MPLSVPN产品技术手册.doc

文档编号：CNCNMC-WL-VPN-VRIPVPNMPLSVPN产品技术手册Version1.2.12004-11中国网通集团网管中心MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传236文件修订记录版本版本日期日期作者作者内容描述内容描述1.02003914王剑斌创建文件1.120049武文彬修改文件1.2200410王剑斌根据融合进度修改文件内容：（1）统一公司称谓（2）修改用户接入线路资源状况，取消附件21.2.22005-8吕东芳更新目前的asbr互联状况MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传336目录目录一、序言一、序言.41.1目的.41.2适用范围.41.3使用对象.41.4文件组织.41.5文件审定.5二、产品说明二、产品说明.62.1产品定义.62.2产品功能.62.3产品特点.7三、虚拟专用网络三、虚拟专用网络.93.1组网技术.93.2网络现状.11四、接入规范和资源需求四、接入规范和资源需求.134.1用户接入要求.134.1.1CEPE设备.134.1.2本地接入电路.144.1.3本地接入的备份.154.2资源需求.154.2.1IP地址.154.2.2PECE间路由.164.2.3站点标识.164.2.4RDRT的分配.17五、服务质量五、服务质量.185.1服务指标.185.2服务等级和实现技术.19MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传436六、产品应用模式六、产品应用模式.236.1PECE间采用动态路由.236.2组建Hub-Spoke结构的VPN.236.3VPN用户访问Internet.24七、特别专题七、特别专题.257.1MPLSVPN网络的互连互通.257.1.1互连互通的实现.257.1.2互连互通的实施规范和接口原则.28附录附录.33附件1名词解释.33附件2MPLSVPNRDRT资源的定义和使用说明.34附件3MPLSVPN业务性能指标.34附件4MPLSVPN典型应用模式.34MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传536一、序言1.1目的本手册是公司内部介绍多协议标记交换虚拟专用网产品（以下简称MPLSVPN）的专用技术手册。本手册从产品技术、网络能力、产品功能、用户管理多个方面对MPLSVPN产品涉及的问题进行说明和解释，对MPLSVPN产品设计、工程实施、网络维护和监控具有参考和实践意义，作为公司内销售、开发和实施MPLSVPN产品的工作人员的参考手册。1.2适用范围本手册针对的是三层MPLSVPN产品的各项技术内容，超出技术方面的内容请参考公司其它文件。使用其它或相关技术的VPN产品（如MPLSTE、IpsecVPN、VPDN等）将另行说明。1.3使用对象本手册作为公司的内部文档，限于开发、包装和销售MPLSVPN产品和维护MPLSVPN网络的技术人员阅读使用，未经网络管理中心许可，不得提供给除以上人员外的公司员工和客户或拷贝复制本文件。1.4文件组织全文由手册主体和相关附件组成，手册主体是对产品技术内容的总体说明，其中内容比较复杂的部分将通过附件专门澄清，所有附件作为手册的一部分共同颁布执行。手册主体按照产品说明、技术要点和特别专题三个层次组织：其中产品说明介绍了该产品的定位、功能和特性，属于一般产品常识；技术要点则从几个大方面对产品涉及到的技术内容做详细解释和规定；特别专题针对产品的特殊性进行专题说明。本文件中所有出现的英文名称、专业术语请参考附件1名词解释。本文件中有下划线和红色字体标识的内容请特别注意。MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传6361.5文件审定本手册由网络管理中心技术和产品支持部编写制定，每年6月30日前将对上个版本进行全面审核、修订和发布，在有效期内对于涉及该产品的重要技术内容修改采用补充通知或附件方式发布，在下次修订期内增加到手册中。本手册第一次颁布实施为第一版，以后的版本编号参考修订说明。MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传736二、产品说明2.1产品定义MPLSVPN产品是在公共IP网络平台上，采用多协议标记交换（MultiProtocolLabelSwitch，以下简称MPLS）技术通过MP-BGP协议传播用户VPN路由，为用户提供广域网的路由设备连接，建立用户自有网络架构，能够实现数据、传统交换、视频等多种业务在虚拟专用网络内传输，不同用户的网络之间相互隔离。2.2产品功能组建企业内部网（组建企业内部网（Intranet）MPLSVPN将为那些在国内或国外有多家分支机构的用户提供搭建内部信息网络平台的通道，用户各个分支的设备只要直接接入或通过其它方式接入CNCnet就可以享受虚拟数据专线的高品质网络服务。图图2-1组建企业外部网（组建企业外部网（Extranet）满足两个企业Intranet间需要信息交换的需求，MPLSVPN可以按照用户需要的连接方式、地点将两个网络连接在一起，而且帮助客户控制路由的传播和访问范围，提高网络连接的安全性。MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传836图图2-2服务质量（服务质量（QoS）通过MPLS包头中EXP字段，MPLSVPN能够满足不同用户和不同应用对网络的质量要求，提供可控的服务质量保证，将用户或应用划分成不同的业务等级，每个等级将有相应服务指标衡量，确保用户能享受到与产品价格相当的服务。备份接入备份接入为提高用户本地电路可用性，用户可以使用一台或多台设备连接到两台或两台以上的网络接入设备，实现电路和用户设备的备份。该功能根据用户所在城市的网络状况和用户购买的服务向用户提供（该业务需要根据网络节点内设备情况提供）。集成的集成的Internet接入接入MPLSVPN用户可以同时购买Internet访问服务满足用户对外的信息服务。但要根据用户地址规划和接入方式确定实现方案。多媒体数据业务多媒体数据业务用户接入MPLSVPN后，可以在一条用户电路上传输语音和视频等媒体流，如果用户购买了服务等级产品，在设备配置上采取措施保证实时业务的服务质量。管理型管理型CE运行商向VPN用户提供CE设备并使用公共的网管平台管理VPN用户的CE设备（该业务将择时推出）。2.3产品特点高速稳定的带宽和传输速率高速稳定的带宽和传输速率MPLSVPN产品的业务平台是以CNCnet为基础，CNCnet是采用IPoverDWDM的宽带网络，骨干网内部带宽资源丰富，能为用户节点提供高速逻辑通道。MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传936商业级的安全性商业级的安全性采用先进的MPLS技术建立的逻辑数据通道实现透明报文传输，与ATM、FR提供的数据专线具有同等的安全级别。由于MPLS对用户透明，用户仍可以采用防火墙或数据加密等保护措施，进一步提高安全性。高度的可靠性高度的可靠性CNCnet网络侧（除用户接入段和用户自有设备）的设备、线路作到冗余配置，排除单点故障，依靠MPLS和路由迂回调整用户节点间流量，具备较高的可靠性。灵活的可扩展性灵活的可扩展性基于MPLS技术VPN增加节点只需要解决用户设备接入网络的用户电路，而不用申请到其他节点的网内电路，比使用FRATMDDN数据专线的组建VPN更灵活、用户使用更方便。接入方式多样化接入方式多样化由于基于IP网络，用户可以采用目前路由设备支持的多种接口类型接入CNCnet，如V。35、CE1、ATM、POS、Fastethernet等，用户电路可以采用DDN、ATM、FR、透明电路等。网络组建和维护简单网络组建和维护简单用户设备只与CNCnet节点的接入设备相连，不需要和其他地点的用户设备连接，维护工作量小，组建VPN需要的资源少。服务质量保证服务质量保证CNCnet依靠接入设备和IP协议提供的服务质量（QoS）保证技术，向用户提供差别化服务，包括流量整形和服务等级。使用MPLS技术对IP数据包做二层交换，加快了数据包的转发速度，减少了时延和抖动，大大提高了网络的QoS保证能力。支持多种业务的融合支持多种业务的融合用户只要申请MPLSVPN一种业务，就可以支持数据、语音、视频等多媒体业务。对于语音、视频等实时性强的业务，CNC的网络通过提高其优先级，保证服务质量。MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传1036三、虚拟专用网络3.1组网技术虚拟专用网（VirtualPrivateNetwork，以下简称VPN）是企业借助基础电信运营商（Carrier）提供的公共网络架构组建内部的网络平台，如无特别说明，企业的VPN一般均是IP网络。