扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
VPN业务是目前在IP网开展的一项重要业务,由于该业务主要面向政府、教育、企业等集团用户,因此该业务能带来更多更稳定地收入,对提高网络的运营收益有着重要的意义。随着南京电信用户的发展、宽带网规模的扩大,要求被提供运营商级别的VPN业务服务的用户越来越多。如何立足于现有的宽带网基础平台,发挥已有设备的业务潜力并将已有的宽带业务用户带入新的VPN网络,是本次建设方案探讨的主要目的。
一、宽带IP城域网结构和使用设备
目前,南京宽带城域网以千兆以太网为基础构筑,采用分层汇接式的组织结构,网络拓扑结构以星形为主。宽带城域网拓扑如图1所示。
图1宽带城域网拓扑图
图1中,核心层核心汇接设备(MSR)采用Cisco系列7609路由器;汇聚层区域接入设备(LSR)采用Cisco系列6509路由器;接入层小区网设备(ZAN)采用Cisco系列2948路由器和为公司Ma5200宽带接入设备;LAN(局域网)方式接入地区的楼宇网设备(BAN)采用华为公司S2403F交换机,通过5类线接入用户;其他地区采用ADSL多业务接入设备DSLAM(数字用户线接入多路复用器),可通过电话线接入用户,以实现用户的宽带上网。
为简单起见,图1中仅给出一个核心的拓扑图,实际上南京宽带IP城域网含有四个MSR,分别负责各区域接入,四个MSR之间形成交叉互连,分流区间业务。
上面简要介绍了宽带IP城域网核心层、汇聚层和接入层的结构和设备,如何在现有网络上建设MPLSVPN网络,开展VPN业务,下面将详细讨论。
MPLSVPN包括2大类:基于RFC2547,采用BGP协议的MPLSVPN;基于虚拟路由器,采用IGP协议的VPN。目前广泛使用的是基于RFC2547的MPLSVPN。
根据MPLS系统实现的功能目标,系统可分为三个功能模块。
1.MPLS核心层次P
负责在核心其他P或PE角色的MPLS路由器间交换LDP(标签分配协议),标签TAG的寻址和重新填写以及流量工程寻找最佳的资源路径。
2.MPLS接入层次PE
负责与CE进行VRF虚拟路由表的路由寻找,与负责在核心其他P或PE角色的MPLS路由器间交换LDP协议。
3.MPLS用户层CE
生成用户方的VRF路由表,与PE进行VRF的路由统一寻找,将VPN用户接入MPLS主干。
二、模型设计
1.MPLSVPN连接模型之一
图2MPLSVPN连接模型1
对图2进行一些说明:
(1)PE路由器,运营商边缘路由器(边缘LSR/LER),使用MPLS与PE相连,使用普通IP技术和CE(用户边缘路由器)相连;
(2)IPv4地址在同一个VPN为唯一,在不同VPN之间可以互相重叠;
(3)PE路由器之间通过MP-iBGP互连,传递各个VPN内部路由信息;
(4)在PE路由器内通过VRF(VPNroutingandforwarding)隔离VPN路由与数据。
2.M
PLSVPN连接模型之二
图3MPLSVPN连接模型2
对图3也同样进行一些说明:
(1)PE和CE路由器之间可以通过静态、OSPF、RIPv2、EBGP交换路由信息;
(2)CE路由器使用标准的路由软件;
(3)PE路由器必须维护多个分离的路由表;
(4)全局路由表包括所有的PE路由,通过VPN骨干(即ISP)IGP生成;
(5)如果不同的CE使用相同的路由信息,则与相连的端口使用相同的VRF;
(6)由CE收到的路由放入相应的VRF;
(7)通过使用VRF,不同VPN可以使用相同的地址空间。
3.M
4、PLSVPN数据转发模型
图4M
PLSVPN数据转发模型
(1)在全局路由表内,PE路由器存储了IGP路由和与其相关的标签,该标签通过LDP/TDP分发;
(2)在VRF内,PE路由器存储了VPN路由和与其相关标签,该标签通过MP-BGP分发;
(3)MPLSVPN使用两级标签转发数据,外部标签为由IGP产生,对应远端PE地址,该PE地址为MP-BGP内VPN路由的下一跳,内部标签对应VPN路由,用于区分不同VRF。
三、建设方案
考虑到各方面因素,本方案以南京电信宽带城域网中四个PE为核心,达到基本覆盖全南京市各个城区和郊县为目的。该方案具有技术先进、大容量、高带宽、接入方式灵活等特点,完全可以作为政府和企业网上办公的公用网络。
1、
1.PE点的选择
目前,网上LSR共有26台Catalyst6509交换机,分为大容量节点和中容量节点两类。大容量节点每台配置2块交换引擎模块,1块SFM模块,3块16端口GE模块,剩余3个空槽位;中容量节点每台配置2块交换引擎模块,1块SFM模块,1块16端口GE模块,剩余5个空槽位。
通过Catalsyt6509开展MPLSVPN业务,必须使用OSM模块,目前共有4块4端口GEOSM模块,为了不对网络核心设备产生影响,选择4台LSR作为试验网设备,每台LSR设备安装1块OSM模块。作为试验设备的LSR应该具备一定的用户接入需求、光路资源丰富等条件,以方便调配光路由,接入用户。综合多方面的因素,最终选择PE1、PE2、PE3、PE4共4个节点作为试验节点。
2.MPLS-VPN网络连接
为了连接更多的设备,用户接入设备仍然连接到普通以太网端口,同时使用1个普通以太网端口连接到OSM端口,在接入用户设备的以太网端口和连接OSM模块的以太网端口之间采用二层桥接方式实现二层连接。
