xxx网络科技有限公司城域网组网方案xxx网络科技有限公司2009年2月xxx网络科技有限公司一、设计原则随着中国互联网业务的快速发展,可以预测的用户需求在几年内将成几何级数增长,同时,随着中国加入WTO,来自各个方面的竞争压力不断增加。
但是,目前国内边远地区的互联网基础设施还不够发达,不足以迅速占领市场的制高点,在未来的竞争中立于不败之地。
因此,我公司决定建设一个先进的、灵活的、可靠的、基于标准的城市骨干通信平台,使得各地能够基于这个平台,针对市场上IP用户的大量宽带多媒体应用的需求,迅速推出一系列崭新的宽带多媒体业务,从而吸引更多的用户,增加市场竞争力,实现网络的商用价值,并为今后满足市场新的业务需求而迅速推出新的业务打好基础。
城域网一期工程的建设目标是将IP城域网建成为数据业务的统一骨干平台,在此平台上为政府、企业、学校提供高速接入,同时提供VPN等增值业务。
基于以上的建立目标,城域网的设计原则为:(1)可靠性原则;(2)可扩充性原则;(3)简单和易于管理的原则;(4)可以集中管理的原则;(5)效率高;(6)和现有网络有较好的集成;(7)安全性;网络可靠性通过下述的设计思路来达到:-在网络核心层进行Partial meshed冗余物理连接;-接入层设备通过Dual homing双连接到核心层;-网络采用多出口设计到Internet;-在接入层采用Route summarization减少边缘链路波动对核心的影响;-合理采用静态路由,提高可靠性;网络可扩充性通过下述的设计思路来达到:-网络采用明显的“核心—分布”层次结构;-简单而有效的IP地址分配策略;-采用可靠和可扩展的IGP路由协议;简单和易于维护性通过下述设计思路来达到:-所有的网络设备被分配专门的用途;xxx网络科技有限公司-避免复杂的配置;-网络设备命名直观而易记;-统一的slot、port、VLAN的分配策略;-每台设备都配有loopback地址,易于维护;集中管理通过下述设计思路来达到:-为中央网络管理系统配有专门的管理网段;-从中央网管网段可以到达所有设备;-VPN PE-CE连接从NMS网段同样可以到达;-为所有互连网段包括VPN PE-CE连接都采用合法IP地址;运行的高效性通过下述设计思路来达到:-核心层互连链路采用相同接口类型和相同速率,便于作负载平衡;-城域网内部采用缺省路由配合IGP metric作出口选择;-和Internet的多连接上采用BGP MED特性进行负载分担;和现有网络的集成通过下述设计思路来达到:-采用开放的、标准的路由协议将城域网分为多个路由区域,现有网络可以通过单独的域连接上来;-和Internet的BGP连接通过保留的AS号;安全性通过下述设计思路来达到:-对所有重要事件进行log;-限制对设备的SNMP和TELNET;-采用NTP协议对全网的设备进行同步;-对不安全的端口上将路由协议进行Passive,防止不必要的路由泄露;-对网络设备的User和Privilege状态进行存取控制;xxx网络科技有限公司网络总体结构如图所示:xxx网络科技有限公司二、设备用途说明和命名规则2.1 Site代码Site代码是地点名的拼音缩写而成。
2.2 设备命名规则M – CD – 12012 - AUnique Ide.g. A – 1st 12012; B-2nd 12012Equipment TypeSite CodeMAN解释:(1)设备类型为“6509” 代表Catalyst 6509 switch的LAN switch 部分;(2)设备类型为“6509R#” 代表Catalyst 6509 switch的routing 部分:6509R1 代表安装在6509的primary supervisory card 上的MSFC featurecard;6509R2代表安装在6509的Redundant supervisory card上的MSFCfeature card。
xxx网络科技有限公司2.3 设备用途描述设备用途说明:(1)MPLS Core Router•设备用作MPLS核心Label交换路由器;•不直接连接任何用户;•所有核心层路由器之间、核心路由器和PE路由器之间的连接必须MPLS Enabled;•核心路由器只能运行独一的IGP路由协议;(2)MPLS PE Router•设备用作MPLS provider edge router(PE);•所有VPN用户端的连接终结在PE上;•同时,PE路由器作为Internet分布层接入路由器;•PE在IGP上作为ABR,进行路由聚合;(3)Commercial Internet Access Concentrator•设备用于商业用户的高速Internet接入;xxx网络科技有限公司•每一个FE交换端口属于一个单独的VLAN;•每个FE交换端口和用户设备通过FE-to-Fiber单模光纤转换器连接;☆注:该转换连接不属本次工程范畴(4)Inter-VLAN Routing•设备用作Inter-VLAN路由,这些VLAN是通过Switch建立起来的;•同时,该设备还用于Internet接入路由器;•设备在IGP中作为ABR,进行路由聚合;(5)Community Internet Access