深圳市IP城域網(wǎng)組網(wǎng)技術(shù)設(shè)計(jì)方案

63/63市IP城域網(wǎng)組網(wǎng)技術(shù)方案電信局新技術(shù)開發(fā)中心2002年7月目錄TOC\o"1-3"\h\z一、設(shè)計(jì)原則4二、設(shè)備用途說明和命名規(guī)則82.1Site代碼82.2設(shè)備命名規(guī)則82.3設(shè)備用途描述9三、網(wǎng)絡(luò)架構(gòu)133.1核心骨干模塊(backbone)133.2Internet(163/169)連接點(diǎn)模塊153.3IPVPN服務(wù)模塊163.4商業(yè)Internet接入模塊203.5小區(qū)Internet接入模塊223.6政府上網(wǎng)接入模塊243.7主機(jī)托管模塊25四、設(shè)備互連274.1遠(yuǎn)程連接274.2本地連接274.3設(shè)備插槽分配策略284.4VLAN編號(hào)和用途說明28五、IP地址315.1IP地址模式315.2域路由協(xié)議(IGP)315.3IP地址分配315.4IP子網(wǎng)規(guī)劃32六、和163/169的連接346.1缺省路由346.2EBGP出口路由設(shè)計(jì)356.3在多出口上實(shí)現(xiàn)流量均衡35七、MPLSVPNPE-CE的連接37八、VPN的Internet接入398.1VPNInternet網(wǎng)關(guān)398.2VPDNforVPN41九、NMS網(wǎng)段43十、安全控制46十一、QoS4911.1可選擇的工具4911.2實(shí)現(xiàn)的模型50附件一：IP地址分配計(jì)劃表54附件二：小區(qū)Internet接入方案591、SSO（Service-Sign-On）系統(tǒng)592．RedbackSMS寬帶接入服務(wù)器633．兩種方式的比較。64附件三：圖表66一、設(shè)計(jì)原則隨著電信的互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，可以預(yù)測(cè)的用戶需求在幾年將成幾何級(jí)數(shù)增長，同時(shí)，隨著中國加入WTO的時(shí)間表的逼近，來自各個(gè)方面的競(jìng)爭(zhēng)壓力不斷增加。但是，目前電信的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施還不夠發(fā)達(dá)，不足以迅速占領(lǐng)市場(chǎng)的制高點(diǎn)，在未來的競(jìng)爭(zhēng)中立于不敗之地。因此，電信局決定建設(shè)一個(gè)先進(jìn)的、靈活的、可靠的、基于標(biāo)準(zhǔn)的城市骨干通信平臺(tái)，使得電信能夠基于這個(gè)平臺(tái)，針對(duì)市場(chǎng)上IP用戶的大量寬帶多媒體應(yīng)用的需求，迅速推出一系列嶄新的寬帶多媒體業(yè)務(wù)，從而吸引更多的用戶，增加市場(chǎng)競(jìng)爭(zhēng)力，實(shí)現(xiàn)網(wǎng)絡(luò)的商用價(jià)值，并為今后滿足市場(chǎng)新的業(yè)務(wù)需求而迅速推出新的業(yè)務(wù)打好基礎(chǔ)。IP城域網(wǎng)一期工程的建設(shè)目標(biāo)是將IP城域網(wǎng)建成為數(shù)據(jù)業(yè)務(wù)的統(tǒng)一骨干平臺(tái)，在此平臺(tái)上為政府、企業(yè)、學(xué)校提供高速接入，同時(shí)提供VPN等增值業(yè)務(wù)?；谝陨系慕⒛繕?biāo)，IP城域網(wǎng)的設(shè)計(jì)原則為：可靠性原則；可擴(kuò)充性原則；簡單和易于管理的原則；可以集中管理的原則；效率高；和現(xiàn)有網(wǎng)絡(luò)有較好的集成；安全性；網(wǎng)絡(luò)可靠性通過下述的設(shè)計(jì)思路來達(dá)到：在網(wǎng)絡(luò)核心層進(jìn)行Partialmeshed冗余物理連接；接入層設(shè)備通過Dualhoming雙連接到核心層；網(wǎng)絡(luò)采用多出口設(shè)計(jì)到Internete(163/169)；在接入層采用Routesummarization減少邊緣鏈路波動(dòng)對(duì)核心的影響；合理采用靜態(tài)路由，提高可靠性；網(wǎng)絡(luò)可擴(kuò)充性通過下述的設(shè)計(jì)思路來達(dá)到：網(wǎng)絡(luò)采用明顯的“核心—分布”層次結(jié)構(gòu)；簡單而有效的IP地址分配策略；采用可靠和可擴(kuò)展的IGP路由協(xié)議；簡單和易于維護(hù)性通過下述設(shè)計(jì)思路來達(dá)到：所有的網(wǎng)絡(luò)設(shè)備被分配專門的用途；避免復(fù)雜的配置；網(wǎng)絡(luò)設(shè)備命名直觀而易記；統(tǒng)一的slot、port、VLAN的分配策略；每臺(tái)設(shè)備都配有l(wèi)oopback地址，易于維護(hù)；集中管理通過下述設(shè)計(jì)思路來達(dá)到：為中央網(wǎng)絡(luò)管理系統(tǒng)配有專門的管理網(wǎng)段；從中央網(wǎng)管網(wǎng)段可以到達(dá)所有設(shè)備；VPNPE-CE連接從NMS網(wǎng)段同樣可以到達(dá)；為所有互連網(wǎng)段包括VPNPE-CE連接都采用合法IP地址；運(yùn)行的高效性通過下述設(shè)計(jì)思路來達(dá)到：核心層互連鏈路采用一樣接口類型和一樣速率，便于作負(fù)載平衡；城域網(wǎng)部采用缺省路由配合IGPmetric作出口選擇；和Internet的多連接上采用BGPMED特性進(jìn)行負(fù)載分擔(dān)；和現(xiàn)有網(wǎng)絡(luò)的集成通過下述設(shè)計(jì)思路來達(dá)到：采用開放的、標(biāo)準(zhǔn)的路由協(xié)議將城域網(wǎng)分為多個(gè)路由區(qū)域，現(xiàn)有網(wǎng)絡(luò)可以通過單獨(dú)的域連接上來；和Internet(163/169)的BGP連接通過保留的AS號(hào)，這樣不會(huì)影響省和中國電信163/169網(wǎng)絡(luò)出國的BGP路由；安全性通過下述設(shè)計(jì)思路來達(dá)到：對(duì)所有重要事件進(jìn)行l(wèi)og；限制對(duì)設(shè)備的SNMP和TELNET；采用NTP協(xié)議對(duì)全網(wǎng)的設(shè)備進(jìn)行同步；對(duì)不安全的端口上將路由協(xié)議進(jìn)行Passive，防止不必要的路由泄露；對(duì)網(wǎng)絡(luò)設(shè)備的User和Privilege狀態(tài)進(jìn)行存取控制；網(wǎng)絡(luò)總體結(jié)構(gòu)如圖所示：二、設(shè)備用途說明和命名規(guī)則2.1Site代碼SiteSiteCode樞紐SN黃木崗HMG電信DX南山NS新安XA龍中LZ沙頭角STJ東港中心DG新南頭XNT機(jī)關(guān)專用局JG蛇口SK鴻波HB龍脈LMSite代碼是地點(diǎn)名的拼音縮寫而成。前11個(gè)site是本期工程所要安裝設(shè)備的點(diǎn)，后2個(gè)site不涉與設(shè)備安裝。2.2設(shè)備命名規(guī)則M-HMG-M-HMG-12012-ASiteCodeUniqueIdUniqueIde.g.A–1st12012;B-2nd12012EquipmentTypeEquipmentTypeMANMAN解釋:設(shè)備類型為“6509”代表Catalyst6509switch的LANswitch部分；設(shè)備類型為“6509R#”代表Catalyst6509switch的routing部分：

