MPLS BGP VPN 技术方案模板.docx
《MPLS BGP VPN 技术方案模板.docx》由会员分享,可在线阅读,更多相关《MPLS BGP VPN 技术方案模板.docx(26页珍藏版)》请在冰豆网上搜索。
MPLSBGPVPN技术方案模板
MPLSBGPVPN
技术方案模板
华为技术有限公司
2003年2月
目录
前言1
第1章概述2
1.1MPLSVPN简介2
1.2网络概述3
第2章原有网络分析4
2.1信息采集4
2.1.1网络信息4
2.1.2用户需求4
2.2组网分析4
2.3综述6
第3章MPLS-VPN解决方案8
3.1组网8
3.2IP地址规划9
3.2.1PE的管理地址(Loopback地址)10
3.2.2S3526/S3026的管理地址11
3.2.3PE-PE的互连地址12
3.2.4PE-CE的互连地址(计费)13
3.2.5PE-CE的互连地址(OA)14
3.2.6PE-CE的互连地址(168)14
3.2.7PE-CE的互连地址(网管)15
3.3路由协议15
3.3.1BGP协议规划16
3.3.2IGP协议规划16
3.3.3静态路由规划17
3.4MPLSVPN规划17
3.4.1VRF规则17
3.4.2RD规则17
3.4.3Route-Target规则18
3.5设备命名和描述规则18
3.5.1设备命名规则18
3.5.2接口描述命名规则18
3.6网络的备份和流量分担19
3.6.1网络的备份19
3.6.2流量的分担19
3.7网络的管理20
3.8网络的安全21
第4章设备配置22
4.1硬件配置清单22
4.2软件配置清单22
第5章测试和验收24
前言
本方案模板的目的,是给MPLSVPN技术方案的制定提供一个模板,作为一个借鉴,一个引导,分章节论述制定一个MPLSVPN技术方案需要考虑的各个方面。
由于MPLSVPN技术方案和业务联系紧密,为了更好的对方案的各部分作充分的阐述,本文用了一个实际方案作为例子,在每章节说明的后面,就是具体方案的描述,描述的内容可以作为制定其他MPLVPN方案的参考,但具体的细节还需根据实际网络的情况作相应的调整。
第1章概述
&说明:
该章主要介绍MPLSVPN技术和网络的概况,给人以整体的印象,作为技术方案的开篇,引申出后续的方案的细节。
1.1MPLSVPN简介
&说明:
该节主要用简洁、易懂的文字,对技术方案所依托的MPLSVPN技术作简单介绍。
随着社会的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况也使传统企业网络的功能缺陷越来越凸现:
传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。
于是用户对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。
在这样的背景下,基于MPLS技术平台实现的MPLSVPN,以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
MPLS是多协议标签交换协议的简称。
MPLSVPN网络中,有三种设备:
CE、PE和P路由器,CE是用户直接与服务提供商相连的边缘设备,可以是路由器、交换机或者终端;PE是骨干网中的边缘设备,它直接与用户的CE相连;P路由器是骨干网中不与CE直接相连的设备。
P路由器并也不知道有VPN的存在,仅仅负责骨干网内部的数据传输,但其必须能够支持MPLS协议,并使能该协议;PE位于服务提供商网络的边缘,所有的VPN的构建、连接和管理工作都是在PE上进行的。
采用MPLSVPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便网络的扩展和变更。
MPLSVPN的网络构造由服务提供商来完成。
在这种网络构造中,由服务提供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。
为了实现MPLSVPN功能,除了新建网络之外,更多的需求是在已有的传统IP网络上实现MPLSVPN的功能。
这样,既保护了原有网络投资,又适应了企业用户的新的需求,实现业务的增值。
本次工程就是在已有网络上进行改造,实现MPLSVPN功能。
1.2网络概述
&说明:
该节简单的介绍网络的概况,业务运行的情况,以及存在的问题,然后描述采用MPLSVPN实现用户需求的优点。
