企业网网络规划-V3 0

企业网网络规划
ISSUE 3.0- 肖春喜
www.huawei-3com.com.cn
网络规划其实很难 ......
一个合格的网络设计师需要具备如下条件：
• 精通 TCP/IP 协议族中数十个协议的原理 ......

• 精通 N 家厂商的 N 百种设备的性能和配置 ......
• 还要具备统筹学、经济学、哲学的基本思想 ......
• 丰富的实践经验和组织协调能力 ......
• 对网络中的新技术保持高度的敏感性 ......
• 胆大心细、临危不乱的良好心里素质 ......
......
......
网络规划其实很简单 ......
瞎说！根本没那么恐怖：
• 常用的协议不超过 10 个，了解大概就行 ......

• 主流厂商只有几家，相同厂家的产品配置相同 ......
• 很多网络的模型都十分相似，照猫画虎即可 ......
• 不就是画几个框框、圈几个圈圈、连几根线么 ............
网络规划其实很崇高 ......
当你进行网络规划时，你与
• 画“向日葵”的凡 . 高……
• 谱写“命运交响曲”的贝多芬……
• 唱“我的太阳”的帕瓦罗帝……
• 设计“鸟巢”的安德鲁……
没什么区别，因为你们都是——
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 设备板卡规划
 ip 地址规划
 设备命名规划
 局域网的规划
 广域网的规划
 IGP 路由协议规划
 BGP 路由协议规划
 组播的规划
 VPN 规划
 BGP/MPLS VPN 规划
 网络安全规划
 QOS 规划
 网管规划
贺岁大片——《网络帝国》
路由器（男主角）
 网络中最重要的设备，提供最丰富的接口连接、软件特性，也是构
建网络的核心力量。
以太网设备（ L2/L3/LAN 接入）（女主角）
 提供各种以太网接口类型的线速转发功能，是构建局域网和城域网
的核心力量。
路由交换设备（反串）
 提供 LAN 交换板的路由器；提供增强型引擎的交换机——路由器和
交换机的融合趋势越来越明显。
其他设备（配角）
 网管、安全、语音、存储、视讯设备，提供网络的管理或业务增值
功能。
二层或物理层交换设备（剧务）
 ATM 交换机、 FR 、 X.25 交换机、 DDN 节点机、传输设备。对各种物
理端口进行带宽或时隙的拆分。对于网络规划通常是不可见的。
常见网络设备
• 路由交换设备
• 路由器：
• 以太网交换机（ L2/L3/LAN ）：
• 路由交换设备：
常见网络设备（续）
• 二层或物理层交换设备（广域网连接）
• ATM 交换机、 FR 、 X.25 交换机、 DDN 节点机、传输设备
广域网
常见网络设备（续）
• 其他设备
• 网管、安全、语音、视讯设备
防火墙安全网关入侵检测系统 PBX 系统 CAMS
语音服务器语音网关 MCU 视频终端
网络中的设备
基于 CPU 的设备
 此类设备功能最强，由于所有的功能都由软件实现，几乎无所不能。
但转发性能方面差强人意。
基于 ASIC 的设备
 由固化的硬件芯片实现全线速的转发，但灵活性和升级能力很差。
通常只能实现基本的路由及转发功能，但对一些特殊的业务能力（ V
PN ， NAT ，策略路由）支持很弱。
基于 NP 的设备
 由微码级的可编程网络处理器实现全线速的转发。灵活性和升级能
力远远优于 ASIC ，但较基于 CPU 的设备还有一定的差距。
网络设备的分类
CPU
• 基于 CPU 的设备 CPU CPU CPU
接口
接口
接口
CPU
• 基于 ASIC 的设备接口 ASIC 交换网 ASIC 接口
接口 ASIC ASIC 接口
• 基于 NP 的设备 CPU
接口 NP 交换网 NP 接口
接口 NP NP 接口
网络的层次划分
核心层
 交换数据包，实现高速的数据流量运转，核心层的设备不但需要容量大
，转发快，而且需要具备高稳定性。但通常对业务的需求不高。
汇聚层
 隔离拓朴结构变化、控制路由表的大小及控制流量、端口的收敛。实现
丰富的业务特性。
接入层
 将终端用户接入到网络中，大量的端口，强大的接入能力。实现丰富的
业务特性。
几点说明
 在小型的网络中，层次不一定这么明显，很可能只有两个甚至一个层次
的设备。
 在一些大型网络中，层次可能划分的更细：例如，增加了边缘接入层、
和骨干核心层。
 在某个范围之内的核心层，在上一级网络中很可能只是汇聚层。
网络规划基本原则
可靠性原则
 从设备本身（电信级可靠性）和网络拓扑（无单点故障）两方面考虑。
可扩展性原则
 从设备性能（是否已达到满配），可升级的能力（是否可以通过平滑的
软硬件升级支持未来的新业务和新特性）和 IP 地址、路由协议规划等方
面考虑。
可运营性原则
 仅仅提供 IP 级别的连通是远远不够的。网络是否能够提供丰富的业务，
足够健壮的安全级别，对关键业务的 QOS 保证……搭建网络的目的是真
正能够给用户带来效益。
可管理原则
 提供灵活的网络管理平台，利用一个平台实现对系统中的各种类型设备
进行统一管理；提供网管对设备进行拓扑管理、配置备份、软件升级、
实时监控网络中的流量及异常情况。
网络规划流程图
设备选型
拓扑规划板卡规划
物理连通
路由规划 IP 地址规划
IP 连通
MPLS/VPN 规划 QOS 规划
策略路由高级路由协议规划
业务隔离及关键业务确保带宽及流量控制
网络安全部署网管规划
可运营可管理的安全网络
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
设备选型需要参考的因素
可靠性
 该设备是否提供关键模块（电源、主控板）的冗余备份，具备何种级别的可靠
性
转发性能
 通常做如下考虑：通过某设备的流量 < （该设备满配最大流量） /2 。
业务支持能力
 除了普通的 IP 路由功能外，是否需要该设备支持诸如（ NAT 、各种 VPN 、策
略路由）等业务属性。（ CPU 、 ASIC 、 NP ）
端口支持
 是否能够提供组网所需要的端口。
扩展能力
 是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力
支持。（ CPU 、 ASIC 、 NP ）
价格因素
 在综合考虑以上因素的基础上选择适当的设备。只选对的，不选贵的。
设备选型需要参考的因素
• 可靠性
• 转发性能
• 业务支持能力
• 端口支持
？
• 扩展能力
• 价格因素
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
网络拓扑层次设计
核心层
高速数据交换
汇聚层
路由汇聚及流量收敛
接入层
工作组接入和访问控制
网络设计分三层：核心层、汇聚层、接入层
网络中常用的拓扑结构
星形或双星形
 常见于下层网络与上层之间的拓扑结构，主要的网络流量都在分支节点与核心
节点之间发生，两个分支节点之间不通讯或流量很少。
网状或部分网状
 常见于同一层次（核心层或汇聚层）之间的设备互联，这些设备之间通常都是
对等通信，或者这些设备之间需要确保互联而增加很多的冗余链路。
混合组网
 在同一个网络中，不同的层次之间通常采用不同的拓扑结构，通常核心层或汇
聚层采用网状或部分网状相连，核心层与汇聚层或汇聚层与接入层之间采用星
形或双星形相连。
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
网络中常用的端口类型
高速端口（ 100M 以上）
 POS （ 155M 、 622M 、 2.5G ）
 ATM （ 155M 、 622M ）
 快速以太网（ 100MFE 、 GE 、 10GE ）
中速端口（ 10M——100M ）
 E3 （ 34.368M ）
 T3 （ 44.736M ）
 以太网（ 10M ）
低速端口（ 10M 以下）

 PSTN 异步拨号（ 56K ）
 ISDN 异步拨号（ 64K ）
 V24 同步 SA （ 64K ）
 V35 同步 SA （ 2M ）
 T1 （ 1.54M ）
 E1 （ 2M ）
 ADSL （ 2M － 8M ）
网络中常用的端口拆分及聚合
高速端口的拆分
 ATM 接口通过 ATM 交换机拆分，可以连接任意带宽的 ATM 接口。
 CPOS 接口通过传输设备拆分，可以连接不同带宽的 E1 接口。
 高速以太网通过 MSTP 传输设备拆分，可以连接任意带宽的以太网接口。
 E1 接口通过 DDN 节点机设备拆分，可以连接不同带宽的同步串口。
 优点是上层设备只需提供 M 个端口就可以连接 N 个下层设备（ M<<N ）。
低速端口的聚合
 N 个相同带宽为 M 的以太网接口可以聚合成一个 N X M 带宽的接口。
 N 个相同带宽为 M 的串口或 E1 接口可以聚合成一个 N X M 带宽的接口。
 优点是可以用低速的端口提供高速的带宽。聚合后的 N 个物理接口从逻辑上表
现为一个接口，只使用一个 IP 地址。聚合接口本身的聚合及备份由链路层协
议解决。
端口的拆分和聚合
• 高速端口的拆分
30M 2M E1
CPOS
155M ATM 2×2M E1
ATM 11M
…
…
2M N×2M E1
• 低速端口的聚合
Ethernet
网络中常用的端口互联方式
对等型互联
 互联的两台设备之间接口类型及带宽完全相同。
 例如： E1—E1 ； 100MFE—100MFE ；
 常用于同一层次之间的设备互联。
非对等型同质接口互联
 互联的两台设备之间的接口类型相同，但带宽不同。
 例如： ATM— （ ATM 交换机）— n×ATM 。
 例如： 1GE— （ MSTP 传输设备）— n×FE 。
 常用于上层设备的 1 个端口与 N 个下层设备之间互联。优点是上层设备只需提
供 M 个端口就可以连接 N 个下层设备（ M<<N ）。
非对等型异质接口互联
 互联的两台设备之间的接口类型不相同，而且带宽也不同。
 例如： CPOS— （传输设备）— n×E1 。
 例如： E1— （ DDN 节点机）— n×64K 。
 常用于上层设备的 1 个端口与 N 个下层设备之间互联。优点是上层设备只需提
供 M 个端口就可以连接 N 个下层设备（ M<<N ）。
互联方式
• 对等型互联
2M E1 2M E1
• 非对等型同质接口互联
100M Ethernet
1000M Ethernet 100M Ethernet
MSTP
…
• 非对等型异质接口互联
100M Ethernet
2M E1
CPOS
2M E1
…
2M E1
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
网络中常用的备份原则
基本的备份原则
 备份花费的代价 <= 设备故障带来的损失；
 通常只考虑 N ＋ 1 备份，即：关键的设备、链路、模块中任何一个出现故障，
不会影响整网运行。
 备份通常从拓扑、设备自身、协议等几方面考虑。
 备份不仅仅要从逻辑的角度考虑，更需要从物理的角度考虑问题。
接入层备份思路
 通常选择不具备关键模块冗余功能的设备。
 通常不考虑双机备份或者仅提供双链路级别上行的备份。
汇聚层备份思路
 通常选择具备关键模块冗余功能的设备。
 通常考虑双机备份，上行通常提供双链路级别的备份，并且汇聚层设备之间考
虑环行连接。
核心层备份思路
 通常选择具备电信级可靠性的设备。
 在拓扑上考虑核心层设备之间网状或部分网状连接。
对称性备份与非对称性备份
对称性备份
 对称方案中主备两种方案所提供的带宽是相等的。备份设备或者备份链路同时
也参与运营。需要考虑的是由于等值路由造成的报文路径不同，会导致的上层
协议报文重组需要部分等待时间，从而造成效率下降的问题。解决的方案是尽
量选择等值路由情况下逐流转发的设备而非逐包转发的设备。
非对称性备份
 非对称方案中备份链路提供较小或相等的带宽，只有在主用链路故障时备份链
路才会生效。
 如果希望备份链路或备份设备也投入运行，可以通过策略路由或路由协议的规
划使备份链路运行特定的部分业务流量。
备份的基本方式－－链路备份
• 对称性备份
• 非对称性备份
针对主机的备份技术—— VRRP
监控上行端口监控上行端口
接口 10.0.0.2 接口 10.0.0.3 接口 10.0.0.2 接口 10.0.0.3
虚拟地址 :10.0.0.1
虚拟地址 :10.0.0.1 虚拟 MAC:00005eXXXX01
虚拟 MAC:00005eXXXX01
路由器之间的 VRRP 三层交换机之间的 VRRP

