【文章內(nèi)容簡介】 OSPF 是基于 Link_State 的路由協(xié)議。在每個(gè) HOP 上都定義了一個(gè) COST，OSPF認(rèn)為 COST 之和最小的路徑為最好。 OSPF 協(xié)議具有下面的特點(diǎn) ：? 分層路由結(jié)構(gòu)，支持路由匯聚(route summary)，支持的路由器數(shù)量在實(shí)際網(wǎng)絡(luò)環(huán)境中沒有限制，適合大型網(wǎng)絡(luò)的要求。? 完全基于標(biāo)準(zhǔn)的解決方案? 極強(qiáng)的容錯(cuò)能力，支持復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。? 快速的收斂時(shí)間，OSPF 分層路由方式能將路由的變化對(duì)整體網(wǎng)絡(luò)路由結(jié)構(gòu)的影響限制在最小的范圍內(nèi)。? 基于OSPF協(xié)議的上述特點(diǎn)，本方案選用OSPF路由協(xié)議作為核心路由協(xié)議。? 為了充分獲得 OSPF 的優(yōu)點(diǎn)，必須進(jìn)行合理的區(qū)域的劃分和地址規(guī)劃。? OSPF 區(qū)域劃分OSPF 區(qū)域劃分一般遵循下面的經(jīng)驗(yàn)法則 ：? OSPF 邏輯域的劃分和物理區(qū)域的劃分盡量一致? 每個(gè)區(qū)(Area)的路由器不超過 50 個(gè)? 一個(gè)區(qū)邊界路由器(ABR)連接不超過 5 個(gè) Area。根據(jù)上述的原則，以各核心層路由器作為 Backbone 域，各接入層路由器以各自域加入 Backbone 域，在路由的優(yōu)化方面，仔細(xì)規(guī)劃各接入層路由器的 IP 地址，以方便 寬帶IP城域網(wǎng)解決方案15實(shí)現(xiàn) OSPF 路由的匯聚。減少路由表的大小。采用 OSPF 之間的多路徑冗余。實(shí)現(xiàn)路由的容錯(cuò)能力。在寬帶 IP 城域網(wǎng)絡(luò)中與 Inter 的連接建議選擇業(yè)界標(biāo)準(zhǔn)的 BGP－4 路由協(xié)議。 IP 地址分配IP 地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。其與網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織、路由規(guī)劃有非常密切的關(guān)系。在地址分配過程中，主要考慮以下原則：◆IP 地址應(yīng)由統(tǒng)一的網(wǎng)管中心分配使用。IP 地址的規(guī)劃與劃分應(yīng)該考慮網(wǎng)絡(luò)的未來的發(fā)展?！鬒P 地址的分配必須采用 VLSM 技術(shù)，保證 IP 地址的利用效率?！舨捎?CIDR 技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由收斂速度。 寬帶IP城域網(wǎng)解決方案163 網(wǎng)絡(luò)應(yīng)用 業(yè)務(wù)分類IP城域?qū)拵ЬW(wǎng)可以提供多種業(yè)務(wù)。在本期網(wǎng)絡(luò)設(shè)計(jì)中，可以提供的業(yè)務(wù)有：虛擬專網(wǎng)業(yè)務(wù)通過虛擬專網(wǎng)可以實(shí)現(xiàn)廣域網(wǎng)辦公系統(tǒng)，實(shí)現(xiàn)省、市、縣各級(jí)政府機(jī)關(guān)之間的的文件傳遞、信息傳遞、多媒體信息交換、值班應(yīng)急系統(tǒng)、信息發(fā)布、相互查詢信息資源等辦公功能。視頻會(huì)議業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)支持視頻會(huì)議業(yè)務(wù)，支持以單個(gè)縱向網(wǎng)或橫向網(wǎng)為單位開展桌面視頻會(huì)議。電子郵件業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)支持電子郵件業(yè)務(wù)。信息發(fā)布業(yè)務(wù)支持通過 服務(wù)器將公共信息發(fā)布到網(wǎng)上。為受眾與信息源溝通，提供介質(zhì)。 VLAN業(yè)務(wù)廣電城域網(wǎng)面對(duì)各系統(tǒng)用戶中，位于不同位置的同類部門之間的數(shù)據(jù)訪問，需要跨過骨干的 VLAN 的支持?？紤]到網(wǎng)絡(luò)的性能，RS 系列交換路由器還提供將 VLAN映射到 MPLS 通道的功能。