IP城域网(精选11篇)
IP城域网 篇1
摘要:结合对IP城域网 (Metropolitan Area Network) 现状的分析, 对IP城域网进行优化和改造, 将其改造成为数据、语音、视频多业务的综合承载网络, 增强数据业务综合竞争力。
关键词:IP城域网优化,MAN,SVLAN,MPLS,VPN,QOS
1. 概述
IP城域网是以地市为单位的IP网络, 负责用户与互联网的连接, 从20世纪90年代末开始建设。多年的建设以来, IP城域网无论在网络结构还是在网络容量等方面均需要进行相应的优化与规划。IP城域网的优化改造应以业务为导向, 充分满足日益增长的语音、数据业务的发展需要, 同时需要做好网络的长远发展规划, 并在优化改造的实施过程中, 结合现网业务的实际情况, 实现网络平滑演进升级。
2. IP城域网优化改造原则
根据对城域网现网情况进行详细调研, 并在此基础上, 严格按照规范和原则进行扩容规模计算和目标网络设计。
IP城域网优化改造总体要求重点:
*宽带接入网改造
现有以太交换机在设备容量、能力等方面存在不足, 同时, 宽带接入网的网络结构和功能定位也需要在设备更换的过程中进行较大调整。
*业务接入控制点改造
为满足MPLS VPN、IPTV、ADSL商客保障、CN2落地等各种业务需求, 需在城域网内推广业务路由器的布署, 并对BRAS进行大规模扩容和改造。
*架构调整:完成目标网络的框架构建, 使网络结构清晰合理, 设备定位规范明确, 实现网络结构的层次化、模块化、扁平化;以大容量、少局所、广覆盖为目标;
*灵活的业务接入能力, 具备实现任何接入方式下任何业务的提供能力 (如ADSL接入的VPN业务能力) ;
*网络高可用性和冗余备份;
IP城域网优化改造原则:
以汇聚交换机为中心划分宽带接入片区, 作为组成宽带接入网络的基本单元, 在二层隔离、VLAN设计、用户划分和绑定、流量规划、设备汇聚比例、业务接入控制点资源配置上, 都以宽带接入片区为设计单元, 统一规划设计。
*汇聚交换机主要布放在机楼, 分布在城区和县区;接入交换机主要布放在接入间, 分布在城区、县区比较偏远的部分以及镇区。
*汇聚交换机覆盖的范围内, 原则上不需要布放接入交换机, 但是在用户数量较集中, 又受到局所限制, 无法布放汇聚交换机的接入点 (本地用户超过8个, 总流量小于1G) , 可布放接入交换机, 接入本区域用户后, 汇聚到汇聚交换机, 以节省光纤。
3. IP城域网优化改造方案
目前城域宽带接入网使用以太交换机和DSLAM完成用户接入, 由于网络配置较为简单, 无法实现用户的隔离和绑定, 导致了二层网络安全性和稳定性不高, 且缺乏控制手段等问题。因此宽带接入网优化须采用每用户每VLAN (PUPV) 的方式实现用户的标识和隔离。同时考虑到VLAN资源有限, 可使用VLAN堆叠 (SVLAN) 技术对VLAN资源进行扩展。
如果一个二层网络中的VLAN使用需求超过4000, 则可使用SVLAN技术对VLAN资源进行扩展。SVLAN通过对VLAN标签数量进行扩展, 支持4096×4096 VLAN ID, 使二层网络中的可用VLAN数量大为增加, 从而可以在使用相对较少设备的条件下汇聚大量用户。
同时考虑到以后NGN、IPTV等业务的开展, 以后每用户可能分配多个VLAN ID。但由于以往的SVLAN技术只能基于物理端口配置, 为实现各业务在以太汇聚层以上正确传送, 接入与汇聚设备间须为每种业务提供不同的上传物理链路, 线路资源消耗较大。此时即需要汇聚层设备支持选择性SVLAN功能, 即在同一个物理端口识别不同的用户VLAN标签并分配相应的外层VLAN标签, 从而可在接入与汇聚设备间使用一条物理链路传送多种业务。
在汇聚交换机上配置SVLAN, 每个园区分配5个外层标签, 每种业务使用一个外层标签, 启用选择性SVLAN功能;每个园区下接用户不超过900户, 保证每个用户可以分到4个VLAN ID;VIP用户不分配外层标签直接透传至汇聚层交换机。通过SVLAN的部署, 实现了用户的标识和隔离, 网络质量有了较大提高。
另外, 根据冷备需求, 建议预留3001-4096做为冷备份的外层VLAN-ID。
VLAN编号优化方案:
(1) 以每一个宽带汇聚片区做为独立的二层网络为单位进行VLAN规划, 相互隔离的网络VLAN编号可重复。按照普通用户的业务类型进行分段规划, 包括普通上网、NGN、IPTV等业务;
在以上各段SVLAN内再以园区为单位进行逐个分配, 即将一个园区内的相同业务的用户封装到一个外层VLAN内。
VLAN (内层VLAN) 优化方案:
(2) 内层VLAN的规划以园区为单位, 不同园区的VLAN ID可重复使用 (宽带专线用户接入VLAN除外) 。按照用户类别进行分段规划, 包括宽带专线用户、普通用户, 以及二层设备管理VLAN;
(3) 针对普通用户按照业务类别进行分段规划, 最终为每个用户分配4个VLAN;
(4) 如园区用户数超过900个, 则在上层网络SVLAN端口将以太用户和DSL用户封装不同外层VLAN, 此时园区交换机启用选择性SVLAN功能;
4. IP城域网目标网络结构
从目标网络架构方面考虑, IP城域网的网络结构分为城域骨干网与宽带接入网两个层面。
城域骨干网
城域骨干网由核心路由器、汇聚路由器及认证服务器组成。核心路由器连接级数似不同类型的城域网而不同, 大型以上城域网由于业务接入控制层设备数量多, 分布广, 一般采用二级级联, 第一层核心路由器负责汇聚业务接入控制设备, 第二层核心为出口路由器。中小型城域网由于网络规模与设备的限制, 建议采用单层, 出口路由器兼做汇聚业务接入控制设备使用。
宽带接入网
宽带接入网是城域骨干网业务接入控制点以下、用户CPE以上 (不含CPE) 的二层接入网络, 层次上划分为汇聚层和接入层。汇聚层网络主要由以太汇聚交换机组成, 可级联组网。
IP城域网网目标结构如下图所示:
5. 结论
本文依据IP网络的发展趋势并结合网络结构、业务支持、网络安全管理系统等方面对地市IP城域网进行优化改造, 完成改造后阶段目标后, 将IP城域网打造成为一张结构清晰、功能齐全、控制集中, 具备差异化服务能力的综合承载的精品网络, 增强数据业务综合竞争力, 不断的提高宽带用户的上网体验。
参考文献
[1]YDN077-1997《中国公众多媒体通信网技术体制》
[2]YDJ26-89《通信局 (站) 接地设计暂行技术规定》
[3]YD/T5037-2005《公用计算机互联网工程设计规范》
[4]YD/T5117-2005《宽带IP城域网工程设计暂行规定》
IP城域网 篇2
一、IP地址简介
网络上的每一台主机和进行网管的设备都应当至少有一个唯一的IP地址,以便于能够准确无误地寻找到某个特定的设备。IP地址是一个四字节(32位)的串,每个字节写成一个十进制数,字节间用点号(即句号)分隔开,如192.168.8.88。由于IP地址的每个部分都是1字节,所以其值必须在0至255之间(包含0和255)。IP地址包括两个部分,即网络部分和主机(或节点)部分。如何简单地将前两个字节规定为网络号,那么一方面任何网络上(即使是广域网)都不可能有216(65536)个以上的主机,而另一方面由于某些较小的网络节点数较少又会浪费地址空间。为了有效地利用有限的地址空间,IP地址被根据头几位划分为三“类”,即A类、B类和C类。
* A类 第一个字节从0到127,虽然只有127个网络号,但每个网络最多可容纳16000000个主机(连接的计算机),只可惜拥有这么多主机的网络几乎根本不存在。
* B类 第一字节从128到191,拥有16000个网络号,每个网络最多可容纳60000个主机。
* C类 第一字节从192到223,拥有2080800个网络号,每个网络最多可容纳254个主机。
例如,18.88.89.98是一个A类地址,其中18为网络号,88.89.98为主机号;128.188.189.198是一个B类地址,其中128.188为网络号,189.198为主机号;198.168.186.169是一个C类地址,其中198.168为网络号,186.169为主机号。
二、固定IP地址的设置
(一)分配的IP地址能够满足网络的需求
我们的IP地址空间一般都可以通过直接向当地的ISP(一般为当地的电信部门)提出申请而获得。当分配给您的IP地址从网络号到主机号都完全能够满足局域网的需求时,那您可实在是太幸运了,只要简单地为每台主机和可进行网管的设备分别指定一个IP地址即可,当然您应当建立一个必要的日志文件对IP地址的分配情况作一个记录,以便将来进行的查询。
