上海電信寬帶IP網(wǎng)絡(luò)系統(tǒng)方案建議書

《上海電信寬帶IP網(wǎng)絡(luò)系統(tǒng)方案建議書》由會員分享，可在線閱讀，更多相關(guān)《上海電信寬帶IP網(wǎng)絡(luò)系統(tǒng)方案建議書（93頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、上海電信寬帶IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 上海電信寬帶IP網(wǎng)絡(luò)系統(tǒng) 方案建議書 二○○二年九月 第一節(jié) 需求分析 3 第二級 用戶需求分析 4 第三節(jié) 網(wǎng)絡(luò)設(shè)計(jì)原則 6 第四節(jié) 技術(shù)解決方案建議 9 第五節(jié) 基于隧道的IP- VPN 解決方案 15 第六節(jié) 基于MPLS的VPN方案 18 第七節(jié) 基于MPLS的透明以太網(wǎng)支持 28 第八節(jié) 全網(wǎng)路由規(guī)劃 37 第九節(jié) 接入網(wǎng)地址規(guī)劃 40 第十節(jié) 與其它網(wǎng)絡(luò)的互連性考慮 43 第十一節(jié) 網(wǎng)絡(luò)的計(jì)費(fèi)及管理 45 第十二節(jié) 各接入用戶的接入速率

2、限制及計(jì)費(fèi)策略 51 第十三節(jié) QoS業(yè)務(wù)控制 53 第十四節(jié) VLAN支持 57 第十五節(jié) 接入方案分析 58 第十六節(jié) 網(wǎng)絡(luò)管理介紹 69 第十七節(jié) Riverstone 產(chǎn)品的原理及特性介紹 81 第十八 本方案實(shí)現(xiàn)的網(wǎng)絡(luò)功能及方案的優(yōu)勢 86 第十九節(jié) 成 功 案 例介紹 91 第一節(jié) 需求分析 建設(shè)寬帶IP網(wǎng)絡(luò)的需求主要包括： 建立以IP協(xié)議為主的高可靠骨干網(wǎng)，同時考慮為各種應(yīng)用提供足夠的服務(wù)質(zhì)量保證。 大幅度提高網(wǎng)絡(luò)帶寬，包括核心網(wǎng)及傳輸網(wǎng)及接入網(wǎng)的帶寬，顯著改善響應(yīng)時間。網(wǎng)絡(luò)能快速有效地傳送IP數(shù)據(jù)包。 容錯的網(wǎng)絡(luò)結(jié)構(gòu)，集中的網(wǎng)

3、絡(luò)管理，特別是對虛擬網(wǎng)及VPN的管理必須保證靈活和安全。網(wǎng)絡(luò)應(yīng)支持動態(tài)地組建跨部門的項(xiàng)目小組。 網(wǎng)絡(luò)必須支持各種接入方式。在各層次均能提供安全及靈活的接入方式。 網(wǎng)絡(luò)系統(tǒng)能夠提供必要的QoS服務(wù)，保證語音、視頻等關(guān)鍵業(yè)務(wù)能夠在主干上順利傳送。 為家庭用戶實(shí)現(xiàn)10/100M高速接入服務(wù)；為政府、企業(yè)用戶等提供VLAN及VPN等虛擬專網(wǎng)服務(wù)。 必須提供流量工程能力。 網(wǎng)絡(luò)要求能夠方便,快速地開展增殖應(yīng)用。 網(wǎng)絡(luò)必須能適應(yīng)將來的技術(shù)發(fā)展  第二級 用戶需求分析 上海電信已經(jīng)建設(shè)了寬帶ATM網(wǎng)絡(luò)，但為了降低運(yùn)行成本，需要將現(xiàn)在ATM網(wǎng)絡(luò)上承載的IP業(yè)務(wù)轉(zhuǎn)移到IP

4、寬帶網(wǎng)上，以業(yè)務(wù)的類型來區(qū)分網(wǎng)絡(luò)的使用，真正做到網(wǎng)盡其用。ATM的優(yōu)勢在于能夠提供統(tǒng)一的網(wǎng)絡(luò)傳輸平臺；IP的優(yōu)勢在于能夠提供統(tǒng)一的應(yīng)用平臺。兩個平臺是互相補(bǔ)充、互相促進(jìn)的。 組建的IP城域網(wǎng)由骨干層、接入網(wǎng)和業(yè)務(wù)應(yīng)用平臺組成。骨干層的功能定位是：提供上海電信IP業(yè)務(wù)數(shù)據(jù)的高速傳輸、交換，進(jìn)行流量管理。接入網(wǎng)的作用應(yīng)能使用戶通過各種方式（LAN、DDN、FR、PSTN、ISDN、ADSL、LMDS等）接入IP城域網(wǎng)，而業(yè)務(wù)應(yīng)用平臺則除了原有傳統(tǒng)的網(wǎng)管、計(jì)費(fèi)等功能之外，更是多媒體業(yè)務(wù)、VPN業(yè)務(wù)網(wǎng)關(guān)和各種托管業(yè)務(wù)（服務(wù)器托管、應(yīng)用托管、存儲托管等） IP骨干網(wǎng)建設(shè)將是： 成為電信級IP網(wǎng)絡(luò)，

5、充分體現(xiàn)網(wǎng)絡(luò)的可靠性、可用性、可擴(kuò)展能力、可管理性、多業(yè)務(wù)支持能力、無縫升級能力等； 以上海電信的競爭業(yè)務(wù)和未來業(yè)務(wù)為建設(shè)核心，滿足未來2-3年業(yè)務(wù)應(yīng)用的需求； 在建設(shè)中必須充分考慮對用戶流量、帶寬的可動態(tài)管理能力； 充分利用現(xiàn)有資源，一次規(guī)劃、分期建設(shè)，根據(jù)市場需求對網(wǎng)絡(luò)作動態(tài)調(diào)整； 考慮支持未來3G業(yè)務(wù)的傳輸需求； 遠(yuǎn)程教育/遠(yuǎn)程醫(yī)療/視頻會議； VOD/交互式游戲； 電子商務(wù)； 網(wǎng)絡(luò)資源出租（端口、帶寬、波長等）； VPN/VPDN業(yè)務(wù) 寬帶IP城域網(wǎng)是面向未來的全業(yè)務(wù)網(wǎng)絡(luò)； 承載上海電信競爭性數(shù)據(jù)業(yè)務(wù)，有別于ATM網(wǎng)絡(luò)提供的傳統(tǒng)電路租用業(yè)務(wù)，體現(xiàn)上海電信大數(shù)據(jù)概念

6、； 快速、經(jīng)濟(jì)地向用戶提供基于IP的服務(wù)；降低企業(yè)運(yùn)行成本，提高企業(yè)競爭能力。 IP網(wǎng)的核心節(jié)點(diǎn)放置在上海電信新建8大傳輸節(jié)點(diǎn)上，同時對上海熱線現(xiàn)有的5個骨干節(jié)點(diǎn)，可以通過DWDM網(wǎng)絡(luò)實(shí)行連接，以優(yōu)化網(wǎng)絡(luò)和節(jié)約光纖資源。 綜合考慮各方面因素，本方案建議寬帶IP骨干采用8+ 40結(jié)構(gòu)，即：8個核心節(jié)點(diǎn)+ 40個邊緣節(jié)點(diǎn)，其中邊緣節(jié)點(diǎn)的數(shù)目可根據(jù)業(yè)務(wù)發(fā)展的需要適當(dāng)增加。邊緣節(jié)點(diǎn)選擇：按照每片10個左右的節(jié)點(diǎn)數(shù)量。 第三節(jié) 網(wǎng)絡(luò)設(shè)計(jì)原則 上海電信寬帶IP網(wǎng)絡(luò)是一個要投入商業(yè)運(yùn)行，支持眾多用戶接入的網(wǎng)絡(luò)，在具體的網(wǎng)絡(luò)設(shè)計(jì)上我們應(yīng)考慮以下原則： 有效性和可靠性 網(wǎng)絡(luò)的有效

7、性和可靠性即它的可連續(xù)運(yùn)行性是網(wǎng)絡(luò)建設(shè)必須考慮的首要原則，從用戶的角度考慮，當(dāng)網(wǎng)絡(luò)所需的服務(wù)不可用時，不管是何種原因，網(wǎng)絡(luò)就失去了實(shí)際價值。從另一角度看，當(dāng)某種網(wǎng)絡(luò)服務(wù)的響應(yīng)時間變的變幻莫測時，網(wǎng)絡(luò)系統(tǒng)也不可靠了。為此我們在網(wǎng)絡(luò)設(shè)計(jì)上考慮以下的技術(shù)： 選擇的網(wǎng)絡(luò)設(shè)備必需具有良好的可靠性保證，可熱插拔的模塊，快速的恢復(fù)機(jī)制等。 冗余及負(fù)載均衡的電源系統(tǒng)。據(jù)研究，電源故障在實(shí)際系統(tǒng)中導(dǎo)致的系統(tǒng)故障比率高達(dá)60%之多。 其它關(guān)鍵設(shè)備的冗余，如控制模塊的冗余。 冗余及負(fù)載均衡的網(wǎng)絡(luò)鏈路。確保不因?yàn)閱螚l線路的故障而導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)的失效，而且，確保在某條線路故障時對系統(tǒng)性能的影響也能最小

