中国电信集团公司江西省网整合优化工程技术交流.ppt

1 1 中国电信集团公司 江西省网整合优化工程 技术交流 * CHINANETCHINANET全网整合工程组全网整合工程组 张诚张诚 2 2 n 中国电信CHINANET全网整合思路 n 试点省份经验交流介绍 n 江西省网整合规划 n 江西省网内部网络优化思路 3 3 整体网络调整策略 n 网络整合分为原骨干网范围和原省网范围 n 原骨干网同省网结合部的背对背互联将取消 n 整体网络将分为三层 平面一：由三个超级核心节点的1、2号路由器及其链 路，各省第一出口链路组成 平面二：由普通核心节点到超级核心节点的链路和各 省第二出口的链路组成 平面三：各省出口路由器和省内路由器之间链路组成 n 整体流量策略将保持原163网的基本流量策略 n 对于没有双出口省份将建设新的第二出口节点 4 4 全网BGP结构 n n BGPBGP逻辑结构逻辑结构 l l 保留大片区中的原保留大片区中的原RRRR点作为一级点作为一级RRRR点点 一级 一级RRRR为 北京为 北京/ /西安西安/ /广州广州/ /武汉武汉/ /上海上海/ /南京南京C1C1 l l 省网整合后第一、二出口节点作为二级省网整合后第一、二出口节点作为二级RRRR点点 l l 二级二级RRRR点作为核心节点的一级点作为核心节点的一级RRRR的的ClientClient端端 l l 省网内部地市节点，骨干网汇接路由器作为省第一、省网内部地市节点，骨干网汇接路由器作为省第一、 二出口二级二出口二级RRRR点的点的ClientClient端端 l l 全网中所有的全网中所有的RRRR点将分处不同点将分处不同Cluster-IDCluster-ID 5 5 6 6 全网BGP策略 l国际路由将下放到省出口汇接节点 l地市节点原则上为国内路由，部分条件具备的地市 节点将播放国际路由 lBGP相关策略将主要在一级RR点实现，二级RR点 仅做微调 l现网中国内路由条目在4000条左右，网络优化后因 为节点增加，其省网路由条目将分散，预期在调整 初将在10000条左右。 l国际路由条目为125000条左右 7 7 全网IGP路由结构 n IGP逻辑结构 l全网IGP统一为ISIS的LEVEL-2-ONLY lISIS涵盖网络中所有的LOOPBACK端口和电路端口 l全网通过ISIS的METRIC引导流量流向 l全网流量拓扑基本保持原骨干网设计 l通过ISIS的METRIC调整将在骨干网中将个网络层 次分开 l全网ISIS路由条目在全网整合初期近30005000条 8 8 省网整合的前期准备 n 全网整合将遵循扁平化的原则，骨干网预期覆 盖到地市节点网络的调研数据是否完整准确 地市节点接入路由器相关数据：路由引擎/板卡内存、软件 版本等 城域网接入的模型 n 因为整体整合后，原省网网络结构会发生变化 ，需要在前期充分考虑原省网的业务模型，主 要考虑是否有业务会受网络逻辑变化的影响。 n 对于要增加第二出口节点的省份需要就其第二 出口节点选择和相关电路资源进行确认 9 9 省网接入的模型 n 以双星型为基本结构 l 两个出口节点其资源应基 本保持均等 l 其第二出口选择可不局限 为省会外的核心地市 l 应确认第二出口节点施工 条件和时间 省第二出口节点二级RR Cluster-ID N4 省会出口节点二级RR Cluster-ID N3 地市A 地市C 地市B 地市D 地市E 地市F 地市H 地市G 地市I 片区内核心节点一级RR-B Cluster-ID N2 片区内核心节点一级RR-A Cluster-ID N1 IBGP PEER IBGP PEER 1010 省第二出口节点 省会出口节点 地市A 地市C 地市B 地市D 地市E 地市F 地市H 地市G 地市I IBGP PEER IBGP PEER 城域网A AS-65002 城域网E AS65003 AS4134 IBGP EBGP 省会城域网 AS-65001 省AS65000 原骨干汇接路由器原骨干汇接路由器 骨干核心路由器 骨干核心路由器 城域网I 城域网G城域网B 1111 骨干汇接路由器 省第二出口节点 骨干省会汇接路由器 第一出口节点 地市A 地市C 地市B 地市D 地市E 地市F 地市H 地市G 地市I IBGP PEER IBGP PEER 城域网A AS-65002 城域网E AS65003 AS4134 IBGP EBGP 省会城域网 AS-65001 骨干核心路由器 骨干核心路由器 城域网I 城域网G城域网B 1212 城域网接入模型（一） n 条件具备的地市将采用EBGP方式接入 城域网接入路由器 地市骨干汇接路由器 骨干网 AS4134 IBGP/ISIS 地市私有AS EBGP 地市城域网 1313 城域网接入模型（二） n 目前城域网接入路由器和城域网合设的节点，采用原城域网IGP或静态 路由的方式实现互联 向地市网络发布OSPF 默认路由引导出流量 地市骨干汇接路由器 骨干网 AS4134 IBGP/ISIS BGP聚合引导回流量 城域网OSPF范围 地市城域网 1414 城域网接入原则 n 相应纳入骨干网的节点设备性能需要满足骨干 网络的相关要求 n 城域网接入以模型一为优选，条件暂不具备的 选择模型二方式，并在条件具备后采用模型一 实现接入 n 对原各城域网接入将进行相关调整，增大带宽 和建少链路 n 在条件允许的情况下，合并一些相对技术力量 薄弱、地域临近的小城市城域网，成为大城域 网并统一接入骨干网络 1515 省网调整相应流程 n 第一步：完成出口节点割接 l 对于双出口省份，先割接省会节点，在割接第二出口节点 l 对于现网单出口省份，原则上先搭建第二出口节点 l 对暂不具备第二出口节点建设条件的省份将先割接第一出口节点， 其后搭建第二出口节点 l 原骨干网在出口节点的设备和原省网背对背设备将择优选择，替换 下设备将工程统一调配 l 在原省出口割接的期间，直接割接省会城域网的接入方式，并采用 模式一实现 l 在出口节点割接期间，保留原省干IGP，并发布默认路由到其他地市 节点，引导出流量，并通过原IGP引导出口回地市流量 l 在纳入骨干网的电路将更换电路地址为骨干网地址范围，其地址由 骨干网分配 1616 省网调整相应流程建议 n 第二步：逐步完成地市节点割接 l对于各地市节点参照模式一、二逐步完成地市节点 割接 l原省干范围在割接过程中保持原IGP结构，在割接 后切换到新的骨干ISIS进程，并同原省内IGP剥离 l对于单电路上联节点或节点设备性能较差的节点， 将由省RR发布相应的默认路由引导，不承载大路由 表单 l在纳入骨干网的电路将更换电路地址为骨干网地址 范围，其地址由骨干网分配 1717 省网调整后其内部路由变化 n 原省干的IGP切换为骨干ISIS n 原通过省内BGP或IGP交换的路由将切换为通 过骨干BGP和ISIS承载 n 原流量策略基本保持 n 原相关基于BGP承载的VPN业务需要调整 1818 MPLS/VPN业务的整合考虑 n 部分省如果有MPLS/VPN业务需要考虑在整合 前期进行调整剥离，避免整合对业务造成的影 响 n 在整合后如果有业务需要省内承载MPLS/VPN ，将采用省内接入共享、骨干隔离的方式，骨 干网通过原169网完成MPLS/VPN业务的承载 ，163网目前不承载MPLS/VPN业务 n 在有业务需要的省份，原省范围内的设备将打 开MPLS标记交换功能实现对业务的支持 1919 网络整合需要省内考虑的问题 n 对需要内部调整的城域网需要提前调整 n 就需要建设第二出口节点省份需要确认节点建设条件 n 对现网中的省内IP地址需要规范，避免细碎路由出现 n 对现网中的部分VPN业务进行调整，避免业务影响 2020 n 中国电信CHINANET全网整合思路 n 试点省份经验交流介绍 n 江西省网整合规划 n 江西省网内部网络优化思路 2121 Cisco 12008 Cisco 