[个人笔记]HCIP-Routing & Switching-IEEP/H12-223

网络规划

网络规划：侧重于调研网络需求以及确认网络实现的外部条件

网络实现：侧重于技术实现。用各种手段实现规划阶段确定的网络需求

网络规划的目标

• 项目背景：明确网络项目所处的外部条件
• 确定需求：确定网络项目需要达到的目标
• 技术方向：选择网路项目的技术路线

项目背景

• 行业背景与特点：该行业的常规关注点和规范
• 项目背景与目的：项目发起的原因与目的
• 业务特点与流程：网络上承载的业务具有的特点与相关业务的流程

项目范围确定

• 工程边界：与配套工程的分工界面和职责范围
• 功能边界：项目要实施的具体功能和模块
• 覆盖边界：涉及到的地理位置

项目的目标

• 商业目标
• 技术目标
• 提高生产效率
• 支持业务扩张
• 技术优化更新

项目预算

• 目的：提高项目管理的水平和效益
• 预算的方法：
  • 自上而下
  • 自下而上
• TCO/Total Cost of Ownership/总体拥有成本=建设投资+运行维护+优化改造
  • 建设投资：常见的为设备采购费用，配套设施费用，工程实施费用
  • 运行维护：常见的有能源费用，线路费用，检修费用，人员费用

技术方向

• 技术需求分析-网络功能：性能、可用性、扩展性、可实现性
• 业务流量特征分析：流量特征（流量路径、流量类型、负载估算）、行为特征（用户数量、业务模型、时间模型）、QoS需求（业务等级、QoS指标、QoS模型）
• 公网 or 专网？
  • 专网：安全性较高，自控性较强
  • 公网：价格实惠
• 网络框架与层次：模块化、层次化

网络设计

确定设备选型、技术路线，明确网络功能、性能指标，将需求落到实处

网络设计的内容

1. 物理网络设计
   1. 物理topo设计
   2. 硬件设备选型
   3. 互联链路选型
   4. 设备基本配置
2. 逻辑网络设计
   1. 局域网设计
   2. 广域网设计
   3. 路由结构设计
   4. 网络出口设计
   5. 高可用性设计
3. 其他网络子系统设计
   1. 网络安全设计
   2. v*n设计
   3. 无线网络设计
   4. 数据中心设计
   5. 网络管理设计

网络设计的内容-物理网络设计

典型的网络结构

小型网络：

• 用户数量较少
• 仅单个地点
• 网络无层次性
• 网络需求简单（上网，共享资源）

中型网络：

• 规模中等
• 使用场合最多
• 功能分区
• 初步分层

大型网络：

• 覆盖范围广
• 用户数量多
• 网络需求复杂
• 功能模块全
• 网络层次丰富

层次化网络—三层结构：

接入层：接入设备的流量

汇聚层：策略、QoS、限流

核心层：高速的数据通道

层次化网络—二层结构：

多被使用云计算的数据中心使用

常见的拓扑结构：

星型：(最常见的)

• 缺点：上层和下层设备没有冗余备份
• 优点：结构清晰

双星型：

• 优点：改善了星型拓扑没有上层设备冗余备份的问题
• 缺点：增加了设备的购买和维护指标

口字型：相当于在双星型的基础上对下层设备也进行了冗余

环型、总线型：不常见

设备选型

网络设备分类：

• 交换机：二层交换机，三层交换机
  • 交换机选型要点：
    1. 制式：盒式交换机/框式交换机
    2. 功能：二层交换机/三层交换机
    3. 端口密度：每交换机可以提供的端口数量
    4. 交换容量：交换矩阵或数据总线的最大吞吐量
    5. 包转发率：实测的交换机的数据包转发能力
• 路由器
  • 路由器选型要点：
    1. 制式：盒式/框式/集群
    2. 接口类型：以太口/串行口(S口，广域网接口)/POS口/PON口（如光纤使用）
    3. 端口密度：单机框支持的接口数量
    4. 性能：交换容量，转发性能
    5. 其他功能（因为路由器是基于软件的，所以可以有很多功能）：防火墙，IPS，v*n，上网行为管理，语音，PBX，SIP

