MPLS VPN业务模板.docx
《MPLS VPN业务模板.docx》由会员分享,可在线阅读,更多相关《MPLS VPN业务模板.docx(22页珍藏版)》请在冰点文库上搜索。
MPLSVPN业务模板
XX公司YY项目通信解决方案
(仿宋一号加粗)
中国网通(集团)有限公司天津市分公司
XXXX年XX月
(仿宋小二加粗)
(黑体三号)
一、天津网通简介2
二、XX公司YY项目的背景和需求分析3
2.1项目背景3
2.2需求分析3
三、XX公司YY通信项目解决方案5
3.1天津网通网络资源及技术业务介绍5
3.1.1MPLS/VPN技术简介5
3.1.1.1MPLS实现原理5
3.1.1.2L3MPLSVPN实现原理8
3.1.1.3基于MPLS的IPVPN网络11
3.1.1.4天津网通MPLSVPN网络优势:
13
3.1.2天津网通IP宽带网14
3.2XX公司YY项目通信解决方案16
3.2.1通信解决方案概述16
3.2.2客户端接入方式及需要配备的设备18
四、机房环境条件建议20
4.1设备安装要求20
4.2机房安全20
4.3供电系统20
五、技术支持和服务保障21
5.1天津网通技术支持能力21
5.2服务保障22
(宋体五号)
一、天津网通简介
(一级标题宋体二号加粗)
(以公司网站信息为准)
(正文仿宋四号不加粗1.5倍行距)
二、XX公司YY项目的背景和需求分析
(一级标题宋体二号加粗)
2.1项目背景
(二级标题宋体小二号加粗)
正文
(正文仿宋四号不加粗1.5倍行距)
XX公司现有XX个分支办公机构。
目前采用XX方式组网,为了更好为客户提供服务,提高本身的管理水平,现XXX公司欲与各分支机构组建高速专网,进行网络互联,并通过中心点接入互联网,以形成XXX公司独有的,高速无障碍的,全天候的视、音频交互网络。
2.2需求分析
(二级标题宋体小二号加粗)
正文
(正文仿宋四号不加粗1.5倍行距)
XX公司网络建设目标是建成覆盖天津市内、郊县各分支机构及其下属各单位共XX个点的办公网络,为XX公司提供功能强大的、综合性的网络平台,以承载目前即将投入办公自动化系统、网上教学系统,后期将投入建设的视频会议系统以及今后逐步发展的各项网络业务。
在实现网络覆盖的基础上,能够实现各个分支机构通过XX公司总部进行互联网的访问,并可以通过此公网接口对外提供外网访问。
这就要求XX公司信息网络平台必须是一个实用的、高可靠、高效率、高扩展性、高安全性系统。
天津网通经过多年的网络建设,利用国际一流的技术,构筑起具有“多种接入方式、多种带宽选择、多种业务提供、多种资费选择及多种终端选择”的网络服务界面。
从以前单一的电话、电报网发展成了固定电话、数据多媒体通信、信息宽带通信、无线市话等各种先进手段融为一体的现代通信网络。
遍布全市的高速光缆网络和数字传输网四通八达,ATM网络、DDN网络、IP宽带城域网、ADSL节点覆盖了全市所有的区、县和乡镇,INTERNET通达各个角落,能够满足不同客户的不同需求
XX公司的网络属于内部专网,建议使用天津网通的MPLSVPN网络实现互联。
此方案的总体设计思想是力求提供一个先进、安全、可靠的解决方案。
在设计时充分考虑了:
(1)网络的安全、稳定性
(2)网络可扩展性
三、XX公司YY通信项目解决方案
(一级标题宋体二号加粗)
3.1天津网通网络资源及技术业务介绍
(二级标题宋体小二号加粗)
3.1.1MPLS/VPN技术简介
3.1.1.1MPLS实现原理
MPLSVPN的基本工作方式是采用第三层技术,每一个VPN具有独自的VPN-ID,每一个VPN的用户只能与自己VPN网络中的成员进行通信,而也只有VPN的成员才能有权进入该VPN。
MPLSVPN的工作过程如下:
在基于MPLS的VPN中,服务提供商为每个VPN分配了一个标识符,称作路由标识符(RD),这个标识符在服务提供商的网络中是独一无二的。
转发表中包括一个独一无二的地址,叫作VPN-IP地址,是由RD和用户的IP地址连接形成,VPN-IP地址在网络中是独一无二的,地址表存储在转发表中。
一个标签(label)是一个短的、长度固定的数值,由报文的头部携带,它不包含拓扑信息,只具有局部意义。
它同ATM的VPI/VCI以及FrameRelay的DLCI类似,是一种连接的标识符。
MPLS包头的结构如下图所示,包含20比特的标签,3个比特的EXP,现在通常用做CoS,1个比特的S,用于标识这个MPLS标签是否是最低层的标签,和8个比特的TTL-TimeToLive。
图3-3-1MPLS标签
如果2层协议具有标签域,如ATM的VPI/VCI和FrameRelay的DLCI,标签封装在这些域中,如果不支持,标签封装在2层和IP层之间的一个薄层中。
