技术方案模板
RICS-氢化钠电子式
2023年3月19日发(作者:滚木块)方案
MPLSBGPVPN
技术方案模板
华为技术有限公司
2003年2月
方案
目录
前言...............................................................................................................................................1
第1章概述....................................................................................................................................2
1.1MPLSVPN简介......................................................................................................................2
1.2网络概述.................................................................................................................................3
第2章原有网络分析......................................................................................................................4
2.1信息采集.................................................................................................................................4
2.1.1网络信息......................................................................................................................4
2.1.2用户需求......................................................................................................................4
2.2组网分析.................................................................................................................................5
2.3综述........................................................................................................................................7
第3章MPLS-VPN解决方案..........................................................................................................8
3.1组网........................................................................................................................................8
3.2IP地址规划..........................................................................................................................10
3.2.1PE的管理地址(Loopback地址)............................................................................11
3.2.2S3526/S3026的管理地址.........................................................................................11
3.2.3PE-PE的互连地址....................................................................................................13
3.2.4PE-CE的互连地址(计费)......................................................................................14
3.2.5PE-CE的互连地址(OA)........................................................................................14
3.2.6PE-CE的互连地址(168).......................................................................................15
3.2.7PE-CE的互连地址(网管)......................................................................................15
3.3路由协议..............................................................................................................................16
3.3.1BGP协议规划...........................................................................................................16
3.3.2IGP协议规划.............................................................................................................17
3.3.3静态路由规划............................................................................................................17
3.4MPLSVPN规划..................................................................................................................18
3.4.1VRF规则...................................................................................................................18
3.4.2RD规则.....................................................................................................................18
3.4.3Route-Target规则.....................................................................................................18
3.5设备命名和描述规则...........................................................................................................19
3.5.1设备命名规则............................................................................................................19
3.5.2接口描述命名规则....................................................................................................19
3.6网络的备份和流量分担........................................................................................................19
3.6.1网络的备份................................................................................................................20
方案
3.6.2流量的分担...............................................................................................................20
3.7网络的管理..........................................................................................................................20
3.8网络的安全..........................................................................................................................22
第4章设备配置...........................................................................................................................23
4.1硬件配置清单......................................................................................................................23
4.2软件配置清单......................................................................................................................23
第5章测试和验收.......................................................................................................................25
