湖南省株州电广播电视宽带综合信息技术建议书.doc44（免费下载）(固顶).doc

技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 1 株州市广播电视宽带综合信息网株州市广播电视宽带综合信息网 数据平台数据平台 技术建议书技术建议书 华为技术有限公司华为技术有限公司 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 2 目目 录录 1 方案建议方案建议 4 1 1技术建议书编制的依据 4 1 2建设目标 4 1 3业务分析 4 1 4建设原则 5 1 5华为公司解决方案 6 2 网络安全措施网络安全措施 19 2 1网络安全策略 20 2 2网络各层设备安全性考虑 20 2 3网络安全措施 20 3 路由协议与策略路由协议与策略 21 4 IP 地址规划地址规划 23 5 用户认证用户认证 26 5 1WEB VLAN 认证 26 5 2802 1X 认证 27 6 强大的强大的 QOS 28 6 1强大的流分类功能 28 6 2二层 QOS 功能 28 6 3三层 QOS 功能 29 7 网络可提供的业务网络可提供的业务 29 7 1基本业务 29 7 2扩展业务 30 8 VPN 30 8 1华为 MPLS BGP VPN 解决方案特点 31 8 2华为公司 MPLS BGP VPN 一般组网模型 31 8 3华为 MPLS BGP VPN 的实现 32 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 3 8 4华为 MPLS BGP VPN 跨自治域的实现 34 8 5基于 VLAN 互连的 VPN 方案 35 9 网络管理网络管理 36 9 1网管的体系结构 36 9 2网管系统对多种设备的一体化管理 36 9 3网管的接口和组网能力 36 9 4网管的功能 37 10 计费管理计费管理 39 11 结束语结束语 39 12 附录附录 40 12 1附录 缩略语列表 40 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 4 1 方案建议方案建议 华为公司根据株州市广播电视宽带综合信息网数据平台的技术要求 在充 分分析了市场需求和技术发展趋势之后 结合我国数据通信发展的实际情况提 出了株州市广播电视宽带综合信息网数据平台的技术建议 主要阐述我司对株 州市广播电视宽带综合信息网数据平台建设的全面解决方案 1 1 技术建议书编制的依据技术建议书编制的依据 本技术建议书依据下列文件编写 华为公司有关产品的技术手册 1 2 建设目标建设目标 株州市广播电视宽带综合信息网数据平台是一个大容量 宽频带 标准化 双向传输广播电视节目和综合数据信息的宽带网络 并能够适应未来高清晰度 电视和视频点播等广播电视新业务的传输要求 能够实现全株州市广播电视系 统的计算机数据传输 通信 节目数据库联网 能够实现广播式和交互式社会 服务 能够为数据平台外提供专用信息传输通道 株州市广播电视宽带综合信息网数据平台的目标是采用先进 成熟 可靠 的网络技术 建立一个高速 宽带的城域网 提供包括数据 语音 视频 图 象等在内的综合业务及其增值业务 满足Internet接入 VPN 局域网互连等 服务需求 并尽可能地实现各种业务网络的无缝连接和互联 满足通信市场对 带宽的迫切需求 推动株州市信息化的进程 数据平台要覆盖株州市 应具备较强的可扩展性 广泛的适用性和灵活性 以及良好的服务质量保证机制和完整的网络服务性能 以满足市场对网络运行 维护 管理 计费的需求 1 3 业务分析业务分析 广电未来必然是多媒体数据业务运营商 株州市广播电视宽带综合信息网 数据平台所提供的各类业务既要包括对QOS保障和实时性要求不高的纯IP业务 如现在它能为一般的企业提供数据网络服务 通过专线HFC为家庭提供 INTERNET和相应的各种服务 将来可以提供远程教育 远程医疗等 又要包 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 5 括对QOS保障和实时性要求较高的业务 如金融系统 证券 保险 党政机关 等 并且集团用户占极大的比例 因此该宽带信息网数据平台的建设应该综合 考虑这两类业务的实现 以尽可能低的投入 较小的风险 建设高质量 高稳 定性 可扩展性强的综合网络获得高回报 在组合考虑Internet接入 VOD VPN 话音和智能小区 DVB C等业务时 我们可以发现广电系统的HFC技术对家庭用户有独有的优势 高带宽 防辐射 能力强 抗干扰能力强 可以利用无源分配技术实现低廉的接入 利用频分技 术实现多种业务的并发工作等等 1 4 建设原则建设原则 株州广电城域网在技术选择上综合考虑先进性 成熟性及良好的性价比 以网络的可扩展性和可管理性为基础 统一规划 分步实施 秉承电信级网络 的一贯要求 保证网络高效 可靠 安全 确保业务的快速开展和有效控制以 及用户的计费 管理 因此株州广电宽带城域网络建设应遵循以下基本原则 1 可靠性 由于宽带IP网的为运营级服务网络 因此网络设计必须首 先考虑主要传输体制的可靠性 所提供服务的可用性 网络设备的高性能以及 对关键用户 关键任务的有效保障机制等 