J省原有三个业务网络:
运营、计费和网管,这三种业务在地市和省之间的广域网的范围内,物理设备和运行的路由协议都是相互分离的,这样给全网的统一管理和维护带来了相当的不便,并且某些旧有的设备和广域网带宽已经不能满足当前的业务发展的需求,因此有必要建设一个统一的、高效的、可运营、可维护的数据网络。
在原有网络中,每个地市的运营、计费和网管共用一个或两个B网段。
运营和计费的上行到省公司的路由设备共用或者分别在两台出口路由器上;网管是单独的出口路由器。
在各地市间的骨干网络上,运营网配置的是静态路由;计费网络运行的是EIGRP动态路由协议;网管网络运行的是OSPF协议,本地网的OSPF与计费的EIGRP之间没有相互引入,本地网的OSPF也没有引入静态路由。
本次DCN工程采用MPLSVPN的方案,在同一物理拓扑的基础上,MPLSVPN能够按照用户需求实现多种业务的隔离,并且管理和控制VPN的业务,只是在数据上作相应的配置,物理设备和链路都不用作改动,这样为各种VPN业务的管理和维护提供了很大的方便,所以MPLSVPN具有很好的业务扩展性。
第2章原有网络分析
说明:
实施MPLSVPN的前提,就是对原有网络进行全面准确的调研和分析,收集实际运行的网络信息。
然后在此基础上给出网络的建设建议。
2.1信息采集
&说明:
该节对客户原有网络信息和用户的需求进行采集,作为方案规划和实施的基础。
2.1.1网络信息
在实际工程中,需要采集的网络信息包括:
组网图、数据配置、IP网段规划、业务流向、路由协议、业务间互访和隔离的需求等。
(详细的信息这里省略,可以根据实际情况,写在技术方案中或者作为技术方案的附件附后。
)
2.1.2用户需求
在J省全省范围内,目前主要有网管、计费、OA、168业务。
基本原则是:
各业务之间是隔离的;每种业务在全省各地市之间是能够互相访问的;省公司的各种业务还有访问国家骨干的需求。
特别的:
省公司的网管业务能够访问其他地市的各种业务。
2.2组网分析
说明:
用户的原有网络结构一般会有两种:
一种是将所有的业务承载在一个网络上,通过GRE、IPSEC等技术建立隧道来隔离不同的业务,或者根本不作隔离;另一种是对于每种业务单独建设一个网络;如在运营商的DCN网络中,为计费,运营,网管各建一个网络。
对第一种情况,附一个总的组网图即可;而对第二种需要对每种业务附一个组网图,再对原有网络的整体情况,用途,所承载的业务类型分别进行分析。
本方案就是第二种情况。
下面对J省的运营和网管组网进行分析:
原运营网络组网分析
1、设备:
各地设备的型号比较统一,Cisco的72或者75系列的路由器,部分路由器能提供空闲的以太网口,能够支持BGP,不能提供空闲以太网口的路由器需要支持802.1Q,如果不支持,可以通过升级软件版本解决该问题。
2、链路:
广域网链路是E1线路,带宽为2M。
3、路由协议:
骨干网络运行的是静态路由,A市路由器Cisco75为省中心,上面配置指向分配给各地市和省公司路由器的精确的C网段(或更明细)的静态路由,下一跳指向相应的路由器的下一跳,而在各地市路由器上配置指向省公司的精确的C网段(或更明细)的静态路由,下一跳指向Cisco75。
4、业务的流向:
纵向流,即各地市与省局之间的数据交互。
原网管网络组网分析
1、设备:
由于省公司的NetBuilder的端口不够了,另外配置了两台Cisco2621路由器,分别接入E市、C市和B市网管1,省公司的这三台路由器再通过Lanswitch4003连通,然后通过NetBuilder作为统一的出口。
2、链路:
广域网链路是E1线路,带宽为2M,特殊的,C市作了链路捆绑。
综合多方面考虑,并针对网络的实际情况,我们建议采用方案3。
3、路由协议:
原网管网的骨干网络运行的是OSPF协议,AREA为0,在各地市的本地网络,有些是静态路由,有些也运行OSPF,AREA不为0,但没有聚合区域间路由。
这里我们建议各地市向Area0发布路由的时候进行聚合,聚合成本地网管正在使用的几个C网段(也不应该聚合成包含计费、运营的B网段),利于管理和控制。
4、业务流向:
主要以纵向流为主,即各地市与省局之间的数据交互。
2.3综述
&说明:
该节根据客户网络结构以及采集的数据对网络现状和问题进行分析,得出结论。
并提出我们的解决方案。
对于每种业务单独建立一个网络这种情况,存在以下弊病:
由于是每种业务都建立一个网络,网络设备的重复投入,而且在新上一种业务的时候都要新建一套网络,工程量比较大。
