毕业设计（论文）VPN在大型企业网络中的应用研究.doc

上传人：仙人指路1688

文档编号：3977218

上传时间：2023-03-30

格式：DOC

页数：52

大小：406.50KB

《毕业设计（论文）VPN在大型企业网络中的应用研究.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）VPN在大型企业网络中的应用研究.doc（52页珍藏版）》请在三一办公上搜索。

1、材料清单一、毕业论文二、毕业设计任务书三、毕业设计开题申请表四、毕业设计开题报告正文五、专业译文声明本人，学号，系大学系专业班学生。所做论文内容主体均为原创，无任何抄袭、剽窃他人劳动成果的行为。如有发现此类行为，本人愿意为此承担一切道义及法律责任，特此声明。学生签名：年月日VPN在大型企业网络中的应用研究摘要：随着信息技术的高速发展，大型企业对计算机网络的需求越来越高，促进了VPN技术快速的发展和应用。VPN有着租用专线的安全的和因特网廉价的优点。本文具体分析了VPN技术的现状和发展趋势，介绍了VPN的产生、特征和优势。详细分析了大型企业对VPN的需求，结合实际应用背景给出两个解

2、决方案，即基于IPSec VPN和MPLS VPN在大型企业中的部署方案，并详细地给出了它们的设计和实现方法。最后对IPSec VPN与MPLS VPN二种方案的进行了对比分析，给出了它们各自的适用的场景。关键词：VPN；大型企业网络；IPSec VPN；MPLS VPNResearch of Application of VPNin Large Enterprise NetworkAbstract: With the rapid development of the Information Technology, demand on network from large enterprise

3、s becomes larger and larger. All of this promotes the rapid development and application of VPN technology. VPN has the advantage of security which leased line possesses and the advantage of inexpensiveness which Internet possesses. This paper analyzes the present situation and development trend of V

4、PN technology, introduces the production, characteristics, advantages of the VPN. Then the paper analyzes the requirement of the VPN network construction of large enterprises. Afterward, two schemes are given according to practical background. One uses IPSec VPN, and the other uses MPLS VPN. The des

5、ign and realization processes of the two schemes are given in detail. At last, this paper compares the IPSec VPN and the MPLS VPN, and points out the scenarios where each scheme is applicable.Key words: VPN; Enterprise network; IPSec VPN; MPLS VPN目录1 绪论11.1 研究背景11.2 技术发展现状11.3 本文主要研究的内容41.4 本文的结构安排

6、42 VPN的分类和技术概要52.1 VPN概述52.2 VPN的分类73大型企业网络的VPN需求分析94 大型企业VPN方案设计与实现104.1 IPSec VPN方案的设计与实现104.2 MPLS VPN方案的设计与实现135 IPSec VPN与MPLS VPN的对比分析206 总结24参考文献25致谢261 绪论1.1 研究背景进入二十一世纪后，传统语音业务的年增长率较低，只有5-10%，与之相比较，数据业务(如Internet等)的年增长率很高，为20-30%. Internet业务量持续的指数增长是数据通信业务量如此高速、持续增长的最直接动力。这对整个网络的技术模式、整体架构乃至

7、当今知识经济的内涵来说，都有着深远的影响。随着网络经济的不断发展，各个企业对建设自己的网络，提出的要求也不断变高，要求网络具备更好灵活性、经济性、扩展性等是其主要表现。VPN具有独有的优势，在通信技术大发展的背景下，对它密切关注的企业数量也不断增多了。虚拟私有网络(Virtual Private Network，VPN)简单来说，就是利用公共网络来完成私有专用网络的构建。组建VPN，使得在公共网络也能提供安全性和可管理性等，就像是企业自己的私有网络一样。随着企业网及政府网应用的日益广泛，网络范围也在不断扩大，跨地区跨城市，甚至是跨国家的网络日益增多，这导致了对网络要求也越来越高。采用传统广域网

