MPLS骨干網(wǎng)的設(shè)計與實(shí)現(xiàn)-基于MPLS、VPN、BGP骨干網(wǎng)與多路由協(xié)議接入

1、 畢 業(yè) 設(shè) 計MPLS骨干網(wǎng)的設(shè)計與實(shí)現(xiàn)基于MPLS、VPN、BGP骨干網(wǎng)與多路由協(xié)議接入 摘 要本設(shè)計以組建一個具有代表意義的企業(yè)內(nèi)部骨干網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為例, 闡述了基本的網(wǎng)絡(luò)技術(shù), 其主要內(nèi)容包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計, 設(shè)備的選用, IP地址的規(guī)劃,MPLS VPN的設(shè)計，MPBGP的規(guī)劃等等. 本設(shè)計通過眾多網(wǎng)絡(luò)技術(shù)的應(yīng)用，組建成一個可擴(kuò)展的，高速的，冗余的網(wǎng)絡(luò)，同時實(shí)現(xiàn)語音，視頻，圖像等各種服務(wù)在整套網(wǎng)絡(luò)中高效的傳輸，以及數(shù)據(jù)的安全傳播。關(guān)鍵詞 骨干網(wǎng) MPLS BGP 多協(xié)議接入目 錄 TOC o 1-3 h z u HYPERLINK l _Toc232424955 1前 言 PAG

2、EREF _Toc232424955 h 6 HYPERLINK l _Toc232424956 1.1企業(yè)對網(wǎng)絡(luò)安全方案的需求 PAGEREF _Toc232424956 h 6 HYPERLINK l _Toc232424957 1.2網(wǎng)絡(luò)的轉(zhuǎn)型 PAGEREF _Toc232424957 h 7 HYPERLINK l _Toc232424958 1.3企業(yè)網(wǎng)正在走向一個新的方向 PAGEREF _Toc232424958 h 7 HYPERLINK l _Toc232424959 1.4泛濫成災(zāi)的互聯(lián)網(wǎng)攻擊 PAGEREF _Toc232424959 h 7 HYPERLINK l _

3、Toc232424960 1.5MPLS VPN接入的優(yōu)勢 PAGEREF _Toc232424960 h 7 HYPERLINK l _Toc232424961 1.5.1用MPLS VPN構(gòu)建運(yùn)營支撐網(wǎng)： PAGEREF _Toc232424961 h 8 HYPERLINK l _Toc232424962 1.5.2MPLS VPN在與運(yùn)營商城域網(wǎng)的應(yīng)用： PAGEREF _Toc232424962 h 8 HYPERLINK l _Toc232424963 1.5.3MPLS VPN在企業(yè)網(wǎng)絡(luò)的應(yīng)用： PAGEREF _Toc232424963 h 8 HYPERLINK l _Toc

4、232424964 2概述 PAGEREF _Toc232424964 h 9 HYPERLINK l _Toc232424965 2.1MPLS簡介 PAGEREF _Toc232424965 h 9 HYPERLINK l _Toc232424966 2.1.1多協(xié)議標(biāo)簽交換 PAGEREF _Toc232424966 h 9 HYPERLINK l _Toc232424967 2.1.2MPLS 主要設(shè)計來解決網(wǎng)路問題 PAGEREF _Toc232424967 h 10 HYPERLINK l _Toc232424968 2.2VPN簡介 PAGEREF _Toc232424968 h

5、 10 HYPERLINK l _Toc232424969 2.2.1虛擬專用網(wǎng) PAGEREF _Toc232424969 h 10 HYPERLINK l _Toc232424970 2.2.2虛擬專用網(wǎng)基本功能 PAGEREF _Toc232424970 h 10 HYPERLINK l _Toc232424971 2.2.3VPN的分類 PAGEREF _Toc232424971 h 11 HYPERLINK l _Toc232424972 2.2.4VPN的隧道協(xié)議 PAGEREF _Toc232424972 h 11 HYPERLINK l _Toc232424973 2.3MPL

6、S VPN簡介 PAGEREF _Toc232424973 h 11 HYPERLINK l _Toc232424974 2.4MPBGP簡介 PAGEREF _Toc232424974 h 11 HYPERLINK l _Toc232424975 2.4.1MPLS/BGP VPN PAGEREF _Toc232424975 h 11 HYPERLINK l _Toc232424976 3方案設(shè)計 PAGEREF _Toc232424976 h 12 HYPERLINK l _Toc232424977 3.1設(shè)備介紹 PAGEREF _Toc232424977 h 12 HYPERLINK

7、l _Toc232424978 3.1.1Cisco 7200系列 PAGEREF _Toc232424978 h 12 HYPERLINK l _Toc232424979 3.2關(guān)鍵特性: PAGEREF _Toc232424979 h 14 HYPERLINK l _Toc232424980 3.2.1小巧機(jī)型 PAGEREF _Toc232424980 h 14 HYPERLINK l _Toc232424981 3.2.2出色的價值 PAGEREF _Toc232424981 h 14 HYPERLINK l _Toc232424982 3.2.3豐富的功能 PAGEREF _Toc2

