迁移到VRRP无环网络

网络现状

校园网出口设备深信服AD-2000上联三条光纤链路到运营商，下联两台思科ASA 5550防火墙，防火墙下联两台思科6509-E核心交换机，新校区各栋楼的思科3560-E汇聚交换机分别上联两台核心交换机，老校区一台思科6509交换机作为汇聚交换机分别上联两台核心交换机，新老两个校区各栋楼的楼层接入交换机分别上联到各栋楼的汇聚交换机，接入交换机主要采用思科、华为、华三等主流厂商的设备。原网络拓扑结构如图1所示。

图1 原网络拓扑图

存在的问题

两台核心交换机配置的是HSRP+PVST，一台为主，另一台为备。两台防火墙配置的是Failover，也是一台为主，另一台为备。现在的问题是主设备出问题时，切到备用设备延时严重，通过分析论证得知是因为从主核心交换机切换到备用核心交换机需要等待HSRP收敛时间加上生成树收敛时间，而且从主防火墙切换到备用防火墙也是需要时间的。那我们能不能做到主备设备切换时只需要等待第一跳冗余协议的收敛时间呢?答案是肯定的，传统的园区网络架构通用的是VRRP+MSTP，配置多个VLAN，核心交换机之间通过Trunk链路作为心跳线保持连接，一部分MSTP实例的主根设置在主核心交换机上，次根设置在备用核心交换机上；另外一部分MSTP实例的主根设置在备用核心交换机上，次根设置在主核心交换机上。VRRP主备路由器角色的配置和MSTP实例的主备根配置保持一致，要切换二者同时切换。

其实，完全没必要配置MSTP，更不用配置MSTP实例的主备根，甚至可以关闭核心交换机的生成树功能。解决此问题的方法是两台核心交换机之间的链路走三层，这样核心交换机和汇聚交换机之间就不存在环路，一部分VLAN通过VRRP主备路由器角色配置走主核心交换机，出问题后走备用核心交换机；另一部分VLAN通过VRRP主备路由器角色配置走备用核心交换机，出问题后走主核心交换机。如此一来就完美的解决了采用HSRP+PVST模式导致主备设备切换延时严重的问题。

图2 改造后的网络拓扑图

升级改造解决方案

最近在一次例行设备巡检时发现备用防火墙损坏，完全不能工作，一旦主防火墙、主核心交换机故障，整个校园网用户都不能上网。因此，急需改造现有网络，改造后的网络拓扑结构如图2所示。

（1）物理连接调整

使用一条6类双绞线连接备用核心交换机和主防火墙，连接备用核心交换机的防火墙端口设置成内部接口，其余连接保持不变。

（2）备用核心交换机配置调整

首先，将备用核心交换机的配置导出来，然后将连接到备用核心交换机的所有线缆全部拔掉，删除备用核心交换机的所有配置并重启设备，在交换机上关闭VTP功能，建立VLAN，创建三层以太通道用来连接主核心交换机，配置SVI接口和SVI接口的VRRP主备路由器角色，连接到汇聚交换机的接口全部配置成Trunk，创建默认路由下一跳指向主防火墙，再创建一条带管理距离的默认路由下一跳指向三层以太通道的对端IP地址。最后，再创建一条到内网网段的下一跳指向三层以太通道对端IP地址的静态路由。

VRRP配置如下（部分）：

（3）主防火墙配置调整

首先，将连接备用核心交换机的防火墙端口设置成内部接口，然后创建一条到内网网段的下一跳指向主核心交换机的静态路由，最后创建一条带管理距离的到内网网段的下一跳指向备用核心交换机的静态路由，其余配置保持不变。

路由配置如下：

（4）主核心交换机配置调整

首先，将主核心交换机的配置导出来，然后将连接到主核心交换机的所有线缆全部拔掉，删除主核心交换机的所有配置并重启设备，在交换机上关闭VTP功能，建立VLAN，创建三层以太通道用来连接备用核心交换机，配置SVI接口和SVI接口的VRRP主备路由器角色，连接到汇聚交换机的接口全部配置成Trunk，创建默认路由下一跳指向主防火墙，再创建一条带管理距离的默认路由下一跳指向三层以太通道的对端IP地址。最后，再创建一条到内网网段的下一跳指向三层以太通道对端IP地址的静态路由。

VRRP配置如下（部分）：

升级改造后的效果

实践证明：通过以上的升级改造，优化了全网结构，使得网络层次更加清晰，更加扁平化，大大提高了网络的稳定性和可靠性，同时满足了用户对网络服务质量的较高要求，提高了用户的感知度，减轻了运维人员的压力，提升了服务质量。