CRNET与城域网建设技术交流

Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 1 CRNET与城域网建设 技术交流 思科北京公司 喻超 CCIE #5329 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 2 CRNET网络概况及建网思路和原则 MPLS VPN的业务及关键技术 L2 二层 VPN的应用 汇报提纲 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 3 国内网关/网际网关成都武汉沈阳北京重庆 贵阳昆明哈尔滨 长春天津济南呼 和 浩 特太原石家庄长沙南宁深圳柳州杭州南京福州西宁兰州银川乌鲁木齐厦门大连徐州齐 齐 哈 尔合肥大同郑州蚌埠南昌怀化广州1 0 G2 . 5 G1 5 5 M骨 干 网 拓 扑 结 构 图6 2 2 M西安苏州C H 1C H 2C H 3C H 4上海C H 1C H 1C H 3C H 3C H 3C H 3C H 4C H 4C H 4C H 4C H 4C H 4C H 3C H 4C H 4C H 3C H 3C H 3C H 4C H 4C H 4C H 4C H 3C H 3C H 3C H 3C H 4C H 3C H 3C H 2C H 4C H 4C H 4C H 4C H 4C H 4C H 4C H 4C H 4C H 4C H 4C H 4C H 4C H 4C H 4C H 4C H 3C H 3C H 4C H 4C H 4C H 4C H 3C H 3C H 3C H 4C H 1广东省在 CRNET 骨干网网络的位置 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 4 CRNET 建网思路和城域网建设指导原则 1. CRNET坚持全程全网，统一管理 2. 初期不建设独立的省网，城域网和 CRNET直接相连 3. 各城域网为 CRNET密不可分的组成部分，城域网是骨干网业务在城域的无缝延伸 4. 在 CRNET的基础上，提供全国范围的 MPLS VPN服务 5. 将 CRNET扩展成可提供综合多业务的数据平台 6. CRNET部分权力将下放到分公司，总部保留相对全力和监管能力 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 5 区域网络连接拓扑图 (华南 ) B类节点 A类节点 C类节点 长沙 怀化 株州 郴州 常德 衡阳 娄底 岳阳 柳州 深圳 东莞 肇庆 茂名 中山 汕头 佛山 顺德 华南区（广州） 湛江 桂林 南宁 155M 622M CH3 CH4 昆明 CH3 CH3 CH4 CH4 CH4 CH4 CH4 CH4 CH4 CH4 CH4 武汉 广州 广州铁通网络与 CRNET 骨干网 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 6 A1类（上海、广州）节点结构图 ATM/FR DNS/NTP/CACHE NETFOLW 宽带接入 拨号接入 VLAN2-VLANn HSRP 其它 A类 B类 A1-CR1 A1-CR2 dGR AR2-1 SW2 MPLS PE 带外管理 电源 控制口 以太 IP Phone ChinaNet /GBN UUNET/AT&T /. POS155 RR-1 RR-2 其它 A类 AR1 VPN用户接入 AR2-2 GE CH3 GE iGR GE CH4 CH4 GE GE GE GE CH4 CH4 CH4 CH4 CH4 GE CH1 GSR12416 GSR12406 10G DWDM 1G ethernet 622M STM-4 100BaseT 155M STM-1 图例： CH3 FE CH4 CH1 GE Cisco 7200 高速 接入 /. Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 7 B类节点结构图（深圳） 带外管理 电源 控制口 以太 深圳 CR-B 拨号接入 专线接入（ 64K-8M） FR 接入 IP Phone 城域网 业务类型： 以太接入 /宽带接入 DNS FR/DDN/ 专线接入 /. Cache/ Netflow 城域网 / 宽带接入 MPLS PE VPN 用户接入 深圳 AR1 AR4 SW1 SW3 DLCI subinterface IP Phone 北京 1G ethernet 622M STM-4 100BaseT 2M/V.35 图例： B-CR GSR12406 AR1 GSR12406 AR4 SW1 说明： 1.图中实线框内设备为既有。 2.图中虚框内设备不在本工程内提供。 3.至 C类节点通道采用 STM-1或捆绑 2M。 Cisco7200 Siwtch 拨号接入 NAS AS 5300 B类节点拓扑结构图 CH3 GE 155M STM-1 FE CH4 CH3 GE CH4 FE GE FE FE FE Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 8 说明： 图中虚框内设备不在本工程内提供。 图例： AR5 SW4 Cisco 7200 Switch 155M STM-1/N 2M 10/100BaseT 2M/V.35/V.24 用户网络 VLAN2-VLANn AR5 SW4 DSU/CSU DSU/CSU VLAN1 NAS 拨号接入 广州 CR 带外管理 电源 控制口 以太 1G ethernet C类节点网络拓扑图 CH4 GE FE GE FE FE CH4 AR5 CH4 其他 C类节点结构图 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 9 城域网建设的服务模式 综合多业务服务 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 10 话音业务 200-300元 /电话（企业） 100 元 /电话 （个人） internet接入 100元 /家庭 1000元 /企业 VPN业务 1000-2000元 /节点 Video业务 60元 /小时 /节点 内容提供业务 视内容来确定 提高在单一数据线路上的业务收入来源 /ARPU 电话 传真 单一数据线接入 视频会议终端 IP电话 个人用户 / 网上游戏服务 一线通 多业务服务平台 VPN业务 /互联网业务 数据存储 /信息共享 综合多业务服务是电信网络的必然之路 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 11 杭州 CNC案例 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 12 杭州 CNC网络状况 开展的业务 企业虚拟专用内部网 /虚拟专用外部网 因特网访问 主机托管 /虚拟主机 VOD/远程教育 /交互式电视 /远程医疗 呼叫中心 IP电话 /可视 IP电话 电子抄表 家庭保安 远程监控 网上游戏 /网上炒股 信息点播（气象 /交通 /旅游 /新闻） 用户情况 有线电视用户 150万。