向用户提供的VPN服务平台包括面向连接的电路型和面向无连接的IP型。面向连接的电路型是指向用户提供端到端的物理或逻辑电路，如租用电路、拨号线路、ATMFR虚电路等，用户设备通过这些电路相互连接构成一个网络结构，电信运营商仅提供物理或二层通道，并不运行IP协议。这类方式的VPN用户能够得到端到端服务质量的保障，运行可靠性高，但组网需要大量的端到端电路，运行费用很高，因此多数使用此方式的VPN采用星型拓扑结构（Hub-Spoken）。面向无连接的IP型指用户基于电信运营商IP网络构建VPN，用户设备接入Internet网络，使用特殊的封装技术保证用户信息不被非法用户接收、截获、修改，目前采用隧道技术（Tunnel）实现。建立隧道的方式有IPSec、L2TP、GRE等，它们均是在IP协议中利用特有的封装头部确保用户信息能够从源端经过公共的IP网络传递到正确的目的端，从用户或应用的角度看似乎创建了一个端到端的虚拟通道将用户设备连接在一起。这种方式用户无须申请端到端的电路，只要本地接入IP网络，就可从用户设备发起建立隧道，无须网络服务商的参与，但用户需要管理这些隧道，维护工作比较复杂且如不采用额外的加密技术，这些数据通道对于任何客户均是透明的，安全性较低。MPLSVPN是无连接IP型VPN的一种，其核心是利用标签交换技术创建虚拟的逻辑通路互连用户设备。MPLS是由Cisco标记交换演变而来的IETF的标准协议。标记表示路径和服务的属性，在入口的边缘、流入的数据包被处理做上标记，位于核心的设备仅仅读这些标记，赋于适当的服务，然后根据标记转发这些数据包，对这些数据包的分析、分类发生在进入边缘设备时，经过出口的边缘设备时标记被移去，数据包转发到最终目的地。步骤步骤1标记的生成标记的生成当IP网络中的设备通过内部路由协议（InteriorGatewayProtocol）学到所有内部路由，支持MPLS功能的设备就为每个路由前缀分配一个标记，这个标记将和这条路由捆绑在一起，并通过标记分配协议（LabelDistributionProtocol，简称LDP）向自己的上游或下游邻居（根据标记分配方式和路由的下一跳决定）传递这个绑定信息，每个收到这个绑定信息的设备又将独立的选择本地的标记和该路由捆绑然后继续上述传播过程，直到所有设备都为路由前缀分配了标记（除本地直连的路由）。目前CNCnet使用CISCO专有的TagDistributionProtocol（简称TDP）分配和传递标记的。步骤步骤2为数据打标签为数据打标签当一个数据包进入边缘标记交换设备（LSR）时，将根据数据包目的地址为其寻找对应的标签和出口，LSR将给数据包封装MPLS头部，并转发到下个设备。在选择标签中还可以根据带宽管理和QoS对数据包实施特殊处理，包括打上特定的标签或将优先级写入MPLS头部。MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传1136步骤步骤3数据包的交换转发数据包的交换转发网络中的每个设备会根据数据包中封装的MPLS标签在自己的转发表中检索对应表项，根据表项中规定的动作处理标签信息，例如用新标签替换数据包中的标签、弹出数据包标签并去除MPLS封装、增加新的标签堆栈等，然后选择合适的出口转发数据包。由于在网络转发过程中设备只识别标签信息，因此通过标签交换就建立了从源端到目的端的一条转发路径。步骤步骤4出口出口在网络边缘设备将根据栈底的标识除去标记，恢复数据的IP封装，并根据目的IP地址将其转发到最终目的地。MPLS的工作机理提供了实现VPN的可能性，我们可以使用标记来区分用户路由。在MPLSVPN中有以下几个概念：CERouter（CustomerEdgeRouter，用户边缘路由器）：是用户每个不同地点网络接入MPLSVPN服务网络的通信设备，可以是路由器、交换机或主机；PERouter（ProviderEdgeRouter，服务商边缘路由器）：是MPLSVPN服务网络中为用户提供VPN服务的设备，是局端终结用户本地通信线路、配置用户VPN信息的通信设备；PRouter（ProviderRouter，服务商核心路由器）：是MPLSVPN服务网络内依靠标签信息转发VPN数据的通信设备；MP-BGP（MultiProtocolBorderGatewayProtocol，多协议边界网关协议）：是MPLSVPN实现的关键技术，它是在普通BGP的基础上做了扩展，支持标记的分配和分发，负责给每个VPN用户路由确定标记，并在PE间传递这些标记的绑定信息，建立用户VPN的路由表；VRF（VPNRoutingForwarding）：每个PE都会为接入的VPN用户创建一个VRF存放用户路由信息，不同PE间同一个VPN用户的信息通过MP-BGP传播。