《大运会计算机网络平台介绍.ppt》由会员分享,可在线阅读,更多相关《大运会计算机网络平台介绍.ppt(56页珍藏版)》请在三一办公上搜索。
1、大运会计算机网络平台介绍,部门/作者,培训议题,网络结构简介网络设备介绍网络规划业务系统故障排查常见故障,3,网络系统总体介绍,4,大运会网络分为Admin网和Games网Admin网是用于承载组委会业务和赛事管理系统的网络。赛事管理系统主要包括人员注册制证系统、组委会业务和赛事运行保障系统、赛事指挥调度系统以及赛事监控管理系统等主要子系统。Games网为竞赛管理、赛事编排、比赛进程控制、成绩处理、信息发布等各个环节,提供高效、完善的应用服务。,网络系统总体介绍,5,按照层次分为场馆接入层、主干层和非竞赛场馆功能层三个层面,主干层:即跨城域范围的主干网,应包括两个子层,即各场馆片区的汇聚层与核
2、心层场馆接入层:即每个竞赛场馆的内部局域网,应包括中心交换与楼道接入两个子层非竞赛场馆功能层:主要的非竞赛场馆如MDC、MOC、TOC等,提供中央数据库应用系统和支撑网络及赛事的功能性设施,逻辑上也分为中心交换和楼道接入两个子层,网络系统总体介绍,枢纽核心:做为新南头核心节点的备份节点,实现汇聚节点之间互联互通,及在网络异常情况下提供数据高速转发功能枢纽汇聚:提供福田片区场馆上联汇聚功能,网络系统总体介绍,2个核心节点:,枢纽核心、新南头核心,8个汇聚节点:,龙中汇聚、宝岭汇聚、南油汇聚、科技园汇聚、黄木岗汇聚、枢纽汇聚、MMC大楼、大运村,2个数据中心:,沙河IDC(MDC)和坂雪岗IDC(
3、SDC),Admin网,Games网,Admin网和Games网的物理位置基本一致。在工程上,我们专网专柜,不同网络的设备分别安装在不同的网络机柜上,两张网络完全物理隔离,44个竞赛场馆:,依据就近原则连接到南山,福田,龙岗三大汇聚平台,网络系统总体拓扑示意图,网络拓扑简介(Admin网),枢纽核心,枢纽汇聚,Internet 出口,南山汇聚平台,福田汇聚平台,龙岗汇聚平台,网络拓扑简介(Games网),枢纽核心,枢纽汇聚,南山汇聚平台,福田汇聚平台,龙岗汇聚平台,网络拓扑简介(A网MDC模型),数据中心采用两台汇聚交换机分别连接到新南头和枢纽大厦核心节点,中间连接分别安置两台防火墙做为数据流
4、的访问控制。两台防火墙之间需要做HA(高可用性)模式,并且状态表等信息需要及时同步。MDC设中心交换机一对,下连若五对服务器交换机。服务器均以双网卡连接。中心交换机之间及其到核心节点的连接,采用万兆以太网,而到服务器群组交换机全部采用千兆上联及千兆到桌面。,网络拓扑简介(G网MDC模型),数据中心采用两台汇聚交换机分别连接到新南头和枢纽大厦核心节点,中间连接分别安置两台防火墙做为数据流的访问控制。两台防火墙之间需要做HA(高可用性)模式,并且状态表等信息需要及时同步。每两台群组服务器交换机分别连接到数据中心汇聚交换机,下联各业务服务器,每台服务器双上联到两台群组服务器交换机。,网络拓扑简介(A
5、网非竞赛场馆模型),非竞赛场馆就近接入电信汇聚节点,采用的是C级别设备直接上联到B设备,中间连接分别安置两台防火墙做为数据流的访问控制。两台防火墙之间需要做HA(高可用性)模式,并且状态表等信息需要及时同步。下挂D设备作为终端用户接入。,网络拓扑简介(G网非竞赛场馆模型),非竞赛场馆就近接入电信汇聚节点,采用的是C级别设备直接上联到B设备,下挂D设备作为终端用户接入。,网络拓扑简介(A网决赛场馆模型),决赛场馆采用两台场馆中心交换机,负责本场馆的数据转发核心。两台场馆中心机房交换机相互互联并且上联到场馆汇聚节点(龙岗、福田、南山),两台场馆核心设备下面旁挂一台IDS设备,负责网络安全检测。,网
6、络拓扑简介(G网决赛场馆模型),决赛场馆采用两台场馆中心交换机,负责本场馆的数据转发核心。两台场馆中心机房交换机相互互联并且上联到场馆汇聚节点(龙岗、福田、南山),中间链路上分别安置一台防火墙作为数据流的访问控制。两台防火墙之间需要做HA(高可用性)模式,并且状态表等信息需要及时同步。,网络拓扑简介(A网预赛场馆模型),预赛场馆采用一台场馆中心交换机,负责本场馆的数据转发核心。场馆中心机房交换机上联到场馆汇聚节点(龙岗、福田、南山),下面旁挂一台IDS设备,负责测试网络安全。,网络拓扑简介(G网预赛场馆模型),预赛场馆采用一台场馆中心交换机,负责本场馆的数据转发核心。场馆中心机房交换机上联到场
