企业网网络规划

企业网网络规划第一页，共七十二页，2022年，8月28日网络规划其实很难......一个合格的网络设计师需要具备如下条件：精通TCP/IP协议族中数十个协议的原理......精通N家厂商的N百种设备的性能和配置......还要具备统筹学、经济学、哲学的基本思想......丰富的实践经验和组织协调能力......对网络中的新技术保持高度的敏感性......胆大心细、临危不乱的良好心里素质..................第二页，共七十二页，2022年，8月28日网络规划其实很简单......瞎说！根本没那么恐怖：常用的协议不超过10个，了解大概就行......主流厂商只有几家，相同厂家的产品配置相同......很多网络的模型都十分相似，照猫画虎即可......不就是画几个框框、圈几个圈圈、连几根线么............第三页，共七十二页，2022年，8月28日网络规划其实很崇高......当你进行网络规划时，你与画“向日葵”的凡.高……谱写“命运交响曲”的贝多芬……唱“我的太阳”的帕瓦罗帝……设计“鸟巢”的安德鲁……没什么区别，因为你们都是——

艺术工作者！！第四页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第五页，共七十二页，2022年，8月28日贺岁大片——《网络帝国》路由器（男主角）网络中最重要的设备，提供最丰富的接口连接、软件特性，也是构建网络的核心力量。以太网设备（L2/L3/LAN接入）（女主角）提供各种以太网接口类型的线速转发功能，是构建局域网和城域网的核心力量。路由交换设备（反串）提供LAN交换板的路由器；提供增强型引擎的交换机——路由器和交换机的融合趋势越来越明显。其他设备（配角）网管、安全、语音、视讯设备，提供网络的管理或业务增值功能。二层或物理层交换设备（剧务）ATM交换机、FR、X.25交换机、DDN节点机、传输设备。对各种物理端口进行带宽或时隙的拆分。对于网络规划通常是不可见的。第六页，共七十二页，2022年，8月28日网络中的设备基于CPU的设备此类设备功能最强，由于所有的功能都由软件实现，几乎无所不能。但转发性能方面差强人意。基于ASIC的设备由固化的硬件芯片实现全线速的转发，但灵活性和升级能力很差。通常只能实现基本的路由及转发功能，但对一些特殊的业务能力（VPN，NAT，策略路由）支持很弱。基于NP的设备由微码级的可编程网络处理器实现全线速的转发。灵活性和升级能力远远优于ASIC，但较基于CPU的设备还有一定的差距。第七页，共七十二页，2022年，8月28日网络的层次划分核心层交换数据包，实现高速的数据流量运转，核心层的设备不但需要容量大，转发快，而且需要具备高稳定性。但通常对业务的需求高。汇聚层隔离拓朴结构变化、控制路由表的大小及控制流量、端口的收敛。实现丰富的业务特性。接入层将终端用户接入到网络中，大量的端口，强大的接入能力。实现丰富的业务特性。几点说明在小型的网络中，层次不一定这么明显，很可能只有两个甚至一个层次的设备。在一些大型网络中，层次可能划分的更细：例如，增加了边缘接入层、和骨干核心层。在某个范围之内的核心层，在上一级网络中很可能只是汇聚层。第八页，共七十二页，2022年，8月28日网络规划基本原则可靠性原则从设备本身（电信级可靠性）和网络拓扑（无单点故障）两方面考虑。可扩展性原则从设备性能（是否已达到满配），可升级的能力（是否可以通过平滑的软硬件升级支持未来的新业务和新特性）和IP地址、路由协议规划等方面考虑。可运营性原则仅仅提供IP级别的连通是远远不够的。网络是否能够提供丰富的业务，足够健壮的安全级别，对关键业务的QOS保证……搭建网络的目的是真正能够给用户带来效益。可管理原则提供灵活的网络管理平台，利用一个平台实现对系统中的各种类型设备进行统一管理；提供网管对设备进行拓扑管理、配置备份、软件升级、实时监控网络中的流量及异常情况。第九页，共七十二页，2022年，8月28日网络规划流程图设备选型物理连通IP连通路由规划拓扑规划MPLS/VPN规划QOS规划板卡规划IP地址规划业务隔离及关键业务确保带宽及流量控制网络安全部署网管规划可运营可管理的安全网络策略路由高级路由协议规划第十页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第十一页，共七十二页，2022年，8月28日设备选型需要参考的因素可靠性该设备是否提供关键模块（电源、主控板）的冗余备份，具备何种级别的可靠性转发性能通常做如下考虑：通过某设备的流量<（该设备满配最大流量）/2。