1. 广域网概述
广域网(Wide Area Network,WAN)是指覆盖范围较大的网络,通常跨越城市、国家或地区。广域网用于连接不同地理位置的局域网,实现远程通信和资源共享。更多学习教程www.fgedu.net.cn
2. 广域网技术
广域网技术包括传统的租用线路、帧中继、ATM,以及现代的MPLS、VPN、SD-WAN等。不同的广域网技术有不同的特点和适用场景。学习交流加群风哥微信: itpux-com
1. 租用线路(Leased Line):专用的点对点连接,带宽固定,可靠性高,成本高
2. 帧中继(Frame Relay):基于分组交换的技术,带宽可按需分配,成本适中
3. ATM(Asynchronous Transfer Mode):基于信元交换的技术,带宽高,延迟低,成本高
4. MPLS(Multiprotocol Label Switching):基于标签交换的技术,支持QoS,适合企业级应用
5. VPN(Virtual Private Network):基于公网的虚拟专用网络,成本低,灵活性高
6. SD-WAN(Software-Defined Wide Area Network):软件定义的广域网,智能路由,成本效益高
# 广域网技术比较
| 技术 | 带宽 | 延迟 | 可靠性 | 成本 | 适用场景 |
|——|——|——|——–|——|———-|
| 租用线路 | 固定 | 低 | 高 | 高 | 关键业务 |
| 帧中继 | 可变 | 中 | 中 | 中 | 一般业务 |
| ATM | 高 | 低 | 高 | 高 | 视频会议 |
| MPLS | 高 | 低 | 高 | 中 | 企业骨干 |
| VPN | 可变 | 中 | 中 | 低 | 远程办公 |
| SD-WAN | 高 | 低 | 高 | 低 | 混合云 |
3. 广域网设计
广域网设计是广域网建设的重要环节,包括拓扑结构设计、带宽规划、路由设计、安全设计等。合理的广域网设计可以提高网络的可靠性、安全性和性能。
1. 星型拓扑:所有分支机构连接到总部,结构简单,易于管理
2. 环形拓扑:分支机构依次连接,形成环形,可靠性高
3. 网状拓扑:每个分支机构都与其他分支机构直接连接,可靠性最高
4. 混合拓扑:结合多种拓扑结构,兼顾可靠性和成本
# 带宽规划
# 例如,企业广域网带宽规划
– 总部到分支机构A:100Mbps
– 总部到分支机构B:50Mbps
– 总部到分支机构C:10Mbps
– 分支机构之间:10Mbps
# 路由设计
1. 静态路由:适用于小型网络,配置简单
2. 动态路由:适用于大型网络,自动适应网络变化
– OSPF:内部网关协议,适用于企业内部网络
– BGP:外部网关协议,适用于不同AS之间的路由
# 安全设计
1. VPN加密:保护数据传输安全
2. 防火墙:过滤不安全的流量
3. 入侵检测系统:检测和防范入侵
4. 访问控制:限制未授权访问
4. 广域网配置
广域网配置包括路由器配置、VPN配置、MPLS配置、SD-WAN配置等。正确的配置可以确保广域网的正常运行。学习交流加群风哥QQ113257174
# 登录路由器
$ ssh admin@192.168.1.1
# 配置MPLS
router# configure terminal
router(config)# mpls label protocol ldp
router(config)# interface gigabitethernet 0/0
router(config-if)# mpls ip
router(config-if)# exit
router(config)# interface gigabitethernet 0/1
router(config-if)# mpls ip
router(config-if)# exit
# 配置OSPF
router(config)# router ospf 1
router(config-router)# network 192.168.1.0 0.0.0.255 area 0
router(config-router)# network 10.0.0.0 0.0.0.255 area 0
router(config-router)# exit
# 保存配置
router(config)# end
router# write memory
# 登录路由器
$ ssh admin@192.168.1.1
# 配置IPsec VPN
router# configure terminal
router(config)# crypto isakmp policy 10
router(config-isakmp)# encr aes
router(config-isakmp)# hash sha256
router(config-isakmp)# authentication pre-share
router(config-isakmp)# group 14
router(config-isakmp)# lifetime 3600
router(config-isakmp)# exit
router(config)# crypto isakmp key cisco123 address 10.0.0.2
router(config)# crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha256-hmac
router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
router(config)# crypto map VPN-MAP 10 ipsec-isakmp
router(config-crypto-map)# set peer 10.0.0.2
router(config-crypto-map)# set transform-set ESP-AES-SHA
router(config-crypto-map)# match address 100
router(config-crypto-map)# exit
router(config)# interface gigabitethernet 0/1
router(config-if)# crypto map VPN-MAP
router(config-if)# exit
# 保存配置
router(config)# end
router# write memory
# 登录SD-WAN控制器
$ ssh admin@192.168.1.100
# 创建站点
controller# configure terminal
controller(config)# site site1
controller(config-site)# description Headquarters
controller(config-site)# device 192.168.1.1
controller(config-site-device)# interface gigabitethernet 0/0
controller(config-site-device-interface)# wan-interface
controller(config-site-device-interface)# exit
