技術(shù)方案模板華為

MPLSBGPVPN技術(shù)方案模板華為技術(shù)有限公司2003年2月目錄TOC\o"1-5"\h\z前言 1\o"CurrentDocument"第1章概述 2\o"CurrentDocument"MPLSVPN簡介 2\o"CurrentDocument"網(wǎng)絡(luò)概述 3\o"CurrentDocument"第2章原有網(wǎng)絡(luò)分析 4\o"CurrentDocument"2.1信息采集 4\o"CurrentDocument"2.1.1網(wǎng)絡(luò)信息 4\o"CurrentDocument"2.1.2用戶需求 4\o"CurrentDocument"2.2組網(wǎng)分析 5\o"CurrentDocument"2.3綜述 7\o"CurrentDocument"第3章MPLS-VPN解決方案 8\o"CurrentDocument"組網(wǎng) 8\o"CurrentDocument"IP地址規(guī)劃 10\o"CurrentDocument"PE的管理地址（Loopback地址） 11\o"CurrentDocument"S3526/S3026的管理地址 11\o"CurrentDocument"PE-PE的互連地址 13\o"CurrentDocument"PE-CE的互連地址（計(jì)費(fèi)） 14\o"CurrentDocument"PE-CE的互連地址（0A） 14\o"CurrentDocument"PE-CE的互連地址（168） 15\o"CurrentDocument"PE-CE的互連地址（網(wǎng)管） 15\o"CurrentDocument"路由協(xié)議 16\o"CurrentDocument"BGP協(xié)議規(guī)劃 16\o"CurrentDocument"IGP協(xié)議規(guī)劃 17\o"CurrentDocument"靜態(tài)路由規(guī)劃 17\o"CurrentDocument"MPLSVPN規(guī)劃 18\o"CurrentDocument"VRF規(guī)貝U 18\o"CurrentDocument"RD規(guī)則 18\o"CurrentDocument"Route-Target規(guī)貝U 18\o"CurrentDocument"設(shè)備命名和描述規(guī)貝 19設(shè)備命名規(guī)貝 19接口描述命名規(guī)貝 19\o"CurrentDocument"網(wǎng)絡(luò)的備份和流量分擔(dān) 19\o"CurrentDocument"3.6.1網(wǎng)絡(luò)的備份 20\o"CurrentDocument"3.6.2流量的分擔(dān) 20\o"CurrentDocument"3.7網(wǎng)絡(luò)的管理 20\o"CurrentDocument"3.8網(wǎng)絡(luò)的安全 22\o"CurrentDocument"第4章設(shè)備配置 23\o"CurrentDocument"4.1硬件配置清單 23\o"CurrentDocument"4.2軟件配置清單 23\o"CurrentDocument"第5章測試和驗(yàn)收 25本方案模板的目的，是給MPLSVPN技術(shù)方案的制定提供一個(gè)模板，作為一個(gè)借鑒，一個(gè)引導(dǎo)，分章節(jié)論述制定一個(gè)MPLSVPN技術(shù)方案需要考慮的各個(gè)方面。由于MPLSVPN技術(shù)方案和業(yè)務(wù)聯(lián)系緊密，為了更好的對(duì)方案的各部分作充分的闡述，本文用了一個(gè)實(shí)際方案作為例子，在每章節(jié)說明的后面，就是具體方案的描述，描述的內(nèi)容可以作為制定其他MPLVPN方案的參考，但具體的細(xì)節(jié)還需根據(jù)實(shí)際網(wǎng)絡(luò)的情況作相應(yīng)的調(diào)整。第1章概述EQ說明：該章主要介紹MPLSVPN技術(shù)和網(wǎng)絡(luò)的概況，給人以整體的印象，作為技術(shù)方案的開篇，引申出后續(xù)的方案的細(xì)節(jié)。1.1MPLSVPN簡介EQ說明：該節(jié)主要用簡潔、易懂的文字，對(duì)技術(shù)方案所依托的MPLSVPN技術(shù)作簡單介紹。隨著社會(huì)的發(fā)展，企業(yè)日益擴(kuò)張，客戶分布日益廣泛，合作伙伴日益增多，這種情況也使傳統(tǒng)企業(yè)網(wǎng)絡(luò)的功能缺陷越來越凸現(xiàn)：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點(diǎn)的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是用戶對(duì)于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下，基于MPLS技術(shù)平臺(tái)實(shí)現(xiàn)的MPLSVPN,以其獨(dú)具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn)。MPLS是多協(xié)議標(biāo)簽交換協(xié)議的簡稱。MPLSVPN網(wǎng)絡(luò)中，有三種設(shè)備：CE、PE和P路由器，CE是用戶直接與服務(wù)提供商相連的邊緣設(shè)備，可以是路由器、交換機(jī)或者終端；PE是骨干網(wǎng)中的邊緣設(shè)備，它直接與用戶的CE相連;P路由器是骨干網(wǎng)中不與CE直接相連的設(shè)備。P路由器并也不知道有VPN的存在，僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸，但其必須能夠支持MPLS協(xié)議，并使能該協(xié)議；PE位于服務(wù)提供商網(wǎng)絡(luò)的邊緣，所有的VPN的構(gòu)建、連接和管理工作都是在PE上進(jìn)行的。