银川广电宽带IP城域网解决方案.doc

北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 宽带宽带IP城域网城域网 技术建议技术建议书书 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 2 目 录 1 需求分析及应用背景需求分析及应用背景 3 2网络结构及相关技术网络结构及相关技术 4 2 1城域网的设计原则 4 2 2城域网技术的选择 6 2 3网络结构 7 2 4路由规划 12 2 5MPLS 技术 错误 未定义书签 错误 未定义书签 3网络应用网络应用 15 3 1业务分类 15 3 2VLAN 业务 15 3 3VPN 业务 17 3 3 1基于隧道的 IP VPN 解决方案 17 3 3 2基于加密的 VPN 技术 IPSec 17 3 3 3基于 MPLS 的 VPN 方案 20 3 3 4基于 MPLS 的透明以太网支持 错误 未定义书签 错误 未定义书签 4网络管理网络管理 错误 未定义书签 附录 设备简介附录 设备简介 32 RS38000 光城域网聚合路由器 错误 未定义书签 错误 未定义书签 RS8600 8000 交换式路由器家族 32 RS3000 光城域接入路由器 36 RS2000 2100 光纤城域网接入路由器 错误 未定义书签 错误 未定义书签 RS1000 灵活的城域网接入路由器 错误 未定义书签 错误 未定义书签 统一网管平台 错误 未定义书签 错误 未定义书签 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 3 1 需求分析需求分析及应用背景及应用背景 自从网络革命以来 WAN LAN 得到了广泛的重视 从而有了飞速的发展 WAN 骨干网已达到 40G 80G 甚至 160G LAN 也发展到千兆比特 但 MAN 城域 网 却未被引起足够的重视 早期的 MAN 一直基于中等容量的 SONET 环 最大提供 只有 OC 3 155Mbs 直到近几年来 人们才逐渐发现越来越多的应用流量局限于城 域网内 远大于 WAN 上的流量 而 MAN 的扩容步伐远未跟上 DWDM 长途网以及 LAN 的扩容速度 促使众多的运营商蜂拥争夺宽带 MAN 的打造 由于历史原因 现有的网络类型多种多样 诸如 IP ATM Ethernet 帧中继等 等 MAN 解决方案必须能与现有的各种网络互通 随着 MAN 带宽的增大 新的业务提供商 诸如应用服务提供商 ASP 内容服 务提供商 CSP 电子商务供应商将在城域网上的数据中心建立他们的站点 另外 多租户单元 MTU 供应商和大楼本地交换运营商 BLEC 也将从光纤到路边 Fiber to the curb 获取丰厚的利润 根据宁夏广电公司提出的需求 可将银川宽带 IP 城域网的主要目标归结为 为本 市各部门 内容提供商 各类网络应用服务商提供局域网互连和数据传输的网络平台 并通过该平台 提供多种服务 赢取经济效益 宁夏广电建设网络所面对的用户类型 广泛 多媒体业务需要更高的带宽 市场竞争激烈 因而对该平台的要求是提供高速 率的数据传输 承载用户的多媒体业务 丰富的网络接口 适应不同用户的个性化需 要 高效多层次的管理 以实现网络的高效能运行及运营商切身的利益 我们认为 只提供带宽吸引不了用户 只有提供服务才能真正赢得顾客 从而获 得巨大收益 从销售带宽到卖服务 需要运营商和服务供应商能够根据用户需求切割 带宽 并可以动态分配带宽 他们应该能监控用户带宽的使用情况以确保用户是按照 合约而非超额使用 并实时予以计费 没有带宽控制和计费 城域网服务开展是不可 能的 瑞斯康达公司专门为服务供应商 内容供应商以及应用服务供应商提供所需的网 络设备 帮助他们快速实施高速的 服务全面的网络基础架构 通过丰富的连接技术 灵 活的 IP 服务 良好的扩展能力以及方便的使用和管理手段 北京瑞斯康达公司提出的宽 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 5 带城域网解决方案基于 RS 系列交换式路由器 所采用的路由器完全是为城域网度身定 制的 能够满足用户的快速增长 防止用户流失 并为网络提供者带来更大的经济效益 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 6 2 网络结构网络结构及相关技术及相关技术 2 1 城域网的设计原则城域网的设计原则 根据要求 网络系统设计必须既适应当前应用考虑 又面向未来信息化发展需求 为保证最短的时间内收回投资 减少技术和投资风险 在设计网络技术方案时 遵循 以下设计原则 组网技术的先进性和实用性 组网技术的先进性和实用性 银川市广电城域网的网络建设应适应城域网自身的发展特点及网络通信技术的更新 换代 在网络结构设计 网络配置 网络管理方式等方面应具有一定的先进性 采用 国际上先进同时又是成熟 实用的技术 尽量减少技术风险和投资风险 在保证应用 与发展的前提下 不必将有限的资金投入到昂贵的新技术中 使整个系统在一段时期 内保持技术的先进 并具有良好的发展潜力 以适应未来业务的发展和技术升级的需 要 高度的网络可靠性高度的网络可靠性 为保证将来的业务应用 网络必须具有高可靠性 网络设计应能有效的避免单点失 败 在设备的选择和关键设备的互联时 应提供充分的冗余备份 一方面最大限度地 减少故障的可能性 