临沂某大楼网络建设技术建议书20110111

临沂某大楼网络建设技术建议书临沂某大楼网络建设技术建议书 杭州华三通信技术有限公司杭州华三通信技术有限公司 2011 年年 1 月月 目录 1总体网络设计 4 2网络设计方案 5 2 1网络核心层设计 6 2 2接入层设计 6 2 3出口区设计 7 2 4网络管理建设需求 7 3IP 地址规划 12 3 1IP 地址规划总原则 12 3 2IP 地址规划具体原则 12 3 2 1IP 地址分配方案 13 3 2 2设备 Loopback 地址的分配 13 3 2 3设备间互连地址的分配 13 3 3网络设备命名规则 14 3 3 1网络设备基本命名原则 14 3 3 2网络设备具体命名原则 14 4路由设计 15 4 1概要 15 4 2路由协议分类 15 4 3选择原则 16 4 4路由协议选择 17 4 4 1IGP 路由选择 17 4 4 2OSPF 和 ISIS 的比较 17 4 4 3OSPF 和 ISIS 的选择 18 5QoS 设计 34 5 1概述 34 5 2IP QoS 服务模型选择 34 5 2 1Best Effort 模型 35 5 2 2IntServ 模型 35 5 2 3DiffServ 模型 35 5 2 4MPLS DiffServ 36 5 2 5MPLS TE 38 5 2 6DS Aware TE 38 5 2 7总结 39 5 3QOS 技术简介 39 5 3 1DiffServ 相关技术 39 5 4QoS 部署 44 5 4 1QoS 部署总体原则 44 5 4 2DiffServ 模型的部署 44 6方案产品介绍 50 6 1H3C SR6602 万兆网关 50 6 1 1产品概述 50 6 1 2产品特点 50 6 2H3C S7500E 系列高端多业务路由交换机 53 6 2 1产品概述 53 6 2 2产品特点 54 6 3H3C S5120 EI 系列交换机 56 6 3 1产品概述 56 6 3 2产品特点 56 6 4H3C SecBlade FW 防火墙模块 58 6 4 1产品概述 58 6 4 2产品特点 59 6 1H3C SecBlade ACG 应用控制网关模块 60 6 1 1产品概述 60 6 1 2产品特点 60 1 总体网络设计总体网络设计 基于临沂某大楼目前网络现状和未来业务发展的要求 在临沂某大楼网络设计构建中 应始终坚持以下建网原则 1 高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证 在网络设计中选用高可靠性网 络产品 合理设计网络架构 制订可靠的网络备份策略 保证网络具有故障自愈的能力 最大限度地支持临沂某大楼各业务系统的正常运行 2 技术先进性和实用性 保证满足临沂某大楼应用系统业务的同时 又要体现出网络系统的先进性 在网络设 计中要把先进的技术与现有的成熟技术和标准结合起来 充分考虑到临沂某大楼网络目前 的现状以及未来技术和业务发展趋势 3 高性能 临沂某大楼网络性能是临沂某大楼整个网络良好运行的基础 设计中必须保障网络及 设备的高吞吐能力 保证各种信息 数据 语音 图象 的高质量传输 才能使网络不成 为一项业务开展的瓶颈 4 标准开放性 支持国际上通用标准的网络协议 如 IP 国际标准的大型的动态路由协议等开放协 议 有利于以保证与其它网络 如公共数据网 外联机构等网络 之间的平滑连接互通 以 及将来网络的扩展 5 灵活性及可扩展性 根据未来业务的增长和变化 网络可以平滑地扩充和升级 减少最大程度的减少对网 络架构和现有设备的调整 6 可管理性 对网络实行集中监测 分权管理 并统一分配带宽资源 选用先进的网络管理平台 具有对设备 端口等的管理 流量统计分析功能以及可提供故障自动报警 7 安全性 制订统一的全网安全策略 整体考虑网络平台的安全性 8 保护现有投资 在保证网络整体性能的前提下 充分利用现有的网络设备或做必要的升级 用作骨干 网外联的接入设备 2 网络设计方案网络设计方案 整网系统承载着大楼的核心业务 因此 在设计时充分考虑了网络结构的稳定性 采 用星型的拓扑结构 拓扑图如下 临沂某大楼核心层采用 7506E 高可靠性交换机部署 核心层使用防火墙加固网络安全 通过防火墙可以把安全信任网络和非安全网络进行隔离 H3C7506E 防火墙插卡以其高效 可靠的防攻击手段 和灵活多变的安全区域配置策略担负起是守护网络核心安全的的重任 增加 ACG 插卡来控制内部上网行为管理 H3C7506E ACG 插卡能精确检测 Thunder 迅 雷 BitTorrent eMule 电骡 eDonkey 电驴 QQ MSN PPLive 等近百种 P2P IM 应用 同时 可基于时间 用户 组 应用协议 对 P2P IM 应用进行告警 限 速或阻断 楼层接入交换机直接通过通过千兆单模光纤与核心交换机进行相连 互联网访 问方式通过路由网关 SR6602 与网通及电信线路进行互联 2 1 网络核心层设计网络核心层设计 在核心层采用 H3C S7506E 高端多业务交换机 整机交换容量 768Gbps 三层包转发 速率为 492Mpps 6 个业务插槽 满足大容量 高性能 高可靠 高安全及网络扩展的要 求 配置双主控板 双电源 