毕业设计BGP在大型企业网中的应用

长沙航空职业技术学院毕业设计长沙航空职业技术学院CHANGSHA AERONAUTICAL VOCATIONAL AND TECHNICAL COLLEGE毕业设计BGP技术在大型企业网络中的应用专业系化工与信息工程系学生姓名专业班级学号指导老师 二一一年 十二月 摘 要随着网络的逐步普及，企业网络的建设是企业向信息化发展的必然选择，企业网网络系统是一个非常庞大而复杂的系统。它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地在各个部门之间传递。本项目是为XX大型企业公司设计的高可靠性的企业网。实现安全访问广域网、发布企业信息、科研交流、与外界通信、外地员工可利用Internet（因特网）远程访问公司资源及企业内部互访等常用企业任务和需求。该公司的企业规模如下：总公司在北京，总公司下级共有30个省公司。数据中心及各省每节点新增2 台高端路由器，组建成全国骨干网。由于总公司和分公司物理相隔较远，企业规模庞大，在广域网的基础上运用BGP路由技术实现整个企业网的互联互通，在接入层运用交换技术实现终端的接入。除了这些技术外，在三层交换机上部署访问控制列表（ACL）实现内部访问控制，DHCP的部署实现内网用户动态获取IP地址，减轻网络管理员的负担，HSRP实现主备网关倒换。在核心路由器上部署路由策略实现数据分流。关键词：BGP技术 OSPF技术 ACL 大型企业网 应用目 录目 录3第一章 引 言41.1选题背景41.2 网络需求分析51.2.1企业业务需求51.2.2 企业功能需求61.2.3 企业设计要求分析61.3 可行性分析71.3.1网络技术选型交换部分71.3.2 网络技术选型路由部分8第二章 总体设计112.1 总体设计122.1.1 企业网络总体设计思想122.1.2 企业网络拓扑图132.2 网络拓扑分析132.2.1 结构层次132.2.2 BGP路由技术的必要性142.3设备规划142.4设备选型162.4.1 核心层路由器选型162.4.2 核心层省间对接路由器选型172.4.3 汇聚层交换机选型172.4.4 接入层交换机选型182.6 VLAN规划21第三章 项目实施与部署223.1 工程集成方法223.2 Channel Ethernet 链路捆绑233.3配置STP233.4 配置HSRP233.5 DHCP部署243.6 OSPF组网实现243.6.1北京骨干网OSPF的配置：253.7 BGP组网实现263.7.1 防止路由黑洞的方法263.7.2 同步263.7.3 IBGP全连接273.7.4 路由反射器273.7.5 配置AS 65000 的 IBGP RR（RT1）283.7.6 配置省与省对接路由器的IBGP与EBGP283.8 BGP业务分流策略部署293.8.1 路由策略293.8.2 BGP本地优先级属性303.8.3 实现数据分流的配置30第四章 测试验收314.1 测试目的314.2 功能测试324.2.1 查看HB-C-6509-SW7的生成树324.2.2 查看HB-C-6509-SW8的生成树324.2.3 查看HB-C-6509-SW7的以太网链路捆绑334.2.4 查看HB-C-6509-SW7的HSRP状态334.2.5 查看HB-C-6509-SW8的HSRP状态334.2.6 测试分部的DHCP功能334.2.7 测试业务分流34结 束 语35参 考 文 献36致 谢37第一章 引 言1.1选题背景随着互联网的兴起，网络规模不断的扩大，导致路由的数量极大的增长，路由协议不堪重负。一般来说一个中小型的企业用OSPF路由协议就可以实现需求，但在那种跨省，像那些分支机构遍布全国的大型企业中，要想用实现各省的客户之间进行安全、可靠的互访。OSPF还是有所欠缺，不能实现这种需求，因而就有了一种新的协议“BGP”的产生。本课题设计的是一个大型的企业网，由于企业规模较大，企业的分支节点多。网络太大，流量大路由条目过多己超过IGP的收敛能力，无法使用IGP承载。该企业网需运行复杂的路由策略来满足客户需求。IGP无法实现复杂的路由策略网络。BGP是一种不同自治系统的路由器之间进行通信的外部网关协议。BGP是Arpanet所使用的老EGP的取代品。现在使用的是BGP版本4。1.2 网络需求分析1.2.1企业业务需求该企业主要包涵两大业务：生产业务和办公业务。其中总部与分部业务之间能够相互通信，共享系统资源，并且各个业务部门均可访问企业内服务器所发布的资源。 RT1，RT2，RT3，RT4，RT5，RT6建成全国骨干网；使用OSPF 1 Area 0实现骨干网Loopback、链路的连通性；整个骨干网路由器读运行BGP，AS65000，RT1、RT2为同簇双RR，RT3、RT4、RT5、RT6分别为RT1、RT2的客户端。SW7、SW8、RT9、RT10组建成湖北省省网，SW7、SW8为省中心核心交换机，RT9、RT10为省网出口路由器；RT9、RT10运行BGP，AS 65001，发布湖北省省网汇总的生产、办公、链路及网管的路由，并使用EBGP上联全国骨干网湖北省节点RT3、RT4；RT9，RT10向省网发布OSPF缺省路由。SW11、SW12、RT13、RT14组建成湖南省省网，SW11、SW12为省中心核心交换机，RT13、RT14为省网出口路由器；RT13、RT14运行BGP，AS 65002，发布湖南省省网汇总的生产、办公、链路及网管的路由，并使用EBGP上联全国骨干网湖南省节点RT5、RT6；RT13，RT14向省网发布OSPF缺省路由。10.64.0.0/10为生产业务，其HSRP主网关在左边（编号为奇数的设备）；10.128.0.0/10为办公业务，其HSRP主网关在右边（编号为偶数的设备）；整个网路使用路由策略进行业务分流：生产业务主路径走左边，办公业务主路径走右边。OSPF配置规范：在任何不需要形成OSPF邻居的接口上，配置OSPF被动接口；配置点对点以太网的OSPF网络类型为点对点，以加快收敛速度：各Area必须依据IP地址规划做好路由汇总。BGP配置要求：no synchronization; no auto-summary; 使用Loopback0建IBGP邻居；IBGP邻居上配置next-hop-self。1.2.2 企业功能需求该企业网络组建后应能实现以下功能：(1) DHCP服务需求，作为企业IP地址的统一管理，动态分配IP地址给终端，方便终端用户的IP配置。(2) 安全服务需求，能够实现二层数据的隔离，并且保证相同部门实现资源共享和信息交互，拒绝不同部门之间的资源共享和信息交互。(3) 生产业务走左边，右边作备份。办公业务走右边，边左作备份。（在主链路出故障的情况下走备份链路）即业务分流。1.2.3 企业设计要求分析(1)实用性该工程不仅能够为计算机网络系统服务，而且也应当能够很容易加入楼宇控制部分，实现智能化大楼。(2)可靠性网络核心层是工程的中心枢纽所在，对该企业网络通信的可靠性是相当重要的，为此在链路上以Ethernal-Channel作为核心链路的冗余保障。(3)扩展性本工程系统遵循工程设计规范，采用三层设计方法，具备很好的扩展能力。(4)先进性工程核心设备采用Cisco的主流产品，能保证新型业务的扩展需要。1.3 可行性分析1.3.1网络技术选型交换部分（1） VLAN技术 VLAN即Virtual Local Area Network，又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。（2）Trunk技术 Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提供整个网络能力。Trunk的主要功能就是仅通过一条链路就可以连接多个VLAN。 （3）Channel Ethernet 链路捆绑Channel Ethernet 链路捆绑，以太通道也称为以太端口捆绑、端口聚集或以太链路聚集。以太通道为交换机提供了端口捆绑的技术，允许两个交换机之间通过两个或多个端口并行连接，同时传输数据，以提供更高的带宽。Channel Etherne起到增加带宽，负载均衡，线路备份的作用。（4）STP技术STP的基本定义：即Spanning-tree protocol ，是交换机通过某种特定算法来逻辑地阻塞物理冗余网络中某些接口，以达到避免数据转发循环，生成无环拓扑的一种二层协议。这种协议最早由Cisco交换机提出，目前得到所有交换机厂商的支持，其国际标准为IEEE802.1D。STP通过避免物理冗余网络中的数据转发循环，从而完成了消除广播风暴和mac表不稳定的功能。网络环路的发生有多种原因，最常见的一种是有意生成的冗余，万一一个链路或交换机失败，会有另一个链路或交换机替代。(5) DHCP技术DHCP动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要用途：内部网络或网络服务供应商自动分配IP地址给用户，作为管理员统一分配地址的手段。(6) HSRP网关热备份HSRP是一种非常流行的默认网关冗余协议，被广泛用于Cisco多层交换网络中，它通过在冗余网关之间共享协议和MAC地址，提供不间断的IP路径冗余。(7) 访问控制列表（ACL）部门内部访问控制只要是通过在接入层或三层交换机上部署访问控制列表（ACL）来实现的。