上海電信寬帶IP網(wǎng)絡系統(tǒng)方案建議書

《上海電信寬帶IP網(wǎng)絡系統(tǒng)方案建議書》由會員分享，可在線閱讀，更多相關《上海電信寬帶IP網(wǎng)絡系統(tǒng)方案建議書（93頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、上海電信寬帶IP 網(wǎng)絡項目 方案建議書 上海電信寬帶IP網(wǎng)絡系統(tǒng) 方案建議書 二○○二年九月 第一節(jié) 需求分析 3 第二級 用戶需求分析 4 第三節(jié) 網(wǎng)絡設計原則 6 第四節(jié) 技術解決方案建議 9 第五節(jié) 基于隧道的IP- VPN 解決方案 15 第六節(jié) 基于MPLS的VPN方案 18 第七節(jié) 基于MPLS的透明以太網(wǎng)支持 28 第八節(jié) 全網(wǎng)路由規(guī)劃 37 第九節(jié) 接入網(wǎng)地址規(guī)劃 40 第十節(jié) 與其它網(wǎng)絡的互連性考慮 43 第十一節(jié) 網(wǎng)絡的計費及管理 45 第十二節(jié) 各接入用戶的接入速率

2、限制及計費策略 51 第十三節(jié) QoS業(yè)務控制 53 第十四節(jié) VLAN支持 57 第十五節(jié) 接入方案分析 58 第十六節(jié) 網(wǎng)絡管理介紹 69 第十七節(jié) Riverstone 產品的原理及特性介紹 81 第十八 本方案實現(xiàn)的網(wǎng)絡功能及方案的優(yōu)勢 86 第十九節(jié) 成 功 案 例介紹 91 第一節(jié) 需求分析 建設寬帶IP網(wǎng)絡的需求主要包括： 建立以IP協(xié)議為主的高可靠骨干網(wǎng)，同時考慮為各種應用提供足夠的服務質量保證。 大幅度提高網(wǎng)絡帶寬，包括核心網(wǎng)及傳輸網(wǎng)及接入網(wǎng)的帶寬，顯著改善響應時間。網(wǎng)絡能快速有效地傳送IP數(shù)據(jù)包。 容錯的網(wǎng)絡結構，集中的網(wǎng)

3、絡管理，特別是對虛擬網(wǎng)及VPN的管理必須保證靈活和安全。網(wǎng)絡應支持動態(tài)地組建跨部門的項目小組。 網(wǎng)絡必須支持各種接入方式。在各層次均能提供安全及靈活的接入方式。 網(wǎng)絡系統(tǒng)能夠提供必要的QoS服務，保證語音、視頻等關鍵業(yè)務能夠在主干上順利傳送。 為家庭用戶實現(xiàn)10/100M高速接入服務；為政府、企業(yè)用戶等提供VLAN及VPN等虛擬專網(wǎng)服務。 必須提供流量工程能力。 網(wǎng)絡要求能夠方便,快速地開展增殖應用。 網(wǎng)絡必須能適應將來的技術發(fā)展  第二級 用戶需求分析 上海電信已經(jīng)建設了寬帶ATM網(wǎng)絡，但為了降低運行成本，需要將現(xiàn)在ATM網(wǎng)絡上承載的IP業(yè)務轉移到IP

4、寬帶網(wǎng)上，以業(yè)務的類型來區(qū)分網(wǎng)絡的使用，真正做到網(wǎng)盡其用。ATM的優(yōu)勢在于能夠提供統(tǒng)一的網(wǎng)絡傳輸平臺；IP的優(yōu)勢在于能夠提供統(tǒng)一的應用平臺。兩個平臺是互相補充、互相促進的。 組建的IP城域網(wǎng)由骨干層、接入網(wǎng)和業(yè)務應用平臺組成。骨干層的功能定位是：提供上海電信IP業(yè)務數(shù)據(jù)的高速傳輸、交換，進行流量管理。接入網(wǎng)的作用應能使用戶通過各種方式（LAN、DDN、FR、PSTN、ISDN、ADSL、LMDS等）接入IP城域網(wǎng)，而業(yè)務應用平臺則除了原有傳統(tǒng)的網(wǎng)管、計費等功能之外，更是多媒體業(yè)務、VPN業(yè)務網(wǎng)關和各種托管業(yè)務（服務器托管、應用托管、存儲托管等） IP骨干網(wǎng)建設將是： 成為電信級IP網(wǎng)絡，

5、充分體現(xiàn)網(wǎng)絡的可靠性、可用性、可擴展能力、可管理性、多業(yè)務支持能力、無縫升級能力等； 以上海電信的競爭業(yè)務和未來業(yè)務為建設核心，滿足未來2-3年業(yè)務應用的需求； 在建設中必須充分考慮對用戶流量、帶寬的可動態(tài)管理能力； 充分利用現(xiàn)有資源，一次規(guī)劃、分期建設，根據(jù)市場需求對網(wǎng)絡作動態(tài)調整； 考慮支持未來3G業(yè)務的傳輸需求； 遠程教育/遠程醫(yī)療/視頻會議； VOD/交互式游戲； 電子商務； 網(wǎng)絡資源出租（端口、帶寬、波長等）； VPN/VPDN業(yè)務 寬帶IP城域網(wǎng)是面向未來的全業(yè)務網(wǎng)絡； 承載上海電信競爭性數(shù)據(jù)業(yè)務，有別于ATM網(wǎng)絡提供的傳統(tǒng)電路租用業(yè)務，體現(xiàn)上海電信大數(shù)據(jù)概念

6、； 快速、經(jīng)濟地向用戶提供基于IP的服務；降低企業(yè)運行成本，提高企業(yè)競爭能力。 IP網(wǎng)的核心節(jié)點放置在上海電信新建8大傳輸節(jié)點上，同時對上海熱線現(xiàn)有的5個骨干節(jié)點，可以通過DWDM網(wǎng)絡實行連接，以優(yōu)化網(wǎng)絡和節(jié)約光纖資源。 綜合考慮各方面因素，本方案建議寬帶IP骨干采用8+ 40結構，即：8個核心節(jié)點+ 40個邊緣節(jié)點，其中邊緣節(jié)點的數(shù)目可根據(jù)業(yè)務發(fā)展的需要適當增加。邊緣節(jié)點選擇：按照每片10個左右的節(jié)點數(shù)量。 第三節(jié) 網(wǎng)絡設計原則 上海電信寬帶IP網(wǎng)絡是一個要投入商業(yè)運行，支持眾多用戶接入的網(wǎng)絡，在具體的網(wǎng)絡設計上我們應考慮以下原則： 有效性和可靠性 網(wǎng)絡的有效

7、性和可靠性即它的可連續(xù)運行性是網(wǎng)絡建設必須考慮的首要原則，從用戶的角度考慮，當網(wǎng)絡所需的服務不可用時，不管是何種原因，網(wǎng)絡就失去了實際價值。從另一角度看，當某種網(wǎng)絡服務的響應時間變的變幻莫測時，網(wǎng)絡系統(tǒng)也不可靠了。為此我們在網(wǎng)絡設計上考慮以下的技術： 選擇的網(wǎng)絡設備必需具有良好的可靠性保證，可熱插拔的模塊，快速的恢復機制等。 冗余及負載均衡的電源系統(tǒng)。據(jù)研究，電源故障在實際系統(tǒng)中導致的系統(tǒng)故障比率高達60%之多。 其它關鍵設備的冗余，如控制模塊的冗余。 冗余及負載均衡的網(wǎng)絡鏈路。確保不因為單條線路的故障而導致整個網(wǎng)絡系統(tǒng)的失效，而且，確保在某條線路故障時對系統(tǒng)性能的影響也能最小

