深入研究网络设备技术确保BOSS系统安全高效运行
2019-11-12王建军
王建军
(中国移动通信集团黑龙江公司鹤岗分公司,黑龙江 鹤岗 154100)
一、背景
BOSS网络即客户服务系统(下面简称BOSS网络),是中国移动提高给广大客户办理移动业务的重要网络平台,它的好坏,直接影响中国移动业务的发展和中国移动在用户面前的形象。因此,我们有必要深入研究BOSS网络技术,提供一个快速的、安全的、高效运行的网络。下面从地市层面网络设备组网技术展开深入研究,GRE协议、Vrrp热备份、路由重分发、rip、OSPF等关键技术,了解BOSS网络的基本组网情况。
二、GRE协议简介
GRE(Generic Routing Encapsulation)即通用路由封装协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(IP)中传输。在协议层之间采用了一种被称之为Tunnel(隧道)的技术。
GER的工作过程主要分为封装与解封两个过程。
封装过程:当营业厅办理业务时,将产生的业务工单报文经由地市公司路由器隧道接口处理,隧道中的IP就会将业务工单报文传递到省公司端路由器。
解封过程:隧道对端收到业务工单IP报文后,检查IP头部。如果目的地址是路由器自身并且协议号为47(GRE),则去到IP报头,并交给GRE协议处理。进行解封装。
三、路由及路由重分发技术
(一)动态路由协议
在大型网络中通常采用动态路由协议,与仅使用静态路由协议相比,可以减少管理和运行方面的成本。一般情况下,网络会同时使用动态路由协议和静态路由协议。在大多数网络中,通常只使用一种路由协议,不过,也存在网络的不同部分使用不同路由协议的情况。使用动态路由协议能适应网络拓扑结果的变化、维护工作量小。RIP(Routing Information Protocol)是距离矢量路由协议,是最久经考验的协议之一。而RIP协议用在小型网络中,受路由调数的限制。
OSPF(Open Shortest Path First)协议是开放式最短路由优先协议,是目前网络中应用最广泛的动态路由协议之一,它用于维护复杂的拓扑信息数据库,属于链路状态路由选择协议。
(二)路由重分发技术
路由重分发技术也可以说是路由策略,如华为技术命令Route-Policy,它可以规定路由器在发布路由时只发布某些满足特定条件的路由,在接收路由时只接收某些满足条件的路由,在引入路由时只引入某些满足特定条件的路由。Route-Policy由一个或多个节点(Node)构成,Node之间是“或”的关系。每个Node都有一个编号,路由项按照Node编号由小到大的顺序通过各个Node。每个Node下可以有若干个ifmatch和apply子句,if-match之间是“与”的关系。If-match子句用来定义匹配规则,apply子句用来规定处理动作。
四、网关原理概述
网关有单网关的网络结构和网关冗余的网络结构。很明显单网关的网络结构,只有一个网关,一旦该网关出现故障,网络就出现不通的现象。而网关冗余的网络结构是利用VRRP技术实现双网关,保证了网络网关的备份。
VRRP(Virtual Router Redundancy Protocol)全称是虚拟路由器冗余协议,它是一种容错协议。该协议通过把几台路由器设备联合组成一台虚拟的路由设备,该虚拟路由器在本地局域网拥有唯一的一个虚拟IP地址。实际上,该虚拟路由器是由一个Master设备和若干Backup设备组成。
五、VLAN局域网技术
连接到二层交换机的主机和服务器处于同一个网段中,就会带来两个严重的问题。
交换机会向所有端口泛洪广播,占用过多的带宽。随着连接到交换机的设备不断增多,生成的广播流量也随之上升,浪费的带宽也更多。
连接到交换机的每台设备都能够与该交换机上的所有其他设备相互转发和接收帧。
最好的办法是将广播流量限制在仅需要该广播的网络区域中,地市公司BOSS网络中,有多个营业厅终端接入BOSS网络中。为避免引起网络广播风暴,将营业厅划分为不同的局域网VLAN中。
六、移动BOSS网络技术综合运用
设备配置的IP地址:
BOSS-SERVER:接口网卡IP地 址192.168.20.20/24 网 关192.168.20.1
R1:Ethernet0/0/0接口IP地址192.168.10.2/24
Ethernet0/0/1接口IP地址6.6.6.6/24
Tunnel0/0/0接口IP地址172.16.1.1/24
R2:Serial0/0/0接口IP地址10.1.12.2/24
Serial0/0/1 接口IP地址10.1.23.2/24
R5:Ethernet0/0/0接口IP地址6.6.6.7/24
Ethernet0/0/1接口IP地址192.168.10.3/24
Tunnel0/0/0接口IP地址172.16.1.2/24
X台席-PC1:网卡IP地址192.168.30.19/28 网关192.168.30.17
X台席-PC2:网卡IP地址192.168.30.20/28 网关192.168.30.17
