IP城域网组网演进与规划设计培训

IP城域网设计北京阿法迪信息技术研究中心2010年10月（一）IP城域网组网演进分析（二）IP城域网应用需求（三）IP城域网网络设计（四）IP城域网关键技术（五）IP城域网的安全策略（六）IP城域网接入方式（七）IP城域网应用案例解析IP城域网设计1、IP城域网回顾2、IP城域网面临的挑战IP城域网组网演进分析IP城域网回顾网络IP流量增长的构成2012年全球流量平均增长7倍，国内主流宽带运营商流量预期增长10~20倍。视频流量（IPTV、VoD、互联网视频）是驱动网络快速升级扩容的主要因素，其中IPTV流量增长13倍（复合增长率70％）。流量与收入之间存在错位，网络发展需要把握好二者之间的平衡。IP业务收入的构成IP城域网回顾新业务发展自营IPTV业务(高清视频)高带宽高质量高体验移动宽带业务高带宽高质量IP化政企大客户全业务高质量协同办公问题：如何构建一个满足有线、无线统一承载的高带宽、高质量和可控的网络？xDSLDSLAMOLTPONLSWLSWBRASSRRCR163骨干网家庭宽带接入骨干网城域网（本地网）MSTP接入环MSTP汇聚环WDMMSTP骨干环CN2骨干网AGWNGN语音接入政企专线接入低带宽、高SLA质量的网络高带宽、普通SLA质量的网络现有业务NGN业务企业专线2G3G语音家庭宽带Internet视频WiFi2G/3G语音接入IP城域网面临的挑战宽带用户的加速度逐渐放缓，ARPU值在下降。普通宽带上网业务占据了绝大部分的城域网带宽，由于P2P的缘故，单位带宽的收益在下降，同时P2P还给城域网带来了沉重的扩容压力宽带业务缺乏差异化（缺少内容，无法形成TriplePlay是主因），三网融合后，随着广电的全面进入，宽带接入将成为红海业务，面临非常激烈的竞争。传工信部选定的三网融合试点城市：上海、南京、杭州、深圳、哈尔滨、重庆、武汉、长沙、沈阳、忻州。广电也在选择自己的试点城市。三网融合的第一阶段(2010-2012)，若广电的试点城市，传统电信企业无法提供TriplePlay三重播放，那么竞争态势将非常严峻。各运营企业已建成覆盖全国的3G网络，确立了优势。随着移动业务的发展，移动互联网流量迅速增加，给部分热点地区基站移动回传造成压力。E1+MSTP的方式在回传带宽需求增加到一定程度时，在基站侧和MSTP侧都会出现成本瓶颈。基站侧提供FE接口是趋势，移动回传网络需用IP的方式实现。宽带业务增量不增收三网融合试点需求移动业务快速发展（一）IP城域网组网演进分析（二）IP城域网规划设计要求（三）IP城域网网络设计（四）IP城域网关键技术（五）IP城域网的安全策略（六）IP城域网接入方式（七）IP城域网应用案例解析IP城域网设计IP城域网规划设计要求在进行的城域网的规划和设计工作中，应当遵照城域网建设总体思路和原则进行。对城域网进行规划和设计，实现二、三层网络的分离，新、老用户的区分，3G/IPTV/Internet等多业务综合承载等为基本基本目标，打造“客户可识别、业务可区分、质量可控制、网络可管理”的电信级宽带城域网。总体思路：理清层次提升功能规范设备注重实效规划原则：网络层次清晰化网络结构扁平化网络质量差异化管理控制集中化设备要求规范化IP城域网规划设计要求DSLAM园区交换机骨干网汇聚交换机(可级联)楼道交换机核心路由器（可级连）业务路由器政企客户NGNAGMSTP等家庭网关终端宽带用户数据业务接入部分语音业务接入部分BRASOLTONU政企客户政企客户家庭网关终端宽带用户家庭网关终端宽带用户IP城域网城域骨干网宽带接入网核心层接入控制层汇聚层接入层城域网骨干相关设备核心路由器CRCR位于城域网的核心层CR主要完成城域网与骨干网设备的出口对接，完成对城域网内部的SR/BRAS的汇接，及在城域网开展MPLS后充当城域网的P设备。T级别集群路由器＋40G接口＋NSR＋ISIS快速收敛＋MPLS标签容量30万条城域网骨干相关设备业务路由器SRSR位于城域网的业务接入控制层SR主要完成专线用户的接入及充当城域网的PE设备。随着全业务的运营，主要满足CDMA核心网电路域、分组域和业务网承载需求的CE设备，其设备技术要求与SR基本一致10GE、10GPOS接口＋高速背板＋SVLAN＋VRRP＋策略控制城域网骨干相关设备BRASBRAS是面向公众用户宽带网络应用的接入网关，是城域网的业务接入控制点，位于IP城域网的骨干网内的业务接入控制层。