MPLSBGPVPN技术方案及范例.docx
- 文档编号:5859925
- 上传时间:2023-01-01
- 格式:DOCX
- 页数:22
- 大小:34.92KB
MPLSBGPVPN技术方案及范例.docx
《MPLSBGPVPN技术方案及范例.docx》由会员分享,可在线阅读,更多相关《MPLSBGPVPN技术方案及范例.docx(22页珍藏版)》请在冰豆网上搜索。
MPLSBGPVPN技术方案及范例
MPLSBGPVPN技术方案
模板及范例
华为技术有限公司
2003年2月
第1章MPLSVPN简介1
第2章原有网络分析3
2.1数据采集3
2.2组网分析3
2.3用户需求分析6
2.4结论6
第3章MPLS-VPN的客户解决方案8
3.1系统框架图8
3.2IP地址规划9
3.2.1PE的Loopback地址11
3.2.2PE与PE之间的互连接口地址12
3.2.3PE与CE之间的互连接口地址13
3.2.4交换机3526/3026的管理地址15
3.2.5ATMPVC规划16
3.3路由协议17
3.3.1全网MBGP规划17
3.3.2全网IGP规划19
3.3.3静态路由规划19
3.4MPLSVPN规划20
3.5网络的备份和流量分担22
3.5.1网络的备份22
3.5.2流量的分担23
3.6网络的管理23
3.7网络的安全24
第4章设备配置26
4.1硬件配置清单26
4.2软件配置清单26
第5章测试和验收29
第6章华为公司服务内容及保障30
6.1服务理念30
6.2服务内容30
6.3服务保障31
第1章MPLSVPN简介
&说明:
该章主要用简洁、易懂的文字,对技术方案所依托的MPLSVPN技术作简单介绍;并简单论述采用MPLSVPN实现用户需求的优点。
随着社会的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况也使传统企业网络的功能缺陷越来越凸现:
传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。
于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。
在这样的背景下,基于MPLS技术平台实现的虚拟私有网(简称为MPLS-VPN),以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
MPLS是多协议标签交换协议的简称,多协议是指它能够支持多种三层协议;标签是一种短的,易于处理的,不包含拓扑信息,只具有局部意义的信息内容;MPLS的报文转发是基于标签的,在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签。
以后所有MPLS网络中节点都是依据这个标签作为转发依据。
当IP包最终离开MPLS网络时,标签被边缘路由器分离。
MPLS可以在IP网中的实现的一种面向连接的特性。
通过MPLS可以在IP网中提供一些原来只有ATM/FrameRelay才能提供的业务,使得IP网络运营商可以根据用户需求,提供形式多样、方便快捷的增值服务:
VPN(包括二层和三层VPN)、流量工程和QoS、虚拟专线、电路交叉连接(CCC)等等,其中的MPLSVPN就是其中一项重要的应用。
MPLSVPN可以分为BGP扩展实现的VPN和LDP扩展实现的VPN。
根据PE(ProviderEdge)设备是否参与VPN路由又细分为二层VPN和三层VPN。
本次工程中,采用BGP扩展实现的三层MPLSVPN。
采用MPLSVPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便与网络的扩展和变更。
MPLSVPN的网络构造由服务提供商来完成。
在这种网络构造中,由服务提供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。
MPLSVPN网络中,由三种设备:
CE、PE和P路由器,CE(CustomEdge)是用户直接与服务提供商相连的边缘设备,一般也是路由器设备;PE(ProviderEdge)是骨干网中的边缘设备,它直接与用户的CE相连;P路由器(ProviderRouter)是骨干网中不与CE直接相连的设备,P路由器并也不知道有VPN的存在,仅仅负责骨干网内部的数据传输。
但其必须能够支持MPLS协议,并使能该协议。
PE位于服务提供商网络的边缘,所有的VPN的构建、连接和管理工作都是在PE上进行的。
为了实现MPLS-VPN功能,各运营商除了新建网络之外,更多的需求是在已有的传统IP网络上实现MPLS-VPN的功能。
这样,既保护了原有网络投资,又适应了企业用户的新的需求,实现业务的增值。
本次工程就是在已有网络上进行改造,实现MPLSVPN功能。
第2章原有网络分析
✍说明:
实施MPLSVPN的前提,就是对原有网络进行全面准确的调研和分析,收集实际运行的网络信息。
在此基础上给出网络的建设建议。
2.1数据采集
&说明:
该节对客户原有网络数据进行采集,作为分析的基础。
在实际工程中,需要采集的信息包括:
组网图、数据配置、IP网段规划、业务流向、路由协议、业务间互访和隔离的需求。
福建原有三个业务网络:
运营、计费和网管,这三种业务在地市和省之间的广域网的范围内,物理设备和运行的路由协议都是相互分离的,这样给全网的统一管理和维护带来了相当的不便,并且某些旧有的设备和广域网带宽已经不能满足当前的业务发展的需求,因此有必要建设一个统一的、高效的、可运营、可维护的数据网络,本次DCN工程的建设目的正是为了满足这一需求。
在原有网络中,每个地市的运营、计费和网管共用一个或两个B网段。
运营和计费的上行到省公司的路由设备共用或者分别在两台出口路由器上;网管是单独的出口路由器。
在各地市间的骨干网络上,运营网配置的是静态路由;计费网络运行的是EIGRP动态路由协议;网管网络运行的是OSPF协议,本地网的OSPF与计费的EIGRP之间没有相互引入,本地网的OSPF也没有引入静态路由。
2.2组网分析
✍说明:
用户的原有网络结构一般会有两种:
一种是将所有的业务承载在一个网络上,通过GRE、IPSEC等技术建立隧道来隔离不同的业务,或者根本不作隔离;另一种是对于每种业务单独建设一个网络;如在运营商的DCN网络中,位计费,运营,网管各建一个网络(在某些设备上,这些网络可能共用一个设备)。
对第一种情况,附一个总的组网图即可;而对第二种需要对每种业务附一个组网图,再对原有网络的整体情况,用途,所承载的业务类型分别进行分析。
原运营网络组网分析
1、各地设备的型号比较统一,Cisco的72或者75系列的路由器,部分路由器能提供空闲的以太网口,能够支持BGP,不能提供空闲以太网口的路由器需要支持802.1Q,如果不支持,可以通过升级软件版本解决该问题。
2、广域网链路是E1线路,带宽为2M。
3、骨干网络运行的是静态路由,在福州中心路由器Cisco7513上面配置指向分配给各地市和省公司路由器的精确的C网段(或更明细)的静态路由,下一跳指向相应的路由器的下一跳,而在各地市路由器上配置指向省公司的精确的C网段(或更明细)的静态路由,下一跳指向Cisco7513。
4、业务的流向是纵向流,即各地市与省局之间的数据交互。
原网管网络组网分析
1、由于省公司的NetBuilder的端口不够了,另外配置了两台Cisco2621路由器,分别接入泉州、宁德和厦门网管1,省公司的这三台路由器再通过Lanswitch4003连通,然后通过NetBuilder作为统一的出口。
2、广域网链路是E1线路,带宽为2M,特殊的,宁德作了链路捆绑。
