第五课OSPF规划PPT课件

1 目录 网络概述设备选型拓扑结构端口选择备份方案设备板卡规划IP地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS VPN规划网络安全规划QOS规划网管规划 2 路由协议的规划 路由协议的选择公欲善其事 必先利其器 不能让网络规划输在起跑线上 RIP 最古老的路由协议 特点 性能低下 只适合在小型的网络中使用 狗肉上不了大席 IGRP 在RIP的基础上稍加改进 拥有RIP所有的缺点 改良的狗肉 还是上不了大席 EIGRP 性能不错 但却是cisco的私有协议 互通性不好 而且容易引起法律纠纷 现在都是e世代了 拜托 能不能open一点 3 IS IS ISO与IETF帮派斗争的产物 本来是为OSI七层模型设计 后来强行移植到IP上 驴唇不对马嘴 OSPF 是因特网上使用最为广范的IGP 专家强力推荐 相信我 没错的 BGP 是目前因特网上唯一的一种EGP协议 只此一家 别无分店 4 OSPF规划routerid的规划直接使用该设备的管理地址 loopback 作为routerid 并且要确保该数字与ldp的lsrid相同 区域划分区域划分是OSPF规划中最核心也是最复杂的部分 OSPF的区域划分是与网络层次密切相关的 通常核心层与汇聚层规划为区域0 汇聚层的设备规划为ABR 汇聚层与接入层之间规划为非骨干区域 非骨干区域尽量规划为NSSA区域 每个区域中的设备数量最好不要超过30台 这个数字不是绝对的 主要与设备性能 链路的稳定性密切相关 非骨干区域的规划可以与网络中实际的行政 地域划分相吻合 5 路由聚合规划在ABR上通常需要对非骨干区域的路由聚合后发布到骨干区域 同理 骨干区域的路由也通常需要聚合后再发布到非骨干区域 在ASBR上可以对所有本地引入的路由聚合后再发布 聚合的地址范围是链路地址 业务地址 但通常不对loopback地址进行聚合 6 OSPF规划 区域规划中的疑难杂症如果OSPF的骨干区域中设备很多怎么办 例如 某企业网的全国性项目中每个省提供两台设备做核心层 下面还有市 县级网络 这样area0中的设备数量会超过60台 此时该网络的规模已经超过了OSPF所能承受的极限 建议每个省规划为一个OSPF自治系统 不同的省之间通过运行BGP协议交换路由信息 如果OSPF的非骨干区域中设备很多怎么办 例如 某银行的一个地市被规划为一个非骨干区域 但其中有70余台中低端设备 建议将该地址划分为3 4个非骨干区域 但每个区域内的互联地址和业务地址最好能够对应一个连续的可聚合的地址段 7 如果网络中的设备是4级结构怎么办 例如 某省银行全省共划分为省行 市行 县行及营业网点4级结构 由于OSPF协议只支持2层区域结构 省行与市行规划为骨干区域 每个市行连同下辖的所有县规划为一个非骨干区域 则县与营业网点之间可以运行静态路由 或者再运行另外一套路由协议 推荐使用OSPF多进程 8 OSPF规划 COST及路由引入规划OSPF的COST规划为确保路由器选择最优路径 需要统一OSPF路由尺度 cost 的计算 通常的做法是 取网络中带宽的最大值为度量值1 其他类型的接口按与最大带宽的比例计算 例如 网络中最大带宽为GE 接口类型costGE1155MPOS7100MFE1010METHERNET100N E1500 NLoopback接口的COST值通常取1 9 OSPF的路由引入规划OSPF可以引入直连 静态以及其他路由协议的路由 对于直连路由 如果条件允许 尽量使用network命令当作区域内路由发布 避免引入操作 对于静态和其他路由协议 引入时可以统一COST及路由类型 例如 cost为1000 type为1 如果引入BGP路由 需要考虑路由表的规模 也可以使用缺省路由来避免引入 10 OSPF规划 NSSA区域OSPF的NSSA区域是一种特殊的非骨干区域 