XX电信-商业银行网络评估分析及优化整改建议

福建省电信有限公司厦门市分公司网络维护中心 商业银行网络评估分析及优化整改建议目 录一商业银行VLAN/VPN网络情况介绍 1.网络拓扑介绍 2.设备运行情况介绍二.商业银行用户运行情况 1商业银行网络拓扑组成2. 商业银行用户故障统计3用户反馈信息三.商业银行故障分析四.商业银行网络优化整改建议 1光电收发器改造优化方案 2.商业银行网络替代方案一 商业银行VLAN/VPN网络情况介绍1 网络拓扑介绍 如图所示，商业银行VLAN/VPN网络都由港湾的6808和6802交换机组成，网络拓扑呈双星型结构: 网络的核心由两台6808交换机组成，江头、广通等9个节点的6802交换机通过双链路分别上联到新华6808和滨北6808。用户通过光纤直接接入6802。商业银行vlan/vpn是二层网络，不同的用户处于不同的vlan中。 2 设备运行情况介绍以下列出vlan/vpn网络中设备出现的重大故障：设备名故障现象故障处理故障原因分析最终解决方法滨北6808Vlan/vpn许多用户无法正常访问对端下电重启6808滨北6808主控板故障更换6808主控板Vlan/vpn许多用户无法正常访问对端下电重启滨北6808和新华6808与用户端stp配置冲突重新更改stp的配置到目前为止设备运行存在以下不足：l 6808和6802仅允许一个用户telnet交换机进行操作l 6808和6802日志信息不完善l 6802交换机为单主控交换机l 康联光电收发器质量不稳定二 商业银行用户运行情况1 商业银行网络拓扑组成 商业银行中心点网络图商业银行VLANVPN网络中心点共申请三条专线，经过调整后目前网络情况如下：1 商业银行用户交换机4600A作为用户主用交换机通过FA2/3和FA2/4连接至局端设备新华6802交换机的E2/24和E2/25口，并将两个端口进行捆绑group-channel的设置，使得两条链路负载分担用户业务，当用户专线发生单链路故障是不影响用户的正常使用。2 商业银行用户交换机4600B有备用链路连接至美仁宫6802节点E2/21端口，使得当两条主用链路都发生中断或者新华6802节点发生故障时，不影响用户业务。3 商业银行用户交换机4600A与4600B之间有两条链路相连接，进行端口绑定，并配置为trunk端口，允许所有的VLAN通过。4 VLANVPN网与商业银行用户网络中，VLAN ID均为111。5 在VLANVPN网络中配置生成树，滨北6808为根节点，根值为0。商业银行用户网络中也进行生成树配置，根值为16384。用户交换机4600B至美仁宫6802上的链路在主用链路正常的情况下，由生成树自动将用户交换机端口block，当主用链路故障时能自动切换至此链路上。2 商业银行用户故障统计 以下从2004年8月份到2005年2月份将商业银行发生的故障统计如下。用户名业务号故障发生时间故障历时故障类型商业银行广通点（V）L2004-8-27 12:22:311:43:13光电收发器故障商业银行V2004-8-31 16:11:341:28:53光路故障商业银行V2004-9-4 11:28:152:44:18光路故障厦门Vlan Vpn专线网络2004-10-191：00：00原因不明厦门Vlan Vpn专线网络2004-10-233：30数据设备原因（怀疑是商业银行用户接入引起VLAN VPN网络生成树重算异常）商业银行vpnL2004-11-13 11:00:152:20:34光路故障商业银行（V）L2004-12-14 11:30:440:39:51用户局域网故障商业银行虎园支点L2004-12-30 12:15:290:24:54局端接入交换机故障商业银行（V）L2005-1-11 11:26:110:59:09光电收发器故障商业银行L2005-1-21 14:45:123天19:35:00（挂起）光路故障商业银行vL2005-1-27 9:04:181:56:38光电收发器故障商业银行L2005-1-27 9:55:5923:34:19数据配置问题商业银行L2005-2-4 17:06:141:09:58用户自查商业银行（V）L2005-2-5 11:01:360:46:49光电收发器故障商业银行L2005-2-5 15:30:553:57:54光电收发器故障2006年1月到4月统计如下：从以上统计的数据可以看出，光电收发器的故障发生的次数较多。