[发明专利]一种基于MPLS的中大型企业网及其实现方法

权利要求书

1.一种基于MPLS的中大型企业网的实现方法，其特征在于：包括以下步骤：

S1. DMVPN的搭建，

包含三个阶段，

（1）总部到分部通过公网建立一条企业的专用隧道，总部和分部的数据通信先利用这条专用隧道建立连接状态，当这条隧道正常工作后，总部和分部就可以实现DMVPN必要的数据流的正常通信；

（2）解决各分部的路由问题，通过调整动态路由协议的下一条跳地址或者网络类型，把需要的路由条目引入到路由表中，实现分部到分部的路由共通；

（3）内外网映射，根据动态路由协议的选择确定映射关系，保证DMVPN的稳定运行；

S2. MPLS VPN的配置，

包含四个阶段，每个阶段的配置都是MPLS VPN的独立模块，各个模块配合使用，最终实现MPLS VPN的网络搭建；四个阶段的实现如下所示：

（1）配置LDP，

公网区域配置IGP协议完成后，配置LDP协议在公网路由设备上，以此达到通过标签来转发路由条目的目的，这就摒弃了传统的路由转发方式，从而保证企业网络流量传输的安全性；

（2）配置VRF，

配置VRF是为了区分路由条目，利用标记来决定需要接收的数据流，VRF过滤了企业网中多余的路由条目，大量减轻了路由器负担；

（3）配置VPNV 4地址簇，

BGP可传播多种类型的路由条目，因为它有多个地址簇来保证这些路由条目的传递，包括IPv4 Unicast、IPv4Multicast、IPv4 VPNv4、IPv6；所配置的MPLS协议在数据包头部分封装了标签信息，这种带有标签信息的数据包就需要通过BGP的VPNv4地址簇来转发；

（4）配置PE和CE路由，

PE-CE端采用BGP协议来建立连接，利用PE端重发布来使企业网络学习到这些VRF里的路由条目，进而实现全网互通；

S3. 设置SSH远程登陆方式，

数字证书将会对工作站和网络设备之间的连接状态进行认证，同时SSH会为受保护的数据流进行加密处理；

S4.组播流量控制，

把各个设备独立开来，每台设备完成相互独立的功能需求，以此来形成一个完善的组播网络系统；组播结构中有分为两个通告消息，稀疏模式的组播中路由设备通过发送这两个消息来竞选RP，成功入选的RP成为组播汇聚点，所有组播消息通过组播汇聚点下发，组播汇聚点负责整个组播域的广播；RP选举的完成意味着一个组的组播流量可以正常接收和转发，当有新成员加入到这个组中时可以继续发送竞选RP信息，以便适应新的组播成员加入，企业可以有效的控制加入到组播中的用户，不同的用户可能会分到不同的组播域中，不同的组播域实现了不同的数据通信；

S5.IPv6网络部署，

采用基于IPv6的OSPFv3协议，实时监控具体链路协议的运行状况信息，

S6.HSRP备份，

带有冗余备份的主机连接到通信设备时，这两台通信设备为这个主机提供了虚拟的网关，当其中一条通信链路断掉时，并不影响主机的正常工作，HSRP可以自动切换成另一条正常进行的链路；在HSRP的基础上再继续对整台路由设备进行细致部署，即使出现了多条链路同时出现故障，整个核心网仍然得以稳定运行，这使得这个网络的稳定性提升了一个新高度，网络管理人员可随时变换活跃设备和备份设备的角色，使得两台路由设备分工合作，

当主机所连接的网关设备做了HSRP备份之后，这台主机的容错性就提升了很多，对它而言有两个网关供它选择，当其中一条链路出现故障时，HSRP允许这台主机选择另一条线路去传输数据，这时在路由设备上都做了一个虚拟网关的操作，同时把虚拟网关改成同一地址，当主机通过网关传输数据流时，这个网关就是在路由设备上设置的虚拟网关，通过虚拟网关仍然可以转发数据流信息，

 S7. 利用ACL防止网络攻击，

使用ACL对特定协议的流量进行匹配，对已经出现的网络攻击手段做到有效阻止，对外部的私网地址进行有效过滤，防止外部IP地址欺骗并探测本企业网络，通过对这些流量控制及流量过滤保证企业网络安全性，

S8. 通过QoS对路由的优化，

包括以下五阶段：

（1）分类

分类过程是由设定的信任策略或报文的内容来决定，将这些报文按照Cos值来归类，这个阶段的主要任务是确定CoS值；分类在路由设备的端口接收到报文阶段开始，当设备的某端口关联QoS策略的Policy-map后，这个端口上的分类就生效了，QoS对所有从该端口接收到的报文都起作用，

（2）策略

数据流分类完成之后需要对这些分类做特定的策略，这些策略主要约束分类完成的数据流传输带宽；Policing动作作用于已经分类每一个报文，或对特定的分类做策略，从而可以划分策略的作用域，当某些报文超出策略所允许的带宽速度，这些报文将会被列入特定类，对特定的类单独处理，这些特定的类可能会被丢弃，也可能会被赋予另外的DSCP 值，

（3）标识

当报文经过分类和策略阶段处理后，为保证被分类的报文对应的DSCP值可以顺利传输到网络中的下一节点，需要利用标识动作在报文中写入QoS 信息字段，改变QoS信息可以使用QoS中的ACL来实现，也可以使用Trust 方式实现，可以对Trust DSCP做出选择，进而保留IP 报文头部的DSCP字段信息，

（4）队列

这一阶段主要将数据流中报文送往特定端口的输出队列中，送往不同端口的输出队列会标记有不同的服务质量，

现阶段的路由设备中为每个端口分配八个输出队列，这些队列利用设备上配置的DSCP-to-CoS Map和Cos-to-Queue Map两张映射表将报文的DSCP 值转化成输出队列号，以此来确定报文被送往的输出队列；

（5）调度

调度是QoS流程的最后一个阶段；当报文被送到特定的输出队列后，设备将采用WRR或其它算法将报文继续发送出去；

WRR算法通过修改权重值以此来控制各输出队列在输出报文时发送报文的个数，进而影响带宽；或通过修改DRR算法的权重值来控制输出报文时所占用的发送报文字节数，从而影响带宽。

2.根据权利要求1所述的一种基于MPLS的中大型企业网的实现方法，其特征在于：DMVPN的加密方法选择3DES加密方式，3DES加密方式在Des的基础上，把24位分成相互独立的3组，每组实现不同的加密算法。