甘肃电信DCN网MPLSVPN方案.docx
- 文档编号:11632427
- 上传时间:2023-03-29
- 格式:DOCX
- 页数:56
- 大小:582.87KB
甘肃电信DCN网MPLSVPN方案.docx
《甘肃电信DCN网MPLSVPN方案.docx》由会员分享,可在线阅读,更多相关《甘肃电信DCN网MPLSVPN方案.docx(56页珍藏版)》请在冰豆网上搜索。
甘肃电信DCN网MPLSVPN方案
甘肃电信DCN网MPLS/VPN割接方案
(终稿)
北京新脉远望科技有限公司
2004-7
1MPLS/VPN概述
1.1MPLS技术概述
MPLS技术的全称是多协议标签交换技术,MPLS将IP路由控制和第二层交换的简单性无缝地集成起来,是ATM与IP技术的有机结合,在不改变用户现有网络的情况下能提供高速、安全、多业务统一的网络平台,满足网络用户的多种多样的需求。
MPLS引入了基于标签的机制,把选路和转发分开,由标签来规定一个分组通过网络的路径,数据传输通过标签交换路径(LSP)完成。
对于IP网络来说,就是通过在原IP数据包中添加标签头,将以前基于各路由节点的、独立的目标传递决策的数据包传递方式改变为基于固定标签长度的标签交换路径(LSP)的传递方式,从而避免在各个路由节点上的路由表查询过程,大大简化数据包传递过程。
在基于MPLS的网络中,有三种设备:
CE、PE和P路由器:
CE是用户直接与服务提供商相连的边缘设备,可以是路由器、交换机或者终端;在此设备上,用户IP数据包仍按原有方式传输,不会被加上标签。
PE路由器是骨干网中的边缘设备,它直接与用户的CE相连;在此处,用户IP数据包被打上标签,进入MPLS网络中通过标签交换进行传输,或者将从MPLS网络中来的数据通过IP路由传递进入正确的CE中。
P路由器是骨干网中不与CE直接相连的设备,P路由器负责将从PE传递来的、已打上标签的数据包按照标签转发表(LFIB)的信息进行标签交换(将数据包的入站标签替换为出站标签,并向下一个设备传递),P路由器必须能够支持和使用MPLS协议,并使用倒数第二跳弹出机制,将数据包传递到合适的PE处。
为实现基于MPLS的网络,IP路由信息的完整是必不可少的,因为标签的分配是基于路由表中IP路由前缀信息的,保证MPLS网络中IP路由的可达性是成功建立标签转发路径(LSP)的前提条件,一般通过IGP路由协议实现。
在大型网络中,MPLS主要有MPLS/QOS服务等级(CoS)、MPLS/TE流量工程、MPLS/VPN虚拟专网三种应用
1.2MPLS/QOS
MPLS的最重要的优势在于它能提供传统IP路由技术所不能支持的新业务,提供更高等级的基础服务和新的增值服务。
Internet上传输的业务流包括传统的文件传输、对延迟敏感的话音及视频业务等不同应用。
为满足客户需求,网络中不仅需要流量工程技术,也需要业务分级技术。
MPLS为处理不同类型业务提供了极大的灵活性,可为不同的客户提供不同业务。
类似于IPQOS服务,MPLS的QoS是由PE和P设备共同实现的:
在PE设备上对IP包进行分类,将IP包的QOS业务类型映射到标签交换路径(LSP)的服务等级上;在PE和P设备上上同时进行带宽管理和业务量控制,从而保证每种业务的服务质量得到满足,改变了传统IP网“尽力而为”的状况。
一般采用两种方法实现基于MPLS的服务等级转发。
1.业务在流经特定的LSP时,根据MPLS报头中承载的优先级位在每个P/PE设备的输出接口处排队。
2.在一对边缘PE间提供多条LSP,每条LSP可通过流量工程提供不同的性能和带宽保证,如入口PE可将一条LSP设置为高优先权,将另一条LSP设置为中等优先权。
1.3MPLS/TrafficEnginnering
随着网络资源需求的快速增长、IP应用需求的扩大以及市场竞争日趋激烈等,流量工程成为MPLS的一个主要应用。
