ip城域网组网方案

ip城域网组网方案内容摘要：

Core 之前必须先进行 Aggregate 或 Summarize ，以免造成对 Core 的路由影响。 2 、实现 作为 IP 城域网的核心，要承载包括 IPv4 和 MPLS VPN 两种不同的 traffic ，所以，每台 Core Router 必须是能够支持 Tag Switching。 在这种配置下， MPLS VPN 的 traffic 被 Tag Switched ，而普通 IPv4 的 traffic 被 routed。 下面是一台 Core router 的 Sample configuration: Tagswitching advertisetags interface pos 2/0 description “SM01 fiber link to M XA12020A pos 2/0” ip address tag switching ip 第 13 页 共 64 页 为了减少 Tag Switch 的目标 lable ，可以采取 access list 的方法来限制标签的分配。 配置如下： Tagswitching advertisetags for 1 Accesslist 1 permit // loopback 0 address of MSN7507A Accesslist 1 permit // loopback 0 address of MHMG7513A Accesslist 1 permit // loopback 0 address of MDX7507A Accesslist 1 permit // loopback 0 address of MNS7507A Accesslist 1 permit // loopback 0 address of MXA7507A Accesslist 1 permit // loopback 0 address of MLZ7507A Accesslist 1 permit // loopback 0 address of MSTJ7507A 在上面的配置下， Tag Switching 在限于目标地址是 MultiProtocol BGP neighbor 的 Core Router 的 loopback 地址，大大减轻了 Core Router 在 Lable 分配上的开销。 其它 traffic 进行普通路由。 Inter(163/169) 连接点模块 1 、结构 在本期 IP 城域网工程中，黄木岗和电信的两台 Core Router ： MHMG12020A 和 MDX12020A 作为和 163/169 连接的边界路由器。 其中，黄木岗 MHMG12020A 通过一条 OC48 链路连接到 163 ；电信 MDX12020A 通过一条 GE 链路连接到 163。 第 14 页 共 64 页 在 XXX 省 163 扩容工程结束后，这种连接将改变。 到那时， 2 台新加入的 GSR 路由器 MSN12020B 和 MNS12020B 将代替本期工程中的 2 台边界路由器作为新的 163 出口路由器。 边界路由功能随之而转移到新的 GSR 路由器上。 在第六章中将详细讲述和 163 边界路由器的路由策略，包括如何在多出口点之间进行 Inbound traffic 和 Outbound traffic 的 load balance ，以及如何保证路由对称性的问题。 2 、实现 XX IP 城域网和 163 网之间运行 BGP 路由协议，下面是 MHMG12020A 的 Sample Configuration ： router bgp 65001 no synchronization work mask neighbor remoteas 123 neighbor description “ Gbps links to HB 163 Backbone” neighbor version 4 第 15 页 共 64 页 neighbor filterlist 1 in neighbor filterlist 10 out ip aspath accesslist 1 deny ^* ip aspath accesslist 10 permit ^$ ip route null 0 ip route .0 城域网的边界路由器不从 163 路由器学习 任何 Inter 路由，所有 IP 城域网不知道的路由都通过缺省路由送至 163 网络。 IP VPN 服务模块 1 、结构 IP VPN 服务模块包括向用户提供 IPVPN 服务的路由器和交换机，路由器主要是 7507 或 7513 ，交换机主要是 2924。 这些设备包括： Provider Edge (PE) Router (Cisco 7500 series routers): • MSN7507A • MHMG7513A • MDX7507A • MNS7507A • MXA7507A • MLZ7507A • MSTJ7507A VPN Access Concentrator (Cisco Catalyst 2924MXL LAN switches): • MSN2924A 第 16 页 共 64 页 • MHMG2924A • MDX2924A • MNS2924A • MXA2924A • MLZ2924A • MSTJ2924A 所有 VPN Access Concentrator 2924MXL 都是 100MbaseT 以太网交换机，通过 GE 链路连接到 7500 系列路由器上。 该 GE 链路被定义为 multiVLAN Trunk。 2924MXL 上的每个 100M 端口被映射到一个单独的 VLAN 上， 7500 路由器上为每个 VLAN 建立一个 subinterface。 