CN116319168A - 一种跨区域企业园区网络的组网方法和系统 - Google Patents

Abstract

本发明提供一种跨区域企业园区网络的组网方法和系统，其中方法包括对跨区域企业园区网络的拓扑结构进行自治域划分和网络地址规划；部署跨区域企业园区网络的虚拟局域网干道协议、二层端口、网络系统可扩展性和安全验证以配置网络交换层；部署跨区域企业园区网络的核心交换网自治域、总部自治域、分部自治域及互联网服务以配置网络路由层。本发明能够精简网络管理且易于维护，在规划好的网络结构内提供各个网络接入控制，节约运行开销；能够有效防止在数据传输过程中自身路由信息被恶意利用，也起到了防止外部设备接入后对网络设备端口进行恶意操作的保护作用，从而将企业网的风险尽可能降到最低。

Description

一种跨区域企业园区网络的组网方法和系统

技术领域

本发明属于路由控制技术领域，尤其涉及一种跨区域企业园区网络的组网方法和系统。

背景技术

随着各类大中型企业，特别是跨国企业的商务应用正阶段性转向依靠计算机网络进行业务往来，因此，跨区域企业网络实时顺利的数据传输，互联网访问的稳定连续性及安全性正日渐成为确保企业日常生产和业务交流的必要条件。如何实现以跨区域为应用场景具有办公点互访功能的企业园区网络，如何实现企业园区网络具备数据路由转发策略合理、传输安全、可扩展等特性，已成为如今大中型企业园区网络研究中所面临的一个重要问题。

目前大中型企业网的设计方法主要有以下几种：1)无线网络规划法：在企业网设计过程中，将无线控制器挂接在核心交换机解决集中及分布转发效率问题，依靠访问节点供电并接入无线网络；2)综合布线系统法：在企业网中通过配置各种布线系统，如：工作区子系统、水平子系统、管理子系统、干线子系统、设备间子系统来完成网络系统的数据和语音通信，达到办公点对通信自动化的信息传输需求；3)安全架构设计法：将企业网按层次管理应用数据、操作系统及物理安全，设置安全防护区实现内外网络隔离及防御控制。基于思科公司的网络设备和软件构建高效的企业网络体系在技术先进性、通用性以及售后服务方面都具有一定的优越性，且便于维护和升级，因而近年来受到了很大程度的关注。

实现跨区域办公点之间网络的互相通信，企业能够统一管理总部及分支机构的网络，确保分支机构的网络不仅能够接入企业总部而且可以得到同样的安全保护是一个大中型企业网设计的难题。其研究难点包括在多业务共存的网络设备上，由于各业务归属不同区域部门管理，要求企业网实现内部网络按功能划分。此外，企业的业务运营依赖于对互联网的访问，因此要求企业网络的各办公点与互联网稳定连接。而为了最小化因设备故障和安全问题引起的经济损失，要求保证企业在复杂的公网环境中尽可能少地受到不安全因素影响，将企业网络风险调整到最低，因此，亟需一种在网络结构和应用服务方面具备冗余性、可扩展性和安全性的跨区域企业园区网络。

发明内容

本发明针对现有技术中的不足，提供一种跨区域企业园区网络的组网方法和系统。

第一方面，本发明提供一种跨区域企业园区网络的组网方法，包括：

对跨区域企业园区网络的拓扑结构进行自治域划分和网络地址规划；

部署跨区域企业园区网络的虚拟局域网干道协议、二层端口、网络系统可扩展性和安全验证以配置网络交换层；

部署跨区域企业园区网络的核心交换网自治域、总部自治域、分部自治域及互联网服务以配置网络路由层。

进一步地，所述对跨区域企业园区网络的拓扑结构进行自治域划分和网络地址规划，包括：

将跨区域企业园区网络划分为七个办公点、一个核心交换网和多个网络服务运营商；其中七个办公点包括一个总部和六个分部；

将七个办公点的局域网地址分别分配给总部对应的自治域和六个分部各自对应的自治域；

将网络地址分配给核心交换网对应的自治域；

将访问地址分配给每个网络服务运营商；

为每个分部与网络服务运营商之间以及网络服务运营商与网络服务运营商之间分配网络地址；

为核心交换网的交换机虚拟接口分配网络地址。

进一步地，所述将跨区域企业园区网络划分为七个办公点、一个核心交换网和多个网络服务运营商；其中七个办公点包括一个总部和六个分部，包括：

总部被划分为单一自治域AS34567，自治系统号为34567，包括四台核心网络路由器R8、R9、R10和R11，两台接入交换机SW3和SW4；

分部一被划分为单一自治域AS65112，自治系统号为65112，包括一台接入路由器R20；

分部二被划分为单一自治域AS65111，自治系统号为65111，包括一台接入路由器R12；

分部三被划入单一自治域AS65111，自治系统号为65111，包括一台接入路由器R14；

分部四被划分为单一自治域AS45678，自治系统号为45678，包括三台接入路由器R15、R16和R17，两台接入交换机SW5和SW6；

分部五被划分为单一自治域AS65222，自治系统号为65222，包括一台接入路由器R18；

分部六被划入单一自治域AS65222，自治系统号为65222，包括一台接入路由器R19；

核心交换网被划分为单一自治域AS12345，自治系统号为12345，包括七台核心网络路由器R1、R2、R3、R4、R5、R6和R7，两台核心网络交换机SW1和SW2。

进一步地，所述部署跨区域企业园区网络的虚拟局域网干道协议、二层端口、网络系统可扩展性和安全验证以配置网络交换层，包括：

配置核心交换网中的交换机SW1和SW2，使用思科命令设置虚拟局域网干道协议模式为透明模式，使交换机SW1和SW2均传递但不应用收到的虚拟局域网信息；

采用思科命令配置总部办公点的交换机SW3为虚拟局域网干道协议的服务器模式，使交换机向外传递自身的虚拟局域网信息；使用思科命令配置交换机SW4为虚拟局域网干道协议的客户端模式，使交换机SW3和SW4学习但不传递其他交换机的虚拟局域网信息；在配置各交换机时，同时添加虚拟局域网干道协议验证功能，密码与交换机所在的单一自治域号相同；

配置交换机SW1、SW2、SW3和SW4不依赖协商的中继规则；关闭交换机SW1、SW2、SW3和SW4上未使用的端口，并配置为虚拟局域网的访问端口；

核心交换网和总部的所有路由器配置虚拟局域网信息，以使所有路由器拼通与自身直接连接的邻居设备；

将单一自治域名称最后一位数字为奇数的单一自治域作为奇数虚拟局域网；将单一自治域名称最后一位数字为偶数的单一自治域作为偶数虚拟局域网；

在核心交换网中，配置SW1为所有奇数虚拟局域网的根交换机，将奇数虚拟局域网划分进实例一，将偶数虚拟局域网划分进实例二，提高实例一的优先级，以使交换机SW1为多生成树协议实例一的根交换机，交换机SW1同时为所有偶数虚拟局域网的备份；将交换机SW2配置为所有偶数虚拟局域网的根交换机，提高实例二的优先级，以使交换机SW2为多生成树协议实例二的根交换机，交换机SW2同时为所有奇数虚拟局域网的备份；