因为在传统IP选路时遵循最短路径原则,所以在传统的IP网上实现流量工程十分困难;传统IP网络一旦为一个IP包选择了一条路径,则不管这条链路是否拥塞,IP包都会沿着这条路径传送,这样就会造成整个网络在某处资源过度利用,而另外一些地方网络资源闲置不用。
在MPLS中,流量工程能够将业务流从由IGP计算得到的最短路径转移到网络中可能的、无阻塞的物理路径上去,通过控制IP包在网络中所走过的路径,避免业务流向已经拥塞的节点,实现网络资源的合理利用。
MPLS的流量管理机制主要包括路径选择、负载均衡、路径备份、故障恢复、路径优先级及碰撞等。
MPLS非常适合于为大型ISP网络中的流量工程提供基础,其有以下原因:
1.支持确定路径,可为每条LSP定义一条确定的物理路径。
2.LSP统计参数可用于网络规划和分析,以确定瓶颈,掌握中继线的使用情况。
3.基于约束的路由使LSP能满足特定的需求。
4.不依赖于特定的数据链路层协议,可支持多种的物理和链路层技术(IP/ATM、以太网、PPP、帧中继、光传输等),能够运行在基于分组的网络之上。
1.4MPLS/VPN
基于MPLS的虚拟专网(VPN)应用是MPLS实践中应用较为广泛的一种应用,为给客户提供一个可行的VPN服务,MPLS网络要解决数据隔离及VPN内专用IP地址重复使用问题。
由于MPLS的转发是基于标签的值,并不依赖于分组报头内所包含的目的地址,因此有效地解决了这两个问题。
(1)MPLS的标签堆栈机制使其具有灵活的隧道功能用于构建VPN,通常采用两级标签结构,高一级标签用于指明数据流的路径,低一级的标签用于作为VPN的专网标识,指明数据流所属的VPN。
(2)MPLS/VPN中的路由识别机制支持具有重迭专用地址空间的多个VPN。
在基于MPLS方式组建VPN网络中,PE路由器作为各VPN数据流的接入点,通过虚拟路由器(VRF)的建立来隔离不同VPN间的数据。
在各PE路由器间通过运行MP-BGP协议来传递VPN路由信息。
MPLSVPN限制VPN路由信息仅在VPN内部传播,具体过程如下。
1)在PE路由器上有两种互相隔离的路由表。
一种是包含所有P和PE路由器路由的普通路由表;一种是与它相连的VPN的路由表,即VRF。
每个VPN包含一个或多个VRF。
2)PE路由器将VPN用户地址(多为私有地址)转换成VPN-V4的地址,其中包含RD,RT等新增属性,存储在相应VRF中。
3)同一VPN两端的PE通过MPLS建立LSP,并通过MP-iBGP交换此VPN的路由
4)当PE收到本地VPN用户的数据包时,此PE在相应的VRF中查找相应路由,找到下一跳,此下一跳应为将目的VPN用户地址通过MP-iBGP广播给它的那台PE。
5)本地PE路由器通过先前建立的LSP将此数据包转发到异地PE路由器。
6)异地PE路由器再在其相应的VRF中找到需要从哪个用户端口转发到目的地。
综上所述,MPLS/VPN的数据安全不是通过数据加密,而是通过路由隔离来实现的;通过将“恰当”的路由呈现在正确位置上的“隔离”的路由表中,来引导用户数据流,用户在“隔离”的路由表中看不到路由目标,自然也就无法将数据传递到指定位置。
1.5VRF/RD/RT
通过以上过程的描述我们可以明确以下几点:
1.5.1VRF(虚拟路由转发)
VRF是实现MPLS/VPN的基础,不同的VRF可以将数据隔离在不同VPN中的,同一个VRF可以属于多个VPN,通过VRF的组合建立逻辑隔离的MPLS/VPN。
通过配置VRF的RT(RT将在下面说明)属性,可以实现不同业务的VPN。
不同路由器通过RT相关联而组成可以互相访问的集合,由于只有他们内部可以互访,所以我们称之为VPN,MPLS配置里并没有专门的VPN的定义。
也就是说,VPN的成员关系是通过路由所携带的RT属性来获得的。
不同CE通过PE配置的VRF里的RT实现互访与隔离,从而组成不同的VPN。
