cn2 bgp 香港接入方案与多线路冗余设计建议

1. 概述与目标

1) 目标：在香港部署CN2接入并实现多线路冗余，保证最小化丢包与快速收敛。
2) 范围：含CN2 GIA/普通CN2、国际中转链路、备份IPSec/ GRE 隧道、BGP策略与监控体系。
3) 前提：具备公网AS号或与ISP协商共享ASN、公网IP段、机柜/机房接入资源及路由器（Cisco/Juniper/FRR）权限。

2. 采购与物理接入准备

1) 与运营商沟通：确认CN2 GIA或CN2 GT可用，带宽、互联点（香港）和对端AS。获取对端ASN、对端IP/子网、MD5密码与预期QOS。
2) 接入链路类型：光纤直连（10G/1G）、MPLS虚拟电路或云专线。要求BFD支持、MPLS/标签透明性。
3) 机房准备：交换机端口配置、VLAN规划、SFP型号、链路聚合（LACP）计划和冗余电源。

3. ASN与地址规划

1) ASN：若无独立ASN，优先申请私有ASN并与ISP协商NAT或使用ISP的ASN（注意影响）。
2) 地址：申请/持有公网前缀（/24或更大），划分用于EBGP对等、NAT出口和对外服务。保留备用前缀用于故障演练。
3) 子网：示例：ISP对端网段203.0.113.0/30，本端203.0.113.1/30；BGP宣告使用你的公网前缀。

4. 路由器基础配置（以Cisco IOS为例）

1) 接口配置：interface GigabitEthernet0/0
  ip address 203.0.113.1 255.255.255.252
  description to-CN2-ISP
no shutdown。
2) BFD启用（提高收敛）：bfd interval 50 min_rx 50 multiplier 3，接口或neighbor上启用。
3) 安全：配置BGP MD5 auth（neighbor x.x.x.x password ），ACL限制管理访问。

5. BGP 对等配置与策略示例（Cisco）

1) 基本对等：router bgp 65001
  neighbor 203.0.113.2 remote-as 45102
  neighbor 203.0.113.2 description ISP-CN2-GIA
  neighbor 203.0.113.2 timers 10 30。
2) 属性调整：neighbor ... next-hop-self（多跳或iBGP场景），neighbor ... soft-reconfiguration inbound。
3) 路由过滤：ip prefix-list OUT seq 5 permit 198.51.100.0/24；route-map RM-OUT permit 10 match ip address prefix-list OUT；在bgp中neighbor ... route-map RM-OUT out。

6. 多线路冗余设计原则

1) 多ISP/多出口：至少两条不共载波的CN2或一条CN2+一条普通国际链路，跨不同机房/POP。
2) 路由冗余：采用BGP多宿主、不同local-preference策略实现主动/被动优先；备份链路优先降低local-preference或使用AS-path prepend。
3) 心跳与快速切换：启用BFD + 调整BGPhold/timer以实现更快收敛（但注意震荡与稳定性）。

7. 冗余策略实现细则

1) 主备策略：对主CN2链路设置local-preference较高；对备份链路在出口宣告时加AS-path prepend 2-3次以降低优先级。
2) 负载共享：若ISP支持，开启ebgp-multipath 并确保相同前缀长度和NEXT-HOP一致；使用BGP community控制流量分配。
3) 故障切换：结合BFD快速检测链路故障并触发BGP撤销；在重大故障后自动触发DNS切换/Anycast等应用层策略。

8. 备份链路（隧道/云互联）配置示例

1) IPSec GRE 备份：通过公网普通国际链路建立IPSec隧道到香港边缘，配置加密策略、IKEv2、预共享密钥并在隧道上建立静态路由或iBGP对等。
2) 配置步骤：创建IKE proposal、transform-set；crypto map绑定外网接口；创建tunnel interface ip address 10.0.0.1/30；在tunnel上配置bgp或静态路由。
3) 优先级：隧道链路作为最后保底，使用route-map在切换时动态调整local-preference。

9. 路由监控与告警实践

1) 监控项：BGP会话状态、BFD会话、丢包率、延迟、路由表变化、流量异常。
2) 工具：使用Prometheus + Grafana抓取SNMP/JENKINS脚本、ExaBGP/Bird或网络管理系统；设置阈值告警与自动化脚本。
3) 日志与演练：定期执行故障演练（切断主链路）并记录收敛时间，调整BFD/timers以达到目标SLA。

10. 切换测试与验收步骤

1) 准备：通知相关团队，备份配置并安排维护窗口。
2) 测试步骤：a. 人为down主链路；b. 观察BFD/BGP收敛时间（show ip bgp summary / show bgp neighbors）；c. 测试业务可达性（ping、traceroute、应用层测试）。
3) 验收：记录恢复时间、丢包率与业务影响，优化参数后重复测试以确认稳定。

11. 运维与安全注意事项

1) 变更控制：所有BGP/ACL/route-map变更先在实验环境或低峰时段部署并回滚方案准备就绪。
2) 安全：对等使用MD5，限制对等对端IP；管理面使用ACL和SSH key；监控异常路由泄露。
3) 文档化：详细记录ASN、对端IP、密码、备份操作手册与联系人清单。

12. 常见问题问答一：CN2与普通链路的选择标准是什么？

Q: 应该优先选择CN2还是普通国际链路？ A: 若目标是最低延迟和稳定性优先（游戏、实时业务），优先选择CN2 GIA；若成本敏感且容忍略高延迟，可用CN2 GT或普通链路做主/备组合。选择时考虑成本、POP覆盖、服务SLA与带宽需求。

13. 常见问题问答二：如何保证切换时业务损失最小？

Q: 怎么做能把切换业务影响降到最低？ A: 同时使用BFD+调整BGP timers实现快速收敛；主备路由通过local-preference/AS-path控制优先级；应用层采用Anycast/DNS低TTL策略与连接重试机制，切换期间可快速重路由或指向备份节点。

14. 常见问题问答三：实施过程中最容易忽视的点有哪些？

Q: 在实施CN2 BGP多线路冗余时有哪些容易被忽略？ A: 常忽视的有：BFD与BGP timers需要在双方协调、路由过滤导致前缀未宣告、监控覆盖不全（只看BGP会话而忽略丢包/延迟）、以及运维演练不够导致真实故障时手忙脚乱。建议完整演练并监控业务层可达性。

来源：cn2 bgp 香港接入方案与多线路冗余设计建议