12008 Cisco 12016 SSR 8600 SSR 8600 SSR 8000 SSR 8000 SSR 8000SSR 8000 国家骨干 AS4134 单出口节点甘肃单出口节点甘肃 2222 Cisco 12008 Cisco 12016 SSR 8600 SSR 8600 SSR 8000 SSR 8000 SSR 8000SSR 8000 国家骨干 AS4134 2323 Cisco 12008Cisco 12016 Cisco 12012Cisco 12012Cisco 12012 SSR 8600SSR 8600 SSR 8000SSR 8000 Cisco 12008 SSR 8000SSR 8000SSR 8000SSR 8000 国家骨干 AS4134 2424 Cisco 12008Cisco 12016 Cisco 12012Cisco 12012Cisco 12012Cisco 12008 SSR 8600SSR 8600 SSR 8000SSR 8000 SSR 8000SSR 8000SSR 8000SSR 8000 国家骨干 AS4134 2525 SSR 8000SSR 8000SSR 8000SSR 8000 Cisco 12012Cisco 12012Cisco 12012Cisco 12008 Cisco 12016 Cisco 12016 SSR 8600SSR 8600 SSR 8000SSR 8000 国家骨干 AS4134 2626 第二类省份贵州第二类省份贵州 2727 整合后拓扑结构整合后拓扑结构 2828 中国电信中国电信CHINANETCHINANET全网整合思路全网整合思路 试点省份经验交流介绍试点省份经验交流介绍 江西省网整合规划江西省网整合规划 江西省网内部网络优化思路江西省网内部网络优化思路 2929 江西省网现状江西省网现状 3030 第二类省份的整合方案-湖南、江西、海 南、广西、安徽、云南 n （1）网络现状 n 省网大多采用双星型或部分网状连接结构，省会和省 内第二出口节点处于省网核心地位，疏通至骨干网的 出省流量。 n 骨干网节点和省网节点都采用Cisco GSR路由器，省会 和省内第二出口节点的骨干网汇接路由器和省网核心 路由器背靠背连接，由骨干网汇接路由器负责出省路 由。省内可能还存在汇接节点，起汇聚、疏通部分节 点流量的作用。省内其他节点通过省内中继连接省会 和省内第二出口（或汇接节点）。 3131 n （2）整合后骨干网节点设置 n 建议中国电信宽带互联网骨干网扩大到覆盖上述省的 省会城市、省内第二出口节点城市和所有省网节点城 市。 n （3）骨干网节点设备选择 n 省会节点保留骨干网汇接路由器，取消原省网核心路 由器及其与骨干网汇接路由器的背靠背连接，负责疏 通本省出省流量和省内流量交换。省内第二出口节点 保留骨干网汇接路由器，取消原省网核心路由器及其 与骨干网汇接路由器的背靠背连接，协助省会节点疏 通省内流量，同时提供第二出省路由备份。综合考虑 原骨干网汇接路由器和省网核心路由器的设备型号、 档次和处理能力，选用能力较高的设备作为新的骨干 网汇接路由器。 3232 n 其他省内节点升级为骨干网接入节点，利旧省网设备 作为骨干网接入路由器，下连城域网，疏通网间流量 。 n 若省内存在多个汇接节点，可以将汇接节点与省内一 般节点共同对待，利旧省网设备作为汇接路由器，下 连城域网，疏通网间流量。省网规模较大时，也可以 继续保留省内汇接节点的原有作用，协助省会节点、 省内第二出口节点疏通部分省内网间流量。 n 若省内各节点全部采用Cisco路由器，升级后纳入骨干 网范围。若省内节点采用其他厂家设备，无法判断其 处理能力和互通性是否满足骨干网的要求，建议暂不 纳入骨干网，待省网自行改造（替换为Cisco、Juniper 或华为路由器）后再根据情况确定下一步全省整合方 案。 