CN114338422B - 一种基于mpls的中大型企业网及其实现方法 - Google Patents
一种基于mpls的中大型企业网及其实现方法 Download PDFInfo
- Publication number
- CN114338422B CN114338422B CN202111637569.5A CN202111637569A CN114338422B CN 114338422 B CN114338422 B CN 114338422B CN 202111637569 A CN202111637569 A CN 202111637569A CN 114338422 B CN114338422 B CN 114338422B
- Authority
- CN
- China
- Prior art keywords
- network
- routing
- multicast
- messages
- enterprise
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Abstract
本发明公开了一种基于MPLS的中大型企业网及其实现方法,中大型企业网,包括Headquarter总部、一个Home Office分部、一个Mobile IPv6分部、四个办公分部分别为office#1、office#2、office#3、office#5;每个分支机构模块都可实现单独的网络接入功能,保证每个单独模块网络状况的运行;利用路由器和交换机设备保证Headquarter和分部正常的通信工作。中大型企业网实现方法包括以下步骤:DMVPN的搭建、MPLS VPN的配置、设置SSH远程登陆方式、组播流量控制、IPv6网络部署、HSRP备份、利用ACL防止网络攻击、通过QoS对路由的优化。本发明结构简单,降低网络的复杂性,让故障的排除更加的简单方便,确保升级过程中不会影响企业各部门的正常工作,也便于工作人员更容易去管理及维护。
Description
技术领域
本发明属于数字通信技术领域,具体涉及一种基于MPLS的中大型企业网及其实现方法。
背景技术
我国计算机网络近十几年发展地非常迅速,如今多数地区都已经普遍运用了百兆的带宽,在下载及缓冲能力上已经有了非常巨大的突破,但在企业网的建设上仍有明显的不足。为适应企业的不断发展,扩大企业的规模以及改进企业的管理方式,企业网的精细规划就显得尤为重要。随着企业网络的日益发展,企业及公网中的路由设备所要处理的流量也越来越大,但由于路由设备性能有限,尤其是在同一时间处理较大的路由条目时,路由设备就显得力不从心,导致以下两个主要问题:
1、企业网建设多是几年甚至十几年前的传统水平且其建设成本昂贵,企业各个分支机构都是相互独立的网络系统,企业资源分散在各机构中,在资源共享方面依然存在较多安全问题;
2、对企业网的内部管理而言,管理信息的发送途中跨越众多路由设备,随着这些数据流信息在网络上的泛洪传输,路由设备在这些数据流管理信息同时到达时不能迅速作出响应,进而分支机构也无法对总部的管理信息做出快速的响应。
发明内容
为了解决现有现有企业网发展滞后导致的资源分散、响应较慢等问题,本发明目的是提供一个安全稳定的企业网作为资源共享平台,在保证企业正常接入Internet的同时,企业内部管理信息以及重要通知可以迅速下达,进一步实现办公的自动化,从而降低企业职员办公成本,企业管理人员同样能以最快、最有效的对企业内部出现的问题采取措施,保证企业的稳定性。
本发明的技术方案如下,一种基于MPLS的中大型企业网,包括Headquarter总部、一个Home Office分部、一个Mobile IPv6分部、四个办公分部分别为office#1、office#2、office#3、office#5;每个分支机构模块都可实现单独的网络接入功能,保证每个单独模块网络状况的运行;利用路由器和交换机设备保证Headquarter和分部正常的通信工作。
Headquarter的两台交换机设备涉及到的路由条目较多,需要用核心层交换机来部署,可以直接做三层的路由转发,分部的交换机设备由于需要完成的数据处理量不大,因此需要的交换机性能要求相对一般,作为接入层交换机使用。Headquarter路由器的流量出入需要做好冗余备份,保证其中一台设备出现问题不会影响整个网络的稳定性。其他设备保证正常的接入网络,完成整个网络结构的互联。根据实验拓扑进行核心层交换机的配置以用来保证Headquarter网络的底层互联问题。在交换机上分别创建VLAN用做SVI接口与路由器接口相连,每个VLAN对应不同网段的SVI接口。核心层设备涉及到的PC机及服务器都是Headquarter网络中的重要成员,同时它们也作为DHCP下放地址的中继设备,它们的稳定运行一定程度上保证着整个网络的稳定程度,动态路由协议的选择采用OSPF协议,保证内网的互通。
本网络模型是基于MPLS域来部署的,MPLS域的合理规划保证了整个企业网的安全性及稳定性,MPLS域有独特的转发数据包的方式,这种转发方式不同于传统的数据包转发,MPLS域的转发提供了一定的安全性,这一点对企业网流量的稳定存储转发来说是非常重要的。
