宽带城域网总体方案建议书

宽带城域网总体方案建议书总体方案建议二二二年四月三十日宽带城域网总体方案建议书目 录1.城域网建设的背景与建设原则61.1.IP数据业务特征61.2.宽带网络技术选择71.2.1.IP over ATM71.2.2.IP over SDH91.2.3.IP Over Gigabit Ethernet101.2.4.IP over DWDM141.3.城域网的建设背景161.4.城域网的建设原则172.城域网网络结构182.1.城域网总体结构182.1.1.城域网三层设计结构192.1.2.城域网二层设计结构212.2.宽带城域网详细网络结构描述222.2.1.核心层222.2.2.骨干层242.2.3.汇接层25情况1：小区25情况2：智能大厦(Intelligent building)282.3.网络设备选型302.3.1.Foundry骨干路由交换机302.3.2.RedBack的用户管理系统322.4.网络设计特点332.5.路由协议与策略342.5.1.城域网核心网路由342.6.网络流量分析353.城域网业务实现模式373.1.应用业务373.2.用户业务分类383.2.1.专线接入的服务393.2.2.城域网本地服务393.2.3.局域网互连404.城域网的安全特性414.1.用户的隔离与广播的抑制414.1.1.Uplink 隔离414.1.2.MAC地址过滤414.1.3.广播包的抑制424.2.网络安全434.2.1.Foundry交换机的安全特性435.城域网地址分配455.1.获取Internet服务的地址方案455.2.获取城域网服务的地址方案456.VPN增值服务466.1.简介466.2.方案1：私有VLAN上的VPN466.3.方案2：通过IPsec建立VPN47相应VPN产品介绍496.4.方案 3： 通过PPPoE建立VPN547.城域网服务质量保证567.1.高性能567.2.带宽管理567.2.1.固定的流速限制567.2.2.自适应速率限制578.用户管理和计费系统588.1.MIND计费系统介绍588.1.1.概述588.1.2.计费系统的总体结构588.1.3.业务管理608.1.4.用户管理608.1.5.用户认证62用户接入层认证628.1.6.计费管理62接入层计费63增强的资费引擎648.1.7.结算64网内结算64网间结算648.1.8.出帐658.1.9.其他功能65系统管理65远程营业系统66用户自助系统67统计分析678.2.城域网用户业务类型688.2.1.对Internet接入用户基于RADIUS计费688.2.2.固定租用费率688.2.3.基于SNMP的IP计费698.3.计费系统软硬件需求698.3.1.系统介绍698.3.2.总体要求708.3.3.RTS708.3.4.可选计费客户端718.3.5.WEB 客户端718.3.6.数据库服务器728.4.本期工程详细系统配置759.网络管理系统769.1.简介769.2.配置IP789.3.分配系统级别参数799.4.监视系统信息799.5.配置FSRP(BigIron)809.6.配置Multicast809.7.配置OSPF8210.安全管理系统8411.城域网应用系统8911.1.Web Cache缓存系统8911.1.1.前言8911.1.2.系统方案描述90Transparent Cache技术90Cache Load Balance技术92Cache Fail Over92分层的Web Cache结构93CDN应用93系统配置9511.2.WWW服务系统9511.3.Email服务系统9611.3.1.总体需求分析96建设原则96需求分析97邮件系统建设方案9711.4.VOD和流式媒体服务系统9911.4.1.前言9911.4.2.NetCache Server Accelerator技术简介10011.4.3.视频点播系统增强解决方案105流媒体系统的简介105视频点播系统增强解决方案106网络的安全性111网络的易管理性与易维护性112易维护性114Log信息和计费115内容管理1161. 城域网建设的背景与建设原则1.1. IP数据业务特征在通信技术、计算机技术和网络技术飞速发展的今天，尤其是以Internet的发展为主导的信息时代，世界各国都在积极发展本国的信息高速公路。技术上的推陈出新，又使人们在众多的选择面前显得有点无所适从。目前Internet网上的业务仍以非实时的IP数据业务为主，要想有效地支持IP业务，必须了解其业务的特征。与传统的话音业务相比，IP数据业务有三个明显的特点：第一，IP数据业务流量呈现自相似性。即不管在一个给定的物理链路上同时存在多少业务，其流量都具有同样的特性，相比之下，话音业务用户越多，其业务流越平滑。而IP数据业务负荷峰值远远高于传统的话音电路。于是，对于高平均峰值与平均负荷比的IP业务，IP网络必须具有高疏导能力，以减少IP业务拥塞，不丢失IP数据包。为此，一种可能的解决方案是提供网络缓存或增加缓存器的容量，以消除波峰和波谷。然而，大容量的缓存器有可能造成业务传送的延时。而对于含有实时流的多媒体业务，这显然不是一种很好的做法。因此更宽的带宽便是另一种合理的解决方案。对于需要较好服务质量要求的业务，采用独享带宽的方式也是最直接有效的。第二，在多数IP网链路上收方、发方通道间存在着传送数据的严重不对称性。数据流呈现非对称性的原因在于各地区之间信息化发展的不平衡。比如现在信息源大部分在美国，势必造成数据传送的严重不对称性。