3、各地市原有的路由设备型号不一致,有CISCO的,也有NBII,NBII路由器基本没有空闲端口了,也不能支持BGP。
针对这种情况,有三种解决方法:
1)将NBII更换为其他路由器,比如3640/3680(分别能够提供4/8个插槽,每个插槽能提供4E1),该路由器可作为本地区的汇聚路由器,通过E1接口接入下面的各县;并作为MPLS的CE设备,这样设计的好处是网络层次分明,并且本地网络的扩展只在3680上配置,不用改动NE16。
2)仍然通过NBII接入本地设备,但在PE上不配置MPLSVPN,也就是说,关于网管的数据流不通过VPN,而只通过普通的路由进行转发,这样设计的好处是可以利用原有的网络设备,但存在网络层次不明析,不利于网络的扩展,并且,如果网管作为非VPN业务,和运营、计费这些VPN业务的隔离或者互访不可控,不能对所有业务进行统一管理。
3)仍然通过NBII接入本地设备,作为CE,但是PE和CE之间配置静态路由,而不是BGP,这样的好处是可以利用原有的网络设备,并且配置简单、稳定、有效,但存在的问题是:
静态路由不灵活,需要手动增添和删除网段,另外,如果通过E1新接入业务,需要在NE16上新加配置,E1接入的节点也是作为MPLS的CE设备。
手动工作量较大的问题可以通过合理的IP网段规划进行规避,在PE上配置指向CE的静态路由时,目的网段是分配给本地网管的最大范围的网段,也就是将本地网管网段作聚合,这样新增节点的时候,就不用配置明细的静态路由了。
综合多方面考虑,并针对网络的实际情况,我们建议采用方案3。
4、原网管网的骨干网络运行的是OSPF协议,AREA为0,在各地市的本地网络,有些是静态路由,有些也运行OSPF,AREA不为0,但没有聚合区域间路由。
这里我们建议各地市向Area0发布路由的时候进行聚合,聚合成本地网管正在使用的几个C网段(也不应该聚合成包含计费、运营的B网段),利于管理和控制。
5、省公司路由器通过两个以太网接口与国家骨干网相连,用于省公司和国家DCN网络互访,配置的是静态路由协议,两条链路手动备份,目的网段只有一个。
2.3用户需求分析
&说明:
该节对客户的需求进行归纳和总结。
项目实施的根本目的就是为了实现客户的需求。
在福建全省范围内,目前主要有网管、计费、OA、97业务。
基本原则是:
各业务之间是隔离的;每种业务在全省各地市之间是能够互相访问的;省公司的各种业务还有访问国家骨干的需求。
特别的:
省公司的网管业务能够访问其他地市的各种业务。
2.4结论
&说明:
该节根据客户网络结构以及采集的数据对网络现状进行分析,得出结论。
并提出我们的解决方案。
对于每种业务单独建立一个网络这种情况,存在以下弊病:
由于是每种业务都建立一个网络,网络设备的重复投入,而且在新上一种业务的时候都要新建一套网络,工程量比较大。
而且如果存在某些设备是多个业务共用的设备时,业务间的隔离和互访实现起来也不方便。
对于将各个业务使用同一个网络这种情况,存在以下弊病:
各个业务使用同一个网络,如果各个业务之间不进行隔离,那么存在安全隐患,如果使用GRE、IPSEC等隧道技术来进行隔离的话,由于这些隧道技术都是点对点的,因此节点比较多的时候,要配置较多的隧道,在新增一个点的时候,需要修改所有配置了隧道的路由器的配置。
本次DCN工程采用MPLSVPN的方案,在同一物理拓扑的基础上,MPLSVPN能够按照用户需求实现多种业务的隔离,并且管理和控制VPN的业务,只是在数据上作相应的配置,物理设备和链路都不用作改动,这样为各种VPN业务的管理和维护提供了很大的方便,所以MPLSVPN具有很好的业务扩展性。
在各地市新建一台出口路由器NE16,作为MPLS内的PE设备,各地原有的与省公司路由器相连的各业务路由器(或者是三层交换机)作为MPLS的CE设备,特别的,目前的三种VPN业务分别在福州设置三个CE系统,一个是国家骨干路由器,一个省公司的CE设备,一个是福州本地业务的CE设备。
