深入研究網(wǎng)絡(luò)設(shè)備技術(shù)確保BOSS系統(tǒng)安全高效運行

王建軍

（中國移動通信集團黑龍江公司鶴崗分公司，黑龍江 鶴崗 154100）

一、背景

BOSS網(wǎng)絡(luò)即客戶服務(wù)系統(tǒng)（下面簡稱BOSS網(wǎng)絡(luò)），是中國移動提高給廣大客戶辦理移動業(yè)務(wù)的重要網(wǎng)絡(luò)平臺，它的好壞，直接影響中國移動業(yè)務(wù)的發(fā)展和中國移動在用戶面前的形象。因此，我們有必要深入研究BOSS網(wǎng)絡(luò)技術(shù)，提供一個快速的、安全的、高效運行的網(wǎng)絡(luò)。下面從地市層面網(wǎng)絡(luò)設(shè)備組網(wǎng)技術(shù)展開深入研究，GRE協(xié)議、Vrrp熱備份、路由重分發(fā)、rip、OSPF等關(guān)鍵技術(shù)，了解BOSS網(wǎng)絡(luò)的基本組網(wǎng)情況。

二、GRE協(xié)議簡介

GRE(Generic Routing Encapsulation)即通用路由封裝協(xié)議是對某些網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報進行封裝，使這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡(luò)層協(xié)議（IP）中傳輸。在協(xié)議層之間采用了一種被稱之為Tunnel(隧道)的技術(shù)。

GER的工作過程主要分為封裝與解封兩個過程。

封裝過程：當營業(yè)廳辦理業(yè)務(wù)時，將產(chǎn)生的業(yè)務(wù)工單報文經(jīng)由地市公司路由器隧道接口處理，隧道中的IP就會將業(yè)務(wù)工單報文傳遞到省公司端路由器。

解封過程：隧道對端收到業(yè)務(wù)工單IP報文后，檢查IP頭部。如果目的地址是路由器自身并且協(xié)議號為47（GRE），則去到IP報頭，并交給GRE協(xié)議處理。進行解封裝。

三、路由及路由重分發(fā)技術(shù)

（一）動態(tài)路由協(xié)議

在大型網(wǎng)絡(luò)中通常采用動態(tài)路由協(xié)議，與僅使用靜態(tài)路由協(xié)議相比，可以減少管理和運行方面的成本。一般情況下，網(wǎng)絡(luò)會同時使用動態(tài)路由協(xié)議和靜態(tài)路由協(xié)議。在大多數(shù)網(wǎng)絡(luò)中，通常只使用一種路由協(xié)議，不過，也存在網(wǎng)絡(luò)的不同部分使用不同路由協(xié)議的情況。使用動態(tài)路由協(xié)議能適應(yīng)網(wǎng)絡(luò)拓撲結(jié)果的變化、維護工作量小。RIP（Routing Information Protocol）是距離矢量路由協(xié)議，是最久經(jīng)考驗的協(xié)議之一。而RIP協(xié)議用在小型網(wǎng)絡(luò)中，受路由調(diào)數(shù)的限制。

OSPF（Open Shortest Path First）協(xié)議是開放式最短路由優(yōu)先協(xié)議，是目前網(wǎng)絡(luò)中應(yīng)用最廣泛的動態(tài)路由協(xié)議之一，它用于維護復(fù)雜的拓撲信息數(shù)據(jù)庫，屬于鏈路狀態(tài)路由選擇協(xié)議。

（二）路由重分發(fā)技術(shù)

路由重分發(fā)技術(shù)也可以說是路由策略，如華為技術(shù)命令Route-Policy，它可以規(guī)定路由器在發(fā)布路由時只發(fā)布某些滿足特定條件的路由，在接收路由時只接收某些滿足條件的路由，在引入路由時只引入某些滿足特定條件的路由。Route-Policy由一個或多個節(jié)點（Node）構(gòu)成，Node之間是“或”的關(guān)系。每個Node都有一個編號，路由項按照Node編號由小到大的順序通過各個Node。每個Node下可以有若干個ifmatch和apply子句，if-match之間是“與”的關(guān)系。If-match子句用來定義匹配規(guī)則，apply子句用來規(guī)定處理動作。