访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。例如，ACL允许主机A访问人力资源网络而拒绝主机B访问1.3.2 网络技术选型路由部分路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本组网方案中，内网用户不仅通过路由器接入因特网、内网用户之间也通过路由器进行数据包交换。公欲善其事，必先利其器，不能让网络规划输在起跑线上！ 1. RIP最古老的路由协议，特点：性能低下，只适合在小型的网络中使用;2. IGRP在RIP的基础上稍加改进，拥有RIP所有的缺点。 3. EIGRP性能不错，但却是cisco的私有协议，互通性不好。而且容易引起法律纠纷;4. IS-ISISO与IETF帮派斗争的产物，本来是为OSI七层模型设计，后来强行移植到IP上;5. OSPF是因特网上使用最为广范的IGP，强力推荐。 6. BGP是目前因特网上唯一的一种EGP协议本方案中IGP协议选择OSPF，EGP协议选择BGP。用IGP负责AS内拓扑发现、路由传播、路由计算；BGP负责承载和传递IGP所发现的路由，在AS之间传递路由信息。（1）动态路由协议OSPFTCP/IP协议中，寻找一台计算机到另一台计算机的路由是很重要的.1. 要判断是否能找到路。2. 找到路后找一条短的路（花费时间最小）。3. 在找路时不能循环。4. 最好还应该能动态处理路由变化，如：接口的UP或DOWN，时间花费的变化，网络结构的改变等。IETF于1988年提出的OSPF开放式最短路径优先（Open short path first）是一个基于链路状态的动态路由协议。协议的基本思路如下：在自治系统中每一台运行OSPF的路由器，收集各自的接口/邻接信息称为链路状态。通过Flooding算法在整个系统广播自己的链路状态，使得在整个系统内部维护一个同步的链路状态数据库，根据这一数据库，路由器计算出以自己为根。其它网络节点为叶的一根最短的路径树，从而计算出自己到达系统内部可达的最佳路由。作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。OSPF是一类Interior Gateway Protocol(内部网关协议IGP)，它处理在一个自治系统中，路由器的网络的路由表信息。（2）BGP边界网关协议由于分公司与总公司相隔物理位置比较远，企业分公司较多，无法采用IGP路由技术承载。我们采用BGP路由技术。BGP(Border Gateway Protocol )边界网关协议)是一种外部路由协议，边界指的是自治系统的边界，用于在自治系统间（AS）传播路由信息。AS 是拥有同一选路策略，在同一技术管理部门下运行的一组路由器。BGP通过在路由信息中增加AS路径和其他等附带属性信息，来构造自治系统的拓扑图，从而消除路由环路，实施用户配置的策略其着眼点是选择最好的路由并控制路由的传播，而不在于发现和计算路由。发现和计算路由是IGP的事。BGP有如下特点：（1） BGP属于EGP，是高级DV协议，也称为路径矢量协议，基于TCP(端口号179)提高了协议的可靠性。因为基于TCP所以可以与非直接路由器形成邻居关系。（2）BGP支持CIDR（无类域间路由），现在使用版本BGP4。（3）BGP对网络拓扑没有限制，并且只有4种报文。（4）使用keeplive消息维持邻居关系（5）路由更新时，BGP只发送增量路由，大大减少了BGP传播路由所占用的带宽适用于在Internet上传播大量的路由信息。（6）BGP路由携带了丰富的属性，由BGP的路由策略来使用，供每个自治系统在入口和出口对路由进行过滤、选择和控制，使得BGP是既简明灵活强大。（7）BGP 路由通过携带AS 路径信息（AS-path）彻底解决路由环路问题。（8）BGP 易于扩展，能够适应网络新的发展。（9）被设计用于特大的网络，例如internet。发送 BGP 消息的路由器称为BGP 发言者（BGP Speaker），它接收或产生新的路由信息，并发布（Advertise）给其它BGP 发言者。当BGP 发言者收到来自其它自治系统的新路由时，如果该路由比当前已知路由更优、或者当前还没有该路由，它就把这条路由发布给自治系统内所有其它BGP发言者。相互交换消息的 BGP 发言者之间互称对等体（Peer），若干相关的对等体可以构成对等体组（Peer group）。BGP 在路由器上以下列两种方式运行：IBGP（Internal BGP）：当BGP 运行于同一自治系统内部时，被称为IBGP。EBGP（External BGP）：当BGP 运行于不同自治系统之间时，被称为EBGP。