集团系统服务器等硬件设备项目技术方案.doc

XXX 集团系统服务器等硬件设备项目 技术方案 福建世通信息产业发展有限公司 2013年4月 目 录 1. 项目背景 4 1.1. 概述 4 1.2. 建设目标 4 1.3. 建设原则 4 2. 网络结构 6 2.1. 网络拓朴 6 2.2. 网络性能 6 3. MPLS VPN的方案设计 7 3.1. 定义说明 7 3.2. MPLS技术 8 3.3. MPLS网络设计 10 3.3.1. IP路由协议选择 11 3.3.2. MPLS 骨干网络设计 14 3.3.2.1. 几点说明 18 3.3.3. MP-iBGP的设计 18 3.3.4. 虚路由转发表的设计 21 3.3.5. 路由区分和路由目标的设定 22 3.3.5.1. 路由区分 22 3.3.5.2. 路由目标 23 3.3.5.3. RD/RT的使用及分配 24 3.3.6. PE 与 CE 间的路由 24 3.3.7. MPLS VPN接入设计： 26 3.3.7.1. 本地以太网接入 26 3.3.7.2. 专线接入 29 3.3.7.3. 县级网络接入 29 3.3.8. QoS的设置 30 1. 项目背景 1.1. 概述 专网定位于为企事业单位的各种IT系统提供高速、高带宽、支持多种业务的骨干传输网络，它为各种业务和应用提供统一的综合传送平台。它不仅为现有的财务、营业、计费、网管、办公自动化系统、人事、客户服务，科技管理等提供信息传送的平台，而且随着网络的升级，还可以为视频会议、远程教学、实时点播、内部网络电话等新的信息服务提供网络通道。 多协议标记交换MPLS（Multiprotocol Lable Switching）是Internet核心网络路由/转发技术最为关键的一个发展，MPLS提供了Layer 3路由控制和Layer 2交换转发的无缝综合，解决影响Internet发展的许多复杂问题，如网络带宽、转发性能、可伸缩性、流量工程、QoS、VPN等。 MPLS VPN可以使企业的各个业务系统建立安全的，高效的VPN服务，它的好处主要是可以采用现有的或具有通用功能的路由器实现，不需要增加额外的设备。在投资保护上具有很大的优势。 1.2. 建设目标 根据XXX集团财务软件应用要求，同时，集团OA应用软件需要，网络平台建设的定位，就是要建立一个高速、高可靠性、扩展性良好、支持多业务的综合网络平台。在省公司和全省各分公司建立MPLS VPN骨干网节点，在各县公司、建立MPLS VPN网的接入节点，构成一个网络结构清晰、传输带宽充裕、技术先进的数据网络。 1.3. 建设原则 (1) 高可靠性的原则。MPLS VPN网不仅作为办公自动化系统的承载网络，而且还会成为越来越多的生产系统的骨干传输网络，如:视频系统、网管系统、OA系统等。这对网络的可靠性提出了很高的要求。没有一个高可靠性的网络，不仅会影响到办公系统和管理系统的正常运作，降低办公和管理效率;而且因为对生产系统造成的影响，而导致服务质量和服务水平的下降。 (2) 高效性的原则。根据应用系统需求而建立的MPLS VPN网应该是一个高效的网络，它不仅要保证网上承载业务正常可靠的运行，而且依靠网络设备的强大处理能力和节点间高速的链路连接，为各种应用系统建立一个高效、顺畅的通道。 (3) 可扩展性强的原则。MPLS VPN网的建设既要能满足目前应用系统的需求，又要考虑未来一段时间内各种业务发展的情况。它不仅要求具备规模的可扩展性，而且要能适应技术升级和换代的需求。既能保证网络的平滑升级，又能进行投资的保护。 (4) 坚持适度超前发展的原则。MPLS VPN网的建设应能满足未来3~10年业务发展的需求，在规模、技术和投资上应该适度超前发展，避免频繁的扩容而引起的业务中断。 2. 网络结构 2.1. 网络拓朴 整个网络结构如上图所示。 XXX建设办公自动化信息系统网络，在省中心机房部署高性能的三层路由交换设备，地市交换机采用支持OSPF等动态路由协议的路由交换设备，前期建设省中心到地市采用全星形结构，后期业务发展后以及流量增加后，利用动态路由协议组成一个具有环路保护的网状网络结构。区县直接接入地市。利用XXX的传输平台组建一个具有支撑多业务的网络，全网采用省——市——县三级网络结构，省中心选用1台高性能路由交换设备，各地市各配置1台高性能路由交换设备，各个县级节点交换机，采用星形方式接入地市路由交换设备，在地市节点汇聚后，接入省中心路由交换设备。 