3333 n 整合后调整下来的路由器可根据本省城域网建设的实 际情况，灵活调配，推至城域网边缘作为城域网的汇 聚路由器，同时做为城域网连接骨干网的接入路由器 。 n 省会的骨干网汇接路由器通过中继链路连接超级核心 节点、核心节点的核心路由器。 n 省内第二出口节点骨干网汇接路由器通过中继电路连 至相应大区省会节点的核心路由器，同时与省会的骨 干网汇接路由器相连。 n 其他省内节点的骨干网接入路由器通过中继电路与省 会骨干网汇接路由器、省内第二出口节点骨干网汇接 路由器连接。如存在省内汇接节点，其汇接路由器通 过中继电路上连省会的骨干网汇接路由器和省内第二 出口节点骨干网汇接路由器，下连部分省内节点的骨 干网接入路由器。省内各城域网与省内节点骨干网接 入路由器连接。在本地城域网数量较多，上连链路数 量和带宽需求较高的情况下，省会节点、省内第二出 口节点和汇接节点骨干网汇接路由器也可以有选择地 直接下连某些本地城域网。 3434 n 中国电信CHINANET全网整合思路 n 试点省份经验交流介绍 n 江西省网整合规划 n 江西省网内部网络优化思路 3535 江西省网现网存在的问题 n 网络中存在单点故障 n 网络中路由协议的问题 n 网络设备的软件问题 n 网络设备的硬件问题 3636 n 网络中存在单点故障 根据前面对网络结构的描述，我们可以发现： 163骨干网和城域网中存在单点故障的问题。 比如163省骨干网中，每个地市的落地设备均 为一台，如果此设备当机会影响整个地市；比 如在城域网中，抚州、吉安、鹰潭、上饶、景 德镇的核心层交换机与163省网的连接均为单 设备、单连接，如果此链路断掉将会影响整个 地市。 3737 n 网络中路由协议的问题 目前江西电信163省网和各地市城域网采用同 一个OSPF路由协议，163省网为Area0，各地 市为Area1Area11。由于在同一个IGP路由 协议中，各个地市IP地址分配又比较分散，因 此在OSPF中不能汇总，造成网络中路由数量 过多。特别是通过分发进OSPF的路由（OSPF 中E2类型的路由）的数量很多，造成网络设备 需要占用大量内存维护路由表。 3838 n 网络设备的软件问题 根据对网络中网络设备故障的分析发现，有很 多故障是由于设备采用的软件版本较低，因此 建议将Cisco7609和Catalyst4006的软件升级。 3939 n 网络设备的硬件问题 目前Cisco7609中配置的内存都为默认的128M 内存，根据目前在现网上运行的情况看，不能 满足网络目前的需要，并且升级Cisco7609软件 也需要增加内存，建议升级Cisco7609的内存。 Catalyst4006由于OSPF路由协议的问题使得 内存的利用率过高，考虑Catalyst4006内存不 能增加，以及采用的引擎为较早的二代引擎， 因此建议升级引擎。 4040 4141 4242 4343 拓扑结构优化建议 4444 拓扑结构优化建议（续） 4545 n 目前采用OSPF协议作为全网省内路由条目的承载，由 省出口设备同省其他地市节点之间的部分作为Area0， 南昌、九江和其他地市采用当地区号作为相应的Area 号码。 n 采用这类方式后，有一个比较大的问题是现网中IGP 路由表单的问题，因为现网中设备能力及其不均衡。 是否所有的设备都可以稳定的承载数千条散碎的省内 路由是一个问题。 n 现网中较多的将部分接入节点的路由通过静态指向后 注入到OSPF协议中，因为一个地市就只有一个Area号 ，这样这些相应的条目都会在同一地市的IGP表单中 出现。同时以E2方式在其他地市IGP表单中出现。 路由协议现状及存在问题IGP 4646 n 因为目前各地市内部网络都只有一个出口路由器，没 必要需要全省网的路由条目。我们建议在目前骨干互 联部分采用ISIS方式建立新的互联结构。针对各地市 内部网络采用OSPF结构，并将地市核心设备放置在 Area0，其他边缘接入采用各自定义的Area号码。 n 在各地市接入路由器上通过OSPF的Area0发布默认路 由引导全地市设备对地市外地址的访问。