中國電信北方9省IP 網(wǎng)絡(luò)二期山東省省網(wǎng)IP網(wǎng)絡(luò)建設(shè)技術(shù)實施方案

1、技術(shù)實施方案中國電信集團系統(tǒng)集成有限責任公司技術(shù)文檔 密級：技術(shù)實施方案中國電信集團系統(tǒng)集成有限責任公司技術(shù)文檔 密級：保密中國電信北方9省IP 網(wǎng)絡(luò)二期山東省省網(wǎng)IP 網(wǎng)絡(luò)建設(shè)技術(shù)實施方案中國電信集團系統(tǒng)集成有限責任公司 二三年六月 TOC o 1-4 h z u HYPERLINK l _Toc42314397 第一部分方案描述 圖1-1 山東省IP網(wǎng)絡(luò)一路由協(xié)議目前，山東省電信以濟南，青島為省內(nèi)核心節(jié)點，在兩個節(jié)點設(shè)出口路由器，與骨干路由器相連山東電信省網(wǎng)申請的自治域號為17963對外，山東電信采用17963與骨干網(wǎng)（）交換路由信息，對內(nèi)，目前采用ospf做為IGP1.2 山東電信IP二

2、期建設(shè) 網(wǎng)絡(luò)結(jié)構(gòu)山東省IP二期將調(diào)整和優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，擴大網(wǎng)絡(luò)的傳輸能力，增加網(wǎng)絡(luò)覆蓋節(jié)點以及增強節(jié)點處理和交換能力。山東省IP二期仍采用兩層網(wǎng)絡(luò)結(jié)構(gòu)：核心層和匯聚層。網(wǎng)絡(luò)調(diào)整優(yōu)化后，整個省網(wǎng)會更加簡潔，更易于管理、調(diào)測和維護，更利于日后擴充。1) 核心層核心層提供與骨干電路的互聯(lián)，以及提供省內(nèi)各信息交換的通路。2）匯聚層匯聚層負責匯接各節(jié)點到核心節(jié)點的連接，并為省內(nèi)新業(yè)務(wù)的開展提供服務(wù)點。節(jié)點設(shè)備和線路情況為在有限投資的前提下，最大限度提高網(wǎng)絡(luò)節(jié)點處理和交換能力，本次工程將根據(jù)業(yè)務(wù)需要和節(jié)點在網(wǎng)絡(luò)中的地位采用不同的設(shè)備濟南和青島做為省出口采用愛立信AXI580和華為8016，一級和二級地市采用

3、愛立信AXI520-8和華為8016，三級地市采用華為NE40，做為節(jié)點路由器本次工程后的網(wǎng)絡(luò)，各匯聚節(jié)點將采用1155M電路分別與濟南和青島相連，淄博由于出省的流量高，帶寬需求大的情況，本次工程以2155M POS上連濟南，1155M POS上連青島路由協(xié)議 此次工程建設(shè)，域間路由策略的選擇上，山東電信仍使用17963與骨干網(wǎng)交換路由信息。域內(nèi)采用OSPF作為IGP.1.3 承載的業(yè)務(wù)山東電信IP網(wǎng)近期需承載的業(yè)務(wù)如下：（1）Internet（2）NGN（3）3G（4）虛擬專網(wǎng)（5）DCN（6）組播業(yè)務(wù)隨著業(yè)務(wù)發(fā)展，山東電信IP網(wǎng)也將承載其他業(yè)務(wù)。第二章 網(wǎng)絡(luò)設(shè)計原則為使山東電信能夠提供一個

4、靈活、先進和可靠的多業(yè)務(wù)平臺，為山東電信進一步開展數(shù)據(jù)業(yè)務(wù)，吸引更多數(shù)據(jù)用戶，增強市場競爭力打下良好的基礎(chǔ)。我們在進行網(wǎng)絡(luò)設(shè)計時，本著以下幾點進行設(shè)計：1）網(wǎng)絡(luò)的可靠性網(wǎng)絡(luò)的可靠性是網(wǎng)絡(luò)設(shè)計中需要考慮的一個主要原則。在網(wǎng)絡(luò)設(shè)計時，應(yīng)避免網(wǎng)絡(luò)中出現(xiàn)單故障點，并應(yīng)該考慮在出現(xiàn)故障情況下網(wǎng)絡(luò)的性能，通過網(wǎng)絡(luò)設(shè)計減少故障對網(wǎng)絡(luò)性能的影響。2）流量的負載分擔本次工程各匯聚節(jié)點均采用155M電路分別與濟南和青島相連，并且網(wǎng)絡(luò)流量隨著山東電信發(fā)展的日益壯大，網(wǎng)絡(luò)流量的負載分擔問題成為網(wǎng)絡(luò)設(shè)計時需要考慮的一個主要因素，必須使網(wǎng)絡(luò)的流量能夠比較合理的分布在各條電路上。3）網(wǎng)絡(luò)的性能省網(wǎng)不同于骨干網(wǎng)，它將更面向與

5、用戶，因此山東省網(wǎng)將成為提供多種業(yè)務(wù)的統(tǒng)一網(wǎng)絡(luò)平臺，并應(yīng)該為不同的業(yè)務(wù)提供服務(wù)質(zhì)量保證（QoS）。因此在網(wǎng)絡(luò)設(shè)計時應(yīng)該考慮網(wǎng)絡(luò)性能的因素，使網(wǎng)絡(luò)能夠滿足未來提供的新業(yè)務(wù)對服務(wù)質(zhì)量的要求。4）對新業(yè)務(wù)的支持程度5）網(wǎng)絡(luò)管理的復(fù)雜程度鑒于山東電信網(wǎng)絡(luò)規(guī)模的擴大，未來的網(wǎng)絡(luò)管理的工作量也會變的越來越大和復(fù)雜。因此在網(wǎng)絡(luò)設(shè)計應(yīng)該考慮網(wǎng)絡(luò)管理的因素，使得故障定位和流量調(diào)整的難度和復(fù)雜性降低。第三章 網(wǎng)絡(luò)拓撲設(shè)計節(jié)點劃分按照設(shè)計原則，整個網(wǎng)絡(luò)分為核心層和匯聚層核心層（兩地市）：濟南、青島。匯聚層（15地市）：濟寧、濰坊、煙臺、淄博、東營、泰安、威海、日照、濱州、德州、聊城、臨沂、荷澤、棗莊、萊蕪3.2 網(wǎng)

6、絡(luò)拓撲結(jié)構(gòu)根據(jù)實際電路情況和路由政策，山東省電信網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示；3.3 網(wǎng)絡(luò)節(jié)點設(shè)計山東電信IP網(wǎng)分為核心層和匯聚層，核心層為濟南和青島節(jié)點，其余15地市為匯聚層各個地市的城域網(wǎng)通過MSTP等方式完成業(yè)務(wù)接入功能。因此將在除原來設(shè)有省域節(jié)點的5個地市外的其它12個地市分別設(shè)置路由交換設(shè)備，12地市分別為：淄博、東營、泰安、威海、日照、濱州、德州、聊城、臨沂、荷澤、棗莊、萊蕪，以實現(xiàn)用戶寬窄帶業(yè)務(wù)的接入和匯聚，并實現(xiàn)相關(guān)地區(qū)DCN網(wǎng)的接入。核心層節(jié)點濟南、青島作為網(wǎng)絡(luò)的核心層，其地位最為重要。濟南、青島作為業(yè)務(wù)發(fā)展的重點城市，將會有較大的業(yè)務(wù)量，S8016是整個地市的核心匯聚設(shè)備，業(yè)務(wù)開展較

