MPLSBGPVPN技術(shù)方案及范例

MPLSBGPVPN技術(shù)方案模板及范例華為技術(shù)有限公司2003年2月目錄TOC\o"1-5"\h\z第1章MPLSVPN簡(jiǎn)介1第2章原有網(wǎng)絡(luò)分析22.1數(shù)據(jù)采集22.2組網(wǎng)分析32.3用戶需求分析52.4結(jié)論5第3章MPLS-VPN的客戶解決方案63.1系統(tǒng)框架圖7IP地址規(guī)劃8PE的Loopback地址9PE與PE之間的互連接口地址10PE與CE之間的互連接口地址113.2.4交換機(jī)3526/3026的管理地址123.2.5ATMPVC規(guī)劃13路由協(xié)議143.3.1全網(wǎng)MBGP規(guī)劃153.3.2全網(wǎng)IGP規(guī)劃16靜態(tài)路由規(guī)劃16MPLSVPN規(guī)劃17網(wǎng)絡(luò)的備份和流量分擔(dān)193.5.1網(wǎng)絡(luò)的備份193.5.2流量的分擔(dān)19網(wǎng)絡(luò)的管理20網(wǎng)絡(luò)的安全21第4章設(shè)備配置2..24.1硬件配置清單224.2軟件配置清單22第5章測(cè)試和驗(yàn)收2.3第6章華為公司服務(wù)內(nèi)容及保障2.46.1服務(wù)理念246.2服務(wù)內(nèi)容246.3服務(wù)保障25第1章MPLSVPN簡(jiǎn)介說(shuō)明：該章主要用簡(jiǎn)潔、易懂的文字，對(duì)技術(shù)方案所依托的MPLSVPN技術(shù)作簡(jiǎn)單介紹；并簡(jiǎn)單論述采用MPLSVPN實(shí)現(xiàn)用戶需求的優(yōu)點(diǎn)。隨著社會(huì)的發(fā)展，企業(yè)日益擴(kuò)張，客戶分布日益廣泛，合作伙伴日益增多，這種情況也使傳統(tǒng)企業(yè)網(wǎng)絡(luò)的功能缺陷越來(lái)越凸現(xiàn)：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點(diǎn)的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對(duì)于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下，基于MPLS技術(shù)平臺(tái)實(shí)現(xiàn)的虛擬私有網(wǎng)（簡(jiǎn)稱為MPLS-VPN），以其獨(dú)具特色的優(yōu)勢(shì)贏得了越來(lái)越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn)。MPLS是多協(xié)議標(biāo)簽交換協(xié)議的簡(jiǎn)稱，多協(xié)議是指它能夠支持多種三層協(xié)議;標(biāo)簽是一種短的，易于處理的，不包含拓?fù)湫畔?，只具有局部意義的信息內(nèi)容；MPLS的報(bào)文轉(zhuǎn)發(fā)是基于標(biāo)簽的，在MPLS網(wǎng)絡(luò)中，IP包在進(jìn)入第一個(gè)MPLS設(shè)備時(shí)，MPLS邊緣路由器分析IP包的內(nèi)容并且為這些IP包選擇合適的標(biāo)簽。以后所有MPLS網(wǎng)絡(luò)中節(jié)點(diǎn)都是依據(jù)這個(gè)標(biāo)簽作為轉(zhuǎn)發(fā)依據(jù)。當(dāng)IP包最終離開(kāi)MPLS網(wǎng)絡(luò)時(shí)，標(biāo)簽被邊緣路由器分離。MPLS可以在IP網(wǎng)中的實(shí)現(xiàn)的一種面向連接的特性。通過(guò)MPLS可以在IP網(wǎng)中提供一些原來(lái)只有ATM/FrameRelay才能提供的業(yè)務(wù)，使得IP網(wǎng)絡(luò)運(yùn)營(yíng)商可以根據(jù)用戶需求，提供形式多樣、方便快捷的增值服務(wù)：VPN（包括二層和三層VPN）、流量工程和QoS、虛擬專線、電路交叉連接（CCC）等等，其中的MPLSVPN就是其中一項(xiàng)重要的應(yīng)用。MPLSVPN可以分為BGP擴(kuò)展實(shí)現(xiàn)的VPN和LDP擴(kuò)展實(shí)現(xiàn)的VPN。根據(jù)PE（ProviderEdge）設(shè)備是否參與VPN路由又細(xì)分為二層VPN和三層VPN。本次工程中，采用BGP擴(kuò)展實(shí)現(xiàn)的三層MPLSVPN。采用MPLSVPN技術(shù)可以把物理上單一的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò),并且每個(gè)VPN單獨(dú)構(gòu)成一個(gè)獨(dú)立的地址空間，即VPN之間可以重用地址，在分配地址時(shí)不必考慮是否會(huì)與其他的VPN發(fā)生沖突，只需要考慮在本VPN之內(nèi)不沖突即可，這樣可以解決IP網(wǎng)絡(luò)地址不足的問(wèn)題，也方便與網(wǎng)絡(luò)的擴(kuò)展和變更。MPLSVPN的網(wǎng)絡(luò)構(gòu)造由服務(wù)提供商來(lái)完成。在這種網(wǎng)絡(luò)構(gòu)造中，由服務(wù)提供商向用戶提供VPN服務(wù)，用戶感覺(jué)不到公共網(wǎng)絡(luò)的存在，就好像擁有獨(dú)立的網(wǎng)絡(luò)資源一樣。MPLSVPN網(wǎng)絡(luò)中，由三種設(shè)備：CE、PE和P路由器，CE(CustomEdge)是用戶直接與服務(wù)提供商相連的邊緣設(shè)備，一般也是路由器設(shè)備；PE(ProviderEdge)是骨干網(wǎng)中的邊緣設(shè)備，它直接與用戶的CE相連；P路由器(ProviderRouter)是骨干網(wǎng)中不與CE直接相連的設(shè)備，P路由器并也不知道有VPN的存在，僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸。但其必須能夠支持MPLS協(xié)議，并使能該協(xié)議。PE位于服務(wù)提供商網(wǎng)絡(luò)的邊緣，所有的VPN的構(gòu)建、連接和管理工作都是在PE上進(jìn)行的。為了實(shí)現(xiàn)MPLS-VPN功能，各運(yùn)營(yíng)商除了新建網(wǎng)絡(luò)之外，更多的需求是在已有的傳統(tǒng)IP網(wǎng)絡(luò)上實(shí)現(xiàn)MPLS-VPN的功能。這樣，既保護(hù)了原有網(wǎng)絡(luò)投資，又適應(yīng)了企業(yè)用戶的新的需求，實(shí)現(xiàn)業(yè)務(wù)的增值。本次工程就是在已有網(wǎng)絡(luò)上進(jìn)行改造，實(shí)現(xiàn)MPLSVPN功能。第2章原有網(wǎng)絡(luò)分析逐說(shuō)明：實(shí)施MPLSVPN的前提，就是對(duì)原有網(wǎng)絡(luò)進(jìn)行全面準(zhǔn)確的調(diào)研和分析，收集實(shí)際運(yùn)行的網(wǎng)絡(luò)信息。在此基礎(chǔ)上給出網(wǎng)絡(luò)的建設(shè)建議。2.1數(shù)據(jù)采集EQ說(shuō)明：該節(jié)對(duì)客戶原有網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行采集，作為分析的基礎(chǔ)。