L2TP+MPLS-BGP技术在贵港教育网的应用.doc

l2tp+mpls-bgp技术在贵港教育网的应用 l2tp+mpls-bgp技术在贵港教育网的应用廖德星一、l2tp+mpls-bgp改造前网络拓朴 2二、教育网存在问题 3三、网络改造方案设想 4四、l2tp+ mpls-bgp改造优点 5五、具体部署 51.mpls-vpn部署 52、具体业务部署 63、数据规划（参考） 6六、业务发展前景 9  教育、政府、电力、银行、地税等行业是各运营商激烈竞争的焦点。我们在整合现有网络资源的同时，根据用户业务需求，如何建设一个精品大客户宽带ip城域网，为教育、政府、企业、金融等客户提供一个高速，稳定，可靠，安全的网络平台，全面提升贵港电信大客户服务质量，增加贵港电信的市场竞争力？是我们在维护中一个迫切关注与解决的问题。针对这个问题，自2003年起，我们充分利用当前网络覆盖范围广等特点，组成了贵港电信教育网、财政网等大客户vpn网络。从组建到投入运营的过程中，教育网规模经历了由小到大，由接入面由窄到宽的改造过程。在贵港教育网改造过程中，经历了两个过程：nat增强网关改造及l2tp+ mpls-bgp接入改造过程。本文主要对利用l2tp+ mpls-bgp对教育网进行改造部分进行详述。一、l2tp+mpls-bgp改造前网络拓朴 随着城域网的建设，教育网在接入手段、覆盖范围等方面都得到了较好的保证。经过建设，到2004年初，教育网网络发展已初具规模，其拓扑图如下所示：  教育网网络的vpn网关/nat网关由ne40承担，为教育网用户提供较为安全可靠的vpn网关及nat网关业务。对于atm-dslam接入用户：通过isn8850与ne40之间的622/atm链路后，ne40把某条1483b协议的pvc用户数据透传到atm接口，再由ne40通过atm-vlan(两个ge口实现)将用户数据作为vpn site进行处理，纳入vpn中。isn8850设备负责透传pvc的链路，pvc最终终结到ne40上。对ip上行接入用户：用户ce设备通过城域网接入层、汇聚层的设备逐级汇聚，连接到pe设备。用户ce设备到pe设备之间的所有设备都必须支持802.1q vlan，通过vlan trunking连接到城域网汇聚设备上，并最终终结到ne40的二层ip板上。教育网用户间实现互访，同时经过vpn/nat网关-ne40访问互联网。二、教育网存在问题教育网在运营的过程中，存在着如下问题：1、用户无认证管理，存在一定的安全隐患。同时缺乏灵活的计费机制。2、在核心、汇聚层形成广播风暴 目前城域网内vpn的隔离主要依靠vlan透传来解决，vlan是一个纯二层的方案，适用于局域网，由于存在4096的限制，加之安全性能(业务隔离及广播风暴)欠佳。 在网络上容易形成较大的广播风暴，严重浪费汇聚层带宽。3、可扩展性差 现有的vlan（v-switching）方式同城互连方式，在vlan经过的通路上的所有设备都要保存大量vlan穿透信息，一旦城域网设备割接调整，需要对所经过设备的数据大量修改，大大增加数据维护量，给城域网设备的维护带来极大的压力。4、病毒攻击导致教育网运行稳定1）、多用户共享vlan，此时容易引起二层广播风暴，造成用户主机端口流量过大，当广播域内有部分用户感染了dos类病毒时，情况尤其严重。2）、arp病毒攻击严重，如arp病毒或恶意软件利用arp机制进行地址欺骗，网关或服务器ip欺骗：ip盗用与强占等，故障频繁。这类故障发生尤为严重。三、网络改造方案设想 通过对以上业务发展需求的分析，结合实际网络状况，摸索出适应客户需求的网络改造方案。 在接入方式上，采用ppp拨号方式。接入方式灵活，更方便于教育网业务的推广与布署。 经过采用ppp隔离广播的特性，减少或避免用户间异常流量的影响。 在接入控制上，采用l2tp方式，实现与教育网内部服务器的互访及教育网用户间的互访，满足学校间信息共享的需求。 在路由转发上，采用mpls-bgp路由策略，保证教育网私网路由仅在教育网vpn里发布，确保vpn路由与城域网路由的隔离。 经过以上分析，决定采用l2tp+mpls-bgp方式对原来以二层接入为主的教育网进行改造，提高贵港教育网可运营性。四、l2tp+ mpls-bgp改造优点1、ppp拨号接入方式灵活，用户侧均采用ppp帐号进行拨号，易于操作。2、减少网络割接调整对教育网接入的影响，网络割接时无需保留跨越众多设备的二层数据或大城域网同城穿透vlan，用户使用vpdn宽带帐号进行拨号无需手工设置ip地址。3、减少广播域，减少同一广播域内病毒泛滥及攻击，大大减少故障发生率。经统计，改造前每天均有10次/个以上教育网业务故障发生，改造后故障发生率呈直线下降。特点为arp病毒影响大为减少，用户满意度、感知度大幅度提高。4、网络安全性高，既实现与公网隔离，又要保证访问公网的安全性，用户间的互访能保证。五、具体部署 将单设备实现的vpn改造为全网实现vpn业务，将用户终结在接入设备（ma5200g，ne40，isn8850）上从而大大压缩二层网络减少故障的发生率。1.mpls-vpn部署 根据城域网总体设备规划为接入层ma5200g/ne40作为pe设备，对私网vpn进行管理及路由发布接收；核心层、汇聚层各设备作为 p设备，进行基本mpls转发。   网络划分为城域网核心汇接层和接入层两个层次。ne80及接入层ar、bas启用mpls功能，互联接口启用mpls ldp。2、具体业务部署 在开展mpls/vpn业务时，接入层ne40及bas作为pe设备控制私网vpn的发布与互访。 开展mpls/vpn业务时，接入层ne40 bas作为pe设备对下层vlan进行终结，并在子接口绑定对应vpn从而接入到mpls域中；对于专线用户直接作为ce侧设备接入到mpls域中。 对于isn880及ma5200f接入，可以通过isn880及ma5200f做lac侧，ne40作为lns侧建立二层vpn，然后接入到mpls域中。3、数据规划（参考）1.ne80上启用bgp路由反射器功能bgp xxxxxgroup gg_vpn                                                                    peer gg_vpn as-number xxxxx                                                     peer gg_vpn reflect-client                                                      peer gg_vpn connect-interface  loopback0                                        peer （pe设备的loopback地址） group gg_vpn     2.在相应接口(与ne40,ma5200g对接接口)上启用mpls 功能。