在BGP中又运用了BGP的路由反射器，BGP路由策略（用prefix-list匹配路由，利用设置不同的本地优先级，进行选路即分流）。第二章 总体设计2.1 总体设计2.1.1 企业网络总体设计思想总体设计是企业网建设的总体思路，是建好该企业网的核心任务，对于这个企业网络总体的设计在布置信息点时能全面的考虑其拓展性，再结合公司结构的特点，采用相应设备和技术的选型。对于细致的功能实现，总结如下：第一，根据对该企业网络总体结构分析，采用三层结构组网方式来实现数据通信的负载分担，及接入层，汇聚层和核心层，接入层主要实现信息点的接入，汇聚层下联接入层设备，上联核心层设备，起到桥接作用，汇聚层实现数据高效的转发。第二，在各省内部采用OSPF协议作为三层设备学习路由的方式，该协议具有开放性，被广大厂商支持。将北京总部核心设备运行OSPF1 Area 0，湖北分部也运行OSPF Area 0，湖北分部也运行OSPF Area 0。第三，在各省分部与总部的对接，采用BGP路由技术来自动学习路由。该协议具有开放性，被广大厂商支持，适用于大型企业网络。将北京总部核心设备运行BGP AS 65000，湖北分部也运BGP AS 65001，湖北分部也运行BGP AS 65002。第四, 采用HSRP（热备份路由协议）来实现相应主备网关，主备路径动态自动切换。第五，采用以太网链路捆绑，实现链路冗余备份的作用。第六，实现链路冗余后，我们要采用STP机制来避免广播风暴的产生，接入层设备上开启STP，通过其协议的动态收敛来实现链路逻辑的阻塞，避免环路的产生。第七，采用DHCP（动态主机配置协议）为了方便企业IP地址的统一管理，动态分配IP地址给终端，方便终端用户的IP配置。第八，采用划分VLAN的方式来实现二层数据的隔离，以达到部门之间通信的访问隔离目的。第九，采用ACL来实现业务之间的三层隔离，同时根据业务需求，做出相应的配置管理。2.1.2 企业网络拓扑图XX公司总部在北京，在湖北和湖南分别设有分公司。如图2-1所示： 图2-1 企业网络拓扑图2.2 网络拓扑分析2.2.1 结构层次该企业网络总部从结构上分为三层:核心层、汇聚层和接入层。接入层的主要功能是实现终端的接入，在该层为终端进行逻辑子网划分，通过VLAN技术实现子网之间的隔离。还需提供即插即用的特性，同时应该把接入层设计的非常易于使用和维护。汇聚层起着承上启下的作用，负责对各种接入的汇聚，通常为接入层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、对用户的访问控制，对用户的网络管理以及路由协议网络通告控制。在汇聚层使用三层交换机的目的是为了减轻核心层的负担。核心层的主要提供不同网络模块之间优化传输服务，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。2.2.2 BGP路由技术的必要性BGP协议是专门为处理大规模路由网络所开发的路由协议。实现全网化整为零，分而治之。在AS间传递路由。BGP协议被称为路由距离矢量路由协议，因为一个AS向另一个AS所传递的BGP路由更新，其实是传递一条路径信息，并且描述了通过这条路径所能到达的网络。2.2.2.1 无法使用IGP（1）网络太大，己超过IGP的收敛能力，无法使用IGP承载。（2）无法实现复杂的路由策略网络。2.2.2.2 使用BGP的三大理由（1）BGP可以将庞大的网络划分成若干个AS，以大划小，以便使用IGP各个击破。（2）BGP具有丰富的路由策略，其选路控制能力非常强，能应用BGP实现复杂的业务需求。（3）支撑MPLS/VPN的应用，传递客户VPN路由。2.3设备规划实现本企业网的核心功能共应用到路由器、交换机，网络设备的选择应该是网络构件中最为重要的一块，一般来说企业网络的搭建中设备应该采用招投标的方式来进行优化选择。为了选择具有高性价比、满足业务需求的设备，在进行网络设备选型之前，了解设备选型的基本原则是必要也是必须的。企业网的设备选型原则如下：（1）代表目前网络系统设备的先进水平；（2）具备较强的安全性；（3）具备优良的RAS性能:可靠性、可用性、可维护性；（4）具备优良的可扩充性和升级能力；（5）具备优良的性价比。本网络设计采用的网络产品全部采用世界最大的网络设备生产厂商Cisco公司的。