XX政法系统网络建设工程技术建议书.doc

XX政法公共平台网络建设工程 技术建议书 华为技术有限公司 2 1概述概述 4 1 1设计思想 4 1 2设计原则 5 1 3设计规范 6 2网络方案总体设计网络方案总体设计 7 2 1方案设计优势 9 2 2网络设计 10 2 2 1网络拓扑结构设计 10 2 2 2核心设备部署 11 2 2 3省级机构设备部署 12 2 2 4地市局设备部署 12 3网络可靠冗余性设计网络可靠冗余性设计 12 3 1组网结构可靠冗余性设计 12 3 2设备级可靠冗余性设计 13 4IP 地址规划及设备命名地址规划及设备命名 16 4 1IP 地址规划原则 16 4 2IP 地址编制方法 16 4 3IP 地址编制规则 17 4 4IP 地址分配方案 18 5路由规划部署方案路由规划部署方案 18 5 1路由方案选择原则 18 5 2路由协议的选择 19 5 2 1内部网关路由协议 IGP 20 5 2 2外部网关路由协议 BGP 25 6QOS 设计设计 25 6 1QOS 体系结构的选择 26 6 2QOS 的实现机制 27 6 3QOS 部署 32 7网络安全设计网络安全设计 33 7 1网络安全概述 33 7 2网络安全设计 34 7 3网络设备的安全技术部署 35 7 3 1系统安全技术部署 35 7 3 2骨干网访问控制部署 35 7 3 3路由器安全技术优势介绍 35 8MPLS VPN 部署建议部署建议 36 8 1MPLS VPN 设计 36 8 2MPLS VPN 部署 39 8 3政法业务网络络中的 VPN 规划 40 3 8 3 2VPN 站点的规划 41 8 3 3全局 RD 值规划 41 8 3 4全局 RT 值规划 42 8 3 5PE CE 的路由设计 42 8 4政法业务 MPLS QOS 规划 42 9相关网络产品介绍相关网络产品介绍 43 9 1NE80E 核心路由器 43 9 2NE40E 汇聚路由器 45 9 3NE 40E X3 路由器介绍 48 9 4NE20E 8 汇聚路由器 51 4 1 概述概述 信息化是我国产业优化升级和实现工业化 现代化的关键环节 积极运用现代化科技 手段 特别是先进信息技术 加快政府管理信息化进程 建立高效的电子政府 是适应国 民经济和社会信息化发展的迫切要求 本方案设计针对 XX 政法公共平台网络工程建设现状进行综合分析 针对 XX 政法公共 平台网络带宽低 可靠性不高 安全防护薄弱 可管理性差的现状 进行技术改造 最终 为 XX 政法公共平台网络工程构建高效 安全 可靠的网络运行环境 本次 XX 政法公共平台网络建设的总体目标是 一 建立高速 高效的网络平台 满足大数据量传输和快速业务实现的需求 二 建立高可靠性的网络平台 保证业务实现的不间断和快速故障恢复 三 建立高安全的网络平台 保证业务数据和管理系统等多层次的安全保障 四 建立易维护的网络管理平台 实现对设备和业务的全方位管理 五 建立易扩展的网络平台 为全省政法系统综合网络提供持续发展保障 六 建立面向多业务的网络平台 可方便实现目前和今后多业务的方便部署 七 建立规范化 标准化的网络平台 实现不同厂家设备的无缝互联 1 1设计思想设计思想 XX 政法公共平台网络建设项目的总体设计思想是建设一个集各项核心生产业务 语音 视频会议 行政办公 决策支持以及外部接入为一体的 具有较大容量高速传输能力的 有可靠稳定服务质量保证的信息化综合网络平台 使得 XX 政法系统能够基于这个平台 实 现省局 地市局 县 区 局之间安全高速的数据共享 尽可能地简化办公流程 提高办 公效率 并为今后新的业务发展 迅速推出相应的新业务打好良好的基础 1 利用设备 网络可靠冗余性设计 路由协议 快速重路由 VRRP MSTP 等协议冗余 性设计部署 实现网络平台的高可靠性 2 利用设备自身安全设置 分层分区访问控制 实现网络平台的高安全性 3 利用宽带 IP 技术 实现网络对数据及语音 视频会议 监控等多媒体业务的良好 5 支持 利用 QOS 技术实现针对不同应用提供不同的服务质量 实现网络平台的高可用性 4 利用集中网络管理平台实现全网设备统一管理 通过流量分析系统实现全网业务流 的高可见性管理 实现网络平台的高可管理性 1 2设计原则设计原则 结合 XX 政法的实际应用和发展要求 在进行 XX 政法公共平台网络建设项目方案设计 时 系统总体设计应遵循原则 实用性原则 实用性原则 网络建设将以满足现行需求为基础 在节省投资的同时 充分考虑 发展的需要来确定系统规模 安全性原则 安全性原则 XX 政法公共平台服务于全省政法系统办公需要 对安全级别要求很 高 系统应能提供网络层的安全手段配合整体系统的安全建设 防止系统外部成 员的非法侵入以及操作人员的越级操作 保护网络建设者的合法利益 可靠性原则 可靠性原则 系统设计能有效的避免单点失败 在设备的选择和关键设备的互联 时 应提供充分的冗余备份 一方面最大限度地减少故障的可能性 另一方面要 保证网络能在最短时间内修复 成熟和先进性原则 成熟和先进性原则 XX 政法公共平台网络系统结构设计 系统配置 系统管理方 式等方面应采用国际上先进的同时又是成熟 实用的技术 高可用性原则 高可用性原则 具有较高的可靠性和可用性前提下 保证征管业务系统的正常运 行 