相应地,公开一种基于MPLS的中大型企业网的实现方法,包括以下步骤:
S1.DMVPN的搭建,
包含三个阶段,第一阶段是总部到分部通过公网建立一条企业的专用隧道,总部和分部的数据通信先利用这条专用隧道建立连接状态,当这条隧道正常工作后,总部和分部就可以实现DMVPN必要的数据流的正常通信;第二阶段主要是解决各分部的路由问题,通过调整动态路由协议的下一条跳地址或者网络类型,把需要的路由条目引入到路由表中,实现分部到分部的路由共通;第三阶段则是内外网映射,根据动态路由协议的选择确定映射关系,保证DMVPN的稳定运行。
S2.MPLS VPN的配置,
包含四个阶段,每个阶段的配置都是MPLS VPN的独立模块,各个模块配合使用,最终实现MPLS VPN的网络搭建;四个阶段的实现如下所示:
(1)配置LDP,
公网区域配置IGP协议完成后,配置LDP协议在公网路由设备上,以此达到通过标签来转发路由条目的目的,这就摒弃了传统的路由转发方式,从而保证企业网络流量传输的安全性。
(2)配置VRF,
配置VRF是为了区分路由条目,利用标记来决定需要接收的数据流,VRF过滤了企业网中多余的路由条目,大量减轻了路由器负担。
(3)配置VPNV 4地址簇,
BGP可传播多种类型的路由条目,因为它有多个地址簇来保证这些路由条目的传递,如IPv4 Unicast、IPv4Multicast、IPv4 VPNv4、IPv6。本课题所配置的MPLS协议在数据包头部分封装了标签信息,这种带有标签信息的数据包就需要通过BGP的VPNv4地址簇来转发;
(4)配置PE和CE路由,
PE-CE端采用BGP协议来建立连接,利用PE端重发布来使企业网络学习到这些VRF里的路由条目,进而实现全网互通。
S3.设置SSH远程登陆方式,
数字证书将会对工作站和网络设备之间的连接状态进行认证,同时SSH会为受保护的数据流进行加密处理;
S4.组播流量控制,
把各个设备独立开来,每台设备完成相互独立的功能需求,以此来形成一个完善的组播网络系统;组播结构中有分为两个通告消息,稀疏模式的组播中路由设备通过发送这两个消息来竞选RP,成功入选的RP成为组播汇聚点,所有组播消息通过组播汇聚点下发,组播汇聚点负责整个组播域的广播。RP选举的完成意味着一个组的组播流量可以正常接收和转发,当有新成员加入到这个组中时可以继续发送竞选RP信息,以便适应新的组播成员加入,企业可以有效的控制加入到组播中的用户,不同的用户可能会分到不同的组播域中,不同的组播域实现了不同的数据通信。当RP选举过程完成之后,组播域就可以根据特定的组进行数据信息转发,这就有效的对组播流量进行了精确控制,组播的实现解决了广播形式中最大的缺点,使得数据流量可以不再发送到全网中,所以组播有效的提升了网络资源的利用率,在一定程度上优化了整个企业网络。
S5.IPv6网络部署,
采用基于IPv6的OSPFv3协议,实时监控具体链路协议的运行状况信息,
S6.HSRP备份,
带有冗余备份的主机连接到通信设备时,这两台通信设备为这个主机提供了虚拟的网关,当其中一条通信链路断掉时,并不影响主机的正常工作,HSRP可以自动切换成另一条正常进行的链路;在HSRP的基础上再继续对整台路由设备进行细致部署,即使出现了多条链路同时出现故障,整个核心网仍然得以稳定运行,这使得这个网络的稳定性提升了一个新高度,网络管理人员可随时变换活跃设备和备份设备的角色,使得两台路由设备分工合作,
当主机所连接的网关设备做了HSRP备份之后,这台主机的容错性就提升了很多,对它而言有两个网关供它选择,当其中一条链路出现故障时,HSRP允许这台主机选择另一条线路去传输数据,这时在路由设备上都做了一个虚拟网关的操作,同时把虚拟网关改成同一地址,当主机通过网关传输数据流时,这个网关就是在路由设备上设置的虚拟网关,通过虚拟网关仍然可以转发数据流信息,
S7.利用ACL防止网络攻击,
使用ACL对特定协议的流量进行匹配,对已经出现的网络攻击手段做到有效阻止,如蠕虫病毒、冲击波病毒、冰河木马、灰鸽子等病毒做出有效措施,对外部的私网地址进行有效过滤,防止外部IP地址欺骗并探测本企业网络,通过对这些流量控制及流量过滤保证企业网络安全性,
S8.通过QoS对路由的优化,
包括以下五阶段:
(1)分类
分类过程是由设定的信任策略或报文的内容来决定,将这些报文按照Cos值来归类,这个阶段的主要任务是确定CoS值。分类在路由设备的端口接收到报文阶段开始,当设备的某端口关联QoS策略的Policy-map后,这个端口上的分类就生效了,QoS对所有从该接口接收到的报文都起作用,
(2)策略
数据流分类完成之后需要对这些分类做特定的策略,这些策略主要约束分类完成的数据流传输带宽。Policing动作作用于已经分类每一个报文,当然也可以对特定的分类做策略,从而可以划分策略的作用域,当某些报文超出策略所允许的带宽速度,这些报文将会被列入特定类,对特定的类单独处理,这些特定的类可能会被丢弃,也可能会被赋予另外的DSCP值,
(3)标识