8、32424982 h 14 HYPERLINK l _Toc232424983 3.2.4連接/靈活性 PAGEREF _Toc232424983 h 15 HYPERLINK l _Toc232424984 3.3設(shè)備采購 PAGEREF _Toc232424984 h 15 HYPERLINK l _Toc232424985 3.4線路購買 PAGEREF _Toc232424985 h 15 HYPERLINK l _Toc232424986 3.5多協(xié)議接入分析 PAGEREF _Toc232424986 h 16 HYPERLINK l _Toc232424987 3.5.1CE1詳

9、細(xì)設(shè)置 PAGEREF _Toc232424987 h 16 HYPERLINK l _Toc232424988 3.5.2CE3詳細(xì)設(shè)置 PAGEREF _Toc232424988 h 16 HYPERLINK l _Toc232424989 3.5.3CE2與CE4詳細(xì)設(shè)置 PAGEREF _Toc232424989 h 17 HYPERLINK l _Toc232424990 3.5.4場景獨(dú)立的設(shè)置 PAGEREF _Toc232424990 h 17 HYPERLINK l _Toc232424991 3.5.5IP/MPLS核心 PAGEREF _Toc232424991 h 18

10、 HYPERLINK l _Toc232424992 4網(wǎng)絡(luò)拓?fù)鋱D PAGEREF _Toc232424992 h 19 HYPERLINK l _Toc232424993 5實(shí)現(xiàn)方法 PAGEREF _Toc232424993 h 20 HYPERLINK l _Toc232424994 5.1路由連通性的配置 PAGEREF _Toc232424994 h 20 HYPERLINK l _Toc232424995 5.2骨干IGP的選用分析與配置 PAGEREF _Toc232424995 h 21 HYPERLINK l _Toc232424996 5.3測試路由連通性與IGP工作情況

11、PAGEREF _Toc232424996 h 23 HYPERLINK l _Toc232424997 5.4配置多協(xié)議標(biāo)簽交換（MPLS） PAGEREF _Toc232424997 h 25 HYPERLINK l _Toc232424998 5.5LDP配置成功與現(xiàn)象 PAGEREF _Toc232424998 h 26 HYPERLINK l _Toc232424999 5.6BGP設(shè)計與配置 PAGEREF _Toc232424999 h 26 HYPERLINK l _Toc232425000 5.7BGP測試 PAGEREF _Toc232425000 h 28 HYPERLI

12、NK l _Toc232425001 5.8MP-BGP擴(kuò)展 PAGEREF _Toc232425001 h 28 HYPERLINK l _Toc232425002 5.9VRF設(shè)計與配置 PAGEREF _Toc232425002 h 29 HYPERLINK l _Toc232425003 5.10場景microsoft_vpn的配置與現(xiàn)象 PAGEREF _Toc232425003 h 30 HYPERLINK l _Toc232425004 5.11場景cisco_vpn配置與現(xiàn)象 PAGEREF _Toc232425004 h 32 HYPERLINK l _Toc23242500

13、5 6測試 PAGEREF _Toc232425005 h 36 HYPERLINK l _Toc232425006 參 考 文 獻(xiàn) PAGEREF _Toc232425006 h 37 HYPERLINK l _Toc232425007 Multiprotocol Label Switching VPN (MPLS VPN) PAGEREF _Toc232425007 h 38 HYPERLINK l _Toc232425008 致謝 PAGEREF _Toc232425008 h 39 HYPERLINK l _Toc232425009 仲愷農(nóng)業(yè)工程學(xué)院畢業(yè)論文(設(shè)計)成績評定表 PAGE

14、REF _Toc232425009 h 40前 言企業(yè)對網(wǎng)絡(luò)安全方案的需求 目前，企業(yè)和政府領(lǐng)導(dǎo)者們都認(rèn)識到，對未來增長和生產(chǎn)效率產(chǎn)生最大約束的因素就是網(wǎng)絡(luò)安全性和可用性。 生產(chǎn)效率為什么如此重要呢？生產(chǎn)效率的提高與營業(yè)收入的增長是直接相關(guān)的： 如果生產(chǎn)效率增長率為2.5%，那么營業(yè)收入每隔三十年就能翻一番。 如果生產(chǎn)效率增長率為10%，那么營業(yè)收入每隔七年就能翻一番。 近年來的經(jīng)濟(jì)挑戰(zhàn)強(qiáng)調(diào)的是進(jìn)一步提高生產(chǎn)效率進(jìn)而推動未來增長，而基于互聯(lián)網(wǎng)的生產(chǎn)效率工具則取決于網(wǎng)絡(luò)安全性和可用性。 網(wǎng)絡(luò)的轉(zhuǎn)型在過去，網(wǎng)絡(luò)大多是封閉式的，因此比較容易確保其安全性。那時的安全性是取決于周邊環(huán)境的，因?yàn)榫W(wǎng)絡(luò)本身是

