主题:华为IP城域网MPLS解决方案作者:qiangda_99(俺是菜鸟王)2002-11-2918:04:01:0:0[回复][打包][转贴]一、概述综合分析市场需求和技术发展趋势,华为公司在网络操作系统VRP和相关网络产品的基础上推出了MPLSVPN,包括MPLS/BGPVPN、KompellaMPLSL2VPN方案,为用户提供商用的MPLSVPN业务。如图1所示,华为MPLSVPN采用城域网核心层设备做为P设备,采用城域网汇聚层设备做为PE设备,用户CE设备通过城域网接入层接入PE,全面实现MPLSVPN业务的运营。图1华为IP城域网MPLS解决方案(点击放大)对于MPLSBGPVPN组网方式而言,由于CE、PE设备之间不能间隔其他三层设备,因此,在IP城域网组网时必须注意:对于通过L2+L3接入PE的LAN用户,可通过VLAN透传将CE的数据流终结到PE设备;对于采用路由器+L2建设的城域网,可通过GRE+策略路由的方式将VPN用户接入PE设备;对于使用综合方式接入的用户,可在PE设备终结PVC来实现VPN业务。通过MPLSVPN技术,华为IP城域网方案可以提供企业内部互连(Intranet)、外部互连(Extranet)、Internet访问、跨AS域支持、网管和记费等服务。二、企业内部互连与外部互连实现企业内部跨区域互连或企业间跨区域互连是MPLSVPN的主要应用之一,根据企业用户的实际业务需求,可以通过VRF中Target属性(Import、Export)的灵活配置来实现。■企业跨区域内部互连需求许多跨区域的大中型企业,希望将分布在各地区的子公司通过网络连接起来,图2和图3是华为提出的两种典型的实现方案。图2跨区域大中型企业典型联网方案1(点击放大)图3跨区域大中型企业典型联网方案2(点击放大)在图2中,各PEVRF中的Target属性相同,这种配置可以实现总部与分公司,分公司与分公司之间的互访,图3所示的方案可以实现总部与各分公司之间的互访,而各分公司之间不能互访。当然,通过对Target的不同配置,还可以实现更多的应用需求,如实现部分站点互访的需求。■企业间互连需求许多企业为了方便与供应商、客户或合作伙伴进行联系,往往采用跨企业的网络实现互连,这就是所谓的Extranet。如果企业之间准许实现完全互访,则通过简单地配置Target属性即可实现,但实际上大多数企业更倾向于企业间的受限访问方案。例如,企业希望合作企业只能访问到某些相关的数据库,图4所示的HUB-SPOKE方案可以实现这种需求。图4HUB-SPOKE方案(点击放大)在图4中,两个SPOKE分别对应两个企业的Site。为了实现受限互通的目的,首先将两个Site中的路由通过IN接口导入CE设备的路由器中,CE设备采用策略路由等路由过滤机制,当然也可以在SPOKE处首先进行路由出过滤,然后从OUT出口将过滤后的路由发布到SPOKE上,实现企业之间的受限访问。三、Internet访问Internet访问是MPLS服务提供商为企业用户提供的重要业务,华为在综合考虑地址重叠、访问控制和安全因素等基础上,提供以下三种解决方案。■企业内部访问控制方式如图5所示,这种方式在每个企业的VPN内部对Internet访问设置NAT和防火墙处理,将安全机制放于企业的统一出口处(CE2)。VPN内部各Site访问Internet的数据流,首先到该VPN的某一Site中(一般为公司总部Site),在该Site进行NAT和防火墙处理后进入公网。这种方式只要求在客户端进行配置,而对于运营商一侧,网络没有配置要求,但对运营商来说,这种方式无法对客户访问Internet进行统一管理。图5Internet企业内部访问控制方式(点击放大)■集中访问控制方式如图6所示,这种方式的控制集中放置在服务提供商的Internet出口处(PE),为了解决各VPN重叠保留地址的问题,必须为每个VPN配置一个防火墙,各VPN用户通过属于自己的防火墙实现Internet访问。这种方法要求运营商为每个VPN配置一个访问Internet的VPN,在客户端需要配置一条访问InternetVPN的缺省路由,由于该方法要求运营商进行配置,而且每个VPN都需要一个防火墙,因此当VPN用户较多时网络投资较大,但这种方法允许运营商对VPN用户访问Internet进行有效的管理。