mplsvpn的設(shè)計與實現(xiàn)

年4月19日mplsvpn的設(shè)計與實現(xiàn)文檔僅供參考企業(yè)MPLSVPN的設(shè)計與實現(xiàn)摘要隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)使我們生活更加方便，工作效率大大提高。同時，人們對于網(wǎng)絡(luò)安全的要求也變得越來越高。VPN（虛擬局域網(wǎng)）作為一種新型的遠(yuǎn)程網(wǎng)絡(luò)訪問技術(shù)，在近兩年內(nèi)受到企業(yè)用戶的廣泛關(guān)注。而作為VPN技術(shù)中最為重要的MPLSVPN當(dāng)前還是被公認(rèn)為最安全，應(yīng)用廣泛的VPN技術(shù)。VPN技術(shù)應(yīng)用日益廣泛，MPLS已成為實現(xiàn)VPN的一種主要方式。文章對VPN的基本概念，VPN的工作原理及MPLSVPN技術(shù)進(jìn)行了闡述，并設(shè)計公司內(nèi)部網(wǎng)的VPN實際解決方案。AbstractWiththerapiddevelopmentofNetwork,Usingnetworkmakesourlifemoreconvenientandmoreefficient.AVirtualPrivateNetwork(VPN),whichisanewtechniquetoaccesstheremotenetwork,hasbeenwidelyusedintherecentyears.MPLSVPN,themostimportanttechnique,hasbeenregardedasthemostsecureandusedone.MPLSVPNhasbeenthemainmethodtousetheVPNwiththewildlyusedofVPNtechnique.MyessaywillmainlyintroducetheconceptofVPN,thetheoryofVPN,andhowtousetheMPLSVPNtechnique.Atthesametime,IwillmakeasolutionabouttheMPLSVPNinarealenvironmentinthecompany.Keywords:VPN；MPLS目錄摘要 -1-第一章緒論 -1-1.1、課程的背景及意義 -1-1.2、MPLSVPN簡介 -1-第二章相關(guān)技術(shù) -2-2.1、交換技術(shù)介紹 -2-2.1.1、VLAN介紹 -2-2.1.2、Ether-channel -2-2.1.3、快速生成樹 -3-2.2、多種路由協(xié)議 -4-2.2.1、OSPF協(xié)議 -4-2.2.2、BGP -6-2.2.3、IS-IS -7-2.3、VPN概況 -8-2.3.1、VPN的定義 -8-2.3.2、VPN的應(yīng)用 -8-2.3.3、當(dāng)前幾種主要的VPN技術(shù) -9-2.4、MPLS技術(shù) -10-2.4.1、MPLS的功能特性 -10-2.4.2、MPLS體系架構(gòu) -11-2.4.3、配置幀模式MPLS -11-第三章企業(yè)MPLSVPN需求分析介紹 -13-3.1、企業(yè)網(wǎng)絡(luò)搭建 -13-3.1.1、搭建企業(yè)網(wǎng)絡(luò)的目標(biāo) -13-3.1.2、搭建企業(yè)網(wǎng)絡(luò)的常見技術(shù) -13-3.2、建立MPLSVPN -14-第四章企業(yè)MPLSVPN的設(shè)計及實現(xiàn) -15-4.1、MPLSVPN的總體設(shè)計 -15-4.2、搭建企業(yè)內(nèi)部網(wǎng)絡(luò) -15-4.2.1、企業(yè)網(wǎng)絡(luò)設(shè)計 -15-4.2.2、企業(yè)網(wǎng)絡(luò)實現(xiàn) -16-4.3、配置企業(yè)網(wǎng)關(guān) -19-4.4、配置MPLSVPN -23-第五章小結(jié) -29-5.1、架構(gòu)設(shè)計中的問題 -29-5.2、總結(jié) -29-致謝 -31-參考文獻(xiàn) -32-第一章緒論1.1、課程的背景及意義如今是信息科技的時代，網(wǎng)絡(luò)使我們生活更加便捷，工作效率大大提高。同時在工作中，公司們對于網(wǎng)絡(luò)的要求也隨之變得越來越高。當(dāng)一個集團(tuán)公司在全球開設(shè)分公司，并要求信息共享時，網(wǎng)絡(luò)信息傳輸安全變成了一個不得不面正確問題。而MPLSVPN就是如今應(yīng)用最廣泛的網(wǎng)絡(luò)信息傳輸安全技術(shù)之一。它不但不需要公司支付額外而高昂的費用，同時，只需對思科或者華為技術(shù)略有了解的技術(shù)員都能夠簡單而數(shù)量的上手，這樣也就避免了未來在使用中產(chǎn)生的維護(hù)困難的問題?，F(xiàn)經(jīng)過此論文，我將介紹MPLSVPN技術(shù)的原理，配置以及在現(xiàn)實工作環(huán)境中的應(yīng)用。經(jīng)過此技術(shù)的應(yīng)用，公司內(nèi)部的網(wǎng)絡(luò)安全將變得比以往任何時刻都更安全，更簡便，更快捷。1.2、MPLSVPN簡介MPLSVPN（MultiprotocolLabelSwitching)是一種新的WAN技術(shù)基于MPLS技術(shù)的IP-VPN，其體系架構(gòu)定義在RFC3031之中。MPLSVPN是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN），可用來構(gòu)造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。 第二章相關(guān)技術(shù)2.1、交換技術(shù)介紹2.1.1、VLAN介紹VLAN（VirtualLAN，虛擬局域網(wǎng)）是擁有一組共同要求且與物理位置無關(guān)的終端設(shè)備的邏輯組。大型平面網(wǎng)絡(luò)一般包括非常多的終端設(shè)備，而廣播和未知的單播數(shù)據(jù)包將擴(kuò)散到網(wǎng)絡(luò)中的全部端口。使用VlAN的優(yōu)勢之一就是具有對第二層廣播域分段的功能，單個VLAN中的全部設(shè)備都屬于相同的廣播域。如果終端設(shè)備發(fā)送第二層廣播，那么VLAN中的其它全部成員都將收到該廣播。如果端口或設(shè)備不屬于相同的VLAN，那么交換機(jī)將過濾這些廣播。盡管交換機(jī)不能在VLAN之間傳播第二層廣播，但VLAN與物理子網(wǎng)存在輕微的差別。物理子網(wǎng)由相同物理電纜分段中的設(shè)備所組成；邏輯子網(wǎng)由相互通信且與物理位置無關(guān)的設(shè)備所組成?；谏鲜鲈?，VLAN是一種邏輯子網(wǎng)，而且其中終端設(shè)備的連接不受物理位置的直接限制。取而代之的是交換機(jī)的配置能夠限制VLAN之間的連通。進(jìn)一步而言，VLAN能夠存在于交換網(wǎng)絡(luò)中的任何位置。因為VLAN是一個單獨的廣播域，因此VLAN一般屬于某個ip的子網(wǎng)。