移动城域数据网二期工程技术建议书

河北移动 城域数据网二期 工程 技术 建议书 2010 年 10 月 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 1 页 目 录 前言 XX 公司宽带 2.0 的 IP 网络设计理念介绍 . 2 1 河北移动城域数据网总体方案建议 . 5 1.1 建设需求分析和目标拓扑 . 5 1.2 总体方案建议 . 6 2 业务控制层建设方案建议 . 8 2.1 业务控制层建设方案建议 . 8 2.2 MSCG 的用户唯一性识别机制（ BRAS 特性） . 9 2.3 MSCG 的认证方式分析（ BRAS 特性） . 10 2.4 业务控制层可靠性方案建议 . 14 3 宽带接入网建设方案建议 . 16 3.1 组网方案 . 16 3.2 综合网管方案 . 24 3.3 ODN 工程建设方案建议 . 25 3.4 带宽规划 . 29 3.5 IP 地址规划原 则 . 30 3.6 VLAN 规划原则 . 31 3.7 GPON 网络建设的实施策略 . 32 3.8 GPON 网络运行维护流程 . 38 4 端到端 QoS 方案 . 47 4.1 QoS 的标准选择 . 47 4.2 设备 QoS 的实现机制 . 48 4.3 QoS 的实施方案建议 . 52 4.4 层次化 QoS. 58 4.5 城域数据网端到端 QoS 保证的建议 . 62 4.6 IP 业务质量的仪表盘 XXU2520 产品简介 . 63 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 2 页 前言 XX 公司宽带 2.0 的 IP 网络设计理念介绍 面对来势汹涌的产业变革浪潮，电信运营商不约而同地提出向综合性的信息服务供应商转型。在这个关键的转型过程中，宽带网络将扮演越来越重要的角色，被寄予厚望。一方面，越来越多的业务承载在宽带网络上；另一方面，宽带接入本身也是一项极具价值的业务。近年来，宽带通信发展迅猛 ，用户增长迅速，近期的统计显示，中国网民总人数达到 1.62 亿，宽带用户数接近 6000 万。 随着内容应用日趋丰富、新技术不断涌现、宽带用户结构发生变化，运营商在市场拓展、技术演进和业务创新等方面均面临着新的挑战。运营商面对的典型问题包括：如何维持日趋饱和的城区的业务继续增长？如何激活中低收入城镇家庭及农村宽带市场，提高市场渗透率？如何应对 P2P 等新应用对现有网络的冲击？如何基于已有的近 6000 万宽带用户建立更高 ARPU 的商业模式 ？ 欲突破以上的困境，运营商必须超越宽带发展初期的“跑马圈地”式的粗放式运营， 迈入 “宽带 2.0 时代”，高度重视最终用户客户体验，并提供差异化的宽带业务。为了实现运营商与宽带用户的双赢， XX 公司 认为下一代的宽带网络应具备以下几点特征：更高带宽及服务质量保障、宽带精细化运营、多种接入手段（有线 /无线）融合、可信任的安全网络、以及 Multi-play 多业务承载能力。 宽带 2.0 时代的关键特征分为两类：第一，宽带业务特征：宽带业务差异化和多样化、中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 3 页 客户更加关注业务体验，它们是宽带发展根本驱动力和牵引力，代表了宽带发展的方向；第二，支撑宽带发展的网络特征：带宽提速、精细化运营、多业务承 载、 FMC 接入和可信任网络。 高度重视客户体验 我们已经步入了“体验经济”的时代，消费者越来越关注业务体验，只会为有吸引力的、体验 良好的业务付费。良好的 QoE（ Quality of Experience，体验质量）会吸引更多消费者参与到网络。从理论上讲，只要有足够的性能和带宽，是可以保证用户的业务体验。但是现实情况“大带宽”却不一定获得好的服务体验，这主要因为 P2P 技术解放了内容服务器的能力瓶颈，使得互联网商所有计算机都可能成为服务器，这种情况导致一个结果“信息是无限的”，相对来说网络带宽资源却是有限的， 建设多大带宽都会被网络上的信息充满，不可避免地在网络中会产生拥塞，如果不采取一定控制手段，拥塞必然会影响用户的业务体验。 所以必须考虑对网络架构进行优化。当前的网络， IP 承载层与业务控制层之间相对脱节，承载层不了解自身承载的业务，业务控制层不了解承载层的资源情况，导致关键业务的体验得不到保证。应对这种情况，宽带 2.0 时代建议在承载层与业务控制层两层之间增加资源控制层，通过 RAC（资源接纳控制）机制，对每个用户、每项业务对网络资源的使用进行动态管理和调整，保证业务体验质量。 