福建DCN網(wǎng)絡(luò)工程實施方案——華為

1、福建dcn網(wǎng)絡(luò)工程 huawei福建dcn網(wǎng)絡(luò)工程實施方案華為技術(shù)有限公司1 mpls vpn 簡介32福建dcn網(wǎng)絡(luò)概述32.1原運營網(wǎng)絡(luò)組網(wǎng)分析42.2原計費網(wǎng)絡(luò)組網(wǎng)分析52.3原網(wǎng)管網(wǎng)絡(luò)組網(wǎng)分析62.4新建dcn網(wǎng)絡(luò)組網(wǎng)分析73自治域設(shè)置84 ip地址規(guī)劃85 路由協(xié)議115.1全網(wǎng)bgp4規(guī)劃115.2全網(wǎng)igp規(guī)劃125.3靜態(tài)路由規(guī)劃136 網(wǎng)絡(luò)管理137 網(wǎng)絡(luò)的備份和流量的分擔(dān)137.1 網(wǎng)絡(luò)的備份137.2 流量的分擔(dān)148 網(wǎng)絡(luò)的安全性141 mpls vpn 簡介mpls是多協(xié)議標(biāo)簽交換協(xié)議的簡稱，多協(xié)議是指它能夠支持多種三層協(xié)議；標(biāo)簽是一種短的，易于處理的，不包含拓?fù)湫畔?/p>

2、，只具有局部意義的信息內(nèi)容；mpls的報文轉(zhuǎn)發(fā)是基于標(biāo)簽的，在mpls網(wǎng)絡(luò)中，ip包在進(jìn)入第一個mpls設(shè)備時，mpls邊緣路由器分析ip包的內(nèi)容并且為這些ip包選擇合適的標(biāo)簽。以后所有mpls網(wǎng)絡(luò)中節(jié)點都是依據(jù)這個標(biāo)簽作為轉(zhuǎn)發(fā)依據(jù)。當(dāng)ip包最終離開mpls網(wǎng)絡(luò)時，標(biāo)簽被邊緣路由器分離。mpls可以在ip網(wǎng)中的實現(xiàn)的一種面向連接的特性。通過mpls可以在ip網(wǎng)中提供一些原來只有atm/ frame relay才能提供的業(yè)務(wù)，使得ip網(wǎng)絡(luò)運營商可以根據(jù)用戶需求，提供形式多樣、方便快捷的增值服務(wù)：vpn（包括二層和三層vpn）、流量工程和qos、虛擬專線、電路交叉連接（ccc）等等，其中的mpls

3、 vpn 就是其中一項重要的應(yīng)用。mpls vpn可以分為bgp擴(kuò)展實現(xiàn)的vpn和ldp擴(kuò)展實現(xiàn)的vpn。根據(jù)pe（provider edge）設(shè)備是否參與vpn路由又細(xì)分為二層vpn和三層vpn。本次工程中，采用bgp擴(kuò)展實現(xiàn)的三層mpls vpn。采用mpls vpn技術(shù)可以把物理上單一的ip網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)，并且每個vpn單獨構(gòu)成一個獨立的地址空間，即vpn之間可以重用地址，在分配地址時不必考慮是否會與其他的vpn發(fā)生沖突，只需要考慮在本vpn之內(nèi)不沖突即可，這樣可以解決ip網(wǎng)絡(luò)地址不足的問題，也方便與網(wǎng)絡(luò)的擴(kuò)展和變更。mpls vpn的網(wǎng)絡(luò)構(gòu)造由服務(wù)提供商來完成。在這種網(wǎng)絡(luò)構(gòu)

4、造中，由服務(wù)提供商向用戶提供vpn服務(wù)，用戶感覺不到公共網(wǎng)絡(luò)的存在，就好像擁有獨立的網(wǎng)絡(luò)資源一樣。mpls vpn網(wǎng)絡(luò)中，由三種設(shè)備：ce、pe和p路由器，ce（custom edge）是用戶直接與服務(wù)提供商相連的邊緣設(shè)備，一般也是路由器設(shè)備；pe（provider edge）是骨干網(wǎng)中的邊緣設(shè)備，它直接與用戶的ce相連；p 路由器（provider router）是骨干網(wǎng)中不與ce直接相連的設(shè)備，p 路由器并也不知道有vpn的存在，僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸。但其必須能夠支持mpls協(xié)議，并使能該協(xié)議。pe位于服務(wù)提供商網(wǎng)絡(luò)的邊緣，所有的vpn的構(gòu)建、連接和管理工作都是在pe上進(jìn)行的。2福

