ip 城域网组网方案.doc

XX市ip 城域网规划方案姜道友 整理2006-01-07一、设计原则2二、 设备用途说明和命名规则42.2 设备命名规则52.3 设备用途描述52.4设备用途说明：8三、网络架构103.1 核心骨干模块 (backbone)113.2 Internet(163/169) 连接点模块133.3 IP VPN 服务模块153.4 商业 Internet 接入模块203.5 小区 Internet 接入模块233.6 政府上网接入模块263.7 主机托管模块27四、远程连接294.1 远程连接294.2 略304.4 VLAN 编号和用途说明31五、 IP 地址335.2 域内路由协议 (IGP)345.3 IP 地址分配345.4 IP 子网规划36六、和 163/169 的连接386.1 缺省路由386.2 EBGP 出口路由设计396.3 在多出口上实现流量均衡40七、 MPLS VPN PE-CE 的连接41八、 VPN 的 Internet 接入428.1 VPN Internet网关428.2 VPDN for VPN44九、 NMS 网段46十、安全控制50十一、CoS & QoS5211.1 可选择的工具5211.2 实现54一、设计原则 电信局决定建设一个先进的、灵活的、可靠的、基于标准的城市骨干通信平台，使得XX电信能够基于这个平台，针对市场上 IP 用户的大量宽带多媒体应用的需求，迅速推出一系列崭新的宽带多媒体业务，从而吸引更多的用户，增加市场竞争力，实现网络的商用价值，并为今后满足市场新的业务需求而迅速推出新的业务打好基础。 XX IP 城域网一期工程的建设目标是将 IP 城域网建成为数据业务的统一骨干平台，在此平台上为政府、企业、学校提供高速接入，同时提供 VPN 等增值业务。 基于以上的建立目标，XX IP 城域网的设计原则为： 可靠性原则； 可扩充性原则； 简单和易于管理的原则； 可以集中管理的原则； 效率高； 和现有网络有较好的集成； 安全性；网络可靠性通过下述的设计思路来达到： 在网络核心层进行 Partial meshed 冗余物理连接； 接入层设备通过 Dual homing 双连接到核心层； 网络采用多出口设计到 Internet (163/169) ； 在接入层采用 Route summarization 减少边缘链路波动对核心的影响； 合理采用静态路由，提高可靠性；网络可扩充性通过下述的设计思路来达到： 网络采用明显的“核心 分布”层次结构； 简单而有效的 IP 地址分配策略； 采用可靠和可扩展的 IGP 路由协议；简单和易于维护性通过下述设计思路来达到： 所有的网络设备被分配专门的用途； 避免复杂的配置； 网络设备命名直观而易记； 统一的 slot 、 port 、 VLAN 的分配策略； 每台设备都配有 loopback 地址，易于维护；集中管理通过下述设计思路来达到： 为中央网络管理系统配有专门的管理网段； 从中央网管网段可以到达所有设备； VPN PE-CE 连接从 NMS 网段同样可以到达； 为所有互连网段包括 VPN PE-CE 连接都采用合法 IP 地址；运行的高效性通过下述设计思路来达到： 核心层互连链路采用相同接口类型和相同速率，便于作负载平衡； 城域网内部采用缺省路由配合 IGP metric 作出口选择； 和 Internet 的多连接上采用 BGP MED 特性进行负载分担；和现有网络的集成通过下述设计思路来达到： 采用开放的、标准的路由协议将城域网分为多个路由区域，现有网络可以通过单独的域连接上来； 和 Internet(163/169) 的 BGP 连接通过保留的 AS 号，这样不会影响XXX省和中国电信 163/169 网络出国的 BGP 路由；安全性通过下述设计思路来达到： 对所有重要事件进行 log ； 限制对设备的 SNMP 和 TELNET ； 采用 NTP 协议对全网的设备进行同步； 对不安全的端口上将路由协议进行 Passive ，防止不必要的路由泄露； 对网络设备的 User 和 Privilege 状态进行存取控制；网络总体结构如图所示：二、 设备用途说明和命名规则2.1 Site 代码 Site Site Code 枢纽 SN 黄木岗 HMG 电信 DX 南山 NS 新安 XA 龙中 LZ 沙头角 STJ 东港中心 DG 新南头 XNT 机关专用局 JG 蛇口 SK 鸿波 HB 龙脉 LM Site 代码是地点名的拼音缩写而成。前 11 个 site 是本期工程所要安装设备的点，后 2 个 site 不涉及设备安装。 2.2 设备命名规则 解释 : 设备类型为 “6509” 代表 Catalyst 6509 switch 的 LAN switch 部分； 设备类型为 “6509R # ” 代表 Catalyst 6509 switch 的 routing 部分： 6509R 1 代表安装在 6509 的 primary supervisory card 上的 MSFC feature card ； 6509R2 代表安装在 6509 的 Redundant supervisory card 上的 MSFC feature card 。