采用MPLSVPN技术实现数据城域网方案

采用MPLSVPN技术实现数据城域网方案河南有线电视网络集团公司漯河分公司付进平潘伟召关键词NGB(NextGenertionBroadcastingnetwork)下一代广播电视网VoIP(VoiceoverInternetProtocol)语音网关QoS(QualityofService)服务质量MPLS(MultiProtocolLableSwitch)多协议标记交换VPN(VirtualprivateNetwork)虚拟专用网络CMTS(CableModemTerminationSystem)调制解调器头端系统RSP（RouterSwitchProcessor）路由交换信息处理机Sup(Supervisor)管理者、监督者ME（MetroEthernet）城域以太网PPS（PackagePerSecond）每秒数据包数VPLS（VirtualPrivateLANService）虚拟专用局域网业务mBGP(multi-protocolBorderGatewayProtocol)多协议边界网关协议VRF（VirtualRouteringandForwarding）虚拟路由转发VC（VirtualChannel）虚拟信道peer对等的site站点一、概述：随着国家三网融合进程的加快，下一代广播电视网NGB技术逐渐引入，现在的广播电视网络应该是以数字电视传输为主要内容；以IP协议为基础的互联网应用；以及以VoIP技术为核心IP电话等多项业务的高性能宽带网络。随着社会的发展、信息技术的进步以及各类信息终端的普及，网络通信在人们经济文化生活中发挥的作用越来越大，而且人们对网络业务的需求也越来越呈现出复杂化、多样化、个性化的趋势，最大限度的满足用户多种多样的需求成为运营商竞争的关键。同时，由于网络融合速度的加快，IP城域网多业务承载成为大势所趋，在同一张网络上为不同的业务提供服务，而不同的业务对QoS有不同的要求。MPLS多协议标记交换技术已经在运营商和企业用户中得到了广泛的认可。基于MPLS技术的虚拟专网技术（MPLSVPN）不仅为企业集团用户提供虚拟专线，运营商也通过MPLSVPN技术来承载生产管理数据和运营支撑系统。基于IP的高带宽、高可靠性、可运营管理、具备多种业务综合承载能力和扩展性的电信级城域网络，在未来将可能承载更多新兴的数据业务，如物联网业务、视频电话、远程医疗、远程教育、政务子网等多项业务。按照集团公司的发展规划，将通过数据网络为用户提供互联网、视频点播、时移电视、VOIP等业务。这些业务的推出将使漯河分公司同时拥有了向用户提供广播电视、视频点播、数据通信、语音通话的全方位信息服务，对于提升公司形象、吸引更多用户将产生重大推进作用。目前，漯河分公司已经发展了政府机要网、统计网、财政网、银行等数家数据专线用户。但这些用户基本都采用光纤收发器和低端的交换设备直连，没有统一的数据网络平台和技术标准，用户接入十分散乱，结构复杂，且骨干光缆纤芯消耗殆尽。这种接入方式不仅不便于日常网络管理，而且在保证用户质量方面也存在着很大问题。另外，漯河分公司正按照集团要求着手准备有线电视网络（HFC）双向网络改造规划。有线电视双向改造是个相对繁琐的工程。双向改造完后，CMTS设备、IPQAM设备都将在分前端部署，这些也都需要一个统一的数据网络平台。因此，为了解决目前专线用户接入散乱、缺乏安全统一的交换平台问题，为了提高用户服务质量、减少用户流失及投诉，为了更好的发展漯河分公司数据专线业务，为了配合好省集团公司对广电数据业务发展要求。漯河分公司网络建设部经过仔细研究，决定对数据城域网络平台进行重新规划设计。二、技术（建设）方案1、漯河分公司现状漯河地市共有有线电视前端1个，有线电视用户数8.8万。文化路分前端机房覆盖约8.8万户。另外再建1个总前端和2个分前端。临颍、舞阳2分前端暂时租用临颍、舞阳县广电机房。2、漯河分公司骨干网络结构按照业务规划，我们设计漯河分公司互联网数据流量2G,城域VOD流量18G。漯河分公司共1个总前端、5个分前端，预计其中3个分前端流量超过500M，所以我们规划总前端到文化路、、辽河路、以及铁东拟建万兆链路，总前端到临颍和舞阳分前端，分前端与分前端之间采用千兆链路。漯河分公司市区内一级骨干环网已经设计，总前端到文化路、辽河路、以及铁东分前端的光缆路由已具备。但总前端到临颍与舞阳分前端之间光纤资源已用完，为了满足今后开展数据业务的需要，现规划设计总前端到临颍分前端、总前端到舞阳分前端、临颍分前端到舞阳分前端三条主干光缆路由。（详见附图）漯河分公司骨干网络包括数据骨干网络和数字电视骨干网络，组网方式采用“同一物理网络，不同物理链路的方式”，数据骨干网络和数字电视网络平台共用一网，不同物理线路实现。漯河分公司骨干网络结构图如下：说明：1）中心机房设核心节点配置核心交换机两套，搭建双核心结构2）用户数超过3万的分前端选择万兆汇聚节点。漯河数据骨干网络分别设置以下核心节点、汇聚节点、接入节点：核心节点：市区2个；万兆汇聚节点：市区3个；千兆汇聚节点：县2个；千兆接入节点：市区4个，县2个；4、接入网规划漯河分公司数据接入网络采用光纤以太和CableModem方式为企业和个人用户提供接入。对于采用CableModem接入的方式，首先对HFC网络进行双向改造和光节点优化。按照每个分前端统计的用户30000户，预计渗透率20%，并发率50%，市区内三个分前端预计个人用户3000户。按每个下行端口带500用户计算，每个分前端用户数量小于4000户的分前端采用中小容量的CMTS设备，对于大于4000用户规模的分前端，可以考虑采用大容量的CMTS设备。漯河分公司CableModem接入网络，前期考虑中小容量CMTS，后期考虑部署大容量CMTS设备。前期考虑3套CMTS头端，每个头端配置2个下行,4个上行。三、网络技术1、虚拟专网技术考虑漯河分公司希望建立一个可靠、安全的网络，从技术可行性和经济性角度考虑，采用三层路由交换技术比较适宜。而为了解决数据专线用户接入的安全问题，首先需要解决各专线用户接入到城域网络之后的路由隔离问题。各专网用户的路由需要相互隔离，并且与城域网络路由策略隔离。MPLS-VPN是指采用MPLS技术在骨干的宽带IP网络上构建企业IP专网，实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将数据骨干网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起，为用户提供高质量的服务。MPLSVPN的网络采用标签交换，一个标签对应一个用户数据流，非常易于用户间数据的隔离，利用区分服务体系可以轻易地解决困扰传统IP网络的QoS问题，MPLS自身提供流量工程的能力，可以最大限度地优化配置网络资源，自动快速修复网络故障，提供高可用性和高可靠性。MPLSVPN技术可以为用户提供二层和三层虚拟专网服务，二层VPLS(EoMPLS)技术虽然可以为用户提供跨越城域网络的安全性，但二层VPN会扩大用户广播域，对用户接入网络和城域网都可能形成一定负担。因此，建设MPLSVPN城域网平台有必要支持三层MPLSVPN（RFC2547）。MPLSVPN解决方案通常是基于RFC2547标准第三层MPLSVPN/BGP解决方案。通过利用mBGP路由协议的团体属性，为不同的虚拟专网用户提供独立的路由策略，数据在骨干网络进行转发时采用标记交换（MPLS），完全确保了用户路由和数据交换的安全。多协议标记交换虚拟专网技术（MPLSVPN）已经被大量城域网和专网用户接受并认可。采用千兆以太加MPLSVPN技术，可经济、安全的搭建城域网络数据平台。MPLSVPN/BGP解决方案一般包含三种类型设备：P路由器：（ProviderCoreRouter）运营商核心路由器，主要负责：1）运营商网络路由器之间建立路由互通（一般为OSPF或IS-IS）；2）建立BGPpeer关系；3）负责MPLS帧的转发；PE路由器：(ProviderEdgeRouter)运营商边缘路由器，主要负责：1）：运营商网络路由器之间建立路由互通（一般为OSPF或IS-IS）；2）建立BGPpeer关系；3）提供到CE设备的VC连接；4）为VPN用户建立VPN路由表（VRF）；5）并通过mBGP路由协议分发VPN用户路由表；6）封装和解封装MPLS帧，及转发MPLS帧。CE设备：(CustomerEdge)用户端接入设备；一般情况下是一台路由器，也有可能是交换机或用户主机。MPLSVPN/BGP架构图如下：MPLSVPN/BGP的基本通信过程包括：1）在PE设备上提供PE-CE接口，为CE配置VPN路由（VRF）2）PE路由器通过MBGP路由协议在PE路由器之间分发和传递VPN用户路由。3）用户数据从CE到PE路由器上，PE路由器查询VPN路由表，确定出口PE设备。将用户数据封装MPLS分组，在MPLS核心网络进行MPLS交换（PE将封装好VPN标记的MPLS帧交给P路由器，并由P路由器转发到出口PE，出口PE解封装MPLS分组，查询本地VPN路由表，转发给目标CE）。MPLSVPN网络就是有运营商骨干数据网络和用户的各个site组成，所谓的VPN就是对site集合的划分，一个VPN就对应一个有若干site组成的集合。VRF表:每个PE都维护和管理着一系列的转发表，其中一个转发表“默认转发表”或“全局转发表”；其它为VPN路由转发表（VPNRouteringandForwardingtables）。如果一个报文通过CE到达PE,该CE没有VRF表时，它将使用全局转发表为该报文的目的地址查找路由表。可以理解为全局路由表存放着公网的路由表，可以保证PE与PE之间、P与PE之间的通信。VRF存储的是VPN站点的私有路由。在这种网络中，有运营商向用户提供VPN服务，用户感觉不到公共网络的存在，就好像独立拥有网络资源一样。同样作为P路由器，它不直接与CE通信，仅仅处理骨干网的数据传输（打了MPLS标签的IP数据包），它也不知道VPN的存在。所有VPN的构建、连接和管理工作都是在PE上进行。从PE的角度上看，用户的一个连通IP系统视为一个site，每一个site通过PE和CE连接，site是构成VPN的基本单元。一个VPN可以有多个site组成，一个site可以同时属于不同的VPN。属于同一个VPN的通过运营商的公共网络相连，VPN在公共网络上传输必须保证其私有性、安全性。也就是说，从属于某个VPN的site发出的报文只能转发到同样属于这个VPN的site里去，而不能转发到其它site里去。同时，任何两个没有共同site的VPN都可以使用重叠的地址空间，即在用户私有网络中使用自己独立的地址空间，而不用考虑是否与其它VPN或公网的地址冲突。所有这些都依赖于VRF。2、厂家选择及设备选型传统的电信运营商和大型广电网络一般采用互联网络骨干路由器作为P和PE路由器组建MPLSVPN城域网络。这类MPLSVPN解决方案的一个节点设备耗资上百万。这样的投资显然不适合漯河市的经济发展水平和漯河分公司投资规划。因此，我们需要考虑一种经济实惠MPLSVPN/BGP解决方案。漯河分公司建议采用思科公司的路由交换设备，组建漯河MPLSVPN城域网络。采用思科路由交换设备能够以较少的投资组建功能完备、性能稳定的MPLSVPN城域网络。四、小结：由于MPLSVPN技术是一种新兴的数据网技术，它的技术含量相对较高，对于漯河分公司来说是一个新生事物，我们会经过自己的不断努力使本方案更加完善，同时也敬请各位专家、同行指导并多提宝贵意见。谢谢！2011-05-16参考文献福建星网锐捷网络有限公司《BGP/MPLSVPN技术白皮书》