 两台路由器通过一台二层交换机交  两台 L3 通过一条互联的 trunk 接口
换 VRRP 报文信息，并向下提供虚交换 VRRP 报文信息。
拟 IP 及 MAC 地址。  主用的 L3 同时监控上行接口，上行
 主用的路由器同时监控上行接口，链路故障或设备故障时会自动切换
上行链路故障或设备故障时会自动。
切换。  主机通常具备双机热备份机制，同
时上连两台 L3 。
针对网络设备的备份技术
链路层的备份
 PPP 协议中的 MP 可以自动做到捆绑的 N 条链路之间的自动备份，流量的自动分
配，故障时的自动切换。
 以太网的聚合技术—— 802.3ad ，可以自动做到捆绑的 N 条链路之间的自动备
份，流量的自动分配，故障时的自动切换。
IP 层的备份
 IP 层的备份原理实际上是利用路由表添加路由的规则来实现的：对于到达相同
目的地的路由，路由器只使用最优的一条。如果最优的路由消失，则依据相同
的规则选择原来的次优路由。
 静态路由之间使用优先级不同来控制优劣。
 不同的动态路由协议之间使用优先级来控制优劣。
 同一协议内部使用不同的花费值来控制优劣。
局域网内整机备份技术
 IRF 通过增加设备来扩展端口数量和交换能力，同时也通过多台设备之间的互
相备份增强了设备的可靠性，可以提供基于三层的链路、转发、管理、路由
备份。
特定技术整机备份
• IRF 综合弹性结构 (integrated resilient frame)
RIP OSPF
备份
信息 Master Unit
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
设备板卡规划
设备的板卡布局也需要规划？当然！原则是：
 不要把所有的鸡蛋放在同一个篮子里；如果有 M 个鸡蛋和 N 个篮
子，尽量把 M 个鸡蛋平均放在 N 个篮子里。使得当失去一个篮子
时损失的鸡蛋数量 <=[M/N] 向上取整。
MPLS 骨干网
 当某台设备上同时存在高速及低速接口时，板卡布局时要充分考
虑到设备的性能。
已知：某 NE16E 配置了两块 PO

S 卡；两块 8E1 卡；两块 VI
U 板；它的实际连接情况如图
所示。请画出它的最佳面板
布局图。
155MPOS
2XE1
设备板卡规划
POS155M POS155M POS155M
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
R R POS155M R R
S S S S
U U A U U A
2xE1 H H 2xE1 2xE1 H H
L L
A A 2xE1 A A
U U
U U
U U
电源电源电源电源电源电源
最佳方案最差方案
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
IP 地址规划的重要性
 IP 地址的合理规划是网络设计中的重要一环，大型网络必须
对 IP 地址进行统一规划并得到实施。 IP 地址规划的好坏，
影响到网络路由协议算法的效率，影响到网络的性能，影响
到网络的扩展，影响到网络的管理，也必将直接影响到网络
应用的进一步发展。
 如果要看一个网络的规划质量、如果要看一个网络设计师的
技术水准，直接看他的 IP 地址规划好了。
IP 地址规划是一项艺术创造！
IP 地址规划的基本原则
唯一性：
 一个 IP 网络中不能有两个主机采用相同的 IP 地址。即使使用了支持地址
重叠的 MPLS/VPN 技术，也尽量不要规划为相同的地址。
连续性
 连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路
由算法的效率。
扩展性
 地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合
所需的连续性。
实意性
 “ 望址生义”，好的 IP 地址规划使每个地址具有实际含义，看到一个地址
就可以大至判断出该地址所属的设备。这是 IP 地址规划中最具技巧型和艺
术性的部分。最完美的方式是得出一个 IP 地址公式，以及一些参数及系数
，通过计算得出每一个需要用到的 IP 地址。
IP 地址的分类－－ loopback 地址
loopback 地址概述
 为了方便管理，会为每一台路由器创建一个 loopback 接口，并在
该接口上单独指定一个 IP 地址作为管理地址，管理员会使用该地
址对路由器远程登录（ telnet ），该地址实际上起到了类似设备名
称一类的功能。同时各种上层协议需要使用 TCP 或 UDP 来建立连接时
也需要使用该地址作为源地址。
loopback 地址规划技巧
 务必使用 32 位掩码的地址。
 最后一位是奇数的表示路由器，是偶数的表示交换机。
 越是核心的设备， loopback 地址越小。
为什么核心设备要使用较小的 loopback 地址 ?
IP 地址的分类－－互联地址
互联地址概述
 互联地址是指两台网络设备相互连接的接口所需要的地址。
互联地址规划技巧
 务必使用 30 位掩码的地址。
 核心设备，使用较小的一个地址（即： loopback 地址较小的设备使
用互联地址中较小的一个）。
 互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚
合地址。
IP 地址的分类－－业务地址
业务地址概述
 业务地址是连接在以太网上的各种服务器、主机所使用的地址以及
网关的地址。
业务地址规划技巧
 所有的网关地址统一使用相同的末位数字，如： .254 都是表示网关
。
IP 地址规划实例
 已知某省电力调度网情况如下：
 网络分为中调（核心层）、地调（汇聚层）、厂站（接入层）
三级。
 全网使用 MPLS/VPN 技术，共划分 4 个 VPN 。
 全网共分配 2 个 B 类地址： 10.21.X.X——10.22.X.X 。
 每台中调和地调路由器下面有两台 3 层交换机。每台厂站路由
器下面有两台二层交换机。
组网图
DS
YS YL YEL STA JL MD HZ DF DC LB
LB PL
LZ 地调 GL 地调
CW
LX
HC 地调 TX
CH 某省电力调度中心
FCG 地调 WZ 地调
DZ
SH
主路由器
XZ SB
QZ 地调 YL 地调
备路由器 DA
SP
GG 地调
MT PP
NN 地调
JM BH 地调 YL
XX CW
CP
LW
SX LC STI WY LD NN CK PY BB TB
PG
TH
确定地址块的划分原则
• 确定有哪几类地址要规划：
– 核心层需要规划的地址
– 汇聚层需要规划的地址
– 接入层需要规划的地址
• 确定地址块划分的总体原则
– 先纵向划分，再横向划分。即：按照业务先将地址划分为公网、
VPN1——VPN4 共 5 大块。然后再按照地域在每一个地址块中
为每一个地市划分一个地址块。
– 先横向划分，再纵向划分。即：按照地域将地址划分为多块（每
个地市一个地址块）。然后再按照业务将每个地市的地址块划分
为：公网、 VPN1——VPN4 共 5 块。
哪一种方案更合理，为什么？
公网及私网地址的规划
• 公网地址的划分原则：
– 以地域或设备为划分一个大的地址块的单位。
– 对于同时属于上下两级设备的地址归属
– 为了便于记忆，所有地址块内部的划分原则上都是相同的。
• 私网地址的划分原则：
– 总体地址块的划分：
– PE 与 CE 之间的互联地址划分：
– VPN 内业务地址划分：
IP 地址的分类－－ XX 省电力调度网
公网地址划分
 以核心设备（中调及地调）为标志划分 N 个地址块，每个地址块共
占用 1 个 C ，内部划分为 5 块：
1. 本设备的 loopback 地址，及与本设备相连的交换机的 loopback 地址。（ 1
－ 11 ）
2. 与本设备互联的交换机的互联地址。（ 12 － 55 ）
3. 与本设备互联的下级设备的互联地址。（ 56 － 140 ）
4. 对于地调，下级设备（厂站）的 loopback 地址。（ 141 － 180 ）
5. 对于地调，下级设备（厂站）与交换机之间的互联地址。（ 180 － 212 ）
6. 213 － 255 ，保留。
 所有地调的划分完全相同，每块地址块的大小取所有的地调中需求
最多的，并且充分考虑到扩展性。每个地调的所使用的地址段相隔 4
个 C 类地址（相隔 4 个是为了与后面 VPN 的地址规划相同）。并且
该地调地址的第 3 个 8 位与该地调所属的 OSPF 区域也相同。
IP 地址的分类－－ XX 省电力调度网
VPN 地址的划分
 将一个 B 类地址平均分为 4 块， VPNn 的起始地址为：
10.91.An.X ，其中 An ＝（ n-1 ） *64+1 。下面以 VPN1 为例，其
他 3 个 VPN 的地址在此基础上＋（ n-1 ） *64 ：
 PE 与 CE 之间的互联地址划分：
1. 使用每个 VPN 范围内的最后一个 C 类地址，作为第三个 8 位。
 VPN 内业务地址划分：
1. 每个 VPN 的业务网段划分 /26 掩码的地址；
2. 每个地调的业务网段的第一个 VPN 的起始位（第三个 8 位）与该地调的公
网地址的第三个 8 位相同。其他 3 个 VPN 第三个 8 位在第一个 VPN 的基础
上＋（ n-1 ） *64 ；
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
设备命名规范— sysname 规划
为了保证以后的管理方便，通常需要为设备统一命名。
可以采用以下命名方法： AA-B-YYYY-X
 AA ：表示该设备所属的级别和名称，通常的规则是取汉字拼音的首字母缩写。
例如： NN- 南宁；也可以灵活运用大小写字母及增加后缀来表示不同级别的
设备。 ShaTB- 沙田
 B ：表示设备的厂商名称，本次工程使用华为 3Com 公司产品，则： B 为 H3
 YYYY ：表示设备型号，如 NE16E 、 S6503 等。
 X ：表示如果前三项相同的设备，用字母编号 A 、 B 标识。
设备命名规范—接口 description 规
划
为了准确表明每个接口对端的连接保证以及带宽，需要为每一个使用的接
口配置 description 描述信息。
 通常采用以下命名方法： to 对端设备名带宽，其中对端设备名使用

前一节讲到的 sysname 规划方法。
例子： description to ZD-H3-NE16E-2 8M

表示：该端口对端设备中心备用 NE16E 路由器，带宽为 8M 。
设备命名规范—接口命名
除了设备固定的接口之外，我们常常会手工创建一些接口，例如： MP 接
口，以太网子接口， VLAN 接口等。对这些接口后面分配的数字应该尽量
包含实际的意义。
 mp － group A/B/C ，接口的 A 表示槽位， B 表示卡位，是固定的， C 可以设
置为能够包含对端设备信息的数字，例如对端设备 loopback 接口地址中明确
区分自身信息的一位，或者是对端设备所属的 OSPF 区域号等等信息。
 以太网子接口务必要将子接口数字与 VLAN 信息保持一致。
 VLAN 接口的数字要全局统一规划，例如：使用 100 、 200 表示 VPN 的 VLAN ，
使用 1000 表示网管的 VLAN 等。
目录
目录 Table of Contents
网络概述
设备选型
拓扑选择
端口选择
备份方案
设备板卡规划
ip 地址规划
设备命名规划
局域网的规划
广域网的规划
IGP 路由协议规划
BGP 路由协议规划
组播的规划
VPN 规划
BGP/MPLS VPN 规划
网络安全规划
QOS 规划
网管规划
局域网络的拓扑选择
• 常见的局域网络拓扑结构
– 网状或部分网状、环型拓扑、星型
拓扑
环型
（部分）网状
星型
局域网络的拓扑选择（续）
• 局域网络拓扑结构的灵活组合
核心网状结构 / 边缘星型接入双星型拓扑结构
RSTP/STP 规划设计原则
• 配置核心的设备为 STP/RSTP 的根桥，并指定另一核心的设备为备

份根桥。
• 全网的设备使用相同 Path Cost 标准。 (802.1D,802.1T,legacy)
• RSTP 以其快速收敛的特性以及与 STP 良好的兼容性完全取代了 ST