在實(shí)際工程中，需要采集的信息包括：組網(wǎng)圖、數(shù)據(jù)配置、IP網(wǎng)段規(guī)劃、業(yè)務(wù)流向、路由協(xié)議、業(yè)務(wù)間互訪和隔離的需求。福建原有三個(gè)業(yè)務(wù)網(wǎng)絡(luò)：運(yùn)營(yíng)、計(jì)費(fèi)和網(wǎng)管，這三種業(yè)務(wù)在地市和省之間的廣域網(wǎng)的范圍內(nèi)，物理設(shè)備和運(yùn)行的路由協(xié)議都是相互分離的，這樣給全網(wǎng)的統(tǒng)一管理和維護(hù)帶來(lái)了相當(dāng)?shù)牟槐悖⑶夷承┡f有的設(shè)備和廣域網(wǎng)帶寬已經(jīng)不能滿足當(dāng)前的業(yè)務(wù)發(fā)展的需求，因此有必要建設(shè)一個(gè)統(tǒng)一的、高效的、可運(yùn)營(yíng)、可維護(hù)的數(shù)據(jù)網(wǎng)絡(luò)，本次DCN工程的建設(shè)目的正是為了滿足這一需求。在原有網(wǎng)絡(luò)中，每個(gè)地市的運(yùn)營(yíng)、計(jì)費(fèi)和網(wǎng)管共用一個(gè)或兩個(gè)B網(wǎng)段。運(yùn)營(yíng)和計(jì)費(fèi)的上行到省公司的路由設(shè)備共用或者分別在兩臺(tái)出口路由器上；網(wǎng)管是單獨(dú)的出口路由器。在各地市間的骨干網(wǎng)絡(luò)上，運(yùn)營(yíng)網(wǎng)配置的是靜態(tài)路由計(jì)費(fèi)網(wǎng)絡(luò)運(yùn)行的是EIGRP動(dòng)態(tài)路由協(xié)議；網(wǎng)管網(wǎng)絡(luò)運(yùn)行的是OSPF協(xié)議，本地網(wǎng)的OSPF與計(jì)費(fèi)的EIGRP之間沒(méi)有相互引入，本地網(wǎng)的OSPF也沒(méi)有引入靜態(tài)路由。2.2組網(wǎng)分析說(shuō)明：用戶的原有網(wǎng)絡(luò)結(jié)構(gòu)一般會(huì)有兩種：一種是將所有的業(yè)務(wù)承載在一個(gè)網(wǎng)絡(luò)上，通過(guò)GRE、IPSEC等技術(shù)建立隧道來(lái)隔離不同的業(yè)務(wù)，或者根本不作隔離;另一種是對(duì)于每種業(yè)務(wù)單獨(dú)建設(shè)一個(gè)網(wǎng)絡(luò);如在運(yùn)營(yíng)商的DCN網(wǎng)絡(luò)中，位計(jì)費(fèi)，運(yùn)營(yíng)，網(wǎng)管各建一個(gè)網(wǎng)絡(luò)（在某些設(shè)備上，這些網(wǎng)絡(luò)可能共用一個(gè)設(shè)備）。對(duì)第一種情況，附一個(gè)總的組網(wǎng)圖即可；而對(duì)第二種需要對(duì)每種業(yè)務(wù)附一個(gè)組網(wǎng)圖，再對(duì)原有網(wǎng)絡(luò)的整體情況，用途，所承載的業(yè)務(wù)類型分別進(jìn)行分析。原運(yùn)營(yíng)網(wǎng)絡(luò)組網(wǎng)分析1、各地設(shè)備的型號(hào)比較統(tǒng)一，Cisco的72或者75系列的路由器，部分路由器能提供空閑的以太網(wǎng)口，能夠支持BGP，不能提供空閑以太網(wǎng)口的路由器需要支持802.1Q，如果不支持，可以通過(guò)升級(jí)軟件版本解決該問(wèn)題。2、廣域網(wǎng)鏈路是E1線路，帶寬為2M。3、骨干網(wǎng)絡(luò)運(yùn)行的是靜態(tài)路由，在福州中心路由器Cisco7513上面配置指向分配給各地市和省公司路由器的精確的C網(wǎng)段（或更明細(xì)）的靜態(tài)路由，下一跳指向相應(yīng)的路由器的下一跳，而在各地市路由器上配置指向省公司的精確的C網(wǎng)段（或更明細(xì)）的靜態(tài)路由，下一跳指向Cisco7513。4、業(yè)務(wù)的流向是縱向流，即各地市與省局之間的數(shù)據(jù)交互。原網(wǎng)管網(wǎng)絡(luò)組網(wǎng)分析1、由于省公司的NetBuilder的端口不夠了，另外配置了兩臺(tái)Cisco2621路由器，分別接入泉州、寧德和廈門(mén)網(wǎng)管1，省公司的這三臺(tái)路由器再通過(guò)Lanswitch4003連通，然后通過(guò)NetBuilder作為統(tǒng)一的出口。2、廣域網(wǎng)鏈路是E1線路，帶寬為2M,特殊的，寧德作了鏈路捆綁。3、各地市原有的路由設(shè)備型號(hào)不一致，有CISCO的，也有NBII，NBII路由器基本沒(méi)有空閑端口了，也不能支持BGP。針對(duì)這種情況，有三種解決方法：1）將NBII更換為其他路由器，比如3640/3680（分別能夠提供4/8個(gè)插槽，每個(gè)插槽能提供4E1），該路由器可作為本地區(qū)的匯聚路由器，通過(guò)E1接口接入下面的各縣；并作為MPLS的CE設(shè)備，這樣設(shè)計(jì)的好處是網(wǎng)絡(luò)層次分明，并且本地網(wǎng)絡(luò)的擴(kuò)展只在3680上配置，不用改動(dòng)NE16。2）仍然通過(guò)NBII接入本地設(shè)備，但在PE上不配置MPLSVPN，也就是說(shuō)，關(guān)于網(wǎng)管的數(shù)據(jù)流不通過(guò)VPN,而只通過(guò)普通的路由進(jìn)行轉(zhuǎn)發(fā)，這樣設(shè)計(jì)的好處是可以利用原有的網(wǎng)絡(luò)設(shè)備，但存在網(wǎng)絡(luò)層次不明析，不利于網(wǎng)絡(luò)的擴(kuò)展，并且，如果網(wǎng)管作為非VPN業(yè)務(wù)，和運(yùn)營(yíng)、計(jì)費(fèi)這些VPN業(yè)務(wù)的隔離或者互訪不可控，不能對(duì)所有業(yè)務(wù)進(jìn)行統(tǒng)一管理。3）仍然通過(guò)NBII接入本地設(shè)備，作為CE,但是PE和CE之間配置靜態(tài)路由，而不是BGP，這樣的好處是可以利用原有的網(wǎng)絡(luò)設(shè)備，并且配置簡(jiǎn)單、穩(wěn)定、有效，但存在的問(wèn)題是：靜態(tài)路由不靈活，需要手動(dòng)增添和刪除網(wǎng)段，另外，如果通過(guò)E1新接入業(yè)務(wù)，需要在NE16上新加配置，E1接入的節(jié)點(diǎn)也是作為MPLS的CE設(shè)備。手動(dòng)工作量較大的問(wèn)題可以通過(guò)合理的IP網(wǎng)段規(guī)劃進(jìn)行規(guī)避，在PE上配置指向CE的靜態(tài)路由時(shí)，目的網(wǎng)段是分配給本地網(wǎng)管的最大范圍的網(wǎng)段，也就是將本地網(wǎng)管網(wǎng)段作聚合，這樣新增節(jié)點(diǎn)的時(shí)候，就不用配置明細(xì)的靜態(tài)路由了。綜合多方面考慮，并針對(duì)網(wǎng)絡(luò)的實(shí)際情況，我們建議采用方案3。4、原網(wǎng)管網(wǎng)的骨干網(wǎng)絡(luò)運(yùn)行的是OSPF協(xié)議，AREA為0,在各地市的本地網(wǎng)絡(luò)，有些是靜態(tài)路由，有些也運(yùn)行OSPF，AREA不為0,但沒(méi)有聚合區(qū)域間路由。