15、一個靜態(tài)的環(huán)境。周邊環(huán)境是很容易定義的，網(wǎng)絡(luò)智能是不需要的，而簡單的安全性設(shè)備足以承擔(dān)封堵安全性漏洞的任務(wù)。 然而，網(wǎng)絡(luò)已經(jīng)發(fā)生了變化，時至今日，確保網(wǎng)絡(luò)安全性和可用性已經(jīng)成為更加復(fù)雜的任務(wù)。市場對于網(wǎng)絡(luò)支持居家辦公方式、分支機(jī)構(gòu)連通性、無線移動性和新的企業(yè)到企業(yè)戰(zhàn)略的需求不斷增加，現(xiàn)代的網(wǎng)絡(luò)周邊環(huán)境的封閉性已經(jīng)被打破。在今天的情況下，用戶每一次連接到網(wǎng)絡(luò)之后，原有的安全狀況就會發(fā)生變化。所以，很多企業(yè)頻繁地成為網(wǎng)絡(luò)犯罪的犧牲品，因?yàn)樗麄兊臉I(yè)務(wù)不斷增長，目前所使用的針對早期、不很復(fù)雜的網(wǎng)絡(luò)而設(shè)計的安全設(shè)備都已經(jīng)無能為力了。 企業(yè)網(wǎng)正在走向一個新的方向企業(yè)總部如何來管理分布于各地的分支機(jī)構(gòu)，各地

16、的分支機(jī)構(gòu)間又如何及時地溝通信息，最大限度地共享資源；企業(yè)如何保持與分布日益廣泛的客戶、合作伙伴之間的緊密聯(lián)系，這些問題正困擾著那些不斷發(fā)展的企業(yè)。泛濫成災(zāi)的互聯(lián)網(wǎng)攻擊 發(fā)動毀滅性網(wǎng)絡(luò)攻擊并不困難。有很多種攻擊工具都可以很容易地從互聯(lián)網(wǎng)上找到和下載。網(wǎng)絡(luò)攻擊的次數(shù)在迅速增多。據(jù)聯(lián)邦調(diào)查局(FBI)統(tǒng)計，70%的安全犯罪都是由內(nèi)部人員實(shí)施的。(然而，近期證據(jù)還表明，外部攻擊的次數(shù)也在增多。) 考慮到業(yè)務(wù)的損失和生產(chǎn)效率的下降, 以及排除故障和修復(fù)損壞設(shè)備所導(dǎo)致的額外開支等方面，對網(wǎng)絡(luò)安全的破壞可以是毀滅性的。此外，嚴(yán)重的安全性攻擊還可導(dǎo)致企業(yè)的公眾形象的破壞、法律上的責(zé)任、乃至客戶信心的喪失，并

17、進(jìn)而造成無法估量的成本損失。MPLS VPN接入的優(yōu)勢采用MPLS VPN技術(shù)可以把現(xiàn)有IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)，這種邏輯上隔離的網(wǎng)絡(luò)的應(yīng)用可以是千變?nèi)f化的：可以是用在解決企業(yè)互連、政府相同/不同部門的互連、也可以用來提供新的業(yè)務(wù)，如為IP電話業(yè)務(wù)專門開通一個VPN。例如：用MPLS VPN構(gòu)建運(yùn)營支撐網(wǎng)：利用MPLS VPN技術(shù)可以在一個統(tǒng)一的物理網(wǎng)絡(luò)上實(shí)現(xiàn)多個邏輯上相互獨(dú)立的VPN專網(wǎng)，該特性非常適合于構(gòu)建運(yùn)營支撐網(wǎng)。MPLS VPN在與運(yùn)營商城域網(wǎng)的應(yīng)用：作為運(yùn)營商的基礎(chǔ)網(wǎng)絡(luò)，寬帶城域網(wǎng)需同時服務(wù)多種不同的用戶，承載多種不同的業(yè)務(wù)，存在多種接入方式，這一特點(diǎn)決定城域網(wǎng)需同時支持MP

18、LS L3VPN，MPLS L2VPN及其它VPN服務(wù)，根據(jù)網(wǎng)絡(luò)實(shí)際情況及用戶需求開通相應(yīng)的VPN業(yè)務(wù)，例如，為用戶提供MPLS L2VPN服務(wù)以滿足用戶節(jié)約專線租用費(fèi)用的要求。MPLS VPN在企業(yè)網(wǎng)絡(luò)的應(yīng)用：MPLS VPN在企業(yè)網(wǎng)中同樣有廣泛應(yīng)用。例如，在電子政務(wù)網(wǎng)中，不同的政府部門有著不同的業(yè)務(wù)系統(tǒng)，各系統(tǒng)之間的數(shù)據(jù)多數(shù)是要求相互隔離的，同時各業(yè)務(wù)系統(tǒng)之間又存在著互訪的需求，因此大量采用MPLS VPN技術(shù)實(shí)現(xiàn)這種隔離及互訪需求。安全性高。采用MPLS作為通道機(jī)制實(shí)現(xiàn)透明報文傳輸，MPLS的標(biāo)簽交換路徑（LSP）具有較高的安全性； MPLS實(shí)現(xiàn)對用戶透明，用戶還可以采用它已有的手段，如

