《网络维护.ppt》由会员分享,可在线阅读,更多相关《网络维护.ppt(54页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络基础以及H3C网络设备排障心得 天津方卫信息系统工程技术有限公司 文飞v项目经验v2009年2月天津银行核心网络改造(项目经理)v2009年12月天津市儿童医院网络改造(项目经理)v2008年8月蓟县村镇银行网络建设(项目经理)v2008年7月天津银行一级网点(支行)改造(项目经理)v2008年4月河北省邢台工商局四级网络改造(项目经理)v2008年3月天津市医科大学第二附属医院网络改造(项目经理)v2007年11月天津银行北京分行建设(项目经理)v2007年10月天津市法院系统安全项目(项目经理)v2007年5月天津市武清政务网2期(项目经理)v2007年1月渤海银行总部新大楼局域网建设
2、(项目经理)v2006年11月天津市生物工程学院校园网建设(项目经理)v2006年5月天津银行滨海分行建设(项目经理)v2006年3月天津市国家税务局网络改造(技术工程师)v2005年11月天津市口腔医院网络改造(项目经理)武清政务网内网结构图说明:环路的设计可以保证冗余渤海银行办公大楼网络拓扑图网通SDH联通SDH网通SDH网通ISDN所一所二网通SDH网通ISDN所一所二区局所市局NE40-ANE40-B防火墙防火墙S8512BS8512A8M2M8M2MS6506RS6506RS6506RS6506RNE08AR2809NE08AR2880AR2809AR2809AR28092M128K
3、2M128KAR2880Area 1 Area N 静态路由天津市国家税务局Area 0 第一部分 案例分享案例v某银行2002年建成现在使用的核心网络(双6509E+双引擎),2009年2月一天,科技处网络科机房值班人员陆续接到电话,支行业务办不了,总行营业部无法办业务.技术人员进行了诸多方面的测试,发现6509正常运行,但是路由表丢失,无法转发路由.现场查看,主引擎亮红灯,拔出主引擎.恢复正常!期间业务中断20分钟!v问题原因:6509的主引擎坏掉后,备份引擎因为双引擎模式问题无法进行切换.v建议1:核心网络设备的生命周期一般在5年左右.对于超过5年的核心网络设备建议更换.(软件的特性,硬
4、件的损耗)v建议2:对于双核心双引擎双电源的网络设备建议1年进行1次测试切换v后续:xx银行计划在今年5月份更换核心案例v市某医院原先网络H3C 6506R双引擎单核心,所有接入交换机,服务器均为单上连.v某日收费挂号处网络设备损坏,导致无法进行正常的收费挂号收费,10分钟之内,聚集数百号人众,病人情绪激动惊动院领导v建议:对于信息交换量大,位置重要的接入网络如果是单核心的网络设备建议备一台热备交换机如果是双核心网络建议双上连到核心v后述:医院增加一台核心 各楼层增加一台接入交换机 服务器采用双上链H3C 75Quidway 65链路聚合门诊接入交换机门诊接入交换机Quidway 65门诊接入
5、交换机门诊客户端服务器群服务器群X医院原有结构X医院现有结构门诊客户端案例v2008年奥运年天津市xx局进行全网的安全大检查,涉及面包括网络设备(路由器 交换机 防火墙 IDS等),服务器 PC等!v网络设备关掉不必要的服务,更换密码,添加访问控制列表等。v服务器操作系统打补丁关掉不必要的服务等v上外网的机器重新登记,且需要低格(见word 文档)v源头:xx总局一台曾经接内网的机器接到外网上internet,因为缺乏安全保护,导致一封加密字头的文件被外网黑客窃取.v建议:内网有重要数据的 一定要内外网分离!案例某日 接到用户电话,网络速度极慢,影响正常使用.派工程师去现场,发现网络当中存在病
6、毒,通过工具查到对应机器,对此机器进行杀毒,查杀大量病毒,网络中部署的有macafee,但此员工出差后,未及时对macafee进行病毒库升级,导致病毒传染全网.建议:病毒的控制在内网安全里很重要,以前的做法是在网络里部署网络版杀毒软件(服务器+客户端模式)现在可以部署NAC和EAD.案例5某客户网络在最初建设时候因为节点少,新加一个点位,便随手插到交换机上,也不做标识,等出现网络故障,需要插拔线的时候,也比较容易找到,但随着网络节点扩大,网络缺乏管理,每次找跳线要花费至少10分钟左右 导致员工对IT部门怨声载道建议:网络中的跳线需要打上标签做好识别 需要有电子版的记录v我们要什么样的网络?v高