在总部中，配置交换机SW3为所有奇数虚拟局域网的根交换机，将奇数虚拟局域网划分进实例一，将偶数虚拟局域网划分进实例二，提高实例一的优先级，以使交换机SW3成为多生成树协议实例一的根交换机，交换机SW3同时为所有偶数虚拟局域网的备份；将交换机SW4配置为所有偶数虚拟局域网的根交换机，提高实例二的优先级，以使交换机SW4为多生成树协议实例二的根交换机，交换机SW4同时为所有奇数虚拟局域网的备份

在所有端口上开启端口快速转发，采用思科交换机命令实现所有接入端口在连接后立即转换到转发状态，并且参与生成树协议；如果交换机接收到任何网桥协议数据单元，采用思科交换机命令实现访问端口自动关闭；

将分部五和分部六的接入路由器R18和R19通过响应网络服务运营商的路由器R63发送的验证请求以完成点到点链路的链接；通过思科命令对串口使用点对点协议对接入路由器R18和R19进行配置，并使用思科命令设置用户名和密码。

进一步地，所述部署跨区域企业园区网络的核心交换网自治域、总部自治域、分部自治域及互联网服务以配置网络路由层，包括：

配置开放最短路径优先路由协议进程身份标识号与自治系统号相同，并将路由器身份标识号设置为核心交换网中路由器R1、R2、R3、R4、R5、R6和R7的环回口；

将单一自治域AS12345统一划为骨干网，实现骨干网区域内部互通，配置每个路由器都向邻居设备宣告自身的环回口地址，用以在路由表中判断路由器之间能否相互通信；

通过思科命令在路由器R2、R3、R6和R7上静默面向其它单一自治域的端口，以使开放最短路径优先路由协议没有在任何面向另一个单一自治域的接口上运行；

将单一自治域AS12345的路由器R4和R5只提供基础网络通信，不运行边界网关协议，而其它运行边界网关协议的路由器R1、R2、R3、R6和R7使用各自环回口地址作为对应路由器身份标识号；

将分部一中的路由器R20作为网络服务运营商所连接的客户端路由器，利用外部边界网关协议连接到核心交换网中路由器R2和R3提供的管理服务，路由器R2和R3作为网络服务运营商骨干网的边缘路由器；

将路由器R20与R2和R3在虚拟路由表上建立外部边界网关协议邻居关系，向邻居宣告默认路由，配置路由器R20向所有边界网关协议对等体组成员公布前缀并宣告环回口和内网地址，路由器R20对外部网络只宣告自身的聚合地址；

在单一自治域AS12345的七个路由器所需的接口上启用标签分发协议，并配置标签号范围；

配置使用路由器环回口建立标签分发协议对等体，在端口上开启标签转发功能，使用思科命令配置区域内可见明细路径，而区域外不可见区域的明细路径；

在网络服务运营商区域，为从边缘路由器到边缘路由器的外部边界网关协议对等体之间的路由器R51、R52、R53、R61、R62和R63配置虚拟专用网；路由器R2和R3通过虚拟路由表与网络服务运营商的路由器R51和R52建立外部边界网关协议对等体；路由器R6和R7通过虚拟路由表与网络服务运营商的路由器R61和R62建立外部边界网关协议对等体；

在单一自治域AS34567的路由器R8、R9、R10和R11以及交换机SW3和SW4上开启内部网关路由协议路由并为路由器R8、R9、R10和R11加上自治系统号34567，每个路由器都宣告自身的环回口地址；

在交换机SW3和SW4的虚拟局域网上配置IP地址，开启交换机虚拟接口，并加入路由进程；在路由器R8、R9、R10和R11上将面向其他自治域的端口设置为被动端口，以使内部网关路由协议不面向另一个接口运行；

将单一自治域AS34567内的交换机SW3和SW4在内部网络中不面向外部连接网络，只提供基础网络通信，不建立边界网关协议会话；所有运行边界网关协议的路由器R8、R9、R10和R11使用自身的环回口作为其路由器身份标识号，在单一自治域AS34567的四个路由器之间的全网格内部边界网关协议对等体中，选择路由器R9作为前往远程单一自治域的交通首选出口点；如果路由器R9失效，选择路由器R11作为下一个首选出口；所有四个边界网关协议路由器与相邻的外部边界网关协议对等体建立邻居，并将四个边界网关协议路由器学习到的内部网关路由协议路由重新分布到边界网关协议中，将内网路由传递至外网；

开启端口安全配置，交换机SW3的端口只转发被规定为邻居发现协议的邻居所发来的流量；配置交换机口，使交换机SW3主动记下最先插入设备的媒体存取控制位MAC地址，实现交换机SW3动态学习每个端口的MAC地址，设置每个端口只能记住一个MAC地址，并将MAC地址保存在其启动配置中；如果四个端口中的任何一个发生安全冲突，交换机SW3会关闭端口，或者当其他设备违规接入时，接口将变成不可用状态并关闭；

配置单一自治域AS65112，实现总部远程操控分部一的路由器R20，设置使用域名acme.org与路由器R20建立会话，路由器R20只接受总部客户端的安全外壳协议访问请求，拒绝其他来源IP的请求；

在单一自治域AS45678的三个路由器R15、R16和R17上使用命名模式开启内部网关路由协议路由；交换机SW5和SW6为第三层交换机，开启路由功能并配置内部网关路由协议，在IPv4单播地址族下加入分部四自治域；在命名模式下路由宣告的方式为进入拓扑库，每个路由器都宣告自身的环回口地址；使用哈希运算消息认证码安全散列算法256验证模式进行身份验证；

分部四的路由器R15与网络服务运营商路由器R53基于虚拟路由表建立外部边界网关协议对等体，并接收路由器R15提供的默认路由，在路由器R15的内部网关路由协议和边界网关协议路由进程上进行双向重分布；

在路由器R16、R17、R18和R19的虚拟路由表中，与网络服务运营商路由器R63建立外部边界网关协议对等体；路由器R63使用自身的环回口地址作为其路由器身份标识号；

设置路由器R17为汇聚分支节点的中心节点，路由器R18和R19作为分支节点，使用字符串“45678key”验证下一跳解析协议，配置下一跳解析协议网络身份标识号为45678；

配置路由器R17、R18和R19时，首先在互联网密钥交换协议阶段一，创建一个IKE策略，使用优先级十配置单个策略，然后使用带有预共享密钥的高级加密标准，通过相同的IKE阶段一预共享密钥对所有互联网安全协议族隧道进行身份验证，使用公开密钥算法进行密钥交换；

在互联网密钥交换协议阶段二，设置阶段二的传输设定集、策略名称、封装协议、加密方法以及完整性效验方法，在传输模式下使用128位的互联网安全协议族、封装安全载荷和对称的分组加密技术，在配置中进行隧道保护；

为单一自治域AS65222的接入路由器R18和R19加上自治系统号45678；单一自治域AS65222的对外路由功能基于隧道口，内部网关路由协议的配置基于动态多点虚拟专用网的隧道口；将路由器R18和R19都宣告自身的环回口地址，并且内部网关路由协议不面向另一个接口运行；

配置互联网访问服务，实现总部、分部二、分部三、分部四、分部五和分部六的所有办公点连接互联网，使用路由器R99模拟互联网服务提供商，用路由器R99环回口地址1.2.3.4代表各部门连接互联网时实际要访问的地址。