考虑到将来XXX除了OA等网络建设需求外，还有资产专网、 财务专网、视频会议系统等应用，考虑到设备投入成本，此次的设备选型要 考虑支持MPLS VPN特性，网络拓扑如下所示： 2.2. 网络性能 福建XXX办公自动化信息系统网络是承担全省XXX内部办公联网、以及资产、财务、视频会议等专网的核心承载网络。要求能实现防火墙、负载均衡、认证计费、集中网管等功能，为福建XXX增值业务的扩展提供基础，同时省市级的骨干设备也要具备平滑升级到10G数据传输服务的能力。 在不降低网络可靠性的前提下，可采用交换机的集群或者堆叠技术，减化网络架构。如上图所示，各地的网络设备通过MPLS VPN的配置，可以划分多个VPN，不同的应用之间可以相互隔离，在一定程度上保障了网络的安全性。网络平台建设的总体目标将集中于以下几个方面： l 标准的可扩展性：省中心网络的结构和设备大部分业务的主机及各数据服务器集中到省中心，保证一个层次分明，架构简单且安全、高性能、易扩展、易管理且保证各业务的安全访问的中心交换网络极其重要。福建XXX办公自动化信息系统网络方案应采用分层的网络设计；每个层次的设计所采用的设备本身都应具足够高的端口密度，为后续福建XXX办公自动化信息系统网络方案扩展奠定基础。应能支持负载均衡、VLAN接入、认证计费等功能。功能的可扩展性是福建XXX办公自动化信息系统网络方案随着发展提供增值业务的基础。省市骨干设备要具备平滑升级到10G数据传输服务的能力。在升级过程中，必须保证业务不间断，同时必须保证原模块能正常使用，保护原有投资。 l 可维护管理性：为方便网络维护及管理，本次项目采用的网管系统能够实现网络拓朴显示、网络状态监控、故障事件实时告警、网络流量统计。在系统中，如采用第三方设备，网管系统能够切有效管理到这些设备，能够及时发现网络瓶颈，降低网络设备的故障时间。 3. MPLS VPN的方案设计 3.1. 定义说明 多协议标签交换（MPLS: Multiprotocol Label Switching）：多协议标签交换技术是将第二层交换和第三层路由结合起来的一种L2/L3集成数据传输技术。 虚拟专用网络（VPN: Virtual Private Network）：VPN是在公用网络设施基础之上构建的安全可靠的专用网络。 服务提供商骨干网（Service Provider Backbone Network）：在此文档中指MDCN三期工程的MPLS骨干网，它可以承载多个互相隔离的专有应用系统网络。 客户（Customer）:在此文档中指独立的专有应用网络系统。 客户边界路由器（CE: Customer Edge router）：在客户端的路有器，它通过一台或多台PE路有器连接到服务提供商网络。 服务提供商边界路由器（PE: Provider Edge router）：服务提供商网络中 MPLS与用户之间（PE与CE之间）的路由协议可以是：OSPF、IS-IS、RIP、BGP或静态路由。 MPLS骨干网内部的路由协议，即PE-P-PE的IGP路由协议可以是OSPF或IS-IS。为传送用户VPN的路由信息，在对应的PE之间使用MP-BGP路由协议。 从用户的观点看，虽然要穿过服务提供商管理的VPN通道，但用户看到的是CE之间直接互联，并通过CE将每一个站点的用户内部路由器连接起来。服务提供商的MPLS网络对用户是透明的，看不到内部的结构，也看不到MPLS网内部传输的路由。 从服务提供商的角度看，其MPLS网络与用户网络比较是非常不同的。每个用户只有一个VPN，而一个服务提供商可以有多个VPN。服务提供商只能管理每个VPN在MPLS骨干网中的通道，它看不到由VPN组成的专网的内部结构。 PE路由器分别为每个VPN维护一张路由表，表中有其直接相连的VPN站点的路由信息，并且与相应VPN相关的PE之间交换这些路由信息。 3.2. MPLS网络设计 在充分了解XXX现状的基础上，我们针对福建XXX数据网的 MPLS VPN建设工程提出的方案设计主要有如下内容： 1、 升级现有的7500系列路由器的IOS版本以支持MPLS应用，注意相应路由器Flash及内存满足要求即可。因此应该做相应的设备调查。 