一、通信需求
重庆长丰要求北京总部和其他七个分支机构在已有局域网基础上建设视讯VPN网络,将所有八点通过华为视讯系统互联通信。各分支机构流量分为两部分:
1. Internet流量通过原有NAT和Firewall访问。
2. 内部网流量走MPLS VPN ,包括数据和视频流量,并通过华为EUDEMON网关进行视讯NAT转换。
二、总体技术方案
鉴于客户是通信公司,有较强的系统治理能力,而且要求视讯和数据出口分开,视讯出口在北京,可以和VPN线路走相同的物理链路,不会造成路由设计上的问题,故将NAT放在客户公司总部,由用户自己治理,增加DIA出口和费用。网络通信拓扑图如右所示。
关于上述方案的说明:
1. 用户自己治理网关设备或由网通运维人员进行治理。
2. 多点会议时MCU和北京点通信走最短路由,MCU和其他点通信要通过北京点再走VPN到最终目的地。由于具有华为网关的客户地点(总部)在北京,路由优次问题并不明显。
3. 增加DIA出口,VPN按照客户实际Site点需要设计数量。
三、接入技术方案
接入考虑八个点, 用户CE设备采用路由器,接入类型说明如下:
方案一 :CONNECTED 范围内,利用原有楼层交换机终结在PE上。
1.按照现有实际情况(不采用最新规划的业务控制POP的情况下),采用将Trunk 透传并终结在PE上,在和VPN关联的子接口处起VRF。
2.按照最新规划方案,Trunk终结在业务控制点的LIII交换机上,策略路由转发分流到PE。
3.PE-CE协议可以采用静态路由、IGP或BGP,建议采用静态路由。
方案二:不在CONNECTED范围内,利用WAN链路终结在PE上。
1.按照现有实际情况(不采用最新规划的业务控制POP的情况下),CE路由器通过租用或建设光纤链路(如使用Metro设备)直接和PE路由器连接。
2.按照最新规划方案,CE路由器的广域网链路终结在业务控制点的LIII交换机上,策略路由转发分流到PE。
3.PE-CE协议可以采用静态路由、IGP或BGP。建议采用静态路由。
上述方案优选CNC-Connected二层终结在PE上的方式。
四、关于流量的分离和说明
1.客户总部和分支机构均有Internet出口和防火墙,数据流量和默认网关一般指向本地数据NAT的内网口,需要内部访问时,默认网关指向CE,视讯终端默认网关指向CE。
2.客户使用Cisco路由器作CE,按照视讯的要求,默认指向总部华为EUDEMON网关设备,精确路由由PE动态获得。
3.按照上述设计,可以实现:
(1)视讯业务完全走MPLS VPN;
(2)数据业务需要访问Internet的走本地原有NAT;
(3)数据业务需要访问内网的完全走MPLS VPN。
五、地址规划和安全
按照现有网通MPLS VPN的三种城市划分和跨域实施的现状,将PE确定在骨干网节点,实现9929域内MPLS VPN。按照IANA的标准分配私用八点地址,可以合理地采用VLSM的方式。考虑到配置和排障工作,建议采用A类地址加可变长度子网的方式,实现每个局域网多达254个终端(PC和视频),具体划分规则如下:
1.公司总部地址:10.0.1.0/24;
2.其他七个分支机构按照环绕总部逆时针方向从10.0.2.0/24—10.0.8.0/24。
按照ipSec提出的网络层的安全措施,包括私有性、完整性、反重放等。内网流量包括视频和数据,MPLS的安全特性使之区别于其他公网流量,对安全中的私有性、完整性都有所保护。公网流量的数据安全性由客户自己的Firewall实现,已经完成。