结果是，在Internet网络中，相当数量的带宽，有时能达到50，都是闲置的，而在其它部分业务却是异常繁忙，带宽告罄。对于这种情况，我们可以采用在出口配置大容量缓存的方式，缓解收发不平衡的现象。第三，IP网上的业务流不仅受限于网络本身，还受限于服务器拥塞。美国贝尔实验室的分析表明，超过50的浏览器拥塞是由服务器引起的。服务器拥塞问题最终依赖于带宽的增加和CPU处能力的改进，如果WDM的引入导致传输链路带宽增长的速度快于CPU性能增长的速度，那么，在未来的网络上，由于信息的处理速度慢而导致的拥塞将成为主要制约因素。从IP数据业务的特征可以看出，未来IP网络的发展应着重从承载设备处理速度，流量控制，网络带宽等几方面来考虑。1.2. 宽带网络技术选择新一代宽带1P网络要建立在现有的网络技术基础上，建立在当前最先进的网络传输技术基础上。自二十世纪九十年代以来，陆续出现并大量应用的宽带网络技术主要有IP over ATM（也称为IP+ATM）、IP over SONET/SDH、IP over DWDM、IP Over Gigabit Ethernet等，下面分别介绍这几种技术的特点，并进行比较。IP 0ver ATM，融合了IP和ATM技术特点，发挥ATM支持多业务、提供QoS（服务质量保证）的技术优势。IP over SDH，直接在SDH上传送IP业务，对IP业务提供了完善支持，提高了效率。而IP over DWDM，采用高速路由交换机设备和DWDM（密集波分复用）技术，极大地提高了网络带宽，对不同码率、数据帧格式的业务提供全面支持。IP Over Gigabit Ethernet，采用直接基于光纤的Gigabit Ethernet 或10G Ethernet网络，直接在光纤上传送以太网信息，提供IP业务的支持。1.2.1. IP over ATMIP over ATM的基本原理和工作方式为：将IP数据包在ATM层全部封装为ATM信元，以ATM信元形式在信道中传输。当网络中的交换机接收到一个IP数据包时，它首先根据IP数据包的IP地址通过某种机制进行路由地址处理，按路由转发。随后，按已计算的路由在ATM网上建立虚电路（VC）。以后的IP数据包将在此虚电路VC上以直通（Cut一Through）方式传输，直到下一个路由器，从而有效地解决了IP网络中路由器的瓶颈问题，并将IP包的转发速度提高到交换速度。实现IP over ATM， 把相应的解决方案分为两种模型：重叠模型和集成模型。 重叠模型 重叠模型的实现方式主要有：IETF推荐的IPOA、CIPOA（C1assic IP Over ATM）、 ATM Forum推荐的LAN仿真（LANE： LAN Emulation）和多协议MPOA等（MPOA： Muti-Protocol over ATM）。重叠技术的主要思想是：IP的路由功能仍由IP路由器来实现，需要地址解析协议ARP实现MAC地址与ATM地址或IP地址与ATM地址的映射。而其中的主机不需要传统的路由器，任何具有MPOA功能的主机或边缘设备都可以和另一设备通过ATM交换直接连接，并由边缘设备完成包的交换即第三层交换。重叠模型的信令标准完善成熟，采用ATM ForumITU-T的信令标准，与标准的ATM网络及业务兼容。但该技术对组播业务的支持仅限于逻辑子网内部，子网间的组播需通过传统路由器，因而对广播和多发业务效率较低。 集成模型集成模型的实现技术主要有：Ipsilon公司提出IP交换（IP Switch技术）、Cisco公司提出的标记交换（Tag switch）技术、IBM公司设计的Aggregate Route-Based IP Switching(ARIS)、Lucent/Cascade/Ascend公司推出的IP Navigator、日本东芝公司开发的Cell Switching Router(CSR)和IETF推荐的MPLS技术。集成模型的主要思想是：将ATM层看成IP层的对等层，将IP层的路由功能和ATM层的交换功能结合起来，使IP网络获得ATM的选路功能。ATM端点只需使用IP地址标识，从而不需要地址解析协议。该技术传输IP数据包效率较高，且不需地址解析协议。但目前标准还未完成，与标准的ATM技术结合不是很好。从以上分析可以看出，IP Over ATM具有以下特点： 优点：（1）由于ATM技术本身能提供QoS保证，因此可利用此特点提高IP业务的服务质量。（2）具有良好的流量控制均衡能力以及故障恢复能力，网络可靠性高。（3）适应于多业务。（4）对其它几种网络协议如IPX等能提供支持。 缺点（1）对IP路由的支持一般，IP数据包分割加入大量头信息，造成很大的带宽浪费（一般为2030）。（2）在复制多路广播方面缺乏高效率。（3）由于ATM本身技术复杂，导致管理复杂，在扩展性方面最大的问题还是对于两个分立的网络进行管理的复杂性。IP和ATM基于完全不用的协议体系（无连接和基于连接），它们都有其各自的地址模型、路由协议、信令协议和资源分配方案。在一个基于分组的网络环境中实现IP Over ATM是很困难、很复杂的。（4）PVC的N2问题严重限制的网络的可扩展性。（5）由于闭合网的结构（完全网状连接）造成对内部网关IGP的较大压力。（6）由于ATM SAR限制了接口的带宽，目前ATM接口最大带宽为622Mbps，并且由于ATM SAR的局限性很难提高接口速率。1.2.2. IP over SDHIP Over SDH以SDH网络作为IP数据网络的物理传输网络。它使用链路及PPP协议对IP数据包进行封装，把IP分组根据RFC1662规范简单地插入到PPP帧中的信息段。