银川广电宽带ip城域网解决方案

银川广电宽带ip城域网解决方案内容摘要：

其它二级节点设备及核心交换机通信。 我们建议在每个 POP 点组成 BAMS GATEKEEPER 集群，分别作为多个小区及大用户的控制网关。 BAMS GATE KEEPER 是整个系统的核心控制模块，它是用户的接入控制节点。 实现的功能有： 建立局域网和外部 Inter 之间的通道； 用户访问行为实时控制； 控制用户上下限带宽； 实时采集用户计费数据； 用户身份反向解析服务（根据用户连接外部主机时的 IP 地址、端口和协议确认用户的身份 ）； 实时监测数据采集； 对某些 IP 协议（如 , 等）进行支持扩展。 北京瑞斯康达科技发展有限公司 13 网络拓扑图如下： 路由规划 路由协议的选择 大型路由网络中需选择适当的路由协议，仔细的地址和路由规划，对于优化整个网络的性能，保证网络的扩展性，健壮性具有非常重要的意义。 电信 IP网络具有接入点多，应用复杂，容量要求高等特点。 因此，在宽带 IP网络方案中应该非常重视路由的优化。  路由协议选择 路由协议有两种基本类型：域内路由和域间路由。 主要的域内路由协议有 OSPF，ISIS， RIP/RIP2等，主要的域 间路由协议有 BGP， EGP等。 域间路由协议应用于不同的自治域之间，一般是在不同的服务供应商之间互连时采用。 同一服务商路由器之间的信息交换则一般采用内部路由协议。 而宽带 IP网络与省网、Inter的接入可以采用 BGP协议。 北京瑞斯康达科技发展有限公司 14 瑞斯康达公司提供的 RS系列交换路由器 均支持 RIP/RIPv2， OSPF， BGP4,ISIS等 IP路由协议； IPX路由协议支持 RIP， SAP；并支持 IGMP， DVMRP， PIMDM， PIMSM等多点广播协议。 均以线速实现各种路由协议。 OSPF 是基于 Link_State 的路由协 议。 在每个 HOP 上都定义了一个 COST， OSPF 认为 COST 之和最小的路径为最好。 OSPF 协议具有下面的特点 ：  分层路由结构，支持路由汇聚 (route summary)，支持的路由器数量在实际网络环境中没有限制，适合大型网络的要求。  完全基于标准的解决方案  极强的容错能力，支持复杂的网络拓扑结构。  快速的收敛时间， OSPF 分层路由方式能将路由的变化对整体网络路由结构的影响限制在最小的范围内。  基于 OSPF协议的上述特点，本方案选用 OSPF路由协议作为核心路由协议。  为了充分获得 OSPF 的优点，必须进行 合理的区域的划分和地址规划。  OSPF区域划分 OSPF 区域划分一般遵循下面的经验法则 ：  OSPF 逻辑域的划分和物理区域的划分尽量一致  每个区 (Area)的路由器不超过 50 个  一个区边界路由器 (ABR)连接不超过 5 个 Area。 根据上述的原则，以各 核心 层路由器作为 Backbone 域，各接入层路由器以各自域加入 Backbone 域，在路由的优化方面，仔细规划各接入层路由器的 IP 地址，以方便实现 OSPF 路由的汇聚。 减少路由表的大小。 采用 OSPF 之间的多路径冗余。 实现路由的容错能力。 在宽带 IP 城域网络中与 Inter 的连接建议选择业界标准的 BGP－ 4路由协议。 北京瑞斯康达科技发展有限公司 15 IP 地址分配 IP 地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。 其与网络的拓扑结构、网络组织、路由规划有非常密切的关系。 在地址分配过程中，主要考虑以下原则： ◆ IP 地址应由统一的网管中心分配使用。 IP 地址的规划与划分应该考虑网络的未来的发展。 ◆ IP 地址的分配必须采用 VLSM 技术，保证 IP 地址的利用效率。 ◆采用 CIDR 技术，这样可以减小路由器路由表的大小，加快路由器路由收敛速度。 北京瑞斯康达科技发展有限公司 16 3 网络应用 业务分类 IP城域宽带网可以提 供多种业务。 在本期网络设计中，可以提供的业务有： 虚拟专网业务 通过虚拟专网可以实现广域网办公系统，实现省、市、县各级政府机关之间的的文件传递、信息传递、多媒体信息交换、值班应急系统、信息发布、相互查询信息资源等办公功能。 