收藏
下载资源 加入VIP免费专享

深圳市IP城域网技术方案.docx

上传人:牧羊曲112 文档编号:1955502 上传时间:2022-12-28 格式:DOCX 页数:69 大小:449.98KB
返回 下载 相关 举报
深圳市IP城域网技术方案.docx_第1页
第1页 / 共69页
深圳市IP城域网技术方案.docx_第2页
第2页 / 共69页
深圳市IP城域网技术方案.docx_第3页
第3页 / 共69页
深圳市IP城域网技术方案.docx_第4页
第4页 / 共69页
深圳市IP城域网技术方案.docx_第5页
第5页 / 共69页
点击查看更多>>
资源描述

《深圳市IP城域网技术方案.docx》由会员分享,可在线阅读,更多相关《深圳市IP城域网技术方案.docx(69页珍藏版)》请在三一办公上搜索。

1、深圳市IP城域网组网技术方案深圳电信局新技术开发中心2002年7月目 录一、设计原则4二、设备用途说明和命名规则82.1 Site代码82.2 设备命名规则82.3 设备用途描述9三、网络架构133.1 核心骨干模块 (backbone)133.2 Internet(163/169)连接点模块153.3 IP VPN服务模块163.4 商业Internet接入模块203.5 小区Internet接入模块223.6 政府上网接入模块243.7 主机托管模块25四、设备互连274.1 远程连接274.2 本地连接274.3 设备插槽分配策略284.4 VLAN编号和用途说明28五、IP地址315.

2、1 IP地址模式315.2 域内路由协议(IGP)315.3 IP地址分配315.4 IP子网规划32六、和163/169的连接346.1 缺省路由346.2 EBGP出口路由设计356.3 在多出口上实现流量均衡35七、MPLS VPN PE-CE的连接37八、VPN的INTERNET接入398.1 VPN Internet 网关398.2 VPDN for VPN41九、NMS 网段43十、安全控制46十一、QOS4911.1 可选择的工具4911.2 实现的模型50附件一:IP地址分配计划表54附件二:小区INTERNET接入方案591、SSO(Service-Sign-On)系统592

3、Redback SMS宽带接入服务器633两种方式的比较。64附件三:图表66一、设计原则随着深圳电信的互联网业务的快速发展,可以预测的用户需求在几年内将成几何级数增长,同时,随着中国加入WTO的时间表的逼近,来自各个方面的竞争压力不断增加。但是,目前深圳电信的互联网基础设施还不够发达,不足以迅速占领市场的制高点,在未来的竞争中立于不败之地。因此,深圳电信局决定建设一个先进的、灵活的、可靠的、基于标准的城市骨干通信平台,使得深圳电信能够基于这个平台,针对市场上IP用户的大量宽带多媒体应用的需求,迅速推出一系列崭新的宽带多媒体业务,从而吸引更多的用户,增加市场竞争力,实现网络的商用价值,并为今后

4、满足市场新的业务需求而迅速推出新的业务打好基础。深圳IP城域网一期工程的建设目标是将IP城域网建成为数据业务的统一骨干平台,在此平台上为政府、企业、学校提供高速接入,同时提供VPN等增值业务。基于以上的建立目标,深圳IP城域网的设计原则为:(1) 可靠性原则;(2) 可扩充性原则;(3) 简单和易于管理的原则;(4) 可以集中管理的原则;(5) 效率高;(6) 和现有网络有较好的集成;(7) 安全性; 网络可靠性通过下述的设计思路来达到:- 在网络核心层进行Partial meshed冗余物理连接;- 接入层设备通过Dual homing双连接到核心层;- 网络采用多出口设计到Internet

5、e(163/169);- 在接入层采用Route summarization减少边缘链路波动对核心的影响;- 合理采用静态路由,提高可靠性;网络可扩充性通过下述的设计思路来达到:- 网络采用明显的“核心分布”层次结构;- 简单而有效的IP地址分配策略;- 采用可靠和可扩展的IGP路由协议;简单和易于维护性通过下述设计思路来达到:- 所有的网络设备被分配专门的用途;- 避免复杂的配置;- 网络设备命名直观而易记;- 统一的slot、port、VLAN的分配策略;- 每台设备都配有loopback地址,易于维护;集中管理通过下述设计思路来达到:- 为中央网络管理系统配有专门的管理网段;- 从中央网

