企业网出口割接实例分析

2015-11-30 08:27

网络安全和信息化 2015年4期

关键词：重定向网段网管

前言

出于提升带宽、内网应用类型调整等目的，企业互联网出口会涉及更换运营商接入链路的情况。随之而来的既是内部网络平滑迁移的问题，本文结合实例阐述某集团公司总部信息网络改造项目过程中所涉及该类问题的解决思路。

图1

项目背景说明

本例中所描述项目为某电力传媒集团总部信息网络改造项目，其中包括信息内、外网增加设备、结构调整及新建无线网络系统。在信息外网改造部分包括了互联网出口调整，即由原来的ISP1专线切换为ISP2专线接入互联网，其网络结构示意图如图1所示。

原集团信息外网用户及服务器接入都由ISP1负责进行NAT（地址转换），切换至ISP2后需要由用户自行完成NAT，因此增加了虚框中的Huawei AR2200路由器，用户接入及服务器发布NAT都由该设备完成。

当前新增链路部分已调试完毕，并完成了用户接入及服务器发布测试。但由于现网服务器需要公网用户访问，因此在ISP1中申请了公网DNS域名若干，并由ISP1的DNS服务器负责解析；切换至ISP2后需通过ISP2的DNS服务器对这些域名进行解析，由于域名服务更迭、全网同步需至少24至48小时，为了保证对外发布的这些服务器在线路切换过程中仍能保证公网用户通过域名访问，经与ISP1方协商后，10.2.237.0/24网段中的服务器仍然通过ISP1专线对外发布，待ISP2完成域名服务更迭、全网同步后再行断开专线链路，除此之外的其他网段不再提供互联网接入服务。

问题解决思路

当前现网所有网段的网关均指向核心交换机，核心交换机再通过静态默认路由的方式指向ISP互联设备地址。经过对现网结构分析，拟采用通过在核心交换机上配置策略路由的方式解决该问题，用户通过重定向下一跳的方式从ISP2出口接入，服务器网段通过默认路由保持ISP1出口接入。

调整测试过程

由于核心交换机H3C 7506E的软件版本较老，不能直接采用PBR（策略路由）方式实现功能，只能通过QoS(MQC)功能完成流量重定向，因此做了如下配置:

尝试在用户接入VLAN、物理接口、及全局下对该QoS策略进行逐个下发，同时在各网段主机中通过tracroute跟踪路由测试，发现数据包仍然从ISP1出口流出，并未切换至ISP2出口，重定向功能并未生效。特别是在全局下发该策略时还出现了断网现象。经与厂商工程师沟通，该交换机在执行QoS策略时ACL里面的deny表示不再匹配也不执行相应动作，建议删除ACL 2001中的 deny条目。根据提示将ACL 2001中的rule 30删除后，在各接入VLAN上下发该策略后，tracroute发现已经切换至ISP2出口，功能生效。但是问题随之而来，网管人员反映无法Ping、telnet到核心交换机本VLAN网关地址，删除网管VLAN的QoS策略后，恢复正常。判断原因为所有匹配源地址为10.2.236.0网管网段的数据均重定向到了ISP2出口路由器的互联地址，造成网关地址不可达。同时，该问题也会导致其他用户VLAN的网关地址无法Ping通，给今后的运维排障也造成了一定影响。

初步的调整方法是将流分类中的ACL改为扩展ACL，将各网段到网关的流量排除在外。

流分类从匹配ACL 2001变为匹配 ACL 3001 ,其他配置保持不变，重新在相应VLAN下应用，策略路由功能生效，但各VLAN网关仍无法Ping通。按照在以往其他品牌产品的配置经验，在实现策略路由的时候，ACL中的deny项目的是该项目不通过策略路由而做普通路由转发。但经与厂家技术支持沟通，给出的答复是ACL中deny项不会被匹配，顺序匹配下面的项。如果要实现该功能建议新建一个acl，匹配目的地址是各VLAN 网关地址，再创建一个QoS 类匹配这个ACL；创建一个流行为，里面什么都不写然后在QoS里面关联，关联时放在QoS策略的第一位。这个时候访问交换机网关地址的会匹配这QoS策略，但是没有动作，所以不会被重定向且不会再去匹配下面重定向的策略，根据提示对策略做了如下调整：

重新关联QoS策略，新建的条目放在重定向条目的前面。

在相关VLAN中下发策略时，会收到如下的因存在空行为造成策略无法下发的报错消息

将相关behavior的动作变为显式的允许后，再次在相关VLAN下应用该策略，没有报错信息，经测试重定向功能生效，且各网段均能Ping通网关，网管网段也能telnet到网关地址远程管理交换机了。

总结

不同厂商、品牌型号的3层交换设备在实现同一功能时，存在细微差异。本例中根据对核心交换机QoS实现机制的分析、测试并结合厂家提供的技术支持，最终实现了分流目的，同时保证了网管人员对设备的远程管理。