526互联

ICT应用解决方案02-园区网专题技术讲解

发布时间 2023-06-06 20:14:52作者: Qurare

ICT应用解决方案02-园区网专题技术讲解

1 SNMP概述

SNMP(Simple Network Management Protocol, 简单网络管理协议), 实现对不同厂商的设备统一管理, 对网络情况以及对设备信息进行管理.

SDN(Software Define Network, 软件定义网络), 比起SNMP有着更加优秀的特点: 自动化配置, 通过python实现模板的api接口, 通过选择不同厂商的模板来对其设备进行方便的管理

1.1 SNMP管理模型

image-20230527192555617

1.2 基本操作

功能 SNMP操作类型 描述
查询 Get 从Agent中提取一个或多个参数值
GetNext 从Agent中按照字典顺序提取下一个参数值
GetBulk 对Agent进行信息群查询
设置 Set 通过Agent设置一个或多个参数值
告警 Trap Agent主动向NMS发出信息, 告知被管理设备出现情况
Inform 作用同Trap, 但是需要NMS进行接收确认, 会占用较多系统资源
响应消息 Response Agent对Get/Set操作的响应消息, NMS对Inform的响应消息

1.3 SNMP基本配置

配置命令

  1. 使能SNMP Agent功能

    snmp-agent

  2. 配置SNMP协议版本信息

    snmp-agent sys-info version [V1|v2c|v3]

    设备侧使用SNMP版本必须与网管侧一致, 缺省为v3

  3. 创建或者更新MIB视图的信息

    snmp-agent mib-view view-name {include | exclude} subtree-name [mask mask]

  4. 创建一个新的SNMP组, 将改组用户映射到SNMP视图

    snmp-agent group v3 group-name {authentication|noauth|privacy} [read-view view-name | write-view view-name | notfiy-view view-name]

    在SNMPv3中创建SNMP组, 指定认证加密方式, 选择 只读视图/读写视图/通知视图

  5. 配置读/写社区名

    snmp-agent community read community-name
snmp-agent community write community-name

  6. 为SNMP组添加一个新用户

    snmp-agent usm-user v3 user-name group group-name

  7. 配置SNMPv3用户认证密码

    snmp-agent usm-user v3 user-name anthentication-mode {md5|sha|sha2-256}

  8. 配置SNMPv3用户加密密码

    snmp-agent usm-user v3 user-name privacy-mode {md5|sha|sha2-256}

  9. 配置设备发送Trap报文的参数信息

    snmp-agent target-host trap-paramsname gok v2 securityname gok

    代理系统和安全名称配置为gok

  10. 配置Trap报文的目的主机

    snmp-agent target-host trap-hostname gok address 192.168.31.176

    配置管理站地址名称为gok, 管理站地址为192.168.31.176

  11. 打开设备的所有告警开关

    snmp-agent trap enable

  12. 配置发送告警的源接口

    snmp-agent trap scoure interface-typeinterface-number

2 LLDP

LLDP(链路层发现协议, Link Layer Discovery Protocol)是一种标准的二层发现方式,可以将本端设备的管理地址、设备标识、接口标识等信息组织起来,并发布给自己的邻居设备,邻居设备收到这些信息后将其以标准的管理信息库MIB(Management Information Base)的形式保存起来,以供网络管理系统查询及判断链路的通信状况

2.1 LLDP实现原理

LLDP(链路层邻居发现协议)可以将本地设备的信息组织起来发送给自己的远端设备, 远端设备收到的信息以标准MIB的形式保存

实现原理:

  1. LLDP模块通过LLDP代理与设备上物理拓扑MIB、实体MIB、接口MIB以及其他类型MIB的交互
  2. 将本地设备信息封装成LLDP帧发送给远端设备
  3. 接收从远端发送过来的LLDP帧, 更新直接的LLDP远端系统MIB, 以及远端设备自定义的LLDP扩展MIB
  4. 通过LLDP代理收发LLDP帧, 设备学习到远端设备的信息, 包括接口信息和mac地址等.

