网工项目实践2.6广域网需求分析及方案制定

本专栏持续更新，整一个专栏为一个大型复杂网络工程项目。阅读本文章之前务必先看《本专栏必读》。

全网拓扑展示

一.广域网互联方式 1.专线 优点 稳定 独享。绝对安全。可靠性高，带宽高，完全取决于终端接口。 缺点: 费用高。建设时间长。难于管理。  2.VPN技术 优点： 费用较低。灵活、扩展性好。安全性也有保障。 二.常见的VPN技术

二层VPN技术

 ATM

已被淘汰

FR

速率低，需要专网，被淘汰。

 L2TP VPN

主要应用远程接入、远程访问。

VPLS等

基于MPLS网络完成二层数据传输。

三层VPN技术

GRE

简单，不安全。

IPsec VPN

安全，配置负载，无法使用动态路由协议，带宽无保证。

MPLS VPN

没有加密保证，需要购买服务，带宽有保证。

三.广域网规划设计 北京总部与运营商之间建立了internet连接，运营商要求子公司使用运营商分配的地址进行连接，必须为这条链路提供密文认证，以避免恶意人员对认证过程进行捕捉还原，验证中如有必要使用本地设备名为用户名。 BJ_G1要通过PPPOE方式从ISP AR5得到地址，并使用CHAP认证;BJ_G1同时要部署NAT Server。 子公司需要和集团互连互通，由于集团有大量路由注入，因此需要使用BGP协议来实现路由控制。根据规划北京总部的路由器BJG2、BJG3分别与集团公司相应的路由器建立EBGP邻居，而两者之间则使用最稳定的方式建立IBGP邻居。同时，子公司与集团公司之间的通信应首选出口带宽较高的BJG2为去往集团的主出口路由器，而BJG3作为备份。最后，集团从性能和效率的角度考虑，要求尽可能减轻集团路由器的负担，因此提出子公司只向集团发送三条掩码为16位的汇总路由。 BJ_G2、BJ_G3和集团路由器AR8建立EBGP邻居关系,BL_G2、BJ_G3之间使用Loopback建立IBGP邻居关系，BJ_G2作为去往总部的首选出口路由器，BJ_G3为备份路由器，BJ_G2，BJ_G3向R8做MED或本地首选值或本地优先级等,BJ_G2和BJ_G3向集团只发送3条汇总路由，分别为10.1.0.0/16;10.2.0.0/16;10.3.0.0/16. 北京总部和两个分支机构之间通过MPLS VPN网络相互连接，需要完成CE端路由器的配置。根据规划: 在路由器BJ_G3上需要把连接MPLS的接口宣告进本地IGP的骨干区域，不要使用任何形式的认证；在路由器SH_G2上需要把连接MPLS的接口宣告进新的OSPF进程(Area0)，且只向北京总部传递两条16位的汇总路由;北京总部和上海分部需要有另外的链路做备份；在成都远程办公网的CE与PE之间使用BGP协议获得北京总部的路由，且只向北京总部传递一条16位的汇总路由。网络管理员提醒，注意不同协议和进程之间的路由引入。 BJ_G3与R10之间宣告进Area 0;SH_G2与R12之间宣告进新进程的Area 0;在SH_G2上执行双向重分布,并且汇总路由;CD_G1与R12之间运行BGP协议;在CD_G1上做BGP与RIP的双向重分布，但就要aggregate；在CD_G1上执行汇总10.3.0.0/16。

四.广域网拓扑部分