由于所有的VPN数据只是在PE上作相应的配置,控制也是在PE上实现的,所以对原有网络的影响很小,这样能最大限度的减小对原来的各种业务的影响。
增加了PE设备以后,每个地市的CE设备就通过本地的PE设备与省公司或者其他地市相连了,而原有的网络作为DCN网络的备份网络,当DCN网络出现问题时,可以切换到旧有网络上,保证业务的正常运行。
要做到各地市的VPN业务的分离,每种VPN业务必须采用独立的逻辑端口与PE设备相连,端口上向PE发布的也是本业务所占用的网段,而不应该是本地所有VPN业务的总的B网段。
针对实际的情况,我们采用业务逐步分离的方案。
如果某些地市能做到业务网段的分离,就为每个VPN业务提供独立的逻辑端口,并只发布本业务的网段,采用N个业务N个VPN的方案;其他地市短期内还做不到业务网段的分离,那么就采用暂时只有一个VPN的方案,当这些地市的网段做到分离的时候,再将这些地市调整成多个VPN就可以了。
这样,网段分离的地市能够做到业务分离,而暂时不能分离的地市只是本地业务不能分离,不会影响到其他的城市。
通过前面的分析可以看出,MPLSVPN方案能很好的实现用户的需求,提升网络的性能,满足用户业务扩展和易于管理的要求。
第3章MPLS-VPN的客户解决方案
&说明:
该章针对客户的现状和需求,提出具体的MPLSVPN解决方案,包括组网图、自治域、IP地址规划、路由协议等技术细节,作为工程实施的依据。
3.1系统框架图
&说明:
该节附具体解决方案的系统框架图,即采用MPLSVPN方案的网络结构图。
并对网络设计的方针、规划、思路做出详细的分析。
MPLS-VPN并不要求网络结构上有什么特殊之处,传统的树形结构、网状结构、单星型结构、双星形结构都可以满足要求。
如果是旧网改造,只需要对原有网上设备进行升级,使之支持LDP,配合新增的PE设备即可组成MPLS-VPN的核心MPLS域;而CE设备则不需要任何改动,可以直接作为MPLS-VPN的各专业网络业务汇聚设备。
对于新建网络,我们建议采用双星形结构。
双星形网络结构图
1、福州中心放置两台骨干路由器NE16和Cisco7513,两者通过FE互连,负责其他地市的业务汇聚,互为备份。
2、除福州外的其他地市,由一台高端路由器组成,负责本地业务系统的接入。
3、如上图所示的各地市的路由器都作为MPLS的PE设备,原来的业务网络的出口路由器作为CE设备。
4、针对运营和计费网络,如果原来的出口路由器存在空闲的以太网口,则直接将该路由器连接到PE上;如果没有多余的端口,则PE和CE之间通过交换机相连,然后在原出口路由器上配置子接口,划分VLAN(这需要路由器支持802.1Q协议,如果不支持,可以通过升级软件版本解决);如果即没有多余的端口,而且难以支持802.1Q,那么只能采用另外一台三层交换机作为CE设备,但这样本地网络的路由需要调整:
原出口路由器接在三层交换机的下面,将该三层设备作为本地的出口。
5、针对网管网络,部分地市是CISCO的设备,有空闲的端口,则直接连接到PE设备,如果没有空闲端口,就在原来的以太网上配置子接口(这需要路由器支持802.1Q协议,如果不支持,可以通过升级软件版本解决),另外一些地市采用的设备是NBII,由于没有空闲端口,也不能支持BGP,就用另外的三层交换机作为CE,这样需要调整本地的网络,使三层交换机作为本地出口。
6、每一地市路由器通过双归属方式接入到省核心层,除厦门和泉州节点外,链路均采用ATMPVC。
特别的,厦门和泉州节点还各有一条155MPOS链路连接到省公司的NE16,并且POS作为主用链路。
7、各地市PE之间的IGP采用OSPF协议,各PE路由器只在内部互联端口运行OSPF,使用一个Area0进行路由交换。
8、各PE之间同时还运行BGP协议,通过MP-BGP的扩展属性,实现VPN的标签的分发和传递。
