华为ip城域网mpls,vpn解决方案.docxVIP

华为ip城域网mpls,vpn解决方案 　　篇一：华为IP城域网MPLS VPN解决方案 　　华为IP城域网MPLS VPN解决方案  　　一、概述  　　综合分析市场需求和技术发展趋势，华为公司在网络操作系统VRP和相关网络产品的基础上推出了MPLS VPN，包括MPLS/BGP VPN、Kompella MPLS L2 VPN方案，为用户提供商用的MPLS VPN业务。如图1所示，华为MPLS VPN采用城域网核心层设备做为P设备，采用城域网汇聚层设备做为PE设备，用户CE设备通过城域网接入层接入PE，全面实现MPLS VPN业务的运营。  　　对于MPLS BGP VPN组网方式而言，由于CE、PE设备之间不能间隔其他三层设备，因此，在IP城域网组网时必须注意：对于通过L2+L3接入PE的LAN用户，可通过VLAN透传将CE的数据流终结到PE设备；对于采用路由器+L2建设的城域网，可通过GRE+策略路由的方式将VPN用户接入PE设备；对于使用综合方式接入的用户，可在PE设备终结PVC来实现VPN业务。  　　通过MPLS VPN技术，华为IP城域网方案可以提供企业内部互连（Intranet）、外部互连（Extranet）、Internet访问、跨AS域支持、网管和记费等服务。  　　二、企业内部互连与外部互连  　　实现企业内部跨区域互连或企业间跨区域互连是MPLS VPN的主要应用之一，根据企业用户的实际业务需求，可以通过VRF中Target属性（Import、Export）的灵活配置来实现。 　　■企业跨区域内部互连需求 　　许多跨区域的大中型企业，希望将分布在各地区的子公司通过网络连接起来，图2和图3是华为提出的两种典型的实现方案。  　　图2 跨区域大中型企业典型联网方案1  　　在图2中，各PE VRF中的Target属性相同，这种配置可以实现总部与分公司，分公司与分公司之间的互访，图3所示的方案可以实现总部与各分公司之间的互访，而各分公司之间不能互访。当然，通过对Target的不同配置，还可以实现更多的应用需求，如实现部分站点互访的需求。  　　图3 跨区域大中型企业典型联网方案2  　　■企业间互连需求  　　许多企业为了方便与供应商、客户或合作伙伴进行联系，往往采用跨企业的网络实现互连，这就是所谓的Extranet。如果企业之间准许实现完全互访，则通过简单地配置Target属性即可实现，但实际上大多数企业更倾向于企业间的受限访问方案。例如，企业希望合作企业只能访问到某些相关的数据库，图4所示的HUB-SPOKE方案可以实现这种需求。  　　图4 HUB-SPOKE方案  　　在图4中，两个SPOKE分别对应两个企业的Site。为了实现受限互通的目的，首先将两个Site中的路由通过IN接口导入CE设备的路由器中，CE设备采用策略路由等路由过滤机制，当然也可以在SPOKE处首先进行路由出过滤，然后从OUT出口将过滤后的路由发布到SPOKE上，实现企业之间的受限访问。  　　三、Internet访问  　　Internet访问是MPLS服务提供商为企业用户提供的重要业务，华为在综合考虑地址重叠、访问控制和安全因素等基础上，提供以下三种解决方案。 ■企业内部访问控制方式  　　如图5所示，这种方式在每个企业的VPN内部对Internet访问设置NAT和防火墙处理，将安全机制放于企业的统一出口处（CE2）。VPN内部各Site访问Internet的数据流，首先到该VPN的某一Site中（一般为公司总部Site），在该Site进行NAT和防火墙处理后进入公网。这种方式只要求在客户端进行配置，而对于运营商一侧，网络没有配置要求，但对运营商来说，这种方式无法对客户访问Internet进行统一管理。  　　图5 Internet企业内部访问控制方式  　　■集中访问控制方式  　　如图6所示，这种方式的控制集中放置在服务提供商的Internet出口处（PE），为了解决各VPN重叠保留地址的问题，必须为每个VPN配置一个防火墙，各VPN用户通过属于自己的防火墙实现Internet访问。这种方法要求运营商为每个VPN配置一个访问Internet的VPN，在客户端需要配置一条访问Internet VPN的缺省路由，由于该方法要求运营商进行配置，而且每个VPN都需要一个防火墙，因此当VPN用户较多时网络投资较大，但这种方法允许运营商对VPN用户访问Internet进行有效的管理。  　　■二级控制方式  　　如图7所示，这种控制方式首先在企业内部进行Internet访问控制，然后在服务提供商处再进行一次访问控制，即两级访问控制。这种方式的优点在于，它可使企业对