长沙联通三网融合方案

长沙联通三网融合 一、 网络现状介绍 长沙IP城域网现状 目前长沙市IP城域网分为核心层、汇聚层和接入层。 1. 核心层 核心层网络结构 核心层设备有二台出口路由器和一台汇聚分流路由器组成。荷花园、河西出口路由器各自上行至China169和CNCnet，友谊汇聚分流路由器通过2.5GPos口上行至荷花园和河西 目前长沙城域网总拓扑: 出口至国干10GPOS×210GPOS×2河西核心7750荷花园核心7750核心层10GPOS×2 2.5GPOS×22.5GPOS×2友谊核心7750 DIA汇聚层GE×5GE×2GE×2GE×1GE×1GE×1GE×1GE×1GE×1GE×4宁乡望城坡汇望城河西汇聚包装汇聚芙蓉汇凤凰台汇友谊汇聚星沙NE40浏阳NE40荷花园汇聚NE40聚7750NE4077507750聚7750聚775077507750 GE×4GE×6GE×4 宁乡望城坡望城县河西包装芙蓉名优特凤凰台大剧院友谊路友谊天马袁家岭荷花园高桥三一浏阳高桥1建鸿达新闻丽都苑嘉园 Dr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.com 友谊BRAS河西BRAS荷花园BRASCPN汇聚层宁乡望城坡望城县河西天马包装芙蓉名优特凤凰台大剧院友谊路友谊公专丽都苑汇丰泰荷花园高桥三一浏阳生物园建鸿达新闻嘉园 城域网出口流量情况: 城域网出口流量变化图 45.00% 40.00%35.00% 30.00% 25.00%20.00% 15.00% 10.00%5.00%流量占用百分比0.00% 10月7日时间 10月14日 10月21日 10月28日 11月4日2. 汇聚层 11月11日汇聚层网络结构 11月18日汇聚层设备由七台贝尔7750路由器、三台华为ME60分布式BARS和三台 11月25日 华为NE40路由器组成。7750汇聚层路由器上联至长沙三台贝尔7750骨干路由12月2日 器，再分别上行至China169和CNCnet，骨干层和汇聚层设备均安装在各个中心12月9日 12月16日机房。本层主要提供专线用户和网吧用户的接入。 12月23日长沙城域网汇聚层网络拓扑: 12月30日 1月6日 1月13日 1月20日 1月27日 2月3日 2月10日 2月17日 出口至国干 河西核心7750荷花园核心775010GPOS×210GPOS×2 10GPOS×2 2.5GPOS×22.5GPOS×2 友谊核心7750核心层 GE×1GE×1GE×1GE×1GE×5GE×4GE×1GE×4GE×4GEGE×1×6GE×2GE×2 宁乡望城坡汇望城河西汇聚友谊包装芙蓉汇聚凤凰台汇聚星沙浏阳荷花园汇聚河西友谊荷花园NE40聚7750NE407750汇聚7750775077507750NE40NE40BRASBRASME60 汇聚层 3. 接入层 接入层网络结构 接入层设备由ME60，城市热点防私接设备(用于校园接入，串接在ME60和核心7750中间),华为3552/S7810/S9306二层交换机, DSLAM设备和楼道交换机组成。本接入层用于面向CPN，楼宇小区，校园提供宽带接入服务。 长沙城域网CPN接入拓扑: 出口至国干 河西核心7750荷花园核心7750核心层 友谊核心7750 Dr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.comDr.com 河西BRAS友谊BRAS荷花园BRASCPN汇聚层 宁乡望城坡望城县河西天马包装芙蓉名优特凤凰台大剧院友谊路友谊公专丽都苑汇丰泰荷花园高桥三一浏阳生物园建鸿达新闻嘉园 二、 三网融合目标网络架构 1. 业务驱动网络带宽需求 三网融合的通信网络将是一个覆盖全球、功能强大、业务齐全的信息服务网络，即为全球一体化的综合宽带多媒体通信网。而这一网络结构应是一个统一完整的结合体系，为全球任一地点，采用任何终端的用户提供综合的语音、数字、图像等多种服务。它将是以IP为基础，所有网络将向以IP为基本协议的分组网统一。因特网的广泛业务，诸如电子邮件、文件传输、远程登录、全球WWW浏览，已使因特网成为人们广为利用的网络技术，而未来的网络是集语音、数据文字、图像视频于一体的综合网络，因特网是实现这一网络综合化的基础，也是实现三网融合的综合业务平台。根据业务发展情况，用户对带宽的要求也会逐步提高，中短期用户带宽预测:低端用户12M，高端用户36M，远期，考虑到多路高清IPTV 和其他高质量业务需求，接入网应具备提供50,100Mb/s 下行带宽的能力。具体需求可参考下表: 业务 下行带上行带高速率用户需中低速率用户 宽 宽 求 需求 HDTV 6,10M 50k 2路 下行带1路下行带 宽30MHDTV或宽8, 左右; 2路12M SDTV SDTV 2,3M 50K 2路 上行带上行带 宽宽 512K-4M 512K, 4M 视频通512K,512K,? 2M,10M ? 1M,2M 信 2M 2M 网络游256K,256K,? 256K,? 256K,戏 1M 1M 2M 1M IP话音 100K 100K 2路 256K,2路 256K, 2M 1M 高速上2,6M 512K-1M ? 2M,20M ? 1M,2M 网 2. 三网融合业务对承载网的需求 多业务融合，高质量IP网络，支持所有业务接入:数据、话音、视频、TDM/ATM专线、移动等;大带宽的用户接入和汇聚，用户带宽目标20~100Mbps，以及无线宽带;不中断的业务传送，要求网络高度可靠，故障恢复时间在ms量级实施端到端的QoS;保证话音和视频等实时业务的传送质量;未来移动话音网络的质量要求更高;更高的网络传送效率，IPTV视频流会占用大量的带宽，要支持组播，提高网络对IPTV传送的带宽资源效率基于策略的业务接纳允许控制;更好的全网带宽资源的使用策略，控制不同等级的业务和用户的业务请求，动态业务识别网络安全和内容保护;保证合法用户才能收到内容，保证网络不受黑客和病毒的影响。 3. 现网存在的问题 目前使用的小三层交换机S3552的业务能力较弱，无法提供VPN业务支持能力，对QOS支持较差，抗攻击能力差;BAS设备接入网用户识别能力弱，未实现对用户的严格绑定;EPON设备上线后GE端口不足; 接入端大量使用ADSL接入，带宽严重不足。网络接入层上行带宽普遍为100M，也需要扩容。 三、 建设方案 1. 网络结构 为完善网络结构，清晰网络层次，先期拟定了网络结构如下: 同时要实现话音、宽带、视频的固定移动业务融合;统一用户数据库 实现高带宽、高质量、高可靠的承载网;网络资源精确管控 核心承载层 , 大容量:大容量的系统交换，高速端口 , 高可靠:设备级和网络级可靠性 , 业务能力:MPLS VPN 进行业务传送，QoS ，TE , 安全性:网络和业务安全性 业务承载层 , 业务网关:IPoE/DHCP 多业务网关 ,带宽控制:针对每用户和每业务的层次化QoS控制 ,用户管理:对高速上网、IPTV和VoIP用户的管理、认证、计费 接入层 ,大带宽接入:向全光用户接入发展(100Mbps)，光进铜退 ,融合业务终端:家庭网关提供多业务的融合接入能力 ,完善的管理:统一集中管理;业务部署和保障的管理 接入层目标模型，通过家庭网关实现多业务接入。 2. QoS部署 核心及汇聚层采用RSVP，DifferServ机制，在二层汇聚设备上开启QoS,对每个用户的不同种业务类型，分别进行QoS控制。 接入DSLAM及LAN交换机可根据PVC/VLAN隔离业务，采用802.1p调度、端口多优先级队列、端口限速等，用户终端设备支持802.1P标记。 目前城域网中实施QoS策略可以主要出于两个目的，一是提供对大客户或商业客户的差异化服务，二是对今后的IPTV以及NGN/3G业务提供服务质量保证。实际上从QOS的角度来讲，彻底保证上述关键业务的服务质量应该要端到端的解决方案，这其中包括L2接入网络的QOS保证。在目前的网络扩容改造的程度下，二层网络可以暂时采用轻载方式，而对每个用户业务的QOS控制从汇聚节点做起，让汇聚节点起到业务控制点的作用。 