并可与各种宽带传输交换平台充分 互联 能够承载和交换各种信息并将其接入公众用户 并以相应的可接受的 价格向用户提供不同接入服务的方法 3 扩充性 宽带IP网必须充分考虑到目前的业务需求和今后较长时间 内业务发展的需要 系统不仅能满足现在的需要 还应具有平滑过渡升级的能 力 在采用新技术的同时还可以保护用户投资 保证原有设备的可用性 4 安全性及可管理性 宽带IP网是株州市公众宽带网络 应注意保证 整个系统的可管理性和整个系统的安全性 可靠性 同时 还可让网络维护人 员可以方便地对网络设备进行维护工作和远程控制 如 模块热插拨等 5 开放性与标准化 网络系统应能支持多协议 多厂商 包括国产设 备 具有开放的平台性能 支持各种通讯协议 各种数据库和客户机服务应 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 6 用 并能方便地与其它机构 企业的主机和网络互连通讯 1 5 华为公司解决方案华为公司解决方案 华为公司根据多年来服务于运营商的经验 结合自己的设备 提出 了以下 IP 网络解决方案 1 5 1 1组网方案组网方案 链形组网如下图 图一图一 株州广电初期网络组网图株州广电初期网络组网图 1 5 1 2组网特点组网特点 本宽带网解决方案是基于华为公司成熟的以太网系列产品和华为公司创新 的设计 为用户提供了一种高性能的宽带接入服务 满足广大用户INTERNET 高速上网 社区服务 话音 视频等大多数宽带业务和基本的可运营 可管理 需求以及灵活的扩展能力 提供基于802 1x的用户认证 当上行连接BAS设备 时 可以配合BAS设备提供WEB VLAN认证 在本期工程中 核心置一台Quidway S6506作为核心节点 在汇聚层配置 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 7 MA5200 完成对于网络接入层数据的汇聚 在接入层采用Quidway S2000 3000系列完成对于用户的接入 可根据用户需求 灵活选择 其中 MA5200作为具有分布式BAS功能的三层交换机使用 采用WEB PPPOE认证 同时针对电广传媒的优越性 拥有丰富的有线电缆资源 在接入层再配置 MA5201提供HFC用户的接入 对一些小区 网吧 政府企业的用户 可通过 以太网交换机直接向用户提供10M 100M接口 满足用户高速上网的需求 1 5 1 3核心设备介绍核心设备介绍 1 5 1 3 1S6506 Quidway S6500 系列以太网交换机的设计基于分布式处理的设计思想 依托于华为公司拥有自主知识产权的 VRP Versatile Routing Platform 通用 路由平台 网络操作系统 提供完备的动态路由协议 VLAN Virtual LANs 虚拟局域网 控制 流量交换 QoS Quality of Service 服务质量 保证 网络管理等机制 拥有强大的业务控制和用户管理能力 系统同时提供 中英文双语界面 方便用户操作 运营级可靠性设计运营级可靠性设计 系统采用分布式结构 所有单板支持热插拔 S6500 系列交换机支持交 流电源 AC 和直流电源 DC 两种供电方式 此外 为保证系统的健壮性 S6500 系列交换机支持电源模块的负载均衡 热插拔 故障检测及 N 1 冗余 备份 S6506 R 两个电源模块即可保证系统的正常工作 支持 STP RSTP 协议和 VRRP 协议 在安全性要求更高的场合 还可选用支持双 引擎的 S6506R 周到 完善的系统设计可满足苛刻的运营级网络对设备可靠 性的要求 丰富的功能特性丰富的功能特性 S6500 系列交换机的背板采用高速背板设计技术 交换容量达 32G 64Gbit s S6500 系列采用华为专利的弹性资源调配系统技术 可实现 从中心交换单元到业务处理板通道带宽的动态调整 用户可根据不同的处理板 不同的业务 不同的工作组配置不同的通道带宽 使得整个网络的灵活性更高 从而实现系统背板 交换引擎带宽 性能的最优分布 华为 VRP 3 x 网络 操作系统支持 提供丰富的网络特性功能 提供提供 STP RSTP 避免环路冗余 避免环路冗余 S6500 系列以太网交换机所实现的快速 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 8 生成树协议 RSTP 是生成树协议的优化版 其 快速 体现在网络设备或 链路变化期间 树根 端口和指定的端口进入转发状态的延时在某种条件下 大大缩短 从而缩短了网络拓扑稳定的时间 支持支持 IGMP Snooping 尽量减少报文的转发范围 避免非组成员收到组 内多播流量 支持支持 802 3ad 端口聚合 端口聚合 实现任意端口聚合 在可以将若干个 FE 端口 或 GE 端口汇聚到一起 以实现大容量交换机之间或者交换机与骨干路由器及 服务器群之间的高速连接 能够抑制广播风暴 能够抑制广播风暴 配置了广播风暴抑制后 可以对 VLAN 上的广播流 量进行监控 当广播流量的带宽超过配置的限度时 交换机将在该 VLAN 上 过滤超出的流量 保证网络的业务 使广播所占的流量比例降低到合理的范围 支持基本的支持基本的 TCP IP 协议栈及常规应用协议 协议栈及常规应用协议 支持静态路由 支持静态路由 管理员手工配置 简化网络配置 