基于運(yùn)營商網(wǎng)絡(luò)的交換機(jī)防環(huán)研究與實(shí)踐

程旺燕，祝美龍，王宜萱，陳玉蘭，周駿

摘要：運(yùn)營商網(wǎng)絡(luò)中已大范圍使用交換機(jī)設(shè)備，但交換機(jī)二層環(huán)路產(chǎn)生的廣播風(fēng)暴，會引起網(wǎng)絡(luò)協(xié)議頻繁起宕，嚴(yán)重時會導(dǎo)致網(wǎng)絡(luò)癱瘓。本文針對運(yùn)營商IP數(shù)據(jù)網(wǎng)絡(luò)中常見的交換機(jī)環(huán)路場景，制定防環(huán)配置規(guī)范并形成自動稽核規(guī)則，通過IP綜合網(wǎng)管實(shí)現(xiàn)配置規(guī)范自動稽核并生成報(bào)表，在提升運(yùn)營商IP數(shù)據(jù)網(wǎng)絡(luò)安全性的同時提高了維護(hù)人員的工作效率，具有一定的推廣價值。

關(guān)鍵詞：二層環(huán)路;廣播風(fēng)暴;VLAN;自動稽核

中圖分類號：TP393? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）21-0039-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

1 引言

《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2020年6月，我國網(wǎng)民規(guī)模達(dá)9.40億，互聯(lián)網(wǎng)普及率達(dá)67.0%[1]，這就意味著運(yùn)營商網(wǎng)絡(luò)需要不斷擴(kuò)容建設(shè)，來滿足我國的互聯(lián)網(wǎng)發(fā)展需求。隨著芯片制造工藝的快速發(fā)展，以太網(wǎng)交換機(jī)單端口業(yè)務(wù)承載能力及運(yùn)行穩(wěn)定性不斷提升，在保證優(yōu)異網(wǎng)絡(luò)性能的同時，也具有良好的經(jīng)濟(jì)性。因此，在運(yùn)營商網(wǎng)絡(luò)中已大范圍使用千兆或萬兆端口的中高端交換機(jī)代替路由器作為三層匯聚或核心設(shè)備[2-3]。

運(yùn)營商網(wǎng)絡(luò)通常通過高冗余的網(wǎng)絡(luò)設(shè)計(jì)來保證其網(wǎng)絡(luò)高可用性，但是二層的高冗余設(shè)計(jì)又增加了交換機(jī)二層環(huán)路發(fā)生的概率?，F(xiàn)網(wǎng)中由于新交換機(jī)入網(wǎng)、新業(yè)務(wù)開通、組網(wǎng)調(diào)整優(yōu)化等操作原因，經(jīng)常會出現(xiàn)物理環(huán)路。網(wǎng)絡(luò)中一旦出現(xiàn)物理環(huán)路，在ARP更新報(bào)文的觸發(fā)下，廣播報(bào)文經(jīng)環(huán)路后會不斷循環(huán)，產(chǎn)生廣播風(fēng)暴。利用虛擬局域網(wǎng)VLAN（Virtual LAN）技術(shù)，可以實(shí)現(xiàn)交換機(jī)不向該虛擬局域網(wǎng)以外的網(wǎng)絡(luò)設(shè)備傳送廣播信息，使得網(wǎng)絡(luò)不會因?yàn)閺V播風(fēng)暴而引起性能惡化[4]。但是若交換機(jī)的防環(huán)配置不規(guī)范，廣播流量會傳遞到整個上層網(wǎng)絡(luò)中，最終會消耗掉受影響網(wǎng)絡(luò)設(shè)備的CPU資源，導(dǎo)致網(wǎng)絡(luò)協(xié)議頻繁起宕，最嚴(yán)重的后果會導(dǎo)致整個運(yùn)營商網(wǎng)絡(luò)癱瘓。典型的運(yùn)營商網(wǎng)絡(luò)二層環(huán)路拓?fù)淙鐖D1所示。

