【正文】 QoS部署原則在具體的QoS部署方案中，要充分考慮以下原則：a) 簡(jiǎn)單性：結(jié)合用戶(hù)業(yè)務(wù)及網(wǎng)絡(luò)拓?fù)?，采用最符合用?hù)需求的、最易實(shí)現(xiàn)的QoS解決方案。安全事件追蹤：將網(wǎng)絡(luò)上的事件記入日志。c) 修復(fù)——與第三方服務(wù)器中的補(bǔ)丁服務(wù)器、病毒服務(wù)器等形成聯(lián)動(dòng)。EAD通過(guò)安全客戶(hù)端、安全策略服務(wù)器、接入設(shè)備以及病毒庫(kù)服務(wù)器、補(bǔ)丁服務(wù)器的相互配合，可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi)，防止“危險(xiǎn)”終端對(duì)網(wǎng)絡(luò)安全的損害，避免“易感”終端受病毒、蠕蟲(chóng)的攻擊?？梢苑謨蓚€(gè)層面進(jìn)行討論，一、終端和服務(wù)器層面，根據(jù)不同業(yè)務(wù)的需求將終端功能進(jìn)行劃分，服務(wù)器根據(jù)不同功能部署在不同區(qū)域進(jìn)行隔離；二、數(shù)據(jù)流層面，不同系統(tǒng)的數(shù)據(jù)流通過(guò)路由和物理鏈路進(jìn)行區(qū)別。此外，通過(guò)啟用流量監(jiān)控功能可以實(shí)時(shí)收集網(wǎng)絡(luò)流量信息，分析網(wǎng)絡(luò)應(yīng)用情況，可以識(shí)別分析一百多種協(xié)議，包括P2P等應(yīng)用層協(xié)議。因此，即使在網(wǎng)絡(luò)中已部署了防火墻、IDS等基礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品，IT部門(mén)仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、應(yīng)用系統(tǒng)的響應(yīng)速度越來(lái)越慢。通過(guò)部署防病毒模塊可以在網(wǎng)關(guān)處阻止病毒、木馬等威脅的傳播，保護(hù)網(wǎng)絡(luò)內(nèi)部用戶(hù)免受侵害。通過(guò)集成化的插卡防火墻可以直接部署在數(shù)據(jù)中心核心交換機(jī)上，使得內(nèi)部區(qū)域之間互訪(fǎng)控制更加靈活。它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪(fǎng)問(wèn)控制；對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶(hù)認(rèn)證、IP與MAC綁定等安全增強(qiáng)措施。安全區(qū)域劃分原則：省中心高于地市中心、地市中心高于區(qū)縣中心；區(qū)縣中心高于網(wǎng)點(diǎn)；金融業(yè)務(wù)系統(tǒng)高于綜合業(yè)務(wù)系統(tǒng)、綜合業(yè)務(wù)系統(tǒng)高于辦公系統(tǒng)；具體控制措施主要通過(guò)，(1)交換機(jī)、路由器本身實(shí)現(xiàn)的基于VLAN的隔離和訪(fǎng)問(wèn)控制。目前IP網(wǎng)絡(luò)上數(shù)據(jù)傳送安全的最好解決辦法就是采用IPSec技術(shù)，對(duì)數(shù)據(jù)進(jìn)行加密，一般來(lái)說(shuō)，數(shù)據(jù)加密在網(wǎng)絡(luò)的兩端或主機(jī)上完成，中間的網(wǎng)絡(luò)透明傳送。限制不必要的路由交換，將接口置為Passive狀態(tài)。安全設(shè)計(jì)廣域網(wǎng)部分的主要功能是設(shè)備互聯(lián)及數(shù)據(jù)傳送，安全關(guān)注的重點(diǎn)是網(wǎng)絡(luò)自身安全及數(shù)據(jù)傳送安全，涉及的網(wǎng)絡(luò)協(xié)議層次主要是IP層以下，安全事件追蹤的重點(diǎn)是網(wǎng)絡(luò)事件記錄。