為了能夠在VLAN之間通信，數(shù)據(jù)包必須經(jīng)過路由器或者第三層設(shè)備。端到端VLAN是能夠擴(kuò)展到整個網(wǎng)絡(luò)的VLAN。本地VLAN是局限于特定域的VLAN，例如建筑物接入子模塊交換機(jī)及其各自的建筑物分布子模塊。端到端VLAN可能跨越幾個配線間，甚至可能跨越幾個建筑物。端到端VLAN一般與工作組相關(guān)聯(lián)，例如部門或項目團(tuán)隊。2.1.2、Ether-channel一般情況下，以太網(wǎng)端口設(shè)備能夠?qū)崿F(xiàn)交換機(jī)的互聯(lián)，進(jìn)而使得連接到一臺交換機(jī)的設(shè)備能夠向連接到其它交換機(jī)設(shè)備傳送數(shù)據(jù)幀。以太網(wǎng)的工作速度能夠是10Mbit/s、100Mbit/s、1000Mbit/s、或者10Gbit/s。伴隨著對更高帶寬需求的不斷增長，管理員正在尋找替代方法來增加兩臺設(shè)備之間的可用流量帶寬。在大多數(shù)情況下，雖然我們能夠選擇更高帶寬的端口類型作為增加網(wǎng)絡(luò)帶寬的方法，但因為要增加更多的成本，因此她并不總是可行的。經(jīng)過多個端口進(jìn)行綁定，EtherChannel充分利用現(xiàn)有的端口優(yōu)勢來增加可用帶寬。在連接設(shè)備失效的情況下，經(jīng)過采用其它未失效的鏈路來維護(hù)連接，EtherChannel能夠提供冗余。如果端口屬于相同的模塊，因為只有失效鏈路中正在傳輸?shù)膸粊G失，因此不會造成明顯的連接損失。2.1.3、快速生成樹要說明快速生成樹（RSTP）協(xié)議首先要明白生成樹協(xié)議（STP），交換機(jī)的基本STP功能相當(dāng)于一個透明的網(wǎng)橋。經(jīng)過在端口上偵聽數(shù)據(jù)幀中的源MAC地址，網(wǎng)橋能夠?qū)W習(xí)到其它設(shè)備的MAC地址。隨后，網(wǎng)橋就建立一張MAC地址表，該表能夠指明特定端口所學(xué)到的MAC地址，交換機(jī)再使用該表且根據(jù)目標(biāo)MAC地址進(jìn)行幀轉(zhuǎn)發(fā)。對于具有目標(biāo)多播或者廣播MAC地址的數(shù)據(jù)包，網(wǎng)橋必須將它們轉(zhuǎn)發(fā)到除最初接收廣播的端口之外的所有其它端口；這個過程也稱為“擴(kuò)散”。擴(kuò)散多播幀的例外是使用多播的特性，例如IGMP監(jiān)聽。如果一個數(shù)據(jù)幀的目標(biāo)MAC地址是未知的，那么網(wǎng)橋會將這個幀轉(zhuǎn)發(fā)到除接收該幀的端口之外的所有其它端口。對于具有未知目標(biāo)MAC地址的幀，它也被稱作“未知單播數(shù)據(jù)包”。透明橋?qū)τ谒B接的第二層和上層協(xié)議的設(shè)備來說應(yīng)該是透明的。當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變更的時候，快速生成樹協(xié)議（802.1w，也簡稱為RSTP）能夠顯著加快重新計算生成樹的速度。RSTP不但定義了其它端口角色：替代端口，備份端口，而且還定義了三種端口的狀態(tài)：丟棄狀態(tài)，學(xué)習(xí)狀態(tài)，轉(zhuǎn)發(fā)狀態(tài)。IEEE802.1w標(biāo)準(zhǔn)（RSTP）是802.1d標(biāo)準(zhǔn)的一種進(jìn)化，而不是一種革命。802.1d術(shù)語依然保留了相同的大部分參數(shù)，而且未作任何修改，因此對于熟悉802.1d標(biāo)準(zhǔn)的用戶，能夠在配置新協(xié)議的時候找到熟悉的感覺。在大多數(shù)的情況下，RSTP能夠比CISCO專有擴(kuò)展執(zhí)行的更好，而且?guī)缀醪恍枰龀鲱~外的配置。2.2、多種路由協(xié)議2.2.1、OSPF協(xié)議1、OSPF協(xié)議簡介路由選擇協(xié)議開放最短路徑優(yōu)先（OSPF），它是IP網(wǎng)絡(luò)中最常見的內(nèi)部網(wǎng)關(guān)協(xié)議之一。OSPF是一種基于請求評論（RFC）2328的開放標(biāo)準(zhǔn)協(xié)議，它非常復(fù)雜，涉及多種協(xié)議的握手，數(shù)據(jù)庫通告和分組類型。首先OSPF是一種鏈路狀態(tài)路由選擇協(xié)議，它的主要特征涉及到區(qū)域結(jié)構(gòu)，鏈路狀態(tài)鄰接關(guān)系，最短路徑優(yōu)先（SPF）算法和鏈路狀態(tài)數(shù)據(jù)的結(jié)構(gòu)。為克服距離矢量路由選擇協(xié)議的缺點，開發(fā)了鏈路狀態(tài)路由選擇協(xié)議。鏈路狀態(tài)路由選擇協(xié)議具有如下特征：快速適應(yīng)網(wǎng)絡(luò)變化在網(wǎng)絡(luò)發(fā)生變化時，發(fā)送觸發(fā)更新。以較低的頻率（如每隔30分鐘）發(fā)送定期更新，這被稱作鏈路狀態(tài)刷新。鏈路狀態(tài)路由選擇協(xié)議僅在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時，才生成路由選擇更新。鏈路的狀態(tài)發(fā)生變化后，檢測到變化的設(shè)備將生成一個針對該鏈路的鏈路狀態(tài)通告（LSA)，使用一個特殊的組播地址，將LSA傳播給所有的鄰接設(shè)備。每臺路由選擇設(shè)備都將得到一個LSA拷貝，據(jù)此更新其鏈路狀態(tài)數(shù)據(jù)庫（LSDB)，并將LSA轉(zhuǎn)發(fā)給區(qū)域內(nèi)的所有臨界設(shè)備。這種LSA擴(kuò)散確保所有路由選擇設(shè)備都更新其數(shù)據(jù)庫，然后更新路由選擇表以反映新的拓?fù)?。LSDB被用來計算最佳路徑。鏈路狀態(tài)路由器對LSDB應(yīng)用Dijkstra算法（也稱SPF)算法，以建立SPF樹，進(jìn)而選擇前往目的地的最佳路徑。每臺路由器都從其SPF樹中選擇最佳路徑，然后將其加入到路由選擇表中。鏈路狀態(tài)路由選擇協(xié)議從網(wǎng)絡(luò)或者網(wǎng)絡(luò)的指定區(qū)域內(nèi)的所有路由器那里收集路由選擇信息，然后每臺路由器都使用Dijkstar（SPF)算法分別計算其前往網(wǎng)絡(luò)中各個目的地的最佳路徑。來自某臺路由器的錯誤信息導(dǎo)致混亂的可能性較低，因為每臺路由器都有其對網(wǎng)絡(luò)的認(rèn)識。為確保網(wǎng)絡(luò)中的所有路由器做出一致的路由選擇決策，每臺路由器都必須記錄下述信息。直接相連的鄰接路由器，失去與鄰接路由器的聯(lián)系后，路由器將在幾秒鐘之內(nèi)將該鄰居提供的所有路徑作廢，并重新計算路徑。在OSPF中，有關(guān)鄰居的信息存儲在鄰居表中，這個表也被稱作鄰接關(guān)系數(shù)據(jù)庫。網(wǎng)絡(luò)或區(qū)域內(nèi)的其它路由器及其連接的網(wǎng)絡(luò)：路由器經(jīng)過LSA來獲悉其它路由器和網(wǎng)絡(luò)，LSA被擴(kuò)散到整個網(wǎng)絡(luò)，它儲存在拓?fù)浔砘驍?shù)據(jù)庫中（也叫LSDB)中。