重慶長(zhǎng)豐數(shù)據(jù)視頻融合VPN
2003/11/10
一��、通信需求
重慶長(zhǎng)豐要求北京總部和其他七個(gè)分支機(jī)構(gòu)在已有局域網(wǎng)基礎(chǔ)上建設(shè)視訊VPN網(wǎng)絡(luò)�,將所有八點(diǎn)通過(guò)華為視訊系統(tǒng)互聯(lián)通信�。各分支機(jī)構(gòu)流量分為兩部分:
1. Internet流量通過(guò)原有NAT和Firewall訪問(wèn)。
2. 內(nèi)部網(wǎng)流量走M(jìn)PLS VPN ,包括數(shù)據(jù)和視頻流量�,并通過(guò)華為EUDEMON網(wǎng)關(guān)進(jìn)行視訊NAT轉(zhuǎn)換。
二�、總體技術(shù)方案
鑒于客戶(hù)是通信公司,有較強(qiáng)的系統(tǒng)管理能力���,而且要求視訊和數(shù)據(jù)出口分開(kāi)�����,視訊出口在北京�����,可以和VPN線路走相同的物理鏈路���,不會(huì)造成路由設(shè)計(jì)上的問(wèn)題�����,故將NAT放在客戶(hù)公司總部�����,由用戶(hù)自己管理����,增加DIA出口和費(fèi)用�。網(wǎng)絡(luò)通信拓?fù)鋱D如右所示。
關(guān)于上述方案的說(shuō)明:
1. 用戶(hù)自己管理網(wǎng)關(guān)設(shè)備或由網(wǎng)通運(yùn)維人員進(jìn)行管理�。
2. 多點(diǎn)會(huì)議時(shí)MCU和北京點(diǎn)通信走最短路由�����,MCU和其他點(diǎn)通信要通過(guò)北京點(diǎn)再走VPN到最終目的地���。由于具有華為網(wǎng)關(guān)的客戶(hù)地點(diǎn)(總部)在北京,路由優(yōu)次問(wèn)題并不明顯�。
3. 增加DIA出口,VPN按照客戶(hù)實(shí)際Site點(diǎn)需要設(shè)計(jì)數(shù)量�����。
三��、接入技術(shù)方案
接入考慮八個(gè)點(diǎn), 用戶(hù)CE設(shè)備采用路由器����,接入類(lèi)型說(shuō)明如下:
方案一 :CONNECTED 范圍內(nèi)��,利用原有樓層交換機(jī)終結(jié)在PE上�����。
1.按照現(xiàn)有實(shí)際情況(不采用最新規(guī)劃的業(yè)務(wù)控制POP的情況下)����,采用將Trunk 透?jìng)鞑⒔K結(jié)在PE上���,在和VPN關(guān)聯(lián)的子接口處起VRF。
2.按照最新規(guī)劃方案��,Trunk終結(jié)在業(yè)務(wù)控制點(diǎn)的LIII交換機(jī)上����,策略路由轉(zhuǎn)發(fā)分流到PE。
3.PE-CE協(xié)議可以采用靜態(tài)路由�����、IGP或BGP,建議采用靜態(tài)路由���。
方案二:不在CONNECTED范圍內(nèi)����,利用WAN鏈路終結(jié)在PE上�����。
1.按照現(xiàn)有實(shí)際情況(不采用最新規(guī)劃的業(yè)務(wù)控制POP的情況下)��,CE路由器通過(guò)租用或建設(shè)光纖鏈路(如使用Metro設(shè)備)直接和PE路由器連接。
2.按照最新規(guī)劃方案��,CE路由器的廣域網(wǎng)鏈路終結(jié)在業(yè)務(wù)控制點(diǎn)的LIII交換機(jī)上�,策略路由轉(zhuǎn)發(fā)分流到PE。
3.PE-CE協(xié)議可以采用靜態(tài)路由�、IGP或BGP。建議采用靜態(tài)路由���。
上述方案優(yōu)選CNC-Connected二層終結(jié)在PE上的方式��。
四����、關(guān)于流量的分離和說(shuō)明
1.客戶(hù)總部和分支機(jī)構(gòu)均有Internet出口和防火墻����,數(shù)據(jù)流量和默認(rèn)網(wǎng)關(guān)一般指向本地?cái)?shù)據(jù)NAT的內(nèi)網(wǎng)口,需要內(nèi)部訪問(wèn)時(shí)����,默認(rèn)網(wǎng)關(guān)指向CE,視訊終端默認(rèn)網(wǎng)關(guān)指向CE�。
2.客戶(hù)使用Cisco路由器作CE,按照視訊的要求���,默認(rèn)指向總部華為EUDEMON網(wǎng)關(guān)設(shè)備���,精確路由由PE動(dòng)態(tài)獲得�����。
3.按照上述設(shè)計(jì)����,可以實(shí)現(xiàn):
(1)視訊業(yè)務(wù)完全走M(jìn)PLS VPN;
(2)數(shù)據(jù)業(yè)務(wù)需要訪問(wèn)Internet的走本地原有NAT;
(3)數(shù)據(jù)業(yè)務(wù)需要訪問(wèn)內(nèi)網(wǎng)的完全走M(jìn)PLS VPN����。
五、地址規(guī)劃和安全
按照現(xiàn)有網(wǎng)通MPLS VPN的三種城市劃分和跨域?qū)嵤┑默F(xiàn)狀,將PE確定在骨干網(wǎng)節(jié)點(diǎn),實(shí)現(xiàn)9929域內(nèi)MPLS VPN����。按照IANA的標(biāo)準(zhǔn)分配私用八點(diǎn)地址,可以合理地采用VLSM的方式���?紤]到配置和排障工作����,建議采用A類(lèi)地址加可變長(zhǎng)度子網(wǎng)的方式���,實(shí)現(xiàn)每個(gè)局域網(wǎng)多達(dá)254個(gè)終端(PC和視頻)��,具體劃分規(guī)則如下:
1.公司總部地址:10.0.1.0/24;
2.其他七個(gè)分支機(jī)構(gòu)按照環(huán)繞總部逆時(shí)針?lè)较驈?0.0.2.0/24—10.0.8.0/24�。
按照IPSec提出的網(wǎng)絡(luò)層的安全措施,包括私有性�、完整性、反重放等����。內(nèi)網(wǎng)流量包括視頻和數(shù)據(jù),MPLS的安全特性使之區(qū)別于其他公網(wǎng)流量,對(duì)安全中的私有性、完整性都有所保護(hù)�。公網(wǎng)流量的數(shù)據(jù)安全性由客戶(hù)自己的Firewall實(shí)現(xiàn),已經(jīng)完成��。
計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接: