中國電信IP城域網(wǎng)組網(wǎng)技術(shù)方案

1、一、設(shè)計原則4二、設(shè)備用途說明和命名規(guī)則92.1 Site 代碼92.2設(shè)備命名規(guī)則102.3設(shè)備用途描述11三、網(wǎng)絡(luò)架構(gòu)203.1核心骨干模塊(backbone) 213. 2 I NTERNETd 63/169)連接點模塊243.3 IPVPN服務(wù)模塊273. 4 商業(yè)I NTERNET接入模塊353. 5小區(qū)I NTERNET接入模塊393. 6政府上網(wǎng)接入模塊433.7主機托管模塊45四、設(shè)備互連484.1遠程連接484. 2本地連接514. 3設(shè)備插槽分配策略524.4 VLAN編號和用途說明54五、IP地址595. 1 IP地址模式595.2域內(nèi)路由協(xié)議（IGP） 605. 3 I

2、P地址分配605.4 IP子網(wǎng)規(guī)劃63六、和163/169的連接686.1 缺省路由686.2 EBGP出口路由設(shè)計706.3 在多出口上實現(xiàn)流量均衡71七、MPLS VPN PE-CE 的連接73八、VPN 的 INTERNET 接入766.4 1 VPN INTERNET 網(wǎng)關(guān)766.5 2 VPDN FOR VPN79九、NMS網(wǎng)段83十、安全控制88H-、QOS9311.1可選擇的工具9311.2實現(xiàn)的模型96附件一：IP地址分配計劃表103-5-n電附件二:小區(qū)INTERNET接入方案1181、SSO (Service-Sign-On)系統(tǒng)1182. Redback SMS寬帶接入服

3、務(wù)器1243.兩種方式的比較。127附件三：圖表129一、設(shè)計原則隨著深圳電信的互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，可以預(yù)測的用戶需求在幾 年內(nèi)將成幾何級數(shù)增長，同時，隨著中國加入WTO的時間表的逼近， 來自各個方面的競爭壓力不斷增加。但是，目前深圳電信的互聯(lián)網(wǎng)基 礎(chǔ)設(shè)施還不夠發(fā)達，不足以迅速占領(lǐng)市場的制高點，在未來的競爭中 立于不敗之地。因此，深圳電信局決定建設(shè)一個先進的、靈活的、可靠的、基于標(biāo) 準(zhǔn)的城市骨干通信平臺，使得深圳電信能夠基于這個平臺，針對市場 上IP用戶的大量寬帶多媒體應(yīng)用的需求，迅速推出一系列嶄新的寬帶 多媒體業(yè)務(wù)，從而吸引更多的用戶，增加市場競爭力，實現(xiàn)網(wǎng)絡(luò)的商 用價值，并為今后滿足市場

4、新的業(yè)務(wù)需求而迅速推出新的業(yè)務(wù)打好基 礎(chǔ)。深圳IP城域網(wǎng)一期工程的建設(shè)目標(biāo)是將IP城域網(wǎng)建成為數(shù)據(jù)業(yè)務(wù) 的統(tǒng)一骨干平臺，在此平臺上為政府、企業(yè)、學(xué)校提供高速接入，同 時提供VPN等增值業(yè)務(wù)。基于以上的建立目標(biāo)，深圳IP城域網(wǎng)的設(shè)計原則為：(1)可靠性原則；(2)可擴充性原則；(3)簡單和易于管理的原則；(4)可以集中管理的原則；(5)效率高；(6)和現(xiàn)有網(wǎng)絡(luò)有較好的集成；(7)安全性；網(wǎng)絡(luò)可靠性通過下述的設(shè)計思路來達到：- 在網(wǎng)絡(luò)核心層進行Part ial meshed冗余物理連接;- 接入層設(shè)備通過Dua I homi ng雙連接到核心層；- 網(wǎng)絡(luò)采用多出口設(shè)計到Internet (163/

5、169)；- 在接入層采用Route summar izat ion減少邊緣鏈路 波動對核心的影響；- 合理采用靜態(tài)路由，提高可靠性；網(wǎng)絡(luò)可擴充性通過下述的設(shè)計思路來達到：- 網(wǎng)絡(luò)采用明顯的“核心一分布”層次結(jié)構(gòu)；- 簡單而有效的IP地址分配策略；- 采用可靠和可擴展的IGP路由協(xié)議；簡單和易于維護性通過下述設(shè)計思路來達到：- 所有的網(wǎng)絡(luò)設(shè)備被分配專門的用途；- 避免復(fù)雜的配置；- 網(wǎng)絡(luò)設(shè)備命名直觀而易記；- 統(tǒng)一的slot、port、VLAN的分配策略;- 每臺設(shè)備都配有l(wèi)oopback地址，易于維護；集中管理通過下述設(shè)計思路來達到：- 為中央網(wǎng)絡(luò)管理系統(tǒng)配有專門的管理網(wǎng)段；- 從中央網(wǎng)管網(wǎng)

6、段可以到達所有設(shè)備；- VPN PE-CE連接從NMS網(wǎng)段同樣可以到達；- 為所有互連網(wǎng)段包括VPN PE-CE連接都采用合法IP 地址；運行的高效性通過下述設(shè)計思路來達到：- 核心層互連鏈路采用相同接口類型和相同速率，便 于作負載平衡；- 城域網(wǎng)內(nèi)部采用缺省路由配合IGP metric作出口選 擇；- 和Internet的多連接上采用BGP MED特性進行負載 分擔(dān)；和現(xiàn)有網(wǎng)絡(luò)的集成通過下述設(shè)計思路來達到：- 采用開放的、標(biāo)準(zhǔn)的路由協(xié)議將城域網(wǎng)分為多個路 由區(qū)域，現(xiàn)有網(wǎng)絡(luò)可以通過單獨的域連接上來；- 和Internet(163/169) BGP連接通過保留的AS 號，這樣不會影響廣東省和中國

7、電信163/169網(wǎng)絡(luò) 出國的BGP路由；安全性通過下述設(shè)計思路來達到：- 對所有重要事件進行l(wèi)og;- 限制對設(shè)備的SNMP和TELNET ；- 采用NTP協(xié)議對全網(wǎng)的設(shè)備進行同步；- 對不安全的端口上將路由協(xié)議進行Passive,防止 不必要的路由泄露；- 對網(wǎng)絡(luò)設(shè)備的User和Privi lege狀態(tài)進行存取控 制；網(wǎng)絡(luò)總體結(jié)構(gòu)如圖所示:-9-圖一深圳IP城域網(wǎng)一期工程網(wǎng)絡(luò)圖西鄉(xiāng)中學(xué)西鄉(xiāng)小學(xué)寶安中學(xué)寶安教育局1111信息化小區(qū)信息化小區(qū)企業(yè)上網(wǎng)一.二二福田中學(xué)、實驗學(xué)校三三二教育學(xué)院、電子技校外語學(xué)院-龍崗區(qū)教 育局等骨干深圳大學(xué),代登嚴(yán)2二一樞紐沙頭角南山茵數(shù) 育局等N 企業(yè)上網(wǎng)POS

8、 2.5G GE 1000MFE 100M! ! VPNlW' : Hii ! ! J 信息化小CE router福山法教"信息化小段:區(qū)Cisco 3620育局等企業(yè)上網(wǎng)觸區(qū)教育局等O2R&S二、設(shè)備用途說明和命名規(guī)則2.1 Site 代碼SiteSite Code樞紐SN黃木崗HMG電信DX南山NS新安XA龍中LZ沙頭角STJ東港中心DG新南頭XNT機關(guān)專用局JG蛇口SK鴻波HB龍脈LM-11-O2R&SSite代碼是地點名的拼音縮寫而成。前11個site是本期工程所 要安裝設(shè)備的點，后2個site不涉及設(shè)備安裝。2. 2設(shè)備命名規(guī)則M-HMG-12012

9、-AIUnique Ide.g. A - 1st 12012; B-2nd 12012Site CodeEquipment TypeMAN解釋：(1) 設(shè)備類型為 “6509” 代表 Catalyst 6509 switch的 LAN switch 部分；-io-O2R&S設(shè)備類型為 “6509R” 代表Catalyst 6509switch 的 routing 部分:6509R1 代表安裝在 6509 的primarysuperv i sory card 上的 MSFC feature card ；6509R2 代表安裝在 6509 的 Redundant superv i sory

10、 card 上的 MSFC feature cardo2. 3設(shè)備用途描述SiteDeviceDev i ce NameUsageMode 1樞紐樓GSR12012M-SN-12012-AMPLS core router7507M-SN-7507-AMPLS PE router3620M-SN-3620-AVPN Management CE router2924M-XLM-SN-2924-AVPN access concentrator2924M-XLM-SN-2924-BCommerc i a I Internet accessconcentrator6509-MSFCM-SN-6509R1

11、-AInter-VLAN rout i ng6509-MSFCM-SN-6509R2-AInter-VLAN rout i ng6509M-SN-6509-ACommun i ty Internet accessconcentrator黃木崗GSR12012M-HMG-12012-AMPLS core router7513M-HMG-7513-AMPLS PE router2924M-XLM-HMG-2924-AVPN access concentrator2924M-XLM-HMG-2924-BCommerc i a I Internet accessconcentrator6509-MSF

12、CM-HMG-6509R1-AInter-VLAN rout i ng6509-MSFCM-HMG-6509R2-AInter-VLAN rout i ng6509M-HMG-6509-ACommunity Internet access concentrator電信GSR12012M-DX-12012-AMPLS core router7507M-DX-7507-AMPLS PE router2924M-XLM-DX-2924-AVPN access concentrator2924M-XLM-DX-2924-BCommercial Internet accessconcentrator65

13、09-MSFCM-DX-6509R1-AInter-VLAN rout i ng6509-MSFCM-DX-6509R2-AInter-VLAN rout i ng6509M-DX-6509-ACommun i ty Internet access concentrator6509-MSFCM-DX-6509R1-BInter-VLAN rout i ng6509-MSFCM-DX-6509R2-BInter-VLAN rout i ng6509M-DX-6509-BReserved for 163 serverhost i ng i n DX東港中心6509-MSFCM-DG-6509R1-

14、AInter-VLAN rout i ng6509-MSFCM-DG-6509R2-AInter-VLAN rout i ng6509M-DG-6509-AServer host i ng6509-MSFCM-DG-6509R1-BInter-VLAN rout i ng6509-MSFCM-DG-6509R2-BInter-VLAN rout i ng6509M-DG-6509-BServer host i ng南山GSR12012M-NS-12012-AMPLS core router7507M-NS-7507-AMPLS PE router2924M-XLM-NS-2924-AVPN a

15、ccess concentrator2924M-XLM-NS-2924-BCommerc i a I Internet access concentrator6509-MSFCM-NS-6509R1-AInter-VLAN rout i ng6509-MSFCM-NS-6509R2-AInter-VLAN rout i ng6509M-NS-6509-ACommun i ty Internet access concentrator新南頭6509-MSFCM-XNT-6509R1-AInter-VLAN rout i ng6509-MSFCM-XNT-6509R2-AInter-VLAN ro

16、ut i ng6509M-XNT-6509-AServer host i ng6509-MSFCM-XNT-6509R1-BInter-VLAN rout i ng6509-MSFCM-XNT-6509R2-BInter-VLAN rout i ng6509M-XNT-6509-BServer host i ng新安GSR12012M-XA-12012-AMPLS core router7507M-XA-7507-AMPLS PE router2924M-XLM-XA-2924-AVPN access concentrator2924M-XLM-XA-2924-BCommerc i a I I

17、nternet accessconcentrator龍中GSR12012M-LZ-12012-AMPLS core router7507M-LZ-7507-AMPLS PE router2924M-XLM-LZ-2924-AVPN access concentrator沙頭角GSR12012M-STJ-12012-AMPLS core router7507M-STJ-7507-AMPLS PE router2924M-XLM-STJ-2924-AVPN access concentrator2924M-XLM-STJ-2924-BCommerc i a I Internet accesscon

18、centrator蛇口7507M-SK-7507-AMPLS PE router2924M-XLM-SK-2924-ACommercial Internet accessconcentrator機關(guān)專用局6509-MSFCM-JG-6509R1-AInter-VLAN rout i ng6509-MSFCM-JG-6509R2-AInter-VLAN rout i ng6509M-JG-6509-AGovernment agency Internet access concentrator-19-設(shè)備用途說明：(1) MPLS Core Router 設(shè)備用作MPLS核心Labe I交換路由器

19、； 不直接連接任何用戶； 所有核心層路由器之間、核心路由器和PE路由器之間的連 接必須 MPLS Enab led； 核心路由器只能運行獨一的IGP路由協(xié)議；(2) MPLS PE Router 設(shè)備用作 MPLS provider edge router (PE)； 所有VPN用戶端的連接終結(jié)在PE上； 同時，PE路由器作為Internet分布層接入路由器； PE在IGP上作為ABR,進行路由聚合；(3) VPN Access Concentrator 設(shè)備用于VPN扇出，上聯(lián)鏈路為PE路由器GE VLAN Trunk； 每一個FE交換端口屬于一個單獨的VLAN ； 每個FE交換端口和用戶設(shè)

20、備通過FE-to-Fiber單模光纖轉(zhuǎn) 換器連接；注：該轉(zhuǎn)換連接不屬本次工程范疇(4) Commerc i a I Internet Access Concentrator 設(shè)備用于商業(yè)用戶的高速Internet接入； 每一個FE交換端口屬于一個單獨的VLAN ； 每個FE交換端口和用戶設(shè)備通過FE-to-Fiber單模光纖轉(zhuǎn) 換器連接；注：該轉(zhuǎn)換連接不屬本次工程范疇(5) Inter-VLAN Rout i ng 設(shè)備用作Inter-VLAN路由，這些VLAN是通過Switch建立 起來的； 同時，該設(shè)備還用于Internet接入路由器； 設(shè)備在IGP中作為ABR,進行路由聚合；(6) Co

21、mmun i ty Internet Access Concentrator 設(shè)備用于小區(qū)用戶高速Internet接入； Supervisory Engine上的GE端口通過多模光纖連接到本 地的MPLS core路由器上； VLAN1用于Inter-VLAN路由器(MFSC)作為管理網(wǎng)段； VLAN通過FE-to-Fiber單模光纖轉(zhuǎn)換器和小區(qū)的用戶設(shè)備相連;-21-注：該轉(zhuǎn)換連接不屬本次工程范疇(7) Server Hosting 設(shè)備(LAN交換機)用于連接各種主機托管服務(wù)器； Supervisory Engine上的GE端口通過單模光纖連接到遠 程的MPLS core路由器上； VLN

22、A1作于Inter-VLAN路由器(MFSC)作為管理網(wǎng)段；(8) VLAN Management CE Router設(shè)備作為一個CE路由器，連接中央網(wǎng)管網(wǎng)段，通過VPN連 接到所有的用戶VPN上，以便于中央網(wǎng)管對所有PE CE鏈 路和CE路由器進行管理； 一個FE端口連接到本地PE上網(wǎng)管專用FE端口，另一個 FE端口連接到Local Server Hosting以太網(wǎng)交換機上， 通過網(wǎng)管專用網(wǎng)段和網(wǎng)管主機相連接；(9) Government Internet Access Concentrator 設(shè)備用作政府機構(gòu)上網(wǎng)的接入集中器，提供高速Internet 連接； 6509上的supervi

23、 sory eng i ne的GE 口通過單模光纖連接 到最近的 MPLS Core Router ； VLAN1用于I nter-VLAN路由器(MFSC)作為管理網(wǎng)段； VLAN通過FE-to-Fiber單模光纖轉(zhuǎn)換器和小區(qū)的用戶設(shè)備相連；注：該轉(zhuǎn)換連接不屬本次工程范疇-23-三、網(wǎng)絡(luò)架構(gòu)深圳IP城域網(wǎng)在網(wǎng)絡(luò)結(jié)構(gòu)上分成核心層和接入層，在功能上提供 VPN互連、高速商業(yè)Internet接入、高速小區(qū)Internet接入、政府上 網(wǎng)接入、主機托管連接等多種服務(wù)類別。因此，為了在一種清晰的結(jié) 構(gòu)上進行網(wǎng)絡(luò)設(shè)計，對網(wǎng)絡(luò)進行功能模塊的劃分，將深圳IP城域網(wǎng)分 為以下幾個模塊：A核心骨干模塊>

24、I nternet (163/169)連接點模塊>IP VPN服務(wù)模塊A商業(yè)Internet接入模塊A小區(qū)Internet接入模塊»政府上網(wǎng)接入模塊A主機托管模塊InternetCommunityInternet AccessGovernmentInternet AccessServiceHl III3.1核心骨干模塊(backbone)1、結(jié)構(gòu)城域網(wǎng)的核心骨干模塊由分布在GSR12012路由器構(gòu)成，分別是：M-SN-12012-AM-HMG-12012-AM-DX-12012-AM-NS-12012-AM-XA-12012-A7個不同地點的7臺Cisco樞紐的GSR12012

