《湖南省株州电广播电视宽带综合信息技术建议书.docx》由会员分享,可在线阅读,更多相关《湖南省株州电广播电视宽带综合信息技术建议书.docx(44页珍藏版)》请在三一办公上搜索。
1、株州市广播电视宽带综合信息网数据平台技术建议书华为技术有限公司目 录1.方案建议41.1技术建议书编制的依据41.2建设目标41.3业务分析41.4建设原则51.5华为公司解决方案62.网络安全措施192.1网络安全策略202.2网络各层设备安全性考虑202.3网络安全措施203.路由协议与策略214.IP地址规划235.用户认证265.1WEBVLAN认证265.28021X认证276.强大的QOS286.1强大的流分类功能286.2二层QoS功能286.3三层QoS功能297.网络可提供的业务297.1基本业务297.2扩展业务308.VPN308.1华为MPLS/BGP VPN解决方案特
2、点318.2华为公司MPLS/BGP VPN一般组网模型318.3华为MPLS/BGP VPN的实现328.4华为MPLS/BGP VPN跨自治域的实现348.5基于VLAN互连的VPN方案359.网络管理369.1网管的体系结构369.2网管系统对多种设备的一体化管理369.3网管的接口和组网能力369.4网管的功能3710.计费管理3911.结束语3912.附录4012.1附录 缩略语列表401. 方案建议华为公司根据株州市广播电视宽带综合信息网数据平台的技术要求,在充分分析了市场需求和技术发展趋势之后,结合我国数据通信发展的实际情况提出了株州市广播电视宽带综合信息网数据平台的技术建议,主
3、要阐述我司对株州市广播电视宽带综合信息网数据平台建设的全面解决方案。1.1 技术建议书编制的依据 本技术建议书依据下列文件编写: 华为公司有关产品的技术手册1.2 建设目标株州市广播电视宽带综合信息网数据平台是一个大容量、宽频带、标准化、双向传输广播电视节目和综合数据信息的宽带网络,并能够适应未来高清晰度电视和视频点播等广播电视新业务的传输要求;能够实现全株州市广播电视系统的计算机数据传输、通信、节目数据库联网,能够实现广播式和交互式社会服务;能够为数据平台外提供专用信息传输通道。株州市广播电视宽带综合信息网数据平台的目标是采用先进、成熟、可靠的网络技术,建立一个高速、宽带的城域网,提供包括数
4、据、语音、视频、图象等在内的综合业务及其增值业务,满足Internet接入、VPN、局域网互连等服务需求;并尽可能地实现各种业务网络的无缝连接和互联,满足通信市场对带宽的迫切需求,推动株州市信息化的进程。数据平台要覆盖株州市,应具备较强的可扩展性、广泛的适用性和灵活性,以及良好的服务质量保证机制和完整的网络服务性能,以满足市场对网络运行、维护、管理、计费的需求。1.3 业务分析广电未来必然是多媒体数据业务运营商,株州市广播电视宽带综合信息网数据平台所提供的各类业务既要包括对QOS保障和实时性要求不高的纯IP业务,如现在它能为一般的企业提供数据网络服务、通过专线HFC为家庭提供INTERNET和
5、相应的各种服务,将来可以提供远程教育、远程医疗等,又要包括对QOS保障和实时性要求较高的业务,如金融系统、证券、保险、党政机关等,并且集团用户占极大的比例。因此该宽带信息网数据平台的建设应该综合考虑这两类业务的实现,以尽可能低的投入,较小的风险,建设高质量、高稳定性、可扩展性强的综合网络获得高回报。在组合考虑Internet接入、VOD、VPN、话音和智能小区、DVB-C等业务时,我们可以发现广电系统的HFC技术对家庭用户有独有的优势:高带宽、防辐射能力强、抗干扰能力强、可以利用无源分配技术实现低廉的接入、利用频分技术实现多种业务的并发工作等等。1.4 建设原则株州广电城域网在技术选择上综合考
6、虑先进性、成熟性及良好的性价比,以网络的可扩展性和可管理性为基础,统一规划,分步实施,秉承电信级网络的一贯要求,保证网络高效、可靠、安全,确保业务的快速开展和有效控制以及用户的计费、管理。因此株州广电宽带城域网络建设应遵循以下基本原则:(1)可靠性。由于宽带IP网的为运营级服务网络,因此网络设计必须首先考虑主要传输体制的可靠性、所提供服务的可用性、网络设备的高性能以及对关键用户、关键任务的有效保障机制等,并可与各种宽带传输交换平台充分互联,能够承载和交换各种信息并将其接入公众用户。 并以相应的可接受的价格向用户提供不同接入服务的方法。(3)扩充性。宽带IP网必须充分考虑到目前的业务需求和今后较
7、长时间内业务发展的需要。系统不仅能满足现在的需要,还应具有平滑过渡升级的能力,在采用新技术的同时还可以保护用户投资,保证原有设备的可用性。(4)安全性及可管理性。宽带IP网是株州市公众宽带网络,应注意保证整个系统的可管理性和整个系统的安全性、可靠性;同时,还可让网络维护人员可以方便地对网络设备进行维护工作和远程控制,如:模块热插拨等。(5)开放性与标准化。网络系统应能支持多协议,多厂商(包括国产设备),具有开放的平台性能,支持各种通讯协议,各种数据库和客户机服务应用,并能方便地与其它机构、企业的主机和网络互连通讯。1.5 华为公司解决方案华为公司根据多年来服务于运营商的经验,结合自己的设备,提
8、出了以下IP网络解决方案。1.5.1.1 组网方案链形组网如下图:图一 株州广电初期网络组网图1.5.1.2 组网特点本宽带网解决方案是基于华为公司成熟的以太网系列产品和华为公司创新的设计,为用户提供了一种高性能的宽带接入服务,满足广大用户INTERNET 高速上网、社区服务、话音、视频等大多数宽带业务和基本的可运营、可管理需求以及灵活的扩展能力,提供基于802.1x的用户认证,当上行连接BAS设备时,可以配合BAS设备提供WEBVLAN认证。在本期工程中,核心置一台Quidway S6506作为核心节点。在汇聚层配置MA5200,完成对于网络接入层数据的汇聚。在接入层采用Quidway S2
9、000/3000系列完成对于用户的接入,可根据用户需求,灵活选择。其中MA5200作为具有分布式BAS功能的三层交换机使用,采用WEB/PPPOE认证。同时针对电广传媒的优越性,拥有丰富的有线电缆资源,在接入层再配置MA5201提供HFC用户的接入。对一些小区、网吧、政府企业的用户,可通过以太网交换机直接向用户提供10M/100M接口,满足用户高速上网的需求。1.5.1.3 核心设备介绍1.5.1.3.1 S6506Quidway S6500系列以太网交换机的设计基于分布式处理的设计思想,依托于华为公司拥有自主知识产权的VRP(Versatile Routing Platform,通用路由平台
10、)网络操作系统,提供完备的动态路由协议、VLAN(Virtual LANs,虚拟局域网)控制、流量交换、QoS(Quality of Service,服务质量)保证、网络管理等机制,拥有强大的业务控制和用户管理能力。系统同时提供中英文双语界面,方便用户操作。运营级可靠性设计系统采用分布式结构,所有单板支持热插拔。S6500系列交换机支持交流电源(AC)和直流电源(DC)两种供电方式。此外,为保证系统的健壮性,S6500系列交换机支持电源模块的负载均衡、热插拔、故障检测及N:1冗余备份S6506(R)两个电源模块即可保证系统的正常工作。支持STP/RSTP协议和VRRP协议。在安全性要求更高的场
