目次
1. 全体構成
全体の構造は、データセンター、第 1 レベルのブランチ、第 2 レベルのブランチ、サブブランチです。
トポロジー:
考慮すべき中心的なニーズとソリューション:
高可用性:
デュアルセンター、デュアルデバイス、リンクバンドリング、ダイナミックプロトコル、VRRP、スパニングツリー、BFD、ファイアウォールHA
デバイス スタッキング、Huawei シリーズ スタッキング、水平仮想化には多くのバグがあると言われていますが、管理と使用が簡単です。Cisco シリーズ vpc、垂直仮想化、クラシック 7-5-2 アーキテクチャ、より優れた安定性、より複雑な構成と管理
実際には、両方のテクノロジーには多くの用途があるようで、比較するのは困難です。
拡張が簡単:
モジュラーおよびリージョナル設計。各エリアは比較的独立しています。コアとエリアの相互接続には静的ルーティングが使用されます。エリアの追加や削除は他のエリアには影響しません。
ハイパフォーマンス:
より高いパフォーマンスを確保するには、すべてのトラフィックがデバイスの片側に集中するのを避けるために、各デバイスの負荷を可能な限り軽減する必要があるため、オフロード技術を使用する必要があります。
内部トラフィックは種類ごとにビジネストラフィックとオフィストラフィックに分かれているため、IPを計画する際にもビジネストラフィックとオフィストラフィックに応じて大きく2つのセグメントに分けられ、これに基づいてトラフィックが分割されます。
スタティック ルーティングを使用する場合、スタティック ルーティング + VRRP を使用してオフロードと冗長性を実現します。
スタティックルートシャントの実装
在设备上同一个接口下配置两个VRRP实例10和20,主用设备分别在业务和办公上 ip route 业务网段 业务地址下一跳为实例10的virtual-ip ip route 业务网段 业务地址下一跳为实例20的virtual-ip
OSPF を使用する場合、オフロードと冗長性を実現するために OSPF+プレフィックス リストを介してスタティック ルートを導入するとコストが増加します。
ospf 100
#
import-route static route-policy static_ospf
#
route-policy static_ospf permit node 10
if-match ip address prefix-list YW
#
route-policy static_ospf permit node 20
if-match ip address prefix-list OA
apply cost + 1000
#
ip prefix-list YW index 10 permit 业务网段
ip prefix-list OA index 10 permit 办公网段
#BGP を使用する場合は、オフロードと冗長性を実現するために BGP コミュニティを通じてコストを増加させます。
#
BGP 65000
network 总行办公地址 route-policy BGPCM-OA
network 总行业务地址 route-policy BGPCM-YW
peer 一级分行互联地址 route-policy DS-OUT export
#
ip community-filter advanced DC-OA permit 65000:20
ip community-filter advanced DC-YW permit 65000:10
#
route-policy DS-OUT permit node 10
if-match community-filter DC-YW
#
route-policy DS-OUT permit node 20
if-match community-filter DC-OA
apply cost 1000
#
route-policy BGPCM-OA permit node 10
apply community 65000:20
#
route-policy BGPCM-YW permit node 10
apply community 65000:10
#動的ルーティングのコンバージェンス時間を短縮し、BFD を関連付ける必要があるため、OSPF と BFD の関連付けが必要です。
#这里联动BFD,主要为了快速切换
#由于上联分行使用的是MSTP链路,这种链路在发生故障时并不会使互连接口down
#而OSPF本身是一个在IP层上的协议,是无连接的,所有只有等到dead-time超时的时候才会认为此链路失效进行收敛
#dead-time的超时时间默认一般为40s,40s的中断时间是无法忍受的
#这里使用BFD联动上联接口,检测到链路中断后也可以快速触发OSPF收敛
#BGP是在TCP上的协议,链路中断会立即导致TCP的连接中断,也不会有这种问题,但仍可以联动BFD来加速收敛安全性:
ブランチ内では、ACL を使用してビジネス トラフィックとオフィス トラフィックを分離します。
#
interface Vlan-interface10
packet-filter 3010 inbound
#
interface Vlan-interface20
packet-filter 3020 inbound
#禁止办公访问业务
acl number 3010
rule 10 deny ip source 办公网段 destination 业务网段
rule 1000 permit ip
#禁止业务访问业务
acl number 3020