以上这5个组成部件的关系可以用下图表示：图图3-1MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传1236当用户流量从源CE到达源PE后，PE根据VRF中的路由信息决定将数据转发到目的PE，给数据包封装一层标签信息，然后决定为到达目的PE必须经过的路径，再封装外层的标签，在网内数据传输时P设备只检查外部标签，当数据包到达目的PE后，PE根据里层标签查找对应的用户VRF，根据目的IP地址送出数据包给目的CE。MPLS提供VPN业务的安全性等同于使用面向连接的电路型业务。两层标签的封装保证了用户的信息将被正确路由到对应的目的PE，并能区别不同用户的路由表，防止信息被Internet用户获得，而且通过里层标签也能防止将一个VPN用户的信息错误发到其他VPN用户网络。真正作到不同用户使用公共传输通道和设备，但均能逻辑上相互隔离，从用户角度看网络安全性与租用电路服务没有不同。不同MPLSVPN用户可以使用相同的地址空间（用户间互通需要地址转换），一般采用符合RFC1918的私有IP地址，用户可以灵活规划自己的IP地址。RFC1918规定的能被用户自由使用的地址空间有三个范围：A类：10.0.0.010.255.255.255，共256个B类网段，224地址B类：172.16.0.0172.31.255.255，共16个B类网段，220地址C类：192.168.0.0192.168.255.255，共256个C类网段，216地址用户如果访问Internet或其它使用相同IP地址的用户网络，必须先进行地址转换（NAT）。3.2网络现状CNCnet目前共开通运行59个IP节点，其中有56个节点具备MPLSVPN接入设备，包括北京(2)、上海、广州、武汉、天津、济南、南京、镇江、南通、扬州、泰州、台州、常州、杭州、宁波、福州、厦门、泉州、深圳、长沙、郑州、石家庄、合肥、淄博、烟台、威海、青岛、潍坊、成都、重庆、西安、沈阳、大连、哈尔滨、长春、苏州、嘉兴、绍兴、温州、无锡、香港、台北、佛山、江门、珠海、中山、顺德、东莞、惠州、海口、昆明、南昌、南宁、太原等城市及美国（LA）节点。MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传1336图图3-2CNCnet中P设备基本为CISCOGSR高端路由器，PE设备是CISCO75007200系列路由器（其中超过80的PE设备为Cisco7513路由器），每个PE设备通过两条155MATMPOS上联到本地的两台P设备，提高了系统的可用性.其中，Cisco7500系列作为高端、高性能的路由器自推出以来在特性和性能方面得到了持续的发展，它使用VIP的分布式体系结构（包括分布式IP网络业务能力，提供封装、压缩、接入控制、QoS和流量记帐等）。每一个VIP都有自己的处理器，能够交换IP信息包并提供一定的网络业务。当需要处理速度更高的网络连接和更多信息包时，这种方案能扩充Cisco7500路由器整个系统的性能。RSP仍然是系统的控制者。它与网络上的其它路由器一起运行路由选择协议，收集交换信息，然后将信息下载到VIP，这样每一个VIP可以交换自己的IP信息包。Cisco7500系列每秒钟可处理两百万个以上的数据分组，Cisco7513是Cisco7500家族中最为强大的高端路由器，除具备上述全部功能外，还提供多达13个模块插槽。CNCnet在北京和上海设置MP-BGP路由反射器，所有VPNPE设备均和这两台设备建立BGP会话。一方面优化BGP连接的逻辑结构，防止所有设备间FULLMESH的建立会话造成设备性能下降和资源消耗，将网络中总会话数从N2减少到2N（N是网络中PE设备的总数）；另一方面提高了BGP会话的可靠性，路由反射器作到异地备份，任何单点失效不会导致VPN业务中断。CNCnet在上海(两台)、广州（两台）、北京三元桥国际局（一台）分别设置五台ASBR作为MPLSVPN出口网关，作为和境内外MPLSVPN服务提供商互联设备，将CNCnet的MPLS-VPN业务的覆盖范围扩展到国外，同时为其他的国际运营商提供国内的MPLS-VPN业务的接入服务。