技術設計方案模板(華為)

...wd......wd......wd...MPLSBGPVPN技術方案模板華為技術2003年2月目錄TOC\o"1-4"前言1第1章概述21.1MPLSVPN簡介21.2網絡概述3第2章原有網絡分析42.1信息采集42.1.1網絡信息42.1.2用戶需求42.2組網分析42.3綜述6第3章MPLS-VPN解決方案83.1組網83.2IP地址規(guī)劃93.2.1PE的管理地址〔Loopback地址〕103.2.2S3526/S3026的管理地址113.2.3PE-PE的互連地址123.2.4PE-CE的互連地址〔計費〕133.2.5PE-CE的互連地址〔OA〕143.2.6PE-CE的互連地址〔168〕143.2.7PE-CE的互連地址〔網管〕153.3路由協(xié)議153.3.1BGP協(xié)議規(guī)劃163.3.2IGP協(xié)議規(guī)劃163.3.3靜態(tài)路由規(guī)劃173.4MPLSVPN規(guī)劃173.4.1VRF規(guī)那么173.4.2RD規(guī)那么173.4.3Route-Target規(guī)那么183.5設備命名和描述規(guī)那么183.5.1設備命名規(guī)那么183.5.2接口描述命名規(guī)那么183.6網絡的備份和流量分擔193.6.1網絡的備份193.6.2流量的分擔193.7網絡的管理203.8網絡的安全21第4章設備配置224.1硬件配置清單224.2軟件配置清單22第5章測試和驗收24前言本方案模板的目的，是給MPLSVPN技術方案的制定提供一個模板，作為一個借鑒，一個引導，分章節(jié)論述制定一個MPLSVPN技術方案需要考慮的各個方面。由于MPLSVPN技術方案和業(yè)務聯(lián)系嚴密，為了更好的對方案的各局部作充分的闡述，本文用了一個實際方案作為例子，在每章節(jié)說明的后面，就是具體方案的描述，描述的內容可以作為制定其他MPLVPN方案的參考，但具體的細節(jié)還需根據實際網絡的情況作相應的調整。第1章概述說明：該章主要介紹MPLSVPN技術和網絡的概況，給人以整體的印象，作為技術方案的開篇，引申出后續(xù)的方案的細節(jié)。1.1MPLSVPN簡介說明：該節(jié)主要用簡潔、易懂的文字，對技術方案所依托的MPLSVPN技術作簡單介紹。隨著社會的開展，企業(yè)日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況也使傳統(tǒng)企業(yè)網絡的功能缺陷越來越凸現：傳統(tǒng)企業(yè)網基于固定物理地點的專線連接方式已難以適應現代企業(yè)的需求。于是用戶對于自身的網絡建設提出了更高的需求，主要表現在網絡的靈活性、安全性、經濟性、擴展性等方面。在這樣的背景下，基于MPLS技術平臺實現的MPLSVPN，以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關注網絡的運行與維護，而更多地致力于企業(yè)的商業(yè)目標的實現。MPLS是多協(xié)議標簽交換協(xié)議的簡稱。MPLSVPN網絡中，有三種設備：CE、PE和P路由器，CE是用戶直接與服務提供商相連的邊緣設備，可以是路由器、交換機或者終端；PE是骨干網中的邊緣設備，它直接與用戶的CE相連；P路由器是骨干網中不與CE直接相連的設備。P路由器并也不知道有VPN的存在，僅僅負責骨干網內部的數據傳輸，但其必須能夠支持MPLS協(xié)議，并使能該協(xié)議；PE位于服務提供商網絡的邊緣，所有的VPN的構建、連接和管理工作都是在PE上進展的。采用MPLSVPN技術可以把物理上單一的IP網絡分解成邏輯上隔離的網絡，并且每個VPN單獨構成一個獨立的地址空間，即VPN之間可以重用地址，在分配地址時不必考慮是否會與其他的VPN發(fā)生沖突，只需要考慮在本VPN之內不沖突即可，這樣可以解決IP網絡地址缺乏的問題，也方便網絡的擴展和變更。MPLSVPN的網絡構造由服務提供商來完成。在這種網絡構造中，由服務提供商向用戶提供VPN服務，用戶感覺不到公共網絡的存在，就好似擁有獨立的網絡資源一樣。為了實現MPLSVPN功能，除了新建網絡之外，更多的需求是在已有的傳統(tǒng)IP網絡上實現MPLSVPN的功能。