5、建dcn網(wǎng)絡(luò)概述福建原有三個業(yè)務(wù)網(wǎng)絡(luò)：運營、計費和網(wǎng)管，這三種業(yè)務(wù)在地市和省之間的廣域網(wǎng)的范圍內(nèi)，物理設(shè)備和運行的路由協(xié)議都是相互分離的，這樣給全網(wǎng)的統(tǒng)一管理和維護(hù)帶來了相當(dāng)?shù)牟槐?，并且某些舊有的設(shè)備和廣域網(wǎng)帶寬已經(jīng)不能滿足當(dāng)前的業(yè)務(wù)發(fā)展的需求，因此有必要建設(shè)一個統(tǒng)一的、高效的、可運營、可維護(hù)的數(shù)據(jù)網(wǎng)絡(luò)，本次dcn工程的建設(shè)目的正是為了滿足這一需求。在原有網(wǎng)絡(luò)中，每個地市的運營、計費和網(wǎng)管共用一個或兩個b網(wǎng)段。運營和計費的上行到省公司的路由設(shè)備共用或者分別在兩臺出口路由器上；網(wǎng)管是單獨的出口路由器。在各地市間的骨干網(wǎng)絡(luò)上，運營網(wǎng)配置的是靜態(tài)路由；計費網(wǎng)絡(luò)運行的是eigrp動態(tài)路由協(xié)議；網(wǎng)管網(wǎng)絡(luò)

6、運行的是ospf協(xié)議，本地網(wǎng)的ospf與計費的eigrp 之間沒有相互引入，本地網(wǎng)的ospf 也沒有引入靜態(tài)路由。本次dcn工程采用mpls vpn的方案，在同一物理拓?fù)涞幕A(chǔ)上，mpls vpn能夠按照用戶需求實現(xiàn)多種業(yè)務(wù)的隔離，并且管理和控制vpn的業(yè)務(wù)，只是在數(shù)據(jù)上作相應(yīng)的配置，物理設(shè)備和鏈路都不用作改動，這樣為各種vpn業(yè)務(wù)的管理和維護(hù)提供了很大的方便，所以mpls vpn具有很好的業(yè)務(wù)擴(kuò)展性。在各地市新建一臺出口路由器ne16，作為mpls 內(nèi)的pe設(shè)備，各地原有的與省公司路由器相連的各業(yè)務(wù)路由器(或者是三層交換機)作為mpls的ce設(shè)備，特別的，目前的三種vpn業(yè)務(wù)分別在福州設(shè)置三

7、個ce系統(tǒng)，一個是國家骨干路由器，一個省公司的ce設(shè)備，一個是福州本地業(yè)務(wù)的ce設(shè)備。由于所有的vpn數(shù)據(jù)只是在pe上作相應(yīng)的配置，控制也是在pe上實現(xiàn)的，所以對原有網(wǎng)絡(luò)的影響很小，這樣能最大限度的減小對原來的各種業(yè)務(wù)的影響。增加了pe設(shè)備以后，每個地市的ce設(shè)備就通過本地的pe設(shè)備與省公司或者其他地市相連了，而原有的網(wǎng)絡(luò)作為dcn網(wǎng)絡(luò)的備份網(wǎng)絡(luò)，當(dāng)dcn網(wǎng)絡(luò)出現(xiàn)問題時，可以切換到舊有網(wǎng)絡(luò)上，保證業(yè)務(wù)的正常運行。要做到各地市的vpn 業(yè)務(wù)的分離，每種vpn 業(yè)務(wù)必須采用獨立的邏輯端口與pe設(shè)備相連，端口上向pe發(fā)布的也是本業(yè)務(wù)所占用的網(wǎng)段，而不應(yīng)該是本地所有vpn業(yè)務(wù)的總的b網(wǎng)段。針對實際的情

8、況，我們采用業(yè)務(wù)逐步分離的方案。如果某些地市能做到業(yè)務(wù)網(wǎng)段的分離，就為每個vpn業(yè)務(wù)提供獨立的邏輯端口，并只發(fā)布本業(yè)務(wù)的網(wǎng)段，采用n個業(yè)務(wù)n個vpn的方案；其他地市短期內(nèi)還做不到業(yè)務(wù)網(wǎng)段的分離，那么就采用暫時只有一個vpn的方案，當(dāng)這些地市的網(wǎng)段做到分離的時候，再將這些地市調(diào)整成多個vpn就可以了。這樣，網(wǎng)段分離的地市能夠做到業(yè)務(wù)分離，而暫時不能分離的地市只是本地業(yè)務(wù)不能分離，不會影響到其他的城市。2.1原運營網(wǎng)絡(luò)組網(wǎng)分析1、各地設(shè)備的型號比較統(tǒng)一，cisco的72或者75系列的路由器，部分路由器能提供空閑的以太網(wǎng)口，能夠支持bgp ，不能提供空閑以太網(wǎng)口的路由器需要支持802.1q，如果不支

