毕业论文-河北省IP城域网基于MPLS的技术网络的规划设计.doc

河北省IP城域网基于MPLS的VPN技术网络的规划设计河北省IP城域网基于MPLS的VPN技术网络的规划设计目 录摘 要 （3）第1章 MPLS VPN技术原理 （4）1.1 MPLS技术简介（4）1.2 MPLS技术原理（4）1.3 VPN技术简介 （5）1.4 基于MPLS的VPN技术的特点 （5）1.5 基于MPLS的VPN技术的实现方案（5）第2章 天津IP城域网的组网结构规划 （7）2.1 IP城域网分层模型和拓扑结构（7）2.1.1 IP城域网核心层网络拓扑、组网设备和技术（7）2.1.2 IP城域网汇聚层网络拓扑、组网设备和技术（8）2.1.3 IP城域网接入层网络拓扑、组网设备和技术（8）2.2 IP城域网用户数据业务接入方式（8）2.2.1 IP城域网核心层节点数据业务接入方式（8）2.2.2 IP城域网汇聚层节点数据业务接入方式（10）2.2.3 IP城域网接入层节点数据业务接入方式（10）2.3 IP城域网路由策略及Vlan规划（11）2.3.1 IP城域网路由策略（11）2.3.2 IP城域网BGP规划（12）2.3.3 IP城域网Vlan规划（12）2.4 IP城域网IP地址规划（12）第3章 天津IP城域网建设MPLS VPN网络可行性分析（13）3.1建立MPLS VPN网络的必要性（13）3.2建立MPLS VPN网络的主要应用（13）3.3建立MPLS VPN网络的实现方案（13）第4章 天津IP城域网MPLS VPN网络的规划设计（14）4.1 MPLS VPN网络组网设备选型（14）4.2 MPLS VPN网络组网拓扑结构（14）4.3 MPLS VPN网络设备插槽分配策略（15）4.3.1 核心层设备Cisco GSR 12012分配策略（15）4.3.2 汇聚层设备Cisco OSR7609/6509分配策略（16）4.3.3 接入层设备Cisco7513分配策略 （16）4.3.4 接入层设备Cisco4506分配策略（16）4.4 MPLS VPN网络VLAN规划（16）4.5 MPLS VPN网络路由策略规划（17）4.5.1 MPLS VPN网络OSPF规划（18）4.5.2 MPLS VPN网络BGP规划（18）4.6 MPLS VPN网络IP地址规划（19）4.7 MPLS VPN网络用户接入方式设计（19）4.8 MPLS VPN网络扩展性设计（19）第5章 天津MPLS VPN网络设备数据配置（20）第6章 天津IP城域网MPLS VPN网络优化设计（21）6.1 MPLS VPN的QoS（服务质量）设计（21）6.2 MPLS VPN网络的安全设计（21）6.2.1 MPLS VPN网络设备本身的安全设计（21）6.2.2 MPLS VPN网络用户接入的安全设计（22）6.3 MPLS VPN的网管设计（22）6.3.1 MPLS VPN网管的功能（22）6.3.2 MPLS VPN网管的分类（22）第7章 IP城域网MPLS VPN网络的未来发展（23）参考文献（24）致谢（25） 摘 要本论文主要是论述在IP城域网的基础上组建基于MPLS的VPN网络的技术实现方案和组网规划设计。利用天津IP城域网的网络资源实现本地区内部全程全网用户接入，为各大中小企业、教育机构、医疗单位、政府机关等用户建立具有安全性高、稳定性好、可用性强、易于扩展和管理、与本体业务的高度协同性等优点的私有专用网络。论文中首先主要介绍了基于MPLS的VPN技术原理，包括MPLS和VPN的基本概念、基于MPLS的VPN技术的特点和实现方案；然后详细阐述了天津IP城域网的组网规划情况，包括网络拓扑和分层模型、设备型号及组网技术、路由策略和用户接入方式、OSPF区域及Vlan规划、IP地址规划等内容；在第三章中论述了天津IP城域网建立基于MPLS的VPN技术网络的可行性分析，包括建立基于MPLS的VPN技术网络的必要性、主要应用和技术实现方案；第四、五章重点论述了天津IP城域网基于MPLS的VPN网络的规划设计，包括 MPLS VPN网络组网原则、网络拓扑结构、组网技术、设备选型和配置、路由策略和VLAN规划、IP地址规划、用户接入方式和可扩展性设计等内容；第六章讲述了基于MPLS的VPN网络的优化设计，包括网络安全、服务质量、网络管理及故障定位和处理；最后对基于MPLS的VPN网络技术的发展进行展望。关键字：BGP/MPLS VPN、IP城域网、网络设计、Vlan规划、设备选型 第1章 MPLS VPN技术原理1.1 MPLS技术简介MPLS（Multiprotocol Label Switch，多协议标签交换）就是在这种背景下产生的一种结合IP技术信令简单和ATM交换引擎高效的新技术，属于第三代网络架构，是一种可提供高性价比和多业务能力的交换技术，整合了IP选径与第二层标记交换为单一的系统，可以解决Internet路由和传统IP分组交换局限性的问题，使数据包传送的延迟时间减短，增加网络传输的速度，更适合多媒体讯息的传送。MPLS可以为运营商或者大企业带来诸如功能和服务的扩展、性能优化、网络安全等好处。