校园网络规划—校园路由网络设计-职业学院毕业论文.doc
《校园网络规划—校园路由网络设计-职业学院毕业论文.doc》由会员分享,可在线阅读,更多相关《校园网络规划—校园路由网络设计-职业学院毕业论文.doc(29页珍藏版)》请在咨信网上搜索。
南京铁道职业技术学院 毕 业 论 文 题 目: 校园网络设计 ——校园路由网络设计 作 者: 曹迪维 学 号:13043040122 二级学院: 通信信号学院 系 : 通信系 专 业: 通信技术 班 级: 轨道通信1301 指导者: 李永芳 讲师 评阅者: 2016年 6 月 毕业设计(论文)中文摘要 校园网络设计 ——校园路由网络设计 摘要 随着现代网络技术的发展,校园网络的组建与管理也越来越重要,拥有一个良好的网络组建方案成为了一个校园网能否安全有效运行的关键。本文以某校园网络的构建为参考分析对象,首先对网络整体的需求做了解析,然后对校园数据路由网络需求进行分析并在此需求的基础上对校园数据路由网络提出相应的规划并对规划中所涉及到的协议的工作原理进行了介绍,最后介绍了校园网中路由设备的典型配置。本文的重点在于总部运行的开放式最短路径优先路由协议和连接总部与分部的边界网关路由协议和虚拟专用网络的工作原理和它们所实现的功能,通过将自己目前掌握的知识运用到校园网络的组建中,促使现代网络技术和教育事业的快速发展。 关键词 路由器 校园网 开放式最短路径优先路由协议 边界网关路由协议 虚拟专用网络 第1页 共2页 目 次 1 引言 1 1.1 课题的来源与研究意义 1 1.2 校园背景 1 2 校园网络的总体需求设计 1 2.1 校园网络系统设计原则 1 2.2 校园网络的需求 1 2.3 校园网络的整体规划 2 2.4 校园网络的整体拓扑 2 3 校园路由网的需求分析 2 3.1 校园路由网对IP地址的需求 2 3.2 校园路由网对网关的需求 3 3.3 校园路由网对路由的需求 3 3.4 网络访问控制需求 3 3.5 网络出口需求 3 4 校园路由网络的设计 3 4.1 IP地址设计方案 3 4.3 网关的设计方案 4 4.4 校园内的路由设计方案 5 4.4.1 OSPF的工作原理 5 4.4.2 OSPF邻居建立的过程 6 4.5 校园间的路由设计方案 7 4.5.1 BGP状态机 8 4.5.2 BGP防环的措施 9 4.5.3 BGP路由的通告原则 11 4.5.3 BGP路由的优化设计 12 4.6 校园间的路由安全设计方案 13 4.6.1 虚拟专用网络 13 4.6.2 多协议标签转换技术 14 4.6.3 BGP MPLS VPN技术 14 4.7 访问控制的设计方案 16 4.7.1 访问控制列表技术 16 4.8 网络出口的设计方案 17 4.8.1 网络地址转换技术 17 4.9 路由器的选型 18 4.10 校园路由网络拓扑设计 19 5 校园网络路由设备配置示例 19 5.1 配置IP地址 20 5.2 配置DHCP 20 5.3 配置ACL 20 5.4 配置NAT 20 5.5 配置OSPF 21 5.6 配置BGP 21 5.7 配置BGP/MPLS VPN 21 结 论 23 致 谢 24 参 考 文 献 25 第25页 共25页 1 引言 1.1 课题的来源与研究意义 伴随着信息化时代的发展,计算机网络已经成为现在生活的一部分,现如今人们的生活已经离不开网络,校园作为一个大量人群的聚集点,如何构建一个校园网络使网络资源得到有效的利用,又如何使整个校园信息能够安全有效的传输,这将是如今校园网络的总体出发点。 1.2 校园背景 某学院现有本校、分校两个校区,其中本校占地1100余亩,校舍建筑面积近30万平方米,在校师生万余人。拥有11栋学生公寓及1栋青年公寓,公寓布局较为集中。该院本校现在设有6个二级学院和4个部门。 2 校园网络的总体需求设计 2.1 校园网络系统设计原则 我们将遵循以下的原则来设计本次的校园网络。 (1)先进性 如今网络发展十分迅速,网络设备的更新换代的周期也越来越短,在设备选择时,不应仅仅满足现如今的网络需求,还需考虑未来可能会需要满足的网络需求。 (2)实用性 校园网络的设计既要在相当长的一段时间内保证其先进性,还用本着实用的原则,在实用的基础上追求先进性,是整个校园网络符合现如今的网络需求,不应只顾先进性而不考虑整个的实用性,从而导致网络的设计与目前需求不匹配。