19、設(shè)置防火墻，采用數(shù)據(jù)安全加密等方法，進(jìn)一步提高安全性。強(qiáng)大的擴(kuò)展性。包括網(wǎng)絡(luò)中可以容納的VPN數(shù)目很大和同一VPN中的用戶很容易擴(kuò)充。業(yè)務(wù)的融合。提供了數(shù)據(jù)、語音和視頻相融合的能力。靈活的控制策略?？梢灾贫ㄌ厥獾目刂撇呗?，滿足不同用戶的特殊要求，實(shí)現(xiàn)增殖服務(wù)。強(qiáng)大的管理功能。采用集中管理的方式，業(yè)務(wù)配置與調(diào)度統(tǒng)一平臺。減輕了用戶的負(fù)擔(dān)。服務(wù)級別協(xié)議：目前有差別服務(wù)、流量整形和服務(wù)級別來保證一定的流量性能，將來可以提供帶寬保證和更高的服務(wù)質(zhì)量保證。為用戶節(jié)省費(fèi)用：線路費(fèi)：價格比租用專線節(jié)約。設(shè)備費(fèi)：用戶只須配備CE設(shè)備，不需要專門的VPN網(wǎng)關(guān)。融合業(yè)務(wù)：通過融合語音數(shù)據(jù)業(yè)務(wù)來節(jié)約費(fèi)用。管理費(fèi)用：

20、用戶不必進(jìn)行專門管理維護(hù)。人員費(fèi)用：不必要雇用大量的專業(yè)技術(shù)人員。概述MPLS簡介多協(xié)議標(biāo)簽交換多協(xié)議標(biāo)簽交換（MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機(jī)制。MPLS 獨(dú)立于第二和第三層協(xié)議，諸如 ATM 和 IP。它提供了一種方式，將 IP 地址映射為簡單的具有固定長度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。它是現(xiàn)有路由和交換協(xié)議的接口，如 IP、ATM、幀中繼、資源預(yù)留協(xié)議（RSVP）、開放最短路徑優(yōu)先（OSPF）等等。在 MPLS 中，數(shù)據(jù)傳輸發(fā)生在標(biāo)簽交換路徑（LSP）上。LSP 是每一

21、個沿著從源端到終端的路徑上的結(jié)點(diǎn)的標(biāo)簽序列?，F(xiàn)今使用著一些標(biāo)簽分發(fā)協(xié)議，如標(biāo)簽分發(fā)協(xié)議（LDP）、RSVP 或者建于路由協(xié)議之上的一些協(xié)議，如邊界網(wǎng)關(guān)協(xié)議（BGP）及 OSPF。因?yàn)楣潭ㄩL度標(biāo)簽被插入每一個包或信元的開始處，并且可被硬件用來在兩個鏈接間快速交換包，所以使數(shù)據(jù)的快速交換成為可能。MPLS 主要設(shè)計來解決網(wǎng)路問題MPLS 主要設(shè)計來解決網(wǎng)路問題，如網(wǎng)路速度、可擴(kuò)展性、服務(wù)質(zhì)量（QoS）管理以及流量工程，同時也為下一代 IP 中樞網(wǎng)絡(luò)解決寬帶管理及服務(wù)請求等問題。VPN簡介虛擬專用網(wǎng)虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂

22、的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴以及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專

23、用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。虛擬專用網(wǎng)基本功能加密數(shù)據(jù)：以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。信息認(rèn)證和身份認(rèn)證：保證信息的完整性、合法性，并能鑒別用戶的身份。提供訪問控制：不同的用戶有不同的訪問權(quán)限。VPN的分類VPN所起的作用，可以將VPN分為三類：VPDN、Intranet VPN和Extranet VPN.VPDN：在遠(yuǎn)程用戶或移動雇員和公司內(nèi)部網(wǎng)之間的VPN，稱為VPDN.Intranet VPN：在公司遠(yuǎn)程分支機(jī)構(gòu)的LAN和公司總部LAN之間的VPNExtranet VPN：在供應(yīng)商、商業(yè)合作伙伴的LAN和公司的LAN之間的VPNV

24、PN的隧道協(xié)議VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵于隧道的建立，然后數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保安全性。一般，在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP（Point-to-Point Tunneling Protocol）、L2TP（Layer 2 Tunneling Protocol）等；在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IPSec； MPLS VPN簡介MPLS VPN是一種基于MPLS技術(shù)的IP-VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IP VPN）

25、，可用來構(gòu)造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。MPBGP簡介MPLS/BGP VPNMPLS VPN是一種基于MPLS技術(shù)的IP-VPN，根據(jù)PE（Provider Edge）設(shè)備是否參與VPN路由處理又細(xì)分為二層VPN和三層VPN，一般而言，MPLS/BGP VPN指的是三層VPN。在MPLS/BGP VPN的模型中，網(wǎng)絡(luò)由運(yùn)營商的骨干網(wǎng)與用戶的各個Site組成，所謂VPN就是對site集合的劃分，一個VPN就對應(yīng)一個由若干site組成的集合。MPLS/BGP VPN所包含的基本組件：PE：Provider Edge Router，骨干網(wǎng)邊緣路由器，是MPLS