然后再由SDH通道层的业务适配器把封装后的IP数据包映射到SDH的同步净荷中，然后向下经过SDH传输层和段层，加上相应的开销，把净荷装入一个SDH帧中，最后到达光层，在光纤中传输。IP over SDH，也称Packet over SDH（PoS），它保留了IP面向无连接的特征。支持IP over SDH技术的协议、标准和草案主要有： PPP协议PPP协议（即IETF FRC1661：The Point-to-Point Protocol和RFC2153：PPP vendor Extension是一个简单的OSI第二层网络协议。其标头只有两个字节，没有地址信息，只是按点到点顺序，面向无连接。PPP协议可将IP数据包切成PPP帧（符合RFC1662：PPP in HDLC-Link Faming）以满足映射到SDHSonet 帧结构（符合RFC1619：PPP over SDH）上的要求。 简化的数据链路协议（SDL）在IPPPPHDLCSDH中，使用的基于HDLC的帧定界协议存在一些问题，主要表现在：用户使用HDLC帧时，网管需要对每一个输入、输出字节都进行监视。当用户数据字节的编码与标志字节相同时，网管需要进行填充、去填充操作。为此，Lucent提出了简化数据链路协议SDL。SDL用户对同步或异步传送的可变长的IP数据包进行高速定界，可适用于OC-48STM-16以上速率的IP over SDH。SDL协议主要应用于点到点的IP传送，可以用于任何类型的数据包（如IPv4、IPv6等）。与HDLC相比，SDL更容易应用于高速链路，并且可能提供链路层的QoS。从以上分析可以看出，IP over SDH具有以下特点： 优点：（1）对IP路由的支持能力强，具有很高的IP传输效率。（2）符合Internet业务的特点，如有利于实施多路广播方式。（3）能利用SDH技术本身的环路，故可利用自愈合（Self-healing Ring）能力达到链路纠错；同时又利用OSPF协议防止链路故障造成的网络停顿，提高网络的稳定性。（4）省略了不必要的ATM层，简化了网络结构，降低了运行费用。 缺点：（1）仅对IP业务提供好的支持，不适于多业务平台。（2）不能像IP over ATM技术那样提供较好的服务质量保障（QoS）。1.2.3. IP Over Gigabit Ethernet自1998年以来，千兆以太网的第3层交换骨干技术日趋成熟。而且，由于解决了长距离传输问题，千兆以太网正逐步在企业大楼网、园区网、城域网和局域网骨干上取代了传统的ATM，城域网和局域网成为目前千兆以太网骨干和ATM 骨干的分水岭，今后，ATM技术的出路在于电信级广域网。此外，IP QoS 技术日趋成熟以及IP语音和视频应用技术的不断发展，逐步取代了传统的基于ATM QoS实现的语音和视频应用。当前，LAN/MAN交换技术的发展正推动着IP语音和视频应用在企业中的部署，包括硅元件设计的进步、QoS的开发和标准化以及策略管理的出现。l ASIC的革命 -硅集成电路技术的进步及其在IP联网领域的应用，推动了真正的线速第3层路由交换机和第2层边缘交换机的发展，这些交换机可以以第 3层智能过滤业务流，并为之分类或分配优先级。交换机现在可以区分不同业务类型，如Web 业务、企业资源规划(ERP)数据和电话业务，并根据预先分配的优先级进行处理。基于第3/4 层交换的城域网和局域网解决方案可以以线速路由数据包。同时可以按策略对先前标记的数据包进行相应处理，核对接入表以实现安全性，或跟踪具体应用和协议的性能。此外，基于硬件的IP路由交换机本身就比传统的基于软件的多协议路由器更为简单和可靠。 l IP QoS机制的标准化和演进 -业界将就QoS和业务优先级分配，提供多厂商互操作性所使用的标准达成共识。在第2层，IEEE定义的802.1q VLAN标记和802.1P用户优先级设置可用于创建以相同方式进行处理的VLAN分段，或者对数据包进行标记，以进行优先级排队。在第3层，IETF定义的级别服务(DiffServ)被用于标记和处理快速转发(高速度)，或保证转发(有保证)等业务的数据包，IETF资源预留协议(RSVP)不仅作为一种QoS机制，而且作为一种使终端站可以向网络单元和策略服务器发送信号、以请求带宽分配或优先级处理的通用信令协议。桌面应用将普遍支持这些新兴的QoS机制(如Windows2000)。IP QoS可以根据以下可度量的参数来描述： n 业务可用性用户业务在网络传输的可靠性。 n 延迟亦称为时延（Latency），指两个参照点之间发送和接收数据包的时间间隔。 n 可变延迟亦称为抖动（jitter），指在同一条路由上发送的一组数据流中数据包之间的时间差异。 n 吞吐量网络中发送数据包的速率；可用平均速率或峰值速率表示。 n 丢包率在网络中传输数据包时丢弃数据包的最高比率；数据包丢失一般是由网络拥塞引起的。l 第3/4层交换 -基于第3/4层交换的城域网和局域网解决方案的核心是在网络中提供安全性和应用优先级分配的能力。安全性和应用优先级分配是基于策略的解决方案的两大重要属性。第3/4层路由交换机使用基于特殊的高性能ASIC，它使基于第3/4层交换的路由交换机可以进行线速过滤、业务分类、实施策略、记账、交换和路由分配功能。 -ASIC可以根据几种不同参数过滤业务，并为之分类：在OSI第1、2、3以及第4层，包括物理端口、源或目的地MAC或IP地址、UDP或TCP 端口号、VLAN标记及DiffServ码(DSCP)。