湖北省电信公司
IP城域网五期扩容建设项目
(荆州市节点)
华为技术
2005年8月
目录
第1章城域网建设介绍 (1)
第2章网络结构设计 (2)
2.1 网络层次划分 (2)
2.2 网络拓扑图 (3)
第3章设备命名、接口参数 (5)
3.1 设备命名 (5)
3.2 电路描述 (6)
第4章荆州市城域网路由部署 (7)
4.1 OSPF协议 (8)
4.2 BGP协议 (9)
4.3 接入层的路由 (9)
第5章荆州市IP城域网MPLS VPN解决方案 (10)
5.1 MPLS VPN 概述 (10)
5.2 MPLS VPN中MP-BGP的规划 (10)
5.3 IGP路由和LDP规划 (11)
5.4 MPLS VPN中VPN的规划和实施 (12)
第6章IP地址、Vlan规划方案 (14)
6.1 IP地址分配原则 (14)
6.2 IP地址分配方案 (15)
6.3 Vlan规划方案 (16)
第7章网管及安全 (18)
7.1 网管 (18)
7.2 安全 (18)
第8章网络割接 (19)
附一:设备名称及IP地址分配表 ............................................................... 错误!未定义书签。附二:设备连接图......................................................................................... 错误!未定义书签。附三:单点测试报告..................................................................................... 错误!未定义书签。
第1章城域网建设介绍
目前信息产业发展异常迅猛,电信业务的应用不断推陈出新,激烈的竞争使各个运营商都面临着严峻的挑战。其中因特网的飞速发展为各个运营商提供了无限商机。如何充分利用网络资源满足当前市场需要,如何提供更高质量的通信服务,占领未来的用户市场,这些都是电信运营部门当前面临的问题。
湖北电信城域网经过四期建设,但无论网络容量、网络架构合理性方面尚不能满足中国电信日新月异的新业务需要,另外,IP技术日益成熟,世界上大部分运营商都接受了Everything over IP的事实,中国电信正在建设第二张IP网,以此网络作为中国电信下一代的承载网络。CN2建成后,以目前的IP城域网现状无法很好的实现对CN2业务的延伸,而另外再打造一个城域网的成本又太高。因此,CN2城域网将以目前的IP城域网为基础进行改造,演变成具有QOS保证的、可运营、可维护、可管理的多业务城域网。
综上所述,建设以宽带IP技术为主的多业务城域网已经迫在眉睫。在城域网设备选择上,选用了华为公司的NE80E高性能通用路由器作为城域网核心及汇接设备,同时计划为城域网内开展了基于RFC2547bits的MPLS/VPN业务,采用MBGP来承载VPN路由,为CN2实现VPN业务接入。同时,整个城域网部署二层VPN,采用VPLS技术实现城域网内快速部署VPN,提升竞争力,打造精品IP网。
在设备命名上,也采用了新的命名规则,本着统一清晰的原则,一次分配长久使用。
在此次工程的IP地址分配方面,延续上几期工程中为城域网规划的互联地址,设备LOOPBACK地址,应用地址,网管地址,用户地址等。
第2章网络结构设计
本次工程,将在原有网络的基础上,按照网络的扁平化原则,对网络结构进行设计,简化网络的结构和管理;对汇聚层网络进行扩容和优化,满足网络在未来一到两年内对业务的支撑能力。因此,在网络结构设计方面,我们将完成如下工作:
?网络层次划分
?核心节点设计
?汇聚节点的设计
2.1 网络层次划分
遵循“引入新技术、提供新业务、整体设计、统一建设”的思路,我们将对荆州市城域网进行统一规划,统一建设,统一管理。将城域网络整个网络划分为核心层、汇聚层、接入层:
核心层设计为:
?根据城域网业务量分布,选择2个节点构成核心层;
?2个主核心节点直接汇聚主城区和近郊县汇聚节点的流量,所有的流量
都通过这两个主核心节点汇聚到省骨干网。
?采用两台高性能的NE80E路由器,出口分别接入ChinaNet 及CN2,两台
之间互为备份,A路由器主要承担去ChinaNet业务流,B路由器主要承担
CN2业务流,但是两者之间互为备份。
汇聚层的设计为:
?根据城域网地域特性和具体地理分布的情况,在城区及各郊县设置多个
汇聚节点,负责汇聚本地流量或者下级的汇聚节点的流量,汇聚节点内
部署华为8016三层交换设备,根据目前城域网的传输资源的条件,使
用GE上联核心,根据流量增长,可以利用等开销的流量负载均衡,提
高链路带宽利用率并提高网络的可靠性;
?选择分布式部署BAS设备,在每个汇聚节点部署华为ISN8850设备为
本区域范围内的宽带居民用户提供业务接入;
接入层的设计:
本期工程不包括接入网络的设计,但是在后续章节中会对接入层的业务模式提出建议。
2.2 网络拓扑图
如图所示,2个核心节点将部署高性能华为NE80E核心路由器两台,通过核心设备汇聚下级汇聚节点的用户流量。对于普通
核心节点内的核心交换机以GE链路上连至本核心节点的核心出口路由器,同时以一GE上连至另一主核心节点的核心交换机,从而达到冗余的目的。城域网核心设备通过IP路由模式与下级汇聚节点进行通信,并将所收敛的流量通过路由方式转发给省网层面的接入路由器。
通过本次工程建设,在城区和周边郊县将具备多个汇聚节点,各汇聚节点只负责节点覆盖范围内的流量的汇聚,通过本地节点中部署的S8016及MA5200
向覆盖范围内的商业和居民用户提供接入服务。
第3章设备命名、接口参数
3.1 设备命名
当设备加入到数据城域网络中时,应给设备配置逻辑名称,即设备的Hostname,城域网三层设备逻辑命名规则如下:
命名方案:设备类型(n)-设备功能-(地市缩写)(县市区安装地点缩写)-机房编号.Mnet
设备类型(n):
r:表示此设备为路由器
s:表示此设备为交换机
b:宽带接入设备
n:所在机房的同类设备编号,范围从1开始递增
设备功能:
ce:表示为MPLS VPN的CE设备
a:表示为接入设备
g:汇聚层设备
c:核心层设备
地市缩写:安装地市的前两个汉字拼音的第一个字母的组合,如下所示:
地市缩写
县市区安装地点缩写:为设备安装具体县市区汉字拼音的第一个字母组合
机房编号:表明设备所在县市区的多个机房编号,两位数字。
Mnet:表明设备属于本地城域网设备。
设备命名详见《附一设备名称及IP地址分配表》
3.2 电路描述
为了方便维护需要为端口添加描述,增加配置的可读性,在端口配置时需增加电路描述,规则如下:
本端设备To 对端设备端口(或用户)(其它信息)
其它信息:电路编号、合同号、联系电话等,可选。
示例:
(1)r1-c-bzzx-01.Mnet端口1/1/0与r1-g-bzhgc-01.Mnet端口2/1/1GE中继互联电路, r1-c-bzzx-01.Mnet侧的端口1/1/0的电路描述:
r1-c-bzzx-01.Mnet To r1-g-bzhgc-01.Mnet 1/1/0(GE S-1N2002IP)。
(2)b1-a-bzhgc-01.Mnet 端口2/25接入百花小区的FE用户电路,b1-a-bzhgc-01.Mnet侧端口2/25的电路描述:
b1-a-bzhgc-01.Mnet To baihuaxiaoqiu (Tel:用户联系电话)
第4章荆州市城域网路由部署
依据省电信公司的前期网络建设规划原则,为了将省干路由区域与城域路由区域进行有效的划分,并实现路由优化,建议在核心节点出口路由器以下运行与省干IS-IS相区别的OSPF路由协议,作为城域网的IGP。路由协议,同时城域网两台核心设备运行eBGP协议与省网交换路由信息
在城域网建设中不进行区域的划分,整个城域网内部作为一个OSPF Area 0。为了减少路由表的大小,采用如下的方式:在汇聚三层交换机以下如需以三层路由模式接入下级L3设备或接入专线用户,建议使用静态路由协议与此类下级L3设备通信。同时在汇聚三层交换机利用路由协议引入(IMPORT)的方式,将静态路由注入到OSPF路由域之中,需要时使用asbr summary的方式过滤掉细致的路由条目。
城域网与省网采用eBGP协议交换路由信息,城域网采用私有AS号。城域网两台核心设备与省网接入设备分别建立eBGP peer,同时两台城域网核心设备建立iBGP peer,城域网汇聚层设备不运行IPv4的bgp。
出流量方面:省网层面的接入路由器向城域网的两台核心设备广播全国路由表,并将省网IGP的Metric值作为BGP的Med广播给城域网核心,以引导城域网核心设备选择最优的出口设备,并将穿透流量压在城域网核心两台设备之间的GE电路上(城域网两台核心设备通过OSPF各广播一条默认路由以引导城域网汇聚层的出流量,注意在城域网施工时期城域网核心设备不能广播默认路由,而使用现有省网接入设备发布的默认路由)。两台核心路由器对城域网汇接层设备采用OSPF非强制下发默认路由引导汇接层流量负载均衡上行到核心层。
回流量方面:城域网核心设备通过eBGP向省网广播城域网汇聚路由引导回流量,城域网内部采用OSPF、等值静态路由引导。建议城域网汇接层到核心层之间路由器采用双GE上行,实现流量负载均衡并实时备份,提高网络可靠性。整个路由策略如下图所示:
4.1 OSPF协议
4.1.1 层次
全部城域网路由器设备运行于OSPF Area 0
4.1.2 运行设备及链路
?NE80E
1. 与省网层面的接入设备之间的互连电路:passive
2. 与城域网其他三层交换机之间的互连电路
3. loopback接口:passive
?三层交换机之间GE链路
1. 与NE80E之间的互连电路
2. loopback接口:passive
4.1.3 Cost值
COST值的设计主要考虑使用等代价路径的方式达到负载冗余,同时避免流
量承载到低带宽的电路上及不必要的流量穿透。
?两台城域网核心的GE链路:80
?两台城域网核心到其他汇聚设备(S8016)的GE/POS链路:40
?两台城域网核心到其他汇聚设备(S8016)的FE链路:400
?汇聚设备之间的GE/POS链路:40
?汇聚设备之间的FE链路:400
4.1.4 其他
两台城域网核心路由器向城域网广播的OSPF默认路由类型为type one,初始Cost值为100。
4.2 BGP协议
4.2.1 AS号
65535
4.2.2 运行设备
只有两台城域网核心设备运行常规的BGP。
4.2.3 路由宣告
城域网核心设备使用Network及指向Null0的静态路由向省网宣告路由,路由宣告时不作任何控制。两台核心设备宣告的路由必须保持一致,以达到负载及冗余的目的。
4.3 接入层的路由
网络施工时,汇聚层设备上设置指向ISN8850 loopback地址的静态路由,业务开展时汇聚层设备设置指向业务网段的静态路由。接入层设备MA5200设置指向汇聚层的默认路由。
第5章荆州市IP城域网MPLS VPN解决方案
5.1 MPLS VPN 概述
MPLS VPN作为新兴技术其在网络应用上有广阔的前途,在湖南电信网络平台上,将在业务许可的情况下开展此项业务。以完成湖南电信业务全程覆盖的需求。目前需要在省IP城域网范围内部署MPLS VPN,为将来VPN业务的开展进行良好的准备。因此菏泽IP城域网MPLS VPN 实际是湖南电信全省MPLS VPN 网络的一部分,在规划中将直接对全省MPLS VPN进行规划。
采用MPLS/VPN技术,分为两个层面即控制层面和转发层面:其中转发层面主要指设备本身的MPLS转发机制;控制层面使用MP-BGP(多协议BGP)和LDP(标签发现协议),其中MP-BGP用于交换VPN路由信息,LDP用于建立标签以便使用MPLS进行转发。因此整个MPLS VPN的设计主要指MP-BGP 及LDP两个协议的规划和实施,另外在MPLS/VPN架构完成后在全省范围内部署MPLS VPN还应包括VPN的规划和实施。
5.2 MPLS VPN中MP-BGP的规划
由于目前一期、二期省骨干网络中已经部署BGP,为了尽量减少网络复杂程度,便于管理、便于实施,湖南电信全省MPLS VPN网络中MP-BGP的运行将严格和省网中BGP进行隔离。
由于城域网与省网分别属于不同的AS,并运行eBGP路由协议,因此MPLS/VPN省网与城域网的互通方面需要采用Inter-AS技术,即城域网一台核心设备作为PE设备与省网层面的PE设备采用GE互连,两者之间采用基于Inter-AS的MP-BGP技术互通VPN信息。
城域网方面鉴于PE设备较多,如果建议全连接的MP-BGP,将会使的BGP 邻居太多无法有效管理,因此采用RR技术,选用城域网两台核心设备作为RR,互为备份。下面的汇聚层PE分别与这两个RR建立MP-iBGP peer。
整个MP-BGP关系如下图所示:
BGP
5.2.1 运行设备
城域网所有的汇接层设备,均为PE设备。
5.2.2 路由反射器
r1-c-lyzx-01.Mnet: 使用loopback地址作为cluster id,即222.174.160.1
r2-c-lyzx-01.Mnet: 使用loopback地址作为cluster id,即222.174.160.2 5.3 IGP路由和LDP规划
LDP主要包括两部分配置:
1)在设备上启用LDP
2)在进行MPLS转发的接口上启用LDP
3)为了减小设备的压力,LDP只为城域网内设备的loopback地址分配标签
(设备默认方式)。
5.3.1 运行设备及链路
城域网所有NE40
1. 与其他PE设备互连的GE电路
2. 与其他PE设备互连的POS电路
3. 与其他PE设备互连的FE电路(注:NE40 的16口以太网LAN板
不支持MPLS,因此如果PE设备之间使用该板上端口互连,则互连
端口上不能启用LDP)
5.4 MPLS VPN中VPN的规划和实施
VPN规划中最重要的就是RD和RT的规划,特别是RT的规划决定了以最合理的方法控制VPN。
5.4.1 RD的规划
实际业务开展之后,建议按照如下原则分配RD:
1)全省范围或者多个地市间的MPLS/VPN用户,建议RD采用XX电信
AS号码17633,并将此类用户的VPN路由面向全省进行广播,形式为
17633:YYY,其中YYY为VPN号,由省里统一分配,其中1~1000预
留测试或者其他用途,其后为用户开放。
2)地市城域网范围的MPLS/VPN用户,采用地市的私有AS号来标识RD,
便于区分不同地市的用户并限制广播该类用户的VPN路由。表现形式
为64581:YYY,其中64581为地市私有AS号码,YYY为VPN号,由
地市自主分配,其中1~1000预留测试或者其他用途,其后为用户开放。
3)为减少地市城域网内部VPN和全省范围内的VPN相互对设备LSP资源的
浪费,地市城域网向省网PE广播VPN路由时将城域网内部的VPN路由过
滤掉,省网向地市PE设备广播VPN路由时将仅在省骨干网内部的VPN路
由过滤掉。类似的路由过滤一般使用团体属性完成。按照各地市城域网
内部VPN、全省范围内的VPN进行分类,VPN可分为两类VPN。因此可
以如下分类设置:
?在所有PE设备的所有VPN内对所有引入BGP的路由进行团体属性设
置,如果是省域网范围内的VPN,则可在各PE设备VPN内进行BGP
路由引入时将团体属性设置为17633:1,如果是城域网范围内或仅
在省骨干网范围的的VPN,不设置团体属性。
?在城域网核心设备上,对MP-eBGP邻居部署策略,只允许团体属性
为17633:1的路由进行广播发布,其它路由全部禁止。
?在省骨干上和城域网核心设备对接MP-eBGP的PE上部署同样的策
略,也仅允许团体属性为17633:1的路由向各城域网核心广播,这
样可以防止省骨干范围内的VPN路由向各城域网广播。
5.4.2 RT的规划
在实际开展VPN用户时,如无特殊应用RT和RD的值应相同。
5.4.3 测试VPN的部署
在实际工程实施时,在所有的PE路由器上部署四个测试VPN。两个测试VPN分别取名为P1和C2。其中P1为全省范围内的VPN用户,C2为城域网范围内的VPN用户。两个个VPN的RD值分配如下(RT保持和RD一致):
?P1:17633:1
?C2:64581:2
为每个地市的每个VPN分配一个B的地址段,每个设备每个VPN分配1个C的地址。每个设备上的地址分配如下(假设设备loopback地址为a1a2a3.b1b2b3.c1c2c3.d1d2d3,注意补0,如219.146.16.4=219.146.016.004):
?P1: 1.x.y.0 x=b3+c1c2c3,y=d1d2d3
?C2: 2.x.y.0 x=b3+c1c2c3,y=d1d2d3
例如设备的loopback地址为222.174.96.5,则x=100,y=5;
测试中可以使用loopback模拟CE或用PC接在NE40模拟CE。
测试VPN需要添加的配置包括vpn-instance的配置,BGP 的ipv4-family vpn-instance的配置,暂时使用loopback接口模拟CE。
第6章IP地址、Vlan规划方案
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于城域网络的IP地址分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。同时,根据城域网的业务发展计划,用户数量将大量膨胀,因此必然需要申请新的地址空间,满足业务发展的需求。
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对全网的可用性、可靠性与有效性产生显著影响,应充分考虑不同用户对IP地址的需求,以满足未来业务发展对IP地址的需求。
6.1 IP地址分配原则
IP地址规划的过程中将遵循以下原则:
1)IP分配应考虑近期和远期的发展,减少在网络发展过程中因地址重新规
划而对业务造成的影响;
2)根据APNIC地址申请原则,IP地址的规划应立足即期,并根据业务发
展需要做6个月到1年的地址需求预测;
3)IP地址的分配必须采用VLSM技术,保证IP地址的利用效率;
4)采用CIDR技术,这样可以减小路由器路由表的大小,加快路由器路由
的收敛速度,也可以减小网络中广播的路由信息的大小;
5)地址分配应该考虑使用的路由协议,便于路由表的会聚和控制,应尽可
能连续分配;
6)所有Internet用户采用公有IP地址,避免使用NAT设备以便保证未来
基于H.323或NGN技术的业务顺利开展;如必需使用NAT,则建议将
NAT设备尽可能部署在用户侧或边缘接入层次;
7)将城域网的IP地址资源分块,并分到核心层、汇聚层节点,其中一段
地址作为核心、汇聚层设备互联之用;其余各节点分配到的地址按照用
户地址与网络互联地址两种应用,以背对背的方式,分别“从前向后”,
和“从后向前”的形式进行规划和使用。
6.2 IP地址分配方案
1)省干Loopback、各地IP城域网Loopback地址单独进行规划。
2)“市内设备互联地址”段专用于本地IP城域网核心层与核心层直连的
设备之间的互联。
3)对本地IP城域网汇聚层节点,考虑汇聚节点半年的发展需求预分了一整
段地址,IP地址紧张时可向省网管中心提出申请,批准后启用规定的第
二个整段地址。这段地址的使用要求如下:
a)用户地址(含路由方式指向用户的子网和用户以网桥方式使用的地
址段)从地址段中自前往后顺序分配。
b)设备互联地址(与用户设备互联【指路由方式开户情况】和与下一
级局端设备互联地址)从地址段中自后往前顺序分配。
4)凡设备互联,低层设备使用大号地址。
5)各地NAS的IP Pool在本地范围内单独统一规划。
6)各地BAS的IP Pool在本地范围内单独统一规划。
7)汇聚层以下可以采用支持端口绑定IP地址的设备,以提高地址使用率。
否则,如果用户只需一个合法IP地址的,可直接用4个地址的互连网段
以网桥方式开通用户(用户端使用大号地址),不必指子网到用户。
8)各地市自主分配IP的窗口为/29,超过应将用户IP地址申请表上报省网管
中心,批准后方可分配。分配用户IP地址时,应注意在满足用户对IP地
址正常需求的前提下,尽量节省使用IP地址资源。
9)请各市分公司按照以上规定的要求,切实做好本市IP地址的规范管理工
作,核查本市IP地址分配使用的情况,如果存在与规定不符的情况应尽
快进行整改。
6.3 Vlan规划方案
通过划分Vlan,可以实现流量和用户的隔离。通过把不同的流量映射到不同的Vlan中并分配相应的优先级,可以为用户提供不同优先级别的服务质量保证。但是,Vlan的划分必须进行合理的规划,首先,二层网络的范围不宜过大,过大的二层网络将导致大量的STP计算,使设备的性能下降并降低网络的效率;其次,Vlan ID资源有限,每台交换机全局支持4096个802.1q Vlan ID,每台交换机能同时支持的STP实例也是有限的。当然路由器没有这个限制,每个路由器端口即可支持4096个ID。
建议根据前两期网络建设的资源使用状况,尽可能合理的、优化利用Vlan 资源。除LAN to LAN业务所使用的Vlan ID全城域网范围需要保持全局唯一外,诸如PPPOE、IP专线等在汇聚节点可以将Vlan信息终结的业务所使用的Vlan ID 可以在各汇聚节点重叠使用。这样可以在一定程度上解决Vlan ID资源相对有限的问题。
Vlan划分表
1、本方案长期有效,如有不足,将根据实际情况修正。
2、无特殊情况,各段VLAN ID应自前往后顺序使用。
3、今后,随着用户的增多,各层设备在具体开放业务中如果出现方案规划资源
不足的情况,在保证无VLAN透传造成冲突的情况下,不同设备可优先使用规定段外预留的VLAN资源。
第7章网管及安全
7.1 网管
大规模网络平台,网络管理业务平台是辅助管理的重要手段,大部分网管系统采用在厂商设备的SNMP MIB库上二次开发的方式已经实现全网全程的设备信息和业务信息管理。本次城域网工程在济南配置一套华为的网络管理系统,各地市使用终端进行访问。
7.2 安全
网络的安全性在很大程度上取决于网络设备的安全性,本次城域网均采用华为设备,设备的安全方面的配置,是尤为重要的。一般针对网络设备本身的安全,做好如下一些配置:
在网络设备上关闭不必要的服务,如Finger、Bootp、Http等;
缺省情况下,从任何地方都可以登录网络设备。为了增加网络设备的安全性,需要对远程登录的范围进行限制。
通常使用访问控制列表(ACL)限制登录主机的源地址,只有具有符合条件的主机能够登录到该网络设备上。配置分为两步:
?定义访问控制列表(acl)
?应用访问控制列表(acl)
定义好ACL后,将ACL应用到vty端口即可对能够登陆设备的主机进行限制。
另外需要对能够登录网络设备的用户进行管理,对网络设备有可配置权限的用户尤其要严格控制。建议采用分区分权管理,不要使对于网络拥有可配置权限的用户名/口令系统让太多的管理人员涉及,应该紧收;对于一般可操作权限的用户/口令系统可以适当的放的松些。对于登录用户的认证系统尽量建议采用Radius系统,本地数据库认证为辅。