2.3 设备用途描述 Site Device Model Device Name Usage 枢纽楼 GSR12012 M-SN-12012-A MPLS core router 7507 M-SN-7507-A MPLS PE router 3620 M-SN-3620-A VPN Management CE router 2924M-XL M-SN-2924-A VPN GE Fan out access concentrator 2924M-XL M-SN-2924-B Commercial Internet access concentrator VPN GE Fan out 6509-MSFC M-SN-6509R 1 -A Inter-VLAN routing 6509-MSFC M-SN-6509R2-A Inter-VLAN routing 6509 M-SN-6509-A Community Internet access concentrator Local server hosting 黄木岗 GSR12012 M-HMG-12012-A MPLS core router 7513 M-HMG-7513-A MPLS PE router 2924M-XL M-HMG-2924-A VPN access concentrator GE Fan out 2924M-XL M-HMG-2924-B Commercial Internet access concentrator VPN FE Fan out 6509-MSFC M-HMG-6509R 1 -A Inter-VLAN routing 6509-MSFC M-HMG-6509R2-A Inter-VLAN routing 6509 M-HMG-6509-A Community Internet access concentrator Local server hosting 电信 GSR12012 M-DX-12012-A MPLS core router 7507 M-DX-7507-A MPLS PE router 2924M-XL M-DX-2924-A VPN access concentrator VPN GE Fan out 2924M-XL M-DX-2924-B Commercial Internet access concentrator VPN FE Fan out 6509-MSFC M-DX-6509R1-A Inter-VLAN routing 6509-MSFC M-DX-6509R 2 -A Inter-VLAN routing 6509 M-DX-6509-A Community Internet access concentrator Local server hosting 6509-MSFC M-DX-6509R1-B Inter-VLAN routing 6509-MSFC M-DX-6509R 2 -B Inter-VLAN routing 6509 M-DX-6509-B Reserved for 163 server hosting in DX Local server hosting 东港中心 6509-MSFC M-DG-6509R 1 -A Inter-VLAN routing 6509-MSFC M-DG-6509R2-A Inter-VLAN routing 6509 M-DG-6509-A S Remote s erver hosting 6509-MSFC M-DG-6509R1-B Inter-VLAN routing 6509-MSFC M-DG-6509R2-B Inter-VLAN routing 6509 M-DG-6509-B Server hosting 南山 GSR12012 M-NS-12012-A MPLS core router 7507 M-NS-7507-A MPLS PE router 2924M-XL M-NS-2924-A VPN access concentrator 2924M-XL M-NS-2924-B Commercial Internet access concentrator 6509-MSFC M-NS-6509R1-A Inter-VLAN routing 6509-MSFC M-NS-6509R2-A Inter-VLAN routing 6509 M-NS-6509-A Community Internet access concentrator 新南头 6509-MSFC M-XNT-6509R1-A Inter-VLAN routing 6509-MSFC M-XNT-6509R2-A Inter-VLAN routing 6509 M-XNT-6509-A Server hosting 6509-MSFC M-XNT-6509R1-B Inter-VLAN routing 6509-MSFC M-XNT-6509R2-B Inter-VLAN routing 6509 M-XNT-6509-B Server hosting 新安 GSR12012 M-XA-12012-A MPLS core router 7507 M-XA-7507-A MPLS PE router 2924M-XL M-XA-2924-A VPN access concentrator 2924M-XL M-XA-2924-B Commercial Internet access concentrator 龙中 GSR12012 M-LZ-12012-A MPLS core router 7507 M-LZ-7507-A MPLS PE