同时在地市 接入路由器上将地市路由注入BGP协议，同时对这部 分路由做聚合，按照地市分配的地址表单作相应聚合 ，保障发布的整体条目清晰。由南昌、九江对整体省 网的地址表单做相应BGP聚合。 4747 路由协议优化建议IGP 南昌-骨 干汇接 163骨干核 心节点C 地市B 地市A 九江-骨干 汇接 OSFP路由表 ISISISIS路由表路由表 与与163163骨干骨干ISISISIS 同为同为Level-2-Level-2- only only 区域区域 OSFP路由表 OSFP路由表 OSFP路由表 4848 n 建议由full-mesh结构更换为基于BGP-RR的结 构，由南昌、九江的两台出口路由器作为整体 网络的BGP RR点，并分别属于不同的 CLUSTER。 n 这类结构更换的作用是更好的避免了现网中某 地市出现单条电路上联故障后的路由更新问题 。 路由协议优化建议BGP 4949 n BGP-Full-mesh同BGP-RR在本质上没有区别 ，都是为避免IBGP只传一跳的问题。但随着 Full-mesh节点的增多，各个路由器上BGP进程 对内存的占用会逐步增加，因为每个PEER都 是独立的处理进程，其对整体设备的性能的影 响会比较大，同时现网中如果有网络振荡，其 BGP收敛时间受影响的PEER方向比较多。 5050 n 其RR方式路由转发原则为： RR点从Client收的路由将转发给Client和非 Client（不包含路由源方向） RR点从非Client收的路由将转发给Client RR点从EBGP-PEER收的路由将转发给所 有的Client和非Client 此次中国电信163全网整合工程将在南昌与九 江建立二级RR点 5151 向地市网向地市网络发络发络发络发 布布 OSPFOSPF默默认认认认路由引路由引导导导导 出流量出流量 地市A 南昌整合后骨干汇南昌整合后骨干汇 接接/ /省网核心省网核心 RRRR 南昌整合后骨干南昌整合后骨干汇汇汇汇 接接/ /省网核心省网核心 RRRR BGPBGP聚合引聚合引导导导导省入流量省入流量 BGPBGP聚合引聚合引导导导导省入流量省入流量 IBGPIBGP IBGP ISISISIS范范围围围围 OSPFOSPF范范围围围围 OSPFOSPF注入注入BGPBGP， 并做相并做相应应应应策略引策略引导导导导 回流量回流量 163163骨干骨干C C核心核心 节节节节点点 163163骨干骨干C C核心核心 节节节节点点 5252 GSR12008 Arae1 Arae0 Arae5 Arae4 Arae3 Arae2 OSR7600 CAT4006 OSPF ISIS 九江12016 南昌12016 IBGP-PEER 地市A 5353 5454 江西网络设备现状分析 n 目前看现有网络层面的设备故障主要集中在思科设备的运行稳定 性上，从目前山东省网提供材料中可以看到，普遍存在设备内存 利用率过高的情况。不可否认目前山东省网的设备内存配置较低 ，但目前设备内存情况很不乐观。因为内存占用的情况比较多。 n 就思科设备情况来看，目前各地市的4006的为各地业务接入的核 心设备，但其内存和CPU利用率都较高，建议升级引擎和内存。 同时对现有网络业务进行部分整合，以降低CPU的占用率。如有 必要应该升级其路由引擎。由原交换路由模块4032L3更新为 X4515专用路由引擎。 n 从现有网络情况看7600设备有多次的路由丢失和3层模块脱管现象 ，从现象上看属于设备软硬件配合问题，建议由厂家对设备提出 IOS要求和相应设备建议。同时针对现有设备的内存占用高的现 象因增加部分内存，已满足核心地市出口设备的业务能力。 5555 网络设备优化建议 n 思科设备优化建议 n A 设备软件优化建议 n 目前在Catalyst4006和Cisco7609上采用的CatOS和IOS 软件版本都较低，Catalyst4006的CatOS版本为CatOS 5.4，IOS版本为IOS12.0.5，Cisco7609采用的CatOS版 本为CatOS6.3，IOS版本为IOS 12.1.8E。