深圳市ip城域网组网技术方案

深圳市IP城域网组网技术方案深圳电信局新技术开发中心目录一、设计原则3二、设备用途说明和命名规则621SITE代码622设备命名规则623设备用途描述7三、网络架构1131核心骨干模块BACKBONE1132INTERNET163/169连接点模块1333IPVPN服务模块1434商业INTERNET接入模块1835小区INTERNET接入模块2036政府上网接入模块2237主机托管模块23四、设备互连2541远程连接2542本地连接2543设备插槽分配策略2644VLAN编号和用途说明26五、IP地址2951IP地址模式2952域内路由协议IGP2953IP地址分配2954IP子网规划30六、和163/169的连接3361缺省路由3362EBGP出口路由设计3463在多出口上实现流量均衡34七、MPLSVPNPECE的连接36八、VPN的INTERNET接入3881VPNINTERNET网关3882VPDNFORVPN40九、NMS网段42十、安全控制45十一、QOS48111可选择的工具48112实现的模型49附件一IP地址分配计划表53附件二小区INTERNET接入方案581、SSO（SERVICESIGNON）系统582REDBACKSMS宽带接入服务器623两种方式的比较。63附件三图表65一、设计原则随着深圳电信的互联网业务的快速发展，可以预测的用户需求在几年内将成几何级数增长，同时，随着中国加入WTO的时间表的逼近，来自各个方面的竞争压力不断增加。但是，目前深圳电信的互联网基础设施还不够发达，不足以迅速占领市场的制高点，在未来的竞争中立于不败之地。因此，深圳电信局决定建设一个先进的、灵活的、可靠的、基于标准的城市骨干通信平台，使得深圳电信能够基于这个平台，针对市场上IP用户的大量宽带多媒体应用的需求，迅速推出一系列崭新的宽带多媒体业务，从而吸引更多的用户，增加市场竞争力，实现网络的商用价值，并为今后满足市场新的业务需求而迅速推出新的业务打好基础。深圳IP城域网一期工程的建设目标是将IP城域网建成为数据业务的统一骨干平台，在此平台上为政府、企业、学校提供高速接入，同时提供VPN等增值业务。基于以上的建立目标，深圳IP城域网的设计原则为1可靠性原则；2可扩充性原则；3简单和易于管理的原则；4可以集中管理的原则；5效率高；6和现有网络有较好的集成；7安全性；网络可靠性通过下述的设计思路来达到在网络核心层进行PARTIALMESHED冗余物理连接；接入层设备通过DUALHOMING双连接到核心层；网络采用多出口设计到INTERNETE163/169；在接入层采用ROUTESUMMARIZATION减少边缘链路波动对核心的影响；合理采用静态路由，提高可靠性；网络可扩充性通过下述的设计思路来达到网络采用明显的“核心分布”层次结构；简单而有效的IP地址分配策略；采用可靠和可扩展的IGP路由协议；简单和易于维护性通过下述设计思路来达到所有的网络设备被分配专门的用途；避免复杂的配置；网络设备命名直观而易记；统一的SLOT、PORT、VLAN的分配策略；每台设备都配有LOOPBACK地址，易于维护；集中管理通过下述设计思路来达到为中央网络管理系统配有专门的管理网段；从中央网管网段可以到达所有设备；VPNPECE连接从NMS网段同样可以到达；为所有互连网段包括VPNPECE连接都采用合法IP地址；运行的高效性通过下述设计思路来达到核心层互连链路采用相同接口类型和相同速率，便于作负载平衡；城域网内部采用缺省路由配合IGPMETRIC作出口选择；和INTERNET的多连接上采用BGPMED特性进行负载分担；和现有网络的集成通过下述设计思路来达到采用开放的、标准的路由协议将城域网分为多个路由区域，现有网络可以通过单独的域连接上来；和INTERNET163/169的BGP连接通过保留的AS号，这样不会影响广东省和中国电信163/169网络出国的BGP路由；安全性通过下述设计思路来达到对所有重要事件进行LOG；限制对设备的SNMP和TELNET；采用NTP协议对全网的设备进行同步；对不安全的端口上将路由协议进行PASSIVE，防止不必要的路由泄露；对网络设备的USER和PRIVILEGE状态进行存取控制；网络总体结构如图所示黄木岗一一IP一一一一枢纽新安蛇口龙中沙头角电信南山龙脉骨干层西乡中学西乡小学宝安中学宝安教育局福田中学、实验学校教育学院、电子技校外语学院POS25GGE10MF10网管GSR120750/7513CATLYST609ATLYST294福田区教育局等盐田区教育局等信息化小区信息化小区、企业上网信息化小区企业上网信息化小区龙岗区教育局等广电大学深圳小学教育局等信息化小区、企业上网深圳中学深圳大学南山区教育局等信息化小区企业上网主机托管主机托管机关专用局VPN网管CEROUTERISC3620二、设备用途说明和命名规则21SITE代码SITESITECODE枢纽SN黄木岗HMG电信DX南山NS新安XA龙中LZ沙头角STJ东港中心DG新南头XNT机关专用局JG蛇口SK鸿波HB龙脉LMSITE代码是地点名的拼音缩写而成。前11个SITE是本期工程所要安装设备的点，后2个SITE不涉及设备安装。