25、黃木崗的GSR12012電信的GSR12012南山的GSR12012新安的GSR12012龍中的GSR12012M-LZ-12012-AM-STJ-12012-A沙頭角的 GSR12012這7臺GSR12012通過P0S接口卡單模光纖以partial meshed結(jié)構(gòu) 互連；為了確保核心骨干模塊的MPLS標(biāo)簽分配和路由表的穩(wěn)定，這7 臺GSR12012及它們之間互相連接的Link必須獨立地分配在IGP的area 0域中。從其它模塊學(xué)到的路由在進入Core之前必須先進行Aggregate 或Summarize,以免造成對Core的路由影響。ServiceModules2、實現(xiàn)作為IP城域網(wǎng)的核心

26、，要承載包括IPv4和MPLS VPN兩種不同的 traffic,所以，每臺Core Router必須是能夠支持Tag Switchingo 在這種配置下，MPLS VPN的traffic被Tag Switched,而普通IPv4 的 traffic 被 routedo-#-O2R&S下面是一臺 Core router 的 Sa叩le conf iguration:Tag-switching advertise-tagsinterface pos 2/0description “SM01 fiber link to M-XA-12012-A pos 2/0”ip address 123

27、. 123. 1. 1 255. 255. 255. 252tag switching ip為了減少Tag Switch的目標(biāo)lable,可以采取access list的方法來限制標(biāo)簽的分配。配置如下:Tag-switching advertise-tags for 1Access-list 1 permit 123. 123. 1. 230/ loopback 0address of M-SN-7507-AAccess-/ist 1 permit 123. 123. 1. 231/loopback 0 address of M-HMG-7513-AAccess-/ist 1 permit 1

28、23. 123. 1. 232/ loopback 0address of M-DX-7507-AAccess-/ist 1 permit 123. 123. 1. 233/ loopback 0addressof M-NS-7507-AAccess-/i st 1permit123.123.1. 234/ /oopback 0addressof M-XA-7507-AAccess-/i st 1permit123.123.1. 235/ /oopback 0addressof M-LZ-7507-AAccess-/i st 1permit123.123.1. 236/ /oopback 0a

29、ddressof M-STJ-7507-A在上面的配置下,Tag Switching在限于目標(biāo)地址是MultiProtocoI BGP neighbor 的 Core Router 的 Ioopback 地址，大大減輕了 Core Router在Lable分配上的開銷。其它traffic進行普通路由。3. 2 Internet (163/169)連接點模塊3結(jié)構(gòu)在本期IP城域網(wǎng)工程中，黃木崗和電信的兩臺Core Router： M-HMG-12012-A和M-DX-12012-A作為和163/169連接的邊界路由器。其中，黃木崗M-HMG-12012-A通過一條0C-48鏈路連接到163；電

30、信M-DX-12012-A通過一條GE鏈路連接到163。-29-在廣東省163擴容工程結(jié)束后，這種連接將改變。到那時，2臺新 加入的GSR路由器M-SN-12012-B和M-NS-12012-B將代替本期工程中 的2臺邊界路由器作為新的163出口路由器。邊界路由功能隨之而轉(zhuǎn) 移到新的GSR路由器上。在第六章中將詳細講述和163邊界路由器的路由策略，包括如何在 多出口點之間進行 Inbound traffic 和 Outbound traffic 的 load balance,以及如何保證路由對稱性的問題。2、實現(xiàn)深圳IP城域網(wǎng)和163網(wǎng)之間運行BGP路由協(xié)議，下面是M-HMG-12012-A

31、的 Samp Ie Conf i gurat i on：router bgp 65001no synchronizat/onnetwork 123. 123. 0. 0 mask 255. 255. 224. 0 neighbor 123. 123. 1. 46 remote-as 123“2. 5 Gbpsneighbor 123. 123. 1. 46 description/ inks to HB 163 Backboneneighbor 123. 123. 1. 46 version 4 neighbor 123. 123. 1. 46 fi I ter-1 i st 1 in nei

32、ghbor 123. 123. 1. 46 fi/ter-1ist 10 outip as-path access-/ist 1 deny 八*ip as-path access-/ist 10 permit 八$ip route 123. 123. 0. 0 255. 255. 224. 0 null 0ip route 0. 0. 0. 0 0. 0. 0. 0 123. 123. 1. 46城域網(wǎng)的邊界路由器不從163路由器學(xué)習(xí)任何Internet路由，所有IP城域網(wǎng)不知道的路由都通過缺省路由送至163網(wǎng)絡(luò)。3.3 IP VPN服務(wù)模塊1、結(jié)構(gòu)IP VPN服務(wù)模塊包括向用戶提供IP-VP

