上海电信宽带IP网络系统方案建议书.doc

上海电信宽带ip 网络项目 方案建议书 上海电信宽带ip网络系统方案建议书二二年九月第一节 需求分析3第二级 用户需求分析4第三节 网络设计原则6第四节 技术解决方案建议9第五节 基于隧道的ip- vpn 解决方案15第六节基于mpls的vpn方案18第七节 基于mpls的透明以太网支持28第八节 全网路由规划37第九节 接入网地址规划40第十节 与其它网络的互连性考虑43第十一节 网络的计费及管理45第十二节 各接入用户的接入速率限制及计费策略51第十三节 qos业务控制53第十四节 vlan支持57第十五节 接入方案分析58第十六节 网络管理介绍69第十七节 riverstone 产品的原理及特性介绍81第十八 本方案实现的网络功能及方案的优势86第十九节 成 功 案 例介绍91第一节 需求分析建设宽带ip网络的需求主要包括： 建立以ip协议为主的高可靠骨干网，同时考虑为各种应用提供足够的服务质量保证。 大幅度提高网络带宽，包括核心网及传输网及接入网的带宽，显著改善响应时间。网络能快速有效地传送ip数据包。 容错的网络结构，集中的网络管理，特别是对虚拟网及vpn的管理必须保证灵活和安全。网络应支持动态地组建跨部门的项目小组。 网络必须支持各种接入方式。在各层次均能提供安全及灵活的接入方式。 网络系统能够提供必要的qos服务，保证语音、视频等关键业务能够在主干上顺利传送。 为家庭用户实现10/100m高速接入服务；为政府、企业用户等提供vlan及vpn等虚拟专网服务。 必须提供流量工程能力。 网络要求能够方便,快速地开展增殖应用。 网络必须能适应将来的技术发展第二级 用户需求分析 上海电信已经建设了宽带atm网络，但为了降低运行成本，需要将现在atm网络上承载的ip业务转移到ip宽带网上，以业务的类型来区分网络的使用，真正做到网尽其用。atm的优势在于能够提供统一的网络传输平台；ip的优势在于能够提供统一的应用平台。两个平台是互相补充、互相促进的。组建的ip城域网由骨干层、接入网和业务应用平台组成。骨干层的功能定位是：提供上海电信ip业务数据的高速传输、交换，进行流量管理。接入网的作用应能使用户通过各种方式（lan、ddn、fr、pstn、isdn、adsl、lmds等）接入ip城域网，而业务应用平台则除了原有传统的网管、计费等功能之外，更是多媒体业务、vpn业务网关和各种托管业务（服务器托管、应用托管、存储托管等）ip骨干网建设将是：成为电信级ip网络，充分体现网络的可靠性、可用性、可扩展能力、可管理性、多业务支持能力、无缝升级能力等；以上海电信的竞争业务和未来业务为建设核心，满足未来2-3年业务应用的需求；在建设中必须充分考虑对用户流量、带宽的可动态管理能力；充分利用现有资源，一次规划、分期建设，根据市场需求对网络作动态调整；考虑支持未来3g业务的传输需求；远程教育/远程医疗/视频会议；vod/交互式游戏；电子商务；网络资源出租（端口、带宽、波长等）；vpn/vpdn业务宽带ip城域网是面向未来的全业务网络；承载上海电信竞争性数据业务，有别于atm网络提供的传统电路租用业务，体现上海电信大数据概念；快速、经济地向用户提供基于ip的服务；降低企业运行成本，提高企业竞争能力。ip网的核心节点放置在上海电信新建8大传输节点上，同时对上海热线现有的5个骨干节点，可以通过dwdm网络实行连接，以优化网络和节约光纤资源。综合考虑各方面因素，本方案建议宽带ip骨干采用8+ 40结构，即：8个核心节点+ 40个边缘节点，其中边缘节点的数目可根据业务发展的需要适当增加。边缘节点选择：按照每片10个左右的节点数量。第三节 网络设计原则上海电信宽带ip网络是一个要投入商业运行，支持众多用户接入的网络，在具体的网络设计上我们应考虑以下原则：有效性和可靠性 网络的有效性和可靠性即它的可连续运行性是网络建设必须考虑的首要原则，从用户的角度考虑，当网络所需的服务不可用时，不管是何种原因，网络就失去了实际价值。从另一角度看，当某种网络服务的响应时间变的变幻莫测时，网络系统也不可靠了。为此我们在网络设计上考虑以下的技术： 选择的网络设备必需具有良好的可靠性保证，可热插拔的模块，快速的恢复机制等。 冗余及负载均衡的电源系统。据研究，电源故障在实际系统中导致的系统故障比率高达60%之多。 其它关键设备的冗余，如控制模块的冗余。 冗余及负载均衡的网络链路。确保不因为单条线路的故障而导致整个网络系统的失效，而且，确保在某条线路故障时对系统性能的影响也能最小。灵活性和可扩展性 随着计算机应用的日益普及和进步，对网络系统的可伸缩性要求成为网络设计的一个重要考虑。一个设计良好的网络系统应能方便地对其规模或技术进行扩充。用户对网络资源的需求经常随着应用而发生变化，系统应具有一定的灵活性，为满足用户的不同需求而作灵活的系统配置和资源的再分配。上海电信ip网络将会是一个不断增长的网络，包括它的规模，它的应用范围和服务内容将随着计算机应用的不断普及而不断增加，因此在网络设计上必须非常重视网络的扩展能力。网络的扩展包括： 网络规模的扩展，包括网络的地理分布，用户数； 应用内容的扩展，ip主干网络将不仅仅担负数据传输的任务，包括vod等其它视频和语音服务也会不断加入到ip网络中去。这就要求主干网络设备必须具有多种业务支持的能力。 网络容量的扩展，随着规模和应用的扩展网络的传输容量也必须能相应的增加。 在网络设备选择上，模块化的系统在可伸缩性上亦有着固定式系统无法比拟的优越性。整个系统的性能将能随着模块数量的增加而得到相应的增加，因此也就更能适应不同规模网络对设备的要求。模块化的网络设备在多种技术的适应能力上也具有相当大的灵活性。 网络系统具有统一的系统平台，具有平滑升级的能力，使系统能满足各种用户对应用处理不同程度的需求，以及逐步升级的发展规划，以节约投资避免系统性能的闲置和浪费。开放性和先进性 在大型网中，用户的环境千差万别，应用平台和硬件平台各不相同，因此，遵循开放式标准是实现网络互连的最根本的保证。系统具有开放性，意味着遵循一个大多数计算机系统所共同遵循的标准，公共主干网络的特点注定系统应具备有与其它系统和网络互操作和互联的能力。以实现内部各系统之间，以及有关其它领域的交流如：atm宽带主干的互连，sdh/sonet主干的互连,与省主干网络的互连等。与第三方设备的互联，开放性还意味着更多的选择和最佳的性能价格比，有利于在众多满足同一开放性标准的硬件、软件系统中选择最符合要求的产品。可管理性和可维护性在一个网络系统中，网络管理已经越来越受到人们的重视。因为它关系到网络系统的使用效率、维护、监控甚至系统资源的再分配。网络管理对系统的重要性越来越大，这是由于系统对网络环境的依赖性不断增加而引起的，一方面由于网络中继而使业务被迫中止造成的损失会越来越大；另一方面由于越来越多的用户连入网络，对网络管理的要求提高了，以确保网络达到最高的效率。安全性上海电信ip网络是一个公众服务网络，它涉及各种不同的用户，不同的应用，用包括党、政机关，企、事业单位，和扩大的个人用户，网络的安全性尤其重要，确保系统的动作正常、用户信息的保密。安全机制包括: 完善的网络管理，基于政策式的控制。 为大用户建立虚拟专网业务 网络设备支持多级别管理权限，支持radius、tacacs+等认证机制，配置改变的管理记录。 支持vpn标准协议：l2tp、ipsec等功能。第四节 技术解决方案建议网络主干技术选择很明显，网络的设计要求建造一个高速的交换主干，建立一个高速的数据网络，选择何种交换技术作为骨干交换技术是成功建立骨干信息网的关键。 riverston 能提供ip over 千兆网，ip over sdh, ip over dwdm, ip over atm等各种骨干网技术。今后riverstone 还将提供基于802.17的rpr主干技术。ip over atm 优点是能提供好的qos 技术，基于pvc的配置能充分实施流量工程技术。但同时有很多局限性如。1.atm pvc的全闭合导致n2问题。2.atm信元税问题，一条oc-48链路将浪费oc-12的带宽。3.基于pvc的备份模式在故障状态下不是十分可靠。尤其当网络变得更大的时候。4.需要维护两套网络，即atm基础结构逻辑ip覆盖。有两个配置用于设计，运行及检测。使得基于atm核心的网络运行成本变的很高。同时扩展性受到严重影响。ip over 千兆以太网技术，ip over sdh技术的优势: 随着第三层,第四层技术的诞生，高速带宽的可用，长距离传输的可用(千兆网可达70km以上)，sdh距离可随环的延伸而延伸。以太网的固有的简单特性，使得该技术迅速在骨干传输网上成为一种主导技术。同时基于ip的qos/cos技术使得其能满足运行商的需要。随着mpls技术的出现并成为今后的方向，ip over 千兆网/sdh配合mpls技术使的他能提供同atm一样的qos/cos保证。及运营商必须的流量工程技术。并能同原有的atm网很好的融合。 最新的ip over dwdm 技术保留了pos 的高可靠性，同时很大程度地节省了电信的光纤需求量。基于电信的要求及设备的情况。我们满足在主干网络上实现ip over dwdm 方式实现主干8大节点的互连。对于边缘节点，因为千兆网拥有很高的性价比，同时40个结点均按双链路按片接入主干，也保证了冗余。此外riverstone 的rs系列路由器不但在rs38000/rs8600 的dwdm模块上支持基于硬件的mpls功能，同样支持基于mpls的千兆以太网模块。这两种mpls支持的模块均使用了riverstone 自行设计的mpls芯片均具有标签交换及标签映射能力。分层网络结构分层的网络结构是大型网络设计的基本原则。分层的网络结构可以获得良好的网络扩展性，便于对网络的变化进行预计和规划。上海电信ip城域网络服务于整个上海地区，具有地域广、应用复杂、接入方式多样的特点。网络的建设需要着眼于将来，必须能进行方便的扩展，接纳各种不同的用户和应用，因此在上海电信ip城域网的设计上我们采用分层结构。其基本结构如下所示：骨干层接入层应用层汇聚层其中骨干层和汇聚层组成了ip城域网服务平台，网络建设首先必须建立网络平台，同时应该发展应用系统。