IP城域網(wǎng)設(shè)計(jì)北京阿法迪信息技術(shù)研究中心2010年10月（一）IP城域網(wǎng)組網(wǎng)演進(jìn)分析（二）IP城域網(wǎng)應(yīng)用需求（三）IP城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)（四）IP城域網(wǎng)關(guān)鍵技術(shù)（五）IP城域網(wǎng)的安全策略（六）IP城域網(wǎng)接入方式（七）IP城域網(wǎng)應(yīng)用案例解析IP城域網(wǎng)設(shè)計(jì)1、IP城域網(wǎng)回顧2、IP城域網(wǎng)面臨的挑戰(zhàn)IP城域網(wǎng)組網(wǎng)演進(jìn)分析IP城域網(wǎng)回顧網(wǎng)絡(luò)IP流量增長的構(gòu)成2012年全球流量平均增長7倍，國內(nèi)主流寬帶運(yùn)營商流量預(yù)期增長10~20倍。視頻流量（IPTV、VoD、互聯(lián)網(wǎng)視頻）是驅(qū)動(dòng)網(wǎng)絡(luò)快速升級擴(kuò)容的主要因素，其中IPTV流量增長13倍（復(fù)合增長率70％）。流量與收入之間存在錯(cuò)位，網(wǎng)絡(luò)發(fā)展需要把握好二者之間的平衡。IP業(yè)務(wù)收入的構(gòu)成IP城域網(wǎng)回顧新業(yè)務(wù)發(fā)展自營IPTV業(yè)務(wù)(高清視頻)高帶寬高質(zhì)量高體驗(yàn)移動(dòng)寬帶業(yè)務(wù)高帶寬高質(zhì)量IP化政企大客戶全業(yè)務(wù)高質(zhì)量協(xié)同辦公問題：如何構(gòu)建一個(gè)滿足有線、無線統(tǒng)一承載的高帶寬、高質(zhì)量和可控的網(wǎng)絡(luò)？xDSLDSLAMOLTPONLSWLSWBRASSRRCR163骨干網(wǎng)家庭寬帶接入骨干網(wǎng)城域網(wǎng)（本地網(wǎng)）MSTP接入環(huán)MSTP匯聚環(huán)WDMMSTP骨干環(huán)CN2骨干網(wǎng)AGWNGN語音接入政企專線接入低帶寬、高SLA質(zhì)量的網(wǎng)絡(luò)高帶寬、普通SLA質(zhì)量的網(wǎng)絡(luò)現(xiàn)有業(yè)務(wù)NGN業(yè)務(wù)企業(yè)專線2G3G語音家庭寬帶Internet視頻WiFi2G/3G語音接入IP城域網(wǎng)面臨的挑戰(zhàn)寬帶用戶的加速度逐漸放緩，ARPU值在下降。普通寬帶上網(wǎng)業(yè)務(wù)占據(jù)了絕大部分的城域網(wǎng)帶寬，由于P2P的緣故，單位帶寬的收益在下降，同時(shí)P2P還給城域網(wǎng)帶來了沉重的擴(kuò)容壓力寬帶業(yè)務(wù)缺乏差異化（缺少內(nèi)容，無法形成TriplePlay是主因），三網(wǎng)融合后，隨著廣電的全面進(jìn)入，寬帶接入將成為紅海業(yè)務(wù)，面臨非常激烈的競爭。傳工信部選定的三網(wǎng)融合試點(diǎn)城市：上海、南京、杭州、深圳、哈爾濱、重慶、武漢、長沙、沈陽、忻州。廣電也在選擇自己的試點(diǎn)城市。三網(wǎng)融合的第一階段(2010-2012)，若廣電的試點(diǎn)城市，傳統(tǒng)電信企業(yè)無法提供TriplePlay三重播放，那么競爭態(tài)勢將非常嚴(yán)峻。各運(yùn)營企業(yè)已建成覆蓋全國的3G網(wǎng)絡(luò)，確立了優(yōu)勢。隨著移動(dòng)業(yè)務(wù)的發(fā)展，移動(dòng)互聯(lián)網(wǎng)流量迅速增加，給部分熱點(diǎn)地區(qū)基站移動(dòng)回傳造成壓力。E1+MSTP的方式在回傳帶寬需求增加到一定程度時(shí)，在基站側(cè)和MSTP側(cè)都會(huì)出現(xiàn)成本瓶頸?；緜?cè)提供FE接口是趨勢，移動(dòng)回傳網(wǎng)絡(luò)需用IP的方式實(shí)現(xiàn)。寬帶業(yè)務(wù)增量不增收三網(wǎng)融合試點(diǎn)需求移動(dòng)業(yè)務(wù)快速發(fā)展（一）IP城域網(wǎng)組網(wǎng)演進(jìn)分析（二）IP城域網(wǎng)規(guī)劃設(shè)計(jì)要求（三）IP城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)（四）IP城域網(wǎng)關(guān)鍵技術(shù)（五）IP城域網(wǎng)的安全策略（六）IP城域網(wǎng)接入方式（七）IP城域網(wǎng)應(yīng)用案例解析IP城域網(wǎng)設(shè)計(jì)IP城域網(wǎng)規(guī)劃設(shè)計(jì)要求在進(jìn)行的城域網(wǎng)的規(guī)劃和設(shè)計(jì)工作中，應(yīng)當(dāng)遵照城域網(wǎng)建設(shè)總體思路和原則進(jìn)行。對城域網(wǎng)進(jìn)行規(guī)劃和設(shè)計(jì)，實(shí)現(xiàn)二、三層網(wǎng)絡(luò)的分離，新、老用戶的區(qū)分，3G/IPTV/Internet等多業(yè)務(wù)綜合承載等為基本基本目標(biāo)，打造“客戶可識別、業(yè)務(wù)可區(qū)分、質(zhì)量可控制、網(wǎng)絡(luò)可管理”的電信級寬帶城域網(wǎng)?？傮w思路：理清層次提升功能規(guī)范設(shè)備注重實(shí)效規(guī)劃原則：網(wǎng)絡(luò)層次清晰化網(wǎng)絡(luò)結(jié)構(gòu)扁平化網(wǎng)絡(luò)質(zhì)量差異化管理控制集中化設(shè)備要求規(guī)范化IP城域網(wǎng)規(guī)劃設(shè)計(jì)要求DSLAM園區(qū)交換機(jī)骨干網(wǎng)匯聚交換機(jī)(可級聯(lián))樓道交換機(jī)核心路由器（可級連）業(yè)務(wù)路由器政企客戶NGNAGMSTP等家庭網(wǎng)關(guān)終端寬帶用戶數(shù)據(jù)業(yè)務(wù)接入部分語音業(yè)務(wù)接入部分BRASOLTONU政企客戶政企客戶家庭網(wǎng)關(guān)終端寬帶用戶家庭網(wǎng)關(guān)終端寬帶用戶IP城域網(wǎng)城域骨干網(wǎng)寬帶接入網(wǎng)核心層接入控制層匯聚層接入層城域網(wǎng)骨干相關(guān)設(shè)備核心路由器CRCR位于城域網(wǎng)的核心層CR主要完成城域網(wǎng)與骨干網(wǎng)設(shè)備的出口對接，完成對城域網(wǎng)內(nèi)部的SR/BRAS的匯接，及在城域網(wǎng)開展MPLS后充當(dāng)城域網(wǎng)的P設(shè)備。T級別集群路由器＋40G接口＋NSR＋I(xiàn)SIS快速收斂＋MPLS標(biāo)簽容量30萬條城域網(wǎng)骨干相關(guān)設(shè)備業(yè)務(wù)路由器SRSR位于城域網(wǎng)的業(yè)務(wù)接入控制層SR主要完成專線用戶的接入及充當(dāng)城域網(wǎng)的PE設(shè)備。隨著全業(yè)務(wù)的運(yùn)營，主要滿足CDMA核心網(wǎng)電路域、分組域和業(yè)務(wù)網(wǎng)承載需求的CE設(shè)備，其設(shè)備技術(shù)要求與SR基本一致10GE、10GPOS接口＋高速背板＋SVLAN＋VRRP＋策略控制城域網(wǎng)骨干相關(guān)設(shè)備BRASBRAS是面向公眾用戶寬帶網(wǎng)絡(luò)應(yīng)用的接入網(wǎng)關(guān)，是城域網(wǎng)的業(yè)務(wù)接入控制點(diǎn)，位于IP城域網(wǎng)的骨干網(wǎng)內(nèi)的業(yè)務(wù)接入控制層。