8、建立跨区域的企业或政府专网，往往需要租用昂贵的数字专线。而在此同时，Internet日益普及，已经遍布世界各地，并且都是联通的，但由于Internet是开放的网络，如果企业或政府的信息要通过Internet进行传输，肯定存在着许多安全问题。因此如何利用现有的Internet网络来安全地建立企业或政府的专有网络，就成了现在网络应用上的最急需解决的问题。如今，企业信息化是所有企业发展的必经之路，特别是大型企业。企业信息化，可以大大提高企业的工作效率，减少企业的运营成本。大型企业的特点是规模很大，有多个分部或者分公司，它们之间需要信息的交流，这些信息一般都是一些敏感的信息，有的涉及到企业的商业秘密，

9、若不小心被泄露，被截获，后果不堪设想。如何将企业的总部和分部连接起来，并且保证它们之间交换的数据的保密性、完整性，以及使连接成本不像专线那么高？为了解决这个问题，VPN（Virtual Private Network，虚拟专用网）就应运而生了。因特网有廉价的优点，但是不安全；专线安全，但比较昂贵。VPN结合了因特网和专用网的优点，同时也弥补了两者的缺点。1.2 技术发展现状近十年，VPN已从电话公司仅仅提供语音业务发展到了提供数据/语音混合，甚至多媒体业务。相应的技术也从基于DDN,帧中继(Frame Relay), ATM发展到了IP VPN，直至现在的MPLS VPN。SSL VPN市场近

10、些年来一直保持着快速增长的势头，在今年4月IT调研公司Frost & Sullivan发布的2010年中国SSL VPN市场分析报告中可以看到，中国SSL VPN市场在过去的一年里保持了10.3%的健康增长。这其中，对于安全接入的需求增长起到了非常重要的促进作用。SSL VPN市场现状：政府和大中型企业等需求显著近几年来，各级政府对于信息化建设的投入一直在大幅度增加，这其中，无论是社保医疗网络的建设，还是财务税收信息化的建设，每个垂直分支都在大踏步地迈进信息化时代，在此背景之下，各级政府对其网络的稳定具有非常高的要求，SSL VPN在这些方面具有较强的先天优势，从而获得了政府行业更多的政策性支

11、持；另外一方面，对于保密性质较高的政府网络来说，防黑防盗是一个长期的课题，SSL VPN产品突出的安全性能也更容易受到用户的青睐。大型企业和中型企业方面，其往往具有信息化程度高、跨地域业务多和外包合作多的特点。这与政府行业更多是单纯跨地域的网络连通具有一定的差异。为了保证在不同网络、不同地域机构之间的业务连续性，相当数量的用户都选择了比较安全稳定的SSL VPN产品。从未来市场增长的角度来看，移动终端和私有云的大规模发展也会对SSL VPN市场的增长起到一个巨大的促进作用。国外研究IPsec VPN较早，从1995年开始，IETF着手研究制定了一套用于保护IP通信的IPsec安全协议族，199

12、8年制订了IP安全框架. IPsec提供既可用于IPv4也可用于IPv6的安全性机制，它是工Pv6的一个组成部分，也是IPv4的一个可选扩展协议。通过实现和扩展工Psec协议族，国外厂商纷纷推出了面向不同市场的IPsecVPN产品。除拥有IPsec VPN基本的加密、认证等功能外，还和防火墙、IDS等设备融合，形成了具有VPN功能的网络安全设备。为满足不同的用户需求，各厂商还推出了拥有独特功能的IPsec VPN，例如Cisco支持其专有Hub-and-Spoke技术的VPN。IPsec VPN技术的长足发展，还促使产生了许多开放源代码的IPsec VPN软件。国内IPsec VPN已有数年的

