1、某运营商城域网优化改造工程网络规划方案V18 某运营商城域网优化改造工程网络规划方案2007年11月13日目录第1章 城域网建设介绍 1城域网络现状 1目前组网模式分析 1网络改造目标和需求 2第2章 网络结构设计 7网络层次划分 7第3章 设备命名、接口参数、板位规划 9设备命名 9电路描述 10板位规划 10第4章 城域网路由部署 13OSPF协议 14BGP协议 17接入层的路由 18第5章 IP地址、Vlan规划方案 19IP地址分配原则 19设备间互连地址和VLAN 20设备loopback地址 21NGN IP地址 22专线IP地址 22PPPOE地址池 22第6章网管及安全 23
2、网管 23安全 23第1章 城域网建设介绍城域网络现状当前某运营商城域网核心由华为Quidway NE80路由器组成,作为该运营商宽带城域网的总出口,与骨干网相连,下挂汇聚节点Quidway S8016三层交换机,S8016汇聚了本城以及地市的数据流量。S8016旁挂ESR8825完成整网的接入用户验证授权,自S8016以下形成庞大的二层网络,这种组网模式满足了初期的需求,经过近三年的网络发展,接入用户不断增长,随着网络规模扩大,目前二层网络难以规划,维护难度日益加大,网络安全隐患渐渐暴露。而且随着业务的发展,在VPN的支持、多业务的发展以及NGN的承载上,网络需要进行改造,建立一个具有QOS
3、保证的、安全可靠、可运营,可管理、可维护及高效可扩展宽带的多业务承载网络,以实现各类业务的承载。如大客户专线接入、VPN、3G、NGN等。目前组网模式分析目前组网如下图所示: 旁挂式BAS组网:汇聚交换机完成链路的汇聚,BAS通过一条或者多条链路连接汇聚交换机。旁挂式组网方案复杂,成本较低,仅适用于现有网络的改造和用户稀疏的小型网络。旁挂式组网存在如下的缺点: 网络存在瓶颈,报文需要两次经过交换机和交换机与BAS间的链路,尤其是链路,是整个网络的瓶颈; 安全性低,二层网络过于庞大,难以抵挡广播风暴和各种网络攻击,尤其是病毒导致的各种DDoS攻击; 网络可靠性低,L3、BAS及两者之间链路都是单
4、点故障。 VLAN规划混乱,整网的VLAN在L3终结,导致L3上VLAN难以管理和维护。 效率低,数据报文需要多次经过交换机和BAS,跳数过多,造成时延加大,效率下降。BAS集中放置,带来网络可靠性低、效率低、端口浪费、制约带宽等问题;随着业务量增大,BAS应逐步下移,避免下挂的2层网络规模过大,避免单点接入用户过多在设备故障时造成较大的影响。关键节点存在安全隐患:在宽带网络的建设和发展中,业务流量速度增长迅速,对出口设备的业务性能要求越来越高。随着宽带网络的发展,运营商的终端用户接入的数量加大,网络安全问题也是日趋严重。现网中的核心设备和汇聚设备都是单点,一旦受到网络攻击,将影响全网的业务开
5、展。平等接入: 普通客户与商业客户共用接入设备,无法提供差异化服务;业务接入控制点应采用BAS和L3,BAS负责普通客户的接入,由L3提供专线接入商业客户。单一业务:通过技术选型,城域网设备应全面支持VPN、QOS、组播、ACL及安全等业务特性,改变当前城域网单一化的业务模式。网络改造目标和需求考虑到该城域网的地位,为确保其所承载Internet类业务及增值类业务(如大客户专线、VPN业务、NGN等)安全可靠地运行,华为建议经过本期工程建设的城域网应具备如下特点: 严格保证数据平面的安全性:保证Internet类业务及增值类业务在城域网中传送时的可靠性、完整性和保密性。 严格达到PSTN网99
6、.999%的可靠性要求:对增值类业务来讲,承载层设备本身必须达到99.999%可靠性要求。 可运营、可管理:城域网必须具有完善的流量统计与监测、故障定位、故障排查等功能,为网络日常维护管理、网络优化提供依据;同时应提供VPN、QoS等策略部署工具,简化管理、降低维护成本。 具备强大的处理能力、业务能力及平滑演进能力:城域网应该具备承载Internet类业务及增值类业务所需的性能、各种特性及业务能力(如VPN、QoS、安全特性、ACL、组播等),同时应具备强大的业务演进及扩展能力,对于新特性、新业务的提供(如QoS、IPv6),可通过软件升级的方式提供,最大限度地保护现网投资,满足可持续发展的要
