《中国移动IP专用承载网技术建议书v4.doc》由会员分享,可在线阅读,更多相关《中国移动IP专用承载网技术建议书v4.doc(79页珍藏版)》请在三一办公上搜索。
1、附件三:中国移动IP专用承载网技术建议书 华为技术有限公司2008.6目录1建议方案总体描述41.1网络业务定位41.2网络建设目标及原则41.3网络拓扑结构51.4网络节点结构71.5设备配置92网络系统配置及解决方案112.1网络业务组织方案112.2系统接入解决方案172.2.1软交换局域网接入172.2.2软交换业务接入可靠性设计202.2.3VPN业务接入222.2.4业务接入QoS232.3网络互联要求及路由组织232.3.1IP路由方案242.3.2VPN路由方案252.4IP地址规划262.5负载均衡和流量管理解决方案312.5.1网络平面负载分担312.5.2链路负载分担32
2、2.5.3流量管理322.6MPLS部署方案332.7MPLS VPN部署方案352.7.1华为MPLS VPN方案介绍352.7.2本期工程MPLS VPN方案建议402.8高可靠性及IP QoS解决方案412.8.1QoS标准选择412.8.2设备QoS实现机制442.8.3本期工程QoS实施方法542.8.4QOS的配置和管理562.8.5IP快速重路由573网管系统建设方案583.1iManager N2000 DMS网管系统583.1.1拓扑管理603.1.2故障管理613.1.3性能管理613.1.4安全管理623.1.5集群管理633.1.6配置管理643.1.7北向接口643.
3、1.8资源管理643.1.9系统容量653.1.10Web访问653.2NSC&NDA网络流采集分析工具663.3MPLS VPN的业务管理683.3.1客户管理693.3.2业务处理703.3.3业务保证703.3.4CNM特性713.3.5二层、三层VPN管理723.3.6全网资源管理723.3.7系统容量723.4本期工程建设内容723.4.1网管服务器723.4.2带内/带外网管组织方式743.4.3网管流量估算754网络、用户及应用系统安全解决方案764.1概述764.2网络安全策略774.3网络各层安全性考虑784.4一般性网络安全措施794.5IP专网安全策略791 建议方案总体
4、描述根据“中国移动IP专用承载网一期工程工程规范书”的要求,IP专网的总体方案建议如下:1.1 网络业务定位IP专网是中国移动下一代能够同时支持语音、视频、数据、企业互联等多种业务的核心承载平台。IP专网以创建中国移动的品牌形象,形成可赢利的运营模式,提升中国移动的企业竞争力和赢利能力为主要目的。当前IP专网主要作为中国移动GSM省间长途话路中继,随后可作为中国移动3G/NGN的中继电路,同时为高端集团用户提供MPLS VPN业务。1.2 网络建设目标及原则考虑到IP专网国家骨干网的地位及承载业务的重要性,为确保其所承载软交换类业务及大客户VPN业务安全可靠地运行,华为建议本期工程的IP专网应
5、具备如下特点:l 具备强大的处理能力、业务能力及平滑演进能力:IP专网必须具备承载高QoS业务所需的性能、各种特性及业务能力(如MPLS VPN、QoS、安全特性、ACL等),同时应具备强大的业务演进及扩展能力,对于新特性、新业务的提供(如IPv6),可通过软件升级的方式提供,最大限度地保护现网投资,满足可持续发展的要求。l 严格保证增值类业务(VPN、VoIP及视讯等)的QoS:IP专网端到端单向时延小于50ms、端到端时延抖动小于10ms、丢包率为小于1%,能够为所承载的各类电信业务(包括媒体流及信令流等)按需提供QoS保证(EF、AF)。l 严格保证数据平面的安全性:保证业务在IP专网中
6、传送时的可靠性、完整性和保密性。l 严格达到PSTN网99.999%的可靠性要求:承载层设备本身必须达到99.999%可靠性要求。l 可运营、可管理:IP专网必须具有完善的故障定位、故障排查等功能,为网络日常维护管理、网络优化提供依据;同时应提供VPN策略部署工具,简化管理、降低维护成本。为达到上述目标要求,在网络设计构建中,应始终坚持以下建网原则:l 高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中应选用已规模商用的高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。l 标准开放性支持国际上通用标准的网络协
7、议(如TCP/IP)、国际标准的大型的动态路由协议(如BGP、ISIS)等开放协议,有利于以保证与其它网络之间的平滑连接互通,以及将来网络的扩展。l QoS对于所承载的每种业务,要能够按需提供QoS;对于VoIP等实时业务,要能够提供类似于传统PSTN网络的服务质量,这样才能作为电信级业务的IP骨干网络。l 安全性通过设备机制及组网方案提高网络整体的安全性,对于所承载的电信级业务,要能提供类似于传统专线一样的安全性。l 灵活性及可扩展性根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。l 可管理性对网络实行集中监测、分权管理。选用先进的网络管理平台,
8、具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。1.3 网络拓扑结构建议中国移动IP专用承载网采用两层的拓扑结构。其中:在北京、上海、广州、武汉、南京、沈阳、西安、成都8个节点设置汇接节点,配置2台汇接路由器(CR),构成网络的汇接层;在所有省会节点设置接入节点,每个接入节点分别配置1台接入路由器(AR),构成网络的接入层;其中,8个汇接接点所在的地区也设置接入接点,由于软交换机系统分局址部署,配置2台接入路由器。在汇接节点之间按双平面组织,两个转发平面分别设置全网状中继链路,所有接入节点均通过2条中继链路就近上联到本大区汇接节点的2台汇接路由器;每个转发平面均按可以承担全部业务
9、量设计,以保证业务的可靠性和服务质量。上述网络层次及逻辑结构如下图所示。SH1XA1XA2BJ1BJ2WH1SY2NJ1NJ2SH2GZ2GZ1CD1CD2WH2A转发平面B转发平面CR1AR图 1 网络层次及逻辑结构示意图在上述网络层次及逻辑结构下,其IP承载网络拓扑结构如下图所示。图 2 网络拓扑结构示意图1.4 网络节点结构中国移动IP专用承载网汇接节点设置在北京、上海、广州、沈阳、南京、武汉、成都和西安8个城市,实现本省及所属各省业务的汇聚、转接功能。汇接节点由2台通过GE链路互联的汇接路由器设备(CR)构成;2台汇接路由器分别被置于汇接层网络的两个转发平面中,通过全网状中继链路实现与
10、同平面其它汇接节点的汇接路由器互联,并通过星型组网实现与所属接入节点路由器的互联。汇接节点结构如下图所示。SH2WH2A转发平面B转发平面SH1XA1XA2BJ1BJ2WH1SY2NJ1NJ2GZ2GZ1CD1CD2接入节点接入节点汇接节点图 3 汇接节点结构中国移动IP专用承载网接入节点设置在各省会、直辖市共31个城市。根据“软交换汇接网”一对软交换机系统分局址部署的要求,在北京、上海、广州、武汉、南京、沈阳、西安、成都8个城市需设置2个接入节点,同时考虑到全国网管中心系统的接入需求,全网共设置40个接入节点。接入节点负责实现本省“软交换汇接网”及“高端集团用户增值应用”(MPLS VPN)
11、业务的接入功能。接入节点由1台接入路由器设备(AR)构成,通过多条POS STM-1、POS STM-16或GE中继链路分别接入到所属汇接节点的2台汇接路由器,进而实现对两个转发平面的接入。各节点接入路由器根据业务流量预测通过GE和FE接口实现软交换系统的接入,并通过E1接口实现本地高端集团用户增值应用(MPLS VPN)业务的接入。接入节点结构如下图所示。A转发平面B转发平面接入节点TMG大客户SoftSwitchSH1XA1XA2BJ1BJ2WH1SY2NJ1NJ2GZ2GZ1CD1CD2图 4 接入节点结构全国网管中心配置一台NE08,作为接入路由器,连接iManager N2000 D
12、MS、VPN Manager等网管设备。1.5 设备配置针对本期IP专网的技术要求、网络位置和容量、业务发展以及华为公司数通产品特点,建议采用华为NE80/40核心路由器。其中,汇接设备均采用NE80,接入设备均采用NE40-8。在全国网管中心配置一台NE08高端路由器、一台S3526E交换机、一套N2000 DMS标准组件网管服务器、一套NSC&NDA网管服务器和一套VPN Manager网管服务器。NE80/40采用第五代路由器的体系结构,具有良好的扩展性,充分继承了第四代全分布式硬件处理的架构,有机地结合了软件的灵活性和硬件的高性能,即提供线速转发性能,又具备快速良好的业务升级和扩展能力
13、。基于NP的第五代路由器架构优于基于ASIC(或者FPGA)的第四代路由器,具有良好的扩展能力:一方面,在功能的开发周期上,第五代基于NP架构的路由器要大大短于第四代基于ASIC的路由器,一般的硬件ASIC固定开发周期(18个月24个月),而采用NP架构可以在非常短的时间内提供新功能,例如NE80的NAT业务板既是基于NP在短短1个月内实现,NE80的GRE功能在一周内实现,NE80的MPLS VPN中多角色特性也是在1周内提供。这个特性不仅为设备制造商提供了快速提高产品功能的可能,更重要的使运营商可以迅速提供丰富的各种业务,在激烈的市场环境下,提高核心竞争力。另外一方面,一个基于ASIC实现
14、的路由器,每提供一个重要功能就需要增加一种新的硬件单板,而以前的硬件板件投资根本无法得到保护, 而基于NP实现的路由器,只需要更新软件即可提供重要的业务功能,最终用户无须更换硬件板卡,从而使用户投资得到了最大的保护。因此第五代路由器加速IP网络向宽带化、安全化、业务化、智能化方向发展,是路由器发展的主流方向。设备配置情况如下,详细情况见合同附件一。NE80NE40NE08E3526E网管系统(DMS+NSC&NDA+VPN Manager)备板备件(套)网管中心113(5服务器)1北京22天津1石家庄1太原1呼和浩特1沈阳22长春1哈尔滨1上海22南昌1杭州1福州1南京22合肥1济南1武汉22
15、长沙1郑州1广州22南宁1海口1成都22重庆1贵阳1昆明1拉萨1西安22兰州1西宁1银川1乌鲁木齐1合计16391111表1 设备配置概要情况2 网络系统配置及解决方案2.1 网络业务组织方案基于第一章所描述的网络拓扑结构的设计,同时考虑到其近期业务发展需求,中国移动IP专用承载网在网络业务组织方案上存在以下两种模式可供选择:对称的业务组织模式(模式1)汇接层网络两个平面均面向同时承载“软交换汇接网”和“高端集团用户网络应用”业务的需求设计,可以通过IGP等价路由在两平面之间实现基于Perflow方式的负荷分担模式,也可通过Metric值的设置,采用IGP收敛和快速重路由技术实现主备转发模式。
16、在全网实施MPLS转发技术,并通过接入路由器架构MPLS VPN组,构成“软交换汇接网”、“中国移动企业信息化”、“用户A VPN”、“用户B VPN”等多个“业务网络”和“用户网络”,并提供基于VPN的监控和管理功能。两平面配置相同的MPLS Diffserv调度和丢弃策略。模式1网络业务组织方案如下图所示。图 5 对称的业务组织模式示意图非对称的业务组织模式(模式2)汇接层网络两个平面分别面向不同的业务承载需求设计,其中:平面A主要承担“软交换汇接网”业务,平面B主要承担“高端集团用户网络应用”业务,平面B同时具备对平面A进行备份的容量和能力。MPLS技术以“Ship in Night”方
17、式在网络中运行,网络同时支持传统的IP转发方式,“高端集团用户网络应用”业务通过MPLS VPN方式实现转发,“软交换汇接网”业务通过传统IP方式实现转发。通过IGP Metric的设计,MPLS VPN Tunnel LSP全部架构在平面B上;通过在接入路由器上实施“弱策略路由”技术,“软交换汇接网”业务首选平面A作为其承载平面,当平面A出现故障时,通过“快速重路由”和IGP的收敛,“软交换汇接网”业务可以完成向平面B的倒换。对“企业信息化”、“用户A VPN”、“用户B VPN”等多个“用户网络”可以提供基于VPN的监控和管理功能。由于平面A在一般情况下仅承载“软交换汇接网”业务,因而可以
18、在两平面配置相同的Diffserv策略,也可以仅在平面B配置相应的Diffserv策略。模式2网络业务组织方案如下图所示。图 6 非对称业务组织模式示意图从技术角度分析,模式1与模式2完全可行。下面分别从几个方面进行比较:l 网络的转发性能和利用率;在对称模式中,两个平面负载分担,如果不考虑可靠性问题,每个平面可以按照全业务量的50%来设计,但考虑到链路故障(尤其是接入路由器到汇接路由器的链路故障)后,单个平面可能需要承载全部业务量,每个平面均应该按照全业务量设计。在非对称模式下,两个平面互为主备,因此每个平面都以软交换类业务的全业务量来设计。考虑到故障保护,B平面还需按照VPN业务量的200
19、%来增加设计容量。从上面的分析可知,两种模式对网络容量的要求是相同的,因此整网资源利用率相同。本次工程采用的设备均能在各种情况下线速转发,即使在非对称模式下,按照设计容量,VoIP高峰流量可占A平面带宽的80%,设备仍能线速转发并达到VoIP的QoS要求。因此整网的转发性能也是相同的。l 网络QoS保证;在对称模式中,两个平面均采用MPLS DiffServ的方式保证QoS,为进一步提高可靠性,需要实施MPLS FRR技术,进行链路和节点保护。在非对称模式中,A平面无需采用特殊的QoS保护机制,为提高可靠性,采用IP FRR技术,由于其分布式实施的特点,可以同时进行链路和节点保护。B平面采用M
20、PLS DiffServ + FRR的方式保证QoS。MPLS FRR需要设备开通RSVP-TE,并且每个FRR LSP均需要手工指定,并需要仔细设计,以免FRR LSP经过拥挤的、不可靠的链路和节点。配置维护工作量和设备开销较大。对比两个模式,在提供同样QoS保证的情况下,非对称方式的A平面QoS实现简单,配置维护工作量和设备开销较小,B平面同对称方式相同,因此非对称方式优于对称方式。l 网络系统的安全性;软交换业务同VPN业务相比,前者对安全性要求更高,由于IP专网仅作为TMG之间的互联网络,因此软交换业务本身的安全性也更高。也就是说,IP专网的主要不安全因素来自VPN业务。在对称模式中,
21、两个平面均承载两种业务,因此无法避免VPN业务带来的不安全因素,如来自VPN内部的针对网络设备(尤其是接入设备)的DoS攻击,或由于网络病毒造成的网络拥塞。而在非对称模式中,软交换业务的主用平面屏蔽了来自VPN业务的安全影响,仅仅在A平面故障时,业务切换到B平面,才可能在短时间内受到影响,而且概率很小。因此非对称模式大大提高了业务的安全性。l 网络的可管理性;对称模式下,两个平面的配置完全相同,可采用同样的脚本。但两类业务的任何一种进行调整,都要影响两个平面。非对称模式下,表面上看,两个平面采用不同的配置,但B平面中针对软交换业务的配置其实是A平面的镜像,而VPN业务的配置仅针对B平面。因此,
22、维护管理的负担并没有增加。由于软交换业务相对稳定,而VPN业务由于不断发展用户,会频繁变动,从而可能产生一些配置错误,据统计,网络中25%以上的故障是由于人为因素造成的。非对称模式可以避免这种情况对关键的软交换业务的影响。可见,非对称模式的可管理性强于对称模式。l 对网络的规划和扩展的影响等;下面分别对网络流量、网络规模和网络业务类型扩展时的影响进行分析:n 网络流量扩展在网络发展的初期,由于大客户较少,流量较小。网络扩展的动力主要来在软交换话务量的增加,这时,无论采用哪种模式,都需要进行网络扩容。当网络发展到一定程度,大客户增加,流量增长,由于数据业务占用带宽远大于话音,而且增长迅速,网络扩
23、展的动力主要来自VPN用户、站点和流量的增加,这时,采用非对称模式,仅需要对B平面进行扩容,A平面保持相对稳定,并且,在扩容过程中,对关键的软交换业务没有影响。显然,非对称模式的可扩展性更好。n 网络规模扩展当网络规模扩展时,有两种方式:SH1GZ1XA1CD1WH1NJ1BJ2SH2GZ2XA2CD2WH2SY2NJ2BJ1SY1原网络新AR,NGN接入UPE,VPN接入升级为2级汇接设备1 演进方式。在这种方式下,当某城市需要建设新的TMG局点或发展VPN用户时,在当地分别配置TMG的AR设备或VPN的UPE设备。同时,相应的省AR设备升级为2级汇接设备。如下图所示:图 7 网络规模扩展方
24、式1演进方式新的AR和UPE可单归接入到2级汇接设备,也可增加一台2级汇接设备,实现新增AR和UPE的双归接入,以提高接入的可靠性。如上图中虚线所示。这种扩展方式,可根据业务的发展,逐步的向下延伸,从而实现边发展,边建设的良性循环,实现网络的平滑扩容。可以在网络大规模扩容前作为一种临时的手段。若采用对称模式,2级汇接设备(原AR)进行Per-Flow的负载分担,无需修改配置。若采用非对称模式,由于VoIP的接入和VPN接入设备分离,通过不同物理接口连接到2级汇接设备(原AR)上,这台设备仍然配置策略路由,将VoIP接入端口的流量引导到A平面。策略路由实施的位置没有改变,策略简单可行,每增加一个
25、TMG局点,新增加一条策略路由即可。2 扩大方式。这种方式,一次性将汇接网络扩大到省会城市,在大中城市建设新的AR节点。汇接网仍然保持双平面设计,AR设备连接到两个平面。无论采用对称或非对称组织模式,业务分流的方法都与本期建设相同,不再赘述。汇接网新ARSH1GZ1XA1CD1WH1NJ1BJ2SH2GZ2XA2CD2WH2SY2NJ2BJ1SY1图 8 网络规模扩展方式2扩大方式n 网络业务类型扩展当承载网络增加新的业务类型时,根据其QoS、可靠性要求等特点,需要通过特定的网络平面承载。采用对称模式时,AR无需作新的配置;采用非对称模式时,若新业务通过A平面承载,需要新增策略路由,简单易行,
26、若通过B平面承载,不需要做特殊配置。可见,当网络流量扩展时,非对称模式优于对称模式。当网络规模扩展和网络业务类型扩展时,对称模式优于非对称模式,非对称模式需增加一些策略路由项,但仅限于一个节点,实施简单可行。综上所述,采用非对称模式,能够减少软交换业务与集团用户VPN业务之间的相互影响,提高管理效率及可靠性,保证核心业务的安全性,并简化了QoS实现,因此,华为公司推荐采用这种模式进行网络规划和建设。以下“系统接入解决方案”、“网络互联要求及路由组织”、“IP地址规划”、“负载均衡和流量管理解决方案”、“MPLS部署方案”、“MPLS VPN部署方案”、“高可靠性及IP QoS解决方案”等,均按
27、照非对称模式进行描述。2.2 系统接入解决方案2.2.1 软交换局域网接入软交换业务需要接入TMG(UMG8900)、SoftSwitch(MSOFTX3000)和网管服务器/终端等设备。一般来说,TMG的媒体流通过GE直接连接到接入路由器上,根据话务量,可能需要多个GE捆绑。TMG的主备GE口倒换通过TMG和路由器的配合实现。SoftSwtich以及TMG的控制/信令流需要同接入路由器可靠连接,因此,采用了2个FE双归连接到2个交换机,互为主备,然后分别连接到接入路由器的方式。TMG、SoftSwitch网管信息从其带外网管接口引出,通过专用的S2016B交换机及R2631路由器E1接口接入
28、到接入路由器,通过MPLS VPN方式实现与全国网管中心系统的应用互联,通过“网管网”实现与全国网管中心的备份互联。根据配置数据,软交换局点局域网设备配置分为四类:(1)非大区中心TMG局(2)各大区中心TMG/SoftSwitch合一局(3)各大区中心SoftSwitch局(4)全国网管中心非大区中心TMG局非大区中心TMG局点天津、石家庄、太原、呼和浩特、长春、哈尔滨、杭州、福州、南昌、济南、合肥、郑州、长沙、南宁、海口、重庆、贵阳、昆明、拉萨、兰州、西宁、银川、乌鲁木齐的局域网网络组织结构见下图:图 9 非大区中心TMG局局域网各大区中心TMG/SoftSwitch合一局各大区中心TMG
29、/SoftSwitch合一局北京1、沈阳1、上海1、南京1、武汉1、广州1、广州2、成都1、西安1的局域网网络组织结构见下图:图 10 各大区中心TMG/SoftSwitch合一局局域网各大区中心SoftSwitch局各大中心区SoftSwitch局北京2、沈阳2、上海2、南京2、武汉2、成都2、西安2的局域网网络组织结构见下图: 图 11 各大区中心SoftSwitch局局域网全国网管中心全国网管中心局点的局域网网络组织结构见下图:图 12 全国软交换网管中心局域网2.2.2 软交换业务接入可靠性设计本期工程单AR情况单AR情况下的局点IP配置方案如下图:UMG8900MSOFTX3000S
30、3526E(1)S3526E(2)路由器VLAN1VLAN1VLAN Trunk(1)VLAN2 VLAN3UMG8900 语音数据流控制/信令流UMG8900/MSOFTX3000 控制/信令流NE40 网口1 网口2图 13 单AR接入方式可靠性设计如图所示,UMG8900和MSOFTX3000的控制流和信令流按照主备接口的方式分别连接到两个S3526E上,S3526E启动3层转发功能,同时在主备网口之间启动VRRP,实现网口和设备备份,UMG8900和MSOFTX3000的缺省网关指向S3526E。需要在S3526E上启用OSPF动态路由协议,防止到AR之间的链路故障。UMG8900的媒
31、体流通过多对GE接口连接到NE40路由器上,每一对接口有一个主用接口,一个备用接口。NE40上的这两个GE接口配置在同一个VLAN中。当UMG8900检测到其中一个接口故障时,切换到备用GE口,并发ARP报文给NE40,NE40获得到达UMG8900的新的MAC地址,完成切换。NE40多个GE接口捆绑为一个Trunk接口,UMG8900和NE40设备都开启Per-Flow的负载分担功能,将不同的媒体流导入不同的GE接口,从而实现负载分担,提高可靠性。未来采用双AR情况下的局点IP配置建议双AR情况下的局点IP配置方案如下图:GEUMG8900MSOFTX3000S3526E(1)S3526E(
32、2)UMG8900 语音数据流控制/信令流UMG8900/MSOFTX3000 控制/信令流NE40(1)NE40(2)图 14 双AR接入方式可靠性设计如图所示,UMG8900 和MSoftx3000 的控制流和信令流按照主备接口的方式分别连接到两个S3526E上,S3526E上只启动二层功能,不用配置VLAN IP。两个NE40路由器之间启用VRRP实现到S3526E两个接口的备份和设备备份, UMG8900和MSoftx3000将缺省网关指向NE40路由器。两个NE40之间启动OSPF动态路由协议,可以很方便地进行实现和UMG8900之间的网口倒换。为便于NE40间运行VRRP,应在NE
33、40间增加直连的GE接口。UGM8900的媒体流通过多对GE接口连接到NE40,其中每一对GE的主用口连接到NE40(1),备用接口连接到NE40(2),这两个GE接口间启动VRRP,保证可靠性。2.2.3 VPN业务接入IP专网面向高端VPN客户,它们通过各种专线的方式接入到PE路由器(NE40)。如果用户所在地有接入路由器,建议采用FE/GE光纤的方式接入用户,若用户所在地远离接入路由器,初期可采用E1/PoS等方式接入用户,若当地用户较多,可考虑通过HoPE(分层PE)的方式,向下延伸,提供就近接入的手段。PE-CE路由协议若用户站点路由简单,或变化频率很小,建议采用静态路由的方式。在P
34、E上,配置到用户站点的静态路由,在CE上,配置默认路由指向PE。若用户站点路由复杂,并且变化频繁,可考虑采用动态路由的方式。建议优先选择BGP协议,以便于控制用户路由的发布。若用户不熟悉BGP协议或CE不支持BGP,可采用RIP协议。RIP协议部署简单,设备开销小,在路由引入MP-BGP时便于进行控制。在采用动态路由的情况下,要特别防止用户路由的震荡所造成的网络不稳定。方法是采用BGP Damping机制,对频繁变化的路由进行抑制,直到其稳定为止。另外要防止一个用户发布过多路由到PE,从而消耗PE的资源。这通过配置VRF最大路由来实现。2.2.4 业务接入QoS由于不同业务(VoIP媒体流、信
35、令流、VPN)均通过专用的物理接口连接到AR,QoS优先级区分实现非常简单,在业务的入接口上设置相应的优先级即可。接入网上不需要实施特别的QoS策略。其中,VoIP媒体流/信令流一个优先级,网管流一个优先级,VPN流量一个优先级。对优先级的详细描述见2.8节。特别需要注意的是,一般情况下,大客户VPN接入端口总容量大于AR-CR间的接口容量,为防止个别VPN突发流量大,而造成其它VPN服务质量下降,应对单个VPN站点的流量进行限制。原则是VPN接入端口容量同AR-CR接口中为VPN预留的总带宽基本相当。为了充分利用网络带宽,在进行流量监管时,超过门限的流量不直接丢弃,而是降低为最低优先级,进行
36、尽力而为的转发。2.3 网络互联要求及路由组织按照2.1节的设计,软交换业务采用IP承载,A、B平面互为主备。VPN业务采用MPLS承载,通过B平面承载。下面分别说明IP路由方案和VPN路由方案。其中,IP路由方案用于A、B平面,而VPN路由方案仅用于B平面。2.3.1 IP路由方案路由协议本期工程路由接点数目较少,而且AR-CR间采用了双归连接,为保证路由最佳并便于实施流量调度,采用单一路由域,不进行分层。IGP协议采用IS-IS。IS-IS路由协议开销较OSPF小,便于支持更大规模的网络。并且CMNet已采用IS-IS,便于维护管理经验的共享。由于IP专网没有同Internet的连接,不需
37、要运行BGP。为了保持软交换局点间的连通性,并及时响应软交换局点内的路由变化,需要将其路由引入骨干路由域。软交换局点内交换机和AR的接入接口上运行OSPF协议。因此在AR上需要将OSPF路由引入IS-IS。为增强路由协议的安全性,可以采用IS-IS MD5认证,它对设备的开销影响不大。本期工程建议开启这一特性。Metric设计Metric设计遵循如下原则:l 对于A平面,AR-CR间故障时,利用平面间的备份;l 对于A平面,CR-CR间故障时,利用平面间的备份,在IGP收敛过程中不影响本平面内的其它业务;l 对于B平面,CR-CR间故障时,利用平面内的链路备份;l AR-AR间的最短路径走B平
38、面,目的是让LDP建立的LSP承载VPN流量;l 为引导软交换IP流量走A平面,AR上需要实施策略路由。具体设计如下图所示:10010010008001000800250250250CR1与CR2之间的链路800AR与CR2之间的链路1000AR与CR1之间的链路100CR2之间的链路100CR1之间的链路参考值Metric类型CR1XCR2XCR2YCR1YAR-XAR-Y图 15 IS-IS Metric设计以上Metric不是按照链路的实际带宽来设定,而是按照链路的角色来设定,为达到如下效果:CR1X-CR1Y的流量,只会走CR1X-CR1Y的直连链路;在链路或节点出现故障的时候,流量在
39、平面间疏导,不会对同平面其它业务造成影响。2.3.2 VPN路由方案VPN路由通过PE-CE路由协议传递到AR,并通过MP-IBGP传播到其它AR。PE-CE路由协议前文已有叙述。采用MP-IBGP要克服N平方连接,采用路由反射器技术。将CR作为路由反射器,其直接连接的AR作为客户端。如下图所示:FullMesh-IBGPFullMesh-IBGPCR2CR1ARAR8组 Router Reflector ClusterRouter Reflector(备)Router Reflector(主)图 16 VPN路由设计这样,形成8个簇,每个簇内有两个路由反射器,互为主备,其中CR2作为主用。A
40、R IBGP双归连接到CR1和CR2,提高可靠性。CR1虽然在A平面内,并存储了VPN路由,但并不参与MPLS VPN的转发。目前暂不考虑同省网、城域网通过跨AS的方式进行VPN互通。若需要接入这些地区的VPN用户,IP专网可以通过向下延伸的方式进行接入。对路由协议没有特殊的要求在今后同其它运营商进行互通时,可采用Option B,即EBGP直连的方式。这种方式可以高效的传递VPN路由,并可以对VPN流量进行控制。2.4 IP地址规划地址规划遵循如下原则:1、Loopback地址(包括交换机的管理地址)Loopback地址目前预计使用133个地址,考虑到预留,建议给31个省市各分配32个连续的
41、地址做为Loopback地址(掩码32位),这样就需要:31*324个C地址建议地址段为:172.16.0.0172.16.3.2552、设备互连地址设备互连地址包括:NE40和NE80互连地址NE40和S3526E之间互连地址大区之间NE80互连地址之和,目前预计使用互连地址:312468322241036个地址,考虑到预留,建议给每个省分配128个连续的互连地址(掩码30位),这样就需要:31*128=16个C地址建议地址段为:172.16.4.0172.16.19.2553、业务网段地址业务网段地址主要包括:业务承载面地址数业务信令面地址数,考虑到QOS部署,将这两种业务层面地址段划分开
42、目前业务承载面预计使用地址数为620个地址,考虑到为以后扩容做预留,建议给每个省分配64个连续的IP地址(掩码30位),这样就需要31*648个C地址建议地址段:10.0.0.010.0.7.255目前业务信令面预计使用地址数位1248个地址,考虑到为以后的扩容做预留,建议给每个省分配128个连续的IP地址,这样就需要31*128=16个C地址建议地址段为:10.0.16.010.0.31.2554、网管网段地址网管网段主要是网管设备的地址,目前预计使用地址数为1248个地址,考虑其变化相对较小,建议给每个省分配64个IP地址,这样就需要31*648个C地址建议地址段:10.1.0.010.1
43、.7.2555、PE-CE端口网段大客户都为VPN用户,其具有独立性,不需考虑与其他VPN的地址重叠,但建议在地址段足够多的情况下为PE-CE间链路分配全网采用唯一地址,以便于在故障排查等情况下方便的访问PE-CE端口。建议地址段:10.254.0.010.254.255.255另外一种方式是PE-CE端口的网段从VPN自身的地址空间中分配,但这种方式下PE-CE端口地址没有规律,不便于管理,并可能受VPN自身地址规划调整的影响。各节点IP地址分配如下:序号地点Loopback地址数互联地址数(NE40和NE80互联)互联地址数(NE40和S3526E互联)业务承载面地址数业务信令面地址数维护IP地址数总需求IP地址数北京大区1北京84*43*4*25*432*232*21962天津32*43*45*432321073石家庄32*43*45*432321074太原32*43*45*432321075呼和浩特32*43*45*43232107沈阳大区6沈阳84*43*4*25*432*232*21967长春32*43*45*432321078哈尔滨32*43*45*43232107上海大区9上海84*43*4*25*432*232*219610杭州32*43*45*432321