VRF是基于PE设备的,同一PE上的不同VRF间是通过RD进行区分的。
1.5.2RD(路由区分符)
因为VPN路由是通过MP-BGP在PE间进行携带的,考虑到重叠地址空间的存在,必须有合适的方法区分位于不同VPN中的重叠地址信息。
通过RD值的设置,MP-BGP在传递VPN路由时,将VPN地址信息与RD值组合,形成唯一的值进行传送,以达到隔离重叠地址空间的目的;
必须注意的是,RD只是区分了被传递的VPN路由信息,VPN路由是否在合适的VPN中生效是由RT最终决定的;
在MPLS网络中,属于同一VPN中的不同PE上的VRF可以使用同一个RD值,也推荐这样做。
1.5.3RT(路由目标)
相对与RD,RT的目的更为直接,它决定了如何选择接收的VPN路由。
通过设置导入导出的RT值,VPN中的VRF会选择合适的VPN路由信息,并将其放入本地VRF表中,从而完成VPN的连通;
RT是基于VRF,每一个VRF都有一个唯一的RT值,RT值在MP-BGP中作为扩展共同体属性(ext-community)参数被传递。
PE路由器可以自动过滤RT不与本地规则匹配的BGP更新路由信息。
1.6MP-BGP
在MPLS/VPN的实现中,需要在各PE路由器间执行MP-BGP,CE设备与PE间可以运行静态路由、BGP、OSPF、RIP协议,将用户路由接入相应VPN中。
MP-BGP(多协议BGP)是VPN路由的携带者,是标准BGP协议的扩展,在满足标准BGP协议规则的情况下,又有些不同的特点,如将RT作为扩展共同体属性(ext-community)参数在BGP对等体间传递,用地址家族(addressfamily)来区分不同的协议环境。
在MPLS/VPN环境中,各PE间实现的是iBGP连接,根据网络拓扑环境的要求,可以依据标准BGP的做法,使用路由反射器(RouterReflector)建立全网状拓扑(Full-Mesh),以减少IBGP会话的数量。
2割接方案设计
2.1甘肃电信DCN网现状描述:
甘肃电信DCN网作为内部数据综合业务基础平台,融合了以前建设的97网络和OA网络,涵盖了用户内部所有的业务系统。
按照甘肃电信企业信息化的指导思想,要求在融合完成后的DCN网上实现MPLS/VPN,达到“基础平台共享,数据业务隔离”的使用要求,本文档就是为实现此目标而做的方案设计。
融合完成后的DCN网为如下拓扑结构:
在二枢纽,Cisco12008路由器作为核心路由器接入各地州市155M传输电路,本地Catalyst6509作为本地各业务系统的汇接层。
根据DCN网一期工程中的设计要求,未在Catalyst6509上启用三层功能,各业务VLAN通过TRUNK连接到Cisco12008路由器的各子接口上。
本地Catalyst6509分别有一条链路连接省网管中心的Cisco7507和Catalyst6509,以做两个核心节点间的网络连接和冗余。
在省网管中心,Cisco7507路由器使用2个155M端口接入各地市的备份4*2M线路,本地Catalyst6509作为原97/OA业务系统的汇接层。
根据DCN网一期工程中的设计要求,未在Catalyst6509上启用三层功能,各业务VLAN通过TRUNK连接到Cisco7507路由器的各子接口上。
本地Catalyst6509分别有一条链路连接二枢纽的Cisco12008和Catalyst6509,以做两个核心节点间的网络连接和冗余。
位于兰州马滩节点的cisco7507路由器有一条主用155M链路接入二枢纽Cisco12008路由器,另有一条备用4*2M链路接入省网管中心Cisco7507路由器,本地Catalyst6509通过TRUNK连接到Cisco7507路由器的各子接口上,各业务VLAN均为二层接入相应Catalyst6509中,根据DCN网一期工程中的设计要求,未在Catalyst6509上启用三层功能。