而且如果存在某些设备是多个业务共用的设备时,业务间的隔离和互访实现起来也不方便。
对于将各个业务使用同一个网络这种情况,存在以下弊病:
各个业务使用同一个网络,如果各个业务之间不进行隔离,那么存在安全隐患,如果使用GRE、IPSEC等隧道技术来进行隔离的话,由于这些隧道技术都是点对点的,因此节点比较多的时候,要配置较多的隧道,在新增一个点的时候,需要修改所有配置了隧道的路由器的配置。
而MPLSVPN方案能很好的实现用户的需求,提升网络的性能,满足用户业务扩展和易于管理的要求。
由于所有的VPN数据只是在PE上作相应的配置,控制也是在PE上实现的,所以对原有网络的影响很小,这样能最大限度的减小对原来的各种业务的影响。
增加了PE设备以后,每个地市的CE设备就通过本地的PE设备与省公司或者其他地市相连了,而原有的网络作为DCN网络的备份网络,当DCN网络出现问题时,可以切换到旧有网络上,保证业务的正常运行。
要做到各地市的VPN业务的分离,每种VPN业务必须采用独立的逻辑端口与PE设备相连,端口上向PE发布的也是本业务所占用的网段,而不应该是本地所有VPN业务的总的B网段。
针对实际的情况,我们采用业务逐步分离的方案。
如果某些地市能做到业务网段的分离,就为每个VPN业务提供独立的逻辑端口,并只发布本业务的网段,采用N个业务N个VPN的方案;其他地市短期内还做不到业务网段的分离,那么就采用暂时只有一个VPN的方案,当这些地市的网段做到分离的时候,再将这些地市调整成多个VPN就可以了。
这样,网段分离的地市能够做到业务分离,而暂时不能分离的地市只是本地业务不能分离,不会影响到其他的城市。
第3章MPLS-VPN解决方案
&说明:
该章针对客户的现状和需求,提出具体的MPLSVPN解决方案,包括组网图、IP地址规划、路由协议等技术细节,作为工程实施的依据。
3.1组网
&说明:
该节附具体解决方案的系统组网图,即采用MPLSVPN方案的网络结构图。
并对网络设计的方针、规划、思路做出详细的分析。
MPLS-VPN并不要求网络结构上有什么特殊之处,传统的树形结构、网状结构、单星型结构、双星形结构都可以满足要求。
如果是旧网改造,只需要对原有网上设备进行升级,使之支持LDP,配合新增的PE设备即可组成MPLS-VPN的核心MPLS域;而CE设备则不需要任何改动,可以直接作为MPLS-VPN的各专业网络业务汇聚设备。
对于本次工程,我们建议采用双星形结构,这样在骨干中心节点消除单点故障,提高了网络的可靠性和安全性。
双星形网络结构图
A市中心放置两台骨干路由器NE16和Cisco75,两者通过FE互连,负责其他地市的业务汇聚,互为备份。
2、除A市外的其他地市,由一台高端路由器组成,负责本地业务系统的接入。
原来各业务网络的出口路由器作为CE设备。
针对运营和计费网络,如果原来的出口路由器存在空闲的以太网口,则直接将该路由器连接到PE上;如果没有多余的端口,则PE和CE之间通过交换机相连,然后在原出口路由器上配置子接口,划分VLAN(这需要路由器支持802.1Q协议,如果不支持,可以通过升级软件版本解决);如果即没有多余的端口,而且难以支持802.1Q,那么只能采用另外一台三层交换机作为CE设备,但这样本地网络的路由需要调整:
原出口路由器接在三层交换机的下面,将该三层设备作为本地的出口。
针对网管网络,部分地市是CISCO的设备,有空闲的端口,则直接连接到PE设备,如果没有空闲端口,就在原来的以太网上配置子接口(这需要路由器支持802.1Q协议,如果不支持,可以通过升级软件版本解决),另外一些地市采用的设备是NBII,由于没有空闲端口,也不能支持BGP,就用另外的三层交换机作为CE,这样需要调整本地的网络,使三层交换机作为本地出口。
每一地市路由器通过POS链路双归属方式接入到省核心层。
3.2IP地址规划
&说明:
该节讨论IP地址的规划。
MPLS-VPN网络中,IP地址的划分主要分为“公网”和“私网”两个部分。
“公网”IP地址主要包括PE-PE设备互联地址、各设备管理地址。
对于设备互联地址没有特殊的要求,一般是整个地址空间在同一个“大”的网段中获取,并且要为今后网络的扩充留有余地。
互联的广域网接口尽量采用30位掩码的网段,互联的Ethernet接口地址,可以采用29位掩码的网段,这样在今后应用HSRP或者VRRP的时候有足够的地址可以使用。