controller(config-site-device)# interface gigabitethernet 0/1
controller(config-site-device-interface)# wan-interface
controller(config-site-device-interface)# exit
controller(config-site-device)# exit
controller(config-site)# exit
# 创建策略
controller(config)# policy traffic-policy
controller(config-policy)# application microsoft-office365
controller(config-policy-application)# priority high
controller(config-policy-application)# exit
controller(config-policy)# application video-conferencing
controller(config-policy-application)# priority medium
controller(config-policy-application)# exit
controller(config-policy)# application web-browsing
controller(config-policy-application)# priority low
controller(config-policy-application)# exit
controller(config-policy)# exit
# 保存配置
controller(config)# end
controller# save
5. 广域网安全
广域网安全是保护广域网免受未授权访问、攻击和破坏的措施。常见的广域网安全威胁包括黑客攻击、数据窃听、DDoS攻击等。更多学习教程公众号风哥教程itpux_com
# 登录防火墙
$ ssh admin@192.168.1.2
# 配置安全策略
firewall# configure terminal
firewall(config)# security-policy
firewall(config-security-policy)# rule name allow-vpn
firewall(config-security-policy-rule)# source-zone untrust
firewall(config-security-policy-rule)# destination-zone trust
firewall(config-security-policy-rule)# destination-port 500,4500
firewall(config-security-policy-rule)# action permit
firewall(config-security-policy-rule)# exit
firewall(config-security-policy)# rule name allow-mpls
firewall(config-security-policy-rule)# source-zone untrust
firewall(config-security-policy-rule)# destination-zone trust
firewall(config-security-policy-rule)# protocol tcp
firewall(config-security-policy-rule)# destination-port 646
firewall(config-security-policy-rule)# action permit
firewall(config-security-policy-rule)# exit
firewall(config-security-policy)# exit
# 配置入侵检测
firewall(config)# ids
firewall(config-ids)# enable
firewall(config-ids)# exit
# 保存配置
firewall(config)# end
firewall# save
6. 广域网监控
广域网监控是确保广域网正常运行的重要手段,需要定期检查网络状态和性能。常见的广域网监控工具包括SNMP、NetFlow、网络监控软件等。
# 登录路由器
$ ssh admin@192.168.1.1
# 配置SNMP
router# configure terminal
router(config)# snmp-server community public ro
router(config)# snmp-server community private rw
router(config)# snmp-server host 192.168.1.100 version 2c public
router(config)# exit
# 保存配置
router# write memory
# 使用SNMP监控
$ snmpwalk -v 2c -c public 192.168.1.1 sysDescr
SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), Version 15.4(3)M6, RELEASE SOFTWARE (fc2)
# 使用NetFlow监控
router# configure terminal
router(config)# interface gigabitethernet 0/1
router(config-if)# ip flow ingress
router(config-if)# ip flow egress
router(config-if)# exit
router(config)# flow exporter FLOW-EXPORTER
router(config-flow-exporter)# destination 192.168.1.100
router(config-flow-exporter)# source gigabitethernet 0/0
router(config-flow-exporter)# transport udp 9996
router(config-flow-exporter)# exit
router(config)# flow monitor FLOW-MONITOR
router(config-flow-monitor)# exporter FLOW-EXPORTER
router(config-flow-monitor)# cache timeout active 60
router(config-flow-monitor)# exit
router(config)# interface gigabitethernet 0/1
router(config-if)# ip flow monitor FLOW-MONITOR input
router(config-if)# ip flow monitor FLOW-MONITOR output