提高网络性能 支持丰富的路由协议 支持丰富的路由协议 RIP OSPF Integrated IS IS 及 BGP4 以适应 不同的网络环境要求 提供不同子网 VLAN 的三层互通功能 支持支持 ARP DHCP Delay 功能 功能 支持支持 IGMP 组播协议及组播协议及 PIM DM PIM SM 等组播路由协议 等组播路由协议 系列化超级引擎系列化超级引擎 S6500 系列交换机全面采用基于新一代 ASIC 技术的 Salience 系列交 换路由引擎 该系列引擎将 2 3 4 层线速转发与丰富的 QOS ACL 特性结合 在一起 是组建高可靠 低时延的核心网络的重要保障 在设计上 Salience 系列交换路由引擎的交换网采用负荷分担方式 全面提升单板可 靠性 在可靠性要求更高的领域 可采用 Salience II 引擎 该引擎在 S6506R 的机箱内可实现双主控冗余备份 iSalience 为高集成引擎 该系列 引擎在 Salience 引擎的基础上可提供少量的业务接口 用户可根据需要选 配 4 口千兆业务扣板 该系列引擎仅适用于 S6503 强大的强大的DiffServ QOSDiffServ QOS保障 保障 提供了基于端口和基于流的流量限制提供了基于端口和基于流的流量限制 Committed Access Rate 提供强大的流分类 提供强大的流分类 Traffic Class 能力 能力 用户可根据实际需要为不同的 用户群组或不同的业务类型分配不同的队列优先级 带宽控制 以 64Kpbs 为 步长单位进行调整 提供提供 Diffserv 支持 支持 可以根据 2 3 4 层特性 调整 IP DSCP 域 为骨 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 9 干网络实现基于 DSCP 的 IP 转发提供支撑 提供基于数据流 提供基于数据流 Flow 根据 根据 2 3 4 层报文头的信息确定 的带宽共层报文头的信息确定 的带宽共 享算法享算法 保证每一个通信应用均可获得公平的流量分配 保证了各主机之间通 信的公平性 提供提供 WRR Weighted Round Robin 队列调度策略 队列调度策略 提供提供 RED Randam Early Detection Discard 丢弃策略 丢弃策略 可配置的可配置的 802 1p 优先级映射规则优先级映射规则 可根据 IP DSCP 信息 802 1p 信息 VLAN 信息 2 3 层转发表信息 配置出报文 Outgoing Packet 的 802 1p 优先级 可配置的队列优先级规则 可配置的队列优先级规则 可根据 IP DSCP 信息 802 1p 信息 VLAN 信息 2 3 层转发表信息 配置转发队列优先级 完善的安全机制 完善的安全机制 提供 L2 3 4 流规则过滤 用户分级管理和口令保护 提供多种用户认证 方式 本地 Radius 802 1x 认证 支持 OSPF RIP v2 及 BGP v4 的报文 明文及 MD5 密文认证 支持 SNMPv3 的加密和认证 实用的网络管理实用的网络管理 S6500 系列以太网交换机提供中 英文双语界面 支持多种配置方式 命 令行配置 HGMP 配置及网管配置 在命令行配置方式下 用户可以通过 Console 口对交换机进行本地配置或通过 Telnet 登录对交换机进行本地或远 程配置 S6500 系列以太网交换机对 Telnet Server 和 Telnet Client 服务都提 供支持 HGMP 配置方式是指利用华为公司开发的二层私有协议 HGMP Huawei Group Management Protocol 华为组管理协议 实现管理设备 如 MA5200 以太网接入管理系统 对 S6500 系列以太网交换机的集中管理 完 成交换机配置和配置响应消息的传递 S6500 系列以太网交换机支持符合 SNMP V3 协议标准的 iManager Quidview 网管系统平台 可通过统一的平台 实现对交换机充分有效的管理 该网管系统采用多语言图形界面 操作直观方 便 该系统同时还可以提供拓扑管理 配置管理 故障管理 安全管理 性能 管理等功能 此外 S6500 系列以太网交换机也支持 RMON SMON 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 10 1 5 1 4汇聚设备介绍汇聚设备介绍 1 5 1 4 1MA5200 MA5200E F产品提供强大的用户认证 计费 管理的特性 该方案具有 如下特点 灵活的带宽保证灵活的带宽保证 在接入层 在小区中心配置具备BAS功能的三层设备MA5200E F产品 上 行通过FE GE接至宽带城域网 具体选用100M上行还是GE上行 由局方根据 条件自行决定 中心交换机通过下行100M使用多模光纤连接楼宇交换机 Quidway S3000 2000系列 Quidway S3000 2000系列下行可为用户提供 10M 100M自适应端口 为用户提供了灵活的带宽选择余地 同时也保证了用 户的宽带业务实现 良好的运营维护能力良好的运营维护能力 利用华为公司HGMP协议的集中管理特性 可以在小区中心交换机设置 一个管理IP地址就可以将所有的楼道交换机进行集中统一的配置和管理 把需 要分布安装的楼道交换机以及对各设备的配置 管理 维护 升级等全面管理 起来 以软件的代价替代物力资源和人力资源的投入 降低小区网络的综合运 行维护成本 提高网络的综合管理能力 也可以利用SNMP协议将各层交换机 的管理纳入统一网管平台中 楼道交换机将SNMP包透传至小区中心交换机 通过小区中心交换机的统一出口将SNMP包传到网管中心 网管中心接收传来 SNMP包 就可以通过带内方式实现对小区内各层交换机的管理 QoSQoS保证保证 中心交换机MA5200E F产品采用CAR 承诺访问速率 技术实现针对每个 用户的带宽控制 精细度达到128K MA5200E F产品支持基于IP报文五元组 的流分类技术 支持丰富的优先级调度 有利于将来在网上开展基于IP的视频 话音业务 配合网络的高转发性能 对不同类型的业务和不同类型的用户进行 分类支持 为话音 视频等实时业务提供质量保证 对关键业务和非关键业务 进行区分处理 保证关键业务畅通运行 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 11 计费管理计费管理 MA5200E F产品支持按时长 流量计费 支持本地计费和远端计费 本机 可存储10万张原始计费信息 支持标准的Radius协议并可针对带宽 访问权限 业务优先级等信息对Radius进行扩充 可以根据用户的不同业务 提供灵活的 计费策略 不同的认证方式 PPP VLAN WEB 802 1X 采用相同的计费 流程 对于DHCP分配地址的用户 可实时侦测用户状态以配合计费 完善的用户认证和管理完善的用户认证和管理 完成多种用户认证方式 VLAN DHCP WEB 802 1X PPPoE 并且依 据网络设备和用户需求选择合适的认证 采取VLAN ID对应用户端口 VLAN ID MAC地址 IP地址动态绑定的方式来标识和确定用户 并根据这种绑定关 系限定用户可用带宽 用户数等 健全的安全管理机制健全的安全管理机制 采用DHCP RELAY的技术隔离用户和DHCP服务器 提高地址分配安全性 通 过地址与VLAN ID绑定技术防止MAC地址 IP地址的盗用 用户二层利用VLAN严 格隔离 利用基于用户策略的ACL 接入控制列表 来完成用户的三层受控互 访 通过对用户在单位时间内的连接数量的限制 可以提供四层的用户安全 防止PROXY方式用户盗用网络资源 1 5 1 5 接入设备介绍接入设备介绍 1 5 1 5 1HFC 接入设备接入设备 MA5201 MA5201作为HFC数据接入前端设备 应用领域包括广电数据接入网 智能 小区 校园网等 其主要的技术特点为 19 单机结构 内含一个CMTS单元 一个下行信道 四个上行信道 桥接转发 支持802 1d生成树算法 强大的转发能力 包转发率为5万Pps 符合DOCSIS标准 同时支持EuroDOCSIS 多种操作维护手段 1 通过网管 包括 OSS 的功能完善的维护 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 12 包括工作站版的网管和 PC 机版的网络 MA5201 且对稳定性要求不高时 或者实验局使用 2 命令行维护 可以有三种方式 本地命令行维护 远 程电话 modem 维护 远程登陆 Telnet 方式 各种维护手段均支持中文界面 完善的操作维护功能 以多种操作维护手段灵活地支持配置管理 性能管理 告警和故障 同时支持完善的日志功能 软件在线升级 完备的双向HFC运营设计 支持网络故障定位 频谱管理 功率管理 上行信道集中式 分布式组网设计 组网灵活 单机形式 可以以多种方式灵活组网 满足不同的用户需 要 MA5201优势集中体现在几个方面 1 性能价格比优 2 从市场的角度看 HFC数据接入在中国仍然属于起步阶段 用于初期 低投资的条件下小规模运营是非常有优势的 3 操作维护手段和功能完善 同时中文界面适合国内市场的应用 4 同时支持DOCSIS和EuroDOCSIS 符合中国国情 5 双向HFC运营设计考虑周到 在中国网络状况不是很好的情况下 这 一优点显得尤为突出 MA5201 技术指标技术指标 MA5201 整机指标整机指标 参数名指标 标准支持 MCNS DOCSIS1 0 EuroDOCSIS 1 0 频谱分割低分割 中分割 结构 19 机盒 数据转发能力5万pps 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 13 Cable接口1个下行 4个上行 最多支持2000个用户 实际应用建议支持500用户以下 上行接口 100Base T MA5201 下行信道技术参数 下行信道技术参数 参数名指标 DOCSISEuroDOCSIS 中频频率 44MHz 调制方式 64 256QAM 信道带宽 6MHz8MHz 数据率 Mbps 64QAM 30 256QAM 43 64QAM 42 256QAM 55 信道编码RS编码 交织 加 扰 TCM编码 符合 J 83B RS编码 交织 加扰 TCM编码 符 合J 83A 输出阻抗 75 输出电平30dBmV 正负3dB MA5201MA5201 上行信道技术参数上行信道技术参数 参数名指标 DOCSISEuroDOCSIS 中心频率范围5 42MHz5 