MPLS VPN環(huán)境下的網(wǎng)絡(luò)管理系統(tǒng)的部署

1、金融網(wǎng)絡(luò)絡(luò)MPLLS/VVPN 環(huán)境境下的CCisccoWoorkss20000網(wǎng)絡(luò)絡(luò)管理的的部署 在MPPLS/VPNN網(wǎng)絡(luò)環(huán)環(huán)境下，由由于骨干干網(wǎng)和各各VPNN之間的的IP可可通達(dá)性性被隔離離，基于于SNMMP的網(wǎng)網(wǎng)絡(luò)管理理模式和和傳統(tǒng)IIP網(wǎng)絡(luò)絡(luò)有所不不同。本本文不介介紹Ciiscooworrks 20000和VVPN Sollutiion Cennterr的使用用，只從從網(wǎng)管系系統(tǒng)和被被管設(shè)備備的部署署的角度度介紹幾幾種方式式以及各各自的優(yōu)優(yōu)點(diǎn)和需需要考慮慮的方面面。雖然MPPLS/VPNN將網(wǎng)絡(luò)絡(luò)分成了了P NNetwworkk （服服務(wù)提供供商網(wǎng)）和和 C Nettworrk( 客

2、戶網(wǎng)網(wǎng)絡(luò)，即即各VPPN)，對(duì)對(duì)于銀行行或證券券公司網(wǎng)網(wǎng)絡(luò)來(lái)說說，仍然然屬于同同一個(gè)管管理域之之下。例例如，對(duì)對(duì)于一個(gè)個(gè)省行，其其骨干網(wǎng)網(wǎng)和各業(yè)業(yè)務(wù)子系系統(tǒng)網(wǎng)絡(luò)絡(luò)都需要要從省分分行網(wǎng)絡(luò)絡(luò)中心進(jìn)進(jìn)行統(tǒng)一一管理。網(wǎng)絡(luò)管管理系統(tǒng)統(tǒng)如何部部署，可可以有以以下的幾幾種方式式。P網(wǎng)和CC網(wǎng)分離離進(jìn)行管管理 一種方式式是骨干干網(wǎng)和各各VPNN有各自自的網(wǎng)管管系統(tǒng)。這種方方式不需需對(duì)PEE路由器器作任何何特殊配配置，在在骨干網(wǎng)網(wǎng)、各VVPN都都設(shè)置各各自的網(wǎng)網(wǎng)絡(luò)管理理系統(tǒng)。如下圖圖所示：C NetworkCECEPEPEMPLSCore網(wǎng)管中心CW2000 For BackboneVPNSolution Ce

3、nterCW2000for VPN骨干網(wǎng)的的網(wǎng)管放放置在全全局（GGlobble），負(fù)負(fù)責(zé)管理理P和PPE設(shè)備備，拓?fù)鋼鋱D只顯顯示骨干干網(wǎng)的拓拓?fù)洹PN的的網(wǎng)管放放置在VVPN內(nèi)內(nèi)部，負(fù)負(fù)責(zé)管理理所在VVPN的的所有設(shè)設(shè)備，包包括其他他Sitte的CC 網(wǎng)設(shè)設(shè)備（設(shè)設(shè)置拓?fù)鋼浒l(fā)現(xiàn)時(shí)時(shí)，針對(duì)對(duì)每一SSitee都需設(shè)設(shè)一個(gè)SSeedd Adddreess），網(wǎng)網(wǎng)絡(luò)拓?fù)鋼鋱D只顯顯示其所所在VPPN 的的拓?fù)鋱D圖?？赡苣軙?huì)出現(xiàn)現(xiàn)各個(gè)SSitee的拓?fù)鋼鋱D分離離的現(xiàn)象象，某些些網(wǎng)管軟軟件能手手工添加加虛擬鏈鏈路，即即把MPPLS骨骨干網(wǎng)看看做一條條鏈路。這種方式式不需對(duì)對(duì)PE路路由器的的配置作作任何修