1.Windows 95/98主机的IP地址设置
安装TCP/IP协议。在控制面板?网络?配置选项卡中单击“添加”按钮,从列表框中选中“协议”后再次单击“添加”按钮,然后在“厂商”列表框中选中“Microsoft“,在“网络协议”列表框中选中“TCP/IP”,单击“确定”按钮并根据提示插入Windows 98安装光盘即可完成。当然,您需要重新启动计算机以便使新的设置生效。
指定IP地址。在控制面板->网络->配置选项卡中选中与网卡绑定的TCP/IP协议(如图2),单击“属性”按钮,在IP地址选项卡中选中指定IP地址选项按钮,然后键入为该主机分配的IP地址和子网掩码(如图3)。若分配的是A类IP地址,则其子网掩码为255.0.0.0;若分配的是B类IP地址,则其子网掩码为255.255.0.0;若分配的是C类IP地址,则其子网掩码为255.255.255.0。应当注意的是,主机部分全部为0或255的IP地址不能使用,因为该值已经定义并保留为网络内部的广播地址。
2.Windows NT主机的IP地址设置
安装TCP/IP协议。在控制面板->网络->协议选项卡中单击添加按钮,然后再在网络协议列表框中选中TCP/IP协议后,单击确定按钮,根据提示插入Windows NT安装盘,待机器重新启动后协议添加完成。
指定IP地址。在控制面板->网络->协议选项卡的网络协议列表框中选中TCP/IP通讯协议,单击属性按钮。由于Windows NT可以安装两块网卡,因此应当在IP地址->适配器下拉列表框中选定不同的网卡分别进行配置。选中指定IP地址选项按钮后,分别键入为其分配的IP地址和子网掩码(如图4)。默认网关指用以联接到其它网络的路由器的IP地址,但若以本机充当联接两个不同子网的路由器则可将其设为本机的地址。
3.网连设备的IP地址设置
以3om Super Stack II Switch 1100 Hub为例。
(1)建立与终端的连接。用一根随机赠送的九芯交叉电缆将计算机的串口与Hub 的Console端口连接起来,启动计算机,运行附件中的仿真终端程序(Hyper Terminal),建立新的连接,并在Connect Using下拉列有框中选择以串口连接(Direct to Com)的方式,然后在串中属性中将波特率(Bits per second)设置为9600,数据位(Data bits)设置为8,奇偶校验位(Parity)设置为无,停止位(Stop bits)设置为1位,流量控制(Flow control)设置为无(如图5)。
(2)登录。Hub接电,建立连接后,按回车键显示登录信息,输入缺省用户名及口令。
Login: security
Password: security
进入主菜单,显示信息如下:
(3)配置IP地址。在Select menu option行键入ip并回车,进入IP子菜单后,显示如下内容:
在Select menu option行键入interface并回车,显示如下内容:
在Select menu option (ip/interface)行输入命令define,然后根据提示分别键入其IP address(IP地址)、subnet mask(子网掩码)和default gateway(缺省网关),Enter SLIP address和Enter SLIP subnet mask二项内容可以忽略。配置完毕,系统将把已经配置好的信息重新显示一遍以进行确认。此时,键入q,可回到上一级菜单。
至此IP地址已配置完毕,可用Ping 或 Display来验证。
(二)分配的IP地址仅能满足对主机数量的需求
想必您也知道,由于上网一族的不断扩大,当今IP地址资源已经所剩无几了。因此,您所分得的一个C类的地址或许远不能满足您欲在局域网中再建立若干子网的需要,于是您不得不使用子网掩码(Subnet Mask)来一解燃眉之急。
子网掩码也以四个字节24 bit表示,默认子网掩码如表所示。其主要功能包括两个方面,一是用来区分IP地址的网络号和主机号,二是用来将某个类地址再划分为若干子网。
子网掩码中为1的部分定位网络号,为零的部分定位主机号。因此,当IP地址与子网掩码二者相与(and)时,非零部分即为网络号,为零部分即为主机号。如某设备的IP地址为168.186.89.88,其二制表示为10101000 10111010 01011001 01011000,由于其属于B类地址,故其子网掩码为255.255.0.0,其二进制表示为11111111 1111111 00000000 00000000二者相与的结果为10101000 10111010。
既然子网掩码中为1的部分可以定义为网络号,那么我们就可以通过修改子网掩码的方式,即将掩码中原本为0的最高位部分修改为1,从而使得本来应当属于主机号的部分改变成为网络号,进而达到划分子网的目的。例如,您得到了一个C类网络地址198.189.98,毫无疑问,所有的设备从198.189.98.0 - 198.189.98.254都将处于同一个网络之中,但您需要将自己的网络划分为5个子网以便于管理当如之何?很简单,我们可以将255.255.255.0中第四个字节中的前三位再拿出来充当子网掩码,即将原第四字节由00000000修改为11100000,由于11100000的十进制值为224,所以应当将子网掩码设置为255.255.255.224。这三位共有000、001、010、011、100、101、110、111等八种不同的组合方式,除去000和111作为保留地址不能够使用外,尚有六种组合可资建立子网。各子网的前三个字节当然仍然是198.189.98,所以各子网提供的IP地址范围为:
由此可见,子网掩码的位数越多,所取得子网的数量也就越多,但每个子网中所容纳的主机数也就越少,同时损失的IP资源也就越多,这是因为每个子网都会保留全0或全1的两个地址作为广播地址使用。
(三)网络及主机数量均不能满足需要
随着IP地址资源的日趋枯竭,可供分配的IP地址越来越少,往往一个拥有几百台计算机规模的网络只能得到区区几个IP地址,真的是让人愁眉不展。对于这种情况,只能采取代理服务器的方式,实行内部网址与公用网址的相互转换而实现。IANA(Internet Assigned Numbers Authority)将下列地址保留作为私人IP地址空间,专门用于企业内部局域网的使用。它们分别是:
您可以根据自己的需要(依网络主机和设备的数量而定)选用适当的地址类,在企业内部,您完全可以放心大胆地将该地址当作公用IP地址一样地使用和配置。通过代理服务器,一方面,当局域网内部的主机访问Internet时,代理服务器接受来自该私用地址的请求,从公用Internet上获取所请求的信息,并返回给原始用户,或者干脆直接将来自内部的私用IP地址转换为公用的IP地址以实现与Internet主机间的通信,从而使内部网络内的所有主机都具有通过代理服务器访问Internet的能力。当然,如果您需要,也可以对某些主机的访问能力进行必要的限制。另一方面,外部的主机也可以通过代理服务器访问您指定的允许外界访问的主机,从而实现内外部主机的双向通讯。 三、动态IP地址的设置
动态IP地址,顾名思义就是设备所取得的IP地址是非固定的,是可以动态分配和取得的。使用动态IP地址的原因主要有两个:一是可以用较少的IP地址构建较大的网络。如果与连入网络的主机和其它设备相比,所分得的公用IP地址略少一些,如果为每个设备都分配一个固定的IP地址,则显然部分计算机将不能接入网络。考虑到并非所有的计算机都在同一时间内运行并与网络连接,所以,如果将IP进行动态分配,即计算机连入网络时自动取得,断开与网络的连接时自动收回,即可满足网络对IP地址的需求。二是可以增加网络内计算机的可移动性。当某台主机从一个子网移动到另一个子网时,由于IP地址中网络号的不同,从而导致该计算机与其它主机间无法进行通信,解决该类问题最简单的方式就是为移动的主机在新子网中重新指定一个IP地址。但是,如果我们采用动态IP地址,就会减少这种网络管理的复杂性。