11、合,还可选用支持双引擎的S6506R。周到、完善的系统设计可满足苛刻的运营级网络对设备可靠性的要求。丰富的功能特性S6500系列交换机的背板采用高速背板设计技术,交换容量达32G/64Gbit/s。S6500系列采用华为专利的弹性资源调配系统技术,可实现从中心交换单元到业务处理板通道带宽的动态调整,用户可根据不同的处理板、不同的业务、不同的工作组配置不同的通道带宽,使得整个网络的灵活性更高,从而实现系统背板、交换引擎带宽、性能的最优分布;华为VRP 3.x网络操作系统支持,提供丰富的网络特性功能。提供STP/RSTP 避免环路冗余;S6500系列以太网交换机所实现的快速生成树协议(RSTP)是
12、生成树协议的优化版。其“快速”体现在网络设备或链路变化期间,“树根”端口和指定的端口进入转发状态的延时在某种条件下大大缩短,从而缩短了网络拓扑稳定的时间。支持IGMP Snooping;尽量减少报文的转发范围,避免非组成员收到组内多播流量; 支持802.3ad 端口聚合;实现任意端口聚合,在可以将若干个FE端口或GE端口汇聚到一起,以实现大容量交换机之间或者交换机与骨干路由器及服务器群之间的高速连接。能够抑制广播风暴:配置了广播风暴抑制后,可以对VLAN上的广播流量进行监控,当广播流量的带宽超过配置的限度时,交换机将在该VLAN上过滤超出的流量,保证网络的业务,使广播所占的流量比例降低到合理的
13、范围。支持基本的TCP/IP协议栈及常规应用协议;支持静态路由,管理员手工配置,简化网络配置,提高网络性能;支持丰富的路由协议:RIP、OSPF、Integrated IS-IS及BGP4,以适应不同的网络环境要求;提供不同子网VLAN的三层互通功能;支持ARP、DHCP Delay功能;支持IGMP组播协议及PIM-DM、PIM-SM等组播路由协议。系列化超级引擎S6500系列交换机全面采用基于新一代ASIC技术的Salience 系列交换路由引擎。该系列引擎将2/3/4层线速转发与丰富的QOS、ACL特性结合在一起,是组建高可靠、低时延的核心网络的重要保障。在设计上,Salience 系列
14、交换路由引擎的交换网采用负荷分担方式,全面提升单板可靠性。在可靠性要求更高的领域,可采用SalienceII引擎,该引擎在S6506R的机箱内可实现双主控冗余备份。iSalience为高集成引擎,该系列引擎在Salience引擎的基础上可提供少量的业务接口,用户可根据需要选配4口千兆业务扣板。(该系列引擎仅适用于S6503)强大的DiffServ/QOS保障:提供了基于端口和基于流的流量限制(Committed Access Rate);提供强大的流分类(Traffic Class)能力,用户可根据实际需要为不同的用户群组或不同的业务类型分配不同的队列优先级,带宽控制(以64Kpbs为步长单位
15、进行调整);提供Diffserv支持,可以根据2、3、4层特性,调整IP DSCP域,为骨干网络实现基于DSCP的IP转发提供支撑;提供基于数据流(Flow,根据2、3、4层报文头的信息确定)的带宽共享算法,保证每一个通信应用均可获得公平的流量分配,保证了各主机之间通信的公平性;提供WRR(Weighted Round Robin)队列调度策略;提供RED(Randam Early Detection/Discard)丢弃策略;可配置的802.1p优先级映射规则,可根据IP DSCP信息,802.1p信息,VLAN信息,2/3层转发表信息,配置出报文(Outgoing Packet)的802.
16、1p优先级; 可配置的队列优先级规则,可根据IP DSCP信息,802.1p信息,VLAN信息,2/3层转发表信息,配置转发队列优先级;完善的安全机制:提供L2/3/4流规则过滤;用户分级管理和口令保护;提供多种用户认证方式:本地/Radius/802.1x认证;支持OSPF 、RIP v2 及BGP v4 的报文明文及MD5密文认证;支持SNMPv3的加密和认证。实用的网络管理S6500系列以太网交换机提供中/英文双语界面,支持多种配置方式:命令行配置、HGMP配置及网管配置。在命令行配置方式下,用户可以通过Console口对交换机进行本地配置或通过Telnet登录对交换机进行本地或远程配置
17、。S6500系列以太网交换机对Telnet Server和Telnet Client服务都提供支持。HGMP配置方式是指利用华为公司开发的二层私有协议HGMP(Huawei Group Management Protocol,华为组管理协议)实现管理设备(如:MA5200以太网接入管理系统)对S6500系列以太网交换机的集中管理,完成交换机配置和配置响应消息的传递。S6500系列以太网交换机支持符合SNMP V3协议标准的iManager Quidview网管系统平台,可通过统一的平台实现对交换机充分有效的管理,该网管系统采用多语言图形界面,操作直观方便。该系统同时还可以提供拓扑管理、配置管理
18、、故障管理、安全管理、性能管理等功能。此外,S6500系列以太网交换机也支持RMON、SMON。1.5.1.4 汇聚设备介绍1.5.1.4.1 MA5200MA5200E/F产品提供强大的用户认证、计费、管理的特性,该方案具有如下特点:灵活的带宽保证在接入层,在小区中心配置具备BAS功能的三层设备MA5200E/F产品,上行通过FE/GE接至宽带城域网,具体选用100M上行还是GE上行,由局方根据条件自行决定。中心交换机通过下行100M使用多模光纤连接楼宇交换机Quidway S3000/2000系列。Quidway S3000/2000系列下行可为用户提供10M/100M自适应端口,为用户提
19、供了灵活的带宽选择余地,同时也保证了用户的宽带业务实现。良好的运营维护能力利用华为公司HGMP协议的集中管理特性,可以在小区中心交换机设置一个管理IP地址就可以将所有的楼道交换机进行集中统一的配置和管理,把需要分布安装的楼道交换机以及对各设备的配置、管理、维护、升级等全面管理起来。以软件的代价替代物力资源和人力资源的投入,降低小区网络的综合运行维护成本,提高网络的综合管理能力。也可以利用SNMP协议将各层交换机的管理纳入统一网管平台中,楼道交换机将SNMP包透传至小区中心交换机,通过小区中心交换机的统一出口将SNMP包传到网管中心,网管中心接收传来SNMP包,就可以通过带内方式实现对小区内各层
20、交换机的管理。 QoS保证中心交换机MA5200E/F产品采用CAR(承诺访问速率)技术实现针对每个用户的带宽控制,精细度达到128K。MA5200E/F产品支持基于IP报文五元组的流分类技术,支持丰富的优先级调度,有利于将来在网上开展基于IP的视频、话音业务。配合网络的高转发性能,对不同类型的业务和不同类型的用户进行分类支持,为话音、视频等实时业务提供质量保证。对关键业务和非关键业务进行区分处理,保证关键业务畅通运行。 计费管理MA5200E/F产品支持按时长、流量计费,支持本地计费和远端计费,本机可存储10万张原始计费信息,支持标准的Radius协议并可针对带宽、访问权限、业务优先级等信息
21、对Radius进行扩充。可以根据用户的不同业务,提供灵活的计费策略,不同的认证方式(PPP、VLAN+WEB、802.1X)采用相同的计费流程;对于DHCP分配地址的用户,可实时侦测用户状态以配合计费。完善的用户认证和管理完成多种用户认证方式:VLAN、DHCP+WEB,802.1X、PPPoE,并且依据网络设备和用户需求选择合适的认证。采取VLAN ID对应用户端口、VLAN ID+MAC地址+IP地址动态绑定的方式来标识和确定用户,并根据这种绑定关系限定用户可用带宽、用户数等。 健全的安全管理机制采用DHCP RELAY的技术隔离用户和DHCP服务器,提高地址分配安全性;通过地址与VLAN