BRAS主要完成公眾用戶PPP撥號接入、IPOE接入、專線用戶的接入及充當(dāng)城域網(wǎng)的PE設(shè)備。下一代BRAS發(fā)展的方向是MSE（Multi-serviceEdge)，融合BRAS、SBC（sessionBordercontrol）防火墻等多種產(chǎn)品，具有更強(qiáng)的業(yè)務(wù)感知和控制能力，為用戶提供單邊緣的接入控制。與SR同步演進(jìn)＋對L2VPN的終結(jié)＋全面的組播和用戶統(tǒng)計(jì)能力寬帶接入網(wǎng)相關(guān)設(shè)備匯聚交換機(jī)匯聚交換機(jī)是IP網(wǎng)絡(luò)業(yè)務(wù)的接入設(shè)備，位于城域網(wǎng)的接入層，用于公眾業(yè)務(wù)的接入與匯聚，并傳送至三層網(wǎng)絡(luò)。隨著FTTx用戶的發(fā)展，匯聚交換機(jī)還需提供下聯(lián)PON接口，具備OLT的功能。匯聚交換機(jī)將演進(jìn)為具備交換機(jī)和OLT兩種設(shè)備形態(tài)的融合匯聚交換機(jī)。256G以上整機(jī)容量＋SVLAN＋端口聚合＋組播＋三層能力＋BFD＋OAM寬帶接入網(wǎng)相關(guān)設(shè)備園區(qū)交換機(jī)園區(qū)以太交換機(jī)是IP網(wǎng)絡(luò)業(yè)務(wù)的接入設(shè)備，位于城域網(wǎng)的接入層，起到業(yè)務(wù)接入和匯聚功能。PON口支持，具備ONU能力＋BFD＋OAM寬帶接入網(wǎng)相關(guān)設(shè)備DSLAMDSLAM是IP網(wǎng)絡(luò)業(yè)務(wù)的接入設(shè)備，位于城域網(wǎng)的接入層。它是DSL接入復(fù)用設(shè)備，位于DSL寬帶接入的局端。ADSL2+/VDSL2/EPON接口支持＋大容量＋跨VLAN組播復(fù)制＋整機(jī)性能提升。（一）IP城域網(wǎng)組網(wǎng)演進(jìn)分析（二）IP城域網(wǎng)規(guī)劃設(shè)計(jì)要求（三）IP城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)（四）IP城域網(wǎng)關(guān)鍵技術(shù)（五）IP城域網(wǎng)的安全策略（六）IP城域網(wǎng)接入方式（七）IP城域網(wǎng)應(yīng)用案例解析IP城域網(wǎng)設(shè)計(jì)1、IP路由及組網(wǎng)技術(shù)2、IP路由規(guī)劃與設(shè)計(jì)3、IP城域網(wǎng)自治域設(shè)計(jì)4、IP城域網(wǎng)中IP地址的規(guī)劃5、IP網(wǎng)絡(luò)中的流量工程設(shè)計(jì)IP城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)IP路由及組網(wǎng)技術(shù)核心層：由核心路由器組成，大型IP城域網(wǎng)可設(shè)置兩級級聯(lián)的核心路由器，中型和小型IP城域網(wǎng)僅設(shè)單級核心路由器（分類標(biāo)準(zhǔn)主要以預(yù)測寬帶用戶數(shù)為依據(jù)），適當(dāng)控制城域骨干網(wǎng)各層次設(shè)備數(shù)量的比例。主要采用裸光纖承載網(wǎng)絡(luò)設(shè)備間的中繼鏈路，在傳輸距離長或光纖資源緊張的情況下，也可采用大容量WDM/SDH/MSTP承載。城域骨干網(wǎng)主要依賴IP網(wǎng)絡(luò)自身的機(jī)制實(shí)現(xiàn)路由保護(hù)。IP路由及組網(wǎng)技術(shù)（續(xù)）業(yè)務(wù)接入控制層：應(yīng)采用大容量、高密度設(shè)備。業(yè)務(wù)接入控制點(diǎn)的布放應(yīng)以綜合成本最低為原則，綜合考慮光纖、傳輸資源條件和用戶數(shù)量。相對集中布放寬帶接入服務(wù)器（BRAS）和業(yè)務(wù)路由器（SR），覆蓋至有足夠業(yè)務(wù)需求的端局，在滿足性能要求的前提下，部分BRAS可兼作SR。BRAS和SR需要支持SVLAN（Q-in-Q）。IP路由及組網(wǎng)技術(shù)（續(xù)）寬帶接入網(wǎng)匯聚層采用以太網(wǎng)和MSTP/RPR作為基本組網(wǎng)技術(shù)。主要采用裸光纖承載網(wǎng)絡(luò)設(shè)備間的中繼鏈路，可為重要用戶適當(dāng)提供保護(hù)。從用戶CPE（包括xDSLModem、IAD等）到業(yè)務(wù)接入控制點(diǎn)之間的設(shè)備（不含CPE和業(yè)務(wù)接入控制點(diǎn)設(shè)備）原則上不超過三級，邊遠(yuǎn)地區(qū)最多不能超過五級。應(yīng)采用SVLAN解決端口綁定和用戶隔離問題，并為實(shí)現(xiàn)區(qū)分服務(wù)提供條件。DSLAM應(yīng)盡量靠近用戶設(shè)置，縮短銅纜半徑，城區(qū)內(nèi)最好控制在公里以內(nèi)，最好在1公里以內(nèi)，原則上不允許級聯(lián)。IP路由及組網(wǎng)技術(shù)（續(xù)）IP城域網(wǎng)路由設(shè)計(jì)路由協(xié)議分類：路由協(xié)議可根據(jù)應(yīng)用的范圍分為：IGP（某區(qū)域內(nèi)路由協(xié)議）BGP（AS之間的路由協(xié)議）IGP根據(jù)協(xié)議的工作原理，可分為：距離矢量路由協(xié)議（OSPF、ISIS）鏈路狀態(tài)路由協(xié)議（RIP）靜態(tài)路由IP城域網(wǎng)路由設(shè)計(jì)-IGP鏈路狀態(tài)路由協(xié)議是目前使用最廣的一類域內(nèi)路由協(xié)議。它采用一種“拼圖”的設(shè)計(jì)策略，即每個(gè)路由器將它到其周圍鄰居的鏈路狀態(tài)向全網(wǎng)的其他路由器進(jìn)行廣播。這樣，一個(gè)路由器收到從網(wǎng)絡(luò)中其他路由器發(fā)送過來的路由信息后，它對這些鏈路狀態(tài)進(jìn)行拼裝，最終生成一個(gè)全網(wǎng)的拓?fù)湟晥D，近而可以通過最短路徑算法來計(jì)算它到別的路由器的最短路徑。IP城域網(wǎng)路由設(shè)計(jì)-IGP路由器通過構(gòu)造拓?fù)鋽?shù)據(jù)庫來反映整個(gè)拓?fù)涞淖兓?并根據(jù)SPF算法決定到達(dá)目的地的最佳路由,因此,鏈路狀態(tài)的路由信息具有最大的可靠性和真實(shí)性.通過層次化的構(gòu)造建立起完善的地址分配預(yù)案,并使拓?fù)渥兓性诒镜貐^(qū)域不會(huì)造成全網(wǎng)的翻動(dòng).因此鏈路狀態(tài)路由協(xié)議適合于大型網(wǎng)絡(luò).鏈路狀態(tài)路由協(xié)議鏈路狀態(tài)路由協(xié)議