Windows NT使用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)来解决动态IP地址的分配问题。使用DHCP时,整个网络中必须至少有一台运行Windows NT主机安装有DHCP软件,充当DHCP服务器,而其它所有欲使用DHCP功能的工作站也必须具有支持DHCP的功能。这样,当DHCP工作站启动时,它就会自动与DHCP服务器通信,并由DHCP服务器为其提供一个IP地址。当然,这个地址只是临时的,当租约期满,这个地址就会还给DHCP服务器,并将其提供给其他的DHCP工作站使用。如果原DHCP工作站仍需要IP地址,可以再向DHCP服务器租用另一个IP地址。
(一)DHCP服务器的设置
打开控制面板->网络->服务选项卡,单击添加按钮,在网络服务列表框(如图6)中选中“Microsoft DHCP服务器”,单击确定按钮,根据提示放入NT光盘完成文件复制,单击关闭按钮,然后重新启动计算机。
打开管理工具->DHCP管理器,选择本地主机DHCP服务器。打开菜单作用域->创建,弹出创建领域对话框,分别键入起始和结束地址以及子网掩码。若欲保留某段地址为特定主机或设备使用,可在排除范围中进行设定。租用期限建议选择为限制时间方式,并根据需要规定租用的期限。确定后,在本地计算机下多了一个新的IP地址范围,黄色的灯泡表示该IP地址范围已经启用(如图7)。
若欲保留某些IP地址给某些特定设备(如DHCP服务器、WWW服务器、E-mail服务器、FTP服务器、Router、Switch Hub等),可使用保留客户设置。打开管理工具->DHCP服务器,双击打开本地计算机,选中IP地址范围。打开菜单作用域->添加保留位置,在唯一标识符中键入该主机网卡或设备的ID号,在IP地址中键入欲为其保留的IP地址,并在客户名中为该设备起一个简单易记的名字。若欲继续为其它设备指定IP地址,可单击添加按钮,否则,即可关闭退出。添加完成后,可以利用菜单作用域->活动租用命令进行检查,也可在此利用属性作相应的修改。
注意:DHCP服务器应当使用固定的IP地址。
(二)Windows 95/98 DHCP工作站的设置
浅谈宽带IP城域网的构建方法 篇3
【关键词】宽带;城域网;构建
宽带,其实并没有很严格的定义,一般是以拨号上网速率的上限56Kbps为分界,将56Kbps及其以下的接入称为“窄带”,之上的接人方式则归类于“宽带”。城域网,就是在城市范围内,以IP技术为基础,以光纤作为传输媒介。集数据、语音、视频服务于一体的高带宽、多功能、多业务按人的多媒体通信网络。从网络层面来划分,城域网是指运营商省骨干网以下,用户接入侧以上的网络,它分为城域网骨干网和宽带接入网。
1.IP宽带城域网的设计原则和实现思路
IP宽带城域网工程的建设目标是将IP城域网建成为数据业务统一的、先进的,灵活的、可靠的、基于标准的城市骨干通信平台,在此平台上为政府、企业、学校提供高速接入,同时提供VPN等增值业务。基于以上的建立目标,IP城域网的设计原则为:可靠性原则,可扩充性原则,简单和易于管理的原则以及可以集中管理的原则,下面给出实现上述原则的具体设计思路:
1.1网络的可靠性
采用ATM+IP的设计模式,以达到优势互补;接入层设备通过Dual homing双连接到核心层;网络采用多出口设计到In—ternet(165)l在接入层采用Route summarization减少边缘链路波动对核心的影响,合理采用静态路由,提高可靠性;充分有效利用ATM和IP Navigator MPLS技术提供可靠Quos业务保证;ATMVNN核心域与传统IP路由核心域互为备份,共同构成全网状连接骨干。
1.2网络的可扩充性
网络采用明显的核心分布层次结构;以简单而有效的IP地址作为分配策略,并采用可靠和可扩展的标准OSPF路由协议。
1.3简单和易于维护性
所有的网络设备被分配专门的用途,并避免复杂的配置,使用统一的slot portVLAN的分配策略,每台设备都配有loopback地址,易于维护。
2.宽带IP城域网的组网技术
2.1利用ATM 技术组建城域网
采用ATM 技术组建IP城域网,能充分利用ATM技术灵活组网的优点。传统电信运营商在组建城域网时大多都采用IPoverATM网络的技术。ATM 可以提供CBR、VBR、ABR、UBR 等多种服务类别,可以按时间、端口、流量、平均流量、最小流量等以及组合方式来计费。但是,相对IP技术来说,采用ATM 承载IP业务存在一些缺点和必须解决几个问题:①所有进入ATM 网络的IP包都需要分割成固定长度的信元,开销大、传输效率低;②无连接的IP 网络同面向连接的ATM 存在差异,要在一个面向连接的网络上承载一个不面向连接的业务,需解决呼叫建立时间、连接持续期等问题,造成协议和网络管理非常复杂;③IP地址和ATM 地址之间的映射是一个很大的难题;④基于ATM 实现的IP网络的带宽受限于ATM 网络技术本身,这对于超大规模的骨干网不太合适。
2.2 POS 方案
POS 即IP/PPP/HDLCover SDH/SONET。这种组网技术适用于经营IP业务的ISP、以IP业务量为主的电信网或在电信骨干网疏导高速数据流。PPP按RFC1661的要求实现读协议封装、错误控制和链路初始化控制,把IP 分组封装以后,再按RFC1662的要求形成高层数据链路控制(HDLC)的帧以便定界,然后把该帧交给SDH/S0NET处理后进行传输。采用P0S技术组网时,就产品形式和具体组网方式来说,可以分为有SDH 设备和没有SDH设备两种。据此可分为3种组网方案:
2.2.1 SDH 网+IP业务网
即在局所的物理层面上建设SDH 传输网(安装SDH设备),在SDH同址机房内摆放路由器设备,路由器需要的传输电路由SDH设备提供。此方案需要SDH设备的端口容量要大于路由器所需要的端口容量,以便SDH设备有富余的端口供TDM等时分业务应用。采用此方案的直接弊端是成本高、组网复杂,浪费SDH传输带宽资源。
2.2.2 SDH 网/IP业务网
即或者采用SDH 设备组建城域网,组成纯的SDH传输网,或者采用路由器直驱光纤的方式组建城域网。组建纯SDH传输网的直接弊端是成本高、组网复杂,浪费SDH宝贵带宽资源,网络运行和维修成本也高。采用纯路由器组网的缺点是实时业务将很难提供,满足不了大客户的综合电信业务需求,此外这种方式组网需大量的光纤资源。
2.2.3 SDH 网/+IP业务网
即从骨干层到边缘层都同时有SDI-I设备和路由器设备,SDH设备和路由器设备自行组网,基本上是两个平行的网络。
3.网络体系架构建设分析
根据IP城域网将承担来自用户和运营商自身两方面的业务承载需求,特制定近期和远期两个网络架构。
3.1远期目标网络架构
采用三层网络架构,并尽量扩大三层网络,使二层网络扁平化,二层网络交换机之间的级联尽量减少层数;将高价值用户和普通家庭用户通过不同区域汇聚层设备完成接入;骨干层和汇聚层之间尽量采用光纤直接进行设备对接,并采用双链路上行;二层网络采用以太网技术组网,并借助城域传送网络将边远地带的二层节点接入到核心层或区域汇聚层设备中;在这个远期目标网络架构中,IP城域网划分成三个层次:骨干层汇聚层和接入层骨干层通过出口路由器实现与两张骨干网的连接完成高速的数据转发,并充当城域网出口设备汇聚层作为IP城域网骨干区域向下的延伸,与骨干层构成了核心路由区域,并充当三层MPLS VPN (Multi-PropocolLabel Switching VirtualPrivate Network)的P设备此外,在该层选择两个节点充当跨~MPLS VPN业务互通的ASBR(AutonomousSystem Boundy Router:自主系统边界路由器),并与IP专网的AR设备直接连接先期可以直接选择出口路由器作为ASBR此外,该层BAS和路由器充当三层网络边缘的业务控制点设备,充当PE(Provider Edge:提供者边缘路由器)并支持组播复制功能等汇聚层BAS和路由器以上运行三层网络,以下视具体的情况运行三层或二层网络接入层负责用户接人,采用二层网络。
3.2初期目标网络架构
在中期目标网络架构中仍然采用三层网络。BAS和中低档路由器之上采用三层网络,之下采用二层网络,二层网络可级连在中期网络架构中,考虑到当前实际业务模型以专线用户居多,所以初期在汇聚层可仅仅设置中低档路由器,一个汇聚区域仅设立单节点,待业务发展到一定程度后再进行第二个节点的建设。
4.结束语
随着网络应用不断发展,网络流量爆炸性增长,网络光纤化、IP化不断推进,三网融合、物联网、等新兴产业也为宽带化提供了更多的发展机遇,我国城域网的宽带化建设再次进入发展快车道。 [科]
【参考文献】
[1]唐宏,朱永庆.超宽带城域网建设思路探讨[J].广东通信技术,2011(6).
