《中国移动IP专网二期工程技术建议书(终稿) 华为.doc》由会员分享,可在线阅读,更多相关《中国移动IP专网二期工程技术建议书(终稿) 华为.doc(86页珍藏版)》请在三一办公上搜索。
1、中国移动IP专用承载网二期工程技术建议书 华为技术有限公司目录1建议方案总体描述61.1网络业务定位61.2网络建设目标及原则61.3IP专网一期介绍71.3.1网络节点设置及层次结构81.3.2网络拓扑结构81.3.3网络设备配置、节点结构91.3.4总体运行情况101.4二期网络拓扑结构111.4.1网络层次结构111.4.2网络拓扑结构121.4.3设备配置132网络系统配置及解决方案152.1网络路由组织方案152.1.1IP路由方案152.1.2IS-IS Metric设计161.Metric设计原则162.Metric设计172.1.3路由稳定性设计182.1.4路由快速收敛设计1
2、92.2网络业务、应用组织MPLS VPN方案192.2.1网络业务、应用组织方式192.2.2MPLS部署方案202.2.3MPLS VPN方案建议202.2.4VPN路由方案212.3网络服务质量保证机制(QoS)232.3.1NE系列路由器QoS实现机制232.3.2本期工程QoS实施方法261.网络设计262.Diff-serv技术282.4网络业务承载及故障恢复方案312.4.1NE系列路由器可靠性技术321.故障快速检测技术322.NSF(GR)323.IGP/BGP/LDP协议快速收敛334.FRR技术332.4.2本期工程可靠性方案331.IGP/LDP/BGP快速收敛方案33
3、2.NSF(GR)方案343.TE FRR方案344.二期工程可靠性总体方案352.4.3TE FRR方案361.基于MPLS TE的FRR介绍362.本期工程TE FRR目标373.TE FRR设计374.TE Tunnel路由宣告方式415.TE故障恢复方式426.TE带宽预留方案437.MPLS TE的约束性442.5流量分担方案442.5.1业务系统流量分担442.5.2承载网流量分担451.流量分担策略介绍452.端口捆绑分担463.等价路径(LSP/路由)472.5.3本次工程建议472.6网络及应用系统安全解决方案492.6.1安全整体框架描述492.6.2安全需求分析491.网
4、管平面502.业务平面503.控制平面512.6.3网管平面安全方案511.内部结构优化512.边界控制方案533.终端管理方案542.6.4业务平面安全方案551.MPLS VPN安全隔离552.差异化业务系统接入563.流量控制和采集562.6.5控制平面安全方案572.7应用系统接入解决方案592.7.1软交换局域网接入592.7.2业务系统本地接入方案602.7.3业务系统双归接入方案622.7.4应用系统接入方案比较632.8IP地址方案642.8.1公有地址设计642.8.2地址规划652.9NTP时间同步方案662.9.1NTP基本原理662.9.2NTP建议方案673网管系统建
5、设方案674春节过渡方案684.1过渡方案思路和范围684.2各省份实施方案694.3流量分担策略754.4可行性分析764.4.1UMG8900割接方式764.4.2现网A、B平面的利用和容量分析774.5春节后割接思路775应用系统及业务系统割接方案785.1割接方案验证785.2总体割接思路795.3割接步骤795.3.1新建目标网络并测试805.3.2连接新旧网并测试811.网络连接812.新旧网流量疏导策略823.连接配置824.路由收敛时间优化845.新旧网连通性测试855.3.3各大区割接861.UMG8900割接方法862.软交换割接方法873.各省割接885.4本次割接方案特
6、点881 建议方案总体描述根据“中国移动IP专用承载网二期工程工程规范书”的要求,中国移动IP专用承载网(简称IP专网)的总体方案建议如下:1.1 网络业务定位IP专网是中国移动下一代能够同时支持语音、视频、数据、企业互联等多种业务的核心承载平台,IP专网以创建中国移动的品牌形象,形成可赢利的运营模式,提升中国移动的企业竞争力和赢利能力为主要目的。中国移动IP专网初期主要作为中国移动GSM省间长途话路中继,二期工程中,中国移动IP专用承载网将逐步实现多业务承载网,包括“软交换汇接网”、“网管支撑系统联网”、“业务支撑系统联网”、“企业信息化系统联网”等业务的接入和承载,并将逐步在其中期发展进程