采用MPLSVPN技術(shù)可以把物理上單一的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò),并且每個(gè)VPN單獨(dú)構(gòu)成一個(gè)獨(dú)立的地址空間，即VPN之間可以重用地址，在分配地址時(shí)不必考慮是否會(huì)與其他的VPN發(fā)生沖突，只需要考慮在本VPN之內(nèi)不沖突即可，這樣可以解決IP網(wǎng)絡(luò)地址不足的問題，也方便網(wǎng)絡(luò)的擴(kuò)展和變更。MPLSVPN的網(wǎng)絡(luò)構(gòu)造由服務(wù)提供商來完成。在這種網(wǎng)絡(luò)構(gòu)造中，由服務(wù)提供商向用戶提供VPN服務(wù)，用戶感覺不到公共網(wǎng)絡(luò)的存在，就好像擁有獨(dú)立的網(wǎng)絡(luò)資源一樣。為了實(shí)現(xiàn)MPLSVPN功能，除了新建網(wǎng)絡(luò)之外，更多的需求是在已有的傳統(tǒng)IP網(wǎng)絡(luò)上實(shí)現(xiàn)MPLSVPN的功能。這樣，既保護(hù)了原有網(wǎng)絡(luò)投資，又適應(yīng)了企業(yè)用戶的新的需求，實(shí)現(xiàn)業(yè)務(wù)的增值。本次工程就是在已有網(wǎng)絡(luò)上進(jìn)行改造，實(shí)現(xiàn)MPLSVPN功能。1.2網(wǎng)絡(luò)概述EQ說明：該節(jié)簡單的介紹網(wǎng)絡(luò)的概況，業(yè)務(wù)運(yùn)行的情況，以及存在的問題，然后描述采用MPLSVPN實(shí)現(xiàn)用戶需求的優(yōu)點(diǎn)。J省原有三個(gè)業(yè)務(wù)網(wǎng)絡(luò)：運(yùn)營、計(jì)費(fèi)和網(wǎng)管，這三種業(yè)務(wù)在地市和省之間的廣域網(wǎng)的范圍內(nèi)，物理設(shè)備和運(yùn)行的路由協(xié)議都是相互分離的，這樣給全網(wǎng)的統(tǒng)一管理和維護(hù)帶來了相當(dāng)?shù)牟槐?，并且某些舊有的設(shè)備和廣域網(wǎng)帶寬已經(jīng)不能滿足當(dāng)前的業(yè)務(wù)發(fā)展的需求，因此有必要建設(shè)一個(gè)統(tǒng)一的、高效的、可運(yùn)營、可維護(hù)的數(shù)據(jù)網(wǎng)絡(luò)。在原有網(wǎng)絡(luò)中，每個(gè)地市的運(yùn)營、計(jì)費(fèi)和網(wǎng)管共用一個(gè)或兩個(gè)B網(wǎng)段。運(yùn)營和計(jì)費(fèi)的上行到省公司的路由設(shè)備共用或者分別在兩臺(tái)出口路由器上；網(wǎng)管是單獨(dú)的出口路由器。在各地市間的骨干網(wǎng)絡(luò)上，運(yùn)營網(wǎng)配置的是靜態(tài)路由；計(jì)費(fèi)網(wǎng)絡(luò)運(yùn)行的是EIGRP動(dòng)態(tài)路由協(xié)議；網(wǎng)管網(wǎng)絡(luò)運(yùn)行的是OSPF協(xié)議，本地網(wǎng)的OSPF與計(jì)費(fèi)的EIGRP之間沒有相互引入，本地網(wǎng)的OSPF也沒有引入靜態(tài)路由。本次DCN工程采用MPLSVPN的方案，在同一物理拓?fù)涞幕A(chǔ)上，MPLSVPN能夠按照用戶需求實(shí)現(xiàn)多種業(yè)務(wù)的隔離，并且管理和控制VPN的業(yè)務(wù)，只是在數(shù)據(jù)上作相應(yīng)的配置，物理設(shè)備和鏈路都不用作改動(dòng)，這樣為各種VPN業(yè)務(wù)的管理和維護(hù)提供了很大的方便，所以MPLSVPN具有很好的業(yè)務(wù)擴(kuò)展性。第2章原有網(wǎng)絡(luò)分析EQ說明：實(shí)施MPLSVPN的前提，就是對(duì)原有網(wǎng)絡(luò)進(jìn)行全面準(zhǔn)確的調(diào)研和分析，收集實(shí)際運(yùn)行的網(wǎng)絡(luò)信息。然后在此基礎(chǔ)上給出網(wǎng)絡(luò)的建設(shè)建議。2.1信息采集EQ說明：該節(jié)對(duì)客戶原有網(wǎng)絡(luò)信息和用戶的需求進(jìn)行采集，作為方案規(guī)劃和實(shí)施的基礎(chǔ)。2.1.1網(wǎng)絡(luò)信息在實(shí)際工程中，需要采集的網(wǎng)絡(luò)信息包括：組網(wǎng)圖、數(shù)據(jù)配置、IP網(wǎng)段規(guī)劃、業(yè)務(wù)流向、路由協(xié)議、業(yè)務(wù)間互訪和隔離的需求等。（詳細(xì)的信息這里省略，可以根據(jù)實(shí)際情況，寫在技術(shù)方案中或者作為技術(shù)方案的附件附后。）2.1.2用戶需求在J省全省范圍內(nèi)，目前主要有網(wǎng)管、計(jì)費(fèi)、0A、168業(yè)務(wù)?；驹瓌t是：各業(yè)務(wù)之間是隔離的；每種業(yè)務(wù)在全省各地市之間是能夠互相訪問的；省公司的各種業(yè)務(wù)還有訪問國家骨干的需求。特別的：省公司的網(wǎng)管業(yè)務(wù)能夠訪問其他地市的各種業(yè)務(wù)。所謂的光輝歲月，并不是以后，閃耀的日子，而是無人問津時(shí)，你對(duì)夢(mèng)想的偏執(zhí)。2.2組網(wǎng)分析EQ說明：用戶的原有網(wǎng)絡(luò)結(jié)構(gòu)一般會(huì)有兩種：一種是將所有的業(yè)務(wù)承載在一個(gè)網(wǎng)絡(luò)上，通過GRE、IPSEC等技術(shù)建立隧道來隔離不同的業(yè)務(wù)，或者根本不作隔離；另一種是對(duì)于每種業(yè)務(wù)單獨(dú)建設(shè)一個(gè)網(wǎng)絡(luò)；如在運(yùn)營商的DCN網(wǎng)絡(luò)中，為計(jì)費(fèi)，運(yùn)營，網(wǎng)管各建一個(gè)網(wǎng)絡(luò)。