IP城域网组网演进与规划设计培训

*,IP,城域网设计,北京阿法迪信息技术研究中心,http:/www.iforward.org/,2010,年,10,月,（一）,IP,城域网组网演进分析,（二）,IP,城域网应用需求,（三）,IP,城域网网络设计,（四）,IP,城域网关键技术,（五）,IP,城域网的安全策略,（六）,IP,城域网接入方式,（七）,IP,城域网应用案例解析,IP,城域网设计,1,、,IP,城域网回顾,2,、,IP,城域网面临的挑战,IP,城域网组网演进分析,IP,城域网回顾,网络,IP,流量增长的构成,2012,年全球流量平均增长,7,倍,，国内主流宽带运营商流量预期增长,1020,倍,。,视频,流量,（,IPTV,、,VoD,、互联网视频）,是驱动网络快速升级扩容的主要因素，其中,IPTV,流量增长,13,倍（复合增长率,70,）。,流量与收入,之间存在错位,，,网络发展需要把握好,二者之间的,平衡,。,IP,业务收入的构成,IP,城域网回顾,新业务,发展,自营,IPTV,业务,(,高清视频,),高带宽,高质量,高体验,移动宽带业务,高带宽,高质量,IP,化,政企大客户,全业务,高质量,协同办公,问题：如何构建一个满足有线、无线统一承载的高带宽、高质量和可控的网络？,xDSL,DSLAM,OLT,PON,LSW,LSW,BRAS,SR,R,CR,163,骨干网,家庭宽带接入,骨干网,城域网（本地网）,MSTP,接入环,MSTP,汇聚环,WDM,MSTP,骨干环,CN2,骨干网,AGW,NGN,语音接入,政企专线接入,低带宽、高,SLA,质量的网络,高带宽、普通,SLA,质量的网络,现有,业务,NGN,业务,企业专线,2G3G,语音,家庭宽带,Internet,视频,WiFi,2G/3G,语音接入,IP,城域网面临的挑战,宽带用户的加速度逐渐放缓，,ARPU,值在下降。,普通宽带上网业务占据了绝大部分的城域网带宽，由于,P2P,的缘故，单位带宽的收益在下降，同时,P2P,还给城域网带来了沉重的扩容压力,宽带业务缺乏差异化（缺少内容，无法形成,Triple Play,是主因），三网融合后，随着广电的全面进入，宽带接入将成为红海业务，面临非常激烈的竞争。,传工信部选定的三网融合试点城市：上海、南京、杭州、深圳、哈尔滨、重庆、武汉、长沙、沈阳、忻州。,广电也在选择自己的试点城市。,三网融合的第一阶段,(2010-2012),，若广电的试点城市，传统电信企业无法提供,Triple Play,三重播放，那么竞争态势将非常严峻。,各运营企业已建成覆盖全国的,3G,网络，确立了优势。随着移动业务的发展，移动互联网流量迅速增加，给部分热点地区基站移动回传造成压力。,E1+MSTP,的方式在回传带宽需求增加到一定程度时，在基站侧和,MSTP,侧都会出现成本瓶颈。,基站侧提供,FE,接口是趋势，移动回传网络需用,IP,的方式实现。,宽带业务增量,不增收,三网融合,试点需求,移动业务,快速发展,（一）,IP,城域网组网演进分析,（二）,IP,城域网规划设计要求,（三）,IP,城域网网络设计,（四）,IP,城域网关键技术,（五）,IP,城域网的安全策略,（六）,IP,城域网接入方式,（七）,IP,城域网应用案例解析,IP,城域网设计,IP,城域网规划设计要求,在进行的城域网的规划和设计工作中，应当遵照城域网建设总体思路和原则进行。,对城域网进行规划和设计，实现二、三层网络的分离，新、老用户的区分，,3G/IPTV/Internet,等多业务综合承载等为基本基本目标，打造,“,客户可识别、业务可区分、质量可控制、网络可管理,”,的电信级宽带城域网。,总体思路：,理清层次,提升功能,规范设备,注重实效,规划原则：,网络层次清晰化,网络结构扁平化,网络质量差异化,管理控制集中化,设备要求规范化,IP,城域网规划设计要求,DSLAM,园区交换机,骨干网,汇聚交换机,(,可级联,),楼道交换机,核心路由器（可级连）,业务路由器,政企客户,NGN AG,MSTP,等,家庭网关,终端,宽带用户,数据业务接入部分,语音业务接入部分,BRAS,OLT,ONU,政企客户,政企客户,家庭网关,终端,宽带用户,家庭网关,终端,宽带用户,IP,城域网,城域骨干网,宽带接入网,核心层,接入控制层,汇聚层,接入层,城域网,骨干相关设备,核心路由器,CR,CR,位于城域网的核心层,CR,主要完成城域网与骨干网设备的出口对接，完成对城域网内部的,SR/BRAS,的汇接，及在城域网开展,MPLS,后充当城域网的,P,设备。,T,级别集群路由器,40G,接口,NSR,ISIS,快速收敛,MPLS,标签容量,30,万条,城域网,骨干相关设备,业务路由器,SR,SR,位于城域网的业务接入控制层,SR,主要完成专线用户的接入及充当城域网的,PE,设备。,随着全业务的运营，主要满足,CDMA,核心网电路域、分组域和业务网承载需求的,CE,设备，其设备技术要求与,SR,基本一致,10GE,、,10GPOS,接口高速背板,SVLAN,VRRP,策略控制,城域网,骨干相关设备,BRAS,BRAS,是面向公众用户宽带网络应用的接入网关，是城域网的业务接入控制点，位于,IP,城域网的骨干网内的业务接入控制层。,BRAS,主要完成公众用户,PPP,拨号接入、,IPOE,接入、专线用户的接入及充当城域网的,PE,设备。,下一代,BRAS,发展的方向是,MSE,（,Multi-service Edge),，融合,BRAS,、,SBC,（,session Border control,）防火墙等多种产品，具有更强的业务感知和控制能力，为用户提供单边缘的接入控制。