上海電信IP城域網(wǎng)優(yōu)化技術(shù)方案-阿爾卡特

PAGE上海電信IP城域網(wǎng)優(yōu)化總體技術(shù)方案PAGE3-MACROBUTTONNoMacro［單擊此處鍵入文檔全名(項目名稱+文檔名稱)客戶服務(wù)系統(tǒng)科技事業(yè)部第PAGEi頁共105頁上海電信IP城域網(wǎng)優(yōu)化總體技術(shù)方案V3.02006-12

目錄TOC\o"1-4"\h\z\u1. 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 11.1. 城域骨干網(wǎng)B平面組網(wǎng)結(jié)構(gòu) 11.2. 寬帶接入網(wǎng)組網(wǎng)方案 21.2.1. 市區(qū)關(guān)鍵業(yè)務(wù)子網(wǎng) 31.2.2. 郊區(qū)關(guān)鍵業(yè)務(wù)子網(wǎng) 32. 路由設(shè)計 52.1. 總體路由策略 52.1.1. 城域網(wǎng)B平面設(shè)立私有AS，與CN2及ChinaNet不直連(MPLSVPN可以直接連接CN2SR) 62.2. IGP方案 72.3. BGP方案 82.4. MPLSVPN的CE-PE路由設(shè)計 103. L3MPLSVPN的實施方案 113.1. B平面MPLSVPN網(wǎng)絡(luò)邏輯關(guān)系圖 113.2. MPLSVPN網(wǎng)絡(luò)號碼資源分配規(guī)則表 123.3. MPLSVPN業(yè)務(wù)的接入方式 133.3.1. 三層MPLSVPN部署設(shè)計 134. VPLS部署設(shè)計 154.1. B平面H-VPLS設(shè)計與部署 154.2. A-B平面跨域的VPLS設(shè)計與部署 174.3. VPLS2層接入L3MPLSVPN網(wǎng)的設(shè)計與部署 185. 業(yè)務(wù)保護部署方案 195.1. 業(yè)務(wù)保護概述 195.2. 業(yè)務(wù)保護部署方案 195.2.1. MPLSTEFRR實施設(shè)計 205.2.2. BFD設(shè)計 236. 關(guān)鍵業(yè)務(wù)(NGN)組網(wǎng)方案 266.1. 概述 266.2. 關(guān)鍵業(yè)務(wù)子網(wǎng)連接圖 266.2.1. 市區(qū)部分 266.2.2. 郊縣部分 276.3. 關(guān)鍵業(yè)務(wù)收斂時間說明 286.3.1. 市區(qū)部分 286.3.2. 郊縣部分 296.4. 軟交換接入方式 296.4.1. 市區(qū)AG接入 296.4.1.1. 市區(qū)RIPv2方案 296.4.1.2. 市區(qū)靜態(tài)路由方案 336.4.1.3. 市區(qū)OSPF方案 376.4.1.4. 市區(qū)方案建議 386.4.2. 郊縣AG接入 386.4.2.1. 松江中興方案建議 386.4.2.2. 松江Alcatel方案建議 396.4.2.3. 其他郊縣中興方案建議 406.4.2.4. 其他郊縣Alcatel方案建議 416.5. 郊縣環(huán)網(wǎng)概述 426.5.1. 松江方案 426.5.2. 其他郊縣方案 437. 大客戶接入組網(wǎng)方案 457.1. 大客戶上網(wǎng)接入方案 457.2. 大客戶VPN組網(wǎng)接入方案 457.2.1. 大客戶L3MPLSVPN接入組網(wǎng)方案 457.2.2. 大客戶VPLS組網(wǎng)接入方案 468. 網(wǎng)絡(luò)設(shè)備命名和IP地址需求 478.1. 設(shè)備和端口命名規(guī)則 478.1.1. 關(guān)鍵業(yè)務(wù)子網(wǎng)局點分布表與設(shè)備命名 498.2. 設(shè)備端口命名 498.3. 端口描述 508.4. IP地址分配 519. QoS方案 539.1. 綜述 539.2. 分類標(biāo)記 539.3. 城域網(wǎng)QoS實現(xiàn)方式 549.4. B平面QoS 559.5. A平面QoS 569.6. 寬帶接入網(wǎng)QoS 5610. 網(wǎng)絡(luò)安全 5710.1. 路由器安全性 5710.1.1. 路由器接入安全性 5810.1.2. 與路由器通信 5810.1.3. 集中鑒權(quán) 5910.1.4. 路由協(xié)議安全性 5910.1.5. 帶內(nèi)流量過濾到路由引擎 6010.1.6. 安全審計 6410.1.7. 網(wǎng)絡(luò)時間協(xié)議（NTP） 6510.1.8. 路由器安全措施總結(jié) 6510.2. 病毒和DOS攻擊預(yù)警和減災(zāi)系統(tǒng) 6510.2.1. DOS攻擊的趨勢分析和對核心網(wǎng)的影響 6610.2.2. 核心網(wǎng)路由器的保護 6710.2.3. 攻擊預(yù)警和減災(zāi)配合 6810.2.4. 自動化網(wǎng)絡(luò)攻擊和病毒掃描的抑制 69PAGE70網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計根據(jù)上海電信2006年IP城域網(wǎng)優(yōu)化工程技術(shù)規(guī)范書中的要求和業(yè)務(wù)流量的分布，結(jié)合業(yè)務(wù)的初期規(guī)劃，并考慮后期演進，方案如下：城域骨干網(wǎng)B平面組網(wǎng)結(jié)構(gòu)B平面網(wǎng)絡(luò)分為核心層和業(yè)務(wù)終結(jié)層兩層結(jié)構(gòu)。業(yè)務(wù)終結(jié)層采用雙歸到2個核心節(jié)點的方式進行組網(wǎng)，核心接點一個為Cisco的CRS-1，另外一個為Juniper的TX。全網(wǎng)啟用MPLS，核心路由器作為P路由器，只負責(zé)完成業(yè)務(wù)轉(zhuǎn)發(fā)，不直接接入用戶業(yè)務(wù)。匯聚/業(yè)務(wù)接入控制點設(shè)備SR作為MPLS/VPN的PE路由器，完成VPN的定義和CE路由器實現(xiàn)用戶VPN路由學(xué)習(xí)，并且通過MP-iBGP，在PE之間交換VPN路由，實現(xiàn)VPN內(nèi)的可達；P路由器之間和PE路由器之間運行IGPOSPF，實現(xiàn)PE到PE的loopback可達，RSVP完成MPLS標(biāo)簽分配，實現(xiàn)IP路由到MPLSLabel的映射。選用2臺SR和城域網(wǎng)A平面和CN-2的SR互聯(lián),作為ASBR.B平面為一個獨立的自治域。核心層2臺設(shè)備之間以2x10GPOS互聯(lián)，正常情況下，互連鏈路基本無流量，在實施業(yè)務(wù)倒換保護時，提供足夠的中繼帶寬。核心層2臺設(shè)備和CN2上海本地核心節(jié)點2臺C設(shè)備通過口字型拓撲互連。每臺核心層設(shè)備到CN2核心設(shè)備間設(shè)置2x10GPOS互聯(lián)。這些鏈路上承載標(biāo)準(zhǔn)IPV4數(shù)據(jù)。核心層2臺設(shè)備和CHINANET上海本地核心節(jié)點2臺C設(shè)備通過口字型拓撲互連。每臺核心層設(shè)備到CHINANET核心設(shè)備間設(shè)置2x10GPOS互聯(lián)。這些鏈路上承載標(biāo)準(zhǔn)IPV4數(shù)據(jù)。每臺核心層設(shè)備向下以2.5GPOS連接SR；共16條2.5G電路。業(yè)務(wù)終結(jié)層SR分為2個層面，一個層面負責(zé)終結(jié)IPTV業(yè)務(wù)，另外一個層面負責(zé)關(guān)鍵業(yè)務(wù)終結(jié)。關(guān)鍵業(yè)務(wù)子網(wǎng)采用Alcatel7750，業(yè)務(wù)包括軟交換、VPN和3G，也分別部署于8個傳輸核心機房，覆蓋8個市區(qū)局和7個郊區(qū)局，每兩臺SR為一組（片區(qū)），之間用GE進行互聯(lián)，互為保護備份。其中，“云蓮-金楊”片區(qū)覆蓋浦東局和南匯局；“柳林-斜土”片區(qū)覆蓋南區(qū)局、中區(qū)局和奉賢局；“江蘇-康健”片區(qū)覆蓋西區(qū)局、莘閔局、嘉定局、青浦局、金山局和松江局；“控江-大華”片區(qū)覆蓋東區(qū)局、北區(qū)局、寶山局和崇明局。每臺關(guān)鍵業(yè)務(wù)SR連接為：向上以2x2.5GPOS鏈路連接兩臺核心層設(shè)備；向下以NxGE鏈路連接本片區(qū)關(guān)鍵業(yè)務(wù)子網(wǎng)(包括8個市區(qū)局和7個郊區(qū)局，郊區(qū)局就近接入)；控江和金楊兩臺關(guān)鍵業(yè)務(wù)SR，以2xGE連接CN2SR，負責(zé)跨域VPN的連接?？缬蚍绞?，根據(jù)集團意見，在業(yè)務(wù)較少且要求嚴格控制時，初期采用OptionA方式；待業(yè)務(wù)規(guī)模增長，條件成熟時，再考慮用OptionB方式。寬帶接入網(wǎng)組網(wǎng)方案寬帶接入網(wǎng)分為IPTV業(yè)務(wù)子網(wǎng)和關(guān)鍵業(yè)務(wù)子網(wǎng)兩部分。市區(qū)和郊區(qū)的關(guān)鍵業(yè)務(wù)子網(wǎng)，采用技術(shù)不同，分別加以描述。市區(qū)關(guān)鍵業(yè)務(wù)子網(wǎng)上海電信IP城域網(wǎng)的優(yōu)化目標(biāo)是建立一個覆蓋整個上海市承載NGN、VPN、IPTV等業(yè)務(wù)的網(wǎng)絡(luò)。