一、网络概述
1.网络中的设备
1.1 基于CPU的设备
此类设备功能最强,由于所有的功能都由软件实现,几乎无所不能。但转发性能方面差强人意。
1.2 基于ASIC的设备
由固化的硬件芯片实现全线速的转发,但灵活性和升级能力很差。通常只能实现基本的路由及转发功能,但对一些特殊的业务能力(VPN,NAT,策略路由)支持很弱。
1.3 基于NP的设备
由微码级的可编程网络处理器实现全线速的转发。灵活性和升级能力远远优于ASIC,但较基于CPU的设备还有一定的差距。
2.网络的层次划分
2.1 核心层
交换数据包,实现高速的数据流量运转,核心层的设备不但需要容量大,转发快,而且需要具备高稳定性。但通常对业务的需求高。
2.2 汇聚层
隔离拓朴结构变化、控制路由表的大小及控制流量、端口的收敛。实现丰富的业务特性。
2.3 接入层
将终端用户接入到网络中,大量的端口,强大的接入能力。实现丰富的业务特性。
几点说明:
在小型的网络中,层次不一定这么明显,很可能只有两个甚至一个层次的设备。
在一些大型网络中,层次可能划分的更细:例如,增加了边缘接入层、和骨干核心层。在某个范围之内的核心层,在上一级网络中很可能只是汇聚层。
3.网络规划基本原则
3.1 可靠性原则
从设备本身(电信级可靠性)和网络拓扑(无单点故障)两方面考虑。
3.2 可扩展性原则
从设备性能(是否已达到满配),可升级的能力(是否可以通过平滑的软硬件升级支持未来的新业务和新特性)和IP地址、路由协议规划等方面考虑。
3.3 可运营性原则
仅仅提供IP级别的连通是远远不够的。网络是否能够提供丰富的业务,足够健壮的安全级别,对关键业务的QOS保证……搭建网络的目的是真正能够给用户带来效益。
3.4 可管理原则
提供灵活的网络管理平台,利用一个平台实现对系统中的各种类型设备进行统一管理;提供网管对设备进行拓扑管理、配置备份、软件升级、实时监控网络中的流量及异常情况。
4.网络规划流程图
二、设备选型
1.设备选型需要参考的因素
可靠性
该设备是否提供关键模块(电源、主控板)的冗余备份,具备何种级别的可靠性
转发性能
通常做如下考虑:通过某设备的流量<(该设备满配最大流量)/2。
业务支持能力
除了普通的IP路由功能外,是否需要该设备支持诸如(NAT、各种VPN、策略路由)等业务属性。(CPU、ASIC、NP)
端口支持
是否能够提供组网所需要的端口。
扩展能力
是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持。(CPU、ASIC、NP)
价格因素
在综合考虑以上因素的基础上选择适当的设备。只选对的,不选贵的。
三、端口选择
1.网络中常用的端口类型
高速端口(100M以上)
POS(155M、622M、2.5G)
ATM(155M、622M)
快速以太网(100MFE、GE、10GE)
中速端口(10M——100M)
E3(34.368M)
T3(44.736M)
以太网(10M)
低速端口(10M以下)
PSTN异步拨号(56K)
ISDN异步拨号(64K)
V24同步SA(64K)
V35同步SA(2M)
T1(1.54M)
E1(2M)
ADSL(2M-8M)
2.网络中常用的端口拆分及聚合
高速端口的拆分
ATM接口通过ATM交换机拆分,可以连接任意带宽的ATM接口
CPOS接口通过传输设备拆分,可以连接不同带宽的E1接口
高速以太网通过MSTP传输设备拆分,可以连接任意带宽的以太网接口。
E1接口通过DDN节点机设备拆分,可以连接不同带宽的同步串口
优点是上层设备只需提供M个端口就可以连接N个下层设备(M<<N)。
低速端口的聚合
N个相同带宽为M的以太网接口可以聚合成一个N X M带宽的接口。
N个相同带宽为M的串口或E1接口可以聚合成一个N X M带宽的接口。
优点是可以用低速的端口提供高速的带宽。聚合后的N个物理接口从逻辑上表现为一个接口,只使用一个IP地址。聚合接口本身的聚合及备份由链路层协议解决。
网络中常用的端口互联方式
对等型互联
互联的两台设备之间接口类型及带宽完全相同。
例如:E1—E1;100MFE—100MFE;
常用于同一层次之间的设备互联。
非对等型同质接口互联
互联的两台设备之间的接口类型相同,但带宽不同。
例如:ATM—(ATM交换机)—n×ATM。
例如:1GE—(MSTP传输设备)—n×FE。
常用于上层设备的1个端口与N个下层设备之间互联。优点是上层设备只需提供M个端口就可以连接N个下层设备(M<<N)。
非对等型异质接口互联
互联的两台设备之间的接口类型不相同,而且带宽也不同。
例如:CPOS—(传输设备)—n×E1。
例如:E1—(DDN节点机)—n×64K。
常用于上层设备的1个端口与N个下层设备之间互联。优点是上层设备只需提供M个端口就可以连接N个下层设备(M<<N)。
四、拓扑选择
1.网络中常用的拓扑结构
星形或双星形
常见于下层网络与上层之间的拓扑结构,主要的网络流量都在分支节点与核心节点之间发生,两个分支节点之间不通讯或流量很少。
网状或部分网状
常见于同一层次(核心层或汇聚层)之间的设备互联,这些设备之间通常都是对等通信,或者这些设备之间需要确保互联而增加很多的冗余链路。
混合组网