這樣，既保護了原有網絡投資，又適應了企業(yè)用戶的新的需求，實現業(yè)務的增值。本次工程就是在已有網絡上進展改造，實現MPLSVPN功能。1.2網絡概述說明：該節(jié)簡單的介紹網絡的概況，業(yè)務運行的情況，以及存在的問題，然后描述采用MPLSVPN實現用戶需求的優(yōu)點。J省原有三個業(yè)務網絡：運營、計費和網管，這三種業(yè)務在地市和省之間的廣域網的范圍內，物理設備和運行的路由協(xié)議都是相互別離的，這樣給全網的統(tǒng)一管理和維護帶來了相當的不便，并且某些舊有的設備和廣域網帶寬已經不能滿足當前的業(yè)務開展的需求，因此有必要建設一個統(tǒng)一的、高效的、可運營、可維護的數據網絡。在原有網絡中，每個地市的運營、計費和網管共用一個或兩個B網段。運營和計費的上行到省公司的路由設備共用或者分別在兩臺出口路由器上；網管是單獨的出口路由器。在各地市間的骨干網絡上，運營網配置的是靜態(tài)路由；計費網絡運行的是EIGRP動態(tài)路由協(xié)議；網管網絡運行的是OSPF協(xié)議，本地網的OSPF與計費的EIGRP之間沒有相互引入，本地網的OSPF也沒有引入靜態(tài)路由。本次DCN工程采用MPLSVPN的方案，在同一物理拓撲的根基上，MPLSVPN能夠按照用戶需求實現多種業(yè)務的隔離，并且管理和控制VPN的業(yè)務，只是在數據上作相應的配置，物理設備和鏈路都不用作改動，這樣為各種VPN業(yè)務的管理和維護提供了很大的方便，所以MPLSVPN具有很好的業(yè)務擴展性。第2章原有網絡分析說明：實施MPLSVPN的前提，就是對原有網絡進展全面準確的調研和分析，收集實際運行的網絡信息。然后在此根基上給出網絡的建設建議。2.1信息采集說明：該節(jié)對客戶原有網絡信息和用戶的需求進展采集，作為方案規(guī)劃和實施的根基。2.1.1網絡信息在實際工程中，需要采集的網絡信息包括：組網圖、數據配置、IP網段規(guī)劃、業(yè)務流向、路由協(xié)議、業(yè)務間互訪和隔離的需求等。〔詳細的信息這里省略，可以根據實際情況，寫在技術方案中或者作為技術方案的附件附后?！?.1.2用戶需求在J省全省范圍內，目前主要有網管、計費、OA、168業(yè)務。基本原那么是：各業(yè)務之間是隔離的；每種業(yè)務在全省各地市之間是能夠互相訪問的；省公司的各種業(yè)務還有訪問國家骨干的需求。特別的：省公司的網管業(yè)務能夠訪問其他地市的各種業(yè)務。2.2組網分析說明：用戶的原有網絡構造一般會有兩種：一種是將所有的業(yè)務承載在一個網絡上，通過GRE、IPSEC等技術建設隧道來隔離不同的業(yè)務，或者基本不作隔離；另一種是對于每種業(yè)務單獨建設一個網絡；如在運營商的DCN網絡中，為計費，運營，網管各建一個網絡。對第一種情況，附一個總的組網圖即可；而對第二種需要對每種業(yè)務附一個組網圖，再對原有網絡的整體情況，用途，所承載的業(yè)務類型分別進展分析。本方案就是第二種情況。下面對J省的運營和網管組網進展分析：原運營網絡組網分析1、設備：各地設備的型號比較統(tǒng)一，Cisco的72或者75系列的路由器，局部路由器能提供空閑的以太網口，能夠支持BGP，不能提供空閑以太網口的路由器需要支持802.1Q，如果不支持，可以通過升級軟件版本解決該問題。2、鏈路：廣域網鏈路是E1線路，帶寬為2M。3、路由協(xié)議：骨干網絡運行的是靜態(tài)路由，A市路由器Cisco75為省中心，上面配置指向分配給各地市和省公司路由器的準確的C網段〔或更明細〕的靜態(tài)路由，下一跳指向相應的路由器的下一跳，而在各地市路由器上配置指向省公司的準確的C網段〔或更明細〕的靜態(tài)路由，下一跳指向Cisco75。4、業(yè)務的流向：縱向流，即各地市與省局之間的數據交互。原網管網絡組網分析1、設備：由于省公司的NetBuilder的端口不夠了，另外配置了兩臺Cisco2621路由器，分別接入E市、C市和B市網管1，省公司的這三臺路由器再通過Lanswitch4003連通，然后通過NetBuilder作為統(tǒng)一的出口。2、鏈路：廣域網鏈路是E1線路，帶寬為2M，特殊的，C市作了鏈路捆綁。綜合多方面考慮，并針對網絡的實際情況，我們建議采用方案3。