年4月19日mplsvpn的設(shè)計(jì)與實(shí)現(xiàn)文檔僅供參考企業(yè)MPLSVPN的設(shè)計(jì)與實(shí)現(xiàn)摘要隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)使我們生活更加方便，工作效率大大提高。同時(shí)，人們對(duì)于網(wǎng)絡(luò)安全的要求也變得越來(lái)越高。VPN（虛擬局域網(wǎng)）作為一種新型的遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)技術(shù)，在近兩年內(nèi)受到企業(yè)用戶的廣泛關(guān)注。而作為VPN技術(shù)中最為重要的MPLSVPN當(dāng)前還是被公認(rèn)為最安全，應(yīng)用廣泛的VPN技術(shù)。VPN技術(shù)應(yīng)用日益廣泛，MPLS已成為實(shí)現(xiàn)VPN的一種主要方式。文章對(duì)VPN的基本概念，VPN的工作原理及MPLSVPN技術(shù)進(jìn)行了闡述，并設(shè)計(jì)公司內(nèi)部網(wǎng)的VPN實(shí)際解決方案。AbstractWiththerapiddevelopmentofNetwork,Usingnetworkmakesourlifemoreconvenientandmoreefficient.AVirtualPrivateNetwork(VPN),whichisanewtechniquetoaccesstheremotenetwork,hasbeenwidelyusedintherecentyears.MPLSVPN,themostimportanttechnique,hasbeenregardedasthemostsecureandusedone.MPLSVPNhasbeenthemainmethodtousetheVPNwiththewildlyusedofVPNtechnique.MyessaywillmainlyintroducetheconceptofVPN,thetheoryofVPN,andhowtousetheMPLSVPNtechnique.Atthesametime,IwillmakeasolutionabouttheMPLSVPNinarealenvironmentinthecompany.Keywords:VPN；MPLS目錄摘要 -1-第一章緒論 -1-1.1、課程的背景及意義 -1-1.2、MPLSVPN簡(jiǎn)介 -1-第二章相關(guān)技術(shù) -2-2.1、交換技術(shù)介紹 -2-2.1.1、VLAN介紹 -2-2.1.2、Ether-channel -2-2.1.3、快速生成樹(shù) -3-2.2、多種路由協(xié)議 -4-2.2.1、OSPF協(xié)議 -4-2.2.2、BGP -6-2.2.3、IS-IS -7-2.3、VPN概況 -8-2.3.1、VPN的定義 -8-2.3.2、VPN的應(yīng)用 -8-2.3.3、當(dāng)前幾種主要的VPN技術(shù) -9-2.4、MPLS技術(shù) -10-2.4.1、MPLS的功能特性 -10-2.4.2、MPLS體系架構(gòu) -11-2.4.3、配置幀模式MPLS -11-第三章企業(yè)MPLSVPN需求分析介紹 -13-3.1、企業(yè)網(wǎng)絡(luò)搭建 -13-3.1.1、搭建企業(yè)網(wǎng)絡(luò)的目標(biāo) -13-3.1.2、搭建企業(yè)網(wǎng)絡(luò)的常見(jiàn)技術(shù) -13-3.2、建立MPLSVPN -14-第四章企業(yè)MPLSVPN的設(shè)計(jì)及實(shí)現(xiàn) -15-4.1、MPLSVPN的總體設(shè)計(jì) -15-4.2、搭建企業(yè)內(nèi)部網(wǎng)絡(luò) -15-4.2.1、企業(yè)網(wǎng)絡(luò)設(shè)計(jì) -15-4.2.2、企業(yè)網(wǎng)絡(luò)實(shí)現(xiàn) -16-4.3、配置企業(yè)網(wǎng)關(guān) -19-4.4、配置MPLSVPN -23-第五章小結(jié) -29-5.1、架構(gòu)設(shè)計(jì)中的問(wèn)題 -29-5.2、總結(jié) -29-致謝 -31-參考文獻(xiàn) -32-第一章緒論1.1、課程的背景及意義如今是信息科技的時(shí)代，網(wǎng)絡(luò)使我們生活更加便捷，工作效率大大提高。同時(shí)在工作中，公司們對(duì)于網(wǎng)絡(luò)的要求也隨之變得越來(lái)越高。當(dāng)一個(gè)集團(tuán)公司在全球開(kāi)設(shè)分公司，并要求信息共享時(shí)，網(wǎng)絡(luò)信息傳輸安全變成了一個(gè)不得不面正確問(wèn)題。而MPLSVPN就是如今應(yīng)用最廣泛的網(wǎng)絡(luò)信息傳輸安全技術(shù)之一。它不但不需要公司支付額外而高昂的費(fèi)用，同時(shí)，只需對(duì)思科或者華為技術(shù)略有了解的技術(shù)員都能夠簡(jiǎn)單而數(shù)量的上手，這樣也就避免了未來(lái)在使用中產(chǎn)生的維護(hù)困難的問(wèn)題。現(xiàn)經(jīng)過(guò)此論文，我將介紹MPLSVPN技術(shù)的原理，配置以及在現(xiàn)實(shí)工作環(huán)境中的應(yīng)用。經(jīng)過(guò)此技術(shù)的應(yīng)用，公司內(nèi)部的網(wǎng)絡(luò)安全將變得比以往任何時(shí)刻都更安全，更簡(jiǎn)便，更快捷。1.2、MPLSVPN簡(jiǎn)介MPLSVPN（MultiprotocolLabelSwitching)是一種新的WAN技術(shù)基于MPLS技術(shù)的IP-VPN，其體系架構(gòu)定義在RFC3031之中。MPLSVPN是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN），可用來(lái)構(gòu)造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。 第二章相關(guān)技術(shù)2.1、交換技術(shù)介紹2.1.1、VLAN介紹VLAN（VirtualLAN，虛擬局域網(wǎng)）是擁有一組共同要求且與物理位置無(wú)關(guān)的終端設(shè)備的邏輯組。大型平面網(wǎng)絡(luò)一般包括非常多的終端設(shè)備，而廣播和未知的單播數(shù)據(jù)包將擴(kuò)散到網(wǎng)絡(luò)中的全部端口。使用VlAN的優(yōu)勢(shì)之一就是具有對(duì)第二層廣播域分段的功能，單個(gè)VLAN中的全部設(shè)備都屬于相同的廣播域。如果終端設(shè)備發(fā)送第二層廣播，那么VLAN中的其它全部成員都將收到該廣播。如果端口或設(shè)備不屬于相同的VLAN，那么交換機(jī)將過(guò)濾這些廣播。盡管交換機(jī)不能在VLAN之間傳播第二層廣播，但VLAN與物理子網(wǎng)存在輕微的差別。物理子網(wǎng)由相同物理電纜分段中的設(shè)備所組成；邏輯子網(wǎng)由相互通信且與物理位置無(wú)關(guān)的設(shè)備所組成?；谏鲜鲈?，VLAN是一種邏輯子網(wǎng)，而且其中終端設(shè)備的連接不受物理位置的直接限制。取而代之的是交換機(jī)的配置能夠限制VLAN之間的連通。進(jìn)一步而言，VLAN能夠存在于交換網(wǎng)絡(luò)中的任何位置。因?yàn)閂LAN是一個(gè)單獨(dú)的廣播域，因此VLAN一般屬于某個(gè)ip的子網(wǎng)。