mplsvpn的设计与实现

年4月19日mplsvpn的设计与实现文档仅供参考企业MPLSVPN的设计与实现摘要随着网络技术的飞速发展，网络使我们生活更加方便，工作效率大大提高。同时，人们对于网络安全的要求也变得越来越高。VPN（虚拟局域网）作为一种新型的远程网络访问技术，在近两年内受到企业用户的广泛关注。而作为VPN技术中最为重要的MPLSVPN当前还是被公认为最安全，应用广泛的VPN技术。VPN技术应用日益广泛，MPLS已成为实现VPN的一种主要方式。文章对VPN的基本概念，VPN的工作原理及MPLSVPN技术进行了阐述，并设计公司内部网的VPN实际解决方案。AbstractWiththerapiddevelopmentofNetwork,Usingnetworkmakesourlifemoreconvenientandmoreefficient.AVirtualPrivateNetwork(VPN),whichisanewtechniquetoaccesstheremotenetwork,hasbeenwidelyusedintherecentyears.MPLSVPN,themostimportanttechnique,hasbeenregardedasthemostsecureandusedone.MPLSVPNhasbeenthemainmethodtousetheVPNwiththewildlyusedofVPNtechnique.MyessaywillmainlyintroducetheconceptofVPN,thetheoryofVPN,andhowtousetheMPLSVPNtechnique.Atthesametime,IwillmakeasolutionabouttheMPLSVPNinarealenvironmentinthecompany.Keywords:VPN；MPLS目录摘要 -1-第一章绪论 -1-1.1、课程的背景及意义 -1-1.2、MPLSVPN简介 -1-第二章相关技术 -2-2.1、交换技术介绍 -2-2.1.1、VLAN介绍 -2-2.1.2、Ether-channel -2-2.1.3、快速生成树 -3-2.2、多种路由协议 -4-2.2.1、OSPF协议 -4-2.2.2、BGP -6-2.2.3、IS-IS -7-2.3、VPN概况 -8-2.3.1、VPN的定义 -8-2.3.2、VPN的应用 -8-2.3.3、当前几种主要的VPN技术 -9-2.4、MPLS技术 -10-2.4.1、MPLS的功能特性 -10-2.4.2、MPLS体系架构 -11-2.4.3、配置帧模式MPLS -11-第三章企业MPLSVPN需求分析介绍 -13-3.1、企业网络搭建 -13-3.1.1、搭建企业网络的目标 -13-3.1.2、搭建企业网络的常见技术 -13-3.2、建立MPLSVPN -14-第四章企业MPLSVPN的设计及实现 -15-4.1、MPLSVPN的总体设计 -15-4.2、搭建企业内部网络 -15-4.2.1、企业网络设计 -15-4.2.2、企业网络实现 -16-4.3、配置企业网关 -19-4.4、配置MPLSVPN -23-第五章小结 -29-5.1、架构设计中的问题 -29-5.2、总结 -29-致谢 -31-参考文献 -32-第一章绪论1.1、课程的背景及意义如今是信息科技的时代，网络使我们生活更加便捷，工作效率大大提高。同时在工作中，公司们对于网络的要求也随之变得越来越高。当一个集团公司在全球开设分公司，并要求信息共享时，网络信息传输安全变成了一个不得不面正确问题。而MPLSVPN就是如今应用最广泛的网络信息传输安全技术之一。它不但不需要公司支付额外而高昂的费用，同时，只需对思科或者华为技术略有了解的技术员都能够简单而数量的上手，这样也就避免了未来在使用中产生的维护困难的问题。现经过此论文，我将介绍MPLSVPN技术的原理，配置以及在现实工作环境中的应用。经过此技术的应用，公司内部的网络安全将变得比以往任何时刻都更安全，更简便，更快捷。1.2、MPLSVPN简介MPLSVPN（MultiprotocolLabelSwitching)是一种新的WAN技术基于MPLS技术的IP-VPN，其体系架构定义在RFC3031之中。MPLSVPN是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IPVPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。 第二章相关技术2.1、交换技术介绍2.1.1、VLAN介绍VLAN（VirtualLAN，虚拟局域网）是拥有一组共同要求且与物理位置无关的终端设备的逻辑组。大型平面网络一般包括非常多的终端设备，而广播和未知的单播数据包将扩散到网络中的全部端口。使用VlAN的优势之一就是具有对第二层广播域分段的功能，单个VLAN中的全部设备都属于相同的广播域。如果终端设备发送第二层广播，那么VLAN中的其它全部成员都将收到该广播。如果端口或设备不属于相同的VLAN，那么交换机将过滤这些广播。尽管交换机不能在VLAN之间传播第二层广播，但VLAN与物理子网存在轻微的差别。物理子网由相同物理电缆分段中的设备所组成；逻辑子网由相互通信且与物理位置无关的设备所组成。基于上述原因，VLAN是一种逻辑子网，而且其中终端设备的连接不受物理位置的直接限制。取而代之的是交换机的配置能够限制VLAN之间的连通。