1、山东电力信通公司临沂供电公司家庭网汇聚、接入层安全加固及出口优化方案2013.12目录第一章 项目概述31.1 项目目标3 项目背景3 现网问题4 项目目标4第二章 汇聚、接入安全加固方案52.1 QinQ技术介绍52.1.1 QinQ简介52.1.2 QinQ实现原理52.1.3 QinQ的实现方式52.2 QinQ方案部署62.3 VLAN规划62.4 QinQ部署图解62.5 QinQ配置举例8第三章 出口优化方案103.1 LB部署方案10第四章 割接方案114.1 汇聚、接入层割接方案114.2 LB部署割接方案11第五章 优化方案增加设备清单12第一章 项目概述1.1 项目目标1.2、1.1 项目背景山东电力临沂供电公司家庭网各用户通过二层交换机接入网络，二层vlan在BRAS设备上终接，用户通过PPPOE进行拨号获取地址，然后通过BRAS设备连接的出口服务器进行互联网访问。出口采用一台服务器，连接4条运营商线路，总带宽400mbps。目前网络中有2台BRAS设备，1台为H3C CR16004，与出口服务器直接互联，另1台为港湾的6802，与H3C CR16004通过静态路由连接，到互联网的数据流经H3C CR16004。全网拓扑如下：1.1.2 现网问题1.1.2.1 用户安全风险问题多个用户接入交换机的同1VLAN,VLAN范围较广，往往会跨越多个交换机，这样就会形成一3、个大的广播域。并用同1VLAN的用户能够相互访问，对用户的个人计算机存在一定的安全风险。1.1.2.2 出口问题目前出口链路直接接在1台服务器上，互联网流量完全靠服务器处理。目前在高峰时期，服务器性能已经成为网络瓶颈，从H3C CR16004上直接ping服务器的内连口延迟达200ms左右，并且有10%左右的丢包率。并且按照现在用户数计算，出口带宽也不足。1.1.3 项目目标改造出口，把原来的服务器通过负载均衡设备替换掉，排除出口设备瓶颈；在汇聚交换机上部署QinQ,接入交换机每个端口1个VLAN,真正实现各用户的二层完全隔离。第二章 汇聚、接入安全加固方案2.1 QinQ技术介绍2.1.1 4、QinQ简介QinQ 是802.1Q in 802.1Q 的简称，它是基于IEEE 802.1Q 技术的一种二层隧道协议，通过将用户的私网报文封装上外层VLAN Tag，使其携带两层VLAN Tag 穿越运营商的骨干网络（又称公网），从而为用户提供了一种比较简单的二层VPN 隧道技术，也使运营商能够利用一个VLAN 为包含多个VLAN 的用户网络提供服务成为了可能。2.1.2 QinQ实现原理在公网的传输过程中，设备只根据外层 VLAN Tag 转发报文，并将报文的源MAC 地址表项学习到外层VLAN Tag 所在VLAN 的MAC 地址表中，而用户的私网VLAN Tag 将被当作报文的数据部5、分进行传输。2.1.3 QinQ的实现方式QinQ 的实现方式可分为以下两种：1. 基本QinQ基本QinQ 是基于端口方式实现的。当端口上配置了基本QinQ 功能后，不论从该端口收到报文是否带有VLAN Tag，设备都会为该报文打上本端口缺省VLAN 的Tag： 如果收到的是带有 VLAN Tag 的报文，该报文就成为带双Tag 的报文； 如果收到的是不带 VLAN Tag 的报文，该报文就成为带有本端口缺省VLAN Tag 的报文。2. 灵活QinQ灵活QinQ 是基于端口与VLAN 相结合的方式实现的，它对QinQ 的功能进行了扩展，是对QinQ的一种更灵活的实现。灵活QinQ 除了能实6、现所有基本QinQ 的功能外，对于从同一个端口收到的报文，还可以根据VLAN 的不同进行不同的操作，包括： 为具有不同内层 VLAN ID 的报文添加不同的外层VLAN Tag。 根据报文内层 VLAN 的802.1p 优先级标记外层VLAN 的802.1p 优先级。 在添加外层 VLAN Tag 的同时，还可修改内层的VLAN ID。通过使用灵活QinQ 技术，在能够隔离运营商网络和用户网络的同时，又能够提供丰富的业务特性和更加灵活的组网能力2.2 QinQ方案部署接入交换机上划分多个业务VLAN,每个端口1个VLAN，另外每台接入交换机还需要配置1个管理VLAN,在管理VLAN虚接口上配置7、管理地址。为了实现为业务VLAN添加外部标签，而管理VLAN不添加外部标签，实现VLAN的二层透传，我们在汇聚交换机连接接入交换机的端口上配置灵活QinQ。