深入研究網絡設備技術確保BOSS系統安全高效運行

王建軍

（中國移動通信集團黑龍江公司鶴崗分公司，黑龍江 鶴崗 154100）

一、背景

BOSS網絡即客戶服務系統（下面簡稱BOSS網絡），是中國移動提高給廣大客戶辦理移動業務的重要網絡平臺，它的好壞，直接影響中國移動業務的發展和中國移動在用戶面前的形象。因此，我們有必要深入研究BOSS網絡技術，提供一個快速的、安全的、高效運行的網絡。下面從地市層面網絡設備組網技術展開深入研究，GRE協議、Vrrp熱備份、路由重分發、rip、OSPF等關鍵技術，了解BOSS網絡的基本組網情況。

二、GRE協議簡介

GRE(Generic Routing Encapsulation)即通用路由封裝協議是對某些網絡層協議的數據報進行封裝，使這些被封裝的數據報能夠在另一個網絡層協議（IP）中傳輸。在協議層之間采用了一種被稱之為Tunnel(隧道)的技術。

GER的工作過程主要分為封裝與解封兩個過程。

封裝過程：當營業廳辦理業務時，將產生的業務工單報文經由地市公司路由器隧道接口處理，隧道中的IP就會將業務工單報文傳遞到省公司端路由器。

解封過程：隧道對端收到業務工單IP報文后，檢查IP頭部。如果目的地址是路由器自身并且協議號為47（GRE），則去到IP報頭，并交給GRE協議處理。進行解封裝。

三、路由及路由重分發技術

（一）動態路由協議

在大型網絡中通常采用動態路由協議，與僅使用靜態路由協議相比，可以減少管理和運行方面的成本。一般情況下，網絡會同時使用動態路由協議和靜態路由協議。在大多數網絡中，通常只使用一種路由協議，不過，也存在網絡的不同部分使用不同路由協議的情況。使用動態路由協議能適應網絡拓撲結果的變化、維護工作量小。RIP（Routing Information Protocol）是距離矢量路由協議，是最久經考驗的協議之一。而RIP協議用在小型網絡中，受路由調數的限制。

OSPF（Open Shortest Path First）協議是開放式最短路由優先協議，是目前網絡中應用最廣泛的動態路由協議之一，它用于維護復雜的拓撲信息數據庫，屬于鏈路狀態路由選擇協議。

（二）路由重分發技術

路由重分發技術也可以說是路由策略，如華為技術命令Route-Policy，它可以規定路由器在發布路由時只發布某些滿足特定條件的路由，在接收路由時只接收某些滿足條件的路由，在引入路由時只引入某些滿足特定條件的路由。Route-Policy由一個或多個節點（Node）構成，Node之間是“或”的關系。每個Node都有一個編號，路由項按照Node編號由小到大的順序通過各個Node。每個Node下可以有若干個ifmatch和apply子句，if-match之間是“與”的關系。If-match子句用來定義匹配規則，apply子句用來規定處理動作。

四、網關原理概述

網關有單網關的網絡結構和網關冗余的網絡結構。很明顯單網關的網絡結構，只有一個網關，一旦該網關出現故障，網絡就出現不通的現象。而網關冗余的網絡結構是利用VRRP技術實現雙網關，保證了網絡網關的備份。

VRRP（Virtual Router Redundancy Protocol）全稱是虛擬路由器冗余協議，它是一種容錯協議。該協議通過把幾臺路由器設備聯合組成一臺虛擬的路由設備，該虛擬路由器在本地局域網擁有唯一的一個虛擬IP地址。實際上，該虛擬路由器是由一個Master設備和若干Backup設備組成。

五、VLAN局域網技術

連接到二層交換機的主機和服務器處于同一個網段中，就會帶來兩個嚴重的問題。

交換機會向所有端口泛洪廣播，占用過多的帶寬。隨著連接到交換機的設備不斷增多，生成的廣播流量也隨之上升，浪費的帶寬也更多。

連接到交換機的每臺設備都能夠與該交換機上的所有其他設備相互轉發和接收幀。

最好的辦法是將廣播流量限制在僅需要該廣播的網絡區域中，地市公司BOSS網絡中，有多個營業廳終端接入BOSS網絡中。為避免引起網絡廣播風暴，將營業廳劃分為不同的局域網VLAN中。

六、移動BOSS網絡技術綜合運用

設備配置的IP地址：

BOSS-SERVER：接口網卡IP地 址192.168.20.20/24 網 關192.168.20.1

R1：Ethernet0/0/0接口IP地址192.168.10.2/24

Ethernet0/0/1接口IP地址6.6.6.6/24

Tunnel0/0/0接口IP地址172.16.1.1/24

R2：Serial0/0/0接口IP地址10.1.12.2/24

Serial0/0/1 接口IP地址10.1.23.2/24

R5：Ethernet0/0/0接口IP地址6.6.6.7/24

Ethernet0/0/1接口IP地址192.168.10.3/24

Tunnel0/0/0接口IP地址172.16.1.2/24

X臺席-PC1：網卡IP地址192.168.30.19/28 網關192.168.30.17

X臺席-PC2：網卡IP地址192.168.30.20/28 網關192.168.30.17

Y臺席-PC1：接口網卡IP地址192.168.30.35/28 網關192.168.30.33

Y臺席-PC2：接口網卡IP地址192.168.30.36/28 網關192.168.30.33

在圖2中，R1、R2、R3利用GRE技術組網，建立起地市公司與省公司網絡通道。R5、R6、R7作為R1、R2、R3的備用網絡，一旦R1、R2、R3中斷，備用網絡就起作用。

（一）路由器熱備份配置

1.R1路由器vrrp配置

在Ethernet0/0/0接口配置：vrrpvrid為192.168.10.1，vrrpvrid的priority值 120。

2.R5路由器VRRP配置

在Ethernet0/0/1接口配置：vrrpvrid為192.168.10.1，vrrpvrid的priority值默認。

VRRP的優先值沒有配置，默認為100。當R1出現故障，R5立刻從備用狀態轉為主用狀態。

（二）路由器GRE配置

1.R1路由器GRE配置

在Tunnel0/0/0接口配置tunnel-protocolgre，source為10.1.12.1，destination為10.1.23.1，同時還需配置一條靜態默認路由0.0.0.0指向10.1.12.2。

2.R3路由器GRE配置

在Tunnel0/0/0接口配置tunnel-protocolgre，source為10.1.23.1，destinaion為10.1.12.1

（三）路由器路由協議配置及路由重分發

在R1和R3路由器中配置一樣的RIP動態路由，將192.168.10.0和172.16.0.0兩個網段宣告出去。為了保證營業廳192.168.30.0網段終端與省公司服務器通信，在R1路由器中配置一條192.168.30.0網段指向192.168.10.4路由。但是，192.168.30.0網段并沒有宣告到R3的路由表中，這樣營業廳的終端并不能與省公司服務器通信，為了解決這個問題，就要用到路由重復發技術。在R1中，配置ACL控制列表

acl number 2000

step 10

rule 10 permit source 192.168.30.0 0.0.0.255

route-policyim-rip permit node 10

if-match acl 2000

import-route static route-policy im-rip

配置完后，營業廳終端就能與服務器通信了。

（四）VLAN技術在交換機的運用

1.三層交換機SW3的VLAN配置

我 們 建 立 VLAN30、VLAN40、VLAN200，IP地址分別為：192.168.30.17/28，192.168.30.33/28，192.168.10.4/24，又 分 別 作為X營業廳終端、Y營業廳終端的網關，VLAN200作為與R1路由器連接使用。要想營業廳終端與服務器通信，還需配置目的網段為服務器192.168.20.0和0.0.0.0下一跳指向路由器R1生成的虛擬IP為192.168.10.1的靜態路由。

2.三層交換機SW4的配置

三層交換機SW4的配置與三層交換機SW3的配置基本相同，只是接口分配的IP地址不同。

3.在二層交換機上配置端口隔離

為了安全起見，營業廳終端之間不能互相通信，我們可以配置端口隔離。X營業廳的兩臺PC，在配置端口隔離之前，X臺席-PC1與X臺席-PC2之間是可以通信的。當我們在X營業廳二層交換機SW1上的2端口和3端口配置port-isolate enable group 1命令后，X臺席-PC1與X臺席-PC2之間就不能通信了。

七、地市網絡層面設置網絡監控

在省公司網絡層面，一定有整個網絡監控措施的，而地市網絡層面維護人員是看不到的。為了解決這個問題，使地市維護人員更好地維護本地的交換機設備，可以利用CACTI開源軟件，在地市網絡層面，對交換機、路由器進行監控。CactiEZ-10.1-x86_64軟件，就是一款好用的監控軟件。

（一）烽火二層交換機SNMP配置

snmp community public ro view internet

snmp trap-server 192.168.0.5 161 public v2

注意：烽火交換機management ACL configuration中的配置，如果management acl enable開啟，那么，需在ACL中配置management acl 192.168.0.0/24 snmp，否則，cacti監控軟件，將檢測不到交換機的SNMP。

（二）監控二層烽火FH2024交換機

添加主機FH2024的管理IP，并命名監控交換機名，調用模版，選取SNMP的版本為版本2，團體命名輸入public，端口為161。

八、 結束語

以上通過對地市層面BOSS網絡全面解析和研究，同時，在地市網絡層面增加cacti網絡設備監控，使我們能夠對網絡設備運行情況全面掌握，更好地解決生產工作中的實際問題，更好地為生產服務和支撐。由于水平有限，以上對地市網絡層面分析講解，難免有一些不足的情況，請大家批評指正。