這里我們建議各地市向Area0發(fā)布路由的時(shí)候進(jìn)行聚合，聚合成本地網(wǎng)管正在使用的幾個(gè)C網(wǎng)段（也不應(yīng)該聚合成包含計(jì)費(fèi)、運(yùn)營(yíng)的B網(wǎng)段），利于管理和控制。5、省公司路由器通過(guò)兩個(gè)以太網(wǎng)接口與國(guó)家骨干網(wǎng)相連，用于省公司和國(guó)家DCN網(wǎng)絡(luò)互訪，配置的是靜態(tài)路由協(xié)議，兩條鏈路手動(dòng)備份，目的網(wǎng)段只有一個(gè)。2.3用戶需求分析EQ說(shuō)明：該節(jié)對(duì)客戶的需求進(jìn)行歸納和總結(jié)。項(xiàng)目實(shí)施的根本目的就是為了實(shí)現(xiàn)客戶的需求。在福建全省范圍內(nèi)，目前主要有網(wǎng)管、計(jì)費(fèi)、0A、97業(yè)務(wù)?；驹瓌t是：各業(yè)務(wù)之間是隔離的；每種業(yè)務(wù)在全省各地市之間是能夠互相訪問(wèn)的；省公司的各種業(yè)務(wù)還有訪問(wèn)國(guó)家骨干的需求。特別的：省公司的網(wǎng)管業(yè)務(wù)能夠訪問(wèn)其他地市的各種業(yè)務(wù)。2.4結(jié)論EQ說(shuō)明：該節(jié)根據(jù)客戶網(wǎng)絡(luò)結(jié)構(gòu)以及采集的數(shù)據(jù)對(duì)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行分析，得出結(jié)論。并提出我們的解決方案。對(duì)于每種業(yè)務(wù)單獨(dú)建立一個(gè)網(wǎng)絡(luò)這種情況，存在以下弊?。河捎谑敲糠N業(yè)務(wù)都建立一個(gè)網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備的重復(fù)投入，而且在新上一種業(yè)務(wù)的時(shí)候都要新建一套網(wǎng)絡(luò)，工程量比較大。而且如果存在某些設(shè)備是多個(gè)業(yè)務(wù)共用的設(shè)備時(shí)，業(yè)務(wù)間的隔離和互訪實(shí)現(xiàn)起來(lái)也不方便。對(duì)于將各個(gè)業(yè)務(wù)使用同一個(gè)網(wǎng)絡(luò)這種情況，存在以下弊?。焊鱾€(gè)業(yè)務(wù)使用同一個(gè)網(wǎng)絡(luò)，如果各個(gè)業(yè)務(wù)之間不進(jìn)行隔離，那么存在安全隱患，如果使用GRE、IPSEC等隧道技術(shù)來(lái)進(jìn)行隔離的話，由于這些隧道技術(shù)都是點(diǎn)對(duì)點(diǎn)的，因此節(jié)點(diǎn)比較多的時(shí)候，要配置較多的隧道，在新增一個(gè)點(diǎn)的時(shí)候，需要修改所有配置了隧道的路由器的配置。本次DCN工程采用MPLSVPN的方案，在同一物理拓?fù)涞幕A(chǔ)上，MPLSVPN能夠按照用戶需求實(shí)現(xiàn)多種業(yè)務(wù)的隔離，并且管理和控制VPN的業(yè)務(wù)，只是在數(shù)據(jù)上作相應(yīng)的配置，物理設(shè)備和鏈路都不用作改動(dòng)，這樣為各種VPN業(yè)務(wù)的管理和維護(hù)提供了很大的方便，所以MPLSVPN具有很好的業(yè)務(wù)擴(kuò)展性。在各地市新建一臺(tái)出口路由器NE16，作為MPLS內(nèi)的PE設(shè)備，各地原有的與省公司路由器相連的各業(yè)務(wù)路由器（或者是三層交換機(jī)）作為MPLS的CE設(shè)備，特別的，目前的三種VPN業(yè)務(wù)分別在福州設(shè)置三個(gè)CE系統(tǒng)，一個(gè)是國(guó)家骨干路由器，一個(gè)省公司的CE設(shè)備，一個(gè)是福州本地業(yè)務(wù)的CE設(shè)備。由于所有的VPN數(shù)據(jù)只是在PE上作相應(yīng)的配置，控制也是在PE上實(shí)現(xiàn)的，所以對(duì)原有網(wǎng)絡(luò)的影響很小，這樣能最大限度的減小對(duì)原來(lái)的各種業(yè)務(wù)的影響。增加了PE設(shè)備以后，每個(gè)地市的CE設(shè)備就通過(guò)本地的PE設(shè)備與省公司或者其他地市相連了，而原有的網(wǎng)絡(luò)作為DCN網(wǎng)絡(luò)的備份網(wǎng)絡(luò)，當(dāng)DCN網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)，可以切換到舊有網(wǎng)絡(luò)上，保證業(yè)務(wù)的正常運(yùn)行。要做到各地市的VPN業(yè)務(wù)的分離，每種VPN業(yè)務(wù)必須采用獨(dú)立的邏輯端口與PE設(shè)備相連，端口上向PE發(fā)布的也是本業(yè)務(wù)所占用的網(wǎng)段，而不應(yīng)該是本地所有VPN業(yè)務(wù)的總的B網(wǎng)段。針對(duì)實(shí)際的情況，我們采用業(yè)務(wù)逐步分離的方案。如果某些地市能做到業(yè)務(wù)網(wǎng)段的分離，就為每個(gè)VPN業(yè)務(wù)提供獨(dú)立的邏輯端口，并只發(fā)布本業(yè)務(wù)的網(wǎng)段，采用N個(gè)業(yè)務(wù)N個(gè)VPN的方案；其他地市短期內(nèi)還做不到業(yè)務(wù)網(wǎng)段的分離，那么就采用暫時(shí)只有一個(gè)VPN的方案，當(dāng)這些地市的網(wǎng)段做到分離的時(shí)候，再將這些地市調(diào)整成多個(gè)VPN就可以了。這樣，網(wǎng)段分離的地市能夠做到業(yè)務(wù)分離，而暫時(shí)不能分離的地市只是本地業(yè)務(wù)不能分離，不會(huì)影響到其他的城市。彳通過(guò)前面的分析可以看出，MPLSVPN方案能很好的實(shí)現(xiàn)用戶的需求，提升網(wǎng)絡(luò)的性能，滿足用戶業(yè)務(wù)擴(kuò)展和易于管理的要求。第3章MPLS-VPN的客戶解決方案說(shuō)明：該章針對(duì)客戶的現(xiàn)狀和需求，是出具體的MPLSVPN解決方案，包括組網(wǎng)圖、自治域、IP地址規(guī)劃、路由協(xié)議等技術(shù)細(xì)節(jié)，作為工程實(shí)施的依據(jù)。3.1系統(tǒng)框架圖說(shuō)明：該節(jié)附具體解決方案的系統(tǒng)框架圖，即采用MPLSVPN方案的網(wǎng)絡(luò)結(jié)構(gòu)圖。并對(duì)網(wǎng)絡(luò)設(shè)計(jì)的方針、規(guī)劃、思路做出詳細(xì)的分析。MPLS-VPN并不要求網(wǎng)絡(luò)結(jié)構(gòu)上有什么特殊之處，傳統(tǒng)的樹(shù)形結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、單星型結(jié)構(gòu)、雙星形結(jié)構(gòu)都可以滿足要求。如果是舊網(wǎng)改造，只需要對(duì)原有網(wǎng)上設(shè)備進(jìn)行升級(jí)，使之支持LDP，配合新增的PE設(shè)備即可組成MPLS-VPN的核心MPLS域；而CE設(shè)備則不需要任何改動(dòng)，可以直接作為MPLS-VPN的各專業(yè)網(wǎng)絡(luò)業(yè)務(wù)匯聚設(shè)備。