上海電信IP城域網(wǎng)優(yōu)化工程將更好地從滿足用戶對電信級IP業(yè)務(wù)需求，特別是業(yè)務(wù)的端到端50ms保護、業(yè)務(wù)精細化管理和QoS服務(wù)。在優(yōu)化完成后，可實現(xiàn)全網(wǎng)多種模式的2、3層VPN業(yè)務(wù)。市區(qū)關(guān)鍵業(yè)務(wù)子網(wǎng)如下圖：市區(qū)關(guān)鍵子網(wǎng)承載軟交換AG300臺和MPLSVPN的CE設(shè)備。每個局接入兩個AG，10個CE設(shè)備。SR采用阿爾卡特7750，第一級匯聚采用阿爾卡特7450。如實在無法將業(yè)務(wù)直接接入第一級匯聚，可利舊現(xiàn)網(wǎng)設(shè)備作為第二級匯聚來接入。以中區(qū)局關(guān)鍵業(yè)務(wù)子網(wǎng)為例，分別在柳林和斜土機房部署放置2臺交換機。與“柳林-斜土”片區(qū)的關(guān)鍵業(yè)務(wù)SR以2xGE鏈路形成口子形連接。軟交換AG和大客戶CE設(shè)備就近以FE雙歸上聯(lián)交換機上。對于AG和CE設(shè)備，要根據(jù)是2層設(shè)備還是3層設(shè)備，區(qū)別對待。郊區(qū)關(guān)鍵業(yè)務(wù)子網(wǎng)郊區(qū)關(guān)鍵業(yè)務(wù)子網(wǎng)采用相切環(huán)網(wǎng)的組網(wǎng)方式。第一級匯聚每片區(qū)部署2-4臺交換機，部署在本片區(qū)業(yè)務(wù)量較大的局房，第二級匯聚部署在能覆蓋本片區(qū)軟交換POP點和VPN站點的局房。第一級匯聚交換機兩個一組，分別以NxGE就近上聯(lián)本片區(qū)的SR，之間也以NxGE互聯(lián)；第二級匯聚交換機分別以GE雙上聯(lián)本區(qū)的兩臺匯聚交換機。郊區(qū)局關(guān)鍵業(yè)務(wù)子網(wǎng)路由設(shè)計總體路由策略路由策略制定是上海電信2006年IP城域網(wǎng)優(yōu)化工程網(wǎng)絡(luò)建設(shè)中的核心問題，規(guī)劃適當(dāng)與否直接影響到整個網(wǎng)絡(luò)的可靠性及效率。路由協(xié)議的選擇對工程的可靠性、靈活性、可拓展性有較大的影響。由于上海電信2006年IP城域網(wǎng)優(yōu)化工程調(diào)整優(yōu)化了原有網(wǎng)絡(luò)結(jié)構(gòu)，其路由策略也要作相應(yīng)的調(diào)整。整個骨干網(wǎng)是一個自治域(ISIS)。KJ、KAJ兩個節(jié)點的2臺多機箱路由器作為核心出口，與國家骨干網(wǎng)核心節(jié)點之間采用BGP-4。全網(wǎng)啟用MPLS。啟用TE、FRR。開通基于MPLS的2層和3層VPN。根據(jù)上海目前城域網(wǎng)及出口層現(xiàn)狀，如下圖所示：城域網(wǎng)B平面與現(xiàn)網(wǎng)融合的方案如下。城域網(wǎng)B平面設(shè)立私有AS，與CN2及ChinaNet不直連(MPLSVPN可以直接連接CN2SR)如下圖所示： B平面雖然擁有私有AS64716(為集團公司統(tǒng)分的私有AS號，)，B平面仍然類似A平面目前方式，上聯(lián)到AS4812?，F(xiàn)網(wǎng)的改動較小，達到城域網(wǎng)優(yōu)化的效果，B平面流量可以直接經(jīng)過SR設(shè)備經(jīng)入CN2SR，達到城域網(wǎng)優(yōu)化的建設(shè)目標(biāo)。 B平面核心路由器和業(yè)務(wù)路由器均在AS64716中，核心路由器和4812核心路由器通過EBGP互聯(lián)，核心路由器和64712的核心路由器通過EBGP互聯(lián)，業(yè)務(wù)路由器可以與CN2PE互聯(lián)，采用optionA方式提供跨域MPLSVPN能力。城域網(wǎng)B平面具有獨立自治域編號，與A平面和4812之間為EBGP鄰接關(guān)系。由于B平面沒有與CHINANET和CN2直連，因此需要在4812的出口路由器上實現(xiàn)對穿越CHINANET和CN2流量的雙向可控，保證有高質(zhì)量用戶參與的業(yè)務(wù)優(yōu)選CN2傳輸，普通用戶間的業(yè)務(wù)優(yōu)選CHINANET傳輸，從而為城域網(wǎng)各類用戶業(yè)務(wù)提供不同等級的服務(wù)質(zhì)量保證。根據(jù)城域網(wǎng)A、B平面與4812間的網(wǎng)絡(luò)互聯(lián)結(jié)構(gòu)，采用BGP路由策略并結(jié)合策略路由技術(shù)及用戶接入分離方式實現(xiàn)城域網(wǎng)到CHINANET、CN2的流量流向控制：通過4812出口路由器向CHINANET和CN2發(fā)布精確度不同的路由信息（粗/細路由）并運用相應(yīng)的路由控制策略實現(xiàn)所有對城域網(wǎng)高質(zhì)量用戶的訪問經(jīng)CN2傳輸，城域網(wǎng)普通用戶間的訪問經(jīng)CHINANET傳輸。針對城域網(wǎng)高質(zhì)量用戶出城訪問業(yè)務(wù)使用策略路由進行引導(dǎo)，將流量導(dǎo)向CN2傳輸。針對新增用戶采用用戶接入分離的方式實現(xiàn)流量引導(dǎo)。即新增普通用戶接入A平面，新增高質(zhì)量用戶接入B平面。IGP方案域內(nèi)路由協(xié)議（IGP）在城域網(wǎng)中起著連通骨干、選徑和自動迂回的作用。IGP通過計算每條路徑的權(quán)值來尋找最佳路徑。IGP并不承載用戶路由。本次項目采用ISIS作為IGP。所有核心層和業(yè)務(wù)路由設(shè)備均運行在ISIS的Level-2骨干區(qū)域，使用全網(wǎng)統(tǒng)一分配的NETID，ISIS涵蓋網(wǎng)絡(luò)中所有核心設(shè)備，匯聚出口設(shè)備的Loopback端口和鏈路端口；核心路由器的上聯(lián)接口、業(yè)務(wù)路由器的下聯(lián)接口和設(shè)備的Loopback端口設(shè)置為Passive模式；鏈路Metric模式設(shè)置為Wide模式，并且按照統(tǒng)一設(shè)計Metric設(shè)定規(guī)范來設(shè)定鏈路的Metric值，全網(wǎng)通過ISIS的Metric值引導(dǎo)流量流向。實施要點如下表規(guī)范項目規(guī)范設(shè)置備注ISISInterface下的ipMTU1500is-typelevel-2TE實現(xiàn)只能在1個Level中wide-mtrics參數(shù)打開TE配置需要啟動新類型的TLVspassive-interfaceLoopback0是MPLSTERIDLoopback0BGP方案IP城域網(wǎng)兩臺核心路由器和所有業(yè)務(wù)路由器參與BGP路由協(xié)議；兩臺核心路由器與業(yè)務(wù)路由器之間運行iBGP；同時兩臺核心設(shè)備作為BGPIPv4RR，這兩臺BGPRR屬于同一個RRCluster，所有業(yè)務(wù)路由器作為RR客戶端；兩臺核心路由器分別向業(yè)務(wù)路由器通告BGP默認路由，不向其它網(wǎng)絡(luò)通告BGP默認路由僅向出口層通告內(nèi)部用戶路由，同時核心路由器從出口層學(xué)習(xí)完整Internet路由表，業(yè)務(wù)路由器不承載Internet路由表，上海電信內(nèi)所有用戶路由均由BGP協(xié)議進行承載。IPv4的用戶路由均由BGP協(xié)議進行承載，如下圖所示：B平面內(nèi)VPN用戶路由的承載通過MP-iBGP，可支持VPNV4路由。為使網(wǎng)絡(luò)具有擴展性，又不影響核心網(wǎng)絡(luò)的性能，建議設(shè)立獨立的RR，可選2臺獨立的設(shè)備作為RR。CHINANET/CN2的經(jīng)驗表明，獨立的不在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的RR可以提升網(wǎng)絡(luò)的穩(wěn)定性，增強網(wǎng)絡(luò)管理的能力。另外建議RR選用同一廠商的設(shè)備，避免未來網(wǎng)絡(luò)擴展，拓撲復(fù)雜后，極端情況下出現(xiàn)環(huán)路的可能。兩臺RR建議和核心的兩臺TX及CRS-1交叉互聯(lián)。MPLSVPN的CE-PE路由設(shè)計CE-PE路由以靜態(tài)為主，根據(jù)用戶需求可以開放EBGP用戶接入，盡量避免使用OSPF、ISIS等路由協(xié)議互連。采用EBGP協(xié)議與客戶CE互聯(lián)時，如客戶沒有AS號，建議使用私有的AS號，即使用64512~65535之間的AS號。L3MPLSVPN的實施方案B平面MPLSVPN網(wǎng)絡(luò)邏輯關(guān)系圖說明:IP城域網(wǎng)B平面兩臺核心路由器和所有業(yè)務(wù)路由器參與BGP路由協(xié)議；兩臺核心路由器與出口層路由器之間運行eBGP，與B平面內(nèi)業(yè)務(wù)路由器之間運行iBGP；建議RR2臺設(shè)置,建議使用單獨的設(shè)備,不用SR或CR復(fù)用.這兩臺BGPRR屬于同一個RRCluster，所有B平面業(yè)務(wù)路由器作為RR客戶端；B平面兩臺核心路由器分別向B平面業(yè)務(wù)路由器通告BGP默認路由，B平面不向其它網(wǎng)絡(luò)通告BGP默認路由僅向出口層通告B平面內(nèi)部用戶路由，同時B平面核心路由器從出口層學(xué)習(xí)完整Internet路由表，B平面業(yè)務(wù)路由器不承載Internet路由表，B平面內(nèi)上海電信所有用戶路由均由BGP協(xié)議進行承載。