广播电视宽带综合信息网数据平台技术建议书.doc

目目 录录 1.1. 方案建议方案建议 4 4 1.1技术建议书编制的依据4 1.2建设目标4 1.3业务分析4 1.4建设原则5 1.5华为公司解决方案6 2.2. 网络安全措施网络安全措施 1919 2.1网络安全策略.20 2.2网络各层设备安全性考虑.20 2.3网络安全措施.20 3.3. 路由协议与策略路由协议与策略 2121 4.4. IPIP 地址规划地址规划2323 5.5. 用户认证用户认证 2626 5.1 WEBVLAN 认证 .26 5.2 8021X 认证 .27 6.6. 强大的强大的 QOSQOS2828 6.1强大的流分类功能.28 6.2二层 QOS 功能 .28 6.3三层 QOS 功能 .29 7.7. 网络可提供的业务网络可提供的业务 2929 7.1基本业务.29 7.2扩展业务.30 8.8. VPNVPN 3030 8.1华为 MPLS/BGP VPN 解决方案特点 31 8.2华为公司 MPLS/BGP VPN 一般组网模型 31 8.3华为 MPLS/BGP VPN 的实现 32 8.4华为 MPLS/BGP VPN 跨自治域的实现 34 8.5基于 VLAN 互连的 VPN 方案35 9.9. 网络管理网络管理 3636 9.1网管的体系结构.36 9.2网管系统对多种设备的一体化管理.36 9.3网管的接口和组网能力.36 9.4网管的功能.37 10.10. 计费管理计费管理 3939 11.11. 结束语结束语 3939 12.12. 附录附录 4040 12.1 附录 缩略语列表 40 1.1.方案建议方案建议 华为公司根据株州市广播电视宽带综合信息网数据平台的技术要 求，在充分分析了市场需求和技术发展趋势之后，结合我国数据通信 发展的实际情况提出了株州市广播电视宽带综合信息网数据平台的技 术建议，主要阐述我司对株州市广播电视宽带综合信息网数据平台建 设的全面解决方案。 1.11.1 技术建议书编制的依据技术建议书编制的依据 本技术建议书依据下列文件编写: 华为公司有关产品的技术手册 1.21.2 建设目标建设目标 株州市广播电视宽带综合信息网数据平台是一个大容量、宽频带、 标准化、双向传输广播电视节目和综合数据信息的宽带网络，并能够 适应未来高清晰度电视和视频点播等广播电视新业务的传输要求；能 够实现全株州市广播电视系统的计算机数据传输、通信、节目数据库 联网，能够实现广播式和交互式社会服务；能够为数据平台外提供专 用信息传输通道。 株州市广播电视宽带综合信息网数据平台的目标是采用先进、成 熟、可靠的网络技术，建立一个高速、宽带的城域网，提供包括数据、 语音、视频、图象等在内的综合业务及其增值业务，满足Internet接 入、VPN、局域网互连等服务需求；并尽可能地实现各种业务网络的 无缝连接和互联，满足通信市场对带宽的迫切需求，推动株州市信息 化的进程。 数据平台要覆盖株州市，应具备较强的可扩展性、广泛的适用性 和灵活性，以及良好的服务质量保证机制和完整的网络服务性能，以 满足市场对网络运行、维护、管理、计费的需求。 1.31.3 业务分析业务分析 广电未来必然是多媒体数据业务运营商，株州市广播电视宽带综 合信息网数据平台所提供的各类业务既要包括对QOS保障和实时性要 求不高的纯IP业务，如现在它能为一般的企业提供数据网络服务、通 过专线HFC为家庭提供INTERNET和相应的各种服务，将来可以提供远 程教育、远程医疗等，又要包括对QOS保障和实时性要求较高的业务， 如金融系统、证券、保险、党政机关等，并且集团用户占极大的比例。 因此该宽带信息网数据平台的建设应该综合考虑这两类业务的实现， 以尽可能低的投入，较小的风险，建设高质量、高稳定性、可扩展性 强的综合网络获得高回报。 在组合考虑Internet接入、VOD、VPN、话音和智能小区、DVB-C等 业务时，我们可以发现广电系统的HFC技术对家庭用户有独有的优势： 高带宽、防辐射能力强、抗干扰能力强、可以利用无源分配技术实现 低廉的接入、利用频分技术实现多种业务的并发工作等等。 1.41.4 建设原则建设原则 株州广电城域网在技术选择上综合考虑先进性、成熟性及良好的 性价比，以网络的可扩展性和可管理性为基础，统一规划，分步实施， 秉承电信级网络的一贯要求，保证网络高效、可靠、安全，确保业务 的快速开展和有效控制以及用户的计费、管理。 因此株州广电宽带城域网络建设应遵循以下基本原则： （1）可靠性。由于宽带IP网的为运营级服务网络，因此网络设计 必须首先考虑主要传输体制的可靠性、所提供服务的可用性、网络设 备的高性能以及对关键用户、关键任务的有效保障机制等，并可与各 种宽带传输交换平台充分互联，能够承载和交换各种信息并将其接入 公众用户。 并以相应的可接受的价格向用户提供不同接入服务的方 法。 （3）扩充性。宽带IP网必须充分考虑到目前的业务需求和今后较 长时间内业务发展的需要。系统不仅能满足现在的需要，还应具有平 滑过渡升级的能力，在采用新技术的同时还可以保护用户投资，保证 原有设备的可用性。 （4）安全性及可管理性。宽带IP网是株州市公众宽带网络，应注 意保证整个系统的可管理性和整个系统的安全性、可靠性；同时，还 可让网络维护人员可以方便地对网络设备进行维护工作和远程控制， 如：模块热插拨等。 （5）开放性与标准化。网络系统应能支持多协议，多厂商（包括 国产设备），具有开放的平台性能，支持各种通讯协议，各种数据库 和客户机服务应用，并能方便地与其它机构、企业的主机和网络互连 通讯。 1.51.5 华为公司解决方案华为公司解决方案 华为公司根据多年来服务于运营商的经验，结合自己的设备， 提出了以下 IP 网络解决方案。 组网方案组网方案 链形组网如下图： 图一图一 株州广电初期网络组网图株州广电初期网络组网图 组网特点组网特点 本宽带网解决方案是基于华为公司成熟的以太网系列产品和华为 公司创新的设计，为用户提供了一种高性能的宽带接入服务，满足广 大用户INTERNET 高速上网、社区服务、话音、视频等大多数宽带业 务和基本的可运营、可管理需求以及灵活的扩展能力，提供基于 802.1x的用户认证，当上行连接BAS设备时，可以配合BAS设备提供 WEBVLAN认证。 在本期工程中，核心置一台Quidway S6506作为核心节点。在汇聚 层配置MA5200，完成对于网络接入层数据的汇聚。在接入层采用 Quidway S2000/3000系列完成对于用户的接入，可根据用户需求，灵 活选择。其中MA5200作为具有分布式BAS功能的三层交换机使用，采 用WEB/PPPOE认证。同时针对电广传媒的优越性，拥有丰富的有线电 缆资源，在接入层再配置MA5201提供HFC用户的接入。对一些小区、 网吧、政府企业的用户，可通过以太网交换机直接向用户提供 10M/100M接口，满足用户高速上网的需求。 核心设备介绍核心设备介绍 ..1 S6506S6506 Quidway S6500 系列以太网交换机的设计基于分布式处理的设计 思想，依托于华为公司拥有自主知识产权的 VRP（Versatile Routing Platform，通用路由平台）网络操作系统，提供完备的动态路由协议、 VLAN（Virtual LANs，虚拟局域网）控制、流量交换、QoS（Quality of Service，服务质量）保证、网络管理等机制，拥有强大的业务控 制和用户管理能力。系统同时提供中英文双语界面，方便用户操作。 运营级可靠性设计运营级可靠性设计 系统采用分布式结构，所有单板支持热插拔。S6500 系列交换机 支持交流电源（AC）和直流电源（DC）两种供电方式。此外，为保证 系统的健壮性，S6500 系列交换机支持电源模块的负载均衡、热插拔、 故障检测及 N:1 冗余备份S6506（R）两个电源模块即可保证系统 的正常工作。支持 STP/RSTP 协议和 VRRP 协议。在安全性要求更高的 场合，还可选用支持双引擎的 S6506R。周到、完善的系统设计可满足 苛刻的运营级网络对设备可靠性的要求。 丰富的功能特性丰富的功能特性 S6500 系列交换机的背板采用高速背板设计技术，交换容量达 32G/64Gbit/s。S6500 系列采用华为专利的弹性资源调配系统技术， 可实现从中心交换单元到业务处理板通道带宽的动态调整，用户可根 据不同的处理板、不同的业务、不同的工作组配置不同的通道带宽， 使得整个网络的灵活性更高，从而实现系统背板、交换引擎带宽、性 能的最优分布；华为 VRP 3.x 网络操作系统支持，提供丰富的网络 特性功能。 提供提供 STP/RSTPSTP/RSTP 避免环路冗余；避免环路冗余；S6500 系列以太网交换机所实现 的快速生成树协议（RSTP）是生成树协议的优化版。其“快速”体现 在网络设备或链路变化期间， “树根”端口和指定的端口进入转发状 态的延时在某种条件下大大缩短，从而缩短了网络拓扑稳定的时间。 支持支持 IGMPIGMP SnoopingSnooping；尽量减少报文的转发范围，避免非组成员 收到组内多播流量； 支持支持 802.3ad802.3ad 端口聚合；端口聚合；实现任意端口聚合，在可以将若干个 FE 端口或 GE 端口汇聚到一起，以实现大容量交换机之间或者交换机 与骨干路由器及服务器群之间的高速连接。 能够抑制广播风暴：能够抑制广播风暴：配置了广播风暴抑制后，可以对 VLAN 上的 广播流量进行监控，当广播流量的带宽超过配置的限度时，交换机将 在该 VLAN 上过滤超出的流量，保证网络的业务，使广播所占的流量 比例降低到合理的范围。 支持基本的支持基本的 TCP/IPTCP/IP 协议栈及常规应用协议；协议栈及常规应用协议； 支持静态路由，支持静态路由，管理员手工配置，简化网络配置，提高网络性能； 支持丰富的路由协议：支持丰富的路由协议：RIP、OSPF、Integrated IS-IS 及 BGP4， 以适应不同的网络环境要求；提供不同子网 VLAN 的三层互通功能； 支持支持 ARPARP、DHCPDHCP DelayDelay 功能；功能； 支持支持 IGMPIGMP 组播协议及组播协议及 PIM-DMPIM-DM、PIM-SMPIM-SM 等组播路由协议。等组播路由协议。 系列化超级引擎系列化超级引擎 S6500 系列交换机全面采用基于新一代 ASIC 技术的 Salience 系列交换路由引擎。该系列引擎将 2/3/4 层线速转发与丰富的 QOS、ACL 特性结合在一起，是组建高可靠、低时延的核心网络的重要 保障。