靜態路由調整一例

■

原網絡結構

本文主要是想理清中心交換機上的靜態路由調整過程，理解靜態路由的功能特性。而路由的配置與外圍的網絡線路結構與業務密切相關，因此要先講清原來的網絡結構與相關業務，然后轉換成現在的網絡結構與相關業務。這里先列出原來的網絡結構圖，如圖1所示。

網絡結構簡單明了，（電腦）寬帶走聯通，（電視）互動走市網。

此時在中心交換機上的靜態路由表如下所示：

結合以上的圖1和路由表，可以看出，主要有兩項業務：電腦的寬帶業務和電視的互動點播業務。另外還有從防火墻出去的電信網絡相關的上網業務，這些業務走缺省路由，不影響明細路由的調整，略去不談。

路由條目的下一跳地址 有 兩 個，172.16.196.2和10.253.1.13。缺省路由從防火墻G40的端口172.16.196.2走；而從內網網關10.253.1.13出去的路由，是指向電視互動點播相關服務器，還有全市內網的其它服務器。

互動電視機頂盒（STB)需要從市廣電機房的DHCP服務器獲取IP地址，然后訪問省公司的互動點播服務器群。

省公司提供的V1.0版本IP地址網段范圍為：10.87.32.0至10.87.160.255,已經包含在路由條目“ip route-static 10.0.0.0 255.0.0.0 10.253.1.13”網段之中?；与娨暤腄HCP服務器位于某地機房，IP地址 為 ：125.210.250.67，已 經包含在路由條目 “ip routestatic 125.210.250.64 2 5 5.2 5 5.2 5 5.2 2 4 10.253.1.13”網段之中。

互動電視的DNS服務器 為218.108.243.11， 和218.108.227.96。已經包含在路由條目“ip route-static 218.108.243.0 255.255.255.0 10.253.1.13”網段內。

另有業務上電信網，從防火墻出口，走缺省路由“ip route-static 0.0.0.0 0.0.0.0 172.16.196.2”。

而寬帶用戶的電腦是經過二層的VLAN號直通至聯通的撥號設備，以PPPoE方式撥號上網，不受靜態路由的影響。

與省干網對接業務

公司并購整合后，中斷了寬帶業務與聯通公司的直接合作，寬帶出口線路轉接到華數公司的對接線路上，同時還落地了其它業務，包括前商業務，云電視業務。但互動點播的DHCP服務器仍然在市機房。后來增加了百兆寬帶專線業務，使網絡結構陡變復雜，路由走向撲朔迷離。如圖2所示。

1.前端業務

與省干網的OTN第1機架第6塊板卡第1端口對接，詳細配置過程此略。

2.云電視業務

由原先的版本V1.0的標清互動點播電視升級為版本V2.0的高標清互動點播等功能的云電視?；狱c播的DHCP服務器仍在市廣電機房，而DNS服務器等其它服務器群則從廣電機房直接與省公司對接，由中心機房的核心交換機8908-1的gei_5/3和gei_5/4分別與OTN的第3端口和第4端口對接。

云電視的服務名稱有多項，包括中心系統DNS、云平臺、中心GSD、中心UTC、中心PIC、UAT系統、增值業務平臺、賓館UTC、BOSS系統和家銀通等等，對應有多段IP地址。云電視的省干網網關地址為 ：21.254.255.69，此地址為云電視業務的下一跳IP地址。需要增加和修改多項下一跳IP為21.254.255.69的靜態路由條目，放在后文第四節再統一討論。

3.云寬帶業務

由原先的聯通出口割接到公司出口。將寬帶業務VLAN號全部加到核心交換機的端口gei_5/5和 gei_5/6（相同配置），并分別與省干網的ONT第5口和第6口對接。二層的VLAN直達省干網的撥號設備，接口地址為：30.254.2.214，電腦用戶采用PPPoE方式，撥號上網。不牽涉路由。