13、研究发展历史。初期主要是通过研究、分析国外开源VPN软件，模仿国外大公司软件功能的做法推出产品.随着技术积累沉淀，国内网络安全公司也开始研发具有自主知识产权、独特功能的IPsec VPN产品.特别是在加密算法、认证方式、NAT穿越等适应国内网络发展现状的技术领域中获得了长足进步。MPLS VPN业务近几年引起了全球运营业的普遍关注。国外大的运营商如AT&T, sprint, Verizon, Bellsouth, NTT都己经开始应用MPLS网络。我国运营商中最早推出MPLS VPN业务的是中国网通，推出时间为2002年6月。随着市场前景的日益看好，中国电信、中国铁通也开始提供这项服务。此外，

14、一些跨国运营商也开始关注中国市场，围绕MPLS VPN业务的竞争正在中国市场上逐渐升温。作为网络之国的美国，美国政府非常重视MPLS VPN技术的发展。2004年初，美国全国性运营商sprint推出针对企业用户的MPLS VPN业务。至此，sprint己经拥有了数据网互联方面所有的服务产品，包括旧有的传统专用线、帧中继、ATM,IP接入等等。在接下来的两年里，sprint希望在自己的专有IP网和全球IP平台上都采用MPLS VPN技术，并且集成以前的Internet接入和远程接入服务。MPLS VPN在我国己经进入市场成长期，越来越多的运营商会提供相应的产品，有两个方面的经验可以借鉴：一是国外

15、同行的运营经验，二是国内同行和自己的经验教训。总的来说，首先，运营商一定要结合其他的VPN技术，如租用线、IP VPN、帧中继、ATM来提供满足不同用户不同需求的整体解决方案；二是要确保运营质量，如可靠性、QoS等;三是要努力降低网络操作维护的复杂度，提高网络的利用率，优化网络资源的使用;四是要加强和内容提供商的合作，特别注意及时引入新业务吸引用户。运营商相继推出MPLS VPN服务，可能产生的最主要问题是特殊安全需求和互联互通问题。在我国，因为在公共信息基础平台上发展专有网络已是大势所趋，唯一让用户担心的是安全性。实际上，MPLS VPN针对一般用户，己经可以提供虚电路级的安全性。但是在特殊

16、要求的场合，比如公安、国防领域、电子交易、传送敏感信息、商业文件时，用户需要更加安全的保障措施。所以在吸引此类传统的专网用户时，运营商应该着力应对，提出更值得信赖的解决方案，比如IPSec加MPLS VPN。MPLS VPN应是未来VPN实现技术的趋势与主流。1.3 本文主要研究的内容本文主要研究怎么对大型企业网络中使用的VPN的应用方案进行规划、设计与实现。本文也分析研究了VPN技术原理，深入地探讨了MPLS VPN技术的原理和它的优点。1.4 本文的结构安排本论文分为四个部分。第一部分绪论部分，对VPN技术的研究背景及现状做了个简单的介绍。第二部分介绍了VPN的技术概要，和VPN的分类。第

17、三部分讲述了大型企业的VPN需求分析。第四部分详细IPSec VPN和MPLS VPN这两种解决方案，包括组网背景、网络拓扑、IP地址规划和关键配置代码。第五部分是IPSec VPN实现方案与MPLS VPN实现方案的比较。第六部分是对本论文的总结。2 VPN的分类和技术概要本章主要介绍了VPN的分类和基本概念和原理。2.1 VPN概述2.1.1 VPN的产生随着社会的发展，IT技术越来越多地影响现代企业的业务流程，如企业资源规划、基于IP网络的语音、基于IP网络的会议和教学活动等IT技术，为企业的自动化办公和信息的获取提供了构架。随着网络经济的发展，越来越多的企业的分布范围日益扩大，合作伙伴

18、日益增多，公司员工的移动性也不断增加。这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构，组成自己的企业网，同时使移动办公人员能在企业以外的地方方便地接入企业内部网络。最初，电信运营商是以租赁专线(Leased Line)的方式为企业提供二层链路，这种方式的主要缺点是：1.建设时间长2.价格昂贵3.难于管理此后，随着ATM(Asynchronous Transfer Mode)和帧中继(Frame Relay)技术的兴起，电信运营商转而使用虚电路方式为客户提供点到点的二层连接，客户再在其上建立自己的三层网络以承载IP等数据流。虚电路方式与租赁专线相比，运营商网络建设时间短、价格低，能在