7、求。 严格保证增值类业务(VPN、VoIP及视讯等)的QoS:城域网端到端单向时延小于150ms、端到端时延抖动小于10ms、丢包率为(T.38传真小于0.1%,话音业务小于1%),能够为所承载的各类电信业务(包括媒体流及信令流等)按需提供QoS保证(EF、AF)。为达到网络优化和将来扩展的目标要求,在网络设计构建中,应始终坚持以下建网原则: 高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中应选用已规模商用的高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。 标准开放性支持国际上通用标准的网络协议(如TCP
8、/IP)、国际标准的大型的动态路由协议(如BGP、OSPF)等开放协议,有利于以保证与其它网络之间的平滑连接互通,以及将来网络的扩展。 QoS对于所承载的每种业务,要能够按需提供QoS;对于VoIP等实时业务,要能够提供类似于传统PSTN网络的服务质量,这样才能作为承载增值类业务的IP骨干网络。 安全性通过设备机制及组网方案提高网络整体的安全性,对于所承载的各种增值类业务,要能提供类似于传统专线一样的安全性。 灵活性及可扩展性根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。 可管理性对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网
9、络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。建议改造组网方案建议改造组网如下图所示:改造组网说明:核心和汇聚层:分别增加一台NE80E和S8016,和原有设备形成互备。成双归属组网,提升网络安全性,新增NE80E与原老NE80作为城域网核心设备。新增一台S8016与老S8016做为城域网汇聚。业务控制层:完成宽带网络接入,需要提供计费认证以及用户管理功能,本次推荐两款设备平行组网完成不同用户接入。一种采用MA5200F/G,另外一种采用S3500系列。接入层:专线用户和网吧不需认证直接通过S3500交换机接入。个人用户通过MA5200F/G接入进行认证和计费。NG
10、N用户同时接入MA5200F/G和S3500,通过VLAN划分区分语音和数据业务,分别上行到MA5200F/G或S3500,进行业务控制和认证。改造后网络特点:分布式BAS组网:可以避免旁挂式的各种缺点。此种网络组网模式能实现网络中BAS的集中维护管理和适当流量分布,实现管理的最优化和网络的最优化,减少网络维护成本,防止网络出现流量瓶颈。分布组网方案简单,适用于用户较密集的网络。具有如下优点: 对用户业务汇聚的同时,对其进行管理控制。 网络结构简单、扁平化,网络效率高。 单点故障不会导致整网故障。 每端口4K VLAN,可以放号 4K 用户,保证一个用户一个VLAN。 每端口下二层网络规模适中
11、,安全性、QoS有保障。 网络层次清晰,扩展性好。 如图中,二层网络规模仅限于接入层,其上是三层网络,开OSPF路由协议,彻底避免环路,同时接入层网络通过严格的VLAN隔离,每用户一个VLAN,杜绝广播风暴,防止对二层网络设备的破坏。基于用户的带宽控制、地址申请限制、端口接入用户限制等措施保护网络资源。限制用户ARP、ICMP、PPP拨号等报文对CPU资源的占用,防止通过CPU资源消耗方式对网络设备本身发起攻击。提供网络可靠性。关键节点互为备份:关键节点承载着大量的流量和业务,采用冗余备份,成双归属星型组网,单点故障不会影响整网业务开展。全面VPN支持:核心机房建议采用华为MA5200G系列B
12、RAS,支持MPLS VPN,发展要求MPLS VPN技术的IP专线业务,其他机房采用华为MA5200F系列BAS,支持VPDN接入。改造后的IP城域网上采用MPLS VPN/VPDN技术承载增值类业务(VOIP VPN、视讯VPN等),可以简化管理、避免业务系统之间的相互影响、淡化了Internet类业务对增值类业务的影响、确保安全性。同时便于发展大客户业务,成为新的运营增长点。BAS提供差异化服务:华为系列BAS设备方便地实现用户的认证和鉴权,对用户带宽 CAR 控制,不同带宽不同费率,为用户提供差异化服务,实现数据网络的精细经营,提高业务的竞争能力。总之,利用MPLS VPN抓大客户,利