每臺路由器都是用Dijkstra（SPF)算法獨立地計算前往網(wǎng)路中每個目的地的最佳路徑。所有路徑都存儲在LSDB中。最佳路徑被加入到路由選擇表（也叫轉(zhuǎn)發(fā)數(shù)據(jù)庫）中。路由器收到分組后，將根據(jù)路由選擇表中的信息對其及進(jìn)行轉(zhuǎn)發(fā)。2、OSPF區(qū)域結(jié)構(gòu)在小型網(wǎng)絡(luò)中，路由器鏈路組成的結(jié)構(gòu)并不復(fù)雜，很容易確定前往各個目的地的路徑。然而，在大型網(wǎng)絡(luò)中，路由器鏈路組成的結(jié)構(gòu)復(fù)雜，前往每個目的地的潛在路徑為數(shù)眾多，因此，對所有可能的路由進(jìn)行比較的SPF算法非常復(fù)雜，需要很長的時間。鏈路狀態(tài)路由選擇協(xié)議一般將網(wǎng)絡(luò)劃分成區(qū)域，以減少SPF算法的計算量。區(qū)域內(nèi)的路由器數(shù)量以及在區(qū)域內(nèi)擴(kuò)散的LSA數(shù)量較少，這意味著區(qū)域內(nèi)的鏈路狀態(tài)數(shù)據(jù)庫（拓?fù)鋽?shù)據(jù)庫）較小。其結(jié)果是，SPF算法的計算量更小，需要的時間更短。OSPF使用包含兩層的層次區(qū)域結(jié)構(gòu)：中轉(zhuǎn)區(qū)域：主要功能為快速，高效地傳輸IP分組的OSPF區(qū)域。中轉(zhuǎn)區(qū)域?qū)⑵渌愋偷腛SPF區(qū)域連接起來，一般，中轉(zhuǎn)區(qū)域中沒有終端用戶。根據(jù)定義，OSPF區(qū)域0（也叫做主干區(qū)域）為中轉(zhuǎn)區(qū)域。常規(guī)區(qū)域：主要功能連接用戶和資源的OSPF區(qū)域。常規(guī)區(qū)域一般是根據(jù)職能或地理位置劃分的。默認(rèn)情況下，常規(guī)區(qū)域不允許另一個區(qū)域使用其連接將數(shù)據(jù)流傳輸?shù)狡渌鼌^(qū)域來自其它區(qū)域的所有數(shù)據(jù)流都必須經(jīng)過中轉(zhuǎn)區(qū)域（如區(qū)域0）。不允許數(shù)據(jù)流穿過的區(qū)域被稱作常規(guī)區(qū)域（非主干區(qū)域）。常規(guī)區(qū)域又分幾類，包括標(biāo)準(zhǔn)區(qū)域，末節(jié)區(qū)域，絕對末節(jié)區(qū)域和次末節(jié)區(qū)域。OSPF采用嚴(yán)格的兩層區(qū)域結(jié)構(gòu)。網(wǎng)絡(luò)的底層物理連接必須與兩層區(qū)域結(jié)構(gòu)相匹配，即所有非主干區(qū)域都直接與區(qū)域0相連。3、OSPF鄰接關(guān)系運行鏈路狀態(tài)路由選擇協(xié)議的路由器必須首先與選定的鄰接路由器建立鄰接關(guān)系，這是經(jīng)過與鄰接路由器交換Hello分組來實現(xiàn)的。大致而言，路由器建立鄰接關(guān)系的過程如下：路由器將Hello分組發(fā)送給鄰接路由器，并接收來自鄰接路由器的Hello分組。Hello分組的目標(biāo)地址一般是組播地址。路由器經(jīng)過交換Hello分組來獲悉協(xié)議特定的參數(shù)，如檢查鄰居是否位于同一個區(qū)域中，Hello間隔是否相等。交換玩Hello分組后，路由器宣稱鄰居處于正常運行狀態(tài)。兩臺路由器使用Hello分組建立鄰接關(guān)系后，它們經(jīng)過交換LSA來同步LSDB，并確認(rèn)已收到鄰接路由器的LSA。至此，兩臺鄰接路由器知道她們的LSDB已經(jīng)同步。對OSPF而言，這意味著兩臺路由器已處于完全鄰接狀態(tài)。必要時，路由器將新的LSA轉(zhuǎn)發(fā)給其它鄰接路由器，確保在整個區(qū)域內(nèi)鏈路狀態(tài)信息時完全同步的。點到點串行鏈路上的兩臺路由器之間建立完全鄰接的關(guān)系，它們使用的封裝類型一般是高級數(shù)據(jù)鏈路控制（HDLC)或點到點協(xié)議（PPP)。在LAN鏈路上，將選舉一個指定路由器（DR)和一個備用指定路由器（BDR)。其它的路由器都與這兩臺路由器建立鄰接關(guān)系，且只將LSA通告給她們。DR從鄰居那里收到更新后，將其轉(zhuǎn)發(fā)給LAN上的其它所有鄰居。DR的主要功能之一是確保同一個LAN中所有路由器的LSDB都相同。DR將其LSDB傳遞給新加入到鏈路中的路由器。使LAN上所有路由器都將相同的信息傳遞給新加入路由器的效率非常低，因此讓一臺路由器對新加入LAN中的路由器和區(qū)域中的其它路由器代表LAN中的其它路由器即可。DR和BDR路由器還維護(hù)與LAN上的其它路由器直接按的部分鄰接關(guān)系（雙向鄰接狀態(tài)），后者被稱為DROTHER。鏈路狀態(tài)信息是經(jīng)過LSA進(jìn)行交換的，LSA也被稱為鏈路狀態(tài)協(xié)議數(shù)據(jù)單元（PDU)。2.2.2、BGPBGP（BorderGatewayProtocol，邊界網(wǎng)關(guān)協(xié)議）是用來連接Internet上的獨立系統(tǒng)的路由選擇協(xié)議。它是Internet工程任務(wù)組制定的一個加強(qiáng)的、完善的、可伸縮的協(xié)議。BGP4支持CIDR尋址方案，該方案增加了Internet上的可用IP地址數(shù)量。BGP是為取代最初的外部網(wǎng)關(guān)協(xié)議EGP設(shè)計的。它也被認(rèn)為是一個路徑矢量協(xié)議。BGP(BorderGatewayProtocol)是一種在自治系統(tǒng)之間動態(tài)交換路由信息的路由協(xié)議。一個自治系統(tǒng)的經(jīng)典定義是在一個管理機(jī)構(gòu)控制之下的一組路由器，它使用IGP和普通度量值向其它自治系統(tǒng)轉(zhuǎn)發(fā)報文。在BGP中使用自治系統(tǒng)這個術(shù)語是為了強(qiáng)調(diào)這樣一個事實：一個自治系統(tǒng)的管理對于其它自治系統(tǒng)而言是提供一個統(tǒng)一的內(nèi)部選路計劃，它為那些經(jīng)過它能夠到達(dá)的網(wǎng)絡(luò)提供了一個一致的描述。BGP,邊界網(wǎng)關(guān)協(xié)議，是自主網(wǎng)絡(luò)系統(tǒng)中網(wǎng)關(guān)之間交換器路由信息的協(xié)議。邊界網(wǎng)關(guān)協(xié)議常常應(yīng)用于互聯(lián)網(wǎng)的網(wǎng)關(guān)之間。路由表包含已知路由器的列表、路由器能夠達(dá)到的地址以及到達(dá)每個路由器的路徑的跳數(shù)。使用邊界網(wǎng)關(guān)協(xié)議的主機(jī)一般也使用傳輸控制協(xié)議（TCP）。當(dāng)網(wǎng)絡(luò)檢測到某臺主機(jī)發(fā)出變化時，就會發(fā)送新的路由表。BGP-4，邊界網(wǎng)關(guān)協(xié)議的最新版本，允許網(wǎng)絡(luò)管理員在策略描述下配置跳數(shù)的規(guī)格。