19、不同专网之间共享运营商的网络结构。这种传统专网的不足在于：1.依赖于专用的介质(如ATM或FR)：为提供基于ATM的VPN服务，运营商需要建立覆盖全部服务范围的ATM网络：为提供基于FR的VPN服务，又需要建立覆盖全部服务范围的FR网络。网络建设成本高。2.速率较慢：不能满足当前Internet应用对于速率的要求。3.部署复杂：向已有的私有网络加入新的站点时，需要同时修改所有接入此站点的边缘节点的配置。传统专网的应用，促使了企业效益的日益增长，但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。这促使了一种新的替代方案的产生在现有IP网络上模拟传统专网：这种新的解决方案就

20、是虚拟专用网VPN(Virtual Private Network)。VPN是依靠Internet服务提供商ISP (Internet Service Provider)和网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络。2.1.2 VPN的特征VPN具有以下两个基本特征：1.专用(Private)：对于VPN用户，使用VPN与使用传统专网没有区别。VPN与底层承载网络之间保持资源独立，即VPN资源不被网络中非该VPN的用户所使用；且VPN能够提供足够的安全保证，确保VPN内部信息不受外部侵扰。2.虚拟(Virtual)：VPN用户内部

21、的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网。这个公共网络称为VPN骨干网(VPN Backbone)。利用VPN的专用和虚拟的特征，可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络应用丰富：可以用在解决企业内部的互连、相同或不同办事部门的互连：也可以用来提供新的业务，如为IP电话业务专门开辟一个VPN，以此解决IP网络地址不足、QoS保证、以及开展新的增值服务等问题。在解决企业互连和提供各种新业务方面，VPN，尤其是MPLS VPN，越来越被运营商看好，成为运营商在IP网络提供增值业务的重要手段。2.1.3

22、 VPN的优势从客户角度看，VPN和传统的数据专网相比具有如下优势：1.安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。2.廉价：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。3.支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。4.服务质量保证：构建具有服务质量保证的VPN(如MPLS VPN)，可为VPN用户提供不同等级的服务质量保证。从运营商角度看，VPN具有如下优势：5.可运营：提高网络资源利用率，有助

23、于增加ISP的收益。6.灵活：通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。在应用上具有很大灵活性。7.多业务：SP在提供VPN互连的基础上，可以承揽网络外包、业务外包、客户化专业服务的多业务经营。VPN以其独具特色的优势赢得了越来越多的企业的青睐，使企业可以较少地关注网络的运行与维护，从而更多地致力于企业的商业目标的实现。另外，运营商可以只管理、运行一个网络，并在一个网络上同时提供多种服务，如Best-effort IP服务、VPN、流量工程、差分服务(Diffserv)，从而减少运营商的建设、维护和运行费用。VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活

24、性。在全球任何一个角落，只要能够接入到Internet，即可使用VPN。2.2 VPN的分类VPN可按业务类型和实现技术两个角度进行分类。2.2.1 按VPN的业务类型划分根据服务类型，VPN业务大致分为三类：接入VPN（Access VPN）、内联网VPN(Intranet VPN)和外联网VPN（Extranet VPN）。通常情况下内联网VPN是专线VPN。（1）接入VPN：这是企业出差员工通过公网远程访问企业内部网络的VPN方式。远程用户一般是一台计算机，而不是网络，因此组成的VPN是一种主机到网络的拓扑模型。（2）内联网VPN：这是企业的总部与分支机构之间通过公网构筑的虚拟网，这是一

25、种网络到网络以对等的方式连接起来所组成的VPN。（3）外联网VPN：这是企业在发生收购、兼并或企业间建立战略联盟后，使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN（主要在安全策略上有所不同）。2.2.2 按VPN的实现技术划分目前，主流的VPN技术有IPSec VPN、SSL VPN、MPLS VPN。IPSec VPN是一个应用广泛、开放的VPN安全协议技术，它提供了如何让保密性强的数据在开放的网络中传输的安全机制。它工作在网络层，为数据传输过程提供安全保护，主要手段是对数据进行加密和对数据收发方进行身份认证。IPSec VPN技术可以设置成在两种

