1、 毕 业 论 文企业MPLS VPN设计和实现 年 5月 定 稿摘要伴随网络技术飞速发展,网络使我们生活愈加方便,工作效率大大提升。同时,大家对于网络安全要求也变得越来越高。VPN(虚拟局域网)作为一个新型远程网络访问技术,在近两年内受到企业用户广泛关注。而作为VPN技术中最为关键MPLS VPN现在还是被公认为最安全,应用广泛VPN技术。VPN技术应用日益广泛,MPLS已成为实现VPN一个关键方法。文章对VPN基础概念,VPN工作原理及MPLS VPN技术进行了叙述,并设计企业内部网VPN实际处理方案。关键字:网络;VPN;MPLS AbstractWith the rapid develo
2、pment of Network, Using network makes our life more convenient and more efficient. A Virtual Private Network (VPN), which is a new technique to access the remote network, has been widely used in the recent years. MPLS VPN, the most important technique, has been regarded as the most secure and used o
3、ne.MPLS VPN has been the main method to use the VPN with the wildly used of VPN technique. My essay will mainly introduce the concept of VPN, the theory of VPN, and how to use the MPLS VPN technique. At the same time, I will make a solution about the MPLS VPN in a real environment in the company.Key
4、words: Network;VPN;MPLS目录摘要- 1 -第一章 绪论- 1 -1.1、课程背景及意义- 1 -1.2、MPLS VPN介绍- 1 -第二章 相关技术- 2 -2.1、交换技术介绍- 2 -2.1.1、VLAN介绍- 2 -2.1.2、Ether-channel- 2 -2.1.3、快速生成树- 3 -2.2、多个路由协议- 4 -2.2.1、OSPF协议- 4 -2.2.2、BGP- 6 -2.2.3、IS-IS- 7 -2.3、VPN概况- 8 -2.3.1、VPN定义- 8 -2.3.2、VPN应用- 8 -2.3.3、现在多个关键VPN技术- 9 -2.4、MPL
5、S技术- 10 -2.4.1、MPLS功效特征- 10 -2.4.2、MPLS体系架构- 11 -2.4.3、配置帧模式MPLS- 11 -第三章 企业MPLS VPN需求分析介绍- 13 -3.1、企业网络搭建- 13 -3.1.1、搭建企业网络目标- 13 -3.1.2、搭建企业网络常见技术- 13 -3.2、建立MPLS VPN- 14 -第四章 企业MPLS VPN设计及实现- 15 -4.1、MPLS VPN总体设计- 15 -4.2、搭建企业内部网络- 15 -4.2.1、企业网络设计- 15 -4.2.2、企业网络实现- 16 -4.3、配置企业网关- 19 -4.4、配置MPL
6、S VPN- 23 -第五章 小结- 29 -5.1、架构设计中问题- 29 -5.2、总结- 29 -致谢- 31 -参考文件- 32 -第一章 绪论1.1、课程背景及意义现在是信息科技时代,网络使我们生活愈加便捷,工作效率大大提升。同时在工作中,企业们对于网络要求也随之变得越来越高。当一个集团企业在全球开设分企业,并要求信息共享时,网络信息传输安全变成了一个不得不面正确问题。而MPLS VPN就是现在应用最广泛网络信息传输安全技术之一。它不仅不需要企业支付额外而高昂费用,同时,只需对思科或华为技术略有了解技术员全部能够简单而数量上手,这么也就避免了未来在使用中产生维护困难问题。现经过此论文
7、,我将介绍MPLS VPN技术原理,配置和在现实工作环境中应用。经过此技术应用,企业内部网络安全将变得比以往任何时刻全部更安全,更简便,愈加快捷。1.2、MPLS VPN介绍MPLS VPN(Multiprotocol Label Switching)是一个新WAN技术基于MPLS技术IP-VPN,其体系架构定义在RFC3031之中。MPLS VPN是在网络路由和交换设备上应用MPLS技术,简化关键路由器路由选择方法,利用结合传统路由技术标识交换实现IP虚拟专用网络(IP VPN),可用来结构宽带Intranet、Extranet,满足多个灵活业务需求。第二章 相关技术2.1、交换技术介绍2.