位与兰州金昌路节点的网络连接与马滩节点类似,同时金昌路节点和马滩节点的Catalyst6509间有链路连接,做为本地互连。
除兰州以外的十三个地市,各地市中心节点均有两台Cisco7206路由器,本地业务VLAN以二层方式接入Catalyst4003,再通过Catalyst4003以TRUNK方式接入Cisco7206的相应子接口中,Catalyst4003上不使用三层功能。
除兰州以外的十三个地市所下属的县级节点只有一台CISCO3660路由器,使用两条2M链路接入本地市中心的CISCO7206VXR中,本地业务VLAN以二层方式接入Catalyst2924中,再通过Catalyst2924以TRUNK方式接入Cisco3660的相应子接口中。
各地区所属的重点乡镇以CISCO17202M链路直接连入地区中心的CISCO7206VXR中;所有本地业务都位于一个VLAN中。
2.2DCN网业务网段类型
从DCN网现状的描述中,以及用户业务系统调查中可以将各业务网段归纳为如下业务网段类型:
1.无互访业务网段类型;此种业务网段中的连通只发生在本业务网段内部,没有异种业务网段间的互访;这种业务网段可能从省延伸到地、县、乡镇,跨越多个节点;也可能只在本地存在。
2.本VPN内的互访业务网段类型:
这种业务网段需要在同一VPN中的异种业务网段间保持互访,这种业务网段互访发生在同级业务网段之间,如省OA系统访问省97系统,地区OA系统访问地区97系统;
3.非本VPN内的互访业务网段类型:
这种业务网段类似于本VPN内的互访业务网段类型,唯一的不同是,业务网段互访发生在不同VPN间;
在甘肃电信DCN网中,较多的业务网段属于互访业务网段类型,少量的业务网段属于无互访业务网段类型;
各业务说明请见附件1:
甘肃电信DCN网VRF/RD/RT分类表
2.3MPLS/VPN的划分
2.3.1MPLS/VPN划分原则
甘肃电信DCN网包括所有的网管系统、资源管理系统、查询系统、九七系统、112系统、业务支撑系统、OA系统、INTERNET浏览系统、视频会议系统等。
MPLS-VPN业务系统划分原则依据《中国电信信息网络平台技术实现方案》所规定的原则进行业务划分。
具体划分为:
所有的网管本地网系统属于网管VPN(即为OSS);
所有的九七营业本地网系统属于营业VPN(即为BSS);
所有的办公系统本地网属于办公VPN(即为MSS);
根据在第一章中描述的MPLS/VPN相关概念,VPN是由具有特定RT值的VRF所组成的,确定了VPN的划分原则后,剩下的问题就是如何合理划分相应的VRF,并将这些VRF以不同的组合组成不同的VPN;VRF可以被理解为一组路由表项的集合。
2.3.2县级cisco3662路由器的特殊考虑
因目前在实际应用中,县级cisco3660路由器上发生系统负荷过大的问题,主要是由于将3660路由器纳入了全网OSPF动态路由域范围,在其路由表中包含了全省所有地区的路由信息。
但用户的实际业务需求并不需要县级路由器知道所有的路由信息,它只需在纵方向上保持连通即可,既对所有的县级单位来说,只需保持县(乡镇)-->地市<--省方向的路由信息既可,它不需要知道其它县或其它地市的路由信息。
同时由于用户的CISCO3660购买较早,内存、FLASH的配置较小,无法支持MPLS/VPN软件的功能。
即使支持MPLS/VPN,在CISCO3660的TRUNK上建立VRF后,各业务网段也会从全局OSPF中消失。
基于以上情况,在本次MPLS/VPN改造中,我们将CISCO3660从OSPF路由域中退出,同时也不在其上使用PE功能。
利用其目前IOS的功能,在县级CISCO3660和地区7206之间利用帧中继启用多个子接口(县级单位有多少个业务就起用多少个子接口),使用策略路由的方式将县级单位的业务网段在地区CISCO7206VXR设备上加以区分,以导入不同的VPN中;
