1、#*MPLS BGP VPN 技术方案模板华 为 技 术 有 限 公 司2003 年 2 月#*目 录前言 .1第 1 章 概述 .21.1 MPLS VPN 简介 .21.2 网络概述 .3第 2 章 原有网络分析 .42.1 信息采集 .42.1.1 网络信息 .42.1.2 用户需求 .42.2 组网分析 .42.3 综述 .6第 3 章 MPLS-VPN 解决方案 .83.1 组网 .83.2 IP 地址规划 .93.2.1 PE 的管理地址(Loopback 地址) .103.2.2 S3526/S3026 的管理地址 .113.2.3 PE-PE 的互连地址 .123.2.4 PE
2、-CE 的互连地址(计费) .133.2.5 PE-CE 的互连地址(OA) .143.2.6 PE-CE 的互连地址(168) .143.2.7 PE-CE 的互连地址(网管) .153.3 路由协议 .153.3.1 BGP 协议规划 .163.3.2 IGP 协议规划 .163.3.3 静态路由规划 .173.4 MPLS VPN 规划 .173.4.1 VRF 规则 .173.4.2 RD 规则 .173.4.3 Route-Target 规则 .183.5 设备命名和描述规则 .183.5.1 设备命名规则 .183.5.2 接口描述命名规则 .183.6 网络的备份和流量分担 .1
3、93.6.1 网络的备份 .19#*3.6.2 流量的分担 .193.7 网络的管理 .203.8 网络的安全 .21第 4 章 设备配置 .224.1 硬件配置清单 .224.2 软件配置清单 .22第 5 章 测试和验收 .24#*前言本方案模板的目的,是给 MPLS VPN 技术方案的制定提供一个模板,作为一个借鉴,一个引导,分章节论述制定一个 MPLS VPN 技术方案需要考虑的各个方面。由于 MPLS VPN 技术方案和业务联系紧密,为了更好的对方案的各部分作充分的阐述,本文用了一个实际方案作为例子,在每章节说明的后面,就是具体方案的描述,描述的内容可以作为制定其他 MPL VPN
4、方案的参考,但具体的细节还需根据实际网络的情况作相应的调整。#*第 1 章 概述 说明:该章主要介绍 MPLS VPN 技术和网络的概况,给人以整体的印象,作为技术方案的开篇,引申出后续的方案的细节。 1.1 MPLS VPN 简介 说明:该节主要用简洁、易懂的文字,对技术方案所依托的 MPLS VPN 技术作简单介绍。随着社会的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况也使传统企业网络的功能缺陷越来越凸现:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是用户对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。
5、在这样的背景下,基于 MPLS 技术平台实现的 MPLS VPN,以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。MPLS 是多协议标签交换协议的简称。MPLS VPN 网络中,有三种设备:CE、PE 和 P 路由器,CE 是用户直接与服务提供商相连的边缘设备,可以是路由器、交换机或者终端;PE 是骨干网中的边缘设备,它直接与用户的CE 相连;P 路由器是骨干网中不与 CE 直接相连的设备。P 路由器并也不知道有 VPN 的存在,仅仅负责骨干网内部的数据传输,但其必须能够支持MPLS 协议,并使能该协议;PE 位于服务提供