9、持，可以通過升級軟件版本解決該問題。2、廣域網(wǎng)鏈路是e1線路，帶寬為2m。3、骨干網(wǎng)絡(luò)運行的是靜態(tài)路由，在福州中心路由器cisco7513上面配置指向分配給各地市和省公司路由器的精確的c網(wǎng)段（或更明細(xì)）的靜態(tài)路由，下一跳指向相應(yīng)的路由器的下一跳，而在各地市路由器上配置指向省公司的精確的c網(wǎng)段（或更明細(xì)）的靜態(tài)路由，下一跳指向cisco 7513。4、業(yè)務(wù)的流向是縱向流，即各地市與省局之間的數(shù)據(jù)交互。2.2原計費網(wǎng)絡(luò)組網(wǎng)分析1、各地設(shè)備的型號比較統(tǒng)一，cisco的72或者75系列的路由器，部分路由器能提供空閑的以太網(wǎng)口，能夠支持bgp ，不能提供空閑以太網(wǎng)口的路由器需要支持802.1q，如果不支

10、持，可以通過升級軟件版本解決該問題。也就是說，計費的ce設(shè)備就采用原來的出口路由器。2、各地市都采用兩條幀中繼鏈路分別連接到福州的中心節(jié)點，這兩條鏈路負(fù)荷分擔(dān)，鏈路帶寬為2*2m。3、骨干網(wǎng)絡(luò)運行的是eigrp動態(tài)路由協(xié)議，各個地市的路由器通過命令network發(fā)布本地的路由網(wǎng)段（發(fā)布的是分配給該市的一個或兩個b網(wǎng)段，沒有和運營、網(wǎng)管網(wǎng)段分離），并且通過eigrp動態(tài)學(xué)習(xí)到其他地市的b網(wǎng)段路由。這里需要注意，可能存在計費的主機能訪問其他地市的運營設(shè)備的問題（因為b網(wǎng)段包含了運營的網(wǎng)段）。因此我們建議，在新建的vpn 上，ce只向pe發(fā)布與自身業(yè)務(wù)有關(guān)的c網(wǎng)段。4、特別的，莆田和泉州的計費的廣域

11、網(wǎng)沒有運行eigrp，而是配置了靜態(tài)路由：ip route 134.128.33.0 255.255.255.192 nexthop。5、業(yè)務(wù)的流向仍然是縱向流，即各地市與省局之間的數(shù)據(jù)交互。2.3原網(wǎng)管網(wǎng)絡(luò)組網(wǎng)分析1、由于省公司的netbuilder 的端口不夠了，另外配置了兩臺cisco 2621路由器，分別接入泉州、寧德和廈門網(wǎng)管1，省公司的這三臺路由器再通過lanswitch 4003連通，然后通過netbuilder 作為統(tǒng)一的出口。2、廣域網(wǎng)鏈路是e1線路，帶寬為2m，特殊的，寧德作了鏈路捆綁。3、 各地市原有的路由設(shè)備型號不一致，有cisco的，也有nbii，nbii路由器基本沒

12、有空閑端口了，也不能支持bgp。針對這種情況，有三種解決方法：1）將nbii 更換為其他路由器，比如3640/3680（分別能夠提供4/8個插槽，每個插槽能提供4e1），該路由器可作為本地區(qū)的匯聚路由器，通過e1接口接入下面的各縣；并作為mpls的ce設(shè)備，這樣設(shè)計的好處是網(wǎng)絡(luò)層次分明，并且本地網(wǎng)絡(luò)的擴(kuò)展只在3680上配置，不用改動ne16。2）仍然通過nbii接入本地設(shè)備，但在pe上不配置mpls vpn ，也就是說，關(guān)于網(wǎng)管的數(shù)據(jù)流不通過vpn，而只通過普通的路由進(jìn)行轉(zhuǎn)發(fā)，這樣設(shè)計的好處是可以利用原有的網(wǎng)絡(luò)設(shè)備，但存在網(wǎng)絡(luò)層次不明析，不利于網(wǎng)絡(luò)的擴(kuò)展，并且，如果網(wǎng)管作為非vpn業(yè)務(wù)，和運營

13、、計費這些vpn業(yè)務(wù)的隔離或者互訪不可控，不能對所有業(yè)務(wù)進(jìn)行統(tǒng)一管理。3）仍然通過nbii接入本地設(shè)備，作為ce，但是pe和ce之間配置靜態(tài)路由，而不是bgp，這樣的好處是可以利用原有的網(wǎng)絡(luò)設(shè)備，并且配置簡單、穩(wěn)定、有效，但存在的問題是：靜態(tài)路由不靈活，需要手動增添和刪除網(wǎng)段，另外，如果通過e1新接入業(yè)務(wù)，需要在ne16上新加配置，e1接入的節(jié)點也是作為mpls 的ce設(shè)備。手動工作量較大的問題可以通過合理的ip網(wǎng)段規(guī)劃進(jìn)行規(guī)避，在pe上配置指向ce的靜態(tài)路由時，目的網(wǎng)段是分配給本地網(wǎng)管的最大范圍的網(wǎng)段，也就是將本地網(wǎng)管網(wǎng)段作聚合，這樣新增節(jié)點的時候，就不用配置明細(xì)的靜態(tài)路由了。綜合多方面考慮

14、，并針對網(wǎng)絡(luò)的實際情況，我們建議采用方案3。4、原網(wǎng)管網(wǎng)的骨干網(wǎng)絡(luò)運行的是ospf協(xié)議，area為0，在各地市的本地網(wǎng)絡(luò)，有些是靜態(tài)路由，有些也運行ospf ，area 不為0，但沒有聚合區(qū)域間路由。這里我們建議各地市向area 0發(fā)布路由的時候進(jìn)行聚合，聚合成本地網(wǎng)管正在使用的幾個c網(wǎng)段（也不應(yīng)該聚合成包含計費、運營的b網(wǎng)段），利于管理和控制。5、省公司路由器通過兩個以太網(wǎng)接口與國家骨干網(wǎng)相連，用于省公司和國家dcn網(wǎng)絡(luò)互訪，配置的是靜態(tài)路由協(xié)議，兩條鏈路手動備份，目的網(wǎng)段只有一個。2.4新建dcn網(wǎng)絡(luò)組網(wǎng)分析1、 福州中心放置兩臺骨干路由器ne16和cisco 7513，兩者通過fe互連，

15、負(fù)責(zé)其他地市的業(yè)務(wù)匯聚，互為備份。2、 除福州外的其他地市，由一臺高端路由器組成，負(fù)責(zé)本地業(yè)務(wù)系統(tǒng)的接入。3、 如上圖所示的各地市的路由器都作為mpls的pe設(shè)備，原來的業(yè)務(wù)網(wǎng)絡(luò)的出口路由器作為ce設(shè)備。4、針對運營和計費網(wǎng)絡(luò)，如果原來的出口路由器存在空閑的以太網(wǎng)口，則直接將該路由器連接到pe上；如果沒有多余的端口，則pe和ce之間通過交換機相連，然后在原出口路由器上配置子接口，劃分vlan（這需要路由器支持802.1q協(xié)議，如果不支持，可以通過升級軟件版本解決）；如果即沒有多余的端口，而且難以支持802.1q，那么只能采用另外一臺三層交換機作為ce設(shè)備，但這樣本地網(wǎng)絡(luò)的路由需要調(diào)整：原出口路

16、由器接在三層交換機的下面，將該三層設(shè)備作為本地的出口。5、 針對網(wǎng)管網(wǎng)絡(luò)，部分地市是cisco 的設(shè)備，有空閑的端口，則直接連接到pe設(shè)備，如果沒有空閑端口，就在原來的以太網(wǎng)上配置子接口（這需要路由器支持802.1q協(xié)議，如果不支持，可以通過升級軟件版本解決），另外一些地市采用的設(shè)備是nbii，由于沒有空閑端口，也不能支持bgp ，就用另外的三層交換機作為ce，這樣需要調(diào)整本地的網(wǎng)絡(luò)，使三層交換機作為本地出口。6、每一地市路由器通過雙歸屬方式接入到省核心層，除廈門和泉州節(jié)點外，鏈路均采用atm pvc。特別的，廈門和泉州節(jié)點還各有一條155m pos鏈路連接到省公司的ne16，并且pos作為主

17、用鏈路。7、各地市pe之間的igp采用ospf協(xié)議，各pe路由器只在內(nèi)部互聯(lián)端口運行ospf，使用一個area 0進(jìn)行路由交換。8、各pe之間同時還運行bgp協(xié)議，通過mp-bgp的擴(kuò)展屬性，實現(xiàn)vpn的標(biāo)簽的分發(fā)和傳遞。9、為了ce下面的設(shè)備知道本地區(qū)以外的路由信息，在ce上，將bgp路由引入到igp中，從而使其他地市的能夠訪問省公司或其他地市。3自治域設(shè)置福建dcn網(wǎng)設(shè)置成一個獨立的自治域，與國干路由器或者其他出口互連。 即省網(wǎng)出口路由器在對外發(fā)布路由信息時均采用省公司分配的自治域號。dcn網(wǎng)在各地市的pe路由器與本地的ce設(shè)備之間運行ebgp4協(xié)議，各地采用保留自治域號（64512655