26、模式下运行，一种是隧道模式，把IPv4数据包封装在安全的IP帧中进行传输，但这种方式系统开销比较大；另一种模式是传输模式，隐藏路由信息，提供端到端的安全保护。SSL VPN也是一种在Internet上确保信息安全收发的通用协议技术，位于TCP/IP协议与各种应用层协议之间，以可靠的传输协议(如TCP)为根基，为高层协议提供数据封装、压缩、加密等基本功能的支持，为网络的连接提供服务器认证、可选的客户认证、SSL链路上的数据完整性保证、保密性保证。目前，SSL VPN也广泛被应用于各种浏览器中，使用者利用浏览器内的SSL封装包处理功能，用浏览器连接单位内网的SSL VPN服务器，通过网络封包转向的

27、方式，从而让远程计算机执行任务，读取单位内网上的信息。多协议标签交换MPLS VPN是一种面向连接的技术，通过MPLS信令建立好MPLS标记交换通道LSP，数据转发时在网络的入口处对信息进行分类，网络设备中根据分类选择相应的交换通道LSP，并打上相应的标签，再转发时直接根据报头的标签转发，不再通过IP地址查找，在LSP出口处，卸掉标签，还原为原来的IP数据包。它是一种快速数据包交换和路由的体系，通过标签交换路径将私有的网络的不同分支联系起来，从而形成一套虚拟的统一的网络。基于这种交换和路由的特点，它的路由工作在网络的第三层，而核心任务工作在第二层。3大型企业网络的VPN需求分析随着经济全球化步

28、伐的加快，跨国、跨地区的企业收购和合并日益增多。每家公司的分支机构的分布也越来越广，公司各分支机构之间为了共享商业数据，需要将各分支机构之间联网，在保证数据存储和传输安全的前提下共享数据，同时解决方案尽可能的要减少投入和降低使用成本。分析这些需要联网的企业用户的需求特点，可以归纳为以下几点：1）分支机构彼此分布不同地点2）需要共享大量的商业数据，对接入带宽有一定的要求3）必须保证数据在传输过程中的安全性。过去的企业网络，多以封闭式的专线连接为主，其主要原因就是考虑数据传输的安全性。若在安全性不能被保障的状况下，一旦企业重要资料被他人所窃取，将对企业造成难以弥补的损失4）解决方案低成本VPN技

29、术就是在这个背景下应运而生的，VPN的出现满足了企业用户的需求。VPN的基本思路就是充分利用现有的公共IP网，通过隧道技术，将公网虚拟成专用网，同时免除了昂贵的专线租用费用。4 大型企业VPN方案设计与实现4.1 IPSec VPN方案的设计与实现4.1.1 组网背景有一公司的总部在北京，在上海有一分部，北京总部内部采用私有IP地址，但要接入Internet，且对外的Web服务器Server0，要让一般用户可以从Internet访问。北京总部与上海分部之间，要求建立站点间的VPN。即通过私有IP地址可以互相访问。北京总部有多个公用IP（200.0.0.0-200.0.0.15，Server0对

30、外的IP地址为200.0.0.8，即从公网的一台电脑上ping 200.0.0.8可以ping通server0）。实现北京总部各部门间的网络的广播流量相互隔离，网络互通。在路由器上配置路由协议，使用网络可以互通。上海分部内部也使用私有IP地址，通过NAT访问Internet。北京总部与上海分部之间，要求建立站点间的VPN。即通过私有IP地址可以互相访问。4.1.2 网络拓扑图4.1 IPSec VPN网络拓扑图4.1.3 IP地址规划在北京总部的交换机上划分5个VLAN表4.1 北京总部VLAN划分项目VLANIP范围与F0/1相连的交换机10192.168.1.0/24与F0/2相连的交换机

