MPLS组网规划及部分案例 .ppt

《MPLS组网规划及部分案例 .ppt》由会员分享，可在线阅读，更多相关《MPLS组网规划及部分案例 .ppt（51页珍藏版）》请在三一办公上搜索。

1、江西政务网G路由器MPLS组网规划介绍沈阳盘锦G路由器丢包处理 IP INSPECT单向访问分析及配置新疆G路由器QOS组网案例,课程提纲,项目背景介绍,江西省政务网是全国第一个覆盖全省各个县一级的政府网络，是作为全国的省政务网的一个样板点。江西省政务信息网纵向网是江西省政府电子政务的基础平台，为省委、省人大、省政府、省政协、省直各部门和地方政务部门统一提供联网和信息交流的内部网络。省政务信息网在结构上分为核心政务网、政务专网和政务公众网。核心政务网主要运行党委、政府、机要等各类涉密办公业务；政务专网主要运行政务各部门非涉密的内部办公业务；政务公众网面向企业和公众服务。核心政务网于政务专网之间

2、物理隔离，政务专网与政务公众网之间逻辑隔离。,项目背景介绍,本项工程主要建设“江西省政务信息网纵向网”（包括政务专网和政务公众网，以下简称纵向网），即建设省级政务信息网统一平台以及将省级政务信息网延伸至各设区市，并为省政务信息网进一步延伸至县级政务部门奠定坚实的基础。纵向网工程分为省级统一平台和11个设区市统一平台。江西省政务网工程实施分为南外网和北外网，南外网工程实施包给深圳现代系统集成公司，北外网工程实施交给港湾公司；其中南外网包含5个地级市，42个施工现场分布在近32个县10个区；北外网含有6个地级市，56个施工现场分布在37个县19个区，特别是九江（10个县 4个区）、上饶（11个县

3、2个区）、抚州（10个县 2个区）三个地市面积大；此次主要对北外网工程规划内容进行描述：,北外网工程设备统计：,工程设备,单模光纤,双绞线,42M SDH,临川区,100M光纤直连,黎川县,广昌县,宜黄县,南城县,乐安县,东乡县,资溪县,金溪县,崇仁县,南丰县,42M E1,s8016,图6-1-1100-2,原有路由器M5,NetHammerG908,上联省中心,Internet,NetHammerG704,市级平台扩容设备,s3526,s3526,FlexHammer5010,抚州市政务外网市级平台扩容拓扑图,市中心机房,4*2M E1,单模光纤,双绞线,2M SDH,100M光电转换器,

4、广丰县,余干县,玉山县,横峰县,德兴市,万年县,上饶县,波阳县,婺源县,信州区,铅山县,NetHammer908配有48个1模块,原有路由器M5,新扩路由器,上联省中心,图6109002,弋阳县,NetHammer908,NetHammer704,NetHammer704,FlexHammer5010,上饶市政务外网市级平台拓扑图,财政,劳动,公积金中心,工商,1000M,人武部,卫生,县委、人大、政府、政协计委、民政、水利,政务外用基站,网管(计委),计生委,办证中心,服务器,百兆防火墙,服务器,千兆单模,百兆单模,双绞线,百兆光纤收发器,小于20Km,市政务信息网,520基站,图6-201

5、012,NetHammerG704,mHammer3550-24,4台mHammer2024E,南昌市南昌县政务外网市县拓扑图,单模光纤,2M SDH,贵溪市,余江县,龙虎山,4*2M,4*2M,4*2M,市政务信息外网,S3526FS,s8016,S5516,3台S3026E-FS,双绞线,图6106002,原有路由器M5,上联省中心,NetHammerG704,FlexHammer5010,月湖区,5000m,NetHammerG704,鹰潭市政务外网县市接入拓扑图,市网管中心,光端机,N*2M SDH,双GE单模,浮梁县网管中心,乐平县网管中心,原有路由器M5,华为5516,华为3026

6、FS,华为3026FS,华为3026FS,华为3026FS,图6-1-0300-2,单模百兆,上联省中心,4X2M SDH,华为5516,华为5516,华为8016,FlexHammer5010,昌江区网管中心,FlexHammer5010,珠山区网管中心,FlexHammer5010,NetHammer704,通信运营商,单模百兆,双绞线,景德镇市政务外网市级平台拓扑图,单模光纤,双绞线,2M SDH,4X2M SDH,原有路由器M5,新扩路由器,庐山区,上联省中心,九江县,瑞昌县,武宁县,修水县,永修县,德安县,星子县,湖口县,都昌县,彭泽县,庐山管理局,FlexHammer5010,Ne

