銀川廣電寬帶IP城域網(wǎng)解決方案報告書

...wd......wd......wd...寬帶IP城域網(wǎng)技術(shù)建議書北京瑞斯康達科技開展目錄TOC\o"1-3"\h\z1需求分析及應用背景32網(wǎng)絡構(gòu)造及相關(guān)技術(shù)42.1城域網(wǎng)的設計原則42.2城域網(wǎng)技術(shù)的選擇62.3網(wǎng)絡構(gòu)造72.4路由規(guī)劃122.5MPLS技術(shù)錯誤！未定義書簽。3網(wǎng)絡應用153.1業(yè)務分類153.2VLAN業(yè)務153.3VPN業(yè)務173.3.1基于隧道的IP-VPN解決方案173.3.2基于加密的VPN技術(shù)-IPSec173.3.3基于MPLS的VPN方案203.3.4基于MPLS的透明以太網(wǎng)支持錯誤！未定義書簽。4網(wǎng)絡管理錯誤！未定義書簽。附錄：設備簡介32RS38000光城域網(wǎng)聚合路由器錯誤！未定義書簽。RS8600/8000交換式路由器家族32RS3000光城域接入路由器36RS2000/2100光纖城域網(wǎng)接入路由器錯誤！未定義書簽。RS1000靈活的城域網(wǎng)接入路由器錯誤！未定義書簽。統(tǒng)一網(wǎng)管平臺錯誤！未定義書簽。需求分析及應用背景自從網(wǎng)絡革命以來，WAN、LAN得到了廣泛的重視，從而有了飛速的開展，WAN骨干網(wǎng)已到達40G，80G，甚至160G，LAN也開展到千兆比特，但MAN〔城域網(wǎng)〕卻未被引起足夠的重視，早期的MAN一直基于中等容量的SONET環(huán)，最大提供只有OC-3〔155Mbs〕。直到近幾年來，人們才逐漸發(fā)現(xiàn)越來越多的應用流量局限于城域網(wǎng)內(nèi)，遠大于WAN上的流量，而MAN的擴容步伐遠未跟上DWDM長途網(wǎng)以及LAN的擴容速度，促使眾多的運營商蜂擁爭奪寬帶MAN的打造。由于歷史原因，現(xiàn)有的網(wǎng)絡類型多種多樣，諸如IP、ATM、Ethernet、幀中繼等等，MAN解決方案必須能與現(xiàn)有的各種網(wǎng)絡互通。隨著MAN帶寬的增大，新的業(yè)務提供商，諸如應用服務提供商〔ASP〕，內(nèi)容服務提供商〔CSP〕，電子商務供給商將在城域網(wǎng)上的數(shù)據(jù)中心建設他們的站點。另外，多租戶單元〔MTU〕供給商和大樓本地交換運營商〔BLEC〕也將從光纖到路邊〔Fibertothecurb〕獲取豐厚的利潤。根據(jù)寧夏廣電公司提出的需求，可將銀川寬帶IP城域網(wǎng)的主要目標歸結(jié)為，為本市各部門、內(nèi)容提供商、各類網(wǎng)絡應用服務商提供局域網(wǎng)互連和數(shù)據(jù)傳輸?shù)木W(wǎng)絡平臺，并通過該平臺，提供多種服務，贏取經(jīng)濟效益。寧夏廣電建設網(wǎng)絡所面對的用戶類型廣泛，多媒體業(yè)務需要更高的帶寬，市場競爭劇烈，因而對該平臺的要求是提供高速率的數(shù)據(jù)傳輸，承載用戶的多媒體業(yè)務；豐富的網(wǎng)絡接口，適應不同用戶的個性化需要；高效多層次的管理，以實現(xiàn)網(wǎng)絡的高效能運行及運營商切身的利益。我們認為，只提供帶寬吸引不了用戶，只有提供服務才能真正贏得顧客，從而獲得巨大收益。從銷售帶寬到賣服務，需要運營商和服務供給商能夠根據(jù)用戶需求切割帶寬，并可以動態(tài)分配帶寬，他們應該能監(jiān)控用戶帶寬的使用情況以確保用戶是按照合約而非超額使用，并實時予以計費。沒有帶寬控制和計費，城域網(wǎng)服務開展是不可能的。瑞斯康達公司專門為服務供給商、內(nèi)容供給商以及應用服務供給商提供所需的網(wǎng)絡設備，幫助他們快速實施高速的，服務全面的網(wǎng)絡根基架構(gòu)。通過豐富的連接技術(shù)，靈活的IP服務，良好的擴展能力以及方便的使用和管理手段，北京瑞斯康達公司提出的寬帶城域網(wǎng)解決方案基于RS系列交換式路由器，所采用的路由器完全是為城域網(wǎng)度身定制的，能夠滿足用戶的快速增長，防止用戶流失，并為網(wǎng)絡提供者帶來更大的經(jīng)濟效益。網(wǎng)絡構(gòu)造及相關(guān)技術(shù)城域網(wǎng)的設計原則根據(jù)要求，網(wǎng)絡系統(tǒng)設計必須既適應當前應用考慮，又面向未來信息化開展需求。為保證最短的時間內(nèi)收回投資，減少技術(shù)和投資風險，在設計網(wǎng)絡技術(shù)方案時，遵循以下設計原則：組網(wǎng)技術(shù)的先進性和實用性。銀川市廣電城域網(wǎng)的網(wǎng)絡建設應適應城域網(wǎng)自身的開展特點及網(wǎng)絡通信技術(shù)的更新?lián)Q代，在網(wǎng)絡構(gòu)造設計、網(wǎng)絡配置、網(wǎng)絡管理方式等方面應具有一定的先進性，采用國際上先進同時又是成熟、實用的技術(shù)，盡量減少技術(shù)風險和投資風險，在保證應用與開展的前提下，不必將有限的資金投入到昂貴的新技術(shù)中。使整個系統(tǒng)在一段時期內(nèi)保持技術(shù)的先進，并具有良好的開展?jié)摿Γ赃m應未來業(yè)務的開展和技術(shù)升級的需要。高度的網(wǎng)絡可靠性。為保證將來的業(yè)務應用，網(wǎng)絡必須具有高可靠性。網(wǎng)絡設計應能有效的防止單點失敗，在設備的選擇和關(guān)鍵設備的互聯(lián)時，應提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡能在最短時間內(nèi)修復。為此我們在網(wǎng)絡設計上考慮以下的技術(shù)：選擇的網(wǎng)絡設備必需具有良好的可靠性保證，可熱插拔的模塊，快速的恢復機制等。冗余及負載均衡的電源系統(tǒng)。據(jù)研究，電源故障在實際系統(tǒng)中導致的系統(tǒng)故障比率高達60%之多。其它關(guān)鍵設備的冗余，如控制模塊的冗余。冗余及負載均衡的網(wǎng)絡鏈路。確保不因為單條線路的故障而導致整個網(wǎng)絡系統(tǒng)的失效，而且，確保在某條線路故障時對系統(tǒng)性能的影響也能最小。良好的管理性對設備端到端的全程管理非常重要。由于系統(tǒng)本身具有一定復雜性，隨著業(yè)務的不斷開展，網(wǎng)絡管理的任務必定會日益繁重。所以在網(wǎng)絡的設計中，必須建設一個全面的網(wǎng)絡管理解決方案。網(wǎng)絡設備必須采用智能化，可管理的設備，同時采用先進的網(wǎng)絡管理軟件，實現(xiàn)先進的分布式管理。最終能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡的運行狀況、數(shù)據(jù)流量、性能，合理分配網(wǎng)絡資源、動態(tài)配置網(wǎng)絡負載，可以迅速確定網(wǎng)絡故障等。好的擴展能力。網(wǎng)絡系統(tǒng)是一個不斷開展的系統(tǒng)，所以它必須具有良好的擴展性。能夠根據(jù)將來信息化的不斷深入開展的需要，方便的擴展網(wǎng)絡覆蓋范圍、擴大網(wǎng)絡容量和提高網(wǎng)絡各層次節(jié)點的功能。具備支持多種通信媒體、多種物理接口的能力，提供技術(shù)升級、設備更新的靈活性。網(wǎng)絡的擴展包括：網(wǎng)絡規(guī)模的擴展，包括網(wǎng)絡的地理分布，用戶數(shù)。應用內(nèi)容的擴展，IP主干網(wǎng)絡將不僅僅擔負數(shù)據(jù)傳輸?shù)娜蝿?，包括VOD等其它視頻和語音服務也會不斷參加到IP網(wǎng)絡中去。這就要求主干網(wǎng)絡設備必須具有多種業(yè)務支持的能力。網(wǎng)絡容量的擴展，隨著規(guī)模和應用的擴展網(wǎng)絡的傳輸容量也必須能相應的增加。