由于具备一些特殊的属性而在实际的网络网络规划中经常使用 当一个非骨干区域中不希望接收大量的区域外路由时 可以将其配置为STUB属性 但由于STUB中苛刻的要求所有的设备都不能引入任何外部路由 导致其几乎无法使用 而NSSA无此限制 所以可以放心使用 使用NSSA区域的另外一个优点 对于Type5类的LSA 由于OSPF只能在ASBR处将路由聚合 发布之后就没有再次聚合的机会了 而NSSA在ABR处将Type7转成Type5时可以再一次进行聚合操作 实际上又多了一次宝贵的聚合机会 11 使用NSSA区域的局限性 由于协议规定 当一个NSSA区域中存在两个ABR时 只能由其中的一台 routerid大的 进行type7到type5的转换操作 所以在实际使用中会受到一定的限制 12 OSPF规划 路由的过滤OSPF由于受到链路状态算法的限制 对于路由的过滤会受到很多的限制 通常任何一台设备都没有权利更改或删除非自己生成的LSA 所以每台设备上配置的路由过滤只会影响到自身路由表的生成 而不会更改LSA 所以 如果要全网或者大部分路由器需要过滤某条路由 只能逐台配置过滤 OSPF留下的一个backdoor事实上并没有这么悲观 OSPF在区域边界处留下了一个后门 聚合的命令后面有一个notadvertise参数 如果需要过滤某条路由 可以将该条路由配置成聚合命令 并非真正聚合 网段与掩码完全相同即可 后面加上notadvertise参数即可做到过滤 对于type5类的路由 可以在NSSA的ABR处用同样的方法过滤 以上的过滤方法只是针对区域间而言 在区域内无效 还只能使用逐台过滤的方法 13 OSPF规划 双塔奇兵 area0 arean loopback0 OSPF如果某个区域存在两个ABR 并且在两个ABR上都对arean内的路由做了聚合操作 loopback0应该属于area0还是arean 如果骨干区域被分割有何后果 如果非骨干区域n被分割有何后果 图中的红线应该属于area0还是arean 14 OSPF规划 犬牙交错 15 有时接入层的设备会以乱序的方式与汇聚层进行连接 OSPF的区域该如何划分 如果所有的汇聚层和接入层都划为一台区域 则会太大 如果选择两台汇聚层设备加上所有同时与他们相连的接入层设备划分为一个area则会导致区域太多 并且没有规律 并且对IP地址规划十分不利 建议按照每台汇聚层设备与之相连的所有链路接口划分为一个区域 这样对于接入层设备两条上联链路分别属于area1和area2 那么它的loopback接口和业务接口属于哪个区域呢 16 目录 网络概述设备选型拓扑结构端口选择备份方案设备板卡规划IP地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS VPN规划网络安全规划QOS规划网管规划 17 BGP规划企业网中在什么情况下需要使用BGP协议 网络过于庞大 OSPF难以胜任时 网络中需要大量的使用路由策略或者是业务分流时 网络需要使用MPLS VPN技术时 是否只有性能很好的核心设备才能够运行BGP BGP协议本身并不消耗很多资源 只有当运行BGP的设备需要学习到很多条路由 需要建立很多邻居关系时才会要求设备自身的性能很高 只要规划得当 任何档次的设备 包括接入层设备 都可以运行BGP协议 18 Routerid的规划BGP的routerid与ospf的routerid共用一个 与loopback接口地址相同 ASnumber的规划由于企业网中都是所有网络 所以BGP使用私有的ASnumber IBGP还是EBGP 由于企业网的规模通常都不会很大 通常IBGP就可以满足一般的需求了 19 BGP规划 路由反射器 如果图中的核心层设备性能足够健壮 规划为两级RR和规划为一级RR有什么区别吗 哪一种方案更好 20 由于在一个AS内部 