图6Internet集中访问控制方式(点击放大)■二级控制方式如图7所示,这种控制方式首先在企业内部进行Internet访问控制,然后在服务提供商处再进行一次访问控制,即两级访问控制。这种方式的优点在于,它可使企业对内部用户的访问进行控制,同时运营商也可对用户访问Internet进行统一控制,这种方式与第二钟方式不同,它不需要增加太多的投资。当然这种方式的缺陷也是显然的,一是配置复杂,二是效率低于前两种。图7Internet二级控制访问方式(点击放大)四、对跨AS域的支持对于大型MPLS骨干网来说,必须支持跨域业务,华为NE设备支持三种跨域方式。■VRF-to-VRF如图8所示,这种方式要求两个域的ASBR能够完成PE功能,两个AS域各自运行自己的VPN。对于每个需要跨域的VPN,必须在本端跨域的PE设备上配置对应于该VPN的VRF,将对端的PE设备做为本域VPN的CE,PE-CE之间运行EBGP协议,携带对端的VPN路由信息。这个方法的优点是在于,ASBR之间不需要运行MPLS,但缺点是每个跨域的VPN需要与一个子接口绑定,子接口的数量至少要和跨域的VPN的数量相当。跨域的PE路由器需要维护跨域VPN的路由,因而存在扩展问题。图8VRF-to-VRF跨域方式(点击放大)■MP-EBGP如图9所示,这种方式通过直连的ASBR传播VPN路由,并为相应的VPN路由分配一个标签,其优点是不需要在ASBR处为每个VPN的用户站点分配一个子接口,缺点是需要在ASBR处维护VPN路由,从PE入口到PE出口需要一条完整的LSP,ASBR之间需要互相信任。图9MP-EBGP跨域方式(点击放大)■Multi-HopMP-EBG如图10所示,这种方式首先路由扩散在入口与出口之间,通过LDP或MP-BGP+LDP方式建立LSP,然后不同AS域之间的PE通过EBGP方式传播VPN路由信息。这种方式的可扩展性能较好,不需要在ASBR上维护具体用户的VPN路由信息。图10Multi-HopMP-EBG跨域方式(点击放大)src==五、网管与灵活记费对于MPLSVPN而言,管理的内容包括PE设备、PE-CE之间的链路和CE路由器三个部分。对于PE设备,通过普通IP即可进行管理;对于PE-CE之间的链路以及CE设备的管理必须通过管理VPN,即所有VPN都同时属于同一个管理VPN,管理工作站也属于该VPN。当一个CE路由器加入一个VPN之后,再不能通过Ipv4路由来访问它。为了能够在中央网管对所有PE-CE链路和CE路由器进行管理,必须建立一个特殊的管理VPN,所有CE路由器作为该VPN的成员。为了防止地址重叠,在具体实现时,CE路由器上与PE相连的接口地址采用公网地址,并且在中央网管设备上进行路由过滤,只引入PE-CE接口路由。华为网管系统为MPLSVPN提供了强有力的支持,内容如下:※存量管理:包括设备存量管理和VPN业务存量管理;※业务供给:包括定义、部署、审计业务请求;※业务保障:提供VPN故障告警监视、告警历史管理和测试管理等内容;※安全管理:提供VPN客户的创建、编辑、删除、权限控制和认证等管理功能;※客户网络管理(CNM):为VPN用户提供管理所属VPN网络的功能,包括查看VPN拓扑、增加子网或服务器、增加/删除VPN站点、查询/增加/删除所属VPN的用户信息、查询/定义QoS/SLA报告等;※系统功能:提供日志记录、日志查询、系统启动和停止等功能。华为网管系统支持多种数据流统计工具,如NETSTREAM,因此Quidway系列路由器可以支持丰富灵活的记费功能,具体实施过程中可以采用以下记费方案:※包月制:实现方式简单;※基于流量:通过MPLSVPN网管获得各VPN的动态流量信息;※基于流的计费:通过网管平台流数据收集程序,收集、过滤和聚合各PE设备的流数据,并存储这些处理数据,作为记费的原始数据,从而进行基于业务、流量的记费处理。目前,MPLS还属于一项不断发展的技术,许多特性仍处于草案阶段,但在一些基本已经形成标准的应用特性上,如MPLSVPN、跨域互通、Internet接入等方面,华为的网络设备已经与CISCO、JUNIPER等主要路由器厂商实现了全面互通。