这些分类功能在传输多种不同信息类型(关键和普通、实时和对时间不敏感的信息、开放和安全信息)的一体化网络环境中尤其重要。 -数据包在到达基于第3/4层交换的路由交换机端口时，ASIC立即对其进行核对，看它是否符合定义的某种策略，以便进行处理。ASIC可以根据以下匹配标准中的任何一种或多种识别数据包，并为之划分级别，如：源/目的地IP地址/掩码；协议类型：ICMP、TCP或UDP端口号；Diffserv规则。 -实际上，通过使用适用于匹配字段的操作符, 可实现更先进的功能，这些操作符包括：设置802.IP或DSCP字段；使用策略服务器进行验证；对已分类的帧实施策略和转发匹配完成后，ASIC便决定如何处理该数据包。这些处理选择包括：转发、服务质量(使用哪个队列，以及是否修改相关的QoS参数)、安全性(是否丢弃和/或拷贝该数据包)、业务整形(该数据包是否符合为之定义的策略)和记账(共有多少次策略匹配情况发生)。 -将来，这些策略还可以通过集中的网管策略服务器中的公用开放策略业务(COPS)进行设置，它可以提供更大的使用简便性、一致性和灵活性，以满足不断变化的业务要求。 l 面向电子商务的第7层交换技术 -IP电话、电子商务、关键任务Intranet和Extranet 的面世与迅速普及,为网络和IT管理人员带来了更多挑战。其中之一是控制全球各地多个用户都接入的各个Web服务器的负载。网络管理人员如何才能确保对所有用户都作出同样迅速的响应？ -服务器交换机可以为关键任务的电子商务和 Interent应用提供最快的应用响应时间和服务器负载平衡功能。服务器交换机可以部署在任何城域网和局域网环境中，经过最少的重新配置(只需配置一个交换机端口)，便可以提高服务器的性能。 -第7层交换技术不仅仅能够测量预测响应时间，还可以依照业务级别(CoS)完成这一工作。我们可以为各个协议定义多种业务级别。例如，一个站点上安全的电子商务区域的响应时间可以根据预定的指导原则进行测量和维护。而且，这一目标的实现无需使用基于服务器的代理，因为它会增加复杂性，给关键任务应用带来潜在的稳定性问题。 -此外，不同业务级别可得到不同优先级和不同的目标响应时间。服务器交换机可以提供一种方法，使不同业务级别有不同响应时间，而不是在一组服务器内进行负载分担。这样，在请求达到一定数量时，某些服务器可以暂时专门用于回答此类电子商务请求，而另外一些则只用于支持Web浏览或文件传输请求。此外，服务器交换机还使国际请求可以发往本地服务器，以当地语言为用户提供内容，并从地理上优化响应时间。 -业务级别分组可以根据应用或协议类型定义，即： HTTP、HTTPS、FTP、DNS、任何TCP或UDP。 - Interent用户要求保护安全套接层(SSL)站点授权，并对它们的交易进行数据加密。然而SSL进行的密集加密计算和授权计算会削弱哪怕是最强大的Web服务器的处理功能，从而大大降低交易速度。这样，当网络中业务负载很大时，就会导致越来越长的等待，有些交易甚至会彻底失败。 -基于第7层交换的SSL可以在SSL交易期间消除服务器性能瓶颈。这种交换机的设计旨在通过提供硬件辅助的SSL设置和加密来加快Web上的电子商务交易速度。 l 基于策略的网络规划 -虽然为不同业务流保证QoS很重要，但在大型网络中，手工配置和管理交换、路由单元可能很棘手。基于策略的联网的面世，简化了过去难度极大而且易于出错的工作，并使它可以自动完成。在使用策略的网络中，策略服务器以简单、用户友好的语句(如“为话音分配比数据更高的优先级”)获得有关适当的用户和网络策略的输入信息。然后，这些策略被转换为具体的过滤和排队指令，通过COPS协议发往所有网络单元。 -网络策略业务管理应用是当今市场上最先进的基于策略的管理系统。该应用主要包括两部分：策略管理器和策略服务器。策略管理器提供一个直观的Web界面，用于为用户和应用规定优先级，这些应用包括话音、视频、Web浏览、电子商务、企业资源规划以及批量文件传输。策略服务器在一个基于标准的、与LDAP兼容的目录存储策略，并通过COPS协议将它们发往基于第3/4层交换的路由交换机，以便在整个网络中确保一致的端到端QoS。 -较短而且一致的时延不仅在电话应用中非常重要，而且在数据应用（如电子商务和供应链管理）中也是如此。例如，一个向电子商务网站发出询问的客户要求的响应时间为3秒，然而，要回答这一询问需要在网络中进行大量连续的交易。由于延迟的累积特性，各次交易对时延可能有与实时话音相同的要求(如数毫秒)。 -基于第3/4层交换的城域网和局域网解决方案的设计前提是基于策略的联网，它对于有效管理一体化网络至关重要，而且交换机性能在使用、实施或跟踪策略时不能降低。在多业务网络中，以整体性能的下降为代价来为电话分配高优先级不是理想的解决方案。此外，随着千兆以太网标准的不断发展和应用，特别是10G以太网标准的不断成熟，IP Over Gigabit Ethernet 或 IP Over 10G Enthernet将成为LAN/MAN的主流。1.2.4. IP over DWDMIP over WDM，也称光因特网。其基本原理和工作方式是：在发送端，将不同波长的光信号组合（复用）送入一根光纤中传输，在接收端，又将组合光信号分开（解复用）并送入不同终端。IP over WDM是一个真正的链路层数据网。在其中，高性能路由器通过光ADM或WDM耦合器直接连至WDM光纤，由它控制波长接入、交换、选路和保护。IP over WDM的帧结构有两种形式：SDH帧格式和千兆以太网帧格式。支持IP over WDM技术的协议、标准、技术和草案主要有：DWDM（密集波分复用）一般峰值波长在110nm量级的WDM系统称为DWDM。