2 广域网技术.ppt

《2 广域网技术.ppt》由会员分享，可在线阅读，更多相关《2 广域网技术.ppt（69页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、广域网技术广域网技术课程目标课程目标一、一、OSPF路由协议路由协议二、二、BGP路由协议路由协议三、三、VPN技术技术nOSPF协议原理协议原理nOSPF配置配置nOSPF调试、监控调试、监控nOSPF排错排错OSPF协议基本概念协议基本概念Router IDRouter ID一个32-bit的无符号整数，是一台路由器的唯一标识，在整个自治系统内唯一1、所有物理端口ip地址最大者为RID，2、如有逻辑管理接口Loopback0，loopback1等，则逻辑端口ip为RID，有多个逻辑接口，ip大者为RID.协议号协议号OSPF 是基于IP的，其协议号是89选举选举DR/BDR规则规则 选举D

2、R/BDR的时候要比较hello包中的优先级，优先级最高的为DR，次高的为BDR.不作修改默认端口上的优先级都为1，在优先级相同的情况下比较Router ID，RID最高者为DR，次高者为BDR。当你把相应端口优先级设为0时，OSPF路由器将不能再成为DR/BDR，只能为DROTHER。DR/BDR选举完成后，DROTHER就只和DR/BDR逻辑上形成邻居关系 OSPFOSPFOSPFOSPF协议计算路由过程协议计算路由过程协议计算路由过程协议计算路由过程LSDBRTA的的LSARTB的的LSARTC的的LSARTD的的LSA(2)每台路由器的每台路由器的LSDB(3)由链路状态数据库生成由链

3、路状态数据库生成 带权有向图带权有向图CABD1235CABD123CABD123CABD123CABD123RTARTB(1)网络的拓扑结构网络的拓扑结构(4)每台路由器分别以自己为根节点计算最小生成树每台路由器分别以自己为根节点计算最小生成树RTCRTD3215OSPFOSPF的五种协议报文的五种协议报文HelloHello报文报文发现及维持邻居关系，选举DR，BDRDDDD报文报文本地LSDB的摘要LSRLSR报文报文向对端请求本端没有或对端的更新的LSALSULSU报文报文向对方发送其需要的LSALSAckLSAck报文报文收到LSU之后，进行确认OSPFOSPF的邻居状态机的邻居状态

4、机DownAttemptInit2-wayExStartExchangeLoadingFull两台路由器之间建立邻接关系的过程两台路由器之间建立邻接关系的过程 RT1RT2DownDownHello(DR=0.0.0.0,Neighbors Seen=0)Hello(DR=RT2,Neighbors Seen=RT1)DD(Seq=x,I=1,M=1,MS=1)DD(Seq=y,I=1,M=1,MS=1)DD(Seq=y,I=0,M=1,MS=0)DD(Seq=y+1,I=0,M=1,MS=1)DD(Seq=y+1,I=0,M=1,MS=0)DD(Seq=y+n,I=0,M=0,MS=1)DD

5、(Seq=y+n,I=0,M=0,MS=0)LS RequestLS UpdateLS AckExStartExStartInitExchangeExchangeLoadingFullFull划分区域划分区域 Area0Area1Area3骨干区域和虚连接骨干区域和虚连接Area 0Area 12Area 19Virtual LinkRTARTBLSA(LSA(链路状态通告链路状态通告)分类分类Router-LSA Router-LSA 由区域内每个路由器生成，描述了路由器的链路状态和花费，只能在本区域内泛洪广播 Network-LSANetwork-LSA，由DR生成，描述了DR和BDR连接

6、的路由器的链路状态，传递到整个区域Net-Summary-LSANet-Summary-LSA，由ABR生成，描述了到区域内某一网段的路由，传递到相关区域Asbr-Summary-LSAAsbr-Summary-LSA，由ABR生成，描述了到ASBR的路由，传递到相关区域AS-External-LSAAS-External-LSA，由ASBR生成，描述了到AS外部的路由，传递到整个AS（STUB区域除外）接口分类及路由器分类接口分类及路由器分类OSPF协议根据链路层媒体不同分为以下四种网络类型:(Broadcast:(Broadcast、NBMANBMA、Point-Point-to-Poin

