mpls-vpn的设计与实现
毕 业 论 文
企业MPLS VPN的设计与实现
- 0 -
- 0 -
- 0 -
目录
摘要 ......................................... 错误!未定义书签。 第一章 绪论 ..................................................... - 2 -
1.1、课程的背景及意义 .......................... - 2 - 1.2、MPLS VPN简介 ............................. - 2 - 第二章 相关技术 ............................................. - 3 -
2.1、交换技术介绍 .................................. - 3 -
2.1.1、VLAN介绍 ........................... - 3 - 2.1.2、Ether-channel ....................... - 3 - 2.1.3、快速生成树 ........................... - 4 - 2.2、多种路由协议 .................................. - 5 -
2.2.1、OSPF协议 ............................ - 5 - 2.2.2、BGP ....................................... - 7 - 2.2.3、IS-IS ...................................... - 8 - 2.3、VPN概况 ......................................... - 9 -
2.3.1、VPN的定义 .......................... - 9 -
- 0 -
2.3.2、VPN的应用 .......................... - 9 - 2.3.3、目前几种主要的VPN技术- 10 -
2.4、MPLS技术 .................................... - 11 -
2.4.1、MPLS的功能特性 ............. - 11 - 2.4.2、MPLS体系架构 ................. - 12 - 2.4.3、配置帧模式MPLS ............. - 12 -
第三章 企业MPLS VPN需求分析介绍 ..... - 14 -
3.1、企业网络搭建 ................................ - 14 -
3.1.1、搭建企业网络的目标 ......... - 14 - 3.1.2、搭建企业网络的常用技术 . - 14 - 3.2、建立MPLS VPN ........................... - 15 - 第四章 企业MPLS VPN的设计及实现 ..... - 16 -
4.1、MPLS VPN的总体设计 ............... - 16 - 4.2、搭建企业内部网络 ........................ - 16 -
4.2.1、企业网络设计 ..................... - 16 - 4.2.2、企业网络实现 ..................... - 17 - 4.3、配置企业网关 ................................ - 23 - 4.4、配置MPLS VPN ........................... - 31 - 第五章 小结 ................................................... - 42 -
5.1、架构设计中的问题 ........................ - 42 - 5.2、总结 ................................................ - 43 -
- 1 -
致谢 ................................................................. - 44 - 参考文献 ......................................................... - 45 -
第一章 绪论
1.1、课程的背景及意义
如今是信息科技的时代,网络使我们生活更加便捷,工作效率大大提高。同时在工作中,公司们对于网络的要求也随之变得越来越高。当一个集团公司在全球开设分公司,并要求信息共享时,网络信息传输安全变成了一个不得不面对的问题。
而MPLS VPN就是如今应用最广泛的网络信息传输安全技术之一。它不仅不需要公司支付额外而高昂的费用,同时,只需对思科或者华为技术略有了解的技术员都可以简单而数量的上手,这样也就避免了未来在使用中产生的维护困难的问题。
现通过此论文,我将介绍MPLS VPN技术的原理,配置以及在现实工作环境中的应用。通过此技术的应用,公司内部的网络安全将变得比以往任何时刻都更安全,更简便,更快捷。
1.2、MPLS VPN简介
MPLS VPN(Multiprotocol Label Switching)是一种新的WAN技术基于MPLS技术的IP-VPN,其体系架构定义在RFC3031之中。MPLS VPN是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
- 2 -
2.1、交换技术介绍 2.1.1、VLAN介绍
第二章 相关技术
VLAN(Virtual LAN,虚拟局域网)是拥有一组共同要求且与物理位置无关的终端设备的逻辑组。大型平面网络通常包括非常多的终端设备,而广播和未知的单播数据包将扩散到网络中的全部端口。使用VlAN的优势之一就是具有对第二层广播域分段的功能,单个VLAN中的全部设备都属于相同的广播域。如果终端设备发送第二层广播,那么VLAN中的其他全部成员都将收到该广播。如果端口或设备不属于相同的VLAN,那么交换机将过滤这些广播。
尽管交换机不能在VLAN之间传播第二层广播,但VLAN与物理子网存在轻微的差别。物理子网由相同物理电缆分段中的设备所组成;逻辑子网由相互通信且与物理位置无关的设备所组成。基于上述原因,VLAN是一种逻辑子网,并且其中终端设备的连接不受物理位置的直接限制。取而代之的是交换机的配置能够限制VLAN之间的连通。进一步而言,VLAN能够存在于交换网络中的任何位置。因为VLAN是一个单独的广播域,所以VLAN通常属于某个ip的子网。为了能够在VLAN之间通信,数据包必须经过路由器或者第三层设备。
端到端VLAN是可以扩展到整个网络的VLAN。本地VLAN是局限于特定域的VLAN,例如建筑物接入子模块交换机及其各自的建筑物分布子模块。端到端VLAN可能跨越几个配线间,甚至可能跨越几个建筑物。端到端VLAN通常与工作组相关联,例如部门或项目团队。
2.1.2、Ether-channel
通常情况下,以太网端口设备能够实现交换机的互联,进而使得连接到一台交换机的设备能够向连接到其他交换机设备传送数据帧。以太网的工作速度可以是10Mbit/s、100Mbit/s、1000Mbit/s、或者10Gbit/s。伴随着对更高带宽需求的不断增长,管理员正在寻找替代方法来增加两台设备之间的可用流量带宽。在大多数情况下,虽然我们可以选择更高带宽的端口类型作为增加网络带
- 3 -
宽的方法,但因为要增加更多的成本,所以他并不总是可行的。通过多个端口进行绑定,EtherChannel充分利用现有的端口优势来增加可用带宽。
在连接设备失效的情况下,通过采用其他未失效的链路来维护连接,EtherChannel能够提供冗余。如果端口属于相同的模块,因为只有失效链路中正在传输的帧被丢失,所以不会造成明显的连接损失。
2.1.3、快速生成树
要说明快速生成树(RSTP)协议首先要明白生成树协议(STP),交换机的基本STP功能相当于一个透明的网桥。通过在端口上侦听数据帧中的源MAC地址,网桥能够学习到其他设备的MAC地址。随后,网桥就建立一张MAC地址表,该表能够指明特定端口所学到的MAC地址,交换机再使用该表且根据目标MAC地址进行帧转发。
对于具有目标多播或者广播MAC地址的数据包,网桥必须将它们转发到除最初接收广播的端口之外的所有其他端口;这个过程也称为“扩散”。扩散多播帧的例外是使用多播的特性,例如IGMP监听。
如果一个数据帧的目标MAC地址是未知的,那么网桥会将这个帧转发到除接收该帧的端口之外的所有其他端口。对于具有未知目标MAC地址的帧,它也被称作“未知单播数据包”。透明桥对于所连接的第二层和上层协议的设备来说应该是透明的。
当网络拓扑发生变更的时候,快速生成树协议(802.1w,也简称为RSTP)能够显著加快重新计算生成树的速度。RSTP不仅定义了其他端口角色:替代端口,备份端口,而且还定义了三种端口的状态:丢弃状态,学习状态,转发状态。
IEEE 802.1w标准(RSTP)是802.1d标准的一种进化,而不是一种革命。802.1d术语仍然保留了相同的大部分参数,并且未作任何修改,所以对于熟悉802.1d标准的用户,能够在配置新协议的时候找到熟悉的感觉。在大多数的情况下,RSTP能够比CISCO专有扩展执行的更好,并且几乎不需要做出额外的配置。
- 4 -
2.2、多种路由协议 2.2.1、OSPF协议 1、OSPF协议简介
路由选择协议开放最短路径优先(OSPF),它是IP网络中最常用的内部网关协议之一。OSPF是一种基于请求评论(RFC)2328的开放标准协议,它非常复杂,涉及多种协议的握手,数据库通告和分组类型。
首先OSPF是一种链路状态路由选择协议,它的主要特征涉及到区域结构,链路状态邻接关系,最短路径优先(SPF)算法和链路状态数据的结构。
为克服距离矢量路由选择协议的缺点,开发了链路状态路由选择协议。链路状态路由选择协议具有如下特征: (1) 快速适应网络变化
(2) 在网络发生变化时,发送触发更新。
以较低的频率(如每隔30分钟)发送定期更新,这被称作链路状态刷新。链路状态路由选择协议仅在网络拓扑发生变化时,才生成路由选择更新。链路的状态发生变化后,检测到变化的设备将生成一个针对该链路的链路状态通告(LSA),使用一个特殊的组播地址,将LSA传播给所有的邻接设备。每台路由选择设备都将得到一个LSA拷贝,据此更新其链路状态数据库(LSDB),并将LSA转发给区域内的所有临界设备。这种LSA扩散确保所有路由选择设备都更新其数据库,然后更新路由选择表以反映新的拓扑。LSDB被用来计算最佳路径。链路状态路由器对LSDB应用Dijkstra算法(也称SPF)算法,以建立SPF树,进而选择前往目的地的最佳路径。每台路由器都从其SPF树中选择最佳路径,然后将其加入到路由选择表中。
链路状态路由选择协议从网络或者网络的指定区域内的所有路由器那里收集路由选择信息,然后每台路由器都使用Dijkstar(SPF)算法分别计算其前往网络中各个目的地的最佳路径。来自某台路由器的错误信息导致混乱的可能性较低,因为每台路由器都有其对网络的认识。
为确保网络中的所有路由器做出一致的路由选择决策,每台路由器都必须记录下述信息。直接相连的邻接路由器,失去与邻接路由器的联系后,路由器将在几秒钟之内将该邻居提供的所有路径作废,并重新计算路径。在OSPF中,有关邻居的信息存储在邻居表中,这个表也被称作邻接关系数据库。
- 5 -
网络或区域内的其他路由器及其连接的网络:路由器通过LSA来获悉其他路由器和网络,LSA被扩散到整个网络,它储存在拓扑表或数据库中(也叫LSDB)中。
每台路由器都是用Dijkstra(SPF)算法独立地计算前往网路中每个目的地的最佳路径。所有路径都存储在LSDB中。最佳路径被加入到路由选择表(也叫转发数据库)中。路由器收到分组后,将根据路由选择表中的信息对其及进行转发。
2、OSPF区域结构
在小型网络中,路由器链路组成的结构并不复杂,很容易确定前往各个目的地的路径。然而,在大型网络中,路由器链路组成的结构复杂,前往每个目的地的潜在路径为数众多,因此,对所有可能的路由进行比较的SPF算法非常复杂,需要很长的时间。
链路状态路由选择协议通常将网络划分成区域,以减少SPF算法的计算量。区域内的路由器数量以及在区域内扩散的LSA数量较少,这意味着区域内的链路状态数据库(拓扑数据库)较小。其结果是,SPF算法的计算量更小,需要的时间更短。OSPF使用包含两层的层次区域结构:
(1) 中转区域:主要功能为快速,高效地传输IP分组的OSPF区域。中转区域将其他类型的OSPF区域连接起来,通常,中转区域中没有终端用户。根据定义,OSPF区域0(也叫做主干区域)为中转区域。
(2) 常规区域:主要功能连接用户和资源的OSPF区域。常规区域通常是根据职能或地理位置划分的。默认情况下,常规区域不允许另一个区域使用其连接将数据流传输到其他区域来自其他区域的所有数据流都必须经过中转区域(如区域0)。不允许数据流穿过的区域被称作常规区域(非主干区域)。常规区域又分几类,包括标准区域,末节区域,绝对末节区域和次末节区域。
OSPF采用严格的两层区域结构。网络的底层物理连接必须与两层区域结构相匹配,即所有非主干区域都直接与区域0相连。
3、OSPF邻接关系
运行链路状态路由选择协议的路由器必须首先与选定的邻接路由器建立邻接关系,这是通过与邻接路由器交换Hello分组来实现的。大体而言,路由器建立邻接关系的过程如下:
- 6 -
路由器将Hello分组发送给邻接路由器,并接收来自邻接路由器的Hello分组。Hello分组的目标地址通常是组播地址。
路由器通过交换Hello分组来获悉协议特定的参数,如检查邻居是否位于同一个区域中,Hello间隔是否相等。交换玩Hello分组后,路由器宣称邻居处于正常运行状态。
两台路由器使用Hello分组建立邻接关系后,它们通过交换LSA来同步LSDB,并确认已收到邻接路由器的LSA。至此,两台邻接路由器知道他们的LSDB已经同步。对OSPF而言,这意味着两台路由器已处于完全邻接状态。
必要时,路由器将新的LSA转发给其他邻接路由器,确保在整个区域内链路状态信息时完全同步的。
点到点串行链路上的两台路由器之间建立完全邻接的关系,它们使用的封装类型通常是高级数据链路控制(HDLC)或点到点协议(PPP)。
在LAN链路上,将选举一个指定路由器(DR)和一个备用指定路由器(BDR)。其他的路由器都与这两台路由器建立邻接关系,且只将LSA通告给他们。DR从邻居那里收到更新后,将其转发给LAN上的其他所有邻居。DR的主要功能之一是确保同一个LAN中所有路由器的LSDB都相同。