在此系统中，每一种波长的光信号称为一个传输通道（channel）。每个通道都可以是一路155Mb/s、622Mb/s、25G/b甚至10Gbs的ATM或SDH或是千兆以太网信号等。DWDM提供了接口的协议和速率的无关性，在一条光纤上，可以同时支持ATM、SDH和千兆以太网，保护了已有投资，并提供了极大灵活性。 SDH与千兆以太网帧格式比较目前，主要网络再生设备大多采用SDH帧格式，此种格式下报头载有信令和足够的网络管理信息，便于网络管理。但相比较而言，在路由器接口上针对SDH帧的拆装分割（SAR）处理耗时，影响网络吞吐量和性能，并且采用SDH帧格式的转发器和再生器造价昂贵。目前，在局域网中主要采用千兆以太网帧结构，此种格式下报头包含的网络状态信息不多，但由于没有使用一些造价昂贵的再生设备，因而成本相对较低。由于使用的是“异步”协议，对抖动和时延不那么敏感。同时由于与主机的帧结构相同，因而在路由器接口上需对帧进行拆装分割（SAR）操作和为了使数据帧和传输帧同步的比特塞入操作。从以上分析可以看出，IP over WDM具有以下特点： 优点：（1）充分利用光纤的带宽资源，极大地提高了带宽和相对的传输速率。（2）对传输码率、数据格式及调制方式透明。可以传送不同码率的ATM、SDHSonet和千兆以太网格式的业务。（3）不仅可以与现有通信网络兼容，还可以支持未来的宽带业务网及网络升级，并具有可推广性、高度生存性等特点。 缺点：（1）目前，对于波长标准化还没有实现。一般取1931THz为参考频率，间隔取1OOGHz。（2）WDM系统的网络管理应与其传输的信号的网管分离。但在光域上加上开销和光信号的处理技术还不完善，从而导致WDM系统的网络管理还不成熟。（3）目前，WDM系统的网络拓扑结构只是基于点对点的方式，还没有形成“光网”。（4）光ADM设备还不成熟。1.3. 城域网的建设背景进入21世纪的中国，Internet飞速发展，各种网络技术不断涌现，随着因特网业务量和业务种类的不断增加，用户对上网速度和带宽的需求也日益增长。中国的Internet运营商所经营的骨干网设备容量和带宽不断扩大，相对来说，骨干网通道已较为畅通，为了对用户提供高速网络访问，接入的宽带化和城域网的建设正在成为网络建设中的一个重点，城域网（MAN）成了整个网络基础设施中充满激烈竞争的领域。城域网概念出现在20世纪90年代，早期的MAN是由TDM光纤环网组成的。90年代中期，ATM成为建设MAN的主导性技术。这是由于ATM被认为是可以融合数据、语音和图像的技术，而且ATM可以和SDH 环网很好地适应。ATM作为一度光明的技术得到了大量的应用。然而，应用总是推动技术发展的一个原动力，基于IP的桌面应用已经成燎原之势，VOD、视频会议等宽带应用要求网络能够提供更宽的通路。因此，网络正面临新的趋势：用户需要越来越多的带宽。大约每6到9个月带宽的需求就将翻倍，但是现有的网络无法提供足够的能力来满足这一要求。因此，基于IP、特别是基于千兆以太网（GE）之上的城域网成为颇具生命力的城域网解决方案，它能够降低成本，并迅速整合现存的局域网资源，是今后网络技术的发展趋势。而全新的架构的IP城域网（MAN）将可以为用户提供高达10M/100M到桌面的高速连接，并且能在核心层为整个网络提供高达GE/POS 2.5G的连接。1.4. 城域网的建设原则l 以业务驱动传输网络建设 与各级干线网相比，城域传输最明显的特点是业务类型、业务流向流量的不确定性。以从前中国的城市传输网看，主要以话音业务为主，承担着交换机之间的互联，所以又叫做市话网，传输设备也基本由各种速率的SDH设备承担，很少量的数据业务由路由器、ATM交换机接入，2Mbps、34/54Mbps或155Mbps接口挂在传输设备上，交换机房、传输机房和数据局相互分离。随着数据业务呈指数规律的发展，以及新运营商的积极推动，使得城域传输网络的建设重新成为焦点。 -由于各个运营商目前拥有资源不同，其发展方向也各有差异，因此，如何根据本身业务发展的重点来构建传输网络是首先应该考虑的问题。 l 以先进、成熟的技术提升网络的竞争力 先进和成熟是一个既对立又统一的概念，它们之间并没有绝对的标准。例如SDH对于TDM业务来说是一个既先进又成熟的技术，然而对于数据业务而言，却有着传输效率不高的名声。又如，ATM通常被视作完美的技术，却一直未被大规模应用，被后起之秀IP路由器赶超，技术过于复杂、成本过高是其原因之一。不过，IP 路由器虽然发展迅猛，但QoS问题仍需改进。可见，十全十美的技术是难以找到的，而现在 SDH设备、IP路由器和ATM交换机都在取长补短、互相借鉴。正因为如此，一些全新的设备、解决方案正在被研制，很可能成为未来城域传输网的主力军。 l 网络整体规划适度超前，分层建设 通常城域传输网可分为骨干层、汇接层、接入层，由于业务的不确定性和技术的多变性，建设时应保持审慎的适度超前的策略，满足未来一段时间内的扩容能力，又不致于形成包袱。 l 保持与现有运营商网络的互联互通 无论网络结构还是设备形态，无论通过新增网关，还是直接互联，都必须能够快速、高效地与现有运营商实现互联互通，只有开放的网络才会有利于所有的运营商。运营商之间是一种“竞合”的关系，过分追求技术和设备的差异性而忽视了运营商之间的共性容易形成网络孤岛。2. 城域网网络结构2.1. 城域网总体结构一个优秀的网络设计结构是建设城域网所必须的。根据实际的网络规模以及网络用户的地理位置分布，可以选择两种网络结构。如下图所示：图2.1 城域网网络层次一种网络结构是采用三层的城域网建设结构，即核心层网络、汇接层网络和接入层网络，另外一种网络结构是选择核心层和接入层两层的网络设计结构。整个网络提供的业务主要如上图所示：专线接入、VPN以及数据中心等。各层次的网络分别实现相应的功能。 核心层核心层的必须为整个网络提供一个高速，宽带的中心连接，并能提供所有城域网出去Internet所需要的路由服务。高性能，无阻塞，可靠以及容易扩展是对核心交换设备的主要要求。我们推荐使用Foundry的第三层交换机BigIron 4000/8000组建核心层。并且建议使用双机备份方式提高核心层网络的可靠性。在核心层中，我们推荐目前阶段BigIron之间以GE连接，并根据线路状况，选择可选择双环状网络连接，提高网络的可靠性。 汇接层汇接层完成各个接入层到核心层的连接。我们推荐采用Foundry的FastIronII模块化交换机，以一条或两条GE分别连接到核心层路由交换机。FastIronII的可扩展性使得它能适应汇接层中不同点所需要的端口数，处理能力以及是否需要ATM连接的不同要求。对于城域网而言，汇接层将同时保持第二层交换和第三层路由功能。对于诸如城域网内部的服务，则可以通过路由方式获得，而对于诸如PPPOE的拨号，汇接层提供第二层交换功能。 接入层接入层是直接面对用户的一个层面。它为广大的用户提供10/100M的高速接入。我们推荐在这个层面采用性价比较高的FastIron第二/三层交换机。再以100/1000M的带宽上联到汇接层。为了满足距离的需要，我们可以在各个接入层加入光电转换器。接入层为用户提供第二层的交换服务。2.1.1. 城域网三层设计结构依据上面提到的三层网络结构的设计思想，给出如下的网络结构图。我们对城域网建设提出以下的层次划分，核心层网络、汇接层网络、接入层网络。选择城市的几个业务集中点作为核心层网络节点，在每个核心层网络节点设置一台Foundry的路由交换机BigIron4000，根据用户的实际业务需求，也可以选择更高端口密度的BigIron8000或BigIron15000。根据需要可以在每个节点设置两台路由交换机，实现设备冗余。路由交换机之间采用GE互连，随着流量的增加，可以利用Trunk技术，实现多条GE链路的捆绑，提供更宽的中继链路。汇接层节点主要是为了延伸网络，提供更多的中继端口支持，因此选择高端口密度的Foundry的交换机FastIronII，每个汇接层节点的FastIronII交换机通过一条或两条GE链路分别连接到不同的核心层节点设备上，实现链路的冗余。向下则提供更多的中继端口，可以是GE，或者是FE端口。以便接入层网络设备的接入。接入层设备直接面对用户，需要为用户提供高速的接入支持。在每个接入层节点选择Foundry的交换机FastIron，提供丰富的用户接入端口。每个接入节点设备通过GE链路接入到汇接层网络节点。可以为用户提供高速的IP接入业务。对于其它如ATM、FR、DDN、ADSL、CABLE的接入,以及基于以太网的PPPoE拨号用户，可以通过RedBack的高处理能力的SMS1800来提供。SMS1800是一个综合的用户接入管理平台，SMS1800最大可以满足8,000个并发的用户连接，非并发用户连接数则可以高达50，000，提供丰富的用户接入端口，从E1一直到STM-16。可以实现基于PPPoE、PPPoA、RFC1483、RFC1490、802.1Q PVC、L2TP的数据封装。可以实现ATM、FR、DDN的接入，以及Ethernet,ADSL和CABLE的接入。并能够提供用户的RADIUS认证、计费功能。在城域网的出口，通过高速的路由器与上级的ISP相连，以连入Internet。另外，在核心层网络节点可以建设整个城域网的计费、网络管理中心，数据中心以及城域网的应用服务。根据需要，在城域网的出口处，可以利用NetApp公司的Cache设备，实现网络信息发布，为城域网用户提供更快的响应速度，为运营商节省网络带宽。2.1.2. 城域网二层设计结构在网络的规模，以及用户的数量有限的情况下，可以选择两层的城域网设计结构，具体如下图所示。相比较于三层的城域网设计结构，只是少了汇接层网络。其它的网络设施同上所述。2.2. 宽带城域网详细网络结构描述2.2.1. 核心层根据上文的城域网结构设计，我们建议宽带城域网的总体结构如下图所示：我们在一期工程将宽带城域网分为三层结构，其中由网络中心节点等六个节点构成宽带城域网的核心层；其它26个节点构成骨干层（汇接层）；用户小区设备构成接入层。每个核心节点配备两台高速路由交换机（白浪一台），两台交换机一主一备，采用千兆网连接，通过路由协议对流量进行分担，在发生故障时，起到相互备份的作用。核心节点之间通过千兆以太网互联，主、备份交换机分别构成一个环，使网络的安全性等到最大保证。核心层采用OSPF路由协议，通过对电路Cost值的设置和施加策略路由的方式，使全网的流量能够均衡的被内外环分担，并且能够在故障时将收敛时间见到最小。全网的中心设置在网络中心节点，主要用来设置宽带城域网的网络中心和信息中心，该节点将是用户访问网内外信息源的必经之路，所以我们针对这一点为网络中心节点配置两台Foundry B8000，特别增加4层交换功能，以配合Web Cache 设备以提高用户访问的速度。由于真实IP地址资源有限，宽带城域网内采用保留地址，核心层与Internet之间设置一台防火墙将保留地址转换为真实地址。2.2.2. 骨干层骨干层由26个节点构成，采用千兆以太网上联到核心节点，向下采用FE连接到小区或企业。骨干层主要起汇接用户的作用。