65MHz 调制方式QPSK 16QAM 信道带宽 信道200K 400K 800K 1 6M 3 2MHz 接收数据率 信道320K 640 1 28M 2 56M 5 12M 10 24Mbps 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 14 输入阻抗75 输入总功率 信道 35dBmV 连接器F 连接器 MA5201MA5201 物理参数物理参数 描述参数 设备外形19 英寸标准机箱 机箱颜色墨绿色 以太网口 RJ48 X 1 控制串口 RJ48 X 1 射频口F 连接器 X 5 结构尺寸 宽 X 高 X 深 482 6 X 88 1 X 450 mm 净重量 5 5 kg 整机功耗额定 40W 最大 60W AC 输入电压范围 85V 264V AC 电压频率 50Hz 工作温度 0 40 相对湿度 10 90 存储温度 40 70 MTBF50000h MTTR0 5h MA5201 外部接口 外部接口 通信串口 RS232串口 数量 1个 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 15 物理形态 带屏蔽RJ45插座 符合RS232相关协议 以太网接口 10M 100M 自适应网口 数量 1个 物理形态 带屏蔽RJ45插座 符合802 1 802 2 802 3相关协议 CMTS射频接口 数量 4个上行 1个下行 物理形态 F连接器 规范 IPS SP 406 ANSI SCTE recommended F Port Female Indoor Society of Cable Television Engineers 面板指示灯 MA5201 面板提供 9 个信号灯 从左到右 PWR 亮 CMTS上电 灭 CMTS未上电 DS 亮 下行通道打开 灭 下行通道关闭 US1 亮 上行通道1打开 灭 上行通道1关闭 US2 亮 上行通道2打开 灭 上行通道2关闭 US3 亮 上行通道3打开 灭 上行通道3关闭 US4 亮 上行通道4打开 灭 上行通道4关闭 RUN 系统正常运行时 每秒闪烁一次 灭 系统异常工作 Eth 亮 CMTS与别的设备通过网线相连 可以通讯 闪烁 CMTS 以太口有数据收 发操作 灭 以太口工作异常或CMTS以太口与别的设备没有物理 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 16 连接或连接异常 ALM 亮 红色 系统故障告警 同时命令行有告警输出 灭 无告警信息 上变频器技术参数上变频器技术参数 中频输入频率 44MHz 输入电平 25 35dBmV 输入阻抗 75 输出中心频率范围 53 857MHz 输出频率步进 62 5KHz 输出阻抗 75 电源 100 240VAC 50 60Hz 结构 19 插框或盒式 1 5 1 5 2Quidway S2403 高速以太网交换机高速以太网交换机 Quidway S2403 以太网交换机是由华为技术有限公司开发的新一代以太网 交换机 Quidway S2403 提供 24 个 10BASE T 以太网端口和 3 个 10 100BASE T 快速以太网端口以及一个可选的光纤模块 Quidway S2403 以太网交换机 所有端口都可以通过自动协商工作在半双工或全双工模式 即插即用 并提供 面板指示灯供用户监视网络状态及处理网络故障 用户不用更换现有网络硬件 设备 只需增加 Quidway S2403 以太网交换机就可方便提升网络性能 是共 享式集线器理想的高性能替代产品 改善网络性能 改善网络性能 共享式以太网在通信量和用户数的增加超出一定数量时会造成碰撞冲突 从而降低网络效率 而应用 Quidway S2403 以太网交换机 用户可以独享 10Mbps 100Mbps 带宽 不需要与其他站点进行竞争 从而大幅提升网络性能 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 17 自动协商和全双工 自动协商和全双工 Quidway S2403 以太网交换机所有端口均支持自动协商和全双工操作 10Mbps 端口可工作在 10BASE T 全双工 10BASE T 半双工两种方式 10 100Mbps 端口可工作在 100BASE TX 全双工 100BASE TX 半双工 10BASE T 全双工 10BASE T 半双工四种方式 每个端口的工作方式由它与所连接的以 太网设备通过自动协商确定 连接不同运行速率的网段 连接不同运行速率的网段 应用 Quidway S2403 以太网交换机可以方便地把以 10Mbps 速率运行的 网段和以 100Mbps 速率运行的网段高效率的连接在一起 并提供可选的 100Mbps 上行或服务器连接的能力 Quidway S2403 以太网交换机以太网端口可连接 HUB 或直接连接配有网 卡的计算机或服务器 也可上行连接到高速主干网络 产品规格产品规格 支持的标准网络协议支持的标准网络协议 IEEE802 3 以太网标准 IEEE802 3u 快速以太网标准 IEEE802 3x 全双工标准 IEEE802 1d 网桥及生成树 Spanning Tree 协议 IEEE802 1q VLAN 标准 