對(duì)于新建網(wǎng)絡(luò)，我們建議采用雙星形結(jié)構(gòu)。雙星形網(wǎng)絡(luò)結(jié)構(gòu)圖1、福州中心放置兩臺(tái)骨干路由器NE16和Cisco7513，兩者通過(guò)FE互連，負(fù)責(zé)其他地市的業(yè)務(wù)匯聚，互為備份。2、除福州外的其他地市，由一臺(tái)高端路由器組成，負(fù)責(zé)本地業(yè)務(wù)系統(tǒng)的接入。3、如上圖所示的各地市的路由器都作為MPLS的PE設(shè)備，原來(lái)的業(yè)務(wù)網(wǎng)絡(luò)的出口路由器作為CE設(shè)備。4、針對(duì)運(yùn)營(yíng)和計(jì)費(fèi)網(wǎng)絡(luò)，如果原來(lái)的出口路由器存在空閑的以太網(wǎng)口，則直接將該路由器連接到PE上；如果沒(méi)有多余的端口，則PE和CE之間通過(guò)交換機(jī)相連，然后在原出口路由器上配置子接口，劃分VLAN（這需要路由器支持802.1Q協(xié)議，如果不支持，可以通過(guò)升級(jí)軟件版本解決）；如果即沒(méi)有多余的端口，而且難以支持802.1Q，那么只能采用另外一臺(tái)三層交換機(jī)作為CE設(shè)備，但這樣本地網(wǎng)絡(luò)的路由需要調(diào)整：原出口路由器接在三層交換機(jī)的下面，將該三層設(shè)備作為本地的出口。5、針對(duì)網(wǎng)管網(wǎng)絡(luò)，部分地市是CISCO的設(shè)備，有空閑的端口，則直接連接到PE設(shè)備，如果沒(méi)有空閑端口，就在原來(lái)的以太網(wǎng)上配置子接口（這需要路由器支持802.1Q協(xié)議，如果不支持，可以通過(guò)升級(jí)軟件版本解決），另外一些地市采用的設(shè)備是NBII,由于沒(méi)有空閑端口，也不能支持BGP，就用另外的三層交換機(jī)作為CE，這樣需要調(diào)整本地的網(wǎng)絡(luò)，使三層交換機(jī)作為本地出口。6、每一地市路由器通過(guò)雙歸屬方式接入到省核心層，除廈門(mén)和泉州節(jié)點(diǎn)外，鏈路均采用ATMPVC。特別的，廈門(mén)和泉州節(jié)點(diǎn)還各有一條155MPOS鏈路連接到省公司的NE16，并且POS作為主用鏈路。7、各地市PE之間的IGP采用OSPF協(xié)議，各PE路由器只在內(nèi)部互聯(lián)端口運(yùn)行OSPF，使用一個(gè)Area0進(jìn)行路由交換。8、各PE之間同時(shí)還運(yùn)行BGP協(xié)議，通過(guò)MP-BGP的擴(kuò)展屬性，實(shí)現(xiàn)VPN的標(biāo)簽的分發(fā)和傳遞。9、為了CE下面的設(shè)備知道本地區(qū)以外的路由信息，在CE上，將BGP路由引入到IGP中，從而使其他地市的能夠訪問(wèn)省公司或其他地市。3.2IP地址規(guī)劃說(shuō)明：該節(jié)討論ip地址的規(guī)劃。必須考慮準(zhǔn)確性和可擴(kuò)展性，避免再次調(diào)整。MPLS-VPN網(wǎng)絡(luò)中，IP地址的劃分主要分為兩個(gè)部分："公網(wǎng)”和"私網(wǎng)”。包括MPLS網(wǎng)絡(luò)中PE/P的Loopback地址、PE與PE之間的互連接口地址、PE與CE之間的互連接口地址以及交換機(jī)的管理地址?！肮W(wǎng)”IP地址分配主要包括P/PE設(shè)備互聯(lián)地址、各設(shè)備Loopback接口地址。對(duì)于設(shè)備互聯(lián)地址沒(méi)有特殊的要求，一般是整個(gè)地址空間在同一個(gè)“大”的網(wǎng)段中獲取，并且要為今后網(wǎng)絡(luò)的擴(kuò)充留有余地。互聯(lián)地址盡量采用30位掩碼的格式，如果互聯(lián)采用Ethernet接口，可以采用29位掩碼的網(wǎng)段，這樣在今后應(yīng)用HSRP或者VRRP的時(shí)候有足夠的地址可以使用。“私網(wǎng)”IP地址分配根據(jù)不同的應(yīng)用有不同的原則，一般可以分為兩類：網(wǎng)絡(luò)為ISP所有，為不同的集團(tuán)用戶提供不同地域間的企業(yè)網(wǎng)互連；網(wǎng)絡(luò)為集團(tuán)用戶所有，為本集團(tuán)內(nèi)各個(gè)不同業(yè)務(wù)提供不同的私網(wǎng)。對(duì)于網(wǎng)絡(luò)為ISP所有的情況，這種應(yīng)用是VPN的典型應(yīng)用，在以往沒(méi)有MPLS-VPN的年代，跨地域的企業(yè)如果想實(shí)現(xiàn)不同地域間企業(yè)網(wǎng)的互連，采取的方式是租用專線的方式，這種方式對(duì)于集團(tuán)用戶來(lái)說(shuō)，需要的投資較大；對(duì)于ISP來(lái)說(shuō)，鏈路資源不能得到充分的利用。在有了MPLS之后，原有的問(wèn)題可以得到較好的解決。對(duì)于這種應(yīng)用，各個(gè)VPN物理設(shè)備之間是完全隔離的，同一個(gè)PE所連接的不同CE內(nèi)部，網(wǎng)絡(luò)不會(huì)有交織，針對(duì)這種應(yīng)用，IP地址采用按照地域分配的方案對(duì)工程實(shí)施比較有利。采用按照地域分配IP地址的方案，在PE上每個(gè)VPN的路由信息可以聚合成簡(jiǎn)單的一條或幾條，這樣整個(gè)公網(wǎng)上的路由條目較少。采用這樣的方案無(wú)論對(duì)設(shè)備本身還是網(wǎng)絡(luò)的維護(hù)管理都有較大的益處。首先，設(shè)備的負(fù)荷較小，可以保證長(zhǎng)期穩(wěn)定運(yùn)行；其次，路由條目較少，維護(hù)人員可以方便的控制，并且每一個(gè)比較規(guī)整的網(wǎng)段對(duì)應(yīng)一個(gè)固定的地域，一旦出現(xiàn)問(wèn)題，對(duì)于縮小問(wèn)題范圍有很大的益處。對(duì)于網(wǎng)絡(luò)為集團(tuán)用戶所有的情況，這種應(yīng)用其實(shí)是隨著MPLS-VPN的出現(xiàn)，對(duì)VPN應(yīng)用的一種擴(kuò)展。一些規(guī)模比較大的集團(tuán)用戶，為了方便管理，將企業(yè)內(nèi)部的多個(gè)業(yè)務(wù)劃分開(kāi)。對(duì)于這種客戶，在網(wǎng)絡(luò)匯聚層（一般位于地市一級(jí)的節(jié)點(diǎn)）以上應(yīng)用MPLS，匯聚層以下應(yīng)用傳統(tǒng)的路由轉(zhuǎn)發(fā)。這些集團(tuán)用戶的企業(yè)網(wǎng)在地市以下的網(wǎng)絡(luò)一般是一個(gè)整體，出口路由器也是多業(yè)務(wù)合一的，這就要求在MPLS域中發(fā)布路由信息的時(shí)候，路由信息要求比較精確，不能像為不同的客戶提供VPN接入那樣比較隨意的把路由信息聚合成大網(wǎng)段。在VPN的同一個(gè)接入點(diǎn)，如果各個(gè)業(yè)務(wù)間的路由信息有重復(fù)，由于接入點(diǎn)以下的網(wǎng)絡(luò)是同一的，很容易產(chǎn)生不同業(yè)務(wù)間的數(shù)據(jù)泄漏。