“私网”IP地址指PE-CE设备互联地址、CE下带的VPN用户的地址。
分配根据不同的应用有不同的原则,一般可以分为两类:
网络为ISP所有,为不同的集团用户提供地域间的企业网互连;网络为集团用户所有,为本集团内各个不同业务提供不同的私网。
对于网络为ISP所有的情况。
各个VPN物理设备之间是完全隔离的,同一个PE所连接的不同CE内部,网络不会有交织,针对这种应用,IP地址采用按照地域分配的方案对工程实施比较有利。
采用按照地域分配IP地址的方案,在PE上每个VPN的路由信息可以聚合成简单的一条或几条,这样整个公网上的路由条目较少。
采用这样的方案无论对设备本身还是网络的维护管理都有较大的益处。
首先,设备的负荷较小,可以保证长期稳定运行;其次,路由条目较少,维护人员可以方便的控制,并且每一个比较规整的网段对应一个固定的地域,一旦出现问题,对于缩小问题范围有很大的益处。
对于网络为集团用户所有的情况。
一些规模比较大的集团用户,为了方便管理,将企业内部的多个业务划分开。
对于这种客户,在网络汇聚层(一般位于地市一级的节点)以上应用MPLS,汇聚层以下应用传统的路由转发。
针对这种情况,比较好的IP地址规划就是在地市一级按照业务来划分IP,首先将IP地址根据业务进行划分,再对于某种业务在地市以下的节点再进行更细致的划分。
通过这样的IP地址规划,在接入层应用MPLS的时候,每个业务相关的路由信息可以聚合成简单的几条,甚至是一条,而且各业务之间路由信息没有交集。
这样的路由信息在骨干层传播路由条目较少,局部的路由动荡不会引起骨干层的路由动荡,网络信息比较稳定,如果出现问题可以迅速的定位到是哪个业务网络的问题。
更大的优点还是表现在新业务的扩充上,只要每个新增加的业务IP地址都依据这样的原则来规划,那么与原有业务的IP网段可以是完全隔离的,不会对原有的路由信息产生任何影响,为网络的维护带来很大的方便。
对于本次工程来说,需要新增的IP地址是PE/CE的管理地址、PE-PE互连地址、PE-CE互连地址。
用途
IP地址段
PE/CE的管理地址
172.168.253.0/24
PE-PE互连地址
172.168.252.0/24
PE-CE互连地址(计费)
172.168.251.0/24
PE-CE互连地址(OA网络)
172.168.250.0/24
PE-CE互连地址(168业务)
172.168.249.0/24
PE-CE互连地址(网管)
172.168.248.0/24
3.2.1PE的管理地址(Loopback地址)
给各地市的PE路由器分配一个Loopback地址,该地址可作为OSPF的RouterID,并作为telnet管理或ping测试的目的地址。
整网分配172.168.253.0/24的网段的作为各地市的loopback地址,未使用的保留。
各地市PE设备的Loopback地址分配如下:
A市NE16:
172.168.253.1
A市Cisco75:
172.168.253.2
B市:
172.168.253.3
C市:
172.168.253.4
D市:
172.168.253.5
E市:
172.168.253.6
F市:
172.168.253.7
G市:
172.168.253.8
H市:
172.168.253.9
I市:
172.168.253.10
3.2.2S3526/S3026的管理地址
省公司S3526-1:
172.168.253.31
省公司S3526-2:
172.168.253.32
省公司S3526-3:
172.168.253.33
省公司S3526-4:
172.168.253.34
省公司S3526-5:
172.168.253.35
A市:
管理Vlan:
50
NE16E接口(网关):
172.168.253.129/29
S3025-1:
172.168.253.130/29
S3025-2:
172.168.253.131/29
B市:
管理Vlan:
50
NE16E接口(网关):
172.168.253.137/29
S3025-1:
172.168.253.138/29
S3025-2:
172.168.253.139/29
C市:
管理Vlan:
50
NE16E接口(网关):
172.168.253.145/29
S3025-1:
172.168.253.146/29
S3025-2:
172.168.253.147/29
D市:
管理Vlan:
50
NE16E接口(网关):