当报文经过分类和策略阶段处理后,为保证被分类的报文对应的DSCP值可以顺利传输到网络中的下一节点,需要利用标识动作在报文中写入QoS信息字段,改变QoS信息可以使用QoS中的ACL来实现,也可以使用Trust方式实现,例如可以对Trust DSCP做出选择,进而保留IP报文头部的DSCP字段信息,
(4)队列
这一阶段主要将数据流中报文送往特定端口的输出队列中,送往不同端口的输出队列会标记有不同的服务质量,
现阶段的路由设备中为每个端口分配八个输出队列,这些队列利用设备上配置的DSCP-to-CoS Map和Cos-to-Queue Map两张映射表将报文的DSCP值转化成输出队列号,以此来确定报文被送往的输出队列;
(5)调度
调度是QoS流程的最后一个阶段。当报文被送到特定的输出队列后,设备将采用WRR或其它算法将报文继续发送出去;
WRR算法可以修改权重值以此来控制各输出队列在输出报文时发送报文的个数,进而影响带宽。当然也可以通过修改DRR算法的权重值来控制输出报文时所占用的发送报文字节数,从而影响带宽。
进一步地,DMVPN的加密方法选择3DES加密方式,3DES加密方式在Des的基础上,把24位分成相互独立的3组,每组实现不同的加密算法。
本发明的有益效果:
1、结构简单,把一个物理上单独分开的网络划分成相互独立的分组,从而降低网络的复杂性,让故障的排除更加的简单方便,与此同时既预防了广播风暴的产生又阻止了路由环路的产生;
2、方便升级,确保升级过程中不会影响企业各部门的正常工作,企业网具有良好的韧性;
3、易于管理,分层结构的网络分层明确,使工作人员更容易去管理及维护。
附图说明
图1为本发明所述的基于MPLS的中大型企业网的逻辑结构连接图;
图2为本发明所述的基于MPLS的中大型企业网的总体结构拓扑图;
图3为本发明所述的基于MPLS的中大型企业网的公网区域结构图。
具体实施方式
为了加深对本发明的认识和理解,下面结合附图和具体实施方式,进一步阐明本发明。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
参见图1,一种基于MPLS的中大型企业网,包括Headquarter总部、一个HomeOffice分部、一个Mobile IPv6分部、四个办公分部分别为office#1、office#2、office#3、office#5;每个分支机构模块都可实现单独的网络接入功能,保证每个单独模块网络状况的运行;利用路由器和交换机设备保证Headquarter和分部正常的通信工作。
Headquarter的两台交换机设备涉及到的路由条目较多,需要用核心层交换机来部署,可以直接做三层的路由转发,分部的交换机设备由于需要完成的数据处理量不大,因此需要的交换机性能要求相对一般,作为接入层交换机使用。Headquarter路由器的流量出入需要做好冗余备份,保证其中一台设备出现问题不会影响整个网络的稳定性。其他设备保证正常的接入网络,完成整个网络结构的互联。根据实验拓扑进行核心层交换机的配置以用来保证Headquarter网络的底层互联问题。在交换机上分别创建VLAN用做SVI接口与路由器接口相连,每个VLAN对应不同网段的SVI接口。核心层设备涉及到的PC机及服务器都是Headquarter网络中的重要成员,同时它们也作为DHCP下放地址的中继设备,它们的稳定运行一定程度上保证着整个网络的稳定程度,动态路由协议的选择采用OSPF协议,保证内网的互通。
参见图2、3,本发明需要接入层交换机3台,核心层层交换机2台,路由器20台,其中公网路由器11台,私有网络路由器9台。
接入层交换机选择思科设备CISCO WS-C2918-24TT-C交换机,此台交换机应用层次在二层上,作为接入层交换机在分支机构使用,因此其中涉及到的技术仅仅是二层技术,虽说三层交换机也满足条件,但并没有必要去购入三层交换机来实现二层交换机的功能,在此购入本台二层交换机足以日常使用,它的模块、传输速率、传输模式等都满足日常运行,并且价格便宜,对整个企业来也说很实惠,所以在此选择本台交换机。
核心层交换机选择思科CISCO Catalyst 9300交换机,此台交换机功能非常全面,满足本设计的核心层交换机的一切需求,全数字化交换设备正渐渐被企业接受。这一系列的交换机可以实现完整交换矩阵的控制,它在企业数据流的控制上有着卓越的性能,而且它通过在安全性、云等方面的突破性创新,在网络领域的有着领先优势。
企业级路由器选择思科CISCO 2911/K9路由器,选择CISCO 2911/K9路由器是因为我们整个企业Headquarter以及分部的出口流量都会经由路由器来访问其他网络,这就必须要有一个非常高性能并且高速处理数据的路由器设备,本台路由器设备支持我们所需要的一切功能,如认证协议、传输速率、广域网接口等。就算将来改变拓扑结构运行IPv6也完全没有压力,对广域网的接口也足够,考虑到未来规模的扩大,多个广域网接口可能将来会做备份使用。
运营商公网路由器选择CISCO 12800路由器,此台路由器是Cisco在2019年3月17日发布的,路由器设备较新,设备中实现了较多新技术的封装,在性能上丝毫不逊色于现今市面上任何一台路由设备,这也是选择这台设备的根本原因,运营商路由器不同于一般企业路由器,它所要求的处理能力达到顶级,是最重要最核心的路由器,由于在公网上运行,因此需要性能及其强大才可行。