3、路由協(xié)議：原網管網的骨干網絡運行的是OSPF協(xié)議，AREA為0，在各地市的本地網絡，有些是靜態(tài)路由，有些也運行OSPF，AREA不為0，但沒有聚合區(qū)域間路由。這里我們建議各地市向Area0發(fā)布路由的時候進展聚合，聚合成本地網管正在使用的幾個C網段〔也不應該聚合成包含計費、運營的B網段〕，利于管理和控制。4、業(yè)務流向：主要以縱向流為主，即各地市與省局之間的數據交互。2.3綜述說明：該節(jié)根據客戶網絡構造以及采集的數據對網絡現狀和問題進展分析，得出結論。并提出我們的解決方案。對于每種業(yè)務單獨建設一個網絡這種情況，存在以下弊?。河捎谑敲糠N業(yè)務都建設一個網絡，網絡設備的重復投入，而且在新上一種業(yè)務的時候都要新建一套網絡，工程量比較大。而且如果存在某些設備是多個業(yè)務共用的設備時，業(yè)務間的隔離和互訪實現起來也不方便。對于將各個業(yè)務使用同一個網絡這種情況，存在以下弊病：各個業(yè)務使用同一個網絡，如果各個業(yè)務之間不進展隔離，那么存在安全隱患，如果使用GRE、IPSEC等隧道技術來進展隔離的話，由于這些隧道技術都是點對點的，因此節(jié)點比較多的時候，要配置較多的隧道，在新增一個點的時候，需要修改所有配置了隧道的路由器的配置。而MPLSVPN方案能很好的實現用戶的需求，提升網絡的性能，滿足用戶業(yè)務擴展和易于管理的要求。由于所有的VPN數據只是在PE上作相應的配置，控制也是在PE上實現的，所以對原有網絡的影響很小，這樣能最大限度的減小對原來的各種業(yè)務的影響。增加了PE設備以后，每個地市的CE設備就通過本地的PE設備與省公司或者其他地市相連了，而原有的網絡作為DCN網絡的備份網絡，當DCN網絡出現問題時，可以切換到舊有網絡上，保證業(yè)務的正常運行。要做到各地市的VPN業(yè)務的別離，每種VPN業(yè)務必須采用獨立的邏輯端口與PE設備相連，端口上向PE發(fā)布的也是本業(yè)務所占用的網段，而不應該是本地所有VPN業(yè)務的總的B網段。針對實際的情況，我們采用業(yè)務逐步別離的方案。如果某些地市能做到業(yè)務網段的別離，就為每個VPN業(yè)務提供獨立的邏輯端口，并只發(fā)布本業(yè)務的網段，采用N個業(yè)務N個VPN的方案；其他地市短期內還做不到業(yè)務網段的別離，那么就采用暫時只有一個VPN的方案，當這些地市的網段做到別離的時候，再將這些地市調整成多個VPN就可以了。這樣，網段別離的地市能夠做到業(yè)務別離，而暫時不能別離的地市只是本地業(yè)務不能別離，不會影響到其他的城市。第3章MPLS-VPN解決方案說明：該章針對客戶的現狀和需求，提出具體的MPLSVPN解決方案，包括組網圖、IP地址規(guī)劃、路由協(xié)議等技術細節(jié)，作為工程實施的依據。3.1組網說明：該節(jié)附具體解決方案的系統(tǒng)組網圖，即采用MPLSVPN方案的網絡構造圖。并對網絡設計的方針、規(guī)劃、思路做出詳細的分析。MPLS-VPN并不要求網絡構造上有什么特殊之處，傳統(tǒng)的樹形構造、網狀構造、單星型構造、雙星形構造都可以滿足要求。如果是舊網改造，只需要對原有網上設備進展升級，使之支持LDP，配合新增的PE設備即可組成MPLS-VPN的核心MPLS域；而CE設備那么不需要任何改動，可以直接作為MPLS-VPN的各專業(yè)網絡業(yè)務會聚設備。對于本次工程，我們建議采用雙星形構造，這樣在骨干中心節(jié)點消除單點故障，提高了網絡的可靠性和安全性。雙星形網絡構造圖A市中心放置兩臺骨干路由器NE16和Cisco75，兩者通過FE互連，負責其他地市的業(yè)務會聚，互為備份。2、除A市外的其他地市，由一臺高端路由器組成，負責本地業(yè)務系統(tǒng)的接入。原來各業(yè)務網絡的出口路由器作為CE設備。針對運營和計費網絡，如果原來的出口路由器存在空閑的以太網口，那么直接將該路由器連接到PE上；如果沒有多余的端口，那么PE和CE之間通過交換機相連，然后在原出口路由器上配置子接口，劃分VLAN〔這需要路由器支持802.1Q協(xié)議，如果不支持，可以通過升級軟件版本解決〕；如果即沒有多余的端口，而且難以支持802.1Q，那么只能采用另外一臺三層交換機作為CE設備，但這樣本地網絡的路由需要調整：原出口路由器接在三層交換機的下面，將該三層設備作為本地的出口。