畢業(yè)設(shè)計(論文)-vpn技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用

1、<p>　　VPN技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用</p><p>　　【摘 要】VPN就是利用公網(wǎng)鏈路架設(shè)私有網(wǎng)絡(luò),實質(zhì)上就是利用加密技術(shù)在公網(wǎng)上建立一個數(shù)據(jù)通訊隧道，這樣就實現(xiàn)了不用搭建專線就可以實現(xiàn)遠程訪問的目的，大大節(jié)省了企業(yè)的開支。有了VPN技術(shù)，用戶只要能上互聯(lián)網(wǎng)就可以利用VPN非常方便地訪問相應(yīng)的內(nèi)網(wǎng)資源，同時為了保證傳輸數(shù)據(jù)的安全，VPN服務(wù)器和客戶機之間的通訊數(shù)據(jù)都采取了加密處理，這使得數(shù)據(jù)的安

2、全性和穩(wěn)定性得到一定的保證，所以VPN在企業(yè)中應(yīng)用得相當廣泛。通過對本課題的研究，基本上實現(xiàn)了本課題預期所要達到的要求，當然本課題只對VPN網(wǎng)設(shè)計及應(yīng)用進行一些簡單的研究，相對于實際中的企業(yè)VPN的組建來說，其功能是遠遠不夠的。但是，通過這個課題的研究可以使我們對企業(yè)網(wǎng)的VPN組建有了一定的了解，對于以后在實際中進行VPN的組建將起到一定的作用。</p><p>　　【關(guān)鍵詞】 虛擬專用網(wǎng);MPLS VPN ;

3、IPSEC VPN;VPN;模擬器dynamic </p><p><b>　　目錄</b></p><p><b>　　1.概述1</b></p><p>　　2.VPN技術(shù)體系介紹1</p><p>　　2.1 VPN主要的優(yōu)點1</p><p>　　2.1.1保證

4、數(shù)據(jù)的安全性1</p><p>　　2.1.2簡化了網(wǎng)絡(luò)設(shè)計1</p><p>　　2.1.3大大降低成本1</p><p>　　2.1.4擴展十分便利1</p><p>　　2.1.5易于建立商業(yè)伙伴1</p><p>　　2.1.6完全控制主動權(quán)2</p><p>　　2.1.7

5、支持新興應(yīng)用2</p><p>　　2.2 VPN技術(shù)目前存在的問題2</p><p>　　2.2.1安全問題2</p><p>　　2.2.2服務(wù)質(zhì)量問題2</p><p>　　2.2.3實施困難2</p><p>　　2.3 VPN技術(shù)分類2</p><p>　　2.3.1 按接

6、入方式劃分2</p><p>　　2.3.2 按協(xié)議實現(xiàn)類型劃分2</p><p>　　2.3.3 按VPN的服務(wù)類型劃分3</p><p>　　2.3.4 按VPN業(yè)務(wù)層次模型劃分3</p><p>　　3.組網(wǎng)需求分析3</p><p>　　3.1 網(wǎng)絡(luò)系統(tǒng)設(shè)計原則3</p><p&

7、gt;<b>　　3.2 現(xiàn)狀3</b></p><p>　　3.3 采用VPN的理由4</p><p>　　4 MPLS VPN原理4</p><p>　　4.1 MPLS VPN體系基本架構(gòu)4</p><p>　　4.1.1 CE路由器架構(gòu)4</p><p>　　4.1.2 PE路

8、由器架構(gòu)5</p><p>　　4.2 MPLS VPN 路由傳送的原理5</p><p>　　5.Ipsec VPN6</p><p>　　5.1 Ipsec VPN技術(shù)6</p><p>　　5.1.1 Ipsec的功能特性6</p><p>　　5.1.2 Ipsec協(xié)議6</p>&l

9、t;p>　　5.1.3 IPSEC模式6</p><p>　　5.1.4 對等體驗證7</p><p>　　5.2 IKE（Internet 密鑰交換）8</p><p>　　5.3 加密算法8</p><p>　　5.3.1 同步加密8</p><p>　　5.3.2 異步加密算法8</p&g

10、t;<p>　　6. 企業(yè)VPN網(wǎng)絡(luò)構(gòu)建的分析與實現(xiàn)8</p><p>　　6.1 方案應(yīng)用領(lǐng)域8</p><p>　　6.2 組網(wǎng)需求分析8</p><p>　　6.3 組網(wǎng)方案規(guī)劃9</p><p>　　6.3.1 租用專線與使用VPN成本對比9</p><p>　　6.3.2VPN組網(wǎng)方案

11、設(shè)計9</p><p>　　6.4 組網(wǎng)設(shè)備選型及實驗地址規(guī)劃9</p><p>　　6.5企業(yè)VPN網(wǎng)絡(luò)構(gòu)建總體設(shè)備拓撲圖10</p><p>　　6.6模擬器用模擬實驗圖10</p><p>　　6.7網(wǎng)絡(luò)設(shè)備配置10</p><p>　　6.7.1用模擬器搭建拓撲10</p><p

12、>　　6.7.2使用SecureCRT軟件進行配置13</p><p>　　6.8實驗基礎(chǔ)配置13</p><p>　　6.9 MPLS VPN的配置17</p><p>　　6.9.1 配置CE路由器17</p><p>　　6.9.2 配置PE路由器17</p><p>　　6.9.3 P路由器的配

13、置。20</p><p>　　第一步：配置用作LDP路由器ID的環(huán)回接口。20</p><p>　　6.10Ipsec VPN的配置22</p><p><b>　　7論文總結(jié)25</b></p><p><b>　　致 謝25</b></p><p><b&

14、gt;　　1.概述</b></p><p>　　虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡稱VPN)指的是在公網(wǎng)上建立專用網(wǎng)絡(luò)的技術(shù)。VPN服務(wù)在近幾年發(fā)展十分迅速。Internet是當今世界上最大的、使用范圍最廣泛的網(wǎng)絡(luò)，它采用業(yè)內(nèi)比較流行的通信機制；此外，Internet的迅速發(fā)展為VPN服務(wù)提供了堅實的技術(shù)基礎(chǔ)，同時企業(yè)的全球化為VPN的發(fā)展提供了市場。因此，業(yè)內(nèi)人士認為

15、基于IP的VPN服務(wù)有著巨大的前景，目前世界上使用最多的VPN也是基于IP的VPN。</p><p>　　VPN，為什么稱為虛擬網(wǎng)呢？這是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并不需要建立傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是采用架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺，如Internet、ATM(異步傳輸模式)、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)是在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或

16、者公共網(wǎng)絡(luò)的封裝、加密和身份驗證鏈接的專網(wǎng)的擴展。VPN主要采用的技術(shù)有隧道技術(shù)、密鑰管理技術(shù)、加解密技術(shù)和使用者與設(shè)備身份認證技術(shù)。</p><p>　　VPN技術(shù)在一般的路由器上可以實現(xiàn)，目前在防火墻、交換機、windows等軟件中也都支持VPN功能，所以現(xiàn)在VPN在企業(yè)中應(yīng)用十分廣泛。而對于企業(yè)來說，使用VPN不僅可以保證內(nèi)部數(shù)據(jù)、網(wǎng)絡(luò)的安全，并且相對于申請搭建專線來說VPN可以節(jié)省相當大的費用，其對于一個

17、企業(yè)的作用是十分巨大的。</p><p>　　2.VPN技術(shù)體系介紹</p><p>　　2.1 VPN主要的優(yōu)點</p><p>　　2.1.1保證數(shù)據(jù)的安全性</p><p>　　VPN以多種方式增強了數(shù)據(jù)的安全性和完整性。具備高強度的安全性，對于現(xiàn)在的網(wǎng)絡(luò)來說是極其重要的。現(xiàn)在的一些熱門服務(wù)如網(wǎng)上銀行，網(wǎng)上交易這些都需要絕對的安全。&l

18、t;/p><p>　　2.1.2簡化了網(wǎng)絡(luò)設(shè)計</p><p>　　網(wǎng)管們可以使用VPN替代那些昂貴的租用線路來實現(xiàn)屬下各個分支機構(gòu)的連接。這樣就可以將對遠程控制鏈路進行安裝、配置和管理這些任務(wù)減少到最低，僅此一點就極大地簡化企業(yè)廣域網(wǎng)的設(shè)計。再者，VPN通過撥號訪問來自于 ISP或 NSP的外部服務(wù)，減少了所需的調(diào)制解調(diào)器池，同時簡化了與遠程用戶認證、授權(quán)和記賬相關(guān)的設(shè)備。</p>

19、;<p>　　2.1.3大大降低成本</p><p>　　VPN作為一種降低成本的技術(shù)，其效果是立即且顯著的，主要體現(xiàn)在以下幾個方面：</p><p>　　（1）移動用戶長途通信成本費。</p><p>　?。?）對國際電路成本節(jié)約是極為顯著的。可需每條鏈接 40%到 60%的成本對租用線路就可以進行控制和管理。</p><p>

20、;　?。?）主要設(shè)備成本：VPN支持通過撥號訪問外部資源,使企業(yè)減少不斷增長的調(diào)制解調(diào)器費用。另外，可以用單一的 WAN接口實現(xiàn)多種服務(wù)，從分支網(wǎng)絡(luò)互連、商業(yè)伙伴的外連網(wǎng)終端，本地提供高帶寬的線路等連接到撥號訪問服務(wù)提供者。</p><p>　　2.1.4擴展十分便利</p><p>　　一個企業(yè)想要擴大原有的VPN的容量和覆蓋的范圍，只要與新的運營商簽約建立新的賬戶，就可以擴大服務(wù)范圍。

21、</p><p>　　2.1.5易于建立商業(yè)伙伴</p><p>　　以前，企業(yè)如果想與合作伙伴聯(lián)網(wǎng)，雙方的技術(shù)部門就必須首先協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后，這種協(xié)商就顯得毫無必要，真正實現(xiàn)了想連就連、要斷就斷。這樣可以更加迅速捕捉到一些商業(yè)機會，建立起可靠的商業(yè)伙伴關(guān)系。 </p><p>　　2.1.6完全控制主動權(quán)</p>

22、;<p>　　VPN技術(shù)使得企業(yè)可以更好地利用ISP的設(shè)施和服務(wù)，同時又掌握著自己網(wǎng)絡(luò)的控制權(quán)。就是說，企業(yè)可以把撥號訪問的事情交給ISP，然后自己負責用戶的查驗、訪問權(quán)、安全性和網(wǎng)絡(luò)變化管理等重要工作即可。</p><p>　　2.1.7支持新興應(yīng)用</p><p>　　VPN不僅能夠支持各種高級的應(yīng)用，如IP語音，IP傳真。而且還支持各種協(xié)議，如IPv6、RSIP、MPL

23、S、SNMPv3等。</p><p>　　2.2 VPN技術(shù)目前存在的問題</p><p><b>　　2.2.1安全問題</b></p><p>　　由于VPN是利用現(xiàn)有的公共網(wǎng)，搭建的是邏輯線路，并不是真實的專線，實質(zhì)是利用特殊的加密技術(shù)實現(xiàn)專線的效果，因此它不可能做到專線那樣絕對安全。因此只能通過各種加密技術(shù)來完善VPN的安全問題。<

24、;/p><p>　　2.2.2服務(wù)質(zhì)量問題</p><p>　　VPN是架構(gòu)在公網(wǎng)上的，所以其服務(wù)質(zhì)量往往是不穩(wěn)定的，而服務(wù)質(zhì)量的好壞是各個企業(yè)都很關(guān)心的問題，不過可以使用QoS來解決這個問題。</p><p><b>　　2.2.3實施困難</b></p><p>　　VPN的安全、私有特點主要是利用加密技術(shù)和隧道技術(shù)來實

25、現(xiàn)，如何因地制宜的使用各種VPN技術(shù)，做到性價比最高，是最重要的。</p><p>　　總的來說，VPN具有良好靈活性、擴展性，是一種能夠代替專線的，但是很難做到真正的與實際的專線一樣。在企業(yè)網(wǎng)中，如果將VPN使用得當將發(fā)揮十分重要的作用。</p><p>　　2.3 VPN技術(shù)分類 </p><p>　　在網(wǎng)絡(luò)開始高速發(fā)展以來，VPN技術(shù)在企業(yè)網(wǎng)中的應(yīng)用非常的活躍

26、。隨著人么安全意識的不斷提高，各種各樣的VPN技術(shù)不斷的涌現(xiàn)，在企業(yè)信息安全通信中扮演著不可或缺的角色。</p><p>　　不同的運營商在開展VPN業(yè)務(wù)時也推出了不同的分類方式，他們主要從它們業(yè)務(wù)的角度劃分而用戶也有它們自己的的劃分方法它們是根據(jù)自己的的需求進行劃分。下面我們按照不同的分類方式對VPN技術(shù)進行介紹。</p><p>　　2.3.1 按接入方式劃分</p>&