8、1.1、VLAN介绍VLAN(Virtual LAN,虚拟局域网)是拥有一组共同要求且和物理位置无关终端设备逻辑组。大型平面网络通常包含很多终端设备,而广播和未知单播数据包将扩散到网络中全部端口。使用VlAN优势之一就是含有对第二层广播域分段功效,单个VLAN中全部设备全部属于相同广播域。假如终端设备发送第二层广播,那么VLAN中其它全部组员全部将收到该广播。假如端口或设备不属于相同VLAN,那么交换机将过滤这些广播。尽管交换机不能在VLAN之间传输第二层广播,但VLAN和物理子网存在轻微差异。物理子网由相同物理电缆分段中设备所组成;逻辑子网由相互通信且和物理位置无关设备所组成。基于上述原因,
9、VLAN是一个逻辑子网,而且其中终端设备连接不受物理位置直接限制。取而代之是交换机配置能够限制VLAN之间连通。深入而言,VLAN能够存在于交换网络中任何位置。因为VLAN是一个单独广播域,所以VLAN通常属于某个ip子网。为了能够在VLAN之间通信,数据包必需经过路由器或第三层设备。端到端VLAN是能够扩展到整个网络VLAN。当地VLAN是局限于特定域VLAN,比如建筑物接入子模块交换机及其各自建筑物分布子模块。端到端VLAN可能跨越多个配线间,甚至可能跨越多个建筑物。端到端VLAN通常和工作组相关联,比如部门或项目团体。2.1.2、Ether-channel通常情况下,以太网端口设备能够实
10、现交换机互联,进而使得连接到一台交换机设备能够向连接到其它交换机设备传送数据帧。以太网工作速度能够是10Mbit/s、100Mbit/s、1000Mbit/s、或10Gbit/s。伴伴随对更高带宽需求不停增加,管理员正在寻求替换方法来增加两台设备之间可用流量带宽。在大多数情况下,即使我们能够选择更高带宽端口类型作为增加网络带宽方法,但因为要增加更多成本,所以她并不总是可行。经过多个端口进行绑定,EtherChannel充足利用现有端口优势来增加可用带宽。在连接设备失效情况下,经过采取其它未失效链路来维护连接,EtherChannel能够提供冗余。假如端口属于相同模块,因为只有失效链路中正在传输
11、帧被丢失,所以不会造成显著连接损失。2.1.3、快速生成树要说明快速生成树(RSTP)协议首先要明白生成树协议(STP),交换机基础STP功效相当于一个透明网桥。经过在端口上侦听数据帧中源MAC地址,网桥能够学习到其它设备MAC地址。随即,网桥就建立一张MAC地址表,该表能够指明特定端口所学到MAC地址,交换机再使用该表且依据目标MAC地址进行帧转发。对于含有目标多播或广播MAC地址数据包,网桥必需将它们转发到除最初接收广播端口之外全部其它端口;这个过程也称为“扩散”。扩散多播帧例外是使用多播特征,比如IGMP监听。假如一个数据帧目标MAC地址是未知,那么网桥会将这个帧转发到除接收该帧端口之外
12、全部其它端口。对于含有未知目标MAC地址帧,它也被称作“未知单播数据包”。透明桥对于所连接第二层和上层协议设备来说应该是透明。当网络拓扑发生变更时候,快速生成树协议(802.1w,也简称为RSTP)能够显著加紧重新计算生成树速度。RSTP不仅定义了其它端口角色:替换端口,备份端口,而且还定义了三种端口状态:丢弃状态,学习状态,转发状态。IEEE 802.1w标准(RSTP)是802.1d标准一个进化,而不是一个革命。802.1d术语仍然保留了相同大部分参数,而且未作任何修改,所以对于熟悉802.1d标准用户,能够在配置新协议时候找到熟悉感觉。在大多数情况下,RSTP能够比CISCO专有扩展实施
13、愈加好,而且几乎不需要做出额外配置。2.2、多个路由协议2.2.1、OSPF协议 1、OSPF协议介绍路由选择协议开放最短路径优先(OSPF),它是IP网络中最常见内部网关协议之一。OSPF是一个基于请求评论(RFC)2328开放标准协议,它很复杂,包含多个协议握手,数据库通告和分组类型。首先OSPF是一个链路状态路由选择协议,它关键特征包含到区域结构,链路状态邻接关系,最短路径优先(SPF)算法和链路状态数据结构。为克服距离矢量路由选择协议缺点,开发了链路状态路由选择协议。链路状态路由选择协议含有以下特征:(1) 快速适应网络改变(2) 在网络发生改变时,发送触发更新。以较低频率(如每隔30