IEEE802 3u 千兆以太网标准 端口配置端口配置 24 个 10BASE T 以太网端口 3 个 10 100BASE T 以太网端口 一个可选模块 1000BASE SX 多模光纤 1000BASE LX 单模光 纤 100BASE FX 单模多模 多模光纤两种规格 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 18 数据传输速率数据传输速率 以太网 10Mbps 半双工 20Mbps 全双工 快速以太网 100Mbps 半双工 200Mbps 全双工 网络电缆网络电缆 10BASE T 3 4 5 类 非屏蔽双绞线 最大 100m 5 类 屏蔽双绞线 最大 100m 100BASE TX 5 类 非屏蔽双绞线 最大 100m 5 类 屏蔽双绞线 最大 100m 100BASE FX 9 125mm 单模光纤 最大 15km 62 5 125mm 多模光纤 最大 2km 交换模式 交换模式 Store and forward Cut Through 仅 S2403 MACMAC 地址表地址表 地址自学习 最多可支持 2K MAC 地址 SNMPSNMP AgentAgent 支持 MIB II RFC1213 ConsoleConsole PortPort 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 19 允许用户通过串行口配置交换机 登录用户口令保护 统计信息 状态信息即时刷新 简洁易用的配置界面 可选择的中 英文界面 TelnetTelnet 允许用户通过 Telnet 登录配置交换机 登录用户口令保护 统计信息 状态信息即时刷新 简洁易用的配置界面 最多可支持 3 个用户同时登录 登录超时保护 可选择的中 英文界面 VLANVLAN 符合 IEEE 802 1Q 基于端口的 VLAN TrunkTrunk 交换机到交换机的 Trunk 交换机到服务器的 Trunk 可定制的流量分配 1 5 1 6网络管理简述网络管理简述增值业务平台增值业务平台 CAMS CAMS平台可以提供各种增值业务 包括WEB认证 201 宽带上网卡 IP Hotel业务等 同时配合MA5200E的BAS功能 能够实现根据不同用户需求进行 计费认证 包括按时长 按流量 安内容等计费 同时还可以提供各种折扣计 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 20 费 2 网络安全措施网络安全措施 2 1 网络安全策略网络安全策略 全网的安全策略包括网络安全策略 节点安全策略 数据安全策略 和持 续安全策略 网络安全策略网络安全策略 主要保证网络拓扑机构的合理性 全网各个节点之间的连 接线路的可用性 节点安全策略节点安全策略 主要保证各个节点内的设备不受攻击 保证服务不中断 数据安全策略数据安全策略 保证系统重要数据得到及时有效的备份保护 并避免受到 非法使用者的篡改等 持续安全策略持续安全策略 是从发展的角度 提出如何对系统的安全缺陷及时跟踪和 修正 保证网络的长期安全性 2 2 网络各层设备安全性考虑网络各层设备安全性考虑 配置安全 配置安全 对登录用户进行认证 不同级别用户有不同的配置权限 提供 两种用户认证方式 本地验证 RADIUS Remote Authentication Dial In User Service 验证 协议报文认证 协议报文认证 对重要的路由协议 OSPF IS IS RIP OSPF等 提供多 种验证方法 明文验证 MD5 HMAC MD5 基于用户定义的策略 基于用户定义的策略 可以对报文进行过滤 同时采取其它动作 安全过 滤可以将过滤的报文重定向到某个固定端口 便于利用仪器设备抓包分析 2 3 网络安全措施网络安全措施 在体系结构方面 华为综合网管系统采用 Client Server 结构 支持多 个客户同时登录到网管SERVER 在每一客户端都有严格的用户登录与安全检 查 网管 SERVER作为后台进程运行 完成的功能包括 拓扑管理 设备监控 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 21 性能数据采集 设备告警处理 用户安全管理 节点关键设备冗余备份 为了保障网络安全 降低网络故障 关键设备所 有关键部件都采用冗余备份设计 电源模块N 1备份 控制和交换板采用1 1 冗余备份 对网络设备采用多极安全密码体系 限制非法设备和用户登录 在 出现软硬件故障时 可以迅速切换到备用模块 保障业务的不间断运行 关键数据采用身份认证与授权 通过访问权限限制 加密保存 加密传输 同时网络和系统中各种重要数据进行及时有效的备份 设备可设置三级时钟 并提供时钟优先级 当最高优先级时钟失效时 可 以立即切换到低优先级时钟 当最高优先级时钟恢复后 又可以立即切换回去 通过这种自动保护既可以保障网络的安全运行 又可以简化用户的管理 网络从拓扑结构到连接链路均应考虑路由的备份 采用分层的拓扑结构 支持动态迂回路由 在资金可能的情况下 节点保证双路由 保障网络安全 同时在网络中通过划分VPN网络 VLAN网络来保障专业行业网络的安全性 3 路由协议与策略路由协议与策略 路由协议可以及时地动态获取网络拓扑信息 