2、 IGP路由协议的设计和优化，目前支持MPLS的IGP主要有两种：OSPF、ISIS。如果DCN目前未采用上述两种IGP，则必须进行路由协议的修改。路由优化的目标是使IGP的层次区域分明，利于路由策略的实施。 3、 MP-BGP协议的设置，BGP支持大量路由的运载和丰富的属性定义。目前MPLS RFC2547BIT的VPN通过BGP来进行实现，因此必须配置BGP协议。 4、 MPLS VPN中对路由器的定义：主要为P、PE、CE的定义。在DCN网络中，所有的7500/7206系列路由器可以定义为PE。 5、 注意MPLS VPN中的VRF、RD、RT等命名方式的规范化，有利于网络的管理和维护。 3.2.1. IP路由协议选择 OSPF（OpenShortestPathFirst）开放最短路径优先是IETF专为Internet网络协议开发的内部网关协议（IGP）。该工作组成立于1988年，旨在设计基于最短路径优先（SPF）算法的IGP，以用于Internet中。当时，RIP协议由于其跳数限制，路由包的广播发送，路由收敛的速度等原因，已经越来越不适应Internet的发展。 OSPF属于链路状态协议的一种。运行OSPF的路由器会将LSA（Link State Advertisement）链路状态通告通过Multicast的方式通告给和它处于同一层次（Area）的所有路由器，而不是象RIP，IGRP等距离矢量协议那样将路由表的全部或部分只发送给起邻居。OSPF路由器通过LSA的收敛，知道本层次的网络拓扑，通过累加链路状态信息，利用SPF算法计算到达每个节点的最短路径。 当运行OSPF的路由器加电后，路由器向其相连的路由器发送HELLO信息包，以获得相连的路由器的信息，同时告知自己的信息。通过HELLO信息包，同层次的路由器会选举一个指定路由器（Designed Router）和备份指定路由器（Backup Designed Router）。由指定路由器向其它路由器发送LSA信息包。当路由器交换LSA信息包后，路由器的链路状态数据库同步，此时称路由器邻接（adjacent）。由指定路由器发送LSA信息包，会大大地减少路由器之间的数据包流量。 路由器会定时的发送LSA，同时当路由器发现对方的链路状态数据库和自己的链路状态数据库不同时，它会立即发送LSA。我们知道在距离矢量路由协议中，如RIP或IGRP，当线路或拓扑发生变化时，路由器由于防止路由循环，会等待一系列的定时器的定时，如更新计时器，无效计时器等等，这些造成路由器收敛时间的增加。而OSPF路由协议在发现有事件(Event)发生时，立即发送LSA，所以OSPF会比距离矢量协议收敛更快。 在OSPF路由协议中，每一个区域中的路由器都按照该区域中定义的链路状态算法来计算网络拓扑结构，这意味着每一个区域都有着该区域独立的网络拓扑数据库及网络拓扑图。对于每一个区域，其网络拓扑结构在区域外是不可见的，同样，在每一个区域中的路由器对其域外的其余网络结构也不了解。这意味着OSPF路由域中的网络链路状态数据广播被区域的边界挡住了，这样做有利于减少网络中链路状态数据包在全网范围内的广播，也是OSPF将其路由域或一个AS划分成很多个区域的重要原因。 同时，OSPF是一个有层次的路由协议，而不象距离矢量协议是一个平(Flat)的路由协议。在OSPF数据包中，有一个域(Field)用来放置区域号（AreaID）。一个路由器可以处于不同区域之中，称为边界路由器。一个区域边界路由器有自身相连的所有区域的网络结构数据。不同区域的路由器不能相互通讯，同平的链路状态路由协议相比，也大大减少了路由器之间的数据通讯量。 下面为一个OSPF数据包的格式： 版本号 类型 数据 包长度 路由器ID 区域ID 校验和 证明类型 证明 数据 （变长） 在OSPF路由协议中，有了证明类型和证明两个field，路由器之间可以做相互的校验，从而路由协议之间更加安全。 相对于其他协议，OSPF有许多优点。OSPF支持各种不同鉴别机制（如简单口令验证，MD5加密验证等），并且允许各个系统或区域采用互不相同的鉴别机制。 依据以下的条件选择路由方式和路由协议： l 安全可靠 l 尽可能少的广域网上的路由信息传输； l 有利于提高网络的可靠性； l 适合建立大型广域网络； l 采用开放的国际标准，利于全网设备互连； l 具有尽可能短的路由收敛时间； l 适应MDCN网的建设情况等等。 