相应地,公开一种基于MPLS的中大型企业网的实现方法,包括以下步骤:
S1.DMVPN的搭建,
包含三个阶段,第一阶段是总部到分部通过公网建立一条企业的专用隧道,总部和分部的数据通信先利用这条专用隧道建立连接状态,当这条隧道正常工作后,总部和分部就可以实现DMVPN必要的数据流的正常通信;第二阶段主要是解决各分部的路由问题,通过调整动态路由协议的下一条跳地址或者网络类型,把需要的路由条目引入到路由表中,实现分部到分部的路由共通;第三阶段则是内外网映射,根据动态路由协议的选择确定映射关系,保证DMVPN的稳定运行。
S2.MPLS VPN的配置,
包含四个阶段,每个阶段的配置都是MPLS VPN的独立模块,各个模块配合使用,最终实现MPLS VPN的网络搭建;四个阶段的实现如下所示:
(1)配置LDP,
公网区域配置IGP协议完成后,配置LDP协议在公网路由设备上,以此达到通过标签来转发路由条目的目的,这就摒弃了传统的路由转发方式,从而保证企业网络流量传输的安全性。
(2)配置VRF,
配置VRF是为了区分路由条目,利用标记来决定需要接收的数据流,VRF过滤了企业网中多余的路由条目,大量减轻了路由器负担。
(3)配置VPNV 4地址簇,
BGP可传播多种类型的路由条目,因为它有多个地址簇来保证这些路由条目的传递,如IPv4 Unicast、IPv4Multicast、IPv4 VPNv4、IPv6。本课题所配置的MPLS协议在数据包头部分封装了标签信息,这种带有标签信息的数据包就需要通过BGP的VPNv4地址簇来转发;
(4)配置PE和CE路由,
PE-CE端采用BGP协议来建立连接,利用PE端重发布来使企业网络学习到这些VRF里的路由条目,进而实现全网互通。
S3.设置SSH远程登陆方式,
数字证书将会对工作站和网络设备之间的连接状态进行认证,同时SSH会为受保护的数据流进行加密处理;
S4.组播流量控制,
把各个设备独立开来,每台设备完成相互独立的功能需求,以此来形成一个完善的组播网络系统;组播结构中有分为两个通告消息,稀疏模式的组播中路由设备通过发送这两个消息来竞选RP,成功入选的RP成为组播汇聚点,所有组播消息通过组播汇聚点下发,组播汇聚点负责整个组播域的广播。RP选举的完成意味着一个组的组播流量可以正常接收和转发,当有新成员加入到这个组中时可以继续发送竞选RP信息,以便适应新的组播成员加入,企业可以有效的控制加入到组播中的用户,不同的用户可能会分到不同的组播域中,不同的组播域实现了不同的数据通信。当RP选举过程完成之后,组播域就可以根据特定的组进行数据信息转发,这就有效的对组播流量进行了精确控制,组播的实现解决了广播形式中最大的缺点,使得数据流量可以不再发送到全网中,所以组播有效的提升了网络资源的利用率,在一定程度上优化了整个企业网络。
S5.IPv6网络部署,
采用基于IPv6的OSPFv3协议,实时监控具体链路协议的运行状况信息,
S6.HSRP备份,
带有冗余备份的主机连接到通信设备时,这两台通信设备为这个主机提供了虚拟的网关,当其中一条通信链路断掉时,并不影响主机的正常工作,HSRP可以自动切换成另一条正常进行的链路;在HSRP的基础上再继续对整台路由设备进行细致部署,即使出现了多条链路同时出现故障,整个核心网仍然得以稳定运行,这使得这个网络的稳定性提升了一个新高度,网络管理人员可随时变换活跃设备和备份设备的角色,使得两台路由设备分工合作,
当主机所连接的网关设备做了HSRP备份之后,这台主机的容错性就提升了很多,对它而言有两个网关供它选择,当其中一条链路出现故障时,HSRP允许这台主机选择另一条线路去传输数据,这时在路由设备上都做了一个虚拟网关的操作,同时把虚拟网关改成同一地址,当主机通过网关传输数据流时,这个网关就是在路由设备上设置的虚拟网关,通过虚拟网关仍然可以转发数据流信息,
S7.利用ACL防止网络攻击,
使用ACL对特定协议的流量进行匹配,对已经出现的网络攻击手段做到有效阻止,如蠕虫病毒、冲击波病毒、冰河木马、灰鸽子等病毒做出有效措施,对外部的私网地址进行有效过滤,防止外部IP地址欺骗并探测本企业网络,通过对这些流量控制及流量过滤保证企业网络安全性,
S8.通过QoS对路由的优化,
包括以下五阶段:
(1)分类
分类过程是由设定的信任策略或报文的内容来决定,将这些报文按照Cos值来归类,这个阶段的主要任务是确定CoS值。分类在路由设备的端口接收到报文阶段开始,当设备的某端口关联QoS策略的Policy-map后,这个端口上的分类就生效了,QoS对所有从该接口接收到的报文都起作用,
(2)策略
数据流分类完成之后需要对这些分类做特定的策略,这些策略主要约束分类完成的数据流传输带宽。Policing动作作用于已经分类每一个报文,当然也可以对特定的分类做策略,从而可以划分策略的作用域,当某些报文超出策略所允许的带宽速度,这些报文将会被列入特定类,对特定的类单独处理,这些特定的类可能会被丢弃,也可能会被赋予另外的DSCP值,
(3)标识