7、馆汇聚节点(龙岗、福田、南山),中间链路上安置一台防火墙作为数据流的访问控制。,培训议题,网络结构简介网络设备介绍网络规划业务系统故障排查常见故障,锐捷网络设备S8610,S86102引擎插槽+8线卡插槽2电源插槽主要分布在A网MDC和SDC场馆汇聚和G网核心节点,S86062引擎插槽+4线卡插槽2电源插槽主要分布在A网场馆中心和G网场馆汇聚节点,锐捷网络设备S8606,锐捷网络设备S5750,RG-S5750-24SFP/12GT RG-S5750-24GT/12SFP G网场馆中心设备 数据中心服务器接入交换机固化12个SPF端口 固化12个千兆电口12个千兆光电复用端口 12个千兆光电复
8、用端口2个扩展插槽 2个扩展插槽1个RPS接口 1个RPS接口软件版本 RGOS 10.4(2),锐捷网络设备S3760,楼层接入交换机 软件版本 RGOS 10.4(2)RG-S3760-24固化24个10/100Mbps电口4个千兆光电复用端口RG-S3760-48固化48个10/100Mbps电口4个千兆光电复用端口RG-S3760E-24固化24个10/100Mbps电口2个千兆光电复用端口服务器接入交换机 软件版本 RGOS 10.3(4)RG-S3760-12SFP/GT 12个千兆光电复用端口,Admin网核心、汇聚设备,华为网络设备NE80,Page 24,华为网络设备S930
9、0,S93062引擎插槽6线卡插槽用于DMZ服务器接入交换机,25,机房环境展示,培训议题,网络结构简介网络设备介绍网络规划业务系统故障排查常见故障,27,网络设计简介,全网采用OSPF多区域进行部署,总共有8个区域,中心区域为area0,涉及新南头与枢纽大厦核心节点、沙河IDC汇聚,出口路由器、MMC大楼汇聚、信息学院科技楼汇聚、以及竞赛场馆的龙岗汇聚、南山汇聚、福田汇聚共16台设备,28,网络设计简介,全网采用全冗余方式设计,且保证数据交互来回路径一致;正常情况下,数据通过核心新南头节点进行转发,枢纽大厦做为备份核心节点,提供网络的冗余可靠性,网络规划VRRP规划,1、本网络设计中,涉及V
10、RRP的模块有3个,分别是数据中心、决赛场馆、MMC大楼和信息学院科技楼.2、VRRP的主备设置:统一设置偶数序号设备为VRRP主设备,奇数序号设备为VRRP备设备。3、为了防止VRRP频繁切换,VRRP的主设备启用抢占延时,抢占延时为120秒。,网络规划MSTP规划,1、本网络设计中,每个场馆都运行MSTP协议;2、MSTP优先级设置:VRRP主设备优先级为4096,VRRP备设备优先级为8192,双上联接入设备优先级为32768,口字形接入设备奇数为16384,偶数为32768.,网络规划接入安全规划,用户准入控制设计用户是否有资格接入网络,用户设备是否符合进入的安全条件,在接入交换机上予
11、以认证。根据时间、区域、端口、网络协议等,对每个用户制定不同的访问权限。对于不同的用户区分不同的用户权限,只有通过认证的合法用户才能够获取相应的网络访问权限。风暴控制设计当LAN中存在过量的广播、多播或未知名单播包时,就会导致网络变慢和报文传输超时几率大大增加。这种情况我们称之为LAN风暴。我们可以分别针对广播、多播和未知名单播数据流进行风暴控制。防ARP欺骗局域网中的ARP攻击主要是针对网关进行欺骗,一般是通过在LAN中洪泛非法的sender位为网关IP的ARP报文实现对正常用户的欺骗,导致正常用户无法上网,或者实现“中间者攻击”,通过在接如层交换机上使能anti-arp-spoofing功
12、能可以对ARP网关欺骗进行防范。防非法dhcp欺骗用户可能通过dhcp方式获取ip地址,为了防止场馆内存在用户采用dhcp方式进行欺骗,通过在接入层交换机上开启dhcp-snooping功能来预防此类欺骗。网络环路控制通过在接入终端端口上开启portfast加快端口收敛,开启bpduguard防止网络环路。,网络规划设备命名规划,为满足标准化、规范化的要求,根据第26届大运会信息与通信系统项目总体命名规范的准则,计算机网络平台相关设备命名定位4段:AA-BB-CC-DD,每一段为2至5个字符。各字符段说明:第1段AA为设备类型缩写,包括:RTRouter,路由器RSRouting Switch