1.2 MPLS技术原理图1.1 MPLS的基本原理MPLS是一种第三层路由结合第二层属性的交换技术，引入了基于标签的机制，它把路由选择和数据转发分开，由标签来规定一个分组通过网络的路径。MPLS网络由LSR（核心部分的标签交换路由器）、LER（边缘部分的标签边缘路由器）组成。LSR的作用可以看作是ATM交换机与传统路由器的结合，由控制单元和交换单元组成；LER的作用是分析IP包头，用于决定相应的传送级别和LSP（标签交换路径）。整个MPLS标签交换的基本工作原理实现过程可概括为以下4个步骤（如图1.1所示）：（1）LSR之间或LSR与LER之间运行LDP（标签分布协议）和传统标准的路由协议（OSPF、IS-IS等），并由此获得拓扑信息，在LSR中建立路由表和标签映射表，通过这些信息LSR可以明确选取报文的下一跳并可最终建立特定的LSP； （2）LER接收IP包，完成第三层功能，在LSP的入口把需要通过这个标记交换路径的IP包打上MPLS标签； （3）中间路由器LSR在收到MPLS报文以后直接根据MPLS报头的标签进行转发，而不用再通过IP报文头的IP地址查找；（4）在MPLS出口LER，即LSP的出口（或倒数第二跳），将分组中MPLS的包头标签弹出，还回原来的IP包（在VPN的时候可能是以太网报文或ATM报文等）继续进行转发。1.3 VPN技术简介VPN（Virtual Private Network，虚拟专用网络），是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，即是指在公众网络上所建立的企业网络，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输，它替代了传统的拨号访问，利用 INTERNET 公网资源作为企业专网的延续，节省昂贵的长途费用。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。简单说就是是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。1.4 基于MPLS的VPN技术的特点MPLS VPN是一种基于MPLS （Multiprotocol Label Switching，多协议标记交换）技术的IP VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。它必将成为未来网络安全研究和Internet应用的一个重要方向。 MPLS VPN能够利用公用骨干网络广泛而强大的传输能力，降低企业内部网络Internet建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要，因此多用于大型网络建设。它以MPLS技术为基础，结合差别服务、流量工程等，为用户提供高质量的专网服务。它具有安全性高、扩展性强、灵活的控制策略和强大的管理功能、低廉的费用等特点。1.5 基于MPLS的VPN技术的实现方案目前基于MPLS的VPN方案中，根据PE设备是否参与VPN路由又细分为二层VPN和三层VPN。 从整体来说MPLS VPN还是在发展和成型阶段。 其中以RFC 2547中规定的三层MPLS BGP VPN相对来说比较成熟，得到了大多数厂家的支持，如Cisco，Juniper等。三层MPLS VPN的网络结构，把整个网络中的路由器分为三类：（1）CE:用户边缘设备（2）PE :运营商边缘设备（3）P:运营商骨干路由器其中，PE充当IP VPN接入路由器。由于BGP/MPLS VPN采用PE之间通过扩展后的BGP协议（MP-BGP）来承载VPN成员关系和VPN网络可达性，所以使MPLS VPN网络具有良好的扩展性、灵活性和可靠性。MPLS VPN的工作过程如图1.4：（1）CE到PE间通过IGP路由或BGP将用户网络中的路由信息通知运营商路由器(PE)，在PE上有对应于每个VPN的虚拟路由表（VRF），类似有一台独立的路由器与CE图1.4 MPLS VPN的工作过程进行连接。 （2）PE之间采用MP-BGP传送VPN内的路由信息以及相应的标签(VPN的标签，以下简称为内层标签)，而在PE与P路由器之间则采用传统的IGP或OSPF等协议相互学习路由信息，采用LDP协议进行路由信息与标签(用于MPLS标签转发，以下称为外层标签)的绑定。到此时，CE，PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息（VRF）。（3）当属于某一VPN用户端路由器(CE)有数据进入时，在CE与PE连接的接口上可以识别出该CE属于哪一个VPN，进而到该VPN的VRF路由表中去读取下一跳的地址信息，同时，在前传的数据包中打上VPN标签(内层标签)。下一跳地址为与该PE作Peer的PE的地址，为了到达这个目的端的PE，在起始端PE中需读取MPLS骨干网络的路由信息，从而得到下一个P路由器的地址，同时采用LDP在用户前传数据包中打上用于MPLS标签交换的标签(外层标签)。（4）在MPLS骨干网络中，初始PE之后的P均只读取外层标签的信息来决定下一跳，因此骨干网络中只是简单的标签交换。 （5）在达到目的端PE之前的最后一个P路由器时，将把外层标签去掉，读取内层标签，找到VPN，并送到相关的接口上，进而将数据传送到VPN的目的地址处（6）P路由器是MPLS LSR。P路由器完全依据MPLS的标签来作出转发决定。由于P路由器完全不需要读取原始的数据包信息来作出转发决定，P路由器不需要拥有VPN的路由信息。因此P只需要参与骨干IGP或OSPF等的路由，不需要参加MP-BGP的路由。从MPLS VPN工作过程可见，MPLS VPN丝毫不改变CE和PE原有的配置，一旦有新的CE加入到网络时，只需在PE上作简单配置，其余的改动信息由BGP自动通知到CE和P路由器。第2章 天津IP城域网的组网结构规划核心层汇聚层接入层图2.1 天津IP城域网分层模型Cisco12000Cisco7600/6509Cisco45062.1 IP城域网分层模型和拓扑结构天津IP城域网建设是针对天津地区广大IP用户的大量宽带业务需求，为政府、企业、学校和家庭提供一个可靠性强、可扩充性、简单和易于集中管理、效率和安全性高的基于标准的城市骨干通信平台。天津IP城域网网络拓扑结构是按照核心层、汇聚层、接入层三层模式进行规划设计的，其分层模型如图2.1所示。2.1.1 IP城域网核心层网络拓扑、组网设备和技术红桥局塘沽开发区河西局图2.2 天津IP城域网核心层拓扑规划ChinaNet骨干网数据局（河北区）长途局（和平区）2.5 G2*GE10 GCisco12000天津IP城域网的核心层网络采用双星形拓扑结构，采用吉比特路由器，以长途局和数据局两个核心节点通过POS口上联ChinaNet骨干网，完成全网路由功能和高速业务交换。其他三个核心节点都通过光纤网络连接到这两个节点。核心层网络拓扑结构如图2.2所示。2.1.2 IP城域网汇聚层网络拓扑、组网设备和技术汇聚层主要是汇聚接入层上连接的用户流量，并提供安全性保证。汇聚层设备采用第三层交换机，与核心层设备安装在同一个交换核心局内，以更可靠的完成用户数据的高速交换。汇聚层网络拓扑如图2.3所示。Cisco7600Cisco12000河西局图2.3 天津IP城域网汇聚层拓扑规划Cisco7600Cisco12000长途局（和平区）GECisco7600Cisco12000红桥局Cisco7600Cisco12000塘沽开发区Cisco6509Cisco7600Cisco12000数据局（河北区）Cisco6509Cisco65092.1.3 IP城域网接入层网络拓扑、组网设备和技术接入层的作用是为每个行政区域内所有的设备和业务提供接入。接入部分主要通过综合布线系统，利用光纤和五类线覆盖整个区域内的政府机构、企业、学校、商厦、居民区等，为用户提供10M/100M/1000M独享及共享方式光纤接入和LAN、ADSL、窄带拨号接入。接入层采用第三层交换机提供本地数据交换，接入层分布在各行政区的中心交换局内，接入层网络拓扑如图2.4所示。2.2 IP城域网用户数据业务接入方式天津IP城域网可以向用户提供多种带宽选择的数据业务接入方式：10M/100M光纤独享接入、10M/100M共享光纤接入、16900/16901/96163/VPDN窄带拨号接入、ADSL/LAN小区接入等，为用户提供DNS域名解析、Mail邮件服务、国际/国内ICP综合服务、数据仓库和数据备份服务、IDC互联网数据中心服务等多种应用服务。2.2.1 IP城域网核心层节点数据接入业务图2.4 天津IP城域网接入层拓扑规划GECisco7600红桥局Cisco7600数据局Cisco7600河西局Cisco7600塘沽局Cisco7600长途局Cisco4506东丽局Cisco4506汉沽局Cisco4506宁河局Cisco4506河东局Cisco4506西青局Cisco4506静海局Cisco4506大港局Cisco4506津南局Cisco4506南开局Cisco4506北辰局Cisco4506武清局Cisco4506蓟县局Cisco4506宝坻局IP城域网核心层节点两台GSR 12012分别与窄带汇接设备Cisco4003、本地汇聚层设备CiscoOSR7609、宽带接入服务器BRAS华为8850双GE互连。窄带汇接设备Cisco4003为用户提供16900、16901、96163、VPDN等窄带接入数据的汇接；本地汇聚层设备CiscoOSR7609为本地和各接入层设备提供数据汇聚；宽带接入服务器BRAS华为8850为用户提供基于ATM方式的ADSL接入。数据局和塘沽开发区的两台GSR12012还分别与163/169专线路由器Cisco7513连接，为用户提供基于DDN和ATM两种方式上163和169网的接入服务。并架设4台Cisco6509，其中有2台用来提供本地窄带汇接、窄带认证计费、宽带认证计费、DNS、Mail、数据仓库和数据备份等应用服务的核心平台；另外2台作为数据局IDC机房的汇聚接入。核心层节点设备接入数据业务如图2.5所示。2.2.2 IP城域网汇聚层节点数据接入业务图2.6 天津IP城域网各汇聚层节点设备接入数据业务图宽带接入服务器BAS华为8825港湾5200其他接入层设备Cisco4506汇聚共享接入设备Cisco3550华为3526E独享接入设备Cisco2948GE汇聚层Cisco7600/6509IDC互联网数据中心数据局塘沽Cisco6509IP城域网汇聚层节点采用Cisco7609第三层交换机作为汇聚层设备，完成本地数据业务汇聚。