一份沒(méi)有注釋的配置

假設你是一個(gè)新接手某一網(wǎng)絡(luò )項目的維護工程師，面對設備配置里一望無(wú)際的接口，是否會(huì )感到一籌莫展，這種感覺(jué)很容易進(jìn)化成負面情緒——無(wú)奈與焦躁，最后讓你變得不淡定，不淡定就意味著(zhù)更容易出錯。我們要讓網(wǎng)絡(luò )變得更容易維護，工程師不容易出錯，出于這個(gè)高尚的目的，作為普通的配置，能為可靠性要求極高的數據中心做什么呢？我們要讓配置更給力，讓工程師因為我們精心設計的配置時(shí)刻保持淡定。

(一)       從設備命名開(kāi)始說(shuō)起

設備是網(wǎng)絡(luò )維護的基本單元，面對網(wǎng)絡(luò )中成百上千的設備，如何準確地鎖定故障設備，以最短的時(shí)間趕赴設備跟前。那么工程師是怎么知道哪臺設備故障了呢？是成天守在設備跟前，那么多設備，守不過(guò)來(lái)��；那等著(zhù)業(yè)務(wù)部門(mén)報障，那就太遲啦，等著(zhù)被投訴吧。事情往往不會(huì )那么杯具，我們所有的網(wǎng)絡(luò )設備都通過(guò)網(wǎng)管平臺管理了，設備一旦發(fā)生故障，就會(huì )產(chǎn)生日志或者失去與網(wǎng)管平臺的連接，網(wǎng)管平臺是能夠及時(shí)感知的，然后就是網(wǎng)管平臺給會(huì )工程師發(fā)短信，無(wú)論工程師在哪，只要有手機信號，都能夠立刻知道有設備出事了。

那么一個(gè)新的問(wèn)題是，面對成百上千的設備，網(wǎng)管平臺以什么方式告訴工程師是具體哪一臺呢？其實(shí)問(wèn)題的解決往往就是那么容易，集團軍可把幾萬(wàn)名士兵按照“師-團-營(yíng)-連-排-班-人名”的編制成功地管理起來(lái)，我們也參照著(zhù)可以把網(wǎng)絡(luò )設備進(jìn)行合理的命名，讓網(wǎng)管平臺按照設備命名的方式告知工程師是哪臺設備出了故障。

根據我們對已經(jīng)積累經(jīng)驗的分析，結合下圖，設備命名要具備如下特征：

1.      城市，可以讓工程師迅速鎖定機房的地理位置，運維是按照城市為單位，可以迅速地把告警短信發(fā)送給對應城市的值班工程師，如北京使用BJ、上海使用SH；

2.      地點(diǎn)，可以讓某個(gè)城市的值班工程師安排人員迅速趕赴某個(gè)地點(diǎn)，如上地東方電子機房使用SD，濱江電信機房使用BT等等，通�？蛻�(hù)在同一個(gè)城市機房數量是有限的，使用2維編碼足矣；

3.      機房，在樓宇中有太多的房間，機房編號用于鎖定具體房間，如0301表示3樓1房；

4.      機柜，機房?jì)劝凑誂BCD劃分了機柜列，每個(gè)機柜按1234排列，線(xiàn)程工程師可以迅速趕赴設備跟前，如H16表示第H列第16柜，對于IRF設備，可能占用2個(gè)機柜，那么就要使用C1D1來(lái)表示，說(shuō)明虛擬設備1在C列1柜，虛擬設備2在D列1柜；

5.      廠(chǎng)家編號，設備故障必須要知會(huì )廠(chǎng)家，有廠(chǎng)家的幫助會(huì )讓現場(chǎng)處理人員底氣更足，如H(ighest)表示會(huì )給你最大幫助的H3C；

6.      設備型號，可以讓廠(chǎng)家人員找到更合適的人員為客戶(hù)提供幫助，通常設備型號與廠(chǎng)家編號合在一起，如H12518表示H3C的S12518設備;

7.      設備虛擬名稱(chēng)，用于表明該設備的用途，如LC1，表示LANCore第1臺；

8.      IRF標識，用于表明這臺設備是IRF設備，用小寫(xiě)i表示；

9.      設備編號，用于表明某個(gè)機柜從上到下相同型號設備的第幾臺，如BJ-SD-0301-A5-H5800-NL-2說(shuō)明這臺S5800在北京上地東電301機房A列第5柜從上往下數第2臺，它的作用是普通內網(wǎng)（Normal LAN）；