為了能夠在VLAN之間通信，數(shù)據(jù)包必須經(jīng)過(guò)路由器或者第三層設(shè)備。端到端VLAN是能夠擴(kuò)展到整個(gè)網(wǎng)絡(luò)的VLAN。本地VLAN是局限于特定域的VLAN，例如建筑物接入子模塊交換機(jī)及其各自的建筑物分布子模塊。端到端VLAN可能跨越幾個(gè)配線間，甚至可能跨越幾個(gè)建筑物。端到端VLAN一般與工作組相關(guān)聯(lián)，例如部門或項(xiàng)目團(tuán)隊(duì)。2.1.2、Ether-channel一般情況下，以太網(wǎng)端口設(shè)備能夠?qū)崿F(xiàn)交換機(jī)的互聯(lián)，進(jìn)而使得連接到一臺(tái)交換機(jī)的設(shè)備能夠向連接到其它交換機(jī)設(shè)備傳送數(shù)據(jù)幀。以太網(wǎng)的工作速度能夠是10Mbit/s、100Mbit/s、1000Mbit/s、或者10Gbit/s。伴隨著對(duì)更高帶寬需求的不斷增長(zhǎng)，管理員正在尋找替代方法來(lái)增加兩臺(tái)設(shè)備之間的可用流量帶寬。在大多數(shù)情況下，雖然我們能夠選擇更高帶寬的端口類型作為增加網(wǎng)絡(luò)帶寬的方法，但因?yàn)橐黾痈嗟某杀荆虼怂⒉豢偸强尚械?。?jīng)過(guò)多個(gè)端口進(jìn)行綁定，EtherChannel充分利用現(xiàn)有的端口優(yōu)勢(shì)來(lái)增加可用帶寬。在連接設(shè)備失效的情況下，經(jīng)過(guò)采用其它未失效的鏈路來(lái)維護(hù)連接，EtherChannel能夠提供冗余。如果端口屬于相同的模塊，因?yàn)橹挥惺ф溌分姓趥鬏數(shù)膸粊G失，因此不會(huì)造成明顯的連接損失。2.1.3、快速生成樹(shù)要說(shuō)明快速生成樹(shù)（RSTP）協(xié)議首先要明白生成樹(shù)協(xié)議（STP），交換機(jī)的基本STP功能相當(dāng)于一個(gè)透明的網(wǎng)橋。經(jīng)過(guò)在端口上偵聽(tīng)數(shù)據(jù)幀中的源MAC地址，網(wǎng)橋能夠?qū)W習(xí)到其它設(shè)備的MAC地址。隨后，網(wǎng)橋就建立一張MAC地址表，該表能夠指明特定端口所學(xué)到的MAC地址，交換機(jī)再使用該表且根據(jù)目標(biāo)MAC地址進(jìn)行幀轉(zhuǎn)發(fā)。對(duì)于具有目標(biāo)多播或者廣播MAC地址的數(shù)據(jù)包，網(wǎng)橋必須將它們轉(zhuǎn)發(fā)到除最初接收廣播的端口之外的所有其它端口；這個(gè)過(guò)程也稱為“擴(kuò)散”。擴(kuò)散多播幀的例外是使用多播的特性，例如IGMP監(jiān)聽(tīng)。如果一個(gè)數(shù)據(jù)幀的目標(biāo)MAC地址是未知的，那么網(wǎng)橋會(huì)將這個(gè)幀轉(zhuǎn)發(fā)到除接收該幀的端口之外的所有其它端口。對(duì)于具有未知目標(biāo)MAC地址的幀，它也被稱作“未知單播數(shù)據(jù)包”。透明橋?qū)τ谒B接的第二層和上層協(xié)議的設(shè)備來(lái)說(shuō)應(yīng)該是透明的。當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變更的時(shí)候，快速生成樹(shù)協(xié)議（802.1w，也簡(jiǎn)稱為RSTP）能夠顯著加快重新計(jì)算生成樹(shù)的速度。RSTP不但定義了其它端口角色：替代端口，備份端口，而且還定義了三種端口的狀態(tài)：丟棄狀態(tài)，學(xué)習(xí)狀態(tài)，轉(zhuǎn)發(fā)狀態(tài)。IEEE802.1w標(biāo)準(zhǔn)（RSTP）是802.1d標(biāo)準(zhǔn)的一種進(jìn)化，而不是一種革命。802.1d術(shù)語(yǔ)依然保留了相同的大部分參數(shù)，而且未作任何修改，因此對(duì)于熟悉802.1d標(biāo)準(zhǔn)的用戶，能夠在配置新協(xié)議的時(shí)候找到熟悉的感覺(jué)。在大多數(shù)的情況下，RSTP能夠比CISCO專有擴(kuò)展執(zhí)行的更好，而且?guī)缀醪恍枰龀鲱~外的配置。2.2、多種路由協(xié)議2.2.1、OSPF協(xié)議1、OSPF協(xié)議簡(jiǎn)介路由選擇協(xié)議開(kāi)放最短路徑優(yōu)先（OSPF），它是IP網(wǎng)絡(luò)中最常見(jiàn)的內(nèi)部網(wǎng)關(guān)協(xié)議之一。OSPF是一種基于請(qǐng)求評(píng)論（RFC）2328的開(kāi)放標(biāo)準(zhǔn)協(xié)議，它非常復(fù)雜，涉及多種協(xié)議的握手，數(shù)據(jù)庫(kù)通告和分組類型。首先OSPF是一種鏈路狀態(tài)路由選擇協(xié)議，它的主要特征涉及到區(qū)域結(jié)構(gòu)，鏈路狀態(tài)鄰接關(guān)系，最短路徑優(yōu)先（SPF）算法和鏈路狀態(tài)數(shù)據(jù)的結(jié)構(gòu)。為克服距離矢量路由選擇協(xié)議的缺點(diǎn)，開(kāi)發(fā)了鏈路狀態(tài)路由選擇協(xié)議。鏈路狀態(tài)路由選擇協(xié)議具有如下特征：快速適應(yīng)網(wǎng)絡(luò)變化在網(wǎng)絡(luò)發(fā)生變化時(shí)，發(fā)送觸發(fā)更新。以較低的頻率（如每隔30分鐘）發(fā)送定期更新，這被稱作鏈路狀態(tài)刷新。鏈路狀態(tài)路由選擇協(xié)議僅在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)，才生成路由選擇更新。鏈路的狀態(tài)發(fā)生變化后，檢測(cè)到變化的設(shè)備將生成一個(gè)針對(duì)該鏈路的鏈路狀態(tài)通告（LSA)，使用一個(gè)特殊的組播地址，將LSA傳播給所有的鄰接設(shè)備。每臺(tái)路由選擇設(shè)備都將得到一個(gè)LSA拷貝，據(jù)此更新其鏈路狀態(tài)數(shù)據(jù)庫(kù)（LSDB)，并將LSA轉(zhuǎn)發(fā)給區(qū)域內(nèi)的所有臨界設(shè)備。這種LSA擴(kuò)散確保所有路由選擇設(shè)備都更新其數(shù)據(jù)庫(kù)，然后更新路由選擇表以反映新的拓?fù)?。LSDB被用來(lái)計(jì)算最佳路徑。鏈路狀態(tài)路由器對(duì)LSDB應(yīng)用Dijkstra算法（也稱SPF)算法，以建立SPF樹(shù)，進(jìn)而選擇前往目的地的最佳路徑。每臺(tái)路由器都從其SPF樹(shù)中選擇最佳路徑，然后將其加入到路由選擇表中。鏈路狀態(tài)路由選擇協(xié)議從網(wǎng)絡(luò)或者網(wǎng)絡(luò)的指定區(qū)域內(nèi)的所有路由器那里收集路由選擇信息，然后每臺(tái)路由器都使用Dijkstar（SPF)算法分別計(jì)算其前往網(wǎng)絡(luò)中各個(gè)目的地的最佳路徑。來(lái)自某臺(tái)路由器的錯(cuò)誤信息導(dǎo)致混亂的可能性較低，因?yàn)槊颗_(tái)路由器都有其對(duì)網(wǎng)絡(luò)的認(rèn)識(shí)。為確保網(wǎng)絡(luò)中的所有路由器做出一致的路由選擇決策，每臺(tái)路由器都必須記錄下述信息。直接相連的鄰接路由器，失去與鄰接路由器的聯(lián)系后，路由器將在幾秒鐘之內(nèi)將該鄰居提供的所有路徑作廢，并重新計(jì)算路徑。