一种基于MPLS的中大型企业网及其实现方法技术

本发明专利技术公开了一种基于MPLS的中大型企业网及其实现方法，中大型企业网，包括Headquarter总部、一个Home Office分部、一个Mobile IPv6分部、四个办公分部分别为office#1、office#2、office#3、office#5；每个分支机构模块都可实现单独的网络接入功能，保证每个单独模块网络状况的运行；利用路由器和交换机设备保证Headquarter和分部正常的通信工作。中大型企业网实现方法包括以下步骤：DMVPN的搭建、MPLS VPN的配置、设置SSH远程登陆方式、组播流量控制、IPv6网络部署、HSRP备份、利用ACL防止网络攻击、通过QoS对路由的优化。本发明专利技术结构简单，降低网络的复杂性，让故障的排除更加的简单方便，确保升级过程中不会影响企业各部门的正常工作，也便于工作人员更容易去管理及维护。维护。维护。

【技术实现步骤摘要】
一种基于MPLS的中大型企业网及其实现方法


[0001]本专利技术属于数字通信
，具体涉及一种基于MPLS的中大型企业网及其实现方法。

技术介绍

[0002]我国计算机网络近十几年发展地非常迅速，如今多数地区都已经普遍运用了百兆的带宽，在下载及缓冲能力上已经有了非常巨大的突破，但在企业网的建设上仍有明显的不足。为适应企业的不断发展，扩大企业的规模以及改进企业的管理方式，企业网的精细规划就显得尤为重要。随着企业网络的日益发展，企业及公网中的路由设备所要处理的流量也越来越大，但由于路由设备性能有限，尤其是在同一时间处理较大的路由条目时，路由设备就显得力不从心，导致以下两个主要问题：
[0003]1、企业网建设多是几年甚至十几年前的传统水平且其建设成本昂贵，企业各个分支机构都是相互独立的网络系统，企业资源分散在各机构中，在资源共享方面依然存在较多安全问题；
[0004]2、对企业网的内部管理而言，管理信息的发送途中跨越众多路由设备，随着这些数据流信息在网络上的泛洪传输，路由设备在这些数据流管理信息同时到达时不能迅速作出响应，进而分支机构也无法对总部的管理信息做出快速的响应。