7、可用性!可控性!安全性!可扩展性!1.为什么高可用性非常重要?停机代价及其昂贵u业务日益依赖网络,加大了网络 停机对业务的影响 关键业务型应用(如:银行)IP电话(如:中铁电话院)u平均每小时损失100万美元 (2004年CISCO 数据)u不仅收入受到影响,而且 业绩受损 声望降低 额外支出 员工失望 国内/国际安全 生命遭到威胁(医院)举例:Cisco交换产品在高可用性上的控制如何考虑引擎的冗余配置?单机单引擎单机单引擎单机单引擎单机单引擎应用对网络可用性要求不高,主干交换机故障应用对网络可用性要求不高,主干交换机故障所致影响不大。价格最低;所致影响不大。价格最低;单机双引擎单机双引擎单机
8、双引擎单机双引擎引擎引擎引擎引擎引擎引擎客户的应用对网络可用性有一定要求,主干交换客户的应用对网络可用性有一定要求,主干交换机不能出故障,但资金有限,故配置双引擎以确机不能出故障,但资金有限,故配置双引擎以确保设备级的可用性。保设备级的可用性。该方案要注意引擎故障切换时间,最好在该方案要注意引擎故障切换时间,最好在3-5秒。秒。如何考虑引擎的冗余配置?双机双引擎双机双引擎双机双引擎双机双引擎引擎引擎引擎引擎引擎引擎引擎引擎双机单引擎双机单引擎双机单引擎双机单引擎引擎引擎引擎引擎1.适用于高可用性网络应用环境,配置双主干交适用于高可用性网络应用环境,配置双主干交换机和双引擎,每个接入层换机和双引
9、擎,每个接入层/汇聚层交换机以汇聚层交换机以双链路连接到两个主干交换机。该方案具有最双链路连接到两个主干交换机。该方案具有最高的可用性,在设备级和链路级均有最高的可高的可用性,在设备级和链路级均有最高的可用性。用性。2.要求引擎切换时间应该足够小(要求引擎切换时间应该足够小(3-5秒内)秒内)3.要求全网交换机支持要求全网交换机支持802.1w(rstp)以提供快以提供快速速L2链路切换,支持链路切换,支持802.1s(mstp)以提供多以提供多L2链路的负载分担链路的负载分担 以及能够运行支持快速收以及能够运行支持快速收敛和负载均衡的敛和负载均衡的L3路由协议。路由协议。1.适用于高可用性网
10、络应用环境,配置双主干适用于高可用性网络应用环境,配置双主干交换机,每个接入层交换机,每个接入层/汇聚层交换机以双链汇聚层交换机以双链路连接到两个主干交换机。该方案具有较高路连接到两个主干交换机。该方案具有较高的可用性,可以提供链路级的可用性。的可用性,可以提供链路级的可用性。2.要求全网交换机支持要求全网交换机支持802.1w以及以及802.1s,或或者在接入层交换机上支持者在接入层交换机上支持Flexlink;3.该方案费用较双机双引擎低,但高于单机双该方案费用较双机双引擎低,但高于单机双引擎引擎2 交换机中的安全性十分重要v交换机是防御内部安全威胁的第一道防线v如果一位移动办公的员工在不
11、知情的情况下感染了一个病毒,但又没有最新防病毒软件或服务包,会发生什么情况?当他连接局域网的时候,会对网络造成什么影响?v如果一个访客/合同商/入侵者连接到局域网,会发生什么情况?哪些信息会被破坏?v如果一个恶意用户截获来自局域网饿保密语音呼叫和敏感数据,会发生什么情况?v如果一个恶意用户通过DDOS攻击来破坏公司网络,会发生什么情况?安全事故代价昂贵3 融合应用的发展 需要网络支持:网络硬件和网络智能特性4 为什么扩展性重要?v在网络上增加语音 视频 数据和无线应用/设备,推动了对于更高带宽和可扩展性的需求v使网络能经济高效地快速适应 新要求5 为什么说增强管理性十分重要?-IT员工的数量增
12、长无法满足需求增长速度第二部分 广域网v两个概念:v局域网:通过自己铺设光纤或者布线完成pc间的互访 例子:一个单位组建单位内部的局域网v广域网:通过租用运营商的链路完成两端局域网络的互访天津北京运营商用户用户通过广域网天津的用户可以和北京的用户完成资源共享广域网概述v广域网简称WAN,是在一个广泛范围内建立的计算机通信网v广域网是一种跨地区的数据通讯网络,使用电信运营商提供的设备作为信息传输平台v广域网主要用来将距离较远的局域网彼此连接起来LANLANWANOSI 七层模型对应网络系统集成主流的协议:v封装的协议:hdlc(cisco 私有)ppp(业界通用)v路由协议:域内路由:Rip E
13、igrp ospf 域间路由:Bgp IS-IS 什么是路由?v路由是指导路由是指导IP报文发送的路径信息报文发送的路径信息。(N,R1,M)R1目标网目标网络络N其它网络其它网络显示路由表信息H3Cdisplay ip routing-tableRouting Tables:Destination/Mask proto pref Metric Nexthop Interface 0.0.0.0/0 Static 60 0 120.0.0.2 Serial0 8.0.0.0/8 RIP 100 3 120.0.0.2 Serial0 9.0.0.0/8 OSPF 10 50 20.0.0.2
14、Ethernet0 9.1.0.0/1 RIP 100 4 120.0.0.2 Serial0 11.0.0.0/8 Static 60 0 120.0.0.2 Serial0 20.0.0.0/8 Direct 0 0 20.0.0.1 Ethernet0 20.0.0.1/32 Direct 0 0 127.0.0.1 LoopBack0 .路由的来源(Protocol)l链路层协议发现的路由链路层协议发现的路由开销小,配置简单,无需人工维护。只开销小,配置简单,无需人工维护。只能发现本接口所属网段的路由。能发现本接口所属网段的路由。l手工配置静态路由手工配置静态路由无开销,配置简单,需人
15、工维护,适合无开销,配置简单,需人工维护,适合简单拓朴结构的网络。简单拓朴结构的网络。l动态路由协议发现的路由动态路由协议发现的路由开销大,配置复杂,无需人工维护,适开销大,配置复杂,无需人工维护,适合复杂拓朴结构的网络。合复杂拓朴结构的网络。路由优先级(Preference)v从优先级最高的协议获取的路由最先被优先选择加入路由从优先级最高的协议获取的路由最先被优先选择加入路由表中。表中。RIPOSPF10.0.0.0 R010.0.0.0 R110.0.0.0R1路由表路由表路由的花费(Metric)l路由的花费表示到达这条路由所指的目的地址的路由的花费表示到达这条路由所指的目的地址的代价,
16、通常以下因素会影响到路由的花费值。代价,通常以下因素会影响到路由的花费值。线路延迟、带宽、线路占有率、线路可信度、跳数、线路延迟、带宽、线路占有率、线路可信度、跳数、最大传输单元最大传输单元l静态路由的花费值为静态路由的花费值为0。不同的动态路由协议会。不同的动态路由协议会选择以上的一种或几种因素来计算花费值。该花选择以上的一种或几种因素来计算花费值。该花费值只在同一种路由协议内有比较意义。不同的费值只在同一种路由协议内有比较意义。不同的路由协议之间的路由花费值没有可比性,也不存路由协议之间的路由花费值没有可比性,也不存在换算关系。在换算关系。静态路由配置注意注意:只有下一跳所属的的接口是点对
17、点(PPP、HDLC)的接口时,才可以填写interface_name,否则必须填写nexthop-address。H3Cip route-static ip-address mask|masklen interface-type interfacce-name|nexthop-address preference value reject|blackhole 静态路由的配置命令和命令模式静态路由的配置命令和命令模式例如:例如:ip route-static 129.1.0.0 16 10.0.0.2ip route-static 129.1.0.0 255.255.0.0 10.0.0.2i
18、p route-static 129.1.0.0 16 Serial 2缺省路由配置示例Quidway A10.0.0.1S010.0.0.2S0Quidway BNetwork NPublic Network在路由器 Quidway A上配置:ip route-static 0.0.0.0 0.0.0.0 10.0.0.2Internet 上 大约99.99%的路由器上都存在一条缺省路由!缺省路由并不一定都是手工配置的静态路由,有时也可以由动态路由协议产生。动态路由协议在协议栈中的位置链路层链路层物理层物理层路由协议的基本原理(一)l动态路由协议是做什么的动态路由协议是做什么的计算路由的计算
19、本地路由器到网络中其它网计算路由的计算本地路由器到网络中其它网段的路由段的路由l如何做到这一点如何做到这一点每台路由器将自己已知的路由相关信息发给相邻的每台路由器将自己已知的路由相关信息发给相邻的路由器,由于大家都这样做,最终每台路由器都会路由器,由于大家都这样做,最终每台路由器都会收到网络中所有的路由信息然后运行某种算法,收到网络中所有的路由信息然后运行某种算法,计算出最终的路由来(实际上需要计算的是该条计算出最终的路由来(实际上需要计算的是该条路由的下一跳和花费)路由的下一跳和花费)路由协议的基本原理(二)动态路由协议是做什么的动态路由协议是做什么的l“天王盖地虎天王盖地虎”“宝塔镇河妖宝
20、塔镇河妖”每种路由协议都有自己的语言(相应的路由协议报文),每种路由协议都有自己的语言(相应的路由协议报文),如果两台路由器都实现了某种路由协议并已经启动该协议,如果两台路由器都实现了某种路由协议并已经启动该协议,则具备了相互通信的基础则具备了相互通信的基础l“初次见面,请多关照初次见面,请多关照”一台新加入的路由器应该主动把自己介绍给网段内的其一台新加入的路由器应该主动把自己介绍给网段内的其它路由器通过发送广播报文或发送给指定的路由器邻居它路由器通过发送广播报文或发送给指定的路由器邻居来做到这一点来做到这一点l“好久不见,近况如何好久不见,近况如何”为了能够观察到某台路由器突然失败(路由器本
21、身故障为了能够观察到某台路由器突然失败(路由器本身故障或连接线路中断)这种异常情况,规定两台路由器之间的或连接线路中断)这种异常情况,规定两台路由器之间的协议报文应该周期性地发送协议报文应该周期性地发送自治系统()由同一机构管理,使用同一组选路策略的路由器由同一机构管理,使用同一组选路策略的路由器的集合。的集合。内部路由协议()内部路由协议()v自治系统自治系统自治系统自治系统外部路由协议()外部路由协议()vvv EIGRP(CISCO私有私有)按寻径算法划分l距离矢量算法距离矢量算法RIPBGPl链路状态算法链路状态算法OSPFIS-ISEIGRP 现有路由协议的性能比较综合性能综合性能有
22、路由环路问题有路由环路问题无路由环路问题无路由环路问题RIP1RIP2BGPOSPFIS-ISRIP协议概述(一)vRIP是是Routing Information Protocol(路由信息协议)的简(路由信息协议)的简称。称。vRIP路由协议是距离矢量路由协议的一个具体实现。路由协议是距离矢量路由协议的一个具体实现。vRIP协议适用于中小型网络,有协议适用于中小型网络,有RIP-1和和RIP-2。vRIP-2使用组播(使用组播(224.0.0.9)发送,支持验证和)发送,支持验证和VLSM。vRIP支持:水平分割、路由中毒和触发更新。支持:水平分割、路由中毒和触发更新。RIP协议概述(二)
23、TCPUDPIPPPPEtherRIPRIPOSPF协议概述v可适应大规模网络可适应大规模网络v路由变化收敛速度快路由变化收敛速度快v无路由自环无路由自环v支持变长子网掩码支持变长子网掩码VLSMv支持等值路由支持等值路由v支持区域划分支持区域划分v提供路由分级管理提供路由分级管理v支持验证支持验证v支持以组播地址发送协议报文支持以组播地址发送协议报文OSPF协议的一些基本概念lRouter ID一个一个32bit的无符号整数,是一台路由器的唯一标识,在整个的无符号整数,是一台路由器的唯一标识,在整个自治系统内唯一。自治系统内唯一。l协议号协议号OSPF的协议号是的协议号是89。IP Head
24、er(Protocol#89)OSPF PacketOSPF协议计算路由过程LSDBLSA 的 RTALSA 的 RTBLSA 的RTCLSA 的RTD(二)每台路由器的链(二)每台路由器的链路状态数据库路状态数据库(一)网络的拓朴结构一)网络的拓朴结构CABD123CABD123CABD123CABD123(四)每台路由器分别以自己为根节点计算最小生成树(四)每台路由器分别以自己为根节点计算最小生成树(三)由链路状态数据库得(三)由链路状态数据库得到的带权有向图到的带权有向图CABD1235RTCRTD3215RTBRTAOSPF的五种协议报文lHELLO报文报文 用来发现及维持邻居关系,选举用来发现及维持邻居关系,选举DR、BDR。lDD报文报文 用来描述本地用来描述本地LSDB的情况。的情况。lLSR报文报文向对端请求本端没有或对端更新的向对端请求本端没有或对端更新的LSALSA。lLSU报文报文向对端路由器发送所需的向对端路由器发送所需的LSALSA。lLSAck报文报文收到收到LSULSU之后,进行确认。之后,进行确认。OSPF划分区域Area2Area1Area0骨干区域与虚连接骨干区域与虚连接Area 19Area 12Area 0RTBRTAVirtual Link第三部分 排障