P 。对于支持 RSTP 的设备，一般情况下我们不考虑运行 STP 。
RSTP/STP 规划设计原则（续）
• 对于支持 RSTP 的设备和仅支持 STP 的设备混用时， RSTP 的设备

尽量配置在网络的中心，而 STP 的设备尽量配置在网络的边缘。
• 对于直接连接主机或服务器的数据终端设备的交换机端口应配置
为边缘端口，并使能 BPDU-Protection 。
• Trunk 链路应包括所有配置的 VLAN(GVRP) 。
RSTP/STP 规划设计原则（续）
端口配置为边缘端口端口配置 STP Disable

启动 BPDU-Protection
这两种方式有何不同？？？
MSTP 规划设计原则
• 多生成树一定要运行在一个域内。
• 域和域之间的生成树为单生成树，不能实现负载均担。
• 同一域内的交换机的域名， VLAN 和 STP 实例的对应关系一定要保持

一致。
• 不支持 MSTP 的交换机一定要放在域外。
• 域内不同生成树的树根设置要与相应业务流量重心保持一致。
VLAN ID 的规划原则
• VLAN 1 一般予以保留，不分配给业务 VLAN 使用。
• VLAN ID 的预分配应成段分配。
• 如果 VLAN ID 足够用，尽量分配 1024 以下的 VLAN ID 。
• 为每一个 VLAN 规划 VLAN 描述符。描述符的配置规范化。
VLAN 的技术划分原则
• 基于端口的 VLAN 划分
• 基于协议的 VLAN 划分
• 基于 IP 子网的 VLAN 划分
• 基于 MAC 地址划分
• 基于组和策略划分
VLAN 规划的限制
• VLAN 总数不超过 4096
• 解决方式： QinQ,Isolate-user-VLAN ， No VLAN
• 每个 VLAN 的主机数建议不超过 64 个
• 解决方式：划分多个 VLAN
• VLAN 划分越多，就会占用更多地 IP 地址
• 解决方式： Super-VLAN
VRRP 相关的设计考虑
• 虚拟网关的可探测性
• VRRP PING enable
• VRRP 的负载分担
• 不同的 VRRP 组设置不同的 Master
• VRRP 的稳定性设计
• 抢占方式及延时设置
VRRP 相关的设计考虑
• 安全性设计监控上行端口
• VRRP 的可靠性
• 监控指定端口。接口地址：接口地址：

192.168.0.1/24 192.168.0.2/24
• VRRP 的优先级设计
• 通常要满足 :
• Priority(master)>Priority(b
ackup)>Priority(master ） -
虚拟网关 IP 地址： 192.168.0.254/24
Priority(reduced) 虚拟网关 MAC 地址： 00-00-5E-00-01-VRID
DHCP 相关的设计考虑
• 固定 IP 地址段与动态分配 IP 地址段保持连续。
• 动态分配 IP 地址的租约一般定为 2-4 小时。
• DHCP 需跨网段获得 IP 地址时，启动 DHCP-RELAY 功能。
• 禁止在同一网络上放置两台 DHCP 服务器。
• 启动 DHCP 安全功能，禁止未通过 DHCP 获得的 IP 地址上网。
链路聚合相关的设计考虑
• 在进行多个链路聚合设计时先要查询设备对联路聚合的支持规
格。
• 对于支持跨单板链路聚合的设备尽量配置跨单板链路聚合。
• 使用 LACP 自动聚合，要先将端口的参数配置成一致。
交换机堆叠 /IRF 的设计考虑
• 堆叠之前应先了解设备的规格，确定最大的堆叠设备数或最大的
堆叠端口数。
• 堆叠 /IRF 设备的版本，配置必须相同。
• IRF 设备堆叠端口相连时一定是 UP 端口和另一台设备的 DOWN 端

口相连。
• 为增加可靠性，尽量使用环形堆叠，不要使用链形堆叠。
交换机堆叠 /IRF 的设计考虑
• 建议使用手工对设备编号，确定堆叠的 Master 交换机，不

要使用自动编号功能。
• IRF 堆叠设备与其它设备互联使用链路聚合时，尽量使用跨设
备聚合。
• IRF 堆叠设备及与其相联的设备在使用跨设备聚合时，一定使
用 LACP 作自动聚合。
目录
目录 Table of Contents
网络概述
设备选型
拓扑选择
端口选择
备份方案
设备板卡规划
ip 地址规划
设备命名规划
局域网的规划
广域网的规划
IGP 路由协议规划
BGP 路由协议规划
组播的规划
VPN 规划
BGP/MPLS VPN 规划
网络安全规划
QOS 规划
网管规划
PPP 部署原则
PPP
• 互连的设备之间需要互相验证，应该使用 PPP
• 不同厂商设备互连环境下， PPP 是很好的选择
• 拨号链路上， PPP 是唯一选择
• 除 ATM 、以太网等链路特性已定的接口外，其他的接
口几乎都支持 PPP 协议
• 在点到点的组网中， PPP 是最佳选择
PPP 验证方式选择
CHAP
PAP
• PAP 验证
• CHAP 验证
• 在大多数场合下，我们应该使用 CHAP 验证
MP 捆绑的使用
MP
• 2 台设备之间通过多条线路互连，可以使用 MP 捆绑
– 每条线路都使用 PPP 封装
– 多条 PPP 链路绑成一个 MP 组
• MP 捆绑有 2 种方式
– Virtual Template
– MP Group
PPP 与路由协议
RIP
PPP OSPF
IS-IS
BGP
• PPP 是所有路由协议都支持的基本链路类型
• 在 OSPF 路由中， PPP 链路的网络类型为点到点
帧中继部署原则
SPOKE
HUB Frame Relay
SPOKE
• 广域连接带宽低于 2M
• 在点到多点的组网环境中
• 中心 ATM 、分支 FR 的混合组网
• 用户线路投资费用有限的情况下
LMI 、封装格式的选择
• LMI 标准
– ANSI T1.617 （推荐）
– ITU-T Q933 Annex A
– Cisco 兼容
• 封装格式
– IETF （推荐）
– Q922 Annex A
– Cisco
帧中继与路由协议
• 帧中继点到点子接口
提供一条点到点的链路，对路由协议没有特殊要求
–
• 帧中继点到多点子接口
在 OSPF 中，有 2 种运行模式， P2MP 和 NBMA

–
在 RIP 中，涉及到水平分割
–
ATM 部署原则
SPOKE
HUB ATM
SPOKE
• 高带宽广域网连接，一般为 2M 以上
• HUB SPOKE 的组网中
• 中心 ATM 、分支 FR 的混合组网
• 稳定的线路带宽保证
• 视频、语音、数据的综合传输
• 线路租借费用较高，适用于高可靠性的广域互连
ATM 业务分类
• ATM 适配层
– AAL1 、 AAL2 、 AAL3 、 AAL4 、 AAL5
• ATM 业务分类管理面
控制面用户面
– CBR 、 UBR 、 VBR 、 ABR 高层协议高层协议
面管理
层管理
ATM 适配层
ATM 层
物理层
常见 ATM 上层封装组合
APP
APP TCP/ UDP
APP TCP/ UDP IP
TCP/ UDP IP PPP
IP PPP Ethernet
AAL5SNAP AAL5SNAP AAL5SNAP
ATM ATM ATM
PHY PHY PHY
• IP over ATM
• PPP over ATM
• PPP over Ethernet over ATM

拨号部署原则
ATM 主线路
备份线路
PSTN
• 低速连接，小型分支的接入移动用户
• 主链路的备份线路
• 移动用户远程接入
• 远程网络管理、诊断
拨号线路的选择
> =512K
128K
56K
PSTN ISDN ADSL
• PSTN
• ISDN
• ADSL
拨号与路由
OSPF 动态路由
ATM
PSTN
浮动静态
• 浮动静态路由
• OSPF
NAT 部署原则
• 一般应用于网络的出口处
• 企业网内部使用私网地址，需要访问 Interne
t
• 基于安全性考虑， 2 个网络之间不能直接互
访
NAT 实现方式
Network A NAT Network B
• 静态 NAT
• 基于 IP 的动态 NAT
• 基于端口的动态 NAT
• 非 TCP 、 UDP 协议的端口转换，如 L2TP
单向 NAT 部署
LAN NAT
Internet
• 企业网需要访问 Internet
• 企业内部使用私有地址
• 企业网只拥有少量公网地址
双向 NAT 部署
LAN A NAT LAN B
• 企业网内部有 2 种业务，有各自的 IP 规划
• 2 种业务的路由完全独立，不作路由再发布
• 2 种业务之间有一些互访需求
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
路由协议的规划——路由协议的选择
公欲善其事，必先利其器，不能让网络规划输在起跑线上！
 RIP—— 最古老的路由协议，特点：性能低下，只适合在小型的网络中
使用。
 IGRP—— 在 RIP 的基础上稍加改进，拥有 RIP 所有的缺点。
 EIGRP—— 性能不错，但却是 cisco 的私有协议，互通性不好。而且容
易引起法律纠纷。
 IS-IS——ISO 与 IETF 帮派斗争的产物，本来是为 OSI 七层模型设计，
后来强行移植到 IP 上。
 OSPF—— 是因特网上使用最为广范的 IGP ，强力推荐。
 BGP—— 是目前因特网上唯一的一种 EGP 协议。
静态路由设计原则
• 静态缺省路由的设计原则
Route 10.0.0.0 255.0.0.0 100.1.1.1
100.1.1.254/24
Internet
100.1.1.1/24
Route 0.0.0.0 0.0.0.0 100.1.1.254
10.0.0.0/8
• 静态黑洞路由的设计
10.1.1.0/24
Intranet
R2:192.168.1.1/30
10.1.2.0/24
Route 10.1.0.0 255.255.0.0 192.168.1.2
10.1.3.0/24 R1:192.168.1.2/30
10.1.4.0/24 Route 10.0.0.0 255.0.0.0 192.168.1.1