22、 ID绑定技术防止MAC地址、IP地址的盗用;用户二层利用VLAN严格隔离, 利用基于用户策略的ACL(接入控制列表)来完成用户的三层受控互访,通过对用户在单位时间内的连接数量的限制,可以提供四层的用户安全(防止PROXY方式用户盗用网络资源)。1.5.1.5 接入设备介绍1.5.1.5.1 HFC接入设备MA5201MA5201作为HFC数据接入前端设备,应用领域包括广电数据接入网,智能小区,校园网等,其主要的技术特点为:v19单机结构,内含一个CMTS单元,一个下行信道,四个上行信道v桥接转发,支持802.1d生成树算法v强大的转发能力,包转发率为5万Ppsv符合DOCSIS标准,同时支持
23、EuroDOCSIS v多种操作维护手段:(1)通过网管(包括OSS)的功能完善的维护,包括工作站版的网管和PC机版的网络(MA5201、且对稳定性要求不高时,或者实验局使用)(2)命令行维护,可以有三种方式:本地命令行维护;远程电话modem维护;远程登陆Telnet方式。各种维护手段均支持中文界面。完善的操作维护功能:以多种操作维护手段灵活地支持配置管理,性能管理,告警和故障,同时支持完善的日志功能,软件在线升级。 v完备的双向HFC运营设计:支持网络故障定位,频谱管理,功率管理,上行信道集中式/分布式组网设计。v组网灵活:单机形式,可以以多种方式灵活组网,满足不同的用户需要。MA5201
24、优势集中体现在几个方面:(1)性能价格比优。(2)从市场的角度看,HFC数据接入在中国仍然属于起步阶段,用于初期低投资的条件下小规模运营是非常有优势的;(3)操作维护手段和功能完善,同时中文界面适合国内市场的应用。(4)同时支持DOCSIS和EuroDOCSIS,符合中国国情。(5)双向HFC运营设计考虑周到,在中国网络状况不是很好的情况下,这一优点显得尤为突出。MA5201技术指标:MA5201整机指标:参数名指标标准支持MCNS DOCSIS1.0/EuroDOCSIS 1.0频谱分割低分割/中分割结构 19机盒数据转发能力5万ppsCable接口1个下行,4个上行,最多支持2000个用户
25、,实际应用建议支持500用户以下上行接口100Base-TMA5201下行信道技术参数:参数名指标DOCSISEuroDOCSIS中频频率44MHz调制方式64/256QAM信道带宽6MHz8MHz数据率(Mbps)64QAM: 30 256QAM:4364QAM: 42 256QAM: 55信道编码RS编码,交织,加扰,TCM编码,符合J.83BRS编码,交织,加扰,TCM编码,符合J.83A输出阻抗75输出电平30dBmV(正负3dB)MA5201上行信道技术参数参数名指标DOCSISEuroDOCSIS中心频率范围542MHz565MHz调制方式QPSK/16QAM信道带宽/信道200K
26、/400K/800K/1.6M/3.2MHz接收数据率/信道320K/640/1.28M/2.56M/5.12M/10.24Mbps输入阻抗75输入总功率/信道35dBmV连接器F连接器MA5201物理参数描述参数设备外形19英寸标准机箱机箱颜色墨绿色以太网口RJ48 X 1控制串口RJ48 X 1射频口F连接器 X 5结构尺寸宽 X 高 X 深=482.6 X 88.1 X 450 mm净重量5.5 kg整机功耗额定40W,最大60WAC输入电压范围85V264VAC电压频率50Hz工作温度040相对湿度10%90%存储温度-4070MTBF50000hMTTR0.5hMA5201外部接口:
27、通信串口:RS232串口数量:1个;物理形态:带屏蔽RJ45插座;符合RS232相关协议; 以太网接口: 10M/100M自适应网口数量:1个;物理形态:带屏蔽RJ45插座;符合802.1802.2802.3相关协议;CMTS射频接口数量:4个上行,1个下行;物理形态:F连接器规范:IPS-SP-406: ANSI/SCTE recommended F-Port( Female , Indoor ) , Society of Cable Television Engineers. 面板指示灯MA5201面板提供9个信号灯(从左到右):PWR:亮CMTS上电灭CMTS未上电DS: 亮下行通道打开