IP城域网的发展研究 篇4
目前, 国内宽带业务发展迅速, 互联网视频应用呈现爆炸式增长, 网络流量的增长已经成为IP城域网规模扩张的主要推手。各电信运营商也采用核心节点的集群升级、中继电路的扩容、业务控制节点硬件设备裂变和下沉等建设思路, 通过对路由器容量的增加和传输带宽的扩容来应对流量压力, IP城域网已经形成核心层、业务控制层和接入层三层架构模式。
未来十年, 网络流量将至少增加20倍, 伴随着流量快速增长的是不断下降的用户ARPU值, 高清视频和云计算的兴起将对IP城域网的网络质量和性能提出更高的要求。IP城域网未来如何演进是网络建设者需要思考的问题。
二、IP城域网现状分析
2.1总体架构
IP城域网主要承载普通互联网业务及含IPTV业务, 一般宽带运营商在各省均建设有一张IP城域网。以各省主导宽带运营商IP城域网为例, 典型的IP城域网分为三层架构:城域核心层、业务控制层和宽带接入层。各市IP城域网采用相同的网络架构, 以市IP城域网设置不同的自治域, 各市城域核心层与运营商的骨干网、省网以及其他专业承载网实现互通。
城域核心层设备一般采用各市双节点方式设置, BRAS与SR设备一般采用成对设置。
2.2城域核心的壮大
近几年, 城域核心层路由器中继带宽扩容是建设的重点, 中继带宽颗粒度由10G为主向40G迈进, 部分城域核心节点已开通100G电路, 单台路由器的槽位已不能满足需求, 路由器集群得到广泛应用, 城域核心单节点设备不断壮大, 用户规模较大的市城域核心路由器已采用集群设备, 如思科CRS集群和华为NE5000E集群。随着未来网络流量的增长, 城域核心的中继容量不断增加, 单节点规模也将不断壮大。
2.3业务控制层的扩张
业务控制层设备主要有BRAS和SR设备, 每节点设置有BRAS和SR设备。随着宽带用户数的增加, 考虑到业务的安全性, 单台BRAS设备的处理用户规模不宜太大, 单台设备用户容量超过3万时均考虑BRAS分裂来分散承载业务。
根据现有IP城域网规模来看, BRAS和SR设备对市区和县城覆盖已比较完善, 今后将逐步向郊区和重点乡镇进行覆盖。
在流量较大的节点, BRAS和SR设备大多采用10G电路上行, 其余BRAS和SR设备多采用多GE电路上行, 随着用户平均流量的增加, BRAS设备的万兆上行改造也是IP城域网扩容建设的重点。
2.4接入层的革新
自2011年以来, 各大电信运营商均大规模展开x PON接入网建设。由于BRAS设备价格的昂贵, 目前大部分OLT设备均采用二层交换机汇聚后接入BRAS设备, 单BRAS节点存在多台大型二层汇聚交换设备。以PON+LAN、PON+D、FTTx等接入网建设模式逐步对现有传统DSLAM网络进行改造, 其中FTTH和PON+LAN建设方式为主, 运营商已停止新建PON+D网络。
2.5 IP城域网发展的困惑
(1) 随着IP城域网出口中继电路扩容规模的增大, 核心节点路由器设备迈向集群模式, 高能耗、高承重和多机位的需求对城域核心节点宝贵的机房资源造成很大的压力。
(2) 城域核心路由器设备更新较快, 40G、100G平台的大型路由器已经广泛应用, 400G平台在未来两年也将入网, 由于平台和异厂家的兼容性问题, 部分40G平台机框和板卡大量退网, 一定程度上造成投资浪费。
(3) 核心路由器设备价格昂贵, IP城域网核心路由器投资占比达到50%以上, 而业务压力较大的业务控制层设备投资占比小。
(4) 随着城市规模不断扩张以及农村光改速度加快, 城市郊区和乡镇宽带业务也进入快速发展期, 业务流量增长较快, BRAS设备逐渐实施下沉覆盖, 近两年, BRAS设备大规模进行万兆电路上行改造也对城域核心路由器造成电路扩容压力;部分节点BRAS用户压力较大, 进行BRAS设备裂变建设, 部分节点已达到3-4台BRAS设备, 单节点BRAS设备整体的槽位和端口利用率较低, 且未实施热备机制, 多台设备配置也对机房配套造成较大压力。
(5) 老型号BRAS和SR设备不支持IPV6和NAT444, BRAS设备和SR设备仍采用成对设置, 尚未实现BRAS和SR业务网关融合。
(6) 由于县乡光缆资源的不足, 均存在多级二层汇聚设备, 造成网络层级过多, 且大规模FTTH建设和10GPON的应用将导致二层汇聚网络大规模扩容, 二层汇聚网络过大将成为流量和业务的瓶颈。
(7) 公网IP地址资源已经耗尽, IP地址的短缺严重影响业务的发展, 各电信运营商已开始建设IPV6试商用网络, 但NAT444在短时间内将作为补充手段进行建设, IP城域网及周边系统需要进行调整建设。
三、IP城域网的演进
3.1 IP城域核心节点演进
(1) 扩容省内互联电路, 开通市间核心节点直达电路。以现在IP城域网架构, 城域出口流量均通过运营商国干节点转发, 随着城域网流量的快速增长, 骨干网络设备的容量必将成为发展的潜在瓶颈, 流量的多层次穿越也将造成网络的整体投资明显增加。随着网络流量急剧增加。城域间采用传输直达链路疏导流量成为必然的解决方案。通过逐步开通省内互访流量较大的市IP城域网核心之间直达电路, 以减轻骨干节点扩容压力。 (图1)
(2) 提升市核心节点平台容量, 合理安排设备利旧。大型IP城域网核心节点的扩容压力越来越大, 目前100G交换平台路由器已入网应用, 400G交换平台路由器预计2-3年内可入网应用, 大型IP城域核心节点逐步由100G交换平台向400G平台过度, 100G交换平台逐步利旧至中小型城域网, 大型城域核心节点上行中继采用100G中继电路, 中小型IP城域网逐步利旧40G中继电路。通过充分利旧设备板卡减轻投资压力。
3.2业务控制层发展演进
(1) 推进集成MSE发展。IPTV、互联网视频、云计算的流量将占到IP城域网全部流量的80%以上, 这部分业务提供现在集中在IDC内部, 而IDC一般集中设置在骨干网络和城域核心位置, 各运营商大部分采用省集中设置, 城域内穿越流量较大。将视频业务和云计算业务提供由骨干向边缘转移, 向用户侧转移, 能够有效降低网络的穿越流量。
未来IP城域网的建设将采取BRAS与SR合设向集成MSE (Multi Service Edge) 发展, MSE将具备视频推送能力、CDN能力、计算能力、存储能力、网络连接能力、用户管理能力等。通过业务提供边缘化, 超过50%的流量将终结在MSE, 城域骨干和骨干网络的流量将大大减少, 流量分布的变化带来单位带宽的投资明显下降, 同时还具备了CDN、IPTV、互联网视频、手机视频、Iaa S云计算的业务提供能力, 带来收入的增长。
(2) 业务控制层云化发展。利用100G平台设备, 将业务控制网关设备进行池组化, 整个业务控制层设备虚拟成一个或多个业务提供池, 形成云网关, 为下层用户提供本网络层应提供的业务, 为上层网络提供集中、简化、汇聚后的业务数据。
云化的业务控制层体现了少局所大容量的建设思路, 增强了业务控制层的安全性、灵活性, 并大大提高设备端口利用率, 通过云池设备流量的高效收敛, 减少对IP城域网核心节点的电路扩容压力, 同时业务能力的边缘化也极大的提升了用户业务体验。
3.3接入层的发展趋势
(1) 推进10GPON应用, 优化接入网络结构。x PON技术的广泛应用使接入网的覆盖半径由2-3公里扩展到5-10公里, 融合及云化的业务控制层将催生10万用户级的MSE节点, 未来T级别的MSE设备将成为主流, 大容量, 少局所的建设模式将得到进一步的发展。接入网络的架构向FTTH发展, 当OLT上行超过4G时, OLT直接上联BRAS的成本更低, 10GPON得到广泛应用。网络层次由现在的BRAS/SR—汇聚交换机—OLT---ONU--家庭网关5个层次, 演进到MSE—OLT—OUN/家庭网关三个层次, 接入网络逐步向扁平化方向发展。 (图3)
3.4城域网向IPV6过渡演进
IPv4与IPv6将在很长时间内共存。如何实现共存期的应用互访和平滑演进, 是实现IPv4向IPv6成功过渡的基础。目前IPv4向IPv6过渡演进技术众多, 包括双栈、隧道、翻译等。建议现阶段建议采用方式有双栈或双栈+NAT444方案, 在演进后期采用DS-LITE方案。
(1) 在城域网各层设备开启双栈协议, 同时支持IPv4和IPv6流量的上下行转发。根据城域网设备情况, 升级或新建BRAS、CR等设备开启IPv4和IPv6双栈, 同时将AAA、DNS等相关支撑系统升级支持IPv6。由于BRAS设备数量较多, 在实际部署时, 可根据用户及业务发展需求, 逐步开启IPv4和IPv6双栈, 以验证开启双栈对设备的影响, 在保障网络稳定可靠运行的情况下实现对双栈的支持。 (图4)
(2) IP城域网NAT44部署选择。NAT44技术本身已较为成熟, NAT44在城域网中的部署可分为集中式和分布式两种方案。集中式是将CGN设备部署在IP城域网的核心CR节点, 分布式是在各分散的BRAS节点部署CGN板卡。NAT44部署方案选择应结合IP城域网规模大小进行合理选择。
在采取分布式部署方案时应注意如下原则:1、该节点并发用户量大于2万;2、该节点BRAS设备所带专线用户较少, 且专线用户地址段较集中;3、预计可替换IP地址数不少于1.2万;4、该节点高校等大客户比较集中。部署CGN目的是为了尽可能多的替换IP地址, 如采取粗放的建设方式将会增大投资, 且地址替换效果不明显。
四、结束语
IP城域网是未来IP业务发展的关键, 是云管道的基础。为了迎接超宽带、高体验、高可靠IP城域网时代的来临, 如何把握IP城域网的发展方向, 将有限的资金合理的投入到IP城域网建设, 是值得各电信运营商网络建设者思考的问题。建设一个灵活、高效的IP城域网是网络规划和设计的重点, 运营商应通过合适的技术构建超宽带、低成本、电信级、绿色环保等面向未来的全业务城域网, 充分满足未来业务发展的需求。
摘要:本文对近几年来IP城域网的核心节点、业务控制层和接入层的发展进行分析, 总结了IP城域网发展中存在的问题。结合大交换容量路由器、多业务网关MSE、10GPON、IPv6过渡演进及NAT44部署等技术, 对今后IP城域网的发展进行了论述。
关键词:IP城域网,业务控制层,多业务网关,NAT44,IPv6
参考文献
[1]http://news.cisco-club.com.cn/2011/0613/1308.shtml, 思科中文技术社区;
[2]http://www.enet.com.cn/article/2011/0429/A20110429853451_2.shtml硅谷动力;
[3]http://www.chanyezixun.com/news/itytx/hlw/2012/0504/2040.html中国产业咨询网;
三招保护局域网中的IP地址 篇5
停用网络连接服务