快速收斂:當(dāng)發(fā)生拓?fù)涓淖儠r(shí),受影響的路由器通過發(fā)送改變的LSA(鏈路狀態(tài)通告)迅速通知區(qū)域內(nèi)所有路由器,而其他路由器通過對LSA的學(xué)習(xí),重新進(jìn)行SPF計(jì)算,然后在路由表中正確的反映出變化的路由信息.完全避免路由環(huán)路:路由器通過對其他路由器發(fā)出的LSA的學(xué)習(xí),使得本身知道網(wǎng)絡(luò)的拓?fù)?因此,就像生成樹一樣,完全構(gòu)造出一個(gè)無環(huán)路的拓?fù)渖蓸涑鰜怼?/p>

鏈路狀態(tài)路由協(xié)議本身有強(qiáng)大的可靠性機(jī)制:每個(gè)LSA都有源的標(biāo)識和攜帶的序列號,通過序列號確保LSA的新舊;而發(fā)送的LSA也必須有確認(rèn),確保LSA信息準(zhǔn)確無誤.對網(wǎng)絡(luò)設(shè)計(jì)有嚴(yán)格的要求：因?yàn)榉謱?地址分派和匯總是鏈路狀態(tài)路由協(xié)議的命脈,要求工程師具有豐富的知識和專業(yè)經(jīng)驗(yàn).IP城域網(wǎng)路由設(shè)計(jì)-IGPIS-ISIS-IS協(xié)議是Intermediatesystemtointermediatesystem（中間系統(tǒng)到中間系統(tǒng)）的縮寫，屬于鏈路狀態(tài)路由協(xié)議。標(biāo)準(zhǔn)IS-IS協(xié)議是由國際標(biāo)準(zhǔn)化組織制定的ISO/IEC10589:2002所定義的，標(biāo)準(zhǔn)IS-IS不適合用于IP網(wǎng)絡(luò)，因此IETF制定了適用于IP網(wǎng)絡(luò)的集成化IS-IS協(xié)議（IntegratedIS-IS）。和OSPF相同，IS-IS也使用了“區(qū)域”的概念，同樣也維護(hù)著一份鏈路狀態(tài)數(shù)據(jù)庫，通過最短生成樹算法（SPF）計(jì)算出最佳路徑。IS-IS的收斂速度較快。集成化IS-IS協(xié)議是ISP骨干網(wǎng)上最常用的IGP協(xié)議。IP城域網(wǎng)路由設(shè)計(jì)-IGPIP城域網(wǎng)路由設(shè)計(jì)-IGPOSPFOSPF協(xié)議是“開放式最短路徑優(yōu)先(OpenShortestPathFirst)”的縮寫，屬于鏈路狀態(tài)路由協(xié)議。OSPF提出了“區(qū)域（area）”的概念。區(qū)域又分為骨干區(qū)域（編號必須為0）和非骨干區(qū)域（非0編號區(qū)域），如果一個(gè)運(yùn)行OSPF的網(wǎng)絡(luò)只存在單一區(qū)域，則該區(qū)域可以是骨干區(qū)域或者非骨干區(qū)域。如果該網(wǎng)絡(luò)存在多個(gè)區(qū)域，那么必須存在骨干區(qū)域，并且所有非骨干區(qū)域必須和骨干區(qū)域直接相連。OSPF利用所維護(hù)的鏈路狀態(tài)數(shù)據(jù)庫，通過最短生成樹算法（SPF算法）計(jì)算得到路由表。OSPF的收斂速度較快。由于其特有的開放性以及良好的擴(kuò)展性，目前OSPF協(xié)議在各種園區(qū)網(wǎng)絡(luò)中廣泛部署。IP城域網(wǎng)路由設(shè)計(jì)-IGPIP城域網(wǎng)路由設(shè)計(jì)-IGPIP城域網(wǎng)路由設(shè)計(jì)-IGPIP城域網(wǎng)路由設(shè)計(jì)-BGPBGP為了維護(hù)各個(gè)ISP的獨(dú)立利益，標(biāo)準(zhǔn)化組織制定了ISP間的路由協(xié)議BGP。BGP是“邊界網(wǎng)關(guān)協(xié)議(BorderGatewayProtocol)”的縮寫，處理各ISP之間的路由傳遞。BGP運(yùn)行在相對核心的地位，需要用戶對網(wǎng)絡(luò)的結(jié)構(gòu)有相當(dāng)?shù)牧私?，否則一旦配置或操作出現(xiàn)問題，可能會(huì)造成較大損失。BGP提出了AS（自制系統(tǒng)）的概念，通常為每個(gè)運(yùn)營商分配一個(gè)AS號碼。IP城域網(wǎng)自治域設(shè)計(jì)-BGPBGP需要運(yùn)行在IGP基礎(chǔ)之上。MPLS/VPN需要運(yùn)行在BGP之上。IP城域網(wǎng)路由設(shè)計(jì)-BGPBGP引入了鄰居/對等體的概念。與IGP不同，成為鄰居的路由器不必再在物理鏈路上直連。IP城域網(wǎng)路由設(shè)計(jì)-BGP如果兩臺成為鄰居的設(shè)備不在相同的AS內(nèi)，這個(gè)鄰居關(guān)系被稱為EBGP。IP城域網(wǎng)路由設(shè)計(jì)-BGP如果兩臺成為鄰居的設(shè)備在同一個(gè)AS內(nèi)，這個(gè)鄰居關(guān)系被稱為IBGP。IP城域網(wǎng)自治域設(shè)計(jì)-BGP為了避免一個(gè)AS過大，設(shè)備過多所帶來的管理問題，BGP為一個(gè)AS內(nèi)部提供了兩個(gè)擴(kuò)展功能：路由反射器（RR）AS聯(lián)邦/聯(lián)盟(Confederation)IP城域網(wǎng)自治域設(shè)計(jì)-BGProuteRoutereflectorroute路由反射器可以更好的控制路由條目更新，以及優(yōu)化網(wǎng)絡(luò)中路由更新的數(shù)據(jù)流量。IP城域網(wǎng)自治域設(shè)計(jì)-BGPAS61AS62AS63AS64AS12AS14AS42BGP聯(lián)邦采用了“分而治之”的思路。在一個(gè)AS內(nèi)進(jìn)行區(qū)域細(xì)化，將區(qū)域內(nèi)相關(guān)路由器劃分為子AS。對外一直宣告聯(lián)盟整體的AS號碼。IP城域網(wǎng)自治域設(shè)計(jì)-BGP公用自治域號是由因特網(wǎng)授權(quán)的管理機(jī)構(gòu)分配的。從AS號碼資源的情況來看，我國現(xiàn)有AS號碼大約200多個(gè)，比其它發(fā)達(dá)國家和地區(qū)少得多，這一方面說明，我國網(wǎng)絡(luò)的層次性較好，管理集中，主要業(yè)務(wù)都集中在少數(shù)幾個(gè)大型運(yùn)營商那里；另一方面也與我國ISP的增加情況以及各大互聯(lián)網(wǎng)絡(luò)運(yùn)營商與其它ISP互聯(lián)的政策有關(guān)，新出現(xiàn)的中小型ISP想要取得與大型ISP對等互聯(lián)的權(quán)力與大型運(yùn)營商的政策也有著密切的關(guān)系。AS號碼只是在一個(gè)網(wǎng)絡(luò)與至少兩家ISP做對等互聯(lián)、交換路由信息的時(shí)候才需要使用，所以AS號碼使用的情況與中小型ISP的數(shù)量及其互聯(lián)的豐富程度有關(guān)。