28、灭下行通道关闭US1: 亮上行通道1打开灭上行通道1关闭US2: 亮上行通道2打开灭上行通道2关闭US3: 亮上行通道3打开灭上行通道3关闭US4: 亮上行通道4打开灭上行通道4关闭RUN:系统正常运行时,每秒闪烁一次,灭系统异常工作Eth:亮CMTS与别的设备通过网线相连,可以通讯 闪烁CMTS 以太口有数据收/发操作 灭以太口工作异常或CMTS以太口与别的设备没有物理 连接或连接异常 ALM:亮(红色)系统故障告警(同时命令行有告警输出) 灭无告警信息上变频器技术参数 中频输入频率:44MHz 输入电平:+25+35dBmV 输入阻抗:75W 输出中心频率范围:53857MHz 输出频率步
29、进:62.5KHz 输出阻抗: 75W 电源:100240VAC,5060Hz结构:19插框或盒式1.5.1.5.2 Quidway S2403高速以太网交换机 Quidway S2403以太网交换机是由华为技术有限公司开发的新一代以太网交换机。Quidway S2403 提供24个10BASE-T以太网端口和3个10/100BASE-T快速以太网端口以及一个可选的光纤模块。 Quidway S2403 以太网交换机所有端口都可以通过自动协商工作在半双工或全双工模式,即插即用,并提供面板指示灯供用户监视网络状态及处理网络故障。用户不用更换现有网络硬件设备,只需增加Quidway S2403 以
30、太网交换机就可方便提升网络性能,是共享式集线器理想的高性能替代产品。改善网络性能:共享式以太网在通信量和用户数的增加超出一定数量时会造成碰撞冲突,从而降低网络效率;而应用Quidway S2403 以太网交换机,用户可以独享10Mbps、100Mbps带宽,不需要与其他站点进行竞争,从而大幅提升网络性能。自动协商和全双工:Quidway S2403 以太网交换机所有端口均支持自动协商和全双工操作,10Mbps端口可工作在10BASE-T全双工、10BASE-T半双工两种方式;10/100Mbps端口可工作在100BASE-TX全双工、100BASE-TX半双工、10BASE-T全双工、10BA
31、SE-T半双工四种方式。每个端口的工作方式由它与所连接的以太网设备通过自动协商确定。连接不同运行速率的网段:应用Quidway S2403 以太网交换机可以方便地把以10Mbps速率运行的网段和以100Mbps速率运行的网段高效率的连接在一起。并提供可选的100Mbps上行或服务器连接的能力。Quidway S2403 以太网交换机以太网端口可连接HUB或直接连接配有网卡的计算机或服务器,也可上行连接到高速主干网络。产品规格支持的标准网络协议- IEEE802.3 以太网标准- IEEE802.3u 快速以太网标准- IEEE802.3x 全双工标准- IEEE802.1d 网桥及生成树(Sp
32、anning Tree)协议- IEEE802.1q VLAN标准 - IEEE802.3u 千兆以太网标准端口配置24个10BASE-T 以太网端口3个10/100BASE-T 以太网端口一个可选模块,1000BASE-SX(多模光纤)、1000BASE-LX(单模光纤)、100BASE-FX(单模多模、多模光纤两种规格)数据传输速率- 以太网: 10Mbps (半双工) 20Mbps (全双工)- 快速以太网:100Mbps (半双工) 200Mbps (全双工)网络电缆 - 10BASE-T3/4/5类 非屏蔽双绞线(最大100m)5类 屏蔽双绞线(最大 100m) - 100BASE-
33、TX 5类 非屏蔽双绞线(最大 100m)5类 屏蔽双绞线(最大 100m) - 100BASE-FX9/125mm单模光纤(最大 15km)62.5/125mm多模光纤(最大 2km)交换模式: Store-and-forward Cut Through(仅S2403)MAC地址表地址自学习,最多可支持2K MAC地址 SNMP Agent支持MIB-II(RFC1213)Console Port允许用户通过串行口配置交换机登录用户口令保护 统计信息、状态信息即时刷新简洁易用的配置界面可选择的中、英文界面Telnet允许用户通过Telnet登录配置交换机登录用户口令保护统计信息、状态信息即时
