深圳市ip城域网技术方案

深圳市 IP 城域网 组网技术方案 深圳电信局新技术开发中心 2002 年 7 月 目目 录录 一、设计原则一、设计原则 4 二、设备用途说明和命名规则二、设备用途说明和命名规则 8 2.1 SITE代码8 2.2 设备命名规则8 2.3 设备用途描述9 三、网络架构三、网络架构 13 3.1 核心骨干模块 (BACKBONE)13 3.2 INTERNET(163/169)连接点模块 15 3.3 IP VPN 服务模块.16 3.4 商业 INTERNET接入模块20 3.5 小区 INTERNET接入模块22 3.6 政府上网接入模块24 3.7 主机托管模块25 四、设备互连四、设备互连 27 4.1 远程连接27 4.2 本地连接27 4.3 设备插槽分配策略28 4.4 VLAN 编号和用途说明28 五、五、IP 地址地址 .31 5.1 IP 地址模式 .31 5.2 域内路由协议(IGP).31 5.3 IP 地址分配 .31 5.4 IP 子网规划 .32 六、和六、和 163/169 的连接的连接.34 6.1 缺省路由34 6.2 EBGP 出口路由设计.35 6.3 在多出口上实现流量均衡35 七、七、MPLS VPN PE-CE 的连接的连接37 八、八、VPN 的的 INTERNET 接入接入39 8.1 VPN INTERNET 网关39 8.2 VPDN FOR VPN.41 九、九、NMS 网段网段 .43 十、安全控制十、安全控制 46 十一、十一、QOS49 11.1 可选择的工具49 11.2 实现的模型50 附件一：附件一：IPIP 地址分配计划表地址分配计划表 .54 附件二：小区附件二：小区 INTERNET 接入方案接入方案 .59 1、SSO（SERVICE-SIGN-ON）系统 .59 2REDBACK SMS 宽带接入服务器.63 3两种方式的比较。64 附件三：图表附件三：图表 66 一、一、设计原则设计原则 随着深圳电信的互联网业务的快速发展，可以预测的用户需求在几年内将成几何级数 增长，同时，随着中国加入 WTO 的时间表的逼近，来自各个方面的竞争压力不断增加。但 是，目前深圳电信的互联网基础设施还不够发达，不足以迅速占领市场的制高点，在未来 的竞争中立于不败之地。 因此，深圳电信局决定建设一个先进的、灵活的、可靠的、基于标准的城市骨干通信 平台，使得深圳电信能够基于这个平台，针对市场上 IP 用户的大量宽带多媒体应用的需求， 迅速推出一系列崭新的宽带多媒体业务，从而吸引更多的用户，增加市场竞争力，实现网 络的商用价值，并为今后满足市场新的业务需求而迅速推出新的业务打好基础。 深圳 IP 城域网一期工程的建设目标是将 IP 城域网建成为数据业务的统一骨干平台， 在此平台上为政府、企业、学校提供高速接入，同时提供 VPN 等增值业务。 基于以上的建立目标，深圳 IP 城域网的设计原则为： (1)可靠性原则； (2)可扩充性原则； (3)简单和易于管理的原则； (4)可以集中管理的原则； (5)效率高； (6)和现有网络有较好的集成； (7)安全性； 网络可靠性通过下述的设计思路来达到： -在网络核心层进行 Partial meshed 冗余物理连接； -接入层设备通过 Dual homing 双连接到核心层； -网络采用多出口设计到 Internete(163/169)； -在接入层采用 Route summarization 减少边缘链路波动对核心的影响； -合理采用静态路由，提高可靠性； 网络可扩充性通过下述的设计思路来达到： -网络采用明显的“核心分布”层次结构； -简单而有效的 IP 地址分配策略； -采用可靠和可扩展的 IGP 路由协议； 简单和易于维护性通过下述设计思路来达到： -所有的网络设备被分配专门的用途； -避免复杂的配置； -网络设备命名直观而易记； -统一的 slot、port、VLAN 的分配策略； -每台设备都配有 loopback 地址，易于维护； 集中管理通过下述设计思路来达到： -为中央网络管理系统配有专门的管理网段； -从中央网管网段可以到达所有设备； -VPN PE-CE 连接从 NMS 网段同样可以到达； -为所有互连网段包括 VPN PE-CE 连接都采用合法 IP 地址； 运行的高效性通过下述设计思路来达到： -核心层互连链路采用相同接口类型和相同速率，便于作负载平衡； -城域网内部采用缺省路由配合 IGP metric 作出口选择； -和 Internet 的多连接上采用 BGP MED 特性进行负载分担； 和现有网络的集成通过下述设计思路来达到： -采用开放的、标准的路由协议将城域网分为多个路由区域，现有网络 可以通过单独的域连接上来； -和 Internet(163/169)的 BGP 连接通过保留的 AS 号，这样不会影响 广东省和中国电信 163/169 网络出国的 BGP 路由； 安全性通过下述设计思路来达到： -对所有重要事件进行 log； -限制对设备的 SNMP 和 TELNET； -采用 NTP 协议对全网的设备进行同步； -对不安全的端口上将路由协议进行 Passive，防止不必要的路由泄露； -对网络设备的 User 和 