网络工程设计与实施-第2版-教学课件-ppt-作者-朱宪花-项目五.pptx

1、学习情境五多校区校园网互联,主要内容,多校区校园网广域网互联规划设计,OSPF动态路由协议配置,DDN互联方案设计与实现,VPN互联方案设计与实现,项目导入,Leader职业学院有四个校区，并且四个校区的校园网已建设完毕，并各自接入Internet。目前学院决定将四个校区的校园网互联起来，搭建内联网（Intranet）。建设需求如下：（1）以当前成熟的、主流广域网技术，以老校区为中心节点，其他三个校区为分支节点，将学院老校区、新校区、威海校区和青岛校区四个校园网互联。（2）目前老校区、威海校区的Internet出口带宽均为100Mbps，新校区、青岛校区的Internet出口带宽为10Mbps

2、。为节省开支，尽量利用各校区现有的Internet连接进行网络互联。（3）在各个校区之间实现内部网络资源共享。（4）各个校区之间需要传输财务数据、考试资料等私密信息，必须保证网络互联的安全性和可靠性。,5.1工作任务一多校区校园网广域网互联规划设计,【任务分析】,要实现四个校区校园网广域网互联，首先应调查该学院的具体需求，比如每个校区有多少用户，哪些用户有广域网互联需求，学院对广域网的连接带宽是多少，是否需要保证数据传输的安全性等。根据收集的调查信息，结合Leader职业学院对广域网互联的资金预算，为该学院推荐最合适的广域网解决方案。由于广域网技术种类繁多，为了全面介绍各种广域网技术的特点和适

3、用客户，本工作任务将首先介绍常见的广域网连接方式、广域网接口和线缆，然后为Leader职业学院规划设计合适的广域网解决方案。,【任务要求】,5.1.1常见的广域网连接方式,1广域网连接方式的分类,广域网的连接方式分为私有WAN连接方式和公共WAN连接方式。前者对应DDN、帧中继和ATM等广域网技术，而后者对应各种VPN连接技术。1）私有WAN连接方式专用通信链路：运营商首先在骨干传送网中为用户建立一条独享的专用线路，用户使用路由器的串行接口连接到运营商。使用这种方式，用户能够在两个局域网之间得到一条永久性的、带宽固定的点对点专用线路连接。由于用户是向运营商租用的专用通信链路，所以也被称为租用线

4、。典型的专用通信链路包括DDN和SDH租用线。交换通信链路：交换通信链路又分为电路交换链路和分组交换链路两种类型。电路交换链路的工作方式就像打电话，用户需要传输数据时，运营商的交换机在主叫端和被叫端之间接通一条物理的数据传输通路。当用户不再传输数据时，切断传输通路。典型的电路交换链路包括拨号PSTN和ISDN。,（2）公共WAN连接方式公共WAN连接方式是通过Internet连接组建广域网的方式。各企、事业单位都会使用城域网或DSL等方式连接到Internet，公共WAN连接就是使用用户现有的Internet连接组建广域网。由于Internet的安全风险以及私有地址的路由问题，公共WAN连接方

5、式曾经被认为是不可行的广域网连接方案。但是，由于VPN（Virtual Private Network，虚拟专用网络）技术的发展，使得公共WAN连接成为了一种既经济、又安全的解决方案。公共WAN连接需要用户使用宽带网络连接到Internet，然后通过VPN技术确保数据传输的连通性和安全性。常见的广域网VPN包括GRE VPN、IPSec VPN、L2TP VPN以及MPLS VPN等多种类别。,广域网连接方式的分类,2DDN和SDH专线,DDN和SDH数字租用专线面向数据传输量大，要求可靠性强的用户。用户数据被直接发送到运营商骨干SDH传送网进行传输。专线连接的特点是带宽稳定，安全性和可靠性有