进一步地，所述将单一自治域AS12345的路由器R4和R5只提供基础网络通信，不运行边界网关协议，而其它运行边界网关协议的路由器R1、R2、R3、R6和R7使用各自环回口地址作为对应路由器身份标识号，包括：

以路由器R1作为核心交换网上边界网关协议的IPv4路由反射器，创建内部边界网关协议的对等体组；将对等体组中的成员设为自身的客户，并命名对等体组成员的单一自治域名称为AS12345；

以自身的环回口建立内部边界网关协议邻居，将路由器R2、R3、R6和R7放进对等体组；

进入IPv4地址族配置，将对等体组中的成员设为路由器R1自身的客户，在IPv4地址族下激活内部边界网关协议邻居。

进一步地，所述配置单一自治域AS65112，实现总部远程操控分部一的路由器R20，设置使用域名acme.org与路由器R20建立会话，路由器R20只接受总部客户端的安全外壳协议访问请求，拒绝其他来源IP的请求，包括：

以路由器R20作为网络管理策略的主要部署点，书写访问控制列表地址，访问控制列表地址只从总部的内网地址中选择；

设置安全外壳协议的最大连接数为四，路由器R20接受最多四个远程授权用户，应用访问控制列表，以使在路由器R20的虚拟终端线路上允许的唯一远程访问方式是安全外壳协议；

配置系统记录失败和成功的访问日志。

进一步地，所述设置路由器R17为汇聚分支节点的中心节点，路由器R18和R19作为分支节点，使用字符串“45678key”验证下一跳解析协议，配置下一跳解析协议网络身份标识号为45678，包括：

配置路由器R17时，配置下一跳解析协议认证，动态接收下一跳解析协议的组播映射，配置站点隧道的网络身份标识号为45678，路由器R17作为中心节点开启重定向；

指定隧道的源接口地址，配置隧道模式为多点通用路由封装，配置隧道口转发虚拟路由表的路由信息；

配置路由器R18和R19时，配置下一跳解析协议认证，映射从中心站点的隧道虚拟IP到中心站点的公网IP；

映射动态多点虚拟专用网组播地址到公网IP，配置下一跳解析协议服务器地址，即中心节点Hub的隧道地址，配置隧道口转发虚拟路由表的路由信息。

进一步地，所述配置互联网访问服务，实现总部、分部二、分部三、分部四、分部五和分部六的所有办公点连接互联网，使用路由器R99模拟互联网服务提供商，用路由器R99环回口地址1.2.3.4代表各部门连接互联网时实际要访问的地址，包括：

配置分部一的路由器R20时，首先书写访问控制列表，允许所有的源IP地址；其它各分部访问互联网经由INET表的引导，INET表是提供互联网访问服务的专用虚拟网，然后配置INET表以外的虚拟专用网路由转发表的接口为入口，配置INET表的接口为出口，最后将访问控制列表指定的源地址转换为环回口地址，从而汇总内网数据包并将其通过单个面向外网的出口转发出去。

第二方面，本发明提供一种跨区域企业园区网络的组网系统，包括：

网络划分模块，用于对跨区域企业园区网络的拓扑结构进行自治域划分和网络地址规划；

第一网络部署模块，用于部署跨区域企业园区网络的虚拟局域网干道协议、二层端口、网络系统可扩展性和安全验证以配置网络交换层；

第二网络部署模块，用于部署跨区域企业园区网络的核心交换网自治域、总部自治域、分部自治域及互联网服务以配置网络路由层。

本发明提供一种跨区域企业园区网络的组网方法和系统，其中方法包括对跨区域企业园区网络的拓扑结构进行自治域划分和网络地址规划；部署跨区域企业园区网络的虚拟局域网干道协议、二层端口、网络系统可扩展性和安全验证以配置网络交换层；部署跨区域企业园区网络的核心交换网自治域、总部自治域、分部自治域及互联网服务以配置网络路由层。

本发明中总部建立会话远程操控分部，能够精简网络管理且易于维护，在规划好的网络结构内提供各个网络接入控制，节约运行开销；本发明限制访问关键设备数量、控制访问权限、验证加密策略以及隐藏核心交换网路由信息，能够有效防止在数据传输过程中自身路由信息被恶意利用，也起到了防止外部设备接入后对网络设备端口进行恶意操作的保护作用，从而将企业网的风险尽可能降到最低。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种跨区域企业园区网络的组网方法的流程图；

图2为本发明实施例提供的跨区域企业园区网络拓扑图；

图3为本发明实施例提供的跨区域企业园区网络地址划分信息图；

图4为本发明实施例提供的开放最短路径优先路由协议邻居关系测试图；

图5为本发明实施例提供的路由器R1所学习的路由信息图；

图6为本发明实施例提供的路由器R12的路由追踪信息图；

图7为本发明实施例提供的总部自治域内部网关路由协议邻居关系测试图；

图8为本发明实施例提供的安全外壳协议功能演示图；

图9为本发明实施例提供的成功访问日志图；

图10为本发明实施例提供的访问失败日志图；

图11为本发明实施例提供的分部四自治域内部网关路由协议邻居关系测试图；

图12为本发明实施例提供的分部四与分部五以及分部六的连通性测试图；

图13为本发明实施例提供的总部自治域路由器R8访问互联网连通性测试图；

图14为本发明实施例提供的分部一与分部二以及分部三的连通性测试图；

图15为本发明实施例提供的各分部自治域内路由器访问互联网连通性测试图；

图16为本发明实施例提供的一种跨区域企业园区网络的组网系统的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在一实施例中，如图1所示，本发明实施例提供一种跨区域企业园区网络的组网方法，包括：

步骤101，对跨区域企业园区网络的拓扑结构进行自治域划分和网络地址规划。

示例性地，如图3所示，将跨区域企业园区网络划分为七个办公点、一个核心交换网和多个网络服务运营商；其中七个办公点包括一个总部和六个分部。

如图2所示，总部、分部、核心交换网自治域及网络服务运营商均用虚线区域标出，包括七台模拟运营商路由器R51、R52、R53、R61、R62、R63和R99，其中路由器R99为互联网服务提供商。网络拓扑的搭建基于Web-IOUV22UD平台，模拟设备均是思科系统选型。

总部被划分为单一自治域AS34567，自治系统号为34567，包括四台核心网络路由器R8、R9、R10和R11，两台接入交换机SW3和SW4；交换机SW3和SW4采用三层结构交换机参与冗余设计，确保网络的稳定性，通过运营商与其他分部通信(用于边界网关协议(BGP)路由中的每个自治域都被分配一个唯一的自治系统号(ASN))。

分部一被划分为单一自治域AS65112，自治系统号为65112，包括一台接入路由器R20。

分部二被划分为单一自治域AS65111，自治系统号为65111，包括一台接入路由器R12。

分部三被划入单一自治域AS65111，自治系统号为65111，包括一台接入路由器R14。

分部四被划分为单一自治域AS45678，自治系统号为45678，包括三台接入路由器R15、R16和R17，两台接入交换机SW5和SW6。

分部五被划分为单一自治域AS65222，自治系统号为65222，包括一台接入路由器R18。

分部六被划入单一自治域AS65222，自治系统号为65222，包括一台接入路由器R19。

核心交换网被划分为单一自治域AS12345，自治系统号为12345，包括七台核心网络路由器R1、R2、R3、R4、R5、R6和R7，两台核心网络交换机SW1和SW2；交换机SW1和SW2采用三层结构交换机参与冗余设计，确保网络的稳定性，通过运营商与其他分部通信。