技术实现思路

[0005]为了解决现有现有企业网发展滞后导致的资源分散、响应较慢等问题，本专利技术目的是提供一个安全稳定的企业网作为资源共享平台，在保证企业正常接入Internet的同时，企业内部管理信息以及重要通知可以迅速下达，进一步实现办公的自动化，从而降低企业职员办公成本，企业管理人员同样能以最快、最有效的对企业内部出现的问题采取措施，保证企业的稳定性。
[0006]本专利技术的技术方案如下，一种基于MPLS的中大型企业网，包括Headquarter总部、一个Home Office分部、一个Mobile IPv6分部、四个办公分部分别为office#1、office#2、office#3、office#5；每个分支机构模块都可实现单独的网络接入功能，保证每个单独模块网络状况的运行；利用路由器和交换机设备保证Headquarter和分部正常的通信工作。
[0007]Headquarter的两台交换机设备涉及到的路由条目较多，需要用核心层交换机来部署，可以直接做三层的路由转发，分部的交换机设备由于需要完成的数据处理量不大，因此需要的交换机性能要求相对一般，作为接入层交换机使用。Headquarter路由器的流量出入需要做好冗余备份，保证其中一台设备出现问题不会影响整个网络的稳定性。其他设备保证正常的接入网络，完成整个网络结构的互联。根据实验拓扑进行核心层交换机的配置以用来保证Headquarter网络的底层互联问题。在交换机上分别创建VLAN用做SVI接口与路由器接口相连，每个VLAN对应不同网段的SVI接口。核心层设备涉及到的PC机及服务器都是Headquarter网络中的重要成员，同时它们也作为DHCP下放地址的中继设备，它们的稳定运
行一定程度上保证着整个网络的稳定程度，动态路由协议的选择采用OSPF协议，保证内网的互通。
[0008]本网络模型是基于MPLS域来部署的，MPLS域的合理规划保证了整个企业网的安全性及稳定性，MPLS域有独特的转发数据包的方式，这种转发方式不同于传统的数据包转发，MPLS域的转发提供了一定的安全性，这一点对企业网流量的稳定存储转发来说是非常重要的。
[0009]相应地，公开一种基于MPLS的中大型企业网的实现方法，包括以下步骤：
[0010]S1.DMVPN的搭建，
[0011]包含三个阶段，第一阶段是总部到分部通过公网建立一条企业的专用隧道，总部和分部的数据通信先利用这条专用隧道建立连接状态，当这条隧道正常工作后，总部和分部就可以实现DMVPN必要的数据流的正常通信；第二阶段主要是解决各分部的路由问题，通过调整动态路由协议的下一条跳地址或者网络类型，把需要的路由条目引入到路由表中，实现分部到分部的路由共通；第三阶段则是内外网映射，根据动态路由协议的选择确定映射关系，保证DMVPN的稳定运行。
[0012]S2.MPLS VPN的配置，
[0013]包含四个阶段，每个阶段的配置都是MPLS VPN的独立模块，各个模块配合使用，最终实现MPLS VPN的网络搭建；四个阶段的实现如下所示：
[0014](1)配置LDP，
[0015]公网区域配置IGP协议完成后，配置LDP协议在公网路由设备上，以此达到通过标签来转发路由条目的目的，这就摒弃了传统的路由转发方式，从而保证企业网络流量传输的安全性。
[0016](2)配置VRF，
[0017]配置VRF是为了区分路由条目，利用标记来决定需要接收的数据流，VRF过滤了企业网中多余的路由条目，大量减轻了路由器负担。
[0018](3)配置VPNV 4地址簇，
[0019]BGP可传播多种类型的路由条目，因为它有多个地址簇来保证这些路由条目的传递，如IPv4 Unicast、IPv4Multicast、IPv4 VPNv4、IPv6。本课题所配置的MPLS协议在数据包头部分封装了标签信息，这种带有标签信息的数据包就需要通过BGP的VPNv4地址簇来转发；
[0020](4)配置PE和CE路由，
[0021]PE
‑
CE端采用BGP协议来建立连接，利用PE端重发布来使企业网络学习到这些VRF里的路由条目，进而实现全网互通。
[0022]S3.设置SSH远程登陆方式，
[0023]数字证书将会对工作站和网络设备之间的连接状态进行认证，同时SSH会为受保护的数据流进行加密处理；
[0024]S4.组播流量控制，
[0025]把各个设备独立开来，每台设备完成相互独立的功能需求，以此来形成一个完善的组播网络系统；组播结构中有分为两个通告消息，稀疏模式的组播中路由设备通过发送这两个消息来竞选RP，成功入选的RP成为组播汇聚点，所有组播消息通过组播汇聚点下发，