6、保证，但是价格最为昂贵。,图5-1所示是专线连接的拓扑模型。要连接到租用专线，用户需要自行购买企业级路由器，使用串行接口（Serial Interface，简称串口）通过一条几米到十几米长的本地线缆连接到运营商的CSU/DSU（Channel Service Unit/Data Service Unit，通道服务单元/数据服务单元）设备。CSU/DSU再通过几百米到上千米的接入线路连接到距离用户最近的运营商机房的传输设备上，用户的局域网数据是被通过骨干传送网传输到远程节点的。,专线连接具有部署简单、通信可靠、带宽有保障、传输延迟小的优点。缺点是价格昂贵，资源的利用率低。由于线路是点到点的，因此

7、一条DDN、SDH专线只能连接两个节点，如果需要连接多个局域网节点，就需要租用多条专线，使成本更加高昂，且结构不灵活。,图5-1 专线连接模型在图5-1中，用户路由器通过串行接口连接到运营商的接入设备，路由器的物理接口分为DCE和DTE两类。,（1）DCE（Data Circuit-terminating Equipment，数据电路终接设备）：提供对用户路由器的专线接入、DCE和DTE之间的时钟频率。DCE是由运营商负责管理的设备端。（2）DTE（Data Terminal Equipment，数据终端设备）：是用户路由器，DTE通过DCE连接到运营商传送网，并从DCE接收时钟频率。DTE是

8、由用户负责管理的设备端。常见的租用线及其比特率如表5-1所示，接入速率越高，需要的专线租赁费用就越高。,表5-1 专线连接的类型及其容量,DDN和SDH广域网工程的实施流程为：用户根据数据传输量需求，选择租用线路的带宽；运营商根据用户的要求，在传送网中的传输设备上为用户建立专用连接线路。在运营商搭建好专用连接线路后，用户在两个局域网的边缘各部署一台配有串行接口模块的路由器，然后开启接口并封装数据链路层协议PPP或HDLC、配置接口IP地址以及路由等其他信息。,3VPN技术,VPN（虚拟私有网）技术也是公共WAN连接方式。近十年来，VPN得到了快速的发展和越来越多的应用。由于DDN、SDH和帧中

9、继等传统广域网技术具有部署成本高、变更不灵活以及移动用户远程接入费用高等缺点，所以用户需要一种成本较低、不需改变IP编址并能够充分利用现有网络资源的广域网互联方案。基于这些需求，VPN（Virtual Private Network，虚拟专用网）技术出现了。,图5-2 VPN组网,如图5-2所示，VPN利用现有的Internet连接，通过各种隧道技术建立虚拟的私有WAN。VPN具有成本低、安全性高和扩展性好等优点。,VPN解决了以下三个问题：通过组织现有的Internet连接组建广域网；不同局域网的内部私有地址连通性；保证安全、可靠的数据传输。,按照组网方式不同，可以将VPN分为站点到站点VP

10、N和远程访问VPN。站点到站点VPN：用于企业总部与分支机构、合作伙伴局域网通过Internet线路进行互联的一种技术。通常要求企业或学校在网络出口防火墙或专用路由器上配置VPN功能。远程访问VPN：是为了方便出差员工、在家办公的员工、小型办事处等移动用户访问局域网内部资源而部署的。,常见的站点到站点VPN包括GRE VPN、IPSec VPN、MPLS VPN等；常见的远程访问VPN包括L2TP VPN、SSL VPN。按照工作的层次不同，可以将VPN划分为二层VPN和三层VPN。二层VPN：在VPN隧道中传输的是位于数据链路层的数据帧。典型的二层VPN包括L2TP VPN和MPLS L2V

11、PN。三层VPN：在VPN隧道中传输的是位于网络层的数据包。典型的三层VPN包括GRE VPN、IPSec VPN、GRE over IPSec VPN、MPLS L3VPN等。,5.1.2广域网接口和线缆,1常见广域网接口,（1）同步串型接口同步串型接口常用DB-28和Smart Serial（思科设备）连接器，如图5-3和5-4所示。,图5-3 DB-28接口 图5-4思科Smart Serial接口,（2）E1、CE1接口E1、CE1接口常用DB-15连接器，如图5-5所示。E1接口的速率是2.048Mbps，CE1接口可以将E1划分为32个时隙，每个时隙64Kbps，可以使用若干个时隙

