一、網絡概述
1.網絡中的設備
1.1 基於CPU的設備
此類設備功能最強,由於所有的功能都由軟件實現,幾乎無所不能。但轉發性能方面差強人意。
1.2 基於ASIC的設備
由固化的硬件芯片實現全線速的轉發,但靈活性和升級能力很差。通常只能實現基本的路由及轉發功能,但對一些特殊的業務能力(VPN,NAT,策略路由)支持很弱。
1.3 基於NP的設備
由微碼級的可編程網絡處理器實現全線速的轉發。靈活性和升級能力遠遠優於ASIC,但較基於CPU的設備還有一定的差距。
2.網絡的層次劃分
2.1 核心層
交換數據包,實現高速的數據流量運轉,核心層的設備不但需要容量大,轉發快,而且需要具備高穩定性。但通常對業務的需求高。
2.2 匯聚層
隔離拓樸結構變化、控制路由表的大小及控制流量、端口的收斂。實現豐富的業務特性。
2.3 接入層
將終端用戶接入到網絡中,大量的端口,強大的接入能力。實現豐富的業務特性。
幾點說明:
在小型的網絡中,層次不一定這麼明顯,很可能只有兩個甚至一個層次的設備。
在一些大型網絡中,層次可能劃分的更細:例如,增加了邊緣接入層、和骨幹核心層。在某個範圍之內的核心層,在上一級網絡中很可能只是匯聚層。
3.網絡規劃基本原則
3.1 可靠性原則
從設備本身(電信級可靠性)和網絡拓撲(無單點故障)兩方面考慮。
3.2 可擴展性原則
從設備性能(是否已達到滿配),可升級的能力(是否可以通過平滑的軟硬件升級支持未來的新業務和新特性)和IP地址、路由協議規劃等方面考慮。
3.3 可運營性原則
僅僅提供IP級別的連通是遠遠不夠的。網絡是否能夠提供豐富的業務,足夠健壯的安全級別,對關鍵業務的QOS保證……搭建網絡的目的是真正能夠給用戶帶來效益。
3.4 可管理原則
提供靈活的網絡管理平臺,利用一個平臺實現對系統中的各種類型設備進行統一管理;提供網管對設備進行拓撲管理、配置備份、軟件升級、實時監控網絡中的流量及異常情況。
4.網絡規劃流程圖
二、設備選型
1.設備選型需要參考的因素
可靠性
該設備是否提供關鍵模塊(電源、主控板)的冗餘備份,具備何種級別的可靠性
轉發性能
通常做如下考慮:通過某設備的流量
業務支持能力
除了普通的IP路由功能外,是否需要該設備支持諸如(NAT、各種VPN、策略路由)等業務屬性。(CPU、ASIC、NP)
端口支持
是否能夠提供組網所需要的端口。
擴展能力
是否能夠提供增加板卡以及軟件升級提供未來可能需要的性能支持及業務能力支持。(CPU、ASIC、NP)
價格因素
在綜合考慮以上因素的基礎上選擇適當的設備。只選對的,不選貴的。
三、端口選擇
1.網絡中常用的端口類型
高速端口(100M以上)
POS(155M、622M、2.5G)
ATM(155M、622M)
快速以太網(100MFE、GE、10GE)
中速端口(10M——100M)
E3(34.368M)
T3(44.736M)
以太網(10M)
低速端口(10M以下)
PSTN異步撥號(56K)
ISDN異步撥號(64K)
V24同步SA(64K)
V35同步SA(2M)
T1(1.54M)
E1(2M)
ADSL(2M-8M)
2.網絡中常用的端口拆分及聚合
高速端口的拆分
ATM接口通過ATM交換機拆分,可以連接任意帶寬的ATM接口
CPOS接口通過傳輸設備拆分,可以連接不同帶寬的E1接口
高速以太網通過MSTP傳輸設備拆分,可以連接任意帶寬的以太網接口。
E1接口通過DDN節點機設備拆分,可以連接不同帶寬的同步串口
優點是上層設備只需提供M個端口就可以連接N個下層設備(M<
低速端口的聚合
N個相同帶寬為M的以太網接口可以聚合成一個N X M帶寬的接口。
N個相同帶寬為M的串口或E1接口可以聚合成一個N X M帶寬的接口。
優點是可以用低速的端口提供高速的帶寬。聚合後的N個物理接口從邏輯上表現為一個接口,只使用一個IP地址。聚合接口本身的聚合及備份由鏈路層協議解決。
網絡中常用的端口互聯方式
對等型互聯
互聯的兩臺設備之間接口類型及帶寬完全相同。
例如:E1—E1;100MFE—100MFE;
常用於同一層次之間的設備互聯。
非對等型同質接口互聯
互聯的兩臺設備之間的接口類型相同,但帶寬不同。
例如:ATM—(ATM交換機)—n×ATM。
例如:1GE—(MSTP傳輸設備)—n×FE。
常用於上層設備的1個端口與N個下層設備之間互聯。優點是上層設備只需提供M個端口就可以連接N個下層設備(M<
非對等型異質接口互聯
互聯的兩臺設備之間的接口類型不相同,而且帶寬也不同。
例如:CPOS—(傳輸設備)—n×E1。
例如:E1—(DDN節點機)—n×64K。
常用於上層設備的1個端口與N個下層設備之間互聯。優點是上層設備只需提供M個端口就可以連接N個下層設備(M<
四、拓撲選擇
1.網絡中常用的拓撲結構
星形或雙星形
常見於下層網絡與上層之間的拓撲結構,主要的網絡流量都在分支節點與核心節點之間發生,兩個分支節點之間不通訊或流量很少。
網狀或部分網狀
常見於同一層次(核心層或匯聚層)之間的設備互聯,這些設備之間通常都是對等通信,或者這些設備之間需要確保互聯而增加很多的冗餘鏈路。
混合組網
在同一個網絡中,不同的層次之間通常採用不同的拓撲結構,通常核心層或匯聚層採用網狀或部分網狀相連,核心層與匯聚層或匯聚層與接入層之間採用星形或雙星形相連。