介质选型

常见的介质类型：

• 双绞线：传输距离≈100m；一般用于千兆以下；分为三类线（10Mb）、五类线（100Mb）、超五类线（1000Mb）等
• 光纤：
  • 传输距离：
    • 单模：几公里
    • 多模：100~200m
• 电话线、同轴电缆（多用于有线电视）：企业网中使用的不多
  • 传输速率：
    • 电话线：10mb上限 ；独享接入带宽
    • 同轴电缆：200~300mb左右； 共享接入带宽

测试工具：

楼宇布线结构：

数据中心布线结构：

ToR:以前常用（因为以前服务器面积大、数量少）

EoR:现常用（云计算兴起导致的片式服务器）

网络标识

设备标识的内容：

system-name

• 设备安装位置
• 设备角色
• 设备的型号
• 设备的编号

线路标识的内容：

interface—>description

• 本端设备名
• 对端设备名
• 对端设备编号
• 链路角色
• 逻辑编号

网络设计的内容-逻辑网络设计

局域网络设计

局域网常见拓扑：

• 接入层和汇聚层间：星型拓扑
• 汇聚层和核心层间：双星型拓扑

VLAN设计：

• 规划依据：
  • 基于业务
  • 基于地域
  • 基于安全
• 划分方法:
  • 基于端口
  • 基于MAC
  • 基于IP子网
  • 基于协议
  • 基于策略
• 编号分配：
  • 范围：1-4095
  • 连续性
  • 扩展性

STP协议：

• 三个版本：
  • STP：基本版本
  • RSTP：提高收敛速度
  • MSTP:引入域和实例的概念
    • 交换机默认选择
    • 一个交换机一个域
    • 所有VLAN映射到Instance 0
• 兼用型：
  • 向下兼容
  • RSTP兼容STP但是会丢失原有的收敛速度的优势
  • MSTP认为RSTP交换机运行在不同的域中
• 调整方法：BID优先级、COST等
• 虽然理论上来说STP协议能防止网络环路，但是因为网络结构（冗余设备与链路）、实现缺陷（设备实现差异），算法机制（交换机无全网topo，依赖定时器工作）等因素的影响，实际上还是可能会有环路
  • 

安全设计：

广域网设计

广域网特点：覆盖范围广、租用成本高、运维难度大

广域网技术选用：

• 传输系统-基于SDN传输系统/时分复用：DDN(64K)/E1/POS/MSTP
• OTN-基于波分复用/DWDM/频分复用
• 分组交换网-基于报文交换：ATM/FR/X.25
• 电路交换网-基于传统电话网络:PSTN(64K)/ISDN(128K+16K-信令通道)

广域网替代技术-v*n：

传统广域网	v*n技术
带宽保证	带宽不可控
价格昂贵	廉价
QoS可控	QoS不可控
可靠性高	可靠性不可控
安全性高	安全性高

接入网技术：

接入网：用户网络和运营商骨干网络之间的网络技术

路由结构设计

IP地址的分配规则：

1. 唯一性：地址分配基本原则
2. 高效性：设计合适的子网掩码长度（常用/30—标识路由器、交换机等和/32–适用于P2P网络和VLSM–即变长子网地址/x）
3. 可汇聚性：节省设备资源
4. 连续性：相邻网段地址连续
5. 可扩充性：保留扩张空间
6. 可管理性：地址实意性

IP地址分配方法：

1. 手工配置：多用于网络设备配置，机制简单但是配置工作量大
2. DHCP：多用于客户机，可以于各种安全机制配合（如DHCP Snooping、DAI、IPSG）

