深入研究網(wǎng)絡(luò)設(shè)備技術(shù)確保BOSS系統(tǒng)安全高效運(yùn)行

王建軍

（中國(guó)移動(dòng)通信集團(tuán)黑龍江公司鶴崗分公司，黑龍江 鶴崗 154100）

一、背景

BOSS網(wǎng)絡(luò)即客戶(hù)服務(wù)系統(tǒng)（下面簡(jiǎn)稱(chēng)BOSS網(wǎng)絡(luò)），是中國(guó)移動(dòng)提高給廣大客戶(hù)辦理移動(dòng)業(yè)務(wù)的重要網(wǎng)絡(luò)平臺(tái)，它的好壞，直接影響中國(guó)移動(dòng)業(yè)務(wù)的發(fā)展和中國(guó)移動(dòng)在用戶(hù)面前的形象。因此，我們有必要深入研究BOSS網(wǎng)絡(luò)技術(shù)，提供一個(gè)快速的、安全的、高效運(yùn)行的網(wǎng)絡(luò)。下面從地市層面網(wǎng)絡(luò)設(shè)備組網(wǎng)技術(shù)展開(kāi)深入研究，GRE協(xié)議、Vrrp熱備份、路由重分發(fā)、rip、OSPF等關(guān)鍵技術(shù)，了解BOSS網(wǎng)絡(luò)的基本組網(wǎng)情況。

二、GRE協(xié)議簡(jiǎn)介

GRE(Generic Routing Encapsulation)即通用路由封裝協(xié)議是對(duì)某些網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（IP）中傳輸。在協(xié)議層之間采用了一種被稱(chēng)之為T(mén)unnel(隧道)的技術(shù)。

GER的工作過(guò)程主要分為封裝與解封兩個(gè)過(guò)程。

封裝過(guò)程：當(dāng)營(yíng)業(yè)廳辦理業(yè)務(wù)時(shí)，將產(chǎn)生的業(yè)務(wù)工單報(bào)文經(jīng)由地市公司路由器隧道接口處理，隧道中的IP就會(huì)將業(yè)務(wù)工單報(bào)文傳遞到省公司端路由器。

解封過(guò)程：隧道對(duì)端收到業(yè)務(wù)工單IP報(bào)文后，檢查IP頭部。如果目的地址是路由器自身并且協(xié)議號(hào)為47（GRE），則去到IP報(bào)頭，并交給GRE協(xié)議處理。進(jìn)行解封裝。

三、路由及路由重分發(fā)技術(shù)

（一）動(dòng)態(tài)路由協(xié)議

在大型網(wǎng)絡(luò)中通常采用動(dòng)態(tài)路由協(xié)議，與僅使用靜態(tài)路由協(xié)議相比，可以減少管理和運(yùn)行方面的成本。一般情況下，網(wǎng)絡(luò)會(huì)同時(shí)使用動(dòng)態(tài)路由協(xié)議和靜態(tài)路由協(xié)議。在大多數(shù)網(wǎng)絡(luò)中，通常只使用一種路由協(xié)議，不過(guò)，也存在網(wǎng)絡(luò)的不同部分使用不同路由協(xié)議的情況。使用動(dòng)態(tài)路由協(xié)議能適應(yīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)果的變化、維護(hù)工作量小。RIP（Routing Information Protocol）是距離矢量路由協(xié)議，是最久經(jīng)考驗(yàn)的協(xié)議之一。而RIP協(xié)議用在小型網(wǎng)絡(luò)中，受路由調(diào)數(shù)的限制。

OSPF（Open Shortest Path First）協(xié)議是開(kāi)放式最短路由優(yōu)先協(xié)議，是目前網(wǎng)絡(luò)中應(yīng)用最廣泛的動(dòng)態(tài)路由協(xié)議之一，它用于維護(hù)復(fù)雜的拓?fù)湫畔?shù)據(jù)庫(kù)，屬于鏈路狀態(tài)路由選擇協(xié)議。

（二）路由重分發(fā)技術(shù)

路由重分發(fā)技術(shù)也可以說(shuō)是路由策略，如華為技術(shù)命令Route-Policy，它可以規(guī)定路由器在發(fā)布路由時(shí)只發(fā)布某些滿足特定條件的路由，在接收路由時(shí)只接收某些滿足條件的路由，在引入路由時(shí)只引入某些滿足特定條件的路由。Route-Policy由一個(gè)或多個(gè)節(jié)點(diǎn)（Node）構(gòu)成，Node之間是“或”的關(guān)系。每個(gè)Node都有一個(gè)編號(hào)，路由項(xiàng)按照Node編號(hào)由小到大的順序通過(guò)各個(gè)Node。每個(gè)Node下可以有若干個(gè)ifmatch和apply子句，if-match之間是“與”的關(guān)系。If-match子句用來(lái)定義匹配規(guī)則，apply子句用來(lái)規(guī)定處理動(dòng)作。

