深圳市IP城域网组网技术方案措施.doc

深圳市 IP 城域网 组网技术方案 深圳电信局新技术开发中心 目目 录录 一 设计原则一 设计原则 3 二 设备用途说明和命名规则二 设备用途说明和命名规则 6 2 1 SITE代码 6 2 2 设备命名规则 6 2 3 设备用途描述 7 三 网络架构三 网络架构 11 3 1 核心骨干模块 BACKBONE 11 3 2 INTERNET 163 169 连接点模块 13 3 3 IP VPN 服务模块 14 3 4 商业 INTERNET接入模块 18 3 5 小区 INTERNET接入模块 20 3 6 政府上网接入模块 22 3 7 主机托管模块 23 四 设备互连四 设备互连 25 4 1 远程连接 25 4 2 本地连接 25 4 3 设备插槽分配策略 26 4 4 VLAN 编号和用途说明 26 五 五 IP 地址地址 29 5 1 IP 地址模式 29 5 2 域内路由协议 IGP 29 5 3 IP 地址分配 29 5 4 IP 子网规划 30 六 和六 和 163 169 的连接的连接 33 6 1 缺省路由 33 6 2 EBGP 出口路由设计 34 6 3 在多出口上实现流量均衡 34 七 七 MPLS VPN PE CE 的连接的连接 36 八 八 VPN 的的 INTERNET 接入接入 38 8 1 VPN INTERNET 网关 38 8 2 VPDN FOR VPN 40 九 九 NMS 网段网段 42 十 安全控制十 安全控制 45 十一 十一 QOS 48 11 1 可选择的工具 48 11 2 实现的模型 49 附件一 附件一 IPIP 地址分配计划表地址分配计划表 53 附件二 小区附件二 小区 INTERNET 接入方案接入方案 58 1 SSO SERVICE SIGN ON 系统 58 2 REDBACK SMS 宽带接入服务器 62 3 两种方式的比较 63 附件三 图表附件三 图表 65 一 一 设计原则设计原则 随着深圳电信的互联网业务的快速发展 可以预测的用户需求在几年内将成几何级数 增长 同时 随着中国加入 WTO 的时间表的逼近 来自各个方面的竞争压力不断增加 但 是 目前深圳电信的互联网基础设施还不够发达 不足以迅速占领市场的制高点 在未来 的竞争中立于不败之地 因此 深圳电信局决定建设一个先进的 灵活的 可靠的 基于标准的城市骨干通信 平台 使得深圳电信能够基于这个平台 针对市场上 IP 用户的大量宽带多媒体应用的需求 迅速推出一系列崭新的宽带多媒体业务 从而吸引更多的用户 增加市场竞争力 实现网 络的商用价值 并为今后满足市场新的业务需求而迅速推出新的业务打好基础 深圳 IP 城域网一期工程的建设目标是将 IP 城域网建成为数据业务的统一骨干平台 在此平台上为政府 企业 学校提供高速接入 同时提供 VPN 等增值业务 基于以上的建立目标 深圳 IP 城域网的设计原则为 1 可靠性原则 2 可扩充性原则 3 简单和易于管理的原则 4 可以集中管理的原则 5 效率高 6 和现有网络有较好的集成 7 安全性 网络可靠性通过下述的设计思路来达到 在网络核心层进行 Partial meshed 冗余物理连接 接入层设备通过 Dual homing 双连接到核心层 网络采用多出口设计到 Internete 163 169 在接入层采用 Route summarization 减少边缘链路波动对核心的影响 合理采用静态路由 提高可靠性 网络可扩充性通过下述的设计思路来达到 网络采用明显的 核心 分布 层次结构 简单而有效的 IP 地址分配策略 采用可靠和可扩展的 IGP 路由协议 简单和易于维护性通过下述设计思路来达到 所有的网络设备被分配专门的用途 避免复杂的配置 网络设备命名直观而易记 统一的 slot port VLAN 的分配策略 每台设备都配有 loopback 地址 易于维护 集中管理通过下述设计思路来达到 为中央网络管理系统配有专门的管理网段 从中央网管网段可以到达所有设备 VPN PE CE 连接从 NMS 网段同样可以到达 为所有互连网段包括 VPN PE CE 连接都采用合法 IP 地址 运行的高效性通过下述设计思路来达到 核心层互连链路采用相同接口类型和相同速率 便于作负载平衡 城域网内部采用缺省路由配合 IGP metric 作出口选择 和 Internet 的多连接上采用 BGP MED 特性进行负载分担 和现有网络的集成通过下述设计思路来达到 采用开放的 标准的路由协议将城域网分为多个路由区域 现有网络 可以通过单独的域连接上来 和 Internet 163 169 的 BGP 连接通过保留的 AS 号 这样不会影响 广东省和中国电信 163 169 网络出国的 BGP 路由 安全性通过下述设计思路来达到 对所有重要事件进行 log 限制对设备的 SNMP 和 TELNET 采用 NTP 协议对全网的设备进行同步 对不安全的端口上将路由协议进行 Passive 防止不必要的路由泄露 对网络设备的 User 和 Privilege 状态进行存取控制 网络总体结构如图所示 网络总体结构如图所示 黄黄木木岗岗 一 一一 一一 一一 一I IP P一 一一 一一 一一 一一 一一 一一 一一 一一 一一 一 枢枢纽纽 新新安安 蛇蛇口口 龙龙中中 沙沙头头角角 电电信信 南南山山 龙龙脉脉 骨骨干干层层 西乡中学 西乡小学 宝安中学 宝安教育局 福田中学 实验学校 教育学院 电子技校 外语学院 POS 2 5G GE 1000M FE 100M 网网管管 GSR12012 7507 7513 Catalyst6509 Catalyst2924 福田区教 育局等 盐田区教 育局等 信息化小 区 信息化小区 企业上网 信息化小区 企业上网 信息化小区 龙岗区教 育局等 广电大学 深圳小学 教育局等 信息化小区 企业上网 深圳中学 深圳大学 南山区教 育局等 信息化小 区 企业上网 主机托管 主机托管 机关专用局 VPN网管 CE router Cisco 3620 二 二 设备用途说明和命名规则设备用途说明和命名规则 2 1 Site 代码代码 SiteSiteSiteSite CodeCode 枢纽 SN 黄木岗 HMG 电信 DX 南山 NS 新安 XA 龙中 LZ 沙头角 STJ 东港中心 DG 新南头 XNT 机关专用局 JG 蛇口 SK 鸿波 HB 龙脉 LM Site 代码是地点名的拼音缩写而成 前 11 个 site 是本期工程所要安装设备的点 后 2 个 site 不涉及设备安装 2 2 设备命名规则设备命名规则 MAN Site Code Equipment Type Unique Id e g A 1st 12012 B 2nd 12012 M HMG 12012 A 解释 1 设备类型为 6509 代表 Catalyst 6509 switch 的 LAN switch 部分 2 设备类型为 6509R 代表 Catalyst 6509 switch 的 routing 部分 6509R1 代表安装在 6509 的 primary supervisory card 上的 MSFC feature card 6509R2 代表安装在 6509 的 Redundant supervisory card 上的 MSFC feature card 2 3 设备用途描述设备用途描述 SiteSite DeviceDevice ModelModelDeviceDevice NameNameUsageUsage 枢纽楼 GSR12012M SN 12012 AMPLS core router 7507M SN 7507 AMPLS PE router 3620M SN 3620 AVPN Management CE router 2924M XLM SN 2924 AVPN GE Fan outaccess concentrator 2924M XLM SN 2924 BCommercial Internet access concentratorVPN GE Fan out 6509 MSFCM SN 6509R1 AInter VLAN routing 6509 MSFCM SN 6509R2 AInter VLAN routing 6509M SN 6509 ACommunity Internet access concentratorLocal server hosting 黄木岗 GSR12012M HMG 12012 AMPLS core router 7513M HMG 7513 AMPLS PE router 2924M XLM HMG 2924 AVPN access concentratorGE Fan out 2924M XLM HMG 2924 BCommercial Internet access concentratorVPN FE Fan out 6509 MSFCM HMG 6509R1 AInter VLAN routing 6509 MSFCM HMG 6509R2 AInter VLAN routing 6509M HMG 6509 ACommunity Internet access concentratorLocal server hosting 电信 GSR12012M DX 12012 AMPLS core router 7507M DX 7507 AMPLS PE router 2924M XLM DX 2924 AVPN access concentratorVPN GE Fan out 2924M XLM DX 2924 BCommercial Internet access concentratorVPN FE Fan out 6509 MSFCM DX 6509R1 AInter VLAN routing 6509 MSFCM DX 6509R2 AInter VLAN routing 6509M DX 6509 ACommunity Internet access concentratorLocal server hosting 6509 MSFCM DX 6509R1 BInter VLAN routing 6509 MSFCM DX 6509R2 BInter VLAN routing 6509M DX 6509 BReserved for 163 server hosting in DXLocal server hosting 东港中心 6509 MSFCM