这样既可以减少县级CISCO3660设备上的路由表大小,直接减轻设备负荷,同时也可以避免在设备上启用MPLS/VPN所需要的设备投资(内存、FLASH增加),同样也达到了各县级单位的业务区分,进入不同VPN的目的。
2.3.3VRF/RD/RT的确立
根据前面的描述和VPN划分的原则,我们使用如下规则进行VRF/RD/RT的设立:
1.所有的业务网段依其业务类型归属为网管VPN(OSS)、营业VPN(BSS)、办公VPN(MSS);每个VPN中有两种类型的VRF存在,如下描述;
2.对于同一VPN中的的无互访业务网段和互访业务网段,其相关业务子接口均划入同一个VRF(如vpn-oss)中,并在所有的PE路由器上都使用相同的RD值;
3.对于访问非本VPN内的业务的互访业务网段类型,建立一个互访VRF(如vpn-oss-1),所有与外部VPN发生互联的业务,都划入此VRF中,并在所有的PE路由器上都使用相同的RD值;
4.RD值的格式为[AS号:
VRF类型编号];同种VRF在所有的PE上都具有相同的RD值;AS号为931;
5.RT值的格式为[地区电话区号:
VRF类型编号]。
为避免与兰州电信公司重叠,省公司地区电话区号设为999;
依据如上规则,在各级PE设备上所具有的VRF/RD/RT示例如下:
设备类型
VRF名称
RD
RT
说明
省级PE设备
cisco12008
vpn-oss
931:
1000
998:
1000
完全属于VPNOSS内的所有业务
vpn-oss-1
931:
1001
998:
1001
属于VPNOSS,但会访问其他VPN内业务的业务
vpn-Bss
931:
2000
998:
2000
完全属于VPNbSS内的所有业务
vpn-Bss-1
931:
2001
998:
2001
属于VPNbSS,但会访问其他VPN内业务的业务
vpn-Mss
931:
3000
998:
3000
完全属于VPNmSS内的所有业务
vpn-Mss-1
931:
3001
998:
3001
属于VPNmSS,但会访问其他VPN内业务的业务
vpn-Internet1
931:
4000
998:
4000
供地市访问INTERNET
cisco7507
vpn-oss
931:
1000
999:
1000
完全属于VPNOSS内的所有业务
vpn-oss-1
931:
1001
999:
1001
属于VPNOSS,但会访问其他VPN内业务的业务
vpn-Bss
931:
2000
999:
2000
完全属于VPNbSS内的所有业务
vpn-Bss-1
931:
2001
999:
2001
属于VPNbSS,但会访问其他VPN内业务的业务
vpn-Mss
931:
3000
999:
3000
完全属于VPNmSS内的所有业务
vpn-Mss-1
931:
3001
999:
3001
属于VPNmSS,但会访问其他VPN内业务的业务
vpn-internet2
931:
4001
999:
4001
供省公司访问INTERNET
VPN-DCN
931:
5000
999:
5000
访问全国DCN
VPN-ALL
931:
6000
999:
6000
"网运在线"和“作业维护值班系统”
地级PE设备
cisco7206vxr
vpn-oss
931:
1000
mmm1:
1000
完全属于VPNOSS内的所有业务
vpn-oss-1
931:
1001
mmm1:
1001
属于VPNOSS,但会访问其他VPN内业务的业务
vpn-Bss
931:
2000
mmm1:
2000
完全属于VPNbSS内的所有业务
vpn-Bss-1
931:
2001
mmm1:
2001
属于VPNbSS,但会访问其他VPN内业务的业务
vpn-Mss