四、網(wǎng)關(guān)原理概述

網(wǎng)關(guān)有單網(wǎng)關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)關(guān)冗余的網(wǎng)絡(luò)結(jié)構(gòu)。很明顯單網(wǎng)關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)，只有一個(gè)網(wǎng)關(guān)，一旦該網(wǎng)關(guān)出現(xiàn)故障，網(wǎng)絡(luò)就出現(xiàn)不通的現(xiàn)象。而網(wǎng)關(guān)冗余的網(wǎng)絡(luò)結(jié)構(gòu)是利用VRRP技術(shù)實(shí)現(xiàn)雙網(wǎng)關(guān)，保證了網(wǎng)絡(luò)網(wǎng)關(guān)的備份。

VRRP（Virtual Router Redundancy Protocol）全稱(chēng)是虛擬路由器冗余協(xié)議，它是一種容錯(cuò)協(xié)議。該協(xié)議通過(guò)把幾臺(tái)路由器設(shè)備聯(lián)合組成一臺(tái)虛擬的路由設(shè)備，該虛擬路由器在本地局域網(wǎng)擁有唯一的一個(gè)虛擬IP地址。實(shí)際上，該虛擬路由器是由一個(gè)Master設(shè)備和若干Backup設(shè)備組成。

五、VLAN局域網(wǎng)技術(shù)

連接到二層交換機(jī)的主機(jī)和服務(wù)器處于同一個(gè)網(wǎng)段中，就會(huì)帶來(lái)兩個(gè)嚴(yán)重的問(wèn)題。

交換機(jī)會(huì)向所有端口泛洪廣播，占用過(guò)多的帶寬。隨著連接到交換機(jī)的設(shè)備不斷增多，生成的廣播流量也隨之上升，浪費(fèi)的帶寬也更多。

連接到交換機(jī)的每臺(tái)設(shè)備都能夠與該交換機(jī)上的所有其他設(shè)備相互轉(zhuǎn)發(fā)和接收幀。

最好的辦法是將廣播流量限制在僅需要該廣播的網(wǎng)絡(luò)區(qū)域中，地市公司BOSS網(wǎng)絡(luò)中，有多個(gè)營(yíng)業(yè)廳終端接入BOSS網(wǎng)絡(luò)中。為避免引起網(wǎng)絡(luò)廣播風(fēng)暴，將營(yíng)業(yè)廳劃分為不同的局域網(wǎng)VLAN中。

六、移動(dòng)BOSS網(wǎng)絡(luò)技術(shù)綜合運(yùn)用

設(shè)備配置的IP地址：

BOSS-SERVER：接口網(wǎng)卡IP地 址192.168.20.20/24 網(wǎng) 關(guān)192.168.20.1

R1：Ethernet0/0/0接口IP地址192.168.10.2/24

Ethernet0/0/1接口IP地址6.6.6.6/24

Tunnel0/0/0接口IP地址172.16.1.1/24

R2：Serial0/0/0接口IP地址10.1.12.2/24

Serial0/0/1 接口IP地址10.1.23.2/24

R5：Ethernet0/0/0接口IP地址6.6.6.7/24

Ethernet0/0/1接口IP地址192.168.10.3/24

Tunnel0/0/0接口IP地址172.16.1.2/24

X臺(tái)席-PC1：網(wǎng)卡IP地址192.168.30.19/28 網(wǎng)關(guān)192.168.30.17

X臺(tái)席-PC2：網(wǎng)卡IP地址192.168.30.20/28 網(wǎng)關(guān)192.168.30.17

Y臺(tái)席-PC1：接口網(wǎng)卡IP地址192.168.30.35/28 網(wǎng)關(guān)192.168.30.33

Y臺(tái)席-PC2：接口網(wǎng)卡IP地址192.168.30.36/28 網(wǎng)關(guān)192.168.30.33

在圖2中，R1、R2、R3利用GRE技術(shù)組網(wǎng)，建立起地市公司與省公司網(wǎng)絡(luò)通道。R5、R6、R7作為R1、R2、R3的備用網(wǎng)絡(luò)，一旦R1、R2、R3中斷，備用網(wǎng)絡(luò)就起作用。

（一）路由器熱備份配置

1.R1路由器vrrp配置

在Ethernet0/0/0接口配置：vrrpvrid為192.168.10.1，vrrpvrid的priority值 120。

2.R5路由器VRRP配置

在Ethernet0/0/1接口配置：vrrpvrid為192.168.10.1，vrrpvrid的priority值默認(rèn)。

VRRP的優(yōu)先值沒(méi)有配置，默認(rèn)為100。當(dāng)R1出現(xiàn)故障，R5立刻從備用狀態(tài)轉(zhuǎn)為主用狀態(tài)。

（二）路由器GRE配置

1.R1路由器GRE配置

在Tunnel0/0/0接口配置tunnel-protocolgre，source為10.1.12.1，destination為10.1.23.1，同時(shí)還需配置一條靜態(tài)默認(rèn)路由0.0.0.0指向10.1.12.2。