路由边界确定：

确定交换和路由的边界,一般定在汇聚层

关注点：

1. 设备成本
2. 带宽成本
3. 安全性
4. 可运维性

路由协议的选择：

网路出口设计

高可用性设计

可用性:MTTF/(MTTF+MTTR)*100%

提高可用性的方法：

1. 提高MTTF，提高系统可用性
2. 缩短MTTR，提高系统修复能力
3. 实现方式：元器件、设备、链路冗余，业务冗余

网络设计的内容-其他相关网络技术

网路安全技术

主要针对物理层、数据链路层、网络层可能涉及传输层

大体分为：

• 网络边界安全
• 内部网络安全
• 内网接入安全：鉴别接入的人的身份、权限，防止无关人员接入
• 终端设备安全：防止终端设备被病毒、木马、蠕虫等攻击

网络边界安全

• 入侵检测：主要针对外部进入的流量（产品：如NIP6000）
• 上网行为管理：主要针对内部流量流出的管理（产品：如ASG2000）

防火墙

• UTM：多功能叠加，相当于将上图的防火墙和入侵检测+上网行为管理等合并成一个设备
• NGFW：类似于UTM，在其基础上进行了改进（基于用户+应用+内容进行管理）
• 一般推荐USG6000系列，若是大型云服务提供商或是大型数据中心推荐USG9000系列

v*n技术

通过共享的公共网络建立私有的数据通道

应用场景：

• 远程接入v*n
  1. 客户端无固定IP
  2. 各种接入方式不限
  3. 适用于流动人员
  4. 一般为SSL v*n
• 站点到站点v*n
  1. 两个站点之间互联
  2. 接入地点固定
  3. 专线的替代解决方案
  4. 一般为IPSec v*n和MPLS v*n

无线网络

优势：提供更灵活的网络部署，提高工作效率

分类：

• Fat-AP
  1. 协议栈完善，能独立运行
  2. 功能完整丰富
     1. DHCP
     2. FW-NAT
  3. 每个AP独立管理
  4. 不支持AP间路由
  5. 适用于小型网络
• Fit-AP+AC
  1. 协议栈不完善，需要配合AC/Access Control才能工作
  2. 易部署、易管理
     1. Fit-AP之负责将无线信号转化为有线信号
     2. AC用于DHCP、NAT等
  3. 集中管理
  4. 支持AP间路由（因为是一个AC管理多个AP）
  5. 适用于大型网络

数据中心技术

数据中心特点：

1. 地理范围小
2. 带宽需求高
3. 可靠性要求高

数据中心网络特点：

1. 高性能交换机
2. 高带宽链路/光纤链路
3. 堆叠/多链路冗余

数据中心新技术：

1. TRILL
2. FCoE（x800系列交换机支持）
3. 虚拟化
4. VXLAN（类似GRE隧道技术，是一种“大二层”技术—跨越三层网络组建二层局域网）：将二层数据帧封装于UDP数据包，穿越IP网络的隧道技术，同时也扩充了VLAN数量
   1. 可用于云计算、虚拟机、扩容迁移、业务持续
   2. 基于IP可达，支持ECMP
   3. 规模巨大，支持16M虚拟网络
   4. 快速收敛、环路避免、部署灵活
5. SDN

数据中心交换机：Cloud Engine x800系列

网络管理

按数据通道划分：

1. 带内管理:管理数据和业务数据处于用一个通道
2. 带外管理：管理数据拥有独立的数据通道

按界面形式划分：

1. 命令行：Console，Telnet，SSH
2. 图形界面：SNMP（当前的网管主流基于SNMP协议），HTTP(如防火墙)

eSight：

总体技术方案

网络实施

项目交付

交付流程-项目启动会

• 合同签订完成后，与客户召开项目启动会
  • 根据招投标方案明确客户需求
  • 确认项目计划及周期
  • 确定项目甲乙双方负责人及项目人员
  • 确定项目管理制度
  • 确定设备安装环境

交付流程-方案制定

• 根据客户需求编写实施方案，包括：
  • 项目背景、项目目标
  • 工程截面、责任划分
  • 时间计划、人员安排
  • 详细配置、施工步骤
  • 业务割接、验收测试
  • 质量保障、风险把控

