双线路实施设想

sherryliu

免责声明：本文章纯属闭门造车，应用起来还需要试验证明。据此实施项目，出现问题本博概不负责。

file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

一. 物理连接及冗余性
1.           省级
省级网络分为局域网和广域网。
局域网中心交换机为2台高性能多层交换机，下面以Cisco 6509交换机（分别为6509A和6509B）为例。相互Trunk连接，互为备份。局域网接入层、汇聚层交换机均为双线路上联，保证物理线路的冗余。运行STP协议保证无环路。网络层的冗余是通过HSRP或者VRRP实现的。局域网划分vlan，接入A（红色）、B（蓝色）两种业务类型的服务器和工作站。其中，业务A服务器网关以6509A为主，6509B为备，通过HSRP/VRRP实现故障切换；业务B服务器网关以6509B为主、6509A为备。
广域网和局域网之间采用防火墙隔离。防火墙运行在透明模式。广域网路由器采用2台高性能路由器，下面以Cisco7304和7507为例，分别连接不同电信运营商的线路，假设为SDH和ATM线路。通过时隙的分配，省级路由器连接多个多个市级的广域网路由器。分配业务A数据流以SDH为主线路，ATM为备线路，业务B反之。为实现两台路由器的冗余连接，把两台路由器之间直连。
这样连接，可以保证省级中心任何一台核心设备宕机、任何一条广域网线路故障，都不影响业务流量，既消除单点故障。

file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image007.gif
2.           市级
市级网络分为局域网和广域网。
局域网中心交换机为2台多层交换机，下面以Cisco 4507R交换机（分别为4507A和4507B）为例。相互Trunk连接，互为备份。局域网接入层、汇聚层交换机均为双线路上联，保证物理线路的冗余。运行STP协议保证无环路。网络层的冗余是通过HSRP或者VRRP实现的。局域网划分vlan，接入A（红色）、B（蓝色）两种业务类型的工作站。其中，业务A服务器网关以4507A为主，4507B为备，通过HSRP/VRRP实现故障切换；业务B服务器网关以4507B为主、4507A为备。
广域网和局域网之间采用防火墙隔离。广域网路由器采用2台高性能路由器，下面以Cisco3845为例。广域网路由器起到承上启下的作用：向上分别连接省级两条广域网线路，向下分别连接基层广域网线路。分配业务A数据流以SDH为主线路，ATM为备线路，业务B反之。为实现两台路由器的冗余连接，把两台路由器之间直连。
这样连接，可以保证市级中心任何一台核心设备宕机、任何一条广域网线路故障，都不影响业务流量，既消除单点故障。
   

基层

市级

file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image011.gif
3.           基层
    两台基层单位的路由器连接市级广域网，并最终汇集到基层交换机上。该交换机可以为二层或者三层交换机。假设复杂的情况，基层单位的工作站网关设置在三层交换机上。
二. 业务模型
假设分为A、B两种业务，或者业务的集合，体现为不同的IP地址网段或者网段的集合。其中A业务或者A网段的流量以SDH线路为主，B业务或者B网段的流量以ATM线路为主，并以另一条线路做备份。这样，就要求A网段的路由优先选择左边的SDH线路及设备，B网段的路由优先选择右边的ATM线路及设备。
三. IP地址分配
IP地址的分配分为三部分：业务网段、设备互联网段、设备loopback地址。
1.           业务网段：
每个单位业务网段按16个C类地址分配。
省级A业务网段：10.37.0.0/20
       省级B业务网段：10.137.0.0/20
      
       市级A业务网段：10.37.64.0/20（包含基层单位业务网段）
       市级B业务网段：10.137.64.0/20（包含基层单位业务网段）

       基层A业务网段：10.37.66.0/24
       基层B业务网段：10.137.66.0/24
2.           设备互联网段
设备互联地址按30位子网掩码分配。
省级设备互联网段：172.16.0.0/24。广域网互联地址网段：172.17.0.0～172.18.0.0
市级设备互联网段：172.16.64.0/24。广域网互联地址网段：172.17.0.0~172.18.0.0
基层设备互联网段：172.16.66.0/24。
3.           设备loopback地址
省级设备lo0地址：192.168.0.1~10，单个分配。
市级设备lo0地址：192.168.64.1~10，单个分配。
基层设备lo0地址：192.168.66.1~10，单个分配。
四. 路由设置
全网只采用OSPF，可控性比BGP稍差一些。
1.           全网OSPF设置
OSPF设置的重点是通过调整不同业务网段路由的metric值，达到不同线路上的设备优选路由的功能。
省级设备、市级路由器的省市互联端口、市级路由器互联端口均在Area0内，市级路由器其他端口、市级交换机、基层路由器均在Area64内。
市级中心交换机重分布静态路由或者直连网段，这样可以通过redistribute route-map命令使4507A重分布10.37.64.0和10.137.64.0两个网段时，前者的metric值小，后者大。命令如下：
Router ospf 10
Redistribute static subnets metric-type 1
Redistribute connected subnets metric-type 1 route-map diff-metric
!
Route-map diff-metric permit 10
Match ip address 10
set metric 10
!
Route-map diff-metric permit 20
Match ip address 20
Set metric 20
!
access-list 10 permit 10.37.64.0 0.0.0.255
access-list 20 permit 10.137.64.0 0.0.0.255

