XXX分行网络设计方案目录XXX分行网络设计方案 (1)前言 (1)第1章MPLS VPN简介 (2)第2章 MPLS-VPN的客户解决方案 (3)2.1网络设计框架图 (3)2.2 广域网骨干区 (3)2.3本地生产办公服务器区 (4)2.4 大楼楼层汇聚区 (4)2.5 广域网接入区 (5)2.6 外联区域 (5)第3章ip 地址规划 (6)第4章路由协议 (6)第5章MPLS VPN 规划 (7)第6章网络备份及安全 (7)6.1 网络备份 (7)6.2 网络安全 (7)前言利用统一的计算机网络同时开展多种增值业务,是各大银行应用系统的最新发展趋势。
将各种传统业务从专有系统环境移植到计算机网络上来,不仅可通过计算机网络带来更佳的灵活性、兼容性,而且还可以大大扩展服务范围,提高服务质量,降低运营成本。
然而同时,网络资源的集中也带来了一系列新的问题,如不同业务系统在同一个网络上承载,如何有效的实现逻辑上的隔离、实现不同类别业务的区别服务等等都是需要仔细设计的环节。
随着中国金融系统网络大集中的逐步实施,网络业务横向集中,网络架构纵向集中的趋势日趋深刻,而业务网络物理统一,逻辑上要求安全隔离的呼声也越来越高,如何在统一的网络平台上高效、安全而经济的实现新一代金融网络的需求,成为金融用户、网络方案供应商、网络设备供应商面临的共同问题。
思科技术有限公司致力于提供面向用户的,可裁剪、可扩展、高效、实施简便的专业化金融网络解决方案,面向上述需求,思科公司推出了基于IOS系统网络产品平台MPLS和IPSEC技术的一体化VPN解决方案。
第1章MPLS VPN简介随着社会的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况也使传统网络的功能缺陷越来越凸现:传统网络基于固定物理地点的专线连接方式已难以适应现代金融企业的需求。
于是金融企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。
在这样的背景下,基于MPLS技术平台实现的虚拟私有网(简称为MPLS-VPN),以其独具特色的优势赢得了越来越多的金融企业的青睐。
MPLS是多协议标签交换协议的简称,多协议是指它能够支持多种三层协议;标签是一种短的,易于处理的,不包含拓扑信息,只具有局部意义的信息内容;MPLS的报文转发是基于标签的,在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器分析IP 包的内容并且为这些IP包分配合适的标签。
以后所有MPLS网络中节点都是依据这个标签作为转发依据。
当IP包最终离开MPLS网络时,标签被边缘路由器分离。
MPLS可以在IP网中的实现的一种面向连接的特性。
通过MPLS可以在IP网中提供一些原来只有ATM/ Frame Relay才能提供的业务,使得IP网络可以根据用户需求,提供形式多样、方便快捷的增值服务:VPN(包括二层和三层VPN)、流量工程和QoS、虚拟专线、电路交叉连接(CCC)等等,其中的MPLS VPN 就是其中一项重要的应用。
MPLS VPN可以分为BGP扩展实现的VPN和LDP扩展实现的VPN。
根据PE(Provider Edge)设备是否参与VPN路由又细分为二层VPN和三层VPN。
本次工程中,采用BGP扩展实现的三层MPLS VPN。
采用MPLS VPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便与网络的扩展和变更。
MPLS VPN网络中,由三种设备:CE、PE和P路由器,CE(Custom Edge)是用户直接与服务提供商相连的边缘设备,一般也是路由器设备;PE(Provider Edge)是骨干网中的边缘设备,它直接与用户的CE相连;P路由器(Provider Router)是骨干网中不与CE直接相连的设备,P 路由器并也不知道有VPN的存在,仅仅负责骨干网内部的数据传输。
但其必须能够支持MPLS协议,并使能该协议。
PE位于服务提供商网络的边缘,所有的VPN的构建、连接和管理工作都是在PE上进行的。
第2章 MPLS-VPN 的客户解决方案2.1网络设计框架图MPSL VPN PEOSPFP P PE PEPE PEPE 说明:全网采用双线路热备星型拓扑进行物理连接。
内部IGP 端使用MPBGP ,数据区域2台核心分别为2.2 广域网骨干区2.3本地生产办公服务器区2.4 大楼楼层汇聚区2.5 广域网接入区2.6 外联区域第3章ip 地址规划IP地址分配主要包括P/PE设备互联地址、各设备Loopback接口地址均为32位掩码。