7、多。此次擴容在濟南節(jié)點，580增加兩GE卡，用來上聯(lián)骨干GSR和下聯(lián)S8016，并通過channel 技術(shù)和原有的一條GE線路捆綁，增加帶寬和穩(wěn)定性。為保證此次擴容，對原有的AXI580路由器進行板卡擴容，在濟南新增3塊4*155M POS板卡，在青島新增3塊4*155M POS板卡，用于各地市的上聯(lián)。 匯聚層節(jié)點根據(jù)此次工程設(shè)計，匯聚層節(jié)點，將按照三級地市分級建設(shè)，分別是；（1）二級地市二級地市主要有淄博、東營、泰安、威海、日照、德州、臨沂、荷澤等8 地市，選用愛立信AXI520路由器和華為交換機8016組成，本次工程以1155M POS上連濟南，1155M POS上連青島，組成雙星型的網(wǎng)絡(luò)

8、結(jié)構(gòu)。具體網(wǎng)絡(luò)結(jié)構(gòu)如圖所示： （2）三級地市三級地市包括濱州、聊城、棗莊、萊蕪，這一級地市均選用華為通用路由器做地市出口，如下圖；第二部分IP實施方案第四章 全網(wǎng)路由策略4.1 省內(nèi)路由策略 省內(nèi)IGP 部署規(guī)劃目前山東省網(wǎng)采用OSPF協(xié)議作為全網(wǎng)省內(nèi)路由條目的承載，由省出口設(shè)備同省其他地市節(jié)點之間的部分作為Area0。采用這類方式后，有一個比較大的問題是現(xiàn)網(wǎng)中IGP路由表單的問題，因為現(xiàn)網(wǎng)中設(shè)備能力及其不均衡。隨著將來城域網(wǎng)的發(fā)展和用戶接入的不斷增加，是否所有的設(shè)備都可以穩(wěn)定的承載數(shù)千條散碎的省內(nèi)路由是一個問題。其次，隨著2期IP網(wǎng)絡(luò)架設(shè)后，節(jié)點的增多，地市業(yè)務(wù)的不斷發(fā)展，那么在現(xiàn)網(wǎng)中較多的

9、將部分接入節(jié)點的路由通過靜態(tài)指向后注入到OSPF協(xié)議中，因為按照OSPF的區(qū)域劃分方法，一個地市就只有一個Area號，這樣這些相應(yīng)的條目都會在同一地市的IGP表單中出現(xiàn)。同時以E2方式在其他地市IGP表單中出現(xiàn)。以上談到的問題，在江西電信，浙江電信的網(wǎng)絡(luò)結(jié)構(gòu)和路由策略中已經(jīng)體現(xiàn)出來，并且對現(xiàn)有的業(yè)務(wù)造成了很大的影響，目前，正在要求對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)和路由協(xié)議作相應(yīng)的調(diào)整和改動。因此，我們建議在目前省網(wǎng)骨干互聯(lián)部分采用ISIS方式建立新的互聯(lián)結(jié)構(gòu)。針對各地市內(nèi)部網(wǎng)絡(luò)希望采用OSPF結(jié)構(gòu)的情況，考慮將來將地市核心設(shè)備放置在Area0，其他邊緣接入采用各自定義的Area號碼。將來在各地市接入路由器上通

10、過OSPF的Area0發(fā)布默認路由引導(dǎo)全地市設(shè)備對地市外地址的訪問。同時在地市接入路由器上將地市路由注入BGP協(xié)議，同時對這部分路由做聚合，按照地市分配的地址表單作相應(yīng)聚合，保障發(fā)布的整體條目清晰。由濟南、青島對整體省網(wǎng)的地址表單做相應(yīng)BGP聚合。在ISIS網(wǎng)絡(luò)中，路徑的選擇是通過ISIS的相應(yīng)設(shè)備端口Metric值的累計來區(qū)分，因為目前所有的省內(nèi)第一出口是通過4*155M POS連接骨干，而第二出口節(jié)點目前還沒有開通鏈路，只擁有2*E1到天津。同時第二出口的鏈路目前將主要作為DCN網(wǎng)絡(luò)的鏈路使用。這樣在端口的COST設(shè)定上，將在相應(yīng)的其他省內(nèi)節(jié)點上調(diào)低到省內(nèi)第一出口節(jié)點的端口Metric值，

11、以引導(dǎo)流量都從省內(nèi)第一出口出省。同時針對從省外回來的流量也將調(diào)高到達省第二出口的端口Metric值，以不會出現(xiàn)流量從第二出口迂回。整體路由結(jié)構(gòu)如下：濟南濟南163骨干163骨干地市B地市A青島OSFP路由表ISIS路由表OSFP路由表OSFP路由表OSFP路由表采用這種路由接入模式后，現(xiàn)網(wǎng)中的整體路由結(jié)構(gòu)后會相應(yīng)變化，可以較大增強現(xiàn)有地市的接入能力，同時對現(xiàn)網(wǎng)中邊緣設(shè)備的接入能力和路由支持能力要求下降。整體路由引導(dǎo)模式調(diào)整后，預(yù)計會對現(xiàn)有網(wǎng)絡(luò)設(shè)備內(nèi)存使用等情況有相應(yīng)緩解。整體路由引導(dǎo)結(jié)構(gòu)變化如下圖：向地市網(wǎng)絡(luò)發(fā)布OSPF默認路由引導(dǎo)出流量地市A向地市網(wǎng)絡(luò)發(fā)布OSPF默認路由引導(dǎo)出流量地市A青島

12、濟南BGP聚合引導(dǎo)省入流量BGP聚合引導(dǎo)省入流量EBGPEBGPIBGPISIS范圍OSPF范圍OSPF注入BGP，并做相應(yīng)策略引導(dǎo)回流量163骨干163骨干具體的實現(xiàn)方式為：在山東省網(wǎng)中運行IS-IS路由協(xié)議，各個地市運行獨立的一套OSPF路由協(xié)議，各個地市的落地骨干設(shè)備同時運行這兩種路由協(xié)議，現(xiàn)網(wǎng)將來準備充當城域網(wǎng)核心設(shè)備的S8016放在OSPF AREA0內(nèi)，其他設(shè)備將按照需要放在城域網(wǎng)內(nèi)部的AREA號內(nèi)，對新增電路或網(wǎng)絡(luò)可以按照需要調(diào)整到新的OSPF AREA號內(nèi)。同時在城市內(nèi)部不同AREA之間的OSPF ABR上對于地址進行匯聚，同時在地市出口路由器上將OSPF的聚合路由注入到IBG

13、P中。其結(jié)構(gòu)如下所示：濟南青島濟南青島IBGP-PEERIBGP-PEERISISISIS地市A地市AArae0Arae0S8016S8016OSPFOSPFArae3Arae4Arae5Arae3Arae4Arae5Arae2Arae1Arae2Arae1地市網(wǎng)絡(luò)中的設(shè)備只運行OSPF路由協(xié)議，同時各地市的落地設(shè)備通過發(fā)送默認路由的方式使地市中各網(wǎng)絡(luò)設(shè)備的默認網(wǎng)關(guān)指向此落地骨干設(shè)備，各地市落地骨干設(shè)備的管理地址LOOP0同時分發(fā)入兩種路由協(xié)議；地市間的路由通過IBGP的方式經(jīng)過匯總后有省中心路由器統(tǒng)一分發(fā)，這樣便于制定路由策略。通過這種配置使地市內(nèi)的網(wǎng)絡(luò)設(shè)備需要維護的路由表相對目前的情況小很