业务支持能力除了普通的IP路由功能外，是否需要该设备支持诸如（NAT、各种VPN、策略路由）等业务属性。（CPU、ASIC、NP）端口支持是否能够提供组网所需要的端口。扩展能力是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持。（CPU、ASIC、NP）价格因素在综合考虑以上因素的基础上选择适当的设备。只选对的，不选贵的。第十二页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第十三页，共七十二页，2022年，8月28日网络中常用的端口类型高速端口（100M以上）POS（155M、622M、2.5G）ATM（155M、622M）快速以太网（100MFE、GE、10GE）中速端口（10M——100M）E3（34.368M）T3（44.736M）以太网（10M）低速端口（10M以下）PSTN异步拨号（56K）ISDN异步拨号（64K）V24同步SA（64K）V35同步SA（2M）T1（1.54M）E1（2M）ADSL（2M－8M）第十四页，共七十二页，2022年，8月28日网络中常用的端口拆分及聚合高速端口的拆分ATM接口通过ATM交换机拆分，可以连接任意带宽的ATM接口CPOS接口通过传输设备拆分，可以连接不同带宽的E1接口高速以太网通过MSTP传输设备拆分，可以连接任意带宽的以太网接口。E1接口通过DDN节点机设备拆分，可以连接不同带宽的同步串口优点是上层设备只需提供M个端口就可以连接N个下层设备（M<<N）。低速端口的聚合N个相同带宽为M的以太网接口可以聚合成一个NXM带宽的接口。N个相同带宽为M的串口或E1接口可以聚合成一个NXM带宽的接口。优点是可以用低速的端口提供高速的带宽。聚合后的N个物理接口从逻辑上表现为一个接口，只使用一个IP地址。聚合接口本身的聚合及备份由链路层协议解决。第十五页，共七十二页，2022年，8月28日网络中常用的端口互联方式对等型互联互联的两台设备之间接口类型及带宽完全相同。例如：E1—E1；100MFE—100MFE；常用于同一层次之间的设备互联。非对等型同质接口互联互联的两台设备之间的接口类型相同，但带宽不同。例如：ATM—（ATM交换机）—n×ATM。例如：1GE—（MSTP传输设备）—n×FE。常用于上层设备的1个端口与N个下层设备之间互联。优点是上层设备只需提供M个端口就可以连接N个下层设备（M<<N）。非对等型异质接口互联互联的两台设备之间的接口类型不相同，而且带宽也不同。例如：CPOS—（传输设备）—n×E1。例如：E1—（DDN节点机）—n×64K。常用于上层设备的1个端口与N个下层设备之间互联。优点是上层设备只需提供M个端口就可以连接N个下层设备（M<<N）。第十六页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第十七页，共七十二页，2022年，8月28日网络中常用的拓扑结构星形或双星形常见于下层网络与上层之间的拓扑结构，主要的网络流量都在分支节点与核心节点之间发生，两个分支节点之间不通讯或流量很少。第十八页，共七十二页，2022年，8月28日网络中常用的拓扑结构网状或部分网状常见于同一层次（核心层或汇聚层）之间的设备互联，这些设备之间通常都是对等通信，或者这些设备之间需要确保互联而增加很多的冗余链路。第十九页，共七十二页，2022年，8月28日网络中常用的拓扑结构混合组网在同一个网络中，不同的层次之间通常采用不同的拓扑结构，通常核心层或汇聚层采用网状或部分网状相连，核心层与汇聚层或汇聚层与接入层之间采用星形或双星形相连。

第二十页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第二十一页，共七十二页，2022年，8月28日网络中常用的备份原则基本的备份原则备份花费的代价<=设备故障带来的损失；通常只考虑N＋1备份，即：关键的设备、链路、模块中任何一个出现故障，不会影响整网运行。备份通常从拓扑、设备自身、协议等几方面考虑。备份不仅仅要从逻辑的角度考虑，更需要从物理的角度考虑问题。接入层备份思路通常选择不具备关键模块冗余功能的设备。通常不考虑双机备份或者仅提供双链路级别上行的备份。汇聚层备份思路通常选择具备关键模块冗余功能的设备。通常考虑双机备份，上行通常提供双链路级别的备份，并且汇聚层设备之间考虑环行连接。核心层备份思路通常选择具备电信局可靠性的设备。在拓扑上考虑核心层设备之间网状或部分网状连接。