12、的组合。国内运营商通常提供的是CE1线路。,图5-5 DB-15接口,（3）T1、CT1接口T1、CT1接口常用与RJ-45相同的连接器，如图5-6所示。这些路由器串行接口可以支持DDN和帧中继等广域网连接方式。,图5-6 RJ-45接口,2常见串口线缆,串行线缆将路由器广域网串行接口与CSU/DSU连接起来。在实际工程中，CSU/DSU是DCE设备端，所以用户路由器应使用DTE线缆。而在实验室中，是需要将DTE线缆与DCE线缆的D形连接器（通常是这种接口）对接起来，模拟与ISP的连接。,1）V.35 DTE线缆V.35 DTE线缆两端的接头不同，连接路由器一端的接头是DB-28或Smart

13、Serial连接器，连接CSU/DSU一端的接头是34针D形连接器，如图5-7所示。注意图中是V.35 DTE线缆，外端是34针，如果是V.35 DCE线缆，则外端是34孔。,图5-7 V.35 DTE线缆,2）E1接口线缆路由器的E1、CE1接口线缆为标准的E1 G.703线缆，分为以下两种：75非平衡同轴线缆：连接路由器一端的接头是DB-15连接器，连接传送网一端的接头是BNC连接器，如图5-8所示。,图5-8 E1 G.703非平衡同轴线缆,120平衡双绞线线缆：连接路由器一端的接头是DB-15连接器，连接传送网一端的接头是RJ-45连接器，如图5-9所示。,图5-9 E1 G.703平

14、衡双绞线线缆,5.1.3广域网互联技术选择,当前流行的广域网技术包括DDN、SDH专线、MPLS VPN、GRE over IPSec VPN等，每种广域网技术都有各自适合的用户范围。对于高校来说，主要注重广域网的带宽和安全性，其次才是稳定性和可靠性，因此MPLS VPN、GRE over IPSec VPN是常见的校园广域网解决方案。SDH租用专线的优点是带宽高、延迟小、安全性、稳定性和可靠性极高，缺点就是价格十分昂贵，因此是实力较强的企业的首选广域网解决方案。DDN租用专线虽然也拥有低延迟、高可靠性的优点，但由于带宽较低，通常用于数据传输量不大，但是对业务稳定性有要求的企业。,若学校实力一

15、般，可以选择较为经济的VPN技术，比如使用IPSec VPN或GRE over IPSec VPN，通过现有的Internet连接互联各个校区，这种解决方案的优点是成本低、带宽高、安全性好，缺点是配置管理比较复杂，可扩展性不佳。另外，如果校园网内部上网流量较大，会影响VPN的性能。若学校想降低VPN的管理难度，可以选择MPLS VPN广域网技术，由运营商负责搭建并维护VPN隧道，该解决方案的优点是不需管理成本、带宽高、有QoS保障，缺点是价格较高、不能跨运营商。另外，用户地理位置必须在运营商的网络覆盖区域中。,为了较全面地介绍常见的广域网技术，本项目在老校区与新校区之间通过DDN专线实现广域网

16、互联，老校区与威海校区之间通过GRE over IPSec VPN实现广域网互联，老校区与青岛校区之间通过MPLS L2 VPN实现广域网互联。网络拓扑如图5-10所示。,图5-10多校区广域网互联规划拓扑图,5.1.4多校区广域网互联规划设计,根据学校的实际需求，设计出图5-10所示的拓扑及广域网连接技术。该拓扑使用多区域OSPF互联各个校区，广域网核心属于Area 0，威海校区属于Area 1，青岛校区属于Area 2。考虑到在实施广域网配置时，尽量不影响校园网的正常业务，老校区和新校区仍使用原有的静态路由和RIPv2协议，并使用路由重分发技术在OSPF和静态路由之间以及RIPv2和OSPF之间交流路由信息。,在本项目中，将使用GNS3模拟器来完成设备配置。其中，路由器型号为Cisco 3745，交换机使用安装了NM-16ESW交换模块的Cisco3745路由器来代替，路由器Laoxiao和Xinxiao安装了WIC-2T串口模块。Cisco 3745的IOS版本为c3745-adventerprisek9-mz.124-25。,在本项目中，将使用GNS3模拟器来完成设备配置。其中