router 2924M-XL M-LZ-2924-A VPN access concentrator 沙头角 GSR12012 M-STJ-12012-A MPLS core router 7507 M-STJ-7507-A MPLS PE router 2924M-XL M-STJ-2924-A VPN access concentrator 2924M-XL M-STJ-2924-B Commercial Internet access concentrator 蛇口 7507 M-SK-7507-A MPLS PE router 2924M-XL M-SK-2924-A Commercial Internet access concentrator 机关专用局 6509-MSFC M-JG-6509R1-A Inter-VLAN routing 6509-MSFC M-JG-6509R2-A Inter-VLAN routing 6509 M-JG-6509-A Government agency Internet access concentrator 2.4设备用途说明： MPLS Core Router 设备用作 MPLS 核心 Label 交换路由器； 不直接连接任何用户； 所有核心层路由器之间、核心路由器和 PE 路由器之间的连接必须 MPLS Enabled ； 核心路由器只能运行独一的 IGP 路由协议； MPLS PE Router 设备用作 MPLS provider edge router （ PE ）； 所有 VPN 用户端的连接终结在 PE 上； 同时， PE 路由器作为 Internet 分布层接入路由器； PE 在 IGP 上作为 ABR ，进行路由聚合； VPN Access Concentrator 设备用于 VPN 扇出，上联链路为 PE 路由器 GE VLAN Trunk ； 每一个 FE 交换端口属于一个单独的 VLAN ； 每个 FE 交换端口和用户设备通过 FE-to-Fiber 单模光纤转换器连接； 注：该转换连接不属本次工程范畴 Commercial Internet Access Concentrator 设备用于商业用户的高速 Internet 接入； 每一个 FE 交换端口属于一个单独的 VLAN ； 每个 FE 交换端口和用户设备通过 FE-to-Fiber 单模光纤转换器连接； 注：该转换连接不属本次工程范畴 Inter-VLAN Routing 设备用作 Inter-VLAN 路由，这些 VLAN 是通过 Switch 建立起来的； 同时，该设备还用于 Internet 接入路由器； 设备在 IGP 中作为 ABR ，进行路由聚合； Community Internet Access Concentrator 设备用于小区用户高速 Internet 接入； Supervisory Engine 上的 GE 端口通过多模光纤连接到本地的 MPLS core 路由器上； VL A N A 1 作 用 于 Inter-VLAN 路由器（ MFSC ）作为管理网段； VLAN 通过 FE-to-Fiber 单模光纤转换器和小区的用户设备相连； 注：该转换连接不属本次工程范畴 Server Hosting 设备（ LAN 交换机）用于连接各种主机托管服务器； Supervisory Engine 上的 GE 端口通过单模光纤连接到远程的 MPLS core 路由器上； VLNA1 作于 Inter-VLAN 路由器（ MFSC ）作为管理网段； VLAN Management CE Router 设备作为一个 CE 路由器，连接中央网管网段，通过 VPN 连接到所有的用户 VPN 上，以便于中央网管对所有 PE CE 链路和 CE 路由器进行管理； 一个 FE 端口连接到本地 PE 上网管专用 FE 端口，另一个 FE 端口连接到 Local Server Hosting 以太网交换机上，通过网管专用网段和网管主机相连接；(9) Government Internet Access Concentrator 设备用作政府机构上网的接入集中器，提供高速 Internet 连接； 6509 上的 supervisory engine 的 GE 口通过单模光纤连接到最近的 MPLS Core Router ； VL A N A 1 作 用 于 Inter-VLAN 路由器（ MFSC ）作为管理网段； VLAN 通过 FE-to-Fiber 单模光纤转换器和小区的用户设备相连； 注：该转换连接不属本次工程范畴。三、网络架构 XX IP 城域网在网络结构上分成核心层和接入层，在功能上提供 VPN 互连、高速商业 Internet 接入、高速小区 Internet 接入、政府上网接入、主机托管连接等多种服务类别。