【文章內(nèi)容簡介】 OSPF 是基于 Link_State 的路由協(xié)議。在每個 HOP 上都定義了一個 COST，OSPF認為 COST 之和最小的路徑為最好。 OSPF 協(xié)議具有下面的特點 ：? 分層路由結構，支持路由匯聚(route summary)，支持的路由器數(shù)量在實際網(wǎng)絡環(huán)境中沒有限制，適合大型網(wǎng)絡的要求。? 完全基于標準的解決方案? 極強的容錯能力，支持復雜的網(wǎng)絡拓撲結構。? 快速的收斂時間，OSPF 分層路由方式能將路由的變化對整體網(wǎng)絡路由結構的影響限制在最小的范圍內(nèi)。? 基于OSPF協(xié)議的上述特點，本方案選用OSPF路由協(xié)議作為核心路由協(xié)議。? 為了充分獲得 OSPF 的優(yōu)點，必須進行合理的區(qū)域的劃分和地址規(guī)劃。? OSPF 區(qū)域劃分OSPF 區(qū)域劃分一般遵循下面的經(jīng)驗法則 ：? OSPF 邏輯域的劃分和物理區(qū)域的劃分盡量一致? 每個區(qū)(Area)的路由器不超過 50 個? 一個區(qū)邊界路由器(ABR)連接不超過 5 個 Area。根據(jù)上述的原則，以各核心層路由器作為 Backbone 域，各接入層路由器以各自域加入 Backbone 域，在路由的優(yōu)化方面，仔細規(guī)劃各接入層路由器的 IP 地址，以方便 寬帶IP城域網(wǎng)解決方案15實現(xiàn) OSPF 路由的匯聚。減少路由表的大小。采用 OSPF 之間的多路徑冗余。實現(xiàn)路由的容錯能力。在寬帶 IP 城域網(wǎng)絡中與 Inter 的連接建議選擇業(yè)界標準的 BGP－4 路由協(xié)議。 IP 地址分配IP 地址的合理分配是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵。其與網(wǎng)絡的拓撲結構、網(wǎng)絡組織、路由規(guī)劃有非常密切的關系。在地址分配過程中，主要考慮以下原則：◆IP 地址應由統(tǒng)一的網(wǎng)管中心分配使用。IP 地址的規(guī)劃與劃分應該考慮網(wǎng)絡的未來的發(fā)展。◆IP 地址的分配必須采用 VLSM 技術，保證 IP 地址的利用效率?！舨捎?CIDR 技術，這樣可以減小路由器路由表的大小，加快路由器路由收斂速度。 寬帶IP城域網(wǎng)解決方案163 網(wǎng)絡應用 業(yè)務分類IP城域?qū)拵ЬW(wǎng)可以提供多種業(yè)務。在本期網(wǎng)絡設計中，可以提供的業(yè)務有：虛擬專網(wǎng)業(yè)務通過虛擬專網(wǎng)可以實現(xiàn)廣域網(wǎng)辦公系統(tǒng)，實現(xiàn)省、市、縣各級政府機關之間的的文件傳遞、信息傳遞、多媒體信息交換、值班應急系統(tǒng)、信息發(fā)布、相互查詢信息資源等辦公功能。視頻會議業(yè)務網(wǎng)絡平臺支持視頻會議業(yè)務，支持以單個縱向網(wǎng)或橫向網(wǎng)為單位開展桌面視頻會議。電子郵件業(yè)務網(wǎng)絡平臺支持電子郵件業(yè)務。信息發(fā)布業(yè)務支持通過 服務器將公共信息發(fā)布到網(wǎng)上。為受眾與信息源溝通，提供介質(zhì)。 VLAN業(yè)務廣電城域網(wǎng)面對各系統(tǒng)用戶中，位于不同位置的同類部門之間的數(shù)據(jù)訪問，需要跨過骨干的 VLAN 的支持?？紤]到網(wǎng)絡的性能，RS 系列交換路由器還提供將 VLAN映射到 MPLS 通道的功能。瑞斯康達公司提供的 RS 系列交換路由器支 持 多 種 VLAN 功 能 ， 包 括 標 準 的 VLAN 支 持 及 Riverstone 專 有 的 Stackable VLAN 功 能 ， 此 外 ， 寬帶IP城域網(wǎng)解決方案17Riverstone 支 持 將 VLAN 映 射 到 MPLS 的 LSP 的 功 能 。Riverstone 也 支 持 基 于 協(xié) 議 的 VLAN 及 動 態(tài) VLAN。基 于 標 準 的 VLAN， 該 VLAN 為 業(yè) 備 標 準 的 支 持 跨 交 換 機 的VLAN。1. Stackable VLAN 可 堆 疊 VLAN 通 過 允 許 在 一 個 以 太 網(wǎng) 幀 上 攜 帶 兩 個 VLAN 頭 而 允許 進 行 VLAN 的 堆 疊 ， 使 得 VLAN 的 總 數(shù) 超 出 了 VLAN 4096 個 的 限制 ， 而 達 到 的 4096*4096 個 總 共 1600 萬 個 。 同 時 ， 多 個 VLAN 現(xiàn) 在 能 夠 被復 用 到 一 個 核 心 VLAN（ Core VLAN） 內(nèi) ， 通 過 屬 性 注 冊 協(xié) 議 （ GARP） 及GARP VLAN 注 冊 協(xié) 議 （ GVRP） 能 夠 被 用 于 通 過 主 干 網(wǎng) 自 動 供 應 VLAN。2. Riverstone 支 持 VLAN 到 MPLS LSP 的 映 射 RS 系 列 路 由 器 通 過 將 VLAN tag 映 射 到 MPLS 的 隧 道 ， 使 的 VLAN 終 接 于 MPLS 路 由 器 。 VLAN 不 再 穿 過 主 干 路 由 器 。 極 大 地 增 加的 VLAN 的 可 擴 充 性 。 (如 圖 ) 寬帶IP城域網(wǎng)解決方案18 VPN業(yè)務 基于隧道的IP VPN 解決方案隨 著 分 組 交 換 上 ATM、 IP 等 技 術 的 發(fā) 展 ， 基 于 包 交 換 和 傳 送 的 虛 擬 網(wǎng) 絡技 術 開 始 大 規(guī) 模 投 入 使 用 。 虛 擬 專 用 網(wǎng) 就 是 利 用 公 用 網(wǎng) 絡 基 礎 設 施 為 企 業(yè) 各 部門 提 供 安 全 的 網(wǎng) 絡 互 聯(lián) 服 務 ， 虛 擬 專 用 網(wǎng) 可 以 利 用 IP 網(wǎng) 絡 、 幀 中 繼 網(wǎng) 絡 和ATM 網(wǎng) 絡 來 建 設 ， 它 能 夠 使 運 行 在 虛 擬 專 用 網(wǎng) 之 上 的 網(wǎng) 絡 應 用 享 有 和 專 用 網(wǎng) 絡同 樣 的 安 全 性 、 可 靠 性 、 優(yōu) 先 級 別 和 可 管 理 性 。 由 于 虛 擬 專 用 網(wǎng) 可 以 為 用 戶 提供 方 便 、 廉 價 的 遠 程 訪 問 ， 特 別 是 對 于 使 用 幀 中 繼 、 DDN 專 線 或 撥 號 方 式接 人 的 用 戶 來 說 ， 基 于 虛 擬 專 用 網(wǎng) 的 花 費 很 小 。 因 此 ， 虛 擬 專 用 網(wǎng) (VPN)業(yè) 務 的 應 用 將 越 來 越 廣 泛 。VPN 技 術 使 企 業(yè) 專 用 網(wǎng) 可 以 安 全 地 擴 展 到 Inter 或 其 他 的 網(wǎng) 絡 服 務 上去 ， 促 進 了 安 全 電 子 商 務 的 發(fā) 展 ， 便 于 實 現(xiàn) 企 業(yè) 與 商 業(yè) 伙 伴 、 供 應 商 和 客 戶 的外 部 網(wǎng) 連 接 。 的 VPN 解 決 方 案 使 用 經(jīng) 濟 有 效 的 、 更 加 靈 活 的 服 務 供 應 商 連 接 ，實 現(xiàn) 了 可 靠 性 、 高 性 能 和 傳 統(tǒng) WAN 環(huán) 境 所 具 有 的 安 全 特 性 。 基于加密的VPN技術 IPSecVPN 的 實 現(xiàn) 主 要 包 括 兩 個 方 面 的 內(nèi) 容 ： 封 裝 和 加 密 。 封 裝 隧 道 技 術 基 本 上有 兩 種 實 現(xiàn) 方 式 ： L2Tunneling 以 及 L3Tunneling。 