13、用增值业务抓个人用户,华为公司本次方案提供了两条有力的支柱,支撑该运营商的业务快速拓展。NGN承载:正如Internet一样,语音网络所依托的数据网的开放性和公用性,不可避免地会受到黑客或病毒程序的攻击或干扰,因此语音也面临着安全问题,如用户仿冒、破坏服务、抢占资源等。改造后的语音承载网从接入层提供用户的隔离、可管理等基本措施,防范常见的攻击手段,如地址仿冒、抢占资源。鉴于目前的需求,对原有组网进行如下调整,在各机房增加如下设备:局名设备类型台数GE端口FE端口中心机房NE80E1台共12个,其中11个单模,1个多模/中心机房S80161台共20个,其中19个单模,1个多模64个中心机房MA5
14、200G-41台共4个单模16个A接入机房MA5200G-21台共2个单模16个B接入机房MA5200G-21台共2个单模16个C接入机房MA5200F-20001台共2个单模16个D接入机房MA5200F-20001台共2个单模16个E接入机房MA5200F-20001台共2个单模16个F接入机房MA5200F-20001台共2个单模16个G接入机房MA5200F-2000扩容共1个单模/合计43个GE176个FE第2章 网络结构设计本次工程,将在原有网络的基础上,按照网络的扁平化原则,对网络结构进行设计,简化网络的结构和管理;对汇聚层网络进行路由优化,满足网络在未来对业务的支撑能力。因此,
15、在网络结构设计方面,我们将完成如下工作:网络层次划分核心层设计汇聚和控制层的设计网络层次划分按照网络扁平化设计原则,我们将对该地市城域网进行统一规划,统一建设,统一管理。将城域网络整个网络划分为核心层、汇聚层、控制层、接入层:核心层设计为:根据城域网业务量分布,选择新增NE80E和原NE80构成核心层,和国干GSR建立EBGP邻居关系,NE80E与NE80之间建立IBGP邻居,负责将全城域网的流量采用负载分担的方式向国干路由器转发,并负责单点故障的备份。为了保证出口带宽,2台NE80准备采用2GE链路捆绑的方法和国干GSR对接。汇聚层的设计为:2台S8016和NE80E、NE80之间通过GE链
16、路形成双归属,提高链路带宽利用率并提高网络的可靠性,并且两台S8016分别与NE80E、NE80建立IBGP邻居,核心层NE80E和NE80为RR,两台S8016分别为核心NE80E和NE80的客户机,这样便可以在两台汇聚交换机S8016根据核心路由器向S8016传递的路由信息开始选择数据出口。控制层的设计为:控制层选择分布式部署BAS设备,在每个汇聚节点部署一台华为MA5200G或MA5200F设备为本区域范围内的宽带居民用户提供业务接入,最后双归属到2台S8016上;后期采用S3500系列交换机将NGN语音业务和大客户专线等接入。接入层的设计:接入层由DSLAM、L2构成,将用户流量接续到
17、控制层。第3章 设备命名、接口参数、板位规划设备命名此次工程安装按照如下形式命名:SiteSite name中心机房ZXA接入AB接入BC接入CD接入DE接入EF接入FG接入GSite代码是地点名的拼音缩写而成。前8个site是已经有数据设备的城域网节点,以后有新加的Site直接在后面添加。Site Code长度最好不要超过3个字母。举例如下:M_ZX_S8016_ASite CodeUnique Ide.g. A 1st S8016; B-2nd S8016Equipment TypeMAN 各城域网机房设备命名如下:SiteSite name中心机房原有NE80M_ZX_NE80_A中心机
18、房新增NE80EM_ZX_NE80E_A中心机房新增S8016M_ZX_S8016_B中心机房原有S8016M_ZX_S8016_A中心机房MA5200GM_ZX_MA5200G4_A电路描述 此次工程安装如下形式进行电路描述:本端设备名-本端端口号-对端设备名-端口号-/端口速率,举例如下:M_ZX_MA5200G-4_A-G2/0/0-M_ZX_S8016_A-G2/0/0板位规划 新增S801617123419205678主控板A4GE空空空交换网板A交换网板B4GE空空32FE主控板A空空4GE空时钟板A时钟板B空4GE空空189101112212213141516老S80161712