27、lt;p>　　這是用戶和運營商最常見的VPN劃分方法。根據(jù)用戶的是使用專線還是撥號上網(wǎng)，VPN接入分為：專線接入和撥號接入。</p><p>　?。?）專線VPN：這是一種永久在線的VPN，是為已經(jīng)通過專線接入ISP邊緣路由器的用戶提供的VPN解決方案。</p><p>　?。?）撥號VPN（又稱VPDN）：這是一種根據(jù)你需求而連接的VPN技術(shù)，它是向利用撥號PSTN或ISDN接入I

28、SP的用戶提供的VPN業(yè)務(wù)。</p><p>　　2.3.2 按協(xié)議實現(xiàn)類型劃分</p><p>　　根據(jù)在OSI模型不同層次的建立，VPN分為以下幾種：</p><p>　?。?）第二層隧道協(xié)議：多協(xié)議標記交換（MPLS），點到點隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）、第二層轉(zhuǎn)發(fā)協(xié)議（L2F）等。</p><p>　?。?）第三層

29、隧道協(xié)議：這包括IP安全（IPsec）、通用路由封裝協(xié)議（GRE），這是目前最流行的兩種三層協(xié)議。</p><p>　　上兩種類型區(qū)分在于用戶數(shù)據(jù)在協(xié)議棧的哪一層被封裝，其中L2TP主要用于實現(xiàn)撥號VPN業(yè)務(wù)但也可以用于實現(xiàn)專線VPN業(yè)務(wù)，GRE、IPSec和MPLS主要用于實現(xiàn)專線VPN業(yè)務(wù)，這些協(xié)議之間本身是不沖突的，可以結(jié)合起來使用。</p><p>　　2.3.3 按VPN的服務(wù)類

30、型劃分</p><p>　　根據(jù)服務(wù)類型，VPN業(yè)務(wù)大致分為這三類：接入VPN（Access VPN）、外聯(lián)網(wǎng)VPN（Extranet VPN）和內(nèi)聯(lián)網(wǎng)VPN(Intranet VPN)。一般情況下內(nèi)聯(lián)網(wǎng)用的VPN是專線VPN。</p><p>　?。?）接入VPN：這是企業(yè)員工出差或企業(yè)的分支機構(gòu)通過公網(wǎng)遠程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的VPN方式。遠程用戶一般是一臺計算機，因此組成的VPN是一種主

31、機到網(wǎng)絡(luò)的拓撲模型。這邊說到的接入VPN不同于前面的撥號VPN，因為遠程接入VPN可以是專線方式接入的，也可以是撥號方式接入的。</p><p>　?。?）外聯(lián)網(wǎng)VPN：這是發(fā)生在企業(yè)收購、兼并或同合作伙伴建立戰(zhàn)略聯(lián)盟后，以這種網(wǎng)絡(luò)到網(wǎng)絡(luò)以不對等的方式連接起來，通過公網(wǎng)來構(gòu)筑的VPN。</p><p>　?。?）內(nèi)聯(lián)網(wǎng)VPN：這一般是企業(yè)的總部與分支機構(gòu)之間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)，這是一種以

32、對等的方式連接起來網(wǎng)絡(luò)到網(wǎng)絡(luò)所組成的VPN。</p><p>　　2.3.4 按VPN業(yè)務(wù)層次模型劃分</p><p>　　這是根據(jù)ISP向用戶提供的VPN服務(wù)工作在第幾層來劃分的，而不是根據(jù)隧道協(xié)議工作在哪一層劃分的。</p><p>　?。?）虛擬專用路由網(wǎng)（VPRN）業(yè)務(wù)：這是對第三層IP路由網(wǎng)絡(luò)的一種仿真。</p><p>　?。?）

33、虛擬專用局域網(wǎng)段（VPLS）：這是在IP廣域網(wǎng)上仿真LAN的技術(shù)。</p><p>　　（3）撥號VPN業(yè)務(wù)（VPDN）：這個是按接入方式劃分的，因為很難明確VPDN究竟屬于哪一層。</p><p>　　（4）虛擬租用線（VLL）：這用IP網(wǎng)絡(luò)對租用線進行模擬，是對傳統(tǒng)的租用線業(yè)務(wù)的仿真，而從兩端的用戶看來這樣一條虛擬租用線等價于過去的租用線。</p><p>&l

34、t;b>　　3.組網(wǎng)需求分析 </b></p><p>　　3.1 網(wǎng)絡(luò)系統(tǒng)設(shè)計原則</p><p><b>　?。?）先進性</b></p><p>　　組網(wǎng)方案設(shè)計應(yīng)適應(yīng)技術(shù)發(fā)展的潮流，在兼顧技術(shù)上的成熟性同時也要盡量做到技術(shù)的先進性。</p><p><b>　?。?）實用性</b

35、></p><p>　　出于對網(wǎng)絡(luò)的整體性和對資源的有限的考慮，在方案設(shè)計時候都應(yīng)該注意實用性，這樣才能夠做到以最少的資源達到最優(yōu)的效果。</p><p><b>　?。?）可靠性</b></p><p>　　對于企業(yè)網(wǎng)來說，穩(wěn)定就是其最重要的要求。一個可靠的企業(yè)網(wǎng)絡(luò)可以為企業(yè)帶來無法衡量的利益，反之則有可能對公司帶來不可估量的損失。&l

36、t;/p><p><b>　?。?）完整性</b></p><p>　　一個好的網(wǎng)絡(luò)設(shè)計在做到實現(xiàn)基本功能后，對于其他各方面都應(yīng)該考慮周全，盡量使得整個網(wǎng)絡(luò)完善強健。</p><p><b>　　3.2 現(xiàn)狀</b></p><p>　　首先，企業(yè)在組建網(wǎng)絡(luò)時一般會考慮投入的資金以及網(wǎng)絡(luò)通訊在今后可獲得

37、的利益；</p><p>　　其次，企業(yè)內(nèi)部或者說企業(yè)總公司與旗下的分公司為了長久的發(fā)展需要，他們需要有穩(wěn)定的、相對安全的連接方式以適應(yīng)；</p><p>　　再次，一家企業(yè)同戰(zhàn)略合作伙伴之間就應(yīng)該要有靈活多變的網(wǎng)絡(luò)連接類型；</p><p>　　最后，對于一家企業(yè)來說，充裕的帶寬，優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)質(zhì)量，是公司今后業(yè)務(wù)發(fā)展的保障。</p><p&g

38、t;　　3.3 采用VPN的理由</p><p>　　相對于企業(yè)對網(wǎng)絡(luò)設(shè)計的要求，最好使用VPN，有以下理由：</p><p>　　（1）與向運營商租用專線或者搭建專線對比，使用VPN是可以達到專線效果但比專線節(jié)省大量費</p><p>　　用的一種最優(yōu)技術(shù)手段；</p><p>　　（2）專線的使用很大程度地制約了網(wǎng)絡(luò)的靈活性，而使用VPN

39、可以很好的彌補這一點；</p><p>　　（3）使用QoS的VPN服務(wù)通過配置隊列的優(yōu)先級可以控制不同類型的數(shù)據(jù)流量，對于服務(wù)質(zhì)量</p><p>　　可以有很大的改善，對企業(yè)內(nèi)部的管理有很大的幫助。</p><p>　　本設(shè)計涉及的VPN技術(shù)有MPLS VPN和Ipsec這幾種。下面我們分別來介紹一下這兩種VPN技術(shù)。</p><p>　

40、　4 MPLS VPN原理</p><p>　　4.1 MPLS VPN體系基本架構(gòu) </p><p>　　MPLS VPN同時汲取的重疊模型的VPN和對等體模型VPN的優(yōu)點，將他們組合成了單一的產(chǎn)品。了解MPLS VPN前必須來先了解一笑它相關(guān)的一些術(shù)語。</p><p>　　CE 路由器—— 客戶端路由器，直連在PE路由器上。</p><p

41、>　　P網(wǎng)絡(luò)——由ISP控制的核心路由器組成的內(nèi)部網(wǎng)絡(luò)。</p><p>　　LSP——標簽交換數(shù)據(jù)包通過P網(wǎng)絡(luò)傳輸?shù)教囟康臅r所用到的路徑。</p><p>　　VRF表——與客戶相關(guān)的路由表實例。</p><p>　　RD——一個64bit標識符，附加在ipv4地址前可組成全球唯一的VPNV4地址。</p><p>　　RT——是V

42、PNV4 BGP路由的附加屬性，用以指示VPN的成員關(guān)系。</p><p>　　圖4-1 MPLS VPN網(wǎng)絡(luò)主要由CE、PE和P組成</p><p>　　4.1.1 CE路由器架構(gòu)</p><p>　　CE路由器非常的重要，不管用什么名稱它本質(zhì)上還是一臺路由器，運行IGP協(xié)議（可用的協(xié)議包括EIGRP、OSPF、RIP、BGP或者靜態(tài)路由）并與發(fā)現(xiàn)的鄰居路由器交換

43、路由信息。CE路由器不需要支持MPLS，也不屬于MPLS體系架構(gòu)的組成部分，只用來負責發(fā)送和接收客戶的路由信息。MPLS提供商的P路由器對于CE路由器是不可見的，所有路由重分發(fā)操作以及MPLS相關(guān)的其他操作都是由PE路由器完成的，而它對于站點的CE路由器是完全透明的。</p><p>　　4.1.2 PE路由器架構(gòu)</p><p>　　PE路由器是比較高端的設(shè)備，可同時接入和并發(fā)比較龐大的

44、數(shù)據(jù)流量而不會產(chǎn)生鏈路堵塞。PE設(shè)備與用戶的CE設(shè)備直接相連，用于處理VPNV4路由，負責VPN業(yè)務(wù)接入，是MPLS三層VPN的主要實現(xiàn)者。骨干網(wǎng)核心路由器P負責快速轉(zhuǎn)發(fā)數(shù)據(jù)，其不與CE直接相連。在整個MPLS VPN網(wǎng)絡(luò)中，P、PE設(shè)備需要支持MPLS的基本功能，P設(shè)備是MPLSVPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備，根據(jù)PE路由器有無參與客戶的路由，MPLS VPN又分成Layer3MPLS VPN和Layer2 MPLS VPN。其中的Layer3

45、 MPLS VPN遵循RFC2547bis標準，使用MPLS技術(shù)在VPN站點之間傳送數(shù)據(jù)，使用MBGP在PE路由器之間分發(fā)路由信息，因而又稱為BGP/MPLS VPN。</p><p>　　圖4-2 MPLS VPN路由</p><p>　　在MPLS VPN網(wǎng)絡(luò)中，因為對VPN的所發(fā)生的處理都在PE路由器上，因此我們在PE路由器上啟用了VPNv4地址協(xié)議，引入了RD(RouteDisti

46、nguisher)和RT(RouteTarget)屬性。RD具有惟一性，通過將8比特的RD作為IPv4地址前綴的擴展項，可以使不惟一的IPv4地址轉(zhuǎn)化為惟一確定的VPNv4地址。VPNv4地址只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)，它對客戶端來說是不可預見性的。PE的對等體之間發(fā)布是基于VPNv4地址族的路由條目，而且通常是通過MPBGP實現(xiàn)的。</p><p>　　4.2 MPLS VPN 路由傳送的原理</p&

47、gt;<p>　　MP-IBGP在鄰居間傳遞VPN用戶路由時會將IPv4地址打上RD前綴，這樣以來VPN用戶傳來的IPv4路由就轉(zhuǎn)變?yōu)閂PNv4路由，這樣就保證VPN用戶的路由到了對端的PE上以后，</p><p>　　即使存在地址空間重疊的情況，對端的PE也能夠區(qū)分分屬不同VPN的用戶路由。RT使用了</p><p>　　BGP中擴展團體屬性來用于路由信息的分發(fā)，同時其具有

48、全局惟一性，同一個RT只能被一</p><p>　　個VPN所使用，它分成Import RT和Export RT，分別用于路由信息的導入策略和導出策略。 </p><p>　　在PE路由器上針對每個site都創(chuàng)建個虛擬路由轉(zhuǎn)發(fā)表VRF(VPNRouting&Forwarding)，</p><p>　　VRF為每個site維護邏輯上分離出來的路由表，每個VR