,与,SR,同步演进对,L2 VPN,的终结全面的组播和用户统计能力,宽带接入网相关设备,汇聚交换机,汇聚交换机是,IP,网络业务的接入设备，位于城域网的接入层，用于公众业务的接入与汇聚，并传送至三层网络。,随着,FTTx,用户的发展，汇聚交换机还需提供下联,PON,接口，具备,OLT,的功能。汇聚交换机将演进为具备交换机和,OLT,两种设备形态的融合汇聚交换机。,256G,以上整机容量,SVLAN,端口聚合组播三层能力,BFD,OAM,宽带接入网相关设备,园区交换机,园区以太交换机是,IP,网络业务的接入设备，位于城域网的接入层，起到业务接入和汇聚功能。,PON,口支持，具备,ONU,能力,BFD,OAM,宽带接入网相关设备,DSLAM,DSLAM,是,IP,网络业务的接入设备，位于城域网的接入层。它是,DSL,接入复用设备，位于,DSL,宽带接入的局端。,ADSL2+/VDSL2/EPON,接口支持大容量跨,VLAN,组播复制整机性能提升。,（一）,IP,城域网组网演进分析,（二）,IP,城域网规划设计要求,（三）,IP,城域网网络设计,（四）,IP,城域网关键技术,（五）,IP,城域网的安全策略,（六）,IP,城域网接入方式,（七）,IP,城域网应用案例解析,IP,城域网设计,1,、,IP,路由及组网技术,2,、,IP,路由规划与设计,3,、,IP,城域网自治域设计,4,、,IP,城域网中,IP,地址的规划,5,、,IP,网络中的流量工程设计,IP,城域网网络设计,IP,路由及组网技术,核心层：,由核心路由器组成，大型,IP,城域网可设置两级级联的核心路由器，中型和小型,IP,城域网仅设单级核心路由器（分类标准主要以预测宽带用户数为依据），适当控制城域骨干网各层次设备数量的比例。,主要采用裸光纤承载网络设备间的中继链路，在传输距离长或光纤资源紧张的情况下，也可采用大容量,WDM/SDH/MSTP,承载。,城域骨干网主要依赖,IP,网络自身的机制实现路由保护。,IP,路由及组网技术（续）,业务接入控制层：,应采用大容量、高密度设备。,业务接入控制点的布放应以综合成本最低为原则，综合考虑光纤、传输资源条件和用户数量。,相对集中布放宽带接入服务器（,BRAS,）和业务路由器（,SR,），覆盖至有足够业务需求的端局，在满足性能要求的前提下，部分,BRAS,可兼作,SR,。,BRAS,和,SR,需要支持,SVLAN,（,Q-in-Q,）。,IP,路由及组网技术（续）,宽带接入网,汇聚层采用以太网和,MSTP/RPR,作为基本组网技术。,主要采用裸光纤承载网络设备间的中继链路，可为重要用户适当提供保护。,从用户,CPE,（包括,xDSL,Modem,、,IAD,等）到业务接入控制点之间的设备（不含,CPE,和业务接入控制点设备）原则上不超过三级，边远地区最多不能超过五级。,应采用,SVLAN,解决端口绑定和用户隔离问题，并为实现区分服务提供条件。,DSLAM,应尽量靠近用户设置，缩短铜缆半径，城区内最好控制在,1.5,公里以内，最好在,1,公里以内，原则上不允许级联。,IP,路由及组网技术（续）,IP,城域网路由设计,路由协议分类：,路由协议可根据应用的范围分为：,IGP,（某区域内路由协议）,BGP,（,AS,之间的路由协议）,IGP,根据协议的工作原理，可分为：,距离矢量路由协议（,OSPF,、,ISIS,）,链路状态路由协议（,RIP,）,静态路由,IP,城域网路由设计,-IGP,链路状态路由协议是目前使用最广的一类域内路由协议。它采用一种,“,拼图,”,的设计策略，即每个路由器将它到其周围邻居的链路状态向全网的其他路由器进行广播。这样，一个路由器收到从网络中其他路由器发送过来的路由信息后，它对这些链路状态进行拼装，最终生成一个全网的拓扑视图，近而可以通过最短路径算法来计算它到别的路由器的最短路径。,IP,城域网路由设计,-IGP,路由器通过构造拓扑数据库来反映整个拓扑的变化,并根据,SPF,算法决定到达目的地的最佳路由,因此,链路状态的路由信息具有最大的可靠性和真实性,.,通过层次化的构造建立起完善的地址分配预案,并使拓扑变化集中在本地区域不会造成全网的翻动,.,因此链路状态路由协议适合于大型网络,.,链路状态路由协议,链路状态路由协议,快速收敛,:,当发生拓扑改变时,受影响的路由器通过发送改变的,LSA(,链路状态通告,),迅速通知区域内所有路由器,而其他路由器通过对,LSA,的学习,重新进行,SPF,计算,然后在路由表中正确的反映出变化的路由信息,.,完全避免路由环路,:,路由器通过对其他路由器发出的,LSA,的学习,使得本身知道网络的拓扑,.,因此,就像生成树一样,完全构造出一个无环路的拓扑生成树出来。链路状态路由协议本身有强大的可靠性机制,:,每个,LSA,都有源的标识和携带的序列号,通过序列号确保,LSA,的新旧,;,而发送的,LSA,也必须有确认,确保,LSA,信息准确无误,.,对网络设计有严格的要求：,因为分层,地址分派和汇总是链路状态路由协议的命脉,要求工程师具有丰富的知识和专业经验,.,IP,城域网路由设计,-IGP,IS-IS,IS-IS,协议是,Intermediate system to intermediate system,（中间系统到中间系统）的缩写，属于链路状态路由协议。标准,IS-IS,协议是由国际标准化组织制定的,ISO/IEC 10589:2002,所定义的，标准,IS-IS,不适合用于,IP,网络，因此,IETF,制定了适用于,IP,网络的集成化,IS-IS,协议（,Integrated IS-IS,）。和,OSPF,相同，,IS-IS,也使用了,“,区域,”,的概念，同样也维护着一份链路状态数据库，通过最短生成树算法（,SPF,）计算出最佳路径。,IS-IS,的收敛速度较快。