科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道MPLS VPN网建设方案探讨

MPLS VPN网建设方案探讨

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如何立足于现有的宽带网基础平台,发挥已有设备的业务潜力并将已有的宽带业务用户带入新的VPN网络,是本次建设方案探讨的主要目的。

作者:杨晓梅 高宏星 来源:通信世界网 2008年6月19日

关键字: VPN MPLS

  • 评论
  • 分享微博
  • 分享邮件

    VPN业务是目前在IP网开展的一项重要业务,由于该业务主要面向政府、教育、企业等集团用户,因此该业务能带来更多更稳定地收入,对提高网络的运营收益有着重要的意义。随着南京电信用户的发展、宽带网规模的扩大,要求被提供运营商级别的VPN业务服务的用户越来越多。如何立足于现有的宽带网基础平台,发挥已有设备的业务潜力并将已有的宽带业务用户带入新的VPN网络,是本次建设方案探讨的主要目的。

    一、宽带IP城域网结构和使用设备

    目前,南京宽带城域网以千兆以太网为基础构筑,采用分层汇接式的组织结构,网络拓扑结构以星形为主。宽带城域网拓扑如图1所示。


图1宽带城域网拓扑图

    图1中,核心层核心汇接设备(MSR)采用Cisco系列7609路由器;汇聚层区域接入设备(LSR)采用Cisco系列6509路由器;接入层小区网设备(ZAN)采用Cisco系列2948路由器和为公司Ma5200宽带接入设备;LAN(局域网)方式接入地区的楼宇网设备(BAN)采用华为公司S2403F交换机,通过5类线接入用户;其他地区采用ADSL多业务接入设备DSLAM(数字用户线接入多路复用器),可通过电话线接入用户,以实现用户的宽带上网。

    为简单起见,图1中仅给出一个核心的拓扑图,实际上南京宽带IP城域网含有四个MSR,分别负责各区域接入,四个MSR之间形成交叉互连,分流区间业务。

    上面简要介绍了宽带IP城域网核心层、汇聚层和接入层的结构和设备,如何在现有网络上建设MPLSVPN网络,开展VPN业务,下面将详细讨论。

    MPLSVPN包括2大类:基于RFC2547,采用BGP协议的MPLSVPN;基于虚拟路由器,采用IGP协议的VPN。目前广泛使用的是基于RFC2547的MPLSVPN。

    根据MPLS系统实现的功能目标,系统可分为三个功能模块。

    1.MPLS核心层次P

    负责在核心其他P或PE角色的MPLS路由器间交换LDP(标签分配协议),标签TAG的寻址和重新填写以及流量工程寻找最佳的资源路径。

    2.MPLS接入层次PE

    负责与CE进行VRF虚拟路由表的路由寻找,与负责在核心其他P或PE角色的MPLS路由器间交换LDP协议。

    3.MPLS用户层CE

    生成用户方的VRF路由表,与PE进行VRF的路由统一寻找,将VPN用户接入MPLS主干。

    二、模型设计

    1.MPLSVPN连接模型之一


图2MPLSVPN连接模型1

    对图2进行一些说明:

    (1)PE路由器,运营商边缘路由器(边缘LSR/LER),使用MPLS与PE相连,使用普通IP技术和CE(用户边缘路由器)相连;

    (2)IPv4地址在同一个VPN为唯一,在不同VPN之间可以互相重叠;

    (3)PE路由器之间通过MP-iBGP互连,传递各个VPN内部路由信息;

    (4)在PE路由器内通过VRF(VPNroutingandforwarding)隔离VPN路由与数据。

    2.M

    PLSVPN连接模型之二


图3MPLSVPN连接模型2

    对图3也同样进行一些说明:

    (1)PE和CE路由器之间可以通过静态、OSPF、RIPv2、EBGP交换路由信息;

    (2)CE路由器使用标准的路由软件;

    (3)PE路由器必须维护多个分离的路由表;

    (4)全局路由表包括所有的PE路由,通过VPN骨干(即ISP)IGP生成;

    (5)如果不同的CE使用相同的路由信息,则与相连的端口使用相同的VRF;

    (6)由CE收到的路由放入相应的VRF;

    (7)通过使用VRF,不同VPN可以使用相同的地址空间。

    3.M

    4、PLSVPN数据转发模型


图4M

    PLSVPN数据转发模型

    (1)在全局路由表内,PE路由器存储了IGP路由和与其相关的标签,该标签通过LDP/TDP分发;

    (2)在VRF内,PE路由器存储了VPN路由和与其相关标签,该标签通过MP-BGP分发;

    (3)MPLSVPN使用两级标签转发数据,外部标签为由IGP产生,对应远端PE地址,该PE地址为MP-BGP内VPN路由的下一跳,内部标签对应VPN路由,用于区分不同VRF。

    三、建设方案

    考虑到各方面因素,本方案以南京电信宽带城域网中四个PE为核心,达到基本覆盖全南京市各个城区和郊县为目的。该方案具有技术先进、大容量、高带宽、接入方式灵活等特点,完全可以作为政府和企业网上办公的公用网络。

    1、

    1.PE点的选择

    目前,网上LSR共有26台Catalyst6509交换机,分为大容量节点和中容量节点两类。大容量节点每台配置2块交换引擎模块,1块SFM模块,3块16端口GE模块,剩余3个空槽位;中容量节点每台配置2块交换引擎模块,1块SFM模块,1块16端口GE模块,剩余5个空槽位。