BRAS主要完成公众用户PPP拨号接入、IPOE接入、专线用户的接入及充当城域网的PE设备。下一代BRAS发展的方向是MSE（Multi-serviceEdge)，融合BRAS、SBC（sessionBordercontrol）防火墙等多种产品，具有更强的业务感知和控制能力，为用户提供单边缘的接入控制。与SR同步演进＋对L2VPN的终结＋全面的组播和用户统计能力宽带接入网相关设备汇聚交换机汇聚交换机是IP网络业务的接入设备，位于城域网的接入层，用于公众业务的接入与汇聚，并传送至三层网络。随着FTTx用户的发展，汇聚交换机还需提供下联PON接口，具备OLT的功能。汇聚交换机将演进为具备交换机和OLT两种设备形态的融合汇聚交换机。256G以上整机容量＋SVLAN＋端口聚合＋组播＋三层能力＋BFD＋OAM宽带接入网相关设备园区交换机园区以太交换机是IP网络业务的接入设备，位于城域网的接入层，起到业务接入和汇聚功能。PON口支持，具备ONU能力＋BFD＋OAM宽带接入网相关设备DSLAMDSLAM是IP网络业务的接入设备，位于城域网的接入层。它是DSL接入复用设备，位于DSL宽带接入的局端。ADSL2+/VDSL2/EPON接口支持＋大容量＋跨VLAN组播复制＋整机性能提升。（一）IP城域网组网演进分析（二）IP城域网规划设计要求（三）IP城域网网络设计（四）IP城域网关键技术（五）IP城域网的安全策略（六）IP城域网接入方式（七）IP城域网应用案例解析IP城域网设计1、IP路由及组网技术2、IP路由规划与设计3、IP城域网自治域设计4、IP城域网中IP地址的规划5、IP网络中的流量工程设计IP城域网网络设计IP路由及组网技术核心层：由核心路由器组成，大型IP城域网可设置两级级联的核心路由器，中型和小型IP城域网仅设单级核心路由器（分类标准主要以预测宽带用户数为依据），适当控制城域骨干网各层次设备数量的比例。主要采用裸光纤承载网络设备间的中继链路，在传输距离长或光纤资源紧张的情况下，也可采用大容量WDM/SDH/MSTP承载。城域骨干网主要依赖IP网络自身的机制实现路由保护。IP路由及组网技术（续）业务接入控制层：应采用大容量、高密度设备。业务接入控制点的布放应以综合成本最低为原则，综合考虑光纤、传输资源条件和用户数量。相对集中布放宽带接入服务器（BRAS）和业务路由器（SR），覆盖至有足够业务需求的端局，在满足性能要求的前提下，部分BRAS可兼作SR。BRAS和SR需要支持SVLAN（Q-in-Q）。IP路由及组网技术（续）宽带接入网汇聚层采用以太网和MSTP/RPR作为基本组网技术。主要采用裸光纤承载网络设备间的中继链路，可为重要用户适当提供保护。从用户CPE（包括xDSLModem、IAD等）到业务接入控制点之间的设备（不含CPE和业务接入控制点设备）原则上不超过三级，边远地区最多不能超过五级。应采用SVLAN解决端口绑定和用户隔离问题，并为实现区分服务提供条件。DSLAM应尽量靠近用户设置，缩短铜缆半径，城区内最好控制在公里以内，最好在1公里以内，原则上不允许级联。IP路由及组网技术（续）IP城域网路由设计路由协议分类：路由协议可根据应用的范围分为：IGP（某区域内路由协议）BGP（AS之间的路由协议）IGP根据协议的工作原理，可分为：距离矢量路由协议（OSPF、ISIS）链路状态路由协议（RIP）静态路由IP城域网路由设计-IGP链路状态路由协议是目前使用最广的一类域内路由协议。它采用一种“拼图”的设计策略，即每个路由器将它到其周围邻居的链路状态向全网的其他路由器进行广播。这样，一个路由器收到从网络中其他路由器发送过来的路由信息后，它对这些链路状态进行拼装，最终生成一个全网的拓扑视图，近而可以通过最短路径算法来计算它到别的路由器的最短路径。IP城域网路由设计-IGP路由器通过构造拓扑数据库来反映整个拓扑的变化,并根据SPF算法决定到达目的地的最佳路由,因此,链路状态的路由信息具有最大的可靠性和真实性.通过层次化的构造建立起完善的地址分配预案,并使拓扑变化集中在本地区域不会造成全网的翻动.因此链路状态路由协议适合于大型网络.链路状态路由协议链路状态路由协议

快速收敛:当发生拓扑改变时,受影响的路由器通过发送改变的LSA(链路状态通告)迅速通知区域内所有路由器,而其他路由器通过对LSA的学习,重新进行SPF计算,然后在路由表中正确的反映出变化的路由信息.完全避免路由环路:路由器通过对其他路由器发出的LSA的学习,使得本身知道网络的拓扑.因此,就像生成树一样,完全构造出一个无环路的拓扑生成树出来。