9、为了CE下面的设备知道本地区以外的路由信息,在CE上,将BGP路由引入到IGP中,从而使其他地市的能够访问省公司或其他地市。
3.2IP地址规划
&说明:
该节讨论IP地址的规划。
必须考虑准确性和可扩展性,避免再次调整。
MPLS-VPN网络中,IP地址的划分主要分为两个部分:
“公网”和“私网”。
包括MPLS网络中PE/P的Loopback地址、PE与PE之间的互连接口地址、PE与CE之间的互连接口地址以及交换机的管理地址。
“公网”IP地址分配主要包括P/PE设备互联地址、各设备Loopback接口地址。
对于设备互联地址没有特殊的要求,一般是整个地址空间在同一个“大”的网段中获取,并且要为今后网络的扩充留有余地。
互联地址尽量采用30位掩码的格式,如果互联采用Ethernet接口,可以采用29位掩码的网段,这样在今后应用HSRP或者VRRP的时候有足够的地址可以使用。
“私网”IP地址分配根据不同的应用有不同的原则,一般可以分为两类:
网络为ISP所有,为不同的集团用户提供不同地域间的企业网互连;网络为集团用户所有,为本集团内各个不同业务提供不同的私网。
对于网络为ISP所有的情况,这种应用是VPN的典型应用,在以往没有MPLS-VPN的年代,跨地域的企业如果想实现不同地域间企业网的互连,采取的方式是租用专线的方式,这种方式对于集团用户来说,需要的投资较大;对于ISP来说,链路资源不能得到充分的利用。
在有了MPLS之后,原有的问题可以得到较好的解决。
对于这种应用,各个VPN物理设备之间是完全隔离的,同一个PE所连接的不同CE内部,网络不会有交织,针对这种应用,IP地址采用按照地域分配的方案对工程实施比较有利。
采用按照地域分配IP地址的方案,在PE上每个VPN的路由信息可以聚合成简单的一条或几条,这样整个公网上的路由条目较少。
采用这样的方案无论对设备本身还是网络的维护管理都有较大的益处。
首先,设备的负荷较小,可以保证长期稳定运行;其次,路由条目较少,维护人员可以方便的控制,并且每一个比较规整的网段对应一个固定的地域,一旦出现问题,对于缩小问题范围有很大的益处。
对于网络为集团用户所有的情况,这种应用其实是随着MPLS-VPN的出现,对VPN应用的一种扩展。
一些规模比较大的集团用户,为了方便管理,将企业内部的多个业务划分开。
对于这种客户,在网络汇聚层(一般位于地市一级的节点)以上应用MPLS,汇聚层以下应用传统的路由转发。
这些集团用户的企业网在地市以下的网络一般是一个整体,出口路由器也是多业务合一的,这就要求在MPLS域中发布路由信息的时候,路由信息要求比较精确,不能像为不同的客户提供VPN接入那样比较随意的把路由信息聚合成大网段。
在VPN的同一个接入点,如果各个业务间的路由信息有重复,由于接入点以下的网络是同一的,很容易产生不同业务间的数据泄漏。
针对这用问题,比较好的IP地址规划就是在地市一级按照业务来划分IP,首先将IP地址根据业务进行划分,再对于某种业务在地市以下的节点再进行更细致的划分。
通过这样的IP地址规划,在接入层应用MPLS的时候,每个业务相关的路由信息可以聚合成简单的几条,甚至是一条,而且各业务之间路由信息没有交集。
这样的路由信息在骨干层传播路由条目较少,局部的路由动荡不会引起骨干层的路由动荡,网络信息比较稳定,而且维护起来比较方便,如果出现问题可以迅速的定位到是哪个业务网络的问题。
更大的优点还是表现在新业务的扩充上,只要每个新增加的业务IP地址都依据这样的原则来规划,那么与原有业务的IP网段可以是完全隔离的,不会对原有的路由信息产生任何影响,为网络的维护带来很大的方便
福建DCN网络的具体的IP规划如下:
原来给各地市分配的计费、运营、网管网络的IP地址网段不作任何修改,MPLS网络只是作为中间的骨干网络,用于各地市之间VPN的访问。