要限制用户随意修改TCP/IP参数,最简单的方法是让用户无法打开TCP/IP参数设置窗口。打开“开始”中“运行”输入“services.msc”命令,选中“NetworkConnections”服务,右键单击,从属性中选择其中的停用按钮,将“启动类型”选为“已禁用”,并确定。这样,你如果从“开始”进入“网络连接”里,就找不到“本地连接”图标。这也会给自己网络参数修改带来麻烦,可以将“Plugandplay”服务停用,就不影响你正常网络访问了
限制修改网络参数法
修改注册表的相关网络键值就能实现,
进入“运行”输入“regedit”命令,打开注册表编辑,确定在HKEY_USERSDEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork分支上,在右侧区域中,依次选择“编辑”、“新建”、“Dword值”选项,将新建的Dword值命名为“NoNetSetup”,将其数值输入为“1”,重新启动电脑,系统就会提示无法进入网络属性设置窗口了。
隐藏本地连接图标法
本地连接图标与系统的Netcfgx.dll、Netshell.dll、Netman.dll这三个动态链接文件有关,一旦将这三个动态链接文件反注册的话,那么本地连接图标就会被自动隐藏起来了。在反注册上面三个动态链接文件时,可以先打开系统运行框,并在其中输入字符串命令“regsvr32
IP城域网 篇6
关键词城域网客户网络BGP
1客户需求
目前,大部分电信城域网通过汇聚路由器运行IBGP协议来承载用户路由,而部分客户网络则需要通过双上行接入电信城域网,并要求双上行的链路在路由上实现冗余且能够自动切换。从安全角度考虑,城域网汇聚路由器一般不与客户网络运行IGP协议,但如果汇聚路由器与客户网络运行静态路由,再将静态路由引入到城域网的BGP协议,此方式在链路接入正常Down|UP的时候没有问题,但是当链路出现“单通”且静态路由不会消失的情况下,就会导致业务的中断。虽然配置静态路由可以考虑使用BFD协议来监测“单通”的问题,但是需要客户网络的设备支持BFD协议,否则无法实现。
2建议方案
为了实现客户网络双上行冗余链路的路由自动切换,可以考虑在客户网络和某城域网之间运行BGP协议。但是根据电信城域网相关规范,城域网汇聚路由器在收到客户网络发布的EBGP路由后,核心路由器在向163、CN2等EBGP发送路由时,需将这部分路由过滤掉。
下面是根据上述问题和需求给出的一个参考建议方案。
(1)建议方案一 (设客户网络AS号为64959)
如图,客户网络的AS设置为64959与某电信汇聚路由器运行EBGP协议,某电信路由器下发缺省路由到客户网络,同时通过前缀列表严格控制从客户网络接收的用户路由,并增加Community属性65***:9999和no-export。客户网络发送自身网段地址到某城域网汇聚路由器,同时从某城域网汇聚路由器接收缺省路由。
配置脚本:
某电信路由器汇聚路由器:
ip prefix-list CustomerRoute seq 5 permit xx.xx.yy.0/28
ip prefix-list CustomerRoute seq 10 permit xx.xx.zz.0/28
!
route-map FromCustomer permit 10
match ip address prefix-list CustomerRoute
set community 65***:9999 no-export //对客户接收到的路由设置Community属性65***:9999和no-export
router bgp 65***
bgp router-id xx.xx.xx.xx //汇聚路由器 Loopback
bgp log-neighbor-changes
neighbor xx.xx.xx.xx remote-as 64959 //与客户互联的接口地址
neighbor xx.xx.xx.xx activate
neighbor xx.xx.xx.xx default-originate //向客户网络下发默认路由
neighbor xx.xx.xx.xx route-map FromCustomer in //设置策略只接收客户网络特定路由
no auto-summary
no synchronization
exit-address-family
!
客户端设备:
ip route xx.xx.yy.0 255.255.255.240 yy.yy.yy.1 //通过静态、动态、Null0发布
ip route xx.xx.zz.0 255.255.255.240 yy.yy.yy.1
router bgp 654959
bgp router-id xx.xx.xx.xx //客户网络Loopback
bgp log-neighbor-changes
neighbor xx.xx.xx.xx remote-as 65*** //与客户互联的接口地址
address-family ipv4
neighbor xx.xx.xx.xx activate
network xx.xx.yy.0 mask 255.255.255.240 //发布客户网段到某城域网路由器
network xx.xx.zz.0 mask 255.255.255.240
no auto-summary
no synchronization
exit-address-family
(2)建议方案二
通过方案一的实施,客户网络路由不发送到其他AS,但是在城域网内部还是可以看到64959这个AS号,而且将来若城域网分配这个AS号给其他业务使用的时候也会造成在本地城域网上该AS64959的混淆。因此我们也可以考虑和客户之间通过接口建立IBGP关系。
如上图,如果客户网络和某城域网汇聚路由器之间使用IBGP建立邻居关系的话,客户网络的路由,将不能从汇聚路由器发布到城域网的核心路由器和其他设备,这将导致可客户网络不可达。因此为了打破这个限制,我们需要在城域网的汇聚路由器上增加设置,将城域网RR设置为汇聚路由器的route-reflector-client,也就是说RR和汇聚路由器互相指定为对方为自己路由发射器的客户端。某电信路由器下发缺省路由到客户网络,同时通过前缀列表严格控制从客户网络接收的用户路由,并增加Community属性65***:9999。客户网络发送自身网段地址到某城域网汇聚路由器,同时从某城域网汇聚路由器接收缺省路由。
配置脚本:
某电信路由器汇聚路由器:
ip prefix-list CustomerRoute seq 5 permit xx.xx.yy.0/28
ip prefix-list CustomerRoute seq 10 permit xx.xx.zz.0/28
!
route-map FromCustomer permit 10
match ip address prefix-list CustomerRoute
set community 65***:9999 //对客户接收到的路由设置Community属性65***:9999
router bgp 65***
bgp router-id xx.xx.xx.xx //汇聚路由器 Loopback
bgp log-neighbor-changes
neighbor xx.xx.xx.1 update-source Loopback0 //IPV4 RR1 IBGP
neighbor xx.xx.xx.1 remote-as 65***
neighbor xx.xx.xx.2 update-source Loopback0 //IPV4 RR1 IBGP
neighbor xx.xx.xx.2 remote-as 65***
neighbor xx.xx.xx.xx remote-as 65*** //客户网络IBGP,与客户互联的接口地址
address-family ipv4
neighbor xx.xx.xx.1 activate
neighbor xx.xx.xx.1 route-reflector-client //指定RR1为汇聚路由器的客户端
neighbor xx.xx.xx.2 activate
neighbor xx.xx.xx.2 route-reflector-client ////指定RR2为汇聚路由器的客户端
neighbor xx.xx.xx.xx activate
neighbor xx.xx.xx.xx default-originate //向客户网络下发默认路由
neighbor xx.xx.xx.xx route-map FromCustomer in //设置策略只接收客户网络特定路由
no auto-summary
no synchronization
exit-address-family
!
客户端网络设备:
ip route xx.xx.yy.0 255.255.255.240 yy.yy.yy.1 //通过静态、动态、Null0发布
ip route xx.xx.zz.0 255.255.255.240 yy.yy.yy.1
router bgp 65***
bgp router-id xx.xx.xx.xx //客户网络Loopback
bgp log-neighbor-changes
neighbor xx.xx.xx.xx remote-as 65*** //与客户互联的接口地址
address-family ipv4
neighbor xx.xx.xx.xx activate
network xx.xx.yy.0 mask 255.255.255.240 //发布客户网段到某城域网路由器
network xx.xx.zz.0 mask 255.255.255.240
no auto-summary
no synchronization
exit-address-family
!
3方案比较
通过两个方案的比较,我们可以发现两个方案在实施上都没什么问题,对于方案一需要使用新的AS以及后续可能存在路由问题。综合考虑建议某电信汇聚路由器和客户运行BGP协议的时候,采用方案二。
IP Metropolitan Area Network BGP Protocol Access Customer Network Implementation Scheme Analysis
Li Weixian
(China Telecom Yunnan branch,Kunming 650100,China)
AbstractWith the development of telecommunication operation, part of telecom customer network through double uplink access telecommunication network, and routing calls in realization of redundancy and can automatically switch. Therefore, how to reasonable deployment of router protocol is very important.