rule 10 deny ip source 业务网段 destination 办公网段
rule 1000 permit ipブランチ間では、OSPF はリンク ステート プロトコルであり、ネットワーク セグメントに基づいて LSA の送受信を制限できないため、セカンダリ ブランチの下流 OSPF を介して経路を配布する際に、他のブランチの経路がフィルタリングされます。
制限は各ブランチでのみ行うことができ、他のルートはプレフィックス リストを通じてルーティング テーブルへの追加を制限できます。
ip prefix-list ospfIn index 10 permit 需要的路由
Ospf 100
Filter-policy ip-prefix ospfIn importブランチ間では、第 1 レベルのブランチとデータ センターに接続されている BGP のコミュニティ属性を使用して、他のブランチのルートをフィルタリングします (上記で実装)
使いやすさ:
オフィス システム PC がプラグ アンド プレイできるように dhcp を構成する
2. データセンター
トポロジー:
考慮すべき中心的なニーズとソリューション:
アクティブ センターとスタンバイ センターでのアクティブ/アクティブ。
MACinIP テクノロジーである Cisco の OTV テクノロジーを使用すると、このテクノロジーにより、プライマリ センターとセカンダリ センターのサーバを同じ大規模なレイヤ 2 環境に存在させることができるため、プライマリ センターとセカンダリ センターを同じネットワーク セグメント上に置くことができます。
このように、アグリゲーション スイッチ上で VRRP を使用すると、アクティブ センターとバックアップ センターのネットワーク レベルでミリ秒レベルのスイッチングを完了できます。
3. 第 1 レベルの分岐
トポロジー:
考慮すべき中心的なニーズとソリューション:
アクティブとスタンバイの間の切り替え:
セカンダリ ブランチのアップリンク ルータはディザスタ リカバリに直接接続されており、BGP コミュニティを使用してオフロードと冗長性を実現するとコストが増加します。
次に、OSPF+プレフィックス リストを介してスタティック ルートをインポートするときに、オフロードを実装してメイン センターに戻すためのコストが増加します。
4. 二次ブランチ
トポロジー:
5. 支店
トポロジー:
#内部的互联口都可以使用链路捆绑技术,这里就不每个端口都写了
#办公侧的类似
sysname 上联路由器-业务
#管理地址,同时作为OSPF的router-id
interface LoopBack0
description **Mangerment**
ip address 10.95.34.254 255.255.255.255
#上联,与分行互联互联,改成p2p模式,不用选举BR,RDR,减少OSPF报文数
interface GigabitEthernet0/0
description **link_to-UPlink**
ospf network-type p2p
ip address 10.95.253.14 255.255.255.252
#下联,与汇聚交换机-业务互联
interface GigabitEthernet0/0
description **link_to-UPlink**
ospf network-type p2p
ip address 10.95.34.241 255.255.255.252
#横联,连接上联路由器-办公
interface GigabitEthernet0/2
description **link_to-上联路由器-办公**
ospf network-type p2p
ip address 10.95.34.245 255.255.255.252
#一个支行定义为一个非骨干区域
#支行为最终分支,但由于是双点上联,由于分流的技术需要,不能定义为末节区域
#需要通过分行的骨干区域下发路由时做过滤,来减少路由
#这里联动BFD,主要为了快速切换
#由于上联分行使用的是MSTP链路,这种链路在发生故障时并不会使互连接口down
#而OSPF本身是一个在IP层上的协议,是无连接的,所有只有等到dead-time超时的时候才会认为此链路失效进行收敛
#dead-time的超时时间默认一般为40s,40s的中断时间是无法忍受的
#这里使用BFD联动上联接口,检测到链路中断后也可以快速触发OSPF收敛
#BGP是在TCP上的协议,链路中断会立即导致TCP的连接中断,也不会有这种问题
ospf 100 router-id 10.95.34.254
bfd all-interfaces enable
area 0.0.0.101
network 10.95.253.14 0.0.0.0
network 10.95.34.241 0.0.0.0
network 10.95.253.245 0.0.0.0sysname 汇聚交换机-业务
#
vlan 10
description YeWu
#
vlan 20
description OA
#
vlan 21
description Video
#追踪上联接口,接口down时优先级下降10,变为备状态
#业务和办公流量隔离
interface Vlan-interface10
ip address 10.95.34.126 255.255.255.128
vrrp vrid 10 virtual-ip 10.95.34.126
vrrp vrid 10 priority 105
