广域网技术.ppt

广域网技术 课程目标 一 OSPF路由协议二 BGP路由协议三 VPN技术 OSPF协议原理OSPF配置OSPF调试 监控OSPF排错 OSPF协议基本概念 RouterID一个32 bit的无符号整数 是一台路由器的唯一标识 在整个自治系统内唯一1 所有物理端口ip地址最大者为RID 2 如有逻辑管理接口Loopback0 loopback1等 则逻辑端口ip为RID 有多个逻辑接口 ip大者为RID 协议号OSPF是基于IP的 其协议号是89 选举DR BDR规则 选举DR BDR的时候要比较hello包中的优先级 优先级最高的为DR 次高的为BDR 不作修改默认端口上的优先级都为1 在优先级相同的情况下比较RouterID RID最高者为DR 次高者为BDR 当你把相应端口优先级设为0时 OSPF路由器将不能再成为DR BDR 只能为DROTHER DR BDR选举完成后 DROTHER就只和DR BDR逻辑上形成邻居关系 OSPF协议计算路由过程 LSDB RTA的LSA RTB的LSA RTC的LSA RTD的LSA 2 每台路由器的LSDB 3 由链路状态数据库生成带权有向图 C A B D 1 2 3 5 RTA RTB 1 网络的拓扑结构 4 每台路由器分别以自己为根节点计算最小生成树 OSPF的五种协议报文 Hello报文发现及维持邻居关系 选举DR BDRDD报文本地LSDB的摘要LSR报文向对端请求本端没有或对端的更新的LSALSU报文向对方发送其需要的LSALSAck报文收到LSU之后 进行确认 OSPF的邻居状态机 两台路由器之间建立邻接关系的过程 划分区域 骨干区域和虚连接 LSA 链路状态通告 分类 Router LSA由区域内每个路由器生成 描述了路由器的链路状态和花费 只能在本区域内泛洪广播Network LSA 由DR生成 描述了DR和BDR连接的路由器的链路状态 传递到整个区域Net Summary LSA 由ABR生成 描述了到区域内某一网段的路由 传递到相关区域Asbr Summary LSA 由ABR生成 描述了到ASBR的路由 传递到相关区域AS External LSA 由ASBR生成 描述了到AS外部的路由 传递到整个AS STUB区域除外 接口分类及路由器分类 OSPF协议根据链路层媒体不同分为以下四种网络类型 Broadcast NBMA Point to Point Point to Multipoint 路由器根据在自治系统中的不同角色划分为 IAR ABR BBR ASBR 一个运行OSPF协议的接口状态根据接口的不同类型可划分为 DR BDR DROther point to point OSPF为什么是无自环的 每一条LSA 链路状态广播 都标记了生成者 用生成该LSA的路由器的RouterID标记 其它路由器只负责传输 这样不会在传输的过程中发生对该信息的改变或错误理解路由计算的算法是SPF算法 计算的结果是一棵树 路由是树上的叶子节点 从根节点到叶子节点是单向不可回复的路径 OSPF协议原理OSPF配置OSPF调试 监控OSPF排错 何时需要运行OSPF协议 网络的规模网络中的路由器在10台以上 中等或大规模的网络网络的拓扑结构网络的拓扑结构为网状 并且任意两台路由器之间都互通的需求其它特殊的需求要求路由变化时能够快速收敛 要求路由协议自身的网络开销尽量降低对路由器自身的要求运行OSPF协议时对路由器的CPU的处理能力及内存的大小都有一定的要求 性能很低的路由器不推荐使用OSPF协议 配置OSPF协议 区域划分 划分区域的基本原则按照自然的地区或者行政单位划分按照网络中的高端路由器来划分按照IP地址的规律一些制约条件区域的规模与骨干区域连通ABR的处理能力 启动OSPF协议的基本配置 配置路由器的RouterID H3C routeridA B C D启动OSPF协议 H3C ospf process id router idrouter id vpn instancevpn instance name 配置OSPF区域 H3C ospf 1 areaarea id在指定网段使能OSPF H3C ospf 1 area 0 0 0 0 networkip addresswildcard mask OSPF协议原理OSPF配置OSPF调试 监控OSPF排错 显示OSPF的运行状态 