进一步而言，VLAN能够存在于交换网络中的任何位置。因为VLAN是一个单独的广播域，因此VLAN一般属于某个ip的子网。为了能够在VLAN之间通信，数据包必须经过路由器或者第三层设备。端到端VLAN是能够扩展到整个网络的VLAN。本地VLAN是局限于特定域的VLAN，例如建筑物接入子模块交换机及其各自的建筑物分布子模块。端到端VLAN可能跨越几个配线间，甚至可能跨越几个建筑物。端到端VLAN一般与工作组相关联，例如部门或项目团队。2.1.2、Ether-channel一般情况下，以太网端口设备能够实现交换机的互联，进而使得连接到一台交换机的设备能够向连接到其它交换机设备传送数据帧。以太网的工作速度能够是10Mbit/s、100Mbit/s、1000Mbit/s、或者10Gbit/s。伴随着对更高带宽需求的不断增长，管理员正在寻找替代方法来增加两台设备之间的可用流量带宽。在大多数情况下，虽然我们能够选择更高带宽的端口类型作为增加网络带宽的方法，但因为要增加更多的成本，因此她并不总是可行的。经过多个端口进行绑定，EtherChannel充分利用现有的端口优势来增加可用带宽。在连接设备失效的情况下，经过采用其它未失效的链路来维护连接，EtherChannel能够提供冗余。如果端口属于相同的模块，因为只有失效链路中正在传输的帧被丢失，因此不会造成明显的连接损失。2.1.3、快速生成树要说明快速生成树（RSTP）协议首先要明白生成树协议（STP），交换机的基本STP功能相当于一个透明的网桥。经过在端口上侦听数据帧中的源MAC地址，网桥能够学习到其它设备的MAC地址。随后，网桥就建立一张MAC地址表，该表能够指明特定端口所学到的MAC地址，交换机再使用该表且根据目标MAC地址进行帧转发。对于具有目标多播或者广播MAC地址的数据包，网桥必须将它们转发到除最初接收广播的端口之外的所有其它端口；这个过程也称为“扩散”。扩散多播帧的例外是使用多播的特性，例如IGMP监听。如果一个数据帧的目标MAC地址是未知的，那么网桥会将这个帧转发到除接收该帧的端口之外的所有其它端口。对于具有未知目标MAC地址的帧，它也被称作“未知单播数据包”。透明桥对于所连接的第二层和上层协议的设备来说应该是透明的。当网络拓扑发生变更的时候，快速生成树协议（802.1w，也简称为RSTP）能够显著加快重新计算生成树的速度。RSTP不但定义了其它端口角色：替代端口，备份端口，而且还定义了三种端口的状态：丢弃状态，学习状态，转发状态。IEEE802.1w标准（RSTP）是802.1d标准的一种进化，而不是一种革命。802.1d术语依然保留了相同的大部分参数，而且未作任何修改，因此对于熟悉802.1d标准的用户，能够在配置新协议的时候找到熟悉的感觉。在大多数的情况下，RSTP能够比CISCO专有扩展执行的更好，而且几乎不需要做出额外的配置。2.2、多种路由协议2.2.1、OSPF协议1、OSPF协议简介路由选择协议开放最短路径优先（OSPF），它是IP网络中最常见的内部网关协议之一。OSPF是一种基于请求评论（RFC）2328的开放标准协议，它非常复杂，涉及多种协议的握手，数据库通告和分组类型。首先OSPF是一种链路状态路由选择协议，它的主要特征涉及到区域结构，链路状态邻接关系，最短路径优先（SPF）算法和链路状态数据的结构。为克服距离矢量路由选择协议的缺点，开发了链路状态路由选择协议。链路状态路由选择协议具有如下特征：快速适应网络变化在网络发生变化时，发送触发更新。以较低的频率（如每隔30分钟）发送定期更新，这被称作链路状态刷新。链路状态路由选择协议仅在网络拓扑发生变化时，才生成路由选择更新。链路的状态发生变化后，检测到变化的设备将生成一个针对该链路的链路状态通告（LSA)，使用一个特殊的组播地址，将LSA传播给所有的邻接设备。每台路由选择设备都将得到一个LSA拷贝，据此更新其链路状态数据库（LSDB)，并将LSA转发给区域内的所有临界设备。这种LSA扩散确保所有路由选择设备都更新其数据库，然后更新路由选择表以反映新的拓扑。LSDB被用来计算最佳路径。链路状态路由器对LSDB应用Dijkstra算法（也称SPF)算法，以建立SPF树，进而选择前往目的地的最佳路径。每台路由器都从其SPF树中选择最佳路径，然后将其加入到路由选择表中。链路状态路由选择协议从网络或者网络的指定区域内的所有路由器那里收集路由选择信息，然后每台路由器都使用Dijkstar（SPF)算法分别计算其前往网络中各个目的地的最佳路径。来自某台路由器的错误信息导致混乱的可能性较低，因为每台路由器都有其对网络的认识。为确保网络中的所有路由器做出一致的路由选择决策，每台路由器都必须记录下述信息。直接相连的邻接路由器，失去与邻接路由器的联系后，路由器将在几秒钟之内将该邻居提供的所有路径作废，并重新计算路径。在OSPF中，有关邻居的信息存储在邻居表中，这个表也被称作邻接关系数据库。网络或区域内的其它路由器及其连接的网络：路由器经过LSA来获悉其它路由器和网络，LSA被扩散到整个网络，它储存在拓扑表或数据库中（也叫LSDB)中。每台路由器都是用Dijkstra（SPF)算法独立地计算前往网路中每个目的地的最佳路径。所有路径都存储在LSDB中。最佳路径被加入到路由选择表（也叫转发数据库）中。路由器收到分组后，将根据路由选择表中的信息对其及进行转发。2、OSPF区域结构在小型网络中，路由器链路组成的结构并不复杂，很容易确定前往各个目的地的路径。