10.   設備名字的每一段都使用“-”分割，便于網(wǎng)管系統識別處理；

11.   在項目建設驗收后，將所有設備命名打印成標簽，貼在設備前面板，便于現場(chǎng)工程師核對設備身份。

從這一點(diǎn)也說(shuō)明了，設備位置布置一定要事先規劃好，盡量避免設備的物理位置變動(dòng)，導致設備命名修改。數據中心的建設向來(lái)就是欲善其事，先利其器的工作，具備很強的計劃性和項目可管理性。

進(jìn)入任何領(lǐng)域，我們無(wú)意冒犯，我們會(huì )因為對完美的追求而變得刻薄，對缺陷的不容忍而變得冷酷。

(二)       哪些配置可以添加注釋

既然注釋如此重要，那么哪些配置可以添加注釋?zhuān)―escription）呢，我們做了統計：

1.      所有接口及VLAN；

2.      VSI及VPN Instance；

3.      NQA；

4.      ACL；

5.      靜態(tài)路由；

6.      OSPF。

接口（Interface）是設備互聯(lián)組成網(wǎng)絡(luò )的核心元素，接口種類(lèi)比較多，不同種類(lèi)接口用途不一，常見(jiàn)的可以分為如下幾類(lèi)：

1.      2層物理接口，如交換機以太網(wǎng)接口、RPR物理接口等；

2.      3層物理接口，如路由器各種接口；

3.      2層鏈路聚合接口；

4.      3層物理子接口；

5.      VLAN虛擬接口和VLAN、RPR業(yè)務(wù)接口；

6.      環(huán)回接口；

7.      隧道接口；

8.      虛模板等虛擬接口；

以上各類(lèi)接口都可以添加注釋?zhuān)�注釋和設備命名一樣，要遵循一定的規則，下面是參考。

對上圖拓撲進(jìn)行描述：

l  HZ-BJ-11-E1-HP-1，是一臺HP服務(wù)器，位置在杭州濱江機房1樓1房E列1柜，從上往下數第1臺；

l  這臺HP服務(wù)器連接到同機柜的S5800交換機G1/0/3端口上，該交換機名為HZ-BJ-11-E1-H5800-A-1，其VLAN300用于服務(wù)器接入（A表示Access），該交換機通過(guò)2條10G鏈路以鏈路聚合方式連接到S12500組成的IRF系統，2條1G鏈路端口分別是Te1/0/49和Te1/0/50，鏈路聚合虛擬接口是Bridge-Aggregationg1；

l  2臺S12500和S5800在同一個(gè)機房，命名為HZ-BJ-11-C2D2-H12500-C-i-1，C2D2表示IRF系統成員1在C列2柜，成員2在D列2柜，IRF-C表示這是IRF系統組成的Core設備，IRF系統使用2條10G連接而成，端口分別是Te1/0/1、Te2/0/1，連接接入S5800的兩個(gè)聚合10G端口分別為T(mén)e1/5/0/1和Te2/5/0/1，使用虛擬聚合接口Bridge-Aggregation1，核心到互聯(lián)網(wǎng)出口分別使用G1/4/0/1和G2/4/0/1，分別使用Tag模式VLAN100和No Tag模式VLAN150；

l  互聯(lián)網(wǎng)出口設備HZ-BJ-11-F2-H6608-IG-1是一臺SR6608設備，在同一個(gè)機房的F列2柜，IG表示Internet Gateway，端口G3/0/1連接IRF核心G1/4/0/1，G3/0/1連接IRF核心G2/4/0/1，分別采用Tag100子接口方式和No Tag方式，再通過(guò)Tunnel0接口與上海盧灣3樓1房MSR5040建立GRE隧道作VPN；

l  上海盧灣3樓1房MSR5040在A(yíng)列1柜，也是互聯(lián)網(wǎng)出口，命名為SH-LW-31-H5040-IG-1，它也通過(guò)Tunnel0接口連接到HZ-BJ-11-F2-H6608-IG-1作VPN。