要求所有的IBGP邻居必须全部建立邻居关系 会导致N平方问题 所以经常会遇到路由反射器的规划 由于路由反射器支持嵌套 所以可以严格按照网络的层次来划分路由反射器 核心层是第一级的RR 汇聚层是核心层的client 同时也是接入层的RR 互为备份关系的相同一级的RR可以规划为同一个cluster 配置相同的clusterid 21 BGP规划 灵活使用MED以及LP属性控制业务分流 22 已知某银行在市行与省行之间共有3条线路 并且希望不同的业务使用不同的链路 并且需要相互备份 通过建立三个EBGP邻居 在3条链路上发送不同的路由 并携带不同的优先级 发送路由时使用MED属性 接收路由时使用LocalPreference属性 由于人民币业务独享RED线路 所以在RED邻居发送和接收路由时只包含人民币业务 23 BGP规划 灵活使用团体属性 与IGP协同操作 已知某大型石油集团公司新成立股份公司 全国共划分5个大区 每个大区下辖多个地区公司 全国共计80余个地区公司 每个地区公司都有一个较大的局域网 全网共计2000余台3层设备 该股份公司还需要同集团公司之间进行通讯 需要在多条链路上实现针对不同流量的负载分担 地区公司出口节点 大区公司出口节点 股份公司出口节点 集团公司出口节点 24 BGP规划 灵活使用团体属性 与IGP协同操作 OSPF OSPF OSPF OSPF OSPF OSPF OSPF OSPF OSPF OSPF OSPF OSPF IBGP EBGP 每个地区公司及大区公司自己内部的局域网都独立运行OSPF协议 所有的地区及大区公司的出口路由器组成骨干网 运行OSPF 多进程 IBGP 骨干网的OSPF只负责所有骨干设备的链路地址以及loopback地址的学习 所有的业务地址由BGP负责发布 使用netwrok命令 下一跳指向null0接口的静态路由进行聚合后的发布 在发布路由时 为每个地区公司以及大区配置不同的团体属性值 在EBGP出口时根据团体属性控制带宽及报文的流向 方便日后向MPLS VPN平滑过渡 25 目录 网络概述设备选型拓扑结构端口选择备份方案设备板卡规划IP地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS VPN规划网络安全规划QOS规划网管规划 26 MPLS VPN规划 PE P和CE的选择哪些设备应该规划为PE 如果一个网络需要运行MPLS VPN 那么所有的路由器 以及部分核心交换机 如果该交换机提供与广域网连接的接口 PE要承担什么任务 划分VRF 启动OSPF MBGP MPLS LDP协议 哪些设备应该规划为CE 所有的2层交换机 绝大部分的3层交换机 如果该交换机与广域网相连需要通过路由器 27 CE要承担什么任务 搜集到所有的本地SITE内的路由 发给PE 从PE处接收本VPN的路由 哪些设备应该规划为P 在企业网中 通常不会存在某台设备只提供广域网的连接而不提供局域网的接入 所以P设备同时肯定也是PE设备 无需特殊规划 28 MPLS VPN规划 VPN的划分如何划分不同的VPN VPN的形成主要靠规划RT来实现 划分VPN的过程就是规划RT的过程 考察用户的需求 一共可以划分为几种不同的业务 这些业务之间是否基本上不需要互访 按照以上的需求初步划分不同的VPN 为每个VPN配置不同的RT 如果在此基础上用户还有其他复杂需求 横向本地互通 或者不规则互通需求 可以在此基础上增加RT规则 29 MPLS VPN规划 RT的灵活应用 VPN1 VPN2 VPN3 RTA RTF RTE RTD RTB RTC RTA RTD both65000 100RTB RTE both65000 200RTC RTF both65000 300 RTA both65000 100RTB both65000 200RTC both65000 