DG 6509R1 AInter VLAN routing 6509 MSFCM DG 6509R2 AInter VLAN routing 6509M DG 6509 ASRemote server hosting 6509 MSFCM DG 6509R1 BInter VLAN routing 6509 MSFCM DG 6509R2 BInter VLAN routing 6509M DG 6509 BServer hosting 南山 GSR12012M NS 12012 AMPLS core router 7507M NS 7507 AMPLS PE router 2924M XLM NS 2924 AVPN access concentrator 2924M XLM NS 2924 BCommercial Internet access concentrator 6509 MSFCM NS 6509R1 AInter VLAN routing 6509 MSFCM NS 6509R2 AInter VLAN routing 6509M NS 6509 ACommunity Internet access concentrator 新南头 6509 MSFCM XNT 6509R1 AInter VLAN routing 6509 MSFCM XNT 6509R2 AInter VLAN routing 6509M XNT 6509 AServer hosting 6509 MSFCM XNT 6509R1 BInter VLAN routing 6509 MSFCM XNT 6509R2 BInter VLAN routing 6509M XNT 6509 BServer hosting 新安 GSR12012M XA 12012 AMPLS core router 7507M XA 7507 AMPLS PE router 2924M XLM XA 2924 AVPN access concentrator 2924M XLM XA 2924 BCommercial Internet access concentrator 龙中 GSR12012M LZ 12012 AMPLS core router 7507M LZ 7507 AMPLS PE router 2924M XLM LZ 2924 AVPN access concentrator 沙头角 GSR12012M STJ 12012 AMPLS core router 7507M STJ 7507 AMPLS PE router 2924M XLM STJ 2924 AVPN access concentrator 2924M XLM STJ 2924 BCommercial Internet access concentrator 蛇口 7507M SK 7507 AMPLS PE router 2924M XLM SK 2924 ACommercial Internet access concentrator 机关专用局 6509 MSFCM JG 6509R1 AInter VLAN routing 6509 MSFCM JG 6509R2 AInter VLAN routing 6509M JG 6509 AGovernment agency Internet access concentrator 设备用途说明 设备用途说明 1 MPLS Core Router 设备用作 MPLS 核心 Label 交换路由器 不直接连接任何用户 所有核心层路由器之间 核心路由器和 PE 路由器之间的连接必须 MPLS Enabled 核心路由器只能运行独一的 IGP 路由协议 2 MPLS PE Router 设备用作 MPLS provider edge router PE 所有 VPN 用户端的连接终结在 PE 上 同时 PE 路由器作为 Internet 分布层接入路由器 PE 在 IGP 上作为 ABR 进行路由聚合 3 VPN Access Concentrator 设备用于 VPN 扇出 上联链路为 PE 路由器 GE VLAN Trunk 每一个 FE 交换端口属于一个单独的 VLAN 每个 FE 交换端口和用户设备通过 FE to Fiber 单模光纤转换器连接 注 该转换连接不属本次工程范畴 4 Commercial Internet Access Concentrator 设备用于商业用户的高速 Internet 接入 每一个 FE 交换端口属于一个单独的 VLAN 每个 FE 交换端口和用户设备通过 FE to Fiber 单模光纤转换器连接 注 该转换连接不属本次工程范畴 5 Inter VLAN Routing 设备用作 Inter VLAN 路由 这些 VLAN 是通过 Switch 建立起来的 同时 该设备还用于 Internet 接入路由器 设备在 IGP 中作为 ABR 进行路由聚合 6 Community Internet Access Concentrator 设备用于小区用户高速 Internet 接入 Supervisory Engine 上的 GE 端口通过多模光纤连接到本地的 MPLS core 路由 器上 