网络设备及设计具备在线故障恢复能力 关键设备 线路能做到实时备份和 自动故障切换 网络系统具有强大的容错功能以确保各种应用的正常运行 在网 络设计上采用网络级备份或线路及设备的冗余配置 没有单故障点 线路之间相 关系数最小 规范性原则 规范性原则 系统设计所采用的技术和设备应符合国际标准 国家标准和业界标 准 为系统的扩展升级 与其他系统的互联提供良好的基础 开放性和标准化原则 开放性和标准化原则 在设计时 要求提供开放性好 标准化程度高的技术方案 设备的各种接口满足开放和标准化原则 可扩充和扩展化原则 可扩充和扩展化原则 所有系统设备不但满足当前需要 并在扩充模块后满足可 预见将来需求 如带宽和设备的扩展 应用的扩展和办公地点的扩展等 保证建 设完成后的系统在向新的技术升级时 能保护现有的投资 6 可管理性原则 可管理性原则 整个系统的设备应易于管理 易于维护 易学 易用 便于进行 系统配置 在设备 安全性 数据流量 性能等方面很好的监视和控制 远程管 理和故障诊断 1 3设计规范设计规范 本次XX政法公共平台网络项目的网络设计完全符合国家网络建设的相关标准和规范 1 网络标准与规范网络标准与规范 RFC 1661 The Point to Point Protocol PPP RFC 1990 The PPP Multilink Protocol MP RFC 1994 PPP Challenge Handshake Authentication Protocol CHAP RFC791 Internet Protocol IP RFC792 Internet Control Message Protocol ICMP RFC793 TRANSMISSION CONTROL PROTOCOL TCP RFC768 User Datagram Protocol UDP RFC 826 An Ethernet Address Resolution Protocol ARP RFC2328 OSPF Version 2 RFC1793 Extending OSPF to Support Demand Circuits RFC1771 A Border Gateway Protocol 4 BGP 4 RFC1965 Autonomous System Confederations for BGP RFC1966 BGP Route Reflection RFC1997 BGP Community Attribute RFC2439 BGP Route Flap Damping RFC2138 Remote Authentication Dial In User Service RADIUS RFC2139 RADIUS Accounting RFC2784 Generic Roouting Encapsulation RFC2401 Security Architechure for the Internet Protocol RFC1157 Simple Network Management Protocol SNMP RFC2474 DS Field in the IPv4 and IPv6 Headers RFC2475 An Architecture for Differentiated Service 7 RFC2615 POS RFC2547 MPLS VPN IEEE 802 3u 100Base规范 IEEE 802 3z 1000Base X GBIC 规范 IEEE 802 3ae 10G 规范 IEEE 802 1Q 1P Virtual Bridged Local Area Networks IEEE 802 3ad Link Aggregation IEEE 802 17 RPR 2 国家安全标准与参考规范国家安全标准与参考规范 GB T18336 2001 GB T18019 1999 GB T18020 1999 UL 1950 EN 41003 AS NZS 3260 AS NZS 3548 Class A CSA Class A FCC Class A EN 60555 2 VCCI ClassII 抗干扰性 IEC 1000 4 2 ESO IEC 1000 4 3 辐射敏感性 IEC 1000 4 4 电快速瞬变 IEC 1000 4 5 电源 IEC 1000 3 2 谐波 2 网络方案网络方案总体设计总体设计 XX政法公共平台网络 金盾网一期 现状如下 8 核心节点部署两台 NE80 路由器进行备份 接入地市的 NE40 以 155M 链路进行互联 省检查院及法院核心部署一台 NE40 以 GE 上连至核心 成都业务量较大 以 GE 上链核心 同时 省核心还与公安一级网进行互联 随着 XX 政法系统的信息化进程 目前的金盾一期网络已经无法满足业务发展 主要存 在一下问题 1 带宽不足 目前大部分地市接入仅为 155M 链路 随着语音 视频等业务的发展 原有带宽的局限性逐步体现 考虑到要构建六大业务系统的同意平台 现有的 155M 带宽明显不足 2 可靠性问题 连接核心节点均为单链路上行 存在安全隐患 一旦链路出现故障 整个地市的业务将陷入瘫痪 同时地市节点在网络拓扑中均为单节点 无任何冗 余备份 3 QOS 