8、。 靈活性和可擴(kuò)展性 隨著計(jì)算機(jī)應(yīng)用的日益普及和進(jìn)步，對網(wǎng)絡(luò)系統(tǒng)的可伸縮性要求成為網(wǎng)絡(luò)設(shè)計(jì)的一個重要考慮。一個設(shè)計(jì)良好的網(wǎng)絡(luò)系統(tǒng)應(yīng)能方便地對其規(guī)?；蚣夹g(shù)進(jìn)行擴(kuò)充。用戶對網(wǎng)絡(luò)資源的需求經(jīng)常隨著應(yīng)用而發(fā)生變化，系統(tǒng)應(yīng)具有一定的靈活性，為滿足用戶的不同需求而作靈活的系統(tǒng)配置和資源的再分配。 上海電信IP網(wǎng)絡(luò)將會是一個不斷增長的網(wǎng)絡(luò)，包括它的規(guī)模，它的應(yīng)用范圍和服務(wù)內(nèi)容將隨著計(jì)算機(jī)應(yīng)用的不斷普及而不斷增加，因此在網(wǎng)絡(luò)設(shè)計(jì)上必須非常重視網(wǎng)絡(luò)的擴(kuò)展能力。 網(wǎng)絡(luò)的擴(kuò)展包括： 網(wǎng)絡(luò)規(guī)模的擴(kuò)展，包括網(wǎng)絡(luò)的地理分布，用戶數(shù)； 應(yīng)用內(nèi)容的擴(kuò)展，IP主干網(wǎng)絡(luò)將不僅僅擔(dān)負(fù)數(shù)據(jù)傳輸?shù)娜蝿?wù)，包括VO

9、D等其它視頻和語音服務(wù)也會不斷加入到IP網(wǎng)絡(luò)中去。這就要求主干網(wǎng)絡(luò)設(shè)備必須具有多種業(yè)務(wù)支持的能力。 網(wǎng)絡(luò)容量的擴(kuò)展，隨著規(guī)模和應(yīng)用的擴(kuò)展網(wǎng)絡(luò)的傳輸容量也必須能相應(yīng)的增加。 在網(wǎng)絡(luò)設(shè)備選擇上，模塊化的系統(tǒng)在可伸縮性上亦有著固定式系統(tǒng)無法比擬的優(yōu)越性。整個系統(tǒng)的性能將能隨著模塊數(shù)量的增加而得到相應(yīng)的增加，因此也就更能適應(yīng)不同規(guī)模網(wǎng)絡(luò)對設(shè)備的要求。模塊化的網(wǎng)絡(luò)設(shè)備在多種技術(shù)的適應(yīng)能力上也具有相當(dāng)大的靈活性。 網(wǎng)絡(luò)系統(tǒng)具有統(tǒng)一的系統(tǒng)平臺，具有平滑升級的能力，使系統(tǒng)能滿足各種用戶對應(yīng)用處理不同程度的需求，以及逐步升級的發(fā)展規(guī)劃，以節(jié)約投資避免系統(tǒng)性能的閑置和浪費(fèi)。 開放性和先進(jìn)性

10、 在大型網(wǎng)中，用戶的環(huán)境千差萬別，應(yīng)用平臺和硬件平臺各不相同，因此，遵循開放式標(biāo)準(zhǔn)是實(shí)現(xiàn)網(wǎng)絡(luò)互連的最根本的保證。 系統(tǒng)具有開放性，意味著遵循一個大多數(shù)計(jì)算機(jī)系統(tǒng)所共同遵循的標(biāo)準(zhǔn)，公共主干網(wǎng)絡(luò)的特點(diǎn)注定系統(tǒng)應(yīng)具備有與其它系統(tǒng)和網(wǎng)絡(luò)互操作和互聯(lián)的能力。以實(shí)現(xiàn)內(nèi)部各系統(tǒng)之間，以及有關(guān)其它領(lǐng)域的交流如：ATM寬帶主干的互連，SDH/SONET主干的互連,與省主干網(wǎng)絡(luò)的互連等。與第三方設(shè)備的互聯(lián)，開放性還意味著更多的選擇和最佳的性能價格比，有利于在眾多滿足同一開放性標(biāo)準(zhǔn)的硬件、軟件系統(tǒng)中選擇最符合要求的產(chǎn)品。 可管理性和可維護(hù)性 在一個網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)管理已經(jīng)越來越受到人們的重視。因?yàn)樗P(guān)

11、系到網(wǎng)絡(luò)系統(tǒng)的使用效率、維護(hù)、監(jiān)控甚至系統(tǒng)資源的再分配。 網(wǎng)絡(luò)管理對系統(tǒng)的重要性越來越大，這是由于系統(tǒng)對網(wǎng)絡(luò)環(huán)境的依賴性不斷增加而引起的，一方面由于網(wǎng)絡(luò)中繼而使業(yè)務(wù)被迫中止造成的損失會越來越大；另一方面由于越來越多的用戶連入網(wǎng)絡(luò)，對網(wǎng)絡(luò)管理的要求提高了，以確保網(wǎng)絡(luò)達(dá)到最高的效率。 安全性 上海電信IP網(wǎng)絡(luò)是一個公眾服務(wù)網(wǎng)絡(luò)，它涉及各種不同的用戶，不同的應(yīng)用，用包括黨、政機(jī)關(guān)，企、事業(yè)單位，和擴(kuò)大的個人用戶，網(wǎng)絡(luò)的安全性尤其重要，確保系統(tǒng)的動作正常、用戶信息的保密。安全機(jī)制包括: 完善的網(wǎng)絡(luò)管理，基于政策式的控制。 為大用戶建立虛擬專網(wǎng)業(yè)務(wù) 網(wǎng)絡(luò)設(shè)備支持多級別管理權(quán)限，

12、支持RADIUS、TACACS+等認(rèn)證機(jī)制，配置改變的管理記錄。 支持VPN標(biāo)準(zhǔn)協(xié)議：L2TP、IPSec等功能。 第四節(jié) 技術(shù)解決方案建議 網(wǎng)絡(luò)主干技術(shù)選擇 很明顯，網(wǎng)絡(luò)的設(shè)計(jì)要求建造一個高速的交換主干，建立一個高速的數(shù)據(jù)網(wǎng)絡(luò)，選擇何種交換技術(shù)作為骨干交換技術(shù)是成功建立骨干信息網(wǎng)的關(guān)鍵。 Riverston 能提供IP over 千兆網(wǎng)，IP over SDH, IP over DWDM, IP over ATM等各種骨干網(wǎng)技術(shù)。今后Riverstone 還將提供基于802.17的RPR主干技術(shù)。 IP over ATM 優(yōu)點(diǎn)是能提供好的Qos 技術(shù)，基于PVC的配置能

13、充分實(shí)施流量工程技術(shù)。但同時有很多局限性如。1.ATM PVC的全閉合導(dǎo)致N2問題。2.ATM信元稅問題，一條OC-48鏈路將浪費(fèi)OC-12的帶寬。3.基于PVC的備份模式在故障狀態(tài)下不是十分可靠。尤其當(dāng)網(wǎng)絡(luò)變得更大的時候。4.需要維護(hù)兩套網(wǎng)絡(luò)，即ATM基礎(chǔ)結(jié)構(gòu)邏輯IP覆蓋。有兩個配置用于設(shè)計(jì)，運(yùn)行及檢測。使得基于ATM核心的網(wǎng)絡(luò)運(yùn)行成本變的很高。同時擴(kuò)展性受到嚴(yán)重影響。 IP over 千兆以太網(wǎng)技術(shù)，IP over SDH技術(shù)的優(yōu)勢: 隨著第三層,第四層技術(shù)的誕生，高速帶寬的可用，長距離傳輸?shù)目捎?千兆網(wǎng)可達(dá)70km以上)，SDH距離可隨環(huán)的延伸而延伸。以太網(wǎng)的固有的簡單特性，使得該技術(shù)

14、迅速在骨干傳輸網(wǎng)上成為一種主導(dǎo)技術(shù)。同時基于IP的Qos/Cos技術(shù)使得其能滿足運(yùn)行商的需要。隨著MPLS技術(shù)的出現(xiàn)并成為今后的方向，IP over 千兆網(wǎng)/SDH配合MPLS技術(shù)使的他能提供同ATM一樣的Qos/Cos保證。及運(yùn)營商必須的流量工程技術(shù)。并能同原有的ATM網(wǎng)很好的融合。 最新的IP over DWDM 技術(shù)保留了POS 的高可靠性，同時很大程度地節(jié)省了電信的光纖需求量?；陔娦诺囊蠹霸O(shè)備的情況。我們滿足在主干網(wǎng)絡(luò)上實(shí)現(xiàn)IP over DWDM 方式實(shí)現(xiàn)主干8大節(jié)點(diǎn)的互連。對于邊緣節(jié)點(diǎn)，因?yàn)榍д拙W(wǎng)擁有很高的性價比，同時40個結(jié)點(diǎn)均按雙鏈路按片接入主干，也保證了冗余。此

15、外Riverstone 的RS系列路由器不但在RS38000/RS8600 的DWDM模塊上支持基于硬件的MPLS功能，同樣支持基于MPLS的千兆以太網(wǎng)模塊。這兩種MPLS支持的模塊均使用了Riverstone 自行設(shè)計(jì)的MPLS芯片均具有標(biāo)簽交換及標(biāo)簽映射能力。 分層網(wǎng)絡(luò)結(jié)構(gòu) 分層的網(wǎng)絡(luò)結(jié)構(gòu)是大型網(wǎng)絡(luò)設(shè)計(jì)的基本原則。分層的網(wǎng)絡(luò)結(jié)構(gòu)可以獲得良好的網(wǎng)絡(luò)擴(kuò)展性，便于對網(wǎng)絡(luò)的變化進(jìn)行預(yù)計(jì)和規(guī)劃。 上海電信IP城域網(wǎng)絡(luò)服務(wù)于整個上海地區(qū)，具有地域廣、應(yīng)用復(fù)雜、接入方式多樣的特點(diǎn)。網(wǎng)絡(luò)的建設(shè)需要著眼于將來，必須能進(jìn)行方便的擴(kuò)展，接納各種不同的用戶和應(yīng)用，因此在上海電信IP城域網(wǎng)的設(shè)計(jì)上我們采用分層

16、結(jié)構(gòu)。 其基本結(jié)構(gòu)如下所示： 骨干層 接入層 應(yīng)用層 匯聚層 其中骨干層和匯聚層組成了IP城域網(wǎng)服務(wù)平臺，網(wǎng)絡(luò)建設(shè)首先必須建立網(wǎng)絡(luò)平臺，同時應(yīng)該發(fā)展應(yīng)用系統(tǒng)。 骨干傳輸層的主要目標(biāo)是提供高速、可靠的傳輸平臺,負(fù)責(zé)連接匯聚層節(jié)點(diǎn)的接入，該層的節(jié)點(diǎn)設(shè)備應(yīng)具備線速無阻塞的路由轉(zhuǎn)發(fā)性能，負(fù)責(zé)為全網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)提供高速的通道。并能提供流量工程能力，匯聚層主要要求則是多種接入技術(shù)支持如高密度Ethernet,xDSL,Cable，E1/E3等，匯聚各種流量進(jìn)入骨干傳輸層。負(fù)責(zé)連接小區(qū)的接入設(shè)備，該層的節(jié)點(diǎn)設(shè)備除了實(shí)現(xiàn)線速的路由轉(zhuǎn)發(fā)外，還要負(fù)責(zé)網(wǎng)絡(luò)中大部分的控

17、制和服務(wù)處理，如ACL、QOS、速率限制和基于策略的路由等等。小區(qū)接入層的節(jié)點(diǎn)即每個小區(qū)的城域網(wǎng)接入點(diǎn)，直接上連二級匯接點(diǎn)，每個小區(qū)的接入點(diǎn)設(shè)備要支持2000左右用戶對城域網(wǎng)的路由訪問，同樣要具備線速的路由能力。 網(wǎng)絡(luò)設(shè)備選型 上海電信作為一個運(yùn)營網(wǎng)絡(luò)，對所使用的網(wǎng)絡(luò)設(shè)備有很高的要求，它需要網(wǎng)絡(luò)設(shè)備在性能、功能、可靠性、可擴(kuò)展性、互連靈活性等各方面均具備很高的水平，Riverstone的RS系列交換式路由器是針對服務(wù)供應(yīng)商市場提供的交換產(chǎn)品，尤其對城域網(wǎng)服務(wù)供應(yīng)商以及Internet Data Center更是最佳的產(chǎn)品解決方案，產(chǎn)品范圍針對城域網(wǎng)主干以及接入的所有需求，在支持L2/3/4

18、高性能線速交換和全面的路由及控制功能的基礎(chǔ)上，提供包括千兆以太網(wǎng)、快速以太網(wǎng)、ATM、POS、T1/E1/T3/E3、Channelized T1/E1/T3/E3以及今后的萬兆以太網(wǎng)、WDM、DWDM在內(nèi)的各種城域網(wǎng)主干和接入的鏈路技術(shù)，能夠靈活適應(yīng)用戶的連接需求和今后的升級與擴(kuò)展需要，同時產(chǎn)品的高可靠性和所提供技術(shù)的標(biāo)準(zhǔn)化與開放性，都已在業(yè)界得到了廣泛的認(rèn)同。 根據(jù)本項(xiàng)目的實(shí)際需求，我們在網(wǎng)絡(luò)不同層次選擇了相應(yīng)的產(chǎn)品以滿足各層次上的特定需要。 骨干層 需要在整個骨干網(wǎng)中提供最高的交換性能，尤其是基于L3/4控制與服務(wù)功能下的第三層線速路由能力，從而為整個網(wǎng)絡(luò)提供一個高性能的路

19、由/交換平臺；支持全面的標(biāo)準(zhǔn)的路由協(xié)議，豐富的接口類型以適應(yīng)今后可能的互連需要；設(shè)備本身的高可靠性以及設(shè)備系統(tǒng)軟件的成熟性，保證城域網(wǎng)骨干的穩(wěn)定運(yùn)行；設(shè)備本身的硬件接口容量的可擴(kuò)展性以及對大路由容量的支持，滿足目前整個網(wǎng)絡(luò)規(guī)模和用戶規(guī)模以及今后一定時期內(nèi)這兩方面的擴(kuò)展需要。 針對上述需要，我們在骨干層采用Riverstone最高端的RS38000。RS38000是16槽的模塊化L2/3/4交換設(shè)備， 340G背板帶寬，90 Million pps吞吐量（L2/3/4），可提供15個I/O插槽，最多提供120個千兆以太網(wǎng)接口或480個快速以太網(wǎng)接口，25萬條第三層路由容量，160萬MAC地

20、址容量，800萬條L3/4數(shù)據(jù)流容量，4096個VLAN，充分滿足骨干層目前的路由性能、處理容量與接口密度的需要，以及今后的擴(kuò)展需求。RS38000支持冗余的電源（AC/DC）、控制模塊（CPU）和交換結(jié)構(gòu)，所有接口模塊和控制模塊都可熱拔插，設(shè)備本身具有最高的可靠性設(shè)計(jì)，系統(tǒng)軟件經(jīng)過多年的研發(fā)和升級已經(jīng)非常完善和穩(wěn)定，從而保證了網(wǎng)絡(luò)骨干能可靠、穩(wěn)定地運(yùn)行。支持包括千兆以太網(wǎng)、快速以太網(wǎng)、ATM、POS、T1/E1/T3/E3、Channelized T1/E1/T3/E3以及今后的萬兆以太網(wǎng)、WDM、DWDM在內(nèi)的各種城域網(wǎng)主干和接入的鏈路技術(shù)，能夠靈活適應(yīng)主干互連和接入的需要。RS系列產(chǎn)品采

21、用統(tǒng)一的系統(tǒng)軟件，都支持同樣的全面的控制和服務(wù)功能，如二、三層標(biāo)準(zhǔn)協(xié)議（802.1d/Q/p,RIP1/2,OSPF,BGP4,IGMP/DVMRP/PIM等），基于L3/4的ACL、QOS、策略路由，基于硬件的線速NAT、LSNAT等（請?jiān)斠姰a(chǎn)品介紹資料），并在啟動這些功能時不會影響性能，因此RS38000在功能上完全滿足骨干設(shè)備的運(yùn)行和互連需要。 匯聚層 需要全面的控制/服務(wù)功能，網(wǎng)絡(luò)上的大部分控制和服務(wù)策略需要在匯聚層實(shí)施，如ACL、QOS、Traffic shaping和策略路由等，這樣通過匯聚層的數(shù)據(jù)流將是已經(jīng)過各種策略處理過的數(shù)據(jù)流，再進(jìn)入骨干層后主要進(jìn)行高速路由，這樣

22、能夠更好地提高數(shù)據(jù)轉(zhuǎn)發(fā)效率，同時，在實(shí)施各種策略處理時，設(shè)備的轉(zhuǎn)發(fā)性能不受影響；高速的L2/3轉(zhuǎn)發(fā)性能（線速），為所匯聚區(qū)域的用戶提供高速的數(shù)據(jù)傳輸；提供豐富的接口類型，適應(yīng)不同鏈路類型的上連需要以及接入需要；標(biāo)準(zhǔn)、開放的路由協(xié)議（如OSPF），完成與骨干層的路由通信；設(shè)備本身的高可靠性以及設(shè)備系統(tǒng)軟件的成熟性，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行；設(shè)備需有各種接入端口，能匯聚各種接入，包括xDSL, WAN/LAN,CMTS等。設(shè)備本身的硬件接口容量的可擴(kuò)展性以及對大路由容量的支持，滿足目前所匯聚區(qū)域的網(wǎng)絡(luò)規(guī)模和用戶規(guī)模以及今后一定時期內(nèi)這兩方面的擴(kuò)展需要。 針對上述需要，我們在匯聚層采用Riverst