这样才能在网络急聚扩张中不需要重新对整个系统进行设计而是可以平稳的向更新的技术过渡。 (3)安全性 目前,网络的交互越来越频繁,相当多的网络设备都直接或间接与互联网相连接,因此,在设计校园网时还应该考虑到网络的信息安全问题,特别是校园内的一些重要部门的信息安全。 (4)灵活性 此次校园网的设备选购应该采用结构化、模块化的设计形式,一来方便满足网络对各种不同的应用的要求,二来也可以及时适应校园业务的调整。 (5)规范性 本次校园网中所有用到的技术应该按照国际货国家标准与规范,保证网络的规范性。 2.2 校园网络的需求 校园网络的需求大致可以分为教学、办公、服务这三方面。对教学来说,主要考虑的是网络的稳定、可扩展。对于办公来说,最主要考虑的是数据传输的安全性。对于服务来说,最主要考虑的是带宽问题。最后还需要考虑的是我们整体的服务效率与服务质量,整个网络的吞吐率,网络的响应时间,数据的传输速度等。 2.3 校园网络的整体规划 本次校园网构建在校园汇聚层采用万兆的光纤布线,保障数据的传输速率和传输带宽,在接入层和核心层以上采用千兆光纤,在校园网关部分对网关设备进行冗余热备份,防止网关设备发生意外从而使网络系统出现不稳定。在出口路由器出部署安全措施保障数据外网传输的安全性。 2.4 校园网络的整体拓扑 对于一个网络系统而言,大致可分为接入层、汇聚层和核心层三大层次,根据本文校园网络的整体需求,大致设计出的校园总拓扑如图2-1所示。 图2-1 校园网络拓扑示意图 3 校园路由网的需求分析 本文只针对于校园数据路由网络的整体需求设计,有关校园交换网络的需求设计请参考《校园网络设计—校园交换网络设计》。 3.1 校园路由网对IP地址的需求 对于IP地址的需求主要考虑的是校园的信息点的数量,主要包括用户终端的数量、服务器的数量、每种业务需要的信息点数量、是否需要独立终端运行一种单一的业务来确定校园网信息点的数量及类型以及涉及的IP地址网段和每个网段的范围。 3.2 校园路由网对网关的需求 校园的网关主要考虑三个方面,包括业务的需求、网络的架构和网络的规模业务需求主要考虑的是校园不同模块之间的互访是否需要集中管控、网络内是否存在大范围的跨设备的vlan部署,网络的架构主要考虑校园网内是否存在网络设备或链路的冗余、两台网关设备是否为同一个型号、物理网络是两层还是三层架构,网络规模主要考虑校园用户的数量和网络各层设备的数量。 3.3 校园路由网对路由的需求 校园网络的路由需求主要考虑业务承载、网络的结构、网络的规模和整个网络的运维。业务承载主要包括多种业务是否在校园网内明确区分出传输的路径和业务路由和设备路由是否用同一协议承载,网络的结构主要考虑是否存在多Internet出口、是否存在三层冗余链路,网络的规模主要考虑三层网络包括多少设备和路由条目,网络运维主要考虑网络管理员对哪种路由协议更熟悉。本次校园网除了要满足上述需求外,还需要满足总校和分校之间的数据信息安全。 3.4 网络访问控制需求 为了学院之间的信息安全,在校园网设计时需要禁止某些学院之间进行访问,为了防止学生沉迷于网络,充分安排好自己的业余时间,在设计时需要在特定的时间段禁止学生访问外网。 3.5 网络出口需求 连接互联网是当前校园网络的基本需求。互联网的连接需要解决链路的选用和公网IPV4地址紧缺的问题。链路的选用从理论上来讲,连接互联网可以使用本文之前谈论过的任何一种链路。但是在现实中,我们需要综合考虑带宽、成本、质量、距离等各方面的因素,一般而言,目前网络的出口常采用光纤承载。当前IPv4的公网地址紧张,对于一个校园网络而言能够申请到IPV4公网地址非常困难,为此,内网用户要访问互联网,必须进行地址转换。 4 校园路由网络的设计 校园网内的路由设计主要包括IP规划,网关设计,路由设计和其它设计。下面将根据校园网的需求对各方面做详细的设计方案。 4.1 IP地址设计方案 IP地址的合理规划是网络设计中的重要一环,一个完整的网络必须对IP地址进行统一的规划。本次设计中在校师生共有万余人,因此对于网络管理人员来说给每一个师生分配一个静态的私网IP是不现实也是不可能的,所以本次分配给用户的IP地址将采用10.0.0.0网段进行划分后在采用DHCP协议是用户动态的获取到IP地址。