基于運營商網絡的交換機防環研究與實踐

2021-09-23 06:52:20程旺燕，祝美龍，王宜萱，陳玉蘭，周駿

電腦知識與技術 2021年21期

程旺燕，祝美龍，王宜萱，陳玉蘭，周駿

摘要：運營商網絡中已大范圍使用交換機設備，但交換機二層環路產生的廣播風暴，會引起網絡協議頻繁起宕，嚴重時會導致網絡癱瘓。本文針對運營商IP數據網絡中常見的交換機環路場景，制定防環配置規范并形成自動稽核規則，通過IP綜合網管實現配置規范自動稽核并生成報表，在提升運營商IP數據網絡安全性的同時提高了維護人員的工作效率，具有一定的推廣價值。

關鍵詞：二層環路;廣播風暴;VLAN;自動稽核

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）21-0039-03

開放科學（資源服務）標識碼（OSID）：

1 引言

《中國互聯網絡發展狀況統計報告》顯示，截至2020年6月，我國網民規模達9.40億，互聯網普及率達67.0%[1]，這就意味著運營商網絡需要不斷擴容建設，來滿足我國的互聯網發展需求。隨著芯片制造工藝的快速發展，以太網交換機單端口業務承載能力及運行穩定性不斷提升，在保證優異網絡性能的同時，也具有良好的經濟性。因此，在運營商網絡中已大范圍使用千兆或萬兆端口的中高端交換機代替路由器作為三層匯聚或核心設備[2-3]。

運營商網絡通常通過高冗余的網絡設計來保證其網絡高可用性，但是二層的高冗余設計又增加了交換機二層環路發生的概率。現網中由于新交換機入網、新業務開通、組網調整優化等操作原因，經常會出現物理環路。網絡中一旦出現物理環路，在ARP更新報文的觸發下，廣播報文經環路后會不斷循環，產生廣播風暴。利用虛擬局域網VLAN（Virtual LAN）技術，可以實現交換機不向該虛擬局域網以外的網絡設備傳送廣播信息，使得網絡不會因為廣播風暴而引起性能惡化[4]。但是若交換機的防環配置不規范，廣播流量會傳遞到整個上層網絡中，最終會消耗掉受影響網絡設備的CPU資源，導致網絡協議頻繁起宕，最嚴重的后果會導致整個運營商網絡癱瘓。典型的運營商網絡二層環路拓撲如圖1所示。

基于以上背景，本文提出了基于運營商網絡的交換機防環研究與實踐。通過研究分析運營商網絡中交換機可能存在的二層環路場景，從規范新交換機入網、新開中繼鏈路調測以及交換機入網后的日常維護等角度出發，制定了交換機防環配置規范及自動稽核規則命令，涵蓋現網中華為、中興、華三、思科等主流廠商。最后將研究成果推廣應用到實際生產中，取得了非常顯著的成效。

2 運營商二層環路場景分析

2.1 場景一單臺交換機自環

一臺交換機的兩個端口直接互聯形成環路，常見于錯接，如圖2所示。

2.2 場景二兩臺交換機之間形成環路

兩臺交換機之間有多條中繼互聯形成環路，常見于平臺/系統交換機同時入網，或者是新入網交換機多條上聯接入到現網交換機，如圖3所示。

2.3? 場景三三臺交換機之間形成環路

三臺交換機環狀互聯形成環路，常見于新入網交換機C分別上聯至兩臺現網交換機A和B，且兩臺現網交換機A和B之間有互聯中繼，如圖4所示。

2.4? 場景四四臺交換機之間形成環路

四臺交換機之間口字型互聯形成環路，常見于交換機C和D同時入網，和現網交換機A和B形成口字型連接，如圖5所示。

3 制定防環配置規范

目前華為、中興、華三、思科等主流廠商交換機出廠時的端口初始配置均為VLAN 1，使得所有端口在同一個廣播域內，為產生廣播風暴提供了必要條件。因此，本文制定了防環配置規范。即關閉現網交換機、新入網交換機以及新擴容板卡的所有物理端口，并將端口配置成trunk模式[5]，同時禁止透傳VLAN 1。在新業務開通前，嚴格做好交換機的VLAN配置規劃，禁止交換機端口使用默認的VLAN 1，新啟用的VLAN不能與現網已用VLAN相同。

3.1? 華為交換機配置規范

interface GigabitEthernetX/X/X

shutdown? ? ? ? ? //關閉端口

port link-type trunk? //配置成trunk模式

undo port trunk allow-pass vlan 1? // 禁止透傳VLAN1

3.2 中興交換機配置規范

interface Gei-X/X/X/X

shutdown? ? ? ? ? ?//關閉端口

switchvlan-configuration

interface Gei-X/X/X/X

switchport mode trunk? ? //配置成trunk模式

acceptable frame types tag? ?//只接受帶標簽的報文