1、深圳市 IP 城域網(wǎng) 組網(wǎng)技術(shù)方案 深圳電信局新技術(shù)開發(fā)中心 2002 年 3 月 目目 錄錄 一、設(shè)計(jì)原則一、設(shè)計(jì)原則 .3 二、設(shè)備用途說明和命名規(guī)則二、設(shè)備用途說明和命名規(guī)則 .6 2.1 SITE代碼.6 2.2 設(shè)備命名規(guī)則.6 2.3 設(shè)備用途描述.7 三、網(wǎng)絡(luò)架構(gòu)三、網(wǎng)絡(luò)架構(gòu) .11 3.1 核心骨干模塊 (BACKBONE).11 3.2 INTERNET(163/169)連接點(diǎn)模塊 .13 3.3 IP VPN 服務(wù)模塊.14 3.4 商業(yè) INTERNET接入模塊.18 3.5 小區(qū) INTERNET接入模塊.20 3.6 政府上網(wǎng)接入模塊.22 3.7 主機(jī)托管模塊.23

2、 四、設(shè)備互連四、設(shè)備互連 .25 4.1 遠(yuǎn)程連接.25 4.2 本地連接.25 4.3 設(shè)備插槽分配策略.26 4.4 VLAN 編號(hào)和用途說明.26 五、五、IP 地址地址 .29 5.1 IP 地址模式 .29 5.2 域內(nèi)路由協(xié)議(IGP).29 5.3 IP 地址分配 .29 5.4 IP 子網(wǎng)規(guī)劃 .30 六、和六、和 163/169 的連接的連接.33 6.1 缺省路由.33 6.2 EBGP 出口路由設(shè)計(jì).34 6.3 在多出口上實(shí)現(xiàn)流量均衡.34 七、七、MPLS VPN PE-CE 的連接的連接.36 八、八、VPN 的的 INTERNET 接入接入.38 8.1 VPN

3、 INTERNET 網(wǎng)關(guān).38 8.2 VPDN FOR VPN.40 九、九、NMS 網(wǎng)段網(wǎng)段 .42 十、安全控制十、安全控制 .45 十一、十一、QOS.48 11.1 可選擇的工具.48 11.2 實(shí)現(xiàn)的模型.49 附件一：附件一：IPIP 地址分配計(jì)劃表地址分配計(jì)劃表 .53 附件二：小區(qū)附件二：小區(qū) INTERNET 接入方案接入方案 .58 1、SSO（SERVICE-SIGN-ON）系統(tǒng) .58 2REDBACK SMS 寬帶接入服務(wù)器.62 3兩種方式的比較。.63 附件三：圖表附件三：圖表 .65 一、一、設(shè)計(jì)原則設(shè)計(jì)原則 隨著深圳電信的互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，可以預(yù)測(cè)的用戶

4、需求在幾年內(nèi)將成幾何級(jí)數(shù) 增長(zhǎng)，同時(shí)，隨著中國(guó)加入 WTO 的時(shí)間表的逼近，來自各個(gè)方面的競(jìng)爭(zhēng)壓力不斷增加。但 是，目前深圳電信的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施還不夠發(fā)達(dá)，不足以迅速占領(lǐng)市場(chǎng)的制高點(diǎn)，在未來 的競(jìng)爭(zhēng)中立于不敗之地。 因此，深圳電信局決定建設(shè)一個(gè)先進(jìn)的、靈活的、可靠的、基于標(biāo)準(zhǔn)的城市骨干通信 平臺(tái)，使得深圳電信能夠基于這個(gè)平臺(tái)，針對(duì)市場(chǎng)上 IP 用戶的大量寬帶多媒體應(yīng)用的需求， 迅速推出一系列嶄新的寬帶多媒體業(yè)務(wù)，從而吸引更多的用戶，增加市場(chǎng)競(jìng)爭(zhēng)力，實(shí)現(xiàn)網(wǎng) 絡(luò)的商用價(jià)值，并為今后滿足市場(chǎng)新的業(yè)務(wù)需求而迅速推出新的業(yè)務(wù)打好基礎(chǔ)。 深圳 IP 城域網(wǎng)一期工程的建設(shè)目標(biāo)是將 IP 城域網(wǎng)建成為數(shù)據(jù)業(yè)務(wù)

