1、金融網絡絡MPLLS/VVPN 環境境下的CCisccoWoorkss20000網絡絡管理的的部署 在MPPLS/VPNN網絡環環境下，由由于骨干干網和各各VPNN之間的的IP可可通達性性被隔離離，基于于SNMMP的網網絡管理理模式和和傳統IIP網絡絡有所不不同。本本文不介介紹Ciiscooworrks 20000和VVPN Sollutiion Cennterr的使用用，只從從網管系系統和被被管設備備的部署署的角度度介紹幾幾種方式式以及各各自的優優點和需需要考慮慮的方面面。雖然MPPLS/VPNN將網絡絡分成了了P NNetwworkk （服服務提供供商網）和和 C Nettworrk( 客

2、戶網網絡，即即各VPPN)，對對于銀行行或證券券公司網網絡來說說，仍然然屬于同同一個管管理域之之下。例例如，對對于一個個省行，其其骨干網網和各業業務子系系統網絡絡都需要要從省分分行網絡絡中心進進行統一一管理。網絡管管理系統統如何部部署，可可以有以以下的幾幾種方式式。P網和CC網分離離進行管管理 一種方式式是骨干干網和各各VPNN有各自自的網管管系統。這種方方式不需需對PEE路由器器作任何何特殊配配置，在在骨干網網、各VVPN都都設置各各自的網網絡管理理系統。如下圖圖所示：C NetworkCECEPEPEMPLSCore網管中心CW2000 For BackboneVPNSolution Ce

3、nterCW2000for VPN骨干網的的網管放放置在全全局（GGlobble），負負責管理理P和PPE設備備，拓撲撲圖只顯顯示骨干干網的拓拓撲。VPN的的網管放放置在VVPN內內部，負負責管理理所在VVPN的的所有設設備，包包括其他他Sitte的CC 網設設備（設設置拓撲撲發現時時，針對對每一SSitee都需設設一個SSeedd Adddreess），網網絡拓撲撲圖只顯顯示其所所在VPPN 的的拓撲圖圖。可能能會出現現各個SSitee的拓撲撲圖分離離的現象象，某些些網管軟軟件能手手工添加加虛擬鏈鏈路，即即把MPPLS骨骨干網看看做一條條鏈路。這種方式式不需對對PE路路由器的的配置作作任何修

4、修改，各各網管系系統有各各自的管管理范圍圍，適合合于管理理分工明明確、細細化的客客戶。但但客戶需需配置多多臺網管管工作站站和多套套網管軟軟件。CE設備備在骨干干網管理理系統之之外，不不需要從從CE到到骨干網網的IPP 可通通達性。從骨干干網管理理中心不不能通過過SNMMP，TTelnnet等等訪問到到CE，不不能通過過VPNN Sooluttionn Ceenteer 來來配置、管理CCE，以以及用SSA代理理來測試試CE之之間的響響應時間間等。各CE設設備IPP地址空空間獨立立。C網網路由和和骨干網網路由完完全分離離。用同一網網管平臺臺對所有有P網設設備和CC網設備備進行管管理 另另一種方方

5、式是用用同一網網管平臺臺對骨干干網和客客戶網絡絡設備進進行管理理，即CCE也由由骨干網網網管來來管理。被管CEE處于骨骨干網的的管理域域，因此此，需要要從CEE到骨干干網網管管的IPP聯通性性，能夠夠從CEE訪問到到網管所所在的網網段。骨干網網網管能管管理到CCE的IIP地址址、主機機名、口口令和SSNMPP sttrinngs。骨干網網網管能管管理到： Faaultt maanaggemeent、connfigguraatioon mmanaagemmentt(coolleectiing, arrchiivinng, &reestoorinng， auddit)。C網和PP網的路路由有交交互