7、tto-Point、Point-to-Multipoint)Point-to-Multipoint)路由器根据在自治系统中的不同角色划分为:(IAR(IAR、ABRABR、BBRBBR、ASBR)ASBR)一个运行OSPF协议的接口状态根据接口的不同类型可划分为:(DR:(DR、BDRBDR、DROtherDROther、point-to-point)point-to-point)OSPFOSPF为什么是无自环的？为什么是无自环的？每一条LSA（链路状态广播）都标记了生成者（用生成该LSA的路由器的Router ID标记），其它路由器只负责传输。这样不会在传输的过程中发生对该信息的改变或错误理

8、解路由计算的算法是SPF算法。计算的结果是一棵树，路由是树上的叶子节点。从根节点到叶子节点是单向不可回复的路径nOSPF协议原理协议原理nOSPF配置配置nOSPF调试、监控调试、监控nOSPF排错排错何时需要运行何时需要运行OSPFOSPF协议协议网络的规模网络的规模网络中的路由器在10台以上；中等或大规模的网络网络的拓扑结构网络的拓扑结构网络的拓扑结构为网状，并且任意两台路由器之间都互通的需求其它特殊的需求其它特殊的需求要求路由变化时能够快速收敛，要求路由协议自身的网络开销尽量降低对路由器自身的要求对路由器自身的要求运行OSPF协议时对路由器的CPU的处理能力及内存的大小都有一定的要求，性

9、能很低的路由器不推荐使用OSPF协议配置配置OSPFOSPF协议协议区域区域划分划分划分区域的基本原则划分区域的基本原则按照自然的地区或者行政单位划分按照网络中的高端路由器来划分按照IP地址的规律一些制约条件一些制约条件区域的规模与骨干区域连通ABR的处理能力启动启动OSPFOSPF协议的基本配置协议的基本配置配置路由器的配置路由器的Router IDRouter IDH3C router idrouter id A.B.C.D启动启动OSPFOSPF协议协议H3C ospf process-id router-id router-id vpn-instance vpn-instance-na

10、me 配置配置OSPFOSPF区域区域H3C-ospf-1 area area_id在指定网段使能在指定网段使能OSPF OSPF H3C-ospf-1-area-0.0.0.0 network ip-address wildcard-masknOSPF协议原理协议原理nOSPF配置配置nOSPF调试、监控调试、监控nOSPF排错排错显示显示OSPFOSPF的运行状态的运行状态display ospf briefdisplay ospf errordisplay ospf interfacedisplay ospf peer显示显示OSPFOSPF的调试信息的调试信息debugging osp

11、f eventdebugging ospf lsadebugging ospf packetdebugging ospf spfnOSPF协议原理协议原理nOSPF配置配置nOSPF调试、监控调试、监控nOSPF排错排错OSPFOSPF的的故障排除故障排除配置故障排除配置故障排除首先检查是否已经启动并且正确配置了OSPF协议局部故障排除局部故障排除检查两台直接相连的路由器之间协议运行是否正常全局故障排除全局故障排除从网络拓扑结构角度考虑，区域是否配置正确如果如果OSPFOSPF协议不能正常运行，可按如下步协议不能正常运行，可按如下步骤进行检查骤进行检查:协议基本配置是否正确协议基本配置是否正确

12、是否已经为本路由器配置了是否已经为本路由器配置了Router IDRouter ID检查检查OSPFOSPF协议是否已成功地被激活协议是否已成功地被激活检查需要运行检查需要运行OSPFOSPF的网段是否已经被使能的网段是否已经被使能检查是否已正确地引入了所需要的外部路由检查是否已正确地引入了所需要的外部路由邻居路由器之间的故障邻居路由器之间的故障检查物理连接及下层协议是否正常运行检查在接口上配置的OSPF参数，某些参数必须保证和与该接口相邻的路由器的参数一致检查在同一接口上dead-interval值应至少为 hello-interval值的4倍在广播和NBMA类型的网络中至少有一台路由的pr