要向用户提供 IPVPN 服务，需要进行下列步骤： • 在 VPN Access Concentrator 2924MXL 上分配一个 100M 端口； • 通过 FEtoFiber 单模光纤转换器连接用户端的设备； • 将分配到的 100M 端口映射到 VPN Access Concentrator 2924MXL 的一个 VLAN 上； 第 17 页 共 64 页 • 在 PE 7500 的 GE 端口上为该 VLAN 建立一个 subinterface ； • 将该 subinterface 联系到一个 VPN 上； • 在用户端，用户提供 CE 路由器通过 100M 端口连接到 PE 上。 2 、实现 A 、 VLAN Trunk Trunk 是交换机之间或交换机和路由器之间的点到点链路， trunk 在整个网络内承载 multiVLAN 的流量。 目前有两种 trunk 封包技术，一种是 Cisco 专用技术 ISL(Inter Switch Link) ，另一种是 IEEE ，是国际标准。 在本次城域网工程中，使用 IEEE 作为 interVLAN 的 trunk 封包技术。 下面是 2924MXL 用作 VPN Access Concentrator 的 Sample Configuration ： interface gigabitether 1/1 switchport mode trunk switchport trunk encapsulation dot1Q 下面是 PE 路由器 7500 的 trunk 端口的 Sample configuration ： interface gigabitether 8/0/ encapsulation dot1Q 103 ip address B 、 MPLS VPN MPLS 采用虚拟路由表的方法来实现一个路由器上多个 VPN 的路由表。 每一个 VPN 对应一个或多个 VRFs(VPN routing/forwarding instance)。 VRF 定义连接到 PE 上的 VPN 成员 ( 一个 site) 资格。 一个 VRF 包括一个 IP 路由表、一个 CEF(cisco express forwarding) 表、几个相关联的端口、和一些控制路由的规则和参数。 用户 site 和 VPN 之间可以不是一一对应的，一个用户 site 可以是多个 VPN 的成员。 但是，一个用户 site 只可以和一个 VRF 相关联。 一个用户 site 的 VRF 包括所有该 site 所属 VPN 到该 site 的路由。 第 18 页 共 64 页 数据包的路由和交换由 VRF 路由表和单独的 CEF 表所控制，每一个 VPN 对应一个路由表和一个 CEF 表，这样可以防止 packet 被交换到不关联的端口上去，同时也防止不关联的端口的 packet 被交换到该 VPN 中。 VPN 路由信息的传播由 VPN routetarget munities 来控制，这主要是通过 BGP 的 extended munities 属性来实现的。 VPN 路由信息的传播通过下述的方法进行工作： • 当一条从 CE 处学习到的 VPN 路由被 inject 到 BGP 中时，一些 VPN route target munities 属性被赋于它；其中主要包括 routetarget 属性，该属性决定这些 route 将被 export 到哪些 VRF。 • 每个 VRF 配置有一个 import routetarget 列表，该列表指明了一个 BGP 的 update 中的 munity 属性应该包含什么 routetarget 才能被目标 VRF 接受。 比如，某一个 VRF 的 import routetarget 列表指明 routetarget munities A 、 B 和 C ，这样，每一个 MPiBGP 的 update 中 munities 属性的 routetarget 中有 A 或 B 或 C 的 route 将被 import 到该 VRF 中。 一个 PE 路由器可通过静态路由、 RIP 或 BGP 从 CE 处得到某一个 IP 前缀的路由，该前缀是标准 IPv4 的前缀。 然后， PE 通过加上一个 8 字节的 RD(route distinguisher) 将它转换成为一个 VPNIPv4 的前缀。 通过这种方法，可以使用户地址唯一，即使用户使用的是 IANA 规定的保留地址。 用于生成 VPNIPv4 前缀的 RD(route distinguisher) 由 PE 路由器的 VRF 配置命令指定。 MP BGP 协议为 VPN 的每个 VPNIPv4 前缀传递 NLRI(Network Layer Reachability Information)。 BGP 实体之间的通信有两种可能， AS 内的 iBGP 和 AS 间的 EBGP ， PEPE 和 PERR(route reflector) 之间为 iBGP ， PECE 之间为 EBGP。 BGP 协议通过 BGP 多协议扩展 (BGP multiprotocol extensions 参见 RFC 2283, Multiprotocol Extensions for BGP4) 来传递 VPNIPv4 的路由可达性信息，多协议扩展的 BGP 采用的方法为限定 BGP 的 peer 只能从其它 VPN 的同伴处得到 BGP 路由。 IP 包经过 MPLS 标签交换到其目标地址，其选路的基础是 VRF 路由表和 VRF CEF 表。 PE 路由器为每一个从 CE 路由器学到 的前缀产生一个 label ，然后将这个 label 作为一个 BGP Communities 属性附加到 BGP 更新中传递出去。 当一个源 PE 路由器从 CE 路由器处得到一个 IP 包，它使用从目标 PE 路由器学到的 label 将该 IP 包发送出去。 当目标 PE 路由器得到这个 labeled IP 包后，将 label 从 IP 包中去除，作为一个纯 IP 包发送到 CE 路由器。 第 19 页 共 64 页 当 labeled IP 包在核心骨干部。