然而，在大型网络中，路由器链路组成的结构复杂，前往每个目的地的潜在路径为数众多，因此，对所有可能的路由进行比较的SPF算法非常复杂，需要很长的时间。链路状态路由选择协议一般将网络划分成区域，以减少SPF算法的计算量。区域内的路由器数量以及在区域内扩散的LSA数量较少，这意味着区域内的链路状态数据库（拓扑数据库）较小。其结果是，SPF算法的计算量更小，需要的时间更短。OSPF使用包含两层的层次区域结构：中转区域：主要功能为快速，高效地传输IP分组的OSPF区域。中转区域将其它类型的OSPF区域连接起来，一般，中转区域中没有终端用户。根据定义，OSPF区域0（也叫做主干区域）为中转区域。常规区域：主要功能连接用户和资源的OSPF区域。常规区域一般是根据职能或地理位置划分的。默认情况下，常规区域不允许另一个区域使用其连接将数据流传输到其它区域来自其它区域的所有数据流都必须经过中转区域（如区域0）。不允许数据流穿过的区域被称作常规区域（非主干区域）。常规区域又分几类，包括标准区域，末节区域，绝对末节区域和次末节区域。OSPF采用严格的两层区域结构。网络的底层物理连接必须与两层区域结构相匹配，即所有非主干区域都直接与区域0相连。3、OSPF邻接关系运行链路状态路由选择协议的路由器必须首先与选定的邻接路由器建立邻接关系，这是经过与邻接路由器交换Hello分组来实现的。大致而言，路由器建立邻接关系的过程如下：路由器将Hello分组发送给邻接路由器，并接收来自邻接路由器的Hello分组。Hello分组的目标地址一般是组播地址。路由器经过交换Hello分组来获悉协议特定的参数，如检查邻居是否位于同一个区域中，Hello间隔是否相等。交换玩Hello分组后，路由器宣称邻居处于正常运行状态。两台路由器使用Hello分组建立邻接关系后，它们经过交换LSA来同步LSDB，并确认已收到邻接路由器的LSA。至此，两台邻接路由器知道她们的LSDB已经同步。对OSPF而言，这意味着两台路由器已处于完全邻接状态。必要时，路由器将新的LSA转发给其它邻接路由器，确保在整个区域内链路状态信息时完全同步的。点到点串行链路上的两台路由器之间建立完全邻接的关系，它们使用的封装类型一般是高级数据链路控制（HDLC)或点到点协议（PPP)。在LAN链路上，将选举一个指定路由器（DR)和一个备用指定路由器（BDR)。其它的路由器都与这两台路由器建立邻接关系，且只将LSA通告给她们。DR从邻居那里收到更新后，将其转发给LAN上的其它所有邻居。DR的主要功能之一是确保同一个LAN中所有路由器的LSDB都相同。DR将其LSDB传递给新加入到链路中的路由器。使LAN上所有路由器都将相同的信息传递给新加入路由器的效率非常低，因此让一台路由器对新加入LAN中的路由器和区域中的其它路由器代表LAN中的其它路由器即可。DR和BDR路由器还维护与LAN上的其它路由器直接按的部分邻接关系（双向邻接状态），后者被称为DROTHER。链路状态信息是经过LSA进行交换的，LSA也被称为链路状态协议数据单元（PDU)。2.2.2、BGPBGP（BorderGatewayProtocol，边界网关协议）是用来连接Internet上的独立系统的路由选择协议。它是Internet工程任务组制定的一个加强的、完善的、可伸缩的协议。BGP4支持CIDR寻址方案，该方案增加了Internet上的可用IP地址数量。BGP是为取代最初的外部网关协议EGP设计的。它也被认为是一个路径矢量协议。BGP(BorderGatewayProtocol)是一种在自治系统之间动态交换路由信息的路由协议。一个自治系统的经典定义是在一个管理机构控制之下的一组路由器，它使用IGP和普通度量值向其它自治系统转发报文。在BGP中使用自治系统这个术语是为了强调这样一个事实：一个自治系统的管理对于其它自治系统而言是提供一个统一的内部选路计划，它为那些经过它能够到达的网络提供了一个一致的描述。BGP,边界网关协议，是自主网络系统中网关之间交换器路由信息的协议。边界网关协议常常应用于互联网的网关之间。路由表包含已知路由器的列表、路由器能够达到的地址以及到达每个路由器的路径的跳数。使用边界网关协议的主机一般也使用传输控制协议（TCP）。当网络检测到某台主机发出变化时，就会发送新的路由表。BGP-4，边界网关协议的最新版本，允许网络管理员在策略描述下配置跳数的规格。2.2.3、IS-IS中间系统到中间系统的路由选择协议（IS-IS：IntermediateSystemtoIntermediateSystemRoutingProtocol）是由ISO提出的一种路由选择协议。它是一种链路状态协议。在该协议中，IS（路由器）负责交换基于链路开销的路由信息并决定网络拓扑结构。IS-IS类似于TCP/IP网络的开放最短路径优先（OSPF）协议。ISO网络包含了终端系统、中间系统、区域（Area）和域（Domain）。终端系统指用户设备，中间系统指路由器。路由器形成的本地组称之为“区域”，多个区域组成一个“域”。IS-IS被设计来提供域内或一个区域内的路由。IS-IS与CLNP、ES-IS和IDRP协议相结合，为整个网络提供完整的路由选择。IS-IS路由使用两层路由体系。Level1路由器只知道它们本区域中的拓扑，包括所有的路由器和主机，而不知道区域以外的路由器以及目的地。Level1路由器将去往其它区域的所有流量都转发给本区域内的一台L1/2路由器，再由该L1/2把流量转发给L2区域中的L1/2路由器，再由L2区域中的L1/2路由器转发给L2路由器，完成数据转发。