13、iority应大于零区域的STUB属性必须一致接口的网络类型必须一致在NBMA类型的网络中是否手工配置了邻居错误的区域划分错误的区域划分RTARTBRTCRTDArea0Area1Area2RTARTBRTCRTDArea0Area1Area0其它疑难杂症其它疑难杂症路由表中丢失部分路由路由表中丢失部分路由路由表不稳定，时通时断路由表不稳定，时通时断无法引入自治系统外部路由无法引入自治系统外部路由区域间路由聚合的问题区域间路由聚合的问题RTCArea1Area010.1.2.0/2410.1.1.0/2410.1.1.0/2410.1.2.0/2410.1.2.0/24RTARTBFigure

14、 1Area1Area0Area210.1.2.0/2410.1.1.0/2410.1.0.0/1610.1.4.0/2410.1.3.0/24RTBRTAFigure 2510本章总结本章总结nOSPF的特性的特性nOSPF邻居关系的建立邻居关系的建立nOSPF的的DR、BDR选举选举nOSPF的区域划分以及区域间的通信的区域划分以及区域间的通信nOSPF的配置及其调试命令的配置及其调试命令nOSPF常见故障的处理常见故障的处理课程目标课程目标一、一、OSPF路由协议路由协议二、二、BGP路由协议路由协议三、三、VPN技术技术nBGP基本规划基本规划nBGP常用属性的规划常用属性的规划nBG

15、P大规模部署大规模部署何时使用何时使用BGPBGP网络过于庞大，网络过于庞大，IGPIGP路由难以胜任路由难以胜任网络中的路由需要进行大量的路由策略进行分网络中的路由需要进行大量的路由策略进行分流和过滤流和过滤网络中需要部署网络中需要部署MPLS VPNMPLS VPNBGPBGP协议概述协议概述BGPBGP是外部路由协议，用来在是外部路由协议，用来在ASAS之间传递之间传递路由信息路由信息是一种距离矢量的路由协议，从设计上避是一种距离矢量的路由协议，从设计上避免了环路的发生免了环路的发生为路由附带属性信息为路由附带属性信息传送协议：传送协议：TCPTCP，端口号，端口号179179支持支持C

16、IDRCIDR（无类别域间路由）（无类别域间路由）路由更新：只发送增量路由路由更新：只发送增量路由丰富的路由过滤和路由策略丰富的路由过滤和路由策略BGPBGP两种邻居两种邻居IBGPIBGP和和EBGPEBGPEBGPEBGPRTBRTCIBGPRTARTDRTEAS100AS200AS300BGP Router IDBGP Router ID的规划的规划BGPBGP的的Router IDRouter ID建议使用设备的建议使用设备的LoopbackLoopback接口，作接口，作为唯一标识。为唯一标识。核心设备或主要路由发布的网络设备选用较小的核心设备或主要路由发布的网络设备选用较小的Rou

17、ter IDRouter IDAS numberAS number的规划的规划如果不与如果不与InternetInternet互连，建议使用私有互连，建议使用私有ASAS号号使用范围从使用范围从65400-6553565400-65535多个多个ASAS时，采用自然连续编号时，采用自然连续编号相邻体的规划相邻体的规划采用采用IBGPIBGP还是还是EBGPEBGP由网络规模和控制策略决定由网络规模和控制策略决定IBGPIBGP邻居采用邻居采用LoopbackLoopback接口建立邻接关系接口建立邻接关系EBGPEBGP邻居采用互连接口建立邻接关系邻居采用互连接口建立邻接关系IGPIGP保证建

18、立邻接关系的接口地址可达保证建立邻接关系的接口地址可达BGPBGP路由的发布路由的发布BGPBGP本身没有路由发现功能，它的路由发布依赖于本本身没有路由发现功能，它的路由发布依赖于本路由表中的路由表中的IGPIGP路由路由BGPBGP路由的发布可采用静态注入路由表路由的发布可采用静态注入路由表network X.X.X.X mask 255.X.X.Xnetwork X.X.X.X mask 255.X.X.XBGPBGP路由的发布采用动态引入其它路由协议的路由路由的发布采用动态引入其它路由协议的路由import other igp protocalimport other igp proto