23、one的RS8600，上連骨干層的節(jié)點(diǎn)均采用RS8600。RS8600/8000分別為16/8槽的模塊化L2/3/4交換設(shè)備，背板帶寬分別為32G/16G，數(shù)據(jù)包吞吐量分別為34 Million pps/15 Million pps（L2/3/4），可提供15/7個I/O插槽，最多提供30/14個千兆以太網(wǎng)接口或240/112個快速以太網(wǎng)接口，25萬條第三層路由容量，80/40萬MAC地址容量，400/200萬條L3/4數(shù)據(jù)流容量，4096個VLAN，充分滿足匯聚層目前的路由性能、處理容量與接口密度的需要，以及今后的擴(kuò)展需求。RS8600/8000支持冗余的電源（AC/DC）、控制模塊（CPU

24、），RS8600還支持冗余的交換結(jié)構(gòu)，所有接口模塊和控制模塊都可熱拔插，設(shè)備本身具有最高的可靠性設(shè)計(jì)，系統(tǒng)軟件經(jīng)過多年的研發(fā)和升級已經(jīng)非常完善和穩(wěn)定，從而保證了網(wǎng)絡(luò)能可靠、穩(wěn)定地運(yùn)行。支持包括千兆以太網(wǎng)、快速以太網(wǎng)、ATM、POS、T1/E1/T3/E3、Channelized T1/E1/T3/E3以及今后的萬兆以太網(wǎng)、WDM、DWDM在內(nèi)的各種城域網(wǎng)主干和接入的鏈路技術(shù)，能夠靈活適應(yīng)主干上連和向下接入的需要。更重要的是，前面已講到的，RS系列產(chǎn)品的系統(tǒng)軟件提供最全面的控制和服務(wù)功能，保證用戶在匯聚層充分實(shí)施各種所需的策略處理，并且不影響網(wǎng)絡(luò)性能。 網(wǎng)結(jié)構(gòu)示意圖如下：

25、 第五節(jié) 基于隧道的IP- VPN 解決方案 隨著分組交換上ATM、IP等技術(shù)的發(fā)展，基于包交換和傳送的虛擬網(wǎng)絡(luò)技術(shù)開始大規(guī)模投入使用。虛擬專用網(wǎng)就是利用公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施為企業(yè)各部門提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù)，虛擬專用網(wǎng)可以利用IP網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)和ATM網(wǎng)絡(luò)來建設(shè)，它能夠使運(yùn)行在虛擬專用網(wǎng)之上的網(wǎng)絡(luò)應(yīng)用享有和專用網(wǎng)絡(luò)同樣的安全性、可靠性、優(yōu)先級別和可管理性。由于虛擬專用網(wǎng)可以為用戶提供方便、廉價的遠(yuǎn)程訪問，特別是對于使用幀中繼、DDN專線或撥號方式接人的用戶來說，基于虛擬專用網(wǎng)的花費(fèi)很小。因此，虛擬專用網(wǎng)(VPN)業(yè)務(wù)的

26、應(yīng)用將越來越廣泛。 VPN技術(shù)使企業(yè)專用網(wǎng)可以安全地?cái)U(kuò)展到Internet或其他的網(wǎng)絡(luò)服務(wù)上去，促進(jìn)了安全電子商務(wù)的發(fā)展，便于實(shí)現(xiàn)企業(yè)與商業(yè)伙伴、供應(yīng)商和客戶的外部網(wǎng)連接。的VPN解決方案使用經(jīng)濟(jì)有效的、更加靈活的服務(wù)供應(yīng)商連接，實(shí)現(xiàn)了可靠性、高性能和傳統(tǒng)WAN環(huán)境所具有的安全特性。 公司在新的VPN技術(shù)上繼續(xù)保持領(lǐng)先，支持多種技術(shù)的VPN解決方案。 一．基于加密的VPN技術(shù) VPN的實(shí)現(xiàn)主要包括兩個方面的內(nèi)容：封裝和加密。封裝隧道技術(shù)基本上有兩種實(shí)現(xiàn)方式：L2Tunneling以及L3Tunneling。L2Tunneling是將用戶數(shù)據(jù)包第2層(包括第2層)以上的整個信息包括

27、如PPP幀頭，IP包頭，TCP包頭，以及用戶數(shù)據(jù)完全打包到VPN傳輸網(wǎng)的IP數(shù)據(jù)中，在IP主干網(wǎng)中傳輸?shù)乃淼兰夹g(shù)。主要的L2Tunneling協(xié)議包括L2TP，L2F，PPTP等。L3Tunneling則只是將用戶數(shù)據(jù)第3層以上的信息打包到主干網(wǎng)IP包中，主要的L3Tunneling協(xié)議包括Ipsec, MobileIP等技術(shù)。 通過隧道技術(shù)的實(shí)施，VPN用戶可以得到下面的好處： 用戶可以使用私有的IP地址空間而不需要在連網(wǎng)時改變自己的地址規(guī)劃，同時因?yàn)樗接械刂穼簿W(wǎng)上的其他用戶而言是不可見的，這也增加了用戶網(wǎng)絡(luò)的安全性。 在隧道中用戶可以運(yùn)行多種網(wǎng)絡(luò)協(xié)議如IPX，Apple

28、Talk等，用戶基于這些網(wǎng)絡(luò)協(xié)議的應(yīng)用可以繼續(xù)使用而不需要淘汰。 寬帶IP 服務(wù)網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)可以各種運(yùn)行自己的路由協(xié)議而互不干擾。 目前，基于加密的VPN性能越來越高，也出現(xiàn)了采用ASIC芯片來完成加密解密過程的VPN設(shè)備，從來是性能得到很大的提高。 RS router 支持以上這種VPN實(shí)現(xiàn)模式。 針對基于加密的VPN方案， Riverstone提供NETSCREEN系列設(shè)備，NETSCREEN設(shè)備同時提供強(qiáng)大的VPN和防火墻功能，支持1000M、100M、10M的以太網(wǎng)連接，最高端的 NETSCREEN100可支持25000個Ipsec tunnel 針對運(yùn)行商

29、模式的VPN方案， Riverstone 路由器也能提供基于MPLS的VPN。 除了這兩種VPN方式以外，也可采用專用的運(yùn)營商VPN設(shè)備來完成用戶的VPN要求。如Springtide Network 的5000產(chǎn)品，可支持高達(dá)80，000的IP sec 的會話，64，000個L2TP的會話。 優(yōu)點(diǎn)是可擴(kuò)充性好，管理方便，易于開展增值業(yè)務(wù)。 在具體的實(shí)施中，通常會按需求可能多種方式并用。如大企業(yè)可采取基于加密的VPN實(shí)現(xiàn)，在企業(yè)總部放置支持VPN隧道數(shù)較多的VPN設(shè)備，在各分支點(diǎn)采用VPN隧道數(shù)相對較少的VPN設(shè)備。如總部放置Netscreen 100 ，各分支點(diǎn)放置Netscre

30、en 10。這種方式擴(kuò)展性高，安全性高。缺點(diǎn)是需添加設(shè)備。 基于MPLS的VPN方案 Riverstone 交換式路由器支持所有的MPLS特性來實(shí)現(xiàn)QoS及流量工程能力，更重要是的，Riverstone MPLS提供現(xiàn)有城域網(wǎng)特性和MPLS集成的擴(kuò)展，使得運(yùn)營商能夠輕易擴(kuò)展它們現(xiàn)有的服務(wù)。 虛擬專線（VLL）及二層VPN服務(wù) 當(dāng)用戶和網(wǎng)絡(luò)不斷增長時，運(yùn)營商提供802.1Q VLAN 基于的VPN服務(wù)面臨嚴(yán)重的擴(kuò)展性問題，首先，VLAN的總數(shù)被限制在4096個，第二，核心路由器所需處理的MAC地址的總數(shù)可能變得很大，除非限制最大可用的MAC地址的數(shù)量。第三，用戶的VLAN 不

31、易管理除非核心VLAN被映射到每個用戶VLAN，并且VLAN標(biāo)符識在VLAN用戶之間不沖突。因此標(biāo)準(zhǔn)的802.1QVLAN方式已不再是運(yùn)營商VPN解決方案的好方法。 Riverstone 通過使用MPLS支持采用了虛擬專線及二層VPN功能和第三層IP VPN 來解決運(yùn)營商的VPN服務(wù)。 一 虛擬專線服務(wù) Riverstone MPLS基于的虛擬專線服務(wù)解決了這些擴(kuò)展性問題，使得城域網(wǎng)運(yùn)營商能通過兩條相反方向的MPLS LSP 提供一個邏輯的管道。這些LSP可以帶上指定的Qos特性，Qos可以是靜態(tài)預(yù)配置的或者使用MPLS 信號動態(tài)建立的。一個LSP所走的路由可按流量要求而指定。

32、服務(wù)供應(yīng)商能夠?yàn)橐粋€特定用戶的流量指定一個策略，比如，如果為具體某一個用戶分配了一個物理端口P1，運(yùn)營商能夠定義一個策略指定所有來自物理端口P1的流量流向一個預(yù)定義的LSP L1 ，而該LSP L1 位于端口P2。Riverstone MPLS 支持基于每LSP進(jìn)行速率限制，保證用戶的服務(wù)等級水平（SLA）?；诿縇SP的流量統(tǒng)計(jì)使得MSP能夠監(jiān)測流量情況以便適時作調(diào)整。這個基于MPLP LSP的虛擬專線（VLL）服務(wù)模型使得運(yùn)營商有很大的擴(kuò)展性，最終用戶的網(wǎng)絡(luò)信息如，MAC地址，VLNA-Ids, 都保持對運(yùn)營商網(wǎng)絡(luò)透明，因?yàn)橹挥蠱PLS標(biāo)簽被檢查，此外，基于MPLS 標(biāo)簽堆棧特性，邊緣得L

33、SP能被組合成少量的LSP隧道。 二 MPLS L2 VPN 功能 通過Riverstone 的MPLS，當(dāng)超過兩個以上的用戶網(wǎng)絡(luò)必需要透明互連時，運(yùn)營商能夠擴(kuò)展VLL功能以提供透明的以太網(wǎng)服務(wù)(TLS) ，Riverstone MPLS 支持虛擬LAN的擴(kuò)展需要以及地址學(xué)習(xí)能力。下列的圖指明Riverstone 如何實(shí)施層二VPN 功能。 圖1，用戶的VLAN被映射到指定的VLAN LSP，在POP點(diǎn)之間的隧道LSP將VLAN LSP 進(jìn)行隧道化，核心的LSP必須被限制在一個較小的數(shù)量。這些隧道的LSP通常經(jīng)由RSVP-TE進(jìn)行信令化，因?yàn)楹诵牡腖SP通常

34、要求有嚴(yán)格的Qos保證。而POP點(diǎn)之間的攜帶用戶VLAN流量的LSP不要求流量工程因?yàn)閹捇静皇菃栴}，所以這些LSP通常由LDP信令建立。當(dāng)LAN LSP被指定給具體某個用戶后，就不再需要作額外的供應(yīng)操作。事實(shí)上，單個VLAN LSP 能夠攜帶用戶的所有流量而不管用戶端的VLAN拓?fù)浣Y(jié)構(gòu)。通過VLAN到MPLS LSP 隧道的映射，事實(shí)上可以建立基于第二層的BGP VPN。整個VPN用戶可以使用第二層隧道。這樣整個VPN的用戶可以使用同一個子網(wǎng)的地址，也可以使用除了IP之外的其他協(xié)議。 MPLS IP 層三VPNs (MPLS/BGP VPN) 簡述 按照Frost

35、 及Sullivan 的預(yù)測，到2004年，IP VPN 服務(wù)將從1998的200$百萬上升到13個億，VPN的必需的要求是安全，可擴(kuò)展性及服務(wù)等級水平，以前服務(wù)供應(yīng)商通過面向連接的ATM及Frame Relay或使用加密的IP sec提供VPN主要的問題是現(xiàn)基于隧道的技術(shù)不具有擴(kuò)展性的?；蚺渲脧?fù)雜，Riverstone MPLS VPN基于RFC 2547-bis 使用BGP擴(kuò)展實(shí)現(xiàn)具有高度擴(kuò)展能力的VPN。通過使用MPLS VPN，運(yùn)營商通過分配VPN-ID 給用戶。然后組合VPN-ID 和IP地址來進(jìn)行轉(zhuǎn)送，使得用戶的IP地址成為唯一的標(biāo)識，在MPLS VPN 中，VPN信息由BGP協(xié)議

36、分布到同樣的VPN成員中去，不同的VPN成員之間流量完成分開，流量通過MPLS LSP 來進(jìn)行轉(zhuǎn)送， MPLS LSP 能提供ATM 或幀中繼級別的安全和可靠性。轉(zhuǎn)發(fā)表中包含相對應(yīng)于VPN-IP地址的標(biāo)簽信息。Riverstone 提供的MPLS VPN 能夠利用基于MPLS的QOS功能為不同用戶提供不同層次的IP 服務(wù)是，這些簡單有效的VPN服務(wù)能夠滿足用戶的VPN要求并能提供額外的強(qiáng)大的服務(wù)分發(fā)機(jī)制。 MPLS VPN 的實(shí)現(xiàn)過程 MPLS的應(yīng)用導(dǎo)致VPN技術(shù)產(chǎn)生了質(zhì)的變化，他保證了VPN的極高的可擴(kuò)展性，并為服務(wù)供應(yīng)商和最終用戶同時提供了簡單配置和可管理性。MPLS同時可以提供跨

37、越IP路由網(wǎng)絡(luò)和ATM交換網(wǎng)絡(luò)的VPN，從而保護(hù)用戶的現(xiàn)有投資。 MPLS VPN的基本工作方式是采用三層技術(shù)，每一個VPN具有獨(dú)自的VPN-ID，每一個VPN的用戶只能與自己VPN網(wǎng)絡(luò)中的成員進(jìn)行通信，而也只有VPN的成員才能有權(quán)進(jìn)入該VPN。如下圖所示： 圖：MPLS VPN示意 圖中有兩個VPN：A公司以及B公司，A公司的VPN中的用戶有權(quán)進(jìn)入黃色的VPN，并且與該VPN的用戶進(jìn)行通信，而B 公司VPN不可見。MPLS VPN的工作過程如下： 在基于MPLS的VPN中，服務(wù)提供商為每個VPN分配了一個標(biāo)識

38、符，稱作路由標(biāo)識符(RD)，這個標(biāo)識符在服務(wù)提供商的網(wǎng)絡(luò)中是獨(dú)一無二的。轉(zhuǎn)發(fā)表中包括一個獨(dú)一無二的地址，叫作VPN-IP地址，是由RD和用戶的IP地址連接形成。VPN-IP地址在網(wǎng)絡(luò)中是獨(dú)一無二的，地址表存儲在轉(zhuǎn)發(fā)表中。每個VPN保持一個轉(zhuǎn)發(fā)表。 BGP是一個路由信息分布協(xié)議，它利用多協(xié)議擴(kuò)展和BGP Community 屬性來定義VPN的連接性。在基于MPLS的VPN中，BGP只對同一個VPN的成員發(fā)布信息，通過流量分隔來提供基本的安全性。因?yàn)閿?shù)據(jù)是通過使用LSPs來轉(zhuǎn)發(fā)的，LSP定義一條特定的路徑，不可以被改變，這樣對安全性也有保證。這種基于標(biāo)簽的模式可與幀中繼和ATM一樣提供保密性。服

39、務(wù)提供商，而不是用戶，應(yīng)用VPN時將一個特定的VPN與接口聯(lián)系起來，數(shù)據(jù)包的轉(zhuǎn)發(fā)是由用于入口的標(biāo)簽決定的。既然不可能spoof端口，MPL SVPN就不易受到spoof的攻擊。 VPN轉(zhuǎn)發(fā)表中包括與VPN-IP地址相對應(yīng)的標(biāo)簽。通過這個標(biāo)簽將數(shù)據(jù)傳送到相應(yīng)地點(diǎn)。既然標(biāo)簽代替了IP地址，用戶可以保持他們的專用地址結(jié)構(gòu)，無需進(jìn)行網(wǎng)絡(luò)地址翻譯(NAT)來傳送數(shù)據(jù)。根據(jù)數(shù)據(jù)入口，交換機(jī)選擇一特定的轉(zhuǎn)發(fā)表，該表中只包括在VPN中有效的目的地址。為了創(chuàng)建extrnet，服務(wù)提供商在VPN之間要明確配置可達(dá)性。 這種解決方案的優(yōu)勢在于服務(wù)提供商可以通過相同的網(wǎng)絡(luò)結(jié)構(gòu)來支持許多種VPN，并不需要為每一

40、個用戶建立單獨(dú)的網(wǎng)絡(luò)。而且，這種方案將IP VPN的能力內(nèi)置于網(wǎng)絡(luò)本身，所以，服務(wù)提供商可以為所有租用者配置一個網(wǎng)絡(luò)來提供專用的IP網(wǎng)服務(wù)，如intranet和extranet，而無需復(fù)雜的管理，隧道或VC mesh。QoS可為每個VPN提供特有的業(yè)務(wù)政策，QoS服務(wù)可與基于MPLS的VPN無縫結(jié)合，因?yàn)閮烧叨际腔跇?biāo)記的技術(shù)。 基于MPLS 的IPVPN網(wǎng)絡(luò)可以很容易地與基于IP的用戶網(wǎng)絡(luò)結(jié)合起來。租用者可與供應(yīng)商提供的服務(wù)無縫結(jié)合，不必改變intranet應(yīng)用，因?yàn)檫@些網(wǎng)絡(luò)具有應(yīng)用通曉性、保密性和QoS內(nèi)置于網(wǎng)絡(luò)中。用戶能夠使用他們專有的IP地址而無需NAT(網(wǎng)絡(luò)地址翻譯)。 這同一種