每台路由器只能属于一个区域，区域边界在链路上。IS-IS使用LSP分组来更新LSDB，更新数据流量小于OSPF的LSA更新LSDB。适合传送IP网络信息的IS-IS称之为在综合IS-IS（IntegratedIS-IS）。在当前路由选择协议中，IntegratedIS-IS具有最重要的一个特征：它支持VLSM和快速收敛。另外它具有可伸缩性，能够支持大规模网络。IS-IS具有两种地址类型，一种是网络服务访问点（NSAP）–NSAP地址用来标识网络层服务，每种服务对应一个NSAP地址。另一种是网络实体标题（NET）–NET地址用来标识网络层实体或过程，而不是服务。每种设备可能不止含有一个地址，可是NET应该是唯一的而且每个系统中NSAP的系统ID部分也必须是唯一的。2.3、VPN概况2.3.1、VPN的定义VPN（VirtualPrivateNetwork），即虚拟专用网，是利用开放的公众网络资源建立私有数据传输通道，将远程的分支机构、商业伙伴、移动办公人员等连接起来，而且提供安全的端到端的数据通信的一种广域网技术。VPN有两层含义：它是“虚拟的”，即建立隧道或虚电路把不同的物理网络或设备连接起来，不再使用物理的专线建立专用网，而是将其建立在分布广泛的公共网络上，如Internet；它是“专用的”，对基于IPSec的VPN而言，是一组连接的闭合用户群（CVC），它不仅具有服务质量（QoS）的保证，而且更多地强调安全服务。VPN是企业网在公共网络上的无缝延伸，VPN可将位于不同地点的远程用户、分支机构和合作伙伴等连接起来。2.3.2、VPN的应用VPN按照应用大致可分为IntranetVPN及ExtranetVPN以及RemoteaccessVPN三种。其基本用途就是提供企业分支机构和企业，企业客户和企业以及企业内部的，远端企业员工与企业安全的点对点通信。下面是几种常见VPN的场合：(1)IntranetVPN是指在一个组织内部如何安全地连接两个相互信任的内联网，要求在公司与分支机构之间建立安全的通信连接。这种应用模式需要做的不但是要防范外部入侵者对企业内联网的攻击，还要保护在因特网上传送的敏感数据。(2)ExtranetVPN是基于Internet的VPN，虚拟专用网络支持远程访问客户以安全的方式经过公共互联网络远程访问企业资源。ExtranetVPN是IntranetVPN的一个扩展，即经过因特网连接两台分别属于两个互不信任的内部网络的主机。它要求一个开放的基于标准的解决方案，以便解决企业与各种合作伙伴和客户网络的协同工作问题。(3)Remote

Access

VPN是指企业员工经过因特网远程拨号的方式访问企业内联网而构筑的VPN，一般也叫做远程拨号VPN。VPN技术的这种应用代替了传统的直接拨入内联网的远程访问方式，这样能够大大降低远程访问的费用。2.3.3、当前几种主要的VPN技术当前已经投入实际当中使用的VPN技术包括IPSecVPN、SSLVPN、MPLSVPN。这三种VPN技术各有特色、各有所长。当前国外主要厂商对SSLVPN技术、MPLSVPN技术发展相对比较重视发展较快，可是当前应用最为广泛，技术最为成熟的依然是IPSecVPN技术。·IPSec协议是网络层协议,是为保障IP通信而提供的一系列协议族。SSL是套接层协议，它是保障在Internet上基于Web的通信的安全而提供的协议。以标签交换是作为底层转发机制的MPLS（Multi-ProtocolLabelSwitching，多协议标记交换）VPN。(1)IPSec针对数据在经过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能共同操作/使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。(2)SSL用公钥加密经过SSL连接传输的数据来工作。SSL是一种高层安全协议，建立在应用层上。SSLVPN使用SSL协议和代理为终端用户提供HrrP、客户机/服务器和共享的文件资源的访问认证和访问安全SSLVPN传递用户层的认证。确保只有经过安全策略认证的用户能够访问指定的资源。(3)MPLS是一个能够在多种第二层媒质上进行标记交换的网络技术。不论什么格式的数据均能够第三层的路由在网络的边缘实施，而在MPLS的网络核心采用第二层交换，能够用一句话概括MPLS的特点：“边缘路由，核心交换”。2.4、MPLS技术MPLS(MultiprotocolLabelSwitching,多协议标记交换)使用标签(Label)进行转发，一个标签是一个短的、长度固定的数值，由报文的头部携带，不含拓扑信息，只有局部意义。MPLS包头的结构如下图所示，包含20比特的标签，3比特的EXP(一般见作Cos)，1比特的S，用于标识此标签是否为最底层标签，8比特的TTL。MPLS能够看做是一种面向连接的技术。经过MPLS信令(如LDP，LabelDistributeProtocol，标签分配协议)建立好MPLS标记交换通道(LabelSwitchedPath，简称LSP），数据转发时，在网络入口对报文进行分类，根据分类结果选择相应的LSP，打上相应的标签，中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发，而不用再经过IP报文头的IP地址查找。在LSP出口（或倒数第二跳），弹出MPLS标签，还原为IP包。2.4.1、MPLS的功能特性MPLS是一种交换机制，MPLS数据包的交换过程包括了标签的分析过程。