在網(wǎng)絡設備選擇上，模塊化的系統(tǒng)在可伸縮性上亦有著固定式系統(tǒng)無法比較的優(yōu)越性。整個系統(tǒng)的性能將能隨著模塊數(shù)量的增加而得到相應的增加，因此也就更能適應不同規(guī)模網(wǎng)絡對設備的要求。模塊化的網(wǎng)絡設備在多種技術(shù)的適應能力上也具有相當大的靈活性。網(wǎng)絡系統(tǒng)具有統(tǒng)一的系統(tǒng)平臺，具有平滑升級的能力，使系統(tǒng)能滿足各種用戶對應用處理不同程度的需求，以及逐步升級的開展規(guī)劃，以節(jié)約投資防止系統(tǒng)性能的閑置和浪費。高度的網(wǎng)絡安全性提供完備的安全防護策略，能防止網(wǎng)絡的非法訪問，保護網(wǎng)絡建設者的合法利益。安全機制包括:完善的網(wǎng)絡管理，基于政策式的控制。網(wǎng)絡設備支持多級別管理權(quán)限，支持RADIUS、TACACS+等認證機制，配置改變的管理記錄。支持VPN標準協(xié)議：L2TP、IPSec、IPDes等功能。城域網(wǎng)技術(shù)的選擇很明顯，銀川市城域網(wǎng)的網(wǎng)絡設計要求建造一個高速的交換主干，建設一個高速的數(shù)據(jù)網(wǎng)絡，選擇何種交換技術(shù)作為骨干交換技術(shù)是成功建設骨干信息網(wǎng)的關(guān)鍵。瑞斯康達公司提供的RS系列交換路由器能提供IPover千兆網(wǎng)，IPoverSDH,IPoverDWDM,IPoverATM

等各種骨干網(wǎng)技術(shù)。能滿足各種聯(lián)網(wǎng)需要。以下簡要分析各技術(shù)的優(yōu)缺點：IPoverATM優(yōu)點是能提供好的Qos技術(shù)，基于PVC的配置能充分實施流量工程技術(shù)。但同時有很多局限性如。1.ATMPVC的全閉合導致N2問題。2.ATM信元稅問題，一條OC-48鏈路將浪費OC-12的帶寬。3.基于PVC的備份模式在故障狀態(tài)下不是十分可靠。尤其當網(wǎng)絡變得更大的時候。4.需要維護兩套網(wǎng)絡，即ATM根基構(gòu)造邏輯IP覆蓋。有兩個配置用于設計，運行及檢測。使得基于ATM核心的網(wǎng)絡運行本錢變的很高。同時擴展性受到嚴重影響。IPover千兆以太網(wǎng)技術(shù)，IPoverSDH技術(shù)的優(yōu)勢:隨著第三層,第四層技術(shù)的誕生，高速單寬的可用，長距離傳輸?shù)目捎?千兆網(wǎng)可達70km以上)，SDH距離可隨環(huán)的延伸而延伸。以太網(wǎng)的固有的簡單特性，使得該技術(shù)迅速在骨干傳輸網(wǎng)上成為一種主導技術(shù)。同時基于IP的Qos/Cos技術(shù)使得其能滿足運行商的需要。隨著MPLS技術(shù)的出現(xiàn)并成為今后的方向，IPover千兆網(wǎng)/SDH配合MPLS技術(shù)使的他能提供同ATM一樣的Qos/Cos保證。并能同原有的ATM網(wǎng)很好的融合。總而言之,對于IP業(yè)務而言，千兆以太網(wǎng)具有如下優(yōu)勢：帶寬高千兆以太網(wǎng)提供千兆位的轉(zhuǎn)發(fā)速度，并且通過鏈路聚集技術(shù)〔如Riverstone的Smarttrunk〕可將帶寬提高到幾千兆甚至更高。并可平滑過渡到10G以太網(wǎng)。轉(zhuǎn)發(fā)效率高IP業(yè)務的用戶端根本都是以太網(wǎng)環(huán)境，所產(chǎn)生的數(shù)據(jù)包在第二層都是以太網(wǎng)的幀格式，千兆以太網(wǎng)無需對這一層的數(shù)據(jù)格式進展轉(zhuǎn)換，因此轉(zhuǎn)發(fā)效率高于POS及ATM。能夠保證關(guān)鍵業(yè)務順利傳送的QOS千兆以太網(wǎng)的交換設備〔L2/L3交換，如Riverstone的RS系列交換式路由器〕不僅提供高性能的轉(zhuǎn)發(fā)，還可提供越來越全面的QOS處理手段，如優(yōu)先級隊列，帶寬限制，WRED等，可以保證視頻、話音業(yè)務的順利傳送。基于路由協(xié)議的鏈路收斂運行在路由方式時，路由協(xié)議〔如OSPF〕提供對冗余鏈路的支持及快速收斂。技術(shù)簡單，成熟，易于實施以太網(wǎng)技術(shù)是成熟的局域網(wǎng)技術(shù)，已有很長的應用歷史，其簡單易用的特點具有很強的生命力。千兆以太網(wǎng)屬于以太網(wǎng)的范疇，技術(shù)上的易實施性是其作為城域網(wǎng)主干技術(shù)的一大優(yōu)勢。具有頑強的生命力，隨著MPLS技術(shù)的成熟。IP千兆光纖連網(wǎng)能具有同ATM一樣的Qos/Cos保證及流量工程能力。具有最高的性價比千兆以太網(wǎng)的在具備以上技術(shù)優(yōu)勢的同時，價格上的優(yōu)勢使其具有更高的性能/價格比。瑞斯康達公司根據(jù)寧夏廣電的業(yè)務需求和對技術(shù)的把握，認為采用千兆以太網(wǎng)技術(shù)組建銀川城域網(wǎng)是一種性能價格比高的方案。并結(jié)合RS系列產(chǎn)品完全支持MPLS技術(shù)的特性，可以和省骨干SDH和ATM網(wǎng)無縫連接，同時RS系列產(chǎn)品對于VPN業(yè)務的實現(xiàn)也有其獨到之處，如硬件級別的速率限制功能。因此，以IP協(xié)議為信息承載協(xié)議，以光纖為傳輸介質(zhì)，以千兆路由器為骨干，千兆交換機、百兆交換機為主體，我們可以構(gòu)造一個寬帶高效、業(yè)務豐富，可創(chuàng)造顯著效益的城域網(wǎng)。網(wǎng)絡構(gòu)造2.3.1智能業(yè)務層、支撐層當前,各大網(wǎng)絡服務提供商大力拓展寬帶網(wǎng)絡接入服務，快速的將網(wǎng)絡延伸到每一個角落。這些網(wǎng)絡服務提供商擁有自己獨立的IP城域網(wǎng)、豐富的線路資源和客戶資源。為了提供最能讓客戶滿意的服務，最大限度的實現(xiàn)網(wǎng)絡的可運營、可管理、可增值、可擴大的要求，一套能夠提供計費、認證、業(yè)務管理的運營支撐系統(tǒng)成為最關(guān)鍵的局部和競爭因素。這樣，接入網(wǎng)絡的網(wǎng)絡管理和網(wǎng)絡控制，成為一個核心課題。BAMS寬帶業(yè)務接入管理系統(tǒng)是由瑞斯康達基于IP核心技術(shù)開發(fā)并擁有自主知識產(chǎn)權(quán)的一套能夠提供計費、認證、業(yè)務管理的運營支撐系統(tǒng)。解決了目前寬帶IP網(wǎng)絡運營所面臨的：用戶身份認證、寬帶與服務質(zhì)量控制、內(nèi)容與服務的管理、網(wǎng)絡的監(jiān)控與分析、流量/時間/內(nèi)容計費、收費結(jié)算與清算、價格策略實施、營業(yè)管理、ICP分賬等亟待解決的問題。我們建議在IP寬帶城域網(wǎng)的核心層選用SERVER組群，包括wwwserver，radiusserver，accoutingserver。在一個城市內(nèi)做到集中管理計費，分布式控制。寬帶局域網(wǎng)上網(wǎng)要解決的第一個問題是用戶身份的認證。BAMS采用WEB+SSL+RADIUS的方式實現(xiàn)安全的用戶認證。BAMS能通過設定靈活的規(guī)則來限制局域網(wǎng)內(nèi)主機和Internet之間的相互訪問。這些規(guī)則包括：限制某些協(xié)議的使用限制訪問某些IP限制訪問某些子網(wǎng)限制訪問某些端口以上規(guī)則可以組合設置形成復合條件。例如，設定A-D共四類用戶，A類用戶只能訪問Email服務(TCP25/110/143端口)；B類用戶增加了瀏覽國內(nèi)站點的服務(國內(nèi)IP的TCP80端口)；C類用戶可以瀏覽整個Internet(只限端口不限IP)；D類用戶則開放面向Internet的所有服務(開放TCP/UDP/ICMP及所有端口)。