MPLS VPN环境下的网络管理系统的部署

1、金融网络MPLS/VPN 环境下的CiscoWorks2000网络管理的部署 在MPLLS/VVPN网网络环境境下，由由于骨干干网和各各VPNN之间的的IP可可通达性性被隔离离，基于于SNMMP的网网络管理理模式和和传统IIP网络络有所不不同。本本文不介介绍Ciiscooworrks 20000和VVPN Sollutiion Cennterr的使用用，只从从网管系系统和被被管设备备的部署署的角度度介绍几几种方式式以及各各自的优优点和需需要考虑虑的方面面。虽然MPLLS/VVPN将将网络分分成了PP Neetwoork （服务务提供商商网）和和 C Nettworrk( 客户网网络，即即各VP

2、PN)，对对于银行行或证券券公司网网络来说说，仍然然属于同同一个管管理域之之下。例例如，对对于一个个省行，其其骨干网网和各业业务子系系统网络络都需要要从省分分行网络络中心进进行统一一管理。网网络管理理系统如如何部署署，可以以有以下下的几种种方式。P网和C网网分离进进行管理理 一种方式是是骨干网网和各VVPN有有各自的的网管系系统。这这种方式式不需对对PE路路由器作作任何特特殊配置置，在骨骨干网、各各VPNN都设置置各自的的网络管管理系统统。如下下图所示示：C NetworkCECEPEPEMPLSCoreC NetworkCECEPEPEMPLSCore网管中心网管中心CW2000 ForCW

3、2000 For BackboneVPNSolution CenterCW2000CW2000for VPN骨干网的网网管放置置在全局局（Glloblle），负负责管理理P和PPE设备备，拓扑扑图只显显示骨干干网的拓拓扑。VPN的网网管放置置在VPPN内部部，负责责管理所所在VPPN的所所有设备备，包括括其他SSitee的C 网设备备（设置置拓扑发发现时，针针对每一一Sitte都需需设一个个Seeed AAddrresss），网网络拓扑扑图只显显示其所所在VPPN 的的拓扑图图。可能能会出现现各个SSitee的拓扑扑图分离离的现象象，某些些网管软软件能手手工添加加虚拟链链路，即即把MPPLS骨

4、骨干网看看做一条条链路。这种方式不不需对PPE路由由器的配配置作任任何修改改，各网网管系统统有各自自的管理理范围，适适合于管管理分工工明确、细细化的客客户。但但客户需需配置多多台网管管工作站站和多套套网管软软件。CE设备在在骨干网网管理系系统之外外，不需需要从CCE到骨骨干网的的IP 可通达达性。从从骨干网网管理中中心不能能通过SSNMPP，Teelneet等访访问到CCE，不不能通过过VPNN Sooluttionn Ceenteer 来来配置、管管理CEE，以及及用SAA代理来来测试CCE之间间的响应应时间等等。各CE设备备IP地地址空间间独立。CC网路由由和骨干干网路由由完全分分离。用同

5、一网管管平台对对所有PP网设备备和C网网设备进进行管理理 另一一种方式式是用同同一网管管平台对对骨干网网和客户户网络设设备进行行管理，即即CE也也由骨干干网网管管来管理理。被管CE处处于骨干干网的管管理域，因因此，需需要从CCE到骨骨干网网网管的IIP联通通性，能能够从CCE访问问到网管管所在的的网段。骨干网网管管能管理理到CEE的IPP地址、主主机名、口口令和SSNMPP sttrinngs。骨干网网管管能管理理到： Fauult mannageemennt、cconffiguurattionn maanaggemeent(colllecctinng, arcchivvingg, &ress