3 用户反馈信息与商业银行技术维护人员范永情反映，存在以下：l 丢包现象依然存在l 用户端光电收发器不可网管三商业银行故障分析 从用户反映的情况来看，丢包现象是用户目前存在的问题。在与用户配合调整局端康联光电收发器和局端6802交换机端口协商设置的过程中，发现康联光电收发器与6802的配合不稳定，不同的协商方式ping包的情况不一样：如有些配置要设成强制全双工，有些要设成自动协商。四 商业银行网络优化整改建议针对商业银行用户反映的现象，结合以往处理的故障经验，给出以下几种解决的技术方案。1 保持现有的网络结构不变，对康联的光电收发器（局端和用户端）进行更换并做到可网管。l 康联整改技术方案 A方案背景说明 各节点机房和网络管理中心均能提供10/100Base-TX 的TCP/IP 接入端口（通过DDN 或SDH网络加网桥模式也可实现TCP/IP 的接入方式），并各节点已能正常通信，即通过PING 命令方式任一节点机房与网络管理中心都能够完全执行。B连接示意图C系统连接设备功能简要描述1. 网络管理工作站：提供网络管理图形化界面的计算机设备，实现对介质转换器的统一监控、配置和管理。具体配置详见本方案后部的网络管理工作站配置说明。2. 1001R16P：COMLINK Model 1001R16P 机框系统为标准19 英寸设计，高仅3U，支持16 个模块接入，可提供双交/直流冗余备份电源输入。3. 1001NMC：Model 1001NMC 为网络管理代理单元，提供10/100Base-TX RJ-45 的网络连接接口用于连接网络管理工作站，与Model 1001R16P 机框系统配套使用。4. 1001CC：Model 1001CC 为网络管理级联单元，提供两个RS-232 连接接口用于级联1001NMC 网络管理代理单元，实现一个IP 多个机框的管理，与 Model 1001R16P 机框系统配套使用。D连接说明1. 节点机房a) 各节点机房配置需求数量的Model 1001NMC 机框系统，根据机房的电源情况配置相应的电源模块。b) 在Model 1001R16P 机框系统配置一块Model 1001NMC 用于实现网络管理信息的收集和传输，正常情况下一个节点只需配置一块1001NMC，在该节点的其它机框可以通过1001CC 进行级联，可以级联多达8 个机框系统，这种情况下，一个节点仅需一个IP 地址即可实现管理。c) 1001NMC 的10/100Base-TX 接口连接到该节点机房提供的TCP/IP 以太网端口，实现与网络管理中心的TCP/IP 通信连接，用于传输网管信息至网络管理工作站。2. 网络管理中心网络管理工作站的10/100Bbase-TX 接口连接到该中心提供的TCP/IP 以太网端口，实现与各分支节点机房的TCP/IP 通信连接，用于管理各分支节点机房所安装的介质转换器及其用户端。根据COMLINK Sever-Client 网络管理功能，可实现跨区域的多点管理一点的管理工作模式，每个管理点可根据需要进行权限分配，从而确保管理有效的运行。 E项目硬件配置表序号 产品型号 规格描述 数量1 1001R16P/R48 16槽机框系统，冗余备份双直流电源 102 1001NMC 主网络管理模块 93 1001CC 从级联模块 14 1028RC/S20 卡式快速以太网介质转换器，单模SC 20公里 105 1028/S20/AC 独立式快速以太网介质转换器，单模SC 20公里 10l 瑞斯康达整改方案i. 网管功能介绍 RC系列产品网络管理系统采用C/S结构，由控制台软件、服务器软件、数据库软件、SNMP Agent四部分组成；控制台软件提供人机操作界面，服务器软件处理各类网管信息，数据库软件存储所有的网管信息，SNMP Agent收集和发送网管信息。