取消
显示结果 
搜索替代 
您的意思是: 
cancel
3849
查看次数
10
有帮助
6
回复

MPLS网络融合方案

Kagamigawa
Spotlight
Spotlight

既有线车站两网融合方案构建思路与实现


版本记录
文档属性








属性
内容
名称:
既有线车站两网融合方案构建思路与实现
编号:
WTJCZ2019200-1
标题:

版本号:

版本日期:
2019年2月19日
作 者:
张逸来

文档变更过程






版本
修正日期
修正人
修正内容描述
Ver 1.0.1
2月14日


Ver 1.0.2
2月19日













1 前言. 3
2 车站两网融合建设背景. 4
3 多业务数据承载网络系统构成. 5
3.1 核心区域. 5
3.1 本地区域. 6
4 传统对接方案. 8
4.1 产生的问题. 8
5 解决方案及设计思路. 9
5.1 技术特点. 9
6 车站综合信息网络系统构成. 10
6.1 链路方式. 10
6.2 控制层面路由规划. 10
6.3 转发层面故障容错. 10

1 前言
既有线车站综合信息网络规划与建设时期较早,信息化水平较低,网络所支撑的相关业务之间也相对独立,没有过多的共享与交互。但经过多年的信息化建设,目前铁路综合信息网中所覆盖的地区越来越多,所承载各个信息系统的业务也越来越多,越来越重要,渐渐成为了集团公司中规模最大,应用最多的基础网络,而如何将各个区域的网络汇总、融合在一起形成稳定可靠的同一网络就成了新的一项目标。
以XXXX局集团公司在最近的两网融合项目为基础,为构建铁路多业务数据承载网与铁路综合信息网的对接融合,需要使用的到了许多新的技术以及协议,随之出现了一些问题与新的挑战。
以下将介绍两网融合技术方案的创建背景、结构组成,分析、论述与传统建设方案的异同点及其优势所在,为既有线车站两网融合项目建设与实施提供参考。
关键词:两网融合;铁路综合信息网;铁路数据承载网;XXXX局集团有限公司








2 车站两网融合建设背景集团公司综合信息网络由核心层、汇聚层及接入层的三层星型网络结构组成。
核心层在集团公司信息技术所,对上连至铁路总公司,对下连至XXXX、哈密、南疆三个维修站;汇聚层在XXXX、哈密、南疆三个维修站,对下连接至各车站、段等接入层单位。覆盖集团公司机关、各站段及所有普速铁路,承载了运输、货运、机务、电务、工务、车辆、人事、劳卫、计划、财务等各专业多达100个左右生产和办公应用系统。
路局通过传统SDH传输网经由路由器对上连接至铁路总公司。实现通道带宽为8M和4M的互为备份的双通道链路;通过缘路由器(CE)接入综合数据网上连至铁路总公司,实现通道带宽为100M的互为备份的双通道链路。通过传统SDH传输网经由路由器对下连接至南疆、哈密、XXXX三个维修站。实现通道带宽为155M和14M互为备份的双通道链路。为进一步提高车站综合信息网的业务承载能,扩大链路负载带宽,降低长距链路的延迟与抖动,简化综合信息网络的自动化管理运维压力,实现以应用为中心的基础设施目标,实施与铁路多业务承载网对接方案进行设计与调整。
近年随着传统的TDM网络逐渐退出广域网市场,各种VPN(虚拟专用网络)以及MSTP等专线技术慢慢成为广域网技术主导。其中在MPLS(多协议标签交换)这个大框架下所衍生出的各类服务,例如基于多协议标签交换的二层虚拟点到点(EoMPLS)、虚拟交换业务(VPLS);三层的单播VPN、下一代组播VPN业务;基于多协议标签的跨域流量工程,分段路由(Segment-Routing)等,在越来越多的企业中的得到了大规模的部署应用,铁路多业务数据网现使用MPLS_L3VPN为各地区提供多业务承载服务,而传统的与综合信息网对接方案一般采用BGP双点对接技术或者在BGP网络之上覆盖(Overlay)GRE隧道来实现,这就对综合信息网络的管理与运维产生了一定的问题。
3 多业务数据承载网络系统构成

铁路多业务数据承载网采用MPLS-CSC(CarrierSupporting Carrier)模型部署,通常采用两级结构。提供高速数据转发的区域被称之为“backbone carrier”,即核心区域;提供多元化业务汇聚与接入的区域为“customer carrier”作为本地区域。