当报文经过分类和策略阶段处理后,为保证被分类的报文对应的DSCP值可以顺利传输到网络中的下一节点,需要利用标识动作在报文中写入QoS信息字段,改变QoS信息可以使用QoS中的ACL来实现,也可以使用Trust方式实现,例如可以对Trust DSCP做出选择,进而保留IP报文头部的DSCP字段信息,
(4)队列
这一阶段主要将数据流中报文送往特定端口的输出队列中,送往不同端口的输出队列会标记有不同的服务质量,
现阶段的路由设备中为每个端口分配八个输出队列,这些队列利用设备上配置的DSCP-to-CoS Map和Cos-to-Queue Map两张映射表将报文的DSCP值转化成输出队列号,以此来确定报文被送往的输出队列;
(5)调度
调度是QoS流程的最后一个阶段。当报文被送到特定的输出队列后,设备将采用WRR或其它算法将报文继续发送出去;
WRR算法可以修改权重值以此来控制各输出队列在输出报文时发送报文的个数,进而影响带宽。当然也可以通过修改DRR算法的权重值来控制输出报文时所占用的发送报文字节数,从而影响带宽。
在其中一个实例中,DMVPN的加密方法选择3DES加密方式,3DES加密方式在Des的基础上,把24位分成相互独立的3组,每组实现不同的加密算法。
本发明的工作原理:
公网启用MPLS技术实现数据包的快速交换,整个企业的数据通信基于公网区域的MPLS,公网区域启用LDP之后,在企业CE端路由设备开启BGP协议,与对端CE设备相连,实现本企业网的内部路由条目在VRF中的正确传输,将企业内部的路由条目与无关的路由条目隔绝开来,从来形成了一个企业网内部的专用隧道,这就是MPLS VPN的精髓所在,它通过VRF的标记值隔绝了不必要的路由,精简了CE端路由设备要处理的数据流条目,简化了企业内部通信的流程,降低了企业维护成本及管理成本。从而实现整个企业网安全稳定的内部通信。
中大型企业网的网络模型首先要保证公网的互联互通,通过在公网上运行的底层动态路由协议OSPF协议来实现。保证公网的连通性之后才能开始部署MPLS的工作,由于MPLS有新的数据包头信息,所以要在公网上启用BGP VPNv4的地址簇建立邻居,以此保证包含有新包头信息的数据包能被公网所识别,通过VPNv4的地址簇来实现转发数据包操作。当数据包传输进入MPLS域后路由设备会在数据包中插入了新的包头信息,这是为了实现MPLS的快速转发,在公网配置LDP协议后,LDP协议就可以保证公网的区域可以顺利通过标签来接收和转发路由条目,有效地提高了数据包在公网区域的转发速度。
在企业的内部网络中,通过运行OSPF协议以及EIGRP协议,保证内部网络通信的同时,也应该把路由条目引入到企业的各个分部中,这一点用VRF通道来实现,每个分部各自通过独立的VRF通道来保证路由收发,在PE端路由器上做重发布,保证公网区域的路由设备学习的路由条目放入VRF通道中,相反的,公网路由设备为企业路由设备指定缺省路由,保证企业内部的网络可以获取到其他分部的出口地址,从而实现全网的互联互通。
总部网络中利用端口聚合技术将多个物理端口聚合成一个逻辑端口,这个逻辑端口的带宽是所有的物理端口带宽之和,网络管理员不必单独配置物理端口,这些物理端口作为逻辑端口的成员,配置时只需配置这个逻辑端口。这些物理端口可以同时工作,即使某个端口出现故障,也不会影响正常用,从而保证端口的安全性。
远程登陆技术选择SSH,TELNET也是不错的选择,但从安全上来说,SSH具有完备的加密功能,且SSH协议被众多平台支持,是非常安全且可靠的远程登录方式。
一个完善的网络其备份措施是相当重要的,现阶段的中大型企业网都备有备份设备,防止企业网络设备突然出现故障而导致的全网瘫痪。而本课题的备份设计不同于传统的备份,Headquarter网络的备份已经不仅仅局限于传统的体现在一个接口上的备份,而把备份思想转移到了整个设备乃至整个网络上,这无疑整体提升了整个网络的稳定性。总体来说,这使得整个网络性能提升了一定高度。
DMVPN部分的设计中,本课题详细地分析了AES、DES、3DES、SHA等加密方式的特点,最终选择3DES加密方式,这种加密方式非常适用于本网络模型。DES加密方式,在一个中大型网络中显然是不足以支撑的,而SHA加密方式固然也很安全稳定,但一个中大型企业网络的规划设计当中有很多模块以及服务是需要时刻开启的,所以不需要使用SHA来把服务封闭,合理控制企业网服务的封闭性是很重要的,根据自身网络的特性来选择特定的数据加密方式。
以往企业的网络中对于流量的控制是比较单一的,比如要对部分网络流量进行过滤,通过ACL去匹配流量地址,把ACL调用在路由设备入接口中可以有效的做到流量过滤,这是目前最常用的一种流量过滤手段。除此之外,本网络模型中提现到了另一种过滤且阻挡流量的手段,即通过MPLS VPN事先设置好的标记值来阻挡网络地址,其优点是对流量的控制比较明确,收放也比较自如,较为方便,尤其是在为一个大型企业的网络做过滤时非常方便,缺点是相对来说它没有ACL的精确手段,它只能通过标记值来决定流量的去留,而不能依赖于具体的特定协议和端口号,各有利弊。