2.3 VLAN规划外层VLAN标签范围：2001-3000内层VLAN标签范围：301-350交换机管理VLAN范围：1001-1050(如接入部分现场无人配合，管理VLAN和地址可以保持不变)业务数据进入接入交换机端口，分配内层标签，由接入交换机进入汇聚交换机的QinQ接口分配外部VLAN标签；交换机的管理地址在汇聚交换机上不重新分配外部VLAN标签，携带一层标签，直接在BRAS设备上实现VLAN终接。2.4 QinQ部署图解 接入交换8、机配置用户VLAN，每接口1个VLAN,根据交换机数量，每台或24个或48个，外加管理VLAN。交换机上连端口,如图端口1和端口2,端口配置trunk模式，允许通过所有用户VLAN和设备管理VLAN。 汇聚交换机下连端口，如图端口3和4,配置灵活QinQ，把用户数据VLAN添加外部VLAN标签，管理VLAN不添加外部VLAN标签，直接转发;汇聚交换机下连端口配置hybrid方式，外部vlan采取untagged方式转发；上连端口，如图端口5,配置trunk,允许外部VLAN2001to 2020和管理VLAN1001通过。 在BRAS设备的下连接口如图端口6,配置子接口，进行内、外两层VLAN9、终接。2.5 QinQ配置举例 端口3和5配置QinQ，配置如下：H3C interface gigabitethernet 1/0/1H3C-GigabitEthernet1/0/1 qinq enableH3C-GigabitEthernet1/0/1 qinq vid 2001H3C-GigabitEthernet1/0/1-vid-2001 raw-vlan-id inbound 101 to 150H3C-GigabitEthernet1/0/1port link-type hybridH3C-GigabitEthernet1/0/1port hybrid vlan 2001 to 10、2020 untagged H3C-GigabitEthernet1/0/1port hybrid vlan 1001 tagged CR16004接口6配置如下：H3C interface GigabitEthernet3/1/1.1H3C-GigabitEthernet3/1/1.7 vlan-type dot1q vid 2001 to 2020 second-dot1q 101 to 150 /终接用户VLANH3C-GigabitEthernet3/1/1.7 vlan-termination broadcast enable/vlan-termination broadcast e11、nable命令用来配置允许当前接口发送广播和组播报文，即允许当前接口遍历模糊终结的范围发送报文，具体为当前接口遍历模糊终结范围内的VLAN ID，给报文分别添加这些VLAN ID对应的VLAN Tag后发送（比如，对于配置了模糊的QinQ终结的接口，报文添加VLAN Tag后，最外两层VLAN ID分别对应各自模糊终结范围内的VLAN ID）。H3C interface GigabitEthernet3/1/1.2H3C-GigabitEthernet3/1/1.7 vlan-type dot1q vid 1001 /终接管理VLAN第三章 出口优化方案3.1 LB部署方案LB与CR1600412、之间通过2个端口进行链路捆绑，即提高带宽，又提高链路可靠性。把运营商线路接入LB端口，在LB上配置策略进行动态智能选路，在接口上启用NAT功能。第四章 割接方案4.1 汇聚、接入层割接方案为减小割接对业务的影响，割接遵须自上而上的顺序进行配置，选配置BRAS设备，再配置汇聚设备，最终配置接入设备。以CR16004上的每个物理接口为单位进行割接，可以先找个用户少的接口进行试点，运行正常后，再进行其他接口下业务的割接。步骤如下：1、 在CR16004的相应物理接口下，增加子接口，配置相应的2层VLAN标签模糊终接，地址暂时不配；2、 在汇聚交换机上配置相应的外部VLAN；3、 在汇聚交换机的上连端口上，配置允许通过的外部VLAN；4、 在汇聚交换机的下连接入交换机的端口启用灵活QinQ,把接口模式配置为hybrid,把外部vlan配置为untagged方式。5、 在接入交换机上配置新的用户vlan,在上连接口上允许新的用户vlan通过，把每个交换机端口划入新的用户vlan,可以把端口号与新vlan id的尾数对应；6、 接入交换机配置完毕后，再在CR16004上把原来子接口下的地址删除，配到新子接口上；7、 测试此接口下的业务正常后，把原来的子接口删除。4.2 LB部署割接方案LB割接比较简单，把LB先配置后，然后接入网络中，网络测试即可。第五章 优化方案增加设备清单