《CISCO城域网设计、优化和业务支撑.ppt》由会员分享,可在线阅读,更多相关《CISCO城域网设计、优化和业务支撑.ppt(38页珍藏版)》请在三一办公上搜索。
1、目录,网络现状和业务需求分析城域网体系结构设计网络结构和路由宽带接入网 组播 城域网优化设计高可靠性和快速收敛健壮性网络设施的安全流量和应用管理品质服务城域网业务支撑企业Internet 接入和内部网络(VPN)接入精细的大客户业务VPN业务增值的安全服务业务及托管业务IP/TV 与媒体流服务NGN 业务网网络运行监控,城域网业务支撑精细的大客户业务,企业业务需求分析,企业用户基本业务需求多种接入带宽选择需要Internet 接入业务VPN需求(同城互连及跨域互联)企业用户高级业务需求企业Qos差异化要求同一企业的不同业务的QoS要求(如企业内部VoIP应用)层次化计费模型企业Packet v
2、oice需求电信NGN 到企业网的扩展,基本业务需求:Internet 访问 国际VPN需求/专网需求企业内部VoIP高级业务需求:高级的安全(病毒、DDOS)有限制上网 NGN业务需求服务需求:SLA行业:贸易,金融,制造,研发,市场区隔业务需求表,有分支机构,无分支机构,基本业务需求:Internet 访问高级业务需求:有限制上网服务需求:无SLA行业:电子商务企业,政府,教科文,基本业务需求:Internet 访问 VPN需求/专网需求企业内部VoIP高级业务需求:高级的安全(病毒、DDOS)较高级的代维代管 有限制上网 NGN业务需求服务需求:SLA行业:连锁超市,政府机关,保险,房产
3、代理中介,三资企业,大客户的业务实现细分,带宽有严格要求,提供Two-rate,Three colour,VPN远程访问/安全有严格要求,提供DMVPN(IPSec)over MPLSRemote VPN,接入带宽灵活性要求,提供层次化基于用户/应用的带宽机制,SLA要求,提供IP SLA 监控工具,远程视讯VPN,提供Multicast VPN,外包安全及流量整形,提供Virtual FW/Service Control,企业内部voice/video/Data,提供层次化Qos,细分用户流量类型,特殊的大用户-网吧用户,普通网吧:Web、Email,包月XX RMB,与网吧主营方向相挂钩,
4、不再是简单接入,Best effort;安全隔离机制(PVLAN)Rate-limiting,low bandwidth,聊吧:Video,Voice,High Qos guarantee;安全隔离机制(PVLAN)Rate-limiting,Mid bandwidth Service Control(承诺24M带宽),组合价:基本价:XX RMB3:008:00 XX RMB8:0018:00 XX RBM,游戏吧:Video,Voice,High Qos guarantee;安全隔离机制(PVLAN)High bandwidth Service Control,组合价:基本价:XX RMB
5、Guarantee 5M XX RMBGuarantee 10M XX RMB,接入平台:大客户接入平台SVLAN实现提供灵活业务模式外层VLAN tag标识企业内层VLAN tag标识企业的服务VLANInternet无优先级保证内部互连和VPN中等优先级Voice高优先级保证层次化Qos提供基于应用的Qos保证 基于VLAN策略基于接口策略,城域网大客户平面层次化业务实现,城域网业务支撑VPN业务,VPN 业务模型,纯IP骨干,L2TPv3,AToM,城域网可提供的VPN业务,企业典型业务举例,企业AInternet 接入+国内和国际MPLS Layer 3 VPN+NGN voice3
6、service VLAN per site100M 接入速率,20M total,Voice 预留1M,15M for VPN(铜级)计费策略包月+国际VPN 流量费+NGN 时长费企业BHub&Spoke L2 VPNHub:50 TLS VLAN+1 VLAN to internet10M 接入速率,3M total,2M for VPN(金级)计费策略包月+VPN 超过流量费用 企业C单个VLANInternet+NGN 计费策略包月+NGN 时长费,城域网业务支撑增值的安全服务业务及托管业务,安全过滤中心,随着网络和应用的发展,企业客户除了需要上网服务和VPN服务外,还需要更多的安全方
7、面的服务,建设网络安全过滤中心,可以提供多种安全过滤服务。,客户可选择的服务有:共享防火墙服务网络入侵检测服务企业网Peer To Peer流量限制服务防DDoS攻击服务,接入层(前端),共享防火墙,上联,二层,L3,实现手段虚拟防火墙技术支持三层虚拟化,实现多个逻辑防火墙,各自独立运行支持二层虚拟化,无需改变现有网络拓扑而启用状态过滤,802.1q中继,共享防火墙服务,目标:为商业在用户提供防火墙业务,Video,Web,P2P,企业网Peer To Peer流量限制服务,BT流量占用大量出口带宽,影响正常流量,Internet,MAN,Service control engine,提供面向
