一、网络规划
PDIOI
PLAN(规划)——Design(设计)——Implementation(实施)——Operation(运维)——Improve(优化)
甘特图:将分解后的工作活动排序,用图示的方式将活动与时间联系起来
交换机选型(S2700/S3700/S5700/S6700)
制式 | 盒式/框式 |
---|---|
功能 | 二层/三层 |
端口密度 | |
端口速率 | 百兆/千兆/万兆 |
交换容量 | 交换矩阵或数据总线的最大吞吐量(基本无瓶颈) |
包转发率 | 包转发能力 |
路由器选型(AR/NE)
制式 | 盒式/框式/集群 |
---|---|
接口类型 | 以太/串行/POS/PON等 |
端口密度 | |
性能 | 交换容量、转发性能 |
其他 | 防火墙/IPS/VPN/上网行为管理/PBX/SIP |
ToR(Top of Rack):在每一个机架顶部安装交换机
EoR(End of Rack):在每一排机架尾部安装交换机
MoR(Middle of Rack):在每一排机架中部安装交换机
链路类型 | 结构特点 | 二层协议 |
---|---|---|
DDN/E1/POS | 点到点链路 | HDLC/PPP |
PSTN/ISDN | 点到点链路 | PPP |
OTN | 点到点链路 | Ethernet |
分组交换网 | 点到多点链路 | 以太/X.25/FR/ATM |
高可用:
M
T
T
F
(
M
T
T
F
+
M
T
T
R
)
×
100
%
{MTTF \over (MTTF+MTTR)} \times 100\%
(MTTF+MTTR)MTTF×100%
MTTF(Mean Time To Failure),平均无故障时间
MTTR(Mean Time To Restoration),平均修复时间
- 元器件冗余(电源、风扇、主控板、交换版)
- 设备冗余(堆叠、集群)
- 链路冗余
- 业务冗余
FRR采用主设备通路方式实现快速重路由(避免路由重新收敛时间)
二、网络安全技术
三层:
- ACL
- ARP表项安全控制
- URPF单播逆向路径校验
- 防火墙配置
二层:
- 端口安全
- IP源地址防护IPSG
- DHCP Snooping
- 风暴遏制
网络设备:
- 设备登录安全控制
- CPU防攻击策略
- 协议报文认证
受控、不受控网络交界点:
- 防火墙
- IDS/IPS
- 防病毒
- 外部用户接入(VPN)
IPSec VPN:包括AH、ESP和IKE三个组件,有传输模式和隧道模式,适用于site-to-site场景
SSL VPN:使用浏览器即可,适用于Access VPN场景
MPLS VPN:主要适用于site-to-site场景
三、新技术
Fat-AP(胖AP):
- 功能完整(DHCP、FW-NAT)
- 每个AP独立管理
- 不支持AP间漫游
- 适用于小型网络
- 能独立运行
Fit-AP(瘦AP):
- 需要AC配合才能工作
- 集中管理
- 支持AP间漫游
- 适用于大型网络
数据中心网络新技术
1、TRILL:
- 无阻塞链路,支持ECMP
- 快速收敛
- 支持发现规模二层网络
2、FCOE(以太网光纤通信):
- 存储网络(SAN)与数据网络(LAN)融合
- 降低TCO,单一CNA融合网卡
3、VXLAN: - 基于IP可达,支持ECMP
- 规模巨大,支持16M虚拟网络
- 快速收敛,环路避免,部署灵活
SDN两种解决方案:ONF、IETF
CE交换机:Cloud Engine,数据中心交换机
四、故障处理
1.原则与方法
高危操作,三授权:
- 管理授权
- 技术授权
- 客户授权
确认故障四要素:主体、表现、时间、位置
故障处理:
- 自顶向下法
- 自底向上法
- 对比配置法
- 替换法
- 分块法
- 分段法
结构化的网络故障排除流程:
1、确认故障
2、收集信息
3、判断分析
4、原因列表
5、排障评估
6、逐一排查
7、解决故障
2.Telnet登录故障
- 路由不可达,客户端和服务器无法建立TCP连接
- 登录设备的用户数达到上限
display user-interface maximum-vty
- VTY用户界面下绑定ACL
- VTY用户界面下允许接入的协议不正确
3.SSH登录故障
- 路由不可达
- SSH服务未启动
stelnet server enable
- VTY下未绑定SSH
- 未配置SSH服务器和客户端的RSA密钥
- 未配置用户服务类型、认证类型、用户认证服务类型
- 用户数达到上限
- VTY下绑定ACL
- 服务器和客户端SSH版本不一致
- 客户端未使能SSH客户端首次认证功能
sshclient first-time enable