主要存在于郵政網(wǎng)絡(luò)分為綜合業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)、視頻系統(tǒng)；幾個(gè)系統(tǒng)之間的如何保證相互數(shù)據(jù)流動(dòng)的安全控制，以及單一系統(tǒng)內(nèi)部的風(fēng)險(xiǎn)規(guī)避。 H3C SecBlade FW采用先進(jìn)的多核硬件結(jié)構(gòu)，提供無(wú)以倫比的萬(wàn)兆線(xiàn)速安全防護(hù)，是業(yè)內(nèi)處理性能最高的防火墻模塊，將網(wǎng)絡(luò)安全防護(hù)提升到萬(wàn)兆安全新階段。 H3C SecBlade FW能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過(guò)濾、應(yīng)用層過(guò)濾等功能，有效的保證網(wǎng)絡(luò)的安全。 省核心交換機(jī)均支持業(yè)界先進(jìn)的插卡式安全擴(kuò)展技術(shù) 本次選用的核心交換機(jī)S9500支持業(yè)界領(lǐng)先的安全插卡技術(shù)。支持標(biāo)準(zhǔn)和擴(kuò)展ACL，可以對(duì)報(bào)文進(jìn)行過(guò)濾，防止網(wǎng)絡(luò)攻擊。（2）設(shè)備自身的安全特性：H3C S9500系列采用“最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡(luò)病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報(bào)文的明文及MD5密文認(rèn)證；支持IP、VLAN 、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報(bào)文抑制，有效控制ARP等非法廣播流量對(duì)設(shè)備造成沖擊；支持URPF，防止IP地址欺騙；支持報(bào)文安全過(guò)濾，防止非法侵入和惡意報(bào)文攻擊等。 廣域網(wǎng)均要求雙鏈路設(shè)計(jì)檢測(cè)平面與控制平面、轉(zhuǎn)發(fā)平面相互獨(dú)立、互不影響，為用戶(hù)提供了電信級(jí)的可靠性。 系統(tǒng)可靠性設(shè)計(jì)本網(wǎng)絡(luò)系統(tǒng)可靠性從如下兩個(gè)方面加以保證：1. 設(shè)備級(jí)可靠性其他區(qū)域暫時(shí)不考慮，留給以后網(wǎng)絡(luò)擴(kuò)展使用。l 區(qū)域的劃分劃分原則：首先參考設(shè)備扮演的角色、然后考慮地域及將來(lái)網(wǎng)絡(luò)的擴(kuò)展規(guī)模。c) 路由反射器（RR）本項(xiàng)目中將核心層兩臺(tái)核心路由器S8805反射器配置為一個(gè)cluster，可以實(shí)現(xiàn)兩臺(tái)路由反射器的相互備份。對(duì)于PE與CE之間的路由協(xié)議類(lèi)型最普遍應(yīng)用的就是靜態(tài)路由，只要遵循上面提到的IP地址分配原則，各VPN的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時(shí)應(yīng)用靜態(tài)路由是最簡(jiǎn)單、最高效的，而且網(wǎng)絡(luò)的維護(hù)非常方便。各地市CE之間的VPN路由的傳遞、VPN路由標(biāo)簽的分發(fā)，都是通過(guò)骨干區(qū)域MPBGP協(xié)議的擴(kuò)展屬性實(shí)現(xiàn)的。若VPN接入CE設(shè)備采用的是三層交換機(jī)，則需要將VPN所對(duì)應(yīng)的VLAN透?jìng)鞯組PLS PE設(shè)備上，由PE設(shè)備實(shí)現(xiàn)二層信息終結(jié)并完成VPN封裝，確保不同VPN之間的信息隔離。spoke等不同VPN組網(wǎng)方式。不同路由器通過(guò)target 相關(guān)聯(lián)而組成可以互相訪(fǎng)問(wèn)的集合，由于只有他們內(nèi)部可以互訪(fǎng)，所以我們稱(chēng)之為VPN，配置里并沒(méi)有專(zhuān)門(mén)的VPN 的定義。