骨干传输层的主要目标是提供高速、可靠的传输平台,负责连接汇聚层节点的接入，该层的节点设备应具备线速无阻塞的路由转发性能，负责为全网的数据转发提供高速的通道。并能提供流量工程能力，汇聚层主要要求则是多种接入技术支持如高密度ethernet,xdsl,cable，e1/e3等，汇聚各种流量进入骨干传输层。负责连接小区的接入设备，该层的节点设备除了实现线速的路由转发外，还要负责网络中大部分的控制和服务处理，如acl、qos、速率限制和基于策略的路由等等。小区接入层的节点即每个小区的城域网接入点，直接上连二级汇接点，每个小区的接入点设备要支持2000左右用户对城域网的路由访问，同样要具备线速的路由能力。网络设备选型上海电信作为一个运营网络，对所使用的网络设备有很高的要求，它需要网络设备在性能、功能、可靠性、可扩展性、互连灵活性等各方面均具备很高的水平，riverstone的rs系列交换式路由器是针对服务供应商市场提供的交换产品，尤其对城域网服务供应商以及internet data center更是最佳的产品解决方案，产品范围针对城域网主干以及接入的所有需求，在支持l2/3/4高性能线速交换和全面的路由及控制功能的基础上，提供包括千兆以太网、快速以太网、atm、pos、t1/e1/t3/e3、channelized t1/e1/t3/e3以及今后的万兆以太网、wdm、dwdm在内的各种城域网主干和接入的链路技术，能够灵活适应用户的连接需求和今后的升级与扩展需要，同时产品的高可靠性和所提供技术的标准化与开放性，都已在业界得到了广泛的认同。根据本项目的实际需求，我们在网络不同层次选择了相应的产品以满足各层次上的特定需要。骨干层需要在整个骨干网中提供最高的交换性能，尤其是基于l3/4控制与服务功能下的第三层线速路由能力，从而为整个网络提供一个高性能的路由/交换平台；支持全面的标准的路由协议，丰富的接口类型以适应今后可能的互连需要；设备本身的高可靠性以及设备系统软件的成熟性，保证城域网骨干的稳定运行；设备本身的硬件接口容量的可扩展性以及对大路由容量的支持，满足目前整个网络规模和用户规模以及今后一定时期内这两方面的扩展需要。针对上述需要，我们在骨干层采用riverstone最高端的rs38000。rs38000是16槽的模块化l2/3/4交换设备， 340g背板带宽，90 million pps吞吐量（l2/3/4），可提供15个i/o插槽，最多提供120个千兆以太网接口或480个快速以太网接口，25万条第三层路由容量，160万mac地址容量，800万条l3/4数据流容量，4096个vlan，充分满足骨干层目前的路由性能、处理容量与接口密度的需要，以及今后的扩展需求。rs38000支持冗余的电源（ac/dc）、控制模块（cpu）和交换结构，所有接口模块和控制模块都可热拔插，设备本身具有最高的可靠性设计，系统软件经过多年的研发和升级已经非常完善和稳定，从而保证了网络骨干能可靠、稳定地运行。支持包括千兆以太网、快速以太网、atm、pos、t1/e1/t3/e3、channelized t1/e1/t3/e3以及今后的万兆以太网、wdm、dwdm在内的各种城域网主干和接入的链路技术，能够灵活适应主干互连和接入的需要。rs系列产品采用统一的系统软件，都支持同样的全面的控制和服务功能，如二、三层标准协议（802.1d/q/p,rip1/2,ospf,bgp4,igmp/dvmrp/pim等），基于l3/4的acl、qos、策略路由，基于硬件的线速nat、lsnat等（请详见产品介绍资料），并在启动这些功能时不会影响性能，因此rs38000在功能上完全满足骨干设备的运行和互连需要。汇聚层需要全面的控制/服务功能，网络上的大部分控制和服务策略需要在汇聚层实施，如acl、qos、traffic shaping和策略路由等，这样通过汇聚层的数据流将是已经过各种策略处理过的数据流，再进入骨干层后主要进行高速路由，这样能够更好地提高数据转发效率，同时，在实施各种策略处理时，设备的转发性能不受影响；高速的l2/3转发性能（线速），为所汇聚区域的用户提供高速的数据传输；提供丰富的接口类型，适应不同链路类型的上连需要以及接入需要；标准、开放的路由协议（如ospf），完成与骨干层的路由通信；设备本身的高可靠性以及设备系统软件的成熟性，保证网络的稳定运行；设备需有各种接入端口，能汇聚各种接入，包括xdsl, wan/lan,cmts等。设备本身的硬件接口容量的可扩展性以及对大路由容量的支持，满足目前所汇聚区域的网络规模和用户规模以及今后一定时期内这两方面的扩展需要。针对上述需要，我们在汇聚层采用riverstone的rs8600，上连骨干层的节点均采用rs8600。rs8600/8000分别为16/8槽的模块化l2/3/4交换设备，背板带宽分别为32g/16g，数据包吞吐量分别为34 million pps/15 million pps（l2/3/4），可提供15/7个i/o插槽，最多提供30/14个千兆以太网接口或240/112个快速以太网接口，25万条第三层路由容量，80/40万mac地址容量，400/200万条l3/4数据流容量，4096个vlan，充分满足汇聚层目前的路由性能、处理容量与接口密度的需要，以及今后的扩展需求。