瑞斯康達(dá)公司提供的 RS 系列交換路由器支 持 多 種 VLAN 功 能 ， 包 括 標(biāo) 準(zhǔn) 的 VLAN 支 持 及 Riverstone 專 有 的 Stackable VLAN 功 能 ， 此 外 ， 寬帶IP城域網(wǎng)解決方案17Riverstone 支 持 將 VLAN 映 射 到 MPLS 的 LSP 的 功 能 。Riverstone 也 支 持 基 于 協(xié) 議 的 VLAN 及 動(dòng) 態(tài) VLAN?；?于 標(biāo) 準(zhǔn) 的 VLAN， 該 VLAN 為 業(yè) 備 標(biāo) 準(zhǔn) 的 支 持 跨 交 換 機(jī) 的VLAN。1. Stackable VLAN 可 堆 疊 VLAN 通 過 允 許 在 一 個(gè) 以 太 網(wǎng) 幀 上 攜 帶 兩 個(gè) VLAN 頭 而 允許 進(jìn) 行 VLAN 的 堆 疊 ， 使 得 VLAN 的 總 數(shù) 超 出 了 VLAN 4096 個(gè) 的 限制 ， 而 達(dá) 到 的 4096*4096 個(gè) 總 共 1600 萬 個(gè) 。 同 時(shí) ， 多 個(gè) VLAN 現(xiàn) 在 能 夠 被復(fù) 用 到 一 個(gè) 核 心 VLAN（ Core VLAN） 內(nèi) ， 通 過 屬 性 注 冊(cè) 協(xié) 議 （ GARP） 及GARP VLAN 注 冊(cè) 協(xié) 議 （ GVRP） 能 夠 被 用 于 通 過 主 干 網(wǎng) 自 動(dòng) 供 應(yīng) VLAN。2. Riverstone 支 持 VLAN 到 MPLS LSP 的 映 射 RS 系 列 路 由 器 通 過 將 VLAN tag 映 射 到 MPLS 的 隧 道 ， 使 的 VLAN 終 接 于 MPLS 路 由 器 。 VLAN 不 再 穿 過 主 干 路 由 器 。 極 大 地 增 加的 VLAN 的 可 擴(kuò) 充 性 。 (如 圖 ) 寬帶IP城域網(wǎng)解決方案18 VPN業(yè)務(wù) 基于隧道的IP VPN 解決方案隨 著 分 組 交 換 上 ATM、 IP 等 技 術(shù) 的 發(fā) 展 ， 基 于 包 交 換 和 傳 送 的 虛 擬 網(wǎng) 絡(luò)技 術(shù) 開 始 大 規(guī) 模 投 入 使 用 。 虛 擬 專 用 網(wǎng) 就 是 利 用 公 用 網(wǎng) 絡(luò) 基 礎(chǔ) 設(shè) 施 為 企 業(yè) 各 部門 提 供 安 全 的 網(wǎng) 絡(luò) 互 聯(lián) 服 務(wù) ， 虛 擬 專 用 網(wǎng) 可 以 利 用 IP 網(wǎng) 絡(luò) 、 幀 中 繼 網(wǎng) 絡(luò) 和ATM 網(wǎng) 絡(luò) 來 建 設(shè) ， 它 能 夠 使 運(yùn) 行 在 虛 擬 專 用 網(wǎng) 之 上 的 網(wǎng) 絡(luò) 應(yīng) 用 享 有 和 專 用 網(wǎng) 絡(luò)同 樣 的 安 全 性 、 可 靠 性 、 優(yōu) 先 級(jí) 別 和 可 管 理 性 。 由 于 虛 擬 專 用 網(wǎng) 可 以 為 用 戶 提供 方 便 、 廉 價(jià) 的 遠(yuǎn) 程 訪 問 ， 特 別 是 對(duì) 于 使 用 幀 中 繼 、 DDN 專 線 或 撥 號(hào) 方 式接 人 的 用 戶 來 說 ， 基 于 虛 擬 專 用 網(wǎng) 的 花 費(fèi) 很 小 。 因 此 ， 虛 擬 專 用 網(wǎng) (VPN)業(yè) 務(wù) 的 應(yīng) 用 將 越 來 越 廣 泛 。VPN 技 術(shù) 使 企 業(yè) 專 用 網(wǎng) 可 以 安 全 地 擴(kuò) 展 到 Inter 或 其 他 的 網(wǎng) 絡(luò) 服 務(wù) 上去 ， 促 進(jìn) 了 安 全 電 子 商 務(wù) 的 發(fā) 展 ， 便 于 實(shí) 現(xiàn) 企 業(yè) 與 商 業(yè) 伙 伴 、 供 應(yīng) 商 和 客 戶 的外 部 網(wǎng) 連 接 。 的 VPN 解 決 方 案 使 用 經(jīng) 濟(jì) 有 效 的 、 更 加 靈 活 的 服 務(wù) 供 應(yīng) 商 連 接 ，實(shí) 現(xiàn) 了 可 靠 性 、 高 性 能 和 傳 統(tǒng) WAN 環(huán) 境 所 具 有 的 安 全 特 性 。 基于加密的VPN技術(shù) IPSecVPN 的 實(shí) 現(xiàn) 主 要 包 括 兩 個(gè) 方 面 的 內(nèi) 容 ： 封 裝 和 加 密 。 封 裝 隧 道 技 術(shù) 基 本 上有 兩 種 實(shí) 現(xiàn) 方 式 ： L2Tunneling 以 及 L3Tunneling。 