数通学习笔记（3）

一、网络规划

PDIOI
PLAN（规划）——Design（设计）——Implementation（实施）——Operation（运维）——Improve（优化）

甘特图：将分解后的工作活动排序，用图示的方式将活动与时间联系起来


交换机选型（S2700/S3700/S5700/S6700）

制式	盒式/框式
功能	二层/三层
端口密度
端口速率	百兆/千兆/万兆
交换容量	交换矩阵或数据总线的最大吞吐量（基本无瓶颈）
包转发率	包转发能力

路由器选型（AR/NE）

制式	盒式/框式/集群
接口类型	以太/串行/POS/PON等
端口密度
性能	交换容量、转发性能
其他	防火墙/IPS/VPN/上网行为管理/PBX/SIP

ToR（Top of Rack）：在每一个机架顶部安装交换机
EoR（End of Rack）：在每一排机架尾部安装交换机
MoR（Middle of Rack）：在每一排机架中部安装交换机

链路类型	结构特点	二层协议
DDN/E1/POS	点到点链路	HDLC/PPP
PSTN/ISDN	点到点链路	PPP
OTN	点到点链路	Ethernet
分组交换网	点到多点链路	以太/X.25/FR/ATM

高可用：
$$\frac{MTTF}{(MTTF+MTTR)}\times 100\%$$
MTTF（Mean Time To Failure），平均无故障时间
MTTR（Mean Time To Restoration），平均修复时间

• 元器件冗余（电源、风扇、主控板、交换版）
• 设备冗余（堆叠、集群）
• 链路冗余
• 业务冗余

FRR采用主设备通路方式实现快速重路由（避免路由重新收敛时间）

二、网络安全技术

三层：

• ACL
• ARP表项安全控制
• URPF单播逆向路径校验
• 防火墙配置

二层：

• 端口安全
• IP源地址防护IPSG
• DHCP Snooping
• 风暴遏制

网络设备：

• 设备登录安全控制
• CPU防攻击策略
• 协议报文认证

受控、不受控网络交界点：

• 防火墙
• IDS/IPS
• 防病毒
• 外部用户接入（VPN）

IPSec VPN：包括AH、ESP和IKE三个组件，有传输模式和隧道模式，适用于site-to-site场景
SSL VPN：使用浏览器即可，适用于Access VPN场景
MPLS VPN：主要适用于site-to-site场景

三、新技术

Fat-AP（胖AP）：

• 功能完整（DHCP、FW-NAT）
• 每个AP独立管理
• 不支持AP间漫游
• 适用于小型网络
• 能独立运行

Fit-AP（瘦AP）：

• 需要AC配合才能工作
• 集中管理
• 支持AP间漫游
• 适用于大型网络

数据中心网络新技术
1、TRILL：

• 无阻塞链路，支持ECMP
• 快速收敛
• 支持发现规模二层网络

2、FCOE（以太网光纤通信）：

• 存储网络（SAN）与数据网络（LAN）融合
• 降低TCO，单一CNA融合网卡
  
  3、VXLAN：
• 基于IP可达，支持ECMP
• 规模巨大，支持16M虚拟网络
• 快速收敛，环路避免，部署灵活

SDN两种解决方案：ONF、IETF

CE交换机：Cloud Engine，数据中心交换机

四、故障处理

1.原则与方法

高危操作，三授权：

• 管理授权
• 技术授权
• 客户授权

确认故障四要素：主体、表现、时间、位置

故障处理：

• 自顶向下法
• 自底向上法
• 对比配置法
• 替换法
• 分块法
• 分段法

结构化的网络故障排除流程：
1、确认故障
2、收集信息
3、判断分析
4、原因列表
5、排障评估
6、逐一排查
7、解决故障

2.Telnet登录故障

• 路由不可达，客户端和服务器无法建立TCP连接
• 登录设备的用户数达到上限 display user-interface maximum-vty
• VTY用户界面下绑定ACL
• VTY用户界面下允许接入的协议不正确

3.SSH登录故障

• 路由不可达
• SSH服务未启动 stelnet server enable
• VTY下未绑定SSH
• 未配置SSH服务器和客户端的RSA密钥
• 未配置用户服务类型、认证类型、用户认证服务类型
• 用户数达到上限
• VTY下绑定ACL
• 服务器和客户端SSH版本不一致
• 客户端未使能SSH客户端首次认证功能 sshclient first-time enable