DR将其LSDB传递给新加入到链路中的路由器。使LAN上所有路由器都将相同的信息传递给新加入路由器的效率非常低,因此让一台路由器对新加入LAN中的路由器和区域中的其他路由器代表LAN中的其他路由器即可。DR和BDR路由器还维护与LAN上的其他路由器直接按的部分邻接关系(双向邻接状态),后者被称为DROTHER。
链路状态信息是通过LSA进行交换的,LSA也被称为链路状态协议数据单元(PDU)。
2.2.2、BGP
BGP(Border Gateway Protocol,边界网关协议)是用来连接Internet上的独立系统的路由选择协议。它是Internet工程任务组制定的一个加强的、完善的、可伸缩的协议。BGP4支持CIDR寻址方案,该方案增加了Internet上的可用IP地址数量。BGP是为取代最初的外部网关协议EGP设计的。它也被认为是一个路径矢量协议。
- 7 -
BGP(Border Gateway Protocol)是一种在自治系统之间动态交换路由信息的路由协议。一个自治系统的经典定义是在一个管理机构控制之下的一组路由器,它使用IGP和普通度量值向其他自治系统转发报文。
在BGP中使用自治系统这个术语是为了强调这样一个事实:一个自治系统的管理对于其他自治系统而言是提供一个统一的内部选路计划,它为那些通过它可以到达的网络提供了一个一致的描述。
BGP,边界网关协议,是自主网络系统中网关之间交换器路由信息的协议。边界网关协议常常应用于互联网的网关之间。路由表包含已知路由器的列表、路由器能够达到的地址以及到达每个路由器的路径的跳数。
使用边界网关协议的主机一般也使用传输控制协议(TCP)。当网络检测到某台主机发出变化时,就会发送新的路由表。BGP-4,边界网关协议的最新版本,允许网络管理员在策略描述下配置跳数的规格。
2.2.3、IS-IS
中间系统到中间系统的路由选择协议 (IS-IS:Intermediate System to Intermediate System Routing Protocol) 是由 ISO 提出的一种路由选择协议。它是一种链路状态协议。在该协议中,IS(路由器)负责交换基于链路开销的路由信息并决定网络拓扑结构。IS-IS 类似于 TCP/IP 网络的开放最短路径优先(OSPF)协议。
ISO 网络包含了终端系统、中间系统、区域(Area)和域(Domain)。终端系统指用户设备,中间系统指路由器。路由器形成的本地组称之为“区域”,多个区域组成一个“域”。IS-IS 被设计来提供域内或一个区域内的路由。IS-IS与 CLNP、ES-IS 和 IDRP协议相结合,为整个网络提供完整的路由选择。
IS-IS 路由使用两层路由体系。Level 1 路由器只知道它们本区域中的拓扑,包括所有的路由器和主机,而不知道区域以外的路由器以及目的地。Level 1 路由器将去往其它区域的所有流量都转发给本区域内的一台 L1/2 路由器,再由该L1/2把流量转发给L2区域中的L1/2路由器,再由L2区域中的L1/2路由器转发给L2路由器,完成数据转发。每台路由器只能属于一个区域,区域边界在链路上。IS-IS使用LSP分组来更新LSDB,更新数据流量小于OSPF的LSA更新LSDB。
- 8 -
适合传送 IP 网络信息的 IS-IS 称之为在综合IS-IS (Integrated IS-IS)。在当前路由选择协议中, Integrated IS-IS 具有最重要的一个特征:它支持 VLSM 和快速收敛。另外它具有可伸缩性,能够支持大规模网络。
IS-IS 具有两种地址类型,一种是网络服务访问点(NSAP)– NSAP 地址用来标识网络层服务,每种服务对应一个 NSAP 地址。 另一种是网络实体标题(NET)– NET 地址用来标识网络层实体或过程,而不是服务。
每种设备可能不止含有一个地址,但是 NET 应该是唯一的并且每个系统中 NSAP 的 系统 ID 部分也必须是唯一的。
2.3、VPN概况 2.3.1、VPN的定义
VPN(Virtual Private Network),即虚拟专用网,是利用开放的公众网络资源建立私有数据传输通道,将远程的分支机构、商业伙伴、移动办公人员等连接起来,并且提供安全的 端到端的数据通信的一种广域网技术。VPN有两层含义:它是“虚拟的”,即建立隧道或虚电路把不同的物理网络或设备连接起来,不再使用物理的专线建立专用 网,而是将其建立在分布广泛的公共网络上,如Internet;它是“专用的”,对基于IPSec的VPN而言,是一组连接的闭合用户群(CVC),它不 仅具有服务质量(QoS)的保证,而且更多地强调安全服务。VPN是企业网在公共网络上的无缝延伸,VPN可将位于不同地点的远程用户、分支机构和合作伙 伴等连接起来。
2.3.2、VPN的应用
VPN按照应用大致可分为Intranet VPN及Extranet VPN以及Remote access VPN三种。其基本用途就是提供企业分支机构和企业,企业客户和企业以及企业内部的,远端企业员工与企业安全的点对点通信。下面是几种常用VPN的场合:
(1) Intranet VPN是指在一个组织内部如何安全地连接两个相互信任的内联网,要求在公司与分支机构之间建立安全的通信连接。这种应用模式需要做的不仅是要防范外部入侵 者对企业内联网的攻击,还要保护在因特网上传送的
- 9 -
敏感数据。
(2) Extranet VPN是基于Internet的VPN,虚拟专用网络支持远程访问客户以安全的方式通过公共互联网络远程访问企业资源。Extranet VPN是Intranet VPN的一个扩展,即通过因特网连接两台分别属于两个互不信任的内部网络的主机。它要求一个开放的基于标准的解决方案,以便解决企业与各种合作伙伴和客户 网络的协同工作问题。
(3) Remote Access VPN是指企业员工通过因特网远程拨号的方式访问企业内联网而构筑的VPN,通常也叫做远程拨号VPN。VPN技术的这种应用代替了传统的直接拨入内联网 的远程访问方式,这样可以大大降低远程访问的费用。
2.3.3、目前几种主要的VPN技术
目前已经投入实际当中使用的VPN技术包括IPSec VPN、SSL VPN、MPLS VPN。这三种VPN技术各有特色、各有所长。目前国外主要厂商对SSL VPN技术、MPLS VPN技术发展相对比较重视发展较快,但是目前应用最为广泛,技术最为成熟的仍然是IPSec VPN技术。
· IPSec协议是网络层协议, 是为保障IP通信而提供的一系列协议族。SSL是套接层协议,它是保障在Internet上基于Web的通信的安全而提供的协议。以标签交换是作为底层转 发机制的MPLS(Multi-Protocol Label Switching,多协议标记交换)VPN。
(1) IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能 共同操作/使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流 的机密性服务。
(2) SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种高层安全协议,建立在应用层上。SSL VPN使用SSL协议和代理为终端用户提供HrrP、客户机/服务器和共享的文件资源的访问认证和访问安全SSL VPN传递用户层的认证。确保只有通过安全策略认证的用户可以访问指定的资源。