6、torringg， aaudiit)。C网和P网网的路由由有交互互。可以从VPPN SSoluutioon CCentter 对CEE进行管管理和配配置，可可以用SSA代理理来测试试CE之之间的响响应时间间，也可可以用NNetffloww Coolleectoor。首先，要建建立一个个网络管管理子网网（ NNetwworkk Maanaggemeent Subbnett）。网络管理子子网连接接MPLLS VVPN Sollutiion Cennterr工作站站，和其其他网络络管理工工作站（CCW20000，OOpennvieew等）。一旦一台CCE接入入到一个个VPNN后，用用传统的的IPVV

7、4路由由就无法法到达这这台设备备。但网网络管理理子网要要求必须须能访问问到被管管理CEE设备。因此，需要要考虑以以下问题题：如何控制骨骨干网和和CE路路由器之之间不必必要的互互通路由由（除了了网管信信息）？如何控制CCE路由由器和骨骨干网以以及其他他VPNN CEE之间的的互通路路由？如何提供有有效的安安全性？如何防止路路由循环环？部署了MPPLS/VPNN之后的的可通达达性的改改变？在把CE放放入一个个VPNN之前，可可能可以以同Ippv4到到达CEE。一旦旦CE放放入VPPN之后后，就不不能以IIPV44 到达达CE。除除非 经经适当配配置后 从网管管子网。在非帧中继继/ATTM链路路上，

8、服服务请求求不能到到Depployyed状状态，除除非有网网管子网网。网络管理子子网实施施技术：网络管理子子网必须须能访问问到管理理CE（MMCE），PPE，和和NettFloow CColllecttor。当需要带内内（innbaand）管管理CEE时，网网管子网网是必须须的，这这里带内内是指客客户的VVPN 流量和和网络管管理流量量使用同同一条链链路来传传送。Managgemeent CE(MCEE)网管子网连连接到MMCE，MMCE作作为网管管中心的的网关。MMCE可可以在MMPLSS VPPN SSoluutioon CCentter网网管软件件中定义义。Managgemeent PE

9、 (MPPE)管管理PEE连接MMCE到到骨干网网。MPPE可以以和连接接其他VVPN CE的的PE 共用一一台设备备。目前，网管管子网有有三种部部署方式式：MPE-MMCE 之间的的链路使使用一个个网管VVPN来来连接所所有需要要管理的的CE设设备；而而连接PPE和NNetffloww Coolleectoor，MMPE-MCEE则使用用并行的的Ipvv4链路路。Extraanett Muultiiplee VPPN 技技术MPE-MMCE的的链路使使用外联联多VPPN技术术来连接接所有被被管理的的CE；而连接接PE和和Nettfloow CColllecttor，MMPE-MCEE则使用用

10、并行的的Ipvv4链路路。带外管理带外管理，MMCE和和所有被被管理的的CE和和PE之之间都有有Ipvv4的连连接，oout-of-bannd 指指PE之之间用单单独的链链路来传传送网管管流量。当采用管理理VPNN 方式式（即上上面的第第一种），如如图所示示：MPE-MMCE使使用一个个mannageemennt VVPN来来连接到到被管理理CE，VVPN的的每个需需要被管管理的CCE也要要加到管管理VPPN，这这可以通通过VPPN SSoluutioon CCentter或或者CLLI来配配置。只有需要管管理的CCE的路路由（通通常是CCE上的的looopbaack口口的地址址）才会会进入m

11、manaagemmentt VPPN的VVRF，这这通过定定义rooutee maap来控控制immporrt rrt 和和expportt rtt来实现现。网管管子网和和各被管管CE采采用Huub-SSpokke方式式部署，即即被管CCE只能能和网管管子网通通信，网网管也只只能到达达各被管管设备（CCE和PPE相连连的地址址或者是是CE的的Looopbaack地地址），而而不能到到达VPPN里的的其他地地址。另外MPEE和MCCE还需需要一条条并行的的nonn-MPPLS VPNN链路。Extraanett Muultiiplee VPPN这种方式的的关键概概念是： MPPE-MMCE是是所

