1. Internet流量通過原有NAT和Firewall訪問。
　　2. 內(nèi)部網(wǎng)流量走MPLS VPN ,包括數(shù)據(jù)和視頻流量，并通過華為EUDEMON網(wǎng)關進行視訊NAT轉換。
二、總體技術方案
　　鑒于客戶是通信公司，有較強的系統(tǒng)管理能力，而且要求視訊和數(shù)據(jù)出口分開，視訊出口在北京，可以和VPN線路走相同的物理鏈路，不會造成路由設計上的問題，故將NAT放在客戶公司總部，由用戶自己管理，增加DIA出口和費用。網(wǎng)絡通信拓撲圖如右所示。

關于上述方案的說明：
　　1. 用戶自己管理網(wǎng)關設備或由網(wǎng)通運維人員進行管理。
　　2. 多點會議時MCU和北京點通信走最短路由，MCU和其他點通信要通過北京點再走VPN到最終目的地。由于具有華為網(wǎng)關的客戶地點（總部）在北京，路由優(yōu)次問題并不明顯。
　　3. 增加DIA出口，VPN按照客戶實際Site點需要設計數(shù)量。
三、接入技術方案
　　接入考慮八個點, 用戶CE設備采用路由器，接入類型說明如下：
　　方案一 ：CONNECTED 范圍內(nèi)，利用原有樓層交換機終結在PE上。
　　1.按照現(xiàn)有實際情況（不采用最新規(guī)劃的業(yè)務控制POP的情況下），采用將Trunk 透傳并終結在PE上，在和VPN關聯(lián)的子接口處起VRF。
　　2.按照最新規(guī)劃方案，Trunk終結在業(yè)務控制點的LIII交換機上，策略路由轉發(fā)分流到PE。
　　3.PE-CE協(xié)議可以采用靜態(tài)路由、IGP或BGP,建議采用靜態(tài)路由。
　　方案二：不在CONNECTED范圍內(nèi)，利用WAN鏈路終結在PE上。
　　1.按照現(xiàn)有實際情況（不采用最新規(guī)劃的業(yè)務控制POP的情況下），CE路由器通過租用或建設光纖鏈路（如使用Metro設備）直接和PE路由器連接。
　　2.按照最新規(guī)劃方案，CE路由器的廣域網(wǎng)鏈路終結在業(yè)務控制點的LIII交換機上，策略路由轉發(fā)分流到PE。
　　3.PE-CE協(xié)議可以采用靜態(tài)路由、IGP或BGP。建議采用靜態(tài)路由。
　　上述方案優(yōu)選CNC-Connected二層終結在PE上的方式。
四、關于流量的分離和說明
　　1.客戶總部和分支機構均有Internet出口和防火墻，數(shù)據(jù)流量和默認網(wǎng)關一般指向本地數(shù)據(jù)NAT的內(nèi)網(wǎng)口，需要內(nèi)部訪問時，默認網(wǎng)關指向CE,視訊終端默認網(wǎng)關指向CE。
　　2.客戶使用Cisco路由器作CE，按照視訊的要求，默認指向總部華為EUDEMON網(wǎng)關設備，精確路由由PE動態(tài)獲得。
　　3.按照上述設計，可以實現(xiàn)：
　　(1)視訊業(yè)務完全走MPLS VPN;
　　(2)數(shù)據(jù)業(yè)務需要訪問Internet的走本地原有NAT;
　　(3)數(shù)據(jù)業(yè)務需要訪問內(nèi)網(wǎng)的完全走MPLS VPN。
五、地址規(guī)劃和安全
　　按照現(xiàn)有網(wǎng)通MPLS VPN的三種城市劃分和跨域實施的現(xiàn)狀,將PE確定在骨干網(wǎng)節(jié)點,實現(xiàn)9929域內(nèi)MPLS VPN。按照IANA的標準分配私用八點地址,可以合理地采用VLSM的方式�？紤]到配置和排障工作，建議采用A類地址加可變長度子網(wǎng)的方式，實現(xiàn)每個局域網(wǎng)多達254個終端（PC和視頻），具體劃分規(guī)則如下：
　　1.公司總部地址：10.0.1.0/24;
　　2.其他七個分支機構按照環(huán)繞總部逆時針方向從10.0.2.0/24—10.0.8.0/24。
　　按照IPSec提出的網(wǎng)絡層的安全措施，包括私有性、完整性、反重放等。內(nèi)網(wǎng)流量包括視頻和數(shù)據(jù),MPLS的安全特性使之區(qū)別于其他公網(wǎng)流量,對安全中的私有性、完整性都有所保護。公網(wǎng)流量的數(shù)據(jù)安全性由客戶自己的Firewall實現(xiàn)，已經(jīng)完成。

計算機世界網(wǎng)(www.ccw.com.cn)