产品的选型如表2-1所示：设备型号设备命名总部核心路由器（主）Cisco 7609BJ-C- 7609 -RT1总部核心路由器（备）Cisco 7609BJ-C- 7609 -RT2总部生产部路由器Cisco 7200BJ-C- 7200 -RT3总部办公层路由器Cisco 7200BJ-C- 7200 -RT4总部生产层路由器Cisco 7200BJ-C- 7200 -RT5总部办公层路由器Cisco 7200BJ-C- 7200 -RT6湖北接入路由器（生产）Cisco 7200HB-C- 7200 -RT9湖北接入路由器（办公）Cisco 7200HB-C- 7200 -RT10湖南接入路由器（生产）Cisco 7200HN-C- 7200 -RT13湖南接入路由器（办公）Cisco 7200HN-C- 7200 -RT14湖北三层交换机（生产）Cisco 6500HB-C- 6500 -SW7湖北三层交换机（办公）Cisco 6500HB-C- 6500 -SW8湖南三层交换机（生产）Cisco 6500HN-C- 6500 -SW11湖南三层交换机（办公）Cisco 6500HN-C- 6500 -SW12湖北二层交换机Cisco 3560HB-C- 3560 -SW15湖南二层交换机Cisco 3560HN-C- 3560 -SW16表2-1 产品的选型2.4设备选型2.4.1 核心层路由器选型在核心层路由器本方案选择Cisco的7609-S路由器。Cisco 7609路由器（如图2-2所示）一般部署于网络边缘的高性能路由器，网络边缘性能、IP服务、冗余性和故障弹性都是十分重要。他通过中央路由处理器和转发引擎相结合，可提供720Gbps的总吞吐量。图2-2 cisco 7609 路由器基本参数产品型号7609产品类型增强型9插槽机箱硬件参数处理器最低路由处理器要求:1个Cisco Catalyst 6500 Supervisor Engine 2,带MFSC-2扩展插槽9个接口模块LAN接口模块,WAN接口模块,OSM:OC-3/STM-1,OC-12/STM-4,OC-48/STM-16POS,OC-12/STM-4 ATM,千兆位以太网WAN,通道化T3(CT3)和OC12/STM-4;服务模块软件参数认证标准安全性:UL 60950,IEC 60950,EN 60950,CAN/CSA-C22.2 No. 60950,AS/NZS3260;EMC:FCC Part 15 (CFR 47) Class A,ICES-003 Class A,EN55022 ClassA,CISPR22 Class A,AS/NZS 3548 Class A,VCCI Class A;业界标准:ETSI 300 019 Storage Class 1.1,ETSI 300 019 Transportation Class 2.3,ETSI 300 019 Stationary Use Class 3.1其它性能最低软件版本:Cisco IOS 12.1 (13) E12.4.2 核心层省间对接路由器选型在核心层省间对接路由器选型本方案选择Cisco 7200路由器，如图2-3 图2-3 Cisco 7200路由器高性能交换支持高速介质和高密度配置；通过其基于RISC和SRAM配置的系统处理器，Cisco 7200每秒可以交换30万个信息包。全面的Cisco IOS软件支持和高性能网络服务增强高速执行服务质量、安全、压缩和加密等网络服务。 高密度端口提供高密度端口以及广泛的局域网和广域网介质，大大降低了每端口成本，并允许灵活地进行配置。 公用端口适配器利用和Cisco 7200通用接口处理器（VIP）相同的端口适配器，简化了备件存储，并提供接口投资保护。2.4.3 汇聚层交换机选型在汇聚层交换机方面本方案选择主流的Cisco Catalyst 6509交换机。思科6509系列核心交换机（如图2-4所示）支持完整的QoS机制，涵盖策略，队列，流量整形和拥塞控制。运用NSF/SSO技术，能够保证不间断的高速数据转发和故障切换，确保园区网络服务连续性和实时功能特性升级。此外，6509还能运用SPUER ENGINE32 PISA智能应用程序提供视频流量控制与监控服务。提升整个园区网络Qos的高性能。6509支持最大VLAN数可达到4096个，底版带宽可扩充至720Gbps；数据吞吐性能可扩充至387 Mpps，同时它可支持多种网络协议，是网络核心设备的不二之选。 图2-4 Cisco Catalyst 6509交换机2.4.4 接入层交换机选型 接入层交换机本方案选择的是Cisco Catalyst 3560如图3-5，Cisco Catalyst 3560系列交换机是一个固定配置、企业级、IEEE 802.3af和思科预标准以太网供电（PoE）交换机系列，工作在快速以太网和千兆位以太网配置下。Catalyst 3560是一款理想的接入层交换机，适用于小型企业布线室或分支机构环境，结合了10/100/1000和PoE配置，实现最高生产率和投资保护，并可部署新应用，如IP电话、无线接入、视频监视、建筑物管理系统和远程视频访问亭。