4、修改，各各網(wǎng)管系系統(tǒng)有各各自的管管理范圍圍，適合合于管理理分工明明確、細(xì)細(xì)化的客客戶。但但客戶需需配置多多臺(tái)網(wǎng)管管工作站站和多套套網(wǎng)管軟軟件。CE設(shè)備備在骨干干網(wǎng)管理理系統(tǒng)之之外，不不需要從從CE到到骨干網(wǎng)網(wǎng)的IPP 可通通達(dá)性。從骨干干網(wǎng)管理理中心不不能通過過SNMMP，TTelnnet等等訪問到到CE，不不能通過過VPNN Sooluttionn Ceenteer 來(lái)來(lái)配置、管理CCE，以以及用SSA代理理來(lái)測(cè)試試CE之之間的響響應(yīng)時(shí)間間等。各CE設(shè)設(shè)備IPP地址空空間獨(dú)立立。C網(wǎng)網(wǎng)路由和和骨干網(wǎng)網(wǎng)路由完完全分離離。用同一網(wǎng)網(wǎng)管平臺(tái)臺(tái)對(duì)所有有P網(wǎng)設(shè)設(shè)備和CC網(wǎng)設(shè)備備進(jìn)行管管理 另另一種方方

5、式是用用同一網(wǎng)網(wǎng)管平臺(tái)臺(tái)對(duì)骨干干網(wǎng)和客客戶網(wǎng)絡(luò)絡(luò)設(shè)備進(jìn)進(jìn)行管理理，即CCE也由由骨干網(wǎng)網(wǎng)網(wǎng)管來(lái)來(lái)管理。被管CEE處于骨骨干網(wǎng)的的管理域域，因此此，需要要從CEE到骨干干網(wǎng)網(wǎng)管管的IPP聯(lián)通性性，能夠夠從CEE訪問到到網(wǎng)管所所在的網(wǎng)網(wǎng)段。骨干網(wǎng)網(wǎng)網(wǎng)管能管管理到CCE的IIP地址址、主機(jī)機(jī)名、口口令和SSNMPP sttrinngs。骨干網(wǎng)網(wǎng)網(wǎng)管能管管理到： Faaultt maanaggemeent、connfigguraatioon mmanaagemmentt(coolleectiing, arrchiivinng, &reestoorinng， auddit)。C網(wǎng)和PP網(wǎng)的路路由有交交互

6、?？梢詮腣VPN Sollutiion Cennterr 對(duì)CCE進(jìn)行行管理和和配置，可可以用SSA代理理來(lái)測(cè)試試CE之之間的響響應(yīng)時(shí)間間，也可可以用NNetffloww Coolleectoor。首先，要要建立一一個(gè)網(wǎng)絡(luò)絡(luò)管理子子網(wǎng)（ Nettworrk MManaagemmentt Suubneet）。網(wǎng)絡(luò)管理理子網(wǎng)連連接MPPLS VPNN Sooluttionn Ceenteer工作作站，和和其他網(wǎng)網(wǎng)絡(luò)管理理工作站站（CWW20000，OOpennvieew等）。一旦一臺(tái)臺(tái)CE接接入到一一個(gè)VPPN后，用用傳統(tǒng)的的IPVV4路由由就無(wú)法法到達(dá)這這臺(tái)設(shè)備備。但網(wǎng)網(wǎng)絡(luò)管理理子網(wǎng)要要求必須須

7、能訪問問到被管管理CEE設(shè)備。因此，需需要考慮慮以下問問題：如何控制制骨干網(wǎng)網(wǎng)和CEE路由器器之間不不必要的的互通路路由（除除了網(wǎng)管管信息）？如何控制制CE路路由器和和骨干網(wǎng)網(wǎng)以及其其他VPPN CCE之間間的互通通路由？如何提供供有效的的安全性性？如何防止止路由循循環(huán)？部署了MMPLSS/VPPN之后后的可通通達(dá)性的的改變？在把CEE放入一一個(gè)VPPN之前前，可能能可以同同Ipvv4到達(dá)達(dá)CE。一旦CCE放入入VPNN之后，就就不能以以IPVV4 到到達(dá)CEE。除非非 經(jīng)適適當(dāng)配置置后 從從網(wǎng)管子子網(wǎng)。在非幀中中繼/AATM鏈鏈路上，服服務(wù)請(qǐng)求求不能到到Depployyed狀狀態(tài)，除除非有網(wǎng)

8、網(wǎng)管子網(wǎng)網(wǎng)。網(wǎng)絡(luò)管理理子網(wǎng)實(shí)實(shí)施技術(shù)術(shù)：網(wǎng)絡(luò)管理理子網(wǎng)必必須能訪訪問到管管理CEE（MCCE），PPE，和和NettFloow CColllecttor。當(dāng)需要帶帶內(nèi)（iinbbandd）管理理CE時(shí)時(shí)，網(wǎng)管管子網(wǎng)是是必須的的，這里里帶內(nèi)是是指客戶戶的VPPN 流流量和網(wǎng)網(wǎng)絡(luò)管理理流量使使用同一一條鏈路路來(lái)傳送送。Manaagemmentt CEE(MCCE)網(wǎng)管子網(wǎng)網(wǎng)連接到到MCEE，MCCE作為為網(wǎng)管中中心的網(wǎng)網(wǎng)關(guān)。MMCE可可以在MMPLSS VPPN SSoluutioon CCentter網(wǎng)網(wǎng)管軟件件中定義義。Manaagemmentt PEE (MMPE)管理PPE連接接MCEE到

9、骨干干網(wǎng)。MMPE可可以和連連接其他他VPNN CEE的PEE 共用用一臺(tái)設(shè)設(shè)備。目前，網(wǎng)網(wǎng)管子網(wǎng)網(wǎng)有三種種部署方方式：MPE-MCEE 之間間的鏈路路使用一一個(gè)網(wǎng)管管VPNN來(lái)連接接所有需需要管理理的CEE設(shè)備；而連接接PE和和Nettfloow CColllecttor，MMPE-MCEE則使用用并行的的Ipvv4鏈路路。Extrraneet MMulttiplle VVPN 技術(shù)MPE-MCEE的鏈路路使用外外聯(lián)多VVPN技技術(shù)來(lái)連連接所有有被管理理的CEE；而連連接PEE和Neetfllow Colllecctorr，MPPE-MMCE則則使用并并行的IIpv44鏈路。帶外管理理帶外管

10、理理，MCCE和所所有被管管理的CCE和PPE之間間都有IIpv44的連接接，ouut-oof-bbandd 指PPE之間間用單獨(dú)獨(dú)的鏈路路來(lái)傳送送網(wǎng)管流流量。當(dāng)采用管管理VPPN 方方式（即即上面的的第一種種），如如圖所示示：MPE-MCEE使用一一個(gè)maanaggemeent VPNN來(lái)連接接到被管管理CEE，VPPN的每每個(gè)需要要被管理理的CEE也要加加到管理理VPNN，這可可以通過過VPNN Sooluttionn Ceenteer或者者CLII來(lái)配置置。只有需要要管理的的CE的的路由（通通常是CCE上的的looopbaack口口的地址址）才會(huì)會(huì)進(jìn)入mmanaagemmentt VPP

11、N的VVRF，這這通過定定義rooutee maap來(lái)控控制immporrt rrt 和和expportt rtt來(lái)實(shí)現(xiàn)現(xiàn)。網(wǎng)管管子網(wǎng)和和各被管管CE采采用Huub-SSpokke方式式部署，即即被管CCE只能能和網(wǎng)管管子網(wǎng)通通信，網(wǎng)網(wǎng)管也只只能到達(dá)達(dá)各被管管設(shè)備（CCE和PPE相連連的地址址或者是是CE的的Looopbaack地地址），而而不能到到達(dá)VPPN里的的其他地地址。另外MPPE和MMCE還還需要一一條并行行的noon-MMPLSS VPPN鏈路路。Extrraneet MMulttiplle VVPN這種方式式的關(guān)鍵鍵概念是是： MMPE-MCEE是所有有被管VVPN的的一部分分，