針對網管網絡，局部地市是CISCO的設備，有空閑的端口，那么直接連接到PE設備，如果沒有空閑端口，就在原來的以太網上配置子接口〔這需要路由器支持802.1Q協(xié)議，如果不支持，可以通過升級軟件版本解決〕，另外一些地市采用的設備是NBII，由于沒有空閑端口，也不能支持BGP，就用另外的三層交換機作為CE，這樣需要調整本地的網絡，使三層交換機作為本地出口。每一地市路由器通過POS鏈路雙歸屬方式接入到省核心層。3.2IP地址規(guī)劃說明：該節(jié)討論IP地址的規(guī)劃。MPLS-VPN網絡中，IP地址的劃分主要分為“公網〞和“私網〞兩個局部。“公網〞IP地址主要包括PE-PE設備互聯(lián)地址、各設備管理地址。對于設備互聯(lián)地址沒有特殊的要求，一般是整個地址空間在同一個“大〞的網段中獲取，并且要為今后網絡的擴大留有余地?；ヂ?lián)的廣域網接口盡量采用30位掩碼的網段，互聯(lián)的Ethernet接口地址，可以采用29位掩碼的網段，這樣在今后應用HSRP或者VRRP的時候有足夠的地址可以使用。“私網〞IP地址指PE-CE設備互聯(lián)地址、CE下帶的VPN用戶的地址。分配根據不同的應用有不同的原那么，一般可以分為兩類：網絡為ISP所有，為不同的集團用戶提供地域間的企業(yè)網互連；網絡為集團用戶所有，為本集團內各個不同業(yè)務提供不同的私網。對于網絡為ISP所有的情況。各個VPN物理設備之間是完全隔離的，同一個PE所連接的不同CE內部，網絡不會有交織，針對這種應用，IP地址采用按照地域分配的方案對工程實施比較有利。采用按照地域分配IP地址的方案，在PE上每個VPN的路由信息可以聚合成簡單的一條或幾條，這樣整個公網上的路由條目較少。采用這樣的方案無論對設備本身還是網絡的維護管理都有較大的益處。首先，設備的負荷較小，可以保證長期穩(wěn)定運行；其次，路由條目較少，維護人員可以方便的控制，并且每一個比較規(guī)整的網段對應一個固定的地域，一旦出現問題，對于縮小問題范圍有很大的益處。對于網絡為集團用戶所有的情況。一些規(guī)模比較大的集團用戶，為了方便管理，將企業(yè)內部的多個業(yè)務劃分開。對于這種客戶，在網絡會聚層〔一般位于地市一級的節(jié)點〕以上應用MPLS，會聚層以下應用傳統(tǒng)的路由轉發(fā)。針對這種情況，比較好的IP地址規(guī)劃就是在地市一級按照業(yè)務來劃分IP，首先將IP地址根據業(yè)務進展劃分，再對于某種業(yè)務在地市以下的節(jié)點再進展更細致的劃分。通過這樣的IP地址規(guī)劃，在接入層應用MPLS的時候，每個業(yè)務相關的路由信息可以聚合成簡單的幾條，甚至是一條，而且各業(yè)務之間路由信息沒有交集。這樣的路由信息在骨干層傳播路由條目較少，局部的路由動亂不會引起骨干層的路由動亂，網絡信息比較穩(wěn)定，如果出現問題可以迅速的定位到是哪個業(yè)務網絡的問題。更大的優(yōu)點還是表現在新業(yè)務的擴大上，只要每個新增加的業(yè)務IP地址都依據這樣的原那么來規(guī)劃，那么與原有業(yè)務的IP網段可以是完全隔離的，不會對原有的路由信息產生任何影響，為網絡的維護帶來很大的方便。對于本次工程來說，需要新增的IP地址是PE/CE的管理地址、PE-PE互連地址、PE-CE互連地址。用途IP地址段PE/CE的管理地址172.168.253.0/24PE-PE互連地址172.168.252.0/24PE-CE互連地址(計費)172.168.251.0/24PE-CE互連地址(OA網絡)172.168.250.0/24PE-CE互連地址(168業(yè)務)172.168.249.0/24PE-CE互連地址(網管)172.168.248.0/243.2.1PE的管理地址〔Loopback地址〕給各地市的PE路由器分配一個Loopback地址，該地址可作為OSPF的RouterID，并作為telnet管理或ping測試的目的地址。整網分配172.168.253.0/24的網段的作為各地市的loopback地址，未使用的保存。