另一方面要保证网络能在最短时间内修复 为此我们在网络设计上考虑以下的技术 选择的网络设备必需具有良好的可靠性保证 可热插拔的模块 快速的恢 复机制等 冗余及负载均衡的电源系统 据研究 电源故障在实际系统中导致的系统 故障比率高达60 之多 其它关键设备的冗余 如控制模块的冗余 冗余及负载均衡的网络链路 确保不因为单条线路的故障而导致整个网络 系统的失效 而且 确保在某条线路故障时对系统性能的影响也能最小 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 7 良好的管理性良好的管理性 对设备端到端的全程管理非常重要 由于系统本身具有一定复杂性 随着业务的不 断发展 网络管理的任务必定会日益繁重 所以在网络的设计中 必须建立一个全面 的网络管理解决方案 网络设备必须采用智能化 可管理的设备 同时采用先进的网 络管理软件 实现先进的分布式管理 最终能够实现监控 监测整个网络的运行状 况 数据流量 性能 合理分配网络资源 动态配置网络负载 可以迅速确定网络故 障等 好的扩展能力 好的扩展能力 网络系统是一个不断发展的系统 所以它必须具有良好的扩展性 能够根据将来 信息化的不断深入发展的需要 方便的扩展网络覆盖范围 扩大网络容量和提高网络 各层次节点的功能 具备支持多种通信媒体 多种物理接口的能力 提供技术升级 设备更新的灵活性 网络的扩展包括 网络规模的扩展 包括网络的地理分布 用户数 应用内容的扩展 IP主干网络将不仅仅担负数据传输的任务 包括VOD等其它视频 和语音服务也会不断加入到IP网络中去 这就要求主干网络设备必须具有多种业务 支持的能力 网络容量的扩展 随着规模和应用的扩展网络的传输容量也必须能相应的增加 在网络设备选择上 模块化的系统在可伸缩性上亦有着固定式系统无法比拟的优越 性 整个系统的性能将能随着模块数量的增加而得到相应的增加 因此也就更能适 应不同规模网络对设备的要求 模块化的网络设备在多种技术的适应能力上也具有 相当大的灵活性 网络系统具有统一的系统平台 具有平滑升级的能力 使系统能满足各种用户对应 用处理不同程度的需求 以及逐步升级的发展规划 以节约投资避免系统性能的闲 置和浪费 高度的网络安全性高度的网络安全性 提供完备的安全防护策略 能防止网络的非法访问 保护网络建设者的合法利 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 8 益 安全机制包括 完善的网络管理 基于政策式的控制 网络设备支持多级别管理权限 支持 RADIUS TACACS 等认证机制 配置改变的管 理记录 支持VPN标准协议 L2TP IPSec IPDes等功能 2 2 城域网技术的选择城域网技术的选择 很明显 银川市城域网的网络设计要求建造一个高速的交换主干 建立一个高速的 数据网络 选择何种交换技术作为骨干交换技术是成功建立骨干信息网的关键 瑞斯 康达公司提供的RS系列交换路由器能提供IP over 千兆网 IP over SDH IP over DWDM IP over ATM 等各种骨干网技术 能满足各种联网需要 以下简要分析各技术 的优缺点 IP over ATM 优点是能提供好的Qos 技术 基于PVC的配置能充分实施流量工程技 术 但同时有很多局限性如 1 ATM PVC的全闭合导致N2问题 2 ATM信元税问题 一条OC 48链路将浪费OC 12的带宽 3 基于PVC的备份模式在故障状态下不是十分可 靠 尤其当网络变得更大的时候 4 需要维护两套网络 即ATM基础结构逻辑IP覆 盖 有两个配置用于设计 运行及检测 使得基于ATM核心的网络运行成本变的很 高 同时扩展性受到严重影响 IP over 千兆以太网技术 IP over SDH技术的优势 随着第三层 第四层技术的诞 生 高速单宽的可用 长距离传输的可用 千兆网可达70km以上 SDH距离可随环的 延伸而延伸 以太网的固有的简单特性 使得该技术迅速在骨干传输网上成为一种主 导技术 同时基于IP的Qos Cos技术使得其能满足运行商的需要 随着MPLS技术的出 现并成为今后的方向 IP over 千兆网 SDH配合MPLS技术使的他能提供同ATM一样的 Qos Cos保证 并能同原有的ATM网很好的融合 总而言之 对于IP业务而言 千兆以太网具有如下优势 带宽高带宽高 千兆以太网提供千兆位的转发速度 并且通过链路聚集技术 如Riverstone的 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 9 Smarttrunk 可将带宽提高到几千兆甚至更高 并可平滑过渡到10G以太网 转发效率高转发效率高 IP业务的用户端基本都是以太网环境 所产生的数据包在第二层都是以太网的帧格 式 千兆以太网无需对这一层的数据格式进行转换 因此转发效率高于POS及ATM 能够保证关键业务顺利传送的能够保证关键业务顺利传送的QOS 千兆以太网的交换设备 L2 L3交换 如Riverstone的RS系列交换式路由器 不仅提 供高性能的转发 还可提供越来越全面的QOS处理手段 如优先级队列 带宽限 制 WRED等 可以保证视频 话音业务的顺利传送 基于路由协议的链路收敛基于路由协议的链路收敛 运行在路由方式时 路由协议 如OSPF 提供对冗余链路的支持及快速收敛 技术简单 成熟 易于实施技术简单 成熟 易于实施 以太网技术是成熟的局域网技术 已有很长的应用历史 其简单易用的特点具有很 强的生命力 千兆以太网属于以太网的范畴 技术上的易实施性是其作为城域网主干 技术的一大优势 具有顽强的生命力 随着MPLS技术的成熟 IP 千兆光纤连网能具有同ATM一样 的Qos Cos保证及流量工程能力 具有最高的性价比具有最高的性价比 千兆以太网的在具备以上技术优势的同时 价格上的优势使其具有更高的性能 价 格比 瑞斯康达公司根据宁夏广电的业务需求和对技术的把握 认为采用千兆以太网技术 组建银川城域网是一种性能价格比高的方案 并结合RS系列产品完全支持MPLS技术 的特性 可以和省骨干SDH和ATM网无缝连接 同时RS系列产品对于VPN业务的实现 也有其独到之处 如硬件级别的速率限制功能 因此 以IP协议为信息承载协议 以 光纤为传输介质 以千兆路由器为骨干 千兆交换机 百兆交换机为主体 我们可以 构造一个宽带高效 业务丰富 可创造显著效益的城域网 2 3 网络结构网络结构 2 3 1 智能业务层 支撑层智能业务层 支撑层 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 10 当前 各大网络服务提供商大力拓展宽带网络接入服务 快速的将网络延伸到每一 个角落 这些网络服务提供商拥有自己独立的 IP 城域网 丰富的线路资源和客户资源 为了提供最能让客户满意的服务 最大限度的实现网络的可运营 可管理 可增值 可扩充的要求 一套能够提供计费 认证 业务管理的运营支撑系统成为最关键的部 分和竞争因素 这样 接入网络的网络管理和网络控制 成为一个核心课题 BAMS 宽带业务接入管理系统是由瑞斯康达基于 IP 核心技术开发并拥有自主知识产 权的一套能够提供计费 认证 业务管理的运营支撑系统 解决了目前宽带 IP 网络运 营所面临的 用户身份认证 宽带与服务质量控制 内容与服务的管理 网络的监控 与分析 流量 时间 内容计费 收费结算与清算 价格策略实施 营业管理 ICP 分账 等亟待解决的问题 我们建议在 IP 宽带城域网的核心层选用 SERVER 组群 包括 www server radius server accouting server 在一个城市内做到集中管理计费 分布式控制 宽带局域网 上网要解决的第一个问题是用户身份的认证 BAMS 采用 WEB SSL RADIUS 的方式实现安 全的用户认证 BAMS 能通过设定灵活的规则来限制局域网内主机和 Internet 之间的相互访问 这 些规则包括 限制某些协议的使用 限制访问某些 IP 限制访问某些子网 限制访问某些端口 以上规则可以组合设置形成复合条件 例如 设定 A D 共四类用户 A 类用户只能 访问 Email 服务 TCP 25 110 143 端口 B 类用户增加了浏览国内站点的服务 国内 IP 的 TCP 80 端口 C 类用户可以浏览整个 Internet 只限端口不限 IP D 类用户则开 放面向 Internet 的所有服务 开放 TCP UDP ICMP 及所有端口 类似地 可以设定更 多的服务模式以便提供不同的收费策略 BAMS 的另一重要特征是它内置的流量控制功能 为了有效的控制用户行为 避免 导致资源的浪费和滥用 BAMS 内置了对用户流量的控制功能 这无论对于开发商还是 其他用户均有重要意义 BAMS 针对不同的内容服务设计出灵活的业务管理功能 服务商可以灵活配制他们提 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 11 供给用户的不同的业务服务 设置不同业务的计费方式和计费标准 BAMS 提供与业务 和控制的无缝集成 针对宽带应用的特点 BAMS 核心是按业务使用来实施计费及管理 对服务商提供的每项服务 均有如下的计费方式可供选择 包时制 包月 包周等 根据流量计费 根据时长计费 优惠价格制订 针对运营商必须能够为不同需求的用户提供不同层次的服务要求来看 BAMS 针 对运营商的业务特点定义了服务 业务 产品 用户组的概念 如上图所示 具体来讲 服务 IP 端口 协议 计费模式 包月 流量 时长 计次和优惠条件等 业务 服务 计费模式 产品 单个业务或多个业务集合 用户组 每个用户所使用的产品组 例如 制定细分的组合了内容 服务质 量 费率的 产品 价格包 供用户选择 同一个服务可以按流量 时长 包月 次数等计费形成业务 便于运营商可以 对业务作多种包装 制定细分的组合了内容 服务质量 费率的 产品 价格包 供用户选择 体现多用多收费 少用少收费 不用不收费的公平消费原则 充分挖 掘潜在用户 BAMS 可以提供详细的原始计费信息 以用户 服务 IP 为单位输出用户使用 网络的某些项目服务的次数 流量和时间长度记录 例如 通过 BAMS 可以获得每 个用户使用 HTTP 服务的流量 或者使用 FTP 服务的时长等 BAMS 后台用户管理及计费 帐务系统不但能够提供服务供应商所需的服务 计 费方案 而且可以实现对用户的实时计费 在用户账面费用为零时 终止用户对互 联网的访问 2 3 2 核心层核心层 需要在整个骨干网中提供最高的交换性能 尤其是基于 L3 4 控制与服务功能 下的第三层线速路由能力 从而为整个网络提供一个高性能的路由 交换平台 支持全 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 12 面的标准的路由协议 丰富的接口类型以适应今后可能的互连需要 设备本身的高可 靠性以及设备系统软件的成熟性 保证城域网骨干的稳定运行 