有效保证网络核心的可靠性 H3C S7506E 提供完善的安全防护机制 可从控制 管理 转发三平面全面保障网 络的安全 在控制平面 内置协议报文攻击识别模块 防止 TCN ARP 等协议报文攻击 OSPF BGP IS IS 路由协议采用 MD5 验证 防止非法路由更新报文导致的网络瘫痪 在管 理平面 SNMPv3 网管协议 SSH v2 基于 802 1x AAA Radius 的用户身份认证以及分 级的用户权限管理保证了设备管理的安全性 在转发平面 支持 IP VLAN MAC 和端 口等多种组合精细绑定 支持 uRPF 单播反向路径转发 防止非法流量访问网络 采用最 长匹配逐包转发机制 有效抵御病毒的攻击 H3C S7506E 还支持内置的高性能防火墙 异常流量清洗等模块 将专业的安全融入到交换机之中 H3C S7506E 支持不间断转发和优雅重启 提供毫秒级的切换时间 支持等价路由 可帮助用户建立多条等值路径 实现流量的负载均衡及冗余备份 支持 RRPP 快速环网保 护协议 提供小于 200ms 的环网故障保护 支持 Smart Link 协议 保证双上行网络拓扑 的业务毫秒级快速切换 通过上述技术 H3C S7506E 可以在承载多业务的情况下不间断 运行 实现业务的永续 H3C S7506E 能够在不重启设备的前提下 通过热补丁技术 在线修改软件 BUG 增 加新的业务特性 H3C S7506E 提供控制补丁单元状态切换的用户命令 使用户能够方便 的加载 激活 去激活 运行或删除补丁单元 通过热补丁技术 降低了设备需要重启的 次数 为客户提供更长的网络正常工作时间 2 2 接入层设计接入层设计 接入层是直接与用户相连的设备 使用数量较多 分布较广 所以接入层交换机应该 具备较高的性价比 并可支持千兆传输和远程管理 建议采用 H3C 公司的 S5120TP EI 全千兆交换机 上行千兆连接核心交换机上 H3C S5120TP EI 系列全千兆智能以太网交换机所有的端口提供二层线速交换能力 硬 件识别和处理各种应用业务流 所有端口都具有单独的数据包过滤和区分不同应用流的能 力 并根据不同的流进行不同的管理和控制 提供 24 48 端口 10 100 1000M 电接口 充分 满足用户对高密度 GE 接入和千兆上行及万兆预留的应用需求 节省和保护用户投资 2 3 出口区设计出口区设计 出口路由网关采用 H3C SR6602 路由器进行部署 SR6602 提供了丰富的安全功能 包 括 Firewall IPSec VPN MPLS VPN CA Secure Shell SSH 协议 2 0 入侵保护 DDoS 防御 攻击防御等 同时还提供丰富的业务和功能 2 4 网络管理建设需求网络管理建设需求 随着临沂某大楼网络的发展 其作用已经不仅是简单的互连互通 通信 计算 应用 和技术的融合 促使网络成为承载业务的平台 网络运行的安全 稳定 高效直接决定临 沂某大楼核心业务能否顺利开展 同时 网络的运营和管理也从 网络资源运营 向 信息服 务和流程服务 从 粗放的规模运营和管理 向 精确管理和精益运营 转变 这些都对临沂 某大楼网络管理和运营提出了新的挑战 我们建议临沂某大楼网络管理系统部署 H3C 公司的智能管理中心 H3C Intelligent Management Center 以下简称 H3C iMC H3C iMC 是 H3C 公司凭借多年网络管理产 品的研发经验和对网络管理的深刻理解 推出了新一代的网络管理产品 H3C iMC 以业 务管理和业务流程模型为核心 采用面向服务 SOA 的设计思想 按需装配的组件化结 构 为临沂某大楼提供网络业务 资源和用户的融合管理解决方案 帮助临沂某大楼实现 网络业务的端到端管理 通过 H3C iMC 能够灵活组织功能组件 形成直接面向临沂某大 楼需求的业务流解决方案 从根本上解决多业务融合管理的复杂性 iMC 特性与系统结构特性与系统结构 iMC 特性特性 H3C iMC 从根本上颠覆了传统网络管理软件的设计思想 将网络管理工作从繁杂的 相互独立的管理工具中解脱出来 以业务融合和业务流为主旨思想 实现用户 资源和业 务三大网络要素的融合管理 其主要特点有 面向服务的架构面向服务的架构 采用 Web Service 技术框架 通过松耦合 分布式 易扩展的开放管理平台 提升业 务融合能力 以资源虚拟化屏蔽底层设备差异 通过面向服务的接口和调度框架 实现以 业务流程为中心的端到端管理 基础资源管理基础资源管理 基于策略的全网 QoS ACL VLAN QinQ 等资源的统一部署 管理和调配 实现集 群 HGMP 管理 IPv6 设备管理 路由器 交换机 安全 语音 存储 SOHO 等公司全 线产品的网元管理以及桌面和网络资产的统一管理 为业务融合 资源调度和自动化协同 响应提供必要手段 身份与接入管理身份与接入管理 支持 LAN WLAN VPN 认证接入 实现接入业务的统一 集中管理 支持智能卡 证书 RSA 一次性密码等强认证功能 支持多种方式的端点准入控制和基于身份的网络服 务 实现用户与资源和业务的融合管理 端点准入安全管理端点准入安全管理 在身份接入基础上 支持终端安全的准入控制 实现下线 隔离 提醒 监控等多种 控制方式 支持安全状态评估 网络中安全威胁定位 安全事件感知及保护措施执行等 预防终端补丁 防病毒 ARP 攻击 异常流量 黑白软件安装和运行等因素可能带来的安 全威胁 从端点接入上保证每一个接入网络的终端的安全 从而保证网络安全 VPN 管理管理 封装不同 VPN 业务底层协议 实现对 MPLS VPN IPSec L2TP VPN SSL VPN 的 统一管理 融合端点安全 用户接入和应用分析 实现从 VPN 业务部署 用户接入到业 务监视的全流程管理 网络智能分析网络智能分析 通过故障根源分析 SLA 分析等基于规则和策略的深度分析 直观展示网络运行状态 快速定位故障源 协助优化网络结构 通过流量异常检测 网络安全事件的集中管理和基 于资源管理平台的协同响应 提高风险识别的准确度 快速响应安全威胁 安全策略中心安全策略中心 通过识别网络中的安全威胁 并安全威胁的危害程度 执行安全策略 调配资源 实 现整网安全 稳定运行 iMC 系统结构系统结构 真正实现了以用户为本 灵活分配 IT 资源 迅速响应业务目标的变化是对 IT 支撑管 理的基本要求 H3C 智能管理中心的系统结构设计正是为了达到这个基本要求为出发点 平台框架实现了基础资源的管理和统一访问 不同业务独立设计 形成可扩展的组件 按 照客户所需选择装配 最终以业务流的方式贯穿在整个网络管理和运维过程中 H3C 智能管理中心解决方案架构 智能管理的部署智能管理的部署 智能管理平台智能管理平台 iMC 智能管理平台是整个 IMC 智能管理系统的基础管理平台 IMC 的各个业务组件都 必须安装在这个公用的平台上才能使用 IMC 智能管理平台不仅为系统各业务组件的集成 提供了包括统一权限控制 SOA 框架 统一操作日志管理 统一 License 控制 分布式安 装等基本功能 而且还为用户提供了网络管理的一些基础功能 其中包括操作员管理 拓 扑管理 性能管理 告警管理及操作日志管理等 基础网络资源管理基础网络资源管理 基础网络资源管理包含对各厂家网络设备的分类和识别 能够通过自动发现和手工添 加方式增加网络设备资源 提供对网络设备资源的查找 修改 删除和批量导入和导出功 能 支持对设备访问参数的批量配置和校验 支持对设备状态和详细信息的查看 设备的 详细信息不仅包含了设备的基本信息 接口信息 性能数据和告警信息 同时还可以在增 加其他组件的情况下显示扩展后的业务信息 支持对设备的管理 去管理 接口的管理 去 管理 接口信息的显示和接口的 UP DOWN 配置 支持设备面板管理 支持设备分组功能 通过对设备资源进行分组管理 系统管理员方便的分配其他管理员的管理权限 便于职责 分离 支持设备视图管理 不同管理员可以根据自己的需要定义个性化的设备视图 从而 使管理员能够关注于关键的网络和设备 使网络管理更加清晰 基础网络拓扑管理基础网络拓扑管理 除了提供完整的 IP 拓扑外 用户可以根据实际组网情况 定义自己关注的自定义网络 拓扑 拓扑更加美观清晰 能够实时实时显示当前视图的拓扑状态 通过在拓扑上浮动显 示设备 链路的基本信息和 CPU 链路流量等性能信息 管理员可以在拓扑界面中方便的 对网络中的设备以及相关链路进行监视 拓扑上提供了常用的 Ping telnet TraceRT 打开设备 Web 网管和管理 不管理设备等常用操作和相关链接 拓扑可以作为管理员管理 网络的唯一入口 同时 在安装了其他组件的情况下 拓扑会增加相应的业务拓扑和操作 链接 以满足不同业务的需求 除了以上常用拓扑功能 iMC 网络拓扑管理还提供了二层 拓扑和邻居拓扑 能够显示接入设备上的接入情况 故障与告警管理故障与告警管理 告警管理 对网管系统的告警进行统一管理 通过告警管理可以对设备发来的告警进 行过滤 定位 确认 转发等操作 也可以为不同的告警设置提示方式 声音 视觉等 还可以针对不同的告警定义不同的操作提示以及维护参考等 性能监控性能监控 性能管理 提供了对系统所管理的各种设备性能参数的公共监视功能 比如内存利用 率 CPU 利用率 设备不可达率 设备响应时间和接口性能数据等 通过历史监控报表和 TopN 报表管理员可以快速得到网络中需要关注的设备的详细信息 通过报表的导出和打 印功能 管理员能够迅速将网络状况汇总数据上报给各级领导 为网络的决策提供有利的 支撑 系统管理系统管理 操作员管理 提供方便的管理操作员功能 不仅可以为用户设置不同的操作权限 也 可以结合设备分组和用户分组灵活进行权限分级控制 从而显著提高安全性和灵活性 操作日志管理 操作日志集中记录了包括系统管理员在内的所有操作员的操作过程 使整个系统的操作具有了可回溯性 操作日志管理可以对大量的操作日志进行多种条件的 过滤显示 并可以实现日志的自动删除 用户管理用户管理 临沂某大楼 IT 环境由 IT 基础资源 IT 业务以及 IT 使用者 人 三大要素构成 市场上 常见的用户管理功能往往缺乏与网络资源管理 业务管理的融合 导致管理手段单一 管 理力度不足 管理操作复杂 iMC 所提供的用户管理功能可解决上述问题 同时具有多业务相关的用户信息集中管 理 与网络资源管理相融合等特色 主要功能特色为 集中化用户基本信息管理 提高管理效率 与业务无关的用户基本信息的统一维护功 能 用户基本信息包括用户姓名 证件号码 用户分组等等 2 集中化用户业务信息管理 便于针对用户做统一资源部署 目前 iMC 中具有两种 与用户相关的业务 