各地市PE設備的Loopback地址分配如下：A市NE16： 172.168.253.1A市Cisco75：172.168.253.2B市： 172.168.253.3C市： 172.168.253.4D市： 172.168.253.5E市： 172.168.253.6F市： 172.168.253.7G市： 172.168.253.8H市： 172.168.253.9I市： 172.168.253.103.2.2S3526/S3026的管理地址省公司S3526-1： 172.168.253.31省公司S3526-2： 172.168.253.32省公司S3526-3： 172.168.253.33省公司S3526-4： 172.168.253.34省公司S3526-5： 172.168.253.35A市： 管理Vlan ：50 NE16E接口〔網關〕 ：172.168.253.129/29 S3025-1 ：172.168.253.130/29 S3025-2 ：172.168.253.131/29B市： 管理Vlan ：50 NE16E接口〔網關〕 ：172.168.253.137/29 S3025-1 ：172.168.253.138/29 S3025-2 ：172.168.253.139/29C市： 管理Vlan ：50 NE16E接口〔網關〕 ：172.168.253.145/29 S3025-1 ：172.168.253.146/29 S3025-2 ：172.168.253.147/29D市： 管理Vlan ：50 NE16E接口〔網關〕 ：172.168.253.153/29 S3025-1 ：172.168.253.154/29 S3025-2 ：172.168.253.155/29E市： 管理Vlan ：50 NE16E接口〔網關〕 ：172.168.253.161/29 S3025-1 ：172.168.253.162/29 S3025-2 ：172.168.253.163/29F市： 管理Vlan ：50 NE16E接口〔網關〕 ：172.168.253.169/29 S3025-1 ：172.168.253.170/29 S3025-2 ：172.168.253.171/29G市： 管理Vlan ：50 NE16E接口〔網關〕 ：172.168.253.177/29 S3025-1 ：172.168.253.178/29 S3025-2 ：172.168.253.179/29H市： 管理Vlan ：50 NE16E接口〔網關〕 ：172.168.253.185/29 S3025-1 ：172.168.253.181/29 S3025-2 ：172.168.253.182/29I市： 管理Vlan ：50 NE16E接口〔網關〕 ：172.168.253.193/29 S3025-1 ：172.168.253.194/29 S3025-2 ：172.168.253.195/293.2.3PE-PE的互連地址A市的NE16和Cisco75作為DCN網絡的會聚節(jié)點，各地市通過兩條POS鏈路分別接入到NE16和Cisco75。各地市PE間互連接口IP分配：A市NE16 － A市Cisco75 172.168.252.253/30－ 172.168.252.254/30A市NE16 － B市172.168.252.1/30－ 172.168.252.2/30A市Cisco75－ B市172.168.252.5/30－ 172.168.252.6/30A市NE16 － E市172.168.252.9/30－ 172.168.252.10/30A市Cisco75－ E市172.168.252.13/30－ 172.168.252.14/30A市NE16 － C市172.168.252.17/30－ 172.168.252.18/30A市Cisco75－ C市172.168.252.21/30－ 172.168.252.22/30A市NE16 － F市172.168.252.25/30－ 172.168.252.26/30A市Cisco75－ F市172.168.252.29/30－ 172.168.252.30/30A市NE16 － G市172.168.252.33/30－ 172.168.252.34/30A市Cisco75－ G市172.168.252.37/30－ 