Key wordsmetropolitan area network,the customer network,BGP
小议IP城域网网络安全 篇7
IP城域网一般分为3个层次:核心层、汇聚层和接入层,其中的各个层次承担了不同的功能。根据不同网络层次的不同功能,每个层次都面临不同的安全问题。核心层主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全,以及用户访问的控制;接入层主要由一些二层接入设备构成,其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。
核心层担负着网络核心承载的功能,所以必须充分保证网络的连通性和高度的可靠性,提供必须的网络冗余功能。在城局网关键的出口链路必须具备冗余设备,多条链路连接同时工作,确保在故障发生能够实现自动愈合,增强对病毒和黑客的防御力量,使整个网络变得更加稳定可靠。另外,核心层设备还要采用一些安全策略,以保障网络的安全可靠,例如:
1)网络设备采用多极安全密码体系,限制非法设备和用户登录;
2)实现路由认证,保证路由协议安全,支持SNMP,安全网管;采用访问控制列表策略,过滤异常流量,保证设备核心的安全;
3)采用如mrtg等流量监控手段,监测异常流量。
汇聚层负责汇集分散的接入点进行数据交换,提供流量控制和用户管理功能,作为城域网的业务提供层面,是城域网最重要的组成部分。汇聚层设备是用户管理的基本设备,也是保证城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键。
汇聚层设备的安全特性主要体现在以下几点:
1)用户接入网络的安全控制,包括加强口令等访问控制手段;
2)调整BAS的部署策略。进行BAS边缘化,访问控制可以在边缘BAS上进行,如果仍然保持集中方式,可以考虑在BRAS后部署防火墙,可以将原有BAS访问控制功能转移到防火墙后,这样可以降低BAS负载及访问控制列表细化。限制每个VLAN下的用户数量,减少PPP建立过程中广播包的广播范围,提高网络性能,BAS放到边缘后,VLAN ID数目受到的限制问题也得到了缓解。细化的三层访问控制在BAS设备后端的三层设备上进行;
3)部署小容量BAS服务器,专线用户的VLAN在城域网汇聚层终结。充分利用宽带接入服务器BAS支持802.1q的特性,来实现对不同用户的服务,减小广播域,提高城域网的整体性能。在用户侧部署中小容量的BAS服务器,可把原来的超大二层网络分成多个小型的二层网络,降低管理的难度和复杂度;将宽带专线用户的VLAN在城域网汇聚层终结,这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户,通过专线直接连到网络核心,当用户发起广播时,就会使核心网络路由表产生波动,影响核心网络设备的性能,所以建议在汇聚层终结,再把信息上传到核心层;
4)利用BAS+AAA验证服务器完成对用户的身份验证,AAA绑定一般采用的都是静态绑定方式,而动态绑定一般是在接入设备上实现的,绑定技术的有效应用,主要用于解决账号盗用,用户定位等问题。通过上述认证机制实现基于用户的访问权限控制、计费和服务类型控制;
5)对于DLSAM拨号用户可实现VLAN、端口和用户账号绑定,进而防止个人用户的帐号、密码被盗用,也可确定出用户上网的位置,为问题的解决提供线索;
6)支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数,有效防止DOS类的攻击;
7)支持访问控制列表,禁止部分用户访问或有选择地屏蔽网络服务;
8)对用户带宽进行控制。
接入层通过各种接入技术和线路资源实现对用户区域的覆盖,提供多业务用户的接入并配合完成用户流量带宽的控制功能。
设备上采用的安全手段包括:
1)使接入侧用户相互隔离,以保证接入的安全性,防止用户间的相互攻击。由于以太网技术本身的特点,端口隔离的存在是必要的。无论是物理端口还是逻辑端口,现阶段有很多技术都能实现端口隔离功能,有的采用物理手段,有的采用逻辑手段。采用物理手段则能实现完全的隔离功能;逻辑手段一般是基于2层帧结构技术,也比较安全。可以说,端口隔离是目前一种保护接入用户内部安全的有效手段。在接入层隔离开用户之间的访问并不是为了限制用户的使用,而是要防止用户之间的攻击。无论是针对哪种用户,合理而又灵活的利用端口隔离技术总能有效地控制来自内部、外部用户之间的安全问题。
2)采用一些端口检测的措施,防止用户环路的发生。很多用户不知道环路带来的危害,所以环路经常发生在缺少专业技术人员维护的网络中。越是接近用户的设备检测周期越应该短一些,上层设备的检测周期应该长一些。这样就能减少一些因为上层设备先检测到环路禁用端口造成下层整个交换机用户都被断掉的可能。
在城域网设计、建设和运行维护的各个阶段,都应采取统一的安全技术策略,而各VPN网根据所统一的安全策略和各自不同业务特点,采用相应的安全防范措施和技术手段,以满足城域网全网的整体安全要求以及各专业系统自身的安全需求。城域网的安全保障可考虑采用以下几种技术策略来实施:
预防——采用认证授权、访问控制和路由隔离等技术,防止外界对城域网网络的各种非法访问,避免入侵者对城域网网络资源的破坏和窜改;采用VPN构建虚拟专用网,为各类用户专用网提供有效隔离。
监测——通过监控和定期检测等主动防御措施,及时发现城域网在运行中可能存在的各种安全漏洞,进而采取相应措施。
调整——对各项日志和管理信息进行统计分析,发现问题时,及时对城域网进行修改,消除可能的安全隐患;根据网络安全技术的发展和各项业务新的要求,及时调整城域网全网安全策略的实施。
IP城域网优化技术探讨 篇8
关键词:IP城域网,优化技术,网络优化,分析和探究
一、引言
随着现代化技术的蓬勃发展, IP城域网的优化技术也越来越受到人们的普遍关注和重视。为了促使IP城域网能够为新时期电信运营商的业务提供更为优质的平台技术支持, 为广大用户提供更为便捷的服务, 本文通过结合IP城域网优化技术的几项设计方案进行具体分析。
二、IP城域网优化的需求分析
在传统的IP城域网中, 运营商通常是采取接入互联网的方式来为广大用户提供可靠性服务, 但对于IPTV、NGN等在网络上承载的其他业务, 则无法提供具有可靠性、安全性、QOS等服务。新时期下, 为了加强IP城域网的建设, 电信运营商需要在IP城域网多业务、多设备、分布广等前提条件下, 充分考虑普通宽带业务以及部分高价值业务的接入工作, 在保证网络安全可靠的同时, 尽可能控制投资和维护成本, 保证不同业务的QOS水平以及业务的分流状况。
总的来说, IP城域网优化的需求主要有以下几点: (1) 能够提供端到端的服务保障, 提高各业务的QOS水平及能力, 以适应IPTV、NGN等业务的带宽、时延等参数的需要。 (2) 能够提供完善的冗余备份保护机制, 以提高网络的快速收敛能力, 实现在50ms内对关键业务的保护倒换。 (3) 能够提供有效承载语音和视频等业务, 要求具备低时延、高效率以及可控组播能力, 要求能够支持单播/组播分离的能力, 实现频道快速切换功能。 (4) 能够提供高效的管理与维护, 加强边缘层业务的识别能力, 实现P2P等业务流量的有效控制。 (5) 能够提供更为安全可靠的网络环境, 以预防和减少内、外网的恶意攻击, 保证用户信息安全。
三、IP城域网的多业务承载技术
通过对IP城域网优化需求的分析和了解, 当前IP城域网优化技术主要可以采用以下几种平台技术实现。
(1) 基于SDH的多业务传送平台。基于SDH技术的多业务传送平台, 是在充分利用SDH技术的保护恢复能力以及良好的时延性能的基础上, 用以支持2层/3层数据功能的平台技术。该平台技术主要通过VC级联等方式, 实现不同业务与SDH时隙的映射, 并由SDH设备与2层、3层、4层分组设备实现物理上的集成。这样不但能够降低功耗、减少机房占地, 而且业务处理速度、网络扩展性在一定程度上得到了提高, 有效地控制了运营及维护成本。同时, 该平台技术的设计方案, 还提供了部分增值业务, 包括虚拟专网、视频广播等, 能够借助统计复用及超额订购业务的方式, 实现SDH基础设施的最优化。此外, 在快速终结协议和转换功能上, 也为电信运营商提供了多种网络边缘业务。但受多层帧映射影响, 导致该方案开销处理复杂, 且该方案对于抖动要求较高, 投资成本较大。 (2) 基于电信级以太网的多业务平台。基于电信级以太网的多业务平台, 通过结合传统以太网与电信网的相关技术, 用以实现网络及业务的可扩展性、运营级网管能力, 以及QOS保障能力, 从而为IP/以太网/TDM等多业务的传送问题提供解决方案, 逐步实现传统电信运营商向分组化网络的转型。
四、结束语
IP城域网是电信运营商众多项业务的重要承载平台。在IP城域网中, 通过采用波分复用技术或电信级以太网技术进行技术优化和改造, 能够最大限度满足用户及业务的发展需求, 保障IP城域网的安全可靠, 真正实现网络层次的清晰化、网络结构的扁平化以及服务质量的差异化等方面内容, 进一步推动IP城域网在新形势下的建设和发展。
参考文献
[1]宋强.IP城域网优化技术探讨[J].电信科学, 2007, 11, (10) .