链路状态路由协议本身有强大的可靠性机制:每个LSA都有源的标识和携带的序列号,通过序列号确保LSA的新旧;而发送的LSA也必须有确认,确保LSA信息准确无误.对网络设计有严格的要求：因为分层,地址分派和汇总是链路状态路由协议的命脉,要求工程师具有丰富的知识和专业经验.IP城域网路由设计-IGPIS-ISIS-IS协议是Intermediatesystemtointermediatesystem（中间系统到中间系统）的缩写，属于链路状态路由协议。标准IS-IS协议是由国际标准化组织制定的ISO/IEC10589:2002所定义的，标准IS-IS不适合用于IP网络，因此IETF制定了适用于IP网络的集成化IS-IS协议（IntegratedIS-IS）。和OSPF相同，IS-IS也使用了“区域”的概念，同样也维护着一份链路状态数据库，通过最短生成树算法（SPF）计算出最佳路径。IS-IS的收敛速度较快。集成化IS-IS协议是ISP骨干网上最常用的IGP协议。IP城域网路由设计-IGPIP城域网路由设计-IGPOSPFOSPF协议是“开放式最短路径优先(OpenShortestPathFirst)”的缩写，属于链路状态路由协议。OSPF提出了“区域（area）”的概念。区域又分为骨干区域（编号必须为0）和非骨干区域（非0编号区域），如果一个运行OSPF的网络只存在单一区域，则该区域可以是骨干区域或者非骨干区域。如果该网络存在多个区域，那么必须存在骨干区域，并且所有非骨干区域必须和骨干区域直接相连。OSPF利用所维护的链路状态数据库，通过最短生成树算法（SPF算法）计算得到路由表。OSPF的收敛速度较快。由于其特有的开放性以及良好的扩展性，目前OSPF协议在各种园区网络中广泛部署。IP城域网路由设计-IGPIP城域网路由设计-IGPIP城域网路由设计-IGPIP城域网路由设计-BGPBGP为了维护各个ISP的独立利益，标准化组织制定了ISP间的路由协议BGP。BGP是“边界网关协议(BorderGatewayProtocol)”的缩写，处理各ISP之间的路由传递。BGP运行在相对核心的地位，需要用户对网络的结构有相当的了解，否则一旦配置或操作出现问题，可能会造成较大损失。BGP提出了AS（自制系统）的概念，通常为每个运营商分配一个AS号码。IP城域网自治域设计-BGPBGP需要运行在IGP基础之上。MPLS/VPN需要运行在BGP之上。IP城域网路由设计-BGPBGP引入了邻居/对等体的概念。与IGP不同，成为邻居的路由器不必再在物理链路上直连。IP城域网路由设计-BGP如果两台成为邻居的设备不在相同的AS内，这个邻居关系被称为EBGP。IP城域网路由设计-BGP如果两台成为邻居的设备在同一个AS内，这个邻居关系被称为IBGP。IP城域网自治域设计-BGP为了避免一个AS过大，设备过多所带来的管理问题，BGP为一个AS内部提供了两个扩展功能：路由反射器（RR）AS联邦/联盟(Confederation)IP城域网自治域设计-BGProuteRoutereflectorroute路由反射器可以更好的控制路由条目更新，以及优化网络中路由更新的数据流量。IP城域网自治域设计-BGPAS61AS62AS63AS64AS12AS14AS42BGP联邦采用了“分而治之”的思路。在一个AS内进行区域细化，将区域内相关路由器划分为子AS。对外一直宣告联盟整体的AS号码。IP城域网自治域设计-BGP公用自治域号是由因特网授权的管理机构分配的。从AS号码资源的情况来看，我国现有AS号码大约200多个，比其它发达国家和地区少得多，这一方面说明，我国网络的层次性较好，管理集中，主要业务都集中在少数几个大型运营商那里；另一方面也与我国ISP的增加情况以及各大互联网络运营商与其它ISP互联的政策有关，新出现的中小型ISP想要取得与大型ISP对等互联的权力与大型运营商的政策也有着密切的关系。AS号码只是在一个网络与至少两家ISP做对等互联、交换路由信息的时候才需要使用，所以AS号码使用的情况与中小型ISP的数量及其互联的丰富程度有关。