33、N服務(wù)的路由器和交換機， 路由器主要是7507或7513,交換機主要是2924。這些設(shè)備包括：Provider Edge (PE) Router (Cisco 7500 series routers): M-SN-7507-A M-HMG-7513-A M-DX-7507-A M-NS-7507-A M-XA-7507-A M-LZ-7507-A M-STJ-7507-AVPN Access Concentrator (Cisco Catalyst 2924M-XL LAN switches): M-SN-2924-A M-HMG-2924-A M-DX-2924-A M-NS-2924-A

34、M-XA-2924-A-31-O2R&S M-LZ-2924-A M-STJ-2924-A所有 VPN Access Concentrator 2924M-XL 都是 100MbaseT 以太網(wǎng) 交換機，通過GE鏈路連接到7500系列路由器上。該GE鏈路被定義為multi-VLAN Trunko2924M-XL上的每個100M端口被映射到一個單獨的VLAN上，7500路由器上為每個VLAN建立一個sub-i nterfaceoM-DX-7507-Apoint-to-point links-33-要向用戶提供IP-VPN服務(wù)，需要進行下列步驟： 在 VPN Access Concentr

35、ator 2924M-XL 上分配一個 100M 端 口； 通過FE-to-Fiber單模光纖轉(zhuǎn)換器連接用戶端的設(shè)備； 將分配到的100M端口映射到VPN Access Concentrator 2924M-XL 的一個 VLAN±； 在 PE 7500 的 GE 端 口 上為該 VLAN 建立一個 sub-i nterface ； 將該sub-interface聯(lián)系到一個VPN上； 在用戶端，用戶提供CE路由器通過100M端口連接到PE上。2、實現(xiàn)A、 VLAN TrunkTrunk是交換機之間或交換機和路由器之間的點到點鏈路，trunk 在整個網(wǎng)絡(luò)內(nèi)承載multi -VLAN的流

36、量。目前有兩種trunk封包技術(shù)， 一種是 Cisco 專用技術(shù) ISL(lnter Switch L i nk),另一種是 I EEE 802. 1Q,是國際標(biāo)準(zhǔn)。在本次城域網(wǎng)工程中，使用IEEE 802. 1Q作為 i nter-VLAN 的 trunk 封包技術(shù)。下面是 2924M-XL 用作 VPN Access Concentrator 的 Samp I e Conf i gurat i on：interface gigabitethernet 1/1switchport mode trunkswitchport trunk encapsulation dot10下面是 PE 路由器

37、 7500 的 trunk 端口的 Samp I e configuration：interface gigab i tether net 8/0/0. 103encapsulation dot10 103ip address 123. 123. 4. 1 255. 255. 255. 252B、 MPLS VPNMPLS采用虛擬路由表的方法來實現(xiàn)一個路由器上多個VPN的路由 表。每一個 VPN 對應(yīng)一個或多個 VRFs (VPN rout i ng/forward i ng instance) o VRF定義連接到PE上的VPN成員(一個site)資格。一個 VRF 包括一個 IP 路由表、

38、一個 CEF(cisco express forwarding)表、 幾個相關(guān)聯(lián)的端口、和一些控制路由的規(guī)則和參數(shù)。用戶site和VPN之間可以不是對應(yīng)的，一個用戶site可以是多個VPN的成員。但是，一個用戶site只可以和一個VRF相關(guān)聯(lián)。一 個用戶s i te的VRF包括所有該s i te所屬VPN到該s i te的路由。數(shù)據(jù)包的路由和交換由VRF路由表和單獨的CEF表所控制,每一個 VPN對應(yīng)一個路由表和一個CEF表，這樣可以防止packet被交換到不 關(guān)聯(lián)的端口上去，同時也防止不關(guān)聯(lián)的端口的packet被交換到該VPN 中。VPN路由信息的傳播由VPN route-target co

39、mmunities來控制， 這主要是通過BGP的extended communities屬性來實現(xiàn)的。VPN路由 信息的傳播通過下述的方法進行工作：當(dāng)一條從CE處學(xué)習(xí)到的VPN路由被inject到BGP中時，- 些VPN route target communities屬性被賦于它；其中主 要包括route-target屬性，該屬性決定這些route將被 export 到哪些 VRFo每個VRF配置有一個import route-target列表,該列表指 明了一個BGP的update中的commun i ty屬性應(yīng)該包含什么 route-target才能被目標(biāo)VRF接受。比如，某一個VRF的