这样,标签能够被任意的链路层所支持。
MPLS可以承载的报文通常是IP包(当然也可以改进直接承载以太包、ATM的AAL5包、甚至ATM信元等,这在MPLSVPN中有详述)。
可以承载MPLS的二层协议可以是PPP、以太网、ATM和帧中继等。
对于PPP或以太网二层封装,MPLS包头结构如上图所示,但是对于ATM或帧中继,MPLS则直接采用分别采用VPI/VCI或DLCI做为转发的标签。
在MPLS中,一个标签标识了一个转发等价类(FEC——ForwordingEquivalenceClass)。
一个转发等价类是在网络中遵循同样的转发路径的报文的集合,这些报文的目的地址甚至可以不同。
MPLS可以看作是一种面向连接的技术。
可通过MPLS信令(如LDP,LabelDistributeProtocol,标签分配协议)或手工配置的方法建立好MPLS标记交换连接(LabelSwitchedPath,简称LSP)以后,数据转发过程中,在网络入口进行流分类,根据数据流所属的FEC选择相应的LSP,把需要通这条LSP的报文打上相应的标签,中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发,而不用再通过IP报文头的IP地址查找。
在MPLS标记交换路径的出口(或倒数第二跳),弹出MPLS包头,还回原来的IP包(在VPN的时候可能是以太网报文或ATM报文等)。
由于FEC可以是按照目的地址划分的,这同传统的IP转发相同,也可以是基于源地址、目的地址、源端口、目的端口、协议类型、QOS、VPN等等信息的任意组合。
而MPLS可以把任何流关联到一个FEC,然后把一个FEC映射到一个LSP,这个LSP可以是为了这种FEC而特殊构造的,这使得服务提供商可以非常精确地控制网络中的每个流。
这种空前的控制能力使网络能够提供更加有效和可预测的服务
根据扩展方式的不同MPLSVPN可以分为BGP扩展实现的MPLSVPN,和LDP扩展实现的VPN。
根据PE(ProviderEdge)设备是否参与VPN路由又细分为二层VPN和三层VPN。
同依赖于IPTunnel技术实现的传统IPVPN不同,MPLSVPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN。
BGP是一个路由信息分布协议,它利用多协议扩展和共有属性来定义VPN的连接性。
在基于MPLS的VPN中,BGP只对同一个VPN的成员发布信息,通过流量分离来提供基本的安全性。
因为数据是通过使用LSP来转发的,LSP定义一条特定的路径,不可以被改变,以保证其安全性。
这种基于标签的模式可与帧中继和ATM一样提供保密性。
服务提供商,而不是用户,应用VPN时将一个特定的VPN与接口联系起来,数据包的转发是由用于入口的标签决定的。
既然不可能spoof端口,MPLSVPN就不易受到spoof的攻击。
VPN转发表中包括与VPN-IP地址相对应的标签。
通过这个标签将数据传送到相应地点。
既然标签代替了IP地址,用户可以保持他们的专用地址结构,无需进行网络地址翻译(NAT)来传送数据。
根据数据入口,交换机选择一特定的转发表,该表中只包括在VPN中有效的目的地址。
为了创建Extranet,服务提供商在VPN之间要明确配置可达性。
这种解决方案的优势在于服务提供商可以通过相同的网络结构来支持许多种VPN,并不需要为每一个用户建立单独的网络。
而且,这种方案将IPVPN的能力内置于网络本身,所以,服务提供商可以为所有租用者配置一个网络来提供专用的IP网服务,如Intranet和Extranet,而无需管理隧道或VCmesh。
QoS可为每个VPN提供特有的业务政策,而且QoS服务可与基于MPLS的VPN无缝结合,因为两者都是基于标记的技术。
3.1.1.2L3MPLSVPN实现原理
在L3MPLSVPN(又称MPLSBGPVPN)的模型中,网络由运营商的骨干网与用户的各个Site组成,所谓VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。
但是必须遵循如下规则:
两个Site之间只有至少同时属于一个VPN定义的Site集合,才具有IP连通性。
MPLSBGPVPN的框架模型如图2-2-3所示:
图2-2-3MPLS/BGPVPN结构图
如图所示,基于BGP扩展实现的L3MPLSVPN所包含的基本组件:
PE:
ProviderEdgeRouter,骨干网边缘路由器,存储VRF(VirtualRoutingForwardingInstance),处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。