26、/VPN的主要實(shí)現(xiàn)者。CE：Custom Edge Router，用戶網(wǎng)邊緣路由器。P router： Provider Router，骨干網(wǎng)核心路由器，負(fù)責(zé)MPLS轉(zhuǎn)發(fā)。VPN用戶站點(diǎn)（site）：VPN中的一個孤立的IP網(wǎng)絡(luò)，一般來說，不通過骨干網(wǎng)不具有連通性，公司總部、分支機(jī)構(gòu)都是site的具體例子。在MPLS/BGP VPN中，屬于同一的VPN的兩個site之間轉(zhuǎn)發(fā)報文使用兩層標(biāo)簽，在入口PE上為報文打上兩層標(biāo)簽，外層標(biāo)簽在骨干網(wǎng)內(nèi)部進(jìn)行交換，代表了從PE到對端PE的一條隧道，VPN報文打上這層標(biāo)簽，就可以沿著LSP到達(dá)對端PE，然后再使用內(nèi)層標(biāo)簽決定報文應(yīng)該轉(zhuǎn)發(fā)到哪個site上。方案

27、設(shè)計設(shè)備介紹骨干網(wǎng)使用Cisco 7200系列路由器，定位于中端產(chǎn)品的思科7000系列路由器產(chǎn)品一直是構(gòu)建電信邊緣網(wǎng)絡(luò)和企業(yè)核心網(wǎng)的生力軍。目前全球有50的企業(yè)是利用幀中繼技術(shù)來構(gòu)建企業(yè)廣域網(wǎng)的，隨著IP技術(shù)的發(fā)展，企業(yè)迫切需要將原有資源與未來主流技術(shù)有效地整合起來。對此，思科7000系列的路由器可以為企業(yè)架構(gòu)一個MPLS骨干網(wǎng)，從而實(shí)現(xiàn)AToM（Any Transport over MPLS）?！案叨寺酚善鞒晒Φ年P(guān)鍵是產(chǎn)品性能，而中端路由器成功的要素則在于產(chǎn)品的靈活性。Cisco 7000 系列擁有強(qiáng)勁的性能和靈活性。以下是Cisco 7000系列的簡介：Cisco 7200系列Cisco

28、7200系列路由器 Cisco 7201、 Cisco 7204VXR和Cisco 7206VXR能夠通過一個小巧的機(jī)箱提供優(yōu)異的性價比、靈活性和豐富的功能。Cisco7200系列是一款經(jīng)過優(yōu)化的集成多業(yè)務(wù)匯聚OC3/GE邊緣路由器，非常適于作為電信運(yùn)營商（小型POP）或者企業(yè)邊緣的廣域網(wǎng)匯聚器、企業(yè)廣域網(wǎng)網(wǎng)關(guān)、高端可管理CPE 、用于提供IBM數(shù)據(jù)中心連接，或者作為一個小型的核心路由器。 憑借硬件支持的IPSec加密模塊以及強(qiáng)大的防火墻和VRF感知IPSec/NAT支持，Cisco 7200適于提供集成安全服務(wù)。Cisco 7200系列還支持關(guān)守和IP到IP網(wǎng)關(guān)功能。模塊化特性加上較低的初期

29、價格能夠提供投資保護(hù)和最大限度的投資回報， 讓客戶能夠根據(jù)網(wǎng)絡(luò)需要的改變，升級和/或重新部署他們的Cisco 7200。圖1 Cisco 7204VXR Cisco 7204VXR 4插槽機(jī)箱模塊化處理器：225kpps、400kpps、1Mpps或2Mpps（NPE-225，NPE-400，NPE-G1，NPE-G2）1.8Gbps背板（帶NPE-G2）廣域網(wǎng)服務(wù)匯聚（如MPLS PE流量劃分）集成邊緣服務(wù)（如集成安全）IP到IP網(wǎng)關(guān)在思科路由器系列中提供最高呼叫量支持用于數(shù)據(jù)/語音/視頻應(yīng)用的MIX總線圖2 Cisco 7206VXRCisco 7206VXR6插槽機(jī)箱模塊化處理器：400

30、kpps、1Mpps或2Mpps（NPE-400，NPE-G1，NPE-G2）1.8Gbps的背板（帶NPE-G2）廣域網(wǎng)服務(wù)匯聚（如MPLS PE流量劃分）IP到IP網(wǎng)關(guān)在思科路由器系列中提供最高呼叫量支持用于數(shù)據(jù)/語音/視頻應(yīng)用的MIX總線關(guān)鍵特性:小巧機(jī)型在一個完全模塊化的3RU機(jī)箱中安裝多達(dá)6個端口適配器；7個端口適配器，帶一個端口適配器接口卡；也能選擇一個內(nèi)置2Mpps性能的1插槽1RU機(jī)箱模塊化提供多種1插槽、4插槽和6插槽機(jī)箱、一系列性能高達(dá)2 Mpps的處理器、廣泛的局域網(wǎng)和廣域網(wǎng)接口（每機(jī)箱多達(dá)48個端口）以及單或雙電源選擇；通過使用端口適配器接口卡，將I/O插槽用作端口/服