3.1 核心区域

Backbone carrier提供MPLS VPN服务给CustomerCarrier,Customer Carrier给最终用户提供MPLS VPN(Internet)服务。Customer Carrier的ISPX-POP1和ISPX-POP2维护VRF路由信息(最终用户),使用MP-BGP会话来传输VPN信息。VPN标签交换对于backbone carrier来说是透明的,backbone carrier只维护customer Carrier的interanl路由,不包含最终用户的路由。


核心AS内为构建控制平面的路由操纵与数据平面的报文转发,需解决如下问题:
1.域内ipv4路由
在各AS内部使用链路状态IGP,ISIS使得路由器环回口可达。
2.域内VPNv4/6路由
113017vrsrrrddbvvzv6i6.png
在各AS内的RR与PE之间,RR与ASBR之间,使用MP-iBGP建立VPNv4/6-unicast邻居关系,由RR反射VPNv4/6路由前缀信息给MP-iBGP邻居。
3.域间ipv4路由(可选)
使用接口直连,无需配置。
在AS之间的ASBR之间使用静态路由方式指向对端设备环回接口。
4.域间VPNv4/6路由
在ASBR上关闭route-target过滤来接收VPNv4/6路由前缀,使用RPL放行EBGP邻居更新过来的VPNV4/6路由前缀。同时在AS之间的ASBR之间使用单跳MP-eBGP建立VPNV4/6-unicast邻居关系,相互更新VPNv4/6路由前缀信息,并使用next-hop-self优化RR上VPNv4/6路由前缀的下一跳可达性,即内层标签为AS内ASBR设备分发(cisco option2a);在AS之间的ASBR之间使用静态路由方式指向对端设备环回接口,并使用多跳MP-eBGP建立VPNv4/6-unicast邻居关系,相互更新VPNv4/6路由前缀信息,并使用next-hop-self优化RR上VPNv4/6路由前缀的下一跳可达性,即内层标签为AS内ASBR设备分发(cisco option2b);在AS之间的ASBR之间使用静态路由方式指向对端设备环回接口,并使用多跳MP-eBGP建立VPNv4/6-unicast邻居关系,相互更新VPNv4/6路由前缀信息。采用在IGP中重分发静态路由方式来优化RR上VPNv4/6路由前缀的下一跳可达性,即内层标签为对端ASBR设备分发(cisco option2c)。
5.域内节点标签
域内使用IGP扩展Segment-routing自动生成Adjacency-sid,并在环回口下指定Node-sid。
6.域间标签
Backbone Site与POP Site的ASBR对接时,在VRF下使用BGPlabeled-unicast分发标签。
3.1 本地区域Customer carrier内使用OPTION C跨域也叫多跳MP-EBGP跨域,由于BGP只要能建立TCP连接,就能成为BGP邻居并传递路由信息,因此,OPTIONC通过多跳的MP-EBGP直接在源、宿端PE之间传递VPN路由信息,然后在源、宿端PE之间构建LSP公网隧道。
该方式首先需要在不同AS域的PE之间建立跨域的LSP(域内采用LDP分发标签,域间采用单跳eBGP分发标签),然后不同AS域的PE通过多跳MP-eBGP传播VPN路由信息。在进行报文转发时,域内使用三层标签转发,ASBR之间采用两层标签转发。
优点:ASBR不需要处理VPN信息,最符合VPN的要求,即中间设备不感知VPN信息。
缺点:这种方式需要在域之间互相通告环回接口的路由,造成所谓的路由泄漏问题。同时由于需要建立跨域的LSP,在管理上带来较大的麻烦。另外,由于跨域同一VPN的所有PE之间都要建立eBGP连接,存在严重的扩展性问题。
特点:这种方式主要针对B方式的不足加以解决,不需要在ASBR上维护具体用户的VPN路由信息,将VPN路由的处理处理压力分散到PE上,它适合于大型的网络。当VPN业务大规模发展时,可以使用OPTIONC跨域方法。
113032mvyyjlzjufp9quqd.png
站点AS内为构建控制平面的路由操纵与数据平面的报文转发,需解决如下问题:
1.域内ipv4路由
在AS内部使用链路状态IGP,OSPF使得路由器环回口可达。
2.域内VPNv4/6路由
在各次级运营商AS内的RR与PE上使用MP-iBGP建立VPNv4/6-unicast邻居关系,由RR反射VPNv4/6路由前缀信息,在RR上检查VPNv4/6路由前缀信息。
3.跨域ipv4路由
在域内ASBR与骨干区域PE之间使用单跳MP-eBGP构建ipv4labele-unicast邻居关系。使用路由策略语言匹配域内设备环回口,并且单向重分部IGP进入BGP;在域内ASBR与RR之间,RR与PE之间,使用MP-iBGP构建ipv4 labeled-unicast邻居关系。由ASBR更新ipv4路由前缀给RR,再反射ipv4路由前缀信息给PE,并在ASBR上使用next-hop-self优化RR与PE上的ipv4路由前缀下一跳可达性;在各域的ASBR和RR、PE上检查ipv4路由前缀信息,保证主机路由可达性,即32位环回口地址到任意节点可达。
4.域间VPNv4/6路由
在AS之间的RR上使用多跳MP-eBGP建立VPNV4-unicast邻居关系,相互更新VPNv4路由前缀信息,并使用next-hop-unchanged优化PE-PE路径,即内层标签为对端PE分发。
5.PE与CE对接
在AS内的PE上划分VRF,启用ipv4地址簇,设置RD(路由表示符)与RT(路由导入导出信息)并将接口划入所属VRF中;在BGP进程里新建VRF下的ipv4地址簇,与CE设备建立BGP对等体,同时重分布直连接口并过滤无需的VPN前缀。
6.域内标签

AS内RR与ASBR之间,RR与PE之间使用BGPlabeled-unicast分发标签。

7.流量工程

在P节点之间建立MPLS_TE自动隧道接口并使能mplsip,建立Target-LDP邻居,使用RSVP再次分发标签。


4 传统对接方案MPLS_L3VPN组网是由MPLS数据承载网提供L3的数据传输服务,由数据网中PE设备提供VRF接口与各个驻地设备的CE路由器对接,建立边界网络对等体,并在各地区的CE设备上将自己区域的路由前缀信息(通常为IGP,ISIS或OSPF)与BGP进行汇总和双向重分布。而为达到可靠性要求,通常情况下会为站点配置双CE路由器,进行双点双向重分布与路由汇总。
4.1 产生的问题
1. 为达到可靠性要求,通常情况下会为站点配置双CE路由器,进行双点双向重分布与路由汇总,这就在一定程度增大了路由发生环路的可能性。
2. 而为了防止环路的出现,一般会在数据网的PE设备上为不同的站点CE路由器设置独立且唯一的RT导出值,在CE设备上进行重分布与汇总时,提前设置前缀列表、访问控制列表、偏移列表,使用路由策略语言等控制手段来对路由进行精确的匹配和操纵。这样不但会增加配置的复杂度也容易造成设备过高的负载。
3. 由于BGP(边界网管协议)选路原则设计第11条-首选来自最低路由ID的BGP路由器的路由。这时如果在对接备路CE路由器的数据网设备(PE)中配置了更小的路由ID,那么在双CE站点的数据业务出入方向路径选择时可能会出现来回路径不一致的问题。该问题会造成当CE路由器下联防火墙时会导致部分业务时通时断的情况,难以定位及排查故障。
4. MPLS_L3VPN组网方式使得网络结构更加扁平化,相对就会带来一些安全性的问题。首先mpls数据包不能使用ipsec等技术进行ESP或者AH的加密重封装,在MPLS域内进行交换时容易被截取数据,更有可能遭到中间人攻击。
5. 同时,如果因为管理人员的误操作等原因造成在当地区域的CE路由器上错误的更新了一条或者汇总了多条本不存在于本区域的路由前缀给对端PE设备,那么各个地区的PE设备都会从核心VPNV4/6地址族的路由反射器中接收到错误的路由前缀安装到路由表中,其造成的问题不再单单只是单个地区的,可能会影响到各个地区的生产业务,严重性是难以估量的。
6. 其次由于扁平化结构带来的网络融合特性,BGP协议会因为各种品牌设备之间的兼容性问题,导致重新收敛时间过长(即业务中断时间过长),路由表前缀数据库表项数量庞大,如果使用BFD与IP_SLA等技术手段控制也会增加配置的复杂性。

5 解决方案及设计思路

为解决以上问题,提出一个全新的设计思路—mGREover MPLS_L3VPN,即将MPLS_L3VPN数据业务承载网作为底层数据传输的underlay网络,在其表面使用mGRE隧道技术覆盖一层full-mesh的overlay网络。