MPLSVPN跨域方式采用目前通用的OptionA/B的方式．MPLSVPN網(wǎng)絡(luò)號碼資源分配規(guī)則表MPLSVPN體系結(jié)構(gòu)中，與MP-BGPVPN相關(guān)的號碼資源主要包括：路由識別（RD，RouteDistinguisher）、路由目標(biāo)（RT，RoutingTarget）以及VRF名稱。路由識別區(qū)分符英文表示為:RouteDistinguisher,簡稱為RD。路由目標(biāo)英文表示為:RouteTarget，間稱為RT.其包括Export(導(dǎo)出)和Import（導(dǎo)入）策略。VRF為VPNRouting/Forwarding，就是為每個VPN定義自己的名字，該名字的命名規(guī)則應(yīng)該遵循讓人一看就明白的原則。上海電信MPLSVPN網(wǎng)絡(luò)上述三個號碼資源分配遵循以下規(guī)則：VRF命名規(guī)則：三層VRF命名格式：vrf3-name，其中vrf3為固定字符串，用來標(biāo)識三層vrf實例。name則描述VPN用戶具體有意義的名字。二層VRF命名格式：vrf2-name，其中vrf2為固定字符串，用來表示二層vrf實例。name則描述VPN用戶具體有意義的名字。RT/RD分配規(guī)則：RD/RT可以采用<ASN>:<32bitnumber>格式。其中<ASN>16bits，余下的<32bitnumber>由各用戶自行定義。為了保證與國內(nèi)/外其它運營商之間的互通，應(yīng)該采用合法自治域號碼，如可以采用目前中國電信的合法自治域號碼。對于國際和國內(nèi)的跨域VPN業(yè)務(wù)，<ASN>的值為4809，余下的<32bitnumber>值分配建議遵循CN2RT/RD分配規(guī)范。對于城域網(wǎng)內(nèi)VPN業(yè)務(wù)，<ASN>的值為城域網(wǎng)AS號，余下的<32bitnumber>值則按序進行分配。RD/RT用途備注<ASN>:1~1000上海電信內(nèi)部使用<ASN>:<ASN>:1001~上海電信客戶使用上海城域網(wǎng)優(yōu)化工程中，需要用的的vrf如下：VRF名用途RDRT備注vrf3-iptvIPTVVPN4812:40014812:4001包括CDN網(wǎng)絡(luò)、點播業(yè)務(wù)vrf3-ngnNGNTBDTBDMPLSVPN業(yè)務(wù)的接入方式對于傳統(tǒng)的DDN/FR/ATM專線用戶，可以直接接入到PE設(shè)備的相應(yīng)接口上，配置相應(yīng)的接口和相應(yīng)的VRF，使用戶直接接入到MPLSVPN中。對于以太網(wǎng)專線用戶，用戶采用光纖直連或其他方式接入到大客戶平面的以太網(wǎng)交換機，將用戶透傳到業(yè)務(wù)控制層的SR設(shè)備上，即可以使用MPLSVPN服務(wù)。對于xDSL專線用戶，可以配置xDSL接入方式為Bridged或Routed方式通過DSLAM的相應(yīng)PVC/VLAN接入到SR路由器的接口上，從而接入到MPLSVPN。也可考慮將BRAS作為MPLSPE設(shè)備來使用。但是，在BRAS重載的時候，不建議以這種方式開展業(yè)務(wù)。三層MPLSVPN部署設(shè)計本期城域網(wǎng)優(yōu)化工程，新增了8臺Cisco12416和8臺7750SR作為業(yè)務(wù)路由器，具備開展MPLSVPN業(yè)務(wù)的能力。城域網(wǎng)主要開放三層VPN業(yè)務(wù)，業(yè)務(wù)接入方面以光纖接入為主。城域網(wǎng)出口路由器和匯聚路由器開啟MPLS作為VPN網(wǎng)的P設(shè)備；SR路由器則作為PE設(shè)備。PE與P設(shè)備，P設(shè)備之間仍然采用城域網(wǎng)內(nèi)部路由協(xié)議OSPF/ISIS，所有MPLS鏈路包括虛接口都屬于AREA0區(qū)域。MPLSVPN網(wǎng)絡(luò)設(shè)備采用RSVP-TE協(xié)議傳遞公網(wǎng)標(biāo)簽，PE設(shè)備之間則采用MP-IBGP傳遞VPN路由信息和私網(wǎng)標(biāo)簽，由于城域網(wǎng)PE設(shè)備數(shù)量比較多，可以設(shè)置2臺路由反射器（RR）來增加擴展性，每臺PE使用兩個iBGP的連接到兩個互為備份的RR。本期工程，在NGN等方案設(shè)計時，考慮了采用VPLS技術(shù)。當(dāng)采用二層VPN方式接入時，則可以在SR上開啟VPLS功能，作為二層VPN用戶接入控制設(shè)備。PE路由器的選取仍然與三層VPN網(wǎng)絡(luò)相同，這些設(shè)備間采用RSVP-TE協(xié)議分配公網(wǎng)標(biāo)簽，二層PE設(shè)備之間采用LDP傳遞VPLS服務(wù)私網(wǎng)標(biāo)簽。SR需要為二層VPN用戶配置二層VSI實例，并分配二層虛電路編號和VLANID。VPLS部署設(shè)計簡述：Alcatel8臺7750、32臺7450以及核心CRS-1andTX組成VPLSdomain。B平面H-VPLS設(shè)計與部署上海電信B平面H-VPLS設(shè)計,采用H-VPLS設(shè)計,將VPLS的全網(wǎng)狀VC的范圍固定在小范圍8臺7750間，基本VPLS中的7750功能在層次化VPLS中被分離成兩部分，一部分7750之間仍然進行全網(wǎng)狀的業(yè)務(wù)隧道連接以及針對每個VPLSVPN的全網(wǎng)狀VC連接，7750上仍然要進行MAC地址學(xué)習(xí)，并為每個VPLSVPN維護一個VPNMAC地址表，但7750的數(shù)量相對固定，7750間的全網(wǎng)狀VC一次性建立后無需隨著網(wǎng)絡(luò)規(guī)模的擴展不斷增加，7750間的全網(wǎng)狀VC叫做HUBVC，7750路由器仍然負責(zé)對unknownunicast、broadcast和multicast數(shù)據(jù)包的復(fù)制和flooding。另一部分與基本VPLS不同的是，用戶主要接到7450上而不是直接到進行全網(wǎng)狀VC互連的7750上，7450與7750連接，對于每個連在7450上的VPLSVPN用戶節(jié)點，7450和7750間為其建立一條點到點VC連接，叫做SPOKEVC，任何7450只和本地相連的7750建立點到點VC連接，而不會和VPN中其它相關(guān)的7450建立全網(wǎng)狀VC互連，這樣就減少了大量VC建立（控制平面）和flooding包復(fù)制（轉(zhuǎn)發(fā)平面）帶來的負載。7450設(shè)備可以是具備二層交換功能的設(shè)備或只有三層功能的設(shè)備，但最好能支持Martini封裝，支持LDPVC，此外也可通過VLANtag（Q-in-Q）建立點到點SpokeVC.H-VPLS的設(shè)計的優(yōu)勢:舉例分析假設(shè)有某大客戶，有N（N=16）個點分別連入VPLS網(wǎng)，每個點雙鏈路上連到2臺7450上.需要配置的VC數(shù)量計算如下表：組網(wǎng)模式VPLS網(wǎng)構(gòu)架方式VC配置數(shù)量(N=16)對等方式（Fullmesh）扁平化（不分層）2*N*(N-1)/2=240總公司-分公司模式（Hub-spoke）扁平化（不分層）2*（N-1）=30對等方式（Fullmesh）層次化（H-VPLS）8*（8-1）/2+2*N=60總公司-分公司模式（Hub-spoke）層次化（H-VPLS）8+2*N=40可見,在對等模式下,層次化的VPLS的架構(gòu),需要配置VC的數(shù)量將遠小于扁平化的VPLS的架構(gòu).A-B平面跨域的VPLS設(shè)計與部署原理示意圖VPLS業(yè)務(wù)并不僅僅只限于B平面城域網(wǎng)范圍，利用層次化VPLS技術(shù)中的SpokeVC的概念，我們可以將VPLS從B平面城域范圍擴展到A平面城域范圍?？鏏/B平面實施VPLS業(yè)務(wù)的關(guān)鍵一點在于在兩個城域的邊緣PE路由器之間，建立一條LSP，并且為每一個VPLS實例建立一條虛擬電路，將這個SpokeVC看做客戶接入端口，這樣就屏蔽了其他城域網(wǎng)里的情況，無需在所有城域的PE之間建立LSP和虛擬電路，從而具備了廣域網(wǎng)所需的擴展能力。部署建議:在A,B平面各找1臺SR做為2個平面間VPLS互通設(shè)備.VPLS2層接入L3MPLSVPN網(wǎng)的設(shè)計與部署2臺7750和2臺7450搭成的口字型連接,配置IP地址，并運行IGP協(xié)議(詳見《上海電信IP城域網(wǎng)優(yōu)化實施方案》)4臺設(shè)備的口字型的鏈路上運行LDP,RSVP,4臺設(shè)備間配置TEFRR保護鏈路和節(jié)點2臺7750為一組,共4組,每組7750和8臺7450搭成4個口字型,4口字型共用同一條7750間互聯(lián)連路.業(yè)務(wù)保護部署方案業(yè)務(wù)保護概述業(yè)務(wù)保護技術(shù)主要是通過冗余的設(shè)備及鏈路設(shè)置，在設(shè)備或鏈路發(fā)生故障時業(yè)務(wù)流快速切換，從而不中斷業(yè)務(wù)提供的技術(shù)。目前城域網(wǎng)可采用的業(yè)務(wù)保護技術(shù)較多，涉及到城域網(wǎng)的各個層面?；谠O(shè)備本身的技術(shù)主要有NSF（不間斷轉(zhuǎn)發(fā)）、GR（優(yōu)雅重啟）等，在設(shè)備的主用引擎出現(xiàn)故障時，路由表和轉(zhuǎn)發(fā)表也不需要重新計算，可以保證轉(zhuǎn)發(fā)的流量不被間斷。