300RTD both65000 100 both65000 400RTE both65000 200 both65000 400RTF both65000 300 both65000 400 RTA both65000 100 import 65000 600export 65000 500RTB both65000 200 import 65000 500export 65000 600RTC both65000 300 import 65000 500export 65000 600RTD both65000 100 both65000 400RTE both65000 200 both65000 400 im 65000 500ex 65000 600RTF both65000 300 both65000 400 im 65000 500ex 65000 600 30 MPLS VPN规划 CE的规划最理想的模式 同一台PE下的N个VPN共配置N台CE 最糟糕的模式 同一台PE下的N个VPN共配置M台CE M N 根据 抽屉原理 至少有一台CE上存在两个以上的VPN 存在的问题 不同的VPN在本地CE上会互访 CE到PE的路由发布存在问题 无法使用缺省路由及动态路由 OSPF多进程除外 31 解决方案 将CE配置成2层交换机使用 通过配置VLAN隔离不同VPN 优点 完美解决VPN隔离及路由问题 缺点 当CE侧主机过多时 局域网内的广播风暴将直接冲击路由器 使得路由器缺少了一个屏障 直接暴露在局域网内 适用范围 局域网内主机较少的分支节点 选择支持MultiVRF的交换机做CE 通过在交换机配置不同的VPF对应不同的VPN 优点 完美解决VPN隔离以及路由问题 缺点 支持此类特性的设备较少且价格昂贵 适用范围 VPN越多优势越明显 在CE配置ACL隔离本地VPN间的互访 为不同的VPN配置精确路由指向相应的PE接口 基于地址不冲突且IP地址规划整齐 也是VPN的IP地址规划要按照VPN划分的原因 或者使用策略路由 优点 没什么优点 缺点 属于打补丁的解决方案 安全性差 ACL 且配置繁琐 适用范围 VPN少且不适合使用二层的情况 32 MPLS VPN规划 双PE双CE备份规划 已知 本网络共规划6个VPN 且交换机不支持multi vrf功能 问 交换机做三层使用还是2层使用 哪一种方案更合理 为什么 图中的红色连线应该规划成公网还是私网 33 MPLS VPN规划 MPLS及LDP以及RD的规划MPLS规划全局使能MPLS 在所有的公网接口上使能MPLS 指定设备的lsr id 与本设备的routerid相同 LDP规划全局使能LDP 在所有的公网接口上使能LDP 如果网络情况复杂 选择用接口直连地址建立LDP邻居的方式 否则可以使用缺省的loopback接口建立邻居的方式 34 RD规划相同的VPN要配置相同的RD 通常RD配置为与RT相同 如果存在多个RT 选择一个最常用的 35 MPLS VPN规划 MBGP的规划 公网部分 MBGP的规划分为公网部分和私网部分 由于公网的路由全部由IGP来计算 所以MBGP并不负责搜集公网路由信息 但由于MBGP的私网路由信息需要靠公网邻居来传播 公网部分的规划只需要建立好BGP的邻居关系即可 规划AS号鉴于属于私有网络 而且通常整个网络都属于一个AS 所以只需规划一个AS号 建议使用65000以上的数字 规划IBGP的邻居部署由于整个网络中所有的路由设备都是PE 所以都需要运行IBGP 由于一个AS中所有的PE都需要建立邻居关系 会导致N平方问题 所有需要规划路由反射器 36 MPLS VPN规划 MBGP的规划 私网部分 MBGP的规划分为公网部分和私网部分 由于MBGP需要发布私网VPN的路由信息及私网标签 所以所有的BGP的具体应用以及策略的规划都使用私网规划部分VPNv4规划激活所有的在公网下配置的BGP邻居 