问题一：在开始部署前，我需要准备哪些资源和信息？

在开始部署前，必须准备好以下信息：1）机房位置信息与机柜租赁合同（以确认在香港沙田机房的物理接入权限）；2）公网IP段、子网掩码与网关（用于cn2接入后的地址规划）；3）BGP ASN 与对端对等信息（如果采用BGP方式走CN2）；4）设备清单、操作账号与远程控制权限（如KVM或控制台）；5）安全策略与防火墙白名单。

问题二：如何进行网络规划以保证从企鹅小屋到香港沙田的CN2线路稳定？

网络规划建议包含：划分清晰的VLAN和子网、为关键服务预留冗余链路、配置双栈（IPv4/IPv6）策略、以及制定BGP路由策略（主用CN2，备份普通链路）。在规划时应标注企鹅小屋内部网段、对等网段与出口策略，确保流量能优先走cn2接入路径。同时预留监控与日志采集端口便于后续故障定位。

问题三：CN2接入与交换、路由等设备的基本配置有哪些关键步骤？

关键步骤包括：1）物理连线确认与速率协商（与机房对接确认光纤接口与速率）；2）在交换机上配置对应VLAN并绑定物理端口；3）在路由器上配置对端BGP邻居、路由策略与AS路径过滤，确保收到的CN2路由优先；4）设置MPLS或隧道（如需要）；5）配置NAT/静态路由以支持公网访问。关键点是把CN2路由优先级高于一般互联网路由。

问题四：如何配置防火墙和安全策略以兼顾访问与防护？

在防火墙上建立分区策略：对外服务（如Web、SSH）放在DMZ并只开放必要端口；内部管理网络单独划分并启用强认证；将来自香港沙田的CN2流量打上标签，结合流量整形与ACL限制非法流量。建议开启日志与报警、定期更新规则并对关键端口实行白名单限制，以免影响通过cn2接入的正常业务。

问题五：验收与常见故障排查的步骤是什么？

验收步骤包括链路连通性测试（ping、traceroute 至关键目标）、路由表检查（确保CN2路由优先）、带宽与时延测试（使用iperf或专业监测）、以及服务端到端功能测试。常见故障及排查方法：1）路由不通：检查BGP邻居状态与AS号；2）高丢包或延迟：监测链路使用率并排查光纤/光模块问题；3）访问异常：核对防火墙策略与NAT规则；4）DNS解析问题：确认解析记录与DNS服务器连通。记录每次变更并在排查时回滚配置。强烈建议在验收阶段保留至少一周的流量和性能监控数据，以便判断长期稳定性。

来源：部署指南 企鹅小屋香港沙田cn2接入与配置常见步骤