因此，为了在一种清晰的结构上进行网络设计，对网络进行功能模块的划分，将XX IP 城域网分为以下几个模块： 核心骨干模块 Internet(163/169) 连接点模块 IP VPN 服务模块 商业 Internet 接入模块 小区 Internet 接入模块 政府上网接入模块 主机托管模块 3.1 核心骨干模块 (backbone) 1 、结构 核心骨干模块由分布在 7 个不同地点的 7 台 Cisco GSR12012 路由器构成，分别是： M-SN-12012-A 枢纽的 GSR12012 M-HMG-12012-A 黄木岗的 GSR12012 M-DX-12012-A 电信的 GSR12012 M-NS-12012-A 南山的 GSR12012 M-XA-12012-A 新安的 GSR12012 M-LZ-12012-A 龙中的 GSR12012 M-STJ-12012-A 沙头角的 GSR12012 这 7 台 GSR12012 通过 POS 接口卡单模光纤以 partial meshed 结构互连；为了确保核心骨干模块的 MPLS 标签分配和路由表的稳定，这 7 台 GSR12012 及它们之间互相连接的 Link 必须独立地分配在 IGP 的 area 0 域中。从其它模块学到的路由在进入 Core 之前必须先进行 Aggregate 或 Summarize ，以免造成对 Core 的路由影响。 2 、实现 作为 IP 城域网的核心，要承载包括 IPv4 和 MPLS VPN 两种不同的 traffic ，所以，每台 Core Router 必须是能够支持 Tag Switching 。在这种配置下， MPLS VPN 的 traffic 被 Tag Switched ，而普通 IPv4 的 traffic 被 routed 。 下面是一台 Core router 的 Sample configuration: Tag-switching advertise-tags interface pos 2/0 description “SM01 fiber link to M-XA-12012-A pos 2/0” ip address 123.123.1.1 255.255.255.252 tag switching ip 为了减少 Tag Switch 的目标 lable ，可以采取 access list 的方法来限制标签的分配。配置如下： Tag-switching advertise-tags for 1 Access-list 1 permit 123.123.1.230 / loopback 0 address of M-SN-7507-A Access-list 1 permit 123.123.1.231 / loopback 0 address of M-HMG-7513-A Access-list 1 permit 123.123.1.232 / loopback 0 address of M-DX-7507-A Access-list 1 permit 123.123.1.233 / loopback 0 address of M-NS-7507-A Access-list 1 permit 123.123.1.234 / loopback 0 address of M-XA-7507-A Access-list 1 permit 123.123.1.235 / loopback 0 address of M-LZ-7507-A Access-list 1 permit 123.123.1.236 / loopback 0 address of M-STJ-7507-A 在上面的配置下， Tag Switching 在限于目标地址是 MultiProtocol BGP neighbor 的 Core Router 的 loopback 地址，大大减轻了 Core Router 在 Lable 分配上的开销。 其它 traffic 进行普通路由。3.2 Internet(163/169) 连接点模块 1 、结构 在本期 IP 城域网工程中，黄木岗和电信的两台 Core Router ： M-HMG-12012-A 和 M-DX-12012-A 作为和 163/169 连接的边界路由器。 其中，黄木岗 M-HMG-12012-A 通过一条 OC-48 链路连接到 163 ；电信 M-DX-12012-A 通过一条 GE 链路连接到 163 。 在XXX省 163 扩容工程结束后，这种连接将改变。到那时， 2 台新加入的 GSR 路由器 M-SN-12012-B 和 M-NS-12012-B 将代替本期工程中的 2 台边界路由器作为新的 163 出口路由器。边界路由功能随之而转移到新的 GSR 路由器上。 在第六章中将详细讲述和 163 边界路由器的路由策略，包括如何在多出口点之间进行 Inbound traffic 和 Outbound traffic 的 load balance ，以及如何保证路由对称性的问题。 2 、实现 XX IP 城域网和 163 网之间运行 BGP 路由协议，下面是 M-HMG-12012-A 的 Sample Configuration ： router bgp 65001 no synchronization network 123.123.0.0 mask 255.255.224.0 neighbor 123.123.1.46 remote-as 123 neighbor 123.123.1.46 description “2.5 Gbps links to HB 163 Backbone” neighbor 123.123.1.46 version 4 neighbor 123.123.1.46 filter-list 1 in neighbor 123.123.1.46 filter-list 10 out ip as-path access-list 1 deny * ip as-path access-list 10 permit $ ip route 123.123.0.0 255.255.224.0 null 0 ip route 0.0.0 .0 0.0.0.0 123.123.1.46 城域网的边界路由器不从 163 路由器学习任何 Internet 路由，所有 IP 城域网不知道的路由都通过缺省路由送至 163 网络。