L2TP+MPLS-BGP技术在贵港教育网的应用-通信工程毕业
2013-05-05 18:07
导读:通信工程论文毕业论文,L2TP+MPLS-BGP技术在贵港教育网的应用-通信工程毕业在线阅读,教你怎么写,格式什么样,科教论文网提供各种参考范例:
L2TP+MPLS-BGP技术在贵港教育网的应用
廖德星
一、L2
L2TP+MPLS-BGP技术在贵港教育网的应用
廖德星
一、L2TP+MPLS-BGP改造前网络拓朴 2
二、教育网存在问题 3
三、网络改造方案设想 4
四、L2TP+ MPLS-BGP改造优点 5
五、具体部署 5
1.MPLS-VPN部署 5
2、具体业务部署 6
3、数据规划(参考) 6
六、业务发展前景 9
教育、政府、电力、银行、地税等行业是各运营商激烈竞争的焦点。我们在整合现有网络资源的同时,根据用户业务需求,如何建设一个精品大客户宽带IP城域网,为教育、政府、企业、金融等客户提供一个高速,稳定,可靠,安全的网络平台,全面提升贵港电信大客户服务质量,增加贵港电信的市场竞争力?是我们在维护中一个迫切关注与解决的问题。针对这个问题,自2003年起,我们充分利用当前网络覆盖范围广等特点,组成了贵港电信教育网、财政网等大客户VPN网络。从组建到投入运营的过程中,教育网规模经历了由小到大,由接入面由窄到宽的改造过程。在贵港教育网改造过程中,经历了两个过程:NAT增强网关改造及L2TP+ MPLS-BGP接入改造过程。本文主要对利用L2TP+ MPLS-BGP对教育网进行改造部分进行详述。
一、L2TP+MPLS-BGP改造前网络拓朴
随着城域网的建设,教育网在接入手段、覆盖范围等方面都得到了较好的保证。经过建设,到2004年初,教育网网络发展已初具规模,其拓扑图如下所示:
教育网网络的VPN网关/NAT网关由NE40承担,为教育网用户提供较为安全可靠的VPN网关及NAT网关业务。
对于ATM-DSLAM接入用户:通过ISN8850与NE40之间的622/ATM链路后,NE40把某条1483B协议的PVC用户数据透传到ATM接口,再由NE40通过ATM-VLAN(两个GE口实现)将用户数据作为VPN Site进行处理,纳入VPN中。ISN8850设备负责透传PVC的链路,PVC最终终结到NE40上。
对IP上行接入用户:用户CE设备通过城域网接入层、汇聚层的设备逐级汇聚,连接到PE设备。用户CE设备到PE设备之间的所有设备都必须支持802.1q VLAN,通过VLAN Trunking连接到城域网汇聚设备上,并最终终结到NE40的二层IP板上。
教育网用户间实现互访,同时经过VPN/NAT网关-NE40访问互联网。
二、教育网存在问题
教育网在运营的过程中,存在着如下问题:
1、用户无认证管理,存在一定的安全隐患。同时缺乏灵活的计费机制。
2、在核心、汇聚层形成广播风暴
目前城域网内VPN的隔离主要依靠VLAN透传来解决,VLAN是一个纯二层的方案,适用于局域网,由于存在4096的限制,加之安全性能(业务隔离及广播风暴)欠佳。 在网络上容易形成较大的广播风暴,严重浪费汇聚层带宽。
3、可扩展性差
现有的VLAN(V-Switching)方式同城互连方式,在VLAN经过的通路上的所有设备都要保存大量VLAN穿透信息,一旦城域网设备割接调整,需要对所经过设备的数据大量修改,大大增加数据维护量,
给城域网设备的维护带来极大的压力。
4、病毒攻击导致教育网运行稳定
1)、多用户共享VLAN,此时容易引起二层广播风暴,造成用户主机端口流量过大,当广播域内有部分用户感染了DOS类病毒时,情况尤其严重。
2)、ARP病毒攻击严重,如ARP病毒或恶意软件利用ARP机制进行地址欺骗,网关或服务器IP欺骗:IP盗用与强占等,故障频繁。这类故障发生尤为严重。
三、网络改造方案设想
通过对以上业务发展需求的分析,结合实际网络状况,摸索出适应客户需求的网络改造方案。
在接入方式上,采用PPP拨号方式。接入方式灵活,更方便于教育网业务的推广与布署。
经过采用PPP隔离广播的特性,减少或避免用户间异常流量的影响。
(科教范文网 Lw.nsEAc.com编辑整理)
在接入控制上,采用L2TP方式,实现与教育网内部服务器的互访及教育网用户间的互访,满足学校间信息共享的需求。
在路由转发上,采用MPLS-BGP路由策略,保证教育网私网路由仅在教育网VPN里发布,确保VPN路由与城域网路由的隔离。
经过以上分析,决定采用L2TP+MPLS-BGP方式对原来以二层接入为主的教育网进行改造,提高贵港教育网可运营性。
四、L2TP+ MPLS-BGP改造优点
1、PPP拨号接入方式灵活,用户侧均采用PPP帐号进行拨号,易于操作。
2、减少网络割接调整对教育网接入的影响,网络割接时无需保留跨越众多设备的二层数据或大城域网同城穿透VLAN,用户使用VPDN宽带帐号进行拨号无需手工设置IP地址。
3、减少广播域,减少同一广播域内病毒泛滥及攻击,大大减少故障发生率。经统计,改造前每天均有10次/个以上教育网业务故障发生,改造后故障发生率呈直线下降。特点为ARP病毒影响大为减少,用户满意度、感知度大幅度提高。
4、网络安全性高,既实现与公网隔离,又要保证访问公网的安全性,用户间的互访能保证。
五、具体部署
将单设备实现的VPN改造为全网实现VPN业务,将用户终结在接入设备(MA5200G,NE40,ISN8850)上从而大大压缩二层网络减少故障的发生率。