交付流程-清点货物

• 需要核对以下信息：

  • 到货数量和物流清单是否一致

  • 设备数量和装箱单是否一致

  • 设备数量和合同货物清单是否一致

交付流程-开箱验货

• 核对装箱单的部件编号、型号、数量等是否与现场到货一致
• 核对货物部件是否有物理损伤
• 验货无误后需安装督导、客户代表共同在装箱单上签字确认

交付流程-DOA/Dead On Arrival流程

DOA定义：设备无外观损坏且第一次上电不能正常工作或上电运行48小时之内出现故障

DOA处理方式：

• 第一时间拨打华为服务热线：400-822-9999联系TAC进行处理
• 由TAC/技术支持中心鉴定是否符合DOA情况（泡沫、包装箱等需要完整无缺）
• 将货物问题反馈表发送给TAC，由TAC协助完成后续流程

交付流程-设备安装环境监察

• 机房整体环境：空间、湿度、温度、清净度、地板类型、地板承重等

• 机柜状况：尺寸、数量等

• 配电情况：电源接口、功率等

交付流程-设备安装

交付流程-硬件质量自检

上电前检查：

• 按照checklist表检查
• 电源安全方面需要反复核查

上电后检查：

• 按照产品手册检查设备状态指示灯，出现问题即使走DOA流程

项目交付-单机调试

• 指示灯查看：电源板、监控板、交换网板
• 运行状态查看：display xxx（版本、电源、***、板卡状态等）
• License申请

交付流程-联调测试

• 连通性测试
  • 基础链路对接测试
  • 二层协议互通测试
  • 三层路由互通测试
• HA/Highly Available能力测试
  • 路径转换测试
  • 双机热备测试
• 业务性能调测
  • 业务流量调测
  • 访问控制调测
  • QoS服务调测

交付流程-转维培训

• 组网和配置培训

• 日常维护培训

• 紧急故障处理培训

交付流程-验收

通过项目验收会完成验收交接（验收报告、验收证书）

高危操作

定义：所以可能影响设备稳定运行、客户业务正常运转、网管正常监控的操作

目的：为了规范工程师工程和维护行为，提高交付质量，避免事故的发生

高危操纵-获取三授权

• 管理授权：发送邮件给华为项目经理进行管理授权
• 技术授权：邮件发送技术方案给华为技术专家进行技术授权，且必须在操纵前三天提交方案申请审核
• 客户授权：客户项目建设负责部门进行操作审批，以书面或邮件形式进行确认

高危操作-操作流程

工程师规范-信息安全规范

客户信息安全：

1. 组织结构
2. 管理制度
3. 工作计划
4. 技术资料

客户设备信息安全：

1. 客户设备信息：设备用户账号、设备口令信息、设备文件、程序、数据、重要信息（topo，IP等）
2. 操作设备必须得到客户许可
3. 许可方式必须有记录（传真、录音、邮件等）
4. 风险必须说明，敏感期尽量避免（重要会议时期、特殊时期、重大节日）

提醒客户信息安全：

1. 账号清理
2. 密码更新
3. 日志保护
4. 数据备份
5. 评审实施

工程信息安全：

网络维护

日常维护概述

网络基线：网络在正常情况下的各种参数（网络设备、网络性能、网络安全等）

维护方法：

• 现场观测：观察设备硬件运行情况
• 远程操作：了解设备软件运行情况（如display current-configuration）

维护内容：

• 设备环境检查：温度、湿度、清洁程度等（建议每日一查）
• 设备基本信息检查：版本信息、启动信息、License信息、存储空间等（建议每周/每月一查）
• 设备运行状态检查：告警信息、板卡、电源、风扇、温度、CPU、内存等（建议每周/每月一查）
• 设备端口内容检查：错报统计、双工模式、流量统计等（建议每周/每月一查）
• 业务运行状态检查：如组播、OSPF、BGP、OSI七层业务内容等与实际运行业务相关的内容（建议每周/每月一查）
• 软件与配置的备份：目的是为了在极端情况下恢复网络功能（建议每周一备）（备份启动项信息、配置文件、软件版本文件、License文件等）