在设计上，Salience 系列交换路由引擎的交换网采用负荷 分担方式，全面提升单板可靠性。在可靠性要求更高的领域，可采用 SalienceII 引擎，该引擎在 S6506R 的机箱内可实现双主控冗余备 份。iSalience为高集成引擎，该系列引擎在 Salience引擎的基 础上可提供少量的业务接口，用户可根据需要选配 4 口千兆业务扣板。 （该系列引擎仅适用于 S6503） 强大的强大的DiffServ/QOSDiffServ/QOS保障：保障： 提供了基于端口和基于流的流量限制提供了基于端口和基于流的流量限制(Committed(Committed AccessAccess Rate)Rate)； 提供强大的流分类（提供强大的流分类（TrafficTraffic ClassClass）能力，）能力，用户可根据实际需 要为不同的用户群组或不同的业务类型分配不同的队列优先级，带宽 控制（以 64Kpbs 为步长单位进行调整） ； 提供提供 DiffservDiffserv 支持，支持，可以根据 2、3、4 层特性，调整 IP DSCP 域，为骨干网络实现基于 DSCP 的 IP 转发提供支撑； 提供基于数据流（提供基于数据流（FlowFlow，根据，根据 2 2、3 3、4 4 层报文头的信息确定）的层报文头的信息确定）的 带宽共享算法带宽共享算法，保证每一个通信应用均可获得公平的流量分配，保证 了各主机之间通信的公平性； 提供提供 WRRWRR（WeightedWeighted RoundRound RobinRobin）队列调度策略；）队列调度策略； 提供提供 REDRED（RandamRandam EarlyEarly Detection/DiscardDetection/Discard）丢弃策略；）丢弃策略； 可配置的可配置的 802.1p802.1p 优先级映射规则优先级映射规则，可根据 IP DSCP 信息， 802.1p 信息，VLAN 信息，2/3 层转发表信息，配置出报文（Outgoing Packet）的 802.1p 优先级； 可配置的队列优先级规则，可配置的队列优先级规则，可根据 IP DSCP 信息，802.1p 信息， VLAN 信息，2/3 层转发表信息，配置转发队列优先级； 完善的安全机制：完善的安全机制： 提供 L2/3/4 流规则过滤；用户分级管理和口令保护；提供多种 用户认证方式：本地/Radius/802.1x 认证；支持 OSPF 、RIP v2 及 BGP v4 的报文明文及 MD5 密文认证；支持 SNMPv3 的加密和认证。 实用的网络管理实用的网络管理 S6500 系列以太网交换机提供中/英文双语界面，支持多种配置方 式：命令行配置、HGMP 配置及网管配置。在命令行配置方式下，用户 可以通过 Console 口对交换机进行本地配置或通过 Telnet 登录对交 换机进行本地或远程配置。S6500 系列以太网交换机对 Telnet Server 和 Telnet Client 服务都提供支持。 HGMP 配置方式是指利用华为公司开发的二层私有协议 HGMP（Huawei Group Management Protocol，华为组管理协议）实现管理设备（如： MA5200 以太网接入管理系统）对 S6500 系列以太网交换机的集中管理， 完成交换机配置和配置响应消息的传递。S6500 系列以太网交换机支 持符合 SNMP V3 协议标准的 iManager Quidview 网管系统平台，可通 过统一的平台实现对交换机充分有效的管理，该网管系统采用多语言 图形界面，操作直观方便。该系统同时还可以提供拓扑管理、配置管 理、故障管理、安全管理、性能管理等功能。此外，S6500 系列以太 网交换机也支持 RMON、SMON。 汇聚设备介绍汇聚设备介绍 ..1 MA5200MA5200 MA5200E/F产品提供强大的用户认证、计费、管理的特性，该方 案具有如下特点： 灵活的带宽保证灵活的带宽保证 在接入层，在小区中心配置具备BAS功能的三层设备MA5200E/F产 品，上行通过FE/GE接至宽带城域网，具体选用100M上行还是GE上行， 由局方根据条件自行决定。中心交换机通过下行100M使用多模光纤连 接楼宇交换机Quidway S3000/2000系列。Quidway S3000/2000系列下 行可为用户提供10M/100M自适应端口，为用户提供了灵活的带宽选择 余地，同时也保证了用户的宽带业务实现。 良好的运营维护能力良好的运营维护能力 利用华为公司HGMP协议的集中管理特性，可以在小区中心交换机 设置一个管理IP地址就可以将所有的楼道交换机进行集中统一的配置 和管理，把需要分布安装的楼道交换机以及对各设备的配置、管理、 维护、升级等全面管理起来。以软件的代价替代物力资源和人力资源 的投入，降低小区网络的综合运行维护成本，提高网络的综合管理能 力。也可以利用SNMP协议将各层交换机的管理纳入统一网管平台中， 楼道交换机将SNMP包透传至小区中心交换机，通过小区中心交换机的 统一出口将SNMP包传到网管中心，网管中心接收传来SNMP包，就可以 通过带内方式实现对小区内各层交换机的管理。 QoSQoS保证保证 中心交换机MA5200E/F产品采用CAR（承诺访问速率）技术实现针 对每个用户的带宽控制，精细度达到128K。