6、管网段可以到达所有设备;- VPN PE-CE连接从NMS网段同样可以到达;- 为所有互连网段包括VPN PE-CE连接都采用合法IP地址;运行的高效性通过下述设计思路来达到:- 核心层互连链路采用相同接口类型和相同速率,便于作负载平衡;- 城域网内部采用缺省路由配合IGP metric作出口选择;- 和Internet的多连接上采用BGP MED特性进行负载分担;和现有网络的集成通过下述设计思路来达到:- 采用开放的、标准的路由协议将城域网分为多个路由区域,现有网络可以通过单独的域连接上来;- 和Internet(163/169)的BGP连接通过保留的AS号,这样不会影响广东省和中国电信16

7、3/169网络出国的BGP路由;安全性通过下述设计思路来达到:- 对所有重要事件进行log;- 限制对设备的SNMP和TELNET;- 采用NTP协议对全网的设备进行同步;- 对不安全的端口上将路由协议进行Passive,防止不必要的路由泄露;- 对网络设备的User和Privilege状态进行存取控制;网络总体结构如图所示:二、设备用途说明和命名规则2.1 Site代码SiteSite Code枢纽SN黄木岗HMG电信DX南山NS新安XA龙中LZ沙头角STJ东港中心DG新南头XNT机关专用局JG蛇口SK鸿波HB龙脉LMSite代码是地点名的拼音缩写而成。前11个site是本期工程所要安装设备

8、的点,后2个site不涉及设备安装。2.2 设备命名规则M-HMG-12012-ASite CodeUnique Ide.g. A 1st 12012; B-2nd 12012Equipment TypeMAN解释:(1) 设备类型为 “6509” 代表Catalyst 6509 switch的LAN switch 部分; (2) 设备类型为 “6509R#” 代表Catalyst 6509 switch的 routing 部分:6509R1 代表安装在6509的primary supervisory card 上的MSFC feature card;6509R2代表安装在6509的Redun

9、dant supervisory card上的MSFC feature card。2.3 设备用途描述Site Device ModelDevice NameUsage枢纽楼GSR12012M-SN-12012-AMPLS core router7507M-SN-7507-AMPLS PE router3620M-SN-3620-AVPN Management CE router2924M-XLM-SN-2924-AVPN GE Fan outaccess concentrator2924M-XLM-SN-2924-BCommercial Internet access concentrato

10、rVPN GE Fan out6509-MSFCM-SN-6509R1-AInter-VLAN routing6509-MSFCM-SN-6509R2-AInter-VLAN routing6509M-SN-6509-ACommunity Internet access concentratorLocal server hosting黄木岗GSR12012M-HMG-12012-AMPLS core router7513M-HMG-7513-AMPLS PE router2924M-XLM-HMG-2924-AVPN access concentratorGE Fan out2924M-XLM

11、-HMG-2924-BCommercial Internet access concentratorVPN FE Fan out6509-MSFCM-HMG-6509R1-AInter-VLAN routing6509-MSFCM-HMG-6509R2-AInter-VLAN routing6509M-HMG-6509-ACommunity Internet access concentratorLocal server hosting电信GSR12012M-DX-12012-AMPLS core router7507M-DX-7507-AMPLS PE router2924M-XLM-DX-

12、2924-AVPN access concentratorVPN GE Fan out2924M-XLM-DX-2924-BCommercial Internet access concentratorVPN FE Fan out6509-MSFCM-DX-6509R1-AInter-VLAN routing6509-MSFCM-DX-6509R2-AInter-VLAN routing6509M-DX-6509-ACommunity Internet access concentratorLocal server hosting6509-MSFCM-DX-6509R1-BInter-VLAN