3.3 IP VPN 服务模块 1 、结构 IP VPN 服务模块包括向用户提供 IP-VPN 服务的路由器和交换机，路由器主要是 7507 或 7513 ，交换机主要是 2924 。这些设备包括： Provider Edge (PE) Router (Cisco 7500 series routers): M-SN-7507-A M-HMG-7513-A M-DX-7507-A M-NS-7507-A M-XA-7507-A M-LZ-7507-A M-STJ-7507-A VPN Access Concentrator (Cisco Catalyst 2924M-XL LAN switches): M-SN-2924-A M-HMG-2924-A M-DX-2924-A M-NS-2924-A M-XA-2924-A M-LZ-2924-A M-STJ-2924-A 所有 VPN Access Concentrator 2924M-XL 都是 100MbaseT 以太网交换机，通过 GE 链路连接到 7500 系列路由器上。该 GE 链路被定义为 multi-VLAN Trunk 。 2924M-XL 上的每个 100M 端口被映射到一个单独的 VLAN 上， 7500 路由器上为每个 VLAN 建立一个 sub-interface 。 要向用户提供 IP-VPN 服务，需要进行下列步骤： 在 VPN Access Concentrator 2924M-XL 上分配一个 100M 端口； 通过 FE-to-Fiber 单模光纤转换器连接用户端的设备； 将分配到的 100M 端口映射到 VPN Access Concentrator 2924M-XL 的一个 VLAN 上； 在 PE 7500 的 GE 端口上为该 VLAN 建立一个 sub-interface ； 将该 sub-interface 联系到一个 VPN 上； 在用户端，用户提供 CE 路由器通过 100M 端口连接到 PE 上。 2 、实现 A 、 VLAN Trunk Trunk 是交换机之间或交换机和路由器之间的点到点链路， trunk 在整个网络内承载 multi-VLAN 的流量。目前有两种 trunk 封包技术，一种是 Cisco 专用技术 ISL(Inter Switch Link) ，另一种是 IEEE 802.1Q ，是国际标准。在本次城域网工程中，使用 IEEE 802.1Q 作为 inter-VLAN 的 trunk 封包技术。 下面是 2924M-XL 用作 VPN Access Concentrator 的 Sample Configuration ： interface gigabitethernet 1/1 switchport mode trunk switchport trunk encapsulation dot1Q 下面是 PE 路由器 7500 的 trunk 端口的 Sample configuration ： interface gigabitethernet 8/0/0.103 encapsulation dot1Q 103 ip address 123.123.4.1 255.255.255.252 B 、 MPLS VPN MPLS 采用虚拟路由表的方法来实现一个路由器上多个 VPN 的路由表。每一个 VPN 对应一个或多个 VRFs(VPN routing/forwarding instance) 。 VRF 定义连接到 PE 上的 VPN 成员 ( 一个 site) 资格。一个 VRF 包括一个 IP 路由表、一个 CEF(cisco express forwarding) 表、几个相关联的端口、和一些控制路由的规则和参数。 用户 site 和 VPN 之间可以不是一一对应的，一个用户 site 可以是多个 VPN 的成员。但是，一个用户 site 只可以和一个 VRF 相关联。一个用户 site 的 VRF 包括所有该 site 所属 VPN 到该 site 的路由。 数据包的路由和交换由 VRF 路由表和单独的 CEF 表所控制，每一个 VPN 对应一个路由表和一个 CEF 表，这样可以防止 packet 被交换到不关联的端口上去，同时也防止不关联的端口的 packet 被交换到该 VPN 中。 VPN 路由信息的传播由 VPN route-target communities 来控制，这主要是通过 BGP 的 extended communities 属性来实现的。 VPN 路由信息的传播通过下述的方法进行工作： 当一条从 CE 处学习到的 VPN 路由被 inject 到 BGP 中时，一些 VPN route target communities 属性被赋于它；其中主要包括 route-target 属性，该属性决定这些 route 将被 export 到哪些 VRF 。 每个 VRF 配置有一个 import route-target 列表，该列表指明了一个 BGP 的 update 中的 community 属性应该包含什么 route-target 才能被目标 VRF 接受。