网工项目实践2.7 可靠性及其他特性需求分析及方案制定

本专栏持续更新，整一个专栏为一个大型复杂网络工程项目。阅读本文章之前务必先看《本专栏必读》。

全网拓扑展示

一.网络可靠性设计

• 满足北京总部与分部之间数据实时同步的高可用性需要，在北京总部与所有分支机构间通过Internet建立备用逻辑链路。在MPLS VPN链路正常的情况下，分支机构访问北京总部通过MPLS VPN链路中转;一旦MPLS VPN链路出现故障，使用备用逻辑链路进行安全的数据同步。为防止路由环路，网络管理员建议使用静态路由完成备份链路的设计。根据此需求，设计关于备用链路的具体、可实现的解决方案，并完成配置
  • 通过Internet，因此需要建立隧道;
  • 在成都区域使用高路由优先级静态默认路由+不同的metric实现主备；
  • 数据穿过公网时要保证安全，所以需要使用IPSec加密；
• 北京总公司和上海分部的网络管理员担心出现网关的单点故障问题，要求必须为终端用户的网关使用公共标准协议提供备份，在主网关的上行链路出现故障时能够尽快切换，同时网络设备和链路也尽可能得到充分的利用。此外，应该避免恶意人员利用工具伪装虚拟网关以实施中间人攻击。
  • 配置VRRP协议:
  • 互为备份;
  • 跟踪上行链路；
  • 开启认证。

二.网络其他特性设计

• 在北京总部的边缘路由器BJG1上建立通往Internet的连接后，要求子公司所有用户都能够访问互联网(目标地址100.100.100.100)，同时公网中及分部的设备也能够访问北京总部网络中的TFTP和HTTP服务器。
• 根据调查与统计，公司所有外出上网流量可分为三类:语音及视频会议流量(终端位于10.1.1.0/24)、关键业务流量(终端位于10.1.2.0/30)、和其它普通数据流量。为了避免前两类流量受到第三类流量的影响，需要保证语音、视频的流量拥有最低延迟的转发;以及关键业务流量的最低带宽保证。
• 根据规划，网络管理员建议:在BJ_G1设备的内网接口对所有流量进行分类与标记，并将其它普通数据流量限速为5Mbps;在连接Internet的接口，优先发送语音及视频会议的流量，同时限制其不超过接口带宽的30%;当网络拥塞时，要保证关键业务数据流至少有40%可用带宽，而其它普通流量进入默认队列，使用加权公平队列方式，并开启拥塞避免机制。
  • 在BJ_G1的E0/0囗入方向:CB-Marking + police
    • 配置流量分类的ACL;
    • 针对语音流量打上标记EF；
    • 针对重要数据流量打标AF41；
  • 在出方向，使用CBLLQ
    • 语音流量使用LLQ命令，使用带宽的30%，
    • 重要数据流使用AF命令，使用带宽的40%，
    • 其它流量进入默认队列，默认队列内部使用公平队列，
    • 在出口把其它普通数据流量限速为5M，
    • 在默认队列开启WRED。