針對(duì)這用問(wèn)題，比較好的IP地址規(guī)劃就是在地市一級(jí)按照業(yè)務(wù)來(lái)劃分IP,首先將IP地址根據(jù)業(yè)務(wù)進(jìn)行劃分，再對(duì)于某種業(yè)務(wù)在地市以下的節(jié)點(diǎn)再進(jìn)行更細(xì)致的劃分。通過(guò)這樣的IP地址規(guī)劃，在接入層應(yīng)用MPLS的時(shí)候，每個(gè)業(yè)務(wù)相關(guān)的路由信息可以聚合成簡(jiǎn)單的幾條，甚至是一條，而且各業(yè)務(wù)之間路由信息沒(méi)有交集。這樣的路由信息在骨干層傳播路由條目較少，局部的路由動(dòng)蕩不會(huì)引起骨干層的路由動(dòng)蕩，網(wǎng)絡(luò)信息比較穩(wěn)定，而且維護(hù)起來(lái)比較方便，如果出現(xiàn)問(wèn)題可以迅速的定位到是哪個(gè)業(yè)務(wù)網(wǎng)絡(luò)的問(wèn)題。更大的優(yōu)點(diǎn)還是表現(xiàn)在新業(yè)務(wù)的擴(kuò)充上，只要每個(gè)新增加的業(yè)務(wù)IP地址都依據(jù)這樣的原則來(lái)規(guī)劃，那么與原有業(yè)務(wù)的IP網(wǎng)段可以是完全隔離的，不會(huì)對(duì)原有的路由信息產(chǎn)生任何影響，為網(wǎng)絡(luò)的維護(hù)帶來(lái)很大的方便福建DCN網(wǎng)絡(luò)的具體的IP規(guī)劃如下：原來(lái)給各地市分配的計(jì)費(fèi)、運(yùn)營(yíng)、網(wǎng)管網(wǎng)絡(luò)的IP地址網(wǎng)段不作任何修改,MPLS網(wǎng)絡(luò)只是作為中間的骨干網(wǎng)絡(luò)，用于各地市之間VPN的訪問(wèn)。由于原來(lái)計(jì)費(fèi)、運(yùn)營(yíng)、網(wǎng)管分配給各地市的網(wǎng)段都是公網(wǎng)地址，建議新增的IP地址也采用公網(wǎng)地址，這樣保持一致性，也利于網(wǎng)絡(luò)的擴(kuò)展。需要新增的IP地址是PE的Loopback地址、PE與PE之間的互連接口地址、PE與CE之間的互連接口地址以及交換機(jī)3526/3026的管理地址。3.2.1PE的Loopback地址給各地市的PE路由器分配一個(gè)Loopback地址，該地址可作為OSPF的RouterID,并作為telnet管理或ping測(cè)試的目的地址。整網(wǎng)分配134的網(wǎng)段的作為各地市的loopback地址，未使用的保留。各地市PE設(shè)備的Loopback地址分配如下:.1福州Cisc.2TOC\o"1-5"\h\z廈門(mén):3寧德:4莆田:5泉州：6漳州：7龍巖：8三明：9南平：103.2.2PE與PE之間的互連接口地址福州的NE16和Cisco75作為DCN網(wǎng)絡(luò)的匯聚節(jié)點(diǎn)，各地市通過(guò)兩條ATM鏈路分別接入到NE16和Cisco75,廈門(mén)和泉州還各有一條P0S鏈路連接到福州NE16，并將該P(yáng)OS鏈路作為主鏈路，其他兩條ATM鏈路作為備份鏈路。各地市PE間互連接口IP分配：6/30福州NE16福州Cisco75福州NE16福州Cisco75福州NE16福州Cisco75福州NE16福州Cisco75福州NE16福州Cisco75福州NE16福州福州Cisco75福州NE16福州Cisco75福州NE16福州Cisco75323PE與CE之間的互連接口地址各地市的PE設(shè)備都將與多個(gè)CE設(shè)備相連，網(wǎng)管網(wǎng)是單獨(dú)的CE設(shè)備，計(jì)費(fèi)和運(yùn)營(yíng)可能是一個(gè)，也可能是分開(kāi)的兩臺(tái)CE。目前的三種VPN業(yè)務(wù)分別在福州設(shè)置三個(gè)CE系統(tǒng)，一個(gè)是國(guó)家骨干路由器，一個(gè)省公司的CE設(shè)備，一個(gè)是福州本地業(yè)務(wù)的CE設(shè)備。本次工程初期規(guī)劃有四種VPN業(yè)務(wù)：97、0A、計(jì)費(fèi)、網(wǎng)管，給每種VPN業(yè)務(wù)分配一個(gè)C網(wǎng)段，作為各地市相應(yīng)業(yè)務(wù)的CE設(shè)備與PE的互連接口地址，如果有其他的VPN業(yè)務(wù)，則再劃分新的IP網(wǎng)段即可。本次工程有9個(gè)節(jié)點(diǎn)，因此每種業(yè)務(wù)占用了本C網(wǎng)段192個(gè)IP地址，其中,一個(gè)地市占用16個(gè)IP地址。地址分配方案如下：97網(wǎng)絡(luò)PE-C省公司(NE16)(CISCO)(CISCO)廈門(mén)OA網(wǎng)絡(luò)PE-C省公司(NE16)(PE側(cè)地址)(CISCO)(CISCO)計(jì)費(fèi)網(wǎng)絡(luò)PE-C省公司(NE16)l/28(PE側(cè)地址)(CISCO)福州(NE16)

廈門(mén)泉州寧德漳州龍巖莆田南平三明網(wǎng)管網(wǎng)絡(luò)PE-C省公司(NE16)(CISCO)（PE側(cè)地址）福州(NE16)(CISCO)南平三明134.128.248.177/28324交換機(jī)3526/3026的管理地址為了交換機(jī)設(shè)備便于管理，需要給各地市的S3025-M和3526分配一個(gè)管理地址，網(wǎng)管可以通過(guò)該地址進(jìn)行查詢和配置。由于管理地址需要配置路由網(wǎng)關(guān)才能被訪問(wèn)，所以將管理IP規(guī)劃到當(dāng)?shù)啬骋粋€(gè)VPN的網(wǎng)段內(nèi)，配置NE16子接口的地址作為其出口網(wǎng)關(guān)。各地市都有兩臺(tái)S3025,S3025-1連接網(wǎng)管業(yè)務(wù)，就將其管理地址和網(wǎng)管VPN劃分在一個(gè)網(wǎng)段里，S3025-2連接其他業(yè)務(wù)，就將其管理地址和97VPN劃分在一個(gè)網(wǎng)段里。省公司還有5臺(tái)S3526,類似的將IP規(guī)劃到某一個(gè)VPN網(wǎng)段內(nèi)。具體的交換機(jī)管理地址分配如下：.14/28gateway：1.13/28gateway.13/28gateway：1.12/28gateway：1.11/28gateway：1.10/28gateway：1福州3025-2：gateway：廈門(mén)3025-1：.78/28gateway：65廈門(mén)3025-2：gateway：泉州3025-1:.95/28gateway：81泉州3025-2gateway：.110/28gateway：97寧德3025-2：gateway：漳州3025-1:.126/28gateway：113漳州3025-2gateway：龍巖3015-1：.142/28gateway：129龍巖3015-2：gateway：莆田3025-1:.158/28gateway：145莆田3025-258/28gateway：45三明3025-1:.174/28gateway：161三明3025-2：gateway：南平3025-1:.190/28gateway：177南平3025-2gateway：325ATMPVC規(guī)戈Q骨干網(wǎng)絡(luò)的廣域網(wǎng)鏈路以ATM為主，ATM鏈路的PVC以電話區(qū)號(hào)按序往下排，來(lái)的鏈路和去的鏈路的PVC號(hào)相同，具體分配如下：福州-廈門(mén)（0592）：1/102，福州-寧德（0593）：1/103，福州-莆田（0594）：1/104福州-泉州（0595）：1/105福州-漳州（0596）：1/106福州-龍巖（0597）：1/107福州-三明（0598）：1/108福州-南平（0599）：1/1093.3路由協(xié)議說(shuō)明：路由協(xié)議的應(yīng)用，在MPLS-VPN的網(wǎng)絡(luò)中是分為三個(gè)層面:骨干層MPLS域、PE與CE互聯(lián)、CE以下內(nèi)部網(wǎng)絡(luò)。