31、務(wù)適配器插槽，能為機(jī)箱增加一個插槽出色的價值為客戶提供了出色的性價比，它能夠以極具競爭力的價格和高達(dá)2Mpps的處理速度支持高速介質(zhì)和高密度的配置豐富的功能全面地支持Cisco IOS軟件及其對高性能網(wǎng)絡(luò)服務(wù)所做的改進(jìn)；能夠提供業(yè)界領(lǐng)先的網(wǎng)絡(luò)服務(wù)，包括MPLS、路由反射器、寬帶匯聚、智能服務(wù)網(wǎng)關(guān)、QoS、服務(wù)管理路由器、IBM數(shù)據(jù)中心、存儲局域網(wǎng)應(yīng)用、安全和語音/視頻/數(shù)據(jù)支持、關(guān)守以及IP到IP網(wǎng)關(guān)（會話邊界控制器）支持連接/靈活性提供很高的端口密度以及廣泛的局域網(wǎng)和廣域網(wǎng)介質(zhì)通用端口適配器能夠使用與Cisco 7300和7600系列（帶FlexWAN模塊）相同的端口適配器，簡化了備件存儲，

32、并為客戶提供了接口投資保護(hù)。設(shè)備采購表1設(shè)備列表設(shè)備名稱數(shù)量備注說明Cisco 7204VXR若干核心路由設(shè)備（PRouter），數(shù)量由骨干網(wǎng)規(guī)模大小影響。Cisco 7206VXR4臺邊緣路由設(shè)備（PERouter）Cisco 26004臺客戶邊緣路由設(shè)備（CERouter）線路購買向電信購買幀中繼DLCI號分別為：102與201和304與403多協(xié)議接入分析CE1詳細(xì)設(shè)置CE1與PE1是公司的總部網(wǎng)絡(luò)，也是整個網(wǎng)絡(luò)的出口.公司總部運(yùn)行RIP協(xié)議。CE3詳細(xì)設(shè)置CE3是專線網(wǎng)絡(luò)的接入，與總部運(yùn)行相同的RIP協(xié)議，利用MPLS VPN交換各自的路由條目，實(shí)現(xiàn)通信。CE2與CE4詳細(xì)設(shè)置CE2是

33、幀中繼接入的網(wǎng)絡(luò)，所使用的DLCI號是CE2：102 與PE2：201。運(yùn)行OSPFv2協(xié)議。CE4的詳細(xì)設(shè)置，CE4與PE4利用幀中繼接入，使用的DLCI號是CE:403與PE：304。運(yùn)行思科專有協(xié)議EIGRP。場景獨(dú)立的設(shè)置這個設(shè)計里有獨(dú)立的兩個場景，一個命名為microsoft_vpn與另一個命名為cisco_vpn。這兩個網(wǎng)絡(luò)的路由是相對獨(dú)立的，這就可以使內(nèi)部的網(wǎng)絡(luò)與外的網(wǎng)絡(luò)隔絕。Cisco_vpn這是個內(nèi)部的場景，不允許使用Internet。Microsoft_vpn這個場景是外部的場景，也就是說可以使用Internet。IP/MPLS核心基于IP/MPLS的骨干網(wǎng)核心，MPLS技

34、術(shù)將3層網(wǎng)絡(luò)層技術(shù)和2層交換技術(shù)完美地結(jié)合在一起，使網(wǎng)絡(luò)既具有3層的智能，又具有2層的快速交換特性，與其他解決方案相比較，MPLS技術(shù)將第3層(路由層)的智能、靈活性和可擴(kuò)展性與第二層的交換機(jī)制(不包括它面向連接的服務(wù))結(jié)合起來，具有高效、節(jié)約資源、配置簡單、減少單點(diǎn)故障等優(yōu)點(diǎn)。MPLS技術(shù)是一種創(chuàng)造性的高性能包發(fā)送新技術(shù)，它將標(biāo)簽分配給多協(xié)議的數(shù)據(jù)幀，以便在基于包或信元的網(wǎng)絡(luò)中傳輸。MPLS是建立在標(biāo)簽交換概念的基礎(chǔ)之上的，數(shù)據(jù)單位(例如包或信元)攜帶一個固定長度的短標(biāo)簽來告訴交換節(jié)點(diǎn)如何處理該數(shù)據(jù)。網(wǎng)絡(luò)拓?fù)鋱D 圖3 MPLS/BGP VPN網(wǎng)絡(luò)拓?fù)渑cIP地址規(guī)劃實(shí)現(xiàn)方法路由連通性的配置骨干