对于一个大型的网络系统，覆盖地域范围广，连接节点众多。所以针对网络具体情况，比较各种路由技术在先进性、可靠性、实用性和开放性等方面的优劣，我们选择OSPF－（Open Shortest Path First）最短路径优先路由协议作为系统使用的主要路由协议，同时，根据具体需求，配合使用静态路由。 MPLS VPN网络系统是分布于全省的大型高速高效广域网系统，若其网络路由设计采用平面式的结构，那么，在网络中，链路状态数据库的大小、路由计算时间和路由信息报文数量都会极其庞大，远远超出规划设计的限额，包括：路由设备内存需求巨大，计算时间过于漫长、传输延迟无法忍受，广域网通信链路带宽利用率低，网络开销成本太高等等。所以，我们针对MPLS 网络系统的情况，设计MPLS 网络的路由结构采用多层路由结构框架即划分为多个AREA，这也与MPLS VPN网络拓扑结构的构架相吻合。 在MPLS网络系统中，我们可以把整个网络系统作为一个自治系统AS按照一定的OSPF路由法则划分为多个区域。根据网络链路设计，我们在路由上也采用层次化的设计，网络的核心层（省公司）和各地市分公司组成的双星型网络，构成OSPF路由的AREA 0骨干，每个分公司的两个设备连接到核心层的两个节点上，分公司的上联设备为路由AREA 0骨干的ABR（边界路由器），每个分公司所属的本地局域网和下属县构成一个AREA，这样我们可以在ABR处将这个分公司所连接的各个下级节点的路由进行汇总。每一个区域通过OSPF边界路由器相连，区域间可以通过路由总结（Summary）来减少路由信息，减小路由表，提高路由器的运算速度。这样不同AREA的路由器（即不同分局的节点路由器）不用相互交换链路信息，大大节省了链路的带宽。 其中各分公司属于一个AREA区域；每个Area将本Area的路由聚合后，将聚合路由广播到Area0域。 3.2.2. MPLS 骨干网络设计 MPLS的组网模型为： ◇CE（Custom Edge）用户Site中直接与服务提供商相连的边缘设备，一般是路由器或路由交换机 ◇PE（Provider Edge）骨干网中的边缘路由设备，它直接与用户的CE相连。 ◇P 　routers 骨干网中不与CE直接相连的设备，只负责标签转发 ◇Site是一个内部连通但不通过服务提供者骨干网不具有相互连通性的网络系统。site举例：公司总部、分支机构、合作伙伴、拨号用户、VoIP网关网络等。 在此MPLS/BGP VPN的一般模型中，网络由骨干网与用户的各个Site组成，所谓VPN就是对site集合的划分，一个VPN就对应一个由若干site组成的集合。但是必须遵循如下规则：两个Site之间只有至少同时属于一个VPN定义的Site集合，才具有IP连通性。 按照这个VPN的定义，一个VPN中的所有site都属于一个企业，称为Intranet；如果VPN中的site分属不同的企业，则称为Extranet。Site可以同时属于不同的集合，Site也可以同时属于不同的VPN。 在福建XXX DCN网络的MPLS 设计中，我们建议将P/PE/CE的逻辑定位为： MPLS骨干网络包括的设备为：省公司的7513和各地市分公司的7507。 MPLS骨干网的IGP路由选用OSPF，PE之间选用MP-BGP路由。 PE与CE之间可以选用OSPF或静态路由，每个区域节点为一个OSPF的Area，MPLS的骨干网络作为OSPF的Area 0； 客户的OSPF路由表在PE之间通过MP-BGP传递给相关VPN的对端PE（逻辑相邻的PE）。 以下是福建XXXMPLSVPN骨干网示意图： 在新增应用系统的VPN时，MPLS只需在PE路由器作相应的配置即可。在增加应用系统的专网（VPN）时，PE路由器的主要配置工作是：增加VPN；与逻辑相关的PE之间设置MP-BGP由于传递动态路有表。 PE路由器的主要功能是：接入用户专网，将不同的用户专网通过不同的VPN通道链街；接收/发送用户数据包，在用户数据包前作标记处理；转发用户路由信息； 在PE上的配置包括两部分：一是MPLS内部接口配置，此端口同PC路由器的配置相同；另一部分是用户接入端口的配置，要根据接入用户的需求，在PE路由器的相应端口作配置。 