13、 routing6509-MSFCM-DX-6509R2-BInter-VLAN routing6509M-DX-6509-BReserved for 163 server hosting in DXLocal server hosting东港中心6509-MSFCM-DG-6509R1-AInter-VLAN routing6509-MSFCM-DG-6509R2-AInter-VLAN routing6509M-DG-6509-ASRemote server hosting6509-MSFCM-DG-6509R1-BInter-VLAN routing6509-MSFCM-DG-6509R

14、2-BInter-VLAN routing6509M-DG-6509-BServer hosting南山GSR12012M-NS-12012-AMPLS core router7507M-NS-7507-AMPLS PE router2924M-XLM-NS-2924-AVPN access concentrator2924M-XLM-NS-2924-BCommercial Internet access concentrator6509-MSFCM-NS-6509R1-AInter-VLAN routing6509-MSFCM-NS-6509R2-AInter-VLAN routing650

15、9M-NS-6509-ACommunity Internet access concentrator新南头6509-MSFCM-XNT-6509R1-AInter-VLAN routing6509-MSFCM-XNT-6509R2-AInter-VLAN routing6509M-XNT-6509-AServer hosting6509-MSFCM-XNT-6509R1-BInter-VLAN routing6509-MSFCM-XNT-6509R2-BInter-VLAN routing6509M-XNT-6509-BServer hosting新安GSR12012M-XA-12012-AM

16、PLS core router7507M-XA-7507-AMPLS PE router2924M-XLM-XA-2924-AVPN access concentrator2924M-XLM-XA-2924-BCommercial Internet access concentrator龙中GSR12012M-LZ-12012-AMPLS core router7507M-LZ-7507-AMPLS PE router2924M-XLM-LZ-2924-AVPN access concentrator 沙头角GSR12012M-STJ-12012-AMPLS core router7507M-

17、STJ-7507-AMPLS PE router2924M-XLM-STJ-2924-AVPN access concentrator2924M-XLM-STJ-2924-BCommercial Internet access concentrator蛇口7507M-SK-7507-AMPLS PE router2924M-XLM-SK-2924-ACommercial Internet access concentrator机关专用局6509-MSFCM-JG-6509R1-AInter-VLAN routing6509-MSFCM-JG-6509R2-AInter-VLAN routing

18、6509M-JG-6509-AGovernment agency Internet access concentrator设备用途说明:(1) MPLS Core Router 设备用作MPLS核心Label交换路由器; 不直接连接任何用户; 所有核心层路由器之间、核心路由器和PE路由器之间的连接必须MPLS Enabled; 核心路由器只能运行独一的IGP路由协议;(2) MPLS PE Router 设备用作MPLS provider edge router(PE); 所有VPN用户端的连接终结在PE上; 同时,PE路由器作为Internet分布层接入路由器; PE在IGP上作为ABR,进

19、行路由聚合;(3) VPN Access Concentrator 设备用于VPN扇出,上联链路为PE路由器GE VLAN Trunk; 每一个FE交换端口属于一个单独的VLAN; 每个FE交换端口和用户设备通过FE-to-Fiber单模光纤转换器连接;注:该转换连接不属本次工程范畴(4) Commercial Internet Access Concentrator 设备用于商业用户的高速Internet接入; 每一个FE交换端口属于一个单独的VLAN; 每个FE交换端口和用户设备通过FE-to-Fiber单模光纤转换器连接; 注:该转换连接不属本次工程范畴(5) Inter-VLAN Ro

20、uting 设备用作Inter-VLAN路由,这些VLAN是通过Switch建立起来的; 同时,该设备还用于Internet接入路由器; 设备在IGP中作为ABR,进行路由聚合;(6) Community Internet Access Concentrator 设备用于小区用户高速Internet接入; Supervisory Engine上的GE端口通过多模光纤连接到本地的MPLS core路由器上; VLANA1作用于Inter-VLAN路由器(MFSC)作为管理网段; VLAN通过FE-to-Fiber单模光纤转换器和小区的用户设备相连; 注:该转换连接不属本次工程范畴(7) Serv