IP路由規(guī)劃與設(shè)計(jì)總體路由設(shè)計(jì)：城域網(wǎng)為單獨(dú)AS域，城域網(wǎng)路由架構(gòu)分為用戶路由生成（customrouting）、IGP、BGP、MP-BGP路由4個(gè)部分。用戶路由生成：指在城域網(wǎng)業(yè)務(wù)接入控制點(diǎn)（BRAS和SR）上配置生成或動(dòng)態(tài)學(xué)習(xí)用戶路由的實(shí)現(xiàn)方式和過程；IGP：運(yùn)行在城域網(wǎng)二平面核心層和業(yè)務(wù)接入控制層，在城域網(wǎng)二平面三層設(shè)備之間承載和交換路由信息：城域網(wǎng)二平面AS域內(nèi)設(shè)備接口（包括loopback接口）地址路由BGP：IBGP-運(yùn)行在城域網(wǎng)核心層和業(yè)務(wù)接入控制層，承載城域網(wǎng)內(nèi)用戶路由；EBGP-運(yùn)行在城域網(wǎng)出口路由器與骨干網(wǎng)路由器之間，實(shí)現(xiàn)城域網(wǎng)向骨干網(wǎng)發(fā)布城域網(wǎng)內(nèi)的路由，并從骨干網(wǎng)接收缺省和國內(nèi)路由或Internet全網(wǎng)路由。IP路由規(guī)劃與設(shè)計(jì)1、RR功能設(shè)計(jì)：城域網(wǎng)內(nèi)部署一組路由反射器(通常為2個(gè))，可以選擇城域網(wǎng)出口路由器兼做RR，RR處于轉(zhuǎn)發(fā)路徑上，RR的的簇ID默認(rèn)為BGP的routerID，兩個(gè)RR使用不同簇ID,都會(huì)接受對方發(fā)過來的BGP路由表，實(shí)現(xiàn)雙方路由表一致。城域網(wǎng)二平面內(nèi)設(shè)備分別與兩個(gè)RR通過Loop建立IBGP會(huì)話，實(shí)現(xiàn)IBGP會(huì)話冗余。城域網(wǎng)核心之間通過互連接口建立常規(guī)IBGP會(huì)話。2、收發(fā)路由策略：為防止除核心外，城域網(wǎng)內(nèi)其他設(shè)備誤發(fā)布默認(rèn)路由從而導(dǎo)致網(wǎng)內(nèi)BRAS/SR等業(yè)務(wù)接入設(shè)備的流量被錯(cuò)誤的引導(dǎo)，或其他重要業(yè)務(wù)路由被錯(cuò)誤的重分布至BGP中，諸如：VOD、DNS、Radius等，RR從客戶接收的路由策略應(yīng)為：拒絕接收默認(rèn)路由、指定的重要業(yè)務(wù)路由，允許其他所有。RR對客戶的發(fā)送路由策略：禁止轉(zhuǎn)發(fā)網(wǎng)外路由，只下發(fā)自己產(chǎn)生的默認(rèn)路由，減少大量路由更新時(shí)導(dǎo)致的路由表波動(dòng)和對鏈路資源的消耗。配置RR接收客戶的路由策略：不接收默認(rèn)和指定的重要業(yè)務(wù)路由，允許其他所有路由；配置RR發(fā)送客戶的路由策略：針對扁平化已完成的地市，可只下發(fā)自己產(chǎn)生的默認(rèn)；未完成的地市，只轉(zhuǎn)發(fā)城域網(wǎng)域內(nèi)的路由和自己產(chǎn)生的默認(rèn)。IP路由規(guī)劃與設(shè)計(jì)3、城域網(wǎng)BGP部署策略關(guān)閉BGP自動(dòng)路由匯總特性、關(guān)閉IGP與BGP的同步。開啟BGPDAMPING，避免路由抑制對業(yè)務(wù)的影響。關(guān)閉bgpalways-compare-med、宣告給骨干網(wǎng)的路由攜帶MED屬性，設(shè)置MED=0。明確配置BGProuter-id為Loopback0地址。根據(jù)需要確定BGPMultihop的TTL值，對大部分情況，配置EBGPMultihop為2。明確配置community格式。BGP采用密碼建立鄰居關(guān)系。EBGP和IBGP開啟負(fù)載均衡。配置BGP出方向路由過濾，宣告給骨干網(wǎng)網(wǎng)路由盡量合并。使用Loopback地址與骨干建立EBGP關(guān)系，不使用接口建立關(guān)系。IP路由規(guī)劃與設(shè)計(jì)4、默認(rèn)路由管理出口核心配置多條上行至骨干設(shè)備的靜態(tài)默認(rèn)路由，作為所收取骨干下發(fā)默認(rèn)路由的備份，管理距離設(shè)置為250城域網(wǎng)內(nèi)匯聚BR，BRAS/SR設(shè)備設(shè)置多條備份的靜態(tài)默認(rèn)路由，管理距離設(shè)置為250，作為所收取的ISIS/BGP默認(rèn)路由的備份。出口核心配置多條上行至骨干設(shè)備的靜態(tài)默認(rèn)路由，綁定互連骨干設(shè)備鏈路的端口和下一跳地址；出口核心設(shè)備的ISIS進(jìn)程始終下發(fā)默認(rèn)，同時(shí)IBGP也下發(fā)默認(rèn)至RR客戶；城域網(wǎng)內(nèi)匯聚BR,BRAS/SR設(shè)備設(shè)置靜態(tài)默認(rèn)路由，綁定互連骨干設(shè)備鏈路的端口和下一跳地址，做為ISIS/BGP默認(rèn)的備份。IP地址是一個(gè)三層的地址，是在網(wǎng)絡(luò)上進(jìn)行TCP/IP通訊的基礎(chǔ)，每個(gè)連接到網(wǎng)絡(luò)上的計(jì)算機(jī)或第三層設(shè)備都必須至少有一個(gè)IP地址。目前使用的IP協(xié)議版本為IPv4，下一個(gè)版本為IPv6。為了便于網(wǎng)絡(luò)尋址以及層次化構(gòu)造網(wǎng)絡(luò)，每個(gè)IP地址包括兩個(gè)標(biāo)識(ID)，即網(wǎng)絡(luò)ID和主機(jī)ID。同一個(gè)物理網(wǎng)絡(luò)上的所有機(jī)器都用同一個(gè)網(wǎng)絡(luò)ID，網(wǎng)絡(luò)上的一個(gè)主機(jī)(包括網(wǎng)絡(luò)上工作站，服務(wù)器和路由器等)有一個(gè)主機(jī)ID與其對應(yīng)。因此IP地址的格式為:“網(wǎng)絡(luò)地址+主機(jī)地址”或者“網(wǎng)絡(luò)地址+子網(wǎng)地址+主機(jī)地址”。一個(gè)簡單的IP地址包含了網(wǎng)絡(luò)地址和主機(jī)地址兩部分重要的信息。IP地址根據(jù)網(wǎng)絡(luò)ID的不同共分為五類，A類主要分配給大型網(wǎng)絡(luò)，B類分配給中等規(guī)模網(wǎng)絡(luò)，C類分配給小型網(wǎng)絡(luò)，D類用于組播服務(wù)，E類用于科學(xué)實(shí)驗(yàn)。IP城域網(wǎng)中IP地址的規(guī)劃IP城域網(wǎng)中IP地址的規(guī)劃IP地址規(guī)劃是否得當(dāng)會(huì)對路由協(xié)議的運(yùn)行效率、網(wǎng)絡(luò)的性能、網(wǎng)絡(luò)的擴(kuò)展、網(wǎng)絡(luò)的管理產(chǎn)生影響。從IP地址規(guī)劃中可以看出一個(gè)網(wǎng)絡(luò)的規(guī)劃質(zhì)量，甚至可以反映出一個(gè)網(wǎng)絡(luò)設(shè)計(jì)師的技術(shù)水準(zhǔn)。IP地址規(guī)劃應(yīng)遵循唯一性、連續(xù)性、擴(kuò)展性、實(shí)意性、節(jié)約性原則。IP城域網(wǎng)中IP地址的規(guī)劃每類網(wǎng)絡(luò)可以容納不同數(shù)目的主機(jī)，它們處于同一廣播域。如果在同一廣播域中有過多節(jié)點(diǎn)，網(wǎng)絡(luò)會(huì)因?yàn)閺V播通信而飽和與地址浪費(fèi)；隨著互連網(wǎng)應(yīng)用的不斷擴(kuò)大，IP地址資源越來越少。為了實(shí)現(xiàn)更小的廣播域并更好地利用主機(jī)地址中的每一位，可以把基于類的IP網(wǎng)絡(luò)進(jìn)一步分成更小的網(wǎng)絡(luò)，每個(gè)子網(wǎng)由路由器界定并分配一個(gè)新的子網(wǎng)網(wǎng)絡(luò)地址,子網(wǎng)地址是借用基于類的網(wǎng)絡(luò)地址的主機(jī)部分創(chuàng)建的。