L2Tunneling 是 將 用 戶 數(shù)據(jù) 包 第 2 層 (包 括 第 2 層 )以 上 的 整 個 信 息 包 括 如 PPP 幀 頭 ， IP 包 頭 ， TCP包 頭 ， 以 及 用 戶 數(shù) 據(jù) 完 全 打 包 到 VPN 傳 輸 網(wǎng) 的 IP 數(shù) 據(jù) 中 ， 在 IP 主 干 網(wǎng) 中傳 輸 的 隧 道 技 術 。 主 要 的 L2Tunneling 協(xié) 議 包 括 L2TP， L2F， PPTP 等 。L3Tunneling 則 只 是 將 用 戶 數(shù) 據(jù) 第 3 層 以 上 的 信 息 打 包 到 主 干 網(wǎng) IP 包 中 ，主 要 的 L3Tunneling 協(xié) 議 包 括 Ipsec, MobileIP 等 技 術 。 寬帶IP城域網(wǎng)解決方案19通 過 隧 道 技 術 的 實 施 ， VPN 用 戶 可 以 得 到 下 面 的 好 處 ：用 戶 可 以 使 用 私 有 的 IP 地 址 空 間 而 不 需 要 在 連 網(wǎng) 時 改 變 自 己 的 地 址 規(guī) 劃 ，同 時 因 為 私 有 地 址 對 公 共 網(wǎng) 上 的 其 他 用 戶 而 言 是 不 可 見 的 ， 這 也 增 加 了 用 戶 網(wǎng)絡 的 安 全 性 。在 隧 道 中 用 戶 可 以 運 行 多 種 網(wǎng) 絡 協(xié) 議 如 IPX， AppleTalk 等 ， 用 戶 基 于 這些 網(wǎng) 絡 協(xié) 議 的 應 用 可 以 繼 續(xù) 使 用 而 不 需 要 淘 汰 。寬 帶 IP 服 務 網(wǎng) 絡 和 用 戶 網(wǎng) 絡 可 以 各 種 運 行 自 己 的 路 由 協(xié) 議 而 互 不 干 擾 。目 前 ， 基 于 加 密 的 VPN 性 能 越 來 越 高 ， 也 出 現(xiàn) 了 采 用 ASIC 芯 片 來 完 成加 密 解 密 過 程 的 VPN 設 備 ， 從 而 使 性 能 得 到 很 大 的 提 高 。 RS router 支 持 以 上 這 種 VPN 實 現(xiàn) 模 式 。在具體的實施中，通常會按需求可能多種方式并用。如大企業(yè)可采取基于加密的VPN 實現(xiàn)，在企業(yè)總部放置支持 VPN 隧道數(shù)較多的 VPN 設備，在各分支點采用 VPN隧道數(shù)相對較少的 VPN 設備。 寬帶IP城域網(wǎng)解決方案20IPSEC提供三種不同的形式來保護通過公有或私有IP 網(wǎng)絡來傳送的私有數(shù)。　　認證——作用是可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的。 　　數(shù)據(jù)完整——作用是保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。 　　機密性——作用是使相應的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。 　　在IPSEC由三個基本要素來提供以上三種保護形式：認證協(xié)議頭（AH）、安全加載封裝（ESP ）和互聯(lián)網(wǎng)密匙管理協(xié)議（ IKMP）。認證協(xié)議頭和安全加載封裝可以通過分開或組合使用來達到所希望的保護等級。 　　認證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個密碼。正如整個名稱所示，AH通過一個只有密匙持有人才知道的“數(shù)字簽名” 來對用戶進行認證。這個簽名是數(shù)據(jù)包通過特別的算法得出的獨特結果；AH還能維持數(shù)據(jù)的完整性，因為在傳輸過程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測出來。不過由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機密性。