我们推荐采用Foundry FastIron II路由交换机，由于骨干层对路由信息要求不高，所以我们建议采用静态路由。骨干层的局域网结构如图所示：根据用户技术规范书的要求，我们做出如方案一所示设计，改方案采用一台FastIron II 路由交换机和一台FastIron局域网交换机。FastIron II 路由交换机配置若干千兆以太网端口，分别上联到核心节点和下联到FastIron局域网交换机。然后通过FastIron局域网交换机的FE端口连接住宅小区或企业。方案一完全遵从用户技术规范书的要求，但由于采用了两台交换机串联方式，导致用户访问时增加了一跳，对网络效率由一定影响，而且投资成本相对较高，所以我们根据用户需求并结合产品实际能力对方案一进行修改后，得到方案二。方案二充分利用FastIron II 路由交换机的优异性能和扩充能力，采用一台配备多个千兆以太网口和快速以太网口的FastIron II 路由交换机。方案二相比方案一，一定程度上节省了用户投资，提高了网络性能，更有利于用户今后的扩容。我们建议采用方案二构建骨干层节点。2.2.3. 汇接层这部分应能十分灵活地满足各种要求，我们可将情况分为两种，小区和智能大厦。以下我们将详细讨论这两种情况。情况1：小区小区是十分重要的，由于它直接面临用户，而且不同用户对ISP有不同要求。我们可以提供用户如下优点。由FastIron II 或FastIron II Plus提供10M/100M/1GE接入FastIron II 和FastIron II Plus可提供高密度的10/100M到千兆的边缘接入，FastIron II GC和FastIron II GC Plus可提供高密度的铜千兆接入。FastIron II是一种冗余、非阻塞的机架交换机，提供72个自适应、自协商的10/100Mbps端口和2到8个千兆以太网光纤端口。对于需要更高10/100Mbps端口密度的公司，可以配置FastIron II Plus，提供168个10/100Mbps端口和2到8个千兆以太网光纤端口，或者144个10/100Mbps端口和16个千兆以太网光纤端口。FastIron可以提供100M光纤或铜端口，如果确实需要我们也可配置。MAC过滤和防止广播风暴(Broadcast storm)Foundry交换机具备地址锁定（Address-locking）能力，这样可确保非授权用户无法接入网络。通过这一特性，网络管理员可将MAC地址锁定在一个端口上。除提供基于端口的网络安全外，这一特点可用来快速简易的提供网络。Foundry的3层过滤功能允许网络管理员轻松快速地建立防火墙，阻止非授权用户的网络访问。Foundry的路由器中，Filter可根据源和目的的IP地址及目的端口（Socket）。这一能力为公司提供了多一层的网络安全，使指定的地址无法访问公司资源。如下图所示，用户可以被设置为无法得到邻居的地址，不管使用什么工具，如sniff或ping。由于MAC地址在FastIron II中被过滤掉了，根本都无法看到邻居，更别说进行任何破坏。同时，广播风暴也被阻止。没有人能够在不被允许的情况下广播大量信息，因此减少了通信阻塞。这里还有另一特性可帮助运营商很简便地管理用户的接入。对不同的用户，运营商可以这样做：让一指定的路由器连接路由器，而非另一个。让Redback或其它设备连接用户，拒绝其它。让一组Redback的路由器连接用户，过滤其它MAC。如此，运营商可以依据服务级别或组控制用户到其该去的地方。如下图所示。Intranet IP由DHCP分配在小区内，IP地址短缺是个问题，因此我们使用DHCP为用户提供足够的IP地址。动态主机配置协议（Dynamic Host Configuration Protocol-DHCP）消除了手动分配IP地址的工作，因而减轻了网络管理的负担。小区内使用具备DHCP协助功能的交换机，通过提供指向目的子网的指针确保IP地址分配到正确的子网中。下面是接入的草图，其中包含VPN。有关VPN的细节将在以后详细描述。访问Internetl 通过PPPOE访问Internet为了管理从小区和智能大厦访问internet的客户，在中心节点有一SMS作为Tunnel Switch，客户可从第二层（Layer 2）访问。Tunnel Switch配置第二层（Layer 2）隧道通过MAN IP网络到核心数据中心的SMSBRAS（Broadband Radius Server）。这一架构非常易于管理Internet IP地址或163/169的IP地址。不管以后在任何地点，IP地址的分配始终由一套系统管理。此外，通过Tunnel Switch可轻易植入宽带internet接入Redback系统。l 通过L2TP/L2F访问internet类似PPPOE接入，只是改用L2TP客户。PC客户通过IP网络建立L2TP隧道到中心SMS，并终结在SMS。但需要对L2TP/L2F客户的支持。情况2：智能大厦(Intelligent building)对智能大厦，它们同样需要10/100M接入，MAC过滤等等，但还有其自身的需求。我们将在本节中讨论这些问题。利用VLAN构筑私有网络在智能大厦中，用户可以很方便地建立自己的LAN，这是吸引他们加入IP MAN的的强项。用户可以使用基于端口的VLAN来限定不同的广播域，或使用基于协议的VLAN定义更为细致的VLAN组。协议可以是多种多样的，对出版业或A.D公司，可以使用AppleTalk，对一些老的计算机组，可以使用DECnet，对Novell用户，可基于IPX,对普通用户，用IP、Netbios即可。