在此次項(xiàng)目中，是一個(gè)業(yè)務(wù)系統(tǒng)對(duì)應(yīng)于一個(gè)VPN，因此VRF的命名只需使用業(yè)務(wù)系統(tǒng)的漢語(yǔ)拼音來(lái)標(biāo)識(shí)。省局的核心交換機(jī)作為MCE，主要作為數(shù)據(jù)業(yè)務(wù)的VPN匯聚接入；這里直接在省局的核心路由器上部署語(yǔ)音和視頻的VPN，以更好地利用路由器在QoS方面的強(qiáng)大處理能力。具體使用那種路由協(xié)議要根據(jù)情況而定，如當(dāng)CE以下的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，路由條目較多的時(shí)候，PE和CE之間需要運(yùn)行BGP協(xié)議，當(dāng)然應(yīng)用這種方案對(duì)CE的要求也是比較高的。對(duì)于骨干層MPLS域，需要某種IGP協(xié)議與MBGP結(jié)合應(yīng)用，其中MBGP主要完成私網(wǎng)路由標(biāo)簽分配、各私網(wǎng)路由在“公網(wǎng)”傳遞等作用，沒(méi)有其他的協(xié)議可以替代。新申請(qǐng)備用電路N*2M電路，安裝到新的骨干網(wǎng)備份設(shè)備上，在省中心開(kāi)通CPOS口，在市局開(kāi)通多個(gè)個(gè)2Mbps進(jìn)行端口捆綁。在省、市中心直接通過(guò)廣域網(wǎng)路由器不同物理以太口下掛各業(yè)務(wù)系統(tǒng)的交換機(jī)，作為各自的CE設(shè)備，要求方案中省市局域網(wǎng)核心交換機(jī)支持通過(guò)Multi－VRF方式擴(kuò)展VPN。 總體建設(shè)方案本工程的目標(biāo)是將江西省郵政骨干網(wǎng)改造成為一個(gè)統(tǒng)一的傳輸平臺(tái)，支持包括郵政業(yè)務(wù)、金融業(yè)務(wù)、OA、語(yǔ)音、視頻在內(nèi)的多個(gè)業(yè)務(wù)系統(tǒng)混合傳輸，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)間的安全隔離并保證各業(yè)務(wù)系統(tǒng)的服務(wù)質(zhì)量。經(jīng)過(guò)多年的運(yùn)行，江西郵政技術(shù)和業(yè)務(wù)情況都發(fā)生了較大的變化，一方面TCP/IP已成為業(yè)界通用的三層網(wǎng)絡(luò)技術(shù)，郵政目前所有的業(yè)務(wù)系統(tǒng)均運(yùn)行于IP協(xié)議之上，另一方面基于MPLS技術(shù)的IP VPN網(wǎng)絡(luò)已經(jīng)可以在技術(shù)上非常好的解決安全隔離和服務(wù)質(zhì)量保證的需求，二層PVC技術(shù)具有的傳統(tǒng)優(yōu)勢(shì)已經(jīng)不存在，而MPLS技術(shù)在提高帶寬利用率和便于管理方面比二層PVC技術(shù)有明顯的優(yōu)勢(shì)。在廣域網(wǎng)建設(shè)中，有兩種層次的網(wǎng)絡(luò)建設(shè)模式，一種是建設(shè)以IP協(xié)議為平臺(tái)的第三層網(wǎng)絡(luò)，一種是建設(shè)基于Frame Relay或ATM的第二層網(wǎng)絡(luò)平臺(tái)。L3 MPLS VPN通過(guò)和Internet路由之間配置一些靜態(tài)路由的方式，可以實(shí)現(xiàn)VPN的Internet上網(wǎng)服務(wù)，還可以為跨不同地域的、屬于同一個(gè)AS但是沒(méi)有自己的骨干網(wǎng)的運(yùn)營(yíng)商提供VPN互連，即提供“運(yùn)營(yíng)商的運(yùn)營(yíng)商”模式的VPN網(wǎng)絡(luò)互連。很多采用私有地址的用戶(hù)不必再進(jìn)行地址轉(zhuǎn)換NAT。