OSPF的升級改造工程

筆者工作的單位網絡規劃較大，其中有一個核心的數據中心機房，四個同城的分支部門機房。簡要的網絡拓撲圖如圖1所示。

其中核心層的交換機放在數據中心機房，匯聚層的設備除了匯聚-4之外，其它的都分布在分支部門的機房。

存在的問題

首先在OSPF區域劃分的時候存在問題，嚴格來說核心設備和匯聚設備的互聯接口應納入Area 0，另外存在斷層的情況Area1，Area2之后就直接跳到Area6，容易出現混亂。

匯聚-2和匯聚-1互聯并劃到Area1區域本身是不合里的，匯聚-2應該直接與核心設備互聯并劃分單獨的區域。

骨干網絡存在VLAN透傳的現像，二、三層網絡邊界混亂。舉個例子網段2的網關地址是192.168.2.254/24配置在接入-1設備上面，然后在接入2交換機上面也要使用這個網段，為了達到這個目的將Vlan2透傳經過匯聚-1、核心 -A、核心 -B、匯聚-4、接入-2。這部分歷史遺留的問題，我想原因是因為當時部門的搬遷沒有理順，IP地址要保留新、舊辦公地點兩邊都使用同一個IP網段導致，網絡拓撲圖如圖2所示。

圖1 升級改造前網絡拓撲結構

所有用來起OSPF協議的都是SVI接口，工作模式都采用Trunk模式。接入層的交換機是性能較差的三層交換機，但是卻使用了OSPF路由協議跟匯聚設備互聯，這部分的歷史遺留問題使我非常的費解，這樣配置是為了簡便操作還是統一管理了？嚴格上說這是屬于畫蛇添足吧，大大增加了設備性能的負擔，也存在OSPF被竊聯盜取路由表的隱患，因為原來的配置沒有做OSPF認證，也沒有配置被動接口。

核心部門的接入設備采用雙線路冗余保障，本來這是一點不錯的措施，可是采用OSPF的方式又有點畫蛇添足了。舉例子如圖2所示接入-3交換機主線路是連接到匯聚-1，備用線路是連接到匯聚-4，通過修改OSPF的COST值來實現流量往哪一條線路走。但是對于OSPF來說匯聚-1設備屬于area1，匯聚4的設備屬于area6，這也導致接入-3交換機被配置成為連接多區域的ABR，本身設備就是入門級三層交換機，要維護不同的區域的鏈路狀態數據庫，對設備的性能造成較大的影響。

實施的升級改造

分析上述存在的問題，我制訂了升級改造的方案，從新規劃OSPF在網絡中的部署，畫出網絡拓撲圖，如圖3所示：

圖2 升級改造中期網絡架構圖

圖2 升級改造后網絡架構圖

（1）對OSPF骨干區域重新進行部署，核心設備和匯聚設備互聯的部分全部納入到骨干區域Area 0。聯合線路運營商對物理光纖進行切割，使得匯聚-3從Area 1區域里面剝離出來，直接跟核心-A相聯形成獨立的區域Area 3。

（2）使二、三層網絡邊界清浙化，將匯聚設備和核心設備互聯的端口改成路由口的工作模式。舉個例子匯聚-1的G2/0/1和核心-A的G3/0/1互聯，進入接口配置模式配置：

Int GigabitEthernet2/0/1

port link-mode route

這樣就把VLAN透傳的問題解決了，接下來就是通過行政力量要求一些部門更改IP地址。這部分需要說明一下因為部分IP地址是捆綁業務系統使用，也就是不能更改。筆者通過劃分子網掩碼的方法將一個大網段劃分為幾個細的網段，勉強地解決了這些問題。

（3）給OSPF路由協議添加認證。這是OSPF協議安全方面最基本也是最有效的措施。以匯聚-1和核心-A之間的OSPF協議為例配置如下所示：

需要注意的是在OSPF區域和物理接口都需要配置MD5加密，兩端的密鑰需要配置一致，密碼是區分大小寫的。

（4）將不需要參與OSPF協議的端口設置成為被動接口，運行了OSPF協議的接口都會發hello包嘗試認識新鄰居，一般只是交換機互聯的端口需要接收和轉發hello包。將物理端口和SVI端口配置成被動接口，這樣OSPF包文就不會從這些端口上轉發出去。簡要命令如下：

正常情況下交換機暫時沒被使用的端口應該手動添加一個shutdown命令，用以杜絕物理端口被亂用。

（5）取消接入層的OSPF協議，改用二層網絡技術互聯。一般一個接入點的網段有限，完全沒有必要使用OSPF協議去交換路由表，改用VRRP網關冗余技術能有效地減低設備的負擔，另外一種方式是使用鏈路捆綁的技術，使兩條線路能疊加使用互為負載冗余。因為單位租用的備用線路帶寬跟主線路不一致，所以做不了熱備份故采用了網關冗余的技術去改造。

總結

本項目的改造重點在于對網絡的梳理，OSPF的區域重新劃配，明淅二、三層網絡邊界。改造后網絡穩定性大大提高，但仍然存在不足的地方，接下來的工作是對OSPF路由的匯總進行梳理。OSPF是一種優秀的路由協議，但是千萬不可濫用，合理規范使用才能發揮其優越的性能。還是那句老話，網絡強調的是穩定高效。解決類似的歷史遺留問題通常需要結合行政管理力量，協調應用業務部門和網絡支撐部門，雙方達到統一才能進行實施。因此在做方案設計的時候盡量考慮嚴謹，做出多套備用方案多種選擇。將影響范圍限制到最小。