18、35），路由在發(fā)布出去的時候，在國干的出口路由器上將其過濾掉即可。dcn網(wǎng)的自治域為590其他各地市的自治域號依次為：福州：591廈門：592寧德：593莆田：594泉州：595漳州：596龍巖：597三明：598南平：5994 ip地址/atm pvc規(guī)劃原來給各地市分配的計費、運營、網(wǎng)管網(wǎng)絡(luò)的ip地址網(wǎng)段不作任何修改，mpls網(wǎng)絡(luò)只是作為中間的骨干網(wǎng)絡(luò)，用于各地市之間vpn的訪問。由于原來計費、運營、網(wǎng)管分配給各地市的網(wǎng)段都是公網(wǎng)地址，建議新增的ip地址也采用公網(wǎng)地址，這樣保持一致性，也利于網(wǎng)絡(luò)的擴(kuò)展。需要新增的ip地址是各地市的pe路由器的地址，包括pe的loopback 地址、pe與p

19、e之間的互連接口地址，pe與ce之間的互連接口地址。41給各地市的pe路由器分配一個loopback地址，該地址可作為ospf 的router id，并作為telnet 管理或ping測試的目的地址。整網(wǎng)分配134.128.253.0/24的網(wǎng)段的作為各地市的loopback地址，未使用的保留。各地市pe設(shè)備的loopback地址分配如下：福州ne16： 134.128.253.1福州cisco75： 134.128.253.2廈門： 134.128.253.3寧德： 134.128.253.4莆田： 134.128.253.5泉州： 134.128.253.6漳州： 134.128.253.

20、7龍巖： 134.128.253.8三明： 134.128.253.9南平： 134.128.253.104.2福州的ne16和cisco 75作為dcn網(wǎng)絡(luò)的匯聚節(jié)點，各地市通過兩條atm鏈路分別接入到ne16和cisco 75，廈門和泉州還各有一條pos鏈路連接到福州ne16，并將該pos鏈路作為主鏈路，其他兩條atm鏈路作為備份鏈路。 各地市pe間互連接口ip分配：福州ne16 福州cisco75134.128.252.253/30134.128.252.254/30福州ne16(pos)廈門(pos)134.128.252.249/30134.128.252.250/30福州ne16(

21、pos)泉州(pos)134.128.252.245/30134.128.252.246/30福州ne16廈門134.128.252.1/30134.128.252.2/30福州cisco75廈門134.128.252.5/30134.128.252.6/30福州ne16泉州134.128.252.9/30134.128.252.10/30福州cisco75泉州134.128.252.13/30134.128.252.14/30福州ne16寧德134.128.252.17/30134.128.252.18/30福州cisco75寧德134.128.252.21/30134.128.252.22

22、/30福州ne16漳州134.128.252.25/30134.128.252.26/30福州cisco75漳州134.128.252.29/30134.128.252.30/30福州ne16龍巖134.128.252.33/30134.128.252.34/30福州cisco75龍巖134.128.252.37/30134.128.252.38/30福州ne16莆田134.128.252.41/30134.128.252.42/30福州cisco75莆田134.128.252.45/30134.128.252.46/30福州ne16南平134.128.252.49/30134.128.252

23、.50/30福州cisco75南平134.128.252.53/30134.128.252.54/30福州ne16三明134.128.252.57/30134.128.252.58/30 福州cisco75三明134.128.252.61/30134.128.252.62/304.3各地市的pe設(shè)備都將與多個ce設(shè)備相連，網(wǎng)管網(wǎng)是單獨的ce設(shè)備，計費和運營可能是一個，也可能是分開的兩臺ce。目前的三種vpn業(yè)務(wù)分別在福州設(shè)置三個ce系統(tǒng)，一個是國家骨干路由器，一個省公司的ce設(shè)備，一個是福州本地業(yè)務(wù)的ce設(shè)備。本次工程初期規(guī)劃有四種vpn業(yè)務(wù)：97、oa、計費、網(wǎng)管，給每種vpn業(yè)務(wù)分配一個c

24、網(wǎng)段，作為各地市相應(yīng)業(yè)務(wù)的ce設(shè)備與pe的互連接口地址，如果有其他的vpn 業(yè)務(wù)，則再劃分新的ip網(wǎng)段即可。本次工程有9個節(jié)點，因此每種業(yè)務(wù)占用了本c網(wǎng)段192個ip地址 ，其中，一個地市占用16個ip地址。地址分配方案如下：97網(wǎng)絡(luò) pe-ce:134.128.251.0/24省公司（ne16）134.128.251.1/28 （pe側(cè)地址） （cisco） 134.128.251.17/28福州 （ne16）134.128.251.33/28 （cisco）134.128.251.49/28廈門134.128.251.65/28泉州134.128.251.81/28寧德134.128.25