Concentrator•设备用于小区用户高速Internet接入;•Supervisory Engine上的GE端口通过多模光纤连接到本地的MPLS core路由器上;•VLANA1作用于Inter-VLAN路由器(MFSC)作为管理网段;•VLAN通过FE-to-Fiber单模光纤转换器和小区的用户设备相连;☆注:该转换连接不属本次工程范畴(6)Server Hosting•设备(LAN交换机)用于连接各种主机托管服务器;•Supervisory Engine上的GE端口通过单模光纤连接到远程的MPLS core路由器上;•VLNA1作于Inter-VLAN路由器(MFSC)作为管理网段;(7)VLAN Management CE Router•设备作为一个CE路由器,连接中央网管网段,通过VPN连接到所有的用户VPN上,以便于中央网管对所有PE-CE链路和CE路由器进行管理;•一个FE端口连接到本地PE上网管专用FE端口,另一个FE端口连接到Local Server Hosting以太网交换机上,通过网管专用网段和网管主机相连接;(8)Government Internet Access Concentrator•设备用作政府机构上网的接入集中器,提供高速Internet连接;•6509上的supervisory engine的GE口通过单模光纤连接到最近的MPLS Core Router;•VLANA1作用于Inter-VLAN路由器(MFSC)作为管理网段;•VLAN通过FE-to-Fiber单模光纤转换器和小区的用户设备相连;☆注:该转换连接不属本次工程范畴三、网络架构城域网在网络结构上分成核心层和接入层,在功能上提供VPN互连、高速商业Internet 接入、高速小区Internet接入、政府上网接入、主机托管连接等多种服务类别。
因此,为了在一种清晰的结构上进行网络设计,对网络进行功能模块的划分,将城域网分为以下几个模块:➢核心骨干模块➢I nternet连接点模块➢I P VPN服务模块➢商业Internet接入模块➢小区Internet接入模块➢政府上网接入模块➢主机托管模块3.1 核心骨干模块(backbone)1、结构城域网的核心骨干模块由分布在3个不同地点的3台Cisco GSR12012路由器构成,分别是:⏹M-SN-12012-A 枢纽的GSR12012⏹M-CD-12012-A 成都的GSR12012⏹M-WH-12012-A 武汉的GSR12012这3台GSR12012通过POS接口卡单模光纤以partial meshed结构互连;为了确保核心骨干模块的MPLS标签分配和路由表的稳定,这3台GSR12012及它们之间互相连接的Link 必须独立地分配在IGP的area 0域中。
从其它模块学到的路由在进入Core之前必须先进行Aggregate或Summarize,以免造成对Core的路由影响。
2、实现作为IP城域网的核心,要承载包括IPv4和MPLS VPN两种不同的traffic,所以,每台Core Router必须是能够支持Tag Switching。
在这种配置下,MPLS VPN的traffic被Tag Switched,而普通IPv4的traffic被routed。
为了减少Tag Switch的目标lable,可以采取access list的方法来限制标签的分配。
Tag Switching在限于目标地址是MultiProtocol BGP neighbor的Core Router的loopback地址,大大减轻了Core Router在Lable分配上的开销。
其它traffic进行普通路由。
3.2 Internet连接点模块1、结构在城域网工程中,成都和武汉的两台Core Router:M-CD-12012-A和M-WH-12012-A作为和INTERNET连接的边界路由器。
2、实现城域网之间运行BGP路由协议,城域网的边界路由器不学习任何Internet路由,所有IP城域网不知道的路由都通过缺省路由送至网络。
3.3 商业Internet接入模块1、结构城域网的这一部分主要包括用于向用户提供商业Internet 接入服务的设备和链路。
用户在自己驻地有自已的路由器用于进行Internet 接入。
商业Internet 接入模块部分包括以下设备:Access Router (Cisco 7500 series routers):• M-SN-7507-A • M-CD-7513-A • M-WH-7507-ACommercial Internet Access Concentrator (Cisco Catalyst 2924M-XL LAN switches):• M-SN-2924-B • M-CD-2924-B • M-WH-2924-B注:7500路由器作为一个接入平台同时起IP-VPN 功能和商业Internet 接入功能。
商业Internet access concentrator 通过FE 接口接到7500路由器上,作为上联链路。
每个单独的2924交换机的100M 以太网端口定义为独立的VLAN ,在7500路由器上的FE 端口上,为每个access VLAN 定义一个sub-interface 。