40、 import route-target 列表指明 route-target communities Ax B 和 C,這樣，每一個 MP-iBGP 的 update 中 communities 屬性的route-target中有A或B或C的route將被import 到該VRF中。一個PE路由器可通過靜態(tài)路由、RIP或BGP從CE處得到某一個IP 前綴的路由，該前綴是標(biāo)準(zhǔn)IPv4的前綴。然后，PE通過加上一個8字 節(jié)的RD (route distinguisher)將它轉(zhuǎn)換成為一個VPN-1 Pv4的前綴。 通過這種方法，可以使用戶地址唯一，即使用戶使用的是I ANA規(guī)定的 保留地址。用于生

41、成VPN-1 Pv4前綴的RD (route d i st i ngu i sher)由PE 路由器的VRF配置命令指定。MP BGP 協(xié)議為 VPN 的每個 VPN-IPv4 前綴傳遞 NLRI (Network Layer Reachabi I ity I nformat i on) o BGP實體之間的通信有兩種可能,AS內(nèi) 的 iBGP和AS間的EBGP,PE-PE和PE-RR(route ref lector)之間為 iBGP, PE-CE 之間為 EBGPoBGP 協(xié)議通過 BGP 多協(xié)議擴展(BGP mu 11 i protoco I extens i ons 參 見 RFC 2

42、283, Multiprotocol Extens i ons for BGP - 4)來傳遞 VPNT Pv4 的路由可達性信息，多協(xié)議擴展的BGP采用的方法為限定BGP的peer 只能從其它VPN的同伴處得到BGP路由。IP包經(jīng)過MPLS標(biāo)簽交換到其目標(biāo)地址，其選路的基礎(chǔ)是VRF路由 表和VRF CEF表。PE路由器為每一個從CE路由器學(xué)到的前綴產(chǎn)生一個label,然后 將這個lab這作為一個BGP Communities屬性附加到BGP更新中傳遞 出去。當(dāng)一個源PE路由器從CE路由器處得到一個IP包，它使用從目 標(biāo)PE路由器學(xué)到的label將該IP包發(fā)送出去。當(dāng)目標(biāo)PE路由器得到 這個l

43、abeled IP包后，將label從IP包中去除，作為一個純IP包發(fā) 送到CE路由器。當(dāng)labeled IP包在核心骨干部分傳遞時，其基于IabeI switching 或traffic engineered path進行，一個用戶的IP包在核心穿行時， 攜帶了 2層label ：第一層label指示到正確的目標(biāo)PE路由器；-3!-O2R&S第二層label給目標(biāo)PE路由器指示，到哪一個其連接的site鏈路。下面以黃木崗M-HMG-7513-A為例，給出建立一個名為“educat ion” 的 VPN 的 samp Ie conf i gurat i on：Stepl: create

44、 vrf i nstanceip vrf education! Define VPN Routinginstance “education ”rd 65001:101! Spec i fy the routedistinguisherroute-target both 65001:101! Configure import andexport route-targets for “education”Step 2: Activating PE exchange of VPNv4 NLRI over iMP-BGP:router bgp 65001! Configure BGPsess i on

45、sno synchronizat/onno bgp default ipv4-activate! Deact i vatedefault IPv4 advertisementsneighbor 123. 123. 1. 230 remote-as 65001! Def i ne I BGPsession with another PEneighbor 123. 123. 1.230 description " M-SN-7507-AIoopback”neighbor 123. 123. 1. 230 updatesource loOaddress-family vpnv4 unica

46、st ! Activate PE exchange of VPNv4 NLR1neighbor 123. 123. 1. 230 activateexit-address-fami lyStep 3: Associate interfaces with a VPN:interface Gigab / tE therne t5/0/0 ! Set up GE interface asVRF link to a CE routerip vrf forwarding educationip address 123. 123. 4. 1 255. 255. 255. 252interface G/ga

47、bitEthernet 8/0/0. 101! Setup up 2924 FEport as VRF linkencapsulation dotlq 101ip vrf forwarding educationip address 123. 123. 4. 5 255. 255. 255. 252Step 4:Assuming static routes are used for connectingthe CE side network:ip route vrf educat ion 172. 16. 0. 0 255. 255. 0. 0 123. 123. 4. 2-#-ip rout