四、網(wǎng)關(guān)原理概述

網(wǎng)關(guān)有單網(wǎng)關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)關(guān)冗余的網(wǎng)絡(luò)結(jié)構(gòu)。很明顯單網(wǎng)關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)，只有一個網(wǎng)關(guān)，一旦該網(wǎng)關(guān)出現(xiàn)故障，網(wǎng)絡(luò)就出現(xiàn)不通的現(xiàn)象。而網(wǎng)關(guān)冗余的網(wǎng)絡(luò)結(jié)構(gòu)是利用VRRP技術(shù)實現(xiàn)雙網(wǎng)關(guān)，保證了網(wǎng)絡(luò)網(wǎng)關(guān)的備份。

VRRP（Virtual Router Redundancy Protocol）全稱是虛擬路由器冗余協(xié)議，它是一種容錯協(xié)議。該協(xié)議通過把幾臺路由器設(shè)備聯(lián)合組成一臺虛擬的路由設(shè)備，該虛擬路由器在本地局域網(wǎng)擁有唯一的一個虛擬IP地址。實際上，該虛擬路由器是由一個Master設(shè)備和若干Backup設(shè)備組成。

五、VLAN局域網(wǎng)技術(shù)

連接到二層交換機的主機和服務(wù)器處于同一個網(wǎng)段中，就會帶來兩個嚴重的問題。

交換機會向所有端口泛洪廣播，占用過多的帶寬。隨著連接到交換機的設(shè)備不斷增多，生成的廣播流量也隨之上升，浪費的帶寬也更多。

連接到交換機的每臺設(shè)備都能夠與該交換機上的所有其他設(shè)備相互轉(zhuǎn)發(fā)和接收幀。

最好的辦法是將廣播流量限制在僅需要該廣播的網(wǎng)絡(luò)區(qū)域中，地市公司BOSS網(wǎng)絡(luò)中，有多個營業(yè)廳終端接入BOSS網(wǎng)絡(luò)中。為避免引起網(wǎng)絡(luò)廣播風暴，將營業(yè)廳劃分為不同的局域網(wǎng)VLAN中。

六、移動BOSS網(wǎng)絡(luò)技術(shù)綜合運用

設(shè)備配置的IP地址：

BOSS-SERVER：接口網(wǎng)卡IP地 址192.168.20.20/24 網(wǎng) 關(guān)192.168.20.1

R1：Ethernet0/0/0接口IP地址192.168.10.2/24

Ethernet0/0/1接口IP地址6.6.6.6/24

Tunnel0/0/0接口IP地址172.16.1.1/24

R2：Serial0/0/0接口IP地址10.1.12.2/24

Serial0/0/1 接口IP地址10.1.23.2/24

R5：Ethernet0/0/0接口IP地址6.6.6.7/24

Ethernet0/0/1接口IP地址192.168.10.3/24

Tunnel0/0/0接口IP地址172.16.1.2/24

X臺席-PC1：網(wǎng)卡IP地址192.168.30.19/28 網(wǎng)關(guān)192.168.30.17

X臺席-PC2：網(wǎng)卡IP地址192.168.30.20/28 網(wǎng)關(guān)192.168.30.17

Y臺席-PC1：接口網(wǎng)卡IP地址192.168.30.35/28 網(wǎng)關(guān)192.168.30.33

Y臺席-PC2：接口網(wǎng)卡IP地址192.168.30.36/28 網(wǎng)關(guān)192.168.30.33

在圖2中，R1、R2、R3利用GRE技術(shù)組網(wǎng)，建立起地市公司與省公司網(wǎng)絡(luò)通道。R5、R6、R7作為R1、R2、R3的備用網(wǎng)絡(luò)，一旦R1、R2、R3中斷，備用網(wǎng)絡(luò)就起作用。

（一）路由器熱備份配置

1.R1路由器vrrp配置

在Ethernet0/0/0接口配置：vrrpvrid為192.168.10.1，vrrpvrid的priority值 120。

2.R5路由器VRRP配置

在Ethernet0/0/1接口配置：vrrpvrid為192.168.10.1，vrrpvrid的priority值默認。

VRRP的優(yōu)先值沒有配置，默認為100。當R1出現(xiàn)故障，R5立刻從備用狀態(tài)轉(zhuǎn)為主用狀態(tài)。

（二）路由器GRE配置

1.R1路由器GRE配置

在Tunnel0/0/0接口配置tunnel-protocolgre，source為10.1.12.1，destination為10.1.23.1，同時還需配置一條靜態(tài)默認路由0.0.0.0指向10.1.12.2。

