1、整體架構
整體是數據中心--一級分行--二級分行--支行的架構
拓撲:
需要考慮的核心需求和解決方案:
高可用性:
雙中心、雙設備、鏈路捆綁、動態協議、VRRP、生成樹、BFD、防火牆的HA
設備堆疊,華為系的堆疊,橫向虛擬化,據說bug多,但管理和使用方便;思科系vpc,縱向虛擬化,經典7-5-2架構,穩定性更好,配置和管理復雜些
實際中貌似兩種技術都有很多應用,還不好比較
易於擴展:
模塊化、區域化設計,每個區域相對獨立,核心與區域間用靜態路由互聯,增添和去除區域都不會對其余區域有影響
高性能:
為了保證更高的性能,應當盡量減少每台設備的負載,避免所有流量集中在單側設備上,所以需要使用分流技術
內部按類型分為業務和辦公流量,所以在規划IP時也按照業務和辦公分成兩個大段,以此為基礎來進行分流
使用靜態路由時,通過靜態路由+VRRP來實現分流和冗余
在設備上同一個接口下配置兩個VRRP實例10和20,主用設備分別在業務和辦公上 ip route 業務網段 業務地址下一跳為實例10的virtual-ip ip route 業務網段 業務地址下一跳為實例20的virtual-ip
使用OSPF時,通過OSPF+prefix-list引入靜態路由時增加cost來實現分流和冗余
ospf 100 # import-route static route-policy static_ospf # route-policy static_ospf permit node 10 if-match ip address prefix-list YW # route-policy static_ospf permit node 20 if-match ip address prefix-list OA apply cost + 1000 # ip prefix-list YW index 10 permit 業務網段 ip prefix-list OA index 10 permit 辦公網段 #
使用BGP時,通過BGPcommunity時增加cost來實現分流和冗余
# BGP 65000 network 總行辦公地址 route-policy BGPCM-OA network 總行業務地址 route-policy BGPCM-YW peer 一級分行互聯地址 route-policy DS-OUT export # ip community-filter advanced DC-OA permit 65000:20 ip community-filter advanced DC-YW permit 65000:10 # route-policy DS-OUT permit node 10 if-match community-filter DC-YW # route-policy DS-OUT permit node 20 if-match community-filter DC-OA apply cost 1000 # route-policy BGPCM-OA permit node 10 apply community 65000:20 # route-policy BGPCM-YW permit node 10 apply community 65000:10 #
應當減少動態路由的收斂時間,聯動BFD,其中OSPF聯動BFD是必要的
#這里聯動BFD,主要為了快速切換 #由於上聯分行使用的是MSTP鏈路,這種鏈路在發生故障時並不會使互連接口down #而OSPF本身是一個在IP層上的協議,是無連接的,所有只有等到dead-time超時的時候才會認為此鏈路失效進行收斂 #dead-time的超時時間默認一般為40s,40s的中斷時間是無法忍受的 #這里使用BFD聯動上聯接口,檢測到鏈路中斷后也可以快速觸發OSPF收斂 #BGP是在TCP上的協議,鏈路中斷會立即導致TCP的連接中斷,也不會有這種問題,但仍可以聯動BFD來加速收斂
安全性:
在分支內部上,通過ACL來使業務和辦公流量的隔離
# interface Vlan-interface10 packet-filter 3010 inbound # interface Vlan-interface20 packet-filter 3020 inbound #禁止辦公訪問業務 acl number 3010 rule 10 deny ip source 辦公網段 destination 業務網段 rule 1000 permit ip #禁止業務訪問業務 acl number 3020 rule 10 deny ip source 業務網段 destination 辦公網段 rule 1000 permit ip
支行之間,由於OSPF是鏈路狀態協議,無法基於網段限制LSA的收發,所以通過二級分行的下聯OSPF分發路由時來過濾其他支行路由。
只能通過在各個支行來做限制,通過prefix-list的方式來限制其他的路由加入路由表。
ip prefix-list ospfIn index 10 permit 需要的路由 Ospf 100 Filter-policy ip-prefix ospfIn import
分行之間,通過一級分行、數據中心下聯BGP的community屬性來過濾其他分行的路由(上面有實現)
易用性:
配置dhcp使辦公系統pc可以即插即用
2、數據中心
拓撲:
需要考慮的核心需求和解決方案:
主備中心的雙活。
使用思科的OTV技術,這是一種MACinIP的技術,這種技術可以使得主備中心的服務器生存在同一個大二層環境中,從而可以做到主備中心在同一網段,
這樣在匯聚交換機上通過VRRP即可完成主備中心網絡層面的的ms級切換,當然應用服務器做不到這么快。
3、一級分行
拓撲:
需要考慮的核心需求和解決方案:
主備的切換:
二級分行上聯路由器直接連接災備,通過BGPcommunity時增加cost來實現分流和冗余。
然后通過OSPF+prefix-list引入靜態路由時增加cost來實現分流來引回主中心
4、二級分行
拓撲:
5、支行
拓撲:
#內部的互聯口都可以使用鏈路捆綁技術,這里就不每個端口都寫了 #辦公側的類似 sysname 上聯路由器-業務 #管理地址,同時作為OSPF的router-id interface LoopBack0 description **Mangerment** ip address 10.95.34.254 255.255.255.255 #上聯,與分行互聯互聯,改成p2p模式,不用選舉BR,RDR,減少OSPF報文數 interface GigabitEthernet0/0 description **link_to-UPlink** ospf network-type p2p ip address 10.95.253.14 255.255.255.252 #下聯,與匯聚交換機-業務互聯 interface GigabitEthernet0/0 description **link_to-UPlink** ospf network-type p2p ip address 10.95.34.241 255.255.255.252 #橫聯,連接上聯路由器-辦公 interface GigabitEthernet0/2 description **link_to-上聯路由器-辦公** ospf network-type p2p ip address 10.95.34.245 255.255.255.252 #一個支行定義為一個非骨干區域 #支行為最終分支,但由於是雙點上聯,由於分流的技術需要,不能定義為末節區域 #需要通過分行的骨干區域下發路由時做過濾,來減少路由 #這里聯動BFD,主要為了快速切換 #由於上聯分行使用的是MSTP鏈路,這種鏈路在發生故障時並不會使互連接口down #而OSPF本身是一個在IP層上的協議,是無連接的,所有只有等到dead-time超時的時候才會認為此鏈路失效進行收斂 #dead-time的超時時間默認一般為40s,40s的中斷時間是無法忍受的 #這里使用BFD聯動上聯接口,檢測到鏈路中斷后也可以快速觸發OSPF收斂 #BGP是在TCP上的協議,鏈路中斷會立即導致TCP的連接中斷,也不會有這種問題 ospf 100 router-id 10.95.34.254 bfd all-interfaces enable area 0.0.0.101 network 10.95.253.14 0.0.0.0 network 10.95.34.241 0.0.0.0 network 10.95.253.245 0.0.0.0
sysname 匯聚交換機-業務 # vlan 10 description YeWu # vlan 20 description OA # vlan 21 description Video #追蹤上聯接口,接口down時優先級下降10,變為備狀態 #業務和辦公流量隔離 interface Vlan-interface10 ip address 10.95.34.126 255.255.255.128 vrrp vrid 10 virtual-ip 10.95.34.126 vrrp vrid 10 priority 105 vrrp vrid 10 preempt-mode delay 100 vrrp tracrk GigabitEthernet0/0 packet-filter 3010 inbound #業務側辦公vlan為備份 interface Vlan-interface20 ip address 20.95.34.126 255.255.255.128 vrrp vrid 20 virtual-ip 20.95.34.126 packet-filter 3020 inbound # interface Vlan-interface21 ip address 21.95.34.142 255.255.255.240 vrrp vrid 21 virtual-ip 20.95.34.142 packet-filter 3020 inbound #設置為業務根橋,辦公的備根 stp region-configuration region-name region1 instance 1 vlan 10 instance 2 vlan 20 instance 2 vlan 21 active region-configuration # stp instance 1 root primary stp instance 2 root secondry stp mode rstp # interface GigabitEthernet0/0 description **link_to-上聯路由器-業務** ip address 10.95.34.242 255.255.255.252 #下聯和橫聯 inter g0/xxx port link-type trunk port trunk allow-pass vlan 10,20,21 undo port trunk allow-pass vlan 1 # ospf 100 router-id 10.95.34.254 bfd all-interfaces enable area 0.0.0.101 network 10.95.34.126 0.0.0.0 network 20.95.34.126 0.0.0.0 network 20.95.34.142 0.0.0.0 #禁止辦公訪問業務 acl number 3010 rule 10 deny ip source 20.95.34.0 0.0.0.255 destination 10.95.34.0 0.0.0.255 rule 1000 permit ip #禁止業務訪問業務 acl number 3020 rule 10 deny ip source 10.95.34.0 0.0.0.255 destination 20.95.34.0 0.0.0.255 rule 1000 permit ip
#這個實在是沒啥東西 sysname 接入交換機01 #管理地址 interface Vlan-interface10 ip address 10.95.34.250 255.255.255.128 # #末節端口 interface GigabitEthernet0/9 port link-mode bridge port access vlan 10 stp edged-port #
6、技術探討
使用靜態路由還是動態路由:
在核心到各個功能區互聯時:
如果使用靜態路由的好處是便於理清流量的路徑,每個網段的路徑都一目了然,便於排障,同時也便於做分流。
而且如果出現故障,也都被限制在各個功能區之內,不會對別的區域有路由影響,增強了穩定性。
使用靜態路由的前提是IP規划一定要做好,每個功能區的網段規划要分離,否則大量雜亂的靜態路由反而變得難以維護。
如果全網都在一個OSPF的域中,雖然配置方便了,但是流量路徑就變得不可知了,不便於排障了,而且只用OSPF是無法實現分流的。
而且防火牆設備一般都不建議加入到OSPF的區域中,所有牽扯到與防火牆互聯時,一般還是建議用靜態路由。
這里盡量使用靜態路由。
在分支機構之間互聯時:
這種是四台路由器的口字型結構,只能使用動態協議,靜態路由在遇到故障時無法自動切換。
四台設備之間使用口字型結構還是全互聯結構:
正常情況下應使用口字型結構就能保證足夠的冗余,過多的冗余只是一種浪費。
但這之中有防火牆的話就應該全互聯,因為常見的防火牆HA為一死一活,如果口字型連接核心交換如果一台出現故障后,下聯的防火牆正好是主用
的情況下,會造成業務中斷。
在分支機構之間互聯時使用BGP還是OSPF:
BGP的好處是可以更精細的控制路由,但是配置相對復雜,考慮到將來的運維,不應該在支行這里使用。
再高層的分支機構中有專業 的維護人員,使用BGP就更好了。