城域網(wǎng)路由組織及故障案例

城域網(wǎng)路由組織及故障案例束棟（CCIE15993）網(wǎng)絡(luò)IP化寬帶城域網(wǎng)寬帶城域網(wǎng)，就是在城市范圍內(nèi)，以IP電信技術(shù)為基礎(chǔ)，以光纖作為傳輸媒介，集數(shù)據(jù)、語音、視頻服務(wù)于一體的高帶寬、多功能、多業(yè)務(wù)接入的的多媒體通信網(wǎng)絡(luò)；各個(gè)運(yùn)營(yíng)商都在不遺余力的大力發(fā)展寬帶城域網(wǎng),城域網(wǎng)向大傳送網(wǎng)演進(jìn)；EverythingOverIP向EverythingOverMPLS演進(jìn);Qos趨向輕載化、核心扁平化;承載網(wǎng)以太化。無論是路由器、交換機(jī)、基站、OLT/ONU、WDM、MSTP還是PTN，共同的發(fā)展趨勢(shì)是傾向于采用成熟而低成本的各種速率以太網(wǎng)（Ethernet）接口。路由協(xié)議大容量城域網(wǎng)中大容量城域網(wǎng)中小容量城域網(wǎng)小容量城域網(wǎng)ISIS+BGP+MPLSOSPF多區(qū)域+EBGPOSPF單區(qū)域靜態(tài)路由前期的城域網(wǎng)路由組織前期的城域網(wǎng)路由組織EGP路由EBGP核心設(shè)備、省網(wǎng)POP收缺省路由發(fā)匯聚MAN路由IGP路由OSPF路由核心、匯聚、接入核心、接入交換機(jī)核心、匯聚層（AREA0）匯聚層、接入層（AREAX，NSSA）總路由條目上萬條問題分析雙IGP協(xié)議并行NSSA區(qū)域問題IGP路由條目過多問題描述雙IGP并行出現(xiàn)原因首先城域網(wǎng)設(shè)備層次不齊，不是所有的設(shè)備都有容納全部的城域網(wǎng)路由（約一萬兩千條左右）的能力，因此，導(dǎo)致出現(xiàn)NSSA區(qū)域的劃分；MPLSVPN業(yè)務(wù)的需求：每個(gè)PE都擁有其他PE的明細(xì)主機(jī)路由，在不對(duì)原先的OSPF做復(fù)雜的改造和配置的情況之下，只能選擇運(yùn)行雙IGP路由。 問題每個(gè)設(shè)備都運(yùn)行兩套IGP路由協(xié)議，對(duì)設(shè)備的性能會(huì)造成一定的影響。兩套協(xié)議大部分區(qū)域重合，對(duì)相同的鏈路以及地址，在兩個(gè)IGP協(xié)議的LSDB中同時(shí)存在，消耗了設(shè)備的資源。維護(hù)人員需要同時(shí)維護(hù)兩套IGP協(xié)議，增加了維護(hù)的工作量和難度。在某些情況下，會(huì)出現(xiàn)兩個(gè)協(xié)議相互干擾或者選路不一致的情況，需要進(jìn)行額外的過濾或設(shè)置才能避免問題的出現(xiàn)。問題描述NSSA問題由于NSSA區(qū)域具有STUB區(qū)域的特性，它主要是使用在單出口的區(qū)域上的一種OSPF區(qū)域類型。按照電信網(wǎng)絡(luò)的要求，不可能每個(gè)區(qū)域只有一個(gè)出口，這樣會(huì)在核心匯聚層面帶來單點(diǎn)故障這樣一個(gè)電信網(wǎng)絡(luò)無法容忍的隱患。目前每個(gè)區(qū)域都有兩臺(tái)匯聚層設(shè)備來擔(dān)當(dāng)出口，既互為備份，同時(shí)又做負(fù)載均衡。雖然在兩個(gè)出口的情況下，NSSA可以工作，但是兩個(gè)NSSA的ABR路由器中只有一個(gè)會(huì)擔(dān)當(dāng)TYPE7LSA到TYPE5LSA的轉(zhuǎn)換工作，導(dǎo)致兩臺(tái)ABR上面看到的路由類型不同，進(jìn)而導(dǎo)致在做路由匯總的時(shí)候，出現(xiàn)無法在兩臺(tái)ABR同時(shí)進(jìn)行匯聚路由的情況。其最終結(jié)果就是無法進(jìn)行路由匯聚，無法有效的減少路由條目，城域網(wǎng)路由增長(zhǎng)迅速。問題描述路由條目過多 IGP路由條目達(dá)到五位數(shù)。這樣一個(gè)數(shù)量級(jí)的路由基本上都由OSPF在承載，這對(duì)于OSPF這樣一個(gè)IGP協(xié)議來說，負(fù)擔(dān)過重。城域網(wǎng)還在以非常快的速度增長(zhǎng)，當(dāng)前的路由架構(gòu)已經(jīng)不再適應(yīng)IP城域網(wǎng)增長(zhǎng)的趨勢(shì)，而且當(dāng)前的路由架構(gòu)之下缺乏有效的特性和工具來抑止或減緩這樣快速的路由增長(zhǎng)。

路由優(yōu)化目標(biāo)總體目標(biāo)設(shè)計(jì)合理的路由架構(gòu)，保證它能夠適應(yīng)當(dāng)前以及未來一段時(shí)間內(nèi)的業(yè)務(wù)發(fā)展速度，滿足網(wǎng)絡(luò)快速擴(kuò)張帶來的路由增長(zhǎng)的需求。新的架構(gòu)力求清晰、擴(kuò)展方便、維護(hù)簡(jiǎn)單綜合考慮各種制約因素，采取合理的技術(shù)手段，有效的抑制或者減緩因網(wǎng)絡(luò)快速擴(kuò)張而快速增長(zhǎng)的路由條目。 ISIS+BGP以接入層核心設(shè)備為界限，將城域網(wǎng)劃分為兩個(gè)路由層面：骨干層（核心、匯聚、接入核心）網(wǎng)絡(luò)二層接入網(wǎng)絡(luò)（前提：二、三層改造完成）在骨干層網(wǎng)絡(luò)采用ISIS路由協(xié)議。核心匯聚以及接入層核心設(shè)備之間運(yùn)行iBGP（MBGP）協(xié)議路由組織設(shè)備路由和用戶路由分離，提高網(wǎng)絡(luò)本身的健壯性和可控性。城域網(wǎng)內(nèi)IGP路由采用IS-IS路由協(xié)議，只承載網(wǎng)絡(luò)設(shè)備路由不承載用戶路由用戶路由采用BGP協(xié)議承載，在路由表層面和設(shè)備路由分離在業(yè)務(wù)接入層（包含）以上路由器皆啟用IBGP路由協(xié)議，通過在單獨(dú)設(shè)置路由反射器，構(gòu)成城域網(wǎng)內(nèi)的IBGP路由器的全閉合網(wǎng)絡(luò)。設(shè)備網(wǎng)段由ISIS承載，用戶網(wǎng)段由BGP承載全網(wǎng)設(shè)備互聯(lián)地址和LOOPBACK地址加入ISIS路由域。ISIS城域網(wǎng)內(nèi)選用Level1。進(jìn)程統(tǒng)一命名，采用城市全拼或數(shù)字1NET采用如下形式：Area-ID.System-ID.00Area-ID:統(tǒng)一規(guī)劃，南京為86.4660.0025IGP路由帶寬MetricLoopback10040G11010G1202.5G1301G140FE150System-ID采用loopback0地址BCD編碼方式。用十進(jìn)制形式，每字節(jié)用3個(gè)十進(jìn)制位表示，不足3位的空位補(bǔ)0。如loopback0地址為221.231.205.1，則SystemID為：2212.3120.5001ISISmetric設(shè)置為wide。ISIS相關(guān)參數(shù)優(yōu)化BGP路由組織城域網(wǎng)用戶網(wǎng)段由IBGP承載、長(zhǎng)途骨干網(wǎng)發(fā)送EBGP默認(rèn)路由給城域網(wǎng)、城域網(wǎng)匯總用戶網(wǎng)段后以EBGP路由形式發(fā)送給長(zhǎng)途骨干網(wǎng)；為便于實(shí)施和維護(hù)，提高擴(kuò)展性，采用RR結(jié)構(gòu)；提高BGP更新效率，避免BGP收斂時(shí)間過長(zhǎng)；全網(wǎng)所有路由器間通過RR運(yùn)行IBGP，對(duì)于GlobalIBGPPeering，用Loopback0作為BGP通信的源地址；對(duì)VPNIBGPPeering，用Loopback1作為BGP通信的源地址；路由安全和負(fù)載均衡RR的單獨(dú)設(shè)置；RR對(duì)核心設(shè)備發(fā)送全網(wǎng)路由，對(duì)業(yè)務(wù)控制層設(shè)備僅發(fā)送默認(rèn)路由；RR僅接收出口核心的默認(rèn)路由；RR僅反射最優(yōu)BGP路由，因此對(duì)于存在雙設(shè)備接入的都必須要考慮負(fù)載均衡的實(shí)現(xiàn)；

虛擬下一跳1.BGP協(xié)議在選路時(shí)針對(duì)同一Prefix只能選出一條最優(yōu)路由，則根據(jù)IBGP選路順序，在Weight、LocalPreference、AS-path、OriginCode、MED均相同的情況下，根據(jù)ROUTER_ID大小進(jìn)行選路，因此從源到目的流量只選擇ROUTER_ID小的路由器，不能做到負(fù)載均衡。2.I路由器能夠從A1/A2學(xué)到同樣的路由，但因?yàn)樗械膶傩远家恢?，因此只選擇A1發(fā)布的路由為最優(yōu)（A1loopback地址?。┨摂M下一跳VNH（虛擬下一跳）的原理1.A1/A2將BGP路由向RR發(fā)布時(shí)，將Next-Hop更改為一個(gè)VR的地址（VR為虛擬設(shè)備）2.并將VR的地址重新分布進(jìn)IGP中，這樣I設(shè)備看到業(yè)務(wù)路由的下一跳為VR

3.根據(jù)IGP負(fù)載均衡，I到VR有兩條路徑，分別到A1和A2，這樣I就會(huì)分別將流量送到A1、A2其他Qos的尷尬；當(dāng)城域網(wǎng)遇到Ddos；GE--2.5GPOS---10GPOS/10GE-----40GPOS-----100GE故障特點(diǎn)設(shè)計(jì)缺陷不可重現(xiàn)操作不當(dāng)設(shè)備BUG網(wǎng)絡(luò)結(jié)構(gòu)缺陷產(chǎn)生的故障設(shè)備缺陷案例一部分設(shè)備對(duì)ISIS標(biāo)準(zhǔn)ISO10589的部分要求實(shí)施過分嚴(yán)格；部分設(shè)備ISISFullSPF收斂計(jì)算時(shí)間嚴(yán)格按照5秒規(guī)范；ISIS協(xié)議本身存在一定安全缺陷；導(dǎo)致部分丟包敏感業(yè)務(wù)頻繁中斷；ISIS協(xié)議Flooding過程的深刻理解；由此引出的ISIS和OSPF之爭(zhēng)網(wǎng)絡(luò)規(guī)模SPF運(yùn)算頻度安全性能可溯源性ISIS的非IP化可變長(zhǎng)的TLV使ISIS輕松支持TE、IPv6、GR/NSFISIS的PRC特性O(shè)SPF中部分LSA引發(fā)FullSPF收斂速度平滑演進(jìn)從純粹的算法實(shí)現(xiàn)來看，兩者不相上下單Area可容納的節(jié)點(diǎn)數(shù)量ISIS完勝多Area多出口ISIS需要額外配置ISIS中任何IS均可清除任何LSP，OSPF中只有始發(fā)Router才可清除LSA操作不當(dāng)案例新業(yè)務(wù)部署過程中，方案考慮不周；IP網(wǎng)絡(luò)具有全網(wǎng)關(guān)聯(lián)性強(qiáng)的特點(diǎn)，一個(gè)局部的、細(xì)微的、不當(dāng)配置可能導(dǎo)致影響整個(gè)網(wǎng)絡(luò)安全運(yùn)行；慎用、少用、不用redistribute；設(shè)備缺陷案例二VPN技術(shù)在IP網(wǎng)上被廣泛使用；窄帶VPDN主要經(jīng)歷了三個(gè)過程：1、用戶終端與LAC建立PPP連接；2、LAC與LNS之間建立L2TP連接；3、用戶終端與LNS建立PPP連接。某廠家設(shè)備作為L(zhǎng)AC前兩個(gè)階段協(xié)商報(bào)文的源地址采用了公網(wǎng)業(yè)務(wù)地址，但由于版本缺陷，其第三階段協(xié)商報(bào)文的源地址采用了私網(wǎng)管理地址。全網(wǎng)對(duì)私網(wǎng)IP地址做了uRPF。操作不當(dāng)+設(shè)備缺陷不當(dāng)參數(shù)觸發(fā)隱藏命令，導(dǎo)