业务差异化和多样化 宽带 2.0 时 代，由于 OSS/BSS 及宽带接入控制技术自身的限制，采用固定包月的粗放式运营模式较多。随着以 P2P 为代表的新技术的普及，每用户的平均使用率大幅增加，导致“增量难增收”的困境。随着网络向 ALL IP 转型，新业务形式的不断涌现，业务的差异化和多样化是宽带 2.0 新阶段的另外一个重要特征。 运营商可以从带宽、时长、业务类型、流量等多维度对业务进行细分，包装丰富的业务运营套餐；根据细化的用户群，支持后付费、预付费等多种付费方式；同时运营商立足于自身平台优势，与有实力的 ICP/ISP 展开合作，不断推出更加吸引消费者的业 务形态，达到运营商、消费者、 ICP/ISP 的多赢。 带宽提速 从宽带发展趋势看，网络视频和高清图象正在成为网络的主要内容之一，它使网络从“黑白文本”变得“图文并茂、丰富多彩”，也正是这种趋势吸引了越来越多的用户上网。但是，另一方面这些内容却大量的消耗了网络带宽资源。越来越多的用户感觉“宽带不宽”，严重中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 4 页 制约业务的发展。所以宽带提速是一个必然趋势，是宽带 .0 时代的最重要特征之一。 展望全球，宽带提速已经成为普遍趋势，这方面日本、韩国、美国和欧洲已经走在前列，用户带宽可以高达 50 100Mbps；在国内，中国 电信和中国网通也各自制定了自己的宽带提速计划并积极实践。 宽带提速涉及在核心层、汇聚层、接入层各个层面都进行网络扩容，进行流量疏导。其中，接入层的技术最为多样，众多选择“乱花渐欲迷人眼”。运营商需要根据用户需求、业务规划、线路资源、成本等因素采用最为合适的技术，因地制宜，进行接入网建设，并最终按照“光进铜退”的发展路径演进到全光时代。 精细化运营 宽带发展到新的阶段，为什么要精细化运营？ 这个问题可以从业务和用户两方面说明： 首先，宽带业务模型正在从单一向多样化转型，即 Multi-Play。多样的业务类型 驱动宽带网络必须具备差异化服务能力，要求宽带精细化运营，针对不同业务做精细的规划和管理。 其次，宽带消费者需求存在差异化和个性化。为了更好地服务于消费者，并不断提升满意度，提高竞争力，必然要细分用户群，根据他们的具体需求，提供差异化的宽带服务和内容服务。 可信任网络 不可讳言，宽带 1.0 时代的网络充满了种种不安全因素，病毒、黑客的泛滥令广大用户疲于应付，稍有不慎就可能导致严重后果。根据 CNNIC 的报告，只有 35.1%的网民表示对互联网信任。网民对互联网的过度不信任，会制约很多互联网应用的普及，从而导致潜在 收入的流失。 因此宽带 2.0 时代的重要特征之一就是能够提供可信任的网络环境，消除用户的后顾之忧。这可以通过用户精绑定、业务控制层的 DPI（深度报文检测）、流量清洗等安全技术手段的综合实施实现。从而为更多宽带业务的开展、更多用户的加入奠定良好的基础。 Multi-play 业务承载 伴随宽带业务从非实时的数据业务向 Multi-Play 发展，业务对宽带 IP 网络提出了新的要求。从宽带网络本身看，实时的视频和语音业务与传统互联网数据业务对网络带宽资源、QoS 指标、可靠性指标、安全性的要求有着本质的区别。所以 IP 宽带 网络需要不断优化和改造，适应多种业务承载要求。 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 5 页 近年来国内的几大运营商相继建设第二张骨干网络，例如中国电信的 CN2，主要用于承载对 QoS、可靠性和安全性要求更高的 IP 业务。 伴随 IP 骨干网大规模改造， IP 城域网也正在经历翻天覆地的变化，这些网络改造和优化目标都是要实现 Mulit-Play 业务的承载。宽带 2.0 时代，通过在 IP 城域网部署快速路由收敛、 BFD、重路由（ FRR）、 MPLS OAM、层次化 QoS、资源接纳控制（ RAC）等新技术，并通过运营级接入网的建设、 BRAS 的冗余备份、关键链路的冗余、故障发生时 合理的流量迂回与疏导等手段，使宽带网络 MultiPlay 多业务承载能力得到根本解决。 1 河北移动城域数据网总体方案建议 1.1 建设需求分析和 目标拓扑 河北移动城域数据网 划分为城域骨干网和宽带接入网两个部分 ： 城域骨干网 城域骨干网分为核心层和业务接入控制层两层。