3.4 类型分析(见图2、3)
3.5 类型分析总结(见表2)
I、II型:无须添加设备,需要用户设备支持(Mobile IP、Host routing)或采用非常规路由模式不建议采用。
III、IV型:需要增加设备(Alias),结构清晰,易于管理,但III型不适合ISP,建议采用IV型。
(1)大网结构分析:
网络结构简单,但层次不清,需在相关节点(骨干)做路由策略,扩展性不好,在出口情况复杂时不宜采用(如类型III、IV)。
(2)MPLS VPN结构分析:
网络结构层次清晰,易于理解;无须大量的路由策略;易于扩展性;逻辑结构简单。
4 MPLS VPN路由策略解析
BGP/MPLS VPN解决方案将内部用户分为两个VPN:普通用户VPN(VPN-163)和 Cernet用户VPN(VPN-Cernet,将来根据业务的需要还会增加其它VPN)。由于设备能力的问题,由Cisco设备GSR 12012担任MPLS VPN的PE节点。两台Catalyst 6509分别作为Cernet和Chinanet的接人节点,区分为Cernet-6509和163-6509。这两台 6509分别还作为 VPN-Cernet和 VPN-163的CE节点,即每一台6509既属于VPN-Cernet,又属于VPN-163。
为了保证访问外部Cernet的包均由Cernet出口出去,在Cernet-6509上有全部的外部Cernet的路由。作为两个VPN的CE节点,这两个VPN均可从该节点学到外部Cernet的路由,从而保证了两个VPN对外部 Cernet的访问。在 Cernet-6509上还有一条优先级较低的缺省路由,当163-6509失效时,内部访问将由Cernet-6509承担。在163-6509上有一条缺省路由指向Chinanet出口,同样的道理,当两个VPN内部访问Chinanet时,缺省路由将会起作用,使得两个VPN可以实现对Chinanet的访问。所有PE节点中VPN路由表中包括以下内容:
(1) VPN—163:
VPN-163内部路由(从其他 PE学到);Cernet外部路由(从Cernet-6509 redistribute过来),指向Cernet-6509;缺省路由,指向163-6509(从163-12012上分发的缺省路由优先级比较高)。
(2) VPN—Cernet:
VPN-Cernet内部路由;Cernet外部路由(从Cernet-6509 redistribute过来),指向Cernet-6509;缺省路由,指向163-6509(从163-12012上分发的缺省路由优先级比较高)。
(3). 两个6509上的路由表中包括以下内容:
Cernet一6509:
① VPN-Cernet内部路由,从Cernet-12012学到,指向Cernet一12012上VPN-Cernet对应端口;
② VPN-163内部路由,从Cernet-12012学到,指向Cernet-12012上163-Cernet对应端口;
③ Cernet外部路由,静态指定,指向Cernet外部接口;
④ 缺省路由:指向Cernet外部接口(当163-6509发生故障时起作用)。
163—6509:
① VPN-Cernet内部路由,从163-12012学到,指向163-12012上VPN-Cernet对应端口;
② VPN-163内部路由,从163-12012学到,指向163-12012上163-Cernet对应端口;
③ Cernet外部路由,从163-12012学到,指向163-12012上VPN-Cernet对应端口;
④ 缺省路由:指向163 PIX inside接口。
当VPN-163访问VPN-Cernet时将会首先到达163-6509,由于163-6509知道VPN-Cernet的路由,故该访问将通过163-6509到达VPN-Cernet。需要注意的是这里要在这两个VPN连接端口间做NAT(VPN-163->VPN-Cernet),本工程中是在163-6509的两个子端口间做地址转换。由于Cernet-6509是作为内部访问的一个备份机,需要在其上做出相同的配置。
在163-6509/Cernet-6509和VPN-Cernet相接的端口上(outside),定义以下access-List:
ip access-list extend Cernet-to—163 VPN
permit ip <any> <VPN-163 nat pool ip address>
permit ip <any> <VPN-163内部开放的IP>
permit ip <any> <在163-6509上静态映射的IP>
permit ip ……
原因是路由器上的 NAT和 PIX不同,PIX如果没有定义static,outside,就不能访问 inside;路由器上没有security的概念,只要有路由,outside都能访问inside网络。不加访问控制列表无法进行控制。
alias仍然在 PIX上做,因此不管 VPN-Cernet用户的 DNS设的是Cernet内部的DNS(通过Cernet-6509出去,地址解析出来是Internet 合法IP),还是163上的公共的DNS(通过163-6509出去,地址解析出来经过 PIX的 alias后,IP地址是 163-VPN上内部的IP),VPN-Cernet用户访问VPN-163上的WWW/FTP站点都通过到163-6509进行,只能访问VPN-163开放的站点。
NAT转换、静态映射、访问控制列表都在Cernet-6509上进行相同的配置。
当163-6509或163-12012设备出问题时,163-12012上的缺省路由不存在,因此不会广播到其他PE节点,此时,所有PE节点将从Cernet-12012上学到缺省路由,访问Internet,VPN-163和VPN-Cernet之间的访问也都会从 163-6509上转移到Cernet-6509上。根据设计要求,在VPN-Cernet里不应该有私有地址出现,而如果要VPN-Cernet直接能访问VPN-163的站点,则该问题无法避免。但如果采用静态地址影射的方式,可避免该问题的发生。
5.结论
城域网要保证可运营、可营利,可持续发展,很大程度上取决于IP规划和路由策略的设计实施成功与否。本宽带城域网有其独特之处:两个出口;多用户;而两网的用户又有互访的需要,易产生速度慢且Cernet用户出国访问要多付费等问题。
本实施方案独特、简便易行,不仅提供业务分流,解决Chinanet与 Cernet相互访问慢的问题,同时还对Cernet用户提供了出口备份,保证了网络的可靠性。经实践证明是切实可行的。
参考文献
1.21世纪计算机网络工程丛书编写委员会. 网络典型案例精解. 北京:北京希望电子出版社,2000年.
2.李洪 林殿魁 等 电信级IP信息网络的构建 北京 人民邮电出版社 2002年
3.吴江 赵慧玲等 下一代的IP骨干网络技术 北京 人民邮电出版社 2001年
4.冯径等 多协议标签交换技术 北京 人民邮电出版社 2002年
5.[美] Ivan Pepelnjak Jim Guichard MPLS和VPN体系结构 北京 人民邮电出版社 2001年
6.史忠植 高级计算机网络 北京:电子工业出版社,2002年.
作者简介:
刘寿强,男,1974年出生,计算机应用硕士,在职博士,华南师范大学电信工程系讲师,主研方向为计算机网络与通信、网络安全、电子商务。
张玉成,男,高级工程师、高级经济师,广东广风隆电子科技有限公司总经理。
钟志钰,男,高级工程师,广东广风隆电子科技有限公司经理。
联系方式:
Tel: (020)85214428 85211357 Email: sqliu@e21.edu.cn, sqliu0086@163.com, liusq@neusoftim.com
通信地址:广州市天河区石牌华南师范大学电信工程系 邮编:510631
