解决网络改造地址重叠

网络现状

某集团公司的分部有多个网点，先期组网整个分部在同一网段内，即分部Web服务器、网点主机地址全部在总部分配的10.0.0.0/20地址段内，如图1虚线左下部分。

该种组网方式虽简单，但却存在诸多问题，如同网段内主机过多，MAC地址表过大，广播对网络影响大，网络性能低，ARP欺骗频繁等等。为彻底解决上述问题，拟对网络地址进行改造，对总部分配的地址组子网化，每个网点单独的网络，分配64个地址。地址分配表如表1所示。整个网络改造计划如下：

1、因地址是总部统一分配的，所以新规划的地址与原地址存在包含关系，需新增一台交换机，用作网络改造后的网点的接入网关，新增交换机与原分部核心交换机之间增加三层连接，新增交换机默认路由指向原分部核心交换机。

表1 地址分配表

2、每个网点新增一条专线，并规划独立的VLAN，网关设在新增交换机上。

3、改网点交换机及网点主机的掩码及网关，IP地址不变。

4、在原核心交换机上，新增改造后网点的路由，指向新增交换机。

5、测试成功后，拆原祼纤。

6、分部Web服务器等需在所有网点改造完成后再实施掩码与网关的变更，否则未改造的网点会网络不通。

注意：该种改造方法可以逐个网点改造，且网点及中心IP地址本身不变（仅变更掩码及网关），对应用配置无影响。

图1 原网络拓扑图

图2 改造后的网络拓扑图

网点1改造过程中的拓扑如图2所示。根据上述步骤实施网点1的网络变更，改造后发现网点1的主机10.0.1.1（以下简称网点主机）能ping通分部Web服务器10.0.0.1（以下简称分部服务器），但将原祼纤拆除后，却不能ping通分部服务器。为什么会这样呢？在ping通的情况下，祼纤承载什么作用呢？我们来分析一下，网点主机IP为10.0.1.1，掩码为255.255.255.192，当它发起ping分部服务器10.0.0.1时，经比较，发现目标主机为非本网段主机，于是将“ping包”发给网关（新增交换机）处理，新增交换机查找路表，将“ping包”发给分部核心交换机处理，分部核心交换机发现目标主机在本交换机的一个直连接口上，于是直接发给分部服务器。当然，通迅是双向的，当分部服务器收到网点主机的“ping包”时，它会怎么处理呢？分部服务器的地址为10.0.0.1，掩为255.255.240.0，经比较，发现目标主机10.0.1.1与本机为为同网段的，就会发广播包查它的MAC地址，而祼纤此时是正常的，网点主机通过祼纤返回MAC地址给分部服务器，“ping回包”就通过祼纤直接回传给网点PC机。由此可以看出，数据的往返路径是不一致的，上行走新增的专线，下行还是走原来的裸纤，这样当祼纤中断后，网络自然就不通了。

问题似乎无解了，从分部服务器这端来说，因为掩码问题，认为改造后网点主机跟它是同网段的，自然不会将数据包扔给网关处理，这样祼纤就不能拆除，网络改造宣布失败。

有没有办法让分部服务器的“ping回包”发给分部核心交换机呢？因为只有它才能将改造后网点的数据包发往正确的目的地。这时，ARP代理闪了一下，能否用ARP代理解决分部服务器的MAC广播呢？答案是肯定的。在分部核心交换机的VLAN接口上增加配置 arp-proxy enable （注意，不同厂商的交换机命令不一样），这样就能完美的解决祼纤拆除后的网络通迅问题。现在我们来看下，arp-proxy究竟起到了什么作用。还是分部服务器的“ping回包”，当分部服务器通过广播查找网点主机的MAC地址时，分部核心交换机收到了该广播包，于是查找自己的路由表，发现自己的路由表中有去往网点1的路由，随即回复，告诉分部服务器，网点主机的MAC就是它自己。分部服务器收到后，构造目标MAC为分部核心交换机的数据包，发给分部核心交换机，分部核心交换机查找路由表，将数据发给新增交换机，这样将“ping回包”通过新专线返回给网点主机。至此，网络改造得以继续进行。

这次碰到的问题，虽然解决起来只有一条命令，但却需要平时多多了解网络技术。“厚积而薄发”，只有平时注重网络知识的积累，才能在碰到问题时信手拈来，快速地解决网络中碰到的问题，保障网络运行安全、稳定。