2013.07医保组网及故障处理试卷.pptVIP

流量路径 网络部分 前年的光纤分支点（300多家，网段为10.60.1.x-10.60.2.x），其流量通过2层VPN汇聚到台北路中兴8905上，通过100M电路接入到医保中心防火墙上。 去年至今的光纤分支点（600多家，网段为10.60.3.x-10.60.9.x），汇聚到台北路局8905后通过1000M电路与绿网“网络掌门”相连，再接入到医保中心防火墙上。 医保中心点 “网络掌门”：电信购置放在客户处，通过与VPN网配合实现分支点间的隔离，进行分支点IP与MAC绑定。 防火墙：200个左右分支点共用一个C网段，通过电信汇聚到防火墙，防火墙作为分支点的网关，路由到医保内网业务系统。网关地址为10.60.X.254。 ? 上网行为管理：实现分支点PC的IP与MAC绑定，防止IP地址盗用。 新开电路数据配置 新开电路需要在接入局的中兴8905或8912下联口（a）和上联口（b），接入局的7609（c），中心点的7609（d）配置数据。 （1）a点数据配置： 89XX： Interface gei_1/1 description WHG0000001111 no negotiation auto speed 100 switchport access 3111 switchport qinq normal spanning-tree disable traffic-limit rate-limit 64 bucket 512 in （2）b点数据配置： 在相应的上联口透传vlan： switchport trunk vlan 3111 （3）c点接入局7609数据配置： service instance 110 ethernet //配子接口 description WHG0000001111 encapsulation dot1q 3111 rewrite ingress tag pop 1 symmetric//重写一层vlan标签 xconnect 59.175.245.183 21324 encapsulation mpls//指向中心点ip及vpn backup peer 59.175.245.182 21324//备用电路 （4）中心点7609配置 service instance 427 ethernet description WHG0000001111 encapsulation dot1q 3205 second-dot1q 1336//封装二层vlan标签 rewrite ingress tag pop 2 symmetric xconnect 59.175.245.185 21324 encapsulation mpls//指定数据回去的ip及vpn backup peer 59.175.245.184 21324//备用电路 上述为中心点与分支点不同片区时配置方案。若中心点与分支点同片区，则采用conncet方式： conntct YBWHG0000001111 GigabitEthernet 1/3 110 GigabitEthernet 1/9 425 //将接入局7609和中心点7609的子接口相连。 报文传送过程 MPLS LSP MPLS LSP MPLS LSP IP/MPLS network A branch 1 A branch 2 A headquarters PE PE CE CE CE PE VPLS隧道对于CE设备，就像是一台没有启动任何协议的二层交换机，透传用户所有报文 PE根据用户所属VPN给用户PDU封装VC Lable用于在MPLS网络中区分不同的用户，根据用户的目的mac封装公网lable以传送到目的PE：由此可见VPLS网络中PE必须有学习用户MAC地址的能力 PE转发来自对端PE的报文时根据VC Lable选择用户 PDU所属VPN，根据用户目的MAC查找该报文的出接口，把VC Lable拆掉，把原始的用户PDU发送给CE User PDU VC ID label MAC User PDU VC ID label MAC User PDU * 世 界 触 手 可 及 Connecting the World 客户支撑中心 中国电信广东公司网管中心 中国电信广东公司网管中心 中国电信广东公司网管中心 中国电信广东公司网管中心 中国电信广东公司网管中心 中国电信广东公司网管中心 中国电信广东公司网管中心 中国电信广东公司网管中心 中国电信广东公司网管中心 中国电信广东公司网管中心 中国电信广东公司网管中心 中国电信广东公