汇聚设备分别与独享接入设备Cisco2948、共享接入设备Cisco3550或华为3526E、其他接入层汇聚设备Cisco4506、宽带接入服务器BAS华为8825或港湾5200实现双GE光纤互连。其中独享接入设备Cisco2948为用户提供10M/100M独享带宽的光纤接入，Cisco2948架设在汇聚层所在行政区政府机构、商企业集中地区；共享接入设备Cisco3550或华为3526E主要是为用户提供10M/100M共享带宽和20M、30M等非标准速率的光纤接入，共享接入设备放在汇聚层行政区的小交换局内；其他接入层汇聚设备Cisco4506主要是为临近的其他接入层行政区接入层设备Cisco4506的数据汇聚；宽带接入服务器BAS华为8825主要是向用户提供基于IP方式的ADSL拨号接入，港湾5200主要是为实现LAN小区接入。其中数据局和塘沽分别架设2台Cisco6509完成IDC互联网数据中心的汇聚接入。汇聚层节点设备接入数据业务如图2.6所示。2.2.3 IP城域网接入层节点数据接入业务IP城域网接入层包括蓟县、宝坻、武清、北辰、宁河、汉沽、津南、东丽、西青、静海、大港、南开共12各行政区域，全部采用Cisco 4506第三层交换机完成所在区域内所有IP数据业务的接入服务，分别与独享接入设备Cisco2948、共享接入设备Cisco3550或华为3526E、窄带接入服务器NAS华为A8010或CiscoAS5800、宽带接入服务器BAS华为8825或港湾5200、10M/100M/1000M独享方式接入企业用户等实现光纤接入。其中独享接入设备Cisco2948为用户提供10M/100M独享带宽的光纤接入，Cisco2948架设在接入层所在行政区政府机构、商企业集中地区；共享接入设备Cisco3550或华为3526E主要是为用户提供10M/100M共享带宽和20M、30M等非标准速率的光纤接入，共享接入设备放在接入层行政区的小交换局内；宽带接入服务器BAS华为8825主要是向用户提供基于IP方式的ADSL拨号接入，港湾5200主要是为实现LAN小区接入；窄带接入服务器NAS华为A8010或CiscoAS5800主要是为用户提供16900/16901/96163/VPDN窄带拨号接入；10M/100M/1000M独享方式接入企业用户是为接入层设备临近的企事业用户提供10M/100M/1000M独享方式光纤接入。接入层节点设备接入数据业务如图2.7所示。宽带接入服务器BAS华为8825港湾5200窄带接入服务器NAS华为A8010CiscoAS5800共享接入设备Cisco3550华为3526E独享接入设备Cisco2948接入层Cisco4506图2.7 天津IP城域网各接入层节点设备接入数据业务图GE10M/100M/1000M独享方式接入企业用户2.3 IP城域网路由策略及Vlan规划2.3.1 IP城域网路由策略IP城域网作为天津IP核心网络，路由策略的制定必须保证网络运行的稳定性、有效性和网络的扩展性。在IP城域网内部采用开放的IETF标准动态路由协议OSPF，由于OSPF已被证明是可靠的和可扩展的，而且在OSPF中现存有高效的路由聚合和缺省路由机制，而且易于与MPLS网络成功结合；IP城域网与ChinaNET骨干网连接采用BGP动态路由协议。同行政区域内的上网用户之间进行互访时，其通信流量应只经过接入层设备；不同区域的上网用户之间进行互访时，其通信流量将经过汇聚层和核心层设备。从其它区域学到的路由在进入核心层之前必须先进行路由聚合（Aggregate或Summarize），以免对核心层的设备造成路由振荡影响。2.3.2 IP城域网BGP规划在IP城域网的所有核心层设备Cisco GSR12012均配置了BGP动态路由协议，计划用来承载用户路由，并在全网采用私有的自治域号为65500。其中长途局、数据局的四台Cisco GSR12012路由器分成两个簇，每个簇各选两台GSR12012（数据局hb-GSR12012-1和长途局hp-GSR12012-1为RR-1，数据局hb-GSR12012-2和长途局hp-GSR12012-2为RR-2）作为路由反射器RR（是被配置为允许它把通过IBGP所学到的路由通告（或反射）到其他IBGP对等体的路由器），这四台GSR12012路由器（RR）之间建立全网状的IBGP对话。而其它GSR12012被平均分配在这两个簇里，作为客户端路由器与本簇的RR建立IBGP对话。2.3.3 IP城域网Vlan规划VLAN规划以天津区域节点局为基准，VLAN号在一个节点局内是唯一的，并且采用统一的VLAN编号方法，以便于消除歧意和排错。其中VLAN 1用作交换机默认端口的vlan 划分，因此可能有许多不规则数量的VLAN 1用于管理VLAN。为了便于管理和今后网络扩展，采用下面的VLAN编号规则：（1）VLAN 1用于管理网段；（2）VLAN 2VLAN10保留用于设备互联和其它特别用途；（3）VLAN 11VLAN 100 用于服务器主机的连接；（4）VLAN101VLAN 200用于企业互联网接入；（5）VLAN 201 VLAN250 用于LAN小区互联网接入；（6）VLAN 251VLAN 300用于政府上网接入；（7）VLAN 301VLAN 999 用于今后网络扩展（MPLS VPN）接入。