各接口注釋如下所示：

設備	接口	接口類(lèi)型	注釋
SH-LW-31-H5040-IG-1	Tunnel0	3層隧道接口	HZ-BJ-11-F2-H6608-IG-1-Tunnel0-VPN
HZ-BJ-11-F2-H6608-IG-1	G3/0/0	3層物理接口	HZ-BJ-11-C2D2-H12500-C-i-1-G1/4/0/1
	G3/0/0.100	3層物理子接口	HZ-BJ-11-C2D2-H12500-C-i-1-Itc-Main
	G3/0/1	3層物理接口	HZ-BJ-11-C2D2-H12500-C-i-1-G2/4/0/1-Itc-Backup
	Loopback0	3層環(huán)回接口	Router-ID & MPLS-LSR-ID
	Tunnel0	3層隧道接口	SH-LW-31-A1-H5040-1-Tunnel0-VPN
HZ-BJ-11-C2D2-H12500-C-i-1	G1/4/0/1	2層物理接口	HZ-BJ-11_F2_H6608-IG-1-G3/0/0
	G2/4/0/1	2層物理接口	HZ-BJ-11-F2-H6608-IG-1-G3/0/1
	Te1/1/0/1	2層物理接口	T2/1/0/1-IRF
	Te1/2/0/1	2層物理接口	T2/2/0/1-IRF
	Te2/1/0/1	2層物理接口	T1/1/0/1-IRF
	Te2/2/0/1	2層物理接口	T1/2/0/1-IRF
	Te1/5/0/1	2層物理接口	HZ-BJ-11-E1-H5800-A-1-Te1/0/49
	Te2/5/0/1	2層物理接口	HZ-BJ-11-E1-H5800-A-1-Te1/0/50
	BAGG1	2層鏈路聚合接口	HZ-BJ-11-E1-H5800-A-1-BAGG1
	VLAN 100	VLAN虛擬接口	HZ-BJ-11_F2_H6608-IG-1-Itc-Main
	VLAN 150	VLAN虛擬接口	HZ-BJ-11_F2_H6608-IG-1-Itc-Backup
	VLAN 200	VLAN虛擬接口	HZ-BJ-11-E1-H5800-A-1-Itc
HZ-BJ-11-E1-H5800-A-1	Te1/0/49	2層物理接口	HZ-BJ-11-C2D2-H12500-C-i-1-Te1/5/0/1
	Te1/0/50	2層物理接口	HZ-BJ-11-C2D2-H12500-C-i-1-Te2/5/0/1
	G1/0/3	2層物理接口	HZ-BJ-11-E1-HP-1
	BAGG1	2層鏈路聚合接口	HZ-BJ-11-C2D2-H12500-C-i-1-BAGG1
	VLAN 200	VLAN虛擬接口	HZ-BJ-11-C2D2-H12500-C-i-1-Itc
	VLAN 300	VLAN虛擬接口	Servers-Access

下面介紹一下接口及VLAN注釋規則：

1.      對于交換機二三層特性分離的特點(diǎn)，物理接口注釋體現物理連接，VLAN和VLAN接口體現業(yè)務(wù)用途；

2.      物理連接可以使用“對端設備名字-對端設備物理接口編號”來(lái)表示，如HZ-BJ-11-C2D2-H12500-C-i-1的Te1/5/0/1接口注釋為“HZ-BJ-11-E1-H5800-A-1-Te1/0/49”；

3.      2層IRF物理接口則可以使用“對端接口編號-IRF”來(lái)表示，如HZ-BJ-11-C2D2-H12500-C-i-1上Te1/1/0/1上接口注釋為“T2/1/0/1-IRF”；

4.      VLAN和對應VLAN接口注釋保持一致，用于描述用途，如HZ-BJ-11-C2D2-H12500-C-i-1上VLAN100和Vlan-Interface100接口注釋都是“HZ-BJ-11_F2_H6608-IG-1-Itc-Main”，表示和HZ-BJ-11-F2-H6608-IG-1互聯(lián)主鏈路，Itc表示Interconnection，Main表示主鏈路；

5.      對于路由器大部分接口都是三層物理接口，所以接口注釋既要體現物理連接，也要體現業(yè)務(wù)用途，如HZ-BJ-11-F2-H6608-IG-1的G3/0/1注釋是“HZ-BJ-11-C2D2-H12500-C-i-1-Itc-Backup”，表示是連接到IRF核心的備用線(xiàn)路；