931:
3000
mmm1:
3000
完全属于VPNmSS内的所有业务
vpn-Mss-1
931:
3001
mmm1:
3001
属于VPNmSS,但会访问其他VPN内业务的业务
vpn-ZDXZ
931:
7000
mmm1:
7000
重点乡镇1720接入
cisco7206vxr
vpn-oss
931:
1000
mmm2:
1000
完全属于VPNOSS内的所有业务
vpn-oss-1
931:
1001
mmm2:
1001
属于VPNOSS,但会访问其他VPN内业务的业务
vpn-Bss
931:
2000
mmm2:
2000
完全属于VPNbSS内的所有业务
vpn-Bss-1
931:
2001
mmm2:
2001
属于VPNbSS,但会访问其他VPN内业务的业务
vpn-Mss
931:
3000
mmm2:
3000
完全属于VPNmSS内的所有业务
vpn-Mss-1
931:
3001
mmm2:
3001
属于VPNmSS,但会访问其他VPN内业务的业务
说明:
mmm:
地区电话区号
序号
地区
mmm值
1
临夏市
930
2
兰州
931
3
定西
932
4
金昌
945
5
张掖
936
6
酒泉
937
7
嘉峪关
947
8
天水
938
9
白银
943
10
武威
935
11
陇南
939
12
甘南
941
13
庆阳
934
14
平凉
933
2.3.4MPLS/VPN路由表的组成
在建立完成后的各VPN路由表中,其在各级PE设备上完整的路由表项应由下列VRF组成:
VPNOSS=(VPN-OSS)+(VPN-OSS-1)+(VPN-BSS-1)+(VPN-MSS-1)
VPNBSS=(VPN-BSS)+(VPN-BSS-1)+(VPN-OSS-1)+(VPN-MSS-1)
VPNMSS=(VPN-MSS)+(VPN-MSS-1)+(VPN-OSS-1)+(VPN-BSS-1)
我们可以根据此来决定各PE设备上VRF的导入导出方式,同时符合以下规则:
4.省公司PE设备知道所有地市、县的VPN路由;
5.地市公司PE设备只需知道省公司VPN路由和本地所属各县的VPN路由;对于其他地市范围内的VPN路由可以知道;
6.县级PE设备只需知道省公司VPN路由和其所属地市公司的VPN路由,对其相邻县的VPN路由不必知道。
具体到各级设备上即为:
2.3.4.1省公司PE设备上VPN路由表的组成
VPNOSS=
(省VPN-OSS)+(各地市VPN-OSS)+(省VPN-OSS-1)+(省VPN-BSS-1)+(省VPN-MSS-1);
VPNBSS=
(省VPN-BSS)+(各地市VPN-BSS)+(省VPN-BSS-1)+(省VPN-OSS-1)+(省VPN-MSS-1);
VPNMSS=
(省VPN-MSS)+(各地市VPN-MSS)+(省VPN-MSS-1)+(省VPN-OSS-1)+(省VPN-BSS-1);
2.3.4.2地市公司PE设备上VPN路由表的组成
VPNOSS=
(省VPN-OSS)+(本地市VPN-OSS)+(本地VPN-OSS-1)+(本地VPN-BSS-1)+(本地VPN-MSS-1);
VPNBSS=
(省VPN-BSS)+(本地市VPN-BSS)+(本地VPN-BSS-1)+(本地VPN-OSS-1)+(本地VPN-MSS-1);
VPNMSS=
(省VPN-MSS)+(本地市VPN-MSS)+(本地VPN-MSS-1)+(本地VPN-OSS-1)+(本地VPN-BSS-1);
如下图:
2.3.5MP-BGP实现
在本次DCN网的MPLS/VPN实施中,将利用MP-BGP进行VPN路由的传递,为减
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 甘肃 电信 DCN MPLSVPN 方案