Route 10.1.0.0 255.255.252.0 null 0
 静态路由的备份与负载分担方式
 ip route-static 11.1.1.0 255.255.255.0 11.2.2.1 preference ?
 ip route-static 11.1.1.0 255.255.255.0 11.3.2.1 preference ?
11.2.2.1/24 R2
11.1.1.0/2
4
11.3.2.1/24 R3 R4
R1
RIP 路由设计原则
• RIP 适合于带宽类型单一，节点数较少，较稳定的网络。
 RIP 以跳数来定义距离
 RIP 有 15 跳限制
 定期广播整个路由表
 RIP 收敛速度慢
RIP 路由设计原则
• RIPv2 在 RIPv1 上改进，并兼容 RIPv1 。
 RIPv2 更新报文中携带子网掩码，可以支持 VLSM 。
 RIPv2 支持多播路由更新，减少网络消耗。
 RIPv2 支持明文和 MD5 方式协议报文验证，增强了协议的安全
性。
• RIPv2 的改进对于路由协议来说都是必要的。如果建设一个 RIP 的
小型网络，推荐使用 RIPv2 。
NBMA 网络中 RIP 协议设计
10.1.0.0/16
禁用 Split-horizon R1:11.2.2.1/24
R2:11.2.2.2/24 X.25/FR R3:11.2.2.3/24
10.2.0.0/16 10.3.0.0/16
RIP 协议的自动聚合
R3
10.0.0.0 10.3.0.0/16
???
R1
10.2.0.0/16
R2
10.1.0.0/16
禁用 RIP 自动聚合
10.4.0.0/16
RIP 协议的安全设计
RIP 网络
网络类型一
网络类型二网络类型三
OSPF 规划
router id 的规划
 直接使用该设备的管理地址（ loopback ）作为 router id ，并且要确
保该数字与 ldp 的 lsr id 相同。
区域划分
 区域划分是 OSPF 规划中最核心也是最复杂的部分。
 OSPF 的区域划分是与网络层次密切相关的，通常核心层与汇聚层规划
为区域 0 ，汇聚层的设备规划为 ABR ，汇聚层与接入层之间规划为非骨
干区域，非骨干区域尽量规划为 NSSA 区域。
 每个区域中的设备数量最好不要超过 30 台，这个数字不是绝对的，主
要与设备性能，链路的稳定性密切相关。
 非骨干区域的规划可以与网络中实际的行政，地域划分相吻合。
路由聚合规划
 在 ABR 上通常需要对非骨干区域的路由聚合后发布到骨干区域。同理：
骨干区域的路由也通常需要聚合后再发布到非骨干区域。
 在 ASBR 上可以对所有本地引入的路由聚合后再发布。
 聚合的地址范围是链路地址、业务地址，但通常不对 loopback 地址进
行聚合。
OSPF 规划——区域规划中的疑难杂症
如果 OSPF 的骨干区域中设备很多怎么办？
 例如：某企业网的全国性项目中每个省提供两台设备做核心层，下面还
有市、县级网络。这样 area0 中的设备数量会超过 60 台。
 此时该网络的规模已经超过了 OSPF 所能承受的极限，建议每个省规划
为一个 OSPF 自治系统，不同的省之间通过运行 BGP 协议交换路由信息
。
如果 OSPF 的非骨干区域中设备很多怎么办？
 例如：某银行的一个地市被规划为一个非骨干区域，但其中有 70 余台
中低端设备。
 建议将该地址划分为 3-4 个非骨干区域，但每个区域内的互联地址和业
务地址最好能够对应一个连续的可聚合的地址段。
如果网络中的设备是 4 级结构怎么办？
 例如：某省银行全省共划分为省行、市行、县行及营业网点 4 级结构。
 由于 OSPF 协议只支持 2 层区域结构。省行与市行规划为骨干区域，每
个市行连同下辖的所有县规划为一个非骨干区域。则县与营业网点之间
可以运行静态路由。或者再运行另外一套路由协议，推荐使用 OSPF 多
进程。
OSPF 规划—— COST 及路由引入规
划
OSPF 的 COST 规划
 为确保路由器选择最优路径，需要统一 OSPF 路由尺度（ cost ）的计算。通
常的做法是：取网络中带宽的最大值为度量值 1 ，其他类型的接口按与最大
带宽的比例计算。例如：网络中最大带宽为 GE 。
接口类型 cost
GE 1
155M POS 7
100M FE 10
10M ETHERNET 100
N×E1 500/N
Loopback 接口的 COST 值通常取 1 。
OSPF 的路由引入规划
 OSPF 可以引入直连、静态以及其他路由协议的路由。
 对于直连路由，如果条件允许，尽量使用 network 命令当作区域内路由发布
，避免引入操作。
 对于静态和其他路由协议，引入时可以统一 COST 及路由类型，例如： cost
为 1000 ， type 为 1 。
 如果引入 BGP 路由，需要考虑路由表的规模，也可以使用缺省路由来避免引
入。
OSPF 规划—— Stub 区域
Area 0 Area 0
No LSA5 No LSA5
Stub Area Not So Stub Area

RIP BGP
No External Route Update External Route Update
OSPF 规划—— NSSA 区域
OSPF 的 NSSA 区域是一种特殊的非骨干区域，由于具备一些特殊的属性
而在实际的网络网络规划中经常使用。
 当一个非骨干区域中不希望接收大量的自治系统外路由时，可以将其配置为
STUB 属性，但由于 STUB 中苛刻的要求所有的设备都不能引入任何外部路由
，导致其几乎无法使用。而 NSSA 无此限制，所以可以放心使用。
使用 NSSA 区域的另外一个优点：
 对于 Type5 类的 LSA ，由于 OSPF 只能在 ASBR 处将路由聚合，发布之后就没
有再次聚合的机会了。而 NSSA 在 ABR 处将 Type7 转成 Type5 时可以再一次
进行聚合操作，实际上又多了一次宝贵的聚合机会。
使用 NSSA 区域的局限性：
 由于协议规定，当一个 NSSA 区域中存在两个 ABR 时，只能由其中的一台
（ router id 大的）进行 type7 到 type5 的转换操作。所以在实际使用中会
受到一定的限制。
OSPF 规划——路由的过滤
OSPF 由于受到链路状态算法的限制，对于路由的过滤会受到很多的限制。
 通常任何一台设备都没有权利更改或删除非自己生成的 LSA 。所以每台设备上配
置的路由过滤只会影响到自身路由表的生成，而不会更改 LSA 。所以，如果要全
网或者大部分路由器需要过滤某条路由，只能逐台配置过滤。
OSPF 留下的一个 backdoor
 事实上并没有这么悲观， OSPF 在区域边界处留下了一个后门。聚合的命令后面
有一个 notadvertise 参数，如果需要过滤某条路由，可以将该条路由配置成聚
合命令（并非真正聚合，网段与掩码完全相同即可），后面加上 notadvertise
参数即可做到过滤。对于 type5 类的路由，可以在 NSSA 的 ABR 处用同样的方法
过滤。
 以上的过滤方法只是针对区域间而言，在区域内无效，还只能使用逐台过滤的方
法。
OSPF 规划——双塔奇兵
OSPF 如果某个区域存在两个 ABR ，并且

area0 在两个 ABR 上都对 area n 内的路由做了聚
loopback0 合操作。
 loopback0 应该属于 area0 还是 area n ？
 如果骨干区域被分割有何后果？
 如果非骨干区域 n 被分割有何后果？
area n
 图中的红线应该属于 area0 还是 area n ？
OSPF 规划——犬牙交错
area0
area 2
area 1 area 3
有时接入层的设备会以乱序的方式与汇聚层进行连接。 OSPF 的区域该如何划分？

 如果所有的汇聚层和接入层都划为一个区域，则会太大。
 如果选择两台汇聚层设备加上所有同时与他们相连的接入层设备划分为一个 a
rea 则会导致区域太多，并且没有规律。并且对 IP 地址规划十分不利。
 建议按照每台汇聚层设备与之相连的所有链路接口划分为一个区域。
这样对于接入层设备两条上联链路分别属于 area1 和 area2

，那么它的 loopback 接口和业务接口属于哪个区域呢？
单边界路由再发布
ASBR
OSPF 100 OSPF 200
• 网络中存在两个路由系统
• 两个路由系统之间通过一台边界路由器互连
• 在边界路由器上启用路由再发布，导通两个路
由系统
多边界路由再发布
ASBR-1
OSPF 100 OSPF 200
ASBR-2
• 网络中存在两个路由系统
• 两个路由系统之间通过两台边界路由器互连
• 在所有边界路由器上启用路由再发布，导通两
个路由系统
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
何时使用 BGP
• 网络过于庞大， IGP 路由难以胜任
• 网络中的路由需要进行大量的路由策略进行分流和过滤
• 网络中需要部署 MPLS VPN
何种设备使用 BGP
• BGP 路由协议本身并不消耗设备资源，是路由本身消耗设备资
源
• 路由条目较多，且相邻体较多时，对设备性能要求比较高
• 规划得当，任何设备都可轻松运行 BGP 路由协议
BGP Router ID 的规划
• BGP 的 Router ID 建议使用设备的 Loopback 接口，作为唯一

标识。
• 核心设备或主要路由发布的网络设备选用较小的 Router ID
AS number 的规划
• 如果不与 Internet 互连，建议使用私有 AS 号
• 使用范围从 65400-65535
• 多个 AS 时，采用自然连续编号
相邻体的规划
• 采用 IBGP 还是 EBGP 由网络规模和控制策略决定
• IBGP 邻居采用 Loopback 接口建立邻接关系
• EBGP 邻居采用互连接口建立邻接关系
• IGP 保证建立邻接关系的接口地址可达
BGP 路由的发布
• BGP 本身没有严格的路由发现功能，它的路由发布依赖于本
路由表中的 IGP 路由
• BGP 路由的发布可采用静态注入路由表
network X.X.X.X mask 255.X.X.X
• BGP 路由的发布采用动态引入其它路由协议的路由
import other igp protocal
• BGP 路由的发布也可采用配置黑洞路由，静态或动态引入 BGP

路由表的方式
BGP 规划——路由反射器
如果图中的核心层设
备性能足够健壮
，规划为两级 R
R 和规划为一级
RR 有什么区别
吗？哪一种方案
更好？
由于在一个 AS 内部，要求所有的 IBGP 邻居必须全部建立邻居关系，会导

致 N 平方问题，所以经常会遇到路由反射器的规划。
 由于路由反射器支持嵌套，所以可以严格按照网络的层次来划分路由反射器。
核心层是第一级的 RR ，汇聚层是核心层的 client ，同时也是接入层的 RR 。
 互为备份关系的相同一级的 RR 可以规划为同一个 cluster ，配置相同的 clus
ter id 。
BGP 规划——灵活使用 MED 以及 LP 属性控制业务分
流
IBGP
业务名称业务网段主用线路备用线路 1 备用线路 2
R G
EBGP B EBGP
( 生产 ) 人民币 192.10.10.0/24 LineR LineB LineG
(OA) 办公 192.10.20.0/24 LineG LineB /
(OA) 视频 192.10.30.0/24 LineB LineG /
OSPF
已知某银行在市行与省行之间共有 3 条线路，并且希望不同的业务使用不同的链
路，并且需要相互备份。
 通过建立三个 EBGP 邻居，在 3 条链路上发送不同的路由，并携带不同的优先级。
 发送路由时使用 MED 属性，接收路由时使用 LocalPreference 属性。
 由于人民币业务独享 RED 线路，所以在 RED 邻居发送和接收路由时只包含人民币业务。
线路名称发送的业务网段（ MED ）接收的业务网段（ LocalPreference ）
RED 人民币（ 5 ）人民币（ 15 ）
BLUE 人民币（ 10 ）办公（ 10 ）视频（ 5 ）人民币（ 10 ）办公（ 5 ）视频（ 10 ）
GREEN 人民币（ 15 ）办公（ 5 ）视频（ 10 ）人民币（ 5 ）办公（ 10 ）视频（ 5 ）
BGP 规划——灵活使用团体属性 & 与 IGP 协同操
作
集团公司出口节点已知某大型石油集团公司新
成立股份公司，全国共划分 5
个大区，每个大区下辖多个
地区公司，全国共计 80 余个
地区公司。每个地区公司都
有一个较大的局域网。全网
共计 2000 余台 3 层设备。该
股份公司出口节点股份公司还需要同集团公司
之间进行通讯，需要在多条
链路上实现针对不同流量的
负载分担。
大区公司出口节点
地区公司出口节点
BGP 规划——灵活使用团体属性 & 与 IGP 协同操作
 每个地区公司及大区公司自己内部的
局域网都独立运行 OSPF 协议；
 所有的地区及大区公司的出口路由器
组成骨干网，运行 OSPF( 多进程 ) ＋
EBGP IBGP ；
 骨干网的 OSPF 只负责所有骨干设备的
OSPF OSPF
链路地址以及 loopback 地址的学习；
 所有的业务地址由 BGP 负责发布，使
用 netwrok 命令＋下一跳指向 null0
接口的静态路由进行聚合后的发布。
 在发布路由时，为每个地区公司以及
大区配置不同的团体属性值，在 EBGP
OSPF OSPF OSPF
出口时根据团体属性控制带宽及报文
的流向。
OSPF+IBGP  方便日后向 MPLS/VPN 平滑过渡
OSPF OSPF OSPF OSPF OSPF OSPF
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
组播组件构成
PIM SM
MSDP IGMP V2
IGMP Snooping
• 端主机系统
– IGMP v1 、 v2 、 v3 • 路由器
• 交换机 – PIM DM 、 SM
– IGMP Snooping
组播 IP 地址选择
• 保留组播地址
–224.0.0.0 – 224.255.255.255 （协议使用）
–239.0.0.0 – 239.255.255.255 （管理地址）
• 尽量避免组播 MAC 地址冲突
–<1110> <5bit> <23bit> ，最后的 23bit 决定了组播 MAC