2.2.3、IS-IS中間系統(tǒng)到中間系統(tǒng)的路由選擇協(xié)議（IS-IS：IntermediateSystemtoIntermediateSystemRoutingProtocol）是由ISO提出的一種路由選擇協(xié)議。它是一種鏈路狀態(tài)協(xié)議。在該協(xié)議中，IS（路由器）負(fù)責(zé)交換基于鏈路開銷的路由信息并決定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。IS-IS類似于TCP/IP網(wǎng)絡(luò)的開放最短路徑優(yōu)先（OSPF）協(xié)議。ISO網(wǎng)絡(luò)包含了終端系統(tǒng)、中間系統(tǒng)、區(qū)域（Area）和域（Domain）。終端系統(tǒng)指用戶設(shè)備，中間系統(tǒng)指路由器。路由器形成的本地組稱之為“區(qū)域”，多個區(qū)域組成一個“域”。IS-IS被設(shè)計來提供域內(nèi)或一個區(qū)域內(nèi)的路由。IS-IS與CLNP、ES-IS和IDRP協(xié)議相結(jié)合，為整個網(wǎng)絡(luò)提供完整的路由選擇。IS-IS路由使用兩層路由體系。Level1路由器只知道它們本區(qū)域中的拓?fù)?，包括所有的路由器和主機(jī)，而不知道區(qū)域以外的路由器以及目的地。Level1路由器將去往其它區(qū)域的所有流量都轉(zhuǎn)發(fā)給本區(qū)域內(nèi)的一臺L1/2路由器，再由該L1/2把流量轉(zhuǎn)發(fā)給L2區(qū)域中的L1/2路由器，再由L2區(qū)域中的L1/2路由器轉(zhuǎn)發(fā)給L2路由器，完成數(shù)據(jù)轉(zhuǎn)發(fā)。每臺路由器只能屬于一個區(qū)域，區(qū)域邊界在鏈路上。IS-IS使用LSP分組來更新LSDB，更新數(shù)據(jù)流量小于OSPF的LSA更新LSDB。適合傳送IP網(wǎng)絡(luò)信息的IS-IS稱之為在綜合IS-IS（IntegratedIS-IS）。在當(dāng)前路由選擇協(xié)議中，IntegratedIS-IS具有最重要的一個特征：它支持VLSM和快速收斂。另外它具有可伸縮性，能夠支持大規(guī)模網(wǎng)絡(luò)。IS-IS具有兩種地址類型，一種是網(wǎng)絡(luò)服務(wù)訪問點（NSAP）–NSAP地址用來標(biāo)識網(wǎng)絡(luò)層服務(wù)，每種服務(wù)對應(yīng)一個NSAP地址。另一種是網(wǎng)絡(luò)實體標(biāo)題（NET）–NET地址用來標(biāo)識網(wǎng)絡(luò)層實體或過程，而不是服務(wù)。每種設(shè)備可能不止含有一個地址，可是NET應(yīng)該是唯一的而且每個系統(tǒng)中NSAP的系統(tǒng)ID部分也必須是唯一的。2.3、VPN概況2.3.1、VPN的定義VPN（VirtualPrivateNetwork），即虛擬專用網(wǎng)，是利用開放的公眾網(wǎng)絡(luò)資源建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動辦公人員等連接起來，而且提供安全的端到端的數(shù)據(jù)通信的一種廣域網(wǎng)技術(shù)。VPN有兩層含義：它是“虛擬的”，即建立隧道或虛電路把不同的物理網(wǎng)絡(luò)或設(shè)備連接起來，不再使用物理的專線建立專用網(wǎng)，而是將其建立在分布廣泛的公共網(wǎng)絡(luò)上，如Internet；它是“專用的”，對基于IPSec的VPN而言，是一組連接的閉合用戶群（CVC），它不僅具有服務(wù)質(zhì)量（QoS）的保證，而且更多地強(qiáng)調(diào)安全服務(wù)。VPN是企業(yè)網(wǎng)在公共網(wǎng)絡(luò)上的無縫延伸，VPN可將位于不同地點的遠(yuǎn)程用戶、分支機(jī)構(gòu)和合作伙伴等連接起來。2.3.2、VPN的應(yīng)用VPN按照應(yīng)用大致可分為IntranetVPN及ExtranetVPN以及RemoteaccessVPN三種。其基本用途就是提供企業(yè)分支機(jī)構(gòu)和企業(yè)，企業(yè)客戶和企業(yè)以及企業(yè)內(nèi)部的，遠(yuǎn)端企業(yè)員工與企業(yè)安全的點對點通信。下面是幾種常見VPN的場合：(1)IntranetVPN是指在一個組織內(nèi)部如何安全地連接兩個相互信任的內(nèi)聯(lián)網(wǎng)，要求在公司與分支機(jī)構(gòu)之間建立安全的通信連接。這種應(yīng)用模式需要做的不但是要防范外部入侵者對企業(yè)內(nèi)聯(lián)網(wǎng)的攻擊，還要保護(hù)在因特網(wǎng)上傳送的敏感數(shù)據(jù)。(2)ExtranetVPN是基于Internet的VPN，虛擬專用網(wǎng)絡(luò)支持遠(yuǎn)程訪問客戶以安全的方式經(jīng)過公共互聯(lián)網(wǎng)絡(luò)遠(yuǎn)程訪問企業(yè)資源。ExtranetVPN是IntranetVPN的一個擴(kuò)展，即經(jīng)過因特網(wǎng)連接兩臺分別屬于兩個互不信任的內(nèi)部網(wǎng)絡(luò)的主機(jī)。它要求一個開放的基于標(biāo)準(zhǔn)的解決方案，以便解決企業(yè)與各種合作伙伴和客戶網(wǎng)絡(luò)的協(xié)同工作問題。(3)Remote

Access

VPN是指企業(yè)員工經(jīng)過因特網(wǎng)遠(yuǎn)程撥號的方式訪問企業(yè)內(nèi)聯(lián)網(wǎng)而構(gòu)筑的VPN，一般也叫做遠(yuǎn)程撥號VPN。VPN技術(shù)的這種應(yīng)用代替了傳統(tǒng)的直接撥入內(nèi)聯(lián)網(wǎng)的遠(yuǎn)程訪問方式，這樣能夠大大降低遠(yuǎn)程訪問的費用。2.3.3、當(dāng)前幾種主要的VPN技術(shù)當(dāng)前已經(jīng)投入實際當(dāng)中使用的VPN技術(shù)包括IPSecVPN、SSLVPN、MPLSVPN。這三種VPN技術(shù)各有特色、各有所長。當(dāng)前國外主要廠商對SSLVPN技術(shù)、MPLSVPN技術(shù)發(fā)展相對比較重視發(fā)展較快，可是當(dāng)前應(yīng)用最為廣泛，技術(shù)最為成熟的依然是IPSecVPN技術(shù)?！PSec協(xié)議是網(wǎng)絡(luò)層協(xié)議,是為保障IP通信而提供的一系列協(xié)議族。SSL是套接層協(xié)議，它是保障在Internet上基于Web的通信的安全而提供的協(xié)議。以標(biāo)簽交換是作為底層轉(zhuǎn)發(fā)機(jī)制的MPLS（Multi-ProtocolLabelSwitching，多協(xié)議標(biāo)記交換）VPN。(1)IPSec針對數(shù)據(jù)在經(jīng)過公共網(wǎng)絡(luò)時的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計了一整套隧道、加密和認(rèn)證方案。