组播汇聚点负责整个组播域的广播。RP选举的完成意味着一个组的组播流量可以正常接收和转发，当有新成员加入到这个组中时可以继续发送竞选RP信息，以便适应新的组播成员加入，企业可以有效的控制加入到组播中的用户，不同的用户可能会分到不同的组播域中，不同的组播域实现了不同的数据通信。当RP选举过程完成之后，组播域就可以根据特定的组进行数据信息转发，这就有效的对组播流量进行了精确控制，组播的实现解决了广播形式中最大的缺点，使得数据流量可以不再发送到全网中，所以组播有效的提升了网络资源的利用率，在一定程度上优化了整个企业网络。
[0026]S5.IPv6网络部署，
[0027]采用基于IPv6的OSPFv3协议，实时监控具体链路协议的运行状况信息，
[0028]S6.HSRP备份，
[0029]带有冗余备份的主机连接到通信设备时，这两台通信设备为这个主机提供了虚拟的网关，当其中一条通信链路断掉时，并不影响主机的正常工作，HSRP可本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于MPLS的中大型企业网，其特征在于：包括Headquarter总部、一个Home Office分部、一个Mobile IPv6分部、四个办公分部分别为office#1、office#2、office#3、office#5；每个分支机构模块都可实现单独的网络接入功能，保证每个单独模块网络状况的运行；利用路由器和交换机设备保证Headquarter和分部正常的通信工作,Headquarter的两台交换机设备涉及到的路由条目较多，需要用核心层交换机来部署，可以直接做三层的路由转发，需要的交换机性能要求相对一般，作为接入层交换机使用；Headquarter路由器的流量出入需要做好冗余备份，保证其中一台设备出现问题不会影响整个网络的稳定性，其他设备保证正常的接入网络，完成整个网络结构的互联；根据实验拓扑进行核心层交换机的配置以用来保证Headquarter网络的底层互联问题；在交换机上分别创建VLAN用做SVI接口与路由器接口相连，每个VLAN对应不同网段的SVI接口；核心层设备涉及到的PC机及服务器都是Headquarter网络中的重要成员，同时它们也作为DHCP下放地址的中继设备，它们的稳定运行一定程度上保证着整个网络的稳定程度，动态路由协议的选择采用OSPF协议，保证内网的互通。2.一种基于MPLS的中大型企业网的实现方法，其特征在于：包括以下步骤：S1.DMVPN的搭建，包含三个阶段，(1)总部到分部通过公网建立一条企业的专用隧道，总部和分部的数据通信先利用这条专用隧道建立连接状态，当这条隧道正常工作后，总部和分部就可以实现DMVPN必要的数据流的正常通信；(2)解决各分部的路由问题，通过调整动态路由协议的下一条跳地址或者网络类型，把需要的路由条目引入到路由表中，实现分部到分部的路由共通；(3)内外网映射，根据动态路由协议的选择确定映射关系，保证DMVPN的稳定运行；S2.MPLS VPN的配置，包含四个阶段，每个阶段的配置都是MPLS VPN的独立模块，各个模块配合使用，最终实现MPLS VPN的网络搭建；四个阶段的实现如下所示：(1)配置LDP，公网区域配置IGP协议完成后，配置LDP协议在公网路由设备上，以此达到通过标签来转发路由条目的目的，这就摒弃了传统的路由转发方式，从而保证企业网络流量传输的安全性。(2)配置VRF，配置VRF是为了区分路由条目，利用标记来决定需要接收的数据流，VRF过滤了企业网中多余的路由条目，大量减轻了路由器负担。(3)配置VPNV 4地址簇，BGP可传播多种类型的路由条目，因为它有多个地址簇来保证这些路由条目的传递，如IPv4 Unicast、IPv4Multicast、IPv4 VPNv4、IPv6。本课题所配置的MPLS协议在数据包头部分封装了标签信息，这种带有标签信息的数据包就需要通过BGP的VPNv4地址簇来转发；(4)配置PE和CE路由，PE
‑
CE端采用BGP协议来建立连接，利用PE端重发布来使企业网络学习到这些VRF里的路由条目，进而实现全网互通。
S3.设置SSH远程登陆方式，数字证书将会对工作站和网络设备之间的连接状态进行认证，同时SSH会为受保护的数据流进行加密处理；S4.组播流量控制，把各个设备独立开来，每台设备完成相互独立的功能需求，以此来形成一个完善的组播网络系统；组播结构中有分为两个通告消息，稀疏模式的组播中路由设备通过发送这两个消息来竞选RP，成功入选的RP成为组播汇聚点，所有组播消息通过组播汇聚点下发，组播汇聚点负责整个组播域的广播。RP选举的完成意味着一个组的组播流量可以正常接收和转发，当有新成员加入到这个组中时可以继续发送竞选RP信息，以便适应新的组播成员加入，企业可以有效的控制加入到组播中的用户，不...

【专利技术属性】
技术研发人员：张永平，项慧慧，孟海涛，廖明军，
申请(专利权)人：盐城工学院，
类型：发明
国别省市：