使其具备携带私网路由及标签的能力 配置反射器以及HOPE等部署 配置具体的路由策略 VPN instance VRF 规划主要是与CE的路由互操作 通常需要引入静态 直连或者是PE与CE之间运行的IGP的路由 37 MPLS VPN规划 PE与CE之间路由协议的规划PE与CE之间可以选择如下路由协议 静态路由 多实例RIP 多实例OSPF EBGP协议 如果CE只是2层设备 网关配置在PE路由器上 则无需使用路由协议 如果CE是性能较差的3层交换机 且本VPN内的路由较少或者可以使用缺省路由 则推荐使用静态路由 如果本VPN内路由较多 配置静态路由会很麻烦 此时可以使用多时例的OSPF CE与PE之间通常规划成area0 如果CE与PE之间交换路由时希望提供更多的策略选择及路由控制手段 则可以使用EBGP协议 鉴于RIP的拙劣性能 不推荐使用多实例RIP 38 MPLS VPN规划 分层PE由于MPLS VPN在原理设计的过程中没有与网络的实际模型对应起来 所有的PE的地位都是相同的 都需要建立相同的IBGP邻居数目并且保存相同的路由表 而不论你是核心层还是汇聚层甚至接入层 这一点在企业网中表现尤甚 没有P设备 全网都是PE设备 通常会导致在接入层设备上无法部署MPLS VPN 使用华为公司专有技术 HoPE即可完美解决 核心层和汇聚层规划为SPE 如果汇聚层的能力也不济 可以规划为MPE 即汇聚层作为核心层的UPE 但作为接入层的SPE 接入层规划为UPE 由于SPE天然是UPE的RR 所以UPE只需与SPE建立IBGP邻居关系即可 而且SPE会为每个VRF发送一条缺省路由代替精确路由 使用分层PE需要注意的是 当VPN的互访关系十分复杂时 普通情况下靠复杂的RT规则来控制路由表的生成 但此时由于UPE上只有缺省路由 所以只能靠SPE来进行访问控制 这样会带来很多不便 39 MPLS VPN规划 与internet互联通过PE还是CE上internet 两种方式都可以 通过集中式上internet还是分布式上internet 两者方式都可以 PE分布式上internet每台PE都与internet直接相连 在PE的VRF中配置指向global地址的缺省路由 在PE上配置静态路由 目的网段为NAT转换后的公网 下一跳指向VRF的接口 在PE的VRF中做NAT转换 40 PE集中式上internet在每台PE上的VRF中配置指向global地址的缺省路由 在PE上配置静态路由 目的网段为私网地址 下一跳指向VRF的接口 所有的访问internet的流量通过缺省路由发给连接internet的那台PE 由它统一做NAT转换 由于所有的私网路由泄漏到所有的PE上 会导致不同的VPN通过PE互访 需要在每台PE上配置ACL 丢弃源地址和目的地址都是私网的流量 41 MPLS VPN规划 与internet互联CE分布式上internet每个VRF中选择一台CE连接internet 并且做NAT转换 由该CE发布一条缺省路由给本VPN内的所有CE CE集中式上internet选择一台健壮的CE连接internet 并且做地址转换 将该CE所属的VRF配置成与所有VRF都可以互通的超级VPN Howcandothat 由该CE发布一条缺省路由给全网的所有VPN的所有CE 由于有超级VPN以及缺省路由的存在 会导致不同的VPN通过超级VPN互访 需要在该PE连接超级VPN的VRF上配置ACL 丢弃源地址和目的地址都是私网的流量 42 选择哪种方式 PE分布式是运营商常用的 因为运营商的每台PE都直接与internet相连 企业网不会使用 PE集中式太繁琐 每台PE上都要配置ACL 且不支持VPN地址重叠 CE分布式无需ACL 且支持VPN地址重叠 CE集中式只需配置一条ACL 但不支持VPN地址重叠 