城域網(wǎng)核心路由層主要可以通過路由快速收斂和基于MPLS的FRR技術(shù)來實現(xiàn)業(yè)務(wù)保護。目前主流的廠家路由快速收斂基本可以做到亞秒級，F(xiàn)RR可以達到毫秒級。業(yè)務(wù)控制層主要可以通過VRRP+BFD方式實現(xiàn)專線網(wǎng)關(guān)和大客戶互聯(lián)網(wǎng)關(guān)的快速切換，切換時間可以達到亞秒級。業(yè)務(wù)保護部署方案上海電信城域網(wǎng)B平面核心主要采用Juniper和Cisco核心路由器，由于在網(wǎng)絡(luò)中引起網(wǎng)絡(luò)通信中斷和可用性降低的事件包括路由器故障、線路故障和維護操作等，而維護操作(軟件升級、配置改變、更換板卡等)實際上在中斷分布中的份額很大，在一個網(wǎng)絡(luò)設(shè)計中需要全面地解決三個方面的問題，并且根據(jù)各個Pop點對可用性的不同要求而采取不同的措施:臨時路由黑洞避免路由器在進行維護操作前和啟動過程中通知其他設(shè)備不加入IGP路由計算,可以通過ISISoverloadbits或largelinkmetric實現(xiàn)；對維護操作類作用明顯，但可能引起其他網(wǎng)絡(luò)線路擁塞，并且僅在網(wǎng)絡(luò)存在迂回路徑時作用；IGP/BGP快速收斂對路由器的接口卡、轉(zhuǎn)發(fā)引擎的故障和線路故障作用明顯，可以在sub-second恢復(fù)級別，對路由器的路由引擎的錯誤和切換影響不大；相對通用、簡單、擴展性好；MPLSFRR對路由器的接口卡、轉(zhuǎn)發(fā)引擎的故障和線路故障作用明顯，可以在sub100ms恢復(fù)級別，對路由器的路由引擎的錯誤和切換影響不大；部署相對復(fù)雜；Gracefulrestart主要針對路由器的路由引擎的錯誤和切換，可以做到零丟包；需要注意的是能否做到零丟包與路由器的實現(xiàn)是否完整有關(guān)，不僅應(yīng)該包含ISIS、BGP也應(yīng)該包含LSP、RSVP等；建議在對全網(wǎng)的可靠性和QoS影響都非常大的節(jié)點同時采用上述技術(shù)，特別是MPLSFRR和Gracefulrestart，而對其他節(jié)點至少采用前2項，暫不采用MPLSFRR，是否采用Gracefulrestart取決于設(shè)備的支持情況。MPLSTEFRR實施設(shè)計為了保證MPLS網(wǎng)絡(luò)的可靠性，MPLS快速重路由（FastRe-Route）技術(shù)扮演了重要角色。這種技術(shù)借助MPLS流量工程（TrafficEngineer）的能力，為LSP提供快速保護倒換能力。MPLS快速重路由事先建立本地備份路徑，保護LSP不會受鏈路/節(jié)點故障的影響，當(dāng)故障發(fā)生時，檢測到鏈路/節(jié)點故障的設(shè)備就可以快速將業(yè)務(wù)從故障鏈路切換到備份路徑上，從而減少數(shù)據(jù)丟失。快速響應(yīng)、及時切換是MPLS快速重路由的特點，它可以保證業(yè)務(wù)數(shù)據(jù)的平滑過渡，不會導(dǎo)致業(yè)務(wù)中斷；同時，LSP的頭節(jié)點會嘗試尋找新的路徑來重新建立LSP，并將數(shù)據(jù)切換到新路徑上，在新的LSP建立成功之前，業(yè)務(wù)數(shù)據(jù)會一直通過保護路徑轉(zhuǎn)發(fā)。MPLSTE快速重路由是MPLSTE中一套用于鏈路保護和節(jié)點保護的機制。當(dāng)LSP鏈路或者節(jié)點故障時，在發(fā)現(xiàn)故障的節(jié)點進行保護，這樣可以允許流量繼續(xù)從保護鏈路或者節(jié)點的隧道中通過，以使得數(shù)據(jù)傳輸不至于發(fā)生中斷，同時頭節(jié)點就可以在數(shù)據(jù)傳輸不受影響的同時繼續(xù)發(fā)起主路徑的重建。MPLSTE快速重路由的基本原理是用一條預(yù)先建立的LSP來保護一條或多條LSP。預(yù)先建立的LSP稱為快速重路由LSP，被保護的LSP稱為主LSP。MPLSTE快速重路由的最終目的就是利用Bypass隧道繞過故障的鏈路或者節(jié)點，從而達到保護主路徑的功能?？焖僦芈酚蒐SP和主LSP的建立過程需要MPLSTE系統(tǒng)的各個構(gòu)件參與。MPLSTE快速重路由是基于RSVPTE的實現(xiàn)，遵循RFC4090。實現(xiàn)快速重路由有兩種方式：Detour方式：One-to-oneBackup，分別為每一條被保護LSP提供保護，為每一條被保護LSP創(chuàng)建一條保護路徑，該保護路徑稱為DetourLSP。Bypass方式：FacilityBackup，用一條保護路徑保護多條LSP，該保護路徑稱為BypassLSP?？紤]到上海電信城域網(wǎng)B平面的拓撲結(jié)構(gòu)：任何SR之間至少有2條冗余的物理鏈路和2條相應(yīng)的冗余的TE邏輯鏈路；由于TE邏輯鏈路路由優(yōu)先級高于相應(yīng)物理鏈路，TE鏈路（主TE）需要宣告到IGP之中，相應(yīng)的網(wǎng)絡(luò)流量將按TE方向傳送；有鑒于此，由于本期2個業(yè)務(wù)層面業(yè)務(wù)沒有交互，且SR都是同機房配置。不建議在2個業(yè)務(wù)層面之間建立直接聯(lián)系。LSP分區(qū)域：IPTV層面8臺SR之間fullmesh；關(guān)鍵業(yè)務(wù)層面8臺SR之間fullmesh。2個業(yè)務(wù)層面單獨配置時，TE域邏輯上劃分為2個部分。每部分的LSP總數(shù)仍在可控范圍內(nèi)。我們做如下設(shè)計:要達到設(shè)計要求的亞秒級快速收斂的要求，我們完全可以通過IGP的快速收斂技術(shù)達到為了充分和有效利用網(wǎng)絡(luò)資源，均衡負載:TT詳細設(shè)計見下表：TE配置示例：TEFRR主要配置mplstraffic-engreoptimizeeventslink-upmplstraffic-engreoptimizetimersfrequency300interfaceTunnel12ipunnumberedLoopback0tunneldestinationSR-2tunnelmodemplstraffic-engtunnelmplstraffic-engautorouteannouncetunnelmplstraffic-engautoroutemetricabsolute1tunnelmodemplstraffic-engfast-reroutetunnelmplstraffic-engpriority11tunnelmplstraffic-engbandwidth250tunnelmplstraffic-engpath-option1explicitnamePrimary-pathipexplicit-pathnamePrimary-pathenablenext-addressTXnext-addressSR-2interfaceTunnel102ipunnumberedLoopback0tunneldestinationSR-2tunnelmodemplstraffic-engtunnelmplstraffic-engpriority77tunnelmplstraffic-engbandwidth250tunnelmplstraffic-engpath-option1explicitnameBackup-pathipexplicit-pathnameBackup-pathenablenext-addressCRSnext-addressSR-2interfacePOSXdescriptionSR-1--CRSmplstraffic-engbackuptunnel2BFD設(shè)計在實施MPLS鏈路保護時，以下因素會影響切換時間：故障偵測快速的故障偵測需要依賴接口的物理/鏈路層故障偵測或BFD而不能依賴RSVP的keepalive信息;從本質(zhì)上講，BFD是一種高速的獨立HELLO協(xié)議（類似于那些在路由協(xié)議中使用的協(xié)議，如開放最短路徑優(yōu)先協(xié)議(OSPF)，或可以與鏈路、接口、隧道、路由或其他網(wǎng)絡(luò)轉(zhuǎn)發(fā)部件建立聯(lián)系的中間系統(tǒng)到中間系統(tǒng)協(xié)議）。BFD能夠與相鄰系統(tǒng)建立對等關(guān)系，然后，每個系統(tǒng)以協(xié)商的速率監(jiān)測來自其他系統(tǒng)的BFD速率。監(jiān)測速率能夠以毫秒級增量設(shè)定。BFD的負載控制包為UDP包,源端口49152.目的端口3784;BFD的回聲包也是UDP包,源端口3785.目的端口3785.