对于三层设备间的IP地址将采用172.16.0.0的网段进行划分,遵循上行设备IP地址大的原则进行静态的分配IP地址,并且在每台三层设备上开启环回口地址,设计规则为核心层IP小于接入层IP,总部的IP小于分部的IP。下面对DHCP这个协议的工作原理进行讲解。 动态主机配置协议(DHCP)是一种使DHCP客户机能动态获取到DHCP服务器中配置的网络参数(私网地址、网关地址)以及一些其它需求(地址的租约)的一种协议。 图4-1 DHCP服务器拓扑 如图4-1所示,首先学生宿舍所在的客户机在自己所处网段内发送“DHCP Discover”广播包; 汇聚层交换机收到客户机发送的“Discover”包后以单播的形式会送一个“DHCP Offer”包; 客户机收到交换机发送的“Offer”包后在以广播的形式发送一个“DHCP Request”包; 交换机收到客户机发来的“Request”包后已单播的形式给客户机发送一个“DHCP ACK”包,若交换机未接收到“Request”包则DHCP进程结束; 至此客户机已经得到了正确的IP地址; 当DHCP租约到期或客户机关机后,客户机会向交换机发送一个“DHCP Release”包告知交换机此IP可以重新被分配给其它客户机使用。 4.3 网关的设计方案 从理论上讲,网关可以设置在网络的任何层次。网关部署位置不同时,交换与路由域覆盖范围有所不同,校园网中能部署的网络业务也有所不同。因此,网关的位置必须始终,需要综合衡量网络业务、网络架构、规模等多方面的因素。 从整体的校园网看,本次校园网不同模块间不需要进行集中管控,校园网内也没有存在大范围的跨设备的vlan部署,在网络设备上存在核心层的两台交换机设备互为备份且两台交换机为同一型号。因此本次校园网构建的网关部署在汇聚层的汇聚交换机上,将网关部署在汇聚层上是现如今最常用的部署方案,这样的话二层广播范围适中,接入的终端数量及对网关设备的ARP/Mac等表项也比较合适。 4.4 校园内的路由设计方案 校园路由网主要考虑业务承载、网络结构、网络规模和网络运维四个方面。 从校园背景和需求看,该校分为总校和分校两个校区,在校园内,业务并不需要明确的进行划分路径,校园网络存在三条出接口路径,整个网络含有大量的路由信息。下面对路由协议的选用进行设计。首先总校和分校内部可以选择静态路由或其他IGP,但由于拓扑中存在冗余链路来加固网络,若是采用了静态路由,则需要部署多条静态路由保持可靠性,这样的配置较为复杂。IGP可以动态感知网络拓扑变化并及时收敛,而且现在的网络设备性足够满足IGP运行,所以本次校园网路由协议选择动态路由协议。对于多种IGP而言,OSPF具有校园网络应用的成熟案例且OSPF具有路由收敛速度快,支持CIDR和路由聚合,支持可变长的子网掩码等一系列优点,对于网络管理员来说,大部分的网络管理员对OSPF协议也较为熟悉更利于后期网络的维护,综上本次校园网总校和分校区的内部路由协议选择OSPF协议。下面介绍OSPF的工作原理及其的一些特性。 4.4.1 OSPF的工作原理 图4-2 OSPF的基本工作机制 OSPF是一种基于链路状态的动态路由协议。当启用了OSPF后,运行OSPF的每台路由器根据自己周围的网络拓扑结构生成链路状态通告LSA,并通过更新报文将LSA发送给网络中的其它路由器。经过一定的泛洪时间后,已成为邻居的路由器会接收到所有其他邻居路由器的LSA报文,路由器会将这些LSA报文(包括自己的LSA)放在链路状态数据库(LSDB)中,同时路由器会将LSDB转换成一张带权的有向图,这张图就真实的反应出了网络的拓扑结构,因此在所有OSPF邻居路由器上的有向图一定是相同的,同时每台路由器会根据LSDB所形成的有向图使用SPF算法并以链路开销作为度量值来计算出一根以自己为中心的最短最短树,这棵树给出了到自治系统中各节点的最短路由并放入该路由器的路由表中。如图4-2所示。 