根据Cisco售 后工程师的建议，建议将Catalyst4006的CatOS升级到 最新的6.3(10)版本，IOS升级到12.0(18)W5(22b)； Cisco7609建议升级到Native IOS 12.1.(13)E6。 n Catalyst 4006的软件：CatOS6.3(10)解决了CatOS5.4有 关VLAN、VTP、SPAN等方面的一些BUG； 12.0(18)W5(22b)解决了DHCP、OSPF等方面的一些 BUG。通过这些改进，使设备运行更稳定。 n Cisco7609的软件：IOS12.1.(13)E6解决了原 CatOS+IOS两套软件的弊端，并解决了路由协议等一 些BUG。 5656 n B 设备硬件优化建议 n 根据对网络中出现故障分析，网络设备出现故障的原因大多是软 件版本低或内存利用率较高造成的。而升级软件版本也需要增加 内存。因此，建议在本次网络优化中，增加网络设备的内存。 n 由于Cisco7609需要升级到NativeIOS，根据NativeIOS对内存的需 求，建议将Cisco7609的内存升级到512M。 n 同时，目前Cisco7609在南昌两台和赣州一台配有OSMGE的模 块，可以提供MPLS/VPN业务。根据目前网络发展的趋势，各个 运营商在网络建设及优化时，都将MPLS/VPN业务作为重要业务 实施，并且中国电信总部已经有计划在各个省市看着MPLS/VPN 业务。因此建议在没有配置OSM-GE的地市，在Cisco7609上增加 OSM-GE模块，以增加网络开展业务的能力。对于没有Cisco7609 的地市，建议新增加Cisco10720设备，以提供MPLS/VPN业务。 n Catalyst4006由于OSPF路由协议的问题使得内存的利用率过高， 考虑Catalyst4006内存不能增加，以及采用的引擎为较早的二代 引擎，因此建议升级引擎。目前Catalyst4006的四代引擎采用的 为CEF的转发模式，使得整台机器的转发能力有很大的提高，抗 网络病毒、攻击的能力都有所提高。 5757 n FOUNDRY 设备优化建议 n 目前看部分设备故障主要涉及业务端口互联互通的情 况，这部分故障在思科的部分中也有体现，从现象和 故障提示上看主要集中在不同设备之间端口互通上、 特别是同华为等国内厂商互联上的问题。 n 因为思科和FOUNDRY在端口互联能力上其端口识别 能力都比较差，需要人为对端口的双工等参数固化设 置后，才能保障其业务接入能力不受影响。 n 其次，部分FOUNDRY设备在现网中用户故障情况下 ，CPU占用过高并影响业务。此类故障如果能通过3层 的过滤和源路由定位来防范，可以通过配置解决，如 果属于业务设备2层能力所至，需厂商解决。 5858 现网中开展MPLS/VPN业务分析 n 现网中对VPN的开展主要是围绕BGP/MPLS，这样业务开展需要 现网中的设备对基于BGP的MPLS支持。目前在现网中，山东省 电信的宽带设备主要能支持此业务的设备为思科的12000系列和 7600系列。其思科4000系列设备和部分地市的FOUNDRY设备目 前不支持MPLS业务。 n 如果基于现网中设备开通相应的VPN业务接入，对于现网中设备 就存在部分设备衔接上的问题。我方建议避开现有设备的问题， 采用就VPN业务在部分地市新增思科10720作为PE设备的方式来 快速开展VPN接入。思科10720设备是思科就城域网新业务开展 的主推产品，其支持全IP路由协议，和MPLS多种业务模式（二/ 三层）。采用GE互联实现思科10720同其他核心设备的互联，并 采用VLAN透传方式将VPN业务覆盖到现网的宽带企业接入VPN 业务中。