25、1.97/28漳州134.128.251.113/28龍巖134.128.251.129/28莆田134.128.251.145/28南平134.128.251.161/28三明134.128.251.177/28oa網(wǎng)絡(luò) pe-ce:134.128.250.0/24省公司(ne16)134.128.250.1/28 （pe側(cè)地址） （cisco）134.128.250.17/28 福州（ne16）134.128.250.33/28（cisco）134.128.250.49/28廈門134.128.250.65/28泉州134.128.250.81/28寧德134.128.250.97/28漳

26、州134.128.250.113/28龍巖134.128.250.129/28莆田134.128.250.145/28南平134.128.250.161/28三明134.128.250.177/28計費網(wǎng)絡(luò) pe-ce:134.128.249.0/24省公司(ne16)134.128.249.1/28 （pe側(cè)地址） （cisco）134.128.249.17/28 福州 (ne16)134.128.249.33/28 (cisco)134.128.249.49/28廈門134.128.249.65/28泉州134.128.249.81/28寧德134.128.249.97/28漳州134.1

27、28.249.113/28龍巖134.128.249.129/28莆田134.128.249.145/28南平134.128.249.161/28三明134.128.249.177/28網(wǎng)管網(wǎng)絡(luò) pe-ce:134.128.248.0/24省公司(ne16)134.128.248.1/28 (pe側(cè)地址) （cisco） 134.128.248.17/28福州(ne16)134.128.248.33/28 （cisco）134.128.248.49/28廈門134.128.248.65/28泉州134.128.248.81/28寧德134.128.248.97/28漳州134.128.248.

28、113/28龍巖134.128.248.129/28莆田134.128.248.145/28南平 134.128.248.161/28三明134.128.248.177/2844為了交換機設(shè)備便于管理，需要給各地市的s3025-m和3526分配一個管理地址，網(wǎng)管可以通過該地址進(jìn)行查詢和配置。由于管理地址需要配置路由網(wǎng)關(guān)才能被訪問，所以將管理ip規(guī)劃到當(dāng)?shù)啬骋粋€vpn的網(wǎng)段內(nèi)，配置ne16子接口的地址作為其出口網(wǎng)關(guān)。 各地市都有兩臺s3025，s3025-1連接網(wǎng)管業(yè)務(wù)，就將其管理地址和網(wǎng)管vpn劃分在一個網(wǎng)段里，s3025-2連接其他業(yè)務(wù)，就將其管理地址和97 vpn劃分在一個網(wǎng)段里。省公司還

29、有5臺s3526，類似的將ip規(guī)劃到某一個vpn網(wǎng)段內(nèi)。具體的交換機管理地址分配如下：省公司3526-1： 134.128.248.14/28gateway：134.128.249.1省公司3526-2： 134.128.248.13/28gateway：134.128.249.1省公司3526-3： 134.128.248.12/28gateway：134.128.249.1省公司3526-4： 134.128.248.11/28gateway：134.128.249.1省公司3526-5： 134.128.248.10/28gateway：134.128.249.1福州3025-1： 13

30、4.128.248.46/28gateway：134.128.248.33福州3025-2：134.128.251.46/28 gateway：134.128.251.33 廈門3025-1： 134.128.248.78/28gateway：134.128.249.65廈門3025-2：134.128.251.78/28 gateway：134.128.251.65 泉州3025-1： 134.128.248.95/28gateway：134.128.249.81泉州3025-2134.128.251.95/28 gateway：134.128.251.81寧德3025-1：134.128.

31、248.110/28gateway：134.128.249.97寧德3025-2： 134.128.251.110/28 gateway：134.128.251.97漳州3025-1： 134.128.248.126/28gateway：134.128.249.113漳州3025-2134.128.251.126/28 gateway：134.128.251.113龍巖3015-1： 134.128.248.142/28gateway：134.128.249.129龍巖3015-2：134.128.251.142/28 gateway：134.128.251.129莆田3025-1： 134.

32、128.248.158/28gateway：134.128.249.145莆田3025-2134.128.251.158/28 gateway：134.128.251.145三明3025-1：134.128.248.174/28gateway：134.128.249.161三明3025-2： 134.128.251.174/28 gateway：134.128.251.161南平3025-1： 134.128.248.190/28gateway：134.128.249.177 南平3025-2134.128.251.190/28 gateway：134.128.251.17745骨干網(wǎng)絡(luò)的廣域

33、網(wǎng)鏈路以atm為主，atm鏈路的pvc以電話區(qū)號按序往下排，來的鏈路和去的鏈路的pvc號相同，具體分配如下：福州-廈門（0592）：1/102，福州-寧德（0593）：1/103，福州-莆田（0594）：1/104福州-泉州（0595）：1/105福州-漳州（0596）：1/106福州-龍巖（0597）：1/107福州-三明（0598）：1/108福州-南平（0599）：1/1095 路由協(xié)議 路由協(xié)議包括igp的選擇和egp的選擇。igp產(chǎn)生路由，egp傳播路由，在本期工程中，采用ospf作為內(nèi)部路由協(xié)議，bgp4作為自治系統(tǒng)之間的路由協(xié)議。 5.1全網(wǎng)bgp4規(guī)劃1、在省公司的兩臺路由器和