方案
前言
本方案模板的目的,是给MPLSVPN技术方案的制定提供一个模板,作为一
个借鉴,一个引导,分章节论述制定一个MPLSVPN技术方案需要考虑的各
个方面。
由于MPLSVPN技术方案和业务联系紧密,为了更好的对方案的各部分作充
分的阐述,本文用了一个实际方案作为例子,在每章节说明的后面,就是具
体方案的描述,描述的内容可以作为制定其他MPLVPN方案的参考,但具体
的细节还需根据实际网络的情况作相应的调整。
方案
第1章概述
说明:
该章主要介绍MPLSVPN技术和网络的概况,给人以整体的印象,作为技术
方案的开篇,引申出后续的方案的细节。
1.1MPLSVPN
简介
说明:
该节主要用简洁、易懂的文字,对技术方案所依托的MPLSVPN技术作简单
介绍。
随着社会的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,
这种情况也使传统企业网络的功能缺陷越来越凸现:传统企业网基于固定物
理地点的专线连接方式已难以适应现代企业的需求。于是用户对于自身的网
络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩
展性等方面。
在这样的背景下,基于MPLS技术平台实现的MPLSVPN,以其独具特色的
优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维
护,而更多地致力于企业的商业目标的实现。
MPLS是多协议标签交换协议的简称。MPLSVPN网络中,有三种设备:CE、
PE和P路由器,CE是用户直接与服务提供商相连的边缘设备,可以是路由
器、交换机或者终端;PE是骨干网中的边缘设备,它直接与用户的CE相连;
P路由器是骨干网中不与CE直接相连的设备。P路由器并也不知道有VPN
的存在,仅仅负责骨干网内部的数据传输,但其必须能够支持MPLS协议,
并使能该协议;PE位于服务提供商网络的边缘,所有的VPN的构建、连接
和管理工作都是在PE上进行的。
采用MPLSVPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,
并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,
在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN
之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便网络的扩展
和变更。
方案
MPLSVPN的网络构造由服务提供商来完成。在这种网络构造中,由服务提
供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立
的网络资源一样。
为了实现MPLSVPN功能,除了新建网络之外,更多的需求是在已有的传统
IP网络上实现MPLSVPN的功能。这样,既保护了原有网络投资,又适应了
企业用户的新的需求,实现业务的增值。本次工程就是在已有网络上进行改
造,实现MPLSVPN功能。
1.2
网络概述
说明:
该节简单的介绍网络的概况,业务运行的情况,以及存在的问题,然后描述
采用MPLSVPN实现用户需求的优点。
J省原有三个业务网络:运营、计费和网管,这三种业务在地市和省之间的广
域网的范围内,物理设备和运行的路由协议都是相互分离的,这样给全网的
统一管理和维护带来了相当的不便,并且某些旧有的设备和广域网带宽已经
不能满足当前的业务发展的需求,因此有必要建设一个统一的、高效的、可
运营、可维护的数据网络。
在原有网络中,每个地市的运营、计费和网管共用一个或两个B网段。运营
和计费的上行到省公司的路由设备共用或者分别在两台出口路由器上;网管
是单独的出口路由器。在各地市间的骨干网络上,运营网配置的是静态路由;
计费网络运行的是EIGRP动态路由协议;网管网络运行的是OSPF协议,本地
网的OSPF与计费的EIGRP之间没有相互引入,本地网的OSPF也没有引入静
态路由。
本次DCN工程采用MPLSVPN的方案,在同一物理拓扑的基础上,MPLSVPN能
够按照用户需求实现多种业务的隔离,并且管理和控制VPN的业务,只是在
数据上作相应的配置,物理设备和链路都不用作改动,这样为各种VPN业务
的管理和维护提供了很大的方便,所以MPLSVPN具有很好的业务扩展性。
方案
第2章原有网络分析
说明:
实施MPLSVPN的前提,就是对原有网络进行全面准确的调研和分析,收集
实际运行的网络信息。然后在此基础上给出网络的建设建议。
2.1
信息采集
说明:
该节对客户原有网络信息和用户的需求进行采集,作为方案规划和实施的基
础。
2.1.1网络信息
在实际工程中,需要采集的网络信息包括:组网图、数据配置、IP网段规划、
业务流向、路由协议、业务间互访和隔离的需求等。
(详细的信息这里省略,可以根据实际情况,写在技术方案中或者作为技术
方案的附件附后。)
2.1.2用户需求
在J省全省范围内,目前主要有网管、计费、OA、168业务。
基本原则是:各业务之间是隔离的;每种业务在全省各地市之间是能够互相
访问的;省公司的各种业务还有访问国家骨干的需求。
特别的:省公司的网管业务能够访问其他地市的各种业务。
方案
2.2
组网分析
说明:
用户的原有网络结构一般会有两种:一种是将所有的业务承载在一个网络上,
通过GRE、IPSEC等技术建立隧道来隔离不同的业务,或者根本不作隔离;
另一种是对于每种业务单独建设一个网络;如在运营商的DCN网络中,为计
费,运营,网管各建一个网络。
对第一种情况,附一个总的组网图即可;而对第二种需要对每种业务附一个
组网图,再对原有网络的整体情况,用途,所承载的业务类型分别进行分析。
本方案就是第二种情况。
下面对J省的运营和网管组网进行分析:
原运营网络组网分析
B市
C市
D市
E市F市
G市
H市
省公司
省公司
A市
I市