5、的統(tǒng)一骨干平臺(tái)， 在此平臺(tái)上為政府、企業(yè)、學(xué)校提供高速接入，同時(shí)提供 VPN 等增值業(yè)務(wù)。 基于以上的建立目標(biāo)，深圳 IP 城域網(wǎng)的設(shè)計(jì)原則為： (1)可靠性原則； (2)可擴(kuò)充性原則； (3)簡(jiǎn)單和易于管理的原則； (4)可以集中管理的原則； (5)效率高； (6)和現(xiàn)有網(wǎng)絡(luò)有較好的集成； (7)安全性； 網(wǎng)絡(luò)可靠性通過下述的設(shè)計(jì)思路來達(dá)到： -在網(wǎng)絡(luò)核心層進(jìn)行 Partial meshed 冗余物理連接； -接入層設(shè)備通過 Dual homing 雙連接到核心層； -網(wǎng)絡(luò)采用多出口設(shè)計(jì)到 Internet(163/169)； -在接入層采用 Route summarization 減少邊緣

6、鏈路波動(dòng)對(duì)核心的影響； -合理采用靜態(tài)路由，提高可靠性； 網(wǎng)絡(luò)可擴(kuò)充性通過下述的設(shè)計(jì)思路來達(dá)到： -網(wǎng)絡(luò)采用明顯的“核心分布”層次結(jié)構(gòu)； -簡(jiǎn)單而有效的 IP 地址分配策略； -采用可靠和可擴(kuò)展的 IGP 路由協(xié)議； 簡(jiǎn)單和易于維護(hù)性通過下述設(shè)計(jì)思路來達(dá)到： -所有的網(wǎng)絡(luò)設(shè)備被分配專門的用途； -避免復(fù)雜的配置； -網(wǎng)絡(luò)設(shè)備命名直觀而易記； -統(tǒng)一的 slot、port、VLAN 的分配策略； -每臺(tái)設(shè)備都配有 loopback 地址，易于維護(hù)； 集中管理通過下述設(shè)計(jì)思路來達(dá)到： -為中央網(wǎng)絡(luò)管理系統(tǒng)配有專門的管理網(wǎng)段； -從中央網(wǎng)管網(wǎng)段可以到達(dá)所有設(shè)備； -VPN PE-CE 連接從 NMS

7、 網(wǎng)段同樣可以到達(dá)； -為所有互連網(wǎng)段包括 VPN PE-CE 連接都采用合法 IP 地址； 運(yùn)行的高效性通過下述設(shè)計(jì)思路來達(dá)到： -核心層互連鏈路采用相同接口類型和相同速率，便于作負(fù)載平衡； -城域網(wǎng)內(nèi)部采用缺省路由配合 IGP metric 作出口選擇； -和 Internet 的多連接上采用 BGP MED 特性進(jìn)行負(fù)載分擔(dān)； 和現(xiàn)有網(wǎng)絡(luò)的集成通過下述設(shè)計(jì)思路來達(dá)到： -采用開放的、標(biāo)準(zhǔn)的路由協(xié)議將城域網(wǎng)分為多個(gè)路由區(qū)域，現(xiàn)有網(wǎng)絡(luò) 可以通過單獨(dú)的域連接上來； -和 Internet(163/169)的 BGP 連接通過保留的 AS 號(hào)，這樣不會(huì)影響 廣東省和中國(guó)電信 163/169 網(wǎng)絡(luò)

8、出國(guó)的 BGP 路由； 安全性通過下述設(shè)計(jì)思路來達(dá)到： -對(duì)所有重要事件進(jìn)行 log； -限制對(duì)設(shè)備的 SNMP 和 TELNET； -采用 NTP 協(xié)議對(duì)全網(wǎng)的設(shè)備進(jìn)行同步； -對(duì)不安全的端口上將路由協(xié)議進(jìn)行 Passive，防止不必要的路由泄露； -對(duì)網(wǎng)絡(luò)設(shè)備的 User 和 Privilege 狀態(tài)進(jìn)行存取控制； 網(wǎng)絡(luò)總體結(jié)構(gòu)如圖所示：網(wǎng)絡(luò)總體結(jié)構(gòu)如圖所示： 黃黃木木崗崗 一 一一 一一 一一 一I IP P一 一一 一一 一一 一一 一一 一一 一一 一一 一一 一 樞樞紐紐 新新安安 蛇蛇口口 龍龍中中 沙沙頭頭角角 電電信信 南南山山 龍龍脈脈 骨骨干干層層 西鄉(xiāng)中學(xué) 西鄉(xiāng)小學(xué) 寶