在同一个网络中,不同的层次之间通常采用不同的拓扑结构,通常核心层或汇聚层采用网状或部分网状相连,核心层与汇聚层或汇聚层与接入层之间采用星形或双星形相连。
2
五、备份方案
1.网络中常用的备份原则
基本的备份原则
备份花费的代价<=设备故障带来的损失;
通常只考虑N+1备份,即:关键的设备、链路、模块中任何一个出现故障,不会影响整网运行。
备份通常从拓扑、设备自身、协议等几方面考虑。
备份不仅仅要从逻辑的角度考虑,更需要从物理的角度考虑问题。
接入层备份思路
通常选择不具备关键模块冗余功能的设备。
通常不考虑双机备份或者仅提供双链路级别上行的备份。
汇聚层备份思路
通常选择具备关键模块冗余功能的设备。
通常考虑双机备份,上行通常提供双链路级别的备份,并且汇聚层设备之间考虑环行连接。
核心层备份思路
通常选择具备电信局可靠性的设备。
在拓扑上考虑核心层设备之间网状或部分网状连接。
2.对称性备份与非对称性备份
对称性备份
对称方案中主备两种方案所提供的带宽是相等的。备份设备或者备份链路同时也参与运营。需要考虑的是由于等值路由造成的报文路径不同,会导致的上层协议报文重组需要部分等待时间,从而造成效率下降的问题。解决的方案是尽量选择等值路由情况下逐流转发的设备而非逐包转发的设备。
非对称性备份
非对称方案中备份链路提供较小或相等的带宽,只有在主用链路故障时备份链路才会生效。
如果希望备份链路或备份设备也投入运行,可以通过策略路由或路由协议的规划使备份链路运行特定的部分业务流量。
3.针对主机的备份技术——VRRP
路由器之间的VRRP
两台路由器通过一台二层交换机交换VRRP报文信息,并向下提供虚拟IP及MAC地址。
主用的路由器同时监控上行接口,上行链路故障或设备故障时会自动切换。
三层交换机之间的VRRP
两台L3通过一条互联的trunk接口交换VRRP报文信息。
主用的L3同时监控上行接口,上行链路故障或设备故障时会自动切换。
主机通常具备双机热备份机制,同时上连两台L3。
4.针对网络设备的备份技术
链路层的备份
PPP协议中的MP可以自动做到捆绑的N条链路之间的自动备份,流量的自动分配,故障时的自动切换。
以太网的聚合技术——802.3ad,可以自动做到捆绑的N条链路之间的自动备份,流量的自动分配,故障时的自动切换。
IP层的备份
IP层的备份原理实际上是利用路由表添加路由的规则来实现的:对于到达相同目的地的路由,路由器只使用最优的一条。如果最优的路由消失,则依据相同的规则选择原来的次优路由。
静态路由之间使用优先级不同来控制优劣。
不同的动态路由协议之间使用优先级来控制优劣。
同一协议内部使用不同的花费值来控制优劣。
局域网内整机备份技术
XRN通过增加设备来扩展端口数量和交换能力,同时也通过多台设备之间的互相备份增强了设备的可靠性 ,可以提供基于三层的链路、转发、管理、路由备份。
六、设备板卡规划
设备的板卡布局也需要规划?当然!原则是:
不要把所有的鸡蛋放在同一个篮子里;如果有M个鸡蛋和N个篮子,尽量把M个鸡蛋平均放在N个篮子里。使得当失去一个篮子时损失的鸡蛋数量<=[M/N]向上取整。
当某台设备上同时存在高速及低速接口时,板卡布局时要充分考虑到设备的性能。
最佳方案
最差方案
七、局域网规划
1.IP地址规划的重要性
IP地址的合理规划是网络设计中的重要一环,大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准,直接看他的IP地址规划好了。
2.IP地址规划的基本原则
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。
连续性
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。
扩展性
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。
实意性
“望址生义”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式,以及一些参数及系数,通过计算得出每一个需要用到的IP地址。
3.IP地址的分类--loopback地址
loopback地址概述
为了方便管理,会为每一台路由器创建一个loopback 接口,并在该接口上单独指定一个IP 地址作为管理地址,管理员会使用该地址对路由器远程登录(telnet),该地址实际上起到了类似设备名称一类的功能。同时各种上层协议需要使用TCP或UDP来建立连接时也需要使用该地址作为源地址。
loopback地址规划技巧
务必使用32位掩码的地址。
最后一位是奇数的表示路由器,是偶数的表示交换机。
越是核心的设备,loopback地址越小。
5.IP地址的分类--互联地址
互联地址概述
互联地址是指两台网络设备相互连接的接口所需要的地址。
互联地址规划技巧
务必使用30位掩码的地址。
核心设备,使用较小的一个地址(即:loopback地址较小的设备使用互联地址中较小的一个)。
互联地址通常要聚合后发布,在规划时要充分考虑使用连续的可聚合地址。
6.IP地址的分类--业务地址
业务地址概述
业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址。
业务地址规划技巧
所有的网关地址统一使用相同的末位数字,如:.254都是表示网关。
7.IP地址的分类--广西电力调度网
网络情况概述
网络分为中调、地调、厂站三级。
全网使用MPLS/VPN技术,共划分4个VPN。
全网共分配2个B类地址:10.90.X.X——10.91.X.X。
每台中调和地调路由器下面有两台3层交换机。每台厂站路由器下面有两台二层交换机。
地址块的划分,有以下两种方案:
先纵向划分,再横向划分。即:
按照业务先将地址划分为公网、VPN1——VPN4共5大块。然后再按照地域在每一个地址块中为每一个地市划分一个地址块。
先横向划分,再纵向划分。即:
按照地域将地址划分为多块(每个地市一个地址块)。然后再按照业务将每个地市的地址块划分为:公网、VPN1——VPN4共5块。
公网地址划分
以核心设备(中调及地调)为标志划分N个地址块,每个地址块共占用1个C,内部划分为5块:
本设备的loopback地址,及与本设备相连的交换机的loopback地址。(1-11)
与本设备互联的交换机的互联地址。(12-55)
与本设备互联的下级设备的互联地址。(56-140)
对于地调,下级设备(厂站)的loopback地址。(141-180)
对于地调,下级设备(厂站)与交换机之间的互联地址。(180-212)
213-255,保留。
所有地调的划分完全相同,每块地址块的大小取所有的地调中需求最多的,并且充分考虑到扩展性。每个地调的所使用的地址段相隔4个C类地址(相隔4个是为了与后面VPN的地址规划相同)。并且该地调地址的第3个8位与该地调所属的OSPF区域也相同。
VPN地址的划分
将一个B类地址平均分为4块,VPNn的起始地址为:
10.91.An.X,其中An=(n-1)*64+1。下面以VPN1为例,其他3个VPN的地址在此基础上+(n-1)*64:
PE与CE之间的互联地址划分:
使用每个VPN范围内的最后一个C类地址,作为第三个8位。
VPN内业务地址划分:
每个VPN的业务网段划分/26掩码的地址;
每个地调的业务网段的第一个VPN的起始位(第三个8位)与该地调的公网地址的第三个8位相同。其他3个VPN第三个8位在第一个VPN的基础上+ (n-1)*64;
8.VLAN ID的规划原则
VLAN 1一般予以保留,不分配给业务VLAN使用。
VLAN ID的预分配应成段分配。
如果VLAN ID足够用,尽量分配1024以下的VLAN ID。
为每一个VLAN规划VLAN描述符。描述符的配置规范化。
9.VLAN的技术划分原则
基于端口的VLAN划分
基于协议的VLAN划分
基于IP子网的VLAN划分
基于MAC地址划分
基于组和策略划分
10.VLAN的管理划分原则
基于业务需求VLAN划分
基于地域管理VLAN划分
基于安全要求VLAN划分
11.VLAN规划的限制
VLAN总数不超过4096
解决方式:QinQ,Isolate-user-VLAN,No VLAN
每个VLAN的主机数建议不超过64个
解决方式:划分多个VLAN
VLAN划分越多,就会占用更多地IP地址
解决方式:Super-VLAN,VLAN per Port
八、设备命名规划
1.设备命名规范—sysname规划
为了保证以后的管理方便,通常需要为设备统一命名。
可以采用以下命名方法:AA-B-YYYY-X
AA:表示该设备所属的级别和名称,通常的规则是取汉字拼音的首字母缩写。
例如:NN- 南宁;也可以灵活运用大小写字母及增加后缀来表示不同级别的设备。ShaTB-沙田(B表示变电站);
B:表示设备的厂商名称,本次工程使用华为3Com公司产品,则:B为H3
YYYY:表示设备型号,如NE16E、S6503等。
X: 表示如果前三项相同的设备,用数字编号1、2标识。
例如:
地调北海第一台交换机3526E命名:BH-H3-S3526E-1
厂站冲口AR4640路由器命名为:ChongKB-H3-AR4640
2.设备命名规范—接口description规划
为了准期表明每个接口对端的连接保证以及带宽,需要为每一个使用的接
口配置description描述信息。
通常采用以下命名方法:to 对端设备名 带宽,其中对端设备名使用前一节讲到的sysname规划方法。
例子:description to ZD-H3-NE16E-2 8M
表示:该端口对端设备中心备用NE16E路由器,带宽为8M 。
3.设备命名规范—接口命名
除了设备固定的接口之外,我们常常会手工创建一些接口,例如:MP接口,以太网子接口,VLAN接口等。对这些接口后面分配的数字应该尽量包含实际的意义。
mp-group A/B/C, 接口的A表示槽位,B表示卡位,是固定的,C可以设置为能够包含对端设备信息的数字,例如对端设备loopback接口地址中明确区分自身信息的一位,或者是对端设备所属的OSPF区域号等等信息。
以太网子接口务必要将子接口数字与VLAN信息保持一致。
VLAN接口的数字要全局统一规划,例如:使用100、200表示VPN的 VLAN,使用1000表示网管的VLAN等。
九、路由协议规划
1.路由协议的规划——路由协议的选择
公欲善其事,必先利其器,不能让网络规划输在起跑线上!