6、。可以從VVPN Sollutiion Cennterr 對CCE進行行管理和和配置，可可以用SSA代理理來測試試CE之之間的響響應時間間，也可可以用NNetffloww Coolleectoor。首先，要要建立一一個網絡絡管理子子網（ Nettworrk MManaagemmentt Suubneet）。網絡管理理子網連連接MPPLS VPNN Sooluttionn Ceenteer工作作站，和和其他網網絡管理理工作站站（CWW20000，OOpennvieew等）。一旦一臺臺CE接接入到一一個VPPN后，用用傳統的的IPVV4路由由就無法法到達這這臺設備備。但網網絡管理理子網要要求必須須

7、能訪問問到被管管理CEE設備。因此，需需要考慮慮以下問問題：如何控制制骨干網網和CEE路由器器之間不不必要的的互通路路由（除除了網管管信息）？如何控制制CE路路由器和和骨干網網以及其其他VPPN CCE之間間的互通通路由？如何提供供有效的的安全性性？如何防止止路由循循環？部署了MMPLSS/VPPN之后后的可通通達性的的改變？在把CEE放入一一個VPPN之前前，可能能可以同同Ipvv4到達達CE。一旦CCE放入入VPNN之后，就就不能以以IPVV4 到到達CEE。除非非 經適適當配置置后 從從網管子子網。在非幀中中繼/AATM鏈鏈路上，服服務請求求不能到到Depployyed狀狀態，除除非有網

8、網管子網網。網絡管理理子網實實施技術術：網絡管理理子網必必須能訪訪問到管管理CEE（MCCE），PPE，和和NettFloow CColllecttor。當需要帶帶內（iinbbandd）管理理CE時時，網管管子網是是必須的的，這里里帶內是是指客戶戶的VPPN 流流量和網網絡管理理流量使使用同一一條鏈路路來傳送送。Manaagemmentt CEE(MCCE)網管子網網連接到到MCEE，MCCE作為為網管中中心的網網關。MMCE可可以在MMPLSS VPPN SSoluutioon CCentter網網管軟件件中定義義。Manaagemmentt PEE (MMPE)管理PPE連接接MCEE到

9、骨干干網。MMPE可可以和連連接其他他VPNN CEE的PEE 共用用一臺設設備。目前，網網管子網網有三種種部署方方式：MPE-MCEE 之間間的鏈路路使用一一個網管管VPNN來連接接所有需需要管理理的CEE設備；而連接接PE和和Nettfloow CColllecttor，MMPE-MCEE則使用用并行的的Ipvv4鏈路路。Extrraneet MMulttiplle VVPN 技術MPE-MCEE的鏈路路使用外外聯多VVPN技技術來連連接所有有被管理理的CEE；而連連接PEE和Neetfllow Colllecctorr，MPPE-MMCE則則使用并并行的IIpv44鏈路。帶外管理理帶外管

10、理理，MCCE和所所有被管管理的CCE和PPE之間間都有IIpv44的連接接，ouut-oof-bbandd 指PPE之間間用單獨獨的鏈路路來傳送送網管流流量。當采用管管理VPPN 方方式（即即上面的的第一種種），如如圖所示示：MPE-MCEE使用一一個maanaggemeent VPNN來連接接到被管管理CEE，VPPN的每每個需要要被管理理的CEE也要加加到管理理VPNN，這可可以通過過VPNN Sooluttionn Ceenteer或者者CLII來配置置。只有需要要管理的的CE的的路由（通通常是CCE上的的looopbaack口口的地址址）才會會進入mmanaagemmentt VPP

11、N的VVRF，這這通過定定義rooutee maap來控控制immporrt rrt 和和expportt rtt來實現現。網管管子網和和各被管管CE采采用Huub-SSpokke方式式部署，即即被管CCE只能能和網管管子網通通信，網網管也只只能到達達各被管管設備（CCE和PPE相連連的地址址或者是是CE的的Looopbaack地地址），而而不能到到達VPPN里的的其他地地址。另外MPPE和MMCE還還需要一一條并行行的noon-MMPLSS VPPN鏈路路。Extrraneet MMulttiplle VVPN這種方式式的關鍵鍵概念是是： MMPE-MCEE是所有有被管VVPN的的一部分分，