1、设备:各地设备的型号比较统一,Cisco的72或者75系列的路由器,部
分路由器能提供空闲的以太网口,能够支持BGP,不能提供空闲以太网口的
路由器需要支持802.1Q,如果不支持,可以通过升级软件版本解决该问题。
2、链路:广域网链路是E1线路,带宽为2M。
3、路由协议:骨干网络运行的是静态路由,A市路由器Cisco75为省中心,
上面配置指向分配给各地市和省公司路由器的精确的C网段(或更明细)的
方案
静态路由,下一跳指向相应的路由器的下一跳,而在各地市路由器上配置指
向省公司的精确的C网段(或更明细)的静态路由,下一跳指向Cisco75。
4、业务的流向:纵向流,即各地市与省局之间的数据交互。
原网管网络组网分析
B市网管1
C市
D市
E市
F市
G市
H市
I市
A市
省中心
D市
B市网管2
国家骨干网DCN-1国家骨干网DCN-2
ETH
ETH(主用)
ETH(备用)
省中心
省中心省中心
1、设备:由于省公司的NetBuilder的端口不够了,另外配置了两台Cisco2621
路由器,分别接入E市、C市和B市网管1,省公司的这三台路由器再通过
Lanswitch4003连通,然后通过NetBuilder作为统一的出口。
2、链路:广域网链路是E1线路,带宽为2M,特殊的,C市作了链路捆绑。
综合多方面考虑,并针对网络的实际情况,我们建议采用方案3。
3、路由协议:原网管网的骨干网络运行的是OSPF协议,AREA为0,在各
地市的本地网络,有些是静态路由,有些也运行OSPF,AREA不为0,但
没有聚合区域间路由。这里我们建议各地市向Area0发布路由的时候进行聚
合,聚合成本地网管正在使用的几个C网段(也不应该聚合成包含计费、运
营的B网段),利于管理和控制。
4、业务流向:主要以纵向流为主,即各地市与省局之间的数据交互。
方案
2.3
综述
说明:
该节根据客户网络结构以及采集的数据对网络现状和问题进行分析,得出结
论。并提出我们的解决方案。
对于每种业务单独建立一个网络这种情况,存在以下弊病:
由于是每种业务都建立一个网络,网络设备的重复投入,而且在新上一种业
务的时候都要新建一套网络,工程量比较大。而且如果存在某些设备是多个
业务共用的设备时,业务间的隔离和互访实现起来也不方便。
对于将各个业务使用同一个网络这种情况,存在以下弊病:
各个业务使用同一个网络,如果各个业务之间不进行隔离,那么存在安全隐
患,如果使用GRE、IPSEC等隧道技术来进行隔离的话,由于这些隧道技术
都是点对点的,因此节点比较多的时候,要配置较多的隧道,在新增一个点
的时候,需要修改所有配置了隧道的路由器的配置。
而MPLSVPN方案能很好的实现用户的需求,提升网络的性能,满足用户业
务扩展和易于管理的要求。
由于所有的VPN数据只是在PE上作相应的配置,控制也是在PE上实现的,
所以对原有网络的影响很小,这样能最大限度的减小对原来的各种业务的影
响。增加了PE设备以后,每个地市的CE设备就通过本地的PE设备与省公司
或者其他地市相连了,而原有的网络作为DCN网络的备份网络,当DCN网络
出现问题时,可以切换到旧有网络上,保证业务的正常运行。
要做到各地市的VPN业务的分离,每种VPN业务必须采用独立的逻辑端口
与PE设备相连,端口上向PE发布的也是本业务所占用的网段,而不应该是
本地所有VPN业务的总的B网段。针对实际的情况,我们采用业务逐步分离
的方案。如果某些地市能做到业务网段的分离,就为每个VPN业务提供独立
的逻辑端口,并只发布本业务的网段,采用N个业务N个VPN的方案;其他
地市短期内还做不到业务网段的分离,那么就采用暂时只有一个VPN的方案,
当这些地市的网段做到分离的时候,再将这些地市调整成多个VPN就可以了。
这样,网段分离的地市能够做到业务分离,而暂时不能分离的地市只是本地
业务不能分离,不会影响到其他的城市。
方案
第3章MPLS-VPN解决方案
说明:
该章针对客户的现状和需求,提出具体的MPLSVPN解决方案,包括组网图、
IP地址规划、路由协议等技术细节,作为工程实施的依据。
3.1
组网
说明:
该节附具体解决方案的系统组网图,即采用MPLSVPN方案的网络结构图。
并对网络设计的方针、规划、思路做出详细的分析。
MPLS-VPN并不要求网络结构上有什么特殊之处,传统的树形结构、网状结
构、单星型结构、双星形结构都可以满足要求。如果是旧网改造,只需要对
原有网上设备进行升级,使之支持LDP,配合新增的PE设备即可组成
MPLS-VPN的核心MPLS域;而CE设备则不需要任何改动,可以直接作为
MPLS-VPN的各专业网络业务汇聚设备。
对于本次工程,我们建议采用双星形结构,这样在骨干中心节点消除单点故
障,提高了网络的可靠性和安全性。
方案
A1
A1
BGFEDCHI
双星形网络结构图
A市中心放置两台骨干路由器NE16和Cisco75,两者通过FE互连,负责其
他地市的业务汇聚,互为备份。2、除A市外的其他地市,由一台高端路由
器组成,负责本地业务系统的接入。原来各业务网络的出口路由器作为CE设
备。
针对运营和计费网络,如果原来的出口路由器存在空闲的以太网口,则直接
将该路由器连接到PE上;如果没有多余的端口,则PE和CE之间通过交换
机相连,然后在原出口路由器上配置子接口,划分VLAN(这需要路由器支持
802.1Q协议,如果不支持,可以通过升级软件版本解决);如果即没有多余
的端口,而且难以支持802.1Q,那么只能采用另外一台三层交换机作为CE
设备,但这样本地网络的路由需要调整:原出口路由器接在三层交换机的下
面,将该三层设备作为本地的出口。
针对网管网络,部分地市是CISCO的设备,有空闲的端口,则直接连接到
PE设备,如果没有空闲端口,就在原来的以太网上配置子接口(这需要路由
器支持802.1Q协议,如果不支持,可以通过升级软件版本解决),另外一些
地市采用的设备是NBII,由于没有空闲端口,也不能支持BGP,就用另外的
三层交换机作为CE,这样需要调整本地的网络,使三层交换机作为本地出口。