将七个办公点的局域网地址分别分配给总部对应的自治域和六个分部各自对应的自治域；六个分部各自对应的自治域分别为分部一自治域、分部二自治域、分部三自治域、分部四自治域、分部五自治域、分部六自治域。

将网络地址分配给核心交换网对应的自治域。

将访问地址分配给每个网络服务运营商。

为每个分部与网络服务运营商之间以及网络服务运营商与网络服务运营商之间分配网络地址。

为核心交换网的交换机虚拟接口分配网络地址。

步骤102，部署跨区域企业园区网络的虚拟局域网干道协议、二层端口、网络系统可扩展性和安全验证以配置网络交换层。

示例性地，为网络系统部署客制化虚拟局域网干道协议，将虚拟局域网的配置和管理变得相对简单，使得交换机之间可以传递虚拟局域网划分信息。在VTP域(即VLAN管理域(VLANmanagementdomain))中有个很重要的概念就是交换机的模式，分别是服务器模式、客户端模式和透明模式。

设置的虚拟局域网干道协议域名与版本号保持一致。配置核心交换网中的交换机SW1和SW2，使用思科命令设置虚拟局域网干道协议模式为透明模式，使交换机SW1和SW2均传递但不应用收到的虚拟局域网信息。

采用思科命令配置总部办公点的交换机SW3为虚拟局域网干道协议的服务器模式，使交换机向外传递自身的虚拟局域网信息；使用思科命令配置交换机SW4为虚拟局域网干道协议的客户端模式，使交换机SW3和SW4学习但不传递其他交换机的虚拟局域网信息；在配置各交换机时，同时添加虚拟局域网干道协议验证功能，密码与交换机所在的单一自治域号相同。

配置二层端口，包含以下步骤：

配置核心交换网和总部的四台交换机SW1、SW2、SW3以及SW4，使其具有不依赖协商的中继规则。中继规则是提供虚拟局域网识别和服务质量(QoS)级别的电气和电子工程师协会(IEEE)标准，是IEEE802.1q标准规定的通用汇聚端口封装模式。不配置任何以太网通道，虽然采用了四台交换机SW1、SW2、SW3以及SW4三层交换机设备，但不在端口上开启路由功能，还需要关闭四台交换机上的未使用端口，并将其配置为虚拟局域网的访问端口，用以保证最基本的设备安全。

核心交换网和总部的所有路由器配置虚拟局域网信息，以使所有路由器拼通与自身直接连接的邻居设备。

明确配置根交换机和备份的角色用以使网络系统具备可扩展性，将来可以在网络中添加其他具有默认配置的交换机。

将单一自治域名称最后一位数字为奇数的单一自治域作为奇数虚拟局域网；将单一自治域名称最后一位数字为偶数的单一自治域作为偶数虚拟局域网。奇数虚拟局域网、偶数偶数局域网即依据划分的自治域名称来确定奇偶数，例如单一自治域AS65111、AS34567和AS12345是奇数局域网；单一自治域AS65112、AS65222和AS45678是偶数局域网。

在核心交换网中，配置SW1为所有奇数虚拟局域网的根交换机，将奇数虚拟局域网划分进实例一，将偶数虚拟局域网划分进实例二，提高实例一的优先级，以使交换机SW1为多生成树协议实例一的根交换机，交换机SW1同时为所有偶数虚拟局域网的备份；将交换机SW2配置为所有偶数虚拟局域网的根交换机，提高实例二的优先级，以使交换机SW2为多生成树协议实例二的根交换机，交换机SW2同时为所有奇数虚拟局域网的备份。

在总部中，配置交换机SW3为所有奇数虚拟局域网的根交换机，将奇数虚拟局域网划分进实例一，将偶数虚拟局域网划分进实例二，提高实例一的优先级，以使交换机SW3成为多生成树协议实例一的根交换机，交换机SW3同时为所有偶数虚拟局域网的备份；将交换机SW4配置为所有偶数虚拟局域网的根交换机，提高实例二的优先级，以使交换机SW4为多生成树协议实例二的根交换机，交换机SW4同时为所有奇数虚拟局域网的备份。

在所有端口上开启端口快速转发，采用思科交换机命令实现所有接入端口在连接后立即转换到转发状态，并且参与生成树协议；如果交换机接收到任何网桥协议数据单元，采用思科交换机命令实现访问端口自动关闭，以防未知设备接入发生根转移，从而保护生成树的稳定性。

将分部五和分部六的接入路由器R18和R19通过响应网络服务运营商的路由器R63发送的验证请求以完成点到点链路的链接；通过思科命令对串口使用点对点协议对接入路由器R18和R19进行配置，并使用思科命令设置用户名和密码。

步骤103，部署跨区域企业园区网络的核心交换网自治域、总部自治域、分部自治域及互联网服务以配置网络路由层。

示例性地，配置开放最短路径优先路由协议进程身份标识号(ID)与自治系统号相同，并将路由器身份标识号设置为核心交换网中路由器R1、R2、R3、R4、R5、R6和R7的环回口，用以实现核心交换网自治域AS12345内网络的相互通信。

将单一自治域AS12345统一划为骨干网，实现骨干网区域内部互通，配置每个路由器都向邻居设备宣告自身的环回口地址，用以在路由表中判断路由器之间能否相互通信。如图4所示，路由器R1、R2、R3、R4、R5、R6和R7尝试拼开放最短路径优先路由协议邻居的环回口地址，符号！表示数据包发送成功。如图5所示，通过查看路由器R1的路由表，发现其已经学习到路由器R2、R3、R4、R5、R6和R7的环回口地址，且路由条目来源为开放最短路径优先路由协议。

通过思科命令在路由器R2、R3、R6和R7上静默面向其它单一自治域的端口，以使开放最短路径优先路由协议没有在任何面向另一个单一自治域的接口上运行。

将单一自治域AS12345的路由器R4和R5只提供基础网络通信，不运行边界网关协议，而其它运行边界网关协议的路由器R1、R2、R3、R6和R7使用各自环回口地址作为对应路由器身份标识号。以路由器R1为例进行说明：

以路由器R1作为核心交换网上边界网关协议的IPv4路由反射器，创建内部边界网关协议的对等体组；将对等体组中的成员设为自身的客户，并命名对等体组成员的单一自治域名称为AS12345。

以自身的环回口建立内部边界网关协议邻居，目的是提高系统稳定性，一旦链路断掉，数据还能从环回口传给其他邻居，将路由器R2、R3、R6和R7放进对等体组。

进入IPv4地址族配置，将对等体组中的成员设为路由器R1自身的客户，在IPv4地址族下激活内部边界网关协议邻居。

核心交换网与分部一之间建立外部邻居关系，将分部一中的路由器R20作为网络服务运营商所连接的客户端路由器，利用外部边界网关协议连接到核心交换网中路由器R2和R3提供的管理服务，路由器R2和R3作为网络服务运营商骨干网的边缘路由器。