12、有被被管VPPN的一一部分，即即网管子子网实际际上是一一个所有有被管VVPN的的交叠区区域（ooverrlapppinng ssitee）。当当你加一一个新的的VPNN到这个个交叠区区时，必必须把这这个VPPN 加加到MPPE-MMCE。另另外，MMPE-MCEE之间还还需要并并行的IIpv44链路。在Extrraneet MMulttiplle VVPN(有时称称为raainbbow VPNN)方式式，需要要考虑安安全控制制和访问问列表，但但所有这这些考虑虑只集中中在MPPE和MMCE。MPE包括括了到所所有被管管理VPPN的BBGP路路由。只有MPEE有所有有VPNN的路由由，其他他PE则

13、则不会。即即所有客客户网络络的路由由只在MMPE的的VRFF中。只需在MPPE-MMCE上上用ACCL控制制安全。如果必要，可可以很容容易创建建另外一一个MPPE-MMCE。带外管理(Outt-off-Baand)带外管理不不需要mmanaagemmentt VPPN来管管理CEE。带外外的连接接提供IIpv44链路，PPE之间间、PEE-CEE之间有有另外的的链路来来传送网网管信息息。带外管理技技术相对对简单，不不需要设设置maanaggemeent VPNN。但对对每一需需要管理理的CEE都要有有Ipvv4的连连接，费费用昂贵贵，同时时实际实实施起来来比较复复杂。建议采用PP网和CC网分离

14、离进行管管理或者者建立mmanaagemmentt VPPN的方方式。 (4) 保证管管理网络络的安全全性尽管设置mmanaagemmentt VPPN，在在VRFF中对路路由进行行了控制制，为了了网管子子网和CCE的安安全性，仍仍需在CCE上设设置ACCL来限限制对CCE的访访问，设设置对端端口号的的限制很很重要，例例如只允允许来自自网管的的SNMMP、TTFTPP。建议如下：允许从网管管到CEE址的SSNMPP、TFFTP等等，拒绝绝其他允许从CEE到网管管的已经经建立的的TCPP （eestaabliisheed），拒拒绝其他他以上的ACCL应用用在CEE连接PPE的端端口的输输入列表表

15、（innputt liist）。这这样VPPN中的的其他设设备（未未被管理理的CEE或者主主机、服服务器等等）不能能和网管管建立连连接。只只有从合合法地址址（CEE 上用用于网络络管理的的地址）来来的对网网管的响响应能进进入网管管子网。另一个选项项是缩小小网管子子网，例例如在MMPE上上建立332位掩掩码的静静态路由由：IP rooutee vrrf mmanaagemmentt MCEE_adddreessIP rooutee vrrf mmanaagemmentt MMCE_adddresss为了防止不不正确的的路由的的注入，可可以加一一条：ip rooutee vrrf mmanaage

16、mmentt 0.0.00.0/0 nnulll0为防止从CCE访问问到MCCE，还还可以在在MPEE上与MMCE连连接的端端口上设设置输出出ACLL：peermiit ppackket to MPPLS VPNN sooluttionn Hoost, CWW20000 HHostt,CIIPM Hosst eetc.and ddenyy evvertthinng eelsee网管安全总总结：1. MPPE上配配置以下下命令:ip rooutee vrrf mmanaagemmenttMPLLS VVPN Sollutiion hosstipp/322 ip rooutee vrrf mman

17、aagemmenttcippm hhosttip/32 To duump unkknowwns, addd tthiss coommaand:ip rooutee vrrf mmanaagemmentt 0.0.00.0/0 NNulll02. 在MMCE、CCE 上上也尽可可能使用用静态路路由如果必须使使用动态态路由，可可以用RRIP。只只进行路路由的单单向重分分发：从从BGPP重分发发到RIIP，但但不要反反向分发发。3. MCCE上设设置ACCL ：outpuut aacceess lisst: on linnk witth aacceess to thee VPPNs, maake a

