網(wǎng)絡(luò)現(xiàn)狀

校園網(wǎng)出口設(shè)備深信服AD-2000上聯(lián)三條光纖鏈路到運營商，下聯(lián)兩臺思科ASA 5550防火墻，防火墻下聯(lián)兩臺思科6509-E核心交換機，新校區(qū)各棟樓的思科3560-E匯聚交換機分別上聯(lián)兩臺核心交換機，老校區(qū)一臺思科6509交換機作為匯聚交換機分別上聯(lián)兩臺核心交換機，新老兩個校區(qū)各棟樓的樓層接入交換機分別上聯(lián)到各棟樓的匯聚交換機，接入交換機主要采用思科、華為、華三等主流廠商的設(shè)備。原網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

圖1 原網(wǎng)絡(luò)拓撲圖

存在的問題

兩臺核心交換機配置的是HSRP+PVST，一臺為主，另一臺為備。兩臺防火墻配置的是Failover，也是一臺為主，另一臺為備?，F(xiàn)在的問題是主設(shè)備出問題時，切到備用設(shè)備延時嚴重，通過分析論證得知是因為從主核心交換機切換到備用核心交換機需要等待HSRP收斂時間加上生成樹收斂時間，而且從主防火墻切換到備用防火墻也是需要時間的。那我們能不能做到主備設(shè)備切換時只需要等待第一跳冗余協(xié)議的收斂時間呢?答案是肯定的，傳統(tǒng)的園區(qū)網(wǎng)絡(luò)架構(gòu)通用的是VRRP+MSTP，配置多個VLAN，核心交換機之間通過Trunk鏈路作為心跳線保持連接，一部分MSTP實例的主根設(shè)置在主核心交換機上，次根設(shè)置在備用核心交換機上；另外一部分MSTP實例的主根設(shè)置在備用核心交換機上，次根設(shè)置在主核心交換機上。VRRP主備路由器角色的配置和MSTP實例的主備根配置保持一致，要切換二者同時切換。

其實，完全沒必要配置MSTP，更不用配置MSTP實例的主備根，甚至可以關(guān)閉核心交換機的生成樹功能。解決此問題的方法是兩臺核心交換機之間的鏈路走三層，這樣核心交換機和匯聚交換機之間就不存在環(huán)路，一部分VLAN通過VRRP主備路由器角色配置走主核心交換機，出問題后走備用核心交換機；另一部分VLAN通過VRRP主備路由器角色配置走備用核心交換機，出問題后走主核心交換機。如此一來就完美的解決了采用HSRP+PVST模式導(dǎo)致主備設(shè)備切換延時嚴重的問題。

圖2 改造后的網(wǎng)絡(luò)拓撲圖

升級改造解決方案

最近在一次例行設(shè)備巡檢時發(fā)現(xiàn)備用防火墻損壞，完全不能工作，一旦主防火墻、主核心交換機故障，整個校園網(wǎng)用戶都不能上網(wǎng)。因此，急需改造現(xiàn)有網(wǎng)絡(luò)，改造后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖2所示。

（1）物理連接調(diào)整

使用一條6類雙絞線連接備用核心交換機和主防火墻，連接備用核心交換機的防火墻端口設(shè)置成內(nèi)部接口，其余連接保持不變。

（2）備用核心交換機配置調(diào)整

首先，將備用核心交換機的配置導(dǎo)出來，然后將連接到備用核心交換機的所有線纜全部拔掉，刪除備用核心交換機的所有配置并重啟設(shè)備，在交換機上關(guān)閉VTP功能，建立VLAN，創(chuàng)建三層以太通道用來連接主核心交換機，配置SVI接口和SVI接口的VRRP主備路由器角色，連接到匯聚交換機的接口全部配置成Trunk，創(chuàng)建默認路由下一跳指向主防火墻，再創(chuàng)建一條帶管理距離的默認路由下一跳指向三層以太通道的對端IP地址。最后，再創(chuàng)建一條到內(nèi)網(wǎng)網(wǎng)段的下一跳指向三層以太通道對端IP地址的靜態(tài)路由。

VRRP配置如下（部分）：

（3）主防火墻配置調(diào)整

首先，將連接備用核心交換機的防火墻端口設(shè)置成內(nèi)部接口，然后創(chuàng)建一條到內(nèi)網(wǎng)網(wǎng)段的下一跳指向主核心交換機的靜態(tài)路由，最后創(chuàng)建一條帶管理距離的到內(nèi)網(wǎng)網(wǎng)段的下一跳指向備用核心交換機的靜態(tài)路由，其余配置保持不變。

路由配置如下：

（4）主核心交換機配置調(diào)整

首先，將主核心交換機的配置導(dǎo)出來，然后將連接到主核心交換機的所有線纜全部拔掉，刪除主核心交換機的所有配置并重啟設(shè)備，在交換機上關(guān)閉VTP功能，建立VLAN，創(chuàng)建三層以太通道用來連接備用核心交換機，配置SVI接口和SVI接口的VRRP主備路由器角色，連接到匯聚交換機的接口全部配置成Trunk，創(chuàng)建默認路由下一跳指向主防火墻，再創(chuàng)建一條帶管理距離的默認路由下一跳指向三層以太通道的對端IP地址。最后，再創(chuàng)建一條到內(nèi)網(wǎng)網(wǎng)段的下一跳指向三層以太通道對端IP地址的靜態(tài)路由。

VRRP配置如下（部分）：

升級改造后的效果

實踐證明：通過以上的升級改造，優(yōu)化了全網(wǎng)結(jié)構(gòu)，使得網(wǎng)絡(luò)層次更加清晰，更加扁平化，大大提高了網(wǎng)絡(luò)的穩(wěn)定性和可靠性，同時滿足了用戶對網(wǎng)絡(luò)服務(wù)質(zhì)量的較高要求，提高了用戶的感知度，減輕了運維人員的壓力，提升了服務(wù)質(zhì)量。