集成化,IS-IS,协议是,ISP,骨干网上最常用的,IGP,协议。,IP,城域网路由设计,-IGP,IP,城域网路由设计,-IGP,OSPF,OSPF,协议是,“,开放式最短路径优先,(Open Shortest Path First),”,的缩写，属于链路状态路由协议。,OSPF,提出了,“,区域（,area,）,”,的概念。区域又分为骨干区域（编号必须为,0,）和非骨干区域（非,0,编号区域），如果一个运行,OSPF,的网络只存在单一区域，则该区域可以是骨干区域或者非骨干区域。如果该网络存在多个区域，那么必须存在骨干区域，并且所有非骨干区域必须和骨干区域直接相连。,OSPF,利用所维护的链路状态数据库，通过最短生成树算法（,SPF,算法）计算得到路由表。,OSPF,的收敛速度较快。由于其特有的开放性以及良好的扩展性，目前,OSPF,协议在各种园区网络中广泛部署。,IP,城域网路由设计,-IGP,IP,城域网路由设计,-IGP,IP,城域网路由设计,-IGP,IP,城域网路由设计,-BGP,BGP,为了维护各个,ISP,的独立利益，标准化组织制定了,ISP,间的路由协议,BGP,。,BGP,是,“,边界网关协议,(Border Gateway Protocol),”,的缩写，处理各,ISP,之间的路由传递。,BGP,运行在相对核心的地位，需要用户对网络的结构有相当的了解，否则一旦配置或操作出现问题，可能会造成较大损失。,BGP,提出了,AS,（自制系统）的概念，通常为每个运营商分配一个,AS,号码。,IP,城域网自治域设计,-BGP,BGP,需要运行在,IGP,基础之上。,MPLS/VPN,需要运行在,BGP,之上。,IP,城域网路由设计,-BGP,BGP,引入了邻居,/,对等体的概念。,与,IGP,不同，成为邻居的路由器不必再在物理链路上直连。,IP,城域网路由设计,-BGP,如果两台成为邻居的设备不在相同的,AS,内，这个邻居关系被称为,EBGP,。,IP,城域网路由设计,-BGP,如果两台成为邻居的设备在同一个,AS,内，这个邻居关系被称为,IBGP,。,IP,城域网自治域设计,-BGP,为了避免一个,AS,过大，设备过多所带来的管理问题，,BGP,为一个,AS,内部提供了两个扩展功能：,路由反射器（,RR,）,AS,联邦,/,联盟,(Confederation),IP,城域网自治域设计,-BGP,route,Route reflector,route,路由反射器可以更好的控制路由条目更新，以及优化网络中路由更新的数据流量。,IP,城域网自治域设计,-BGP,AS 61,AS 62,AS 63,AS 64,AS 12,AS 14,AS 42,BGP,联邦采用了,“,分而治之,”,的思路。,在一个,AS,内进行区域细化，将区域内相关路由器划分为子,AS,。对外一直宣告联盟整体的,AS,号码。,IP,城域网自治域设计,-BGP,公用自治域号是由因特网授权的管理机构分配的。从,AS,号码资源的情况来看，我国现有,AS,号码大约,200,多个，比其它发达国家和地区少得多，这一方面说明，我国网络的层次性较好，管理集中，主要业务都集中在少数几个大型运营商那里；另一方面也与我国,ISP,的增加情况以及各大互联网络运营商与其它,ISP,互联的政策有关，新出现的中小型,ISP,想要取得与大型,ISP,对等互联的权力与大型运营商的政策也有着密切的关系。,AS,号码只是在一个网络与至少两家,ISP,做对等互联、交换路由信息的时候才需要使用，所以,AS,号码使用的情况与中小型,ISP,的数量及其互联的丰富程度有关。,IP,路由规划与设计,总体路由设计：,城域网为单独,AS,域，城域网路由架构分为用户路由生成（,custom routing,）、,IGP,、,BGP,、,MP-BGP,路由,4,个部分。,用户路由生成：指在城域网业务接入控制点（,BRAS,和,SR,）上配置生成或动态学习用户路由的实现方式和过程；,IGP,：运行在城域网二平面核心层和业务接入控制层，在城域网二平面三层设备之间承载和交换路由信息：城域网二平面,AS,域内设备接口（包括,loopback,接口）地址路由,BGP,：,IBGP-,运行在城域网核心层和业务接入控制层，承载城域网内用户路由；,EBGP-,运行在城域网出口路由器与骨干网路由器之间，实现城域网向骨干网发布城域网内的路由，并从骨干网接收缺省和国内路由或,Internet,全网路由。,IP,路由规划与设计,1,、,RR,功能设计,：,城域网内部署一组路由反射器,(,通常为,2,个,),，可以选择城域网出口路由器兼做,RR,，,RR,处于转发路径上，,RR,的的簇,ID,默认为,BGP,的,router ID,，两个,RR,使用不同簇,ID,都会接受对方发过来的,BGP,路由表，实现双方路由表一致。城域网二平面内设备分别与两个,RR,通过,Loop,建立,IBGP,会话，实现,IBGP,会话冗余。城域网核心之间通过互连接口建立常规,IBGP,会话。,2,、,收发路由策略,：,为防止除核心外，城域网内其他设备误发布默认路由从而导致网内,BRAS/SR,等业务接入设备的流量被错误的引导，或其他重要业务路由被错误的重分布至,BGP,中，诸如：,VOD,、,DNS,、,Radius,等，,RR,从客户接收的路由策略应为：拒绝接收默认路由、指定的重要业务路由，允许其他所有。,RR,对客户的发送路由策略：禁止转发网外路由，只下发自己产生的默认路由，减少大量路由更新时导致的路由表波动和对链路资源的消耗。,配置,RR,接收客户的路由策略：不接收默认和指定的重要业务路由，允许其他所有路由；,配置,RR,发送客户的路由策略：针对扁平化已完成的地市，可只下发自己产生的默认；未完成的地市，只转发城域网域内的路由和自己产生的默认。