ETTH 业务 接入业务 iMC 所提供的统一化的用户管理平台 可 针对单一用户的多种业务进行信息集中管理 维护 3 用户分组管理 强化用户管理 每个分组在用户管理上都作为一个逻辑组存在 每个逻辑组在用户管理上 都可以指定整个组的用户能申请的业务 同时 每个系统中的 管理员都可以管理不同的分组 4 针对每种业务都可以具有不同的用户管理动作 在集中化用户管理的同时提供高 度的业务管理灵活性 目前系统中具有两种与用户相关的业务 ETTH 业务 接入业务 针对这两种业务 在用户管理上分别具有一系列的管理操作 比如 对于接入业务来说 具有黑名单管理 安全日志查询 接入明细查询 强制用户下线等等 5 用户管理与设备管理相融合 用户管理力度得到增强 可以通过简单的鼠标点击 即可看到接入设备所挂接的用户总数 不安全用户数 未知状态用户数等 可以对选定的 接入设备进行用户操作 比如 针对某个接入设备 将其所挂的用户全部下线处理等 可 以在在线用户列表中通过点击接入设备 直接查看当前在线用户所对应的接入设备的详细 信息 比如 对应的基本信息 告警 性能状况等 6 用户管理与拓扑管理的融合 使得用户管理操作非常简单直观 拓扑中可以清晰 的显示出接入设备 可以在拓扑上通过简单的鼠标点击 快速进行用户下线 通知等管理 操作 也可以看到在线用户数 安全用户数等安全信息 接入与准入控制接入与准入控制 接入与准入控制功能是为用户对接入业务的使用进行认证 授权控制 但是接入与准 入控制功能本身又与用户管理以及网络资源管理协同 使得业务部署及实施的方便性得到 提升 效果得到增强 该功能的主要特色为 多种接入认证方式支持 适合多种接入组网场景及应用场景 包括 802 1x PAP CHAP EAP MD5 EAP TLS PEAP 等 支持多种用户身份认证方式 满足多种方式的认证需求 包括匿名认证 用户名密码 认证 证书认证 LDAP 认证 域统一认证 多因素绑定认证 支持多种权限控制手段 强化用户接入控制管理 可为不同的用户定制不同的网络访 问权限 比如 ACL 下发 VLAN 下发 QoS 限制 同时最大在线数限制 最大闲置时长 限制 接入区域控制 限制用户 IP 地址分配策略 限制用户的接入时段 限制终端用户使 用多网卡 限制用户使用和设置代理服务器 限制接入客户端的类型和版本等 业务参数调整 使得管理员能灵活的根据组网及运营环境进行业务参数调整 管理员 可根据组网和运营环境进行功能参数设置 支持分布式部署 提高部署灵活性 支持安全策略服务器 安全代理分布式安装与配 置 接入设备配置与 ACL 管理功能的协同 使得针对接入设备的管理操作更加简单化 选 定接入设备后 可直接为此设备进行 ACL 配置 同时 在接入设备列表中 可查看其对应 的 ACL 部署信息 为接入设备提供查询设备明细信息的链接 操作简便 可以通过简单的鼠标点击即可 看到接入设备的详细信息 比如 对应的基本信息 告警 性能状况等 接入设备管理与拓扑的融合 使得设备管理更简单 管理更方便 拓扑中可以清晰的 显示出接入设备 并能查看接入设备相关信息 并可以通过很简单的鼠标点击方式 将此 接入设备设置为非接入设备 3 IP 地址规划地址规划 3 1 IP 地址规划总原则地址规划总原则 简洁性 规划应该尽量简单 当看到一个特定设备上的 IP 地址时 就应该可 以推断出它是哪一类设备 在网络上的什么位置 不需要查阅大量的文档手册 易管理性 易于网络管理员进行设备的维护 连续性 连续地址在层次结构网络中易于进行路径叠合 大大缩减路由表 提高路由算法的效率 最理想的策略是建立一个分级地址管理规划 这样可以使路由 表相对较小 可扩展性 地址分配在每一层次上都要留有余量 在网络规模扩展时能保证 地址叠合所需的连续性 规划应至少满足可以预测到的增长 如果可能的话 尽量能 够满足不可预测的增长或其他变化 灵活性 地址分配应具有灵活性 以满足多种路由策略的优化 充分利用地 址空间 3 2 IP 地址规划具体原则地址规划具体原则 1 地址分配应考虑近期和远期的发展 减少在网络发展过程中因地址重新规划而对业务 造成的影响 2 IP 地址的分配必须采用 VLSM 技术 保证 IP 地址的利用效率 3 采用 CIDR 技术 这样可以减小路由器路由表的大小 加快路由的收敛速度 也可以减 小网络中广播的路由信息大小 4 地址分配应该考虑使用的路由协议 便于路由表的会聚和控制 应尽可能连续分配 5 为不同的业务分配一段连续的 IP 地址 便于业务的区分 6 充分合理利用已申请的地址空间 提高地址的利用效率 7 所有信息服务器采用公有 IP 地址 以便于信息源的互通 3 2 1 IP 地址分配方案地址分配方案 建议采用静态分配和动态分配相结合的方式来分配 IP 地址 设备互联地址 设备 Loopback 地址等采用固定 IP 地址 各级局域网中 服务器采用固定地址 一般而言 对于开机率比较低的区域 或主机位置及人员变动相对比较频繁的区域 如办公区 开发中心等 建议采用动态地址分配 办公区的主机开机时通过 DHCP 请 求获得一个 用户的网络通信使用该地址 关机后系统回收该 IP 地址 这样既可以节 约 IP 也使得网络用户便于管理 3 2 2 设备设备 Loopback 地址的分配地址的分配 各种三层设备的 Loopback 