4.VLAN故障
- 链路故障
- 接口shutdown或物理口损坏
- 交换机MAC地址学习错误
- 交换机配置了端口隔离
- 交换机配置了错误的静态ARP
- 交换机配置了错误的端口和MAC地址绑定
5.MSTP故障
- MSTP配置错误
- 物理链路发生震荡,触发设备发送大量TC报文
- 使能MSTP的设备收到客户端或透传的MSTP TC报文
6.OSPF邻居关系故障
- Down:没有收到Hello报文
- Init:收到Hello中没有Router ID
- 2-way:Hello中发现了自己的Router ID,DR Other的话属于正常
- ExStart:MTU不匹配
- ExChange:MTU不匹配
- Loading:硬件故障或MTC不匹配
7.OSPF域内路由故障(部分或全部路由不通告)
- 拟通告的接口上未启用OSPF
- 拟通告接口被关闭
8.OSPF域间路由故障(不能正常汇总)
未配置或配置错误汇总路由
9.OSPF域间路由故障(ASBR不通告被重发布的路由)
filter-policy阻止
10.IS-IS故障
- 链路故咋会给你
- 两端设置的system ID相同
- IS-IS Level不匹配
- IS-IS Level 1 两端的区域ID不匹配
- 两端的接口IP不在同一网段
11.BGP故障
- BGP邻居间路由不通
- ACL过滤了TCP的179端口
- router id冲突
- 邻居AS配置错误
- 用loopback建邻居时没有配置 peer connect-interface
- 没有配置EBGP多跳
12.DHCP Server故障
- 客户端和服务器之间链路故障
- 未使能DHCP功能
- vlanif接口下没有选择DHCP分配方式
- 全局地址池和vlanif接口的地址池不在同一网段
- 地址池中没有可用的IP地址
13.DHCP Relay故障
- 客户端和服务器之间链路故障
- 未全局使能DHCP,导致DHCP功能没有生效
- 未使能DHCP中继功能,导致DHCP中继功能没有生效
- DHCP中继没有配置所代理的DHCP Server
- 链路上其他设备配置错误
14.VRRP震荡故障
- 传输VRRP通告报文的链路震荡
- 报文拥塞导致VRRP报文被随机过滤掉
- 通告报文的发送时间间隔过小
- Backup设备接口丢包
15.VRRP双主故障
- 传输VRRP通告报文的链路故障
- 链路形成环路
- 两端的VRRP备份配置不一致
- 低优先级的VRRP备份组将收到的VRRP通告报文作为非法报文丢弃
16.防火墙故障(内对外访问)
- 内网用户的网关配置错误
- NGFW上的接口和安全区域配置错误
- NGFW上的路由配置有误
- NGFW上的安全策略配置有误
- ISP Router上的路由配置有误
- NGFW上的会话老化时间配置有误
17.防火墙故障(外对内访问)
- 内网服务器的网关配置有误
- 内网服务器的访问没有开启
- NGFW上的接口和安全区域配置有误
- NGFW上的路由配置有误
- NGFW上的安全策略配置有误
- ISP Router将报文丢弃
18.SNMP无法连接故障
- 报文不可达造成无法连接
- 配置原因造成无法连接
19.收不到SNMP告警故障
- 报文丢弃
- 主机侧SNMP配置有误
- 主机侧有误模块没有产生告警或产生告警格式错误
20.提升网络安全性
- 管理安全:SSH等
- 边界安全:攻击防范技术、包过滤技术、硬件防火墙
- 访问控制:包过滤技术、独立防火墙
- 接入安全:NAC、用户绑定、端口隔离
- 链路监控:流量分析、日志管理
21.网络优化需求
- 运维建议
- 新业务功能需求
- 现网集中整改的需求
- 法律法规等政策需求
五、其他
PDH铜线 | SDH光纤 | 波分WDM光纤 | |
---|---|---|---|
欧、中 | E1(2M) E3(34M) | STM1(155M) STM4(622M) STM16(2.5G) STM64(10G) FE GE | |
美、日 | T1(1.5M) T3(44M) | OC3(155M) OC12(622M) OC48(2.5G) OC192(10G) FE GE |
SDH一个光纤智能传送一个波;波分WDM则是复用的,一根光纤传送多个波
对于双上联的网络,波分可有效降低局点间的光纤消耗
劣势对比
类型 | 丢包切换 |
IP网络 | BGP、LDP、IS-IS、PIM、BFD,2/3丢包率时切换 |
OSPF,3/4丢包率时切换 | |
传输网络 | 10^-3^ 误码率,7%丢包率,即可切换 |
传输专线:
- 租用裸光纤
- 租用SDH/WDM
IP专线:租用MPLS VPN专线