【文章內(nèi)容簡介】 terface FastEther0/1crypto map tomip route （2）Router3 上的 VPN配置accesslist 111 permit ip crypto isakmp policy 10 encr 3des hash md5 authentication presharecrypto isakmp key 2046 address crypto ipsec transformset tim esp3des espmd5hmaccrypto map tom 10 ipsecisakmp set peer set transformset tim match address 111interface FastEther0/0crypto map tomip route 從 PC0（）上可以 ping通 Server2（） （證明可從北京總部訪問上海分部，VPN 配置成功）圖 從 PC0到 Server2可 ping通 MPLS VPN 方案的設(shè)計與實現(xiàn) 組網(wǎng)背景某大型公司除了北京的主要分支點以外，在深圳也有分部。客戶對信息系統(tǒng)的應(yīng)用相對于同行比較超前，目前，OA、郵件、語音等系統(tǒng)都己成為主要的應(yīng)用。OA、語音等系統(tǒng)需要實時的數(shù)據(jù)交換，而且數(shù)據(jù)的交換量較大，依靠原有的網(wǎng)絡(luò)連接，經(jīng)常會帶來數(shù)據(jù)堵塞，速度太慢，系統(tǒng)不能真正的發(fā)揮效益。應(yīng)用超前、網(wǎng)絡(luò)接入的滯后，嚴(yán)重影響了系統(tǒng)應(yīng)用能力的提升。隨著業(yè)務(wù)的不斷發(fā)展，客戶為改造現(xiàn)有語音數(shù)據(jù)綜合通信網(wǎng)絡(luò)并配合即將上馬的企業(yè) ERP系統(tǒng)的應(yīng)用，需要與多個分支機構(gòu)的業(yè)務(wù)點相互連接，建立一個單獨的靈活的符合企業(yè)運用要求的通達(dá)全球的數(shù)據(jù)通信網(wǎng)絡(luò)，保證數(shù)據(jù)傳輸?shù)目煽啃院桶踩裕⒛塬@得優(yōu)良的網(wǎng)絡(luò)服務(wù)質(zhì)量保證。由于 MPLS VPN有與其它的實現(xiàn)技術(shù)有著成本低、靈活性和擴展性好、安全性高、支持 QoS、適用于較大的企事業(yè)單位等諸多優(yōu)點，所以選擇 MPLS作為VPN的實現(xiàn)技術(shù)。 網(wǎng)絡(luò)拓?fù)銷 E 1 6 ( P E A )1 2 2 . 1 1 0 . 1 3 3 . 2N E 8 0 ( P )1 2 2 . 1 1 0 . 1 3 3 . 3N E 1 6 ( P E B )1 2 2 . 1 1 0 . 1 3 3 . 3C E AC E BE 1 1 0 . 0 . 5 . 1 / 2 4E 0 1 7 2 . 1 6 . 0 . 1 0 / 3 0E 1 1 0 . 0 . 3 1 / 2 4E 3 / 2 / 01 9 2 . 1 6 8 . 0 . 1 7 / 3 0E 1 / 0 / 31 9 2 . 1 6 8 . 0 . 1 8 / 3 0E 1 / 0 / 11 9 2 . 1 6 8 . 0 . 1 4 / 3 9E 3 / 3 / 01 9 2 . 1 6 8 . 0 . 1 3 / 3 0E 2 / 2 / 01 7 2 . 1 6 . 0 . 5 / 3 0E 0 1 7 2 . 1 6 . 0 . 6 / 3 0E 2 / 2 / 01 7 2 . 1 6 . 0 . 9 / 3 0北京總部深圳分部圖 MPSL VPN網(wǎng)絡(luò)拓?fù)鋱D IP地址規(guī)劃見圖 。 關(guān)鍵配置代碼（1）PEA 路由器配置router id mpls lsr id //配置 mpls lsr id 此處用和 router id一致的Loopback地址! mpls ldp //啟動 MPLS LDP協(xié)議! ip vrf vpntest //配置 vrf，其中 vpntest為 vrf名稱rd 100:1 //rd為標(biāo)識符，結(jié)構(gòu)為自治系統(tǒng)編號：VPN 站點編號routetarget export 100:1routetarget import 100:1! interface Ether2/2/0description TO_RouterCEAip vrf forwarding vpntest //VPN站點連接 CE路由器接口啟動 vrf forwarding ip address interface