22设备命名规则MANSITECODEEQUIPMENTTYPEUNIQUEIDEGA1ST12012B2ND12012MHMG12012A解释1设备类型为“6509”代表CATALYST6509SWITCH的LANSWITCH部分；2设备类型为“6509R”代表CATALYST6509SWITCH的ROUTING部分6509R1代表安装在6509的PRIMARYSUPERVISORYCARD上的MSFCFEATURECARD；6509R2代表安装在6509的REDUNDANTSUPERVISORYCARD上的MSFCFEATURECARD。23设备用途描述SITEDEVICEMODELDEVICENAMEUSAGE枢纽楼GSR12012MSN12012AMPLSCOREROUTER7507MSN7507AMPLSPEROUTER3620MSN3620AVPNMANAGEMENTCEROUTER2924MXLMSN2924AVPNGEFANOUTACCESSCONCENTRATOR2924MXLMSN2924BCOMMERCIALINTERNETACCESSCONCENTRATORVPNGEFANOUT6509MSFCMSN6509R1AINTERVLANROUTING6509MSFCMSN6509R2AINTERVLANROUTING6509MSN6509ACOMMUNITYINTERNETACCESSCONCENTRATORLOCALSERVERHOSTING黄木岗GSR12012MHMG12012AMPLSCOREROUTER7513MHMG7513AMPLSPEROUTER2924MXLMHMG2924AVPNACCESSCONCENTRATORGEFANOUT2924MXLMHMG2924BCOMMERCIALINTERNETACCESSCONCENTRATORVPNFEFANOUT6509MSFCMHMG6509R1AINTERVLANROUTING6509MSFCMHMG6509R2AINTERVLANROUTING6509MHMG6509ACOMMUNITYINTERNETACCESSCONCENTRATORLOCALSERVERHOSTING电信GSR12012MDX12012AMPLSCOREROUTER7507MDX7507AMPLSPEROUTER2924MXLMDX2924AVPNACCESSCONCENTRATORVPNGEFANOUT2924MXLMDX2924BCOMMERCIALINTERNETACCESSCONCENTRATORVPNFEFANOUT6509MSFCMDX6509R1AINTERVLANROUTING6509MSFCMDX6509R2AINTERVLANROUTING6509MDX6509ACOMMUNITYINTERNETACCESSCONCENTRATORLOCALSERVERHOSTING6509MSFCMDX6509R1BINTERVLANROUTING6509MSFCMDX6509R2BINTERVLANROUTING6509MDX6509BRESERVEDFOR163SERVERHOSTINGINDXLOCALSERVERHOSTING东港中心6509MSFCMDG6509R1AINTERVLANROUTING6509MSFCMDG6509R2AINTERVLANROUTING6509MDG6509ASREMOTESERVERHOSTING6509MSFCMDG6509R1BINTERVLANROUTING6509MSFCMDG6509R2BINTERVLANROUTING6509MDG6509BSERVERHOSTING南山GSR12012MNS12012AMPLSCOREROUTER7507MNS7507AMPLSPEROUTER2924MXLMNS2924AVPNACCESSCONCENTRATOR2924MXLMNS2924BCOMMERCIALINTERNETACCESSCONCENTRATOR6509MSFCMNS6509R1AINTERVLANROUTING6509MSFCMNS6509R2AINTERVLANROUTING6509MNS6509ACOMMUNITYINTERNETACCESSCONCENTRATOR新南头6509MSFCMXNT6509R1AINTERVLANROUTING6509MSFCMXNT6509R2AINTERVLANROUTING6509MXNT6509ASERVERHOSTING6509MSFCMXNT6509R1BINTERVLANROUTING6509MSFCMXNT6509R2BINTERVLANROUTING6509MXNT6509BSERVERHOSTING新安GSR12012MXA12012AMPLSCOREROUTER7507MXA7507AMPLSPEROUTER2924MXLMXA2924AVPNACCESSCONCENTRATOR2924MXLMXA2924BCOMMERCIALINTERNETACCESSCONCENTRATOR龙中GSR12012MLZ12012AMPLSCOREROUTER7507MLZ7507AMPLSPEROUTER2924MXLMLZ2924AVPNACCESSCONCENTRATOR沙头角GSR12012MSTJ12012