IP路由规划与设计总体路由设计：城域网为单独AS域，城域网路由架构分为用户路由生成（customrouting）、IGP、BGP、MP-BGP路由4个部分。用户路由生成：指在城域网业务接入控制点（BRAS和SR）上配置生成或动态学习用户路由的实现方式和过程；IGP：运行在城域网二平面核心层和业务接入控制层，在城域网二平面三层设备之间承载和交换路由信息：城域网二平面AS域内设备接口（包括loopback接口）地址路由BGP：IBGP-运行在城域网核心层和业务接入控制层，承载城域网内用户路由；EBGP-运行在城域网出口路由器与骨干网路由器之间，实现城域网向骨干网发布城域网内的路由，并从骨干网接收缺省和国内路由或Internet全网路由。IP路由规划与设计1、RR功能设计：城域网内部署一组路由反射器(通常为2个)，可以选择城域网出口路由器兼做RR，RR处于转发路径上，RR的的簇ID默认为BGP的routerID，两个RR使用不同簇ID,都会接受对方发过来的BGP路由表，实现双方路由表一致。城域网二平面内设备分别与两个RR通过Loop建立IBGP会话，实现IBGP会话冗余。城域网核心之间通过互连接口建立常规IBGP会话。2、收发路由策略：为防止除核心外，城域网内其他设备误发布默认路由从而导致网内BRAS/SR等业务接入设备的流量被错误的引导，或其他重要业务路由被错误的重分布至BGP中，诸如：VOD、DNS、Radius等，RR从客户接收的路由策略应为：拒绝接收默认路由、指定的重要业务路由，允许其他所有。RR对客户的发送路由策略：禁止转发网外路由，只下发自己产生的默认路由，减少大量路由更新时导致的路由表波动和对链路资源的消耗。配置RR接收客户的路由策略：不接收默认和指定的重要业务路由，允许其他所有路由；配置RR发送客户的路由策略：针对扁平化已完成的地市，可只下发自己产生的默认；未完成的地市，只转发城域网域内的路由和自己产生的默认。IP路由规划与设计3、城域网BGP部署策略关闭BGP自动路由汇总特性、关闭IGP与BGP的同步。开启BGPDAMPING，避免路由抑制对业务的影响。关闭bgpalways-compare-med、宣告给骨干网的路由携带MED属性，设置MED=0。明确配置BGProuter-id为Loopback0地址。根据需要确定BGPMultihop的TTL值，对大部分情况，配置EBGPMultihop为2。明确配置community格式。BGP采用密码建立邻居关系。EBGP和IBGP开启负载均衡。配置BGP出方向路由过滤，宣告给骨干网网路由尽量合并。使用Loopback地址与骨干建立EBGP关系，不使用接口建立关系。IP路由规划与设计4、默认路由管理出口核心配置多条上行至骨干设备的静态默认路由，作为所收取骨干下发默认路由的备份，管理距离设置为250城域网内汇聚BR，BRAS/SR设备设置多条备份的静态默认路由，管理距离设置为250，作为所收取的ISIS/BGP默认路由的备份。出口核心配置多条上行至骨干设备的静态默认路由，绑定互连骨干设备链路的端口和下一跳地址；出口核心设备的ISIS进程始终下发默认，同时IBGP也下发默认至RR客户；城域网内汇聚BR,BRAS/SR设备设置静态默认路由，绑定互连骨干设备链路的端口和下一跳地址，做为ISIS/BGP默认的备份。IP地址是一个三层的地址，是在网络上进行TCP/IP通讯的基础，每个连接到网络上的计算机或第三层设备都必须至少有一个IP地址。目前使用的IP协议版本为IPv4，下一个版本为IPv6。为了便于网络寻址以及层次化构造网络，每个IP地址包括两个标识(ID)，即网络ID和主机ID。同一个物理网络上的所有机器都用同一个网络ID，网络上的一个主机(包括网络上工作站，服务器和路由器等)有一个主机ID与其对应。因此IP地址的格式为:“网络地址+主机地址”或者“网络地址+子网地址+主机地址”。一个简单的IP地址包含了网络地址和主机地址两部分重要的信息。IP地址根据网络ID的不同共分为五类，A类主要分配给大型网络，B类分配给中等规模网络，C类分配给小型网络，D类用于组播服务，E类用于科学实验。IP城域网中IP地址的规划IP城域网中IP地址的规划IP地址规划是否得当会对路由协议的运行效率、网络的性能、网络的扩展、网络的管理产生影响。从IP地址规划中可以看出一个网络的规划质量，甚至可以反映出一个网络设计师的技术水准。IP地址规划应遵循唯一性、连续性、扩展性、实意性、节约性原则。IP城域网中IP地址的规划每类网络可以容纳不同数目的主机，它们处于同一广播域。如果在同一广播域中有过多节点，网络会因为广播通信而饱和与地址浪费；随着互连网应用的不断扩大，IP地址资源越来越少。为了实现更小的广播域并更好地利用主机地址中的每一位，可以把基于类的IP网络进一步分成更小的网络，每个子网由路由器界定并分配一个新的子网网络地址,子网地址是借用基于类的网络地址的主机部分创建的。