网管软件的使用

设备软件升级

升级前的准备工作：

1. 升级可行性预估
   1. 必要性评估：是否必要升级？不升级能否解决问题？是否有别的解决方案？
   2. 风险性评估：是否可能导致业务中断？是否可能引入新问题？是否可能改变维护方式？
   3. 可操作性评估：业务是否允许中断？操作人员是否熟练？技术支持是否足够？
2. 版本软件/文档的获取：官网上获取即可
3. 升级/回退方案制定
   1. 升级方案
      1. 升级时间和操作窗口（业务可中断时间）
      2. 升级对象和升级方法（含执行脚本）
      3. 操作人员和技术支持保障（分工、职责）
      4. 验证方法（升级前后）
   2. 回退方案
      1. 回退触发条件
      2. 回退操作步骤（含验证）
      3. 有的升级操作无法回退，则必须考虑应急处理措施

---->升级操作

例行维护报告

网络排障

网络故障的分类

结构化的网络故障排除

优点：

1. 易于团队协作
2. 有故障排除工作的文档总结
3. 能保证故障排除工作的连续性

报告故障

确认故障

因为用户描述的可能不是很清楚，需要专业人员进行确认

确认故障的四个要素：

1. 主体
2. 表现
3. 时间
4. 位置

对故障进行准确的描述

确认故障是否属于自己的负责范围

收集信息

• 需要收集哪些信息：如网络正常运行方面的文档（topo图，配置等)、网络变更、网络基线（基于经验或网管软件等）

• 如何收集这些信息：使用设备命令（display，debugging）、网管软件、抓包工具等

• 是否需要授权：有时候需要书面的授权，包括要做什么、基于什么目的、风险描述

• 收集信息阶段的风险评估

判断分析

原因列表

排障评估

评估复杂度等因素，判断是否需要搭建临时环境

逐一排查

解决故障

收尾工作

排障的方法

1. 自项向下法：当网络层没有问题时推荐使用（ping或tracert通时）（即表明物理层和数据链路层没有问题）

2. 自底向上法：当网络层有问题时推荐使用（ping或tracert不通时）

3. 对比配置法：比较有问题和没有问题的两台相似设备的配置

4. 替换法：检查硬件问题的常见方法

5. 分块法：对网络的配置文件进行分块分析

   1. 

6. 分段法
   1.

常见网络故障排除

基础配置常见故障

Telnet故障

SSH故障

安全性比Telnet更高

局域网常见故障

VLAN故障

MSTP故障

环路故障

可能会导致广播风暴，导致用户通信质量差甚至中断

IP路由协议常见故障

OSPF故障

邻居关系故障：

1. OSPF邻居列表为空
2. OSPF邻居停滞于INIT状态
3. OSPF邻居停滞于2-WAY状态
4. OSPF邻居停滞于Exstart/Exchange状态

域内路由故障：一般表现为邻居关系建立但是邻居路由器不通告部分或全部路由

• 可能的原因：没有宣告该端口或不存在该端口
• 查看：邻居表、lsdb、路由表
• 

域间路由故障：通常表现为ABR不能正常完成路由汇总

域外路由故障：ASBR不通告被重发布的路由

ISIS故障

—也有可能是接口认证或是MTU不匹配等问题

BGP故障

IP业务常见故障

DHCP Server故障

DHCP Relay故障

可靠性常见故障

VRRP备份组震荡

表现为不停切换主备角色

VRRP备份组双主

安全性常见故障

防火墙内网对外访问故障

防护墙外网对内访问故障

▲有些特殊的情况下是没有配置网关的（如代理），此时需要注意！！！

网络管理常见故障

SNMP无法连接

收不到SNMP告警

网络优化

**为什么要进行网络优化：**用户的业务在不断发展，因此用户对网络功能的需求也在不断变化。当现有网络不能满足业务需求，或网络在运行过程中暴露了某些隐患时，就需要通过网络优化来解决。因为网络优化是基于已有的网络实现的，因此与新建网络相比有很多需要注意的地方