RIP——最古老的路由协议,特点:性能低下,只适合在小型的网络中使用。(狗肉上不了大席)
IGRP——在RIP的基础上稍加改进,拥有RIP所有的缺点。 (改良的狗肉,还是上不了大席)
EIGRP——性能不错,但却是cisco的私有协议,互通性不好。而且容易引起法律纠纷。
(现在都是e世代了,拜托,能不能open一点?)
IS-IS——ISO与IETF帮派斗争的产物,本来是为OSI七层模型设计,后来强行移植到IP上。(驴唇不对马嘴)
OSPF——是因特网上使用最为广范的IGP,专家强力推荐。
(相信我,没错的)
BGP——是目前因特网上唯一的一种EGP协议。
(只此一家,别无分店)
静态路由设计原则
2.OSPF规划
router id的规划
直接使用该设备的管理地址(loopback)作为router id,并且要确保该数字与ldp的lsr id相同。
区域划分
区域划分是OSPF规划中最核心也是最复杂的部分。
OSPF的区域划分是与网络层次密切相关的,通常核心层与汇聚层规划为区域0,汇聚层的设备规划为ABR,汇聚层与接入层之间规划为非骨干区域,非骨干区域尽量规划为NSSA区域。
每个区域中的设备数量最好不要超过30台,这个数字不是绝对的,主要与设备性能,链路的稳定性密切相关。
非骨干区域的规划可以与网络中实际的行政,地域划分相吻合。
路由聚合规划
在ABR上通常需要对非骨干区域的路由聚合后发布到骨干区域。同理:骨干区域的路由也通常需要聚合后再发布到非骨干区域。
在ASBR上可以对所有本地引入的路由聚合后再发布。
聚合的地址范围是链路地址、业务地址,但通常不对loopback地址进行聚合。
3.OSPF规划——区域规划中的疑难杂症
如果OSPF的骨干区域中设备很多怎么办?
例如:某企业网的全国性项目中每个省提供两台设备做核心层,下面还有市、县级网络。这样area0中的设备数量会超过60台。
此时该网络的规模已经超过了OSPF所能承受的极限,建议每个省规划为一个OSPF自治系统,不同的省之间通过运行BGP协议交换路由信息。
如果OSPF的非骨干区域中设备很多怎么办?
例如:某银行的一个地市被规划为一个非骨干区域,但其中有70余台中低端设备。
建议将该地址划分为3-4个非骨干区域,但每个区域内的互联地址和业务地址最好能够对应一个连续的可聚合的地址段。
如果网络中的设备是4级结构怎么办?
例如:某省银行全省共划分为省行、市行、县行及营业网点4级结构。
由于OSPF协议只支持2层区域结构。省行与市行规划为骨干区域,每个市行连同下辖的所有县规划为一个非骨干区域。则县与营业网点之间可以运行静态路由。或者再运行另外一套路由协议,推荐使用OSPF多进程。
4.OSPF规划——COST及路由引入规划
OSPF的COST规划
为确保路由器选择最优路径,需要统一OSPF路由尺度(cost)的计算。通常的做法是:取网络中带宽的最大值为度量值1,其他类型的接口按与最大带宽的比例计算。例如:网络中最大带宽为GE。
接口类型 cost
GE 1
155M POS 7
100M FE 10
10M ETHERNET 100
N×E1 500/N
Loopback接口的COST值通常取1。
OSPF的路由引入规划
OSPF可以引入直连、静态以及其他路由协议的路由。
对于直连路由,如果条件允许,尽量使用network命令当作区域内路由发布,避免引入操作。
对于静态和其他路由协议,引入时可以统一COST及路由类型,例如:cost为1000,type为1。
如果引入BGP路由,需要考虑路由表的规模,也可以使用缺省路由来避免引入。
5.OSPF规划——NSSA区域
OSPF的NSSA区域是一种特殊的非骨干区域,由于具备一些特殊的属性
而在实际的网络网络规划中经常使用。
当一个非骨干区域中不希望接收大量的区域外路由时,可以将其配置为STUB属性,但由于STUB中苛刻的要求所有的设备都不能引入任何外部路由,导致其几乎无法使用。而NSSA无此限制,所以可以放心使用。
使用NSSA区域的另外一个优点:
对于Type5类的LSA,由于OSPF只能在ASBR处将路由聚合,发布之后就没有再次聚合的机会了。而NSSA在ABR处将Type7转成Type5时可以再一次进行聚合操作,实际上又多了一次宝贵的聚合机会。
使用NSSA区域的局限性:
由于协议规定,当一个NSSA区域中存在两个ABR时,只能由其中的一台(router id大的)进行type7到type5的转换操作。所以在实际使用中会受到一定的限制。
6.OSPF规划——路由的过滤
OSPF由于受到链路状态算法的限制,对于路由的过滤会受到很多的限制。
通常任何一台设备都没有权利更改或删除非自己生成的LSA。所以每台设备上配置的路由过滤只会影响到自身路由表的生成,而不会更改LSA。所以,如果要全网或者大部分路由器需要过滤某条路由,只能逐台配置过滤。
OSPF留下的一个backdoor