rs8600/8000支持冗余的电源（ac/dc）、控制模块（cpu），rs8600还支持冗余的交换结构，所有接口模块和控制模块都可热拔插，设备本身具有最高的可靠性设计，系统软件经过多年的研发和升级已经非常完善和稳定，从而保证了网络能可靠、稳定地运行。支持包括千兆以太网、快速以太网、atm、pos、t1/e1/t3/e3、channelized t1/e1/t3/e3以及今后的万兆以太网、wdm、dwdm在内的各种城域网主干和接入的链路技术，能够灵活适应主干上连和向下接入的需要。更重要的是，前面已讲到的，rs系列产品的系统软件提供最全面的控制和服务功能，保证用户在汇聚层充分实施各种所需的策略处理，并且不影响网络性能。网结构示意图如下：第五节 基于隧道的ip- vpn 解决方案 随着分组交换上atm、ip等技术的发展，基于包交换和传送的虚拟网络技术开始大规模投入使用。虚拟专用网就是利用公用网络基础设施为企业各部门提供安全的网络互联服务，虚拟专用网可以利用ip网络、帧中继网络和atm网络来建设，它能够使运行在虚拟专用网之上的网络应用享有和专用网络同样的安全性、可靠性、优先级别和可管理性。由于虚拟专用网可以为用户提供方便、廉价的远程访问，特别是对于使用帧中继、ddn专线或拨号方式接人的用户来说，基于虚拟专用网的花费很小。因此，虚拟专用网(vpn)业务的应用将越来越广泛。vpn技术使企业专用网可以安全地扩展到internet或其他的网络服务上去，促进了安全电子商务的发展，便于实现企业与商业伙伴、供应商和客户的外部网连接。的vpn解决方案使用经济有效的、更加灵活的服务供应商连接，实现了可靠性、高性能和传统wan环境所具有的安全特性。 公司在新的vpn技术上继续保持领先，支持多种技术的vpn解决方案。 一基于加密的vpn技术vpn的实现主要包括两个方面的内容：封装和加密。封装隧道技术基本上有两种实现方式：l2tunneling以及l3tunneling。l2tunneling是将用户数据包第2层(包括第2层)以上的整个信息包括如ppp帧头，ip包头，tcp包头，以及用户数据完全打包到vpn传输网的ip数据中，在ip主干网中传输的隧道技术。主要的l2tunneling协议包括l2tp，l2f，pptp等。l3tunneling则只是将用户数据第3层以上的信息打包到主干网ip包中，主要的l3tunneling协议包括ipsec, mobileip等技术。 通过隧道技术的实施，vpn用户可以得到下面的好处： 用户可以使用私有的ip地址空间而不需要在连网时改变自己的地址规划，同时因为私有地址对公共网上的其他用户而言是不可见的，这也增加了用户网络的安全性。 在隧道中用户可以运行多种网络协议如ipx，appletalk等，用户基于这些网络协议的应用可以继续使用而不需要淘汰。 宽带ip 服务网络和用户网络可以各种运行自己的路由协议而互不干扰。目前，基于加密的vpn性能越来越高，也出现了采用asic芯片来完成加密解密过程的vpn设备，从来是性能得到很大的提高。 rs router 支持以上这种vpn实现模式。针对基于加密的vpn方案， riverstone提供netscreen系列设备，netscreen设备同时提供强大的vpn和防火墙功能，支持1000m、100m、10m的以太网连接，最高端的 netscreen100可支持25000个ipsec tunnel针对运行商模式的vpn方案， riverstone 路由器也能提供基于mpls的vpn。除了这两种vpn方式以外，也可采用专用的运营商vpn设备来完成用户的vpn要求。如springtide network 的5000产品，可支持高达80，000的ip sec 的会话，64，000个l2tp的会话。优点是可扩充性好，管理方便，易于开展增值业务。 在具体的实施中，通常会按需求可能多种方式并用。如大企业可采取基于加密的vpn实现，在企业总部放置支持vpn隧道数较多的vpn设备，在各分支点采用vpn隧道数相对较少的vpn设备。如总部放置netscreen 100 ，各分支点放置netscreen 10。这种方式扩展性高，安全性高。缺点是需添加设备。基于mpls的vpn方案 riverstone 交换式路由器支持所有的mpls特性来实现qos及流量工程能力，更重要是的，riverstone mpls提供现有城域网特性和mpls集成的扩展，使得运营商能够轻易扩展它们现有的服务。虚拟专线（vll）及二层vpn服务当用户和网络不断增长时，运营商提供802.1q vlan 基于的vpn服务面临严重的扩展性问题，首先，vlan的总数被限制在4096个，第二，核心路由器所需处理的mac地址的总数可能变得很大，除非限制最大可用的mac地址的数量。第三，用户的vlan 不易管理除非核心vlan被映射到每个用户vlan，并且vlan标符识在vlan用户之间不冲突。