■陕西 汪双文

引言

随着技术发展，保密形式愈发严峻，因此省公司要求将各地市公司的外网统一至省公司出口。

我公司外网原来接用地市电信公司资源，通过NAT设备地址转换后，供我公司人员使用，大约有500个终端。根据省公司要求，现需要将电信通道撤掉，换成省公司通道，网络的平滑割接便成了难题。

为达到在割接过程中不中断用户网络目的，本文通过采用基于源地址的交换机策略路由，将省公司统一出口划分的网段分流至省公司出口，而原公司自己划分的网段走电信出口，从而实现了公司外网过度的平滑进行。本文主要针对在网络割接过程中碰到的问题及解决方法进行详细阐述。

网络结构及割接需求

组网结构

我公司原外网由一台防火墙、一台H3C 7506E核心交换机，下接各县局以及办公楼各楼层接入交换机组成。按照省公司要求，接入省公司统一出口。

省公司通道中，有一台网康设备，实现对网络行为审计功能，上行为一台SR8808路由器。原核心交换机下划分地址段为192.168.100.0/24-192.168.106.0/24共7个c段，划 分 有 20个 vlan，每个vlan为26位掩码。省公司统一出口给公司分配的网段为192.168.16.0/24-192.168.31.0/24。

电信通道下一跳地址为：192.168.4.2（防火墙接口地址），省公司通道下一跳地址为 ：192.168.255.10（三 级 网路由器VPN接口地址）。

割接要求

由于用户多，接入交换机较多，而且分布地理位置广泛，最近的就在核心交换机机柜，最远的则在70Km外的一个县公司机房。如果将核心交换机vlan全部重新分配地址，将造成大面积不能上网的情况。根据初步测算，将所有用户调整到省公司大约需要2周时间，也就是说用户最大中断网络时间为2周。由于办公的需要，如财务网银走账、营销电费收缴，都需要外网，因此长时间的断网造成的灾难性是难以估计的。

因此领导提出了割接要求为：在割接过程中，不能中断用户网络。

实施方案

方案提出

根据割切的要求，本人开始计划了几套方案。最开始想法是增加一台核心交换机，接通省公司通道。然后将接入层交换机逐个更换至新加核心交换机上，实现用户网络部中断。但是一方面由于机柜空间限制放不下大型交换机，另一方面而购买一台新7506交换机的话，成本将在十万元左右，成本太高，而且割接完成后，这台交换机就浪费。因此该方案放弃。

第二种方案就是增加一台防火墙设备，将电信和省公司通道都接入防火墙，防火墙下接核心交换机。防火墙中将原网段分为一个区域，省公司分配网段为一个区域，通过分区实现不同路由选择。但是本人在测试原防火墙后发现，该防火墙（H3C 7506E防火墙模块）不支持此策略路由。如果购买一台防火墙（如捷普4000）仍需要几万的费用。该方案也被放弃。

最后本人只能在交换机上作文章。在交换机上做基于源地址的策略路由，根据源地址的不同来确定下一跳的方式来实现割接目的。

策略路由简介

策略路由是一种比利用目标网络进行路由更加灵活的数据包路由转发机制，策略路由的优先级别高于普通路由。应用了策略路由以后，路由器将根据用户指定的策略决定如何对需要路由的数据包进行处理。一个借口应用策略路由，将对该接口受到的所有数据包进行检查，不符合策略路由的数据包将按照传统的路由转发进行处理。符合策略的数据包则会按照用户策略指定的下一跳地址进行转发。

策略路由在我国应用最大的在电信网通之间互联互通。由于电信、网通之间互访较慢，因此人们接入双线路，用策略路由实现电信数据走电信，网通数据走网通。但是这些一般属于目的地址的路由。