6509R1代表安裝在6509的primarysupervisorycard上的MSFCfeaturecard；6509R2代表安裝在6509的Redundantsupervisorycard上的MSFCfeaturecard。。2.3設(shè)備用途描述SiteDeviceModelDeviceNameUsage樞紐樓GSR12012M-SN-12012-AMPLScorerouter7507M-SN-7507-AMPLSPE3620M-SN-3620-AVPNManagementCErouter2924M-XLM-SN-2924-AVPNGEFanoutaccessconcentrator2924M-XLM-SN-2924-BCommercialInternetaccessconcentratorVPNGEFanout6509-MSFCM-SN-6509R1-AInter-VLANrouting6509-MSFCM-SN-6509R2-AInter-VLANrouting6509M-SN-6509-ACommunityInternetaccessconcentratorLocalserverhosting黃木崗GSR12012M-HMG-12012-AMPLScorerouter7513M-HMG-7513-AMPLSPE2924M-XLM-HMG-2924-AVPNaccessconcentratorGEFanout2924M-XLM-HMG-2924-BCommercialInternetaccessconcentratorVPNFEFanout6509-MSFCM-HMG-6509R1-AInter-VLANrouting6509-MSFCM-HMG-6509R2-AInter-VLANrouting6509M-HMG-6509-ACommunityInternetaccessconcentratorLocalserverhosting電信GSR12012M-DX-12012-AMPLScorerouter7507M-DX-7507-AMPLSPE2924M-XLM-DX-2924-AVPNaccessconcentratorVPNGEFanout2924M-XLM-DX-2924-BCommercialInternetaccessconcentratorVPNFEFanout6509-MSFCM-DX-6509R1-AInter-VLANrouting6509-MSFCM-DX-6509R2-AInter-VLANrouting6509M-DX-6509-ACommunityInternetaccessconcentratorLocalserverhosting6509-MSFCM-DX-6509R1-BInter-VLANrouting6509-MSFCM-DX-6509R2-BInter-VLANrouting6509M-DX-6509-BReservedfor163serverhostinginDXLocalserverhosting東港中心6509-MSFCM-DG-6509R1-AInter-VLANrouting6509-MSFCM-DG-6509R2-AInter-VLANrouting6509M-DG-6509-ASRemoteserverhosting6509-MSFCM-DG-6509R1-BInter-VLANrouting6509-MSFCM-DG-6509R2-BInter-VLANrouting6509M-DG-6509-BServerhosting南山GSR12012M-NS-12012-AMPLScorerouter7507M-NS-7507-AMPLSPE2924M-XLM-NS-2924-AVPNaccessconcentrator2924M-XLM-NS-2924-BCommercialInternetaccessconcentrator6509-MSFCM-NS-6509R1-AInter-VLANrouting6509-MSFCM-NS-6509R2-AInter-VLANrouting6509M-NS-6509-ACommunityInternetaccessconcentrator新南頭6509-MSFCM-XNT-6509R1-AInter-VLANrouting6509-MSFCM-XNT-6509R2-AInter-VLANrouting6509M-XNT-6509-AServerhosting6509-MSFCM-XNT-6509R1-BInter-VLANrouting6509-MSFCM-XNT-6509R2-BInter-VLANrouting6509M-XNT-6509-BServerhosting新安GSR12012M-XA-12012-AMPLScorerouter7507M-XA-7507-AMPLSPE2924M-XLM-XA-2924-AVPNaccessconcentrator2924M-XLM-XA-2924-BCommercialInternetaccessconcentrator龍中GSR12012M-LZ-12012-AMPLScorerouter7507M-LZ-7507-AMPLSPE2924M-XLM-LZ-2924-AVPNaccessconcentrator沙頭角GSR12012M-STJ-12012-AMPLScorerouter7507M-STJ-7507-AMPLSPE2924M-XLM-STJ-2924-AVPNaccessconcentrator2924M-XLM-STJ-2924-BCommercialInternetaccessconcentrator蛇口7507M-SK-7507-AMPLSPE2924M-XLM-SK-2924-ACommercialInternetaccessconcentrator機(jī)關(guān)專用局6509-MSFCM-JG-6509R1-AInter-VLANrouting6509-MSFCM-JG-6509R2-AInter-VLANrouting6509M-JG-6509-AGovernmentagencyInternetaccessconcentrator設(shè)備用途說明：MPLSCoreRouter設(shè)備用作MPLS核心Label交換路由器；不直接連接任何用戶；所有核心層路由器之間、核心路由器和PE路由器之間的連接必須MPLSEnabled；核心路由器只能運(yùn)行獨(dú)一的IGP路由協(xié)議；MPLSPERouter設(shè)備用作MPLSprovideredgerouter（PE）；所有VPN用戶端的連接終結(jié)在PE上；同時(shí)，PE路由器作為Internet分布層接入路由器；PE在IGP上作為ABR，進(jìn)行路由聚合；VPNAccessConcentrator設(shè)備用于VPN扇出，上聯(lián)鏈路為PE路由器GEVLANTrunk；每一個(gè)FE交換端口屬于一個(gè)單獨(dú)的VLAN；每個(gè)FE交換端口和用戶設(shè)備通過FE-to-Fiber單模光纖轉(zhuǎn)換器連接；☆注：該轉(zhuǎn)換連接不屬本次工程疇CommercialInternetAccessConcentrator設(shè)備用于商業(yè)用戶的高速Internet接入；每一個(gè)FE交換端口屬于一個(gè)單獨(dú)的VLAN；每個(gè)FE交換端口和用戶設(shè)備通過FE-to-Fiber單模光纖轉(zhuǎn)換器連接；注：該轉(zhuǎn)換連接不屬本次工程疇Inter-VLANRouting設(shè)備用作Inter-VLAN路由，這些VLAN是通過Switch建立起來的；同時(shí)，該設(shè)備還用于Internet接入路由器；設(shè)備在IGP中作為ABR，進(jìn)行路由聚合；CommunityInternetAccessConcentrator設(shè)備用于小區(qū)用戶高速Internet接入；SupervisoryEngine上的GE端口通過多模光纖連接到本地的MPLScore路由器上；VLANA1作用于Inter-VLAN路由器（MFSC）作為管理網(wǎng)段；VLAN通過FE-to-Fiber單模光纖轉(zhuǎn)換器和小區(qū)的用戶設(shè)備相連；注：該轉(zhuǎn)換連接不屬本次工程疇ServerHosting設(shè)備（LAN交換機(jī)）用于連接各種主機(jī)托管服務(wù)器；SupervisoryEngine上的GE端口通過單模光纖連接到遠(yuǎn)程的MPLScore路由器上；VLNA1作于Inter-VLAN路由器（MFSC）作為管理網(wǎng)段；VLANManagementCERouter設(shè)備作為一個(gè)CE路由器，連接中央網(wǎng)管網(wǎng)段，通過VPN連接到所有的用戶VPN上，以便于中央網(wǎng)管對(duì)所有PE－CE鏈路和CE路由器進(jìn)行管理；一個(gè)FE端口連接到本地PE上網(wǎng)管專用FE端口，另一個(gè)FE端口連接到LocalServerHosting以太網(wǎng)交換機(jī)上，通過網(wǎng)管專用網(wǎng)段和網(wǎng)管主機(jī)相連接；GovernmentInternetAccessConcentrator設(shè)備用作政府機(jī)構(gòu)上網(wǎng)的接入集中器，提供高速Internet連接；6509上的supervisoryengine的GE口通過單模光纖連接到最近的MPLSCoreRouter；VLANA1作用于Inter-VLAN路由器（MFSC）作為管理網(wǎng)段；VLAN通過FE-to-Fiber單模光纖轉(zhuǎn)換器和小區(qū)的用戶設(shè)備相連；注：該轉(zhuǎn)換連接不屬本次工程疇三、網(wǎng)絡(luò)架構(gòu)IP城域網(wǎng)在網(wǎng)絡(luò)結(jié)構(gòu)上分成核心層和接入層，在功能上提供VPN互連、高速商業(yè)Internet接入、高速小區(qū)Internet接入、政府上網(wǎng)接入、主機(jī)托管連接等多種服務(wù)類別。因此，為了在一種清晰的結(jié)構(gòu)上進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)，對(duì)網(wǎng)絡(luò)進(jìn)行功能模塊的劃分，將IP城域網(wǎng)分為以下幾個(gè)模塊：核心骨干模塊Internet(163/169)連接點(diǎn)模塊IPVPN服務(wù)模塊商業(yè)Internet接入模塊小區(qū)Internet接入模塊政府上網(wǎng)接入模塊主機(jī)托管模塊BackboneModuleBackboneModuleIP-VPNServiceModuleCommercialInternetAccessServiceModuleCommunityInternetAccessServiceModuleGovernmentInternetAccessServiceModuleServerHostingServiceModuleInternetPeeringModuleNetworkManagementModule3.1核心骨干模塊(backbone)1、結(jié)構(gòu)的城域網(wǎng)的核心骨干模塊由分布在7個(gè)不同地點(diǎn)的7臺(tái)CiscoGSR12012路由器構(gòu)成，分別是：M-SN-12012-A 樞紐的GSR12012M-HMG-12012-A 黃木崗的GSR12012M-DX-12012-A 電信的GSR12012M-NS-12012-A 南山的GSR12012M-XA-12012-A 新安的GSR12012M-LZ-12012-A 龍中的GSR12012M-STJ-12012-A 沙頭角的GSR12012這7臺(tái)GSR12012通過POS接口卡單模光纖以partialmeshed結(jié)構(gòu)互連；為了確保核心骨干模塊的MPLS標(biāo)簽分配和路由表的穩(wěn)定，這7臺(tái)GSR12012與它們之間互相連接的Link必須獨(dú)立地分配在IGP的area0域中。從其它模塊學(xué)到的路由在進(jìn)入Core之前必須先進(jìn)行Aggregate或Summarize，以免造成對(duì)Core的路由影響。CoreAreaCoreAreaServiceModulesServiceModulesServiceModulesAggregatedorSummaryRoutesOnlyDXLZHMGXANSSNSTJ2、實(shí)現(xiàn)作為IP城域網(wǎng)的核心，要承載包括IPv4和MPLSVPN兩種不同的traffic，所以，每臺(tái)CoreRouter必須是能夠支持TagSwitching。在這種配置下，MPLSVPN的traffic被TagSwitched，而普通IPv4的traffic被routed。下面是一臺(tái)Corerouter的Sampleconfiguration:Tag-switchingadvertise-tagsinterfacepos2/0description“SM01fiberlinktoM-XA-12012-Apos2/0”ipaddress123.123.1.1255.255.255.252tagswitchingip為了減少TagSwitch的目標(biāo)lable，可以采取accesslist的方法來限制標(biāo)簽的分配。配置如下：Tag-switchingadvertise-tagsfor1Access-list1permit123.123.1.230 //loopback0addressofM-SN-7507-AAccess-list1permit123.123.1.231 //loopback0addressofM-HMG-7513-AAccess-list1permit123.123.1.232 //loopback0addressofM-DX-7507-AAccess-list1permit123.123.1.233 //loopback0addressofM-NS-7507-AAccess-list1permit123.123.1.234 //loopback0addressofM-XA-7507-AAccess-list1permit123.123.1.235 //loopback0addressofM-LZ-7507-AAccess-list1permit123.123.1.236 //loopback0addressofM-STJ-7507-A在上面的配置下，TagSwitching在限于目標(biāo)地址是MultiProtocolBGPneighbor的CoreRouter的loopback地址，大大減輕了CoreRouter在Lable分配上的開銷。其它traffic進(jìn)行普通路由。3.2Internet(163/169)連接點(diǎn)模塊1、結(jié)構(gòu)在本期IP城域網(wǎng)工程中，黃木崗和電信的兩臺(tái)CoreRouter：M-HMG-12012-A和M-DX-12012-A作為和163/169連接的邊界路由器。其中，黃木崗M-HMG-12012-A通過一條OC-48鏈路連接到163；電信M-DX-12012-A通過一條GE鏈路連接到163。CoreAreaCoreArea163BackboneDXLZHMGXANSSNSTJ在省163擴(kuò)容工程結(jié)束后，這種連接將改變。到那時(shí)，2臺(tái)新加入的GSR路由器M-SN-12012-B和M-NS-12012-B將代替本期工程中的2臺(tái)邊界路由器作為新的163出口路由器。邊界路由功能隨之而轉(zhuǎn)移到新的GSR路由器上。在第六章中將詳細(xì)講述和163邊界路由器的路由策略，包括如何在多出口點(diǎn)之間進(jìn)行Inboundtraffic和Outboundtraffic的loadbalance，以與如何保證路由對(duì)稱性的問題。