保障不足 金盾一期所使用的嵌套 VPN 技术很好地解决了公检法三个单位 之间的有效隔离 但针对各自单位内部的视频会议 IP 语音 监控等业务无法进 一步区分 同时无法根据几种业务的特征提供定制化精细 QOS 无法灵活地根据 新增或变动业务提供最低带宽保障和 QOS 管理 针对上述问题 XX政法公共平台网络建设项目总体设计应包含网络可靠冗余性设计 路由协议规划 QOS设计 安全设计 网络管理系统设计 同时还包含后续可能进行扩展 9 的IPV6和MPLS VPN业务部署的设计 整体采用分层 模块化的设计思想 2 1方案设计优势方案设计优势 1 网络拓扑灵活扩展网络拓扑灵活扩展 采用星树型 分层结构设计 网络层次清晰 达到骨干与接入分离 广域与局域分离 的建设效果 利于全省大集中的建设 网络扩展能力 灵活性强 技术先进 适用 技术先进 适用 此次建设选用国际标准化 开放的技术协议 兼顾用户自身技术运用状况 采用适用 的动态路由 定制化QOS等技术实施 配合先进成熟技术包括快速收敛 IGP快速收敛 快速检测 BFD 等技术部署 使得网络更加智能 高效 并具备良好的自愈能力 为XX 政法网络的核心业务不间断转发提供技术保证 2 高速平台具备高扩展能力 高速平台具备高扩展能力 XX 省政法信息传输网将依托运营商的骨干传输网实现省级政法部门和市 州 政法 部门的业务传送 各市 州 政法委 法院 检察院 公安 国家安全 司法的带宽需求 分别如下表所示 业务 部门政法委公安检察院法院安全司法 数据需求 64M155M64M64M155M64M 视频需求 8M8M8M8M8M8M 各市 州 政法部门带宽需求总和为 622M 省政法核心至省政法各部门的带宽总和如 下表所示 业务 部门政法委公安检察院法院安全司法 部门带宽总合 1512M3423M1512M1512M3423M1512M 为满足带宽需求 省到地市的广域网线路采用设备具备高带宽扩展能力 省核心路由 器采用具备十兆 百兆 千兆的扩展能力 地市节点采用设备具备百兆 千兆的扩展能力 为整体XX政法系统的高速网络平台提供强大扩展能力 具备良好使用性价比 3 可靠性技术保证 可靠性技术保证 XX政法系统用户流量近年增长迅速 需要具备7 24的网络支撑能力 此次改造充分考 虑到这一点 从设备选型 技术部署等方面均做了充分准备 如设备选型 所有节点均采 10 用同档次设备 省级核心设备具备路由引擎冗余 交换网冗余 单板热插拔 全分布式的 硬件体系架构 达到电信级水准 4 管理全面高效 管理全面高效 此次网络改造对于网络管理提升到了一个全新层次 网络管理任务关注到了基本网络 拓扑 设备管理 可以统一进行ACL Manger MPLS VPN Manger等集中部署 将网络 管理的任务进行了全面提升和丰富 为XX政法网管人员提供全面的可参考管理的信息 5 建设和维护成本合理性建设和维护成本合理性 从建设和维护成本上来分析 网络分层次建设 不同层次的带宽选择可以分别考虑 根据流量需求 骨干网采用比较高的带宽 较高档次设备 而接入节点采用相对低一些的 带宽 较低档次设备 可以极大提高网络建设成本的合理性 网络的可实施性 同时又增 加了带宽分配的合理性 避免带宽资源的浪费 节约了建设和维护成本 2 2网络设计网络设计 2 2 1 网络拓扑结构网络拓扑结构设计设计 XX政法公共平台网络由个2个省中心节点 20个地市局节点及公安 检察院 法院 政法委 安全 司法六大省级系统组成 根据政法系统的上下级的隶属关系及大集中后的 业务模式 政法骨干网的业务流向以省局 地市局 省局 区县局所 地市局 区县局所这样的纵向流为主 根据业务走向 最适合的网络模型是星型组网 采用层次化 星型网络拓扑结构建设XX政法骨干网络具有以下特点 1 符合大网建设的要求 分层的模块化设计使得网络成长更加方便 升级的费用和复杂度限制在整个网络的小 范围内 当局部网络环境发生变化时不影响其它无关的层次 便于发现和隔离故障 有助 于故障点的识别 2 可靠性高 可以保证在任何一个链路出现故障时 都不会中断全局通信 因此 网络具有很高的 可靠性 3 建设和维护成本合理 从建设和维护成本上来分析 网络分层次建设 不同层次的带宽选择可以分别考虑 11 根据流量需求 主干层采用比较高的带宽 而接入层采用相对低一些的带宽 可以极大提 高网络主干层的性能 网络的可实施性 同时又增加了带宽分配的合理性 避免带宽资源 的浪费 节约了建设和维护成本 4 路由效率高 模块化 层次化拓扑结构便于路由协议分层设计 减少了路由选择协议在网络链路上 的开销 以及路由器的处理时间 这样 提高了路由效率 XX政法网络拓扑图如下 NE80E 政法网核心 政法委公安厅检查院法院司法厅安全厅 NE80E 政法网核心 四四川川政政法法公公共共平平台台网网络络建建设设方方案案 省级机构 地市局点 政法委公安厅 检查院 法院 司法厅 安全厅 政法委公安厅 检查院 法院 司法厅 安全厅 PP PPPP PE PE PE NE40E NE40E NE40 4 PEPEPEPEPE NE40E X3 NE40E X3 NE40 4 2 2 2 核心设备部署核心设备部署 核心设备负责的MPLS VPN的汇聚流量转发 地市政法公共平台的接入 是XX政法网 络平台的核心骨干 既是纵向网络的传输平台 也是横向网络的互连平台 