Privilege 状态进行存取控制； 网络总体结构如图所示：网络总体结构如图所示： 黄黄木木岗岗 一 一一 一一 一一 一I IP P一 一一 一一 一一 一一 一一 一一 一一 一一 一一 一 枢枢纽纽 新新安安 蛇蛇口口 龙龙中中 沙沙头头角角 电电信信 南南山山 龙龙脉脉 骨骨干干层层 西乡中学 西乡小学 宝安中学 宝安教育局 福田中学、实验学校 教育学院、电子技校 外语学院 POS 2.5G GE 1000M FE 100M 网网管管 GSR12012 7507/7513 Catalyst6509 Catalyst2924 福田区教 育局等 盐田区教 育局等 信息化小 区 信息化小区、 企业上网 信息化小区 企业上网 信息化小区 龙岗区教 育局等 广电大学 深圳小学 教育局等 信息化小区、 企业上网 深圳中学 深圳大学 南山区教 育局等 信息化小 区 企业上网 主机托管 主机托管 机关专用局 VPN网管 CE router Cisco 3620 二、二、设备用途说明和命名规则设备用途说明和命名规则 2.1 Site 代码代码 SiteSiteSiteSite CodeCode 枢纽 SN 黄木岗 HMG 电信 DX 南山 NS 新安 XA 龙中 LZ 沙头角 STJ 东港中心 DG 新南头 XNT 机关专用局 JG 蛇口 SK 鸿波 HB 龙脉 LM Site 代码是地点名的拼音缩写而成。前 11 个 site 是本期工程所要安装设备的点，后 2 个 site 不涉及设备安装。 2.2 设备命名规则设备命名规则 MAN Site Code Equipment Type Unique Id e.g. A 1st 12012; B-2nd 12012 M-HMG-12012-A 解释: (1)设备类型为 “6509” 代表 Catalyst 6509 switch 的 LAN switch 部分； (2)设备类型为 “6509R#” 代表 Catalyst 6509 switch 的 routing 部分： 6509R1 代表安装在 6509 的 primary supervisory card 上的 MSFC feature card； 6509R2 代表安装在 6509 的 Redundant supervisory card 上的 MSFC feature card。 。 2.3 设备用途描述设备用途描述 SiteSite DeviceDevice ModelModelDeviceDevice NameNameUsageUsage 枢纽楼 GSR12012M-SN-12012-AMPLS core router 7507M-SN-7507-AMPLS PE router 3620M-SN-3620-AVPN Management CE router 2924M-XLM-SN-2924-AVPN GE Fan outaccess concentrator 2924M-XLM-SN-2924-BCommercial Internet access concentratorVPN GE Fan out 6509-MSFCM-SN-6509R1-AInter-VLAN routing 6509-MSFCM-SN-6509R2-AInter-VLAN routing 6509M-SN-6509-ACommunity Internet access concentratorLocal server hosting 黄木岗 GSR12012M-HMG-12012-AMPLS core router 7513M-HMG-7513-AMPLS PE router 2924M-XLM-HMG-2924-AVPN access concentratorGE Fan out 2924M-XLM-HMG-2924-BCommercial Internet access concentratorVPN FE Fan out 6509-MSFCM-HMG-6509R1-AInter-VLAN routing 6509-MSFCM-HMG-6509R2-AInter-VLAN routing 6509M-HMG-6509-ACommunity Internet access concentratorLocal server hosting 电信 GSR12012M-DX-12012-AMPLS core router 7507M-DX-7507-AMPLS PE router 2924M-XLM-DX-2924-AVPN access concentratorVPN GE Fan out 2924M-XLM-DX-2924-BCommercial Internet access concentratorVPN FE Fan out 6509-MSFCM-DX-6509R1-AInter-VLAN routing 6509-MSFCM-DX-6509R2-AInter-VLAN routing 6509M-DX-6509-ACommunity Internet access concentratorLocal server hosting 6509-MSFCM-DX-6509R1-BInter-VLAN