4.廣電大樓百兆專線業務

此業務開通，引得靜態路由進行傷筋動骨的大調整，我們在后面兩節專門敘述。

百兆專線業務

1.百兆專線的方案和參數

廣電網絡并入省公司后，寬帶網用戶上網均采有PPPoE的撥號上網方式，每臺電腦需要用一個賬號。縣廣電大樓辦公用電腦有數十臺，各部門人員和電腦還經常有增減更換，用帳號的分配管理不方便，而且費用也較高，就申請了一條100M的專線，專供廣電大樓的辦公電腦上網使用。

百兆專線采用NAT轉換的方式，將大樓辦公室電腦的內網靜態IP地址轉換為外網IP地址，與省干網對接，并提供100M的帶寬。公司提供的網絡參數為:

內網大樓用戶網絡參數為：

VLAN號931-936，包含的IP地址段為10.30.254.0/24

VLAN號902-906，包含的IP地址段為10.30.255.0/24。

我們以VLAN 904接出的電腦10.30.255.169作為測試用電腦。

2.防火墻的連接和配置

網神防火墻G40具有多出口功能,因此可以同時實現GE7口接電信網，GE6口接華數省干網。防火墻G40的第6口和OTN的第7口對接，對接VLAN 799，在省干網入口端的百兆專線接口IP地址為：30.25.128.1。

防火墻的GE1接內網中心交換機中興8908-1的gei_5/19，接口地址為172.16.196.2。

防火墻做NAT轉換，將內網的源地址網段10.30.254.0/24,轉換為外網地址10.25.128.4；源地址網段10.30.255.0/24,轉換為外地址 ：30.25.128.5。

3.中心交換機接口VLAN的配置

大樓內網的電腦使用的VLAN號 為902-906,931-935。例舉一個接口VLAN 904的配置如下：

第一個主IP地址網段10.87.63.65/28,是V1.0版本的互動點播地址。當接入華數云電視后，又增加了V2.0版本的互動點播地址 ：22.104.0.0/15，兩個版本的IP地址網段均起作用。下面例出接口VLAN 931的配置內容，是采用V2.0版本地址網段的，主IP地址網段22.104.47.1/24。

以上兩個接口VLAN的配置，副IP地址（secondary），1 0.3 0.2 5 5.1 6 1/2 8和10.30.254.1/28等，是分配給大樓內網電腦的靜態IP地址?；狱c播的DHCP服務器為125.210.250.67，以上配置命令中，以DHCP中繼服務器形式出現。

其它的接口VLAN參照此命令進行配置。然后將VLAN號透傳至各個電腦接入點，大樓每層的電腦安規劃分配靜態IP地址。VLAN 902-906為早期辦公電腦和服務器等專用電腦使用，VLAN 931-935 為新增的大樓內個人辦公電腦使用。