VLANA1 作用于 Inter VLAN 路由器 MFSC 作为管理网段 VLAN 通过 FE to Fiber 单模光纤转换器和小区的用户设备相连 注 该转换连接不属本次工程范畴 7 Server Hosting 设备 LAN 交换机 用于连接各种主机托管服务器 Supervisory Engine 上的 GE 端口通过单模光纤连接到远程的 MPLS core 路由 器上 VLNA1 作于 Inter VLAN 路由器 MFSC 作为管理网段 8 VLAN Management CE Router 设备作为一个 CE 路由器 连接中央网管网段 通过 VPN 连接到所有的用户 VPN 上 以便于中央网管对所有 PE CE 链路和 CE 路由器进行管理 一个 FE 端口连接到本地 PE 上网管专用 FE 端口 另一个 FE 端口连接到 Local Server Hosting 以太网交换机上 通过网管专用网段和网管主机相连接 9 Government Internet Access Concentrator 设备用作政府机构上网的接入集中器 提供高速 Internet 连接 6509 上的 supervisory engine 的 GE 口通过单模光纤连接到最近的 MPLS Core Router VLANA1 作用于 Inter VLAN 路由器 MFSC 作为管理网段 VLAN 通过 FE to Fiber 单模光纤转换器和小区的用户设备相连 注 该转换连接不属本次工程范畴 三 网络架构三 网络架构 深圳 IP 城域网在网络结构上分成核心层和接入层 在功能上提供 VPN 互连 高速商业 Internet 接入 高速小区 Internet 接入 政府上网接入 主机托管连接等多种服务类别 因此 为了在一种清晰的结构上进行网络设计 对网络进行功能模块的划分 将深圳 IP 城 域网分为以下几个模块 核心骨干模块 Internet 163 169 连接点模块 IP VPN 服务模块 商业 Internet 接入模块 小区 Internet 接入模块 政府上网接入模块 主机托管模块 3 1 核心骨干模块核心骨干模块 backbone 1 1 结构 结构 的城域网的核心骨干模块由分布在 7 个不同地点的 7 台 Cisco GSR12012 路由器构成 分别是 Backbone Module IP VPN Service Module Commercial Internet Access Service Module Community Internet Access Service Module Government Internet Access Service Module Server Hosting Service Module Internet Peering Module Network Management Module M SN 12012 A枢纽的 GSR12012 M HMG 12012 A黄木岗的 GSR12012 M DX 12012 A电信的 GSR12012 M NS 12012 A南山的 GSR12012 M XA 12012 A新安的 GSR12012 M LZ 12012 A龙中的 GSR12012 M STJ 12012 A沙头角的 GSR12012 这 7 台 GSR12012 通过 POS 接口卡单模光纤以 partial meshed 结构互连 为了确保核 心骨干模块的 MPLS 标签分配和路由表的稳定 这 7 台 GSR12012 及它们之间互相连接的 Link 必须独立地分配在 IGP 的 area 0 域中 从其它模块学到的路由在进入 Core 之前必须 先进行 Aggregate 或 Summarize 以免造成对 Core 的路由影响 2 2 实现 实现 作为 IP 城域网的核心 要承载包括 IPv4 和 MPLS VPN 两种不同的 traffic 所以 每 台 Core Router 必须是能够支持 Tag Switching 在这种配置下 MPLS VPN 的 traffic 被 Tag Switched 而普通 IPv4 的 traffic 被 routed 下面是一台 Core router 的 Sample configuration Tag switching advertise tags interface pos 2 0 description SM01 fiber link to M XA 12012 A pos 2 0 ip address 123 123 1 1 255 255 255 252 tag switching ip Core Area Service Modules Service Modules Service Modules Aggregated or Summary Routes Only DX LZHMGXA NS SN STJ 为了减少 Tag Switch 的目标 lable 可以采取 access list 的方法来限制标签的分配 配置如下 Tag switching advertise tags for 1 Access list 1 permit 123 123 1 230 loopback 0 address of M