重慶長(zhǎng)豐數(shù)據(jù)視頻融合VPN
2003/11/10
一、通信需求
重慶長(zhǎng)豐要求北京總部和其他七個(gè)分支機(jī)構(gòu)在已有局域網(wǎng)基礎(chǔ)上建設(shè)視訊VPN網(wǎng)絡(luò),將所有八點(diǎn)通過華為視訊系統(tǒng)互聯(lián)通信。各分支機(jī)構(gòu)流量分為兩部分:
1. Internet流量通過原有NAT和Firewall訪問。
2. 內(nèi)部網(wǎng)流量走M(jìn)PLS VPN ,包括數(shù)據(jù)和視頻流量,并通過華為EUDEMON網(wǎng)關(guān)進(jìn)行視訊NAT轉(zhuǎn)換。
二、總體技術(shù)方案
鑒于客戶是通信公司,有較強(qiáng)的系統(tǒng)管理能力,而且要求視訊和數(shù)據(jù)出口分開,視訊出口在北京,可以和VPN線路走相同的物理鏈路,不會(huì)造成路由設(shè)計(jì)上的問題,故將NAT放在客戶公司總部,由用戶自己管理,增加DIA出口和費(fèi)用。網(wǎng)絡(luò)通信拓?fù)鋱D如右所示。
關(guān)于上述方案的說明:
1. 用戶自己管理網(wǎng)關(guān)設(shè)備或由網(wǎng)通運(yùn)維人員進(jìn)行管理。
2. 多點(diǎn)會(huì)議時(shí)MCU和北京點(diǎn)通信走最短路由,MCU和其他點(diǎn)通信要通過北京點(diǎn)再走VPN到最終目的地。由于具有華為網(wǎng)關(guān)的客戶地點(diǎn)(總部)在北京,路由優(yōu)次問題并不明顯。
3. 增加DIA出口,VPN按照客戶實(shí)際Site點(diǎn)需要設(shè)計(jì)數(shù)量。
三、接入技術(shù)方案
接入考慮八個(gè)點(diǎn), 用戶CE設(shè)備采用路由器,接入類型說明如下:
方案一 :CONNECTED 范圍內(nèi),利用原有樓層交換機(jī)終結(jié)在PE上。
1.按照現(xiàn)有實(shí)際情況(不采用最新規(guī)劃的業(yè)務(wù)控制POP的情況下),采用將Trunk 透?jìng)鞑⒔K結(jié)在PE上,在和VPN關(guān)聯(lián)的子接口處起VRF。
2.按照最新規(guī)劃方案,Trunk終結(jié)在業(yè)務(wù)控制點(diǎn)的LIII交換機(jī)上,策略路由轉(zhuǎn)發(fā)分流到PE。
3.PE-CE協(xié)議可以采用靜態(tài)路由、IGP或BGP,建議采用靜態(tài)路由。
方案二:不在CONNECTED范圍內(nèi),利用WAN鏈路終結(jié)在PE上。
1.按照現(xiàn)有實(shí)際情況(不采用最新規(guī)劃的業(yè)務(wù)控制POP的情況下),CE路由器通過租用或建設(shè)光纖鏈路(如使用Metro設(shè)備)直接和PE路由器連接。
2.按照最新規(guī)劃方案,CE路由器的廣域網(wǎng)鏈路終結(jié)在業(yè)務(wù)控制點(diǎn)的LIII交換機(jī)上,策略路由轉(zhuǎn)發(fā)分流到PE。
3.PE-CE協(xié)議可以采用靜態(tài)路由、IGP或BGP。建議采用靜態(tài)路由。
上述方案優(yōu)選CNC-Connected二層終結(jié)在PE上的方式。
四、關(guān)于流量的分離和說明
1.客戶總部和分支機(jī)構(gòu)均有Internet出口和防火墻,數(shù)據(jù)流量和默認(rèn)網(wǎng)關(guān)一般指向本地?cái)?shù)據(jù)NAT的內(nèi)網(wǎng)口,需要內(nèi)部訪問時(shí),默認(rèn)網(wǎng)關(guān)指向CE,視訊終端默認(rèn)網(wǎng)關(guān)指向CE。
2.客戶使用Cisco路由器作CE,按照視訊的要求,默認(rèn)指向總部華為EUDEMON網(wǎng)關(guān)設(shè)備,精確路由由PE動(dòng)態(tài)獲得。
3.按照上述設(shè)計(jì),可以實(shí)現(xiàn):
(1)視訊業(yè)務(wù)完全走M(jìn)PLS VPN;
(2)數(shù)據(jù)業(yè)務(wù)需要訪問Internet的走本地原有NAT;
(3)數(shù)據(jù)業(yè)務(wù)需要訪問內(nèi)網(wǎng)的完全走M(jìn)PLS VPN。
五、地址規(guī)劃和安全
按照現(xiàn)有網(wǎng)通MPLS VPN的三種城市劃分和跨域?qū)嵤┑默F(xiàn)狀,將PE確定在骨干網(wǎng)節(jié)點(diǎn),實(shí)現(xiàn)9929域內(nèi)MPLS VPN。按照IANA的標(biāo)準(zhǔn)分配私用八點(diǎn)地址,可以合理地采用VLSM的方式?紤]到配置和排障工作,建議采用A類地址加可變長(zhǎng)度子網(wǎng)的方式,實(shí)現(xiàn)每個(gè)局域網(wǎng)多達(dá)254個(gè)終端(PC和視頻),具體劃分規(guī)則如下:
1.公司總部地址:10.0.1.0/24;
2.其他七個(gè)分支機(jī)構(gòu)按照環(huán)繞總部逆時(shí)針方向從10.0.2.0/24—10.0.8.0/24。
按照IPSec提出的網(wǎng)絡(luò)層的安全措施,包括私有性、完整性、反重放等。內(nèi)網(wǎng)流量包括視頻和數(shù)據(jù),MPLS的安全特性使之區(qū)別于其他公網(wǎng)流量,對(duì)安全中的私有性、完整性都有所保護(hù)。公網(wǎng)流量的數(shù)據(jù)安全性由客戶自己的Firewall實(shí)現(xiàn),已經(jīng)完成。
計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接: