在中小型企業網中的組網方式

1. VRRP+MSTP+SLA（NQA）

1.1. 設計方式

MSTP可以實現流量的負載，使用多實例的方式。

1.1.1. 生成樹

1.1.2. 網關冗余

VRRP和HSPR

VRRP：共有協議，任意廠家能都使用；

HSRP：思科私有協議，只有思科能用；

1.1.3. SLA檢測

SLA檢測鏈路的情況，然后執行相關動作。

VRRP中降低優先級；

靜態路由中路由失效；

1.1.4. BFD

BFD

1) 組播方式檢測

2) 單播方式檢測

使用場景

堆疊使用

BFD聯動OSPF

BFD聯動BGP

BFD聯動靜態路由

1.2. 網絡構架優點

1) VRRP共有協議，不同廠家之間使用，華為、H3C、思科、Juniper；

2) 容易升級核心設備；

3) 流量可以進行負載同時還能冗余；

4) 跨設備檢測線路穩定性；

1.3. 網絡構架缺點

1） 流量的負載不平衡（相對捆綁接口）；

2） 配置比較麻煩，多個業務網段負載時需要規劃好VRRP和MSTP；

3） 管理比較麻煩（相對堆疊）；

2. 堆疊+捆綁

2.1. 設計方式

2.1.1. 鏈路捆綁

多條物理線路，捆綁為一條邏輯線路，帶寬加倍，冗余效果；

2.1.2. 堆疊

2.1.2.1. 優點

1) 多臺物理設備堆疊為一臺邏輯設備，只需要管理其中一臺；

2) 跨設備線路捆綁；

3) 新的網段產生不需要做太多的配置；

2.1.2.2. 缺點

1) 容易產生雙活（腦裂），BFD檢測（MAD檢測）；

2) 設備升級麻煩；

3) 設備的CPU和內存不能共享；

4) 網管（SNMP）比較麻煩；

2.1.3. SLA檢測

SLA檢測鏈路的情況，然后執行相關動作。

PBR失效；

2.1.4. PBR

策略路由，優先于路由進行轉發，可以根據源地址和目的地址；

設備的路由的特點是匹配目的地址；

源地址匹配轉發，只能使用PBR；

3. 安全

3.1. ACG

ACG流量控制

在一個網絡中，你出口帶寬多大，都是不夠用的，控制應用程序流量的速率。

上班時間：

1） 禁止炒股軟件流量

2） 禁止訪問視頻網站

3） 禁止訪問淘寶

4） 下載控制500K/S

5） 訪問一般網頁10M/S

下班時間：

1） 炒股軟件流量500K/S

2） 訪問視頻網站1M/S

3） 訪問淘寶500K/S

4） 下載控制500K/S

5） 訪問一般網頁10M/S

特權：

訪問一般網頁10M/S

訪問所有的流量 5M/S

3.2. 防火墻

為了安全性，主要看怎么用了。

很多國企事業單位策略裸奔；

很多情況下使用IPSEC VPN；

運維主要是：開策略。

三層墻，相當于路由器；

1. 數據包到防火墻，防火墻上需要有路由；

2. 防火墻的策略；

3.2.1.旁掛

鏡像端口導流

引流方式PBR或使用路由需要使用VRF進行

3.2.2. 串接

串接的防火墻能對數據進行使能

3.2.3.連線方式（路由交換通用）

口字形

交叉式

二層墻和三層墻

3.其外話小科普

3.1.中大型企業IDC機房：

機房UPS，斷電的時候，UPS自動上電，續航時間很短，主要的還是發電車（柴油機）供電。

機房需要有窗戶，電源線放到樓下的發電車。