12、即網(wǎng)網(wǎng)管子網(wǎng)網(wǎng)實(shí)際上上是一個(gè)個(gè)所有被被管VPPN的交交疊區(qū)域域（ovverllapppingg siite）。當(dāng)你加加一個(gè)新新的VPPN到這這個(gè)交疊疊區(qū)時(shí)，必必須把這這個(gè)VPPN 加加到MPPE-MMCE。另外，MMPE-MCEE之間還還需要并并行的IIpv44鏈路。在Exttrannet Mulltipple VPNN(有時(shí)時(shí)稱為rrainnboww VPPN)方方式，需需要考慮慮安全控控制和訪訪問列表表，但所所有這些些考慮只只集中在在MPEE和MCCE。MPE包包括了到到所有被被管理VVPN的的BGPP路由。只有MPPE有所所有VPPN的路路由，其其他PEE則不會(huì)會(huì)。即所所有客戶戶網(wǎng)絡(luò)的的

13、路由只只在MPPE的VVRF中中。只需在MMPE-MCEE上用AACL控控制安全全。如果必要要，可以以很容易易創(chuàng)建另另外一個(gè)個(gè)MPEE-MCCE。帶外管理理(Ouut-oof-BBandd)帶外管理理不需要要mannageemennt VVPN來(lái)來(lái)管理CCE。帶帶外的連連接提供供Ipvv4鏈路路，PEE之間、PE-CE之之間有另另外的鏈鏈路來(lái)傳傳送網(wǎng)管管信息。帶外管理理技術(shù)相相對(duì)簡(jiǎn)單單，不需需要設(shè)置置mannageemennt VVPN。但對(duì)每每一需要要管理的的CE都都要有IIpv44的連接接，費(fèi)用用昂貴，同同時(shí)實(shí)際際實(shí)施起起來(lái)比較較復(fù)雜。建議采用用P網(wǎng)和和C網(wǎng)分分離進(jìn)行行管理或或者建立立ma

14、nnageemennt VVPN的的方式。 (44) 保證證管理網(wǎng)網(wǎng)絡(luò)的安安全性盡管設(shè)置置mannageemennt VVPN，在在VRFF中對(duì)路路由進(jìn)行行了控制制，為了了網(wǎng)管子子網(wǎng)和CCE的安安全性，仍仍需在CCE上設(shè)設(shè)置ACCL來(lái)限限制對(duì)CCE的訪訪問，設(shè)設(shè)置對(duì)端端口號(hào)的的限制很很重要，例例如只允允許來(lái)自自網(wǎng)管的的SNMMP、TTFTPP。建議如下下：允許從網(wǎng)網(wǎng)管到CCE址的的SNMMP、TTFTPP等，拒拒絕其他他允許從CCE到網(wǎng)網(wǎng)管的已已經(jīng)建立立的TCCP （eestaabliisheed），拒拒絕其他他以上的AACL應(yīng)應(yīng)用在CCE連接接PE的的端口的的輸入列列表（iinpuut ll

15、istt）。這這樣VPPN中的的其他設(shè)設(shè)備（未未被管理理的CEE或者主主機(jī)、服服務(wù)器等等）不能能和網(wǎng)管管建立連連接。只只有從合合法地址址（CEE 上用用于網(wǎng)絡(luò)絡(luò)管理的的地址）來(lái)來(lái)的對(duì)網(wǎng)網(wǎng)管的響響應(yīng)能進(jìn)進(jìn)入網(wǎng)管管子網(wǎng)。另一個(gè)選選項(xiàng)是縮縮小網(wǎng)管管子網(wǎng)，例例如在MMPE上上建立332位掩掩碼的靜靜態(tài)路由由：IP rroutte vvrf mannageemennt MCCE_aaddrresssIP rroutte vvrf mannageemennt MCEE_adddreess為了防止止不正確確的路由由的注入入，可以以加一條條：ip rroutte vvrf mannageemennt 00.0