划分子网后，通过使用子网掩码，把子网隐藏起来，使得从外部看网络没有变化。子网掩码也是一个32位字段，是与IP地址结合使用的一种技术。它的主要作用有两个：一是用于区别网络标识和主机标识，并说明该IP地址是在本局域网内，还是在其他网络内；二是用于将一个大的IP网络划分为若干小的子网络。根据CNNIC的统计，我国所拥有的公网IP地址资源仅占世界的约3%，在亚太地区已分配公网IP地址中，我国IP地址总量只占约25%。IP城域网中IP地址的规划统一性原则地址分配需要统一规划、统一协调、统一管理。要求从全局的角度考虑问题，掌握网络结构和业务内容，同时对网络和业务的发展具备一定的前瞻性。层次性原则层次化的规划可以极大的降低管理的复杂程度，提高网管效率，提升路由速度。清晰的地址分配结构是网络运行发展的基本要求和保障，良好的层次性能够为网络提供更好的可维护性和可扩展性。连续性原则有层次的科学的连续地址规划能够实现地址的最优使用，最大程度避免地址浪费现象出现，但连续并不能单一的从节省地址资源出发考虑。唯一性原则地址的唯一性是地址规划的最基本要求，在地址规划当中需注意与集团公司、其他省公司以及其他并行业务网络的实际情况，尽量做到IP地址的唯一性。节约性原则由于IP地址资源紧张，可获得的IP地址会越来越少，对于IP地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术来实现。IP城域网中IP地址的规划需要连接省间骨干网的主机如IDC中需要对公网开放并在公网上提供服务的服务器；连接公网业务提供服务的设备城域网上提供路由功能的各种数据设备如BRAS、SR、汇聚路由器、接入路由器等设备；企业专线用户通常企业用户内部已经给最终用户分配了了私有的IP地址，由企业自身执行地址转换（NAT/PAT）完成。可根据用户需求，分配一个或多个IP地址；个人接入用户个人用户需求较为简单，多数仅仅为公网接入。只需要当用户上线时临时分配一个IP地址，一旦用户离线，IP地址收回分配给其他用户；IP城域网中IP地址的规划为内部提供服务的主机对内提供服务的服务器等设备，此类设备虽然放置在IDC机房中，但不在公网上提供服务，其服务仅对移动公司内部提供。为此类设备分配能够与公司内网互通的私有地址；网络设备的管理地址几乎所有的设备都使用LoopBack（回环）接口作为网管地址，与网管系统进行通信；用户数量过多的业务如果开展的业务接入用户数量过多，使用私有地址分配给用户，在业务平台出口处执行地址转换操作；IP城域网中IP地址的规划从集团公司得到地址段省管地址地市管理地址管理区域划分设备互联地址省管机房地址省管业务地址其他类地址功能划分省会城市其他地市区域划分业务1业务N业务N业务1业务划分业务划分IP城域网中IP地址的规划甘肃省共有包含兰州在内的14个地市、州，(2^3=8)<14<(2^4=16)则使用地市管理地址中可分配区间的前4bit位作为地市代码，可表示16个地市。由于兰州市内用户数量和业务数量较多，使用0、1、2三个代码代表兰州，其余地市均使用自身代码。地区二进制代码十进制代码兰州000000001100102庆阳00113张掖01004定西01015天水01106酒泉01117白银10008平凉10019武威101010金昌101111临夏110012陇南110113嘉峪关111014甘南111115地区代码分配表IP城域网中IP地址的规划需要考虑规划的地址类型：Loopback地址

通常会为每一台设备创建一个Loopback接口，并在该接口上单独指定一个IP地址作为管理地址。设备互联地址

指网络设备之间相互连接的接口所需要的地址。业务地址

是连接在网上的各种服务器、主机、客户所使用的地址以及网关的地址。IP网络中的流量工程设计（一）IP城域网组网演进分析（二）IP城域网规划设计要求（三）IP城域网网络设计（四）IP城域网关键技术（五）IP城域网的安全策略（六）IP城域网接入方式（七）IP城域网应用案例解析IP城域网设计1、组播路由技术2、MPLSVPN技术IP城域网关键技术组播路由技术组播（multicast）是指把某一信息同时传递给一组目的地址。它使用策略是最高效的，因为在消息在每条网络链路上只需传递一次，而且只有在链路分叉的时，消息才会被复制。与多播相比，常规的点到单点的传递被称作单播。