類似地，可以設定更多的服務模式以便提供不同的收費策略。BAMS的另一重要特征是它內(nèi)置的流量控制功能。為了有效的控制用戶行為，防止導致資源的浪費和濫用，BAMS內(nèi)置了對用戶流量的控制功能，這無論對于開發(fā)商還是其他用戶均有重要意義。BAMS針對不同的內(nèi)容服務設計出靈活的業(yè)務管理功能。服務商可以靈活配制他們提供給用戶的不同的業(yè)務服務，設置不同業(yè)務的計費方式和計費標準，BAMS提供與業(yè)務和控制的無縫集成。針對寬帶應用的特點，BAMS核心是按業(yè)務使用來實施計費及管理。對服務商提供的每項服務，均有如下的計費方式可供選擇：包時制〔包月、包周等〕根據(jù)流量計費根據(jù)時長計費優(yōu)惠價格制訂針對運營商必須能夠為不同需求的用戶提供不同層次的服務要求來看，BAMS針對運營商的業(yè)務特點定義了服務、業(yè)務、產(chǎn)品、用戶組的概念，如上圖所示。 具體來講：服務：========IP+端口+協(xié)議計費模式：====包月、流量、時長、計次和優(yōu)惠條件等業(yè)務：========服務+計費模式產(chǎn)品：========單個業(yè)務或多個業(yè)務集合用戶組：======每個用戶所使用的產(chǎn)品組。例如：制定細分的組合了內(nèi)容、服務質(zhì)量、費率的“產(chǎn)品〔價格包〕〞供用戶選擇。同一個服務可以按流量、時長、包月、次數(shù)等計費形成業(yè)務,便于運營商可以對業(yè)務作多種包裝，制定細分的組合了內(nèi)容、服務質(zhì)量、費率的“產(chǎn)品〔價格包〕〞供用戶選擇，表達多用多收費，少用少收費，不用不收費的公平消費原則，充分挖掘潛在用戶。BAMS可以提供詳細的原始計費信息，以用戶、服務、IP為單位輸出用戶使用網(wǎng)絡的某些工程服務的次數(shù)、流量和時間長度記錄。例如，通過BAMS可以獲得每個用戶使用HTTP服務的流量，或者使用FTP服務的時長等。BAMS后臺用戶管理及計費/帳務系統(tǒng)不但能夠提供服務供給商所需的服務/計費方案。而且可以實現(xiàn)對用戶的實時計費，在用戶賬面費用為零時，終止用戶對互聯(lián)網(wǎng)的訪問。2.3.2核心層需要在整個骨干網(wǎng)中提供最高的交換性能，尤其是基于L3/4控制與服務功能下的第三層線速路由能力，從而為整個網(wǎng)絡提供一個高性能的路由/交換平臺；支持全面的標準的路由協(xié)議，豐富的接口類型以適應今后可能的互連需要；設備本身的高可靠性以及設備系統(tǒng)軟件的成熟性，保證城域網(wǎng)骨干的穩(wěn)定運行；設備本身的硬件接口容量的可擴展性以及對大路由容量的支持，滿足目前整個網(wǎng)絡規(guī)模和用戶規(guī)模以及今后一定時期內(nèi)這兩方面的擴展需要。骨干設備的選型，奠定了網(wǎng)絡根基。不僅標志了當前網(wǎng)絡的技術(shù)水平，也為今后的擴展提供了良好的開端。在對核心設備的觀點方面，我公司和寧夏廣電是一致的。在本次銀川廣電寬帶城域網(wǎng)方案設計中，考慮到雖然初期數(shù)據(jù)流量可能不大，但面對行業(yè)多，用戶類型多，導致接口方式多，以及擴展、增容的連貫性，所以我們建議在核心層采用RS8600。RS8600為16槽的模塊化L2/3/4交換設備，背板帶寬為32G，數(shù)據(jù)包吞吐量分別為30Millionpps〔L2/3/4〕，可提供16I/O插槽，最多提供30個千兆以太網(wǎng)接口或340個快速以太網(wǎng)接口，50萬條第三層路由容量，80萬MAC地址容量，400萬條L3/4數(shù)據(jù)流容量，4096個VLAN，充分滿足會聚層目前的路由性能、處理容量與接口密度的需要，以及今后的擴展需求。RS8600支持冗余的電源〔AC/DC〕、控制模塊〔CPU〕，交換矩陣的冗余，所有接口模塊和控制模塊都可熱拔插，設備本身具有最高的可靠性設計，系統(tǒng)軟件經(jīng)過多年的研發(fā)和升級已經(jīng)非常完善和穩(wěn)定，從而保證了網(wǎng)絡能可靠、穩(wěn)定地運行。支持包括千兆以太網(wǎng)、快速以太網(wǎng)、ATM、POS、T1/E1/T3/E3、ChannelizedT1/E1/T3/E3以及今后的萬兆以太網(wǎng)、WDM、DWDM在內(nèi)的各種城域網(wǎng)主干和接入的鏈路技術(shù)，能夠靈活適應主干上連和向下接入的需要。更重要的是，前面已講到的，RS系列產(chǎn)品的系統(tǒng)軟件提供最全面的控制和服務功能，保證用戶在會聚層充分實施各種所需的策略處理，并且不影響網(wǎng)絡性能。我們設計初期采用1臺RS8600組成網(wǎng)絡核心，配置模塊如下：根本應用配置需要的機箱、電源、管理模塊、操作系統(tǒng)；模塊為多接口模塊2個，配置2端口E3速率卡16個，容納32個E1速率的連接；2個多接口模塊，3個DS3〔45M〕接口卡，完成3個45M連接；1個OC-3〔155M〕多模接口卡，完成155M連接；2個2端口千兆光模塊，及4個千兆接口卡分別連接拓撲圖中最臨近的4個二級交換節(jié)點；3個16端口的快速以太網(wǎng)接口模塊；1個CMTS接口模塊。2.3.4接入層〔對應要求的用戶層〕以小區(qū)接入為例，其方式有多種，其中以光纖到樓，5類線到戶具有最高的性價比，并十分易于開展增殖業(yè)務。應為小區(qū)及集團用戶的首選方案。需要第三層交換設備提供線速的第二層或第三層的主干上連，與主干相適應的標準的路由協(xié)議，如果采用路由方式上連，還可提供ACL、QOS、Trafficshaping和策略路由等策略處理，接口密度和路由容量滿足所在小區(qū)的用戶規(guī)模并具備一定的可擴展性，支持較豐富的接口類型，適應所需的上連鏈路需要，具備一定的可靠性保證。針對上述需要，我們在小區(qū)接入層采用RS3000，RS3000是專門用于城域網(wǎng)接入的AccessSwitchRouter，其硬件配置特別適合城域網(wǎng)接入〔包括小區(qū)接入〕。RS3000提供固定的32個快速以太網(wǎng)口和兩個擴展槽，能選配千兆以太網(wǎng)、快速以太網(wǎng)、ATM、POS、T1/E1/T3/E3、ChannelizedT1/E1的模塊進展上連或擴展用戶接入，最多能提供4個千兆以太網(wǎng)口或64個快速以太網(wǎng)口，8GCross-bar背板帶寬，9.5Millionpps吞吐量〔L2/3/4〕，提供25萬條第三層路由容量，25.6萬MAC地址容量，51.2萬條L3/4數(shù)據(jù)流容量，4096個VLAN，支持冗余電源，接口模塊熱拔插，其交換性能、接口密度/類型、路由/MAC地址/VLAN容量、可靠性完全能滿足小區(qū)上連和接入的需要，同時，系統(tǒng)軟件支持RS系列全部的控制、服務功能和路由協(xié)議。根據(jù)需求，在每個二級節(jié)點配置RS3000路由交換機1臺。其本身固定配置的32個快速以太網(wǎng)口可用來向下傳輸；配置2端口千兆以太網(wǎng)光模塊連接城域骨干光纜，與其它二級節(jié)點設備及核心交換機通信。我們建議在每個POP點組成BAMSGATEKEEPER集群，分別作為多個小區(qū)及大用戶的控制網(wǎng)關(guān)。BAMSGATEKEEPER是整個系統(tǒng)的核心控制模塊，它是用戶的接入控制節(jié)點。實現(xiàn)的功能有：建設局域網(wǎng)和外部Internet之間的通道；用戶訪問行為實時控制；控制用戶上下限帶寬；實時采集用戶計費數(shù)據(jù)；用戶身份反向解析服務〔根據(jù)用戶連接外部主機時的IP地址、端口和協(xié)議確認用戶的身份〕；實時監(jiān)測數(shù)據(jù)采集；對某些IP協(xié)議〔如802.1Q,H.323等〕進展支持擴展。