SN 7507 A Access list 1 permit 123 123 1 231 loopback 0 address of M HMG 7513 A Access list 1 permit 123 123 1 232 loopback 0 address of M DX 7507 A Access list 1 permit 123 123 1 233 loopback 0 address of M NS 7507 A Access list 1 permit 123 123 1 234 loopback 0 address of M XA 7507 A Access list 1 permit 123 123 1 235 loopback 0 address of M LZ 7507 A Access list 1 permit 123 123 1 236 loopback 0 address of M STJ 7507 A 在上面的配置下 Tag Switching 在限于目标地址是 MultiProtocol BGP neighbor 的 Core Router 的 loopback 地址 大大减轻了 Core Router 在 Lable 分配上的开销 其它 traffic 进行普通路由 3 2 Internet 163 169 连接点模块连接点模块 1 1 结构 结构 在本期 IP 城域网工程中 黄木岗和电信的两台 Core Router M HMG 12012 A 和 M DX 12012 A 作为和 163 169 连接的边界路由器 其中 黄木岗 M HMG 12012 A 通过一条 OC 48 链路连接到 163 电信 M DX 12012 A 通 过一条 GE 链路连接到 163 Core Area 163 Backbone DX LZ HMG XA NS SN STJ 在广东省 163 扩容工程结束后 这种连接将改变 到那时 2 台新加入的 GSR 路由器 M SN 12012 B 和 M NS 12012 B 将代替本期工程中的 2 台边界路由器作为新的 163 出口路由 器 边界路由功能随之而转移到新的 GSR 路由器上 在第六章中将详细讲述和 163 边界路由器的路由策略 包括如何在多出口点之间进行 Inbound traffic 和 Outbound traffic 的 load balance 以及如何保证路由对称性的问题 2 2 实现 实现 深圳 IP 城域网和 163 网之间运行 BGP 路由协议 下面是 M HMG 12012 A 的 Sample Configuration router bgp 65001 no synchronization network 123 123 0 0 mask 255 255 224 0 neighbor 123 123 1 46 remote as 123 neighbor 123 123 1 46 description 2 5 Gbps links to HB 163 Backbone neighbor 123 123 1 46 version 4 neighbor 123 123 1 46 filter list 1 in neighbor 123 123 1 46 filter list 10 out ip as path access list 1 deny ip as path access list 10 permit ip route 123 123 0 0 255 255 224 0 null 0 ip route 0 0 0 0 0 0 0 0 123 123 1 46 城域网的边界路由器不从 163 路由器学习任何 Internet 路由 所有 IP 城域网不知道 的路由都通过缺省路由送至 163 网络 3 3 IP VPN 服务模块服务模块 1 1 结构 结构 IP VPN 服务模块包括向用户提供 IP VPN 服务的路由器和交换机 路由器主要是 7507 或 7513 交换机主要是 2924 这些设备包括 Provider Edge PE Router Cisco 7500 series routers M SN 7507 A M HMG 7513 A M DX 7507 A M NS 7507 A M XA 7507 A M LZ 7507 A M STJ 7507 A VPN Access Concentrator Cisco Catalyst 2924M XL LAN switches M SN 2924 A M HMG 2924 A M DX 2924 A M NS 2924 A M XA 2924 A M LZ 2924 A M STJ 2924 A 所有 VPN Access Concentrator 2924M XL 都是 100MbaseT 以太网交换机 通过 GE 链 路连接到 7500 系列路由器上 该 GE 链路被定义为 multi VLAN Trunk 2924M XL 上的每个 100M 端口被映射到一个单独的 VLAN 上 7500 路由器上为每个 VLAN 建立一个 sub interface 要向用户提供 IP VPN 服务 需要进行下列步骤 在 VPN Access