每一地市路由器通过POS链路双归属方式接入到省核心层。
方案
3.2IP
地址规划
说明:
该节讨论IP地址的规划。MPLS-VPN网络中,IP地址的划分主要分为“公
网”和“私网”两个部分。
“公网”IP地址主要包括PE-PE设备互联地址、各设备管理地址。对于设备
互联地址没有特殊的要求,一般是整个地址空间在同一个“大”的网段中获
取,并且要为今后网络的扩充留有余地。互联的广域网接口尽量采用30位掩
码的网段,互联的Ethernet接口地址,可以采用29位掩码的网段,这样在今
后应用HSRP或者VRRP的时候有足够的地址可以使用。
“私网”IP地址指PE-CE设备互联地址、CE下带的VPN用户的地址。分
配根据不同的应用有不同的原则,一般可以分为两类:网络为ISP所有,为
不同的集团用户提供地域间的企业网互连;网络为集团用户所有,为本集团
内各个不同业务提供不同的私网。
对于网络为ISP所有的情况。各个VPN物理设备之间是完全隔离的,同一个
PE所连接的不同CE内部,网络不会有交织,针对这种应用,IP地址采用按
照地域分配的方案对工程实施比较有利。采用按照地域分配IP地址的方案,
在PE上每个VPN的路由信息可以聚合成简单的一条或几条,这样整个公网上
的路由条目较少。采用这样的方案无论对设备本身还是网络的维护管理都有
较大的益处。首先,设备的负荷较小,可以保证长期稳定运行;其次,路由
条目较少,维护人员可以方便的控制,并且每一个比较规整的网段对应一个
固定的地域,一旦出现问题,对于缩小问题范围有很大的益处。
对于网络为集团用户所有的情况。一些规模比较大的集团用户,为了方便管
理,将企业内部的多个业务划分开。对于这种客户,在网络汇聚层(一般位
于地市一级的节点)以上应用MPLS,汇聚层以下应用传统的路由转发。针对
这种情况,比较好的IP地址规划就是在地市一级按照业务来划分IP,首先将
IP地址根据业务进行划分,再对于某种业务在地市以下的节点再进行更细致
的划分。通过这样的IP地址规划,在接入层应用MPLS的时候,每个业务相
关的路由信息可以聚合成简单的几条,甚至是一条,而且各业务之间路由信
息没有交集。这样的路由信息在骨干层传播路由条目较少,局部的路由动荡
不会引起骨干层的路由动荡,网络信息比较稳定,如果出现问题可以迅速的
定位到是哪个业务网络的问题。更大的优点还是表现在新业务的扩充上,只
要每个新增加的业务IP地址都依据这样的原则来规划,那么与原有业务的IP
网段可以是完全隔离的,不会对原有的路由信息产生任何影响,为网络的维
护带来很大的方便。
对于本次工程来说,需要新增的IP地址是PE/CE的管理地址、PE-PE互连
地址、PE-CE互连地址。
用途IP地址段
方案
PE/CE的管理地址
172.168.253.0/24
PE-PE互连地址
172.168.252.0/24
PE-CE互连地址(计费)
172.168.251.0/24
PE-CE互连地址(OA网络)
172.168.250.0/24
PE-CE互连地址(168业务)
172.168.249.0/24
PE-CE互连地址(网管)
172.168.248.0/24
3.2.1PE的管理地址(Loopback地址)
给各地市的PE路由器分配一个Loopback地址,该地址可作为OSPF的
RouterID,并作为telnet管理或ping测试的目的地址。整网分配
172.168.253.0/24的网段的作为各地市的loopback地址,未使用的保留。
各地市PE设备的Loopback地址分配如下:
A市NE16:172.168.253.1
A市Cisco75:172.168.253.2
B市:172.168.253.3
C市:172.168.253.4
D市:172.168.253.5
E市:172.168.253.6
F市:172.168.253.7
G市:172.168.253.8
H市:172.168.253.9
I市:172.168.253.10
3.2.2S3526/S3026的管理地址
省公司S3526-1:172.168.253.31
省公司S3526-2:172.168.253.32
省公司S3526-3:172.168.253.33
省公司S3526-4:172.168.253.34
省公司S3526-5:172.168.253.35
A市:管理Vlan:50
NE16E接口(网关):172.168.253.129/29
方案
S3025-1:172.168.253.130/29
S3025-2:172.168.253.131/29
B市:管理Vlan:50
NE16E接口(网关):172.168.253.137/29
S3025-1:172.168.253.138/29
S3025-2:172.168.253.139/29
C市:管理Vlan:50
NE16E接口(网关):172.168.253.145/29
S3025-1:172.168.253.146/29
S3025-2:172.168.253.147/29
D市:管理Vlan:50
NE16E接口(网关):172.168.253.153/29
S3025-1:172.168.253.154/29
S3025-2:172.168.253.155/29
E市:管理Vlan:50
NE16E接口(网关):172.168.253.161/29
S3025-1:172.168.253.162/29
S3025-2:172.168.253.163/29
F市:管理Vlan:50
NE16E接口(网关):172.168.253.169/29
S3025-1:172.168.253.170/29
S3025-2:172.168.253.171/29
G市:管理Vlan:50
NE16E接口(网关):172.168.253.177/29
S3025-1:172.168.253.178/29
方案
S3025-2:172.168.253.179/29
H市:管理Vlan:50
NE16E接口(网关):172.168.253.185/29