核心节点要对 政法平台网络中的各种业务集中处理 要求具有高性能的路由处理和QoS处理能力 建议 在核心节点部署华为公司的NE80E两台 作为负责整网数据转发 在MPLS部署上 NE80E作为P设备 构建LSP标签转发路径 执行MPLS高速转发 核心设备以GE链路分 别连接省级机构及地市核心 提升网络带宽 12 2 2 3 省级机构省级机构设备部署设备部署 省级机构采用 NE40E X3 作为 P 设备 分别接入省级公 检 法 司法 安全 政法 六大系统 NE40E X3 基于分布式的硬件转发和无阻塞交换技术 具备电信级可靠性 线 速转发性能 完善的 QoS 机制 丰富的业务处理能力 优异的扩展能力 尤其是 NE40 X3E 在具备核心路由器强大 IP 业务处理能力的同时 融合了三层以太交换能力 具有丰 富的 IP 边缘业务特性 包括以太网交换处理 PE 隧道和流队列等 可实现 IPv4 向 IPv6 的平滑过渡 承载 IP 运营级业务 是 IP 骨干网和 IP 城域网向宽带化 安全化 业务化 智能化发展的重要源动力 2 2 4 地市局地市局设备部署设备部署 地市建设2台NE40E 作为P设备 地市公 检 法 司法 安全 政法六大系统分别 建设NE20E进行接入 NE20E作为PE设备 负责各部门网络接入 提供各部门纵向VPN 子接口 横向VPN子接口等 实现纵向 横向VPN隔离和互访 3 网络可靠冗余性设计网络可靠冗余性设计 XX政法网各业务系统的安全运行 对XX政法网络系统的可靠性提出了很高的要求 特别随着政法系统各部门的信息化 数字化办公的逐步深入开展 可以说一旦网络 服务器 等中断 将会使整个办公陷于瘫痪 引起严重的后果 因此在网络的设计实施中必须对网 络的可靠性进行详尽的考虑和设计 网络系统的可靠性由两个大部分组成 即承载网络的 可靠性和应用系统的可靠性 应用系统的可靠性主要由服务器 存储设备 应用程序 数 据库等的可靠性构成 承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可 靠性 下面对本次XX政法承载网络的可靠性设计进行说明 3 1组网结构可靠冗余性设计组网结构可靠冗余性设计 骨干网络采用星形架构设计 通过路由协议等技术配合实现广域传输的可靠性 13 3 2设备级可靠冗余性设计设备级可靠冗余性设计 网络核心节点设备的可靠是确保整个网络的有效运转的关键所在 要保证XX政法网络 平台的可靠性 必须要选用具备电信级可靠性的网络设备进行组网 才能使网络具有自动 恢复能力 降低人工维护工作 达到电信级的可靠运行 网络关键设备必须具有电信级可靠性 网络中的关键设备 如核心路由器等 应该具备电信级可靠性 可靠性指标必须达到 99 999 网络核心设备采用全分布式体系结构 路由与转发分离 所有关键器件 如主控板 电源等都采用冗余设计 业务模块支持热插拔 网络核心设备支持不间断转发 主控板热备份 主备倒换过程不影响业务转发 不丢包 网络核心设备支持软件在线升级 升级过程中业务不中断 网络核心设备支持软件热补丁 打补丁过程中主控板和接口板都不需要重启动 业务不中断 下面对备份技术 补丁技术及不简单转发技术进行介绍 1 备份技术 备份技术 对高可靠性的支持必须是完备的 系统的 既要对硬件部件 如电源 主控板 交换网 及存储设备等 的备份 也需要对数据和系统的中间状态信息备份 硬件的备份技术是由硬件逻辑或者底层软件控制的 系统需要实时检测硬件的状态 如果发现异常 则启动倒换过程 将备用硬件升级为主用 而原主用部件相应的转换为备 用 同时尝试对硬件部件复位 并给系统发出告警 对数据和系统状态的备份也需要相应的硬件配合 通过部件冗余备份实现来增强设备 的可靠性 如对路由器的主控板进行冗余备份 备用板与主用板之间并不进行运行状态和 与运行数据的同步 路由器启动时 主用板和备用板都要进行程序加载 并且开始相关模 块的初始化 主用板正常执行启动过程 开始软件运行 备用板并不完成所有的初始化 包括配置文件的执行 而是在完成之前的最后一步暂时阻塞 保持等待运行的状态 一 旦主用板出现故障 备用板重新启动所有的业务板并完成最后的初始化 接替主用板工作 这种备份方式称为冷备份 14 冷备份节省了加载以及启动的时间 备用板配置恢复时间 减少了故障恢复时间 从 而增加系统可靠性 不过在这种备份方式下 由于主备之间不进行任何数据的备份 需要 进行数据的搜集或恢复处理 需要花费一定的时间 一些协议连接需要重新协商处理 如 路由协议建立邻居 路由聚合需要花费一定的时间 可能会导致业务板的重新启动 需要 花费一定的时间 所有这些 都可能导致业务的短时间中断 但是 即使是瞬间的网络中 断 也可能给用户造成巨大的损失 对一些政法关键部门的业务用户尤其如此 为了将网络中断时间减少至最短时间 甚至做到业务不中断 需要对系统运行时的动 态数据或进程状态进行备份 这时备用板处于一个特殊的运行态 只接收和储存由主用板 发送来的数据和状态 当主用板发生故障时 系统平滑的切换到备用板 切换过程对网络 用户透明 业务不会因为网络的切换而中断 我们称这种备份方式为热备份 当系统的备用板启动之后 主用板和备用板之间的状态差异可以非常大 这时需要将 主用系统的数据批量的备份到备用板上 这个过程就是批量备份 当批量备份结束后 随 着系统的运行 