34、刷新简洁易用的配置界面最多可支持3个用户同时登录登录超时保护可选择的中、英文界面VLAN符合IEEE 802.1Q基于端口的VLANTrunk交换机到交换机的Trunk交换机到服务器的Trunk 可定制的流量分配1.5.1.6 网络管理简述增值业务平台CAMSCAMS平台可以提供各种增值业务,包括WEB认证、201宽带上网卡、IP Hotel业务等。同时配合MA5200E的BAS功能,能够实现根据不同用户需求进行计费认证,包括按时长、按流量、安内容等计费,同时还可以提供各种折扣计费。 2. 网络安全措施2.1 网络安全策略全网的安全策略包括网络安全策略,节点安全策略,数据安全策略,和持续安全策
35、略。网络安全策略:主要保证网络拓扑机构的合理性,全网各个节点之间的连接线路的可用性。节点安全策略:主要保证各个节点内的设备不受攻击,保证服务不中断。数据安全策略:保证系统重要数据得到及时有效的备份保护,并避免受到非法使用者的篡改等。持续安全策略:是从发展的角度,提出如何对系统的安全缺陷及时跟踪和修正,保证网络的长期安全性。2.2 网络各层设备安全性考虑配置安全:对登录用户进行认证,不同级别用户有不同的配置权限;提供两种用户认证方式:本地验证、RADIUS(Remote Authentication Dial-In User Service)验证。协议报文认证:对重要的路由协议(OSPF,IS-
36、IS,RIP、OSPF等)提供多种验证方法(明文验证、MD5、HMAC-MD5)。基于用户定义的策略:可以对报文进行过滤,同时采取其它动作。安全过滤可以将过滤的报文重定向到某个固定端口,便于利用仪器设备抓包分析。2.3 网络安全措施在体系结构方面,华为综合网管系统采用 Client/Server 结构,支持多个客户同时登录到网管SERVER ,在每一客户端都有严格的用户登录与安全检查。网管 SERVER作为后台进程运行,完成的功能包括:拓扑管理、设备监控、性能数据采集、设备告警处理、用户安全管理。节点关键设备冗余备份,为了保障网络安全,降低网络故障,关键设备所有关键部件都采用冗余备份设计,电源
37、模块N1备份,控制和交换板采用11冗余备份。对网络设备采用多极安全密码体系,限制非法设备和用户登录,在出现软硬件故障时,可以迅速切换到备用模块,保障业务的不间断运行。关键数据采用身份认证与授权,通过访问权限限制,加密保存,加密传输,同时网络和系统中各种重要数据进行及时有效的备份。设备可设置三级时钟,并提供时钟优先级,当最高优先级时钟失效时,可以立即切换到低优先级时钟,当最高优先级时钟恢复后,又可以立即切换回去,通过这种自动保护既可以保障网络的安全运行,又可以简化用户的管理。网络从拓扑结构到连接链路均应考虑路由的备份,采用分层的拓扑结构,支持动态迂回路由,在资金可能的情况下,节点保证双路由,保障
38、网络安全。同时在网络中通过划分VPN网络、VLAN网络来保障专业行业网络的安全性。3. 路由协议与策略路由协议可以及时地动态获取网络拓扑信息,引导IP数据报文逐步转发到达目的地,使IP网络具备了很好的灵活性和鲁棒性。例如使用动态路由协议的IP网络能够在一条传输路径中断时,自动选择其他的路径继续执行数据转发;同样,在网络中增加了新的传输路径时,IP网络也可在很短时间内获得并传播拓扑变化信息,对网络资源实现灵敏和合理的应用。不同的路由协议有各自的特点,分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素:1)网络的拓扑结构2)网络节点数量3)与其他网络的互连要求4)管理和安全上的要求S65
39、06提供了丰富的路由协议支持,以适应不同的网络环境。A、区域内路由协议(1)RIPRIP(Route information protocol,即路由信息协议)是基于D-V算法(距离向量算法)的内部动态路由协议。RIP协议的标准主要有RFC1058(版本1)和RFC1723(版本2)。 Quidway S6506产品不仅实现了这两个版本的RIP协议,还支持MD5验证,还可以在必要时提供更安全的快速收敛的RIP服务。(2)OSPFOSPF(Open Shortest Path First,即最短路径优先协议)是一种基于链路状态的内部动态路由协议。目前OSPF的主要标准是RFC2328(版本2)。
