某区域固网优化改造

[摘 要] 安全可靠的网络是服务用户的基础。在目前用户及业务需求不断增加的前提下，根据公司资源情况，合理规划网络资源、优化网络结构，完善管内互联网接入层、汇聚层的调整，实现网络带宽的冗余备份能力。

[关键词] OSPF STP VRRP

随着综合业务的逐步发展，网络业务的应用也越来越丰富。从早期的文件传输，电子邮件，到Web浏览、电子商务等，网络正在为各机构、部门和个人提供着方便快捷的通讯服务。随着网络应用的变化，网络信息技术也随着改变。今天的网络信息平台上的应用扩展到了以前不曾想到的领域，比如电话业务、传真业务、视频业务、多媒体业务和一些增值业务。伴随着网络应用的发展，病毒、黑客严重威胁着运营商的组网安全，也给互联网安全性和自愈性提出新的要求。下面从某区域网络结构调整、网络保护优化等方面具体阐述。

1、原有组网结构及分析

原有网络结构采用网络组网的树形结构：IP城域网的骨干网、核心层、汇聚层、接入层，设备采用中兴T64G路由器进行数据转发，同时完成网络的核心层及汇聚层功能。汇聚接入层的所有BAS设备，由BAS完成下挂Dslam设备功能，具体组网如图1所示。

网络前期，在接入层没有细化VLAN，用户之间可以互访，用户的安全及隐私得不到保障，当有大量的数据报文在网内用户间传递，占用用户带宽，及上行到BAS的链路带宽时，就会危害到BAS的处理能力和转发质量。接入层BAS至汇聚层路由器由单根光纤连接，缺乏保护。当光纤受外界因素中断时，会造成BAS下挂用户上网业务中断。在汇聚路由器间，采用侧挂架构，对BAS及自身无法实现保护，当自身出现故障或BAS间链路出现故障，无法实现网络自愈，造成网络瘫痪，整个城域网将短时间内无法修复。

图1 IP网络架构图

2、网络结构调整

光纤资源紧张一直是网络安全的一个突出问题，如何利用既有光网络资源，合理设置局点，安放数据设备，形成网络保护，提出新的要求。在原有网络基础上，将每二个BAS间采用光纤直驱形式，进行互联，形成环网，为防止环路引起广播问题，采用动态协议OSPF和STP来完成修剪网络树的目的。调整后的网络如图2所示。

图2 网络优化结构图

3、网络优化分析

目前优化后的网络架构及相关数据设备能够完成基础的数据交换功能，并能够开展多种新型业务。网络调整的起点从接入层的BAS开始，将接入层至汇聚层进行保护和自愈，依赖于设备对协议的支持。先简单介绍部分使用的协议。

3.1STP生成树协议

生成树协议（Spanning Tree）定义在 IEEE 802.1D 中，是一种链路管理协议，它为网络提供路径冗余同时防止产生环路。为使以太网更好地工作，两个工作站之间只能有一条活动路径。STP 允许交换机之间相互通信以发现网络物理环路。该协议定义了一种算法，交换机能够使用它创建无环路（loop-free）的逻辑拓朴结构。

同样，STP协议在交换机之间传递一种特殊的协议报文BPDU，确定网络的拓扑结构。即从所有的网桥中选择一个作为根网桥；计算从本网桥到根网桥的最短路径；对每个共享网段，选择距离根网桥最近的网桥作为指定网桥，负责该网段的数据转发；对每个LAN，选择一个根端口，从根端口给出的路径是从本网桥到根网桥的最短路径；选择除根端口以外的指定端口。

配置流程：1.使能STP；2.配置网桥优先级；配置实例如下：

ZXR10# spanning enable

ZXR10#spanning mode rstp

3.2动态路由协议（OSPF）

OSPF属于链路状态路由协议.工作过程：每个路由器通过泛洪链路状态LSA->收集链路状态形成链路状态数据库LSDB->以SPF算法计算一个以自己为根，以网络中其他节点为叶的最短生成树->SPF算法生成一棵无环的最短路径树->计算出本路由器到其他网络节点的路由表。在优化网络中将整个城域网划分为一个主区域0，启用动态协议OSPF。

实施步骤：创建LOOPBACK1，配置接口地址； 将所有路由器及BAS 设置Router ID；开启OSPF协议；统一设置主区域area 0；指定各区域包含的网段，掩码采用反掩码；配置完成后，使用命令display ospf routing显示OSPF的路由表信息。

以T1200为例主要代码段如下：

ZXR10#interface loopback1 /创建环回接口loopback1;

ZXR10（config-if）ip address 1.1.1.1 255.255.255.255 /创建环回接口地址1.1.1.1/32;

ZXR10（config）#ospf 10 /启用OSPF协议；

ZXR10（config-router） #network 1.1.1.1 0.0.0.0 area0 /声明用户网段；

3.3 VRRP路由冗余备份

网络安全对城域网来说很重要，如果采用硬件防火墙成本高，配置策略复杂，硬件的转发能力有限，会话表受硬件的限制，防火墙不仅防外也防内。如果城域网内部出现问题，对外界也会造成危害，网络知识丰富的用户会探测出地市城域网的边缘及核心路由器，如果针对核心路由发动试探攻击或尝试登录路由器，就会对城域网的网络安全造成隐患。对于这种情况，可以使用VRRP协议来隐藏真实路由器，虚拟出一个不存在的路由器，T1200组网主要供专线用户使用，这些用户具有高带宽、固定IP地址，下挂局域网，因此T1200的上行网关的安全就很重要。VRRP动态选取协议从一组路由器中选取一个主路由器（Master），并将Master关联到一个虚拟的路由器，作为所连接网段的网关。

在调整后的城域网结构图中，T1200、8900组成虚拟路由器网，被选举出来关联到一个虚拟路由器，VRRP主用路由器为优先级较高的路由承担，由该路由器处理发往虚拟路由器的数据报文，当主用路由器发生故障，VRRP从其他的VRRP路由器中重新选举一个Master，既另外一台T1200备用路由器，并关联到同一个虚拟路由器，由新的Master继续处理发往虚拟路由器的数据报文。这种机制允许VRRP路由器所连接网段上的终端只使用一个虚拟路由器的IP地址做为默认网关，无需关心VRRP路由器的物理IP地址，也无需在Master故障之后重新配置默认网关。因此，使用VRRP可以极大的增强默认网关的可靠性。

两个T1200上的主要配置如下：

R*(config-if)#vrrp 1 ip 202.199.10.20

4、总结

随着信息产业的迅猛发展的背景下，带动个人计算机的普及和对宽带网络的巨大接入需求，宽带业务已经列入各公司发展的重点。这里着重分析在网络硬件资源不足的情况下，如何利用现有设备或者光纤资源，通过较少的投资，做好网络的优化调整，同时兼顾整个网络的冗余性和抗干扰性。

参考文献：

[1]中兴通信编著《中兴通信认证数据通信教材》

[2]中兴通信编著《中兴通信认证数据通信实习手册》

[3] support.省略

作者简介：

胡峰，南京信息职业技术学院（中兴通讯学院授权培训中心），讲师、工程师，主要研究方向：数据通信、计算机网络。

张亚媛，南京信息职业技术学院，讲师，主要研究方向：计算机、国际会计。