routing 6509-MSFCM-DX-6509R2-BInter-VLAN routing 6509M-DX-6509-BReserved for 163 server hosting in DXLocal server hosting 东港中心 6509-MSFCM-DG-6509R1-AInter-VLAN routing 6509-MSFCM-DG-6509R2-AInter-VLAN routing 6509M-DG-6509-ASRemote server hosting 6509-MSFCM-DG-6509R1-BInter-VLAN routing 6509-MSFCM-DG-6509R2-BInter-VLAN routing 6509M-DG-6509-BServer hosting 南山 GSR12012M-NS-12012-AMPLS core router 7507M-NS-7507-AMPLS PE router 2924M-XLM-NS-2924-AVPN access concentrator 2924M-XLM-NS-2924-BCommercial Internet access concentrator 6509-MSFCM-NS-6509R1-AInter-VLAN routing 6509-MSFCM-NS-6509R2-AInter-VLAN routing 6509M-NS-6509-ACommunity Internet access concentrator 新南头 6509-MSFCM-XNT-6509R1-AInter-VLAN routing 6509-MSFCM-XNT-6509R2-AInter-VLAN routing 6509M-XNT-6509-AServer hosting 6509-MSFCM-XNT-6509R1-BInter-VLAN routing 6509-MSFCM-XNT-6509R2-BInter-VLAN routing 6509M-XNT-6509-BServer hosting 新安 GSR12012M-XA-12012-AMPLS core router 7507M-XA-7507-AMPLS PE router 2924M-XLM-XA-2924-AVPN access concentrator 2924M-XLM-XA-2924-BCommercial Internet access concentrator 龙中 GSR12012M-LZ-12012-AMPLS core router 7507M-LZ-7507-AMPLS PE router 2924M-XLM-LZ-2924-AVPN access concentrator 沙头角 GSR12012M-STJ-12012-AMPLS core router 7507M-STJ-7507-AMPLS PE router 2924M-XLM-STJ-2924-AVPN access concentrator 2924M-XLM-STJ-2924-BCommercial Internet access concentrator 蛇口 7507M-SK-7507-AMPLS PE router 2924M-XLM-SK-2924-ACommercial Internet access concentrator 机关专用局 6509-MSFCM-JG-6509R1-AInter-VLAN routing 6509-MSFCM-JG-6509R2-AInter-VLAN routing 6509M-JG-6509-AGovernment agency Internet access concentrator 设备用途说明：设备用途说明： (1)MPLS Core Router 设备用作 MPLS 核心 Label 交换路由器； 不直接连接任何用户； 所有核心层路由器之间、核心路由器和 PE 路由器之间的连接必须 MPLS Enabled； 核心路由器只能运行独一的 IGP 路由协议； (2)MPLS PE Router 设备用作 MPLS provider edge router（PE） ； 所有 VPN 用户端的连接终结在 PE 上； 同时，PE 路由器作为 Internet 分布层接入路由器； PE 在 IGP 上作为 ABR，进行路由聚合； (3)VPN Access Concentrator 设备用于 VPN 扇出，上联链路为 PE 路由器 GE VLAN Trunk； 每一个 FE 交换端口属于一个单独的 VLAN； 每个 FE 交换端口和用户设备通过 FE-to-Fiber 单模光纤转换器连接； 注：该转换连接不属本次工程范畴 (4)Commercial Internet Access Concentrator 设备用于商业用户的高速 Internet 接入； 每一个 FE 交换端口属于一个单独的 VLAN； 每个 FE 交换端口和用户设备通过 FE-to-Fiber 单模光纤转换器连接； 注：该转换连接不属本次工程范畴 (5)Inter-VLAN Routing 设备用作 Inter-VLAN 路由，这些 VLAN 是通过 Switch 建立起来的； 同时，该设备还用于 Internet 接入路由器； 设备在 IGP 中作为 ABR，进行路由聚合； (6)Community Internet Access Concentrator 设备用于小区用户高速 Internet 接入； Supervisory Engine 上的 GE 端口通过多模光纤连接到本地的 MPLS core 路由 器上； VLANA1 作用于 Inter-VLAN 路由器（MFSC）作为管理网段； VLAN 通过 FE-to-Fiber 单模光纤转换器和小区的用户设备相连； 注：该转换连接不属本次工程范畴 (7)Server Hosting 设备（LAN 交换机）用于连接各种主机托管服务器； Supervisory Engine 上的 GE 端口通过单模光纤连接到远程的 MPLS core 路由 器上； VLNA1 作于 Inter-VLAN 路由器（MFSC）作为管理网段； (8)VLAN Management CE Router 设备作为一个 CE 路由器，连接中央网管网段，通过 VPN 连接到所有的用户 VPN 上，以便于中央网管对所有 PECE 链路和 CE 路由器进行管理； 一个 FE 端口连接到本地 PE 上网管专用 FE 端口，另一个 FE 端口连接到 Local Server Hosting 以太网交换机上，通过网管专用网段和网管主机相连接； (9)Government Internet Access Concentrator 设备用作政府机构上网的接入集中器，提供高速 Internet 连接； 6509 上的 supervisory engine 的 GE 口通过单模光纤连接到最近的 MPLS Core Router； VLANA1 作用于 Inter-VLAN 路由器（MFSC）作为管理网段； VLAN 通过 FE-to-Fiber 单模光纤转换器和小区的用户设备相连； 注：该转换连接不属本次工程范畴 三、网络架构三、网络架构 深圳 IP 城域网在网络结构上分成核心层和接入层，在功能上提供 VPN 互连、高速商业 Internet 接入、高速小区 Internet 接入、政府上网接入、主机托管连接等多种服务类别。 因此，为了在一种清晰的结构上进行网络设计，对网络进行功能模块的划分，将深圳 IP 城 域网分为以下几个模块： 核心骨干模块 Internet(163/169)连接点模块 IP VPN 服务模块 商业 Internet 接入模块 小区 Internet 接入模块 政府上网接入模块 主机托管模块 3.1 核心骨干模块核心骨干模块 (backbone) 1 1、结构、结构 的城域网的核心骨干模块由分布在 7 个不同地点的 7 台 Cisco GSR12012 路由器构成， 分别是： Backbone Module IP-VPN Service Module Commercial Internet Access Service Module Community Internet Access Service Module Government Internet Access Service Module Server Hosting Service Module Internet Peering Module Network Management Module M-SN-12012-A枢纽的 GSR12012 M-HMG-12012-A黄木岗的 GSR12012 M-DX-12012-A电信的 GSR12012 M-NS-12012-A南山的 GSR12012 M-XA-12012-A新安的 GSR12012 M-LZ-12012-A龙中的 GSR12012 M-STJ-12012-A沙头角的 GSR12012 这 7 台 GSR12012 通过 POS 接口卡单模光纤以 partial meshed 结构互连；为了确保核 心骨干模块的 MPLS 标签分配和路由表的稳定，这 7 台 GSR12012 及它们之间互相连接的 Link 必须独立地分配在 IGP 的 area 0 域中。从其它模块学到的路由在进入 Core 之前必须 先进行 Aggregate 或 Summarize，以免造成对 Core 的路由影响。 2 2、实现、实现 作为 IP 城域网的核心，要承载包括 IPv4 和 MPLS VPN 两种不同的 traffic，所以，每 台 Core Router 必须是能够支持 Tag Switching。在这种配置下，MPLS VPN 的 traffic 被 Tag Switched，而普通 IPv4 的 traffic 被 routed。 下面是一台 Core router 的 Sample configuration: Tag-switching advertise-tags interface pos 2/0 description “SM01 fiber link to M-XA-12012-A pos 2/0” ip address 123.123.1.1 255.255.255.252 tag switching ip Core Area Service Modules Service Modules Service Modules Aggregated or Summary Routes Only DX LZHMGXA NS SN STJ 为了减少 Tag Switch 的目标 lable，可以采取 access list 的方法来限制标签的分配。 