这样有机结合了MPLS技术的优点同时也尽可能的避免了现有架构中存在的不足之处。
5.1 技术特点
1. 首先,在mGRE网络中在CE设备上使用上联PE的接口作为隧道的源接口,tunnel接口作为逻辑接口建立端到端的单一IGP邻居关系,使得单区域的网络中只有单个的路由协议,不需要进行IGP与BGP之间的双向重发,从而解决了环路问题发生的可能性。
2. 其次,由于使用IGP协议,不需要高性能的设备支持庞大、冗杂的BGP路由前缀表,也在一定程度上解放了日常运维的压力。
3. 同时使用IGP中的COST值或Metric类型,在单区域中进行业务数据流的路径选择,从而避免了来回路径不一致问题。
4. 并且使用mGRE技术封装的GRE数据包可以使用ipsec等方式进行数据包的ESP加密,避免了中间人攻击问题。
5. 由mGRE构成的层次化网络架构,使用的是基于区域的IGP协议而不是BGP这样的路径矢量协议,所以在路由前缀的更新、同步、计算、收敛过程中所消耗的的时间基本上是可以忽略不计的。
6. 并且如果意外出现错误的条目,只会影响当前区域,并不会影响到其他地区的正常生产业务。

6 车站综合信息网络系统构成

综合信息网采用SONA架构部署,通常采用防火墙下联核心交换机(用户接入网关),上联边缘路由器(CE路由器)的三层结构。

113117jpz5qufqcw2cwpxe.png

6.1 链路方式由双路CE路由器对接上联PE设备,双路核心交换机下联汇聚交换机,下联接入交换机。其中CE路由器互联接口,防火墙互联接口及核心交换机(用户接入网关)上联接口,均为路由接口(三层模式),配置/30位掩码的互联地址,同时新增3组/128位掩码的环回口地址用于设备管理。在核心交换机上新建用户接入网关(SVI)接口,同时采用多条链路捆绑,形成Etherchannel的干道链路(trunk),放行业务VLAN。在交换机之间同步创建业务VLAN,汇聚交换机上联采用双链路(trunk)上联至核心交换机,单链路下联至各个地区的接入交换机,并放行业务VLAN。
6.2 控制层面路由规划

在CE路由器上使用BGP协议对接上联PE设备,配置Underlay路由。在使用MP-BGP(eBGPiPv4_unicast)路由协议与通信PE设备对接的过程中,引入并更新、发布直连接口,同时加入ipv4前缀列表匹配出30位的互联接口路由,用于通告、收取、过滤和安装ipv4路由前缀,同时对PE设备使能reconfiguration-soft inbond命令,接受并维持无效的BGP前缀,用于后期检查。注意将eBGP的路由管理距离调整至IGP之下。

使用对接PE设备的上联接口为隧道源端口,在Spoke节点(即NHC)上建立多点GRE tunnel接口,注意接口MTU值、接口时延、NHRP注册时间、保持时间,指定NHS服务器地址,指定单播、组播报文映射地址,开启第三阶段NHRP最短路径功能。
采用OSPFv2(开放最对路径优先)协议作为Overlay的路由协议,设置换回接口作为router-id,并将环回接口加入OSPF协议计算中,用于设备管理。使用mGRE的tunnel接口与中心的hub节点建立OSPF邻居关系,并指定链路类型为广播链路,同时指定dr-priority为0不参与DR选举。使用下联防火墙接口参与OSPF计算,指定链路类型为点到点链路。
防火墙上采用OSPFv2路由协议,将所有接口加入OSPF计算,指定链路类型为点到点链路,同时关闭链路状态检测。在核心交换机上将上联接口,指定链路类型为点到点链路,同时将SVI用户接入网关接口加入OSPF计算。
6.3 转发层面故障容错在主备路核心交换机上配置MST(多实例生成树),并将所有业务实例的根桥优先级设置为primary,备路为secondary,同时在业务SVI下配置热备网关协议,开启抢占,并在主路下配置priority。
由于汇聚交换机采用双链路上联,可承受单链路故障,生成树重新计算收敛,不影响业务数据转发。核心交换机之间采用EtherChannel链路,同时可承受单链路故障,并且使用VRRP,可承受单台设备离线,用户接入网关可快速切换。整体业务模型可承受三台设备故障或多台设备间单链路故障。
6 条回复6

one-time
Level 13
Level 13
感谢楼主分享~

18653465190
Spotlight
Spotlight
感谢楼主的分享谢谢。

Bingyu
Level 1
Level 1
赞,谢谢楼主的分享,谢谢

moxiuli
Level 9
Level 9
学习了,很好的分享,赞

zhaowl168
Level 1
Level 1
学习了,很好的分享,赞

xuxiaoxunlxl
Level 1
Level 1
感谢楼主分享
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接