MA5200E/F产品支持基于 IP报文五元组的流分类技术，支持丰富的优先级调度，有利于将来在 网上开展基于IP的视频、话音业务。配合网络的高转发性能，对不同 类型的业务和不同类型的用户进行分类支持，为话音、视频等实时业 务提供质量保证。对关键业务和非关键业务进行区分处理，保证关键 业务畅通运行。 计费管理计费管理 MA5200E/F产品支持按时长、流量计费，支持本地计费和远端计费， 本机可存储10万张原始计费信息，支持标准的Radius协议并可针对带 宽、访问权限、业务优先级等信息对Radius进行扩充。可以根据用户 的不同业务，提供灵活的计费策略，不同的认证方式 （PPP、VLAN+WEB、802.1X）采用相同的计费流程；对于DHCP分配地 址的用户，可实时侦测用户状态以配合计费。 完善的用户认证和管理完善的用户认证和管理 完成多种用户认证方式：VLAN、DHCP+WEB，802.1X、PPPoE，并且 依据网络设备和用户需求选择合适的认证。采取VLAN ID对应用户端 口、VLAN ID+MAC地址+IP地址动态绑定的方式来标识和确定用户，并 根据这种绑定关系限定用户可用带宽、用户数等。 健全的安全管理机制健全的安全管理机制 采用DHCP RELAY的技术隔离用户和DHCP服务器，提高地址分配安 全性；通过地址与VLAN ID绑定技术防止MAC地址、IP地址的盗用；用 户二层利用VLAN严格隔离， 利用基于用户策略的ACL（接入控制列表） 来完成用户的三层受控互访，通过对用户在单位时间内的连接数量的 限制，可以提供四层的用户安全（防止PROXY方式用户盗用网络资源） 。 接入设备介绍接入设备介绍 ..1 HFCHFC 接入设备接入设备 MA5201MA5201 MA5201作为HFC数据接入前端设备，应用领域包括广电数据接入网， 智能小区，校园网等，其主要的技术特点为： 19“单机结构，内含一个CMTS单元，一个下行信道，四个上行 信道 桥接转发，支持802.1d生成树算法 强大的转发能力，包转发率为5万Pps 符合DOCSIS标准，同时支持EuroDOCSIS 多种操作维护手段：（1）通过网管（包括 OSS）的功能完善的 维护，包括工作站版的网管和 PC 机版的网络（MA5201、且对稳定性 要求不高时，或者实验局使用） （2）命令行维护，可以有三种方式： 本地命令行维护；远程电话 modem 维护；远程登陆 Telnet 方式。各 种维护手段均支持中文界面。 完善的操作维护功能：以多种操作维护手段灵活地支持配置管理，性 能管理，告警和故障，同时支持完善的日志功能，软件在线升级。 完备的双向HFC运营设计：支持网络故障定位，频谱管理，功 率管理，上行信道集中式/分布式组网设计。 组网灵活：单机形式，可以以多种方式灵活组网，满足不同的 用户需要。 MA5201优势集中体现在几个方面： （1）性能价格比优。 （2）从市场的角度看，HFC数据接入在中国仍然属于起步阶段， 用于初期低投资的条件下小规模运营是非常有优势的； （3）操作维护手段和功能完善，同时中文界面适合国内市场的应 用。 （4）同时支持DOCSIS和EuroDOCSIS，符合中国国情。 （5）双向HFC运营设计考虑周到，在中国网络状况不是很好的情 况下，这一优点显得尤为突出。 MA5201MA5201 技术指标技术指标: : MA5201MA5201 整机指标整机指标: : 参数名指标 标准支持 MCNS DOCSIS1.0/EuroDOCSIS 1.0 频谱分割低分割/中分割 结构 19“机盒 数据转发能力5万pps Cable接口1个下行，4个上行，最多支持2000 个用户，实际应用建议支持500用户以 下 上行接口 100Base-T MA5201MA5201 下行信道技术参数：下行信道技术参数： 参数名指标 DOCSISEuroDOCSIS 中频频率 44MHz 调制方式 64/256QAM 信道带宽 6MHz8MHz 数据率（Mbps） 64QAM: 30 256QAM:43 64QAM: 42 256QAM: 55 信道编码RS编码，交织， 加扰，TCM编码，符 合J.83B RS编码，交 织，加扰，TCM 编码，符合 J.83A 输出阻抗 75 输出电平30dBmV（正负3dB） MA5201MA5201 上行信道技术参数上行信道技术参数 参数名指标 DOCSISEuroDOCSIS 中心频率范围542MHz 565MHz 调制方式 QPSK/16QAM 信道带宽/信道 200K/400K/800K/1.6M/3.2MHz 接收数据率/信道 320K/640/1.28M/2.56M/5.12M/10.24Mb ps 输入阻抗 75 输入总功率/信道 35dBmV 连接器F 连接器 MA5201MA5201 物理参数物理参数 描述参数 设备外形19 英寸标准机箱 机箱颜色墨绿色 以太网口 RJ48 X 1 控制串口 RJ48 X 1 射频口F 连接器 X 5 结构尺寸 宽 X 高 X 深=482.6 X 88.1 X 450 mm 净重量 5.5 kg 整机功耗额定 40W，最大 60W AC 输入电压范围 85V264V AC 电压频率 50Hz 工作温度 040 相对湿度 10%90% 存储温度 -4070 MTBF50000h MTTR0.5h MA5201MA5201 外部接口：外部接口： 通信串口：RS232串口 数量：1个； 物理形态：带屏蔽RJ45插座； 符合RS232相关协议； 以太网接口： 10M/100M 自适应网口 数量：1个； 物理形态：带屏蔽RJ45插座； 符合802.1802.2802.3相关协议； CMTS射频接口 数量：4个上行，1个下行； 物理形态：F连接器 规范：IPS-SP-406: ANSI/SCTE recommended F-Port( Female , Indoor ) , Society of Cable Television Engineers. 