displayospfbriefdisplayospferrordisplayospfinterfacedisplayospfpeer 显示OSPF的调试信息 debuggingospfeventdebuggingospflsadebuggingospfpacketdebuggingospfspf OSPF协议原理OSPF配置OSPF调试 监控OSPF排错 OSPF的故障排除 配置故障排除首先检查是否已经启动并且正确配置了OSPF协议局部故障排除检查两台直接相连的路由器之间协议运行是否正常全局故障排除从网络拓扑结构角度考虑 区域是否配置正确 如果OSPF协议不能正常运行 可按如下步骤进行检查 协议基本配置是否正确 是否已经为本路由器配置了RouterID检查OSPF协议是否已成功地被激活检查需要运行OSPF的网段是否已经被使能检查是否已正确地引入了所需要的外部路由 邻居路由器之间的故障 检查物理连接及下层协议是否正常运行检查在接口上配置的OSPF参数 某些参数必须保证和与该接口相邻的路由器的参数一致检查在同一接口上dead interval值应至少为hello interval值的4倍在广播和NBMA类型的网络中至少有一台路由的priority应大于零区域的STUB属性必须一致接口的网络类型必须一致在NBMA类型的网络中是否手工配置了邻居 错误的区域划分 其它疑难杂症 路由表中丢失部分路由路由表不稳定 时通时断无法引入自治系统外部路由区域间路由聚合的问题 RTC 本章总结 OSPF的特性OSPF邻居关系的建立OSPF的DR BDR选举OSPF的区域划分以及区域间的通信OSPF的配置及其调试命令OSPF常见故障的处理 课程目标 一 OSPF路由协议二 BGP路由协议三 VPN技术 BGP基本规划BGP常用属性的规划BGP大规模部署 何时使用BGP 网络过于庞大 IGP路由难以胜任网络中的路由需要进行大量的路由策略进行分流和过滤网络中需要部署MPLSVPN BGP协议概述 BGP是外部路由协议 用来在AS之间传递路由信息是一种距离矢量的路由协议 从设计上避免了环路的发生为路由附带属性信息传送协议 TCP 端口号179支持CIDR 无类别域间路由 路由更新 只发送增量路由丰富的路由过滤和路由策略 BGP两种邻居 IBGP和EBGP EBGP EBGP RTB RTC IBGP RTA RTD RTE AS100 AS200 AS300 BGPRouterID的规划 BGP的RouterID建议使用设备的Loopback接口 作为唯一标识 核心设备或主要路由发布的网络设备选用较小的RouterID ASnumber的规划 如果不与Internet互连 建议使用私有AS号使用范围从65400 65535多个AS时 采用自然连续编号 相邻体的规划 采用IBGP还是EBGP由网络规模和控制策略决定IBGP邻居采用Loopback接口建立邻接关系EBGP邻居采用互连接口建立邻接关系IGP保证建立邻接关系的接口地址可达 BGP路由的发布 BGP本身没有路由发现功能 它的路由发布依赖于本路由表中的IGP路由BGP路由的发布可采用静态注入路由表networkX X X Xmask255 X X XBGP路由的发布采用动态引入其它路由协议的路由importotherigpprotocalBGP路由的发布也可采用配置黑洞路由 静态或动态引入BGP路由表的方式 BGP报文种类 BGP报文有四种类型 Open 打招呼 你好 跟我交个朋友吧 KeepAlive 我还活着呢 别不理我 Update 有新闻 Notification 我不跟你玩了 BGP基本规划BGP常用属性的规划BGP大规模部署 起点 Origin 属性 利用Origin属性 可分析此路由的产生源Incomplete动态注入IGP静态注入尽量使用静态方式注入 除非路由数目非常巨大 且无法聚合 下一跳 Next hop 属性 IBGP邻居发布路由时不会改变路由的下一跳EBGP邻居发布路由时 建议由本AS内的ASBR设置改变下一跳 尽量避免将ASBR之间的直连路由发布到本AS中的IGP中 灵活使用LP及MED属性进行业务的分流 本AS内的出AS流量可采用LP Local prefernce 属性进行控制 从其它AS进入本AS的流量 可采用MED属性进行控制 两者之间的功能需求实现一致 注意如果是单AS 只能使用LP属性 