34、全國dcn骨干福建節(jié)點之間運行ebgp，將國干節(jié)點作為一個ce設(shè)備，將福建dcn的路由發(fā)布到全國骨干網(wǎng)，同時獲取全國dcn網(wǎng)絡(luò)的路由。與國家骨干相連的業(yè)務(wù)主要是網(wǎng)管，當(dāng)國家骨干路由器上發(fā)布了bgp的缺省路由，在福州中心節(jié)點的網(wǎng)管的vpn中就能產(chǎn)生指向國干的缺省路由（與運營、計費的vpn無關(guān)），同時，該條缺省路由還能傳播到下面的各地市，從而在骨干網(wǎng)上產(chǎn)生指向國干出口的缺省路由。在福州中心節(jié)點上向國家骨干路由器發(fā)布聚合后的bgp路由，盡量減小路由數(shù)量，在福州單出口的情況下，福州可以不引入國家骨干網(wǎng)的路由，而只采用缺省路由的方式作為出口，由于缺省路由是國家骨干路由器通過bgp發(fā)布的 ,所以ne16和

35、cisco 75之間能做到備份。2、全網(wǎng)pe之間運行ibgp。各地市ce之間的vpn路由的傳遞、vpn路由標(biāo)簽的分發(fā)，都是通過mp-bgp協(xié)議的擴(kuò)展屬性實現(xiàn)的。除福州以外的其他pe設(shè)備訪問福州pe時，通過在福州兩個pe上配置bgp的local prefrence 屬性實現(xiàn)優(yōu)先選擇一個pe設(shè)備。而省公司的ce設(shè)備，通過med屬性實現(xiàn)pe的優(yōu)選。3、運營和計費的pe和ce之間運行ebgp，ce需要將本地相關(guān)業(yè)務(wù)的路由發(fā)布到pe中去，從而使ce設(shè)備的路由經(jīng)由pe而不是原來的網(wǎng)絡(luò)，原有網(wǎng)絡(luò)作為dcn網(wǎng)絡(luò)的備份。并且ce設(shè)備將bgp路由引入到本地的igp中去。 如果舊網(wǎng)和新網(wǎng)同時運行，則需要考慮兩個問題

36、，一是ce到pe的ebgp 的路由的優(yōu)先級應(yīng)該比ce經(jīng)過原有網(wǎng)絡(luò)到省公司的路由的優(yōu)先級高；二是如果通過原有網(wǎng)絡(luò)得到的路由比從pe得到的ebgp路由更明細(xì)，路由仍然不會經(jīng)過pe轉(zhuǎn)發(fā)（這就要求ce向pe發(fā)布的ebgp路由必須與ce向原網(wǎng)絡(luò)發(fā)布的ospf、eigrp和靜態(tài)路由一致，這里需要重點關(guān)注網(wǎng)管網(wǎng)的省公司的ospf路由，c網(wǎng)段以下的ospf路由相當(dāng)多）。 針對以上考慮，有兩種解決方法：一是ce通過ebgp 發(fā)布給pe聚合后的路由，同時ce通過原來的路由協(xié)議向原有網(wǎng)絡(luò)發(fā)布相同網(wǎng)段聚合后的路由，在保證網(wǎng)段相同的情形下，會優(yōu)選優(yōu)先級高的ebgp 路由；這種方式的好處在于：路由聚合后避免因為本地業(yè)務(wù)系

37、統(tǒng)路由的波動影響骨干路由的穩(wěn)定性，減少路由的數(shù)量，提高整個網(wǎng)絡(luò)的路由效率和可靠性。但需要對原有網(wǎng)絡(luò)進(jìn)行一定的改造。二是在ce上將業(yè)務(wù)原來運行的igp協(xié)議引入到bgp 中，再發(fā)布到pe上，這樣也能保證igp和bgp 的路由的一致，但這樣產(chǎn)生的bgp 路由沒有聚合，將會增大路由表的負(fù)荷。并且在任何一個ce上向pe設(shè)備通告的路由都是全網(wǎng)的路由，這樣會造成路由紊亂，難以割接，運行過程中也不能備份。綜合以上考慮，我們建議采用第一種解決方法。另外一個重要問題是：如果要做到各vpn 業(yè)務(wù)的分離，邏輯上各業(yè)務(wù)必須有單獨的ce與pe設(shè)備相連。邏輯上是指，要么各業(yè)務(wù)是物理上分離的路由設(shè)備，要么不同的vpn業(yè)務(wù)共用

