中國電信IP城域網(wǎng)組網(wǎng)技術(shù)方案

目錄

一、設(shè)計(jì)原則......................................................4

二、設(shè)備用途說明和命名規(guī)則........................................9

2.1SITE代碼.....................................................9

2.2設(shè)備命名規(guī)則...............................................10

2.3設(shè)備用途描述...............................................11

三、網(wǎng)絡(luò)架構(gòu).....................................................20

3.1核心骨干模塊(BACKBONE)......................................21

3.2INTERNET(163/169)連接點(diǎn)模塊..................................24

3.3IPVPN服務(wù)模塊.............................................27

3.4商業(yè)INTERNET接入模塊.......................................35

3.5小區(qū)INTERNET接入模塊.......................................39

3.6政府上網(wǎng)接入模塊..........................................43

3.7主機(jī)托管模塊..............................................45

四、設(shè)備互連.....................................................48

4.1遠(yuǎn)程連接...................................................48

4.2本地連接..................................................51

4.3設(shè)備插槽分配策略..........................................52

4.4VLAN編號(hào)和用途說明.........................................54

五、IP地址......................................................59

-1-

5.1IP地址模式.................................................59

5.2域內(nèi)路由協(xié)議（IGP）.............................................60

5.3IP地址分配................................................60

5.4IP子網(wǎng)規(guī)劃.................................................63

六、和163/169的連接.............................................68

6.1缺省路由..................................................68

6.2EBGP出口路由設(shè)計(jì)...........................................70

6.3在多出口上實(shí)現(xiàn)流量均衡.....................................71

七、MPLSVPNPE-CE的連接........................................73

八、VPN的INTERNET接入..........................................76

8.1VPNINTERNET網(wǎng)關(guān)............................................76

8.2VPDNFORVPN...................................................79

九、NMS網(wǎng)段.....................................................83

十、安全控制.....................................................88

H--、QOS..................................................................................................................................93

11.1可選擇的工具...............................................93

11.2實(shí)現(xiàn)的模型................................................96

附件一：IP地址分配計(jì)劃表.......................................103

-2-

附件二：小區(qū)INTERNET接入方案...................................118

1、SSO(SERVICE-SIGN-ON)系統(tǒng)....................................118

2.REDBACKSMS寬帶接入服務(wù)器...................................124

3.兩種方式的比較。...........................................127

附件三：圖表.....................................................129

-3-

>￡!!?￡

一、設(shè)計(jì)原則

隨著深圳電信的互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，可以預(yù)測(cè)的用戶需求在幾

年內(nèi)將成幾何級(jí)數(shù)增長，同時(shí)，隨著中國加入WTO的時(shí)間表的逼近，

來自各個(gè)方面的競(jìng)爭(zhēng)壓力不斷增加。但是，目前深圳電信的互聯(lián)網(wǎng)基

礎(chǔ)設(shè)施還不夠發(fā)達(dá)，不足以迅速占領(lǐng)市場(chǎng)的制高點(diǎn)，在未來的競(jìng)爭(zhēng)中

立于不敗之地。

因此，深圳電信局決定建設(shè)一個(gè)先進(jìn)的'靈活的'可靠的'基于標(biāo)

準(zhǔn)的城市骨干通信平臺(tái)，使得深圳電信能夠基于這個(gè)平臺(tái)，針對(duì)市場(chǎng)

上IP用戶的大量寬帶多媒體應(yīng)用的需求，迅速推出一系列嶄新的寬帶

多媒體業(yè)務(wù)，從而吸引更多的用戶，增加市場(chǎng)競(jìng)爭(zhēng)力，實(shí)現(xiàn)網(wǎng)絡(luò)的商

用價(jià)值，并為今后滿足市場(chǎng)新的業(yè)務(wù)需求而迅速推出新的業(yè)務(wù)打好基

礎(chǔ)。

深圳IP城域網(wǎng)一期工程的建設(shè)目標(biāo)是將IP城域網(wǎng)建成為數(shù)據(jù)業(yè)務(wù)

