華為HCIP R與S 數(shù)通 H21-223 復(fù)習(xí)資料

網(wǎng)絡(luò)規(guī)劃

網(wǎng)絡(luò)規(guī)劃階段的主要工作是調(diào)研分析項目的背景，確定用戶的項目需求，確定項目的整

體技術(shù)方向。其結(jié)束的標(biāo)志是發(fā)標(biāo)，即他實際上是咨詢公司的工作內(nèi)容。

規(guī)劃與設(shè)計的區(qū)別

規(guī)劃階段的工作更加宏觀，更注重于要做什么和做這些需要什么條件，在怎么做上僅僅

指出總體的技術(shù)方向；而設(shè)計階段的工作則更關(guān)注具體的技術(shù)與實現(xiàn)細(xì)節(jié)，注重點在于

怎么做。

具體內(nèi)容

確定網(wǎng)絡(luò)項目的目標(biāo)：項目需求最好一次性明確，

項目背景：

實施工作范圍，：實現(xiàn)的功能可靠性、安全性，項目的時間和金額。

制訂項目的預(yù)算：

明確網(wǎng)絡(luò)設(shè)計的指導(dǎo)思想。

工作方式：

主要是針對重點人物采取調(diào)查的方式，輔助表格調(diào)查。在明確需求和可實施提前

條件的情況下，與客戶協(xié)商在可實現(xiàn)性和相互性之間的平衡與妥協(xié)，并最終形成

調(diào)研報告。

項目背景：

掌握各個行業(yè)的特點和當(dāng)前行業(yè)中的典型解決方案

掌握客戶啟動該項目需要達(dá)到的目的。

項目單位的業(yè)務(wù)，掌握這些業(yè)務(wù)的數(shù)據(jù)流向和數(shù)據(jù)流的特點

項目人員

客戶項目組主要的兩位是項目主管和項目聯(lián)絡(luò)人。項目主管一般負(fù)責(zé)技術(shù)性工作，譬如

技術(shù)方案的確定等；項目聯(lián)絡(luò)人一般負(fù)責(zé)事務(wù)性的工作

項目范圍：

工程邊界：與配套工程的分工界面和職責(zé)范圍。

功能邊界：項目要實現(xiàn)的具體功能和模塊。

覆蓋范圍：涉及到的地理范圍。

目標(biāo)管理：

網(wǎng)絡(luò)項目的商業(yè)意義是網(wǎng)絡(luò)項目得以存在的最根本原因。典型的目標(biāo)：提高生產(chǎn)效率、

支持業(yè)務(wù)擴張、技術(shù)優(yōu)化更新。

技術(shù)目標(biāo)：實現(xiàn)商業(yè)目標(biāo)服務(wù)，指導(dǎo)項目的具體實施。

成本管理

確定項目預(yù)算是項目規(guī)劃階段的重要工作。

預(yù)算最常見的方法有兩種：

K自上而下：基于項目人員的經(jīng)驗和歷史數(shù)據(jù)，對項目成本進行估算。

“自下而上：基于具體項目各個部分的費用估算，匯總后得出項目的總費用

總成本=建設(shè)投資+運行維護+優(yōu)化改造。

TOC是建設(shè)投資、運行維護、資源成本

技術(shù)需求分析：

功能：作為項目目標(biāo)出現(xiàn)。（互聯(lián)范圍、互聯(lián)規(guī)模：對象、類型、用戶規(guī)模、實現(xiàn)

模式、服務(wù)質(zhì)量、安全要求擬承載的應(yīng)用）

性能：最基本的是網(wǎng)絡(luò)的吞吐量（帶寬）。由線路帶寬、設(shè)備性能和帶寬的利用率綜合

節(jié)里。

可用性：對網(wǎng)絡(luò)故障的容忍度

擴展性：留有一定的余量。考慮接入用戶數(shù)量增加和業(yè)務(wù)流量增加兩個方面。

可實現(xiàn)性：不提不切實際的指標(biāo)和要求，做到可行可實現(xiàn)

業(yè)務(wù)流量分析

）業(yè)務(wù)流量特征分析

流量路徑用戶數(shù)量業(yè)務(wù)等級

流量類型業(yè)務(wù)模型QoSjg標(biāo)

負(fù)載估算時間模型QoS模型

網(wǎng)絡(luò)架構(gòu)

傳統(tǒng)上一般采用三層結(jié)構(gòu)組網(wǎng)；當(dāng)前開始流行網(wǎng)絡(luò)扁平化，采用兩層結(jié)構(gòu)組網(wǎng)。

考題

巨型幀的優(yōu)點：提高轉(zhuǎn)發(fā)效率、保障網(wǎng)絡(luò)通信中數(shù)據(jù)的完整性和可靠性、減少CPU

占用率，提升設(shè)備轉(zhuǎn)發(fā)性能、在視頻傳輸中減少時延、抖動對業(yè)務(wù)的影響。

網(wǎng)絡(luò)設(shè)計

在網(wǎng)絡(luò)規(guī)劃階段所獲得信息的基礎(chǔ)上，用技術(shù)手段予以規(guī)范化體現(xiàn)。在設(shè)計階段

確定設(shè)備選型、技術(shù)路線，明確網(wǎng)絡(luò)功能、性能指標(biāo)，將需求落到實處。

網(wǎng)絡(luò)設(shè)計一般遵循模塊化指導(dǎo)方針，分模塊進行設(shè)計，模塊內(nèi)部采用層次化結(jié)構(gòu),

然后融為一體。

網(wǎng)絡(luò)設(shè)計的輸出

規(guī)范的：設(shè)計的標(biāo)準(zhǔn)是可執(zhí)行的，符合要求的。

詳細(xì)的：清晰的描述目的、意思和實現(xiàn)方式。

明確的：

可實現(xiàn)的：最適合項目的

網(wǎng)絡(luò)設(shè)計的內(nèi)容

物理設(shè)計：物理拓?fù)湓O(shè)計、硬件設(shè)備選型、互聯(lián)鏈路選型、設(shè)備基本配置。出網(wǎng)

