■陜西 汪雙文

引言

隨著技術(shù)發(fā)展，保密形式愈發(fā)嚴(yán)峻，因此省公司要求將各地市公司的外網(wǎng)統(tǒng)一至省公司出口。

我公司外網(wǎng)原來接用地市電信公司資源，通過NAT設(shè)備地址轉(zhuǎn)換后，供我公司人員使用，大約有500個(gè)終端。根據(jù)省公司要求，現(xiàn)需要將電信通道撤掉，換成省公司通道，網(wǎng)絡(luò)的平滑割接便成了難題。

為達(dá)到在割接過程中不中斷用戶網(wǎng)絡(luò)目的，本文通過采用基于源地址的交換機(jī)策略路由，將省公司統(tǒng)一出口劃分的網(wǎng)段分流至省公司出口，而原公司自己劃分的網(wǎng)段走電信出口，從而實(shí)現(xiàn)了公司外網(wǎng)過度的平滑進(jìn)行。本文主要針對在網(wǎng)絡(luò)割接過程中碰到的問題及解決方法進(jìn)行詳細(xì)闡述。

網(wǎng)絡(luò)結(jié)構(gòu)及割接需求

組網(wǎng)結(jié)構(gòu)

我公司原外網(wǎng)由一臺防火墻、一臺H3C 7506E核心交換機(jī)，下接各縣局以及辦公樓各樓層接入交換機(jī)組成。按照省公司要求，接入省公司統(tǒng)一出口。

省公司通道中，有一臺網(wǎng)康設(shè)備，實(shí)現(xiàn)對網(wǎng)絡(luò)行為審計(jì)功能，上行為一臺SR8808路由器。原核心交換機(jī)下劃分地址段為192.168.100.0/24-192.168.106.0/24共7個(gè)c段，劃 分 有 20個(gè) vlan，每個(gè)vlan為26位掩碼。省公司統(tǒng)一出口給公司分配的網(wǎng)段為192.168.16.0/24-192.168.31.0/24。

電信通道下一跳地址為：192.168.4.2（防火墻接口地址），省公司通道下一跳地址為 ：192.168.255.10（三 級 網(wǎng)路由器VPN接口地址）。

割接要求

由于用戶多，接入交換機(jī)較多，而且分布地理位置廣泛，最近的就在核心交換機(jī)機(jī)柜，最遠(yuǎn)的則在70Km外的一個(gè)縣公司機(jī)房。如果將核心交換機(jī)vlan全部重新分配地址，將造成大面積不能上網(wǎng)的情況。根據(jù)初步測算，將所有用戶調(diào)整到省公司大約需要2周時(shí)間，也就是說用戶最大中斷網(wǎng)絡(luò)時(shí)間為2周。由于辦公的需要，如財(cái)務(wù)網(wǎng)銀走賬、營銷電費(fèi)收繳，都需要外網(wǎng)，因此長時(shí)間的斷網(wǎng)造成的災(zāi)難性是難以估計(jì)的。

因此領(lǐng)導(dǎo)提出了割接要求為：在割接過程中，不能中斷用戶網(wǎng)絡(luò)。

實(shí)施方案

方案提出

根據(jù)割切的要求，本人開始計(jì)劃了幾套方案。最開始想法是增加一臺核心交換機(jī)，接通省公司通道。然后將接入層交換機(jī)逐個(gè)更換至新加核心交換機(jī)上，實(shí)現(xiàn)用戶網(wǎng)絡(luò)部中斷。但是一方面由于機(jī)柜空間限制放不下大型交換機(jī)，另一方面而購買一臺新7506交換機(jī)的話，成本將在十萬元左右，成本太高，而且割接完成后，這臺交換機(jī)就浪費(fèi)。因此該方案放棄。

