霍 宏，裴 文，陳常龍

（蘭州石化公司自動(dòng)化研究院，蘭州 730000）

1 企業(yè)網(wǎng)絡(luò)基本情況

近幾年來(lái)，石化企業(yè)信息應(yīng)用系統(tǒng)的數(shù)量不斷增加、范圍不斷延伸，企業(yè)生產(chǎn)、運(yùn)行、管理等各方面的工作對(duì)網(wǎng)絡(luò)平臺(tái)的依賴(lài)程度也越來(lái)越高。伴隨著企業(yè)日益增長(zhǎng)的業(yè)務(wù)需求，企業(yè)局域網(wǎng)的建設(shè)也必須向著“高可靠、高安全、高性能、可擴(kuò)展”的方向邁進(jìn)，以保證企業(yè)各種信息系統(tǒng)的穩(wěn)定運(yùn)行，更好地為企業(yè)各級(jí)用戶(hù)服務(wù)。

1.1 現(xiàn)狀概述

石化企業(yè)局域網(wǎng)光纜里程長(zhǎng)，覆蓋面積大。網(wǎng)絡(luò)設(shè)施覆蓋范圍廣、涉及用戶(hù)多。原有網(wǎng)絡(luò)為2007 年建成，分核心、匯聚、接入三個(gè)層次。接入層提供用戶(hù)計(jì)算機(jī)網(wǎng)絡(luò)接入點(diǎn)，設(shè)備端口相對(duì)密集，可以在端口上設(shè)置簡(jiǎn)單的訪(fǎng)問(wèn)控制策略，放置地點(diǎn)一般為辦公樓樓道機(jī)柜；匯聚層是大量接入層設(shè)備的匯聚點(diǎn)，提供路由計(jì)算、安全過(guò)濾、流量控制等功能，通常放置在二級(jí)單位辦公樓機(jī)柜間；核心層實(shí)現(xiàn)各自治系統(tǒng)網(wǎng)絡(luò)之間的優(yōu)化傳輸，是所有流量的最終承受者，具備冗余和高速數(shù)據(jù)轉(zhuǎn)發(fā)能力，放置地點(diǎn)在企業(yè)核心機(jī)房和區(qū)域網(wǎng)絡(luò)中心機(jī)房。三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)消除了單點(diǎn)故障，是企業(yè)網(wǎng)絡(luò)穩(wěn)定運(yùn)行的基礎(chǔ)。

1.2 路由架構(gòu)

原有網(wǎng)絡(luò)在核心層及匯聚層網(wǎng)絡(luò)設(shè)備中，采用了兩種不同類(lèi)別的路由協(xié)議。一部分網(wǎng)絡(luò)設(shè)備啟用了OSPF 動(dòng)態(tài)路由協(xié)議，另一部分啟用了Trunk 鏈路類(lèi)型端口連接的靜態(tài)路由協(xié)議。下面以服務(wù)器至核心、機(jī)關(guān)至核心為例，簡(jiǎn)要說(shuō)明這兩種路由協(xié)議的應(yīng)用形式。

服務(wù)器至核心交換機(jī)之間采用靜態(tài)路由協(xié)議。所屬機(jī)房的服務(wù)器交換機(jī)通過(guò)一條捆綁鏈路Eth－trunk 1 連至核心2，連至核心1 的為一條共享備用鏈路，并人為配置為Admin Down 狀態(tài)，這樣由于核心1、核心2 互為備份交換機(jī)，當(dāng)服務(wù)器交換機(jī)的捆綁鏈路中斷或者核心2 交換機(jī)出現(xiàn)故障后，可以手動(dòng)啟用備用鏈路，保證網(wǎng)絡(luò)正常通信。

1.3 存在問(wèn)題

經(jīng)過(guò)對(duì)原有網(wǎng)絡(luò)基本情況以及近期故障原因分析，發(fā)現(xiàn)原有骨干網(wǎng)絡(luò)主要存在以下幾點(diǎn)問(wèn)題。