21、er Hosting 设备(LAN交换机)用于连接各种主机托管服务器; Supervisory Engine上的GE端口通过单模光纤连接到远程的MPLS core路由器上; VLNA1作于Inter-VLAN路由器(MFSC)作为管理网段;(8) VLAN Management CE Router 设备作为一个CE路由器,连接中央网管网段,通过VPN连接到所有的用户VPN上,以便于中央网管对所有PECE链路和CE路由器进行管理; 一个FE端口连接到本地PE上网管专用FE端口,另一个FE端口连接到Local Server Hosting以太网交换机上,通过网管专用网段和网管主机相连接;(9) G

22、overnment Internet Access Concentrator 设备用作政府机构上网的接入集中器,提供高速Internet连接; 6509上的supervisory engine的GE口通过单模光纤连接到最近的MPLS Core Router; VLANA1作用于Inter-VLAN路由器(MFSC)作为管理网段; VLAN通过FE-to-Fiber单模光纤转换器和小区的用户设备相连; 注:该转换连接不属本次工程范畴三、网络架构深圳IP城域网在网络结构上分成核心层和接入层,在功能上提供VPN互连、高速商业Internet接入、高速小区Internet接入、政府上网接入、主机托管连

23、接等多种服务类别。因此,为了在一种清晰的结构上进行网络设计,对网络进行功能模块的划分,将深圳IP城域网分为以下几个模块: 核心骨干模块 Internet(163/169)连接点模块 IP VPN服务模块 商业Internet接入模块 小区Internet接入模块 政府上网接入模块 主机托管模块Backbone ModuleIP-VPNService ModuleCommercialInternet AccessService ModuleCommunityInternet AccessService ModuleGovernmentInternet AccessService ModuleSe

24、rver HostingService ModuleInternetPeering ModuleNetworkManagementModule3.1 核心骨干模块 (backbone)1、结构的城域网的核心骨干模块由分布在7个不同地点的7台Cisco GSR12012路由器构成,分别是:n M-SN-12012-A枢纽的GSR12012n M-HMG-12012-A黄木岗的GSR12012n M-DX-12012-A电信的GSR12012n M-NS-12012-A南山的GSR12012n M-XA-12012-A新安的GSR12012n M-LZ-12012-A龙中的GSR12012n M-

25、STJ-12012-A沙头角的GSR12012这7台GSR12012通过POS接口卡单模光纤以partial meshed结构互连;为了确保核心骨干模块的MPLS标签分配和路由表的稳定,这7台GSR12012及它们之间互相连接的Link必须独立地分配在IGP的area 0域中。从其它模块学到的路由在进入Core之前必须先进行Aggregate或Summarize,以免造成对Core的路由影响。Core AreaServiceModulesServiceModulesServiceModulesAggregated or Summary Routes OnlyDXLZHMGXANSSNSTJ2、

26、实现作为IP城域网的核心,要承载包括IPv4和MPLS VPN两种不同的traffic,所以,每台Core Router必须是能够支持Tag Switching。在这种配置下,MPLS VPN的traffic被Tag Switched,而普通IPv4的traffic被routed。下面是一台Core router的Sample configuration:Tag-switching advertise-tagsinterface pos 2/0 description “SM01 fiber link to M-XA-12012-A pos 2/0” ip address 123.123.1.

27、1 255.255.255.252 tag switching ip为了减少Tag Switch的目标lable,可以采取access list的方法来限制标签的分配。配置如下:Tag-switching advertise-tags for 1Access-list 1 permit 123.123.1.230 / loopback 0 address of M-SN-7507-AAccess-list 1 permit 123.123.1.231 / loopback 0 address of M-HMG-7513-AAccess-list 1 permit 123.123.1.232 /

28、 loopback 0 address of M-DX-7507-AAccess-list 1 permit 123.123.1.233 / loopback 0 address of M-NS-7507-AAccess-list 1 permit 123.123.1.234/ loopback 0 address of M-XA-7507-AAccess-list 1 permit 123.123.1.235/ loopback 0 address of M-LZ-7507-AAccess-list 1 permit 123.123.1.236/ loopback 0 address of