13、 或 Switch,路由式交换机或交换机FCFlow Control,流量控制器SRServer,服务器(网管服务器等)WSWorkstation,工作站或PC(网管工作站等)SWSoftware,软件(网管软件等)FWFirewall防火墙IDSIntrusion Detection System,入侵检测系统NGNetGear,网闸第2段BB为设备性质、用途或等级描述,并附以数字1、2、3分别表示位于GAMES网、ADMIN网、互联网的设备。全网交换机分为A、B、C、D、E、F等若干个等级,分别表示位于核心层、汇聚层、场馆中心层、场馆楼道接入层、场馆服务器组群和数据中心服务器群组等不同定位
14、的交换机;或者描述性质及用途,例如EXIT表示出口,NM表示网管,等等。例如:A1表示位于G网核心层设备;C2表示A网场馆设备。第3段CC为设备的物理位置缩写,例如“龙岗”表示为“LG”,“大体中心”表示为DTZX。编制缩写时要避免产生重复和歧义。第4段DD为同一物理位置同一性质设备的编号。如每个场馆有两台中心交换机,功能完全一样,编号为01、02.,网络规划IP规划总纲,本届大运会采用A类保留网段,其中A网网段从到的100个B类地址,其中G网网段从到的100个B类地址,并通过适当的规划区分场馆物理位置和业务。A网地址分配:(G网地址为A网相应地址B段+100)为数据中心使用的地址段为非竞赛场
15、馆使用的地址,为备份数据中心保留地址为竞赛场馆使用的地址,10.81.0.010.97.255.255 17个B类网段为临时分配使用,10.98.0.010.98.255.255 为保留给端口互联连接地址为保留给网络设备Loopback地址G网地址分配:为数据中心使用的地址段为非竞赛场馆使用的地址,为备份数据中心保留地址为竞赛场馆使用的地址,10.181.0.010.197.255.255 17个B类网段为临时分配使用,10.198.0.010.198.255.255 为保留给端口互联连接地址为保留给网络设备Loopback地址,网络规划Loopback规划总纲,Loopback地址分配总纲全
16、网启用OSPF路由的网络设备每台分配一个loopback地址,命名为loopback0。loopback地址分配32位掩码的地址。格式:各字段含义:1、xxx:用来标示各设备所处场馆的序号1)xxx为1-100时,用于与竞赛场馆对应的序号;2)xxx为101-200时,用于与非竞赛场馆对应的序号+100;3)xxx为201时,备份数据中心汇聚节点4)xxx为202时,信息学院科技楼汇聚节点5)xxx为203时,MMC大楼汇聚节点6)xxx为204时,主数据中心汇聚节点7)xxx为211-225时,用于主干区域编号+2102、yyy:yyy为设备命名的序列号DD,网络规划互联地址规划总纲,分配格
17、式各字段含义:1、XXX 表示设备或者区域的编号1)XXX为1-50时,表示A/B设备的编号2)当XXX为51-150时,表示竞赛场馆编号+503)当XXX为151-250时,表示非竞赛场馆编号+1502、YYY 表示互联端口的IP地址1)以每台A/B型同级别设备互联端口为起点,分配/29位地址。2)奇数地址为自己端口地址,偶数地址为对方设备端口地址。3)防火墙的管理地址为奇数地址+2,网关为奇数地址4)对于C-C或者F-F互联,分配方式从C/F级设备的序号从小到大开始分配5)设备序号为奇数的分配奇数地址,设备序号为偶数的分配偶数地址6)对于B-B互联端口,需要分配两对互联地址。,网络规划场馆
18、地址规划总纲,场馆地址分配采取先按照场馆所处的序列号进行分配,再对场馆的业务进行分配。分配如下:公式:各字段含义:1、XXX 用来标示场馆的序列号 A网:1)非竞赛场馆XXX为序列号2)竞赛场馆XXX为序列号+20 G网:1)非竞赛场馆XXX为序列号+1002)竞赛场馆XXX为序列号+1202、YYY 用来标示场馆的业务类型1)YYY为255时,代表场馆设备的管理地址3、汇聚交换机上采用VRRP接入Vrrp虚网关IP配置为:奇数编号交换机实IP地址:偶数编号交换机实IP地址:用户IP地址:,培训议题,网络结构简介网络设备介绍网络规划业务系统故障排查常见故障,业务系统,业务系统业务流,业务系统数