絡(luò)設(shè)備清單

邏輯網(wǎng)絡(luò)設(shè)計：局域網(wǎng)絡(luò)設(shè)計、廣域網(wǎng)絡(luò)設(shè)計、路由結(jié)構(gòu)設(shè)計、網(wǎng)絡(luò)出口設(shè)計、

高可用性設(shè)計'

其他網(wǎng)絡(luò)設(shè)計：網(wǎng)絡(luò)安全設(shè)計、VPN設(shè)計、無線網(wǎng)絡(luò)設(shè)計、數(shù)據(jù)中心設(shè)計、網(wǎng)絡(luò)

管理設(shè)計。

網(wǎng)絡(luò)設(shè)計關(guān)注點

MTBF：平均故障間隔時間。

vMTTF：平均故障時間。

vMTTR：平均修復(fù)時間。

打環(huán)（LOOP）測試：測試的時候班是簡單地在遠(yuǎn)端將兩根線路短接即可。一般

MODEM會有一個LOOP燈，短接后會點亮。另外一些MODEM面板上也會有打

環(huán)按鈕或菜單，可以選擇向本端或向遠(yuǎn)端打環(huán)。主要是測試物理線路是否有中斷。

光功率一般用DBM來表示，-lOdbm是當(dāng)前大多數(shù)光收發(fā)設(shè)備能夠接收并識別數(shù)

據(jù)。

網(wǎng)絡(luò)設(shè)計的關(guān)鍵是設(shè)備線路等元素的選擇

物理網(wǎng)絡(luò)設(shè)計

?層次化網(wǎng)絡(luò)?三層結(jié)構(gòu)

國國國國國國圖國

傳統(tǒng)的網(wǎng)絡(luò)采用三個層次，核心、匯聚、接入各司其職，核心層提供數(shù)據(jù)高速通

路，匯聚層進行流量匯聚和控制策略，接入層為終端提供多種接入方式。三層網(wǎng)

絡(luò)提供良好的可擴展性，在當(dāng)前網(wǎng)絡(luò)中得到了廣泛的應(yīng)用。

二層架構(gòu)只有核心層和接入層，抽離匯聚層。二層結(jié)構(gòu)主要應(yīng)用于城域網(wǎng)、廣域網(wǎng)、數(shù)

據(jù)中心網(wǎng)絡(luò)等場合。

設(shè)備選型

B交換機體系架構(gòu)

常見的為低端總線型，高端矩陣式交換機。總線式是搶占的,每個端口分時復(fù)用。

高端的是矩陣式的，可以同時轉(zhuǎn)發(fā)多路。

交換機性能主要點：交換容量、包轉(zhuǎn)發(fā)率。

吞吐量(Mpps)=萬兆端口數(shù)量*14.88Mpps+千兆數(shù)量*1.488Mpps+百兆數(shù)量

*0.1488Mpps

包吞吐量的衡量是以單位時間內(nèi)發(fā)送64B時數(shù)據(jù)包(最小包)的個數(shù)作為計算基

準(zhǔn)，以千兆以太網(wǎng)端口為例，其計算方法如下：

1000000000b/s/8bit/(64+8+12)B=1488095pps

當(dāng)以太網(wǎng)幀為64B時，需考慮8B的幀頭和12B的幀間隙的固定開銷。

吞吐量又稱轉(zhuǎn)發(fā)速率，即達(dá)到端口全速率的情況下的最小量。

背板帶寬決定交換機的數(shù)據(jù)處理能力，背板帶寬越寬越好。

背板帶寬=端口數(shù)量*端口速率*2

例如：256Gb/s的背板只能滿足128個1000Mb/s端口的無阻塞并發(fā)傳遞。

?華為盒式交換機

2700:

二忌百兆以太交換機；

系列中各型號提供8/16/24/48個10/100M自適應(yīng)接入端口1

提供1-4個千兆上聯(lián)口.

3700:

三層百兆以太交換機；

系列中各型號提供24/48個10/100M自適應(yīng)接入港口;

提供2個千兆上聯(lián)口.

5700:

三層千兆以太交換機；

系列中各型號提供24148個10/100/1000M自適應(yīng)接入端口;

提供2個千兆或萬兆上聯(lián)口.

6700:

三層萬兆以太交換機；

兩個型號分別提供24/48個萬兆SFP+光端口.

各家廠商一般2開頭的都是低端的，華為2700是二層百兆的。百兆是下行鏈路,

上行一般是千兆。

3700逐漸退出市場，定位百兆三層

5700是全千兆三層的設(shè)備，定位大中型匯聚。

S6700萬兆三層，定位中型網(wǎng)絡(luò)的核心層，大中型匯聚。

9700:

三個型號分別提供3/6/12個接口卡匾格；

單一機框最多支持572萬兆接口，9&H0GE接口；支持

線速蕤發(fā)；

提供防火墻、入侵檢測、無疑控制等搐塊；

支持CSS集群技術(shù).

12700:

三個型號分別提供4/8/12個接口卡插格；

單一機框最多支持576個萬兆接口，96個40GE接口；支持

線速轉(zhuǎn)發(fā)；

支持TRILL、FCoE(DCB).EVN.nCenter.EVB.SPB

、VXLAN等數(shù)據(jù)中心特性.