当以单播的形式把消息传递给多个接收方时，必须向每个接收者都发送一份数据副本。由此产生的多余副本将导致发送方效率低下，且缺乏可扩展性。组播安全性是一个重要的问题。标准的、实用的通信安全解决方案一般采用的是对称加密。但是将其应用于IP组播流量可能会使任何一个接收方都拥有冒充发送方的能力。组播路由技术（续）IP组播有三种基本的传递方式：密集组播稀疏组播源特定组播IP组播协议：互联网组管理协议（IGMP）协议无关多播（PIM）距离矢量多播路由协议（DVMRP）组播OSPF（MOSPF）组播BGP（MP-BGP）组播源发现协议（MSDP）MPLSVPN技术多协议标签交换（Multi-ProtocolLabelSwitch，简称MPLS）是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。多协议的含义是指MPLS不但可以支持多种网络层层面上的协议，还可以兼容第二层的多种链路层技术。它的价值在于能够在一个无连接的网络中引入连接模式的特性；其主要优点是减少了网络复杂性，兼容现有各种主流网络技术，能降低网络成本，在提供IP业务时能确保QoS和安全性，具有流量工程能力。此外，MPLS能解决VPN扩展问题和维护成本问题。MPLSVPN技术MPLS属于第三代网络架构，是新一代的IP网络交换标准。MPLS使用标记交换（LabelSwitching），网络路由器只需要判别标记后即可进行转送处理。它整合了IP选径与第二层标记交换为单一的系统，因此可以解决Internet路由的问题，使数据包传送的延迟时间减短，增加网络传输的速度。MPLSVPN技术MPLSVPN是一种基于MPLS技术的IP-VPN，根据PE（ProviderEdge）设备是否参与VPN路由处理又细分为二层VPN和三层VPN（一）IP城域网组网演进分析（二）IP城域网规划设计要求（三）IP城域网网络设计（四）IP城域网关键技术（五）IP城域网的安全策略（六）IP城域网接入方式（七）IP城域网应用案例解析IP城域网设计城域网提供的Internet连接及设备之间的高速连接链路上，原则上不应设置防火墙、防毒墙、入侵防御等安全设备。城域网IDC区域，及对外提供服务的区域应当设置相应的防火墙、流量清洗类设备，以提供安全防护。可以在核心区域建设入侵检测类旁路设备，对区域内流量进行监测。城域网内所有设备的管理地址，原则上不参与Internet路由，仅为本地网管系统服务，可配置私网地址。特殊情况下（省网或全国网设备）设备管理地址应当有严格的路由策略，避免与公网流量进行互通。IP城域网的安全策略（一）IP城域网组网演进分析（二）IP城域网规划设计要求（三）IP城域网网络设计（四）IP城域网关键技术（五）IP城域网的安全策略（六）IP城域网接入方式（七）IP城域网应用案例解析IP城域网设计1、宽带城域网的无线接入2、宽带城域网的有线接入IP城域网接入方式宽带城域网的无线接入无线接入目前主要有两种手段：一种是采用WLAN(无线局域网)；另一种是借助移动通信网，如GPRS或3G。WLAN采用协议，可在一定范围内提供较低移动性的高速数据业务54M、108M~300M。WLAN保持了局域网高速率的特点，可以作为有线局域网的补充，在一定场合甚至可以替换有线局域网。无线局域工作在的频段。

宽带城域网的有线接入应当推进宽带接入网络优化改造，网络结构扁平化，合理布局汇聚节点，对性能无法满足要求的汇聚设备进行升级改造，提高转发效率，降低故障率。当前，接入网技术的主要是充分利用铜缆的技术，并且组网模式可以和FTTx相结合。在PON技术成本逐步降低的前提下，PON的份额也在逐步加大。就远期而言，利用光纤实现FTTH的PON技术将成为未来城域网接入技术的主流。城域网有线接入的主要发展趋势是宽带化、光纤化、IP化，能够提供更高的带宽更方便的认证和计费。宽带城域网的有线接入-PONPON技术始于20世纪80年代初，目前市场上的PON产品按照其采用的技术，主要分为APON／BPON（ATMPON／宽带PON）、EPON（以太网PON）和GPON（吉比特PON）。从长远的业务发展趋势看，ATM化的无源光网络/宽带无源光网络（APON/BPON）可用带宽远远不够。以FTTC为例，尽管典型主干下行速率可达622Mbit/s，但分路后实际可分到每个用户的带宽将大大减小。按32路计算，每一个分支的可用带宽仅剩19.5Mbit/s，再按10个用户共享计算，则每个用户仅能分到约2Mbit/s。