2.2 LLDP基本配置

image-20230605230332685

  1. 使能LLDP功能

    lldp enable

  2. 查看全局邻居信息

    display lldp neighbor

3 案例分析

3.1 复习

简单理一遍大概的知识点, 有需要的可以走这边: 华为HCIP学习清单

ospf

  • LSA类型
    • 1类LSA描述自身携带的属性
      • trustnet: 广播链路
      • stubnet: 末梢节点
      • p2p: 串行链路(不需要mac地址就能通信)
      • v-link: 虚链路(解决区域分割以及区域不连续的问题, 属于骨干区域)
    • 2类LSA 描述本链路(广播域情况)的路由信息和拓扑信息
      • 掩码信息: 描述网络情况
      • 邻居信息: 区域内设备r-id描述
    • 3类LSA 描述区域内路由信息, ABR产生
      • 对区域内1类LSA和2类LSA进行汇总并传递到其他区域
    • 5类LSA 描述去往外部路由
      • FA地址: 到达目的节点的接口宣告进ospf
        • 0: 此时存在次优路径, 需要4类LSA引导数据到达ASBR
        • 1: 不存在次优路径, 只需要3类LSA引导数据到达指定地址
    • 4类LSA 填充到ASBR的信息
    • 7类LSA NSSA区域的特殊LSA
      • 隔离4、5类LSA, 进行外部路由描述, ABR边界设备进行7类转5类的动作, 然后转发到其他区域
  • LSA通告者
  • LSA网络信息
  • hello(10s), 周期更新LSA(1800s), 消耗带宽资源, 不适合小型网络

路由策略

控制层面: 控制路由加表的过程

数据层面: 影响数据转发的过程

BGP

路由黑洞: 两台BGP设备之间的设备不会学习到BGP的路由, 数据在中间的设备会被丢弃

黑洞路由: ping一个不存在的地址测试连通性, 即在配置静态路由时将下一跳指定为NULL 0

3.2 某园区网项目背景

项目介绍

image-20230530191042014

工程师需要了解的

  1. 物理环境: 设备所在位置
  2. 网络拓扑: 由售前或客户提供
  3. 地址规划: 客户提供或者与客户协商规划
  4. 具体实施需求: 现场客户的需求
  5. 园区网设备型号选择: 规划时不单单需要拓扑

解读项目需求

通过交流后我们获取如下信息:

  1. LED厂区和集成厂区的建筑布局图、厂区的状态(新建/改造)、网络点位需求表
  2. 此次项目入围的设备, 在做规划的过程中可以直接使用入围设备
  3. 客户强调了整体的设计原则: 安全可靠、生产网络/数据中心网络和出口网络无单点故障、视频监控网无强制要求
  4. 此次项目的网络拓扑图和地址规划表

通识概念

  1. 园区网=局域网(标准化)

  2. 项目需要提前在ensp模拟并准备好配置脚本, 到项目现场才不容易出错

  3. 以太网线的传输距离和POE供电最大距离为100m, 超过距离需要考虑使用光纤和光模块

  4. 正常园区网不止有简单的网络设备, 除了路由交换(RS), 还要考虑安全性设备(防火墙), 无线接入需求(WLAN), 监控设备, 门禁设备等, 设备互联需要网络连接

  5. 简单&POE的设备主要用于接入监控、门禁等设备(红外摄像头需要考虑POE供电是否支持, 尽量选择高版本设备)

  6. 交换机在接口不足的情况可以将拓展模块的防尘塞拔出, 接入拓展板卡

  7. 单人不一定能完成核心层交换机的上架(物理)

  8. 规划私网地址通常使用16位和24位私网, 16位广播范围大, 24位私网数量少, 根据现网需求使用, 尽量避免VLSM(可变长子网掩码)

  9. 设备命名格式: 单元楼-楼层-设备型号-核心/汇聚/接入-机柜号-设备位置, 需要和客户协商

    例: BG-1F-S5720-HX-A-D1或HX-S5720-A(网络小)

  10. 出现业务期间网络故障需要先保证正常上网, 之后再继续排查

其他

  1. 路由修改的开销对应路由协议, 比如将OSPF修改开销为1000(协议层面开销), 但传输过程中看的是物理速率
  2. 双点双向引入时使用route-policy部署tag, 解决路由回灌(两个路由协议将数据来回传)次优路径问题
  3. 外网接口禁止通告进ospf

4 排错方案

分层检查:

  1. 物理层:

    终端网线松动, 网卡选择异常, 网线出现断芯, 防火墙问题等

  2. 数据链路层:

    • 是否能ping通网关: 基本能确定是二层问题, 可以检查用户新接入网线vlan配置情况、管理员手动更改接口配置、DHCP获取、环路问题等.
    • 同网段连通性是否正常

  3. 网络层: 能ping通网关, 但是内网的不同ip无法ping通, ping不通外网

    • 查看路由表, 确定目的地址存在, 查看下一跳是否可达(优先级问题)

5 面试拾遗

  1. 交换机收到一个广播报文会进行泛洪, 交换机对于广播报文的目的mac地址使用全1来填充.

    但是路由器接收到一个广播报文时, 会先检查是否存在上层协议, 如果有上层协议则接收, 否则丢弃广播报文.

  2. 傻瓜式交换机: 没有console口, 在需要查询傻瓜交换机下属的设备除了查询人工编写的表项以外, 还能使用lldp向远端设备转发信息