因此标准的802.1qvlan方式已不再是运营商vpn解决方案的好方法。riverstone 通过使用mpls支持采用了虚拟专线及二层vpn功能和第三层ip vpn 来解决运营商的vpn服务。 一 虚拟专线服务riverstone mpls基于的虚拟专线服务解决了这些扩展性问题，使得城域网运营商能通过两条相反方向的mpls lsp 提供一个逻辑的管道。这些lsp可以带上指定的qos特性，qos可以是静态预配置的或者使用mpls 信号动态建立的。一个lsp所走的路由可按流量要求而指定。 服务供应商能够为一个特定用户的流量指定一个策略，比如，如果为具体某一个用户分配了一个物理端口p1，运营商能够定义一个策略指定所有来自物理端口p1的流量流向一个预定义的lsp l1 ，而该lsp l1 位于端口p2。riverstone mpls 支持基于每lsp进行速率限制，保证用户的服务等级水平（sla）。基于每lsp的流量统计使得msp能够监测流量情况以便适时作调整。这个基于mplp lsp的虚拟专线（vll）服务模型使得运营商有很大的扩展性，最终用户的网络信息如，mac地址，vlna-ids, 都保持对运营商网络透明，因为只有mpls标签被检查，此外，基于mpls 标签堆栈特性，边缘得lsp能被组合成少量的lsp隧道。二 mpls l2 vpn 功能通过riverstone 的mpls，当超过两个以上的用户网络必需要透明互连时，运营商能够扩展vll功能以提供透明的以太网服务(tls) ，riverstone mpls 支持虚拟lan的扩展需要以及地址学习能力。下列的图指明riverstone 如何实施层二vpn 功能。图1，用户的vlan被映射到指定的vlan lsp，在pop点之间的隧道lsp将vlan lsp 进行隧道化，核心的lsp必须被限制在一个较小的数量。这些隧道的lsp通常经由rsvp-te进行信令化，因为核心的lsp通常要求有严格的qos保证。而pop点之间的携带用户vlan流量的lsp不要求流量工程因为带宽基本不是问题，所以这些lsp通常由ldp信令建立。当lan lsp被指定给具体某个用户后，就不再需要作额外的供应操作。事实上，单个vlan lsp 能够携带用户的所有流量而不管用户端的vlan拓扑结构。通过vlan到mpls lsp 隧道的映射，事实上可以建立基于第二层的bgp vpn。整个vpn用户可以使用第二层隧道。这样整个vpn的用户可以使用同一个子网的地址，也可以使用除了ip之外的其他协议。 mpls ip 层三vpns (mpls/bgp vpn) 简述按照frost 及sullivan 的预测，到2004年，ip vpn 服务将从1998的200$百万上升到13个亿，vpn的必需的要求是安全，可扩展性及服务等级水平，以前服务供应商通过面向连接的atm及frame relay或使用加密的ip sec提供vpn主要的问题是现基于隧道的技术不具有扩展性的。或配置复杂，riverstone mpls vpn基于rfc 2547-bis 使用bgp扩展实现具有高度扩展能力的vpn。通过使用mpls vpn，运营商通过分配vpn-id 给用户。然后组合vpn-id 和ip地址来进行转送，使得用户的ip地址成为唯一的标识，在mpls vpn 中，vpn信息由bgp协议分布到同样的vpn成员中去，不同的vpn成员之间流量完成分开，流量通过mpls lsp 来进行转送， mpls lsp 能提供atm 或帧中继级别的安全和可靠性。转发表中包含相对应于vpn-ip地址的标签信息。riverstone 提供的mpls vpn 能够利用基于mpls的qos功能为不同用户提供不同层次的ip 服务是，这些简单有效的vpn服务能够满足用户的vpn要求并能提供额外的强大的服务分发机制。mpls vpn 的实现过程mpls的应用导致vpn技术产生了质的变化，他保证了vpn的极高的可扩展性，并为服务供应商和最终用户同时提供了简单配置和可管理性。mpls同时可以提供跨越ip路由网络和atm交换网络的vpn，从而保护用户的现有投资。mpls vpn的基本工作方式是采用三层技术，每一个vpn具有独自的vpn-id，每一个vpn的用户只能与自己vpn网络中的成员进行通信，而也只有vpn的成员才能有权进入该vpn。如下图所示：图：mpls vpn示意图中有两个vpn：a公司以及b公司，a公司的vpn中的用户有权进入黄色的vpn，并且与该vpn的用户进行通信，而b 公司vpn不可见。mpls vpn的工作过程如下：在基于mpls的vpn中，服务提供商为每个vpn分配了一个标识符，称作路由标识符(rd)，这个标识符在服务提供商的网络中是独一无二的。转发表中包括一个独一无二的地址，叫作vpn-ip地址，是由rd和用户的ip地址连接形成。vpn-ip地址在网络中是独一无二的，地址表存储在转发表中。每个vpn保持一个转发表。bgp是一个路由信息分布协议，它利用多协议扩展和bgp community 属性来定义vpn的连接性。