RC系列网络管理系统实现了对收发器模块的实时监控和配置，不但可以远程监控和配置十六槽机箱内的RC系列以太网光纤收发器模块、光端机模块、协议转换器模块、机箱内部温度、机箱电源模块和机箱风扇等的工作状态，同时在硬件的支持下还可以远程监控和配置台式设备、工作温度、电源模块等工作状态，而且在链路状态的监控与环回、告警数据的统计与分析以及用户管理权限的设置等方面均有重大突破。该网管系统基于广泛应用的标准SNMP网络管理协议，为用户提供基于Windows 98/ Windows 2000/ Windows NT/ Windows XP系统的、服务器代理模式的远程管理解决方案。RC系列产品网络管理系统结构框图如图1-1所示：图1-1 系统结构示意图RC系列产品网络管理由运行于PC机Windows上的图形化网管平台NVIEW（Manager）、固化在网管代理控制器模块RC001-NMS1上的嵌入式程序（Agent）、十六槽机箱被管理模块、台式被管理设备（需要硬件支持）四部分组成。网管平台NVIEW与网管代理控制器模块RC001-NMS1均通过以太网接口接入基于TCP/IP的管理网络，实现它们之间的互连互通，并以标准SNMP网络管理协议传输管理控制报文。网管代理控制器模块RC001-NMS1与十六槽机箱内的RC系列以太网光纤收发器模块、协议转换器模块及机箱监测模块之间通过复用串行通信线路通信，以获取被管理模块的各种工作状态。一个网管代理控制器模块RC001-NMS1除了可以监测它所在的机箱内的各种被管模块外，还可通过它的机箱互连接口对另外最多三个机箱内的各种被管模块进行监测，但这些机箱分别需要一个分配转换模块RC001-NMS2。网管代理控制器模块RC001-NMS1与台式设备的收发器和台式机箱检测模块之间的通信则是通过复用串行通信线路和十六槽机箱内连接有台式设备的收发器模块获得联系，然后通过连接光纤与台式设备获得联系。因此在台式设备中无须增加网管模块。B建议方案 方案一：在每台机箱加网管模块，可进行局端网管将现有的模块进行改造，将RC112-FE放在局端十六槽机箱中，并在RC002-16机箱第一槽位加上网管模块，将局端设备管理起来，并监控每个模块的工作状态。方案二：局端用户端均采用RC5系列产品，可实现远端网管全部采用RC5系列产品，具有远端网管且传输速率、工作模式可调的收发器，这样，通过网管软件不但可以管理局端，还可以通过光纤管理用户端设备，对整条链路进行N32k的带宽限速，对两端设备的相应参数进行配置，并可以实现远端网管。CRC系列产品远端网管技术优势及特点：RC系列光纤收发器网管系统通过物理层通讯协议实现客户端收发器网管这种网管方式的网络拓朴结构没有改变，没有增加任何物理设备，而且在网络的连接方式上没有占用任何网络资源（IP、端口等）。收发器A的网管信息由光纤传输至局端的收发器设备，再由局端的SNMP Agent模块将网管信息传输至网管平台。这种实现方式的优点在于： - 降低网管的实现成本 - 减少对网络资源的占用（IP资源、端口资源等）- 提高网管的可靠性，这种网管的实现方式是基于物理层的，只要保证物理线路的正常连接，即可实现对远端设备的管理。1、网管信息传输：RC系列光纤收发器网管系统的远端管理实现的是带外管理：网管信息和数据信息分为不同信息通道进行传输这种方式是利用光器件的传输特性实现，RC系列收发器的光器件传输能力都大于实际传输要求，例如10Mbps、100Mbps收发器的光器件实际传输能力为155Mbps，1000Mbps收发器的光器件实际传输能力为1250Mbps。在IEEE 802.3所规定的标准传输带宽外，利用光器件剩余的传输带宽，另外发起一条网管信息传输通道，达到实现远端管理的目的。带外管理的特点在于： - 不占用数据传输通道，保证数据传输的高效性。 - 和数据传输通道隔离，不会形成相互影响，可靠性高。- 扩展性好，当网管功能增强时，能保证一定的带宽传输网管信息。