将路由器R20与R2和R3在虚拟路由表上建立外部边界网关协议邻居关系，属于建立单独的外部边界网关协议对等体，向邻居宣告默认路由，配置路由器R20向所有边界网关协议对等体组成员公布前缀并宣告环回口和内网地址，路由器R20对外部网络只宣告自身的聚合地址，用以保障内部网络安全。

在单一自治域AS12345的七个路由器所需的接口上启用标签分发协议，用以确保在源于自治域外部的跟踪路由上不可见，并配置标签号范围；使用多协议标签交换虚拟专用网技术方便核心交换网自治域分别管理各个远程站点的网络。

配置使用路由器环回口建立标签分发协议对等体，在端口上开启标签转发功能，使用思科命令配置区域内可见明细路径，而区域外不可见区域的明细路径，用以保障网络稳定性；如图6所示，分部二的接入路由器R12访问互联网服务提供商路由器R99时的路由追踪信息，途中经过了运行多协议标签交换虚拟专用网的核心交换网，路由追踪只显示了数据包被多协议标签交换打上的标签Label号58，而不能获取其内部的明细路由。

在网络服务运营商区域，为从边缘路由器到边缘路由器的外部边界网关协议对等体之间的路由器R51、R52、R53、R61、R62和R63配置虚拟专用网；路由器R2和R3需要通过虚拟路由表与网络服务运营商的路由器R51和R52建立外部边界网关协议对等体；路由器R6和R7通过虚拟路由表与网络服务运营商的路由器R61和R62建立外部边界网关协议对等体。

配置总部自治域AS34567：为了实现总部自治域AS34567内部网络的基本互通，在单一自治域AS34567的路由器R8、R9、R10和R11以及交换机SW3和SW4上开启内部网关路由协议路由并为路由器R8、R9、R10和R11加上自治系统号34567，每个路由器都宣告自身的环回口地址，用以确认路由器能够相互通信。如图7所示，以路由器R8为例，用R8拼其加强型内部网关路由协议邻居的环回口地址，符号！表示数据包发送成功。

在交换机SW3和SW4的虚拟局域网上配置IP地址，开启交换机虚拟接口，并加入路由进程；在路由器R8、R9、R10和R11上将面向其他自治域的端口设置为被动端口，以使内部网关路由协议不面向另一个接口运行。

将单一自治域AS34567内的交换机SW3和SW4在内部网络中不面向外部连接网络，只提供基础网络通信，不建立边界网关协议会话；所有运行边界网关协议的路由器R8、R9、R10和R11使用自身的环回口作为其路由器身份标识号，在单一自治域AS34567的四个路由器之间的全网格内部边界网关协议对等体中，选择路由器R9作为前往远程单一自治域的交通首选出口点；如果路由器R9失效，选择路由器R11作为下一个首选出口；所有四个边界网关协议路由器与相邻的外部边界网关协议对等体建立邻居，并将四个边界网关协议路由器学习到的内部网关路由协议路由重新分布到边界网关协议中，将内网路由传递至外网。

实现该自治域的设备安全：开启端口安全配置，交换机SW3的端口只转发被规定为邻居发现协议的邻居所发来的流量；配置交换机口，使交换机SW3主动记下最先插入设备的媒体存取控制位MAC地址，实现交换机SW3动态学习每个端口的MAC地址，设置每个端口只能记住一个MAC地址，并将MAC地址保存在其启动配置中；如果四个端口中的任何一个发生安全冲突，交换机SW3会关闭端口，或者当其他设备违规接入时，接口将变成不可用状态并关闭。

配置单一自治域AS65112，实现总部远程操控分部一的路由器R20，设置使用域名acme.org与路由器R20建立会话，路由器R20只接受总部客户端的安全外壳协议访问请求，拒绝其他来源IP的请求。

示例性地，以路由器R20作为网络管理策略的主要部署点，书写访问控制列表地址，访问控制列表地址只从总部的内网地址中选择。如图8所示，总部自治域的路由器R8通过安全外壳协议远程登录分部一的路由器R20并对路由器R20输入命令行。

设置安全外壳协议的最大连接数为四，路由器R20接受最多四个远程授权用户，应用访问控制列表，以使在路由器R20的虚拟终端线路上允许的唯一远程访问方式是安全外壳协议。

配置系统记录失败和成功的访问日志。如图9所示，在路由器R20上显示路由器R8通过安全外壳协议成功登录后的访问日志。如图10所示，使用不属于总部自治域的路由器R18尝试远程访问路由器R20，由于访问控制列表控制了访问源，所以访问请求被拒绝，登录失败。

实现分部四自治域AS45678的网络安全，确保内部网关路由协议不面向另一个接口运行，配置分部四自治域AS45678：在单一自治域AS45678的三个路由器R15、R16和R17上使用命名模式开启内部网关路由协议路由；交换机SW5和SW6为第三层交换机，开启路由功能并配置内部网关路由协议，用以实现内部网络互通，在IPv4单播地址族下加入分部四自治域；如图11所示，以路由器R15为例，用路由器R15拼其内部网关路由协议邻居的环回口地址，符号！表示数据包发送成功。在命名模式下路由宣告的方式为进入拓扑库，每个路由器都宣告自身的环回口地址，不但可以方便的确认路由器是否相互通信，而且在路由表中就能够简单明了地检查路由信息。使用哈希运算消息认证码安全散列算法256(hmac-sha-256)验证模式进行身份验证，用以防止数据包重放攻击。

分部四的路由器R15与网络服务运营商路由器R53基于虚拟路由表建立外部边界网关协议对等体，并接收路由器R15提供的默认路由，在路由器R15的内部网关路由协议和边界网关协议路由进程上进行双向重分布，用以实现分部四自治域内的办公点与分部五、分部六自治域AS65222内办公点的相互通信，如图12所示，用分部五和分部六的路由器R18和路由器R19分别拼路由器R15，符号！表示数据包发送成功。

在路由器R16、R17、R18和R19的虚拟路由表中，与网络服务运营商路由器R63建立外部边界网关协议对等体；路由器R63使用自身的环回口地址作为其路由器身份标识号。

设置路由器R17为Hub，Hub为汇聚分支节点的中心节点，路由器R18和R19为Spoke，Spoke为分支节点，使用字符串“45678key”验证下一跳解析协议，配置下一跳解析协议网络身份标识号为45678。

示例性地，配置路由器R17时，配置下一跳解析协议认证，动态接收下一跳解析协议的组播映射，配置站点隧道的网络身份标识号为45678，路由器R17作为中心节点开启重定向；

指定隧道的源接口地址，配置隧道模式为多点通用路由封装，配置隧道口转发虚拟路由表的路由信息。

配置路由器R18和R19时，配置下一跳解析协议认证，映射从中心站点的隧道虚拟IP到中心站点的公网IP。

映射动态多点虚拟专用网组播地址到公网IP，配置下一跳解析协议服务器地址，即中心节点Hub的隧道地址，配置隧道口转发虚拟路由表的路由信息。

加密动态多点虚拟专用网策略：配置路由器R17、R18和R19时，首先在互联网密钥交换协议阶段一，创建一个IKE策略，使用优先级十配置单个策略，然后使用带有预共享密钥的高级加密标准，通过相同的IKE阶段一预共享密钥对所有互联网安全协议族隧道进行身份验证，使用公开密钥算法进行密钥交换。

