上海电信宽带ip网络系统方案建议书

上海电信宽带ip网络系统方案建议书内容摘要：

点放置 Netscreen 10。 这种方式扩展性高，安全性高。 缺点是需添加设备。 上海电信宽带 IP 网络项目 方案建议书 . 深圳睿盈通信息技术有限公司 18 基于 MPLS 的 VPN 方案 Riverstone 交换式路由器支持所有的 MPLS特性来实现 QoS及流量工程能力 ， 更重要是的 ， Riverstone MPLS提供现有城域网特性和 MPLS集成的扩展 ， 使得运营商能够轻易扩展它们现有的服务。 虚拟专线（ VLL）及二层 VPN 服务 当用户和网络不断增长时，运营商提供 VLAN 基于的 VPN 服务面临严重的扩展性问题，首先， VLAN 的总数被限制在 4096 个，第二，核心路由器所需处理的 MAC 地址的总数可能变得很大，除非限制最大可用的MAC 地址的数量。 第三，用户的 VLAN 不易管理除非核心 VLAN 被映射到每个用户 VLAN，并且 VLAN 标符识在 VLAN 用户之间不冲突。 因此标准的 方式已不再是运营商 VPN 解决方案的好方法。 Riverstone 通过使用 MPLS 支持采用了虚拟专线及二层 VPN 功能和第三层 IP VPN 来解决运营商的 VPN 服务。 一 虚拟专线服务 Riverstone MPLS 基于的虚拟专线服务解决了这些扩展性问题，使得城域网运营商能通过两条相反方向的 MP LS LSP 提供一个逻辑的管道。 这些LSP 可以带上指定的 Qos 特性， Qos 可以是静态预 配置的或者使用 MP LS 信号动态建立的。 一个 LSP 所走的路由可按流量要求而指定。 服务供应商能够为一个特定用户的流量指定一个策略，比如，如果为具体某一个用户分配了一个物理端口 P1，运营商能够定义一个策略指定所有来自物理端口 P1 的流量流向一个预定义的 LSP L1 ，而该 LSP L1 位于端口 P2。 Riverstone MPLS 支持基于每 LSP 进行速率限制，保证用户的服务等级水平（ SLA）。 基于每 LSP 的流量统计使得 MSP 能够监测流量情况以上海电信宽带 IP 网络项目 方案建议书 . 深圳睿盈通信息技术有限公司 19 便适时作调整。 这个基于 MP LP LSP 的虚拟专线（ VLL）服务模型使 得运营商有很大的扩展性，最终用户的网络信息如， MAC 地址， VLN AIds, 都保持对运营商网络透明，因为只有 MP LS 标签被检查，此外，基于 MP LS 标签堆栈特性，边缘得 LSP 能被组合成少量的 LSP 隧道。 二 MPLS L2 VPN 功能 通过 Riverstone 的 MPLS，当超过两个以上的用户网络必需要透明互连时，运营商能够扩展 VLL 功能以提供透明的以太网服务 (TLS) ， Riverstone MPLS 支持虚拟 LAN 的扩展需要以及地址学习能力。 下列的图指明Riverstone 如何实施层二 VPN 功能。 上海电信宽带 IP 网络项目 方案建议书 . 深圳睿盈通信息技术有限公司 20 图 1，用户的 VLAN 被映射到指定的 VLAN LSP，在 POP 点之间的隧道LSP 将 VLAN LSP 进行隧道化，核心的 LSP 必须被限制在一个较小的数量。 这些隧道的 LSP 通常经由 RS VP TE 进行信令化，因为核心的 LSP 通常要求有严格的 Qos 保证。 而 POP 点之间的携带用户 VLAN 流量的 LSP 不要求流量工程因为带宽基本不是问题，所以这些 LSP 通常由 LDP 信令建立。 当 LAN LSP 被指定给具体某个用户后，就不再需要作额外的供应操作。 事实上， 单个 VLAN LSP 能够携带用户的所有流量而不管用户端的VLAN 拓扑结构。 通过 VLAN 到 MP LS LSP 隧道的映射，事实上可以建立基于第二层的 BGP VPN。 整个 VPN 用户可以使用第二层隧道。 这样整个VPN 的用户可以使用同一个子网的地址，也可以使用除了 IP 之外的其他协议。 上海电信宽带 IP 网络项目 方案建议书 . 深圳睿盈通信息技术有限公司 21 MPLS IP 层三 VPNs (MPLS/BGP VPN) 简述 按照 Frost 及 Sullivan 的预测，到 2020 年， IP VPN 服务将从 1998 的200$百万上升到 13 个亿， VPN 的必需的要求是安全，可扩展性及 服务等级水平，以前服务供应商通过面向连接的 ATM 及 F rame Relay 或使用加密的IP sec 提供 VPN 主要的问题是现基于隧道的技术不具有扩展性的。 或配置复杂， Riverstone MPLS VPN 基于 RFC 2547bis 使用 BGP 扩展实现具有高度扩展能力的 VPN。 通过使用 MP LS VPN，运营商通过分配 VPN ID 给用户。 然后组合 VPNID 和 IP 地址来进行转送，使得用户的 IP 地址成为唯一的标识，在 MPLS VPN 中， VPN 信息由 BGP 协议分布到同样的 VPN 成员中去，不同的 VPN 成员之间流量 完成分开，流量通过 MP LS LSP 来进行转送， MPLS LSP 能提供 ATM 或帧中继级别的安全和可靠性。 转发表中包含相对应于 VPNIP 地址的标签信息。 Riverstone 提供的 MPLS VPN 能够利用基于 MPLS 的 QOS 功能为不同用户提供不同层次的 IP 服务是，这些简单有效的 VPN 服务能够满足用户的 VPN 要求并能提供额外的强大的服务分发机制。 MPLS VPN 的实现过程 MPLS的应用导致 VPN技术产生了质的变化，他保证了 VPN的极高的可扩展性，并为服务供应商和最终用户同时提供了简单配置和可 管理性。 MP LS同时可以提供跨越 IP路由网络和 ATM交换网络的 VPN，从而保护用户的现有投资。 MPLS VPN的基本工作方式是采用三层技术，每一个 VPN具有独自的 VPNID，每一个 VPN的用户只能与自己 VPN网络中的成员进行通信，而也只有VPN的成员才能有权进入该 VPN。 如下图所示： 上海电信宽带 IP 网络项目 方案建议书 . 深圳睿盈通信息技术有限公司 22 图： MPLS VPN示意 图中有两个 VPN： A公司以及 B公司， A公司的 VPN中的用户有权进入黄色的VPN，并且与该 VPN的用户进行通信，而 B 公司 VPN不可见。 MPLS VPN的工作过 程如下： 在基于 MPLS的 VPN中，服务提供商为每个 VPN分配了一个标识符，称作路由标识符 (RD)，这个标识符在服务提供商的网络中是独一无二的。 转发表中包括一个独一无二的地址，叫作 VPNIP地址，是由 RD和用户的 IP地址连接形成。 VPNIP地址在网络中是独一无二的，地址表存储在转发表中。 每个 VPN保持一个转发表。 BGP是一个路由信息分布协议，它利用多协议扩展和 BGP Community 属性来定义 VPN的连接性。 在基于 MPLS的 VPN中， BGP只对同一个 VPN的成员发布信息，通过流量分隔来提供基本的安 全性。 因为数据是通过使用 LSPs来转发 上海电信宽带 IP 网络项目 方案建议书 . 深圳睿盈通信息技术有限公司 23 的， LSP定义一条特定的路径，不可以被改变，这样对安全性也有保证。 这种基于标签的模式可与帧中继和 ATM一样提供保密性。 服务提供商，而不是用户，应用 VPN时将一个特定的 VPN与接口联系起来，数据包的转发是由用于入口的标签决定的。 既然不可能 spoof端口， MPL SVPN就不易受到 spoof的攻击。 VPN转发表中包括与 VPNIP地址相对应的标签。 通过这个标签将数据传送到相应地点。 既然标签代替了 IP地址，用户可以保持他们的专用地址结构，无需进行网络地址翻译 (NAT)来传送 数据。 根据数据入口，交换机选择一特定的转发表，该表中只包括在 VPN中有效的目的地址。 为了创建 extr，服务提供商在 VPN之间要明确配置可达性。 这种解决方案的优势在于服务提供商可以通过相同的网络结构来支持许多种VPN，并不需要为每一个用户建立单独的网络。 而且，这种方案将 IP VPN的能力内置于网络本身，所以，服务提供商可以为所有租用者配置一个网络来提供专用的 IP网服务，如 intra和 extra，而无需复杂的管理，隧道或 VC mesh。 QoS可为每个 VPN提供特有的业务政策， QoS服务可与基于 MPLS的 VPN无缝结合，因为两者都是基于标记的技术。 上海电信宽带 IP 网络项目 方案建议书 . 深圳睿盈通信息技术有限公司 24 基于 MPLS 的 IPVPN网络可以很容易地与基于 IP的用户网络结合起来。 租用者可与供应商提供的服务无缝结合，不必改变 intra应用，因为这些网络具有应用通晓性、保密性和 QoS内置于网络中。 用户能够使用他们专有的IP地址而无需 NAT(网络地址翻译 )。 这同一种网络结构目前可支持许多种 VPN，可减轻为每一个新网络实施工程的负担。 这种方案易于进行 VPN的添加、移动和改变。 如果某个公司需要在自己的 VPN中增加一站点，服务提供商只需告诉客户端设备的路由器如何与网络连接，并配置 LSR来识别来自于 CPE的 VPN成员。 BGP会自动更新 VPN成员。 与增加一台设备需要大量操作的 overlay VPN相比，这种方案要简单、迅速和便宜的多。 在一个 overlay VPN中增加一台新设备要涉及到更新流量matrix，从新站点建立 VC到所有现存的站点，更新每个站点的 OSPF设计，针对新的拓扑结构图重新配置每台 CPE设备。 MPLSVPN的工作过程如下： 用户端的路由器 (CE)首先通过静态路由或 BGP将用户网络中的路由信息 通知提供商路由器 (PE)，同时在 PE之间采用 BGP多协议扩展来传送 VPNIP的信息以及相应的标记 (VPN的标记，以下简称为内层标记 )，而在 PE与 P路由器之间则采用传统的 IGP协议相互学习路由信息，采用 LDP或 RSVP协议进行路由信息与标记 (骨干网络中的标记，以下称为外层标记 )的绑定。 到此时， CE，PE以及 P路由器中基本的网络拓扑以及路由信息已经形成。 PE路由器拥有了骨干网络的路由信息以及每一个 VPN的路由信息。 当属于某一 VPN的 CE用户数据进入网络时，在 CE与 PE连接的接口上可以识别出该 CE属于那一个 VPN，进而到该 VPN的路由表中去读取下一跳的地址信息，同时，在前传的数据包中打上 VPN标记 (内层标记 )。 这时得到的下一跳地址为与该 PE作 Peer的 PE的地址，为了达到这个目的端的 PE，此时在起始端 PE中需读取骨干网络的路由信息，从而得到下一个 P路由器的地址，同时采用 LDP或 RSVP在用户前传数据包中打上骨干网络中的标记 (外层标记 )。 上海电信宽带 IP 网络项目 方案建议书 . 深圳睿盈通信息技术有限公司 25 在骨干网络中，初始 PE之后的 P均只读取外层标记的信息来决定下一跳，因此骨干网络中只是简单的标记交换。 在达到目的端 PE之前的最后一个 P路由器时，将外层标记去掉，读取内层标记，找 到 VPN，并送到相关的接口上，进而将数据传送到 VPN的目的地址处 从以上工作过程可见， MPLS VPN丝毫不改变 CE和 P原有的配置，一旦有新的CE加入到网络时，只需在 PE上作简单配置，其余的改动信息由 IGP/BGP自动通知到 CE和 P。 因此 MPLS VPN拥有以下优点： 三层的智能 VPN； VPN连接配置简单，对现有骨干网络没有压力； 对现有用户的要求为 0，用户不需要作任何改动，用户加入 VPN的配置也很简单； 网络可扩展能力很强； 上海电信宽带 IP 网络项目 方案建议书 . 深圳睿盈通信息技术有限公司 26 VPN用户可以延用原有的专用地址，不需要作 任何修改，在骨干网络采用VPNID，可以保持全网的唯一性； 易于提供增值业务，如不同的 COS。 可靠性 通过 Riverstone 的 MPLS 解决方案，备份的 LSP能够被配置以提供快速的故障恢复。 备份的 LSP可以是已经被预配置的，也可以是当主 LSP失效时运态建立的。 另外也可以通过 MPLS 快速重路由功能实现热容错，快速重路由功能能快速建立一个绕过故障点的 LSP隧道。 如果一个结点或链路失效，这条绕过故障点的 LSP将过使用并通知入口路由器，入口路由器然后决定建立一个新的 LSP。 当故障点恢复正常时，流量可 以按照配置恢复从原路径通过。 上海电信宽带 IP 网络项目 方案建议书 . 深圳睿盈通信息技术有限公司 27 故障的检测必须要尽可能。