router(config-if)# exit
# 保存配置
router(config)# end
router# write memory
7. 广域网故障排查
广域网故障排查是网络管理的重要组成部分,需要掌握基本的排查方法和工具。常见的广域网故障包括连接问题、性能问题、安全问题等。
# 测试网络连通性
$ ping 10.0.0.2
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=10.213 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=64 time=10.201 ms
64 bytes from 10.0.0.2: icmp_seq=3 ttl=64 time=10.205 ms
64 bytes from 10.0.0.2: icmp_seq=4 ttl=64 time=10.208 ms
— 10.0.0.2 ping statistics —
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 10.201/10.207/10.213/0.009 ms
# 跟踪路由
$ traceroute 10.0.0.2
traceroute to 10.0.0.2 (10.0.0.2), 30 hops max, 60 byte packets
1 192.168.1.1 (192.168.1.1) 0.213 ms 0.201 ms 0.205 ms
2 10.0.0.1 (10.0.0.1) 5.213 ms 5.201 ms 5.205 ms
3 10.0.0.2 (10.0.0.2) 10.213 ms 10.201 ms 10.205 ms
# 检查VPN状态
router# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
10.0.0.2 10.0.0.1 QM_IDLE 101 ACTIVE
# 检查MPLS状态
router# show mpls ldp neighbor
Peer LDP Ident: 10.0.0.2:0
TCP connection: 10.0.0.2:646 – 10.0.0.1:51234
State: Oper; Msgs sent/rcvd: 1024/1024; Downstream
Up time: 1d0h0m0s
LDP discovery sources:
GigabitEthernet0/1, Src IP addr: 10.0.0.1
Addresses bound to peer LDP Ident:
10.0.0.2
8. 广域网性能优化
广域网性能优化是提高网络效率和用户体验的重要措施,包括带宽管理、QoS配置、流量控制、压缩和缓存等。
# 登录路由器
$ ssh admin@192.168.1.1
# 配置QoS
router# configure terminal
router(config)# class-map match-any voice-traffic
router(config-cmap)# match dscp 46
router(config-cmap)# exit
router(config)# class-map match-any video-traffic
router(config-cmap)# match dscp 34
router(config-cmap)# exit
router(config)# class-map match-any data-traffic
router(config-cmap)# match dscp 0
router(config-cmap)# exit
router(config)# policy-map qos-policy
router(config-pmap)# class voice-traffic
router(config-pmap-c)# priority 1000
router(config-pmap-c)# exit
router(config-pmap)# class video-traffic
router(config-pmap-c)# bandwidth percent 30
router(config-pmap-c)# exit
router(config-pmap)# class data-traffic
router(config-pmap-c)# bandwidth percent 60
router(config-pmap-c)# exit
router(config)# interface gigabitethernet 0/1
router(config-if)# service-policy output qos-policy
router(config-if)# exit
# 保存配置
router(config)# end
router# write memory
# 配置流量压缩
router(config)# interface gigabitethernet 0/1
router(config-if)# compress
router(config-if)# exit
# 配置缓存
router(config)# ip cache enable
router(config)# ip cache size 10000
9. 广域网升级
广域网升级是适应业务发展和技术进步的需要,包括带宽升级、技术升级、架构升级等。合理的升级可以提高网络的性能、可靠性和安全性。
1. 从10Mbps升级到100Mbps
2. 从100Mbps升级到1Gbps
3. 从1Gbps升级到10Gbps
# 技术升级
1. 从租用线路升级到MPLS
2. 从MPLS升级到SD-WAN
3. 从传统VPN升级到SSL VPN
4. 从IPv4升级到IPv6
# 架构升级
1. 从星型拓扑升级到网状拓扑
2. 从单一链路升级到多链路冗余
3. 从集中式架构升级到分布式架构
4. 从传统架构升级到云架构
10. 广域网最佳实践
广域网管理的最佳实践可以提高网络的可靠性、安全性和性能。author:www.itpux.com
– 合理规划广域网拓扑结构
– 选择适合业务需求的广域网技术
– 实施有效的广域网安全措施
– 定期监控广域网状态和性能
– 建立广域网故障应急预案
– 定期备份网络配置
– 持续学习网络新技术
– 定期进行网络性能评估和优化
– 建立网络管理文档和流程
$ ssh admin@192.168.1.1
router# copy running-config tftp://192.168.1.100/router-config.cfg
$ ssh admin@192.168.1.2
firewall# save configuration to tftp://192.168.1.100/firewall-config.cfg
$ ssh admin@192.168.1.100
controller# save configuration to tftp://192.168.1.100/sdwan-config.cfg
本文由风哥教程整理发布,仅用于学习测试使用,转载注明出处:http://www.fgedu.net.cn/10327.html