41、網(wǎng)絡(luò)結(jié)構(gòu)目前可支持許多種VPN，可減輕為每一個新網(wǎng)絡(luò)實(shí)施工程的負(fù)擔(dān)。這種方案易于進(jìn)行VPN的添加、移動和改變。如果某個公司需要在自己的VPN中增加一站點(diǎn)，服務(wù)提供商只需告訴客戶端設(shè)備的路由器如何與網(wǎng)絡(luò)連接，并配置LSR來識別來自于CPE的VPN成員。BGP會自動更新VPN成員。與增加一臺設(shè)備需要大量操作的overlay VPN相比，這種方案要簡單、迅速和便宜的多。在一個overlay VPN中增加一臺新設(shè)備要涉及到更新流量matrix，從新站點(diǎn)建立VC到所有現(xiàn)存的站點(diǎn)，更新每個站點(diǎn)的OSPF設(shè)計(jì)，針對新的拓?fù)浣Y(jié)構(gòu)圖重新配置每臺CPE設(shè)備。 MPLSVPN的工作過程如下： 用戶端的路由器(C

42、E)首先通過靜態(tài)路由或BGP將用戶網(wǎng)絡(luò)中的路由信息通知提供商路由器(PE)，同時在PE之間采用BGP多協(xié)議擴(kuò)展來傳送VPN-IP的信息以及相應(yīng)的標(biāo)記(VPN的標(biāo)記，以下簡稱為內(nèi)層標(biāo)記)，而在PE與P路由器之間則采用傳統(tǒng)的IGP協(xié)議相互學(xué)習(xí)路由信息，采用LDP或RSVP協(xié)議進(jìn)行路由信息與標(biāo)記(骨干網(wǎng)絡(luò)中的標(biāo)記，以下稱為外層標(biāo)記)的綁定。到此時，CE，PE以及P路由器中基本的網(wǎng)絡(luò)拓?fù)湟约奥酚尚畔⒁呀?jīng)形成。PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個VPN的路由信息。 當(dāng)屬于某一VPN的CE用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時，在CE與PE連接的接口上可以識別出該CE屬于那一個VPN，進(jìn)而到該VPN的路由表中去讀取

43、下一跳的地址信息，同時，在前傳的數(shù)據(jù)包中打上VPN標(biāo)記(內(nèi)層標(biāo)記)。這時得到的下一跳地址為與該P(yáng)E作Peer的PE的地址，為了達(dá)到這個目的端的PE，此時在起始端PE中需讀取骨干網(wǎng)絡(luò)的路由信息，從而得到下一個P路由器的地址，同時采用LDP或RSVP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記(外層標(biāo)記)。 在骨干網(wǎng)絡(luò)中，初始PE之后的P均只讀取外層標(biāo)記的信息來決定下一跳，因此骨干網(wǎng)絡(luò)中只是簡單的標(biāo)記交換。 在達(dá)到目的端PE之前的最后一個P路由器時，將外層標(biāo)記去掉，讀取內(nèi)層標(biāo)記，找到VPN，并送到相關(guān)的接口上，進(jìn)而將數(shù)據(jù)傳送到VPN的目的地址處

44、 從以上工作過程可見，MPLS VPN絲毫不改變CE和P原有的配置，一旦有新的CE加入到網(wǎng)絡(luò)時，只需在PE上作簡單配置，其余的改動信息由IGP/BGP自動通知到CE和P。因此MPLS VPN擁有以下優(yōu)點(diǎn)： 三層的智能VPN； VPN連接配置簡單，對現(xiàn)有骨干網(wǎng)絡(luò)沒有壓力； 對現(xiàn)有用戶的要求為0，用戶不需要作任何改動，用戶加入VPN的配置也很簡單； 網(wǎng)絡(luò)可擴(kuò)展能力很強(qiáng)； VPN用戶可以延用原有的專用地址，不需要作任何修改，在骨干網(wǎng)絡(luò)采用VPN-ID，可以保持全網(wǎng)的唯一性； 易于提供增值業(yè)務(wù)，如不同的COS。 可靠性 通過Riverstone 的MPLS 解決

45、方案，備份的LSP能夠被配置以提供快速的故障恢復(fù)。備份的LSP可以是已經(jīng)被預(yù)配置的，也可以是當(dāng)主LSP失效時運(yùn)態(tài)建立的。另外也可以通過MPLS 快速重路由功能實(shí)現(xiàn)熱容錯，快速重路由功能能快速建立一個繞過故障點(diǎn)的LSP隧道。如果一個結(jié)點(diǎn)或鏈路失效，這條繞過故障點(diǎn)的LSP將過使用并通知入口路由器，入口路由器然后決定建立一個新的LSP。 當(dāng)故障點(diǎn)恢復(fù)正常時，流量可以按照配置恢復(fù)從原路徑通過。 故障的檢測必須要盡可能快地被檢測到，Riverstone 緊密地集成了物理層以檢測本地故障，可以通過定義RSVP HELLO的定時器來完成SDH 級時的50 毫秒的故障恢復(fù)時間。 Qo

46、s/Cos 在今天的城域網(wǎng)中，帶寬已經(jīng)成為象日用品一樣簡單，供應(yīng)商僅僅供應(yīng)純帶寬已不再足夠。它們需要針對不同的用戶需求，有區(qū)分地提代帶寬及服務(wù)質(zhì)量，用戶可以選擇不同級別的服務(wù)，而不僅僅是帶寬。Riverstone MPLS 為應(yīng)用這種服務(wù)提供了必要的工具，使用用戶能夠選擇有QOS及可靠保證的服務(wù)。 Riverstone MPLS 既能夠映射802.1p 或 IP Tos/DSCP 位到MPLS Exp/Cos位，也能夠到也經(jīng)保留了足夠資源的LSP。MPLS 頭中的Exp 位攜帶分組的優(yōu)先級，每個標(biāo)簽交換路由器將按照這些標(biāo)識進(jìn)行優(yōu)先級識別，并映射到不同的優(yōu)先級隊(duì)列，當(dāng)一個分組被映射到一個

47、LSP，則僅需在MPLS 網(wǎng)絡(luò)的入口點(diǎn)做一次映射決策。然后分組將按照指定的LSP進(jìn)行傳輸。在一個層次服務(wù)模型中，LSP能夠被指定不同的優(yōu)先級。如果一個高優(yōu)先級的LSP失效并且沒有可用的資源 去建立新的LPS，那么低優(yōu)先級的MPLS LSP 資源將被搶用。這保證了有高優(yōu)先級服務(wù)等級合同的用戶獲得可靠，保證的服務(wù)。而普通盡力而為（Best-effort） 服務(wù)級別的用戶則沒有保證。 當(dāng)一個MPLS LSP 不是最優(yōu)化時，在后臺自動重新優(yōu)化一個LSP是重要的。例如在資源不可用時，一個高優(yōu)先級的LSP占用一條中優(yōu)先級LSP的資源，那么這先高優(yōu)先級是LSP將不再是最優(yōu)化的。當(dāng)資源重新可用時，LSP自

48、動重優(yōu)化可能讓該LSP重新成為一個最優(yōu)化的LSP。 流量工程 MPLS 通過顯式的路由能力給IP網(wǎng)絡(luò)帶來的了強(qiáng)大的流量工程能力。在普通的IGP路由中，IGP協(xié)議不考慮帶寬的可用性及鏈路狀態(tài)信息。這可能會產(chǎn)生某些鏈路的過度使用而某些鏈路則利用率不足。在一個全面范圍的IP網(wǎng)絡(luò)中，服務(wù)供應(yīng)商可以使用MPLS 解決這引起問題。為了將城域網(wǎng)的流量擁塞降到最低，Riverstone MPLS 支持IGP 協(xié)議的流量工程擴(kuò)展，OSPF-TE，ISIS-TE。這些擴(kuò)展在路由更新口提供了額外的鏈路狀態(tài)信息如保留的帶寬，可用的帶寬及新和力。Riverstone也支持在線的CSPF算法動態(tài)地計(jì)算一個顯式路由的L

49、SP。 第七節(jié) 基于MPLS的透明以太網(wǎng)支持 傳統(tǒng)的城域網(wǎng)服務(wù)是基于傳統(tǒng)的時分復(fù)用技術(shù)（TDM），象SDH技術(shù)，那時專門為話音服務(wù)優(yōu)化的。當(dāng)數(shù)據(jù)業(yè)務(wù)占的比重越來越高時，新的城域網(wǎng)供應(yīng)商（MSP）現(xiàn)在能夠基于以太網(wǎng)和IP技術(shù)提供數(shù)據(jù)服務(wù)。這使得以太網(wǎng)接入成為城域網(wǎng)接入中的經(jīng)濟(jì)且有效的手段，MSP能夠提供以太網(wǎng)進(jìn)行建設(shè)城域網(wǎng),能夠提供更高帶寬及更少的化費(fèi)。但是基于以太網(wǎng)的MSP面臨著嚴(yán)重的問題，高級的商業(yè)用戶需要高級的服務(wù)，如VPN 網(wǎng)及高度的LSA保證，這以前只有ATM及幀中繼才能提供。雖然有些MSP能過VLAN技術(shù)和IP服務(wù)來提供虛擬專線及透明以太網(wǎng)服務(wù)，不幸的是，這僅僅是