希望节省资源 选择CE集中式 希望支持VPN地址重叠 选择CE分布式 43 MPLS VPN情况下的网管矛盾 网管的一个基本前提是 被管理的设备必须能够可达 从网管工作站可以直接ping通该设备 在MPLS VPN的网络模型中 所有的设备被划分为属于一个 公网 和若干 私网 彼此之间是完全隔离的 无法相互访问 问题 如何能够通过一台网管同时管理所有的PE P和CE设备 44 MPLS VPN情况下的网管 必要性 可行性有必要吗 CE设备也需要管理吗 不管理CE设备 针对运营商的网络场景可能比较合理 因为CE设备是VPN客户的资产 运营商无需管理 但针对各种企业网 所有的设备都是由一个企业搭建 需要统一管理 而且CE设备并不等同于低端设备 很多核心的交换机都属于CE设备 可行吗 理论上能够做到吗 虽然公网和私网是天然隔离的 但是可以人为的通过一些 隧道 使她们在设备级可达 同时并不影响VPN之间的私秘性 45 解决方案一 SuperVPN 将网管工作站放在一个SuperVPN中 使之可以访问所有的VPN中的CE设备 同时在该CE上与PE之间创建公网的子接口 在CE上配置公网路由 下一跳指向PE的公网子接口 配置私网路由 下一跳指向PE的私网子接口 将该网管工作站的地址同时在公网和私网中发布 SuperVPN华为3Com 149 27 2 27 MPE 华为 3Com MCE PE VPN子接口 公网子接口 如何创建一个SuperVPN呢 CE 1 CE 2 为方便描述 将连接网管设备的PE称为MPE 将连接网管的CE称为MCE 46 解决方案二 SuperCE 将网管工作站放在一个SuperCE下 该CE设备通过为每个VPN建立一个与PE的子接口 使之可以访问所有的VPN中的CE设备 同时在该CE上与PE之间创建公网的子接口 在CE上配置公网路由 下一跳指向PE的公网子接口 为每个VPN配置私网路由 下一跳指向PE的该VPN的私网子接口 将该网管工作站的地址同时在公网和私网中发布 149 27 2 27 MPE 华为 3Com MCE PE 2 公网子接口 华为VPN子接口 3ComVPN子接口 在一种特殊的情况下 方法一和方法二都不可行 你知道是什么情况吗 CE 1 CE 2 47 解决方案三 全公网隧道 将网管工作站直接连接在一台PE或P路由器下 在每一台CE设备上创建一个公网的子接口 在CE上配置公网路由 下一跳指向PE的公网子接口 将每一台CE设备的loopback地址在公网中发布 MPE 华为 3Com PE 2 公网子接口 公网子接口 CE 1 CE 2 48 三种解决方案的比较 图例 49 目录 网络概述设备选型拓扑结构端口选择备份方案设备板卡规划IP地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS VPN规划网络安全规划QOS规划网管规划 50 网络安全规划的基本原则网络安全是一个复杂的体系结构 涉及到几乎全网中的任何设备以及任何层次 网络安全只是一个相对的概念 无论你付出多大的代价 都不存在绝对安全的网络 部署网络安全通常会带来副作用 例如 占用带宽 降低设备的处理能力 给使用和管理网络带来诸多不便之处 所以要在网络的安全和性能之间找到恰当的平衡点 51 网络安全规划 识别服务 访问控制访问控制所有的网络设备必须配置super密码 telnet的口令及密码 并定期修改 telnet需要在VTY中设置访问列表 对无访问需求的源地址进行过滤 例如 在连接内外网的防火墙上禁止来自外网的telnet访问 在PE设备上禁止来自VPN私网用户的telnet访问 如果RIP和OSPF等动态路由协议在某些接口上 通常是以太网口 启动协议的目的仅仅是为了发布路由 而无需建立邻居 则务必将这些接口设置为silenceinterface 防止路由欺骗 52 对于OSPF等在接口上支持MD5认证的路由协议 