引导IP数据报文逐步转发到 达目的地 使IP网络具备了很好的灵活性和鲁棒性 例如使用动态路由协议的 IP网络能够在一条传输路径中断时 自动选择其他的路径继续执行数据转发 同样 在网络中增加了新的传输路径时 IP网络也可在很短时间内获得并传播 拓扑变化信息 对网络资源实现灵敏和合理的应用 不同的路由协议有各自的 特点 分别适用于不同的条件之下 选择适当的路由协议需要考虑以下因素 1 网络的拓扑结构 2 网络节点数量 3 与其他网络的互连要求 4 管理和安全上的要求 S6506提供了丰富的路由协议支持 以适应不同的网络环境 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 22 A 区域内路由协议 1 RIP RIP Route information protocol 即路由信息协议 是基于D V算法 距离向量算法 的内部动态路由协议 RIP协议的标准主要有RFC1058 版本1 和RFC1723 版本2 Quidway S6506产品不仅实现了这两个版本的RIP协议 还支持MD5验证 还可以在必要时提供更安全的快速收敛的RIP服务 2 OSPF OSPF Open Shortest Path First 即最短路径优先协议 是一种基于链 路状态的内部动态路由协议 目前OSPF的主要标准是RFC2328 版本2 Quidway S6506产品实现了完整的OSPF功能和一些扩展特性 包括支持广 播 NBMA 点到多点 点到点四种接口类型 以及MD5验证 区域划分 区域 间路由聚合 虚连接 STUB区域等丰富的特性 3 IS IS IS IS Intermediate System Intermediate System 中间系统到中间 系统协议 是由国际标准化组织 ISO 制订的路由协议 属于开放系统互联 协议簇 IS IS 对应的标准是ISO 10589和RFC1195 Quidway S6506能实现IP网络上的IS IS协议完整功能 4 OSPF OSPF是一种性能优良 使用广泛的单播IGP路由协议 网络开销小 获得 的路由无环路 适合在不同规模的网络环境使用 IS IS与OSPF在质量和性能上的差别并不大 但OSPF更适用于IP 较IS IS 更具有活力 IETF始终在致力于OSPF的改进工作 其修改节奏要比IS IS快得 多 这使得OSPF正在成为应用广泛的一种路由协议 现在不论是传统的路由器 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 23 设计 还是即将成为标准的MPLS 多协议标记交换 均将OSPF视为必不可少 的路由协议 而且IS IS在国内实际应用实例较少 不太适合作为主要协议使 用 RIP协议发展最早 使用简便 但协议过于简单 对于路由环路等问题存 在一些缺陷 在较大的网络环境中不适合采用 B 域间路由协议BGP BGP Border Gateway Protocol 即边界网关协议 是一种自治系统间的 动态路由发现协议 它的基本功能是在自治系统间自动交换无环路的路由信息 目前BGP的标准是RFC1771 RFC1772 版本4 Quidway S6506实现了BGP 4协议的完整功能和一些扩展 包括路由聚合 路由衰减 路由反射 AS联盟 团体属性 以及用于支持MPLS VPN的BGP多协 议扩展 C 路由策略 与路由协议配合使用的路由策略用于增强网络管理者对路由协议的控制管 理 上层路由协议在与对端路由器进行路由信息交换时 可能需要只接收或发 布一部分满足给定条件的路由信息 路由协议在引入其它路由协议路由信息时 可能需要只引入一部分满足条件的路由信息 并对所引入的路由信息的某些属 性进行设置以使其满足本协议的要求 路由策略则为路由协议提供实现这些功 能的手段 路由策略由一系列的规则组成 这些规则大体上分为三类 分别作用于路 由发布 路由接收和路由引入过程 路由策略也常被称为路由过滤 因为定义 一条策略等同于定义一组过滤器 并在接收 发布一条路由信息或在不同协议 间进行路由信息交换前应用这些过滤器 Quidway S6506支持的路由策略主要有路由映像 RouteMap 定义 路由 引入和分发定义 以及路由的前缀 自治系统路径 团体属性 访问列表等限 制规则 路由策略的应用 对增强网络的可管理性具有重要的实用价值 4 IP地址规划地址规划 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 24 IP地址的合理规划是网络设计中的重要一环 大型计算机网络必须对 地址进行统一规划并得到实施 IP地址规划的好坏 影响到网络路由协议算法 的效率 影响到网络的性能 影响到网络的扩展 影响到网络的管理 也必将 直接影响到网络应用的进一步发展 IP地址空间分配 要与网络拓扑层次结构相适应 既要有效地利用地址空 间 又要体现出网络的可扩展性和灵活性 同时能满足路由协议的要求 以便 于网络中的路由聚类 减少路由器中路由表的长度 减少对路由器CPU 内存 的消耗 提高路由算法的效率 加快路由变化的收敛速度 同时还要考虑到网 络地址的可管理性 具体分配时要遵循以下原则 唯一性 一个IP网络中不能有两个主机采用相同的IP地址 简单性 地址分配应简单易于管理 降低网络扩展的复杂性 简化路由表 