網(wǎng)絡拓撲圖如下：路由規(guī)劃2.4.1路由協(xié)議的選擇大型路由網(wǎng)絡中需選擇適當?shù)穆酚蓞f(xié)議，仔細的地址和路由規(guī)劃，對于優(yōu)化整個網(wǎng)絡的性能，保證網(wǎng)絡的擴展性，強健性具有非常重要的意義。電信IP網(wǎng)絡具有接入點多，應用復雜，容量要求高等特點。因此，在寬帶IP網(wǎng)絡方案中應該非常重視路由的優(yōu)化。路由協(xié)議選擇路由協(xié)議有兩種根本類型：域內(nèi)路由和域間路由。主要的域內(nèi)路由協(xié)議有OSPF，IS-IS，RIP/RIP2等，主要的域間路由協(xié)議有BGP，EGP等。域間路由協(xié)議應用于不同的自治域之間，一般是在不同的服務供給商之間互連時采用。同一服務商路由器之間的信息交換則一般采用內(nèi)部路由協(xié)議。而寬帶IP網(wǎng)絡與省網(wǎng)、Internet的接入可以采用BGP協(xié)議。瑞斯康達公司提供的RS系列交換路由器均支持RIP/RIPv2，OSPF，BGP-4,IS-IS等IP路由協(xié)議；IPX路由協(xié)議支持RIP，SAP；并支持IGMP，DVMRP，PIM-DM，PIM-SM等多點播送協(xié)議。均以線速實現(xiàn)各種路由協(xié)議。OSPF是基于Link_State的路由協(xié)議。在每個HOP上都定義了一個COST，OSPF認為COST之和最小的路徑為最好。OSPF協(xié)議具有下面的特點：分層路由構(gòu)造，支持路由會聚(routesummary)，支持的路由器數(shù)量在實際網(wǎng)絡環(huán)境中沒有限制，適合大型網(wǎng)絡的要求。完全基于標準的解決方案極強的容錯能力，支持復雜的網(wǎng)絡拓撲構(gòu)造?？焖俚氖諗繒r間，OSPF分層路由方式能將路由的變化對整體網(wǎng)絡路由構(gòu)造的影響限制在最小的范圍內(nèi)?；贠SPF協(xié)議的上述特點，本方案選用OSPF路由協(xié)議作為核心路由協(xié)議。為了充分獲得OSPF的優(yōu)點，必須進展合理的區(qū)域的劃分和地址規(guī)劃。OSPF區(qū)域劃分OSPF區(qū)域劃分一般遵循下面的經(jīng)歷法則：OSPF邏輯域的劃分和物理區(qū)域的劃分盡量一致每個區(qū)(Area)的路由器不超過50個一個區(qū)邊界路由器(ABR)連接不超過5個Area。根據(jù)上述的原則，以各核心層路由器作為Backbone域，各接入層路由器以各自域參加Backbone域，在路由的優(yōu)化方面，仔細規(guī)劃各接入層路由器的IP地址，以方便實現(xiàn)OSPF路由的會聚。減少路由表的大小。采用OSPF之間的多路徑冗余。實現(xiàn)路由的容錯能力。在寬帶IP城域網(wǎng)絡中與Internet的連接建議選擇業(yè)界標準的BGP－4路由協(xié)議。2.4.2IP地址分配IP地址的合理分配是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關(guān)鍵。其與網(wǎng)絡的拓撲構(gòu)造、網(wǎng)絡組織、路由規(guī)劃有非常密切的關(guān)系。在地址分配過程中，主要考慮以下原則：◆IP地址應由統(tǒng)一的網(wǎng)管中心分配使用。IP地址的規(guī)劃與劃分應該考慮網(wǎng)絡的未來的開展?！鬒P地址的分配必須采用VLSM技術(shù)，保證IP地址的利用效率?！舨捎肅IDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由收斂速度。網(wǎng)絡應用業(yè)務分類IP城域?qū)拵ЬW(wǎng)可以提供多種業(yè)務。在本期網(wǎng)絡設計中，可以提供的業(yè)務有：虛擬專網(wǎng)業(yè)務通過虛擬專網(wǎng)可以實現(xiàn)廣域網(wǎng)辦公系統(tǒng)，實現(xiàn)省、市、縣各級政府機關(guān)之間的的文件傳遞、信息傳遞、多媒體信息交換、值班應急系統(tǒng)、信息發(fā)布、相互查詢信息資源等辦公功能。視頻會議業(yè)務網(wǎng)絡平臺支持視頻會議業(yè)務，支持以單個縱向網(wǎng)或橫向網(wǎng)為單位開展桌面視頻會議。電子郵件業(yè)務網(wǎng)絡平臺支持電子郵件業(yè)務。信息發(fā)布業(yè)務支持通過www服務器將公共信息發(fā)布到網(wǎng)上。為受眾與信息源溝通，提供介質(zhì)。VLAN業(yè)務廣電城域網(wǎng)面對各系統(tǒng)用戶中，位于不同位置的同類部門之間的數(shù)據(jù)訪問，需要跨過骨干的VLAN的支持?？紤]到網(wǎng)絡的性能，RS系列交換路由器還提供將VLAN映射到MPLS通道的功能。瑞斯康達公司提供的RS系列交換路由器支持多種VLAN功能，包括標準的802.1QVLAN支持及Riverstone專有的StackableVLAN功能，此外，Riverstone支持將802.1QVLAN映射到MPLS的LSP的功能。Riverstone也支持基于協(xié)議的VLAN及動態(tài)VLAN?；跇藴实?02.1QVLAN，該VLAN為業(yè)備標準的支持跨交換機的VLAN。1.StackableVLAN可堆疊VLAN通過允許在一個以太網(wǎng)幀上攜帶兩個802.1QVLAN頭而允許進展VLAN的堆疊，使得VLAN的總數(shù)超出了802.1QVLAN4096個的限制，而到達的4096*4096個總共1600萬個。同時，多個VLAN現(xiàn)在能夠被復用到一個核心VLAN〔CoreVLAN〕內(nèi)，通過屬性注冊協(xié)議〔GARP〕及GARPVLAN注冊協(xié)議〔GVRP〕能夠被用于通過主干網(wǎng)自動供給VLAN。2.Riverstone支持802.1QVLAN到MPLSLSP的映射RS系列路由器通過將802.1QVLANtag映射到MPLS的隧道，使的802.1QVLAN終接于MPLS路由器。VLAN不再穿過主干路由器。極大地增加的VLAN的可擴大性。(如圖)VPN業(yè)務基于隧道的IP-VPN解決方案隨著分組交換上ATM、IP等技術(shù)的開展，基于包交換和傳送的虛擬網(wǎng)絡技術(shù)開場大規(guī)模投入使用。虛擬專用網(wǎng)就是利用公用網(wǎng)絡根基設施為企業(yè)各部門提供安全的網(wǎng)絡互聯(lián)服務，虛擬專用網(wǎng)可以利用IP網(wǎng)絡、幀中繼網(wǎng)絡和ATM網(wǎng)絡來建設，它能夠使運行在虛擬專用網(wǎng)之上的網(wǎng)絡應用享有和專用網(wǎng)絡同樣的安全性、可靠性、優(yōu)先級別和可管理性。由于虛擬專用網(wǎng)可以為用戶提供方便、廉價的遠程訪問，特別是對于使用幀中繼、DDN專線或撥號方式接人的用戶來說，基于虛擬專用網(wǎng)的花費很小。因此，虛擬專用網(wǎng)(VPN)業(yè)務的應用將越來越廣泛。VPN技術(shù)使企業(yè)專用網(wǎng)可以安全地擴展到Internet或其他的網(wǎng)絡服務上去，促進了安全電子商務的開展，便于實現(xiàn)企業(yè)與商業(yè)伙伴、供給商和客戶的外部網(wǎng)連接。的VPN解決方案使用經(jīng)濟有效的、更加靈活的服務供給商連接，實現(xiàn)了可靠性、高性能和傳統(tǒng)WAN環(huán)境所具有的安全特性?；诩用艿腣PN技術(shù)-IPSecVPN的實現(xiàn)主要包括兩個方面的內(nèi)容：封裝和加密。封裝隧道技術(shù)根本上有兩種實現(xiàn)方式：L2Tunneling以及L3Tunneling。