安徽移动OA网络工程实施方案.doc

优秀
安徽移动OA网络工程
实施方案
***有限公司
二零零二年十一月
1 MPLS VPN 简介 3
2安徽移动OA网络组网分析和流量模型 3
7
、VPN命名规则 7
、接口描述命名规则 8
3自治域设置 8
4 路由协议 8
8
BGP路由规划: 9
9
5 省中心节点的VRRP配置 10
6 网络管理 10
7 网络的备份 10
8 网络的安全性 11
9 IP地址规划: 11
1 MPLS VPN 简介
MPLS是多协议标签交换协议的简称,多协议是指它能够支持多种三层协议;标签是一种短的,易于处理的,不包含拓扑信息,只具有局部意义的信息内容;MPLS的报文转发是基于标签的,在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签。以后所有MPLS网络中节点都是依据这个标签作为转发依据。当IP包最终离开MPLS网络时,标签被边缘路由器分离。
MPLS可以在IP网中的实现的一种面向连接的特性。通过MPLS可以在IP网中提供一些原来只有ATM/ Frame Relay才能提供的业务,使得IP网络运营商可以根据用户需求,提供形式多样、方便快捷的增值服务:VPN(包括二层和三层VPN)、流量工程和QoS、虚拟专线、C)等等,其中的MPLS VPN 就是其中一项重要的应用。
MPLS VPN可以分为BGP扩展实现的VPN和LDP扩展实现的VPN。根据PE(Provider Edge)设备是否参与VPN路由又细分为二层VPN和三层VPN。本次工程中,采用BGP扩展实现的三层MPLS VPN。
采用MPLS VPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便与网络的扩展和变更。
MPLS VPN的网络构造由服务提供商来完成。在这种网络构造中,由服务提供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。

MPLS VPN网络中,由三种设备:CE、PE和P路由器,CE(Custom Edge)是用户直接与服务提供商相连的边缘设备,一般也是路由器设备;PE(Provider Edge)是骨干网中的边缘设备,它直接与用户的CE相连;P 路由器(Provider Router)是骨干网中不与CE直接相连的设备,P 路由器并也不知道有VPN的存在,仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议,并使能该协议。PE位于服务提供商网络的边缘,所有的VPN的构建、连接和管理工作都是在PE上进行的。
2安徽移动OA网络组网分析和流量模型
安徽移动OA组网示意图:
一、网络概述
本次工程需开通一个VPN用于OA办公和上网使用,预留2个用于测试。设备的运用上,所有的NE系列路由器(另外包括五地市的R3640E)用于组建骨干网络,在OA运用中作为OA MPLS VPN的PE节点。所有三层交换机(包括合肥的两台S6506地市的所有S3526)做三层交换使用,连同县城的12台R2621路由器作为本次OA业务的CE使用。另外的2个测试使用的VPN需要在PE节点上新接设备。本次的所有CE设备只承载OA办公的VPN业务和CE设备(另外包含2403H)本身的管理使用。
二、组网分析:
合肥两台NE路由器和各个地市的NE05/R3640E组成整个OA网络的骨干网络,他们之间运行OSPF动态路由协议,区域为0。上面承载了4种网络:OA的VPN网络,公网网络,两个测试VPN网络,其中公网网络还承载了华为设备的网络管理,各个地市的网管网通过OSPF发布到公网。OA的VPN网络通过静态路由互联。另外的两个测试VPN网络也是通过静态路由。
在MPLS的规划上,合肥的NE16,NE05作为RR放射器。所有PE之间运行M-BGP路由协议,自治系统号采用私有号码:65500。将VPN的路由在PE上发布。
关于VRRP:两台S6506之间的某些接口运行VRRP协议,实现6506的热备份。这些接口有:上联双网卡的V880服务器;上联合肥两台S3526的OA业务;合肥某些OA业务通过中兴ET1单板直接接到6506的接口。
两台S6506之间通过二层互联,中间捆绑5个100M端口。所有单网卡的主机通过一根网线连到6506B上。防火墙一连一的与S6506互联。
要做到各地市的VPN 业务的分离,每种VPN 业务必须采用独立的逻辑端口