在中小型企業(yè)網(wǎng)中的組網(wǎng)方式

1. VRRP+MSTP+SLA（NQA）

1.1. 設(shè)計(jì)方式

MSTP可以實(shí)現(xiàn)流量的負(fù)載，使用多實(shí)例的方式。

1.1.1. 生成樹

1.1.2. 網(wǎng)關(guān)冗余

VRRP和HSPR

VRRP：共有協(xié)議，任意廠家能都使用；

HSRP：思科私有協(xié)議，只有思科能用；

1.1.3. SLA檢測

SLA檢測鏈路的情況，然后執(zhí)行相關(guān)動(dòng)作。

VRRP中降低優(yōu)先級；

靜態(tài)路由中路由失效；

1.1.4. BFD

BFD

1) 組播方式檢測

2) 單播方式檢測

使用場景

堆疊使用

BFD聯(lián)動(dòng)OSPF

BFD聯(lián)動(dòng)BGP

BFD聯(lián)動(dòng)靜態(tài)路由

1.2. 網(wǎng)絡(luò)構(gòu)架優(yōu)點(diǎn)

1) VRRP共有協(xié)議，不同廠家之間使用，華為、H3C、思科、Juniper；

2) 容易升級核心設(shè)備；

3) 流量可以進(jìn)行負(fù)載同時(shí)還能冗余；

4) 跨設(shè)備檢測線路穩(wěn)定性；

1.3. 網(wǎng)絡(luò)構(gòu)架缺點(diǎn)

1） 流量的負(fù)載不平衡（相對捆綁接口）；

2） 配置比較麻煩，多個(gè)業(yè)務(wù)網(wǎng)段負(fù)載時(shí)需要規(guī)劃好VRRP和MSTP；

3） 管理比較麻煩（相對堆疊）；

2. 堆疊+捆綁

2.1. 設(shè)計(jì)方式

2.1.1. 鏈路捆綁

多條物理線路，捆綁為一條邏輯線路，帶寬加倍，冗余效果；

2.1.2. 堆疊

2.1.2.1. 優(yōu)點(diǎn)

1) 多臺(tái)物理設(shè)備堆疊為一臺(tái)邏輯設(shè)備，只需要管理其中一臺(tái)；

2) 跨設(shè)備線路捆綁；

3) 新的網(wǎng)段產(chǎn)生不需要做太多的配置；

2.1.2.2. 缺點(diǎn)

1) 容易產(chǎn)生雙活（腦裂），BFD檢測（MAD檢測）；

2) 設(shè)備升級麻煩；

3) 設(shè)備的CPU和內(nèi)存不能共享；

4) 網(wǎng)管（SNMP）比較麻煩；

2.1.3. SLA檢測

SLA檢測鏈路的情況，然后執(zhí)行相關(guān)動(dòng)作。

PBR失效；

2.1.4. PBR

策略路由，優(yōu)先于路由進(jìn)行轉(zhuǎn)發(fā)，可以根據(jù)源地址和目的地址；

設(shè)備的路由的特點(diǎn)是匹配目的地址；

源地址匹配轉(zhuǎn)發(fā)，只能使用PBR；

3. 安全

3.1. ACG

ACG流量控制

在一個(gè)網(wǎng)絡(luò)中，你出口帶寬多大，都是不夠用的，控制應(yīng)用程序流量的速率。

上班時(shí)間：

1） 禁止炒股軟件流量

2） 禁止訪問視頻網(wǎng)站

3） 禁止訪問淘寶

4） 下載控制500K/S

5） 訪問一般網(wǎng)頁10M/S

下班時(shí)間：

1） 炒股軟件流量500K/S

2） 訪問視頻網(wǎng)站1M/S

3） 訪問淘寶500K/S

4） 下載控制500K/S

5） 訪問一般網(wǎng)頁10M/S

特權(quán)：

訪問一般網(wǎng)頁10M/S

訪問所有的流量 5M/S

3.2. 防火墻

為了安全性，主要看怎么用了。

很多國企事業(yè)單位策略裸奔；

很多情況下使用IPSEC VPN；

運(yùn)維主要是：開策略。

三層墻，相當(dāng)于路由器；

1. 數(shù)據(jù)包到防火墻，防火墻上需要有路由；

2. 防火墻的策略；

3.2.1.旁掛

鏡像端口導(dǎo)流

引流方式PBR或使用路由需要使用VRF進(jìn)行

3.2.2. 串接

串接的防火墻能對數(shù)據(jù)進(jìn)行使能

3.2.3.連線方式（路由交換通用）

口字形

交叉式

二層墻和三層墻

3.其外話小科普

3.1.中大型企業(yè)IDC機(jī)房：

機(jī)房UPS，斷電的時(shí)候，UPS自動(dòng)上電，續(xù)航時(shí)間很短，主要的還是發(fā)電車（柴油機(jī)）供電。

機(jī)房需要有窗戶，電源線放到樓下的發(fā)電車。