2.3本地生产办公服务器区
说明:本地服务器区域使用2台服务器汇聚交换机星型拓扑连接方式连接所有本地生产办公服务器群,2台服务器汇聚交换机上联2台透明模块虚拟防火墙使其本地生产办公服务器逻辑隔离,2台透明防火墙分别连接生产上联核心和办公核心。2台分别为生产PE设备和办公PE设备,其目的可以使用VPN逻辑隔离。 2.4 大楼楼层汇聚区
说明:办公大楼汇聚核心区与楼层办公交换机,大楼营业厅交换机以星型拓扑连接,办公大楼汇聚核心区通过口字型方式连接生产核心,办公数据核心。所连接楼层核心交换机后重分发分别进入办公,生产 VPN,管理区域路由重分发进MPLS VPN管理所有VPN。
2.5 广域网接入区
说明:广域网区域是用于连接分行一下的其余支行以及网点,连接网点使用PE-CE连接方式连接。路由协议可以选择RIP BGP OSPF 静态浮动路由 2.6 外联区域
说明:外联区域2台边境PE路由器内部接口运行MPLS VPN,连接到生产核心区域.在防火墙上做地址映射,隐藏内部地址,以及其他安全策略。
第3章 ip 地址规划
IP地址分配主要包括P/PE设备互联地址、各设备Loopback接口地址均为32位掩码。对于设备互联地址没有特殊的要求,一般是整个地址空间在同一个“大”的网段中获取,并且要为今后网络的扩充留有余地。互联地址尽量采用30位掩码的格式,如果互联采用Ethernet接口,可以采用29位掩码的网段,这样在今后应用HSRP或者VRRP的时候有足够的地址可以使用。
所有Loopback 地址从10.1.1.1-10.1.1.254/32 此loopback地址可以用于OSPF ROUTE-ID使用,所有的互联地址规划例如:(133.128.252.1/30----133.128.252.2/30 )(133.128.252.5/30—133.128.252.6/30 .)本地PE端连接总行PE端,遵循总行地址规划。外联单位地址规划遵循地址30位掩码例如:(134.128.251.1/30---134.128.251.2/30 )。生产业务生产地址规划地址掩码为24位例如:(135.128.1.0/24)办公业务地址规划地址掩码为24位例如:(136.128.1.0/24)视频会议业务地址规划地址掩码为24位例如:(137.128.1.0/24)开发测试地址规划地址掩码为24位例如:(136.128.10.0/24)监控业务地址规划24位例如:(137.128.10.0/24)
第4章 路由协议
对于骨干层MPLS域,需要某种IGP协议与MBGP结合应用,其中MBGP主要完成私网路由标签分配、各私网路由在“公网”传递等作用,他的地位是不可替代的,没有其他的协议可以替代;对于IGP协议,他的主要作用就是保证MBGP邻居之间的TCP可达性,建议采用OSPF,因为OSPF的适应性好,功能完善,当核心层设备在20台以内的时候,我们建议只运行一个骨干域“0”,这样网络规划简单、维护方便,并且有利于今后骨干层网络的扩展。 对于PE与CE互联,可以采用的路由协议有静态路由、RIP和BGP等多种路由协议。具体使用那种路由协议要根据情况而定,如当CE以下的网络结构比较复杂,路由条目较多的时候,PE和CE之间需要运行BGP协议,当然应用这种方案对CE的要求也是比较高的。对于PE与CE之间的路由协议类型最普遍应用的就是静态路由,只要准循上面提到的IP地址分配原则,各地的路由都可以汇聚成一条或者数目较少的几条,这时应用静态路由是最简单、最方便的,而且网络的维护非常方便。对于XXX分行内部运行OSPF网络实现主备可以使用OSPF cost值来设置
综上,在本期工程中,我们建议的路由协议类型就是:骨干层MBGP+OSPF、PE与CE互联采用静态路由。这样对整个网络中的设备要求不是太高,并且可以很好的实现MPLS-VPN。 注意:为避免路由环路,在PE上不通过OSPF 发布缺省路由。 第5章 MPLS VPN 规划
通过配置VRF(路由转发实例)的target 属性,可以实现不同业务的VPN。不同路由器通过target 相关联而组成可以互相访问的集合,由于只有他们内部可以互访,所以我们称之为VPN,配置里并没有专门的VPN 的定义。也就是说,VPN的成员关系是通过路由所携
带的route target属性来获得的。不同CE 通过PE 配置的VRF 里的Target实现互访与隔离,从而组成不同的VPN。
具体的各业务的RD和route-target根据实际情况规划
第6章 网络备份及安全
6.1 网络备份
网络备份可以同时通过两种方式实现:
1、通过合理的网络方案设计,实现物理链路与物理设备的备份。本次工程中,所有的汇聚节点是主备和负荷分担的,在正常工作的情况下,共同分担整个网络的流量,当其中一个失效后,另外一台设备能够承担起所有的流量,保证业务的正常运行;各支行到分行节点的两条广域网链路也是主备双营运商,在主用链路中断的情况下,所有业务可以通过备用链路传输。
2、应用动态路由协议,做到网络的自动备份。OSPF和BGP 协议,均可以自动地发现两个网络节点之间的迂回路由,并在主用路由不可用时而自动使用备份链路。并且可以通过在路由器上加入策略,控制数据的流向。
6.2 网络安全
可以采用如下的措施,保证网络的安全性:
1、MPLS BGP VPN方案采用VRF实现VPN之间的路由隔离 2、通过MPLS LSP隧道将VPN流量完全隔离。 3、对网络设备的用户、密码和权限进行控制
4、控制对网络设备的SNMP和telnet, 在所有的骨干路由器上建立access-list,只对网管中心的地址段做permit,即通过网管中心的主机才能远程维护各骨干路由设备。 5、在网络设备上配置防火墙,防止外部对网络设备进行的攻击。 6、路由协议在不安全的端口上进行Passive,防止不必要的路由泄露。 7、将所有重要事件进行纪录,通过日志输出。 8、采用防火墙设备对局域网进行保护。