第二種方案就是增加一臺防火墻設(shè)備，將電信和省公司通道都接入防火墻，防火墻下接核心交換機(jī)。防火墻中將原網(wǎng)段分為一個(gè)區(qū)域，省公司分配網(wǎng)段為一個(gè)區(qū)域，通過分區(qū)實(shí)現(xiàn)不同路由選擇。但是本人在測試原防火墻后發(fā)現(xiàn)，該防火墻（H3C 7506E防火墻模塊）不支持此策略路由。如果購買一臺防火墻（如捷普4000）仍需要幾萬的費(fèi)用。該方案也被放棄。

最后本人只能在交換機(jī)上作文章。在交換機(jī)上做基于源地址的策略路由，根據(jù)源地址的不同來確定下一跳的方式來實(shí)現(xiàn)割接目的。

策略路由簡介

策略路由是一種比利用目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制，策略路由的優(yōu)先級別高于普通路由。應(yīng)用了策略路由以后，路由器將根據(jù)用戶指定的策略決定如何對需要路由的數(shù)據(jù)包進(jìn)行處理。一個(gè)借口應(yīng)用策略路由，將對該接口受到的所有數(shù)據(jù)包進(jìn)行檢查，不符合策略路由的數(shù)據(jù)包將按照傳統(tǒng)的路由轉(zhuǎn)發(fā)進(jìn)行處理。符合策略的數(shù)據(jù)包則會按照用戶策略指定的下一跳地址進(jìn)行轉(zhuǎn)發(fā)。

策略路由在我國應(yīng)用最大的在電信網(wǎng)通之間互聯(lián)互通。由于電信、網(wǎng)通之間互訪較慢，因此人們接入雙線路，用策略路由實(shí)現(xiàn)電信數(shù)據(jù)走電信，網(wǎng)通數(shù)據(jù)走網(wǎng)通。但是這些一般屬于目的地址的路由。

本人公司這種情況，則是相反的，兩類不同的用戶（一類為原IP段，一類省公司分配段），都要去訪問 internet。

策略路由實(shí)施過程

由于受到這樣的啟發(fā)，本人開始動(dòng)手寫基于源地址的策略路由。最初的想法，是寫兩個(gè)策略，一個(gè)為走省公司通道策略，一個(gè)為走電信通道策略，但是兩個(gè)策略中，匹配項(xiàng)來回更改較為繁雜復(fù)雜。因此采取一個(gè)走默認(rèn)路由，一個(gè)走策略路由方式實(shí)現(xiàn)。這樣簡單，便于實(shí)施。

添加默認(rèn)路由

首先配置省公司通道的接口地址，7506端為192.168.255.11，路由器端為192.168.255.10，然后增加全局默認(rèn)路由改為省公司通道，優(yōu)先級為30高于電信通道路由，使其優(yōu)先于電信路由生效。

建立策略路由

（1）建立ACL

這樣將原IP地址段按照vlan段進(jìn)行全部匹配。

(2)創(chuàng)建流分類

(3)創(chuàng)建流行為

(4)創(chuàng)建QOS策略

（5）應(yīng)用QOS到全局

至此就實(shí)現(xiàn)了：新更改的源地址為192.168.16.0-31.0段的客戶通過省公司通道訪問internet，原192.168.100.0-106.0段的客戶仍可以通過電信訪問internet。

檢驗(yàn)

（1）先 建 立 測 試vlan，賦予省公司新分配地址192.168.16.0/24，pc機(jī) 為 該vlan ip，跟蹤一個(gè)intert地址，發(fā)現(xiàn)第一跳為省公司通道出口；用原網(wǎng)段地址訪問下一跳為電信出口。

用兩臺pc上網(wǎng)時(shí)，原ip段正常訪問，省公司段地址則通過網(wǎng)康設(shè)備要求認(rèn)證審計(jì)才能訪問internet。這樣，就達(dá)到了兩個(gè)段地址同時(shí)存在，且能同時(shí)訪問internet。