AMPLSCOREROUTER7507MSTJ7507AMPLSPEROUTER2924MXLMSTJ2924AVPNACCESSCONCENTRATOR2924MXLMSTJ2924BCOMMERCIALINTERNETACCESSCONCENTRATOR蛇口7507MSK7507AMPLSPEROUTER2924MXLMSK2924ACOMMERCIALINTERNETACCESSCONCENTRATOR机关专用局6509MSFCMJG6509R1AINTERVLANROUTING6509MSFCMJG6509R2AINTERVLANROUTING6509MJG6509AGOVERNMENTAGENCYINTERNETACCESSCONCENTRATOR设备用途说明1MPLSCOREROUTER设备用作MPLS核心LABEL交换路由器；不直接连接任何用户；所有核心层路由器之间、核心路由器和PE路由器之间的连接必须MPLSENABLED；核心路由器只能运行独一的IGP路由协议；2MPLSPEROUTER设备用作MPLSPROVIDEREDGEROUTER（PE）；所有VPN用户端的连接终结在PE上；同时，PE路由器作为INTERNET分布层接入路由器；PE在IGP上作为ABR，进行路由聚合；3VPNACCESSCONCENTRATOR设备用于VPN扇出，上联链路为PE路由器GEVLANTRUNK；每一个FE交换端口属于一个单独的VLAN；每个FE交换端口和用户设备通过FETOFIBER单模光纤转换器连接；注该转换连接不属本次工程范畴4COMMERCIALINTERNETACCESSCONCENTRATOR设备用于商业用户的高速INTERNET接入；每一个FE交换端口属于一个单独的VLAN；每个FE交换端口和用户设备通过FETOFIBER单模光纤转换器连接；注该转换连接不属本次工程范畴5INTERVLANROUTING设备用作INTERVLAN路由，这些VLAN是通过SWITCH建立起来的；同时，该设备还用于INTERNET接入路由器；设备在IGP中作为ABR，进行路由聚合；6COMMUNITYINTERNETACCESSCONCENTRATOR设备用于小区用户高速INTERNET接入；SUPERVISORYENGINE上的GE端口通过多模光纤连接到本地的MPLSCORE路由器上；VLANA1作用于INTERVLAN路由器（MFSC）作为管理网段；VLAN通过FETOFIBER单模光纤转换器和小区的用户设备相连；注该转换连接不属本次工程范畴7SERVERHOSTING设备（LAN交换机）用于连接各种主机托管服务器；SUPERVISORYENGINE上的GE端口通过单模光纤连接到远程的MPLSCORE路由器上；VLNA1作于INTERVLAN路由器（MFSC）作为管理网段；8VLANMANAGEMENTCEROUTER设备作为一个CE路由器，连接中央网管网段，通过VPN连接到所有的用户VPN上，以便于中央网管对所有PECE链路和CE路由器进行管理；一个FE端口连接到本地PE上网管专用FE端口，另一个FE端口连接到LOCALSERVERHOSTING以太网交换机上，通过网管专用网段和网管主机相连接；9GOVERNMENTINTERNETACCESSCONCENTRATOR设备用作政府机构上网的接入集中器，提供高速INTERNET连接；6509上的SUPERVISORYENGINE的GE口通过单模光纤连接到最近的MPLSCOREROUTER；VLANA1作用于INTERVLAN路由器（MFSC）作为管理网段；VLAN通过FETOFIBER单模光纤转换器和小区的用户设备相连；注该转换连接不属本次工程范畴三、网络架构深圳IP城域网在网络结构上分成核心层和接入层，在功能上提供VPN互连、高速商业INTERNET接入、高速小区INTERNET接入、政府上网接入、主机托管连接等多种服务类别。因此，为了在一种清晰的结构上进行网络设计，对网络进行功能模块的划分，将深圳IP城域网分为以下几个模块核心骨干模块INTERNET163/169连接点模块IPVPN服务模块商业INTERNET接入模块小区INTERNET接入模块政府上网接入模块主机托管模块31核心骨干模块BACKBONE1、结构的城域网的核心骨干模块由分布在7个不同地点的7台CISCOGSR12012路由器构成，分别是BACKBONEMODULEIPVPNSERVICEMODULECOMMERCIALINTERNETACCESSSERVICEMODULECOMMUNITYINTERNETACCESSSERVICEMODULEGOVERNMENTINTERNETACCESSSERVICEMODULESERVERHOSTINGSERVICEMODULEINTERNETPEERINGMODULENETWORKMANAGEMENTMODULEMSN12012A枢纽的GSR12012MHMG12012A黄木岗的GSR12012MDX12012A电信的GSR12012MNS12012A南山的GSR12012MXA12012A新安的GSR12012MLZ12012A龙中的GSR12012MSTJ12012A沙头角的GSR12012这7台GSR12012通过POS接口卡单模光纤以PARTIALMESHED结构互连；为了确保核心骨干模块的MPLS标签分配和路由表的稳定，这7台GSR12012及它们之间互相连接的LINK必须独立地分配在IGP的AREA0域中。从其它模块学到的路由在进入CORE之前必须先进行AGGREGATE或SUMMARIZE，以免造成对CORE的路由影响。2、实现作为IP城域网的核心，要承载包括IPV4和MPLSVPN两种不同的TRAFFIC，所以，每台COREROUTER必须是能够支持TAGSWITCHING。在这种配置下，MPLSVPN的TRAFFIC被TAGSWITCHED，而普通IPV4的TRAFFIC被ROUTED。下面是一台COREROUTER的SAMPLECONFIGURATIONTAGSWITCHINGADVERTISETAGSINTERFACEPOS2/0DESCRIPTION“SM01FIBERLINKTOMXA12012APOS2/0”IPADDRESS12312311255255255252TAGSWITCHINGIPCOREAREASERVICEMODULESSERVICEMODULESSERVICEMODULESAGGREGATEDORSUMMARYROUTESONLYDXLZHMGXANSSNSTJ为了减少TAGSWITCH的目标LABLE，可以采取ACCESSLIST的方法来限制标签的分配。配置如下TAGSWITCHINGADVERTISETAGSFOR1ACCESSLIST1PERMIT1231231230/LOOPBACK0ADDRESSOFMSN7507AACCESSLIST1PERMIT1231231231/LOOPBACK0ADDRESSOFMHMG7513AACCESSLIST1PERMIT1231231232/LOOPBACK0ADDRESSOFMDX7507AACCESSLIST1PERMIT1231231233/LOOPBACK0ADDRESSOFMNS7507AACCESSLIST1PERMIT1231231234/LOOPBACK0ADDRESSOFMXA7507AACCESSLIST1PERMIT1231231235/LOOPBACK0ADDRESSOFMLZ7507AACCESSLIST1PERMIT1231231236/LOOPBACK0ADDRESSOFMSTJ7507A在上面的配置下，TAGSWITCHING在限于目标地址是MULTIPROTOCOLBGPNEIGHBOR的COREROUTER的LOOPBACK地址，大大减轻了COREROUTER在LABLE分配上的开销。其它TRAFFIC进行普通路由。32INTERNET163/169连接点模块1、结构在本期IP城域网工程中，黄木岗和电信的两台COREROUTERMHMG12012A和MDX12012A作为和163/169连接的边界路由器。其中，黄木岗MHMG12012A通过一条OC48链路连接到163；电信MDX12012A通过一条GE链路连接到163。COREAREA163BACKBONEDXLZHMGXANSSNSTJ在广东省163扩容工程结束后，这种连接将改变。到那时，2台新加入的GSR路由器MSN12012B和MNS12012B将代替本期工程中的2台边界路由器作为新的163出口路由器。边界路由功能随之而转移到新的GSR路由器上。在第六章中将详细讲述和163边界路由器的路由策略，包括如何在多出口点之间进行INBOUNDTRAFFIC和OUTBOUNDTRAFFIC的LOADBALANCE，以及如何保证路由对称性的问题。2、实现深圳IP城域网和163网之间运行BGP路由协议，下面是MHMG12012A的SAMPLECONFIGURATIONROUTERBGP65001NOSYNCHRONIZATIONNETWORK12312300MASK2552552240NEIGHBOR123123146REMOTEAS123NEIGHBOR123123146DESCRIPTION“25GBPSLINKSTOHB163BACKBONE”NEIGHBOR123123146VERSION4NEIGHBOR123123146FILTERLIST1INNEIGHBOR123123146FILTERLIST10OUTIPASPATHACCESSLIST1DENYIPASPATHACCESSLIST10PERMITIPROUTE123123002552552240NULL0IPROUTE00000000123123146城域网的边界路由器不从163路由器学习任何INTERNET路由，所有IP城域网不知道的路由都通过缺省路由送至163网络。33IPVPN服务模块1、结构IPVPN服务模块包括向用户提供IPVPN服务的路由器和交换机，路由器主要是7507或7513，交换机主要是2924。这些设备包括PROVIDEREDGEPEROUTERCISCO7500SERIESROUTERSMSN7507AMHMG7513AMDX7507AMNS7507AMXA7507AMLZ7507AMSTJ7507AVPNACCESSCONCENTRATORCISCOCATALYST2924MXLLANSWITCHESMSN2924AMHMG2924AMDX2924AMNS2924AMXA2924AMLZ2924AMSTJ2924A所有VPNACCESSCONCENTRATOR2924MXL都是100MBASET以太网交换机，通过GE链路连接到7500系列路由器上。