14、分钟)发送定时更新,这被称作链路状态刷新。链路状态路由选择协议仅在网络拓扑发生改变时,才生成路由选择更新。链路状态发生改变后,检测到改变设备将生成一个针对该链路链路状态通告(LSA),使用一个特殊组播地址,将LSA传输给全部邻接设备。每台路由选择设备全部将得到一个LSA拷贝,据此更新其链路状态数据库(LSDB),并将LSA转发给区域内全部临界设备。这种LSA扩散确保全部路由选择设备全部更新其数据库,然后更新路由选择表以反应新拓扑。LSDB被用来计算最好路径。链路状态路由器对LSDB应用Dijkstra算法(也称SPF)算法,以建立SPF树,进而选择前往目标地最好路径。每台路由器全部从其SPF树
15、中选择最好路径,然后将其加入到路由选择表中。链路状态路由选择协议从网络或网络指定区域内全部路由器那里搜集路由选择信息,然后每台路由器全部使用Dijkstar(SPF)算法分别计算其前往网络中各个目标地最好路径。来自某台路由器错误信息造成混乱可能性较低,因为每台路由器全部有其对网络认识。为确保网络中全部路由器做出一致路由选择决议,每台路由器全部必需统计下述信息。直接相连邻接路由器,失去和邻接路由器联络后,路由器将在几秒钟之内将该邻居提供全部路径作废,并重新计算路径。在OSPF中,相关邻居信息存放在邻居表中,这个表也被称作邻接关系数据库。网络或区域内其它路由器及其连接网络:路由器经过LSA来得悉其
16、它路由器和网络,LSA被扩散到整个网络,它储存在拓扑表或数据库中(也叫LSDB)中。每台路由器全部是用Dijkstra(SPF)算法独立地计算前往网路中每个目标地最好路径。全部路径全部存放在LSDB中。最好路径被加入到路由选择表(也叫转发数据库)中。路由器收到分组后,将依据路由选择表中信息对其及进行转发。2、OSPF区域结构在小型网络中,路由器链路组成结构并不复杂,很轻易确定前往各个目标地路径。然而,在大型网络中,路由器链路组成结构复杂,前往每个目标地潜在路径为数众多,所以,对全部可能路由进行比较SPF算法很复杂,需要很长时间。链路状态路由选择协议通常将网络划分成区域,以降低SPF算法计算量。
17、区域内路由器数量和在区域内扩散LSA数量较少,这意味着区域内链路状态数据库(拓扑数据库)较小。其结果是,SPF算法计算量更小,需要时间更短。OSPF使用包含两层层次区域结构:(1) 中转区域:关键功效为快速,高效地传输IP分组OSPF区域。中转区域将其它类型OSPF区域连接起来,通常,中转区域中没有终端用户。依据定义,OSPF区域0(也叫做主干区域)为中转区域。 (2) 常规区域:关键功效连接用户和资源OSPF区域。常规区域通常是依据职能或地理位置划分。默认情况下,常规区域不许可另一个区域使用其连接将数据流传输到其它区域来自其它区域全部数据流全部必需经过中转区域(如区域0)。不许可数据流穿过区
18、域被称作常规区域(非主干区域)。常规区域又分几类,包含标准区域,末节区域,绝对末节区域和次末节区域。OSPF采取严格两层区域结构。网络底层物理连接必需和两层区域结构相匹配,即全部非主干区域全部直接和区域0相连。3、OSPF邻接关系运行链路状态路由选择协议路由器必需首先和选定邻接路由器建立邻接关系,这是经过和邻接路由器交换Hello分组来实现。大致而言,路由器建立邻接关系过程以下:路由器将Hello分组发送给邻接路由器,并接收来自邻接路由器Hello分组。Hello分组目标地址通常是组播地址。路由器经过交换Hello分组来得悉协议特定参数,如检验邻居是否在同一个区域中,Hello间隔是否相等。交
19、换玩Hello分组后,路由器宣称邻居处于正常运行状态。两台路由器使用Hello分组建立邻接关系后,它们经过交换LSA来同时LSDB,并确定已收到邻接路由器LSA。至此,两台邻接路由器知道她们LSDB已经同时。对OSPF而言,这意味着两台路由器已处于完全邻接状态。必需时,路由器将新LSA转发给其它邻接路由器,确保在整个区域内链路状态信息时完全同时。点到点串行链路上两台路由器之间建立完全邻接关系,它们使用封装类型通常是高级数据链路控制(HDLC)或点到点协议(PPP)。在LAN链路上,将选举一个指定路由器(DR)和一个备用指定路由器(BDR)。其它路由器全部和这两台路由器建立邻接关系,且只将LSA
20、通告给她们。DR从邻居那里收到更新后,将其转发给LAN上其它全部邻居。DR关键功效之一是确保同一个LAN中全部路由器LSDB全部相同。DR将其LSDB传输给新加入到链路中路由器。使LAN上全部路由器全部将相同信息传输给新加入路由器效率很低,所以让一台路由器对新加入LAN中路由器和区域中其它路由器代表LAN中其它路由器即可。DR和BDR路由器还维护和LAN上其它路由器直接按部分邻接关系(双向邻接状态),后者被称为DROTHER。链路状态信息是经过LSA进行交换,LSA也被称为链路状态协议数据单元(PDU)。2.2.2、BGPBGP(Border Gateway Protocol,边界网关协议)是
21、用来连接Internet上独立系统路由选择协议。它是Internet工程任务组制订一个加强、完善、可伸缩协议。BGP4支持CIDR寻址方案,该方案增加了Internet上可用IP地址数量。BGP是为替换最初外部网关协议EGP设计。它也被认为是一个路径矢量协议。 BGP(Border Gateway Protocol)是一个在自治系统之间动态交换路由信息路由协议。一个自治系统经典定义是在一个管理机构控制之下一组路由器,它使用IGP和一般度量值向其它自治系统转发报文。 在BGP中使用自治系统这个术语是为了强调这么一个事实:一个自治系统管理对于其它自治系统而言是提供一个统一内部选路计划,它为那些经过
22、它能够抵达网络提供了一个一致描述。BGP,边界网关协议,是自主网络系统中网关之间交换器路由信息协议。边界网关协议常常应用于互联网网关之间。路由表包含已知路由器列表、路由器能够达成地址和抵达每个路由器路径跳数。使用边界网关协议主机通常也使用传输控制协议(TCP)。当网络检测到某台主机发出改变时,就会发送新路由表。BGP-4,边界网关协议最新版本,许可网络管理员在策略描述下配置跳数规格。2.2.3、IS-IS中间系统到中间系统路由选择协议 (IS-IS:Intermediate System to Intermediate System Routing Protocol) 是由 ISO 提出一个路
23、由选择协议。它是一个链路状态协议。在该协议中,IS(路由器)负责交换基于链路开销路由信息并决定网络拓扑结构。IS-IS 类似于 TCP/IP 网络开放最短路径优先(OSPF)协议。ISO 网络包含了终端系统、中间系统、区域(Area)和域(Domain)。终端系统指用户设备,中间系统指路由器。路由器形成当地组称之为“区域”,多个区域组成一个“域”。IS-IS 被设计来提供域内或一个区域内路由。IS-IS和 CLNP、ES-IS 和 IDRP协议相结合,为整个网络提供完整路由选择。IS-IS 路由使用两层路由体系。Level 1 路由器只知道它们本区域中拓扑,包含全部路由器和主机,而不知道区域以
24、外路由器和目标地。Level 1 路由器将去往其它区域全部流量全部转发给本区域内一台 L1/2 路由器,再由该L1/2把流量转发给L2区域中L1/2路由器,再由L2区域中L1/2路由器转发给L2路由器,完成数据转发。每台路由器只能属于一个区域,区域边界在链路上。IS-IS使用LSP分组来更新LSDB,更新数据流量小于OSPFLSA更新LSDB。适合传送 IP 网络信息 IS-IS 称之为在综合IS-IS (Integrated IS-IS)。在目前路由选择协议中, Integrated IS-IS 含有最关键一个特征:它支持 VLSM 和快速收敛。另外它含有可伸缩性,能够支持大规模网络。IS-