19、据流,培训议题,网络结构简介网络设备介绍网络规划业务系统故障排查常见故障,故障分类,从故障来源来看,一般分为以下几个方面:硬件故障网络设备系统文件故障传输或者线路故障路由协议故障配置不当或系统缺陷故障病毒攻击类故障从网络层次来看,故障可以分为:物理层故障链路层故障网络层故障传输层故障应用层故障,网络故障排除方法,OSI的层次结构为管理员分析和排查故障提供了非常好的组织方式。由于各层相对独立,按层排查能够有效地发现和隔离故障,因而一般使用逐层分析和排查的方法。通常有两种逐层排查方式:一是从低层开始排查,适用于物理网络不够成熟稳定的情况,如组建新的网络、重新调整网络线缆、增加新的网络设备;二是从高
20、层开始排查,适用于物理网络相对成熟稳定的情况,如硬件设备没有变动。,故障诊断步骤,发现问题,确认问题现象和影响范围,列举可能原因,逐一验证,制定计划,观察,分为主动发现和用户反馈;,向受故障影响的用户、网络管理员等关键人员确认故障现象和范围。,通过分析收集的信息定位故障可能出现的原因,包括硬件、配置和软件问题;将可能的原因一一列举出来;,按照列举出的可能原因,制定出排查计划,从最可能的原因开始排查,并做好备份和恢复计划;,当故障排查后,要观察一段时间;若还有故障则重新排查。,按照计划对故障进行排查,并对排查过程中收集的信息做进一步分析,记录隐患问题;最重要的是做好备份和恢复准备;如果遇到新的问
21、题或发现计划有问题则修改计划;,故障排查举例,发现问题,确认问题现象和影响范围,列举可能原因,逐一验证,制定计划,观察,有用户反映无法访问互联网,确认有多少用户出现这个问题,用户tracert到哪里不通;,若用户集中在某台设备下,则检查设备是否正常;如果只是单个用户不通则按照TCP/IP四层模型进行判断,定位故障出现在哪一层;,1.检查设备硬件和配置、互连线是否异常;2.arp表是否正确,主机IP、DNS是否配置正常;3.定位故障点,定位到哪里不通并确认路由和防火墙;4.是否外网问题。,按照计划依次进行确认,同时收集好信息供后续分析和恢复,并将一些隐患问题列举出来;若有新问题或发现原计划不当则
22、重新制定计划。,故障排除后,观察一段时间看是否重现。,定位故障点,Ping 功能简介 Ping 功能用来检查 IP网络连接及主机是否可达。通常,如果不能 Ping 到某台主机,则不能对这台主机进行Telnet 或者FTP操作。Ping 是通过向目的地发送ICMP ECHO-REQUEST 报文,如果到目的地网络连接正常。功能维护 如果出现无法 Ping 通的情况,可以通过以下方法来确认问题的所在:1.查看目的地址的所属接口是否是 UP 的;2.查看链路中是否存在 IP地址冲突;3.查看是否正确的学习到对端的 MAC地址;4.查看从本机到目的地址是否存在路由,查看目的网络是否存在回程路由;5.查
23、看是否有防火墙拦截。,定位故障点,Traceroute 功能简介:Traceroute命令用来测试数据包从发送主机到目的地所经过的网关,主要用于检查网络连接是否可达,以及辅助分析网络在何处发生了故障。功能维护:网络中某些网关不通的Traceroute 例子:S5760#Traceroute 61.154.22.36 Tracing the route to 61.154.22.36 1 192.168.12.1 0 msec 0 msec 0 msec 2 192.168.9.2 4 msec 4 msec 4 msec 3*Request timed out.4 202.101.143.15
24、4 12 msec 8 msec 24 msec 5 61.154.22.36 12 msec 8 msec 22 msec 从上面的结果可以看到,从源地址要访问 IP 地址为的主机,网络数据包都经过了哪些网关(1-4),可能是网关 3设备的CPU利用率过高,或中间路由器不返回 ICMP TTL-expired 包。,培训议题,网络结构简介网络设备介绍网络规划业务系统故障排查常见故障,基本功能维护与故障排查,常见故障处理一:端口LINK状态异常 故障说明 以太网端口连接后,无法 link,或者 link 不稳定,link 后协商的速率不正常;诊断流程1.首先确认配置是否有问题,如端口被shut