该GE链路被定义为MULTIVLANTRUNK。2924MXL上的每个100M端口被映射到一个单独的VLAN上，7500路由器上为每个VLAN建立一个SUBINTERFACE。要向用户提供IPVPN服务，需要进行下列步骤在VPNACCESSCONCENTRATOR2924MXL上分配一个100M端口；通过FETOFIBER单模光纤转换器连接用户端的设备；将分配到的100M端口映射到VPNACCESSCONCENTRATOR2924MXL的一个VLAN上；在PE7500的GE端口上为该VLAN建立一个SUBINTERFACE；将该SUBINTERFACE联系到一个VPN上；在用户端，用户提供CE路由器通过100M端口连接到PE上。MDX7507AROUTERVLAN1XXVLAN109LOGICALLYFUNCTIONASPOINTTOPOINTLINKSROUTERATCUSTOMERSITE2、实现A、VLANTRUNKTRUNK是交换机之间或交换机和路由器之间的点到点链路，TRUNK在整个网络内承载MULTIVLAN的流量。目前有两种TRUNK封包技术，一种是CISCO专用技术ISLINTERSWITCHLINK，另一种是IEEE8021Q，是国际标准。在本次城域网工程中，使用IEEE8021Q作为INTERVLAN的TRUNK封包技术。下面是2924MXL用作VPNACCESSCONCENTRATOR的SAMPLECONFIGURATIONINTERFACEGIGABITETHERNET1/1SWITCHPORTMODETRUNKSWITCHPORTTRUNKENCAPSULATIONDOT1Q下面是PE路由器7500的TRUNK端口的SAMPLECONFIGURATIONINTERFACEGIGABITETHERNET8/0/0103ENCAPSULATIONDOT1Q103IPADDRESS12312341255255255252B、MPLSVPNMPLS采用虚拟路由表的方法来实现一个路由器上多个VPN的路由表。每一个VPN对应一个或多个VRFSVPNROUTING/FORWARDINGINSTANCE。VRF定义连接到PE上的VPN成员一个SITE资格。一个VRF包括一个IP路由表、一个CEFCISCOEXPRESSFORWARDING表、几个相关联的端口、和一些控制路由的规则和参数。用户SITE和VPN之间可以不是一一对应的，一个用户SITE可以是多个VPN的成员。但是，一个用户SITE只可以和一个VRF相关联。一个用户SITE的VRF包括所有该SITE所属VPN到该SITE的路由。数据包的路由和交换由VRF路由表和单独的CEF表所控制，每一个VPN对应一个路由表和一个CEF表，这样可以防止PACKET被交换到不关联的端口上去，同时也防止不关联的端口的PACKET被交换到该VPN中。VPN路由信息的传播由VPNROUTETARGETCOMMUNITIES来控制，这主要是通过BGP的EXTENDEDCOMMUNITIES属性来实现的。VPN路由信息的传播通过下述的方法进行工作当一条从CE处学习到的VPN路由被INJECT到BGP中时，一些VPNROUTETARGETCOMMUNITIES属性被赋于它；其中主要包括ROUTETARGET属性，该属性决定这些ROUTE将被EXPORT到哪些VRF。每个VRF配置有一个IMPORTROUTETARGET列表，该列表指明了一个BGP的UPDATE中的COMMUNITY属性应该包含什么ROUTETARGET才能被目标VRF接受。比如，某一个VRF的IMPORTROUTETARGET列表指明ROUTETARGETCOMMUNITIESA、B和C，这样，每一个MPIBGP的UPDATE中COMMUNITIES属性的ROUTETARGET中有A或B或C的ROUTE将被IMPORT到该VRF中。一个PE路由器可通过静态路由、RIP或BGP从CE处得到某一个IP前缀的路由，该前缀是标准IPV4的前缀。然后，PE通过加上一个8字节的RDROUTEDISTINGUISHER将它转换成为一个VPNIPV4的前缀。通过这种方法，可以使用户地址唯一，即使用户使用的是IANA规定的保留地址。用于生成VPNIPV4前缀的RDROUTEDISTINGUISHER由PE路由器的VRF配置命令指定。MPBGP协议为VPN的每个VPNIPV4前缀传递NLRINETWORKLAYERREACHABILITYINFORMATION。BGP实体之间的通信有两种可能，AS内的IBGP和AS间的EBGP，PEPE和PERRROUTEREFLECTOR之间为IBGP，PECE之间为EBGP。BGP协议通过BGP多协议扩展BGPMULTIPROTOCOLEXTENSIONS参见RFC2283,MULTIPROTOCOLEXTENSIONSFORBGP4来传递VPNIPV4的路由可达性信息，多协议扩展的BGP采用的方法为限定BGP的PEER只能从其它VPN的同伴处得到BGP路由。IP包经过MPLS标签交换到其目标地址，其选路的基础是VRF路由表和VRFCEF表。PE路由器为每一个从CE路由器学到的前缀产生一个LABEL，然后将这个LABEL作为一个BGPCOMMUNITIES属性附加到BGP更新中传递出去。当一个源PE路由器从CE路由器处得到一个IP包，它使用从目标PE路由器学到的LABEL将该IP包发送出去。当目标PE路由器得到这个LABELEDIP包后，将LABEL从IP包中去除，作为一个纯IP包发送到CE路由器。当LABELEDIP包在核心骨干部分传递时，其基于LABELSWITCHING或TRAFFICENGINEEREDPATH进行，一个用户的IP包在核心穿行时，携带了2层LABEL第一层LABEL指示到正确的目标PE路由器；第二层LABEL给目标PE路由器指示，到哪一个其连接的SITE链路。下面以黄木岗MHMG7513A为例，给出建立一个名为“EDUCATION”的VPN的SAMPLECONFIGURATIONSTEP1CREATEVRFINSTANCEIPVRFEDUCATIONDEFINEVPNROUTINGINSTANCE“EDUCATION”RD65001101SPECIFYTHEROUTEDISTINGUISHERROUTETARGETBOTH65001101CONFIGUREIMPORTANDEXPORTROUTETARGETSFOR“EDUCATION”STEP2ACTIVATINGPEEXCHANGEOFVPNV4NLRIOVERIMPBGPROUTERBGP65001CONFIGUREBGPSESSIONSNOSYNCHRONIZATIONNOBGPDEFAULTIPV4ACTIVATEDEACTIVATEDEFAULTIPV4ADVERTISEMENTSNEIGHBOR1231231230REMOTEAS65001DEFINEIBGPSESSIONWITHANOTHERPENEIGHBOR1231231230DESCRIPTION“MSN7507ALOOPBACK”NEIGHBOR1231231230UPDATESOURCELO0ADDRESSFAMILYVPNV4UNICASTACTIVATEPEEXCHANGEOFVPNV4NLRINEIGHBOR1231231230ACTIVATEEXITADDRESSFAMILYSTEP3ASSOCIATEINTERFACESWITHAVPNINTERFACEGIGABITETHERNET5/0/0SETUPGEINTERFACEASVRFLINKTOACEROUTERIPVRFFORWARDINGEDUCATIONIPADDRESS12312341255255255252INTERFACEGIGABITETHERNET8/0/0101SETUPUP2924FEPORTASVRFLINKENCAPSULATIONDOT1Q101IPVRFFORWARDINGEDUCATIONIPADDRESS12312345255255255252STEP4ASSUMINGSTATICROUTESAREUSEDFORCONNECTINGTHECESIDENETWORKIPROUTEVRFEDUCATION17216002552550012312342IPROUTEVRFEDUCATION19216810255255255012312346第七章将详细阐述MPLSVPNPECE连接的实现，第八章阐述VPN用户如何连接到INTERNET。34商业INTERNET接入模块1、结构城域网的这一部分主要包括用于向用户提供商业INTERNET接入服务的设备和链路。用户在自己驻地有自已的路由器用于进行INTERNET接入。商业INTERNET接入模块部分包括以下设备ACCESSROUTERCISCO7500SERIESROUTERSMSN7507AMHMG7513AMDX7507AMNS7507AMXA7507AMLZ7507AMSTJ7507AMSK7507ACOMMERCIALINTERNETACCESSCONCENTRATORCISCOCATALYST2924MXLLANSWITCHESMSN2924BMHMG2924BMDX2924BMNS2924BMXA2924BMLZ2924AMSTJ2924BMSK2924B注7500路由器作为一个接入平台同时起IPVPN功能和商业INTERNET接入功能。商业INTERNETACCESSCONCENTRATOR通过FE接口接到7500路由器上，作为上联链路。每个单独的2924交换机的100M以太网端口定义为独立的VLAN，在7500路由器上的FE端口上，为每个ACCESSVLAN定义一个SUBINTERFACE。在逻辑结构上，商业INTERNET接入模块和IPVPN服务模块非常相似。它们的区别在于使用的VLAN编号不一样。VLAN编号规则见下一章。