在本次工程中我們在路由協(xié)議及物理鏈路上都考慮開啟BFD,初步想法如下表路由協(xié)議最小間隔ms重測次數(shù)BGP154IS-IS104OSPF104MPLSTE105路由協(xié)議最小間隔ms重測次數(shù)所有POS103所有GE103所有10G104說明：bfd的數(shù)據(jù)包的QOS保障,P隊列,最優(yōu)先CRS上BGP的BFD的配置示例RP/0/RP0/CPU0:router(config)#routerbgp64713RP/0/RP0/CPU0:router(config-bgp)#bfdmultiplier4RP/0/RP0/CPU0:router(config-bgp)#bfdminimum-interval15RP/0/RP0/CPU0:router(config-bgp)#neighborTXRP/0/RP0/CPU0:router(config-bgp-nbr)#remote-as64713RP/0/RP0/CPU0:router(config-bgp-nbr)#bfdfast-detectCRS上VRF的BFD的配置示例RP/0/RP0/CPU0:router(config-bgp-nbr)#address-familyipv4unicast0.0.0.0/02.6.0.1RP/0/RP0/CPU0:router(config-bgp-nbr)#bfdfast-detectminimum-interval10multiplier5address-familyipv4unicastaddressnexthopbfdfast-detectCRS上OSPF及GE鏈路上的的BFD的配置示例RP/0/0/CPU0:router#configureRP/0/0/CPU0:router(config)#routerospf0RP/0/0/CPU0:router(config-ospf)#area0RP/0/0/CPU0:router(config-ospf-ar)#interfacegigabitEthernet0/3/0/1RP/0/0/CPU0:router(config-ospf-ar-if)#bfdfast-detectRP/0/RP0/CPU0:router(config-static)#addressipv4unicast2.2.2.0/243.3.3.3bfdfast-detectionLSP的數(shù)量需要保護的LSP的數(shù)量;Ingressfailure時映射到Tunnel內(nèi)的LDPlable和IPprefix數(shù)目在FRR保護的RSVPTE的ingress點出現(xiàn)故障時,切換速度還有可能與push進tunnel的LDPLSP和IPprefixnumber有關(guān);路由器控制層面的更新能力關(guān)鍵業(yè)務(wù)(NGN)組網(wǎng)方案概述(1)本方案主要考慮AG方式接入的軟交換承載，軟PHONE方式接入暫不考慮；(2)軟交換業(yè)務(wù)作為三層MPLSVPN的大客戶承載；(3)軟交換業(yè)務(wù)系統(tǒng)所有設(shè)備作為用戶設(shè)備或CE設(shè)備接入；信令和媒體流承載在１個業(yè)務(wù)VPN中,業(yè)務(wù)子接口采用集團公司統(tǒng)一規(guī)劃的私網(wǎng)地址；網(wǎng)管流承載在網(wǎng)管VPN中，網(wǎng)管子接口采用公網(wǎng)地址；VRFRT,RD設(shè)計見前章．關(guān)鍵業(yè)務(wù)子網(wǎng)連接圖市區(qū)部分郊縣部分關(guān)鍵業(yè)務(wù)收斂時間說明市區(qū)部分郊縣部分軟交換接入方式軟交換兩個核心節(jié)點(SS,SG,TG,AS等)分別通過兩臺三層交換機，同時接入CN2軟交換VPN和城域軟交換VPN中，作為兩個VPN域的

CE設(shè)備。對端的PE設(shè)備采用城域網(wǎng)與CN2對接的共計四臺SR。市區(qū)AG接入市區(qū)AG接入考慮有以下幾種方案市區(qū)RIPv2方案對于市區(qū)的中興、Alcatel的AG設(shè)備邏輯結(jié)構(gòu)如下： 每2臺3552組成一組為若干AG啟動一個業(yè)務(wù)Vlan，兩臺3552上和這些AG互聯(lián)口為該Vlan的Access口，這些AG均在同一個Vlan中，3552上對應(yīng)此Vlan配置Vlan子接口，每對Vlan子接口上配置一組VRRP，VRRP的VIP作為這個Vlan中的AG的網(wǎng)關(guān)。考慮到兩臺3552的負載均衡，2臺3552各作一半Vlan的主網(wǎng)關(guān)。 2臺3552之間互聯(lián)GE采用Trunk模式，Trunk里面透傳業(yè)務(wù)Vlan。3552之間另有FE互聯(lián)，作為三層鏈路，發(fā)生故障時通過FE進行流量轉(zhuǎn)移。 2臺7450和2臺3552各自直聯(lián)，3552到7450的接口啟動三層的接口模式。 每臺7750的下聯(lián)vpls虛接口及下聯(lián)7450上的3552均劃分在同一個IP地址網(wǎng)段，7750和3552之間啟用RIPv2路由協(xié)議，7750將缺省路由下放，每臺3552上所有端口均啟用RIPv2協(xié)議，Passive下聯(lián)端口，3552的上聯(lián)鏈路只接收RIPv2缺省路由，不接收RIPv2其他路由，降低3552運行負載。 正常情況下3552A收到兩條缺省路由，分別為7750A發(fā)布和7750B發(fā)布，由于7750B發(fā)布的缺省路由進過3552B，因此hop數(shù)+1，3552A選擇缺省路由指向7750A。 2臺7750采用不同的local-preference將同一條業(yè)務(wù)路由向外發(fā)布，NGNVRF采用相同RD，RR路由器通過對比BGP路由屬性，優(yōu)選local-preference高的VPNv4路由向其他7750反射，實現(xiàn)NGN路由冗余；正常情況下local-preference高的7750的下聯(lián)3552為主用VRRP，使得進出AG的數(shù)據(jù)路徑為同一條。 正常情況下： 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障發(fā)生的情況下： 故障點1：AGA和3552A互聯(lián)鏈路中斷（AG端口自動切換） 出流量：AGA－>3552B－>7450B－>7750B 入流量：7750A－>7450A－>3552A－>3552B－>AGA 故障點2：AGA和3552B互聯(lián)鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點3：3552A和3552B互聯(lián)GE鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點4：3552A和3552B互聯(lián)FE鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點5：3552A和7450A互聯(lián)鏈路中斷（3552A指向7750A的缺省路由失效，3552A指向3552B到7750B的缺省路由生效） 出流量：AGA－>3552A－>3552B－>7450B－>7750B 入流量：7750B－>7450B－>3552B－>3552A－>AGA 故障點6：3552B和7450B互聯(lián)鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點7：7450A和7450B互聯(lián)鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點8：7450A和7750A互聯(lián)鏈路中斷（vpls快速收斂） 出流量：AGA－>3552A－>7450A－>7450B－>7750B－>7750A 入流量：7750A－>7750B－>7450B－>7450A－>3552A－>AGA 故障點9：7450B和7750B互聯(lián)鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點10：7750A和7750B互聯(lián)鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點11：3552A宕機（AG端口自動切換） 出流量：AGA－>3552B－>7450B－>7750B 入流量：7750B－>7450B－>3552B－>AGA 故障點12：3552B宕機 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點13：7450A宕機（3552A指向7750A的缺省路由失效，3552A指向3552B到7750B的缺省路由生效） 出流量：AGA－>3552A－>3552B－>7450B－>7750B 入流量：7750B－>7450B－>3552B－>3552A－>AGA 故障點14：7450B宕機 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點15：7750A宕機（3552A指向7750A的缺省路由失效，3552A指向3552B到7750B的缺省路由生效） 出流量：AGA－>3552A－>3552B－>7450B－>7750B 入流量：7750B－>7450B－>3552B－>3552A－>AGA 故障點16：7750B宕機 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA市區(qū)靜態(tài)路由方案對于市區(qū)的中興、Alcatel的AG設(shè)備邏輯結(jié)構(gòu)如下： 每2臺3552組成一組為若干AG啟動一個業(yè)務(wù)Vlan，兩臺3552上和這些AG互聯(lián)口為該Vlan的Access口，這些AG均在同一個Vlan中，3552上對應(yīng)此Vlan配置Vlan子接口，每對Vlan子接口上配置一組VRRP，VRRP的VIP作為這個Vlan中的AG的網(wǎng)關(guān)。考慮到兩臺3552的負載均衡，2臺3552各作一半Vlan的主網(wǎng)關(guān)。 2臺3552之間互聯(lián)GE采用Trunk模式，Trunk里面透傳業(yè)務(wù)Vlan。3552之間另有FE互聯(lián)，作為三層鏈路，發(fā)生故障時通過FE進行流量轉(zhuǎn)移。 2臺7450和2臺3552各自直聯(lián)，3552到7450的接口啟動三層的接口模式。 2臺7750下聯(lián)vpls虛接口及2臺3552上聯(lián)端口均在同一個IP網(wǎng)段中，7750A和7750B之間啟用VRRP，3552A和3552B之間啟用VRRP。 