(3) MPLS是一个可以在多种第二层媒质上进行标记交换的网络技术。不论什么
- 10 -
格式的数据均可以第三层的路由在网络的边缘实施,而在MPLS的网络核心采用第二 层交换,可以用一句话概括MPLS的特点:“边缘路由,核心交换”。
2.4、MPLS技术
MPLS(Multiprotocol Label Switching, 多协议标记交换)使用标签(Label)进行转发,一个标签是一个短的、长度固定的数值,由报文的头部携带,不含拓扑信息,只有局部意义。MPLS包头的结构如下图所示,包含20比特的标签,3比特的EXP(通常用作Cos),1比特的S,用于标识此标签是否为最底层标签,8比特的TTL。
MPLS可以看做是一种面向连接的技术。通过MPLS信令(如LDP,Label Distribute Protocol,标签分配协议)建立好MPLS标记交换通道(Label Switched Path,简称LSP),数据转发时,在网络入口对报文进行分类,根据分类结果选择相应的LSP,打上相应的标签,中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发,而不用再通过IP报文头的IP地址查找。在LSP出口(或倒数第二跳),弹出MPLS标签,还原为IP包。
2.4.1、MPLS的功能特性
MPLS是一种交换机制,MPLS数据包的交换过程包括了标签的分析过程。标签中包含了LSR中的数据包进行路径交换所需的所有信息,负责转发操作的设备能够进行标签的查找和替换,但不一定能分析网络层头部或不能足够快地分析网络层头部。换句话说,LSR无需执行纯粹的3层路由选择。
与传统的路由协议的操作类似,标签一般都以某种方式与目的网络保持一致,但有时标签也可以与其他内容(如3层VPN的目的地,2层虚电路,出接口,QoS或源地址)等保持一致。这些内容都可以在每台设备上灵活配置,这样做的原因是MPLS并不仅仅用来转发IP包,当然,IP(以及IPv6)是MPLS最主要的应用之一。
当数据包在路由器之间穿越时。每台路由器只要做出转发的决定、执行路径交换并将数据包传送到下一跳路由器即可。从本质上看,该过程类似于高速,
- 11 -
高技术的“传球”游戏,而该游戏只要基于数据包的标签中所包含的信息即可,无需考虑3层协议。
MPLS技术的设计者认为3层头部中包含的信息远远多于执行转发操作所需要的信息。设计MPLS的想法是希望设计一种无不必要的信息、且不与任何3层被路由协议相关的3层路由协议,MPLS的基本路由选择原理与其他路由选择协议完全一样。
2.4.2、MPLS体系架构
MPLS组件
从基础构架的角度来看,MPLS将传统的路由选择机制划分为以下两部分。
控制平面——负责处理相邻设备的路由选择和标签信息的交换。 数据平面——根据目的地址或标签转发流量(也称为转发平面)。 与传统的路由协议相似,MPLS也是一种基于目的地的协议,MPLS标签的功能就是将转发功能与包头中包含的3层目的信息相分离。将标签与FEC绑定在一起之后,标签就称为一种非常高效的转发信息源。
2.4.3、配置帧模式MPLS
MPLS及其相关的开销对路由器的资源占用较大,在一个典型的服务提供商模型中,需要路由器接受互联网的全路由表,超过20000条前缀。通常情况下,服务提供商的网络需要运行ISIS(Intermediate System-to-Intermediate System,中间系统-中间系统)等IGP(Interior Gateway Protocol,内部网关协议)以及BGP(Border Gateway Protocol,边界网关协议)等EGP(Exterior Gateway Protocol,外部网关协议)路由协议。每种路由协议都包括一定数量的前缀,其中,BGP包含所有公共宣告的前缀,而IGP则包含服务提供商网络内部的目的地前缀。目前这些前缀的数量已经达到了一个令人头疼的数量。再加上CEF(CIsco Express Forwarding, Cisco快速转发)信息、MPLS所需的FIB(Forwarding Information Base,转发信息库)、LIB(Label Information Base,标签信息库)和LFIB(Label Forwarding
- 12 -
Information Base,标签转发信息库)以及IGP,EGP和MPLS所需的邻接信息,使得路由器有些不堪重负了。
一般情况下需要逐个端口地启用MPLS,当然也有全局启用命令,帧模式MPLS的思路就是在2层和3层头部信息之间增加标签》增加4字节的额外信息有可能会导致帧大小超过该接口所定义的MTU,这样的帧在穿过路由器时会被丢弃。
- 13 -
第三章 企业MPLS VPN需求分析介绍
3.1、企业网络搭建 3.1.1、搭建企业网络的目标
在骨干网设备连接中,单一链路的连接很容易实现,但一个简单的故障就会造成网络的中断.因此在 实际网络组建的过程中,为了保持网络的稳定性,在多台交换机组成的网络环境中,通常都使用一些备份连接, 以提高网络的健壮性、稳定性。
这里的备份连接也称为备份链路或者冗余链路.备份链路之间的交换机经常互相连接,形成一个环路,通过环路可以在一定程度上实现冗余。链路的冗余备份能为网络带来健壮性、稳定性和可靠性等好处,但是备份链路也会使网络存在环路, 环路问题是备份链路所面临的最为严重的问题,交换机之间的环路将导致网络新问题的发生如下问题:广播风暴;多帧复制;地址表的不稳定。解决上述问题主要是采用快速生成树协议。
一个企业网络的内部数据尽可能比较平均的从不同的网络设备上传输,防止因数据流量不平衡而引起数据堵塞等问题。因此,负载均衡对一个也网络来说是至关重要的。
总之,搭建一个企业网络的总体要求是具有冗余和实现负载均衡。
3.1.2、搭建企业网络的常用技术
1、交换机之间采用Trunk连接,同时使用以太信道技术,将带宽较小的链路捆绑成带宽较大的链路,同时实现数据备份。
2、将一台交换机配置成VTP server,另一台交换机配置成VTP client,在VTP server上集中管理企业交换网络的vlan数据库。
3、将不同交换机的不同端口划分给不同的vlan,启用PVST,设置不同的vlan的根网桥在不同的交换机上,而且不同的vlan的数据流量尽可能通过不同的以太信道传输。
4、保证交换机每个连接主机的接口快速启用并且只连接一台计算机,如果
- 14 -
违反该安全规则,则关闭该端口。但被关闭的端口符合规则,则在30s后自动开启该端口。
5、两台交换机开启三层功能,使用HSRP实现vlan的网关负载冗余。 6、配置企业网络内部的交换机和路由器,采用动态路由协议(如EIGRP),实现企业网络内部互联。
7、配置企业网关,使得企业可以访问INTERNET。
3.2、建立MPLS VPN
MPLS VPN能够利用公用骨干网络强大的传输能力,降低企业内部网络的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。目前,在基于IP的网络中,MPLS具有很多优点:降低了成本;提高了资源利用率;提高了网络速度;提高了灵活性和可扩展性;方便用户;安全性高;业务综合能力强。
因此MPLS VPN适用于具有以下明显特征的企业:高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构,如网络公司、IT公司、金融业、贸易行业、新闻机构等。企业网的节点数较多,通常将达到几十个以上。而像城域网这样的网络环境,业务类型多样、业务流向流量不确定,特别适合使用MPLS。