49、F都有Import RT和Export RT兩種屬性。當PE路由器從VRF表中導出VPN路由條目時，要用Export RT對VPN路由條目進行標記。當PE路由器收到VPNv4路由條目時，只有當所帶RT標記與VRF表中任意一個Import RT路由相符時才會被導入到VRF表中，從而形成不同的VPN，實現(xiàn)VPN的互訪與隔離的效果。 可以通過對Import RT和Export RT的進行適當?shù)呐渲?，運營商可以構(gòu)建不同拓撲類型的VPN網(wǎng)絡(luò)

50、。 整個MPLS VPN體系結(jié)構(gòu)可以分成數(shù)據(jù)面和控制面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過程，而數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。</p><p>　　在控制層面，核心路由器P并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間的路由交互知道屬于某個VPN的網(wǎng)絡(luò)拓撲信息。CE-PE路由器之間通過采用靜態(tài)/默認路由或采用ICP(RIPv2、OSPF)等動態(tài)路由協(xié)議。PE-PE之間通過采

51、MP-IBGP進行路由信息的交換，PE路由器通過維持IBGP網(wǎng)狀連接或使用路由反射器來確保路由信息分發(fā)給所有的PE路由器。除了路由協(xié)議外，在控制層面工作的協(xié)議還有LDP，它在整個MPLS網(wǎng)絡(luò)中進行分發(fā)標簽，從而形成了數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。</p><p>　　在數(shù)據(jù)轉(zhuǎn)發(fā)層面，MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用了外標簽(又稱隧道標簽)和內(nèi)標簽(又稱VPN標簽)兩層標簽棧結(jié)構(gòu)。當VPN傳輸數(shù)據(jù)的分組由

52、CE路由器發(fā)給PE路由器的入口后，PE路由器開始查找該子接口相對應(yīng)的VRF表，從VRF表中得到所需的VPN標簽、初始外層標簽和到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽后，再通過PE輸出接口轉(zhuǎn)發(fā)出去，然后在MPLS骨干網(wǎng)絡(luò)中沿著LSP被逐級轉(zhuǎn)發(fā)下去。在出口PE路由器之前的最后一個P路由器上，外層標簽會被彈出去，P路由器將只含有VPN標簽的分組轉(zhuǎn)發(fā)給出口PE路由器上。出口的PE路由器則根據(jù)內(nèi)層標簽表來查找對應(yīng)的輸出接口，當彈出

53、VPN標簽后通過該接口將VPN分組再發(fā)送給相應(yīng)的CE路由器，這樣就實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程。以上就是MPLS VPN路由傳送的原理。</p><p>　　5.Ipsec VPN</p><p>　　5.1 Ipsec VPN技術(shù)</p><p>　　Ipsec 是一種保護IP數(shù)據(jù)在不同地方傳輸時候安全性的功能特性值。包含在VPN中的所有地點都要定義VPN類型。它的地點

54、可以是企業(yè)總部、大型分支機構(gòu)、一個小型遠程站點、一個終端客戶機、數(shù)據(jù)中心等。任意兩個這樣的地點組合在一起就可以確定VPN的類型。</p><p>　　Ipsec 無法將其業(yè)務(wù)擴展到數(shù)據(jù)鏈路層，只能夠保護IP層以上的數(shù)據(jù)。</p><p>　　5.1.1 Ipsec的功能特性</p><p>　　數(shù)據(jù)完整性：確保數(shù)據(jù)在通過Ipsec VPN進行傳送的時不被修改，保證其

55、完整性。</p><p>　　數(shù)據(jù)機密性：指數(shù)據(jù)在VPN的雙方之間時通過Ipsec vpn傳送時保持數(shù)據(jù)的私密性。</p><p>　　數(shù)據(jù)源驗證：驗證Ipsec vpn的數(shù)據(jù)源。它不能夠單獨實現(xiàn)必須依賴于數(shù)據(jù)的完整性服務(wù)，由VPN的每個端點來完成，以確保對方的身份。 </p><p>　　防重放: 這個是利用數(shù)據(jù)包中的序列號和接受端滑動窗口確保VPN中的數(shù)據(jù)沒有被

56、復制。</p><p>　　5.1.2 Ipsec協(xié)議</p><p>　　Ipsec 提供了兩種安全協(xié)議，為IPSec對等體之間傳輸?shù)腎P數(shù)據(jù)流提供安全服務(wù)：</p><p>　　ESP（Encapsulating Security Payload）封裝安全有效負載</p><p>　　AH（Authentication Header）驗證

57、報頭 </p><p>　　(1) ESP 是為IPSEC提供數(shù)據(jù)機密性、源驗證、完整性等特性一種體系框架。以下是IPSEC ESP可以使用的加密方法。</p><p>　　AES 高級數(shù)據(jù)加密標準</p><p>　　DES（數(shù)據(jù)加密標準）：是一種應(yīng)用很廣泛的傳統(tǒng)的加密方式。</p><p>　　3DES(3重數(shù)據(jù)加密標準)</p&g

58、t;<p>　　(2) AH是一種為IPSEC 提供數(shù)據(jù)源驗證、完整性、防重放功能的體系架構(gòu)，但是它不提供機密性，所以它無法保證數(shù)據(jù)在傳輸?shù)倪^程中是否被偷窺，因此現(xiàn)在很少單獨的使用AH，一般都是和ESP配合使用。AH和ESP都是利用HMAC（基于哈希的報文驗證）來進行完整性檢查和驗證的。</p><p>　　5.1.3 IPSEC模式 </p><p>　　Ipsec 定義了

59、隧道模式和傳送模式兩種的運行模式，它們對原始的IP包提供不同的保護能力。</p><p>　　傳送模式就是僅僅把Ipsec頭部插在IP包中時。所以在傳送模式中，原始IP頭部暴露在外面，沒有得到保護。在數(shù)據(jù)包穿過非受信的網(wǎng)絡(luò)時，包中的數(shù)據(jù)其實是安全的，因為網(wǎng)絡(luò)中只能看到通信方的真實IP地址。</p><p>　　隧道模式中，包括原始IP 頭部在內(nèi)，整個數(shù)據(jù)包都可以得到保護，隧道模式會產(chǎn)生一個

60、全新的隧道端點IP地址，這樣原來的IP地址就不會暴露在外面，這樣IP數(shù)據(jù)包就能夠得到更好的保護。</p><p>　　圖5-1 vpn通道</p><p><b>　　Ip幀/包 </b></p><p><b>　　表5-1</b></p><p><b>　　AH傳輸模式封裝<

61、/b></p><p><b>　　表5-2</b></p><p><b>　　AH隧道模式封裝</b></p><p><b>　　表5-3</b></p><p><b>　　ESP傳輸模式封裝</b></p><p>