本人公司这种情况，则是相反的，两类不同的用户（一类为原IP段，一类省公司分配段），都要去访问 internet。

策略路由实施过程

由于受到这样的启发，本人开始动手写基于源地址的策略路由。最初的想法，是写两个策略，一个为走省公司通道策略，一个为走电信通道策略，但是两个策略中，匹配项来回更改较为繁杂复杂。因此采取一个走默认路由，一个走策略路由方式实现。这样简单，便于实施。

添加默认路由

首先配置省公司通道的接口地址，7506端为192.168.255.11，路由器端为192.168.255.10，然后增加全局默认路由改为省公司通道，优先级为30高于电信通道路由，使其优先于电信路由生效。

建立策略路由

（1）建立ACL

这样将原IP地址段按照vlan段进行全部匹配。

(2)创建流分类

(3)创建流行为

(4)创建QOS策略

（5）应用QOS到全局

至此就实现了：新更改的源地址为192.168.16.0-31.0段的客户通过省公司通道访问internet，原192.168.100.0-106.0段的客户仍可以通过电信访问internet。

检验

（1）先 建 立 测 试vlan，赋予省公司新分配地址192.168.16.0/24，pc机 为 该vlan ip，跟踪一个intert地址，发现第一跳为省公司通道出口；用原网段地址访问下一跳为电信出口。

用两台pc上网时，原ip段正常访问，省公司段地址则通过网康设备要求认证审计才能访问internet。这样，就达到了两个段地址同时存在，且能同时访问internet。

缺陷及消除

缺陷

当检测完成后，以为一切顺利时，这时一个对端口抓包发现了缺陷。在观察端口时发现，端口没有广播包产生。也就是说交换机自身的广播寻址无法作用了。这样的后果就是，接在同一个交换机上的两台pc机之间都是ping不通的。作为网管员，本人也不能远程管理人和一台接入层交换机。

分析原因，原来是在全局下应用了qos策略，使得vlan内的广播数据包夜被转移到了下一跳，无法访问网关接口了。

消除缺陷

想清楚了问题原因，解决起来就简单了许多，只要将私有地址访问私有地址的数据包过滤出来，不让重定向到下一跳即可。于是再建立ACL number 3002

建立基于源地址与目的地址的匹配规则，并定义流类别和行为

割接实施

首先规划好vlan，仍按26位掩码进行划分，然后逐个vlan进行过度到省公司通道，当该vlan下用户全部更改pc机网络参数后，则在acl 3001中删除该段地址的匹配项。从而实现了在割接前，以及割接后，都不影响其他段用户正常上网，达到了平滑割接的目的。

经验总结

创建策略

在消除缺陷的时候，由于类3和行为3后创建，因此在添加进qos时，没有调整顺序，直接为添加，排在了类2行为2后面。检测缺陷时，缺陷仍然存在。

检查了几次策略，认为没有错误，但就是没有执行。于是想到了顺序问题。在交换机执行qos策略路由时，是按照先后顺序执行。而如果类2和行为2在前执行的话，已经将所有匹配的数据包跳到了下一跳，因此在执行下面类和行为时，已经没有数据包匹配了，所以总是匹配不了数据包，也就没有广播包发出到各个端口，缺陷仍然存在。

于是在定义qos的时候，将类3和行为3放在前面执行，缺陷得以消除。

策略应用

开始时，本人将qos策略应用在两个通道接入端口inbound方向，发现策略根本不生效，后又改为outbound方向无法生效。于是仔细研究这个inbound与outbound区别。

得知区别后，最准确的应为各接入端口进入交换机的数据上做策略，因此开始在各端口下应用策略。但是7506E交换机共有40个接入口，应用起来太繁琐，而且每次修改acl，都要重新取消qos的应用，就更加繁琐了。

全局下进入交换机的数据，那么匹配的时候，从接入口发来的数据包则匹配成功，同时从上行口返回的数据，由于源地址发生了改变（为公网IP地址），目的地址才为vlan下划分的私有地址。想通了这一点，于是将qos应用于全局的inbound方向，终于解决问题。