6、商网络的边缘,所有的 VPN的构建、连接和管理工作都是在 PE 上进行的。采用 MPLS VPN 技术可以把物理上单一的 IP 网络分解成逻辑上隔离的网络,并且每个 VPN 单独构成一个独立的地址空间,即 VPN 之间可以重用地址,在分配地址时不必考虑是否会与其他的 VPN 发生冲突,只需要考虑在本VPN 之内不冲突即可,这样可以解决 IP 网络地址不足的问题,也方便网络的扩展和变更。MPLS VPN 的网络构造由服务提供商来完成。在这种网络构造中,由服务提供商向用户提供 VPN 服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。#*为了实现 MPLS VPN 功能,除了新建网络
7、之外,更多的需求是在已有的传统 IP 网络上实现 MPLS VPN 的功能。这样,既保护了原有网络投资,又适应了企业用户的新的需求,实现业务的增值。本次工程就是在已有网络上进行改造,实现 MPLS VPN 功能。1.2 网络概述 说明:该节简单的介绍网络的概况,业务运行的情况,以及存在的问题,然后描述采用 MPLS VPN 实现用户需求的优点。J 省原有三个业务网络:运营、计费和网管,这三种业务在地市和省之间的广域网的范围内,物理设备和运行的路由协议都是相互分离的,这样给全网的统一管理和维护带来了相当的不便,并且某些旧有的设备和广域网带宽已经不能满足当前的业务发展的需求,因此有必要建设一个统一
8、的、高效的、可运营、可维护的数据网络。在原有网络中,每个地市的运营、计费和网管共用一个或两个 B 网段。运营和计费的上行到省公司的路由设备共用或者分别在两台出口路由器上;网管是单独的出口路由器。在各地市间的骨干网络上,运营网配置的是静态路由;计费网络运行的是 EIGRP 动态路由协议;网管网络运行的是 OSPF 协议,本地网的 OSPF 与计费的 EIGRP 之间没有相互引入,本地网的 OSPF 也没有引入静态路由。本次 DCN 工程采用 MPLS VPN 的方案,在同一物理拓扑的基础上,MPLS VPN能够按照用户需求实现多种业务的隔离,并且管理和控制 VPN 的业务,只是在数据上作相应的配
9、置,物理设备和链路都不用作改动,这样为各种 VPN 业务的管理和维护提供了很大的方便,所以 MPLS VPN 具有很好的业务扩展性。#*第 2 章 原有网络分析 说明:实施 MPLS VPN 的前提,就是对原有网络进行全面准确的调研和分析,收集实际运行的网络信息。然后在此基础上给出网络的建设建议 。2.1 信息采集 说明:该节对客户原有网络信息和用户的需求进行采集,作为方案规划和实施的基础。2.1.1 网络信息在实际工程中,需要采集的网络信息包括:组网图、数据配置、IP 网段规划、业务流向、路由协议、业务间互访和隔离的需求等。(详细的信息这里省略,可以根据实际情况,写在技术方案中或者作为技术方
10、案的附件附后。)2.1.2 用户需求在 J 省全省范围内,目前主要有网管、计费、OA、168 业务。基本原则是:各业务之间是隔离的;每种业务在全省各地市之间是能够互相访问的;省公司的各种业务还有访问国家骨干的需求。特别的:省公司的网管业务能够访问其他地市的各种业务。2.2 组网分析 说明:用户的原有网络结构一般会有两种:一种是将所有的业务承载在一个网络上,通过 GRE、IPSEC 等技术建立隧道来隔离不同的业务,或者根本不作隔离;#*另一种是对于每种业务单独建设一个网络;如在运营商的 DCN 网络中,为计费,运营,网管各建一个网络。 对第一种情况,附一个总的组网图即可;而对第二种需要对每种业务
11、附一个组网图,再对原有网络的整体情况,用途,所承载的业务类型分别进行分析。本方案就是第二种情况。下面对 J 省的运营和网管组网进行分析:原运营网络组网分析 鳐u 鳐u 鳐u 鳐u 鳐u 鳐u 鳐 鳴 鳴 鳐u u1、设备:各地设备的型号比较统一,Cisco 的 72 或者 75 系列的路由器,部分路由器能提供空闲的以太网口,能够支持 BGP ,不能提供空闲以太网口的路由器需要支持 802.1Q,如果不支持,可以通过升级软件版本解决该问题。2、链路:广域网链路是 E1 线路,带宽为 2M。3、路由协议:骨干网络运行的是静态路由,A 市路由器 Cisco75 为省中心,上面配置指向分配给各地市和省
12、公司路由器的精确的 C 网段(或更明细)的静态路由,下一跳指向相应的路由器的下一跳,而在各地市路由器上配置指向省公司的精确的 C 网段(或更明细)的静态路由,下一跳指向 Cisco 75。4、业务的流向:纵向流,即各地市与省局之间的数据交互。原网管网络组网分析#* u 鳐 鳐u 鳐u 鳐u 鳐 鳐u 鳐 鳐u 鳴 鳐u u 乃 乃 呅 d呅 鲩d呅 鲩d 鳴 鳴 鳴 1、 设备:由于省公司的 NetBuilder 的端口不够了,另外配置了两台 Cisco 2621 路由器,分别接入 E 市、C 市和 B 市网管 1,省公司的这三台路由器再通过 Lanswitch 4003 连通,然后通过 Ne
13、tBuilder 作为统一的出口。2、链路:广域网链路是 E1 线路,带宽为 2M,特殊的, C 市作了链路捆绑。综合多方面考虑,并针对网络的实际情况,我们建议采用方案 3。3、路由协议:原网管网的骨干网络运行的是 OSPF 协议, AREA 为 0,在各地市的本地网络,有些是静态路由,有些也运行 OSPF ,AREA 不为 0,但没有聚合区域间路由。这里我们建议各地市向 Area 0 发布路由的时候进行聚合,聚合成本地网管正在使用的几个 C 网段(也不应该聚合成包含计费、运营的 B 网段),利于管理和控制。4、业务流向:主要以纵向流为主,即各地市与省局之间的数据交互。2.3 综述 说明:该节
14、根据客户网络结构以及采集的数据对网络现状和问题进行分析,得出结论。并提出我们的解决方案。对于每种业务单独建立一个网络这种情况,存在以下弊病:由于是每种业务都建立一个网络,网络设备的重复投入,而且在新上一种业务的时候都要新建一套网络,工程量比较大。而且如果存在某些设备是多个业务共用的设备时,业务间的隔离和互访实现起来也不方便。对于将各个业务使用同一个网络这种情况,存在以下弊病:#*各个业务使用同一个网络,如果各个业务之间不进行隔离,那么存在安全隐患,如果使用 GRE、IPSEC 等隧道技术来进行隔离的话,由于这些隧道技术都是点对点的,因此节点比较多的时候,要配置较多的隧道,在新增一个点的时候,需
15、要修改所有配置了隧道的路由器的配置。而 MPLS VPN 方案能很好的实现用户的需求,提升网络的性能,满足用户业务扩展和易于管理的要求。由于所有的 VPN 数据只是在 PE 上作相应的配置,控制也是在 PE 上实现的,所以对原有网络的影响很小,这样能最大限度的减小对原来的各种业务的影响。增加了 PE 设备以后,每个地市的 CE 设备就通过本地的 PE 设备与省公司或者其他地市相连了,而原有的网络作为 DCN 网络的备份网络,当 DCN 网络出现问题时,可以切换到旧有网络上,保证业务的正常运行。要做到各地市的 VPN 业务的分离,每种 VPN 业务必须采用独立的逻辑端口与 PE 设备相连,端口上向 PE 发布的也是本业务所占用的网段,而不应该是本地所有 VPN 业务的总的 B 网段。针对实际的情况,我们采用业务逐步分离的方案。如果某些地市能做到业务网段的分离,就为每个 VPN 业务提供独立的逻辑端口,并只发布本业务的网段,采用 N 个业务 N 个 VPN 的方案;其他地市短期内还做不到业务网段的分离,那么就采用暂时只有一个VPN 的方案,当这些地市的网段做到分离的时候,再将这些地市调整成多个VPN 就可以了。这样,网段分离的地市能够做到业务分离,而暂时不能分离的地市只是本地业务不能分离,不会影响到其他的城市。