五、備份方案
1.網絡中常用的備份原則
基本的備份原則
備份花費的代價<=設備故障帶來的損失;
通常只考慮N+1備份,即:關鍵的設備、鏈路、模塊中任何一個出現故障,不會影響整網運行。
備份通常從拓撲、設備自身、協議等幾方面考慮。
備份不僅僅要從邏輯的角度考慮,更需要從物理的角度考慮問題。
接入層備份思路
通常選擇不具備關鍵模塊冗餘功能的設備。
通常不考慮雙機備份或者僅提供雙鏈路級別上行的備份。
匯聚層備份思路
通常選擇具備關鍵模塊冗餘功能的設備。
通常考慮雙機備份,上行通常提供雙鏈路級別的備份,並且匯聚層設備之間考慮環行連接。
核心層備份思路
通常選擇具備電信局可靠性的設備。
在拓撲上考慮核心層設備之間網狀或部分網狀連接。
2.對稱性備份與非對稱性備份
對稱性備份
對稱方案中主備兩種方案所提供的帶寬是相等的。備份設備或者備份鏈路同時也參與運營。需要考慮的是由於等值路由造成的報文路徑不同,會導致的上層協議報文重組需要部分等待時間,從而造成效率下降的問題。解決的方案是儘量選擇等值路由情況下逐流轉發的設備而非逐包轉發的設備。
非對稱性備份
非對稱方案中備份鏈路提供較小或相等的帶寬,只有在主用鏈路故障時備份鏈路才會生效。
如果希望備份鏈路或備份設備也投入運行,可以通過策略路由或路由協議的規劃使備份鏈路運行特定的部分業務流量。
3.針對主機的備份技術——VRRP
路由器之間的VRRP
兩臺路由器通過一臺二層交換機交換VRRP報文信息,並向下提供虛擬IP及MAC地址。
主用的路由器同時監控上行接口,上行鏈路故障或設備故障時會自動切換。
三層交換機之間的VRRP
兩臺L3通過一條互聯的trunk接口交換VRRP報文信息。
主用的L3同時監控上行接口,上行鏈路故障或設備故障時會自動切換。
主機通常具備雙機熱備份機制,同時上連兩臺L3。
4.針對網絡設備的備份技術
鏈路層的備份
PPP協議中的MP可以自動做到捆綁的N條鏈路之間的自動備份,流量的自動分配,故障時的自動切換。
以太網的聚合技術——802.3ad,可以自動做到捆綁的N條鏈路之間的自動備份,流量的自動分配,故障時的自動切換。
IP層的備份
IP層的備份原理實際上是利用路由表添加路由的規則來實現的:對於到達相同目的地的路由,路由器只使用最優的一條。如果最優的路由消失,則依據相同的規則選擇原來的次優路由。
靜態路由之間使用優先級不同來控制優劣。
不同的動態路由協議之間使用優先級來控制優劣。
同一協議內部使用不同的花費值來控制優劣。
局域網內整機備份技術
XRN通過增加設備來擴展端口數量和交換能力,同時也通過多臺設備之間的互相備份增強了設備的可靠性 ,可以提供基於三層的鏈路、轉發、管理、路由備份。
六、設備板卡規劃
設備的板卡布局也需要規劃?當然!原則是:
不要把所有的雞蛋放在同一個籃子裡;如果有M個雞蛋和N個籃子,儘量把M個雞蛋平均放在N個籃子裡。使得當失去一個籃子時損失的雞蛋數量<=[M/N]向上取整。
當某臺設備上同時存在高速及低速接口時,板卡布局時要充分考慮到設備的性能。
最佳方案
最差方案
七、局域網規劃
1.IP地址規劃的重要性
IP地址的合理規劃是網絡設計中的重要一環,大型網絡必須對IP地址進行統一規劃並得到實施。IP地址規劃的好壞,影響到網絡路由協議算法的效率,影響到網絡的性能,影響到網絡的擴展,影響到網絡的管理,也必將直接影響到網絡應用的進一步發展。
如果要看一個網絡的規劃質量、如果要看一個網絡設計師的技術水準,直接看他的IP地址規劃好了。
2.IP地址規劃的基本原則
唯一性:
一個IP網絡中不能有兩個主機採用相同的IP地址。即使使用了支持地址重疊的MPLS/VPN技術,也儘量不要規劃為相同的地址。
連續性
連續地址在層次結構網絡中易於進行路徑疊合,大大縮減路由表,提高路由算法的效率。
擴展性
地址分配在每一層次上都要留有餘量,在網絡規模擴展時能保證地址疊合所需的連續性。
實意性
“望址生義”,好的IP地址規劃使每個地址具有實際含義,看到一個地址就可以大至判斷出該地址所屬的設備。這是IP地址規劃中最具技巧型和藝術性的部分。最完美的方式是得出一個IP地址公式,以及一些參數及係數,通過計算得出每一個需要用到的IP地址。
3.IP地址的分類--loopback地址
loopback地址概述
為了方便管理,會為每一臺路由器創建一個loopback 接口,並在該接口上單獨指定一個IP 地址作為管理地址,管理員會使用該地址對路由器遠程登錄(telnet),該地址實際上起到了類似設備名稱一類的功能。同時各種上層協議需要使用TCP或UDP來建立連接時也需要使用該地址作為源地址。
loopback地址規劃技巧
務必使用32位掩碼的地址。
最後一位是奇數的表示路由器,是偶數的表示交換機。
越是核心的設備,loopback地址越小。
5.IP地址的分類--互聯地址
互聯地址概述
互聯地址是指兩臺網絡設備相互連接的接口所需要的地址。
互聯地址規劃技巧
務必使用30位掩碼的地址。
核心設備,使用較小的一個地址(即:loopback地址較小的設備使用互聯地址中較小的一個)。
互聯地址通常要聚合後發佈,在規劃時要充分考慮使用連續的可聚合地址。
6.IP地址的分類--業務地址
業務地址概述