为了向用户提供商业INTERNET接入功能，需要进行以下几个步骤的配置1、在COMMERCIALINTERNETACCESSCONCENTRATOR上分配一个100M以太网端口；2、通过FETOFIBER单模光纤转换器将该端口延伸到用户端；3、在COMMERCIALINTERNETACCESSCONCENTRATOR上为该端口分配一个VLAN；4、在7500路由器的FE端口上生成一个SUBINTERFACE，将该SUBINTERFACE联系到这个VLAN上；5、为这一段链路分配IP地址；6、在7500路由器上为用户的NETWORK作静态路由；2、实现MDX7507AROUTERVLAN2XXVLAN201LOGICALLYFUNCTIONASPOINTTOPOINTLINKSROUTERATCUSTOMERSITEACTINGASAREABORDERROUTERROUTESUMMARIZATIONHAPPENEDHERE因为ACCESSVLAN可以看作是POINTTOPOINT连接，我们只需要为这段链路分配一个/30的子网。因为VLAN是MULTIACCESS介质，所以不能作IPUNNUMBERED处理。在用户驻地，用户需要提供一个具有100M以太网接口的路由器，用于接入城域网。用户的IP地址块可以从城域网的用户网络地址块中分配，也可以从其它地方申请到的IP地址。建议采用前者，因为这样可以作路由聚合，减少网络开销。为了使用户的IP地址可以从INTERNET和MAN上访问到，在7500上要做静态路由，然后将此静态路由REDISTRIBUTE到IGP中。在7500上要做IGP的ADDRESSSUMMARIZATION，这样防止过多的EXTERNALROUTE进入MAN的骨干。下面是提供商业INTERNET接入的7500路由器的SAMPLECONFIGURATIONINTERFACEFASTETHERNET6/0/0101ENCAPSULATIONDOT1Q101IPADDRESS12312351255255255252ROUTEROSPF100REDISTRIBUTESTATICMETRIC10METRICTYPE1SUBNETSNETWORK12312310000255AREA0NETWORK12312340000255AREA3NETWORK12312350000255AREA3SUMMARYADDRESS1231232002552552550IPROUTE1231232002552552552401231235235小区INTERNET接入模块1、结构城域网的这一部分主要包括用于用信息化小区用户提供高速INTERNET接入服务的设备和链路。小区驻地设备假定为一台路由器或一台以太网交换机，用户在自己家里通过一台PC和一个以太网卡上INTERNET。这部分的连接方式以及用户的论证、计费等功能的详细讨论，见附件。商业INTERNET接入模块部分包括以下设备COMMUNITYINTERNETACCESSCONCENTRATORSMSN6509AMHMG6509AMDX6509AMNS6509ACATALYST6509以太网交换机的每个100M端口被配置单独的VLAN，一个100M端口通过FETOFIBER单模光纤转换器延伸到用户驻地，该段地址的分配从骨干网的IP块中分配。小区和城域网的连接方式可以有两种，一种是小区通过路由器和6509相连，在种结构下，ACCESSVLAN逻辑上可以看作POINTTOPOINT的点到点链路，这使得网络具有较好的可扩充性，同时限制了用户端的广播影响到城域网的性能。这种结构下小区路由器必须配置100M以太网接口另一种方式是小区通过SWITCH或HUB和6509相连，这种结构下，6509的下联端口和用户相享一个广播域，用户的广播包会影响6509的性能。但这种结构对小区的要求更低，易于实现。这两种结构下，小区的IP地址分配都是按地址块进行，当小区用户增加需要增加IP地址时，分配另一块IP地址给小区，前者在路由器上作路由，后者通过对6509的相关端口设置SECONDARYIP地址来实现。相对而言，前者更具有灵活性、可扩充性，而且效率更高。后者则实现简单，成本更低。逻辑上，小区INTERNET接入服务模块实现结构图如下MDX6509R1AROUTINGENGINEMDX6509R2AROUTINGENGINEVLAN401VLAN4XXVLAN402VLAN4XXVLAN1MANBACKBONECOMMUNITYACCESSNETWORKLOGICALLYFUNCTIONASPOINTTOPOINTLINKVLAN11SIGNONSERVERRADIUSSERVERSERVICEGATEWAY小区接入的网络可以采用任何组网技术，小区的网络采用的IP地址块最好从城域网分配到的用户IP地址块中分配，这样有利于做ROUTESUMMARIZATION。2、实现正如拨号接入用户，小区INTERNET用户也需要经过论证才能访问INTERNET，论证通过后，还需要对用户的访问进行计费。这部分功能需要安装另外的论证服务网关，在小区接入的ACCESSCONCENTRATOR上要建立一个专用的VLAN，用于连接这些论证服务器或服务网关。如果只需要对用户进行粗粒度的计费，还可以在6509的接口上设置CAR以限制小区总体接入带宽，以租用线路的方式向用户提供服务。这个VLAN的IP地址从骨干网的IP地址块中分配。不同的小区接入网从不同的IP地址块中分配IP地址。详细讨论见附件。36政府上网接入模块1、结构城域网的这一部分主要包括用于深圳市政府的用关部门接入INTERNET的设备和链路。