[2]胡磊.常德IP城域网的优化方案设计与实施[D].北京邮电大学, 2012, 07, (01) .
某IP城域网的优化设想 篇9
城域网 (Metropolitan Area Netwok) 可看成是城市间骨干网向用户的延伸。位于骨干网与接入网的交汇处, 面临通信网中最复杂的应用环境, 各种业务及协议都在此汇聚、分流和进出。
IP城域网的网络结构分为3层:核心层、汇聚层和接入层。核心层完成高速数据转发;汇聚层节点则主要实现扩展核心层设备的端口密度及种类、扩大业务覆盖范围, 汇聚接入节点, 解决接入节点到核心节点间光纤资源复用, 实现接入用户的可管理性;接入层节点主要是将不同地理分布的用户快速有效地接入。IP城域网的建设目标是以合理的投资建成一个以IP技术为基础的宽带多业务网络平台, 提供包括VPN、语音、视频点播 (VOD) 、高速Internet接入、企业上网、企业互联、远程监控监测、远程教育、远程医疗、社区服务等多种业务需求, 并应具有良好的可扩充性, 将来开展新的业务时能迅速、简便的实现, 为信息化平台建设提供先进可靠的网络基础设施。
二、优化必要
我省的主流运营企业联通某地市, 至2014年底, 宽带用户达到33.2万户 (其中FTTB用户200000户、FTTH用户130000户) ;客户对于增值业务 (包括MPLS VPN、流媒体) 及差异化需求都在突显。同时, 总带宽的需求不断的增加, 现有的网络设备性能渐显不足。为了能够积极稳妥地推动网络平滑演进, 强化对业务的支撑, 实现网络发展效益, 设想对现有的IP城域网进行优化改造。
三、优化设想
3.1核心层
核心层设备应具备大容量, 高可靠性及高处理能力, 且对于单一城域网而言, 建议采取一个主流厂家。密切注意链路流量, 特别是上行链路流量, 链路带宽利用率超过70%, 即应考虑扩容。当前核心层设备上行链路单个端口带宽通常为40G, 可能会发展到单端口100G, 甚至更高。设备组网上, 为双核心设备, 将来会使用集群路由器系统结构。核心路由器兼作ASBR时, 应同时具备P、PE和ASBR的能力。应支持IPv6的升级。城域网出方向流量调整:出城域网的流量通过城域网出口路由器发布的默认路由来控制和引导;流量就近选择城域网出口路由器, 再通过城域网出口路由器的BGP国内路由表来进行路由优选, 从哪一个城域网出口路由器出城域网;对国际流量, 城域网出口路由器没有国际路由, 不能对这部分流量进行路由的优选城域网出口路由器, 只能通过集团下发的EBGP默认路由的方式来就近出城域网。出城域网的流量可以通过调整城域网出口路由器到汇聚层设备的OSPF默认路由的COST值来调整, 越低越优先;城域网入方向流量调整:城域网入流量调整通过城域网出口路由器的BGP路由属性, 来调整宣告给集团骨干网的IP网段BGP路由MED值, 按越低越优先的原则, 集团骨干网的A路由器会根据城域网出口广播的BGP路由的MED值作路由的优选。
3.2汇聚层
汇聚层设备应采用大容量, 高密度设备。设备应支持QINQ、Diff Serv Qo S队列、BGP/OSPF/IS-IS等主流路由协议;支持MPLS L2/L3 VPN、组播, 及IPv6升级。BAS设备还应支持基于用户名、PVC、VLAN、MAC地址、IP地址等属性绑定的多种接入控制策略。密切注意链路流量, 建议采用能够提供上行10G带宽的汇聚层设备。将所有BAS上行到核心层的链路全部扩为10GE, 将汇聚交换机上行链路扩为10G (需要更换支持10G端口的大用量BAS和L3交换机) 。为业务量大的节点新增多业务网关。基于初期投资的考虑, 对于重要局点, 建议采用两台BAS做热备。
3.3接入层
设备应向宽窄带一体化方向发展, 满足光进铜退和业务全IP承载的要求。设备上行单端口应为GE为主, 应全部改造为IP内核, 必须支持QINQ功能。部署和发展新的接入层技术, 例如以PON为基础的FTTB及FTTH、WLAN技术等。加大接入层节点QINQ部署力度。两层标签都由接入设备打上, 上层交换机只做普通透传, 而BAS终结QINQ。
配合“光速城市”工程, 在各县市全面部署GPON节点, 发展FTTB、FTTH业务等高带宽用户。
3.4支撑系统
在市分公司部署接入层专业网管, 集中监控。各县分公司通过客户端进行日常维护和故障处理;对全网各厂商的设备部署IP综合网管, 并实现与其他业务支撑系统统一接口, 实现对设备端口的流量采集、网络性能及告警报表等, 自动执行相关工单;开通与112测试系统的北向接口, 采用“在线用户测试”功能, 实现市区宽带用户的在线测试功能。
四、效果设想
IP宽带城域网安全与实施 篇10
1 城域网网络架构与安全现状
IP城域网的网络架构分为三个层次:网络核心层、网络汇聚层、宽带接入层, 网络的各个层次承担了不同的功能。根据城域网不同网络层次的不同功能, 每个层次都有不同的特点, 面临不同的安全问题。核心层网络主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层网络主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全, 以及用户访问的控制;接入层网络主要由一些二层接入设备构成, 其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。
2 IP城域网网络安全模型
对于宽带IP网络运营商而言, 宽带城域网包括基础承载网络和运营支撑平台两个部分。城域承载网是城域网业务接入、汇聚和交换的物理核心网, 它由核心交换层、边缘汇聚层、综合接入层构成。运营支撑平台由业务支撑平台、网管平台、认证计费平台等组成。针对IP城域网承载网络部分面临的安全问题的特点, 从设备安全、结构安全、应用安全来控制网络中的安全风险。对于城域网运营支撑平台, 我们将采用分区域的安全模型, 将支撑平台划分成三个区域:信任域、非信任域和隔离区域。信任域是宽带运营商的基础网络, 通常采用防火墙等设备与电信业务承载网隔离, 包括网管平台、智能业务平台、认证平台等设备;隔离区域是信任域和非信任域之间进行数据交互的平台, 包括电信运营商提供的各种业务平台, 如Web服务平台、FTP服务器、用户查询平台、Mail服务器等;非信任域是运营商面对客户的基础网络, 它直接提供用户的接入和业务, 同时也是Internet网络的一部分, 包括基础用户接入、数据交换、媒体网关等设备, 是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础, 在城域网中起着至关重要的作用, 作为安全模型中的非信任域, 需要重点考虑。
3 城域网网络结构安全
网络结构安全是指网络在结构设计上保证不会出现单点失效, 主要由网络拓扑结构的设计、网络协议的选用等等来保证。
在城域网网络中, 注重链路的备份和冗余, 尤其在核心层和汇聚层, 汇聚层的路由交换机以两条链路连接到两台骨干路由器上, 通过运行动态路由协议OSPF协议实现链路的冗余备份和自动倒换, 避免了由于链路故障导致网络服务中断。采用虚拟局域网VLAN主要出于三个目的:用户隔离、提高网络效率;提供灵活的管理;提高系统安全性。因此, 规划VLAN时也综合考虑这三方面的因素。接入层设备为支持VLAN功能, 为了进行不同用户间的有效隔离和互联, 需要利用交换机对用户进行不同的VLAN划分。具体做法可以是将交换机的每一端口划分一个VLAN以实现所有用户间的二层隔离, 此时如果需要互联, 可通过上连设备的ACL功能来控制;也可以根据需要将多个交换机的不同端口划为同一个VLAN, 直接实现有限制的用户互联。
4 城域网网络应用安全
4.1 黑客攻击的防范
黑客攻击的手段多种多样, 其中对电信级IP城域网危害最大的就是DOS攻击, DOS攻击是目前一种较为普遍的攻击手段, 黑客通过对目标主机或服务器建立大量的连接, 使网络中的路由器和服务器处理不过来, 或将某条链路阻塞, 造成正常的用户无法访问。针对外面网络的攻击, 我们需要从上联侧的路由器/交换机协同工作, 做出正确的配置 (如避免转发广播到内部网络) , 利用交换机控制SYN/ICMP包数量, 利用路由器的采样和防止NOC/地址欺骗功能。黑客攻击是网络应用安全的重点, 但并不是全部。网络应用安全还应该包括对网络内部不同用户权限的外部访问控制。
4.2 用户认证安全
在IP城域网安全部署实施中, 主要在以下几个方面实现对用户有效的管理和控制:通过PPPOE、DHCP+WEB、802.1X等多种认证方式, 实现对各种接入用户和接入业务的接入认证功能;通过VLAN ID和PVC ID唯一标识每个用户以及其物理定位;对用户名、地址、VLAN或PVC等属性进行绑定, 防止用户帐号、IP地址被仿冒或盗用;限制一个用户、一个VLAN或PVC只能申请有限的IP地址, 防止用户恶意申请IP地址。
5 城域网网络安全控制
为实现整个IP城域网网络的安全性, 必须在城域网核心路由器、路由交换机、宽带接入服务器等设备采取多种安全控制机制。具体的手段如下:
防火墙 (Stateful Firewall)
为了实现对用户安全更有效的保证, 单纯的访问列表并不能实现流量的动态跟踪, 在IP城域网安全部署实施中还要部署状态防火墙, 状态防火墙是一般包过滤结构的一种改进型的扩展。状态防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息, 并以此为依据决定对该连接是接受还是拒绝。
安全ARP
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。ARP攻击主要是存在于网络中, 当网络中若有一台计算机感染ARP木马, 则感染该ARP木马的系统将会试图通过"ARP欺骗"手段截获所在网络内其它计算机的通信信息, 并因此造成网内其它计算机的通信故障。针对此类问题需要引入了安全化的ARP。
6 未来城域网安全防护趋势
一方面, 随着WLAN技术在城域网接入环节的兴起, 关于无线接入的用户隔离技术以及针对WLAN接入的网络安全防护, 将成为城域网中的重要发展方向。由于WLAN技术自身在安全方面的缺陷, 导致用户不能有效隔离和用户接入网络易受攻击。现在已经有多种技术可以弥补WLAN技术在安全方面的缺陷, 如:可以采用AP隔离、AP与用户IP/MAC地址绑定、WEP加密技术、WPA接入保护、Portal+Radius认证等技术手段来提升WLAN网络的安全特性。另一方面, 随着僵尸网络的产生和网络攻击行为的复杂化, 未来网络中的黑客攻击将成为越来越突出的安全问题。对比之下, 传统的IP城域网对于这些黑客的攻击行为的识别、抵御和防范存在明显的不足, 因此, 为了抵御日趋复杂的攻击行为, 必须对城域网的防攻击能力有一个完整的规划, 首先我们应该建立一个蜜网系统, 利用该系统可以从网络中获取实际的病毒数据和攻击行为样本, 通过分析可以及时掌握网络中存在的僵尸系统和其指令集, 并可以在网络防火墙上指定有针对性的防御策略;其次, 我们应该采用一些集成的攻击防御平台, 在网络设备和运营支撑平台上采用多种防御手段相结合的策略, 抵御网络上的攻击行为。
摘要:随着网络技术的发展演变, IP宽带城域网已成为宽带网络的发展方向, 各种信息化应用都将基于IP技术。本文在分析目前IP宽带城域网在安全应用与管理方面存在问题的基础上, 从设备安全、结构安全、应用安全三个方面阐述了如何保障网络的安全性和运行质量, 从而构件一个“可控制、可管理、可经营”的电信级IP宽带城域网, 为各种信息化应用提供一个安全可信的基础点心网络平台。
关键词:设备安全,结构安全,应用安全
参考文献
[1]电信级IP信息网络的构建.人民邮电出版社.
[2]宽带IP城域网的路由设计与实现.计算机工程与应用
[3]DOS攻击技术及其防范.计算机安全.
浅谈IP城域网的优化与实现 篇11
1 关于IP城域网
1.1 内涵
城域网(Metropolitan Area Network),是一种大型的LAN,其覆盖范围大概是几十公里,是介于局域网与广域网之中的一种网络统称。而IP城域网也被成为宽带城域网,是指在城市的范围内,利用光纤这一传输介质以及IP和ATM技术实现多媒体通信网络的建立,及视频、语音、数据服务为一体,分为宽带上网和端口出租两种实现方式。
1.2 IP城域网的特点
(1)覆盖面广,灵活性高,具有高效的网络性能;
(2)它是一个具有8+M+N的三层(核心层、汇聚层和接入层)网络结构;
(3)能够通过分布式的网络接入,实现对接入网络的流量的合理控制;
(4)它同网络技术的未来发展方向相结合,为今后的网络发展奠定基础。
2 IP城域网存在的问题
IP城域网在我国以及世界的发展都是十分迅速的,它为人们的生活以及工作和休闲都带来了很大的便利,但是就目前的现状来说,城域网的运行中还是存在许多需要给予必要的关注的问题的,这些隐患大体如下:
2.1 功能方面
现如今,城域网使用和运行中存在的最大的一个问题就是城域网的功能实现方面的问题。我们使用城域网最大的目的就是使得自己的交流和生活,工作更加的方便和快捷,但是现今的城域网的使用过程中的功能的有效发挥却还是存在许多不尽人意的地方。
(1)首先就是城域网中的二层技术网络的效率不高。二层技术支持的vlan数仅能达到4096个,这个数字在当今社会已经不能满足大型网络的需求,而且这种技术还存在许多的不必要的程序,大大影响了城域网的效率。
(2)其次就是宽带容量的限制。随着G比特以太网技术的迅速发展,低成本的快带业务的使用已经实现了普及化,差不多所有的用户都可以使用大的宽带,这就对传输网的发展提出了一个很大的挑战,传送网络的容量会大大的影响城域网络的速度,这就会限制城域网的功能的发挥。
(3)还有就是用户需求方面的原因。随着科技的发展,城域网的用户已经不满足于原先的已有的宽带网的需求,而是越来越趋向于个性化的需求,这样的用户需求现在的城域网还是无法做到满足的。
2.2 安全方面
人们使用城域网最关注的问题之一就是安全方面的问题,而安全问题对于城域网来说也是一个不小的考验。对于城域网这个新生儿而言,其安全性和用户管理方面的措施还是有做得不足的地方的。城域网对其使用者以及它的业务并没有进行细分的管理,仅仅是停留在认证和鉴权方面上,对于网络、业务、管理等方面的安全也没有严格的保障措施。总的来讲,城域网相对于电信的安全性来说还存在一定的差距。
2.3 业务方面
城域网运营的状况也是需要业务的支撑的,如果城域网发展的业务能够在最大的程度上满足用户的需求,那么对城域网的经营企业来说,就会大幅度的增加企业的效益。但是城域网现如今的发展状况是业务支撑的能力十分的低下。城域网的运行当中并没有开展一些能为企业带来利润(巨大的)的业务,反到在城域网的维护成本上出现许许多多的支出方面的问题,这些都违背了城域网的运营企业的初衷。因此,城域网的运行必须从发展适应业务的角度出发,实现城域网的不同使用者的不同要求,实现利润化。
3 IP城域网的优化及实现
3.1 拓扑结构优化
一般来说,LAN交换机组网和路由器组网是目前最常见的两种IP成语玩组网方式,LAN交换组网适用于小型城域网中,而路由器组网则适用于更大型的,常见于中等及其以上的城域网组网中。IP城域网是由三个部分组成的——接入层、汇聚层和核心层,其中,核心层是局域网组网中最核心的部分,它能够提供良好的服务、足够的带宽、强大的交换功能和稳定的性能。针对核心层的拓扑结构,建议使用网状结构,这样可以有效地保证性能的稳定性。而对于IP城域网的拓扑结构,由于其核心层与汇聚层节点数量不多,收敛比较低,所以建议采用双星型结构,这样可以节省链路,提高光纤直连方式的承载流量。
3.2 提高安全保障
针对于城域网的安全方面的隐患,必须采取有效的措施来保障城域网的安全。在这一方面,首先要提高城域网的抗病毒的能力,因为病毒的侵入对城域网的危害是十分巨大的。这可以通过vlan的隔离技术来达到减少甚至杜绝病毒侵害的情形,提高网络安全性。还有一方面就是要对城域网的用户和业务的管理实行严格的认证和鉴权方面的管理,要对城域网的网络、业务以及管理等方方面面做到严密的保障措施。
3.3 优化业务发展
要对城域网的业务的发展保持高度的重视,城域网的经营组织,必须在接入的层面上就有效的完成相关业务的识别,针对各种不同的业务进行不同的处理,提高城域网处理业务的能力。对于交给单位的业务项目,必须达到业务迅速收敛的目标,要提高城域网使用者的信任感,对单位的资源进行备份,保证客户的权益,提高企业的信誉。
4 结束语
在我国IP城域网的发展是十分迅速的,针对城域网在运行中出现的种种问题,必须不断地对城域网进行优化,使得城域网能够更好更健康的发展,为广大的用户提供更好的体验,为其美好的生活以及更好的工作带来更好的改变。
摘要:当今是信息化大发展的时代,随着网络的普及,宽带接入技术越来越普及,宽带市场的广阔前景使得其成为各个运营商竞相争夺的目标。怎样在这样的环境下实现宽带接入服务更优质、更有效,并实现多元化的增值服务成为一个新的增长点。在这种大背景的推动下,IP城域网逐渐进入人们的视野,怎样实现对IP城域网的建设和优化管理成为受到极大关注的问题。本文主要探讨的是IP城域网的存在的问题并提出优化方法。
关键词:IP城域网,问题,优化措施
参考文献
[1]杨杰,谭景华.IP城域网综合评估与优化[J].电信科学,2009(02).
【IP城域网】推荐阅读:
IP城域网的发展研究07-14
城域网应用06-06
宽带城域网06-23
无线城域网规范06-12
城域网优化方案07-27
计算机城域网05-15
数字电视城域网06-26
城域网工作总结07-12
城域网的原理及应用06-06
城域网传输的技术分析08-27