PECE之間采用靜態(tài)路由的好處是可以減少CE設(shè)備可能會(huì)因?yàn)楣芾聿簧频仍蛟斐蓪?duì)骨干網(wǎng)BGP路由產(chǎn)生震蕩，影響骨干網(wǎng)的穩(wěn)定性；如果采用BGP可以實(shí)現(xiàn)動(dòng)態(tài)的網(wǎng)絡(luò)擴(kuò)展，網(wǎng)絡(luò)路由信息發(fā)生變化時(shí)，不必更改設(shè)備的配置信息。RD時(shí)用來(lái)標(biāo)識(shí)VPN的成員即Site的。MPLS BGP VPN的框架模型如圖所示： MPLS/BGP VPN網(wǎng)絡(luò)結(jié)構(gòu)圖 如圖所示，基于BGP擴(kuò)展實(shí)現(xiàn)的L3 MPLS VPN所包含的基本組件：PE：Provider Edge Router，骨干網(wǎng)邊緣路由器，存儲(chǔ)VRF（Virtual Routing Forwarding Instance），處理VPNIPv4路由，是MPLS三層VPN的主要實(shí)現(xiàn)者；CE：Custom Edge Router，用戶(hù)網(wǎng)邊緣路由器，分布用戶(hù)網(wǎng)絡(luò)路由；P router： Provider Router，骨干網(wǎng)核心路由器，負(fù)責(zé)MPLS轉(zhuǎn)發(fā)；VPN用戶(hù)站點(diǎn)（site）：是VPN中的一個(gè)孤立的IP網(wǎng)絡(luò)，一般來(lái)說(shuō)，不通過(guò)骨干網(wǎng)不具有連通性，公司總部、分支機(jī)構(gòu)都是site的具體例子。根據(jù)PE（Provider Edge）設(shè)備是否參與VPN路由又細(xì)分為二層VPN和三層VPN。由于FEC可以是按照目的地址劃分的，這同傳統(tǒng)的IP轉(zhuǎn)發(fā)相同，也可以是基于源地址、目的地址、源端口、目的端口、協(xié)議類(lèi)型、CoS、VPN等等信息的任意組合。一個(gè)轉(zhuǎn)發(fā)等價(jià)類(lèi)是在網(wǎng)絡(luò)中遵循同樣的轉(zhuǎn)發(fā)路徑的報(bào)文的集合，這些報(bào)文的目的地址甚至可以不同。第3章 江西省郵政信息網(wǎng)骨干網(wǎng)改造方案 關(guān)鍵技術(shù)選擇 MPLS技術(shù)介紹1. MPLS基本原理MPLS是多協(xié)議標(biāo)簽交換協(xié)議的簡(jiǎn)稱(chēng)，多協(xié)議是指它能夠支持多種三層協(xié)議；標(biāo)簽是一種短的，易于處理的，不包含拓?fù)湫畔?，只具有局部意義的信息內(nèi)容；MPLS的報(bào)文轉(zhuǎn)發(fā)是基于標(biāo)簽的，在MPLS網(wǎng)絡(luò)中，IP包在進(jìn)入第一個(gè)MPLS設(shè)備時(shí)，MPLS邊緣路由器分析IP包的內(nèi)容并且為這些IP包選擇合適的標(biāo)簽。 可管理性要求建設(shè)統(tǒng)一的網(wǎng)管系統(tǒng)，能夠?qū)φ麄€(gè)骨干網(wǎng)內(nèi)多個(gè)廠家設(shè)備實(shí)現(xiàn)完善的拓?fù)涔芾怼⒃O(shè)備管理、性能管理和故障管理，可以實(shí)時(shí)監(jiān)控所有設(shè)備和線(xiàn)路的運(yùn)行狀況，對(duì)全網(wǎng)設(shè)備的運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，并對(duì)故障和性能超限實(shí)現(xiàn)實(shí)時(shí)告警，對(duì)設(shè)備運(yùn)行情況進(jìn)行查詢(xún)和統(tǒng)計(jì)，定期生成運(yùn)行報(bào)告。另外在方案中除了基礎(chǔ)網(wǎng)絡(luò)的設(shè)計(jì)以外，還應(yīng)當(dāng)包括安全方案，重點(diǎn)是針對(duì)省中心網(wǎng)絡(luò)的安全規(guī)劃。本項(xiàng)目的目標(biāo)是建設(shè)一個(gè)安全、可靠、可管理的省市骨干網(wǎng)絡(luò)平臺(tái)，確保改造后網(wǎng)絡(luò)設(shè)備滿(mǎn)足業(yè)務(wù)5年發(fā)展的需要，通信帶寬滿(mǎn)足業(yè)務(wù)3年發(fā)展的需要，主要網(wǎng)絡(luò)設(shè)備和線(xiàn)路有備份保障，核心業(yè)務(wù)具備嚴(yán)格的安全防范措施。 