在PE上对一个应用专网的配置，一方面是用户接口配置，需要定义VPN相关的路由传递表，将接入用户的端口或子端口与相关的路由传递表对应；另一方面配置PE-CE之间的路由协议，同时配置相关的PE-PE之间承载用户路由的MP-BGP。 3.2.2.1. 几点说明 (1) MPLS的骨干网只能在同一厂家的设备之间实现。即现在PE和P路由器选用H3C的设备，增加相关的设备时也只能选用H3C的设备。 (2) PE路由器：目前，在H3C的MPLS/VPN方案中，可以作为PE路由器的设备有：7600，3500系列产品。 (3) CE设备：CE设备是用户端的边界路由器，可以是任何具有三层路由功能的网络设备，通过CE在用户网络和MPLS之间转发数据。CE也可以是用户终端设备，如：服务器或PC机。 3.2.3. MP-iBGP的设计 MPLS采用虚拟路由表的方法来实现一个路由器上多个VPN的路由表。每一个VPN对应一个或多个VRFs(VPN routing/forwarding instance)。VRF定义连接到PE上的VPN成员(一个site)资格。一个VRF包括一个IP路由表、一个FIB( forwarding information table)表、相关联的端口、和一些控制路由的规则和参数。 数据包的路由和交换由VRF路由表和单独的FIB表所控制，每一个VPN对应一个路由表和一个FIB表。 VPN路由信息的传播由VPN route-target communities来控制，这主要是通过BGP的extended communities属性来实现的。VPN路由信息的传播通过下述的方法进行工作： 当一条从CE处学习到的VPN路由被inject到BGP中时，一些VPN route target communities属性被赋于它；其中主要包括route-target属性，该属性决定这些route将被export到哪些VRF。 每个VRF配置有一个import route-target列表，该列表指明了一个BGP的update中的community属性应该包含什么route-target才能被目标VRF接受。比如，某一个VRF的import route-target列表指明route-target communities A、B和C，这样，每一个MP-iBGP的update中communities属性的route-target中有A或B或C的route将被import到该VRF中。 一个PE路由器可通过静态路由、RIP或BGP从CE处得到某一个IP前缀的路由，该前缀是标准IPv4的前缀。然后，PE通过加上一个8字节的RD(route distinguisher)将它转换成为一个VPN-IPv4的前缀，该前缀属于VPN-IPv4的前缀。通过这种方法，可以使用户地址唯一，即使用户使用的是IANA规定的保留地址。 用于生成VPN-IPv4前缀的RD(route distinguisher)由PE路由器的VRF配置命令指定。 MP BGP协议为VPN的每个VPN-IPv4前缀传递NLRI(Network Layer Reachability Information)。BGP实体之间的通信出现在两个地方，AS内的iBGP和AS间的EBGP，PE-PE和PE-RR(route reflector)之间为iBGP，PE-CE之间为EBGP。 BGP协议通过BGP多协议扩展(BGP, Multiprotocol Extensions for BGP-4)来传递VPN-IPv4的路由可达性信息，多协议扩展的BGP采用的方法为限定BGP的peer只能从其它VPN的同伴处得到BGP路由。 IP包经过MPLS标签交换到其目标地址，其选路的基础是VRF路由表和VRF FIB表。 PE路由器为每一个从CE路由器学到的前缀产生一个label，然后将这个label附加到BGP更新中传递出去。当一个源PE路由器从CE路由器处得到一个IP包，它使用从目标PE路由器学到的label将该IP包发送出去。当目标PE路由器得到这个labeled IP包后，将label从IP包中去除，作为一个纯IP包发送到CE路由器。 当labeled IP包在核心骨干部分传递时，其基于label switching或traffic engineered path进行，一个用户的IP包在核心穿行时，携带了2层label： 第一层label指示到正确的目标PE路由器； 第二层label给目标PE路由器指示，到哪一个其连接的site链路。 在MPLS VPN技术体制中，MPLS用以在骨干上转发包，BGP用以在骨干上分发路由信息。H3C 遵从RFC2547 BGP/MPLS VPN， RFC2547 BGP/MPLS VPN也是基 于RFC2283 BGP-4的多协议扩展或MP-BGP。这些BGP的MPLS VPN 扩展引入了 一些新 的功能及特性， 例如VPN-IPV4地址、路由器区分、路由目标和标记。 在MPLS/VPN的应用中，所有的PE路由器都是通过iBGP协议来交换不同VPN的vrf路由的。由于I-BGP只能支持点到点的连接方式，因此为了确保每个PE路由器都能够了解网络路由信息，就必需采用I-BGP网状拓扑的连接方式进行。当网络在不断的成长过程中，网络的规模变得较大时，太多的网状连接将对网络的设计和维护带来许多的不便。为了解决这复杂性的Fully mash连接，我们可以采用合理规划Route Reflector Cluster（路由反射器束）来建立网络的所有节点间的I-BGP路由关系。 在一般的情况下，一个fully mash的I-BGP网状连接中。每一个PE路由器都必将所有相对应的其它PE路由器配置成neighbor，这一种网状结构在网络扩展中将带来许多不便。当我们需要在现有的IBGP网状结构网络增加一台PE路由器时，我们需要在这一台新增路由器上配置peer到所有的现存的其它PE路由器，而且也必须同时在所有已运行中的PE路由器peer到新增的PE路由器上。 这种全网状的连接才能满足IBGP的全网路由表的建立。从以上一般简单的路由器扩展，就需要如此复杂的配置，和增加了网络管理负荷。 其实要简化这一复杂的IBGP网络协议需求，我们可以通过BGP现有的Route Reflector这一概念，它是在同一个AS自治系统区内I-BGP将所有的路由器区分为两类，一为Route Reflector 如上图的RR-1，另一类为Route Reflector Client（路由反射客户端）如RA，RB，RC和RD。所有路由反射客户端们都必须将自己的路由表peer到Route Reflector路由器上。Route Reflector路由器收集并计算相关的路由，最后Route Reflector路由器会将所得的路由宣告到它所属的路由反射客户端，这样所有的IBGP内的路由器就可以得到全部的网络路由信息。通过Route Reflector我们就可以大大地简化了网络配置拓扑结构，增加了网络拓扑的可管理性。 在一个AS自治系统区可以存在一个或多个Route Reflector（路由反射器），一个RR路由器同样可以和另一个或多个RR进行相对的peer，不同的RR可以属于一个Cluster（客户组）或不同的Cluster。从上图可以看到路由器RA，RB，RC和RD都同时peer到两个相同Cluster的RR路由器上。这样一来，此路由拓扑设计就可以避免单点故障的问题，这种结构对于一个需要高稳定性和高可靠性的MPLS网络是极其重要的。 RR Server的路由转发处理原则： 来自非client的路由，向cluster内所有client转发 来自client的路由，向非client路由器和其它client转发 来自EBGP peer的路由向所有client和非client转发 了解到MPLS/VPN服务的不断增长，IBGP的PE路由器会不断的跟据业务发展而增加。利用Route Reflector Cluster这一安全可靠的设计模式，它提供了一个平稳而且高效的切割升级方案，如上图所示。 从Route Reflector的网络设计，我们可以得到一个具有高稳定性，高可靠性和安全性的网络拓扑。 3.2.4. 虚路由转发表的设计 在PE上为每个VPN设定了一个虚路由转发（VRF）表，这些VRF用来保存VPN用户的路由表，这样他们之间被隔离。 一个和多个端口可被设定到一个VRF，前提是它们属于一个用户VPN。 在H3C路由器中，VRF名为路由器中识别、引用特定VPN的字符串，其配置语句如下：ip vrf <vrfName>。具有以下特点：字符串区别大小写；仅在本路由器有效；VRF为助记符，本身不参与协议过程。 