筆者工作的單位網(wǎng)絡(luò)規(guī)劃較大，其中有一個核心的數(shù)據(jù)中心機房，四個同城的分支部門機房。簡要的網(wǎng)絡(luò)拓撲圖如圖1所示。

其中核心層的交換機放在數(shù)據(jù)中心機房，匯聚層的設(shè)備除了匯聚-4之外，其它的都分布在分支部門的機房。

存在的問題

首先在OSPF區(qū)域劃分的時候存在問題，嚴格來說核心設(shè)備和匯聚設(shè)備的互聯(lián)接口應(yīng)納入Area 0，另外存在斷層的情況Area1，Area2之后就直接跳到Area6，容易出現(xiàn)混亂。

匯聚-2和匯聚-1互聯(lián)并劃到Area1區(qū)域本身是不合里的，匯聚-2應(yīng)該直接與核心設(shè)備互聯(lián)并劃分單獨的區(qū)域。

骨干網(wǎng)絡(luò)存在VLAN透傳的現(xiàn)像，二、三層網(wǎng)絡(luò)邊界混亂。舉個例子網(wǎng)段2的網(wǎng)關(guān)地址是192.168.2.254/24配置在接入-1設(shè)備上面，然后在接入2交換機上面也要使用這個網(wǎng)段，為了達到這個目的將Vlan2透傳經(jīng)過匯聚-1、核心 -A、核心 -B、匯聚-4、接入-2。這部分歷史遺留的問題，我想原因是因為當時部門的搬遷沒有理順，IP地址要保留新、舊辦公地點兩邊都使用同一個IP網(wǎng)段導致，網(wǎng)絡(luò)拓撲圖如圖2所示。

圖1 升級改造前網(wǎng)絡(luò)拓撲結(jié)構(gòu)

所有用來起OSPF協(xié)議的都是SVI接口，工作模式都采用Trunk模式。接入層的交換機是性能較差的三層交換機，但是卻使用了OSPF路由協(xié)議跟匯聚設(shè)備互聯(lián)，這部分的歷史遺留問題使我非常的費解，這樣配置是為了簡便操作還是統(tǒng)一管理了？嚴格上說這是屬于畫蛇添足吧，大大增加了設(shè)備性能的負擔，也存在OSPF被竊聯(lián)盜取路由表的隱患，因為原來的配置沒有做OSPF認證，也沒有配置被動接口。

核心部門的接入設(shè)備采用雙線路冗余保障，本來這是一點不錯的措施，可是采用OSPF的方式又有點畫蛇添足了。舉例子如圖2所示接入-3交換機主線路是連接到匯聚-1，備用線路是連接到匯聚-4，通過修改OSPF的COST值來實現(xiàn)流量往哪一條線路走。但是對于OSPF來說匯聚-1設(shè)備屬于area1，匯聚4的設(shè)備屬于area6，這也導致接入-3交換機被配置成為連接多區(qū)域的ABR，本身設(shè)備就是入門級三層交換機，要維護不同的區(qū)域的鏈路狀態(tài)數(shù)據(jù)庫，對設(shè)備的性能造成較大的影響。

實施的升級改造

分析上述存在的問題，我制訂了升級改造的方案，從新規(guī)劃OSPF在網(wǎng)絡(luò)中的部署，畫出網(wǎng)絡(luò)拓撲圖，如圖3所示：

圖2 升級改造中期網(wǎng)絡(luò)架構(gòu)圖

圖2 升級改造后網(wǎng)絡(luò)架構(gòu)圖

（1）對OSPF骨干區(qū)域重新進行部署，核心設(shè)備和匯聚設(shè)備互聯(lián)的部分全部納入到骨干區(qū)域Area 0。聯(lián)合線路運營商對物理光纖進行切割，使得匯聚-3從Area 1區(qū)域里面剝離出來，直接跟核心-A相聯(lián)形成獨立的區(qū)域Area 3。

（2）使二、三層網(wǎng)絡(luò)邊界清浙化，將匯聚設(shè)備和核心設(shè)備互聯(lián)的端口改成路由口的工作模式。舉個例子匯聚-1的G2/0/1和核心-A的G3/0/1互聯(lián)，進入接口配置模式配置：

Int GigabitEthernet2/0/1

port link-mode route

這樣就把VLAN透傳的問題解決了，接下來就是通過行政力量要求一些部門更改IP地址。這部分需要說明一下因為部分IP地址是捆綁業(yè)務(wù)系統(tǒng)使用，也就是不能更改。筆者通過劃分子網(wǎng)掩碼的方法將一個大網(wǎng)段劃分為幾個細的網(wǎng)段，勉強地解決了這些問題。

（3）給OSPF路由協(xié)議添加認證。這是OSPF協(xié)議安全方面最基本也是最有效的措施。以匯聚-1和核心-A之間的OSPF協(xié)議為例配置如下所示：

需要注意的是在OSPF區(qū)域和物理接口都需要配置MD5加密，兩端的密鑰需要配置一致，密碼是區(qū)分大小寫的。

（4）將不需要參與OSPF協(xié)議的端口設(shè)置成為被動接口，運行了OSPF協(xié)議的接口都會發(fā)hello包嘗試認識新鄰居，一般只是交換機互聯(lián)的端口需要接收和轉(zhuǎn)發(fā)hello包。將物理端口和SVI端口配置成被動接口，這樣OSPF包文就不會從這些端口上轉(zhuǎn)發(fā)出去。簡要命令如下：

正常情況下交換機暫時沒被使用的端口應(yīng)該手動添加一個shutdown命令，用以杜絕物理端口被亂用。

（5）取消接入層的OSPF協(xié)議，改用二層網(wǎng)絡(luò)技術(shù)互聯(lián)。一般一個接入點的網(wǎng)段有限，完全沒有必要使用OSPF協(xié)議去交換路由表，改用VRRP網(wǎng)關(guān)冗余技術(shù)能有效地減低設(shè)備的負擔，另外一種方式是使用鏈路捆綁的技術(shù)，使兩條線路能疊加使用互為負載冗余。因為單位租用的備用線路帶寬跟主線路不一致，所以做不了熱備份故采用了網(wǎng)關(guān)冗余的技術(shù)去改造。

總結(jié)

本項目的改造重點在于對網(wǎng)絡(luò)的梳理，OSPF的區(qū)域重新劃配，明淅二、三層網(wǎng)絡(luò)邊界。改造后網(wǎng)絡(luò)穩(wěn)定性大大提高，但仍然存在不足的地方，接下來的工作是對OSPF路由的匯總進行梳理。OSPF是一種優(yōu)秀的路由協(xié)議，但是千萬不可濫用，合理規(guī)范使用才能發(fā)揮其優(yōu)越的性能。還是那句老話，網(wǎng)絡(luò)強調(diào)的是穩(wěn)定高效。解決類似的歷史遺留問題通常需要結(jié)合行政管理力量，協(xié)調(diào)應(yīng)用業(yè)務(wù)部門和網(wǎng)絡(luò)支撐部門，雙方達到統(tǒng)一才能進行實施。因此在做方案設(shè)計的時候盡量考慮嚴謹，做出多套備用方案多種選擇。將影響范圍限制到最小。