6.      三層物理子接口，子接口和VLAN注釋使用相同規則，都用于描述用途，如HZ-BJ-11-F2-H6608-IG-1的G3/0/0.100的注釋是“HZ-BJ-11-C2D2-H12500-C-i-1-Itc-Main”，子接口所在物理接口注釋只表示物理連接，如G3/0/0的注釋為“HZ-BJ-11-C2D2-H12500-C-i-1-G1/4/0/1”；

7.      2層鏈路聚合接口是一種虛擬接口，可以使用“對端設備名字-對端設備鏈路聚合接口編號”格式，如HZ-BJ-11-E1-H5800-A-1的Bridge-Aggregation接口1的注釋為HZ-BJ-11-C2D2-H12500-C-i-1-BAGG1；

8.      有的VLAN是用于接入的，并不是互聯(lián)的，如HZ-BJ-11-E1-H5800-A-1的VLAN300，其注釋為Servers-Access，表示用于服務(wù)器接入；

9.      環(huán)回接口注釋規則也是用途，如HZ-BJ-11-F2-H6608-IG-1的Loopback0接口注釋為“Router-ID & MPLS-LSR-ID”表示用于作為Router-ID和MPLS的LSR-ID；

10.   隧道接口等其余虛擬接口也是用“用途”規則，如SH-LW-31-H5040-IG-1的Tunnel0注釋是“HZ-BJ-11-F2-H6608-IG-1-Tunnel0-VPN”。

從上述繁雜的舉例中，不妨總結一下注釋的要素：

1.      連接特性：即對端設備名字；

2.      物理連接特性：對端設備名字-接口編號；

3.      用途：實(shí)際用途，如接入、互聯(lián)、VPN等等；

4.      3層連接特性：對端設備名字-用途；

5.      2、3層分離：對于子接口和VLAN等采用2、3層分離的注釋方式，即物理接口采用物理連接特性注釋?zhuān)�子接口和VLAN采用3層連接特性或用途注釋?zhuān)?/span>

6.      2、3層合并：一般針對路由器比較有效，即物理接口注釋同時(shí)體現“物理連接特性”和“用途”。

(三)       其余注釋的規則

對于A(yíng)CL等模塊，注釋主要用于說(shuō)明用途，各單詞首字母大寫(xiě)，各漢字拼音首字母大寫(xiě)。

特性舉例	用途舉例	注釋舉例
Acl number 2000	NAT	NAT For 192.168.1.0/24
Acl number 3000	包過(guò)濾	Packet filter For Outside Vistors
VSI	山南檢察院接入	ShanNan JianChaYuan
VPN-Instance	上海分部VoIP接入	VoIP ShangHai Branch
NQA	探測互聯(lián)網(wǎng)網(wǎng)關(guān)可達性	Detect Internet Gateway Reachable
靜態(tài)路由	靜態(tài)路由用途	ip route-static 0.0.0.0 0 6.16.5.6 description Internet9
OSPF	發(fā)布互聯(lián)網(wǎng)段	Distribute Inter Connection Networks

(四)       重申注釋的意義

可能初次嘗試添加注釋?zhuān)�特別是接口注釋?zhuān)瑫?huì )覺(jué)得這個(gè)工作量浩大，但網(wǎng)絡(luò )是一個(gè)可以分割的系統，可以化繁為簡(jiǎn)，也可以聚少成多，多次實(shí)踐，掌握其中的規律，可以提高配置效率。但更重要的意義開(kāi)篇已經(jīng)提到，看到一望無(wú)際接口，如果接口沒(méi)有注釋?zhuān)�那就無(wú)法知道每個(gè)接口的用途或連接狀況，在做具體操作時(shí)需要翻閱大量工程文檔，極度拖緩時(shí)機，網(wǎng)絡(luò )維護往往會(huì )有“機不可失，時(shí)不再來(lái)”的感嘆，既然如此事后諸葛，我們?yōu)楹尾辉缱鞔蛩�，在配置初期添加注釋�(zhuān)�雖然增加了工作量，但考慮到這個(gè)付出對于維護工作的好處，無(wú)疑是值得的。