遷移到VRRP無環網絡

網絡現狀

校園網出口設備深信服AD-2000上聯三條光纖鏈路到運營商，下聯兩臺思科ASA 5550防火墻，防火墻下聯兩臺思科6509-E核心交換機，新校區各棟樓的思科3560-E匯聚交換機分別上聯兩臺核心交換機，老校區一臺思科6509交換機作為匯聚交換機分別上聯兩臺核心交換機，新老兩個校區各棟樓的樓層接入交換機分別上聯到各棟樓的匯聚交換機，接入交換機主要采用思科、華為、華三等主流廠商的設備。原網絡拓撲結構如圖1所示。

圖1 原網絡拓撲圖

存在的問題

兩臺核心交換機配置的是HSRP+PVST，一臺為主，另一臺為備。兩臺防火墻配置的是Failover，也是一臺為主，另一臺為備。現在的問題是主設備出問題時，切到備用設備延時嚴重，通過分析論證得知是因為從主核心交換機切換到備用核心交換機需要等待HSRP收斂時間加上生成樹收斂時間，而且從主防火墻切換到備用防火墻也是需要時間的。那我們能不能做到主備設備切換時只需要等待第一跳冗余協議的收斂時間呢?答案是肯定的，傳統的園區網絡架構通用的是VRRP+MSTP，配置多個VLAN，核心交換機之間通過Trunk鏈路作為心跳線保持連接，一部分MSTP實例的主根設置在主核心交換機上，次根設置在備用核心交換機上；另外一部分MSTP實例的主根設置在備用核心交換機上，次根設置在主核心交換機上。VRRP主備路由器角色的配置和MSTP實例的主備根配置保持一致，要切換二者同時切換。

其實，完全沒必要配置MSTP，更不用配置MSTP實例的主備根，甚至可以關閉核心交換機的生成樹功能。解決此問題的方法是兩臺核心交換機之間的鏈路走三層，這樣核心交換機和匯聚交換機之間就不存在環路，一部分VLAN通過VRRP主備路由器角色配置走主核心交換機，出問題后走備用核心交換機；另一部分VLAN通過VRRP主備路由器角色配置走備用核心交換機，出問題后走主核心交換機。如此一來就完美的解決了采用HSRP+PVST模式導致主備設備切換延時嚴重的問題。

圖2 改造后的網絡拓撲圖

升級改造解決方案

最近在一次例行設備巡檢時發現備用防火墻損壞，完全不能工作，一旦主防火墻、主核心交換機故障，整個校園網用戶都不能上網。因此，急需改造現有網絡，改造后的網絡拓撲結構如圖2所示。

（1）物理連接調整

使用一條6類雙絞線連接備用核心交換機和主防火墻，連接備用核心交換機的防火墻端口設置成內部接口，其余連接保持不變。

（2）備用核心交換機配置調整

首先，將備用核心交換機的配置導出來，然后將連接到備用核心交換機的所有線纜全部拔掉，刪除備用核心交換機的所有配置并重啟設備，在交換機上關閉VTP功能，建立VLAN，創建三層以太通道用來連接主核心交換機，配置SVI接口和SVI接口的VRRP主備路由器角色，連接到匯聚交換機的接口全部配置成Trunk，創建默認路由下一跳指向主防火墻，再創建一條帶管理距離的默認路由下一跳指向三層以太通道的對端IP地址。最后，再創建一條到內網網段的下一跳指向三層以太通道對端IP地址的靜態路由。

VRRP配置如下（部分）：

（3）主防火墻配置調整

首先，將連接備用核心交換機的防火墻端口設置成內部接口，然后創建一條到內網網段的下一跳指向主核心交換機的靜態路由，最后創建一條帶管理距離的到內網網段的下一跳指向備用核心交換機的靜態路由，其余配置保持不變。

路由配置如下：

（4）主核心交換機配置調整

首先，將主核心交換機的配置導出來，然后將連接到主核心交換機的所有線纜全部拔掉，刪除主核心交換機的所有配置并重啟設備，在交換機上關閉VTP功能，建立VLAN，創建三層以太通道用來連接備用核心交換機，配置SVI接口和SVI接口的VRRP主備路由器角色，連接到匯聚交換機的接口全部配置成Trunk，創建默認路由下一跳指向主防火墻，再創建一條帶管理距離的默認路由下一跳指向三層以太通道的對端IP地址。最后，再創建一條到內網網段的下一跳指向三層以太通道對端IP地址的靜態路由。

VRRP配置如下（部分）：

升級改造后的效果

實踐證明：通過以上的升級改造，優化了全網結構，使得網絡層次更加清晰，更加扁平化，大大提高了網絡的穩定性和可靠性，同時滿足了用戶對網絡服務質量的較高要求，提高了用戶的感知度，減輕了運維人員的壓力，提升了服務質量。