2.4 IP城域网IP地址规划为了给用户提供高速上网的接入手段，为避免防火墙所造成的瓶颈，全网采用合法公网IP地址。在开展业务时，可根据接入业务的不同，向用户分配静态或动态的IP地址。遵照逐步实施的原则，在建设初期，可分配较少的IP地址，待业务逐渐展开后，再增加地址数量。IP地址分配原则：（1）IP城域网设备互连IP按5个核心节点分；（2）DDN（ATM）专线上163/169网用户；10M、100M、1000M独享（共享）光纤接入用户互连地址按照每台设备1个C（13台Cisco4506、5台OSR7609、5台Cisco6509、4台Cisco7513）；（3）DDN（ATM）专线上163/169网用户、10M/100M/1000M独享（共享）光纤接入用户局域网地址按照每台设备2个C（13台Cisco4506、5台OSR7609、5台Cisco6509、4台Cisco7513）（4）窄带拨号采用全市统一动态分配IP地址池，宽带拨号和LAN接入按设备分（每个核心节点2台华为8850，每个汇聚层、接入层节点3台华为8825，20台华为5200）第3章 天津IP城域网建设MPLS VPN网络可行性分析3.1建立MPLS VPN网络的必要性伴随着北京2008年奥运会申请成功，中国网通成为北京2008奥运会固定通信服务唯一合作伙伴，天津作为奥运赛场之一，必将对网络通信的稳定、带宽和新业务提出新的要求；同时随着天津市经济开放的逐步推进，越来越多的外资企业进驻天津，并在多处建立分支公司，在信息技术的飞速发展、办公自动化系统的日益普及的今天，这些企业对网络应用和内部信息交流的需求也越来越大，他们更需要网络应用能实现高标准、安全性、稳定性、可扩展性、实用性以及与本单位业务的高度协同性等。而MPLS VPN网络能够利用公用骨干网络的广泛而强大的传输能力，降低企业内部网络/Internet的建设成本，极大地提高用户网络运营和管理的灵活性，不仅能够满足大型跨地域集团用户对信息传输安全性、实时性、宽频带、方便性及企业语音、数据、视频通信网络三网合一的需要，而且为下一代网络的实施和新业务的承载开拓了广阔的发展前景。3.2 建立MPLS VPN网络的主要应用通过对现有的IP城域网进行改造升级，使现有的网络具有MPLS VPN承载能力，MPLS VPN网络不仅可以解决企业之间的互连并提供丰富业务，而且为通信公司的增值业务提供了承载平台。根据用户使用的情况和应用环境的不同特点，MPLS VPN技术大致可分为三种典型的应用方式，即：企业内联网VPN、企业外联网VPN和接入VPN业务。 3.3 建立MPLS VPN网络的实现方案MPLS VPN可分为二层（L2）MPLS VPN和三层（L3）MPLS VPN即基于BGP扩展实现的MPLS三层 VPN两类。MPLS BGP三层VPN具有MD5安全认证、用户端设备CE设备简单、可使用多种接入方式、支持跨AS支持能力、转发开销小、支持LSP/GRE/IPSec多样隧道、BGP可以自动发现VPN拓扑扩展等多种优势，技术比较成熟，因此在天津IP城域网中建设基于BGP扩展实现的MPLS三层 VPN技术网络。其中MPLS VPN网络由P（Provide Device，运营商骨干网核心路由器）、PE（Provider Edge Device，运营商骨干网边缘路由器）、CE（Customer Edge Device，用户网边缘路由器）3种设备组成。按照IP城域网组网拓扑结构，利用核心层设备GSR12012进行IOS版本升级，作为MPLS VPN网络的P路由器，不直接连接CE，仅负责MPLS标签的交换，不需要维护VPN路由信息；新增Cisco设备部署在P城域网汇聚层节点作为MPLS VPN网络的PE路由器，PE设备主要是维护与之相连站点的VPN路由，为每个VPN建立一个VRF（Virtual Route Forwarding Table，虚拟路由转发表），在从CE那里利用BGP路由协议学习到本地路由信息后，PE使用IBGP与其它PE路由器交换VPN路由信息，同时，在VPN业务穿越骨干网时，入口/出口PE分别相当于入口/出口LSR（Lable Switch Router，标签交换路由器），需要为IP包进行封装/解封装；CE可以采用多种接入方式和带宽选择，通过连接到PE的数据链路为用户提供网络服务，CE与PE建立邻接关系，将本地的VPN路由广播给PE，并从PE学习远端VPN路由。第4章 天津IP城域网MPLS VPN网络的规划设计4.1 MPLS VPN网络组网设备选型从目前路由器厂家产品在大型企业、电子政务网络使用情况来看， Cisco产品采用MPLS VPN技术，满足政府不断增长和发展的业务需要。从Cisco厂家网络产品来看，有相应的路由器产品满足性能要求， Cisco路由器GSR 12012/7609/7513/7206可以作为P或PE设备，为了我们能充分利用IP城域网的现有网络资源， 我们将把城域网核心层设备Cisco GSR12012作为MPLS VPN网络的P路由器，同时新增加Cisco7206路由器作为MPLS VPN网络的PE路由器，现就这两种设备的性能特点进行介绍。