劃分子網(wǎng)后，通過使用子網(wǎng)掩碼，把子網(wǎng)隱藏起來，使得從外部看網(wǎng)絡(luò)沒有變化。子網(wǎng)掩碼也是一個(gè)32位字段，是與IP地址結(jié)合使用的一種技術(shù)。它的主要作用有兩個(gè)：一是用于區(qū)別網(wǎng)絡(luò)標(biāo)識和主機(jī)標(biāo)識，并說明該IP地址是在本局域網(wǎng)內(nèi)，還是在其他網(wǎng)絡(luò)內(nèi)；二是用于將一個(gè)大的IP網(wǎng)絡(luò)劃分為若干小的子網(wǎng)絡(luò)。根據(jù)CNNIC的統(tǒng)計(jì)，我國所擁有的公網(wǎng)IP地址資源僅占世界的約3%，在亞太地區(qū)已分配公網(wǎng)IP地址中，我國IP地址總量只占約25%。IP城域網(wǎng)中IP地址的規(guī)劃統(tǒng)一性原則地址分配需要統(tǒng)一規(guī)劃、統(tǒng)一協(xié)調(diào)、統(tǒng)一管理。要求從全局的角度考慮問題，掌握網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)內(nèi)容，同時(shí)對網(wǎng)絡(luò)和業(yè)務(wù)的發(fā)展具備一定的前瞻性。層次性原則層次化的規(guī)劃可以極大的降低管理的復(fù)雜程度，提高網(wǎng)管效率，提升路由速度。清晰的地址分配結(jié)構(gòu)是網(wǎng)絡(luò)運(yùn)行發(fā)展的基本要求和保障，良好的層次性能夠?yàn)榫W(wǎng)絡(luò)提供更好的可維護(hù)性和可擴(kuò)展性。連續(xù)性原則有層次的科學(xué)的連續(xù)地址規(guī)劃能夠?qū)崿F(xiàn)地址的最優(yōu)使用，最大程度避免地址浪費(fèi)現(xiàn)象出現(xiàn)，但連續(xù)并不能單一的從節(jié)省地址資源出發(fā)考慮。唯一性原則地址的唯一性是地址規(guī)劃的最基本要求，在地址規(guī)劃當(dāng)中需注意與集團(tuán)公司、其他省公司以及其他并行業(yè)務(wù)網(wǎng)絡(luò)的實(shí)際情況，盡量做到IP地址的唯一性。節(jié)約性原則由于IP地址資源緊張，可獲得的IP地址會(huì)越來越少，對于IP地址的使用需要格外節(jié)約。IPv4地址的節(jié)約可以通過動(dòng)態(tài)編址技術(shù)和NAT技術(shù)來實(shí)現(xiàn)。IP城域網(wǎng)中IP地址的規(guī)劃需要連接省間骨干網(wǎng)的主機(jī)如IDC中需要對公網(wǎng)開放并在公網(wǎng)上提供服務(wù)的服務(wù)器；連接公網(wǎng)業(yè)務(wù)提供服務(wù)的設(shè)備城域網(wǎng)上提供路由功能的各種數(shù)據(jù)設(shè)備如BRAS、SR、匯聚路由器、接入路由器等設(shè)備；企業(yè)專線用戶通常企業(yè)用戶內(nèi)部已經(jīng)給最終用戶分配了了私有的IP地址，由企業(yè)自身執(zhí)行地址轉(zhuǎn)換（NAT/PAT）完成。可根據(jù)用戶需求，分配一個(gè)或多個(gè)IP地址；個(gè)人接入用戶個(gè)人用戶需求較為簡單，多數(shù)僅僅為公網(wǎng)接入。只需要當(dāng)用戶上線時(shí)臨時(shí)分配一個(gè)IP地址，一旦用戶離線，IP地址收回分配給其他用戶；IP城域網(wǎng)中IP地址的規(guī)劃為內(nèi)部提供服務(wù)的主機(jī)對內(nèi)提供服務(wù)的服務(wù)器等設(shè)備，此類設(shè)備雖然放置在IDC機(jī)房中，但不在公網(wǎng)上提供服務(wù)，其服務(wù)僅對移動(dòng)公司內(nèi)部提供。為此類設(shè)備分配能夠與公司內(nèi)網(wǎng)互通的私有地址；網(wǎng)絡(luò)設(shè)備的管理地址幾乎所有的設(shè)備都使用LoopBack（回環(huán)）接口作為網(wǎng)管地址，與網(wǎng)管系統(tǒng)進(jìn)行通信；用戶數(shù)量過多的業(yè)務(wù)如果開展的業(yè)務(wù)接入用戶數(shù)量過多，使用私有地址分配給用戶，在業(yè)務(wù)平臺出口處執(zhí)行地址轉(zhuǎn)換操作；IP城域網(wǎng)中IP地址的規(guī)劃從集團(tuán)公司得到地址段省管地址地市管理地址管理區(qū)域劃分設(shè)備互聯(lián)地址省管機(jī)房地址省管業(yè)務(wù)地址其他類地址功能劃分省會(huì)城市其他地市區(qū)域劃分業(yè)務(wù)1業(yè)務(wù)N業(yè)務(wù)N業(yè)務(wù)1業(yè)務(wù)劃分業(yè)務(wù)劃分IP城域網(wǎng)中IP地址的規(guī)劃甘肅省共有包含蘭州在內(nèi)的14個(gè)地市、州，(2^3=8)<14<(2^4=16)則使用地市管理地址中可分配區(qū)間的前4bit位作為地市代碼，可表示16個(gè)地市。由于蘭州市內(nèi)用戶數(shù)量和業(yè)務(wù)數(shù)量較多，使用0、1、2三個(gè)代碼代表蘭州，其余地市均使用自身代碼。地區(qū)二進(jìn)制代碼十進(jìn)制代碼蘭州000000001100102慶陽00113張掖01004定西01015天水01106酒泉01117白銀10008平?jīng)?0019武威101010金昌101111臨夏110012隴南110113嘉峪關(guān)111014甘南111115地區(qū)代碼分配表IP城域網(wǎng)中IP地址的規(guī)劃需要考慮規(guī)劃的地址類型：Loopback地址

通常會(huì)為每一臺設(shè)備創(chuàng)建一個(gè)Loopback接口，并在該接口上單獨(dú)指定一個(gè)IP地址作為管理地址。設(shè)備互聯(lián)地址

指網(wǎng)絡(luò)設(shè)備之間相互連接的接口所需要的地址。業(yè)務(wù)地址

是連接在網(wǎng)上的各種服務(wù)器、主機(jī)、客戶所使用的地址以及網(wǎng)關(guān)的地址。IP網(wǎng)絡(luò)中的流量工程設(shè)計(jì)（一）IP城域網(wǎng)組網(wǎng)演進(jìn)分析（二）IP城域網(wǎng)規(guī)劃設(shè)計(jì)要求（三）IP城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)（四）IP城域網(wǎng)關(guān)鍵技術(shù)（五）IP城域網(wǎng)的安全策略（六）IP城域網(wǎng)接入方式（七）IP城域網(wǎng)應(yīng)用案例解析IP城域網(wǎng)設(shè)計(jì)1、組播路由技術(shù)2、MPLSVPN技術(shù)IP城域網(wǎng)關(guān)鍵技術(shù)組播路由技術(shù)組播（multicast）是指把某一信息同時(shí)傳遞給一組目的地址。它使用策略是最高效的，因?yàn)樵谙⒃诿織l網(wǎng)絡(luò)鏈路上只需傳遞一次，而且只有在鏈路分叉的時(shí)，消息才會(huì)被復(fù)制。與多播相比，常規(guī)的點(diǎn)到單點(diǎn)的傳遞被稱作單播。當(dāng)以單播的形式把消息傳遞給多個(gè)接收方時(shí)，必須向每個(gè)接收者都發(fā)送一份數(shù)據(jù)副本。由此產(chǎn)生的多余副本將導(dǎo)致發(fā)送方效率低下，且缺乏可擴(kuò)展性。