經過以上配置，各個接點均能Ping通，但內網電腦還不能上網，因為中心交換機上的靜態路由還需調整。

路由的調整

1.百兆專線開通前的路由調整

廣電與華數公司線路對接后，多項業務落地調試，根據華數公司提供的路由表項更新資料，進行了靜態路由的調整，這在百兆專線開通之前。調整的大概情況如下。

原路由30條，保留14條，修改19條，增加35條。

分別說明如下：

(1)保留條目，舉例3條

第一條為缺省路由，走防火墻，要保留；

第二條為衢市廣電內網交流的IP網段地址，走市廣電內網網關，仍保留。

第三條為互動點播的DHCP服務器，仍設在衢州廣電大樓內，要做保留。

（2）修改條目，舉例3條

第一條為云電視的流播發系統所在的地址網段；

第二條為云電視的增值業務平臺所在的地址網段；

第三條為云電視的統計服務器所在的地址網段。

以上的網段地址均與云電視有關，因此下一跳的出口地址均從原來的市廣電內網網關10.253.1.13，修改為省干網云電視互動點播接口21.254.255.69。

（3）增加條目，舉例3條

第一條包含了云電視家銀通、賓館版UTC等多項云電視服務業務。為以后的發展預留空間，因此網段較大。

第二條也是包含了云電視中心UTC、中心BSA、中心PIC、增值業務平臺等多項云電視項目。

第三條為新增的分配給廣電互動電視機頂盒的V2.0版本IP地址網段，地址池配置在廣電大樓內的DHCP服務器上，因此下一跳為10.253.1.13，走內網網關。

2.百兆專線開通后的路由調整

百兆專線是走防火墻，從中心交換機gei_5/19接出，下一個接口地址是172.16.196.2。專網電腦上網的DNS服務器為省公司提供的兩個，

專網電腦上外網需要從防火出口詢查這兩個DNS,這就需要配置相應的靜態路由。靜態路由有以下特性：路由表中有明細的路由時，就會先找明細路由，在明細路由中找不到路由時，就走默認路由；地址子網掩碼數值越大，網段越小，精度越高，就先匹配哪個。

根據以上信息，進行路由的檢查和調整。

第一步，先看到缺省路由：

下一跳IP地址是172.16.192.2 ，走防火墻出口，本應萬事大吉。但別忘了，精細路由優先的規則，看以下的。

第二步，有明細路由：

下一跳IP地址21.254.255.69是互動點播的網關，沒有走防火墻這條線路，因此專網電腦上網時，DNS查詢失敗。就需要做下一步。

第三步，增加兩條靜態路由：

這樣，首先匹配這兩條精度較高的路由，上網時能從防火墻出去查詢DNS服務器，并進行域名解析。這樣操作之后，基本解決問題。但發現仍有個別網站DNS解析失敗，如www.163.com。要進行原因查找。

第四步，進行路由跟蹤：

結果顯示，此網站的服務器地址為218.108.232.164,剛巧落在218.108.0.0/16 即218.108.0.0 255.255.0.0的網段內，匹配后將走下一跳地址是21.254.255.69的路由，不是專網的同一條線路。這樣，第二步的明細路由大網段需要進行調整，也就是要合理利用有限的資源，需要多少取多少，將用不到的資源放生，回歸自然（回到缺省路由）。經過與省公司交流后，提供了路由修改方案，進行以下操作。

第五步，大網段的路由調整為更精細的小網段路由：

去 掉“i p r o u t e 218.108.0.0 255.255.0.0 21.254.255.69”

然后要補加以下14小段路由：

把這幾段明細路由加到21.254.255.69上。

163網站服務器IP地址218.108.232.164沒有被以上網段包含，經過遂條匹配過濾后，落到底部，最后走缺省路由，這樣網站www.163.com就能打開了。

總結

隨著業務的增加，經過多番調整，目前中心交換機上的靜態路由條目已有85條之多。靜態路由的概念簡單明了，但在多業務，多路由器，多路徑的環境中，路由網段交叉重疊，要使它們互不干涉，各行其道，網管員們還需考慮周全才是。

征稿啟示

升級改造欄目以介紹如何用新的產品和技術，升級改造現有IT設施為主要內容。為了更好的實現這個目標，使是升級改造欄目的文章更加充實、實用，特向廣大讀者朋友征集稿件，字數在3000字左右，要求必須原創。希望廣大讀者朋友踴躍投稿，

投稿須知：

1、非常歡迎采用電子郵件的形式投稿，稿件，專題選題郵件可直接發給投稿信箱：micsun@365master.com。以電子郵件投稿的讀者，請在郵件主題中注明“投稿”字樣。

2、來稿請以TXT文本格式保存。文章中需要插入圖片者，請將清晰圖片另存為BMP/JPEG/TIF格式。行文中出現的標點符號應使用中文全角字符（程序代碼和屏幕顯示中的原字符保持不變）。

3、所有來稿本刊會在五個工作日內回信確認。作者請在來信中注明自己的姓名、工作單位、聯系地址、電話（包括手機）、郵編等信息，以便本刊隨時與您聯系。如未得到回復，請您確定一下郵件是否正常發出，若重發后仍未得到回復，可以打電話查詢，編輯部電話：010-88559469。