主用系统的数据会发生变化 这些变化需要定时的备份到备用系统中 这 个过程称作定时备份 一旦主用系统出现故障 备用系统和主用系统的角色需要交换 将 备用系统升格为主用系统的过程称作主备倒换 备用系统升级为主用系统后 一些状态信 息没有从原主用系统得到 或数据失效 新的主用系统需要与接口板对硬件状态 链路层 状态和配置数据上确认这些数据 这个确认过程是数据平滑 热备份保证主备系统板之间的数据和状态始终一致 因而 业务板也感觉不到系统板 发生倒换 再加上协议状态的一致 因此可以保证业务不会丢失 2 补丁技术 补丁技术 补丁技术主要目的是修正已经发现并解决的 BUG 防止相同的问题在不同的网络上发 生 在两种补丁技术中 冷补丁的软件升级技术是传统数据通信产品的主要方式 热补丁 技术则是现有电信网络设备的常用方式 冷补丁技术能够不中断业务的转发 但对设备的 正常运行有一定影响 热补丁的执行过程中业务处理流程可以正常进行 对设备没有任何 影响 设备的高可靠性从硬件 软件 保护机制等几个方面体现 冷补丁技术的主要原理是使用更新的软件版本替换有问题的版本 在这个过程中 如 果是在无备份的机制下 会中断转发业务 在有备份板的情况下 打补丁操作需要在备板 中进行 通过手动倒换操作 能实现无业务损失的升级工作 但在接口处理板上的补丁操 作会影响业务的正常运行 15 热补丁技术需要有操作系统和相应的编译工具的支持 它的原理是将所需要升级的那 部分代码编译后形成一个补丁文件 在打补丁过程中 将这个补丁文件加载到系统的补丁 区域 并修改原有软件的 Bug 区域 将新的特性跳转到补丁区域执行 整个过程不需要中 断业务 可以在主用板执行 因此业务没有丝毫损失 另外热补丁技术并没有修改原有软 件 因此在需要时可以回退 这也为补丁的更新提供了更便利的条件 XX 政法网络中所采用的地市汇聚路由器设备具有强大的设备级可靠性保证 1 采用分布式体系结构 采用分布式体系结构 在地市节点的高性能路由器采用分布式体系结构 与集中式体系设备相比较 分布式 体系设备除性能可以通过插入更多的接口处理板提高整体性能外 更为关键的是将管理 路由转发 接口处理等功能分配在不同的部件上 协同工作 分布式体系可以分散故障风 险 隔离故障 提供冗余配置 提高系统的自动恢复能力 如管理部件故障 只需要更换 这部分板件 不影响其他功能 2 关键部件冗余 关键部件冗余 采用分布式体系下 对设备的关键部件 如主控管理单元 交换转发单元等 进行冗 余构造配置 保证系统在工作中不会全部失效 3 实时热备份机制 实时热备份机制 在系统软件及硬件的支持下 关键部件在发生故障能自动启动备份系统 而且主备之 间的切换要能够实时热倒换 即运行中即使发生设备故障切换也不会对网络业务造成影响 4 热插拔特性 热插拔特性 任意单板均支持热插拔特性 保证系统出现故障需要维护 或系统需要升级扩展时 不需要停机处理 保证网络的 7 24 小时不间断运行 5 冗余电源支持 冗余电源支持 提供冗余电源负载分担及备份供电 保障系统具有可靠的能量源 6 散热系统 散热系统 网络设备的散热系统使设备能够长时间稳定运行而不至因为系统升温过高出现故障 冗余风扇等散热装置可以增加设备的运行时间及减少故障发生 16 4 IP 地址规划地址规划及设备命名及设备命名 4 1IP 地址规划原则地址规划原则 XX 政法广域网是基于传输控制 互联协议 TCP IP 结构的互联网络 其 IP 地址的 编制是网络建设的重要内容 它与网络的整体结构 技术体制 连接方式相关 是实现全 网互联互通的基础 必须实行统一规划 统一分配 分级编制 分级管理 IP 地址的规划需要遵循以下原则 1 唯一性原则 唯一性是 IP 地址在 TCP IP 协议中最基本的要求 是 IP 地址的基本特征和 IP 地址编 制的重要依据 网络中每一网络所使用的 IP 地址的网络地址字段必须是唯一的 在同一网 络中所使用的 IP 地址中包含的主机地址字段也必须是唯一的 这是实现 IP 网络互联互通 的基本条件 2 连续性原则 在层次化结构的网络中为各个节点划分连续的 IP 地址区间 便于实现路径叠合 Route Summarization 等优化 IP 地址的分配技术 简化路由表数据 提高路由算法的 计算效率和动态路由的快速收敛 能有效利用地址空间 3 扩展性原则 IP 地址编制要兼顾网络规模扩展的需求 为各个节点预留足够的 IP 地址扩展区间时 应考虑对网络在用地址的继承性 满足路由协议的要求 实现 IP 地址编用的平滑连接等 这是保证网络扩展和有序管理的重要条件 4 规范性原则 XX 政法网络各节点的网络互联设备和局域网内主要设备等采用规范的地址编制技术 和方法 是网络互联互通和提高网络管理效率的有效措施 5 标准化原则 遵循有关 TCP IP 协议标准来规划 IP 地址 是网络建设的重要原则 4 2IP 地址编制方法地址编制方法 1 完全二叉树分配法 17 网络中各级子网 IP 地址的编制 是从完全二叉树地址空间中某一子树的根开始 逐级 向下地将该子树下的从属子树分配给各级子网和其下级子网 同级子网均以同样方法分配 同根的二叉子树 网络互联 IP 地址和用户主机 IP 地址 都是从本级子网的从属子树地址 空间中分配 采用这一 IP 地址的编制技术 既避免了各级子网 IP 地址的重叠 又保证了 各级子网 IP 地址空间的连续性 2 分布的地址空间预留技术 分布的地址空间预留技术是指给按层次划分的各级子网 IP 地址预留空间 当由于网络 扩展需要 IP 地址扩展时 可使扩展的 IP 地址空间与在用的 IP 地址空间连续 使网络继续 保持其最简的路由表数据结构 保证了 IP 地址的平滑扩展 3 无类域间路由 CIDR 编址技术 无类域间路由 CIDR Classless Interdomain Routing 编址技术使用了可变长子网掩 码 VLSM Variable Length Subnet Mask 技术和完全二叉树地址分配技术 可根据网络 和主机的分布状况 灵活地选择不同的子网掩码屏蔽位长度 动态地分配网络地址标志位 和主机地址标志位长度 不仅能有效地提高 IP 地址空间利用率 而且使路由表数据更加简 化 4 3IP 地址编制规则地址编制规则 IP 地址是由 32 位二进制数字表示 并分为四个八位域 每个八位域由 分开 表示 0 255 之间十进制数 一个 32 位的 IP 地址分为网络地址和主机地址两个字段 IP 协议 规定了 A B C D E 五种 IP 地址类型 其中常用的是 A 类 B 类和 C 类地址 详见 下表 A 类地址 0NNNNNNN HHHHHHHH HHHHHHHH HHHHHHHH B 类地址 10NNNNNN NNNNNNNN HHHHHHHH HHHHHHHH C 类地址 110NNNNN NNNNNNNN NNNNNNNN HHHHHHHH N 网络地址标志位 H 主机地址标志位 在 Internet 中以上三类地址区间分别定义了 保留地址区 供各类内部网络使用 以 避免与外部网络发生地址冲突 其保留地址区间如下 A 类 10 0 0 0 10 255 255 255 18 B 类 172 16 0 0 172 31 255 255 C 类 192 168 0 0 192 168 255 255 4 4IP 地址地址分配方案分配方案 鉴于 XX 政法网络 IP 地址的资源情况 以及对于各单位原有纵向业务系统的对外 IP 地址分配须予以保留 并且考虑到以后公网 IP 地址资源的申请情况 我们建议采用公私网 IP 地址混合应用的规划方案 XX 政法网络除了对外提供服务的服务器 还有内部用户对 外上网或其他访问 Internet 的业务需求采用公网 IP 地址 其他均可以采用私网 IP 地址进 行规划 即可采用采用公私网 IP 地址混合 在出口做 NAT 的规划 由于 XX 政法网络系统主要用于内部业务的互访 与 INTERNET 网络即外网目前 是采用物理隔离的方式 所以原则上采用任何 IPV4 地址空间块都是可以的 目前 在国 际标准 RFC1918 中定义了 IPv4 私有地址空间为 10 8 172 16 12 192 168 16 这三个地 址空间块是不会出现在 INTERNET 网络中 鉴于 XX 政法网络系统包括广域网和各节点局域网组成 其中 IPV4 地址类型大致分 为广域网互联地址 包括设备的环回 LOOPBACK 地址和设备互联地址 局域网业务和管 理地址两大类 所以我们建议所有广域网互联地址从 192 168 16 中分配 具体规划 设备互联和设备环回接口 LOOPBACK 地址分配方案 AREA0 中省信息中心和地市网络中心所有设备的 LOOPBACK 地址依次从 192 168 0 1 24 分配 共 253 个地址 所有设备的互联地址依次从 192 168 1 1 30 192 168 1 5 30 192 168 1 253 30 共 64 个 30 网段中依次分配 5 路由路由规划部署方案规划部署方案 5 1路由方案选择原则路由方案选择原则 互连是网络构建最基础和最本质的要求 选择适当的路由协议需要以此为目标 并综 合考虑以下因素 19 1 路由协议的开放性 路由协议的开放性 开放性的路由协议保证了不同厂商都能对本路由协议进行 支持 这不仅保证了目前网络的互通性 而且保证了将来网络发展的扩充能力和 用户构建网络时的设备选择空间 这点在很多情况下是需要重点考虑的 2 网络的拓扑结构 网络的拓扑结构 网络拓扑结构直接影响协议的选择 例如RIP这样比较简单 的路由协议不支持分层次的路由信息计算 对复杂网络的适应能力较弱 对于比 较复杂的网络 需要使用处理能力更强的协议 如OSPF IS IS等 3 网络节点数量 网络节点数量 不同的协议对于网络规模的支持能力有所不同 需要按需求适 当选择 有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题 XX 政法网络节点较多 路由信息也非常多 而且网络状况会千变万化 将导致路由 刷新相对频繁 所以对路由协议的性能提出很高的要求 如能支持的节点数 路 由选径是否最佳 路由算法必须具有鲁棒性 快速收敛性 灵活性等 4 网络间的互通及关联要求 网络间的互通及关联要求 通过划分成相对独立管理的网络区域 可以减少 网络间的相关性 有利于网络的管理和扩展 可通过划分区域等形式 路由协议 要能支持减少网络间的相关性 必要时还要考虑路由信息安全因素和对路由交换 的限制策略管理 5 管理和安全上的要求 管理和安全上的要求 通常要求在可以满足功能需求的情况下尽可能简化管理 但有时为了实现比较完善的管理功能或为了满足安全的需要 