,IP,路由规划与设计,3,、,城域网,BGP,部署策略,关闭,BGP,自动路由汇总特性、关闭,IGP,与,BGP,的同步。,开启,BGP DAMPING,，避免路由抑制对业务的影响。,关闭,bgp,always-compare-med,、宣告给骨干网的路由携带,MED,属性，设置,MED=0,。,明确配置,BGP router-id,为,Loopback,0,地址。,根据需要确定,BGP,Multihop,的,TTL,值，对大部分情况，配置,EBGP,Multihop,为,2,。,明确配置,community,格式。,BGP,采用密码建立邻居关系。,EBGP,和,IBGP,开启负载均衡。,配置,BGP,出方向路由过滤，宣告给骨干网网路由尽量合并。,使用,Loopback,地址与骨干建立,EBGP,关系，不使用接口建立关系。,IP,路由规划与设计,4,、默认路由管理,出口核心配置多条上行至骨干设备的静态默认路由，作为所收取骨干下发默认路由的备份，管理距离设置为,250,城域网内汇聚,BR,，,BRAS/SR,设备设置多条备份的静态默认路由，管理距离设置为,250,，作为所收取的,ISIS/BGP,默认路由的备份。,出口核心配置多条上行至骨干设备的静态默认路由，绑定互连骨干设备链路的端口和下一跳地址；,出口核心设备的,ISIS,进程始终下发默认，同时,IBGP,也下发默认至,RR,客户；,城域网内汇聚,BR,BRAS/SR,设备设置静态默认路由，绑定互连骨干设备链路的端口和下一跳地址，做为,ISIS/BGP,默认的备份。,IP,地址是一个三层的地址，是在网络上进行,TCP/IP,通讯的基础，每个连接到网络上的计算机或第三层设备都必须至少有一个,IP,地址。目前使用的,IP,协议版本为,IPv,4,，下一个版本为,IPv6,。,为了便于网络寻址以及层次化构造网络，每个,IP,地址包括两个标识,(ID),，即网络,ID,和主机,ID,。同一个物理网络上的所有机器都用同一个网络,ID,，网络上的一个主机,(,包括网络上工作站，服务器和路由器等,),有一个主机,ID,与其对应。因此,IP,地址的格式为,:,“,网络地址,+,主机地址,”,或者,“,网络地址,+,子网地址,+,主机地址,”,。一个简单的,IP,地址包含了网络地址和主机地址两部分重要的信息。,IP,地址根据网络,ID,的不同共分为五类，,A,类主要分配给大型网络，,B,类分配给中等规模网络，,C,类分配给小型网络，,D,类用于组播服务，,E,类用于科学实验。,IP,城域网中,IP,地址的规划,IP,城域网中,IP,地址的规划,IP,地址规划是否得当会对路由协议的运行效率、网络的性能、网络的扩展、网络的管理产生影响。从,IP,地址规划中可以看出一个网络的规划质量，甚至可以反映出一个网络设计师的技术水准。,IP,地址规划应遵循唯一性、连续性、扩展性、实意性、节约性原则。,IP,城域网中,IP,地址的规划,每类网络可以容纳不同数目的主机，它们处于同一广播域。如果在同一广播域中有过多节点，网络会因为广播通信而饱和与地址浪费；,随着互连网应用的不断扩大，,IP,地址资源越来越少。为了实现更小的广播域并更好地利用主机地址中的每一位，可以把基于类的,IP,网络进一步分成更小的网络，每个子网由路由器界定并分配一个新的子网网络地址,子网地址是借用基于类的网络地址的主机部分创建的。,划分子网后，通过使用子网掩码，把子网隐藏起来，使得从外部看网络没有变化。子网掩码也是一个,32,位字段，是与,IP,地址结合使用的一种技术。它的主要作用有两个：,一是用于区别网络标识和主机标识，并说明该,IP,地址是在本局域网内，还是在其他网络内；,二是用于将一个大的,IP,网络划分为若干小的子网络。,根据,CNNIC,的统计，我国所拥有的公网,IP,地址资源仅占世界的约,3%,，在亚太地区已分配公网,IP,地址中，我国,IP,地址总量只占约,25%,。,IP,城域网中,IP,地址的规划,统一性原则,地址分配需要统一规划、统一协调、统一管理。要求从全局的角度考虑问题，掌握网络结构和业务内容，同时对网络和业务的发展具备一定的前瞻性。,层次性原则,层次化的规划可以极大的降低管理的复杂程度，提高网管效率，提升路由速度。清晰的地址分配结构是网络运行发展的基本要求和保障，良好的层次性能够为网络提供更好的可维护性和可扩展性。,连续性原则,有层次的科学的连续地址规划能够实现地址的最优使用，最大程度避免地址浪费现象出现，但连续并不能单一的从节省地址资源出发考虑。,唯一性原则,地址的唯一性是地址规划的最基本要求，在地址规划当中需注意与集团公司、其他省公司以及其他并行业务网络的实际情况，尽量做到,IP,地址的唯一性。,节约性原则,由于,IP,地址资源紧张，可获得的,IP,地址会越来越少，对于,IP,地址的使用需要格外节约。,IPv4,地址的节约可以通过动态编址技术和,NAT,技术来实现。,IP,城域网中,IP,地址的规划,需要连接省间骨干网的主机,如,IDC,中需要对公网开放并在公网上提供服务的服务器；,连接公网业务提供服务的设备,城域网上提供路由功能的各种数据设备如,BRAS,、,SR,、汇聚路由器、接入路由器等设备；,企业专线用户,通常企业用户内部已经给最终用户分配了了私有的,IP,地址，由企业自身执行地址转换（,NAT/PAT,）完成。可根据用户需求，分配一个或多个,IP,地址；,个人接入用户,个人用户需求较为简单，多数仅仅为公网接入。只需要当用户上线时临时分配一个,IP,地址，一旦用户离线，,IP,地址收回分配给其他用户；,IP,城域网中,IP,地址的规划,为内部提供服务的主机,对内提供服务的服务器等设备，此类设备虽然放置在,IDC,机房中，但不在公网上提供服务，其服务仅对移动公司内部提供。为此类设备分配能够与公司内网互通的私有地址；,网络设备的管理地址,几乎所有的设备都使用,LoopBack,（回环）接口作为网管地址，与网管系统进行通信；,用户数量过多的业务,如果开展的业务接入用户数量过多，使用私有地址分配给用户，在业务平台出口处执行地址转换操作；,IP,城域网中,IP,地址的规划,从集团公司得到地址段,省管地址,地市管理地址,管理区域划分,设备互联地址,省管机房地址,省管业务地址,其他类,地址,功能划分,省会城市,其他地市,区域划分,业务,1,业务,N,业务,N,业务,1,业务划分,业务划分,IP,城域网中,IP,地址的规划,甘肃省共有包含兰州在内的,14,个地市、州，,(23=8),14,(24=16),则使用地市管理地址中可分配区间的前,4bit,位作为地市代码，可表示,16,个地市。由于兰州市内用户数量和业务数量较多，使用,0,、,1,、,2,三个代码代表兰州，其余地市均使用自身代码。,地,区,二进制代码,十进制代码,兰,州,0000,0,0001,1,0010,2,庆,阳,0011,3,张,掖,0100,4,定,西,0101,5,天,水,0110,6,酒,泉,0111,7,白,银,1000,8,平,凉,1001,9,武,威,1010,10,金,昌,1011,11,临,夏,1100,12,陇,南,1101,13,嘉峪关,1110,14,甘,南,1111,15,地区代码分配表,IP,城域网中,IP,地址的规划,需要考虑规划的地址类型：,Loopback,地址,通常会为每一台,设备创建一个,Loopback,接口，并在该接口上单独指定一个,IP,地址作为管理地址,。,设备互联地址,指网络设备,之间相互连接的接口所需要的地址。,业务地址,是连接在网上的各种服务器、主机,、客户所使用的地址以及网关的地址。,IP,网络中的流量工程设计,（一）,IP,城域网组网演进分析,（二）,IP,城域网规划设计要求,（三）,IP,城域网网络设计,（四）,IP,城域网关键技术,（五）,IP,城域网的安全策略,（六）,IP,城域网接入方式,（七）,IP,城域网应用案例解析,IP,城域网设计,1,、组播路由技术,2,、,MPLS VPN,技术,IP,城域网关键技术,组播路由技术,组播（,multicast,）是指把某一信息同时传递给一组目的地址。它使用策略是最高效的，因为在消息在每条网络链路上只需传递一次，而且只有在链路分叉的时，消息才会被复制。与多播相比，常规的点到单点的传递被称作单播。当以单播的形式把消息传递给多个接收方时，必须向每个接收者都发送一份数据副本。由此产生的多余副本将导致发送方效率低下，且缺乏可扩展性。,组播安全性是一个重要的问题。标准的、实用的通信安全解决方案一般采用的是对称加密。但是将其应用于,IP,组播流量可能会使任何一个接收方都拥有冒充发送方的能力。,组播路由技术（续）,IP,组播有三种基本的传递方式：,密集组播,稀疏组播,源特定组播,IP,组播协议：,互联网组管理协议（,IGMP,）,协议无关多播（,PIM,）,距离矢量多播路由协议（,DVMRP,）,组播,OSPF,（,MOSPF,）,组播,BGP,（,MP-BGP,）,组播源发现协议（,MSDP,）,MPLS VPN,技术,多协议标签交换（,Multi-Protocol Label Switch,，简称,MPLS,）是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。多协议的含义是指,MPLS,不但可以支持多种网络层层面上的协议，还可以兼容第二层的多种链路层技术。,它的价值在于能够在一个无连接的网络中引入连接模式的特性；其主要优点是减少了网络复杂性，兼容现有各种主流网络技术，能降低网络成本，在提供,IP,业务时能确保,QoS,和安全性，具有流量工程能力。此外，,MPLS,能解决,VPN,扩展问题和维护成本问题。,MPLS VPN,技术,MPLS,属于第三代网络架构，是新一代的,IP,网络交换标准。,MPLS,使用标记交换（,Label Switching,），网络路由器只需要判别标记后即可进行转送处理。它整合了,IP,选径与第二层标记交换为单一的系统，因此可以解决,Internet,路由的问题，使数据包传送的延迟时间减短，增加网络传输的速度。,MPLS VPN,技术,MPLS VPN,是一种基于,MPLS,技术的,IP-VPN,，根据,PE,（,Provider Edge,）设备是否参与,VPN,路由处理又细分为二层,VPN,和三层,VPN,（一）,IP,城域网组网演进分析,（二）,IP,城域网规划设计要求,（三）,IP,城域网网络设计,（四）,IP,城域网关键技术,（五）,IP,城域网的安全策略,（六）,IP,城域网接入方式,（七）,IP,城域网应用案例解析,IP,城域网设计,城域网提供的,Internet,连接及设备之间的高速连接链路上，原则上不应设置防火墙、防毒墙、入侵防御等安全设备。,城域网,IDC,区域，及对外提供服务的区域应当设置相应的防火墙、流量清洗类设备，以提供安全防护。,可以在核心区域建设入侵检测类旁路设备，对区域内流量进行监测。,城域网内所有设备的管理地址，原则上不参与,Internet,路由，仅为本地网管系统服务，可配置私网地址。特殊情况下（省网或全国网设备）设备管理地址应当有严格的路由策略，避免与公网流量进行互通。,IP,城域网的安全策略,（一）,IP,城域网组网演进分析,（二）,IP,城域网规划设计要求,（三）,IP,城域网网络设计,（四）,IP,城域网关键技术,（五）,IP,城域网的安全策略,（六）,IP,城域网接入方式,（七）,IP,城域网应用案例解析,IP,城域网设计,1,、宽带城域网的无线接入,2,、宽带城域网的有线接入,IP,城域网接入方式,宽带城域网的无线接入,无线接入目前主要有两种手段：一种是采用,WLAN(,无线局域网,),；另一种是借助移动通信网，如,GPRS,或,3G,。,WLAN,采用,IEEE 802.11,协议，可在一定范围内提供较低移动性的高速数据业务,54M,、,108M300M,。,WLAN,保持了局域网高速率的特点，可以作为有线局域网的补充，在一定场合甚至可以替换有线局域网。无线局域工作在,2.4GHz,的频段。,宽带城域网的有线接入,应当推进宽带接入网络优化改造，网络结构扁平化，合理布局汇聚节点，对性能无法满足要求的汇聚设备进行升级改造，提高转发效率，降低故障率。,当前，接入网技术的主要是充分利用铜缆的技术，并且组网模式可以和,FTTx,相结合。在,PON,技术成本逐步降低的前提下，,PON,的份额也在逐步加大。,就远期而言，利用光纤实现,FTTH,的,PON,技术将成为未来城域网接入技术的主流。城域网有线接入的主要发展趋势是宽带化、光纤化、,IP,化，能够提供更高的带宽更方便的认证和计费。,宽带城域网的有线接入,-PON,PON,技术始于,20,世纪,80,年代初，目前市场上的,PON,产品按照其采用的技术，主要分为,APON,BPON,（,ATMPON,宽带,PON,）、,EPON,（以太网,PON,）和,GPON,（吉比特,PON,）。,从长远的业务发展趋势看，,ATM,化的无源光网络,/,宽带无源光网络（,APON/BPON,）可用带宽远远不够。以,FTTC,为例，尽管典型主干下行速率可达,622,Mbit/s,，但分路后实际可分到每个用户的带宽将大大减小。按,32,路计算，每一个分支的可用带宽仅剩,19.5,Mbit/s,，再按,10,个用户共享计算，则每个用户仅能分到约,2,Mbit/s,。,宽带城域网的有线接入,-PON,EPON,以以太网为载体，采用点到多点结构、无源光纤传输方式，下行速率目前可达到,10Gbit/s,，上行以突发的以太网包方式发送数据流。考虑,PON,是一种点到多点的物理和逻辑拓扑结构，而传统的以太网是点到点的协议，所以如何在点到多点的,EPON,中传送点到点的以太网协议，是以太网应解决的技术问题。此外,EPON,技术中还需解决的问题包括：点到多点的光系统中突发模式传送的问题；,PON,中不同,ONU,与,OLT,的距离相差较大，需要解决到达,OLT,光信号强度的巨大偏差问题；解决非授权,ONU,的累积噪声对授权,ONU,发出的光信号的干扰问题；,宽带城域网的有线接入,-PON,相对而言，,GPON,技术可以更好地解决上述,EPON,这些问题。,GPON,除了支持更高的速率之外，还以很高的效率支持多种业务，提供丰富的功能和良好的扩展性。,GPON,不仅可以提供,10/100,Mbit/s,、,1,Gbit/s,的业务，而且可以提供,VLAN,业务和语音业务。同,EPON,是制造商驱动的技术标准不一样，,GPON,是运营商驱动的标准，因此具有更周到的运营利益考虑。,宽带城域网的有线接入,（一）,IP,城域网组网演进分析,（二）,IP,城域网规划设计要求,（三）,IP,城域网网络设计,（四）,IP,城域网关键技术,（五）,IP,城域网的安全策略,（六）,IP,城域网接入方式,（七）,IP,城域网应用案例解析,IP,城域网设计,城域网双边缘目标架构,城域网二平面目标架构,交换机,路由器,防火墙,防毒墙,NAT,技术,VLAN,技术,虚拟路由器,负荷分担,IPv6,技术概念,交换机,交换机工作于,OSI,参考模型的第二层，即数据链路层。交换机通过,ARP,协议学习它的,MAC,地址，保存成一张交换表。在今后的通讯中，发往该,MAC,地址的数据包将仅送往其对应的端口，而不是所有的端口。因此，交换机可用于划分数据链路层广播，即冲突域；但它不能划分网络层广播，即广播域。,交换机的的三个主要功能：,地址学习（,Mac,地址）,帧的转发,/,过滤,回路防止（生成树）,交换机被广泛应用于二层网络交换。中档的网管型交换机还具有,VLAN,划分、端口自动协商、,MAC,访问控制列表等功能，并提供字符界面或图形界面控制台，供网络管理员调整参数；,交换机,-,生成树,冗余拓扑消除了由于单点故障所引致的网络不通问题，却带来了数据环路的问题。,在交换网络内，采用生成树协议进行环路避免。,路由器,路由器是连接两个以上网络线路的设备。 由于位于两个或更多个网络的交汇处，从而可在它们之间传递数据。路由器与交换机,(Switch),在概念上有一定重叠但也有不同：交换机泛指工作于任何网络层次的数据中继设备（尽管多指网桥），而路由器则更专注于网络层。,路由器也被当作,Internet,网关，主要用在小型网络中如家庭或小型办公室。这种设备使用的,Internet,连接往往是一直在线的宽带连接如线缆调制解调器和,DSL,。这种路由器连接两个网络,-WAN,和,LAN,并有自己的路由表。尽管在家庭应用中并不需要太多路由功能（因为只存在两条路,-WAN,和,LAN,）。额外地路由器还支持,DHCP,、,NAT,、,DMZ,和防火墙功能，也有一些支持内容过滤和,VPN,。,目前高端路由器和交换机的区别已经不再明显，都有大容量告诉转发等功能。,路由器,为了实现路由,路由器需要做下列事情,:,识别分组中的目的,IP,地址。,识别分组中的源,IP,地址,主要在策略路由中存在。,在路由表中发现可能的路径。,选择路由表中到达目标最好的路径。,维护和检查路由信息,.,路由器,IP,路由：把一个数据包从一个设备发送到不同网络里的另一个设备上去。这些工作依靠路由器来完成。路由器并不关心主机，它们只关心网络的状态和决定网络中的最佳路径。,路由的实现依靠路由器中的路由表来完成；对于每个不同的可路由协议来说，在路由器会分别构造一张路由表。,每个路由器针对每个可路由协议来说只能有一张路由表！,三层交换,传统的交换机通过,Mac,地址对数据帧进行转发，既我们常说的二层交换。,随着网络的发展，交换机被越来越多的使用。同时提供路由与交换功能对传统交换机提出更高的要求，多层交换随之而生。三层交换机可以处理第三层网络层协议，用于连接不同网段，通过对缺省网关的查询学习来创建两个网段之间的直接连接；四层交换机可以处理第四层传输层协议，可以将会话与一个具体的,IP,地址绑定，以实现虚拟,IP,；此外还有七层交换机。,三层交换：一次路由多次交换。,优点：,较传统交换机相比，提供了三层的路由功能。,较传统路由器相比，提供了更快的转发速度。,防火墙,防火墙基本的功能就是控制在网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网,(,一个没有信任的区域,),和一个内部网络,(,一个高信任的区域,),。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。,防火墙,防火墙基本的功能就是控制在网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网,(,一个没有信任的区域,),和一个内部网络,(,一个高信任的区域,),。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。,防毒墙,防毒墙是指位于网络入口处（网关），用于对网络传输中的病毒进行过滤的网络安全设备。通俗的说，防毒墙可以部署在局域网和互联网交界的地方，阻止病毒从互联网侵入内网。,凡是病毒都有一定的特征。防毒墙会扫描通过网关的数据包，然后对这些数据进行病毒扫描，如果是病毒，则将其清除。理论上讲，防毒墙可以阻止任何病毒从网关处侵入企业内部网络。,防毒墙,防毒墙和防火墙的区别：,防火墙对网络数据流连接的合法性进行分析，它对从正常电脑上发送过来的病毒数据流是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况；防毒墙则是为了解决防火墙天生的防毒缺陷而产生的一种安全设备。它可以进行网关处的查毒工作，对病毒的界定则更准确、更可靠。,NAT,网络地址转换（,Network Address Translation,或简称,NAT,）是一种在,IP,数据包通过路由器或防火墙时重写源,IP,地址或,/,和目的,IP,地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有,IP,地址访问因特网的私有网络中。根据规范，路由器是不能这样工作的，但它的确是一个方便并得到了广泛应用的技术。当然，,NAT,也让主机之间的通信变得复杂，导致通信效率的降低。,目前存在两种地址转换方式。一种是经常被简记为,“,NAT,”,的网络地址转换,(,有时也叫做,“,网络地址端口转换,”,，,NAPT/PAT),，这种方式支持端口的映射并允许多台主机共享一个公用,IP,地址。,另一种也可以称作,NAT,或,“,基本,NAT,”,，,“,静态,NAT,”,，在技术上更简单一点，仅支持地址转换，不支持端口映射，这就需要对每一个当前连接都要对应一个,IP,地址。,NAT,NAT,VLAN,虚拟局域网（,Virtual Local Area Network,或简写,VLAN,）是一种建构于局域网的网络管理的技术，网管人员可以借此有效分配出入局域网的封包到正确的出入，达到对不同实体局域网中的设备进行逻辑分组管理，并降低局域网内大量数据转发时，因无用封包过多导致雍塞的问题，以及提升局域网的安全保障。,一个,VLAN,相当于,OSI,模型第,2,层的广播域，它能将广播控制在一个,VLAN,内部。而不同,VLAN,之间或,VLAN,与,LAN / WAN,的数据通讯必须通过第,3,层（网络层）完成。否则，即便是同一交换机上的接口，假如它们不处于同一个,VLAN,，正常情况下也无法进行数据通信。,隔离广播域，抑制广播报文,.,分隔不同用户,提高网络安全性,.,虚拟工作组,超越传统网络的工作方式,主机,A,主机,B,主机,C,主机,D,以太网交换机,VLAN,表,Port 1,Port 2,Port 7,Port 10,端口,所属,VLAN,Port1,VLAN5,Port2,VLAN10,Port7,VLAN5,Port10,VLAN10,VLAN,VLAN,表,User,所属,VLAN,UserA,VLAN5,UserB,VLAN10,UserC,VLAN5,UserD,VLAN10,主机,A,主机,B,主机,C,主机,D,以太网交换机,Port 1,Port 2,Port 7,Port 10,VLAN,VLAN,每个逻辑,VLAN,就像一个一个物理上分离交换机,.,VLAN,能跨越多台交换机,;,也就是说,VLAN,信息可以在交换机之间传递和学习,.,Trunk(,中继线路,),能承载多个,VLAN,的流量,.,Trunk,使用中继协议来区分不同,VLAN,的流量,.,VLAN,虚拟路由器,虚拟路由器即,Virtual Router,，是指在软、硬件层实现物理路由器的功能仿真，属于一种逻辑设备。每个,VR,应该具有逻辑独立的路由表和转发表，这样就使不同,VR,间的地址空间可以重用，并保证了,VR,内部路由和转发的隔离性 。,虚拟路由器类似交换中的,VLAN,技术，通常用于,MPLS/VPN,网络中，用以隔离多个,VPN,网络。,MPLS,多协议标签交换（,MPLS,），是一种全新的数据转发技术。较之传统的,IP,路由转发相比，标签交换可以让路由器更加快速的将数据包转发至目的地。,MPLS,MPLS,的标签共,4,个字节（,Byte,），被封装在第二层报头和第三层报头之间，所以有人将,MPLS,技术称之为,“,2.5,层,”,技术。,MPLS,像路由协议一样，,MPLS,路由器将标签分配完成后，需要将标签分配信息发送给其他运行了,MPLS,的路由器。所以标签交换也需要有,IP,路由（通常是,IGP,）作为基础运行条件。,但是,MPLS,里的,IP,路由，仅仅作为标签传递的工具，不再作为数据转发使用，这里的数据转发由标签交换来完成,MPLS,MPLS/VPN,MPLS/VPN,中，关键设备为,PE,。所有的标签压入,/,弹出工作都是由,PE,来完成的。,PE,通过虚拟路由转发技术，将一台路由器虚拟成为多台路由器，以达到,VPN,的效果。,PE,设备是,IP,路由域和标签交换域连接的重要设备。,CE,设备通常只运行,IP,路由，与,PE,设备交换路由信息。,并不参与标签制作工作。,MPLS/VPN,MPLS/VPN,负载均衡,负载均衡（,LoadBalance,）建立在现有网络结构之上，它提供了一种廉价、有效、透明的方法，来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。,负载均衡有三方面的含义：,首先，大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间；,其次，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高；,再次，大量的访问或数据流量分担到多条网络线路上分别传输，增加传输带宽。,IPv6,促使,IPv6,形成的主要原因是网络地址的匮乏。从,1990,年开始，互联网工程任务小组（,Internet Engineering Task Force,，简称,IETF,）开始规划,IPv4,的下一代协议，除要解决即将遇到的,IP,地址短缺问题外，还要发展更多的扩展。,IPv6,计划是创建未来互联网扩充的基础，其目标是取代,IPv4,，预计在相对长时间内,IPv4,仍会被支持，以便给新协议的修正留下足够的时间，以及现有协议的兼容。,IPv6,能解决的核心问题与互联网目前所面临的关键问题之间出现了明显的偏差，难以给互联网的发展带来革命性的影响。与,IPv4,的各种地址复用解决方案相比，,IPv6,能够降低复杂性和成本，然而目前却只有制造商较能够感受到这个优势，用户和运营商无法直接感受到，导致产业链缺乏推动,IPv6,的动力。,IPv6,128bits,的地址方案,足够的,IP,地址,多等级的层次,有助于路由聚合,网络节点的,IPV6,地址自动配置,灵活的地址更改机制,Arp,广播被多播替代,IP V6,的包头更有效率,降低了转发延迟,具有对移动性和安全性更有效的处理方法,IPv6,IPv6,地址表示,8,个,16,位十六进制号码，如,2031:0000:1F1F:0000:0000:0100:11A0:ADDF,简化方法：,每组前面的,0,去掉,0000=0,（压缩排列）,“,:,”,代表一组或多组,16,位,0,，并且在一个地址中仅出现一次,后,4,个,8,位可使用十进制表示,IPv4,地址，如,0:0:0:0:0:0.192.168.0.1,或,:192.168.0.1,IPv6,解决两类过渡问题,多个,IPv6,孤岛互连,IPv6,和,IPv4,互通,IPv6,主要过渡技术：,双栈技术（全部升级）,隧道技术（边缘升级）,协议转换（无需升级）,IPv6 network,IPv6 PC,IPv4 PC,IPv4 network,IPv4 address pool,3001:1,20.1.2.1,NAT-PT transfer server,IPv6-,双栈,原理,设备同时安装,IPv4,协议栈和,IPv6,协议栈，当和,IPv4,节点通信时采用,IPv4,协议栈，当和,IPv6,节点通信时采用,IPv6,协议栈。,应用程序根据,DNS,解析地址类型选择使用,IPv6,或,IPv4,协议,双栈技术是,IPv4,向,IPv6,过渡的基础。,优点,互通性好，实现简单，允许应用逐渐从,IPv4,过渡到,IPv6,缺点,设备升级可能降低设备的,IPv4,性能,IPv6-,隧道,IPv4,报头,IPv6,报头,IPv6,有效数据,IPv4,有效数据,原理：,IPv6,报文作为,IPv4,的载荷，或反之,IPv6,数据流穿透,IPv4,网络传输，或反之,适用场景：,初期,IPv6,孤岛之间的互联，或后期,IPv4,孤岛之间互联,设备类型复杂的城域网难以全部双栈，通过隧道接入,IPv6,用户,优点：,充分利用现有组网,骨干网内部设备无须升级,缺点：,额外的隧道配置，降低效率，只能实现,v6-v6,或,v4-v4,设备互通,手工隧道,隧道代理,GRE,自动隧道,6over4,6to4,ISATAP,Teredo,MPLS,6PE,6VPE,IPv6-,协议转换,原理：,协议转换设备处于,IPv6,和,IPv4,网络的交界处，实现,IPv6,主机与,IPv4,主机之间的互通。,协议转换设备维护一个,IPv4,地址池，为,IPv6,网络中的节点分配,IPv4,地址，并且完成,IPv4,协议和,IPv6,协议的转换。,优点,可以较好地解决,IPv4,和,IPv6,的互通问题,缺点,需要结合相应的应用层网关,(ALG),来实现应用层协议的转换。,协议转换设备可能成为瓶颈,IPv6,