18、n outtputt acccesss llistt ass foolloows: permmit MPPLS VPNN Sooluttionn hoost, CIIPM hosst to denyy alllThe iinpuut aacceess lisst iis aas ffolllowss: permmit to MPPLS VPNN Sooluttionn hoost, CIIPM hosst witth ttcp-esttabllishhed denyy alll4. 为保保护 MManaagemmentt CEE, 在在MPEE与MCCE相连连的maanaggemeent VP

19、NN端口上上设置AACL: permmit to MPPLS VPNN Sooluttionn hoost, CIIPM hosst denyy alll5. 如果果需要，在在MPEE与MCCE之间间Ipvv4链路路上也可可以设置置ACLL，这取取决于从从骨干网网上访问问网管子子网的需需要。附录：测试MPLS/VPNN 环境境下网络络管理集中中管理PP、PEE和CEE路由器器虽然MPLLS/VVPN将将网络分分成了PP Neetwoork （服务务提供商商网）和和 C Nettworrk( 客户网网络，即即各VPPN)，对对于银行行或证券券公司网网络来说说，仍然然属于同同一个管管理域之之下。例

20、例如，对对于一个个省行，其其骨干网网和各业业务子系系统网络络都需要要从省分分行网络络中心进进行统一一管理。即即从同一一网管平平台，能能够对全全网（包包括P路路由器、PPE路由由器、需需集中管管理的CCE路由由器和其其他C网网设备）进进行管理理。本测试即采采用同一一网管平平台（CCisccoWoorkss foor WWinddowss 6.0）对对所有PP网设备备和C网网设备进进行管理理 。 要求：被管CE处处于骨干干网的管管理域，因因此，需需要从CCE到骨骨干网网网管的IIP联通通性，能能够从被被管CEE的Looopbbackk端口访访问到网网管所在在的网段段。能够够从网管管访问到到被管设设

21、备的LLooppbacck地址址（piing、ttelnnet、ssnmpp）。但但C网内内其他地地址不能能和网管管网段互互通。CCE也不不能通过过网管网网段访问问到其他他VPNN的被管管CE。骨干网网管管能管理理到P、PPE、CCE的IIP地址址、主机机名、口口令和SSNMPP sttrinngs。骨干网网管管能管理理到： Fauult mannageemennt、cconffiguurattionn maanaggemeent(colllecctinng, arcchivvingg, &resstorringg， aaudiit)。骨干网网管管上能用用CisscoVVieww管理PP、PE

22、E、和CCE设备备。首先，要建建立一个个网络管管理子网网（ NNetwworkk Maanaggemeent Subbnett）。网络管理子子网连接接MPLLS VVPN Sollutiion Cennterr工作站站，和其其他网络络管理工工作站（CCW20000，OOpennvieew等）。本本次测试试中采用用CisscoWWorkks ffor Winndowws 66.0。网络拓扑如如下：P1P1CiscoWorksMCECiscoWorksMCE/24/24/24/24/24/24/24/24/24/.1.0/24/24/.1.0/24/24/24/3/3/24CE/3/3/24CE2

23、/24PE2PE1(MPE)/24PE2PE1(MPE)/24CE1/24CE119211.11.0/24/3/24/3/3219211.11.0/24/3/24/3/32P/24/2410.10.100/32Loopback InterfaceLoopback InterfaceIPv4 Link (Global)IPv4 Link (Global)VPN-IPv4 Link (Management VPN)VPN-IPv4 Link (Management VPN)PE1作为为MPEE（Maanaggemeent PE）， 连接MMCE（MManaagemmentt CEE）。MMCE和和

24、MPEE之间有有两条链链路，一一条是普普通Ippv4 Linnk，在在Glooball地址段段（0/244），用用于网管管子网MMSuubneet（MManaagemmentt Suubneet）和和P、PPE路由由器的通通信。另另一条是是VPNN Ippv4 Linnk， 在M-VPNN（Maanaggemeent VPNN）地址址段（550.00.0.0/224，本本测试中中M-VVPN的的地址为为50.0.00.0），用用于网管管子网和和被管CCE设备备的LOOOPBBACKK端口的的通信。MMPE和和MCEE之间用用静态路路由。CCE1和和PE11之间、CCE2和和P