對(duì)第一種情況，附一個(gè)總的組網(wǎng)圖即可；而對(duì)第二種需要對(duì)每種業(yè)務(wù)附一個(gè)組網(wǎng)圖，再對(duì)原有網(wǎng)絡(luò)的整體情況，用途，所承載的業(yè)務(wù)類型分別進(jìn)行分析。本方案就是第二種情況。下面對(duì)J省的運(yùn)營和網(wǎng)管組網(wǎng)進(jìn)行分析:原運(yùn)營網(wǎng)絡(luò)組網(wǎng)分析1、 設(shè)備：各地設(shè)備的型號(hào)比較統(tǒng)一，Cisco的72或者75系列的路由器，部分路由器能提供空閑的以太網(wǎng)口，能夠支持BGP，不能提供空閑以太網(wǎng)口的路由器需要支持802.1Q，如果不支持，可以通過升級(jí)軟件版本解決該問題。2、 鏈路：廣域網(wǎng)鏈路是E1線路，帶寬為2M。3、 路由協(xié)議：骨干網(wǎng)絡(luò)運(yùn)行的是靜態(tài)路由，A市路由器Cisco75為省中心，上面配置指向分配給各地市和省公司路由器的精確的C網(wǎng)段（或更明細(xì)）的靜態(tài)路由，下一跳指向相應(yīng)的路由器的下一跳，而在各地市路由器上配置指向省公司的精確的C網(wǎng)段（或更明細(xì)）的靜態(tài)路由，下一跳指向Cisco75。4、業(yè)務(wù)的流向：縱向流，即各地市與省局之間的數(shù)據(jù)交互。原網(wǎng)管網(wǎng)絡(luò)組網(wǎng)分析國家骨干網(wǎng)DCN-1國家骨干網(wǎng)DCN-2省中心ETH（主用）ETH（備用）省中ETH省中心B市網(wǎng)管1B市網(wǎng)管21、 設(shè)備：由于省公司的NetBuilder的端口不夠了，另外配置了兩臺(tái)Cisco2621路由器，分別接入E市、C市和B市網(wǎng)管1,省公司的這三臺(tái)路由器再通過Lanswitch4003連通，然后通過NetBuilder作為統(tǒng)一的出口。2、 鏈路：廣域網(wǎng)鏈路是E1線路，帶寬為2M，特殊的，C市作了鏈路捆綁。綜合多方面考慮，并針對(duì)網(wǎng)絡(luò)的實(shí)際情況，我們建議采用方案3。3、 路由協(xié)議：原網(wǎng)管網(wǎng)的骨干網(wǎng)絡(luò)運(yùn)行的是OSPF協(xié)議，AREA為0,在各地市的本地網(wǎng)絡(luò)，有些是靜態(tài)路由，有些也運(yùn)行OSPF，AREA不為0,但沒有聚合區(qū)域間路由。這里我們建議各地市向Area0發(fā)布路由的時(shí)候進(jìn)行聚合，聚合成本地網(wǎng)管正在使用的幾個(gè)C網(wǎng)段（也不應(yīng)該聚合成包含計(jì)費(fèi)、運(yùn)營的B網(wǎng)段），利于管理和控制。4、 業(yè)務(wù)流向：主要以縱向流為主，即各地市與省局之間的數(shù)據(jù)交互。2.3綜述EQ說明：該節(jié)根據(jù)客戶網(wǎng)絡(luò)結(jié)構(gòu)以及采集的數(shù)據(jù)對(duì)網(wǎng)絡(luò)現(xiàn)狀和問題進(jìn)行分析，得出結(jié)論。并提出我們的解決方案。對(duì)于每種業(yè)務(wù)單獨(dú)建立一個(gè)網(wǎng)絡(luò)這種情況，存在以下弊?。河捎谑敲糠N業(yè)務(wù)都建立一個(gè)網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備的重復(fù)投入，而且在新上一種業(yè)務(wù)的時(shí)候都要新建一套網(wǎng)絡(luò)，工程量比較大。而且如果存在某些設(shè)備是多個(gè)業(yè)務(wù)共用的設(shè)備時(shí)，業(yè)務(wù)間的隔離和互訪實(shí)現(xiàn)起來也不方便。對(duì)于將各個(gè)業(yè)務(wù)使用同一個(gè)網(wǎng)絡(luò)這種情況，存在以下弊病：各個(gè)業(yè)務(wù)使用同一個(gè)網(wǎng)絡(luò)，如果各個(gè)業(yè)務(wù)之間不進(jìn)行隔離，那么存在安全隱患，如果使用GRE、IPSEC等隧道技術(shù)來進(jìn)行隔離的話，由于這些隧道技術(shù)都是點(diǎn)對(duì)點(diǎn)的，因此節(jié)點(diǎn)比較多的時(shí)候，要配置較多的隧道，在新增一個(gè)點(diǎn)的時(shí)候，需要修改所有配置了隧道的路由器的配置。而MPLSVPN方案能很好的實(shí)現(xiàn)用戶的需求，提升網(wǎng)絡(luò)的性能，滿足用戶業(yè)務(wù)擴(kuò)展和易于管理的要求。由于所有的VPN數(shù)據(jù)只是在PE上作相應(yīng)的配置，控制也是在PE上實(shí)現(xiàn)的，所以對(duì)原有網(wǎng)絡(luò)的影響很小，這樣能最大限度的減小對(duì)原來的各種業(yè)務(wù)的影響。增加了PE設(shè)備以后，每個(gè)地市的CE設(shè)備就通過本地的PE設(shè)備與省公司或者其他地市相連了，而原有的網(wǎng)絡(luò)作為DCN網(wǎng)絡(luò)的備份網(wǎng)絡(luò)，當(dāng)DCN網(wǎng)絡(luò)出現(xiàn)問題時(shí)，可以切換到舊有網(wǎng)絡(luò)上，保證業(yè)務(wù)的正常運(yùn)行。要做到各地市的VPN業(yè)務(wù)的分離，每種VPN業(yè)務(wù)必須采用獨(dú)立的邏輯端口與PE設(shè)備相連，端口上向PE發(fā)布的也是本業(yè)務(wù)所占用的網(wǎng)段，而不應(yīng)該是本地所有VPN業(yè)務(wù)的總的B網(wǎng)段。針對(duì)實(shí)際的情況，我們采用業(yè)務(wù)逐步分離的方案。