29、M-STJ-7507-A在上面的配置下,Tag Switching在限于目标地址是MultiProtocol BGP neighbor的Core Router的loopback地址,大大减轻了Core Router在Lable分配上的开销。其它traffic进行普通路由。3.2 Internet(163/169)连接点模块1、结构在本期IP城域网工程中,黄木岗和电信的两台Core Router:M-HMG-12012-A和M-DX-12012-A作为和163/169连接的边界路由器。其中,黄木岗M-HMG-12012-A通过一条OC-48链路连接到163;电信M-DX-12012-A通过一条G

30、E链路连接到163。Core Area163 BackboneDXLZHMGXANSSNSTJ在广东省163扩容工程结束后,这种连接将改变。到那时,2台新加入的GSR路由器M-SN-12012-B和M-NS-12012-B将代替本期工程中的2台边界路由器作为新的163出口路由器。边界路由功能随之而转移到新的GSR路由器上。在第六章中将详细讲述和163边界路由器的路由策略,包括如何在多出口点之间进行Inbound traffic和Outbound traffic的load balance,以及如何保证路由对称性的问题。2、实现深圳IP城域网和163网之间运行BGP路由协议,下面是M-HMG-12

31、012-A的Sample Configuration:router bgp 65001 no synchronization network 123.123.0.0 mask 255.255.224.0 neighbor 123.123.1.46 remote-as 123 neighbor 123.123.1.46 description “2.5 Gbps links to HB 163 Backbone” neighbor 123.123.1.46 version 4 neighbor 123.123.1.46 filter-list 1 in neighbor 123.123.1.46

32、 filter-list 10 outip as-path access-list 1 deny *ip as-path access-list 10 permit $ip route 123.123.0.0 255.255.224.0 null 0ip route 0.0.0.0 0.0.0.0 123.123.1.46城域网的边界路由器不从163路由器学习任何Internet路由,所有IP城域网不知道的路由都通过缺省路由送至163网络。3.3 IP VPN服务模块1、结构IP VPN服务模块包括向用户提供IP-VPN服务的路由器和交换机,路由器主要是7507或7513,交换机主要是2924

33、。这些设备包括:Provider Edge (PE) Router (Cisco 7500 series routers): M-SN-7507-A M-HMG-7513-A M-DX-7507-A M-NS-7507-A M-XA-7507-A M-LZ-7507-A M-STJ-7507-AVPN Access Concentrator (Cisco Catalyst 2924M-XL LAN switches): M-SN-2924-A M-HMG-2924-A M-DX-2924-A M-NS-2924-A M-XA-2924-A M-LZ-2924-A M-STJ-2924-A所有V

34、PN Access Concentrator 2924M-XL都是100MbaseT以太网交换机,通过GE链路连接到7500系列路由器上。该GE链路被定义为multi-VLAN Trunk。2924M-XL上的每个100M端口被映射到一个单独的VLAN上,7500路由器上为每个VLAN建立一个sub-interface。M-DX-7507-ARouter.VLAN 1xxVLAN 109Logically function as point-to-point linksRouter at customer site要向用户提供IP-VPN服务,需要进行下列步骤: 在VPN Access Con

35、centrator 2924M-XL上分配一个100M端口; 通过FE-to-Fiber单模光纤转换器连接用户端的设备; 将分配到的100M端口映射到VPN Access Concentrator 2924M-XL的一个VLAN上; 在PE 7500的GE端口上为该VLAN建立一个sub-interface; 将该sub-interface联系到一个VPN上; 在用户端,用户提供CE路由器通过100M端口连接到PE上。2、实现A、VLAN TrunkTrunk是交换机之间或交换机和路由器之间的点到点链路,trunk在整个网络内承载multi-VLAN的流量。目前有两种trunk封包技术,一种是

36、Cisco专用技术ISL(Inter Switch Link),另一种是IEEE 802.1Q,是国际标准。在本次城域网工程中,使用IEEE 802.1Q作为inter-VLAN的trunk封包技术。下面是2924M-XL用作VPN Access Concentrator的Sample Configuration:interface gigabitethernet 1/1 switchport mode trunk switchport trunk encapsulation dot1Q下面是PE路由器7500的trunk端口的Sample configuration:interface gi