40、Quidway S6506产品实现了完整的OSPF功能和一些扩展特性。包括支持广播、NBMA、点到多点、点到点四种接口类型,以及MD5验证、区域划分、区域间路由聚合、虚连接、STUB区域等丰富的特性。(3)IS-ISIS-IS(Intermediate System - Intermediate System,中间系统到中间系统协议)是由国际标准化组织(ISO)制订的路由协议,属于开放系统互联协议簇。IS-IS 对应的标准是ISO 10589和RFC1195。Quidway S6506能实现IP网络上的IS-IS协议完整功能。(4)OSPFOSPF是一种性能优良、使用广泛的单播IGP路由协议,
41、网络开销小,获得的路由无环路,适合在不同规模的网络环境使用。IS-IS与OSPF在质量和性能上的差别并不大,但OSPF更适用于IP,较IS-IS更具有活力。IETF始终在致力于OSPF的改进工作,其修改节奏要比IS-IS快得多。这使得OSPF正在成为应用广泛的一种路由协议。现在不论是传统的路由器设计,还是即将成为标准的MPLS(多协议标记交换),均将OSPF视为必不可少的路由协议。而且IS-IS在国内实际应用实例较少,不太适合作为主要协议使用。 RIP协议发展最早,使用简便,但协议过于简单,对于路由环路等问题存在一些缺陷,在较大的网络环境中不适合采用。B、域间路由协议BGPBGP(Border
42、 Gateway Protocol,即边界网关协议)是一种自治系统间的动态路由发现协议,它的基本功能是在自治系统间自动交换无环路的路由信息。目前BGP的标准是RFC1771/RFC1772(版本4)。Quidway S6506实现了BGP-4协议的完整功能和一些扩展,包括路由聚合、路由衰减、路由反射、AS联盟、团体属性,以及用于支持MPLS VPN的BGP多协议扩展。C、路由策略与路由协议配合使用的路由策略用于增强网络管理者对路由协议的控制管理。上层路由协议在与对端路由器进行路由信息交换时,可能需要只接收或发布一部分满足给定条件的路由信息;路由协议在引入其它路由协议路由信息时,可能需要只引入一
43、部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置以使其满足本协议的要求。路由策略则为路由协议提供实现这些功能的手段。路由策略由一系列的规则组成,这些规则大体上分为三类,分别作用于路由发布、路由接收和路由引入过程。路由策略也常被称为路由过滤,因为定义一条策略等同于定义一组过滤器,并在接收、发布一条路由信息或在不同协议间进行路由信息交换前应用这些过滤器。Quidway S6506支持的路由策略主要有路由映像(RouteMap)定义、路由引入和分发定义,以及路由的前缀、自治系统路径、团体属性、访问列表等限制规则。路由策略的应用,对增强网络的可管理性具有重要的实用价值。4. IP地址规划
44、IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:唯一性:一个IP网络中不能有两个主机采用相同的IP地
45、址;简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。IP地址规划是要解决有效利用地址空间、有利于路由设计、解决公网地址严重不足等问题。地址的分级、可变长掩码等技术的使用在此就不再详细论述。我们主要论述如何进行最优化的公私网地址混用。地址空间的压力主要来源于个人接入用户,而企业用户带来的影响较小。所以,对专线用户采用地址静态分配、公网、私网地址并存。宽带Internet企业访问型可以通过专线或以太网接入。这里考虑的重点是以太网接入,专线用户的处理情况类似。对企事业单位用户一般企事单位业用户使用静态地址和静态路由,IP地址可以使用私网地址或公网地址。而对个人用户到底采用何种方式,取决于多个因素。其中最主要的因素是公网地址空间的缺少:如果仅仅分配公用IP地址,用户人数在不断增长,将有可能超过可用地址数,这将成为一个严重的问题