4507B上的metric值相反。
这样，发给3845的路由就有了metric值的差别：A路由表中，10.37.64.0 metric 10，
10.137.64.0 metric 20; B路由表中，10.37.64.0 metric 20，10.137.64.0 metric 10。
把2台3845之间直连端口的OSPF cost值加大到100，这样任何从直连链路学习到的
路由信息，不会加入到路由表，而只在OSPF数据库中，备用。
2台3845分别把有差别的路由发送给7304和7507，进而发送给2台6509。把2台3845
之间直连端口的OSPF cost值加大到100。
省级中心交换机重分布路由时，和市级设置类似。
在理想情况下，A业务网段10.37.0.0和10.37.64.0均认为SDH线路为最优路由；B业
务网段10.137.0.0和10.137.64.0均认为ATM线路为最有路由；同时还保持着冗余功能。
因为没有做试验，不确定7304、7507之间、2台3845之间直连链路调整OSPF是否正
确。
基层中心交换机设置10.37.0.0/16的路由指向2821A路由器，再设置AD值高的同样路
由指向2821B路由器，使路由冗余。指向10.137.0.0/16的路由优先指向2821B。
两台2821路由器设置静态路由指向交换机，同时，重分布该静态路由，方法同市级交
换机。
这种方法无法实现路由的汇总。
2.           OSPF+BGP设置
同样是不同业务跑在不同线路上，可以采用OSPF＋BGP的设置。OSPF用来在本单位网络中传递BGP可达信息，BGP用来承载用户路由。由于BGP选路的灵活性，可以实现上述功能。
市级网络所有设备均运行OSPF和BGP。OSPF只设置一个area0，包含基层设备。只用来学习各个设备的loopback地址、互联网络的路由。业务网段也需要用OSPF发布一下，一方面可以关闭BGP的同步，另一方面需要在3845上汇总路由，使BGP发布汇总后的路由。当OSPF稳定后，启用BGP，设置loopback端口为更新源，这样可以保证通过多条内部链路到达目标设备。在3845路由器上，设置路由反射器，同时针对省级路由器邻居设置route-map，针对不同业务网段设置不同的local-preference，影响对端设备的选路。
router bgp 65064
no synchronization
bgp router-id 192.168.64.1
bgp log-neighbor-changes
network 10.37.64.0 mask 255.255.240.0                     /* 包含基层单位网段
network 10.137.64.0 mask 255.255.240.0
network 172.16.64.0 mask 255.255.255.252
network 172.17.10.16 mask 255.255.255.252
neighbor rrgroup peer-group
neighbor rrgroup remote-as 65064
neighbor rrgroup update-source Loopback0
neighbor rrgroup next-hop-self
neighbor rrclient peer-group
neighbor rrclient remote-as 65064
neighbor rrclient update-source Loopback0
neighbor rrclient route-reflector-client
neighbor rrclient next-hop-self
neighbor 172.17.0.17 remote-as 65000
neighbor 172.17.0.17 version 4
neighbor 172.17.0.17 timers 10 15
neighbor 172.17.0.17 route-map setLP in
neighbor 192.168.64.2 peer-group rrgroup
   neighbor 192.168.64.3 peer-group rrclient
   neighbor 192.168.64.4 peer-group rrclient
   no auto-summary
access-list 20 permit 10.137.0.0 0.0.15.255
access-list 20 permit 10.137.64.0 0.0.15.255
route-map setLP permit 10
match ip address 20
set local-preference 100
!
route-map setLP permit 20
set local-preference 400
       3845B路由器上route-map的设置相反。这样，可以
       同理，7304上针对广域网的邻居，设置route-map，使10.37.0.0和10.37.64.0的路由
local-preference高。7507上相反。
因为没有试验环境，这里只作出了一个大概的配置，可能会存在一些小问题。
五. 因防火墙而出现的策略路由问题
上述是一个理想环境，但是可能在某情况下，数据包来回不是同一条线路的问题，比如一台交换机宕机、或者A、B业务互访。如果这种情况下，加了防火墙，那么就不允许来回不是同一条路，由于防火墙是基于检测连接状态的，如果数据包来回走的不是一个防火墙，那么就会被后一个防火墙丢掉。所以造成交叉业务访问时，网络不通。那么，怎么避免这种情况发生呢？答案是：策略路由。
目前，在市级单位的两台4507交换机上，目标IP网段10.37.0.0/24的数据包，下一跳都是3845A。策略路由配置基于源IP地址10.137.64.0/24，目标IP地址10.37.0.0/24的数据包，下一跳是3845B，其它路由不变，当策略路由失效时，恢复到正常路由。
4507交换机新增配置如下：
     access-list 199 permit ip 10.137.64.0 0.0.0.255 10.37.0.0 0.0.0.255
        !
     route-map fw permit 10
              match ip address 199
          set ip next-hop 192.168.64.2
!
         route-map fw permit 20
     !
        interface vlanB
         ip policy route-map fw

       如果是需要AB业务互访，那么就需要在所有交换机和路由器上做策略路由。




本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/4716/showart_483965.html