标签中包含了LSR中的数据包进行路径交换所需的所有信息，负责转发操作的设备能够进行标签的查找和替换，但不一定能分析网络层头部或不能足够快地分析网络层头部。换句话说，LSR无需执行纯粹的3层路由选择。与传统的路由协议的操作类似，标签一般都以某种方式与目的网络保持一致，但有时标签也能够与其它内容（如3层VPN的目的地，2层虚电路，出接口，QoS或源地址）等保持一致。这些内容都能够在每台设备上灵活配置，这样做的原因是MPLS并不但仅用来转发IP包，当然，IP（以及IPv6）是MPLS最主要的应用之一。当数据包在路由器之间穿越时。每台路由器只要做出转发的决定、执行路径交换并将数据包传送到下一跳路由器即可。从本质上看，该过程类似于高速，高技术的“传球”游戏，而该游戏只要基于数据包的标签中所包含的信息即可，无需考虑3层协议。MPLS技术的设计者认为3层头部中包含的信息远远多于执行转发操作所需要的信息。设计MPLS的想法是希望设计一种无不必要的信息、且不与任何3层被路由协议相关的3层路由协议，MPLS的基本路由选择原理与其它路由选择协议完全一样。2.4.2、MPLS体系架构MPLS组件

从基础构架的角度来看，MPLS将传统的路由选择机制划分为以下两部分。控制平面——负责处理相邻设备的路由选择和标签信息的交换。数据平面——根据目的地址或标签转发流量（也称为转发平面）。与传统的路由协议相似，MPLS也是一种基于目的地的协议，MPLS标签的功能就是将转发功能与包头中包含的3层目的信息相分离。将标签与FEC绑定在一起之后，标签就称为一种非常高效的转发信息源。2.4.3、配置帧模式MPLSMPLS及其相关的开销对路由器的资源占用较大，在一个典型的服务提供商模型中，需要路由器接受互联网的全路由表，超过0条前缀。一般情况下，服务提供商的网络需要运行ISIS（IntermediateSystem-to-IntermediateSystem，中间系统-中间系统）等IGP（InteriorGatewayProtocol,内部网关协议）以及BGP（BorderGatewayProtocol,边界网关协议）等EGP(ExteriorGatewayProtocol,外部网关协议）路由协议。每种路由协议都包括一定数量的前缀，其中，BGP包含所有公共宣告的前缀，而IGP则包含服务提供商网络内部的目的地前缀。当前这些前缀的数量已经达到了一个令人头疼的数量。再加上CEF（CIscoExpressForwarding，Cisco快速转发）信息、MPLS所需的FIB（ForwardingInformationBase,转发信息库）、LIB（LabelInformationBase，标签信息库）和LFIB（LabelForwardingInformationBase，标签转发信息库）以及IGP，EGP和MPLS所需的邻接信息，使得路由器有些不堪重负了。一般情况下需要逐个端口地启用MPLS，当然也有全局启用命令，帧模式MPLS的思路就是在2层和3层头部信息之间增加标签》增加4字节的额外信息有可能会导致帧大小超过该接口所定义的MTU，这样的帧在穿过路由器时会被丢弃。第三章企业MPLSVPN需求分析介绍3.1、企业网络搭建3.1.1、搭建企业网络的目标在骨干网设备连接中,单一链路的连接很容易实现,但一个简单的故障就会造成网络的中断.因此在实际网络组建的过程中,为了保持网络的稳定性,在多台交换机组成的网络环境中,一般都使用一些备份连接,以提高网络的健壮性、稳定性。这里的备份连接也称为备份链路或者冗余链路.备份链路之间的交换机经常互相连接,形成一个环路,经过环路能够在一定程度上实现冗余。链路的冗余备份能为网络带来健壮性、稳定性和可靠性等好处,可是备份链路也会使网络存在环路,环路问题是备份链路所面临的最为严重的问题,交换机之间的环路将导致网络新问题的发生如下问题:广播风暴；多帧复制；地址表的不稳定。解决上述问题主要是采用快速生成树协议。一个企业网络的内部数据尽可能比较平均的从不同的网络设备上传输，防止因数据流量不平衡而引起数据堵塞等问题。因此，负载均衡对一个也网络来说是至关重要的。总之，搭建一个企业网络的总体要求是具有冗余和实现负载均衡。3.1.2、搭建企业网络的常见技术1、交换机之间采用Trunk连接，同时使用以太信道技术，将带宽较小的链路捆绑成带宽较大的链路，同时实现数据备份。2、将一台交换机配置成VTPserver,另一台交换机配置成VTPclient,在VTPserver上集中管理企业交换网络的vlan数据库。3、将不同交换机的不同端口划分给不同的vlan，启用PVST,设置不同的vlan的根网桥在不同的交换机上，而且不同的vlan的数据流量尽可能经过不同的以太信道传输。4、保证交换机每个连接主机的接口快速启用而且只连接一台计算机，如果违反该安全规则，则关闭该端口。但被关闭的端口符合规则，则在30s后自动开启该端口。5、两台交换机开启三层功能，使用HSRP实现vlan的网关负载冗余。6、配置企业网络内部的交换机和路由器，采用动态路由协议（如EIGRP），实现企业网络内部互联。7、配置企业网关，使得企业能够访问INTERNET。3.2、建立MPLSVPNMPLSVPN能够利用公用骨干网络强大的传输能力，降低企业内部网络的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。当前，在基于IP的网络中，MPLS具有很多优点：降低了成本；提高了资源利用率；提高了网络速度；提高了灵活性和可扩展性；方便用户；安全性高；业务综合能力强。