Ether3/2/0description TO_RouterNE80_P ip address mpls ldp enable //與 P路由器連接的接口啟動 MPLS LDP協(xié)議!interface LoopBack7/0/0 ip address !router bgp 100 //配置 BGP協(xié)議 !addressfamily ipv4 vrf vpntest //此模式為配置 EBGP和 CE路由器通過 BGP協(xié)議來傳遞 VPN 站點的路由redistribute staticredistribute connectedno synchronizationneighbor remoteas 65000exitaddressfamily ! addressfamily vpnv4 //此模式為配置 vpnv4 iBGP路由，用于在 PE之間傳播 MBGP VPN路由no synchronization neighbor remoteas 100neighbor nexthopselfneighbor updatesource LoopBack7/0/0exitaddressfamily!router ospf //PE、P 路由器路由通過 IGP路由協(xié)議傳播work area redistribute staticredistribute connected （2）配置 NE80 作為 P路由器只做標(biāo)簽轉(zhuǎn)發(fā)router id mpls lsr id mpls ldp!interface Ether1/0/1 description TO_RouterPEBnegotiation autono shutdownip address mpls ldp enable //與 PEB路由器連接的接口啟動 MPLS LDP協(xié)議!interface Ether1/0/3 description TO_RouterPEAnegotiation autono shutdownip address mpls ldp enable //與 PEA路由器連接的接口啟動 MPLS LDP協(xié)議!interface LoopBack0ip address !router ospfwork area redistribute connected redistribute static（3）CEA 路由器配置（VPN 用戶路由器）router id interface Ether0 //用于和 PEA路由器連接speed autoduplex autono loopbackip address !interface Ether1 //接入 VPN用戶局域網(wǎng)speed autoduplex auto no loopbackip address !router bgp 65000 //配置 EBGP路由，與 PE路由器之間傳遞 VPN用戶路由redistribute static redistribute connectedneighbor remoteas 100!（4）配置 PEB路由器，和 CEB之間通過靜態(tài)路由互聯(lián)hostname PEBrouter id mpls lsr id mpls ldp!ip vrf vpntestrd 100:1routetarget export 100:1routetarget import 100:1!interface Ether12/2/0 //用于和 CEB路由器連接 ip vrf forwarding vpntestip address !interface Ether13/2/0 //用于和 P路由器連接 ip address mpls ldp enable!interface LoopBack7/0/0 ip address !router bgp 100!addressfamily ipv4 vrf vpntestredistribute staticredistribute connected no synchronizationexitaddressfamily!addressfamily vpnv4no synchronizationneighbor remoteas 100neighbor nexthopselfneighbor updatesource LoopBack7/0/0 exitaddressfamily !router ospfwork area redistribute connected redistribute static!ip route vrf vpntest preference 60 //配置到 CEB路由器 VPN用戶網(wǎng)段地址靜態(tài)路由（5）配置 CEB路由器interface Ether0 //與 