为了满足各个用户的就近接入,可以采用接入层设备MA5200将MPLSVPN用户透传到LSR的方法,对于没有OSM模块的LSR,可以在该LSR与具有OSM模块的LSR之间增设光纤连接,将其MPLSVPN用户透传到OSM模块的方法来解决。
3.VLAN用户接入方式
用户接入方式无论是FTTX+LAN接入还是XDSL接入均是将用户VLAN透传至PE。
4.VLAN规划
Catalyst6509交换机目前支持1000个VLAN。每个LSR的1-100号VLAN用于LSR和ZAN的互联,VLAN101-1000给VPN用户用,每个LSR预分配100个VPNVLAN,剩余VLAN机动分配 。最新的12.1(13)E可支持4096个VLAN(802.1Q的最大值)。
5.VPN用户IP地址分配
用户可以自己分配地址,也可以由局方分配。
6.MPLSPE配置
该配置是指四个PE的配置,包括以下几个方面:
(1)MPLSPE地址分配。包括Loopback1地址和相互之间的互连地址分配、用户地址分配等;
(2)ISIS编码规则的确定。用49.0001.xxxx.xxxx.xxxx.00表示,其中xxxx.xxxx.xxxx为loopback1地址;
(3)RD(路由区分符)规则的确定。可以使用AS号(16bit)+自定义号码(32bit)的方式。AS号就用南京BIP的BGPAS号64512。自定义号码可以从100开始;
(4)PE配置包括配置loopback地址,启动MPLS;配VRF,PE-CE路由;配MBGP,PE-PE路由等。
7.未作为PE的LSR和作为PE的LSR连接
通过重新申请光路由来连接PE的LSR和非PE的LSR,将非PE的LSR的信息通过2层透传到PE的LSR中再做处理。
8.PE和CE的路由选择
PE和CE之间的路由采用普通路由的方式来联系。路由方式可采用包括OSPF,RIPv2,EBGP和静态路由等在内的路由方式。
四、方案实现
为讨论方便,以某政府VPN网部分用户为例。
1.MPLSVPN组网图
图5 MPLS VPN组网图
图中,MPLSVPNPE点有四个,它们均含有OSM摸块。
PE1点通过7/10下联玄武大厦MA5200,玄武大厦MA5200通过0/1和0/2口下挂两台2403F交换机,每台交换机各下挂一个信息点,兰园点的vlan号为102,信息中心点的vlan号为101。
后宰门LSR通过8/4下挂后宰门MA5200,后宰门MA5200通过1/3下挂2403F交换机,交换机下有一个信息点后宰门,vlan号为301。
该图主要实现某政府网中兰园、信息中心和后宰门三个点的VPN。
2.地址分配
3.ISIS编码规则
用49.0001.xxxx.xxxx.xxxx.00表示,其中xxxx.xxxx.xxxx为loopback 1地址
PE1:49.0001.0100.0200.1001.00
PE2:49.0001.0100.0200.1002.00
PE4:49.0001.0100.0200.1003.00
PE3:49.0001.0100.0200.1004.00
4.RD规则
可以使用AS号(16bit)+自定义号码(32bit)的方式。AS号就用南京BIP的BGPAS号64512。自定义号码可以从100开始。这样,某政府的vrfrd号就是64512:101。
5.PE1点的配置
配置loopback接口、启动MPLS;配MBGP,PE-PE路由。
以在PE1普通GE口7/10下联5200上信息中心点和兰园点开通某政府VPN网为例,其中信息中心在鼓楼5200下0/2口2403F的第24口,VLAN号为101;兰园在鼓楼5200下0/1口2403F的第24口,VLAN号为102。
6.玄武大厦MA5200的配置
兰园点VLAN号为102的透传;信息中心点VLAN号为101的透传。
7.2403F交换机的配置
在5200上先进入2403配置模式,用setport和set vlan 命令设置VLAN及包含的端口。兰园点所对应的2403F交换机24口VLAN号配为102。信息中心点所对应的2403F交换机24口VLAN号配为101。
8.PE4点的配置
配置loopback接口、启动MPLS;配MBGP,PE-PE路由。
以在后宰门LSR普通GE口8/4下联5200上后宰门点开通某政府VPN网为例,其中后宰门点在后宰门MA5200下1/3口2403F的第24口,VLAN号为301;由于后宰门LSR不具备开通MPLSVPN的条件,重新打开一条光路将后宰门LSR的9/1和PE4的9/2口连接,通过二层透传的方式来开通MPLS。配置项为:PE4配VRF,PE-CE路由;PE4验证VPN的配置;PE4的9/2口配置;后宰门LSR9/1口的二层配置;将后宰门6509和5200的互联接口配成TRUNK等。
9.后宰门MA5200的配置
后宰门点VLAN号为301的透传。
10.2403F交换机的配置
在5200上先进入2403配置模式,用setport和set vlan 命令设置VLAN及包含的端口。后宰门点所对应的2403F交换机24口VLAN号配为301。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。