3552A缺省路由指向7750VRRPVIP，另設(shè)置浮動路由（缺省路由指向3552B，Metric為250），3552B缺省路由指向7750VRRPVIP，另設(shè)置浮動路由（缺省路由指向3552B，Metric為250）。 2臺7750都配置指向AG網(wǎng)端的VRF靜態(tài)路由,下一跳為2臺3550的上聯(lián)接口VRRP虛擬地址,2臺7750都把該靜態(tài)路由分發(fā)到NGNVPN的BGP路由中去,并且采用不同的local-preference，NGNVRF采用相同RD，RR路由器通過對比BGP路由屬性，優(yōu)選local-preference高的VPNv4路由向其他7750反射，實現(xiàn)NGN路由冗余；正常情況下local-preference高的7750的亦為VRRP主用設(shè)備，使得進出AG的數(shù)據(jù)路徑為同一臺7750。 正常情況下： 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障發(fā)生的情況下： 故障點1：AGA和3552A互聯(lián)鏈路中斷（AG端口自動切換） 出流量：AGA－>3552B－>7450B－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>3552B－>AGA 故障點2：AGA和3552B互聯(lián)鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點3：3552A和3552B互聯(lián)GE鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點4：3552A和3552B互聯(lián)FE鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點5：3552A和7450A互聯(lián)鏈路中斷（3552A指向7750A的缺省路由失效，3552A指向3552B的浮動路由生效） 出流量：AGA－>3552A－>3552B－>7450B－>7450A－>7750A 入流量：7750A－>7450A－>7450B－>3552B－>3552A－>AGA 故障點6：3552B和7450B互聯(lián)鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點7：7450A和7450B互聯(lián)鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點8：7450A和7750A互聯(lián)鏈路中斷（vpls快速收斂＋VRRP切換） 出流量：AGA－>3552A－>7450A－>7450B－>7750B 入流量：7750B－>7450B－>7450A－>3552A－>AGA 故障點9：7450B和7750B互聯(lián)鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點10：7750A和7750B互聯(lián)鏈路中斷 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點11：3552A宕機（AG端口自動切換） 出流量：AGA－>3552B－>7450B－>7450A－>7750A 入流量：7750A－>7450A－>7450B－>3552B－>AGA 故障點12：3552B宕機 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點13：7450A宕機（3552A指向7750A的缺省路由失效，3552A指向3552B的浮動路由生效） 出流量：AGA－>3552A－>3552B－>7450B－>7750B 入流量：7750B－>7450B－>3552B－>3552A－>AGA 故障點14：7450B宕機 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障點15：7750A宕機（VRRP切換） 出流量：AGA－>3552A－>7450A－>7450B－>7750B 入流量：7750B－>7450B－>7450A－>3552A－>AGA 故障點16：7750B宕機 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA市區(qū)OSPF方案 OSPF方案與RIP方案類似，在兩臺7750和兩臺3552之間運行OSPF協(xié)議，通過OSPF實現(xiàn)系統(tǒng)高可用性。 OSPF對3552的系統(tǒng)資源需求比較高，OSPF的AREA規(guī)劃對于現(xiàn)網(wǎng)可以分兩種方式：一是兩臺7750和下聯(lián)所有3552均在同一個AREA0中，考慮到目前及明年NGN局點的規(guī)劃，同一個AREA中可能存在100臺路由器，7750和3552均系統(tǒng)均無法正常運行；二是兩臺7750之間化為AREA0，每一組3552和7750之間為一個AREA，對于每臺7750將開設(shè)多個vpls實例，規(guī)劃相當(dāng)復(fù)雜。市區(qū)方案建議在目前的網(wǎng)絡(luò)結(jié)構(gòu)下，7750和3552之間實現(xiàn)冗余的方式只有靜態(tài)路由和動態(tài)路由兩種方式，靜態(tài)路由規(guī)劃復(fù)雜，對于后期運維極其復(fù)雜，不建議采用。動態(tài)路由的方式中，相對于OSPF的系統(tǒng)資源需求較高，規(guī)劃復(fù)雜，RIPv2協(xié)議可以很好的克服這些缺點，可以將接入同一臺7450的3552及上聯(lián)7750均規(guī)劃在同一個網(wǎng)段，減少規(guī)劃復(fù)雜性，3552上聯(lián)鏈路只接收缺省路由，可以很好的減少路由條目數(shù)，降低3552系統(tǒng)資源消耗。建議使用RIPv2方式。郊縣AG接入目前AG設(shè)備有中興和Alcatel兩種設(shè)備，郊縣組網(wǎng)方案分為DH和SH兩種方式，以下將分別說明。松江中興方案建議松江中興不采用3552匯聚，直接接入北電以太環(huán)網(wǎng)。以太環(huán)網(wǎng)作為二層透傳，兩臺7750通過VRRP對AG進行保護?？紤]到VRRP數(shù)量限制，建議將多個AG規(guī)劃在同一個Vlan中，兩臺7750分別為一半Vlan的VRRP主設(shè)備，如下圖所示：松江Alcatel方案建議松江Alcatel采用3552作為匯聚，3552對于AG啟用VRRP保護，3552和7750之間建議通過RIPv2動態(tài)路由協(xié)議進行保護。如下圖所示：其他郊縣中興方案建議中興不采用3552匯聚，直接接入北電以太環(huán)網(wǎng)。以太環(huán)網(wǎng)作為二層透傳，兩臺7750通過VRRP對AG進行保護?？紤]到VRRP數(shù)量限制，建議將多個AG規(guī)劃在同一個Vlan中，兩臺7750分別為一半Vlan的VRRP主設(shè)備，如下圖所示：其他郊縣Alcatel方案建議Alcatel采用3552作為匯聚，3552對于AG啟用VRRP保護，3552和7750之間建議通過RIPv2動態(tài)路由協(xié)議進行保護。如下圖所示：郊縣環(huán)網(wǎng)概述目前上海電信城域網(wǎng)優(yōu)化項目中，郊縣北電環(huán)網(wǎng)組網(wǎng)方案有兩種：一是Single-home（SH）方式，ESU設(shè)備連接到一臺8600；另一種為Dual-home（DH）方式，ESU設(shè)備連接到兩臺8600。松江采用Dual-homed結(jié)構(gòu)，其余6個郊縣（嘉定、奉賢、崇明、南匯、金山、青浦）采用Single-homed結(jié)構(gòu)。Single-homed結(jié)構(gòu)有兩種可選方案，以下將一一表述。松江方案松江方案為郊縣北電環(huán)網(wǎng)終網(wǎng)方案，為Dual-homed方式，如下圖所示：松江存在2臺8600和2個SH環(huán)，3個DH環(huán)。每個DH環(huán)上各部署6臺ESU設(shè)備。 其他郊縣方案其他6個郊縣為SH方案，如下圖所示： 網(wǎng)絡(luò)中存在2臺8600和4個SH環(huán)，每個SH環(huán)上各部署5臺ESU設(shè)備。 由于此方案為SH方式，因此需要在未來條件成熟后割接至DH方式，如下所示：大客戶接入組網(wǎng)方案大客戶上網(wǎng)接入方案對于大客戶上網(wǎng)接入，采取專線上網(wǎng)直接放公網(wǎng)地址的方式，不建議采用VPN＋NAT的方式．大客戶VPN組網(wǎng)接入方案大客戶L3MPLSVPN接入組網(wǎng)方案匯聚交換機和SR之間組成一個VPLS匯聚網(wǎng)絡(luò)VPLS將大客戶流量透傳到7750SR上,冗余考慮,建議配置2條VLL到CE的2個接口在7750SR上開啟L3VPN,匯聚層VPLS直接終結(jié)在L3層VPN中,PE-CE之間路由建議運行BGP或者Static路由協(xié)議,如果客戶CE支持BGP,則首選BGP.為每個大客戶VPN開啟一個單獨的VPLS以保證安全。大客戶VPLS組網(wǎng)接入方案對于通過現(xiàn)有交換機上聯(lián)的大客戶，對其分配QinQ標(biāo)簽，上傳到7450，再通過VPLS，透傳到大客戶的其他CE點。VPLS做為2層透明通道,不合CE運行任何2層/3層的協(xié)議,透傳用戶的所有數(shù)據(jù),包括STP,CDP等信息建議CE雙鏈路上聯(lián),然后利用客戶自身網(wǎng)絡(luò)的STP協(xié)議,自行block備用鏈路.