35、網(wǎng)內(nèi)部使用網(wǎng)段。具體配置步驟：初始化路由器RouterenRouter#conf tLSR(config)#hostname LSRLSR(config)#line console 0/控制臺訪問設(shè)置LSR(config-line)#logging synchronousLSR(config-line)#exec-timeout 3 30/當(dāng)無人值守時，3分30秒就自動鎖定登錄LSR(config-line)#password cisco/示例使用統(tǒng)一密碼ciscoLSR(config-line)#loginLSR(config-line)#line vty 0 4/當(dāng)?shù)侨脒B接

36、時，設(shè)置日志同步，以及安全密碼訪問LSR(config-line)#logging synchronousLSR(config-line)#exec-timeout 3 30LSR(config-line)#password ciscoLSR(config-line)#loginLSR(config)#line aux 0/輔助端口訪問設(shè)置LSR(config-line)#exec-timeout 3 30LSR(config-line)#password ciscoLSR(config-line)#logging synchronousLSR(config-line)#loginLSR(co

37、nfig-line)#exitLSR(config)#no ip domain-lookupLSR(config)#service password-encryption/使用簡單加密對所有路由器上的密碼進(jìn)行加密圖4 簡單加密的密碼對比前（左）后（右）（部分）連通性配置主要命令：LSR(config)#interface serial 1/1LSR(config-if)#ip address 52LSR(config-if)#no shutdownLSR(config-if)#exitLSR(config)# interface serial s1/

38、2LSR(config-if)#ip address 52LSR(config-if)#no shutdownLSR(config-if)#exitLSR(config)# interface serial s1/3LSR(config-if)#ip address 52LSR(config-if)#no shutdown骨干IGP的選用分析與配置骨干內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）的選擇與配置：IGP的選擇前僅有OSPF和ISIS支持MPLS的流量工程。本設(shè)計配置MPLS骨干的IGP路由器，采用OSPF路由協(xié)議。在

39、骨干路由器上配置運(yùn)行OSPF每個路由器都配置輔助環(huán)回Loopback口：作為IGP的路由器標(biāo)識。LSR(config)#interface loopback 0LSR(config-if)#ip address 55PE1(config)#interface loopback 0PE1(config-if)#ip address 0 55PE2(config)#interface loopback 0PE2(config-if)#ip address 0

40、55PE3(config)#interface loopback 0PE3(config-if)#ip address 0 55PE4(config)#interface loopback 0PE4(config-if)#ip address 0 55配置內(nèi)部路由協(xié)議：PE1(config)#router ospf 100PE1(config-router)#router-id 0PE1(config-router)#network area 0PE

41、1(config-router)#network 0 area 0PE2(config)#router ospf 100PE2(config-router)#router-id 0PE2(config-router)#network area 0PE2(config-router)#network 0 area 0PE3(config)#router ospf 100PE3(config-router)#router-id 0PE3(config-r

42、outer)#network area 0 PE3(config-router)#network 0 area 0PE4(config)#router ospf 100PE4(config-router)#router-id 0PE4(config-router)#network area 0PE4(config-router)#network 0 area 0注意：必須把輔助接口配置成在同一網(wǎng)段，不然會導(dǎo)致學(xué)習(xí)得到路由而網(wǎng)絡(luò)不連通的復(fù)

43、雜情況，通常很難找到原因。測試路由連通性與IGP工作情況從PE4開始測試：PE4#ping 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 0, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/16/28 msPE4#ping 0Type escape sequence to abort.Sending 5, 100-byte ICMP

44、 Echos to 0, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 20/34/48 msPE4#ping 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 0, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/28/

45、52 msPE4#PE3#ping 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 0, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/28/52 msPE3#ping 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 0, timeo

46、ut is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msPE3#PE2#ping 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 0, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/14/20 msPE2#連通性測試成功。配置多協(xié)議標(biāo)簽交換（

47、MPLS）LSR(config)#ip cefLSR(config)#mpls label protocol ldp LSR(config)#mpls ldp router-id loopback 0 force為LSR需要運(yùn)行MPLS的端口配置：LSR(config)#interface serial 1/0LSRconfig-if)#mpls ipLSR(config-if)#tag-switching ip為所有的PE路由器都啟用MPLS：PE1(config)#ip cefPE1(config)#mpls label protocol ldp PE1(config)#mpls ldp

48、router-id loopback 0 forcePE1(config)#interface serial 1/2PE1(config-if)#mpls ipPE1(config-if)#tag-switching ipPE2(config)#interface serial 1/2PE2(config-if)#mpls ipPE2(config-if)#tag-switching ipPE3(config)#interface serial 1/2PE3(config-if)#mpls ipPE3(config-if)#tag-switching ipPE4(config)#interfa