设备本身的硬件接口 容量的可扩展性以及对大路由容量的支持 满足目前整个网络规模和用户规模以及今 后一定时期内这两方面的扩展需要 骨干设备的选型 奠定了网络基础 不仅标志了当前网络的技术水平 也为今后 的扩展提供了良好的开端 在对核心设备的观点方面 我公司和宁夏广电是一致的 在本次银川广电宽带城域网方案设计中 考虑到虽然初期数据流量可能不大 但 面对行业多 用户类型多 导致接口方式多 以及扩展 增容的连贯性 所以我们建 议在核心层采用 RS8600 RS8600 为 16 槽的模块化 L2 3 4 交换设备 背板带宽为 32G 数据包吞吐量分别为 30 Million pps L2 3 4 可提供 16I O 插槽 最多提供 30 个千兆以太网接口或 340 个快速以太网接口 50 万条第三层路由容量 80 万 MAC 地 址容量 400 万条 L3 4 数据流容量 4096 个 VLAN 充分满足汇聚层目前的路由性能 处理容量与接口密度的需要 以及今后的扩展需求 RS8600 支持冗余的电源 AC DC 控制模块 CPU 交换矩阵的冗余 所有接口模块和控制模块都可热拔 插 设备本身具有最高的可靠性设计 系统软件经过多年的研发和升级已经非常完善 和稳定 从而保证了网络能可靠 稳定地运行 支持包括千兆以太网 快速以太网 ATM POS T1 E1 T3 E3 Channelized T1 E1 T3 E3 以及今后的万兆以太网 WDM DWDM 在内的各种城域网主干和接入的链路技术 能够灵活适应主干上连和 向下接入的需要 更重要的是 前面已讲到的 RS 系列产品的系统软件提供最全面的 控制和服务功能 保证用户在汇聚层充分实施各种所需的策略处理 并且不影响网络 性能 我们设计初期采用 1 台 RS8600 组成网络核心 配置模块如下 基本应用配置需要的机箱 电源 管理模块 操作系统 模块为多接口模块 2 个 配置 2 端口 E3 速率卡 16 个 容纳 32 个 E1 速率的连接 2 个多接口模块 3 个 DS3 45M 接口卡 完成 3 个 45M 连接 1 个 OC 3 155M 多模接口卡 完成 155M 连接 2 个 2 端口千兆光模块 及 4 个千兆接口卡分别连接拓扑图中最临近的 4 个二级交换节点 3 个 16 端口的快速以太网接口模块 1 个 CMTS 接口模块 2 3 4 接入层 对应要求的用户层 接入层 对应要求的用户层 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 13 以小区接入为例 其方式有多种 其中以光纤到楼 5 类线到户具有最高的性价比 并十分易于开展增殖业务 应为小区及集团用户的首选方案 需要第三层交换设备提供线速的第二层或第三层的主干上连 与主干相适应的标准 的路由协议 如果采用路由方式上连 还可提供 ACL QOS Traffic shaping 和策略路 由等策略处理 接口密度和路由容量满足所在小区的用户规模并具备一定的可扩展性 支持较丰富的接口类型 适应所需的上连链路需要 具备一定的可靠性保证 针对上述需要 我们在小区接入层采用 RS3000 RS3000 是专门用于城域网接入 的 Access Switch Router 其硬件配置特别适合城域网接入 包括小区接入 RS3000 提供固定的 32 个快速以太网口和两个扩展槽 能选配千兆以太网 快速以太网 ATM POS T1 E1 T3 E3 Channelized T1 E1 的模块进行上连或扩展用户接入 最多 能提供 4 个千兆以太网口或 64 个快速以太网口 8G Cross bar 背板带宽 9 5 Million pps 吞吐量 L2 3 4 提供 25 万条第三层路由容量 25 6 万 MAC 地址容量 51 2 万 条 L3 4 数据流容量 4096 个 VLAN 支持冗余电源 接口模块热拔插 其交换性能 接口密度 类型 路由 MAC 地址 VLAN 容量 可靠性完全能满足小区上连和接入的需 要 同时 系统软件支持 RS 系列全部的控制 服务功能和路由协议 根据需求 在每个二级节点配置 RS3000 路由交换机 1 台 其本身固定配置的 32 个快速以太网口可用来向下传输 配置 2 端口千兆以太网光模块连接城域骨干光缆 与其它二级节点设备及核心交换机通信 我们建议在每个 POP 点组成 BAMS GATEKEEPER 集群 分别作为多个小区及大用户的 控制网关 BAMS GATE KEEPER 是整个系统的核心控制模块 它是用户的接入控制节点 实现的功能有 建立局域网和外部 Internet 之间的通道 用户访问行为实时控制 控制用户上下限带宽 实时采集用户计费数据 用户身份反向解析服务 根据用户连接外部主机时的 IP 地址 端口和协议确认用户的 身份 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 14 实时监测数据采集 对某些 IP 协议 如 802 1Q H 323 等 进行支持扩展 网络拓扑图如下 2 4 路由规划路由规划 2 4 1 路由协议的选择路由协议的选择 大型路由网络中需选择适当的路由协议 仔细的地址和路由规划 对于优化整个网 络的性能 保证网络的扩展性 健壮性具有非常重要的意义 电信IP网络具有接入点 多 应用复杂 容量要求高等特点 因此 在宽带IP网络方案中应该非常重视路由的 优化 路由协议选择路由协议选择 