    通过Catalsyt6509开展MPLSVPN业务,必须使用OSM模块,目前共有4块4端口GEOSM模块,为了不对网络核心设备产生影响,选择4台LSR作为试验网设备,每台LSR设备安装1块OSM模块。作为试验设备的LSR应该具备一定的用户接入需求、光路资源丰富等条件,以方便调配光路由,接入用户。综合多方面的因素,最终选择PE1、PE2、PE3、PE4共4个节点作为试验节点。

    2.MPLS-VPN网络连接

    为了连接更多的设备,用户接入设备仍然连接到普通以太网端口,同时使用1个普通以太网端口连接到OSM端口,在接入用户设备的以太网端口和连接OSM模块的以太网端口之间采用二层桥接方式实现二层连接。

    为了满足各个用户的就近接入,可以采用接入层设备MA5200将MPLSVPN用户透传到LSR的方法,对于没有OSM模块的LSR,可以在该LSR与具有OSM模块的LSR之间增设光纤连接,将其MPLSVPN用户透传到OSM模块的方法来解决。

    3.VLAN用户接入方式

    用户接入方式无论是FTTX+LAN接入还是XDSL接入均是将用户VLAN透传至PE。

    4.VLAN规划

    Catalyst6509交换机目前支持1000个VLAN。每个LSR的1-100号VLAN用于LSR和ZAN的互联,VLAN101-1000给VPN用户用,每个LSR预分配100个VPNVLAN,剩余VLAN机动分配 。最新的12.1(13)E可支持4096个VLAN(802.1Q的最大值)。

    5.VPN用户IP地址分配

    用户可以自己分配地址,也可以由局方分配。

    6.MPLSPE配置

    该配置是指四个PE的配置,包括以下几个方面:

    (1)MPLSPE地址分配。包括Loopback1地址和相互之间的互连地址分配、用户地址分配等;

    (2)ISIS编码规则的确定。用49.0001.xxxx.xxxx.xxxx.00表示,其中xxxx.xxxx.xxxx为loopback1地址;

    (3)RD(路由区分符)规则的确定。可以使用AS号(16bit)+自定义号码(32bit)的方式。AS号就用南京BIP的BGPAS号64512。自定义号码可以从100开始;

    (4)PE配置包括配置loopback地址,启动MPLS;配VRF,PE-CE路由;配MBGP,PE-PE路由等。

    7.未作为PE的LSR和作为PE的LSR连接

    通过重新申请光路由来连接PE的LSR和非PE的LSR,将非PE的LSR的信息通过2层透传到PE的LSR中再做处理。

    8.PE和CE的路由选择

    PE和CE之间的路由采用普通路由的方式来联系。路由方式可采用包括OSPF,RIPv2,EBGP和静态路由等在内的路由方式。

    四、方案实现

    为讨论方便,以某政府VPN网部分用户为例。

    1.MPLSVPN组网图


图5 MPLS VPN组网图

    图中,MPLSVPNPE点有四个,它们均含有OSM摸块。

    PE1点通过7/10下联玄武大厦MA5200,玄武大厦MA5200通过0/1和0/2口下挂两台2403F交换机,每台交换机各下挂一个信息点,兰园点的vlan号为102,信息中心点的vlan号为101。

    后宰门LSR通过8/4下挂后宰门MA5200,后宰门MA5200通过1/3下挂2403F交换机,交换机下有一个信息点后宰门,vlan号为301。

    该图主要实现某政府网中兰园、信息中心和后宰门三个点的VPN。

    2.地址分配

    3.ISIS编码规则

    用49.0001.xxxx.xxxx.xxxx.00表示,其中xxxx.xxxx.xxxx为loopback 1地址

    PE1:49.0001.0100.0200.1001.00

    PE2:49.0001.0100.0200.1002.00

    PE4:49.0001.0100.0200.1003.00

    PE3:49.0001.0100.0200.1004.00

    4.RD规则

    可以使用AS号(16bit)+自定义号码(32bit)的方式。AS号就用南京BIP的BGPAS号64512。自定义号码可以从100开始。这样,某政府的vrfrd号就是64512:101。

    5.PE1点的配置

    配置loopback接口、启动MPLS;配MBGP,PE-PE路由。

    以在PE1普通GE口7/10下联5200上信息中心点和兰园点开通某政府VPN网为例,其中信息中心在鼓楼5200下0/2口2403F的第24口,VLAN号为101;兰园在鼓楼5200下0/1口2403F的第24口,VLAN号为102。

    6.玄武大厦MA5200的配置

    兰园点VLAN号为102的透传;信息中心点VLAN号为101的透传。

    7.2403F交换机的配置

    在5200上先进入2403配置模式,用setport和set vlan 命令设置VLAN及包含的端口。兰园点所对应的2403F交换机24口VLAN号配为102。信息中心点所对应的2403F交换机24口VLAN号配为101。

    8.PE4点的配置

    配置loopback接口、启动MPLS;配MBGP,PE-PE路由。

    以在后宰门LSR普通GE口8/4下联5200上后宰门点开通某政府VPN网为例,其中后宰门点在后宰门MA5200下1/3口2403F的第24口,VLAN号为301;由于后宰门LSR不具备开通MPLSVPN的条件,重新打开一条光路将后宰门LSR的9/1和PE4的9/2口连接,通过二层透传的方式来开通MPLS。配置项为:PE4配VRF,PE-CE路由;PE4验证VPN的配置;PE4的9/2口配置;后宰门LSR9/1口的二层配置;将后宰门6509和5200的互联接口配成TRUNK等。

    9.后宰门MA5200的配置

    后宰门点VLAN号为301的透传。

    10.2403F交换机的配置

    在5200上先进入2403配置模式,用setport和set vlan 命令设置VLAN及包含的端口。后宰门点所对应的2403F交换机24口VLAN号配为301。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章