视频会议业务 网络平台支持视频会议业务，支持以单个纵向网或横向网为单位开展桌面视频会议。 电子邮件业务 网络平台支持电子邮件业务。 信息发布业务 支持通过 服务器将公共信息发布到网上。 为受众与信息源沟通，提供介质。 VLAN业务 广电城域网面对各系统用户中，位于不同位置的同类部门之 间的数据访问，需要跨过骨干的 VLAN 的支持。 考虑到网络的性能， RS 系列交换路由器还提供将 VLAN 映射到 MPLS 通道的功能。 瑞斯康达公司提供的 RS 系列交换路由器 支持多种 VLAN 功能，包括标准的 VLAN 支持及 Riverstone 专有的 Stackable VLAN 功能，此外， 北京瑞斯康达科技发展有限公司 17 Riverstone 支持将 VLAN 映射到 MPLS 的 LSP 的功能。 Riverstone 也支持基于协议的 VLAN 及动态 VLAN。 基于标准的 VLAN，该 VLAN 为业备标准的支持跨交换机的 VLAN。 1. Stackable VLAN 可堆叠 VLAN 通过允许在一个以太网帧上携带两个 VLAN 头而允许进行 VLAN 的堆叠，使得 VLAN 的总数超出了 VLAN 4096 个的限制，而达到的 4096*4096 个总共 1600 万个。 同时，多个 VLAN 现在能够被复用到一个核心 VLAN（ Core VLAN）内，通过属性注册协议（ GARP）及 GARP VLAN 注册协议（ GVRP）能够被用于通过主干网自动供应 VLAN。 2. Riverstone 支持 VLAN 到 MPLS LSP 的映射 RS 系列路由器 通过将 VLAN tag 映射到 MPLS 的隧道， 使的 VLAN 终接于 MPLS 路由器。 VLAN 不再穿过主干路由器。 极大地增加的 VLAN 的可扩充性。 (如图 ) 北京瑞斯康达科技发展有限公司 18 VPN业务 基于隧道的 IP VPN 解决方案 随着分组交换上 ATM、 IP 等技术的发展，基于包交换和传送的虚拟网络技术开始大规模投入使用。 虚拟专用网就是利用公用网络基础设施为企业各部门提供安全的网络互联服务，虚拟专用网可以利用 IP 网络、帧中继网络和 ATM 网络来建设，它能够使运行在虚拟专用网之上的网络应用享有和专用网络同样的安全性、可靠性、优先级别和可管理性。 由于虚拟专用网可以为用户提供方便、廉价的远程访问，特别是对于使用帧中继、 DDN专线或拨号方式接人的用户来说，基于虚拟专用网的花费很小。 因此，虚拟专用网 (VPN)业务的应用将越来越广泛。 VPN 技术使企业专用网可以安全地扩展到 Inter 或其他的网络服务上去，促进了安全电子商务的发展，便于实现企业与商业伙伴、供应商和客户的外部网连接。 的 VPN 解决方案使用经济有效的、更加灵活的服务供应商连接，实现了可靠 性、高性能和传统 WAN 环境所具有的安全特性。 基于加密的 VPN技术 IPSec VPN 的实现主要包括两个方面的内容：封装和加密。 封装隧道技术基本上有两种实现方式： L2Tunneling 以及 L3Tunneling。 L2Tunneling 是将用户数据包第 2 层 (包括第 2 层 )以上的整个信息包括如 PPP 帧头， IP 包头，TCP 包头，以及用户数据完全打包到 VPN 传输网的 IP 数据中，在 IP 主干网中传输的隧道技术。 主要的 L2Tunneling 协议包括 L2TP， L2F， PPTP 等。 L3Tunneling 则只是将用户数据第 3 层以上的信息打包到主干网 IP 包中，主要的 L3Tunneling 协议包括 Ipsec, MobileIP 等技术。 北京瑞斯康达科技发展有限公司 19 通过隧道技术的实施， VPN 用户可以得到下面的好处： 用户可以使用私有的 IP 地址空间而不需要在连网时改变自己的地址规划，同时因为私有地址对公共网上的其他用户而言是不可见的，这也增加了用户网络的安全性。 在隧道中用户可以运行多种网络协议如 IPX， AppleTalk 等，用户基于这些网络协议的应用可以继续使用而不需要淘汰。 宽带 IP 服务网络和用户网络可以各种运行自己的路由协议而互不干扰。 