湖北电子政务网络的设计
主题安排
电子政务网络的设计
电子政务网络主干技术选择
电子政务网络IP/MPLS设计
电子政务网络的成功案例
电子政务网络的详细设计
主要有城域网和城域网加省内广域网两大模式
以技术层叠模型为参考可分为传输层和IP层
以组织结构为参照可分为核心层、PoP层和接入层
电子政务网络的分层设计
Core/Backbone
POP
Access
电子政务网络的技术框架
Optical/DWDM/CWDM
DPT
POS
GE/10GE
Others
IP/MPLS/MPLS VPN
E-government Applications
为电子政务网络的传输介质,
根据实际情况存在多种模式。
电子政务网中核心节点之间
和核心/PoP节点的连接技术。
在电子政务网中提供符合政府
组织结构的IP交换技术。
以电子政务网的用户即公务员
为核心的电子政务应用总汇。
电子政务网络主干技术选择
思科公司城域IP解决方案
优化城域网络结构
IP
ATM
Optical
B-ISDN
IP over ATM
IP over SONET/SDH
IP
IP-aware Optical
IP over Optical
IP
SONET/SDH
Optical
ATM
SONET/SDH
IP
Optical
模型中的每一层均涉及复用、保护和管理。
低成本、简单易行、层次简单!
}
DPT/ RPR
主干网主要技术与关键问题
POS/DPT/DWDM光纤IP技术
GE/10GE也是可选的主干技术
MPLS技术用于包转发
其它思考
Packet-over-SDH技术
POS是直接将IP包通过PPP封装并装入SDH虚容器中,利用光纤进行IP传输的一种技术;
简单易用,可以比喻为“光纤DDN”;
支持APS自愈功能;
POS带宽从155 Mbps直至10 Gbps,符合SDH标准;
可以用裸光纤、SDH、DWDM承载。
Datagram
Protocol Encapsulation
Link Initialization
PPP Packet Delineation
Error Control
Byte Delineation
SONET/SDH Framing
HDLC
PPP
IP
RFC1661, Point- to- point protocol
RFC1662, PPP in HDLC-Like framing
RFC2615, PPP over SONET/SDH
DPT动态包传输技术
DPT(动态包传输)同样利用SDH的有关技术,支持APS;
以新创的SRP(空间复用协议)为MAC层协议;
节点之间共享光纤环上的全部带宽,并进行动态调节;
任意节点之间一跳到达;
可以用于LAN/MAN/WAN;
可以用裸光纤、SDH、DWDM承载。
DPT-Based
LAN/MAN/WAN
75XX
75XX
75XX
75XX
75XX
GSR
GSR
…
MAC
IP Packet
MAC
IP Packet
Section plus Line
Overhead
Path
Over-
head
Concatenated
Payload
: RPR
万兆以太网的发展
10 Gigabit Ethernet
LAN applications
Metro applications
WAN applications
10 Gb Ethernet IEEE Standard
Layer 3 Switching
QOS
Content Networking
Security
Policing
1 or 10 GbE
万兆/千兆以太网主干设计
Building C
Clients
端到端采用相同的以太帧结构,数据传输的额外消耗最小;
万兆以太网主干是目前性价比最高的10G传输主干技术;
激活企业的新应用:服务器集中、远程备份、灾难恢复和分布式计算等。
Metro IP
Backbone
1 or 10 GbE
Building A
Clients
Building B
Server Farm
10 GbE Backbone
Ethernet framing
电子政务网络IP/MPLS设计
MPLS交换技术
源于Cisco TAG交换技术;
根据路由表生成MPLS标签转发表;
数据包在边缘(E-LSR)被加上标签;
核心路由器(LSR)仅仅根据标签转发数据包;
三大功能:IP+ATM,MPLS-VPN,流量工程;
流量工程一般用于复杂、不均衡的网状主干网。
边界标识交换路由器
Edge Label Switching Routers
标识交换设备
标识交换路由器
Label Switching Routers
(Router or ATM Switch)
单元组成部分
边界标识交换路由器 Edge Label Switching Routers
对原先未被打标识的IP包打标识
- 在标识交换路径(Label Switched Path – LSP)的起点
对已有标识的IP包剥除标识
- 在标识交换路径(Label Switched Path – LSP)的末端
标识交换路由器 Label Switching Routers
基于标识所承载的信息转发已被打标识的IP包
MPLS: 转发
5.出口处的边界标识交换路由器(Edge LSR)除去IP包的标识并传递这一IP包.
2a. 标识分发协议(Label Distribution Protocol - LDP)建立标识到路由的映射.
标识交换路由器(LSR)通过对标识的识别转发已被打标识的IP包.
3.入口边界标识交换路由器(Edge LSR)收到(未被打标识的)IP包, 执行三层增值服务, 且对包打标识.
2b. 标识分发协议(Label Distribution Protocol - LDP)在标识交换路由器(LSR)上创建标识转发信息库(LFIB)表项.
1. 已有的路由协议(如 OSPF, IGRP)建立路由.
什么是VPN?
虚拟专用网(Virtual Private Network);
一种电信业务:在公共网络平台上提供专用网络服务;
物理上,它并不是一个专用网络,而是公共网络,资源共享,所以成本比较低;
逻辑上,它确实是专用网络。
总部
/
北京
上海办事处
出差人员
/
纽约
家庭办公
VPN
Service Provider Network
Internet/FR/ATM
图
1
VPN
示意图
MPLS-VPN术语
服务提供者网络(P-Network)
由服务提供者控制的网络主干
客户端网络(C-Network)
由用户控制的网络
客户边界路由器(CE router)
客户网络的一部分
有接口到服务提供者网络边界路由器(PE router)
MPLS-VPN术语
节点
网络或子网的集合即客户网络和托管中心的一部分
一个节点通过一个或多个PE/CE链路连接到VPN骨干网络
服务提供者边界路由器(PE router)
服务提供者网络的一部分
有接口到客户边界路由器(CE routers )
服务提供者核心路由器(P router)
对VPN一无所知
VPN-IPv4地址
这一地址包括64个比特位的路由区分标示和32个比特位的IP地址
MPLS-VPN
VPN_A
VPN_A
VPN_B
P
P
P
P
PE
PE
CE
CE
CE
VPN_A
VPN_B
VPN_B
CE
PE
PE
CE
CE
VPN_A
CE
iBGP sessions
P路由器位于MPLS网络的内层
PE路由器与P路由器采用MPLS连接,采用传统IP协议与CE路由器连接
PE路由器以MP-iBGP逻辑连接
P路由器不运行BGP,对VPN透明
用MPLS网络提供VPN服务
Cust A
VPN 15
Cust A
VPN 15
Cust A
VPN 15
Cust B
VPN 354
Cust B
VPN 354
Fully-meshed MBGP connection
among all PE routers
P and PE share a common IGP
such as IS-IS or OSPF
PE
PE
PE
P
P
P
P
P
P
P
Private View
Private View
Public View
MPLS-VPN与其他VPN
虚拟电路:ATM/FR/DDN
传统的电信数据业务,扩展性差,不适合IP业务的高速发展
IP隧道:GRE,L2TP,IPSec
借用其他IP技术来组建VPN,扩展性和服务质量等方面都存在很多问题
通常需要集中服务的网关
VPN标志技术:MPLS-VPN
VPN A
VPN B
VPN C
VPN A
VPN B
VPN C
VPN A
VPN B
VPN C
VPN A
VPN C
VPN B
intranet
extranet
MPLS-VPN优点:结构简单
VPN A
VPN B
VPN C
VPN A
VPN B
VPN C
VPN A
VPN B
VPN C
VPN A
VPN C
VPN B
MPLS-based VPNs
FR/VC privacy
network based
IP and VPN aware
groups users & services
Overlay VPN
FR/VC privacy
VC based
FR/ATM aware
groups endpoints
intranet
extranet
Hosting
Multicast
VoIP
MPLS-VPN优点:扩展性好
目前Cisco的MPLS-VPN解决方案可在一个物理网络中建立多达10万个VPN,将来可到100万个
扩展性好的原因在于:
结构简单,不象ATM/PVC那样需要网状网结构
每个PE路由器只需要容纳相关VPN的路由表,而不是全网的路由表
P路由器采用MPLS交换,不需查找路由表
直接面向TCP/IP应用
MPLS-VPN优点:安全性高
每个VPN的路由表与其他VPN完全隔离
每个VPN各自规划地址和路由策略、安全策略
有两个标签,核心网交换设备并不识别VPN标签。(而ATM、FR仅用一个标签)
兼容其它的IP加密技术
MPLS-VPN优点:QOS保障
利用现有的IP-QOS技术如:业务分类、承诺接入速率、加权队列机制、随机先期检测、资源预留协议等等
利用MPLS的流量工程(Traffic Engineering)技术
新的其他技术:VPN带宽隔离技术
PE2
PE1
CE1
CE2
P1
P2
IGP Label VPN Label
IP
packet
PE1 receives IP packet
Lookup is done on site VRF
BGP route with Next-Hop and Label is found
BGP next-hop (PE2) is reachable through IGP route with associated label
IGP Label VPN Label
IP
packet
P routers switch the packets based on the IGP label (label on top of the stack)
VPN Label
IP
packet
Penultimate Hop Popping
P2 is the penultimate hop for the BGP next-hop
P2 remove the top label
This has been requested through LDP by PE2
IP
packet
PE2 receives the packets with the label corresponding to the outgoing interface (VRF)
One single lookup
Label is popped and packet sent to IP neighbour
IP
packet
CE3
MPLS-VPN包转发
主要的IP-QOS技术
业务分类:IP前置码
接入速率控制:CAR
队列机制和带宽管理:WFQ、WRR
拥塞控制机制:RED 、WRED
资源预留协议:RSVP
流量工程:MPLS-TE
思科公司城域IP相关产品
产品一览
Cisco 12000 Series
我们还有...
Cisco 10700 Series
Cisco 7600
Series
Cisco 7300 Series
Cisco 7200 Series
Cisco CRS-1 系统
Cisco和MPLS紧相连
对IETF的贡献超过 50样
Cisco 是关键技术文档的作者或合作者
MPLS 工作组主席 (George Swallow)
DRAFT MARTINI、RFC2547BIS、RFC2283
1996
1997
1998
1999
2000
2001
Time
Cisco Calls a BOF at IETF to Standardize
Tag Switching
Traffic Engineering
Deployed
MPLS VPN
Deployed
Over 30 Customers
in Production
Cisco Ships
MPLS (Tag Switching)
Cisco Ships
MPLS TE
MPLS Croup
Formally Chartered
by IETF
Cisco的领先地位
1998年提供MPLS VPN 功能
起,提供MPLS
第一个 交付MPLS 生产网络
第一个展开 MPLS 流量工程
第一个交付 MPLS VPN
广泛的产品支持
基于标准的产品互操作
电子政务网络的成功案例
15252
15201
12016
DWDM Optical circle
GE
市府
市委
浦东
7G
7G
3G
2G
闸北
虹口
杨浦
宝山
嘉定
普陀
静安
黄浦
南汇
奉贤
长宁
青浦
松江
金山
闵行
徐汇
卢湾
上海市公务网络示意图
方案特点
1.推荐方案的高性能性
2.推荐方案的高可靠性
3.推荐方案的高冗余性
4.接入的灵活性
5.带外管理的高安全性
6.运营级路由协议保证了网络的成功运行
7.得到验证的QoS保证
8.业界领先的MPLS VPN功能性
运营级路由协议保证了网络的成功运行
采用ISP惯用之路由协议ISIS。
支持最大数量之路由器和路由表项。性能稳定,MPLS支持最佳,优于OSPF。
业界领先的MPLS VPN功能性
站点-1
站点-3
站点-4
站点-2
社保
医保
银行
实现内部虚拟网或者外部虚拟网
MPLS VPN设计
*
© 2002, Cisco Systems, Inc. All rights reserved.
*
*
Cisco technology leadership through internally developed solutions--leadership in Ethernet and moving the decimal to 10Gig Ethernet
Leading the market: Number #1 in Fast Ethernet and Gigabit Ethernet switch ports
Leading IEEE standards process: founding member of committee,
Leading 10 GbE industry: founding member of 10 Gigabit Ethernet Alliance: industry consortium to promote 10 GbE
Participate in IEEE 10Gig Standards Working Task Force
Working with ecosystem partners to innovate and deliver 10 GbE optical components and silicon
*
*
*
*
.
*
*
*
*
37
Let’s see how this works.
Customer A has VPN 15, and customer B has VPN 354. The service provider assigns a VPN ID and the customer is not aware of what this number is. This diagram illustrates the private view that the customer sees, and the public view of the service provider.
In the private view, customer A and uses a private address, here . When the provider builds a routing table at the edge, it adds the VPN ID in front of the address, so it can distinguish customer A as (15) (the public view). Here, customer B has a different IP address, but even if it were also , the provider could distinguish between them and separate traffic because of the VPN ID. This eliminates the need for network address translation.
The VPN ID also controls the distribution of routing information. Here, BGP, a reachability distribution protocol, defines who can talk to whom. This is precisely what BGP was designed to do. It distributes reachability information within a VPN only to members of the same VPN. Those who are not in VPN 15, for instance, never learn about the existence of VPN 354.
As you can see in the forwarding table for the indicated router, it only contains address entries for members of the same VPN. It will reject requests for addresses that are not in its forwarding table. By implementing a logically separate forwarding table for each VPN, each VPN is itself a private connectionless network built on a shared infrastructure.
*
VRF – VPN Routing & Forwarding
*
*
*
*