172.168.252.38/30A市NE16 － D市172.168.252.41/30－ 172.168.252.42/30A市Cisco75－ D市172.168.252.45/30－ 172.168.252.46/30A市NE16 － H市172.168.252.49/30－ 172.168.252.50/30A市Cisco75－ H市172.168.252.53/30－ 172.168.252.54/30A市NE16 － I市172.168.252.57/30－ 172.168.252.58/30A市Cisco75－ I市172.168.252.61/30－ 172.168.252.62/303.2.4PE-CE的互連地址〔計費〕本次工程初期規(guī)劃有四種VPN業(yè)務：168、OA、計費、網管，給每種VPN業(yè)務分配一個C網段，作為各地市相應業(yè)務的CE設備與PE的互連接口地址，如果有其他的VPN業(yè)務，那么再劃分新的IP網段即可。本次工程有9個節(jié)點，因此每種業(yè)務占用了本C網段192個IP地址，其中，一個地市占用16個IP地址。地址分配方案如下：省公司〔NE16〕172.168.251.1/28〔PE側地址〕〔CISCO〕172.168.251.17/28A市 〔NE16〕 172.168.251.33/28〔CISCO〕172.168.251.49/28B市172.168.251.65/28E市172.168.251.81/28C市172.168.251.97/28F市172.168.251.113/28G市172.168.251.129/28D市172.168.251.145/28H市172.168.251.161/28I市172.168.251.177/283.2.5PE-CE的互連地址〔OA〕省公司 (NE16)172.168.250.1/28〔PE側地址〕〔CISCO〕172.168.250.17/28A市 〔NE16〕 172.168.250.33/28〔CISCO〕172.168.250.49/28B市172.168.250.65/28E市172.168.250.81/28C市172.168.250.97/28F市172.168.250.113/28G市172.168.250.129/28D市172.168.250.145/28H市172.168.250.161/28I市172.168.250.177/283.2.6PE-CE的互連地址〔168〕省公司 (NE16)172.168.249.1/28〔PE側地址〕〔CISCO〕172.168.249.17/28A市(NE16)172.168.249.33/28(CISCO) 172.168.249.49/28B市172.168.249.65/28E市172.168.249.81/28C市172.168.249.97/28F市172.168.249.113/28G市172.168.249.129/28D市172.168.249.145/28H市172.168.249.161/28I市172.168.249.177/283.2.7PE-CE的互連地址〔網管〕省公司 (NE16)172.168.248.1/28(PE側地址)〔CISCO〕172.168.248.17/28A市(NE16)172.168.248.33/28〔CISCO〕172.168.248.49/28B市172.168.248.65/28E市172.168.248.81/28C市172.168.248.97/28F市172.168.248.113/28G市172.168.248.129/28D市172.168.248.145/28H市172.168.248.161/28I市172.168.248.177/283.3路由協(xié)議說明：路由協(xié)議的應用，在MPLS-VPN的網絡中分為三個層面：骨干層MPLS域、PE與CE互聯(lián)、CE以下內部網絡。對于CE以下內部網絡的協(xié)議類型完全由VPN用戶自己決定，我們關心的主要局部是骨干層MPLS域應用的路由協(xié)議和PE與CE互聯(lián)時使用的路由協(xié)議。對于骨干層MPLS域，需要某種IGP協(xié)議與MBGP結合應用，其中MBGP主要完成私網路由標簽分配、各私網路由在“公網〞傳遞等作用，沒有其他的協(xié)議可以替代。