以上显示和描述了本发明的基本原理、主要特征及优点。本行业的技术人员应该了解,上述实施方式只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人士能够了解本发明的内容并加以实施,并不能以此限制本发明的保护范围,凡根据本发明精神实质所作的等效变化或修饰,都应涵盖在本发明的保护范围内。
Claims (2)
1.一种基于MPLS的中大型企业网的实现方法,其特征在于:包括以下步骤:
S1. DMVPN的搭建,
包含三个阶段,
(1)总部到分部通过公网建立一条企业的专用隧道,总部和分部的数据通信先利用这条专用隧道建立连接状态,当这条隧道正常工作后,总部和分部就可以实现DMVPN必要的数据流的正常通信;
(2)解决各分部的路由问题,通过调整动态路由协议的下一条跳地址或者网络类型,把需要的路由条目引入到路由表中,实现分部到分部的路由共通;
(3)内外网映射,根据动态路由协议的选择确定映射关系,保证DMVPN的稳定运行;
S2. MPLS VPN的配置,
包含四个阶段,每个阶段的配置都是MPLS VPN的独立模块,各个模块配合使用,最终实现MPLS VPN的网络搭建;四个阶段的实现如下所示:
(1)配置LDP,
公网区域配置IGP协议完成后,配置LDP协议在公网路由设备上,以此达到通过标签来转发路由条目的目的,这就摒弃了传统的路由转发方式,从而保证企业网络流量传输的安全性;
(2)配置VRF,
配置VRF是为了区分路由条目,利用标记来决定需要接收的数据流,VRF过滤了企业网中多余的路由条目,大量减轻了路由器负担;
(3)配置VPNV 4地址簇,
BGP可传播多种类型的路由条目,因为它有多个地址簇来保证这些路由条目的传递,包括IPv4 Unicast、IPv4Multicast、IPv4 VPNv4、IPv6;所配置的MPLS协议在数据包头部分封装了标签信息,这种带有标签信息的数据包就需要通过BGP的VPNv4地址簇来转发;
(4)配置PE和CE路由,
PE-CE端采用BGP协议来建立连接,利用PE端重发布来使企业网络学习到这些VRF里的路由条目,进而实现全网互通;
S3. 设置SSH远程登陆方式,
数字证书将会对工作站和网络设备之间的连接状态进行认证,同时SSH会为受保护的数据流进行加密处理;
S4.组播流量控制,
把各个设备独立开来,每台设备完成相互独立的功能需求,以此来形成一个完善的组播网络系统;组播结构中有分为两个通告消息,稀疏模式的组播中路由设备通过发送这两个消息来竞选RP,成功入选的RP成为组播汇聚点,所有组播消息通过组播汇聚点下发,组播汇聚点负责整个组播域的广播;RP选举的完成意味着一个组的组播流量可以正常接收和转发,当有新成员加入到这个组中时可以继续发送竞选RP信息,以便适应新的组播成员加入,企业可以有效的控制加入到组播中的用户,不同的用户可能会分到不同的组播域中,不同的组播域实现了不同的数据通信;
S5.IPv6网络部署,
采用基于IPv6的OSPFv3协议,实时监控具体链路协议的运行状况信息,
S6.HSRP备份,
带有冗余备份的主机连接到通信设备时,这两台通信设备为这个主机提供了虚拟的网关,当其中一条通信链路断掉时,并不影响主机的正常工作,HSRP可以自动切换成另一条正常进行的链路;在HSRP的基础上再继续对整台路由设备进行细致部署,即使出现了多条链路同时出现故障,整个核心网仍然得以稳定运行,这使得这个网络的稳定性提升了一个新高度,网络管理人员可随时变换活跃设备和备份设备的角色,使得两台路由设备分工合作,
当主机所连接的网关设备做了HSRP备份之后,这台主机的容错性就提升了很多,对它而言有两个网关供它选择,当其中一条链路出现故障时,HSRP允许这台主机选择另一条线路去传输数据,这时在路由设备上都做了一个虚拟网关的操作,同时把虚拟网关改成同一地址,当主机通过网关传输数据流时,这个网关就是在路由设备上设置的虚拟网关,通过虚拟网关仍然可以转发数据流信息,
S7. 利用ACL防止网络攻击,
使用ACL对特定协议的流量进行匹配,对已经出现的网络攻击手段做到有效阻止,对外部的私网地址进行有效过滤,防止外部IP地址欺骗并探测本企业网络,通过对这些流量控制及流量过滤保证企业网络安全性,
S8. 通过QoS对路由的优化,
包括以下五阶段:
(1)分类
分类过程是由设定的信任策略或报文的内容来决定,将这些报文按照Cos值来归类,这个阶段的主要任务是确定CoS值;分类在路由设备的端口接收到报文阶段开始,当设备的某端口关联QoS策略的Policy-map后,这个端口上的分类就生效了,QoS对所有从该端口接收到的报文都起作用,
(2)策略
数据流分类完成之后需要对这些分类做特定的策略,这些策略主要约束分类完成的数据流传输带宽;Policing动作作用于已经分类每一个报文,或对特定的分类做策略,从而可以划分策略的作用域,当某些报文超出策略所允许的带宽速度,这些报文将会被列入特定类,对特定的类单独处理,这些特定的类可能会被丢弃,也可能会被赋予另外的DSCP 值,
(3)标识
当报文经过分类和策略阶段处理后,为保证被分类的报文对应的DSCP值可以顺利传输到网络中的下一节点,需要利用标识动作在报文中写入QoS 信息字段,改变QoS信息可以使用QoS中的ACL来实现,也可以使用Trust 方式实现,可以对Trust DSCP做出选择,进而保留IP 报文头部的DSCP字段信息,
