南京市市政管理处组网方案.doc

南京市市政管理处组网方案第1章 客户需求分析南京市市政工程管理处，将对四个分支办公点进行联网。推荐2种组网方式：l 基于数字电路组网l 基于MPLS VPN 组网第2章 MPLS VPN业务2.1 MPLS VPN业务介绍MPLS VPN是最近几年新兴的业务，为带宽型业务。广泛用于客户内部组网。理论证明MPLS VPN采用路由隔离、地址隔离和核心隐藏等多种手段，使得在没有采用加密技术的前提下，MPLS VPN的安全性等同于现有第二层（ATM、REAME RELAY、DDN）骨干网所提供的安全性。MPLS VPN是一种基于MPLS（Multi protocol Label Switching，多协议标记交换）技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）。MPLS VPN可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。MPLS是由Cisco提交的由IETF MPLS工作组研制的标准协议，它将第三层技术（如IP路由）与第二层技术（如ATM，FR）有机地结合起来，使得在同一个网络上允许各种消息传递，既能提供单点传输，也可以提供多点投递；既能提供尽力而为的无特殊服务质量要求的无连接信息传递服务，也能提供具有很高QOS要求的实时交互服务。MPLS宽带互联网信息传输交换技术已被当前网络界认为是未来网络发展的趋势，是多种网络技术的最终融合点。我们这里所指的MPLS VPN为BGP/MPLS VPN或RFC2547bis VPN（第3层）。 RFC2547bis VPN也称为BGP/MPLS VPN，因为采用BGP在运营商的骨干网上分发VPN路由信息，同时采用MPLS在VPN站点间转发VPN流量。2.2 BGP/MPLS VPN的网络组成图1为BGP/MPLS VPN的基本组成。图1 BGP/MPLS VPN的基本组成1、用户边缘（CE）设备 CE设备提供到运营商网络的用户连接，通过一条数据链路（可为FRAME-RELAY、ATM、以太网接入等等）连接到PE路由器。典型的CE设备为一台IP路由器，与它直接相连的PE路由器建立邻接。一旦邻接建立后，CE路由器将此站点的本地VPN路由信息通告给PE路由器并从PE路由器学习到远端VPN的路由信息。2、运营商边缘（PE）路由器 PE路由器利用动态路由协议（OSPF、EBGP、RIPv2）与CE路由器交换路由信息（也可以采用点对点静态路由）。虽然PE路由器维护VPN路由信息，但仅要求它为与它直接相连的VPN维护VPN路由信息，从而PE路由器无需维护运营商所有的VPN路由信息，这也就增强了BGP/MPLS VPN网络的可扩展性。 每个PE路由器为每个与它直接相连的站点维护了一张VPN路由转发（VRF）表。每个用户连接（如FRAME-RELAY PVC、ATM PVC、VLAN）都映射到一特定的VRF。因此与VRF对应的是PE路由器上的端口而不是站点。PE路由器上的多个端口可对应于一个VRF（一个站点可包含多个端口的缘故）。由于PE路由器能够维护多个转发表(每VPN对应于一个VRF)，从而支持每个VPN的路由信息隔离。 从CE路由器学习到本地VPN路由信息后，PE路由器利用IBGP与其它PE路由器交换VPN路由信息。PE路由器可利用到路由反射器的IBGP会话来替代IBGP会话的网状覆盖。 当利用MPLS在运营商的骨干转发VPN数据流量时，入口处PE路由器的功能与入口处LSR（标签交换路由器）相同,出口处PE路由器的功能与出口处LSR相同。3、运营商（P）路由器 P路由器为运营商网络中不与CE路由器直接相连的路由器（即除PE外的路由器）。当在PE路由器间转发VPN数据流量时，P路由器的功能与MPLS 转接LSR相同。由于在MPLS骨干采用2层标签栈转发流量，P路由器仅需要维护到运营商PE路由器的路由，而不需要维护每个用户站点特定的VPN路由信息（将在后面详细解释）。2.3 MPLS VPN运作模式 以上图为例，描述一下具体实现过程。 