組播安全性是一個(gè)重要的問題。標(biāo)準(zhǔn)的、實(shí)用的通信安全解決方案一般采用的是對稱加密。但是將其應(yīng)用于IP組播流量可能會(huì)使任何一個(gè)接收方都擁有冒充發(fā)送方的能力。組播路由技術(shù)（續(xù)）IP組播有三種基本的傳遞方式：密集組播稀疏組播源特定組播IP組播協(xié)議：互聯(lián)網(wǎng)組管理協(xié)議（IGMP）協(xié)議無關(guān)多播（PIM）距離矢量多播路由協(xié)議（DVMRP）組播OSPF（MOSPF）組播BGP（MP-BGP）組播源發(fā)現(xiàn)協(xié)議（MSDP）MPLSVPN技術(shù)多協(xié)議標(biāo)簽交換（Multi-ProtocolLabelSwitch，簡稱MPLS）是一種在開放的通信網(wǎng)上利用標(biāo)簽引導(dǎo)數(shù)據(jù)高速、高效傳輸?shù)男录夹g(shù)。多協(xié)議的含義是指MPLS不但可以支持多種網(wǎng)絡(luò)層層面上的協(xié)議，還可以兼容第二層的多種鏈路層技術(shù)。它的價(jià)值在于能夠在一個(gè)無連接的網(wǎng)絡(luò)中引入連接模式的特性；其主要優(yōu)點(diǎn)是減少了網(wǎng)絡(luò)復(fù)雜性，兼容現(xiàn)有各種主流網(wǎng)絡(luò)技術(shù)，能降低網(wǎng)絡(luò)成本，在提供IP業(yè)務(wù)時(shí)能確保QoS和安全性，具有流量工程能力。此外，MPLS能解決VPN擴(kuò)展問題和維護(hù)成本問題。MPLSVPN技術(shù)MPLS屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的IP網(wǎng)絡(luò)交換標(biāo)準(zhǔn)。MPLS使用標(biāo)記交換（LabelSwitching），網(wǎng)絡(luò)路由器只需要判別標(biāo)記后即可進(jìn)行轉(zhuǎn)送處理。它整合了IP選徑與第二層標(biāo)記交換為單一的系統(tǒng)，因此可以解決Internet路由的問題，使數(shù)據(jù)包傳送的延遲時(shí)間減短，增加網(wǎng)絡(luò)傳輸?shù)乃俣取PLSVPN技術(shù)MPLSVPN是一種基于MPLS技術(shù)的IP-VPN，根據(jù)PE（ProviderEdge）設(shè)備是否參與VPN路由處理又細(xì)分為二層VPN和三層VPN（一）IP城域網(wǎng)組網(wǎng)演進(jìn)分析（二）IP城域網(wǎng)規(guī)劃設(shè)計(jì)要求（三）IP城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)（四）IP城域網(wǎng)關(guān)鍵技術(shù)（五）IP城域網(wǎng)的安全策略（六）IP城域網(wǎng)接入方式（七）IP城域網(wǎng)應(yīng)用案例解析IP城域網(wǎng)設(shè)計(jì)城域網(wǎng)提供的Internet連接及設(shè)備之間的高速連接鏈路上，原則上不應(yīng)設(shè)置防火墻、防毒墻、入侵防御等安全設(shè)備。城域網(wǎng)IDC區(qū)域，及對外提供服務(wù)的區(qū)域應(yīng)當(dāng)設(shè)置相應(yīng)的防火墻、流量清洗類設(shè)備，以提供安全防護(hù)?？梢栽诤诵膮^(qū)域建設(shè)入侵檢測類旁路設(shè)備，對區(qū)域內(nèi)流量進(jìn)行監(jiān)測。城域網(wǎng)內(nèi)所有設(shè)備的管理地址，原則上不參與Internet路由，僅為本地網(wǎng)管系統(tǒng)服務(wù)，可配置私網(wǎng)地址。特殊情況下（省網(wǎng)或全國網(wǎng)設(shè)備）設(shè)備管理地址應(yīng)當(dāng)有嚴(yán)格的路由策略，避免與公網(wǎng)流量進(jìn)行互通。IP城域網(wǎng)的安全策略（一）IP城域網(wǎng)組網(wǎng)演進(jìn)分析（二）IP城域網(wǎng)規(guī)劃設(shè)計(jì)要求（三）IP城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)（四）IP城域網(wǎng)關(guān)鍵技術(shù)（五）IP城域網(wǎng)的安全策略（六）IP城域網(wǎng)接入方式（七）IP城域網(wǎng)應(yīng)用案例解析IP城域網(wǎng)設(shè)計(jì)1、寬帶城域網(wǎng)的無線接入2、寬帶城域網(wǎng)的有線接入IP城域網(wǎng)接入方式寬帶城域網(wǎng)的無線接入無線接入目前主要有兩種手段：一種是采用WLAN(無線局域網(wǎng))；另一種是借助移動(dòng)通信網(wǎng)，如GPRS或3G。WLAN采用協(xié)議，可在一定范圍內(nèi)提供較低移動(dòng)性的高速數(shù)據(jù)業(yè)務(wù)54M、108M~300M。WLAN保持了局域網(wǎng)高速率的特點(diǎn)，可以作為有線局域網(wǎng)的補(bǔ)充，在一定場合甚至可以替換有線局域網(wǎng)。無線局域工作在的頻段。

寬帶城域網(wǎng)的有線接入應(yīng)當(dāng)推進(jìn)寬帶接入網(wǎng)絡(luò)優(yōu)化改造，網(wǎng)絡(luò)結(jié)構(gòu)扁平化，合理布局匯聚節(jié)點(diǎn)，對性能無法滿足要求的匯聚設(shè)備進(jìn)行升級改造，提高轉(zhuǎn)發(fā)效率，降低故障率。當(dāng)前，接入網(wǎng)技術(shù)的主要是充分利用銅纜的技術(shù)，并且組網(wǎng)模式可以和FTTx相結(jié)合。在PON技術(shù)成本逐步降低的前提下，PON的份額也在逐步加大。就遠(yuǎn)期而言，利用光纖實(shí)現(xiàn)FTTH的PON技術(shù)將成為未來城域網(wǎng)接入技術(shù)的主流。城域網(wǎng)有線接入的主要發(fā)展趨勢是寬帶化、光纖化、IP化，能夠提供更高的帶寬更方便的認(rèn)證和計(jì)費(fèi)。寬帶城域網(wǎng)的有線接入-PONPON技術(shù)始于20世紀(jì)80年代初，目前市場上的PON產(chǎn)品按照其采用的技術(shù)，主要分為APON／BPON（ATMPON／寬帶PON）、EPON（以太網(wǎng)PON）和GPON（吉比特PON）。從長遠(yuǎn)的業(yè)務(wù)發(fā)展趨勢看，ATM化的無源光網(wǎng)絡(luò)/寬帶無源光網(wǎng)絡(luò)（APON/BPON）可用帶寬遠(yuǎn)遠(yuǎn)不夠。以FTTC為例，盡管典型主干下行速率可達(dá)622Mbit/s，但分路后實(shí)際可分到每個(gè)用戶的帶寬將大大減小。按32路計(jì)算，每一個(gè)分支的可用帶寬僅剩19.5Mbit/s，再按10個(gè)用戶共享計(jì)算，則每個(gè)用戶僅能分到約2Mbit/s。

