網(wǎng)絡(luò)規(guī)劃與設(shè)計第8講

1、 第4章 網(wǎng)絡(luò)邏輯設(shè)計 可靠性、QoS、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、接入網(wǎng)和虛擬化設(shè)計4.1 可靠性設(shè)計 4.1.1 可靠性技術(shù) 4.1.2 可靠性設(shè)計方案4.1 可靠性設(shè)計可靠性是衡量網(wǎng)絡(luò)的一個重要指標(biāo)，也是網(wǎng)絡(luò)設(shè)計的一個重要內(nèi)容。網(wǎng)絡(luò)的可靠性主要取決于網(wǎng)絡(luò)設(shè)備可靠性、網(wǎng)絡(luò)鏈路可靠性和組網(wǎng)可靠性。不同網(wǎng)絡(luò)的可靠性需求是不同的，可用的可靠性技術(shù)也是多種多樣的，因而有著不同的可靠性解決方案。4.7.1 可靠性技術(shù)1、設(shè)備可靠性技術(shù)（1）單個網(wǎng)絡(luò)設(shè)備的可靠性技術(shù) 單個網(wǎng)絡(luò)設(shè)備的可靠性是通過設(shè)備內(nèi)部部件的冗余來實現(xiàn)的。設(shè)備可靠性技術(shù) 若單個網(wǎng)絡(luò)設(shè)備若要具有電信級的5個9（99.999%）的可靠性，需要采取下

2、列技術(shù)措施：主控板1:1備份；交換網(wǎng)1+1/1:1方式；DC電源1+1備份；AC電源1+1/2+2備份；模塊化的風(fēng)扇設(shè)計，高端配置解決單風(fēng)扇失效；無源背板，高可靠性；獨立的設(shè)備監(jiān)控單元和主控解耦；所有模塊支持熱插拔；完善的告警功能；設(shè)備管理1:1備份。 設(shè)備可靠性技術(shù)（2）網(wǎng)絡(luò)設(shè)備的節(jié)點故障恢復(fù)技術(shù) 網(wǎng)絡(luò)設(shè)備的節(jié)點故障一般是通過相應(yīng)的網(wǎng)絡(luò)協(xié)議來感知節(jié)點設(shè)備故障，發(fā)現(xiàn)后自動進行動態(tài)故障恢復(fù)。VRRP VRRP（虛擬路由冗余協(xié)議）是一種缺省路由器（默認網(wǎng)關(guān)）容錯協(xié)議。 VRRP 是為解決缺省路由器故障自動恢復(fù)問題而提出的，是為具有組播或廣播能力的局域網(wǎng)（如以太網(wǎng)）設(shè)計的。 VRRP 將局域網(wǎng)的一組

3、路由器組織成一個虛擬路由器（有自己的IP 地址），如果組內(nèi)的一個路由器壞掉，將自動選出一個備份路由器繼續(xù)向主機提供路由服務(wù)，從而保障本網(wǎng)絡(luò)主機能可靠地訪問外部網(wǎng)絡(luò)。 CSS、 iStack CSS（Cluster Switch System，華為的框式交換機集群）和iStack(盒式交換機的堆疊)技術(shù)，能夠把多臺物理交換機設(shè)備連接在一起，對外表現(xiàn)為一臺邏輯設(shè)備，從功能和管理方面，都可以作為一臺設(shè)備來看待。 單節(jié)點物理設(shè)備的故障，基于CSS的邏輯設(shè)備能夠快速感知，并快速將流量切換到UP狀態(tài)的鏈路上，減少丟包時間，具有較高可靠性。 CSS主要用于核心交換機或匯聚交換機；istack用于接入交換機或

4、匯聚交換機。鏈路可靠性技術(shù)鏈路可靠性考慮的主要是當(dāng)一條鏈路發(fā)生物理故障時，能快速投入備份物理鏈路，最好是熱備份物理鏈路。鏈路可靠性技術(shù)主要是鏈路匯聚（聚合）技術(shù)。 （1）Trunk技術(shù) Trunk稱為“端口匯聚”，是帶寬擴展和鏈路備份的一個重要技術(shù)手段。 Trunk把交換機的多個物理端口捆綁在一起當(dāng)作一個邏輯端口使用，可以把多組端口的帶寬疊加起來使用。Trunk技術(shù)也可以實現(xiàn)TRUNK內(nèi)部多條鏈路互為備份的功能，即當(dāng)一條鏈路出現(xiàn)故障時，Trunk內(nèi)部其他鏈路仍可正常工作。平時，Trunk內(nèi)部多鏈路之間還能實現(xiàn)流量均衡。鏈路可靠性技術(shù)（2）iStack技術(shù) iStack技術(shù)是華為的一種先進的交換