8、。 靈活性和可擴展性 隨著計算機應用的日益普及和進步，對網(wǎng)絡系統(tǒng)的可伸縮性要求成為網(wǎng)絡設計的一個重要考慮。一個設計良好的網(wǎng)絡系統(tǒng)應能方便地對其規(guī)?；蚣夹g進行擴充。用戶對網(wǎng)絡資源的需求經(jīng)常隨著應用而發(fā)生變化，系統(tǒng)應具有一定的靈活性，為滿足用戶的不同需求而作靈活的系統(tǒng)配置和資源的再分配。 上海電信IP網(wǎng)絡將會是一個不斷增長的網(wǎng)絡，包括它的規(guī)模，它的應用范圍和服務內容將隨著計算機應用的不斷普及而不斷增加，因此在網(wǎng)絡設計上必須非常重視網(wǎng)絡的擴展能力。 網(wǎng)絡的擴展包括： 網(wǎng)絡規(guī)模的擴展，包括網(wǎng)絡的地理分布，用戶數(shù)； 應用內容的擴展，IP主干網(wǎng)絡將不僅僅擔負數(shù)據(jù)傳輸?shù)娜蝿?，包括VO

9、D等其它視頻和語音服務也會不斷加入到IP網(wǎng)絡中去。這就要求主干網(wǎng)絡設備必須具有多種業(yè)務支持的能力。 網(wǎng)絡容量的擴展，隨著規(guī)模和應用的擴展網(wǎng)絡的傳輸容量也必須能相應的增加。 在網(wǎng)絡設備選擇上，模塊化的系統(tǒng)在可伸縮性上亦有著固定式系統(tǒng)無法比擬的優(yōu)越性。整個系統(tǒng)的性能將能隨著模塊數(shù)量的增加而得到相應的增加，因此也就更能適應不同規(guī)模網(wǎng)絡對設備的要求。模塊化的網(wǎng)絡設備在多種技術的適應能力上也具有相當大的靈活性。 網(wǎng)絡系統(tǒng)具有統(tǒng)一的系統(tǒng)平臺，具有平滑升級的能力，使系統(tǒng)能滿足各種用戶對應用處理不同程度的需求，以及逐步升級的發(fā)展規(guī)劃，以節(jié)約投資避免系統(tǒng)性能的閑置和浪費。 開放性和先進性

10、 在大型網(wǎng)中，用戶的環(huán)境千差萬別，應用平臺和硬件平臺各不相同，因此，遵循開放式標準是實現(xiàn)網(wǎng)絡互連的最根本的保證。 系統(tǒng)具有開放性，意味著遵循一個大多數(shù)計算機系統(tǒng)所共同遵循的標準，公共主干網(wǎng)絡的特點注定系統(tǒng)應具備有與其它系統(tǒng)和網(wǎng)絡互操作和互聯(lián)的能力。以實現(xiàn)內部各系統(tǒng)之間，以及有關其它領域的交流如：ATM寬帶主干的互連，SDH/SONET主干的互連,與省主干網(wǎng)絡的互連等。與第三方設備的互聯(lián)，開放性還意味著更多的選擇和最佳的性能價格比，有利于在眾多滿足同一開放性標準的硬件、軟件系統(tǒng)中選擇最符合要求的產品。 可管理性和可維護性 在一個網(wǎng)絡系統(tǒng)中，網(wǎng)絡管理已經(jīng)越來越受到人們的重視。因為它關

11、系到網(wǎng)絡系統(tǒng)的使用效率、維護、監(jiān)控甚至系統(tǒng)資源的再分配。 網(wǎng)絡管理對系統(tǒng)的重要性越來越大，這是由于系統(tǒng)對網(wǎng)絡環(huán)境的依賴性不斷增加而引起的，一方面由于網(wǎng)絡中繼而使業(yè)務被迫中止造成的損失會越來越大；另一方面由于越來越多的用戶連入網(wǎng)絡，對網(wǎng)絡管理的要求提高了，以確保網(wǎng)絡達到最高的效率。 安全性 上海電信IP網(wǎng)絡是一個公眾服務網(wǎng)絡，它涉及各種不同的用戶，不同的應用，用包括黨、政機關，企、事業(yè)單位，和擴大的個人用戶，網(wǎng)絡的安全性尤其重要，確保系統(tǒng)的動作正常、用戶信息的保密。安全機制包括: 完善的網(wǎng)絡管理，基于政策式的控制。 為大用戶建立虛擬專網(wǎng)業(yè)務 網(wǎng)絡設備支持多級別管理權限，

12、支持RADIUS、TACACS+等認證機制，配置改變的管理記錄。 支持VPN標準協(xié)議：L2TP、IPSec等功能。 第四節(jié) 技術解決方案建議 網(wǎng)絡主干技術選擇 很明顯，網(wǎng)絡的設計要求建造一個高速的交換主干，建立一個高速的數(shù)據(jù)網(wǎng)絡，選擇何種交換技術作為骨干交換技術是成功建立骨干信息網(wǎng)的關鍵。 Riverston 能提供IP over 千兆網(wǎng)，IP over SDH, IP over DWDM, IP over ATM等各種骨干網(wǎng)技術。今后Riverstone 還將提供基于802.17的RPR主干技術。 IP over ATM 優(yōu)點是能提供好的Qos 技術，基于PVC的配置能

13、充分實施流量工程技術。但同時有很多局限性如。1.ATM PVC的全閉合導致N2問題。2.ATM信元稅問題，一條OC-48鏈路將浪費OC-12的帶寬。3.基于PVC的備份模式在故障狀態(tài)下不是十分可靠。尤其當網(wǎng)絡變得更大的時候。4.需要維護兩套網(wǎng)絡，即ATM基礎結構邏輯IP覆蓋。有兩個配置用于設計，運行及檢測。使得基于ATM核心的網(wǎng)絡運行成本變的很高。同時擴展性受到嚴重影響。 IP over 千兆以太網(wǎng)技術，IP over SDH技術的優(yōu)勢: 隨著第三層,第四層技術的誕生，高速帶寬的可用，長距離傳輸?shù)目捎?千兆網(wǎng)可達70km以上)，SDH距離可隨環(huán)的延伸而延伸。以太網(wǎng)的固有的簡單特性，使得該技術

14、迅速在骨干傳輸網(wǎng)上成為一種主導技術。同時基于IP的Qos/Cos技術使得其能滿足運行商的需要。隨著MPLS技術的出現(xiàn)并成為今后的方向，IP over 千兆網(wǎng)/SDH配合MPLS技術使的他能提供同ATM一樣的Qos/Cos保證。及運營商必須的流量工程技術。并能同原有的ATM網(wǎng)很好的融合。 最新的IP over DWDM 技術保留了POS 的高可靠性，同時很大程度地節(jié)省了電信的光纖需求量?；陔娦诺囊蠹霸O備的情況。我們滿足在主干網(wǎng)絡上實現(xiàn)IP over DWDM 方式實現(xiàn)主干8大節(jié)點的互連。對于邊緣節(jié)點，因為千兆網(wǎng)擁有很高的性價比，同時40個結點均按雙鏈路按片接入主干，也保證了冗余。此