在基于mpls的vpn中，bgp只对同一个vpn的成员发布信息，通过流量分隔来提供基本的安全性。因为数据是通过使用lsps来转发的，lsp定义一条特定的路径，不可以被改变，这样对安全性也有保证。这种基于标签的模式可与帧中继和atm一样提供保密性。服务提供商，而不是用户，应用vpn时将一个特定的vpn与接口联系起来，数据包的转发是由用于入口的标签决定的。既然不可能spoof端口，mpl svpn就不易受到spoof的攻击。vpn转发表中包括与vpn-ip地址相对应的标签。通过这个标签将数据传送到相应地点。既然标签代替了ip地址，用户可以保持他们的专用地址结构，无需进行网络地址翻译(nat)来传送数据。根据数据入口，交换机选择一特定的转发表，该表中只包括在vpn中有效的目的地址。为了创建extrnet，服务提供商在vpn之间要明确配置可达性。这种解决方案的优势在于服务提供商可以通过相同的网络结构来支持许多种vpn，并不需要为每一个用户建立单独的网络。而且，这种方案将ip vpn的能力内置于网络本身，所以，服务提供商可以为所有租用者配置一个网络来提供专用的ip网服务，如intranet和extranet，而无需复杂的管理，隧道或vc mesh。qos可为每个vpn提供特有的业务政策，qos服务可与基于mpls的vpn无缝结合，因为两者都是基于标记的技术。基于mpls 的ipvpn网络可以很容易地与基于ip的用户网络结合起来。租用者可与供应商提供的服务无缝结合，不必改变intranet应用，因为这些网络具有应用通晓性、保密性和qos内置于网络中。用户能够使用他们专有的ip地址而无需nat(网络地址翻译)。这同一种网络结构目前可支持许多种vpn，可减轻为每一个新网络实施工程的负担。这种方案易于进行vpn的添加、移动和改变。如果某个公司需要在自己的vpn中增加一站点，服务提供商只需告诉客户端设备的路由器如何与网络连接，并配置lsr来识别来自于cpe的vpn成员。bgp会自动更新vpn成员。与增加一台设备需要大量操作的overlay vpn相比，这种方案要简单、迅速和便宜的多。在一个overlay vpn中增加一台新设备要涉及到更新流量matrix，从新站点建立vc到所有现存的站点，更新每个站点的ospf设计，针对新的拓扑结构图重新配置每台cpe设备。mplsvpn的工作过程如下：用户端的路由器(ce)首先通过静态路由或bgp将用户网络中的路由信息通知提供商路由器(pe)，同时在pe之间采用bgp多协议扩展来传送vpn-ip的信息以及相应的标记(vpn的标记，以下简称为内层标记)，而在pe与p路由器之间则采用传统的igp协议相互学习路由信息，采用ldp或rsvp协议进行路由信息与标记(骨干网络中的标记，以下称为外层标记)的绑定。到此时，ce，pe以及p路由器中基本的网络拓扑以及路由信息已经形成。pe路由器拥有了骨干网络的路由信息以及每一个vpn的路由信息。当属于某一vpn的ce用户数据进入网络时，在ce与pe连接的接口上可以识别出该ce属于那一个vpn，进而到该vpn的路由表中去读取下一跳的地址信息，同时，在前传的数据包中打上vpn标记(内层标记)。这时得到的下一跳地址为与该pe作peer的pe的地址，为了达到这个目的端的pe，此时在起始端pe中需读取骨干网络的路由信息，从而得到下一个p路由器的地址，同时采用ldp或rsvp在用户前传数据包中打上骨干网络中的标记(外层标记)。在骨干网络中，初始pe之后的p均只读取外层标记的信息来决定下一跳，因此骨干网络中只是简单的标记交换。在达到目的端pe之前的最后一个p路由器时，将外层标记去掉，读取内层标记，找到vpn，并送到相关的接口上，进而将数据传送到vpn的目的地址处从以上工作过程可见，mpls vpn丝毫不改变ce和p原有的配置，一旦有新的ce加入到网络时，只需在pe上作简单配置，其余的改动信息由igp/bgp自动通知到ce和p。因此mpls vpn拥有以下优点：三层的智能vpn；vpn连接配置简单，对现有骨干网络没有压力；对现有用户的要求为0，用户不需要作任何改动，用户加入vpn的配置也很简单；网络可扩展能力很强；vpn用户可以延用原有的专用地址，不需要作任何修改，在骨干网络采用vpn-id，可以保持全网的唯一性；易于提供增值业务，如不同的cos。 可靠性通过riverstone 的mpls 解决方案，备份的lsp能够被配置以提供快速的故障恢复。备份的lsp可以是已经被预配置的，也可以是当主lsp失效时运态建立的。另外也可以通过mpls 快速重路由功能实现热容错，快速重路由功能能快速建立一个绕过故障点的lsp隧道。如果一个结点或链路失效，这条绕过故障点的lsp将过使用并通知入口路由器，入口路由器然后决定建立一个新的lsp。当故障点恢复正常时，流量可以按照配置恢复从原路径通过。故障的检测必须要尽可能快地被检测到，riverstone 紧密地集成了物理层以检测本地故障，可以通过定义rsvp hello的定时器来完成sdh 级时的50 毫秒的故障恢复时间。