38、相同的物理設(shè)備，但是與pe設(shè)備相連的端口必須分離，也就是說，每種vpn 業(yè)務(wù)必須采用獨立的端口與pe設(shè)備相連，端口上向pe發(fā)布的也是本業(yè)務(wù)所占用的網(wǎng)段。 5.2全網(wǎng)igp規(guī)劃 dcn網(wǎng)的igp采用動態(tài)的、基于鏈路狀態(tài)的ospf協(xié)議。1、各pe路由器只在內(nèi)部互聯(lián)端口運行ospf，使用一個area 0進(jìn)行路由交換。 2、出于鏈路備份和負(fù)荷分擔(dān)的考慮，將ospf鏈路的cost值定義如下:1）福州ne16與cisco75之間的fe接口的兩端的cost=102)福州、廈門、泉州的pos接口的兩端的cost=203)各地市間的atm鏈路都設(shè)為cost=30 4. 在各地市的pe設(shè)備上，將pe設(shè)備配置net

39、work 134.128.0.0 0.0.255.255 area 0,從而使loopback地址和互連端口地址引入到ospf協(xié)議中去。不采用redistribute 命令引入靜態(tài)或其他協(xié)議的路由。 5、為避免路由環(huán)路，在pe上不通過ospf 發(fā)布缺省路由。 5.3靜態(tài)路由規(guī)劃1、在網(wǎng)管的ce設(shè)備上配置一條指向pe的靜態(tài)缺省路由。2、由于原網(wǎng)管網(wǎng)pe和ce之間運行靜態(tài)路由，在pe上配置網(wǎng)段為本地，下一跳指向ce的靜態(tài)路由，然后引入到mp-bgp中，發(fā)布到其他地市；同時，在ce上配置目的網(wǎng)段為其他地市，下一跳為pe的靜態(tài)路由。這種方法也存在原有網(wǎng)絡(luò)igp協(xié)議的路由比靜態(tài)路由更明細(xì)的問題。6mpl

40、s vpn 規(guī)劃 6.1 全局vrf的命名規(guī)則通過配置vrf（路由轉(zhuǎn)發(fā)實例）的target 屬性，可以實現(xiàn)不同業(yè)務(wù)的vpn。不同路由器通過target 相關(guān)聯(lián)而組成可以互相訪問的集合，由于只有他們內(nèi)部可以互訪，所以我們稱之為vpn，配置里并沒有專門的vpn 的定義。也就是說，vpn的成員關(guān)系是通過路由所攜帶的route target屬性來獲得的。不同ce 通過pe 配置的vrf 里的target實現(xiàn)互訪與隔離，從而組成不同的vpn。具體的各業(yè)務(wù)的rd和route-target配置規(guī)劃如下：dcn_oard590:10福州route-target export1000:91廈門route-tar

41、get export1000:92寧德route-target export1000:93莆田route-target export1000:94泉州route-target export1000:95漳州route-target export1000:96龍巖route-target export1000:97三明route-target export1000:98南平route-target export1000:99各地市的route-target import為其他各地市的export之和，例：福州：route-target import1000:92route-target impo

42、rt1000:93route-target import1000:94route-target import1000:95route-target import1000:96route-target import1000:97route-target import1000:98route-target import1000:99dcn_wangguanrd590:20福州route-target export2000:91廈門route-target export2000:92寧德route-target export2000:93莆田route-target export2000:94泉州r

43、oute-target export2000:95漳州route-target export2000:96龍巖route-target export2000:97三明route-target export2000:98南平route-target export2000:99各地市的route-target import為其他各地市的export之和。dcn_zhongherd590:30福州route-target export3000:91廈門route-target export3000:92寧德route-target export3000:93莆田route-target export

44、3000:94泉州route-target export3000:95漳州route-target export3000:96龍巖route-target export3000:97三明route-target export3000:98南平route-target export3000:99各地市的route-target import為其他各地市的export之和。dcn_168rd590:40福州route-target export4000:91廈門route-target export4000:92寧德route-target export4000:93莆田route-target

45、export4000:94泉州route-target export4000:95漳州route-target export4000:96龍巖route-target export4000:97三明route-target export4000:98南平route-target export4000:99各地市的route-target import為其他各地市的export之和。7 網(wǎng)絡(luò)管理網(wǎng)管所在端口不能劃入任何一個vpn里，這樣才能對全網(wǎng)mpls的vpn進(jìn)行管理。所以連接mpls網(wǎng)管的終端單獨提供接入端口，不劃入vpn業(yè)務(wù)端口。網(wǎng)管系統(tǒng)可以采用華為公司的imanager n2000綜合網(wǎng)管，imanager n200綜合網(wǎng)管系統(tǒng)使用了模塊化、組件化的設(shè)計方法，可以方便靈活的實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理。imanager n2000綜合網(wǎng)管