L2Tunneling是將用戶數(shù)據(jù)包第2層(包括第2層)以上的整個信息包括如PPP幀頭，IP包頭，TCP包頭，以及用戶數(shù)據(jù)完全打包到VPN傳輸網(wǎng)的IP數(shù)據(jù)中，在IP主干網(wǎng)中傳輸?shù)乃淼兰夹g(shù)。主要的L2Tunneling協(xié)議包括L2TP，L2F，PPTP等。L3Tunneling則只是將用戶數(shù)據(jù)第3層以上的信息打包到主干網(wǎng)IP包中，主要的L3Tunneling協(xié)議包括Ipsec,MobileIP等技術(shù)。通過隧道技術(shù)的實施，VPN用戶可以得到下面的好處：用戶可以使用私有的IP地址空間而不需要在連網(wǎng)時改變自己的地址規(guī)劃，同時因為私有地址對公共網(wǎng)上的其他用戶而言是不可見的，這也增加了用戶網(wǎng)絡的安全性。在隧道中用戶可以運行多種網(wǎng)絡協(xié)議如IPX，AppleTalk等，用戶基于這些網(wǎng)絡協(xié)議的應用可以繼續(xù)使用而不需要淘汰。寬帶IP服務網(wǎng)絡和用戶網(wǎng)絡可以各種運行自己的路由協(xié)議而互不干擾。目前，基于加密的VPN性能越來越高，也出現(xiàn)了采用ASIC芯片來完成加密解密過程的VPN設備，從而使性能得到很大的提高。RSrouter支持以上這種VPN實現(xiàn)模式。在具體的實施中，通常會按需求可能多種方式并用。如大企業(yè)可采取基于加密的VPN實現(xiàn)，在企業(yè)總部放置支持VPN隧道數(shù)較多的VPN設備，在各分支點采用VPN隧道數(shù)相對較少的VPN設備。IPSEC提供三種不同的形式來保護通過公有或私有IP網(wǎng)絡來傳送的私有數(shù)。

認證——作用是可以確定所承受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的。數(shù)據(jù)完整——作用是保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)喪失與改變。機密性——作用是使相應的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。在IPSEC由三個根本要素來提供以上三種保護形式：認證協(xié)議頭〔AH〕、安全加載封裝〔ESP〕和互聯(lián)網(wǎng)密匙管理協(xié)議〔IKMP〕。認證協(xié)議頭和安全加載封裝可以通過分開或組合使用來到達所希望的保護等級。

認證協(xié)議頭〔AH〕是在所有數(shù)據(jù)包頭參加一個密碼。正如整個名稱所示，AH通過一個只有密匙持有人才知道的“數(shù)字簽名〞來對用戶進展認證。這個簽名是數(shù)據(jù)包通過特別的算法得出的獨特結(jié)果；AH還能維持數(shù)據(jù)的完整性，因為在傳輸過程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測出來。不過由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機密性。兩個最普遍的AH標準是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通過最高到160位密匙提供更強的保護。

安全加載封裝〔ESP〕通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進展全加密來嚴格保證傳輸信息的機密性，這樣可以防止其他用戶通過監(jiān)聽來翻開信息交換的內(nèi)容，因為只有受信任的用戶擁有密匙翻開內(nèi)容。ESP也能提供認證和維持數(shù)據(jù)的完整性。最主要的ESP標準是數(shù)據(jù)加密標準〔DES〕，DES最高支持56位的密匙，而3DES使用三套密匙加密，那就相當于使用最高到168位的密匙。由于ESP實際上加密所有的數(shù)據(jù)，因而它比AH需要更多的處理時間，從而導致性能下降。

密匙管理包括密匙確定和密匙分發(fā)兩個方面，最多需要四個密匙：AH和ESP各兩個發(fā)送和接收密匙。密匙本身是一個二進制字符串，通常用十六進制表示，例如，一個56位的密匙可以表示為5F39DA752E0C25B4。注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密匙〔DES〕足夠滿足大多數(shù)商業(yè)應用了。密匙管理包括手工和自動兩種方式，手工管理系統(tǒng)在有限的安全需要可以工作得很好，而自動管理系統(tǒng)能滿足其他所有的應用要求。

使用手工管理系統(tǒng)，密匙由管理站點確定然后分發(fā)到所有的遠程用戶。真實的密匙可以用隨機數(shù)字生成器或簡單的任意拼湊計算出來，每一個密匙可以根據(jù)集團的安全政策進展修改。使用自動管理系統(tǒng)，可以動態(tài)地確定和分發(fā)密匙，顯然和名稱一樣，是自動的。自動管理系統(tǒng)具有一個中央控制點，集中的密匙管理者可以令自己更加安全，最大限度的發(fā)揮IPSEC的效用。

IPSEC的實現(xiàn)方式

IPSEC的一個最根本的優(yōu)點是它可以在共享網(wǎng)絡訪問設備，甚至是所有的主機和服務器上完全實現(xiàn)，這很大程度防止了升級任何網(wǎng)絡相關(guān)資源的需要。在客戶端，IPSEC架構(gòu)允許使用在遠程訪問介入路由器或基于純軟件方式使用普通MODEM的PC機和工作站。而ESP通過兩種模式在應用上提供更多的彈性：傳送模式和隧道模式。

IPSECPacket可以在壓縮原始IP地址和數(shù)據(jù)的隧道模式使用

傳送模式通常當ESP在一臺主機〔客戶機或服務器〕上實現(xiàn)時使用，傳送模式使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和UDP頭。

隧道模式通常當ESP在關(guān)聯(lián)到多臺主機的網(wǎng)絡訪問介入裝置實現(xiàn)時使用，隧道模式處理整個IP數(shù)據(jù)包——包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址做為源地址參加到新的IP頭。當隧道模式用在用戶終端設置時，它可以提供更多的便利來隱藏內(nèi)部服務器主機和客戶機的地址?；贛PLS的VPN方案針對運行商模式的VPN方案，Riverstone路由器也能提供基于MPLS的VPN。Riverstone交換式路由器支持所有的MPLS特性來實現(xiàn)QoS及流量工程能力，更重要是的，RiverstoneMPLS提供現(xiàn)有城域網(wǎng)特性和MPLS集成的擴展，使得運營商能夠輕易擴展它們現(xiàn)有的服務。虛擬專線〔VLL〕及二層VPN服務當用戶和網(wǎng)絡不斷增長時，運營商提供802.1QVLAN基于的VPN服務面臨嚴重的擴展性問題，首先，VLAN的總數(shù)被限制在4096個，第二，核心路由器所需處理的MAC地址的總數(shù)可能變得很大，除非限制最大可用的MAC地址的數(shù)量。第三，用戶的VLAN不易管理除非核心VLAN被映射到每個用戶VLAN，并且VLAN標符識在VLAN用戶之間不沖突。因此標準的802.1QVLAN方式已不再是運營商VPN解決方案的好方法。Riverstone通過使用MPLS支持采用了虛擬專線及層二VPN功能和第三層IPVPN來解決運營商的VPN服務。虛擬專線服務RiverstoneMPLS基于的虛擬專線服務解決了這些擴展性問題，使得城域網(wǎng)運營商能通過兩條相反方向的MPLSLSP提供一個邏輯的管道。這些LSP可以帶上指定的Qos特性，Qos可以是靜態(tài)預配置的或者使用MPLS信號動態(tài)建設的。