第二十二页，共七十二页，2022年，8月28日对称性备份与非对称性备份对称性备份对称方案中主备两种方案所提供的带宽是相等的。备份设备或者备份链路同时也参与运营。需要考虑的是由于等值路由造成的报文路径不同，会导致的上层协议报文重组需要部分等待时间，从而造成效率下降的问题。解决的方案是尽量选择等值路由情况下逐流转发的设备而非逐包转发的设备。非对称性备份非对称方案中备份链路提供较小或相等的带宽，只有在主用链路故障时备份链路才会生效。如果希望备份链路或备份设备也投入运行，可以通过策略路由或路由协议的规划使备份链路运行特定的部分业务流量。第二十三页，共七十二页，2022年，8月28日针对主机的备份技术——VRRP路由器之间的VRRP两台路由器通过一台二层交换机交换VRRP报文信息，并向下提供虚拟IP及MAC地址。主用的路由器同时监控上行接口，上行链路故障或设备故障时会自动切换。虚拟MAC:00e0fc010203监控上行端口虚拟MAC:00e0fc010203监控上行端口三层交换机之间的VRRP两台L3通过一条互联的trunk接口交换VRRP报文信息。主用的L3同时监控上行接口，上行链路故障或设备故障时会自动切换。主机通常具备双机热备份机制，同时上连两台L3。第二十四页，共七十二页，2022年，8月28日针对网络设备的备份技术链路层的备份PPP协议中的MP可以自动做到捆绑的N条链路之间的自动备份，流量的自动分配，故障时的自动切换。以太网的聚合技术——802.3ad，可以自动做到捆绑的N条链路之间的自动备份，流量的自动分配，故障时的自动切换。IP层的备份IP层的备份原理实际上是利用路由表添加路由的规则来实现的：对于到达相同目的地的路由，路由器只使用最优的一条。如果最优的路由消失，则依据相同的规则选择原来的次优路由。静态路由之间使用优先级不同来控制优劣。不同的动态路由协议之间使用优先级来控制优劣。同一协议内部使用不同的花费值来控制优劣。局域网内整机备份技术XRN通过增加设备来扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，可以提供基于三层的链路、转发、管理、路由备份。第二十五页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第二十六页，共七十二页，2022年，8月28日设备板卡规划设备的板卡布局也需要规划？当然！原则是：不要把所有的鸡蛋放在同一个篮子里；如果有M个鸡蛋和N个篮子，尽量把M个鸡蛋平均放在N个篮子里。使得当失去一个篮子时损失的鸡蛋数量<=[M/N]向上取整。当某台设备上同时存在高速及低速接口时，板卡布局时要充分考虑到设备的性能。MPLS骨干网155MPOS2XE1已知：某NE16E配置了两块POS卡；两块8E1卡；两块VIU板；它的实际连接情况如图所示。请画出它的最佳面板布局图。第二十七页，共七十二页，2022年，8月28日设备板卡规划012345678910111213141516电源RSURSUALUHAUHAU电源电源POS155M2xE1POS155M2xE1012345678910111213141516电源RSURSUALUHAUHAU电源电源POS155MPOS155M2xE12xE1最佳方案最差方案第二十八页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第二十九页，共七十二页，2022年，8月28日IP地址规划的重要性IP地址的合理规划是网络设计中的重要一环，大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准，直接看他的IP地址规划好了。IP地址规划是一项艺术创造！第三十页，共七十二页，2022年，8月28日IP地址规划的基本原则唯一性：一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。连续性连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实意性“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式，以及一些参数及系数，通过计算得出每一个需要用到的IP地址。第三十一页，共七十二页，2022年，8月28日IP地址的分类－－loopback地址loopback地址概述为了方便管理，会为每一台路由器创建一个loopback接口，并在该接口上单独指定一个IP地址作为管理地址，管理员会使用该地址对路由器远程登录（telnet），该地址实际上起到了类似设备名称一类的功能。同时各种上层协议需要使用TCP或UDP来建立连接时也需要使用该地址作为源地址。loopback地址规划技巧务必使用32位掩码的地址。最后一位是奇数的表示路由器，是偶数的表示交换机。越是核心的设备，loopback地址越小。为什么核心设备要使用较小的loopback地址?第三十二页，共七十二页，2022年，8月28日IP地址的分类－－互联地址互联地址概述互联地址是指两台网络设备相互连接的接口所需要的地址。互联地址规划技巧务必使用30位掩码的地址。核心设备，使用较小的一个地址（即：loopback地址较小的设备使用互联地址中较小的一个）。互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。第三十三页，共七十二页，2022年，8月28日IP地址的分类－－业务地址业务地址概述业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址。业务地址规划技巧所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。第三十四页，共七十二页，2022年，8月28日IP地址的分类－－广西电力调度网第三十五页，共七十二页，2022年，8月28日IP地址的分类－－广西电力调度网网络情况概述网络分为中调、地调、厂站三级。全网使用MPLS/VPN技术，共划分4个VPN。全网共分配2个B类地址：10.90.X.X——10.91.X.X。每台中调和地调路由器下面有两台3层交换机。每台厂站路由器下面有两台二层交换机。第三十六页，共七十二页，2022年，8月28日IP地址的分类－－广西电力调度网地址块的划分，有以下两种方案：先纵向划分，再横向划分。即： 按照业务先将地址划分为公网、VPN1——VPN4共5大块。然后再按照地域在每一个地址块中为每一个地市划分一个地址块。先横向划分，再纵向划分。即： 按照地域将地址划分为多块（每个地市一个地址块）。然后再按照业务将每个地市的地址块划分为：公网、VPN1——VPN4共5块。哪一种方案更合理，为什么？第三十七页，共七十二页，2022年，8月28日IP地址的分类－－广西电力调度网公网地址划分以核心设备（中调及地调）为标志划分N个地址块，每个地址块共占用1个C，内部划分为5块：本设备的loopback地址，及与本设备相连的交换机的loopback地址。（1－11）与本设备互联的交换机的互联地址。（12－55）与本设备互联的下级设备的互联地址。（56－140）对于地调，下级设备（厂站）的loopback地址。（141－180）对于地调，下级设备（厂站）与交换机之间的互联地址。（180－212）213－255，保留。所有地调的划分完全相同，每块地址块的大小取所有的地调中需求最多的，并且充分考虑到扩展性。每个地调的所使用的地址段相隔4个C类地址（相隔4个是为了与后面VPN的地址规划相同）。并且该地调地址的第3个8位与该地调所属的OSPF区域也相同。第三十八页，共七十二页，2022年，8月28日IP地址的分类－－广西电力调度网VPN地址的划分将一个B类地址平均分为4块，VPNn的起始地址为： 10.91.An.X，其中An＝（n-1）*64+1。下面以VPN1为例，其他3个VPN的地址在此基础上＋（n-1）*64：PE与CE之间的互联地址划分：使用每个VPN范围内的最后一个C类地址，作为第三个8位。VPN内业务地址划分：每个VPN的业务网段划分/26掩码的地址；每个地调的业务网段的第一个VPN的起始位（第三个8位）与该地调的公网地址的第三个8位相同。其他3个VPN第三个8位在第一个VPN的基础上＋（n-1）*64；第三十九页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第四十页，共七十二页，2022年，8月28日设备命名规范—sysname规划为了保证以后的管理方便，通常需要为设备统一命名。可以采用以下命名方法：AA-B-YYYY-XAA：表示该设备所属的级别和名称，通常的规则是取汉字拼音的首字母缩写。 例如：NN-南宁；也可以灵活运用大小写字母及增加后缀来表示不同级别的设备。ShaTB-沙田（B表示变电站）；B：表示设备的厂商名称，本次工程使用华为3Com公司产品，则：B为H3YYYY：表示设备型号，如NE16E、S6503等。X：表示如果前三项相同的设备，用数字编号1、2标识。例如：地调北海第一台交换机3526E命名：BH-H3-S3526E-1厂站冲口AR4640路由器命名为：ChongKB-H3-AR4640第四十一页，共七十二页，2022年，8月28日设备命名规范—接口description规划为了准期表明每个接口对端的连接保证以及带宽，需要为每一个使用的接口配置description描述信息。通常采用以下命名方法：to对端设备名带宽，其中对端设备名使用前一节讲到的sysname规划方法。例子：descriptiontoZD-H3-NE16E-28M表示：该端口对端设备中心备用NE16E路由器，带宽为8M。第四十二页，共七十二页，2022年，8月28日设备命名规范—接口命名除了设备固定的接口之外，我们常常会手工创建一些接口，例如：MP接口，以太网子接口，VLAN接口等。对这些接口后面分配的数字应该尽量包含实际的意义。mp－groupA/B/C，接口的A表示槽位，B表示卡位，是固定的，C可以设置为能够包含对端设备信息的数字，例如对端设备loopback接口地址中明确区分自身信息的一位，或者是对端设备所属的OSPF区域号等等信息。以太网子接口务必要将子接口数字与VLAN信息保持一致。VLAN接口的数字要全局统一规划，例如：使用100、200表示VPN的VLAN，使用1000表示网管的VLAN等。第四十三页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第四十四页，共七十二页，2022年，8月28日路由协议的规划——路由协议的选择公欲善其事，必先利其器，不能让网络规划输在起跑线上！RIP——最古老的路由协议，特点：性能低下，只适合在小型的网络中使用。（狗肉上不了大席）IGRP——在RIP的基础上稍加改进，拥有RIP所有的缺点。（改良的狗肉，还是上不了大席）EIGRP——性能不错，但却是cisco的私有协议，互通性不好。而且容易引起法律纠纷。（现在都是e世代了，拜托，能不能open一点？）IS-IS——ISO与IETF帮派斗争的产物，本来是为OSI七层模型设计，后来强行移植到IP上。（驴唇不对马嘴）OSPF——是因特网上使用最为广范的IGP，专家强力推荐。（相信我，没错的）BGP——是目前因特网上唯一的一种EGP协议。（只此一家，别无分店）第四十五页，共七十二页，2022年，8月28日OSPF规划routerid的规划直接使用该设备的管理地址（loopback）作为routerid，并且要确保该数字与ldp的lsrid相同。区域划分区域划分是OSPF规划中最核心也是最复杂的部分。OSPF的区域划分是与网络层次密切相关的，通常核心层与汇聚层规划为区域0，汇聚层的设备规划为ABR，汇聚层与接入层之间规划为非骨干区域，非骨干区域尽量规划为NSSA区域。每个区域中的设备数量最好不要超过30台，这个数字不是绝对的，主要与设备性能，链路的稳定性密切相关。非骨干区域的规划可以与网络中实际的行政，地域划分相吻合。路由聚合规划在ABR上通常需要对非骨干区域的路由聚合后发布到骨干区域。同理：骨干区域的路由也通常需要聚合后再发布到非骨干区域。在ASBR上可以对所有本地引入的路由聚合后再发布。聚合的地址范围是链路地址、业务地址，但通常不对loopback地址进行聚合。第四十六页，共七十二页，2022年，8月28日OSPF规划——区域规划中的疑难杂症如果OSPF的骨干区域中设备很多怎么办？例如：某企业网的全国性项目中每个省提供两台设备做核心层，下面还有市、县级网络。这样area0中的设备数量会超过60台。此时该网络的规模已经超过了OSPF所能承受的极限，建议每个省规划为一个OSPF自治系统，不同的省之间通过运行BGP协议交换路由信息。如果OSPF的非骨干区域中设备很多怎么办？例如：某银行的一个地市被规划为一个非骨干区域，但其中有70余台中低端设备。建议将该地址划分为3-4个非骨干区域，但每个区域内的互联地址和业务地址最好能够对应一个连续的可聚合的地址段。如果网络中的设备是4级结构怎么办？例如：某省银行全省共划分为省行、市行、县行及营业网点4级结构。由于OSPF协议只支持2层区域结构。省行与市行规划为骨干区域，每个市行连同下辖的所有县规划为一个非骨干区域。则县与营业网点之间可以运行静态路由。或者再运行另外一套路由协议，推荐使用OSPF多进程。第四十七页，共七十二页，2022年，8月28日OSPF规划——COST及路由引入规划OSPF的COST规划为确保路由器选择最优路径，需要统一OSPF路由尺度（cost）的计算。通常的做法是：取网络中带宽的最大值为度量值1，其他类型的接口按与最大带宽的比例计算。例如：网络中最大带宽为GE。 