?力路由器選型要點

■21??共有?2019?洌?索專1?公田WHUAWEI

雖然集成網(wǎng)絡(luò)安全、語音等。但是這些功能基于軟件實現(xiàn)，適用于小型網(wǎng)絡(luò)，如

果要大規(guī)模高性能地實現(xiàn)這些功能，仍然需要專用的設(shè)備。

）AR系列路由器

AR1200:

多核CPU、無阻塞交穌構(gòu)；

融合路由、交換、3G/LTE.WLAN、安全等多種場,提

供All-in-One組網(wǎng)能力；

完善的Q。沏制;

業(yè)務(wù)板卡支持型插度.J

AR2200:

多核、無阻塞交換架掏；

^4個SCPUIC,2個WSIC,2個XSIC?槽；

融合路由、交換、3G/LTE.WLAN、安全等多種業(yè)務(wù)；

完善的QoS機制；業(yè)務(wù)板卡支持型插拔.

AR32OO:

轉(zhuǎn)發(fā)控制分離，主控板1:1冗余；

提供4個S1C,2個WSIC,4個XS】C插槽；

融合路由、交/3G/LTE.WLAN,安全等多種隨；

完善的Q。沏制；業(yè)務(wù)板卡支持熱播演

介質(zhì)選擇

常見的為五類（CAT5）、超五類（CAT5e）、六類（CAT6）。其中五類線用于快速以太網(wǎng),

超五類和六類線用于千兆以太網(wǎng)。

多模光纖為橙色，機房內(nèi)部；單模光纖為黃色，機房之間。

樓宇布線：一般可以分為建筑群子系統(tǒng)，垂直子系統(tǒng)，水平子系統(tǒng)和工作區(qū)子系統(tǒng)。

垂直系統(tǒng)一般使用光纖，一個是因為中心機房與各樓層之間的距離問題，另外一個是因

為作為干線系統(tǒng)，要求提供較高的數(shù)據(jù)速率。

TOR(topofrack)：在每個機架頂部安裝交換機

Eor(endofrow)：在每一排機架尾部安裝交換機

云計算的發(fā)展，數(shù)據(jù)中心的服務(wù)器密度提高很快，ToR的布線方式逐漸流行。

設(shè)備的邏輯名一般會包含以下信息:

*設(shè)備安裝位置；

口設(shè)備角色；

n設(shè)備型號；

?設(shè)備編號。

光纖入戶主要采用的技術(shù)GPON/EPONo

網(wǎng)絡(luò)設(shè)計

局域網(wǎng)絡(luò)設(shè)計

二層防環(huán)

環(huán)路產(chǎn)生的原因：

拓?fù)涞娜哂嘣O(shè)計

STP算法對全局信息的了解

算法定時器的超時

網(wǎng)絡(luò)黑洞

刀箱交換機模塊A刀箱交換機模塊B

網(wǎng)卡1,網(wǎng)卡2J

Teaming或Bond

刀片服務(wù)器

被發(fā)送到網(wǎng)卡1的流量到達(dá)刀箱交換機模塊A后，因為刀箱交換機模塊A上行

鏈路已全部中斷，無法被轉(zhuǎn)發(fā)至核心交換機，最終這部分?jǐn)?shù)據(jù)流無法被送達(dá)目的

主機，最終會因投遞超時被丟棄。這部分流量仿佛落入了“黑洞”一般，得不到任

何回應(yīng)，將導(dǎo)致嚴(yán)重的丟包或斷網(wǎng)情況發(fā)生。

解決思路是通過協(xié)議讓下游的設(shè)備知道上游設(shè)備已經(jīng)故障，避免繼續(xù)發(fā)送數(shù)據(jù)。

安全設(shè)計

El二層網(wǎng)絡(luò)安全設(shè)計

二JS攻擊類/"-esreuM

針對設(shè)籍的DoS攻擊交渙機CPU保護

流M超或沆曰抑制/風(fēng)?控制

MACWC99PortSecurity

DHCP攻擊DHCPSnooping

ARP攻擊限速/固化/隔離/DAI

源偽造攻擊1PSG

也布—flfi般些電

DoS攻擊：CPCAR(ControlPlaneCommittedAccessRate)限制單位時間內(nèi)上送CPU報

文的數(shù)量，加報警阻斷。

MAC地址表攻擊：配置靜態(tài)MAC地址，或者使用stickyMAC地址(將交換機端口發(fā)

現(xiàn)的對端設(shè)備的mac地址粘貼到mac-address-table中，省的管理員一個個輸入進去了，

display命令不會顯示)

DHCP攻擊：開啟DHCPSnooping功能

ARP攻擊：MUXVLAN、ARP表項嚴(yán)格學(xué)習(xí)、ARP表項固化

廣域網(wǎng)設(shè)計

技術(shù)選用：

0廣域網(wǎng)技術(shù)選用

基于SDH傳輸系統(tǒng)

DDN/E1/POS/MSTP基于波分復(fù)用

ODWDM

傳輸網(wǎng)、

uOTN

Q廣域

e技術(shù)

電路交換網(wǎng)―

令分組交換網(wǎng)