的統(tǒng)一骨干平臺(tái)，在此平臺(tái)上為政府、企業(yè)'學(xué)校提供高速接入，同

時(shí)提供VPN等增值業(yè)務(wù)。

基于以上的建立目標(biāo)，深圳IP城域網(wǎng)的設(shè)計(jì)原則為：

(1)可靠性原則；

(2)可擴(kuò)充性原則；

(3)簡(jiǎn)單和易于管理的原則；

-4-

>￡!!?￡

(4)可以集中管理的原則；

⑸效率高；

(6)和現(xiàn)有網(wǎng)絡(luò)有較好的集成;

⑺安全性；

網(wǎng)絡(luò)可靠性通過下述的設(shè)計(jì)思路來達(dá)到：

-在網(wǎng)絡(luò)核心層進(jìn)行Partialmeshed冗余物理連接;

-接入層設(shè)備通過DuaIhoming雙連接到核心層；

-網(wǎng)絡(luò)采用多出口設(shè)計(jì)到Internet(163/169)；

-在接入層采用Routesummarization減少邊緣鏈路

波動(dòng)對(duì)核心的影響；

-合理采用靜態(tài)路由，提高可靠性；

網(wǎng)絡(luò)可擴(kuò)充性通過下述的設(shè)計(jì)思路來達(dá)到：

-網(wǎng)絡(luò)采用明顯的“核心一分布”層次結(jié)構(gòu)；

-簡(jiǎn)單而有效的IP地址分配策略；

-采用可靠和可擴(kuò)展的IGP路由協(xié)議；

簡(jiǎn)單和易于維護(hù)性通過下述設(shè)計(jì)思路來達(dá)到：

-所有的網(wǎng)絡(luò)設(shè)備被分配專門的用途；

-避免復(fù)雜的配置；

-5-

>￡!!?￡

網(wǎng)絡(luò)設(shè)備命名直觀而易記；

統(tǒng)一的slot、port、VLAN的分配策略;

每臺(tái)設(shè)備都配有l(wèi)oopback地址，易于維護(hù);

集中管理通過下述設(shè)計(jì)思路來達(dá)到：

-為中央網(wǎng)絡(luò)管理系統(tǒng)配有專門的管理網(wǎng)段；

-從中央網(wǎng)管網(wǎng)段可以到達(dá)所有設(shè)備；

-VPNPE-CE連接從NMS網(wǎng)段同樣可以到達(dá)；

-為所有互連網(wǎng)段包括VPNPE-CE連接都采用合法IP

地址；

運(yùn)行的高效性通過下述設(shè)計(jì)思路來達(dá)到：

-核心層互連鏈路采用相同接口類型和相同速率，便

于作負(fù)載平衡；

-城域網(wǎng)內(nèi)部采用缺省路由配合IGPmetric作出口選

擇；

-和Internet的多連接上采用BGPMED特性進(jìn)行負(fù)載

分擔(dān)；

和現(xiàn)有網(wǎng)絡(luò)的集成通過下述設(shè)計(jì)思路來達(dá)到：

-采用開放的、標(biāo)準(zhǔn)的路由協(xié)議將城域網(wǎng)分為多個(gè)路

-6-

>￡!!?￡

由區(qū)域，現(xiàn)有網(wǎng)絡(luò)可以通過單獨(dú)的域連接上來；

-和Internet(163/169)的BGP連接通過保留的AS

號(hào)，這樣不會(huì)影響廣東省和中國電信163/169網(wǎng)絡(luò)

出國的BGP路由；

安全性通過下述設(shè)計(jì)思路來達(dá)到：

-對(duì)所有重要事件進(jìn)行l(wèi)og；

-限制對(duì)設(shè)備的SNMP和TELNET；

-采用NTP協(xié)議對(duì)全網(wǎng)的設(shè)備進(jìn)行同步；

-對(duì)不安全的端口上將路由協(xié)議進(jìn)行Passive,防止

不必要的路由泄露；

-對(duì)網(wǎng)絡(luò)設(shè)備的User和Privilege狀態(tài)進(jìn)行存取控

制；

網(wǎng)絡(luò)總體結(jié)構(gòu)如圖所示:

-7-

>￡!!*?