視頻會(huì)議服務(wù)，簡(jiǎn)稱(chēng)視頻網(wǎng)本工程的目標(biāo)是將江西省郵政現(xiàn)有的多個(gè)業(yè)務(wù)網(wǎng)改造成為一個(gè)統(tǒng)一的傳輸平臺(tái)，支持包括郵政業(yè)務(wù)、金融業(yè)務(wù)、OA、語(yǔ)音、視頻在內(nèi)的多個(gè)業(yè)務(wù)系統(tǒng)混合傳輸，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)間的安全隔離并保證各業(yè)務(wù)系統(tǒng)的服務(wù)質(zhì)量。 郵政綜合業(yè)務(wù)（郵政營(yíng)業(yè)、報(bào)刊、集郵、物流、內(nèi)部處理、生產(chǎn)管理等郵政基本業(yè)務(wù)及相關(guān)增值業(yè)務(wù)），簡(jiǎn)稱(chēng)綜合網(wǎng)支撐的業(yè)務(wù)種類(lèi)主要包括： 內(nèi)部IP電話(huà)、IP傳真服務(wù)，簡(jiǎn)稱(chēng)語(yǔ)音網(wǎng)骨干網(wǎng)要有較高的可管理性，能對(duì)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)控、統(tǒng)計(jì)分析和配置管理。 高安全性要求改造后的網(wǎng)絡(luò)能夠?qū)崿F(xiàn)現(xiàn)有四大系統(tǒng)（綜合、綠卡、辦公、視頻）網(wǎng)絡(luò)之間可靠的安全隔離，并能提供跨業(yè)系統(tǒng)網(wǎng)絡(luò)的互訪(fǎng)手段，針對(duì)跨網(wǎng)訪(fǎng)問(wèn)提供必要的安全控制手段。 靈活性及可擴(kuò)展性網(wǎng)絡(luò)系統(tǒng)是一個(gè)不斷發(fā)展的系統(tǒng)，網(wǎng)絡(luò)不僅需要保持對(duì)以前技術(shù)的兼容性，還必須具有良好的靈活性和可擴(kuò)展性，能夠根據(jù)用戶(hù)網(wǎng)絡(luò)不斷深入發(fā)展的需要，根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，平滑地?cái)U(kuò)充和升級(jí)現(xiàn)有的網(wǎng)絡(luò)覆蓋范圍、擴(kuò)大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點(diǎn)的功能，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。主要針對(duì)網(wǎng)絡(luò)設(shè)備和鏈路的管理，對(duì)服務(wù)器的管理以網(wǎng)絡(luò)通斷、流量等情況為主，對(duì)其詳細(xì)運(yùn)行情況在本次工程中不做要求。 MPLS標(biāo)簽示意圖在MPLS中，一個(gè)標(biāo)簽標(biāo)識(shí)了一個(gè)轉(zhuǎn)發(fā)等價(jià)類(lèi)（FEC——Forwording Equivalence Class）。在MPLS標(biāo)記交換路徑的出口（或倒數(shù)第二跳），彈出MPLS包頭，還回原來(lái)的IP包（在VPN的時(shí)候可能是以太網(wǎng)報(bào)文或ATM報(bào)文等）。根據(jù)擴(kuò)展方式的不同MPLS VPN可以分為BGP擴(kuò)展實(shí)現(xiàn)的MPLS VPN，和LDP擴(kuò)展實(shí)現(xiàn)的VPN。但是必須遵循如下規(guī)則：兩個(gè)Site之間只有至少同時(shí)屬于一個(gè)VPN定義的Site集合，才具有IP連通性。BGP擴(kuò)展實(shí)現(xiàn)的MPLS VPN擴(kuò)展的了BGP NLRI中的IPv4地址，在其前增加了一個(gè)8字節(jié)的RD（Route Distinguisher）。