本专栏持续更新,整一个专栏为一个大型复杂网络工程项目。阅读本文章之前务必先看《本专栏必读》。
全网拓扑展示
一.广域网互联方式
1.专线
- 优点
- 稳定 独享。
- 绝对安全。
- 可靠性高,带宽高,完全取决于终端接口。
- 缺点:
- 费用高。
- 建设时间长。
- 难于管理。
2.VPN技术
- 优点:
- 费用较低。
- 灵活、扩展性好。
- 安全性也有保障。
二.常见的VPN技术
-
二层VPN技术
-
ATM
-
已被淘汰
-
-
FR
-
速率低,需要专网,被淘汰。
-
-
L2TP VPN
-
主要应用远程接入、远程访问。
-
-
VPLS等
-
基于MPLS网络完成二层数据传输。
-
-
-
三层VPN技术
-
GRE
-
简单,不安全。
-
-
IPsec VPN
-
安全,配置负载,无法使用动态路由协议,带宽无保证。
-
-
MPLS VPN
-
没有加密保证,需要购买服务,带宽有保证。
-
-
三.广域网规划设计
- 北京总部与运营商之间建立了internet连接,运营商要求子公司使用运营商分配的地址进行连接,必须为这条链路提供密文认证,以避免恶意人员对认证过程进行捕捉还原,验证中如有必要使用本地设备名为用户名。
- BJ_G1要通过PPPOE方式从ISP AR5得到地址,并使用CHAP认证;
- BJ_G1同时要部署NAT Server。
- 子公司需要和集团互连互通,由于集团有大量路由注入,因此需要使用BGP协议来实现路由控制。根据规划北京总部的路由器BJG2、BJG3分别与集团公司相应的路由器建立EBGP邻居,而两者之间则使用最稳定的方式建立IBGP邻居。同时,子公司与集团公司之间的通信应首选出口带宽较高的BJG2为去往集团的主出口路由器,而BJG3作为备份。最后,集团从性能和效率的角度考虑,要求尽可能减轻集团路由器的负担,因此提出子公司只向集团发送三条掩码为16位的汇总路由。
- BJ_G2、BJ_G3和集团路由器AR8建立EBGP邻居关系,
- BL_G2、BJ_G3之间使用Loopback建立IBGP邻居关系,
- BJ_G2作为去往总部的首选出口路由器,BJ_G3为备份路由器,
- BJ_G2,BJ_G3向R8做MED或本地首选值或本地优先级等,
- BJ_G2和BJ_G3向集团只发送3条汇总路由,分别为10.1.0.0/16;10.2.0.0/16;10.3.0.0/16.
- 北京总部和两个分支机构之间通过MPLS VPN网络相互连接,需要完成CE端路由器的配置。根据规划:
- 在路由器BJ_G3上需要把连接MPLS的接口宣告进本地IGP的骨干区域,不要使用任何形式的认证;
- 在路由器SH_G2上需要把连接MPLS的接口宣告进新的OSPF进程(Area0),且只向北京总部传递两条16位的汇总路由;
- 北京总部和上海分部需要有另外的链路做备份;
- 在成都远程办公网的CE与PE之间使用BGP协议获得北京总部的路由,且只向北京总部传递一条16位的汇总路由。网络管理员提醒,注意不同协议和进程之间的路由引入。
- BJ_G3与R10之间宣告进Area 0;
- SH_G2与R12之间宣告进新进程的Area 0;
- 在SH_G2上执行双向重分布,并且汇总路由;
- CD_G1与R12之间运行BGP协议;
- 在CD_G1上做BGP与RIP的双向重分布,但就要aggregate;
- 在CD_G1上执行汇总10.3.0.0/16。
四.广域网拓扑部分
)