网络优化主要包括：

1. 硬件优化：投机一般比较大，替换拥有更好性价比的硬件
2. 软件优化：投资较小，可能是增加或改善了软件的一些功能
3. 网络优化
4. 新技术更新

网络优化思路：

—数据业务：减少丢包，提高可靠性

—语音/视频业务：提高实时性

网络优化专业服务

由华为（或其他服务提供商）所提供的网络优化专业服务（NOS），通常是以专门的网络优化工具为基础的综合性服务

优点：

1. 提高业务性能
2. 提高网络可用性和性能
3. 提高生产率
4. 降低成本
5. 实现知识转移（培训、文档等）

网络优化专业服务内容：

生命周期评估：定期检查和分析现网络设备的软硬件生命周期，对将处于停止销售生产、停止软件更新及停止技术支持的产品做相应的应对措施。防止由于生命周期原因引起的运行风险。

网络知识转移： 网络知识转移服务就是基于客户运维自己的网络所需要的知识，加上华为在全球的网络运维和建设经验，而提供给客户的知识转移服务。

提升网络的安全性

网络安全是一个系统性的问题，涉及到全网设备，涉及到安全管理

网络安全包括：

1. 管理安全：保证敏感的管理信息不被非法窃取---->采用安全性强度高的协议和完善的管理制度
2. 边界安全：防止和减少外部网络的攻击和危害---->攻击防范技术、包过滤技术、硬件防火墙等
3. 访问安全：保证关键业务的访问安全---->包过滤技术、独立防火墙
4. 接入安全：用户的安全接入控制---->mac、用户绑定、端口隔离等
5. 流量监控：识别异常流量、常规流量分析等---->流量分析、日志管理

提升网络的用户体验

分为三类：

1. 服务质量保证
   1. 语音业务的实时性
   2. 关键用户的可靠性
   3. 异常流量的识别和控制
2. 提升网络性能
   1. 网络扩容
3. 简化用户侧配置
   1. DHCP
   2. 结合MAC推送

新增网络功能

WLAN的接入，之前需要考虑：

1. 对现网的影响，是否允许无线等
2. 预期效果
3. 投资预算

网络优化方案

–优化原则：基于可靠性的原则还是基于性价比的原则（一般是在可靠性的基础上考虑性价比）

网络割接

什么是网络割接

如果执行的技术迁移动作（扩容、改造、替换、变更等）会影响现网运行业务，此时就需要在实施时严格地按预先设定的操作流程和风险控制措施执行，一般将此类项目定义为割接项目

割接难点：

1. 风险在哪？会影响哪些业务？

2. 方案怎么写？

3. 实施怎么做？

割接的操作流程

1. 前期准备阶段：

   1. 项目调研：与客户网络信息负责人、一线维护工程师、ISP的技术接口人以及设备厂家代表等多方面进行沟通，并现场采集全网信息（topo、配置、版本、流量类型、流量路径等）
   2. 项目分析：必要性、可行性、风险性、项目定性、技术定位
   3. 方案筛选：如直接替换法、逐步融入法
   4. 风险评估：中断的时间长短和影响的业务范围是分析的重点，必须定位清楚，并给予客户明确的 说明和应对措施
   5. 沟通协调会
   6. 方案编写和审定：
      1. 搭建实验局测试:如果是大型割接项目，客户常常会要求搭建实验局提前进行验证测试。实验局环境要 求和真实网络环境保持一致。
      2. 各方技术评审:主要是让客户、施工方积极互动，了解双方的实际需求和存在困难，面 对面解决问题。
      3. 原厂专家审核:一般涉及到设备版本的变更，设备新功能的添加等都要求送原厂专家审核

2. 中期实施阶段：

   1. 割接准备:

   
   

   2. 割接实施:分块割接，化整为零（在每个小割接的步骤中最后一项都应为回退操作）

   3. 业务测试：

3. 后期收尾阶段：

   1. 守局:割接操作完成且通过客户的应用业务测试后，网络进入一个特殊的观察期，再此期间工程师一般驻守在客户局点，观察网络运行状态，防止出现意外事故
   2. 项目验收：转维培训、资料移交、验收总结会等

常见的割接场景

1. 设备升级
2. 网络物理结构改造
3. 网络系统调整
4. 网络性能优化
5. …