48、e vrf education 192. 168. 1. 0 255. 255. 255. 0 123. 123. 4. 6第七章將詳細闡述MPLS VPN PE-CE連接的實現(xiàn)，第八章闡述VPN 用戶如何連接到Interneto3. 4商業(yè)Internet接入模塊1、結(jié)構(gòu)城域網(wǎng)的這一部分主要包括用于向用戶提供商業(yè)Internet接入服 務(wù)的設(shè)備和鏈路。用戶在自己駐地有自已的路由器用于進行Internet 接入。商業(yè)Internet接入模塊部分包括以下設(shè)備：Access Router (Cisco 7500 series routers): M-SN-7507-A M-HMG-7513-A M

49、-DX-7507-A M-NS-7507-A M-XA-7507-A M-LZ-7507-A M-STJ-7507-A M-SK-7507-ACommercial Internet Access Concentrator (Cisco Catalyst 2924M-XL LAN swi tches): M-SN-2924-B M-HMG-2924-B M-DX-2924-B M-NS-2924-B M-XA-2924-B M-LZ-2924-A M-STJ-2924-B M-SK-2924-B注:7500路由器作為一個接入平臺同時起IP-VPN功能和商業(yè) Internet接入功能。商業(yè) I n

50、ternet access concentrator 通過 FE 接口接到 7500 路由 器上，作為上聯(lián)鏈路。每個單獨的2924交換機的100M以太網(wǎng)端口定 義為獨立的VLAN,在7500路由器上的FE端口上，為每個access VLAN 定義一個 sub-interface。在邏輯結(jié)構(gòu)上，商業(yè)Internet接入模塊和IP-VPN服務(wù)模塊非常相似。它們的區(qū)別在于使用的VLAN編號不一樣。VLAN編號規(guī)則見下一章。Acting as Area Border RouterM-DX-7507-AVLANLogically function as point-to-point link;custo

51、mer(route summarization happened here)為了向用戶提供商業(yè)Internet接入功能，需要進行以下幾個步驟 的配置：1 在 Commerc i a I I nternet Access Concentrator 上分配一個10OM以太網(wǎng)端口；2、通過FE-to-Fiber單模光纖轉(zhuǎn)換器將該端口延伸到用戶"而；3、 在 Commerc i a I I nternet Access Concentrator 上為該 端口分配一個VLAN；4、 在7500路由器的FE端口上生成一個sub-interface,將 該sub-i nterface聯(lián)系到這個VL

52、AN上；5、為這一段鏈路分配IP地址；6、在7500路由器上為用戶的network作靜態(tài)路由；2、實現(xiàn)因為access VLAN可以看作是point-to-point連接，我們只需要 為這段鏈路分配一個/30的子網(wǎng)。因為VLAN是mult i-access介質(zhì)，所 以不能作i P unnumbered處理。在用戶駐地，用戶需要提供一個具有100M以太網(wǎng)接口的路由器， 用于接入城域網(wǎng)。用戶的IP地址塊可以從城域網(wǎng)的用戶網(wǎng)絡(luò)地址塊中分配，也可以 從其它地方申請到的IP地址。建議采用前者，因為這樣可以作路由聚 合，減少網(wǎng)絡(luò)開銷。為了使用戶的IP地址可以從Internet和MAN上訪問到，在7500

53、上要做靜態(tài)路由，然后將此靜態(tài)路由redistribute到IGP中。在7500 上要做IGP的address summar i zat i on,這樣防止過多的externa I route進入MAN的骨干。下面是提供商業(yè)Internet接入的7500路由器的Samp I e configuration：interface FastEthernet 6/0/0. 101encapsulation dotlq 101ip address 123. 123. 5. 1 255. 255. 255. 252router ospf 100redistribute static metric 10 me

54、tric-type 1 subnetsnetwork123.123.1.00.0.0. 255 area0network123.123.4.00.0.0. 255 area3network123.123.5.00.0.0. 255 area3summary-address123.123.20. 0 255. 255.255. 0ip route 123. 123. 20. 0 255. 255. 255. 240 123. 123. 5. 23. 5小區(qū)Internet接入模塊1、結(jié)構(gòu)城域網(wǎng)的這一部分主要包括用于用信息化小區(qū)用戶提供高速 Internet接入服務(wù)的設(shè)備和鏈路。小區(qū)駐地設(shè)備假定為一臺路由器或 一臺以太網(wǎng)交換機，用戶在自己家里通過一臺PC和一個以太網(wǎng)卡上Interneto這部分的連接方式以及用戶的論證、計費等功能的詳細討論，見附 件。商業(yè)Internet