L2Tunneling 是 將 用 戶 數(shù)據(jù) 包 第 2 層 (包 括 第 2 層 )以 上 的 整 個(gè) 信 息 包 括 如 PPP 幀 頭 ， IP 包 頭 ， TCP包 頭 ， 以 及 用 戶 數(shù) 據(jù) 完 全 打 包 到 VPN 傳 輸 網(wǎng) 的 IP 數(shù) 據(jù) 中 ， 在 IP 主 干 網(wǎng) 中傳 輸 的 隧 道 技 術(shù) 。 主 要 的 L2Tunneling 協(xié) 議 包 括 L2TP， L2F， PPTP 等 。L3Tunneling 則 只 是 將 用 戶 數(shù) 據(jù) 第 3 層 以 上 的 信 息 打 包 到 主 干 網(wǎng) IP 包 中 ，主 要 的 L3Tunneling 協(xié) 議 包 括 Ipsec, MobileIP 等 技 術(shù) 。 寬帶IP城域網(wǎng)解決方案19通 過 隧 道 技 術(shù) 的 實(shí) 施 ， VPN 用 戶 可 以 得 到 下 面 的 好 處 ：用 戶 可 以 使 用 私 有 的 IP 地 址 空 間 而 不 需 要 在 連 網(wǎng) 時(shí) 改 變 自 己 的 地 址 規(guī) 劃 ，同 時(shí) 因 為 私 有 地 址 對(duì) 公 共 網(wǎng) 上 的 其 他 用 戶 而 言 是 不 可 見 的 ， 這 也 增 加 了 用 戶 網(wǎng)絡(luò) 的 安 全 性 。在 隧 道 中 用 戶 可 以 運(yùn) 行 多 種 網(wǎng) 絡(luò) 協(xié) 議 如 IPX， AppleTalk 等 ， 用 戶 基 于 這些 網(wǎng) 絡(luò) 協(xié) 議 的 應(yīng) 用 可 以 繼 續(xù) 使 用 而 不 需 要 淘 汰 。寬 帶 IP 服 務(wù) 網(wǎng) 絡(luò) 和 用 戶 網(wǎng) 絡(luò) 可 以 各 種 運(yùn) 行 自 己 的 路 由 協(xié) 議 而 互 不 干 擾 。目 前 ， 基 于 加 密 的 VPN 性 能 越 來 越 高 ， 也 出 現(xiàn) 了 采 用 ASIC 芯 片 來 完 成加 密 解 密 過 程 的 VPN 設(shè) 備 ， 從 而 使 性 能 得 到 很 大 的 提 高 。 RS router 支 持 以 上 這 種 VPN 實(shí) 現(xiàn) 模 式 。在具體的實(shí)施中，通常會(huì)按需求可能多種方式并用。如大企業(yè)可采取基于加密的VPN 實(shí)現(xiàn)，在企業(yè)總部放置支持 VPN 隧道數(shù)較多的 VPN 設(shè)備，在各分支點(diǎn)采用 VPN隧道數(shù)相對(duì)較少的 VPN 設(shè)備。 寬帶IP城域網(wǎng)解決方案20IPSEC提供三種不同的形式來保護(hù)通過公有或私有IP 網(wǎng)絡(luò)來傳送的私有數(shù)。　　認(rèn)證——作用是可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的。 　　數(shù)據(jù)完整——作用是保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測(cè)的數(shù)據(jù)丟失與改變。 　　機(jī)密性——作用是使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。 　　在IPSEC由三個(gè)基本要素來提供以上三種保護(hù)形式：認(rèn)證協(xié)議頭（AH）、安全加載封裝（ESP ）和互聯(lián)網(wǎng)密匙管理協(xié)議（ IKMP）。認(rèn)證協(xié)議頭和安全加載封裝可以通過分開或組合使用來達(dá)到所希望的保護(hù)等級(jí)。 　　認(rèn)證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個(gè)密碼。正如整個(gè)名稱所示，AH通過一個(gè)只有密匙持有人才知道的“數(shù)字簽名” 來對(duì)用戶進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過特別的算法得出的獨(dú)特結(jié)果；AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出來。不過由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機(jī)密性。兩個(gè)最普遍的AH標(biāo)準(zhǔn)是MD5和SHA1，MD5 使用最高到128位的密匙，而SHA1通過最高到 160位密匙提供更強(qiáng)的保護(hù)。 　　