如果某些地市能做到業(yè)務(wù)網(wǎng)段的分離，就為每個(gè)VPN業(yè)務(wù)提供獨(dú)立的邏輯端口，并只發(fā)布本業(yè)務(wù)的網(wǎng)段，采用N個(gè)業(yè)務(wù)N個(gè)VPN的方案；其他地市短期內(nèi)還做不到業(yè)務(wù)網(wǎng)段的分離，那么就采用暫時(shí)只有一個(gè)VPN的方案,當(dāng)這些地市的網(wǎng)段做到分離的時(shí)候，再將這些地市調(diào)整成多個(gè)VPN就可以了。這樣，網(wǎng)段分離的地市能夠做到業(yè)務(wù)分離，而暫時(shí)不能分離的地市只是本地業(yè)務(wù)不能分離，不會(huì)影響到其他的城市。第3章MPLS-VPN解決方案EQ說明：該章針對(duì)客戶的現(xiàn)狀和需求，是出具體的MPLSVPN解決方案，包括組網(wǎng)圖、IP地址規(guī)劃、路由協(xié)議等技術(shù)細(xì)節(jié)，作為工程實(shí)施的依據(jù)。3.1組網(wǎng)EQ說明：該節(jié)附具體解決方案的系統(tǒng)組網(wǎng)圖，即采用MPLSVPN方案的網(wǎng)絡(luò)結(jié)構(gòu)圖。并對(duì)網(wǎng)絡(luò)設(shè)計(jì)的方針、規(guī)劃、思路做出詳細(xì)的分析。MPLS-VPN并不要求網(wǎng)絡(luò)結(jié)構(gòu)上有什么特殊之處，傳統(tǒng)的樹形結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、單星型結(jié)構(gòu)、雙星形結(jié)構(gòu)都可以滿足要求。如果是舊網(wǎng)改造，只需要對(duì)原有網(wǎng)上設(shè)備進(jìn)行升級(jí)，使之支持LDP,配合新增的PE設(shè)備即可組成MPLS-VPN的核心MPLS域；而CE設(shè)備則不需要任何改動(dòng)，可以直接作為MPLS-VPN的各專業(yè)網(wǎng)絡(luò)業(yè)務(wù)匯聚設(shè)備。對(duì)于本次工程，我們建議采用雙星形結(jié)構(gòu)，這樣在骨干中心節(jié)點(diǎn)消除單點(diǎn)故障，提高了網(wǎng)絡(luò)的可靠性和安全性。雙星形網(wǎng)絡(luò)結(jié)構(gòu)圖A市中心放置兩臺(tái)骨干路由器NE16和Cisco75，兩者通過FE互連，負(fù)責(zé)其他地市的業(yè)務(wù)匯聚，互為備份。2、除A市外的其他地市，由一臺(tái)高端路由器組成，負(fù)責(zé)本地業(yè)務(wù)系統(tǒng)的接入。原來各業(yè)務(wù)網(wǎng)絡(luò)的出口路由器作為CE設(shè)備。針對(duì)運(yùn)營和計(jì)費(fèi)網(wǎng)絡(luò)，如果原來的出口路由器存在空閑的以太網(wǎng)口，則直接將該路由器連接到PE上；如果沒有多余的端口，則PE和CE之間通過交換機(jī)相連，然后在原出口路由器上配置子接口，劃分VLAN（這需要路由器支持802.1Q協(xié)議，如果不支持，可以通過升級(jí)軟件版本解決）；如果即沒有多余的端口，而且難以支持802.1Q，那么只能采用另外一臺(tái)三層交換機(jī)作為CE設(shè)備，但這樣本地網(wǎng)絡(luò)的路由需要調(diào)整：原出口路由器接在三層交換機(jī)的下面，將該三層設(shè)備作為本地的出口。針對(duì)網(wǎng)管網(wǎng)絡(luò)，部分地市是CISCO的設(shè)備，有空閑的端口，則直接連接到PE設(shè)備，如果沒有空閑端口，就在原來的以太網(wǎng)上配置子接口（這需要路由器支持802.1Q協(xié)議，如果不支持，可以通過升級(jí)軟件版本解決），另外一些地市采用的設(shè)備是NBII,由于沒有空閑端口，也不能支持BGP，就用另外的三層交換機(jī)作為CE,這樣需要調(diào)整本地的網(wǎng)絡(luò)，使三層交換機(jī)作為本地出口。每一地市路由器通過POS鏈路雙歸屬方式接入到省核心層。所謂的光輝歲月，并不是以后，閃耀的日子，而是無人問津時(shí)，你對(duì)夢(mèng)想的偏執(zhí)。3.2IP地址規(guī)劃EQ說明：該節(jié)討論IP地址的規(guī)劃。MPLS-VPN網(wǎng)絡(luò)中，IP地址的劃分主要分為"公網(wǎng)”和“私網(wǎng)”兩個(gè)部分?！肮W(wǎng)”IP地址主要包括PE-PE設(shè)備互聯(lián)地址、各設(shè)備管理地址。對(duì)于設(shè)備互聯(lián)地址沒有特殊的要求，一般是整個(gè)地址空間在同一個(gè)“大”的網(wǎng)段中獲取，并且要為今后網(wǎng)絡(luò)的擴(kuò)充留有余地?；ヂ?lián)的廣域網(wǎng)接口盡量采用30位掩碼的網(wǎng)段，互聯(lián)的Ethernet接口地址，可以采用29位掩碼的網(wǎng)段，這樣在今后應(yīng)用HSRP或者VRRP的時(shí)候有足夠的地址可以使用?！八骄W(wǎng)”IP地址指PE-CE設(shè)備互聯(lián)地址、CE下帶的VPN用戶的地址。分配根據(jù)不同的應(yīng)用有不同的原則，一般可以分為兩類：網(wǎng)絡(luò)為ISP所有，為不同的集團(tuán)用戶提供地域間的企業(yè)網(wǎng)互連；網(wǎng)絡(luò)為集團(tuán)用戶所有，為本集團(tuán)內(nèi)各個(gè)不同業(yè)務(wù)提供不同的私網(wǎng)。對(duì)于網(wǎng)絡(luò)為ISP所有的情況。各個(gè)VPN物理設(shè)備之間是完全隔離的，同一個(gè)PE所連接的不同CE內(nèi)部，網(wǎng)絡(luò)不會(huì)有交織，針對(duì)這種應(yīng)用，IP地址采用按照地域分配的方案對(duì)工程實(shí)施比較有利。