比如，某一个 VRF 的 import route-target 列表指明 route-target communities A 、 B 和 C ，这样，每一个 MP-iBGP 的 update 中 communities 属性的 route-target 中有 A 或 B 或 C 的 route 将被 import 到该 VRF 中。 一个 PE 路由器可通过静态路由、 RIP 或 BGP 从 CE 处得到某一个 IP 前缀的路由，该前缀是标准 IPv4 的前缀。然后， PE 通过加上一个 8 字节的 RD(route distinguisher) 将它转换成为一个 VPN-IPv4 的前缀。通过这种方法，可以使用户地址唯一，即使用户使用的是 IANA 规定的保留地址。用于生成 VPN-IPv4 前缀的 RD(route distinguisher) 由 PE 路由器的 VRF 配置命令指定。 MP BGP 协议为 VPN 的每个 VPN-IPv4 前缀传递 NLRI(Network Layer Reachability Information) 。 BGP 实体之间的通信有两种可能， AS 内的 iBGP 和 AS 间的 EBGP ， PE-PE 和 PE-RR(route reflector) 之间为 iBGP ， PE-CE 之间为 EBGP 。 BGP 协议通过 BGP 多协议扩展 (BGP multiprotocol extensions 参见 RFC 2283, Multiprotocol Extensions for BGP-4) 来传递 VPN-IPv4 的路由可达性信息，多协议扩展的 BGP 采用的方法为限定 BGP 的 peer 只能从其它 VPN 的同伴处得到 BGP 路由。 IP 包经过 MPLS 标签交换到其目标地址，其选路的基础是 VRF 路由表和 VRF CEF 表。 PE 路由器为每一个从 CE 路由器学到的前缀产生一个 label ，然后将这个 label 作为一个 BGP Communities 属性附加到 BGP 更新中传递出去。当一个源 PE 路由器从 CE 路由器处得到一个 IP 包，它使用从目标 PE 路由器学到的 label 将该 IP 包发送出去。当目标 PE 路由器得到这个 labeled IP 包后，将 label 从 IP 包中去除，作为一个纯 IP 包发送到 CE 路由器。 当 labeled IP 包在核心骨干部分传递时，其基于 label switching 或 traffic engineered path 进行，一个用户的 IP 包在核心穿行时，携带了 2 层 label ： 第一层 label 指示到正确的目标 PE 路由器； 第二层 label 给目标 PE 路由器指示，到哪一个其连接的 site 链路。 下面以黄木岗 M-HMG-7513-A 为例，给出建立一个名为“ education” 的 VPN 的 sample configuration ： Step1: create vrf instance ip vrf education ! Define VPN Routing instance “education” rd 65001:101 ! Specify the route distinguisher route-target both 65001:101 ! Configure import and export route-targets for “education” Step 2: Activating PE exchange of VPNv4 NLRI over iMP-BGP: router bgp 65001 ! Configure BGP sessions no synchronization no bgp default ipv4-activate ! Deactivate default IPv4 advertisements neighbor 123.123.1.230 remote-as 65001 ! Define IBGP session with another PE neighbor 123.123.1.230 description “M-SN-7507-A loopback” neighbor 123.123.1.230 update-source lo0 address-family vpnv4 unicast ! Activate PE exchange of VPNv4 NLRI neighbor 123.123.1.230 activate exit-address-family Step 3: Associate interfaces with a VPN: interface GigabitEthernet5/0/0 ! Set up GE interface as VRF link to a CE router ip vrf forwarding education ip address 123.123.4.1 255.255.255.252 interface GigabitEthernet 8/0/0.101 ! Setup up 2924 FE port as VRF link encapsulation dot1q 101 ip vrf forwarding education ip address 123.123.4.5 255.255.255.252 Step 4: Assuming static routes are used for connecting the CE side network: ip route vrf education 172.16.0.0 255.255.0.0 123.123.4.2 ip route vrf education 192.168.1.0 255.255.255.0 123.123.4.6第七章将详细阐述 MPLS VPN PE-CE 连接的实现，第八章阐述 VPN 用户如何连接到 Internet 。