基于傳統(tǒng)電話網(wǎng)于報文交換

PSTN/ISDN以；VATM/FR/X.25

1、最常用的是SDH傳輸網(wǎng)絡(luò)的分時復(fù)用技術(shù)。按照時隙的帶寬大小可以分為多種類

型。如DDN技術(shù)，一般以64Kbps為分配單位。E1線路，以2Mbps(64K*32)為分配

單位。PoS鏈路，以155Mbps為基本單位，可以提供622Mbps,2.4Gbps,lOGbps等

傳輸鏈路。

2、下一代骨干傳輸網(wǎng)OTN是采用波分復(fù)用(WDM)WDMo

廣域網(wǎng)二層協(xié)議：

一般采用點到點鏈路，PPP協(xié)議當(dāng)前廣域網(wǎng)絡(luò)最常用的點到點鏈路層協(xié)議，在同步串行

鏈路和異步串行鏈路上均可以工作。PPP協(xié)議具有強大而豐富的擴展功能，譬如認(rèn)證、

鏈路捆綁、地址協(xié)商、數(shù)據(jù)壓縮等。

OTN可直接提供以太網(wǎng)接口供用戶使用。

傳統(tǒng)廣域網(wǎng)是基于帶寬專用，分批復(fù)用的基本思路，故價格昂貴，其替代技術(shù)是VPN,

缺點是帶寬不可控。

PPP與HDLC

廣域網(wǎng)中經(jīng)常使用串行鏈路來提供遠(yuǎn)距離的數(shù)據(jù)傳輸，高級數(shù)據(jù)鏈路控制HDLC和點

對點協(xié)議PPP是兩種典型的串口封裝協(xié)議。

HDLC是面向比特的，

PPP組件

名稱作用

鏈路控制協(xié)議建立、拆除和監(jiān)控PPP數(shù)據(jù)鏈路

網(wǎng)絡(luò)層控制協(xié)議對于不同的網(wǎng)絡(luò)協(xié)議進行連接建立和參

數(shù)協(xié)商

DSVPN

動態(tài)智能VPN(DynamicSmartVirtualPrivateNetwork),簡稱DSVPN,是一種在Hub-

Spoke組網(wǎng)方式下為公網(wǎng)地址動態(tài)變化的分支之間建立VPN隧道的解決方案。

產(chǎn)生原因

使用傳統(tǒng)的IPSec、GREoverlPSec等技術(shù)構(gòu)建VPN網(wǎng)絡(luò)將存在一個問題，即分支之間

無法直接通信(源分支無法獲取目的分支公網(wǎng)地址，也就無法在分支之間直接建立隧道),

所有分支之間的通信數(shù)據(jù)只能由總部中轉(zhuǎn)，增大總部的處理數(shù)量。

IPSec和動態(tài)路由協(xié)議之間存在一個基礎(chǔ)問題，動態(tài)路由協(xié)議依賴于組播報文或廣播報

文進行路由更新，而IPSec不支持廣播報文和組播報文的傳輸。

華為提出了DSVPN解決方案，它通過將下一跳解析協(xié)議NHRP(NextHopResolution

Protocol)和mGRE(multipointGenericRoutingEncapsulation)技術(shù)與IPSec相結(jié)合解決

了上述問題：

DSVPN通過NHRP協(xié)議動態(tài)收集、維護和發(fā)布各節(jié)點的公網(wǎng)地址等信息，解決了源分

支無法獲取目的分支公網(wǎng)地址的問題，從而可在分支與分支之間建立動態(tài)VPN隧道，

實現(xiàn)分支與分支間的直接通信，進而減輕總部的負(fù)擔(dān)、避免網(wǎng)絡(luò)延時。

DSVPN借助mGRE技術(shù)，使VPN隧道能夠傳輸組播報文和廣播報文，并且一個Tunnel

接口可與多個對端建立VPN隧道，減少了配置VPN隧道的工作量；在新增分支或分支

公網(wǎng)地址發(fā)生變化時，也能自動維護總部與分支之間的隧道關(guān)系，而不用調(diào)整總部的隧

道配置，使得網(wǎng)絡(luò)維護變得更智能化。

接入技術(shù)

接入網(wǎng)技術(shù)僅僅解決用戶到骨干網(wǎng)的那一段距離。

接入網(wǎng)技術(shù)指從用戶到骨干網(wǎng)那一段距離，目前主流的是PON無源光網(wǎng)絡(luò)和wifi。

思考點

在工程實際中，鏈路的選擇有多種可能，具體選擇的時候需要考慮價格、成本、可得性

等非技術(shù)因素，與客戶緊密合作共同決定。

能提供lGbps以上帶寬的技術(shù)當(dāng)前主要為以太網(wǎng)和POS兩種技術(shù)。POS技術(shù)價

格較為昂貴，目前用得較少。一般直接使用以太網(wǎng)。如果采用以太網(wǎng)的話，底層

可以選擇OTN；因為距離只有10km,所以也可以考慮裸光纖。如果當(dāng)?shù)剡\營商提

供MPLSVPN,也可以考慮采用該種技術(shù)承載。

路由結(jié)構(gòu)設(shè)計

EBIP地址分配規(guī)則

K唯一性：地址分配基本原則常用掩碼：

/32

效性：設(shè)計合適的掩/30

IVLSM

q可匯會性：節(jié)省設(shè)笛資源

3連雌：相鄰網(wǎng)段^分區(qū)分塊

■可擴充性：保留擴展空間J分8陽it

,\可管理性：地址實惠性

當(dāng)前網(wǎng)絡(luò)設(shè)備上最常用的掩碼長度為/32和/30,/32一般用來標(biāo)識一臺設(shè)備，稱為主機

路由，/30用在點對點鏈路的兩端

路由邊界確定

二層網(wǎng)絡(luò)只需要二層交換機即可。交換機的處理能力和交換容量均大大高于路由器。但

是二層網(wǎng)絡(luò)的工作是基于廣播的，每一個設(shè)備均會發(fā)送一定數(shù)量的廣播數(shù)據(jù)包，當(dāng)二層

網(wǎng)絡(luò)太大的時候，廣播流量就會疊加。

一般常規(guī)的做法是將網(wǎng)關(guān)設(shè)置于匯聚層，而接入常常不設(shè)冗余或僅僅是一個雙上連冗余,

避免或簡化STP的使用；某些場合也有把網(wǎng)關(guān)設(shè)置于接入層的，最大限度地提供冗余和

加快收斂。

路由協(xié)議選擇

分類協(xié)議算法特點

OSPFLS分層；帶寬COST;快速；無環(huán)