50、一個臨時的解決方案。VLAN并非為該目的而設(shè)計(jì)。IEEE802.1Q特性允許最大4096個單一的VLAN，當(dāng)需要超過4096個VLAN時，MSP需要利用新的技術(shù)來解決，此外，IP隧道不能提供象ATM VC 一樣的QOS保證，也沒有象SDH的自動保護(hù)能力。為了解決在城域網(wǎng)上提供以往只有ATM才能提供的技術(shù)時，一種新的技術(shù)必須出現(xiàn)。 基于MPLS的透明以太網(wǎng)服務(wù)（TLS）及虛擬專線（VLL）能力給出了一個滿意的答案，使用基于MPLS-TLS和VLL允許MSP為用戶提供安全，流量工程及QOS服務(wù)。TLS允許MSP基于IP網(wǎng)絡(luò)為每個用戶建立一個VPN隧道，每個VPN隧道能夠按用戶的帶寬及時延要求給出

51、，虛擬專線服務(wù)提供與傳統(tǒng)時分復(fù)用專線一樣的安全及質(zhì)量保證。但卻只需很少的費(fèi)用。 以下簡述討論Riverstone 公司的MPLS-TLS 實(shí)現(xiàn)，使用基于MPLS的TLS及VLL專線使得MSP能夠有效快速地開展VPN及專線服務(wù)。 幾個城域網(wǎng)的新VPN技術(shù) 除了傳統(tǒng)的基于隧道的VPN（L2TP，IPSEC）外，目前城域網(wǎng)上出現(xiàn)了多種新的VPN技術(shù)。 Stackable VLAN (sVLAN) Ethernet in IP or GRE MPLS Stackable VLAN 可堆疊VLAN通過允許在一個以太網(wǎng)幀上攜帶兩個802.1Q VLAN頭而允許進(jìn)行VLA

52、N的堆疊，使得VLAN的總數(shù)超出了802.1Q VLAN 4096 個的限制，而達(dá)到的4096*4096個總共1600萬個。同時，多個VLAN現(xiàn)在能夠被復(fù)用到一個核心VLAN（Core VLAN）內(nèi)，通過屬性注冊協(xié)議（GARP）及GARP VLAN 注冊協(xié)議（GVRP）能夠被用于通過主干網(wǎng)自動供應(yīng)VLAN。然而，SVLAN 僅僅是一個部分的解決辦法，如果用戶需要自已定義VLAN ID 空間，那么VLAN的數(shù)量仍然只能是4096個，此外，主干設(shè)備所需處理的MAC地址數(shù)量將會非常的高。 Ethernet in IP 或GRE Ethernet in IP 或GRE 提供了一個路由主干的延伸及

53、擴(kuò)展。允許每個用戶結(jié)點(diǎn)定義的多個私有的VLAN能夠隧道進(jìn)一個非常大數(shù)的IP隧道。IP 隧道的供應(yīng)不是自動的，IP隧道的地址對的管理是個主要的問題。此外，為了可靠性保護(hù)，設(shè)計(jì)了新的協(xié)議。當(dāng)故障發(fā)生時，IP路由協(xié)議最佳情況下能在幾秒內(nèi)恢復(fù)，IETF定義的鏈路管理協(xié)議將監(jiān)測鏈路狀態(tài)及提供快速的失效檢測。為了擴(kuò)展性的目的，主干網(wǎng)內(nèi)的隧道數(shù)量通過定義層次IP-VPN來盡可能減少，但是這導(dǎo)致了帶寬的利用不足，另外，以太網(wǎng)幀需要封裝進(jìn)兩個IP頭，POP內(nèi)的連接將解讀內(nèi)層的IP頭，POP間的連接將解讀外層的IP頭connectivity. MPLS 提供了IP隧道的強(qiáng)大和可擴(kuò)展性。然而同時能提供動態(tài)的供應(yīng)工

54、具，按流量工程的需要，LSP能被用于建立一個有區(qū)分的服務(wù)，提供一個單一的保護(hù)機(jī)制，Martini Internet 草案提明了如何在MPLS上封裝以太，ATM，幀中繼，TDM。Internet 草案主要指示了點(diǎn)對點(diǎn)的互連，下文Riverstone 將說明如何支持多點(diǎn)到多點(diǎn)及廣播及組播支持。 注意，以上所提的所有機(jī)制能夠被組合，例如，SVLAN能夠在POP內(nèi)使用，而MPLS 或IP 隧道能在核心層使用。一個可能的實(shí)施方案是在核心層使用MPLS，而在邊緣層使用VLAN可SVLAN等技術(shù)。 MPLS 分組流概述 用戶的以太網(wǎng)幀通過CPE設(shè)備既可路由也可交換到供應(yīng)商的PE設(shè)備（或叫MPLS

55、 LER）。PE 路由器檢查這個幀屬于哪個VLAN，既可通過查看802.1Q 頭也可通過檢查VLAN相關(guān)的進(jìn)入端口，對這個幀可用使用過濾，以去提不想要的幀。假設(shè)一個CPU路由被使用，PE設(shè)備能夠檢查相對于CPE MAC 地址的MAC 地址。一旦這個幀被 認(rèn)為是有效的，分組則被映射到一個用戶定義的同等轉(zhuǎn)發(fā)類（FEC），F(xiàn)EC 定義了分組該如何被轉(zhuǎn)發(fā)。FEC 查表將生成一個輸出端口及兩個標(biāo)簽。在標(biāo)簽棧頂部的第一個標(biāo)簽是隧道標(biāo)簽，用來在供應(yīng)商BACKBONE上傳送幀，而在標(biāo)簽棧底部的第二個標(biāo)簽是是VC標(biāo)簽被出口交換機(jī)用于決定如何處理該幀。然后，為每個標(biāo)簽加上一個MPLS頭，然后幀在相應(yīng)的出口處以確格

56、式封裝。 圖：MPLS 標(biāo)簽棧 核心的標(biāo)簽交換路由器P（或叫LSR）僅僅查看位于棧頂部的標(biāo)簽來交換標(biāo)簽以通過MPLS 域。在一路中，其它的標(biāo)簽以有可能被加入棧中，通常，棧頂?shù)臉?biāo)簽在最后第二跳被移去,也就是先于出口LER（PE），出口LER 查看VC標(biāo)簽得知它應(yīng)該如何處理該幀，并將它轉(zhuǎn)發(fā)到相應(yīng)的出口。 在前文，我們假設(shè)那隧道和VC LSP 已經(jīng)被建立，VC LSP 通?？梢詣討B(tài)或靜態(tài)地建立經(jīng)由LDP協(xié)議，LDP 允許盡可能好的LSP被建立，當(dāng)流量工程被要求時，CR-LDR 和RSVP-TE 信號協(xié)議代替LDP來建立LSP。因?yàn)樵谝粋€城域網(wǎng)內(nèi)，資源通常

57、是足夠的，簡單的LDP已足以建立LSP，而在核心網(wǎng)內(nèi)，核心可以不象在城域網(wǎng)那么足夠，LSP通常由RSVP-TE來建立，一個VC LSP 或多個有QOS保證的VC LSP 在每個屬于同一個VLAN的用戶結(jié)點(diǎn)間被建立，通過嵌套LSP ，單個隧道LSP能夠攜帶兩個位置之間的多個用戶。也就是說建立多層次轉(zhuǎn)發(fā)模型，限制核心的LSP的數(shù)量以保證MPLS 能夠提供非常大的擴(kuò)展能力。 在圖2 ，兩個不同的用戶被應(yīng)用了TLS 服務(wù)，用戶A有3個不同的結(jié)點(diǎn)，一個在舊金山，一個在芝加哥，另一個在紐約。MSP 核干網(wǎng)由三個全網(wǎng)狀的LSPs （三對）組成，為每個位置的每個用戶建立的一個端到端的LSP被隧道進(jìn)一個核心L

58、SP。對于用戶A，在每個POP點(diǎn)建有兩個VC LSP ，從舊金山，一個VC LSP 傳送流量到芝加哥，另一個LSP傳送流量到紐約。相似地，在芝加哥及紐約每用戶A分別建有兩個VC LSP。這是一個全網(wǎng)狀的LSP形成一個單一的廣播域。對VLAN A ，針對用戶A及用戶B，在舊金山及紐約僅需一個VC LSP，用戶A 及B 在舊金山及紐約分享同樣的隧道LSP。 應(yīng)當(dāng)注意，因?yàn)長SP是單向的，實(shí)際需要一對LSP去建立一個雙向的管理，在協(xié)議方面，需要對LDP 及RSVP-TE 信號作擴(kuò)展，以便在第一個LSP建立后能自動建立反向的LSP。 處理LSP對作為虛擬結(jié)

