性，即STP是用來邏輯上斷開環(huán)路，防止二層網(wǎng)絡(luò)的廣播風(fēng)暴的產(chǎn)生，STP會(huì)在形成環(huán)路的端口上把它處于BLOCK阻塞狀態(tài)，這樣就在邏輯上斷開了環(huán)路，提高了鏈路的可靠性。

同時(shí)通過鏈路聚合，可使邏輯鏈路的帶寬增加幾倍，另外，聚合后的網(wǎng)絡(luò)傳輸可靠性大大提高。因?yàn)樵阪溌分兄灰幸粭l可以正常工作，則這個(gè)鏈路就可以正常通信。除此之外，鏈路聚合可以實(shí)現(xiàn)負(fù)載均衡。通過鏈路聚合連接在一起的兩個(gè)交換機(jī)，通過內(nèi)部控制，可以合理地將數(shù)據(jù)分配在被聚合連接的設(shè)備上，實(shí)現(xiàn)負(fù)載分擔(dān)。

[1]梁廣民，王隆杰.思科網(wǎng)絡(luò)實(shí)驗(yàn)室路由、交換實(shí)驗(yàn)指南[M].北京：電子工業(yè)出版社，2007.

[2]梁廣民，王隆杰.網(wǎng)絡(luò)設(shè)備互聯(lián)技術(shù)[M].北京：清華大學(xué)出版社，2006.

TP393

A