25、IS 含有两种地址类型,一个是网络服务访问点(NSAP) NSAP 地址用来标识网络层服务,每种服务对应一个 NSAP 地址。 另一个是网络实体标题(NET) NET 地址用来标识网络层实体或过程,而不是服务。 每种设备可能不止含有一个地址,不过 NET 应该是唯一而且每个系统中 NSAP 系统 ID 部分也必需是唯一。2.3、VPN概况2.3.1、VPN定义VPN(Virtual Private Network),即虚拟专用网,是利用开放公众网络资源建立私有数据传输通道,将远程分支机构、商业伙伴、移动办公人员等连接起来,而且提供安全 端到端数据通信一个广域网技术。VPN有两层含义:它是“虚拟
26、”,即建立隧道或虚电路把不一样物理网络或设备连接起来,不再使用物理专线建立专用 网,而是将其建立在分布广泛公共网络上,如Internet;它是“专用”,对基于IPSecVPN而言,是一组连接闭适用户群(CVC),它不 仅含有服务质量(QoS)确保,而且更多地强调安全服务。VPN是企业网在公共网络上无缝延伸,VPN可将在不一样地点远程用户、分支机构和合作伙 伴等连接起来。2.3.2、VPN应用VPN根据应用大致可分为Intranet VPN及Extranet VPN和Remote access VPN三种。其基础用途就是提供企业分支机构和企业,企业用户和企业和企业内部,远端企业职员和企业安全点对
27、点通信。下面是多个常见VPN场所:(1) Intranet VPN是指在一个组织内部怎样安全地连接两个相互信任内联网,要求在企业和分支机构之间建立安全通信连接。这种应用模式需要做不仅是要防范外部入侵 者对企业内联网攻击,还要保护在因特网上传送敏感数据。(2) Extranet VPN是基于InternetVPN,虚拟专用网络支持远程访问用户以安全方法经过公共互联网络远程访问企业资源。Extranet VPN是Intranet VPN一个扩展,即经过因特网连接两台分别属于两个互不信任内部网络主机。它要求一个开放基于标准处理方案,方便处理企业和多种合作伙伴和用户 网络协同工作问题。(3) Remo
28、te Access VPN是指企业职员经过因特网远程拨号方法访问企业内联网而构筑VPN,通常也叫做远程拨号VPN。VPN技术这种应用替换了传统直接拨入内联网 远程访问方法,这么能够大大降低远程访问费用。2.3.3、现在多个关键VPN技术现在已经投入实际当中使用VPN技术包含IPSec VPN、SSL VPN、MPLS VPN。这三种VPN技术各有特色、各有所长。现在国外关键厂商对SSL VPN技术、MPLS VPN技术发展相对比较重视发展较快,不过现在应用最为广泛,技术最为成熟仍然是IPSec VPN技术。 IPSec协议是网络层协议, 是为保障IP通信而提供一系列协议族。SSL是套接层协议,
29、它是保障在Internet上基于Web通信安全而提供协议。以标签交换是作为底层转 发机制MPLS(Multi-Protocol Label Switching,多协议标识交换)VPN。(1) IPSec针对数据在经过公共网络时数据完整性、安全性和正当性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能 共同操作/使用、高品质、基于加密安全机制。提供包含存取控制、无连接数据完整性、数据源认证、预防重发攻击、基于加密数据机密性和受限数据流 机密性服务。(2) SSL用公钥加密经过SSL连接传输数据来工作。SSL是一个高层安全协议,建立在应用层上。SSL VPN使用S
30、SL协议和代理为终端用户提供HrrP、用户机/服务器和共享文件资源访问认证和访问安全SSL VPN传输用户层认证。确保只有经过安全策略认证用户能够访问指定资源。(3) MPLS是一个能够在多个第二层媒质上进行标识交换网络技术。不管什么格式数据均能够第三层路由在网络边缘实施,而在MPLS网络关键采取第二 层交换,能够用一句话概括MPLS特点:“边缘路由,关键交换”。2.4、MPLS技术MPLS(Multiprotocol Label Switching, 多协议标识交换)使用标签(Label)进行转发,一个标签是一个短、长度固定数值,由报文头部携带,不含拓扑信息,只有局部意义。MPLS包头结构以