配置MPLS VPN,使网络可以提供MPLS VPN服务,并配置PE和CE路由协议,实现通过MPLS VPN业务实现企业网络内部的互相访问。主要是实现如下工作:
1、服务提供商内部使用动态路由协议,实现网络互连; 2、使用LDP作为标签分发协议;
3、启用MP-BGP,为边缘路由器建立对等体关系;
4、配置PE和CE路由协议,实现企业内部网络的互相访问。
- 15 -
第四章 企业MPLS VPN的设计及实现
4.1、MPLS VPN的总体设计
本课题设计的MPLS VPN如下图所示,共有两部分组成:搭建企业内部网络;在Internet上实现MPLS VPN。
图4.1 企业MPLS VPN总体设计图
4.2、搭建企业内部网络 4.2.1、企业网络设计
为实现一个具有冗余和负载均衡的网络,本课题设计如下:
(1) 两台交换机间使用以太信道技术,将4根100M链路捆绑成2根200M链
- 16 -
路
(2) SW1为STP server,PC2在VLAN2中,PC3在VLAN3中
(3) Vlan2的根桥尽可能在SW1上,Vlan3的根桥尽可能在SW2上,且vlan2的流量尽可能走第一条以太信道,vlan3的流量尽可能走第二条以太信道 (4) 两台交换机开启三层功能,使用HSRP实现网关冗余,vlan2的主机默认以SW1为网关,vlan3的主机默认以SW2为网关 (5) 企业内部使用eigrp 101实现互联
4.2.2、企业网络实现
为实现我们的设计,各台网络设备上的配置如下: 1、 SW1
hostname SW1 boot-start-marker boot-end-marker no logging console no aaa new-model memory-size iomem 5
errdisable recovery interval 30 ip cef
no ip domain lookup
spanning-tree portfast bpduguard interface Port-channel1 switchport mode trunk spanning-tree vlan 3 cost 15 interface Port-channel2
- 17 -
switchport mode trunk interface FastEthernet0/0 interface FastEthernet0/1 switchport mode trunk channel-group 1 mode on interface FastEthernet0/2 switchport mode trunk channel-group 1 mode on interface FastEthernet0/3 switchport mode trunk channel-group 2 mode on interface FastEthernet0/4 switchport mode trunk channel-group 2 mode on interface FastEthernet0/12 switchport access vlan 2 spanning-tree portfast interface FastEthernet0/13 switchport access vlan 3 spanning-tree portfast interface FastEthernet0/14 interface FastEthernet0/15
- 18 -
no switchport
ip address 172.21.1.1 255.255.255.0 interface Vlan1 no ip address interface Vlan2
ip address 172.21.2.251 255.255.255.0 standby 2 ip 172.21.2.254 standby 2 priority 200 standby 2 preempt
standby 2 track FastEthernet0/15 120 interface Vlan3
ip address 172.21.3.251 255.255.255.0 standby 3 ip 172.21.3.254 standby 3 preempt router eigrp 101
network 172.21.0.0 0.0.3.255 no auto-summary ip http server
ip forward-protocol nd mac-address-table vlan 2
- 19 -
static
0000.0c07.ac02 interface FastEthernet0/1
control-plane gatekeeper shutdown line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login end 2、
SW2
hostname SW2 boot-start-marker boot-end-marker no aaa new-model memory-size iomem 5 ip cef
no ip domain lookup
spanning-tree vlan 3 priority 32766 interface Port-channel1 switchport mode trunk
- 20 -
interface Port-channel2 switchport mode trunk interface FastEthernet0/0 interface FastEthernet0/1 switchport mode trunk channel-group 1 mode on interface FastEthernet0/2 switchport mode trunk channel-group 1 mode on interface FastEthernet0/3 switchport mode trunk channel-group 2 mode on interface FastEthernet0/4 switchport mode trunk channel-group 2 mode on interface FastEthernet0/15 no switchport
ip address 172.21.1.2 255.255.255.0 interface Vlan1 no ip address interface Vlan2
ip address 172.21.2.252 255.255.255.0
- 21 -
standby 2 ip 172.21.2.254 standby 2 preempt interface Vlan3
ip address 172.21.3.252 255.255.255.0 standby 3 ip 172.21.3.254 standby 3 priority 200 standby 3 preempt
standby 3 track FastEthernet0/15 120 router eigrp 101
network 172.21.0.0 0.0.3.255 no auto-summary
ip address 172.21.1.2 255.255.255.0 interface Vlan1 no ip address interface Vlan2
ip address 172.21.2.252 255.255.255.0 standby 2 ip 172.21.2.254 standby 2 preempt interface Vlan3
ip address 172.21.3.252 255.255.255.0 standby 3 ip 172.21.3.254 standby 3 priority 200
- 22 -
standby 3 preempt
standby 3 track FastEthernet0/15 120 router eigrp 101
network 172.21.0.0 0.0.3.255 no auto-summary
3、
SW3
作为普通二层交换机使用,开启即可,无需做任何配置
4.3、配置企业网关
配置两台企业网关,使企业的中心站点和分支站点都可以访问到Internet,配置完成后使得vlan2和vlan3的主机能任意拼通Internet的地址。具体配置如下:
1、 R8
hostname R8 boot-start-marker boot-end-marker no logging console no aaa new-model memory-size iomem 5 ip cef
no ip domain lookup crypto isakmp policy 10 hash md5
- 23 -
authentication pre-share lifetime 3600
crypto isakmp key cisco address 170.1.49.9
crypto ipsec transform-set SET esp-des esp-md5-hmac mode transport
crypto map AAA 1 ipsec-isakmp set peer 170.1.49.9 set transform-set SET match address 120 interface Loopback0
ip address 1.1.1.8 255.255.255.255 interface Tunnel0 bandwidth 50000
ip address 172.21.20.8 255.255.255.0 delay 10
tunnel source 170.1.18.8 tunnel destination 170.1.49.9 interface FastEthernet0/0
ip address 172.21.11.8 255.255.255.0 duplex auto
- 24 -
speed auto
interface FastEthernet0/1
ip address 170.1.18.8 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map AAA interface Ethernet1/0 ip
address
255.255.255.0 ip nat inside
ip virtual-reassembly half-duplex
interface Ethernet1/1 no ip address shutdown half-duplex
interface Ethernet1/2 no ip address shutdown half-duplex
- 25 -
172.21.1.254
interface Ethernet1/3 no ip address shutdown half-duplex router eigrp 101
redistribute static metric 10000 1000 255 1 1500
network 172.21.1.254 0.0.0.0 no auto-summary router eigrp 201
redistribute eigrp 101 metric 10000 1000 255 1 1500
network 172.21.20.8 0.0.0.0 no auto-summary router ospf 101 log-adjacency-changes
redistribute eigrp 101 subnets network 172.21.11.8 0.0.0.0 area 0 distance 80 ip http server
no ip http secure-server ip forward-protocol nd
- 26 -
ip route 0.0.0.0 0.0.0.0 170.1.18.1 ip nat inside source list 1 interface FastEthernet0/1 overload
access-list 1 permit 172.21.0.0 0.0.3.255
access-list 120 permit 170.1.18.8 host 170.1.49.9 control-plane line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login end
2、
R9
hostname R9 boot-start-marker boot-end-marker no aaa new-model memory-size iomem 5 ip cef
- 27 -
host ip
no ip domain lookup crypto isakmp policy 10 hash md5
authentication pre-share lifetime 3600
crypto isakmp key cisco address 170.1.18.8
crypto ipsec transform-set SET esp-des esp-md5-hmac mode transport
crypto map AAA 1 ipsec-isakmp set peer 170.1.18.8 set transform-set SET match address 120 interface Loopback0
ip address 1.1.1.9 255.255.255.255 interface Tunnel0 bandwidth 50000
ip address 172.21.20.9 255.255.255.0 delay 10
tunnel source 170.1.49.9 tunnel destination 170.1.18.8
- 28 -
interface FastEthernet0/0
ip address 170.1.49.9 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map AAA
interface FastEthernet0/1
ip address 172.21.12.9 255.255.255.0 duplex auto speed auto
interface Ethernet1/0 ip
address
172.21.4.254
255.255.255.0 ip nat inside
ip virtual-reassembly half-duplex
interface Ethernet1/1 no ip address shutdown half-duplex
interface Ethernet1/2
- 29 -
no ip address shutdown half-duplex
interface Ethernet1/3 no ip address shutdown half-duplex router eigrp 201
network 172.21.4.0 0.0.0.255 network 172.21.20.9 0.0.0.0 no auto-summary router rip version 2
network 172.21.0.0 no auto-summary ip http server
no ip http secure-server ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 170.1.49.4 ip nat inside source list 1 interface FastEthernet0/0 overload
access-list 1 permit 172.21.4.0
- 30 -
0.0.0.255
access-list 120 permit ip host 170.1.49.9 host 170.1.18.8 control-plane line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login end
4.4、配置MPLS VPN
为配置MPLS VPN,实现企业网络内部互相访问,本课题设计如下: 1、服务提供商内部使用ospf互联,所有路由器之间不选DR/BDR 2、自治系统号使用3001
3、PE和CE之间的路由协议为:中心站点使用ospf,分支站点使用rip 具体配置如下: 1、R5
hostname R5 boot-start-marker boot-end-marker no aaa new-model
- 31 -
memory-size iomem 5 ip cef
no ip domain lookup ip vrf C rd 100:1
route-target export 100:1 route-target import 100:1 mpls label range 500 599 interface Loopback0
ip address 1.1.1.5 255.255.255.255 interface FastEthernet0/0 ip vrf forwarding C
ip address 172.21.11.5 255.255.255.0 duplex auto speed auto
interface FastEthernet0/1
ip address 10.1.56.5 255.255.255.0 ip ospf network point-to-point duplex auto speed auto mpls ip
interface Ethernet1/0
- 32 -
no ip address shutdown half-duplex
interface Ethernet1/1 no ip address shutdown half-duplex
interface Ethernet1/2 no ip address shutdown half-duplex
interface Ethernet1/3 no ip address shutdown half-duplex
router ospf 101 vrf C log-adjacency-changes
redistribute bgp 3001 subnets network 172.21.11.0 0.0.0.255 area 0 router ospf 1 router-id 1.1.1.5 log-adjacency-changes
- 33 -
network 1.1.1.5 0.0.0.0 area 0 network 10.1.56.0 0.0.0.255 area 0 router bgp 3001
no bgp default ipv4-unicast bgp log-neighbor-changes neighbor 1.1.1.7 remote-as 3001 neighbor 1.1.1.7 update-source Loopback0
addrss-family vpnv4 neighbor 1.1.1.7 activate neighbor 1.1.1.7 send-community extended
exit-address-family address-family ipv4 vrf C
redistribute ospf 101 vrf C match internal external 1 external 2
no synchronization exit-address-family ip http server
no ip http secure-server ip forward-protocol nd control-plane
- 34 -
line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login End
2、R6
hostname R6 boot-start-marker boot-end-marker no aaa new-model memory-size iomem 5 ip cef
no ip domain lookup mpls label range 600 699 interface Loopback0
ip address 1.1.1.6 255.255.255.255 interface FastEthernet0/0
ip address 10.1.67.6 255.255.255.0 ip ospf network point-to-point duplex auto
- 35 -
speed auto mpls ip
interface FastEthernet0/1
ip address 10.1.56.6 255.255.255.0 ip ospf network point-to-point duplex auto speed auto mpls ip
interface Ethernet1/0 no ip address shutdown half-duplex
interface Ethernet1/1 no ip address shutdown half-duplex
interface Ethernet1/2 no ip address shutdown half-duplex
interface Ethernet1/3 no ip address
- 36 -
shutdown half-duplex router ospf 1 router-id 1.1.1.6 log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
ip http server
no ip http secure-server ip forward-protocol nd control-plane line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login end
3、R7
hostname R7 boot-start-marker boot-end-marker
- 37 -
no aaa new-model memory-size iomem 5 ip cef
no ip domain lookup ip vrf C rd 100:1
route-target export 100:1 route-target import 100:1 mpls label range 700 799 interface Loopback0
ip address 1.1.1.7 255.255.255.255 interface FastEthernet0/0
ip address 10.1.67.7 255.255.255.0 ip ospf network point-to-point duplex auto speed auto mpls ip
interface FastEthernet0/1 ip vrf forwarding C
ip address 172.21.12.7 255.255.255.0 duplex auto speed auto
- 38 -
interface Ethernet1/0 no ip address shutdown half-duplex
interface Ethernet1/1 no ip address shutdown half-duplex
interface Ethernet1/2 no ip address shutdown half-duplex
interface Ethernet1/3 no ip address shutdown half-duplex router ospf 1 router-id 1.1.1.7 log-adjacency-changes
network 1.1.1.7 0.0.0.0 area 0 network 10.1.67.0 0.0.0.255 area 0 router rip
- 39 -
address-family ipv4 vrf C redistribute bgp 3001 metric 3 network 172.21.0.0 no auto-summary version 2
exit-address-family router bgp 3001
no bgp default ipv4-unicast bgp log-neighbor-changes neighbor 1.1.1.5 remote-as 3001 neighbor 1.1.1.5 update-source Loopback0
address-family vpnv4 neighbor 1.1.1.5 activate neighbor 1.1.1.5 send-community extended
exit-address-family address-family ipv4 vrf C redistribute rip metric 2 no synchronization exit-address-family ip http server
- 40 -
no ip http secure-server ip forward-protocol nd control-plane line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login end
- 41 -
第五章 小结
5.1、架构设计中的问题
在此毕业设计之前,虽然利用课余时间学习过一些CISCO方面的知识,但
- 42 -
总体来说对于如何配置VPN不是很了解。所以IPsec的配置对我来说是一样相对陌生的一个设计,短时间内如何学习,如何适应VPN成了我在完成毕业设计前的主要任务。虽然之前我有过一些CISCO方面的基础,虽然他们使用的IOS以基本差不多,但是相对于我这个门外汉而言,在设计的过程中还是遇到了不少的问题,不过,在不断地摸索和老师的指点下,很快适应了,并学会了如何配置。
在毕业设计的过程中,我就曾考虑到如何自己搭建模拟器的环境将是件非常复杂的事情,所以在毕业设计之前,我研究了很多书籍,也在网上看了很多别人的经验所得,否则,如果我的基础打不好,我的万丈高楼又从何起呢?幸好,在一些有经验的人的指点下,我终于将我的模拟环境搭配了出来,同时也学到了不少有关网络设备硬件方面的知识。
接着,对我来说,最重要的IPsec VPN的配置问题终于到来。通过学习,对于这块的知识点,我终于有所了解。可是同样问题也出现了,只懂原理,但从来没有任何实践经验的我,在调试的过程中,总是一次次的碰到这个或那个的问题,例如老是PING不通,冗余链路无法正常启用等等。但最后,通过耐心和细心,我终于完成了此毕业设计,因为差错往往就在那些细小的细节之间。
最后,就是测试,我觉得测试就是搞破坏,想尽一切方法去测试这个网络,要尽全力去找出这个网络的BUG所在,毕竟这是个为企业安全所设计的网络,在平时的工作中,企业是容不得有任何的差错,否则产生的损失将是非常巨大的。
5.2、总结
通过此次毕业设计的开发,我对于CISCO的这个IOS更是有了深刻的了解,因为这是个融会贯通的过程,它中间不仅结合了路由,交换的知识,更设计到了企业安全的知识。经过此次毕业设计,让我了解了整个企业网络的搭建过程,虽然这是项极其繁琐的工作,但是在设计的过程中总会碰到些不同的,或大或小的问题,在每一次解决问题的过程中,我也总能从中学到一些新的知识,以及一些新的思考、解决问题的思路。
- 43 -
致谢
毕业设计是考验一个学生在大学学习的成果以及动手能力,它可以衡量一个本科毕业生是否达到完成学业而准予毕业的标准,对于本次毕业设计我十分地重视。
首先要感谢我的父母和我的导师,如果没有他们对我的大力协助,我想此
- 44 -
次毕业设计我无法这么顺利的完成。从选题到方案的确定,在到基础环境的搭建,每次,当我在技术上遇到瓶颈问题的时候,刘老师总会对我细心指导以及鼓励。他那种对工作的认真和对科学严谨的态度让我印象深刻,在他身上我学会了很多做人的道理;最重要的是学会了遇到问题解决问题的方法,在此我向刘老师表示最真挚的谢意!
参考文献
1、(美)Todd Lammle等 CCNA学习指南(第6版) 电子工业出版社 2、俞黎阳 计算机网络工程试验教程 清华大学出版社 3、沈昌祥 局域网安全管理实践教程 清华大学出版社
- 45 -
4、(美)Hardening Network Infrastrcture 清华大学出版社
5、CCNP学习指南:组建可扩展的Cisco互连网络(BSCI)第三版 作者:Diane Teare&Catherine Paquet
6、CCNP ISCW认证考试指南 作者:Brian Morgan&Neil Lovering
7、CCNP学习指南:组建Cisco多层交换网络(BCMSN)(第四版) 作者:Richard Froom&Balaji Sivasubramanian&Erum Frahim
- 46 -
因篇幅问题不能全部显示,请点此查看更多更全内容