業務地址是連接在以太網上的各種服務器、主機所使用的地址以及網關的地址。
業務地址規劃技巧
所有的網關地址統一使用相同的末位數字,如:.254都是表示網關。
7.IP地址的分類--廣西電力調度網
網絡情況概述
網絡分為中調、地調、廠站三級。
全網使用MPLS/VPN技術,共劃分4個VPN。
全網共分配2個B類地址:10.90.X.X——10.91.X.X。
每臺中調和地調路由器下面有兩臺3層交換機。每臺廠站路由器下面有兩臺二層交換機。
地址塊的劃分,有以下兩種方案:
先縱向劃分,再橫向劃分。即:
按照業務先將地址劃分為公網、VPN1——VPN4共5大塊。然後再按照地域在每一個地址塊中為每一個地市劃分一個地址塊。
先橫向劃分,再縱向劃分。即:
按照地域將地址劃分為多塊(每個地市一個地址塊)。然後再按照業務將每個地市的地址塊劃分為:公網、VPN1——VPN4共5塊。
公網地址劃分
以核心設備(中調及地調)為標誌劃分N個地址塊,每個地址塊共佔用1個C,內部劃分為5塊:
本設備的loopback地址,及與本設備相連的交換機的loopback地址。(1-11)
與本設備互聯的交換機的互聯地址。(12-55)
與本設備互聯的下級設備的互聯地址。(56-140)
對於地調,下級設備(廠站)的loopback地址。(141-180)
對於地調,下級設備(廠站)與交換機之間的互聯地址。(180-212)
213-255,保留。
所有地調的劃分完全相同,每塊地址塊的大小取所有的地調中需求最多的,並且充分考慮到擴展性。每個地調的所使用的地址段相隔4個C類地址(相隔4個是為了與後面VPN的地址規劃相同)。並且該地調地址的第3個8位與該地調所屬的OSPF區域也相同。
VPN地址的劃分
將一個B類地址平均分為4塊,VPNn的起始地址為:
10.91.An.X,其中An=(n-1)*64+1。下面以VPN1為例,其他3個VPN的地址在此基礎上+(n-1)*64:
PE與CE之間的互聯地址劃分:
使用每個VPN範圍內的最後一個C類地址,作為第三個8位。
VPN內業務地址劃分:
每個VPN的業務網段劃分/26掩碼的地址;
每個地調的業務網段的第一個VPN的起始位(第三個8位)與該地調的公網地址的第三個8位相同。其他3個VPN第三個8位在第一個VPN的基礎上+ (n-1)*64;
8.VLAN ID的規劃原則
VLAN 1一般予以保留,不分配給業務VLAN使用。
VLAN ID的預分配應成段分配。
如果VLAN ID足夠用,儘量分配1024以下的VLAN ID。
為每一個VLAN規劃VLAN描述符。描述符的配置規範化。
9.VLAN的技術劃分原則
基於端口的VLAN劃分
基於協議的VLAN劃分
基於IP子網的VLAN劃分
基於MAC地址劃分
基於組和策略劃分
10.VLAN的管理劃分原則
基於業務需求VLAN劃分
基於地域管理VLAN劃分
基於安全要求VLAN劃分
11.VLAN規劃的限制
VLAN總數不超過4096
解決方式:QinQ,Isolate-user-VLAN,No VLAN
每個VLAN的主機數建議不超過64個
解決方式:劃分多個VLAN
VLAN劃分越多,就會佔用更多地IP地址
解決方式:Super-VLAN,VLAN per Port
八、設備命名規劃
1.設備命名規範—sysname規劃
為了保證以後的管理方便,通常需要為設備統一命名。
可以採用以下命名方法:AA-B-YYYY-X
AA:表示該設備所屬的級別和名稱,通常的規則是取漢字拼音的首字母縮寫。
例如:NN- 南寧;也可以靈活運用大小寫字母及增加後綴來表示不同級別的設備。ShaTB-沙田(B表示變電站);
B:表示設備的廠商名稱,本次工程使用華為3Com公司產品,則:B為H3
YYYY:表示設備型號,如NE16E、S6503等。
X: 表示如果前三項相同的設備,用數字編號1、2標識。
例如:
地調北海第一臺交換機3526E命名:BH-H3-S3526E-1
廠站衝口AR4640路由器命名為:ChongKB-H3-AR4640
2.設備命名規範—接口description規劃
為了準期表明每個接口對端的連接保證以及帶寬,需要為每一個使用的接
口配置description描述信息。
通常採用以下命名方法:to 對端設備名 帶寬,其中對端設備名使用前一節講到的sysname規劃方法。
例子:description to ZD-H3-NE16E-2 8M
表示:該端口對端設備中心備用NE16E路由器,帶寬為8M 。
3.設備命名規範—接口命名
除了設備固定的接口之外,我們常常會手工創建一些接口,例如:MP接口,以太網子接口,VLAN接口等。對這些接口後面分配的數字應該儘量包含實際的意義。
mp-group A/B/C, 接口的A表示槽位,B表示卡位,是固定的,C可以設置為能夠包含對端設備信息的數字,例如對端設備loopback接口地址中明確區分自身信息的一位,或者是對端設備所屬的OSPF區域號等等信息。
以太網子接口務必要將子接口數字與VLAN信息保持一致。
VLAN接口的數字要全局統一規劃,例如:使用100、200表示VPN的 VLAN,使用1000表示網管的VLAN等。
九、路由協議規劃
1.路由協議的規劃——路由協議的選擇
公欲善其事,必先利其器,不能讓網絡規劃輸在起跑線上!
RIP——最古老的路由協議,特點:性能低下,只適合在小型的網絡中使用。(狗肉上不了大席)
IGRP——在RIP的基礎上稍加改進,擁有RIP所有的缺點。 (改良的狗肉,還是上不了大席)
EIGRP——性能不錯,但卻是cisco的私有協議,互通性不好。而且容易引起法律糾紛。
(現在都是e世代了,拜託,能不能open一點?)
IS-IS——ISO與IETF幫派鬥爭的產物,本來是為OSI七層模型設計,後來強行移植到IP上。(驢唇不對馬嘴)
OSPF——是因特網上使用最為廣範的IGP,專家強力推薦。
(相信我,沒錯的)
BGP——是目前因特網上唯一的一種EGP協議。
(只此一家,別無分店)
靜態路由設計原則
2.OSPF規劃
router id的規劃
直接使用該設備的管理地址(loopback)作為router id,並且要確保該數字與ldp的lsr id相同。
區域劃分
區域劃分是OSPF規劃中最核心也是最複雜的部分。
OSPF的區域劃分是與網絡層次密切相關的,通常核心層與匯聚層規劃為區域0,匯聚層的設備規劃為ABR,匯聚層與接入層之間規劃為非骨幹區域,非骨幹區域儘量規劃為NSSA區域。
每個區域中的設備數量最好不要超過30臺,這個數字不是絕對的,主要與設備性能,鏈路的穩定性密切相關。
非骨幹區域的規劃可以與網絡中實際的行政,地域劃分相吻合。
路由聚合規劃
在ABR上通常需要對非骨幹區域的路由聚合後發佈到骨幹區域。同理:骨幹區域的路由也通常需要聚合後再發布到非骨幹區域。
在ASBR上可以對所有本地引入的路由聚合後再發布。
聚合的地址範圍是鏈路地址、業務地址,但通常不對loopback地址進行聚合。
3.OSPF規劃——區域規劃中的疑難雜症
如果OSPF的骨幹區域中設備很多怎麼辦?
例如:某企業網的全國性項目中每個省提供兩臺設備做核心層,下面還有市、縣級網絡。這樣area0中的設備數量會超過60臺。
此時該網絡的規模已經超過了OSPF所能承受的極限,建議每個省規劃為一個OSPF自治系統,不同的省之間通過運行BGP協議交換路由信息。
如果OSPF的非骨幹區域中設備很多怎麼辦?
例如:某銀行的一個地市被規劃為一個非骨幹區域,但其中有70餘臺中低端設備。
建議將該地址劃分為3-4個非骨幹區域,但每個區域內的互聯地址和業務地址最好能夠對應一個連續的可聚合的地址段。
如果網絡中的設備是4級結構怎麼辦?