CE:
CustomEdgeRouter,用户网边缘路由器,分布用户网络路由。
Prouter:
ProviderRouter,骨干网核心路由器,负责MPLS转发。
VPN用户站点(site):
是VPN中的一个孤立的IP网络,一般来说,不通过骨干网不具有连通性,公司总部、分支机构都是site的具体例子。
CE路由器通常是VPNSite中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备上。
用户接入MPLSVPN的方式是每个site提供一个或多个CE,同骨干网的PE连接。
在PE上为这个site配置VRF,将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定的VRF上,但不可以是多跳的3层连接。
BGP扩展实现的MPLSVPN扩展的了BGPNLRI中的IPv4地址,在其前增加了一个8字节的RD(RouteDistinguisher)。
RD时用来标识VPN的成员---即Site的。
VPN的成员关系是通过路由所携带的routetarget属性来获得的,每个VRF配置了一些策略,规定一个VPN可以接收哪些Site来的路由信息,可以向外发布哪些Site的路由信息。
每个PE根据BGP扩展发布的信息进行路由计算,生成每个相关VPN的路由表。
PE-CE之间要交换路由信息一般是通过静态路由,也可以通过RIP、OSPF、BGP、IS-IS等。
PE-CE之间采用静态路由的好处是可以减少CE设备可能会因为管理不善等原因造成对骨干网BGP路由产生震荡,影响骨干网的稳定性。
PE与PE之间需要运行iBGP协议,存在可扩展性问题,但采用路由反射器RR可以显著地减少IBGP连接的数量。
MPLS/BGPVPN提供了灵活的地址管理。
由于采用了单独的路由表,允许每个VPN使用单独的地址空间中,称为VPN-IPv4地址空间,RD加上IPv4地址就构成了VPN-IPv4地址。
很多采用私有地址的用户不必再进行地址转换NAT。
NAT只有在两个有冲突地址的用户需要建立Extranet进行通信时才需要。
在MPLS/BGPVPN中,属于同一的VPN的两个site之间转发报文使用两层标签来解决,在入口PE上为报文打上两层标签,第一层(外层)标签在骨干网内部进行交换,代表了从PE到对端PE的一条隧道,VPN报文打上这层标签,就可以沿着LSP到达对端PE,这时候就需要使用第二层(内层)标签,这层标签指示了报文应该到达哪个site,或者更具体一些,到达哪一个CE,这样,根据内层标签,就可以找到转发的接口。
可以认为,内层标签代表了通过骨干网相连的两个CE之间的一个隧道。
L3MPLSVPN通过和Internet路由之间配置一些静态路由的方式,可以实现VPN的Internet上网服务,还可以为跨不同地域的、属于同一个AS但是没有自己的骨干网的运营商提供VPN互连,即提供“运营商的运营商”模式的VPN网络互连。
MPLS/MBGPVPN可以简化对用户端设备的需求和用户管理、维护Intranet/Extranet的复杂性,每个CE仅需要维持一个到PE的路由交换协议,CE间的路由交换、传输控制、路由策略由运营商根据VPN用户的需求来实施。
由于BGP的策略控制能力很强,随之而来的是VPN用户路由策略控制的灵活性。
3.1.1.3基于MPLS的IPVPN网络
基于MPLS的IPVPN网络可以很容易地与基于IP的用户网络结合起来。
租用者可与供应商提供的服务无缝结合,不必改变Intranet应用,因为这些网络具有应用通晓性、保密性且QoS内置于网络中。
用户能够使用他们专有的IP地址而无需NAT(网络地址翻译)。
(1)用户端的路由器(CE)首先通过IGP(静态路由、RIP等)或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的绑定。
到此时,CE,PE以及P路由器中基本的网络拓扑以及路由信息已经形成。
PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于哪一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时,在前传的数据包中打上VPN标记(内层标记)。
这时得到的下一跳地址为与该PE作Peer的PE的地址,为了达到这个目的端的PE,此时在起始端PE中需读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。