4.VLAN故障

• 链路故障
• 接口shutdown或物理口损坏
• 交换机MAC地址学习错误
• 交换机配置了端口隔离
• 交换机配置了错误的静态ARP
• 交换机配置了错误的端口和MAC地址绑定

5.MSTP故障

• MSTP配置错误
• 物理链路发生震荡，触发设备发送大量TC报文
• 使能MSTP的设备收到客户端或透传的MSTP TC报文

6.OSPF邻居关系故障

• Down：没有收到Hello报文
• Init：收到Hello中没有Router ID
• 2-way：Hello中发现了自己的Router ID，DR Other的话属于正常
• ExStart：MTU不匹配
• ExChange：MTU不匹配
• Loading：硬件故障或MTC不匹配

7.OSPF域内路由故障（部分或全部路由不通告）

• 拟通告的接口上未启用OSPF
• 拟通告接口被关闭

8.OSPF域间路由故障（不能正常汇总）

未配置或配置错误汇总路由

9.OSPF域间路由故障（ASBR不通告被重发布的路由）

filter-policy阻止

10.IS-IS故障

• 链路故咋会给你
• 两端设置的system ID相同
• IS-IS Level不匹配
• IS-IS Level 1 两端的区域ID不匹配
• 两端的接口IP不在同一网段

11.BGP故障

• BGP邻居间路由不通
• ACL过滤了TCP的179端口
• router id冲突
• 邻居AS配置错误
• 用loopback建邻居时没有配置 peer connect-interface
• 没有配置EBGP多跳

12.DHCP Server故障

• 客户端和服务器之间链路故障
• 未使能DHCP功能
• vlanif接口下没有选择DHCP分配方式
• 全局地址池和vlanif接口的地址池不在同一网段
• 地址池中没有可用的IP地址

13.DHCP Relay故障

• 客户端和服务器之间链路故障
• 未全局使能DHCP，导致DHCP功能没有生效
• 未使能DHCP中继功能，导致DHCP中继功能没有生效
• DHCP中继没有配置所代理的DHCP Server
• 链路上其他设备配置错误

14.VRRP震荡故障

• 传输VRRP通告报文的链路震荡
• 报文拥塞导致VRRP报文被随机过滤掉
• 通告报文的发送时间间隔过小
• Backup设备接口丢包

15.VRRP双主故障

• 传输VRRP通告报文的链路故障
• 链路形成环路
• 两端的VRRP备份配置不一致
• 低优先级的VRRP备份组将收到的VRRP通告报文作为非法报文丢弃

16.防火墙故障（内对外访问）

• 内网用户的网关配置错误
• NGFW上的接口和安全区域配置错误
• NGFW上的路由配置有误
• NGFW上的安全策略配置有误
• ISP Router上的路由配置有误
• NGFW上的会话老化时间配置有误

17.防火墙故障（外对内访问）

• 内网服务器的网关配置有误
• 内网服务器的访问没有开启
• NGFW上的接口和安全区域配置有误
• NGFW上的路由配置有误
• NGFW上的安全策略配置有误
• ISP Router将报文丢弃

18.SNMP无法连接故障

• 报文不可达造成无法连接
• 配置原因造成无法连接

19.收不到SNMP告警故障

• 报文丢弃
• 主机侧SNMP配置有误
• 主机侧有误模块没有产生告警或产生告警格式错误

20.提升网络安全性

• 管理安全：SSH等
• 边界安全：攻击防范技术、包过滤技术、硬件防火墙
• 访问控制：包过滤技术、独立防火墙
• 接入安全：NAC、用户绑定、端口隔离
• 链路监控：流量分析、日志管理

21.网络优化需求

• 运维建议
• 新业务功能需求
• 现网集中整改的需求
• 法律法规等政策需求

五、其他

	PDH铜线	SDH光纤	波分WDM光纤
欧、中	E1(2M) E3(34M)	STM1(155M) STM4(622M) STM16(2.5G) STM64(10G) FE GE
美、日	T1(1.5M) T3(44M)	OC3(155M) OC12(622M) OC48(2.5G) OC192(10G) FE GE

SDH一个光纤智能传送一个波；波分WDM则是复用的，一根光纤传送多个波

对于双上联的网络，波分可有效降低局点间的光纤消耗

劣势对比

类型	丢包切换
IP网络	BGP、LDP、IS-IS、PIM、BFD，2/3丢包率时切换
	OSPF，3/4丢包率时切换
传输网络	10^-3^ 误码率，7%丢包率，即可切换

传输专线：

• 租用裸光纤
• 租用SDH/WDM

IP专线：租用MPLS VPN专线