配置如下： Tag-switching advertise-tags for 1 Access-list 1 permit 123.123.1.230 / loopback 0 address of M-SN-7507-A Access-list 1 permit 123.123.1.231 / loopback 0 address of M-HMG-7513-A Access-list 1 permit 123.123.1.232 / loopback 0 address of M-DX-7507-A Access-list 1 permit 123.123.1.233 / loopback 0 address of M-NS-7507-A Access-list 1 permit 123.123.1.234/ loopback 0 address of M-XA-7507-A Access-list 1 permit 123.123.1.235/ loopback 0 address of M-LZ-7507-A Access-list 1 permit 123.123.1.236/ loopback 0 address of M-STJ-7507-A 在上面的配置下，Tag Switching 在限于目标地址是 MultiProtocol BGP neighbor 的 Core Router 的 loopback 地址，大大减轻了 Core Router 在 Lable 分配上的开销。 其它 traffic 进行普通路由。 3.2 Internet(163/169)连接点模块连接点模块 1 1、结构、结构 在本期 IP 城域网工程中，黄木岗和电信的两台 Core Router：M-HMG-12012-A 和 M- DX-12012-A 作为和 163/169 连接的边界路由器。 其中，黄木岗 M-HMG-12012-A 通过一条 OC-48 链路连接到 163；电信 M-DX-12012-A 通 过一条 GE 链路连接到 163。 Core Area 163 Backbone DX LZ HMG XA NS SN STJ 在广东省 163 扩容工程结束后，这种连接将改变。到那时，2 台新加入的 GSR 路由器 M-SN-12012-B 和 M-NS-12012-B 将代替本期工程中的 2 台边界路由器作为新的 163 出口路由 器。边界路由功能随之而转移到新的 GSR 路由器上。 在第六章中将详细讲述和 163 边界路由器的路由策略，包括如何在多出口点之间进行 Inbound traffic 和 Outbound traffic 的 load balance，以及如何保证路由对称性的问题。 2 2、实现、实现 深圳 IP 城域网和 163 网之间运行 BGP 路由协议，下面是 M-HMG-12012-A 的 Sample Configuration： router bgp 65001 no synchronization network 123.123.0.0 mask 255.255.224.0 neighbor 123.123.1.46 remote-as 123 neighbor 123.123.1.46 description “2.5 Gbps links to HB 163 Backbone” neighbor 123.123.1.46 version 4 neighbor 123.123.1.46 filter-list 1 in neighbor 123.123.1.46 filter-list 10 out ip as-path access-list 1 deny * ip as-path access-list 10 permit $ ip route 123.123.0.0 255.255.224.0 null 0 ip route 0.0.0.0 0.0.0.0 123.123.1.46 城域网的边界路由器不从 163 路由器学习任何 Internet 路由，所有 IP 城域网不知道 的路由都通过缺省路由送至 163 网络。 3.3 IP VPN 服务模块服务模块 1 1、结构、结构 IP VPN 服务模块包括向用户提供 IP-VPN 服务的路由器和交换机，路由器主要是 7507 或 7513，交换机主要是 2924。这些设备包括： Provider Edge (PE) Router (Cisco 7500 series routers): M-SN-7507-A M-HMG-7513-A M-DX-7507-A M-NS-7507-A M-XA-7507-A M-LZ-7507-A M-STJ-7507-A VPN Access Concentrator (Cisco Catalyst 2924M-XL LAN switches): M-SN-2924-A M-HMG-2924-A M-DX-2924-A M-NS-2924-A M-XA-2924-A M-LZ-2924-A M-STJ-2924-A 所有 VPN Access Concentrator 2924M-XL 都是 100MbaseT 以太网交换机，通过 GE 链 路连接到 7500 系列路由器上。