14、多。如圖所示，整個網(wǎng)絡(luò)中運行IGP和IBGP路由協(xié)議的示意圖：省中心兩臺路由器作為IBGP的RR（Router Reflector路由反射器），減少網(wǎng)絡(luò)中IBGP PEER的數(shù)量，同時可以在省中心進行統(tǒng)一的IBGP路由策略控制，向各個地市分發(fā)路由。 省內(nèi)BGP部署規(guī)劃建議繼續(xù)基于BGP-RR的結(jié)構(gòu)，由濟南、青島的兩臺出口路由器作為整體網(wǎng)絡(luò)的BGP RR點，并分別屬于不同的CLUSTER。這類結(jié)構(gòu)更換的作用是更好的避免了現(xiàn)網(wǎng)中某地市出現(xiàn)單條電路上聯(lián)故障后的路由更新問題。如果兩臺RR點作為一個Cluster，因為目前每個地市都是同濟南和青島有互聯(lián)電路，如果其中一條電路中斷，例如到濟南的電路故障后，

15、正常情況下，濟南應(yīng)該從青島學(xué)習到該地市的路由條目，但因為同屬于一個Cluseter，會將此更新丟棄，這類故障在骨干網(wǎng)上已經(jīng)出現(xiàn)過。BGP-Full-mesh同BGP-RR在本質(zhì)上沒有區(qū)別，都是為避免IBGP只傳一跳的問題。但隨著Full-mesh節(jié)點的增多，各個路由器上BGP進程對內(nèi)存的占用會逐步增加，因為每個PEER都是獨立的處理進程，其對整體設(shè)備的性能的影響會比較大，同時現(xiàn)網(wǎng)中如果有網(wǎng)絡(luò)振蕩，其BGP收斂時間受影響的PEER方向比較多。13 Routers =78 IBGP Sessions!13 Routers =78 IBGP Sessions!這樣Full-mesh不利于整體網(wǎng)絡(luò)的可

16、擴展性，針對這種情況，一般采用BGP路由放射器的方式來避免這類問題。BGP-RR的方式是采用一個或多個核心節(jié)點的方式來轉(zhuǎn)發(fā)相應(yīng)的BGP路由，同時其他IBGP節(jié)點同這些RR點建立Full-mesh互聯(lián)，并作為RR點的Client端，RR點之間建立普通IBGP-PEER。ASAS RR-Client IBGP nnectionsRR-RR IBGP ConnectionsEBGP ConnectionsDEGFBHCA1A2AS 4134ClientClientClientClientClient青島RR濟南RR其RR方式路由轉(zhuǎn)發(fā)原則為：RR點從Client收的路由將轉(zhuǎn)發(fā)給Client和非Clie

17、nt（不包含路由源方向） RR點從非Client收的路由將轉(zhuǎn)發(fā)給Client RR點從EBGP-PEER收的路由將轉(zhuǎn)發(fā)給所有的Client和非Client4.2 網(wǎng)間山東省出口路由策略 出省流量控制 省域出口路由器與骨干網(wǎng)AS4134路由器運行EBGP，分別通過GE鏈路或155M POS連接到同一機房的骨干網(wǎng)路由器。通過設(shè)置省網(wǎng)路由器上接受骨干網(wǎng)設(shè)備發(fā)布的BGP MED 屬性來決定出省鏈路方向。也就是說，根據(jù)中國電信骨干網(wǎng)絡(luò)路由策略的要求，在出省流量上，省網(wǎng)骨干出口路由器不做任何策略，完全由163骨干網(wǎng)絡(luò)的MED來進行出省流量的引導(dǎo)。建議省網(wǎng)內(nèi)骨干核心路由器上全部運行BGP協(xié)議，路由器之間建立

18、IBGP互聯(lián)，這樣可以方便地實現(xiàn)路由策率和路由控制。同時通過IGP實現(xiàn)業(yè)務(wù)互聯(lián)，同時在各地市節(jié)點出口路由器上對自己地市IP地址完成匯聚。由山東省出口的兩臺設(shè)備作為全省的IBGP 的RR點，其互為備份，單一出口障礙的時候?qū)⑦x擇次優(yōu)的出口。并且，根據(jù)中國電信CHINANET骨干網(wǎng)的BGP路由承載策略，骨干網(wǎng)BGP將通過策略優(yōu)選出山東省的出口RR節(jié)點來引導(dǎo)流量。 回省流量控制在回省流量控制上，可以采用兩種方式來實現(xiàn)，第一種是通過內(nèi)部IGP計算出來的代價動態(tài)的轉(zhuǎn)換成BGP的MED值廣播給中國電信骨干網(wǎng)的EBGP PEER，來引導(dǎo)回省的流量。第二種方式，是通過劃分片區(qū)的方式，通過AS-PATH的方式來控

19、制回省的數(shù)據(jù)，將整個山東省省內(nèi)的15個節(jié)點（不包括濟南和青島），劃分為兩個片區(qū)，濟南片區(qū)和青島片區(qū)。臨沂，東營，日照，威海，聊城 將優(yōu)選青島為回省流量入口。濟寧、濰坊、煙臺、淄博、泰安、濱州、德州、荷澤、棗莊、萊蕪將優(yōu)選濟南為回省流量入口。AS-Path 屬性設(shè)置為了實現(xiàn)從骨干回流入省網(wǎng)的流量能夠比較均衡的分布在2個省出口，具體實現(xiàn)的方法如下：在濟南出口上對外廣播路由A, 臨沂，東營，日照，威海，聊城 的路由將AS加長3個廣播 set as-path prepend 17963 17963 17963B, 濟寧、濰坊、煙臺、淄博、泰安、濱州、德州、荷澤、棗莊、萊蕪 的路由將正常廣播。在青島出口

20、上對外廣播路由A, 濟寧、濰坊、煙臺、淄博、泰安、濱州、德州、荷澤、棗莊、萊蕪的路由將AS加長3個廣播 set as-path prepend 17963 17963 17963B, 臨沂，東營，日照，威海，聊城的路由將正常廣播。 省出口接收路由控制濟南和青島的兩臺連接骨干網(wǎng)絡(luò)的RR 上面學(xué)到所有的全球路由條目，但是通過BGP 的策略不通告給下聯(lián)的山東省內(nèi)的其他RR Client , 也就是說，青島和濟南擁有全球路由，下面的15個骨干節(jié)點只有用全國路由。整個山東省網(wǎng)骨干設(shè)備只擁有全國路由條目，而不需要學(xué)習全球路由，由骨干網(wǎng)放默認路由到省網(wǎng)。以上兩種方式，都是希望能夠讓此次山東省網(wǎng)的所有骨干節(jié)點