安全加載封裝（ESP ）通過對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來嚴(yán)格保證傳輸信息的機(jī)密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，因?yàn)橹挥惺苄湃蔚挠脩魮碛忻艹状蜷_內(nèi)容。ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。最主要的ESP標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)（ DES），DES最高支持56位的密匙，而3DES 使用三套密匙加密，那就相當(dāng)于使用最高到168位的密匙。由于ESP實(shí)際上加密所有的數(shù)據(jù)，因而它比AH需要更多的處理時(shí)間，從而導(dǎo)致性能下降。 　　密匙管理包括密匙確定和密匙分發(fā)兩個(gè)方面，最多需要四個(gè)密匙：AH和ESP各兩個(gè)發(fā)送和接收密匙。密匙本身是一個(gè)二進(jìn)制字符串，通常用十六進(jìn)制表示，例如，一個(gè)56位的密匙可以表示為5F39DA752E0C25B4 。注意全部長度總共是64位，包括了8位的奇偶校驗(yàn)。56位的密匙（DES ）足夠滿足大多數(shù)商業(yè)應(yīng)用了。密匙管理包括手工和自動(dòng)兩種方式，手工管理系統(tǒng)在有限的安全需要可以工作得很好，而自動(dòng)管理系統(tǒng)能滿足其他所有的應(yīng)用要求。 　　使用手工管理系統(tǒng)，密匙由管理站點(diǎn)確定然后分發(fā)到所有的遠(yuǎn)程用戶。真實(shí)的密匙可以用隨機(jī)數(shù)字生成器或簡單的任意拼湊計(jì)算出來，每一個(gè)密匙可以根據(jù)集團(tuán)的安 寬帶IP城域網(wǎng)解決方案21全政策進(jìn)行修改。 　　使用自動(dòng)管理系統(tǒng)，可以動(dòng)態(tài)地確定和分發(fā)密匙，顯然和名稱一樣，是自動(dòng)的。自動(dòng)管理系統(tǒng)具有一個(gè)中央控制點(diǎn)，集中的密匙管理者可以令自己更加安全，最大限度的發(fā)揮IPSEC 的效用。 　　IPSEC的實(shí)現(xiàn)方式 　　IPSEC的一個(gè)最基本的優(yōu)點(diǎn)是它可以在共享網(wǎng)絡(luò)訪問設(shè)備，甚至是所有的主機(jī)和服務(wù)器上完全實(shí)現(xiàn)，這很大程度避免了升級(jí)任何網(wǎng)絡(luò)相關(guān)資源的需要。在客戶端，IPSEC架構(gòu)允許使用在遠(yuǎn)程訪問介入路由器或基于純軟件方式使用普通MODEM的PC 機(jī)和工作站。而ESP通過兩種模式在應(yīng)用上提供更多的彈性：傳送模式和隧道模式。 　　IPSEC Packet 可以在壓縮原始IP地址和數(shù)據(jù)的隧道模式使用 　　傳送模式通常當(dāng)ESP在一臺(tái)主機(jī)（客戶機(jī)或服務(wù)器）上實(shí)現(xiàn)時(shí)使用，傳送模式使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和 UDP頭。 　　隧道模式通常當(dāng)ESP在關(guān)聯(lián)到多臺(tái)主機(jī)的網(wǎng)絡(luò)訪問介入裝置實(shí)現(xiàn)時(shí)使用，隧道模式處理整個(gè)IP數(shù)據(jù)包——包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址做為源地址加入到新的IP頭。當(dāng)隧道模式用在用戶終端設(shè)置時(shí)，它可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機(jī)和客戶機(jī)的地址。 基于MPLS的VPN方案 針 對(duì) 運(yùn) 行 商 模 式 的 VPN方 案 ， Riverstone 路 由 器 也 能 提 供 基 于 MPLS的 VPN。 Riverstone 交 換 式 路 由 器 支 持 所 有 的 MPLS特 性 來 實(shí) 現(xiàn) QoS及 流 量工 程 能 力 ， 更 重 要 是 的 ， Riverstone MPLS提 供 現(xiàn) 有 城 域 網(wǎng) 特 性 和 MPLS集 成的 擴(kuò) 展 ， 使 得 運(yùn) 營 商 能 夠 輕 易 擴(kuò) 展 它 們 現(xiàn) 有 的 服 務(wù) 。（VLL ）及二層VPN 服務(wù)當(dāng) 用 戶 和 網(wǎng) 絡(luò) 不 斷 增 長 時(shí) ， 運(yùn) 營 商 提 供 V