172.168.253.153/29
S3025-1:
172.168.253.154/29
S3025-2:
172.168.253.155/29
E市:
管理Vlan:
50
NE16E接口(网关):
172.168.253.161/29
S3025-1:
172.168.253.162/29
S3025-2:
172.168.253.163/29
F市:
管理Vlan:
50
NE16E接口(网关):
172.168.253.169/29
S3025-1:
172.168.253.170/29
S3025-2:
172.168.253.171/29
G市:
管理Vlan:
50
NE16E接口(网关):
172.168.253.177/29
S3025-1:
172.168.253.178/29
S3025-2:
172.168.253.179/29
H市:
管理Vlan:
50
NE16E接口(网关):
172.168.253.185/29
S3025-1:
172.168.253.181/29
S3025-2:
172.168.253.182/29
I市:
管理Vlan:
50
NE16E接口(网关):
172.168.253.193/29
S3025-1:
172.168.253.194/29
S3025-2:
172.168.253.195/29
3.2.3PE-PE的互连地址
A市的NE16和Cisco75作为DCN网络的汇聚节点,各地市通过两条POS链路分别接入到NE16和Cisco75。
各地市PE间互连接口IP分配:
A市NE16-A市Cisco75172.168.252.253/30-172.168.252.254/30
A市NE16-B市172.168.252.1/30-172.168.252.2/30
A市Cisco75-B市172.168.252.5/30-172.168.252.6/30
A市NE16-E市172.168.252.9/30-172.168.252.10/30
A市Cisco75-E市172.168.252.13/30-172.168.252.14/30
A市NE16-C市172.168.252.17/30-172.168.252.18/30
A市Cisco75-C市172.168.252.21/30-172.168.252.22/30
A市NE16-F市172.168.252.25/30-172.168.252.26/30
A市Cisco75-F市172.168.252.29/30-172.168.252.30/30
A市NE16-G市172.168.252.33/30-172.168.252.34/30
A市Cisco75-G市172.168.252.37/30-172.168.252.38/30
A市NE16-D市172.168.252.41/30-172.168.252.42/30
A市Cisco75-D市172.168.252.45/30-172.168.252.46/30
A市NE16-H市172.168.252.49/30-172.168.252.50/30
A市Cisco75-H市172.168.252.53/30-172.168.252.54/30
A市NE16-I市172.168.252.57/30-172.168.252.58/30
A市Cisco75-I市172.168.252.61/30-172.168.252.62/30
3.2.4PE-CE的互连地址(计费)
本次工程初期规划有四种VPN业务:
168、OA、计费、网管,给每种VPN业务分配一个C网段,作为各地市相应业务的CE设备与PE的互连接口地址,如果有其他的VPN业务,则再划分新的IP网段即可。
本次工程有9个节点,因此每种业务占用了本C网段192个IP地址,其中,一个地市占用16个IP地址。
地址分配方案如下:
省公司(NE16)172.168.251.1/28(PE侧地址)
(CISCO)172.168.251.17/28
A市(NE16)172.168.251.33/28
(CISCO)172.168.251.49/28
B市172.168.251.65/28
E市172.168.251.81/28
C市172.168.251.97/28
F市172.168.251.113/28
G市172.168.251.129/28
D市172.168.251.145/28
升级会员 