S3025-1:172.168.253.181/29
S3025-2:172.168.253.182/29
I市:管理Vlan:50
NE16E接口(网关):172.168.253.193/29
S3025-1:172.168.253.194/29
S3025-2:172.168.253.195/29
3.2.3PE-PE的互连地址
A市的NE16和Cisco75作为DCN网络的汇聚节点,各地市通过两条POS链路
分别接入到NE16和Cisco75。
各地市PE间互连接口IP分配:
A市NE16-A市Cisco75172.168.252.253/30-172.168.252.254/30
A市NE16-B市172.168.252.1/30-172.168.252.2/30
A市Cisco75-B市172.168.252.5/30-172.168.252.6/30
A市NE16-E市172.168.252.9/30-172.168.252.10/30
A市Cisco75-E市172.168.252.13/30-172.168.252.14/30
A市NE16-C市172.168.252.17/30-172.168.252.18/30
A市Cisco75-C市172.168.252.21/30-172.168.252.22/30
A市NE16-F市172.168.252.25/30-172.168.252.26/30
A市Cisco75-F市172.168.252.29/30-172.168.252.30/30
A市NE16-G市172.168.252.33/30-172.168.252.34/30
A市Cisco75-G市172.168.252.37/30-172.168.252.38/30
A市NE16-D市172.168.252.41/30-172.168.252.42/30
A市Cisco75-D市172.168.252.45/30-172.168.252.46/30
A市NE16-H市172.168.252.49/30-172.168.252.50/30
A市Cisco75-H市172.168.252.53/30-172.168.252.54/30
方案
A市NE16-I市172.168.252.57/30-172.168.252.58/30
A市Cisco75-I市172.168.252.61/30-172.168.252.62/30
3.2.4PE-CE的互连地址(计费)
本次工程初期规划有四种VPN业务:168、OA、计费、网管,给每种VPN
业务分配一个C网段,作为各地市相应业务的CE设备与PE的互连接口地址,
如果有其他的VPN业务,则再划分新的IP网段即可。
本次工程有9个节点,因此每种业务占用了本C网段192个IP地址,其中,
一个地市占用16个IP地址。
地址分配方案如下:
省公司(NE16)172.168.251.1/28(PE侧地址)
(CISCO)172.168.251.17/28
A市(NE16)172.168.251.33/28
(CISCO)172.168.251.49/28
B市172.168.251.65/28
E市172.168.251.81/28
C市172.168.251.97/28
F市172.168.251.113/28
G市172.168.251.129/28
D市172.168.251.145/28
H市172.168.251.161/28
I市172.168.251.177/28
3.2.5PE-CE的互连地址(OA)
省公司(NE16)172.168.250.1/28(PE侧地址)
(CISCO)172.168.250.17/28
A市(NE16)172.168.250.33/28
(CISCO)172.168.250.49/28
B市172.168.250.65/28
E市172.168.250.81/28
C市172.168.250.97/28
方案
F市172.168.250.113/28
G市172.168.250.129/28
D市172.168.250.145/28
H市172.168.250.161/28
I市172.168.250.177/28
3.2.6PE-CE的互连地址(168)
省公司(NE16)172.168.249.1/28(PE侧地址)
(CISCO)172.168.249.17/28
A市(NE16)172.168.249.33/28
(CISCO)172.168.249.49/28
B市172.168.249.65/28
E市172.168.249.81/28
C市172.168.249.97/28
F市172.168.249.113/28
G市172.168.249.129/28
D市172.168.249.145/28
H市172.168.249.161/28
I市172.168.249.177/28
3.2.7PE-CE的互连地址(网管)
省公司(NE16)172.168.248.1/28(PE侧地址)
(CISCO)172.168.248.17/28
A市(NE16)172.168.248.33/28
(CISCO)172.168.248.49/28
B市172.168.248.65/28
E市172.168.248.81/28
C市172.168.248.97/28
F市172.168.248.113/28
G市172.168.248.129/28
方案
D市172.168.248.145/28
H市172.168.248.161/28
I市172.168.248.177/28
3.3
路由协议
说明:
路由协议的应用,在MPLS-VPN的网络中分为三个层面:骨干层MPLS域、
PE与CE互联、CE以下内部网络。对于CE以下内部网络的协议类型完全由
VPN用户自己决定,我们关心的主要部分是骨干层MPLS域应用的路由协议
和PE与CE互联时使用的路由协议。
对于骨干层MPLS域,需要某种IGP协议与MBGP结合应用,其中MBGP