7、tHammer908,NetHammer704,共青城,NetHammerG704,NetHammer704,s8016,S3026E-FS,S3026E-FS,九江市政务外网县市接入拓扑图,财政局（800米）,工商局（600米）,县政府计委、物价局,县委（1100米）,单模光纤,双绞线,2M SDH,中心交换机,路由器,县政协（1100米）,县人大（1100米）,县卫生局（500米）,光电转换器,图6-2-0201-2,中心机房(县计委),光端机,4*2M SDH,市政务专网,通信运营商,NetHammer704,FlexHammer5010,mHammer2024,九江市九江县政务外网县市

8、接入拓扑图,192.168.96.0-192.168.111.255 设备互联和管理地址172.22.0.0-172.22.255.255 VPN地址10.96.0.0-10.127.255.255 用户地址,分配给九江地区地址段：,九江地区IP地址总体规划,设备互联地址分配表,由于目前对于县级设备来说还是比较少，考虑到IP的长期规划，我们对每个县分配1个C的地址段，并且对这个C段地址进行细化，分成16个地址段，每个地址段提供14个实用地址，对于县级设备的互联和管理地址我们用192.168.X.241 192.168.X.254子网掩码为28位，整个县级设备的管理我们通过划分管理VLAN来实现

9、（具体见附表）；其余的地址段将预留作为以后乡镇级设备的扩展；对于浔阳区、庐山区、庐山管理局、共青城开发区，都是属于九江市区的接入节点，所以只是对这些地区分配半个C的地址段作为互联和管理用，多余的地址为将来街道办的单位接入做预留；,互联地址分配说明,PE互联地址分配表,对于九江地区市县互联的PE路由器设备，我们提供一个新的C类地址作为设备的互联地址使用（192.168.110.0-192.168.110.255）；由于考虑到以后县级网络设备的扩展能够保持地址的连续性，并且目前设备地址比较充裕，所以每个县的核心设备互联地址我们按1：2的原则进行分配，地址划分从高位递减：其中192.168.110.

10、1-192.168.110.151作为九江地区市县互联设备扩容预留下来；,PE互联地址分配说明,管理地址（LOOPBACK）分配表,九江地区一共有县级12台G7路由器，市级1台G9路由器，市县间路由将通过OSPF协议来实现；我们使用192.168.111.0 192.168.111.255的地址段作为市县联网路由器的LOOPBACK地址，为考虑到网络以后的扩展能够保证地址的连续性，地址分配我们按照1：2的比例进行分配；地址分配从大到小的方式进行，地址越大表明此设备的层次越高。给各互联的PE路由器分配一个Loopback地址，该地址可作为OSPF的Router ID，并作为telnet管理或pi

11、ng测试的目的地址。未使用的保留。,管理地址（LOOPBACK）分配说明,纵向VPN地址分配表,1、省信息中心为九江地区分配1个B类地址段：172.22.0.0 172.22.255.255,纵向VPN地址分配说明,2、每个划分VPN的行业分配一个C类地址。172.22.y.0中 y代表行业编号，其中0-10不对应相关的行业单位，留做扩展使用，编号从11开始。,3、对于Test行业来说，我们假设每个县都有这个行业，所以对于九江地区来说，它有15个县级单位，对这个C的地址段，我们将其划分为16个段，每个地址段14个实用地址，也就每个县的Test行业可以分到14地址，将此14个地址的最高位作为当地

12、Test行业的网关来用，其他要接入的行业按地址排序进行编排；,用户段IP地址分配表,省信息中心分给九江地区的用户IP段一共有32个B类地址（10.96.0.010.127.255.255），对于用户段IP地址的分配，我们按照区域来进行划分，划分到县一级，对于县一级的IP地址段，我们根据行业的不通来进行细化，通过对县一级区域划分的原则可以保证地址的连续性和路由的聚合，对于路由条目的减少有一定的帮助；,用户段IP地址分配说明,对于九江地区用户段IP分配，我们对每个县分配一个B类地址，对于县级的行业我们给每个行业分配一个C的地址段（10.x.y.0其中y的从010不进行分配，预留做政务专网的服务平台