15、外Riverstone 的RS系列路由器不但在RS38000/RS8600 的DWDM模塊上支持基于硬件的MPLS功能，同樣支持基于MPLS的千兆以太網(wǎng)模塊。這兩種MPLS支持的模塊均使用了Riverstone 自行設計的MPLS芯片均具有標簽交換及標簽映射能力。 分層網(wǎng)絡結構 分層的網(wǎng)絡結構是大型網(wǎng)絡設計的基本原則。分層的網(wǎng)絡結構可以獲得良好的網(wǎng)絡擴展性，便于對網(wǎng)絡的變化進行預計和規(guī)劃。 上海電信IP城域網(wǎng)絡服務于整個上海地區(qū)，具有地域廣、應用復雜、接入方式多樣的特點。網(wǎng)絡的建設需要著眼于將來，必須能進行方便的擴展，接納各種不同的用戶和應用，因此在上海電信IP城域網(wǎng)的設計上我們采用分層

16、結構。 其基本結構如下所示： 骨干層 接入層 應用層 匯聚層 其中骨干層和匯聚層組成了IP城域網(wǎng)服務平臺，網(wǎng)絡建設首先必須建立網(wǎng)絡平臺，同時應該發(fā)展應用系統(tǒng)。 骨干傳輸層的主要目標是提供高速、可靠的傳輸平臺,負責連接匯聚層節(jié)點的接入，該層的節(jié)點設備應具備線速無阻塞的路由轉發(fā)性能，負責為全網(wǎng)的數(shù)據(jù)轉發(fā)提供高速的通道。并能提供流量工程能力，匯聚層主要要求則是多種接入技術支持如高密度Ethernet,xDSL,Cable，E1/E3等，匯聚各種流量進入骨干傳輸層。負責連接小區(qū)的接入設備，該層的節(jié)點設備除了實現(xiàn)線速的路由轉發(fā)外，還要負責網(wǎng)絡中大部分的控

17、制和服務處理，如ACL、QOS、速率限制和基于策略的路由等等。小區(qū)接入層的節(jié)點即每個小區(qū)的城域網(wǎng)接入點，直接上連二級匯接點，每個小區(qū)的接入點設備要支持2000左右用戶對城域網(wǎng)的路由訪問，同樣要具備線速的路由能力。 網(wǎng)絡設備選型 上海電信作為一個運營網(wǎng)絡，對所使用的網(wǎng)絡設備有很高的要求，它需要網(wǎng)絡設備在性能、功能、可靠性、可擴展性、互連靈活性等各方面均具備很高的水平，Riverstone的RS系列交換式路由器是針對服務供應商市場提供的交換產品，尤其對城域網(wǎng)服務供應商以及Internet Data Center更是最佳的產品解決方案，產品范圍針對城域網(wǎng)主干以及接入的所有需求，在支持L2/3/4

18、高性能線速交換和全面的路由及控制功能的基礎上，提供包括千兆以太網(wǎng)、快速以太網(wǎng)、ATM、POS、T1/E1/T3/E3、Channelized T1/E1/T3/E3以及今后的萬兆以太網(wǎng)、WDM、DWDM在內的各種城域網(wǎng)主干和接入的鏈路技術，能夠靈活適應用戶的連接需求和今后的升級與擴展需要，同時產品的高可靠性和所提供技術的標準化與開放性，都已在業(yè)界得到了廣泛的認同。 根據(jù)本項目的實際需求，我們在網(wǎng)絡不同層次選擇了相應的產品以滿足各層次上的特定需要。 骨干層 需要在整個骨干網(wǎng)中提供最高的交換性能，尤其是基于L3/4控制與服務功能下的第三層線速路由能力，從而為整個網(wǎng)絡提供一個高性能的路

19、由/交換平臺；支持全面的標準的路由協(xié)議，豐富的接口類型以適應今后可能的互連需要；設備本身的高可靠性以及設備系統(tǒng)軟件的成熟性，保證城域網(wǎng)骨干的穩(wěn)定運行；設備本身的硬件接口容量的可擴展性以及對大路由容量的支持，滿足目前整個網(wǎng)絡規(guī)模和用戶規(guī)模以及今后一定時期內這兩方面的擴展需要。 針對上述需要，我們在骨干層采用Riverstone最高端的RS38000。RS38000是16槽的模塊化L2/3/4交換設備， 340G背板帶寬，90 Million pps吞吐量（L2/3/4），可提供15個I/O插槽，最多提供120個千兆以太網(wǎng)接口或480個快速以太網(wǎng)接口，25萬條第三層路由容量，160萬MAC地

20、址容量，800萬條L3/4數(shù)據(jù)流容量，4096個VLAN，充分滿足骨干層目前的路由性能、處理容量與接口密度的需要，以及今后的擴展需求。RS38000支持冗余的電源（AC/DC）、控制模塊（CPU）和交換結構，所有接口模塊和控制模塊都可熱拔插，設備本身具有最高的可靠性設計，系統(tǒng)軟件經(jīng)過多年的研發(fā)和升級已經(jīng)非常完善和穩(wěn)定，從而保證了網(wǎng)絡骨干能可靠、穩(wěn)定地運行。支持包括千兆以太網(wǎng)、快速以太網(wǎng)、ATM、POS、T1/E1/T3/E3、Channelized T1/E1/T3/E3以及今后的萬兆以太網(wǎng)、WDM、DWDM在內的各種城域網(wǎng)主干和接入的鏈路技術，能夠靈活適應主干互連和接入的需要。RS系列產品采

21、用統(tǒng)一的系統(tǒng)軟件，都支持同樣的全面的控制和服務功能，如二、三層標準協(xié)議（802.1d/Q/p,RIP1/2,OSPF,BGP4,IGMP/DVMRP/PIM等），基于L3/4的ACL、QOS、策略路由，基于硬件的線速NAT、LSNAT等（請詳見產品介紹資料），并在啟動這些功能時不會影響性能，因此RS38000在功能上完全滿足骨干設備的運行和互連需要。 匯聚層 需要全面的控制/服務功能，網(wǎng)絡上的大部分控制和服務策略需要在匯聚層實施，如ACL、QOS、Traffic shaping和策略路由等，這樣通過匯聚層的數(shù)據(jù)流將是已經(jīng)過各種策略處理過的數(shù)據(jù)流，再進入骨干層后主要進行高速路由，這樣

22、能夠更好地提高數(shù)據(jù)轉發(fā)效率，同時，在實施各種策略處理時，設備的轉發(fā)性能不受影響；高速的L2/3轉發(fā)性能（線速），為所匯聚區(qū)域的用戶提供高速的數(shù)據(jù)傳輸；提供豐富的接口類型，適應不同鏈路類型的上連需要以及接入需要；標準、開放的路由協(xié)議（如OSPF），完成與骨干層的路由通信；設備本身的高可靠性以及設備系統(tǒng)軟件的成熟性，保證網(wǎng)絡的穩(wěn)定運行；設備需有各種接入端口，能匯聚各種接入，包括xDSL, WAN/LAN,CMTS等。設備本身的硬件接口容量的可擴展性以及對大路由容量的支持，滿足目前所匯聚區(qū)域的網(wǎng)絡規(guī)模和用戶規(guī)模以及今后一定時期內這兩方面的擴展需要。 針對上述需要，我們在匯聚層采用Riverst

