网工项目实践2.6 广域网需求分析及方案制定

本专栏持续更新，整一个专栏为一个大型复杂网络工程项目。阅读本文章之前务必先看《本专栏必读》。

全网拓扑展示

一.广域网互联方式

1.专线

• 优点
  • 稳定 独享。
  • 绝对安全。
  • 可靠性高，带宽高，完全取决于终端接口。
• 缺点:
  • 费用高。
  • 建设时间长。
  • 难于管理。

 2.VPN技术

• 优点：
  • 费用较低。
  • 灵活、扩展性好。
  • 安全性也有保障。

二.常见的VPN技术

• 二层VPN技术

  •  ATM

    • 已被淘汰

  • FR

    • 速率低，需要专网，被淘汰。

  •  L2TP VPN

    • 主要应用远程接入、远程访问。

  • VPLS等

    • 基于MPLS网络完成二层数据传输。

• 三层VPN技术

  • GRE

    • 简单，不安全。

  • IPsec VPN

    • 安全，配置负载，无法使用动态路由协议，带宽无保证。

  • MPLS VPN

    • 没有加密保证，需要购买服务，带宽有保证。

三.广域网规划设计

• 北京总部与运营商之间建立了internet连接，运营商要求子公司使用运营商分配的地址进行连接，必须为这条链路提供密文认证，以避免恶意人员对认证过程进行捕捉还原，验证中如有必要使用本地设备名为用户名。
  • BJ_G1要通过PPPOE方式从ISP AR5得到地址，并使用CHAP认证;
  • BJ_G1同时要部署NAT Server。
• 子公司需要和集团互连互通，由于集团有大量路由注入，因此需要使用BGP协议来实现路由控制。根据规划北京总部的路由器BJG2、BJG3分别与集团公司相应的路由器建立EBGP邻居，而两者之间则使用最稳定的方式建立IBGP邻居。同时，子公司与集团公司之间的通信应首选出口带宽较高的BJG2为去往集团的主出口路由器，而BJG3作为备份。最后，集团从性能和效率的角度考虑，要求尽可能减轻集团路由器的负担，因此提出子公司只向集团发送三条掩码为16位的汇总路由。
  • BJ_G2、BJ_G3和集团路由器AR8建立EBGP邻居关系,
  • BL_G2、BJ_G3之间使用Loopback建立IBGP邻居关系，
  • BJ_G2作为去往总部的首选出口路由器，BJ_G3为备份路由器，
  • BJ_G2，BJ_G3向R8做MED或本地首选值或本地优先级等,
  • BJ_G2和BJ_G3向集团只发送3条汇总路由，分别为10.1.0.0/16;10.2.0.0/16;10.3.0.0/16.
• 北京总部和两个分支机构之间通过MPLS VPN网络相互连接，需要完成CE端路由器的配置。根据规划:
  • 在路由器BJ_G3上需要把连接MPLS的接口宣告进本地IGP的骨干区域，不要使用任何形式的认证；
  • 在路由器SH_G2上需要把连接MPLS的接口宣告进新的OSPF进程(Area0)，且只向北京总部传递两条16位的汇总路由;
  • 北京总部和上海分部需要有另外的链路做备份；
  • 在成都远程办公网的CE与PE之间使用BGP协议获得北京总部的路由，且只向北京总部传递一条16位的汇总路由。网络管理员提醒，注意不同协议和进程之间的路由引入。
    • BJ_G3与R10之间宣告进Area 0;
    • SH_G2与R12之间宣告进新进程的Area 0;
    • 在SH_G2上执行双向重分布,并且汇总路由;
    • CD_G1与R12之间运行BGP协议;
    • 在CD_G1上做BGP与RIP的双向重分布，但就要aggregate；
    • 在CD_G1上执行汇总10.3.0.0/16。

四.广域网拓扑部分