21、學(xué)習到全國的路由條目，因為，根據(jù)我們的骨干網(wǎng)的運維經(jīng)驗，全國大概有3000多條路由條目，根據(jù)我們從廠商了解到的性能指標得知，此次骨干節(jié)點的核心設(shè)備的性能都是可以處理這些路由條目。并且，因為，所有的省網(wǎng)骨干節(jié)點都擁有全國條目，這樣，所以出省的流量都可以動態(tài)的得知到達目的地的最佳路徑。此次山東省2期建設(shè)，將建議采用第一種策略，即山東省網(wǎng)全網(wǎng)骨干路由器只擁有全國路由條目。 省出口廣播路由控制1 在濟南出口向骨干網(wǎng)廣播的路由分為兩部分 廣播山東省網(wǎng)的所有地址塊（聚合地址） 廣播的濟寧、濰坊、煙臺、淄博、泰安、濱州、德州、荷澤、棗莊的路由2 在青島出口向骨干廣播的路由分為兩部分廣播山東省網(wǎng)的所有地址塊（

22、聚合地址）廣播的臨沂，東營，日照，威海，聊城的路由MED 屬性設(shè)置可以實現(xiàn)流量的分擔和備份MED 控制1 在濟南的出口向外廣播的路由分為二部分A 濟寧、濰坊、煙臺、淄博、泰安、濱州、德州、荷澤、棗莊的路由set metric 100B. 臨沂，東營，日照，威海，聊城的路由set metric 10002 在青島的出口向外廣播的路由分為二部分A. 臨沂，東營，日照，威海，聊城的路由set metric 100B 濟寧、濰坊、煙臺、淄博、泰安、濱州、德州、荷澤、棗莊的路由set metric 1000此次建設(shè)將統(tǒng)一推薦使用MED來控制出省入省的流量，并根據(jù)中國電信骨干網(wǎng)AS 4134 統(tǒng)一策略，省

23、網(wǎng)出入省不做任何BGP策略來影響骨干，由骨干網(wǎng)統(tǒng)一做策略引導(dǎo)山東省出入省流量。4.3 省內(nèi)與大客戶路由策略此次山東省網(wǎng)的建設(shè)采用的是合法的AS號，所以在業(yè)務(wù)運營模式上可以發(fā)展帶AS號的大客戶互聯(lián)網(wǎng)接入，爭取更多的優(yōu)質(zhì)用戶，增加收入。對于自帶AS號的用戶，通過統(tǒng)一分配的私有AS號，使得此類用戶在匯接層連接，在骨干核心層通過EBGP過濾防止將此類AS號碼通告給CHINANET骨干路由。對于此類用戶，根據(jù)我們的經(jīng)驗，大體分為兩種，第一種為只要求了解到國內(nèi)路由即可，并且只和CHINANET有連接，對于這類用戶，由于我們在前文中已經(jīng)提到，此次山東省網(wǎng)所有骨干路由器都擁有全網(wǎng)國內(nèi)路由，因此，此類用戶的需求

24、可以比較容易的滿足。第二類用戶，主要是不但和CHINANET有連接，并且和國內(nèi)其他運營商有連接，他們希望能夠了解到全網(wǎng)國際路由，以便選擇最佳的出口，對于此類用戶，我們只能采用上文提到的第一種方法，就是讓濟南和青島的兩個RR點擁有全網(wǎng)國際路由，然后通過路由控制，將國際路由發(fā)布給此類的客戶。第三部分具體施工方案及安排第五章網(wǎng)絡(luò)地址分配方案5.1 IP地址分配原則IP地址規(guī)劃是網(wǎng)絡(luò)設(shè)計的一個重要環(huán)節(jié)，應(yīng)遵循如下原則：1) 要充分考慮到未來發(fā)展的需求，應(yīng)堅持統(tǒng)一規(guī)劃、長遠考慮、分片分塊分配的原則。2) 地址分配應(yīng)本著簡化路由選擇，充分利用地址空間，最大限度地實現(xiàn)地址連續(xù)性，兼顧今后網(wǎng)絡(luò)發(fā)展，便于業(yè)務(wù)管

25、理等原則進行。3) 采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。4) IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用效率；5) 盡量采用合法地址，在IP地址不足的情況下，可以在省內(nèi)采用合法IP地址與保留地址相結(jié)合，并在省內(nèi)出口處統(tǒng)一做大規(guī)模的地址轉(zhuǎn)換。5.2 IP地址分配方案（見附件）5.3 節(jié)點設(shè)備及電路對照圖表設(shè)備連接圖電路對照表R1-A-SDJN-01.PNet：AXI-580電路描述本端端口號IP地址對端設(shè)備名對端端口號IP地址Loopback0濟南A1連接骨干GE-3/0/0R1-A-SDJN-1-NGE

26、3/0濟南A1-青島A1SO-1/2/0SO-3/2/0濟南A1-濟南S1GE-1/0/0GE3/1濟南A1-濟南S1GE-1/1/030濟南A1-煙臺A1SO-1/2/3SO-3/2/306/30濟南A1-濟寧A1SO-1/2/2SO-3/1/3濟南A1-濰坊A1SO-1/2/1SO-3/2/002/30濟南A1- 淄博A1SO-1/R1-A-SDZBSO-1/1/0濟南A1-東營A1SO-1/R1-A-SDDYSO-1/1/06/30濟南A1-泰安A1SO-1/R1-A-SDTASO-1/1/0.114/30濟南A1-三聯(lián)（客戶SO-3/2/0濟南A1-日照A1SO-3/2/1R1-A-S

27、DRZSO-1/1/030/30濟南A1-德州A1SO-3/2/2R1-A-SDDZSO-1/1/08/30濟南A1-臨沂A1SO-3/2/3R1-A-SDLYSO-1/1/04/30濟南A1-荷澤A1SO-5/1/0R1-A-SDHZSO-1/1/02/30濟南A1-濱州A1SO-5/1/1R1-A-SDBZSO-1/1/02/30濟南A1-聊城A1SO-5/1/2R1-A-SDLCSO-1/1/06/30濟南A1-棗莊A1SO-5/1/3R1-A-SDZZSO-1/1/050/30濟南A1-萊蕪A1SO-5/2/0R1-A-SDLWSO-1/1/04/30濟南A1-威海A1SO-5/2/1

28、R1-A-SDWHSO-1/1/08/30R2-A-SDJN-01.PNet：CISCO-7206電路描述本端端口號IP地址對端設(shè)備名對端端口號IP地址Loopback0濟南A2-濟南S1接入訪問公網(wǎng)的流量FE0/0FE14/1濟南A2-濟南S1接入長途交換網(wǎng)管FE14/2VLAN13濟南A2-濟南S1接入本地交換網(wǎng)管VLAN14濟南A2-濟南S1接入智能網(wǎng)管VLAN15濟南A2-濟南S1接入采集結(jié)算系統(tǒng)VLAN16濟南A2-濟南S1接入同步網(wǎng)管VLAN17濟南A2-濟寧A2S5/0S5/021濟南A2-濟寧A2S5/1S5/1濟南A2-煙臺A2S3/0S5/0濟南A2-煙臺A2S3/1S5/

29、1濟南A2-濰坊A2S5/2219.146.S5/0濟南A2-濰坊A2S5/3S5/1濟南A2-淄博N1S6/0濟南A2-淄博N1S6/14/30濟南A2-泰安N1S6/2濟南A2-菏澤N1S6/3濟南A2-德州N1S3/3濟南A2-天津A4TUN509R4-A-TUN905濟南A2-濟南CE1接入OA的VPN濟南A2-濟南CE1接入OA訪問公網(wǎng)S1-S-SDJN-01.PNet: HuaWei S8016電路描述本端端口號VLAN ID對端設(shè)備名對端端口號IP地址濟南S1-濟南A1GE3/110GE-1/0/0濟南S1-濟南A2接入公網(wǎng)的VLANFE14/110FE0/0濟南S1-濟南A2接

