網(wǎng)絡(luò)結(jié)構(gòu)

某集團(tuán)公司的分部有多個(gè)網(wǎng)點(diǎn)，先期組網(wǎng)整個(gè)分部在同一網(wǎng)段內(nèi)，即分部Web服務(wù)器、網(wǎng)點(diǎn)主機(jī)地址全部在總部分配的10.0.0.0/20地址段內(nèi)，如圖1虛線左下部分。

該種組網(wǎng)方式雖簡(jiǎn)單，但卻存在諸多問(wèn)題，如同網(wǎng)段內(nèi)主機(jī)過(guò)多、MAC地址表過(guò)大、廣播對(duì)網(wǎng)絡(luò)影響大、網(wǎng)絡(luò)性能低、ARP欺騙頻繁等。為徹底解決上述問(wèn)題，擬對(duì)網(wǎng)絡(luò)地址進(jìn)行改造，對(duì)總部分配的地址組子網(wǎng)化，每個(gè)網(wǎng)點(diǎn)單獨(dú)的網(wǎng)絡(luò)，分配64個(gè)地址。地址分配表如表1所示。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

改造計(jì)劃

整個(gè)網(wǎng)絡(luò)改造計(jì)劃如下：

1.因地址是總部統(tǒng)一分配的，所以新規(guī)劃的地址與原地址存在包含關(guān)系，需新增一臺(tái)交換機(jī)，用作網(wǎng)絡(luò)改造后的網(wǎng)點(diǎn)的接入網(wǎng)關(guān)，新增交換機(jī)與原分部核心交換機(jī)之間增加三層連接，新增交換機(jī)默認(rèn)路由指向原分部核心交換機(jī)。

2.每個(gè)網(wǎng)點(diǎn)新增一條專線，并規(guī)劃獨(dú)立的VLAN，網(wǎng)關(guān)設(shè)在新增交換機(jī)上。

3.修改網(wǎng)點(diǎn)交換機(jī)及網(wǎng)點(diǎn)主機(jī)的掩碼及網(wǎng)關(guān)，IP地址不變。

4.在原核心交換機(jī)上，新增改造后網(wǎng)點(diǎn)的路由，指向新增交換機(jī)。

5.測(cè)試成功后，拆除原祼纖。

6.分部Web服務(wù)器等需在所有網(wǎng)點(diǎn)改造完成后再實(shí)施掩碼與網(wǎng)關(guān)的變更，否則未改造的網(wǎng)點(diǎn)會(huì)網(wǎng)絡(luò)不通。

注：該種改造方法可以逐個(gè)網(wǎng)點(diǎn)改造，且網(wǎng)點(diǎn)及中心IP地址本身不變（僅變更掩碼及網(wǎng)關(guān)），對(duì)應(yīng)用配置無(wú)影響。

表1 地址分配表

網(wǎng)點(diǎn)1改造過(guò)程中的拓?fù)浣Y(jié)構(gòu)如圖2所示。

故障現(xiàn)象

根據(jù)上述步驟實(shí)施網(wǎng)點(diǎn)1的網(wǎng)絡(luò)變更，改造后發(fā)現(xiàn)網(wǎng)點(diǎn)1的主機(jī)10.0.1.1（以下簡(jiǎn)稱網(wǎng)點(diǎn)主機(jī)）能Ping通分部Web服務(wù)器10.0.0.1（以下簡(jiǎn)稱分部服務(wù)器），但將原祼纖拆除后，卻不能Ping通分部服務(wù)器。為什么會(huì)這樣呢?在Ping通的情況下，祼纖承載什么作用呢?