例如对路由的传播 和选用提出一些人为的要求 就需要路由协议对策略的支持 根据以上原则 现在各种大型网络构建中 为节省投资 保证网络的持续扩展性 都 在使用开放 标准而又健壮的协议 5 2路由协议的选择路由协议的选择 根据XX政法骨干网的网络结构 设计选择适合的路由协议 能够实现优化的网络路径 选择 同时具有路径均衡功能 在网络结构发生变化时数据能够通过其他路径迂回 保证 网络的畅通 在互联网飞速发展的今天 TCP IP协议已经成为数据网络互联的主流协议 各种网络 上运行的大大小小各种型号路由器 承担着控制本世纪或许最重要信息的流量 而这成百 上千台路由器间的协同工作 离不开路由协议 因此在大型网络的规划构建中 选择适当 20 的路由协议是非常重要的 目前常用的单播路由协议有多种 如RIP OSPF IS IS BGP等 不同的路由协议有各自的特点 分别适用于不同的条件之下 5 2 1 内部网关路由协议 内部网关路由协议 IGP 1 距离 矢量路由协议 在IGP路由协议的选择上 距离 矢量路由协议主要特点是适合于小型网络 路由收 敛较慢 可能会形成路由环路 链路带宽消耗较大等 IGRP EIGRP是厂商私有的路由 协议 所以尽量不要采用扩展性差的 RIP 和厂家的私有路由协议 IGRP和EIGRP 尽量采用OSPF或IS IS 2 链路状态路由协议 对于OSPF和IS IS的选择依据为 基本原理相同 基于链路状态算法 OSPF用于IP IS IS用于ISO的CLNP 也支持 IP 集成IS IS IS IS结构严谨 OSPF更加灵活 OSPF协议是基于接口的 而IS IS路由器只能属于 一个Area 并且不支持NBMA网络 IS IS占用网络资源相对较少 支持网络规模大于OSPF 在网络相当庞大时能体现出 优势 一个IGP域运行的三层交换机及路由器的数量一般不会超过200台 因此从实际情况 来看 运行OSPF和IS IS对IP城域网 承载网的建设不会有差异 对于网络的稳定性 可扩 充性 两种协议都能很好地支持 在大型ISP上 IS IS与OSPF二者均获得普遍应用 从MPLS草案及现实运行来看 如果要运行MPLS网络的话 OSPF经常被选用做内部 IGP 当然IS IS也有 但是MPLS草案中认为在MPLS环境中运行OSPF更合适 使用 MPLS TE的时候 采用IS IS扩展的较多 从目前很多厂商的设备来看 存在这样一个问题 不少厂商的中低端路由器及三层交 换机不支持IS IS 从这个角度讲OSPF比IS IS有优势 所有的主流路由器及三层交换机都 支持OSPF 因此因此XX政法骨干网络在构建中 全网使用开放标准的骨干网络在构建中 全网使用开放标准的OSPF路由协议 将使得网络在路由协议 将使得网络在 以后的扩展中具有更多的选择空间 不会受到使用某一封闭标准而带来的扩展限制 以后的扩展中具有更多的选择空间 不会受到使用某一封闭标准而带来的扩展限制 21 5 2 1 1OSPF 简介简介 OSPF Open Shortest Path First 即最短路径优先协议 是一种基于链路状态的内 部动态路由协议 与所有链路状态路由协议相同 OSPF协议比距离向量路由协议具有更 快的收敛速度 可以支持更大的网络 不易受到错误路由信息的影响 是一种适用范围大 功能完善的路由协议 OSPF路由协议还具有以下特点 通过引入区域的概念 OSPF协议 建立分层的路由计算结构 减少了路由协议对CPU资源的消耗 也节省了路由信息传播所 占用的网络带宽 支持无类别的路由表查找 支持变长子网掩码 并且通过支持超网 提 高路由的可管理性 采用触发更新机制 路由收敛速度快 支持在数个费用相同的路径之 间进行负载均衡 从而更加有效地利用网络资源 使用保留的组播地址传递协议控制信息 减少对非OSPF网络设备的影响 支持路由信息的认证 提供更安全的路由机制 通过路 由标记跟踪外部路由 目前OSPF的主要标准是RFC2328 版本2 5 2 1 2OSPF 协议特点协议特点 总的来说 由于OSPF发展成熟 厂商支持广泛 已经成为世界上使用最广泛的IGP 尤其在企业级网络 也是IETF推荐的唯一的IGP 其他路由协议所能适应的网络和具备的 主要优点 OSPF都能适应 OSPF是真正的loop free 无路由自环 路由协议 源自其采用算法本身 链路状态 及最短路径树算法 的优点 OSPF收敛速度快 能够在最短的时间内将路由变化传递到整个自治系统并完成路由 重新计算 支持等价路由负载分担 能更有效地利用链路资源 提出区域 area 划分的概念 将自治系统划分为不同区域后 通过区域之间的对路 由信息的摘要 大大减少了整个自治系统所需传递的路由信息数量 减轻了对路由器 的性能需求和管理难度 也使得路由信息不会随网络规模的扩大而急剧膨胀 协议设计精巧 将协议自身的报文开销控制到最小 主要采用的技术如下 用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文 非常短小 包 22 含路由信息的报文时是触发更新的机制 有路由变化时才会发送 但为了增强协议的 健壮性 每1800秒全部更新一次 在广播网络中 使用组播地址 而非广播 发送报文 减少对其它不运行OSPF的网 络 设备的干扰 在各类可以多址访问的网络中 广播 