例如:某省銀行全省共劃分為省行、市行、縣行及營業網點4級結構。
由於OSPF協議只支持2層區域結構。省行與市行規劃為骨幹區域,每個市行連同下轄的所有縣規劃為一個非骨幹區域。則縣與營業網點之間可以運行靜態路由。或者再運行另外一套路由協議,推薦使用OSPF多進程。
4.OSPF規劃——COST及路由引入規劃
OSPF的COST規劃
為確保路由器選擇最優路徑,需要統一OSPF路由尺度(cost)的計算。通常的做法是:取網絡中帶寬的最大值為度量值1,其他類型的接口按與最大帶寬的比例計算。例如:網絡中最大帶寬為GE。
接口類型 cost
GE 1
155M POS 7
100M FE 10
10M ETHERNET 100
N×E1 500/N
Loopback接口的COST值通常取1。
OSPF的路由引入規劃
OSPF可以引入直連、靜態以及其他路由協議的路由。
對於直連路由,如果條件允許,儘量使用network命令當作區域內路由發佈,避免引入操作。
對於靜態和其他路由協議,引入時可以統一COST及路由類型,例如:cost為1000,type為1。
如果引入BGP路由,需要考慮路由表的規模,也可以使用缺省路由來避免引入。
5.OSPF規劃——NSSA區域
OSPF的NSSA區域是一種特殊的非骨幹區域,由於具備一些特殊的屬性
而在實際的網絡網絡規劃中經常使用。
當一個非骨幹區域中不希望接收大量的區域外路由時,可以將其配置為STUB屬性,但由於STUB中苛刻的要求所有的設備都不能引入任何外部路由,導致其幾乎無法使用。而NSSA無此限制,所以可以放心使用。
使用NSSA區域的另外一個優點:
對於Type5類的LSA,由於OSPF只能在ASBR處將路由聚合,發佈之後就沒有再次聚合的機會了。而NSSA在ABR處將Type7轉成Type5時可以再一次進行聚合操作,實際上又多了一次寶貴的聚合機會。
使用NSSA區域的侷限性:
由於協議規定,當一個NSSA區域中存在兩個ABR時,只能由其中的一臺(router id大的)進行type7到type5的轉換操作。所以在實際使用中會受到一定的限制。
6.OSPF規劃——路由的過濾
OSPF由於受到鏈路狀態算法的限制,對於路由的過濾會受到很多的限制。
通常任何一臺設備都沒有權利更改或刪除非自己生成的LSA。所以每臺設備上配置的路由過濾只會影響到自身路由表的生成,而不會更改LSA。所以,如果要全網或者大部分路由器需要過濾某條路由,只能逐臺配置過濾。
OSPF留下的一個backdoor
事實上並沒有這麼悲觀,OSPF在區域邊界處留下了一個後門。聚合的命令後面有一個notadvertise參數,如果需要過濾某條路由,可以將該條路由配置成聚合命令(並非真正聚合,網段與掩碼完全相同即可),後面加上notadvertise參數即可做到過濾。對於type5類的路由,可以在NSSA的ABR處用同樣的方法過濾。
以上的過濾方法只是針對區域間而言,在區域內無效,還只能使用逐臺過濾的方法。
7.OSPF規劃——雙塔奇兵
OSPF如果某個區域存在兩個ABR,並且在兩個ABR上都對area n內的路由做了聚合操作。
loopback0應該屬於area0還是area n?
如果骨幹區域被分割有何後果?
如果非骨幹區域n被分割有何後果?
圖中的紅線應該屬於area0還是area n?
8.OSPF規劃——犬牙交錯
有時接入層的設備會以亂序的方式與匯聚層進行連接。OSPF的區域該如何劃分?
如果所有的匯聚層和接入層都劃為一臺區域,則會太大。
如果選擇兩臺匯聚層設備加上所有同時與他們相連的接入層設備劃分為一個area則會導致區域太多,並且沒有規律。並且對IP地址規劃十分不利。
建議按照每臺匯聚層設備與之相連的所有鏈路接口劃分為一個區域。
OSPF路由協議典型規劃
9.BGP規劃
企業網中在什麼情況下需要使用BGP協議?
網絡過於龐大,OSPF難以勝任時;
網絡中需要大量的使用路由策略或者是業務分流時。
網絡需要使用MPLS/VPN技術時。
是否只有性能很好的核心設備才能夠運行BGP?
BGP協議本身並不消耗很多資源,只有當運行BGP的設備需要學習到很多條路由,需要建立很多鄰居關係時才會要求設備自身的性能很高。
只要規劃得當,任何檔次的設備(包括接入層設備)都可以運行BGP協議。
Router id的規劃
BGP的router id與ospf的router id共用一個,與loopback接口地址相同。
AS number的規劃
由於企業網中都是所有網絡,所以BGP使用私有的AS number。
IBGP還是EBGP?
由於企業網的規模通常都不會很大,通常IBGP就可以滿足一般的需求了。
10.BGP規劃——路由反射器
由於在一個AS內部,要求所有的IBGP鄰居必須全部建立鄰居關係,會導致N平方問題,所以經常會遇到路由反射器的規劃。
由於路由反射器支持嵌套,所以可以嚴格按照網絡的層次來劃分路由反射器。核心層是第一級的RR,匯聚層是核心層的client,同時也是接入層的RR。
互為備份關係的相同一級的RR可以規劃為同一個cluster,配置相同的cluster id。
11.BGP規劃——靈活使用MED以及LP屬性控制業務分流
業務名稱
業務網段
主用線路
備用線路1
備用線路2
(生產)人民幣
192.10.10.0/24
LineR
LineB
LineG
(OA)辦公
192.10.20.0/24
LineG
LineB
/
(OA)視頻
192.10.30.0/24
LineB
LineG
/
已知某銀行在市行與省行之間共有3條線路,並且希望不同的業務使用不同的鏈路,並且需要相互備份。
通過建立三個EBGP鄰居,在3條鏈路上發送不同的路由,並攜帶不同的優先級。
發送路由時使用MED屬性,接收路由時使用LocalPreference 屬性。
由於人民幣業務獨享RED線路,所以在RED鄰居發送和接收路由時只包含人民幣業務。
線路名稱
發送的業務網段(MED)
接收的業務網段(LocalPreference)
RED
人民幣(5)
人民幣(15)
BLUE
人民幣(10)辦公(10)視頻(5)
人民幣(10)辦公(5)視頻(10)
GREEN
人民幣(15)辦公(5)視頻(10)
人民幣(5)辦公(10)視頻(5)
12.BGP規劃——靈活使用團體屬性&與IGP協同操作
已知某大型石油集團公司新成立股份公司,全國共劃分5個大區,每個大區下轄多個地區公司,全國共計80餘個地區公司。每個地區公司都有一個較大的局域網。全網共計2000餘臺3層設備。該股份公司還需要同集團公司之間進行通訊,需要在多條鏈路上實現針對不同流量的負載分擔。
每個地區公司及大區公司自己內部的局域網都獨立運行OSPF協議;
所有的地區及大區公司的出口路由器組成骨幹網,運行OSPF(多進程)+IBGP;
骨幹網的OSPF只負責所有骨幹設備的鏈路地址以及loopback地址的學習;
所有的業務地址由BGP負責發佈,使用netwrok命令+下一跳指向null0接口的靜態路由進行聚合後的發佈。
在發佈路由時,為每個地區公司以及大區配置不同的團體屬性值,在EBGP出口時根據團體屬性控制帶寬及報文的流向。
方便日後向MPLS/VPN平滑過渡
十、MPLS/VPN規劃
1.MPLS/VPN規劃-PE、P和CE的選擇
哪些設備應該規劃為PE?
