企業(yè)網(wǎng)網(wǎng)絡規(guī)劃

1、網(wǎng)絡規(guī)劃其實很難......,一個合格的網(wǎng)絡設計師需要具備如下條件：精通TCP/IP協(xié)議族中數(shù)十個協(xié)議的原理......精通N家廠商的N百種設備的性能和配置......還要具備統(tǒng)籌學、經(jīng)濟學、哲學的基本思想......豐富的實踐經(jīng)驗和組織協(xié)調(diào)能力......對網(wǎng)絡中的新技術保持高度的敏感性......膽大心細、臨危不亂的良好心里素質(zhì)..................,網(wǎng)絡規(guī)劃其實很簡單......,瞎說！根本沒那么恐

2、怖：常用的協(xié)議不超過10個，了解大概就行......主流廠商只有幾家，相同廠家的產(chǎn)品配置相同......很多網(wǎng)絡的模型都十分相似，照貓畫虎即可......不就是畫幾個框框、圈幾個圈圈、連幾根線么............,網(wǎng)絡規(guī)劃其實很崇高......,當你進行網(wǎng)絡規(guī)劃時，你與畫“向日葵”的凡.高……譜寫“命運交響曲”的貝多芬……唱“我的太陽”的帕瓦羅帝……設計“鳥巢”的安德魯……沒什么區(qū)別，因為你們都是——,藝術

3、工作者！！,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)劃ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,賀歲大片——《網(wǎng)絡帝國》,,路由器（男主角）網(wǎng)絡中最重要的設備，提供最豐富的接口連接、軟件特性，也是構建網(wǎng)絡的核心力量。以太網(wǎng)設備（L2/L3/LAN接入）（女主角）提供各種以太網(wǎng)接口類型的線速轉(zhuǎn)發(fā)功能，是構建局域網(wǎng)和城域網(wǎng)的

4、核心力量。路由交換設備（反串）提供LAN交換板的路由器；提供增強型引擎的交換機——路由器和交換機的融合趨勢越來越明顯。其他設備（配角）網(wǎng)管、安全、語音、視訊設備，提供網(wǎng)絡的管理或業(yè)務增值功能。二層或物理層交換設備（劇務）ATM交換機、FR、X.25交換機、DDN節(jié)點機、傳輸設備。對各種物理端口進行帶寬或時隙的拆分。對于網(wǎng)絡規(guī)劃通常是不可見的。,網(wǎng)絡中的設備,,基于CPU的設備此類設備功能最強，由于所有的功能都由軟件實現(xiàn)，幾

5、乎無所不能。但轉(zhuǎn)發(fā)性能方面差強人意。基于ASIC的設備由固化的硬件芯片實現(xiàn)全線速的轉(zhuǎn)發(fā)，但靈活性和升級能力很差。通常只能實現(xiàn)基本的路由及轉(zhuǎn)發(fā)功能，但對一些特殊的業(yè)務能力（VPN，NAT，策略路由）支持很弱?；贜P的設備由微碼級的可編程網(wǎng)絡處理器實現(xiàn)全線速的轉(zhuǎn)發(fā)。靈活性和升級能力遠遠優(yōu)于ASIC，但較基于CPU的設備還有一定的差距。,網(wǎng)絡的層次劃分,,核心層交換數(shù)據(jù)包，實現(xiàn)高速的數(shù)據(jù)流量運轉(zhuǎn)，核心層的設備不但需要容量大，轉(zhuǎn)發(fā)快

6、，而且需要具備高穩(wěn)定性。但通常對業(yè)務的需求高。匯聚層隔離拓樸結(jié)構變化、控制路由表的大小及控制流量、端口的收斂。實現(xiàn)豐富的業(yè)務特性。 接入層將終端用戶接入到網(wǎng)絡中，大量的端口，強大的接入能力。實現(xiàn)豐富的業(yè)務特性。幾點說明在小型的網(wǎng)絡中，層次不一定這么明顯，很可能只有兩個甚至一個層次的設備。在一些大型網(wǎng)絡中，層次可能劃分的更細：例如，增加了邊緣接入層、和骨干核心層。在某個范圍之內(nèi)的核心層，在上一級網(wǎng)絡中很可能只是匯聚層。,網(wǎng)

7、絡規(guī)劃基本原則,,可靠性原則從設備本身（電信級可靠性）和網(wǎng)絡拓撲（無單點故障）兩方面考慮?？蓴U展性原則從設備性能（是否已達到滿配），可升級的能力（是否可以通過平滑的軟硬件升級支持未來的新業(yè)務和新特性）和IP地址、路由協(xié)議規(guī)劃等方面考慮?？蛇\營性原則僅僅提供IP級別的連通是遠遠不夠的。網(wǎng)絡是否能夠提供豐富的業(yè)務，足夠健壯的安全級別，對關鍵業(yè)務的QOS保證……搭建網(wǎng)絡的目的是真正能夠給用戶帶來效益?？晒芾碓瓌t提供靈活的網(wǎng)絡管理

8、平臺，利用一個平臺實現(xiàn)對系統(tǒng)中的各種類型設備進行統(tǒng)一管理；提供網(wǎng)管對設備進行拓撲管理、配置備份、軟件升級、實時監(jiān)控網(wǎng)絡中的流量及異常情況。,網(wǎng)絡規(guī)劃流程圖,,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)劃ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,設備選型需要參考的因素,,可靠性該設備是否提供關鍵模塊（電源、主控板）的冗余備份，具

9、備何種級別的可靠性轉(zhuǎn)發(fā)性能通常做如下考慮：通過某設備的流量<（該設備滿配最大流量）/2。業(yè)務支持能力除了普通的IP路由功能外，是否需要該設備支持諸如（NAT、各種VPN、策略路由）等業(yè)務屬性。（CPU、ASIC、NP）端口支持是否能夠提供組網(wǎng)所需要的端口。擴展能力是否能夠提供增加板卡以及軟件升級提供未來可能需要的性能支持及業(yè)務能力支持。（CPU、ASIC、NP）價格因素在綜合考慮以上因素的基礎上選擇適當?shù)脑O備。

10、只選對的，不選貴的。,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)劃ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,網(wǎng)絡中常用的端口類型,,高速端口（100M以上）POS（155M、622M、2.5G）ATM（155M、622M）快速以太網(wǎng)（100MFE、GE、10GE）中速端口（10M——100M）E3（34.368M）

11、T3（44.736M）以太網(wǎng)（10M）低速端口（10M以下）PSTN異步撥號（56K）ISDN異步撥號（64K）V24同步SA（64K）V35同步SA（2M）T1（1.54M）E1（2M）ADSL（2M－8M）,網(wǎng)絡中常用的端口拆分及聚合,,高速端口的拆分ATM接口通過ATM交換機拆分，可以連接任意帶寬的ATM接口CPOS接口通過傳輸設備拆分，可以連接不同帶寬的E1接口高速以太網(wǎng)通過MSTP傳輸設備拆分，可以連

12、接任意帶寬的以太網(wǎng)接口。E1接口通過DDN節(jié)點機設備拆分，可以連接不同帶寬的同步串口優(yōu)點是上層設備只需提供M個端口就可以連接N個下層設備（M<<N）。低速端口的聚合N個相同帶寬為M的以太網(wǎng)接口可以聚合成一個N X M帶寬的接口。N個相同帶寬為M的串口或E1接口可以聚合成一個N X M帶寬的接口。優(yōu)點是可以用低速的端口提供高速的帶寬。聚合后的N個物理接口從邏輯上表現(xiàn)為一個接口，只使用一個IP地址。聚合接口本身的聚

13、合及備份由鏈路層協(xié)議解決。,網(wǎng)絡中常用的端口互聯(lián)方式,,對等型互聯(lián)互聯(lián)的兩臺設備之間接口類型及帶寬完全相同。例如：E1—E1；100MFE—100MFE；常用于同一層次之間的設備互聯(lián)。非對等型同質(zhì)接口互聯(lián)互聯(lián)的兩臺設備之間的接口類型相同，但帶寬不同。例如：ATM—（ATM交換機）—n×ATM。例如：1GE—（MSTP傳輸設備）—n×FE。常用于上層設備的1個端口與N個下層設備之間互聯(lián)。優(yōu)點是上層設備只

14、需提供M個端口就可以連接N個下層設備（M<<N）。非對等型異質(zhì)接口互聯(lián)互聯(lián)的兩臺設備之間的接口類型不相同，而且?guī)捯膊煌?。例如：CPOS—（傳輸設備）—n×E1。例如：E1—（DDN節(jié)點機）—n×64K。常用于上層設備的1個端口與N個下層設備之間互聯(lián)。優(yōu)點是上層設備只需提供M個端口就可以連接N個下層設備（M<<N）。,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)

15、劃ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,,網(wǎng)絡中常用的拓撲結(jié)構,,星形或雙星形常見于下層網(wǎng)絡與上層之間的拓撲結(jié)構，主要的網(wǎng)絡流量都在分支節(jié)點與核心節(jié)點之間發(fā)生，兩個分支節(jié)點之間不通訊或流量很少。,,,,,,,,,網(wǎng)絡中常用的拓撲結(jié)構,,網(wǎng)狀或部分網(wǎng)狀常見于同一層次（核心層或匯聚層）之間的設備互聯(lián)，這些設備之間通常都是對等通信，或者這些設備之間需

16、要確保互聯(lián)而增加很多的冗余鏈路。,,,,,,,,,,,,網(wǎng)絡中常用的拓撲結(jié)構,,混合組網(wǎng)在同一個網(wǎng)絡中，不同的層次之間通常采用不同的拓撲結(jié)構，通常核心層或匯聚層采用網(wǎng)狀或部分網(wǎng)狀相連，核心層與匯聚層或匯聚層與接入層之間采用星形或雙星形相連。,,,,,,,,,,,,,,,,,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)劃ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡

17、安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,網(wǎng)絡中常用的備份原則,,基本的備份原則備份花費的代價<=設備故障帶來的損失；通常只考慮N＋1備份，即：關鍵的設備、鏈路、模塊中任何一個出現(xiàn)故障，不會影響整網(wǎng)運行。備份通常從拓撲、設備自身、協(xié)議等幾方面考慮。備份不僅僅要從邏輯的角度考慮，更需要從物理的角度考慮問題。接入層備份思路通常選擇不具備關鍵模塊冗余功能的設備。通常不考慮雙機備份或者僅提供雙鏈路級別上行的備份。匯聚層備份思路通常