PEB路由器對接ip address interface Ether1 //接入 VPN用戶局域網(wǎng)ip address ip route preference 60 //配置一條默認(rèn)路由5 IPSec VPN 與 MPLS VPN 的對比分析MPLS VPN是一種基于 MPLS(Multiprotocol Label Switc hing,多協(xié)議標(biāo)記交換 )技術(shù)的 IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用 MPLS技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的 IP虛擬專用網(wǎng)絡(luò)（IP VPN） ，可用來構(gòu)造寬帶的 Intra、 Extra，滿足多種靈活的業(yè)務(wù)需求。MPLS有很多方面的優(yōu)點，其中主要的優(yōu)點就是采用了類似標(biāo)記交換和 IP交換的方式，可以充分利用電信交換網(wǎng)絡(luò)的硬件優(yōu)勢，相對簡化轉(zhuǎn)發(fā)處理，提高 IP包的轉(zhuǎn)發(fā)效率。與 IPSec VPN比較，MPLS VPN有它優(yōu)越的一方面，但也并非處處完美。下面從幾個方面對 MPLS VPN與 IPSEC VPN進(jìn)行對比。1）系統(tǒng)的可靠性MPLS VPN是基于電信的網(wǎng)絡(luò)進(jìn)行構(gòu)建的，它的穩(wěn)定性相當(dāng)高。由于本身屬于電信的一項數(shù)據(jù)業(yè)務(wù)，它的帶寬是完全有保證的，也就是說，租用 MPLS鏈路，就能夠得到相應(yīng)的數(shù)據(jù)帶寬。從可靠性來說，MPLS 有很強的優(yōu)勢。相當(dāng)于另外一種形式的專線。IPSec VPN是完全基于 Inter構(gòu)建的，因此它的可靠性依賴于兩個方面：線路的可靠性和設(shè)備的穩(wěn)定性。從設(shè)備可靠性來看，IPSEC 作為主流的 VPN協(xié)議，它的技術(shù)一般都比較完善。目前基于 IPSec的 VPN技術(shù)已經(jīng)成熟，很多產(chǎn)品的運行都能夠非常穩(wěn)定可靠。目前 Inter的接入已經(jīng)非常普及，由于長期的投入建設(shè)，整個Inter線路已經(jīng)達(dá)到了很高的水平，不僅帶寬有保證，而且提供的接入方式多樣。一旦某一條線路出錯，可以使用其他備份線路接入 Inter。因此單一線路可靠性雖然沒有 MPLS高，由于隨時可以使用的其他線路作備份，因此系統(tǒng)具有很強的容錯能力。這一點，是 MPLS鏈路無法達(dá)到的。2）投入成本從投入成本上分析，MPLS 可以免除設(shè)備投資，但是大多數(shù)情況下，用戶還是需要購買路由器之類的設(shè)備。另外，MPLS 長期的租金累計起來，也不是一個小數(shù)目， 例如 512K的帶寬，每個月需要上千元到幾千元的網(wǎng)絡(luò)租用費，如果是國際鏈路，就會更加昂貴。但同樣 512K的 Inter接入費用，以普通的 ADSL為例，現(xiàn)在在大多數(shù)城市只需要 100～200 元左右。采用 IPSec VPN，一次性設(shè)備投入比較大。但從長遠(yuǎn)看來，費用分?jǐn)傄院?，那么它的費用實際是比 MPLS VPN要低很多。3）接入方便性MPLS VPN連接比較簡單，只要求客戶把客戶設(shè)備(CE) 連接到運營商的網(wǎng)絡(luò)邊緣設(shè)備(PE)就可以了，運營商同時負(fù)責(zé)二層的數(shù)據(jù)傳輸工作和三層的路由工作，這種三層 MPLS VPN對客戶的要求比較低，客戶負(fù)擔(dān)較小，但這種做法常見的問題就是接入的靈活性。因為 MPLS VPN是單一運營商提供的，跨運營商的連接常常存在很大問題，例如：聯(lián)通提供的 MPLS服務(wù)和電信提供的 MPLS，彼此就很難連接。而大型客戶往往在全國各地都有自己的分支機構(gòu)，如果寄希望這些分支機構(gòu)所在城市都有同一家運營商并且都提供 MPLS VPN的服務(wù)，顯然很不現(xiàn)實，特別是在偏遠(yuǎn)地區(qū)和移動用戶。因此 MPLS更適合在城域網(wǎng)中，或者象中國電信這樣大型的全國性的運營商中使用。IPSec VPN則是完全利用互聯(lián)網(wǎng)，做到了只要接入 Inter，就可以利用IPSEC VPN來組建企業(yè)自己的網(wǎng)絡(luò)。其屬于端到端服務(wù)，不需要骨干網(wǎng)絡(luò)承擔(dān)業(yè)務(wù)相關(guān)功能。響應(yīng)市場變化的速度快捷，可以