核心层由核心路由器组成，负责对业务接入控制点设备进行汇接并 兼做 城域数据 网的出口 和 CMNET 省网接入，每个地市两台核心路由器口字型上行至石家庄和沧州两个 CMNET 省网核心 。 业务接入控制层由 多业务控制网关 MSCG 组成。主要实现 个人用户 拨号 接入 IPTV 组播网关 功能， 同时 作为专线用户的接入网关，并 实现 MPLS PE 功能。 宽带接入网 宽带接入网 最要以 GPON 光接入网为主，通过 GPON 网络的 ONU 接入个人拨号用户、专线用户和 WLAN 热点接入用户等等 。 中国移动 CMNET 城域网 整网 典型的网络结构拓扑如下： 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 6 页 HUAWEI TECH NOLOG IES C O., L TD. Page 2Huawei Conf ident ial 英文标题 : 3 2 - 3 5 p t 颜色 : R 1 5 3 G 0 B 0内部使用字体 :Fr u t i g e r N e x t L T M e d i u m外部使用字体 : A r i a l中文标题 : 30 - 3 2 p t 颜色 : R 1 5 3 G 0 B 0字体 : 黑体英文正文 : 2 0 - 2 2 p t子目录 (2 - 5 级 ) : 1 8 p t 颜色 : 黑色内部使用字体 :Fr u t i g e r N e x t L T Re g u l a r外部使用字体 : A r i a l中文正文 : 1 8 - 2 0 p t子目录 (2 - 5 级 ) : 1 8 p t颜色 : 黑色字体 : 细黑体配色参考方案：建议同一页面内不超过四种颜色，以下是13 组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角 .（ 1 ） 网络层次清晰化，实现二、三层网络分离；（ 2 ） 网络结构扁平化，减少网络层次，适时考虑核心集群路由器建设；（ 3 ） 服务质量差异化，部署 QoS 策略，实现端到端的 QoS 保证 ；（ 4 ） 加强网络的集中控制和管理，提高网络的运维能力；中国移动 C M N ET 城域网目标拓扑图IP 专网CM NE T核心集群路由器 CR多业务控制网关 M S CGOL TO N U普通集团专线资源管理平台城域核心网城域接入网CMNET城域网PE - A SB R集团专网M S T P以太环网1.2 总体方案建议 据以上城域 数据 网需求分析的结果和目标网络的建设原则和建设模型，下面给出本期工程的总体方案建议： 组网建议： 核心层保持目前的扁平化组网结构， MSCG 直挂核心路由器 。 接入层 尽量采用 GPON 网络建设， GPON 的 OLT 直挂 MSCG 以减少网络层次，减少故障点，整个接入网全部为二层网络，采用灵活 QINQ 实现多业务的逻辑隔离承载， 对于如高校 WLAN热点覆盖的 接入点较多的 区域，建议将 ONU 尽量往用户处延伸，最好的方式是 ONU 直接下挂POE 交换机的方式 带 AP 甚至是 ONU 直接提供 AP 功能 ，以确保 提供 足够的带宽和更加完善的用户管理 。 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 7 页 2010 - 11 - 3河北移动城域数据网组网建议石家庄 NE 5 0 0 0 E（ CM NE T 核心）沧州 NE 5 0 0 0 E（ CM NE T 核心）青园街 NE 5 0 0 0 E（ CM NE T 接入）东风路 NE 5 0 0 0 E（ CM NE T 接入）市县区OL T市县区高端交换机市区M E 6 0市区M E 6 0M P L S V P N三 层 网 络二 层 网 络瘦 APONU分光器接入交换机高端路由器MSC G高端交换机 / O L T分光器ONU接入交换机瘦 AP接入交换机网络可靠性 建议 ： 三层网络通过动态路由协议和 FRR 保证可靠性， 由于业务控制层网络层次较高，建议启用 MSCG 双机热备方式保证 网络 高可靠性，对于某些地市的 MSCG 无法支持双机热备的 情况 ，建议至少启用端口和单板的热备。 