采用按照地域分配IP地址的方案，在PE上每個(gè)VPN的路由信息可以聚合成簡單的一條或幾條，這樣整個(gè)公網(wǎng)上的路由條目較少。采用這樣的方案無論對(duì)設(shè)備本身還是網(wǎng)絡(luò)的維護(hù)管理都有較大的益處。首先，設(shè)備的負(fù)荷較小，可以保證長期穩(wěn)定運(yùn)行；其次，路由條目較少，維護(hù)人員可以方便的控制，并且每一個(gè)比較規(guī)整的網(wǎng)段對(duì)應(yīng)一個(gè)固定的地域，一旦出現(xiàn)問題，對(duì)于縮小問題范圍有很大的益處。對(duì)于網(wǎng)絡(luò)為集團(tuán)用戶所有的情況。一些規(guī)模比較大的集團(tuán)用戶，為了方便管理，將企業(yè)內(nèi)部的多個(gè)業(yè)務(wù)劃分開。對(duì)于這種客戶，在網(wǎng)絡(luò)匯聚層（一般位于地市一級(jí)的節(jié)點(diǎn)）以上應(yīng)用MPLS，匯聚層以下應(yīng)用傳統(tǒng)的路由轉(zhuǎn)發(fā)。針對(duì)這種情況，比較好的IP地址規(guī)劃就是在地市一級(jí)按照業(yè)務(wù)來劃分IP,首先將IP地址根據(jù)業(yè)務(wù)進(jìn)行劃分，再對(duì)于某種業(yè)務(wù)在地市以下的節(jié)點(diǎn)再進(jìn)行更細(xì)致的劃分。通過這樣的IP地址規(guī)劃，在接入層應(yīng)用MPLS的時(shí)候，每個(gè)業(yè)務(wù)相關(guān)的路由信息可以聚合成簡單的幾條，甚至是一條，而且各業(yè)務(wù)之間路由信息沒有交集。這樣的路由信息在骨干層傳播路由條目較少，局部的路由動(dòng)蕩不會(huì)引起骨干層的路由動(dòng)蕩，網(wǎng)絡(luò)信息比較穩(wěn)定，如果出現(xiàn)問題可以迅速的定位到是哪個(gè)業(yè)務(wù)網(wǎng)絡(luò)的問題。更大的優(yōu)點(diǎn)還是表現(xiàn)在新業(yè)務(wù)的擴(kuò)充上，只要每個(gè)新增加的業(yè)務(wù)IP地址都依據(jù)這樣的原則來規(guī)劃，那么與原有業(yè)務(wù)的IP網(wǎng)段可以是完全隔離的，不會(huì)對(duì)原有的路由信息產(chǎn)生任何影響，為網(wǎng)絡(luò)的維護(hù)帶來很大的方便。對(duì)于本次工程來說，需要新增的IP地址是PE/CE的管理地址、PE-PE互連地址、PE-CE互連地址。用途IP地址段PE/CE的管理地址172.168.253.0/24PE-PE互連地址172.168.252.0/24PE-CE互連地址（計(jì)費(fèi)）172.168.251.0/24PE-CE互連地址（0A網(wǎng)絡(luò)）172.168.250.0/24PE-CE互連地址（168業(yè)務(wù)）172.168.249.0/24PE-CE互連地址（網(wǎng)管）172.168.248.0/243.2.1PE的管理地址（Loopback地址）給各地市的PE路由器分配一個(gè)Loopback地址，該地址可作為OSPF的RouterID,并作為telnet管理或ping測試的目的地址。整網(wǎng)分配172.168.253.0/24的網(wǎng)段的作為各地市的loopback地址，未使用的保留。各地市PE設(shè)備的Loopback地址分配如下：A市A市NE16：A市Cisco75：B市：C市：D市：E市：F市：G市：H市：I市：172.168.253.1172.168.253.2172.168.253.3172.168.253.4172.168.253.5172.168.253.6172.168.253.7172.168.253.8172.168.253.9172.168.253.10S3526/S3026的管理地址省公司S3526-1： 172.168.253.31省公司S3526-2： 172.168.253.32省公司S3526-3： 172.168.253.33省公司S3526-4： 172.168.253.34省公司S3526-5： 172.168.253.35A市：管理Vlan：50NE16E接口（網(wǎng)關(guān)）：172.168.253.129/29S3025-1S3025-2B市：管理VlanNE16E接口（網(wǎng)關(guān)）S3025-1S3025-2C市：管理VlanNE16E接口（網(wǎng)關(guān)）S3025-1S3025-2D市：管理VlanNE16E接口（網(wǎng)關(guān)）S3025-1S3025-2E市：管理VlanNE16E接口（網(wǎng)關(guān)）S3025-1S3025-2F市：管理VlanNE16E接口（網(wǎng)關(guān)）S3025-1S3025-2G市：管理VlanNE16E接口（網(wǎng)關(guān)）S3025-1：172.168.253.130/29：172.168.253.131/29：50：172.168.253.137/29：172.168.253.138/29：172.168.253.139/29：50：172.168.253.145/29：172.168.253.146/29：172.168.253.147/29：50：172.168.253.153/29：172.168.253.154/29：172.168.253.155/29：50：172.168.253.161/29：172.168.253.162/29：172.168.253.163/29：50：172.168.253.169/29：172.168.253.170/29：172.168.253.171/29：50：172.168.253.177/29：172.168.253.178/29