圖―深圳IP城域網(wǎng)一期工程網(wǎng)絡(luò)圖

西鄉(xiāng)中學(xué)信息化小區(qū)

西鄉(xiāng)小學(xué)企業(yè)上網(wǎng)

寶安中學(xué)信息化小區(qū)III

______福田中學(xué)、實(shí)驗(yàn)學(xué)校

寶安教育局

機(jī)旁專用局

III!二:二：二:二教育學(xué)院、電子技校

外語學(xué)院

虱二-龍崗區(qū)教

一.二弋育局等

托管

深圳大學(xué)一

La樞紐

沙頭角

南山隘

育局等…E

企業(yè)上網(wǎng)

POS2.5G!!!!VPN網(wǎng)管

GE1000M信息化小CErouter福山區(qū)教"信息化日段:惠由區(qū)教

區(qū)育局等育局等

FE100MCisco3620企業(yè)上網(wǎng)

C

-8-

>￡!!?￡

二、設(shè)備用途說明和命名規(guī)則

2.1Site代碼

SiteSiteCode

樞紐SN

夷木網(wǎng)HMG

電信DX

南山NS

新安XA

龍中LZ

沙頭角STJ

東港中心DG

新南頭XNT

機(jī)關(guān)專用局JG

蛇口SK

鴻波HB

龍脈LM

-9-

>￡!!?￡

Site代碼是地點(diǎn)名的拼音縮寫而成。前11個(gè)site是本期工程所

要安裝設(shè)備的點(diǎn)，后2個(gè)site不涉及設(shè)備安裝。

2.2設(shè)備命名規(guī)則

M-HMG-12012-A

I

UniqueId

e.g.A-ls,12012;B-2nd12012

SiteCode

EquipmentType

MAN

解釋：

(1)設(shè)備類型為"6509"代表Catalyst65型switch

的LANswitch部分；

-io-

>￡!!?￡

⑵設(shè)備類型為“6509R”代表Catalyst6509

switch的routing部分：

6509R1代表安裝在6509的primary

supervisorycard上的MSFCfeaturecard；

6509R2代表安裝在6509的Redundant

supervisorycard上的MSFCfeaturecardo

2.3設(shè)備用途描述

SiteDeviceDeviceNameUsage

Model

樞紐樓GSR12012M-SN-12012-AMPLScorerouter

7507M-SN-7507-AMPLSPErouter

3620M-SN-3620-AVPNManagementCErouter

2924M-XLM-SN-2924-AVPNaccessconcentrator

2924M-XLM-SN-2924-BCommerciaIInternetaccess

concentrator

6509-MSFCM-SN-6509R1-AInter-VLANrouting

6509-MSFCM-SN-6509R2-AInter-VLANrouting

6509M-SN-6509-ACommunityInternetaccess

-ii-

concentrator

|J'r1?