(注意,如果用戶未使用STP保護,則單鏈路和CE上聯(lián),以免引起環(huán)路廣播風(fēng)暴等影響電信的VPLS網(wǎng)絡(luò))網(wǎng)絡(luò)設(shè)備命名和IP地址需求設(shè)備和端口命名規(guī)則設(shè)備名格式：網(wǎng)絡(luò)名稱-設(shè)備角色-機房縮寫-設(shè)備型號-設(shè)備編號網(wǎng)絡(luò)名稱-設(shè)備角色-機房縮寫-設(shè)備型號-設(shè)備編號符號字符字符字母字符字符字符字符字符數(shù)字字符數(shù)=3＝1＝1＝1＝2~4＝1＝2~7＝1=1選項必選必選必選必選必選必選必選必選必選說明：原則上沿用上海電信城域網(wǎng)命名規(guī)則，字母全部小寫，兩端和中間沒有任何空格，采用不定長命名。網(wǎng)絡(luò)名稱：3個字符，對于本次網(wǎng)絡(luò)采用ipb來表示新購設(shè)備。設(shè)備角色：1個字母，如下：c:=core,核心設(shè)備，本次工程中包括tx和crs路由器s:=SR,業(yè)務(wù)控制層，本次工程中包括gsr12416和sr7750路由器a:=access,邊緣接入設(shè)備，本次工程中包括hw8505、ess7450、ers8600、esu1800交換機。機房名縮寫：2至4個字母或數(shù)字。原則取用機房名稱前兩個漢字拼音首字母，個別機房名長于兩個拼音字母的按照實際情況編寫，但最長不應(yīng)超過四個字母或數(shù)字。對于同城n個機房縮寫相同，則按諧音或近音改變其中n-1個機房的縮寫，以實現(xiàn)同城機房名縮寫的唯一性。本次工程中包括如下（不全）：機房縮寫機房縮寫武寧wn柳林lli康健kaj斜土xt控江kj云蓮yl大華dah金楊jy設(shè)備型號：2至7個字母或數(shù)字。本次工程中包括：設(shè)備型號設(shè)備型號設(shè)備型號設(shè)備型號txcrsgsr416sr7750hw8505ess7450ers8600esu1800設(shè)備編號：1個數(shù)字（1－9），同一機房內(nèi)對不同設(shè)備角色從1開始編號。（由于對不同機房或設(shè)備角色是重新編號的，9足夠）。關(guān)鍵業(yè)務(wù)子網(wǎng)局點分布表與設(shè)備命名設(shè)備端口命名端口名格式：POSslot/port(cisco)GigabitEthernetslot/port(cisco)so-fpc/pic/port(juniper)說明：除Alcatel設(shè)備外，其他三家的端口命名都根據(jù)廠家規(guī)則來命名，如cisco對POS口的命名格式為POSslot/port，華為也類似，juniper對POS口的命名格式為：so-fpc/pic/port，Alcatel的端口命名是一個可以隨意定義的字符串。為保持統(tǒng)一，Alcatel的端口命名使用juniper的端口命名方法。舉例：pos2/1表示“第二插槽的第一個POS端口”。端口描述網(wǎng)絡(luò)端口描述格式：To對方設(shè)備名稱鏈路帶寬(傳輸電路號)To空格對方設(shè)備名稱空格鏈路帶寬空格(傳輸電路號)符號字符字符字符字符字符字符字符長度＝2＝1≤20＝1≤5＝1≤20選項必選必選必選必選必選必選必選說明：To:固定字符串；對方設(shè)備名稱：在點對點鏈路情況下，采用與設(shè)備直接連接的對方設(shè)備名稱；對于以太網(wǎng)點對多點的鏈路情況下，填寫直接連接的網(wǎng)段名稱。鏈路帶寬：10M、100M、GE、155M、622M、2.5G、10G等等,不區(qū)分ATM、POS和以太網(wǎng)端口類型，在端口名稱中區(qū)分。傳輸電路號：采用傳輸部門給出的電路代號，對于同機房背對背連接的端口，在沒有傳輸代號的情況下，采用ODF架上的編號。用戶端口描述格式：To用戶名稱客戶索引業(yè)務(wù)帶寬(傳輸電路號)To空格用戶名稱空格客戶代號索引空格業(yè)務(wù)帶寬(傳輸電路號)符號字符字符字符字符字符字符字符字符字符數(shù)＝2＝1≤10＝1≤20＝1≤5≤20選項必選必選必選必選必選必選必選可選說明：To:固定字符串。用戶名稱：全中文（拼音）或全英文；外國公司客戶使用英文、國內(nèi)公司客戶用漢語拼音（漢語拼音首字母使用大寫；英文的首字母使用大寫）客戶索引：用戶編號＋直接聯(lián)系用戶的電話，用戶編號與市場部門的編號一致。鏈路帶寬：10M、100M、GE、155M、622M、2.5G、10G等等,不區(qū)分ATM、POS和以太網(wǎng)端口類型，在端口名稱中區(qū)分。傳輸電路號：采用傳輸部門給出的電路代號，對于同機房背對背連接的端口，在沒有傳輸代號的情況下，采用ODF架上的編號。IP地址分配IP地址分配的基本規(guī)則是：B平面核心路由器、SR設(shè)備等的loopback地址采用公有/32地址，由上海電信統(tǒng)一分配。設(shè)備互聯(lián)地址（/30）分配地址，分配原則是：核心路由器－SR設(shè)備：核心路由器使用小的地址，SR使用大的地址IP地址分配原則：具體分配表見實施方案中的IP地址分配表。QoS方案綜述本質(zhì)上，要保證服務(wù)質(zhì)量的最基本和最佳的手段是網(wǎng)絡(luò)容量的擴容，通過增加鏈路帶寬來保證網(wǎng)絡(luò)輕載。IPQoS的目標(biāo)是有效地為用戶提供端到端的服務(wù)質(zhì)量控制或保證。設(shè)備上的QoS機制只是優(yōu)化了數(shù)據(jù)包在設(shè)備中被轉(zhuǎn)發(fā)的調(diào)度策略。QoS就是網(wǎng)絡(luò)單元（例如，應(yīng)用程序，主機或路由器）能夠在一定級別上確保它的業(yè)務(wù)流和服務(wù)要求得到滿足。QoS并沒有創(chuàng)造帶寬，只是根據(jù)應(yīng)用程序的需求以及網(wǎng)絡(luò)狀況來管理帶寬。IPQoS有一套性能參數(shù)，主要包括：業(yè)務(wù)可用性：用戶到Internet業(yè)務(wù)之間連接的可靠性。傳輸延遲：指兩個參照點之間發(fā)送和接收數(shù)據(jù)包的時間間隔?？勺冄舆t：也稱為延遲抖動（Jitter），指在同一條路由上發(fā)送的一組數(shù)據(jù)流中數(shù)據(jù)包之間的時間差異。吞吐量：網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)包的速率,可用平均速率或峰值速率表示。丟包率：在網(wǎng)絡(luò)中傳輸數(shù)據(jù)包時丟棄數(shù)據(jù)包的最高比率。數(shù)據(jù)包丟失一般是由網(wǎng)絡(luò)擁塞引起的。分類標(biāo)記本地城域網(wǎng)和CN2遵循統(tǒng)一的QoS業(yè)務(wù)分類，均適用8個QoS標(biāo)記，其中一個供中國電信內(nèi)部關(guān)鍵業(yè)務(wù)使用，一個作為預(yù)留，其余對外提供業(yè)務(wù)。具體的分類標(biāo)記見下表。（參見集團公司2006年1月QoS分類標(biāo)準(zhǔn)）等級優(yōu)先級(從高到低)等級名稱城域網(wǎng)標(biāo)記(IPPRE/EXP/802.1P)CN2標(biāo)記(IPPre/EXP)城域骨干網(wǎng)隊列類型(參考)業(yè)務(wù)類型（參考）4中國電信自身關(guān)鍵業(yè)務(wù)100100嚴格優(yōu)先隊列3G/軟交換語音等6城域網(wǎng)專用110110輪循隊列1網(wǎng)絡(luò)控制信息或城域網(wǎng)專用7CN2/城域網(wǎng)鉆石業(yè)務(wù)111111輪循隊列2大客戶實時語音5CN2/城域網(wǎng)白金業(yè)務(wù)101101大客戶交互視頻，IPTV組播，新視通，全球眼3CN2/城域網(wǎng)金業(yè)務(wù)011011輪循隊列3大客戶信息系統(tǒng)VNET金1CN2/城域網(wǎng)銀業(yè)務(wù)001001大客戶視頻點播，VNET銀2CN2/城域網(wǎng)銅業(yè)務(wù)010010大客戶普通數(shù)據(jù)，個人VIP互聯(lián)網(wǎng)接入0CHINANET業(yè)務(wù)000000輪循隊列4CHINANET業(yè)務(wù)圖表QoS分類標(biāo)記表在城域網(wǎng)和CN2對接的初期，在CN2一側(cè)完成進出城域網(wǎng)數(shù)據(jù)包的標(biāo)記重新映射工作，待集團公司統(tǒng)一下發(fā)規(guī)定后，城域網(wǎng)和CN2互相信任彼此的QoS標(biāo)記。對從ChinaNet進入城域網(wǎng)的數(shù)據(jù)包進行重標(biāo)記為普通的業(yè)務(wù)等級。寬帶接入網(wǎng)（包括普通用戶接入平面和高質(zhì)量用戶接入平面）和城域網(wǎng)骨干網(wǎng)之間的標(biāo)記映射在城域網(wǎng)骨干網(wǎng)一側(cè)進行。需要注意的是，在所有寬帶接入網(wǎng)入口處重置QoS標(biāo)記，以預(yù)防來自用戶側(cè)的QoS攻擊。城域網(wǎng)QoS實現(xiàn)方式城域網(wǎng)部署以DiffServ為主的QoS技術(shù)（業(yè)務(wù)分類、標(biāo)記、流量控制、隊列調(diào)度等機制）提供突發(fā)擁塞時QoS保證。城域網(wǎng)基于DiffServ的QoS機制，主要應(yīng)用在IP城域網(wǎng)和寬帶接入網(wǎng)兩個部分。IP城域內(nèi)的路由器（含業(yè)務(wù)接入控制層的BRAS和SR）開啟DiffServ，形成三層DiffServ域。城域網(wǎng)DiffServ域分為邊界和骨干兩部分：用戶邊界設(shè)備為城域網(wǎng)接入層設(shè)備BRAS和SR，骨干邊界設(shè)備為出口路由器；骨干設(shè)備為城域網(wǎng)核心層和匯接層路由器。