端到端 QoS 建议： 在综合业务承载的城域网中，把城域网的业务分为实时业务和非实时业务，实时业务必须在流量、带宽规划的基础上保证 QoS，实时业务和非实时业务之间通过 DiffServ 机制进行调度避免拥塞；接入层和核心层都需要不断地扩容带宽以保证对于实时业务轻载，并需要引入 DiffServ 机制避免非实时业务拥塞实时业务；而在业务控制层，则需要针对每用户、每业务进行精细化的流队列调度，业务控制层设备需要具 备大容量的流队列调度能力和层次化 QoS 能力； 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 8 页 2010 - 11 - 3河北移动城域数据网 QoS 部署方案 城域网部署 I P / MP LS D i f f S er v 可以满足用户静态 QoS 的基本要求； 未来可以增加通过资源策略控制平面（ R A C & S P C ）实现动态 QoS ； 业务网管： Qo S M a n a g e r 统一 Qo S 部署，降低运维成本及压力G l o b a l I n te r n e tG l o b a l I n te r n e tIP 承载网In t e r e n tM S CGUS RO LTC P EI A DL2W i M a x / W i FiD if f S e rv 模型，信任承载网，对互联网进入的业务进行重标记，队列调度（ PQ WR R ）上行业务区分流量标识不同 8 0 2 . 1 p ，优先级转发，端口限速接口基于用户 SLA 做重新标记或 8 0 2 . 1 p 和 D SC P 映射，C AR 限速，整形 和优先级调度下行流量端口限速，通过H - Q O S 方式保证下行 Q o S，最多 5 级调度大带宽 D if f S e rv ，优先级调度， I P D SC P MP LS E X P 转换I P R AC城域网精细化运营建议 ： 精细化运营的目的是建立一个平台，可以为运营商基于业务的管理和收费提供条件，精细化运营立足点是城域网的资源统一管理调度；为了实现这个目标，需要在城域网中引入检测系统（如，用户行为分析统计系统）和资源管理系统，并要求基础网络的设备（如 MSCG）能够通过开放接口接受资源管理系统的控制策略。 2 业务控制层 建设 方案建议 2.1 业务控制层 建设方案 建议 业务控制层建设方案仍然沿用 以前的建设 思路 ， 采用大容量 MSCG 部署城域网业务控制层节点，满足业务控制层节点不同用户和业务备份的需求 。 在投资允许的情况下，逐步采用MSCG 实现市区和县局各汇聚机房的覆盖，将 MSCG 逐步下移到县， 在投资增加不多的情况下，尽量 减小二层网络的规模，提高整网的可靠性和安全性。 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 9 页 2010 - 11 - 3石家庄移动城域数据网优化拓扑图石家庄 NE 5 0 0 0 E（ CM NE T 核心）沧州 NE 5 0 0 0 E（ CM NE T 核心）青园街 NE 5 0 0 0 E（ CM NE T 接入）东风路 NE 5 0 0 0 E（ CM NE T 接入）市区高端交换机 /O L TC M NE T数据城域网市区高端交换机 /O L T东风路M E 6 0高端路由器MSC G高端交换机 / O L T新增设备青园街M E 6 0赵县高端交换机 /O L T赵县高端交换机 /O L T赵县M E 6 0赵县M E 6 0无极县高端交换机 /O L T无极县高端交换机 /O L T无极县M E 6 0无极县M E 6 02.2 MSCG 的用户唯一性识别机制 （ BRAS 特性） 用户唯一性识别是宽带网络精细化运营的前提，在 MultiPlay 网络中，不仅要求每个用户一个唯一的标识，而且进一步要求每个用户业务终端都有一个唯一的 标识。在目前 城域数据 网中，比较通用的用户标识是 VLAN，用户唯一性识别机制主要有 SVLAN和 DHCP Option82两种 。 SVLAN： SVLAN 是指以太网数据包封装两层 VLAN 标签，每层 VLAN 标签可以表示 4K VLAN范围，那么总的 VLAN 范围可以达到 4K 4K 个，完全可以满足用 VLAN 标识用户甚至标识用户业务终端的需求。采用 SVLAN 还有一个用处就是可以在由 GPON 网络 组成的二层接入网中利用选择性 QinQ 技术实施业务分流。采用 SVLAN 方式，用户接入的处理过程无需改变，但需要网络中所有的设备需要在硬 件上支持 SVLAN， GPON 网络 需要支持 SVLAN 封装、透传和选择性 SVLAN，而 MSCG 则需要支持 SVLAN 的终结。 DHCP Option82： RFC3046 规定的 DHCP option 82 也叫中继代理信息选项，是 DHCP 众多选项中的一个。在 DHCP认证的流程中，接入层设备（如 GPON 网络 ）会在 DHCP 客户端和 DHCP 服务器的交互过程中将用户接入的位置信息（如物理槽位号和端口号）封装到 DHCP Option82 选项中， DHCP Server 以此作为用户标识。 DHCP Option82 只适用于采用集中 式的DHCP Server 完成 DHCP认证的接入方式； 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 10 页 针对个人拨号用户，建议采用目前主流的 SVLAN 来实现 用户 唯一性识别 。 2.3 MSCG 的认证方式分析（ BRAS 特性） 在城域 数据 网中，目前常见的认证方式有 PPPoE、 Web 和 DHCP三种。 PPPoE 认证 PPPoE是利用以太网发送 PPP包的传输方法和支持在同一以太网上建立多个 PPP连接的接入技术。其结合了以太网和 PPP 连接的综合属性。 PPP 协议是一种点到点的链路层协议，它提供了点到点的一种封装、传递数据的一种方法。 PPP 协议一般包括三个协商阶段： LCP（链路控制协议）阶段，认证阶段（比如 CHAP/PAP），NCP（网络层控制协议，比如 IPCP)阶段。拨号后，用户计算机和局方的接入服务器在 LCP阶段协商底层链路参数，然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证，接入服务器可以进行本地认证，可以通过 RADIUS 协议将用户名和密码发送给 AAA 服务器进行认证。认证通过后，在 NCP（ IPCP）协商阶段，接入服务器给用户计算机分配网络层参数如 IP 地址等。经过 PPP 的三个协商阶段后，用户就可以发送和接受网络报文，用户收发的所有网络层报文都封装在 PPP 报文中。 PPP 协议的一个重要的功能是提供了身份验证功能。 以太网是一种广播网络，其缺点是通讯双方无法相互验证对方身份，通讯是不安全的。PPP 协议提供了通讯双方身份验证的功能，但是 PPP 协议是一种点对点的协议，协议中没有提供地址信息。如果 PPP 应用在以太网上，必须使用 PPPoE 再进行一次封装， PPPoE 协议提供了在以太网广播链路上进行点对点通讯的能力。 以 PPP-CHAP 为例， PPPoE 用户的接入流程如下： 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 11 页 图 1 PPPoE 认证流程 1) PPPOE 客户端向 PPPOE 服务器设备发送一个 PADI 广播报文，开始 PPPoE 接入。 2) PPPOE 服务器向客户端发送 PADO 报文。 3) 客户端根据回应，发起 PADR 请求给 PPPOE 服务器。 4) PPPOE 服务器产生一个 session id，通过 PADS 发给客户端。 5) 客户端和 PPPOE 服务器之间进行 PPP 的 LCP 协商，建立链路层通信。同时，协商使用 CHAP 认证方式。 6) PPPOE 服务器通过 Challenge 报文发送给认证客户端 ,提供一个 128bit 的Challenge。 7) 客户端收到 Challenge报文后，将密码和 Challenge做 MD5算法后的，在 Response回应报文中把它发送给 PPPOE 服务器。 8) PPPOE 服务器将 Challenge、 Challenge-Password 和用户名一起送到 RADIUS 用户认证服务器，由 RADIUS 用户 认证服务器进行认证。 9) RADIUS 用户认证服务器根据用户信息判断用户是否合法，然后回应认证成功 /失中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 12 页 败报文到 PPPOE 服务器。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束。 10) PPPOE 服务器将认证结果返回给客户端。 11) 用户进行 NCP（如 IPCP）协商，通过 PPPOE 服务器获取到规划的 IP 地址等参数。 12) 认证如果成功， PPPOE 服务器发起计费开始请求给 RADIUS 用户认证服务器。 13) RADIUS 用户认证服务器回应计费开始请求报文 。 14) 用户此时通过认证，并且获得了合法的权限，可以正常开展网络业务。 