在OSPF中，有關(guān)鄰居的信息存儲(chǔ)在鄰居表中，這個(gè)表也被稱作鄰接關(guān)系數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)或區(qū)域內(nèi)的其它路由器及其連接的網(wǎng)絡(luò)：路由器經(jīng)過(guò)LSA來(lái)獲悉其它路由器和網(wǎng)絡(luò)，LSA被擴(kuò)散到整個(gè)網(wǎng)絡(luò)，它儲(chǔ)存在拓?fù)浔砘驍?shù)據(jù)庫(kù)中（也叫LSDB)中。每臺(tái)路由器都是用Dijkstra（SPF)算法獨(dú)立地計(jì)算前往網(wǎng)路中每個(gè)目的地的最佳路徑。所有路徑都存儲(chǔ)在LSDB中。最佳路徑被加入到路由選擇表（也叫轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)）中。路由器收到分組后，將根據(jù)路由選擇表中的信息對(duì)其及進(jìn)行轉(zhuǎn)發(fā)。2、OSPF區(qū)域結(jié)構(gòu)在小型網(wǎng)絡(luò)中，路由器鏈路組成的結(jié)構(gòu)并不復(fù)雜，很容易確定前往各個(gè)目的地的路徑。然而，在大型網(wǎng)絡(luò)中，路由器鏈路組成的結(jié)構(gòu)復(fù)雜，前往每個(gè)目的地的潛在路徑為數(shù)眾多，因此，對(duì)所有可能的路由進(jìn)行比較的SPF算法非常復(fù)雜，需要很長(zhǎng)的時(shí)間。鏈路狀態(tài)路由選擇協(xié)議一般將網(wǎng)絡(luò)劃分成區(qū)域，以減少SPF算法的計(jì)算量。區(qū)域內(nèi)的路由器數(shù)量以及在區(qū)域內(nèi)擴(kuò)散的LSA數(shù)量較少，這意味著區(qū)域內(nèi)的鏈路狀態(tài)數(shù)據(jù)庫(kù)（拓?fù)鋽?shù)據(jù)庫(kù)）較小。其結(jié)果是，SPF算法的計(jì)算量更小，需要的時(shí)間更短。OSPF使用包含兩層的層次區(qū)域結(jié)構(gòu)：中轉(zhuǎn)區(qū)域：主要功能為快速，高效地傳輸IP分組的OSPF區(qū)域。中轉(zhuǎn)區(qū)域?qū)⑵渌愋偷腛SPF區(qū)域連接起來(lái)，一般，中轉(zhuǎn)區(qū)域中沒(méi)有終端用戶。根據(jù)定義，OSPF區(qū)域0（也叫做主干區(qū)域）為中轉(zhuǎn)區(qū)域。常規(guī)區(qū)域：主要功能連接用戶和資源的OSPF區(qū)域。常規(guī)區(qū)域一般是根據(jù)職能或地理位置劃分的。默認(rèn)情況下，常規(guī)區(qū)域不允許另一個(gè)區(qū)域使用其連接將數(shù)據(jù)流傳輸?shù)狡渌鼌^(qū)域來(lái)自其它區(qū)域的所有數(shù)據(jù)流都必須經(jīng)過(guò)中轉(zhuǎn)區(qū)域（如區(qū)域0）。不允許數(shù)據(jù)流穿過(guò)的區(qū)域被稱作常規(guī)區(qū)域（非主干區(qū)域）。常規(guī)區(qū)域又分幾類，包括標(biāo)準(zhǔn)區(qū)域，末節(jié)區(qū)域，絕對(duì)末節(jié)區(qū)域和次末節(jié)區(qū)域。OSPF采用嚴(yán)格的兩層區(qū)域結(jié)構(gòu)。網(wǎng)絡(luò)的底層物理連接必須與兩層區(qū)域結(jié)構(gòu)相匹配，即所有非主干區(qū)域都直接與區(qū)域0相連。3、OSPF鄰接關(guān)系運(yùn)行鏈路狀態(tài)路由選擇協(xié)議的路由器必須首先與選定的鄰接路由器建立鄰接關(guān)系，這是經(jīng)過(guò)與鄰接路由器交換Hello分組來(lái)實(shí)現(xiàn)的。大致而言，路由器建立鄰接關(guān)系的過(guò)程如下：路由器將Hello分組發(fā)送給鄰接路由器，并接收來(lái)自鄰接路由器的Hello分組。Hello分組的目標(biāo)地址一般是組播地址。路由器經(jīng)過(guò)交換Hello分組來(lái)獲悉協(xié)議特定的參數(shù)，如檢查鄰居是否位于同一個(gè)區(qū)域中，Hello間隔是否相等。交換玩Hello分組后，路由器宣稱鄰居處于正常運(yùn)行狀態(tài)。兩臺(tái)路由器使用Hello分組建立鄰接關(guān)系后，它們經(jīng)過(guò)交換LSA來(lái)同步LSDB，并確認(rèn)已收到鄰接路由器的LSA。至此，兩臺(tái)鄰接路由器知道她們的LSDB已經(jīng)同步。對(duì)OSPF而言，這意味著兩臺(tái)路由器已處于完全鄰接狀態(tài)。必要時(shí)，路由器將新的LSA轉(zhuǎn)發(fā)給其它鄰接路由器，確保在整個(gè)區(qū)域內(nèi)鏈路狀態(tài)信息時(shí)完全同步的。點(diǎn)到點(diǎn)串行鏈路上的兩臺(tái)路由器之間建立完全鄰接的關(guān)系，它們使用的封裝類型一般是高級(jí)數(shù)據(jù)鏈路控制（HDLC)或點(diǎn)到點(diǎn)協(xié)議（PPP)。在LAN鏈路上，將選舉一個(gè)指定路由器（DR)和一個(gè)備用指定路由器（BDR)。其它的路由器都與這兩臺(tái)路由器建立鄰接關(guān)系，且只將LSA通告給她們。DR從鄰居那里收到更新后，將其轉(zhuǎn)發(fā)給LAN上的其它所有鄰居。DR的主要功能之一是確保同一個(gè)LAN中所有路由器的LSDB都相同。DR將其LSDB傳遞給新加入到鏈路中的路由器。使LAN上所有路由器都將相同的信息傳遞給新加入路由器的效率非常低，因此讓一臺(tái)路由器對(duì)新加入LAN中的路由器和區(qū)域中的其它路由器代表LAN中的其它路由器即可。DR和BDR路由器還維護(hù)與LAN上的其它路由器直接按的部分鄰接關(guān)系（雙向鄰接狀態(tài)），后者被稱為DROTHER。鏈路狀態(tài)信息是經(jīng)過(guò)LSA進(jìn)行交換的，LSA也被稱為鏈路狀態(tài)協(xié)議數(shù)據(jù)單元（PDU)。2.2.2、BGPBGP（BorderGatewayProtocol，邊界網(wǎng)關(guān)協(xié)議）是用來(lái)連接Internet上的獨(dú)立系統(tǒng)的路由選擇協(xié)議。它是Internet工程任務(wù)組制定的一個(gè)加強(qiáng)的、完善的、可伸縮的協(xié)議。BGP4支持CIDR尋址方案，該方案增加了Internet上的可用IP地址數(shù)量。BGP是為取代最初的外部網(wǎng)關(guān)協(xié)議EGP設(shè)計(jì)的。它也被認(rèn)為是一個(gè)路徑矢量協(xié)議。BGP(BorderGatewayProtocol)是一種在自治系統(tǒng)之間動(dòng)態(tài)交換路由信息的路由協(xié)議。一個(gè)自治系統(tǒng)的經(jīng)典定義是在一個(gè)管理機(jī)構(gòu)控制之下的一組路由器，它使用IGP和普通度量值向其它自治系統(tǒng)轉(zhuǎn)發(fā)報(bào)文。在BGP中使用自治系統(tǒng)這個(gè)術(shù)語(yǔ)是為了強(qiáng)調(diào)這樣一個(gè)事實(shí)：一個(gè)自治系統(tǒng)的管理對(duì)于其它自治系統(tǒng)而言是提供一個(gè)統(tǒng)一的內(nèi)部選路計(jì)劃，它為那些經(jīng)過(guò)它能夠到達(dá)的網(wǎng)絡(luò)提供了一個(gè)一致的描述。BGP,邊界網(wǎng)關(guān)協(xié)議，是自主網(wǎng)絡(luò)系統(tǒng)中網(wǎng)關(guān)之間交換器路由信息的協(xié)議。邊界網(wǎng)關(guān)協(xié)議常常應(yīng)用于互聯(lián)網(wǎng)的網(wǎng)關(guān)之間。路由表包含已知路由器的列表、路由器能夠達(dá)到的地址以及到達(dá)每個(gè)路由器的路徑的跳數(shù)。使用邊界網(wǎng)關(guān)協(xié)議的主機(jī)一般也使用傳輸控制協(xié)議（TCP）。當(dāng)網(wǎng)絡(luò)檢測(cè)到某臺(tái)主機(jī)發(fā)出變化時(shí)，就會(huì)發(fā)送新的路由表。BGP-4，邊界網(wǎng)關(guān)協(xié)議的最新版本，允許網(wǎng)絡(luò)管理員在策略描述下配置跳數(shù)的規(guī)格。2.2.3、IS-IS中間系統(tǒng)到中間系統(tǒng)的路由選擇協(xié)議（IS-IS：IntermediateSystemtoIntermediateSystemRoutingProtocol）是由ISO提出的一種路由選擇協(xié)議。它是一種鏈路狀態(tài)協(xié)議。在該協(xié)議中，IS（路由器）負(fù)責(zé)交換基于鏈路開(kāi)銷的路由信息并決定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。IS-IS類似于TCP/IP網(wǎng)絡(luò)的開(kāi)放最短路徑優(yōu)先（OSPF）協(xié)議。ISO網(wǎng)絡(luò)包含了終端系統(tǒng)、中間系統(tǒng)、區(qū)域（Area）和域（Domain）。終端系統(tǒng)指用戶設(shè)備，中間系統(tǒng)指路由器。路由器形成的本地組稱之為“區(qū)域”，多個(gè)區(qū)域組成一個(gè)“域”。IS-IS被設(shè)計(jì)來(lái)提供域內(nèi)或一個(gè)區(qū)域內(nèi)的路由。IS-IS與CLNP、ES-IS和IDRP協(xié)議相結(jié)合，為整個(gè)網(wǎng)絡(luò)提供完整的路由選擇。IS-IS路由使用兩層路由體系。Level1路由器只知道它們本區(qū)域中的拓?fù)?，包括所有的路由器和主機(jī)，而不知道區(qū)域以外的路由器以及目的地。Level1路由器將去往其它區(qū)域的所有流量都轉(zhuǎn)發(fā)給本區(qū)域內(nèi)的一臺(tái)L1/2路由器，再由該L1/2把流量轉(zhuǎn)發(fā)給L2區(qū)域中的L1/2路由器，再由L2區(qū)域中的L1/2路由器轉(zhuǎn)發(fā)給L2路由器，完成數(shù)據(jù)轉(zhuǎn)發(fā)。每臺(tái)路由器只能屬于一個(gè)區(qū)域，區(qū)域邊界在鏈路上。IS-IS使用LSP分組來(lái)更新LSDB，更新數(shù)據(jù)流量小于OSPF的LSA更新LSDB。適合傳送IP網(wǎng)絡(luò)信息的IS-IS稱之為在綜合IS-IS（IntegratedIS-IS）。在當(dāng)前路由選擇協(xié)議中，IntegratedIS-IS具有最重要的一個(gè)特征：它支持VLSM和快速收斂。另外它具有可伸縮性，能夠支持大規(guī)模網(wǎng)絡(luò)。IS-IS具有兩種地址類型，一種是網(wǎng)絡(luò)服務(wù)訪問(wèn)點(diǎn)（NSAP）–NSAP地址用來(lái)標(biāo)識(shí)網(wǎng)絡(luò)層服務(wù)，每種服務(wù)對(duì)應(yīng)一個(gè)NSAP地址。另一種是網(wǎng)絡(luò)實(shí)體標(biāo)題（NET）–NET地址用來(lái)標(biāo)識(shí)網(wǎng)絡(luò)層實(shí)體或過(guò)程，而不是服務(wù)。每種設(shè)備可能不止含有一個(gè)地址，可是NET應(yīng)該是唯一的而且每個(gè)系統(tǒng)中NSAP的系統(tǒng)ID部分也必須是唯一的。2.3、VPN概況2.3.1、VPN的定義VPN（VirtualPrivateNetwork），即虛擬專用網(wǎng)，是利用開(kāi)放的公眾網(wǎng)絡(luò)資源建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公人員等連接起來(lái)，而且提供安全的端到端的數(shù)據(jù)通信的一種廣域網(wǎng)技術(shù)。VPN有兩層含義：它是“虛擬的”，即建立隧道或虛電路把不同的物理網(wǎng)絡(luò)或設(shè)備連接起來(lái)，不再使用物理的專線建立專用網(wǎng)，而是將其建立在分布廣泛的公共網(wǎng)絡(luò)上，如Internet；它是“專用的”，對(duì)基于IPSec的VPN而言，是一組連接的閉合用戶群（CVC），它不僅具有服務(wù)質(zhì)量（QoS）的保證，而且更多地強(qiáng)調(diào)安全服務(wù)。VPN是企業(yè)網(wǎng)在公共網(wǎng)絡(luò)上的無(wú)縫延伸，VPN可將位于不同地點(diǎn)的遠(yuǎn)程用戶、分支機(jī)構(gòu)和合作伙伴等連接起來(lái)。2.3.2、VPN的應(yīng)用VPN按照應(yīng)用大致可分為IntranetVPN及ExtranetVPN以及RemoteaccessVPN三種。其基本用途就是提供企業(yè)分支機(jī)構(gòu)和企業(yè)，企業(yè)客戶和企業(yè)以及企業(yè)內(nèi)部的，遠(yuǎn)端企業(yè)員工與企業(yè)安全的點(diǎn)對(duì)點(diǎn)通信。下面是幾種常見(jiàn)VPN的場(chǎng)合：(1)IntranetVPN是指在一個(gè)組織內(nèi)部如何安全地連接兩個(gè)相互信任的內(nèi)聯(lián)網(wǎng)，要求在公司與分支機(jī)構(gòu)之間建立安全的通信連接。這種應(yīng)用模式需要做的不但是要防范外部入侵者對(duì)企業(yè)內(nèi)聯(lián)網(wǎng)的攻擊，還要保護(hù)在因特網(wǎng)上傳送的敏感數(shù)據(jù)。(2)ExtranetVPN是基于Internet的VPN，虛擬專用網(wǎng)絡(luò)支持遠(yuǎn)程訪問(wèn)客戶以安全的方式經(jīng)過(guò)公共互聯(lián)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)企業(yè)資源。ExtranetVPN是IntranetVPN的一個(gè)擴(kuò)展，即經(jīng)過(guò)因特網(wǎng)連接兩臺(tái)分別屬于兩個(gè)互不信任的內(nèi)部網(wǎng)絡(luò)的主機(jī)。它要求一個(gè)開(kāi)放的基于標(biāo)準(zhǔn)的解決方案，以便解決企業(yè)與各種合作伙伴和客戶網(wǎng)絡(luò)的協(xié)同工作問(wèn)題。(3)Remote

Access