30、入長途交換網(wǎng)管FE14/213濟南S1-濟南A2接入本地交換網(wǎng)管14濟南S1-濟南A2接入智能網(wǎng)管15濟南S1-濟南A2接入采集結(jié)算系統(tǒng)16濟南S1-濟南A2接入同步網(wǎng)管17濟南S1-濟南N1FE14/310設(shè)備板卡對照表R1-A-：AXI-580 Loopback IP：FPCPIC板卡類型子端口電路描述地址備注10GE-1 portGE-1/0/0濟南A1-濟南S11GE-1 portGE-1/1/0濟南A1-濟南S12OC3 POS-4SO-1/2/0濟南A1-青島A1SO-1/2/1濟南A1-濰坊A1SO-1/2/2濟南A1-濟寧A1SO-1/2/3濟南A1-煙臺A13OC3 POS-

31、4SO-1/3/0濟南A1-淄博A1新增SO-1/3/2濟南A1-東營A1SO-1/3/3濟南A1-泰安A130GE-1 portGE-3/0/0濟南A1連接骨干1GE-1 portGE-3/1/0新增2OC3 POS-4SO-3/2/0三聯(lián)（大客戶）SO-3/2/1濟南A1-日照A1SO-3/2/2濟南A1-德州A1SO-3/2/3濟南A1-臨沂A150GE-1 portGE-5/0/0濟南A1連接骨干新增1OC3 POS-4SO-5/1/0濟南A1-荷澤A1新增SO-5/1/1濟南A1-濱州A1SO-5/1/2濟南A1-聊城A1SO-5/1/3濟南A1-棗莊A12OC3 POS-4SO-5

32、/2/0濟南A1-萊蕪A1新增SO-5/2/0濟南A1-威海A1SO-5/2/0SO-5/2/0R2-A-：CISCO-7206Loopback IP：Slot No.板卡類型子端口電路描述地址備注0I/O FE-2FE0/0濟南A2-濟南S1接入訪問公網(wǎng)的流量/26濟南A2-濟南S1接入長途交換網(wǎng)管濟南A2-濟南S1接入本地交換網(wǎng)管濟南A2-濟南S1接入智能網(wǎng)管濟南A2-濟南S1接入采集結(jié)算系統(tǒng)濟南A2-濟南S1接入同步網(wǎng)管3PA-E1-4S3/0濟南A2-煙臺A2219.146.S3/1濟南A2-煙臺A2濟南A2-濟南CE1接入OA的VPN濟南A2-濟南CE1接入OA訪問公網(wǎng)S3/3濟南A

33、2-德州N15PA-E1-4S5/0濟南A2-濟寧A2S5/1濟南A2-濟寧A2S5/2濟南A2-濰坊A2S5/3濟南A2-濰坊A26PA-E1-4S6/0濟南A2-淄博N1S6/1濟南A2-淄博N1S6/2濟南A2-泰安N1S6/3濟南A2-菏澤N1S1-S-SDJN-01.PNet: HuaWei S8016Management IP：Slot No.板卡類型子端口電路描述地址備注3GE-4 PortGE3/1濟南S1-濟南A110GE3/2IP設(shè)備互連VLAN10GE3/3IP設(shè)備互連VLAN10GE3/4IP設(shè)備互連VLAN106GE-4 PortGE6/1IP設(shè)備互連VLAN10GE

34、6/2IP設(shè)備互連VLAN10GE6/3IP設(shè)備互連VLAN10GE6/4IP設(shè)備互連VLAN1011FE-16 PortFE11/1接入機房用戶的VLAN12FE11/2接入機房用戶的VLAN12FE11/3接入機房用戶的VLAN12FE11/4接入機房用戶的VLAN12FE11/5接入長途交換網(wǎng)管的VLAN13FE11/6接入長途交換網(wǎng)管的VLAN13FE11/7接入本地交換網(wǎng)管的VLAN14FE11/8接入本地交換網(wǎng)管的VLAN14FE11/9接入智能網(wǎng)管的VLAN15FE11/10接入智能網(wǎng)管的VLAN15FE11/11接入采集結(jié)算系統(tǒng)的VLAN16FE11/12接入采集結(jié)算系統(tǒng)的VL

35、AN16FE11/13接入采集結(jié)算系統(tǒng)的VLAN16FE11/14接入采集結(jié)算系統(tǒng)的VLAN16FE11/15接入采集結(jié)算系統(tǒng)的VLAN16FE11/16接入同步網(wǎng)管的VLAN1714FE-16 PortFE14/1濟南S1-濟南A2接入公網(wǎng)的VLAN10FE14/2濟南S1-濟南A2接入支持系統(tǒng)VLAN13,14,15,16,17FE14/3濟南S1-濟南N110FE14/4接入采集結(jié)算系統(tǒng)的VLAN16FE14/5接入采集結(jié)算系統(tǒng)的VLAN16FE14/6接入采集結(jié)算系統(tǒng)的VLAN16FE14/7接入采集結(jié)算系統(tǒng)的VLAN16FE14/8接入采集結(jié)算系統(tǒng)的VLAN16FE14/9接入采集結(jié)

36、算系統(tǒng)的VLAN16FE14/10接入采集結(jié)算系統(tǒng)的VLAN16FE14/11接入服務(wù)器VLAN11FE14/12接入服務(wù)器VLAN11FE14/13接入服務(wù)器VLAN11FE14/14接入服務(wù)器VLAN11FE14/15接入服務(wù)器VLAN11FE14/16接入服務(wù)器VLAN11第六章 路由交換設(shè)備命名為了標識網(wǎng)絡(luò)設(shè)備所隸屬節(jié)點，在網(wǎng)絡(luò)設(shè)備名稱中將使用各節(jié)點的縮寫名稱，各節(jié)點的縮寫名稱如下表所示：山東?。簊d節(jié)點名稱縮寫名稱節(jié)點名稱縮寫名稱濟南jn日照rz青島qd泰安ta煙臺yt棗莊zz淄博zb東營dy威海wh萊蕪lw濰坊wf荷澤hz臨沂ln聊城lc濟寧jG濱州bz德州dz為了使設(shè)備易于管理與

37、維護，對設(shè)備進行合理命名是必要的。本節(jié)給出了本次九省網(wǎng)絡(luò)設(shè)備的命名方案。命名方案： 設(shè)備類型(n)-設(shè)備功能-（省名縮寫）（安裝地區(qū)縮寫）-節(jié)點機房編號. PNet設(shè)備類型(n)R:表示此設(shè)備為路由器。N:表示此設(shè)備為NASS:表示此設(shè)備為交換機n:安裝地的設(shè)備編號，范圍從1開始遞增設(shè)備功能CE:表示為MPLS VPN的CE路由器。A:表示為省接入路由器。S:表示為核心交換機N表示為NAS省名縮寫：參照國家域名中省名的縮寫。安裝地區(qū)縮寫：安裝地區(qū)前兩個漢字拼音的第一個字母的組合節(jié)點機房編號：表明安裝地區(qū)節(jié)點的多個機房編號，兩位數(shù)字PNet：表明設(shè)備屬于省網(wǎng)設(shè)備，區(qū)別與骨干設(shè)備名例子：R1-A-