Concentrator 2924M XL 上分配一个 100M 端口 通过 FE to Fiber 单模光纤转换器连接用户端的设备 将分配到的 100M 端口映射到 VPN Access Concentrator 2924M XL 的一个 VLAN 上 在 PE 7500 的 GE 端口上为该 VLAN 建立一个 sub interface 将该 sub interface 联系到一个 VPN 上 在用户端 用户提供 CE 路由器通过 100M 端口连接到 PE 上 M DX 7507 A Router VLAN 1xxVLAN 109 Logically function as point to point links Router at customer site 2 2 实现 实现 A A VLANVLAN TrunkTrunk Trunk 是交换机之间或交换机和路由器之间的点到点链路 trunk 在整个网络内承载 multi VLAN 的流量 目前有两种 trunk 封包技术 一种是 Cisco 专用技术 ISL Inter Switch Link 另一种是 IEEE 802 1Q 是国际标准 在本次城域网工程中 使用 IEEE 802 1Q 作为 inter VLAN 的 trunk 封包技术 下面是 2924M XL 用作 VPN Access Concentrator 的 Sample Configuration interface gigabitethernet 1 1 switchport mode trunk switchport trunk encapsulation dot1Q 下面是 PE 路由器 7500 的 trunk 端口的 Sample configuration interface gigabitethernet 8 0 0 103 encapsulation dot1Q 103 ip address 123 123 4 1 255 255 255 252 B B MPLSMPLS VPNVPN MPLS 采用虚拟路由表的方法来实现一个路由器上多个 VPN 的路由表 每一个 VPN 对应 一个或多个 VRFs VPN routing forwarding instance VRF 定义连接到 PE 上的 VPN 成员 一个 site 资格 一个 VRF 包括一个 IP 路由表 一个 CEF cisco express forwarding 表 几个相关联的端口 和一些控制路由的规则和参数 用户 site 和 VPN 之间可以不是一一对应的 一个用户 site 可以是多个 VPN 的成员 但是 一个用户 site 只可以和一个 VRF 相关联 一个用户 site 的 VRF 包括所有该 site 所 属 VPN 到该 site 的路由 数据包的路由和交换由 VRF 路由表和单独的 CEF 表所控制 每一个 VPN 对应一个路由 表和一个 CEF 表 这样可以防止 packet 被交换到不关联的端口上去 同时也防止不关联的 端口的 packet 被交换到该 VPN 中 VPN 路由信息的传播由 VPN route target communities 来控制 这主要是通过 BGP 的 extended communities 属性来实现的 VPN 路由信息的传播通过下述的方法进行工作 当一条从 CE 处学习到的 VPN 路由被 inject 到 BGP 中时 一些 VPN route target communities 属性被赋于它 其中主要包括 route target 属性 该属性决定这些 route 将 被 export 到哪些 VRF 每个 VRF 配置有一个 import route target 列表 该列表指明了一个 BGP 的 update 中的 community 属性应该包含什么 route target 才能被目标 VRF 接受 比如 某一个 VRF 的 import route target 列表指明 route target communities A B 和 C 这样 每一个 MP iBGP 的 update 中 communities 属性的 route target 中有 A 或 B 或 C 的 route 将被 import 到该 VRF 中 一个 PE 路由器可通过静态路由 RIP 或 BGP 从 CE 处得到某一个 IP 前缀的路由 该前 缀是标准 IPv4 的前缀 然后 PE 通过加上一个 8 字节的 RD route distinguisher 将它转 换成为一个 VPN IPv4 的前缀 通过这种方法 可以使用户地址唯一 即使用户使用的是 IANA 规定的保留地址 用于生成 VPN IPv4 前缀的 RD route distinguisher 由 PE 路由器 的 VRF 配置命令指定 MP BGP 协议为 VPN 的每个 VPN IPv4 前缀传递 NLRI Network Layer Reachability Information BGP 实体之间的通信有两种可能 AS 内的 iBGP 和 AS 间的 EBGP PE PE 和 PE RR route reflector 之间为 iBGP PE CE 之间为 EBGP BGP 协议通过 BGP 