62、<b>　　表5-4</b></p><p><b>　　ESP隧道模式封裝</b></p><p><b>　　表5-5</b></p><p>　　5.1.4 對等體驗證</p><p>　　Ipsec對數(shù)據(jù)進行加密防止數(shù)據(jù)在途中被竊取和修改，保護傳送過程中的數(shù)據(jù)，但是首先

63、VPN端點要能夠?qū)Ψ蕉它c的進行確認，否則就談不上數(shù)據(jù)包的保密了。所以數(shù)據(jù)在傳送之前必須驗證IPSEC VPN的端點。</p><p>　　下面舉出5種方法可以驗證IPSEC對等體：</p><p>　　用戶名和密碼——在端點配置他們，但是因為用戶名和密碼是經(jīng)常使用的，所以這個驗證方法安全性不高。</p><p>　　數(shù)據(jù)證書——它是由第三方CA給設(shè)備發(fā)數(shù)字證書。證

64、書被發(fā)放到設(shè)備，需要驗證設(shè)備的時候向第三方提交證書，然后由第三方進行檢查，通過了就驗證成功。</p><p>　　預共享密鑰——在每個對等體預先設(shè)置一個密鑰，這樣可以保證信息的絕對的安全。</p><p>　　OTP（一次性密碼）——一般都是以TAN或PIN的方式來識別。</p><p>　　生物測定——是通過分析人的物理特征例如語音、指紋和臉部的特征來驗證。<

65、;/p><p>　　5.2 IKE（Internet 密鑰交換）</p><p>　　IKE協(xié)議是一種動態(tài)更改Ipsec 密鑰和參數(shù)的機制，通過自動的交換機制和密鑰的更新來防止Ipsec會話被攻擊。同時，IPSEC可以在兩個IPSEC端點之間自動建立起來SA（安全關(guān)聯(lián)），SA是兩個對等體之間事先協(xié)商好的一個參數(shù)。</p><p>　　IKE進程可以分為兩個階段，階段1是

66、一個強制的IKE階段，它是建立在對等體之間一個雙向的SA，即兩個對等體的哈希、加密、組等都要相同，否則對等體之間就無法建立IPSEC連接，緊接著，這個階段還要執(zhí)行對等體的驗證。階段2也是一個強制的IKE階段，它是利用階段1協(xié)商同意的參數(shù)在兩個端點之間建立單向的SA。換而言之，就是每個方向都要使用獨立的密鑰素材。</p><p><b>　　5.3 加密算法</b></p>&l

67、t;p>　　所謂加密，就是將密鑰和數(shù)學加密算法運用到數(shù)據(jù)上面的一種表現(xiàn)形式。這樣子一來，加密后的數(shù)據(jù)只能夠被有解密能力的人讀取。加密算法一般可以分為兩種：同步加密和異步加密。</p><p>　　5.3.1 同步加密</p><p>　　同步加密算法又稱為秘密密鑰加密技術(shù)，它需要使用同一個秘密密鑰來進行加密和解密。它注重的是保護密鑰的安全性，否則任何人獲得了密鑰都可以對數(shù)據(jù)進行解密，

68、從而獲取到數(shù)據(jù)，這樣存在不安全性。這種加密算法主要用在20世紀70年代中期。同步加密通常是用于大批量的加密需求。</p><p>　　常見的同步加密算法主要有DES、3DES和AES。</p><p>　　AES：它是唯一一個被國家安全局用在絕密網(wǎng)絡(luò)的中的同步加密算法。是當前同步加密的選擇，這個密鑰長度是按64比特進行遞增。</p><p>　　DES :密鑰有56

69、bit，破解的話使用現(xiàn)代計算機只要24個小時左右可以破解，安全性不高。</p><p>　　3DES：它使用的是三個不同的56bit密鑰（DES加密、DES解密、DES加密）用來創(chuàng)建密文。這個加密方法只是在理論上純在缺陷，但是到目前還沒有被攻破掉。</p><p>　　5.3.2 異步加密算法</p><p>　　異步加密算法是使用不同的密鑰進行加密和解密，加密的密

70、鑰稱為公鑰（public key），用于加密的密鑰不能夠用于解密，用于解密的密鑰稱為私鑰（private key）。公鑰可以廣泛的發(fā)出，但是私鑰就必須的保密的。</p><p>　　對于數(shù)據(jù)簽名來講，這兩種密鑰的用途卻是相反的，公鑰是用來解密和驗證簽名的，而私鑰是用來簽署消息的哈希值。</p><p>　　6. 企業(yè)VPN網(wǎng)絡(luò)構(gòu)建的分析與實現(xiàn) </p><p>　　

71、6.1 方案應(yīng)用領(lǐng)域</p><p>　　目前，比較大規(guī)模的公司一般都有自己的子公司，如何搭建起子公司同公司總部安全、多用途、高效率、低成本的網(wǎng)絡(luò)鏈接，這是每個企業(yè)都十分關(guān)注的問題。傳統(tǒng)的方法有專線連接、IP地址直接訪問、撥號連接、無線傳輸?shù)?，可是它們不是費用高昂，就是功能單一，而且還有可能存在安全隱患。不過這些問題如果使用VPN技術(shù)，這些難題迎刃而解。另外，現(xiàn)在很多企業(yè)都有自己的合作伙伴，合作伙伴之間的VPN網(wǎng)

72、絡(luò)需要有很高的靈活性，使用VPN技術(shù)可以做到簡單快捷的與合作伙伴建立聯(lián)系，真正實現(xiàn)想連就連，想斷就斷。 </p><p>　　6.2 組網(wǎng)需求分析</p><p>　?。?）公司總部與旗下分公司之間不僅要有穩(wěn)定的網(wǎng)絡(luò)連接支持，而且對于服務(wù)質(zhì)量的要求也相對較高。另外，網(wǎng)絡(luò)安全問題應(yīng)該擺在第一位， </p><p>　?。?）公司總部同其子公司或者合作伙伴之間的網(wǎng)絡(luò)應(yīng)選

73、擇擴展性高，靈活性強的網(wǎng)絡(luò)連接類型。</p><p>　?。?）企業(yè)網(wǎng)絡(luò)在進行規(guī)劃設(shè)計時要注重考慮網(wǎng)絡(luò)的整體性價比，在考慮網(wǎng)絡(luò)的強度的同時要盡量節(jié)省公司資源，實現(xiàn)低成本，高效益的目的。</p><p>　　6.3 組網(wǎng)方案規(guī)劃</p><p>　　6.3.1 租用專線與使用VPN成本對比</p><p>　　（1）租用專線費用如下所示：<