市区 46万 目前上网人数： 6万多户 3000多企业虚拟网接入节点 内容服务， IDC数据中心服务 IP电话超市盈利 10万 /天 绑定销售 /销售电脑赠宽带 目前 1000万 /月的盈利 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 13 CNC Connect案例 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 14 城域网建设的服务模式多业务服务 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 15 城域网建设的服务模式多业务服务 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 16 全业务提供铁通城域网 服务质量保证 应用托管 内容托管 无线互联网 主机托管 视频会议 软交换 从接入层到骨干网 业务汇聚点 IP 语音 数据专线 互联网接入 内容推送 铁通城域网 DSL 无线 帧中继 ATM 专线 以太网 接入层 长途多业务平台 长途波分 ATM CRNET 核心数据网 集成的模型 专注于业务开展 城域 DWDM 城域 DPT SDH多业务平台 以太网 MSTP Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 17 全国范围的 MPLS VPN服务业务 目标市场高端企业用户（ ARPU值） MPLS VPN作为接入的手段 基于 MPLS VPN的增值服务是源源不断的利润来源 具有铁通优势和特点的全国 MPLS VPN服务是制胜的关键 有针对性的扩大覆盖面，逐步实施 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 18 基于 CRNET全国范围的 MPLS VPN业务 CRNET 宽带数据网 铁道部 北京 VPN 北京总部 铁道部 上海 VPN 上海分部 吉林分部 武汉分部 广州分部 铁道部 成都 VPN Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 19 MPLS VPN业务及相关技术 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 20 多业务服务的具体实现 MPLS VPN的安全性 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 21 互联网 大楼 A 小区 B Internet 高速接入业务 铁通 IP宽带 城域 网络 企业 C 学校 D 互联网 FE/GE LRE/ADSL Wireless HFC 端口带宽 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 22 用户端设备 用户端设备 A用户 1 A用户 2 使用原有私有地址 宽带互连 10/100M以太网，低成本，高带宽 MPLS VPN 企业内联网用户内部网络互连 增加虚拟专用网 A的路由 IP宽带 城域 网络平 同时可轻松提供针对不同业务的多 VPN服务 如语音，视频，财务，人事等 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 23 互联网 A用户 1 A用户 2 虚拟专用网 A路由 增加互联网访问路由 互联网访问 IP宽带 城域 网络 用户端设备 用户端设备 在提供企业内联网业务基础上，利用同一线路，统一的 IP宽带网络平台提供互联网访问业务。 同时可轻松提供针对不同业务的 VPN服务 如语音，视频，财务，人事等 MPLS VPN 企业内联网用户内部网络互连 同一线路访问互联网 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 24 Classical Internet Access Addressing The Customer can use private address space. The firewall provides Network Address Translation (NAT) between the private address space and the small portion of public address space assigned to the customer. I n t e r n e tC u s t o m e r V P NC E - S i t e - 1C E - I n t e r n e tF i r e w a l lC E - S i t e - 2C E - S i t e - 3C E - C e n t r a l P E - I n t e r n e tPrivate addresses Public addresses Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 25 Internet Access from Every SiteAddressing Two addressing options: Every CE router performs NAT functionalitya small part of the public address space has to be assigned to each CE router. The customer uses only public IP addresses in the private networknot realistic for many customers. I n t er n etC u st o m er V P NC E-S i te -1 C E-S i te -2 C E-S i te -3 C E-C e n tr a lPrivate addresses Public addresses Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 26 Central Firewall Service Traffic Flow Internet Internet Access VPN VPN Customer A CE-A1 CE-A2 VPN Customer B CE-B1 CE-B2 Central Firewall Traffic between sites of one customer should flow inside the VPN. Traffic between customers is not allowed； a security breach could occur. Traffic can flow from customer sites to the Internet and back； customer sites are protected by a central firewall. Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 27 Combining Internet Access with VPN Services Two major design models: Internet access offered through yet another VPN Internet access offered through global routing on the PE routers Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 28 Internet Access in a VPN Benefits: The provider backbone is isolated from the Internet； increased security is realized. Drawbacks: All Internet routes are carried as VPN routes； full Internet routing cannot be implemented because of scalability problems. Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 29 Internet Access Through Global Routing Two implementation options: Internet access is implemented via separate interfaces that are not placed in any VPN routing/forwarding instance (VRF) (traditional Internet access setup). Packet leaking between a VRF and the global table is achieved through special configuration commands. Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 30 Internet Access Through Packet Leaking Benefits: This method can be implemented over any WAN or LAN media. Drawbacks: Internet and VPN traffic is mixed over the same link； security issues arise. More complex Internet connectivity options (for example, full Internet routing for customers) are hard to implement. Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 31 Packet Leaking in Action PE PE Internet Site-1 PE-IG Site-2 Network /16 Serial0 VPN-A VRF /0 (global) Site-1 routes Site-2 routes Global Table and FIB /32 Label=3 /32 Label=5 . IP packet D= Label = 3 IP packet D= IP packet D= Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 32 Internet Access Through a Dedicated SubinterfaceTraffic Flow PE PE Site-1 PE-IG Site-2 Network /16 Serial0.1 Serial0.2 Serial0.1 Serial0.2 CE routing table Site-2 routes - Serial0.1 Internet routes - Serial0.2 IP packet D= PE Global Table Internet routes - , Label=3 Internet Label = 3 IP packet D= IP packet D= Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 33 互联网 A用户 1 A用户 2 虚拟专用网路由 互联网访问路由 增加虚拟专用网 B的部分路由 互联网访问 B用户 1 增加虚拟专用网 A的部分路由 用户端设备 用户端设备 用户端设备 在提供企业内联网，互联网访问业务基础上，利用同一线路，统一的IP宽带网络平台提供企业外联网业务。 IP宽带网络平台 MPLS VPN 企业外联网外部网互连 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 34 运营商之运营商业务 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 35 运营商之运营商 Customer-ISP 不运行 MPLS CRNET PE-1 PE-2 CE-1 CE-2 中经网 沈阳 IGP 中经网 北京 IGP ISP customers ASBR-1 ASBR-2 ISP customers Network = N IP Dest=N IP Dest=N 1 IP Dest=N IP Dest=N IP Dest=N IP Dest=N 2 IP Dest=N IP Dest=N 1 6 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 36 Carrier Backbone PE-1 PE-2 CE-1 CE-2 ISP customers ASBR-1 ASBR-2 ISP customers Network = N IP Dest=N IP Dest=N IP Dest=N IP Dest=N 3 IP Dest=N 2 IP Dest=N 1 6 IP Dest=N 1 IP Dest=N 15 IP Dest=N 7 运营商之运营商 Customer-ISP 运行 MPLS 中竟网 沈阳 IGP 中经网 北京 IGP Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 37 运营商之运营商 Customer-ISP 运行 MPLS-VPN Carrier Backbone PE-1 PE-2 CE-1 CE-2 I-PE1 I-PE2 Network = N IP Dest=N IP Dest=N IP Dest=N 12 3 IP Dest=N 12 2 IP Dest=N 1 6 12 IP Dest=N 1 12 IP Dest=N 25 12 IP Dest=N 7 12 IP Dest=N 12 中竟网 沈阳 IGP 中经网 北京 