作為網(wǎng)絡(luò)工程項(xiàng)目的設(shè)計(jì)師，如果能夠從網(wǎng)絡(luò)技術(shù)的基本原理和科學(xué)方法來規(guī)范網(wǎng)絡(luò)工程項(xiàng)目的規(guī)劃設(shè)計(jì)是非常重要的！因?yàn)樗茏畲蟪潭纫?guī)避許多潛在的“坑”或者說風(fēng)險吧。但是很不幸的是，網(wǎng)絡(luò)工程項(xiàng)目的負(fù)責(zé)人往往并非是網(wǎng)絡(luò)方面的專家，亦或者并沒有聽從網(wǎng)絡(luò)工程師的合理建議，最終導(dǎo)致實(shí)際中的網(wǎng)絡(luò)設(shè)計(jì)存在很大的缺陷。

所以你面對這種情況，也無可奈何，畢竟是歷史遺留問題，而找到合理的解決辦法才是當(dāng)下最重要的！雖然冒著巨大的風(fēng)險去承擔(dān)風(fēng)險，但是你要相信這不是你的錯，你只是為了解決當(dāng)下最重要的矛盾問題而對網(wǎng)絡(luò)進(jìn)行優(yōu)化改造。當(dāng)然記得保護(hù)自己，向你的直接負(fù)責(zé)人說清楚問題所在，然后申請合理的變更時間進(jìn)行重新優(yōu)化配置。

我今天要討論分析的問題就是現(xiàn)實(shí)中遇到的一個案例，為了隱私和保密考慮，我們只能從技術(shù)角度去分析為什么這樣的網(wǎng)絡(luò)設(shè)計(jì)是存在巨大缺陷的，我們該怎么去解決遇到這樣的問題。當(dāng)然這個案例中涉及的網(wǎng)絡(luò)規(guī)模和架構(gòu)非常龐大，但是并不妨礙我們從技術(shù)角度去簡化分析它。因此，我們用簡單的網(wǎng)絡(luò)結(jié)構(gòu)來分析它并給出解決的辦法。

實(shí)驗(yàn)拓?fù)鋱D

實(shí)驗(yàn)?zāi)康?/h3>

從上圖我們看到，該實(shí)驗(yàn)環(huán)境存在巨大的設(shè)計(jì)缺陷。在OSPF網(wǎng)絡(luò)設(shè)計(jì)中，骨干區(qū)域0與必須與其它非骨干區(qū)域直接相連，而圖中的情況恰恰違背了OSPF設(shè)計(jì)最基本的常識。注意是作為網(wǎng)絡(luò)工程師最基本的常識，但是現(xiàn)實(shí)中仍然違背了這樣的設(shè)計(jì)原則，造成業(yè)務(wù)訪問出現(xiàn)問題。我們就針對上圖來進(jìn)行分析和提出解決辦法（我們不提倡等到犯錯了之后再去挽救，因?yàn)檫@樣做會承擔(dān)巨大的風(fēng)險和成本）。

實(shí)驗(yàn)配置

AR1的配置:

interface Serial2/0/0

link-protocol ppp

ip address 10.0.12.1 255.255.255.0

ospf authentication-mode md5 1 plain huawei

#

interface LoopBack0

ip address 10.1.1.1 255.255.255.0

ospf network-type broadcast

#

ospf 1 router-id 10.1.1.1

import-route static

area 0.0.0.0

network 10.0.12.1 0.0.0.0

network 10.1.1.1 0.0.0.0

#

ip route-static 10.0.0.0 255.0.0.0 NULL0

#

AR2的配置：

interface Serial2/0/0

link-protocol ppp

ip address 10.0.12.2 255.255.255.0

ospf authentication-mode md5 1 plain huawei

#

interface Serial2/0/1

link-protocol ppp

ip address 10.0.23.2 255.255.255.0

#

interface LoopBack0

ip address 10.0.2.2 255.255.255.0

#

ospf 1 router-id 10.0.2.2

area 0.0.0.0

network 10.0.2.2 0.0.0.0

network 10.0.12.2 0.0.0.0

area 0.0.0.1

network 10.0.23.2 0.0.0.0

#

AR3的配置：

interface Serial2/0/0

link-protocol ppp

ip address 10.0.23.3 255.255.255.0

#

interface GigabitEthernet0/0/0.10

dot1q termination vid 4

ip address 10.0.4.1 255.255.255.0

arp broadcast enable

#

interface GigabitEthernet0/0/0.20

dot1q termination vid 5

ip address 10.0.5.1 255.255.255.0

arp broadcast enable

#

interface GigabitEthernet0/0/0.30

dot1q termination vid 6

ip address 10.0.6.1 255.255.255.0

arp broadcast enable

#

interface LoopBack0

ip address 10.0.3.3 255.255.255.0

ospf network-type broadcast

#

ospf 1 router-id 10.0.3.3

area 0.0.0.0

abr-summary 10.0.4.0 255.255.252.0

network 10.0.3.3 0.0.0.0

network 10.0.4.1 0.0.0.0

network 10.0.5.1 0.0.0.0

network 10.0.6.1 0.0.0.0

area 0.0.0.1

network 10.0.23.3 0.0.0.0

#

LSW1的配置：

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 4 to 6

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 4

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 5

#

interface GigabitEthernet0/0/4

port link-type access

port default vlan 6

#

AR4的配置（模擬普通PC）：

interface GigabitEthernet0/0/0

ip address 10.0.4.4 255.255.255.0

#

interface LoopBack0

ip address 10.1.4.4 255.255.255.0

#

ip route-static 0.0.0.0 0.0.0.0 10.0.4.1

#

AR5的配置（模擬普通PC）：

interface GigabitEthernet0/0/0

ip address 10.0.5.5 255.255.255.0

#

ip route-static 0.0.0.0 0.0.0.0 10.0.5.1

#

實(shí)驗(yàn)分析

我們看下，AR1的路由表和AR3的路由表、LSDB：

AR1的路由表和LSDB

AR3的路由表

AR3的LSDB

從AR1和AR3的路由表和LSDB，我們很容易看出AR3有學(xué)到AR1的路由以及傳遞過來的LSA，但是AR1卻沒有AR3的匯總路由及其通告的路由及LSA。而圖中違背了OSPF區(qū)域設(shè)計(jì)基本規(guī)則，即骨干區(qū)域只有一個，區(qū)域0，非骨干區(qū)域必須直接與骨干區(qū)域直連，也就是常說的向日葵模型。

但是上面的實(shí)驗(yàn)拓?fù)渲?，區(qū)域0被區(qū)域1分割，導(dǎo)致出現(xiàn)了兩個區(qū)域0。這樣為了避免出現(xiàn)環(huán)路，勢必會導(dǎo)致觸發(fā)OSPF防環(huán)機(jī)制，導(dǎo)致一部分路由學(xué)習(xí)存在問題。為了解決該問題，常見的解決辦法就是建立虛鏈路和通過隧道打通兩個分割的區(qū)域0直接邏輯相連。

虛鏈路解決辦法：

AR2：

ospf 1 router-id 10.0.2.2

area 0.0.0.0

network 10.0.2.2 0.0.0.0

network 10.0.12.2 0.0.0.0

area 0.0.0.1

network 10.0.23.2 0.0.0.0

vlink-peer 10.0.3.3 （只需配置該命令）

AR3：

ospf 1 router-id 10.0.3.3

area 0.0.0.0

abr-summary 10.0.4.0 255.255.252.0

network 10.0.3.3 0.0.0.0

network 10.0.4.1 0.0.0.0

network 10.0.5.1 0.0.0.0

network 10.0.6.1 0.0.0.0

area 0.0.0.1

network 10.0.23.3 0.0.0.0

vlink-peer 10.0.2.2（只需配置該命令）

配置完成后，查看AR1的路由表，我們發(fā)現(xiàn)AR1的路由表學(xué)習(xí)正常：

AR1路由表及LSDB

AR1 PING 測試正常

隧道解決辦法：

AR2配置：

interface Tunnel0/0/0

ip address 192.168.100.1 255.255.255.0

tunnel-protocol gre

source 10.0.23.2

destination 10.0.23.3

ospf 1 router-id 10.0.2.2

area 0.0.0.0

network 10.0.2.2 0.0.0.0

network 10.0.12.2 0.0.0.0

network 192.168.100.1 0.0.0.0

area 0.0.0.1

network 10.0.23.2 0.0.0.0

AR3的配置：

interface Tunnel0/0/0

ip address 192.168.100.254 255.255.255.0

tunnel-protocol gre

source 10.0.23.3

destination 10.0.23.2

ospf 1 router-id 10.0.3.3

area 0.0.0.0

abr-summary 10.0.4.0 255.255.252.0

network 10.0.3.3 0.0.0.0

network 10.0.4.1 0.0.0.0

network 10.0.5.1 0.0.0.0

network 10.0.6.1 0.0.0.0

network 192.168.100.254 0.0.0.0

area 0.0.0.1

network 10.0.23.3 0.0.0.0

配置完成后，測試驗(yàn)證：

AR2、AR3通過隧道建立鄰居

AR1的路由表和LSDB

從測試結(jié)果來看，兩種解決辦法都實(shí)現(xiàn)了同樣的效果，即通過邏輯方式實(shí)現(xiàn)了區(qū)域0不被分割。不過實(shí)際中，存在的問題可能更趨復(fù)雜。比如當(dāng)被分割的區(qū)域0中的其中一方由于設(shè)備性能問題，不一定能直接采用上述辦法，因?yàn)楣歉蓞^(qū)域存在大量的路由條目，一旦引入過來能否承受巨大的路由條目是需要慎重考慮的。

靜態(tài)路由配置解決AR1路由器不能訪問AR3右側(cè)的10.0.4.0/22網(wǎng)段：

AR1的配置：

ip route-static 10.0.4.0 255.255.252.0 10.0.12.2 preference 5

AR2的配置：

ip route-static 10.0.4.0 255.255.252.0 10.0.23.3 preference 5

測試驗(yàn)證效果：

AR1 路由表及PING測試

AR2路由表及PING測試

這個時候應(yīng)該采用臨時辦法，比如采用靜態(tài)路由方式手工打通部分網(wǎng)段的通信問題。而不能直接采用上述兩種辦法，需要綜合評估采取最佳策略。

實(shí)驗(yàn)總結(jié)

通過虛鏈路和tunnel GRE隧道可以解決區(qū)域0直連問題。

區(qū)域0如果被分割，會導(dǎo)致部分路由學(xué)習(xí)存在問題導(dǎo)致出現(xiàn)網(wǎng)絡(luò)問題，實(shí)踐中應(yīng)在設(shè)計(jì)階段規(guī)避掉。

實(shí)踐中碰到的問題可能更趨復(fù)雜，需要綜合評判采取最佳策略解決問題。