5、機堆疊和端口匯聚技術(shù)，具有高可靠性，其堆疊系統(tǒng)與上、下層設(shè)備之間的物理鏈路支持聚合功能，這樣通過多個鏈路的熱備份提高了堆疊交換網(wǎng)絡(luò)系統(tǒng)的可靠性。鏈路可靠性技術(shù)（3）有環(huán)鏈路冗余技術(shù) 從鏈路可靠性考慮，可采用帶來環(huán)路的雙上行鏈路（1個接入交換機通過2條鏈路分別連接2個匯聚層交換機），以提高交換鏈路的可靠性。在這種情況下，交換機與匯聚交換機之間可通過破環(huán)協(xié)議STP/RSTP /MSTP/RRPP /SmartLink來解決二層網(wǎng)絡(luò)環(huán)路問題，同時保證網(wǎng)絡(luò)可靠性。 STP系列收斂慢，RRPP收斂快但網(wǎng)絡(luò)配置復(fù)雜，SmartLink收斂較快且配置簡單、專用于雙上行組網(wǎng)。（4）DLDP光纖單通故障檢測技術(shù)

6、網(wǎng)絡(luò)中可能出現(xiàn)一種特殊鏈路故障現(xiàn)象單向鏈路（即單通）。所謂單向鏈路是指本端設(shè)備可以通過鏈路收到對端設(shè)備發(fā)送的報文，但對端設(shè)備不能收到本端設(shè)備發(fā)送的報文。DLDP（device link detection protocol，設(shè)備連接檢測協(xié)議）能監(jiān)控光纖或銅質(zhì)雙絞線（如超五類雙絞線）的單向鏈路狀態(tài)。匯聚交換機與接入交換機之間可通過DLDP協(xié)議檢測光纖單向故障（單通故障）。 4.1.2 可靠性設(shè)計方案可靠性層次化總體方案參考可靠性層次化總體參考方案（1）接入交換機與匯聚交換機之間是二層網(wǎng)絡(luò)，通過STP/RSTP/MSTP/RRPP/ SmartLink /iStack解決二層網(wǎng)絡(luò)環(huán)路問題，同時保證

7、網(wǎng)絡(luò)可靠性。（2） 匯聚交換機之間通過VRRP（BFD For VRRP）協(xié)議確定用戶的主備網(wǎng)關(guān)。（3）交換機互聯(lián)通過TRUNK鏈路，保證鏈路級可靠性。（4）匯聚交換機與接入交換機之間可通過DLDP協(xié)議檢測光纖單向故障（單通故障）。（5）匯聚層以上設(shè)備通常部署三層網(wǎng)絡(luò)。在三層網(wǎng)絡(luò)比較常用的可靠性技術(shù)包括：IP FRR、NSF/GR、ECMP/UCMP、BFD。三層上常用的可靠性協(xié)議IP FRR IP FRR（IP Fast ReRoute）即IP快速重路由。 IP FRR是一種轉(zhuǎn)發(fā)快速切換技術(shù)，當(dāng)物理層或鏈路層檢測到故障時無需等待路由收斂，立即開始采取措施，使用一條備份的鏈路將報文轉(zhuǎn)發(fā)出去，從

8、而將鏈路故障對承載業(yè)務(wù)的影響降低到最小限度。 IP FRR通常在匯聚層到核心層、核心層到出口路由器之間部署。三層上常用的可靠性協(xié)議NSF NSF（None Stop Forwarding，不間斷轉(zhuǎn)發(fā)）是指在路由器控制層面故障過程中，數(shù)據(jù)轉(zhuǎn)發(fā)不間斷地正常執(zhí)行。 通常情況下，路由器故障后，其路由協(xié)議層面的鄰居會檢測到它們之間的鄰居關(guān)系Down掉，然后過段時間再次UP，這使得到重啟路由器的一段時間內(nèi)出現(xiàn)路由黑洞，從而導(dǎo)致網(wǎng)絡(luò)的可靠性大大降低。 NSF技術(shù)的目標(biāo)就是為了解決上述路由震蕩問題，在設(shè)備主備倒換時，轉(zhuǎn)發(fā)層面不等待控制層面重新計算路由，先保持現(xiàn)有轉(zhuǎn)發(fā)路徑不變。 NSF功能通常在所有三層設(shè)備上部

9、署。三層上常用的可靠性協(xié)議（3）ECMP/UCMPECMP（Equal Cost Multiple Path，等價轉(zhuǎn)發(fā)路徑）是解決三層設(shè)備之間的轉(zhuǎn)發(fā)能力擴展和可靠性問題的協(xié)議。根據(jù)實際鏈路情況和需要，配置成等價轉(zhuǎn)發(fā)路徑或者非等價轉(zhuǎn)發(fā)路徑。ECMP負載分擔(dān)模式是等價負載分擔(dān)，但對于帶寬差別大的多條鏈路不能合理利用鏈路帶寬。UCMP（Unequal Cost Multiple Path，非等價轉(zhuǎn)發(fā)路徑）則將流量根據(jù)不同鏈路帶寬的比例分擔(dān)到每條鏈路上。ECMP和UCMP主要用于園區(qū)出口連接廣域網(wǎng)和Internet的不同運營商。三層上常用的可靠性協(xié)議（4）BFDBFD(雙向轉(zhuǎn)發(fā)檢測)是一種三層檢測機制