在邊界和骨干設(shè)備開啟不同的DiffServQoS機制，提供城域網(wǎng)DiffServ域邊界到邊界（edge-to-edge）的QoS保證。B平面QoSB平面以帶寬預(yù)留保證為主，結(jié)合DiffServ、路由快速收斂、快速重路由等技術(shù)，實現(xiàn)網(wǎng)內(nèi)的QoS保障。要求如下：B平面使用MPLSEXP作為標(biāo)記字段。在網(wǎng)絡(luò)邊界設(shè)備（SR）上進行分類和標(biāo)識，原則上根據(jù)端口（物理端口或邏輯端口）或標(biāo)記字段實現(xiàn)業(yè)務(wù)分類和標(biāo)記。在保證安全的前提下，可以考慮用IP地址或應(yīng)用層端口號來分類，以提高業(yè)務(wù)開展的靈活性。限速和整形在SR上進行。B平面網(wǎng)絡(luò)設(shè)備提供1個絕對優(yōu)先隊列和4個以上加權(quán)輪循隊列，配合WRED丟棄機制，實現(xiàn)基于QoS等級的IP包轉(zhuǎn)發(fā)。B平面帶寬利用率保證網(wǎng)絡(luò)帶寬的峰值利用率低于50%(5分鐘平均值)鏈路帶寬利用率的預(yù)警界線為一天內(nèi)5分鐘平均值超過50％的時長累計超過2小時A平面QoSA平面以基于DiffServ為主的QoS技術(shù)提供突發(fā)擁塞時QoS保證，要求如下：A平面使用MPLSEXP作為標(biāo)記字段，在業(yè)務(wù)接入控制點根據(jù)物理端口、`邏輯端口或CoS位等標(biāo)記字段完成對接入用戶的分類和三層QoS標(biāo)記。在業(yè)務(wù)接入控制點實現(xiàn)用戶上行流量的限速和用戶下行流量的限速或整形。BRAS、SR和核心路由器提供1個絕對優(yōu)先隊列和3個以上加權(quán)輪循隊列，配合WRED丟棄機制，實現(xiàn)基于QoS等級的IP包轉(zhuǎn)發(fā)。A平面帶寬利用率保證網(wǎng)絡(luò)帶寬的峰值利用率低于85%（暫定）(5分鐘平均值)鏈路帶寬利用率的預(yù)警界線為一天內(nèi)5分鐘平均值超過85％的時長累計超過2小時寬帶接入網(wǎng)QoS寬帶接入網(wǎng)以基于802.1p為主的QoS技術(shù)提供突發(fā)擁塞時的QoS保證。要求如下：由DSLAM與園區(qū)交換機根據(jù)VLANID完成不同用戶或業(yè)務(wù)的CoS分類和標(biāo)記，如采樣SVLAN技術(shù)，匯聚交換機設(shè)備需要將內(nèi)存VLAN的CoS標(biāo)記映射成外層VLAN的CoS。DSLAM和園區(qū)交換機實現(xiàn)寬帶接入用戶上行流量的限速。在DSLAM上設(shè)置DSLAM到Modem的握手速率上限，以提高連接的穩(wěn)定性。寬帶接入網(wǎng)接入點及以上設(shè)備提供1個絕對優(yōu)先隊列和1個以上輪循隊列，實現(xiàn)基于QoS等級的數(shù)據(jù)包轉(zhuǎn)發(fā)。網(wǎng)絡(luò)安全路由器安全性最近針對路由器及其他網(wǎng)絡(luò)組件的攻擊數(shù)量大大增加，為了保護網(wǎng)絡(luò)不受意圖破壞網(wǎng)絡(luò)的人的攻擊，運營商必須采取積極的措施，找出并利用能夠增強網(wǎng)絡(luò)安全性的網(wǎng)絡(luò)和路由器設(shè)計特性。路由器安全性可分為以下3個要素：路由器的物理安全性操作系統(tǒng)安全性配置增強這里沒有對物理安全性提出建議，只是提出了顯而易見的事實——保護任何網(wǎng)絡(luò)設(shè)備的第一步就是限制設(shè)備的物理接入。如果攻擊者能夠訪問到路由器的console口，防止這種攻擊的難度就會非常大。路由操作系統(tǒng)固有的安全性在路由器安全性中也起著重要作用。如果操作系統(tǒng)本身不安全，則路由器可能會受到影響——無論是否認真進行了安全配置。例如，黑客經(jīng)常用來破壞路由器的一種技術(shù)就是尋找路由操作系統(tǒng)代碼中的弱點，引發(fā)緩沖溢出。為了防止這種非法利用，操作系統(tǒng)必須極為穩(wěn)定、強韌。本章集中介紹路由器安全性的第三個方面：路由器配置的增強。配置增強指利用路由器操作系統(tǒng)提供的工具來應(yīng)用可靠的安全性策略的方法。只要有一套強韌的安全工具，實際上任何路由器配置都能夠安全地運行。即便有了這些工具，也還是有可能因為錯誤配置一個本來完全安全的操作系統(tǒng)，導(dǎo)致路由器容易受到攻擊。以下將討論配置增強的4個方面：路由器接入安全性路由協(xié)議安全性保護路由引擎安全審計路由器接入安全性管理和維護路由器基礎(chǔ)設(shè)施必須擁有安全的遠程接入。除非由經(jīng)過授權(quán)的用戶打開遠程接入接口，否則不可能進行遠程接入。與路由器建立遠程通信有兩種方法：帶外管理和帶內(nèi)管理。帶外管理在帶外，可通過路由器管理專用接口連接到路由器。路由器一般都具備專用管理以太網(wǎng)接口以及EIA-232控制臺和輔助端口。管理以太網(wǎng)接口直接連接到路由引擎，這個接口不允許轉(zhuǎn)接流量，可完全隔離客戶流量和管理流量，確保轉(zhuǎn)接網(wǎng)中的擁塞和故障不會影響路由器的管理。甚至在受到DoS攻擊和其他運行中斷的情況下，建立獨立的管理網(wǎng)絡(luò)可促進路由器基礎(chǔ)設(shè)施的管理。通過建設(shè)帶外網(wǎng)管網(wǎng)絡(luò)，可以實現(xiàn)遠程管理和網(wǎng)絡(luò)恢復(fù)；即便主網(wǎng)絡(luò)發(fā)生災(zāi)難性故障，也可進行遠程管理和恢復(fù)。盡管這樣做的成本很高，而且要求相當(dāng)大的資源，但是這種網(wǎng)絡(luò)可以很好地隔離管理控制流量和轉(zhuǎn)接流量。帶內(nèi)管理帶內(nèi)管理可以利用承載客戶流量的接口連接到路由器。盡管這種方法很簡單，不要求專門的管理資源，但是它也有一些缺點：網(wǎng)管流量和業(yè)務(wù)流量混合在一起。與正常流量混合的任何攻擊流量都能影響到與路由器通信的能力。路由器間的鏈路可能不完全可信，這樣有可能受到線路竊聽和重放攻擊。幾乎所有網(wǎng)絡(luò)都需要帶內(nèi)路由協(xié)議流量，這些流量要求的安全措施與帶內(nèi)管理業(yè)務(wù)的完全相同。因此，本文其余章節(jié)假定采用帶內(nèi)管理的方法建立與路由器的管理通信。與路由器通信在管理接入方面，可以采用幾種方法在遠程控制臺和路由器直接通信。最常用的方法是采用應(yīng)用Telnet和SSH。SecureShellSSH可在不安全的網(wǎng)絡(luò)上提供安全加密通信，因此對于帶內(nèi)路由器管理很有用。集中鑒權(quán)由許多不同人員管理多臺路由器可能產(chǎn)生用戶帳戶管理問題。使用集中鑒權(quán)服務(wù)可以解決這個問題；這樣可簡化帳戶管理工作。利用這個機制，可通過一臺中央服務(wù)器執(zhí)行帳戶創(chuàng)建和刪除操作。例如：這樣可以通過單一變化來啟用或禁用某位員工接入所有路由器的權(quán)限；甚至不要求更改任何路由器的配置。集中鑒權(quán)系統(tǒng)還可以簡化SecureID等一次性密碼系統(tǒng)的使用；這種系統(tǒng)可以很好的防止密碼嗅探和密碼重放攻擊（在這種攻擊中，攻擊者使用獲取的密碼假扮路由器管理員。）利用一次性密碼，合法用戶每次接入系統(tǒng)時都將使用不同的密碼字符串。即使攻擊者能夠竊聽到密碼，系統(tǒng)在隨后的登錄嘗試中也不會接受它。選擇鑒權(quán)服務(wù)協(xié)議時，建議使用RADIUS。RADIUS是一個多廠商IETF標(biāo)準(zhǔn)，其特性的接受范圍比TACACS+或其他專用系統(tǒng)特性的接受范圍更廣。此外，可以使用一次性密碼系統(tǒng)以提高安全性，而且所有提供這些系統(tǒng)的廠商都支持RADIUS?？梢栽诼酚善鲃?chuàng)建一個或幾個“模板帳戶”，并使用模板帳戶配置用戶接入該路由器的權(quán)限。路由協(xié)議安全性路由器的主要任務(wù)是使用它的路由表和轉(zhuǎn)發(fā)表將用戶流量轉(zhuǎn)發(fā)到既定目的地。攻擊者可以向路由器發(fā)送“偽造”的路由協(xié)議數(shù)據(jù)包，以期更改或破壞路由表或其他數(shù)據(jù)庫的內(nèi)容；這樣有可以路由器和網(wǎng)絡(luò)的功能造成影響。要防止此類攻擊，路由器必須確保他們與可信對端建立路由協(xié)議關(guān)系（對等或鄰近關(guān)系）。實現(xiàn)這一點的方法之一就是對路由協(xié)議信息進行鑒權(quán)。建議在配置路由協(xié)議時使用鑒權(quán)。用于BGP、OSPF、IS-IS、RIP和RSVP的HMAC-MD5鑒權(quán)。HMAC-MD5使用與待傳輸數(shù)據(jù)結(jié)合的密鑰來計算散列信息。經(jīng)過計算的散列信息與數(shù)據(jù)一同傳輸。接收方使用匹配的密鑰來重新計算并證實信息散列。如果攻擊者偽造或修改了信息，散列會不匹配，數(shù)據(jù)將被丟棄。盡管所有IGP都支持鑒權(quán)，但是有些IGP本身就比其他IGP更加安全。大多數(shù)運營商都使用OSPF或IS-IS來實現(xiàn)快速的內(nèi)部收斂、可擴展性以及利用MPLS使用流量工程功能。因為IS-IS不在網(wǎng)絡(luò)層運行，所以它比OSPF更難欺騙；OSPF被封裝在IP中，因此容易受到遠程報文欺騙和DOS攻擊。帶內(nèi)流量過濾到路由引擎前一節(jié)討論了鑒權(quán)的使用，以確保路由器只與可