地址。
• 动态地址分配
–MADCAP ，类似 DHCP 的分配方式。
–MASC ，分级的动态地址分配。
组管理协议选择
• IGMPv1 、 v2 、 v3
– IGMPv1 ，不支持退出报告消息，退出时延大
– IGMPv2 ，支持特定组查询，为主流版本
– IGMPv3 ，支持基于源、组的加入，配合 PIM SSM 使用
• 一般网络中应使用 IGMPv2 ，保证协议的兼容性，如果部署 P

IM SSM 技术，则必须使用 IGMPv3 。
组播路由协议选择
• DVMRP
–距离矢量的组播路由协议，工作原理类似 RIP ，能独立

计算单播路由，实现简单，但扩展性较差
• PIM DM
–PIM 密集模式，不依赖于具体的单播路由协议，使用扩散
、修剪机制，适用于小型网络
• PIM SM
–PIM 稀疏模式， PIM DM 的改进版本，使用显式加入机制

，适用于大型网络
局域网组播特性
• IGMP Snooping
– 运行在二层交换机上，实现交换机对组播数据包的精确
交换
• IGMP Spoofing
– 二层交换机伪装成组播路由器，发送 IGMP 查询消息
PIM DM 的部署原则
• 小型组播网络中
– 采用泛洪机制，全网扩散，不适合大规模部署
• 组播用户集中
– 假设所有用户需要接受组播数据，适合于用户密集型的应用场
合。
• 应用简单
– 网络中只有少量的组播应用，组播数据流量较小
PIM 转发器的选择
• 转发器的选择
–广播网段上存在多个 PIM 转发路由

器，下游接受多份组播数据，需要选
择 PIM 转发器。
RTA RTB
–选择处理性能好，到源的路径带宽高
、时延低的路由器作为转发器。
转发器
–不同厂商设备路由协议管理距离可能
不同，尽可能使它们的管理距离一致
，选出符合要求的转发器。
PIM SM 的部署原则
• 大型组播网络
–网络中设置 RP ，形成共享树结构，简化组播的路径管理。
• 组播用户分布稀疏
–假设网络中“地广人稀”，既要使所有组播用户收到数据，又
不能制造多余流量。
• 跨域组播
–与 MSDP 配合使用，可以实现跨域组播。
RP 的指定
• 静态指定
–所有路由器上静态指定 RP ，无法实现 RP 的冗余备份。
• 自动选举
–需在网络中使用 Boot Strap 协议，自动发现、选择 RP ，易

于扩展，组网更灵活。
BSR
RP 部署原则
• 路由器要求
–高性能、高带宽连接
• 网络位置
主 RP 从 RP
–处于网络中心位置，减少次要路由
• RP 的冗余备份
–一台主 RP ，多台备份 RP ，防止单点故障
SPT 的切换
• 从 RPT 切换至 SPT
– 初始转发路径经过 RP 。
SPT RPT
– 如果存在到源的更短路径，应该
RP
立刻切换到 SPT ，实现组播数据
的最优转发。
利用 BSR 边界分割 PIM SM 域
• 大型组播网络的区域划分
– 各区域使用内部的 RP ，通过域内路径转发组播
数据。
– 在区域边界路由器上启用 BSR Boundary 特性，

防止 RP 信息的泄露。
BSR Boundary
Multicast Multicast
组播范围的控制
• 通过 Multicast TTL 限制组播范围
– 只有 TTL > 门限值的组播数据流才能通过。 TTL=15
– 组播源在发布数据流时， TTL 值应设置成 <=

区域的门限值。
TTL Threshold=15
• 某些情况下， TTL 限制会带来问题 RTX
– 在 PIM DM 中， TTL 限制可能导致广播剪除

的低效。 RTY
组播数据穿越非组播网络
• 隧道方式
– 用 GRE 、 L2TP 等隧道技术，可以使组播数据穿越

非组播网络。
Internet
GRE
组播的负载均衡
• 组播路由协议不支持等价路由
– 组播路由表只支持单入接口，无法利用等价路
1
由。 GRE
2
• 通过隧道技术实现组播的负载均衡
– 创建 GRE tunnel ，配置静态组播路由。
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
隧道与加密
应用和业务服务器
总部网络中心
AAA 服务器
P
L2T
E C+
IPS
secpoint
 L2TP 隧道协议最适合移动
用户的 VPN 接入
RE
出差员工 + G  GRE 隧道协议最适合站点
E C
S 到站点的 VPN 接入，支持
IP
动态路由协议
分支机构  IPSEC 提供数据加密和数
合作伙伴据完整性
数据验证
IPSEC
• IPSEC 协议提供特定的通信双方之间在 IP 层通过加密与数据

源验证，以保证数据包在 Internet 网上传输时的私有性、完
整性和真实性。用在 VPN 上 IPSEC 协议族与其他隧道协议相
配合完成 VPN 数据报文的加密和验证。
用户识别与设备验证
SecurID
认证服务器
数字证书用户识别
设备验证
SecKey
• VPN 可使合法用户访问他们所需的企业资源，同时还要禁止未
授权用户的非法访问。这一点对于 Access VPN 和 Extranet VP
N 具有尤为重要的意义。建立 VPN 连接的设备之间进行验证可
以确保 VPN 隧道的安全可靠。
入侵检测，网络接入控制
• 网络入侵检测系统需要同 VPN 设备进行配合，通过分析源自

或送至 VPN 设备的信息流，避免通过 VPN 连接使内部网络受到
攻击。
• 一般来讲 VPN 接入的用户可以访问内部网络中大部分资源，
可以考虑对 VPN 接入用户进行分级和控制，确保内部网络的
运行安全。
VPN 设计原则－ QoS 保障
• 构建 VPN 的另一重要需求是充分有效地利用有限的广域网资
源，为重要数据提供可靠的带宽。 VPN 网络中的 QoS 需要考虑
如下问题：
– QoS 需要在数据通过的整个路径包含的各个设备上进行部署
– VPN 隧道技术对原始数据进行了再次封装， QoS 策略中的特征值

需要进行额外映射
– QoS 中的流分类动作必须在数据进行 VPN 封装前完成
L2TP 连接方式选择
• L2TP VPN 适用于移动办公用户的 VPN 接入，可以提供严格的

用户验证功能，确保 VPN 接入用户的合法性。
• L2TP VPN 的连接方式分为两种： PC 直接发起连接和 LAC 设备
发起连接。两种方式适用于不同企业对于 VPN 接入控制和管
理的不同要求。
L2TP 认证方式选择
L2TP TUNNEL
Internet
HOST
Client LAC LNS

Home LAN
• L2TP VPN 可以提供 LAC 侧的用户接入验证和 LNS 侧的用

户再次验证，可以提供比较安全的 VPN 接入功能。
L2TP 安全性考虑
L2TP OVER IPSEC
Internet
HOST
Client LAC LNS

Home LAN
• L2TP VPN 本身虽然提供较为严格的接入用户的认证功能

，但不提供 VPN 数据的加密功能，如果需要对数据进行安
全加密可以同 IPSEC 协议进行配合。
L2TP 客户端功能
L2TP TUNNEL
VT:192.168.0.1 VT:192.168.0.2
Internet HOST
Client LAC LNS

PUB:1.1.1.1 PUB:1.1.1.2 Home LAN
• 我司扩展了标准的 L2TP 功能，支持 LAC 客户端功能，不仅可

以为 PPP 或 PPPOE 用户提供接入，而且也可以为其他连接方
式的用户提供接入，例如以太网接入。并且可以适用动态路
由协议如 OSPF 进行路由选路，增强了可扩展性。
L2TP 中的 NAT 问题
PUB:202.38.1.1 PUB:202.38.1.2
Internet HOST
NAT LNS
Client L2TP OVER IPSEC Pri:1.1.1.1
LAC Pri:1.1.1.2 Home LAN
• LAC 在同位于 NAT 之后的 LNS 建立连接时可能会出现问题
L2TP 多实例
10.1.1.*
10.1.2.* VPN 1
VPN 1 总部 Client L2TP TUNNEL
HOST
Internet
10.1.1.* VPN 2
Client LNS
VPN 2 总部 HOST
10.1.2.*
• L2TP 协议上加入多实例技术，让 L2TP 支持在一台设备将不同

的用户划分在不同的 VPN ，各个 VPN 之内的数据可以互通，且
在 LNS 两个不同 VPN 之间的数据不能互相访问，即使 L2TP 接
入是同一个设备。
站点到站点 IPSEC VPN 的拓扑设计
IPSEC VPN 网络拓扑结构选择

• 全网状连接
• 部分网状连接
• 星形连接
• 分层的星形连接
移动办公用户 IPSEC VPN 接入
病毒蠕虫黑
客入侵核心
机构
IPSEC TUNNEL
移动办公用户接入 IPSEC VPN 的考虑

• 笔记本电脑软件防火墙，防病毒软件的安装
• 硬件防火墙同 VPN 网关相互配合
• 使用防火墙和 VPN 网关功能相互融合的设备

IPSEC VPN 中的 INTERNET 通讯
VPN 流量和上网流量都需要由总部统一进行转发集中式
只有 VPN 流量由总部进行转发分布式
• 远程 VPN 站点可以通过两种方式访问 INTERNET

– 集中式：访问 INTERNET 的流量统一由总部的 VPN 节点进行转
发
– 分布式：访问 INTERNET 的流量由本地的 VPN 节点进行转发
站点到站点 IPSEC VPN 中的 IP 地址设计
10.1.2.0/24
10.2.3.0/24 Site1
Site2
Site n
10.1.0.0/24 ……
• 在进行 VPN 网络 IP 地址设计规划时建议尽量为个分支站点分

配连续的 IP 地址段，同时总部的 IP 地址尽量分配为同远程站
点同一主网的不同子网或不同主网但可汇总的不同子网。
IPSEC VPN 中的 NAT 穿越
NAT
• 由于 NAT 自身设计的原因，同 IPSEC 协议无法很好的兼容，因

此普通的 IPSEC 是无法穿越 NAT 的，通过对 IPSEC 和 IKE 协议
的改进，可以使用 IPSEC NAT 穿越功能完美的解决这个问题
。
IPSEC VPN 网络的高可用性设计
主用备用
GRE OVER IPSEC 配合动态路由协议
主用
IKE KEEPALIVE 或 DPD
VRRP
建立新的 SA 安全联盟
备用
IKE KEEPALIVE 或 DPD 同 VRRP 配合
IPSEC VPN 设计中的 MTU 问题
PMTU 1500 PMTU 1400
• 当 VPN 数据通过的网络路径中具有不同的路径 MTU 要求时，我

们需要将设备的 MTU 设置为所有经过的路径 MTU 中较小的那个
值，避免某些情况下数据分片造成的不良影响。
GRE VPN 设计
IPX IPX
GRE TUNNEL
Internet
IP IP
• IPSEC 仅能够为 IP 单播数据流提供 VPN 封装的能力， GRE 不

仅可以为 IP 单播提供 VPN 封装而且可以为多种非 IP 的协议或
IP 协议的组播或广播数据报文进行 VPN 封装。
• GRE 可以灵活的支持动态路由协议，可以作为其他 VPN 技术的
重要补充，实现更加灵活的功能。
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
MPLS/VPN 规划－ PE 、 P 和 CE 的
选择
哪些设备应该规划为 PE ？
 如果一个网络需要运行 MPLS/VPN ，那么所有的路由器，以及部分核心交
换机（如果该交换机提供与广域网连接的接口）。
PE 要承担什么任务？
 划分 VRF ，启动 OSPF ， MBGP ， MPLS ， LDP 协议。
哪些设备应该规划为 CE ？
 所有的 2 层交换机，绝大部分的 3 层交换机（如果该交换机与广域网相连
需要通过路由器）
CE 要承担什么任务？
 搜集到所有的本地 SITE 内的路由，发给 PE ；从 PE 处接收本 VPN 的路由。
哪些设备应该规划为 P ？
 在企业网中，通常不会存在某台设备只提供广域网的连接而不提供局域网
的接入。所以 P 设备同时肯定也是 PE 设备，无需特殊规划。
MPLS/VPN 规划－ VPN 的划分
如何划分不同的 VPN ？
 VPN 的形成主要靠规划 RT 来实现，划分 VPN 的过程就是规划 RT 的过程。
 考察用户的需求，一共可以划分为几种不同的业务？这些业务之间是否基
本上不需要互访？按照以上的需求初步划分不同的 VPN ，为每个 VPN 配置
不同的 RT 。
 如果在此基础上用户还有其他复杂需求：横向本地互通，或者不规则互通
需求，可以在此基础上增加 RT 规则。
MPLS/VPN 规划－－ RT 的灵活应用
VPN1 VPN2 VPN3
RTA RTC
RTA&RTD: both 65000:100
RTB RTB&RTE: both 65000:200
RTC&RTF: both 65000:300
RTA: both 65000:100
RTB: both 65000:200
RTC: both 65000:300
RTD: both 65000:100 | both 65000:400
RTF
RTE: both 65000:200 | both 65000:400
RTF: both 65000:300 | both 65000:400
RTE
RTD
RTA: both 65000:100 | import:65000:600 export:65000:500

RTB: both 65000:200 | import:65000:500 export:65000:600
RTC: both 65000:300 | import:65000:500 export:65000:600
RTD: both 65000:100 | both 65000:400
RTE: both 65000:200 | both 65000:400| im:65000:500 ex:65000:600
RTF: both 65000:300 | both 65000:400| im:65000:500 ex:65000:600
MPLS/VPN 规划－ CE 的规划
最理想的模式：
 同一台 PE 下的 N 个 VPN 共配置 N 台 CE 。
最糟糕的模式：
 同一台 PE 下的 N 个 VPN 共配置 M 台 CE ， M<N ，根据“抽屉原理”，至少有一台 CE 上存在
两个以上的 VPN 。
存在的问题
1. 不同的 VPN 在本地 CE 上会互访。
2. CE 到 PE 的路由发布存在问题，无法使用缺省路由及动态路由（ OSPF 多进程除外）。
解决方案：
 将 CE 配置成 2 层交换机使用。通过配置 VLAN 隔离不同 VPN 。
优点：完美解决 VPN 隔离及路由问题。
缺点：当 CE 侧主机过多时，局域网内的广播风暴将直接冲击路由器，使得路由器缺少了一
个屏障，直接暴露在局域网内。
适用范围：局域网内主机较少的分支节点。
 选择支持 MultiVRF 的交换机做 CE 。通过在交换机配置不同的 VRF 对应不同的 VPN 。
优点：完美解决 VPN 隔离以及路由问题。
缺点：支持此类特性的设备较少且价格昂贵。
适用范围： VPN 越多优势越明显。
 在 CE 配置 ACL 隔离本地 VPN 间的互访；为不同的 VPN 配置精确路由指向相应的 PE 接口
（基于地址不冲突且 IP 地址规划整齐，也是 VPN 的 IP 地址规划要按照 VPN 划分的原因）。
或者使用策略路由。
优点：没什么优点。
缺点：属于打补丁的解决方案，安全性差（ ACL ）且配置繁琐。
适用范围： VPN 少且不适合使用二层的情况。
MPLS/VPN 规划－双 PE 双 CE 备份规
划
MPLS 骨干网 MPLS 骨干网
已知：本网络共规划 6 个 VPN ，且交换机不支持 multi-vrf 功能。问

：
1. 交换机做三层使用还是 2 层使用？
2. 哪一种方案更合理，为什么？
3. 图中的红色连线应该规划成公网还是私网？
MPLS/VPN 规划－ MPLS 及 LDP 以及 RD 的
规划
MPLS 规划
 全局使能 MPLS 。
 在所有的公网接口上使能 MPLS 。
 指定设备的 lsr-id ，与本设备的 router id 相同。
LDP 规划
 全局使能 LDP 。
 在所有的公网接口上使能 LDP 。
 如果网络情况复杂，选择用接口直连地址建立 LDP 邻居的方式。否则可
以使用缺省的 loopback 接口建立邻居的方式。
RD 规划
 相同的 VPN 要配置相同的 RD 。
 通常 RD 配置为与 RT 相同，如果存在多个 RT ，选择一个最常用的。
MPLS/VPN 规划－ MBGP 的规划（公网部分）
 MBGP 的规划分为公网部分和私网部分，由于公网的路由全部由 I
GP 来计算，所以 MBGP 并不负责搜集公网路由信息。但由于 MBGP
的私网路由信息需要靠公网邻居来传播，公网部分的规划只需要
建立好 BGP 的邻居关系即可。
规划 AS 号
 鉴于属于私有网络，而且通常整个网络都属于一个 AS ，所以只需规划
一个 AS 号，建议使用 65000 以上的数字。
规划 IBGP 的邻居部署
 由于整个网络中所有的路由设备都是 PE ，所以都需要运行 IBGP 。由于
一个 AS 中所有的 PE 都需要建立邻居关系，会导致 N 平方问题，所有需
要规划路由反射器。
MPLS/VPN 规划－ MBGP 的规划（私网部
分）
 MBGP 的规划分为公网部分和私网部分，由于 MBGP 需要发布私网

VPN 的路由信息及私网标签，所以所有的 BGP 的具体应用以及策
略的规划都使用私网规划部分
VPNv4 规划
 激活所有的在公网下配置的 BGP 邻居，使其具备携带私网路由及标签的
能力。配置反射器以及 HOPE 等部署。配置具体的路由策略。
VPN-instance (VRF) 规划
 主要是与 CE 的路由互操作。通常需要引入静态、直连或者是 PE 与 CE
之间运行的 IGP 的路由。
MPLS/VPN 规划－ PE 与 CE 之间路由协议的规
划
 PE 与 CE 之间可以选择如下路由协议：静态路由、多实例 RIP ，
多实例 OSPF ， EBGP 协议。
 如果 CE 只是 2 层设备，网关配置在 PE 路由器上，则无需使用路
由协议。
 如果 CE 是性能较差的 3 层交换机，且本 VPN 内的路由较少或者
可以使用缺省路由，则推荐使用静态路由。
 如果本 VPN 内路由较多，配置静态路由会很麻烦，此时可以使用
多时例的 OSPF 。 CE 与 PE 之间通常规划成 area0 。
 如果 CE 与 PE 之间交换路由时希望提供更多的策略选择及路由控
制手段，则可以使用 EBGP 协议。
 鉴于 RIP 的拙劣性能，不推荐使用多实例 RIP 。
MPLS/VPN 规划－分层 PE
 由于 MPLS/VPN 在原理设计的过程中没有与网络的实际模型对应起来—
—所有的 PE 的地位都是相同的，都需要建立相同的 IBGP 邻居数目并且
保存相同的路由表，而不论你是核心层还是汇聚层甚至接入层。这一点
在企业网中表现尤甚——没有 P 设备，全网都是 PE 设备。通常会导致
在接入层设备上无法部署 MPLS/VPN 。
 使用华为公司专有技术—— HoPE 即可完美解决。核心层和汇聚层规划
为 SPE （如果汇聚层的能力也不济，可以规划为 MPE ，即汇聚层作为核
心层的 UPE ，但作为接入层的 SPE ），接入层规划为 UPE 。由于 SPE 天
然是 UPE 的 RR ，所以 UPE 只需与 SPE 建立 IBGP 邻居关系即可。而且 SP
E 会为每个 VRF 发送一条缺省路由代替精确路由。
 使用分层 PE 需要注意的是：当 VPN 的互访关系十分复杂时，普通情况
下靠复杂的 RT 规则来控制路由表的生成。但此时由于 UPE 上只有缺省
路由，所以只能靠 SPE 来进行访问控制。这样会带来很多不便。
MPLS/VPN 规划－与 internet 互联
通过 PE 还是 CE 上 internet ？
 两种方式都可以。
通过集中式上 internet 还是分布式上 internet ？
 两者方式都可以。
PE 分布式上 internet
 每台 PE 都与 internet 直接相连，在 PE 的 VRF 中配置指向 global 地址的
缺省路由。
 在 PE 上配置静态路由（目的网段为 NAT 转换后的公网），下一跳指向 VRF
的接口。
 在 PE 的 VRF 中做 NAT 转换。
PE 集中式上 internet
 在每台 PE 上的 VRF 中配置指向 global 地址的缺省路由。
 在 PE 上配置静态路由（目的网段为私网地址），下一跳指向 VRF 的接口。
 所有的访问 internet 的流量通过缺省路由发给连接 internet 的那台 PE ，
由它统一做 NAT 转换。
 由于所有的私网路由泄漏到所有的 PE 上，会导致不同的 VPN 通过 PE 互访
，需要在每台 PE 上配置 ACL ，丢弃源地址和目的地址都是私网的流量。
MPLS/VPN 规划－与 internet 互联
CE 分布式上 internet
 每个 VRF 中选择一台 CE 连接 internet ，并且做 NAT 转换。
 由该 CE 发布一条缺省路由给本 VPN 内的所有 CE 。
CE 集中式上 internet
 选择一台健壮的 CE 连接 internet ，并且做地址转换。
 将该 CE 所属的 VRF 配置成与所有 VRF 都可以互通的超级 VPN （ How can do tha
t ？）
 由该 CE 发布一条缺省路由给全网的所有 VPN 的所有 CE 。
 由于有超级 VPN 以及缺省路由的存在，会导致不同的 VPN 通过超级 VPN 互访，需
要在该 PE 连接超级 VPN 的 VRF 上配置 ACL ，丢弃源地址和目的地址都是私网的
流量。
选择哪种方式？
 PE 分布式是运营商常用的（因为运营商的每台 PE 都直接与 internet 相连），企
业网不会使用。
 PE 集中式太繁琐（每台 PE 上都要配置 ACL ），且不支持 VPN 地址重叠。
 CE 分布式无需 ACL ，且支持 VPN 地址重叠。
 CE 集中式只需配置一条 ACL ，但不支持 VPN 地址重叠。
希望节省资源，选择
CE 集中式；希望支持 VPN 地址重叠，选择 CE 分布式。
MPLS/VPN 情况下的网管
矛盾：
 网管的一个基本前提是：被管理的设备必须能够可达（从网管工作
站可以直接 ping 通该设备）。
 在 MPLS/VPN 的网络模型中，所有的设备被划分为属于一个“公网”
和若干“私网”，彼此之间是完全隔离的，无法相互访问。
问题：
 如何能够通过一台网管同时管理所有的 PE 、 P 和 CE 设备？
MPLS/VPN 情况下的网管——必要性 & 可行
性
有必要吗？ CE 设备也需要管理吗？
 不管理 CE 设备，针对运营商的网络场景可能比较合理，因为 CE 设备
是 VPN 客户的资产，运营商无需管理；但针对各种企业网，所有的
设备都是由一个企业搭建，需要统一管理，而且 CE 设备并不等同于
低端设备，很多核心的交换机都属于 CE 设备。
可行吗，理论上能够做到吗？
 虽然公网和私网是天然隔离的，但是可以人为的通过一些“隧道”
使她们在设备级可达，同时并不影响 VPN 之间的私秘性。
解决方案一： Super VPN
MPE PE
VPN 子接口
公网子接口 149.27.2.27
MCE
CE-1 CE-2
网管工作站 3Com 华为
SuperVPN
华为 3Com 为方便描述，将连接网管设备的 PE 称为 MPE ，将连接网管的 CE 称为 MCE
 将网管工作站放在一个 Super VPN 中，使之可以访问所有的 VPN 中

的 CE 设备，同时在该 CE 上与 PE 之间创建公网的子接口；
 在 CE 上配置公网路由，下一跳指向 PE 的公网子接口，配置私网路由
，下一跳指向 PE 的私网子接口；
 将该网管工作站的地址同时在公网和私网中发布。
如何创建一个 SuperVPN 呢？
解决方案二： Super CE
MPE
华为 VPN PE-2
子接口公网子接口
149.27.2.27
MCE 3Com VPN
子接口 CE-1 CE-2
网管工作站 3Com 华为
 将网管工作站放在一个 Super CE 下，该 CE 设备通过为每个 VPN 建立

