霍 宏，裴 文，陳常龍

（蘭州石化公司自動化研究院，蘭州 730000）

1 企業(yè)網(wǎng)絡基本情況

近幾年來，石化企業(yè)信息應用系統(tǒng)的數(shù)量不斷增加、范圍不斷延伸，企業(yè)生產、運行、管理等各方面的工作對網(wǎng)絡平臺的依賴程度也越來越高。伴隨著企業(yè)日益增長的業(yè)務需求，企業(yè)局域網(wǎng)的建設也必須向著“高可靠、高安全、高性能、可擴展”的方向邁進，以保證企業(yè)各種信息系統(tǒng)的穩(wěn)定運行，更好地為企業(yè)各級用戶服務。

1.1 現(xiàn)狀概述

石化企業(yè)局域網(wǎng)光纜里程長，覆蓋面積大。網(wǎng)絡設施覆蓋范圍廣、涉及用戶多。原有網(wǎng)絡為2007 年建成，分核心、匯聚、接入三個層次。接入層提供用戶計算機網(wǎng)絡接入點，設備端口相對密集，可以在端口上設置簡單的訪問控制策略，放置地點一般為辦公樓樓道機柜；匯聚層是大量接入層設備的匯聚點，提供路由計算、安全過濾、流量控制等功能，通常放置在二級單位辦公樓機柜間；核心層實現(xiàn)各自治系統(tǒng)網(wǎng)絡之間的優(yōu)化傳輸，是所有流量的最終承受者，具備冗余和高速數(shù)據(jù)轉發(fā)能力，放置地點在企業(yè)核心機房和區(qū)域網(wǎng)絡中心機房。三層網(wǎng)絡架構設計消除了單點故障，是企業(yè)網(wǎng)絡穩(wěn)定運行的基礎。

1.2 路由架構

原有網(wǎng)絡在核心層及匯聚層網(wǎng)絡設備中，采用了兩種不同類別的路由協(xié)議。一部分網(wǎng)絡設備啟用了OSPF 動態(tài)路由協(xié)議，另一部分啟用了Trunk 鏈路類型端口連接的靜態(tài)路由協(xié)議。下面以服務器至核心、機關至核心為例，簡要說明這兩種路由協(xié)議的應用形式。

服務器至核心交換機之間采用靜態(tài)路由協(xié)議。所屬機房的服務器交換機通過一條捆綁鏈路Eth－trunk 1 連至核心2，連至核心1 的為一條共享備用鏈路，并人為配置為Admin Down 狀態(tài)，這樣由于核心1、核心2 互為備份交換機，當服務器交換機的捆綁鏈路中斷或者核心2 交換機出現(xiàn)故障后，可以手動啟用備用鏈路，保證網(wǎng)絡正常通信。

1.3 存在問題

經(jīng)過對原有網(wǎng)絡基本情況以及近期故障原因分析，發(fā)現(xiàn)原有骨干網(wǎng)絡主要存在以下幾點問題。

1.3.1 設備性能不足

原有網(wǎng)絡設備幾乎都已過保，設備消耗也比較嚴重。設備整體性能下降而企業(yè)網(wǎng)絡業(yè)務卻不斷增加，致使部分設備在網(wǎng)絡流量高峰時段CPU 占用率達70%以上。設備性能已成為網(wǎng)絡擴展的瓶頸，亟待升級更換。表1 為部分節(jié)點CPU 占用率示例。

表1 部分節(jié)點CPU 占用率

1.3.2 核心層交換機業(yè)務繁重

核心交換機除負責整體網(wǎng)絡數(shù)據(jù)流量的傳輸外，還承擔著主要業(yè)務網(wǎng)關功能，降低了其高速轉發(fā)能力。同時，當網(wǎng)絡業(yè)務發(fā)生改變時，需頻繁對核心交換機進行變更操作，影響其穩(wěn)定性。由于核心交換機集多種業(yè)務于一身，增加了網(wǎng)絡故障處理的難度。

1.3.3 路由協(xié)議維護不便

由于OSPF 路由和靜態(tài)路由的計算方式不同，所以兩種路由配置形式也不相同，增加了協(xié)議應用的難度。同時，靜態(tài)路由無法自動根據(jù)網(wǎng)絡拓撲變化而改變，必須進行手動配置才能保證網(wǎng)絡連通性，無法實現(xiàn)網(wǎng)絡的無中斷切換，降低了運維工作效率。