31、20192.168.2.0/24与F0/3相连的交换机30192.168.3.0/24与F0/4相连的交换机40192.168.4.0/24Server077192.168.77.1上海分部Server2 IP：172.16.1.1某一外网PC IP：202.202.202.14.1.4 关键配置代码1）北京总部内部采用私有IP地址，但要接入Internet，且对外的Web服务器Server0，要让一般用户可以从Internet访问。设分配给总部有多个公用IP（假设为200.0.0.0-200.0.0.15，Server0对外的IP地址为200.0.0.8，即从公网IP地址的PC2上ping

32、200.0.0.8可以ping通server0）。这要用到两条NAT使内网机子可以访问外网access-list 101 deny ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255access-list 101 permit ip 192.168.0.0 0.0.255.255 anyip nat inside source list 101 interface FastEthernet0/1 overload使网络可以访问Server0ip nat inside source static 192.168.77.1 200.0.0.82）实现

33、北京总部各部门间的网络的广播流量相互隔离，网络互通，但同时要求各技术部、销售部的计算机不能主动访问财务部的服务器与计算机。这要利用VLAN来进行广播流量的分隔，并通过三层交换机来实现VALN间的互连用vlan命令建立vlan用int range switchport access vlan 把接口加入vlan再int vlanip addr给vlan分配IP地址。3）上配置路由协议，使用网络可以互通。在路由器用OSPFrouter ospf 1network 0.0.0.0 255.255.255.255 area 04）上海分部内部也使用私有IP地址，通过NAT访问Internet。但北京总

34、部与上海分部之间，要求建立站点间的VPN。即通过私有IP地址可以互相访问。（1）Router0上的VPN配置access-list 111 permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255crypto isakmp policy 10 encr 3des hash md5 authentication pre-sharecrypto isakmp key 2046 address 203.203.203.2crypto ipsec transform-set tim esp-3des esp-md5-hmaccrypto map

35、tom 10 ipsec-isakmp set peer 203.203.203.2 set transform-set tim match address 111interface FastEthernet0/1crypto map tomip route 172.16.1.0 255.255.255.0 200.0.0.16（2）Router3上的VPN配置access-list 111 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.255.255crypto isakmp policy 10 encr 3des hash md5 aut

36、hentication pre-sharecrypto isakmp key 2046 address 200.0.0.1crypto ipsec transform-set tim esp-3des esp-md5-hmaccrypto map tom 10 ipsec-isakmp set peer 200.0.0.1 set transform-set tim match address 111interface FastEthernet0/0crypto map tomip route 0.0.0.0 0.0.0.0 203.203.203.1从PC0（192.168.1.1）上可以p

37、ing通Server2（172.16.1.1）（证明可从北京总部访问上海分部，VPN配置成功）图4.2 从PC0到Server2可ping通4.2 MPLS VPN方案的设计与实现4.1.1 组网背景某大型公司除了北京的主要分支点以外，在深圳也有分部。客户对信息系统的应用相对于同行比较超前，目前，OA、邮件、语音等系统都己成为主要的应用。OA、语音等系统需要实时的数据交换，而且数据的交换量较大，依靠原有的网络连接，经常会带来数据堵塞，速度太慢，系统不能真正的发挥效益。应用超前、网络接入的滞后，严重影响了系统应用能力的提升。随着业务的不断发展，客户为改造现有语音数据综合通信网络并配合即将上马的企

38、业ERP系统的应用，需要与多个分支机构的业务点相互连接，建立一个单独的灵活的符合企业运用要求的通达全球的数据通信网络，保证数据传输的可靠性和安全性，并能获得优良的网络服务质量保证。由于MPLS VPN有与其它的实现技术有着成本低、灵活性和扩展性好、安全性高、支持QoS、适用于较大的企事业单位等诸多优点，所以选择MPLS作为VPN的实现技术。4.2.2 网络拓扑图4.3 MPSL VPN网络拓扑图4.2.3 IP地址规划见图4.3。4.2.4 关键配置代码（1）PE-A路由器配置router id 192.168.255.2mpls lsr id 192.168.255.2 /配置mpls ls