地址的使用 在不同的方面都需要它的参与 对于内部路 由协议的正常运行 整个网络的正常运行 有着至关重要的作用 因而对于各个路由器设 备的 Loopback 的分配和管理 应当采取统一的专有地址空间 通过为所有的路由器设备 分配一个专有的地址空间 能够更为有效地进行路由器设备的路由配置和管理 以及方便 今后的故障的诊断和排除 Loopback 地址分配采用 32 位掩码的原则 3 2 3 设备间互连地址的分配设备间互连地址的分配 设备间互连的 IP 地址 从业务的相关性上 他们一般不具有全局的功能 而只是提供 完成两个路由器之间的连接 因而从这个角度上讲 这部分的地址空间的分配应当考虑以 下的方面 尽可能以分层次的方式为他们分配地址 由于链路地址空间不具有全局性 因而并不需要在全网范围内为每个链路保持精确路 由 而采取分层次的地址分配方式 能够将链路地址逐级汇总 从而使得这些地址在 各路由器的路由表中占有较少的空间 以降低对路由器的要求 并保证路由器的处理 效率 提供足够的预留空间 以满足今后新增链路的需要 同一区域 area 内的设备互联地址连续分配 每个互联段分配 1 个 30 的最小地址段 采用上面的分层次的链路地址分配结构 能够保证路由处理的高效性 而在实施的过 程中 应当考虑到在根据业务需要新增链路的时候 这种分层次的结构尽量不会被打破 那么 就需要在初期分配的时候 考虑到不远的将来可能进行的扩容 从而进行相应的预 留 3 3 网络设备命名规则网络设备命名规则 3 3 1 网络设备基本命名原则网络设备基本命名原则 为了保证标识网络设备命名的统一性 以便于管理网络设备 应该为网络中每一台设 备赋予名称标识 设备命名的基本原则为 能表示出网络设备的类型 能表示出网络设备的物理位置 能表示出网络设备所属的网络层次 相同物理位置和网络层次的网络设备由不同序号区分 能反映出该设备的业务属性和网元功能 3 3 2 网络设备具体命名原则网络设备具体命名原则 3 3 2网络设备标识方法网络设备标识方法 主路由器标识 M Main Router 路由器标识 R Router 备份路由器标识 B Backup Router 拨号访问路由器标识 A Access Router 交换机标识 S Switch 防火墙标识 F Firewall 3 3 2服务器标识方法服务器标识方法 DNS服务器 D WEB服务器 W FTP服务器 F DATABASE服务器 DB 4 路由设计路由设计 4 1 概要概要 对大型网络来说 选择一个合适的路由协议是非常重要的 不恰当的选择有时对网络 是致命的 路由协议对于网络的稳定高效运行 网络在拓扑变化时的快速收敛 网络带宽 的充分有效利用 网络在故障时的快速恢复 网络的灵活扩展都有很重要的影响 另外 路由协议对于网络上承载的业务控制的灵活性和复杂性方面也具有很重要的影响 路由协 议的功能主要就是路径选择和信息控制包的传输 路径的选择取决于链路的 metrics 而 metrics 可包括可靠性 延迟 带宽 负载 mtu 通讯费用和业务数据流向控制等 不同 的路由算法考虑部分或全部的因素 收敛时间和切换时间也是不同的 4 2 路由协议分类路由协议分类 根据不同的标准 动态路由协议可以做如下区分 1 根据作用的范围 路由协议可分为 内部网关协议 Interior Gateway Protocol 简称 IGP 在一个自治系统内部运行 常见的 IGP 协议包括 RIP OSPF 和 IS IS 外部网关协议 Exterior Gateway Protocol 简称 EGP 运行于不同自治系统之间 BGP 是目前最常用的 EGP 2 根据使用的算法 路由协议可分为 距离矢量协议 Distance Vector 包括 RIP 和 BGP 其中 BGP 也被称为路径矢量协议 Path Vector 链接状态协议 Link State 包括 OSPF 和 IS IS 以上两种算法的主要区别在于发现路由和计算路由的方法 3 根据目的地址的类型 路由协议可分成 单播路由协议 Unicast Routing Protocol 包括 RIP OSPF BGP 和 IS IS 等 组播路由协议 Multicast Routing Protocol 包括 DVMRP PIM SM PIM DM 等 不同的路由协议 包括静态路由 可能会发现不同的路由 但这些路由并不都 是最优的 事实上 在某一时刻 到某一目的地的当前路由仅能由唯一的路由协议 来决定 为了判断最优路由 各路由协议 包括静态路由 都被赋予了一个优先级 当存在多个路由信息源时 具有较高优先级的路由协议发现的路由将成为最优路由 各种路由协议及其发现路由的缺省优先级如下表所示 其中 0 表示直接连接的 路由 255 表示任何来自不可信源端的路由 数值越小表明优先级越高 表 路由协议及缺省时的路由优先级 路由协议或路由种类相应路由的优先级 DIRECT0 OSPF10 IS IS15 STATIC60 RIP100 OSPF ASE150 OSPF NSSA150 IBGP255 EBGP255 UNKNOWN255 除直连路由 DIRECT 外 各种路由的优先级都可由用户手工进行配置 另外 每条静态路由的优先级可以不相同 4 3 选择原则选择原则 选择适当的路由协议需要考虑以下因素 