19、3419205678主控板A4GE空16FE空交换网板A交换网板B4GE空4GE空主控板A4POS4POS4GE4GE时钟板A时钟板B4GE空32FE空189101112212213141516老NE807123419205678主控板A4GE空空空交换网板A交换网板B空空空空主控板A空空空空时钟板A时钟板B空空4GE空189101112212213141516新NE08E12341718567894GE空空空主控板A主控板A空空空4GE空空空空空交换网板A交换网板B交换网板C交换网板D空4GE空1011121319202122141516第4章 城域网路由部署依据该地市城域网络建设规划原则,
20、为了将核心路由区域与城域路由区域进行有效的划分,并实现路由优化,两核心节点(NE80E和NE80)与国干GSR采用EBGP协议交换路由信息,城域网本自治系统内两核心节点(NE80E和NE80)建立IBGP邻居,两核心节点(NE80E和NE80)分别与两台汇聚交换机S8016建立IBGP邻居,并且两台NE80做RR,两台S8016分别做为两台NE80的客户端,实现在2台核心路由器上路由的备份。此次采用OSPF作为城域网的IGP。核心层和汇聚层互连的接口运行在OSPF 的骨干区域中,两台汇聚交换机S8016相连的接口运行在子区域中,这样便于路由聚合,以及下行链路发生故障时路由不会有环路,可能通过O
21、SPF的精确路由找到目的地,并且在两台S8016交换机上各做一条聚合后网段的黑洞路由,以免出现路由环路,汇聚层和业务控制层互连的接口运行在子区域中,并且该子区域为NSSA区域. 出流量方面:城域网的2台核心节点(NE80E和NE80)两核心路由器上默认路由,通过国干下发给城域网,同时在两核心路由器上调整默认路由preference,使满足OSPF非强制下发条件,调整后默认路由优先级为EBGP默认路由OSPF默认路由 过滤掉IBGP默认路由,优选EBGP默认路由,2台核心路由器(NE80与NE80E)通过OSPF非强制下发默认路由用以引导城域网的出流量,同时两台NE80从GSR上面学习路由可以通
22、过GSR上BGP的MED值来控制出流量,另外在汇聚交换机S8016与两台NE80之间建立IBGP邻居关系,在S8016上便可控制出流量该从哪台核心节点出,且可以很好的容灾,(在两S8016没有运行BGP的情况下,假如两台核心路由器(NE80与NE80E)之间的连线出现了问题,这样便可能会导致部分路由(该部分用户是访问的目的地址属于BGP明细路由,而非BGP默认路由)本该从NE80E直接出网却通过OSPF下发的默认等值路由而走向核心路由器NE80这样便会使得路由在NE80和S8016之间产生环路,(由于两核心路由器之间连线中断,但IBGP邻居由于TCP可达没有中断,BGP属性依然生效,这时用户访
23、问的流量如本该从NE80E出,却到达了NE80,而NE80则会根据BGP属性送往NE80E,由于NE80与NE80E的IBGP邻居是通过LOOPBACK地址建立的,而NE80E的LOOPBACK路由是通过OSPF学习到,并且它的下一跳为S8016(由于两核心设备之间连线中断)而S8016上没有启用BGP,便导致S8016无法迭代BGP路由,S8016只有再次匹配默认路由到达NE80或者NE80E,如果是送到了NE80,则NE80再次送给了S8016),所以它就有可能导致路由环路的产生,解决方法便是在S8016与两核心节点(NE80、NE80E)之间建立IBGP邻居关系,同时两台核心路由器(NE
24、80、NE80E)做RR GROUP.回流量方面:在2台核心节点(NE80、NE80E)上同时通过向国干路由器发布城域网网段的方式来引导回流量,由于两台核心节点(NE80、NE80E)要实现负载分担方式,所以要把城域网内的路由在BGP内采取分段发布的原则进行发布,即采取在两台上分别做一条聚合后的路由,以及聚合路由的一半明细路由分开在两台核心节点(NE80、NE80E)上面做黑洞路由,然后再通过BGP用network进行发布,这样便可以使得外面访问城域网时根据不同的网段过不同的核心节点,然后城域网内部再采用OSPF引导。OSPF协议层次城域网的汇聚层2台S8016和核心层NE80E与NE80互连
25、的接口,以及这些设备的loopback接口划在OSPF Area 0。2台S8016和控制层的三层交换机、BRAS设备互连的接口划分Area 11,并且该区域划分为NSSA。且在ABR之下的路由器通过路由策略把除32位掩码的路由及默认路由之外的全部过滤掉,以减少部分BAS支持路由数目少的问题,这样到达BAS的路由条目就会减少很多,BAS出时可以通过两条等值的OSPF下发的默认路由出.实现负载分担,此次工程OSPF Area id划分如下:机房Area id中心机房11A接入机房11B接入机房11C接入机房11D接入机房11E接入机房11F接入机房11G接入机房11Cost值为保证城域网内部的流
26、量按照预期的方式进行部署,将Cost值规划如下:(以40G接口带宽做为参考值) 链路Cost值M_ZX_NE80_A与M_ZX_NE80E_A40M_ZX_NE80E_与M_ZX_S8016_B40M_ZX_S8016_B与M_ZX_S8016_A40M_ZX_S8016_A与M_ZX_NE80E_A40M_ZX_S8016_B与M_ZX_NE80_A40M_ZX_S8016_A与M_ZX_NE80_A40具体如下:默认路由两台城域网核心路由器(NE80E、NE80)采用非强制下发的方式向汇聚层S8016下发缺省路由,OSPF默认路由类型设为ZXpe one。在S8016上配置的子区域为NSS
27、A区域,并设置为不通告具体路由的方式,这样既可以在子区域的设备中产生缺省路由,又可以有效控制控制层三层交换机和BRAS上的路由条目。路由的发布和引入整个城域网的互连接口可以采用network的方式发布到整个OSPF域,和设备的loopback接口及不参与OSPF邻居关系的接口则可以采用networksilent的方式发布到整个OSPF域。业务控制层的其他直联路由networksilent的方式发布到整个OSPF域,静态路由可以采用import的方式引入到各自的OSPF域。同时子区域都设为NSSA区域,这样既可以保证控制层的三层交换机和BRAS能够学习到核心路由器的loopback接口地址的精确
28、路由,为后期MPLS VPN业务的开展准备好条件,又能有效控制三层交换机和BRAS的路由规模,更重要的是提高了对路由振荡和外部路由的大量涌入对设备造成的冲击。OSPF的认证本次工程采用ospf路由认证,校验方式可以是明码方式或MD5加密方式,通过明码或MD5加密方式校验,可以确保只有有效的路由器才能加入到网络,从而能够避免非法的路由器或伪造的路由信息加入到网络中,使路由出错,导致网络瘫痪。此次工程采用MD5加密的方式,加密密码为XXXX。OSPF配置注意事项由于具体的物理接口相对逻辑接口(loopback)DOWN/UP可能性大,因此用物理接口上的IP地址作为路由器ID会造成OSPF不稳定性概
29、率,所以建议用loopback接口上的IP地址(设备管理IP地址)作为路由器ID。BGP协议AS号核心路由器NE80和国干GSR建立的EBGP邻居采用的AS号是XXX核心路由器NE80之间建立IBGP邻居采用的AS号是YYYYY,通过LOOPBACK地址建立EBGP邻居关系,同时设备BGP建立邻居最大跳数为2跳。城域网两核心路由器的LOOPBACK地址与国干LOOPBACK地址互通通过静态路由。运行设备本次工程在两台城域网核心设备(NE80和NE80E)及两汇聚设备S8016上运行BGP V4。并且以两核心节点上面做路由反射器。BGP认证 本次工程采用简单认证的方法。BGP路由标记 本次工程利用COMMILZX属性打上相应标记。默认路由的通告两核心路由器上默认路由,建议通过国干下发给城域网,同时在两核心路由器上调整默认路由preference,使满足非强制下发条件,调整后为EBGP默认路由OSPF默认路由 过滤掉IBGP默认路由,优选EBGP默认路由路由宣告两核
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1