對(duì)于CE以下內(nèi)部網(wǎng)絡(luò)的協(xié)議類型完全由VPN用戶自己決定，我們關(guān)心的主要部分是骨干層MPLS域應(yīng)用的路由協(xié)議和PE與CE互聯(lián)時(shí)使用的路由協(xié)議。對(duì)于骨干層MPLS域，需要某種IGP協(xié)議與MBGP結(jié)合應(yīng)用，其中MBGP主要完成私網(wǎng)路由標(biāo)簽分配、各私網(wǎng)路由在“公網(wǎng)”傳遞等作用，他的地位是不可替代的，沒(méi)有其他的協(xié)議可以替代；對(duì)于IGP協(xié)議，他的主要作用就是保證MBGP鄰居之間的TCP可達(dá)性，我們建議采用OSPF,因?yàn)镺SPF的適應(yīng)性好，功能完善，當(dāng)核心層設(shè)備在20臺(tái)以內(nèi)的時(shí)候，我們建議只運(yùn)行一個(gè)骨干域“0”，這樣網(wǎng)絡(luò)規(guī)劃簡(jiǎn)單、維護(hù)方便，并且有利于今后骨干層網(wǎng)絡(luò)的擴(kuò)展。對(duì)于PE與CE互聯(lián)，可以采用的路由協(xié)議有靜態(tài)路由、RIP和BGP等多種路由協(xié)議。具體使用那種路由協(xié)議要根據(jù)情況而定，如當(dāng)CE以下的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，路由條目較多的時(shí)候，PE和CE之間需要運(yùn)行BGP協(xié)議，當(dāng)然應(yīng)用這種方案對(duì)CE的要求也是比較高的。對(duì)于PE與CE之間的路由協(xié)議類型最普遍應(yīng)用的就是靜態(tài)路由，只要準(zhǔn)循上面提到的IP地址分配原則，各地的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時(shí)應(yīng)用靜態(tài)路由是最簡(jiǎn)單最方便的，而且網(wǎng)絡(luò)的維護(hù)非常方便。綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層MBGP+OSPF、PE與CE互聯(lián)采用靜態(tài)路由。這樣對(duì)整個(gè)網(wǎng)絡(luò)中的設(shè)備要求不是太高，并且可以很好的實(shí)現(xiàn)MPLS-VPN。3.3.1全網(wǎng)MBGP規(guī)劃1、在省公司的兩臺(tái)路由器和全國(guó)DCN骨干福建節(jié)點(diǎn)之間運(yùn)行EBGP,將國(guó)干節(jié)點(diǎn)作為一個(gè)CE設(shè)備，將福建DCN的路由發(fā)布到全國(guó)骨干網(wǎng)，同時(shí)獲取全國(guó)DCN網(wǎng)絡(luò)的路由。與國(guó)家骨干相連的業(yè)務(wù)主要是網(wǎng)管，當(dāng)國(guó)家骨干路由器上發(fā)布了BGP的缺省路由，在福州中心節(jié)點(diǎn)的網(wǎng)管的VPN中就能產(chǎn)生指向國(guó)干的缺省路由（與運(yùn)營(yíng)、計(jì)費(fèi)的VPN無(wú)關(guān)），同時(shí)，該條缺省路由還能傳播到下面的各地市，從而在骨干網(wǎng)上產(chǎn)生指向國(guó)干出口的缺省路由。在福州中心節(jié)點(diǎn)上向國(guó)家骨干路由器發(fā)布聚合后的BGP路由，盡量減小路由數(shù)量，在福州單出口的情況下，福州可以不引入國(guó)家骨干網(wǎng)的路由，而只采用缺省路由的方式作為出口，由于缺省路由是國(guó)家骨干路由器通過(guò)BGP發(fā)布的，所以NE16和Cisco75之間能做到備份。2、全網(wǎng)PE之間運(yùn)行IBGP。各地市CE之間的VPN路由的傳遞、VPN路由標(biāo)簽的分發(fā)，都是通過(guò)MP-BGP協(xié)議的擴(kuò)展屬性實(shí)現(xiàn)的。除福州以外的其他PE設(shè)備訪問(wèn)福州PE時(shí)，通過(guò)在福州兩個(gè)PE上配置BGP的localprefrence屬性實(shí)現(xiàn)優(yōu)先選擇一個(gè)PE設(shè)備。而省公司的CE設(shè)備，通過(guò)MED屬性實(shí)現(xiàn)PE的優(yōu)選。3、運(yùn)營(yíng)和計(jì)費(fèi)的PE和CE之間運(yùn)行EBGP，CE需要將本地相關(guān)業(yè)務(wù)的路由發(fā)布到PE中去，從而使CE設(shè)備的路由經(jīng)由PE而不是原來(lái)的網(wǎng)絡(luò)，原有網(wǎng)絡(luò)作為DCN網(wǎng)絡(luò)的備份。并且CE設(shè)備將BGP路由引入到本地的IGP中去。如果舊網(wǎng)和新網(wǎng)同時(shí)運(yùn)行，則需要考慮兩個(gè)問(wèn)題，一是CE到PE的EBGP的路由的優(yōu)先級(jí)應(yīng)該比CE經(jīng)過(guò)原有網(wǎng)絡(luò)到省公司的路由的優(yōu)先級(jí)高；二是如果通過(guò)原有網(wǎng)絡(luò)得到的路由比從PE得到的EBGP路由更明細(xì)，路由仍然不會(huì)經(jīng)過(guò)PE轉(zhuǎn)發(fā)（這就要求CE向PE發(fā)布的EBGP路由必須與CE向原網(wǎng)絡(luò)發(fā)布的OSPF、EIGRP和靜態(tài)路由一致，這里需要重點(diǎn)關(guān)注網(wǎng)管網(wǎng)的省公司的0SPF路由，C網(wǎng)段以下的OSPF路由相當(dāng)多）。針對(duì)以上考慮，有兩種解決方法：一是CE通過(guò)EBGP發(fā)布給PE聚合后的路由，同時(shí)CE通過(guò)原來(lái)的路由協(xié)議向原有網(wǎng)絡(luò)發(fā)布相同網(wǎng)段聚合后的路由，在保證網(wǎng)段相同的情形下，會(huì)優(yōu)選優(yōu)先級(jí)高的EBGP路由；這種方式的好處在于：路由聚合后避免因?yàn)楸镜貥I(yè)務(wù)系統(tǒng)路由的波動(dòng)影響骨干路由的穩(wěn)定性，減少路由的數(shù)量，提高整個(gè)網(wǎng)絡(luò)的路由效率和可靠性。但需要對(duì)原有網(wǎng)絡(luò)進(jìn)行一定的改造。二是在CE上將業(yè)務(wù)原來(lái)運(yùn)行的IGP協(xié)議引入到BGP中，再發(fā)布到PE上，這樣也能保證IGP和BGP的路由的一致，但這樣產(chǎn)生的BGP路由沒(méi)有聚合，將會(huì)增大路由表的負(fù)荷。