Cisco 12012系列千兆比特交换路由器(GSR)是Cisco为支持服务供应商和企业IP骨干网核心而设计和开发的路由选择产品,旨在满足目前IP核心骨干网的高带宽、高性能、多业务和多可靠性要求。Cisco12012配有12个插槽，最多可以支持132个DS3、44个OC-3c/STM-1c和44个OC-12c/STM-4c或11个OC-48c/STM-16c接口。Cisco 7206通过4和6插槽机箱，提供300Kpps速度的5个处理器，带有48个端口的广泛的局域网和广域网接口，以及单个或双重电源，客户可以获得所需的性能和容量。这种模块性还提供投资保护和可靠的扩展路径。4.2 MPLS VPN网络组网拓扑结构天津IP城域网是采用核心层、汇聚层、接入层三层组网模式，在天津市内的中心交换节点局的核心层采用Cisco GSR12012设备作为本地骨干路由器，负责与ChinaNet骨干网进行路由信息交换；在核心层同一中心交换节点局汇聚层采用Cisco OSR7609设备负责接入层路由信息的汇聚和本地数据的交换；接入层采用Cisco4506设备进行用户数据的接入，接入层放置在每个行政区域的中心交换节点，覆盖天津所有的行政区域。为了在目前IP城域网的基础上建立基于MPLS的三层VPN技术的网络，本着网络简单、易于管理，投资小、功能稳定、易于扩展、用户接入方便等原则对部分设备进行引擎板和IOS版本升级，对局部网络进行改造，使之能支持MPLS VPN网络。首先对IP城域网中的核心层设备Cisco GSR12012的IOS版本升级，作为MPLS VPN网络的P设备，然后对汇聚层和接入层的设备Cisco OSR7609、Cisco4506进行IOS版本升级和链路改造，同时在5个核心层节点局各新增加1台Cisco7206设备，分别连接核心层设备Cisco GSR12012和汇聚层设备Cisco OSR7609，作为MPLS VPN网络的PE设备。MPLS VPN用户通过各行政区域的接入层设备和汇聚层设备接入所在的VPN网络，用户端路由器CE通过接入层Cisco4506设备和汇聚层Cisco OSR7609设备二层Trunk透传，直接与PE设备Cisco7206互连，透过P设备交换标签，进行数据传输交换。在网络拓扑中Cisco7206设备与核心设备GSR12012及汇聚设备OSR7609互连使用Trunk二层透传。其中改造后Cisco7600Cisco12000Cisco7206Cisco7600Cisco12000Cisco7206Cisco7600Cisco12000Cisco7206河西局图4.1 天津IP城域网MPLS VPN网络核心汇聚节点局拓扑规划长途局（和平区）GECisco7600Cisco12000塘沽开发区Cisco6509Cisco7206Cisco6509Cisco12000数据局（河北区）Cisco6509Cisco7600Cisco7206红桥局Trunk各核心汇聚节点局的网络拓扑如图4.1所示。4.3 MPLS VPN网络设备插槽分配策略为了有效的利用设备的内部总线，提高交换效率，对设备上的各种类型的接口卡的插槽需要进行合理的分配，插槽分配策略为：4.3.1 核心层设备Cisco GSR 12012分配策略（1）引擎板GRP和冗余GRP/R 始终占用slot 0 和 slot 1；（2）所有的POS line card 从slot 2开始；（3）所有的3/4口GE line card 从slot 8开始；4.3.2 汇聚层设备Cisco OSR7609/6509分配策略（1）SUP1A和冗余SUP1A/2引擎板始终使用slot 1 and slot 2；（2）上联到GSR 12012的GEIP始终使用MM-SX GBIC进行多模连接；（3）其它模块从slot 3开始； （4）下联到Cisco4506的GEIP始终使用SM-LX GBIC进行单模连接；（5）增加一块WS-X6348-RJ-45的48口GE板卡占用slot 9，作为VPN和10M/100M用户接入；4.3.3 接入层设备Cisco 7513分配策略（1）RSP4和冗余RSP/R始终占用slot 6和slot 7；（2）靠近RSP的Slots优先分配；（3）上联到GSR 12012的GEIP占用slot 4；（4）作为VPN用户DDN接入的板块占用slot 5；（5）其他模块从slot 8开始；4.3.4 接入层设备Cisco4506分配策略（1）引擎板始终占用slot 0； （2）GE上联模块始终安装在port 1/1上；（3）6口GE板块占用slot 1，port 3/1作为Trunk上联口；（4）48口WS-X6348-RJ-45板块占用slot 2，作为VPN和10M/100M用户接入；（5）其他模块从slot 3开始；4.4 MPLS VPN网络VLAN规划在改造后的MPLS VPN网络，接入层Cisco4506设备或汇聚层设备Cisco OSR7609要将MPLS VPN用户的VLAN透传到核心汇聚节点局的Cisco7206路由器上。