19、calBGPBGP路由的发布也可采用配置黑洞路由，静态或动态路由的发布也可采用配置黑洞路由，静态或动态引入引入BGPBGP路由表的方式路由表的方式BGPBGP报文种类报文种类BGPBGP报文有四种类型报文有四种类型:OpenOpen：打招呼：打招呼“你好，跟我交个朋友吧你好，跟我交个朋友吧！”KeepAliveKeepAlive：我还活着呢，别不理我。：我还活着呢，别不理我。UpdateUpdate：有新闻：有新闻.NotificationNotification：我不跟你玩了：我不跟你玩了!nBGP基本规划基本规划nBGP常用属性的规划常用属性的规划nBGP大规模部署大规模部署起点起点(Or

20、igin)(Origin)属性属性利用利用OriginOrigin属性，可分析此路由的产生源属性，可分析此路由的产生源Incomplete Incomplete 动态注入动态注入IGP IGP 静态注入静态注入尽量使用静态方式注入，除非路由数目非常巨大，尽量使用静态方式注入，除非路由数目非常巨大，且无法聚合且无法聚合.下一跳下一跳(Next-Next-hophop)属性属性IBGPIBGP邻居发布路由时不会改变路由的下一跳邻居发布路由时不会改变路由的下一跳EBGPEBGP邻居发布路由时，建议由本邻居发布路由时，建议由本ASAS内的内的ASBRASBR设置改变下一跳，尽量避免将设置改变下一跳，尽

21、量避免将ASBRASBR之间的直连之间的直连路由发布到本路由发布到本ASAS中的中的IGPIGP中。中。灵活使用灵活使用LPLP及及MEDMED属性进行业务的分流属性进行业务的分流本本ASAS内的出内的出ASAS流量可采用流量可采用LP(Local-prefernceLP(Local-prefernce)属属性进行控制。性进行控制。从其它从其它ASAS进入本进入本ASAS的流量，可采用的流量，可采用MEDMED属性进行属性进行控制。控制。两者之间的功能需求实现一致，注意如果是单两者之间的功能需求实现一致，注意如果是单ASAS，只能使用只能使用LPLP属性，属性，MEDMED属性只能用在属性只能

22、用在ASAS之间，之间，LPLP属性用在属性用在ASAS内。内。nBGP基本规划基本规划nBGP常用属性的规划常用属性的规划nBGP大规模部署大规模部署大规模大规模BGPBGP部署部署IBGPIBGP相邻体过多，采用路由反射器或联盟方式相邻体过多，采用路由反射器或联盟方式 建议多使用路由反射器建议多使用路由反射器(RR)(RR)，并作分级反射，并作分级反射BGPBGP路由在注入时，尽量作聚合路由在注入时，尽量作聚合(采用动态或静采用动态或静态方式态方式)对性能较差的设备，在运行对性能较差的设备，在运行BGPBGP时，尽量采用时，尽量采用只发布本地路由，不接收或少接收相邻体路由只发布本地路由，不

23、接收或少接收相邻体路由的方式。的方式。大规模大规模BGPBGP部署部署当路由振荡比较频繁时，建议采用当路由振荡比较频繁时，建议采用BGPBGP路由惩罚路由惩罚多设置多设置communitycommunity属性，便于对不同属性，便于对不同的路由进行分类控制。的路由进行分类控制。本章总结本章总结nBGP路由协议的基本规划路由协议的基本规划nBGP路由协议属性的应用路由协议属性的应用nBGP的大规划部署原则的大规划部署原则课程目标课程目标一、一、OSPF路由协议路由协议二、二、BGP路由协议路由协议三、三、VPN技术技术nVPN网络设计原则网络设计原则nL2TP VPN网络设计网络设计nIPSEC