9、安中學(xué) 寶安教育局 福田中學(xué)、實(shí)驗(yàn)學(xué)校 教育學(xué)院、電子技校 外語學(xué)院 POS 2.5G GE 1000M FE 100M 網(wǎng)網(wǎng)管管 GSR12012 7507/7513 Catalyst6509 Catalyst2924 福田區(qū)教 育局等 鹽田區(qū)教 育局等 信息化小 區(qū) 信息化小區(qū)、 企業(yè)上網(wǎng) 信息化小區(qū) 企業(yè)上網(wǎng) 信息化小區(qū) 龍崗區(qū)教 育局等 廣電大學(xué) 深圳小學(xué) 教育局等 信息化小區(qū)、 企業(yè)上網(wǎng) 深圳中學(xué) 深圳大學(xué) 南山區(qū)教 育局等 信息化小 區(qū) 企業(yè)上網(wǎng) 主機(jī)托管 主機(jī)托管 機(jī)關(guān)專用局 VPN網(wǎng)管 CE router Cisco 3620 二、二、設(shè)備用途說明和命名規(guī)則設(shè)備用途說明和命名規(guī)

10、則 2.1 Site 代碼代碼 SiteSiteSiteSite CodeCode 樞紐 SN 黃木崗 HMG 電信 DX 南山 NS 新安 XA 龍中 LZ 沙頭角 STJ 東港中心 DG 新南頭 XNT 機(jī)關(guān)專用局 JG 蛇口 SK 鴻波 HB 龍脈 LM Site 代碼是地點(diǎn)名的拼音縮寫而成。前 11 個(gè) site 是本期工程所要安裝設(shè)備的點(diǎn)，后 2 個(gè) site 不涉及設(shè)備安裝。 2.2 設(shè)備命名規(guī)則設(shè)備命名規(guī)則 MAN Site Code Equipment Type Unique Id e.g. A 1st 12012; B-2nd 12012 M-HMG-12012-A 解釋:

11、(1)設(shè)備類型為 “6509” 代表 Catalyst 6509 switch 的 LAN switch 部分； (2)設(shè)備類型為 “6509R#” 代表 Catalyst 6509 switch 的 routing 部分： 6509R1 代表安裝在 6509 的 primary supervisory card 上的 MSFC feature card； 6509R2 代表安裝在 6509 的 Redundant supervisory card 上的 MSFC feature card。 。 2.3 設(shè)備用途描述設(shè)備用途描述 SiteSite DeviceDevice ModelModel

12、DeviceDevice NameNameUsageUsage 樞紐樓 GSR12012M-SN-12012-AMPLS core router 7507M-SN-7507-AMPLS PE router 3620M-SN-3620-AVPN Management CE router 2924M-XLM-SN-2924-AVPN GE Fan outaccess concentrator 2924M-XLM-SN-2924-BCommercial Internet access concentratorVPN GE Fan out 6509-MSFCM-SN-6509R1-AInter-VLA

13、N routing 6509-MSFCM-SN-6509R2-AInter-VLAN routing 6509M-SN-6509-ACommunity Internet access concentratorLocal server hosting 黃木崗 GSR12012M-HMG-12012-AMPLS core router 7513M-HMG-7513-AMPLS PE router 2924M-XLM-HMG-2924-AVPN access concentratorGE Fan out 2924M-XLM-HMG-2924-BCommercial Internet access c

14、oncentratorVPN FE Fan out 6509-MSFCM-HMG-6509R1-AInter-VLAN routing 6509-MSFCM-HMG-6509R2-AInter-VLAN routing 6509M-HMG-6509-ACommunity Internet access concentratorLocal server hosting 電信 GSR12012M-DX-12012-AMPLS core router 7507M-DX-7507-AMPLS PE router 2924M-XLM-DX-2924-AVPN access concentratorVPN