15) 当用户希望终止网络业务的时候，同样也可以通过 PPPoE 断开网络连接，此时会按照 12）、 13）中的格式发送计费终止报文。 PPPoE 认证的缺点是对终端的要求较高，需要专用客户端 PPPoE 拨号软件，同时 PPP 封装的开销较大； PPPoE 认证的优点是比较成熟， PPP 协议定义了 Session 上的握手报文，可以检测用户非正常断线，全网采用 PPPoE 认证，无须启用 ARP，可以避免 ARP 攻击的发生，安全性较高。 PPPoE 认证是目前 PC 终端认证的首选模式 。 WEB 认证 基于 Web 的认证方式，适用于各类用户接入方式。其特点是：用户在计算机上不必安装任何拨号软件，只需要上网时打开浏览器，访问 WEB 认证页面并输入用户名和口令，即可完成认证过程。 以 XX 公司 MSCG 设备 为例， 启用 BRAS 认证特性 时 的 WEB认证 处理流程如下： 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 13 页 1、用户终端开机后通过 DHCP 申请 IP 地址， BRAS（ 即 MSCG） 启用 DHCP Server 功能并根据用户的 VLAN 区段从 IP 地址池中分配 IP 地址给用户终端； 2、 BRAS 为用户分配 IP 地址后，在用户未通过 Web 认证以前 ，通过 ACL 来限制该用户主机的访问权限，如可以限制用户只能访问一些包括门户网站在内的一些免费网点（允许访问的目的地在网络设备上可以配置）； 3、用户启动 IE 浏览器后输入任何网址， BRAS 将用户发起 HTTP 请求重定向到 Portal Server， Portal Server 根据用户的位置弹出个性化 Portal 认证页面。用户在 Portal 页面上中输入用户名和密码并提交，该用户名和密码经 Portal Server 通过 Portal 协议转交给BRAS； 4、 BRAS 收到用户的用户名和密码后，通过 Radius 协议将用户 名和密码送到 Radius 服务器进行认证； 5、如果认证通过， BRAS 会根据 Radius 服务器下发的认证通过报文来修改用户的 ACL，允许该合法用户正常上网。同时也会通过 Portal 协议通知 Portal Server 用户认证通过，由 Portal Server 通过 HTTP 方式在网页上通知用户已经认证通过；如果认证不通过， BRAS也会通知 Portal Server 用户认证不通过，由 Portal Server 通过 HTTP 方式在网页上通知用户认证失败； 此外， XXMSCG 还支持基于端口的 WEB 认证方式。即用户在 Portal 页面上不需要输入任何用户名和密码，此时 MSCG 设备根据用户的 VLAN 进行认证。 对于 WEB 认证用户非正常下线， XXMSCG 支持以下三种检测机制： a、 ARP 检测法： MSCG 定期通过 ARP 报文探测用户。如果在一定时间内收不到响应，则认为该用户断线，上报用户计费结束信息并断开连接。 b、心跳检测： Portal Server 定期向用户发出探测报文，如果在规定的时间和次数内收不到用户的响应报文，则 Portal Server 会告知 BRAS 用户已下线。由 MSCG 上报用户计费结束信息并断开连接。 c、用户 最低流量检测法： MSCG 定时检查在线用户的当前流量速率是否低于设定的最低流量速率阈值，如果低于最低流量速率则认为用户已经断线，将该连接断开。 Web 认证由于无须终端安装客户端软件，且可以提供个性化的 Portal 页面，在酒店、WLAN 热点地区接入认证的应用较多。 DHCP认证 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 14 页 DHCP认证是一种基于端口的认证方式，用户终端无须安装拨号软件，无须输入用户名和密码，由网络侧接入设备为用户终端的 DHCP 请求附加 Option82 属性，在 Option82 属性中告知 DHCP Server 用户的位置信息（端口、槽位） ，而 DHCP Server 也不是普通的 DHCP Server，可以根据用户的位置信息决定用户是否有权限获得 IP 地址。 DHCP认证要求 MSCG 支持 DHCP Snooping 功能，该功能是 MSCG 监控用户 DHCP 过程，根据 DHCP Server 是否给用户分配 IP 地址打开或者关闭用户的上网权限。 