接口类型 cost GE 1 155MPOS 7 100MFE 10 10METHERNET 100 N×E1 500/N Loopback接口的COST值通常取1。OSPF的路由引入规划OSPF可以引入直连、静态以及其他路由协议的路由。对于直连路由，如果条件允许，尽量使用network命令当作区域内路由发布，避免引入操作。对于静态和其他路由协议，引入时可以统一COST及路由类型，例如：cost为1000，type为1。如果引入BGP路由，需要考虑路由表的规模，也可以使用缺省路由来避免引入。第四十八页，共七十二页，2022年，8月28日OSPF规划——NSSA区域OSPF的NSSA区域是一种特殊的非骨干区域，由于具备一些特殊的属性而在实际的网络网络规划中经常使用。当一个非骨干区域中不希望接收大量的区域外路由时，可以将其配置为STUB属性，但由于STUB中苛刻的要求所有的设备都不能引入任何外部路由，导致其几乎无法使用。而NSSA无此限制，所以可以放心使用。使用NSSA区域的另外一个优点：对于Type5类的LSA，由于OSPF只能在ASBR处将路由聚合，发布之后就没有再次聚合的机会了。而NSSA在ABR处将Type7转成Type5时可以再一次进行聚合操作，实际上又多了一次宝贵的聚合机会。使用NSSA区域的局限性：由于协议规定，当一个NSSA区域中存在两个ABR时，只能由其中的一台（routerid大的）进行type7到type5的转换操作。所以在实际使用中会受到一定的限制。第四十九页，共七十二页，2022年，8月28日OSPF规划——路由的过滤OSPF由于受到链路状态算法的限制，对于路由的过滤会受到很多的限制。通常任何一台设备都没有权利更改或删除非自己生成的LSA。所以每台设备上配置的路由过滤只会影响到自身路由表的生成，而不会更改LSA。所以，如果要全网或者大部分路由器需要过滤某条路由，只能逐台配置过滤。OSPF留下的一个backdoor事实上并没有这么悲观，OSPF在区域边界处留下了一个后门。聚合的命令后面有一个notadvertise参数，如果需要过滤某条路由，可以将该条路由配置成聚合命令（并非真正聚合，网段与掩码完全相同即可），后面加上notadvertise参数即可做到过滤。对于type5类的路由，可以在NSSA的ABR处用同样的方法过滤。以上的过滤方法只是针对区域间而言，在区域内无效，还只能使用逐台过滤的方法。第五十页，共七十二页，2022年，8月28日OSPF规划——双塔奇兵area0areanloopback0OSPF如果某个区域存在两个ABR，并且在两个ABR上都对arean内的路由做了聚合操作。loopback0应该属于area0还是arean？如果骨干区域被分割有何后果？如果非骨干区域n被分割有何后果？图中的红线应该属于area0还是arean？第五十一页，共七十二页，2022年，8月28日OSPF规划——犬牙交错area0area1有时接入层的设备会以乱序的方式与汇聚层进行连接。OSPF的区域该如何划分？如果所有的汇聚层和接入层都划为一台区域，则会太大。如果选择两台汇聚层设备加上所有同时与他们相连的接入层设备划分为一个area则会导致区域太多，并且没有规律。并且对IP地址规划十分不利。建议按照每台汇聚层设备与之相连的所有链路接口划分为一个区域。area2area3这样对于接入层设备两条上联链路分别属于area1和area2，那么它的loopback接口和业务接口属于哪个区域呢？第五十二页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第五十三页，共七十二页，2022年，8月28日BGP规划企业网中在什么情况下需要使用BGP协议？网络过于庞大，OSPF难以胜任时；网络中需要大量的使用路由策略或者是业务分流时。网络需要使用MPLS/VPN技术时。是否只有性能很好的核心设备才能够运行BGP？BGP协议本身并不消耗很多资源，只有当运行BGP的设备需要学习到很多条路由，需要建立很多邻居关系时才会要求设备自身的性能很高。只要规划得当，任何档次的设备（包括接入层设备）都可以运行BGP协议。Routerid的规划BGP的routerid与ospf的routerid共用一个，与loopback接口地址相同。ASnumber的规划由于企业网中都是所有网络，所以BGP使用私有的ASnumber。IBGP还是EBGP？由于企业网的规模通常都不会很大，通常IBGP就可以满足一般的需求了。第五十四页，共七十二页，2022年，8月28日BGP规划——路由反射器由于在一个AS内部，要求所有的IBGP邻居必须全部建立邻居关系，会导致N平方问题，所以经常会遇到路由反射器的规划。