基于运营商网络的交换机防环研究与实践
2021-09-23程旺燕,祝美龙,王宜萱,陈玉兰,周骏
程旺燕,祝美龙,王宜萱,陈玉兰,周骏
摘要:运营商网络中已大范围使用交换机设备,但交换机二层环路产生的广播风暴,会引起网络协议频繁起宕,严重时会导致网络瘫痪。本文针对运营商IP数据网络中常见的交换机环路场景,制定防环配置规范并形成自动稽核规则,通过IP综合网管实现配置规范自动稽核并生成报表,在提升运营商IP数据网络安全性的同时提高了维护人员的工作效率,具有一定的推广价值。
关键词:二层环路;广播风暴;VLAN;自动稽核
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2021)21-0039-03
开放科学(资源服务)标识码(OSID):
1 引言
《中国互联网络发展状况统计报告》显示,截至2020年6月,我国网民规模达9.40亿,互联网普及率达67.0%[1],这就意味着运营商网络需要不断扩容建设,来满足我国的互联网发展需求。随着芯片制造工艺的快速发展,以太网交换机单端口业务承载能力及运行稳定性不断提升,在保证优异网络性能的同时,也具有良好的经济性。因此,在运营商网络中已大范围使用千兆或万兆端口的中高端交换机代替路由器作为三层汇聚或核心设备[2-3]。
运营商网络通常通过高冗余的网络设计来保证其网络高可用性,但是二层的高冗余设计又增加了交换机二层环路发生的概率。现网中由于新交换机入网、新业务开通、组网调整优化等操作原因,经常会出现物理环路。网络中一旦出现物理环路,在ARP更新报文的触发下,广播报文经环路后会不断循环,产生广播风暴。利用虚拟局域网VLAN(Virtual LAN)技术,可以实现交换机不向该虚拟局域网以外的网络设备传送广播信息,使得网络不会因为广播风暴而引起性能恶化[4]。但是若交换机的防环配置不规范,广播流量会传递到整个上层网络中,最终会消耗掉受影响网络设备的CPU资源,导致网络协议频繁起宕,最严重的后果会导致整个运营商网络瘫痪。典型的运营商网络二层环路拓扑如图1所示。
基于以上背景,本文提出了基于运营商网络的交换机防环研究与实践。通过研究分析运营商网络中交换机可能存在的二层环路场景,从规范新交换机入网、新开中继链路调测以及交换机入网后的日常维护等角度出发,制定了交换机防环配置规范及自动稽核规则命令,涵盖现网中华为、中兴、华三、思科等主流厂商。最后将研究成果推广应用到实际生产中,取得了非常显著的成效。
2 運营商二层环路场景分析
2.1 场景一 单台交换机自环
一台交换机的两个端口直接互联形成环路,常见于错接,如图2所示。
2.2 场景二 两台交换机之间形成环路
两台交换机之间有多条中继互联形成环路,常见于平台/系统交换机同时入网,或者是新入网交换机多条上联接入到现网交换机,如图3所示。
2.3 场景三 三台交换机之间形成环路
三台交换机环状互联形成环路,常见于新入网交换机C分别上联至两台现网交换机A和B,且两台现网交换机A和B之间有互联中继,如图4所示。
2.4 场景四 四台交换机之间形成环路
四台交换机之间口字型互联形成环路,常见于交换机C和D同时入网,和现网交换机A和B形成口字型连接,如图5所示。
3 制定防环配置规范
目前华为、中兴、华三、思科等主流厂商交换机出厂时的端口初始配置均为VLAN 1,使得所有端口在同一个广播域内,为产生广播风暴提供了必要条件。因此,本文制定了防环配置规范。即关闭现网交换机、新入网交换机以及新扩容板卡的所有物理端口,并将端口配置成trunk模式[5],同时禁止透传VLAN 1。在新业务开通前,严格做好交换机的VLAN配置规划,禁止交换机端口使用默认的VLAN 1,新启用的VLAN不能与现网已用VLAN相同。
3.1 华为交换机配置规范
interface GigabitEthernetX/X/X
shutdown //关闭端口
port link-type trunk //配置成trunk模式
undo port trunk allow-pass vlan 1 // 禁止透传VLAN1
3.2 中兴交换机配置规范
interface Gei-X/X/X/X
shutdown //关闭端口
switchvlan-configuration
interface Gei-X/X/X/X
switchport mode trunk //配置成trunk模式
acceptable frame types tag //只接受带标签的报文
3.3 华三交换机配置规范
interface Gigabitethernet X/X/X
shutdown //关闭端口
port link-type trunk //配置成trunk模式
undo port trunk permit vlan 1 // 禁止透传VLAN1