主要完成私网路由标签分配、各私网路由在“公网”传递等作用,没有其他
的协议可以替代。各地市CE之间的VPN路由的传递、VPN路由标签的分发,
都是通过骨干区域MP-BGP协议的扩展属性实现的。
对于IGP协议,他的主要作用就是保证MBGP邻居之间的可达性,我们建议
采用OSPF,因为OSPF的适应性好,功能完善,当核心层设备在20台以内
的时候,我们建议只运行一个骨干域“0”,这样网络规划简单、维护方便,
并且有利于今后骨干层网络的扩展。
对于PE与CE互联,可以采用的路由协议有静态路由、RIP和BGP等多种
路由协议。具体使用那种路由协议要根据情况而定,如当CE以下的网络结构
比较复杂,路由条目较多的时候,PE和CE之间需要运行BGP协议,当然
应用这种方案对CE的要求也是比较高的。对于PE与CE之间的路由协议类
型最普遍应用的就是静态路由,只要准循上面提到的IP地址分配原则,各地
的路由都可以汇聚成一条或者数目较少的几条,这时应用静态路由是最简单、
最高效的,而且网络的维护非常方便。
综上,在本期工程中,我们建议的路由协议类型就是:骨干层MBGP+OSPF、
PE与CE互联采用静态路由。这样对整个网络中的设备要求不是太高,并且
很好的实现了MPLS-VPN。
3.3.1BGP协议规划
1、AS号
按照省公司的统一规划,全省的AS号为64600。
方案
2、路由反射器
J省DCN网络采用双星型结构,10台路由器运行在同一个BGP的AS中,按照
BGP协议的要求,所有这些路由器必须保证是全连通的,即:任意两台路由器
之间都必须配置邻居关系。这样会导致N平方问题,为了解决这个问题,必
须使用BGP反射器技术。
A市的NE16和CISCO75都作为反射器,其他地市的路由器分别作为这两个反
射器的客户机。
3、路由的引入
在各地市的PE设备上,BGP的vpnv4地址族中,不需要引入其他路由协议;
BGP的IPV4地址族中,通过redistribute命令引入本VPN的直连和静态路
由。
3.3.2IGP协议规划
DCN网在MPLS骨干区域内的IGP采用动态的、基于链路状态的OSPF协议。
1、区域的划分
各PE路由器只在内部互联端口运行OSPF,使用一个Area0进行路由交换。
为避免路由环路,在PE上不通过OSPF发布缺省路由。
2、路由的引入
在各地市的PE设备上,通过Network命令将PE设备的loopback地址和互连
端口地址引入到OSPF协议中去。为了便于控制路由的规模,不采用
redistribute命令引入静态或其他协议的路由。
3、定义花费(Cost值)
出于链路备份和负荷分担的考虑,将OSPF链路的Cost值定义如下:A市
NE16与Cisco75之间的FE接口的两端的cost等于10;各地市间的POS链路
都设为cost等于20。
3.3.3静态路由规划
各业务PE和CE之间运行静态路由。在PE上配置网段为本地,下一跳指向CE
的静态路由,然后引入到MP-BGP中,发布到其他地市;同时,在CE上配置
目的网段为其他地市,下一跳为PE的静态路由。并在网管的CE设备上配置
一条指向PE的静态缺省路由。
方案
3.4MPLSVPN
规划
说明:
本节主要规划MPLSVPN的VRF、RD、route-target属性,它决定了MPLS
VPN网络业务之间的隔离和互访。
3.4.1VRF规则
OA业务:DCN_OA
网管业务:DCN_wangguan
168业务:DCN_168
计费业务:DCN_jifei
3.4.2RD规则
使用16bits:32bits格式,分配规则为『AS号:VPN类别』。其中AS号
统一使用骨干AS的64600
OA业务:64600:10
网管业务:64600:20
计费业务:64600:30
168业务:64600:40
3.4.3Route-Target规则
通过配置VRF(路由转发实例)的target属性,可以实现不同业务的VPN。
不同路由器通过target相关联而组成可以互相访问的集合,由于只有他们内
部可以互访,所以我们称之为VPN,配置里并没有专门的VPN的定义。也就
是说,VPN的成员关系是通过路由所携带的routetarget属性来获得的。不同
CE通过PE配置的VRF里的Target实现互访与隔离,从而组成不同的VPN。
使用16bits:32bits格式,分配规则为『AS号:VPN类别』。其中AS号
统一使用骨干AS的64600,route-target的export和import是一致的。
OA业务:64600:10
方案
网管业务:64600:20
计费业务:64600:30
168业务:64600:40
3.5
设备命名和描述规则
说明:
命名和描述虽然不影响设备的正常运行,但只有准确、规范的命名和描述,
才能保证今后设备的可管理,可维护。
3.5.1设备命名规则
采用以下命名方法:XY_AB_DCN
其中,XY表示城市的名称,AB表示设备类型,且字母大写。
例:BEIJING_NE16_DCN
3.5.2接口描述命名规则
正在使用的接口应该配置接口描述,分为两种接口:
1、PE-PE互联接口
例:descriptionTOBEIJING-NE16-POS
其中,BEIJING是对端地市,NE16是设备类型,POS是链路类型。
2、PE-CE互联接口
例:descriptionTOQUANZHOU-168
其中,BEIJING是本地的地市,168是业务的名称。
3.6
网络的备份和流量分担
说明:
本节讨论网络的备份和分担的机制。保证网络运行的可靠和冗余。
方案
3.6.1网络的备份
网络备份可以同时通过两种方式实现:
1、通过合理的网络方案设计,实现物理链路与物理设备的备份。本次工程中,
中心的两台汇聚节点是主备和负荷分担的,在正常工作的情况下,共同分担
整个网络的流量,当其中一个失效后,另外一台设备能够承担起所有的流量,
保证业务的正常运行;各地市到中心节点的两条广域网链路也是主备的,在
主用链路中断的情况下,业务可以通过备用链路传输。