IGP Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 38 网际 MPLS VPN 业务 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 39 CATV/CNC CRNET 网际 MPLS VPN PE-1 PE-ASBR1 CE-1 CE-2 P1 Network = N PE-ASBR2 PE-2 P2 IP Dest=N IP Dest=N 20 8 IP Dest=N 20 IP Dest=N 12 IP Dest=N 1 6 IP Dest=N 1 IP Dest=N Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 40 A用户 1 A用户 2 虚拟专用网 A路由 互联网访问路由 虚拟专用网 B的部分路由 增加话音 VPN 的部分路由 B用户 1 IP电话 通道 V 网关 PSTN/GSM 国家级长途 VOIP 智能软交换关守 IP电话 传统电话 （ 铁通号码） （ 铁通号码） 互联网 互联网访问 电视会议 用户端设备 在提供企业内联网，互联网访问业务，企业外联网业务基础上，利用同一线路，统一的 IP宽带网络平台提供企业 IP电话业务。 IP宽带网络平台 MPLS VPN 语音 /电视会议专用 VPN 电视会议 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 41 与广电基于 Voice Over Cable的合作 HFC Gatekeeper PSTN V CATV IP MAN IP电话 VPN 铁通城域IP网络 IP电话 VPN 智能软交换 智能软交换 CMTS Cable Modem 成本投入 : SoftSwitch 每线的成本 10-20$ 所有的用户接入的电话 Cable Modem由CATV投资 收入 : 15-20￥ /每月 /用户市话收费 一年内即可通过市话费收回投资，以后的收入即纯利润 用户的长途话务可通过铁通的 PSTN长途骨干或 VoIP骨干，假设 30￥ /每月 /用户，2000用户可每年给铁通带来额外的 2000*30*12=72万 ￥ 卖点 : CATV 在提供数据的同时，为用户提供话音，帮铁通放号 铁通在最小的成本情况下，扩大铁通的用户覆盖范围 用户在享受数据，语音， 是铁通，广电，用户三赢的局面 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 42 城域 MPLS VPN网吧联盟 网吧联盟 2接入 上网 网吧联盟 1接入 上网话音 网吧联盟 1接入 上网 网吧联盟 2接入 上网话音 CRNET骨干 PE PE P P 铁通城域网 PE V 话音 VPN 普通接入点 话音 Site 1 Site 2 Site 3 Site 4 Site 5 Site 6 普通上网 Site 7， 8 网吧间共享资源 /联网游戏 /VoIP通话 /可视聊天 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 43 铁通 城域 网 企业具体业务分析 城 域 宽带 IP网络 平台 以太网交换机 互联网 某企业分部 /某大楼 MPLS VPN连接本部和分部 电视会议 企业 A IP电话 企业 A分 部 电视会议 IP电话 企业 A总部 MPLS VPN连接本部和分部 IDC数据中心 主机托管 二级运营商 /内容提供商 网上教学 /学习 内部信息共享 视频点播 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 44 互联网 用户端设备 银行 证券公司 金融用户 透明传送业务高带宽，高安全性 连接用户的以太接口为二层接口，无 IP地址 Ethernet, ATM, Frame Relay etc 同一网段 同一局域网 银行 证券公司 金融用户 用户端设备 IP宽带网络平台 L2 VPN服务 L2 VPN 安全、透明网络通道传输业务 A用户 1 A用户 2 Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 45 L2 VPN业务及技术 1. AToM 2. L2TP Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 46 IP VPN技术 Complete L2 and L3 VPN Solutions for both IP and MPLS L2 L3 MPLS AToM (draft-martini) RFC 2547 VPN （ MPLS VPN) IP UTI/L2TPv3 TBD RFC 2547? Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 47 Any Transport over MPLS (AToM) Provides ability to transport layer 2 traffic across MPLS packet-based core networks, extending the richness of MPLS capabilities to L2 VPNs A scalable architecture that supports the multiplexing of subscriber connections A standards based (draft-martini) open architecture allows extensibility to many transport types Designed for Any-to-Any connectivity SP does not participate in customer routing MPLS Core AToM Frame Relay ATM Leased Line Ethernet Frame Relay ATM Leased Line Ethernet Allows SPs to combine with Cisco IOS QoS and MPLS Traffic Engineering to provide Virtual leased line like services Presentation_ID 2001, Cisco Systems, Inc. All rights reserved. 48 AToM 数据流程 PE1 MPLS Backbone PE2 Any Transport over MPLS (AToM) Tunnel MPLS LSP Frame Relay CPE Router, FRAD DLCI 101 CPE Router, FRAD Frame Relay DLCI 201 Directed LDP Label Exchange for VC1 Label 10 Label Exchange for VC2 Label 21 VC1 Connects DLCI 101 to DLCI 201 VC2 Connects DLCI 102 to DLCI 202 DLCI 202 DLC