奧木網(wǎng)GSR12012M-HMG-12012-AMPLScorerouter

7513M-HMG-7513-AMPLSPErouter

2924M-XLM-HMG-2924-AVPNaccessconcentrator

2924M-XLM-HMG-2924-BCommerciaIInternetaccess

concentrator

6509-MSFCM-HMG-6509R1-Inter-VLANrouting

A

6509-MSFCM-HMG-6509R2-Inter-VLANrouting

A

6509M-HMG-6509-ACommunityInternetaccess

concentrator

電信GSR12012M-DX-12012-AMPLScorerouter

7507M-DX-7507-AMPLSPErouter

2924M-XLM-DX-2924-AVPNaccessconcentrator

2924M-XLM-DX-2924-BCommerciaIInternetaccess

concentrator

6509-MSFCM-DX-6509R1-AInter-VLANrouting

-12-

6509-MSFCM-DX-6509R2-AInter-VLANrouting

6509M-DX-6509-ACommunityInternetaccess

concentrator

6509-MSFCM-DX-6509R1-BInter-VLANrouting

6509-MSFCM-DX-6509R2-BInter-VLANrouting

6509M-DX-6509-BReservedfor163server

hostinginDX

東港中心6509-MSFCM-DG-6509R1-AInter-VLANrouting

6509-MSFCM-DG-6509R2-AInter-VLANrouting

6509M-DG-6509-AServerhosting

6509-MSFCM-DG-6509R1-BInter-VLANrouting

6509-MSFCM-DG-6509R2-BInter-VLANrouting

6509M-DG-6509-BServerhosting

南山GSR12012M-NS-12012-AMPLScorerouter

7507M-NS-7507-AMPLSPErouter

2924M-XLM-NS-2924-AVPNaccessconcentrator

2924M-XLM-NS-2924-BCommerciaIInternetaccess

concentrator

-13-

>￡!!?￡

6509-MSFCM-NS-6509R1-AInter-VLANrouting

6509-MSFCM-NS-6509R2-AInter-VLANrouting

6509M-NS-6509-ACommunityInternetaccess

concentrator

新南頭6509-MSFCM-XNT-6509R1-Inter-VLANrouting

A

6509-MSFCM-XNT-6509R2-Inter-VLANrouting

A

6509M-XNT-6509-AServerhosting

6509-MSFCM-XNT-6509R1-Inter-VLANrouting

B

6509-MSFCM-XNT-6509R2-Inter-VLANrouting

B

6509M-XNT-6509-BServerhosting

新安GSR12012M-XA-12012-AMPLScorerouter

7507M-XA-7507-AMPLSPErouter

2924M-XLM-XA-2924-AVPNaccessconcentrator

2924M-XLM-XA-2924-BCommerciaIInternetaccess

-14-

concentrator

龍中GSR12012M-LZ-12012-AMPLScorerouter

7507M-LZ-7507-AMPLSPErouter

2924M-XLM-LZ-2924-AVPNaccessconcentrator

沙頭角GSR12012M-STJ-12012-AMPLScorerouter

7507M-STJ-7507-AMPLSPErouter

2924M-XLM-STJ-2924-AVPNaccessconcentrator

2924M-XLM-STJ-2924-BCommerciaIInternetaccess

concentrator

蛇口7507M-SK-7507-AMPLSPErouter

2924M-XLM-SK-2924-ACommerciaIInternetaccess

concentrator

機(jī)關(guān)專用6509-MSFCM-JG-6509R1-AInter-VLANrouting

局

6509-MSFCM-JG-6509R2-AInter-VLANrouting

6509M-JG-6509-AGovernmentagencyInternet

accessconcentrator

-15-

設(shè)備用途說明:

(1)MPLSCoreRouter

?設(shè)備用作MPLS核心LabeI交換路由器；

?不直接連接任何用戶；

?所有核心層路由器之間'核心路由器和PE路由器之間的連

接必須MPLSEnabIed；

?核心路由器只能運(yùn)行獨(dú)一的IGP路由協(xié)議；

(2)MPLSPERouter

?設(shè)備用作MPLSprovideredgerouter(PE)；

?所有VPN用戶端的連接終結(jié)在PE上；

?同時(shí)，PE路由器作為Internet分布層接入路由器；

?PE在IGP上作為ABR,進(jìn)行路由聚合；

(3)VPNAccessConcentrator

?設(shè)備用于VPN扇出，上聯(lián)鏈路為PE路由器GEVLANTrunk；

?每一個(gè)FE交換端口屬于一個(gè)單獨(dú)的VLAN；

?每個(gè)FE交換端口和用戶設(shè)備通過FE-to-Fiber單模光纖轉(zhuǎn)

換器連接；

☆注：該轉(zhuǎn)換連接不屬本次工程范疇

-16-

>*5*8

(4)CommerciaIInternetAccessConcentrator

?設(shè)備用于商業(yè)用戶的高速Internet接入；

?每一個(gè)FE交換端口屬于一個(gè)單獨(dú)的VLAN；

?每個(gè)FE交換端口和用戶設(shè)備通過FE-to-Fiber單模光纖轉(zhuǎn)

換器連接；

☆注：該轉(zhuǎn)換連接不屬本次工程范疇

(5)Inter-VLANRouting

?設(shè)備用作Inter-VLAN路由，這些VLAN是通過Switch建立

起來的；

?同時(shí)，該設(shè)備還用于Internet接入路由器；

?設(shè)備在IGP中作為ABR,進(jìn)行路由聚合；

(6)CommunityInternetAccessConcentrator

?設(shè)備用于小區(qū)用戶高速Internet接入；

?SupervisoryEngine上的GE端口通過多模光纖連接到本

地的MPLScore路由器上；

?VLAN1用于Inter-VLAN路由器(MFSC)作為管理網(wǎng)段；

?VLAN通過FE-to-Fiber單模光纖轉(zhuǎn)換器和小區(qū)的用戶設(shè)備

相連;