PECE之間要交換路由信息一般是通過(guò)靜態(tài)路由，也可以通過(guò)RIP、BGP等。由于采用了單獨(dú)的路由表，允許每個(gè)VPN使用單獨(dú)的地址空間中，稱(chēng)為VPNIPv4地址空間，RD加上IPv4地址就構(gòu)成了VPNIPv4地址?？梢哉J(rèn)為，內(nèi)層標(biāo)簽代表了通過(guò)骨干網(wǎng)相連的兩個(gè)CE之間的一個(gè)隧道。根據(jù)以上江西省郵政骨干網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀和需求分析，江西省郵政骨干網(wǎng)改造主要的需求就是在統(tǒng)一的物理傳輸平臺(tái)上實(shí)現(xiàn)多業(yè)務(wù)系統(tǒng)的混合傳輸，并保證安全隔離和服務(wù)質(zhì)量。在江西郵政早期骨干網(wǎng)建設(shè)時(shí)期，基于IP技術(shù)之上的VPN和QoS技術(shù)發(fā)展還不是非常完善，同時(shí)還有相當(dāng)部分的業(yè)務(wù)系統(tǒng)運(yùn)行在非IP方式下，采用二層網(wǎng)絡(luò)平臺(tái)可以較好的解決各業(yè)務(wù)系統(tǒng)安全隔離和服務(wù)質(zhì)量保證的需求，是當(dāng)時(shí)的技術(shù)發(fā)展水平和業(yè)務(wù)需求條件下較好的解決方案。它可以通過(guò)VPN技術(shù)在一個(gè)統(tǒng)一的物理傳輸平臺(tái)上較好的實(shí)現(xiàn)多業(yè)務(wù)系統(tǒng)安全隔離，隔離效果相當(dāng)于物理PVC隔離，同時(shí)可通過(guò)QoS技術(shù)來(lái)實(shí)現(xiàn)針對(duì)不同業(yè)務(wù)系統(tǒng)的服務(wù)質(zhì)量保證。省、市均配備兩臺(tái)廣域網(wǎng)路由器作為MPLS網(wǎng)絡(luò)的PE設(shè)備，通過(guò)租用運(yùn)營(yíng)商的SDH電路連接，骨干網(wǎng)不單獨(dú)設(shè)置P設(shè)備，通過(guò)PE設(shè)備完成為各個(gè)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)報(bào)文封裝、交換和拆封MPLS標(biāo)簽。因此，建議初期保持現(xiàn)有骨干網(wǎng)主用2M電路暫時(shí)不變，以便于切換。 MPLS VPN設(shè)計(jì) MPLS VPN系統(tǒng)設(shè)計(jì)在本次工程中，我們采用MPLS VPN技術(shù)來(lái)實(shí)現(xiàn)業(yè)務(wù)隔離實(shí)現(xiàn)需要。對(duì)于PE與CE互聯(lián)，可以采用的路由協(xié)議有靜態(tài)路由、RIP、OSPF和EBGP等多種路由協(xié)議。在廣域網(wǎng)上的路由器全部作為PE，構(gòu)成MPLS VPN的核心域。1. VRF規(guī)劃VRF對(duì)應(yīng)一個(gè)VPN，一般來(lái)說(shuō)一個(gè)VRF的命名可以采用某個(gè)業(yè)務(wù)的英文標(biāo)識(shí)或者漢語(yǔ)拼音來(lái)標(biāo)識(shí)。即PE設(shè)備上每個(gè)VRF表中的所有VPNIPv4路規(guī)劃如下：視頻業(yè)務(wù) ：65400：1數(shù)據(jù)業(yè)務(wù) ：65400：2綜合業(yè)務(wù) ：65400: 3金融業(yè)務(wù) : 65400: 43. 全局RT值規(guī)劃通過(guò)配置VRF（路由轉(zhuǎn)發(fā)實(shí)例）的target 屬性，可以實(shí)現(xiàn)不同業(yè)務(wù)的VPN。通過(guò)RT的靈活使用，可以實(shí)現(xiàn)intranet，extranet，hubamp。規(guī)劃如下：視頻業(yè)務(wù) ：65400：1數(shù)據(jù)業(yè)務(wù) ：65400：2綜合業(yè)務(wù) ：65400: 3