寬帶城域網(wǎng)的有線接入-PONEPON以以太網(wǎng)為載體，采用點(diǎn)到多點(diǎn)結(jié)構(gòu)、無源光纖傳輸方式，下行速率目前可達(dá)到10Gbit/s，上行以突發(fā)的以太網(wǎng)包方式發(fā)送數(shù)據(jù)流?？紤]PON是一種點(diǎn)到多點(diǎn)的物理和邏輯拓?fù)浣Y(jié)構(gòu)，而傳統(tǒng)的以太網(wǎng)是點(diǎn)到點(diǎn)的協(xié)議，所以如何在點(diǎn)到多點(diǎn)的EPON中傳送點(diǎn)到點(diǎn)的以太網(wǎng)協(xié)議，是以太網(wǎng)應(yīng)解決的技術(shù)問題。此外EPON技術(shù)中還需解決的問題包括：點(diǎn)到多點(diǎn)的光系統(tǒng)中突發(fā)模式傳送的問題；PON中不同ONU與OLT的距離相差較大，需要解決到達(dá)OLT光信號強(qiáng)度的巨大偏差問題；解決非授權(quán)ONU的累積噪聲對授權(quán)ONU發(fā)出的光信號的干擾問題；寬帶城域網(wǎng)的有線接入-PON相對而言，GPON技術(shù)可以更好地解決上述EPON這些問題。GPON除了支持更高的速率之外，還以很高的效率支持多種業(yè)務(wù)，提供豐富的功能和良好的擴(kuò)展性。GPON不僅可以提供10/100Mbit/s、1Gbit/s的業(yè)務(wù)，而且可以提供VLAN業(yè)務(wù)和語音業(yè)務(wù)。同EPON是制造商驅(qū)動(dòng)的技術(shù)標(biāo)準(zhǔn)不一樣，GPON是運(yùn)營商驅(qū)動(dòng)的標(biāo)準(zhǔn)，因此具有更周到的運(yùn)營利益考慮。寬帶城域網(wǎng)的有線接入（一）IP城域網(wǎng)組網(wǎng)演進(jìn)分析（二）IP城域網(wǎng)規(guī)劃設(shè)計(jì)要求（三）IP城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)（四）IP城域網(wǎng)關(guān)鍵技術(shù)（五）IP城域網(wǎng)的安全策略（六）IP城域網(wǎng)接入方式（七）IP城域網(wǎng)應(yīng)用案例解析IP城域網(wǎng)設(shè)計(jì)城域網(wǎng)雙邊緣目標(biāo)架構(gòu)城域網(wǎng)二平面目標(biāo)架構(gòu)交換機(jī)路由器防火墻防毒墻NAT技術(shù)VLAN技術(shù)虛擬路由器負(fù)荷分擔(dān)IPv6技術(shù)概念交換機(jī)交換機(jī)工作于OSI參考模型的第二層，即數(shù)據(jù)鏈路層。交換機(jī)通過ARP協(xié)議學(xué)習(xí)它的MAC地址，保存成一張交換表。在今后的通訊中，發(fā)往該MAC地址的數(shù)據(jù)包將僅送往其對應(yīng)的端口，而不是所有的端口。因此，交換機(jī)可用于劃分?jǐn)?shù)據(jù)鏈路層廣播，即沖突域；但它不能劃分網(wǎng)絡(luò)層廣播，即廣播域。交換機(jī)的的三個(gè)主要功能：地址學(xué)習(xí)（Mac地址）幀的轉(zhuǎn)發(fā)/過濾回路防止（生成樹）交換機(jī)被廣泛應(yīng)用于二層網(wǎng)絡(luò)交換。中檔的網(wǎng)管型交換機(jī)還具有VLAN劃分、端口自動(dòng)協(xié)商、MAC訪問控制列表等功能，并提供字符界面或圖形界面控制臺，供網(wǎng)絡(luò)管理員調(diào)整參數(shù)；交換機(jī)-生成樹冗余拓?fù)湎擞捎趩吸c(diǎn)故障所引致的網(wǎng)絡(luò)不通問題，卻帶來了數(shù)據(jù)環(huán)路的問題。在交換網(wǎng)絡(luò)內(nèi)，采用生成樹協(xié)議進(jìn)行環(huán)路避免。路由器路由器是連接兩個(gè)以上網(wǎng)絡(luò)線路的設(shè)備。由于位于兩個(gè)或更多個(gè)網(wǎng)絡(luò)的交匯處，從而可在它們之間傳遞數(shù)據(jù)。路由器與交換機(jī)(Switch)在概念上有一定重疊但也有不同：交換機(jī)泛指工作于任何網(wǎng)絡(luò)層次的數(shù)據(jù)中繼設(shè)備（盡管多指網(wǎng)橋），而路由器則更專注于網(wǎng)絡(luò)層。路由器也被當(dāng)作Internet網(wǎng)關(guān)，主要用在小型網(wǎng)絡(luò)中如家庭或小型辦公室。這種設(shè)備使用的Internet連接往往是一直在線的寬帶連接如線纜調(diào)制解調(diào)器和DSL。這種路由器連接兩個(gè)網(wǎng)絡(luò)-WAN和LAN并有自己的路由表。盡管在家庭應(yīng)用中并不需要太多路由功能（因?yàn)橹淮嬖趦蓷l路-WAN和LAN）。額外地路由器還支持DHCP、NAT、DMZ和防火墻功能，也有一些支持內(nèi)容過濾和VPN。目前高端路由器和交換機(jī)的區(qū)別已經(jīng)不再明顯，都有大容量告訴轉(zhuǎn)發(fā)等功能。路由器為了實(shí)現(xiàn)路由,路由器需要做下列事情:識別分組中的目的IP地址。識別分組中的源IP地址——主要在策略路由中存在。在路由表中發(fā)現(xiàn)可能的路徑。選擇路由表中到達(dá)目標(biāo)最好的路徑。維護(hù)和檢查路由信息.路由器IP路由：把一個(gè)數(shù)據(jù)包從一個(gè)設(shè)備發(fā)送到不同網(wǎng)絡(luò)里的另一個(gè)設(shè)備上去。這些工作依靠路由器來完成。路由器并不關(guān)心主機(jī)，它們只關(guān)心網(wǎng)絡(luò)的狀態(tài)和決定網(wǎng)絡(luò)中的最佳路徑。路由的實(shí)現(xiàn)依靠路由器中的路由表來完成；對于每個(gè)不同的可路由協(xié)議來說，在路由器會(huì)分別構(gòu)造一張路由表。每個(gè)路由器針對每個(gè)可路由協(xié)議來說只能有一張路由表！三層交換傳統(tǒng)的交換機(jī)通過Mac地址對數(shù)據(jù)幀進(jìn)行轉(zhuǎn)發(fā)，既我們常說的二層交換。隨著網(wǎng)絡(luò)的發(fā)展，交換機(jī)被越來越多的使用。同時(shí)提供路由與交換功能對傳統(tǒng)交換機(jī)提出更高的要求，多層交換隨之而生。三層交換機(jī)可以處理第三層網(wǎng)絡(luò)層協(xié)議，用于連接不同網(wǎng)段，通過對缺省網(wǎng)關(guān)的查詢學(xué)習(xí)來創(chuàng)建兩個(gè)網(wǎng)段之間的直接連接；四層交換機(jī)可以處理第四層傳輸層協(xié)議，可以將會(huì)話與一個(gè)具體的IP地址綁定，以實(shí)現(xiàn)虛擬IP；此外還有七層交換機(jī)。三層交換：一次路由多次交換。優(yōu)點(diǎn)：較傳統(tǒng)交換機(jī)相比，提供了三層的路由功能。較傳統(tǒng)路由器相比，提供了更快的轉(zhuǎn)發(fā)速度。防火墻防火墻基本的功能就是控制在網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它有控制信息基本的任務(wù)在不同信任的區(qū)域。典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個(gè)沒有信任的區(qū)域)和一個(gè)內(nèi)部網(wǎng)絡(luò)(一個(gè)高信任的區(qū)域)。最終目標(biāo)是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運(yùn)行和連通性模型之間根據(jù)最少特權(quán)原則。