vrrp vrid 10 preempt-mode delay 100
vrrp tracrk GigabitEthernet0/0
packet-filter 3010 inbound
#业务侧办公vlan为备份
interface Vlan-interface20
ip address 20.95.34.126 255.255.255.128
vrrp vrid 20 virtual-ip 20.95.34.126
packet-filter 3020 inbound
#
interface Vlan-interface21
ip address 21.95.34.142 255.255.255.240
vrrp vrid 21 virtual-ip 20.95.34.142
packet-filter 3020 inbound
#设置为业务根桥,办公的备根
stp region-configuration
region-name region1
instance 1 vlan 10
instance 2 vlan 20
instance 2 vlan 21
active region-configuration
#
stp instance 1 root primary
stp instance 2 root secondry
stp mode rstp
#
interface GigabitEthernet0/0
description **link_to-上联路由器-业务**
ip address 10.95.34.242 255.255.255.252
#下联和横联
inter g0/xxx
port link-type trunk
port trunk allow-pass vlan 10,20,21
undo port trunk allow-pass vlan 1
#
ospf 100 router-id 10.95.34.254
bfd all-interfaces enable
area 0.0.0.101
network 10.95.34.126 0.0.0.0
network 20.95.34.126 0.0.0.0
network 20.95.34.142 0.0.0.0
#禁止办公访问业务
acl number 3010
rule 10 deny ip source 20.95.34.0 0.0.0.255 destination 10.95.34.0 0.0.0.255
rule 1000 permit ip
#禁止业务访问业务
acl number 3020
rule 10 deny ip source 10.95.34.0 0.0.0.255 destination 20.95.34.0 0.0.0.255
rule 1000 permit ip#这个实在是没啥东西
sysname 接入交换机01
#管理地址
interface Vlan-interface10
ip address 10.95.34.250 255.255.255.128
#
#末节端口
interface GigabitEthernet0/9
port link-mode bridge
port access vlan 10
stp edged-port
# 6. 技術的な議論
静的ルーティングまたは動的ルーティングを使用します。
コアを各機能領域に相互接続する場合:
静的ルーティングを使用する利点は、トラフィックの経路を整理しやすくなり、各ネットワークセグメントの経路が一目でわかるため、トラブルシューティングやトラフィックの迂回が容易になることです。
また、障害が発生しても各機能領域に限定され、他の領域のルーティングには影響を与えないため、安定性が向上します。
スタティック ルーティングを使用するための前提条件は、IP 計画が適切に行われ、各機能領域のネットワーク セグメント計画が分離されている必要があることです。そうでないと、乱雑な多数のスタティック ルートの維持が困難になります。
ネットワーク全体が OSPF ドメインにある場合、構成は便利ですが、トラフィック パスが不明になり、トラブルシューティングが不便になり、OSPF だけではトラフィック分散を実現できません。
また、ファイアウォール デバイスを OSPF エリアに追加することは通常推奨されず、ファイアウォールとの相互接続が関係する場合は、一般に静的ルーティングが推奨されます。
ここでは静的ルーティングを使用してみてください。
ブランチを相互接続する場合:
4台のルータの口の形をした構造で、動的プロトコルのみを使用でき、障害発生時に静的ルートを自動的に切り替えることはできません。
4 つのデバイスは口の形の構造を使用するか、完全に相互接続された構造を使用する必要があります。
本来であれば十分な冗長性を確保するために口の形をした構造にするべきですが、過剰な冗長性は無駄になります。
ただし、ファイアウォールがある場合は、共通のファイアウォール HA が生死にかかわる操作であるため、完全に相互接続する必要があります。コア スイッチが対称的に接続されている場合、一方に障害が発生すると、ダウンストリーム リンク上のファイアウォールがメインになってください。
この場合、業務の中断が発生します。
ブランチを相互接続する場合、BGP または OSPF を使用する必要がありますか?
BGP はより精密にルーティングを制御できる利点がありますが、構成が比較的複雑なため、今後の運用保守を考慮すると拠点では使用しないほうがよいでしょう。
上位ブランチに専門の保守担当者がいる場合は、BGP を使用する方が良いでしょう。