在台北和香港未设专用的ASBR，但是有少量的NNI互联，今后将根据合作业务的发展情况增设ASBR以上网络逻辑结构如下图：MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传1436图图3-3对于在本地没有PE设备的城市采用软覆盖的方式就近接入最近的VPN业务接入点，可以采用透明电路、帧中继等传输方式。MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传1536四、接入规范和资源需求4.1用户接入要求4.1.1CEPE设备设备PE必须具备以下条件：（1）具备双电源、双处理器的冗余功能；（2）支持MPLSVPN和MP-BGP功能；（3）支持多种物理电路和二层协议的接口，部分端口类型支持划分子接口和限速功能；（4）性能至少达到或超过CISCO7275系列路由器。CE必须具备以下条件：（1）必须是路由设备，不允许使用交换机或服务器；（2）如果使用动态路由协议，必须支持RIPv2或BGP（3）支持多种物理电路类型和二层协议的接口；以下是几种常见的CE设备的关键指标，作为用户和CNC内相关部门选择CE设备的参考：PortTypeRouterTypeSerialFEATMCE1E1OtherQueueingCARCS800(5)EthernetISDNSerialWFQ(1)CS17xx(6)ISDNISDNADSLVoiceLLQ(2)CBWFQ(3)CS26xx(4)VoiceetcLLQCBWFQCS36xxVoiceetcLLQCBWFQCS72xxGEPOSE3T3LLQCBWFQCS75xxGEPOSE3T3LLQCBWFQ(1)WeightFairQueue(2)LowLatencyQueue(3)ClassBasedWeightFariQueue(4)T3E3ATM和E1T1ATMIMA模块，在2691上支持ATMOC3模块(5)CS800（不包含801、802、811）(6)CS17xx（指1711、1712、1721、1751、1751-v、1760、1760-v）MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传1636表表4-1为保证网络的安全运行和业务的正常开展，特规定以下注意事项作为CEPE连接遵循的原则：（1）用户CE设备和CNCnet设备的连接不允许通过其他IP路由网络；（2）接入的路由协议可以是静态路由、BGP、RIPv2建议优先使用静态路由协议；（3）为合理使用网络资源并降低PE设备上端口的利用率，可使用二层交换机汇接低优先级VPN用户的以太网接入，并利用802.1q技术将用户数据透传到路由器，但是为了不影响设备稳定性和用户的接入性能，同一物理端口上子接口数量应有限制。建议：单GE接口(CISCO75系列)划分子接口不超过20个；单GE端口（CISCOGSR系列）划分子接口不超过50个，同时PECE设备应满足CPU利用率不超过30、MEM利用率不超过60的基本要求。（4）允许对接入端口进行限速操作，但需要考虑端口类型和设备性能。2M以下用户接入可以接入V.35接口，也可以接入CE1CT1端口，但是在CE1CT1端口上只允许采用划分时隙的方式，不允许在CE1CT1端口上再做带宽限制（仅指基于端口的物理限速，对于依据IPPredence、DSCP等进行的限速均可实施）；（5）PE设备的POS端口不允许接入速率小于10M的用户；（6）PE设备不学习Internet路由信息，禁止用户向VPN路由器广播Internet路由。4.1.2本地接入电路本地接入电路CNC目前支持的本地电路有以下几种类型：电路类型速率范围CNC是否具备资源实际接入速率DDNN64K有64K为粒度最高到2MSDH1.544M-2.5G有根据传输网设备而定FR64K-2M有根据FR网络设备而定ATM2M-155M有根据ATM网络设备而定Ethernet10-1000M有电路依赖SDH、MSTP、裸光纤，依靠端口限速、vc复用、协议转换等，可以提供1M-1000M的速率范围DIAL56K有建议仅做为备份线路ISDN64K128K有建议仅做为备份线路表示推荐使用的电路类型。表表4-2对于其它接入方式需要根据实际情况考虑，对于低于64K或不在此速率范围内的可以依靠路由设备的软限速。