(3)在骨干网络中,初始PE之后的P均只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换
(4)在达到目的端PE之前的最后一个P路由器时,将外层标记去掉,读取内层标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。
3.1.1.4天津网通MPLSVPN网络优势:
1.基于网络,易于管理:
这种基于网络的VPN可以完全由骨干网络来实现,即网络用户不用关心VPN是如何构造的,而是目前构件的网络平台内完成。
2.IP地址规划:
不同VPN的IP地址可以相互重叠,使地址分配更加灵活。
3.安全:
由于基于MPLS/BGP实现,报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP),因此具有同ATM/FR虚电路相同的安全级别;MPLSBGPVPN方案采用VRF实现VPN之间的路由隔离;通过MPLSLSP隧道将VPN流量完全隔离。
4.QOS:
由于基于MPLS/BGP实现,可以利用MPLS技术特有的CoS、RSVP,流量工程等机制,从而能够为用户实现有QoS保证的VPN。
5.扩充性好:
由于基于MPLS/BGP实现,因此很容易对网络节点进行扩充,网络可剪裁性好。
在增加某个VPN的一个接入节点时,只需要配置该节点连接的PE路由器,不存在N平方问题。
增加一项新业务系统时不会影响已有的业务,实现平滑扩展。
MPLSVPN业务模型与网络规模及拓扑无关。
6.性能卓越:
全网采用Cisco产品构建,利用Cisco产品的优越性能,整体网络性能更加卓越,稳定性更好,功能更加强大,安全性也得到保证。
3.1.2中国网通及天津网通MPLSVPN网络资源情况
(三级标题宋体小三号加粗)
3.1.2.1中国网通MPLSVPN网络优势
中国网通的MPLS-VPN业务构架在原网通控股公司建设的大客户专用网络上,此网络称为CNCnet,CNCnet采用了目前最先进的MPLS技术,可同时提供多个VPN网络。
通过CNCnet为客户构筑统一管理而不受地域限制的网络,VPN共享CNCnet的网络资源,但其管理策略采用VPN自己的管理策略,就象VPN客户拥有自己的网络资源一样,CNCnet的网络拓扑结构如下:
中国网通MPLSVPN骨干网拓扑图
目前,中国网通MPLSVPN已经遍布大陆68个大、中城市以及香港、台湾、美国洛杉矶等海外城市,并可通过其它运营商覆盖新加坡、日本等亚洲国家以及北美的多个国家。
中国网通MPLSVPN网络骨干网内部互联带宽容量为100G,17个节点采用2.5G高速通路互联,其它节点均以155M以上电路互联,中国网通覆盖的大陆城市范围如下所示:
中国网通大陆城市覆盖分布表
MPLSVPN业务国际通达方向:
✧大中国区:
香港、台湾
✧北亚:
日本、韩国
✧北美:
美国(洛山基)
✧东南亚:
新加坡、澳大利亚、马来西亚、菲律宾
说明:
没有中国网通MPLSVPN节点的城市可以通过采用长途电路的方式就近接入到中国网通的MPLSVPN网络。
中国网通MPLSVPN支持的不同业务等级如下表,其特点较多。
中国网通MPLSVPN业务等级分类表
可扩展性:
与PVC方式不同,MPLSVPN在增加节点和客户数量方面有较强的可扩展性。
这是因为VPN边缘路由器运行VPN专用路由软件,客户端路由器运行标准的路由软件,两种设备之间使用IP相互通信。
也就是说只有边缘路由器承载VPN路由,而核心设备无需知道VPN路由。
由于核心路由器不必进行VPN寻址,中国网通的网络可以不断扩展来支持更多、更大的VPN。
地址规划:
中国网通的边缘路由器分别针对全局路由和VPN路由,以维护相应的路由表。
全局路由表包括所有边缘和核心路由。
每个VPN有一个VPN路由和转发表,其中包括一个或多个直接相连的客户地点的信息。
IPVPN编址方案保证即使IP地址重叠,全局的IP地址仍是唯一的。
边缘路由器可以隔离不同的VPN的路由信息,从而支持多个VPN。
结构简单:
客户端路由器只与中国网通本地POP的路由器相连,而不是与VPN每一个其它的地点相连。
相连POP的路由器只接收并保持与其直接相连的VPN的路由信息。
所以客户在管理自己的VPN时会发现使用MPLS模式的路由配置非常简单。
他们可以把中国网通的骨干网当作到他们所有地点的缺省路由来使用,而不需要与非常复杂的、包括了大量第二层PVC或第三层路由表的网络打交道。
多协议支持:
中国网通的MPLSVPN可提供多种服务和接入方式,无论客户端是以太网、帧中继、IP还是ATM,都可无缝的通过CNCnet实现VPN业务,目前,VPN可提供N*64K-155M速率端口,同时客户可以随时根据需要经济地扩展自己的网络,如增加端口、提高速率等。