10、，對相鄰轉(zhuǎn)發(fā)引擎之間通道故障提供輕負荷、持續(xù)時間短的檢測。這些故障包括接口、數(shù)據(jù)鏈路，甚至是轉(zhuǎn)發(fā)引擎本身。BFD提供一個單一的機制，它能夠用來對任何媒介、任何協(xié)議層進行實時地檢測，并且檢測的時間與開銷范圍比較寬。BFD故障檢測機制本質(zhì)上是一種高速的獨立Hello協(xié)議。目前網(wǎng)絡(luò)路由協(xié)議一般采用慢Hello機制，有硬件幫助下，檢測時間會較長（例如：OSPF需要2秒的檢測時間，ISIS需要1秒的檢測時間），這對某些應(yīng)用來說時間太長了，故障感應(yīng)時間越長代表著數(shù)據(jù)丟失量越大。 BFD協(xié)議的出現(xiàn)，為上述問題提出了一種解決方案，BFD For 路由，就是將BFD和路由協(xié)議關(guān)聯(lián)起來，通過BFD對鏈路故障的快速

11、感應(yīng)進而通知路由協(xié)議，從而加快路由協(xié)議對于網(wǎng)絡(luò)拓撲變化的響應(yīng)。2）典型園區(qū)網(wǎng)二層可靠性組網(wǎng)設(shè)計方案典型園區(qū)網(wǎng)二層可靠性組網(wǎng)設(shè)計方案有：口字型、三角型、U字型組網(wǎng)方案。（1）口字型方案 多臺接入交換機與兩臺匯聚交換機之間組成口字型二層環(huán)網(wǎng)，并且通過部署STP/RSTP/MSTP /RRPP/SEP等協(xié)議進行二層環(huán)網(wǎng)阻斷、環(huán)網(wǎng)故障檢測和保護倒換功能。 口字型組網(wǎng)方案是園區(qū)網(wǎng)中非常經(jīng)典的可靠性設(shè)計方案，適合各種規(guī)模的園區(qū)網(wǎng)應(yīng)用場景?？谛头桨缚谧中徒M網(wǎng)方案的優(yōu)點 園區(qū)網(wǎng)各部門/區(qū)域接入交換機可以串在一起，與匯聚交換機組成二層環(huán)網(wǎng)，匯聚交換機統(tǒng)一為各部門/區(qū)域接入交換機下的用戶分配IP地址，實現(xiàn)不同部門

12、/區(qū)域的用戶可以共用同一個IP地址網(wǎng)段。口字型組網(wǎng)方案的缺點 接入層網(wǎng)絡(luò)需要部署較為復(fù)雜的二層環(huán)網(wǎng)協(xié)議，網(wǎng)絡(luò)配置和維護較為復(fù)雜。2）典型園區(qū)網(wǎng)二層可靠性組網(wǎng)設(shè)計方案（2）三角型方案 匯聚交換機作為用戶網(wǎng)關(guān)設(shè)備，兩臺匯聚交換機之間通過二層鏈路互連，每臺接入交換機上行有兩條鏈路接入到兩臺匯聚交換機，接入交換機上行兩條鏈路的主備關(guān)系由運行的SmartLink協(xié)議確定。 兩臺匯聚交換機運行VRRP（BFD+VRRP）協(xié)議確定主備用戶網(wǎng)關(guān)，VRRP報文直接在匯聚交換機直連鏈路上收發(fā)。三角型方案三角型組網(wǎng)方案的優(yōu)點 （1）相對于復(fù)雜的環(huán)網(wǎng)保護協(xié)議（STP/RSTP /MSTP /RRPP），SmartLi

13、nk破環(huán)協(xié)議的部署配置簡單、故障檢測和保護倒換速度快（50ms）； （2）支持園區(qū)網(wǎng)一棟樓中不同部門/區(qū)域的用戶可以共用同一個IP地址網(wǎng)段。三角型組網(wǎng)方案的缺點 （1）每臺接入交換機上行需要部署主備兩條鏈路，增加了布線成本； （2）對匯聚交換機的端口密度有較高要求。2）典型園區(qū)網(wǎng)二層可靠性組網(wǎng)設(shè)計方案（3）U字型方案U字型組網(wǎng)中，匯聚交換機之間通過純?nèi)龑渔溌坊ミB，無直連二層鏈路。主備匯聚交換機通過VRRP（BFD for VRRP）協(xié)議協(xié)商，VRRP協(xié)議通過接入交換機轉(zhuǎn)發(fā)，每組接入交換機與兩臺匯聚交換機組成的一個物理U型網(wǎng)絡(luò)。匯聚交換機通過多個物理端口會接入多個二層U型網(wǎng)絡(luò)，這樣匯聚交換機間需要運行多個VRRP組（每個二層U型接入網(wǎng)絡(luò)運行一個VRRP組）。U字型方案