7、中实现3G CS/PS、IMS和部分可控的集团用户MPLS VPN业务的接入和承载。1.2 网络建设目标及原则考虑到IP专网的地位及承载业务的重要性,为确保其所承载软交换类业务、3G业务及大客户VPN业务安全可靠地运行,华为建议本期工程的IP专网应具备如下特点: 具备强大的处理能力、业务能力及平滑演进能力:IP专网必须具备承载高QoS业务所需的性能、各种特性及业务能力(如MPLS VPN、QoS、安全特性、ACL等),同时应具备强大的业务演进及扩展能力,对于新特性、新业务的提供(如IPv6),可通过软件升级的方式提供,最大限度地保护现网投资,满足可持续发展的要求。 严格保证增值类业务(VPN、
8、VoIP及视讯等)的QoS:IP专网端到端单向时延小于50ms、端到端时延抖动小于10ms、丢包率为小于1%,能够为所承载的各类电信业务(包括媒体流及信令流等)按需提供QoS保证(EF、AF)。 严格保证数据平面的安全性:保证业务在IP专网中传送时的可靠性、完整性和保密性。 严格达到PSTN网99.999%的可靠性要求:承载层设备本身必须达到99.999%可靠性要求,核心层具备50ms级别故障保护能力。 可运营、可管理:IP专网必须具有完善的故障定位、故障排查等功能,为网络日常维护管理、网络优化提供依据,同时应提供VPN策略部署工具,简化管理、降低维护成本。为达到上述目标要求,在网络架构设计中
9、,应始终坚持以下建网原则: 高可靠性:网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中应选用已规模商用的高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。 标准开放性:支持国际上通用标准的网络协议(如TCP/IP)、国际标准的大型的动态路由协议(如BGP、ISIS)等开放协议,有利于以保证与其它网络之间的平滑连接互通,以及将来网络的扩展。 QoS:对于所承载的每种业务,要能够按需提供QoS,对于VoIP等实时业务,要能够提供类似于传统PSTN网络的服务质量,这样才能作为电信级业务的IP骨干网络。 安全性:通过设备机
10、制及组网方案提高网络整体的安全性,对于所承载的电信级业务,要能提供类似于传统专线一样的安全性。 灵活性及可扩展性:根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。 可管理性:对网络实行集中监测、分权管理。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。1.3 IP专网一期介绍1.3.1 网络节点设置及层次结构中国移动IP专网一期工程在北京、上海、广州、武汉、南京、沈阳、西安、成都8个城市设置汇聚节点,每个节点配置2台汇接路由器(CR),构成网络的汇聚层;在所有省会、部分地市城市和全国网管中心设置逻辑接入节点,每
11、个接入节点分别配置12台接入路由器(AR),构成网络的接入层;在汇聚节点之间按双平面组织,两个转发平面分别设置全网状中继链路,所有接入节点均通过2条中继链路就近上联到本大区汇聚节点的2台汇聚路由器,每个转发平面均按可以承担全部业务量设计,以保证业务的可靠性和服务质量。中国移动IP专网一期网络层次结构详见下图。图 1 中国移动IP专网当前层次拓扑1.3.2 网络拓扑结构中国移动IP专网一期采用对称的双平面网络拓扑结构,在网络的汇接层,所有汇接节点的CR1路由器通过全网状中继链路互联,所有汇接节点的CR2也通过全网状中继链路互联,从而在汇接节点之间构筑A、B两个汇接层转发平面,同时,在同一汇接节点
12、的CR1和CR2路由器之间设置直连的快速倒换链路。在网络的接入层,除“中国移动通信有限公司”节点外,所有接入节点(含全国网管中心网管系统接入节点)的AR路由器均通过2条中继链路就近上联到本大区汇接节点的2台CR路由器,“中国移动通信有限公司”节点AR路由器通过2条GE中继链路接入到北京望京机房CR2路由器。中国移动IP专用承载网一期网络拓扑结构现状详见下图。图 2 中国移动IP专网一期网络拓扑结构1.3.3 网络设备配置、节点结构中国移动IP专网一期工程采用华为公司Quidway NetEngine80(简称NE80)核心路由器作为8个逻辑汇接节点汇接路由器(CR),采用华为公司Quidway
13、 NetEngine40通用交换路由器(简称NE40-8)和NE80作为49个中国移动通信有限公司、省中心和地市级接入节点的接入路由器(AR),其中:太原2、南昌2、杭州2、济南2、长沙2、南宁2、昆明2、佛山和江门等节点采用NE80路由器系统,“中国移动通信有限公司”节点和其它各节点配置NE40路由器系统;“全国网管中心”节点采用华为公司Quidway NetEngine 08E高端路由器(简称NE 08E)作为网管系统接入节点的接入路由器(AR)。中国移动IP专网8个大区中心汇接节点分别由2台通过GE链路互联NE 80路由器(CR)构成,2台CR路由器分别被置于汇接层网络的两个转发平面中,
14、通过全网状中继链路(POS STM-1或POS STM-16)实现与同平面其它汇接节点的汇接路由器互联,并通过星型组网实现与所属接入节点路由器的互联。中国移动IP专用承载网50个接入节点分别由1台NE 40路由器、1台NE80或1台NE 08(AR)构成,通过POS STM-1、POS STM-16或GE中继链路分别接入到所属汇接节点的2台汇接路由器(CR),进而实现对两个转发平面的接入;各节点接入路由器通过GE和FE接口实现“软交换系统”业务的接入,并通过E1、POS STM-1、GE接口实现“数据业务监测”业务的接入。中国移动IP专用承载网汇接节点和接入节点的划分是在系统功能层面的定义,在
15、具体系统设备部署上,8个大区中心城市分别选择两处局址机房进行建设,其中一处局址机房部署CR1、AR1、UMG8900(UMG8900 1)和Softswitch 1设备,另外一处局址机房部署CR2、AR2和Softswitch 2(UMG8900 2)设备。1.3.4 总体运行情况中国移动IP专网及其承载的汇接网是中国移动工程建设史上目前最大,涉及面最广的一次工程。在原有汇接局扩容困难,投资大的情况下,中国移动决策使用华为软交换系统建设移动长途汇接网第二平面,并且建设配套IP专网。整个项目从合同鉴定到最后的工程割接前后历时6个多月,经过华为公司和移动的密切配合,在移动公司各省的大力支持,传输、
16、数据、交换等各专业密切配合的基础上移动中国移动IP专网及其承载的汇接网顺利完成实施,整个割接过程平稳,网络质量稳定。中国移动IP专网采用IP电信网建设理念,融合传统电信网技术和IP技术,从业务规划、网络设计和关键技术支撑等方面解决了IP网络承载语音的可靠性和QoS等关键问题。中国移动IP专网2004年11月全网业务割接至今,已经连续长时间稳定运行,经历了2005年春节、2005年中秋等几倍于平时的话务高峰冲击,网络可靠性在实践中得到了证明。1.4 二期网络拓扑结构1.4.1 网络层次结构中国移动IP专网从二期工程开始将逐步演变为3层结构,包括核心层、汇接层和接入层: 核心层:核心节点及相关中继
17、链路构成网络的核心层,实现全网省际业务的转接功能,核心节点设置在业务量较大且具备完善省际传输汇接条件的城市; 汇接层:汇聚节点及汇聚节点至核心节点相关中继链路、汇聚节点间中继链路构成网络的汇聚层,实现各省业务向核心层网络的汇聚以及部分省间业务的疏导,汇聚节点设置在各省会城市,或业务量较大且具备完善省际、省内传输汇接条件的地市级中心城市; 接入层:接入节点及接入节点至本省汇聚节点中继链路、接入节点间中继链路构成网络的接入层,实现各地市业务向汇聚层网络的汇聚以及部分地市间业务的疏导,接入节点设置在具有业务接入需求的各省会、直辖市及地市级城市。考虑到网络发展的可扩展性,核心节点、汇聚节点和接入节点的
18、路由器系统最终将采用层次化部署方式,即:在核心节点部署核心路由器(CR),在汇聚节点部署汇聚路由器(BR),在接入节点部署接入路由器(AR)。根据网络的核心层和汇聚层组网需求,同时考虑到接入层系统及业务接入需求,核心节点所在城市的同一局址机房可能同时部署有CR、BR、AR不同层次的路由器系统;在网络规模和覆盖范围的逐步演进过程中,BR和AR路由器系统可在初期采用合设方式,CR在网络建成初期便采用独立设置方式。中国移动IP专用承载网目标网络层次结构如下图所示。图 3 中国移动IP专网二期层次结构根据本次工程计划实现接入和承载的业务分布范围,广东省CR、BR系统采用合设方式,称之为CR,其它各省会
19、、直辖市节点的BR、AR系统均采用合设方式,并统称为AR,即:本次工程实施完成后,网络暂维持核心层和接入层2层结构。1.4.2 网络拓扑结构二期工程实施完成后,中国移动IP专用承载网将形成两层的拓扑结构。其中: 核心层(CR)网络:在北京(1、2)、上海(1、2)、广州(1、2)、沈阳(1、2)、南京(1、2)、武汉(1、2)、成都(1、2)、西安(1、2)8个城市分别配置2台核心路由器(CR),构成8对核心节点;核心节点CR之间采用对称的不完全网状连接方式;根据光缆路由的实际走向及彼此业务的相关性,任何1对同城市的核心节点CR路由器至少与2对其它城市核心节点的CR路由器相联;在每对核心节点C
20、R1、CR2之间建立互联链路。 接入层(AR)网络:作为接入节点,在“全国网管中心”、北京(1、2)、上海(1、2)、沈阳(1、2)、南京(1、2)、武汉(1、2)、成都(1、2)、西安(1、2)、哈尔滨(1、2)、长春(1、2)、海口(1、2)、广东省广州(1、2)、广州(3、4)、深圳(1、2)分别配置2台接入路由器(AR),在广东省佛山、江门2个地市分别配置1台接入路由器(AR),在广东省东莞、惠州2个地市分别配置1台接入路由器(AR),构成成对配置的接入节点,并采用“单归双联”的方式接入到所属核心节点对(CR1、CR2);在福建省福州、厦门分别配置1台接入路由器(AR),在其它所有省会
21、、直辖市城市分别配置2台接入路由器(AR),构成成对配置的接入节点,并采用“双归单联”的方式接入到所属核心节点对(CR1、CR2)。二期工程实施完成后,中国移动IP专网网络拓扑总体架构如下图所示。图 4 中国移动IP专网二期详细结构1.4.3 设备配置设备介绍针对本期IP专网的技术要求、网络位置和容量、业务发展以及华为公司数通产品特点,建议核心层CR节点采用华为Quidway NetEngine 5000E核心路由器(以下简称NE5000E),广州汇聚节点采用华为公司Quidway NetEngine 80E核心路由器(简称NE80E),其它汇接/接入节点采用Quidway NE80E或者Qu
22、idway NE80核心路由器(以下简称NE80E/NE80),RR路由反射器可以采用NE40路由器。NE5000E是华为公司面向下一代融合IP承载网、互联网骨干节点、城域网核心节点以及数据互联中心节点推出的顶级核心路由器产品。NE5000E秉承第五代路由器理念,基于先进的网络处理器技术、ASIC技术、IPv6技术和光背板互连技术,采用分布式和可扩展性设计,具备海量交换容量和超高转发性能,全面满足新一代互联网对带宽性能、服务质量、业务提供能力的需要。NE5000E所具备的高性能、丰富业务特性、高可靠性和模块化扩展性,给网络带来更多价值,是下一代IP网络核心节点的理想选择。NE80E是华为公司推
23、出的NE80增强型高端网络产品,主要应用在IP骨干网、IP城域网以及各种大型IP网络的核心位置,可提供线速10G接口。NE80E基于分布式的硬件转发和无阻塞交换技术,具备电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力、优异的扩展能力,满足不断增长的数据和互联网业务对网络骨干设备的需求,可实现IPv4向IPv6的平滑过渡,是IP骨干网和IP城域网向宽带化、安全化和业务化发展的重要源动力。NE80/40采用第五代路由器的体系结构,具有良好的扩展性,充分继承了第四代全分布式硬件处理的架构,有机地结合了软件的灵活性和硬件的高性能,即提供线速转发性能,又具备快速良好的业务升级和扩展能力
24、。基于NP的第五代路由器架构优于基于ASIC(或者FPGA)的第四代路由器,具有良好的扩展能力。设备配置方案根据此次二期扩容第二阶段的需求,结合现有设备情况,各个节点新建(扩容/搬迁)情况如下: 八大区核心路由器CR节点采用NE5000E,共计16台,新建; 广西、云南和山西利旧原NE80作为AR2节点,增加NE80E作为AR1节点; 西宁、银川、海南和西藏利旧现网一台AR路由器NE40,增加一台NE80E作为AR2节点,共计4台; 上海、沈阳和西安利旧现网CR路由器作为AR路由器; 佛山、江门利旧现网AR路由器,广州AR1和AR2利旧现网CR路由器; 所有其它省份全部均采用两台NE80E作为
25、AR节点; RR路由器采用NE40路由器,共6台; 详细设备配置清单和板卡利旧请参见设备配置清单。 2 网络系统配置及解决方案2.1 网络路由组织方案2.1.1 IP路由方案域间路由协议根据中国移动IP专网的发展规划,网络有逐步扩展到全国各地市级城市的可扩展性需求,按照全国地市的规模,目标网络节点接近800台路由器,由于中国移动IP专网承载业务是端到端的业务,应该尽量避免大量业务通过跨域互连,从业界经验和IP专网一期使用情况来看,一个自治域完全可以实现要求,而且采用一个自治域能够大大减少了多自治域情况下管理、业务开展的困难和复杂性。 本期工程所有网络节点位于一个域内,考虑后续域间将运行E-BG
26、P路由协议,建议中国移动IP专网采用公有AS号,在AS边界通过EBGP控制路由的发送、接收、汇总和属性修改等。IGP路由协议本期工程IGP协议建议继续保持采用IS-IS,IS-IS路由协议开销较OSPF小,也能够支持更大规模的网络。并且中国移动IP专网一期和CMNet都已采用IS-IS路由协议,便于维护管理经验的共享。IS-IS路由协议支持分层(Level)设置,网络节点可以分层Level2和Level1,或者所有节点属于一个Level,分层和不分层各有优劣势,分析比较如下: 从稳定性角度,由于路由计算是分Level进行的,每个Level中路由器数量少,收敛要快一些,所以采用分层设置时故障能够
27、基于Level进行隔离,部分故障不会在整网传递,路由的稳定性要好一些了。 从管理角度,如果同时配置两个Level,相对管理起来麻烦一些,分层时路由器存在多个角色,需要管理跨Level路由器,而且由于Level实施故障隔离,故障定位要麻烦一些等。 从路由收敛的角度,采用两个Level时,全网的快速收敛会慢一些,因为此时Level-1-2路由器负责将一个Level学到的路由向另一个Level发送,而只有在路由计算之后,才能决定哪些路由发送,哪些路由不发送。对于一个Level不需等路由计算,就可以将链路状态报文发出去。所以2个Level会比1个Level慢一些。 从支持新技术角度,目前MPLS TE
28、穿越Level等一些协议标准化还有待发展,目前还处于草案阶段,很多TE Tunnel特性在穿越Level时是不能支持的,采用一个Level则没有相关问题。根据本期工程的网络规模,所有节点位于一个Level内没有稳定性的问题,而分层会带来一些其它方面的问题,所以建议暂时不进行分层设置,所有节点位于Level-2之内,便于未来网络的扩展,网络延伸到C3节点后,可以将PE节点设置到LEVEL-1里面,核心层不需要改动。2.1.2 IS-IS Metric设计1. Metric设计原则根据中国移动IP专网二期工程的要求,Metric设计原则包括:1、 转发路径的层次化设计:即IP专网中核心层、汇聚层和
29、接入层路由器及链路在转发路径的形成过程中处于差异化的地位和角色,并参考以下设计原则: 主用转发路径设置原则地市AR路由器之间直连链路仅对对等地市间流量疏通有效,省会BR路由器之间直连链路仅对对等省间流量疏通有效,其余流量通过“接入AR汇聚BR核心CR”逐级汇接链路疏通。相同城市的核心、汇聚和接入路由器对之间的链路设计为低阻链路,便于在网络不同层面的路由优化。 备用转发路径设置原则当不同核心节点对CR1-CR1或CR2-CR2直联链路单组中断时,相关流量在相同方向的另一组链路上收敛,当不同核心节点对CR1-CR1、CR2-CR2同方向2组链路同时阻断时,相关流量在AR-AR之间端到端重新收敛,尽
30、量通过CR节点迂回,避免通过其它省汇聚层或接入层网络链路。当BR-CR链路单组中断时,相关流量在冗余上行网络汇聚层链路上收敛,避免通过省间直联或网络接入层链路,当BR-BR省间直联链路中断时,相关流量在上行网络汇聚层链路上收敛,避免通过网络接入层链路。当AR-BR链路单组中断时,相关流量在冗余上行网络接入层链路上收敛,避免通过地市间直联链路,当AR-AR地市间直联链路中断时,相关流量在上行网络汇聚层链路上收敛,避免通过其它地市间直联链路。当CR1-CR2、BR1-BR2、AR1-AR2链路中断时,相关流量在AR-AR之间端到端重新收敛。2、 转发路径的最短传输距离设计:当介入的中继链路角色、数
31、量相同时,选择光缆传输距离较短的转发路径。3、 便于网管操作维护人员观察、分析:网管操作维护人员可以根据Metric值简单判断转发路径的角色和传输距离。Metric设计需要按照上述优先级顺序考虑。2. Metric设计根据上述原则,下表给出了Metric参考值(个别特殊链路的Metric需要在此基础上调整)。类型代表符号参考值核心节点之间A300汇接到核心B2000接入到汇接C3000汇接到汇接E500接入到接入F4000核心节点内部A30汇接节点内部E20接入节点内部F10表1 IS-IS Metric参考值下面根据设计原则进行验证,证明这样的Metric设置是可以实现流量合理分布的。原则计
32、算结论地市间直连链路仅对对等地市间流量疏通有效;F+2*F2*COK省会间直连链路仅对对等省间流量疏通有效;E+2*E2*CE+2*E2*BOK相同城市的核心、汇聚和接入路由器对之间的链路设计为低阻链路,便于在网络不同层面的路由优化。F2*CE2*B2*CA2*A2*B+EOK当不同核心节点直联链路单组中断时,相关流量在相同方向的另一组链路上收敛;A+2*A2*AOK当BR-CR链路单组中断时,相关流量在冗余上行网络汇聚层链路上收敛;E+BE+BOK当BR-BR省间直联链路中断时,相关流量在上行网络汇聚层链路上收敛;2B+A+A2C+FOK当AR-BR链路单组中断时,相关流量在冗余上行网络接入
33、层链路上收敛;F+CF+COK当AR-AR地市间直联链路中断时,相关流量在上行网络汇聚层链路上收敛;2*F+2C+2E2FOK表2 IS-IS Metric参考值验证由于涉及到流量的分担与分布,所以Metric值不是一成不变的,随着业务发展,不可避免地需要调整和优化。2.1.3 路由稳定性设计在中国移动IP专网二期工程中,为了提高路由优化和稳定性,建议部署如下控制策略: 开启IGP链路波动抑制,当链路振荡频率超过指定的阈值后,将该链路从网络中移除,直到其达到一定程度的稳定为止; 开启BGP路由波动抑制,当路由波动频率超过指定的阈值后,将该路由withdraw,直到其达到一定程度的稳定为止。 在
34、IP专网路由器连接其它网络或者用户设备的端口上不运行ISIS,为避免潜在风险(如误打开了ISIS),在上述端口上打开ISIS Hello认证机制,并尽可能采用MD5认证,以避免密码被窃取。 IP专网连接大客户专线CE设备建议采用静态路由方式,如果必须启动动态路由协议,实施一些PE-CE路由控制策略。 Metric设计考虑保证关键业务流量在正常和异常情况下流量按照预知的预留带宽路径转发,尽量保证故障控制在较小的范围之内。2.1.4 路由快速收敛设计华为公司本次推荐的NE系列路由器均支持链路快速检测技术,遵循相关草案标准,支持IGP快速收敛(ISIS支持增量的SPF路由计算),支持LDP快速收敛。
35、在中国移动IP专网二期工程中,建议在全网部署IGP(IS-IS)/LDP快速收敛技术,采用POS接口自动故障检测机制。2.2 网络业务、应用组织MPLS VPN方案2.2.1 网络业务、应用组织方式中国移动IP专网二期工程将采用BGP MPLS VPN作为全网业务、应用的统一组织方式。根据其规划计划实现接入和承载的业务类型,全网可划分为“软交换话音”、“软交换信令”、“数据业务监测”、“7号信令监测”、“软交换汇接网管”等多组MPLS VPN,以实现不同业务的隔离、监控和管理。中国移动IP专用承载网网络业务、应用组织方式如下图所示。图 5 网络业务组织方式2.2.2 MPLS部署方案二期工程全
36、网部署MPLS,AR路由器作为LER(PE设备),CR路由器作为LSR(P设备)。在CR路由器的所有接口,AR-CR接口上开启MPLS,采用LDP作为标签分配协议,它工作在DU(下游自主)标签分配+有序的标签分发+自由的标签保持方式下,可以减少设备维护的标签转发表数目,并可以快速响应路由的变化,建议本期工程采用,本期工程MPLS设计方案示意如下:图 6 MPLS工作方式DU+有序自由2.2.3 MPLS VPN方案建议根据中国移动IP专网二期的要求,中国移动IP专用承载网将采用BGP MPLS VPN作为全网业务、应用的统一组织方式,所有业务通过MPLS VPN承载,二期工程配置的VPN如下图
37、所示。图 7 IP专网二期业务VPN划分IP专网二期工程承载业务主要可以分成两类:一是相对封闭的电信业务,如GSM软交换、3G等,另一类是普通数据业务,如大客户专线、OA系统等,对于承载的非信任业务,MPLS VPN安全隔离能力是非常关键的问题。为了满足后续业务的扩展要求,软交换信令业务和语音媒体业务采用不同的MPLS VPN承载。从理论上说,MPLS VPN采用路由隔离、地址隔离和信息隐藏等手段抗攻击和标记欺骗,达到了FR/ATM级别的安全性;Miercom曾经对MPLS VPN、ATM和FR进行安全比较测试,结论是MPLS VPN的安全性等同于ATM/FR; 在MPLS BGP VPN的R
38、FC里,也指出了MPLS VPN 是一种安全的隔离技术,其安全性等同于ATM/FR。目前没有由于VPN客户对运营商网络的攻击导致网络瘫痪的报告,也没有MPLS VPN内用户被其他VPN用户攻击的报告。IP专网可以通过专用PE接入大客户专线,这些客户对象为国字号大企业、行政机关、部委及全球500强,同时在专用PE上实施严格的安全控制策略,如BGP联盟、策略控制、路由器QOS技术、路由器控制、单元流量限制等技术进一步限制大客户接入带来的安全隐患,可以保证核心网的安全。为了确保中国移动IP专网关键业务的可靠性和安全,对于非信任的大客户专线可以采用专用PE接入,与GSM/3G等电信业务实现差异化就接入
39、。2.2.4 VPN路由方案PE-CE路由协议对于软交换等类型的业务,CE设备路由简单,变化频率很小,建议采用静态路由或者直连路由的方式,在PE上配置到用户站点的静态路由,在CE上配置默认路由指向PE。对于大客户专线或者OA等业务,CE网络路由复杂,并且变化频繁,可考虑采用动态路由的方式,建议优先选择BGP协议,以便于控制用户路由的发布,若用户不熟悉BGP协议或CE不支持BGP,可采用RIP协议。RIP协议部署简单,设备开销小,在路由引入MP-BGP时便于进行控制。在采用动态路由的情况下,要特别防止用户路由的震荡所造成的网络不稳定。方法是采用BGP Damping机制,对频繁变化的路由进行抑制
40、,直到其稳定为止。另外要防止一个用户发布过多路由到PE,从而消耗PE的资源。这通过配置限制每个VRF最大路由数目来实现。MP-BGP方案在BGP-4协议中,为了保证整个网络的连通性,需要一个全网状网络的配置。与IGP的水平分隔规则一样,为了避免路由循环,IBGP-4/MP-BGP必须保证从内部对等体获得的路由信息不会发送到其它内部对等体,这是由于这个原因,所以所有内部连接的IBGP-4/MP-BGP的对等体必须建议全连接的网状网络。采用路由反射器RR,客户设备只与服务器设备建立BGP连接,具有如下的优势: IBGP-4/MP-BGP基于TCP连接,占用一定的网络资源,连接数目越多需要的资源越大
41、,采用RR能够大大减少IBGP-4/MP-BGP的连接数目,节省设备CPU和内存等资源; 在全连接的条件下,每个路由器和其它路由器建立全连接,很多信息会重复发布,降低了网络流量; 将网状网络变为层次化网络,网络的可扩展性更强,添加新的网络节点,无须修改所有对等体的配置信息。中国移动IP专网二期公网初期不和其它网络连接,不需要启动EBGP-4和I-BGP协议,自治域内部路由通过IGP发布,建议初期不需要设置全局RR。未来网络在其进一步演进过程实现与其它公众网络的时,再根据需要设置全局RR。在中国移动IP专网二期工程中,所有业务基于MPLS VPN承载,私网路由通过MP-BGP发布,随着业务大规模
42、发展,PE路由器必定会越来越多,为了解决网络中MP-IBGP的扩展性,建议采用VPN路由反射器(VPN RR)。单独设置RR路由反射器能够减轻核心CR节点的压力,提高网络的稳定性和可扩展性,也是一种转发与控制分离的实现机制,是目前大型网络的主流应用模式。建议IP专网全网设置独立VPN RR设备,分别在北京、上海和广州三地各设置一对RR路由器,RR路由器直接连接到该地大区核心节点,RR设备采用NE40路由器。根据中国移动IP专网二期工程的MP-BGP规模,将VRR分成三个Cluster,每个Cluster管理的PE数目大概在25台左右(按照35个接入节点,70台PE路由器设备),6台VPN RR
43、之间建立全连接的MP-BGP连接,对于VRR路由器的MP-BGP数目要求大概30左右,采用华为公司NE40路由器完全能够满足要求,NE40路由器能够支持300个以上MP-BGP连接,NE40配置GE接口连接到CR路由器。Cluster划分关系建议如下: 北京RR辽宁、天津、黑龙江、内蒙古、吉林、北京、河北、山西、宁夏、西藏、陕西、甘肃、青海、新疆; 上海RR山东、江苏、浙江、上海、福建、安徽、河南; 广州RR广西、云南、广东、海南、贵州、湖南、江西、四川、重庆、湖北;随着PE设备的增加和VPN业务的增长,将来可以考虑在每个大区核心设置一对VPN RR路由反射器。跨域MPLS VPNIP专网二期
44、工程不与其它网络建立连接,不存在跨域MPLS VPN。但是在后续IP地址规划中,已经规划了承载网设备Loopback采用公网IP地址方式,前面的自治域规划中,已经规划了公有自治域号,而且NE系列路由器支持三种MPLS VPN跨域方式。因此IP专网二期工程后,已经具有与其它网络互连的能力,将来根据业务的发展情况启动跨域MPLS VPN。2.3 网络服务质量保证机制(QoS)2.3.1 NE系列路由器QoS实现机制NE系列路由器能够全面提供对DiffServ解决方案的支持:完全兼容IETF DiffServ解决方案的相关标准,包括RFC2474、RFC2475、RFC2497、RFC2498;支持
45、以IP Precedence或DSCP作为QoS带内信令,可灵活配置;支持DiffServ相关的功能组件,包括流量调节器(包括分类器、标记器、测量单元、整形器和丢弃器等)和各类PHB(拥塞管理、拥塞避免等)。本期工程采用的NE系列路由器的QoS具有以下特性: 流量的分类和标记 拥塞管理 拥塞避免 流量监管和流量整形在IP网络上,为了对不同业务提供不同服务,主要利用IP报文头部的TOS域来进行标记。各路由器根据TOS域决定报文的转发行为,包括资源的分配、队列调度、拥塞的控制以及链路层选择等方面,如下图所示。图 8 MPLS对IP QoS的支持引入MPLS后,首先必须对现有的IP QoS进行支持。
46、为了支持IP QoS,DSCP编码时考虑了与EXP域的兼容。这样,可以简单地在MPLS域入口处将IP的TOS域映射到MPLS报文头部的EXP域,当然也可以根据适当策略重新标记。下面给出了一个DSCP与EXP映射的例子。服务类型DSCP域EXP域保留给控制平面111000(CS7)7保留给控制平面110000(CS6)6服务类型1(实时服务)101110(EF)5服务类型2符合SLS011010(AF31)4不符合SLS011100(AF32)011110(AF33)3服务类型3符合SLS001010(AF11)2不符合SLS001100(AF12)001110(AF13)1服务类型4(尽力而为)0(缺省)0表3 DSCP与EXP映射示例在MPLS Diff-Serv域中,标记打在MPLS的EXP中,IP的TOS域可以不被修改。这样,用户可以在自己的网络使用自己的QoS,在MPLS网络上使用服务商提