MED属性只能用在AS之间 LP属性用在AS内 BGP基本规划BGP常用属性的规划BGP大规模部署 大规模BGP部署 IBGP相邻体过多 采用路由反射器或联盟方式建议多使用路由反射器 RR 并作分级反射BGP路由在注入时 尽量作聚合 采用动态或静态方式 对性能较差的设备 在运行BGP时 尽量采用只发布本地路由 不接收或少接收相邻体路由的方式 大规模BGP部署 当路由振荡比较频繁时 建议采用BGP路由惩罚多设置community属性 便于对不同的路由进行分类控制 本章总结 BGP路由协议的基本规划BGP路由协议属性的应用BGP的大规划部署原则 课程目标 一 OSPF路由协议二 BGP路由协议三 VPN技术 VPN网络设计原则L2TPVPN网络设计IPSECVPN网络设计GREVPN网络设计 VPN设计原则 安全性原则 隧道与加密数据验证用户识别与设备验证入侵检测 网络接入控制 隧道与加密 应用和业务服务器 总部网络中心 分支机构 合作伙伴 secpoint AAA服务器 出差员工 IPSEC L2TP IPSEC GRE L2TP隧道协议最适合移动用户的VPN接入GRE隧道协议最适合站点到站点的VPN接入 支持动态路由协议IPSEC提供数据加密和数据完整性 数据验证 IPSEC协议提供特定的通信双方之间在IP层通过加密与数据源验证 以保证数据包在Internet网上传输时的私有性 完整性和真实性 用在VPN上IPSEC协议族与其他隧道协议相配合完成VPN数据报文的加密和验证 IPSEC 用户识别与设备验证 VPN可使合法用户访问他们所需的企业资源 同时还要禁止未授权用户的非法访问 这一点对于AccessVPN和ExtranetVPN具有尤为重要的意义 建立VPN连接的设备之间进行验证可以确保VPN隧道的安全可靠 设备验证 SecurID 数字证书 SecKey 认证服务器 用户识别 入侵检测 网络接入控制 网络入侵检测系统需要同VPN设备进行配合 通过分析源自或送至VPN设备的信息流 避免通过VPN连接使内部网络受到攻击 一般来讲VPN接入的用户可以访问内部网络中大部分资源 可以考虑对VPN接入用户进行分级和控制 确保内部网络的运行安全 VPN网络设计原则L2TPVPN网络设计IPSECVPN网络设计GREVPN网络设计 L2TP连接方式选择 L2TPVPN适用于移动办公用户的VPN接入 可以提供严格的用户验证功能 确保VPN接入用户的合法性 L2TPVPN的连接方式分为两种 PC直接发起连接和LAC设备发起连接 两种方式适用于不同企业对于VPN接入控制和管理的不同要求 L2TP认证方式选择 L2TPVPN可以提供LAC侧的用户接入验证和LNS侧的用户再次验证 可以提供比较安全的VPN接入功能 LAC Client LNS HOST HomeLAN Internet L2TPTUNNEL L2TP安全性考虑 L2TPVPN本身虽然提供较为严格的接入用户的认证功能 但不提供VPN数据的加密功能 如果需要对数据进行安全加密可以同IPSEC协议进行配合 LAC Client LNS HOST HomeLAN Internet L2TPOVERIPSEC L2TP中的NAT问题 LAC Client LNS HOST HomeLAN Internet NAT PUB 202 38 1 1 PUB 202 38 1 2 Pri 1 1 1 1 Pri 1 1 1 2 L2TPOVERIPSEC LAC在同位于NAT之后的LNS建立连接时可能会出现问题 VPN网络设计原则L2TPVPN网络设计IPSECVPN网络设计GREVPN网络设计 站点到站点IPSECVPN的拓扑设计 IPSECVPN网络拓扑结构选择全网状连接部分网状连接星形连接分层的星形连接 移动办公用户IPSECVPN接入 IPSECTUNNEL 移动办公用户接入IPSECVPN的考虑笔记本电脑软件防火墙 防病毒软件的安装硬件防火墙同VPN网关相互配合使用防火墙和VPN网关功能相互融合的设备 IPSECVPN中的INTERNET通讯 远程VPN站点可以通过两种方式访问INTERNET集中式 访问INTERNET的流量统一由总部的VPN节点进行转发分布式 访问INTERNET的流量由本地的VPN节点进行转发 VPN流量和上网流量都需要由总部统一进行转发 集中式 分布式 只有VPN流量由总部进行转发 IPSECVP