38、SDJN 表示：位于山東省網(wǎng)濟南節(jié)點的第一號機房的第一臺路由器。省名縮寫：BJ-北京SH-上海TJ-天津CQ-重慶HE-河北SX-山西NM-內(nèi)蒙LN-遼寧JL-吉林HL-黑龍江JS-江蘇ZJ-浙江AH-安徽FJ-福建JX-江西SD-山東HA-河南HB-湖北HN-湖南GD-廣東GX-廣西HI-海南SC-四川GZ-貴州YN-云南XZ-西藏SN-陜西GS-甘肅QH-青海NX-寧夏XJ-新疆序號設(shè)備名稱設(shè)備型號數(shù)量備注1AXI 52012AXI 52013AXI 52014 AXI 52015AXI 52016AXI 52017R1AXI 52018AXI 52019NE40-8110NE40-811

39、1NE40-8112NE40-8113華為 S8016114華為 S8016115華為 S8016116華為 S8016117華為 S8016118華為 S8016119華為 S8016120華為 S80161注：詳細設(shè)備清單見附件濟南節(jié)點設(shè)備清單。AXI 規(guī)則例如：POS 1/2/0就是指第2塊FPC上第3塊PIC的Port 0端口。CISCO-7206例如：FE 0/0指Slot 0的第1個FE端口。CISCO-12406例如：GE 5/3/0 就是指第5個Slot上第3塊PA卡的第1個Port端口。HUAWEI-S8016例如：FE 1/1就是指第1塊接口線路板的第1個FE端口。注意：端

40、口號從1開始。第七章DCN網(wǎng)絡(luò)建設(shè)方案7. 1 北方九?。▍^(qū)、市）業(yè)務(wù)支撐系統(tǒng)總體結(jié)構(gòu)北方9?。▍^(qū)、市）業(yè)務(wù)支撐系統(tǒng)總體結(jié)構(gòu)采用北方電信事業(yè)部中心和9?。▍^(qū)、市）公司兩級結(jié)構(gòu)。即所謂的“19”模式，在北方電信事業(yè)部和北方9?。▍^(qū)、市）分別建立業(yè)務(wù)支撐系統(tǒng)平臺，在應(yīng)用層面實現(xiàn)省級集中，在核心數(shù)據(jù)層面實現(xiàn)9?。▍^(qū)、市）的大集中。北方電信事業(yè)部業(yè)務(wù)支撐中心主要完成綜合營銷管理、綜合結(jié)算、生產(chǎn)調(diào)度管理、資源管理、統(tǒng)計分析和系統(tǒng)管理等6個功能模塊；而省級業(yè)務(wù)支撐系統(tǒng)主要完成綜合客服、綜合營銷管理、綜合計費、綜合帳務(wù)、SLA管理、生產(chǎn)調(diào)度管理、資源管理等8個功能模塊。 北方電信業(yè)務(wù)支撐系統(tǒng)網(wǎng)絡(luò)框架圖在此總

41、體框架下，由北方電信事業(yè)部統(tǒng)一定義北方9?。▍^(qū)、市）的核心數(shù)據(jù)結(jié)構(gòu)，包括用戶數(shù)據(jù)、帳務(wù)數(shù)據(jù)、產(chǎn)品數(shù)據(jù)、資費結(jié)構(gòu)和資源結(jié)構(gòu)等。在北方電信事業(yè)部建立業(yè)務(wù)支撐系統(tǒng)核心數(shù)據(jù)的數(shù)據(jù)庫平臺，并在其上建立負責北方9?。▍^(qū)、市）全局的應(yīng)用系統(tǒng)。而在北方9?。▍^(qū)、市）分別建立本省集中的數(shù)據(jù)庫平臺和應(yīng)用平臺，省業(yè)務(wù)支撐系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)必須與北方電信事業(yè)部的定義保持一致，省公司在此基礎(chǔ)上建立適應(yīng)本省實際業(yè)務(wù)開展情況的應(yīng)用系統(tǒng)。北方電信事業(yè)部和各省級業(yè)務(wù)支撐平臺則通過企業(yè)內(nèi)部通信網(wǎng)DCN網(wǎng)進行相關(guān)的數(shù)據(jù)信息的傳輸。7.2 北方DCN網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀目前DCN以天津為中心采用MPLS VPN方式進行組建。北方九省（區(qū)、市）

42、20個IP省域節(jié)點都有業(yè)務(wù)接入路由器CISCO7206，DCN業(yè)務(wù)信息通過該CISCO 7206路由器接入轉(zhuǎn)發(fā)。原一期設(shè)計中采用在各省第二出口節(jié)點的CISCO7206直接通過2*E1鏈路連接天津CISCO7206 的方案取消，各節(jié)點的業(yè)務(wù)接入路由器7206上使用MPLS VPN over GRE Tunnel的方式直接通過GRE通道連接到天津的業(yè)務(wù)匯接路由器7206上，建立相應(yīng)的MPLS VPN鏈路，各省均有鏈路分別連接北京、天津，一條聯(lián)絡(luò)中斷，數(shù)據(jù)可以通過另外一條鏈路進行轉(zhuǎn)發(fā)。省內(nèi)出口節(jié)點以外的IP省域節(jié)點也將其接入路由器7206設(shè)置為MPLS PE，通過省內(nèi)的IBGP來達到省內(nèi)各PE設(shè)備之

43、間VPN 路由的交互，其中在山東和河北各有5個接入節(jié)點，除了第一、二出口節(jié)點之外還各有3個省內(nèi)的中心城市節(jié)點。在這兩個省考慮將省出口節(jié)點的接入路由器作為MBGP的RR點，其他中心城市將同這兩個點建立雙星型的MBGP連接。其他各省如遼寧、吉林、河南省內(nèi)為兩個出口城市，沒有其他中心城市，暫不設(shè)置MBGP的RR點，在將來業(yè)務(wù)節(jié)點增加后，選取相應(yīng)的MPLS VPN同天津點互聯(lián)的節(jié)點作為RR點。黑龍江、內(nèi)蒙古、山西只有一個省會城市接入節(jié)點，暫不考慮MBGP的RR點設(shè)置。7.3 山東DCN網(wǎng)絡(luò)建設(shè)方案描述本次工程在除山東省IP網(wǎng)一期工程的5個省域節(jié)點外的12個地市都設(shè)置一臺省內(nèi)IP網(wǎng)骨干路由、交換設(shè)備，都

44、能作為MPLS VPN的PE。我們將利用這些PE設(shè)備構(gòu)建基于MPLS 的VPN專網(wǎng)由于IP網(wǎng)絡(luò)為雙星型網(wǎng)絡(luò)，所以2條鏈路可以對DCN網(wǎng)互為備份，具體網(wǎng)絡(luò)結(jié)構(gòu)如圖所示：7.4 網(wǎng)絡(luò)方案設(shè)計山東省IP二期將利用地市的PE設(shè)備建立基于IP的MPLS VPN網(wǎng)絡(luò)，所有PE通過M-IBGP來達到省內(nèi)各PE設(shè)備之間VPN 路由的交互，受IP網(wǎng)絡(luò)結(jié)構(gòu)限制，PE設(shè)備并不是FULL-MESH的連接方式，因此，需要在所有的PE設(shè)備中選定兩臺做為M-RR,考慮到現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)以及DCN在省內(nèi)和跨省訪問的方式，我們建議仍然選用濟南和青島的做為MBGP-RR。并且，分別在兩個7206 上分別打開到天津DCN 的GRE 通