政府上网接入方式和商业INTERNET接入的方式相似，接入ACCESSCONCENTRATOR6509的每一个100M端口通过FETOFIBER单模光纤转换器延伸到政府部门，政府部门驻地设备应包括一台路由器和一台/多台交换机，其中路由器应配有100M以太网接口。政府上网接入模块只包含1部设备MJG6509A尽管只有一台设备，MJG6509A包括1个LAN交换机和2个内嵌式路由器。这2部路由器分担政府上网的信息流量。物理上，MJG6509A通过LONGHAUL千兆以太网光纤接到黄木岗MHMG7513A路由上，下面的图描述了这3台路由器如何连接，提供政府机关上网以及其它服务MHMG7513AROUTERMJG6509R1AROUTINGENGINEMJG6509R2AROUTINGENGINEMANBACKBONEIPVPNSERVICESBROADBANDINTERNETSERVICESVLAN1VLAN101VLAN1XXVLAN301VLAN3XXVLAN302VLAN3XX2、实现政府上网接入模块的逻辑结构使得可以向政府机关及部门提供灵活的服务，同样的ACCESSCONCENTRATOR可以提供高速INTERNET接入或IPVPN服务。要实现上述功能，7513和6509之间的GE链路需要定义为IEEE8021QMULTIVLANTRUNK。三台路由器之间通过VLAN1互联。像IPVPN和商业INTERNET接入实现一样，接入VLAN采用/30掩码，实现步骤和商业INTERNET接入相同。37主机托管模块1、结构城域网的这一部分主要包括用于通过城域网提供主机托管服务的设备和链路。主机托管模块包括以下设备CATALYST6509LANSWITCHESEACHWITHDUALMFSCROUTINGENGINESMDG6509AMDG6509BMXNT6509AMXNT6509B东港中心的两台6509交换机采用两条GELONGHAUL光纤连接到电信和黄木岗，新南头的两台6509交换机通过两条GELONGHAUL光纤连接到南山和新安。每台6509LAN交换机含有2台内嵌的路由器，下图以一个节点为例说明主机托管模块的逻辑结构2、实现为了使主机托管VLAN具有尽可能大的可用性，在该模块采用CISCOHSRPHOTSTANDBYROUTINGPROTOCOL。采用HSRP可以提供很好网络可用性，因为到托管主机的IP路由不依赖于一台单独的路由器。当HSRP在网段上使用时，它提供一个虚拟的MAC地址和一个IP地址，做成HSRP的路由器共享这两个地址。某一时刻只有一台路由器被选中用工作路由器，工作路由器对数据包进行路由和交换。对于一个包含4台路由器的HSRP组，需要41个IP地址和MAC地址。STANDBY的路由器侦测ACTIVE路由器的失败，当ACTIVE路由器DOWN机后，STANDBY路由器选出另一个ACTIVE路由器，该路由器接管该GROUP的IP地址和MAC地址,对数据包进行路由和交换。VLAN2MDG6509R1AROUTINGENGINEMDG6509R2AROUTINGENGINEMDX12012AVLAN3MDG6509R1BROUTINGENGINEMDG6509R2BROUTINGENGINEMHMG12012AVLAN1VLAN11VLAN12VLAN13SERVERHOSTINGVLANMANAGEMENTVLAN四、设备互连41远程连接一共有20个单模光纤连接，用于连接13个点SITE。AENDBENDLINKIDDEVICEIDSLOT/PORTDEVICEIDSLOT/PORTWAVELENGTHFOPOWERBUDGETSM01MHMG12012APOS2/0MXA12012APOS2/0155024DBSM02MHMG12012APOS3/0MNS12012APOS2/0155024DBSM03MSN12012APOS2/0MHMG12012APOS4/0155024DBSM04MSN12012APOS3/0MDX12012APOS2/0155024DBSM05MDX12012APOS3/0MSTJ12012APOS2/0155024DBSM06MDX12012APOS4/0MLZ12012APOS2/0155024DBSM07MNS12012APOS3/0MXA12012APOS3/0155024DBSM08MDX12012APOS5/0MNS12012APOS4/0155024DBSM09MSN12012APOS4/0MNS12012APOS5/0155024DBSM10MSN12012APOS5/0MSTJ12012APOS3/0155024DBSM11MHMG12012APOS5/0MLZ12012APOS3/0155024DBSM12MHMG12012APOS6/0HB12008POS/155024DBSM13MDX12012AGE8/0LHHB7507GE/LH1300105DBSM14MHMG7513AGE9/0LHMJG6509AGE1/2LH1300105DBSM15MHMG12012AGE8/0LHMDG6509BGE1/2LH1300105DBSM16MDX12012AGE9/0LHMDG6509AGE1/2LH1300105DBSM17MNS12012AGE8/0LHMXNT6509AGE1/2LH1300105DBSM18MXA12012AG