4个用户站点的CE路由器连接到2台PE路由器。站点1与站点2属于VPN RED,之间可相互通信。站点3与站点4属于VPN BLUE,之间可相互通信。但VPN RED、VPN BLUE用户之间不可以通信，相互隔离。 不同站点可以使用相同的地址空间，这是因为RFC2547bis支持重叠的地址空间，通过采用路由标识符（RD）和VPN-IPv4地址族,可将非唯一的IP地址转换为全局唯一的地址。具体步骤：1、交换路由信息PE1被配置成将VRF RED关联到与CE1相连的PE1上相应端口。当CE1将前缀为10.1/16的路由通告给PE1,PE1就在自己的VRF RED中添加一条到10.1/16的本地路由。PE1利用IBGP将10.1/16路由通告给PE2。在通告路由前，PE1选择一个MPLS标签（如222），然后将它与路由一起通告，此标签为底层标签。PE2接收到PE1的路由通告，它通过基于BGP扩展共同体属性进行路由过滤，决定是否将到10.1/16的路由添置到PE2中的VRF RED中。2、建立LSP为了采用MPLS在运营商骨干转发VPN流量，必须在学习到此路由的PE路由器和通告此路由的PE路由器间建立LSP（可基于标签分配协议LDP或资源预留协议RSVP）。3、传送数据流 如果站点1上有一个地址为10.1.3.4的主机想与站点2上地址为10.2.3.4的服务器进行通信，过程如下(示意图见图2)： 图2主机10.1.3.4将发往服务器10.2.3.4的所有VPN数据流量转发到它默认的网关。当包到达CE1时,CE1进行最长匹配路由查询，并将Ipv4包转发到PE1。PE1接受到此包后，在VRF RED中进行路由查询，并会得到以下信息：PE1与路由一起通告的MPLS标签值（222）、此路由的BGP下一跳（PE2环回地址）、从PE1到PE2 LSP的出口子地址、从PE1到PE2 LSP的MPLS标签值(11)。采用MPLS进行数据转发，将用户流量从PE1转发到PE2,标签栈包含2个标签。在传送包前，PE1会先将标签222推进标签栈，使它成为底层（内）标签。接着PE1将对应于到PE2的LSP的标签值(11)推入标签栈，从而使此标签成为顶层（外）标签。形成2层标签后，PE1将在出口处的MPLS包转发到PE1到PE2 LSP上的第一个P路由器。P路由器根据最顶层的标签(11)在运营商网络核心进行包交换。PE1到PE2 LSP上倒数第2个路由器会弹出此标签，并将此包转发到PE2。PE2接收到此包后，它就会弹出底层标签，从而此包还原为IPv4包。PE2利用底层标签（222）识别出直接相连的CE,此CE是到10.2/16的下一跳。最后PE2转发此Ipv4包到CE2，然后CE2将此包转发到站点2的服务器10.2.3.4。注意2层标签顶层（外）标签用于标识BGP的下一跳即远端PE路由器的地址, P路由器根据顶层标签进行数据转发；底层标签标识PE路由器上特定的VPN成员，标识到PE路由器上的某一VRF。2.4 MPLS VPN组网的优势1、利用VPN-IPv4地址实现地址空间分离, 对每个VPN用户采用的地址没有任何限制。MPLS VPN通过在网络核心传递VPN路由时加上独一无二的路由标识符RD前缀，使得来自VPN用户非唯一的IPv4路由转变为全局唯一的VPN-IPv4路由，这样使对端PE能够区分开地址空间重叠但来自不同VPN用户的路由，从而不同VPN用户可以采用重叠的地址空间。每个VPN用户具有保持自己寻址方案的灵活性和使用全局或私有地址空间的自由性。2、简化路由管理工作，将大量繁杂、技术含量高的广域网维护工作由运营商承担。每个用户站点的CE路由器不直接与其它CE路由器交换路由信息。用户无需处理站点间路由问题，站点间的路由问题由运营商负责。这使得网络对用户来说是透明的，用户可以像使用数据专线一样使用MPLS VPN。3、具有较高的安全性 由于MPLS VPN采用路由隔离、地址隔离和核心隐藏等多种手段，使得在没有采用加密技术的前提下，MPLS VPN的安全性等同于现有第二层（FR、DDN）骨干网所提供的安全性。