49、ce serial 1/2PE4(config-if)#mpls ipPE4(config-if)#tag-switching ipLDP配置成功與現(xiàn)象圖5 標(biāo)簽轉(zhuǎn)發(fā)表（部分）圖6 LDP鄰居表（部分）圖7 IP地址與標(biāo)簽對應(yīng)表（部分）BGP設(shè)計與配置在需要交換路由條目的兩臺PE路由器上配置BGP協(xié)議。其它的路由器是無法接收到這些路由條目。配置BGP協(xié)議的目的是為了啟用MP-BGP，用于在PE路由器之間交換VPN路由。由于BGP創(chuàng)建鄰居時，不要求對等體是物理直連接的，而且是使用TCP連接會話，這樣會使路由條目的交換更安全，快捷。由于CE2與CE4是內(nèi)部網(wǎng)絡(luò)，所以這兩個路由器需要建立一個專用的V

50、PN場點(diǎn)。BGP協(xié)議使用私有AS（自治系統(tǒng)）號：64512和64513PE1(config)#router bgp 64512PE1(config-router)#neighbor 0 remote-as 64512PE1(config-router)#neighbor 0 update-source loopback 0PE1(config-router)#no synchronizationPE1(config-router)#no auto-summaryPE2(config)#router bgp 64513PE2(config-router)#

51、neighbor 0 remote-as 64513PE2(config-router)#neighbor 0 update-source loopback 0PE2(config-router)#no synchronizationPE2(config-router)#no auto-summaryPE3(config)#router bgp 64512PE3(config-router)#neighbor 0 remote-as 64512PE3(config-router)#neighbor 0 update

52、-source loopback 0PE3(config-router)#no synchronizationPE3(config-router)#no auto-summaryPE4(config)#router bgp 64513PE4(config-router)#neighbor 0 remote-as 64513PE4(config-router)#neighbor 0 update-source loopback 0PE4(config-router)#no synchronizationPE4(config-router)#no auto-

53、summaryBGP測試圖 8 BGP鄰居關(guān)系表（部分）MP-BGP擴(kuò)展啟用擴(kuò)展共用體交換的目的是，為了MP-BGP攜帶路由區(qū)分符(RD)和起源場點(diǎn)屬性。路由區(qū)分符，可以確保不同的VPN場點(diǎn)的路由是相對獨(dú)立的。路由區(qū)分符，可以確保不同的VPN場點(diǎn)的路由是相對獨(dú)立的。其可以確保MP-BGP為不同的VPN場點(diǎn)構(gòu)建不同的VRF(VPN Routing Forwarding)轉(zhuǎn)發(fā)表。路由區(qū)分符(RD)可以解決客戶端場點(diǎn)地址空間重疊的問題。PE1(config-router)#address-family vpnv4PE1(config-router-af)#neighbor 0 a

54、ctivatePE1(config-router-af)#neighbor 0 send-community extendedPE2(config-router)#address-family vpnv4PE2(config-router-af)#neighbor 0 activatePE2(config-router-af)#neighbor 0 send-community extendedPE3(config-router)#address-family vpnv4PE3(config-router-af)#neighbor 1

55、0 activatePE3(config-router-af)#neighbor 0 send-community extendedPE4(config-router)#address-family vpnv4PE4(config-router-af)#neighbor 0 activatePE4(config-router-af)#neighbor 0 send-community extended此步驟為過渡步驟，沒有明顯現(xiàn)象。VRF設(shè)計與配置PE1(config)#ip vrf microsoft_vpnPE1

56、(config-vrf)#rd 64512:100PE1(config-vrf)#route-target import 64512:100PE1(config-vrf)#route-target export 64512:100PE3(config)#ip vrf microsoft_vpnPE3(config-vrf)#rd 64512:100PE3(config-vrf)#route-target import 64512:100PE3(config-vrf)#route-target export 64512:100PE2(config)#ip vrf cisco_vpnPE2(con

57、fig-vrf)#rd 64513:100PE2(config-vrf)#route-target import 64513:100PE2(config-vrf)#route-target export 64513:100PE4(config)#ip vrf cisco_vpnPE4(config-vrf)#rd 64513:100PE4(config-vrf)#route-target import 64513:100PE4 (config-vrf)#route-target export 64513:100應(yīng)用到端口：注意所有應(yīng)該方法都相似。PE4(config)#inter s1/1PE

58、4(config-if)#ip vrf forwarding cisco_vpn% Interface Serial1/1 IP address removed due to enabling VRF cisco_vpnPE4(config-if)#ip address 場景microsoft_vpn的配置與現(xiàn)象場景microsoft_vpn的配置：運(yùn)行路由協(xié)議RIP進(jìn)行遠(yuǎn)程路由交換。PE1(config)#router rip PE1(config-router)#version 2PE1(config-router)

59、#address-family ipv4 vrf microsoft_vpnPE1(config-router-af)#version 2PE1(config-router-af)#redistribute bgp 64512 metric transparent PE1(config-router-af)#network PE1(config-router-af)#no auto-summary PE3(config)#router rip PE3(config-router)#version 2PE3(config-router)#address-family ipv

60、4 vrf microsoft_vpnPE3(config-router-af)#version 2PE3(config-router-af)#redistribute bgp 64512 metric transparent PE3(config-router-af)#network PE3(config-router-af)#no auto-summary PE1(config)#router bgp 64512PE1(config-router)#address-family ipv4 vrf microsoft_vpnPE1(config-router-af)#r