IGPISISLS與OSPF類似

域間路由；強承載能力；強操控

EGPBGPDP能力；無環(huán)

鏈路狀態(tài)路由協(xié)議一般用OSPF,ISIS使用在運營商骨干網(wǎng)。

BGP是當(dāng)前唯一在使用的外部路由協(xié)議

常常用在沒有冗余鏈路的網(wǎng)絡(luò)末端或者網(wǎng)絡(luò)出口，配置靜態(tài)路由

在實際組網(wǎng)中，用戶網(wǎng)關(guān)設(shè)置在匯聚層較為普遍。這種設(shè)置方式，很好地折中了運維復(fù)

雜性和網(wǎng)絡(luò)性能。

在園區(qū)使用OSPF路由協(xié)議時，經(jīng)常將以太網(wǎng)接口OSPF默認(rèn)的廣播多路網(wǎng)絡(luò)改為點對

點網(wǎng)絡(luò)，配置的主要目的是簡化鏈路狀態(tài)數(shù)據(jù)庫。

出口設(shè)計

最常見的局域網(wǎng)共享接入方式有三種，代理服務(wù)器、路由器和網(wǎng)絡(luò)防火墻。

考慮兩個方面，一個是進出的流量，另外一個是出口的架構(gòu)。

進出流量考慮兩種類型的流量，一種是內(nèi)部用戶訪問外部服務(wù)的流量，這種

流量一般需要部署NAPT地址轉(zhuǎn)換；另一種流量是外部用戶訪問內(nèi)部服務(wù)器的流

量，這種流量一般需要部署靜態(tài)NAT。

出口架構(gòu)一般是單一出口，雙運營商出口和單運營商雙出口。

對于單運營商常見的做法是在出口放置防火墻，進行安全和NAT的轉(zhuǎn)換。如

果有小企業(yè)采用PPPoE的方式，一般就獲得一個動態(tài)分配的公網(wǎng)IP地址。經(jīng)常使用靜

態(tài)NAT將內(nèi)網(wǎng)服務(wù)器地址映射到公網(wǎng)地址；而內(nèi)網(wǎng)用戶則使用動態(tài)PAT最大限度地復(fù)

用公網(wǎng)地址。

同運營商多出口。一般認(rèn)為因路徑差別導(dǎo)致的性能差距不大，分流的目的主要是為

了充分利用出口帶寬。

對于雙運營商的情況，還要考慮當(dāng)流量在運營商之間貫穿的時候，服務(wù)質(zhì)量

會出現(xiàn)較大的劣化，一般NAT地址池與數(shù)據(jù)流的出端口需要綁定，防止回路不一致

導(dǎo)致的數(shù)據(jù)丟包問題。

當(dāng)采用不同的鏈路的時候，首先需要鏈路適配，譬如DSL鏈路需要配置DSL

Modem,PON鏈路需要配置ONU

對于大規(guī)模、大流量的NAT來說，防火墻比路由器更適用。一般交換機不提供NAT

功能。

高可用性設(shè)計

高可用性定義

可用性MTTF/(MTTF+MTTR)*100%

MTTF(MeanTimeToFailure)平均無故陷時間

MTTR(MeanTimeToRestoration)平均修夏時間

提高可用性的方法：

提高MTTF,提高系統(tǒng)可靠性

縮短MTTR,提高系統(tǒng)易恢復(fù)性

實現(xiàn)方式：元器件、設(shè)備、鏈路冗余、業(yè)務(wù)冗余

提高網(wǎng)絡(luò)可用性的方法。首先采用高可靠性的設(shè)備，再次采用多設(shè)備冗余和多鏈

路冗余。設(shè)備和鏈路的切換，都需要協(xié)議的配合，如VRRP、BFDo

某些特定的型號有堆疊技術(shù)，可以將多臺設(shè)備組合成一臺設(shè)備工作；對于框式設(shè)

備，華為提供了CSS(ClusterSwitchSystem)功能，可以使兩臺框式交換機組成

一個集群。

鏈路冗余

?PPPMultilink

O帶寬擴展

O數(shù)據(jù)分段組裝

□多鏈路負(fù)載分擔(dān)與備份

?Eth-Trunk

□鏈路捆綁

□負(fù)載分擔(dān)與備份

O跨設(shè)備鏈路捆綁

常見的鏈路捆綁包括PPPMultilink和Eth-Trunk；PPP能夠動態(tài)維護鏈路，并對數(shù)據(jù)包

進行分段和組裝(LFI：LinkFragementandInterleave)(.Eth-Trunk一般不對數(shù)據(jù)包分段，

僅僅在不同鏈路之間負(fù)載均衡；Eth-Trunk有兩種配置方式，一種是手工靜態(tài)配置，一種

是使用LACP協(xié)議動態(tài)協(xié)商，因為以太網(wǎng)本身缺乏OAM,所以建議使用動態(tài)協(xié)議。

提高可用性的協(xié)議和機制

在網(wǎng)絡(luò)層提供冗余設(shè)密和冗余他路切換

為局域網(wǎng)榭供冗余網(wǎng)關(guān)