不建议配置MD5认证 原因如下 由于需要为每一条链路分配一组不同的密码 配置和管理的工作量极大 如果所有的链路都分配相同的密码 则安全性会较差 路由欺骗在广域网上很难实施 主要发生在局域网接口 通过silenceinterface已经很好的解决了这个问题 53 网络安全规划 识别服务 访问控制访问控制对于没有任何互访需求的业务可以使用MPLS VPN技术将其隔离 实现在同一张物理网络中的业务隔离 识别服务当无法从物理上控制访问者的来源时 例如 WLAN接入 来自外网的访问等等 务必要使用相应的鉴权及认证手段进行识别服务 对于来源不可靠的以太网接入可以使用802 1x认证 通过RADIUS实现AAA认证 可以对各种接入用户统一集中进行鉴权及认证 54 网络安全规划 安全传送安全传送当数据在网络传输的过程中无法确保安全时通常需要使用相应的安全传送技术 加密技术IPSecVPN的应用为IP协议组提供了网络层的安全能力 发送主机对IP报文进行加密 目的主机对源地址进行验证 可以确保报文的完整性和隐秘性 WLAN的报文传输过程可以使用各种加密手段确保报文的安全传送 VPN技术报文在传输的过程中将其封装在隧道里 使其对沿途经过的设备不可见 从而保证其安全性 L2TP 点到点二层VPN GRE 通用路由封装 提供普通的IP隧道 常用对安全性要求不高的简单环境 MPLS VPN 使用动态的标签分发协议 通过基于标签的隧道技术提供报文传送的安全性 55 网络安全规划 网络防护网络防护当内部网络与外部网络相连时 需要对内部网络进行必要的网络防护措施 即使在不需要与外网相连的情况下 也需要对内部网络中异常重要的服务器进行防护 网络防护主要通过防火墙设备来实施 56 网络安全规划 非军事区应用非军事区 DMZ de militarizedzone 用以隔离内部和外部网络内部网络只允许内部用户访问 DMZ区提供有条件的对外服务外部过滤器只允许外部流量进入 内部过滤器只允许内部流量进入DMZ从不启动与内部网络的连接当DMZ中的主机受到威胁时 内部流量也不会受到监听 内部过滤器仍然受到保护 57 58 网络安全规划 日志记录日志记录日志记录可以准确的记下设备运行过程中发生的各种软件异常信息 链路异常信息 对设备的各种命令操作等 日志记录可以在事后对各类故障进行分析 便于事后进行追踪 改善网络的安全部署策略 日志记录的类别设备运行时务必设置记录日志 如果条件允许 尽量将需要将日志信息发送到特定的日志主机 为了减少日志信息量 应该只记录重要的告警信息 务必记录对设备所有的操作信息 59 目录 网络概述设备选型拓扑结构端口选择备份方案设备板卡规划IP地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS VPN规划网络安全规划QOS规划网管规划 60 QOS规划基本原则什么情况下需要使用QOS网络带宽紧张 或者在突发流量时带宽不足 网络中存在多种业务 并且这些不同的业务各自对带宽和时延的要求不同 即使带宽足够 为了防止网络中出现异常的突发流量 病毒攻击 的情况 也需要对关键业务做QOS保证 使用哪种QOS模型 IntServ模型 业务通过信令向网络申请特定的QoS服务 网络在流量参数描述的范围内 预留资源以承诺满足该请求 属于理论上可控制的 端到端的服务 但要求端到端所有设备支持RSVP协议 可扩展性差和协议报文开销较大 不建议使用 DiffServ模型 当网络出现拥塞时 根据业务的不同服务等级约定 有差别地进行流量控制和转发来解决拥塞问题 属于常用的简单有效的QOS模型 推荐使用 61 QOS规划Step1 报文分类及打标记了解客户需求当前网络中一共可以划分几种业务 每种业务正常流量的带宽是多少 最大突发流量是多少 一天中何时为忙时和闲时 哪种业务属于需要确保带宽和时延的 哪种业务只需要确保带宽即可 