在互联网密钥交换协议阶段二，设置阶段二的传输设定集、策略名称、封装协议、加密方法以及完整性效验方法，在传输模式下使用128位的互联网安全协议族、封装安全载荷和对称的分组加密技术，在配置中进行隧道保护。

配置分部五和分部六自治域AS65222：为单一自治域AS65222的接入路由器R18和R19加上自治系统号45678；单一自治域AS65222的对外路由功能基于隧道口，内部网关路由协议的配置基于动态多点虚拟专用网的隧道口；将路由器R18和R19都宣告自身的环回口地址，用以确认路由器能否相互通信，并且内部网关路由协议不面向另一个接口运行。

配置互联网访问服务，实现总部、分部二、分部三、分部四、分部五和分部六的所有办公点连接互联网，使用路由器R99模拟互联网服务提供商，用路由器R99环回口地址1.2.3.4代表各部门连接互联网时实际要访问的地址。配置分部一的路由器R20时，首先书写访问控制列表，允许所有的源IP地址；其它各分部访问互联网经由INET表的引导，INET表是提供互联网访问服务的专用虚拟网，然后配置INET表以外的虚拟专用网路由转发表的接口为入口，配置INET表的接口为出口，最后将访问控制列表指定的源地址转换为环回口地址，从而汇总内网数据包并将其通过单个面向外网的出口转发出去。用路由器R99的环回口地址1.2.3.4模拟互联网IP地址，以总部自治域的路由器R8的环回口代表办公室的内网，尝试拼地址1.2.3.4，如图13所示，通过路由器R8测试互联网连通性，符号！表示数据包发送成功。

下面结合实施例对本发明做进一步详细的描述：

从三方面验证设计的跨区域企业园区网络的组网方法具备可行性和安全性。1)以分部一和分部二和分部三之间的通信为例验证各自治域办公点之间实现了网络互通；2)验证各分部自治域办公点具备互联网访问功能；3)验证核心交换网路由决策的安全性。仿真跨区域企业园区网络采用的是IOUV22UD仿真平台，使用此平台需要利用VMwareWorkstation搭建虚拟机环境再装入镜像。另外，为了访问虚拟(仿真)的网络设备，安装支持远程登录服务器主机的软件为SecureSRT。期间需要开启VMware虚拟机以及配置虚拟网卡，进入Web-IOU V22UD界面进行网络拓扑搭建等一系列步骤。

验证第一个方面：对路由器R20、R12、R14进行配置，验证验证分部一自治域、分部二和分部三自治域之间的通信，用分部一内路由器R20的环回口尝试分别拼分部二内路由器R12的环回口地址和分部三内路由器R14的环回口地址。

如图14所示，符号！表示数据包发送成功，则表示分部一自治域完成了与分部二以及分部三自治域之间的通信。此外，如图12所示，展示了分部四自治域与分部五以及分部六自治域之间的连通性测试成功。同理可证设计的跨区域企业园区网络设计的七个自治域办公点之间实现了网络互通。

验证第二个方面：如图13所示，总部自治域能够成功访问互联网。现使用路由器R99的环回口地址1.2.3.4模拟互联网IP地址，分别属于分部二、分部三、分部四、分部五和分部六的路由器R12、R14、R17、R18和R19的环回口代表五个办公点的内网，通过这五个路由器拼地址1.2.3.4进行互联网连通测试。

如图15所示，符号！表示数据包发送成功，则表示验证各分部自治域办公点具备互联网访问功能。

验证第三个方面：在分部二的接入路由器R12的环回口开启去往R99的环回口地址1.2.3.4的路由追踪，在分部一的路由器R20完成网络地址转换之后，会有两个去往公网的出口分别连接路由器R2和R3，现在验证分部二办公点的路由器R12访问互联网服务提供商路由器R99时选择的出口下一跳是核心交换网自治域内的路由器R3。如图6所示，路由追踪信息可知，出口的下一跳地址为路由器R3上的10.120.99.5，途中经过了核心交换网，路由追踪只显示了数据包被多协议标签交换配置打上的标签Label号58，而不能获取其内部的明细路由。由此可见，在经过核心交换网的途中，跨区域企业园区网络已形成通路，但核心交换网自治域内的明细路由信息并不可见，由此证明已实现了核心交换网路由决策的安全性和保密性。

本发明中总部建立会话远程操控分部，能够精简网络管理且易于维护，在规划好的网络结构内提供各个网络接入控制，节约运行开销；本发明限制访问关键设备数量、控制访问权限、验证加密策略以及隐藏核心交换网路由信息，能够有效防止在数据传输过程中自身路由信息被恶意利用，也起到了防止外部设备接入后对网络设备端口进行恶意操作的保护作用，从而将企业网的风险尽可能降到最低。

由上可知，本发明的方法无论在管理网络访问服务的精简程度还是网络安全性方面，相较其他组网设计方法都具有优势，尤其在当今公网环境复杂的情况下，优势更为明显，从而验证了本发明方法的有效性。

基于同一发明构思，本发明实施例还提供了一种跨区域企业园区网络的组网系统，由于该系统解决问题的原理与前述跨区域企业园区网络的组网方法相似，因此该系统的实施可以参见跨区域企业园区网络的组网方法的实施，重复之处不再赘述。

在另一实施例中，本发明实施例提供的跨区域企业园区网络的组网系统，如图16所示，包括：

网络划分模块10，用于对跨区域企业园区网络的拓扑结构进行自治域划分和网络地址规划。

第一网络部署模块20，用于部署跨区域企业园区网络的虚拟局域网干道协议、二层端口、网络系统可扩展性和安全验证以配置网络交换层。

第二网络部署模块30，用于部署跨区域企业园区网络的核心交换网自治域、总部自治域、分部自治域及互联网服务以配置网络路由层。

关于上述各个模块更加具体的工作过程可以参考前述实施例公开的相应内容，在此不再进行赘述。

以上结合具体实施方式和范例性实例对本发明进行了详细说明，不过这些说明并不能理解为对本发明的限制。本领域技术人员理解，在不偏离本发明精神和范围的情况下，可以对本发明技术方案及其实施方式进行多种等价替换、修饰或改进，这些均落入本发明的范围内。本发明的保护范围以所附权利要求为准。

Claims (10)

1.一种跨区域企业园区网络的组网方法，其特征在于，包括：

对跨区域企业园区网络的拓扑结构进行自治域划分和网络地址规划；

部署跨区域企业园区网络的虚拟局域网干道协议、二层端口、网络系统可扩展性和安全验证以配置网络交换层；

部署跨区域企业园区网络的核心交换网自治域、总部自治域、分部自治域及互联网服务以配置网络路由层。

2.根据权利要求1所述的跨区域企业园区网络的组网方法，其特征在于，所述对跨区域企业园区网络的拓扑结构进行自治域划分和网络地址规划，包括：

将跨区域企业园区网络划分为七个办公点、一个核心交换网和多个网络服务运营商；其中七个办公点包括一个总部和六个分部；

将七个办公点的局域网地址分别分配给总部对应的自治域和六个分部各自对应的自治域；

将网络地址分配给核心交换网对应的自治域；

将访问地址分配给每个网络服务运营商；

为每个分部与网络服务运营商之间以及网络服务运营商与网络服务运营商之间分配网络地址；

为核心交换网的交换机虚拟接口分配网络地址。

3.根据权利要求2所述的跨区域企业园区网络的组网方法，其特征在于，所述将跨区域企业园区网络划分为七个办公点、一个核心交换网和多个网络服务运营商；其中七个办公点包括一个总部和六个分部，包括：