37、gabitethernet 8/0/0.103 encapsulation dot1Q 103 ip address 123.123.4.1 255.255.255.252B、MPLS VPNMPLS采用虚拟路由表的方法来实现一个路由器上多个VPN的路由表。每一个VPN对应一个或多个VRFs(VPN routing/forwarding instance)。VRF定义连接到PE上的VPN成员(一个site)资格。一个VRF包括一个IP路由表、一个CEF(cisco express forwarding)表、几个相关联的端口、和一些控制路由的规则和参数。用户site和VPN之间可以不是一一对应的

38、,一个用户site可以是多个VPN的成员。但是,一个用户site只可以和一个VRF相关联。一个用户site的VRF包括所有该site所属VPN到该site的路由。数据包的路由和交换由VRF路由表和单独的CEF表所控制,每一个VPN对应一个路由表和一个CEF表,这样可以防止packet被交换到不关联的端口上去,同时也防止不关联的端口的packet被交换到该VPN中。VPN路由信息的传播由VPN route-target communities来控制,这主要是通过BGP的extended communities属性来实现的。VPN路由信息的传播通过下述的方法进行工作: 当一条从CE处学习到的VPN

39、路由被inject到BGP中时,一些VPN route target communities属性被赋于它;其中主要包括route-target属性,该属性决定这些route将被export到哪些VRF。 每个VRF配置有一个import route-target列表,该列表指明了一个BGP的update中的community属性应该包含什么route-target才能被目标VRF接受。比如,某一个VRF的import route-target列表指明route-target communities A、B和C,这样,每一个MP-iBGP的update中communities属性的route-t

40、arget中有A或B或C的route将被import到该VRF中。一个PE路由器可通过静态路由、RIP或BGP从CE处得到某一个IP前缀的路由,该前缀是标准IPv4的前缀。然后,PE通过加上一个8字节的RD(route distinguisher)将它转换成为一个VPN-IPv4的前缀。通过这种方法,可以使用户地址唯一,即使用户使用的是IANA规定的保留地址。用于生成VPN-IPv4前缀的RD(route distinguisher)由PE路由器的VRF配置命令指定。MP BGP协议为VPN的每个VPN-IPv4前缀传递NLRI(Network Layer Reachability Infor

41、mation)。BGP实体之间的通信有两种可能,AS内的iBGP和AS间的EBGP,PE-PE和PE-RR(route reflector)之间为iBGP,PE-CE之间为EBGP。BGP协议通过BGP多协议扩展(BGP multiprotocol extensions 参见RFC 2283, Multiprotocol Extensions for BGP-4)来传递VPN-IPv4的路由可达性信息,多协议扩展的BGP采用的方法为限定BGP的peer只能从其它VPN的同伴处得到BGP路由。IP包经过MPLS标签交换到其目标地址,其选路的基础是VRF路由表和VRF CEF表。PE路由器为每一个

42、从CE路由器学到的前缀产生一个label,然后将这个label作为一个BGP Communities属性附加到BGP更新中传递出去。当一个源PE路由器从CE路由器处得到一个IP包,它使用从目标PE路由器学到的label将该IP包发送出去。当目标PE路由器得到这个labeled IP包后,将label从IP包中去除,作为一个纯IP包发送到CE路由器。当labeled IP包在核心骨干部分传递时,其基于label switching或traffic engineered path进行,一个用户的IP包在核心穿行时,携带了2层label: 第一层label指示到正确的目标PE路由器; 第二层labe

43、l给目标PE路由器指示,到哪一个其连接的site链路。下面以黄木岗M-HMG-7513-A为例,给出建立一个名为“education”的VPN的sample configuration:Step1: create vrf instanceip vrf education ! Define VPN Routing instance “education” rd 65001:101 ! Specify the route distinguisher route-target both 65001:101 ! Configure import and export route-targets for

44、 “education”Step 2: Activating PE exchange of VPNv4 NLRI over iMP-BGP:router bgp 65001 ! Configure BGP sessions no synchronization no bgp default ipv4-activate ! Deactivate default IPv4 advertisements neighbor 123.123.1.230 remote-as 65001! Define IBGP session with another PE neighbor 123.123.1.230 description “M-SN-7507-A loopback” neighbor 123.123.1.230 update-source lo0address-family vpnv4 uni

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号