目前，基于 加密的 VPN 性能越来越高，也出现了采用 ASIC 芯片来完成加密解密过程的 VPN 设备，从而使性能得到很大的提高。 RS router 支持以上这种 VPN 实现模式。 在具体的实施中，通常会按需求可能多种方式并用。 如大企业可采取基于加密的 VPN实现，在企业总部放置支持 VPN 隧道数较多的 VPN 设备，在各分支点采用 VPN 隧道数相对较少的 VPN 设备。 北京瑞斯康达科技发展有限公司 20 IPSEC提供三种不同的形式来保护通过公有或私有 IP网络来传送的私有数。 认证 —— 作用是可以确定所接受的数据与所发送的数据是一致的，同时 可以确定申请发送者在实际上是真实发送者，而不是伪装的。 数据完整 —— 作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。 机密性 —— 作用是使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。 在 IPSEC由三个基本要素来提供以上三种保护形式：认证协议头（ AH）、安全加载封装（ ESP）和互联网密匙管理协议（ IKMP）。 认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。 认证协议头（ AH）是在所有数据包头加入一个密 码。 正如整个名称所示， AH通过一个只有密匙持有人才知道的 “数字签名 ”来对用户进行认证。 这个签名是数据包通过特别的算法得出的独特结果； AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。 不过由于 AH不能加密数据包所加载的内容，因而它不保证任何的机密性。 两个最普遍的 AH标准是 MD5和 SHA1， MD5使用最高到 128位的密匙，而 SHA1通过最高到 160位密匙提供更强的保护。 安全加载封装（ ESP）通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息 的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户拥有密匙打开内容。 ESP也能提供认证和维持数据的完整性。 最主要的 ESP标准是数据加密标准（ DES）， DES最高支持 56位的密匙，而 3DES使用三套密匙加密，那就相当于使用最高到 168位的密匙。 由于 ESP实际上加密所有的数据，因而它比 AH需要更多的处理时间，从而导致性能下降。 密匙管理包括密匙确定和密匙分发两个方面，最多需要四个密匙： AH和 ESP各两个发送和接收密匙。 密匙 本身是一个二进制字符串，通常用十六进制表示，例如，一个 56位的密匙可以表示为 5F39DA752E0C25B4。 注意全部长度总共是 64位，包括了 8位的奇偶校验。 56位的密匙（ DES）足够满足大多数商业应用了。 密匙管理包括手工和自动两种方式，手工管理系统在有限的安全需要可以工作得很好，而自动管理系统能满足其他所有的应用要求。 使用手工管理系统，密匙由管理站点确定然后分发到所有的远程用户。 真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来，每一个密匙可以根据集团的安全政 北京瑞斯康达科技发展有限公司 21 策进行修改。 使用自动管理系统 ，可以动态地确定和分发密匙，显然和名称一样，是自动的。 自动管理系统具有一个中央控制点，集中的密匙管理者可以令自己更加安全，最大限度的发挥 IPSEC的效用。 IPSEC的实现方式 IPSEC的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。 在客户端， IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通 MODEM的 PC机和工作站。 而 ESP通过两种模式在应用上提供更多的弹性：传送模式和隧道模式。 IPSEC Packet 可以在压缩原始 IP地址和数据的隧道模式使用 传送模式通常当 ESP在一台主机（客户机或服务 器 ）上实现时使用，传送模式使用原始明文 IP头，并且只加密数据，包括它的 TCP和 UDP头。 隧道模式通常当 ESP在关联。