各地市CE之間的VPN路由的傳遞、VPN路由標簽的分發(fā)，都是通過骨干區(qū)域MP-BGP協(xié)議的擴展屬性實現的。對于IGP協(xié)議，他的主要作用就是保證MBGP鄰居之間的可達性，我們建議采用OSPF，因為OSPF的適應性好，功能完善，當核心層設備在20臺以內的時候，我們建議只運行一個骨干域“0〞，這樣網絡規(guī)劃簡單、維護方便，并且有利于今后骨干層網絡的擴展。對于PE與CE互聯(lián)，可以采用的路由協(xié)議有靜態(tài)路由、RIP和BGP等多種路由協(xié)議。具體使用那種路由協(xié)議要根據情況而定，如當CE以下的網絡構造比較復雜，路由條目較多的時候，PE和CE之間需要運行BGP協(xié)議，當然應用這種方案對CE的要求也是比較高的。對于PE與CE之間的路由協(xié)議類型最普遍應用的就是靜態(tài)路由，只要準循上面提到的IP地址分配原那么，各地的路由都可以會聚成一條或者數目較少的幾條，這時應用靜態(tài)路由是最簡單、最高效的，而且網絡的維護非常方便。綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層MBGP＋OSPF、PE與CE互聯(lián)采用靜態(tài)路由。這樣對整個網絡中的設備要求不是太高，并且很好的實現了MPLS-VPN。3.3.1BGP協(xié)議規(guī)劃1、AS號按照省公司的統(tǒng)一規(guī)劃，全省的AS號為64600。路由反射器J省DCN網絡采用雙星型構造，10臺路由器運行在同一個BGP的AS中，按照BGP協(xié)議的要求，所有這些路由器必須保證是全連通的，即：任意兩臺路由器之間都必須配置鄰居關系。這樣會導致N平方問題，為了解決這個問題，必須使用BGP反射器技術。A市的NE16和CISCO75都作為反射器，其他地市的路由器分別作為這兩個反射器的客戶機。3、路由的引入在各地市的PE設備上，BGP的vpnv4地址族中，不需要引入其他路由協(xié)議；BGP的IPV4地址族中，通過redistribute命令引入本VPN的直連和靜態(tài)路由。3.3.2IGP協(xié)議規(guī)劃DCN網在MPLS骨干區(qū)域內的IGP采用動態(tài)的、基于鏈路狀態(tài)的OSPF協(xié)議。區(qū)域的劃分各PE路由器只在內部互聯(lián)端口運行OSPF，使用一個Area0進展路由交換。為防止路由環(huán)路，在PE上不通過OSPF發(fā)布缺省路由。路由的引入在各地市的PE設備上，通過Network命令將PE設備的loopback地址和互連端口地址引入到OSPF協(xié)議中去。為了便于控制路由的規(guī)模，不采用redistribute命令引入靜態(tài)或其他協(xié)議的路由。3、定義花費〔Cost值〕出于鏈路備份和負荷分擔的考慮，將OSPF鏈路的Cost值定義如下:A市NE16與Cisco75之間的FE接口的兩端的cost等于10；各地市間的POS鏈路都設為cost等于20。3.3.3靜態(tài)路由規(guī)劃各業(yè)務PE和CE之間運行靜態(tài)路由。在PE上配置網段為本地，下一跳指向CE的靜態(tài)路由，然后引入到MP-BGP中，發(fā)布到其他地市；同時，在CE上配置目的網段為其他地市，下一跳為PE的靜態(tài)路由。并在網管的CE設備上配置一條指向PE的靜態(tài)缺省路由。3.4MPLSVPN規(guī)劃說明：本節(jié)主要規(guī)劃MPLSVPN的VRF、RD、route-target屬性，它決定了MPLSVPN網絡業(yè)務之間的隔離和互訪。3.4.1VRF規(guī)那么OA業(yè)務 ：DCN_OA網管業(yè)務 ：DCN_wangguan168業(yè)務 ：DCN_168計費業(yè)務：DCN_jifei3.4.2RD規(guī)那么使用16bits：32bits格式，分配規(guī)那么為『AS號：VPN類別』。其中AS號統(tǒng)一使用骨干AS的64600OA業(yè)務 ：64600:10網管業(yè)務 ：64600:20計費業(yè)務：64600:30168業(yè)務 ：64600:403.4.3Route-Target規(guī)那么通過配置VRF〔路由轉發(fā)實例〕的target屬性，可以實現不同業(yè)務的VPN。