資源描述:
《政務(wù)網(wǎng)特色技術(shù)》由會員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1���、華為3Com公司政務(wù)網(wǎng)特色技術(shù)……省政府辦公廳省民政廳地市政府城域網(wǎng)C地市政府城域網(wǎng)B地市政府城域網(wǎng)A地市政府城域網(wǎng)NA市政府辦公廳省信息產(chǎn)業(yè)廳省直接入城域網(wǎng)A市民政局B市民政局B市政府N市政府N市民政局C市民政局C市政府骨干NE80政府廣域網(wǎng)(省內(nèi))VPN1VPN2通過MPLSVPN技術(shù)實(shí)現(xiàn)在一個物理網(wǎng)絡(luò)上承載不同政務(wù)系統(tǒng)��,實(shí)現(xiàn)政務(wù)系統(tǒng)間的安全隔離和受控訪問��;實(shí)體政務(wù)網(wǎng)�、虛擬業(yè)務(wù)網(wǎng)-MPLSVPN技術(shù)P/PEPEPEPEPE華為3Com公司MPLSVPN方案優(yōu)勢HOPE:業(yè)界領(lǐng)先的分層PE解決方案VPE:構(gòu)建全程全網(wǎng)的VPN多角色主機(jī):客戶化的
2����、解決方案VPNMANAGER:VPN網(wǎng)管解決方案可控組播:安全的組播從跟隨者到領(lǐng)導(dǎo)者的轉(zhuǎn)變中國首個為IETF采納的數(shù)據(jù)通信標(biāo)準(zhǔn)草案2002年初正式向IETF提交并且獲得ITU-T大力推薦的RFC國際技術(shù)標(biāo)準(zhǔn)草案HOPE(HiberarchyOfPE,分層PE)核心層匯聚層接入層誰來做PE�?接入層:容量小,無法承擔(dān)匯聚層:識別用戶需要大量(子)接口�����,用戶數(shù)目大��,而接口數(shù)量有限���。核心層:用戶數(shù)目更大���,接口數(shù)目更少��,帶寬粒度更粗PE越往下移���,由于路由更具體,要維護(hù)的路由數(shù)目更多���!BGP/MPLSVPN中����,由于PE設(shè)備要匯聚多個VPN的路由�����,在大規(guī)模部署
3�、時��,尤其在PE設(shè)備容量較小的情況下����,容易形成瓶頸。而且����,目前的MPLSVPN模型基本上是一種平面式模型�����,PE設(shè)備無論處于網(wǎng)絡(luò)的哪個層次�,對其性能要求是相同的�,由于路由逐層聚合,甚至在PE向邊緣方向擴(kuò)展時�����,要維護(hù)更多的路由�����。而典型網(wǎng)絡(luò)是核心—匯聚—接入三層模型��,設(shè)備性能依次下降��,網(wǎng)絡(luò)規(guī)模依次擴(kuò)大����。這就為PE設(shè)備向網(wǎng)絡(luò)邊緣的擴(kuò)展帶來了困難。本方案采用多個設(shè)備組成分層式PE�,它們承擔(dān)不同的角色��,分擔(dān)一個集中式PE的功能�����。對處于較高層次的PE的路由和轉(zhuǎn)發(fā)性能要求高�,而對處于較低層次的PE的路由和轉(zhuǎn)發(fā)性能要求低���,同典型的網(wǎng)絡(luò)模型相吻合��,在分層部署B(yǎng)GP/M
4����、PLSVPN時�,解決了可擴(kuò)展性問題�。P:ProviderrouterPE:ProviderEdgerouterCE:CustomerEdgerouterMPLSCOREMPLSEDGEPEPPPPEPECECECECECECEVPNASite110.1.0.0/16VPNASite210.2.0.0/16VPNBSite210.4.0.0/16VPNBSite110.1.0.0/16VPNBSite310.5.0.0/16VPNASite310.3.0.0/16MPLSVPN框架結(jié)構(gòu)哪里出了問題?接入用戶需要大量接口處理用戶報文需要大容量的內(nèi)存和
5���、轉(zhuǎn)發(fā)能力PE難以同時具備大容量內(nèi)存和大量接口典型的網(wǎng)絡(luò)是分層的���,邊緣接口多,核心容量大MPLSVPN是平面模型���,PE無論處于網(wǎng)絡(luò)中哪個位置�,對內(nèi)存容量的要求基本相同,甚至在PE向邊緣擴(kuò)展時�����,對內(nèi)存容量要求更大�����。MPLSVPN的模型同典型網(wǎng)絡(luò)的模型不符合華為HOPE結(jié)構(gòu)PE同另外一些PE相連�,各有分工,完成傳統(tǒng)上一個PE的功能PE之間具有層次結(jié)構(gòu)���,直接連接VPN用戶的稱為UPE(UnderlayerPE)����,位于網(wǎng)絡(luò)內(nèi)部的稱為SPE(SuperstratumPE)UPE和SPE之間可以直接相連�,也可以通過一個IP/MPLS網(wǎng)絡(luò)相連這種結(jié)構(gòu)稱為HoPE
6、(HiberarchyofPE)UPE:VPN用戶的接入僅維護(hù)其直接連接的VPNSite的路由����,但不維護(hù)VPN中其它遠(yuǎn)程Site的路由。降低了對PE性能的要求,充分利用UPE的接口數(shù)量��。SPE:VPN路由的維護(hù)及擴(kuò)散維護(hù)其通過UPE所連接的Site所在的VPN中的所有路由��,包括本地和遠(yuǎn)程Site中的路由�����。減輕了PE接口資源的壓力���,充分利用SPE的路由能力及性能����。SPEUPEUPE中低端設(shè)備作為UPE部署高端設(shè)備作為SPE部署SPE和UPE的分工VRF1Importroute-target100:1VRF2Importroute-target200
7���、:1GlobalImportroute-target100:1,200:1UPESPEVPN路由(標(biāo)簽)ORF(擴(kuò)展團(tuán)體列表)VRF默認(rèn)路由(標(biāo)簽)SPE和UPE屬于同一個運(yùn)營商�����,采用MP-iBGP,SPE作為RRSPE和UPE屬于不同運(yùn)營商���,采用MP-eBGP��,UPE一般使用私有AS號碼SPE根據(jù)UPE上VRFimportroute-targetlist的合集構(gòu)造全局importroute-targetlistUPE通過ORF機(jī)制傳遞importroute-targetlist��,SPE自動生成SPE上手工生成SPE-UPE協(xié)議通過任何形式的接口
8��、/子接口連接通過隧道接口連接MP-BGP可以跨越多跳采用LSP時��,UPE/SPE運(yùn)行LDP/RSVP-TE一對SPE/UPE間只需要一個