31、下图所表示,包含20比特标签,3比特EXP(通常见作Cos),1比特S,用于标识此标签是否为最底层标签,8比特TTL。 MPLS能够看做是一个面向连接技术。经过MPLS信令(如LDP,Label Distribute Protocol,标签分配协议)建立好MPLS标识交换通道(Label Switched Path,简称LSP),数据转发时,在网络入口对报文进行分类,依据分类结果选择对应LSP,打上对应标签,中间路由器在收到MPLS报文以后直接依据MPLS报头标签进行转发,而不用再经过IP报文头IP地址查找。在LSP出口(或倒数第二跳),弹出MPLS标签,还原为IP包。2.4.1、MPLS功效
32、特征MPLS是一个交换机制,MPLS数据包交换过程包含了标签分析过程。标签中包含了LSR中数据包进行路径交换所需全部信息,负责转发操作设备能够进行标签查找和替换,但不一定能分析网络层头部或不能足够快地分析网络层头部。换句话说,LSR无需实施纯粹3层路由选择。和传统路由协议操作类似,标签通常全部以某种方法和目标网络保持一致,但有时标签也能够和其它内容(如3层VPN目标地,2层虚电路,出接口,QoS或源地址)等保持一致。这些内容全部能够在每台设备上灵活配置,这么做原因是MPLS并不仅仅用来转发IP包,当然,IP(和IPv6)是MPLS最关键应用之一。当数据包在路由器之间穿越时。每台路由器只要做出转
33、发决定、实施路径交换并将数据包传送到下一跳路由器即可。从本质上看,该过程类似于高速,高技术“传球”游戏,而该游戏只要基于数据包标签中所包含信息即可,无需考虑3层协议。MPLS技术设计者认为3层头部中包含信息远远多于实施转发操作所需要信息。设计MPLS想法是期望设计一个无无须要信息、且不和任何3层被路由协议相关3层路由协议,MPLS基础路由选择原理和其它路由选择协议完全一样。2.4.2、MPLS体系架构MPLS组件从基础构架角度来看,MPLS将传统路由选择机制划分为以下两部分。控制平面负责处理相邻设备路由选择和标签信息交换。数据平面依据目标地址或标签转发流量(也称为转发平面)。和传统路由协议相同
34、,MPLS也是一个基于目标地协议,MPLS标签功效就是将转发功效和包头中包含3层目标信息相分离。将标签和FEC绑定在一起以后,标签就称为一个很高效转发信息源。2.4.3、配置帧模式MPLSMPLS及其相关开销对路由器资源占用较大,在一个经典服务提供商模型中,需要路由器接收互联网全路由表,超出0条前缀。通常情况下,服务提供商网络需要运行ISIS(Intermediate System-to-Intermediate System,中间系统-中间系统)等IGP(Interior Gateway Protocol,内部网关协议)和BGP(Border Gateway Protocol,边界网关协议)
35、等EGP(Exterior Gateway Protocol,外部网关协议)路由协议。每种路由协议全部包含一定数量前缀,其中,BGP包含全部公共宣告前缀,而IGP则包含服务提供商网络内部目标地前缀。现在这些前缀数量已经达成了一个令人头疼数量。再加上CEF(CIsco Express Forwarding, Cisco快速转发)信息、MPLS所需FIB(Forwarding Information Base,转发信息库)、LIB(Label Information Base,标签信息库)和LFIB(Label Forwarding Information Base,标签转发信息库)和IGP,EG
36、P和MPLS所需邻接信息,使得路由器有些不堪重负了。通常情况下需要逐一端口地启用MPLS,当然也有全局启用命令,帧模式MPLS思绪就是在2层和3层头部信息之间增加标签增加4字节额外信息有可能会造成帧大小超出该接口所定义MTU,这么帧在穿过路由器时会被丢弃。第三章 企业MPLS VPN需求分析介绍3.1、企业网络搭建3.1.1、搭建企业网络目标在骨干网设备连接中,单一链路连接很轻易实现,但一个简单故障就会造成网络中止.所以在 实际网络组建过程中,为了保持网络稳定性,在多台交换机组成网络环境中,通常全部使用部分备份连接, 以提升网络健壮性、稳定性。这里备份连接也称为备份链路或冗余链路.备份链路之间