VPN是指企業(yè)員工經(jīng)過(guò)因特網(wǎng)遠(yuǎn)程撥號(hào)的方式訪問(wèn)企業(yè)內(nèi)聯(lián)網(wǎng)而構(gòu)筑的VPN，一般也叫做遠(yuǎn)程撥號(hào)VPN。VPN技術(shù)的這種應(yīng)用代替了傳統(tǒng)的直接撥入內(nèi)聯(lián)網(wǎng)的遠(yuǎn)程訪問(wèn)方式，這樣能夠大大降低遠(yuǎn)程訪問(wèn)的費(fèi)用。2.3.3、當(dāng)前幾種主要的VPN技術(shù)當(dāng)前已經(jīng)投入實(shí)際當(dāng)中使用的VPN技術(shù)包括IPSecVPN、SSLVPN、MPLSVPN。這三種VPN技術(shù)各有特色、各有所長(zhǎng)。當(dāng)前國(guó)外主要廠商對(duì)SSLVPN技術(shù)、MPLSVPN技術(shù)發(fā)展相對(duì)比較重視發(fā)展較快，可是當(dāng)前應(yīng)用最為廣泛，技術(shù)最為成熟的依然是IPSecVPN技術(shù)?！PSec協(xié)議是網(wǎng)絡(luò)層協(xié)議,是為保障IP通信而提供的一系列協(xié)議族。SSL是套接層協(xié)議，它是保障在Internet上基于Web的通信的安全而提供的協(xié)議。以標(biāo)簽交換是作為底層轉(zhuǎn)發(fā)機(jī)制的MPLS（Multi-ProtocolLabelSwitching，多協(xié)議標(biāo)記交換）VPN。(1)IPSec針對(duì)數(shù)據(jù)在經(jīng)過(guò)公共網(wǎng)絡(luò)時(shí)的數(shù)據(jù)完整性、安全性和合法性等問(wèn)題設(shè)計(jì)了一整套隧道、加密和認(rèn)證方案。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機(jī)制。提供包括存取控制、無(wú)連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機(jī)密性和受限數(shù)據(jù)流的機(jī)密性服務(wù)。(2)SSL用公鑰加密經(jīng)過(guò)SSL連接傳輸?shù)臄?shù)據(jù)來(lái)工作。SSL是一種高層安全協(xié)議，建立在應(yīng)用層上。SSLVPN使用SSL協(xié)議和代理為終端用戶提供HrrP、客戶機(jī)/服務(wù)器和共享的文件資源的訪問(wèn)認(rèn)證和訪問(wèn)安全SSLVPN傳遞用戶層的認(rèn)證。確保只有經(jīng)過(guò)安全策略認(rèn)證的用戶能夠訪問(wèn)指定的資源。(3)MPLS是一個(gè)能夠在多種第二層媒質(zhì)上進(jìn)行標(biāo)記交換的網(wǎng)絡(luò)技術(shù)。不論什么格式的數(shù)據(jù)均能夠第三層的路由在網(wǎng)絡(luò)的邊緣實(shí)施，而在MPLS的網(wǎng)絡(luò)核心采用第二層交換，能夠用一句話概括MPLS的特點(diǎn)：“邊緣路由，核心交換”。2.4、MPLS技術(shù)MPLS(MultiprotocolLabelSwitching,多協(xié)議標(biāo)記交換)使用標(biāo)簽(Label)進(jìn)行轉(zhuǎn)發(fā)，一個(gè)標(biāo)簽是一個(gè)短的、長(zhǎng)度固定的數(shù)值，由報(bào)文的頭部攜帶，不含拓?fù)湫畔?，只有局部意義。MPLS包頭的結(jié)構(gòu)如下圖所示，包含20比特的標(biāo)簽，3比特的EXP(一般見(jiàn)作Cos)，1比特的S，用于標(biāo)識(shí)此標(biāo)簽是否為最底層標(biāo)簽，8比特的TTL。MPLS能夠看做是一種面向連接的技術(shù)。經(jīng)過(guò)MPLS信令(如LDP，LabelDistributeProtocol，標(biāo)簽分配協(xié)議)建立好MPLS標(biāo)記交換通道(LabelSwitchedPath，簡(jiǎn)稱LSP），數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，在網(wǎng)絡(luò)入口對(duì)報(bào)文進(jìn)行分類，根據(jù)分類結(jié)果選擇相應(yīng)的LSP，打上相應(yīng)的標(biāo)簽，中間路由器在收到MPLS報(bào)文以后直接根據(jù)MPLS報(bào)頭的標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)，而不用再經(jīng)過(guò)IP報(bào)文頭的IP地址查找。在LSP出口（或倒數(shù)第二跳），彈出MPLS標(biāo)簽，還原為IP包。2.4.1、MPLS的功能特性MPLS是一種交換機(jī)制，MPLS數(shù)據(jù)包的交換過(guò)程包括了標(biāo)簽的分析過(guò)程。標(biāo)簽中包含了LSR中的數(shù)據(jù)包進(jìn)行路徑交換所需的所有信息，負(fù)責(zé)轉(zhuǎn)發(fā)操作的設(shè)備能夠進(jìn)行標(biāo)簽的查找和替換，但不一定能分析網(wǎng)絡(luò)層頭部或不能足夠快地分析網(wǎng)絡(luò)層頭部。換句話說(shuō)，LSR無(wú)需執(zhí)行純粹的3層路由選擇。與傳統(tǒng)的路由協(xié)議的操作類似，標(biāo)簽一般都以某種方式與目的網(wǎng)絡(luò)保持一致，但有時(shí)標(biāo)簽也能夠與其它內(nèi)容（如3層VPN的目的地，2層虛電路，出接口，QoS或源地址）等保持一致。這些內(nèi)容都能夠在每臺(tái)設(shè)備上靈活配置，這樣做的原因是MPLS并不但僅用來(lái)轉(zhuǎn)發(fā)IP包，當(dāng)然，IP（以及IPv6）是MPLS最主要的應(yīng)用之一。當(dāng)數(shù)據(jù)包在路由器之間穿越時(shí)。每臺(tái)路由器只要做出轉(zhuǎn)發(fā)的決定、執(zhí)行路徑交換并將數(shù)據(jù)包傳送到下一跳路由器即可。從本質(zhì)上看，該過(guò)程類似于高速，高技術(shù)的“傳球”游戲，而該游戲只要基于數(shù)據(jù)包的標(biāo)簽中所包含的信息即可，無(wú)需考慮3層協(xié)議。MPLS技術(shù)的設(shè)計(jì)者認(rèn)為3層頭部中包含的信息遠(yuǎn)遠(yuǎn)多于執(zhí)行轉(zhuǎn)發(fā)操作所需要的信息。設(shè)計(jì)MPLS的想法是希望設(shè)計(jì)一種無(wú)不必要的信息、且不與任何3層被路由協(xié)議相關(guān)的3層路由協(xié)議，MPLS的基本路由選擇原理與其它路由選擇協(xié)議完全一樣。2.4.2、MPLS體系架構(gòu)MPLS組件

從基礎(chǔ)構(gòu)架的角度來(lái)看，MPLS將傳統(tǒng)的路由選擇機(jī)制劃分為以下兩部分?？刂破矫妗?fù)責(zé)處理相鄰設(shè)備的路由選擇和標(biāo)簽信息的交換。數(shù)據(jù)平面——根據(jù)目的地址或標(biāo)簽轉(zhuǎn)發(fā)流量（也稱為轉(zhuǎn)發(fā)平面）。與傳統(tǒng)的路由協(xié)議相似，MPLS也是一種基于目的地的協(xié)議，MPLS標(biāo)簽的功能就是將轉(zhuǎn)發(fā)功能與包頭中包含的3層目的信息相分離。將標(biāo)簽與FEC綁定在一起之后，標(biāo)簽就稱為一種非常高效的轉(zhuǎn)發(fā)信息源。2.4.3、配置幀模式MPLSMPLS及其相關(guān)的開(kāi)銷對(duì)路由器的資源占用較大，在一個(gè)典型的服務(wù)提供商模型中，需要路由器接受互聯(lián)網(wǎng)的全路由表，超過(guò)0條前綴。一般情況下，服務(wù)提供商的網(wǎng)絡(luò)需要運(yùn)行ISIS（IntermediateSystem-to-IntermediateSystem，中間系統(tǒng)-中間系統(tǒng)）等IGP（InteriorGatewayProtocol,內(nèi)部網(wǎng)關(guān)協(xié)議）以及BGP（BorderGatewayProtocol,邊界網(wǎng)關(guān)協(xié)議）等EGP(ExteriorGatewayProtocol,外部網(wǎng)關(guān)協(xié)議）路由協(xié)議。每種路由協(xié)議都包括一定數(shù)量的前綴，其中，BGP包含所有公共宣告的前綴，而IGP則包含服務(wù)提供商網(wǎng)絡(luò)內(nèi)部的目的地前綴。當(dāng)前這些前綴的數(shù)量已經(jīng)達(dá)到了一個(gè)令人頭疼的數(shù)量。再加上CEF（CIscoExpressForwarding，Cisco快速轉(zhuǎn)發(fā)）信息、MPLS所需的FIB（ForwardingInformationBase,轉(zhuǎn)發(fā)信息庫(kù)）、LIB（LabelInformationBase，標(biāo)簽信息庫(kù)）和LFIB（LabelForwardingInformationBase，標(biāo)簽轉(zhuǎn)發(fā)信息庫(kù)）以及IGP，EGP和MPLS所需的鄰接信息，使得路由器有些不堪重負(fù)了。一般情況下需要逐個(gè)端口地啟用MPLS，當(dāng)然也有全局啟用命令，幀模式MPLS的思路就是在2層和3層頭部信息之間增加標(biāo)簽》增加4字節(jié)的額外信息有可能會(huì)導(dǎo)致幀大小超過(guò)該接口所定義的MTU，這樣的幀在穿過(guò)路由器時(shí)會(huì)被丟棄。第三章企業(yè)MPLSVPN需求分析介紹3.1、企業(yè)網(wǎng)絡(luò)搭建3.1.1、搭建企業(yè)網(wǎng)絡(luò)的目標(biāo)在骨干網(wǎng)設(shè)備連接中,單一鏈路的連接很容易實(shí)現(xiàn),但一個(gè)簡(jiǎn)單的故障就會(huì)造成網(wǎng)絡(luò)的中斷.因此在實(shí)際網(wǎng)絡(luò)組建的過(guò)程中,為了保持網(wǎng)絡(luò)的穩(wěn)定性,在多臺(tái)交換機(jī)組成的網(wǎng)絡(luò)環(huán)境中,一般都使用一些備份連接,以提高網(wǎng)絡(luò)的健壯性、穩(wěn)定性。這里的備份連接也稱為備份鏈路或者冗余鏈路.備份鏈路之間的交換機(jī)經(jīng)常互相連接,形成一個(gè)環(huán)路,經(jīng)過(guò)環(huán)路能夠在一定程度上實(shí)現(xiàn)冗余。鏈路的冗余備份能為網(wǎng)絡(luò)帶來(lái)健壯性、穩(wěn)定性和可靠性等好處,可是備份鏈路也會(huì)使網(wǎng)絡(luò)存在環(huán)路,環(huán)路問(wèn)題是備份鏈路所面臨的最為嚴(yán)重的問(wèn)題,交換機(jī)之間的環(huán)路將導(dǎo)致網(wǎng)絡(luò)新問(wèn)題的發(fā)生如下問(wèn)題:廣播風(fēng)暴；多幀復(fù)制；地址表的不穩(wěn)定。解決上述問(wèn)題主要是采用快速生成樹(shù)協(xié)議。一個(gè)企業(yè)網(wǎng)絡(luò)的內(nèi)部數(shù)據(jù)盡可能比較平均的從不同的網(wǎng)絡(luò)設(shè)備上傳輸，防止因數(shù)據(jù)流量不平衡而引起數(shù)據(jù)堵塞等問(wèn)題。因此，負(fù)載均衡對(duì)一個(gè)也網(wǎng)絡(luò)來(lái)說(shuō)是至關(guān)重要的?？傊罱ㄒ粋€(gè)企業(yè)網(wǎng)絡(luò)的總體要求是具有冗余和實(shí)現(xiàn)負(fù)載均衡。3.1.2、搭建企業(yè)網(wǎng)絡(luò)的常見(jiàn)技術(shù)1、交換機(jī)之間采用Trunk連接，同時(shí)使用以太信道技術(shù)，將帶寬較小的鏈路捆綁成帶寬較大的鏈路，同時(shí)實(shí)現(xiàn)數(shù)據(jù)備份。2、將一臺(tái)交換機(jī)配置成VTPserver,另一臺(tái)交換機(jī)配置成VTPclient,在VTPserver上集中管理企業(yè)交換網(wǎng)絡(luò)的vlan數(shù)據(jù)庫(kù)。3、將不同交換機(jī)的不同端口劃分給不同的vlan，啟用PVST,設(shè)置不同的vlan的根網(wǎng)橋在不同的交換機(jī)上，而且不同的vlan的數(shù)據(jù)流量盡可能經(jīng)過(guò)不同的以太信道傳輸。4、保證交換機(jī)每個(gè)連接主機(jī)的接口快速啟用而且只連接一臺(tái)計(jì)算機(jī)，如果違反該安全規(guī)則，則關(guān)閉該端口。但被關(guān)閉的端口符合規(guī)則，則在30s后自動(dòng)開(kāi)啟該端口。5、兩臺(tái)交換機(jī)開(kāi)啟三層功能，使用HSRP實(shí)現(xiàn)vlan的網(wǎng)關(guān)負(fù)載冗余。6、配置企業(yè)網(wǎng)絡(luò)內(nèi)部的交換機(jī)和路由器，采用動(dòng)態(tài)路由協(xié)議（如EIGRP），實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)部互聯(lián)。7、配置企業(yè)網(wǎng)關(guān)，使得企業(yè)能夠訪問(wèn)INTERNET。3.2、建立MPLSVPNMPLSVPN能夠利用公用骨干網(wǎng)絡(luò)強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)成本，極大地提高用戶網(wǎng)絡(luò)運(yùn)營(yíng)和管理的靈活性，同時(shí)能夠滿足用戶對(duì)信息傳輸安全性、實(shí)時(shí)性、寬頻帶和方便性的需要。當(dāng)前，在基于IP的網(wǎng)絡(luò)中，MPLS具有很多優(yōu)點(diǎn)：降低了成本；提高了資源利用率；提高了網(wǎng)絡(luò)速度；提高了靈活性和可擴(kuò)展性；方便用戶；安全性高；業(yè)務(wù)綜合能力強(qiáng)。

因此MPLSVPN適用于具有以下明顯特征的企業(yè)：高效運(yùn)作、商務(wù)活動(dòng)頻繁、數(shù)據(jù)通信量大、對(duì)網(wǎng)絡(luò)依靠程度高、有較多分支機(jī)構(gòu)，如網(wǎng)絡(luò)公司、IT公司、金融業(yè)、貿(mào)易行業(yè)、新聞機(jī)構(gòu)等。企業(yè)網(wǎng)的節(jié)點(diǎn)數(shù)較多，一般將達(dá)到幾十個(gè)以上。而像城域網(wǎng)這樣的網(wǎng)絡(luò)環(huán)境，業(yè)務(wù)類型多樣、業(yè)務(wù)流向流量不確定，特別適合使用MPLS。配置MPLSVPN，使網(wǎng)絡(luò)能夠提供MPLSVPN服務(wù)，并配置PE和CE路由協(xié)議，實(shí)現(xiàn)經(jīng)過(guò)MPLSVPN業(yè)務(wù)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)部的互相訪問(wèn)。主要是實(shí)現(xiàn)如下工作：服務(wù)提供商內(nèi)部使用動(dòng)態(tài)路由協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)互連；使用LDP作為標(biāo)簽分發(fā)協(xié)議；啟用MP-BGP,為邊緣路由器建立對(duì)等體關(guān)系；配置PE和CE路由協(xié)議，實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)的互相訪問(wèn)。第四章企業(yè)MPLSVPN的設(shè)計(jì)及實(shí)現(xiàn)4.1、MPLSVPN的總體設(shè)計(jì)本課題設(shè)計(jì)的MPLSVPN如下圖所示，共有兩部分組成：搭建企業(yè)內(nèi)部網(wǎng)絡(luò)；在Internet上實(shí)現(xiàn)MPLSVPN。