多协议扩展 BGP multiprotocol extensions 参见 RFC 2283 Multiprotocol Extensions for BGP 4 来传递 VPN IPv4 的路由可达性信息 多协议扩展 的 BGP 采用的方法为限定 BGP 的 peer 只能从其它 VPN 的同伴处得到 BGP 路由 IP 包经过 MPLS 标签交换到其目标地址 其选路的基础是 VRF 路由表和 VRF CEF 表 PE 路由器为每一个从 CE 路由器学到的前缀产生一个 label 然后将这个 label 作为一 个 BGP Communities 属性附加到 BGP 更新中传递出去 当一个源 PE 路由器从 CE 路由器处 得到一个 IP 包 它使用从目标 PE 路由器学到的 label 将该 IP 包发送出去 当目标 PE 路 由器得到这个 labeled IP 包后 将 label 从 IP 包中去除 作为一个纯 IP 包发送到 CE 路 由器 当 labeled IP 包在核心骨干部分传递时 其基于 label switching 或 traffic engineered path 进行 一个用户的 IP 包在核心穿行时 携带了 2 层 label 第一层 label 指示到正确的目标 PE 路由器 第二层 label 给目标 PE 路由器指示 到哪一个其连接的 site 链路 下面以黄木岗 M HMG 7513 A 为例 给出建立一个名为 education 的 VPN 的 sample configuration Step1 create vrf instance ip vrf education Define VPN Routing instance education rd 65001 101 Specify the route distinguisher route target both 65001 101 Configure import and export route targets for education Step 2 Activating PE exchange of VPNv4 NLRI over iMP BGP router bgp 65001 Configure BGP sessions no synchronization no bgp default ipv4 activate Deactivate default IPv4 advertisements neighbor 123 123 1 230 remote as 65001 Define IBGP session with another PE neighbor 123 123 1 230 description M SN 7507 A loopback neighbor 123 123 1 230 update source lo0 address family vpnv4 unicast Activate PE exchange of VPNv4 NLRI neighbor 123 123 1 230 activate exit address family Step 3 Associate interfaces with a VPN interface GigabitEthernet5 0 0 Set up GE interface as VRF link to a CE router ip vrf forwarding education ip address 123 123 4 1 255 255 255 252 interface GigabitEthernet 8 0 0 101 Setup up 2924 FE port as VRF link encapsulation dot1q 101 ip vrf forwarding education ip address 123 123 4 5 255 255 255 252 Step 4 Assuming static routes are used for connecting the CE side network ip route vrf education 172 16 0 0 255 255 0 0 123 123 4 2 ip route vrf education 192 168 1 0 255 255 255 0 123 123 4 6 第七章将详细阐述 MPLS VPN PE CE 连接的实现 第八章阐述 VPN 用户如何连接到 Internet 3 4 商业商业 Internet 接入模块接入模块 1 1 结构 结构 城域网的这一部分主要包括用于向用户提供商业 Internet 接入服务的设备和链路 用 户在自己驻地有自已的路由器用于进行 Internet 接入 商业 Internet 接入模块部分包括以下设备 Access Router Cisco 7500 series routers M SN 7507 A M HMG 7513 A M DX 7507 A M NS 7507 A M XA 7507 A M LZ 7507 A M STJ 7507 A M SK 7507 A Commercial Internet Access