我们建议为VRF使用标准传统命名方式如用户 ID和接口名称。MPLS VPN VRF名由福建XXX自由选择，但应能够反映业务性质、VPN用户的信息。 配置举例： … [H3C-7608]display mpls ldp vpn-instance [H3C-7608]display mpls ldp … 3.2.5. 路由区分和路由目标的设定 3.2.5.1. 路由区分 在MPLS VPN中，路由区分（RD）是用来组成VPN 地址的。每个MP-BGP上承载的路由都是唯一的，即使不同VPN用户的IPV4地址相同。 RD为64比特序列，旨在保证不同VPN间路由前缀（prefix）的唯一性，RD将在MP-BGP路由更新消息中附着在NLRI之前一并送出。RFC2547为RD定义了两种格式： <16bits type>:<ASN>:<32 bit number> <16bits type>:<IP address>:<16 bit number> 以上格式中，首位的16比特类型域由格式决定，不能人为配置，可供配置的只有48比特。遵照国际惯例， BGP/MPLS VPN采用的RD格式如下： ASN : <32比特数字> 其中ASN必须为AS号码，福建XXX可以采用私有的AS号码进行设置。 3.2.5.2. 路由目标 RT也为64比特序列，属于MP-BGP扩展团体属性（extended community attribute）的一种。通过导出（export）、导入（import）不同的RT值，同一VPN 的不同PE间，甚至不同VPN的PE间可以控制路由前缀的接收，达到控制VPN节点（site）间逻辑拓扑的目的。特别注意：RT尽管在字段结构上与RD一样，但其数值的选择完全独立于RD数值的选择，二者取值可以完全不同。 建议MPLS VPN RT采用的格式与RD一致，格式见上。 对网状VPN，VPN的所有现场都有相同的RT，一个拓扑事例如下： 对星形( hub-and-spoke) VPN, VPN的每个现场都有不同的RT，拓扑示例如下： 3.2.5.3. RD/RT的使用及分配 RD/RT分配如下： ASN: <32比特数字> 其中后32比特数字由福建XXX自行确定。 MPLS VPN网RD、RT分配建议 （1）对每个VRF为每个VRF设置一个RD，RD取值可以等于RT。 （2）对于全网状MPLS VPN，建议一个用户只设置一个RT，在每个节点都做如下设置： route-target import <RT> route-target export <RT> （3）对Hub-Spoke结构的MPLS VPN，可以设置多个RT，具体数量根据用户需求而定。 3.2.6. PE 与 CE 间的路由 在MPLS VPN中， H3C 支持PE与CE路由器间的多种路由协议，包括EBGP，RIPv2，OSPF和静态路由。请注意CE不需要支持MPLS，同时任意的标准IP路由器都可以支持。 （1）EBGP协议 CE路由器通过EBGP把地址前缀通知给PE路由器。从技术的角度来看，这种方式是目前最好的运行模式。优势如下： Ÿ 不需要PE运行多个路由算法来与多个CE设备进行联系。 Ÿ BGP路由协议本身就具有在不同的管理域之间交换路由信息的能力。 Ÿ 如果CE连接多个PE，即CE路由器除了与PE路由器有BGP连接外，还同其它路由器发生BGP的连接，用BGP协议可以很好的解决这一问题。 AS号码可以是取自私有地址空间，起始于64512 到65535。 （2）静态路由协议 目前多数CE一般都采用静态路由的连接方式，这种实施最简单，而且对路由器的开销也小，维护方便。缺点是路由表固定不变，即便是网络发生故障。建议在PE、CE之间只有一条链路的时候采用静态路由。 配置一条到CE 所连网络的静态路由，与一般的静态路由不同的是，该静态路由中需要指明该路由属于哪个VPN ，并且指明到下一跳要经过哪个端口。 将PE 和CE 间的静态路由和直连路由分发到BGP 中，利用BGP 协议的扩展属性，将本地PE 上该VPN 的路由传播到其他PE 上对应的VPN 中。 （3）RIP协议 在PE和CE路由器之间可以采用RIP协议。CE路由器通过RIP把到达用户节点的一组地址前缀通告PE路由器。当在CE中设置RIP之后，必需保证CE得到的PE路由器的地址前缀决不会再传播回PE（横向隔离原则）。 （4）OSPF协议 PE和CE之间运行OSPF协议。这时，节点属于一个单独的区域（Area），CE路由器成为这个区域的ABR，而PE却是另一个区域的ABR。PE路由器除了向CE传送路由信息外，并不会向与CE同一区域内的其它路由设备广播路由信息。 3.2.7. MPLS VPN接入设计： 3.2.7.1. 本地以太网接入 由于MPLSVPN网既是一个福建XXX的内部网络，同时也负担了部分福建XXX运营网络的某些方面的工作，如：OA系统、计费信息收集等方面的工作。这些信息比较敏感，需要有相应的机制来保证这些数据的安全。所以，建议在MDCN网络中，通过MPLS VPN的实现来保证不同种类的信息间的隔离。同时，通过MPLS机制来保证不同数据，不同的带宽、时延等方面的需求。 对于MPLS VPN的具体实施，建议首期工程只做到中心节点到地市级节点间。 对于三级节点到二级节点间，建议通过三级节点的交换机实现VLAN，通过VLAN Trunk 到达三级节点的路由器10/100M网口，不同VLAN子端口，对应三级节点串行链路的子端口，（为了防止用户非法的访问不同VLAN的子端口，通过ACL进行相应的隔离控制。）三级路由器串行链路的子端口对应二级节点7500（或7206、3640路由器）的子端口，在7500上实现PE功能———将不同的子端口的数据封装到不同的MPLS VPN上（为了防止用户非法的访问不同的子端口，通过ACL进行相应的隔离控制）。这样就能够实现整个MDCN上不同数据运行到不同MPLS VPN的要求。 对于大型的基于MPLS的VPN专网，如MDCN中的OA办公网络，建议按照地市区域划分为区域性子网（二级网络），地市区域子网。地市区域子网通过MPLS骨干网设置的VPN组成全省的应用系统专网。其中，路由协议以OSPF为主，静态路由为辅。骨干网和地市二级节点采用OSPF协议，地市节点向下的县级节点（三级网络）建议采用静态路由。 MPLS骨干网作为OSPF的Area 0，各地市区域子网作为OSPF的Area n。省公司节点是特例：省公司的7608向上包括7513为OSPF的Area 0；7608向下为OSPF的Area 1。 VPN对应VLAN 在各个地市的区域节点，为节省PE路由器的接入端口，同时又保障可以实现多个VPN专网接入MPLS，我们建议通过H3C Catalyst 7608交换机作为VPN专网接入的物理设备。 7608通过Trunk与PE路由器连接。在7608上为接入的不同VPN专网划分不同的VLAN，通过VLAN接入不同的VPN专网。在MPLS的PE路由器上，不同的VPN通道穿过Trunk与7608上的VLAN连通。 在MDCN中MPLS/VPN对应VLAN的实现机制如下图所示： 通过Trunk（802.1Q）将不同VLAN映射到不同的MPLS VPN中来实现不同的VPN专网接入。 VLAN规划 为加强网络管理的系统性，便于对用户的管理与维护，增加用户的安全性，需进行VLAN的划分。 对于VLAN的划分，我们建议，VLAN编号以Site基准，即VLAN号在一个Site内是唯一的，并且，统一的VLAN编号法有助于消除歧意和有助于排错。 一般地，我们根据以往的工程经验，建议采用下面的VLAN编号规则： VLAN 1—VLAN99 用于OA HLR； VLAN 100—VLAN 199 用于 OA SMP VLAN 300 —VLAN899 保留 VLAN900—VLAN 1024 用于MPLS VPN接入 3.2.7.2. 专线接入 传统的专线接入采用FR/DDN等方式，通过FR/DDN省网，接入至相应本地节点的PE路由器上相应的端口。 CE路由器与PE路由器可选择的路由协议包括EBGP、OSPF、RIPv2和静态路由等。 市PE/H3C7500 E1 3.2.7.3. 县级网络接入 在福建XXX的MPLS VPN网络中，县级用户并不是同PE路由器直接相连，而是通过交换机再通过一台路由器接入PE路由器。我们面临的问题是各业务系统在县级路由器（配置较低）上需要隔离 （如右图所示） • H3C特有的Multi-VRF-CE功能，可以让CE路由器同时接多个业务系统，各个业务之间完全隔离。这是最简单经济的解决方法。 Multi-VRF 的特点是在实现业务隔离的同时无需实施MP-