该 GE 链路被定义为 multi-VLAN Trunk。 2924M-XL 上的每个 100M 端口被映射到一个单独的 VLAN 上，7500 路由器上为每个 VLAN 建立一个 sub-interface。 要向用户提供 IP-VPN 服务，需要进行下列步骤： 在 VPN Access Concentrator 2924M-XL 上分配一个 100M 端口； 通过 FE-to-Fiber 单模光纤转换器连接用户端的设备； 将分配到的 100M 端口映射到 VPN Access Concentrator 2924M-XL 的一个 VLAN 上； 在 PE 7500 的 GE 端口上为该 VLAN 建立一个 sub-interface； 将该 sub-interface 联系到一个 VPN 上； 在用户端，用户提供 CE 路由器通过 100M 端口连接到 PE 上。 M-DX-7507-A Router . VLAN 1xxVLAN 109 Logically function as point-to-point links Router at customer site 2 2、实现、实现 A A、VLANVLAN TrunkTrunk Trunk 是交换机之间或交换机和路由器之间的点到点链路，trunk 在整个网络内承载 multi-VLAN 的流量。目前有两种 trunk 封包技术，一种是 Cisco 专用技术 ISL(Inter Switch Link)，另一种是 IEEE 802.1Q，是国际标准。在本次城域网工程中，使用 IEEE 802.1Q 作为 inter-VLAN 的 trunk 封包技术。 下面是 2924M-XL 用作 VPN Access Concentrator 的 Sample Configuration： interface gigabitethernet 1/1 switchport mode trunk switchport trunk encapsulation dot1Q 下面是 PE 路由器 7500 的 trunk 端口的 Sample configuration： interface gigabitethernet 8/0/0.103 encapsulation dot1Q 103 ip address 123.123.4.1 255.255.255.252 B B、MPLSMPLS VPNVPN MPLS 采用虚拟路由表的方法来实现一个路由器上多个 VPN 的路由表。每一个 VPN 对应 一个或多个 VRFs(VPN routing/forwarding instance)。VRF 定义连接到 PE 上的 VPN 成员 (一个 site)资格。一个 VRF 包括一个 IP 路由表、一个 CEF(cisco express forwarding)表、 几个相关联的端口、和一些控制路由的规则和参数。 用户 site 和 VPN 之间可以不是一一对应的，一个用户 site 可以是多个 VPN 的成员。 但是，一个用户 site 只可以和一个 VRF 相关联。一个用户 site 的 VRF 包括所有该 site 所 属 VPN 到该 site 的路由。 数据包的路由和交换由 VRF 路由表和单独的 CEF 表所控制，每一个 VPN 对应一个路由 表和一个 CEF 表，这样可以防止 packet 被交换到不关联的端口上去，同时也防止不关联的 端口的 packet 被交换到该 VPN 中。 VPN 路由信息的传播由 VPN route-target communities 来控制，这主要是通过 BGP 的 extended communities 属性来实现的。VPN 路由信息的传播通过下述的方法进行工作： 当一条从 CE 处学习到的 VPN 路由被 inject 到 BGP 中时，一些 VPN route target communities 属性被赋于它；其中主要包括 route-target 属性，该属性决定这些 route 将 被 export 到哪些 VRF。 每个 VRF 配置有一个 import route-target 列表，该列表指明了一个 BGP 的 update 中的 community 属性应该包含什么 route-target 才能被目标 VRF 接受。比如，某一个 VRF 的 import route-target 列表指明 route-target communities A、B 和 C，这样，每一个 MP- iBGP 的 update 中 communities 属性的 route-target 中有 A 或 B 或 C 的 route 将被 import 到该 VRF 中。 一个 PE 路由器可通过静态路由、RIP 或 BGP 从 CE 处得到某一个 IP 前缀的路由，该前 缀是标准 IPv4 的前缀。