客户可在整个网络范围中部署智能服务，如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由等，且同时保持传统LAN交换的简洁性。思科网络助理(network assistant)在Catalyst 3560系列中免费提供，是一个集中管理应用，可简化思科交换机、路由器和无线接入点的管理任务。思科网络助理提供了配置向导，大大简化了融合网络和智能网络服务的实施。 图2-5 Cisco Catalyst 35602.5 IP地址规划IP地址规划是整个企业网络设计中的最基础的部分，地址规划的科学性和合理性将直接反应网络拓扑的设计思想，对网络的稳定起到的关键作用。好的地址规划同科学的分层网络拓扑设计相辅相承，共同组成整体的网络设计解决方案。 IP地址规划目标：在支持网络技术的演变和发展的前提下，利用有限的IP地址资源，建立高效的网络和达到网络的扩展。IP地址规划原则：(1)简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式； (2)连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛(Summarization)及CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项，提高路由器的处理效率； (3)可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性； (4)灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化； (5)可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局本网采用先业务后地区划分方法进行IP地址规划。10. 业务位（2位）地区（6位） . 子业务位（8位）. 子网位 主机位业务和地区位，如表3-2所示：业务位用途地区位用途0互联链路及设备网管0骨干1生产业务1数据中心2办公业务2北京3保留3湖北4湖南 表22 业务和地区位各地区IP地址段，如表33地区IP地址段用途地区IP地址段用途骨干10.0.0.0/16骨干链路及网管湖北10.3.0.0湖北链路及网管10.67.0.0/16湖北生产业务10.131.0.0/16湖北办公业务数据中心10.1.0.0/16数据中心链路及网管湖南10.4.0.0/16湖南链路及网管10.65.0.0/16数据中心生产业务10.68.0.0/16湖南生产业务10.129.0.0/16数据中心办公业务10.132.0.0/16湖南办公业务表23 各地区IP地址段该工程整体IP地址规划，如表2-4所示：Loopback 0RT110.0.0.1/32RT1RT2RT110.0.1.1/30Loopback 0RT210.0.0.2/32RT210.0.1.2/30Loopback 0RT310.0.0.3/32RT1RT3RT110.0.1.5/30Loopback 0RT410.0.0.4/32RT310.0.1.6/30Loopback 0RT510.0.0.5/32RT2RT4RT210.0.1.9/30Loopback 0RT610.0.0.6/32RT410.0.1.10/30Loopback 0SW710.3.0.3/32RT3RT4RT310.0.1.13/30Loopback 0SW810.3.0.4/32RT410.0.1.14/30Loopback 0RT910.3.0.1/32RT1RT5RT110.0.1.21/30Loopback 0RT1010.3.0.2/32RT510.0.1.22/30Loopback 0SW1110.4.0.3/32RT2RT6RT210.0.1.25/30Loopback 0SW1210.4.0.4/32RT610.0.1.26/30Loopback 0RT1310.4.0.1/32RT5RT6RT510.0.1.29/30Loopback 0RT1410.4.0.2/32RT610.0.1.30/30SW7、SW8 vlan16V-IP10.67.1.1/24RT3RT9RT310.0.9.1/30SW7、SW8 vlan17V-IP10.131.1.1/24RT910.0.9.2/30SW11、SW12 vlan16V-IP10.68.1.1/24RT4RT10RT410.0.9.5/30SW11、SW12 vlan17V-IP10.132.1.1/24RT1010.0.9.6/30RT1、RT2 