分布式 DHCP认证 XX 的 MSCG 支持分布式 DHCP认证，可以做到在 MSCG 启用本地的 DHCP Server，为 DHCP认证终端在本地分配 IP地址，并且可以把 DHCP请求转换为 Radius认证请求发送到 Radius Server 进行认证，把 DHCP Option82 属性转换为 Radius 认证报文中的用户名。 分布式 DHCP认证和 DHCP认证相比最大的好处是无须在城域网中部署集中的 DHCP服务器，只需要在 Radius Server 上统一认证。 综上所述，建议 河北移动公司 在选择用户认证方式时遵循以下原则： 1、 PC 上网用户采用 PPPoE 认证，针对这些用户 VLAN，在交换机上可以关闭 ARP，保证MSCG 不会受到用户侧 ARP 攻击； 2、 酒店、 WLAN 热点地区用户，采用 Web 认证， Portal Server 提供不同 区域接入的个性化门户页面； 3、 未来开展 IPTV 时， IPTV 机顶盒、 家庭综合业务 网关，建议采用分布式 DHCP认证。 4、由于 DHCP 服务器安全性的考虑，建议 MSCG 兼做 DHCP SERVER。 2.4 业务控制层可靠性方案建议 业务控制层的可靠性是实现用户级可靠性的关键；而实现业务控制层可靠性的根本做法是采用每个节点配置两台以上的综合业务处理设备（ MSCG） ，但是，这种模式建网成本较高，所以，在 MSCG 条件允许的情况下，我们建议不同的局点之间的 MSCG 启用双机热备的方式来大幅提升可靠性。 为了实现 MSCG 之间快速 的倒换，可以采用以下 BFD VRRP 技术。 BFD+VRRP BFD 是一个在数据转发层面进行实时连接性检测的协议。一对系统在它们之间的所建中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 15 页 立会话的通道上周期性的发送检测报文，如果某个系统在足够长的时间内没有收到对端的检测报文，则认为在这条到相邻系统的双向通道的某个部分发生了故障。 BFD 在双向链路两端同时发送检测报文，检测两个方向上的链路状态，实现毫秒级别的链路缺陷检测 BFD 能够在系统之间的任何类型通道上进行故障检测，这些通道包括直接的物理链路，虚电路，隧道， MPLS LSP，多跳路由通道，以及非直接的通道。 VRRP 是一种容错协议，它保证当主机的下一跳路由器坏掉时，可以及时的由另一台路由器来代替，从而保持通讯的连续性和可靠性。为了使 VRRP 工作，要在路由器上配置虚拟路由器号和虚拟 IP 地址，同时产生一个虚拟 MAC 地址，这样在这个网络中就加入了一个虚拟路由器。而网络上的主机与虚拟路由器通信，无需了解这个网络上物理路由器的任何信息。一个虚拟路由器由一个主路由器和若干个备份路由器组成，主路由器实现真正的转发功能。当主路由器出现故障时，一个备份路由器将成为新的主路由器，接替它的工作。 VRRP 协议虽然实现了路由器的冗余 备份功能，但由于其通过握手报文周期检测机制来检测主路由器，倒换过程周期过程，往往长达数秒钟之久，不能满足业务快速收敛的需要。 通过 BFD 与 VRRP 协议的结合，即由 BFD 协议来检测主备路由器的可用性，而由 VRRP协议来触发业务的倒换。当 BFD 检测到对端 Down 后立即触发 VRRP， VRRP 协议将备份路由器升级为主用。由于 BFD 的检测是毫秒级别的，因此整个业务的倒换时间也会得到数量级的提升，由普通 VRRP 的秒级切换提升到 BFD for VRRP 的毫秒级切换。 XXNE 路由器 和 MSCG 均 支持 VRRP+BFD 功能。 BFD 检测是直接在 NE 路由器 （或MSCG） 的转发引擎中实现的，这样不但保证了快速检测的周期能在 10ms 内完成，而且降低了快速检测时控制平面 CPU 的负荷，不影响其他业务的运行，整个倒换过程在数十毫秒内完成。在城域网组网中， VRRP+BFD 适用于大客户 专线或大局点 BRAS 下宽带用户 的保护。 