2.R3路由器GRE配置

在Tunnel0/0/0接口配置tunnel-protocolgre，source為10.1.23.1，destinaion為10.1.12.1

（三）路由器路由協(xié)議配置及路由重分發(fā)

在R1和R3路由器中配置一樣的RIP動(dòng)態(tài)路由，將192.168.10.0和172.16.0.0兩個(gè)網(wǎng)段宣告出去。為了保證營(yíng)業(yè)廳192.168.30.0網(wǎng)段終端與省公司服務(wù)器通信，在R1路由器中配置一條192.168.30.0網(wǎng)段指向192.168.10.4路由。但是，192.168.30.0網(wǎng)段并沒(méi)有宣告到R3的路由表中，這樣營(yíng)業(yè)廳的終端并不能與省公司服務(wù)器通信，為了解決這個(gè)問(wèn)題，就要用到路由重復(fù)發(fā)技術(shù)。在R1中，配置ACL控制列表

acl number 2000

step 10

rule 10 permit source 192.168.30.0 0.0.0.255

route-policyim-rip permit node 10

if-match acl 2000

import-route static route-policy im-rip

配置完后，營(yíng)業(yè)廳終端就能與服務(wù)器通信了。

（四）VLAN技術(shù)在交換機(jī)的運(yùn)用

1.三層交換機(jī)SW3的VLAN配置

我 們 建 立 VLAN30、VLAN40、VLAN200，IP地址分別為：192.168.30.17/28，192.168.30.33/28，192.168.10.4/24，又 分 別 作為X營(yíng)業(yè)廳終端、Y營(yíng)業(yè)廳終端的網(wǎng)關(guān)，VLAN200作為與R1路由器連接使用。要想營(yíng)業(yè)廳終端與服務(wù)器通信，還需配置目的網(wǎng)段為服務(wù)器192.168.20.0和0.0.0.0下一跳指向路由器R1生成的虛擬IP為192.168.10.1的靜態(tài)路由。

2.三層交換機(jī)SW4的配置

三層交換機(jī)SW4的配置與三層交換機(jī)SW3的配置基本相同，只是接口分配的IP地址不同。

3.在二層交換機(jī)上配置端口隔離

為了安全起見(jiàn)，營(yíng)業(yè)廳終端之間不能互相通信，我們可以配置端口隔離。X營(yíng)業(yè)廳的兩臺(tái)PC，在配置端口隔離之前，X臺(tái)席-PC1與X臺(tái)席-PC2之間是可以通信的。當(dāng)我們?cè)赬營(yíng)業(yè)廳二層交換機(jī)SW1上的2端口和3端口配置port-isolate enable group 1命令后，X臺(tái)席-PC1與X臺(tái)席-PC2之間就不能通信了。

七、地市網(wǎng)絡(luò)層面設(shè)置網(wǎng)絡(luò)監(jiān)控

在省公司網(wǎng)絡(luò)層面，一定有整個(gè)網(wǎng)絡(luò)監(jiān)控措施的，而地市網(wǎng)絡(luò)層面維護(hù)人員是看不到的。為了解決這個(gè)問(wèn)題，使地市維護(hù)人員更好地維護(hù)本地的交換機(jī)設(shè)備，可以利用CACTI開(kāi)源軟件，在地市網(wǎng)絡(luò)層面，對(duì)交換機(jī)、路由器進(jìn)行監(jiān)控。CactiEZ-10.1-x86_64軟件，就是一款好用的監(jiān)控軟件。

（一）烽火二層交換機(jī)SNMP配置

snmp community public ro view internet

snmp trap-server 192.168.0.5 161 public v2

注意：烽火交換機(jī)management ACL configuration中的配置，如果management acl enable開(kāi)啟，那么，需在ACL中配置management acl 192.168.0.0/24 snmp，否則，cacti監(jiān)控軟件，將檢測(cè)不到交換機(jī)的SNMP。

（二）監(jiān)控二層烽火FH2024交換機(jī)

添加主機(jī)FH2024的管理IP，并命名監(jiān)控交換機(jī)名，調(diào)用模版，選取SNMP的版本為版本2，團(tuán)體命名輸入public，端口為161。

八、 結(jié)束語(yǔ)

以上通過(guò)對(duì)地市層面BOSS網(wǎng)絡(luò)全面解析和研究，同時(shí)，在地市網(wǎng)絡(luò)層面增加cacti網(wǎng)絡(luò)設(shè)備監(jiān)控，使我們能夠?qū)W(wǎng)絡(luò)設(shè)備運(yùn)行情況全面掌握，更好地解決生產(chǎn)工作中的實(shí)際問(wèn)題，更好地為生產(chǎn)服務(wù)和支撐。由于水平有限，以上對(duì)地市網(wǎng)絡(luò)層面分析講解，難免有一些不足的情況，請(qǐng)大家批評(píng)指正。