74、;/p><p>　　圖6-1 租用專線費用</p><p>　　（2）使用VPN技術(shù)不用申請專線，只需要原有的公網(wǎng)基礎(chǔ)以及現(xiàn)有的路由器即可，可以大大節(jié)省開支費用。</p><p>　　6.3.2VPN組網(wǎng)方案設(shè)計</p><p>　?。?）B公司與旗下分公司之間使用MPLS VPN技術(shù)，實現(xiàn)總公司與子公司之間進行通信的目的，加以防火墻以保證數(shù)據(jù)的

75、安全性。</p><p>　?。?）C公司與旗下分公司之間使用Ipsec VPN實現(xiàn)，加以ACL與NAT進行完善，同時配備防火墻以保證數(shù)據(jù)的安全性。</p><p>　　6.4 組網(wǎng)設(shè)備選型及實驗地址規(guī)劃</p><p>　　本實驗采用的是小凡模擬器來模擬真實的環(huán)境，在實驗中用到的路由的主要設(shè)備是cisco 3640系列的路由器。本設(shè)計運用到的ios版本是c3640

76、-jk9s-mz.124-16。</p><p><b>　　詳細配置表</b></p><p><b>　　表6-1</b></p><p>　　6.5企業(yè)VPN網(wǎng)絡(luò)構(gòu)建總體設(shè)備拓撲圖</p><p><b>　　圖6-2總拓撲圖</b></p><p&g

77、t;　　6.6模擬器用模擬實驗圖</p><p><b>　　圖6-3模擬實驗圖</b></p><p>　　說明：由于使用模擬器來模擬真實拓撲，由于計算機一次無法啟用太多的設(shè)備，因此對于一些對于本課題不是很重要的設(shè)備被省略掉了，主要進行VPN配置。</p><p><b>　　6.7網(wǎng)絡(luò)設(shè)備配置</b></p>

78、;<p>　　6.7.1用模擬器搭建拓撲</p><p>　　選擇路由器數(shù)量、設(shè)備類型、ios文件，如圖6-4所示。</p><p><b>　　圖6-4 設(shè)備選型</b></p><p>　　選擇計算idle值，確定，把結(jié)果填入idle值選項框。</p><p>　　圖6-5 計算idle值</p&

79、gt;<p>　　圖6-6 計算出idle值</p><p>　　確定好生成文件輸出目錄。</p><p>　　圖6-7選定文件生成目錄</p><p>　　配置各臺路由器的接口和型號。</p><p><b>　　圖6-8配置路由器</b></p><p>　　將各個路由器進行連接

80、，點擊生成BAT文件。完成后，在之前設(shè)置的路徑的文件夾中找到7個后綴名為bat的文件，都打開后就可對其進行配置了。</p><p>　　6-9 實現(xiàn)拓撲的互聯(lián)</p><p>　　6.7.2使用SecureCRT軟件進行配置</p><p>　　圖6-10 SecureCRT配置界面</p><p><b>　　6.8實驗基礎(chǔ)配置&

81、lt;/b></p><p>　　路由器接口的基礎(chǔ)配置：</p><p><b>　　B:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf t </p><p>　　Router(config)#ho

82、stname B **/修改路由器的名字</p><p>　　B( config )#no ip do lo **/關(guān)閉動態(tài)的域名解析，這樣在敲錯命令的時候會很快的恢復</p><p>　　B(config)#line console 0 </p><p>　　B(config-line)#exec-timeout 0 0 **/關(guān)閉控制臺空閑會話

83、超時，不會被路由器自動踢除</p><p>　　B(config-line)#logging synchronous **/關(guān)閉日志同步，阻止自動彈出提示信息</p><p>　　B(config-line)#exit</p><p>　　B(config)#int s0/0 **/進入接口</p><p>　

84、　B(config-if)#ip add 13.13.13.1 255.255.255.0 **/添加IP地址</p><p>　　B(config-if)#no shut **/啟用接口</p><p>　　B (config)#int lo0 **/創(chuàng)建一個環(huán)回口 </p><p>　　B

85、 (config-if)#ip add 192.168.2.0 255.255.255.255</p><p>　　圖6-11 B路由接口配置信息</p><p><b>　　BZ:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf

86、 t</p><p>　　Router(config)#hostname BZ</p><p>　　BZ ( config )#no ip do lo </p><p>　　BZ (config)#line console 0</p><p>　　BZ (config-line)#exec-timeout 0 0</p>

87、<p>　　BZ (config-line)#logging synchronous</p><p>　　BZ (config-line)#exit</p><p>　　BZ (config)#int s0/1</p><p>　　BZ(config-if)#ip add 56.56.56.6 255.255.255.0</p><

88、;p>　　BZ(config-if)#no shut</p><p>　　BZ(config-if)#exit</p><p>　　BZ(config)#int lo0</p><p>　　BZ (config-if)#ip add192.168.20.0 255.255.255.255</p><p>　　BZ(config-if)

89、#exit</p><p>　　圖6-12 BZ路由接口配置信息</p><p><b>　　C:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf t</p><p>　　Router(config)#ho

90、stname C</p><p>　　C ( config )#no ip do lo</p><p>　　C (config)#line console 0</p><p>　　C (config-line)#exec-timeout 0 0</p><p>　　C (config-line)#logging synchronous<

91、/p><p>　　C (config-line)#exit</p><p>　　C (config)#int s0/2</p><p>　　C(config-if)#ip add 23.23.23.2 255.255.255.0</p><p>　　C(config-if)#no shut</p><p>　　C(con

92、fig-if)#exit</p><p>　　C(config)#int lo0</p><p>　　C(config-if)#ip add 192.168.1.1 255.255.255.255</p><p>　　C(config-if)#exit</p><p>　　圖6-13 C路由接口配置信息</p><p&g

93、t;<b>　　CZ:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf t</p><p>　　CZ (config)#hostname CZ</p><p>　　CZ ( config )#no ip do lo <

94、;/p><p>　　CZ (config)#line console 0</p><p>　　CZ(config-line)#exec-timeout 0 0</p><p>　　CZ (config-line)#logging synchronous</p><p>　　CZ (config-line)#exit</p><