总之,CNCnet利用MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础,运营商可以根据其内部网络以及客户的特定需求来决定自己的网络如何支持MPLS-VPN。
3.1.2.2天津网通MPLSVPN网络优势
全网采用世界一流的CISCO的产品,网络分为核心层、汇聚层、接入层三层结构,基本覆盖天津市内、郊县乃至经济发达的乡镇。
IP宽带网除了可提供高速上网需求外,还满足一般基于组播视频业务(VOD、远程教学)、IP-VPN等业务,面向各种客户。
核心层
天津城域网工程核心层设备采用CISCO公司的GSR路由器。
各个节点之间采用光纤直连,组成双环形结构,速率为2.5Gbps。
其中本地网骨干层节点通过2条2.5Gbps链路向上汇入China169骨干网接入层。
汇聚层
汇聚层负责汇集分散的接入点,进行数据交换,提供流量控制和用户管理功能。
在汇聚层节点分别配置高容量Cisco7600光纤业务路由器和6509交换机,为接入层提供丰富的接口。
接入层
负责提供宽带以太网用户的接入,在需要时提供用户流量控制功能。
全网共28台接入设备,包括Ciscocatalyst4006和Ciscocatalyst2948;这些接入设备分别放置在28个接入局,这些接入局覆盖了天津市区和所有的郊区县。
天津网通MPLSVPN构架于天津网通IP城域网,核心节点GSR作为P设备,另外有和7609同址的7206路由器和6509三层交换机作为PE路由器。
用户接入IP城域网4000系列交换机,先通过2层透传到7206或6509作终结,然后PE路由器设备完成MPLSVPN用户的3层接入功能。
基于MPLS的IPVPN网络可以很容易地与基于IP的用户网络结合起来。
租用者可与供应商提供的服务无缝结合,不必改变Intranet应用,因为这些网络具有应用通晓性、保密性且QoS内置于网络中。
用户能够使用他们专有的IP地址而无需NAT(网络地址翻译)。
这种网络结构目前可支持许多种VPN,可减轻每一个新网络实施工程的负担。
这种方案易于进行VPN的添加、移动和改变。
如果某个公司需要在自己的VPN中增加一站点,天津网通只需告诉客户端设备的路由器如何与网络连接,并配置LSR来识别来自于CPE的VPN成员。
BGP会自动更新VPN成员。
与增加一台设备需要大量操作的overlayVPN相比,这种方案要简单、迅速和便宜的多。
在一个overlayVPN中增加一台新设备要涉及到更新流量matrix,从新站点建立VC到所有现存的站点,更新每个站点的OSPF设计,针对新的拓扑结构图重新配置每台CPE设备。
3.2XX公司YY项目通信解决方案
(二级标题宋体小二号加粗)
3.2.1通信解决方案概述
(三级标题宋体小三号加粗)
根据用户的需求,推荐使用我公司提供的基于MPLS的VPN网络技术,可以很容易地实现与基于IP的用户网络结合起来。
用户可与我公司提供的服务无缝结合,不必改变自身的网络应用,因为该网络技术具有应用通晓性、保密性,用户能够使用他们私有的IP地址。
1、使用中国网通MPLSVPN业务
XX公司组网建设项目采用MPLSVPN技术,通过本地数字电路、DDN/ATM电路等方式接入天津网通金星大厦PE路由器,由PE路由器完成MPLSVPN用户的3层接入功能,用户接入速率小于等于2M。
依据上述MPLSVPN技术说明,P核心路由器、PE接入路由器均由天津网通公司提供。
CE指客户接入MPLSVPN专网所需要的接入点设备,一般选用路由器即可,其端口类型没有特别的要求,当前大多数型号的路由器都可以支持。
整个网络图见下图:
大客户接入示意图
MPLS是一种基于IP的技术,因此在PE-CE设备之间需要使用路由协议进行路由信息交换。
CNC现在支持静态,RIPv2,BGPv4等路由协议。
2、使用天津网通MPLSVPN业务
XX公司组网建设项目采用MPLSVPN技术,各个分支节点通过光纤以10/100M带宽就近接入我公司IP城域网4000系列交换机,先通过城域网2层透传到7206或6509作终结,然后由PE路由器完成MPLSVPN用户的3层接入功能。
通过城域网资源加上VPN技术构建专用办公网络。
依据上述MPLSVPN技术说明,P核心路由器、PE接入路由器均由天津网通公司提供。
CE指客户接入MPLSVPN专网所需要的接入点设备,一般选用路由器或等效的三层设备即可。
建议XX公司总部通过100M带宽光纤接入,各个分支机构均通过10M带宽接入。
在XX公司总部实现整体网络与
升级会员 