25、down、光电复用口未切换等;2.检查两端端口的自协商是否打开,建议双方交换机的端口将自协商打开。至少需要保证两台交换机的端口的工作状态是一致的;3.重新插拔线缆(网线或者光纤或者光模块),看是否可以 Linkup。此举可以确定是否由于这些部件未良好连接导致的问题;4.尝试更换网线或者光纤(或者光模块、扩展模块),看是否可以 Linkup;5.把线缆更换到本机的其他端口上,看是否可以正常 Linkup。如果其他端口可以 Link up,很大可能是端口硬件故障。如果无法 Link,需要更换 RJ45 线(需要尝试正线和反线),确认光纤线的 TX、RX的正确连接;6.如果是长线,则改为短线进行和其
26、他正常端口连接,看是否 Link 正常;7.把对端更换到其他正常端口上,看是否可以正常 Linkup;8.或者使用测试设备对网线或者光纤的衰减进行测试,并和标准值比较,以确认线缆是否损坏。,基本功能维护与故障排查,常见故障处理二:二层转发功能维护 二层转发是基于 MAC+VID 来转发,一般来说有以下几种情况:物理端口损坏,导致数据无法正常转发;(可参考常见故障处理一进行排查)2.生产树 block端口以及安全功能 mac地址过滤,端口安全等原因导致端口无法正常转发。,Vrrp故障排查,Vrrp是一种网关冗余协议,通常出故障的可能性较小,如果出现异常主要从报文交互上进行排查。排查思路:1.两台
27、设备vrrp配置是否一致;2.通过debug vrrp报文可以检查本端设备是否正常发出VRRP hello报文;3.通过debug vrrp报文可以检查对端设备是否收到VRRP hello报文;4.查看设备底层硬件表项是否禁止VRRP报文通过;,Ospfv2诊断思路,通过show run和show ip ospf确认OSPF协议是否运行;route-id是否正确;网段是否属于正确的区域;认证密码是否一致等;,检查设备配置,邻居是否正常,数据库是否正常,通过 Show ip ospf Neighbor 可以查看邻居关系是否异常,通常情况下,邻居应处于 FULL 状态,,通过 Show ip os
28、pf database 可以查看设备学习到的ospf路由是否正常,通过show ip route查看路由是否加入到路由转发表;,OSPF 是一个相当复杂的协议,下面给出一般的故障排除步骤:,OSPF邻居建立故障,OSPF无法建立邻居。请使用下图故障诊断流程,802.1X故障排查,排查802.1X认证失败问题,要先对该协议比较熟悉,我们通常根据认证客户端的提示,判断问题出现在报文交互的哪一个阶段,下面简单介绍下可能出现的问题:,Supplicant,NAS,RG-SAM,初始化,认证开始,认证成功,记账开始,用户下线,(1)EAPoL Start,(2)EAP Request,(3)EAP Re
29、sponse,(4)Radius Access-Request,(5)Radius Access-Challenge,(6)EAP Challenge Request,(7)EAP Challenge Response,(8)Radius Access-Request,(9)Radius Access-Accept,(10)EAP Success,(11)Radius Accounting-Request(Start),(12)Radius Accounting-Response,(13)EAPoL Logoff,(14)Radius Accounting-Recquest(Stop),(15)Radius Accounting-Responset,(16)EAP Failure,滞留在第1步可能原因线路质量、非法认证报文、交换机未开启认证;,第4步有问题可能是交换机到服务器连通问题或配置问题;,第6步出现问题可能是用户信息校验失败;,第10步认证失败可能是用户密码错误;,第12步故障可能是用户欠费。,培训议题,网络结构简介网络设备介绍网络规划业务系统故障排查常见故障,谢谢各位,请提宝贵意见!,56,