基于以上背景，本文提出了基于運(yùn)營商網(wǎng)絡(luò)的交換機(jī)防環(huán)研究與實(shí)踐。通過研究分析運(yùn)營商網(wǎng)絡(luò)中交換機(jī)可能存在的二層環(huán)路場景，從規(guī)范新交換機(jī)入網(wǎng)、新開中繼鏈路調(diào)測以及交換機(jī)入網(wǎng)后的日常維護(hù)等角度出發(fā)，制定了交換機(jī)防環(huán)配置規(guī)范及自動稽核規(guī)則命令，涵蓋現(xiàn)網(wǎng)中華為、中興、華三、思科等主流廠商。最后將研究成果推廣應(yīng)用到實(shí)際生產(chǎn)中，取得了非常顯著的成效。

2 運(yùn)營商二層環(huán)路場景分析

2.1 場景一 單臺交換機(jī)自環(huán)

一臺交換機(jī)的兩個端口直接互聯(lián)形成環(huán)路，常見于錯接，如圖2所示。

2.2 場景二 兩臺交換機(jī)之間形成環(huán)路

兩臺交換機(jī)之間有多條中繼互聯(lián)形成環(huán)路，常見于平臺/系統(tǒng)交換機(jī)同時入網(wǎng)，或者是新入網(wǎng)交換機(jī)多條上聯(lián)接入到現(xiàn)網(wǎng)交換機(jī)，如圖3所示。

2.3? 場景三 三臺交換機(jī)之間形成環(huán)路

三臺交換機(jī)環(huán)狀互聯(lián)形成環(huán)路，常見于新入網(wǎng)交換機(jī)C分別上聯(lián)至兩臺現(xiàn)網(wǎng)交換機(jī)A和B，且兩臺現(xiàn)網(wǎng)交換機(jī)A和B之間有互聯(lián)中繼，如圖4所示。

2.4? 場景四 四臺交換機(jī)之間形成環(huán)路

四臺交換機(jī)之間口字型互聯(lián)形成環(huán)路，常見于交換機(jī)C和D同時入網(wǎng)，和現(xiàn)網(wǎng)交換機(jī)A和B形成口字型連接，如圖5所示。

3 制定防環(huán)配置規(guī)范

目前華為、中興、華三、思科等主流廠商交換機(jī)出廠時的端口初始配置均為VLAN 1，使得所有端口在同一個廣播域內(nèi)，為產(chǎn)生廣播風(fēng)暴提供了必要條件。因此，本文制定了防環(huán)配置規(guī)范。即關(guān)閉現(xiàn)網(wǎng)交換機(jī)、新入網(wǎng)交換機(jī)以及新擴(kuò)容板卡的所有物理端口，并將端口配置成trunk模式[5]，同時禁止透傳VLAN 1。在新業(yè)務(wù)開通前，嚴(yán)格做好交換機(jī)的VLAN配置規(guī)劃，禁止交換機(jī)端口使用默認(rèn)的VLAN 1，新啟用的VLAN不能與現(xiàn)網(wǎng)已用VLAN相同。

3.1? 華為交換機(jī)配置規(guī)范

interface GigabitEthernetX/X/X

shutdown? ? ? ? ? //關(guān)閉端口

port link-type trunk? //配置成trunk模式

undo port trunk allow-pass vlan 1? // 禁止透傳VLAN1

3.2 中興交換機(jī)配置規(guī)范

interface Gei-X/X/X/X

shutdown? ? ? ? ? ?//關(guān)閉端口

switchvlan-configuration

interface Gei-X/X/X/X

switchport mode trunk? ? //配置成trunk模式

acceptable frame types tag? ?//只接受帶標(biāo)簽的報(bào)文

3.3 華三交換機(jī)配置規(guī)范

interface Gigabitethernet X/X/X

shutdown ? ? ? ? ? //關(guān)閉端口

port link-type trunk? ? //配置成trunk模式

undo port trunk permit vlan 1? ?// 禁止透傳VLAN1