宽带城域网的有线接入-PONEPON以以太网为载体，采用点到多点结构、无源光纤传输方式，下行速率目前可达到10Gbit/s，上行以突发的以太网包方式发送数据流。考虑PON是一种点到多点的物理和逻辑拓扑结构，而传统的以太网是点到点的协议，所以如何在点到多点的EPON中传送点到点的以太网协议，是以太网应解决的技术问题。此外EPON技术中还需解决的问题包括：点到多点的光系统中突发模式传送的问题；PON中不同ONU与OLT的距离相差较大，需要解决到达OLT光信号强度的巨大偏差问题；解决非授权ONU的累积噪声对授权ONU发出的光信号的干扰问题；宽带城域网的有线接入-PON相对而言，GPON技术可以更好地解决上述EPON这些问题。GPON除了支持更高的速率之外，还以很高的效率支持多种业务，提供丰富的功能和良好的扩展性。GPON不仅可以提供10/100Mbit/s、1Gbit/s的业务，而且可以提供VLAN业务和语音业务。同EPON是制造商驱动的技术标准不一样，GPON是运营商驱动的标准，因此具有更周到的运营利益考虑。宽带城域网的有线接入（一）IP城域网组网演进分析（二）IP城域网规划设计要求（三）IP城域网网络设计（四）IP城域网关键技术（五）IP城域网的安全策略（六）IP城域网接入方式（七）IP城域网应用案例解析IP城域网设计城域网双边缘目标架构城域网二平面目标架构交换机路由器防火墙防毒墙NAT技术VLAN技术虚拟路由器负荷分担IPv6技术概念交换机交换机工作于OSI参考模型的第二层，即数据链路层。交换机通过ARP协议学习它的MAC地址，保存成一张交换表。在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。因此，交换机可用于划分数据链路层广播，即冲突域；但它不能划分网络层广播，即广播域。交换机的的三个主要功能：地址学习（Mac地址）帧的转发/过滤回路防止（生成树）交换机被广泛应用于二层网络交换。中档的网管型交换机还具有VLAN划分、端口自动协商、MAC访问控制列表等功能，并提供字符界面或图形界面控制台，供网络管理员调整参数；交换机-生成树冗余拓扑消除了由于单点故障所引致的网络不通问题，却带来了数据环路的问题。在交换网络内，采用生成树协议进行环路避免。路由器路由器是连接两个以上网络线路的设备。由于位于两个或更多个网络的交汇处，从而可在它们之间传递数据。路由器与交换机(Switch)在概念上有一定重叠但也有不同：交换机泛指工作于任何网络层次的数据中继设备（尽管多指网桥），而路由器则更专注于网络层。路由器也被当作Internet网关，主要用在小型网络中如家庭或小型办公室。这种设备使用的Internet连接往往是一直在线的宽带连接如线缆调制解调器和DSL。这种路由器连接两个网络-WAN和LAN并有自己的路由表。尽管在家庭应用中并不需要太多路由功能（因为只存在两条路-WAN和LAN）。额外地路由器还支持DHCP、NAT、DMZ和防火墙功能，也有一些支持内容过滤和VPN。目前高端路由器和交换机的区别已经不再明显，都有大容量告诉转发等功能。路由器为了实现路由,路由器需要做下列事情:识别分组中的目的IP地址。识别分组中的源IP地址——主要在策略路由中存在。在路由表中发现可能的路径。选择路由表中到达目标最好的路径。维护和检查路由信息.路由器IP路由：把一个数据包从一个设备发送到不同网络里的另一个设备上去。这些工作依靠路由器来完成。路由器并不关心主机，它们只关心网络的状态和决定网络中的最佳路径。路由的实现依靠路由器中的路由表来完成；对于每个不同的可路由协议来说，在路由器会分别构造一张路由表。每个路由器针对每个可路由协议来说只能有一张路由表！三层交换传统的交换机通过Mac地址对数据帧进行转发，既我们常说的二层交换。随着网络的发展，交换机被越来越多的使用。同时提供路由与交换功能对传统交换机提出更高的要求，多层交换随之而生。三层交换机可以处理第三层网络层协议，用于连接不同网段，通过对缺省网关的查询学习来创建两个网段之间的直接连接；四层交换机可以处理第四层传输层协议，可以将会话与一个具体的IP地址绑定，以实现虚拟IP；此外还有七层交换机。三层交换：一次路由多次交换。优点：较传统交换机相比，提供了三层的路由功能。较传统路由器相比，提供了更快的转发速度。防火墙防火墙基本的功能就是控制在网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。