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 15 路由协议有两种基本类型 域内路由和域间路由 主要的域内路由协议有 OSPF IS IS RIP RIP2等 主要的域间路由协议有BGP EGP等 域间路由协议应用于不同的自治域之间 一般是在不同的服务供应商之间互连时采 用 同一服务商路由器之间的信息交换则一般采用内部路由协议 而宽带IP网络与省 网 Internet的接入可以采用BGP协议 瑞斯康达公司提供的RS系列交换路由器均支持RIP RIPv2 OSPF BGP 4 IS IS等 IP路由协议 IPX路由协议支持RIP SAP 并支持IGMP DVMRP PIM DM PIM SM等多 点广播协议 均以线速实现各种路由协议 OSPF 是基于 Link State 的路由协议 在每个 HOP 上都定义了一个 COST OSPF 认为 COST 之和最小的路径为最好 OSPF 协议具有下面的特点 分层路由结构 支持路由汇聚 route summary 支持的路由器数量在 实际网络环境中没有限制 适合大型网络的要求 完全基于标准的解决方案 极强的容错能力 支持复杂的网络拓扑结构 快速的收敛时间 OSPF 分层路由方式能将路由的变化对整体网络路由 结构的影响限制在最小的范围内 基于OSPF协议的上述特点 本方案选用OSPF路由协议作为核心路由协 议 为了充分获得 OSPF 的优点 必须进行合理的区域的划分和地址规划 OSPFOSPF 区域划分区域划分 OSPF 区域划分一般遵循下面的经验法则 OSPF 逻辑域的划分和物理区域的划分尽量一致 每个区 Area 的路由器不超过 50 个 一个区边界路由器 ABR 连接不超过 5 个 Area 根据上述的原则 以各核心层路由器作为 Backbone 域 各接入层路由器以各自域 加入 Backbone 域 在路由的优化方面 仔细规划各接入层路由器的 IP 地址 以方便 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 16 实现 OSPF 路由的汇聚 减少路由表的大小 采用 OSPF 之间的多路径冗余 实现路由的容错能力 在宽带 IP 城域网络中与 Internet 的连接建议选择业界标准的 BGP 4 路由协议 2 4 2 IP 地址分配地址分配 IP 地址的合理分配是保证网络顺利运行和网络资源有效利用的关键 其与网络的 拓扑结构 网络组织 路由规划有非常密切的关系 在地址分配过程中 主要考虑以 下原则 IP 地址应由统一的网管中心分配使用 IP 地址的规划与划分应该考虑网络的未 来的发展 IP 地址的分配必须采用 VLSM 技术 保证 IP 地址的利用效率 采用 CIDR 技术 这样可以减小路由器路由表的大小 加快路由器路由收敛速度 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 17 3 网络应用网络应用 3 1 业务分类业务分类 IP城域宽带网可以提供多种业务 在本期网络设计中 可以提供的业务有 虚拟专网业务虚拟专网业务 通过虚拟专网可以实现广域网办公系统 实现省 市 县各级政府机关之间 的的文件传递 信息传递 多媒体信息交换 值班应急系统 信息发布 相互查 询信息资源等办公功能 视频会议业务视频会议业务 网络平台支持视频会议业务 支持以单个纵向网或横向网为单位开展桌面视 频会议 电子邮件业务电子邮件业务 网络平台支持电子邮件业务 信息发布业务信息发布业务 支持通过 www 服务器将公共信息发布到网上 为受众与信息源沟通 提供 介质 3 2 VLAN业务业务 广电城域网面对各系统用户中 位于不同位置的同类部门之间的数据访问 需要 跨过骨干的 VLAN 的支持 考虑到网络的性能 RS 系列交换路由器还提供将 VLAN 映射到 MPLS 通道的功能 瑞斯康达公司提供的 RS 系列交换路由器支持多种 VLAN 功能 包括标准的 802 1Q VLAN 支持及 Riverstone 专有的 Stackable VLAN 功能 此外 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 18 Riverstone 支持将 802 1Q VLAN 映射到 MPLS 的 LSP 的功能 Riverstone 也支持基于协议的VLAN 及动态 VLAN 基于标准的 802 1Q VLAN 该 VLAN 为业备标准的支持跨交换机的 VLAN 1 Stackable VLAN 可堆叠 VLAN 通过允许在一个以太网帧上携带两个802 1Q VLAN 头而允 许进行 VLAN 的堆叠 使得VLAN 的总数超出了802 1Q VLAN 4096 个的限 制 而达到的4096 4096 个总共 1600 万个 同时 多个VLAN 现在能够被 复用到一个核心VLAN Core VLAN 内 通过属性注册协议 GARP 及 GARP VLAN 注册协议 GVRP 能够被用于通过主干网自动供应VLAN 2 Riverstone 支持 802 1Q VLAN 到 MPLS LSP 的映射 RS 系列路由器通过将802 1Q VLAN tag 映射到 MPLS 的隧道 使的 802 1Q VLAN 终接于 MPLS 路由器 VLAN 不再穿过主干路由器 极大地增加 的 VLAN 的可扩充性 如图 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 