37、交换机常常相互连接,形成一个环路,经过环路能够在一定程度上实现冗余。链路冗余备份能为网络带来健壮性、稳定性和可靠性等好处,不过备份链路也会使网络存在环路, 环路问题是备份链路所面临最为严重问题,交换机之间环路将造成网络新问题发生以下问题:广播风暴;多帧复制;地址表不稳定。处理上述问题关键是采取快速生成树协议。一个企业网络内部数据尽可能比较平均从不一样网络设备上传输,预防因数据流量不平衡而引发数据堵塞等问题。所以,负载均衡对一个也网络来说是至关关键。总而言之,搭建一个企业网络总体要求是含有冗余和实现负载均衡。3.1.2、搭建企业网络常见技术1、交换机之间采取Trunk连接,同时使用以太信道技术,
38、将带宽较小链路捆绑成带宽较大链路,同时实现数据备份。2、将一台交换机配置成VTP server,另一台交换机配置成VTP client,在VTP server上集中管理企业交换网络vlan数据库。3、将不一样交换机不一样端口划分给不一样vlan,启用PVST,设置不一样vlan根网桥在不一样交换机上,而且不一样vlan数据流量尽可能经过不一样以太信道传输。4、确保交换机每个连接主机接口快速启用而且只连接一台计算机,假如违反该安全规则,则关闭该端口。但被关闭端口符合规则,则在30s后自动开启该端口。5、两台交换机开启三层功效,使用HSRP实现vlan网关负载冗余。6、配置企业网络内部交换机和路由
39、器,采取动态路由协议(如EIGRP),实现企业网络内部互联。7、配置企业网关,使得企业能够访问INTERNET。3.2、建立MPLS VPNMPLS VPN能够利用公用骨干网络强大传输能力,降低企业内部网络建设成本,极大地提升用户网络运行和管理灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带和方便性需要。现在,在基于IP网络中,MPLS含有很多优点:降低了成本;提升了资源利用率;提升了网络速度;提升了灵活性和可扩展性;方便用户;安全性高;业务综合能力强。 所以MPLS VPN适适用于含有以下显著特征企业:高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构,如网络企业
40、、IT企业、金融业、贸易行业、新闻机构等。企业网节点数较多,通常将达成几十个以上。而像城域网这么网络环境,业务类型多样、业务流向流量不确定,尤其适合使用MPLS。配置MPLS VPN,使网络能够提供MPLS VPN服务,并配置PE和CE路由协议,实现经过MPLS VPN业务实现企业网络内部相互访问。关键是实现以下工作:1、 服务提供商内部使用动态路由协议,实现网络互连;2、 使用LDP作为标签分发协议;3、 启用MP-BGP,为边缘路由器建立对等体关系;4、 配置PE和CE路由协议,实现企业内部网络相互访问。第四章 企业MPLS VPN设计及实现4.1、MPLS VPN总体设计本课题设计MPL
41、S VPN以下图所表示,共有两部分组成:搭建企业内部网络;在Internet上实现MPLS VPN。图4.1 企业MPLS VPN总体设计图4.2、搭建企业内部网络4.2.1、企业网络设计 为实现一个含有冗余和负载均衡网络,本课题设计以下:(1) 两台交换机间使用以太信道技术,将4根100M链路捆绑成2根200M链路(2) SW1为STP server,PC2在VLAN2中,PC3在VLAN3中(3) Vlan2根桥尽可能在SW1上,Vlan3根桥尽可能在SW2上,且vlan2流量尽可能走第一条以太信道,vlan3流量尽可能走第二条以太信道(4) 两台交换机开启三层功效,使用HSRP实现网关冗
42、余,vlan2主机默认以SW1为网关,vlan3主机默认以SW2为网关(5) 企业内部使用eigrp 101实现互联4.2.2、企业网络实现为实现我们设计,各台网络设备上配置以下:1、 SW1hostname SW1boot-start-markerboot-end-markerno logging consoleno aaa new-modelmemory-size iomem 5errdisable recovery interval 30ip cefno ip domain lookupspanning-tree portfast bpduguardinterface Port-chan