对于设备互联地址没有特殊的要求,一般是整个地址空间在同一个“大”的网段中获取,并且要为今后网络的扩充留有余地。
互联地址尽量采用30位掩码的格式,如果互联采用Ethernet 接口,可以采用29位掩码的网段,这样在今后应用HSRP或者VRRP的时候有足够的地址可以使用。
所有Loopback 地址从10.1.1.1-10.1.1.254/32 此loopback地址可以用于OSPF ROUTE-ID 使用,所有的互联地址规划例如:(133.128.252.1/30----133.128.252.2/30 )(133.128.252.5/30—133.128.252.6/30 .)本地PE端连接总行PE端,遵循总行地址规划。
外联单位地址规划遵循地址30位掩码例如:(134.128.251.1/30---134.128.251.2/30 )。
生产业务生产地址规划地址掩码为24位例如:(135.128.1.0/24)办公业务地址规划地址掩码为24位例如:(136.128.1.0/24)视频会议业务地址规划地址掩码为24位例如:(137.128.1.0/24)开发测试地址规划地址掩码为24位例如:(136.128.10.0/24)监控业务地址规划24位例如:(137.128.10.0/24)第4章路由协议对于骨干层MPLS域,需要某种IGP协议与MBGP结合应用,其中MBGP主要完成私网路由标签分配、各私网路由在“公网”传递等作用,他的地位是不可替代的,没有其他的协议可以替代;对于IGP协议,他的主要作用就是保证MBGP邻居之间的TCP可达性,建议采用OSPF,因为OSPF的适应性好,功能完善,当核心层设备在20台以内的时候,我们建议只运行一个骨干域“0”,这样网络规划简单、维护方便,并且有利于今后骨干层网络的扩展。
对于PE与CE互联,可以采用的路由协议有静态路由、RIP和BGP等多种路由协议。
具体使用那种路由协议要根据情况而定,如当CE以下的网络结构比较复杂,路由条目较多的时候,PE和CE之间需要运行BGP协议,当然应用这种方案对CE的要求也是比较高的。
对于PE 与CE之间的路由协议类型最普遍应用的就是静态路由,只要准循上面提到的IP地址分配原则,各地的路由都可以汇聚成一条或者数目较少的几条,这时应用静态路由是最简单、最方便的,而且网络的维护非常方便。
对于XXX分行内部运行OSPF网络实现主备可以使用OSPF cost值来设置综上,在本期工程中,我们建议的路由协议类型就是:骨干层MBGP+OSPF、PE与CE 互联采用静态路由。
这样对整个网络中的设备要求不是太高,并且可以很好的实现MPLS-VPN。
第5章MPLS VPN 规划通过配置VRF(路由转发实例)的target 属性,可以实现不同业务的VPN。
不同路由器通过target 相关联而组成可以互相访问的集合,由于只有他们内部可以互访,所以我们称之为VPN,配置里并没有专门的VPN 的定义。
也就是说,VPN的成员关系是通过路由所携带的route target属性来获得的。
不同CE 通过PE 配置的VRF 里的Target实现互访与隔离,从而组成不同的VPN。
具体的各业务的RD和route-target根据实际情况规划第6章网络备份及安全6.1 网络备份网络备份可以同时通过两种方式实现:1、通过合理的网络方案设计,实现物理链路与物理设备的备份。
本次工程中,所有的汇聚节点是主备和负荷分担的,在正常工作的情况下,共同分担整个网络的流量,当其中一个失效后,另外一台设备能够承担起所有的流量,保证业务的正常运行;各支行到分行节点的两条广域网链路也是主备双营运商,在主用链路中断的情况下,所有业务可以通过备用链路传输。
2、应用动态路由协议,做到网络的自动备份。
OSPF和BGP 协议,均可以自动地发现两个网络节点之间的迂回路由,并在主用路由不可用时而自动使用备份链路。
并且可以通过在路由器上加入策略,控制数据的流向。
6.2 网络安全可以采用如下的措施,保证网络的安全性:1、MPLS BGP VPN方案采用VRF实现VPN之间的路由隔离2、通过MPLS LSP隧道将VPN流量完全隔离。
3、对网络设备的用户、密码和权限进行控制4、控制对网络设备的SNMP和telnet, 在所有的骨干路由器上建立access-list,只对网管中心的地址段做permit,即通过网管中心的主机才能远程维护各骨干路由设备。
5、在网络设备上配置防火墙,防止外部对网络设备进行的攻击。
6、路由协议在不安全的端口上进行Passive,防止不必要的路由泄露。
7、将所有重要事件进行纪录,通过日志输出。
8、采用防火墙设备对局域网进行保护。