3.4 商业 Internet 接入模块 1 、结构 城域网的这一部分主要包括用于向用户提供商业 Internet 接入服务的设备和链路。用户在自己驻地有自已的路由器用于进行 Internet 接入。 商业 Internet 接入模块部分包括以下设备： Access Router (Cisco 7500 series routers): M-SN-7507-A M-HMG-7513-A M-DX-7507-A M-NS-7507-A M-XA-7507-A M-LZ-7507-A M-STJ-7507-A M-SK-7507-A Commercial Internet Access Concentrator (Cisco Catalyst 2924M-XL LAN switches): M-SN-2924-B M-HMG-2924-B M-DX-2924-B M-NS-2924-B M-XA-2924-B M-LZ-2924-A M-STJ-2924-B M-SK-2924-B 注： 7500 路由器作为一个接入平台同时起 IP-VPN 功能和商业 Internet 接入功能。商业 Internet access concentrator 通过 FE 接口接到 7500 路由器上，作为上联链路。每个单独的 2924 交换机的 100M 以太网端口定义为独立的 VLAN ，在 7500 路由器上的 FE 端口上，为每个 access VLAN 定义一个 sub-interface 。在逻辑结构上，商业 Internet 接入模块和 IP-VPN 服务模块非常相似。它们的区别在于使用的 VLAN 编号不一样。 VLAN 编号规则见下一章。为了向用户提供商业 Internet 接入功能，需要进行以下几个步骤的配置： 在 Commercial Internet Access Concentrator 上分配一个 100M 以太网端口； 通过 FE-to-Fiber 单模光纤转换器将该端口延伸到用户端； 在 Commercial Internet Access Concentrator 上为该端口分配一个 VLAN ； 在 7500 路由器的 FE 端口上生成一个 sub-interface ，将该 sub-interface 联系到这个 VLAN 上； 为这一段链路分配 IP 地址； 在 7500 路由器上为用户的 network 作静态路由； 2 、实现 因为 access VLAN 可以看作是 point-to-point 连接，我们只需要为这段链路分配一个 /30 的子网。因为 VLAN 是 multi-access 介质，所以不能作 ip unnumbered 处理。 在用户驻地，用户需要提供一个具有 100M 以太网接口的路由器，用于接入城域网。 用户的 IP 地址块可以从城域网的用户网络地址块中分配，也可以从其它地方申请到的 IP 地址。建议采用前者，因为这样可以作路由聚合，减少网络开销。 为了使用户的 IP 地址可以从 Internet 和 MAN 上访问到，在 7500 上要做静态路由，然后将此静态路由 redistribute 到 IGP 中。在 7500 上要做 IGP 的 address summarization ，这样防止过多的 external route 进入 MAN 的骨干。 下面是提供商业 Internet 接入的 7500 路由器的 Sample configuration ： interface FastEthernet 6/0/0.101 encapsulation dot1q 101 ip address 123.123.5.1 255.255.255.252 router ospf 100 redistribute static metric 10 metric-type 1 subnets network 123.123.1.0 0.0.0 .255 area 0 network 123.123.4.0 0.0.0 .255 area 3 network 123.123.5.0 0.0.0 .255 area 3 summary-address 123.123.20.0 255.255.255.0 ip route 123.123.20.0 255.255.255.240 123.123.5.23.5 小区 Internet 接入模块 1 、结构 城域网的这一部分主要包括用于用信息化小区用户提供高速 Internet 接入服务的设备和链路。小区驻地设备假定为一台路由器或一台以太网交换机，用户在自己家里通过一台 PC 和一个以太网卡上 Internet 。 这部分的连接方式以及用户的论证、计费等功能的详细讨论，见附件。 商业 Internet 接入模块部分包括以下设备： Community Inte