沙联通IP网中以汇聚节点层面为分界点，汇聚节点下联方向为业务接入长 侧，上连方向为网络核心侧，在Diffserv框架中，业务接入侧和网络核心侧各自执行不同的QOS策略，即在业务接入侧对业务敏感，在网络核心侧只对服务等级敏感而对业务不敏感，同时业务接入侧的策略执行是网络核心侧QOS策略的基础，从目前的QOS技术来看，网络核心侧策略的实现相对来说比较简单，而实现起来最难最杂的地方是业务接入侧的策略。 由于对于每个用户业务的QOS控制在业务接入侧实现，因此汇聚节点针对 每个用户业务的QOS控制的支持能力非常重要，只有真正实现了基于每个用户业务的控制，才有可能真正实现对每个用户业务的SLA保证，这一点也要求汇聚节点能够提供足够的队列资源，并能够为每个用户业务中的各个服务等级的数据流分配各自独立的队列进行承载和带宽控制。 业务接入侧的策略要求汇聚节点主要完成下述处理:业务区分、QOS分类(服务等级区分)、带宽公平控制和服务等级映射。对于商业客户的高速上网和各种VPN业务，包括VPLS业务，上述处理均是有效的。 不同类型的业务使用的QOS区分条件内容不尽相同，对于MPLS L3 VPN和Internet接入的用户业务，主要根据区分条件中的L3/4信息进行服务等级区分，例如源/目的IP地址，源/目的L4端口号，协议类型等，当然也可根据用户数据包中原有的DSCP字段值进行区分。对于MPLS L2 VPN的用户业务，可根据L2/3/4信息进行区分，同时还可根据用户数据包中原有的802.1p字段值和DSCP字段值进行区分。 带宽控制 对用户的流量控制应能够在业务接入的Ingress和Egress两个方向上进行，因此业务路由器应能在Ingress和Egress两方向上对每个具体用户业务进行服务等级细分的流量控制，这要求业务路由器能够在Ingress和Egress两个方向上为具体用户业务提供多个服务等级的队列，进行双向多等级应用流量的带宽控制。 由于汇聚负责商业用户的各种城域网业务的发起和终结，因此对每个具体业务Ingress和Egress方向上的带宽控制应能够在汇聚节点上完成，这一过程实际是流量整形的过程。 汇聚节点对业务流量的带宽控制需要作到: , 能够针对每个具体的用户业务进行控制。 , 对于需要细分不同服务等级的应用流量的用户业务能够针对同一业务中不 同服务等级的应用流量进行控制。 , 能够控制来自不同用户的不同服务等级流量的总的带宽分配，特别是保证实 时业务(如话音和视频流量)的带宽资源。 , 对每个需要控制的数据流对象提供保证带宽和突发带宽的限制。 , 在满足每个用户申请的SLA总带宽的条件下，该用户的不同业务和一个业务 中的不同服务等级应用流量除获得保证带宽外还可在SLA总带宽的范围内从 剩余带宽中获得突发带宽。 , 每个数据包经过流量控制后业务路由器能够识别数据包的服务等级以及 In-profile和Out-profile属性，并将服务等级和In-profile/Out-profile 属性映射在数据包头的DSCP和EXP位提供给城域网核心，进行下一步在城 域网核心中的基于Diffserv的PHB转发。 , 丢包机制可基于每个具体的业务实施，能够先丢弃低服务等级的数据包，再 丢弃高服务等级的数据包 , 上述控制能够在业务接入的Ingress和Egress方向同时实施。 , 带宽控制处理必须以线速实现，不会对核心节点的设备性能造成任何影响。 上述要求需要汇聚节点必须提供足够的队列资源承载不同用户的不同服务等级的流量，必须提供灵活的带宽调度机制保证不同用户业务之间，不同服务等级的流量之间的带宽的公平分配，这对和其它数据业务同时承载在一个城域网平台上的NGN等实时业务来说尤为重要。 3. 组播 对IPTV类组播业务，网络架构应该是具备全网组播支持能力，以满足未来开展大规模IPTV等业务的需要。要实现全网组播，必须改变现在这种过分依赖BRAS进行PPP认证的组网模式。对于组播业务，DHCP认证方式更合适。