Concentrator Cisco Catalyst 2924M XL LAN switches M SN 2924 B M HMG 2924 B M DX 2924 B M NS 2924 B M XA 2924 B M LZ 2924 A M STJ 2924 B M SK 2924 B 注 7500 路由器作为一个接入平台同时起 IP VPN 功能和商业 Internet 接入功能 商业 Internet access concentrator 通过 FE 接口接到 7500 路由器上 作为上联链路 每个单独的 2924 交换机的 100M 以太网端口定义为独立的 VLAN 在 7500 路由器上的 FE 端 口上 为每个 access VLAN 定义一个 sub interface 在逻辑结构上 商业 Internet 接入模块和 IP VPN 服务模块非常相似 它们的区别在 于使用的 VLAN 编号不一样 VLAN 编号规则见下一章 为了向用户提供商业 Internet 接入功能 需要进行以下几个步骤的配置 1 在 Commercial Internet Access Concentrator 上分配一个 100M 以太网端 口 2 通过 FE to Fiber 单模光纤转换器将该端口延伸到用户端 3 在 Commercial Internet Access Concentrator 上为该端口分配一个 VLAN 4 在 7500 路由器的 FE 端口上生成一个 sub interface 将该 sub interface 联系到这个 VLAN 上 5 为这一段链路分配 IP 地址 6 在 7500 路由器上为用户的 network 作静态路由 2 2 实现 实现 M DX 7507 A Router VLAN 2xxVLAN 201 Logically function as point to point links Router at customer site Acting as Area Border Router route summarization happened here 因为 access VLAN 可以看作是 point to point 连接 我们只需要为这段链路分配一个 30 的子网 因为 VLAN 是 multi access 介质 所以不能作 ip unnumbered 处理 在用户驻地 用户需要提供一个具有 100M 以太网接口的路由器 用于接入城域网 用户的 IP 地址块可以从城域网的用户网络地址块中分配 也可以从其它地方申请到的 IP 地址 建议采用前者 因为这样可以作路由聚合 减少网络开销 为了使用户的 IP 地址可以从 Internet 和 MAN 上访问到 在 7500 上要做静态路由 然 后将此静态路由 redistribute 到 IGP 中 在 7500 上要做 IGP 的 address summarization 这样防止过多的 external route 进入 MAN 的骨干 下面是提供商业 Internet 接入的 7500 路由器的 Sample configuration interface FastEthernet 6 0 0 101 encapsulation dot1q 101 ip address 123 123 5 1 255 255 255 252 router ospf 100 redistribute static metric 10 metric type 1 subnets network 123 123 1 0 0 0 0 255 area 0 network 123 123 4 0 0 0 0 255 area 3 network 123 123 5 0 0 0 0 255 area 3 summary address 123 123 20 0 255 255 255 0 ip route 123 123 20 0 255 255 255 240 123 123 5 2 3 5 小区小区 Internet 接入模块接入模块 1 1 结构 结构 城域网的这一部分主要包括用于用信息化小区用户提供高速 Internet 接入服务的设备 和链路 小区驻地设备假定为一台路由器或一台以太网交换机 用户在自己家里通过一台 PC 和一个以太网卡上 Internet 这部分的连接方式以及用户的论证 计费等功能的详细讨论 见附件 商业 Internet 接入模块部分包括以下设备 Community Internet Access Concentrators M SN 6509 A M HMG 6509 A M DX 6509 A M NS 6509 A Catalyst 6509 以太网交换机的每个 100M 端口被配置单独的 VLAN 一个 100M 端口通 过 FE to Fiber 单模光纤转换器延伸到用户驻地 该段地址的分配从骨干网的 IP 块中分配 小区和城域网的连接方式可以有两种 一种是小区通过路由器和 6509 相连 在种结构 下 Access VLAN 逻辑上可以看作 point to point 的点到点链路 这使得网络具有较好的可 扩充性 同时限制了用户端的广播影响到城域网的性能 这种结构下小区路由器必须配置 100M 以太网接口