防火墻防火墻基本的功能就是控制在網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它有控制信息基本的任務(wù)在不同信任的區(qū)域。典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個(gè)沒有信任的區(qū)域)和一個(gè)內(nèi)部網(wǎng)絡(luò)(一個(gè)高信任的區(qū)域)。最終目標(biāo)是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運(yùn)行和連通性模型之間根據(jù)最少特權(quán)原則。防毒墻防毒墻是指位于網(wǎng)絡(luò)入口處（網(wǎng)關(guān)），用于對網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過濾的網(wǎng)絡(luò)安全設(shè)備。通俗的說，防毒墻可以部署在局域網(wǎng)和互聯(lián)網(wǎng)交界的地方，阻止病毒從互聯(lián)網(wǎng)侵入內(nèi)網(wǎng)。凡是病毒都有一定的特征。防毒墻會(huì)掃描通過網(wǎng)關(guān)的數(shù)據(jù)包，然后對這些數(shù)據(jù)進(jìn)行病毒掃描，如果是病毒，則將其清除。理論上講，防毒墻可以阻止任何病毒從網(wǎng)關(guān)處侵入企業(yè)內(nèi)部網(wǎng)絡(luò)。防毒墻防毒墻和防火墻的區(qū)別：防火墻對網(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析，它對從正常電腦上發(fā)送過來的病毒數(shù)據(jù)流是無能為力的，因?yàn)樗鼰o法識別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻則是為了解決防火墻天生的防毒缺陷而產(chǎn)生的一種安全設(shè)備。它可以進(jìn)行網(wǎng)關(guān)處的查毒工作，對病毒的界定則更準(zhǔn)確、更可靠。NAT網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation或簡稱NAT）是一種在IP數(shù)據(jù)包通過路由器或防火墻時(shí)重寫源IP地址或/和目的IP地址的技術(shù)。這種技術(shù)被普遍使用在有多臺主機(jī)但只通過一個(gè)公有IP地址訪問因特網(wǎng)的私有網(wǎng)絡(luò)中。根據(jù)規(guī)范，路由器是不能這樣工作的，但它的確是一個(gè)方便并得到了廣泛應(yīng)用的技術(shù)。當(dāng)然，NAT也讓主機(jī)之間的通信變得復(fù)雜，導(dǎo)致通信效率的降低。目前存在兩種地址轉(zhuǎn)換方式。一種是經(jīng)常被簡記為“NAT”的網(wǎng)絡(luò)地址轉(zhuǎn)換(有時(shí)也叫做“網(wǎng)絡(luò)地址端口轉(zhuǎn)換”，NAPT/PAT)，這種方式支持端口的映射并允許多臺主機(jī)共享一個(gè)公用IP地址。另一種也可以稱作NAT或“基本NAT”，“靜態(tài)NAT”，在技術(shù)上更簡單一點(diǎn)，僅支持地址轉(zhuǎn)換，不支持端口映射，這就需要對每一個(gè)當(dāng)前連接都要對應(yīng)一個(gè)IP地址。NATNATVLAN虛擬局域網(wǎng)（VirtualLocalAreaNetwork或簡寫VLAN）是一種建構(gòu)于局域網(wǎng)的網(wǎng)絡(luò)管理的技術(shù)，網(wǎng)管人員可以借此有效分配出入局域網(wǎng)的封包到正確的出入，達(dá)到對不同實(shí)體局域網(wǎng)中的設(shè)備進(jìn)行邏輯分組管理，并降低局域網(wǎng)內(nèi)大量數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，因無用封包過多導(dǎo)致雍塞的問題，以及提升局域網(wǎng)的安全保障。一個(gè)VLAN相當(dāng)于OSI模型第2層的廣播域，它能將廣播控制在一個(gè)VLAN內(nèi)部。而不同VLAN之間或VLAN與LAN/WAN的數(shù)據(jù)通訊必須通過第3層（網(wǎng)絡(luò)層）完成。否則，即便是同一交換機(jī)上的接口，假如它們不處于同一個(gè)VLAN，正常情況下也無法進(jìn)行數(shù)據(jù)通信。隔離廣播域，抑制廣播報(bào)文.分隔不同用戶,提高網(wǎng)絡(luò)安全性.虛擬工作組,超越傳統(tǒng)網(wǎng)絡(luò)的工作方式主機(jī)A主機(jī)B主機(jī)C主機(jī)D以太網(wǎng)交換機(jī)VLAN表Port1Port2Port7Port10端口所屬VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10VLANVLAN表User所屬VLANUserAVLAN5UserBVLAN10UserCVLAN5UserDVLAN10主機(jī)A主機(jī)B主機(jī)C主機(jī)D以太網(wǎng)交換機(jī)Port1Port2Port7Port10VLANVLAN每個(gè)邏輯VLAN就像一個(gè)一個(gè)物理上分離交換機(jī).VLAN能跨越多臺交換機(jī);也就是說,VLAN信息可以在交換機(jī)之間傳遞和學(xué)習(xí).Trunk(中繼線路)能承載多個(gè)VLAN的流量.Trunk使用中繼協(xié)議來區(qū)分不同VLAN的流量.VLAN虛擬路由器虛擬路由器即VirtualRouter，是指在軟、硬件層實(shí)現(xiàn)物理路由器的功能仿真，屬于一種邏輯設(shè)備。每個(gè)VR應(yīng)該具有邏輯獨(dú)立的路由表和轉(zhuǎn)發(fā)表，這樣就使不同VR間的地址空間可以重用，并保證了VR內(nèi)部路由和轉(zhuǎn)發(fā)的隔離性。虛擬路由器類似交換中的VLAN技術(shù)，通常用于MPLS/VPN網(wǎng)絡(luò)中，用以隔離多個(gè)VPN網(wǎng)絡(luò)。MPLS多協(xié)議標(biāo)簽交換（MPLS），是一種全新的數(shù)據(jù)轉(zhuǎn)發(fā)技術(shù)。較之傳統(tǒng)的IP路由轉(zhuǎn)發(fā)相比，標(biāo)簽交換可以讓路由器更加快速的將數(shù)據(jù)包轉(zhuǎn)發(fā)至目的地。MPLSMPLS的標(biāo)簽共4個(gè)字節(jié)（Byte），被封裝在第二層報(bào)頭和第三層報(bào)頭之間，所以有人將MPLS技術(shù)稱之為“層”技術(shù)。MPLS像路由協(xié)議一樣，MPLS路由器將標(biāo)簽分配完成后，需要將標(biāo)簽分配信息發(fā)送給其他運(yùn)行了MPLS的路由器。所以標(biāo)簽交換也需要有IP路由（通常是IGP）作為基礎(chǔ)運(yùn)行條件。但是MPLS里的IP路由，僅僅作為標(biāo)簽傳遞的工具，不再作為數(shù)據(jù)轉(zhuǎn)發(fā)使用，這里的數(shù)據(jù)轉(zhuǎn)發(fā)由標(biāo)簽交換來完成MPLSMPLS/VPNMPLS/VPN中，關(guān)鍵設(shè)備為PE。所有的標(biāo)簽壓入/彈出工作都是由PE來完成的。PE通過虛擬路由轉(zhuǎn)發(fā)技術(shù)，將一臺路由器虛擬成為多臺路由器，以達(dá)到VPN的效果。