39、r id此处用和router id一致的Loopback地址! mpls ldp /启动MPLS LDP协议! ip vrf vpntest /配置vrf，其中vpntest为vrf名称rd 100:1 /rd为标识符，结构为自治系统编号：VPN站点编号route-target export 100:1route-target import 100:1! interface Ethernet2/2/0description TO_Router-CE-Aip vrf forwarding vpntest /VPN站点连接CE路由器接口启动vrf forwarding ip address 172

40、.16.0.9 255.255.255.252 interface Ethernet3/2/0description TO_Router-NE80_P ip address 192.168.0.17 255.255.255.252mpls ldp enable /与P路由器连接的接口启动MPLS LDP协议!interface LoopBack7/0/0 ip address 192.168.255.2 255.255.255.255!router bgp 100 /配置BGP协议 !address-family ipv4 vrf vpntest /此模式为配置EBGP和CE路由器通过BGP协

41、议来传递 VPN站点的路由redistribute staticredistribute connectedno synchronizationneighbor 172.16.0.10 remote-as 65000exit-address-family ! address-family vpnv4 /此模式为配置vpnv4 iBGP路由，用于在PE之间传播MBGP VPN路由no synchronization neighbor 192.168.255.1 remote-as 100neighbor 192.168.255.1 next-hop-selfneighbor 192.168.25

42、5.1 update-source LoopBack7/0/0exit-address-family!router ospf /PE、P路由器路由通过IGP路由协议传播network 192.168.0.0 0.0.255.255 area 0.0.0.0 redistribute staticredistribute connected （2）配置NE80 作为P路由器只做标签转发router id 192.168.255.3mpls lsr id 192.168.255.3mpls ldp!interface Ethernet1/0/1 description TO_Router-PE-B

43、negotiation autono shutdownip address 192.168.0.14 255.255.255.252mpls ldp enable /与PE-B路由器连接的接口启动MPLS LDP协议!interface Ethernet1/0/3 description TO_Router-PE-Anegotiation autono shutdownip address 192.168.0.18 255.255.255.252mpls ldp enable /与PE-A路由器连接的接口启动MPLS LDP协议!interface LoopBack0ip address 19

44、2.168.255.3 255.255.255.255!router ospfnetwork 192.168.0.0 0.0.255.255 area 0.0.0.0 redistribute connected redistribute static（3）CE-A路由器配置（VPN用户路由器）router id 172.16.0.10interface Ethernet0 /用于和PE-A路由器连接speed autoduplex autono loopbackip address 172.16.0.10 255.255.255.252!interface Ethernet1 /接入VPN用

45、户局域网speed autoduplex auto no loopbackip address 10.0.5.1 255.255.255.0!router bgp 65000 /配置EBGP路由，与PE路由器之间传递VPN用户路由redistribute static redistribute connectedneighbor 172.16.0.9 remote-as 100!（4）配置PE-B路由器，和CE-B之间通过静态路由互联hostname PE-Brouter id 192.168.255.1mpls lsr id 192.168.255.1mpls ldp!ip vrf vpnt

46、estrd 100:1route-target export 100:1route-target import 100:1!interface Ethernet12/2/0 /用于和CE-B路由器连接 ip vrf forwarding vpntestip address 172.16.0.5 255.255.255.252!interface Ethernet13/2/0 /用于和P路由器连接 ip address 192.168.0.13 255.255.255.252mpls ldp enable!interface LoopBack7/0/0 ip address 192.168.255.1 255.255.255.255!router bgp 100!address-family ipv4 vrf vpntestredistribute staticredistribute connected no synchronizationexit-address-family!address-family vpnv4no synchronizationneighbor 192.168.255.2 remote-as 100neighbor 192.168.255.2 next-hop-selfneighbor 192.168.255.2 updat