24、 VPN网络设计网络设计nGRE VPN网络设计网络设计VPNVPN设计原则安全性原则设计原则安全性原则隧道与加密隧道与加密数据验证数据验证用户识别与设备验证用户识别与设备验证入侵检测，网络接入控制入侵检测，网络接入控制隧道与加密隧道与加密应用和业务服务器总部网络中心分支机构合作伙伴secpointAAA服务器出差员工IPSEC+L2TPIPSEC+GRElL2TP隧道协议最适合移动用户的VPN接入lGRE隧道协议最适合站点到站点的VPN接入，支持动态路由协议lIPSEC提供数据加密和数据完整性数据验证数据验证IPSECIPSEC协议提供特定的通信双方之间在协议提供特定的通信双方之间在IPIP

25、层通过加密层通过加密与数据源验证，以保证数据包在与数据源验证，以保证数据包在InternetInternet网上传输网上传输时的私有性、完整性和真实性。用在时的私有性、完整性和真实性。用在VPNVPN上上IPSECIPSEC协议族与其他隧道协议相配合完成协议族与其他隧道协议相配合完成VPNVPN数据报文的数据报文的加密和验证加密和验证。IPSEC用户识别与设备验证用户识别与设备验证VPN可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。建立VPN连接的设备之间进行验证可以确保VPN隧道的安全可靠。设

26、备验证设备验证 SecurID 数字证书数字证书 SecKey认证服务器认证服务器用户识别用户识别入侵检测，网络接入控制入侵检测，网络接入控制网络入侵检测系统需要同网络入侵检测系统需要同VPNVPN设备进行配合，通过设备进行配合，通过分析源自或送至分析源自或送至VPNVPN设备的信息流，避免通过设备的信息流，避免通过VPNVPN连接使内部网络受到攻击。连接使内部网络受到攻击。一般来讲一般来讲VPNVPN接入的用户可以访问内部网络中大部接入的用户可以访问内部网络中大部分资源，可以考虑对分资源，可以考虑对VPNVPN接入用户进行分级和控制，接入用户进行分级和控制，确保内部网络的运行安全。确保内部网

27、络的运行安全。nVPN网络设计原则网络设计原则nL2TP VPN网络设计网络设计nIPSEC VPN网络设计网络设计nGRE VPN网络设计网络设计L2TP L2TP 连接方式选择连接方式选择L2TP VPNL2TP VPN适用于移动办公用户的适用于移动办公用户的VPNVPN接入，可接入，可以提供严格的用户验证功能，确保以提供严格的用户验证功能，确保VPNVPN接入用接入用户的合法性。户的合法性。L2TP VPNL2TP VPN的连接方式分为两种：的连接方式分为两种：PCPC直接发起直接发起连接和连接和LACLAC设备发起连接。两种方式适用于不设备发起连接。两种方式适用于不同企业对于同企业对于

28、VPNVPN接入控制和管理的不同要求。接入控制和管理的不同要求。L2TP L2TP 认证方式选择认证方式选择L2TP VPNL2TP VPN可以提供可以提供LACLAC侧的用户接入验证和侧的用户接入验证和LNSLNS侧的用户侧的用户再次验证，可以提供比较安全的再次验证，可以提供比较安全的VPNVPN接入功能。接入功能。LACClientLNSHOSTHome LANInternetL2TP TUNNELL2TP L2TP 安全性考虑安全性考虑L2TPL2TP VPNVPN本身虽然提供较为严格的接入用户的认证功本身虽然提供较为严格的接入用户的认证功能，但不提供能，但不提供VPNVPN数据的加密功

29、能，如果需要对数据数据的加密功能，如果需要对数据进行安全加密可以同进行安全加密可以同IPSECIPSEC协议进行配合。协议进行配合。LACClientLNSHOSTHome LANInternetL2TP OVER IPSECL2TPL2TP中的中的NATNAT问题问题LACClientLNSHOSTHome LANInternetNATPUB:202.38.1.1PUB:202.38.1.2Pri:1.1.1.1Pri:1.1.1.2L2TP OVER IPSECLACLAC在同位于在同位于NATNAT之后的之后的LNSLNS建立连接时可能会出现问题建立连接时可能会出现问题 nVPN网络设计