并且在任何一個(gè)CE上向PE設(shè)備通告的路由都是全網(wǎng)的路由，這樣會(huì)造成路由紊亂，難以割接，運(yùn)行過(guò)程中也不能備份綜合以上考慮，我們建議采用第一種解決方法。另外一個(gè)重要問(wèn)題是：如果要做到各VPN業(yè)務(wù)的分離，邏輯上各業(yè)務(wù)必須有單獨(dú)的CE與PE設(shè)備相連。邏輯上是指，要么各業(yè)務(wù)是物理上分離的路由設(shè)備，要么不同的VPN業(yè)務(wù)共用相同的物理設(shè)備，但是與PE設(shè)備相連的端口必須分離，也就是說(shuō)，每種VPN業(yè)務(wù)必須采用獨(dú)立的端口與PE設(shè)備相連，端口上向PE發(fā)布的也是本業(yè)務(wù)所占用的網(wǎng)段。3.3.2全網(wǎng)IGP規(guī)劃DCN網(wǎng)的IGP采用動(dòng)態(tài)的、基于鏈路狀態(tài)的OSPF協(xié)議。1、各PE路由器只在內(nèi)部互聯(lián)端口運(yùn)行OSPF,使用一個(gè)Area0進(jìn)行路由交換。2、出于鏈路備份和負(fù)荷分擔(dān)的考慮，將OSPF鏈路的Cost值定義如下：1）福州NE16與Cisco75之間的FE接口的兩端的cost=10彳2）福州、廈門(mén)、泉州的POS接口的兩端的cost=203）各地市間的ATM鏈路都設(shè)為cost=303、OSPF協(xié)議中去。不采用redistribute命令引入靜態(tài)或其他協(xié)議的路由。4、為避免路由環(huán)路，在PE上不通過(guò)OSPF發(fā)布缺省路由。333靜態(tài)路由規(guī)劃1、在網(wǎng)管的CE設(shè)備上配置一條指向PE的靜態(tài)缺省路由。2、由于原網(wǎng)管網(wǎng)PE和CE之間運(yùn)行靜態(tài)路由，在PE上配置網(wǎng)段為本地，下一跳指向CE的靜態(tài)路由，然后引入到MP-BGP中，發(fā)布到其他地市；同時(shí)，在CE上配置目的網(wǎng)段為其他地市，下一跳為PE的靜態(tài)路由。這種方法也存在原有網(wǎng)絡(luò)IGP協(xié)議的路由比靜態(tài)路由更明細(xì)的問(wèn)題。3.4MPLSVPN規(guī)劃說(shuō)明：本節(jié)主要規(guī)劃MPLSVPN的route-target屬性，它決定了MPLSVPN網(wǎng)絡(luò)業(yè)務(wù)之間隔離和互訪。通過(guò)配置VRF（路由轉(zhuǎn)發(fā)實(shí)例）的target屬性，可以實(shí)現(xiàn)不同業(yè)務(wù)的VPN。不同路由器通過(guò)target相關(guān)聯(lián)而組成可以互相訪問(wèn)的集合，由于只有他們內(nèi)部可以互訪，所以我們稱之為VPN,配置里并沒(méi)有專門(mén)的VPN的定義。也就是說(shuō)，VPN的成員關(guān)系是通過(guò)路由所攜帶的routetarget屬性來(lái)獲得的。不同CE通過(guò)PE配置的VRF里的Target實(shí)現(xiàn)互訪與隔離，從而組成不同的VPN。具體的各業(yè)務(wù)的RD和route-target配置規(guī)劃如下：DCN_OARD590:10福州route-targetexport1000:91廈門(mén)route-targetexport1000:92寧德route-targetexport1000:93莆田route-targetexport1000:94泉州route-targetexport1000:95漳州route-targetexport1000:96龍巖route-targetexport1000:97三明route-targetexport1000:98南平route-targetexport1000:99各地市的route-targetimport為其他各地市的export之和，例：福州：route-targetimport1000:92route-targetimport1000:93route-targetimport1000:94route-targetimport1000:95route-targetimport1000:96route-targetimport1000:97route-targetimport1000:98route-targetimport1000:99DCN_WangGuanRD590:20福州route-targetexport2000:91廈門(mén)route-targetexport2000:92寧德route-targetexport2000:93莆田route-targetexport2000:94泉州route-targetexport2000:95漳州route-targetexport2000:96龍巖route-targetexport2000:97三明route-targetexport2000:98南平route-targetexport2000:99各地市的route-targetimport為其他各地市的export之和。DCN_ZhongHeRD590:30福州route-targetexport3000:91廈門(mén)route-targetexport3000:92寧德route-targetexport3000:93莆田route-targetexport3000:94泉州route-targetexport3000:95漳州route-targetexport3000:96龍巖route-targetexport3000:97三明route-targetexport3000:98南平route-targetexport3000:99各地市的route-targetimport為其他各地市的export之和。DCN_168RD590:40福州route-targetexport4000:91廈門(mén)route-targetexport4000:92寧德route-targetexport4000:93莆田route-targetexport4000:94泉州route-targetexport4000:95漳州route-targetexport4000:96龍巖route-targetexport4000:97三明route-targetexport4000:98南平route-targetexport4000:99各地市的route-targetimport為其他各地市的export之和。3.5網(wǎng)絡(luò)的備份和流量分擔(dān)說(shuō)明：本節(jié)討論網(wǎng)絡(luò)的備份和分擔(dān)的機(jī)制。保證網(wǎng)絡(luò)運(yùn)行的可靠和冗余。3.5.1網(wǎng)絡(luò)的備份網(wǎng)絡(luò)備份可以同時(shí)通過(guò)兩種方式實(shí)現(xiàn)：qi、通過(guò)合理的網(wǎng)絡(luò)方案設(shè)計(jì)，實(shí)現(xiàn)物理鏈路與物理設(shè)備的備份。本次工程中,中心的兩臺(tái)匯聚節(jié)點(diǎn)是主備和負(fù)荷分擔(dān)的，在正常工作的情況下，共同分擔(dān)整個(gè)網(wǎng)絡(luò)的流量，當(dāng)其中一個(gè)失效后，另外一臺(tái)設(shè)備能夠承擔(dān)起所有的流量,保證業(yè)務(wù)的正常運(yùn)行；各地市到中心節(jié)點(diǎn)的兩條廣域網(wǎng)鏈路也是主備的，在主用鏈路中斷的情況下，業(yè)務(wù)可以通過(guò)備用鏈路傳輸。