95、p>　　CZ (config)#int s0/2</p><p>　　CZ (config-if)#ip add 57.57.57.7 255.255.255.0</p><p>　　CZ(config-if)#no shut</p><p>　　CZ(config-if)#exit</p><p>　　CZ(config)#int

96、lo0</p><p>　　CZ(config-if)#ip add 192.168.10.1 255.255.255.255</p><p>　　CZ(config-if)#exit</p><p>　　圖6-14 CZ路由接口配置信息</p><p><b>　　B_PE: </b></p><

97、p><b>　　Router>en</b></p><p>　　Router# conf t</p><p>　　Router(config)#hostname B_PE</p><p>　　B_PE ( config )#no ip do lo</p><p>　　B_PE (config)#line c

98、onsole 0</p><p>　　B_PE (config-line)#exec-timeout 0 0</p><p>　　B_PE(config-line)#logging synchronous</p><p>　　B_PE (config-line)#exit</p><p>　　B_PE(config)#int s0/0<

99、/p><p>　　B_PE(config-if)#ip add 13.13.13.3 255.255.255.0</p><p>　　B_PE (config-if)#no shut</p><p>　　B_PE (config)#int s0/1</p><p>　　B_PE (config-if)#ip add 34.34.34.3 25

100、5.255.255.0</p><p>　　B_PE (config-if)#no shut</p><p>　　B_PE (config)#int s0/2</p><p>　　B_PE (config-if)#ip add 23.23.23.3 255.255.255.0</p><p>　　B_PE (config-if)#no sh

101、ut</p><p>　　圖6-15 B_PE路由接口配置信息</p><p><b>　　BZ_PE:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf t</p><p>　　Router(config)

102、#hostname BZ_PE</p><p>　　BZ_PE ( config )#no ip do lo </p><p>　　BZ_PE (config)#line console 0</p><p>　　BZ_PE (config-line)#exec-timeout 0 0</p><p>　　BZ_PE (config-l

103、ine)#logging synchronous</p><p>　　BZ_PE (config-line)#exit</p><p>　　BZ_PE(config)#int s0/1</p><p>　　BZ_PE (config-if)#ip add 56.56.56.5 255.255.255.0</p><p>　　BZ_PE (c

104、onfig-if)#no shut</p><p>　　BZ_PE (config-if)#exit</p><p>　　BZ_PE (config)#int s0/0</p><p>　　BZ_PE (config-if)#ip add 45.45.45.5 255.255.255.0</p><p>　　BZ_PE (config-if

105、)#no shut</p><p>　　BZ_PE (config)#int s0/2</p><p>　　BZ_PE (config-if)#ip add 57.57.57.5 255.255.255.0</p><p>　　BZ_PE (config-if)#no shut</p><p>　　BZ_PE (config-if)#ex

106、it</p><p>　　圖6-16 BZ_PE路由接口配置信息</p><p><b>　　B_P:</b></p><p><b>　　Router>en</b></p><p>　　Router# conf t</p><p>　　Router(config)#

107、hostname B_P</p><p>　　B_P ( config )#no ip do lo </p><p>　　B_P (config)#line console 0</p><p>　　B_P (config-line)#exec-timeout 0 0</p><p>　　B_P (config-line)#loggin

108、g synchronous</p><p>　　B_P (config-line)#exit</p><p>　　B_P (config)#int s0/0 </p><p>　　B_P (config-if)#ip add 45.45.45.4 255.255.255.0</p><p>　　B_P (config-if)#no shu

109、t</p><p>　　B_P (config)#int s0/1</p><p>　　B_P (config-if)#ip add 34.34.34.4 255.255.255.0</p><p>　　B_P (config-if)#no shut</p><p>　　圖6-17 P路由接口配置信息</p><p&g

110、t;　　6.9 MPLS VPN的配置</p><p>　　圖6-18 MPLS VPN模擬實驗圖</p><p>　　6.9.1 配置CE路由器</p><p>　　CE路由器的配置是標準的，沒有什么特別的地方。惟一的限制是，當前在CE路由器和PE路由器之間使用的路由選擇協(xié)議必須是RIP第2版，EIGRP、OSPF或EBGP。也可以使用靜態(tài)路由，本設(shè)計使用RIP協(xié)

111、議進行配置。</p><p>　　在CE端運行RIP協(xié)議第2版，然后把其直連的網(wǎng)段加入到這個協(xié)議中</p><p>　　B(config)#router rip **/運行路由RIP協(xié)議</p><p>　　B(config-router)#no auto-summary **/關(guān)閉自動匯總</p><p>　　B(

112、config-router)#version 2 **/修改RIP的版本號</p><p>　　B(config-router)#network 1.0.0.0 **/把網(wǎng)段加入的協(xié)議</p><p>　　B(config-router)#network 13.0.0.0 </p><p>　　BZ(config)#router rip

113、 </p><p>　　BZ(config-router)#no auto-summary </p><p>　　BZ(config-router)#version 2 </p><p>　　BZ(config-router)#network 6.0.0.0 </p><p>　　BZ(config-router)#

114、network 56.0.0.0</p><p>　　6.9.2 配置PE路由器</p><p>　　PE路由器的配置比CE 路由器復雜得多，本設(shè)計中關(guān)于PE路由器的配置涉及的9個步驟如下：</p><p>　　第一步：配置環(huán)回接口，以用作BGP更新源和LDP路由器ID。</p><p>　　B_PE (config)#int lo0<

115、/p><p>　　B_PE (config-if)#ip add 3.3.3.3 255.255.255.255</p><p>　　B_PE (config-if)#exit</p><p>　　P E2(config)#int lo0</p><p>　　BZ_PE (config-if)#ip add 5.5.5.5 255.255.

116、255.255</p><p>　　P E2(config-if)#exit</p><p>　　第二步：啟用CEF，如果沒有在PE路由器上啟用CEF，MPLS將不能正常運行。</p><p>　　B_PE(config)#ip cef **在全局模式下運行MPLS</p><p>　　BZ_PE(config

117、)#ip cef </p><p>　　第三步：在核心接口上配置MPLS。</p><p>　　B_PE (config)#int s0/0 **在接口下運行MPLS</p><p>　　B_PE(config-if)#mpls ip</p><p>　　B_PE (config)#

118、int s0/1 </p><p>　　B_PE(config-if)#mpls ip</p><p>　　BZ_PE (config)#int s0/0 </p><p>　　BZ_PE(config-if)#mpls ip</p><p>　　BZ_PE (config)#int s0/