总部被划分为单一自治域AS34567，自治系统号为34567，包括四台核心网络路由器R8、R9、R10和R11，两台接入交换机SW3和SW4；

分部一被划分为单一自治域AS65112，自治系统号为65112，包括一台接入路由器R20；

分部二被划分为单一自治域AS65111，自治系统号为65111，包括一台接入路由器R12；

分部三被划入单一自治域AS65111，自治系统号为65111，包括一台接入路由器R14；

分部四被划分为单一自治域AS45678，自治系统号为45678，包括三台接入路由器R15、R16和R17，两台接入交换机SW5和SW6；

分部五被划分为单一自治域AS65222，自治系统号为65222，包括一台接入路由器R18；

分部六被划入单一自治域AS65222，自治系统号为65222，包括一台接入路由器R19；

核心交换网被划分为单一自治域AS12345，自治系统号为12345，包括七台核心网络路由器R1、R2、R3、R4、R5、R6和R7，两台核心网络交换机SW1和SW2。

4.根据权利要求3所述的跨区域企业园区网络的组网方法，其特征在于，所述部署跨区域企业园区网络的虚拟局域网干道协议、二层端口、网络系统可扩展性和安全验证以配置网络交换层，包括：

配置核心交换网中的交换机SW1和SW2，使用思科命令设置虚拟局域网干道协议模式为透明模式，使交换机SW1和SW2均传递但不应用收到的虚拟局域网信息；

采用思科命令配置总部办公点的交换机SW3为虚拟局域网干道协议的服务器模式，使交换机向外传递自身的虚拟局域网信息；使用思科命令配置交换机SW4为虚拟局域网干道协议的客户端模式，使交换机SW3和SW4学习但不传递其他交换机的虚拟局域网信息；在配置各交换机时，同时添加虚拟局域网干道协议验证功能，密码与交换机所在的单一自治域号相同；

配置交换机SW1、SW2、SW3和SW4不依赖协商的中继规则；关闭交换机SW1、SW2、SW3和SW4上未使用的端口，并配置为虚拟局域网的访问端口；

核心交换网和总部的所有路由器配置虚拟局域网信息，以使所有路由器拼通与自身直接连接的邻居设备；

将单一自治域名称最后一位数字为奇数的单一自治域作为奇数虚拟局域网；将单一自治域名称最后一位数字为偶数的单一自治域作为偶数虚拟局域网；

在核心交换网中，配置SW1为所有奇数虚拟局域网的根交换机，将奇数虚拟局域网划分进实例一，将偶数虚拟局域网划分进实例二，提高实例一的优先级，以使交换机SW1为多生成树协议实例一的根交换机，交换机SW1同时为所有偶数虚拟局域网的备份；将交换机SW2配置为所有偶数虚拟局域网的根交换机，提高实例二的优先级，以使交换机SW2为多生成树协议实例二的根交换机，交换机SW2同时为所有奇数虚拟局域网的备份；

在总部中，配置交换机SW3为所有奇数虚拟局域网的根交换机，将奇数虚拟局域网划分进实例一，将偶数虚拟局域网划分进实例二，提高实例一的优先级，以使交换机SW3成为多生成树协议实例一的根交换机，交换机SW3同时为所有偶数虚拟局域网的备份；将交换机SW4配置为所有偶数虚拟局域网的根交换机，提高实例二的优先级，以使交换机SW4为多生成树协议实例二的根交换机，交换机SW4同时为所有奇数虚拟局域网的备份；

在所有端口上开启端口快速转发，采用思科交换机命令实现所有接入端口在连接后立即转换到转发状态，并且参与生成树协议；如果交换机接收到任何网桥协议数据单元，采用思科交换机命令实现访问端口自动关闭；

将分部五和分部六的接入路由器R18和R19通过响应网络服务运营商的路由器R63发送的验证请求以完成点到点链路的链接；通过思科命令对串口使用点对点协议对接入路由器R18和R19进行配置，并使用思科命令设置用户名和密码。

5.根据权利要求3所述的跨区域企业园区网络的组网方法，其特征在于，所述部署跨区域企业园区网络的核心交换网自治域、总部自治域、分部自治域及互联网服务以配置网络路由层，包括：

配置开放最短路径优先路由协议进程身份标识号与自治系统号相同，并将路由器身份标识号设置为核心交换网中路由器R1、R2、R3、R4、R5、R6和R7的环回口；

将单一自治域AS12345统一划为骨干网，实现骨干网区域内部互通，配置每个路由器都向邻居设备宣告自身的环回口地址，用以在路由表中判断路由器之间能否相互通信；

通过思科命令在路由器R2、R3、R6和R7上静默面向其它单一自治域的端口，以使开放最短路径优先路由协议没有在任何面向另一个单一自治域的接口上运行；

将单一自治域AS12345的路由器R4和R5只提供基础网络通信，不运行边界网关协议，而其它运行边界网关协议的路由器R1、R2、R3、R6和R7使用各自环回口地址作为对应路由器身份标识号；

将分部一中的路由器R20作为网络服务运营商所连接的客户端路由器，利用外部边界网关协议连接到核心交换网中路由器R2和R3提供的管理服务，路由器R2和R3作为网络服务运营商骨干网的边缘路由器；

将路由器R20与R2和R3在虚拟路由表上建立外部边界网关协议邻居关系，向邻居宣告默认路由，配置路由器R20向所有边界网关协议对等体组成员公布前缀并宣告环回口和内网地址，路由器R20对外部网络只宣告自身的聚合地址；

在单一自治域AS12345的七个路由器所需的接口上启用标签分发协议，并配置标签号范围；

配置使用路由器环回口建立标签分发协议对等体，在端口上开启标签转发功能，使用思科命令配置区域内可见明细路径，而区域外不可见区域的明细路径；

在网络服务运营商区域，为从边缘路由器到边缘路由器的外部边界网关协议对等体之间的路由器R51、R52、R53、R61、R62和R63配置虚拟专用网；路由器R2和R3通过虚拟路由表与网络服务运营商的路由器R51和R52建立外部边界网关协议对等体；路由器R6和R7通过虚拟路由表与网络服务运营商的路由器R61和R62建立外部边界网关协议对等体；

在单一自治域AS34567的路由器R8、R9、R10和R11以及交换机SW3和SW4上开启内部网关路由协议路由并为路由器R8、R9、R10和R11加上自治系统号34567，每个路由器都宣告自身的环回口地址；

在交换机SW3和SW4的虚拟局域网上配置IP地址，开启交换机虚拟接口，并加入路由进程；在路由器R8、R9、R10和R11上将面向其他自治域的端口设置为被动端口，以使内部网关路由协议不面向另一个接口运行；