缺陷及消除

缺陷

當(dāng)檢測完成后，以為一切順利時(shí)，這時(shí)一個(gè)對端口抓包發(fā)現(xiàn)了缺陷。在觀察端口時(shí)發(fā)現(xiàn)，端口沒有廣播包產(chǎn)生。也就是說交換機(jī)自身的廣播尋址無法作用了。這樣的后果就是，接在同一個(gè)交換機(jī)上的兩臺pc機(jī)之間都是ping不通的。作為網(wǎng)管員，本人也不能遠(yuǎn)程管理人和一臺接入層交換機(jī)。

分析原因，原來是在全局下應(yīng)用了qos策略，使得vlan內(nèi)的廣播數(shù)據(jù)包夜被轉(zhuǎn)移到了下一跳，無法訪問網(wǎng)關(guān)接口了。

消除缺陷

想清楚了問題原因，解決起來就簡單了許多，只要將私有地址訪問私有地址的數(shù)據(jù)包過濾出來，不讓重定向到下一跳即可。于是再建立ACL number 3002

建立基于源地址與目的地址的匹配規(guī)則，并定義流類別和行為

割接實(shí)施

首先規(guī)劃好vlan，仍按26位掩碼進(jìn)行劃分，然后逐個(gè)vlan進(jìn)行過度到省公司通道，當(dāng)該vlan下用戶全部更改pc機(jī)網(wǎng)絡(luò)參數(shù)后，則在acl 3001中刪除該段地址的匹配項(xiàng)。從而實(shí)現(xiàn)了在割接前，以及割接后，都不影響其他段用戶正常上網(wǎng)，達(dá)到了平滑割接的目的。

經(jīng)驗(yàn)總結(jié)

創(chuàng)建策略

在消除缺陷的時(shí)候，由于類3和行為3后創(chuàng)建，因此在添加進(jìn)qos時(shí)，沒有調(diào)整順序，直接為添加，排在了類2行為2后面。檢測缺陷時(shí)，缺陷仍然存在。

檢查了幾次策略，認(rèn)為沒有錯(cuò)誤，但就是沒有執(zhí)行。于是想到了順序問題。在交換機(jī)執(zhí)行qos策略路由時(shí)，是按照先后順序執(zhí)行。而如果類2和行為2在前執(zhí)行的話，已經(jīng)將所有匹配的數(shù)據(jù)包跳到了下一跳，因此在執(zhí)行下面類和行為時(shí)，已經(jīng)沒有數(shù)據(jù)包匹配了，所以總是匹配不了數(shù)據(jù)包，也就沒有廣播包發(fā)出到各個(gè)端口，缺陷仍然存在。

于是在定義qos的時(shí)候，將類3和行為3放在前面執(zhí)行，缺陷得以消除。

策略應(yīng)用

開始時(shí)，本人將qos策略應(yīng)用在兩個(gè)通道接入端口inbound方向，發(fā)現(xiàn)策略根本不生效，后又改為outbound方向無法生效。于是仔細(xì)研究這個(gè)inbound與outbound區(qū)別。

得知區(qū)別后，最準(zhǔn)確的應(yīng)為各接入端口進(jìn)入交換機(jī)的數(shù)據(jù)上做策略，因此開始在各端口下應(yīng)用策略。但是7506E交換機(jī)共有40個(gè)接入口，應(yīng)用起來太繁瑣，而且每次修改acl，都要重新取消qos的應(yīng)用，就更加繁瑣了。

全局下進(jìn)入交換機(jī)的數(shù)據(jù)，那么匹配的時(shí)候，從接入口發(fā)來的數(shù)據(jù)包則匹配成功，同時(shí)從上行口返回的數(shù)據(jù)，由于源地址發(fā)生了改變（為公網(wǎng)IP地址），目的地址才為vlan下劃分的私有地址。想通了這一點(diǎn)，于是將qos應(yīng)用于全局的inbound方向，終于解決問題。