23、one的RS8600，上連骨干層的節(jié)點均采用RS8600。RS8600/8000分別為16/8槽的模塊化L2/3/4交換設備，背板帶寬分別為32G/16G，數(shù)據(jù)包吞吐量分別為34 Million pps/15 Million pps（L2/3/4），可提供15/7個I/O插槽，最多提供30/14個千兆以太網(wǎng)接口或240/112個快速以太網(wǎng)接口，25萬條第三層路由容量，80/40萬MAC地址容量，400/200萬條L3/4數(shù)據(jù)流容量，4096個VLAN，充分滿足匯聚層目前的路由性能、處理容量與接口密度的需要，以及今后的擴展需求。RS8600/8000支持冗余的電源（AC/DC）、控制模塊（CPU

24、），RS8600還支持冗余的交換結構，所有接口模塊和控制模塊都可熱拔插，設備本身具有最高的可靠性設計，系統(tǒng)軟件經(jīng)過多年的研發(fā)和升級已經(jīng)非常完善和穩(wěn)定，從而保證了網(wǎng)絡能可靠、穩(wěn)定地運行。支持包括千兆以太網(wǎng)、快速以太網(wǎng)、ATM、POS、T1/E1/T3/E3、Channelized T1/E1/T3/E3以及今后的萬兆以太網(wǎng)、WDM、DWDM在內的各種城域網(wǎng)主干和接入的鏈路技術，能夠靈活適應主干上連和向下接入的需要。更重要的是，前面已講到的，RS系列產品的系統(tǒng)軟件提供最全面的控制和服務功能，保證用戶在匯聚層充分實施各種所需的策略處理，并且不影響網(wǎng)絡性能。 網(wǎng)結構示意圖如下：

25、 第五節(jié) 基于隧道的IP- VPN 解決方案 隨著分組交換上ATM、IP等技術的發(fā)展，基于包交換和傳送的虛擬網(wǎng)絡技術開始大規(guī)模投入使用。虛擬專用網(wǎng)就是利用公用網(wǎng)絡基礎設施為企業(yè)各部門提供安全的網(wǎng)絡互聯(lián)服務，虛擬專用網(wǎng)可以利用IP網(wǎng)絡、幀中繼網(wǎng)絡和ATM網(wǎng)絡來建設，它能夠使運行在虛擬專用網(wǎng)之上的網(wǎng)絡應用享有和專用網(wǎng)絡同樣的安全性、可靠性、優(yōu)先級別和可管理性。由于虛擬專用網(wǎng)可以為用戶提供方便、廉價的遠程訪問，特別是對于使用幀中繼、DDN專線或撥號方式接人的用戶來說，基于虛擬專用網(wǎng)的花費很小。因此，虛擬專用網(wǎng)(VPN)業(yè)務的

26、應用將越來越廣泛。 VPN技術使企業(yè)專用網(wǎng)可以安全地擴展到Internet或其他的網(wǎng)絡服務上去，促進了安全電子商務的發(fā)展，便于實現(xiàn)企業(yè)與商業(yè)伙伴、供應商和客戶的外部網(wǎng)連接。的VPN解決方案使用經(jīng)濟有效的、更加靈活的服務供應商連接，實現(xiàn)了可靠性、高性能和傳統(tǒng)WAN環(huán)境所具有的安全特性。 公司在新的VPN技術上繼續(xù)保持領先，支持多種技術的VPN解決方案。 一．基于加密的VPN技術 VPN的實現(xiàn)主要包括兩個方面的內容：封裝和加密。封裝隧道技術基本上有兩種實現(xiàn)方式：L2Tunneling以及L3Tunneling。L2Tunneling是將用戶數(shù)據(jù)包第2層(包括第2層)以上的整個信息包括

27、如PPP幀頭，IP包頭，TCP包頭，以及用戶數(shù)據(jù)完全打包到VPN傳輸網(wǎng)的IP數(shù)據(jù)中，在IP主干網(wǎng)中傳輸?shù)乃淼兰夹g。主要的L2Tunneling協(xié)議包括L2TP，L2F，PPTP等。L3Tunneling則只是將用戶數(shù)據(jù)第3層以上的信息打包到主干網(wǎng)IP包中，主要的L3Tunneling協(xié)議包括Ipsec, MobileIP等技術。 通過隧道技術的實施，VPN用戶可以得到下面的好處： 用戶可以使用私有的IP地址空間而不需要在連網(wǎng)時改變自己的地址規(guī)劃，同時因為私有地址對公共網(wǎng)上的其他用戶而言是不可見的，這也增加了用戶網(wǎng)絡的安全性。 在隧道中用戶可以運行多種網(wǎng)絡協(xié)議如IPX，Apple

28、Talk等，用戶基于這些網(wǎng)絡協(xié)議的應用可以繼續(xù)使用而不需要淘汰。 寬帶IP 服務網(wǎng)絡和用戶網(wǎng)絡可以各種運行自己的路由協(xié)議而互不干擾。 目前，基于加密的VPN性能越來越高，也出現(xiàn)了采用ASIC芯片來完成加密解密過程的VPN設備，從來是性能得到很大的提高。 RS router 支持以上這種VPN實現(xiàn)模式。 針對基于加密的VPN方案， Riverstone提供NETSCREEN系列設備，NETSCREEN設備同時提供強大的VPN和防火墻功能，支持1000M、100M、10M的以太網(wǎng)連接，最高端的 NETSCREEN100可支持25000個Ipsec tunnel 針對運行商

29、模式的VPN方案， Riverstone 路由器也能提供基于MPLS的VPN。 除了這兩種VPN方式以外，也可采用專用的運營商VPN設備來完成用戶的VPN要求。如Springtide Network 的5000產品，可支持高達80，000的IP sec 的會話，64，000個L2TP的會話。 優(yōu)點是可擴充性好，管理方便，易于開展增值業(yè)務。 在具體的實施中，通常會按需求可能多種方式并用。如大企業(yè)可采取基于加密的VPN實現(xiàn)，在企業(yè)總部放置支持VPN隧道數(shù)較多的VPN設備，在各分支點采用VPN隧道數(shù)相對較少的VPN設備。如總部放置Netscreen 100 ，各分支點放置Netscre

30、en 10。這種方式擴展性高，安全性高。缺點是需添加設備。 基于MPLS的VPN方案 Riverstone 交換式路由器支持所有的MPLS特性來實現(xiàn)QoS及流量工程能力，更重要是的，Riverstone MPLS提供現(xiàn)有城域網(wǎng)特性和MPLS集成的擴展，使得運營商能夠輕易擴展它們現(xiàn)有的服務。 虛擬專線（VLL）及二層VPN服務 當用戶和網(wǎng)絡不斷增長時，運營商提供802.1Q VLAN 基于的VPN服務面臨嚴重的擴展性問題，首先，VLAN的總數(shù)被限制在4096個，第二，核心路由器所需處理的MAC地址的總數(shù)可能變得很大，除非限制最大可用的MAC地址的數(shù)量。第三，用戶的VLAN 不

31、易管理除非核心VLAN被映射到每個用戶VLAN，并且VLAN標符識在VLAN用戶之間不沖突。因此標準的802.1QVLAN方式已不再是運營商VPN解決方案的好方法。 Riverstone 通過使用MPLS支持采用了虛擬專線及二層VPN功能和第三層IP VPN 來解決運營商的VPN服務。 一 虛擬專線服務 Riverstone MPLS基于的虛擬專線服務解決了這些擴展性問題，使得城域網(wǎng)運營商能通過兩條相反方向的MPLS LSP 提供一個邏輯的管道。這些LSP可以帶上指定的Qos特性，Qos可以是靜態(tài)預配置的或者使用MPLS 信號動態(tài)建立的。一個LSP所走的路由可按流量要求而指定。