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機(jī)制。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機(jī)密性和受限數(shù)據(jù)流的機(jī)密性服務(wù)。(2)SSL用公鑰加密經(jīng)過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL是一種高層安全協(xié)議，建立在應(yīng)用層上。SSLVPN使用SSL協(xié)議和代理為終端用戶提供HrrP、客戶機(jī)/服務(wù)器和共享的文件資源的訪問認(rèn)證和訪問安全SSLVPN傳遞用戶層的認(rèn)證。確保只有經(jīng)過安全策略認(rèn)證的用戶能夠訪問指定的資源。(3)MPLS是一個能夠在多種第二層媒質(zhì)上進(jìn)行標(biāo)記交換的網(wǎng)絡(luò)技術(shù)。不論什么格式的數(shù)據(jù)均能夠第三層的路由在網(wǎng)絡(luò)的邊緣實施，而在MPLS的網(wǎng)絡(luò)核心采用第二層交換，能夠用一句話概括MPLS的特點：“邊緣路由，核心交換”。2.4、MPLS技術(shù)MPLS(MultiprotocolLabelSwitching,多協(xié)議標(biāo)記交換)使用標(biāo)簽(Label)進(jìn)行轉(zhuǎn)發(fā)，一個標(biāo)簽是一個短的、長度固定的數(shù)值，由報文的頭部攜帶，不含拓?fù)湫畔?，只有局部意義。MPLS包頭的結(jié)構(gòu)如下圖所示，包含20比特的標(biāo)簽，3比特的EXP(一般見作Cos)，1比特的S，用于標(biāo)識此標(biāo)簽是否為最底層標(biāo)簽，8比特的TTL。MPLS能夠看做是一種面向連接的技術(shù)。經(jīng)過MPLS信令(如LDP，LabelDistributeProtocol，標(biāo)簽分配協(xié)議)建立好MPLS標(biāo)記交換通道(LabelSwitchedPath，簡稱LSP），數(shù)據(jù)轉(zhuǎn)發(fā)時，在網(wǎng)絡(luò)入口對報文進(jìn)行分類，根據(jù)分類結(jié)果選擇相應(yīng)的LSP，打上相應(yīng)的標(biāo)簽，中間路由器在收到MPLS報文以后直接根據(jù)MPLS報頭的標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)，而不用再經(jīng)過IP報文頭的IP地址查找。在LSP出口（或倒數(shù)第二跳），彈出MPLS標(biāo)簽，還原為IP包。2.4.1、MPLS的功能特性MPLS是一種交換機(jī)制，MPLS數(shù)據(jù)包的交換過程包括了標(biāo)簽的分析過程。標(biāo)簽中包含了LSR中的數(shù)據(jù)包進(jìn)行路徑交換所需的所有信息，負(fù)責(zé)轉(zhuǎn)發(fā)操作的設(shè)備能夠進(jìn)行標(biāo)簽的查找和替換，但不一定能分析網(wǎng)絡(luò)層頭部或不能足夠快地分析網(wǎng)絡(luò)層頭部。換句話說，LSR無需執(zhí)行純粹的3層路由選擇。與傳統(tǒng)的路由協(xié)議的操作類似，標(biāo)簽一般都以某種方式與目的網(wǎng)絡(luò)保持一致，但有時標(biāo)簽也能夠與其它內(nèi)容（如3層VPN的目的地，2層虛電路，出接口，QoS或源地址）等保持一致。這些內(nèi)容都能夠在每臺設(shè)備上靈活配置，這樣做的原因是MPLS并不但僅用來轉(zhuǎn)發(fā)IP包，當(dāng)然，IP（以及IPv6）是MPLS最主要的應(yīng)用之一。當(dāng)數(shù)據(jù)包在路由器之間穿越時。每臺路由器只要做出轉(zhuǎn)發(fā)的決定、執(zhí)行路徑交換并將數(shù)據(jù)包傳送到下一跳路由器即可。從本質(zhì)上看，該過程類似于高速，高技術(shù)的“傳球”游戲，而該游戲只要基于數(shù)據(jù)包的標(biāo)簽中所包含的信息即可，無需考慮3層協(xié)議。MPLS技術(shù)的設(shè)計者認(rèn)為3層頭部中包含的信息遠(yuǎn)遠(yuǎn)多于執(zhí)行轉(zhuǎn)發(fā)操作所需要的信息。設(shè)計MPLS的想法是希望設(shè)計一種無不必要的信息、且不與任何3層被路由協(xié)議相關(guān)的3層路由協(xié)議，MPLS的基本路由選擇原理與其它路由選擇協(xié)議完全一樣。2.4.2、MPLS體系架構(gòu)MPLS組件

從基礎(chǔ)構(gòu)架的角度來看，MPLS將傳統(tǒng)的路由選擇機(jī)制劃分為以下兩部分?？刂破矫妗?fù)責(zé)處理相鄰設(shè)備的路由選擇和標(biāo)簽信息的交換。數(shù)據(jù)平面——根據(jù)目的地址或標(biāo)簽轉(zhuǎn)發(fā)流量（也稱為轉(zhuǎn)發(fā)平面）。與傳統(tǒng)的路由協(xié)議相似，MPLS也是一種基于目的地的協(xié)議，MPLS標(biāo)簽的功能就是將轉(zhuǎn)發(fā)功能與包頭中包含的3層目的信息相分離。將標(biāo)簽與FEC綁定在一起之后，標(biāo)簽就稱為一種非常高效的轉(zhuǎn)發(fā)信息源。2.4.3、配置幀模式MPLSMPLS及其相關(guān)的開銷對路由器的資源占用較大，在一個典型的服務(wù)提供商模型中，需要路由器接受互聯(lián)網(wǎng)的全路由表，超過0條前綴。一般情況下，服務(wù)提供商的網(wǎng)絡(luò)需要運行ISIS（IntermediateSystem-to-IntermediateSystem，中間系統(tǒng)-中間系統(tǒng)）等IGP（InteriorGatewayProtocol,內(nèi)部網(wǎng)關(guān)協(xié)議）以及BGP（BorderGatewayProtocol,邊界網(wǎng)關(guān)協(xié)議）等EGP(ExteriorGatewayProtocol,外部網(wǎng)關(guān)協(xié)議）路由協(xié)議。每種路由協(xié)議都包括一定數(shù)量的前綴，其中，BGP包含所有公共宣告的前綴，而IGP則包含服務(wù)提供商網(wǎng)絡(luò)內(nèi)部的目的地前綴。當(dāng)前這些前綴的數(shù)量已經(jīng)達(dá)到了一個令人頭疼的數(shù)量。再加上CEF（CIscoExpressForwarding，Cisco快速轉(zhuǎn)發(fā)）信息、MPLS所需的FIB（ForwardingInformationBase,轉(zhuǎn)發(fā)信息庫）、LIB（LabelInformationBase，標(biāo)簽信息庫）和LFIB（LabelForwardingInformationBase，標(biāo)簽轉(zhuǎn)發(fā)信息庫）以及IGP，EGP和MPLS所需的鄰接信息，使得路由器有些不堪重負(fù)了。一般情況下需要逐個端口地啟用MPLS，當(dāng)然也有全局啟用命令，幀模式MPLS的思路就是在2層和3層頭部信息之間增加標(biāo)簽》增加4字節(jié)的額外信息有可能會導(dǎo)致幀大小超過該接口所定義的MTU，這樣的幀在穿過路由器時會被丟棄。