l 光电收发器更换和可网管预算Vlan/vpn光电收发器统计情况节点机框端口数新华1框康联光电收发器16个祥平1框康联光电收发器16个厦大1框康联光电收发器16个江头1框康联光电收发器16个滨北1框康联光电收发器16个美仁宫2框康联光电收发器32个广通2框康联光电收发器32个湖里3框康联光电收发器48个杏西1框康联光电收发器16个A 康联厂家预算序号产品型号规格描述单价11001R16P/RDC标准19英寸、16槽机框系统，双冗余备份的-48VDC输入电源1850.00 21001NMC主网络管理模块1500.00 31001CC网络管理级联模块800.00 41028RC/S20卡式快速以太网介质转换器，10/100M，单模SC 20公里470.00 51028/S20/AC独立式快速以太网介质转换器，10/100M，单模SC 20公里，220VAC500.00 结合厦门实际的机框的总数，康联替换和可网管方案预算预估为：.00（大约数值）B 瑞斯康达厂家预算序号名称型号单价备注1光纤收发器RC511-FE-S1700.00用户端设备，台式（卡式可订制）1光纤收发器RC512-FE-S1600.00局端设备，卡式219英寸机箱RC002-16AC1100.00据段16槽机箱，交流、单电电源模块RC009-2DC200.003单槽机箱RC001-1AC0.00赠送4主网管模块RC001-NMS11200.005从网管模块RC001-NMS2300.00级联用6网管软件NVIEW NNM0.00赠送 瑞斯康达替换和可网管预算预估为：.00（大约数值） 2 采用新的技术方案l VPLSQinQ方案建议VPLS(虚拟专用LAN网段，Virtual Private LAN Segments)是利用公共IP资源建立局域网的一种方法，类似于通过LANE在ATM网络上模拟局域网，VPLS中PE节点使用的是桥接技术而不是网络层转发。VPLS的组网是建立在MAC层转发上的，对网络层协议透明。虽然Martini和Kompella方式的MPLS L2VPN都可以实现两个LAN网段跨MPLS网络的点到点互联，但是它们都只支持VLL(Virtual Leased Link)方式的LAN网段互联。而VPLS可以通过公共IP/MPLS网络将多个LAN/VLAN网段连在一起，从用户角度看，可以将整个公共IP/MPLS网络看成一个大L3 Switch。整个厦门电信作为独立一个AS，厦门163核心作为MPLS VPN网络的P路由器，接入层SR路由器作为PE设备，这样先建立MPLS VPN的网络，建立起LSP转发路径，然后启动VPLS 业务，在需要建立VLAN业务的PE设备上，通过各个PE的loopback接口地址并利用该接口建立remote LDP Session。从而提供为VC标签交换进行协商的途径（通知对方约定信息）1） 外层标签为公网MPLS LSP标签，由LDP协议分配，有了外层标签，报文才能在公网上传输2） 内层标签为VC标签，由建立在Loopback接口上的remote LDP Session协商分配，PE为每条VC分配一个标签，如何分配是由两端PE事先协商确定的。PE根据内层标签判断报文属于哪条VC，从而传给正确的CE。组建基于VPLS后，可能面临的Vlan资源不够的问题，因为标准的vlan只有4k个，因此需要对vlan资源进行扩展，S8505支持QinQ技术，将vlan资源扩大到了4k4K的范围，满足了当前的业务需求，另外，尽管S8505的VPLS支持将两个具有不同VLAN ID号的VLAN进行连接，为用户提供了一定的灵活性。但是在同一个PE上，不同用户VLAN ID不能相同，否则就会产生冲突。这样对用户私网的VLAN规划仍然有一定的限制。使用QinQ特性正好可以弥补VPLS协议这两个缺陷，如图所示，将PE1的用户的接入端口配置为VLAN 2 的QinQ接入端口，将PE2的用户接入端口配置为VLAN 3的QinQ接入端口，然后只需要一条VC链路将这两个VLAN连接起来，用户就可以随意规划自己的VLAN，而不必顾及服务提供商。并且所有用户VLAN的流量都会从这一条VC链路中通过，大大节省了公网上的VC资源。传统vlan的不足：l 处于供应商一侧的PE设备往往下接了许多属于不同用户的CE。而这些用户内部本身就划分了许多VLAN，这些VLAN号往往会重叠。l 在传统实现方式中，VC是和VLAN ID对应的，PE只能根据VLAN ID来分配VC，而不会因为用户不同而分配不同的VC。l 当不同的用户侧CE下挂的VLAN ID相同时，即使是来