32、服務供應商能夠為一個特定用戶的流量指定一個策略，比如，如果為具體某一個用戶分配了一個物理端口P1，運營商能夠定義一個策略指定所有來自物理端口P1的流量流向一個預定義的LSP L1 ，而該LSP L1 位于端口P2。Riverstone MPLS 支持基于每LSP進行速率限制，保證用戶的服務等級水平（SLA）?；诿縇SP的流量統(tǒng)計使得MSP能夠監(jiān)測流量情況以便適時作調整。這個基于MPLP LSP的虛擬專線（VLL）服務模型使得運營商有很大的擴展性，最終用戶的網(wǎng)絡信息如，MAC地址，VLNA-Ids, 都保持對運營商網(wǎng)絡透明，因為只有MPLS標簽被檢查，此外，基于MPLS 標簽堆棧特性，邊緣得L

33、SP能被組合成少量的LSP隧道。 二 MPLS L2 VPN 功能 通過Riverstone 的MPLS，當超過兩個以上的用戶網(wǎng)絡必需要透明互連時，運營商能夠擴展VLL功能以提供透明的以太網(wǎng)服務(TLS) ，Riverstone MPLS 支持虛擬LAN的擴展需要以及地址學習能力。下列的圖指明Riverstone 如何實施層二VPN 功能。 圖1，用戶的VLAN被映射到指定的VLAN LSP，在POP點之間的隧道LSP將VLAN LSP 進行隧道化，核心的LSP必須被限制在一個較小的數(shù)量。這些隧道的LSP通常經(jīng)由RSVP-TE進行信令化，因為核心的LSP通常

34、要求有嚴格的Qos保證。而POP點之間的攜帶用戶VLAN流量的LSP不要求流量工程因為帶寬基本不是問題，所以這些LSP通常由LDP信令建立。當LAN LSP被指定給具體某個用戶后，就不再需要作額外的供應操作。事實上，單個VLAN LSP 能夠攜帶用戶的所有流量而不管用戶端的VLAN拓撲結構。通過VLAN到MPLS LSP 隧道的映射，事實上可以建立基于第二層的BGP VPN。整個VPN用戶可以使用第二層隧道。這樣整個VPN的用戶可以使用同一個子網(wǎng)的地址，也可以使用除了IP之外的其他協(xié)議。 MPLS IP 層三VPNs (MPLS/BGP VPN) 簡述 按照Frost

35、 及Sullivan 的預測，到2004年，IP VPN 服務將從1998的200$百萬上升到13個億，VPN的必需的要求是安全，可擴展性及服務等級水平，以前服務供應商通過面向連接的ATM及Frame Relay或使用加密的IP sec提供VPN主要的問題是現(xiàn)基于隧道的技術不具有擴展性的。或配置復雜，Riverstone MPLS VPN基于RFC 2547-bis 使用BGP擴展實現(xiàn)具有高度擴展能力的VPN。通過使用MPLS VPN，運營商通過分配VPN-ID 給用戶。然后組合VPN-ID 和IP地址來進行轉送，使得用戶的IP地址成為唯一的標識，在MPLS VPN 中，VPN信息由BGP協(xié)議

36、分布到同樣的VPN成員中去，不同的VPN成員之間流量完成分開，流量通過MPLS LSP 來進行轉送， MPLS LSP 能提供ATM 或幀中繼級別的安全和可靠性。轉發(fā)表中包含相對應于VPN-IP地址的標簽信息。Riverstone 提供的MPLS VPN 能夠利用基于MPLS的QOS功能為不同用戶提供不同層次的IP 服務是，這些簡單有效的VPN服務能夠滿足用戶的VPN要求并能提供額外的強大的服務分發(fā)機制。 MPLS VPN 的實現(xiàn)過程 MPLS的應用導致VPN技術產生了質的變化，他保證了VPN的極高的可擴展性，并為服務供應商和最終用戶同時提供了簡單配置和可管理性。MPLS同時可以提供跨

37、越IP路由網(wǎng)絡和ATM交換網(wǎng)絡的VPN，從而保護用戶的現(xiàn)有投資。 MPLS VPN的基本工作方式是采用三層技術，每一個VPN具有獨自的VPN-ID，每一個VPN的用戶只能與自己VPN網(wǎng)絡中的成員進行通信，而也只有VPN的成員才能有權進入該VPN。如下圖所示： 圖：MPLS VPN示意 圖中有兩個VPN：A公司以及B公司，A公司的VPN中的用戶有權進入黃色的VPN，并且與該VPN的用戶進行通信，而B 公司VPN不可見。MPLS VPN的工作過程如下： 在基于MPLS的VPN中，服務提供商為每個VPN分配了一個標識

38、符，稱作路由標識符(RD)，這個標識符在服務提供商的網(wǎng)絡中是獨一無二的。轉發(fā)表中包括一個獨一無二的地址，叫作VPN-IP地址，是由RD和用戶的IP地址連接形成。VPN-IP地址在網(wǎng)絡中是獨一無二的，地址表存儲在轉發(fā)表中。每個VPN保持一個轉發(fā)表。 BGP是一個路由信息分布協(xié)議，它利用多協(xié)議擴展和BGP Community 屬性來定義VPN的連接性。在基于MPLS的VPN中，BGP只對同一個VPN的成員發(fā)布信息，通過流量分隔來提供基本的安全性。因為數(shù)據(jù)是通過使用LSPs來轉發(fā)的，LSP定義一條特定的路徑，不可以被改變，這樣對安全性也有保證。這種基于標簽的模式可與幀中繼和ATM一樣提供保密性。服

39、務提供商，而不是用戶，應用VPN時將一個特定的VPN與接口聯(lián)系起來，數(shù)據(jù)包的轉發(fā)是由用于入口的標簽決定的。既然不可能spoof端口，MPL SVPN就不易受到spoof的攻擊。 VPN轉發(fā)表中包括與VPN-IP地址相對應的標簽。通過這個標簽將數(shù)據(jù)傳送到相應地點。既然標簽代替了IP地址，用戶可以保持他們的專用地址結構，無需進行網(wǎng)絡地址翻譯(NAT)來傳送數(shù)據(jù)。根據(jù)數(shù)據(jù)入口，交換機選擇一特定的轉發(fā)表，該表中只包括在VPN中有效的目的地址。為了創(chuàng)建extrnet，服務提供商在VPN之間要明確配置可達性。 這種解決方案的優(yōu)勢在于服務提供商可以通過相同的網(wǎng)絡結構來支持許多種VPN，并不需要為每一

40、個用戶建立單獨的網(wǎng)絡。而且，這種方案將IP VPN的能力內置于網(wǎng)絡本身，所以，服務提供商可以為所有租用者配置一個網(wǎng)絡來提供專用的IP網(wǎng)服務，如intranet和extranet，而無需復雜的管理，隧道或VC mesh。QoS可為每個VPN提供特有的業(yè)務政策，QoS服務可與基于MPLS的VPN無縫結合，因為兩者都是基于標記的技術。 基于MPLS 的IPVPN網(wǎng)絡可以很容易地與基于IP的用戶網(wǎng)絡結合起來。租用者可與供應商提供的服務無縫結合，不必改變intranet應用，因為這些網(wǎng)絡具有應用通曉性、保密性和QoS內置于網(wǎng)絡中。用戶能夠使用他們專有的IP地址而無需NAT(網(wǎng)絡地址翻譯)。 這同一種