(4)队列
这一阶段主要将数据流中报文送往特定端口的输出队列中,送往不同端口的输出队列会标记有不同的服务质量,
现阶段的路由设备中为每个端口分配八个输出队列,这些队列利用设备上配置的DSCP-to-CoS Map和Cos-to-Queue Map两张映射表将报文的DSCP 值转化成输出队列号,以此来确定报文被送往的输出队列;
(5)调度
调度是QoS流程的最后一个阶段;当报文被送到特定的输出队列后,设备将采用WRR或其它算法将报文继续发送出去;
WRR算法通过修改权重值以此来控制各输出队列在输出报文时发送报文的个数,进而影响带宽;或通过修改DRR算法的权重值来控制输出报文时所占用的发送报文字节数,从而影响带宽。
2.根据权利要求1所述的一种基于MPLS的中大型企业网的实现方法,其特征在于:DMVPN的加密方法选择3DES加密方式,3DES加密方式在Des的基础上,把24位分成相互独立的3组,每组实现不同的加密算法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111637569.5A CN114338422B (zh) | 2021-12-29 | 2021-12-29 | 一种基于mpls的中大型企业网及其实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111637569.5A CN114338422B (zh) | 2021-12-29 | 2021-12-29 | 一种基于mpls的中大型企业网及其实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114338422A CN114338422A (zh) | 2022-04-12 |
CN114338422B true CN114338422B (zh) | 2023-08-25 |
Family
ID=81017620
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111637569.5A Active CN114338422B (zh) | 2021-12-29 | 2021-12-29 | 一种基于mpls的中大型企业网及其实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338422B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117118899A (zh) * | 2023-08-24 | 2023-11-24 | 广东九博科技股份有限公司 | 一种无线分组路由器及其动态分类与调度方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108023802A (zh) * | 2016-11-01 | 2018-05-11 | 中国移动通信集团广东有限公司 | 数据传输系统及方法 |
CN111628934A (zh) * | 2020-04-29 | 2020-09-04 | 四川速宝网络科技有限公司 | 一种sd-wan网络中实现域名访问加速的方法及装置 |
CN113315688A (zh) * | 2021-05-27 | 2021-08-27 | 长春工业大学 | 一种共享技术信息平台的融合网络系统 |
CN113630324A (zh) * | 2021-08-10 | 2021-11-09 | 中电积至(海南)信息技术有限公司 | 基于mpls-vpn的新型跨域互联方法 |
CN113676469A (zh) * | 2021-08-17 | 2021-11-19 | 盐城工学院 | 一种企业网安全管理方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10637889B2 (en) * | 2015-07-23 | 2020-04-28 | Cisco Technology, Inc. | Systems, methods, and devices for smart mapping and VPN policy enforcement |
-
2021
- 2021-12-29 CN CN202111637569.5A patent/CN114338422B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108023802A (zh) * | 2016-11-01 | 2018-05-11 | 中国移动通信集团广东有限公司 | 数据传输系统及方法 |
CN111628934A (zh) * | 2020-04-29 | 2020-09-04 | 四川速宝网络科技有限公司 | 一种sd-wan网络中实现域名访问加速的方法及装置 |
CN113315688A (zh) * | 2021-05-27 | 2021-08-27 | 长春工业大学 | 一种共享技术信息平台的融合网络系统 |
CN113630324A (zh) * | 2021-08-10 | 2021-11-09 | 中电积至(海南)信息技术有限公司 | 基于mpls-vpn的新型跨域互联方法 |
CN113676469A (zh) * | 2021-08-17 | 2021-11-19 | 盐城工学院 | 一种企业网安全管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114338422A (zh) | 2022-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5106100B2 (ja) | アドレス型キャリアネットワークにおける区別転送 | |
US7643409B2 (en) | Computer network with point-to-point pseudowire redundancy | |
US7489700B2 (en) | Virtual access router | |
RU2530338C2 (ru) | Предварительно подготовленное сопряжение на основе состояния линий связи поставщиков (plsb) с маршрутизируемым резервированием | |
KR100612318B1 (ko) | 분산 구조 라우터에서 가상 근거리 통신망 브리징 및 가상사설 통신망을 구현하는 장치 및 방법 | |
US8194668B2 (en) | Differential forwarding in address-based carrier networks | |
CN101155109B (zh) | 一种以太网交换系统及设备 | |
US20040223499A1 (en) | Communications networks with converged services | |
US10673755B1 (en) | Multi-chassis link aggregation groups with more than two chassis | |
CN114338422B (zh) | 一种基于mpls的中大型企业网及其实现方法 | |
Cisco | Cisco IOS Switching Services Configuration Guide Release 12.2 | |
Cisco | Cisco IOS Switching Services Configuration Guide Release 12.1 | |
Cisco | Overview of Layer 3 Switching and Software Features | |
Cisco | Overview of Layer 3 Switching and Software Features | |
Cisco | Introduction to Cisco MPLS VPN Technology | |
Cisco | 16- and 36-Port Ethernet Switch Module for Cisco 2600 Series,Cisco 3600 Series,and Cisco 3700 series | |
Cisco | Internetworking Design Basics | |
Cisco | Multiprotocol Label Switching Overview | |
Aweya | Designing Switch/routers: Fundamental Concepts and Design Methods | |
Chi et al. | SDN Migration: An Efficient Approach to Integrate OpenFlow Networks with STP-Enabled Networks | |
Ögren | Selecting/realization of Virtual Private Networks with Multiprotocol Label Switching or Virtual Local Area Networks | |
Deelen et al. | Improving scalability of the AMS-IX network | |
JPH11122290A (ja) | ネットワーク・スイッチング・システム | |
Sumithra et al. | Creation of Virtual Private Network Over MPLS Network for Voice over Ip | |
Headquarters | Campus Network for High Availability Design Guide |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |