基于IS-ISMT技術的大型企業(yè)網絡設計摘 要關鍵詞：互聯網；IPv4；IPv6；雙棧；IS-ISMT；大型企業(yè)網絡目錄TOC\o"1-3"\h\u190551引言 引 言研究背景、目的及意義研究背景隨著當前的科技進步與社會的不斷發(fā)展，自從本世紀開始，互聯網業(yè)務也在快速的在民用領域發(fā)展，人們對于網絡的需求也不再僅限于郵件與瀏覽網頁等簡單的上網活動，有許多新的互聯網應用如電子商務、網絡視頻和電話等被開發(fā)出來。但是在互聯網快速發(fā)展的過程中，IPv4網絡卻仍然存在許多的問題沒有被解決，例如：地址數量的不足與地址的利用率低下、使用設備的增加導致路由表的路由條數大幅度增加，缺少服務質量QoS的保障與支持、地址分配十分不便，這些問題使網絡的實時性與應用性難以得到保障，而IPv6網絡則極大程度的改善了以上的問題，IPv6擁有數量接近無限的地址，可以滿足所有用戶對于上網的地址需要，同時全新的結構體系也使其性能優(yōu)秀，以及安全、可靠、兼容性高等優(yōu)點。對于大型企業(yè)而言，企業(yè)的影響力往往占據市場的主導地位，對于整個行業(yè)乃至整個社會的經濟都有舉足輕重的影響，因此國家政府機構與許多企業(yè)已經開始著手部署IPv6網絡。在2019年時，《中國IPv6發(fā)展狀況》白皮書內有關于對當前我國的IPv6的發(fā)展情況的說明，在使用人數方面，已經有12億左右的IPv6用戶被分配了地址，而在這些用戶中，有接近3億用戶已經成為了IPv6網絡的活躍用戶；在流量方面，我國的運營商企業(yè)已經為企業(yè)和城市用戶出口的流量接近400Gbps，在運營商內部的總流量達到了500Gbps左右，各個骨干直連點的流量達到了75Gbps，對國外的流量出入口流量達到了80.45Gbps；在企業(yè)方面，有百分之90左右的政府網站內已經支持了IPv6網絡，用戶可以直接通過IPv6對網絡進行訪問；有百分之80的國企已經在企業(yè)網內的服務器上部署了IPv6網絡，而其他的大型企業(yè)如移動應用APP公司與電子商務公司均已對他們的網頁與APP產品適配了IPv6網絡。以上的這些企業(yè)對IPv6的重視程度說明，我國的初期IPv6網絡建設已經獲得了一定的成果。對于目前仍未支持IPv6的大型企業(yè)來說，需要盡快的使網絡支持IPv6協議棧。對于不同的大型企業(yè)，由于企業(yè)在規(guī)劃與建設企業(yè)網絡的情況都有差別，因此業(yè)務的不同導致其網絡的要求也有不同，企業(yè)可以根據實際需要選擇不同的技術實現雙協議棧網絡，以滿足企業(yè)的日常網絡要求。在普及的過程中，對于目前復雜的IPv4/IPv6的復雜組網環(huán)境下，如何使企業(yè)有原來的單協議棧網絡平穩(wěn)的升級為雙協議棧網絡，是各大企業(yè)對于網絡未來規(guī)劃中的一個核心難題。在IPv6協議棧的推進過程中，這兩種網絡的在網絡上會同時存在，導致網絡環(huán)境十分復雜，因此使用以往的技術很難解決復雜網絡環(huán)境所導致的問題，使雙協議棧網絡難以推進，而IS-IS多拓撲則是一個很好的過渡技術，能夠幫助企業(yè)解決目前過渡的問題。研究目的及意義在我國對未來的網絡發(fā)展布局內，IPv6協議作為新一代的互聯網協議，在發(fā)展布局中的優(yōu)先級是非常高的，因此在未來我國網絡的升級規(guī)劃當中，IPv4網絡將會逐漸被IPv6所取代，但是一次性投入消耗大量成本，將所有只支持IPv4的設備全部替換為IPv6的設備肯定是不現實的，因此必須對網絡進行有規(guī)劃與有序的升級，而在這種升級的大背景下，網絡的組網環(huán)境中肯定會有只支持IPv4協議的設備，而在企業(yè)的網絡升級過程中也將面臨著相同問題。自從MT技術被研究出來后，就成為了業(yè)內的重點關注的技術之一，在組網環(huán)境下，該技術可以有效地解決部署企業(yè)雙協議棧網絡的許多問題，如路由黑洞、負載均衡等。TLV的報文格式拓展性相當高，IS-IS動態(tài)路由協議就是采用了這樣的報文格式，當需要支持IPv6路由與IS-IS多拓撲時只需要新增相應的TLV即可，除此之外，IS-IS協議還在其他方面有著自己的有優(yōu)點，如拓展性高、可以承載更多的路由條目、收斂速度快、安全性高等，在大型企業(yè)網絡中，可以選擇該協議以滿足大型企業(yè)的網絡需求。國內外相關研究情況國內研究情況自從MT技術被研究出來后，就成為了業(yè)內的重點關注的技術之一，而作用于IS-IS路由協議的多拓撲技術也是各大技術人員的研究對象。在國內，許多科研單位與高校對多拓撲技術在多方面應用有著深入研究，如利用多拓撲進行子拓撲間的相互備份實現故障時的快速修復，根據流量設計多拓撲保證網絡負載均衡等。國內路由器制造廠商如華為、H3C更多的是對多拓撲在混合組網當中的應用研究，主流路由器制造廠商華為在2008年4月發(fā)布了《IS-ISMultiTopology技術白皮書》，這一舉措填補了國內路由器廠商在IS-IS多拓撲協議上技術空白。目前華為、H3C等國內路由器廠商均已經在IS-IS路由協議上實現了多拓撲技術，這一成功為我國推進IPv6網絡布局中提供了又一項新的技術選擇，同時也為未來的IPv6網絡建設過程提供了新的技術指導。國外研究情況在最開始的時候，多拓撲技術并不是為了實現雙協議棧而研發(fā)的，而是作為私有路由的目的進行研究的。美國的思科公司作為國外路由器廠商的第一梯隊，首先實現了多拓撲技術在其設備上的使用，而緊跟其后的其他國外廠商如Juniper也逐漸研發(fā)出了支持多拓撲技術的設備。隨著互聯網技術的逐漸發(fā)展，國外對于多拓撲技術也在控制網絡流量、負載均衡、網絡安全、混合組網應用等方向進行研究，而其中的IS-ISMT技術成為了大型企業(yè)與運營商網絡所選擇用于部署雙協議棧的技術之一。在配置了雙協議棧的網絡中，使用IS-ISMT技術后，能夠讓不同的協議棧之間運行不同的拓撲，使各個協議棧按照不同的拓撲進行傳輸，實現網絡的負載均衡，同時實現網絡運行雙協議棧，為了實現以上雙協議棧的多拓撲需求，在IS-ISMT的技術文檔中，通過新加入的4種TLV來滿足多拓撲在網絡當中的技術需求，這四種TLV分別是TLV229、TLV222、TLV235、TLV237?？偨Y與分析綜上所述，本次畢業(yè)設計將主要研究IS-ISMT用于實現雙協議棧網絡的相關技術要求與配置，滿足企業(yè)對雙協議棧組網的技術要求。本次對企業(yè)網絡的設計，將IS-ISMT技術的理論與實踐相結合，不僅能掌握該技術的理論還可以對技術進行實踐。論文的章節(jié)安排本論文的總體將分為七個部分，具體內容安排如下：第一章：首先介紹了當前雙協議棧與IS-ISMT技術的背景情況，隨后對IS-ISMT和多拓撲技術的國內外情況進行說明，并且列出本次畢業(yè)設計的總體綱要與安排。第二章：對本次設計的大型企業(yè)作背景分析與企業(yè)網絡的需求分析，隨后進行系統(tǒng)的可行性分析，從經濟、技術、操作這三個方面對IS-ISMT技術組網進行驗證，判斷該技術是否能夠正常運用在企業(yè)網絡的組網內，最后介紹了雙協議棧的IP協議相關內容與本次設計的運行環(huán)境。第三章：對本次畢業(yè)設計所使用到的技術進行詳細的說明，并結合珠江集團的網絡設計情況對這些技術的使用作出具體的規(guī)劃。第四章：該段為本次畢業(yè)設計的珠江企業(yè)進行總體設計，確認網絡設計方案與使用的技術、網絡拓撲的設計與IP地址規(guī)劃與VLAN規(guī)劃。第五章：根據對珠江集團的網絡規(guī)劃設計，使用相關技術對設計進行配置，并在仿真模擬平臺上實現。第六章：對本次設計的配置進行驗證，確認方案的可行性。第七章：對本次設計中所做的前期準備工作與后期技術配置作出詳細的總結，并且拓展本次設計中可以更加完善的方面，對本次畢業(yè)設計仍然可以提高的地方作出說明。

大型企業(yè)的網絡需求與可行性分析大型企業(yè)在市場中的地位往往是處于主導位置，是引領整個行業(yè)發(fā)展的風向標，而隨著企業(yè)的的業(yè)務發(fā)展，公司也不再像以前一樣只服務于一個區(qū)域，而是從原來的單區(qū)域拓展到服務多個區(qū)域，只有通過多區(qū)域共同發(fā)展才能夠增加企業(yè)的業(yè)務處理能力與企業(yè)的核心競爭力。當前市面上大多數的企業(yè)仍然采用單協議的網絡進行網絡搭建，而傳統(tǒng)的單協議網絡在大型企業(yè)中已經不能滿足企業(yè)的正常網絡發(fā)展需求了。因此本課題進行的網絡設計將圍繞以上發(fā)展需求，為中大型企業(yè)建立一套適合未來發(fā)展的雙協議棧企業(yè)網絡方案，在減少開支方面的同時，還要結合大型企業(yè)的相關需求，保證企業(yè)網絡的安全與可靠。作為大型企業(yè)之一，珠江集團將對集團內得一個總部和兩個分部進行網絡規(guī)劃設計，現在要求兩個分站點能夠連接到總部的服務器上，同時總部和各個分部之間的不通協議棧設備與用戶需要能夠互相連接。在實現雙協議棧的過程中，對企業(yè)網絡內的不同協議棧的流量路徑進行控制，防止因企業(yè)設備升級過程中出現路由黑洞的情況，提高網絡的可靠性。在企業(yè)中設計的總部與分部間設計雙協議棧技術，為企業(yè)的網絡體系作出系統(tǒng)的可行性分析大型企業(yè)的網絡體系結構隨著企業(yè)的業(yè)務不斷發(fā)展，珠江集團的網絡搭建也要跟上企業(yè)業(yè)務發(fā)展的速度。在天河區(qū)珠江新城附近為該集團的總部區(qū)域，在荔灣區(qū)有一個IPv4分部，從化區(qū)有一個IPv6分部，由于集團的網絡已經由原來的單協議棧發(fā)展到了雙協議棧，因此需要對不同的協議棧配置相對應的技術，為了使集團內的網絡體系緊跟市場發(fā)展，為該集團設計了基于IS-ISMT技術實現企業(yè)網絡內同時運行不同的協議棧。在設計企業(yè)網絡之前，首先要對大型企業(yè)的網絡結構作出規(guī)劃，珠江企業(yè)是一個多區(qū)域多部門的大型企業(yè)，因此要系統(tǒng)的合理的對企業(yè)內的各個部門與不同協議棧所用的技術進行分析，以及分析分部與總部的業(yè)務需求，從而正確的總結出集團網絡的需求。本次對珠江集團的網絡設計將采用傳統(tǒng)的核心層、匯聚層、接入層三層結構作為企業(yè)的整體體系結構，再對企業(yè)的安全性作出規(guī)劃，在對企業(yè)的出口設備即與運營商連接的位置采用防火墻作為安全屏障，保護企業(yè)網絡的安全性。綜合以上的分析，將對珠江集團相關網絡體系結構作出設計說明，隨后使用可視化的圖表對設計進行充分地展示。企業(yè)的總部與分部間的大致情況如下圖2.1的珠江集團三維設計圖所示：圖2.1珠江集團三維網絡拓撲圖珠江集團的業(yè)務拓展后，已經發(fā)展出了多個分部，這些分部組成了獨立的物理區(qū)域，而各個區(qū)域之間的連接則是目前需要解決的問題。為了使分部與總部實現連接，將通過連接運營商網絡，通過部署雙協議棧的相關技術使分部與其他員工能夠訪問到總部。珠江集團的網絡設計采用分層的結構，共分為三層，分別是核心層、匯聚層、接入層。網絡結構的大致設計將參考下圖2.2的三層網絡結構模型進行設計。圖2.2三層結構的企業(yè)網絡體系為了使集團的網絡建設能夠緊跟業(yè)務發(fā)展，根據當前的實際情況分析，將企業(yè)的網絡由原來的單協議棧網絡升級到雙協議棧網絡，使各協議棧之間能夠在企業(yè)網內正常運行。通過運營商網絡使總部的不同協議棧的能夠與不同的分部進行通訊，在同時滿足分部對總部服務器訪問的需求，如圖2.3所示，通過總部與分部之間的GRE隧道連接，滿足IPv6分部訪問總部的需求，IPv4分部則直接連接運營商網絡后，通過運營商網絡訪問總部網絡。圖2.3珠江集團總體網絡視圖大型企業(yè)的網絡的業(yè)務需求分析本課題將為珠江集團設計一個基于IS-ISMT技術將單協議棧網絡變?yōu)殡p協議棧的企業(yè)網絡，主要是為了適應在當前兩種協議棧共存的復雜網絡環(huán)境，使珠江企業(yè)能夠適應當前網絡的新發(fā)展，對于大型企業(yè)來說，同時更換大量的網絡設備來代替不支持IPv4的網絡設備是不現實的方案，因此需要采用一個適合于大型企業(yè)的過渡方案，而IS-ISMT則是一個符合大型企業(yè)需求的雙協議技術，能夠有效地幫助企業(yè)解決網絡過渡的問題。使企業(yè)內的網絡實現雙協議通信，滿足企業(yè)內的不同協議棧的網絡訪問需求。大型網絡的業(yè)務需求由以下幾個方面組成：拓展企業(yè)的網絡規(guī)模：由運營商對企業(yè)的各個獨立的物理部分進行連接后，部署雙協議棧技術使各個分部間與企業(yè)總部不同的協議棧網絡實現信息交互，讓企業(yè)網絡不再局限于總部的網絡內。提高企業(yè)的網絡性能與可靠性：在企業(yè)網絡的部署過程中，通過建立網絡的冗余技術和負載均衡使企業(yè)網絡更加具有高可靠性與高性能，當企業(yè)網絡內發(fā)生了故障時，盡量控制故障所影響的范圍，減少對相關網絡業(yè)務的影響。保障企業(yè)的網絡安全：可以通過部署接口驗證或網絡區(qū)域驗證等技術，防止網絡中隨時發(fā)生的網絡威脅，對于外部網絡的防護可以部署防火墻策略進行保護。管理企業(yè)網絡：可以通過使用網管軟件對網絡進行實時監(jiān)測，在發(fā)現網絡問題時及時通知，及時介入處理各類網絡事件，提高網絡的可用性?？尚行苑治鲈诰W絡設計與規(guī)劃的過程中，可行性分析是必不可少的一部分，它能夠對過程中所使用的技術以及效果作出系統(tǒng)的指導，使企業(yè)網絡的設計方案落地可行。為了能夠使企業(yè)網絡的設計與實現能夠順利的完成，在前期需要對方案整體的經濟型先做出評估，隨后對方案中所使用的技術與操作進行判斷，最終確認方案能否被順利的完成。在本文中，對于大型企業(yè)的網絡設計也應該作可行性分析。經濟可行性在大型企業(yè)中，原有的規(guī)劃設備的性能并不會太低，因此在這些設備中，很多都能夠支持雙協議棧的部署，在對企業(yè)的網絡配置雙協議棧時不需要耗費太高的經濟費用，支持雙協議棧的設備只需要在原有的基礎上配置IPv6網絡即可實現雙協議棧運行，使雙協議在同一個設備上共存，并不需要增加新的網絡設備或者替換掉原有的網絡設備，但是對于不支持雙協議棧只能配置單協議IPv4的設備來說，可以通過IS-IS的分拓撲功能對不同的網絡協議流量進行分拓撲運算，能夠有效地避免網絡出現路由不可達的問題。因此在經濟上來分析，使用IS-ISMT技術的雙協議棧企業(yè)網絡是可行的。技術可行性本次對珠江集團的網絡設計將采用IS-ISMT技術實現雙協議棧的企業(yè)網絡功能，使企業(yè)網絡中同時運行兩個協議的網絡，使企業(yè)的設備支持不同的協議棧以滿足用戶對不同網絡的使用。在對該集團的網絡配置中，所采用的方法都是用于網絡搭建中的常用方法，如IS-IS、DHCP、NAT、GRE隧道等協議與技術。而對于集團的不同分部訪問總部的需求，則采用轉換技術和隧道技術與運營商網絡連接，使分部和總部間能夠互聯，在核心層與匯聚層設備上使用IS-IS協議與IS-IS多拓撲功能，使企業(yè)網絡內的兩個協議棧的流量進行分拓撲計算，然后通過部署DHCPv6服務給總部內的IPv6用戶分配IPv6的地址，滿足IPv6用戶的上網地址需求，同時使總部內的網絡設備互通。MSTP與鏈路聚合技術可以使網絡流量按照方案中設置的流量線路運行同時也能檢測網絡內的設備之間鏈路是否存在故障。在本方案中所使用的網絡技術中，所有的技術都能夠通過在產品文檔中找到相關的技術原理，因此技術難度并不大，而關于IS-ISMT技術的原理與技術可以通過查閱產品文檔進行查看。因此在技術可行性上，設計一個IS-ISMT網絡是可行的。操作可行性本課題的企業(yè)網絡使用的是IS-ISMT技術，以及其他常見的搭建企業(yè)網絡的方法，其中IS-ISMT技術的原理與配置在設備的產品文檔中有詳細說明，可以根據產品文檔進行操作，這些技術在企業(yè)網絡搭建中已經十分成熟，在產品文檔中也有非常多的操作案例與步驟可以學習，也是作為一名網絡工程師的技術基礎。因此在部署這些方法的過程中所需要而操作要求不高，相關技術的所需要做的操作也不復雜，因此在操作可行上，部署與配置一個IS-ISMT企業(yè)網絡使可行的。相關的IP協議介紹位于網絡層中的IP協議，是一個十分重要的協議，它可以為設備提供IP地址。如果設備沒有IP地址那么這個設備就沒有辦法連接網絡，不能與其他的設備進行通信，原因是其還有一個重要的功能是提供了IP的路由功能。在本次課題的設計過程中，需要明白IP地址的原理和它是如何進行工作的，還要熟悉他的地址結構以及如何根據企業(yè)網絡情況對各個設備的IP地址進行設計。IPv4作為網絡層中的最重要的協議之一，IPv4是第四個版本，是第一個被大規(guī)模使用的互聯網技術，是當代互聯網的底層支撐。以下是對IPv4的相關介紹。IPv4的頭部設備對于接收到的報文，設備會根據IPv4的頭部信息對報文進行分析，指導設備對報文進行路由與分片，決定這個報文如何進行傳輸也是由頭部信息指導，如果設備分析后發(fā)現這個報文是傳送至同一網段內的設備，那么將會直接對報文進行封裝隨后交由下一層發(fā)送，若設備分析后發(fā)現這個報文是發(fā)送至與設備不同網段的地址，那么則會使用路由功能進行傳輸，根據路由表發(fā)送報文。頭部的長度會根據內容的變化而變化，由20字節(jié)到60字節(jié)不等，其中20字節(jié)為固定長度，40字節(jié)為可選長度，網絡設備將根據報文頭部中所攜帶的信息對報文進行處理，將報文按照報文頭部的內容從原設備向目的設備發(fā)送。在頭部的信息中，可以查看到Version字段發(fā)現該頭部信息為版本號4。IPv4的頭部信息如下圖2.4所示圖2.4IPv4頭部信息IPv4的地址點分十進制是IPv4地址的表示方法，長度為32比特，在IPv4地址中，前半部分是網絡號，作用是用來說明這個地址的網段信息，后半部分是主機號，主機號用來說明這個網段中的其中一個設備。IPv4的地址如下圖2.5所示：圖2.5IPv4地址結構綜上所述，IPv4的地址分為了兩個部分，分別是網絡部分和主機部分，是由二進制數組成，長度為32比特，用點分十進制來對這個地址作完整的表示。在IPv4地址中，可以被劃分為五個類別，分別A類、B類、C類、D類和E類，在這五類地址中，每一類地址的網絡部分相互之間都是不相同的。而其中得A類、B類與C類的IP地址可以用于互聯網通信，而每一類地址的網絡數量與主機數量不同，原因是每個類別的網絡部分與主機部分的長度不一樣。作為組播地址的類別是D類。對這幾類地址的判斷方式是通過地址的第一字節(jié)的數字進行判斷，如下圖2.6所示，為各類地址的地址段與網絡部分和主機部分的說明。圖2.6IPv4地址分類IP地址的子網掩碼區(qū)別一個地址的網絡部分與主機部分是子網掩碼的作用之一。子網掩碼也是采用點分十進制對其進行表示。子網掩碼將與IP地址結合使用，對網段中的設備進行表示說明。在子網掩碼中，數字1所代表的是該位置為IP地址的網絡位，而數字0則為主機位，如下圖2.7所示：圖2.7IPv4地址子網掩碼網關設備在接收到數據報文后，會首先對報文進行處理，判斷這一組數據的轉發(fā)路徑和轉發(fā)的終點，當設備發(fā)現這個數據轉發(fā)的終點不在當前所屬的網段內，那么設備就會按照轉發(fā)原則，直接將這組數據發(fā)給網關，由網關對數據進行處理。因此在作為網關的設備上，與本網段相連的接口必須是網關地址，同時網關的路由信息中，必須要有目的網段的路由。IPv6IETF（互聯網工程任務組）為了滿足當前的網絡發(fā)展需求，設計出了一個新的互聯網協議——IPv6協議，用于替代掉已經無法跟上時代發(fā)展的IPv4協議，新一代的互聯網IPv6有著許多的優(yōu)點，相比于IPv4，它具有接近無窮大的地址數量，可以滿足目前所有的上網設備對地址的需求，更加規(guī)范與合理的結構，更完善的QoS質量等特點。以下是對IPv6地址的介紹：IPv6的地址表示方法IPv6的是由128比特組成的一個地址，使用的是點分十六進制用于表示這個地址，其中每組由4個十六進制數，隨后用冒號分開，組成一個8組長度的地址，IPv6對大小寫不敏感，大寫與小寫表達的含義相同。IPv6的地址表示方式：（1）IPv6地址包含128bit，由冒號分十六進制表示法表示，使用冒號對每一組的4位十六進制數進行分隔，最后使用十六進制進行表示8組組成的地址，例如FE01::...；（2）每4個數字為一組，每組為16個bit，在每個組的中間使用“:”進行分隔，如2000:10DE::...；（3）32位IPv6的表示方式為：2000:0009:AE86:0000:0000:D643:12B2:1032。IPv6的地址壓縮格式：一組地址中，地址靠后的非“0”部分不能省略，而靠前的“0”可以省略；即對前導“0”壓縮后的表示為：2000:9:AE86:0:0:D643:12B2:1032。（3）多組地址中，若這些組內的數均為“0”時，這個組可以被省略，對這些組使用“::”進行表示，如以上的地址可以根據這條規(guī)則被簡化成2000:9:AE86::D643:12B2:1032。IPv6的地址結構一個IPv6地址由前半部分的網絡前綴和后半部分的接口標識構成:網絡前綴：nbit，網絡前綴相當于IPv4地址中的網絡號；接口標識：（128-n）bit，接口標識相當于在IPv4地址中的主機號；IPv6的單播地址示例：2001:2711:1D0E:2A5C:7BC2:E2D1:23CB:A023/64網絡前綴接口標識2001:2711:1D0E:2A5C:7BC2:E2D1:23CB:A023在對地址中的接口標識進行配置時，可以使用自動生成、手動配置、配置EUI-64規(guī)范這三種方式配置。根據地址的規(guī)范說明，IPv6的地址能夠分為以下的三類：單播地址單播地址可以用于標識一個接口，向這個單播地址發(fā)送的報文會被送到被這個地址所標識的接口。多播地址多播地址可以用于標識多個接口，向這個多播地址發(fā)送的報文會被發(fā)送到這個地址所標識的所有接口。（3）任播地址一個任播地址用來標識多個接口。數據包發(fā)送到這個任播地址被發(fā)送到最近的接口在所有標識接口。單播地址和單播地址實際上使用共同的地址空間。因此，是由路由器確定任播轉發(fā)還是單播轉發(fā)。IPv6地址的總結如圖2.8所示圖2.8IPv6的地址網絡拓撲的搭建平臺及測試環(huán)境本次畢業(yè)設計的實驗搭建平臺與測試環(huán)境都將在華為的eNSP模擬器上完成，所使用的的模擬器版本為V100R003C00SPC100，該模擬器支持IS-ISMT及相關的雙協議棧網絡技術，需要使用到的設備為模擬器的AR2200路由器，路由器的VRP版本號為5.130，防火墻為模擬器上的USG6000V，VRP版本號為5.170，三層交換機為模擬器上的S5700，VRP的版本號為5.110，二層交換機為模擬器上的S3700，VRP版本號為5.110，PC模擬器。

IPv4向IPv6過渡技術設計介紹雙棧技術在企業(yè)建設同時支持IPv4網絡與IPv6的企業(yè)網絡時，雙協議棧技術是以上網絡的基礎，它是一項非常成熟的網絡技術，這個技術能讓同時支持兩個不同協議棧的設備在同一個網絡內相互通信。如圖3.1所示，在雙協議棧網絡內，運行了雙協議棧的設備將使用數據報頭的協議ID用于區(qū)分應用將選擇那種IP協議進行通信。在以太網幀上，0x0800指的是應用IPv4協議進行連接，0x86DD代表的是應用使用的是IPv6協議進行連接。圖3.1以太網幀協議IDIS-ISMT技術IS-ISMT技術是雙協議棧技術之一，使能IS-ISMT技術的前提是需要在自治域上首先運行IS-IS動態(tài)路由協議，隨后才能夠使能IS-ISMT技術。在一個運行了IS-IS自治域內運行多個獨立的IP拓撲，對于不同的獨立拓撲來說，設備將使用MTID來進行辨別。如表3.1所示，每一個MTID都代表著這個拓撲不同的作用。在接口上將使用MTID來進行標識，每一個接口上可以存在一個或多個MTID，用于說明這個接口是屬于一個什么拓撲，多拓撲是基于當前的IS-IS鄰居建立的，不會影響到當前的混合拓撲的鄰居情況，但是在運行了IS-ISMT后，鄰居與鄰居之間所進行交互的LSP報文會被加上相應的MTID，然后對每個拓撲子集進行獨立的最短路徑計算。在每一臺開啟了MT的路由器上，都會為每一個獨立的拓撲維護各自的路由表，在這個路由表中的每一條路由條目都是基于各自的最短路徑所產生的。表3.1ISISMT使用的多拓撲IDMTID拓撲0標準（缺省）拓撲（IPv4單播路由選擇拓撲）1IPv4帶內管理2IPv6單播路由選擇拓撲3IPv4多播路由選擇拓撲4IPv6多播路由選擇拓撲5~3995IETF統(tǒng)一保留3996~4095保留，用于開發(fā)、試驗以及專有特性為了使IS-IS協議支持多拓撲功能，在協議中增加了四種新的TLV類型這四種TLV的定義分別是：多拓撲TLV（類型229）、多拓撲中間系統(tǒng)TLV（類型222）、多拓撲可達的IPv4前綴TLV（類型235）、多拓撲可達的IPv6前綴TLV（類型237）。多拓撲TLV（類型229）多拓撲TLV將在報文交互的過程中，將由Hello數據包和LSP數據包攜帶，如圖3.2所示，在這個TLV中，與缺省IPv4的TLV一樣，這個TLV中包含了ATT置位和OL置位，分別表示子拓撲的過載和關聯位。圖3.2多拓撲TLV格式多拓撲中間系統(tǒng)TLV（類型222）多拓撲中間系統(tǒng)TLV的格式如圖3.3所示，每個子拓撲中所包含的多拓撲中間系統(tǒng)TLV會被歸屬于每一個始發(fā)的接口上，它與擴展IS可達TLV接近于完全相同，服務目的是一樣的，是為了保證其拓展IS的可達性。圖3.3多拓撲中間系統(tǒng)TLV多拓撲可達的IPv4前綴TLV（類型235）與多拓撲可達的IPv6前綴TLV（類型237）從格式上來說，這兩個TLV是一樣的，如下圖3.4所示，該圖為前綴為多拓撲可達IPv4前綴，IPv6的TLV前綴格式不再闡述。在功能上來說，這兩個TLV的作用與傳統(tǒng)的混合拓撲所用的TLV作用相同，對于混合拓撲的TLV來說，可達性的TLV所表示的作用是告知設備的可達前綴后，再與計算的拓撲進行聯系上，而不通協議棧的多拓撲可達TLV前綴所代表的的作用是用于告知設備其對應協議棧的多拓撲可達性。圖3.4多拓撲可達的IPv4前綴TLV當自治域內未使能IS-ISMT時，發(fā)送的IS-ISHello包將中不含多拓撲的TLV，這個設備就會被認為是一個缺省的IPv4拓撲（MTID為0），即IPv4和IPv6共用一個拓撲，且只進行IPv4的路由計算。由于IS-IS混合拓撲的TLV不能區(qū)分IPv4鄰居與IPv6鄰居，在雙協議?；旌辖M網的環(huán)境下，支持雙協議棧的路設備將無法感知到不支持IPv6協議的設備，無法對IPv6進行獨立的路由計算，導致IPv6報文依然會按照混合拓撲的路徑轉發(fā)給它們，使這些報文因無法被處理而被丟棄，同樣，當網絡中存在不支持IPv4的設備時，IPv4的報文也無法被正確轉發(fā)。當自治域內使能了IS-ISMT時，建立IS-IS鄰居的交互包會加入MTID的相關TLV，即Hello包中會存在有MTID的數據，在鄰居接收到這個帶有MTID的Hello數據包時，會根據這個MTID來對這個子拓撲的類型進行判斷，如果這個MTID為2的話，那么也就意味著這個域內所有建立了IS-IS鄰居關系并開啟了MT功能的雙協議棧設備都會建立一個IPv6的子拓撲，使這些雙協議棧設備會對兩個協議棧的流量建立不同的邏輯子拓撲，隨后在交互的LSP報文中也會攜帶有多拓撲的相關TLV，使這些設備根據TLV信息和攜帶的IS-IS路由信息對不同的子拓撲做不同的最短路徑計算，最終實現一個雙協議棧的企業(yè)網絡。在珠江集團的網絡設計中，就是采用了IS-ISMT技術進行組網設計，同時還需要對企業(yè)網絡內的流量路徑作出規(guī)劃，以實現企業(yè)網絡的流量負載均衡，提高企業(yè)網絡的可靠性與可用性，讓企業(yè)網絡有充足的冗余空間，防止因企業(yè)網絡故障導致大量的業(yè)務無法使用。根據企業(yè)網絡內的實際情況，結合設備的協議棧的支持情況與網絡設備的搭建情況，作出以下的流量路徑規(guī)劃，總部的流量路徑設計如下圖3.5所示：圖3.5總部網絡的設計Server是珠江集團總部的IPv6服務器；AR1、AR2、AR3、AR4是總部的核心層路由器，其中AR3同時作為總部的DHCPv6服務器；SW1、SW2位總部的匯聚層服務器，PC1為總部的IPv4節(jié)點，PC2為總部的IPv6節(jié)點。根據實際組網需求對不同的網絡協議流量作出以上規(guī)劃，同時根據流量規(guī)劃需求，設置IS-ISMT的SPF，使流量根據規(guī)劃的路徑流動，從而實現總部雙協議棧網絡的正常運行。隧道技術目前較為成熟的隧道技術有GRE、6to4、MulticastTunnel、IPv6-IPv4、自動隧道；隧道技術是一種在運營商網絡中為兩臺設備建立一個端到端的邏輯連接技術。在建立了連接后，將對需要發(fā)送的數據包重新封裝在包頭中，通過隧道進行發(fā)送，通過隧道處理后的數據將發(fā)到運營商網絡后傳遞到目標網段上，目的設備再對封裝的數據進行解封，從而完成整個傳輸過程。隧道技術是指包括數據封裝、傳輸和\t"/item/%E9%9A%A7%E9%81%93%E6%8A%80%E6%9C%AF/_blank"解包在內的全過程。在對珠江集團的網絡設計中，隧道技術將用于總部與分部之間的連接，所使用的的類型是GRE隧道，如圖3.6所示：圖3.6總部的GRE隧道設計在總部的出口設備和IPv6分部的出口設備上使能GRE隧道，使IPv6分部由物理上的斷聯，通過部署隧道技術后形成了邏輯上的連接，讓分部與總部間形成了連通。IPv6/IPv4互訪技術NAT64技術作為NAT技術的升級之一，保留了NAT技術的核心部分，但與其不同的是，NAT64技術會對整個訪問數據進行轉換實現互訪，在本文中將在出口路由器上配置NAT64技術實現雙協議棧之間的轉換互訪。在雙協議棧的組網環(huán)境下，兩個協議棧之間是不能相互兼容的，因此這兩種網絡在正常下是不能實現互訪的，因此對于有兩個協議棧之間互訪的企業(yè)來說，在企業(yè)內需要有能夠支持NAT技術的設備，在這個設備上部署了NAT64后，這個企業(yè)網絡就能夠實現兩個協議棧之間互相訪問的目的，通過該技術對網絡協議棧的互相轉換，讓本來不能兼容相互訪問的不同協議最終實現互訪。在珠江集團中，集團總部的服務器是一個只支持IPv6協議棧的網絡，而在總部網絡中和分布中還存在著只支持IPv4協議棧的設備，因此需要在該企業(yè)網絡內部署一個支持NAT64轉換技術的設備，用來滿足IPv4協議棧設備對服務器訪問的需求，使珠江集團的不同協議棧的流量實現雙向互通。圖3.7NAT64技術如圖3.7所示，在雙協議棧發(fā)展的過程中，珠江集團將按計劃對網絡中的設備升級到IPv6協議棧，其中IPv6服務器為IPv6的單棧服務器，在企業(yè)網絡中為單協議棧的服務模式，然而當前的公網上依舊只能使用單棧的IPv4網絡進行訪問，在這樣的大背景下，集團網絡將配置支持NAT64的網絡出口路由，滿足集團總部與各個不同協議棧分部之間的業(yè)務往來，即各個分部和總部均可以實現網絡互訪。但是需要值得注意的問題是，當前公網的網絡流量均以IPv4的協議棧為主，無法支持IPv6協議棧的接入，因此需要在出口設備上通過NAT64對數據的轉換，讓IPv6協議棧的流量直接通過IPv6路由對企業(yè)網訪問，而對于IPv4協議棧的流量則使用NAT64技術進行轉換后訪問。

IS-ISMT的企業(yè)網絡總體設計企業(yè)網絡的設計背景當前IPv6協議還在穩(wěn)步的推進中，還沒有完全取代IPv4協議，因此對于仍處于發(fā)展中的IPv6網絡首先需要能夠與IPv4網絡進行正常的通信。對于珠江集團來說，讓IPv4網絡與IPv6網絡實現全網互通，是當前急需解決的網絡需求。隨著我國的市場業(yè)務在急速的增加，大型企業(yè)在市場中往往處于領導的地位，因此企業(yè)內部網絡的需求也遠高于其他的中小型企業(yè)，而原有的網絡設備與網絡設計相對于當前新的網絡環(huán)境來說已經處于相對落后的地位，不能滿足企業(yè)的日常運營需要了。為了在市場地位中保持領導的地位，大型企業(yè)的業(yè)務也會更加的復雜與多樣化，企業(yè)所配備的網絡環(huán)境往往決定了企業(yè)自身的能力，因此雙協議棧網絡在企業(yè)中非常重要。作為市場中的大型企業(yè)，珠江集團的業(yè)務拓展非常迅速，在越秀區(qū)有一個IPv4分部，從化區(qū)有一個IPv6分部，由于集團的網絡已經由原來的單協議棧發(fā)展到了雙協議棧，為了實現總部與分公司間的業(yè)務往來與信息交流，需要將各個分布在不同的物理區(qū)域的網絡分部實現邏輯上的整體化，因此，本課題將在企業(yè)網絡內部署IS-ISMT技術來實現以上的需求。網絡設計要求珠江集團內部的設備將運行IS-ISMT技術，讓企業(yè)的網絡由傳統(tǒng)的單協議棧網絡變?yōu)橹С諭Pv4與IPv6網絡的雙協議棧網絡。AR1、AR2、AR3、AR4是總部的核心層路由器，其中AR3同時作為總部的DHCPv6服務器，為總部的IPv6用戶分配IPv6地址；SW1、SW2位總部的匯聚層服務器，Server為總部的IPv6協議棧服務器，PC1為總部的IPv4節(jié)點，PC2為總部的IPv6節(jié)點。在匯聚層交換機與接入層上配置MSTP，確保二層設備與三層設備間的IPv4流量與IPv6流量能夠根據規(guī)劃好的路徑進行傳輸，并配置IS-ISMT使總部內的IPv4與IPv6流量實現互通，總部與分部之間的用戶需要互訪。在總部與IPv6分部上的出口設備配置隧道，隧道的類型為GRE，然后將設備連接到公網上，實現邏輯上的互聯，而對于IPv4分部與總部的連接，首先先將出口設備連接到公網，使IPv4的路由互通，再通過總部的出口設備上設置NAT64轉換，實現IPv4與IPv6協議棧的互訪，使分部間均能夠訪問到總部，達成雙向通信。網絡設計拓撲圖珠江集團擁有一個總部區(qū)域，兩個分部區(qū)域，其中一個分部區(qū)域是IPv4分部，另一個是IPv6分部。在總部內運行IS-ISMT實現雙協議棧網絡，運營商為IPv4網絡，具體的網絡設計如下圖4.1所示 圖4.1網絡拓撲設計圖IP地址規(guī)劃根據珠江集團的企業(yè)網絡拓撲設計要求，需要對企業(yè)網絡內的IPv4地址與IPv6地址進行規(guī)劃，本次設計的IPv4地址與IPv6地址如下表4.1中所示：表4.1IP規(guī)劃序號部門名稱IP地址子網掩碼默認網關1總部542總部543總部544總部545總部546總部547總部548總部549總部5410總部2000:11::642000:20::25411總部2000:31::642000:31::25412總部2000:12::642000:12::25413總部2000:13::642000:13::25414總部2000:101::642000:101:254:15總部2000:102::642000:102::25416總部2000:103::642000:103::2548IPv4分部549IPv6分部2000:21::642000:22::254在對各個設備配置IPv6地址時，首先需要在設備的系統(tǒng)視圖下使能IPv6，然后在需要配置IPv6地址的對應接口下使能IPv6服務，如以下配置所示，以總部Server服務器為例，其余設備如總部防火墻FW1、核心層路由器AR1、AR2、AR3、AR4；匯聚層交換機SW1、SW2；IPv6分部路由器AR6的配置與服務器Server一樣，都需要在各自的系統(tǒng)視圖以及接口下使能IPv6服務：[Server]ipv6 //在Server的系統(tǒng)視圖下對IPv6使能[Server-GigabitEthernet1/0/0]ipv6enable //在Server上的對應的接口使能VLAN規(guī)劃根據網絡的設計情況以及IP地址的規(guī)劃，珠江集團總部的設備間VLAN規(guī)劃如下表4.2所示：表4.2VLAN規(guī)劃序號部門名稱設備名稱VLAN編號VLAN名稱IP地址子網掩碼1總部LSW210Vlan10542總部LSW111Vlan112000:11::254643總部LSW1100Vlan1002000:31::1644總部LSW2101Vlan105總部PC110Vlan106總部PC211Vlan112000:11::

IS-ISMT的實現與配置交換機的冗余備份配置與MSTP的配置在珠江集團總部的交換機上均配置通過配置Eth-Trunk鏈路與MSTP生成樹，實現冗余備份，配置Trunk鏈路能夠使設備間的鏈路具有更好的傳輸性能與容錯性，配置MSTP能夠讓總部的流量按照規(guī)劃的路徑走向傳輸，避免產生路由環(huán)路。如下圖5.1所示，在這三臺交換機上的SW1、SW2、SW3上做Eth-Trunk鏈路與MSTP生成樹的配置圖5.1MSTP與冗余設計Eth-Trunk鏈路的配置在上圖5.1中，位于匯聚層的SW1與SW2之間的鏈路接口GE0/0/23與GE0/0/24聚合成一條Eth-Trunk鏈路，形成冗余備份，提高了鏈路的可靠性與容錯性，SW1與SW2的具體配置如下：interfaceGigabitEthernet0/0/23 //進入接口以太口23eth-trunk1 //配置接口鏈路為eth-trunk1鏈路interfaceGigabitEthernet0/0/24 //進入接口以太口24eth-trunk1 //配置接口鏈路為eth-trunk1鏈路隨后需要配置Eth-Trunk鏈路允許所有的VLAN通過，讓路由能夠正常運行，在SW1與SW2上的配置如下：interfaceEth-Trunk1 //進入eth-trunk1鏈路進行配置portlink-typetrunk //配置鏈路類型為trunk鏈路porttrunkallow-passvlan2to4094 //允許所有的VLAN通過這個鏈路MSTP生成樹的配置在完成了Eth-Trunk的配置后，接下來需要對三臺交換機的MSTP生成樹進行配置，使路由按照規(guī)劃的路徑進行傳輸，各個VLAN的流量將會按照既定的規(guī)劃路線作出傳輸，交換機SW1、SW2、SW3的配置如下所示：[SW1]stpmodemstp //將STP的模式設置為MSTP模式[SW1]stpregion-configuration //進入設置MSTP的視圖region-nameA //設置這個MSTP的設計名字為Arevision-level1 //設置這個名字為A設計的等級為1instance1vlan10 //設置VLAN10為設計1instance2vlan11 //設置VLAN11為設計2activeregion-configuration //使能這個MSTP設計[SW2]stpmodemstp[SW2]stpregion-configurationregion-nameArevision-level1instance1vlan10instance2vlan11activeregion-configuration[SW3]stpmodemstp[SW3]stpregion-configurationregion-nameArevision-level1instance1vlan10instance2vlan11activeregion-configuration根據以上的MSTP配置，這三臺交換機所設置的MSTP生成樹，名字為A，級別為級別1，設置IPv4的VLAN10為設計1，設置IPv6的VLAN11位設計2，最后為MSTP啟動這個MSTP設計。在匯聚層與接入層交換機中配置好相關的生成樹后，各個VLAN的流量將會按照既定的規(guī)劃路線作出傳輸，使匯聚層與接入層的流量能夠正常傳輸防止出現路由環(huán)路的情況，同時能夠使這些設備作為相互的備份設備，提高了企業(yè)網絡整體的冗余性，防止因部分設備或者鏈路的失效使接入層以下的用戶出現無法使用網絡的情況，保證企業(yè)的業(yè)務能夠正常的通信。對這兩層設備的流量規(guī)劃如下圖5.2所示，LSW1與LSW2形成相互備份，IPv6設備流量與IPv4流量將按照不同的路徑傳輸，實現流量的負載均衡，讓網絡的穩(wěn)定性與可靠性更高。圖5.2MSTP的配置IPv6路由：由AR3作為DHCPv6服務器，向用戶分配IP地址，然后傳遞給SW1，最后由接入層SW3傳遞給IPv6用戶。IPv4路由：由AR4分配IP地址后，傳遞給SW2，最后由接入層SW3傳遞給IPv4用戶。因此設置SW1為VLAN11的主根橋，VLAN10為備份根橋，設計2為主根，設計1為備根，IPv6的流量作為優(yōu)先走向，在SW1上的配置如下所示。[sw1]stpinstance2rootprimary //將設計2設置為主根[sw1]stpinstance1rootsecondary //將設計1設置為備根而SW2為VLAN10的主根橋，VLAN11為備份根橋，設計1為主根，設計2為備根，IPv4的流量作為優(yōu)先走向，在SW2上的配置如下所示。[sw2]stpinstance1rootprimary //將設計1設置為主根[sw2]stpinstance2rootsecondary //將設計2設置為備根IS-ISMT的設計配置珠江集團為了使企業(yè)網絡實現雙協議棧，需要部署支持雙協議棧的路由協議才能夠實現，根據珠江集團的網絡需求，將在企業(yè)網內部配置IS-ISMT技術，使企業(yè)網絡的設備實現互聯，只有全網的路由實現了互聯后，后續(xù)的其他網絡協議與路由路徑的規(guī)劃才可以正常使用，分部與總部之間的才能正常通信，總部內實現雙協議棧的路由如下圖5.3所示： 圖5.3總部IS-ISMT設計根據珠江集團的網絡需求，需要在珠江集團的總部網絡內實現雙協議棧的網絡效果，將采用IS-ISMT技術這個路由技術來使總部網絡內部的網絡互通。核心層路由器AR1、AR2、AR3、AR4；匯聚層交換機SW1、SW2；總部服務器Server和防火墻FW1設備都將開啟IS-IS協議，其中AR4為不支持IPv6協議棧的路由設備，其余設備均為支持雙協議棧的設備，因此除了AR4設備外，對以上其余支持雙協議棧的設備使能IS-ISIPv6服務，對以上所有設備使能IS-ISMT技術。通過在設備上運行IS-IS協議，使總部內的IPv4路由互通，隨后在設備上運行IS-ISMT技術，使IS-IS協議對網絡內的拓撲進行重新運算，IPv6網絡成為IPv6子拓撲，IPv4網絡成為IPv4子拓撲，然后配置IS-IS的開銷使各個子拓撲的流量按照既定的路線進行通信，使設備負載均衡和避免路由黑洞的出現，實現總部網絡內的雙協議棧。在總部網絡設備上的IS-ISMT配置具體如下。在防火墻FW1上：[FW1]isis1 //進入IS-IS進程1視圖[FW1-isis-1]network-entity10.0000.0000.0010.00 //宣告設備的IS-IS的實體名稱[FW1-isis-1]ipv6enabletopologyipv6 //指定這個拓撲為IPv6拓撲，開啟多 拓撲功能，使IPv4拓撲和IPv6拓撲 進行單獨的SPF計算。[FW1]interfaceGigabitEthernet1/0/0 //進入接口GE1/0/0[FW1-GigabitEthernet1/0/0]isisenable1 //在接口下使能IS-IS進程1協議[FW1-GigabitEthernet1/0/0]isisipv6enable1 //使能IS-IS進程1的IPv6協議[FW1]interfaceGigabitEthernet1/0/1 //進入接口GE1/0/1[FW1-GigabitEthernet1/0/1]isisenable1 [FW1-GigabitEthernet1/0/1]isisipv6enable1 [FW1]interfaceGigabitEthernet1/0/3 //進入接口GE1/0/3[FW1-GigabitEthernet1/0/1]isisenable1 [FW1-GigabitEthernet1/0/1]isisipv6enable1 [FW1]interfaceGigabitEthernet1/0/2 //進入接口GE1/0/2[FW1-GigabitEthernet1/0/1]isisenable1 在Server服務器上：[Server]isis1 //進入IS-IS進程1視圖[Server-isis-1]network-entity10.0000.0000.0103.00 //宣告設備的IS-IS的實體名稱[Server-isis-1]ipv6enabletopologyipv6 //指定這個拓撲為IPv6拓撲，開啟多 拓撲功能，使IPv4拓撲和IPv6拓撲 進行單獨的SPF計算。[Server]interfaceGigabitEthernet0/0/0 //進入接口GE0/0/0[Server-GigabitEthernet0/0/0]isisenable //在接口下使能IS-IS進程1協議[Server-GigabitEthernet0/0/0]isisipv6enable //使能IS-IS進程1的IPv6協議在核心層路由器AR1上：[AR1]isis1 //進入IS-IS進程1視圖[AR1-isis-1]network-entity10.0000.0000.0001.00 //宣告設備的IS-IS的實體名稱[AR1-isis-1]ipv6enabletopologyipv6 //指定這個拓撲為IPv6拓撲，開啟多 拓撲功能，使IPv4拓撲和IPv6拓撲 進行單獨的SPF計算。[AR1]interfaceGigabitEthernet0/0/0 //進入接口GE0/0/0[AR1-GigabitEthernet0/0/0]isisenable //在接口下使能IS-IS進程1協議[AR1-GigabitEthernet0/0/0]isisipv6enable //使能IS-IS進程1的IPv6協議[AR1]interfaceGigabitEthernet0/0/1 //進入接口GE0/0/1[AR1-GigabitEthernet0/0/1]isisenable[AR1-GigabitEthernet0/0/1]isisipv6enable[AR1]interfaceGigabitEthernet0/0/2 //進入接口GE0/0/2[AR1-GigabitEthernet0/0/2]isisenable[AR1-GigabitEthernet0/0/2]isisipv6enable在核心層路由器AR2上：[AR2]isis1 //進入IS-IS進程1視圖[AR2-isis-1]network-entity10.0000.0000.0002.00 //宣告設備的IS-IS的實體名稱[AR2-isis-1]ipv6enabletopologyipv6 //指定這個拓撲為IPv6拓撲，開啟多 拓撲功能，使IPv4拓撲和IPv6拓撲 進行單獨的SPF計算。[AR2]interfaceGigabitEthernet0/0/0 //進入接口GE0/0/0[AR2-GigabitEthernet0/0/0]isisenable //在接口下使能IS-IS進程1協議[AR2-GigabitEthernet0/0/0]isisipv6enable //使能IS-IS進程1的IPv6協議[AR2]interfaceGigabitEthernet0/0/1 //進入接口GE0/0/1[AR2-GigabitEthernet0/0/0]isisenable[AR2]interfaceGigabitEthernet0/0/2 //進入接口GE0/0/2[AR2-GigabitEthernet0/0/2]isisenable[AR2-GigabitEthernet0/0/2]isisipv6enable在核心層路由器AR3上：[AR3]isis1 //進入IS-IS進程1視圖[AR3-isis-1]network-entity10.0000.0000.0003.00 //宣告設備的IS-IS的實體名稱[AR3-isis-1]ipv6enabletopologyipv6 //指定這個拓撲為IPv6拓撲，開啟多 拓撲功能，使IPv4拓撲和IPv6拓撲 進行單獨的SPF計算。[AR3]interfaceGigabitEthernet0/0/0 //進入接口GE0/0/0[AR3-GigabitEthernet0/0/0]isisenable //在接口下使能IS-IS進程1協議[AR3]interfaceGigabitEthernet0/0/1 //進入接口GE0/0/1[AR3-GigabitEthernet0/0/1]isisenable[AR3-GigabitEthernet0/0/1]isisipv6enable //使能IS-IS進程1的IPv6協議[AR3]interfaceGigabitEthernet0/0/2 //進入接口GE0/0/2[AR3-GigabitEthernet0/0/2]isisenable[AR3-GigabitEthernet0/0/2]isisipv6enable在核心層路由器AR4上：[AR4]isis1 //進入IS-IS進程1視圖[AR4-isis-1]network-entity10.0000.0000.0004.00 //宣告設備的IS-IS的實體名稱[AR4]interfaceGigabitEthernet0/0/0 //進入接口GE0/0/0[AR4-GigabitEthernet0/0/0]isisenable //在接口下使能IS-IS進程1協議[AR4]interfaceGigabitEthernet0/0/1 //進入接口GE0/0/1[AR4-GigabitEthernet0/0/1]isisenable[AR4]interfaceGigabitEthernet0/0/2 //進入接口GE0/0/2[AR4-GigabitEthernet0/0/2]isisenable在匯聚層交換機LSW1上：[LSW1]isis1 //進入IS-IS進程1視圖[LSW1-isis-1]network-entity10.0000.0000.0005.00 //宣告設備的IS-IS的實體名稱[LSW1-isis-1]ipv6enabletopologyipv6 //指定這個拓撲為IPv6拓撲，開啟多 拓撲功能，使IPv4拓撲和IPv6拓撲 進行單獨的SPF計算。[LSW1]interfaceVlanif100 //進入Vlanif100[LSW1-Vlanif100]isisenable1 //使能IS-IS進程1協議[LSW1-Vlanif100]isisipv6enable1 //使能IS-IS進程1的IPv6協議[LSW1]interfaceVlanif11 //進入Vlanif11[LSW1-Vlanif11]isisipv6enable1在匯聚層交換機LSW1上，同時作為了IPv6用戶設備的網關，因此不需要再運行IS-IS協議，可以在IS-IS協議中將SW1與PC2的端口靜默，不再發(fā)出IS-IS的協議報文,配置如下：[LSW1]interfaceVlanif11 //進入Vlanif11[LSW1-Vlanif11]isissilent //靜默IS-IS進程在匯聚層交換機SW2上：[LSW2]isis1 //進入IS-IS進程1視圖[LSW2-isis-1]network-entity10.0000.0000.0006.00 //宣告設備的IS-IS的實體名稱[LSW2-isis-1]ipv6enabletopologyipv6 //指定這個拓撲為IPv6拓撲，開啟多 拓撲功能，使IPv4拓撲和IPv6拓撲 進行單獨的SPF計算。[LSW2]interfaceVlanif10 //進入Vlanif10[LSW2-Vlanif10]isisenable1 //使能IS-IS進程1協議在匯聚層交換機SW2上，與SW1同理，不需要再運行IS-IS協議，可以在IS-IS協議中將SW2與PC1的端口靜默，不再發(fā)出IS-IS的協議報文。[LSW2]interfaceVlanif10 //進入Vlanif10[LSW2-Vlanif10]isissilent //靜默isis進程在配置好IS-IS協議與使能IS-ISMT后，還需要配置網絡中各個子拓撲的路徑，根據珠江集團的網絡設備情況，珠江集團將對IPv4流量與IPv6的路由作出以下規(guī)劃。 圖5.4IPv4流量路徑規(guī)劃圖珠江集團總部的IPv4數據如圖5.4所示，由作為IPv4網關的匯聚層的LSW2傳遞到核心層的AR4設備，隨后傳遞到AR2設備上，最后交由出口設備FW1上，再由FW1設備將數據通過NAT64轉換后傳遞給Server或者運營商網絡中。圖5.5IPv6流量路徑規(guī)劃圖如圖5.5所示，珠江集團總部內訪問Server服務器或者外網的IPv6數據將先由作為IPv6網關的匯聚層的LSW1傳遞到核心層的AR3設備，隨后傳遞到AR1設備上，最后交由出口設備FW1上，再由FW1設備將數據傳遞給Server或者運營商網絡中。為了滿足以上的路由規(guī)劃，需要對總部網絡內的部分設備IS-IS開銷進行設置，將核心層路由器AR3與AR4設備之間的路徑開銷值由原來缺省值10修改為20，如圖5.6所示圖5.6修改IS-IS開銷值在修改開銷值后，子拓撲會對SPF進行重新計算，按照珠江企業(yè)網絡路徑規(guī)劃生成子拓撲路徑。在AR3、AR4上的配置如下：[AR3]interfaceGigabitEthernet0/0/0 //進入接口GE0/0/0[AR3-GigabitEthernet0/0/0]isiscost20 //設置IS-IS進程開銷值為20[AR4]interfaceGigabitEthernet0/0/0 //進入接口GE0/0/0[AR4-GigabitEthernet0/0/0]isiscost20 //設置IS-IS進程開銷值為20DHCPv6協議的設計配置根據珠江集團的網絡設計規(guī)劃，將使用DHCPv6服務對用戶的設備分配IPv6地址，滿足IPv6用戶的上網需求。珠江集團的DHCPv6服務器為核心層設備AR3，該設備將為總部網絡內的所有IPv6用戶分配一個IPv6地址，滿足整個總部網絡內的所有IPv6用戶的上網需要。配置DHCPv6協議首先需要在服務器上把DHCPv6服務使能，然后為其設置一個地址池，在接口處下發(fā)地址池的IPv6地址，如圖5.7所示。圖5.7DHCPv6的服務器配置根據以上規(guī)劃，將在AR3上使能DHCPv6服務，在接口處GE0/0/2上下發(fā)IPv6地址，在AR3上的配置命令如下：[AR3]dhcpenable //開啟DHCP服務[AR3]dhcpv6poolpool1 //設置DHCPv6服務器的地址池名 稱為pool1[AR3-dhcpv6-pool-pool1]addressprefix2000:11::/64 //設置地址池前綴2000:11::/64[AR3]interfaceGigabitEthernet0/0/2 //進入GE0/0/2接口[AR3-GigabitEthernet0/0/2]dhcpv6serverpool1 //開啟DHCPv6服務（2）在配置好DHCPv6的服務后，下發(fā)的地址是不能夠直接越過其他的設備直接到用戶設備上，還需要在用戶對應的連接設備上即交換機LSW1上配置DHCPv6的服務代理，才能夠獲得路由并經過LSW1設備下發(fā)到申請DHCPv6地址的設備上，如下圖5.8所示，需要在LSW1上配置DHCPv6中繼代理，由交換機LSW1先進行接收然后再傳遞到PC2的IPv6設備上。圖5.8DHCPv6的路徑規(guī)劃為了實現以上DHCPv6服務設計，讓IPv6用戶獲取到IPv6地址，同時分配的地址在DHCPv6服務器的地址池內，需要在LSW1上的VLAN11中配置DHCPv6代理服務，使服務能夠正常運行。在SW1上的代理配置如下：[LSW1]interfaceVlanif11 //進入Vlanif11[LSW1-Vlanif11]dhcpv6relaydestination2000:31::3 //設置DHCPv6的中繼代理NAT轉換與GRE隧道的配置為珠江集團的總部設備配置好相關路由協議實現網絡互通后，接下來就是配置總部與分部之間的連接，總部將通過與運營商連接來訪問各個分部，總部的防火墻FW1將作為總部網絡的安全擔當和作為總部網絡與運營商連接的出口設備。如圖5.9所示，防火墻連接著運營商設備，運營商與各個分部相連，因此要實現分部與總部的服務器通信，需要在防火墻FW1上做NAT64的轉換與GRE隧道來實現分部訪問總部服務器的目標。 圖5.9NAT與GRE的配置（1）根據網絡的設計規(guī)劃，珠江集團的NAT64轉換在部署在出口設備FW1上，使總部網絡中的服務器Server的IPv6地址2000:103::1/64進行轉換到出口路由上的/24這個IPv4地址，使IPv4分部可以通過運營商的IPv4網絡訪問到位于總部的IPv6服務器。為了使網絡實現以上的需求，首先要在防火墻設備上FW1設置NAT64靜態(tài)對2000:103::1進行靜態(tài)轉換為0這個IPv4地址，隨后在設備上開啟NAT64的轉換，在FW1上的配置如下：[FW1]nat64enable //開啟NAT64服務[FW1]nat64static2000:103::10unr-route //設置NAT64轉換的地址（2）在對出口設備的配置完成后，NAT64功能還需要在需要使用這個服務的接口使能，由于Server服務器是一個只支持IPv6協議棧的網絡，而在總部網絡中依然存在IPv4的設備，因此在防火墻連接核心層路由器的接口上、與運營商連接的接口上還有連接Server服務器的接口上都需要使能NAT64功能，使總部內網的IPv4設備可以通過NAT64轉換后訪問到Server服務器，而IPv4分部則通過IPv4運營商網絡連接到出口設備FW1后，通過FW1的NAT64轉換訪問到Server服務器，如下圖5.10所示。圖5.10使能NAT接口說明在FW1上具體的配置如下：[FW1]interfaceGigabitEthernet1/0/0 //進入GE1/0/0接口[FW1-GigabitEthernet1/0/0]nat64enable //在接口使能NAT64功能[FW1]interfaceGigabitEthernet1/0/1 //進入GE1/0/1接口[FW1-GigabitEthernet1/0/1]nat64enable[FW1]interfaceGigabitEthernet1/0/2 //進入GE1/0/2接口[FW1-GigabitEthernet1/0/2]nat64enable[FW1]interfaceGigabitEthernet1/0/3 //進入GE1/0/3接口[FW1-GigabitEthernet1/0/3]nat64enable（3）對NAT64的完成后，珠江集團的所有IPv4設備均可以訪問服務器了，而IPv6分部需要通過建立一個GRE隧道來訪問服務器，由隧道對IPv6封裝后，交由運營商進行傳輸。圖5.11GRE隧道的配置如上圖5.11所示，在總部的出口設備FW1上與IPv6分部路由器AR6間建立一個GRE隧道使IPv6分部能夠訪問到總部Server服務器，隧道將對這些數據進行封裝處理，使數據安全的在運營商的IPv4網絡進行傳輸。在總部的FW1防火墻設備的配置如下：[FW1]interfaceTunnel0 //進入Tunnel0隧道[FW1-Tunnel0]ipv6enable //使能IPv6服務[FW1-Tunnel0]ipv6address2000:16::1/64 //設置隧道的IPv6地址[FW1-Tunnel0]tunnel-protocolgre //設置隧道類型為GRE[FW1-Tunnel0]source //設置隧道原地址為[FW1-Tunnel0]destination //設置隧道目的地址為[FW1-Tunnel0]isisipv6enable1 //使能IS-IS進程1的IPv6服務[FW1-Tunnel0]service-managepingpermit在IPv6分部的路由器AR6上的配置如下：[AR6]interfaceTunnel0/0/0 //進入Tunnel0/0/0隧道[AR6-Tunnel0/0/0]ipv6enable //使能IPv6服務[AR6-Tunnel0/0/0]ipv6address2000:16::6/64 //設置隧道的IPv6地址[AR6-Tunnel0/0/0]tunnel-protocolgre //設置隧道類型為GRE[AR6-Tunnel0/0/0]source //設置隧道原地址為[AR6-Tunnel0/0/0]destination //設置隧道目的地址為[AR6-Tunnel0/0/0]isisipv6enable1 //使能IS-IS進程1的IPv6服務網絡測試MSTP的配置與流量走向檢測在總部IPv4節(jié)點的PC1與IPv6節(jié)點的PC2設備上，使用tracert命令追蹤相應的流量到達總部服務器Server的路徑，從而驗證IS-ISMT所設置的分拓撲的路由設置正確。匯聚層交換機上MSTP主備根的檢查（1）檢查匯聚層交換機LSW1是否為設計1的VLAN11為主根，設計2的VLAN10為備根，檢查結果如下圖6.1所示，VLAN11在交換機LSW1上的角色為DESI，VLAN10在LSW1上的角色為ROOT，檢查結果符合設計需求。圖6.1LSW1的STP檢測隨后檢查匯聚層交換機LSW2是否為設計2的VLAN10為主根，設計1的VLAN11為備根，檢查結果如下圖6.2所示，VLAN10在交換機LSW2上的角色為DESI，VLAN11在LSW1上的角色為ROOT，檢查結果符合設計需求。圖6.2LSW2的STP檢測路由走向的檢測在總部IPv4節(jié)點的PC1與IPv6節(jié)點的PC2設備上，使用tracert命令追蹤相應的流量到達總部服務器Server的路徑，由此驗證IS-ISMT的路由設置正確。IPv4路由檢測珠江集團總部的IPv4路由規(guī)劃如圖6.3所示，將由匯聚層的LSW2傳遞到核心層的AR4設備，隨后傳遞到AR2設備上，最后交由出口設備FW1上，再由FW1設備將數據傳遞給Server服務器。圖6.3IPv4路由路徑檢測使用IPv4設備PC1對Server服務器的NAT轉換后的靜態(tài)地址發(fā)起tracert命令進行檢測走向，如圖6.3所示，檢測結果與上述路徑的規(guī)劃相同。圖6.4為LSW2的I