防火墙防火墙基本的功能就是控制在网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。防毒墙防毒墙是指位于网络入口处（网关），用于对网络传输中的病毒进行过滤的网络安全设备。通俗的说，防毒墙可以部署在局域网和互联网交界的地方，阻止病毒从互联网侵入内网。凡是病毒都有一定的特征。防毒墙会扫描通过网关的数据包，然后对这些数据进行病毒扫描，如果是病毒，则将其清除。理论上讲，防毒墙可以阻止任何病毒从网关处侵入企业内部网络。防毒墙防毒墙和防火墙的区别：防火墙对网络数据流连接的合法性进行分析，它对从正常电脑上发送过来的病毒数据流是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况；防毒墙则是为了解决防火墙天生的防毒缺陷而产生的一种安全设备。它可以进行网关处的查毒工作，对病毒的界定则更准确、更可靠。NAT网络地址转换（NetworkAddressTranslation或简称NAT）是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。根据规范，路由器是不能这样工作的，但它的确是一个方便并得到了广泛应用的技术。当然，NAT也让主机之间的通信变得复杂，导致通信效率的降低。目前存在两种地址转换方式。一种是经常被简记为“NAT”的网络地址转换(有时也叫做“网络地址端口转换”，NAPT/PAT)，这种方式支持端口的映射并允许多台主机共享一个公用IP地址。另一种也可以称作NAT或“基本NAT”，“静态NAT”，在技术上更简单一点，仅支持地址转换，不支持端口映射，这就需要对每一个当前连接都要对应一个IP地址。NATNATVLAN虚拟局域网（VirtualLocalAreaNetwork或简写VLAN）是一种建构于局域网的网络管理的技术，网管人员可以借此有效分配出入局域网的封包到正确的出入，达到对不同实体局域网中的设备进行逻辑分组管理，并降低局域网内大量数据转发时，因无用封包过多导致雍塞的问题，以及提升局域网的安全保障。一个VLAN相当于OSI模型第2层的广播域，它能将广播控制在一个VLAN内部。而不同VLAN之间或VLAN与LAN/WAN的数据通讯必须通过第3层（网络层）完成。否则，即便是同一交换机上的接口，假如它们不处于同一个VLAN，正常情况下也无法进行数据通信。隔离广播域，抑制广播报文.分隔不同用户,提高网络安全性.虚拟工作组,超越传统网络的工作方式主机A主机B主机C主机D以太网交换机VLAN表Port1Port2Port7Port10端口所属VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10VLANVLAN表User所属VLANUserAVLAN5UserBVLAN10UserCVLAN5UserDVLAN10主机A主机B主机C主机D以太网交换机Port1Port2Port7Port10VLANVLAN每个逻辑VLAN就像一个一个物理上分离交换机.VLAN能跨越多台交换机;也就是说,VLAN信息可以在交换机之间传递和学习.Trunk(中继线路)能承载多个VLAN的流量.Trunk使用中继协议来区分不同VLAN的流量.VLAN虚拟路由器虚拟路由器即VirtualRouter，是指在软、硬件层实现物理路由器的功能仿真，属于一种逻辑设备。每个VR应该具有逻辑独立的路由表和转发表，这样就使不同VR间的地址空间可以重用，并保证了VR内部路由和转发的隔离性。虚拟路由器类似交换中的VLAN技术，通常用于MPLS/VPN网络中，用以隔离多个VPN网络。MPLS多协议标签交换（MPLS），是一种全新的数据转发技术。较之传统的IP路由转发相比，标签交换可以让路由器更加快速的将数据包转发至目的地。MPLSMPLS的标签共4个字节（Byte），被封装在第二层报头和第三层报头之间，所以有人将MPLS技术称之为“层”技术。MPLS像路由协议一样，MPLS路由器将标签分配完成后，需要将标签分配信息发送给其他运行了MPLS的路由器。所以标签交换也需要有IP路由（通常是IGP）作为基础运行条件。但是MPLS里的IP路由，仅仅作为标签传递的工具，不再作为数据转发使用，这里的数据转发由标签交换来完成MPLSMPLS/VPNMPLS/VPN中，关键设备为PE。所有的标签压入/弹出工作都是由PE来完成的。PE通过虚拟路由转发技术，将一台路由器虚拟成为多台路由器，以达到VPN的效果。