金融行業(yè)MSTP組網技術介紹

金融行業(yè)MSTP組網技術介紹v1.0日期：密級：杭州華三通信技術有限公司MSTP組網拓撲MSTP路由策略MSTP路由優(yōu)化MSTP快速收斂MSTPQoS實現目錄MSTP組網拓撲二級分行生產辦公網點1一級分行網點N………………二級網一級分行與二級分行互聯(lián)的廣域網絡，采用SDH線路。三級網二級分行與網點互聯(lián)的廣域網絡，采用MSTP線路，每個網點一臺或兩臺上聯(lián)路由器。廣域區(qū)由廣域區(qū)交換機、上聯(lián)路由器、下聯(lián)路由器構成，縱向貫通一級分行、二級分行及網點。二級分行局域網分為生產局域網和辦公局域網，通過運行不同的OSPF進程實現生產辦公路由隔離。二級網廣域區(qū)所謂MSTP組網，主要指二級分行下聯(lián)路由器與網點的互聯(lián)網絡。MSTP線路廣域區(qū)及局域網三級網SDH線路MSTP組網拓撲MSTP路由策略MSTP路由優(yōu)化MSTP快速收斂MSTPQoS實現目錄路由協(xié)議分布二級分行生產辦公網點1iBGPOSPF300OSPF200OSPF100一級分行eBGPOSPF400網點N………………二級網一級分行與二級分行之間運行eBGP。三級網二級分行與網點之間運行OSPF400，每30-50個網點分配1個AREA。廣域區(qū)廣域區(qū)內部同時運行OSPF300和iBGP，OSPF300主要為iBGP提供建立鄰居用的loopback路由，iBGP用于交換業(yè)務路由。二級分行局域網生產局域網運行OSPF100，辦公局域網運行OSPF200。路由再發(fā)布OSPF100/200與iBGP，發(fā)布邊界點為兩臺廣域區(qū)交換機。OSPF400與iBGP，發(fā)布邊界點為兩臺下聯(lián)路由器。數據分流實現二級分行生產辦公網點1一級分行網點N………………MSTP鏈路1分流需求網點主要有生產、辦公兩類業(yè)務，生產主線路為MSTP鏈路1，辦公主線路為MSTP鏈路2，兩條線路互為冗余備份。上行分流網點路由器優(yōu)選下聯(lián)路由器1的生產路由，優(yōu)選下聯(lián)路由器2的辦公路由，通過調整iBGP路由注入OSPF400的外部路由COST實現。下行分流廣域區(qū)交換機優(yōu)選下聯(lián)路由器1的生產路由，優(yōu)選下聯(lián)路由器2的辦公路由，通過調整OSPF400路由注入iBGP的LP實現。生產辦公MSTP鏈路2iBGP->OSPF400路由發(fā)布二級分行生產辦公網點1iBGPOSPF200OSPF100一級分行OSPF400網點N………………iBGP鄰居發(fā)布邊界兩臺下聯(lián)路由器為iBGP->OSPF400的路由發(fā)布邊界。環(huán)路預防下聯(lián)路由器之間不建立iBGP鄰居關系，即兩者之間不互相學習iBGP路由，確保OSPF400路由導入iBGP后，不會導回OSPF400。外部路由COSTiBGP路由注入OSPF400時，外部路由類型為Type1，下聯(lián)路由器1的外部生產路由COST為10，外部辦公路由COST為100。下聯(lián)路由器2的外部生產路由COST為100，外部辦公路由COST為10?；ヂ?lián)鏈路COST兩臺下聯(lián)路由器之間的互聯(lián)Cost設置為20（否則上行分流會有問題，比如網點路由器1訪問二級分行辦公，可能形成等價路由），其他局域網鏈路Cost為10，MSTP鏈路COST設置為100，所有鏈路OSPF網絡類型為P2P。1010010010廣域區(qū)交換機為路由反射器RR，上聯(lián)路由器為路由反射器客戶端，下聯(lián)路由器為非客戶端！OSPF400->iBGP路由發(fā)布二級分行生產辦公網點1iBGPOSPF200OSPF100一級分行OSPF400網點N………………發(fā)布邊界兩臺下聯(lián)路由器為OSPF400->iBGP的路由發(fā)布邊界。