1 路由协议的开放性 开放性的路由协议保证了不同厂商都能对本路由协议进行支持 这不仅保证了目前网 络的互通性 而且保证了将来网络发展的扩充能力和选择空间 2 网络的拓扑结构 网络拓扑结构直接影响协议的选择 例如 RIP 这样比较简单的路由协议不支持分层次 的路由信息计算 对复杂网络的适应能力较弱 路由协议还必须支持网络拓扑的变化 在 拓扑发生变化时 无论是对网络中的路由本身 还是网络设备的管理都要使影响最小 3 网络节点数量 不同的协议对于网络规模的支持能力有所不同 需要按需求适当选择 有时还需要采 用一些特殊技术解决适应网络规模方面的扩展性问题 4 与其他网络的互连要求 通过划分成相对独立管理的网络区域 可以减少网络间的相关性 有利于网络的扩展 路由协议要能支持减少网络间的相关性 是通常划分为一个自治系统 AS 在 AS 之间 需要采用适当的区域间路由协议 必要时还要考虑路由信息安全因素和对路由交换的限制 管理 5 管理和安全上的要求 通常要求在可以满足功能需求的情况下尽可能简化管理 但有时为了实现比较完善的 管理功能或为了满足安全的需要 例如对路由的传播和选用提出一些人为的要求 就需要 路由协议对策略的支持 4 4 路由协议选择路由协议选择 实际的网络应用中 在满足需求的前提下 路由协议的选择遵从以上原则 具体实现 上要从简避繁 尽量保持简单实用 以便于维护和管理 同时减少故障发生时的修复时间 和维护成本 4 4 1 IGP 路由选择路由选择 IGP 协议主要有 OSPF ISIS RIP EIGRP 几种选择 其中 RIP 协议由于收敛时间 慢 不支持分层 扩展性差等先天缺陷除了极个别的应用场合 通常不应被考虑 EIGRP 属于 Cisco 私有协议 在开放性 扩展性方面有所限制 也不应被考虑 因此 在实际网络部署中 对于 IGP 路由协议的选择 通常采用 OSPF 或 ISIS 下面 就对 OSPF 和 ISIS 协议进行一下比较 具体部署可以根据实际情况而定 另外 对 OSPF 和 EIGRP 也进行了对比 4 4 2 OSPF 和和 ISIS 的比较的比较 相同点 相同点 IS IS 和 OSPF 是链路状态路由协议的两个最典型的代表 都采用 SPF 算法来计 算路由 由于具有快速收敛 无环路等特点 IS IS 和 OSPF 都能很好地支持大型网络 IS IS 和 OSPF 一样采用 Hello 协议来维护邻居关系 IS IS 和 OSPF 都采用分层路由的概念 都有骨干区域 为网络规划提供了比较灵 活而且实际的设计方案 为了控制链路状态数据库的规模和复杂度 IS IS 和 OSPF 在广播网络上都选举 DR 来担任数据库同步的主要角色 IS IS 和 OSPF 对路由开销的度量 metric 都采用了接口可配置的 cost 能够比较 正确地反映网络的实际情况 在支持大型网络的时候 触发更新的 Update 方式比周期性广播方式要节约大量 的协议报文所产生带宽消耗 对于边缘区域中的路由器 都可以通过区域划分或者设置区域类型来减少对路由 器资源的需求 不同点 不同点 IS IS 最初是为 ISO 的标准协议 为 CLNS 设计的 后来增加了对 IP 的支持 IS IS 协议直接在链路层上运行 报文直接封装在链路层报文中 支持 CLNS IP 等 多种协议 而 OSPF 一开始就是 IETF 为 IP 网络设计的 OSPF 报文封装在 IP 中 只支持 IP 协议 IS IS 协议中整个路由器只能全部属于一个区域 而 OSPF 按接口来 一个路由器 可以属于多个区域 OSPF 通过特殊的区域 ID Area0 区来定义骨干区 而 IS IS 是通过连续的 L2 或者 L1 L2 路由器来组成骨干区 IS IS 的采用的 Hello 协议比较简单 OSPF 比较复杂 IS IS 不支持 P 2 MP 类型的网络 对于 NBMA 网络通过设置为子接口模拟成 P2P 的方式来运行 OSPF 可以直接支持 NBMA 类型网络 OSPF 区域间是使用路径矢量算法计算路由 ISIS 使用 SPF 算法 4 4 3 OSPF 和和 ISIS 的选择的选择 选择选择 OSPF 的理由 的理由 OSPF 更加灵活 OSPF 协议是基于接口的 而 IS IS 路由器只能属于一个 Area 并且 不支持 NBMA 网络 从 MPLS 草案及现实运行来看 如果要运行 MPLS 网络的话 OSPF 经常被选用做内部 IGP 当然 IS IS 也有 但是 MPLS 草案中认为在 MPLS 环境中运行 OSPF 更合适 从目前很多厂商的设备来看 存在这样一个问题 不少厂商的中低端路由器及三层交 换机不支持 IS IS 从这个角度讲 OSPF 比 IS IS 有优势 所有的主流路由器及三层交换机 都支持 OSPF QoSQoS 设计设计 概述概述 IP QoS Quality of Service 是指 IP 网络的一种服务质量能力 即在跨越多种底层 网络技术 FR ATM Ethernet SDH 等 的 IP 网络上 为特定的业务提供其所需要的服 务 衡量 IP QoS 的技术指标包括 带宽 吞吐量 指网络的两个节点之间特定应用业务流的平均速率 时延 指数据包在网络的两个节点之间传送的平均往返时间 抖动 指时延的变化 丢包率 指在网络传输过程中丢失报文的百分比 