59、點(diǎn)的能力能夠被加到VLAN允許透明橋工作，當(dāng)一個廣播幀或一個目的地未知的幀被發(fā)送時，幀被擴(kuò)展進(jìn)VLAN部分的所有LSPs。LER在LSPs間執(zhí)行分組復(fù)制,當(dāng)MAC地址被學(xué)習(xí)后，幀只被發(fā)送到相應(yīng)的LSP。當(dāng)一個新的MAC地址在入口LSP中被學(xué)習(xí)后，它需要相關(guān)到相應(yīng)的LSP對中的出口LSP中。 因?yàn)镸PLS 隧道的多層能力，VC 標(biāo)簽是不可見的，直到幀到達(dá)相應(yīng)的出口LER。出口LER從VC 標(biāo)簽上得到所攜帶流量的標(biāo)簽類型，象ATM，幀中繼，或以太網(wǎng)及如何處理該幀，這個幀需要被通過交換陣列傳送到相應(yīng)的出口及VPI/VCI 。對于以太網(wǎng)流量，VC 標(biāo)簽?zāi)軌虮挥?/p>

60、于決定該幀屬于的VLAN及出去端口或者執(zhí)行一個擴(kuò)展的L2表查找。為每個用戶所建立的VC LSP 完全與另一個用戶的VC LSP 隔離，從而提供與ATM 及幀中繼電路相同的安全性。 幀格式 當(dāng)一個幀通過MPLS 域時，幾個頭被添加，幾個字段被更改。下圖顯示了一個起源于用戶結(jié)點(diǎn)的以太網(wǎng)幀是如何被傳送的。第一跳，CPE設(shè)備，在我們的例子里是一個以太網(wǎng)交換機(jī)，不改變?nèi)魏巫侄危?dāng)以太網(wǎng)幀進(jìn)入進(jìn)入PE（LER）后，PE 加上了一個兩標(biāo)簽的MPLS 頭，然后PE 加上了另一個以太網(wǎng)頭，因?yàn)檩敵龆丝谝部梢粋€以太網(wǎng)端口，這外部的以太網(wǎng)頭包含LER的源地址頭及下一跳MPLS 的MAC地址頭，和MPLS 的以太

61、網(wǎng)類型(0x8847 指單播，0x8848 指多播). 源以太網(wǎng)的頭明顯未被修改。隧道標(biāo)簽在MPLS 域內(nèi)的每個傳送LSR （P）中交換，直到到達(dá)最后第二跳。同時外面的源地址和外部的目的地址象一個路由器一樣被逐跳改變。當(dāng)幀到達(dá)最后第二跳時，隧道標(biāo)簽被彈出，標(biāo)簽幀被發(fā)送到出口LER（PE），LER 使用VC 標(biāo)簽得知輸入端口，然后彈出標(biāo)簽，從相應(yīng)的出口出去到接收者。 Qos 及可靠性保證 Qos/Cos 能夠與TLC 服務(wù)以兩個不同的方式同時被提供，一旦第二層幀的優(yōu)先級被決定，基于802.1p 優(yōu)先級或者基于LER 分類，一個幀既可以以合適的Cos 被標(biāo)記

62、，也可以被映射到相應(yīng)指定Qos 的LSP上，MPLS 頭包括3位字段（Experimental 位）指定優(yōu)先級。Riverstone 能將802.1Q 的VLAN 優(yōu)先級信息（802.1p）映射到相應(yīng)的Experimental 位或相應(yīng)指定Qos的LSP上。 下圖例子顯示一個主干有多個Qos級別的LSP。金LSP已經(jīng)按流量工程要求被指定帶寬及延時，這個LSP能被用于傳送高級別要求的流量（如話音），而銀LSP為普通的流量，銅LSP則可能是過載的。 可靠性 備份LSP能夠?qū)χ鱈SP失效時提供互連能力，備份LSP是預(yù)建立，

63、因?yàn)閷? 的流量不能被動態(tài)地計(jì)算，當(dāng)主LSP恢復(fù)正常時，流量可能被恢復(fù)到原LSP。 另外也可以通過MPLS 快速重路由功能實(shí)現(xiàn)熱容錯，快速重路由功能快速建立一個繞過故障點(diǎn)的LSP隧道。如果一個結(jié)點(diǎn)或鏈路失效，這條繞過故障點(diǎn)的LSP將過使用并通知入口路由器，入口路由器然后決定建立一個新的LSP。 當(dāng)故障點(diǎn)恢復(fù)正常時，流量可以按照配置恢復(fù)從原路徑通 故障的檢測必須要盡可能快地被檢測到，Riverstone 緊密地集成了物理層以檢測本地故障，可以通過定義RSVP HELLO的定時器來完成SDH 級時的50 毫秒的故障恢復(fù)時間。 結(jié)論 通過基于MPLS的透明以太網(wǎng)服務(wù)，服務(wù)供應(yīng)商能夠

64、為用戶之間提供可伸縮的安全的有保證的互連服務(wù)，層次的隧道動態(tài)供應(yīng)能力大大地簡化了管理，降低了管理的復(fù)雜性。MPLS QOS 能力使得運(yùn)營成為重要的應(yīng)用分配有保證的服務(wù)。 結(jié)論： Riverstone 網(wǎng)絡(luò)，精確地切合今天的運(yùn)營商的需要，領(lǐng)先地為城域網(wǎng)提供一個先進(jìn)的MPLS技術(shù)，使得運(yùn)營商能夠?yàn)橛脩籼峁└鞣N價值的服務(wù)。Riverstone 的交換式路由式已被證明是城域網(wǎng)的領(lǐng)先者。 第八節(jié) 全網(wǎng)路由規(guī)劃 大型路由網(wǎng)絡(luò)中需選擇適當(dāng)?shù)穆酚蓞f(xié)議，仔細(xì)的地址和路由規(guī)劃，對于優(yōu)化整個網(wǎng)絡(luò)的性能，保證網(wǎng)絡(luò)的擴(kuò)展性，健壯性具有非常重要的意義。下面從上海電信的整個網(wǎng)絡(luò)結(jié)構(gòu)，包括郊縣詳述全網(wǎng)

65、的路由及地址規(guī)劃。整個原則為各郊縣及上海8+40擁有各自的OSPF網(wǎng)絡(luò)，郊縣之間與與外網(wǎng)采用BGP-4交換路由信息。 路由協(xié)議選擇 路由協(xié)議有兩種基本類型：域內(nèi)路由和域間路由。主要的域內(nèi)路由協(xié)議有OSPF，IS-IS，RIP/RIP2等，主要的域間路由協(xié)議有BGP，EGP等。在上海電信的8+40個點(diǎn)及郊縣域內(nèi)路由協(xié)議采用OSPF協(xié)議，郊縣與郊縣之間及郊縣與8+40域間采用BGP-4協(xié)議。 OSPF區(qū)域劃分 OSPF區(qū)域劃分一般遵循下面的經(jīng)驗(yàn)法則 ： OSPF邏輯域的劃分和物理區(qū)域的劃分盡量一致 每個區(qū)(Area)的路由器不超過50個 一個區(qū)邊界路由器(ABR)連接不超過

66、5個Area。 上海電信的路由因?qū)偕虾ｋ娦胖鞴埽凑赵撛瓌t，可采用域內(nèi)路由協(xié)議。而和Internet 及其它大網(wǎng)可采用BGP-4進(jìn)行互連。而郊縣之間及郊縣與上海電信之間則采用IBGP或EBGP互連。而郊縣內(nèi)部也使用OSPF路由協(xié)議。即每個郊縣擁有自己的OSPF AREA 0。原上海熱線基于投資保護(hù)的考慮可以按片接入8個主結(jié)點(diǎn)。加入OSPF中。 路由協(xié)議的具體考慮如下： 一 上海電信市區(qū)的OSPF域的規(guī)劃 OSPF 域的劃分：因?yàn)樯虾ｋ娦诺木W(wǎng)管規(guī)模非常之大，并且網(wǎng)絡(luò)將會不斷升級，所以網(wǎng)絡(luò)的可擴(kuò)展性要求很高，因此OSPF域的劃分將采用多個域的設(shè)計(jì)，其中在市區(qū)范圍內(nèi)的OSPF設(shè)計(jì)是這樣的： 1. 核心域（即BACKBONE 域）的設(shè)計(jì)，市區(qū)八個點(diǎn)分別以各自的POS接口加入核心域，形成一個AREA 0。 2. 子域的設(shè)計(jì)，按照上海電信40個邊緣結(jié)點(diǎn)的分片連接的思路，每片約10個邊緣路由器形成一個子域，每個邊緣路由器分別以雙千兆口連接到所屬片的核心路由器，形成每片的OSPF子域，使得路由器的性能得到最佳的發(fā)揮。