qos/cos在今天的城域网中，带宽已经成为象日用品一样简单，供应商仅仅供应纯带宽已不再足够。它们需要针对不同的用户需求，有区分地提代带宽及服务质量，用户可以选择不同级别的服务，而不仅仅是带宽。riverstone mpls 为应用这种服务提供了必要的工具，使用用户能够选择有qos及可靠保证的服务。riverstone mpls 既能够映射802.1p 或 ip tos/dscp 位到mpls exp/cos位，也能够到也经保留了足够资源的lsp。mpls 头中的exp 位携带分组的优先级，每个标签交换路由器将按照这些标识进行优先级识别，并映射到不同的优先级队列，当一个分组被映射到一个lsp，则仅需在mpls 网络的入口点做一次映射决策。然后分组将按照指定的lsp进行传输。在一个层次服务模型中，lsp能够被指定不同的优先级。如果一个高优先级的lsp失效并且没有可用的资源去建立新的lps，那么低优先级的mpls lsp 资源将被抢用。这保证了有高优先级服务等级合同的用户获得可靠，保证的服务。而普通尽力而为（best-effort） 服务级别的用户则没有保证。当一个mpls lsp 不是最优化时，在后台自动重新优化一个lsp是重要的。例如在资源不可用时，一个高优先级的lsp占用一条中优先级lsp的资源，那么这先高优先级是lsp将不再是最优化的。当资源重新可用时，lsp自动重优化可能让该lsp重新成为一个最优化的lsp。流量工程mpls 通过显式的路由能力给ip网络带来的了强大的流量工程能力。在普通的igp路由中，igp协议不考虑带宽的可用性及链路状态信息。这可能会产生某些链路的过度使用而某些链路则利用率不足。在一个全面范围的ip网络中，服务供应商可以使用mpls 解决这引起问题。为了将城域网的流量拥塞降到最低，riverstone mpls 支持igp 协议的流量工程扩展，ospf-te，isis-te。这些扩展在路由更新口提供了额外的链路状态信息如保留的带宽，可用的带宽及新和力。riverstone也支持在线的cspf算法动态地计算一个显式路由的lsp。第七节 基于mpls的透明以太网支持 传统的城域网服务是基于传统的时分复用技术（tdm），象sdh技术，那时专门为话音服务优化的。当数据业务占的比重越来越高时，新的城域网供应商（msp）现在能够基于以太网和ip技术提供数据服务。这使得以太网接入成为城域网接入中的经济且有效的手段，msp能够提供以太网进行建设城域网,能够提供更高带宽及更少的化费。但是基于以太网的msp面临着严重的问题，高级的商业用户需要高级的服务，如vpn 网及高度的lsa保证，这以前只有atm及帧中继才能提供。虽然有些msp能过vlan技术和ip服务来提供虚拟专线及透明以太网服务，不幸的是，这仅仅是一个临时的解决方案。vlan并非为该目的而设计。ieee802.1q特性允许最大4096个单一的vlan，当需要超过4096个vlan时，msp需要利用新的技术来解决，此外，ip隧道不能提供象atm vc 一样的qos保证，也没有象sdh的自动保护能力。为了解决在城域网上提供以往只有atm才能提供的技术时，一种新的技术必须出现。基于mpls的透明以太网服务（tls）及虚拟专线（vll）能力给出了一个满意的答案，使用基于mpls-tls和vll允许msp为用户提供安全，流量工程及qos服务。tls允许msp基于ip网络为每个用户建立一个vpn隧道，每个vpn隧道能够按用户的带宽及时延要求给出，虚拟专线服务提供与传统时分复用专线一样的安全及质量保证。但却只需很少的费用。以下简述讨论riverstone 公司的mpls-tls 实现，使用基于mpls的tls及vll专线使得msp能够有效快速地开展vpn及专线服务。 几个城域网的新vpn技术除了传统的基于隧道的vpn（l2tp，ipsec）外，目前城域网上出现了多种新的vpn技术。 stackable vlan (svlan) ethernet in ip or gre mpls stackable vlan 可堆叠vlan通过允许在一个以太网帧上携带两个802.1q vlan头而允许进行vlan的堆叠，使得vlan的总数超出了802.1q vlan 4096 个的限制，而达到的4096*4096个总共1600万个。同时，多个vlan现在能够被复用到一个核心vlan（core vlan）内，通过属性注册协议（garp）及garp vlan 注册协议（gvrp）能够被用于通过主干网自动供应vlan。然而，svlan 仅仅是一个部分的解决办法，如果用户需要自已定义vlan id 空间，那么vlan的数量仍然只能是4096个，此外，主干设备所需处理的mac地址数量将会非常的高。ethernet in ip 或gre ethernet in ip 或gre 提供了一个路由主干的延伸及扩展。允许每个用户结点定义的多个私有的vlan能够隧道进一个非常大数的ip隧道。ip 隧道的供应不是自动的，ip隧道的地址对的管理是个主要的问题。此外，为了可靠性保护，设计了新的协议。