2、應(yīng)用動(dòng)態(tài)路由協(xié)議，做到網(wǎng)絡(luò)的自動(dòng)備份。0SPF和BGP協(xié)議，均可以自動(dòng)地發(fā)現(xiàn)兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間的迂回路由，并在主用路由不可用時(shí)而自動(dòng)使用備份鏈路。并且可以通過(guò)在路由器上加入策略，控制數(shù)據(jù)的流向。3.5.2流量的分擔(dān)1、福州的匯聚節(jié)點(diǎn)NE16有兩個(gè)ATM接口，兩個(gè)ATM接口實(shí)現(xiàn)負(fù)荷分擔(dān)，第一個(gè)ATM接口接入廈門(mén)、漳州、龍巖、三明；第二個(gè)ATM接口接入南平、莆田、寧德、泉州。2、每個(gè)地市到中心節(jié)點(diǎn)都由兩條主備鏈路，因此，可以通過(guò)設(shè)置不同的Cost值，實(shí)現(xiàn)部分地市節(jié)點(diǎn)的主鏈路匯聚到NE16，而另外的節(jié)點(diǎn)的主鏈路匯聚到Cisco7513，從而達(dá)到負(fù)荷分擔(dān)的目的，避免網(wǎng)絡(luò)流量不均衡。具體的流量分配是：廈門(mén)、漳州、龍巖、三明的主鏈路匯聚至NE16,備鏈路匯聚到Cisco7513；南平、莆田、寧德、泉州的主鏈路匯聚到Cisco7513,備鏈路匯聚到NE16。由于目前Cisco7513暫時(shí)不能到位，所以南平、莆田、寧德、泉州的備鏈路會(huì)生效，流量都匯聚到NE16。3.6網(wǎng)絡(luò)的管理說(shuō)明：網(wǎng)管是網(wǎng)絡(luò)的重要組成部分。華為公司提供全面的、功能強(qiáng)大的、便于操作的網(wǎng)管系列軟件，各功能模塊既可以單獨(dú)使用，也可以作為組件形成一個(gè)綜合的網(wǎng)管系統(tǒng)。方便靈活的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理。網(wǎng)管所在端口不能劃入任何一個(gè)VPN里，這樣才能對(duì)全網(wǎng)MPLS的VPN進(jìn)行管理。所以連接MPLS網(wǎng)管的終端單獨(dú)提供接入端口，不劃入VPN業(yè)務(wù)端口。網(wǎng)管系統(tǒng)可以采用華為公司的iManagerN2000綜合網(wǎng)管,iManagerN200綜合網(wǎng)管系統(tǒng)使用了模塊化、組件化的設(shè)計(jì)方法，可以方便靈活的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理。iManagerN2000綜合網(wǎng)管的系統(tǒng)功能主要有：1、拓?fù)涔芾矸奖愕脑鰟h業(yè)務(wù)節(jié)點(diǎn)，節(jié)點(diǎn)和鏈路的顏色反映了設(shè)備的運(yùn)行狀態(tài)，可以通過(guò)瀏覽網(wǎng)絡(luò)視圖時(shí)時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)。2、設(shè)備視圖設(shè)備視圖描繪設(shè)備的面板輪廓，反映各單板和端口的最新?tīng)顟B(tài)，并提供對(duì)設(shè)備的各種管理功能。3、配置管理提供對(duì)路由器提供數(shù)據(jù)配置管理。主要包括SNMP配置，遠(yuǎn)程登錄，ping等。4、故障管理提供對(duì)網(wǎng)絡(luò)設(shè)備發(fā)出的告警的接收、解釋、儲(chǔ)存、查詢、瀏覽、分析等功能5、日志管理提供對(duì)網(wǎng)絡(luò)設(shè)備上報(bào)的日志數(shù)據(jù)存儲(chǔ)、刪除、查詢等功能6、性能監(jiān)控提供對(duì)網(wǎng)絡(luò)設(shè)備的各種性能指標(biāo)的靈活監(jiān)控，包括實(shí)時(shí)監(jiān)視和后臺(tái)監(jiān)視，可以方面的設(shè)置監(jiān)視項(xiàng)7、遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視(RMON)可以有效的利用網(wǎng)絡(luò)帶寬，遠(yuǎn)程實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的分析8、MPLSVPN網(wǎng)管BGP/MPLSVPN網(wǎng)管可以對(duì)VPN業(yè)務(wù)進(jìn)行規(guī)劃、供給(provision)和管理。用戶只需要定義一些VPN的業(yè)務(wù)屬性，系統(tǒng)會(huì)自動(dòng)計(jì)算出所需要的配置項(xiàng)，并對(duì)網(wǎng)絡(luò)進(jìn)行配置。需要說(shuō)明的是本系統(tǒng)只對(duì)PE進(jìn)行配置和管理，對(duì)于客戶內(nèi)部網(wǎng)絡(luò)以及供應(yīng)商內(nèi)部骨干網(wǎng)不進(jìn)行管理。VPNManager的主要功能有：設(shè)備存量管理、業(yè)務(wù)配置、業(yè)務(wù)部署、拓?fù)?、故障、安全管理、日志管理?.7網(wǎng)絡(luò)的安全說(shuō)明：隨著業(yè)務(wù)與網(wǎng)絡(luò)的集成關(guān)系越來(lái)越緊密，網(wǎng)絡(luò)安全在ip網(wǎng)絡(luò)的發(fā)展中居于越來(lái)越顯著的地位，對(duì)于ip業(yè)務(wù)的發(fā)展起著非常關(guān)鍵的基礎(chǔ)作用。因此，在網(wǎng)絡(luò)建設(shè)中，必須全面考慮網(wǎng)絡(luò)的安全措施?？梢圆捎萌缦碌拇胧ＷC網(wǎng)絡(luò)的安全性：1、MPLSBGPVPN方案采用VRF實(shí)現(xiàn)VPN之間的路由隔離2、通過(guò)MPLSLSP隧道將VPN流量完全隔離。3、對(duì)網(wǎng)絡(luò)設(shè)備的用戶、密碼和權(quán)限進(jìn)行控制4、控制對(duì)網(wǎng)絡(luò)設(shè)備的SNMP和telnet,在所有的骨干路由器上建立access-list,只對(duì)網(wǎng)管中心的地址段做permit,即通過(guò)網(wǎng)管中心的主機(jī)才能遠(yuǎn)程維護(hù)各骨干路由設(shè)備。5、在網(wǎng)絡(luò)設(shè)備上配置防火墻，防止外部對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行的攻擊。6、路由協(xié)議在不安全的端口上進(jìn)行Passive，防止不必要的路由泄露。7、互連設(shè)備的相互認(rèn)證，如PPP的PAP、CHAP驗(yàn)證。8、路由信息交換的認(rèn)證，如OSPF、BGP的驗(yàn)證。9、將所有重要事件進(jìn)行紀(jì)錄，通過(guò)日志輸出。10、采用防火墻設(shè)備對(duì)局域網(wǎng)進(jìn)行保護(hù)。第4章設(shè)備配置EQ說(shuō)明：該章針對(duì)客戶網(wǎng)絡(luò)建設(shè)的需求，給出硬件和軟件的配置清單。4.1硬件配置清單EQ說(shuō)明：該節(jié)對(duì)方案所需添加的硬件進(jìn)行說(shuō)明。表4-1硬件配置清單序號(hào)詳細(xì)描述數(shù)量備注1NE16E9各個(gè)