45、道。7.5 對于新增地市核心設(shè)備兼做PE設(shè)備的考慮此次新增的12個節(jié)點的落地省網(wǎng)骨干設(shè)備分別為愛立信520-8和華為的NE-40，由于電信DCN網(wǎng)絡(luò)需要在現(xiàn)有建設(shè)的IP網(wǎng)上承載，因此，此次新增的骨干落地設(shè)備需要充當兩個角色，其一為正常的P設(shè)備，其二為承載MPLS VPN 的PE設(shè)備，雖然，此次建設(shè)開展的為單域的MPLS VPN業(yè)務(wù)，但是由于涉及到三家廠商的設(shè)備互聯(lián)互通的問題，因此，此次建設(shè)的難度不在于技術(shù)而在于設(shè)備本身。7.6 新舊DCN網(wǎng)絡(luò)的割接 在山東省網(wǎng)一期DCN網(wǎng)絡(luò)建設(shè)中，由于當時線路的原因，采用了長途E1中繼的方式作為DCN業(yè)務(wù)的鏈路，在二期建設(shè)中，骨干的155鏈路都基本開通，可以考

46、慮在155鏈路上承載DCN的業(yè)務(wù)數(shù)據(jù)，但是，由于一期的長途中繼的使用期限尚未到，這樣，我們考慮有二種利用現(xiàn)有傳輸資源的方案：1 完全利用現(xiàn)有的高速155鏈路，E1的中繼作為完全的備份，在155鏈路沒有故障的情況下不跑任何數(shù)據(jù)。2 155鏈路和E1中繼鏈路分別跑bss和OA業(yè)務(wù)，互為備份。綜合分析，以上提到的兩種方式，推薦采用第一種，當傳輸及策略部署后，我們將小規(guī)模的通過測試機器，扮演客戶端的角色，模擬測試DCN的各項業(yè)務(wù)和應(yīng)用，當確認無誤后，在進行地市規(guī)模的逐個割接，因為，網(wǎng)絡(luò)業(yè)務(wù)的試運行需要一定的穩(wěn)定期，那么我們的業(yè)務(wù)一次割接之后，可以觀察在新IP網(wǎng)絡(luò)上面的運行情況，一旦發(fā)現(xiàn)故障，可以切換回

47、原E1的鏈路。待到系統(tǒng)運行穩(wěn)定后，E1的租用時間也已經(jīng)到期，可以順利完成DCN業(yè)務(wù)的新網(wǎng)運行了。省內(nèi)切換完畢，省DCN網(wǎng)絡(luò)與天津網(wǎng)管中心的鏈路如下圖所示：TJ-A3 TJ-A3 骨干網(wǎng)JN-A1155M POSAXI580TJ-A4 TJ-A2 TJ-A1 JN-A2QD-A1QD-A2MPLS OVER GRE TUNNELMPLS OVER GRE TUNNELMPLS OVER GRE TUNNEL第八章 網(wǎng)絡(luò)安全建設(shè)8.1 概述ISP運營商今天面臨著有關(guān)安全方面的多種威脅，這些威脅有的可能是隨機的，也有可能是惡意的，但其后果都一樣的：妨礙用戶及 ISP運營商的正常運行。IP網(wǎng)絡(luò)以及In

48、ternet網(wǎng)絡(luò)的靈活性和匿名性使得Hacker可以通過遠程攻擊而使得網(wǎng)絡(luò)通訊服務(wù)的設(shè)備中斷，使大批用戶無法正常的進行通訊。隨著Internet的發(fā)展，以運營商的骨干網(wǎng)絡(luò)設(shè)備為目的的攻擊越來越頻繁，這就使得采用一定的安全保護措施來保護骨干網(wǎng)絡(luò)設(shè)備（如路由器、交換機等）的必要性越來越突出。 網(wǎng)絡(luò)安全設(shè)計原則設(shè)計安全系統(tǒng)與其他功能系統(tǒng)的設(shè)計不同，它遵循所謂“水桶原則”，即安全防護能力好比用木條圍就的水桶的蓄水能力，對容積起關(guān)鍵作用的不是木桶最高的木條所在的桶邊，而是水平面不可能逾越的最低的木條所在的桶邊。這就提示我們對安全設(shè)計必須遵從兩個客觀規(guī)律，一個是必須從整個系統(tǒng)的角度來進行規(guī)劃，忽略了任何一

49、個環(huán)節(jié)，其薄弱處就可能被攻破，從而使其他方面的努力變得毫無意義了；另一方面，能夠?qū)Π踩鸩煌潭茸饔玫能浻布鉀Q方案和相應(yīng)的投資沒有止境，也不存在絕對的安全，因此必須將有效的投入著重對最薄弱的環(huán)節(jié)進行彌補，就象修補木桶最低的一邊會獲得最大的容積一樣，這樣投資利用率最高，獲得的安全收效也最為顯著。在下面我們試圖面向整個系統(tǒng)的不同層次描述安全解決方案，同時提出最有效和最必要的解決方式。為了保證系統(tǒng)安全，在安全系統(tǒng)的設(shè)計和實施時要遵循一些原則。那么，網(wǎng)絡(luò)系統(tǒng)安全設(shè)計主要遵循哪些原則呢？我們根據(jù)國際上通用的安全信息系統(tǒng)設(shè)計原則，以及山東省網(wǎng)網(wǎng)絡(luò)系統(tǒng)的具體情況，歸納出以下幾條原則： 最小授權(quán)原則：該原則

50、是指，對某一秘密知道的人越多，就越有可能泄密。不同職責的人相互無權(quán)過問。在山東省網(wǎng)網(wǎng)絡(luò)骨干網(wǎng)絡(luò)系統(tǒng)中，有些信息是嚴格保密的，只有相應(yīng)權(quán)限的人才能訪問。 均衡與非均衡防衛(wèi)原則：對于系統(tǒng)中的一條信息流，其各環(huán)節(jié)安全防衛(wèi)應(yīng)均衡，如同“水桶原則”的舉例，系統(tǒng)的安全等于最薄弱處的安全，如果完全忽視某一環(huán)節(jié)的安全風險，即使其他環(huán)節(jié)得到完全加強，對總體系統(tǒng)的安全效果沒有增益。 效能投資相容原則：山東省網(wǎng)網(wǎng)絡(luò)系統(tǒng)建設(shè)此次與一般IP網(wǎng)絡(luò)建設(shè)略有不同，將在IP骨干網(wǎng)絡(luò)上承載DCN業(yè)務(wù)，雖然我們應(yīng)用了比較成熟的MPLS VPN業(yè)務(wù)，但是由于涉及到多廠商的MPLS VPN 的互通，所以不可能做到絕對的安全與保密，需要

51、在投資與效益之間加以審慎的權(quán)衡。既要充分而有效，把可能造成的危害減少到能承受的最小程度；又要適度，不必付出與其效果不相稱的過高的投資代價或系統(tǒng)效能代價，從而取得綜合性的、最佳的安全與保密效果。同時，也不能因為安全措施的過分使用而帶來管理和使用上的過多不便。效能投資相容原則將體現(xiàn)在我們設(shè)計安全體系的每一環(huán)節(jié)中。 綜合性、整體性原則：運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當綜合的應(yīng)用結(jié)果。一個計算機網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。 易操

52、作性原則：安全措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運行。 適應(yīng)性、靈活性原則 ：安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改。不易于或沒有及時適應(yīng)和更新的安全防護系統(tǒng)，本身就易于產(chǎn)生漏洞。 多重保護原則 ：任何安全保護措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。 逐步建設(shè)原則由于安全設(shè)計的復(fù)雜性，不可能一次性的建設(shè)成功一個完備的安全系統(tǒng)，網(wǎng)絡(luò)安全的建設(shè)與網(wǎng)絡(luò)系統(tǒng)的建設(shè)一樣是一個長期的過程，必須在與網(wǎng)絡(luò)系統(tǒng)的建設(shè)中根據(jù)

53、新的建設(shè)情況不斷修改和完善，不斷逼近理想的設(shè)計目標。以下我們將遵循以上設(shè)計原則，針對需求分析中的各個層次，采用合理的技術(shù)實現(xiàn)中國電信山東省網(wǎng)網(wǎng)絡(luò)安全的解決方案。從系統(tǒng)角度來看，網(wǎng)絡(luò)安全不是一個簡單的產(chǎn)品問題，網(wǎng)絡(luò)安全首先是個系統(tǒng)問題，從此次山東省網(wǎng)二期建設(shè)的可行性以及易切入性方面的安全方面考慮，我們建議山東電信省骨干網(wǎng)絡(luò)采取以下措施： 設(shè)備物理安全性 設(shè)備的操作系統(tǒng)安全性 配置和操作的安全性 安全管理策略此次應(yīng)客戶要求，我們著重討論第3和第4，設(shè)備配置和操作的安全性以及用戶的安全策略8.2 設(shè)備的物理安全性網(wǎng)絡(luò)設(shè)備的安全也是整個網(wǎng)絡(luò)安全的一個重要環(huán)節(jié)，一旦被攻破，一方面可以作為攻擊主機等系統(tǒng)的

54、“優(yōu)質(zhì)”跳板，一方面對整個系統(tǒng)的直接影響也非常大。試想一旦總公司的路由器、交換機的網(wǎng)絡(luò)配置被刪除，將會造成長時間無法正常開展業(yè)務(wù)的損失，對公司的形象的影響更是巨大。 設(shè)備的物理安全性好比是整個網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)，如果一旦骨干網(wǎng)絡(luò)設(shè)備在物理上遭受人為的或是一些不可抗拒的因素，例如，臺風，洪水，火災(zāi)等等，那么，我們在此基礎(chǔ)上所有的安全策略和安全手段都將付之東流，正所謂“皮之不存，毛將焉附”。正如上圖所示，我們建議在設(shè)備安全的防護上一定要做到物理級別的安全，在這一點上，電信的多年運維經(jīng)驗說明，在這一點上，還是可以做到的，因此我們在本次技術(shù)建議中不作詳細地論述。8.3 設(shè)備的操作系統(tǒng)安全性此次的中國電

55、信山東省網(wǎng)的建設(shè)，采用了業(yè)界最先進的Cisco,Juniper,以及華為核心骨干設(shè)備，對于其核心骨干設(shè)備的操作系統(tǒng)每個廠家都經(jīng)過了嚴格的測試，并且都形成了自身的安全體系。因此，此項安全防御基本由廠商提供保證，在此次技術(shù)建議中不作詳細論述。 8.4 網(wǎng)絡(luò)設(shè)備的配置和操作的安全性此次骨干網(wǎng)設(shè)備，主要涉及到Cisco和 Juniper 的骨干網(wǎng)絡(luò)產(chǎn)品，由于每個廠商的安全策略和核心操作系統(tǒng)的開發(fā)過程的不同，因此，針對不同的廠商的產(chǎn)品需要通過不同的安全配置和操作來分別的有針對性保證其正常并且安全的運行。下面我們分別針對Cisco以及Juniper的產(chǎn)品詳細作相應(yīng)論述。 Juniper網(wǎng)絡(luò)設(shè)備的安全配置和

56、操作這里著重介紹一下Juniper Networks網(wǎng)絡(luò)公司的骨干路由器設(shè)備相關(guān)的安全保護措施，當然這些并不是唯一的措施，還有很多方法可以保護路由器的安全，因為安全的系統(tǒng)管理是一個漸進并且不斷發(fā)展的過程。JUNOS的缺省設(shè)置JUNOS軟件的一些缺省設(shè)置使得黑客容易攻擊設(shè)備本身，比如root account的缺省設(shè)置等等。JUNOS軟件不轉(zhuǎn)發(fā)定向廣播包(directed broadcast)。定向廣播可以被用來攻擊跨越Internet的用戶，其原理是通過偽造的源地址發(fā)送連續(xù)的ping，目的地址是一個廣播地址，比如說。如果在這樣的網(wǎng)絡(luò)上允許定向廣播包，那么這種廣播式的ping就可以有回應(yīng)，試想一下

57、如果一個ping可以激起254個icmp echo回應(yīng)，那么這個黑客偽造的源地址就成為受害者，因為接受太多了icmp echo而成為Dos攻擊的目標。大型網(wǎng)絡(luò)中或者是Internet網(wǎng)絡(luò)中，這種攻擊是很常見的。對路由器的遠程管理訪問缺省是禁止的（無論是ssh、ftp還是telnet），除非明確的打開。缺省配置里，只有從console的訪問是被激活的。不可路由地址（martian address）。JUNOS軟件內(nèi)部設(shè)定了一些不可路由地址，作為保留的主機或者網(wǎng)絡(luò)地址，他們的路由選擇信息缺省是被忽略的。將一個網(wǎng)段加入到不可路由地址的配置是 routing-options martians /29

58、orlonger; 而JUNOS軟件缺省有一些IPV4地址被設(shè)定為不可路由地址，他們是：In IPv4, the following are the default martian addresses: * .0/8JUNOS軟件不支持snmp的寫權(quán)限，這在一定程度上提高了snmp管理的可靠性。一些必要的配置可以使得路由器安全的運行，下面結(jié)合路由器的配置一一說明：JUNOS軟件支持帶外管理，通過fxp0進行帶外管理，這個管理接口不支持其它的流量，不可以傳輸數(shù)據(jù)。同時還支持EIA-232的console和輔助端口進行管理。Fxp0直接連接路由引擎，與傳輸數(shù)據(jù)的PFE引擎相分離。SSH，JUNOS

59、軟件支持SSH v1,SSH v2的加密通訊。缺省情況下SSH是關(guān)閉的，必須明確的配置SSH和其他的一些參數(shù)才可以使得SSH訪問可順利進行System services ftp; ssh connection-limit 10; rate-limit 4; telnet;當按照如下配置SSH以后，所有用戶可以通過受限制的訪問來訪問路由器，root帳戶也可以通過SSH來進行（telnet時，無法使用root帳戶）edit systemlabr1#services ftp; ssh root-login allow; protocol-version v2; connection-limit 10

60、; rate-limit 4; telnet;JUNOS軟件還允許設(shè)置不同級別的帳號來限制對路由器的訪問，配置如下：edit systemlabr1#login user lab uid 2004; class super-user;級別是超級用戶，相當于管理員權(quán)限 authentication 所有的密碼都是加密的 encrypted-password $1$zQbRMZ.D$7EhH1pFsV12ZzD2.li4iL0; # SECRET-DATA user observer uid 2003; class read-only;這個是普通用戶，只能進行一般的view,ping,telnet