笔者工作的单位网络规划较大，其中有一个核心的数据中心机房，四个同城的分支部门机房。简要的网络拓扑图如图1所示。

其中核心层的交换机放在数据中心机房，汇聚层的设备除了汇聚-4之外，其它的都分布在分支部门的机房。

存在的问题

首先在OSPF区域划分的时候存在问题，严格来说核心设备和汇聚设备的互联接口应纳入Area 0，另外存在断层的情况Area1，Area2之后就直接跳到Area6，容易出现混乱。

汇聚-2和汇聚-1互联并划到Area1区域本身是不合里的，汇聚-2应该直接与核心设备互联并划分单独的区域。

骨干网络存在VLAN透传的现像，二、三层网络边界混乱。举个例子网段2的网关地址是192.168.2.254/24配置在接入-1设备上面，然后在接入2交换机上面也要使用这个网段，为了达到这个目的将Vlan2透传经过汇聚-1、核心 -A、核心 -B、汇聚-4、接入-2。这部分历史遗留的问题，我想原因是因为当时部门的搬迁没有理顺，IP地址要保留新、旧办公地点两边都使用同一个IP网段导致，网络拓扑图如图2所示。

图1 升级改造前网络拓扑结构

所有用来起OSPF协议的都是SVI接口，工作模式都采用Trunk模式。接入层的交换机是性能较差的三层交换机，但是却使用了OSPF路由协议跟汇聚设备互联，这部分的历史遗留问题使我非常的费解，这样配置是为了简便操作还是统一管理了？严格上说这是属于画蛇添足吧，大大增加了设备性能的负担，也存在OSPF被窃联盗取路由表的隐患，因为原来的配置没有做OSPF认证，也没有配置被动接口。

核心部门的接入设备采用双线路冗余保障，本来这是一点不错的措施，可是采用OSPF的方式又有点画蛇添足了。举例子如图2所示接入-3交换机主线路是连接到汇聚-1，备用线路是连接到汇聚-4，通过修改OSPF的COST值来实现流量往哪一条线路走。但是对于OSPF来说汇聚-1设备属于area1，汇聚4的设备属于area6，这也导致接入-3交换机被配置成为连接多区域的ABR，本身设备就是入门级三层交换机，要维护不同的区域的链路状态数据库，对设备的性能造成较大的影响。

实施的升级改造

分析上述存在的问题，我制订了升级改造的方案，从新规划OSPF在网络中的部署，画出网络拓扑图，如图3所示：

图2 升级改造中期网络架构图

图2 升级改造后网络架构图

（1）对OSPF骨干区域重新进行部署，核心设备和汇聚设备互联的部分全部纳入到骨干区域Area 0。联合线路运营商对物理光纤进行切割，使得汇聚-3从Area 1区域里面剥离出来，直接跟核心-A相联形成独立的区域Area 3。

（2）使二、三层网络边界清浙化，将汇聚设备和核心设备互联的端口改成路由口的工作模式。举个例子汇聚-1的G2/0/1和核心-A的G3/0/1互联，进入接口配置模式配置：

Int GigabitEthernet2/0/1

port link-mode route

这样就把VLAN透传的问题解决了，接下来就是通过行政力量要求一些部门更改IP地址。这部分需要说明一下因为部分IP地址是捆绑业务系统使用，也就是不能更改。笔者通过划分子网掩码的方法将一个大网段划分为几个细的网段，勉强地解决了这些问题。

（3）给OSPF路由协议添加认证。这是OSPF协议安全方面最基本也是最有效的措施。以汇聚-1和核心-A之间的OSPF协议为例配置如下所示：

需要注意的是在OSPF区域和物理接口都需要配置MD5加密，两端的密钥需要配置一致，密码是区分大小写的。

（4）将不需要参与OSPF协议的端口设置成为被动接口，运行了OSPF协议的接口都会发hello包尝试认识新邻居，一般只是交换机互联的端口需要接收和转发hello包。将物理端口和SVI端口配置成被动接口，这样OSPF包文就不会从这些端口上转发出去。简要命令如下：

正常情况下交换机暂时没被使用的端口应该手动添加一个shutdown命令，用以杜绝物理端口被乱用。

（5）取消接入层的OSPF协议，改用二层网络技术互联。一般一个接入点的网段有限，完全没有必要使用OSPF协议去交换路由表，改用VRRP网关冗余技术能有效地减低设备的负担，另外一种方式是使用链路捆绑的技术，使两条线路能叠加使用互为负载冗余。因为单位租用的备用线路带宽跟主线路不一致，所以做不了热备份故采用了网关冗余的技术去改造。

总结

本项目的改造重点在于对网络的梳理，OSPF的区域重新划配，明淅二、三层网络边界。改造后网络稳定性大大提高，但仍然存在不足的地方，接下来的工作是对OSPF路由的汇总进行梳理。OSPF是一种优秀的路由协议，但是千万不可滥用，合理规范使用才能发挥其优越的性能。还是那句老话，网络强调的是稳定高效。解决类似的历史遗留问题通常需要结合行政管理力量，协调应用业务部门和网络支撑部门，双方达到统一才能进行实施。因此在做方案设计的时候尽量考虑严谨，做出多套备用方案多种选择。将影响范围限制到最小。