南京市市政管理处组网方案.doc

南京市市政管理处组网方案 客户需求分析 南京市市政工程管理处，将对四个分支办公点进行联网。 推荐2种组网方式： 基于数字电路组网 基于MPLS VPN 组网 MPLS VPN业务 MPLS VPN业务介绍 MPLS VPN是最近几年新兴的业务，为带宽型业务。广泛用于客户内部组网。理论证明MPLS VPN采用路由隔离、地址隔离和核心隐藏等多种手段，使得 图1 BGP/MPLS VPN的基本组成 1、用户边缘（CE）设备 CE设备提供到运营商网络的用户连接，通过一条数据链路（可为FRAME-RELAY、ATM、以太网接入等等）连接到PE路由器。典型的CE设备为一台IP路由器，与它直接相连的PE路由器建立邻接。一旦邻接建立后，CE路由器将此站点的本地VPN路由信息通告给PE路由器并从PE路由器学习到远端VPN的路由信息。 2、运营商边缘（PE）路由器 PE路由器利用动态路由协议（OSPF、EBGP、RIPv2）与CE路由器交换路由信息（也可以采用点对点静态路由）。虽然PE路由器维护VPN路由信息，但仅要求它为与它直接相连的VPN维护VPN路由信息，从而PE路由器无需维护运营商所有的VPN路由信息，这也就增强了BGP/MPLS VPN网络的可扩展性。 每个PE路由器为每个与它直接相连的站点维护了一张VPN路由转发（VRF）表。每个用户连接（如FRAME-RELAY PVC、ATM PVC、VLAN）都映射到一特定的VRF。因此与VRF对应的是PE路由器上的端口而不是站点。PE路由器上的多个端口可对应于一个VRF（一个站点可包含多个端口的缘故）。由于PE路由器能够维护多个转发表(每VPN对应于一个VRF)，从而支持每个VPN的路由信息隔离。 从CE路由器学习到本地VPN路由信息后，PE路由器利用IBGP与其它PE路由器交换VPN路由信息。PE路由器可利用到路由反射器的IBGP会话来替代IBGP会话的网状覆盖。 当利用MPLS在运营商的骨干转发VPN数据流量时，入口处PE路由器的功能与入口处LSR（标签交换路由器）相同,出口处PE路由器的功能与出口处LSR相同。 3、运营商（P）路由器 P路由器为运营商网络中不与CE路由器直接相连的路由器（即除PE外的路由器）。当在PE路由器间转发VPN数据流量时，P路由器的功能与MPLS 转接LSR相同。由于在MPLS骨干采用2层标签栈转发流量，P路由器仅需要维护到运营商PE路由器的路由，而不需要维护每个用户站点特定的VPN路由信息（将在后面详细解释）。 MPLS VPN运作模式 以上图为例，描述一下具体实现过程。 4个用户站点的CE路由器连接到2台PE路由器。站点1与站点2属于VPN RED,之间可相互通信。站点3与站点4属于VPN BLUE,之间可相互通信。但VPN RED、VPN BLUE用户之间不可以通信，相互隔离。 不同站点可以使用相同的地址空间，这是因为RFC2547bis支持重叠的地址空间，通过采用路由标识符（RD）和VPN-IPv4地址族,可将非唯一的IP地址转换为全局唯一的地址。 具体步骤： 1、交换路由信息 ①PE1被配置成将VRF RED关联到与CE1相连的PE1上相应端口。当CE1将前缀为10.1/16的路由通告给PE1,PE1就在自己的VRF RED中添加一条到10.1/16的本地路由。 ②PE1利用IBGP将10.1/16路由通告给PE2。在通告路由前，PE1选择一个MPLS标签（如222），然后将它与路由一起通告，此标签为底层标签。 ③PE2接收到PE1的路由通告，它通过基于BGP扩展共同体属性进行路由过滤，决定是否将到10.1/16的路由添置到PE2中的VRF RED中。 2、建立LSP 为了采用MPLS在运营商骨干转发VPN流量，必须在学习到此路由的PE路由器和通告此路由的PE路由器间建立LSP（可基于标签分配协议LDP或资源预留协议RSVP）。 3、传送数据流 如果站点1上有一个地址为10.1.3.4的主机想与站点2上地址为10.2.3.4的服务器进行通信，过程如下(示意图见图2)： 图2 ①主机10.1.3.4将发往服务器10.2.3.4的所有VPN数据流量转发到它默认的网关。当包到达CE1时,CE1进行最长匹配路由查询，并将Ipv4包转发到PE1。 ②PE1接受到此包后，在VRF RED中进行路由查询，并会得到以下信息：PE1与路由一起通告的MPLS标签值（222）、此路由的BGP下一跳（PE2环回地址）、从PE1到PE2 LSP的出口子地址、从PE1到PE2 LSP的MPLS标签值(11)。 ③采用MPLS进行数据转发，将