19 3 3 VPN业务业务 3 3 1 基于隧道的基于隧道的IP VPN 解决方案解决方案 随着分组交换上ATM IP 等技术的发展 基于包交换和传送的虚拟网络 技术开始大规模投入使用 虚拟专用网就是利用公用网络基础设施为企业各部 门提供安全的网络互联服务 虚拟专用网可以利用IP 网络 帧中继网络和 ATM 网络来建设 它能够使运行在虚拟专用网之上的网络应用享有和专用网络 同样的安全性 可靠性 优先级别和可管理性 由于虚拟专用网可以为用户提 供方便 廉价的远程访问 特别是对于使用帧中继 DDN 专线或拨号方式 接人的用户来说 基于虚拟专用网的花费很小 因此 虚拟专用网 VPN 业务的应用将越来越广泛 VPN 技术使企业专用网可以安全地扩展到Internet 或其他的网络服务上 去 促进了安全电子商务的发展 便于实现企业与商业伙伴 供应商和客户的 外部网连接 的VPN 解决方案使用经济有效的 更加灵活的服务供应商连接 实现了可靠性 高性能和传统WAN 环境所具有的安全特性 3 3 2 基于加密的基于加密的VPN技术技术 IPSec VPN 的实现主要包括两个方面的内容 封装和加密 封装隧道技术基本上 有两种实现方式 L2Tunneling 以及 L3Tunneling L2Tunneling 是将用户数 据包第 2 层 包括第 2 层 以上的整个信息包括如PPP 帧头 IP 包头 TCP 包头 以及用户数据完全打包到VPN 传输网的 IP 数据中 在 IP 主干网中 传输的隧道技术 主要的L2Tunneling 协议包括 L2TP L2F PPTP 等 L3Tunneling 则只是将用户数据第3 层以上的信息打包到主干网IP 包中 主要的 L3Tunneling 协议包括 Ipsec MobileIP 等技术 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 20 通过隧道技术的实施 VPN 用户可以得到下面的好处 用户可以使用私有的IP 地址空间而不需要在连网时改变自己的地址规划 同时因为私有地址对公共网上的其他用户而言是不可见的 这也增加了用户网 络的安全性 在隧道中用户可以运行多种网络协议如IPX AppleTalk 等 用户基于这 些网络协议的应用可以继续使用而不需要淘汰 宽带 IP 服务网络和用户网络可以各种运行自己的路由协议而互不干扰 目前 基于加密的VPN 性能越来越高 也出现了采用ASIC 芯片来完成 加密解密过程的VPN 设备 从而使性能得到很大的提高 RS router 支持以上这种VPN 实现模式 在具体的实施中 通常会按需求可能多种方式并用 如大企业可采取基于加密的 VPN 实现 在企业总部放置支持 VPN 隧道数较多的 VPN 设备 在各分支点采用 VPN 隧道数相对较少的 VPN 设备 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 21 IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数 认证 作用是可以确定所接受的数据与所发送的数据是一致的 同时可以确定 申请发送者在实际上是真实发送者 而不是伪装的 数据完整 作用是保证数据从原发地到目的地的传送过程中没有任何不可检测 的数据丢失与改变 机密性 作用是使相应的接收者能获取发送的真正内容 而无意获取数据的接 收者无法获知数据的真正内容 在IPSEC由三个基本要素来提供以上三种保护形式 认证协议头 AH 安全加 载封装 ESP 和互联网密匙管理协议 IKMP 认证协议头和安全加载封装可以通 过分开或组合使用来达到所希望的保护等级 认证协议头 AH 是在所有数据包头加入一个密码 正如整个名称所示 AH通 过一个只有密匙持有人才知道的 数字签名 来对用户进行认证 这个签名是数据包通 过特别的算法得出的独特结果 AH还能维持数据的完整性 因为在传输过程中无论多 小的变化被加载 数据包头的数字签名都能把它检测出来 不过由于AH不能加密数据 包所加载的内容 因而它不保证任何的机密性 两个最普遍的AH标准是MD5和SHA 1 MD5使用最高到128位的密匙 而SHA 1通过最高到160位密匙提供更强的保护 安全加载封装 ESP 通过对数据包的全部数据和加载内容进行全加密来严格保证 传输信息的机密性 这样可以避免其他用户通过监听来打开信息交换的内容 因为只 有受信任的用户拥有密匙打开内容 ESP也能提供认证和维持数据的完整性 最主要的 ESP标准是数据加密标准 DES DES最高支持56位的密匙 而3DES使用三套密匙 加密 那就相当于使用最高到168位的密匙 由于ESP实际上加密所有的数据 因而它 比AH需要更多的处理时间 从而导致性能下降 密匙管理包括密匙确定和密匙分发两个方面 最多需要四个密匙 AH和ESP各两 个发送和接收密匙 密匙本身是一个二进制字符串 通常用十六进制表示 例如 一 个56位的密匙可以表示为5F39DA752E0C25B4 注意全部长度总共是64位 包括了8位 的奇偶校验 56位的密匙 DES 足够满足大多数商业应用了 密匙管理包括手工和 自动两种方式 手工管理系统在有限的安全需要可以工作得很好 而自动管理系统能 满足其他所有的应用要求 使用手工管理系统 密匙由管理站点确定然后分发到所有的远程用户 真实的密 匙可以用随机数字生成器或简单的任意拼凑计算出来 每一个密匙可以根据集团的安 