1.3.1 設(shè)備性能不足

原有網(wǎng)絡(luò)設(shè)備幾乎都已過(guò)保，設(shè)備消耗也比較嚴(yán)重。設(shè)備整體性能下降而企業(yè)網(wǎng)絡(luò)業(yè)務(wù)卻不斷增加，致使部分設(shè)備在網(wǎng)絡(luò)流量高峰時(shí)段CPU 占用率達(dá)70%以上。設(shè)備性能已成為網(wǎng)絡(luò)擴(kuò)展的瓶頸，亟待升級(jí)更換。表1 為部分節(jié)點(diǎn)CPU 占用率示例。

表1 部分節(jié)點(diǎn)CPU 占用率

1.3.2 核心層交換機(jī)業(yè)務(wù)繁重

核心交換機(jī)除負(fù)責(zé)整體網(wǎng)絡(luò)數(shù)據(jù)流量的傳輸外，還承擔(dān)著主要業(yè)務(wù)網(wǎng)關(guān)功能，降低了其高速轉(zhuǎn)發(fā)能力。同時(shí)，當(dāng)網(wǎng)絡(luò)業(yè)務(wù)發(fā)生改變時(shí)，需頻繁對(duì)核心交換機(jī)進(jìn)行變更操作，影響其穩(wěn)定性。由于核心交換機(jī)集多種業(yè)務(wù)于一身，增加了網(wǎng)絡(luò)故障處理的難度。

1.3.3 路由協(xié)議維護(hù)不便

由于OSPF 路由和靜態(tài)路由的計(jì)算方式不同，所以?xún)煞N路由配置形式也不相同，增加了協(xié)議應(yīng)用的難度。同時(shí)，靜態(tài)路由無(wú)法自動(dòng)根據(jù)網(wǎng)絡(luò)拓?fù)渥兓淖?，必須進(jìn)行手動(dòng)配置才能保證網(wǎng)絡(luò)連通性，無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)的無(wú)中斷切換，降低了運(yùn)維工作效率。

1.3.4 冗余性能不足

受限于設(shè)備性能及鏈路老化等問(wèn)題，原有網(wǎng)絡(luò)的冗余措施僅部分生效，某些關(guān)鍵冗余技術(shù)也無(wú)法應(yīng)用，加大了網(wǎng)絡(luò)整體的風(fēng)險(xiǎn)性。當(dāng)網(wǎng)絡(luò)發(fā)生故障后，需進(jìn)行人工跳線(xiàn)工作，調(diào)整鏈路恢復(fù)網(wǎng)絡(luò)，極易造成長(zhǎng)時(shí)間、大面積業(yè)務(wù)中斷。

2 網(wǎng)絡(luò)關(guān)鍵技術(shù)部署

企業(yè)骨干網(wǎng)絡(luò)的性能提升，需要在合理調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，因地制宜地部署各種可靠性技術(shù)，并通過(guò)多種技術(shù)的有效結(jié)合，達(dá)到網(wǎng)絡(luò)整體性能穩(wěn)固的目的。

2.1 網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化

為進(jìn)一步提高核心交換機(jī)高速數(shù)據(jù)轉(zhuǎn)發(fā)的主要性能，減輕核心交換機(jī)的業(yè)務(wù)負(fù)荷，將原有網(wǎng)絡(luò)存在于核心設(shè)備的業(yè)務(wù)網(wǎng)關(guān)全部下移至匯聚層交換機(jī)，以直連路由的形式發(fā)布到接入層網(wǎng)絡(luò)中。接入層設(shè)備通過(guò)VLAN 透?jìng)?，終結(jié)到各匯聚交換機(jī)的下行口上。其優(yōu)點(diǎn)在于既保障了業(yè)務(wù)網(wǎng)段的穩(wěn)定運(yùn)行，又避免了因業(yè)務(wù)變動(dòng)而對(duì)核心交換機(jī)進(jìn)行頻繁操作，降低了網(wǎng)絡(luò)運(yùn)維中故障處理的難度。

新增兩臺(tái)H3C 7510 作為服務(wù)器匯聚交換機(jī)，其余4 臺(tái)華為S5752 作為備用交換機(jī)。服務(wù)器接入單獨(dú)匯聚交換機(jī)且與新核心交換機(jī)之間有冗余鏈路，不會(huì)產(chǎn)生因?yàn)楹诵脑O(shè)備故障導(dǎo)致的大面積應(yīng)用業(yè)務(wù)中斷。