環(huán)路預防在兩臺下聯(lián)路由器上配置所有網點生產、辦公的黑洞路由，以NETWORK方式導入iBGP，并設置相應的community值，而不是將OSPF400路由直接注入iBGP。iBGPLP設置將網點生產、辦公黑洞路由導入iBGP時，下聯(lián)路由器1的生產路由LP為200，辦公路由LP為100。下聯(lián)路由器2的生產路由LP為100，辦公路由LP為200。網點互通如果網點之間存在互訪需求，只需將下聯(lián)路由器上的網點生產、辦公黑洞路由分別導入OSPF400，設置相應的OSPF外部路由COST即可。200100100200MSTP組網拓撲MSTP路由策略MSTP路由優(yōu)化MSTP快速收斂MSTPQoS實現目錄次優(yōu)路徑問題二級分行生產辦公網點1iBGPOSPF200OSPF100一級分行OSPF400網點N………………三級網區(qū)域規(guī)劃假設網點1屬于AREA1，網點N也屬于AREA1，兩臺下聯(lián)路由器之間的鏈路屬于AREA0。存在問題如果網點1的MSTP鏈路1故障，下聯(lián)路由器1訪問網點1時會優(yōu)選繞行網點N的次優(yōu)路徑，因為OSPF的選路規(guī)則是“區(qū)域內路由優(yōu)于區(qū)域間路由”，顯然這不是一條最短路徑。解決方法需要在下聯(lián)路由器1、下聯(lián)路由器2之間為每個AREA創(chuàng)建一條邏輯鏈路（包括AREA0），這樣就不會出現繞行網點的問題，由于兩臺下聯(lián)路由器之間互聯(lián)鏈路的重要性，可以使用鏈路聚合技術。區(qū)域類型問題二級分行生產辦公網點1iBGPOSPF200OSPF100一級分行NSSAAREA1網點N………………三級網區(qū)域類型OSPF400的區(qū)域類型有兩種選擇，TotallyNSSA和普通區(qū)域。存在問題如果使用TotallyNSSA，下聯(lián)路由器導入iBGP路由時，會設置Type7LSA的ForwardingAddress，可能會選擇兩下聯(lián)路由器之間的互聯(lián)地址，導致網點選路無法實現分流（比如網點1訪問二級分行辦公時形成等價路由），因為計算Type7路由時，會迭代ForwardingAddress。解決方法需要在兩臺下聯(lián)路由器上位每個NSSAAREA創(chuàng)建loopback接口，這樣Type7LSA便會將ForwardingAddress填寫為本區(qū)域的loopback地址?；蛘呤褂闷胀ㄆ胀▍^(qū)域類型，并配置區(qū)域間路由過濾，防止網點路由器學到區(qū)域間路由。NSSAAREA2路由性能問題二級分行生產辦公網點1iBGPOSPF200OSPF100一級分行路由數量<1000網點N………………路由需求下聯(lián)設備需要與所有網點建立OSPF鄰居和BFD會話，要求支持200個鄰居的規(guī)格。網點設備只與中心設備建立單個OSPF鄰居和BFD會話，如果中心設備沒有做路由匯聚，路由條目數可能超標。存在問題下聯(lián)設備，SR66無論路由表容量、OSPF鄰居數、BFD會話數都能滿足要求，但S75E交換機常規(guī)版本的OSPF鄰居數量和BFD會話數無法達到要求。網點設備，網點路由器路由容量較大，但是轉發(fā)性能較差，基本能滿足要求，網點交換機路由容量（主要指FIB表）取決于轉發(fā)芯片，一般<1000，有些只支持512個表項，路由條目數超標的情況下，會導致部分目的地數據包無法轉發(fā)。解決方法S75E需要使用F6606L11版本，以支持大容量OSPF鄰居。區(qū)域間路由，如果是TotallyNSSA，缺省就不學習區(qū)域間路由，如果是普通區(qū)域，可以定義規(guī)則為denyany的ACL，然后為每個區(qū)域（AREA0除外）配置出方向的Type3LSA過濾。外部路由，iBGP導入OSPF400時，可以做ASBR-Summary，以較少TypeLSA數量。