面板指示灯 MA5201 面板提供 9 个信号灯(从左到右）： PWR：亮CMTS上电灭CMTS未上电 DS： 亮下行通道打开 灭下行通道关闭 US1： 亮上行通道1打开 灭上行通道1关闭 US2： 亮上行通道2打开 灭上行通道2关闭 US3： 亮上行通道3打开 灭上行通道3关闭 US4： 亮上行通道4打开 灭上行通道4关闭 RUN:系统正常运行时，每秒闪烁一次，灭系统异常工作 Eth：亮CMTS与别的设备通过网线相连，可以通讯 闪烁CMTS 以太口有数据收/发操作 灭以太口工作异常或CMTS以太口与别的设备没有 物理 连接或连接异常 ALM：亮（红色）系统故障告警（同时命令行有告警输 出） 灭无告警信息 上变频器技术参数上变频器技术参数 中频输入频率：44MHz 输入电平：+25+35dBmV 输入阻抗：75 输出中心频率范围：53857MHz 输出频率步进：62.5KHz 输出阻抗： 75 电源：100240VAC,5060Hz 结构：19“插框或盒式 ..2 QuidwayQuidway S2403S2403 高速以太网交换机高速以太网交换机 Quidway S2403 以太网交换机是由华为技术有限公司开发的新一 代以太网交换机。Quidway S2403 提供 24 个 10BASE-T 以太网端口和 3 个 10/100BASE-T 快速以太网端口以及一个可选的光纤模块。 Quidway S2403 以太网交换机所有端口都可以通过自动协商工作在半 双工或全双工模式，即插即用，并提供面板指示灯供用户监视网络状 态及处理网络故障。用户不用更换现有网络硬件设备，只需增加 Quidway S2403 以太网交换机就可方便提升网络性能，是共享式集 线器理想的高性能替代产品。 改善网络性能：改善网络性能： 共享式以太网在通信量和用户数的增加超出一定数量时会造成碰 撞冲突，从而降低网络效率；而应用 Quidway S2403 以太网交换机， 用户可以独享 10Mbps、100Mbps 带宽，不需要与其他站点进行竞争， 从而大幅提升网络性能。 自动协商和全双工：自动协商和全双工： Quidway S2403 以太网交换机所有端口均支持自动协商和全双工 操作，10Mbps 端口可工作在 10BASE-T 全双工、10BASE-T 半双工两种 方式；10/100Mbps 端口可工作在 100BASE-TX 全双工、100BASE-TX 半 双工、10BASE-T 全双工、10BASE-T 半双工四种方式。每个端口的工 作方式由它与所连接的以太网设备通过自动协商确定。 连接不同运行速率的网段：连接不同运行速率的网段： 应用 Quidway S2403 以太网交换机可以方便地把以 10Mbps 速率 运行的网段和以 100Mbps 速率运行的网段高效率的连接在一起。并提 供可选的 100Mbps 上行或服务器连接的能力。 Quidway S2403 以太网交换机以太网端口可连接 HUB 或直接连接 配有网卡的计算机或服务器，也可上行连接到高速主干网络。 产品规格产品规格 支持的标准网络协议支持的标准网络协议 - IEEE802.3 以太网标准 - IEEE802.3u 快速以太网标准 - IEEE802.3x 全双工标准 - IEEE802.1d 网桥及生成树（Spanning Tree）协议 - IEEE802.1q VLAN 标准 - IEEE802.3u 千兆以太网标准 端口配置端口配置 24 个 10BASE-T 以太网端口 3 个 10/100BASE-T 以太网端口 一个可选模块，1000BASE-SX（多模光纤） 、1000BASE- LX（单模光纤） 、100BASE-FX（单模多模、多模光纤两种规 格） 数据传输速率数据传输速率 - 以太网： 10Mbps (半双工) 20Mbps (全双工) - 快速以太网：100Mbps (半双工) 200Mbps (全双工) 网络电缆网络电缆 - 10BASE-T 3/4/5 类 非屏蔽双绞线（最大 100m） 5 类 屏蔽双绞线（最大 100m） - 100BASE-TX 5 类 非屏蔽双绞线（最大 100m） 5 类 屏蔽双绞线（最大 100m） - 100BASE-FX 9/125mm 单模光纤（最大 15km） 62.5/125mm 多模光纤（最大 2km） 交换模式：交换模式： Store-and-forward Cut Through（仅 S2403） MACMAC 地址表地址表 地址自学习，最多可支持 2K MAC 地址 SNMPSNMP AgentAgent 