只有部署此方式，才能实现全网组播模型。 建议IPTV采用DHCP模型。7750和DSLAM 都参与到IGMP snooping/proxy。因此组播是分布到整个网络上的。瓶颈不会集中在一个单独的SR上。这样就减少了SR上的组播的负载，也节省了L2层网络上的带宽。 部署多种业务边缘设备，而不是依赖于单一的边缘设备提供所有类型的业务。这使得能够更快地实现IPTV业务的市场推广和部署，并保留基于PPPoE的互联网运营模式，尽可能地降低对现有用户的冲击。 对于现网情况，已经设计部署5台8512三层交换机作为业务接入和透传，另外在汇聚层的7750SR业务路由器具有强大的三重播放支持能力，因此对于少 量的IPTV用户(1000户以内)，现网已经完全可以支持。对于进入快速业务发展阶段，在对现网进行优化,扩容以支持更多的IPTV用户，或者单独建网来承载IPTV和大客户专线业务。 4. 和广电及其他网络对接 为实现多业务运营，真正实现三网融合，结合联通公司特点，我们将建立一套全业务运营网络，和其他业务网络实现对接，具体网络对接可参考下图模式。 四、 网络安全 1. 流量 由于互联网的安全问题越来越多，越来越严重，进行必要的安全检测和防范措施时非常必要的。 采用流量镜像时较为常规也是非常有效的的监控方案。可以在核心层7750设备上做流量镜像，将出口的流量本地或远程镜像到监控应用服务器。由监测软件本地处理被监控流量，作出分析和输出所需数据和报表，以供维护人员判别定位、处理故障。以及日常的数据分析。这种方式不会影响业务数据，也不会对网络造成阻塞和时延。 目前长沙分公司拥有流量监控2.5G*4的监控能力，扩容为10G*4的监 控能力。 2. 安全过滤策略 考虑到未来全网规模庞大，必须采取相应的安全过滤机制，从路由信息、登陆控制、日志、防DdoS攻击、防范特定针对协议如SNMP攻击等多方面建立完善的制度，同时从安全建设角度出发，安全过滤作为整个体系的一个部分。针对安全过滤我们建议采取如下的策略: 针对IGP，如OSPF和IS-IS配置控制机制，配合分配列表等对路由的宣告进行控制; 对SNMP信息的采集配置范围进行严格的控制; 对登陆范围、登陆人员进行严格的范围控制; 针对BGP和IGP配置认证机制，采用MD5进行对口令的加密; 对部分IGP配置passive-interface，控制路由的宣告范围; 3. 实施网管实时监控管理 完善城域网网管建设，对接入网和数据网设备管理和实时监控，对全网设备实施统一管理，网管系统集中放置，提高管理效率和有效性。 网管系统可做到实时监控和管理设备，真正实现宽带城域网的可运营、可管理，为维护带来方便，提高工作效率，节约故障定位时间。 对全网升级，增强业务功能特性，提高设备稳定性。 功能需求: 城域网网管:异常流量告警、端口告警、设备状态远程查看、数据远程备份、远程集中数据制作、流量统计、流量分析、时延和丢包率异常告警、端口利用率统计、病毒和攻击定位、各类设备实现统一平台管理等 接入网网管:异常流量告警、端口告警、设备状态远程查看、数据远程备份、远程集中数据制作、流量统计、时延和丢包率异常告警、端口利用率统计、在线用户实时查看、峰值用户数统计、以后逐步实现对各接入设备如PDH、光电转换器等的网管，实现对直接接入用户的设备进行网管、各类设备实现统一平台管理等。接入网实行分片网管。 4. 实施设备带外网管管理 如在建设资金有富余的情况，考虑启动带外网管的建设。 5. DdoS防范 DdoS攻击由于在互联网上散布着非常繁多而有效的工具，一直是目前采用频率非常高的集中攻击手段之一。而DdoS的攻击一般针对系统的软件特点和错误配置两种，前一种如针对路由器特殊报文的拒绝服务攻击，而后一种则更多的需要加强网络设备的配置以避免同类问题的发生。针对不同的DdoS，本期工程建议采取综合手段避免DdoS发起的攻击。 对于DdoS的防范建议高级组合过滤，建议在网络边缘既开展严格的过滤，根据近两年网络上DdoS攻击和病毒泛滥结合越来越紧密的趋势，建议城域网采用组合过滤。