然后，PE 通过加上一个 8 字节的 RD(route distinguisher)将它转 换成为一个 VPN-IPv4 的前缀。通过这种方法，可以使用户地址唯一，即使用户使用的是 IANA 规定的保留地址。用于生成 VPN-IPv4 前缀的 RD(route distinguisher)由 PE 路由器 的 VRF 配置命令指定。 MP BGP 协议为 VPN 的每个 VPN-IPv4 前缀传递 NLRI(Network Layer Reachability Information)。BGP 实体之间的通信有两种可能，AS 内的 iBGP 和 AS 间的 EBGP，PE-PE 和 PE-RR(route reflector)之间为 iBGP，PE-CE 之间为 EBGP。 BGP 协议通过 BGP 多协议扩展(BGP multiprotocol extensions 参见 RFC 2283, Multiprotocol Extensions for BGP-4)来传递 VPN-IPv4 的路由可达性信息，多协议扩展 的 BGP 采用的方法为限定 BGP 的 peer 只能从其它 VPN 的同伴处得到 BGP 路由。 IP 包经过 MPLS 标签交换到其目标地址，其选路的基础是 VRF 路由表和 VRF CEF 表。 PE 路由器为每一个从 CE 路由器学到的前缀产生一个 label，然后将这个 label 作为一 个 BGP Communities 属性附加到 BGP 更新中传递出去。当一个源 PE 路由器从 CE 路由器处 得到一个 IP 包，它使用从目标 PE 路由器学到的 label 将该 IP 包发送出去。当目标 PE 路 由器得到这个 labeled IP 包后，将 label 从 IP 包中去除，作为一个纯 IP 包发送到 CE 路 由器。 当 labeled IP 包在核心骨干部分传递时，其基于 label switching 或 traffic engineered path 进行，一个用户的 IP 包在核心穿行时，携带了 2 层 label： 第一层 label 指示到正确的目标 PE 路由器； 第二层 label 给目标 PE 路由器指示，到哪一个其连接的 site 链路。 下面以黄木岗 M-HMG-7513-A 为例，给出建立一个名为“education”的 VPN 的 sample configuration： Step1: create vrf instance ip vrf education ! Define VPN Routing instance “education” rd 65001:101 ! Specify the route distinguisher route-target both 65001:101 ! Configure import and export route-targets for “education” Step 2: Activating PE exchange of VPNv4 NLRI over iMP-BGP: router bgp 65001 ! Configure BGP sessions no synchronization no bgp default ipv4-activate ! Deactivate default IPv4 advertisements neighbor 123.123.1.230 remote-as 65001 ! Define IBGP session with another PE neighbor 123.123.1.230 description “M-SN-7507-A loopback” neighbor 123.123.1.230 update-source lo0 address-family vpnv4 unicast! Activate PE exchange of VPNv4 NLRI neighbor 123.123.1.230 activate exit-address-family Step 3: Associate interfaces with a VPN: interface GigabitEthernet5/0/0 ! Set up GE interface as VRF link to a CE router ip vrf forwarding education ip address 123.123.4.1 255.255.255.252 interface GigabitEthernet 8/0/0.101 ! Setup up 2924 FE port as VRF link encapsulation dot1q 101 ip vrf forwarding education ip address 123.123.4.5 255.255.255.252 Step 4:Assuming static routes are used for connecting the CE side network: ip route vrf education 172.16.0.0 255.255.0.0 123.123.4.2 ip route vrf education 192.168.1.0 255.255.255.0 123.123.4.6 第七章将详细阐述 MPLS VPN PE-CE 连接的实现，第八章阐述 VPN 用户如何连接到 Internet。 