故障分析

我們來(lái)分析一下，網(wǎng)點(diǎn)主機(jī)IP為10.0.1.1，掩碼為255.255.255.192，當(dāng) 它 發(fā) 起Ping分部服務(wù)器10.0.0.1時(shí)，經(jīng)比較，發(fā)現(xiàn)目標(biāo)主機(jī)為非本網(wǎng)段主機(jī)，于是將“Ping包”發(fā)給網(wǎng)關(guān)（新增交換機(jī)）處理，新增交換機(jī)查找路表，將“Ping包”發(fā)給分部核心交換機(jī)處理，分部核心交換機(jī)發(fā)現(xiàn)目標(biāo)主機(jī)在本交換機(jī)的一個(gè)直連接口上，于是直接發(fā)給分部服務(wù)器。

圖2 網(wǎng)絡(luò)改造結(jié)構(gòu)

當(dāng)然，通迅是雙向的，當(dāng)分部服務(wù)器收到網(wǎng)點(diǎn)主機(jī)的“Ping包”時(shí)，它會(huì)怎么處理呢?分部服務(wù)器的地址為10.0.0.1，掩碼為255.255.240.0，經(jīng)比較，發(fā)現(xiàn)目標(biāo)主機(jī)10.0.1.1與本機(jī)為為同網(wǎng)段的，就會(huì)發(fā)廣播包查它的MAC地址，而祼纖此時(shí)是正常的，網(wǎng)點(diǎn)主機(jī)通過(guò)祼纖返回MAC地址給分部服務(wù)器，“Ping回包”就通過(guò)祼纖直接回傳給網(wǎng)點(diǎn)PC機(jī)。由此可以看出，數(shù)據(jù)的往返路徑是不一致的，上行走新增的專線，下行還是走原來(lái)的裸纖，這樣當(dāng)?shù)惱w中斷后，網(wǎng)絡(luò)自然就不通了。

問(wèn)題似乎無(wú)解了，從分部服務(wù)器這端來(lái)說(shuō)，因?yàn)檠诖a問(wèn)題，認(rèn)為改造后網(wǎng)點(diǎn)主機(jī)跟它是同網(wǎng)段的，自然不會(huì)將數(shù)據(jù)包扔給網(wǎng)關(guān)處理，這樣祼纖就不能拆除，網(wǎng)絡(luò)改造宣布失敗。

故障解決

有沒(méi)有辦法讓分部服務(wù)器的“Ping回包”發(fā)給分部核心交換機(jī)呢?因?yàn)橹挥兴拍軐⒏脑旌缶W(wǎng)點(diǎn)的數(shù)據(jù)包發(fā)往正確的目的地。這時(shí)，ARP代理閃了一下，能否用ARP代理解決分部服務(wù)器的MAC廣播呢?答案是肯定的。

在分部核心交換機(jī)的VLAN接口上增加配置arpproxy enable （注意，不同廠商的交換機(jī)命令不一樣），這樣就能完美地解決祼纖拆除后的網(wǎng)絡(luò)通迅問(wèn)題。

現(xiàn)在我們來(lái)一看下，arpproxy究竟起到了什么作用。還是分部服務(wù)器的“Ping回包”，當(dāng)分部服務(wù)器通過(guò)廣播查找網(wǎng)點(diǎn)主機(jī)的MAC地址時(shí)，分部核心交換機(jī)收到了該廣播包，于是查找自己的路由表，發(fā)現(xiàn)自己的路由表中有去往網(wǎng)點(diǎn)1的路由，隨即回復(fù)，告訴分部服務(wù)器，網(wǎng)點(diǎn)主機(jī)的MAC就是它自己。分部服務(wù)器收到后，構(gòu)造目標(biāo)MAC為分部核心交換機(jī)的數(shù)據(jù)包，發(fā)給分部核心交換機(jī)，分部核心交換機(jī)查找路由表，將數(shù)據(jù)發(fā)給新增交換機(jī)，這樣將“Ping回包”通過(guò)新專線返回給網(wǎng)點(diǎn)主機(jī)。至此，網(wǎng)絡(luò)改造得以繼續(xù)進(jìn)行。

經(jīng)驗(yàn)總結(jié)

這次碰到的問(wèn)題，雖然解決起來(lái)只有一條命令，但卻需要平時(shí)多多了解網(wǎng)絡(luò)技術(shù)?！昂穹e而薄發(fā)”，只有平時(shí)注重網(wǎng)絡(luò)知識(shí)的積累，才能在碰到問(wèn)題時(shí)信手拈來(lái)，快速地解決網(wǎng)絡(luò)中碰到的問(wèn)題。