在所有的網(wǎng)絡(luò)匯聚層交換機(jī)中，雙設(shè)備之間采用雙萬(wàn)兆互聯(lián)，單萬(wàn)兆上行；單設(shè)備匯聚分別雙萬(wàn)兆上行至雙核心交換機(jī)。由于萬(wàn)兆光口對(duì)光纖衰耗要求比較高，根據(jù)近幾年鏈路更新及建設(shè)情況，對(duì)匯聚到核心的鏈路重新進(jìn)行優(yōu)化選擇。

2.2 OSPF 路由協(xié)議應(yīng)用

重新設(shè)計(jì)企業(yè)骨干網(wǎng)絡(luò)的OSPF 路由架構(gòu)，將企業(yè)核心層及匯聚層網(wǎng)絡(luò)全部納入OSPF 路由協(xié)議范疇。

交換機(jī)默認(rèn)沒(méi)有運(yùn)行OSPF 協(xié)議。需要人為進(jìn)行配置。企業(yè)骨干網(wǎng)絡(luò)OSPF 協(xié)議主要采用3 種模式：雙核心交換機(jī)互連、雙核心至雙匯聚交換機(jī)、雙核心至單匯聚交換機(jī)，下面分別就這3 種模式簡(jiǎn)要說(shuō)明OSPF 的配置過(guò)程。

2.2.1 核心交換機(jī)互連

一是配置核心交換機(jī)的Router ID。企業(yè)大樓核心（以下簡(jiǎn)稱(chēng)核心1）配置為10.X.X.1；區(qū)域中心核心（以下簡(jiǎn)稱(chēng)核心2）配置為10.X.X.2。

二是啟動(dòng)LoopBack 接口作為管理接口，并配置接口地址。為了管理方便通常將接口地址和Router ID 配置一致。

三是配置互連Vlan 及Vlan 接口地址。啟用雙核心互連Vlan，配置接口IP，掩碼為255.255.255.252。這里應(yīng)用了VLSM（可變長(zhǎng)子網(wǎng)掩碼）技術(shù)，以便最有效地利用現(xiàn)有的地址空間。

四是啟動(dòng)OSPF 進(jìn)程。兩臺(tái)核心都啟動(dòng)OSPF 1 進(jìn)程。

五是配置OSPF 區(qū)域。因?yàn)閮膳_(tái)核心之間連接處于骨干區(qū)域，所以必須配置為Area 0。

六是配置區(qū)域所包含的網(wǎng)段并在指定網(wǎng)段的接口上使能OSPF。缺省情況下，接口不屬于任何區(qū)域且OSPF 功能處于關(guān)閉狀態(tài)。一個(gè)網(wǎng)段只能屬于一個(gè)區(qū)域，并且必須為每個(gè)運(yùn)行OSPF 的接口指明屬于某一個(gè)特定的區(qū)域。在這個(gè)配置過(guò)程中，需要使用盡量精確的反掩碼。

2.2.2 雙核心至雙匯聚互連

以此分廠(chǎng)為例，雙核心至雙匯聚的OSPF 配置涉及雙設(shè)備互連的情況。

匯聚1 分別啟用了兩個(gè)Vlan 接口，分別連接核心1 和匯聚2，兩個(gè)接口同處于Area 4 中。其余配置步驟與上述核心之間的配置相同。

2.2.3 雙核心至單匯聚互連

以本分廠(chǎng)為例，雙核心至單匯聚的互連涉及OSPF 中cost值的計(jì)算問(wèn)題。其算法為：Cost ＝100×106／鏈路帶寬。在這里，鏈路帶寬以bps 來(lái)表示。也就是說(shuō)，OSPF 的Cost 與鏈路的帶寬成反比，帶寬越高，Cost 越小，表示OSPF 到目的地的距離越近。

核心至匯聚升級(jí)為雙萬(wàn)兆光纖連接，其鏈路的cost 值相同，在配置Vlan 接口的過(guò)程中，通過(guò)手動(dòng)設(shè)定接口cost 值，達(dá)到區(qū)分主備鏈路的目的。