16、.0.00/0 nulll0為防止從從CE訪訪問到MMCE，還還可以在在MPEE上與MMCE連連接的端端口上設(shè)設(shè)置輸出出ACLL：peermiit ppackket to MPPLS VPNN sooluttionn Hoost, CWW20000 HHostt,CIIPM Hosst eetc.and denny eeverrthiing elsse網(wǎng)管安全全總結(jié)：1. MMPE上配配置以下下命令:ip rroutte vvrf mannageemenntMPPLS VPNN Sooluttionn hoostiip/332 ip rroutte vvrf mannageemenntciip

17、m hosstipp/322 To ddumpp unnknoownss, aadd thiis ccommmandd:ip rroutte vvrf mannageemennt 00/0 Nulll02. 在在MCEE、CEE 上也也盡可能能使用靜靜態(tài)路由由如果必須須使用動(dòng)動(dòng)態(tài)路由由，可以以用RIIP。只只進(jìn)行路路由的單單向重分分發(fā)：從從BGPP重分發(fā)發(fā)到RIIP，但但不要反反向分發(fā)發(fā)。3. MMCE上上設(shè)置AACL ：outpput acccesss liist: onn liink wiith acccesss too thhe VVPNss, mmakee ann ouu

18、tpuut aacceess lisst aas ffolllowss: perrmitt MMPLSS VPPN SSoluutioon hhostt, CCIPMM hoost too denny aallThe inpput acccesss liist is as folllowws: perrmitt too MMPLSS VPPN SSoluutioon hhostt, CCIPMM hoost wiith tcpp-esstabblisshedd denny aall4. 為為保護(hù) Mannageemennt CCE, 在MPPE與MMCE相相連的mmanaagemmentt V

19、PPN端口口上設(shè)置置ACLL: perrmitt too MMPLSS VPPN SSoluutioon hhostt, CCIPMM hoost denny aall5. 如如果需要要，在MMPE與與MCEE之間IIpv44鏈路上上也可以以設(shè)置AACL，這這取決于于從骨干干網(wǎng)上訪訪問網(wǎng)管管子網(wǎng)的的需要。附錄：測(cè)試MPLSS/VPPN 環(huán)環(huán)境下網(wǎng)網(wǎng)絡(luò)管理理集中中管理PP、PEE和CEE路由器器雖然MPPLS/VPNN將網(wǎng)絡(luò)絡(luò)分成了了P NNetwworkk （服服務(wù)提供供商網(wǎng)）和和 C Nettworrk( 客戶網(wǎng)網(wǎng)絡(luò)，即即各VPPN)，對(duì)對(duì)于銀行行或證券券公司網(wǎng)網(wǎng)絡(luò)來(lái)說說，仍然然屬于同同一個(gè)

20、管管理域之之下。例例如，對(duì)對(duì)于一個(gè)個(gè)省行，其其骨干網(wǎng)網(wǎng)和各業(yè)業(yè)務(wù)子系系統(tǒng)網(wǎng)絡(luò)絡(luò)都需要要從省分分行網(wǎng)絡(luò)絡(luò)中心進(jìn)進(jìn)行統(tǒng)一一管理。即從同同一網(wǎng)管管平臺(tái)，能能夠?qū)θW(wǎng)（包包括P路路由器、PE路路由器、需集中中管理的的CE路路由器和和其他CC網(wǎng)設(shè)備備）進(jìn)行行管理。本測(cè)試即即采用同同一網(wǎng)管管平臺(tái)（CCisccoWoorkss foor WWinddowss 6.0）對(duì)對(duì)所有PP網(wǎng)設(shè)備備和C網(wǎng)網(wǎng)設(shè)備進(jìn)進(jìn)行管理理 。 要求：被管CEE處于骨骨干網(wǎng)的的管理域域，因此此，需要要從CEE到骨干干網(wǎng)網(wǎng)管管的IPP聯(lián)通性性，能夠夠從被管管CE的的Looopbaack端端口訪問問到網(wǎng)管管所在的的網(wǎng)段。能夠從從網(wǎng)管訪訪問