Y台席-PC1:接口网卡IP地址192.168.30.35/28 网关192.168.30.33
Y台席-PC2:接口网卡IP地址192.168.30.36/28 网关192.168.30.33
在图2中,R1、R2、R3利用GRE技术组网,建立起地市公司与省公司网络通道。R5、R6、R7作为R1、R2、R3的备用网络,一旦R1、R2、R3中断,备用网络就起作用。
(一)路由器热备份配置
1.R1路由器vrrp配置
在Ethernet0/0/0接口配置:vrrpvrid为192.168.10.1,vrrpvrid的priority值 120。
2.R5路由器VRRP配置
在Ethernet0/0/1接口配置:vrrpvrid为192.168.10.1,vrrpvrid的priority值默认。
VRRP的优先值没有配置,默认为100。当R1出现故障,R5立刻从备用状态转为主用状态。
(二)路由器GRE配置
1.R1路由器GRE配置
在Tunnel0/0/0接口配置tunnel-protocolgre,source为10.1.12.1,destination为10.1.23.1,同时还需配置一条静态默认路由0.0.0.0指向10.1.12.2。
2.R3路由器GRE配置
在Tunnel0/0/0接口配置tunnel-protocolgre,source为10.1.23.1,destinaion为10.1.12.1
(三)路由器路由协议配置及路由重分发
在R1和R3路由器中配置一样的RIP动态路由,将192.168.10.0和172.16.0.0两个网段宣告出去。为了保证营业厅192.168.30.0网段终端与省公司服务器通信,在R1路由器中配置一条192.168.30.0网段指向192.168.10.4路由。但是,192.168.30.0网段并没有宣告到R3的路由表中,这样营业厅的终端并不能与省公司服务器通信,为了解决这个问题,就要用到路由重复发技术。在R1中,配置ACL控制列表
acl number 2000
step 10
rule 10 permit source 192.168.30.0 0.0.0.255
route-policyim-rip permit node 10
if-match acl 2000
import-route static route-policy im-rip
配置完后,营业厅终端就能与服务器通信了。
(四)VLAN技术在交换机的运用
1.三层交换机SW3的VLAN配置
我 们 建 立 VLAN30、VLAN40、VLAN200,IP地址分别为:192.168.30.17/28,192.168.30.33/28,192.168.10.4/24,又 分 别 作为X营业厅终端、Y营业厅终端的网关,VLAN200作为与R1路由器连接使用。要想营业厅终端与服务器通信,还需配置目的网段为服务器192.168.20.0和0.0.0.0下一跳指向路由器R1生成的虚拟IP为192.168.10.1的静态路由。
2.三层交换机SW4的配置
三层交换机SW4的配置与三层交换机SW3的配置基本相同,只是接口分配的IP地址不同。
3.在二层交换机上配置端口隔离
为了安全起见,营业厅终端之间不能互相通信,我们可以配置端口隔离。X营业厅的两台PC,在配置端口隔离之前,X台席-PC1与X台席-PC2之间是可以通信的。当我们在X营业厅二层交换机SW1上的2端口和3端口配置port-isolate enable group 1命令后,X台席-PC1与X台席-PC2之间就不能通信了。
七、地市网络层面设置网络监控
在省公司网络层面,一定有整个网络监控措施的,而地市网络层面维护人员是看不到的。为了解决这个问题,使地市维护人员更好地维护本地的交换机设备,可以利用CACTI开源软件,在地市网络层面,对交换机、路由器进行监控。CactiEZ-10.1-x86_64软件,就是一款好用的监控软件。
(一)烽火二层交换机SNMP配置
snmp community public ro view internet
snmp trap-server 192.168.0.5 161 public v2
注意:烽火交换机management ACL configuration中的配置,如果management acl enable开启,那么,需在ACL中配置management acl 192.168.0.0/24 snmp,否则,cacti监控软件,将检测不到交换机的SNMP。
(二)监控二层烽火FH2024交换机
添加主机FH2024的管理IP,并命名监控交换机名,调用模版,选取SNMP的版本为版本2,团体命名输入public,端口为161。
八、 结束语
以上通过对地市层面BOSS网络全面解析和研究,同时,在地市网络层面增加cacti网络设备监控,使我们能够对网络设备运行情况全面掌握,更好地解决生产工作中的实际问题,更好地为生产服务和支撑。由于水平有限,以上对地市网络层面分析讲解,难免有一些不足的情况,请大家批评指正。