13、和扩展使用），多余的C类地址留给县一级的乡镇用户使用；其中10.96.0.010.96.255.255地址段留给了市级平台的业务接入。,江西省政务网目前在省到市的核心网络中，已经运用了OSPF协议，其AREA为0，其中在前期的实施中，九江市级设备的M5和华为的S8016已经通过OSPF协议连接起来，AREA为10.96.0.0，对于新增加的市级和县级平台的13台G系列路由器也加入到AREA 10.96.0.0域中，可以减少整网的路由复杂性。对于市级平台和县级平台的PE CE互联，通过静态路由来实现。由于CE下联的网络结构相对非常的简单，并且网络地址进行了成块的划分；路由都可以汇聚成一条或者数目

14、较少的几条，这时应用静态路由是最简单、最高效的，而且网络的维护非常方便。,路由协议的实施,本次工程的市县互联的整网路由规划为：市局PE路由器到县级PE路由器使用OSPF路由协议、PE路由器到CE设备通过静态路由实现。,IGP实施规划,政务网在MPLS市县区域内的IGP采用动态的、基于链路状态的OSPF协议。1、区域的划分 PE路由器只在内部互联端口运行OSPF，使用一个Area（10.96.0.0）进行路由交换。2、路由的引入 在各地市的PE设备上，通过Network命令将PE设备的loopback地址和互连端口地址引入到OSPF协议中去。采用redistribute命令引入静态或其他协议的路

15、由。,由于BGP邻居之间传递的路由信息不会再传递到其它的邻居，按照BGP协议的要求，所有这些路由器必须保证是全连通的，即：任意两台路由器之间都必须配置邻居关系。这样会导致N平方问题，为了解决这个问题，必须使用BGP反射器技术。市级的G908作为反射器，其他县级的G704路由器作为这个反射器的客户机。,对于市县互联的PE设备使用BGP协议，用于携带VPN路由的标记，在MPLS域传播MPLS VPN路由。,BGP协议规划,各业务PE和CE之间运行静态路由。在PE上配置网段为本地，下一跳指向CE的静态路由，然后引入到MP-BGP协议中，发布到其他地市；同时，在CE上配置目的网段为其他县市，下一跳为P

16、E的静态路由。并在网管的CE设备上配置一条指向PE的静态缺省路由。,静态路由规划,RDrouter distinguish：使用16bits：32bits格式，分配规则为 地域：行业号其中“地域”为IP地址网段a.x.y.0的x，用3位表示；“行业号”为IP地址网段a.x.y.0的y，用3位表示；例如：九江地区纵向VPN TEST行业，IP地址为172.22.254.0，RD表示为22：254,VRF：采用实名的全拼对VRF命名。例如：统计局VRF命名为TongJi,MPLS VPN的规划,RT-Route-target：使用16bits：32bits格式，分配规则为 VPN类别：行业号其中“

17、VPN类别”为IP地址网段a.x.y.0的a，用3位表示；“行业号”为IP地址网段a.x.y.0的y，用3位表示；例如：九江地区纵向VPN TEST行业，IP地址为172.22.254.0RT表示为172：254,MPLS VPN的规划,设备命名规则,为了保证以后的管理方便，设备命名需有一定的规范性。根据全网的命名规则，采用以下命名方法：AA-BBxyyyy-zz。其中AA表示市地名全拼的第一个字母，BB表县名全拼的第一个字母，x表示交换机（s）或路由器（r），yyyy表示设备型号，如G704路由器则使用G704，zz表示设备序号，用01，02等表示。例如：九江县信息中心的路由器G704命名J

18、J-JJRG908-01。,0-1：保留2：设备网络管理3：VOIP4-6：保留7：Internet出口8：专网公众网服务器（仅省级平台使用）9：网络管理平台及工作站10：专网内部应用服务器及开发工作站11-255：互连互通平台使用，VLAN ID为IP地址a.x.y.0的y。511-755：全省行业内纵向VPN使用，VLAN ID为IP地址a.x.y.0的y+500。1000-3900：保留39004094：M20-S8016-S5516、M5-S8016互连,VLAN ID分配,端口描述规则对于PE设备互联和连接PE的CE设备我们都要求提供端口描述，为了以后管理和维护的方便制定如下规则：D

19、escription TO-设备名称-接口号例：九江市G908到九江县的G704的接口描述：Description TO-JJ-JJRG704-01-FE0/1,VLAN命名规则和端口描述规则,VLAN命名规则V+VLAN-ID例如：Test使用vlan 754，命名为V754。（其中754为VLAN ID）,江西政务网G路由器MPLS组网规划介绍沈阳盘锦G路由器丢包处理 IP INSPECT单向访问分析及配置新疆G路由器QOS组网案例,课程提纲,老拓扑图,新拓扑图,测试一 盘锦电信,测试一 盘锦网通,测试一 沈阳网通,测试一 Quidway 8850,测试二 盘锦电信,测试二 盘锦电信,江西