用来衡量网络正确转发用户数 据的能力 可用性 指网络可以为用户提供服务的时间的百分比 不同的业务对 IP QoS 技术指标的要求是不同的 通过有效地实施各项 IP QoS 技术 使得 网络管理人员能够有效地控制网络资源及其使用 能够在单一 IP 网络平台上更好的融合语 音 视频及数据等多种业务 IPIP QoSQoS 服务模型选择服务模型选择 随着人们认识问题的逐步深入 IP QoS 技术的发展经历了一个漫长 曲折的过程 如下图 所示 No state Best Effort Aggregated state Per flow state Bandwidth Optimization e2e SLAs DiffServ IntServ RSVP IntServ DiffServ Traffic Engineering QOS 的演进 BestBest EffortEffort 模型模型 Best Effort 是一个单一的服务模型 也是最简单的服务模型 应用程序可以在任何时候 发出任意数量的报文而且不需要事先获得批准 也不需要通知网络 对 Best Effort 服务 网络尽最大的可能性来发送报文 但对时延 可靠性等性能不提供任何保证 Best Effort 服务是现在 Internet 的缺省服务模型 通过先入先出 FIFO 队列来实现 IntServIntServ 模型模型 IntServ 的实现目前主要是通过 RSVP 信令协议 IntServ 模式要求在 IP 网络中为每个 Flow 提供独立的 QoS 包括时延 丢包等参数 由于 IP 网络中的 Flow 数量巨大 路由器 需要为每个 Flow 维护一个状态表 就需要耗费极大的 CPU 性能和内存 以目前路由器的性 能来讲是不现实的 而且随着 IP 网络流量和用户的增加 路由器需要处理的 Flow 数量将 随之增加 也会带来扩展性问题 可以说基于 RSVP 的 IntServ 解决方案是在 IP QoS 方面 一次失败的尝试 进而出现了 DiffServ 形式的 粗粒度 模式 DiffServDiffServ 模型模型 区分服务 DiffServ 是 IETF 工作组为了克服 InterServ 的可扩展性差在 1998 年提出的 另一个服务模型 目的是制定一个可扩展性相对较强的方法来保证 IP 的服务质量 DiffServ 将流量分成少量等级并按每个等级分配网络资源 从而解决了 QoS 可扩展性问题 为了避免采用信令协议 它以 6 位 DiffServ 差分服务标记字段 Different Service Code Point 简称 DSCP 字段 直接在数据包上标记等级 DSCP 决定网络中特定节点上数据包的 QoS 行为 称之为逐跳行为 PHB 按照数据包的调 度和丢弃优先级来表示 从实施的角度看 PHB 可看成是用于转发的数据包队列 当队列 超出限制条件时的丢弃可能性 分配给每个队列的资源 缓冲和带宽 以及为一个队列服 务的频率 IETF 定义了 14 个标准的 PHB 尽力而为 BE 不需要进行特殊处理的流量 快速转发 EF 延迟最小 丢包率低的流量 从实际的角度看 这意味着用于 EF 流量的队列 其数据包到达阿速率低于服务速率 因 此不可能由于拥塞造成抖动 延迟和丢包 话音和视频流是典型的映射到 EF 的流量 它们 的传输速率恒定 并要求最低的延迟和丢包率 12 个有保证转发 AF 的 PHB 每个 PHB 按队列号和丢弃优先级定义 IETF 建议使用四个 不同队列 每个队列应用三个优先级 总共 12 个不同的 AF PHB AF PHB 的命名惯例是 Afxy x 指队列号 y 指丢弃优先级的级别 因此 AF1y 的所有数据包都将放置在同一个 转发队列中 确保当来自单一应用的数据包只在丢弃优先级方面存在差别时 不会乱序 AF PHB 适用于需要速率保证 但不需要延迟或抖动限制的流量 虽然 IETF 为每个标准的 PHB 都定义了推荐的 DSCP 值 但设备厂家允许网络运营商重新定 义 DSCP 与 PHB 之间的映射 并定义非标准的 PHB 需要注意的重要事情是 一旦为数据包 标记了特殊的 DSCP 值 就定义了其通过的每一跳的 QoS 处理 因此 为了确保一致的 QoS 行为 必须维护一致的 DSCP to PHB 映射 这种要求产生了 DiffServ 域的概念 它是一 系列具备 DiffServ 能力的节点 其特征如下 1 一套通用定义的 PHB 2 相同的 DSCP to PHB 映射 和 3 统一的业务提供策略 DiffServ 域通常运行在单一管理权限下 在 DiffServ 域的边缘 流量被标记了 DSCP 值 以形成所需的逐跳行为和最终所需的 QoS DiffServ 模型只包含有限数量的业务级别 状态信息的数量少 实现简单 是一种可扩展 的 QoS 解决方案 但是需要注意的问题 如果流量的传输路径不能提供足够的资源 它将 无法保证 QoS 因此 DiffServ 模型常常应用于轻载的网络环境下 DiffServ 模型可应用于 IP 网络及 MPLS 网络 MPLS 与 DiffServ 的结合称为 MPLS DiffServ MPLSMPLS DiffServDiffServ DiffServ 的基本机制是在网络边缘 