1.3.4 冗余性能不足

受限于設備性能及鏈路老化等問題，原有網(wǎng)絡的冗余措施僅部分生效，某些關鍵冗余技術也無法應用，加大了網(wǎng)絡整體的風險性。當網(wǎng)絡發(fā)生故障后，需進行人工跳線工作，調整鏈路恢復網(wǎng)絡，極易造成長時間、大面積業(yè)務中斷。

2 網(wǎng)絡關鍵技術部署

企業(yè)骨干網(wǎng)絡的性能提升，需要在合理調整網(wǎng)絡結構的基礎上，因地制宜地部署各種可靠性技術，并通過多種技術的有效結合，達到網(wǎng)絡整體性能穩(wěn)固的目的。

2.1 網(wǎng)絡結構優(yōu)化

為進一步提高核心交換機高速數(shù)據(jù)轉發(fā)的主要性能，減輕核心交換機的業(yè)務負荷，將原有網(wǎng)絡存在于核心設備的業(yè)務網(wǎng)關全部下移至匯聚層交換機，以直連路由的形式發(fā)布到接入層網(wǎng)絡中。接入層設備通過VLAN 透傳，終結到各匯聚交換機的下行口上。其優(yōu)點在于既保障了業(yè)務網(wǎng)段的穩(wěn)定運行，又避免了因業(yè)務變動而對核心交換機進行頻繁操作，降低了網(wǎng)絡運維中故障處理的難度。

新增兩臺H3C 7510 作為服務器匯聚交換機，其余4 臺華為S5752 作為備用交換機。服務器接入單獨匯聚交換機且與新核心交換機之間有冗余鏈路，不會產生因為核心設備故障導致的大面積應用業(yè)務中斷。

在所有的網(wǎng)絡匯聚層交換機中，雙設備之間采用雙萬兆互聯(lián)，單萬兆上行；單設備匯聚分別雙萬兆上行至雙核心交換機。由于萬兆光口對光纖衰耗要求比較高，根據(jù)近幾年鏈路更新及建設情況，對匯聚到核心的鏈路重新進行優(yōu)化選擇。

2.2 OSPF 路由協(xié)議應用

重新設計企業(yè)骨干網(wǎng)絡的OSPF 路由架構，將企業(yè)核心層及匯聚層網(wǎng)絡全部納入OSPF 路由協(xié)議范疇。

交換機默認沒有運行OSPF 協(xié)議。需要人為進行配置。企業(yè)骨干網(wǎng)絡OSPF 協(xié)議主要采用3 種模式：雙核心交換機互連、雙核心至雙匯聚交換機、雙核心至單匯聚交換機，下面分別就這3 種模式簡要說明OSPF 的配置過程。

2.2.1 核心交換機互連

一是配置核心交換機的Router ID。企業(yè)大樓核心（以下簡稱核心1）配置為10.X.X.1；區(qū)域中心核心（以下簡稱核心2）配置為10.X.X.2。

二是啟動LoopBack 接口作為管理接口，并配置接口地址。為了管理方便通常將接口地址和Router ID 配置一致。

三是配置互連Vlan 及Vlan 接口地址。啟用雙核心互連Vlan，配置接口IP，掩碼為255.255.255.252。這里應用了VLSM（可變長子網(wǎng)掩碼）技術，以便最有效地利用現(xiàn)有的地址空間。

四是啟動OSPF 進程。兩臺核心都啟動OSPF 1 進程。

五是配置OSPF 區(qū)域。因為兩臺核心之間連接處于骨干區(qū)域，所以必須配置為Area 0。

六是配置區(qū)域所包含的網(wǎng)段并在指定網(wǎng)段的接口上使能OSPF。缺省情況下，接口不屬于任何區(qū)域且OSPF 功能處于關閉狀態(tài)。一個網(wǎng)段只能屬于一個區(qū)域，并且必須為每個運行OSPF 的接口指明屬于某一個特定的區(qū)域。在這個配置過程中，需要使用盡量精確的反掩碼。