2、實(shí)現(xiàn)IP城域網(wǎng)和163網(wǎng)之間運(yùn)行BGP路由協(xié)議，下面是M-HMG-12012-A的SampleConfiguration：routerbgp65001nosynchronizationnetwork123.123.0.0mask255.255.224.0neighbor123.123.1.46remote-as123neighbor123.123.1.46description“2.5GbpslinkstoHB163Backbone”neighbor123.123.1.46version4neighbor123.123.1.46filter-list1inneighbor123.123.1.46filter-list10outipas-pathaccess-list1deny^*ipas-pathaccess-list10permit^$iproute123.123.0.0255.255.224.0null0iproute0.0.0.00.0.0.0123.123.1.46城域網(wǎng)的邊界路由器不從163路由器學(xué)習(xí)任何Internet路由，所有IP城域網(wǎng)不知道的路由都通過缺省路由送至163網(wǎng)絡(luò)。3.3IPVPN服務(wù)模塊1、結(jié)構(gòu)IPVPN服務(wù)模塊包括向用戶提供IP-VPN服務(wù)的路由器和交換機(jī)，路由器主要是7507或7513，交換機(jī)主要是2924。這些設(shè)備包括：ProviderEdge(PE)Router(Cisco7500seriesrouters):M-SN-7507-AM-HMG-7513-AM-DX-7507-AM-NS-7507-AM-XA-7507-AM-LZ-7507-AM-STJ-7507-AVPNAccessConcentrator(CiscoCatalyst2924M-XLLANswitches):M-SN-2924-AM-HMG-2924-AM-DX-2924-AM-NS-2924-AM-XA-2924-AM-LZ-2924-AM-STJ-2924-A所有VPNAccessConcentrator2924M-XL都是100MbaseT以太網(wǎng)交換機(jī)，通過GE鏈路連接到7500系列路由器上。該GE鏈路被定義為multi-VLANTrunk。2924M-XL上的每個(gè)100M端口被映射到一個(gè)單獨(dú)的VLAN上，7500路由器上為每個(gè)VLAN建立一個(gè)sub-interface。M-DX-7507-AM-DX-7507-ARouter……….VLAN1xxVLAN109Logicallyfunctionaspoint-to-pointlinksRouteratcustomersite要向用戶提供IP-VPN服務(wù)，需要進(jìn)行下列步驟：在VPNAccessConcentrator2924M-XL上分配一個(gè)100M端口；通過FE-to-Fiber單模光纖轉(zhuǎn)換器連接用戶端的設(shè)備；將分配到的100M端口映射到VPNAccessConcentrator2924M-XL的一個(gè)VLAN上；在PE7500的GE端口上為該VLAN建立一個(gè)sub-interface；將該sub-interface聯(lián)系到一個(gè)VPN上；在用戶端，用戶提供CE路由器通過100M端口連接到PE上。2、實(shí)現(xiàn)A、VLANTrunkTrunk是交換機(jī)之間或交換機(jī)和路由器之間的點(diǎn)到點(diǎn)鏈路，trunk在整個(gè)網(wǎng)絡(luò)承載multi-VLAN的流量。目前有兩種trunk封包技術(shù)，一種是Cisco專用技術(shù)ISL(InterSwitchLink)，另一種是IEEE802.1Q，是國際標(biāo)準(zhǔn)。在本次城域網(wǎng)工程中，使用IEEE802.1Q作為inter-VLAN的trunk封包技術(shù)。下面是2924M-XL用作VPNAccessConcentrator的SampleConfiguration：interfacegigabitethernet1/1switchportmodetrunkswitchporttrunkencapsulationdot1Q下面是PE路由器7500的trunk端口的Sampleconfiguration：interfacegigabitethernet8/0/0.103encapsulationdot1Q103ipaddress123.123.4.1255.255.255.252B、MPLSVPNMPLS采用虛擬路由表的方法來實(shí)現(xiàn)一個(gè)路由器上多個(gè)VPN的路由表。每一個(gè)VPN對(duì)應(yīng)一個(gè)或多個(gè)VRFs(VPNrouting/forwardinginstance)。VRF定義連接到PE上的VPN成員(一個(gè)site)資格。一個(gè)VRF包括一個(gè)IP路由表、一個(gè)CEF(ciscoexpressforwarding)表、幾個(gè)相關(guān)聯(lián)的端口、和一些控制路由的規(guī)則和參數(shù)。用戶site和VPN之間可以不是一一對(duì)應(yīng)的，一個(gè)用戶site可以是多個(gè)VPN的成員。但是，一個(gè)用戶site只可以和一個(gè)VRF相關(guān)聯(lián)。一個(gè)用戶site的VRF包括所有該site所屬VPN到該site的路由。數(shù)據(jù)包的路由和交換由VRF路由表和單獨(dú)的CEF表所控制，每一個(gè)VPN對(duì)應(yīng)一個(gè)路由表和一個(gè)CEF表，這樣可以防止packet被交換到不關(guān)聯(lián)的端口上去，同時(shí)也防止不關(guān)聯(lián)的端口的packet被交換到該VPN中。VPN路由信息的傳播由VPNroute-targetcommunities來控制，這主要是通過BGP的extendedcommunities屬性來實(shí)現(xiàn)的。VPN路由信息的傳播通過下述的方法進(jìn)行工作：當(dāng)一條從CE處學(xué)習(xí)到的VPN路由被inject到BGP中時(shí)，一些VPNroutetargetcommunities屬性被賦于它；其中主要包括route-target屬性，該屬性決定這些route將被export到哪些VRF。每個(gè)VRF配置有一個(gè)importroute-target列表，該列表指明了一個(gè)BGP的update中的community屬性應(yīng)該包含什么route-target才能被目標(biāo)VRF接受。比如，某一個(gè)VRF的importroute-target列表指明route-targetcommunitiesA、B和C，這樣，每一個(gè)MP-iBGP的update中communities屬性的route-target中有A或B或C的route將被import到該VRF中。一個(gè)PE路由器可通過靜態(tài)路由、RIP或BGP從CE處得到某一個(gè)IP前綴的路由，該前綴是標(biāo)準(zhǔn)IPv4的前綴。然后，PE通過加上一個(gè)8字節(jié)的RD(routedistinguisher)將它轉(zhuǎn)換成為一個(gè)VPN-IPv4的前綴。通過這種方法，可以使用戶地址唯一，即使用戶使用的是IANA規(guī)定的保留地址。用于生成VPN-IPv4前綴的RD(routedistinguisher)由PE路由器的VRF配置命令指定。MPBGP協(xié)議為VPN的每個(gè)VPN-IPv4前綴傳遞NLRI(NetworkLayerReachabilityInformation)。BGP實(shí)體之間的通信有兩種可能，AS的iBGP和AS間的EBGP，PE-PE和PE-RR(routereflector)之間為iBGP，PE-CE之間為EBGP。BGP協(xié)議通過BGP多協(xié)議擴(kuò)展(BGPmultiprotocolextensions參見RFC2283,MultiprotocolExtensionsforBGP-4)來傳遞VPN-IPv4的路由可達(dá)性信息，多協(xié)議擴(kuò)展的BGP采用的方法為限定BGP的peer只能從其它VPN的同伴處得到BGP路由。IP包經(jīng)過MPLS標(biāo)簽交換到其目標(biāo)地址，其選路的基礎(chǔ)是VRF路由表和VRFCEF表。PE路由器為每一個(gè)從CE路由器學(xué)到的前綴產(chǎn)生一個(gè)label，然后將這個(gè)label作為一個(gè)BGPCommunities屬性附加到BGP更新中傳遞出去。當(dāng)一個(gè)源PE路由器從CE路由器處得到一個(gè)IP包，它使用從目標(biāo)PE路由器學(xué)到的label將該IP包發(fā)送出去。當(dāng)目標(biāo)PE路由器得到這個(gè)labeledIP包后，將label從IP包中去除，作為一個(gè)純IP包發(fā)送到CE路由器。當(dāng)labeledIP包在核心骨干部分傳遞時(shí)，其基于labelswitching或trafficengineeredpath進(jìn)行，一個(gè)用戶的IP包在核心穿行時(shí)，攜帶了2層label：第一層label指示到正確的目標(biāo)PE路由器；第二層label給目標(biāo)PE路由器指示，到哪一個(gè)其連接的site鏈路。下面以黃木崗M-HMG-7513-A為例，給出建立一個(gè)名為“education”的VPN的sampleconfiguration：Step1:createvrfinstanceipvrfeducation !DefineVPNRoutinginstance“education”rd65001:101!Specifytheroutedistinguisherroute-targetboth65001:101!Configureimportandexportroute-targetsfor“education”Step2: ActivatingPEexchangeofVPNv4NLRIoveriMP-BGP:routerbgp65001 !ConfigureBGPsessionsnosynchronization nobgpdefaultipv4-activate !DeactivatedefaultIPv4advertisementsneighbor123.123.1.230remote-as65001 !DefineIBGPsessionwithanotherPEneighbor123.123.1.230description“M-SN-7507-Aloopback”neighbor123.123.1.230update-sourcelo0address-familyvpnv4unicast !ActivatePEexchangeofVPNv4NLRIneighbor123.123.1.230activateexit-address-familyStep3: AssociateinterfaceswithaVPN:interfaceGigabitEthernet5/0/0!SetupGEinterfaceasVRFlinktoaCErouteripvrfforwardingeducationipaddress123.123.4.1255.255.255.252interfaceGigabitEthernet8/0/0.101!Setupup2924FEportasVRFlinkencapsulationdot1q101ipvrfforwardingeducationipaddress123.123.4.5255.255.255.252Step4: AssumingstaticroutesareusedforconnectingtheCEsidenetwork:iproutevrfeducation172.16.0.0255.255.0.0123.123.4.2iproutevrfeducation192.168.1.0255.255.255.0123.123.4.6第七章將詳細(xì)闡述MPLSVPNPE-CE連接的實(shí)現(xiàn)，第八章闡述VPN用戶如何連接到Internet。3.4商業(yè)Internet接入模塊1、結(jié)構(gòu)城域網(wǎng)的這一部分主要包括用于向用戶提供商業(yè)Internet接入服務(wù)的設(shè)備和鏈路。用戶在自己駐地有自已的路由器用于進(jìn)行Internet接入。商業(yè)Internet接入模塊部分包括以下設(shè)備：AccessRouter(Cisco7500seriesrouters):M-SN-7507-AM-HMG-7513-AM-DX-7507-AM-NS-7507-AM-XA-7507-AM-LZ-7507-AM-STJ-7507-AM-SK-7507-ACommercialInternetAccessConcentrator(CiscoCatalyst2924M-XLLANswitches):M-SN-2924-BM-HMG-2924-BM-DX-2924-BM-NS-2924-BM-XA-2924-BM-LZ-2924-AM-STJ-2924-BM-SK-2924-B注：7500路由器作為一個(gè)接入平臺(tái)同時(shí)起IP-VPN功能和商業(yè)Internet接入功能。商業(yè)Internetaccessconcentrator通過FE接口接到7500路由器上，作為上聯(lián)鏈路。每個(gè)單獨(dú)的2924交換機(jī)的100M以太網(wǎng)端口定義為獨(dú)立的VLAN，在7500路由器上的FE端口上，為每個(gè)accessVLAN定義一個(gè)sub-interface。在邏輯結(jié)構(gòu)上，商業(yè)Internet接入模塊和IP-VPN服務(wù)模塊非常相似。它們的區(qū)別在于使用的VLAN編號(hào)不一樣。VLAN編號(hào)規(guī)則見下一章。M-DX-7507-AM-DX-7507-ARouter……….VLAN2xxVLAN201Logicallyfunctionaspoint-to-pointlinksRouteratcustomersiteActingasAreaBorderRouter(routesummarizationhappenedhere)為了向用戶提供商業(yè)Internet接入功能，需要進(jìn)行以下幾個(gè)步驟的配置：在CommercialInternetAccessConcentrator上分配一個(gè)100M以太網(wǎng)端口；通過FE-to-Fiber單模光纖轉(zhuǎn)換器將該端口延伸到用戶端；在CommercialInternetAccessConcentrator上為該端口分配一個(gè)VLAN；在7500路由器的FE端口上生成一個(gè)sub-interface，將該sub-interface聯(lián)系到這個(gè)VLAN上；為這一段鏈路分配IP地址；在7500路由器上為用戶的network作靜態(tài)路由；2、實(shí)現(xiàn)因?yàn)閍ccessVLAN可以看作是point-to-point連接，我們只需要為這段鏈路分配一個(gè)/30的子網(wǎng)。因?yàn)閂LAN是multi-access介質(zhì)，所以不能作ipunnumbered處理。在用戶駐地，用戶需要提供一個(gè)具有100M以太網(wǎng)接口的路由器，用于接入城域網(wǎng)。用戶的IP地址塊可以從城域網(wǎng)的用戶網(wǎng)絡(luò)地址塊中分配，也可以從其它地方申請(qǐng)到的IP地址。建議采用前者，因?yàn)檫@樣可以作路由聚合，減少網(wǎng)絡(luò)開銷。為了使用戶的IP地址可以從Internet和MAN上訪問到，在7500上要做靜態(tài)路由，然后將此靜態(tài)路由redistribute到IGP中。在7500上要做IGP的addresssummarization，這樣防止過多的externalroute進(jìn)入MAN的骨干。下面是提供商業(yè)Internet接入的7500路由器的Sampleconfiguration：interfaceFastEthernet6/0/0.101encapsulationdot1q101ipaddress123.123.5.1255.255.255.252routerospf100redistributestaticmetric10metric-type1subnetsnetwork123.123.1.00.0.0.255area0network123.123.4.00.0.0.255area3network123.123.5.00.0.0.255area3summary-address123.123.20.0255.255.255.0iproute123.123.20.0255.255.255.240123.123.5.23.5小區(qū)Internet接入模塊1、結(jié)構(gòu)城域網(wǎng)的這一部分主要包括用于用信息化小區(qū)用戶提供高速Internet接入服務(wù)的設(shè)備和鏈路。小區(qū)駐地設(shè)備假定為一臺(tái)路由器或一臺(tái)以太網(wǎng)交換機(jī)，用戶在自己家里通過一臺(tái)PC和一個(gè)以太網(wǎng)卡上Internet。這部分的連接方式以與用戶的論證、計(jì)費(fèi)等功能的詳細(xì)討論，見附件。商業(yè)Internet接入模塊部分包括以下設(shè)備：CommunityInternetAccessConcentrators:M-SN-6509-AM-HMG-6509-AM-DX-6509-AM-NS-6509-ACatalyst6509以太網(wǎng)交換機(jī)的每個(gè)100M端口被配置單獨(dú)的VLAN，一個(gè)100M端口通過FE-to-Fiber單模光纖轉(zhuǎn)換器延伸到用戶駐地，該段地址的分配從骨干網(wǎng)的IP塊中分配。小區(qū)和城域網(wǎng)的連接方式可以有兩種，一種是小區(qū)通過路由器和6509相連，在種結(jié)構(gòu)下，AccessVLAN邏輯上可以看作point-to-point的點(diǎn)到點(diǎn)鏈路，這使得網(wǎng)絡(luò)具有較好的可擴(kuò)充性，同時(shí)限制了用戶端的廣播影響到城域網(wǎng)的性能。這種結(jié)構(gòu)下小區(qū)路由器必須配置100M以太網(wǎng)接口另一種方式是小區(qū)通過Switch或Hub和6509相連，這種結(jié)構(gòu)下，6509的下聯(lián)端口和用戶相享一個(gè)廣播域，用戶的廣播包會(huì)影響6509的性能。但這種結(jié)構(gòu)對(duì)小區(qū)的要求更低，易于實(shí)現(xiàn)。這兩種結(jié)構(gòu)下，小區(qū)的IP地址分配都是按地址塊進(jìn)行，當(dāng)小區(qū)用戶增加需要增加IP地址時(shí)，分配另一塊IP地址給小區(qū)，前者在路由器上作路由，后者通過對(duì)6509的相關(guān)端口設(shè)置SecondaryIP地址來實(shí)現(xiàn)。相對(duì)而言，前者更具有靈活性、可擴(kuò)充性，而且效率更高。后者則實(shí)現(xiàn)簡單，成本更低。邏輯上，小區(qū)Internet接入服務(wù)模塊實(shí)現(xiàn)結(jié)構(gòu)圖如下：M-DX-6509R1-AM-DX-6509R1-ARoutingEngineM-DX-6509R2-ARoutingEngine……….……….VLAN401VLAN4xxVLAN402VLAN4xxVLAN1MANBackboneCommunityAccessNetworkLogicallyFunctionasPoint-to-pointLinkVLAN11Sign-onserverRadiusserverServiceGateway小區(qū)接入的網(wǎng)絡(luò)可以采用任何組網(wǎng)技術(shù)，小區(qū)的網(wǎng)絡(luò)采用的IP地址塊最好從城域網(wǎng)分配到的用戶IP地址塊中分配，這樣有利于做routesummarization。2、實(shí)現(xiàn)正如撥號(hào)接入用戶，小區(qū)Internet用戶也需要經(jīng)過論證才能訪問Internet，論證通過后，還需要對(duì)用戶的訪問進(jìn)行計(jì)費(fèi)。這部分功能需要安裝另外的論證服務(wù)網(wǎng)關(guān)，在小區(qū)接入的Accessconcentrator上要建立一個(gè)專用的VLAN，用于連接這些論證服務(wù)器或服務(wù)網(wǎng)關(guān)。如果只需要對(duì)用戶進(jìn)行粗粒度的計(jì)費(fèi)，還可以在6509的接口上設(shè)置CAR以限制小區(qū)總體接入帶寬，以租用線路的方式向用戶提供服務(wù)。這個(gè)VLAN的IP地址從骨干網(wǎng)的IP地址塊中分配。不同的小區(qū)接入網(wǎng)從不同的IP地址塊中分配IP地址。詳細(xì)討論見附件。3.6政府上網(wǎng)接入模塊1、結(jié)構(gòu)城域網(wǎng)的這一部分主要包括用于市政府的用關(guān)部門接入Internet的設(shè)備和鏈路。政府上網(wǎng)接入方式和商業(yè)Internet接入的方式相似，接入accessconcentrator(6509)的每一個(gè)100M端口通過FE-to-Fiber單模光纖轉(zhuǎn)換器延伸到政府部門，政府部門駐地設(shè)備應(yīng)包括一臺(tái)路由器和一臺(tái)/多臺(tái)交換機(jī)，其中路由器應(yīng)配有100M以太網(wǎng)接口。政府上網(wǎng)接入模塊只包含1部設(shè)備：M-JG-6509-AM-HMG-7513M-HMG-7513-ARouterM-JG-6509R1-ARoutingEngineM-JG-6509R2-ARoutingEngineMANBackbone……….……….……….IP-VPNServicesBroadbandInternetServicesVLAN1VLAN101VLAN1xxVLAN301VLAN3xxVLAN302VLAN3xx2、實(shí)現(xiàn)政府上網(wǎng)接入模塊的邏輯結(jié)構(gòu)使得可以向政府機(jī)關(guān)與部門提供靈活的服務(wù)，同樣的Accessconcentrator可以提供高速Internet接入或IP-VPN服務(wù)。要實(shí)現(xiàn)上述功能，7513和6509之間的GE鏈路需要定義為IEEE802.1Qmulti-VLANtrunk。三臺(tái)路由器之間通過VLAN1互聯(lián)。像IP-VPN和商業(yè)Internet接入實(shí)現(xiàn)一樣，接入VLAN采用/30掩碼，實(shí)現(xiàn)步驟和商業(yè)Internet接入一樣。3.7主機(jī)托管模塊1、結(jié)構(gòu)城域網(wǎng)的這一部分主要包括用于通過城域網(wǎng)提供主機(jī)托管服務(wù)的設(shè)備和鏈路。主機(jī)托管模塊包括以下設(shè)備：Catalyst6509LANswitches(eachwithdualMFSCroutingengines)M-DG-6509-AM-DG-6509-BM-XNT-6509-AM-XNT-6509-B東港中心的兩臺(tái)6509交換機(jī)采用兩條GElonghaul光纖連接到電信和黃木崗，新南頭的兩臺(tái)6509交換機(jī)通過兩條GElonghaul光纖連接到南山和新安。