在以太網(wǎng)中提供動戀冗余路徑

BFD快速檢費轉(zhuǎn)發(fā)路徑被降

采用主箭通路方式實現(xiàn)快速工路由

FRR(FastReRoute)快速重路由預(yù)先計算好一條備份路由

其他相關(guān)網(wǎng)絡(luò)技術(shù)

網(wǎng)絡(luò)安全

TCP/IP協(xié)議缺陷：無數(shù)據(jù)源驗證、無機密性保障、無完整性校驗。

內(nèi)網(wǎng)安全：

網(wǎng)絡(luò)邊界安全：受控網(wǎng)絡(luò)與不受控網(wǎng)絡(luò)的交接點，內(nèi)外流量交流的檢查點。

內(nèi)部網(wǎng)絡(luò)安全：網(wǎng)絡(luò)設(shè)備首先要保障自身的安全，保證自己不被攻擊，持續(xù)正常工作；

對通過的流量進行校驗、檢查、過濾。對網(wǎng)絡(luò)設(shè)備進行必要的防護。

內(nèi)網(wǎng)接入安全：對需要接入內(nèi)網(wǎng)的設(shè)備進行認(rèn)證，不允許未經(jīng)授權(quán)的設(shè)備接入網(wǎng)絡(luò)使用

企業(yè)內(nèi)網(wǎng)資源。

終端設(shè)備安全：在終端設(shè)備上設(shè)置安全策略，部署安全軟件等，防護終端設(shè)備。防止終

端被病毒、木馬、蠕蟲等攻擊或感染

薄相應(yīng)的安全技術(shù)

ARP表項安全控制

uRPF單滿逆向路徑校驗

防火電配置

端口安全（PortSecurity

IPdS地址防護IPSG

DHCPSnooping

風(fēng)胸1制

設(shè)備暨陸安全控制

CPU防攻擊策略

怫漢報文認(rèn)證

路由器大量的運算是基于軟件的，所以安裝合適的軟件之后，路由器能夠提供很多的安

全特性。

I網(wǎng)絡(luò)邊界安全

?受控網(wǎng)絡(luò)與不受控網(wǎng)絡(luò)的交界點

.防火埴一最基本的安全設(shè)幫

。鼻于五元組和會話峽態(tài)對數(shù)骷

迸行過逑

?1DS/IPS系統(tǒng)

a對合法連接中的應(yīng)用度數(shù)幅逆行

臼撤監(jiān)測

.其他安全系統(tǒng)

o反危毒系統(tǒng)（AntiMrus）

a外部用戶接入（VPN）

IDS系統(tǒng)一般旁掛于網(wǎng)絡(luò)通路中，只對檢測到的攻擊流量進行報警和記錄，而IPS系統(tǒng)

則串行部署于網(wǎng)絡(luò)中，直接阻斷網(wǎng)絡(luò)中的攻擊流量。

＞內(nèi)網(wǎng)接入安全

現(xiàn)場員工11，^

訪喜

外部非法

用戶接入網(wǎng)絡(luò)首先需要接受身份驗證，認(rèn)證通過后進行第二步強制合規(guī)性檢查（包括安

全狀態(tài)和系統(tǒng)配置檢查），進行持續(xù)的行為監(jiān)控，及時對違規(guī)行為作出響應(yīng)，并進行記

錄。

內(nèi)部網(wǎng)絡(luò)接入安全是一個解決方案，不是一個單獨的設(shè)備，完整實現(xiàn)該解決方案

需要考慮五個要素：

身份認(rèn)證：身份標(biāo)識、角色定義、外部認(rèn)證系統(tǒng)等；

準(zhǔn)入控制：軟件防火墻、802.1X交換機、網(wǎng)關(guān)準(zhǔn)入控制、ARP、DHCP；

安全認(rèn)證：防病毒軟件、補丁管理、非法外聯(lián)管理、存儲介質(zhì)管理、上網(wǎng)行

為管理等；

業(yè)務(wù)授權(quán)：業(yè)務(wù)系統(tǒng)權(quán)限控制、業(yè)務(wù)文檔權(quán)限控制;

業(yè)務(wù)審計：業(yè)務(wù)系統(tǒng)類審計、業(yè)務(wù)文檔類審計。

VPN

VPN技術(shù)是為解決專線成本過高的問題，也較好的解決遠(yuǎn)程傳輸?shù)陌踩院途W(wǎng)絡(luò)

設(shè)計問題，缺點是不能保證帶寬質(zhì)量。

隧道技術(shù)是VPN最關(guān)鍵的技術(shù)。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。

L2Tp是典型的二層隧道協(xié)議；GRE是典型的三層隧道協(xié)議。

按應(yīng)用場景分類:

應(yīng)用場景解決辦法備注

企業(yè)的內(nèi)部人員有AccessVPN（遠(yuǎn)程接最常見的應(yīng)用場

移動或有遠(yuǎn)程辦公入VPN）景，接入客戶端一

需要般采用固定IP

連接兩個網(wǎng)絡(luò)，例如Site-to-SiteVPN（點到

總部和分部點VPN）

按實現(xiàn)技術(shù)分類

應(yīng)用場景安全性備注

更多地用于站點到站點提供數(shù)據(jù)加密、數(shù)據(jù)完整性需要在客戶端上安裝獨立

VPN檢查、數(shù)據(jù)真實性驗證和防的IPSec客戶端軟件

止重放攻擊等。

僅用于遠(yuǎn)程接入VPN,可以SSL介于TCP/IP協(xié)議棧，使用瀏覽器即可

穿越防火墻不受NAT限制

MPLSVPN更多的是作為基于MPLS標(biāo)簽交換實現(xiàn)

運營商的一種服務(wù)VPN功能，不提供安全性

無線網(wǎng)絡(luò)

胖AP(FATAP)模式：適合小面積無線覆蓋，AP單獨使用，無需TP-LINK無線控制

器(AQ即可獨立工作，無線組網(wǎng)成本低；

瘦AP(FITAP)模式：適合大面積無線覆蓋，通過TP-LINK無線控制器(AC),統(tǒng)一管

理所有AP,AP零配置，即插即用，降低無線管理難度。AC和Fit-AP之間運行的

協(xié)議一般為CAPWAP協(xié)議，F(xiàn)ITAP協(xié)議不完整，使用AC有管理和完善協(xié)議棧的

功能。

WLAN技術(shù)中單個AP(接入點)的覆蓋范圍大概為100米半徑

數(shù)據(jù)中心技術(shù)

TRILL(TransparentInterconnectionofLotsofLink)多鏈接透明互聯(lián)，IETF推薦

的鏈路層(L2)網(wǎng)絡(luò)標(biāo)準(zhǔn)

單播流量轉(zhuǎn)發(fā)為最短路徑。TRILL基于SPF算法，計算到達(dá)各個目的節(jié)點的出接口；

“支持ECMP,帶寬利用率高。目前我司產(chǎn)品最大支持16條等價路由；

.收斂時間快。TRILL網(wǎng)絡(luò)中節(jié)點的故障路由收斂時間達(dá)到毫秒級；

n支持更大規(guī)模的網(wǎng)絡(luò)。目前我司支持的TRILL節(jié)點的指標(biāo)為500個；

JRILL頭部有TTL,可以進一步避免環(huán)路風(fēng)暴。

產(chǎn)生原因：存儲網(wǎng)(SAN)和業(yè)務(wù)網(wǎng)(LAN)網(wǎng)絡(luò)接口不同，導(dǎo)致是兩張網(wǎng)。

FCoE(FiberChanneloverEthernet)技術(shù)實現(xiàn)了存儲網(wǎng)絡(luò)與數(shù)據(jù)網(wǎng)絡(luò)的融合，只需要一張

網(wǎng)，同時提供數(shù)據(jù)通信和存儲轉(zhuǎn)發(fā)功能：

.FC存儲只需要FC交換機提供接入功能，轉(zhuǎn)發(fā)過程運行在以太網(wǎng)(LAN)上；

K服務(wù)器只需要一種提供融合功能的CNA網(wǎng)卡。

SDN的本質(zhì)是給網(wǎng)絡(luò)構(gòu)建一個集中的大腦，通過全局視圖和集中控制，實現(xiàn)全局流量和

整體最優(yōu)。

網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理：對網(wǎng)絡(luò)資源進行監(jiān)視、測試、配置、分析、評價和控制。

帶內(nèi)管理：管理流使用業(yè)務(wù)通道。

帶外管理：管理數(shù)據(jù)有獨立的數(shù)據(jù)通道。

當(dāng)前主流的方案是基于snmp的，網(wǎng)管管理軟件廠商分為兩類，一類是廠商，另

外一類是專業(yè)的網(wǎng)管軟件提供商。

NMS(NetworkManagementSystem)網(wǎng)管系統(tǒng)，一般NMS都會集成WEB服務(wù)器。

eSight有精簡版、標(biāo)準(zhǔn)版和專業(yè)版，一般情況標(biāo)準(zhǔn)版即可。

總體技術(shù)方案

網(wǎng)絡(luò)技術(shù)方案是整個項目周期中重要的里程碑，在技術(shù)方案中，將完整羅列項目目標(biāo)和

實現(xiàn)細(xì)節(jié)，作為后續(xù)實施工作的基準(zhǔn)。

賽技術(shù)方案內(nèi)容

項目背景

規(guī)劃階段的調(diào)研結(jié)果

2

I?拓?fù)鋱D

日詳細(xì)技術(shù)方案-1_物理網(wǎng)絡(luò)設(shè)計

[■邏輯網(wǎng)絡(luò)設(shè)計

一,工程界面

I,工程相關(guān)問題-.進度安排

日采購設(shè)備清單

網(wǎng)絡(luò)實施

項目交付流程

項目交付流程：規(guī)定對項目實施的管理和作業(yè)控制要求，保證了工程項目實施按

照規(guī)定的程序進行。

規(guī)范的項目交付流程有利于：

提高客戶滿意度。

提高工程效率，節(jié)約成本。

降低項目交付風(fēng)險。

項目交付流程圖

■50株研??2019中方綠#前心司HUAWEI

DOA(DeadonArrival)到貨即損

指示燈查看：

圖1為電源模塊，INPUT/OUTPUT綠色常亮表示電源輸入輸出正常。ALARM

常滅表示電源模塊正常，紅色常亮表示異常。

圖2為監(jiān)控板，RUN/ALM（運行狀態(tài)指示燈）綠色慢閃表示該單板系統(tǒng)處于

正常運行狀態(tài)，快閃表示該單板的系統(tǒng)處于未注冊狀態(tài)。ACT（主備狀態(tài)指示燈）

綠色常亮表示該單板為主用狀態(tài)，常滅表示該單板為備用狀態(tài)。

圖3為交換網(wǎng)板,RUN/ALM綠色常亮表示該單板已經(jīng)上電，但是軟件未運行；

綠色慢閃表示該單板處于正常運行狀態(tài)；綠色快閃表示該單板處于上電加載或者

復(fù)位啟動狀態(tài)。黃色常亮表示該單板處于下電狀態(tài)。

上電后的檢測：

檢測指示燈裝

狀態(tài)查詢

license申請和加載

聯(lián)調(diào)測試

運行狀態(tài)查詢：

“使用displaydevice查看設(shè)備板卡的注冊狀態(tài)，確認(rèn)Status為Normal狀態(tài)。

"使用displaydeviceslotxxx（xxx表示槽位號）查看具體槽位板塊狀態(tài)。

“使用displaypower查看設(shè)備電源狀態(tài)。

*使用displaypowersystem查看設(shè)備功率。

“使用displayversion查看設(shè)備的版本信息。

n使用displayesn查看設(shè)備序列號。

口更多查看和測試命令需查閱相關(guān)設(shè)備的操作手冊

項目交付流程?聯(lián)調(diào)測試

業(yè)務(wù)性能調(diào)測

HA能力調(diào)測業(yè)務(wù)流星測試

連通性詞測

路徑切換測試訪問控制測試

QoS服務(wù)測試

基礎(chǔ)鏈路對接測試雙機熱備測試

二層協(xié)議互通測試

三層路由互通測試

聯(lián)調(diào)思路：

“先南北，再東西。

工先基礎(chǔ)再協(xié)議。

.核心-匯聚-接入■■邊緣。

“先內(nèi)網(wǎng)，再外網(wǎng)

一般要先配置連通性，即ping通后，在配置OSPF和rip,配好后檢查路由表，

高危操作流程

高危操作：所有可能影響設(shè)備穩(wěn)定運行，客戶業(yè)務(wù)正常運轉(zhuǎn)、網(wǎng)管正常監(jiān)控的操

作。

高危操作級別分類如下：

?一級：所有重大項目、重點網(wǎng)絡(luò)的割接、改造、擴容、升級等操作。

“二級：其它高危操作。重要保障通訊時間段、版本首次應(yīng)用、前次操作失敗后的再次

操作、故障頻發(fā)網(wǎng)絡(luò)等場景下的高危操作。

高危操作流程：

方案制定：精準(zhǔn)性、可操作性、有驗證、能回退。

獲取三授權(quán)：高危動作三授權(quán)管理授權(quán)，技術(shù)授權(quán)，客戶授權(quán)。

操作實施與結(jié)果反饋：

工程師服務(wù)規(guī)范

B信息安全規(guī)范?提醒客戶信息安全

實施注意事項

光纖曲率半徑應(yīng)大于光纖直徑的20倍，一般情況下曲率半徑》40mm

光纖套在波紋管內(nèi)，波紋管兩端的管口必須用膠帶纏好

進行光纖的安裝、維護等各種操作時，嚴(yán)禁肉眼靠進或者直視光纖出口。

網(wǎng)絡(luò)維護

日常維護

日常維護是一種預(yù)防性的工作。它是指而對網(wǎng)絡(luò)進行的定期檢查與優(yōu)化。

通過日常維護可以得出網(wǎng)絡(luò)基線（是指網(wǎng)絡(luò)在正常情況下的各種參數(shù)，包括網(wǎng)絡(luò)設(shè)備、

網(wǎng)絡(luò)性能、網(wǎng)絡(luò)安全等各種參數(shù)），從而為故障排除工作打下良好的基礎(chǔ)。

日常維護主要內(nèi)容：

設(shè)備運行環(huán)境：溫度、濕度、清潔。

設(shè)備基本情況：版本、配置信息、license,存儲空間。

設(shè)備運行狀態(tài)：告警、板卡、電源、風(fēng)扇、溫度、CPU、內(nèi)存

設(shè)備端口檢測：錯包統(tǒng)計、流量統(tǒng)計。

業(yè)務(wù)運行狀態(tài)：OSPF、BGP、組播

配置備份檢查：lincese、和配置備份

設(shè)備上的SYS指示燈

紅色表示系統(tǒng)故障

綠色慢閃代表設(shè)備正常運行中

）設(shè)備端口內(nèi)容檢查

堵口內(nèi)容檜查表

No.齡畬方飛5估6.trm

★翁運行用.■心■?口育無■包.M

t鐵懺。tptvyEfface”

CRC■名號.

微口除局槽長正■,西邊端口”一■?不

2秋行"Ar/Erfacf.

立有隼我工9式?

鐵行OsplaycurrEl*?口的配■承含■,如?口雙工d武檢

3vau

corftgurwonrteHace.今m率H函正■號.

?口的UpCign狀；5到足鰻之詈求.?□

4?口狀專缺行dreptoyrterficeM.今

的我改貢?夏否過大,（長*1我:E）

快行poe(XMerstMePoG假電狀落正常?.Portpow

S供電??ert?ceirtertdce-typemcerfaceONrtyF-XOWBaa.X-Portpower

mxnber4.status*力—nQ?g*”?

業(yè)務(wù)運行狀態(tài)檢查

業(yè)務(wù)檢壹表

No愴?力餐簟

回1成員△口?HUAJ^EJ*dispiw冷。亳成假*口?本器?

1

iCH的?蒙口snoocwnyporl-inlo?根口BQ右耳■"亭口的aa正??

又?PIMH?CO

坦??夏喇?HUAV^I?dtspiwigmp-

2?文個色.J￥*WVIAN內(nèi)立重］拘二?

ae$noop?ngslattstcsvtan

,件次合A

一行dtspUyl2-m?j*CMt

儂"&no<tat)lef重■二?

3

巨■行dtspUymuftcasl

fo<war&ng4ableZ?左杳三?

雄修修?墨項，

IMi5spl?ymulkcastroukng-域內(nèi)ifll??吩蟻聚用”M￡M?

4出?目電力議

惴)“令?壇喧X口?EV9??IGMP.

DHCP

<HWMA€i?dt$piaydhcp

5■手■耳!18?電

SnoocrtQtwesnoopinguse?-bmdan

MAC4L*值<HUWCl?dtspiavmac-

6

9