-17-

>￡!!?￡

☆注：該轉(zhuǎn)換連接不屬本次工程范疇

(7)ServerHosting

?設(shè)備(LAN交換機(jī))用于連接各種主機(jī)托管服務(wù)器；

?SupervisoryEngine上的GE端口通過單模光纖連接到遠(yuǎn)

程的MPLScore路由器上；

?VLNA1作于Inter-VLAN路由器(MFSC)作為管理網(wǎng)段；

(8)VLANManagementCERouter

?設(shè)備作為一個(gè)CE路由器，連接中央網(wǎng)管網(wǎng)段，通過VPN連

接到所有的用戶VPN上，以便于中央網(wǎng)管對(duì)所有PE-CE鏈

路和CE路由器進(jìn)行管理；

?一個(gè)FE端口連接到本地PE上網(wǎng)管專用FE端口，另一個(gè)

FE端口連接到LocalServerHosting以太網(wǎng)交換機(jī)上，

通過網(wǎng)管專用網(wǎng)段和網(wǎng)管主機(jī)相連接；

(9)GovernmentInternetAccessConcentrator

?設(shè)備用作政府機(jī)構(gòu)上網(wǎng)的接入集中器，提供高速Internet

連接；

?6509上的supervisoryengine的GE口通過單模光纖連接

到最近的MPLSCoreRouter；

-18-

>*5*8

?VLAN1用于Inter-VLAN路由器(MFSC)作為管理網(wǎng)段；

?VLAN通過FE-to-Fiber單模光纖轉(zhuǎn)換器和小區(qū)的用戶設(shè)備

相連；

☆注：該轉(zhuǎn)換連接不屬本次工程范疇

-19-

>￡!!?￡

三、網(wǎng)絡(luò)架構(gòu)

深圳IP城域網(wǎng)在網(wǎng)絡(luò)結(jié)構(gòu)上分成核心層和接入層，在功能上提供

VPN互連'高速商業(yè)Internet接入'高速小區(qū)Internet接入'政府上

網(wǎng)接入'主機(jī)托管連接等多種服務(wù)類別。因此，為了在一種清晰的結(jié)

構(gòu)上進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)，對(duì)網(wǎng)絡(luò)進(jìn)行功能模塊的劃分，將深圳IP城域網(wǎng)分

為以下幾個(gè)模塊：

A核心骨干模塊

>Internet(163/169)連接點(diǎn)模塊

>IPVPN服務(wù)模塊

A商業(yè)Internet接入模塊

A小區(qū)Internet接入模塊

?政府上網(wǎng)接入模塊

A主機(jī)托管模塊

-20-

>￡!!?￡

Internet

Community

PeeringModule

IP-VPNInternetAccess

Service

Commercial

InternetAccess

Service

ServerHosting

Service

3.1核心骨干模塊(backbone)

1＞結(jié)構(gòu)

城域網(wǎng)的核心骨干模塊由分布在7個(gè)不同地點(diǎn)的7臺(tái)Cisco

GSR12012路由器構(gòu)成,分別是:

■M-SN-12012-A樞紐的GSR12012

■M-HMG-12012-A黃木崗的GSR12012

■M-DX-12012-A電信的GSR12012

■M-NS-12012-A南山的GSR12012

■M-XA-12012-A新安的GSR12012

■M-LZ-12012-A龍中的GSR12012

-21-

>￡!!?￡

■M-STJ-12012-A沙頭角的GSR12012

這7臺(tái)GSR12012通過P0S接口卡單模光纖以partialmeshed結(jié)構(gòu)

互連；為了確保核心骨干模塊的MPLS標(biāo)簽分配和路由表的穩(wěn)定，這7

臺(tái)GSR12012及它們之間互相連接的Link必須獨(dú)立地分配在IGP的area

0域中。從其它模塊學(xué)到的路由在進(jìn)入Core之前必須先進(jìn)行Aggregate

或Summarize,以免造成對(duì)Core的路由影響。

Service

Modules

2、實(shí)現(xiàn)

作為IP城域網(wǎng)的核心，要承載包括IPv4和MPLSVPN兩種不同的

traffic,所以，每臺(tái)CoreRouter必須是能夠支持TagSwitching。

在這種配置下，MPLSVPN的traffic被TagSwitched,而普通IPv4

的traffic被routedo

-22-

>￡!!?￡

下面是一臺(tái)Corerouter的SampIeconfiguration:

Tag-switchingadvertise-tags

interfacepos2/0

description"SM01fiber/inktoM-XA-12012-Apos

2/0”

ipaddress123.123.1.1255.255.255.252

tagswitchingip

為了減少TagSwitch的目標(biāo)lable,可以采取accessIist的方

法來限制標(biāo)簽的分配。配置如下:

Tag-switchingadvertise-tagsfor1

Access-//st1permit123.123.1.230//loopback0

addressofMSN-7507-A

Access-!ist1permit123.123.1.231//

loopback0addressofM-HMG-7513-A

Access-/ist1permit123.123.1.232//loopback0

addressofM-DX-7507-A

Access-/ist1permit123.123.1.233//loopback0

-23-

>￡!!?￡

addressofM-NS-7507-A

Access-//st1permit123.123.1.234//loopback0

addressofM-XA-7507-A

Access-1/st1permit123.123.1.235//loopback0

addressofM-LZ-7507-A

Access-//st1permit123.123.1.236//loopback0

addressofMSTJ-7507-A

在上面的配置下，TagSwitching在限于目標(biāo)地址是MultiProtocoI

BGPneighbor的CoreRouter的Ioopback地址，大大減輕了Core

Router在LabIe分配上的開銷。

其它traffic進(jìn)行普通路由。

3.2Internet(163/169)連接點(diǎn)模塊

1、結(jié)構(gòu)

在本期IP城域網(wǎng)工程中，黃木崗和電信的兩臺(tái)CoreRouter：

M-HMG-12012-A和M-DX72012-A作為和163/169連接的邊界路由器。

其中，黃木崗M-HMGT2012-A通過一條0C-48鏈路連接到163；電

信M-DX-12012-A通過一條GE鏈路連接到163。

>￡!!?￡

在廣東省163擴(kuò)容工程結(jié)束后，這種連接將改變。至IJ那時(shí)，2臺(tái)新

加入的GSR路由器M-SN-12012-B和M-NS-12012-B將代替本期工程中

的2臺(tái)邊界路由器作為新的163出口路由器。邊界路由功能隨之而轉(zhuǎn)

移到新的GSR路由器上。

在第六章中將詳細(xì)講述和163邊界路由器的路由策略，包括如何在

多出口點(diǎn)之間進(jìn)行Inboundtraffic和Outboundtraffic的Ioad

balance,以及如何保證路由對(duì)稱性的問題。

2、實(shí)現(xiàn)

-25-

>￡!!?￡

深圳IP城域網(wǎng)和163網(wǎng)之間運(yùn)行BGP路由協(xié)議，下面是

M-HMG-12012-A的SampIeConfiguration：

routerbgp65001

nosynchronization

network123.123.0.0mask255.255.224.0

neighbor123.123.1.46remote-as123

neighbor123.123.1.46description"2.5Gbps

/inkstoHB163Backbone

neighbor123.123.1.46version4

neighbor123.123.1.46fiIter-1/st1in

neighbor123.123.1.46filter-list10out

ipas-pathaccess-//st1deny八*

ipas-pathaccess-//st10permit八$

iproute123.123.0.0255.255.224.0null0

iproute0.0.0.00.0.0.0123.123.1.46

城域網(wǎng)的邊界路由器不從163路由器學(xué)習(xí)任何Internet路由，所

有IP城域網(wǎng)不知道的路由都通過缺省路由送至163網(wǎng)絡(luò)。

-26-

>￡!!?￡

3.3IPVPN服務(wù)模塊

1、結(jié)構(gòu)

IPVPN服務(wù)模塊包括向用戶提供IP-VPN服務(wù)的路由器和交換機(jī)，

路由器主要是7507或7513,交換機(jī)主要是2924。這些設(shè)備包括：

ProviderEdge(PE)Router(Cisco7500seriesrouters):

