網(wǎng)絡(luò)現(xiàn)狀

某集團公司的分部有多個網(wǎng)點，先期組網(wǎng)整個分部在同一網(wǎng)段內(nèi)，即分部Web服務(wù)器、網(wǎng)點主機地址全部在總部分配的10.0.0.0/20地址段內(nèi)，如圖1虛線左下部分。

該種組網(wǎng)方式雖簡單，但卻存在諸多問題，如同網(wǎng)段內(nèi)主機過多，MAC地址表過大，廣播對網(wǎng)絡(luò)影響大，網(wǎng)絡(luò)性能低，ARP欺騙頻繁等等。為徹底解決上述問題，擬對網(wǎng)絡(luò)地址進行改造，對總部分配的地址組子網(wǎng)化，每個網(wǎng)點單獨的網(wǎng)絡(luò)，分配64個地址。地址分配表如表1所示。整個網(wǎng)絡(luò)改造計劃如下：

1、因地址是總部統(tǒng)一分配的，所以新規(guī)劃的地址與原地址存在包含關(guān)系，需新增一臺交換機，用作網(wǎng)絡(luò)改造后的網(wǎng)點的接入網(wǎng)關(guān)，新增交換機與原分部核心交換機之間增加三層連接，新增交換機默認(rèn)路由指向原分部核心交換機。

表1 地址分配表

2、每個網(wǎng)點新增一條專線，并規(guī)劃獨立的VLAN，網(wǎng)關(guān)設(shè)在新增交換機上。

3、改網(wǎng)點交換機及網(wǎng)點主機的掩碼及網(wǎng)關(guān)，IP地址不變。

4、在原核心交換機上，新增改造后網(wǎng)點的路由，指向新增交換機。

5、測試成功后，拆原祼纖。

6、分部Web服務(wù)器等需在所有網(wǎng)點改造完成后再實施掩碼與網(wǎng)關(guān)的變更，否則未改造的網(wǎng)點會網(wǎng)絡(luò)不通。

注意：該種改造方法可以逐個網(wǎng)點改造，且網(wǎng)點及中心IP地址本身不變（僅變更掩碼及網(wǎng)關(guān)），對應(yīng)用配置無影響。

圖1 原網(wǎng)絡(luò)拓?fù)鋱D

圖2 改造后的網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)點1改造過程中的拓?fù)淙鐖D2所示。根據(jù)上述步驟實施網(wǎng)點1的網(wǎng)絡(luò)變更，改造后發(fā)現(xiàn)網(wǎng)點1的主機10.0.1.1（以下簡稱網(wǎng)點主機）能ping通分部Web服務(wù)器10.0.0.1（以下簡稱分部服務(wù)器），但將原祼纖拆除后，卻不能ping通分部服務(wù)器。為什么會這樣呢？在ping通的情況下，祼纖承載什么作用呢？我們來分析一下，網(wǎng)點主機IP為10.0.1.1，掩碼為255.255.255.192，當(dāng)它發(fā)起ping分部服務(wù)器10.0.0.1時，經(jīng)比較，發(fā)現(xiàn)目標(biāo)主機為非本網(wǎng)段主機，于是將“ping包”發(fā)給網(wǎng)關(guān)（新增交換機）處理，新增交換機查找路表，將“ping包”發(fā)給分部核心交換機處理，分部核心交換機發(fā)現(xiàn)目標(biāo)主機在本交換機的一個直連接口上，于是直接發(fā)給分部服務(wù)器。當(dāng)然，通迅是雙向的，當(dāng)分部服務(wù)器收到網(wǎng)點主機的“ping包”時，它會怎么處理呢？分部服務(wù)器的地址為10.0.0.1，掩為255.255.240.0，經(jīng)比較，發(fā)現(xiàn)目標(biāo)主機10.0.1.1與本機為為同網(wǎng)段的，就會發(fā)廣播包查它的MAC地址，而祼纖此時是正常的，網(wǎng)點主機通過祼纖返回MAC地址給分部服務(wù)器，“ping回包”就通過祼纖直接回傳給網(wǎng)點PC機。由此可以看出，數(shù)據(jù)的往返路徑是不一致的，上行走新增的專線，下行還是走原來的裸纖，這樣當(dāng)?shù)惱w中斷后，網(wǎng)絡(luò)自然就不通了。

問題似乎無解了，從分部服務(wù)器這端來說，因為掩碼問題，認(rèn)為改造后網(wǎng)點主機跟它是同網(wǎng)段的，自然不會將數(shù)據(jù)包扔給網(wǎng)關(guān)處理，這樣祼纖就不能拆除，網(wǎng)絡(luò)改造宣布失敗。

有沒有辦法讓分部服務(wù)器的“ping回包”發(fā)給分部核心交換機呢？因為只有它才能將改造后網(wǎng)點的數(shù)據(jù)包發(fā)往正確的目的地。這時，ARP代理閃了一下，能否用ARP代理解決分部服務(wù)器的MAC廣播呢？答案是肯定的。在分部核心交換機的VLAN接口上增加配置 arp-proxy enable （注意，不同廠商的交換機命令不一樣），這樣就能完美的解決祼纖拆除后的網(wǎng)絡(luò)通迅問題。現(xiàn)在我們來看下，arp-proxy究竟起到了什么作用。還是分部服務(wù)器的“ping回包”，當(dāng)分部服務(wù)器通過廣播查找網(wǎng)點主機的MAC地址時，分部核心交換機收到了該廣播包，于是查找自己的路由表，發(fā)現(xiàn)自己的路由表中有去往網(wǎng)點1的路由，隨即回復(fù)，告訴分部服務(wù)器，網(wǎng)點主機的MAC就是它自己。分部服務(wù)器收到后，構(gòu)造目標(biāo)MAC為分部核心交換機的數(shù)據(jù)包，發(fā)給分部核心交換機，分部核心交換機查找路由表，將數(shù)據(jù)發(fā)給新增交換機，這樣將“ping回包”通過新專線返回給網(wǎng)點主機。至此，網(wǎng)絡(luò)改造得以繼續(xù)進行。

這次碰到的問題，雖然解決起來只有一條命令，但卻需要平時多多了解網(wǎng)絡(luò)技術(shù)。“厚積而薄發(fā)”，只有平時注重網(wǎng)絡(luò)知識的積累，才能在碰到問題時信手拈來，快速地解決網(wǎng)絡(luò)中碰到的問題，保障網(wǎng)絡(luò)運行安全、穩(wěn)定。