2、应用动态路由协议,做到网络的自动备份。OSPF和BGP协议,均可以自
动地发现两个网络节点之间的迂回路由,并在主用路由不可用时而自动使用
备份链路。并且可以通过在路由器上加入策略,控制数据的流向。
3.6.2流量的分担
1、A市的汇聚节点NE16有两个POS接口,两个POS接口实现负荷分担,第一
个POS接口接入B市、F市、H市、I市;第二个POS接口接入H市、D市、C
市、E市。
2、每个地市到中心节点都由两条主备链路,因此,可以通过设置不同的Cost
值,实现部分地市节点的主链路汇聚到NE16,而另外的节点的主链路汇聚到
Cisco7513,从而达到负荷分担的目的,避免网络流量不均衡。具体的流量
分配是:B市、F市、G市、I市的主链路汇聚到NE16,备链路汇聚到Cisco7513;
H市、D市、C市、E市的主链路汇聚到Cisco7513,备链路汇聚到NE16。由
于目前Cisco7513暂时不能到位,所以H市、D市、C市、E市的备链路会生
效,流量都汇聚到NE16。
3.7
网络的管理
说明:
网管是网络的重要组成部分。华为公司提供全面的、功能强大的、便于操作
的网管系列软件,各功能模块既可以单独使用,也可以作为组件形成一个综
合的网管系统。方便灵活的实现对网络设备的管理。
网管所在端口不能划入任何一个VPN里,这样才能对全网MPLS的VPN进
行管理。所以连接MPLS网管的终端单独提供接入端口,不划入VPN业务端
口。
方案
本次方案采取集中网管的方式,在省公司设置网管中心,集中监控全省其他
地市的网络设备。
网管系统的硬件采用SUN工作站,软件采用华为公司的iManagerN2000综
合网管,iManagerN200综合网管系统使用了模块化、组件化的设计方法,
可以方便灵活的实现对网络设备的管理。
iManagerN2000综合网管的系统功能主要有:
1、拓扑管理
方便的增删业务节点,节点和链路的颜色反映了设备的运行状态,可以通过
浏览网络视图时时了解网络的运行状态。
2、设备视图
设备视图描绘设备的面板轮廓,反映各单板和端口的最新状态,并提供对设
备的各种管理功能。
3、配置管理
提供对路由器提供数据配置管理。主要包括SNMP配置,远程登录,ping等。
4、故障管理
提供对网络设备发出的告警的接收、解释、储存、查询、浏览、分析等功能。
5、日志管理
提供对网络设备上报的日志数据存储、删除、查询等功能
6、性能监控
提供对网络设备的各种性能指标的灵活监控,包括实时监视和后台监视,可
以方面的设置监视项
7、远程网络监视(RMON)
可以有效的利用网络带宽,远程实现网络数据的分析
8、MPLSVPN网管
BGP/MPLSVPN网管可以对VPN业务进行规划、供给(provision)和管理。用
户只需要定义一些VPN的业务属性,系统会自动计算出所需要的配置项,并
对网络进行配置。需要说明的是本系统只对PE进行配置和管理,对于客户内
部网络以及供应商内部骨干网不进行管理。VPNManager的主要功能有:设备
存量管理、业务配置、业务部署、拓扑、故障、安全管理、日志管理。
方案
3.8
网络的安全
说明:
随着业务与网络的集成关系越来越紧密,网络安全在IP网络的发展中居于越
来越显著的地位,对于IP业务的发展起着非常关键的基础作用。因此,在网
络建设中,必须全面考虑网络的安全措施。
可以采用如下的措施,保证网络的安全性:
1、MPLSBGPVPN方案采用VRF实现VPN之间的路由隔离
2、通过MPLSLSP隧道将VPN流量完全隔离。
3、对网络设备的用户、密码和权限进行控制
4、控制对网络设备的SNMP和telnet,在所有的骨干路由器上建立
access-list,只对网管中心的地址段做permit,即通过网管中心的主机才能
远程维护各骨干路由设备。
5、在网络设备上配置防火墙,防止外部对网络设备进行的攻击。
6、路由协议在不安全的端口上进行Passive,防止不必要的路由泄露。
7、互连设备的相互认证,如PPP的PAP、CHAP验证。
8、路由信息交换的认证,如OSPF、BGP的验证。
9、将所有重要事件进行纪录,通过日志输出。
10、采用防火墙设备对局域网进行保护。
方案
第4章设备配置
说明:
该章针对客户网络建设的需求,给出硬件和软件的配置清单。
4.1
硬件配置清单
说明:
该节对方案所需添加的硬件进行说明。
表4-1硬件配置清单
序号详细描述数量备注
1NE16E9
各个地市各2台
3S352620
省公司和各个地市
各2台
4S302620
省公司和各个地市
各2台
一般来说,在旧网改造的时候,CE设备在硬件是不需要做变动的,只需要根
据具体情况增加相应的PE设备或P设备,如果用户的CE设备需要调整或新
增,也要在配置清单中体现。这里新增的部分S3526就充当CE设备。华为
公司开发的中高端路由器都支持MPLS-VPN,但是由于各种设备的档次不同,
因此接口类型、数量和设备转发性能都存在差异。
4.2
软件配置清单
说明:
该节对方案所需添加的软件进行说明。
表
3-2
软件配置清单
方案
序号详细描述数量备注
1VRP3.108070-06029
2QuidwayS3026-00720
3QuidwayS3526-00220
对于PE设备和P设备,需要特殊的版本才能够支持MPLS,所以在工程施工
前和技术支持部沟通,确认使用的具体版本。对于CE设备来说,无需使用特
殊的版本。
方案
第5章测试和验收
说明:
这章对测试和验收的方法、标准进行说明,具体的测试或验收手册可以作为
附件,附在技术方案后。
测试验收主要包括工程施工验收、系统功能验收、路由及路由表维护功能测
试、MPLSVPN功能验收测试,验收标准请根据具体组网方案来制定。
其中MPLS-VPN的验收标准不外乎以下几项(在此基础上可以增加):
1、公网和私网的LSP能否正常建立,公网和私网标签能否正常分配。
2、公网和私网的路由学习是否正常。
3、同一个VPN内的用户是否能够正常通信。
4、不同VPN之间的用户是否隔离开了。
可以参考下面的测试报告:
精品资料