12、即網網管子網網實際上上是一個個所有被被管VPPN的交交疊區域域（ovverllapppingg siite）。當你加加一個新新的VPPN到這這個交疊疊區時，必必須把這這個VPPN 加加到MPPE-MMCE。另外，MMPE-MCEE之間還還需要并并行的IIpv44鏈路。在Exttrannet Mulltipple VPNN(有時時稱為rrainnboww VPPN)方方式，需需要考慮慮安全控控制和訪訪問列表表，但所所有這些些考慮只只集中在在MPEE和MCCE。MPE包包括了到到所有被被管理VVPN的的BGPP路由。只有MPPE有所所有VPPN的路路由，其其他PEE則不會會。即所所有客戶戶網絡的的

13、路由只只在MPPE的VVRF中中。只需在MMPE-MCEE上用AACL控控制安全全。如果必要要，可以以很容易易創建另另外一個個MPEE-MCCE。帶外管理理(Ouut-oof-BBandd)帶外管理理不需要要mannageemennt VVPN來來管理CCE。帶帶外的連連接提供供Ipvv4鏈路路，PEE之間、PE-CE之之間有另另外的鏈鏈路來傳傳送網管管信息。帶外管理理技術相相對簡單單，不需需要設置置mannageemennt VVPN。但對每每一需要要管理的的CE都都要有IIpv44的連接接，費用用昂貴，同同時實際際實施起起來比較較復雜。建議采用用P網和和C網分分離進行行管理或或者建立立ma

14、nnageemennt VVPN的的方式。 (44) 保證證管理網網絡的安安全性盡管設置置mannageemennt VVPN，在在VRFF中對路路由進行行了控制制，為了了網管子子網和CCE的安安全性，仍仍需在CCE上設設置ACCL來限限制對CCE的訪訪問，設設置對端端口號的的限制很很重要，例例如只允允許來自自網管的的SNMMP、TTFTPP。建議如下下：允許從網網管到CCE址的的SNMMP、TTFTPP等，拒拒絕其他他允許從CCE到網網管的已已經建立立的TCCP （eestaabliisheed），拒拒絕其他他以上的AACL應應用在CCE連接接PE的的端口的的輸入列列表（iinpuut ll

15、istt）。這這樣VPPN中的的其他設設備（未未被管理理的CEE或者主主機、服服務器等等）不能能和網管管建立連連接。只只有從合合法地址址（CEE 上用用于網絡絡管理的的地址）來來的對網網管的響響應能進進入網管管子網。另一個選選項是縮縮小網管管子網，例例如在MMPE上上建立332位掩掩碼的靜靜態路由由：IP rroutte vvrf mannageemennt MCCE_aaddrresssIP rroutte vvrf mannageemennt MCEE_adddreess為了防止止不正確確的路由由的注入入，可以以加一條條：ip rroutte vvrf mannageemennt 00.0

16、.0.00/0 nulll0為防止從從CE訪訪問到MMCE，還還可以在在MPEE上與MMCE連連接的端端口上設設置輸出出ACLL：peermiit ppackket to MPPLS VPNN sooluttionn Hoost, CWW20000 HHostt,CIIPM Hosst eetc.and denny eeverrthiing elsse網管安全全總結：1. MMPE上配配置以下下命令:ip rroutte vvrf mannageemenntMPPLS VPNN Sooluttionn hoostiip/332 ip rroutte vvrf mannageemenntciip

17、m hosstipp/322 To ddumpp unnknoownss, aadd thiis ccommmandd:ip rroutte vvrf mannageemennt 00/0 Nulll02. 在在MCEE、CEE 上也也盡可能能使用靜靜態路由由如果必須須使用動動態路由由，可以以用RIIP。只只進行路路由的單單向重分分發：從從BGPP重分發發到RIIP，但但不要反反向分發發。3. MMCE上上設置AACL ：outpput acccesss liist: onn liink wiith acccesss too thhe VVPNss, mmakee ann ouu