一个与 PE 的子接口，使之可以访问所有的 VPN 中的 CE 设备，同时在
该 CE 上与 PE 之间创建公网的子接口；
 在 CE 上配置公网路由，下一跳指向 PE 的公网子接口，为每个 VPN 配
置私网路由，下一跳指向 PE 的该 VPN 的私网子接口；
 将该网管工作站的地址同时在公网和私网中发布。
在一种特殊的情况下，方法一和方法二
都不可行，你知道是什么情况吗？
解决方案三：全公网隧道
MPE
PE-2
公网子接口
公网子接口
CE-1 CE-2
网管工作站
3Com 华为
 将网管工作站直接连接在一台 PE 或 P 路由器下，在每一台 CE
设备上创建一个公网的子接口；
 在 CE 上配置公网路由，下一跳指向 PE 的公网子接口；
 将每一台 CE 设备的 loopback 地址在公网中发布。
三种解决方案的比较
方法网管设备位对 VPN 地址规划的对设备的需求路由发布工作量安全性
置要求
Super 私网中，与 VPN 地址空间不能最好是使用单独只要私网和公网的路由完更改所有 PE （ RT 改变）存在不同 VPN 通过 Super V
VPN MCE 相连重合至少 CE 的 lo 一台 MCE 与网全分开，可以在 MCE 上和一台 CE 的配置（子接 pn 间接互访的隐患，网管
opback 地址不能重管相连方便地配置静态路由口）工作站易受到 CE 中主机的
合攻击
Super CE 私网中，与 VPN 地址空间不能最好是使用单独如果私网地址无规律，必只更改一台 PE 和一台 CE 存在不同 VPN 通过 Super C
MCE 相连重合至少 CE 的 loo 一台 MCE 与网须在 MPE 与 MCE 之间运的配置（子接口） E 间接互访的隐患，网管工
pback 地址不能重管相连行动态路由协议的多实例作站易受到 CE 中主机的攻
合击
全公网隧公网中，与无特殊要求无特殊要求在公网可用动态路由方便更改所有 PE 、 CE 的配置无

道 MPE 或 MP 的发布 CE 的 loopback 地（子接口）并需要重新分配
相连址公网的 PE 、 CE 互联地址
图例：最优次优最差
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
网络安全规划的基本原则
 网络安全是一个复杂的体系结构，涉及到几乎全网中的任何设备
以及任何层次。
 网络安全只是一个相对的概念，无论你付出多大的代价，都不存
在绝对安全的网络。
 部署网络安全通常会带来副作用，例如：占用带宽，降低设备的
处理能力，给使用和管理网络带来诸多不便之处。所以要在网络
的安全和性能之间找到恰当的平衡点。
网络安全规划——识别服务 & 访问控制
访问控制
 所有的网络设备必须配置 super 密码， telnet 的口令及密码，并定期
修改。
 telnet 需要在 VTY 中设置访问列表，对无访问需求的源地址进行过滤。
例如：
 在连接内外网的防火墙上禁止来自外网的 telnet 访问。
 在 PE 设备上禁止来自 VPN 私网用户的 telnet 访问。
 如果 RIP 和 OSPF 等动态路由协议在某些接口上（通常是以太网口）启
动协议的目的仅仅是为了发布路由，而无需建立邻居，则务必将这些接
口设置为 silence interface 。防止路由欺骗。
 对于 OSPF 等在接口上支持 MD5 认证的路由协议，不建议配置 MD5 认证
，原因如下：
 由于需要为每一条链路分配一组不同的密码，配置和管理的工作量极大。
如果所有的链路都分配相同的密码，则安全性会较差。
 路由欺骗在广域网上很难实施，主要发生在局域网接口，通过 silence int
erface 已经很好的解决了这个问题。
网络安全规划——识别服务 & 访问控制
访问控制
 对于没有任何互访需求的业务可以使用 MPLS/VPN 技术将其隔离。实现
在同一张物理网络中的业务隔离。
识别服务
 当无法从物理上控制访问者的来源时（例如： WLAN 接入，来自外网的
访问等等），务必要使用相应的鉴权及认证手段进行识别服务。
 对于来源不可靠的以太网接入可以使用 802.1x 认证。
 通过 RADIUS 实现 AAA 认证，可以对各种接入用户统一集中进行鉴权及
认证。
控制策略－－认证授权（ WLAN 接入）
• 在 WLAN 中，当无法从物理上控制访问者的来源时，务必要
使用相应的鉴权及认证手段进行识别服务：
– 在 AP 上禁止 ESSID 广播
– MAC 过滤
– 对接入用户进行 802.1x 身份认证
– 使用加密无线信道
控制策略－－认证授权（以太网接入）
• 对于来源不可靠的以太网接入使用 802.1x 认证
– 配合 CAMS 进行。支持防代理上网，提供运营商带宽安全
– 使用 EAD （端点准入防御）技术，隔离可能危险用户
控制策略－－认证授权（ RADIUS&AAA ）
• 通过 RADIUS 实现 AAA 认证，可以对各种接入用户统一集中进行
认证和授权
• 采用 HWTACACS 协议代替 RADIUS
– 实现对验证报文主体全部进行加密
– 支持对路由器上的配置实现分级授权使用
入
接
认证服务器
d em
o
M 接入
ADSL
W LAN 接入
LA
N
接
入
控制策略－－认证授权（移动客户）
移动用户客户端 SECPoint 的远程接入验证
• 传统用户名＋密码方式
• 双因素认证
• SecKEY
• PKI/CA 体系验证方式
控制策略－－业务隔离（以太网接入）
• 普通二层以太网网络中采用 VLAN 进行隔离。
• 小区以太网接入应用中在接入层交换机上配置 Isolate-use
r-VLAN ，禁止接入用户之间互访。
• 建议在接入交换机接入端口配置广播抑制门限
2 3 4
控制策略－－业务隔离（ ACL & VPN ）
• 采用访问控制列表 ACL 进行 L1 层～ L4 层隔离
• 对于大型网络中可以使用 MPLS VPN 技术，实现在一张基础网

络下多种业务间的复杂隔离需求。
安全组网－－安全传输
• 安全传输
– 当数据在网络传输的过程中无法确保安全时通常需要使用一定的
安全技术。
• 加密技术
– IPSec 应用为 IP 协议组提供了网络层的安全能力，发送主机对
IP 报文进行加密，目的端点对源端点进行身份验证。可以确保报
文的完整性和隐秘性。
– WLAN 的报文传输过程可以使用 WEP 、 WAP 等加密手段确保报文的
安全传送。采用 WAP 可以支持更长的加密密钥、避免采用静态加
密密钥
密
钥
财务报告
销售额 : 1860$ 4132lqfq
加密
利润 : 360$ fh%&^$$
安全组网－－ VPN
• 报文在传输的过程中将其封装在隧道里，使其对沿途经过的设
备不可见，从而保证其安全性。常用对安全性要求不高的简单
环境。
• L2TP 、 GRE 利用同 IPSEC 安全协议配合，实现安全保密的 VPN
总部
合作伙伴
Internet
出差员工
安全防御－－网络防护（续）
• 当内部网络与外部网络相连时，需要对内部网络进行必要的网
络防护措施。
• 即使在不需要与外网相连的情况下，也需要对内部网络中异常
重要的服务器进行防护。
• 网络防护主要通过防火墙设备来实施。
防火墙黑客
DoS 攻
击
Internet
安全防御－－包过滤防火墙
• 容易实施，几乎所有网络设备都支持 ACL 特性
• 应用于接口或者安全区域，分出入方向
• 采用 ACL 进行物理层到传输层的控制。
• 配置包过滤防火墙进行网络病毒防范
安全防御－－ ASPF
• ASPF 状态防火墙
• 同包过滤防火墙共用时，应注意在相同出接口或入接口上应用
• 使用 NAT 时，可以不需要再启用 ASPF

– NAT 也是基于状态的，对出方向的报文建立状态表。起到单向访
问控制作用
安全防御－－拒绝服务和扫描
• 拒绝服务类攻击
• 扫描类攻击
• 畸形报文攻击
网络安全规划——非军事区应用
 非军事区： DMZ – de-militarized zone, 用以隔离内部和外部网络
 内部网络只允许内部用户访问， DMZ 区提供有条件的对外服务
 外部过滤器只允许外部流量进入，内部过滤器只允许内部流量进入
 DMZ 从不启动与内部网络的连接
 当 DMZ 中的主机受到威胁时
– 内部流量也不会受到监听、内部过滤器仍然受到保护
对外连接正常无法直接向内连接
Internet
防火墙
内部网络外部网络
受保护服务器可信任区
周边网络
不可信任区
DMZ 区
互联网
连接路由器
受保护客户机
WWW 服务器入侵检测服务器互联网
MAIL 服务器漏洞扫描服务器接入服务器
网络安全规划——日志记录
日志记录
 日志记录可以准确的记下设备运行过程中发生的各种软件异常信息，链
路异常信息，对设备的各种命令操作等。
 日志记录可以在事后对各类故障进行分析，便于事后进行追踪，改善网
络的安全部署策略。
日志记录的类别
 设备运行时务必设置记录日志，如果条件允许，尽量将需要将日志信息
发送到特定的日志主机。
 为了减少日志信息量，应该只记录重要的告警信息。
 务必记录对设备所有的操作信息。
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
QOS 规划基本原则
什么情况下需要使用 QOS
 网络带宽紧张，或者在突发流量时带宽不足。
 网络中存在多种业务，并且这些不同的业务各自对带宽和时延的要求不
同。
 即使带宽足够，为了防止网络中出现异常的突发流量（病毒攻击）的情
况，也需要对关键业务做 QOS 保证。
使用哪种 QOS 模型？
 IntServ 模型：业务通过信令向网络申请特定的 QoS 服务，网络在流量
参数描述的范围内，预留资源以承诺满足该请求。属于理论上可控制的
、端到端的服务。但要求端到端所有设备支持 RSVP 协议，可扩展性差
和协议报文开销较大。不建议使用。
 DiffServ 模型：当网络出现拥塞时，根据业务的不同服务等级约定，
有差别地进行流量控制和转发来解决拥塞问题。属于常用的简单有效的
QOS 模型，推荐使用。
QOS 规划 Step1—— 报文分类及打标记
了解客户需求
 当前网络中一共可以划分几种业务？
 每种业务正常流量的带宽是多少？最大突发流量是多少？一天中何时为
忙时和闲时？
 哪种业务属于需要确保带宽和时延的？哪种业务只需要确保带宽即可？
 语音及视频业务既要确保带宽又要确保时延。
 某个重要的数据业务只需要确保带宽。
 其他不重要的业务（如：办公业务）无需保证。
 这些业务中按照重要性进行排序。
为分类后的报文打好标记
 邓爷爷教导我们：电脑要从娃娃抓起；报文打标记要从接入层设备抓起
，越早越好。
 将按上面分类好的业务报文按照 IP 优先级分类，在接入层设备的入接
口处打上标记。
 如果接入层设备是以太网交换机，并且支持 802.1p ，则在交换机的入
口处打标记。
QOS 规划 Step2——CAR 及 LR 规
划
流量监管（ CAR—Committed Access Rate ）
 通过监督进入网络的某一流量的规格，限制它在一个允许的范围内，若
某个连接的报文流量过大，就丢弃报文。
 通常在上级设备与下级设备相连的入接口上使用。理论依据如下：
上级设备的出口带宽 < 该设备所连接的所有下级设备的入口带宽的总合
。
即：当所有连接下级设备的入口带宽都被占满时，上级设备必然会在出
口处发生拥塞。参考在正常情况下来自某个下级设备的最大可能流量
（主要考虑重要业务的最大流量，以及参考网络的忙时与闲时），来设
置该设备的流量兼管的相关参数。
物理接口限速（ LR—Line Rate ）
 与 CAR 相比， LR 能够限制在物理接口上通过的所有报文。 CAR 在 IP 层
实现，对于不经过 IP 层处理的报文不起作用。当用户只要求对所有报
文限速时，使用 LR 比较简单。
 使用理论依据及方法同上。
QOS 规划 Step3—— 流量整形规划
流量整形（ GTS ）
 通用流量整形 GTS （ Generic Traffic Shaping ）通过是限制流出某一
网络的某一连接流量与突发，使这类报文在某个接口以比较均匀的速度
向外发送。
 通常下级设备与上级设备相连的出接口上使用。理论依据如下：
下级设备希望尽可能的利用上级设备所分配的带宽，为了防止上级设备
由于拥塞将报文丢弃，下级设备希望能够以尽量平滑的速率发送流量。
QOS 规划 Step4—— 拥塞管理规划
拥塞管理
 当数据包到达的速度大于该接口传送数据包的速度时，在该接口处就会
产生拥塞。如果没有足够的存储空间来保存这些数据包，它们其中的一
部分就会丢失。当拥塞发生时，路由器采取一定策略对数据包进行调度
，决定哪些数据包可优先发送、哪些数据包可被丢弃。这些策略就称为
拥塞管理策略。
常用的队列调度机制
 FIFOQ （原始社会的 Q ，都吃饱或者随机饿死）
 PQ （奴隶主和地主老财的 Q ，穷人兄弟要饿死）
 CQ （大锅饭的 Q ，没有按劳分配，干好干坏（ IP 优先级高低）一个样
，无法控制每个 Q 的时延）
 WFQ （恶性竞争的 Q （主要与 IP 优先级有关），缺乏有效的管理和监控
手段，无法控制每个 Q 的带宽）
 CBQ （兼顾了以上几种 Q 的优点，提供 1 个 LLQ 队列确保时延及带宽，
提供 64 个 BQ 队列确保带宽。）
 由于 CBQ 与现实中的业务模型十分相符（每种关键业务通常都会有一个
带宽的上限要求，个别关键业务对时延敏感），所以通常使用 CBQ ，而
不会使用其它 Q ，其它 Q 通常只会出现在教科书中。
QOS 规划 Step5—— 拥塞避免
拥塞避免
 拥塞避免技术一般用于网络的瓶颈处，其目的是有效监控网络流量负载
预期拥塞的发生，并有效的防止在网络瓶颈处形成拥塞。通过丢弃信息
包可以达到避免拥塞的目的。
WRED—Weighted Random Early Detection