因此MPLSVPN适用于具有以下明显特征的企业：高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构，如网络公司、IT公司、金融业、贸易行业、新闻机构等。企业网的节点数较多，一般将达到几十个以上。而像城域网这样的网络环境，业务类型多样、业务流向流量不确定，特别适合使用MPLS。配置MPLSVPN，使网络能够提供MPLSVPN服务，并配置PE和CE路由协议，实现经过MPLSVPN业务实现企业网络内部的互相访问。主要是实现如下工作：服务提供商内部使用动态路由协议，实现网络互连；使用LDP作为标签分发协议；启用MP-BGP,为边缘路由器建立对等体关系；配置PE和CE路由协议，实现企业内部网络的互相访问。第四章企业MPLSVPN的设计及实现4.1、MPLSVPN的总体设计本课题设计的MPLSVPN如下图所示，共有两部分组成：搭建企业内部网络；在Internet上实现MPLSVPN。图4.1企业MPLSVPN总体设计图4.2、搭建企业内部网络4.2.1、企业网络设计为实现一个具有冗余和负载均衡的网络，本课题设计如下：两台交换机间使用以太信道技术，将4根100M链路捆绑成2根200M链路SW1为STPserver，PC2在VLAN2中，PC3在VLAN3中Vlan2的根桥尽可能在SW1上，Vlan3的根桥尽可能在SW2上，且vlan2的流量尽可能走第一条以太信道，vlan3的流量尽可能走第二条以太信道两台交换机开启三层功能，使用HSRP实现网关冗余，vlan2的主机默认以SW1为网关，vlan3的主机默认以SW2为网关企业内部使用eigrp101实现互联4.2.2、企业网络实现为实现我们的设计，各台网络设备上的配置如下：SW1hostnameSW1boot-start-markerboot-end-markernologgingconsolenoaaanew-modelmemory-sizeiomem5errdisablerecoveryinterval30ipcefnoipdomainlookupspanning-treeportfastbpduguardinterfacePort-channel1switchportmodetrunkspanning-treevlan3cost15interfacePort-channel2switchportmodetrunkinterfaceFastEthernet0/0interfaceFastEthernet0/1switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/2switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/3switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/4switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/12switchportaccessvlan2spanning-treeportfastinterfaceFastEthernet0/13switchportaccessvlan3spanning-treeportfastinterfaceFastEthernet0/14interfaceFastEthernet0/15noswitchportipaddressinterfaceVlan1noipaddressinterfaceVlan2ipaddress51standby2ip54standby2priority200standby2preemptstandby2trackFastEthernet0/15120interfaceVlan3ipaddress51standby3ip54standby3preemptroutereigrp101network55noauto-summaryiphttpserveripforward-protocolndmac-address-tablestatic0000.0c07.ac02interfaceFastEthernet0/1vlan2control-planegatekeepershutdownlinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginendSW2hostnameSW2boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupspanning-treevlan3priority32766interfacePort-channel1switchportmodetrunkinterfacePort-channel2switchportmodetrunkinterfaceFastEthernet0/0interfaceFastEthernet0/1switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/2switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/3switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/4switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/15noswitchportipaddressinterfaceVlan1noipaddressinterfaceVlan2ipaddress52standby2ip54standby2preemptinterfaceVlan3ipaddress52standby3ip54standby3priority200standby3preemptstandby3trackFastEthernet0/15120routereigrp101network55noauto-summaryipaddressinterfaceVlan1noipaddressinterfaceVlan2ipaddress52standby2ip54standby2preemptinterfaceVlan3ipaddress52standby3ip54standby3priority200standby3preemptstandby3trackFastEthernet0/15120routereigrp101network55noauto-summarySW3作为普通二层交换机使用，开启即可，无需做任何配置4.3、配置企业网关配置两台企业网关，使企业的中心站点和分支站点都能够访问到Internet，配置完成后使得vlan2和vlan3的主机能任意拼通Internet的地址。具体配置如下：R8hostnameR8boot-start-markerboot-end-markernologgingconsolenoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupcryptoisakmppolicy10hashmd5authenticationpre-sharelifetime3600cryptoisakmpkeyciscoaddresscryptoipsectransform-setSETesp-desesp-md5-hmacmodetransportcryptomapAAA1ipsec-isakmpsetpeersettransform-setSETmatchaddress120interfaceLoopback0ipaddress55interfaceTunnel0bandwidth50000ipaddressdelay10tunnelsourcetunneldestinationinterfaceFastEthernet0/0ipaddressduplexautospeedautointerfaceFastEthernet0/1ipaddressipnatoutsideipvirtual-reassemblyduplexautospeedautocryptomapAAAinterfaceEthernet1/0ipaddress54ipnatinsideipvirtual-reassemblyhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexroutereigrp101redistributestaticmetric10000100025511500network54noauto-summaryroutereigrp201redistributeeigrp101metric10000100025511500networknoauto-summaryrouterospf101log-adjacency-changesredistributeeigrp101subnetsnetworkarea0distance80iphttpservernoiphttpsecure-serveripforward-protocolndiprouteipnatinsidesourcelist1interfaceFastEthernet0/1overloadaccess-list1permit55access-list120permitiphosthostcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginendR9hostnameR9boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupcryptoisakmppolicy10hashmd5authenticationpre-sharelifetime3600cryptoisakmpkeyciscoaddresscryptoipsectransform-setSETesp-desesp-md5-hmacmodetransportcryptomapAAA1ipsec-isakmpsetpeersettransform-setSETmatchaddress120interfaceLoopback0ipaddress55interfaceTunnel0bandwidth50000ipaddressdelay10tunnelsourcetunneldestinationinterfaceFastEthernet0/0ipaddressipnatoutsideipvirtual-reassemblyduplexautospeedautocryptomapAAAinterfaceFastEthernet0/1ipaddressduplexautospeedautointerfaceEthernet1/0ipaddress54ipnatinsideipvirtual-reassemblyhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexroutereigrp201network55networknoauto-summaryrouterripversion2networknoauto-summaryiphttpservernoiphttpsecure-serveripforward-protocolndiprouteipnatinsidesourcelist1interfaceFastEthernet0/0overloadaccess-list1permit55access-list120permitiphosthostcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginend4.4、配置MPLSVPN为配置MPLSVPN，实现企业网络内部互相访问，本课题设计如下：1、服务提供商内部使用ospf互联，所有路由器之间不选DR/BDR2、自治系统号使用30013、PE和CE之间的路由协议为：中心站点使用ospf，分支站点使用rip具体配置如下：1、R5hostnameR5boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupipvrfCrd100:1route-targetexport100:1route-targetimport100:1mplslabelrange500599interfaceLoopback0ipaddress55interfaceFastEthernet0/0ipvrfforwardingCipaddressduplexautospeedautointerfaceFastEthernet0/1ipaddressipospfnetworkpoint-to-pointduplexautospeedautomplsipinterfaceEthernet1/0noipaddressshutdownhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexrouterospf101vrfClog-adjacency-changesredistributebgp3001subnetsnetwork55area0routerospf1router-idlog-adjacency-changesnetworkarea0network55area0routerbgp3001nobgpdefaultipv4-unicastbgplog-neighbor-changesneighborremote-as3001neighborupdate-sourceLoopback0addrss-familyvpnv4neighboractivateneighborsend-communityextendedexit-address-familyaddress-familyipv4vrfCredistributeospf101vrfCmatchinternalexternal1external2nosynchronizationexit-address-familyiphttpservernoiphttpsecure-serveripforward-protocolndcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginEnd2、R6hostnameR6boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupmplslabelrange600699interfaceLoopback0ipaddress55interfaceFastEthernet0/0ipaddressipospfnetworkpoint-to-pointduplexautospeedautomplsipinterfaceFastEthernet0/1ipaddressipospfnetworkpoint-to-pointduplexautospeedautomplsipinterfaceEthernet1/0noipaddressshutdownhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexrouterospf1router-idlog-adjacency-changesnetwork55area0iphttpservernoiphttpsecure-serveripforward-protocolndcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginend3、R7hostnameR7boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupipvrfCrd100:1route-targetexport100:1route-targetimport100:1mplslabelrange700799interfaceLoopback0ipaddress55interfaceFastEthernet0/0ipaddressipospfnetworkpoint-to-poi