第三章企業(yè)MPLSVPN需求分析介紹3.1、企業(yè)網(wǎng)絡(luò)搭建3.1.1、搭建企業(yè)網(wǎng)絡(luò)的目標(biāo)在骨干網(wǎng)設(shè)備連接中,單一鏈路的連接很容易實現(xiàn),但一個簡單的故障就會造成網(wǎng)絡(luò)的中斷.因此在實際網(wǎng)絡(luò)組建的過程中,為了保持網(wǎng)絡(luò)的穩(wěn)定性,在多臺交換機(jī)組成的網(wǎng)絡(luò)環(huán)境中,一般都使用一些備份連接,以提高網(wǎng)絡(luò)的健壯性、穩(wěn)定性。這里的備份連接也稱為備份鏈路或者冗余鏈路.備份鏈路之間的交換機(jī)經(jīng)常互相連接,形成一個環(huán)路,經(jīng)過環(huán)路能夠在一定程度上實現(xiàn)冗余。鏈路的冗余備份能為網(wǎng)絡(luò)帶來健壯性、穩(wěn)定性和可靠性等好處,可是備份鏈路也會使網(wǎng)絡(luò)存在環(huán)路,環(huán)路問題是備份鏈路所面臨的最為嚴(yán)重的問題,交換機(jī)之間的環(huán)路將導(dǎo)致網(wǎng)絡(luò)新問題的發(fā)生如下問題:廣播風(fēng)暴；多幀復(fù)制；地址表的不穩(wěn)定。解決上述問題主要是采用快速生成樹協(xié)議。一個企業(yè)網(wǎng)絡(luò)的內(nèi)部數(shù)據(jù)盡可能比較平均的從不同的網(wǎng)絡(luò)設(shè)備上傳輸，防止因數(shù)據(jù)流量不平衡而引起數(shù)據(jù)堵塞等問題。因此，負(fù)載均衡對一個也網(wǎng)絡(luò)來說是至關(guān)重要的。總之，搭建一個企業(yè)網(wǎng)絡(luò)的總體要求是具有冗余和實現(xiàn)負(fù)載均衡。3.1.2、搭建企業(yè)網(wǎng)絡(luò)的常見技術(shù)1、交換機(jī)之間采用Trunk連接，同時使用以太信道技術(shù)，將帶寬較小的鏈路捆綁成帶寬較大的鏈路，同時實現(xiàn)數(shù)據(jù)備份。2、將一臺交換機(jī)配置成VTPserver,另一臺交換機(jī)配置成VTPclient,在VTPserver上集中管理企業(yè)交換網(wǎng)絡(luò)的vlan數(shù)據(jù)庫。3、將不同交換機(jī)的不同端口劃分給不同的vlan，啟用PVST,設(shè)置不同的vlan的根網(wǎng)橋在不同的交換機(jī)上，而且不同的vlan的數(shù)據(jù)流量盡可能經(jīng)過不同的以太信道傳輸。4、保證交換機(jī)每個連接主機(jī)的接口快速啟用而且只連接一臺計算機(jī)，如果違反該安全規(guī)則，則關(guān)閉該端口。但被關(guān)閉的端口符合規(guī)則，則在30s后自動開啟該端口。5、兩臺交換機(jī)開啟三層功能，使用HSRP實現(xiàn)vlan的網(wǎng)關(guān)負(fù)載冗余。6、配置企業(yè)網(wǎng)絡(luò)內(nèi)部的交換機(jī)和路由器，采用動態(tài)路由協(xié)議（如EIGRP），實現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)部互聯(lián)。7、配置企業(yè)網(wǎng)關(guān)，使得企業(yè)能夠訪問INTERNET。3.2、建立MPLSVPNMPLSVPN能夠利用公用骨干網(wǎng)絡(luò)強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)成本，極大地提高用戶網(wǎng)絡(luò)運營和管理的靈活性，同時能夠滿足用戶對信息傳輸安全性、實時性、寬頻帶和方便性的需要。當(dāng)前，在基于IP的網(wǎng)絡(luò)中，MPLS具有很多優(yōu)點：降低了成本；提高了資源利用率；提高了網(wǎng)絡(luò)速度；提高了靈活性和可擴(kuò)展性；方便用戶；安全性高；業(yè)務(wù)綜合能力強(qiáng)。

因此MPLSVPN適用于具有以下明顯特征的企業(yè)：高效運作、商務(wù)活動頻繁、數(shù)據(jù)通信量大、對網(wǎng)絡(luò)依靠程度高、有較多分支機(jī)構(gòu)，如網(wǎng)絡(luò)公司、IT公司、金融業(yè)、貿(mào)易行業(yè)、新聞機(jī)構(gòu)等。企業(yè)網(wǎng)的節(jié)點數(shù)較多，一般將達(dá)到幾十個以上。而像城域網(wǎng)這樣的網(wǎng)絡(luò)環(huán)境，業(yè)務(wù)類型多樣、業(yè)務(wù)流向流量不確定，特別適合使用MPLS。配置MPLSVPN，使網(wǎng)絡(luò)能夠提供MPLSVPN服務(wù)，并配置PE和CE路由協(xié)議，實現(xiàn)經(jīng)過MPLSVPN業(yè)務(wù)實現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)部的互相訪問。主要是實現(xiàn)如下工作：服務(wù)提供商內(nèi)部使用動態(tài)路由協(xié)議，實現(xiàn)網(wǎng)絡(luò)互連；使用LDP作為標(biāo)簽分發(fā)協(xié)議；啟用MP-BGP,為邊緣路由器建立對等體關(guān)系；配置PE和CE路由協(xié)議，實現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)的互相訪問。第四章企業(yè)MPLSVPN的設(shè)計及實現(xiàn)4.1、MPLSVPN的總體設(shè)計本課題設(shè)計的MPLSVPN如下圖所示，共有兩部分組成：搭建企業(yè)內(nèi)部網(wǎng)絡(luò)；在Internet上實現(xiàn)MPLSVPN。圖4.1企業(yè)MPLSVPN總體設(shè)計圖4.2、搭建企業(yè)內(nèi)部網(wǎng)絡(luò)4.2.1、企業(yè)網(wǎng)絡(luò)設(shè)計為實現(xiàn)一個具有冗余和負(fù)載均衡的網(wǎng)絡(luò)，本課題設(shè)計如下：兩臺交換機(jī)間使用以太信道技術(shù)，將4根100M鏈路捆綁成2根200M鏈路SW1為STPserver，PC2在VLAN2中，PC3在VLAN3中Vlan2的根橋盡可能在SW1上，Vlan3的根橋盡可能在SW2上，且vlan2的流量盡可能走第一條以太信道，vlan3的流量盡可能走第二條以太信道兩臺交換機(jī)開啟三層功能，使用HSRP實現(xiàn)網(wǎng)關(guān)冗余，vlan2的主機(jī)默認(rèn)以SW1為網(wǎng)關(guān)，vlan3的主機(jī)默認(rèn)以SW2為網(wǎng)關(guān)企業(yè)內(nèi)部使用eigrp101實現(xiàn)互聯(lián)4.2.2、企業(yè)網(wǎng)絡(luò)實現(xiàn)為實現(xiàn)我們的設(shè)計，各臺網(wǎng)絡(luò)設(shè)備上的配置如下：SW1hostnameSW1boot-start-markerboot-end-markernologgingconsolenoaaanew-modelmemory-sizeiomem5errdisablerecoveryinterval30ipcefnoipdomainlookupspanning-treeportfastbpduguardinterfacePort-channel1switchportmodetrunkspanning-treevlan3cost15interfacePort-channel2switchportmodetrunkinterfaceFastEthernet0/0interfaceFastEthernet0/1switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/2switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/3switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/4switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/12switchportaccessvlan2spanning-treeportfastinterfaceFastEthernet0/13switchportaccessvlan3spanning-treeportfastinterfaceFastEthernet0/14interfaceFastEthernet0/15noswitchportipaddressinterfaceVlan1noipaddressinterfaceVlan2ipaddress51standby2ip54standby2priority200standby2preemptstandby2trackFastEthernet0/15120interfaceVlan3ipaddress51standby3ip54standby3preemptroutereigrp101network55noauto-summaryiphttpserveripforward-protocolndmac-address-tablestatic0000.0c07.ac02interfaceFastEthernet0/1vlan2control-planegatekeepershutdownlinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginendSW2hostnameSW2boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupspanning-treevlan3priority32766interfacePort-channel1switchportmodetrunkinterfacePort-channel2switchportmodetrunkinterfaceFastEthernet0/0interfaceFastEthernet0/1switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/2switchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/3switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/4switchportmodetrunkchannel-group2modeoninterfaceFastEthernet0/15noswitchportipaddressinterfaceVlan1noipaddressinterfaceVlan2ipaddress52standby2ip54standby2preemptinterfaceVlan3ipaddress52standby3ip54standby3priority200standby3preemptstandby3trackFastEthernet0/15120routereigrp101network55noauto-summaryipaddressinterfaceVlan1noipaddressinterfaceVlan2ipaddress52standby2ip54standby2preemptinterfaceVlan3ipaddress52standby3ip54standby3priority200standby3preemptstandby3trackFastEthernet0/15120routereigrp101network55noauto-summarySW3作為普通二層交換機(jī)使用，開啟即可，無需做任何配置4.3、配置企業(yè)網(wǎng)關(guān)配置兩臺企業(yè)網(wǎng)關(guān)，使企業(yè)的中心站點和分支站點都能夠訪問到Internet，配置完成后使得vlan2和vlan3的主機(jī)能任意拼通Internet的地址。具體配置如下：R8hostnameR8boot-start-markerboot-end-markernologgingconsolenoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupcryptoisakmppolicy10hashmd5authenticationpre-sharelifetime3600cryptoisakmpkeyciscoaddresscryptoipsectransform-setSETesp-desesp-md5-hmacmodetransportcryptomapAAA1ipsec-isakmpsetpeersettransform-setSETmatchaddress120interfaceLoopback0ipaddress55interfaceTunnel0bandwidth50000ipaddressdelay10tunnelsourcetunneldestinationinterfaceFastEthernet0/0ipaddressduplexautospeedautointerfaceFastEthernet0/1ipaddressipnatoutsideipvirtual-reassemblyduplexautospeedautocryptomapAAAinterfaceEthernet1/0ipaddress54ipnatinsideipvirtual-reassemblyhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexroutereigrp101redistributestaticmetric10000100025511500network54noauto-summaryroutereigrp201redistributeeigrp101metric10000100025511500networknoauto-summaryrouterospf101log-adjacency-changesredistributeeigrp101subnetsnetworkarea0distance80iphttpservernoiphttpsecure-serveripforward-protocolndiprouteipnatinsidesourcelist1interfaceFastEthernet0/