一個LSP所走的路由可按流量要求而指定。服務供給商能夠為一個特定用戶的流量指定一個策略，比方，如果為具體某一個用戶分配了一個物理端口P1，運營商能夠定義一個策略指定所有來自物理端口P1的流量流向一個預定義的LSPL1，而該LSPL1位于端口P2。RiverstoneMPLS支持基于每LSP進展速率限制，保證用戶的服務等級水平〔SLA〕?；诿縇SP的流量統(tǒng)計使得MSP能夠監(jiān)測流量情況以便適時作調(diào)整。這個基于MPLSLSP的虛擬專線〔VLL〕服務模型使得運營商有很大的擴展性，最終用戶的網(wǎng)絡信息如，MAC地址，VLNA-Ids,都保持對運營商網(wǎng)絡透明，因為只有MPLS標簽被檢查，此外，基于MPLS標簽堆棧特性，邊緣得LSP能被組合成少量的LSP隧道。MPLSL2VPN功能通過Riverstone的MPLS，當超過兩個以上的用戶網(wǎng)絡必需要透明互連時，運營商能夠擴展VLL功能以提供透明的以太網(wǎng)服務〔TLS〕，RiverstoneMPLS支持虛擬LAN的擴展需要以及地址學習能力。以下的圖指明Riverstone如何實施二層VPN功能。圖1，用戶的VLAN被映射到指定的VLANLSP，在POP點之間的隧道LSP將VLANLSP進展隧道化，核心的LSP必須被限制在一個較小的數(shù)量。這些隧道的LSP通常經(jīng)由RSVP-TE進展信令化，因為核心的LSP通常要求有嚴格的Qos保證。而POP點之間的攜帶用戶VLAN流量的LSP不要求流量工程因為帶寬根本不是問題，所以這些LSP通常由LDP信令建設。當LANLSP被指定給具體某個用戶后，就不再需要作額外的供給操作。事實上，單個VLANLSP能夠攜帶用戶的所有流量而不管用戶端的VLAN拓撲構(gòu)造。通過VLAN到MPLSLSP隧道的映射，事實上可以建設基于第二層的BGPVPN。整個VPN用戶可以使用第二層隧道。這樣整個VPN的用戶可以使用同一個子網(wǎng)的地址，也可以使用除了IP之外的其他協(xié)議。MPLSIP三層VPNs(MPLS/BGPVPN)按照Frost及Sullivan的預測，到2004年，IPVPN服務將從1998的200$百萬上升到13個億，VPN的必需的要求是安全，可擴展性及服務等級水平，以前服務供給商通過面向連接的ATM及FrameRelay或使用加密的IPsec提供VPN主要的問題是現(xiàn)基于隧道的技術(shù)不具有擴展性的?；蚺渲脧碗s，RiverstoneMPLSVPN基于RFC2547-bis使用BGP擴展實現(xiàn)具有高度擴展能力的VPN。通過使用MPLSVPN，運營商通過分配VPN-ID給用戶。然后組合VPN-ID和IP地址來進展轉(zhuǎn)送，使得用戶的IP地址成為唯一的標識，在MPLSVPN中，VPN信息由BGP協(xié)議分布到同樣的VPN成員中去，不同的VPN成員之間流量完全分開，流量通過MPLSLSP來進展轉(zhuǎn)送，MPLSLSP能提供ATM或幀中繼級別的安全和可靠性。轉(zhuǎn)發(fā)表中包含相對應于VPN-IP地址的標簽信息。Riverstone提供的MPLSVPN能夠利用基于MPLS的QOS功能為不同用戶提供不同層次的IP服務是，這些簡單有效的VPN服務能夠滿足用戶的VPN要求并能提供額外的強大的服務分發(fā)機制。MPLSVPN的實現(xiàn)過程MPLS的應用導致VPN技術(shù)產(chǎn)生了質(zhì)的變化，他保證了VPN的極高的可擴展性，并為服務供給商和最終用戶同時提供了簡單配置和可管理性。MPLS同時可以提供跨越IP路由網(wǎng)絡和ATM交換網(wǎng)絡的VPN，從而保護用戶的現(xiàn)有投資。MPLSVPN的根本工作方式是采用三層技術(shù)，每一個VPN具有單獨的VPN-ID，每一個VPN的用戶只能與自己VPN網(wǎng)絡中的成員進展通信，而也只有VPN的成員才能有權(quán)進入該VPN。如以以下圖所示：圖：MPLSVPN示意圖中有兩個VPN：A公司以及B公司，A公司的VPN中的用戶有權(quán)進入黃色的VPN，并且與該VPN的用戶進展通信，而B公司VPN不可見。MPLSVPN的工作過程如下：在基于MPLS的VPN中，服務提供商為每個VPN分配了一個標識符，稱作路由標識符(RD)，這個標識符在服務提供商的網(wǎng)絡中是獨一無二的。轉(zhuǎn)發(fā)表中包括一個獨一無二的地址，叫作VPN-IP地址，是由RD和用戶的IP地址連接形成。VPN-IP地址在網(wǎng)絡中是獨一無二的，地址表存儲在轉(zhuǎn)發(fā)表中。每個VPN保持一個轉(zhuǎn)發(fā)表。BGP是一個路由信息分布協(xié)議，它利用多協(xié)議擴展和BGPCommunity屬性來定義VPN的連接性。在基于MPLS的VPN中，BGP只對同一個VPN的成員發(fā)布信息，通過流量分隔來提供根本的安全性。因為數(shù)據(jù)是通過使用LSPs來轉(zhuǎn)發(fā)的，LSP定義一條特定的路徑，不可以被改變，這樣對安全性也有保證。這種基于標簽的模式可與幀中繼和ATM一樣提供保密性。服務提供商，而不是用戶，應用VPN時將一個特定的VPN與接口聯(lián)系起來，數(shù)據(jù)包的轉(zhuǎn)發(fā)是由用于入口的標簽決定的。既然不可能spoof端口，MPLSVPN就不易受到spoof的攻擊。VPN轉(zhuǎn)發(fā)表中包括與VPN-IP地址相對應的標簽。通過這個標簽將數(shù)據(jù)傳送到相應地點。既然標簽代替了IP地址，用戶可以保持他們的專用地址構(gòu)造，無需進展網(wǎng)絡地址翻譯(NAT)來傳送數(shù)據(jù)。根據(jù)數(shù)據(jù)入口，交換機選擇一特定的轉(zhuǎn)發(fā)表，該表中只包括在VPN中有效的目的地址。為了創(chuàng)立extrnet，服務提供商在VPN之間要明確配置可達性。這種解決方案的優(yōu)勢在于服務提供商可以通過一樣的網(wǎng)絡構(gòu)造來支持許多種VPN，并不需要為每一個用戶建設單獨的網(wǎng)絡。而且，這種方案將IPVPN的能力內(nèi)置于網(wǎng)絡本身，所以，服務提供商可以為所有租用者配置一個網(wǎng)絡來提供專用的IP網(wǎng)服務，如intranet和extranet，而無需復雜的管理，隧道或VCmesh。QoS可為每個VPN提供特有的業(yè)務政策，QoS服務可與基于MPLS的VPN無縫結(jié)合，因為兩者都是基于標記的技術(shù)?；贛PLS的IPVPN網(wǎng)絡可以很容易地與基于IP的用戶網(wǎng)絡結(jié)合起來。租用者可與供給商提供的服務無縫結(jié)合，不必改變intranet應用，因為這些網(wǎng)絡具有應用通曉性、保密性和QoS內(nèi)置于網(wǎng)絡中。用戶能夠使用他們專有的IP地址而無需NAT(網(wǎng)絡地址翻譯)。這同一種網(wǎng)絡構(gòu)造目前可支持許多種VPN，可減輕為每一個新網(wǎng)絡實施工程的負擔。這種方案易于進展VPN的添加、移動和改變。如果某個公司需要在自己的VPN中增加一站點，服務提供商只需告訴客戶端設備的路由器如何與網(wǎng)絡連接，并配置LSR來識別來自于CPE的VPN成員。BGP會自動更新VPN成員。與增加一臺設備需要大量操作的overlayVPN相比，這種方案要簡單、迅速和廉價的多。在一個overlayVPN中增加一臺新設備要涉及到更新流量matrix，從新站點建設VC到所有現(xiàn)存的站點，更新每個站點的OSPF設計，針對新的拓撲構(gòu)造圖重新配置每臺CPE設備?？煽啃酝ㄟ^Riverstone的MPLS解決方案，備份的LSP能夠被配置以提供快速的故障恢復。備份的LSP可以是已經(jīng)被預配置的，也可以是當主LSP失效時運態(tài)建設的。另外也可以通過MPLS快速重路由功能實現(xiàn)熱容錯，快速重路由功能能快速建設一個繞過故障點的LSP隧道。如果一個結(jié)點或鏈路失效，這條繞過故障點的LSP將過使用并通知入口路由器，入口路由器然后決定建設一個新的LSP。當故障點恢復正常時，流量可以按照配置恢復從原路徑通過。故障的檢測必須要盡可能快地被檢測到，Riverstone嚴密地集成了物理層以檢測本地故障，可以通過定義RSVPHELLO的定時器來完成SDH級時的50毫秒的故障恢復時間。Qos/Cos在今天的城域網(wǎng)中，帶寬已經(jīng)成為象日用品一樣簡單，供給商僅僅供給純帶寬已不再足夠。它們需要針對不同的用戶需求，有區(qū)分地提代帶寬及服務質(zhì)量，用戶可以選擇不同級別的服務，而不僅僅是帶寬。RiverstoneMPLS為應用這種服務提供了必要的工具，使用用戶能夠選擇有QOS及可靠保證的服務。RiverstoneMPLS既能夠映射802.1p或IPTos/DSCP位到MPLSExp/Cos位，也能夠到也經(jīng)保存了足夠資源的LSP。MPLS頭中的Exp位攜帶分組的優(yōu)先級，每個標簽交換路由器將按照這些標識進展優(yōu)先級識別，并映射到不同的優(yōu)先級隊列，當一個分組被映射到一個LSP，則僅需在MPLS網(wǎng)絡的入口點做一次映射決策。然后分組將按照指定的LSP進展傳輸。在一個層次服務模型中，LSP能夠被指定不同的優(yōu)先級。如果一個高優(yōu)先級的LSP失效并且沒有可用的資源去建設新的LSP，那么低優(yōu)先級的MPLSLSP資源將被搶用。這保證了有高優(yōu)先級服務等級合同的用戶獲得可靠，保證的服務。而普通盡力而為〔Best-effort〕服務級別的用戶則沒有保證。當一個MPLSLSP不是最優(yōu)化時，在后臺自動重新優(yōu)化一個LSP是重要的。例如在資源不可用時，一個高優(yōu)先級的LSP占用一條中優(yōu)先級LSP的資源，那么這先高優(yōu)先級是LSP將不再是最優(yōu)化的。當資源重新可用時，LSP自動重優(yōu)化可能讓該LSP重新成為一個最優(yōu)化的LSP。流量工程MPLS通過顯式的路由能力給IP網(wǎng)絡帶來的了強大的流量工程能力。在普通的IGP路由中，IGP協(xié)議不考慮帶寬的可用性及鏈路狀態(tài)信息。這可能會產(chǎn)生某些鏈路的過度使用而某些鏈路則利用率缺乏。在一個全面范圍的IP網(wǎng)絡中，服務供給商可以使用MPLS解決這引起問題。為了將城域網(wǎng)的流量擁塞降到最低，RiverstoneMPLS支持IGP協(xié)議的流量工程擴展，OSPF-TE，ISIS-TE。這些擴展在路由更新口提供了額外的鏈路狀態(tài)信息如保存的帶寬，可用的帶寬及新和力。Riverstone也支持在線的CSPF算法動態(tài)地計算一個顯式路由的LSP。結(jié)論利用瑞斯康達公司提供的RS系列交換路由器組建銀川城域網(wǎng)，有能力完全滿足需求書中所提到的各種業(yè)務的開展，準確地切合運營商的需要；有能力為城域網(wǎng)提供一個先進的MPLS技術(shù)為根基的骨干，使得運營商能夠為用戶提供各種價值的服務。Riverstone的交換式路由式已被證明是城域網(wǎng)的領(lǐng)先者。網(wǎng)絡管理所有的RS系列交換路由器設備從RapidOSversions到都支持統(tǒng)一網(wǎng)管。分別提供配置、網(wǎng)絡監(jiān)控、流量計費等軟件。Granite軟件工具提供了L2filter,L3ACLs和VLANs的API/SDK。Quartz軟件工具采用命令行方式提供通用網(wǎng)絡操作。Barite軟件工具采用HPOpenView，自動發(fā)現(xiàn)RSrouters。Topaz軟件工具基于WEB提供網(wǎng)絡性能監(jiān)視。Slate軟件工具為LFAP〔Light-weightFlowAccountingProtocol〕提供流量分析和數(shù)據(jù)收集服務器方案特點全部第三層功能的主干交換網(wǎng)絡構(gòu)造所有核心層和邊緣層產(chǎn)品都支持第二層和第三層功能。不僅可以進展VLAN的劃分，還可以進展高速的路由轉(zhuǎn)發(fā)。VLAN可以根據(jù)端口、子網(wǎng)和網(wǎng)絡協(xié)議進展劃分。支持各種常用的網(wǎng)絡協(xié)議和路由協(xié)議。由于每個設備都支持無阻塞的第二層或第三層交換，在交換構(gòu)造中，可以到達非常好的性能。也意味著可以減少繁瑣的擁塞管理和服務質(zhì)量管理工作。第二層意味著可以支持域網(wǎng)絡協(xié)議無關(guān)的鏈路服務，用戶可以是IP網(wǎng)絡、IPX網(wǎng)絡或WINDOWSNT網(wǎng)絡，用戶不需要改變他們已有的網(wǎng)絡協(xié)議和網(wǎng)絡地址。第三層意味著可以支持以IP為主要協(xié)議的網(wǎng)絡應用，尤其是需要與其他地域互連時，由于網(wǎng)絡鏈路的復雜性和多樣性，要進展網(wǎng)絡互連，必須采用高層網(wǎng)絡協(xié)議。第二層服務可以為本地的企業(yè)用戶服務。第三層則可以為跨地域連接時提供服務，例如與上級網(wǎng)絡的連接，同一企業(yè)在全省范圍的連接等。完善的接入安全性由于每個設備都可以支持第二層和第三層交換，因此可以提供第二層和第三層的安全控制能力。第二層安全控制能力可以提供端口地址過濾、端口地址鎖定等功能。端口地址過濾允許交換機根據(jù)預先設定的過濾規(guī)則，允許或制止某些第二層數(shù)據(jù)包進出交換機，也就是對上網(wǎng)用戶的網(wǎng)卡MAC地址進展檢查后才能上網(wǎng)，不符合規(guī)則的用戶將被拒絕上網(wǎng)。第三層安全控制能力可以提供訪問控制列表能力，允許交換機根據(jù)預先設定的規(guī)則，允許或者制止某些第三層數(shù)據(jù)〔IP或IPX包〕進出交換機。與業(yè)務相關(guān)的網(wǎng)絡設計網(wǎng)絡骨干是業(yè)務最集中的地方或是數(shù)據(jù)轉(zhuǎn)發(fā)的樞紐地，為此，網(wǎng)絡設計需要保證骨干的可靠性。網(wǎng)絡設計中充分考慮了橫向網(wǎng)和縱向網(wǎng)的業(yè)務需求，采用了切實可行的方法組建VPN。良好的網(wǎng)絡隔離、數(shù)據(jù)安全能力企業(yè)用戶比較關(guān)心的問題是網(wǎng)絡的安全性問題，他們不希望內(nèi)部數(shù)具有被竊取的可能。處在網(wǎng)絡的邊緣采用第二層VLAN技術(shù)外，與第二層的VLAN技術(shù)相類似的還有第三層的VPN虛擬專用網(wǎng)技術(shù)。VPN適合于在類似于因特網(wǎng)這樣的公網(wǎng)上傳輸私有數(shù)據(jù)。通過隧道技術(shù)和數(shù)據(jù)加密技術(shù)，用戶可以控制自己的數(shù)據(jù)安全。采用NetScreen實現(xiàn)高速的加密，在縱向網(wǎng)上實現(xiàn)Ipsec的VPN,同時保證了數(shù)據(jù)的安全。良好的網(wǎng)絡穩(wěn)定性網(wǎng)絡的穩(wěn)定性表達在當網(wǎng)絡發(fā)生鏈路或設備失效時，網(wǎng)絡能在短時間內(nèi)恢復正常。對于一個運行級網(wǎng)絡來說，穩(wěn)定性與性能一樣重要。設備穩(wěn)定性除設備的性能指標外，主要指設備的平均無故障時間〔MBTF〕。本方案涉及的設備MTBF如下：MTBTforRS3000：200,000小時MTBFforRS8000/8600：200,000小時鏈路穩(wěn)定性表達在兩個層次：第二層穩(wěn)定性和網(wǎng)絡層穩(wěn)定性。第二層穩(wěn)定性表示物理鏈路的收斂時間。RiverStone產(chǎn)品在運行第二層交換功能時，使用最小生成樹算法來保持每個VLAN。