S3025-2H市：管理VianNE16E接口（網(wǎng)關(guān)）S3025-1S3025-2I市：管理VianNE16E接口（網(wǎng)關(guān)）S3025-1S3025-2：172.168.253.179/29：50：172.168.253.185/29：172.168.253.181/29：172.168.253.182/29：50：172.168.253.193/29：172.168.253.194/29：172.168.253.195/29323PE-PE的互連地址A市的NE16和Cisco75作為DCN網(wǎng)絡(luò)的匯聚節(jié)點(diǎn)，各地市通過兩條P0S鏈路分別接入到NE16和Cisco75。各地市PE間互連接口IP分配：A市NE16 --A市Cisco75172.168.252.253/30-172.168.252.254/30A市NE16 --B市172.168.252.1/30-172.168.252.2/30A市Cisco75--B市172.168.252.5/30-172.168.252.6/30A市NE16 --E市172.168.252.9/30-172.168.252.10/30A市Cisco75--E市172.168.252.13/30-172.168.252.14/30A市NE16 --C市172.168.252.17/30-172.168.252.18/30A市Cisco75--C市172.168.252.21/30-172.168.252.22/30A市NE16 --F市172.168.252.25/30-172.168.252.26/30A市Cisco75--F市172.168.252.29/30-172.168.252.30/30A市NE16 --G市172.168.252.33/30-172.168.252.34/30A市Cisco75--G市172.168.252.37/30-172.168.252.38/30A市NE16 --D市172.168.252.41/30-172.168.252.42/30A市Cisco75--D市172.168.252.45/30-172.168.252.46/30A市NE16 --H市172.168.252.49/30-172.168.252.50/30A市Cisco75--H市172.168.252.53/30-172.168.252.54/30

A市NE16172.168.252.57/30－172.168.252.58/30AA市NE16172.168.252.57/30－172.168.252.58/30A市Cisco75—I市172.168.252.61/30—172.168.252.62/30324PE-CE的互連地址（計(jì)費(fèi)）本次工程初期規(guī)劃有四種VPN業(yè)務(wù)：168、0A、計(jì)費(fèi)、網(wǎng)管，給每種VPN業(yè)務(wù)分配一個(gè)C網(wǎng)段，作為各地市相應(yīng)業(yè)務(wù)的CE設(shè)備與PE的互連接口地址,如果有其他的VPN業(yè)務(wù)，則再劃分新的IP網(wǎng)段即可。本次工程有9個(gè)節(jié)點(diǎn)，因此每種業(yè)務(wù)占用了本C網(wǎng)段192個(gè)IP地址，其中,一個(gè)地市占用16個(gè)IP地址。地址分配方案如下：省公司（NE16）172.168.251.1/28 （PE側(cè)地址）（CISCO）172.168.251.17/28A市（NE16）172.168.251.33/28（CISCO）172.168.251.49/28B市172.168.251.65/28E市172.168.251.81/28C市172.168.251.97/28F市172.168.251.113/28G市172.168.251.129/28D市172.168.251.145/28H市172.168.251.161/28I市172.168.251.177/283.2.5PE-CE的互連地址（0A）省公司（NE16）（CISCO）省公司（NE16）（CISCO）A市（NE16）（CISCO）B市E市C市172.168.250.1/28172.168.250.17/28172.168.250.33/28172.168.250.49/28172.168.250.65/28172.168.250.81/28172.168.250.97/28F市172.168.250.113/28G市172.168.250.129/28D市172.168.250.145/28H市172.168.250.161/28I市172.168.250.177/28326PE-CE的互連地址（168）省公司(NE16) 172.168.249.1/28 (PE側(cè)地址)(CISCO)172.168.249.17/28A市(NE16) 172.168.249.33/28(CISCO)172.168.249.49/28B市172.168.249.65/28E市172.168.249.81/28C市172.168.249.97/28F市172.168.249.113/28G市172.168.249.129/28D市172.168.249.145/28H市172.168.249.161/28I市172.168.249.177/28327PE-CE的互連地址（網(wǎng)管）省公司(NE16) 172.168.248.1/28(PE側(cè)地址)(CISCO)172.168.248.17/28A市(NE16) 172.168.248.33/28(CISCO)172.168.248.49/28B市172.168.248.65/28E市172.168.248.81/28C市172.168.248.97/28F市172.168.248.113/28G市172.168.248.129/28D市172.168.248.145/28H市172.168.248.161/28I市172.168.248.177/283.3路由協(xié)議EQ說明：路由協(xié)議的應(yīng)用，在MPLS-VPN的網(wǎng)絡(luò)中分為三個(gè)層面：骨干層MPLS域、PE與CE互聯(lián)、CE以下內(nèi)部網(wǎng)絡(luò)。對(duì)于CE以下內(nèi)部網(wǎng)絡(luò)的協(xié)議類型完全由VPN用戶自己決定，我們關(guān)心的主要部分是骨干層MPLS域應(yīng)用的路由協(xié)議和PE與CE互聯(lián)時(shí)使用的路由協(xié)議。對(duì)于骨干層MPLS域，需要某種IGP協(xié)議與MBGP結(jié)合應(yīng)用，其中MBGP主要完成私網(wǎng)路由標(biāo)簽分配、各私網(wǎng)路由在“公網(wǎng)”傳遞等作用，沒有其他的協(xié)議可以替代。各地市CE之間的VPN路由的傳遞、VPN路由標(biāo)簽的分發(fā)，都是通過骨干區(qū)域MP-BGP協(xié)議的擴(kuò)展屬性實(shí)現(xiàn)的。對(duì)于IGP協(xié)議，他的主要作用就是保證MBGP鄰居之間的可達(dá)性，我們建議采用OSPF,因?yàn)镺SPF的適應(yīng)性好，功能完善，當(dāng)核心層設(shè)備在20臺(tái)以內(nèi)的時(shí)候，我們建議只運(yùn)行一個(gè)骨干域“0”，這樣網(wǎng)絡(luò)規(guī)劃簡單、維護(hù)方便，并且有利于今后骨干層網(wǎng)絡(luò)的擴(kuò)展。對(duì)于PE與CE互聯(lián)，可以采用的路由協(xié)議有靜態(tài)路由、RIP和BGP等多種路由協(xié)議。具體使用那種路由協(xié)議要根據(jù)情況而定，如當(dāng)CE以下的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，路由條目較多的時(shí)候，PE和CE之間需要運(yùn)行BGP協(xié)議，當(dāng)然應(yīng)用這種方案對(duì)CE的要求也是比較高的。對(duì)于PE與CE之間的路由協(xié)議類型最普遍應(yīng)用的就是靜態(tài)路由，只要準(zhǔn)循上面提到的IP地址分配原則，各地的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時(shí)應(yīng)用靜態(tài)路由是最簡單、最高效的，而且網(wǎng)絡(luò)的維護(hù)非常方便。綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層MBGP+OSPF、PE與CE互聯(lián)采用靜態(tài)路由。這樣對(duì)整個(gè)網(wǎng)絡(luò)中的設(shè)備要求不是太高，并且很好的實(shí)現(xiàn)了MPLS-VPNo3.3.1BGP協(xié)議規(guī)劃1、AS號(hào)按照省公司的統(tǒng)一規(guī)劃，全省的AS號(hào)為64600。2、 路由反射器J省DCN網(wǎng)絡(luò)采用雙星型結(jié)構(gòu)，10臺(tái)路由器運(yùn)行在同一個(gè)BGP的AS中，按照BGP協(xié)議的要求，所有這些路由器必須保證是全連通的，即：任意兩臺(tái)路由器之間都必須配置鄰居關(guān)系。這樣會(huì)導(dǎo)致N平方問題，為了解決這個(gè)問題，必須使用BGP反射器技術(shù)。A市的NE16和CISC075都作為反射器，其他地市的路由器分別作為這兩個(gè)反射器的客戶機(jī)。3、路由的引入在各地市的PE設(shè)備上，BGP的vpnv4地址族中，不需要引入其他路由協(xié)議；BGP的IPV4地址族中，通過redistribute命令引入本VPN的直連和靜態(tài)路由。3.3.2IGP協(xié)議規(guī)劃DCN網(wǎng)在MPLS骨干區(qū)域內(nèi)的IGP采用動(dòng)態(tài)的、基于鏈路狀態(tài)的OSPF協(xié)議。1、 區(qū)域的劃分各PE路由器只在內(nèi)部互聯(lián)端口運(yùn)行0SPF，使用一個(gè)Area0進(jìn)行路由交換。為避免路由環(huán)路，在PE上不通過OSPF發(fā)布缺省路由。2、 路由的引入在各地市的PE設(shè)備上，通過Network命令將PE設(shè)備的loopback地址和互連端口地址引入到OSPF協(xié)議中去。為了便于控制路由的規(guī)模，不采用redistribute命令引入靜態(tài)或其他協(xié)議的路由。3、 定義花費(fèi)（Cost值）出于鏈路備份和負(fù)荷分擔(dān)的考慮，將OSPF鏈路的Cost值定義如下：A市NE16與Cisco75之間的FE接口的兩端的cost等于10；各地市間的POS鏈路都設(shè)為cost等于20。3.3.3靜態(tài)路由規(guī)劃各業(yè)務(wù)PE和CE之間運(yùn)行靜態(tài)路由。在PE上配置網(wǎng)段為本地，下一跳指向CE的靜態(tài)路由，然后引入到MP-BGP中，發(fā)布到其他地市；同時(shí)，在CE上配置目的網(wǎng)段為其他地市，下一跳為PE的靜態(tài)路由。并在網(wǎng)管的CE設(shè)備上配置一條指向PE的靜態(tài)缺省路由。3.4MPLSVPN規(guī)劃EQ說明：本節(jié)主要規(guī)劃MPLSVPN的VRF、RD、route-target屬性，它決定了MPLSVPN網(wǎng)絡(luò)業(yè)務(wù)之間的隔離和互訪。3.4.1VRF規(guī)貝I]OA業(yè)務(wù)：DCN_OA網(wǎng)管業(yè)務(wù)：DCN_wangguan168業(yè)務(wù)：DCN_168計(jì)費(fèi)業(yè)務(wù)：DCN_jifeiRD規(guī)則使用16bits：32bits格式，分配規(guī)則為『AS號(hào)：VPN類別』。其中AS號(hào)統(tǒng)一使用骨干AS的64600OA業(yè)務(wù)：64600:10網(wǎng)管業(yè)務(wù)：64600:20計(jì)費(fèi)業(yè)務(wù)：64600:30168業(yè)務(wù)：64600:40Route-Target規(guī)則通過配置VRF（路由轉(zhuǎn)發(fā)實(shí)例）的target屬性，可以實(shí)現(xiàn)不同業(yè)務(wù)的VPN。