43、nel1 switchport mode trunk spanning-tree vlan 3 cost 15interface Port-channel2 switchport mode trunkinterface FastEthernet0/0interface FastEthernet0/1 switchport mode trunk channel-group 1 mode oninterface FastEthernet0/2 switchport mode trunk channel-group 1 mode oninterface FastEthernet0/3 switchp
44、ort mode trunk channel-group 2 mode oninterface FastEthernet0/4switchport mode trunkchannel-group 2 mode oninterface FastEthernet0/12 switchport access vlan 2 spanning-tree portfastinterface FastEthernet0/13 switchport access vlan 3 spanning-tree portfastinterface FastEthernet0/14interface FastEther
45、net0/15 no switchport ip address 172.21.1.1 255.255.255.0interface Vlan1 no ip addressinterface Vlan2 ip address 172.21.2.251 255.255.255.0 standby 2 ip 172.21.2.254 standby 2 priority 200 standby 2 preempt standby 2 track FastEthernet0/15 120interface Vlan3 ip address 172.21.3.251 255.255.255.0 sta
46、ndby 3 ip 172.21.3.254standby 3 preemptrouter eigrp 101 network 172.21.0.0 0.0.3.255 no auto-summaryip http serverip forward-protocol ndmac-address-table static 0000.0c07.ac02 interface FastEthernet0/1 vlan 2control-planegatekeeper shutdownline con 0 exec-timeout 0 0 logging synchronousline aux 0lin
47、e vty 0 4 loginend2、 SW2hostname SW2boot-start-markerboot-end-markerno aaa new-modelmemory-size iomem 5ip cefno ip domain lookupspanning-tree vlan 3 priority 32766interface Port-channel1 switchport mode trunkinterface Port-channel2 switchport mode trunkinterface FastEthernet0/0interface FastEthernet0/1 switchport mode trunk channel-group 1 mode oninterface FastEt
浙ICP备2021020529号-1 | 浙B2-20240490 