第三層穩(wěn)定性表達在路由的收斂時間。本網(wǎng)絡采用OSPF標準協(xié)議，可以在30秒內(nèi)實現(xiàn)全網(wǎng)路由收斂。實際上，OSPF在監(jiān)測到路由波動時，缺省只需等5秒鐘再進展路由計算，計算工作在5秒內(nèi)即可完成，因此根本上是在10秒以內(nèi)完成路由收斂。如有必要，還可以調(diào)整時間。良好的可管理性所有RiverStone產(chǎn)品都支持三種網(wǎng)絡管理方式：命令行、WEB和RiverStone網(wǎng)管軟件。RiverStone產(chǎn)品支持標準的網(wǎng)路管理協(xié)議：簡單網(wǎng)絡管理協(xié)議〔SNMP〕和遠程監(jiān)控協(xié)議〔RMON/RMON2〕。通過SNMP，網(wǎng)管人員可以遠程進展設備狀態(tài)紀錄，設備維護，設備告警，設備啟動等操作，實現(xiàn)全面管理。RMON可以詳細記錄每個端口的流量情況，如輸入輸出的字節(jié)數(shù)、數(shù)據(jù)包數(shù)。以此為根基，可以實現(xiàn)基于流量的統(tǒng)計和計費。服務質(zhì)量保證RiverStone可以提供更好的靈活性和流量控制能力?？梢赃M展：業(yè)務分類接入速率控制隊列機制先期擁塞控制資源預留附錄：設備簡介RS8600/8000交換式路由器家族RS8000和8600交換式路由器支持線速的多層交換和路由，并集成全面的LAN/WAN連接能力，提供對帶寬和應用數(shù)據(jù)流的準確控制，以及為支持高性能轉(zhuǎn)發(fā)提供超大路由表容量。RS8000和8600在啟動全部服務、控制功能的情況下仍能保持線速的第2、3、4層交換和路由性能。通過跨越整個網(wǎng)絡實施優(yōu)先級隊列、過濾以及QOS等策略，能夠向最終的用戶或特定的應用分配相應的網(wǎng)絡資源。RS8000和8600能夠?qū)嵤┍忍丶壍膸捒刂撇⑼ㄟ^優(yōu)化措施建設和實施服務級別認同策略。關(guān)鍵特點基于端口或協(xié)議的VLANIP路由，單播和組播安全性〔ACL、L2過濾器〕第4層應用流交換與QoS網(wǎng)絡地址翻譯〔NAT〕服務器負載平衡〔LSNAT〕基于硬件的WAN壓縮和加密基于硬件的速率限制支持巨型幀技術(shù)指標接口類型10/100Base-TX100Base-FX1000Base-SX1000Base-LXSerialT1/E1,T3/E3ATMDS3,E3,OC-3cPOSOC-3toOC-12c性能16GbpsforRS8000,32GbpsforRS8600無阻塞交換矩陣15MppsforRS8000,30MppsforRS8600路由吞吐量MTBF(預測)>200,000hours容量支持4,096VLANs支持250,000個3層路由支持20,000安全/訪問控制過濾器RS8000支持2,000,000個Layer-4應用流，RS8600支持4,000,000個Layer-4應用流RS8000支持400,000個Layer-2MACaddresses，RS8600支持800,000個Layer-2MACaddresses每Gigabit端口有3MBinput/output緩沖區(qū)每10/100端口有1MBinput/output緩沖區(qū)在一個WAN模塊上的WAN端口共享20MBinput/output緩沖區(qū)在每個PacketOverSONET/SDHOC-3c端口有32MBinput/output緩沖區(qū)在每個PacketOverSONET/SDHOC-12c端口有64MBinput/output緩沖區(qū)可靠性保證交換矩陣〔僅對RS8600〕、控制模塊、電源均為冗余配置線卡、控制模塊、交換矩陣〔僅對RS8600〕、電源可熱切換基于標準的VRRP管理方式每端口支持RMONv1/RMONv2SNMP可管理命令行〔CLI〕管理支持的標準與協(xié)議IP路由：RIPv1/v2,OSPF,BGP2,3,4,IS-ISIPX：RIP,SAP組播：IGMP,DVMRP,GARP/GVRP橋和VLAN：802.1dSpanningTree，802.1Q(VLANtrunking)，RapidSpanningTreeProtocol(RSTP)，Per-VLANSpanningTree(PVST)QoS：業(yè)務控制排隊、加權(quán)早期隨機檢測、加權(quán)公平排隊、嚴格優(yōu)先級排隊、重寫ToS八位位組、MPLS和為流量工程創(chuàng)立LSPs媒體接口協(xié)議：802.3(10Base-T)，802.3u(100Base-TX,100Base-FX)，802.3x(1000Base-SX,1000Base-LX)，802.3z(1000Base-SX,1000Base-LX)，DS-3/E-3(ATM多速率和通道化)，OC-3c(ATM多速率和POS)，OC-12c(POS)，T1/E1(WAN多速率)，T3(通道化)，CMTS(DOCSIS1.0,EuroDOCSIS1.0)電源要求AC電源100-125VAC,最大5A〔RS8000〕，最大10A〔RS8600〕200-240VAC,最大3A〔RS8000〕，最大6A〔RS8600〕輸出功率：300W〔RS8000〕，600W〔RS8600〕DC電源 輸入電壓： 36-72V 輸入電流： 14A〔RS8000〕，27A〔RS8600〕 輸出功率：300W〔RS8000〕，600W〔RS8600〕遵守的NEBS符合NEBS3級規(guī)程電磁兼容性FCCPart15,CSAC108.8,EN55022,VCCI,EN50082-1and89/336/EEC安全性UL1950,CSAC22.2No.950,EN60950,IEC950and72/73/EEC環(huán)境要求運行溫度：5℃到40℃運行濕度：15到90%〔非冷凝〕存放溫度：-30℃到+73℃存放濕度：5到95%〔非冷凝〕海拔高度：最高10,000ft撞擊與震動：GR63物理指標尺寸：RS8000：H：8.27in；W：17.25in；D：12.25inRS8600：H：19.25in；W：17.25in；D：12.25in重量：RS8000：10.8kg RS8600：21.2kg設備根本組成RS8000：8槽的機柜，背板，交換矩陣，和風扇〔還需要G8M-CM控制模塊，SYS-OS操作系統(tǒng)，G80-PAC交流電源或G80-PDC直流電源〕RS8600：16槽的機柜，背板，交換矩陣，和風扇〔還需要G8M-CM控制模塊，SYS-OS操作系統(tǒng)，G86-PAC交流電源或G86-PDC直流電源〕100~240VAC電源或48VDC電源控制模塊〔128MB或256MB〕備件風扇盤系統(tǒng)軟件：SYS-OS〔RS路由器操作系統(tǒng)軟件〔PC-卡形式〕〕8口10/100Base-TX線卡16口10/100Base-TX線卡8口4MB多模100Base-FX線卡2口多模1000Base-SX以太網(wǎng)線卡2口同時支持各種距離的單模/雙模1000Base-LX線卡2口支持70公里的單模1000Base-LLX線卡2口1000Base-T線卡〔RJ-45〕提供2個插槽的多速率ATM線卡，每個插槽可插入以下端口類型：DS-3/T-3(BNCCoax)、E-3(BNC)、OC-3c多模(SC-style)、OC-3cSMF-IR(SC-style)ATMOC-12c多模線卡提供2個物理端口互為主備用ATMOC-12c單模線卡提供2個物理端口互為主備用4個OC-3c口的Packet-over-SONET多模線卡4個OC-3c口的Packet-over-SONET單模線卡2個OC-12c口的Packet-over-SONET多模線卡2個OC-12c口的Packet-over-SONET單模線卡Quad系列C線卡，提供2個雙串行WA