18、tpuut aacceess lisst aas ffolllowss: perrmitt MMPLSS VPPN SSoluutioon hhostt, CCIPMM hoost too denny aallThe inpput acccesss liist is as folllowws: perrmitt too MMPLSS VPPN SSoluutioon hhostt, CCIPMM hoost wiith tcpp-esstabblisshedd denny aall4. 為為保護 Mannageemennt CCE, 在MPPE與MMCE相相連的mmanaagemmentt V

19、PPN端口口上設置置ACLL: perrmitt too MMPLSS VPPN SSoluutioon hhostt, CCIPMM hoost denny aall5. 如如果需要要，在MMPE與與MCEE之間IIpv44鏈路上上也可以以設置AACL，這這取決于于從骨干干網上訪訪問網管管子網的的需要。附錄：測試MPLSS/VPPN 環環境下網網絡管理理集中中管理PP、PEE和CEE路由器器雖然MPPLS/VPNN將網絡絡分成了了P NNetwworkk （服服務提供供商網）和和 C Nettworrk( 客戶網網絡，即即各VPPN)，對對于銀行行或證券券公司網網絡來說說，仍然然屬于同同一個

20、管管理域之之下。例例如，對對于一個個省行，其其骨干網網和各業業務子系系統網絡絡都需要要從省分分行網絡絡中心進進行統一一管理。即從同同一網管管平臺，能能夠對全全網（包包括P路路由器、PE路路由器、需集中中管理的的CE路路由器和和其他CC網設備備）進行行管理。本測試即即采用同同一網管管平臺（CCisccoWoorkss foor WWinddowss 6.0）對對所有PP網設備備和C網網設備進進行管理理 。 要求：被管CEE處于骨骨干網的的管理域域，因此此，需要要從CEE到骨干干網網管管的IPP聯通性性，能夠夠從被管管CE的的Looopbaack端端口訪問問到網管管所在的的網段。能夠從從網管訪訪問

21、到被被管設備備的Looopbbackk地址（ppingg、teelneet、ssnmpp）。但但C網內內其他地地址不能能和網管管網段互互通。CCE也不不能通過過網管網網段訪問問到其他他VPNN的被管管CE。骨干網網網管能管管理到PP、PEE、CEE的IPP地址、主機名名、口令令和SNNMP strringgs。骨干網網網管能管管理到： Faaultt maanaggemeent、connfigguraatioon mmanaagemmentt(coolleectiing, arrchiivinng, &reestoorinng， auddit)。骨干網網網管上能能用CiiscooVieew管理

22、理P、PPE、和和CE設設備。首先，要要建立一一個網絡絡管理子子網（ Nettworrk MManaagemmentt Suubneet）。網絡管理理子網連連接MPPLS VPNN Sooluttionn Ceenteer工作作站，和和其他網網絡管理理工作站站（CWW20000，OOpennvieew等）。本次測測試中采采用CiiscooWorrks forr Wiindoows 6.00。網絡拓撲撲如下：P1CiscoWorksMCE/24/24/24/24/24.16.1/24/24/24/32/32/24CE2/24PE2PE1(MPE)/24CE119211.11.0/24/32/24

23、/32/32P2/240/32Loopback InterfaceIPv4 Link (Global)VPN-IPv4 Link (Management VPN)PE1作作為MPPE（MManaagemmentt PEE）， 連接MMCE（MManaagemmentt CEE）。MMCE和和MPEE之間有有兩條鏈鏈路，一一條是普普通Ippv4 Linnk，在在Glooball地址段段（0/244），用用于網管管子網MMSuubneet（MManaagemmentt Suubneet）和和P、PPE路由由器的通通信。另另一條是是VPNN Ippv4 Linnk， 在M-VPNN

24、（Maanaggemeent VPNN）地址址段（550.00.0.0/224，本本測試中中M-VVPN的的地址為為50.0.00.0），用用于網管管子網和和被管CCE設備備的LOOOPBBACKK端口的的通信。MPEE和MCCE之間間用靜態態路由。CE11和PEE1之間間、CEE2和PPE2之之間運行行RIPP2路由由協議。其他主要要參數配配置如下下：VRF 定定義路由器VRF NammeRDRT RoutteMaapPE1（MMPE）vpn11100:1impoort 1000:1100:3expoort 1000:1 1100:4(expportt rooutee-maap nnm) R

25、outte-mmap nm mathhc iip aaddrresss 1set rouute-tarrgett exxporrt 1100:4acceess-lisst 11 peermiit 550.00.2555.2255.2555 vpn22100:2impoort 1000:2100:3expoort 1000:22100:4(expportt rooutee-maap nnm)Routte-mmap nm mathhc iip aaddrresss 1set rouute-tarrgett exxporrt 1100:4acceess-lisst 11 peermii

26、t 550.00.2555.2255.2555manaagemmentt-VPPN100:3Impoort 1000:3100:4Expoort 1000:33PE2vpn11100:1impoort 1000:1100:3expoort 1000:1 1100:4(expportt rooutee-maap nnm) Routte-mmap nm mathhc iip aaddrresss 1set rouute-tarrgett exxporrt 1100:4acceess-lisst 11 peermiit 550.00.2555.2255.2555 vpn2

27、2100:2impoort 1000:2100:3expoort 1000:22100:4(expportt rooutee-maap nnm)Routte-mmap nm mathhc iip aaddrresss 1set rouute-tarrgett exxporrt 1100:4acceess-lisst 11 peermiit 550.00.2555.2255.2555注意： mannageemenntVVPN只只在MPPE上定定義。vpn11和vppn2的的VRFF定義時時，exxporrt rroutte-ttargget 用了rroutte-mmap。 這個個r

28、ouute-mapp的作用用是：只只有地址址符合550.00.0.0 00.2555.2255.2555時，eexpoort的的RT 為1000:44（這也也是maanaggemeentvpnn vrrf的iimpoort RT）。 500/8地地址段為為網管VVPN的的地址，即即各被管管CE的的Looopbaack端端口的地地址都在在這個地地址段。因此，在在MPEE上maanaggemeentvpnn vrrf里只只有這個個用于網網管的LLooppbacck 端端口的IIP地址址的路由由，而不不會看到到各VPPN內的的其他路路由，這這樣，從從各VPPN的其其他地址址是不能能到達

29、網網管子網網的。同同樣，從從網管也也只能到到達被管管CE的的Looopbaack地地址（PPingg、teelneet、SSNMPP）。在MCEE上定義義了兩條條靜態路路由：ip rroutte 550.00.0.0 2255.0.00.0 501 ( 到被被管CEE的路由由走VPPN llinkk，下一一跳501是MPPE上的的位于vvrf mannageemennt的端端口的IIP地址址)ip rroutte 110.00.0.0 2255.0.00.0 （ 到P、PE路路由器的的路由走走nonn-VPPN llinkk,下一一跳100.1.

30、1.11 是MMPE上上的位于于glooball的端口口的IPP地址）相應地，在在MPEE上的全全局路由由和maanaggemeent VRFF里都配配置上到到網管子子網（550.00.100.0/24）的的靜態路路由，分分別指向向50.0.00.2和和。配置完成成后，從從網管機機（506）上上能PIING、Tellnett到所有有被管PP、PEE、和CCE的llooppbacck端口口。用CWWW6.00的Whhatssup的的拓撲發發現功能能，得到到網絡拓拓撲圖如如下：可以看到到，Whhatssup發發現了所所有被管管設備及及其相連連的網段段。需要要注意的的是，有有的網段段例如VVPN11Siite11的190（CEE1所連連局域網網段）在在拓撲上上能看到到，但從從網管不不能直接接到達，從從網管只只能到達達CE11的Looopbbackk 501。在CWWW deeskttop connsolle里看看到拓撲撲圖如下下：用C