Foundry基于策略的VLAN简化了网络地址的管理，增加了带宽的利用率。基于策略的VLAN可被用作合并或隔离网络流量，也可使管理员能够逻辑地将用户和设备划归不同的虚拟组。例如，一个网络管理员可以用物理方式集中服务器，也可将服务器和其客户逻辑地划归相同的VLAN。基于端口的VLAN允许管理员将特定端口划归不同的广播域，以此维护不同的spanning tree domain，达到消除广播风暴（Broadcast Storm）的危险。Foundry 的FastIron交换机和NetIron交换机路由器可支持多达1000个VLAN。TurboIron/8交换机和FastIronII/BigIron路由交换机可支持多达4096个基于策略的VLAN。基于协议和子网的VLAN提高了网络的性能，并为网络管理员设计网络提供了高度的灵活性。利用子网VLAN，同一子网中的设备可位于不同Foundry交换机或交换路由器的多个端口上。这样提高了网络的性能，并为所有设备提供了更高的带宽量。基于协议的VLAN可使管理员轻易而透明地将协议定义为VLAN。这样可减少到其它端口不必要的广播，还允许同一端口归属不同的协议VLAN而无需VLAN标记，使网络易于设计和管理。VLAN标记将VLAN的好处扩展到整个网络。基于802.1q/p标准，VLAN标记使得VLAN的创建突破了交换机的界限。通过标记，多个VLAN可轻易设置穿越一个端口或在交换机间，简化了网络的管理，确保了设备间的互操作性。运营商可为不同用户提供服务级别根据用户和运营商的合同，和其它地方一样，运营商应能够在这两部分给予用户不同的服务。在这里，Foundry提供基于硬件的优先级队列、基于ASIC的ACL，而且所有 都是线速的。运营商可根据以下将用户通信进行分级：l 进入端口l IP源/目的地址l TCP/UDP端口l MAC地址l AppleTalk端口l VLAN成员，这可给予不同公司不同的服务级别，尽管同一公司不在同一端口l 802.1p标记l 服务类型（Type of Service）由此可见，服务级别是非常灵活可选的。任何端至端(End to end)的VPN我们可以使用三种方案来满足用户的VPN需求，第一种是基于私有VLAN，第二种是基于Ipsec，第三种是基于PPPoE。我们将在VPN有关章节中详细阐述。提供多媒体应用并降低流量在智能大厦中许多正兴起的应用，如视频会议，都是一到多或多到多的传送，一个或多个源向多个接收者发送。现有的交换机将这些传送的信息广播到所有端口，不管哪个端口要求这些信息，这样浪费了宝贵的带宽，并造成许多无用的流量，从而降低了网络的速度。任何Foundry交换机均支持基于硬件的IGMP广播流量减少特性，仅转发一个拷贝给那些申请信息的端口。这一能力减少了整个网络的通信流量，提高了性能并节省带宽。Foundry交换机路由器拥有业界最完全的广播协议，包括Internet Group Membership Protocol(IGMP),Distance Vector Multicasting Routing Protocol(DVMRP),Protocol Independent Multicast(PIM)。这些协议使得网络管理员可有效的支持诸如股票信息分发、视频传送的新闻服务和远程教学。第三层（Layer 3）过滤使用Foundry特有的第三层过滤能力，网络管理员可以轻松快捷地建立防火墙，阻止非授权用户的网络访问。Foundry的路由器中，Filter可根据源和目的的IP地址及目的端口（Socket）。这一能力为公司提供了多一层的网络安全，使指定的地址无法访问公司资源。因此，智能大厦的网络将会更安全。2.3. 网络设备选型2.3.1. Foundry骨干路由交换机我们选择高容量、高处理能力的交换机和路由器来提供城域网的解决方案。核心层网络设备在核心层中，我们推荐使用BigIron 4000和BigIron8000，其具有的基本性能指标如下： BigIron8000n 总的交换容量:256Gbps，背板交换能力:128Gbpsn 包转发速度:第二层的96Mpps，第三层96Mpps。n 支持的非阻塞千兆以太网接口: 64个n 支持的非阻塞10/100M电接口：184个n 支持的非阻塞10/100M光接口：168个n 支持的路由协议：BGP4，IP，RFC 1058 RIP，RFC 1723 RIP2，RFC 2328 OSPF V2， IPX/RIP/SAP，AppleTalk，RFC 1112 IGMP， DVMRPV3 ，RFC 2338 VRRP（VRRPE），Foundry 独立路由协议(FSRP)，DNS Client，PIM 疏/密模式，RFC 1256 Router Discovery Protocol，RFC 1771(BGP4)，RFC 1754（BGP4/OSPF），RFC1269（BGP3 MIB），RFC1619（PPP Over SONET），RFC 1662 （PPP in HDLC-like Framing）RFC 783 TFTP，RFC1542 BootP，RFC951 BootP，RFC 854 Telnet，RFC 1757 RMON Groups 1,2,3,9，RFC 2068 HTTP。支持多达256000以上的BPG4路由。 BigIron4000n 总的交换容量:128Gbps，背板交换能力:64Gbpsn 包转发速度:第二层的48Mpps，第三层48Mpps。n 支持的非阻塞千兆以太网接口: 32个n 支持的