25、E22之间运运行RIIP2路路由协议议。其他主要参参数配置置如下：VRF 定义义路由器VRF NNameeRDRT RouteeMappPE1（MMPE）vpn1100:11imporrt 1100:1100:33exporrt 1100:1 1000:44(expoort rouute-mapp nmm) Routee-maap nnm mathcc ipp adddreess 1set rroutte-ttargget expportt 1000:44accesss-llistt 1 perrmitt 500.0.2555.2555.2255 vpn2100:22imporr

26、t 1100:2100:33exporrt 1000:2100:44(expoort rouute-mapp nmm)Routee-maap nnm mathcc ipp adddreess 1set rroutte-ttargget expportt 1000:44accesss-llistt 1 perrmitt 500.0.2555.2555.2255managgemeent-VPNN100:33Imporrt 1100:3100:44Exporrt 1000:3PE2vpn1100:11imporrt 1100:1100:33exporrt 1100:1 1000:44(

27、expoort rouute-mapp nmm) Routee-maap nnm mathcc ipp adddreess 1set rroutte-ttargget expportt 1000:44accesss-llistt 1 perrmitt 500.0.2555.2555.2255 vpn2100:22imporrt 1100:2100:33exporrt 1000:2100:44(expoort rouute-mapp nmm)Routee-maap nnm mathcc ipp adddreess 1set rroutte-ttargget expportt 100

28、0:44accesss-llistt 1 perrmitt 500.0.2555.2555.2255注意： mmanaagemmenttVPPN只在在MPEE上定义义。vpn1和和vpnn2的VVRF定定义时，eexpoort rouute-tarrgett 用了了rouute-mapp。 这这个rooutee-maap的作作用是：只有地地址符合合50.0.00.0 0.2255.2555.2555时，eexpoort的的RT 为1000:44（这也也是maanaggemeentvpnn vrrf的iimpoort RT）。 50.0.00.0/8地址址段为网网管VPPN的地地址

29、，即即各被管管CE的的Looopbaack端端口的地地址都在在这个地地址段。因因此，在在MPEE上maanaggemeentvpnn vrrf里只只有这个个用于网网管的LLooppbacck 端端口的IIP地址址的路由由，而不不会看到到各VPPN内的的其他路路由，这这样，从从各VPPN的其其他地址址是不能能到达网网管子网网的。同同样，从从网管也也只能到到达被管管CE的的Looopbaack地地址（PPingg、teelneet、SSNMPP）。在MCE上上定义了了两条静静态路由由：ip rooutee 500 2555.00.0.0 50.0.00.1 ( 到被管管CE的的路由走

30、走VPNN liink，下下一跳550.00.0.1是MMPE上上的位于于vrff maanaggemeent的的端口的的IP地地址)ip rooutee 0 2555.00.0.0 （ 到到P、PPE路由由器的路路由走nnon-VPNN liink,下一跳跳 是MPPE上的的位于gglobbal的的端口的的IP地地址）相应地，在在MPEE上的全全局路由由和maanaggemeent VRFF里都配配置上到到网管子子网（550.00.100.0/24）的的静态路路由，分分别指向向50.0.00.2和和。配置完成后后，从网网管机（550.00.100.166）上能能PINNG、TTelnnet到到所有被被管P、PPE、和和CE的的looopbaack端端口。用CWW66.0的的Whaatsuup的拓拓扑发现现功能，得得到网络络拓扑图图如下：可以看到，WWhattsupp发现了了所有被被管设备备及其相相连的网网段。需需要注意意的是，有有的网段段例如VVPN11Siite11的190（CEE1所连连局域网网段）在在拓扑上上能看到到，但从从网管不不能直接接到达，从从网管只只能到达达CE11的Looopbbackk 501。在CWW dessktoop cconssole