3.4 商业商业 Internet 接入模块接入模块 1 1、结构、结构 城域网的这一部分主要包括用于向用户提供商业 Internet 接入服务的设备和链路。用 户在自己驻地有自已的路由器用于进行 Internet 接入。 商业 Internet 接入模块部分包括以下设备： Access Router (Cisco 7500 series routers): M-SN-7507-A M-HMG-7513-A M-DX-7507-A M-NS-7507-A M-XA-7507-A M-LZ-7507-A M-STJ-7507-A M-SK-7507-A Commercial Internet Access Concentrator (Cisco Catalyst 2924M-XL LAN switches): M-SN-2924-B M-HMG-2924-B M-DX-2924-B M-NS-2924-B M-XA-2924-B M-LZ-2924-A M-STJ-2924-B M-SK-2924-B 注：7500 路由器作为一个接入平台同时起 IP-VPN 功能和商业 Internet 接入功能。 商业 Internet access concentrator 通过 FE 接口接到 7500 路由器上，作为上联链路。 每个单独的 2924 交换机的 100M 以太网端口定义为独立的 VLAN，在 7500 路由器上的 FE 端 口上，为每个 access VLAN 定义一个 sub-interface。 在逻辑结构上，商业 Internet 接入模块和 IP-VPN 服务模块非常相似。它们的区别在 于使用的 VLAN 编号不一样。VLAN 编号规则见下一章。 为了向用户提供商业 Internet 接入功能，需要进行以下几个步骤的配置： 1、在 Commercial Internet Access Concentrator 上分配一个 100M 以太网端 口； 2、通过 FE-to-Fiber 单模光纤转换器将该端口延伸到用户端； 3、在 Commercial Internet Access Concentrator 上为该端口分配一个 VLAN； 4、在 7500 路由器的 FE 端口上生成一个 sub-interface，将该 sub-interface 联系到这个 VLAN 上； 5、为这一段链路分配 IP 地址； 6、在 7500 路由器上为用户的 network 作静态路由； 2 2、实现、实现 M-DX-7507-A Router . VLAN 2xxVLAN 201 Logically function as point-to-point links Router at customer site Acting as Area Border Router (route summarization happened here) 因为 access VLAN 可以看作是 point-to-point 连接，我们只需要为这段链路分配一个 /30 的子网。因为 VLAN 是 multi-access 介质，所以不能作 ip unnumbered 处理。 在用户驻地，用户需要提供一个具有 100M 以太网接口的路由器，用于接入城域网。 用户的 IP 地址块可以从城域网的用户网络地址块中分配，也可以从其它地方申请到的 IP 地址。建议采用前者，因为这样可以作路由聚合，减少网络开销。 为了使用户的 IP 地址可以从 Internet 和 MAN 上访问到，在 7500 上要做静态路由，然 后将此静态路由 redistribute 到 IGP 中。在 7500 上要做 IGP 的 address summarization， 这样防止过多的 external route 进入 MAN 的骨干。 下面是提供商业 Internet 接入的 7500 路由器的 Sample configuration： interface FastEthernet 6/0/0.101 encapsulation dot1q 101 ip address 123.123.5.1 255.255.255.252 router ospf 100 redistribute static metric 10 metric-type 1 subnets network 123.123.1.0 0.0.0.255 area 0 network 123.123.4.0 0.0.0.255 area 3 network 123.123.5.0 0.0.0.255 area 3 summary-address 123.123.20.0 255.255.255.0 ip route 123.123.20.0 255.255.255.240 123.123.5.2 3.5 小区小区 Internet 接入模块接入模块 1 1、结构、结构 城域网的这一部分主要包括用于用信息化小区用户提供高速 Internet 接入服务的设备