由于路由反射器支持嵌套，所以可以严格按照网络的层次来划分路由反射器。核心层是第一级的RR，汇聚层是核心层的client，同时也是接入层的RR。互为备份关系的相同一级的RR可以规划为同一个cluster，配置相同的clusterid。如果图中的核心层设备性能足够健壮，规划为两级RR和规划为一级RR有什么区别吗？哪一种方案更好？第五十五页，共七十二页，2022年，8月28日BGP规划——灵活使用MED以及LP属性控制业务分流OSPFEBGPEBGPIBGP业务名称业务网段主用线路备用线路1备用线路2(生产)人民币192.10.10.0/24LineRLineBLineG(OA)办公192.10.20.0/24LineGLineB/(OA)视频192.10.30.0/24LineBLineG/BRG已知某银行在市行与省行之间共有3条线路，并且希望不同的业务使用不同的链路，并且需要相互备份。通过建立三个EBGP邻居，在3条链路上发送不同的路由，并携带不同的优先级。发送路由时使用MED属性，接收路由时使用LocalPreference属性。由于人民币业务独享RED线路，所以在RED邻居发送和接收路由时只包含人民币业务。线路名称发送的业务网段（MED）接收的业务网段（LocalPreference）RED人民币（5）人民币（15）BLUE人民币（10）办公（10）视频（5）人民币（10）办公（5）视频（10）GREEN人民币（15）办公（5）视频（10）人民币（5）办公（10）视频（5）第五十六页，共七十二页，2022年，8月28日BGP规划——灵活使用团体属性&与IGP协同操作已知某大型石油集团公司新成立股份公司，全国共划分5个大区，每个大区下辖多个地区公司，全国共计80余个地区公司。每个地区公司都有一个较大的局域网。全网共计2000余台3层设备。该股份公司还需要同集团公司之间进行通讯，需要在多条链路上实现针对不同流量的负载分担。地区公司出口节点大区公司出口节点股份公司出口节点集团公司出口节点第五十七页，共七十二页，2022年，8月28日OSPFOSPFOSPFOSPFOSPFOSPFOSPFOSPFOSPFOSPFOSPFBGP规划——灵活使用团体属性&与IGP协同操作OSPF+IBGPEBGP每个地区公司及大区公司自己内部的局域网都独立运行OSPF协议；所有的地区及大区公司的出口路由器组成骨干网，运行OSPF(多进程)＋IBGP；骨干网的OSPF只负责所有骨干设备的链路地址以及loopback地址的学习；所有的业务地址由BGP负责发布，使用netwrok命令＋下一跳指向null0接口的静态路由进行聚合后的发布。在发布路由时，为每个地区公司以及大区配置不同的团体属性值，在EBGP出口时根据团体属性控制带宽及报文的流向。方便日后向MPLS/VPN平滑过渡第五十八页，共七十二页，2022年，8月28日目录网络概述设备选型拓扑选择端口选择备份方案设备板卡规划ip地址规划设备命名规划IGP路由协议规划BGP路由协议规划MPLS/VPN规划网络安全规划QOS规划网管规划第五十九页，共七十二页，2022年，8月28日MPLS/VPN规划－PE、P和CE的选择哪些设备应该规划为PE？如果一个网络需要运行MPLS/VPN，那么所有的路由器，以及部分核心交换机（如果该交换机提供与广域网连接的接口）。PE要承担什么任务？划分VRF，启动OSPF，MBGP，MPLS，LDP协议。哪些设备应该规划为CE？所有的2层交换机，绝大部分的3层交换机（如果该交换机与广域网相连需要通过路由器）CE要承担什么任务？搜集到所有的本地SITE内的路由，发给PE；从PE处接收本VPN的路由。哪些设备应该规划为P？在企业网中，通常不会存在某台设备只提供广域网的连接而不提供局域网的接入。所以P设备同时肯定也是PE设备，无需特殊规划。第六十页，共七十二页，2022年，8月28日MPLS/VPN规划－VPN的划分如何划分不同的VPN？VPN的形成主要靠规划RT来实现，划分VPN的过程就是规划RT的过程。考察用户的需求，一共可以划分为几种不同的业务？这些业务之间是否基本上不需要互访？按照以上的需求初步划分不同的VPN，为每个VPN配置不同的RT。如果在此基础上用户还有其他复杂需求：横向本地互通，或者不规则互通需求，可以在此基础上增加RT规则。第六十一页，共七十二页，2022年，8月28日MPLS/VPN规划－－RT的灵活应用