F2/0.16V-IP10.65.1.1/24RT5RT13RT510.0.9.9/30RT1、RT2 F2/0.17V-IP10.129.1.1/24RT1310.0.9.10/30RT1、RT2 F2/0.65RT110.1.1.1/30RT6RT14RT610.0.9.13/30RT210.1.1.2/30RT1410.0.9.14/30RT9RT10RT910.3.1.1/30RT13RT14RT1310.4.1.1/30RT1010.3.1.2/30RT1410.4.1.2/30RT9SW7RT910.3.1.5/30RT13SW11RT1310.4.1.5/30SW710.3.1.6/30SW1110.4.1.6/30RT10SW8SW1010.3.1.9/30RT14SW12RT1410.4.1.9/30SW810.3.1.10/30SW1210.4.1.10/30SW7SW8SW710.3.1.13/30SW11SW12SW1110.4.1.13/30SW810.3.1.14/30SW1210.4.1.14/30表2-4 工程整体IP地址规划2.6 VLAN规划通过划分Vlan对不同部门之间进行业务隔离，对于许昌总公司，在核心设备上主要划分5个虚拟局域网，其中编号为20的Vlan为总部研发部门所使用，编号为21的Vlan为总部办公部门所使用，编号为23的Vlan为总部服务器所使用，编号为30的Vlan为总部设备网管所使用，编号为800的Vlan为总部核心层的两台三层交换机之间的OSPF协议对接所使用。对于长葛分公司，在核心设备上主要划分3个虚拟局域网，其中编号为52的Vlan为分部研发部门所使用，编号为53的Vlan为分部办公部门所使用，编号为30的Vlan为分部网管所使用。对于漯河分公司，在核心设备上主要划分3个虚拟局域网，其中编号为44的Vlan为分部研发部门所使用，编号为45的Vlan为分部办公部门所使用，编号为30的Vlan为分部网管所使用。北京，湖北，湖南的vlan 划分，如表25 Vlan编号Vlan名称IP网段子网掩码说明16BJshengchan10.67.1.0/24北京生产17BJbangong10.131.1.0/24北京办公16HBshengchan10.68.1.0/24湖北生产17HBbanggong10.132.1.0/24湖北办公16HNshengchan10.65.1.0/24湖南生产17HNbanggong10.129.1.0/24湖北办公表25 北京，湖北，湖南的Vlan划分第三章 项目实施与部署3.1 工程集成方法本工程实现的是一个解决子公司与母公司连为一体的大型企业网络项目，该项目从实际需求出发，扩展传统的信息交换方式，借助计算机网络技术来实现企业内部大量信息的安全、高效的传输和共享。项目采用BGP路由技术实现总公司和分公司的网络对接，各省内部采用OSFP路由技术实现内网的自动发现路由，并在相应设备上设置ACL来实现不同部门的数据流的访问管理，以此保障部门间的数据安全。3.2 Channel Ethernet 链路捆绑第一，进入要捆绑的接口。第二，定义接口模式，封装模式，允许通过该接口的VLAN。第三，定义通道组，并开启。3.3配置STP第一，根据设备性能和需求，指定根网桥和备份根网桥。第二，在根网桥上，配置生成树协议，并将其优先级值改为0。第三，在备份根网桥上，配置生成树协议，并将其优先级值改为4096。第四，其他非根网桥和备份根网桥设备，默认开启STP，并且默认优先级值为32768。HB-C-3560-SW7作为湖北分部汇聚层的主设备，在二层链路上作为生成树的根网桥，能有效避免链路的环路。3.4 配置HSRP采用HSRP技术能对总部生产部和业务部的网关做热备份，主网关和备份网关之间通过交换HELLO数据包，来建立保活机制，十秒内备份网关收不到主网关发来的HELLO包时，会认为主网关出现故障，备份网关自动切换成为主网关，保证数据包不会丢失。具体的配置步骤如下：第一，进入SVI接口，配置IP地址。第二，配置虚拟IP，配置抢占模式。第三，将主网关的优先级设置为120，备份网关采用默认100。第四，配置端口跟踪（可选）。HB-C-6509-SW7交换机作为生产业务的主网关，作为办公业务的备份网关。HB-C-6509-SW8交换机作为办公业务的主网关，作为生产业务的备份网关3.5 DHCP部署采用DHCP动态主机配置协议，自动为生产和办公业务的员工分配IP地址，减轻网络管理员的负担。第一，开启DHCP服务。第二，为地址池命名。第三，定义地址池的范围。第四，定义给PC的网关地址。第五，定义给PC的DNS服务器地址。第六，排除一些相应的IP地址。HB-C-6509-SW7交换机作为生产业务的主DHCP服务器。HB-C-6509-SW8 交换机作为办公业务的主DHCP服务器。3.6 OSPF组网实现该企业网络的每个省的骨干部分都采用OSPF动态路由协议组网，采用骨干区域(area 0)来实现。通过在这些网络设备上运行OSPF协议，来实现网络设备之间路由的学习，同时能保证网络结构发生变化时，路由设备能够动态的获悉变更的信息，实现路由动态的收敛。具体的配置步骤如下：第一,在路由设备上开启OSPF路由协议进程。第二，手动指定路由设备OSPF的router-id(Loopback口)。第三，发布loopback接口网段，上联网段，业务网段和下联网段。第四，因业务网段接口下联的终端不需要学习路由的信息，固将业务网段的接口配置成被动接口，减少无用路由信息的传播。3.6.1北京骨干网OSPF的配置：将RT1的所有接口所在网段都宣告进OSPF1 Arar 0, 指定Loopback口为router-id,下发一条缺省路由，并将网络类型改为为点对点，平面间开销设为400（便于路由选路）。BJ-C-7609-RT1 (config)#router ospf 1 router-id 10.0.0.1 /手工指定router-idnetwork 10.0.0.1 0.0.0.0 area 0 /宣告路由 network 10.0.1.0 0.0.0.3 area 0 network 10.0.1.4 0.0.0.3 area 0 network 10.0.1.20 0.0.0.3 area 0default-information originate always metric 1000 /下发缺省路由int f1/0ip ospf network point-to-point /修改网络类型为点对点ip ospf cost 400 /修改平面间开销为400int f2/0ip ospf network point-to-pointBJ-C-7609-RT2配置与BJ-C-7609-RT1类似将RT3的S0/0和f1/0所在网段和Loopback口宣告进OSPF1 Arar 0，指定Loopback口为router-id。将不需要建OSPF邻居的接口passive。BJ-C-7200-RT3 (config)#router ospf 1router-id 10.0.0.3redistribute connected metric 1000 metric-type 1 subnets /重分布直连passive-interface FastEthernet2/0 /不能与其它AS 形成OSPF 邻居network 10.0.0.3 0.0.0.0 area 0network 10.0.1.4 0.0.0.3 area 0network 10.0.1.12 0.0.0.3 area 0BJ-C-7200-RT4 ，BJ-C-7200-RT5，BJ-C-7200-RT6的配置与BJ-C-7200-RT3。3.7 BGP组网实现该企业的每个省的核心路由器都运行BGP，同一AS内的路由器运行IBGP，不同AS间的路由器利用EBGP对接。RT1，RT2，RT3，RT4，RT5，RT6划进同一AS65000。RT1，RT2为同簇双RR，防止路由黑洞，增强网络的稳定性。配置RT3，RT4，RT5，RT6分别为RT1，RT2的客户端。RT9与RT10划进AS65001，RT13与RT14划进AS65002。不同AS之间用EBGP对接（RT3RT9，RT4RT10，RT5RT13，RT6RT14）。在RT1，RT2上，发布全国骨干网汇总的链路及网管的路由。在RT1，RT2上，发布数据中心汇总的生产、办公、链路及网管的路由。3.7.1 防止路由黑洞的方法1同步；2IBGP全互联（可以用路由反射器代替IBGP全互联）。3.7.2 同步3.7.2.1 同步概念及作用1. BGP同步是指IBGP和IGP之间的同步，从IBGP邻居学到的路由在进如路由表或被宣告给EBGP邻居之前，必须首先通过IGP学到路由。2. 如果该路由也通过IGP学到，则该路由在该AS内不会出现路由黑洞，可在AS之间传播；3启用BGP同步目的是为了避免不必要的BGP路由黑洞。IOS12.2以后的BGP同步默认为关闭。 3.7.2.2 在以下情况中可以关闭BGP同步1.本AS不是Transit AS；2.本AS内的所有提供转发(Transit)服务的路由器都能从BGP学到其他AS的路由（IBGP全连接）；3.本AS内运行MPLS。3.7.3 IBGP全连接3.7.3.1 IBGP全连接概念及作用1. IBGP全连接：将AS内所有的路由器运行BGP并两两全连接。2. 让本AS内的所有的路由器都能从BGP学到其他AS的路由，3BGP为了防止路由环