如果一個網絡需要運行MPLS/VPN,那麼所有的路由器,以及部分核心交換機(如果該交換機提供與廣域網連接的接口)。
PE要承擔什麼任務?
劃分VRF,啟動OSPF,MBGP,MPLS,LDP協議。
哪些設備應該規劃為CE?
所有的2層交換機,絕大部分的3層交換機(如果該交換機與廣域網相連需要通過路由器)
CE要承擔什麼任務?
蒐集到所有的本地SITE內的路由,發給PE;從PE處接收本VPN的路由。
哪些設備應該規劃為P?
在企業網中,通常不會存在某臺設備只提供廣域網的連接而不提供局域網的接入。所以P設備同時肯定也是PE設備,無需特殊規劃。
2.MPLS/VPN規劃-VPN的劃分
如何劃分不同的VPN?
VPN的形成主要靠規劃RT來實現,劃分VPN的過程就是規劃RT的過程。
考察用戶的需求,一共可以劃分為幾種不同的業務?這些業務之間是否基本上不需要互訪?按照以上的需求初步劃分不同的VPN,為每個VPN配置不同的RT。
如果在此基礎上用戶還有其他複雜需求:橫向本地互通,或者不規則互通需求,可以在此基礎上增加RT規則。
3.MPLS/VPN規劃--RT的靈活應用
4.MPLS/VPN規劃-CE的規劃
最理想的模式:
同一臺PE下的N個VPN共配置N臺CE。
最糟糕的模式:
同一臺PE下的N個VPN共配置M臺CE,M
存在的問題
不同的VPN在本地CE上會互訪。
CE到PE的路由發佈存在問題,無法使用缺省路由及動態路由(OSPF多進程除外)。
解決方案:
將CE配置成2層交換機使用。通過配置VLAN隔離不同VPN。
優點:完美解決VPN隔離及路由問題。
缺點:當CE側主機過多時,局域網內的廣播風暴將直接衝擊路由器,使得路由器缺少了一個屏障,直接暴露在局域網內。
適用範圍:局域網內主機較少的分支節點。
選擇支持MultiVRF的交換機做CE。通過在交換機配置不同的VPF對應不同的VPN。
優點:完美解決VPN隔離以及路由問題。
缺點:支持此類特性的設備較少且價格昂貴。
適用範圍:VPN越多優勢越明顯。
在CE配置ACL隔離本地VPN間的互訪;為不同的VPN配置精確路由指向相應的PE接口(基於地址不衝突且IP地址規劃整齊,也是VPN的IP地址規劃要按照VPN劃分的原因)。或者使用策略路由。
優點:沒什麼優點。
缺點:屬於打補丁的解決方案,安全性差(ACL)且配置繁瑣。
適用範圍:VPN少且不適合使用二層的情況。
5.MPLS/VPN規劃-雙PE雙CE備份規劃
6.MPLS/VPN規劃-MPLS及LDP以及RD的規劃
MPLS規劃
全局使能MPLS。
在所有的公網接口上使能MPLS。
指定設備的lsr-id,與本設備的router id相同。
LDP規劃
全局使能LDP。
在所有的公網接口上使能LDP。
如果網絡情況複雜,選擇用接口直連地址建立LDP鄰居的方式。否則可以使用缺省的loopback接口建立鄰居的方式。
RD規劃
相同的VPN要配置相同的RD。
通常RD配置為與RT相同,如果存在多個RT,選擇一個最常用的。
7.MPLS/VPN規劃-MBGP的規劃(公網部分)
MBGP的規劃分為公網部分和私網部分,由於公網的路由全部由IGP來計算,所以MBGP並不負責蒐集公網路由信息。但由於MBGP的私網路由信息需要靠公網鄰居來傳播,公網部分的規劃只需要建立好BGP的鄰居關係即可。
規劃AS號
鑑於屬於私有網絡,而且通常整個網絡都屬於一個AS,所以只需規劃一個AS號,建議使用65000以上的數字。
規劃IBGP的鄰居部署
由於整個網絡中所有的路由設備都是PE,所以都需要運行IBGP。由於一個AS中所有的PE都需要建立鄰居關係,會導致N平方問題,所有需要規劃路由反射器。
8.MPLS/VPN規劃-MBGP的規劃(私網部分)