每臺(tái)6509LAN交換機(jī)含有2臺(tái)嵌的路由器，下圖以一個(gè)節(jié)點(diǎn)為例說明主機(jī)托管模塊的邏輯結(jié)構(gòu)：VLAN2VLAN2M-DG-6509R1-ARoutingEngineM-DG-6509R2-ARoutingEngineM-DX-12012-AVLAN3M-DG-6509R1-BRoutingEngineM-DG-6509R2-BRoutingEngineM-HMG-12012-AVLAN1VLAN11VLAN12VLAN13ServerHostingVLANManagementVLAN2、實(shí)現(xiàn)為了使主機(jī)托管VLAN具有盡可能大的可用性，在該模塊采用ciscoHSRP(HotStandbyRoutingProtocol)。采用HSRP可以提供很好網(wǎng)絡(luò)可用性，因?yàn)榈酵泄苤鳈C(jī)的IP路由不依賴于一臺(tái)單獨(dú)的路由器。當(dāng)HSRP在網(wǎng)段上使用時(shí)，它提供一個(gè)虛擬的MAC地址和一個(gè)IP地址，做成HSRP的路由器共享這兩個(gè)地址。某一時(shí)刻只有一臺(tái)路由器被選中用工作路由器，工作路由器對(duì)數(shù)據(jù)包進(jìn)行路由和交換。對(duì)于一個(gè)包含4臺(tái)路由器的HSRP組，需要4+1個(gè)IP地址和MAC地址。Standby的路由器偵測(cè)Active路由器的失敗，當(dāng)Active路由器down機(jī)后，Standby路由器選出另一個(gè)Active路由器，該路由器接管該Group的IP地址和MAC地址,對(duì)數(shù)據(jù)包進(jìn)行路由和交換。四、設(shè)備互連4.1遠(yuǎn)程連接一共有20個(gè)單模光纖連接，用于連接13個(gè)點(diǎn)(site)。LinkID.A-endB-endWave-LengthFOPowerBudgetDeviceID.Slot/PortDeviceID.Slot/PortSM01M-HMG-12012-APos2/0M-XA-12012-APos2/0155024dBSM02M-HMG-12012-APos3/0M-NS-12012-APos2/0155024dBSM03M-SN-12012-APos2/0M-HMG-12012-APos4/0155024dBSM04M-SN-12012-APos3/0M-DX-12012-APos2/0155024dBSM05M-DX-12012-APos3/0M-STJ-12012-APos2/0155024dBSM06M-DX-12012-APos4/0M-LZ-12012-APos2/0155024dBSM07M-NS-12012-APos3/0M-XA-12012-APos3/0155024dBSM08M-DX-12012-APos5/0M-NS-12012-APos4/0155024dBSM09M-SN-12012-APos4/0M-NS-12012-APos5/0155024dBSM10M-SN-12012-APos5/0M-STJ-12012-APos3/0155024dBSM11M-HMG-12012-APos5/0M-LZ-12012-APos3/0155024dBSM12M-HMG-12012-APos6/0HB-12008Pos?/?155024dBSM13M-DX-12012-AGe8/0(LH)HB7507GE?/?(LH)130010.5dBSM14M-HMG-7513-AGe9/0(LH)M-JG-6509-AGE1/2(LH)130010.5dBSM15M-HMG-12012-AGe8/0(LH)M-DG-6509-BGE1/2(LH)130010.5dBSM16M-DX-12012-AGe9/0(LH)M-DG-6509-AGE1/2(LH)130010.5dBSM17M-NS-12012-AGe8/0(LH)M-XNT-6509-AGE1/2(LH)130010.5dBSM18M-XA-12012-AGe8/0(LH)M-XNT-6509-BGE1/2(LH)130010.5dBSM19M-NS-12012-AGe9/0M-SK-7507-AGE1/0130010.5dBSM20M-DX-12012-AGe8/1LM7500GE?/?130010.5dB注：參見圖1、圖2。4.2本地連接注：參見圖3a――圖3g。4.3設(shè)備插槽分配策略為了有效的利用設(shè)備的部總線，提高交換效率，對(duì)設(shè)備上的各種類型的接口卡的插槽需要進(jìn)行合理的分配，插槽分配策略為：CiscoGSR12012GRP和redundantGRP/R始終占用slot0和slot1；所有的POSlinecard從slot2開始；所有的3GElinecard從slot8開始；Cisco7507RSP4和redundantRSP/R始終占用slot2和slot3；靠近RSP的Slots優(yōu)先分配；上聯(lián)到GSR12012的GEIP占用slot1；下聯(lián)到Catalyst2924的GEIP占用slot4；需要連接到遠(yuǎn)端用戶VPN的GEIP占用slot5；VIP/PA-FE占用slot6；Cisco7513RSP4和redundantRSP/R始終占用slot6和slot7；靠近RSP的Slots優(yōu)先分配；GEIPforremoteVPNcustomersiteisallocatedslot5whererequired上聯(lián)到GSR12012的GEIP占用slot4；下聯(lián)到Catalyst2924或Catalyst6509的GEIP從slot8開始；VIP/PA-FE占用slot12；Cisco6509SUP1A和redundantSUP1A/2supervisoryengines始終slot1and2；GEport1/1始終使用MM-SXGBIC進(jìn)行多模連接；GEport1/2始終使用SM-LXGBIC進(jìn)行單模連接；其它模塊從slot3開始；Catalyst2924M-XLGE上聯(lián)模塊始終安裝在port1/1上；4.4VLAN編號(hào)和用途說明作為一個(gè)規(guī)則，VLAN編號(hào)以site基準(zhǔn)，即VLAN號(hào)在一個(gè)site是唯一的，并且，統(tǒng)一的VLAN編號(hào)法有助于消除歧意和有助于排錯(cuò)。其中一個(gè)例外是VLAN1,因?yàn)榭赡苡性S多不互連的Catalyst交換機(jī)，因此可能有許多不規(guī)則數(shù)量的VLAN1用于管理VLAN。一般地，采用下面的VLAN編號(hào)規(guī)則：VLAN1用于管理網(wǎng)段；VLAN2—VLAN10保留用于設(shè)備互聯(lián)和其它特別用途；VLAN11—VLAN100用于ServerhostingVLANVLAN101—VLAN199用于IP-VPN接入VLAN201—VLAN299用于商業(yè)Internet接入VLAN301—VLAN399用于政府上網(wǎng)接入VLAN401—VLAN499用于小區(qū)Internet接入下面是本期城域網(wǎng)的VLAN的編號(hào)方案：SiteEquipmentVLANUsage樞紐M-SN-6509-A2UplinktoGSR9NMSSegment11ServerhostingVLANM-SN-2924-A101to124IP-VPNaccessM-SN-2924-B202to224CommercialInternetaccess黃木崗M-HMG-6509-A2UplinktoGSR11ServerhostingVLANM-HMG-2924-A101to124IP-VPNaccessM-HMG-2924-A202to224CommercialInternetaccess機(jī)關(guān)專用局M-JG-6509-A301to348GovernmentInternetaccess電信M-DX-6509-A2UplinktoGSR11ServerhostingVLANM-DX-2924-A101to124IP-VPNaccessM-DX-2924-B202to124CommercialInternetaccess東崗中心M-DG-6509-A2UplinktoGSR11ServerhostingVLANM-DG-6509-B3UplinktoGSR12ServerhostingVLAN南山M-NS-6509-A2UplinktoGSR11ServerhostingVLANM-NS-2924-A101to124IP-VPNaccessM-NS-2924-B202to224CommercialInternetaccess蛇口M-SK-2924-A102to124IP-VPNaccess新南頭M-XNT-6509-A2UplinktoGSR11ServerhostingVLANM-XNT-6509-B3UplinktoGSR12ServerhostingVLAN新安M-XA-2924-A101to124IP-VPNaccessM-XA-2924-B202to124CommercialInternetaccess龍中M-LZ-2924-A101to124IP-VPNaccess沙頭角M-STJ-2924-A101to124IP-VPNaccessM-STJ-2924-B202to224CommercialInternetaccess五、IP地址5.1IP地址模式本期城域網(wǎng)所有的網(wǎng)絡(luò)設(shè)備與互連的IP地址全部采用合法IP地址，包括PE-CE之間網(wǎng)段。根據(jù)下文描述的IP地址分配策略，一共需要18個(gè)C類地址；為了滿足一段時(shí)間用戶發(fā)展的需要，最好能夠申請(qǐng)到32個(gè)C類地址。為了使IP地址的分配清晰，按其功能將18個(gè)C類地址可以分為三塊：Block1(1個(gè)C)用于城域網(wǎng)骨干核心模塊，包括GSR路由器和7500路由器的loopback地址以與它們之間互連鏈路的地址。Block2(2個(gè)C)用于IP-VPN服務(wù)模塊的PE-CE之間的鏈路地址。Block3(15個(gè)C)用于其它接入模塊，包括accessVLAN、managementVLAN、serverhostingVLAN等，根據(jù)不同的area進(jìn)行進(jìn)一步的子網(wǎng)化。5.2域路由協(xié)議(IGP)IGPOSPFProcess-id100AS#65xxx考慮以下幾個(gè)方面的原因，城域網(wǎng)采用OSPF作為IGP：OSPF是開放的IETF標(biāo)準(zhǔn)協(xié)議；OSPF已被證明是可靠的和可擴(kuò)展的；高效的路由聚合和缺省路由機(jī)制在OSPF中是現(xiàn)存的；目前163的POPsite是采用OSPF，容易集成；OSPF和MPLS的結(jié)合是被證明成功的，而IS-IS和MPLS的結(jié)合需要對(duì)IS-IS進(jìn)行修改；5.3IP地址分配為了進(jìn)行路由聚合和負(fù)載分擔(dān)，需要進(jìn)行分域(areaing),對(duì)每一個(gè)area，以C為單位進(jìn)行地址分配。一共分為1715個(gè)Area，Area0包括核心7臺(tái)GSR路由器、8臺(tái)7500路由器、8臺(tái)6509交換機(jī)與它們互聯(lián)的鏈路。其它1614個(gè)域由7500與6509的接入鏈路和用戶路由器組成，主要目的是為了避免用戶鏈路的不穩(wěn)定造成核心的波動(dòng)。1、核心層IP地址塊：Area0UseMaskCountIPConsumedCorerouterLo0address/32787500routerLo0address/3288Inter-corePOSlink/301144Interconnecting163/3028Interconnecting龍脈/3014Area0linkto8x7500/30832Area0linkto8x6509-MFSC/29864Total168需要C類地址：1個(gè)C(Net1)2、IP-VPN服務(wù)模塊PE-CE地址塊因?yàn)镮P-VPN的PE-CE之間的鏈路的IP地址只出現(xiàn)在管理VRF和其它VPNVRF中，所以不必要對(duì)這一塊地址進(jìn)行summarize。這樣，只要從一個(gè)地址塊中分配這一部分IP即可。UseMaskCountIPConsumedIP-VPNPE-CELink/30126504Total504需要C類地址：2個(gè)C(Net10&Net14)3、其它服務(wù)模塊地址塊這部分地址用于其它服務(wù)模塊的地址分配，包括商業(yè)Internet接入模塊、信息化小區(qū)Internet接入模塊、主機(jī)托管模塊、政府上網(wǎng)模塊以與管理模塊等。這一部分的IP地址預(yù)計(jì)需要15個(gè)C，其詳細(xì)說明見附件一：IP地址分配計(jì)劃表。5.4IP子網(wǎng)規(guī)劃為了有效使用IP地址，必須對(duì)IP地址進(jìn)行子網(wǎng)化，通過對(duì)每個(gè)area用VLSM(可變長子網(wǎng)掩碼)進(jìn)行地址分配可以最大限度的利用IP地址。下面是每一個(gè)C類地址的子網(wǎng)化規(guī)劃：AreaABRNetworkStartIPEndIPMaskUsage0-Net10239/30P2P240255/32Loopback1M-SN-7507-ANet20239/30VPNP2P240247/30VLAN1248255/32Loopback2M-SN-6509R-ANet3063/26VLAN11224239/28VLAN1240247Reserved248255/32Loopback3M-HMG-7513-ANet40239/30VPNP2P240247/30VLAN1248255/32LoopbackNet50239/30VPNP2P240247/30/29VLAN1forJG6509A248255/30Loopback4M-HMG-6509-ANet6063/26VLAN11224239/28VLAN1240247Reserved248255/32Loopback5M-DX-7507-ANet70239/30VPNP2P240247/30VLAN1248255/32Loopback6M-DX-6509R-ANet8063/26VLAN11224239/28VLAN1240247Reserved248255/32Loopback7M-DG-6509-A&M-DG-6509-BNet9063/26VLAN11224239/28VLAN1240247Reserved248255/32LoopbackNet100255/24VLAN128M-NS-7507-ANet110239/30VPNP2P240247/30VLAN1248255/32Loopback9M-NS-6509R-ANet12063/26VLAN11224239/28VLAN1240247Reserved248255/32Loopback10M-XNT-6509R-A&M-XNT-6509R-BNet13063/26VLAN11224239/28VLAN1240247Reserved248255/32LoopbackNet140255/24VLAN1211M-SK-7507-ANet150239/30VPNP2P240247/30VLAN1248255/32Loopback12M-XA-7507-ANet160239/30VPNP2P240247/30VLAN1248255/32Loopback13M-LZ-7507-ANet170239/30VPNP2P240247/30VLAN1248255/32Loopback14M-STJ-7507-ANet180239/30VPNP2P240247/30VLAN1248255/32Loopback六、和163/169的連接在設(shè)計(jì)上，IP城域網(wǎng)和163/169網(wǎng)是2個(gè)不同的自治系統(tǒng)(AS)；這樣設(shè)計(jì)是為了防止2個(gè)網(wǎng)絡(luò)之間的相互影響。在這兩個(gè)網(wǎng)絡(luò)的互連上，采用下面的路由策略：Redistribute缺省路由進(jìn)入IP城域網(wǎng)；通過OSPF的met