4.4.2 OSPF邻居建立的过程 图4-3 OSPF状态机 如图4-3所示,刚开始两台路由器都处于Down状态,双方之间没有任何交互; RTA开始发送hello包,RTB接收到RTA所发送的hello包,在端口上创建一个新邻居RTA,并将邻居状态从DOWN变成Init; RTB开始发送hello报文,而且RTA的信息包含在该报文中,RTA接收到Hello报文后,在端口上创建一个新邻居RTB同时将邻居状态从DOWN变成Init,由于RTB发送的报文中包含有RTA的信息,此处会生成一个two-way事件(此时RTA与RTB已建立邻居关系),由于RTA与RTB为点对点链路且RTA与RTB要形成邻接关系,因此RTA的邻居状态将变成Exstart状态; 图4-4 OSPF状态机 如图4-4所示,RTA将邻居状态变成Exstart状态后便开始向RTB发送Database Description报文,如果邻居状态为Init的时候收到DD报文会生成一个two-way事件,而且RTB与RTA要建立邻接关系,所以RTB将邻居状态从Init变成Exstart; 当两台路由器邻居状态都变为Exstart后,双方分别向各自的邻居发送DD报文,假设在这个报文中RTA的DD序列号被设为552A,RTB的DD序列号被设为552B,通过比较发现RTB的Router ID比RT1 Router ID大(在比较前,RT1认为自己是主路由器),因此RTB才是主路由器; 当Router ID比较完后,RTA会产生一个Negotiation Done事件,所以RTA的邻居转态从Exstart变成Exchange; 当RTA邻居状态变成Exchange状态后,RTA会向RTB发送DD报文宣告自己为从路由器,RTB接收到报文后会产生一个Negotiation Done事件将自己的邻居状态从Exstart变成Exchange; 对于从路由器,如果接收到的DD报文中More比特为0,而且自己刚刚发出去的DD报文中More比特也是0,则产生一个Exchange Done事件,所以当RTA发送完上述的DD报文后便会将自己的邻居状态变为Loading; 对于主路由器,如果自己发送的最后一个DD报文More比特为0,而且从路由器发送的确认报文中More比特也是0,则产生一个Exchange Done事件,所以当RTA发送完DD报文后,RTB将自己的邻居状态变为FULL; 邻居状态变为Loading后,RTA便向RTB发送LS Request报文,请求那些在Exchange状态下通过DD报文发现的,而且在本地LSDB中没有的链路状态信息; RTB收到LS Request报文之后,向RTA发送LS Update报文,在LS Update报文中,包含了那些被请求的链路状态的详细信息。RTA收到LS Update报文之后,将邻居状态从Loading改变成Full; RTA向RTB发送LS Ack报文,确保信息传输的可靠性。 4.5 校园间的路由设计方案 出口设备与Internet连接时,可以选择静态或BGP路由协议,由于本次网络存在于多个ISP相连切每条链路可提供差异化的路由服务,因此选用部署BGP路由协议,BGP最大的一个特点是可以通过它的各种路由属性防范环路的产生。下面我们将介绍下BGP的邻居的形成过程和BGP的一些特性以及这些特性的应用。 4.5.1 BGP状态机 图4-5 BGP状态机 (1)如图4-5所示,初始时,设备都处于Idle; 启动事件出现,BGP初始化资源,复位连接重试计时器,发送一条TCP连接,同时进入Connect状态。 (2)进入Connect状态后,BGP发起一个TCP连接,接下来分为三种情况: jTCP建立成功则进入open-sent状态。 k连接重试计时器超时则BGP重新发起TCP连接并继续保持在connect状态。 lTCP连接失败则进入Active状态且BGP一直试图建立TCP连接。 (3)进入Active状态后,BGP一直试图建立TCP连接,此时又分为三种情况: jTCP连接失败则继续保持Active状态并继续发起TCP连接。 k连接重试计时器超时则进入Connect状态。 lTCP连接成功则进入open-sent状态。 (4)进入open-sent状态后,此时TCP连接已经建立且BGP已经发送了第一个open报文,此时只需等待其对等体发送open报文并对收到的open报文进行正确性校验,这样的话又分为两种情况。 j接收的open报文正确则开始发送KeepAlive报文并复位KeepAlive计时器开始计时同时进入open-confirm状态。 k接收的open报文错误则进入idle状态。 (5)进入open-confirm状态后,BGP在等待其对等体发送KeepAlive报文,在此同时BGP复位保持计时器,此时又分为三种情况: j收到了对端正确的KeepAlive报文则进入Established状态,此时BGP对等体关系已建立成功。 kKeepAlive计时器超时则进入open-confirm状态。 l收到了错误的KeepAlive报文则进入idle状态。 (6)进入Established后,BGP和它的邻居们交换Update报文,同时复位保持计时器且KeepAlive计时器周期更新,一旦BGP接收到错误的KeepAlive报文则立刻转入idle状态。 4.5.2 BGP防环的措施 BGP协议采用的防环措施有很多种,下面我们介绍下通过BGP的特性来防止路由环路的产生。常见的BGP路由属性有以下6种: (1)起源(Origin)属性:Origin属性分为IGP属性,主要是由于network宣告;EGP属性,现如今已基本不用;incomplete属性,主要有import引入。在这三种起源属性中,IGP优于EGP,EGP优于incomplete。 (2)AS路径(AS-path)属性:AS-path列表指的是BGP路由在传输过程中所经过的自治系统的表项,在BGP中,BGP不会接受AS-path中含有本自治系统的路由且AS-path越短,该条BGP路由越优先。如图3-6所示。 图4-6 BGP AS路径属性示意图 (3)下一跳(NEXT-HOP)属性:NEXT-HOP属性指的是从EBGP对等体学到的BGP路由通告给IBGP对等体时,它的下一跳默认不变。BGP在向EBGP对等体通告路由时,下一跳属性是本地BGP与对端连接的端口地址。如图3-7所示。 图4-7 BGP 下一跳属性示意图 (4)本地优先级(Local-Preference)属性:表明BGP路由的优先级,用于自治系统内IBGP邻居选择离开本自治系统的最佳路由,可以随路由信息在本自治系统内传播。Local-Preference的缺省值为100且越大越优先。如图3-8所示。 图4-8 BGP本地优先级属性示意图 (5)MED属性:相当于IGP内的cost值,用于判断进入自治系统内的最佳路由,可以随路由信息在相邻自治系统之间传递。MED的缺省值为0且越小越优先。如图3-9所示。 图4-9 BGP MED属性示意图 (6)Preferred-value属性:为从对等体接收的路由分配可选值,只在本路由器有效,不随路由的传播。Preferred-value缺省值为0且越大越优先。如图3-10所示。 图4-10 BGP Preferred-value属性示意图 4.5.3 BGP路由的通告原则 当用户发出访问分校用户的数据包时,发送BGP路由的路由器会成为BGP Speaker,此路由器会将这条路由发送给它的BGP邻居,然后此台路由器会继续将这条路由发送给它的邻居,如此以往,将此条路由消息传送至目的地。但为了防止路由环路的产生,BGP路由对通告的原则做了如下的规定: (1)存在多条路径时,BGP Speaker只选取最优的使用(非负载分担)。 (2)BGP Speaker只把自己使用的路由通告给相邻体。 (3)BGP Speaker从EBGP获得的路由会向它所有BGP相邻体通告(包括EBGP和IBGP)。 (4)BGP Speaker从IBGP获得的路由不向它的IBGP相邻体通告(如果存在RR呢)。 (5)BGP Speaker 从IBGP获得的路由是否通告给它的EBGP相邻体要依IGP和BGP同步的情况来决定。 (6)连接一建立,BGP Speaker按照以上原则,把自己所有BGP路由通告给新相邻体。 通过这6条BGP路由的通告原则可以有效的防止路由环路的产生。 4.5.3 BGP路由的优化设计 BGP与IGP不同,BGP着重于在不同的AS之间控制路由的传播和选择最佳路由,因此我们可以通过修改BGP的基本属性来实现对BGP路由的控制和选择最佳路由。 下面以改变路由器的下一跳属性来说明下如何通过修改BGP的基本属性来对路由进行控制。 图4-11 BGP修改属性模拟图 如图4-11所示,在默认情况下,从EBGP发给来的路由在向下一个IBGP对等体发布时的下一跳是不变的,由于在RTA上下一跳不可达,因此在RTA上将无法学习到RTC发过来的3.3.3.3/32的BGP路由,此时我们需要在RTB上修改下一跳属性,将RTB发送给IBGP对等体的下一跳属性改为自身地址。如图3-7所示。 图4-12 BGP 修改属性后模拟图 如图4-12所示,通过修改了RTB上的下一跳属性后,当RTB再次学到RTC的3.3.3.3/32的路由时,RTB通过BGP发送给其IBGP对等体RTA,此时RTA发现旗下一跳已经变成了2.2.2.2,此IP地址RTA可达,因此RTA就可学习到RTC上的3.3.3.3/32的路由。 除此之外,对于BGP来说还有一种专用的匹配方式,就是正则表达式,有关正则表达式的内容此处不再详细叙述。 4.6 校园间的路由安全设计方案 为了保障总校和分校数据安全,本次网络采用虚拟专用网络技术中的BGP MPLS VPN技术,相对于其他技术而言BGP MPLS VPN实现了隧道的动态建立、解决了本地地址冲突问题以及使得VPN私网路由更加容易控制。由于BGP MPLS VPN需要建立在BGP和MPLS的基础上,因此校园总部出口路由器和校园分部路由器还需要开启MPLS功能。下面从整个虚拟专用网络出发详细介绍下BGP MPLS VPN的工作原理。 4.6.1 虚拟专用网络 虚拟专用网络(VPN)是指将有需要的网络或终端通过共享公共网络的方式来构建一个专用的、具有一定安全性的私有数据通道。 VPN技术追要通过速到技术来实现,即在总校与分校的出口路由器的两端通过封装以及解封装的技术在公网上创建一条数据通道,当总校有数据要访问分校时,数据将使用这条通道对数据报文进行传输。 由于使用VPN技术时需要跨越公网,为了保证数据报文的安全性,VPN还采用了大量的安全技术,主要包括加密解密技术、数据认证技术和身份认证技术等。加密技术主要是指在隧道出端将数据转变成不可识别的加密数据然后在进行传输,当数据到达目的地后再进行解密恢复原始数据。数据认证技术主要是用来保证数据在传输的过程中不被非发篡改。身份认证技术主要是保证操作人员的合法性以及有效性,主要采用“用户名+密码”的方式进行验证从而防止非法人员对VPN进行非法操作。 4.6.2 多协议标签转换技术 对于传统IP转发中,物理层从交换机(路由器)的一个端口收到一个报文,上送到数据链路层。数据链路层去掉链路层的封装,根据报文的协议域上送给相应的网络层。网络层首先看报文是否是送给本机的,若是,去掉网络层的封装,上送给上层次而已。若不是,则根据报文的目的地址查找路由表,若找到路由,将报文发送给相对应端口的数据链路层,数据链路层封装后,发送报文。若找不到路由,将报文丢弃。传统的IP转发采用逐条转发的技术,速度缓慢且每一台网络设备都需要知道整个网络的路由或默认路由,如此一来大大降低了效率。 多协议标签交换(MPLS)是一种标签转发技术。在MPLS域内,交换机(路由器)无需向传统IP转发一样查看每个报文的目的地址而只需要根据封装在IP头外的标签进行转发即可。因此,相对于传统IP转发来说,MPLS标签转发大大提高了效率。 在MPLS中,存在一个叫作LDP的协议,MPLS的标签就是由此协议分发。 图4-13 MPLS标签的产生原理 标签由数据流经的路径(LSP)上的下游变迁边缘路由器(LSR)分配,按从下游到上游的方向分发。如图4-13所示,总校出口路由器告诉公网设备说:如果你要转发到1.1.1.1/32的数据给我,你就为报文加上标签X。接着公网设备又向分校出口路由器说:如果你要转发到1.1.1.1/32的数据给我,你就为报文加上标签Y。总的来说就是:入标签是我分给上游设备的,出标签是下游设备分给我的;我分配的标签是给上游设备用的,由上游设备添加到报文中。 4.6.3 BGP MPLS VPN技术 BGP MPLS VPN技术是一种全新的VPN技术,在传统的VPN技术的基础上实现了隧道的动态建立、解决了本地地址冲突问题以及使得VPN私网路由更加容易控制。 BGP MPLS VPN采用RD和RT两个值来保障VPN隧道的安全性。RD的作用就是撤销私网路由在一个BGP MPLS VPN网络中采用不同的RD值来代表每一个VPN实例。RT的作用类似于BGP中扩展团体属性,用来路由的分发。RT值分成Import Target和Export Target,分别用来导入和导出路由信息。