?M-SN-7507-A

?M-HMG-7513-A

?M-DX-7507-A

?M-NS-7507-A

?M-XA-7507-A

?M-LZ-7507-A

?M-STJ-7507-A

VPNAccessConcentrator(CiscoCatalyst2924M-XLLAN

switches):

?M-SN-2924-A

?M-HMG-2924-A

?M-DX-2924-A

?M-NS-2924-A

?M-XA-2924-A

-27-

>￡!!?￡

?M-LZ-2924-A

?M-STJ-2924-A

所有VPNAccessConcentrator2924M-XL都是10OMbaseT以太網(wǎng)

交換機(jī)，通過GE鏈路連接到7500系列路由器上。該GE鏈路被定義為

multi-VLANTrunko

2924M-XL上的每個(gè)100M端口被映射到一個(gè)單獨(dú)的VLAN上，7500

路由器上為每個(gè)VLAN建立—sub-iinterface。

M-DX-7507-A

-28-

>￡!!?￡

要向用戶提供IP-VPN服務(wù)，需要進(jìn)行下列步驟：

?在VPNAccessConcentrator2924M-XL上分配一個(gè)100M端

口；

?通過FE-to-Fiber單模光纖轉(zhuǎn)換器連接用戶端的設(shè)備；

?將分配到的100M端口映射到VPNAccessConcentrator

2924M-XL的一個(gè)VLAN上；

?在PE7500的GE端口上為該VLAN建立一個(gè)sub-interface；

?將該sub-interface聯(lián)系到一個(gè)VPN上；

?在用戶端，用戶提供CE路由器通過100M端口連接到PE上。

2、實(shí)現(xiàn)

A、VLANTrunk

Trunk是交換機(jī)之間或交換機(jī)和路由器之間的點(diǎn)到點(diǎn)鏈路，trunk

在整個(gè)網(wǎng)絡(luò)內(nèi)承載multi-VLAN的流量。目前有兩種trunk封包技術(shù)，

一種是Cisco專用技術(shù)ISL(lnterSwitchLink),另一種是IEEE

802.1Q,是國際標(biāo)準(zhǔn)。在本次城域網(wǎng)工程中，使用IEEE802.1Q作為

inter-VLAN的trunk封包技術(shù)。

下面是2924M-XL用作VPNAccessConcentrator的SampIe

Configuration：

interfacegigabitethernet1/1

-29-

>*5*8

switchportmodetrunk

switchporttrunkencapsulationdot1Q

下面是PE路由器7500的trunk端口的SampIeconfiguration：

interfacegigab/tethernet8/0/0.103

encapsulationdot10103

ipaddress123.123.4.1255.255.255.252

B、MPLSVPN

MPLS采用虛擬路由表的方法來實(shí)現(xiàn)一個(gè)路由器上多個(gè)VPN的路由

表。每一個(gè)VPN對(duì)應(yīng)--或多個(gè)VRFs(VPNrouting/forwarding

instance)。VRF定義連接到PE上的VPN成員(一個(gè)site)資格。一個(gè)

VRF包括一個(gè)IP路由表、一個(gè)CEF(ciscoexpressforwarding)表'

幾個(gè)相關(guān)聯(lián)的端口、和一些控制路由的規(guī)則和參數(shù)。

用戶site和VPN之間可以不是對(duì)應(yīng)的,一^用戶site可以是

多個(gè)VPN的成員。但是，一個(gè)用戶site只可以和一個(gè)VRF相關(guān)聯(lián)。一

個(gè)用戶site的VRF包括所有該site所屬VPN到該site的路由。

數(shù)據(jù)包的路由和交換由VRF路由表和單獨(dú)的CEF表所控制，每一個(gè)

VPN對(duì)應(yīng)一個(gè)路由表和一/CEF表，這樣可以防止packet被交換到不

關(guān)聯(lián)的端口上去，同時(shí)也防止不關(guān)聯(lián)的端口的packet被交換到該VPN

中。

-30-

>￡!!?￡

VPN路由信息的傳播由VPNroute-targetcommunities來控制，

這主要是通過BGP的extendedcommunities屬性來實(shí)現(xiàn)的。VPN路由

信息的傳播通過下述的方法進(jìn)行工作：

?當(dāng)一條從CE處學(xué)習(xí)到的VPN路由被inject到BGP中時(shí)，一

些VPNroutetargetcommunities屬性被賦于它；其中主

要包括route-target屬性，該屬性決定這些route將被

export到哪些VRF0

?每個(gè)VRF配置有一個(gè)importroute-target列表，該列表指

明了一個(gè)BGP的update中的community屬性應(yīng)該包含什么

route-target才能被目標(biāo)VRF接受。比如，某一個(gè)VRF的

importroute-target歹lj表指明route-targetcommunities

A、B和C,這樣，每一個(gè)MP-iBGP的update中communities

屬性的route-target中有A或B或C的route將被import

到該VRF中。

一個(gè)PE路由器可通過靜態(tài)路由、RIP或BGP從CE處得到某一個(gè)|P

前綴的路由，該前綴是標(biāo)準(zhǔn)IPv4的前綴。然后，PE通過加上一個(gè)8字

節(jié)的RD(routedistinguisher)將它轉(zhuǎn)換成為一個(gè)VPN-IPv4的前綴。

通過這種方法，可以使用戶地址唯一，即使用戶使用的是IANA規(guī)定的

保留地址。用于生成VPNTPv4前綴的RD(routedistinguisher)由PE

路由器的VRF配置命令指定。

-31-

>*5*8

MPBGP協(xié)議為VPN的每個(gè)VPN-IPv4前綴傳遞NLRI(NetworkLayer

ReachabiIityInformation)0BGP實(shí)體之間的通信有兩種可能，AS內(nèi)

的iBGP和AS間的EBGP,PE-PE和PE-RR(routereflector)之間為iBGP,

PE-CE之間為EBGPo

BGP協(xié)議通過BGP多協(xié)議擴(kuò)展(BGPmultiprotocolextensions參

見RFC2283,MultiprotocolExtensionsforBGP-4)來傳遞VPN-1Pv4

的路由可達(dá)性信息，多協(xié)議擴(kuò)展的BGP采用的方法為限定BGP的peer

只能從其它VPN的同伴處得到BGP路由。

IP包經(jīng)過MPLS標(biāo)簽交換到其目標(biāo)地址，其選路的基礎(chǔ)是VRF路由

表和VRFCEF表。

PE路由器為每一個(gè)從CE路由器學(xué)到的前綴產(chǎn)生一個(gè)label,然后

將這個(gè)label作為一個(gè)BGPCommunities屬性附加到BGP更新中傳遞

出去。當(dāng)一個(gè)源PE路由器從CE路由器處得到一個(gè)IP包，它使用從目

標(biāo)PE路由器學(xué)到的label將該IP包發(fā)送出去。當(dāng)目標(biāo)PE路由器得到

這個(gè)labeledIP包后，將label從IP包中去除，作為一個(gè)純IP包發(fā)

送到CE路由器。

當(dāng)IabeIedIP包在核心骨干部分傳遞時(shí)，其基于IabeIswitching

或trafficengineeredpath進(jìn)行，一個(gè)用戶的IP包在核心穿行時(shí)，

攜帶了2層label：

?第一層label指示到正確的目標(biāo)PE路由器；

-32-

>*5*8

?第二層label給目標(biāo)PE路由器指示，到哪一個(gè)其連接的

site鏈路。

下面以黃木崗M-HMG-7513-A為例，給出建立一個(gè)名為“education”

的VPN的sampIeconfiguration：

Stepl:createvrfinstance

ipvrfeducation!DefineVPNRouting

instance“education"

rd65001:101!Specifytheroute

distinguisher

route-targetboth65001:101!Configureimportand

exportroute-targetsfor"education"

Step2:ActivatingPEexchangeofVPNv4NLRIoveriMP-BGP:

routerbgp65001!ConfigureBGP

sessions

nosynchronization

nobgpdefaultipv4-activate!Deactivate

defau11IPv4advertisements

neighbor123.123.1.230remote-as65001!DefineIBGP

sessionwithanotherPE

-33-

>*5*8

neighbor30descriptionuM-SN-7507-A

Ioopback"

neighbor123.123.1.230update-sourceloO

address-familyvpnv4unicast!ActivatePEexchange

ofVPNv4NLRI

neighbor123.123.1.230activate

exit-ad