广播电视宽带综合信息网数据平台技术建议书

广播电视宽带综合信息网数据平台技术建议书 目 录 1. 建议 ............................................ 4 1.1 技术建议书编制的依据 ............................. 4 1.2 建设目标 ......................................... 4 1.3 业务分析 ......................................... 5 1.4 建设原则 ......................................... 6 1.5 华为公司解决方案 ................................. 7 2. 网络安全措施 ....................................... 28 2.1 网络安全策略 .................................... 28 2.2 网络各层设备安全性考虑 .......................... 29 2.3 网络安全措施 .................................... 29 3. 路由协议与策略 ..................................... 30 4. IP地址规划 ........................................ 34 5. 用户认证 ........................................... 38 5.1 WEB，VLAN认证 ..................................... 38 5.2 802(1X认证 ....................................... 40 6. 强大的QOS ......................................... 41 6.1 强大的流分类功能 ................................ 41 技术建议书 6.2 二层QOS功能 ..................................... 41 6.3 三层QOS功能 ..................................... 42 7. 网络可提供的业务 ................................... 43 7.1 基本业务 ........................................ 43 7.2 扩展业务 ........................................ 43 8. VPN ............................................... 44 8.1 华为MPLS/BGP VPN解决方案特点 ................... 45 8.2 华为公司MPLS/BGP VPN一般组网模型 ............... 46 8.3 华为MPLS/BGP VPN的实现.......................... 47 8.4 华为MPLS/BGP VPN跨自治域的实现 ................. 50 8.5 基于VLAN互连的VPN方案 ......................... 51 9. 网络管理 ........................................... 52 9.1 网管的体系结构 .................................. 52 9.2 网管系统对多种设备的一体化管理 .................. 53 9.3 网管的接口和组网能力 ............................ 53 9.4 网管的功能 ...................................... 54 10. 计费管理 ........................................... 57 11. 结束语 ............................................. 58 2 株州广播电视宽带综合信息网数据平台项目 技术建议书 12. 附录 .............................................. 58 12.1 附录? 缩略语列表................................ 58 3 株州广播电视宽带综合信息网数据平台项目 技术建议书 1. 方案建议 华为公司根据株州市广播电视宽带综合信息网数据平台的技术要求，在充分分析了市场需求和技术发展趋势之后，结合我国数据通信发展的实际情况提出了株州市广播电视宽带综合信息网数据平台的技术建议，主要阐述我司对株州市广播电视宽带综合信息网数据平台建设的全面解决方案。 1.1 技术建议书编制的依据 本技术建议书依据下列文件编写: 华为公司有关产品的技术手册 1.2 建设目标 株州市广播电视宽带综合信息网数据平台是一个大容量、宽频带、化、双向传输广播电视节目和综合数据信息的宽带网络，并能够适应未来高清晰度电视和视频点播等广播电视新业务的传输要求;能够实现全株州市广播电视系统的计算机数据传输、通信、节目数据库联网，能够实现广播式和交互式社会服务;能够为数据平台外提供专用信息传输通道。 株州市广播电视宽带综合信息网数据平台的目标是采用先进、成 4 株州广播电视宽带综合信息网数据平台项目 技术建议书 熟、可靠的网络技术，建立一个高速、宽带的城域网，提供包括数据、语音、视频、图象等在内的综合业务及其增值业务，满足Internet接入、VPN、局域网互连等服务需求;并尽可能地实现各种业务网络的无缝连接和互联，满足通信市场对带宽的迫切需求，推动株州市信息化的进程。 数据平台要覆盖株州市，应具备较强的可扩展性、广泛的适用性和灵活性，以及良好的服务质量保证机制和完整的网络服务性能，以满足市场对网络运行、维护、管理、计费的需求。 1.3 业务分析 广电未来必然是多媒体数据业务运营商，株州市广播电视宽带综合信息网数据平台所提供的各类业务既要包括对QOS保障和实时性要求不高的纯IP业务，如现在它能为一般的企业提供数据网络服务、通过专线HFC为家庭提供INTERNET和相应的各种服务，将来可以提供远程教育、远程医疗等，又要包括对QOS保障和实时性要求较高的业务，如金融系统、证券、保险、党政机关等，并且集团用户占极大的比例。因此该宽带信息网数据平台的建设应该综合考虑这两类业务的实现，以尽可能低的投入，较小的风险，建设高质量、高稳定性、可扩展性强的综合网络获得高回报。 在组合考虑Internet接入、VOD、VPN、话音和智能小区、DVB-C等 5 株州广播电视宽带综合信息网数据平台项目 技术建议书 业务时，我们可以发现广电系统的HFC技术对家庭用户有独有的优势:高带宽、防辐射能力强、抗干扰能力强、可以利用无源分配技术实现低廉的接入、利用频分技术实现多种业务的并发工作等等。 1.4 建设原则 株州广电城域网在技术选择上综合考虑先进性、成熟性及良好的性价比，以网络的可扩展性和可管理性为基础，统一规划，分步实施，秉承电信级网络的一贯要求，保证网络高效、可靠、安全，确保业务的快速开展和有效控制以及用户的计费、管理。 因此株州广电宽带城域网络建设应遵循以下基本原则: (1)可靠性。由于宽带IP网的为运营级服务网络，因此网络设计必须首先考虑主要传输体制的可靠性、所提供服务的可用性、网络设备的高性能以及对关键用户、关键任务的有效保障机制等，并可与各种宽带传输交换平台充分互联，能够承载和交换各种信息并将其接入公众用户。 并以相应的可接受的价格向用户提供不同接入服务的方法。 (3)扩充性。宽带IP网必须充分考虑到目前的业务需求和今后较长时间内业务发展的需要。系统不仅能满足现在的需要，还应具有平滑过渡升级的能力，在采用新技术的同时还可以保护用户投资，保证原有设备的可用性。 6 株州广播电视宽带综合信息网数据平台项目 技术建议书 (4)安全性及可管理性。宽带IP网是株州市公众宽带网络，应注意保证整个系统的可管理性和整个系统的安全性、可靠性;同时，还可让网络维护人员可以方便地对网络设备进行维护工作和远程控制，如:模块热插拨等。 5)开放性与标准化。网络系统应能支持多协议，多厂商(包括( 国产设备)，具有开放的平台性能，支持各种通讯协议，各种数据库和客户机服务应用，并能方便地与其它机构、企业的主机和网络互连通讯。 1.5 华为公司解决方案 华为公司根据多年来服务于运营商的经验，结合自己的设备，提出了以下IP网络解决方案。 1.5.1.1 组网方案 链形组网如下图: 7 株州广播电视宽带综合信息网数据平台项目 技术建议书 图一 株州广电初期网络组网图 1.5.1.2 组网特点 本宽带网解决方案是基于华为公司成熟的以太网系列产品和华为公司创新的设计，为用户提供了一种高性能的宽带接入服务，满足广大用户INTERNET 高速上网、社区服务、话音、视频等大多数宽带业务和基本的可运营、可管理需求以及灵活的扩展能力，提供基于802.1x的用户认证，当上行连接BAS设备时，可以配合BAS设备提供WEB，VLAN认证。 在本期工程中，核心置一台Quidway S6506作为核心节点。在汇聚层配置MA5200，完成对于网络接入层数据的汇聚。在接入层采用Quidway S2000/3000系列完成对于用户的接入，可根据用户需求，灵 8 株州广播电视宽带综合信息网数据平台项目 技术建议书 活选择。其中MA5200作为具有分布式BAS功能的三层交换机使用，采用WEB/PPPOE认证。同时针对电广传媒的优越性，拥有丰富的有线电缆资源，在接入层再配置MA5201提供HFC用户的接入。对一些小区、网吧、政府企业的用户，可通过以太网交换机直接向用户提供10M/100M接口，满足用户高速上网的需求。 1.5.1.3 核心设备介绍 1.5.1.3.1 S6506 ?QuidwayS6500系列以太网交换机的设计基于分布式处理的设计思想，依托于华为公司拥有自主知识产权的VRP(Versatile Routing Platform，通用路由平台)网络操作系统，提供完备的动态路由协议、VLAN(Virtual LANs，虚拟局域网)控制、流量交换、QoS(Quality of Service，服务质量)保证、网络管理等机制，拥有强大的业务控制和用户管理能力。系统同时提供中英文双语界面，方便用户操作。 运营级可靠性设计 系统采用分布式结构，所有单板支持热插拔。S6500系列交换机支持交流电源(AC)和直流电源(DC)两种供电方式。此外，为保证系统的健壮性，S6500系列交换机支持电源模块的负载均衡、热插拔、故障检测及N:1冗余备份——S6506(R)两个电源模块即可保证系统的 9 株州广播电视宽带综合信息网数据平台项目 技术建议书 正常工作。支持STP/RSTP协议和VRRP协议。在安全性要求更高的场合，还可选用支持双引擎的S6506R。周到、完善的系统设计可满足苛刻的运营级网络对设备可靠性的要求。 丰富的功能特性 S6500系列交换机的背板采用高速背板设计技术，交换容量达32G/64Gbit/s。S6500系列采用华为专利的弹性资源调配系统技术，可实现从中心交换单元到业务处理板通道带宽的动态调整，用户可根据不同的处理板、不同的业务、不同的工作组配置不同的通道带宽，使得整个网络的灵活性更高，从而实现系统背板、交换引擎带宽、性能的最优分布;华为VRP? 3.x网络操作系统支持，提供丰富的网络特性功能。 提供STP/RSTP 避免环路冗余;S6500系列以太网交换机所实现的快速生成树协议(RSTP)是生成树协议的优化版。其“快速”体现在网络设备或链路变化期间，“树根”端口和指定的端口进入转发状态的延时在某种条件下大大缩短，从而缩短了网络拓扑稳定的时间。 支持IGMP Snooping;尽量减少报文的转发范围，避免非组成员收到组内多播流量; 支持802.3ad 端口聚合;实现任意端口聚合，在可以将若干个FE端口或GE端口汇聚到一起，以实现大容量交换机之间或者交换机与骨 10 株州广播电视宽带综合信息网数据平台项目 技术建议书 干路由器及服务器群之间的高速连接。 能够抑制广播风暴:配置了广播风暴抑制后，可以对VLAN上的广播流量进行监控，当广播流量的带宽超过配置的限度时，交换机将在该VLAN上过滤超出的流量，保证网络的业务，使广播所占的流量比例降低到合理的范围。 支持基本的TCP/IP协议栈及常规应用协议; 支持静态路由，管理员手工配置，简化网络配置，提高网络性能; 支持丰富的路由协议:RIP、OSPF、Integrated IS-IS及BGP4，以适应不同的网络环境要求;提供不同子网VLAN的三层互通功能; 支持ARP、DHCP Delay功能; 支持IGMP组播协议及PIM-DM、PIM-SM等组播路由协议。 系列化超级引擎 S6500系列交换机全面采用基于新一代ASIC技术的Salience? 系列交换路由引擎。该系列引擎将2/3/4层线速转发与丰富的QOS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障。在设计上，Salience? 系列交换路由引擎的交换网采用负荷分担方式，全面提升单板可靠性。在可靠性要求更高的领域，可采用Salience?II引擎，该引擎在S6506R的机箱内可实现双主控冗余备份。iSalience?为高集成引擎，该系列引擎在Salience?引擎的基础上可提供少量的 11 株州广播电视宽带综合信息网数据平台项目 技术建议书 业务接口，用户可根据需要选配4口千兆业务扣板。(该系列引擎仅适用于S6503) 强大的DiffServ/QOS保障: 提供了基于端口和基于流的流量限制(Committed Access Rate); 提供强大的流分类(Traffic Class)能力，用户可根据实际需要为不同的用户群组或不同的业务类型分配不同的队列优先级，带宽控制(以64Kpbs为步长单位进行调整); 提供Diffserv支持，可以根据2、3、4层特性，调整IP DSCP域，为骨干网络实现基于DSCP的IP转发提供支撑; 提供基于数据流(Flow，根据2、3、4层报文头的信息确定)的带宽共享算法，保证每一个通信应用均可获得公平的流量分配，保证了各主机之间通信的公平性; 提供WRR(Weighted Round Robin)队列调度策略; 提供RED(Randam Early Detection/Discard)丢弃策略; 可配置的802.1p优先级映射规则，可根据IP DSCP信息，802.1p信息，VLAN信息，2/3层转发表信息，配置出报文(Outgoing Packet)的802.1p优先级; 可配置的队列优先级规则，可根据IP DSCP信息，802.1p信息，VLAN信息，2/3层转发表信息，配置转发队列优先级; 12 株州广播电视宽带综合信息网数据平台项目 技术建议书 完善的安全机制: 提供L2/3/4流规则过滤;用户分级管理和口令保护;提供多种用户认证方式:本地/Radius/802.1x认证;支持OSPF 、RIP v2 及BGP v4 的报文明文及MD5密文认证;支持SNMPv3的加密和认证。 实用的网络管理 S6500系列以太网交换机提供中/英文双语界面，支持多种配置方式:命令行配置、HGMP配置及网管配置。在命令行配置方式下，用户可以通过Console口对交换机进行本地配置或通过Telnet登录对交换机进行本地或远程配置。S6500系列以太网交换机对Telnet Server和Telnet Client服务都提供支持。 HGMP配置方式是指利用华为公司开发的二层私有协议HGMP(Huawei Group Management Protocol，华为组管理协议)实现管理设备(如:MA5200以太网接入管理系统)对S6500系列以太网交换机的集中管理，完成交换机配置和配置响应消息的传递。S6500系列以太网交换机支持符合SNMP V3协议标准的iManager Quidview网管系统平台，可通过统一的平台实现对交换机充分有效的管理，该网管系统采用多语言图形界面，操作直观方便。该系统同时还可以提供拓扑管理、配置管理、故障管理、安全管理、性能管理等功能。此外，S6500系列以太网交换 13 株州广播电视宽带综合信息网数据平台项目 技术建议书 机也支持RMON、SMON。 1.5.1.4 汇聚设备介绍 1.5.1.4.1 MA5200 MA5200E/F产品提供强大的用户认证、计费、管理的特性，该方案具有如下特点: 灵活的带宽保证 在接入层，在小区中心配置具备BAS功能的三层设备MA5200E/F产品，上行通过FE/GE接至宽带城域网，具体选用100M上行还是GE上行，由局方根据条件自行决定。中心交换机通过下行100M使用多模光纤连接楼宇交换机Quidway S3000/2000系列。Quidway S3000/2000系列下行可为用户提供10M/100M自适应端口，为用户提供了灵活的带宽选择余地，同时也保证了用户的宽带业务实现。 良好的运营维护能力 利用华为公司HGMP协议的集中管理特性，可以在小区中心交换机设置一个管理IP地址就可以将所有的楼道交换机进行集中统一的配置和管理，把需要分布安装的楼道交换机以及对各设备的配置、管理、维护、升级等全面管理起来。以软件的代价替代物力资源和人力资源的投入，降低小区网络的综合运行维护成本，提高网络的综合管理能 14 株州广播电视宽带综合信息网数据平台项目 技术建议书 力。也可以利用SNMP协议将各层交换机的管理纳入统一网管平台中，楼道交换机将SNMP包透传至小区中心交换机，通过小区中心交换机的统一出口将SNMP包传到网管中心，网管中心接收传来SNMP包，就可以通过带内方式实现对小区内各层交换机的管理。 QoS保证 中心交换机MA5200E/F产品采用CAR(承诺访问速率)技术实现针对每个用户的带宽控制，精细度达到128K。MA5200E/F产品支持基于IP报文五元组的流分类技术，支持丰富的优先级调度，有利于将来在网上开展基于IP的视频、话音业务。配合网络的高转发性能，对不同类型的业务和不同类型的用户进行分类支持，为话音、视频等实时业务提供质量保证。对关键业务和非关键业务进行区分处理，保证关键业务畅通运行。 计费管理 MA5200E/F产品支持按时长、流量计费，支持本地计费和远端计费，本机可存储10万张原始计费信息，支持标准的Radius协议并可针对带宽、访问权限、业务优先级等信息对Radius进行扩充。可以根据用户的不同业务，提供灵活的计费策略，不同的认证方式(PPP、VLAN+WEB、802.1X)采用相同的计费流程;对于DHCP分配地址的用户，可实时侦测用户状态以配合计费。 完善的用户认证和管理 15 株州广播电视宽带综合信息网数据平台项目 技术建议书 完成多种用户认证方式:VLAN、DHCP+WEB，802.1X、PPPoE，并且依据网络设备和用户需求选择合适的认证。采取VLAN ID对应用户端口、VLAN ID+MAC地址+IP地址动态绑定的方式来标识和确定用户，并根据这种绑定关系限定用户可用带宽、用户数等。 健全的安全管理机制 采用DHCP RELAY的技术隔离用户和DHCP服务器，提高地址分配安全性;通过地址与VLAN ID绑定技术防止MAC地址、IP地址的盗用;用户二层利用VLAN严格隔离， 利用基于用户策略的ACL(接入控制列表)来完成用户的三层受控互访，通过对用户在单位时间内的连接数量的限制，可以提供四层的用户安全(防止PROXY方式用户盗用网络资源)。 1.5.1.5 接入设备介绍 1.5.1.5.1 HFC接入设备MA5201 MA5201作为HFC数据接入前端设备，应用领域包括广电数据接入网，智能小区，校园网等，其主要的技术特点为: , 19"单机结构，内含一个CMTS单元，一个下行信道，四个上行信道 , 桥接转发，支持802.1d生成树算法 , 强大的转发能力，包转发率为5万Pps 16 株州广播电视宽带综合信息网数据平台项目 技术建议书 , 符合DOCSIS标准，同时支持EuroDOCSIS , 多种操作维护手段:(1)通过网管(包括OSS)的功能完善的维护，包括工作站版的网管和PC机版的网络(MA5201、且对稳定性要求不高时，或者实验局使用)(2)命令行维护，可以有三种方式:本地命令行维护;远程电话modem维护;远程登陆Telnet方式。各种维护手段均支持中文界面。 完善的操作维护功能:以多种操作维护手段灵活地支持配置管理，性能管理，告警和故障，同时支持完善的日志功能，软件在线升级。 , 完备的双向HFC运营设计:支持网络故障定位，频谱管理，功率管理，上行信道集中式/分布式组网设计。 , 组网灵活:单机形式，可以以多种方式灵活组网，满足不同的用户需要。 MA5201优势集中体现在几个方面: (1)性能价格比优。 (2)从市场的角度看，HFC数据接入在中国仍然属于起步阶段，用于初期低投资的条件下小规模运营是非常有优势的; (3)操作维护手段和功能完善，同时中文界面适合国内市场的应用。 (4)同时支持DOCSIS和EuroDOCSIS，符合中国国情。 17 株州广播电视宽带综合信息网数据平台项目 技术建议书 (5)双向HFC运营设计考虑周到，在中国网络状况不是很好的情况 下，这一优点显得尤为突出。 MA5201技术指标: MA5201整机指标: 参数名 指标 标准支持 MCNS DOCSIS1.0/EuroDOCSIS 1.0 频谱分割 低分割/中分割 结构 19"机盒 数据转发能力 5万pps Cable接口 1个下行，4个上行，最多支持2000 个用户，实际应用建议支持500用户以下 上行接口 100Base-T MA5201下行信道技术参数: 参数名 指标 DOCSIS EuroDOCSIS 中频频率 44MHz 18 株州广播电视宽带综合信息网数据平台项目 技术建议书 调制方式 64/256QAM 信道带宽 6MHz 8MHz 数据率(Mbps) 64QAM: 30 64QAM: 42 256QAM:43 256QAM: 55 信道编码 RS编码，交织，RS编码，交 加扰，TCM编码，符合织，加扰，TCM编 J.83B 码，符合J.83A 输出阻抗 75Ω 输出电平 30dBmV(正负3dB) MA5201上行信道技术参数 参数名 指标 DOCSIS EuroDOCSIS 中心频率范围 5,42MHz 5~65MHz 调制方式 QPSK/16QAM 信道带宽/信道 200K/400K/800K/1.6M/3.2MHz 19 株州广播电视宽带综合信息网数据平台项目 技术建议书 接收数据率/信道 320K/640/1.28M/2.56M/5.12M/10.24Mb ps 输入阻抗 75Ω 输入总功率/信道 <35dBmV 连接器 F连接器 MA5201物理参数 描述 参数 设备外形 19英寸标准机箱 机箱颜色 墨绿色 以太网口 RJ48 X 1 控制串口 RJ48 X 1 射频口 F连接器 X 5 宽 X 高 X 深=482.6 X 88.1 结构尺寸 X 450 mm 净重量 5.5 kg 整机功耗 额定40W，最大60W 20 株州广播电视宽带综合信息网数据平台项目 技术建议书 AC输入电压范围 85V~264V AC电压频率 50Hz 工作温度 0?~40? 相对湿度 10%~90% 存储温度 -40?~70? MTBF 50000h MTTR 0.5h MA5201外部接口: 通信串口:RS232串口 数量:1个; 物理形态:带屏蔽RJ45插座; 符合RS232相关协议; 以太网接口: 10M/100M自适应网口 数量:1个; 物理形态:带屏蔽RJ45插座; 符合802.1\802.2\802.3相关协议; 21 株州广播电视宽带综合信息网数据平台项目 技术建议书 CMTS射频接口 数量:4个上行，1个下行; 物理形态:F连接器 :IPS-SP-406: ANSI/SCTE recommended F-Port( Female , Indoor ) , Society of Cable Television Engineers. 面板指示灯 MA5201面板提供9个信号灯(从左到右): PWR:亮——CMTS上电 灭——CMTS未上电 DS: 亮——下行通道打开 灭——下行通道关闭 US1: 亮——上行通道1打开 灭——上行通道1关闭 US2: 亮——上行通道2打开 灭——上行通道2关闭 US3: 亮——上行通道3打开 灭——上行通道3关闭 US4: 亮——上行通道4打开 灭——上行通道4关闭 RUN: 系统正常运行时，每秒闪烁一次，灭——系统异常工作 Eth:亮——CMTS与别的设备通过网线相连，可以通讯 闪烁——CMTS 以太口有数据收/发操作 22 株州广播电视宽带综合信息网数据平台项目 技术建议书 灭——以太口工作异常或CMTS以太口与别的设备没有物理 连接或连接异常 ALM:亮(红色)——系统故障告警(同时命令行有告警输出) 灭——无告警信息 上变频器技术参数 中频输入频率:44MHz 输入电平:+25,+35dBmV 输入阻抗:75, 输出中心频率范围:53,857MHz 输出频率步进:62.5KHz 输出阻抗: 75, 电源:100,240VAC,50~60Hz 结构:19"插框或盒式 1.5.1.5.2 Quidway S2403高速以太网交换机 Quidway S2403以太网交换机是由华为技术有限公司开发的新一代以太网交换机。Quidway S2403 提供24个10BASE-T以太网端口和3个10/100BASE-T快速以太网端口以及一个可选的光纤模块。 Quidway S2403 以太网交换机所有端口都可以通过自动协商工作在半双工或全 23 株州广播电视宽带综合信息网数据平台项目 技术建议书 双工模式，即插即用，并提供面板指示灯供用户监视网络状态及处理网络故障。用户不用更换现有网络硬件设备，只需增加Quidway S2403 以太网交换机就可方便提升网络性能，是共享式集线器理想的高性能替代产品。 改善网络性能: 共享式以太网在通信量和用户数的增加超出一定数量时会造成碰撞冲突，从而降低网络效率;而应用Quidway S2403 以太网交换机，用户可以独享10Mbps、100Mbps带宽，不需要与其他站点进行竞争，从而大幅提升网络性能。 自动协商和全双工: Quidway S2403 以太网交换机所有端口均支持自动协商和全双工操作，10Mbps端口可工作在10BASE-T全双工、10BASE-T半双工两种方式;10/100Mbps端口可工作在100BASE-TX全双工、100BASE-TX半双工、10BASE-T全双工、10BASE-T半双工四种方式。每个端口的工作方式由它与所连接的以太网设备通过自动协商确定。 连接不同运行速率的网段: 应用Quidway S2403 以太网交换机可以方便地把以10Mbps速率运行的网段和以100Mbps速率运行的网段高效率的连接在一起。并提供可选的100Mbps上行或服务器连接的能力。 24 株州广播电视宽带综合信息网数据平台项目 技术建议书 Quidway S2403 以太网交换机以太网端口可连接HUB或直接连接 配有网卡的计算机或服务器，也可上行连接到高速主干网络。 产品规格 支持的标准网络协议 -- IEEE802.3 以太网标准 -- IEEE802.3u 快速以太网标准 -- IEEE802.3x 全双工标准 -- IEEE802.1d 网桥及生成树(Spanning Tree)协议 -- IEEE802.1q VLAN标准 -- IEEE802.3u 千兆以太网标准 端口配置 24个10BASE-T 以太网端口 3个10/100BASE-T 以太网端口 一个可选模块，1000BASE-SX(多模光纤)、1000BASE-LX(单 模光纤)、100BASE-FX(单模多模、多模光纤两种规格) 数据传输速率 -- 以太网: 10Mbps (半双工) 20Mbps (全双工) 25 株州广播电视宽带综合信息网数据平台项目 技术建议书 -- 快速以太网: 100Mbps (半双工) 200Mbps (全双工) 网络电缆 -- 10BASE-T 3/4/5类 非屏蔽双绞线(最大100m) 5类 屏蔽双绞线(最大 100m) -- 100BASE-TX 5类 非屏蔽双绞线(最大 100m) 5类 屏蔽双绞线(最大 100m) -- 100BASE-FX 9/125mm单模光纤(最大 15km) 62.5/125mm多模光纤(最大 2km) 交换模式: Store-and-forward Cut Through(仅S2403) MAC地址表 地址自学习，最多可支持2K MAC地址 26 株州广播电视宽带综合信息网数据平台项目 技术建议书 SNMP Agent 支持MIB-II(RFC1213) Console Port 允许用户通过串行口配置交换机 登录用户口令保护 信息、状态信息即时刷新 统计 简洁易用的配置界面 可选择的中、英文界面 Telnet 允许用户通过Telnet登录配置交换机 登录用户口令保护 统计信息、状态信息即时刷新 简洁易用的配置界面 最多可支持3个用户同时登录 登录超时保护 可选择的中、英文界面 VLAN 27 株州广播电视宽带综合信息网数据平台项目 技术建议书 符合IEEE 802.1Q 基于端口的VLAN Trunk 交换机到交换机的Trunk 交换机到服务器的Trunk 可定制的流量分配 1.5.1.6 网络管理简述增值业务平台CAMS CAMS平台可以提供各种增值业务，包括WEB认证、201，宽带上网卡、IP Hotel业务等。同时配合MA5200E的BAS功能，能够实现根据不同用户需求进行计费认证，包括按时长、按流量、安内容等计费，同时还可以提供各种折扣计费。 2. 网络安全措施 2.1 网络安全策略 全网的安全策略包括网络安全策略，节点安全策略，数据安全策略，和持续安全策略。 网络安全策略:主要保证网络拓扑机构的合理性，全网各个节点之 28 株州广播电视宽带综合信息网数据平台项目 技术建议书 间的连接线路的可用性。 节点安全策略:主要保证各个节点内的设备不受攻击，保证服务不中断。 数据安全策略:保证系统重要数据得到及时有效的备份保护，并避免受到非法使用者的篡改等。 持续安全策略:是从发展的角度，提出如何对系统的安全缺陷及时跟踪和修正，保证网络的长期安全性。 2.2 网络各层设备安全性考虑 配置安全:对登录用户进行认证，不同级别用户有不同的配置权限;提供两种用户认证方式:本地验证、RADIUS(Remote Authentication Dial-In User Service)验证。 协议报文认证:对重要的路由协议(OSPF，IS-IS，RIP、OSPF等)提供多种验证方法(明文验证、MD5、HMAC-MD5)。 基于用户定义的策略:可以对报文进行过滤，同时采取其它动作。安全过滤可以将过滤的报文重定向到某个固定端口，便于利用仪器设备抓包分析。 2.3 网络安全措施 在体系结构方面，华为综合网管系统采用 Client/Server 结构， 29 株州广播电视宽带综合信息网数据平台项目 技术建议书 支持多个客户同时登录到网管SERVER ，在每一客户端都有严格的用户登录与安全检查。网管 SERVER作为后台进程运行，完成的功能包括:拓扑管理、设备监控、性能数据采集、设备告警处理、用户安全管理。 节点关键设备冗余备份，为了保障网络安全，降低网络故障，关键设备所有关键部件都采用冗余备份设计，电源模块N，1备份，控制和交换板采用1，1冗余备份。对网络设备采用多极安全密码体系，限制非法设备和用户登录，在出现软硬件故障时，可以迅速切换到备用模块，保障业务的不间断运行。 关键数据采用身份认证与授权，通过访问权限限制，加密保存，加密传输，同时网络和系统中各种重要数据进行及时有效的备份。 设备可设置三级时钟，并提供时钟优先级，当最高优先级时钟失效时，可以立即切换到低优先级时钟，当最高优先级时钟恢复后，又可以立即切换回去，通过这种自动保护既可以保障网络的安全运行，又可以简化用户的管理。 网络从拓扑结构到连接链路均应考虑路由的备份，采用分层的拓扑结构，支持动态迂回路由，在资金可能的情况下，节点保证双路由，保障网络安全。同时在网络中通过划分VPN网络、VLAN网络来保障专业行业网络的安全性。 3. 路由协议与策略 30 株州广播电视宽带综合信息网数据平台项目 技术建议书 路由协议可以及时地动态获取网络拓扑信息，引导IP数据报文逐步转发到达目的地，使IP网络具备了很好的灵活性和鲁棒性。例如使用动态路由协议的IP网络能够在一条传输路径中断时，自动选择其他的路径继续执行数据转发;同样，在网络中增加了新的传输路径时，IP网络也可在很短时间内获得并传播拓扑变化信息，对网络资源实现灵敏和合理的应用。不同的路由协议有各自的特点，分别适用于不同的条件之下。 选择适当的路由协议需要考虑以下因素: 1)网络的拓扑结构 2)网络节点数量 3)与其他网络的互连要求 4)管理和安全上的要求 S6506提供了丰富的路由协议支持，以适应不同的网络环境。 A、区域内路由协议 (1)RIP RIP(Route information protocol，即路由信息协议)是基于D-V算法(距离向量算法)的内部动态路由协议。 RIP协议的标准主要有RFC1058(版本1)和RFC1723(版本2)。 31 株州广播电视宽带综合信息网数据平台项目 技术建议书 Quidway S6506产品不仅实现了这两个版本的RIP协议，还支持MD5验证，还可以在必要时提供更安全的快速收敛的RIP服务。 (2)OSPF OSPF(Open Shortest Path First，即最短路径优先协议)是一种基于链路状态的内部动态路由协议。 OSPF的主要标准是RFC2328(版本2)。 目前 Quidway S6506产品实现了完整的OSPF功能和一些扩展特性。包括支持广播、NBMA、点到多点、点到点四种接口类型，以及MD5验证、区域划分、区域间路由聚合、虚连接、STUB区域等丰富的特性。 (3)IS-IS IS-IS(Intermediate System - Intermediate System，中间系统到中间系统协议)是由国际标准化组织(ISO)制订的路由协议，属于开放系统互联协议簇。 IS-IS 对应的标准是ISO 10589和RFC1195。 Quidway S6506能实现IP网络上的IS-IS协议完整功能。 (4)OSPF OSPF是一种性能优良、使用广泛的单播IGP路由协议，网络开销小，获得的路由无环路，适合在不同规模的网络环境使用。 32 株州广播电视宽带综合信息网数据平台项目 技术建议书 IS-IS与OSPF在质量和性能上的差别并不大，但OSPF更适用于IP，较IS-IS更具有活力。IETF始终在致力于OSPF的改进工作，其修改节奏要比IS-IS快得多。这使得OSPF正在成为应用广泛的一种路由协议。现在不论是传统的路由器设计，还是即将成为标准的MPLS(多协议标记交换)，均将OSPF视为必不可少的路由协议。而且IS-IS在国内实际应用实例较少，不太适合作为主要协议使用。 RIP协议发展最早，使用简便，但协议过于简单，对于路由环路等问题存在一些缺陷，在较大的网络环境中不适合采用。 B、域间路由协议BGP BGP(Border Gateway Protocol，即边界网关协议)是一种自治系统间的动态路由发现协议，它的基本功能是在自治系统间自动交换无环路的路由信息。 目前BGP的标准是RFC1771/RFC1772(版本4)。 Quidway S6506实现了BGP-4协议的完整功能和一些扩展，包括路由聚合、路由衰减、路由反射、AS联盟、团体属性，以及用于支持MPLS VPN的BGP多协议扩展。 C、路由策略 与路由协议配合使用的路由策略用于增强网络管理者对路由协议的控制管理。上层路由协议在与对端路由器进行路由信息交换时，可 33 株州广播电视宽带综合信息网数据平台项目 技术建议书 能需要只接收或发布一部分满足给定条件的路由信息;路由协议在引入其它路由协议路由信息时，可能需要只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置以使其满足本协议的要求。路由策略则为路由协议提供实现这些功能的手段。 路由策略由一系列的规则组成，这些规则大体上分为三类，分别作用于路由发布、路由接收和路由引入过程。路由策略也常被称为路由过滤，因为定义一条策略等同于定义一组过滤器，并在接收、发布一条路由信息或在不同协议间进行路由信息交换前应用这些过滤器。 Quidway S6506支持的路由策略主要有路由映像(RouteMap)定义、路由引入和分发定义，以及路由的前缀、自治系统路径、团体属性、访问列表等限制规则。路由策略的应用，对增强网络的可管理性具有重要的实用价值。 4. IP地址规划 IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对，,地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。 IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协 34 株州广播电视宽带综合信息网数据平台项目 技术建议书 议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则: 唯一性:一个IP网络中不能有两个主机采用相同的IP地址; 简单性:地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项 连续性:连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率 可扩展性:地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性 灵活性:地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。 IP地址规划是要解决有效利用地址空间、有利于路由设计、解决公网地址严重不足等问题。地址的分级、可变长掩码等技术的使用在此就不再详细论述。我们主要论述如何进行最优化的公私网地址混用。 地址空间的压力主要来源于个人接入用户，而企业用户带来的影响较小。所以，对专线用户采用地址静态分配、公网、私网地址并存。 宽带Internet企业访问型可以通过专线或以太网接入。这里考虑 35 株州广播电视宽带综合信息网数据平台项目 技术建议书 的重点是以太网接入，专线用户的处理情况类似。 对企事业单位用户 一般企事单位业用户使用静态地址和静态路由，IP地址可以使用私网地址或公网地址。 而对个人用户 到底采用何种方式，取决于多个因素。 其中最主要的因素是公网地址空间的缺少: 如果仅仅分配公用IP地址，用户人数在不断增长，将有可能超过可用地址数，这将成为一个严重的问题。 由于大部分的个人用户不需要固定的IP地址，因此对个人用户采用动态的IP地址分配可以节省地址资源。而采用NAT的方式，可以将网络公用地址的需要节省到几十分之一甚至更多的程度。但后一种方式的主要问题是NAT/PAT转换的性能问题，第二个问题是可能会影响某些宽带应用。 而实际上，地址缺口的大小不仅取决于可用空间和用户数，并且与采用的用户安全技术和产品有关。 如果宽带接入采用以太网接入+PPPoE，那么可以方便地进行地址的动态分配。 36 株州广播电视宽带综合信息网数据平台项目 技术建议书 如果采用以太网和Per User Per VLAN的方式，地址消耗太大，使用私网地址+NAT是合理的选择。 如果以太网用户采用包月的方式，地址需要将大大增加。 第二个因素是采用的产品的特性。 第三个因素是是否考虑NAT对应用的影响。 可能某个用户需要采用某种应用而该应用不能穿过NAT设备，如某些多媒体应用和VPN应用。 综合以上多种考虑，对于以拨号作为接入方式的接入节点，采用RADIUS服务器进行地址管理，一般采用公网地址池，动态分配IP地址。 如果地址空间缺口依然存在，建立公、私两个地址池，根据用户名或域名进行区分，需要拨号接入服务器支持VPDN，这样只有私网用户需要进行地址转换。同一个用户在连接前选择服务类型。若改变城域网使用的私网地址，调整简单。 37 株州广播电视宽带综合信息网数据平台项目 技术建议书 对于采用以太网交换机作为接入方式的接入节点，由于大部分的个人用户不需要固定的IP地址，因此对个人用户采用动态的IP地址(DHCP)分配可以节省?到?的地址资源。 华为公司的Quidway S6506具有强大的地址转换能力，有效解决IP地址紧缺的问题。S6506内置NAT业务板以NAPT方式支持公网和私网地址的转换，可以支持城域网公网/私网地址混合规划;NAT单板支持IGMP、FTP等ALG处理，NAT板数量按照NAT容量灵活配置，支持NAT板间负荷分担和热备份功能。 在S6506上做地址转换，可以把NAT功能分布在汇聚层各个设备上，减轻城域网出口负荷，适用于规模较大的城域网。我们建议城域网边缘采用私网和公网地址用户混合接入，城域骨干采用公有地址。 5. 用户认证 5.1 WEB，VLAN认证 采用VLAN方式接入用户减少了客户端的工作量，同时提高了网络的传输效率，但采用这种接入方式相对于PPPOE接入方式而言，由于减少了用户名以及密码的验证过程，因此比较适合与终端相对固定的用户，如:政府机关、居民用户等。而对于象学生等流动性强的用户，VLAN 38 株州广播电视宽带综合信息网数据平台项目 技术建议书 方式就显得捉襟见肘了。 针对与这个问题，同时考虑目前浙江省网络现状以及各种接入方式的比较，本期城域接入层建设的接入方式考虑采用VLAN，WEB的方式来实现: VLAN，WEB认证指的是VLAN接入的用户通过登录门户网站，输入用户名和密码，进行身份认证，从而获得用户访问权限的过程。 当用户采用VLAN方式开机时，首先要通过DHCP过程来获得IP地址。 在用户得到IP地址后，宽带接入服务器(以下简称BAS)把用户的权限设为未认证用户，此时用户只能访问免费站点和门户网站。当用户想访问外部站点时，必须先访问门户网站，进行登录。用户在登录 。过程中，输入用户名和密码，经登录程序通过MD5算法加密后送到BASBAS再把用户信息发送到RADIUS认证服务器进行认证。在得到RADIUS服务器的认证结果后，BAS根据认证结果改变用户权限，同时用户并开始计费。当用户结束访问时，需要在门户网站上点击注销按钮，发送注销消息。BAS根据注销消息改变用户权限，并停止计费。 采用VLAN，WEB的接入方式相对单纯的VLAN接入方式其主要特点: 一个用户端口内，不同用户拥有不同的权限 采用VLAN，WEB的认证方式时，一个用户端口内(一个用户家中)，不同的用户可以拥有不同的访问权限，例如:家中父母的访问权限较高，而子女的访问权限较低，避免了各类不良站点对用户侵蚀。 39 株州广播电视宽带综合信息网数据平台项目 技术建议书 用户的帐号可以流动，提高了服务的满意度 用户的帐号可以在同一个WEB服务器的管辖范围内中的任意端口进行上网，方便了用户的使用，提高了服务的客户满意度。 提供了灵活的计费方式 VLAN，WEB方式的计费方式同PPPOE相同，都是基于用户帐号的计费方式，可为运营商提供基于帐号的按时间、按流量的灵活计费方式。 5.2 802(1X认证 802(1x是基于端口的认证、管理协议。 华为802.1x系统是全系统解决方案, 全面地考虑了在有线宽带接入网络的运营管理需求: 1. 扩展了802.1X的握手机制, 解决了有线网应用中的仿冒和时长 计费准确性问题; 2. 支持本地认证,不需要外接 Radius 服务器, 降低了小型网络的 建设成本和管理成本; 3. 802.1X系统支持EAP终结和EAP续传两种模式, 可以支持现有 的 Radius Server, 保护网络运营商的投资。 4. 提供多平台的802.1X客户端软件 ( WINDOWS98/ME/2000/XP )， 客户端软件可以满足网络运营的要求。 5. 802.1X受控端口机制灵活, 支持基于端口、基于VLAN、基于MAC 40 株州广播电视宽带综合信息网数据平台项目 技术建议书 地址的受控端口(S3526支持基于端口和MAC地址), 可以灵活地 应用在各种网络环境, 如网吧，校园。 6(支持的设备种类多, 全系列 LANSWITCH 以及 MA5200E/F产品、 MA5300系列。 6. 强大的QoS 6.1 强大的流分类功能 S6506提供定义复杂规则的功能，这些规则使用户可以鉴别细粒度的流。基于这些规则，在现实的应用背景下，S6506能够线速地对流进行分类。分类结果用于实施报文过滤，QoS，策略路由以及报文监控。 流分类规则的元素丰富，具体包括:VLAN、端口，源MAC地址，指定IP包的TOS/DSCP域值或域值的范围，是否是IP分段报文，是否是TCP SYN报文，ICMP报文类型和编码，IP报文的源IP地址前缀，目的IP地址前缀，TCP/UDP源端口号或某段范围，TCP/UDP目的端口号或某段范围，IP报文承载的协议号，源地址掩码以及目的地址掩码。 在每个接口板上最多可以应用5k条规则。 6.2 二层QoS功能 基于源MAC地址和源端口号的过滤、优先级设置和流量控制。 优先级共有8级，映射到IP报文中DSCP域，流量控制的步长为64K。 41 株州广播电视宽带综合信息网数据平台项目 技术建议书 基于源VLAN ID和源端口号的过滤、优先级设置和流量控制。 优先级共有8级，映射到IP报文中DSCP域，流量控制的步长为64K。 基于源VLAN ID和目的MAC地址的过滤。 6.3 三层QoS功能 Quidway S6506作为边缘层设备，确保不同流享受不同级别的服务。在提供确保DiffServ的同时，仍能做到线速转发。 IP QoS实现以下特性: 实现流量监管，支持四种RFC定义的标准算法。 流量监管在上行支持对1024个流的监管; 实现TOS/DSCP域的重标记(Remark)。 端口输出队列可以支持带宽保证、流量整形。用户可以通过指定流量参数配置队列，用户不需考虑具体的队列调度方式，系统根据不同的参数内容自动选择合适的调度策略。 在一个接口板上最多可以支持2048个队列，当支持2048个队列时仍能做到线速转发 。 流控采用WRED以及改进的SA-RED算法，在上行入端口接口板，交换网板入口，交换网板出口，下行接口板出端口都采取了有效流控措施，并实现下行对上行的反馈机制使上行能够合理控制上交换网板的流量，避免在流量突发时造成在下行的拥塞。 WRED支持8个等级的丢弃优先级。 42 株州广播电视宽带综合信息网数据平台项目 技术建议书 7. 网络可提供的业务 建成的湖南省宽带城域网是一个多元化的高速宽带城域网，能够实现数据、图像、话音综合信息服务。 7.1 基本业务 局域网互连，为总部和分部分散的局域网建立多点之间的高速远程连接。 虚拟专网VPN，为总部和分部“化公为私”借助公网资源建设虚拟专网，并通过网络技术可以起到物理隔绝的效果，安全性好。 高速因特网接入，因特网用户通过信息网络接入设备连入全球的Internet网络，支持WWW、FTP、Telnet、E-mail等各项业务，可以在网上浏览、检索、发布信息。 会议电视，利用网络和数字视像技术实现异地会议声像并茂的交互传输和控制。 7.2 扩展业务 小区智能服务:为物业小区提供信息化服务。 校园上网:(201+电话卡) 视频点播:交互式电视的一部分，它使用户可以随意选择所需的视 43 株州广播电视宽带综合信息网数据平台项目 技术建议书 讯节目，并可随意地控制节目播出(如快进、快倒、暂停等)。 网络教学:使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教学，实现学生和教师的实时交流，学生还可随时进行学习点播和查询。 内部网络购物:利用信息传送网络进行商务交易，用户在家里直接通过网络选物、购物、付款。 远程医疗:是会议电视技术的延伸，利用网络和数字视像技术实现专家异地会诊治疗疾病。 IP电话/传真:其特征是以IP数据包格式传送分流长途业务，使用户以比较经济的方式使用长途电话和传真业务。 8. VPN 利用宽带网构建虚拟专网是一个符合潮流的网络概念，虚拟专网(Virtual Private Network，VPN)技术是近年来随着互联网的发展而迅速发展起来的一种技术。VPN是利用公网上提供的虚拟链路，形成虚拟逻辑上的私有网，使集团用户总部和远程办公室、用户与合作伙伴、企事业单位之间“化公为私”，利用宽带IP骨干网组建企业专网。现代企业越来越多地利用公网网络资源来进行促销、销售、售后服务，乃至培训、合作等活动。VPN技术利用互联网络来承载，把分散在各地的Intranet相联，并且允许单个用户远程进入Intranet，接受和 44 株州广播电视宽带综合信息网数据平台项目 技术建议书 Intranet 本地用户一样的服务，达到了节省费用(节省了WAN设备和远程接入的专线费用)、容易扩展、自己控制主动权等效果，及充分利用现有网络资源的目的。 8.1 华为MPLS/BGP VPN解决方案特点 华为公司MPLS/BGP VPN解决方案可以提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。简介如下: 1)基于网络，易于管理:这种基于网络的VPN可以完全由骨干网络来实现，集团用户可将VPN的管理“外包”给运营商，即网络用户不用关心VPN是如何构造的，而是由网络运行商在其网络内完成。这种VPN可以显著地减少运营商和用户的投资，特别适合于为企业集团用户实现Intranet、Extranet。 2)扩充性好:由于基于MPLS/BGP实现，因此很容易对网络节点进行扩充，网络可剪裁性好。 3)安全:由于基于MPLS/BGP实现，报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP)，因此具有同ATM/FR虚电路相同的安全级别。 4)QOS: 由于基于MPLS/BGP实现，可以利用MPLS技术特有的CoS、 45 株州广播电视宽带综合信息网数据平台项目 技术建议书 RSVP,流量工程等机制，从而能够为用户实现有QoS保证的VPN。 MPLS来实现VPN是趋势，VPN的划分在PE节点上实现。考虑到在实际运营过程中，网络需要同时支持很多个VPN，为了简化IP地址的规划、分配、维护，我们推荐利用MPLS来实现VPN。基于MPLS的标签转发路径的VPN可以单独构成一个独立的地址空间，独自寻址，即VPN之间可以重用地址，在分配地址时不必考虑是否会与其他的VPN发生冲突，只需要考虑在本VPN之内不冲突即可。当然在考虑VPN与Internet互连时还是得通过NAT等方式以避免与Internet地址冲突。 8.2 华为公司MPLS/BGP VPN一般组网模型 说明: ?CE(Custom Edge)用户Site中直接与服务提供商相连的边缘设 46 株州广播电视宽带综合信息网数据平台项目 技术建议书 备，一般是路由器 ?PE(Provider Edge)骨干网中的边缘设备，它直接与用户的CE相连。 ?P routers 骨干网中不与CE直接相连的设备，只负责标签转发 ?Site是一个内部连通但不通过服务提供者骨干网不具有相互连通性的网络系统。site举例:公司总部、分支机构、合作伙伴、拨号用户、VoIP网关网络等。 在此MPLS/BGP VPN的一般模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对site集合的划分，一个VPN就对应一个由若干site组成的集合。但是必须遵循如下规则:两个Site之间只有至少同时属于一个VPN定义的Site集合，才具有IP连通性。 按照这个VPN的定义，一个VPN中的所有site都属于一个企业，称为Intranet;如果VPN中的site分属不同的企业，则称为Extranet。Site可以同时属于不同的集合，Site也可以同时属于不同的VPN。 8.3 华为MPLS/BGP VPN的实现 MPLS采用虚拟路由表的方法来实现一个路由器上多个VPN的路由表。每一个VPN对应一个或多个VRFs(VPN routing/forwarding instance)。VRF定义连接到PE上的VPN成员(一个site)资格。一个VRF 47 株州广播电视宽带综合信息网数据平台项目 技术建议书 包括一个IP路由表、一个FIB( forwarding information table)表、相关联的端口、和一些控制路由的规则和参数。 数据包的路由和交换由VRF路由表和单独的FIB表所控制，每一个VPN对应一个路由表和一个FIB表。 VPN路由信息的传播由VPN route-target communities来控制，这主要是通过BGP的extended communities属性来实现的。VPN路由信息的传播通过下述的方法进行工作: 当一条从CE处学习到的VPN路由被inject到BGP中时，一些VPN route target communities属性被赋于它;其中主要包括route-target属性，该属性决定这些route将被export到哪些VRF。 每个VRF配置有一个import route-target列表，该列表指明了一个BGP的update中的community属性应该包含什么route-target才能被目标VRF接受。比如，某一个VRF的import route-target列表指明route-target communities A、B和C，这样，每一个MP-iBGP的update中communities属性的route-target中有A或B或C的route将被import到该VRF中。 一个PE路由器可通过静态路由、RIP或BGP从CE处得到某一个IP前缀的路由，该前缀是标准IPv4的前缀。然后，PE通过加上一个8字节的RD(route distinguisher)将它转换成为一个VPN-IPv4的前缀，该前缀 48 株州广播电视宽带综合信息网数据平台项目 技术建议书 属于VPN-IPv4的前缀。通过这种方法，可以使用户地址唯一，即使用 户使用的是IANA规定的保留地址。 用于生成VPN-IPv4前缀的RD(route distinguisher)由PE路由器的VRF配置命令指定。 MP BGP协议为VPN的每个VPN-IPv4前缀传递NLRI(Network Layer Reachability Information)。BGP实体之间的通信出现在两个地方， AS内的iBGP和AS间的EBGP，PE-PE和PE-RR(route reflector)之间为iBGP，PE-CE之间为EBGP。 BGP协议通过BGP多协议扩展(BGP, Multiprotocol Extensions for BGP-4)来传递VPN-IPv4的路由可达性信息，多协议扩展的BGP采用的方法为限定BGP的peer只能从其它VPN的同伴处得到BGP路由。 IP包经过MPLS标签交换到其目标地址，其选路的基础是VRF路由表和VRF FIB表。 PE路由器为每一个从CE路由器学到的前缀产生一个label，然后将这个label附加到BGP更新中传递出去。当一个源PE路由器从CE路由器处得到一个IP包，它使用从目标PE路由器学到的label将该IP包发送出去。当目标PE路由器得到这个labeled IP包后，将label从IP包中去除，作为一个纯IP包发送到CE路由器。 当labeled IP包在核心骨干部分传递时，其基于label switching 49 株州广播电视宽带综合信息网数据平台项目 技术建议书 或traffic engineered path进行，一个用户的IP包在核心穿行时，携带了2层label: 第一层label指示到正确的目标PE路由器; 第二层label给目标PE路由器指示，到哪一个其连接的site链路。 8.4 华为MPLS/BGP VPN跨自治域的实现 为最终用户提供VPN业务可以实现全国范围内各城市互联业务，A、B、C类各节点城市都有专线接入和MPLS VPN支持能力，因此绝大多少情况下，MPLS VPN业务是在骨干网内部实现的，而骨干网采用的是统一的自治域，即通常MPLS VPN不需要跨越自治域。但有例外情况，一方面要连接其他城市，有可能面临跨越自治域的问题;另一方面，有些规模较大的城市有自己的城域网，而且有独立的自治域，VPN的发起和终结点也可以是在城域网内，需要城域网运营商实现MPLS VPN，在各地城域网运营商都以相同的协议标准实现MPLS VPN时，骨干网运营商实现相同的MPLS VPN业务才有必要。所以，网络需要支持跨自治域的VPN，以便今后更好地开展MPLS VPN业务。 MPLS/BGP VPN路由是通过BGP携带的，有三种方式解决: 一是VRF to VRF方式。这种方式是在PE(ASBR:AS边界路由器)处，把对端的PE(ASBR)作为CE设备看，PE(ASBR)和PE (ASBR)之间通过eBGP携带VPN路由。这个方法的优点是在ASBR之间不需要运行MPLS，但 50 株州广播电视宽带综合信息网数据平台项目 技术建议书 缺点是每个VPN的用户站点需要与一个子接口绑定，ASBR需要维护VPN路由，所以存在可扩展性问题。 二是EBGP方式。这种方式是通过在ASBR之间传播VPN路由，并且为给相应的VPN路由分配一个标签。这种方法的优点是不需要在ASBR处为每个VPN的用户站点分配一个子接口。但缺点是是需要在ASBR处维护VPN路由，从PE ingress到PE egress需要一条完整的LSP，ASBR之间需要互相信任。 三是Multi-hop BGP方式。这种方式是首先路由扩散在ingress与egress之间建立一条LSP，然后不同AS域之间的PE通过eBGP方式在LSP上传播VPN路由。这种方式可扩展性较好，不需要ASBR维护VPN路由。 8.5 基于VLAN互连的VPN方案 该业务是指利用VLAN技术提供基于以太网用户的互连，接口速率从10M、100M到1000M。 利用华为公式的VMAN技术，通过在VLAN的802.1Q报文的Header中对VLAN TAG进行嵌套，可将城域网中不同办公地点的同一单位用户方在同一虚拟城域网(VMAN)内，组成一虚拟专用网(VPN)。他们之间可按原来的协议(IP、IPX、DECnet、SNA等)和VLAN关系通信，与在同一LAN上一样。由于他们与城域网中的其它用户不在同一VMAN中，所以外界用 51 株州广播电视宽带综合信息网数据平台项目 技术建议书 户无法进入本单位的VMAN。用户可在每个VMAN的出口(而不是每个办公地点)设置防火墙，保证对外的安全性。这样既保证了单位内部VMAN内通信的性能和方便性，又可对VMAN出口采取重点安全控制，从而可通过宽带城域网实现既安全、又方便的虚拟专用网。 Quidway S6506路由交换机支持MPLS 二、三层VPN，具备同城/广域的互联能力，可以为企业客户提供完善的宽带业务平台。 S6506支持多种格式的MPLS封装:FE、GE、POS，可以实现跨自治域的VPN流量的转发，并且支持VPN私网地址用户通过地址转换访问Internet。 S6506支持802.1Q，可跨交换机实现城域网内不同地区的VLAN互连。此外，S6506的VMAN技术可提供城域网内的VPN支持，二层VPN同时支持Juniper和Cisco的方案，可以与二者实现互通。 9. 网络管理 华为公司 网管产品iManager-N2000固定网络综合网管系统(以下简称N2000)提供对综合接入网网络管理的支持。 9.1 网管的体系结构 N2000网管系统基于华为公司统一的网管平台，体系结构采用了目前成熟并应用广泛的多层CLIENT/SERVER结构，支持数据库系统、业务处理系统和前台应用系统的分布化和层次化，支持多客户端操作，因 52 株州广播电视宽带综合信息网数据平台项目 技术建议书 此能适应复杂、大型网络的管理需求;网管系统还采用了多进程的设计机制，支持不同应用进程通过注册文件或数据字典的方式融入系统，因此使系统具有了灵活地扩充能力，满足网络发展时期需求多变的环境;网管系统还采用了统一的消息分发中心并支持消息分发中心分布化，提高网管通讯处理的能力;网管系统中监控进程统一调度和监控其他进程，保证其他应用进程可持续稳定地运行，提高了整个网管系统的可靠性和稳定性。提供标准SNMP接口、标准MIB，具备升级提供Q3接口的能力，便于实现多厂家设备的统一网管。网管中心应具有良好 机接口，操作方便，显示、输出直观。网管系统提供GUI、MML和的人/ WEB人机接口，符合不同维护习惯，操作方便，显示输出直观。 9.2 网管系统对多种设备的一体化管理 网管系统满足对华为公司固定网络设备的统一网管。所支持的设备覆盖我司的宽窄带交换、接入、数据通讯设备，目前支持的产品包括宽带交换设备8750、iSIPP、多业务接入设备MA、接入服务器MG、C&C08交换机、SBS系列传输设备、Quidway高端路由器NE系列设备、三层交换机系列、Lan Switch 交换机系列设备、FA等通信设备。N2000对这些设备的支持采用的是组件化安装包的方式，能够方便地帮助用户进行平滑地升级和扩容。 9.3 网管的接口和组网能力 53 株州广播电视宽带综合信息网数据平台项目 技术建议书 华为公司iManager N2000网管系统与网元设备间满足标准的”管理,代理”简单网络管理协议(SNMP)和广电业界通用的MML接口。SNMP V1/V2均能提供支持，管理信息库采用ATM论坛标准定义。网管系统满足对设备的带内及带外管理。带外管理时网管通道可以采用DDN、ISDN专线、E1线路、路由器、Ethernet等多种方式。 9.4 网管的功能 网管系统满足对全网拓扑的区域管理，区域划分可以由用户配置;在网络规模较大时，也可以在多区域分别建立网管中心并支持中心互连，通过用户安全权限管理，可以对区域管理进行权限控制。 1、拓扑和区域管理 拓扑管理用于构造并管理整个通信网络的网络拓扑结构，通过自动上载网络设备的拓扑数据形成与实际网络拓扑结构相同的网络拓扑视图并实时刷新其状态。 2、OAM功能 对宽带业务提供全面的虚连接OAM测试功能，可以进行F4、F5端到端或段的环回测试、连续性测试和性能监视;OAM测试的设置操作与PVC/PVP管理一样，基于全网拓扑图进行操作的。 对窄带业务支持窄带V5接口、2M链路、C通道、半永久、用户端口、模拟用户、2B，D用户、30B，D用户、16KC用户等的配置和维护操作; 54 株州广播电视宽带综合信息网数据平台项目 技术建议书 支持模拟用户、数字用户、测试板设备、支持2M线路、模拟用户、半永久连接、端口、时隙的立即测试、例行测试、在线测试、交互测试;支持窄带V5业务上的CPU性能统计、设备可用信息统计、承载通路信息统计、物理C通路信息统计、逻辑C通路信息统计、PCM占用率信息统计; 3、VPN业务管理 N2000还在完善业务管理功能，可以在全网实现端到端业务通道配置、VPN子网管理和用户管理等，凭借其强调灵活的网管体系结构，在更高的应用层次上实现用户管理网络业务的需求。 此外，N2000具备五大管理功能，即常规的配置管理、故障管理、性能管理、计费管理和安全管理。 配置管理包括网络资源的配置和业务的配置; 故障(或维护)管理包括激活检测、故障定位、告警监视和纠正非正常操作等功能; 计费管理包括实时收集网络的可利用信息，并对其信息进行处理、存储、计费报告生成; 性能管理的主要功能包括: a、设备的可采集对象进行实时性能监视与长期后台采集功能。 b、方便定制采集监视对象及其组合计算，直观显示采集计算结果。 55 株州广播电视宽带综合信息网数据平台项目 技术建议书 c、用户可以列表或曲线图等方式查看并维护每一性能采集项的性能数据 d、通过实时性能监视应用，用户可对任意的设备分组，单个设备或设备上的某一组对象，进行实时的性能数据收集，并以曲线图、饼图、柱形图等多种方式显示 e、设置性能的门限，当性能超过门限时，网络以告警的方式通知网管系统。 f、用户也可以收集一定时间段内的性能数据，并保存在数据库 中，以做进一步的分析。 g、性能数据轮循的间隔可配置 h、提供性能数据采集模板定制功能, 以适应各种动态需求 安全管理可以避免对网络的非法访问，控制不同用户的接入级别和范围。接入网网管可以配置用户识别符、口令，以及登录操作员的查询指令等。安全管理还应具有网络配置、运行、故障、计费、访问等数据信息的保护和备份措施。具体要求如下:具有用户认证能力、多级别访问权限、防止绕过鉴权、所有的登录。 除上述管理功能外，N2000网管系统还具有完善的全网拓扑管理、直观的设备面板管理、环境监控管理、日志管理等，满足多种设备的集中维护管理中心或网管中心的需求。 