2.2.2 雙核心至雙匯聚互連

以此分廠為例，雙核心至雙匯聚的OSPF 配置涉及雙設備互連的情況。

匯聚1 分別啟用了兩個Vlan 接口，分別連接核心1 和匯聚2，兩個接口同處于Area 4 中。其余配置步驟與上述核心之間的配置相同。

2.2.3 雙核心至單匯聚互連

以本分廠為例，雙核心至單匯聚的互連涉及OSPF 中cost值的計算問題。其算法為：Cost ＝100×106／鏈路帶寬。在這里，鏈路帶寬以bps 來表示。也就是說，OSPF 的Cost 與鏈路的帶寬成反比，帶寬越高，Cost 越小，表示OSPF 到目的地的距離越近。

核心至匯聚升級為雙萬兆光纖連接，其鏈路的cost 值相同，在配置Vlan 接口的過程中，通過手動設定接口cost 值，達到區(qū)分主備鏈路的目的。

在整個OSPF 的配置過程中，為了減少不必要的OSPF Hello 報文的發(fā)送，提高網(wǎng)絡資源的利用率，在相應的Vlan 接口下啟用silent－interface 命令，使其變成靜默接口，這兩個接口不再向下連的各個匯聚發(fā)送Hello 報文。

匯聚交換機除了禁止環(huán)回接口外，還禁止了所有的業(yè)務VLAN 接口，這樣使得匯聚所有的下連接口不再發(fā)送Hello 報文，避免網(wǎng)絡資源的浪費，而其下連接口的直連路由仍可以由其他接口發(fā)布出去。

2.3 VRRP 協(xié)議應用

為了實現(xiàn)企業(yè)骨干網(wǎng)絡發(fā)生故障后，能夠快速、自動地切換到冗余環(huán)境中，保證企業(yè)業(yè)務流轉的通暢性，需要在雙設備之間應用VRRP 協(xié)議。

VRRP 協(xié)議的具體實施分為以下幾步：

一是創(chuàng)建VRRP 備份組并配置虛擬IP 地址。

二是配置路由器在備份組的優(yōu)先級。

三是配置備份組中的路由器工作在搶占方式，并設定搶占延遲時間。

四是配置監(jiān)視指定接口。

五是配置備份組發(fā)送和接收VRRP 報文的認證。

六是配置備份組中Master 路由器發(fā)送VRRP 通告報文的時間間隔。

七是檢查VRRP 備份組的狀態(tài)信息。

使用缺省優(yōu)先級的匯聚，其priority 值為100，所以優(yōu)先級高的匯聚作為Master 承擔業(yè)務轉發(fā)。

2.4 鏈路聚合技術應用

在企業(yè)骨干網(wǎng)絡的所有雙設備之間運用鏈路聚合技術，提高了雙設備互連的帶寬性能，消除單線故障隱患。

由于雙核心、雙匯聚對應的冗余設備型號性能完全相同，故采用靜態(tài)聚合模式，簡要配置過程分3 步進行：

第一步，創(chuàng)建Eth－trunk 接口。

第二步，配置接口類型及允許通過Vlan。

第三步，將以太網(wǎng)接口加入Eth－trunk 聚合組。

3 結語

石化企業(yè)骨干網(wǎng)絡升級優(yōu)化歷經(jīng)現(xiàn)場調研、方案設計、配置備份、設備安裝、鏈路調整、網(wǎng)絡規(guī)劃、設備聯(lián)調、網(wǎng)絡割接等階段，達到了企業(yè)網(wǎng)絡綜合性能提升的預期效果。目前，企業(yè)骨干網(wǎng)絡保持穩(wěn)定、高速運行。

隨著網(wǎng)絡技術和用戶需求的不斷發(fā)展，陳舊的網(wǎng)絡運維模式在管理企業(yè)整體網(wǎng)絡環(huán)境的工作中也略顯捉襟見肘。搭建綜合性的可擴展的網(wǎng)絡管理平臺將是我們下一步的重點工作。同時，在網(wǎng)絡基礎條件允許的情況下，我們還將對企業(yè)生產網(wǎng)絡、末端接入網(wǎng)絡進行升級優(yōu)化，為石化企業(yè)整體網(wǎng)絡提升畫上圓滿句號。