当故障发生时，ip路由协议最佳情况下能在几秒内恢复，ietf定义的链路管理协议将监测链路状态及提供快速的失效检测。为了扩展性的目的，主干网内的隧道数量通过定义层次ip-vpn来尽可能减少，但是这导致了带宽的利用不足，另外，以太网帧需要封装进两个ip头，pop内的连接将解读内层的ip头，pop间的连接将解读外层的ip头connectivity.mpls 提供了ip隧道的强大和可扩展性。然而同时能提供动态的供应工具，按流量工程的需要，lsp能被用于建立一个有区分的服务，提供一个单一的保护机制，martini internet 草案提明了如何在mpls上封装以太，atm，帧中继，tdm。internet 草案主要指示了点对点的互连，下文riverstone 将说明如何支持多点到多点及广播及组播支持。 注意，以上所提的所有机制能够被组合，例如，svlan能够在pop内使用，而mpls 或ip 隧道能在核心层使用。一个可能的实施方案是在核心层使用mpls，而在边缘层使用vlan可svlan等技术。 mpls 分组流概述用户的以太网帧通过cpe设备既可路由也可交换到供应商的pe设备（或叫mpls ler）。pe 路由器检查这个帧属于哪个vlan，既可通过查看802.1q 头也可通过检查vlan相关的进入端口，对这个帧可用使用过滤，以去提不想要的帧。假设一个cpu路由被使用，pe设备能够检查相对于cpe mac 地址的mac 地址。一旦这个帧被 认为是有效的，分组则被映射到一个用户定义的同等转发类（fec），fec 定义了分组该如何被转发。fec 查表将生成一个输出端口及两个标签。在标签栈顶部的第一个标签是隧道标签，用来在供应商backbone上传送帧，而在标签栈底部的第二个标签是是vc标签被出口交换机用于决定如何处理该帧。然后，为每个标签加上一个mpls头，然后帧在相应的出口处以确格式封装。 图：mpls 标签栈核心的标签交换路由器p（或叫lsr）仅仅查看位于栈顶部的标签来交换标签以通过mpls 域。在一路中，其它的标签以有可能被加入栈中，通常，栈顶的标签在最后第二跳被移去,也就是先于出口ler（pe），出口ler 查看vc标签得知它应该如何处理该帧，并将它转发到相应的出口。在前文，我们假设那隧道和vc lsp 已经被建立，vc lsp 通常可以动态或静态地建立经由ldp协议，ldp 允许尽可能好的lsp被建立，当流量工程被要求时，cr-ldr 和rsvp-te 信号协议代替ldp来建立lsp。因为在一个城域网内，资源通常是足够的，简单的ldp已足以建立lsp，而在核心网内，核心可以不象在城域网那么足够，lsp通常由rsvp-te来建立，一个vc lsp 或多个有qos保证的vc lsp 在每个属于同一个vlan的用户结点间被建立，通过嵌套lsp ，单个隧道lsp能够携带两个位置之间的多个用户。也就是说建立多层次转发模型，限制核心的lsp的数量以保证mpls 能够提供非常大的扩展能力。在图2 ，两个不同的用户被应用了tls 服务，用户a有3个不同的结点，一个在旧金山，一个在芝加哥，另一个在纽约。msp 核干网由三个全网状的lsps （三对）组成，为每个位置的每个用户建立的一个端到端的lsp被隧道进一个核心lsp。对于用户a，在每个pop点建有两个vc lsp ，从旧金山，一个vc lsp 传送流量到芝加哥，另一个lsp传送流量到纽约。相似地，在芝加哥及纽约每用户a分别建有两个vc lsp。这是一个全网状的lsp形成一个单一的广播域。对vlan a ，针对用户a及用户b，在旧金山及纽约仅需一个vc lsp，用户a 及b 在旧金山及纽约分享同样的隧道lsp。应当注意，因为lsp是单向的，实际需要一对lsp去建立一个双向的管理，在协议方面，需要对ldp 及rsvp-te 信号作扩展，以便在第一个lsp建立后能自动建立反向的lsp。 处理lsp对作为虚拟结点的能力能够被加到vlan允许透明桥工作，当一个广播帧或一个目的地未知的帧被发送时，帧被扩展进vlan部分的所有lsps。ler在lsps间执行分组复制,当mac地址被学习后，帧只被发送到相应的lsp。当一个新的mac地址在入口lsp中被学习后，它需要相关到相应的lsp对中的出口lsp中。因为mpls 隧道的多层能力，vc 标签是不可见的，直到帧到达相应的出口ler。出口ler从vc 标签上得到所携带流量的标签类型，象atm，帧中继，或以太网及如何处理该帧，这个帧需要被通过交换阵列传送到相应的出口及vpi/vci 。对于以太网流量，vc 标签能够被用于决定该帧属于的vlan及出去端口或者执行一个扩展的l2表查找。为每个用户所建立的vc lsp 完全与另一个用户的vc lsp 隔离，从而提供与atm 及帧中继电路相同的安全性。帧格式当一个帧通过mpls 域时，几个头被添加，几个字段被更改。下图显示了一个起源于用户结点的以太网帧是如何被传送的。第一跳，cpe设备，在我们的例子里是一个以太网交换机，不改变任何字段，当以太网帧进入进入pe（ler）后，pe 加上了一个两标签的mpls 头，然后pe 加上了另一个以太网