网通国际根据用户接入速率的不同推荐使用以下路由设备端口：接入速率端口类型N64K-2MV.35ChannelizeE1T1MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传17361.544M2.048MT1E134M45ME3T3155MATMPOS622MPOS1M-10MFastEth限速10-100MFastEth限速ATM100M-1000MGigaEth限速ATM1000-2500MPOS限速（仅指思科引擎3线卡）表示推荐用户优先考虑的端口类型。表表4-3T1CT1一般用于CNC在海外节点提供业务或与国际运行商开通VPN合作通道。4.1.3本地接入的备份本地接入的备份（1）上联两台PE设备图图4-2用户端CE设备通过一条主用通信电路连接到1台局端PE设备，同时通过备用通信电路连接到局端备份PE，提供线路、设备的双重备份(目前这种备份方式只能在北京节点开展)；或用户端CE设备通过多条电路以Multi-link方式接入1台局端PE设备，提供线路备份及负载均衡。4.2资源需求VPN业务涉及的资源主要有：IP地址、路由协议的选择、用户站点的命名、RDRT的分配。每项资源都是和用户业务、网络管理密切相关的，是业务受理、调度和故障处理的关键信息，其中部分资源需要和其它合作运行商进行必要的交换。下面一一对以上资源做详细的介绍和说明。4.2.1IP地址地址MPLSVPN中涉及的地址有两个部分：用户内部网各个站点的地址和PECE间互连地MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传1836址。用户VPN的地址一般采用RFC1918中规定的保留IP地址空间：私有IP网段起始IP地址终止IP地址总数10.0.0.0810.0.0.010.255.255.255256B172.16.0.012172.16.0.0172.31.255.25516B192.168.0.016192.168.0.0192.168.255.255256C表表4-4这部分地址由用户规划分配，基本原则是每个VPNSite的地址应该连续，能够聚合成一条路由，有利于路由表的最小化。而PECE的互联地址可以由用户规划分配或CNC分配，地址格式为：X.X.X.X30，其中一个奇数地址分配给PE用户接入端口，另一个偶数地址分配给CE端接口。使用PublicIP地址的目的是避免不同VPN用户的互连地址空间重叠，使网络管理系统能够管理到用户CE设备。对于可管理型CE设备的Loopback地址必须使用CNC统一分配的PublicIP地址，地址格式为:X.X.X.X32。4.2.2PECE间路由间路由CNC目前允许PECE间采用的路由有三种：（1）静态路由：CE和PE均采用静态路由协议，其中CE设备配置一条缺省路由指向PE设备，PE配置一条静态路由指向用户Site的IP地址空间；（2）RIPv2：CE和PE配置支持VLSM的RIPv2动态路由，该方式适用于用户路由数目比较多，经常发生变化。但要求PE设备要实施必要的控制手段防止不必要的路由广播到网内；（3）EBGP：CE和PE间可以使用EBGP路由协议，一般适用对流量均衡有特殊要求的环境下。采用动态路由协议对PE设备有较大的影响，因此有以下规定：（1）同一个端口上采用RIP和BGP路由协议的连接不能超过8条，在同一台PE上启动的RIP和BGP用户进程不能超过30个；（2）用户CE必须支持VLSM和路由聚合功能，采取必要手段对路由进行聚合；（3）从CE接收的动态路由数目不能超过10条，一个用户VPN中路由数目应少于150条；对于超出以上限制的用户路由必须通过价格杠杆调节。（4）对于使用EBGP的客户，CNC不负责分配用户的ASN。（5）PECE间采用的动态路由，基本要求PECE设备CPU利用率不超过30；MEM利用率不超过604.2.3站点标识站点标识每个用户的VPN命名均按照以下格式：USERLOCUSER是大写的用户英文名称或中文汉语拼音的全称，LOC是用户所在城市的简写，该部分的格式为：BUILDINGCITYXPROVINCE，其中BUILDING是用户CE所在建筑物的名称，CITY是城市名全称，PROVINCE是省、自治区、直辖市的缩写，PROVINCE的MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传1936格式参考国家命名标准，请见附件2，如果一个用户在同地点有多个Site，则用X表示，X取值范围是0-99举例如下：VrfvpnHOT(china)-Oriental.Plaza-beijing1-beijing其中客户名称HOT(china)客户办公地点Oriental.Plaza城市名称beijing，其中1表示客户在北京的第一个节点且在北京还有其他节点省名称beijing每个VPN用户端口描述均按照以下格式：Userabbreviation-CircuitNumber-OppositeEquipmentNamePortnumber-ContactTelephone(usermaintenance)其中：Userabbreviation是大写的用户英文名称或中文汉语拼音的全称；CircuitNumber是SDH电路编码，如无此项参数即以单个0填充；OppositeEquipmentName是对端的设备名称；Portnumber为对端设备接口编号；ContactNameandTelephone(usermaintenance)是客户及运维人员名称及相应的电话，并可以在这之后增加说明文字（可选）。每个选项之间以两个-号进行间隔，举例如下：Interfacepos114DescriptionChinaNetcom-0-RTR7507-1Pos510AAABB1000Thisisagoldencustomer.其中：客户名称ChinaNetcom电路编码0（采用裸纤直连，故以0进行填充）对端设备名称RTR7507-1对端端口名称Pos510客户联系方式人员名称：AAA；联系电话维联系方式人员名称：BBB；联系电话1000Thisisagoldencustomer.是关于客户简要说明4.2.4RDRT的分配的分配RDRT是MPLSVPN业务实现过程中两个重要参数。RouteDistinguisher（路由区分符，以下简称RD）是为在MPLSVPN中区分原有IPv4地址空间而设定的，RD和用户Ipv4地址共同构成VPNv4的地址空间：RD：IPv4，所以每个用户的RD必须唯一。CNC的RD格式是：ASN：XXXXASN是CNC的自治域号码9929，XXXX的定义如下：(1)1-19：网络管理使用；(2)20-99：测试用户或测试项目；(3)100-50000：CNC骨干网或城域网内的VPN用户；(4)50001-65535：CNC和其他MPLSVPN提供商互通合作；(5)65536-4294967295：保留RouteTarget（路由目标，以下简称RT）是MPLSVPN中过滤VPNv4路由而设的扩展BGP属性，其按照接收和发送两个方向可以设置Import和Export两个值。其格式等同于RD，但XXXX的定义不同：MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传2036（1）1-19：网络管理使用；（2）20-65535：CNC骨干网或城域网测试和业务使用；（3）65536-4294967295：保留。有关RDRT的具体使用规则和注意事项请参见附件3MPLSVPNRDRT业务资源的定义和使用说明。五、服务质量5.1服务指标作为电信级的服务必须保证用户的服务质量，衡量产品质量有硬指标和软指标两类。硬指标是指和产品技术相关的各类参数，可以定量给出保证值；软指标是和客户服务相关的各类规定，包括开通时间、客服联系方式、响应时间、故障处理时间、服务报告等。本文主要定义技术类硬指标。CNC提供MPLSVPN服务的网络可以抽象成以下模型：图图5-1包括：（1）用户端网络；（2）用户CE到服务提供商PE的接入段A；（3）服务商的城域网段M和骨干网段B；（4）网络互连段I。该模型作为指标定义和测量的依据，以及和用户协商服务等级协议（ServiceLevelAggrement，简称SLA）技术指标的界面。衡量衡量MPLSVPN的性能技术指标定义以下两个：的性能技术指标定义以下两个：时延（时延（Latency）：衡量网络（包括网络设备、链路等）转发数据包的处理能力。通常用网内任意两点往返时间的平均值表示。丢包率（丢包率（PacketLossRatio）：衡量网络（包括网络设备、链路等）转发数据包的丢失率。通常用转发中丢失的数据包字节数占转发总数据包字节数的比率表示。以上是和购买CNCMPLSVPN产品的用户签定SLA的两个关键性能技术指标。其它和产品无关的指标：如路由器CPU利用率、链路利用率等不在和用户签定的SLA之内。MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传2136这些指标的采集必须符合以下条件：CE-PE接入段A的链路速率128Kbps任何段内不包括卫星、微波、无线通信方式CE-PE接入段A的链路利用率75%CE和PE的CPU利用率30%且MEM利用率60对于以上指标更详细的内容请见本手册的附件4MPLSVPN业务技术指标5.2服务等级和实现技术企业的应用和数据需要专网提供可靠、稳定和高效传输通路，原有面向连接的二层组网方式在这方面有一定的优势，用户任意端到端的带宽固定，而且被用户所独占，而象ATMFR等技术还提供用户一定的突发带宽，满足用户特殊需求。而在无连接的三层VPN中关键的IP技术在原来的协议中缺少电信级服务质量保证的机制，更没有在连接建立时对带宽的协商和分配过程，主要依靠路由设备的队列机制对流量进行管理，解决资源拥塞状况下的服务质量。当前CISCO设备有三种不同的队列机制：低延时队列（LLQ，LowLantacyQueue0，基于类划分的加权公平队列（CBWFQ，ClassBasedWeightFairQueue）和先进先出队列（FIFO）。LLQ主要是满足那些对时延和时延抖动比较敏感的音频应用，它属于最高优先级的队列，在一台设备中如果上述三种队列都有数据要发送，则首先要先发送LLQ的数据，直到其队列为空时发送其它队列。在应用LLQ时要小心防止其占用所有带宽影响其它业务的正常使用。CBWFQ是根据业务流中的某些字段对其分类，每个类对应一个队列，队列的数目是有限制的，并且都赋予一定的优先级，但它属于时间片轮转方式运行的队列，根据每个队列的优先级，系统将给予队列不同的发送数据时间窗口，系统在队列的发送窗口中如果有数据就发送，在发送窗口关闭后就转到下一个队列扫描。CBWFQ既保证了每个业务在一个固定周期内都能分配到带宽，同时又根据优先级区别对待发送的数据量，特别适合一些对带宽要求高，但对延时不特别敏感的应用，如视频等。FIFO是一种最早的队列模式，业务的优先级是由它的到达时间决定的，因此只适用对于服务质量没有要求的业务。对于以上三种队列的详细技术请参考CISCO公司的网站和技术文档。目前在三层VPN中控制服务质量比较成熟的是基于类划分的优先级机制，因此必须能够对用户的业务进行分级。所有在IP网络上传递的都是一个个相对独立的数据包，每个包中含有相应的报头，报头往往由许多具有控制功能的字段组成，这些字段就是分级的依据。IP数据包的分级可以根据以下字段：目的IP地址和源IP地址协议类型上层协议端口TOS目的MAC和源MAC地址以上字段可以组合应用，对于每个分类都可以给一个特定的值代表，一般使用IP包头中TOS字段的Precedence域（即TOS字段前三位），它一共可以表示0-7八个优先级。在MPLS包头中有一个EXP字段（3bits），它可以自动拷贝IP报头中的Precedence中的内容或依据运维需要手工修改相应的映射关系而后进行拷贝，因此在MPLS网络内部可以依靠EXP字段标识每个优先级。如下图：MPLSVPN产品技术手册集团网管中心编制集团内部使用请勿外传2236图图5-2CNC根据目前VPN用户的应用类型和对服务质量的需求，考虑网络设备的能力和技术，将网络内的服务质量划分成三个级别：业务种类业务种类标识标识应用类型应用类型类型一（高）优先级4音频等小流量实时业务、部分面向连接类型网络协议应用(如SNA)类型二（中）优先级2视频等大数据量实时业务类型三（低）优先级0普通数据业务表表5-1所有数据分类均采用Precedence标识，并在网络侧(即边界-LSR)映射到MPLSEXP字段中。业务种类和指标数值的对应关系：根据网络的具体使用情况，具体指标数值参照附件4的规定另文发布。CNC提供服务保证的实施原则：CNC为所有VPN用户提供以上三类的服务，业务种类只针对用户的应用，而不按照用户进行划分和定义，不同用户的同一种业务其种类是一样的；根据IP网络的特点，所有用户的分级和控制机制只作用在PE和CE之间或跨域VPN之间（仅对方要求），网络内部依靠扩容带宽满足用户的服务质量；建议PE与CE之间优先级划分优先推荐CNC的标准，跨域VPN的优先级别依据双方各自网内标准实施（在入口处进行相应映射）如果用户需要全程的服务保障，要求CE设备由CNC提供并负责管理；用户接入段的物理速率必须128K以上（含128K）。在网络中采用队列和分