支持 MIB-II（RFC1213） ConsoleConsole PortPort 允许用户通过串行口配置交换机 登录用户口令保护 统计信息、状态信息即时刷新 简洁易用的配置界面 可选择的中、英文界面 TelnetTelnet 允许用户通过 Telnet 登录配置交换机 登录用户口令保护 统计信息、状态信息即时刷新 简洁易用的配置界面 最多可支持 3 个用户同时登录 登录超时保护 可选择的中、英文界面 VLANVLAN 符合 IEEE 802.1Q 基于端口的 VLAN TrunkTrunk 交换机到交换机的 Trunk 交换机到服务器的 Trunk 可定制的流量分配 网络管理简述网络管理简述增值业务平台增值业务平台 CACAMSMS CAMS平台可以提供各种增值业务，包括WEB认证、201宽带上网 卡、IP Hotel业务等。同时配合MA5200E的BAS功能，能够实现根据不 同用户需求进行计费认证，包括按时长、按流量、安内容等计费，同 时还可以提供各种折扣计费。 2.2. 网络安全措施网络安全措施 2.12.1 网络安全策略网络安全策略 全网的安全策略包括网络安全策略，节点安全策略，数据安全策 略，和持续安全策略。 网络安全策略网络安全策略：主要保证网络拓扑机构的合理性，全网各个节点 之间的连接线路的可用性。 节点安全策略节点安全策略：主要保证各个节点内的设备不受攻击，保证服务 不中断。 数据安全策略数据安全策略：保证系统重要数据得到及时有效的备份保护，并 避免受到非法使用者的篡改等。 持续安全策略持续安全策略：是从发展的角度，提出如何对系统的安全缺陷及 时跟踪和修正，保证网络的长期安全性。 2.22.2 网络各层设备安全性考虑网络各层设备安全性考虑 配置安全：配置安全：对登录用户进行认证，不同级别用户有不同的配置权 限；提供两种用户认证方式：本地验证、RADIUS(Remote Authentication Dial-In User Service)验证。 协议报文认证：协议报文认证：对重要的路由协议（OSPF，IS-IS，RIP、OSPF等） 提供多种验证方法（明文验证、MD5、HMAC-MD5）。 基于用户定义的策略：基于用户定义的策略：可以对报文进行过滤，同时采取其它动作。 安全过滤可以将过滤的报文重定向到某个固定端口，便于利用仪器设 备抓包分析。 2.32.3 网络安全措施网络安全措施 在体系结构方面，华为综合网管系统采用 Client/Server 结构， 支持多个客户同时登录到网管SERVER ，在每一客户端都有严格的用 户登录与安全检查。网管 SERVER作为后台进程运行，完成的功能包 括：拓扑管理、设备监控、性能数据采集、设备告警处理、用户安全 管理。 节点关键设备冗余备份，为了保障网络安全，降低网络故障，关 键设备所有关键部件都采用冗余备份设计，电源模块N1备份，控制 和交换板采用11冗余备份。对网络设备采用多极安全密码体系，限 制非法设备和用户登录，在出现软硬件故障时，可以迅速切换到备用 模块，保障业务的不间断运行。 关键数据采用身份认证与授权，通过访问权限限制，加密保存， 加密传输，同时网络和系统中各种重要数据进行及时有效的备份。 设备可设置三级时钟，并提供时钟优先级，当最高优先级时钟失 效时，可以立即切换到低优先级时钟，当最高优先级时钟恢复后，又 可以立即切换回去，通过这种自动保护既可以保障网络的安全运行， 又可以简化用户的管理。 网络从拓扑结构到连接链路均应考虑路由的备份，采用分层的拓 扑结构，支持动态迂回路由，在资金可能的情况下，节点保证双路由， 保障网络安全。同时在网络中通过划分VPN网络、VLAN网络来保障专 业行业网络的安全性。 3.3. 路由协议与策略路由协议与策略 路由协议可以及时地动态获取网络拓扑信息，引导IP数据报文逐 步转发到达目的地，使IP网络具备了很好的灵活性和鲁棒性。例如使 用动态路由协议的IP网络能够在一条传输路径中断时，自动选择其他 的路径继续执行数据转发；同样，在网络中增加了新的传输路径时， IP网络也可在很短时间内获得并传播拓扑变化信息，对网络资源实现 灵敏和合理的应用。不同的路由协议有各自的特点，分别适用于不同 的条件之下。 选择适当的路由协议需要考虑以下因素： 1）网络的拓扑结构 2）网络节点数量 3）与其他网络的互连要求 4）管理和安全上的要求 S6506提供了丰富的路由协议支持，以适应不同的网络环境。 A、区域内路由协议 （1）RIP RIP（Route information protocol，即路由信息协议）是基于D- V算法（距离向量算法）的内部动态路由协议。 RIP协议的标准主要有RFC1058（版本1）和RFC1723（版本2）。 Quidway S6506产品不仅实现了这两个版本的RIP协议，还支持MD5 验证，还可以在必要时提供更安全的快速收敛的RIP服务。 （2）OSPF OSPF（Open Shortest Path First，即最短路径优先协议）是一 种基于链路状态的内部动态路由协议。 目前OSPF的主要标准是RFC2328（版本2）。 Quidway S6506产品实现了完整的OSPF功能和一些扩展特性。包括 支持广播、NBMA、点到多点、点到点四种接口类型，以及MD5验证、 区域划分、区域间路由聚合、虚连接、STUB区域等丰富的特性。 （3）IS-IS IS-IS（Intermediate System - Intermediate System，中间系 统到中间系统协议）是由国际标准化组织（ISO）制订的路由协议， 属于开放系统互联协议簇。 IS-IS 对应的标准是ISO 10589和RFC1195。 Quidway S6506能实现IP网络上的IS-IS协议完整功能。 （4）OSPF OSPF是一种性能优良、使用广泛的单播IGP路由协议，网络开销小， 获得的路由无环路，适合在不同规模的网络环境使用。 IS-IS与OSPF在质量和性能上的差别并不大，但OSPF更适用于IP， 较IS-IS更具有活力。IETF始终在致力于OSPF的改进工作，其修改节 奏要比IS-IS快得多。这使得OSPF正在成为应用广泛的一种路由协议。 现在不论是传统的路由器设计，还是即将成为标准的MPLS（多协议标 记交换），均将OSPF视为必不可少的路由协议。而且IS-IS在国内实 际应用实例较少，不太适合作为主要协议使用。 RIP协议发展最早， 使用简便，但协议过于简单，对于路由环路等问题存在一些缺陷，在 较大的网络环境中不适合采用。 B、域间路由协议BGP BGP（Border Gateway Protocol，即边界网关协议）是一种自治 系统间的动态路由发现协议，它的基本功能是在自治系统间自动交换 无环路的路由信息。 目前BGP的标准是RFC1771/RFC1772（版本4）。 Quidway S6506实现了BGP-4协议的完整功能和一些扩展，包括路 由聚合、路由衰减、路由反射、AS联盟、团体属性，以及用于支持 MPLS VPN的BGP多协议扩展。 C、路由策略 与路由协议配合使用的路由策略用于增强网络管理者对路由协议 的控制管理。上层路由协议在与对端路由器进行路由信息交换时，可 能需要只接收或发布一部分满足给定条件的路由信息；路由协议在引 入其它路由协议路由信息时，可能需要只引入一部分满足条件的路由 信息，并对所引入的路由信息的某些属性进行设置以使其满足本协议 的要求。路由策略则为路由协议提供实现这些功能的手段。 路由策略由一系列的规则组成，这些规则大体上分为三类，分别 作用于路由发布、路由接收和路由引入过程。路由策略也常被称为路 由过滤，因为定义一条策略等同于定义一组过滤器，并在接收、发布 一条路由信息或在不同协议间进行路由信息交换前应用这些过滤器。 Quidway S6506支持的路由策略主要有路由映像（RouteMap）定义、 路由引入和分发定义，以及路由的前缀、自治系统路径、团体属性、 访问列表等限制规则。路由策略的应用，对增强网络的可管理性具有 重要的实用价值。 4.4. IPIP地址规划地址规划 IP地址的合理规划是网络设计中的重要一环，大型计算机网络必 须对地址进行统一规划并得到实施。IP地址规划的好坏，影响到 网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展， 影响到网络的管理，也必将直接影响到网络应用的进一步发展。 IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利 用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由 协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度， 减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变 化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要 遵循以下原则： 唯一性：一个IP网络中不能有两个主机采用相同的IP地址； 简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简 化路由表的款项 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩 减路由表，提高路由算法的效率 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩 展时能保证地址叠合所需的连续性 灵活性：地址分配应具有灵活性，以满足多种路由策略的优化， 充分利用地址空间。 IP地址规划是要解决有效利用地址空间、有利于路由设计、解决 公网地址严重不足等问题。地址的分级、可变长掩码等技术的使用在 此就不再详细论述。我们主要论述如何进行最优化的公私网地址混用。 地址空间的压力主要来源于个人接入用户，而企业用户带来的影 响较小。所以，对专线用户采用地址静态分配、公网、私网地址并存。 宽带Internet企业访问型可以通过专线或以太网接入。这里考虑 的重点是以太网接入，专线用户的处理情况类似。 对企事业单位用户对企事业单位用户 一般企事单位业用户使用静态地址和静态路由，IP地址可以使用 私网地址或公网地址。 而对个人用户而对个人用户 到底采用何种方式，取决于多个因素。 其中最主要的因素是公网地址空间的缺少： 如果仅仅分配公用IP地址，用户人数在不断增长，将有可能超过 可用地址数，这将成为一个严重的问题。 由于大部分的个人用户不需要固定的IP地址，因此对个人用户采 用动态的IP地址分配可以节省地址资源。而采用NAT的方式，可以将 网络公用地址的需要节省到几十分之一甚至更多的程度。但后一种方 式的主要问题是NAT/PAT转换的性能问题，第二个问题是可能会影响 某些宽带应用。 而实际上，地址缺口的大小不仅取决于可用空间和用户数，并且 与采用的用户安全技术和产品有关。 如果宽带接入采用以太网接入+PPPoE，那么可以方便地进行地址 的动态分配。 如果采用以太网和Per User Per VLAN的方式，地址消耗太大，使 用私网地址+NAT是合理的选择。 如果以太网用户采用包月的方式，地址需要将大大增加。 第二个因素是采用的产品的特性。 第三个因素是是否考虑NAT对应用的影响。 可能某个用户需要采用某种应用而该应用不能穿过NAT设备，如某 些多媒体应用和VPN应用。 综合以上多种考虑，对于以拨号作为接入方式的接入节点，采用 个人用户个人用户 （私网地址）（私网地址） 企业用户企业用户 （公网地址）（公网地址） 网络网络 （公网地址）（公网地址） InternetInternet 企企业业用用户户企企业业用用户户 家家庭庭用用户户家家庭庭用用户户 DHCP ServerDHCP Server NMSNMS NATNAT 网管地址网管地址 （公网地址）（公网地址） RADIUS服务器进行地址管理，一般采用公网地址池，动态分配IP地址。 如果地址空间缺口依然存在，建立公、私两个地址池，根据用户 名或域名进行区分，需要拨号接入服务器支持VPDN，这样只有私网用 户需要进行地址转换。同一个用户在连接前选择服务类型。若改变城 域网使用的私网地址，调整简单。 对于采用以太网交换机作为接入方式的接入节点，由于大部分的 个人用户不需要固定的IP地址，因此对个人用户采用动态的IP地址 (DHCP)分配可以节省到的地址资源。 华为公司的Quidway S6506具有强大的地址转换能力，有效解决IP 地址紧缺的问题。S6506内置NAT业务板以NAPT方式支持公网和私网地 址的转换，可以支持城域网公网/私网地址混合规划；NAT单板支持 IGMP、FTP等ALG处理，NAT板数量按照NAT容量灵活配置，支持NAT板 间负荷分担和热备份功能。 在S6506上做地址转换，可以把NAT功能分布在汇聚层各个设备上， 减轻城域网出口负荷，适用于规模较大的城域网。我们建议城域网边 缘采用私网和公网地址用户混合接入，城域骨干采用公有地址。 5.5. 用户认证用户认证 5.15.1 WEBWEBVLANVLAN认证认证 采用VLAN方式接入用户减少了客户端的工作量，同时提高了网络 的传输效率，但采用这种接入方式相对于PPPOE接入方式而言，由于 减少了用户名以及密码的验证过程，因此比较适合与终端相对固定的 用户，如：政府机关、居民用户等。而对于象学生等流动性强的用户， VLAN方式就显得捉襟见肘了。 针对与这个问题，同时考虑目前浙江省网络现状以及各种接入方 式的比较，本期城域接入层建设的接入方式考虑采用VLANWEB的方 式来实现： VLANWEB认证指的是VLAN接入的用户通过登录门户网站，输入用 户名和密码，进行身份认证，从而获得用户访问权限的过程。 当用户采用VLAN方式开机时，首先要通过DHCP过程来获得IP地址。 在用户得到IP地址后，宽带接入服务器（以下简称BAS）把用户的 权限设为未认证用户，此时用户只能访问免费站点和门户网站。当用 户想访问外部站点时，必须先访问门户网站，进行登录。用户在登录 过程中，输入用户名和密码，经登录程序通过MD5算法加密后送到 BAS。BAS再把用户信息发送到RADIUS认证服务器进行认证。在得到 RADIUS服务器的认证结果后，BAS根据认证结果改变用户权限，同时 通知用户并开始计费。当用户结束访问时，需要在门户网站上点击注 销按钮，发送注销消息。BAS根据注销消息改变用户权限，并停止计 费。 采用采用VLANVLANWEBWEB的接入方式相对单纯的的接入方式相对单纯的VLANVLAN接入方式其主要特点：接入方式其主要特点： 一个用户端口内，不同用户拥有不同的权限一个用户端口内，不同用户拥有不同的权限 采用VLANWEB的认证方式时，一个用户端口内（一个用户家中）， 不同的用户可以拥有不同的访问权限，例如：家中父母的访问权限较 高，而子女的访问权限较低，避免了各类不良站点对用户侵蚀。 用户的帐号可以流动，提高了服务的满意度用户的帐号可以流动，提高了服务的满意度 用户的帐号可以在同一个WEB服务器的管辖范围内中的任意端口进 行上网，方便了用户的使用，提高了服务的客户满意度。 提供了灵活的计费方式提供了灵活的计费方式 VLANWEB方式的计费方式同PPPOE相同，都是基于用户帐号的计 费方式，可为运营商提供基于帐号的按时间、按流量的灵活计费方式。 5.25.2 8028021X1X认证认证 8021x 是基于端口的认证、管理协议。 华为 802.1x 系统是全系统解决方案, 全面地考虑了在有线宽带 接入网络的运营管理需求: 1. 扩展了 802.1X 的握手机制, 解决了有线网应用中的仿冒和时长 计费准确性问题; 2. 支持本地认证,不需要外接 Radius 服务器, 降低了小型网络的 建设成本和管理成本; 3. 802.1X 系统支持 EA