所有接入层Cisco4506设备或汇聚层设备Cisco OSR7609上的MPLS VPN用户都将VLAN终结到PE设备Cisco7206上，汇聚层设备Cisco OSR7609与分属在其下面的接入层Cisco4506设备构成一个VTP域，VLAN ID进行统一规划。我们根据便于管理及负载均衡的原则进行分配如下：（1）VLAN 1用于管理网段；（2）VLAN 2VLAN10保留用于设备互联和其它特别用途；（3）VLAN 11VLAN 100 用于服务器主机的连接；（4）VLAN101VLAN 200用于企业互联网接入；（5）VLAN 201 VLAN250 用于LAN小区互联网接入；（6）VLAN 251VLAN 300用于政府上网接入；（7）VLAN 301VLAN 999 用于MPLS VPN网络接入。其中VLAN 1-300用于管理、备用和特定接入（这些VLAN号在每个接入层或汇聚层交换机上是唯一的，在同一VTP域内不同的交换机上可以重复使用），VLAN301-999用于MPLS VPN用户（这些VLAN号在VTP域内是唯一的，在同一VTP域内的交换机上不可以重复使用）。在规划中为每个接入层Cisco4506设备和汇聚层设备Cisco OSR7609分配100个VLAN，其余VLAN保留在7609汇聚层设备Cisco OSR7609上。图4.2 天津MPLS VPN网接入层Trunk拓扑规划GECisco7600红桥局Cisco7600数据局Cisco7600河西局Cisco7600塘沽局Cisco7600长途局Cisco4506东丽局Cisco4506汉沽局Cisco4506宁河局Cisco4506河东局Cisco4506西青局Cisco4506静海局Cisco4506大港局Cisco4506津南局Cisco4506南开局Cisco4506北辰局Cisco4506武清局Cisco4506蓟县局Cisco4506宝坻局Trunk为了能使每个接入层Cisco4506设备能将分配的MPLS VPN用户的VLAN信息透传到核心汇聚交换节点局的MPLS VPN网络PE节点的Cisco7206设备上，需要对接入层Cisco4506设备与汇聚层Cisco OSR7609设备互连的链路、汇聚层Cisco OSR7609设备与PE节点的Cisco7206设备互连的链路进行改造，将接入层Cisco4506设备上连到汇聚层Cisco OSR7609设备的其中一条链路改为Trunk链路，将汇聚层Cisco OSR7609设备与PE节点的Cisco7206设备互连的链路也改为Trunk链路，使VLAN从接入层设备可以直接透传到PE设备上。其中改造后的接入层拓扑图如图4.2所示。4.5 MPLS VPN网络路由策略规划4.5.1 MPLS VPN网络OSPF规划在MPLS VPN网络的域内路由协议（IGP）还将采用IP城域网中的OSPF动态路由协议，其进程ID号（Process-id）100。此IGP只用来建立核心层路由器和交换机之间的路径，确保核心层设备之间通道的畅通和可靠。为了进行路由聚合和负载分担，需要进行分域(areaing)，其中新增加的Cisco7206设备以及与核心层设备、汇聚层设备互连的链路都规划在Area0域内。MPLS VPN网络OSPF的Area域规划如图4.3所示。数据局长途局红桥局河西局塘沽开发区GSR12012Cisco7206Area0汉沽局宁河局Cisco4506Area1蓟县局 宝坻局武清局 北辰局Cisco4506塘沽开发区河西局长途局数据局红桥局东丽局河东局Cisco4506Area3Area2Area4南开局 西青局大港局 静海局津南局Cisco4506汇聚层Cisco7609/6509Cisco7206核心层GSR12012GETrunk图4.3 天津MPLS VPN网OSPF的Area域拓扑规划4.5.2 MPLS VPN网络BGP规划为了确保核心网络和设备的稳定，与ChinaNET骨干网互联采用BGP动态路由协议，而用户路由将采用静态手工加入，以禁止骨干网和用户路由加入到ISIS路由计算。在MPLS VPN网络AS号采用私有的号码，统一为65500。同时在MPLS VPN网络中所有PE设备之间都要建立MIBGP对话，它是BGP的多协议扩展，是一个独立的子集。为了在规划实施时不会对现网产生任何改动，分别选取数据局和长途局作为两个簇，每个簇中分别把本局的Cisco 7206作为路由反射器RR（RR-1和RR-2），使BGP(VPNV4)有独立的拓扑，同时配置集群ID号（cluster-id）分别为：RR-1 cluster-id为200，RR-2 cluster-id为202。在配置了BGP路由反射器后，就不再需要全网状互连的MIBGP对等体，路由反射器被允许向其它MIBGP对等体传输IBGP路由。路由反射器通过让主要路由器给它们的路由反射器客户复制路由更新来减少AS内BGP邻居关系的数量（这样可以减少TCP连接）。 路由反射器不影响IP数据包所要经过的路径，只有发布路由信息的那条路径受影响。