1. 规划与前期准备

1. 确认需求与资源：明确业务流量性质（公网服务/访问控制/对等交换）、目标带宽、SLAs、是否需原生态（IP直出）和是否在台湾运营商处取得IPv4/IPv6地址池。
2. 拟定地址方案：为专线端点、WAN口、本地网段、管理网段、环回地址（BGP use）制定IP规划（示例：专线对端/30或/31，BGP使用/32环回）。
3. 选型与合约：与台湾专线提供商确认物理接入方式（光纤直连、MPLS、L2VPN、DC Cross-connect）、接口类型（10G/1G）、时延与保底带宽。

2. 物理连线与光纤交付验收

2. 机房交付检查：确认光纤跳线、SFP型号（单模/多模）、光功率测试（OLTS）结果；双方应在交付单上签署光链路损耗和环路延迟。
子步骤：1) 插入SFP并确认接口up；2) 用ethtool或show interfaces查看光模块速率；3) 双端交换机/路由器口描述对齐并记录接口编号。

3. L2/L3 逻辑设计与VLAN、VRF划分

3. 设计隔离：在本地数据中心使用VRF或VLAN区分管理、业务和对等流量。若需要原生态IP直接在台湾出口展示，建议在运营商对端建立L2交换并将IP放到运营商可见的接口或通过BGP对等。
子步骤：1) 在交换机上建VLAN并分配接口；2) 在路由器上创建VRF并绑定接口；3) 确定是否启用MPLS并预留标签策略。

4. BGP 对等建立（核心步骤，含示例）

4. BGP参数确认：双方AS号、对端IP（通常使用环回/32）、密码（MD5）与keepalive、holdtime。
示例（Cisco IOS）：
router bgp 65001
bgp log-neighbor-changes
neighbor 203.0.113.2 remote-as 65100
neighbor 203.0.113.2 description Taiwan-SP-Adj
neighbor 203.0.113.2 ebgp-multihop 2 /*若用环回*/
neighbor 203.0.113.2 password YOURMD5
network 198.51.100.0 mask 255.255.255.0
子步骤：1) 本地设置loopback并在I/O设备上宣告；2) 若使用环回，配置ebgp-multihop并用update-source loopback0；3) 用route-map控制进出路由（限定prefix、社区、Next-Hop修改）。

5. 路由策略与NAT/安全策略

5. 路由过滤：编写route-map或prefix-list屏蔽非授权前缀，避免泄漏私有或错误路由。
示例策略：permit only your allocated /24s；设置as-path prepend以实现流量工程。
安全：在边界实现反向路由防护（uRPF）、ACL限制管理访问；如需公网出口为原生态IP，不做SNAT或仅对特定服务做SNAT。

6. 测试与验收步骤（必须逐项执行）

6. 联通与路由测试：1) ping对端环回与对端专线IP；2) traceroute验证路径；3) show ip bgp summary / show bgp ipv6 unicast summary确认BGP状态；4) show ip route查看路由学习情况。
性能测试：使用iperf3测试吞吐，分别在不同时间段和不同MTU（建议MTU 1500或按专线协商）下测试。
故障模拟：断开一侧链路验证BFD/HSRP/VRRP及备份链路切换是否按SLA生效。

7. 运营监控、日志与容灾设计

7. 监控指标：BGP邻居状态、路由量、带宽利用、丢包与抖动、延时。建议配置SNMP、Syslog并接入Prometheus/Grafana或Zabbix监控。
告警策略：当BGP邻居down、链路丢包>1%或时延超SLA时自动触发告警并执行告警脚本（如切换备份出口）。另外建议开启流量镜像并定期做流量审计。

8. 常见问题：建立BGP邻居经常无法完成，首要排查项是什么？

8. 问：建立BGP邻居经常无法完成，首要排查项是什么？

答：先检查物理与L2连通（ping对端专线IP），确认对端接口up且光链路正常；若使用loopback做对等，需确认双方配置了ebgp-multihop与update-source并且对端可达；再检查AS号、MD5密码、ACL是否阻止TCP 179；最后查看BGP日志（debug ip bgp）获取建立失败原因。

9. 问：如何保证台湾专线原生态IP不被运营商NAT或影响可见性？

9. 问：如何保证台湾专线原生态IP不被运营商NAT或影响可见性？

答：在签约与交付阶段明确要求“原生态IP直出/直入”，运营商需在其边缘路由器上对你的前缀进行BGP宣告而非NAT；在链路测试时验证从公网能直接访问你的IP（不改变源IP）；同时保留路由证明文档（ROA/IRR）以避免被误拦截。

10. 问：部署完成后，推荐的日常运维要点有哪些？

10. 问：部署完成后，推荐的日常运维要点有哪些？

答：定期检查BGP邻居/路由表、链路丢包和延时；维护变更记录与配置备份；每季度验证路由过滤规则与社区策略；定期更新SFP与设备固件；并与运营商保持SLA与故障联动流程，确保在链路异常时能快速恢复。