1.MPLS-VPN部署
根据城域网总体设备规划为接入层MA5200G/NE40作为PE设备,对私网VPN进行管理及路由发布接收;核心层、汇聚层各设备作为 P设备,进行基本MPLS转发。
网络划分为城域网核心汇接层和接入层两个层次。NE80及接入层AR、BAS启用MPLS功能,互联接口启用MPLS LDP。
2、具体业务部署
在开展MPLS/VPN业务时,接入层NE40及BAS作为PE设备控制私网VPN的发布与互访。
(转载自http://zw.nseac.coM科教作文网)
开展MPLS/VPN业务时,接入层NE40 BAS作为PE设备对下层VLAN进行终结,并在子接口绑定对应VPN从而接入到MPLS域中;对于专线用户直接作为CE侧设备接入到MPLS域中。
对于ISN880及MA5200F接入,可以通过ISN880及MA5200F做LAC侧,NE40作为LNS侧建立二层VPN,然后接入到MPLS域中。
3、数据规划(参考)
1.Ne80上启用BGP路由反射器功能
bgp xxxxx
group GG_VPN
peer GG_VPN as-number xxxxx
peer GG_VPN reflect-client
peer GG_VPN connect-interface LoopBack0
peer (PE设备的loopback地址) group GG_VPN
2.在相应接口(与NE40,MA5200G对接接口)上启用MPLS 功能。
Interface GigabitEthernet x/x/x
本文来自中国科教评价网
Mpls
Mpls ldp
NE40:
ip vpn-instance gg_jyw_vpn
route-distinguisher 64512:801
vpn-target 100:100 export-extcommunity
vpn-target 100:100 import-extcommunity
bgp xxxxx
ipv4-family vpn-instance gg_jyw_vpn
network 0.0.0.0
(科教范文网http://fw.ΝsΕΑc.com编辑)
import-route static
import-route direct
undo synchronization
#
ipv4-family vpnv4
peer x.x.x.1 enable
(转载自http://www.NSEAC.com中国科教评价网)
peer x.x.x.1 next-hop-local
peer x.x.x.1 advertise-community
peer x.x.x.2 enable
peer x.x.x.2 next-hop-local
peer x.x.x.2 advertise-community
2.在相应接口(与ne80对接接口)上启用MPLS 功能。
Interface GigabitEthernet x/x/x
Mpls
Mpls ldp
MA5200G:
ip vpn-instance gg_jyw_vpn
route-distinguisher 64512:801
(科教作文网http://zw.nseAc.com)
vpn-target 100:100 export-extcommunity
vpn-target 100:100 import-extcommunity
bgp xxxxx
undo synchronization
group GG_VPN internal
peer GG _VPN next-hop-local
peer GG _VPN connect-interface LoopBack0
(科教作文网http://zw.ΝsΕac.cOM编辑)
peer x.x.x.1 group GG _VPN
undo peer x.x.x.1 enable
peer x.x.x.2 group GG _VPN
undo peer x.x.x.2 enable
#
ipv4-family vpn-instance gg_jyw_vpn
(科教作文网http://zw.ΝsΕAc.com发布)
import-route direct
import-route static
undo synchronization
#
ipv4-family vpnv4
peer GG_VPN enable
本文来自中国科教评价网
peer GG_VPN next-hop-local
peer GG_VPN advertise-community
peer x.x.x.1 group GG_VPN
peer x.x.x.2 group GG_VPN
2.在相应接口(与NE80对接接口)上启用MPLS 功能。
Interface GigabitEthernet x/x/x
Mpls
Mpls ldp
在ISN8850及MA5200F上,只进行相关的L2TP组配置即可。
六、业务发展前景
通过对L2TP+MPLS-VPN技术在贵港电信城域网的部署,实现教育网、电力网、财政网等大客户专网的无间隙接入,我们通过结合当前网络资源,实现了L2TP+MPLS-VPN技术在贵港电信业务中的应用;目前这项业务在贵港电信得到很好的推广运用,已开通的VPN有电力网、财政网、地税网等,为企业的业务推广提供更多的选择与更好的技术支撑。