 采用随机丢弃的策略，避免了尾部丢弃的方式而引起 TCP 全局同步
 根据当前队列的深度来预测拥塞的情况
 根据优先级定义不同的丢弃策略，定义上限阈值和下限阈值
 相同的优先级不同的队列，队列长度越长丢弃概率越高
使用方法
 在接入层和汇聚层的入口处配置使用。使用缺省参数即可。
QOS 规划——总结
基于业务的分析与报文标记
 QOS 中的几乎所有控制手段都是基于对业务的分类，及不同业务流的标
记。
多种方法结合使用
 预防策略： LR 、 CAR 、 GTS 、 WRED
 调度策略：各种队列调度方案。
QOS 的局限性和副作用
 每一种策略都会消耗设备的系统资源，导致设备的总体性能下降。
 并非使用了 QOS 就可以高枕无忧，可能设备异常繁忙导致无法处理配置
的各种策略。
 最有效的 QOS 手段是——增加带宽和提高设备的处理能力。
目录
 网络概述
 设备选型
 拓扑选择
 端口选择
 备份方案
 ip 地址规划
 组播的规划
 VPN 规划
 QOS 规划
 网管规划
网管规划基本原则
哪些设备需要管理
 如果网络规模不大，可以管理全网所有的三层设备（包括部分支持三层
访问功能的二层交换机）。
 如果网络规模很大，可以只选择比较重要的设备，但通常应该包含所有
的路由器。
网管设备如何与网络设备连接
 通常网管工作站直接与网络中最核心的设备相连，直接连接到该设备的
以太网口或通过交换机与之相连。
使用带内网管还是带外网管
 带内网管——网管的相关报文流量与网络中的数据流量等同对待。优点
是充分利用网络中的设备和带宽。缺点是设备或链路故障会导致网管中
断。通常都使用带内网管。
 带外网管——即：为了网管流量而单独建立一套数据通道。优点是确保
网管数据的绝对安全可靠和优先级，缺点是代价过于昂贵。几乎不会使
用带外网管。
网管设备的 IP 地址规划
 取出特定的一个网段，专门为网管工作站使用。
 该地址尽量固定，不要随意更改。
网管规划基本原则
RMON 的使用
 是一种在网络设备侧的探针技术，根据事先定义好的数据组类型采集设
备的告警、性能等信息，以 MIB 的形式储存在设备上，等待网管设备使
用 SNMP 协议读取。
 本来是一种很好的思想和理念，但由于目前支持 RMON 技术的硬件芯片
很少，所有的报文都需要送交 CPU 处理，会严重影响设备的性能。所以
，不推荐使用。
选择 SNMP 的版本
 V1:SNMP 的最早期版本，实现最基本的功能。
 V2c: 增加了几种 64 位的数据类型以及 RMON2 的扩充。
 V3: 在安全性方面做了较多的改进，对网管报文使用了 MD5 等一些加密
算法，并且可以定义不同的用户视图，限制不同级别的用户可以访问的
不同的 MIB 。
 V3 比较繁琐，推荐使用 V1 或 V2c
网管规划——设备侧的规划
Trap 的规划
 Trap 的使能。
 Trap 需要发送给的主机 IP 地址（即网管工作站的 IP 地址）
 Trap 发送时的源地址（该设备的 loopback 地址）
SNMP 的规划
 SNMP 的使能
 明确本网络需要使用的 SNMP 的版本。只配置本网络规划需要使用的版
本，尽量不要配置为 version all 。
 v1 、 v2c 配置团体字、 v3 配置用户、组、访问视图。团体字的命名需
要遵循以下原则：不要简单的使用 public 和 private ，但也无需将其
配置的与密码一样复杂；尽量具备一定的实际含义即可。
网管规划——网管侧的规划
 设备已经增加在拓扑图上。注意拓扑上设备的管理 IP 必须和设
备上配置的 trap 源地址一致
 故障的声光控制
 故障的维护经验
 故障的过滤
 故障的拓扑定位
 告警 / 事件的查询（实时、当前、历史）
 建立查询模板
 告警的统计
网管规划——网管分级管理
何时需要部署分级网管
 网络规模过于庞大。
 网络中的所有设备都很重要，都需要管理。
 在一台网管工作站中管理的设备数量已经远远超过了该网管的性能极限
。
分级规划
 按照网络本身的地域特点或层次特点进行分级部署多套网管。
 上级网管只管理核心层的全部设备以及汇聚层的关键设备。
 下级网管管理本区域内的全部设备以及与本区域相连的核心设备。
 通过在设备上设置不同的团体字进行区分。
华为 3Com 技术有限公司

企业网网络规划-V3 0

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

企业网网络规划-V3 0

Uploaded by

Copyright:

Available Formats

企业网网络规划

ISSUE 3.0- 肖春喜

• 精通 TCP/IP 协议族中数十个协议的原理 ......

• 常用的协议不超过 10 个，了解大概就行 ......

• ATM 交换机、 FR 、 X.25 交换机、 DDN 节点机、传输设备

防火墙 安全网关 入侵检测系统 PBX 系统 CAMS

语音服务器 语音网关 MCU 视频终端

• 基于 CPU 的设备 CPU CPU CPU

• 基于 ASIC 的设备 接口 ASIC 交换网 ASIC 接口

低速端口（ 10M 以下）

接口 10.0.0.2 接口 10.0.0.3 接口 10.0.0.2 接口 10.0.0.3

路由器之间的 VRRP 三层交换机之间的 VRRP

• IRF 综合弹性结构 (integrated resilient frame)

已知：某 NE16E 配置了两块 PO

POS155M POS155M POS155M

 通常采用以下命名方法： to 对端设备名 带宽，其中对端设备名使用

例子： description to ZD-H3-NE16E-2 8M

核心网状结构 / 边缘星型接入 双星型拓扑结构

• 配置核心的设备为 STP/RSTP 的根桥，并指定另一核心的设备为备

• RSTP 以其快速收敛的特性以及与 STP 良好的兼容性完全取代了 ST

• 对于支持 RSTP 的设备和仅支持 STP 的设备混用时， RSTP 的设备

端口配置为边缘端口 端口配置 STP Disable

• 同一域内的交换机的域名， VLAN 和 STP 实例的对应关系一定要保持

• VLAN 1 一般予以保留，不分配给业务 VLAN 使用。

• 如果 VLAN ID 足够用，尽量分配 1024 以下的 VLAN ID 。

• 为每一个 VLAN 规划 VLAN 描述符。描述符的配置规范化。

• VLAN 总数不超过 4096

• 解决方式： QinQ,Isolate-user-VLAN ， No VLAN

• VRRP PING enable

• 不同的 VRRP 组设置不同的 Master

• 监控指定端口。 接口地址： 接口地址：

• 动态分配 IP 地址的租约一般定为 2-4 小时。

• DHCP 需跨网段获得 IP 地址时，启动 DHCP-RELAY 功能。

• 禁止在同一网络上放置两台 DHCP 服务器。

• 启动 DHCP 安全功能，禁止未通过 DHCP 获得的 IP 地址上网。

• IRF 设备堆叠端口相连时一定是 UP 端口和另一台设备的 DOWN 端

• 建议使用手工对设备编号，确定堆叠的 Master 交换机，不

• 不同厂商设备互连环境下， PPP 是很好的选择

• 拨号链路上， PPP 是唯一选择

• 在点到点的组网中， PPP 是最佳选择

• 在 OSPF 路由中， PPP 链路的网络类型为点到点

• 中心 ATM 、分支 FR 的混合组网

– ANSI T1.617 （推荐）

– ITU-T Q933 Annex A

在 OSPF 中，有 2 种运行模式， P2MP 和 NBMA

• HUB SPOKE 的组网中

• 中心 ATM 、分支 FR 的混合组网

– AAL1 、 AAL2 、 AAL3 、 AAL4 、 AAL5

• ATM 业务分类 管理面

• PPP over ATM

• PPP over Ethernet over ATM

PSTN ISDN ADSL

• 非 TCP 、 UDP 协议的端口转换，如 L2TP

Route 10.0.0.0 255.0.0.0 100.1.1.1

10.1.4.0/24 Route 10.0.0.0 255.0.0.0 192.168.1.1

• RIPv2 在 RIPv1 上改进，并兼容 RIPv1 。

 RIPv2 更新报文中携带子网掩码，可以支持 VLSM 。

R2:11.2.2.2/24 X.25/FR R3:11.2.2.3/24

Stub Area Not So Stub Area

No External Route Update External Route Update

OSPF 如果某个区域存在两个 ABR ，并且

有时接入层的设备会以乱序的方式与汇聚层进行连接。 OSPF 的区域该如何划分？

这样对于接入层设备两条上联链路分别属于 area1 和 area2

防火墙安全网关入侵检测系统 PBX 系统 CAMS

语音服务器语音网关 MCU 视频终端

• 基于 ASIC 的设备接口 ASIC 交换网 ASIC 接口

 通常采用以下命名方法： to 对端设备名带宽，其中对端设备名使用

核心网状结构 / 边缘星型接入双星型拓扑结构

端口配置为边缘端口端口配置 STP Disable

• 监控指定端口。接口地址：接口地址：

• ATM 业务分类管理面

线路名称发送的业务网段（ MED ）接收的业务网段（ LocalPreference ）

RED 人民币（ 5 ）人民币（ 15 ）

BLUE 人民币（ 10 ）办公（ 10 ）视频（ 5 ）人民币（ 10 ）办公（ 5 ）视频（ 10 ）

GREEN 人民币（ 15 ）办公（ 5 ）视频（ 10 ）人民币（ 5 ）办公（ 10 ）视频（ 5 ）

只有 VPN 流量由总部进行转发分布式