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 22 全政策进行修改 使用自动管理系统 可以动态地确定和分发密匙 显然和名称 一样 是自动的 自动管理系统具有一个中央控制点 集中的密匙管理者可以令自己 更加安全 最大限度的发挥IPSEC的效用 IPSEC的实现方式 IPSEC的一个最基本的优点是它可以在共享网络访问设备 甚至是所有的主机和服 务器上完全实现 这很大程度避免了升级任何网络相关资源的需要 在客户端 IPSEC 架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工 作站 而ESP通过两种模式在应用上提供更多的弹性 传送模式和隧道模式 IPSEC Packet 可以在压缩原始IP地址和数据的隧道模式使用 传送模式通常当ESP在一台主机 客户机或服务器 上实现时使用 传送模式使用 原始明文IP头 并且只加密数据 包括它的TCP和UDP头 隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用 隧道模式 处理整个IP数据包 包括全部TCP IP或UDP IP头和数据 它用自己的地址做为源地 址加入到新的IP头 当隧道模式用在用户终端设置时 它可以提供更多的便利来隐藏 内部服务器主机和客户机的地址 3 3 3 基于基于MPLS的的VPN方案方案 针对运行商模式的 VPN方案 Riverstone 路由器也能提供基于MPLS 的VPN Riverstone 交换式路由器支持所有的MPLS特性来实现 QoS及流量 工程能力 更重要是的 Riverstone MPLS提供现有城域网特性和MPLS集成 的扩展 使得运营商能够轻易扩展它们现有的服务 3 3 3 1虚拟专线 虚拟专线 VLL 及二层 及二层VPN服务服务 当用户和网络不断增长时 运营商提供802 1Q VLAN 基于的 VPN 服 务面临严重的扩展性问题 首先 VLAN 的总数被限制在4096 个 第二 核心路由器所需处理的MAC 地址的总数可能变得很大 除非限制最大可用的 MAC 地址的数量 第三 用户的VLAN 不易管理除非核心VLAN 被映射 到每个用户 VLAN 并且 VLAN 标符识在 VLAN 用户之间不冲突 因此标准 的 802 1QVLAN 方式已不再是运营商VPN 解决方案的好方法 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 23 Riverstone 通过使用 MPLS 支持采用了虚拟专线及层二VPN 功能和 第 三层 IP VPN 来解决运营商的VPN 服务 虚拟专线服务虚拟专线服务 Riverstone MPLS 基于的虚拟专线服务解决了这些扩展性问题 使得城域 网运营商能通过两条相反方向的MPLS LSP 提供一个逻辑的管道 这些 LSP 可以带上指定的Qos 特性 Qos 可以是静态预配置的或者使用MPLS 信号动态建立的 一个LSP 所走的路由可按流量要求而指定 服务供应商能够为一个特定用户的流量指定一个策略 比如 如果为具体某 一个用户分配了一个物理端口P1 运营商能够定义一个策略指定所有来自物 理端口 P1 的流量流向一个预定义的LSP L1 而该 LSP L1 位于端口 P2 Riverstone MPLS 支持基于每 LSP 进行速率限制 保证用户的服务等级 水平 SLA 基于每 LSP 的流量统计使得MSP 能够监测流量情况以便适时 作调整 这个基于MPLS LSP 的虚拟专线 VLL 服务模型使得运营商有很 大的扩展性 最终用户的网络信息如 MAC 地址 VLNA Ids 都保持对运 营商网络透明 因为只有MPLS 标签被检查 此外 基于MPLS 标签堆栈 特性 边缘得LSP 能被组合成少量的LSP 隧道 MPLS L2 VPN 功能功能 通过 Riverstone 的 MPLS 当超过两个以上的用户网络必需要透明互连时 运营商能够扩展VLL 功能以提供透明的以太网服务 TLS Riverstone MPLS 支持虚拟 LAN 的扩展需要以及地址学习能力 下列的图指明 Riverstone 如何实施二层VPN 功能 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 24 图 1 用户的 VLAN 被映射到指定的VLAN LSP 在 POP 点之间的隧道 LSP 将 VLAN LSP 进行隧道化 核心的LSP 必须被限制在一个较小的数量 这些隧道的 LSP 通常经由 RSVP TE 进行信令化 因为核心的LSP 通常要 求有严格的 Qos 保证 而 POP 点之间的携带用户VLAN 流量的 LSP 不要 求流量工程因为带宽基本不是问题 所以这些LSP 通常由 LDP 信令建立 当 LAN LSP 被指定给具体某个用户后 就不再需要作额外的供应操作 事实上 单个 VLAN LSP 能够携带用户的所有流量而不管用户端的VLAN 拓扑结构 通过 VLAN 到 MPLS LSP 隧道的映射 事实上可以建立基于第二层的 BGP VPN 整个 VPN 用户可以使用第二层隧道 这样整个VPN 的用户可 以使用同一个子网的地址 也可以使用除了IP 之外的其他协议 3 3 3 2 MPLS IP 三层三层VPNs MPLS BGP VPN 按照 Frost 及 Sullivan 的预测 到 2004 年 IP VPN 服务将从 1998 的 200 