互联网基础及常用网络设备.pptVIP

铁通互联网简介 MPLS VPN MPLS VPN用户的物理接入点 铁通互联网简介 MPLS VPN 经由MPLS 路由交换机。使用该接入的用户主要是一些需要DS-3(45M)以上速率的用户，可以通过专线、SDH等方式接入 经由MPLS VPN接入路由器。增加MPLS VPN接入路由器的主要原因是有大量的用户还将租用城域范围的DDN、帧中继等线路来接入MPLS VPN。这部分的接入的速率通常在E1（2M）以下 经由三层交换机。由于铁通IP骨干网的主要客户是铁路系统，各类铁路系统的应用将可能通过铁路内部的网络以局域网方式接入到铁通IP骨干网，所以必须为这类用户提供局域网的接入方式。同时，许多城域网均已能够提供LAN的接入服务，所以将有用户需要通过城域网在以LAN方式（以太网/快速以太网）接入到MPLS VPN 铁通互联网简介 MPLS VPN的用户接入路由 MPLS VPN支持的用户接入路由协议有静态路由、RIP v2、OSPF和BGP。不支持E-IGRP和IS-IS 静态路由 第一步：在PE路由器上仅需要在对应的VRF中配置用户网段（需要实现互联的网段）的静态路由 第二步：为了在PE路由间通告该静态路由，需要在PE路由器上将静态路由通告Redistribute分发到MP-BGP中 由于静态路由具有简单和设备负担小的优点，所以对于只有一个VPN接入点的用户节点是非常适用的 铁通互联网简介 MPLS VPN的用户接入路由 RIP v2动态路由协议 第一步： PE路由器将收到的RIP v2路由信息，根据接收到的端口的不同，加入到对应的VRF表中 第二步：为了在PE路由间通告各个VRF表中的路由，需要在PE路由器上将RIP v2路由信息Redistribute分发到MP-BGP中 第三步： 在VPN的其它节点上，PE路由器将MP-BGP路由同样以Redistribute的方式在加入到对应的RIP v2子进程中 铁通互联网简介 MPLS VPN的用户接入路由 OSPF动态路由协议 由于OSPF协议的层次结构，以及对内部路由和外部路由的严格界定，所以用户使用OSPF作为接入协议时的情况要复杂一些。可以根据用户的OSPF网络跨越MPLS VPN域的不同，分为下面两种情况的方式在加入到对应的RIP v2子进程中 OSPF的area0核心域将跨越MPLS VPN OSPF的某个area将跨越MPLS VPN 由于OSPF的复杂性，不能通过子模式来区分不同VPN的路由信息，所以需要通过在路由器上启动多个OSPF路由计算进程来进行处理。即有多少个VPN，就启动多少个OSPF进程 铁通互联网简介 MPLS VPN的用户接入路由 BGP协议 在VPN客户端看来，通过BGP作VPN接入与进行普通的EBGP连接没有任何区别。而在PE端，由于都采用了BGP协议，所以不需要进行路由协议间的转发（redistribute）；同时，为了区分不同VPN的路由，在MP-BGP上使用子模式进行配置 铁通互联网简介 网络安全防护---网络安全构架 三个方面：网络本身安全、网络服务安全和运行维护安全。其中，前二个层次是一种自底向上逐层依赖的的关系，而运行安全则贯穿于整个体系 网元的安全 主要是指保护铁通全国骨干网的网络设备、服务器以及其它介质免遭自然灾害、环境事故（如电磁污染等）以及人为攻击破坏的手段 网络服务安全 主要考虑提供用户访问网络资源或使用网络服务时的安全保护，避免DDoS等攻击。同时防止用户委托铁通保管的信息被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制，即确保信息的完整性、保密性，可用性和可控性 运维安全 为保障CTTNET系统功能的安全实现，提供一套安全措施（如管理制度，备份与恢复，应急等）来保护信息处理过程的安全 铁通互联网简介 网络安全防护---网络本身安全性 保护网络本身安全应注意三个方面 网络设备配置需要保护，防止非授权访问 设备本身的工作不会受到资源掠夺性攻击 设备之间的路由通信必须有效保护加密，防止路由欺骗攻击 设备配置安全 设备分级登录验证 带外方式进行远程登录 集中式账户管理 网管系统的安全 铁通互联网简介 网络安全防护---设备避免资源掠夺性攻击 对电信运营商的的另一种安全威胁是资源掠夺式攻击，是指通过持续调用设备的一些检测用途的应用和端口号或利用设备对异常包处理的漏洞占用CPU资源或导致内存溢出，影响设备的正常功能，严重的甚至导致电信运营核心设备性能降低、死机，常见的DOS，DDOS和ping攻击都属于此种情况。在与Internet连接的路由器上应当特别注意防止此类安全隐患 针对资源掠夺性攻击，在网络设备上使用命令一次性关闭所有带有安全隐患的端口检测和进程调用，以避免对网络设备遭受UDP/TCP诊断端口DoS(De