圖4.1企業(yè)MPLSVPN總體設(shè)計(jì)圖4.2、搭建企業(yè)內(nèi)部網(wǎng)絡(luò)4.2.1、企業(yè)網(wǎng)絡(luò)設(shè)計(jì)為實(shí)現(xiàn)一個(gè)具有冗余和負(fù)載均衡的網(wǎng)絡(luò)，本課題設(shè)計(jì)如下：兩臺(tái)交換機(jī)間使用以太信道技術(shù)，將4根100M鏈路捆綁成2根200M鏈路SW1為STPserver，PC2在VLAN2中，PC3在VLAN3中Vlan2的根橋盡可能在SW1上，Vlan3的根橋盡可能在SW2上，且vlan2的流量盡可能走第一條以太信道，vlan3的流量盡可能走第二條以太信道兩臺(tái)交換機(jī)開(kāi)啟三層功能，使用HSRP實(shí)現(xiàn)網(wǎng)關(guān)冗余，vlan2的主機(jī)默認(rèn)以SW1為網(wǎng)關(guān)，vlan3的主機(jī)默認(rèn)以SW2為網(wǎng)關(guān)企業(yè)內(nèi)部使用eigrp101實(shí)現(xiàn)互聯(lián)4.2.2、企業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)為實(shí)現(xiàn)我們的設(shè)計(jì)，各臺(tái)網(wǎng)絡(luò)設(shè)備上的配置如下：SW1hostnameSW1boot-start-markerboot-end-markernologgingconsolenoaaanew-modelmemory-sizeiomem5errdisablerecoveryinterval30ipcefnoipdomainlookupspanning-treeportfastbpduguardinterfacePort-channel1switchportmodetrunkspanning-treevlan3cost15interfacePort-channel2switchportmodetrunkinterfaceFastEthernet0/0interfaceFastEthernet0/1switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/2switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/3switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/4switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/12switchportaccessvlan2spanning-treeportfastinterfaceFastEthernet0/13switchportaccessvlan3spanning-treeportfastinterfaceFastEthernet0/14interfaceFastEthernet0/15noswitchportipaddressinterfaceVlan1noipaddressinterfaceVlan2ipaddress51standby2ip54standby2priority200standby2preemptstandby2trackFastEthernet0/15120interfaceVlan3ipaddress51standby3ip54standby3preemptroutereigrp101network55noauto-summaryiphttpserveripforward-protocolndmac-address-tablestatic0000.0c07.ac02interfaceFastEthernet0/1vlan2control-planegatekeepershutdownlinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginendSW2hostnameSW2boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupspanning-treevlan3priority32766interfacePort-channel1switchportmodetrunkinterfacePort-channel2switchportmodetrunkinterfaceFastEthernet0/0interfaceFastEthernet0/1switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/2switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/3switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/4switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/15noswitchportipaddressinterfaceVlan1noipaddressinterfaceVlan2ipaddress52standby2ip54standby2preemptinterfaceVlan3ipaddress52standby3ip54standby3priority200standby3preemptstandby3trackFastEthernet0/15120routereigrp101network55noauto-summaryipaddressinterfaceVlan1noipaddressinterfaceVlan2ipaddress52standby2ip54standby2preemptinterfaceVlan3ipaddress52standby3ip54standby3priority200standby3preemptstandby3trackFastEthernet0/15120routereigrp101network55noauto-summarySW3作為普通二層交換機(jī)使用，開(kāi)啟即可，無(wú)需做任何配置4.3、配置企業(yè)網(wǎng)關(guān)配置兩臺(tái)企業(yè)網(wǎng)關(guān)，使企業(yè)的中心站點(diǎn)和分支站點(diǎn)都能夠訪問(wèn)到Internet，配置完成后使得vlan2和vlan3的主機(jī)能任意拼通Internet的地址。具體配置如下：R8hostnameR8boot-start-markerboot-end-markernologgingconsolenoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupcryptoisakmppolicy10hashmd5authenticationpre-sharelifetime3600cryptoisakmpkeyciscoaddresscryptoipsectransform-setSETesp-desesp-md5-hmacmodetransportcryptomapAAA1ipsec-isakmpsetpeersettransform-setSETmatchaddress120interfaceLoopback0ipaddress55interfaceTunnel0bandwidth50000ipaddressdelay10tunnelsourcetunneldestinationinterfaceFastEthernet0/0ipaddressduplexautospeedautointerfaceFastEthernet0/1ipaddressipnatoutsideipvirtual-reassemblyduplexautospeedautocryptomapAAAinterfaceEthernet1/0ipaddress54ipnatinsideipvirtual-reassemblyhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexroutereigrp101redistributestaticmetric10000100025511500network54noauto-summaryroutereigrp201redistributeeigrp101metric10000100025511500networknoauto-summaryrouterospf101log-adjacency-changesredistributeeigrp101subnetsnetworkarea0distance80iphttpservernoiphttpsecure-serveripforward-protocolndiprouteipnatinsidesourcelist1interfaceFastEthernet0/1overloadaccess-list1permit55access-list120permitiphosthostcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginendR9hostnameR9boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupcryptoisakmppolicy10hashmd5authenticationpre-sharelifetime3600cryptoisakmpkeyciscoaddresscryptoipsectransform-setSETesp-desesp-md5-hmacmodetransportcryptomapAAA1ipsec-isakmpsetpeersettransform-setSETmatchaddress120interfaceLoopback0ipaddress55interfaceTunnel0bandwidth50000ipaddressdelay10tunnelsourcetunneldestinationinterfaceFastEthernet0/0ipaddressipnatoutsideipvirtual-reassemblyduplexautospeedautocryptomapAAAinterfaceFastEthernet0/1ipaddressduplexautospeedautointerfaceEthernet1/0ipaddress54ipnatinsideipvirtual-reassemblyhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexroutereigrp201network55networknoauto-summaryrouterripversion2networknoauto-summaryiphttpservernoiphttpsecure-serveripforward-protocolndiprouteipnatinsidesourcelist1interfaceFastEthernet0/0overloadaccess-list1permit55access-list120permitiphosthostcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginend4.4、配置MPLSVPN為配置MPLSVPN，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)部互相訪問(wèn)，本課題設(shè)計(jì)如下：1、服務(wù)提供商內(nèi)部使用ospf互聯(lián)，所有路由器之間不選DR/BDR2、自治系統(tǒng)號(hào)使用30013、PE和CE之間的路由協(xié)議為：中心站點(diǎn)使用ospf，分支站點(diǎn)使用rip具體配置如下：1、R5hostnameR5boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupipvrfCrd100:1route-targetexport100:1route-targetimport100:1mplslabelrange500599interfaceLoopback0ipaddress55interfaceFastEthernet0/0ipvrfforwardingCipaddressduplexautospeedautointerfaceFastEthernet0/1ipaddressipospfnetworkpoint-to-pointduplexautospeedautomplsipinterfaceEthernet1/0noipaddressshutdownhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexrouterospf101vrfClog-adjacency-changesredistributebgp3001subnetsnetwork55area0routerospf1router-idlog-adjacency-changesnetworkarea0network55area0routerbgp3001nobgpdefaultipv4-unicastbgplog-neighbor-changesneighborremote-as3001neighborupdate-sourceLoopback0addrss-familyvpnv4neighboractivateneighborsend-communityextendedexit-address-familyaddress-familyipv4vrfCredistributeospf101vrfCmatchinternalexternal1external2nosynchronizationexit-address-familyiphttpservernoiphttpsecure-serveripforward-protocolndcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginEnd2、R6hostnameR6boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupmplslabelrange600699interfaceLoopback0ipaddress55interfaceFastEthernet0/0ipaddressipospfnetworkpoint-to-pointduplexautospeedautomplsipinterfaceFastEthernet0/1ipaddressipospfnetworkpoint-to-pointduplexautospeedautomplsipinterfaceEthernet1/0noipaddressshutdownhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexrouterospf1router-idlog-adjacency-changesnetwork55area0iphttpservernoiphttpsecure-serveripforward-protocolndcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginend3、R7hostnameR7boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupipvrfCrd100:1route-targetexport100:1route-targetimport100:1mplslabelrange700799interfaceLoopback0ipaddress55interfaceFastEthernet0/0ipaddressipospfnetworkpoint-to-poi