2.R3路由器GRE配置

在Tunnel0/0/0接口配置tunnel-protocolgre，source為10.1.23.1，destinaion為10.1.12.1

（三）路由器路由協(xié)議配置及路由重分發(fā)

在R1和R3路由器中配置一樣的RIP動態(tài)路由，將192.168.10.0和172.16.0.0兩個網(wǎng)段宣告出去。為了保證營業(yè)廳192.168.30.0網(wǎng)段終端與省公司服務(wù)器通信，在R1路由器中配置一條192.168.30.0網(wǎng)段指向192.168.10.4路由。但是，192.168.30.0網(wǎng)段并沒有宣告到R3的路由表中，這樣營業(yè)廳的終端并不能與省公司服務(wù)器通信，為了解決這個問題，就要用到路由重復(fù)發(fā)技術(shù)。在R1中，配置ACL控制列表

acl number 2000

step 10

rule 10 permit source 192.168.30.0 0.0.0.255

route-policyim-rip permit node 10

if-match acl 2000

import-route static route-policy im-rip

配置完后，營業(yè)廳終端就能與服務(wù)器通信了。

（四）VLAN技術(shù)在交換機的運用

1.三層交換機SW3的VLAN配置

我 們 建 立 VLAN30、VLAN40、VLAN200，IP地址分別為：192.168.30.17/28，192.168.30.33/28，192.168.10.4/24，又 分 別 作為X營業(yè)廳終端、Y營業(yè)廳終端的網(wǎng)關(guān)，VLAN200作為與R1路由器連接使用。要想營業(yè)廳終端與服務(wù)器通信，還需配置目的網(wǎng)段為服務(wù)器192.168.20.0和0.0.0.0下一跳指向路由器R1生成的虛擬IP為192.168.10.1的靜態(tài)路由。

2.三層交換機SW4的配置

三層交換機SW4的配置與三層交換機SW3的配置基本相同，只是接口分配的IP地址不同。

3.在二層交換機上配置端口隔離

為了安全起見，營業(yè)廳終端之間不能互相通信，我們可以配置端口隔離。X營業(yè)廳的兩臺PC，在配置端口隔離之前，X臺席-PC1與X臺席-PC2之間是可以通信的。當我們在X營業(yè)廳二層交換機SW1上的2端口和3端口配置port-isolate enable group 1命令后，X臺席-PC1與X臺席-PC2之間就不能通信了。

七、地市網(wǎng)絡(luò)層面設(shè)置網(wǎng)絡(luò)監(jiān)控

在省公司網(wǎng)絡(luò)層面，一定有整個網(wǎng)絡(luò)監(jiān)控措施的，而地市網(wǎng)絡(luò)層面維護人員是看不到的。為了解決這個問題，使地市維護人員更好地維護本地的交換機設(shè)備，可以利用CACTI開源軟件，在地市網(wǎng)絡(luò)層面，對交換機、路由器進行監(jiān)控。CactiEZ-10.1-x86_64軟件，就是一款好用的監(jiān)控軟件。

（一）烽火二層交換機SNMP配置

snmp community public ro view internet

snmp trap-server 192.168.0.5 161 public v2

注意：烽火交換機management ACL configuration中的配置，如果management acl enable開啟，那么，需在ACL中配置management acl 192.168.0.0/24 snmp，否則，cacti監(jiān)控軟件，將檢測不到交換機的SNMP。

（二）監(jiān)控二層烽火FH2024交換機

添加主機FH2024的管理IP，并命名監(jiān)控交換機名，調(diào)用模版，選取SNMP的版本為版本2，團體命名輸入public，端口為161。

八、 結(jié)束語

以上通過對地市層面BOSS網(wǎng)絡(luò)全面解析和研究，同時，在地市網(wǎng)絡(luò)層面增加cacti網(wǎng)絡(luò)設(shè)備監(jiān)控，使我們能夠?qū)W(wǎng)絡(luò)設(shè)備運行情況全面掌握，更好地解決生產(chǎn)工作中的實際問題，更好地為生產(chǎn)服務(wù)和支撐。由于水平有限，以上對地市網(wǎng)絡(luò)層面分析講解，難免有一些不足的情況，請大家批評指正。