NBMA 通过选举DR 使同网段的路由器之 间的路由交换 同步 次数由 O N N 次减少为 O N 次 提出STUB区域的概念 使得STUB区域内不再传播引入的AS外部路由 并可以控制 其它区域LSA的传入 在ABR 区域边界路由器 上支持路由聚合 进一步减少区域间的路由信息传递 在点到点接口类型中 通过配置按需拨号属性 OSPF over On Demand Circuits 使得OSPF不再定时发送hello报文及定期更新路由信息 保证低速链路上能节约网络 带宽的消耗 只在网络拓扑真正变化时才发送更新信息 通过严格划分路由的级别 共分四级 提供更可信的路由选择 良好的安全性 OSPF支持基于接口的明文及MD5协议报文验证 可以很好地防止恶 意攻击和错误的配置 OSPF适应各种规模的网络 经过适当的规划可以支持多达数千台 具备链路状态路由协议能感知全局网络拓扑相关信息的特点 可以扩展支持流量工程 最大程度地提高骨干网络资源的使用效率 5 2 1 3与与 OSPF 协议相关的基本概念协议相关的基本概念 5 2 1 3 1 路由器路由器 ID 号号 一台路由器如果要运行OSPF协议 必须存在Router ID 如果没有配置ID号 系统会 从当前接口的IP地址中自动选一个作为路由器的ID号 23 5 2 1 3 2 DR 和和 BDR DR Designated Router 指定路由器 为使每台路由器能将本地状态信息广播到整个自治系统中 在路由器之间要建立多个 邻居关系 但这使得任何一台路由器的路由变化都会导致多次传递 浪费了宝贵的带宽资 源 为解决这一问题 OSPF协议定义了DR 所有路由器都只将信息发送给DR 由DR将 网络链路状态广播出去 除DR BDR外的路由器 称为DR Other 之间将不再建立邻居关 系 也不再交换任何路由信息 哪一台路由器会成为本网段内的DR并不是人为指定的 而是由本网段中所有的路由器 共同选举出来的 BDR Backup Designated Router 备份指定路由器 如果DR由于某种故障而失效 这时必须重新选举DR 并与之同步 这需要较长的时 间 在这段时间内 路由计算是不正确的 为了能够缩短这个过程 OSPF提出了BDR的 概念 BDR实际上是对DR的一个备份 在选举DR的同时也选举出BDR BDR也和本网段 内的所有路由器建立邻接关系并交换路由信息 当DR失效后 BDR会立即成为DR 5 2 1 3 3 区域 区域 Area 随着网络规模日益扩大 当一个巨型网络中的路由器都运行OSPF路由协议时 路由 器数量的增多会导致LSDB非常庞大 占用大量的存储空间 并使得运行SPF算法的复杂 度增加 导致CPU负担很重 并且 网络规模增大之后 拓扑结构发生变化的概率也增大 网络会经常处于 动荡 之中 造成网络中会有大量的OSPF协议报文在传递 降低了网络的 带宽利用率 而且每一次变化都会导致网络中所有的路由器重新进行路由计算 OSPF协议通过将自治系统划分成不同的区域 Area 来解决上述问题 区域是在逻 辑上将路由器划分为不同的组 区域的边界是路由器 这样会有一些路由器属于不同的区 域 连接骨干区域和非骨干区域的路由器称作区域边界路由器 ABR ABR与骨干区域 之间既可以是物理连接 也可以是逻辑上的连接 除了ABR 负责OSPF域和非OSPF域进行交换路由的区域边界路由器叫 ASBR 24 5 2 1 3 4 骨干区域和虚连接骨干区域和虚连接 骨干区域 Backbone Area OSPF划分区域之后 并非所有的区域都是平等的关系 其中有一个区域是与众不同 的 它的区域号 Area ID 是0 通常被称为骨干区域 虚连接 Virtual link 由于所有区域都必须与骨干区域在逻辑上保持连接 特别引入了虚连接的概念 使那 些物理上分割的区域仍可保持逻辑上的连通性 5 2 1 3 5 路由聚合路由聚合 AS被划分成不同的区域 每一个区域通过OSPF边界路由器 ABR 相连 区域间可 以通过路由汇聚来减少路由信息 减小路由表的规模 提高路由器的运算速度 ABR在计算出一个区域的区域内路由之后 查询路由表 将其中每一条OSPF路由封 装成一条LSA发送到区域之外 ABR和ASBR都可以进行路由聚合 例如 下图中 Area 19内有三条区域内路由19 1 1 0 24 19 1 2 0 24 19 1 3 0 24 如果此时配置了路由聚合 将三条路由聚合成一条19 1 0 0 16 在RTA上就只生成一条描 述聚合后路由的LSA Area 12 Area 8 Area 19 Area 0 Virtual Link 19 1 1 0 24 19 1 2 0 24 19 1 3 0 24 RTA 区域及路由聚合示意图 25 5 2 2 外部网关路由协议 外部网关路由协议 BGP BGP Border Gateway Protocol 即边界网关协议 是一种自治系统间的动态路由发 现协议 它的基本功能是在自治系统间自动交换无环路的路由信息 目前BGP的标准是 RFC1771 RFC1772 版本4 BGP的路由策略特别丰富 易于控制业务和路由流程 BGP通过在路由信息中增加自治区域 AS 路径的属性 来构造自治区域的拓扑图 从而 消除路由环路并实施用户配置的策略 另外 BGP支持无类型的区域间路由 CIDR Cl