事实上并没有这么悲观,OSPF在区域边界处留下了一个后门。聚合的命令后面有一个notadvertise参数,如果需要过滤某条路由,可以将该条路由配置成聚合命令(并非真正聚合,网段与掩码完全相同即可),后面加上notadvertise参数即可做到过滤。对于type5类的路由,可以在NSSA的ABR处用同样的方法过滤。
以上的过滤方法只是针对区域间而言,在区域内无效,还只能使用逐台过滤的方法。
7.OSPF规划——双塔奇兵
OSPF如果某个区域存在两个ABR,并且在两个ABR上都对area n内的路由做了聚合操作。
loopback0应该属于area0还是area n?
如果骨干区域被分割有何后果?
如果非骨干区域n被分割有何后果?
图中的红线应该属于area0还是area n?
8.OSPF规划——犬牙交错
有时接入层的设备会以乱序的方式与汇聚层进行连接。OSPF的区域该如何划分?
如果所有的汇聚层和接入层都划为一台区域,则会太大。
如果选择两台汇聚层设备加上所有同时与他们相连的接入层设备划分为一个area则会导致区域太多,并且没有规律。并且对IP地址规划十分不利。
建议按照每台汇聚层设备与之相连的所有链路接口划分为一个区域。
OSPF路由协议典型规划
9.BGP规划
企业网中在什么情况下需要使用BGP协议?
网络过于庞大,OSPF难以胜任时;
网络中需要大量的使用路由策略或者是业务分流时。
网络需要使用MPLS/VPN技术时。
是否只有性能很好的核心设备才能够运行BGP?
BGP协议本身并不消耗很多资源,只有当运行BGP的设备需要学习到很多条路由,需要建立很多邻居关系时才会要求设备自身的性能很高。
只要规划得当,任何档次的设备(包括接入层设备)都可以运行BGP协议。
Router id的规划
BGP的router id与ospf的router id共用一个,与loopback接口地址相同。
AS number的规划
由于企业网中都是所有网络,所以BGP使用私有的AS number。
IBGP还是EBGP?
由于企业网的规模通常都不会很大,通常IBGP就可以满足一般的需求了。
10.BGP规划——路由反射器
由于在一个AS内部,要求所有的IBGP邻居必须全部建立邻居关系,会导致N平方问题,所以经常会遇到路由反射器的规划。
由于路由反射器支持嵌套,所以可以严格按照网络的层次来划分路由反射器。核心层是第一级的RR,汇聚层是核心层的client,同时也是接入层的RR。
互为备份关系的相同一级的RR可以规划为同一个cluster,配置相同的cluster id。
11.BGP规划——灵活使用MED以及LP属性控制业务分流
业务名称 | 业务网段 | 主用线路 | 备用线路1 | 备用线路2 |
(生产)人民币 | 192.10.10.0/24 | LineR | LineB | LineG |
(OA)办公 | 192.10.20.0/24 | LineG | LineB | / |
(OA)视频 | 192.10.30.0/24 | LineB | LineG | / |
已知某银行在市行与省行之间共有3条线路,并且希望不同的业务使用不同的链路,并且需要相互备份。
通过建立三个EBGP邻居,在3条链路上发送不同的路由,并携带不同的优先级。
发送路由时使用MED属性,接收路由时使用LocalPreference 属性。
由于人民币业务独享RED线路,所以在RED邻居发送和接收路由时只包含人民币业务。
线路名称 | 发送的业务网段(MED) | 接收的业务网段(LocalPreference) |
RED | 人民币(5) | 人民币(15) |
BLUE | 人民币(10)办公(10)视频(5) | 人民币(10)办公(5)视频(10) |
GREEN | 人民币(15)办公(5)视频(10) | 人民币(5)办公(10)视频(5) |
12.BGP规划——灵活使用团体属性&与IGP协同操作
已知某大型石油集团公司新成立股份公司,全国共划分5个大区,每个大区下辖多个地区公司,全国共计80余个地区公司。每个地区公司都有一个较大的局域网。全网共计2000余台3层设备。该股份公司还需要同集团公司之间进行通讯,需要在多条链路上实现针对不同流量的负载分担。
每个地区公司及大区公司自己内部的局域网都独立运行OSPF协议;
所有的地区及大区公司的出口路由器组成骨干网,运行OSPF(多进程)+IBGP;
骨干网的OSPF只负责所有骨干设备的链路地址以及loopback地址的学习;
所有的业务地址由BGP负责发布,使用netwrok命令+下一跳指向null0接口的静态路由进行聚合后的发布。
在发布路由时,为每个地区公司以及大区配置不同的团体属性值,在EBGP出口时根据团体属性控制带宽及报文的流向。
方便日后向MPLS/VPN平滑过渡
十、MPLS/VPN规划
1.MPLS/VPN规划-PE、P和CE的选择
哪些设备应该规划为PE?
如果一个网络需要运行MPLS/VPN,那么所有的路由器,以及部分核心交换机(如果该交换机提供与广域网连接的接口)。
PE要承担什么任务?
划分VRF,启动OSPF,MBGP,MPLS,LDP协议。
哪些设备应该规划为CE?
所有的2层交换机,绝大部分的3层交换机(如果该交换机与广域网相连需要通过路由器)
CE要承担什么任务?
搜集到所有的本地SITE内的路由,发给PE;从PE处接收本VPN的路由。
哪些设备应该规划为P?
在企业网中,通常不会存在某台设备只提供广域网的连接而不提供局域网的接入。所以P设备同时肯定也是PE设备,无需特殊规划。
2.MPLS/VPN规划-VPN的划分
如何划分不同的VPN?
VPN的形成主要靠规划RT来实现,划分VPN的过程就是规划RT的过程。
考察用户的需求,一共可以划分为几种不同的业务?这些业务之间是否基本上不需要互访?按照以上的需求初步划分不同的VPN,为每个VPN配置不同的RT。
如果在此基础上用户还有其他复杂需求:横向本地互通,或者不规则互通需求,可以在此基础上增加RT规则。
3.MPLS/VPN规划--RT的灵活应用
4.MPLS/VPN规划-CE的规划
最理想的模式:
同一台PE下的N个VPN共配置N台CE。
最糟糕的模式:
同一台PE下的N个VPN共配置M台CE,M<N,根据“抽屉原理”,至少有一台CE上存在两个以上的VPN。
存在的问题
不同的VPN在本地CE上会互访。
CE到PE的路由发布存在问题,无法使用缺省路由及动态路由(OSPF多进程除外)。
解决方案:
将CE配置成2层交换机使用。通过配置VLAN隔离不同VPN。
优点:完美解决VPN隔离及路由问题。
缺点:当CE侧主机过多时,局域网内的广播风暴将直接冲击路由器,使得路由器缺少了一个屏障,直接暴露在局域网内。
适用范围:局域网内主机较少的分支节点。
选择支持MultiVRF的交换机做CE。通过在交换机配置不同的VPF对应不同的VPN。
优点:完美解决VPN隔离以及路由问题。
缺点:支持此类特性的设备较少且价格昂贵。
适用范围:VPN越多优势越明显。
在CE配置ACL隔离本地VPN间的互访;为不同的VPN配置精确路由指向相应的PE接口(基于地址不冲突且IP地址规划整齐,也是VPN的IP地址规划要按照VPN划分的原因)。或者使用策略路由。
优点:没什么优点。
缺点:属于打补丁的解决方案,安全性差(ACL)且配置繁琐。
适用范围:VPN少且不适合使用二层的情况。
5.MPLS/VPN规划-双PE双CE备份规划
6.MPLS/VPN规划-MPLS及LDP以及RD的规划
MPLS规划
全局使能MPLS。
在所有的公网接口上使能MPLS。
指定设备的lsr-id,与本设备的router id相同。
LDP规划
全局使能LDP。
在所有的公网接口上使能LDP。
如果网络情况复杂,选择用接口直连地址建立LDP邻居的方式。否则可以使用缺省的loopback接口建立邻居的方式。
RD规划
相同的VPN要配置相同的RD。
通常RD配置为与RT相同,如果存在多个RT,选择一个最常用的。
7.MPLS/VPN规划-MBGP的规划(公网部分)
MBGP的规划分为公网部分和私网部分,由于公网的路由全部由IGP来计算,所以MBGP并不负责搜集公网路由信息。但由于MBGP的私网路由信息需要靠公网邻居来传播,公网部分的规划只需要建立好BGP的邻居关系即可。
规划AS号
鉴于属于私有网络,而且通常整个网络都属于一个AS,所以只需规划一个AS号,建议使用65000以上的数字。
规划IBGP的邻居部署
由于整个网络中所有的路由设备都是PE,所以都需要运行IBGP。由于一个AS中所有的PE都需要建立邻居关系,会导致N平方问题,所有需要规划路由反射器。
8.MPLS/VPN规划-MBGP的规划(私网部分)
MBGP的规划分为公网部分和私网部分,由于MBGP需要发布私网VPN的路由信息及私网标签,所以所有的BGP的具体应用以及策略的规划都使用私网规划部分
VPNv4规划
激活所有的在公网下配置的BGP邻居,使其具备携带私网路由及标签的能力。配置反射器以及HOPE等部署。配置具体的路由策略。
VPN-instance (VRF)规划
主要是与CE的路由互操作。通常需要引入静态、直连或者是PE与CE之间运行的IGP的路由。
9.MPLS/VPN规划-PE与CE之间路由协议的规划
PE与CE之间可以选择如下路由协议:静态路由、多实例RIP,多实例OSPF,EBGP协议。
如果CE只是2层设备,网关配置在PE路由器上,则无需使用路由协议。
如果CE是性能较差的3层交换机,且本VPN内的路由较少或者可以使用缺省路由,则推荐使用静态路由。
如果本VPN内路由较多,配置静态路由会很麻烦,此时可以使用多时例的OSPF。CE与PE之间通常规划成area0。
如果CE与PE之间交换路由时希望提供更多的策略选择及路由控制手段,则可以使用EBGP协议。
鉴于RIP的拙劣性能,不推荐使用多实例RIP。
10.MPLS/VPN规划-分层PE
由于MPLS/VPN在原理设计的过程中没有与网络的实际模型对应起来——所有的PE的地位都是相同的,都需要建立相同的IBGP邻居数目并且保存相同的路由表,而不论你是核心层还是汇聚层甚至接入层。这一点在企业网中表现尤甚——没有P设备,全网都是PE设备。通常会导致在接入层设备上无法部署MPLS/VPN。
使用华为公司专有技术——HoPE即可完美解决。核心层和汇聚层规划为SPE(如果汇聚层的能力也不济,可以规划为MPE,即汇聚层作为核心层的UPE,但作为接入层的SPE),接入层规划为UPE。由于SPE天然是UPE的RR,所以UPE只需与SPE建立IBGP邻居关系即可。而且SPE会为每个VRF发送一条缺省路由代替精确路由。
使用分层PE需要注意的是:当VPN的互访关系十分复杂时,普通情况下靠复杂的RT规则来控制路由表的生成。但此时由于UPE上只有缺省路由,所以只能靠SPE来进行访问控制。这样会带来很多不便。
11.MPLS/VPN规划-与internet互联
通过PE还是CE上internet?
两种方式都可以。
通过集中式上internet还是分布式上internet?
两者方式都可以。
PE分布式上internet
每台PE都与internet直接相连,在PE的VRF中配置指向global地址的缺省路由。
在PE上配置静态路由(目的网段为NAT转换后的公网),下一跳指向VRF的接口。
在PE的VRF中做NAT转换。
PE集中式上internet
在每台PE上的VRF中配置指向global地址的缺省路由。
在PE上配置静态路由(目的网段为私网地址),下一跳指向VRF的接口。
所有的访问internet的流量通过缺省路由发给连接internet的那台PE,由它统一做NAT转换。
由于所有的私网路由泄漏到所有的PE上,会导致不同的VPN通过PE互访,需要在每台PE上配置ACL,丢弃源地址和目的地址都是私网的流量。
12.MPLS/VPN规划-与internet互联
CE分布式上internet
每个VRF中选择一台CE连接internet,并且做NAT转换。
由该CE发布一条缺省路由给本VPN内的所有CE。
CE集中式上internet
选择一台健壮的CE连接internet,并且做地址转换。
将该CE所属的VRF配置成与所有VRF都可以互通的超级VPN(How can do that?)
由该CE发布一条缺省路由给全网的所有VPN的所有CE。
由于有超级VPN以及缺省路由的存在,会导致不同的VPN通过超级VPN互访,需要在该PE连接超级VPN的VRF上配置 ACL,丢弃源地址和目的地址都是私网的流量。
选择哪种方式?
PE分布式是运营商常用的(因为运营商的每台PE都直接与internet相连),企业网不会使用。
PE集中式太繁琐(每台PE上都要配置ACL),且不支持VPN地址重叠。
CE分布式无需ACL,且支持VPN地址重叠。
CE集中式只需配置一条ACL,但不支持VPN地址重叠。
希望节省资源,选择CE集中式;希望支持VPN地址重叠,选择CE分布式。
十一、网络安全规划
网络安全规划的基本原则
网络安全是一个复杂的体系结构,涉及到几乎全网中的任何设备以及任何层次。
网络安全只是一个相对的概念,无论你付出多大的代价,都不存在绝对安全的网络。
部署网络安全通常会带来副作用,例如:占用带宽,降低设备的处理能力,给使用和管理网络带来诸多不便之处。所以要在网络的安全和性能之间找到恰当的平衡点。
1.在接入层通过VLAN进行安全隔离
普通二层以太网网络中采用VLAN进行隔离。
小区以太网接入应用中在接入层交换机上配置Isolate-user-VLAN,禁止接入用户之间互访。
建议在接入交换机接入端口配置广播抑制门限
2.在交换机上启用以下安全策略
3.严格的访问控制
在汇聚交换机与核心交换机上配置访问控制列表,限制不同部门之间的互访。
在汇聚路由器和核心交换机上配置访问控制列表,封掉常见的病毒传播端口
所有的网络设备必须配置super密码,telnet的口令及密码,并定期修改。telnet需要在VTY中设置访问列表,对无访问需求的源地址进行过滤。例如:
在连接内外网的防火墙上禁止来自外网的telnet访问。
4.认证授权(WLAN接入)
在WLAN中,当无法从物理上控制访问者的来源时,务必要使用相应的鉴权及认证手段进行识别服务:
-在AP上禁止ESSID广播
-MAC过滤
-对接入用户进行802.1x身份认证
-使用加密无线信道
5.认证授权(移动办公用户)
通过RADIUS实现AAA认证,可以对各种接入用户统一集中进行认证和授权
采用TACACS协议代替RADIUS
-实现对验证报文主体全部进行加密
-支持对路由器上的配置实现分级授权使用
6.利用防火墙进行安全分区
非军事区:DMZ – de-militarized zone, 用以隔离内部和外部网络
内部网络只允许内部用户访问,DMZ区提供有条件的对外服务
外部过滤器只允许外部流量进入,内部过滤器只允许内部流量进入
DMZ从不启动与内部网络的连接
当DMZ中的主机受到威胁时
-内部流量也不会受到监听、内部过滤器仍然受到保护
7.利用入侵防御进行应用层安全防护
现在的很多安全威胁都是综合网络蠕虫、木马、病毒等技术的复合威胁,只有将攻击特征和病毒特征结合在一起进行检测,才能全面防御这类安全威胁。
攻击者在利用漏洞的攻击之后,往往马上伴随着木马、病毒等恶意代码样本的下载,只有将攻击特征和病毒特征结合在一起,才能做到层层防御,确保安全。
因为攻击是有特定的协议上下文的,将应用层协议特征分析与攻击特征、病毒特征分析结合起来,可确保检测精度。
十二、网络管理规划
网管规划基本原则
哪些设备需要管理
如果网络规模不大,可以管理全网所有的三层设备(包括部分支持三层访问功能的二层交换机)。
如果网络规模很大,可以只选择比较重要的设备,但通常应该包含所有的路由器。
网管设备如何与网络设备连接
通常网管工作站直接与网络中最核心的设备相连,直接连接到该设备的以太网口或通过交换机与之相连。
使用带内网管还是带外网管
带内网管——网管的相关报文流量与网络中的数据流量等同对待。优点是充分利用网络中的设备和带宽。缺点是设备或链路故障会导致网管中断。通常都使用带内网管。
带外网管——即:为了网管流量而单独建立一套数据通道。优点是确保网管数据的绝对安全可靠和优先级,缺点是代价过于昂贵。几乎不会使用带外网管。
网管设备的IP地址规划
取出特定的一个网段,专门为网管工作站使用。
该地址尽量固定,不要随意更改。
RMON的使用
是一种在网络设备侧的探针技术,根据事先定义好的数据组类型采集设备的告警、性能等信息,以MIB的形式储存在设备上,等待网管设备使用SNMP协议读取。
本来是一种很好的思想和理念,但由于目前支持RMON技术的硬件芯片很少,所有的报文都需要送交CPU处理,会严重影响设备的性能。所以,不推荐使用。
选择SNMP的版本
V1:SNMP的最早期版本,实现最基本的功能。
V2c:增加了几种64位的数据类型以及RMON2的扩充。
V3:在安全性方面做了较多的改进,对网管报文使用了MD5等一些加密算法,并且可以定义不同的用户视图,限制不同级别的用户可以访问的不同的MIB。
V3比较繁琐,推荐使用V1或V2c
网管规划——设备侧的规划
Trap的规划
Trap的使能。
Trap需要发送给的主机IP地址(即网管工作站的IP地址)
Trap发送时的源地址(该设备的loopback地址)
SNMP的规划
SNMP的使能
明确本网络需要使用的SNMP的版本。只配置本网络规划需要使用的版本,尽量不要配置为version all。
v1、v2c配置团体字、v3配置用户、组、访问视图。团体字的命名需要遵循以下原则:不要简单的使用public和private,但也无需将其配置的与密码一样复杂;尽量具备一定的实际含义即可。
网管规划——网管侧的规划
设备已经增加在拓扑图上。注意拓扑上设备的管理IP必须和设备上配置的trap源地址一致
故障的声光控制
故障的维护经验
故障的过滤
告警/事件的查询(实时、当前、历史)
建立查询模板
告警的统计
“人最宝贵的是生命,生命只有一次,人的一生应该这样度过:当回忆往事的时候,他不会因为虚度年华而悔恨,也不会因为碌碌无为而羞愧;在临去世的时候,他能够说:我的整个生命和全部精力,都已经献给了全世界最壮丽的事业——为全人类的网络规划而奋斗!”
本文分享自微信公众号 - 释然IT杂谈