为了今后可能ATM/DDN用户也有接入MPLS VPN的需求，给MPLS VPN用户提供多种灵活的接入方式，规划将IP城域网中数据局两台Cisco7513和塘沽两台Cisco7513用作ATM/DDN专线接入的路由器进行MPLS改造，作为新增加ATM/DDN用户的MPLS VPN接入PE设备。 4.6 MPLS VPN网络IP地址规划在基于IP城域网建设的MPLS VPN网络中所有的网络设备及互连的IP地址全部采用公网合法IP地址，包括PE-CE之间网段，而每个VPN节点用户都分配私有IP地址。为了保证IP城域网规划的IP地址分配策略，现在在此基础上为每个MPLS VPN网络的PE设备新分配一个C的公网合法IP地址，用于与客户端路由器CE进行互连，这样也可以便于今后VPN用户管理和区别用户端私有的IP地址。按照PE设备包括每个核心汇聚节点局的Cisco7206设备5台、数据局和塘沽的Cisco7513设备各1台，共需要7个C的公网合法IP地址。4.7 MPLS VPN网络用户接入方式设计为了给综合利用IP城域网的网络资源，使天津MPLS VPN网络具有更大的接入能力，在提供IP城域网10M/100M/1000M共享或独享光纤接入的基础上，还充分为不具备以太网接入条件的部分区域用户考虑，为了给用户提供多种带宽选择和多种接入方式选择，在数据局和塘沽开发区与ATM、DDN网络连接的上163/169网络的4台Cisco7513路由器进行设备升级，将其IOS版本升级到具备MPLS功能的12.1(8a)以上的版本，以作为MPLS VPN网络的PE接入设备，用来为以ATM/DDN方式连接上来的用户提供MPLS VPN接入。由于这4台Cisco7513路由器直接同本地的核心层设备Cisco GSR12012相连，因此仅需要在相应的端口上配置标记交换的命令，同时在Cisco7513上增加MBGP配置即可。4.8 MPLS VPN网络扩展性设计在此次MPLS VPN网络规划设计中是采用在原IP城域网的核心层增加Cisco7206路由器作为网络的PE设备，这主要是为了保证网络的可扩展性而设计的。在今后随着网络应用和MPLS VPN技术的普及，MPLS VPN网络用户也将呈现快速发展。如果用户的发展量超过现在Cisco7206 PE设备的设计容量，我们可以通过升级Cisco OSR7609光路由器的引擎板和IOS版本（如把引擎升级到Sup720，把IOS升级到支持引擎Sup720 MPLS功能的稳定IOS版本）来对网络进行扩展。待设备升级后，Cisco OSR7609光路由器将会代替原来的Cisco7206路由器作为PE，所有MPLS VPN用户VLAN都将通过接入层设备透传，最后终结在所在Area域内汇聚层设备Cisco OSR 7609光路由器上。这样我们就只需要将Cisco7206路由器的配置改配到Cisco OSR 7609光路由器上就可以了，而MPLS VPN用户的VLAN规划及接入层Cisco4506三层交换机上的配置仍旧保持不变。对于个别区域范围内节点多、分布地区集中的MPLS VPN用户，我们可以将替换下来的Cisco7206路由器单独组成本地网络，实现区域内的单独网络拓扑，这样即可以减轻IP城域网的流量负载，同时也可充分利用设备资源，提高网络接入容量。在路由规划上，BGP设计保持不变，只是用汇聚层Cisco OSR7609替代目前的Cisco7206做PE设备。而OSPF的Area域设计需要略微调整，因为替换后的Cisco7206做接入层的PE，改为直接连到汇聚层7609上，所以其OSPF域要从Area 0改到汇聚层设备Cisco OSR 7609所在的相应的Area域内。第5章 天津MPLS VPN网络设备数据配置按照MPLS VPN网络的安全规划设计，天津MPLS VPN网络的所有的设备都将进行如下安全配置（以数据局核心层设备Cisco GSR12012为例）。（1）基本配置hostname hb-GSR12012-1service password-encryptionenable secret x xxxxxxxxxxno service udp-small-serversno service tcp-small-serversip subnet-zerono ip source-routeip classlessservice timestamps log datetime msec localtimeservice timestamps debug datetime msec localtimelogging buffered 4096 debuggingline con 0line aux 0exec-timeout 3 0password xxxxxxxloginline vty 0 4exec-timeout 10 0password xxxxxxxlogin（2）采用local或Radius方法对登录用户进行论证aaa new-modelaaa authentication login default localusername admin password xxxxxxxxxusername oper password xxxxxxxxusername oper level 3privilege exec level 3 tracerouteprivilege exec lev