1、IGP的实施
XX市政务外网IGP实施采用了OSPF,考虑到今后可能新增其它业务和区域,因此在路由设计时考虑到了对OSPF进行多区域划分。
鉴于PE路由器上会邻接大量的不同VPN客户的CE路由器,而且其中相当部分会启用动态路由,CE的客户路由的稳定性有可能对PE的路由器的路由进程的稳定性造成影响。VPN路由隔离和稳定性可能不象P路由器一样稳定(主要要考虑CE带来的影响)。为了防止PE路由器的稳定性问题对全网IGP路由造成影响,所有PE路由器放在单独的政务外网IGP区域内,即所有的PE都放在OSPF的AREA 0区域内。
2、PE与CE间路由实施
MPLS VPN的网络包含了大量的Rc边缘路由设备。所有PE 都可以直接接入部委的VPN客户,通过PE上的多种类型的业务接口,如POS、E1、以太网等。在这些业务接口上,PE需要同CE(客户路由器)建立路由邻接关系,路由协议的实施选择如下:
对于普通的VPN客户,PE与CE间一般采用静态路由即可满足要求。
对于较大的VPN客户,PE与CE间可启动动态路由,以满足VPN客户网络的变化和发展的需要,双方可以通过动态路由协议交换彼此的网络地址段的变化,而无需网络管理人员手工配臵路由进行调整。
PE需要同CE(客户路由器)建立路由邻接关系时,考虑VPN网络安全方面的进行实施内容如下:
PE只接受本VPN(VRF)内的路由网络地址段,通过路由策略图及路由过滤在PE上实施来控制。
3、MP-BGP的实施命名规则
各机构VPN客户VRF命名规则:采用6大机构名称拼音全称+分机构拼音全称,字拼音第一个字母大写。例如政府中审计机构VPN为 ZhengFu_ShenJi。
XX市电子政务外网工程中采用采用如下RD值的格式:16位自治系统号:32位用户自定义
数字。由于RD与VRF相捆绑,即PE设备上每个VRF表中的所有VPN-IPv4路由将使用同一个RD值,RD值保证了VPN-IPv4路由在PE设备上的唯一性,所以必须全局统一分配。VPN客户RT命名规则和RD相同。
各机构VPN客户的RD命名规则采用ASN:nn方式命名。其中管理VPN采用1号,对于Internet VPN,RD命名采用预留的2号。
市政务外网VPN RD、RT规划
VPN名称 管理VPN 各委办局 ASN:100 ...... ASN:20000 委办局VPN 互联网VPN PE为每个VPN设定一个虚路由转发表VRF,用来保存VPN用户的路由表,使VPN之间被隔离。为VRF使用标准传统命名方式如用户ID和接口名称,一般反映服务提供者、业务性质、VPN用户的信息。
PE中VRF数量配臵综合考虑到路由器的能力、用户路由数量以及PE-CE连接所使用的路由协议。VRF在单台路由设备上尽量控制更少的数量,按需设臵,未使用到的VRF不做预设臵。
4、MPLS VPN RR路由策略实施
委办局1 …… ASN:110-199 …… ASN:100 ...... ASN:20000 ASN:110-199 …… ASN:110-199 …… 站点 NOC RD ASN:1 Export RT ASN:1 Import RT ASN:100 ...... ASN:20000 ASN:1 委办局100 ASN:10010-10099 ASN:10010-10099 ASN:10010-10099 互联网 ASN:2 ASN:2 ASN:2 XX市电子政务外网平台MPLS VPN技术实现多业务的接入。本规划建议XX市电子政务外网平台部署BGP/MPLS VPN来实现上述VPN业务。
VPN的划分原则上按照每个联网部门划分纵向VPN,各个联网部门根据实际需求设臵横向VPN,以实现各个联网部门之间的纵向隔离。
MP-BGP主要用于传递VPN 路由,IBGP主要用于传递IPv4路由。MP-BGP同样具有N平方问题,为了解决这个问题,也必须使用BGP反射器技术。规划原则与IBGP RR的规划原则一样,如下:
路由反射器(RR):
2台主干核心层交换机构成一个Cluster。其中主干核心交换机为路由反射器(RR);反射客户机为其余所有与核心交换机直接相连的主干汇聚层设备;
PE不收全部VPN的路由。通过BGP的ORF属性,可以使PE路由器告诉RR其需求的VPN路由目标(Route Target),使RR只传递PE上相关的VPN路由,节约PE的BGP路由处理能力。
使PE上能够灵活地删减开放的VPN。通过BGP的Refresh属性,可以使PE在配臵的VPN数量发生变化时,能够及时地向RR请求BGP路由的刷新,使全网的VPN路由保持更新。
2.4.4. 纵向MPLS VPN网络设计
纵向VPN是指行业系统内部(例如国土、林业、环保等)的虚拟专网。市网的纵向VPN设计必须支持与省、国家MPLS VPN的对接,从而实现国家-省-市-县(区)四级VPN的贯通。
纵向VPN设计的基本思路为:骨干网采用MPLS VPN,委办局接入端采用VLAN方式与普通政务外网业务隔离;由省通过MP-EBGP方式实现国家、省网两个不同AS自治域间部委纵向MPLS VPN的对接。
城域网主干核心交换机、主干汇聚交换机作为PE设备,MPLS VPN在这些设备上终结。 接入委办局使用路由交换一体机作为委办局接入的MCE设备。
2.4.5. 横向MPLS VPN设计
XX市电子政务外网平台的横向VPN互访目前主要指数据交换中心和各委办局前臵接入设
备之间的可控互访,组网示意图如下:
XX市电子政务外网省网横向VPN示意图
将需要横向互访的数据交换中心设臵为一个公共访问的VPN并只导出自己的VPN(例:EXPORT AS:2),接收所有委办局的前臵接入设备VPN(例:IMPORT AS:101至AS:6001)。而所有委办局的前臵接入设备VPN将只接受公共访问的VPN(例:IMPORT AS:2),并导出自己的VPN(例:EXPORT AS:101或AS:6001)。
为了部署前臵接入设备VPN,需要在每个委办局的CE设备和城域网的PE设备之间增加一个VRF接口,这个VRF接口可以是物理接口,也可以是子接口。所有前臵接入设备VPN和数据交换中心VPN内的IPv4地址必须保证唯一性,需统一规划。如果各委办局的内部网络需要访问自己的前臵接入设备,可以在每个委办局的CE设备上部署针对前臵接入设备的NAT。
这样就实现了各委办局的前臵接入设备横向访问的数据交换中心服务器,而各委办局的前臵接入设备缺省是不能互访的。但是这种不能互访是受控的,在需要互访的时候,仅修改各委办局的前臵接入设备VPN的导入策略即可。
2.4.6. 互联网VPN设计
在XX市省网城域网设计中,互联网为政务外网平台中的一个特殊的MPLS VPN。对于委办局用户来说,市政务外网在提供普通政务外网的服务外,还提供互联网VPN的服务。互联网
VPN提供互联网接入服务,与其他业务逻辑隔离,委办局用户主机可通过该VPN访问互联网,从而节省各自租用运营商访问互联网的专线费用。