8、企业的对P2P流量、游戏网站过滤,保证企业出口带宽不被非工作之用,安全过滤中心,目标:为商业在用户提供限制用网功能实现手段SCE,防DDoS攻击服务,Internet,MAN,DDoS过滤系统,DDoS入侵侦测,安全过滤中心,目标:为商业在用户提供过滤DDOS功能实现手段Anomaly Detection and Mitigation(DDoS),网络托管VPN服务企业网络设备托管,SPs Responsibility,SP Demarc,SP Demarc,营运商按用户要求配置VPN配置MPLS-VPN功能配置路由器中的点到点IPSec VPN功能托管并配置点到多点IPSec VPN服务器端
9、到端VPN及路由的管理,以及可选的虚拟防火墙功能营运商从现有的用户那里提高ARPU值,CPE Router,CPERouter,LAN Switch,LAN Switch,To Global Internet,CPN SP IPNetwork,=动态、临时的分节点到分节点的IPsec隧道,Spoke A,Spoke B,192.168.2.0/24,.1,192.168.1.0/24,.1,192.168.0.0/24,.1,.,.,Physical:172.17.0.1Tunnel0:10.0.0.1,Physical:172.16.1.1Tunnel0:10.0.0.11,Physical
10、:172.16.2.1Tunnel0:10.0.0.12,Web,.37,PC,.25,10.0.0.1 172.17.0.1,10.0.0.12 172.16.2.1,网络托管加密的VPN网服务DMVPN,采用DMVPN(动态多点VPN)技术,可以实现加密VPN服务。节点间有流量才动态建立IPsec隧道,无流量IPsec自动拆除。节省资源、方便管理与业务实施。,目标:提供非常灵活的动态点对点通信服务,城域网业务支撑IPTV,IPTV要求承载网应具备:,基于业务的流量监控与统计实时监控IPTV及其它视频流对带宽占用情况,控制非重要业务对带宽资源的占用。并且为业务的规划及运维提供可靠的数据依据网
11、络服务质量实时监控:对承载IPTV的网络节点之间延时、抖动、丢包率等参数实时监控,保障IPTV业务的服务质量全方位的安全保障:节目源的安全,杜绝非法有害的IPTV节目源业务系统的安全,视频服务器及用户网络都是黑客攻击的对象,需要重点保护强大的组播支持能力骨干层设备必须支持PIM SM/DM/SSM,接入层交换机及DSLAM必须支持IGMPv2/v3 snooping,若不支持IGMPv3 snooping,则业务控制点路由器需支持SSM Mapping在IPTV业务开展初期,用户少的情况下,采用静态推送方式(十个频道内),将组播流预推至DSLAM,视频流的复制点在DSLAM。业务正式开展后,采
12、用动态加入组方式,视频流的复制点在DSLAM,IPTV 业务模型-计费模型,包月+VoD 费用:免费频道+Internet 访问需要单独订购的频道增值服务费 Network PVR/时移TV/NVOD/PPV Interactive gaming 网上教育 个人DV show 等Triple-Play,IPTV 业务模型-认证模型(ADSL用户),STB接入认证与地址分配DHCP+WEB,IP骨干网,IPTV业务系统,家庭网关,TV+STB,PC,组播VLAN,BRAS,PC发起PPPOE(userdata),STB启动后发DHCP请求,DSLAM:1.IGMP Proxy,将单播(VOD,上
13、网,游戏)及组播定位在不同的VLAN。2.根据用户的位置信息(端口/VLAN/PVC等),将DHCP报文增加OPTION82后发送到DHCP Server,SR,VLAN 1000,VLAN 2000,QinQ,MVR,VLAN 2001,单播VLAN,STB接入认证与地址分配DHCP+WEB,IP骨干网,IPTV业务系统,家庭网关,TV+STB,PC,组播VLAN,BRAS,PC发起PPPOE(userdata),STB启动后发DHCP请求,楼道交换机:IGMP snoopingPrivate VLAN,SR,VLAN 1000,VLAN 2000,QinQ,MVR,VLAN 2001,单播
14、VLAN,IPTV 业务模型-认证模型(LAN用户),IPTV组播业务模型服务质量规划平面,组地址规划层次化如:MPEG2:High-Rate:239.225.0.0/16 H.264:Medium-Rate:239.192.248.0/22 Etc接入交换机作为控制点可根据组地址控制本地接收流品质,针对LAN用户可先行开放HDTV 分离组播流和单播流在不同的链路。SR做为控制点,Multicast Traffic engineering,6509,城域核心路由器,IP城域网,新接入交换机,宽带接入网,城域汇接路由器,汇聚交换机,SR,SR,IP DSLAM,MSTP,媒体服务器,楼道交换机,
15、组播专用环,普通TV,高清TV,IPTV组播业务模型管理及安全,安全性考虑 缺省每个用户同一时刻仅能接收一个频道,可依付费情况一个用户可同时接收多个频道。IGMP throttling=1 仅IPTV 源可以发送组播:IGMP profile/IGMP filter SSM RP register control 组播带宽管理 多点分布 VCDN cache FE上连DSLAM建议至少双FE上行,一条走组播,一条走单播 支持fast leave机制在楼道交换机/DSLAM 骨干静态预留组播带宽,城域网业务支撑NGN,软交换接入用户包含SS,AG,TG,IAD,软终端(SIP)城域网需要承载软交
16、换业务,重点在于接入、QOS支持以及安全保护,IP城域网上开启MPLS VPN承载的方式实现软交换核心网络和接入设备的互连。整个网络分成个子域,每个域的QoS 和安全措施略有不同SS,AG,TG可信任域半可信任域企业网络Voip 网关、IAD、SIP Phone、LAN PBX等通过单独VoiceVLAN 接入的散户IAD不可信任域非电信接入终端个人用户PC phone,城域网对NGN业务的支持,信任域SS,AG,TG,服务网通过专线直接接入临近的PE,组成Full-mesh 结构VPN 半信任域企业网络Voip 网关、IAD、SIP Phone、LAN PBX等接入临近的PE,与BAC组成H
17、ub-Spoken结构VPN不信任域非电信接入终端、个人用户PC phone接入临近的PE,与BAC组成Hub-Spoken结构VPN,NGN 网络逻辑结构,DSLAM/园区交换机,RPR/MSTP/SDH,SR/PE,非中国电信用户,以太交换网/MSTP/RPR,SS/AG/TG,通过SR/CN2 SR开启VPN业务,散户IAD,大客户IAD,大客户IAD:独立专线接入或跟随已有数据专线接入,分配单独VLAN接入VPN,AG,VPN site,VPN site,MPLS MAN,VPN:SpokenImport:100:1,NGN业务网MPLSVPN实现示例,VPN:HubRT:Export
18、:200:1,BAC,VPN:SpokenImport:200:1Export:100:1,VPN:SpokenImport:200:1Export:100:1,VPN:SpokenImport:200:1Export:100:1,信任域,非信任域/半信任域,SR/PE,SR/PE,网络运行监控,完善的监测系统的需要,了解路由不稳定的程度和根源了解流量和流向分布,供网络容量规划和负载均衡设计需要了解QoS 实施情况,发现问题点和确定调整策略早期发现网络攻击和发现应对策略新一代网络的高可用性、QoS保证很大程度上依赖于完善的MAN 运行检测系统,监测系统部署建议,路由稳定度在某台设备上(通常选择
19、RR)记录SPF 重算次数和BGP NLRI更新次数Syslog/trap 记录所有Interface up/down 事件流量和流向汇聚和核心路由器采集route statistics(per hour)扩展性和准确性优于Sample netflowQoSSR/BRAS 通过agent统计延迟、丢包、抖动等SLA 指标汇聚和核心路由器采集Diffserv MIB 信息网络攻击所有路由器的CPU 利用率、接口利用率汇聚和核心路由器线路上实现采样或汇聚netflow,城域网可管理性,电信级的城域网需要强大的性能监测和故障隔离的手段城域网的建设目标是可运营,可管理OAM是实现这一目标的技术手段Op
20、erations Administration Management(&Provisioning)OAM 为保证传输和业务的持续提供关键的信息网络的每一层都有自己的OAM机制,Ethernet OAM,MPLS OAM,IP OAM,Ethernet OAM,CE,CE,Customer Domain,Provider Domain,Operator Domain,Operator Domain,Operator Domain,Eth Access,MPLS Core,Eth Access,Customer,Customer,Service Provider,E-LMI:基于EVC和带宽合同的
21、对CE的自动配置;L2 连接的管理,802.3ah Eth in First Mile:最后一公里的物理链路的诊断,802.1ag:连接和故障管理 使用域管理 OAM 流,实施 OAM 责任 提供 EVC 连接 管理和故障隔离 3种包:连通性检查,L2 Ping,L2 Traceroute,MPLS OAM:VCCV,LSP Ping/Traceroute,以太网是城域网中的主流技术,所以Ethernet OAM对于城域网来说是必不可少的Service OAM(IEEE 802.1ag Connectivity Fault Management)Link OAM(IEEE 802.3ah OA
22、M)Ethernet Local Management Interface(E-LMI).每一个不同的 OAM 协议都有自己的目的,各协议之间相互补充,MPLSOAM,Attachment VC,Attachment VC,NMS/mgr Triggers VCCV,PE1,PE2,IETF LSP ping/traceLSR Self TestVCCVMIBsVRF aware IP pingITU Y.17fw,使用 VCCV,LSP Ping,Trace 实现性能监测和故障隔离,端到端IP OAM 性能管理Cisco IP SLA 工具,CiscoWorksIPM服务器,IP SLA代理,客户,客户路由器,IPM与IOS IP SAA管理代理配合工作,测量客户业务端到端的服务质量指标,包括:网络单向/双向传输延时传输丢包率抖动网络可用性SLA指标测量结果由IPM管理服务器采集和汇总,生成统计报告并输出,城域网,SLA指标配置,SLA测量结果采集,不同应用对IP性能监测的需求,QA,