不同路由器通過target相關(guān)聯(lián)而組成可以互相訪問的集合，由于只有他們內(nèi)部可以互訪，所以我們稱之為VPN,配置里并沒有專門的VPN的定義。也就是說，VPN的成員關(guān)系是通過路由所攜帶的routetarget屬性來獲得的。不同CE通過PE配置的VRF里的Target實(shí)現(xiàn)互訪與隔離，從而組成不同的VPN。使用16bits：32bits格式，分配規(guī)則為『AS號(hào)：VPN類別』。其中AS號(hào)統(tǒng)一使用骨干AS的64600，route-target的export和import是一致的。OA業(yè)務(wù)：64600:10同是寒窗苦讀，怎愿甘拜下風(fēng)！網(wǎng)管業(yè)務(wù) ：64600:20計(jì)費(fèi)業(yè)務(wù) ：64600:30168業(yè)務(wù) ：64600:403.5設(shè)備命名和描述規(guī)則EQ說明：命名和描述雖然不影響設(shè)備的正常運(yùn)行，但只有準(zhǔn)確、規(guī)范的命名和描述，才能保證今后設(shè)備的可管理，可維護(hù)。3.5.1設(shè)備命名規(guī)則采用以下命名方法：XY_AB_DCN其中，XY表示城市的名稱，AB表示設(shè)備類型，且字母大寫。例：BEIJING_NE16_DCN3.5.2接口描述命名規(guī)則正在使用的接口應(yīng)該配置接口描述，分為兩種接口：1、 PE-PE互聯(lián)接口例：descriptionTOBEIJING-NE16-POS其中，BEIJING是對(duì)端地市，NE16是設(shè)備類型，POS是鏈路類型。2、 PE-CE互聯(lián)接口例：descriptionTOQUANZHOU-168其中，BEIJING是本地的地市，168是業(yè)務(wù)的名稱。3.6網(wǎng)絡(luò)的備份和流量分擔(dān)EQ說明：本節(jié)討論網(wǎng)絡(luò)的備份和分擔(dān)的機(jī)制。保證網(wǎng)絡(luò)運(yùn)行的可靠和冗余。3.6.1網(wǎng)絡(luò)的備份網(wǎng)絡(luò)備份可以同時(shí)通過兩種方式實(shí)現(xiàn)：1、通過合理的網(wǎng)絡(luò)方案設(shè)計(jì)，實(shí)現(xiàn)物理鏈路與物理設(shè)備的備份。本次工程中，中心的兩臺(tái)匯聚節(jié)點(diǎn)是主備和負(fù)荷分擔(dān)的，在正常工作的情況下，共同分擔(dān)整個(gè)網(wǎng)絡(luò)的流量，當(dāng)其中一個(gè)失效后，另外一臺(tái)設(shè)備能夠承擔(dān)起所有的流量，保證業(yè)務(wù)的正常運(yùn)行；各地市到中心節(jié)點(diǎn)的兩條廣域網(wǎng)鏈路也是主備的，在主用鏈路中斷的情況下，業(yè)務(wù)可以通過備用鏈路傳輸。2、應(yīng)用動(dòng)態(tài)路由協(xié)議，做到網(wǎng)絡(luò)的自動(dòng)備份。OSPF和BGP協(xié)議，均可以自動(dòng)地發(fā)現(xiàn)兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間的迂回路由，并在主用路由不可用時(shí)而自動(dòng)使用備份鏈路。并且可以通過在路由器上加入策略，控制數(shù)據(jù)的流向。3.6.2流量的分擔(dān)1、 A市的匯聚節(jié)點(diǎn)NE16有兩個(gè)POS接口，兩個(gè)POS接口實(shí)現(xiàn)負(fù)荷分擔(dān)，第一個(gè)POS接口接入B市、F市、H市、I市；第二個(gè)POS接口接入H市、D市、C市、E市。2、 每個(gè)地市到中心節(jié)點(diǎn)都由兩條主備鏈路，因此，可以通過設(shè)置不同的Cost值，實(shí)現(xiàn)部分地市節(jié)點(diǎn)的主鏈路匯聚到NE16，而另外的節(jié)點(diǎn)的主鏈路匯聚到Cisco7513，從而達(dá)到負(fù)荷分擔(dān)的目的，避免網(wǎng)絡(luò)流量不均衡。具體的流量分配是：市、F市、G市、I市的主鏈路匯聚到NE16,備鏈路匯聚到Cisco7513；H市、D市、C市、E市的主鏈路匯聚到Cisco7513，備鏈路匯聚到NE16。由于目前Cisco7513暫時(shí)不能到位，所以H市、D市、C市、E市的備鏈路會(huì)生效，流量都匯聚到NE16。3.7網(wǎng)絡(luò)的管理EQ說明：網(wǎng)管是網(wǎng)絡(luò)的重要組成部分。華為公司提供全面的、功能強(qiáng)大的、便于操作的網(wǎng)管系列軟件，各功能模塊既可以單獨(dú)使用，也可以作為組件形成一個(gè)綜合的網(wǎng)管系統(tǒng)。方便靈活的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理。網(wǎng)管所在端口不能劃入任何一個(gè)VPN里，這樣才能對(duì)全網(wǎng)MPLS的VPN進(jìn)行管理。所以連接MPLS網(wǎng)管的終端單獨(dú)提供接入端口，不劃入VPN業(yè)務(wù)端口。本次方案采取集中網(wǎng)管的方式，在省公司設(shè)置網(wǎng)管中心，集中監(jiān)控全省其他地市的網(wǎng)絡(luò)設(shè)備。網(wǎng)管系統(tǒng)的硬件采用SUN工作站，軟件采用華為公司的iManagerN2000綜合網(wǎng)管，iManagerN200綜合網(wǎng)管系統(tǒng)使用了模塊化、組件化的設(shè)計(jì)方法，可以方便靈活的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理。iManagerN2000綜合網(wǎng)管的系統(tǒng)功