41、網(wǎng)絡結構目前可支持許多種VPN，可減輕為每一個新網(wǎng)絡實施工程的負擔。這種方案易于進行VPN的添加、移動和改變。如果某個公司需要在自己的VPN中增加一站點，服務提供商只需告訴客戶端設備的路由器如何與網(wǎng)絡連接，并配置LSR來識別來自于CPE的VPN成員。BGP會自動更新VPN成員。與增加一臺設備需要大量操作的overlay VPN相比，這種方案要簡單、迅速和便宜的多。在一個overlay VPN中增加一臺新設備要涉及到更新流量matrix，從新站點建立VC到所有現(xiàn)存的站點，更新每個站點的OSPF設計，針對新的拓撲結構圖重新配置每臺CPE設備。 MPLSVPN的工作過程如下： 用戶端的路由器(C

42、E)首先通過靜態(tài)路由或BGP將用戶網(wǎng)絡中的路由信息通知提供商路由器(PE)，同時在PE之間采用BGP多協(xié)議擴展來傳送VPN-IP的信息以及相應的標記(VPN的標記，以下簡稱為內層標記)，而在PE與P路由器之間則采用傳統(tǒng)的IGP協(xié)議相互學習路由信息，采用LDP或RSVP協(xié)議進行路由信息與標記(骨干網(wǎng)絡中的標記，以下稱為外層標記)的綁定。到此時，CE，PE以及P路由器中基本的網(wǎng)絡拓撲以及路由信息已經(jīng)形成。PE路由器擁有了骨干網(wǎng)絡的路由信息以及每一個VPN的路由信息。 當屬于某一VPN的CE用戶數(shù)據(jù)進入網(wǎng)絡時，在CE與PE連接的接口上可以識別出該CE屬于那一個VPN，進而到該VPN的路由表中去讀取

43、下一跳的地址信息，同時，在前傳的數(shù)據(jù)包中打上VPN標記(內層標記)。這時得到的下一跳地址為與該PE作Peer的PE的地址，為了達到這個目的端的PE，此時在起始端PE中需讀取骨干網(wǎng)絡的路由信息，從而得到下一個P路由器的地址，同時采用LDP或RSVP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡中的標記(外層標記)。 在骨干網(wǎng)絡中，初始PE之后的P均只讀取外層標記的信息來決定下一跳，因此骨干網(wǎng)絡中只是簡單的標記交換。 在達到目的端PE之前的最后一個P路由器時，將外層標記去掉，讀取內層標記，找到VPN，并送到相關的接口上，進而將數(shù)據(jù)傳送到VPN的目的地址處

44、 從以上工作過程可見，MPLS VPN絲毫不改變CE和P原有的配置，一旦有新的CE加入到網(wǎng)絡時，只需在PE上作簡單配置，其余的改動信息由IGP/BGP自動通知到CE和P。因此MPLS VPN擁有以下優(yōu)點： 三層的智能VPN； VPN連接配置簡單，對現(xiàn)有骨干網(wǎng)絡沒有壓力； 對現(xiàn)有用戶的要求為0，用戶不需要作任何改動，用戶加入VPN的配置也很簡單； 網(wǎng)絡可擴展能力很強； VPN用戶可以延用原有的專用地址，不需要作任何修改，在骨干網(wǎng)絡采用VPN-ID，可以保持全網(wǎng)的唯一性； 易于提供增值業(yè)務，如不同的COS。 可靠性 通過Riverstone 的MPLS 解決

45、方案，備份的LSP能夠被配置以提供快速的故障恢復。備份的LSP可以是已經(jīng)被預配置的，也可以是當主LSP失效時運態(tài)建立的。另外也可以通過MPLS 快速重路由功能實現(xiàn)熱容錯，快速重路由功能能快速建立一個繞過故障點的LSP隧道。如果一個結點或鏈路失效，這條繞過故障點的LSP將過使用并通知入口路由器，入口路由器然后決定建立一個新的LSP。 當故障點恢復正常時，流量可以按照配置恢復從原路徑通過。 故障的檢測必須要盡可能快地被檢測到，Riverstone 緊密地集成了物理層以檢測本地故障，可以通過定義RSVP HELLO的定時器來完成SDH 級時的50 毫秒的故障恢復時間。 Qo

46、s/Cos 在今天的城域網(wǎng)中，帶寬已經(jīng)成為象日用品一樣簡單，供應商僅僅供應純帶寬已不再足夠。它們需要針對不同的用戶需求，有區(qū)分地提代帶寬及服務質量，用戶可以選擇不同級別的服務，而不僅僅是帶寬。Riverstone MPLS 為應用這種服務提供了必要的工具，使用用戶能夠選擇有QOS及可靠保證的服務。 Riverstone MPLS 既能夠映射802.1p 或 IP Tos/DSCP 位到MPLS Exp/Cos位，也能夠到也經(jīng)保留了足夠資源的LSP。MPLS 頭中的Exp 位攜帶分組的優(yōu)先級，每個標簽交換路由器將按照這些標識進行優(yōu)先級識別，并映射到不同的優(yōu)先級隊列，當一個分組被映射到一個

47、LSP，則僅需在MPLS 網(wǎng)絡的入口點做一次映射決策。然后分組將按照指定的LSP進行傳輸。在一個層次服務模型中，LSP能夠被指定不同的優(yōu)先級。如果一個高優(yōu)先級的LSP失效并且沒有可用的資源 去建立新的LPS，那么低優(yōu)先級的MPLS LSP 資源將被搶用。這保證了有高優(yōu)先級服務等級合同的用戶獲得可靠，保證的服務。而普通盡力而為（Best-effort） 服務級別的用戶則沒有保證。 當一個MPLS LSP 不是最優(yōu)化時，在后臺自動重新優(yōu)化一個LSP是重要的。例如在資源不可用時，一個高優(yōu)先級的LSP占用一條中優(yōu)先級LSP的資源，那么這先高優(yōu)先級是LSP將不再是最優(yōu)化的。當資源重新可用時，LSP自

48、動重優(yōu)化可能讓該LSP重新成為一個最優(yōu)化的LSP。 流量工程 MPLS 通過顯式的路由能力給IP網(wǎng)絡帶來的了強大的流量工程能力。在普通的IGP路由中，IGP協(xié)議不考慮帶寬的可用性及鏈路狀態(tài)信息。這可能會產生某些鏈路的過度使用而某些鏈路則利用率不足。在一個全面范圍的IP網(wǎng)絡中，服務供應商可以使用MPLS 解決這引起問題。為了將城域網(wǎng)的流量擁塞降到最低，Riverstone MPLS 支持IGP 協(xié)議的流量工程擴展，OSPF-TE，ISIS-TE。這些擴展在路由更新口提供了額外的鏈路狀態(tài)信息如保留的帶寬，可用的帶寬及新和力。Riverstone也支持在線的CSPF算法動態(tài)地計算一個顯式路由的L

49、SP。 第七節(jié) 基于MPLS的透明以太網(wǎng)支持 傳統(tǒng)的城域網(wǎng)服務是基于傳統(tǒng)的時分復用技術（TDM），象SDH技術，那時專門為話音服務優(yōu)化的。當數(shù)據(jù)業(yè)務占的比重越來越高時，新的城域網(wǎng)供應商（MSP）現(xiàn)在能夠基于以太網(wǎng)和IP技術提供數(shù)據(jù)服務。這使得以太網(wǎng)接入成為城域網(wǎng)接入中的經(jīng)濟且有效的手段，MSP能夠提供以太網(wǎng)進行建設城域網(wǎng),能夠提供更高帶寬及更少的化費。但是基于以太網(wǎng)的MSP面臨著嚴重的問題，高級的商業(yè)用戶需要高級的服務，如VPN 網(wǎng)及高度的LSA保證，這以前只有ATM及幀中繼才能提供。雖然有些MSP能過VLAN技術和IP服務來提供虛擬專線及透明以太網(wǎng)服務，不幸的是，這僅僅是