MBGP的規劃分為公網部分和私網部分,由於MBGP需要發佈私網VPN的路由信息及私網標籤,所以所有的BGP的具體應用以及策略的規劃都使用私網規劃部分
VPNv4規劃
激活所有的在公網下配置的BGP鄰居,使其具備攜帶私網路由及標籤的能力。配置反射器以及HOPE等部署。配置具體的路由策略。
VPN-instance (VRF)規劃
主要是與CE的路由互操作。通常需要引入靜態、直連或者是PE與CE之間運行的IGP的路由。
9.MPLS/VPN規劃-PE與CE之間路由協議的規劃
PE與CE之間可以選擇如下路由協議:靜態路由、多實例RIP,多實例OSPF,EBGP協議。
如果CE只是2層設備,網關配置在PE路由器上,則無需使用路由協議。
如果CE是性能較差的3層交換機,且本VPN內的路由較少或者可以使用缺省路由,則推薦使用靜態路由。
如果本VPN內路由較多,配置靜態路由會很麻煩,此時可以使用多時例的OSPF。CE與PE之間通常規劃成area0。
如果CE與PE之間交換路由時希望提供更多的策略選擇及路由控制手段,則可以使用EBGP協議。
鑑於RIP的拙劣性能,不推薦使用多實例RIP。
10.MPLS/VPN規劃-分層PE
由於MPLS/VPN在原理設計的過程中沒有與網絡的實際模型對應起來——所有的PE的地位都是相同的,都需要建立相同的IBGP鄰居數目並且保存相同的路由表,而不論你是核心層還是匯聚層甚至接入層。這一點在企業網中表現尤甚——沒有P設備,全網都是PE設備。通常會導致在接入層設備上無法部署MPLS/VPN。
使用華為公司專有技術——HoPE即可完美解決。核心層和匯聚層規劃為SPE(如果匯聚層的能力也不濟,可以規劃為MPE,即匯聚層作為核心層的UPE,但作為接入層的SPE),接入層規劃為UPE。由於SPE天然是UPE的RR,所以UPE只需與SPE建立IBGP鄰居關係即可。而且SPE會為每個VRF發送一條缺省路由代替精確路由。
使用分層PE需要注意的是:當VPN的互訪關係十分複雜時,普通情況下靠複雜的RT規則來控制路由表的生成。但此時由於UPE上只有缺省路由,所以只能靠SPE來進行訪問控制。這樣會帶來很多不便。
11.MPLS/VPN規劃-與internet互聯
通過PE還是CE上internet?
兩種方式都可以。
通過集中式上internet還是分佈式上internet?
兩者方式都可以。
PE分佈式上internet
每臺PE都與internet直接相連,在PE的VRF中配置指向global地址的缺省路由。
在PE上配置靜態路由(目的網段為NAT轉換後的公網),下一跳指向VRF的接口。
在PE的VRF中做NAT轉換。
PE集中式上internet
在每臺PE上的VRF中配置指向global地址的缺省路由。
在PE上配置靜態路由(目的網段為私網地址),下一跳指向VRF的接口。
所有的訪問internet的流量通過缺省路由發給連接internet的那臺PE,由它統一做NAT轉換。
由於所有的私網路由洩漏到所有的PE上,會導致不同的VPN通過PE互訪,需要在每臺PE上配置ACL,丟棄源地址和目的地址都是私網的流量。
12.MPLS/VPN規劃-與internet互聯
CE分佈式上internet
每個VRF中選擇一臺CE連接internet,並且做NAT轉換。
由該CE發佈一條缺省路由給本VPN內的所有CE。
CE集中式上internet
選擇一臺健壯的CE連接internet,並且做地址轉換。
將該CE所屬的VRF配置成與所有VRF都可以互通的超級VPN(How can do that?)
由該CE發佈一條缺省路由給全網的所有VPN的所有CE。
由於有超級VPN以及缺省路由的存在,會導致不同的VPN通過超級VPN互訪,需要在該PE連接超級VPN的VRF上配置 ACL,丟棄源地址和目的地址都是私網的流量。
選擇哪種方式?
PE分佈式是運營商常用的(因為運營商的每臺PE都直接與internet相連),企業網不會使用。
PE集中式太繁瑣(每臺PE上都要配置ACL),且不支持VPN地址重疊。
CE分佈式無需ACL,且支持VPN地址重疊。
CE集中式只需配置一條ACL,但不支持VPN地址重疊。
希望節省資源,選擇CE集中式;希望支持VPN地址重疊,選擇CE分佈式。
十一、網絡安全規劃
網絡安全規劃的基本原則
網絡安全是一個複雜的體系結構,涉及到幾乎全網中的任何設備以及任何層次。
網絡安全只是一個相對的概念,無論你付出多大的代價,都不存在絕對安全的網絡。
部署網絡安全通常會帶來副作用,例如:佔用帶寬,降低設備的處理能力,給使用和管理網絡帶來諸多不便之處。所以要在網絡的安全和性能之間找到恰當的平衡點。
1.在接入層通過VLAN進行安全隔離
普通二層以太網網絡中採用VLAN進行隔離。
小區以太網接入應用中在接入層交換機上配置Isolate-user-VLAN,禁止接入用戶之間互訪。
建議在接入交換機接入端口配置廣播抑制門限
2.在交換機上啟用以下安全策略
3.嚴格的訪問控制
在匯聚交換機與核心交換機上配置訪問控制列表,限制不同部門之間的互訪。
在匯聚路由器和核心交換機上配置訪問控制列表,封掉常見的病毒傳播端口
所有的網絡設備必須配置super密碼,telnet的口令及密碼,並定期修改。telnet需要在VTY中設置訪問列表,對無訪問需求的源地址進行過濾。例如:
在連接內外網的防火牆上禁止來自外網的telnet訪問。
4.認證授權(WLAN接入)
在WLAN中,當無法從物理上控制訪問者的來源時,務必要使用相應的鑑權及認證手段進行識別服務:
-在AP上禁止ESSID廣播
-MAC過濾
-對接入用戶進行802.1x身份認證
-使用加密無線信道
5.認證授權(移動辦公用戶)
通過RADIUS實現AAA認證,可以對各種接入用戶統一集中進行認證和授權
採用TACACS協議代替RADIUS
-實現對驗證報文主體全部進行加密
-支持對路由器上的配置實現分級授權使用
6.利用防火牆進行安全分區
非軍事區:DMZ – de-militarized zone, 用以隔離內部和外部網絡
內部網絡只允許內部用戶訪問,DMZ區提供有條件的對外服務
外部過濾器只允許外部流量進入,內部過濾器只允許內部流量進入
DMZ從不啟動與內部網絡的連接
當DMZ中的主機受到威脅時
-內部流量也不會受到監聽、內部過濾器仍然受到保護
7.利用入侵防禦進行應用層安全防護
現在的很多安全威脅都是綜合網絡蠕蟲、木馬、病毒等技術的複合威脅,只有將攻擊特徵和病毒特徵結合在一起進行檢測,才能全面防禦這類安全威脅。
攻擊者在利用漏洞的攻擊之後,往往馬上伴隨著木馬、病毒等惡意代碼樣本的下載,只有將攻擊特徵和病毒特徵結合在一起,才能做到層層防禦,確保安全。
因為攻擊是有特定的協議上下文的,將應用層協議特徵分析與攻擊特徵、病毒特徵分析結合起來,可確保檢測精度。
十二、網絡管理規劃
網管規劃基本原則
哪些設備需要管理
如果網絡規模不大,可以管理全網所有的三層設備(包括部分支持三層訪問功能的二層交換機)。
如果網絡規模很大,可以只選擇比較重要的設備,但通常應該包含所有的路由器。
網管設備如何與網絡設備連接
通常網管工作站直接與網絡中最核心的設備相連,直接連接到該設備的以太網口或通過交換機與之相連。
使用帶內網管還是帶外網管
帶內網管——網管的相關報文流量與網絡中的數據流量等同對待。優點是充分利用網絡中的設備和帶寬。缺點是設備或鏈路故障會導致網管中斷。通常都使用帶內網管。
帶外網管——即:為了網管流量而單獨建立一套數據通道。優點是確保網管數據的絕對安全可靠和優先級,缺點是代價過於昂貴。幾乎不會使用帶外網管。
網管設備的IP地址規劃
取出特定的一個網段,專門為網管工作站使用。
該地址儘量固定,不要隨意更改。
RMON的使用
是一種在網絡設備側的探針技術,根據事先定義好的數據組類型採集設備的告警、性能等信息,以MIB的形式儲存在設備上,等待網管設備使用SNMP協議讀取。
本來是一種很好的思想和理念,但由於目前支持RMON技術的硬件芯片很少,所有的報文都需要送交CPU處理,會嚴重影響設備的性能。所以,不推薦使用。
選擇SNMP的版本
V1:SNMP的最早期版本,實現最基本的功能。
V2c:增加了幾種64位的數據類型以及RMON2的擴充。
V3:在安全性方面做了較多的改進,對網管報文使用了MD5等一些加密算法,並且可以定義不同的用戶視圖,限制不同級別的用戶可以訪問的不同的MIB。
V3比較繁瑣,推薦使用V1或V2c
網管規劃——設備側的規劃
Trap的規劃
Trap的使能。
Trap需要發送給的主機IP地址(即網管工作站的IP地址)
Trap發送時的源地址(該設備的loopback地址)
SNMP的規劃
SNMP的使能
明確本網絡需要使用的SNMP的版本。只配置本網絡規劃需要使用的版本,儘量不要配置為version all。
v1、v2c配置團體字、v3配置用戶、組、訪問視圖。團體字的命名需要遵循以下原則:不要簡單的使用public和private,但也無需將其配置的與密碼一樣複雜;儘量具備一定的實際含義即可。
網管規劃——網管側的規劃
設備已經增加在拓撲圖上。注意拓撲上設備的管理IP必須和設備上配置的trap源地址一致
故障的聲光控制
故障的維護經驗
故障的過濾
告警/事件的查詢(實時、當前、歷史)
建立查詢模板
告警的統計
“人最寶貴的是生命,生命只有一次,人的一生應該這樣度過:當回憶往事的時候,他不會因為虛度年華而悔恨,也不會因為碌碌無為而羞愧;在臨去世的時候,他能夠說:我的整個生命和全部精力,都已經獻給了全世界最壯麗的事業——為全人類的網絡規劃而奮鬥!”