interface gigabitethernet x/x/xmpls mpls ldpne40：ip vpn-instance gg_jyw_vpn                                                      route-distinguisher 64512:801                                                  vpn-target 100:100 export-extcommunity                                         vpn-target 100:100 import-extcommunitybgp xxxxx                                                                       ipv4-family vpn-instance gg_jyw_vpn                                            network 0.0.0.0                                                                import-route static                                                            import-route direct                                                            undo synchronization                                                           #                                                                               ipv4-family vpnv4                                                                peer x.x.x.1 enable                                                       peer x.x.x.1 next-hop-local                                               peer x.x.x.1 advertise-community                                          peer x.x.x.2 enable                                                       peer x.x.x.2 next-hop-local                                               peer x.x.x.2 advertise-community                                      2.在相应接口(与ne80对接接口)上启用mpls 功能。 interface gigabitethernet x/x/x mpls  mpls ldpma5200g:ip vpn-instance gg_jyw_vpn                                                       route-distinguisher 64512:801                                                   vpn-target 100:100 export-extcommunity                                          vpn-target 100:100 import-extcommunitybgp xxxxx                                                                       undo synchronization                                                            group gg_vpn internal                                                           peer gg _vpn next-hop-local                                                      peer gg _vpn connect-interface loopback0                                         peer x.x.x.1 group gg _vpn                                                 undo peer x.x.x.1 enable                                                  peer x.x.x.2 group gg _vpn                                                 undo peer x.x.x.2 enable                                                  #                                                                               ipv4-family vpn-instance gg_jyw_vpn                                              import-route direct                                                             import-route static                                                             undo synchronization                                                           #                                                                               ipv4-family vpnv4