50、一個臨時的解決方案。VLAN并非為該目的而設計。IEEE802.1Q特性允許最大4096個單一的VLAN，當需要超過4096個VLAN時，MSP需要利用新的技術來解決，此外，IP隧道不能提供象ATM VC 一樣的QOS保證，也沒有象SDH的自動保護能力。為了解決在城域網(wǎng)上提供以往只有ATM才能提供的技術時，一種新的技術必須出現(xiàn)。 基于MPLS的透明以太網(wǎng)服務（TLS）及虛擬專線（VLL）能力給出了一個滿意的答案，使用基于MPLS-TLS和VLL允許MSP為用戶提供安全，流量工程及QOS服務。TLS允許MSP基于IP網(wǎng)絡為每個用戶建立一個VPN隧道，每個VPN隧道能夠按用戶的帶寬及時延要求給出

51、，虛擬專線服務提供與傳統(tǒng)時分復用專線一樣的安全及質量保證。但卻只需很少的費用。 以下簡述討論Riverstone 公司的MPLS-TLS 實現(xiàn)，使用基于MPLS的TLS及VLL專線使得MSP能夠有效快速地開展VPN及專線服務。 幾個城域網(wǎng)的新VPN技術 除了傳統(tǒng)的基于隧道的VPN（L2TP，IPSEC）外，目前城域網(wǎng)上出現(xiàn)了多種新的VPN技術。 Stackable VLAN (sVLAN) Ethernet in IP or GRE MPLS Stackable VLAN 可堆疊VLAN通過允許在一個以太網(wǎng)幀上攜帶兩個802.1Q VLAN頭而允許進行VLA

52、N的堆疊，使得VLAN的總數(shù)超出了802.1Q VLAN 4096 個的限制，而達到的4096*4096個總共1600萬個。同時，多個VLAN現(xiàn)在能夠被復用到一個核心VLAN（Core VLAN）內，通過屬性注冊協(xié)議（GARP）及GARP VLAN 注冊協(xié)議（GVRP）能夠被用于通過主干網(wǎng)自動供應VLAN。然而，SVLAN 僅僅是一個部分的解決辦法，如果用戶需要自已定義VLAN ID 空間，那么VLAN的數(shù)量仍然只能是4096個，此外，主干設備所需處理的MAC地址數(shù)量將會非常的高。 Ethernet in IP 或GRE Ethernet in IP 或GRE 提供了一個路由主干的延伸及

53、擴展。允許每個用戶結點定義的多個私有的VLAN能夠隧道進一個非常大數(shù)的IP隧道。IP 隧道的供應不是自動的，IP隧道的地址對的管理是個主要的問題。此外，為了可靠性保護，設計了新的協(xié)議。當故障發(fā)生時，IP路由協(xié)議最佳情況下能在幾秒內恢復，IETF定義的鏈路管理協(xié)議將監(jiān)測鏈路狀態(tài)及提供快速的失效檢測。為了擴展性的目的，主干網(wǎng)內的隧道數(shù)量通過定義層次IP-VPN來盡可能減少，但是這導致了帶寬的利用不足，另外，以太網(wǎng)幀需要封裝進兩個IP頭，POP內的連接將解讀內層的IP頭，POP間的連接將解讀外層的IP頭connectivity. MPLS 提供了IP隧道的強大和可擴展性。然而同時能提供動態(tài)的供應工

54、具，按流量工程的需要，LSP能被用于建立一個有區(qū)分的服務，提供一個單一的保護機制，Martini Internet 草案提明了如何在MPLS上封裝以太，ATM，幀中繼，TDM。Internet 草案主要指示了點對點的互連，下文Riverstone 將說明如何支持多點到多點及廣播及組播支持。 注意，以上所提的所有機制能夠被組合，例如，SVLAN能夠在POP內使用，而MPLS 或IP 隧道能在核心層使用。一個可能的實施方案是在核心層使用MPLS，而在邊緣層使用VLAN可SVLAN等技術。 MPLS 分組流概述 用戶的以太網(wǎng)幀通過CPE設備既可路由也可交換到供應商的PE設備（或叫MPLS

55、 LER）。PE 路由器檢查這個幀屬于哪個VLAN，既可通過查看802.1Q 頭也可通過檢查VLAN相關的進入端口，對這個幀可用使用過濾，以去提不想要的幀。假設一個CPU路由被使用，PE設備能夠檢查相對于CPE MAC 地址的MAC 地址。一旦這個幀被 認為是有效的，分組則被映射到一個用戶定義的同等轉發(fā)類（FEC），F(xiàn)EC 定義了分組該如何被轉發(fā)。FEC 查表將生成一個輸出端口及兩個標簽。在標簽棧頂部的第一個標簽是隧道標簽，用來在供應商BACKBONE上傳送幀，而在標簽棧底部的第二個標簽是是VC標簽被出口交換機用于決定如何處理該幀。然后，為每個標簽加上一個MPLS頭，然后幀在相應的出口處以確格

56、式封裝。 圖：MPLS 標簽棧 核心的標簽交換路由器P（或叫LSR）僅僅查看位于棧頂部的標簽來交換標簽以通過MPLS 域。在一路中，其它的標簽以有可能被加入棧中，通常，棧頂?shù)臉撕炘谧詈蟮诙灰迫?也就是先于出口LER（PE），出口LER 查看VC標簽得知它應該如何處理該幀，并將它轉發(fā)到相應的出口。 在前文，我們假設那隧道和VC LSP 已經(jīng)被建立，VC LSP 通?？梢詣討B(tài)或靜態(tài)地建立經(jīng)由LDP協(xié)議，LDP 允許盡可能好的LSP被建立，當流量工程被要求時，CR-LDR 和RSVP-TE 信號協(xié)議代替LDP來建立LSP。因為在一個城域網(wǎng)內，資源通常

57、是足夠的，簡單的LDP已足以建立LSP，而在核心網(wǎng)內，核心可以不象在城域網(wǎng)那么足夠，LSP通常由RSVP-TE來建立，一個VC LSP 或多個有QOS保證的VC LSP 在每個屬于同一個VLAN的用戶結點間被建立，通過嵌套LSP ，單個隧道LSP能夠攜帶兩個位置之間的多個用戶。也就是說建立多層次轉發(fā)模型，限制核心的LSP的數(shù)量以保證MPLS 能夠提供非常大的擴展能力。 在圖2 ，兩個不同的用戶被應用了TLS 服務，用戶A有3個不同的結點，一個在舊金山，一個在芝加哥，另一個在紐約。MSP 核干網(wǎng)由三個全網(wǎng)狀的LSPs （三對）組成，為每個位置的每個用戶建立的一個端到端的LSP被隧道進一個核心L

58、SP。對于用戶A，在每個POP點建有兩個VC LSP ，從舊金山，一個VC LSP 傳送流量到芝加哥，另一個LSP傳送流量到紐約。相似地，在芝加哥及紐約每用戶A分別建有兩個VC LSP。這是一個全網(wǎng)狀的LSP形成一個單一的廣播域。對VLAN A ，針對用戶A及用戶B，在舊金山及紐約僅需一個VC LSP，用戶A 及B 在舊金山及紐約分享同樣的隧道LSP。 應當注意，因為LSP是單向的，實際需要一對LSP去建立一個雙向的管理，在協(xié)議方面，需要對LDP 及RSVP-TE 信號作擴展，以便在第一個LSP建立后能自動建立反向的LSP。 處理LSP對作為虛擬結