根据业务的服务质量要求将该业务映射到一定的业务 类别中 利用 IP 分组中的 DS 字段 由 TOS 域而来 唯一标记该类业务 然后 骨干网络 中的各节点根据该字段对各种业务采取预先设定的服务策略 保证相应的服务质量 DiffServ 的这种对服务质量的分类和标签机制和 MPLS 的标签分配十分相似 事实上 基 于 MPLS 的 DiffServ 就是通过将 DS 的分配与 MPLS 的标签分配过程结合来实现的 MPLS DiffServ 在 RFC3270 定义 要求通过 MPLS 包头中的 EXP 值携带 DiffServ PHB 标签交换 路由器 LSR 在做出转发决策时要考虑 MPLS EXP 值 但是 DiffServ PHB 最多可以支持 64 个编码值 如何承载在只有 8 个不同值的 EXP 字段中 MPLS DiffServ 提供两种解决方 案 E LSP 与 L LSP 方案 可参考下图 L LSP 和 E LSP 方案 E LSP 路径 即由 EXP 位决定 PHB 的 LSP 该方法适用于支持少于 8 个 PHB 的网络 特定的 DSCP 直接映射为特定的 EXP 标识到特定的 PHB 在转发过程中 LSP 决定转发路径 但是 EXP 决定在每一跳 LSR 上的调度和丢弃优先级 因此同一条 LSP 可以承载 8 类不同 PHB 的 流 通过 MPLS 头部的 EXP 域来进行区分 EXP 可以直接从 IP 报文的 DSCP 直接映射得到 也可以在转发的过程中重新更改 这种方法不需要信令协议转 PHB 信息 而且标签使用率 较高 状态易于维护 L LSP 路径 即由标签和 EXP 共同决定 PHB 的 LSP 该方法适用于支持任意数量 PHB 的网络 在转发过程中 标签不仅用于决定转发路径而且决定在 LSR 上的调度行为 而 EXP 位则用 于决定数据包的丢弃优先级 由于通过标签来区分业务流的类型 因此需要为不同的流建 立不同的 LSP 这种方法需要使用更多的标签 保存更多的状态 目前业界主流厂家 MPLS DiffServ 方案多采用 E LSP 方案 而 L LSP 更多的用于传统 ATM Frame Relay 网络和 DS Aware TE 中 同 IP DiffServ 类似 如果流量的传输路径不 能提供足够的资源 它将无法保证 QoS 因此 MPLS DiffServ 模型也常常应用于轻载的网 络环境下 MPLSMPLS TETE 流量工程用于实现性能目标 如网络资源优化以及将流量放置在特殊链路上等等 从实际 角度看 这意味着要从源到目的地来计算路径 路径要受一定的限制 并沿这条路径转发 流量 沿此类路径转发流量不可能通过 IP 实现 因为 IP 转发决策是在每一跳中独立决定 的 而且只基于数据包的 IP 目的地址 MPLS TE 可沿任意路径轻松实现流量转发 MPLS TE 的显式路由功能允许 LSP 的发送方进行 路径计算 沿路径建立 MPLS 转发 LSP 并将数据包映射到这个 LSP 中 数据包一旦映射到 LSP 中 便可基于标签对其进行转发 任何中间跳将不会基于数据包的 IP 目的地来做出独 立的转发决策 当网络中存在多条并行或可选的路径时 MPLS TE 就可以不按照最短路径 来设计 LSP 从而达到资源的有效利用 需要注意的是 MPLS TE 是将所有 DiffServ 服务类别汇聚在一个级别上进行操作 换句话 讲 MPLS TE 不能区分一个 LSP 内不同业务服务等级 它不可能基于每个服务类别提供带 宽保证 因此 IETF 开发 DS Aware TE 来解决 DiffServ 模型以及 TE 所不能解决的一些问题 DS AwareDS Aware TETE Diff Serv 作为一种 QoS 解决方案 其主要实现机制是对流量按照服务类型 Class of Service 进行划分 基于服务类型提供不同的 QoS 保证 而 MPLS TE 作为流量工程解决方案 主要用于对网络资源的使用进行优化 Diff Serv Aware TE 即 DS TE 结合上述两者的优势 能够基于按服务类型划分的流量进行 网络资源优化 即 对不同的服务类型进行不同的带宽约束 概括来说 DS TE 将不同服务类型的流量与 LSP 进行映射 使流量经过的路径符合对其服 务类型的流量工程约束条件 MPLS DS TE 解决了以下几个方面的 QOS 问题 如何为不同服务类型的流提供不同的带宽并合理分配 QOS 队列 如何为不同服务类型的流建立所需带宽的路径 如何保证链路带宽的有效利用 如何保证不同服务类型的流在每一跳节点上的 PHB 如何限制 LSP 转发的流量超过分配给它的资源限制 总结总结 通过上面的分析可以看出 在众多的 QoS 技术中 DiffServ 及 MPLS TE MPLS DiffServ Aware TE 将成为主流的 QoS 技术 同时也应看到 IP QoS 技术即使发展到今天 也不存在 这样一种技术可以提供类似于 PSTN 网络的 全网范围的 端到端的 基于流的 QoS 原因 是多方面的 涉及到 IP 网络业务 技术及设备等多方面的因素 因此解决现有网络的 QoS 问题 需要详细分析网上各类业务的流量模型 业务模型 详细分析现有网络的各个环节 找出影响业务 QoS 的关键因素所在 充分运用各