網點路由，可以在網點路由器上配置基于ACL或者Tag的本地路由過濾，減少FIB表項占用。OSPF+BFD<200MSTP組網拓撲MSTP路由策略MSTP路由優(yōu)化MSTP快速收斂MSTPQoS實現目錄MSTP鏈路快速檢測二級分行生產辦公網點1一級分行網點N………………MSTP鏈路MSTP鏈路本身沒有端到端的鏈路檢測機制，如果MSTP中間鏈路故障，只能依賴于OSPF的hello檢測，最長時間為40s。BFD檢測BFD可以提供ms級的快速檢測，下聯(lián)路由器與網點路由器之間啟用BFDforOSPF，檢測時間設置為1s*3，最長收斂時間為3s，加快了OSPF路由協(xié)議的收斂速度。BFDEchoBFD控制模式，需要同時在兩端啟用BFD，如果網點設備不支持BFD，可以使用BFDECHOforOSPF，下聯(lián)路由器單向檢測MSTP鏈路的連通性，MSTP鏈路故障時，由于OSPF計算路由時會檢查RouterLSA的雙向可達性，網點路由也可以間接發(fā)現MSTP鏈路的中斷（但網點OSPF鄰居狀態(tài)依然為FULL），達到快速收斂的目的。但是BFDEcho為H3C私有特性，不建議在實際組網中使用。廣域區(qū)BFDBFDBFDBFDBFD快速檢測問題二級分行生產辦公網點1一級分行網點N………………BFD會話數BFD會話數與設備性能、檢測時間精度都有關系，SR66強于S75E，BFD報文為分布式處理，要求業(yè)務板卡具備較強的BFD處理能力，如果BFD會話數超標，可以有選擇的對重要網點啟用BFD檢測。BFD檢測時間盡管BFD可以提供ms級的檢測速度，但實際組網中，由于運營商MSTP鏈路可靠性的問題，建議將檢測時間設置為1*3s，如果經常出現BFD會話中斷，可以放大至1*5s。BFDEcho不建議使用BFDEchoforOSPF，如果在中心啟用BFDEcho，網點設備收到BFD報文后，當成普通報文處理，有可能產生丟包，除非將BFD報文訪問最高優(yōu)先級隊列中。BFDControlBFD報文的IP優(yōu)先級為AF4，各廠商不盡相同。對于路由器設備，BFD報文直接進入協(xié)議隊列轉發(fā)，不會因為鏈路擁塞而丟包。對于交換機設備，BFD報文對應LP為4，進入交換機的物理端口隊列4轉發(fā)，有可能因為鏈路擁塞而丟包，AF4隊列盡量不要分配給普通數據報文，并且設置較高的優(yōu)先級。廣域區(qū)BFDBFD部分啟用BFD檢測MSTP組網拓撲MSTP路由策略MSTP路由優(yōu)化MSTP快速收斂MSTPQoS實現目錄MSTPQoS實現二級分行生產辦公網點1一級分行網點N………………三級網MSTP帶寬

MSTP鏈路的端口帶寬與承諾帶寬是不一致的，物理帶寬一般為100M或1000M，而承諾帶寬為10M或20M等，如果不在用戶側對出口流量做流量整形，會導致大量數據包在運營商側被丟棄，從而影響業(yè)務通訊。端口限速無論是路由器還是交換機，都需要在端口出方向做端口限速，一般通過qos

lr命令實現，使報文轉發(fā)速度與運營商CIR一致。路由器QoS如果下聯(lián)設備和網點設備都為路由器，下聯(lián)路由器的一個端口可以對應多個網點，在路由器上創(chuàng)建子接口，配置子接口端口限速，并在子接口上配置隊列調度，比如CBQ，以保證關鍵業(yè)務的帶寬。交換機QoS如果下聯(lián)設備和網點設備都為交換機，下聯(lián)交換機的一個端口對應一個網點，在交換機端口上配置端口限速，并在物理端口上配置隊列調度，比如WRR、WFQ等，以保證關鍵業(yè)務的帶寬。二級網廣域區(qū)端口限速8M4M8M4M端口限速CBQWFQMSTP端口限速問題運營商CIR運營商承諾的MSTPCIR，是指物理層的速率，包括幀間隙、前導位等，而網絡設備上的QoS帶寬一般指鏈路層帶寬，要小于物理層帶寬。MSTP開銷以太網鏈路，物理層開銷為64bit前導位，96bit幀間隙，共20個字節(jié)，還有4字節(jié)的CRC。SR66端口限速

SR66的端口限速，是指鏈路層的帶寬，需要考慮物理層開銷，假設數據