不同路由器通過target相關聯(lián)而組成可以互相訪問的集合，由于只有他們內部可以互訪，所以我們稱之為VPN，配置里并沒有專門的VPN的定義。也就是說，VPN的成員關系是通過路由所攜帶的routetarget屬性來獲得的。不同CE通過PE配置的VRF里的Target實現互訪與隔離，從而組成不同的VPN。使用16bits：32bits格式，分配規(guī)那么為『AS號：VPN類別』。其中AS號統(tǒng)一使用骨干AS的64600，route-target的export和import是一致的。OA業(yè)務 ：64600:10網管業(yè)務 ：64600:20計費業(yè)務：64600:30168業(yè)務 ：64600:403.5設備命名和描述規(guī)那么說明：命名和描述雖然不影響設備的正常運行，但只有準確、標準的命名和描述，才能保證今后設備的可管理，可維護。3.5.1設備命名規(guī)那么采用以下命名方法：XY_AB_DCN其中，XY表示城市的名稱，AB表示設備類型，且字母大寫。例：BEIJING_NE16_DCN3.5.2接口描述命名規(guī)那么正在使用的接口應該配置接口描述，分為兩種接口：PE-PE互聯(lián)接口例：descriptionTOBEIJING-NE16-POS其中，BEIJING是對端地市，NE16是設備類型，POS是鏈路類型。PE-CE互聯(lián)接口例：descriptionTOQUANZHOU-168其中，BEIJING是本地的地市，168是業(yè)務的名稱。3.6網絡的備份和流量分擔說明：本節(jié)討論網絡的備份和分擔的機制。保證網絡運行的可靠和冗余。3.6.1網絡的備份網絡備份可以同時通過兩種方式實現：1、通過合理的網絡方案設計，實現物理鏈路與物理設備的備份。本次工程中，中心的兩臺會聚節(jié)點是主備和負荷分擔的，在正常工作的情況下，共同分擔整個網絡的流量，當其中一個失效后，另外一臺設備能夠承擔起所有的流量，保證業(yè)務的正常運行；各地市到中心節(jié)點的兩條廣域網鏈路也是主備的，在主用鏈路中斷的情況下，業(yè)務可以通過備用鏈路傳輸。2、應用動態(tài)路由協(xié)議，做到網絡的自動備份。OSPF和BGP協(xié)議，均可以自動地發(fā)現兩個網絡節(jié)點之間的迂回路由，并在主用路由不可用時而自動使用備份鏈路。并且可以通過在路由器上參加策略，控制數據的流向。3.6.2流量的分擔1、A市的會聚節(jié)點NE16有兩個POS接口，兩個POS接口實現負荷分擔，第一個POS接口接入B市、F市、H市、I市；第二個POS接口接入H市、D市、C市、E市。2、每個地市到中心節(jié)點都由兩條主備鏈路，因此，可以通過設置不同的Cost值，實現局部地市節(jié)點的主鏈路會聚到NE16，而另外的節(jié)點的主鏈路會聚到Cisco7513，從而到達負荷分擔的目的，防止網絡流量不均衡。具體的流量分配是：B市、F市、G市、I市的主鏈路會聚到NE16，備鏈路會聚到Cisco7513；H市、D市、C市、E市的主鏈路會聚到Cisco7513，備鏈路會聚到NE16。由于目前Cisco7513暫時不能到位，所以H市、D市、C市、E市的備鏈路會生效，流量都會聚到NE16。3.7網絡的管理說明：網管是網絡的重要組成局部。華為公司提供全面的、功能強大的、便于操作的網管系列軟件，各功能模塊既可以單獨使用，也可以作為組件形成一個綜合的網管系統(tǒng)。方便靈活的實現對網絡設備的管理。網管所在端口不能劃入任何一個VPN里，這樣才能對全網MPLS的VPN進展管理。所以連接MPLS網管的終端單獨提供接入端口，不劃入VPN業(yè)務端口。本次方案采取集中網管的方式，在省公司設置網管中心，集中監(jiān)控全省其他地市的網絡設備。網管系統(tǒng)的硬件采用SUN工作站，軟件采用華為公司的iManagerN2000綜合網管，iManagerN200綜合網管系統(tǒng)使用了模塊化、組件化的設計方法，可以方便靈活的實現對網絡設備的管理。iManagerN2000綜合網管的系統(tǒng)功能主要有：1、拓撲管理方便的增刪業(yè)務節(jié)點，節(jié)點和鏈路的顏色反映了設備的運行狀