的款项 连续性 连续地址在层次结构网络中易于进行路径叠合 大大缩减路由表 提高路由算法的效率 可扩展性 地址分配在每一层次上都要留有余量 在网络规模扩展时能保 证地址叠合所需的连续性 灵活性 地址分配应具有灵活性 以满足多种路由策略的优化 充分利用 地址空间 IP地址规划是要解决有效利用地址空间 有利于路由设计 解决公网地址 严重不足等问题 地址的分级 可变长掩码等技术的使用在此就不再详细论述 我们主要论述如何进行最优化的公私网地址混用 地址空间的压力主要来源于个人接入用户 而企业用户带来的影响较小 所以 对专线用户采用地址静态分配 公网 私网地址并存 宽带Internet企业访问型可以通过专线或以太网接入 这里考虑的重点 是以太网接入 专线用户的处理情况类似 对企事业单位用户对企事业单位用户 一般企事单位业用户使用静态地址和静态路由 IP地址可以使用私网地址 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 25 或公网地址 而对个人用户而对个人用户 到底采用何种方式 取决于多个因素 其中最主要的因素是公网地址空间的缺少 如果仅仅分配公用IP地址 用户人数在不断增长 将有可能超过可用地址 数 这将成为一个严重的问题 由于大部分的个人用户不需要固定的IP地址 因此对个人用户采用动态的 IP地址分配可以节省地址资源 而采用NAT的方式 可以将网络公用地址的需 要节省到几十分之一甚至更多的程度 但后一种方式的主要问题是NAT PAT转 换的性能问题 第二个问题是可能会影响某些宽带应用 而实际上 地址缺口的大小不仅取决于可用空间和用户数 并且与采用的 用户安全技术和产品有关 如果宽带接入采用以太网接入 PPPoE 那么可以方便地进行地址的动态分 配 如果采用以太网和Per User Per VLAN的方式 地址消耗太大 使用私网 地址 NAT是合理的选择 如果以太网用户采用包月的方式 地址需要将大大增加 第二个因素是采用的产品的特性 第三个因素是是否考虑NAT对应用的影响 可能某个用户需要采用某种应用而该应用不能穿过NAT设备 如某些多媒 体应用和VPN应用 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 26 综合以上多种考虑 对于以拨号作为接入方式的接入节点 采用RADIUS服 务器进行地址管理 一般采用公网地址池 动态分配IP地址 如果地址空间缺口依然存在 建立公 私两个地址池 根据用户名或域名 进行区分 需要拨号接入服务器支持VPDN 这样只有私网用户需要进行地址转 换 同一个用户在连接前选择服务类型 若改变城域网使用的私网地址 调整 简单 对于采用以太网交换机作为接入方式的接入节点 由于大部分的个人用户 不需要固定的IP地址 因此对个人用户采用动态的IP地址 DHCP 分配可以节省 到 的地址资源 华为公司的Quidway S6506具有强大的地址转换能力 有效解决IP地址紧 缺的问题 S6506内置NAT业务板以NAPT方式支持公网和私网地址的转换 可以 支持城域网公网 私网地址混合规划 NAT单板支持IGMP FTP等ALG处理 NAT 板数量按照NAT容量灵活配置 支持NAT板间负荷分担和热备份功能 在S6506上做地址转换 可以把NAT功能分布在汇聚层各个设备上 减轻城 域网出口负荷 适用于规模较大的城域网 我们建议城域网边缘采用私网和公 网地址用户混合接入 城域骨干采用公有地址 个人用户个人用户 私网地址 私网地址 企业用户企业用户 公网地址 公网地址 网络网络 公网地址 公网地址 InternetInternet 企企业业用用户户企企业业用用户户 家家庭庭用用户户家家庭庭用用户户 DHCP ServerDHCP Server NMSNMS NATNAT 网管地址网管地址 公网地址 公网地址 技术建议书技术建议书 株州广播电视宽带综合信息网数据平台项目株州广播电视宽带综合信息网数据平台项目 27 5 用户认证用户认证 5 1 WEB VLAN认证认证 采用VLAN方式接入用户减少了客户端的工作量 同时提高了网络的传输 效率 但采用这种接入方式相对于PPPOE接入方式而言 由于减少了用户名以 及密码的验证过程 因此比较适合与终端相对固定的用户 如 政府机关 居 民用户等 而对于象学生等流动性强的用户 VLAN方式就显得捉襟见肘了 针对与这个问题 同时考虑目前浙江省网络现状以及各种接入方式的比较 本期城域接入层建设的接入方式考虑采用VLAN WEB的方式来实现 VLAN WEB认证指的是VLAN接入的用户通过登录门户网站 输入用户 名和密码 进行身份认证 从而获得用户访问权限的过程 当用户采用VLAN方式开机时 首先要通过DHCP过程来获得IP地址 在用户得到IP地址后 宽带接入服务器 以下简称BAS 把用户的权限设 为未认证用户 此时用户只能访问免费站点和门户网站 当用户想访问外部站 点时 必须先访问门户网站 进行登录 用户在登录过程中 输入用户名和密 码 经登录程序通过MD5算法加密后送到BAS BAS再把用户信息发送到 RADIUS认证服务器进行认证 在得到RADIUS服务器的认证结果后 BAS根 据认证结果改变用户权限 同时通知用户并开始计费 当用户结束访问时 需 要在门户网站上点击注销按钮 发送注销消息 BAS根