20、政务网G路由器MPLS组网规划介绍沈阳盘锦G路由器丢包处理 IP INSPECT单向访问分析及配置新疆G路由器QOS组网案例,课程提纲,HOS路由器支持两种报文过滤模式：1、普通过滤模式2、基于连接状态检测的过滤模式缺省使用普通模式，,HOS中的过滤模式,使用普通模式时，接口收发的所有报文都要进行访问控制列表检查，过滤的基本单位是报文。使用基于连接状态检测的过滤模式时，只需对连接发起报文进行访问控制列表检查，该连接上的后续报文不再进行过滤检查，过滤的基本单位是连接。,配置举例,如上图所示，要在路由器上通过设置，达到192.168.0.0/24能够访问192.168.1.0/24，而192.16

21、8.1.0/24不能访问192.168.0.0/24 的效果。,!Current configuration:hostname router!access-list 100 permit ip 192.168.0.0/24 192.168.1.0/24access-list 101 deny ip 192.168.1.0/24 192.168.0.0/24ip inspect on 打开基于连接状态检测的模式ip filter on 打开包过滤功能!interface eth0/0 ip address 192.168.0.1/24 ip access-group 100 in 在入连接应用列

22、表100 ip access-group 101 out 在出连接应用列表101!interface eth0/1 ip address 192.168.1.1/24!end,配置举例,一定要打开ip inspect on功能，使过滤基于连接模式，否则通信双方都会不通。,江西政务网G路由器MPLS组网规划介绍沈阳盘锦G路由器丢包处理 IP INSPECT单向访问分析及配置新疆G路由器QOS组网案例,课程提纲,吐哈油田设备拓扑图,MP下的处理方式,G704鄯善,G704哈密,A1,B1,A2,A3,A4,B2,B3,B4,无线网络传输,港湾路由器在这种E1捆绑下，会选择第一条链路作为主链路（A1

23、B1），其他链路（A2B2、A3B3、A4B4）为次链路；一旦Vitual Access接口UP起来之后，所有的报文会按照逐包方式从上到下进行轮训的转发；鄯善端G704如此，哈密端G704也是如此。,MP下的处理方式,当拔下一条非主链路时：如拔下鄯善A2端的E1线路时，鄯善G704会立刻检测到：A2链路已经DOWN掉，但Vitual Access接口不会DOWN；并且后面VA上的报文不会再从A2上发出；但与此同时，它对端B2链路并不会DOWN，而且哈密G704会不断往这个B2链路上发送报文，从而造成了丢包。直到A2B2这条链路的KEEPALIVE报文超时，哈密G704才不会再往B2链路上发送报

24、文；KEEPALIVE超时一般为2分钟；,当拔下主链路时（A1B1）：整个VA接口将直接DOWN掉，所有报文将全部丢失，直到VA重新建立才可能恢复。,MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7IYmZkyEmZ0kGeYZS3bpLCkYH1lt4EK7CxmUX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu7qSd1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8LbU

25、N1G6ACURQ39eG12KHL9tXsZ1jzgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49BmCN5oy9VesHpKzdjTKwjrkCEQCFDehVmGax3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8gpPCBRYjq77VcnbXumNE1yGfyTsbSj89J63kRTKDkKUg3

26、mdS5sJ4X5cQ8dK7oW9IkScssECQdz2O9UTlpRjAFPChjhLdzopQzwxQf8ozdzOhogwAooXpUF83BX4C3jRgjDJiiXEUDMaNz4vQ4n164vspddHvOIVuBBdMA4xp1YhiHk0vOJ8TL1BxogzVlMpmod6ianYGmksQq6NWCEd56hZF4wfaNyZcrGfNxnPiG6ZAxSkfmhJAKtNmCqbRmppeXp8inz4eq3HkWCMSORyMMX522xpHG6basNr6KQfbZsFbHjzyNlJrruLolKFcC84dqfijBO5Dy2NaBcNEBPgQrT12PgpcKx2or2YChN5DPjs80zzdtdAdTKuW4uVv9bbZu3K2SZ2aEhTlIC1UqrIWibkzwHh6p8gLv26zr01mJybfOzFc4T7kQH1IpPwOzMDnAKPLsLrznXGjFNIA9bSWWms6ibKZwQIKrMzalwbFrQJvOP1rPH8rx2KkyYqrtQk5VRwM1HSX,