21、到被被管設(shè)備備的Looopbbackk地址（ppingg、teelneet、ssnmpp）。但但C網(wǎng)內(nèi)內(nèi)其他地地址不能能和網(wǎng)管管網(wǎng)段互互通。CCE也不不能通過過網(wǎng)管網(wǎng)網(wǎng)段訪問問到其他他VPNN的被管管CE。骨干網(wǎng)網(wǎng)網(wǎng)管能管管理到PP、PEE、CEE的IPP地址、主機(jī)名名、口令令和SNNMP strringgs。骨干網(wǎng)網(wǎng)網(wǎng)管能管管理到： Faaultt maanaggemeent、connfigguraatioon mmanaagemmentt(coolleectiing, arrchiivinng, &reestoorinng， auddit)。骨干網(wǎng)網(wǎng)網(wǎng)管上能能用CiiscooVieew管理

22、理P、PPE、和和CE設(shè)設(shè)備。首先，要要建立一一個(gè)網(wǎng)絡(luò)絡(luò)管理子子網(wǎng)（ Nettworrk MManaagemmentt Suubneet）。網(wǎng)絡(luò)管理理子網(wǎng)連連接MPPLS VPNN Sooluttionn Ceenteer工作作站，和和其他網(wǎng)網(wǎng)絡(luò)管理理工作站站（CWW20000，OOpennvieew等）。本次測(cè)測(cè)試中采采用CiiscooWorrks forr Wiindoows 6.00。網(wǎng)絡(luò)拓?fù)鋼淙缦拢篜1CiscoWorksMCE/24/24/24/24/24.16.1/24/24/24/32/32/24CE2/24PE2PE1(MPE)/24CE119211.11.0/24/32/24

23、/32/32P2/240/32Loopback InterfaceIPv4 Link (Global)VPN-IPv4 Link (Management VPN)PE1作作為MPPE（MManaagemmentt PEE）， 連接MMCE（MManaagemmentt CEE）。MMCE和和MPEE之間有有兩條鏈鏈路，一一條是普普通Ippv4 Linnk，在在Glooball地址段段（0/244），用用于網(wǎng)管管子網(wǎng)MMSuubneet（MManaagemmentt Suubneet）和和P、PPE路由由器的通通信。另另一條是是VPNN Ippv4 Linnk， 在M-VPNN

24、（Maanaggemeent VPNN）地址址段（550.00.0.0/224，本本測(cè)試中中M-VVPN的的地址為為50.0.00.0），用用于網(wǎng)管管子網(wǎng)和和被管CCE設(shè)備備的LOOOPBBACKK端口的的通信。MPEE和MCCE之間間用靜態(tài)態(tài)路由。CE11和PEE1之間間、CEE2和PPE2之之間運(yùn)行行RIPP2路由由協(xié)議。其他主要要參數(shù)配配置如下下：VRF 定定義路由器VRF NammeRDRT RoutteMaapPE1（MMPE）vpn11100:1impoort 1000:1100:3expoort 1000:1 1100:4(expportt rooutee-maap nnm) R

25、outte-mmap nm mathhc iip aaddrresss 1set rouute-tarrgett exxporrt 1100:4acceess-lisst 11 peermiit 550.00.2555.2255.2555 vpn22100:2impoort 1000:2100:3expoort 1000:22100:4(expportt rooutee-maap nnm)Routte-mmap nm mathhc iip aaddrresss 1set rouute-tarrgett exxporrt 1100:4acceess-lisst 11 peermii