VPN1VPN2VPN3RTARTFRTERTDRTBRTCRTA&RTD:both65000:100RTB&RTE:both65000:200RTC&RTF:both65000:300RTA:both65000:100RTB:both65000:200RTC:both65000:300RTD:both65000:100|both65000:400RTE:both65000:200|both65000:400RTF:both65000:300|both65000:400RTA:both65000:100|import:65000:600export:65000:500RTB:both65000:200|import:65000:500export:65000:600RTC:both65000:300|import:65000:500export:65000:600RTD:both65000:100|both65000:400RTE:both65000:200|both65000:400|im:65000:500ex:65000:600RTF:both65000:300|both65000:400|im:65000:500ex:65000:600第六十二页，共七十二页，2022年，8月28日MPLS/VPN规划－CE的规划最理想的模式：同一台PE下的N个VPN共配置N台CE。最糟糕的模式：同一台PE下的N个VPN共配置M台CE，M<N，根据“抽屉原理”，至少有一台CE上存在两个以上的VPN。存在的问题不同的VPN在本地CE上会互访。CE到PE的路由发布存在问题，无法使用缺省路由及动态路由（OSPF多进程除外）。解决方案：将CE配置成2层交换机使用。通过配置VLAN隔离不同VPN。 优点：完美解决VPN隔离及路由问题。 缺点：当CE侧主机过多时，局域网内的广播风暴将直接冲击路由器，使得路由器缺少了一个屏障，直接暴露在局域网内。 适用范围：局域网内主机较少的分支节点。选择支持MultiVRF的交换机做CE。通过在交换机配置不同的VPF对应不同的VPN。 优点：完美解决VPN隔离以及路由问题。 缺点：支持此类特性的设备较少且价格昂贵。 适用范围：VPN越多优势越明显。在CE配置ACL隔离本地VPN间的互访；为不同的VPN配置精确路由指向相应的PE接口（基于地址不冲突且IP地址规划整齐，也是VPN的IP地址规划要按照VPN划分的原因）。或者使用策略路由。 优点：没什么优点。 缺点：属于打补丁的解决方案，安全性差（ACL）且配置繁琐。 适用范围：VPN少且不适合使用二层的情况。第六十三页，共七十二页，2022年，8月28日MPLS骨干网MPLS/VPN规划－双PE双CE备份规划MPLS骨干网已知：本网络共规划6个VPN，且交换机不支持multi-vrf功能。问：交换机做三层使用还是2层使用？哪一种方案更合理，为什么？图中的红色连线应该规划成公网还是私网？第六十四页，共七十二页，2022年，8月28日MPLS/VPN规划－MPLS及LDP以及RD的规划MPLS规划全局使能MPLS。在所有的公网接口上使能MPLS。指定设备的lsr-id，与本设备的routerid相同。LDP规划全局使能LDP。在所有的公网接口上使能LDP。如果网络情况复杂，选择用接口直连地址建立LDP邻居的方式。否则可以使用缺省的loopback接口建立邻居的方式。RD规划相同的VPN要配置相同的RD。通常RD配置为与RT相同，如果存在多个RT，选择一个最常用的。第六十五页，共七十二页，2022年，8月28日MPLS/VPN规划－MBGP的规划（公网部分）MBGP的规划分为公网部分和私网部分，由于公网的路由全部由IGP来计算，所以MBGP并不负责搜集公网路由信息。但由于MBGP的私网路由信息需要靠公网邻居来传播，公网部分的规划只需要建立好BGP的邻居关系即可。规划AS号鉴于属于私有网络，而且通常整个网络都属于一个AS，所以只需规划一个AS号，建议使用65000以上的数字。规划IBGP的邻居部署由于整个网络中所有的路由设备都是PE，所以都需要运行IBGP。由于一个AS中所有的PE都需要建立邻居关系，会导致N平方问题，所有需要规划路由反射器。第六十六页，共七十二页，2022年，8月28日MPLS/VPN规划－MBGP的规划（私网部分）MBGP的规划分为公网部分和私网部分，由于MBGP需要发布私网VPN的路由信息及私网标签，所以所有的BGP的具体应用以及策略的规划都使用私网规划部分VPNv4规划激活所有的在公网下配置的BGP邻居，使其具备携带私网路由及标签的能力。配置反射器以及HOPE等部署。配置具体的路由策略。VPN-instanc