4、 高可靠性MPLS VPN具有大带宽、多节点、多路由、充裕的、冗余的网络和传输资源。通过动态路由迂回，在广域网传输中不存在单点故障。5、可扩展性强在增加某个VPN的一个接入点时，只需要配置该接入点连接的PE路由器，仅需将此接入点接入并纳入到原来的VPN 内即可实现与其它点的通信，不存在N平方问题。带宽平滑升级（512K-100M），因为带宽升级是通过运营商接入端口提速实现的。2.5 南京电信MPLS VPN网络架构南京电信的MPLS VPN网络，由全市统计规划、统一建设实施，南京电信的MPLS VPN网络形成包括P、PE在内的层次化MPLS VPN骨干网结构，覆盖13区县，拥有2台P路由器，10台PE路由器、23台接入路由器。下图为南京电信MPLS VPN网络结构图。 虽然互联网和MPLS VPN网络是构建在公共的网络架构上。但南京电信的由P、PE路由器构成的核心骨干网络是MPLS VPN业务专用的。互联网和MPLS VPN网络的流量在骨干层是通过不同的路由器转发的，彼此相对独立，即VPN用户和非VPN用户流量在骨干层是物理隔离的。第3章 数字电路业务1、业务定义数字电路业务是利用数字的传输链路为用户提供点对点的数据传输的业务。可用于计算机联网、数据传送、高速上网等。2、业务定位数字电路适用于任何高速率、信息量大、实时性强的业务传送，数字电路业务在通信领域的应用前景广阔。广泛应用于跨国企业、银行、证券、教育、网站等需要作高速业务传送的行业，适用于任何局域网之间的高速互联、以及会议电视等图像业务的传输，为客户提供高速全透明的数据传输通路。3、业务特点（1）、数字电路网为全透明网，支持数据、话音、图象多种业务，对客户通信协议没有任何要求，客户可自由选择网络设备及协议。（2）、数字电路传输质量高，网络时延小。（3）、速率高，通信速率可根据需要在2Mbit/s，8Mbit/s，34Mbit/s，155Mbit/s，622Mbit/s，2.5Gbit/s，10Gbit/s等速率进行选择。（4）、数字电路技术成熟，网络运行管理简便，数字电路将检错等功能放到智能化程度较高的终端来完成，简化了网络运行管理和监控内容，为客户参与网络管理创造了条件。（5）、数字电路网为同步传输网，不具有交换功能，利用交叉连接技术，具有电路交换功能。（6）、数字电路价格低，经济性能好。第4章 技术解决方案4.1 基于MPLS VPN的解决方案4.1.1 网络拓扑结构南京电信MPLS VPN接入方式有两种，如下图：光纤以太网（FTTX+LAN）接入和ADSL接入。根据南京市交管局对停车场进行数据联网应用情况来看，从经济性及实用性角度考虑，我们建议停车场（数据量小）采用2M光纤接入方式，而南京市交管局由于为中心点，建议采用10M 光纤接入方式。组网拓扑示意图如下：说明：1、 网络结构为全网状的逻辑网络拓扑.2、 南京市市政工程管理处采用10M 光纤接入MPLS VPN网络，今后可根据需要平滑升级到100M。采用三层交换机/路由器作为CE，接入到电信接入层交换机，通过交换机为各接入点划分VLAN，再通过VLAN TRUNK将VLAN透传直至终结在电信PE设备上。3、 各分支办公点都采用2M 光纤接入MPLS VPN网络，今后可根据需要平滑升级到10M/100M。采用三层交换机/路由器作为CE，接入到电信接入层交换机，通过交换机为各接入点划分VLAN，再通过VLAN TRUNK将VLAN透传直至终结在电信PE设备上。4、 需要规划、提供终端地址。5、 电信网络维护人员将南京市市政工程管理处中心点以及各分支办公点设置在一个VPN内，实现互联。6、 MPLS VPN网络具有很强的扩展性。当新增接入点时，仅需将此接入点接入并纳入到原来的VPN 内即可实现与其它点的通信。7、 MPLS VPN可靠性高。MPLS VPN具有大带宽、多节点、多路由、充裕的、冗余的网络和传输资源。通过动态路由迂回，在广域网传输中不存在单点故障。4.2 基于数字电路的解决方案南京电信采用SDH数字电路组建网络。网络拓扑