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 16 页 2010 - 11 - 3石家庄移动城域数据网优化拓扑图石家庄 NE 5 0 0 0 E（ CM NE T 核心）沧州 NE 5 0 0 0 E（ CM NE T 核心）青园街 NE 5 0 0 0 E（ CM NE T 接入）东风路 NE 5 0 0 0 E（ CM NE T 接入）市区高端交换机 /O L TC M NE T数据城域网市区高端交换机 /O L T东风路M E 6 0高端路由器MSC G高端交换机 / O L T新增设备青园街M E 6 0赵县高端交换机 /O L T赵县高端交换机 /O L T赵县M E 6 0赵县M E 6 0无极县高端交换机 /O L T无极县高端交换机 /O L T无极县M E 6 0无极县M E 6 0BF D + VR R PBF D + VR R P BF D + VR R P3 宽带 接入网 建设 方案 建议 3.1 组网 方案 3.1.1 FTTH 组网方案 （针对高端客户） OLT 设备选择 XX 大容量光接入设备 MA5680T， ONU 根据实际应用场景选择 HG850a、 HG813等家庭网关类终端，分光器采用可采用 1： 2 至 1:64 分光。 组网示意图如下： 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 17 页 MA5680T 作为二层光接入设备应用，为 GPON 的 OLT 设备，上联到 BRAS、 LSW 或 Router等宽带 IP 城域网设备上，将终端送上来的不同类型业务解调成以太业务，送入不同网络，为用户提供高速上网、 IPTV 和 VOIP 业务接入。 业务流程如下图所示： 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 18 页 对于 PC 用户而言，采用 PPPoE 的方式获取 IP 地址，对于 VoIP 和 STB 用户利用 DHCP获取 IP 地址。 ONT 上按照不同的业务类型采用不同的映射规则，将业务映射到不同的 GEM port 中进行上传，到 OLT 侧后再根据不同的业务进行流分类，并进行报文的 Remark 和 VLAN等切换处理，由上行口接入上级网络。 ONT 支持多种业务映射规则，支持 VLAN 映射、 VLAN + 802.1p 映射、 802.1p 映射、 Eth PHY 端口映射、 Eth PHY+VLAN 映射、 Eth PHY+802.1p 映射、 Eth PHY+VLAN+802.1p 映射。 OLT通过 OMCI 协议下发用户业务流到 GEM port 的映射规则。 GPON 终端采用 EchoLife HG850a 设备，提供 4 FE 口（ RJ45 接头 ）和 2 个 POTS 口（ RJ11接头），连接家庭住户的 PC 机、机顶盒和话机。（ HG813 4 个 FE 接口； ） 入户室内设备连接图如下所示： . 高层住宅 高层住宅的特点是 10 层以上，每楼层用户数较多，用户总数大；楼内拥有完善的竖井和管道设施。入户方案建议配线光缆从地下管道进楼，分光器集中放置在竖井内的交接箱或ODF 中，光分路器输出采用骨架式光缆，沿竖井垂直布放，实施对整栋建筑的用户接入。分纤盒按照一定的楼层间隔分布放置，光缆引入分纤盒后进行分歧，然后从分纤盒向每个用户引入皮线光缆，实现光纤入户。一个分纤盒可覆盖 1 4 层，实际可根据每楼层的用户数确定。高层住宅的光纤入户实现如下图所示： 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 19 页 . 多层住宅 多层住宅的特点是 10 层以下，用户数量相对较少。通常多栋楼集中在一个小区内。 多层住宅的光纤入户方案建议如下： 光分路器集中放置到光缆交接箱内，光分路器输出采用骨架式光缆，覆盖整个小区的用户接入。光缆敷设采用直埋或管道方式。在每栋楼宇附近，使用光缆接头盒完成光缆分歧并引入到楼内分纤盒中，然后从分纤盒出皮线光缆到用户家中。 多层住宅的光纤入户实现如下图所示： 中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 20 页 . 别墅区 别墅区的特点是 建筑物分布散落，每栋别墅一般只有一到两个 用户，用户接入分散。 别墅区的光纤入户方案是： 光分路器集中放置在光缆交接箱内，光分路器 输出采用骨架式光缆，覆盖整个别墅区的用户接入。光缆敷设采用直埋或管道 方式。分纤盒放置在别墅附近的人孔，地下管道或架杆，一个分纤盒可提供 4 8 个用户接入。光缆在分纤盒内分歧后，采用室内室外两用微缆入户。 别墅区的光纤入户实现如下图所示： 在任何情况下，入户后的光纤都必须及时引入到光纤终端盒内进行成端，完成对光纤的中国移动 河北 公司 城域数据网二期工程 技术建议书 （ XX） 第 21 页 保护。实际工程中，可采用尾纤连接方式实现光纤成端。 3.1.2 FTTB 组网方案（普通住宅用户）