15、 GE Fan out 2924M-XLM-DX-2924-BCommercial Internet access concentratorVPN FE Fan out 6509-MSFCM-DX-6509R1-AInter-VLAN routing 6509-MSFCM-DX-6509R2-AInter-VLAN routing 6509M-DX-6509-ACommunity Internet access concentratorLocal server hosting 6509-MSFCM-DX-6509R1-BInter-VLAN routing 6509-MSFCM-DX-6509

16、R2-BInter-VLAN routing 6509M-DX-6509-BReserved for 163 server hosting in DXLocal server hosting 東港中心 6509-MSFCM-DG-6509R1-AInter-VLAN routing 6509-MSFCM-DG-6509R2-AInter-VLAN routing 6509M-DG-6509-ASRemote server hosting 6509-MSFCM-DG-6509R1-BInter-VLAN routing 6509-MSFCM-DG-6509R2-BInter-VLAN routi

17、ng 6509M-DG-6509-BServer hosting 南山 GSR12012M-NS-12012-AMPLS core router 7507M-NS-7507-AMPLS PE router 2924M-XLM-NS-2924-AVPN access concentrator 2924M-XLM-NS-2924-BCommercial Internet access concentrator 6509-MSFCM-NS-6509R1-AInter-VLAN routing 6509-MSFCM-NS-6509R2-AInter-VLAN routing 6509M-NS-6509

18、-ACommunity Internet access concentrator 新南頭 6509-MSFCM-XNT-6509R1-AInter-VLAN routing 6509-MSFCM-XNT-6509R2-AInter-VLAN routing 6509M-XNT-6509-AServer hosting 6509-MSFCM-XNT-6509R1-BInter-VLAN routing 6509-MSFCM-XNT-6509R2-BInter-VLAN routing 6509M-XNT-6509-BServer hosting 新安 GSR12012M-XA-12012-AMP

19、LS core router 7507M-XA-7507-AMPLS PE router 2924M-XLM-XA-2924-AVPN access concentrator 2924M-XLM-XA-2924-BCommercial Internet access concentrator 龍中 GSR12012M-LZ-12012-AMPLS core router 7507M-LZ-7507-AMPLS PE router 2924M-XLM-LZ-2924-AVPN access concentrator 沙頭角 GSR12012M-STJ-12012-AMPLS core route

20、r 7507M-STJ-7507-AMPLS PE router 2924M-XLM-STJ-2924-AVPN access concentrator 2924M-XLM-STJ-2924-BCommercial Internet access concentrator 蛇口 7507M-SK-7507-AMPLS PE router 2924M-XLM-SK-2924-ACommercial Internet access concentrator 機(jī)關(guān)專用局 6509-MSFCM-JG-6509R1-AInter-VLAN routing 6509-MSFCM-JG-6509R2-AIn

21、ter-VLAN routing 6509M-JG-6509-AGovernment agency Internet access concentrator 設(shè)備用途說明：設(shè)備用途說明： (1)MPLS Core Router 設(shè)備用作 MPLS 核心 Label 交換路由器； 不直接連接任何用戶； 所有核心層路由器之間、核心路由器和 PE 路由器之間的連接必須 MPLS Enabled； 核心路由器只能運(yùn)行獨(dú)一的 IGP 路由協(xié)議； (2)MPLS PE Router 設(shè)備用作 MPLS provider edge router（PE） ； 所有 VPN 用戶端的連接終結(jié)在 PE 上； 同時(shí)

22、，PE 路由器作為 Internet 分布層接入路由器； PE 在 IGP 上作為 ABR，進(jìn)行路由聚合； (3)VPN Access Concentrator 設(shè)備用于 VPN 扇出，上聯(lián)鏈路為 PE 路由器 GE VLAN Trunk； 每一個(gè) FE 交換端口屬于一個(gè)單獨(dú)的 VLAN； 每個(gè) FE 交換端口和用戶設(shè)備通過 FE-to-Fiber 單模光纖轉(zhuǎn)換器連接； 注：該轉(zhuǎn)換連接不屬本次工程范疇 (4)Commercial Internet Access Concentrator 設(shè)備用于商業(yè)用戶的高速 Internet 接入； 每一個(gè) FE 交換端口屬于一個(gè)單獨(dú)的 VLAN； 每個(gè) F