59、點的能力能夠被加到VLAN允許透明橋工作，當一個廣播幀或一個目的地未知的幀被發(fā)送時，幀被擴展進VLAN部分的所有LSPs。LER在LSPs間執(zhí)行分組復制,當MAC地址被學習后，幀只被發(fā)送到相應的LSP。當一個新的MAC地址在入口LSP中被學習后，它需要相關到相應的LSP對中的出口LSP中。 因為MPLS 隧道的多層能力，VC 標簽是不可見的，直到幀到達相應的出口LER。出口LER從VC 標簽上得到所攜帶流量的標簽類型，象ATM，幀中繼，或以太網(wǎng)及如何處理該幀，這個幀需要被通過交換陣列傳送到相應的出口及VPI/VCI 。對于以太網(wǎng)流量，VC 標簽能夠被用

60、于決定該幀屬于的VLAN及出去端口或者執(zhí)行一個擴展的L2表查找。為每個用戶所建立的VC LSP 完全與另一個用戶的VC LSP 隔離，從而提供與ATM 及幀中繼電路相同的安全性。 幀格式 當一個幀通過MPLS 域時，幾個頭被添加，幾個字段被更改。下圖顯示了一個起源于用戶結點的以太網(wǎng)幀是如何被傳送的。第一跳，CPE設備，在我們的例子里是一個以太網(wǎng)交換機，不改變任何字段，當以太網(wǎng)幀進入進入PE（LER）后，PE 加上了一個兩標簽的MPLS 頭，然后PE 加上了另一個以太網(wǎng)頭，因為輸出端口也可一個以太網(wǎng)端口，這外部的以太網(wǎng)頭包含LER的源地址頭及下一跳MPLS 的MAC地址頭，和MPLS 的以太

61、網(wǎng)類型(0x8847 指單播，0x8848 指多播). 源以太網(wǎng)的頭明顯未被修改。隧道標簽在MPLS 域內的每個傳送LSR （P）中交換，直到到達最后第二跳。同時外面的源地址和外部的目的地址象一個路由器一樣被逐跳改變。當幀到達最后第二跳時，隧道標簽被彈出，標簽幀被發(fā)送到出口LER（PE），LER 使用VC 標簽得知輸入端口，然后彈出標簽，從相應的出口出去到接收者。 Qos 及可靠性保證 Qos/Cos 能夠與TLC 服務以兩個不同的方式同時被提供，一旦第二層幀的優(yōu)先級被決定，基于802.1p 優(yōu)先級或者基于LER 分類，一個幀既可以以合適的Cos 被標記

62、，也可以被映射到相應指定Qos 的LSP上，MPLS 頭包括3位字段（Experimental 位）指定優(yōu)先級。Riverstone 能將802.1Q 的VLAN 優(yōu)先級信息（802.1p）映射到相應的Experimental 位或相應指定Qos的LSP上。 下圖例子顯示一個主干有多個Qos級別的LSP。金LSP已經(jīng)按流量工程要求被指定帶寬及延時，這個LSP能被用于傳送高級別要求的流量（如話音），而銀LSP為普通的流量，銅LSP則可能是過載的。 可靠性 備份LSP能夠對主LSP失效時提供互連能力，備份LSP是預建立，

63、因為層2 的流量不能被動態(tài)地計算，當主LSP恢復正常時，流量可能被恢復到原LSP。 另外也可以通過MPLS 快速重路由功能實現(xiàn)熱容錯，快速重路由功能快速建立一個繞過故障點的LSP隧道。如果一個結點或鏈路失效，這條繞過故障點的LSP將過使用并通知入口路由器，入口路由器然后決定建立一個新的LSP。 當故障點恢復正常時，流量可以按照配置恢復從原路徑通 故障的檢測必須要盡可能快地被檢測到，Riverstone 緊密地集成了物理層以檢測本地故障，可以通過定義RSVP HELLO的定時器來完成SDH 級時的50 毫秒的故障恢復時間。 結論 通過基于MPLS的透明以太網(wǎng)服務，服務供應商能夠

64、為用戶之間提供可伸縮的安全的有保證的互連服務，層次的隧道動態(tài)供應能力大大地簡化了管理，降低了管理的復雜性。MPLS QOS 能力使得運營成為重要的應用分配有保證的服務。 結論： Riverstone 網(wǎng)絡，精確地切合今天的運營商的需要，領先地為城域網(wǎng)提供一個先進的MPLS技術，使得運營商能夠為用戶提供各種價值的服務。Riverstone 的交換式路由式已被證明是城域網(wǎng)的領先者。 第八節(jié) 全網(wǎng)路由規(guī)劃 大型路由網(wǎng)絡中需選擇適當?shù)穆酚蓞f(xié)議，仔細的地址和路由規(guī)劃，對于優(yōu)化整個網(wǎng)絡的性能，保證網(wǎng)絡的擴展性，健壯性具有非常重要的意義。下面從上海電信的整個網(wǎng)絡結構，包括郊縣詳述全網(wǎng)

65、的路由及地址規(guī)劃。整個原則為各郊縣及上海8+40擁有各自的OSPF網(wǎng)絡，郊縣之間與與外網(wǎng)采用BGP-4交換路由信息。 路由協(xié)議選擇 路由協(xié)議有兩種基本類型：域內路由和域間路由。主要的域內路由協(xié)議有OSPF，IS-IS，RIP/RIP2等，主要的域間路由協(xié)議有BGP，EGP等。在上海電信的8+40個點及郊縣域內路由協(xié)議采用OSPF協(xié)議，郊縣與郊縣之間及郊縣與8+40域間采用BGP-4協(xié)議。 OSPF區(qū)域劃分 OSPF區(qū)域劃分一般遵循下面的經(jīng)驗法則 ： OSPF邏輯域的劃分和物理區(qū)域的劃分盡量一致 每個區(qū)(Area)的路由器不超過50個 一個區(qū)邊界路由器(ABR)連接不超過

66、5個Area。 上海電信的路由因屬上海電信主管，按照該原則，可采用域內路由協(xié)議。而和Internet 及其它大網(wǎng)可采用BGP-4進行互連。而郊縣之間及郊縣與上海電信之間則采用IBGP或EBGP互連。而郊縣內部也使用OSPF路由協(xié)議。即每個郊縣擁有自己的OSPF AREA 0。原上海熱線基于投資保護的考慮可以按片接入8個主結點。加入OSPF中。 路由協(xié)議的具體考慮如下： 一 上海電信市區(qū)的OSPF域的規(guī)劃 OSPF 域的劃分：因為上海電信的網(wǎng)管規(guī)模非常之大，并且網(wǎng)絡將會不斷升級，所以網(wǎng)絡的可擴展性要求很高，因此OSPF域的劃分將采用多個域的設計，其中在市區(qū)范圍內的OSPF設計是這樣的： 1. 核心域（即BACKBONE 域）的設計，市區(qū)八個點分別以各自的POS接口加入核心域，形成一個AREA 0。 2. 子域的設計，按照上海電信40個邊緣結點的分片連接的思路，每片約10個邊緣路由器形成一個子域，每個邊緣路由器分別以雙千兆口連接到所屬片的核心路由器，形成每片的OSPF子域，使得路由器的性能得到最佳的發(fā)揮。