18、選擇具備關鍵模塊冗余功能的設備。通常考慮雙機備份，上行通常提供雙鏈路級別的備份，并且匯聚層設備之間考慮環(huán)行連接。核心層備份思路通常選擇具備電信局可靠性的設備。在拓撲上考慮核心層設備之間網(wǎng)狀或部分網(wǎng)狀連接。,對稱性備份與非對稱性備份,,對稱性備份對稱方案中主備兩種方案所提供的帶寬是相等的。備份設備或者備份鏈路同時也參與運營。需要考慮的是由于等值路由造成的報文路徑不同，會導致的上層協(xié)議報文重組需要部分等待時間，從而造成效率下降的問

19、題。解決的方案是盡量選擇等值路由情況下逐流轉(zhuǎn)發(fā)的設備而非逐包轉(zhuǎn)發(fā)的設備。非對稱性備份非對稱方案中備份鏈路提供較小或相等的帶寬，只有在主用鏈路故障時備份鏈路才會生效。如果希望備份鏈路或備份設備也投入運行，可以通過策略路由或路由協(xié)議的規(guī)劃使備份鏈路運行特定的部分業(yè)務流量。,,,,,,針對主機的備份技術——VRRP,,路由器之間的VRRP兩臺路由器通過一臺二層交換機交換VRRP報文信息，并向下提供虛擬IP及MAC地址。主用的路由器同

20、時監(jiān)控上行接口，上行鏈路故障或設備故障時會自動切換。,,,,,,虛擬地址:10.0.0.1虛擬MAC:00e0fc010203,接口10.0.0.2,接口10.0.0.3,,,監(jiān)控上行端口,,,虛擬地址:10.0.0.1虛擬MAC:00e0fc010203,接口10.0.0.2,接口10.0.0.3,,,監(jiān)控上行端口,三層交換機之間的VRRP兩臺L3通過一條互聯(lián)的trunk接口交換VRRP報文信息。主用的L3同時監(jiān)控上行接口，上

21、行鏈路故障或設備故障時會自動切換。主機通常具備雙機熱備份機制，同時上連兩臺L3。,針對網(wǎng)絡設備的備份技術,,鏈路層的備份PPP協(xié)議中的MP可以自動做到捆綁的N條鏈路之間的自動備份，流量的自動分配，故障時的自動切換。以太網(wǎng)的聚合技術——802.3ad，可以自動做到捆綁的N條鏈路之間的自動備份，流量的自動分配，故障時的自動切換。IP層的備份IP層的備份原理實際上是利用路由表添加路由的規(guī)則來實現(xiàn)的：對于到達相同目的地的路由，路由器只

22、使用最優(yōu)的一條。如果最優(yōu)的路由消失，則依據(jù)相同的規(guī)則選擇原來的次優(yōu)路由。靜態(tài)路由之間使用優(yōu)先級不同來控制優(yōu)劣。不同的動態(tài)路由協(xié)議之間使用優(yōu)先級來控制優(yōu)劣。同一協(xié)議內(nèi)部使用不同的花費值來控制優(yōu)劣。局域網(wǎng)內(nèi)整機備份技術XRN通過增加設備來擴展端口數(shù)量和交換能力，同時也通過多臺設備之間的互相備份增強了設備的可靠性 ，可以提供基于三層的鏈路、轉(zhuǎn)發(fā)、管理、路由備份。,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)劃

23、ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,設備板卡規(guī)劃,設備的板卡布局也需要規(guī)劃？當然！原則是：不要把所有的雞蛋放在同一個籃子里；如果有M個雞蛋和N個籃子，盡量把M個雞蛋平均放在N個籃子里。使得當失去一個籃子時損失的雞蛋數(shù)量<=[M/N]向上取整。當某臺設備上同時存在高速及低速接口時，板卡布局時要充分考慮到設備的性能。,,,MPLS骨干網(wǎng),,,

24、155MPOS,,,,,,2XE1,已知：某NE16E配置了兩塊POS卡；兩塊8E1卡；兩塊VIU板；它的實際連接情況如圖所示。請畫出它的最佳面板布局圖。,設備板卡規(guī)劃,最佳方案,最差方案,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)劃ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,IP地址規(guī)劃的重要性,,IP地址的合理規(guī)劃是網(wǎng)絡設計中

25、的重要一環(huán)，大型網(wǎng)絡必須對IP地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡路由協(xié)議算法的效率，影響到網(wǎng)絡的性能，影響到網(wǎng)絡的擴展，影響到網(wǎng)絡的管理，也必將直接影響到網(wǎng)絡應用的進一步發(fā)展。如果要看一個網(wǎng)絡的規(guī)劃質(zhì)量、如果要看一個網(wǎng)絡設計師的技術水準，直接看他的IP地址規(guī)劃好了。,IP地址規(guī)劃是一項藝術創(chuàng)造！,IP地址規(guī)劃的基本原則,,唯一性：一個IP網(wǎng)絡中不能有兩個主機采用相同的IP地址。即使使用了支持地址重疊的MPLS

26、/VPN技術，也盡量不要規(guī)劃為相同的地址。連續(xù)性連續(xù)地址在層次結(jié)構網(wǎng)絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率。擴展性地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性。實意性“望址生義”，好的IP地址規(guī)劃使每個地址具有實際含義，看到一個地址就可以大至判斷出該地址所屬的設備。這是IP地址規(guī)劃中最具技巧型和藝術性的部分。最完美的方式是得出一個IP地址公式，以及一些參數(shù)及系數(shù)，通過計算得出