26、t 550.00.2555.2255.2555manaagemmentt-VPPN100:3Impoort 1000:3100:4Expoort 1000:33PE2vpn11100:1impoort 1000:1100:3expoort 1000:1 1100:4(expportt rooutee-maap nnm) Routte-mmap nm mathhc iip aaddrresss 1set rouute-tarrgett exxporrt 1100:4acceess-lisst 11 peermiit 550.00.2555.2255.2555 vpn2

27、2100:2impoort 1000:2100:3expoort 1000:22100:4(expportt rooutee-maap nnm)Routte-mmap nm mathhc iip aaddrresss 1set rouute-tarrgett exxporrt 1100:4acceess-lisst 11 peermiit 550.00.2555.2255.2555注意： mannageemenntVVPN只只在MPPE上定定義。vpn11和vppn2的的VRFF定義時(shí)時(shí)，exxporrt rroutte-ttargget 用了rroutte-mmap。 這個(gè)個(gè)r

28、ouute-mapp的作用用是：只只有地址址符合550.00.0.0 00.2555.2255.2555時(shí)，eexpoort的的RT 為1000:44（這也也是maanaggemeentvpnn vrrf的iimpoort RT）。 500/8地地址段為為網(wǎng)管VVPN的的地址，即即各被管管CE的的Looopbaack端端口的地地址都在在這個(gè)地地址段。因此，在在MPEE上maanaggemeentvpnn vrrf里只只有這個(gè)個(gè)用于網(wǎng)網(wǎng)管的LLooppbacck 端端口的IIP地址址的路由由，而不不會(huì)看到到各VPPN內(nèi)的的其他路路由，這這樣，從從各VPPN的其其他地址址是不能能到達(dá)

29、網(wǎng)網(wǎng)管子網(wǎng)網(wǎng)的。同同樣，從從網(wǎng)管也也只能到到達(dá)被管管CE的的Looopbaack地地址（PPingg、teelneet、SSNMPP）。在MCEE上定義義了兩條條靜態(tài)路路由：ip rroutte 550.00.0.0 2255.0.00.0 501 ( 到被被管CEE的路由由走VPPN llinkk，下一一跳501是MPPE上的的位于vvrf mannageemennt的端端口的IIP地址址)ip rroutte 110.00.0.0 2255.0.00.0 （ 到P、PE路路由器的的路由走走nonn-VPPN llinkk,下一一跳100.1.

30、1.11 是MMPE上上的位于于glooball的端口口的IPP地址）相應(yīng)地，在在MPEE上的全全局路由由和maanaggemeent VRFF里都配配置上到到網(wǎng)管子子網(wǎng)（550.00.100.0/24）的的靜態(tài)路路由，分分別指向向50.0.00.2和和。配置完成成后，從從網(wǎng)管機(jī)機(jī)（506）上上能PIING、Tellnett到所有有被管PP、PEE、和CCE的llooppbacck端口口。用CWWW6.00的Whhatssup的的拓?fù)浒l(fā)發(fā)現(xiàn)功能能，得到到網(wǎng)絡(luò)拓拓?fù)鋱D如如下：可以看到到，Whhatssup發(fā)發(fā)現(xiàn)了所所有被管管設(shè)備及及其相連連的網(wǎng)段段。需要要注意的的是，有有的網(wǎng)段段例如VVPN11Siite11的190（CEE1所連連局域網(wǎng)網(wǎng)段）在在拓?fù)渖仙夏芸吹降?，但從從網(wǎng)管不不能直接接到達(dá)，從從網(wǎng)管只只能到達(dá)達(dá)CE11的Looopbbackk 501。在CWWW deeskttop connsolle里看看到拓?fù)鋼鋱D如下下：用C