将单一自治域AS34567内的交换机SW3和SW4在内部网络中不面向外部连接网络，只提供基础网络通信，不建立边界网关协议会话；所有运行边界网关协议的路由器R8、R9、R10和R11使用自身的环回口作为其路由器身份标识号，在单一自治域AS34567的四个路由器之间的全网格内部边界网关协议对等体中，选择路由器R9作为前往远程单一自治域的交通首选出口点；如果路由器R9失效，选择路由器R11作为下一个首选出口；所有四个边界网关协议路由器与相邻的外部边界网关协议对等体建立邻居，并将四个边界网关协议路由器学习到的内部网关路由协议路由重新分布到边界网关协议中，将内网路由传递至外网；

开启端口安全配置，交换机SW3的端口只转发被规定为邻居发现协议的邻居所发来的流量；配置交换机口，使交换机SW3主动记下最先插入设备的媒体存取控制位MAC地址，实现交换机SW3动态学习每个端口的MAC地址，设置每个端口只能记住一个MAC地址，并将MAC地址保存在其启动配置中；如果四个端口中的任何一个发生安全冲突，交换机SW3会关闭端口，或者当其他设备违规接入时，接口变成不可用状态并关闭；

配置单一自治域AS65112，实现总部远程操控分部一的路由器R20，设置使用域名acme.org与路由器R20建立会话，路由器R20只接受总部客户端的安全外壳协议访问请求，拒绝其他来源IP的请求；

在单一自治域AS45678的三个路由器R15、R16和R17上使用命名模式开启内部网关路由协议路由；交换机SW5和SW6为第三层交换机，开启路由功能并配置内部网关路由协议，在IPv4单播地址族下加入分部四自治域；在命名模式下路由宣告的方式为进入拓扑库，每个路由器都宣告自身的环回口地址；使用哈希运算消息认证码安全散列算法256验证模式进行身份验证；

分部四的路由器R15与网络服务运营商路由器R53基于虚拟路由表建立外部边界网关协议对等体，并接收路由器R15提供的默认路由，在路由器R15的内部网关路由协议和边界网关协议路由进程上进行双向重分布；

在路由器R16、R17、R18和R19的虚拟路由表中，与网络服务运营商路由器R63建立外部边界网关协议对等体；路由器R63使用自身的环回口地址作为其路由器身份标识号；

设置路由器R17为汇聚分支节点的中心节点，路由器R18和R19作为分支节点，使用字符串“45678key”验证下一跳解析协议，配置下一跳解析协议网络身份标识号为45678；

配置路由器R17、R18和R19时，首先在互联网密钥交换协议阶段一，创建一个IKE策略，使用优先级十配置单个策略，然后使用带有预共享密钥的高级加密标准，通过相同的IKE阶段一预共享密钥对所有互联网安全协议族隧道进行身份验证，使用公开密钥算法进行密钥交换；

在互联网密钥交换协议阶段二，设置阶段二的传输设定集、策略名称、封装协议、加密方法以及完整性效验方法，在传输模式下使用128位的互联网安全协议族、封装安全载荷和对称的分组加密技术，在配置中进行隧道保护；

为单一自治域AS65222的接入路由器R18和R19加上自治系统号45678；单一自治域AS65222的对外路由功能基于隧道口，内部网关路由协议的配置基于动态多点虚拟专用网的隧道口；将路由器R18和R19都宣告自身的环回口地址，并且内部网关路由协议不面向另一个接口运行；

配置互联网访问服务，实现总部、分部二、分部三、分部四、分部五和分部六的所有办公点连接互联网，使用路由器R99模拟互联网服务提供商，用路由器R99环回口地址1.2.3.4代表各部门连接互联网时实际要访问的地址。

6.根据权利要求5所述的跨区域企业园区网络的组网方法，其特征在于，所述将单一自治域AS12345的路由器R4和R5只提供基础网络通信，不运行边界网关协议，而其它运行边界网关协议的路由器R1、R2、R3、R6和R7使用各自环回口地址作为对应路由器身份标识号，包括：

以路由器R1作为核心交换网上边界网关协议的IPv4路由反射器，创建内部边界网关协议的对等体组；将对等体组中的成员设为自身的客户，并命名对等体组成员的单一自治域名称为AS12345；

以自身的环回口建立内部边界网关协议邻居，将路由器R2、R3、R6和R7放进对等体组；

进入IPv4地址族配置，将对等体组中的成员设为路由器R1自身的客户，在IPv4地址族下激活内部边界网关协议邻居。

7.根据权利要求5所述的跨区域企业园区网络的组网方法，其特征在于，所述配置单一自治域AS65112，实现总部远程操控分部一的路由器R20，设置使用域名acme.org与路由器R20建立会话，路由器R20只接受总部客户端的安全外壳协议访问请求，拒绝其他来源IP的请求，包括：

以路由器R20作为网络管理策略的主要部署点，书写访问控制列表地址，访问控制列表地址只从总部的内网地址中选择；

设置安全外壳协议的最大连接数为四，路由器R20接受最多四个远程授权用户，应用访问控制列表，以使在路由器R20的虚拟终端线路上允许的唯一远程访问方式是安全外壳协议；

配置系统记录失败和成功的访问日志。

8.根据权利要求5所述的跨区域企业园区网络的组网方法，其特征在于，所述设置路由器R17为汇聚分支节点的中心节点，路由器R18和R19作为分支节点，使用字符串“45678key”验证下一跳解析协议，配置下一跳解析协议网络身份标识号为45678，包括：

配置路由器R17时，配置下一跳解析协议认证，动态接收下一跳解析协议的组播映射，配置站点隧道的网络身份标识号为45678，路由器R17作为中心节点开启重定向；

指定隧道的源接口地址，配置隧道模式为多点通用路由封装，配置隧道口转发虚拟路由表的路由信息；

配置路由器R18和R19时，配置下一跳解析协议认证，映射从中心站点的隧道虚拟IP到中心站点的公网IP；

映射动态多点虚拟专用网组播地址到公网IP，配置下一跳解析协议服务器地址，即中心节点Hub的隧道地址，配置隧道口转发虚拟路由表的路由信息。

9.根据权利要求5所述的跨区域企业园区网络的组网方法，其特征在于，所述配置互联网访问服务，实现总部、分部二、分部三、分部四、分部五和分部六的所有办公点连接互联网，使用路由器R99模拟互联网服务提供商，用路由器R99环回口地址1.2.3.4代表各部门连接互联网时实际要访问的地址，包括：

配置分部一的路由器R20时，首先书写访问控制列表，允许所有的源IP地址；其它各分部访问互联网经由INET表的引导，INET表是提供互联网访问服务的专用虚拟网，然后配置INET表以外的虚拟专用网路由转发表的接口为入口，配置INET表的接口为出口，最后将访问控制列表指定的源地址转换为环回口地址，从而汇总内网数据包并将其通过单个面向外网的出口转发出去。

10.一种跨区域企业园区网络的组网系统，其特征在于，包括：

网络划分模块，用于对跨区域企业园区网络的拓扑结构进行自治域划分和网络地址规划；

第一网络部署模块，用于部署跨区域企业园区网络的虚拟局域网干道协议、二层端口、网络系统可扩展性和安全验证以配置网络交换层；

第二网络部署模块，用于部署跨区域企业园区网络的核心交换网自治域、总部自治域、分部自治域及互联网服务以配置网络路由层。

Images