網(wǎng)絡(luò)現(xiàn)狀

某集團(tuán)公司的分部有多個(gè)網(wǎng)點(diǎn)，先期組網(wǎng)整個(gè)分部在同一網(wǎng)段內(nèi)，即分部Web服務(wù)器、網(wǎng)點(diǎn)主機(jī)地址全部在總部分配的10.0.0.0/20地址段內(nèi)，如圖1虛線左下部分。

該種組網(wǎng)方式雖簡單，但卻存在諸多問題，如同網(wǎng)段內(nèi)主機(jī)過多，MAC地址表過大，廣播對(duì)網(wǎng)絡(luò)影響大，網(wǎng)絡(luò)性能低，ARP欺騙頻繁等等。為徹底解決上述問題，擬對(duì)網(wǎng)絡(luò)地址進(jìn)行改造，對(duì)總部分配的地址組子網(wǎng)化，每個(gè)網(wǎng)點(diǎn)單獨(dú)的網(wǎng)絡(luò)，分配64個(gè)地址。地址分配表如表1所示。整個(gè)網(wǎng)絡(luò)改造計(jì)劃如下：

1、因地址是總部統(tǒng)一分配的，所以新規(guī)劃的地址與原地址存在包含關(guān)系，需新增一臺(tái)交換機(jī)，用作網(wǎng)絡(luò)改造后的網(wǎng)點(diǎn)的接入網(wǎng)關(guān)，新增交換機(jī)與原分部核心交換機(jī)之間增加三層連接，新增交換機(jī)默認(rèn)路由指向原分部核心交換機(jī)。

表1 地址分配表

2、每個(gè)網(wǎng)點(diǎn)新增一條專線，并規(guī)劃獨(dú)立的VLAN，網(wǎng)關(guān)設(shè)在新增交換機(jī)上。

3、改網(wǎng)點(diǎn)交換機(jī)及網(wǎng)點(diǎn)主機(jī)的掩碼及網(wǎng)關(guān)，IP地址不變。

4、在原核心交換機(jī)上，新增改造后網(wǎng)點(diǎn)的路由，指向新增交換機(jī)。

5、測(cè)試成功后，拆原祼纖。

6、分部Web服務(wù)器等需在所有網(wǎng)點(diǎn)改造完成后再實(shí)施掩碼與網(wǎng)關(guān)的變更，否則未改造的網(wǎng)點(diǎn)會(huì)網(wǎng)絡(luò)不通。

注意：該種改造方法可以逐個(gè)網(wǎng)點(diǎn)改造，且網(wǎng)點(diǎn)及中心IP地址本身不變（僅變更掩碼及網(wǎng)關(guān)），對(duì)應(yīng)用配置無影響。

圖1 原網(wǎng)絡(luò)拓?fù)鋱D

圖2 改造后的網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)點(diǎn)1改造過程中的拓?fù)淙鐖D2所示。根據(jù)上述步驟實(shí)施網(wǎng)點(diǎn)1的網(wǎng)絡(luò)變更，改造后發(fā)現(xiàn)網(wǎng)點(diǎn)1的主機(jī)10.0.1.1（以下簡稱網(wǎng)點(diǎn)主機(jī)）能ping通分部Web服務(wù)器10.0.0.1（以下簡稱分部服務(wù)器），但將原祼纖拆除后，卻不能ping通分部服務(wù)器。為什么會(huì)這樣呢？在ping通的情況下，祼纖承載什么作用呢？我們來分析一下，網(wǎng)點(diǎn)主機(jī)IP為10.0.1.1，掩碼為255.255.255.192，當(dāng)它發(fā)起ping分部服務(wù)器10.0.0.1時(shí)，經(jīng)比較，發(fā)現(xiàn)目標(biāo)主機(jī)為非本網(wǎng)段主機(jī)，于是將“ping包”發(fā)給網(wǎng)關(guān)（新增交換機(jī)）處理，新增交換機(jī)查找路表，將“ping包”發(fā)給分部核心交換機(jī)處理，分部核心交換機(jī)發(fā)現(xiàn)目標(biāo)主機(jī)在本交換機(jī)的一個(gè)直連接口上，于是直接發(fā)給分部服務(wù)器。當(dāng)然，通迅是雙向的，當(dāng)分部服務(wù)器收到網(wǎng)點(diǎn)主機(jī)的“ping包”時(shí)，它會(huì)怎么處理呢？分部服務(wù)器的地址為10.0.0.1，掩為255.255.240.0，經(jīng)比較，發(fā)現(xiàn)目標(biāo)主機(jī)10.0.1.1與本機(jī)為為同網(wǎng)段的，就會(huì)發(fā)廣播包查它的MAC地址，而祼纖此時(shí)是正常的，網(wǎng)點(diǎn)主機(jī)通過祼纖返回MAC地址給分部服務(wù)器，“ping回包”就通過祼纖直接回傳給網(wǎng)點(diǎn)PC機(jī)。由此可以看出，數(shù)據(jù)的往返路徑是不一致的，上行走新增的專線，下行還是走原來的裸纖，這樣當(dāng)?shù)惱w中斷后，網(wǎng)絡(luò)自然就不通了。

問題似乎無解了，從分部服務(wù)器這端來說，因?yàn)檠诖a問題，認(rèn)為改造后網(wǎng)點(diǎn)主機(jī)跟它是同網(wǎng)段的，自然不會(huì)將數(shù)據(jù)包扔給網(wǎng)關(guān)處理，這樣祼纖就不能拆除，網(wǎng)絡(luò)改造宣布失敗。

有沒有辦法讓分部服務(wù)器的“ping回包”發(fā)給分部核心交換機(jī)呢？因?yàn)橹挥兴拍軐⒏脑旌缶W(wǎng)點(diǎn)的數(shù)據(jù)包發(fā)往正確的目的地。這時(shí)，ARP代理閃了一下，能否用ARP代理解決分部服務(wù)器的MAC廣播呢？答案是肯定的。在分部核心交換機(jī)的VLAN接口上增加配置 arp-proxy enable （注意，不同廠商的交換機(jī)命令不一樣），這樣就能完美的解決祼纖拆除后的網(wǎng)絡(luò)通迅問題?，F(xiàn)在我們來看下，arp-proxy究竟起到了什么作用。還是分部服務(wù)器的“ping回包”，當(dāng)分部服務(wù)器通過廣播查找網(wǎng)點(diǎn)主機(jī)的MAC地址時(shí)，分部核心交換機(jī)收到了該廣播包，于是查找自己的路由表，發(fā)現(xiàn)自己的路由表中有去往網(wǎng)點(diǎn)1的路由，隨即回復(fù)，告訴分部服務(wù)器，網(wǎng)點(diǎn)主機(jī)的MAC就是它自己。分部服務(wù)器收到后，構(gòu)造目標(biāo)MAC為分部核心交換機(jī)的數(shù)據(jù)包，發(fā)給分部核心交換機(jī)，分部核心交換機(jī)查找路由表，將數(shù)據(jù)發(fā)給新增交換機(jī)，這樣將“ping回包”通過新專線返回給網(wǎng)點(diǎn)主機(jī)。至此，網(wǎng)絡(luò)改造得以繼續(xù)進(jìn)行。

這次碰到的問題，雖然解決起來只有一條命令，但卻需要平時(shí)多多了解網(wǎng)絡(luò)技術(shù)?！昂穹e而薄發(fā)”，只有平時(shí)注重網(wǎng)絡(luò)知識(shí)的積累，才能在碰到問題時(shí)信手拈來，快速地解決網(wǎng)絡(luò)中碰到的問題，保障網(wǎng)絡(luò)運(yùn)行安全、穩(wěn)定。