30、原则网络设计原则nL2TP VPN网络设计网络设计nIPSEC VPN网络设计网络设计nGRE VPN网络设计网络设计站点到站点站点到站点IPSEC VPNIPSEC VPN的拓扑设计的拓扑设计IPSEC VPNIPSEC VPN网络拓扑结构选择网络拓扑结构选择全网状连接全网状连接部分网状连接部分网状连接星形连接星形连接分层的星形连接分层的星形连接移动办公用户移动办公用户IPSEC VPNIPSEC VPN接入接入病毒蠕虫黑病毒蠕虫黑客入客入侵核心侵核心机构机构IPSEC TUNNEL移动办公用户接入移动办公用户接入IPSEC VPNIPSEC VPN的考虑的考虑笔记本电脑软件防火墙，防病毒软

31、件的安装硬件防火墙同VPN网关相互配合使用防火墙和VPN网关功能相互融合的设备IPSEC VPNIPSEC VPN中的中的INTERNETINTERNET通讯通讯远程远程VPNVPN站点可以通过两种方式访问站点可以通过两种方式访问INTERNETINTERNET集中式：访问INTERNET的流量统一由总部的VPN节点进行转发分布式：访问INTERNET的流量由本地的VPN节点进行转发VPN流量和上网流量都需要由总部统一进行转发流量和上网流量都需要由总部统一进行转发集中式集中式分布式分布式只有只有VPN流量由总部进行转发流量由总部进行转发IPSEC VPNIPSEC VPN网络的高可用性设计网络

32、的高可用性设计VRRP主用主用备用备用GRE OVER IPSEC 配合动态路由协议配合动态路由协议IKE KEEPALIVE 或或DPD同同VRRP配合配合IKE KEEPALIVE 或或DPD建立新的建立新的SA安全联盟安全联盟主用主用备用备用IPSEC VPNIPSEC VPN设计中的设计中的MTUMTU问题问题当当VPNVPN数据通过的网络路径中具有不同的路数据通过的网络路径中具有不同的路径径MTUMTU要求时，我们需要将设备的要求时，我们需要将设备的MTUMTU设置设置为所有经过的路径为所有经过的路径MTUMTU中较小的那个值，避中较小的那个值，避免某些情况下数据分片造成的不良影响。

33、免某些情况下数据分片造成的不良影响。PMTU 1500PMTU 1400nVPN网络设计原则网络设计原则nL2TP VPN网络设计网络设计nIPSEC VPN网络设计网络设计nGRE VPN网络设计网络设计GRE VPNGRE VPN设计设计IPSECIPSEC仅能够为仅能够为IPIP单播数据流提供单播数据流提供VPNVPN封装的能力，封装的能力，GREGRE不仅可以为不仅可以为IPIP单播提供单播提供VPNVPN封装而且可以为多封装而且可以为多种非种非IPIP的协议或的协议或IPIP协议的组播或广播数据报文进行协议的组播或广播数据报文进行VPNVPN封装。封装。GREGRE可以灵活的支持动态

34、路由协议，可以作为其他可以灵活的支持动态路由协议，可以作为其他VPNVPN技术的重要补充，实现更加灵活的功能。技术的重要补充，实现更加灵活的功能。InternetIPXIPIPIPXGRE TUNNELGRE GRE 协议栈协议栈IP/IPXGREIP链路层协议链路层协议乘客协议乘客协议封装协议封装协议运输协议运输协议GRE协议栈协议栈隧道接口的报文格式隧道接口的报文格式链路层链路层GREIP/IPXIPPayload使用使用GREGRE构建构建VPNVPNOriginal Data PacketTransfer Protocol HeaderGRE HeaderInternetTunnel企业总部企业总部分支机构分支机构本章总结本章总结nL2TP VPN网络设计网络设计nIPSEC VPN网络设计网络设计nGRE VPN网络设计网络设计