1overloadaccess-list1permit55access-list120permitiphosthostcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginendR9hostnameR9boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupcryptoisakmppolicy10hashmd5authenticationpre-sharelifetime3600cryptoisakmpkeyciscoaddresscryptoipsectransform-setSETesp-desesp-md5-hmacmodetransportcryptomapAAA1ipsec-isakmpsetpeersettransform-setSETmatchaddress120interfaceLoopback0ipaddress55interfaceTunnel0bandwidth50000ipaddressdelay10tunnelsourcetunneldestinationinterfaceFastEthernet0/0ipaddressipnatoutsideipvirtual-reassemblyduplexautospeedautocryptomapAAAinterfaceFastEthernet0/1ipaddressduplexautospeedautointerfaceEthernet1/0ipaddress54ipnatinsideipvirtual-reassemblyhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexroutereigrp201network55networknoauto-summaryrouterripversion2networknoauto-summaryiphttpservernoiphttpsecure-serveripforward-protocolndiprouteipnatinsidesourcelist1interfaceFastEthernet0/0overloadaccess-list1permit55access-list120permitiphosthostcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginend4.4、配置MPLSVPN為配置MPLSVPN，實現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)部互相訪問，本課題設(shè)計如下：1、服務(wù)提供商內(nèi)部使用ospf互聯(lián)，所有路由器之間不選DR/BDR2、自治系統(tǒng)號使用30013、PE和CE之間的路由協(xié)議為：中心站點使用ospf，分支站點使用rip具體配置如下：1、R5hostnameR5boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupipvrfCrd100:1route-targetexport100:1route-targetimport100:1mplslabelrange500599interfaceLoopback0ipaddress55interfaceFastEthernet0/0ipvrfforwardingCipaddressduplexautospeedautointerfaceFastEthernet0/1ipaddressipospfnetworkpoint-to-pointduplexautospeedautomplsipinterfaceEthernet1/0noipaddressshutdownhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexrouterospf101vrfClog-adjacency-changesredistributebgp3001subnetsnetwork55area0routerospf1router-idlog-adjacency-changesnetworkarea0network55area0routerbgp3001nobgpdefaultipv4-unicastbgplog-neighbor-changesneighborremote-as3001neighborupdate-sourceLoopback0addrss-familyvpnv4neighboractivateneighborsend-communityextendedexit-address-familyaddress-familyipv4vrfCredistributeospf101vrfCmatchinternalexternal1external2nosynchronizationexit-address-familyiphttpservernoiphttpsecure-serveripforward-protocolndcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginEnd2、R6hostnameR6boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupmplslabelrange600699interfaceLoopback0ipaddress55interfaceFastEthernet0/0ipaddressipospfnetworkpoint-to-pointduplexautospeedautomplsipinterfaceFastEthernet0/1ipaddressipospfnetworkpoint-to-pointduplexautospeedautomplsipinterfaceEthernet1/0noipaddressshutdownhalf-duplexinterfaceEthernet1/1noipaddressshutdownhalf-duplexinterfaceEthernet1/2noipaddressshutdownhalf-duplexinterfaceEthernet1/3noipaddressshutdownhalf-duplexrouterospf1router-idlog-adjacency-changesnetwork55area0iphttpservernoiphttpsecure-serveripforward-protocolndcontrol-planelinecon0exec-timeout00loggingsynchronouslineaux0linevty04loginend3、R7hostnameR7boot-start-markerboot-end-markernoaaanew-modelmemory-sizeiomem5ipcefnoipdomainlookupipvrfCrd100:1route-targetexport100:1route-targetimport100:1mplslabelrange700799interfaceLoopback0ipaddress55interfaceFastEthernet0/0ipaddressipospfnetworkpoint-to-poi