某公司-城域网建设简介.ppt

1、技术规划部-何志贤,广州市城域网建设,广东省广播电视网络有限公司,Q & A,IP网络建设的技术主要要点,IP城域网的建设,网络设计与方案制定,网络整体设计 宽带汇聚节点和数据中心节点设计 各区汇接节点设计 业务路由设计 安全设计 IP地址规划设计,方案设计,没有IP城域网的可根据实际情况为各分机房安装城域网接入设备。 优化改造原有数据中心网络，规划并建立与城域网间的链路。 分析业务数据流向及未来发展用户带宽。,优先从总前端开始进行网络改造，IP地址规划。 新城域网设备路由调试及链路调试。 新城域网接入设备替换原有IP网络接入设备的割接实施。,定制方案,计算用户带宽需求总数及端口类型（考虑并发

2、负载及单链路承载能力） 设计网络冗余链路及根据用户发展情况而扩展的链路资源 根据用户数量和分布情况、前端服务应用分布、办公网和互联网出口设备合理规划和分配IP地址并对核心交换网划分合理的VLAN 安全设备部署规划,设备选型及合理规划,支撑量统计,统计下行及上行双向可带用户数及带宽支撑能力情况 例：设备支撑能力估算,市网计划2012年内发展10万高清互动用户,IP地址规划,点到点的链路（广域网网络地址）：实现全市广电城域网路由器之间的垂直互联，配置30位地址掩码的最小子网，这是拥有两个可用地址空间的子网，点到点链路地址包括:垂直网络系统中的互联网络设备（包括城域网到CMTS、IPQAM及EPON

3、等）。 横向应用接入地址（VOD数据核心交换网）：实现视频点播及其他多方面SP增值业务接入城域网。 路由器 loopback 地址（管理地址）：每台路由器一个/两个32位掩码的IP地 址。 Loopback地址是为路由协议和网络管理而定义，为BGP peer提供一个稳定的指向，且能够确保当链路故障时网络操作依然可以访问路由器。 内部数据网地址（接入）：实现VOD视频各功能、本地BOSS数据库以及管理业务服务器的接入，根据服务接入数量和设备数量来分配子网空间。 用户终端地址（CPE、CM）：由DHCP分配，提供终端IP地址（私网和公网），实现双向互动，根据用户现有数量及发展规划进行合理分配。,V

4、OD互动点播 SP增值类业务 直播流控服务,反向射频,BOSS管理区 用户授权 操作审计 增值计费,异构/专线,DNS、DHCP,宽带出口 网络CDN,CMTS IPQAM EOC,EPON+LAN FTTB/H,城域网功能承载分布情况,IP城域网整体作为一个独立的自治域AS. 利用MPLS VPN技术实现宽带用户业务、 互动电视用户业务、机房监控业务的“一”网承载。,整个IP城域网的路由规划包括两部分：,IGP路由OSPF & Statis 由于独立一个自治域(Are 0)构成，配置使用OSPF作为IGP 协议，承载一般路由和承载MBGP为主要作用。 配合静态路由，指向用户终端网段，现实终端

5、与前端互通。,2.BGP路由 按照统一规划可为双核心配置BGP路由反射，减少peer的建立，减少设备开销 利用MBGP路由承载MPLS VPN,路由协议规划,宽带与互动的业务融合,高安全、高性能支撑网,安全防护,流量优化,网络扩展,统一接入,设计规划,网络汇聚,业务统一,1.测试可用性及业务的承载能力 2.统一规划部署及割接施工 3.网络优化、调整 4.建立安全保障体系（安全播出） 5.统一业务管理,宽带与互动的业务融合,Q & A,IP网络建设的技术主要要点,IP城域网的建设,网络设计与方案制定,原有IP网络和单向HFC网各一张 原有IP网络设备核心为Cisco 6509两台 分前端各部署C

6、isco 3750G交换机一台 互联网出口部署Cisco 7609路由器两台 承载15万宽带用户 承载1万高清互动用户 目标20-25万宽带用户 10万高清互动用户,改造前网络情况,前端网络改造情况,已割接某一分前端,未割接分前端,割接前先部署好总前端路由核心 和分前端之间链路和vpn配置后 可把原有分前端的网络设备接入 新的分前端路由器上。,原有的各节点分前端机房通过光纤连接 交换机，通过路由转发宽带和互动数据。,网改步骤,按实际环境逐步进行业务割接 首要考虑先完善业务中心网络，建立核心及路由骨干汇聚，然后配合实际情况，新建 或对旧有网络进行迁移割接到新的IP城域网上。,高清互动资源,互联网

7、 联通出口,互联网 电信出口,DNS DHCP,CMTS,CMTS,数据流向示意,网络VPN流量示意图,互动,宽带,管理,VPN,MPLS,运行了MPLS的设备无论是边缘路由器（PE） 还是骨干路由器（P） 均可看成一个云整体， 每一个PE的端口只要配置了VPN实例的都是 该整体的一个流量出入口，它能到达的就是其 他配置了相同 VPN实例的端口。,在MPLS VPN中： 不同VPN之间的路由隔离通过VPN实例（VPN-instance）实现。 为保证VPN数据的独立性和安全性， 路由器为每个VPN实例建立单独的VRF路由转发表， 即每个VRF对应一个VPN。 VRF名称是VPN的标识符， 用于

8、本路由器区分不同的VPN， 建议对整网的VRF名称进行统一规划， 便于不同VPN的识别、控制和管理。 IP城域网中， VRF名称的命名可如下例： 访问电信的宽带用户业务VPN1：VPN_Telcom 访问联通的宽带用户业务VPN2：VPN_Unicom 互动电视用户业务VPN3：VPN_Hudong 公共服务业务（DHCP/DNS）VPN4：VPN_Public 机房监控和网管网业务VPN5：VPN_Guangli,MPLS VPN命名,VPN命名与区分,VPN互通规则,安全设备部署 设备安全配置 网络防火墙 入侵检测,网络管理系统 安全审计系统 ACS & RSA H3C IMC Solar

9、Winds,接入安全控制 接入准许权限 ACL DHCP option,IP网络,整体安全部署,项目启动阶段：建立项目团队/技术小组、组织相关设备厂家技术培训。 项目深化设计阶段：完成工程建设需求分析、完成各项任务的深化设计和设备到货及工程施工。 项目实施阶段：定期和设备厂商/集成商及相关技术负责人召开技术报告、协调和技术研讨会。,项目阶段建议,Q & A,IP网络建设实施细节,IP城域网的建设,网络设计与方案制定,其他一些注意的地方： 1.设备链路资源需要确认，包括是否有双路由（网通、电信等） 2.根据网络设计情况采购的光模块是否足够，考虑双链路和扩容等 3. 单多模各多少，数量预算及单多模

10、尾纤的准备 4.光链路的衰减范围对应采购的光模块距离是否适合 5.解决机房电力问题，10A、16A的PDU等,实施细节,设备命名规则 设备命名如下格式：本单位缩写_设备型号_序号 例：广州市局总前端核心路由器SR8812,第1台：GZ_SR8812_1 海珠区分前端汇聚路由器SR8808,第1台：HZ_SR8808_1 数据中心核心交换机S12518： DataCenter_S12518_1,设备命名及端口描述,描述遵照如下格式：To 对端设备名称 对端端口号 FE百兆以太网端口 GE-千兆以太网端口 XE-万兆以太网端口 例如：连接到核心第1台SR8812第1槽第1个万兆光口的端口描述如下：

11、 To GZ_SR8812_1_XE1/0/1,端口描述,路由的设置与描述,描述遵照如下格式： 普通静态路由：下一跳设备型号设备名称设备排序终端类型 例如：在某分前端一台接入路由器上配置一条静态路由，去往连接在下连交换机上的门禁系统。 ip route-static x.x.x.x 255.255.225.0 x.x.x.x description C3750_HZ_SW_1-AS,VPN路由：VPN实例下一跳设备型号设备名称设备排序终端类型 例如：在某分前端一台接入路由器上配置一条静态路由，去往CMTS下的某一互动用户CableModem网段。 ip route-static vpn-ins

12、tance hudong x.x.x.x 255.255.225.0 x.x.x.x description hudong-CASA10G-HZ_CMTS_1-CM,路由描述 路由描述是IP网络建设的一个非常重要的环节，建设与运维都离不开的必要工序。,如果网络中存在使用vlan端口配置IP网关地址的，请注意使用Track配置链路 检测，以免因同一VLAN下某一物理端口故障造成的黑洞路由问题。,Track的用途是实现联动功能。可以通过Track实现动态监测端口，更新路由表。 通过Track模块将链路探测结果通知给交换机系统模块。 在感知到网络状态的变化后（网络端口没进入DOWN状态而不通的情况）

13、, 及时处理、更新路由表项,从而避免丢包或转发性能降低可能性。,Track,VLAN X,发生故障,VLAN 端口,连接服务器或者固定终端设备的端口可以配置相应的配置加快端口收敛速度 可减少端口端口重新计算STP时间，加速端口状态恢复。 H3C ： stp edged-port enable Cisco ：spanning-tree portfast,端口安全及保护,统一规划生成树配置 H3C 默认为MST协议 Cisco默认为PVST+协议,S T P,不同厂家、不同牌子的设备之间使用聚合端口时要注意 必须经过测试再进行业务连接或者割接 配置静态模式还是动态LACP模式均需要测试，不同版本或

14、者型号也可能会有不一样的兼容问题,这是一个案例情况，对端是一台CMTS 聚合状态是S，应该是没问题的，但是实际上这条链路造成了半数的丢包情况，严重影响业务。 因为一条物理链路的故障，影响了整个聚合端口的流量，这是违背了聚合所带来的冗余安全特性。,聚合/Port Channel,设备登陆审计及配置保存,配置AAA服务器，通过Tacacs+/Radius对网络设备进行审计管理，可配合RSA Server对用户进行加密认证管理，进一步加强设备的管理安全性。,认证(Authentication)：验证用户的身份与可使用的网络服务；,授权(Authorization)：依据认证结果开放网络服务给用户；,计帐(Accounting)：记录用户对各种网络服务的用量，还可以记录操作；,TACACS+应用传输控制协议（TCP），而RADIUS使用用户数据报