兩個最普遍的AH標準是MD5和SHA1，MD5 使用最高到128位的密匙，而SHA1通過最高到 160位密匙提供更強的保護。 　　安全加載封裝（ESP ）通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進行全加密來嚴格保證傳輸信息的機密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，因為只有受信任的用戶擁有密匙打開內(nèi)容。ESP也能提供認證和維持數(shù)據(jù)的完整性。最主要的ESP標準是數(shù)據(jù)加密標準（ DES），DES最高支持56位的密匙，而3DES 使用三套密匙加密，那就相當于使用最高到168位的密匙。由于ESP實際上加密所有的數(shù)據(jù)，因而它比AH需要更多的處理時間，從而導致性能下降。 　　密匙管理包括密匙確定和密匙分發(fā)兩個方面，最多需要四個密匙：AH和ESP各兩個發(fā)送和接收密匙。密匙本身是一個二進制字符串，通常用十六進制表示，例如，一個56位的密匙可以表示為5F39DA752E0C25B4 。注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密匙（DES ）足夠滿足大多數(shù)商業(yè)應用了。密匙管理包括手工和自動兩種方式，手工管理系統(tǒng)在有限的安全需要可以工作得很好，而自動管理系統(tǒng)能滿足其他所有的應用要求。 　　使用手工管理系統(tǒng)，密匙由管理站點確定然后分發(fā)到所有的遠程用戶。真實的密匙可以用隨機數(shù)字生成器或簡單的任意拼湊計算出來，每一個密匙可以根據(jù)集團的安 寬帶IP城域網(wǎng)解決方案21全政策進行修改。 　　使用自動管理系統(tǒng)，可以動態(tài)地確定和分發(fā)密匙，顯然和名稱一樣，是自動的。自動管理系統(tǒng)具有一個中央控制點，集中的密匙管理者可以令自己更加安全，最大限度的發(fā)揮IPSEC 的效用。 　　IPSEC的實現(xiàn)方式 　　IPSEC的一個最基本的優(yōu)點是它可以在共享網(wǎng)絡訪問設備，甚至是所有的主機和服務器上完全實現(xiàn)，這很大程度避免了升級任何網(wǎng)絡相關資源的需要。在客戶端，IPSEC架構允許使用在遠程訪問介入路由器或基于純軟件方式使用普通MODEM的PC 機和工作站。而ESP通過兩種模式在應用上提供更多的彈性：傳送模式和隧道模式。 　　IPSEC Packet 可以在壓縮原始IP地址和數(shù)據(jù)的隧道模式使用 　　傳送模式通常當ESP在一臺主機（客戶機或服務器）上實現(xiàn)時使用，傳送模式使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和 UDP頭。 　　隧道模式通常當ESP在關聯(lián)到多臺主機的網(wǎng)絡訪問介入裝置實現(xiàn)時使用，隧道模式處理整個IP數(shù)據(jù)包——包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址做為源地址加入到新的IP頭。當隧道模式用在用戶終端設置時，它可以提供更多的便利來隱藏內(nèi)部服務器主機和客戶機的地址。 基于MPLS的VPN方案 針 對 運 行 商 模 式 的 VPN方 案 ， Riverstone 路 由 器 也 能 提 供 基 于 MPLS的 VPN。 Riverstone 交 換 式 路 由 器 支 持 所 有 的 MPLS特 性 來 實 現(xiàn) QoS及 流 量工 程 能 力 ， 更 重 要 是 的 ， Riverstone MPLS提 供 現(xiàn) 有 城 域 網(wǎng) 特 性 和 MPLS集 成的 擴 展 ， 使 得 運 營 商 能 夠 輕 易 擴 展 它 們 現(xiàn) 有 的 服 務 。（VLL ）及二層VPN 服務當 用 戶 和 網(wǎng) 絡 不 斷 增 長 時 ， 運 營 商 提 供 V