23、E 交換端口和用戶設(shè)備通過 FE-to-Fiber 單模光纖轉(zhuǎn)換器連接； 注：該轉(zhuǎn)換連接不屬本次工程范疇 (5)Inter-VLAN Routing 設(shè)備用作 Inter-VLAN 路由，這些 VLAN 是通過 Switch 建立起來的； 同時(shí)，該設(shè)備還用于 Internet 接入路由器； 設(shè)備在 IGP 中作為 ABR，進(jìn)行路由聚合； (6)Community Internet Access Concentrator 設(shè)備用于小區(qū)用戶高速 Internet 接入； Supervisory Engine 上的 GE 端口通過多模光纖連接到本地的 MPLS core 路由 器上； VLANA1

24、作用于 Inter-VLAN 路由器（MFSC）作為管理網(wǎng)段； VLAN 通過 FE-to-Fiber 單模光纖轉(zhuǎn)換器和小區(qū)的用戶設(shè)備相連； 注：該轉(zhuǎn)換連接不屬本次工程范疇 (7)Server Hosting 設(shè)備（LAN 交換機(jī)）用于連接各種主機(jī)托管服務(wù)器； Supervisory Engine 上的 GE 端口通過單模光纖連接到遠(yuǎn)程的 MPLS core 路由 器上； VLNA1 作于 Inter-VLAN 路由器（MFSC）作為管理網(wǎng)段； (8)VLAN Management CE Router 設(shè)備作為一個(gè) CE 路由器，連接中央網(wǎng)管網(wǎng)段，通過 VPN 連接到所有的用戶 VPN 上，以

25、便于中央網(wǎng)管對(duì)所有 PECE 鏈路和 CE 路由器進(jìn)行管理； 一個(gè) FE 端口連接到本地 PE 上網(wǎng)管專用 FE 端口，另一個(gè) FE 端口連接到 Local Server Hosting 以太網(wǎng)交換機(jī)上，通過網(wǎng)管專用網(wǎng)段和網(wǎng)管主機(jī)相連接； (9)Government Internet Access Concentrator 設(shè)備用作政府機(jī)構(gòu)上網(wǎng)的接入集中器，提供高速 Internet 連接； 6509 上的 supervisory engine 的 GE 口通過單模光纖連接到最近的 MPLS Core Router； VLANA1 作用于 Inter-VLAN 路由器（MFSC）作為管理網(wǎng)段；

26、 VLAN 通過 FE-to-Fiber 單模光纖轉(zhuǎn)換器和小區(qū)的用戶設(shè)備相連； 注：該轉(zhuǎn)換連接不屬本次工程范疇 三、網(wǎng)絡(luò)架構(gòu)三、網(wǎng)絡(luò)架構(gòu) 深圳 IP 城域網(wǎng)在網(wǎng)絡(luò)結(jié)構(gòu)上分成核心層和接入層，在功能上提供 VPN 互連、高速商業(yè) Internet 接入、高速小區(qū) Internet 接入、政府上網(wǎng)接入、主機(jī)托管連接等多種服務(wù)類別。 因此，為了在一種清晰的結(jié)構(gòu)上進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)，對(duì)網(wǎng)絡(luò)進(jìn)行功能模塊的劃分，將深圳 IP 城 域網(wǎng)分為以下幾個(gè)模塊： 核心骨干模塊 Internet(163/169)連接點(diǎn)模塊 IP VPN 服務(wù)模塊 商業(yè) Internet 接入模塊 小區(qū) Internet 接入模塊 政府上網(wǎng)接

27、入模塊 主機(jī)托管模塊 3.1 核心骨干模塊核心骨干模塊 (backbone) 1 1、結(jié)構(gòu)、結(jié)構(gòu) 的城域網(wǎng)的核心骨干模塊由分布在 7 個(gè)不同地點(diǎn)的 7 臺(tái) Cisco GSR12012 路由器構(gòu)成， 分別是： Backbone Module IP-VPN Service Module Commercial Internet Access Service Module Community Internet Access Service Module Government Internet Access Service Module Server Hosting Service Module In

28、ternet Peering Module Network Management Module M-SN-12012-A樞紐的 GSR12012 M-HMG-12012-A黃木崗的 GSR12012 M-DX-12012-A電信的 GSR12012 M-NS-12012-A南山的 GSR12012 M-XA-12012-A新安的 GSR12012 M-LZ-12012-A龍中的 GSR12012 M-STJ-12012-A沙頭角的 GSR12012 這 7 臺(tái) GSR12012 通過 POS 接口卡單模光纖以 partial meshed 結(jié)構(gòu)互連；為了確保核 心骨干模塊的 MPLS 標(biāo)簽分配

29、和路由表的穩(wěn)定，這 7 臺(tái) GSR12012 及它們之間互相連接的 Link 必須獨(dú)立地分配在 IGP 的 area 0 域中。從其它模塊學(xué)到的路由在進(jìn)入 Core 之前必須 先進(jìn)行 Aggregate 或 Summarize，以免造成對(duì) Core 的路由影響。 2 2、實(shí)現(xiàn)、實(shí)現(xiàn) 作為 IP 城域網(wǎng)的核心，要承載包括 IPv4 和 MPLS VPN 兩種不同的 traffic，所以，每 臺(tái) Core Router 必須是能夠支持 Tag Switching。在這種配置下，MPLS VPN 的 traffic 被 Tag Switched，而普通 IPv4 的 traffic 被 routed

30、。 下面是一臺(tái) Core router 的 Sample configuration: Tag-switching advertise-tags interface pos 2/0 description “SM01 fiber link to M-XA-12012-A pos 2/0” ip address 123.123.1.1 255.255.255.252 tag switching ip Core Area Service Modules Service Modules Service Modules Aggregated or Summary Routes Only DX LZHM

31、GXA NS SN STJ 為了減少 Tag Switch 的目標(biāo) lable，可以采取 access list 的方法來限制標(biāo)簽的分配。 配置如下： Tag-switching advertise-tags for 1 Access-list 1 permit 123.123.1.230 / loopback 0 address of M-SN-7507-A Access-list 1 permit 123.123.1.231 / loopback 0 address of M-HMG-7513-A Access-list 1 permit 123.123.1.232 / loopback

32、0 address of M-DX-7507-A Access-list 1 permit 123.123.1.233 / loopback 0 address of M-NS-7507-A Access-list 1 permit 123.123.1.234/ loopback 0 address of M-XA-7507-A Access-list 1 permit 123.123.1.235/ loopback 0 address of M-LZ-7507-A Access-list 1 permit 123.123.1.236/ loopback 0 address of M-STJ-

33、7507-A 在上面的配置下，Tag Switching 在限于目標(biāo)地址是 MultiProtocol BGP neighbor 的 Core Router 的 loopback 地址，大大減輕了 Core Router 在 Lable 分配上的開銷。 其它 traffic 進(jìn)行普通路由。 3.2 Internet(163/169)連接點(diǎn)模塊連接點(diǎn)模塊 1 1、結(jié)構(gòu)、結(jié)構(gòu) 在本期 IP 城域網(wǎng)工程中，黃木崗和電信的兩臺(tái) Core Router：M-HMG-12012-A 和 M- DX-12012-A 作為和 163/169 連接的邊界路由器。 其中，黃木崗 M-HMG-12012-A 通過一

34、條 OC-48 鏈路連接到 163；電信 M-DX-12012-A 通 過一條 GE 鏈路連接到 163。 Core Area 163 Backbone DX LZ HMG XA NS SN STJ 在廣東省 163 擴(kuò)容工程結(jié)束后，這種連接將改變。到那時(shí)，2 臺(tái)新加入的 GSR 路由器 M-SN-12012-B 和 M-NS-12012-B 將代替本期工程中的 2 臺(tái)邊界路由器作為新的 163 出口路由 器。邊界路由功能隨之而轉(zhuǎn)移到新的 GSR 路由器上。 在第六章中將詳細(xì)講述和 163 邊界路由器的路由策略，包括如何在多出口點(diǎn)之間進(jìn)行 Inbound traffic 和 Outbound

35、traffic 的 load balance，以及如何保證路由對(duì)稱性的問題。 2 2、實(shí)現(xiàn)、實(shí)現(xiàn) 深圳 IP 城域網(wǎng)和 163 網(wǎng)之間運(yùn)行 BGP 路由協(xié)議，下面是 M-HMG-12012-A 的 Sample Configuration： router bgp 65001 no synchronization network 123.123.0.0 mask 255.255.224.0 neighbor 123.123.1.46 remote-as 123 neighbor 123.123.1.46 description “2.5 Gbps links to HB 163 Backbone

36、” neighbor 123.123.1.46 version 4 neighbor 123.123.1.46 filter-list 1 in neighbor 123.123.1.46 filter-list 10 out ip as-path access-list 1 deny * ip as-path access-list 10 permit $ ip route 123.123.0.0 255.255.224.0 null 0 ip route 0.0.0.0 0.0.0.0 123.123.1.46 城域網(wǎng)的邊界路由器不從 163 路由器學(xué)習(xí)任何 Internet 路由，所有

37、IP 城域網(wǎng)不知道 的路由都通過缺省路由送至 163 網(wǎng)絡(luò)。 3.3 IP VPN 服務(wù)模塊服務(wù)模塊 1 1、結(jié)構(gòu)、結(jié)構(gòu) IP VPN 服務(wù)模塊包括向用戶提供 IP-VPN 服務(wù)的路由器和交換機(jī)，路由器主要是 7507 或 7513，交換機(jī)主要是 2924。這些設(shè)備包括： Provider Edge (PE) Router (Cisco 7500 series routers): M-SN-7507-A M-HMG-7513-A M-DX-7507-A M-NS-7507-A M-XA-7507-A M-LZ-7507-A M-STJ-7507-A VPN Access Concentrato

38、r (Cisco Catalyst 2924M-XL LAN switches): M-SN-2924-A M-HMG-2924-A M-DX-2924-A M-NS-2924-A M-XA-2924-A M-LZ-2924-A M-STJ-2924-A 所有 VPN Access Concentrator 2924M-XL 都是 100MbaseT 以太網(wǎng)交換機(jī)，通過 GE 鏈 路連接到 7500 系列路由器上。該 GE 鏈路被定義為 multi-VLAN Trunk。 2924M-XL 上的每個(gè) 100M 端口被映射到一個(gè)單獨(dú)的 VLAN 上，7500 路由器上為每個(gè) VLAN 建立一個(gè)

39、sub-interface。 要向用戶提供 IP-VPN 服務(wù)，需要進(jìn)行下列步驟： 在 VPN Access Concentrator 2924M-XL 上分配一個(gè) 100M 端口； 通過 FE-to-Fiber 單模光纖轉(zhuǎn)換器連接用戶端的設(shè)備； 將分配到的 100M 端口映射到 VPN Access Concentrator 2924M-XL 的一個(gè) VLAN 上； 在 PE 7500 的 GE 端口上為該 VLAN 建立一個(gè) sub-interface； 將該 sub-interface 聯(lián)系到一個(gè) VPN 上； 在用戶端，用戶提供 CE 路由器通過 100M 端口連接到 PE 上。 M-

40、DX-7507-A Router . VLAN 1xxVLAN 109 Logically function as point-to-point links Router at customer site 2 2、實(shí)現(xiàn)、實(shí)現(xiàn) A A、VLANVLAN TrunkTrunk Trunk 是交換機(jī)之間或交換機(jī)和路由器之間的點(diǎn)到點(diǎn)鏈路，trunk 在整個(gè)網(wǎng)絡(luò)內(nèi)承載 multi-VLAN 的流量。目前有兩種 trunk 封包技術(shù)，一種是 Cisco 專用技術(shù) ISL(Inter Switch Link)，另一種是 IEEE 802.1Q，是國(guó)際標(biāo)準(zhǔn)。在本次城域網(wǎng)工程中，使用 IEEE 802.1Q 作

41、為 inter-VLAN 的 trunk 封包技術(shù)。 下面是 2924M-XL 用作 VPN Access Concentrator 的 Sample Configuration： interface gigabitethernet 1/1 switchport mode trunk switchport trunk encapsulation dot1Q 下面是 PE 路由器 7500 的 trunk 端口的 Sample configuration： interface gigabitethernet 8/0/0.103 encapsulation dot1Q 103 ip address 123.123.4.1 255.255.255.252 B B、MPLSMPLS VPNVPN MPLS 采用虛擬路由表的方法來實(shí)現(xiàn)一個(gè)路由器上多個(gè) VPN 的路由表。每一個(gè) VPN 對(duì)應(yīng) 一個(gè)或多個(gè) VRFs(VPN routing/forwarding instance)。VRF 定義連接到 PE 上的 VPN 成員 (一個(gè) si