百万上升到 13 个亿 VPN 的必需的要求是安全 可扩展性及服务等 级水平 以前服务供应商通过面向连接的ATM 及 Frame Relay 或使用加密 的 IP sec 提供 VPN 主要的问题是现基于隧道的技术不具有扩展性的 或配置 复杂 Riverstone MPLS VPN 基于 RFC 2547 bis 使用 BGP 扩展实现具有高 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 25 度扩展能力的VPN 通过使用 MPLS VPN 运营商通过分配VPN ID 给用 户 然后组合VPN ID 和 IP 地址来进行转送 使得用户的IP 地址成为 唯 一的标识 在MPLS VPN 中 VPN 信息由 BGP 协议分布到同样的VPN 成员中去 不同的VPN 成员之间流量完 全分开 流量通过MPLS LSP 来 进行转送 MPLS LSP 能提供 ATM 或帧中继级别的安全和可靠性 转发表 中包含相对应于VPN IP 地址的标签信息 Riverstone 提供的 MPLS VPN 能够利用基于MPLS 的 QOS 功能为不同用户提供不同层次的IP 服务是 这些简单有效的VPN 服务能够满足用户的VPN 要求并能提供额外的强大的 服务分发机制 MPLS VPN 的的实实现现过过程程 MPLS的应用导致 VPN技术产生了质的变化 他保证了VPN的极高的可 扩展性 并为服务供应商和最终用户同时提供了简单配置和可管理性 MPLS同时可以提供跨越 IP路由网络和 ATM交换网络的 VPN 从而保护用户 的现有投资 MPLS VPN的基本工作方式是采用三层技术 每一个VPN具有独自的 VPN ID 每一个 VPN的用户只能与自己 VPN网络中的成员进行通信 而也只 有VPN的成员才能有权进入该VPN 如下图所示 图 MPLSVPN示意 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 26 图中有两个 VPN A公司以及 B公司 A公司的 VPN中的用户有权进入黄色 的VPN 并且与该 VPN的用户进行通信 而B 公司 VPN不可见 MPLS VPN的 工作过程如下 在基于 MPLS的VPN中 服务提供商为每个VPN分配了一个标识符 称作路 由标识符 RD 这个标识符在服务提供商的网络中是独一无二的 转发表中包 括一个独一无二的地址 叫作VPN IP地址 是由 RD和用户的 IP地址连接形 成 VPN IP地址在网络中是独一无二的 地址表存储在转发表中 每个 VPN保持一个转发表 BGP是一个路由信息分布协议 它利用多协议扩展和BGP Community 属性来定义 VPN的连接性 在基于 MPLS的VPN中 BGP只对同一个 VPN的成员 发布信息 通过流量分隔来提供基本的安全性 因为数据是通过使用LSPs 来转发的 LSP定义一条特定的路径 不可以被改变 这样对安全性也有保证 这种基于标签的模式可与帧中继和ATM一样提供保密性 服务提供商 而不是 用户 应用 VPN时将一个特定的 VPN与接口联系起来 数据包的转发是由用于 入口的标签决定的 既然不可能spoof端口 MPL SVPN就不易受到 spoof的 攻击 VPN转发表中包括与 VPN IP地址相对应的标签 通过这个标签将数据传送 到相应地点 既然标签代替了IP地址 用户可以保持他们的专用地址结构 无需进行网络地址翻译 NAT 来传送数据 根据数据入口 交换机选择一特定 的转发表 该表中只包括在VPN中有效的目的地址 为了创建extrnet 服 务提供商在 VPN之间要明确配置可达性 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 27 这种解决方案的优势在于服务提供商可以通过相同的网络结构来支持许多 种VPN 并不需要为每一个用户建立单独的网络 而且 这种方案将IP VPN的能力内置于网络本身 所以 服务提供商可以为所有租用者配置一个网络 来提供专用的 IP网服务 如 intranet和extranet 而无需复杂的管理 隧道 或VC mesh QoS可为每个 VPN提供特有的业务政策 QoS服务可与基于 MPLS 的VPN无缝结合 因为两者都是基于标记的技术 基于 MPLS 的IPVPN网络可以很容易地与基于IP的用户网络结合起来 租 用者可与供应商提供的服务无缝结合 不必改变intranet应用 因为这些 网络具有应用通晓性 保密性和QoS内置于网络中 用户能够使用他们专有的 IP地址而无需 NAT 网络地址翻译 这同一种网络结构目前可支持许多种VPN 可减轻为每一个新网络实施 工程的负担 这种方案易于进行VPN的添加 移动和改变 如果某个公司需要 在自己的 VPN中增加一站点 服务提供商只需告诉客户端设备的路由器如何与 网络连接 并配置 LSR来识别来自于 CPE的VPN成员 BGP会自动更新 VPN成员 与增加一台设备需要大量操作的overlay VPN相比 这种方案要简单 迅速 和便宜的多 在一个overlay VPN中增加一台新设备要涉及到更新流量 matrix 从新站点建立 VC到所有现存的站点 更新每个站点的OSPF设计 针对新的拓扑结构图重新配置每台CPE设备 北京瑞斯康达科技发展有限公司北京瑞斯康达科技发展有限公司 28 可可靠靠性性 通过 Riverstone 的MPLS 解决方案 备份的 LSP能够被配置以提供快速 的故障恢复 备份的