由于原来计费、运营、网管分配给各地市的网段都是公网地址,建议新增的IP地址也采用公网地址,这样保持一致性,也利于网络的扩展。
需要新增的IP地址是PE的Loopback地址、PE与PE之间的互连接口地址、PE与CE之间的互连接口地址以及交换机3526/3026的管理地址。
3.2.1PE的Loopback地址
给各地市的PE路由器分配一个Loopback地址,该地址可作为OSPF的RouterID,并作为telnet管理或ping测试的目的地址。
整网分配134的网段的作为各地市的loopback地址,未使用的保留。
各地市PE设备的Loopback地址分配如下:
.1
福州Cisc.2
厦门:
3
宁德:
4
莆田:
5
泉州:
6
漳州:
7
龙岩:
8
三明:
9
南平:
10
3.2.2PE与PE之间的互连接口地址
福州的NE16和Cisco75作为DCN网络的汇聚节点,各地市通过两条ATM链路分别接入到NE16和Cisco75,厦门和泉州还各有一条POS链路连接到福州NE16,并将该POS链路作为主链路,其他两条ATM链路作为备份链路。
各地市PE间互连接口IP分配:
6/30
福州NE16
福州Cisco75
福州NE16
福州Cisco75
福州NE16
福州Cisco75
福州NE16
福州Cisco75
福州NE16
福州Cisco75
福州NE16
福州Cisco75
福州NE16
福州Cisco75
福州NE16
福州Cisco75
3.2.3PE与CE之间的互连接口地址
各地市的PE设备都将与多个CE设备相连,网管网是单独的CE设备,计费和运营可能是一个,也可能是分开的两台CE。
目前的三种VPN业务分别在福州设置三个CE系统,一个是国家骨干路由器,一个省公司的CE设备,一个是福州本地业务的CE设备。
本次工程初期规划有四种VPN业务:
97、OA、计费、网管,给每种VPN业务分配一个C网段,作为各地市相应业务的CE设备与PE的互连接口地址,如果有其他的VPN业务,则再划分新的IP网段即可。
本次工程有9个节点,因此每种业务占用了本C网段192个IP地址,其中,一个地市占用16个IP地址。
地址分配方案如下:
97网络PE-C
省公司(NE16)
(CISCO)
(CISCO)
厦门
OA网络PE-C
省公司(NE16)(PE侧地址)
(CISCO)
(CISCO)
计费网络PE-C
省公司(NE16)1/28(PE侧地址)
(CISCO)
福州(NE16)
(
厦门
泉州
宁德
漳州
龙岩
莆田
南平
三明
网管网络PE-C
省公司(NE16)(PE侧地址)
(CISCO)
福州(NE16)
(CISCO)
南平
三明134.128.248.177/28
3.2.4交换机3526/3026的管理地址
为了交换机设备便于管理,需要给各地市的S3025-M和3526分配一个管理地址,网管可以通过该地址进行查询和配置。
由于管理地址需要配置路由网关才能被访问,所以将管理IP规划到当地某一个VPN的网段内,配置NE16子接口的地址作为其出口网关。
各地市都有两台S3025,S3025-1连接网管业务,就将其管理地址和网管VPN划分在一个网段里,S3025-2连接其他业务,就将其管理地址和97VPN划分在一个网段里。
省公司还有5台S3526,类似的将IP规划到某一个VPN网段内。
具体的交换机管理地址分配如下:
.14/28gateway:
1
.13/28gateway:
1
.12/28gateway:
1
.11/28gateway:
1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MPLSBGPVPN 技术 方案 范例
![提示](https://static.bdocx.com/images/bang_tan.gif)