56 株州广播电视宽带综合信息网数据平台项目 技术建议书 10. 计费管理 计费管理包括实时收集网络的可利用信息，并对信息进行处理、存储、计费报告生成;提供的计费参数包括:表明连接支持的业务类型，PTP/PTMP指示，该统计对象的端口ID，数据被收集的时间，入/出口的信元数，流量类性和流量参数值和QOS登记，数据被收集的原因等。持续时间，主叫地址，被叫地址，释放原因，宽带承载能力等。 城域网可以设置计费中心。计费中心负责收集各种计费信息，并对其进行统计分析，记录归档，形成计费报告。负责区域接入网的计费中心负责区域范围内的计费，并通过特定网管通路定期向数据网全国结算中心上报计费信息。设备将话单信息生成并存成文件放到与计费中心约定好的目录下，计费中心负责采集各个接入会聚节点设备上存放的话单文件，这里可以使用前置的采集机，采集的方式可以使用FTP。一个采集机可以同时采集几个设备上的话单文件。采集机的功能是采集，存储，备份话单文件，同时提供文件的初验和差错告警功能。计费中心定时处理采集机上的话单文件，逐条话单处理，剔除重复和异常的话单信息，并针对每条话单信息根据其对应的算费模型确定其费用，就是所说的化价过程。化价后的话单信息将被写入数据库。计费信息最终将被发送到帐务中心，帐务中心根据计费信息逐条生成每个用户的详细帐单与用户结算。计费中心提供高额报警和地理区域的上的备份操作。计费中心提供WEB自助信息查询，欠帐EMAIL通知，欠帐 57 株州广播电视宽带综合信息网数据平台项目 技术建议书 自动中止业务等功能。数据通讯和PSTN计费应该采用融合技术，即开户过程提供统一的营业厅接口，提供提供统一的帐单，以方便用户，同时为增加各种优惠策略提供了可能。计费中心能够提供各种灵活的资费政策以吸引客户，比如流量大于多少优惠，时段优惠，特定的日期优惠(国庆节)老客户优惠，多种服务绑定优惠等等。 11. 结束语 前面给出株州市广电数据平台初期的设计方案。我们承诺向用户提供符合国家、信息产业部的规范要求、性能优良、稳定可靠、适应未来发展的产品。这些产品已经在各运营商和祖国各地得到了广泛的应用。 在此我们非常感谢贵方对我公司的信任和支持，并希望今后双方开展更多、更广泛的合作。我们为有机会为贵方推进全民信息化的远见卓识服务而感到非常高兴。方案中涉及到的具体细节如有未说明或值得商榷之处，可与我公司联系，我们将提供详细的咨询服务。 12. 附录 12.1 附录? 缩略语列表 英 文 全 称 中 文 译 名 英文缩 写 58 株州广播电视宽带综合信息网数据平台项目 技术建议书 A AAA 认证、授权和计费 Authentication, Authorization and Accounting AAL ATM Adaptation Layer ATM适配层 ABR Available Bit Rate 可用比特率 ADSL Asymmetrical Digital Subscriber Loop 非对称数字用户 环路 APON ATM-based Passive Optical Network 基于ATM的无源光 网络 ATM Asynchronous Transfer Mode 异步转移模式 B BAS Broadband Access Server 宽带接入服务器 BITS Building Integrated Timing Supply 通信楼综合定时 System 供给系统 BRI Basic Rate Interface 基本速率接口 C 59 株州广播电视宽带综合信息网数据平台项目 技术建议书 CA Cell Allocation 蜂窝(频率)分配 CAC Connection Admission Control 连接允许控制 CAR Commited Access Rate 允许访问速率 CE Circuit Emulation 电路仿真 CES Circuit Emulation System 电路仿真系统 CM Cable Modem 电缆调制解调器 CMTS Cable Modem Terminal System 电缆调制解调器 终端系统 D DAB Digital Audio Broadcasting 数字音频广播 DDN Digital Data Network 数字数据网 DHCP Dynamic Host Configuration Protocol 动态主机配置协 议 DNS Domain Name Server 域名服务器 DVB 60 株州广播电视宽带综合信息网数据平台项目 技术建议书 E EF Elementary Function 单元功能 EPD Early Packet Discard 早期包丢弃 ESD F FE Fast Enthernet 快速以太网 FR Frame Relay 帧中继 FTP File Transfer Protocol 文件传输协议 G GCRA Generic Cell Rate Algorithm 通用信元速率算 法 GE Gigabit Ethernet 千兆以太网 GSR Gigabit Switching Router 千兆交换路由器 H HFC Hybrid Fiber/Coax 混合光纤同轴 61 株州广播电视宽带综合信息网数据平台项目 技术建议书 HUB 集线器 I IP Internet Protocol 因特网协议 IPOA IP Over ATM ATM上承载IP ISP Internet Service Provider 因特网服务提供 商 L LAN Local Area Networks 局域网 LANE LAN Emulation 局域网仿真 M MA Media Service Access 媒体业务接入 MAC Medium Access Control 介质访问控制 MIB Management Information Base 管理信息库 MPLS MultiProtocol Label Switching 多协议标签交换 MPOA MultiProtocol Over ATM 62 株州广播电视宽带综合信息网数据平台项目 技术建议书 N NAT Network Address Translation 网络地址转换 Non-Real Time Variable Bit Rate 非实时VBR nrt-VB R O OAM 操作、管理与维护 Operations, Administration and Maintenance OSS Operation and Maintenance Support 运行维护支援系 System 统 P POP Piont Of Presence 业务提供点 POS Packet Over SDH/SONET POTS Plain Old Telephone Service 传统普通电话业 务 PPD Partial Packet Discard 部分包丢弃 PPPOE PPP over Ethernet 63 株州广播电视宽带综合信息网数据平台项目 技术建议书 PRI Primary Rate Interface 基群速率接口 PVC Permanent Virtual Channel 永久虚通路 PVP Permanent Virtual Path 永久虚通道 Q QOS Quality of Service 服务质量(业务质 量) R RADIUS Remote Authentication Dial-In User 远程认证拔号用 Service 户服务 RFM Routing Forward Module 路由转发模块 rt-VBR Real Time Variable Bit Rate 实时VBR S SAR Segmentation And Reassembly 分段与组装 SDH Synchronous Digital Hierarchy 同步数字序列 SDT Struct Data Transfer 结构化数据传输 64 株州广播电视宽带综合信息网数据平台项目 技术建议书 SNMP Simple Network Management Protocol 简单网管协议 SOHO Small Office and Home Office 小办公室和家庭 办公室 T Trunk 中继 U UBR Unspecified Bit Rate 未指定比特率 UDT Unstruct Data Transfer 非结构化数据传 输 UPC Usage Parameter Control 使用参数控制 V VBR Variable Bit Rate 可变比特率 VC Virtual Circuit 虚电路 VC Virtual Channel 虚通路 VC Virtual Connection 虚连接 65 株州广播电视宽带综合信息网数据平台项目 技术建议书 VCI Virtual Channel Identifier 虚通路标识 VLAN Virtual LAN 虚拟局域网 VOD Vedio On Demand 视频点播 VOIP Voice over IP VPI Virtual Path Identifier 虚通道标识 VPN Virtual Private Network 虚拟专网 66 株州广播电视宽带综合信息网数据平台项目