在整個(gè)OSPF 的配置過(guò)程中，為了減少不必要的OSPF Hello 報(bào)文的發(fā)送，提高網(wǎng)絡(luò)資源的利用率，在相應(yīng)的Vlan 接口下啟用silent－interface 命令，使其變成靜默接口，這兩個(gè)接口不再向下連的各個(gè)匯聚發(fā)送Hello 報(bào)文。

匯聚交換機(jī)除了禁止環(huán)回接口外，還禁止了所有的業(yè)務(wù)VLAN 接口，這樣使得匯聚所有的下連接口不再發(fā)送Hello 報(bào)文，避免網(wǎng)絡(luò)資源的浪費(fèi)，而其下連接口的直連路由仍可以由其他接口發(fā)布出去。

2.3 VRRP 協(xié)議應(yīng)用

為了實(shí)現(xiàn)企業(yè)骨干網(wǎng)絡(luò)發(fā)生故障后，能夠快速、自動(dòng)地切換到冗余環(huán)境中，保證企業(yè)業(yè)務(wù)流轉(zhuǎn)的通暢性，需要在雙設(shè)備之間應(yīng)用VRRP 協(xié)議。

VRRP 協(xié)議的具體實(shí)施分為以下幾步：

一是創(chuàng)建VRRP 備份組并配置虛擬IP 地址。

二是配置路由器在備份組的優(yōu)先級(jí)。

三是配置備份組中的路由器工作在搶占方式，并設(shè)定搶占延遲時(shí)間。

四是配置監(jiān)視指定接口。

五是配置備份組發(fā)送和接收VRRP 報(bào)文的認(rèn)證。

六是配置備份組中Master 路由器發(fā)送VRRP 通告報(bào)文的時(shí)間間隔。

七是檢查VRRP 備份組的狀態(tài)信息。

使用缺省優(yōu)先級(jí)的匯聚，其priority 值為100，所以?xún)?yōu)先級(jí)高的匯聚作為Master 承擔(dān)業(yè)務(wù)轉(zhuǎn)發(fā)。

2.4 鏈路聚合技術(shù)應(yīng)用

在企業(yè)骨干網(wǎng)絡(luò)的所有雙設(shè)備之間運(yùn)用鏈路聚合技術(shù)，提高了雙設(shè)備互連的帶寬性能，消除單線(xiàn)故障隱患。

由于雙核心、雙匯聚對(duì)應(yīng)的冗余設(shè)備型號(hào)性能完全相同，故采用靜態(tài)聚合模式，簡(jiǎn)要配置過(guò)程分3 步進(jìn)行：

第一步，創(chuàng)建Eth－trunk 接口。

第二步，配置接口類(lèi)型及允許通過(guò)Vlan。

第三步，將以太網(wǎng)接口加入Eth－trunk 聚合組。

3 結(jié)語(yǔ)

石化企業(yè)骨干網(wǎng)絡(luò)升級(jí)優(yōu)化歷經(jīng)現(xiàn)場(chǎng)調(diào)研、方案設(shè)計(jì)、配置備份、設(shè)備安裝、鏈路調(diào)整、網(wǎng)絡(luò)規(guī)劃、設(shè)備聯(lián)調(diào)、網(wǎng)絡(luò)割接等階段，達(dá)到了企業(yè)網(wǎng)絡(luò)綜合性能提升的預(yù)期效果。目前，企業(yè)骨干網(wǎng)絡(luò)保持穩(wěn)定、高速運(yùn)行。

隨著網(wǎng)絡(luò)技術(shù)和用戶(hù)需求的不斷發(fā)展，陳舊的網(wǎng)絡(luò)運(yùn)維模式在管理企業(yè)整體網(wǎng)絡(luò)環(huán)境的工作中也略顯捉襟見(jiàn)肘。搭建綜合性的可擴(kuò)展的網(wǎng)絡(luò)管理平臺(tái)將是我們下一步的重點(diǎn)工作。同時(shí)，在網(wǎng)絡(luò)基礎(chǔ)條件允許的情況下，我們還將對(duì)企業(yè)生產(chǎn)網(wǎng)絡(luò)、末端接入網(wǎng)絡(luò)進(jìn)行升級(jí)優(yōu)化，為石化企業(yè)整體網(wǎng)絡(luò)提升畫(huà)上圓滿(mǎn)句號(hào)。