语音及视频业务既要确保带宽又要确保时延 某个重要的数据业务只需要确保带宽 其他不重要的业务 如 办公业务 无需保证 这些业务中按照重要性进行排序 62 为分类后的报文打好标记邓爷爷教导我们 电脑要从娃娃抓起 报文打标记要从接入层设备抓起 越早越好 将按上面分类好的业务报文按照IP优先级分类 在接入层设备的入接口处打上标记 如果接入层设备是以太网交换机 并且支持802 1p 则在交换机的入口处打标记 63 QOS规划Step2 CAR及LR规划流量监管 CAR CommittedAccessRate 通过监督进入网络的某一流量的规格 限制它在一个允许的范围内 若某个连接的报文流量过大 就丢弃报文 通常在上级设备与下级设备相连的入接口上使用 理论依据如下 上级设备的出口带宽 该设备所连接的所有下级设备的入口带宽的总合 即 当所有连接下级设备的入口带宽都被占满时 上级设备必然会在出口处发生拥塞 参考在正常情况下来自某个下级设备的最大可能流量 主要考虑重要业务的最大流量 以及参考网络的忙时与闲时 来设置该设备的流量兼管的相关参数 64 物理接口限速 LR LineRate 与CAR相比 LR能够限制在物理接口上通过的所有报文 CAR在IP层实现 对于不经过IP层处理的报文不起作用 当用户只要求对所有报文限速时 使用LR比较简单 使用理论依据及方法同上 65 QOS规划Step3 流量整形规划流量整形 GTS 通用流量整形GTS GenericTrafficShaping 通过是限制流出某一网络的某一连接流量与突发 使这类报文在某个接口以比较均匀的速度向外发送 通常下级设备与上级设备相连的出接口上使用 理论依据如下 下级设备希望尽可能的利用上级设备所分配的带宽 为了防止上级设备由于拥塞将报文丢弃 下级设备希望能够以尽量平滑的速率发送流量 66 QOS规划Step4 拥塞管理规划拥塞管理当数据包到达的速度大于该接口传送数据包的速度时 在该接口处就会产生拥塞 如果没有足够的存储空间来保存这些数据包 它们其中的一部分就会丢失 当拥塞发生时 路由器采取一定策略对数据包进行调度 决定哪些数据包可优先发送 哪些数据包可被丢弃 这些策略就称为拥塞管理策略 67 常用的队列调度机制FIFOQ 原始社会的Q 都吃饱或者随机饿死 PQ 奴隶主和地主老财的Q 穷人兄弟要饿死 CQ 大锅饭的Q 没有按劳分配 干好干坏 IP优先级高低 一个样 无法控制每个Q的时延 WFQ 恶性竞争的Q 主要与IP优先级有关 缺乏有效的管理和监控手段 无法控制每个Q的带宽 CBQ 兼顾了以上几种Q的优点 提供1个LLQ队列确保时延及带宽 提供64个BQ队列确保带宽 由于CBQ与现实中的业务模型十分相符 每种关键业务通常都会有一个带宽的上限要求 个别关键业务对时延敏感 所以通常使用CBQ 而不会使用其它Q 其它Q通常只会出现在教科书中 68 QOS规划Step5 拥塞避免拥塞避免拥塞避免技术一般用于网络的瓶颈处 其目的是有效监控网络流量负载预期拥塞的发生 并有效的防止在网络瓶颈处形成拥塞 通过丢弃信息包可以达到避免拥塞的目的 WRED WeightedRandomEarlyDetection采用随机丢弃的策略 避免了尾部丢弃的方式而引起TCP全局同步根据当前队列的深度来预测拥塞的情况根据优先级定义不同的丢弃策略 定义上限阈值和下限阈值相同的优先级不同的队列 队列长度越长丢弃概率越高使用方法在接入层和汇聚层的入口处配置使用 使用缺省参数即可 69 QOS规划 总结基于业务的分析与报文标记QOS中的几乎所有控制手段都是基于对业务的分类 及不同业务流的标记 多种方法结合使用预防策略 LR CAR GTS WRED调度策略 各种队列调度方案 QOS的局限性和副作用每一种策略都会消耗设备的系统资源 导致设备的总体性能下降 并非使用了QOS就可以高枕无忧 可能设备异常繁忙导致无法处理配置