除此之外,在BGP MPLS VPN网络中还可以通过VPN转发表与MPLS中的LSP来实现路由的隔离和信息的隔离。 由上节可知MPLS采用了标签转发数据的技术,对于BGP MPLS VPN而言,该技术建立在了MPLS技术和BGP技术的基础上,因此对于一个BGP MPLS VPN网络而言肯定包含了MPLS标签,在BGP MPLS VPN网络中我们习惯将MPLS协议产生的标签称之为公网标签,为了保障私网数据更加安全有效的传输,我们就在产生公网标签的基础上再加上一层私网标签,私网标签与公网标签的产生原理大致相同,唯一不同的是,公网标签采用的是MPLS技术传播而私网标签则是经过改进后的MP-BGP技术进行传播。如图3-所示,是BGP MPLS VPN私网路由的具体传播过程。 图4-14 BGP/MPLS VPN路由传递 如图4-14所示,假设各个汇聚层交换机与出口路由器之间已建立EBGP关系,出口路由器和公网设备之间已建立MP-IBGP关系,两个交换机都属于VPN1。现如今总校交换机发送了一条路由给分校交换机。 在总校交换机上将IGP路由引入至BGP路由表中,这条路由信息会随着EBGP的Update消息发布至总校路由器,然后总校路由器在与总校交换机相连的接口收到Update消息,总校路由器将此条路由转换为VPN IPV4路由并且将入到相应的VPN1路由表。 总部路由器为该条路由分配MPLS私网标签,并将此标签和此条VPN IPV4路由信息加入到MP-Update消息中,同时总部路由器也会将所配置的RD、RT(此处主要为Export Target值)属性加入MP-Update消息中,然后将此条Update消息发送给分校路由器。 分校路由器接收到上述的Update消息后,根据RD和RT(此处主要为Import Target值)属性将路由信息引入并加入相对应的VPN实例表,同时分校路由器也会从Update消息中得到总部路由器所分配的私网标签信息。 分校路由器将该条路由通过BGP Update消息发布给分校交换机,此时分校交换机学到的是普通的BGP IPv4路由。 分校交换机接收到该条路由后,把该条路由信息加入到BGP路由表,通过在IGP中引入BGP的方法使此条路由加入到IGP路由表。 4.7 访问控制的设计方案 由于总校区内要限制部分部门之间不能相互访问且要限制某些用户在特定时间内无法访问外网,这个需求可以用访问控制列表技术进行解决。 4.7.1 访问控制列表技术 访问控制列表(ACL)在交换机(路由器)的端口下控制数据包的出入的一种指令。下面我们描述下ACL的工作过程: 图4-15 ACL匹配流程图 如图4-15所示,当数据包到达配置了ACL规则的端口时首先交换机(路由器)会根据设备内所配置的规则对该数据包进行规则匹配: (1)若该数据包匹配了该规则: 看此规则是允许通过还是拒绝、是应用在入(出)接口: j若该规则为允许入(出)接口数据包通过,则数据包可以通过; k若该规则为拒绝数据包入(出)接口通过,则该数据包在该端口入(出)方向被拒绝; (2)若该数据包没有匹配上任何ACL规则,在华为设备中,默认规则为允许,即交换机(路由器)会允许该数据包通过。 ACL还可以根据我们规划的时间段在某一接口下对数据包允许(拒绝)通过。 4.8 网络出口的设计方案 由于总校和分校用户需要访问外网但如今IPv4的公网地址紧张,因此当我们需要访问外网时就要采用NAT技术进行地址的转换,将私网的IPV4地址转换为公网的IPV4地址。实现NAT的方式一般有静态NAT转换、动态NAT转换和Easy-IP,其中动态NAT转换又分为NAPT模式和NPAT模式,由于校园网中需要访问外网的用户众多且校园网只申请到一个外网的IP地址,因此将采用NAT转换中的动态转换中的NAPT方式。下面我们介绍下NAPT的实现原理。 4.8.1 网络地址转换技术 图4-16 NAPT实现原理 如图4-16所示,Router收到内网侧Host发送的访问公网侧Server的报文。比如收到Host A报文的源地址是10.1.1.100,端口号1025。 Router从地址池中选取一对空闲的“公网IP地址+端口号”,建立与内网侧报文“源IP地址+源端口号”间的NAPT转换表项(正反向),并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。比如Host A的报文经Router转换后的报文源地址为162.105.178.65,端口号16384。 Router收到公网侧的回应报文后,根据其“目的IP地址+目的端口号”查找反向NAPT表项,并依据查表结果将报文转换后向私网侧发送。比如Server回应Host A的报文经Router转换后,目的地址为10.1.1.100,端口号1025。 4.9 路由器的选型 到此为止所涉及的协议已经满足了本次校园的需求,然而在实际应用中我们该选择什么设备对这些协议进行应用呢? 对于一个路由器而言,我们需要考虑以下几个性能指标: (1)路由协议:考虑我们所选择的路由器支持哪些协议,是不是能兼容不同的路由协议。 (2)背板能力:背板能力是指路由器背板容量或者总线的带宽能力,这个性能只要保证的是整个网络之间的连接速度,背板能力越高,路由器的性能越好。 (3)丢包率:丢包率是指在一定的情况下,路由器不能进行正常数据转发的数据包占总的数据包的比例。丢包率的大小会直接影响整个网络的质量和线路的实际工作速率,严重时甚至可能会导致线路的中断。 (4)转发延迟:路由器的转发延迟是指在需要传输的数据包的最后1比特进入到路由器的端口和该数据包的第一比特进入到数据包的端口的时间差值。转发延迟大将影响整个网络的传输效率,严重时可能会导致整个网络的瘫痪。 (5)扩展能力:如今的网络发展迅速,校园网络不肯能一成不变,因此,对于路由器而言就要求路由器具有灵活的业务类型支持能力,可以通过扩展模块来实现不同业务的扩展。 (6)可靠性:可靠性值的是路由器的可用性,无故障工作时间以及故障恢复时间等指标 (7)安全性:路由器接入到网络时能否提高高要求的安全保障。 (8)设备的厂商:如今在网络设备的市场上存在很多的厂商,对于设备厂商的选择将考虑到设备的价格,设备整体的功能以及设备故障后的厂售后修复时间。 综合以上考虑,本次设备选择的是华为AR3260属于企业型路由器,如图4-17所示,外观尺寸(H*W*D)是130.5mm*442mm*470mm,转发性能为10Mbps-40Mbps,端口采用模块化结构,,固定接口有3个GE(2个Combo)/4个GE Combo+2个GE SFP/4个GE Combo+2个10GE SFP+,支持OSPF、BGP、DHCP、NAT、ACL、组播、QOS、VPN等协议。 图4-17 华为AR3260路由器 4.10 校园路由网络拓扑设计 根据上述的路由设计方案,规划出的路由网络的拓扑如图4-18所示 图4-18 校园数据路由网拓扑示意图 5 校园网络路由设备配置示例 本次校园网络设备的配置采用的是华为的设备,如图5-1所示,本节摘取的只是本次校园网络中路由部分的典型配置。 图5-1 校园拓扑模拟图 5.1 配置IP地址 在路由器和三层交换机的相应接口上配置IP地址。 步骤: (1)为物理接口划分IP [Huawei] interface GigabitEthernet0/0/0 //进入相对应的物理接口 [Huawei-GigabitEthernet0/0/0] ip address 40.40.10.1 30 //配置所规划的IP地址和子网掩码 (2)为vlanif虚接口划分IP [Huawei] interface Vlanif10 /进入向对应的vlanif虚接口 [Huawei-Vlanif10] ip address 192.168.10.252 24 //配置所规划的IP地址和子网掩码 5.2 配置DHCP 在总校的汇聚层交换机LSW2上开启DHCP服务,使得私网用户能够自动获取IP地址。 步骤: [Huawei]dhcp enable //全局使能DHCP服务功能 [Huawei]ip pool 1 //创建DHCP地址池 [Huawei-ip-pool-1]network 192.168.10.0 mask 24 [Huawei-ip-pool-1]gatewa- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园 网络 规划 路由 设计 职业学院 毕业论文
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文