27、每一個需要用到的IP地址。,IP地址的分類－－loopback地址,,loopback地址概述為了方便管理，會為每一臺路由器創(chuàng)建一個loopback 接口，并在該接口上單獨指定一個IP 地址作為管理地址，管理員會使用該地址對路由器遠程登錄（telnet），該地址實際上起到了類似設備名稱一類的功能。同時各種上層協(xié)議需要使用TCP或UDP來建立連接時也需要使用該地址作為源地址。loopback地址規(guī)劃技巧務必使用32位掩碼的地址。

28、最后一位是奇數(shù)的表示路由器，是偶數(shù)的表示交換機。越是核心的設備，loopback地址越小。,為什么核心設備要使用較小的loopback地址 ?,IP地址的分類－－互聯(lián)地址,,互聯(lián)地址概述互聯(lián)地址是指兩臺網(wǎng)絡設備相互連接的接口所需要的地址?；ヂ?lián)地址規(guī)劃技巧務必使用30位掩碼的地址。核心設備，使用較小的一個地址（即：loopback地址較小的設備使用互聯(lián)地址中較小的一個）。互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時要充分考慮使用連續(xù)的

29、可聚合地址。,IP地址的分類－－業(yè)務地址,,業(yè)務地址概述業(yè)務地址是連接在以太網(wǎng)上的各種服務器、主機所使用的地址以及網(wǎng)關的地址。業(yè)務地址規(guī)劃技巧所有的網(wǎng)關地址統(tǒng)一使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關。,IP地址的分類－－廣西電力調(diào)度網(wǎng),,IP地址的分類－－廣西電力調(diào)度網(wǎng),,網(wǎng)絡情況概述網(wǎng)絡分為中調(diào)、地調(diào)、廠站三級。全網(wǎng)使用MPLS/VPN技術，共劃分4個VPN。全網(wǎng)共分配2個B類地址：10.90.X.X——10.91

30、.X.X。每臺中調(diào)和地調(diào)路由器下面有兩臺3層交換機。每臺廠站路由器下面有兩臺二層交換機。,IP地址的分類－－廣西電力調(diào)度網(wǎng),,地址塊的劃分，有以下兩種方案：先縱向劃分，再橫向劃分。即：按照業(yè)務先將地址劃分為公網(wǎng)、VPN1——VPN4共5大塊。然后再按照地域在每一個地址塊中為每一個地市劃分一個地址塊。先橫向劃分，再縱向劃分。即：按照地域?qū)⒌刂穭澐譃槎鄩K（每個地市一個地址塊）。然后再按照業(yè)務將每個地市的地址塊劃分為：公網(wǎng)、V

31、PN1——VPN4共5塊。,哪一種方案更合理，為什么？,IP地址的分類－－廣西電力調(diào)度網(wǎng),,公網(wǎng)地址劃分以核心設備（中調(diào)及地調(diào)）為標志劃分N個地址塊，每個地址塊共占用1個C，內(nèi)部劃分為5塊：本設備的loopback地址，及與本設備相連的交換機的loopback地址。（1－11）與本設備互聯(lián)的交換機的互聯(lián)地址。（12－55）與本設備互聯(lián)的下級設備的互聯(lián)地址。（56－140）對于地調(diào)，下級設備（廠站）的loopback地址。（14

32、1－180）對于地調(diào)，下級設備（廠站）與交換機之間的互聯(lián)地址。（180－212）213－255，保留。所有地調(diào)的劃分完全相同，每塊地址塊的大小取所有的地調(diào)中需求最多的，并且充分考慮到擴展性。每個地調(diào)的所使用的地址段相隔4個C類地址（相隔4個是為了與后面VPN的地址規(guī)劃相同）。并且該地調(diào)地址的第3個8位與該地調(diào)所屬的OSPF區(qū)域也相同。,,IP地址的分類－－廣西電力調(diào)度網(wǎng),,VPN地址的劃分將一個B類地址平均分為4塊，VPNn的起

33、始地址為：10.91.An.X，其中An＝（n-1）*64+1。下面以VPN1為例，其他3個VPN的地址在此基礎上＋（n-1）*64：PE與CE之間的互聯(lián)地址劃分：使用每個VPN范圍內(nèi)的最后一個C類地址，作為第三個8位。VPN內(nèi)業(yè)務地址劃分：每個VPN的業(yè)務網(wǎng)段劃分/26掩碼的地址；每個地調(diào)的業(yè)務網(wǎng)段的第一個VPN的起始位（第三個8位）與該地調(diào)的公網(wǎng)地址的第三個8位相同。其他3個VPN第三個8位在第一個VPN的基礎上＋

34、（n-1）*64；,,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)劃ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,設備命名規(guī)范—sysname規(guī)劃,,為了保證以后的管理方便，通常需要為設備統(tǒng)一命名?？梢圆捎靡韵旅椒ǎ篈A-B-YYYY-XAA：表示該設備所屬的級別和名稱，通常的規(guī)則是取漢字拼音的首字母縮寫。例如：NN- 南

35、寧；也可以靈活運用大小寫字母及增加后綴來表示不同級別的設備。ShaTB-沙田（B表示變電站）；B：表示設備的廠商名稱，本次工程使用華為3Com公司產(chǎn)品，則：B為H3 YYYY：表示設備型號，如NE16E、S6503等。X： 表示如果前三項相同的設備，用數(shù)字編號1、2標識。 例如： 地調(diào)北海第一臺交換機3526E命名：BH-H3-S3526E-1廠站沖口AR4640路由器命名為：ChongKB-H3-AR4640,設備命名規(guī)

36、范—接口description規(guī)劃,,為了準期表明每個接口對端的連接保證以及帶寬，需要為每一個使用的接口配置description描述信息。通常采用以下命名方法：to 對端設備名 帶寬，其中對端設備名使用前一節(jié)講到的sysname規(guī)劃方法。例子：description to ZD-H3-NE16E-2 8M表示：該端口對端設備中心備用NE16E路由器，帶寬為8M 。,設備命名規(guī)范—接口命名,,除了設備固定的接口之外，我們

37、常常會手工創(chuàng)建一些接口，例如：MP接口，以太網(wǎng)子接口，VLAN接口等。對這些接口后面分配的數(shù)字應該盡量包含實際的意義。mp－group A/B/C， 接口的A表示槽位，B表示卡位，是固定的，C可以設置為能夠包含對端設備信息的數(shù)字，例如對端設備loopback接口地址中明確區(qū)分自身信息的一位，或者是對端設備所屬的OSPF區(qū)域號等等信息。以太網(wǎng)子接口務必要將子接口數(shù)字與VLAN信息保持一致。VLAN接口的數(shù)字要全局統(tǒng)一規(guī)劃，例如：

38、使用100、200表示VPN的VLAN，使用1000表示網(wǎng)管的VLAN等。,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)劃ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,路由協(xié)議的規(guī)劃——路由協(xié)議的選擇,,公欲善其事，必先利其器，不能讓網(wǎng)絡規(guī)劃輸在起跑線上！RIP——最古老的路由協(xié)議，特點：性能低下，只適合在小型的網(wǎng)絡中使用。（狗肉上

39、不了大席）IGRP——在RIP的基礎上稍加改進，擁有RIP所有的缺點。 （改良的狗肉，還是上不了大席）EIGRP——性能不錯，但卻是cisco的私有協(xié)議，互通性不好。而且容易引起法律糾紛。 （現(xiàn)在都是e世代了，拜托，能不能open一點？）IS-IS——ISO與IETF幫派斗爭的產(chǎn)物，本來是為OSI七層模型設計，后來強行移植到IP上。（驢唇不對馬嘴）OSPF——是因特網(wǎng)上使用最為廣范的IGP，專家強力推薦。 （

40、相信我，沒錯的）BGP——是目前因特網(wǎng)上唯一的一種EGP協(xié)議。 （只此一家，別無分店）,OSPF規(guī)劃,,router id的規(guī)劃直接使用該設備的管理地址（loopback）作為router id，并且要確保該數(shù)字與ldp的lsr id相同。區(qū)域劃分區(qū)域劃分是OSPF規(guī)劃中最核心也是最復雜的部分。OSPF的區(qū)域劃分是與網(wǎng)絡層次密切相關的，通常核心層與匯聚層規(guī)劃為區(qū)域0，匯聚層的設備規(guī)劃為A

41、BR，匯聚層與接入層之間規(guī)劃為非骨干區(qū)域，非骨干區(qū)域盡量規(guī)劃為NSSA區(qū)域。每個區(qū)域中的設備數(shù)量最好不要超過30臺，這個數(shù)字不是絕對的，主要與設備性能，鏈路的穩(wěn)定性密切相關。非骨干區(qū)域的規(guī)劃可以與網(wǎng)絡中實際的行政，地域劃分相吻合。路由聚合規(guī)劃在ABR上通常需要對非骨干區(qū)域的路由聚合后發(fā)布到骨干區(qū)域。同理：骨干區(qū)域的路由也通常需要聚合后再發(fā)布到非骨干區(qū)域。在ASBR上可以對所有本地引入的路由聚合后再發(fā)布。聚合的地址范圍是鏈路地

42、址、業(yè)務地址，但通常不對loopback地址進行聚合。,OSPF規(guī)劃——區(qū)域規(guī)劃中的疑難雜癥,,如果OSPF的骨干區(qū)域中設備很多怎么辦？例如：某企業(yè)網(wǎng)的全國性項目中每個省提供兩臺設備做核心層，下面還有市、縣級網(wǎng)絡。這樣area0中的設備數(shù)量會超過60臺。此時該網(wǎng)絡的規(guī)模已經(jīng)超過了OSPF所能承受的極限，建議每個省規(guī)劃為一個OSPF自治系統(tǒng)，不同的省之間通過運行BGP協(xié)議交換路由信息。如果OSPF的非骨干區(qū)域中設備很多怎么辦？例如

43、：某銀行的一個地市被規(guī)劃為一個非骨干區(qū)域，但其中有70余臺中低端設備。建議將該地址劃分為3-4個非骨干區(qū)域，但每個區(qū)域內(nèi)的互聯(lián)地址和業(yè)務地址最好能夠?qū)粋€連續(xù)的可聚合的地址段。如果網(wǎng)絡中的設備是4級結(jié)構怎么辦？例如：某省銀行全省共劃分為省行、市行、縣行及營業(yè)網(wǎng)點4級結(jié)構。由于OSPF協(xié)議只支持2層區(qū)域結(jié)構。省行與市行規(guī)劃為骨干區(qū)域，每個市行連同下轄的所有縣規(guī)劃為一個非骨干區(qū)域。則縣與營業(yè)網(wǎng)點之間可以運行靜態(tài)路由?；蛘咴龠\行另外

44、一套路由協(xié)議，推薦使用OSPF多進程。,OSPF規(guī)劃——COST及路由引入規(guī)劃,,OSPF的COST規(guī)劃為確保路由器選擇最優(yōu)路徑，需要統(tǒng)一OSPF路由尺度（cost）的計算。通常的做法是：取網(wǎng)絡中帶寬的最大值為度量值1，其他類型的接口按與最大帶寬的比例計算。例如：網(wǎng)絡中最大帶寬為GE。接口類型costGE1155M POS7100M FE1010M ETHERNET100

45、N×E1500/NLoopback接口的COST值通常取1。OSPF的路由引入規(guī)劃OSPF可以引入直連、靜態(tài)以及其他路由協(xié)議的路由。對于直連路由，如果條件允許，盡量使用network命令當作區(qū)域內(nèi)路由發(fā)布，避免引入操作。對于靜態(tài)和其他路由協(xié)議，引入時可以統(tǒng)一COST及路由類型，例如：cost為1000，type為1。如果引入BGP路由，需要考慮路由表的規(guī)模，也可以使用缺省路由來避免引入。,OSPF規(guī)劃

46、——NSSA區(qū)域,,OSPF的NSSA區(qū)域是一種特殊的非骨干區(qū)域，由于具備一些特殊的屬性而在實際的網(wǎng)絡網(wǎng)絡規(guī)劃中經(jīng)常使用。當一個非骨干區(qū)域中不希望接收大量的區(qū)域外路由時，可以將其配置為STUB屬性，但由于STUB中苛刻的要求所有的設備都不能引入任何外部路由，導致其幾乎無法使用。而NSSA無此限制，所以可以放心使用。使用NSSA區(qū)域的另外一個優(yōu)點：對于Type5類的LSA，由于OSPF只能在ASBR處將路由聚合，發(fā)布之后就沒有再次

47、聚合的機會了。而NSSA在ABR處將Type7轉(zhuǎn)成Type5時可以再一次進行聚合操作，實際上又多了一次寶貴的聚合機會。使用NSSA區(qū)域的局限性：由于協(xié)議規(guī)定，當一個NSSA區(qū)域中存在兩個ABR時，只能由其中的一臺（router id大的）進行type7到type5的轉(zhuǎn)換操作。所以在實際使用中會受到一定的限制。,OSPF規(guī)劃——路由的過濾,,OSPF由于受到鏈路狀態(tài)算法的限制，對于路由的過濾會受到很多的限制。通常任何一臺設備都沒有權

48、利更改或刪除非自己生成的LSA。所以每臺設備上配置的路由過濾只會影響到自身路由表的生成，而不會更改LSA。所以，如果要全網(wǎng)或者大部分路由器需要過濾某條路由，只能逐臺配置過濾。OSPF留下的一個backdoor事實上并沒有這么悲觀，OSPF在區(qū)域邊界處留下了一個后門。聚合的命令后面有一個notadvertise參數(shù)，如果需要過濾某條路由，可以將該條路由配置成聚合命令（并非真正聚合，網(wǎng)段與掩碼完全相同即可），后面加上notadverti

49、se參數(shù)即可做到過濾。對于type5類的路由，可以在NSSA的ABR處用同樣的方法過濾。以上的過濾方法只是針對區(qū)域間而言，在區(qū)域內(nèi)無效，還只能使用逐臺過濾的方法。,,,,,OSPF規(guī)劃——雙塔奇兵,,,,,,,,,,,,area0,area n,loopback0,OSPF如果某個區(qū)域存在兩個ABR，并且在兩個ABR上都對area n內(nèi)的路由做了聚合操作。loopback0應該屬于area0還是area n？如果骨干區(qū)域被分割

50、有何后果？如果非骨干區(qū)域n被分割有何后果？圖中的紅線應該屬于area0還是area n？,,,,,,OSPF規(guī)劃——犬牙交錯,,,,,,,,area0,area 1,有時接入層的設備會以亂序的方式與匯聚層進行連接。OSPF的區(qū)域該如何劃分？如果所有的匯聚層和接入層都劃為一臺區(qū)域，則會太大。如果選擇兩臺匯聚層設備加上所有同時與他們相連的接入層設備劃分為一個area則會導致區(qū)域太多，并且沒有規(guī)律。并且對IP地址規(guī)劃十分不利。建議按

51、照每臺匯聚層設備與之相連的所有鏈路接口劃分為一個區(qū)域。,,,,,,,area 2,area 3,,,,,這樣對于接入層設備兩條上聯(lián)鏈路分別屬于area1和area2，那么它的loopback接口和業(yè)務接口屬于哪個區(qū)域呢？,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)劃ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,BGP規(guī)劃,,企業(yè)網(wǎng)中

52、在什么情況下需要使用BGP協(xié)議？網(wǎng)絡過于龐大，OSPF難以勝任時；網(wǎng)絡中需要大量的使用路由策略或者是業(yè)務分流時。網(wǎng)絡需要使用MPLS/VPN技術時。是否只有性能很好的核心設備才能夠運行BGP？BGP協(xié)議本身并不消耗很多資源，只有當運行BGP的設備需要學習到很多條路由，需要建立很多鄰居關系時才會要求設備自身的性能很高。只要規(guī)劃得當，任何檔次的設備（包括接入層設備）都可以運行BGP協(xié)議。Router id的規(guī)劃BGP的rou

53、ter id與ospf的router id共用一個，與loopback接口地址相同。AS number的規(guī)劃由于企業(yè)網(wǎng)中都是所有網(wǎng)絡，所以BGP使用私有的AS number。IBGP還是EBGP？由于企業(yè)網(wǎng)的規(guī)模通常都不會很大，通常IBGP就可以滿足一般的需求了。,BGP規(guī)劃——路由反射器,,由于在一個AS內(nèi)部，要求所有的IBGP鄰居必須全部建立鄰居關系，會導致N平方問題，所以經(jīng)常會遇到路由反射器的規(guī)劃。由于路由反射器支持嵌

54、套，所以可以嚴格按照網(wǎng)絡的層次來劃分路由反射器。核心層是第一級的RR，匯聚層是核心層的client，同時也是接入層的RR?；閭浞蓐P系的相同一級的RR可以規(guī)劃為同一個cluster，配置相同的cluster id。,,,,,,,,,,,,,,,,如果圖中的核心層設備性能足夠健壯，規(guī)劃為兩級RR和規(guī)劃為一級RR有什么區(qū)別嗎？哪一種方案更好？,BGP規(guī)劃——靈活使用MED以及LP屬性控制業(yè)務分流,,,,,,,,OSPF,EBGP,EBGP

55、,IBGP,B,R,G,已知某銀行在市行與省行之間共有3條線路，并且希望不同的業(yè)務使用不同的鏈路，并且需要相互備份。通過建立三個EBGP鄰居，在3條鏈路上發(fā)送不同的路由，并攜帶不同的優(yōu)先級。發(fā)送路由時使用MED屬性，接收路由時使用LocalPreference 屬性。由于人民幣業(yè)務獨享RED線路，所以在RED鄰居發(fā)送和接收路由時只包含人民幣業(yè)務。,BGP規(guī)劃——靈活使用團體屬性&與IGP協(xié)同操作,,,,,,,,,,,,,

56、,,,,,,,,,,,,,,,,已知某大型石油集團公司新成立股份公司，全國共劃分5個大區(qū)，每個大區(qū)下轄多個地區(qū)公司，全國共計80余個地區(qū)公司。每個地區(qū)公司都有一個較大的局域網(wǎng)。全網(wǎng)共計2000余臺3層設備。該股份公司還需要同集團公司之間進行通訊，需要在多條鏈路上實現(xiàn)針對不同流量的負載分擔。,地區(qū)公司出口節(jié)點,大區(qū)公司出口節(jié)點,股份公司出口節(jié)點,集團公司出口節(jié)點,,,,,,OSPF,OSPF,OSPF,OSPF,OSPF,OSPF,,OS

57、PF,OSPF,OSPF,OSPF,OSPF,BGP規(guī)劃——靈活使用團體屬性&與IGP協(xié)同操作,,,,,,,,,,,,,OSPF+IBGP,EBGP,每個地區(qū)公司及大區(qū)公司自己內(nèi)部的局域網(wǎng)都獨立運行OSPF協(xié)議；所有的地區(qū)及大區(qū)公司的出口路由器組成骨干網(wǎng)，運行OSPF(多進程)＋IBGP；骨干網(wǎng)的OSPF只負責所有骨干設備的鏈路地址以及l(fā)oopback地址的學習；所有的業(yè)務地址由BGP負責發(fā)布，使用netwrok命令＋下一

58、跳指向null0接口的靜態(tài)路由進行聚合后的發(fā)布。在發(fā)布路由時，為每個地區(qū)公司以及大區(qū)配置不同的團體屬性值，在EBGP出口時根據(jù)團體屬性控制帶寬及報文的流向。方便日后向MPLS/VPN平滑過渡,目錄,網(wǎng)絡概述設備選型拓撲選擇端口選擇備份方案設備板卡規(guī)劃ip地址規(guī)劃設備命名規(guī)劃IGP路由協(xié)議規(guī)劃BGP路由協(xié)議規(guī)劃MPLS/VPN規(guī)劃網(wǎng)絡安全規(guī)劃QOS規(guī)劃網(wǎng)管規(guī)劃,MPLS/VPN規(guī)劃－PE、P和CE的選擇,,哪

59、些設備應該規(guī)劃為PE？如果一個網(wǎng)絡需要運行MPLS/VPN，那么所有的路由器，以及部分核心交換機（如果該交換機提供與廣域網(wǎng)連接的接口）。PE要承擔什么任務？劃分VRF，啟動OSPF，MBGP，MPLS，LDP協(xié)議。哪些設備應該規(guī)劃為CE？所有的2層交換機，絕大部分的3層交換機（如果該交換機與廣域網(wǎng)相連需要通過路由器）CE要承擔什么任務？搜集到所有的本地SITE內(nèi)的路由，發(fā)給PE；從PE處接收本VPN的路由。哪些設備應該規(guī)

60、劃為P？在企業(yè)網(wǎng)中，通常不會存在某臺設備只提供廣域網(wǎng)的連接而不提供局域網(wǎng)的接入。所以P設備同時肯定也是PE設備，無需特殊規(guī)劃。,MPLS/VPN規(guī)劃－VPN的劃分,,如何劃分不同的VPN？VPN的形成主要靠規(guī)劃RT來實現(xiàn)，劃分VPN的過程就是規(guī)劃RT的過程?？疾煊脩舻男枨?，一共可以劃分為幾種不同的業(yè)務？這些業(yè)務之間是否基本上不需要互訪？按照以上的需求初步劃分不同的VPN，為每個VPN配置不同的RT。如果在此基礎上用戶還有其他復雜

61、需求：橫向本地互通，或者不規(guī)則互通需求，可以在此基礎上增加RT規(guī)則。,MPLS/VPN規(guī)劃－－RT的靈活應用,,,,,,,,,,,,,,,VPN1,VPN2,VPN3,RTA,RTF,RTE,RTD,RTB,RTC,,,RTA&RTD: both 65000:100RTB&RTE: both 65000:200RTC&RTF: both 65000:300,RTA: both 65000:100RTB: b

62、oth 65000:200RTC: both 65000:300RTD: both 65000:100 | both 65000:400RTE: both 65000:200 | both 65000:400RTF: both 65000:300 | both 65000:400,RTA: both 65000:100 | import:65000:600 export:65000:500RTB: both 65000:200

63、 | import:65000:500 export:65000:600RTC: both 65000:300 | import:65000:500 export:65000:600RTD: both 65000:100 | both 65000:400RTE: both 65000:200 | both 65000:400| im:65000:500 ex:65000:600RTF: both 65000:300 | both

64、 65000:400| im:65000:500 ex:65000:600,MPLS/VPN規(guī)劃－CE的規(guī)劃,,最理想的模式：同一臺PE下的N個VPN共配置N臺CE。最糟糕的模式：同一臺PE下的N個VPN共配置M臺CE，M<N，根據(jù)“抽屜原理”，至少有一臺CE上存在兩個以上的VPN。存在的問題不同的VPN在本地CE上會互訪。CE到PE的路由發(fā)布存在問題，無法使用缺省路由及動態(tài)路由（OSPF多進程除外）。解決方案：將

65、CE配置成2層交換機使用。通過配置VLAN隔離不同VPN。優(yōu)點：完美解決VPN隔離及路由問題。缺點：當CE側(cè)主機過多時，局域網(wǎng)內(nèi)的廣播風暴將直接沖擊路由器，使得路由器缺少了一個屏障，直接暴露在局域網(wǎng)內(nèi)。適用范圍：局域網(wǎng)內(nèi)主機較少的分支節(jié)點。選擇支持MultiVRF的交換機做CE。通過在交換機配置不同的VPF對應不同的VPN。優(yōu)點：完美解決VPN隔離以及路由問題。缺點：支持此類特性的設備較少且價格昂貴。適用范圍：

66、VPN越多優(yōu)勢越明顯。在CE配置ACL隔離本地VPN間的互訪；為不同的VPN配置精確路由指向相應的PE接口（基于地址不沖突且IP地址規(guī)劃整齊，也是VPN的IP地址規(guī)劃要按照VPN劃分的原因）?；蛘呤褂貌呗月酚?。優(yōu)點：沒什么優(yōu)點。缺點：屬于打補丁的解決方案，安全性差（ACL）且配置繁瑣。適用范圍：VPN少且不適合使用二層的情況。,MPLS/VPN規(guī)劃－雙PE雙CE備份規(guī)劃,,,,已知：本網(wǎng)絡共規(guī)劃6個VPN，且交換機不支持m

67、ulti-vrf功能。問：交換機做三層使用還是2層使用？哪一種方案更合理，為什么？圖中的紅色連線應該規(guī)劃成公網(wǎng)還是私網(wǎng)？,MPLS/VPN規(guī)劃－MPLS及LDP以及RD的規(guī)劃,,MPLS規(guī)劃全局使能MPLS。在所有的公網(wǎng)接口上使能MPLS。指定設備的lsr-id，與本設備的router id相同。LDP規(guī)劃全局使能LDP。在所有的公網(wǎng)接口上使能LDP。如果網(wǎng)絡情況復雜，選擇用接口直連地址建立LDP鄰居的方式。否則可

68、以使用缺省的loopback接口建立鄰居的方式。RD規(guī)劃相同的VPN要配置相同的RD。通常RD配置為與RT相同，如果存在多個RT，選擇一個最常用的。,MPLS/VPN規(guī)劃－MBGP的規(guī)劃（公網(wǎng)部分）,,MBGP的規(guī)劃分為公網(wǎng)部分和私網(wǎng)部分，由于公網(wǎng)的路由全部由IGP來計算，所以MBGP并不負責搜集公網(wǎng)路由信息。但由于MBGP的私網(wǎng)路由信息需要靠公網(wǎng)鄰居來傳播，公網(wǎng)部分的規(guī)劃只需要建立好BGP的鄰居關系即可。規(guī)劃AS號鑒于屬