对应部分业务采用传统专线接入，建议采用思科的7200 系列设备实现VPN的PE业务覆盖，对于核心设备为FOUNDRY的 地市，因为核心设备不支持MPLS转发，建议在这部分地市采用 GRE方式实现VPN业务路由器之间的VPN互联 。 5959 n 对应现网中已经由思科设备覆盖的地市，将采用7600 设备作为PE设备直接采用VLAN透传覆盖业务。 n 其VPN业务将采用BGP/MPLS方式，将不同现网中业 务接入设备的BGP互通，将采用在南昌和九江采用新 增的10720或7200设备作为MBGP的RR点，同各地市 的VPN业务路由器之间直接建立IBGP的SESSION。并 传递相应的MPLS路由，这样整体上VPN路由将同现 网的路由没有任何关系，现网的BGP/IGP路由完全为 VPN业务路由器之间寻路服务。VPN业务路由同整体 省网内部没有直接关系，保障最大程度的业务互不干 扰。 现网中开展MPLS/VPN业务分析（续） 6060 网络中VPN的部署增加PE设备的情况 思科10720 思科7200 思科7600 思科12000 支持MPLS转发的节点 PE PE P P 思科7200 思科7600 思科12000 支持MPLS转发的节点 PE P PE 思科10720 思科7200 FOUNDRY8000 思科12000 不支持MPLS转发的节点 PE PE P 思科10720 思科7200 PE PE兼RR点 P 思科7600 GRE 思科12000 南昌节点 6161 不增加新设备情况下的VPN部署建议 n MPLS/VPN业务的开通需要有核心路由器（P 路由器）和业务接入路由器（PE路由器），用 户方（CE路由器）只需要普通设备即可。但 目前现网中网络设备只有中兴T64E、华为 NE80、思科7600、12000系列、7200系列等支 持MPLS业务。但因为这些设备目前各地市节 点部署不同，其对节点要求也不同。 6262 不增加新设备情况下的VPN部署建议（续 ） n GSR12008作为地市节点出口路由器，可以在GSR12008上开通MPLS/VPN 业务，GSR12008即做P路由器又做PE路由器，通过802.1Q连接核心交换 机，通过VLAN TRUNK方式连接下属VPN用户。 n 现网中以OSR7600和B8000组网的核心交换设备目前都不支持VPN业务， 无法当作为MPLS/VPN的PE或P路由器。其中OSR7600需要增加OSM板卡 ，即可在OSM板卡上开通MPLS/VPN业务；但B8000目前不支持 MPLS/VPN。这样在现网条件下开通整体业务需要在思科节点增补部分 核心板卡，对于FOUNDRY节点，需要新增或调整部分设备的使用，建 议增加思科10720作为MPLS/VPN业务设备，其连接原则应并列于现网 B8000设备，作为VPN设备使用，不承载普通业务数据。 n 如果不新增设备或板卡，那目前只能在各地市节点出口的GSR12008上面 实现相应的VPN功能，即出口路由器同时承担P/PE的功能。但从长远上 看，出于网络稳定和扩展性考虑，应该实现P路由器同PE路由器分离， 即对现网中核心思科交换机增加OSM板卡和对FOUNDRY节点增加部分 独立PE设备。 n 对于VPN专线业务用户，需要采用现网中的思科7200系列实现业务接入 ，并通过GSR12008上联骨干。 6363 网络安全优化建议 6464 n 在地市节点的汇聚层交换机部署一台基于网络的入侵检测系统， 并在安全管理中心安装一个集中控制台，统一管理所有的入侵检 测系统,包括配置、策略更新、检测库的升级、报告审核等。 n IDS 网络感应器能实时监控来自网络外部或网络内部的入侵行为 ，并采取记录、阻断、报警等防护措施。 n IDS控制台可以用于数据采集、汇总、Sensor控制等。 n 通过将IDS 网络感应器连接到主交换机上，并且启用交换机的 monitor功能将通过交换机的流量进行流量镜像，所有经过被保护 区域的数据流都被监测到。利用IDS 网络感应器接入交换机对通 过交换机的流量进行实时监测。并且设置IDS 网络感应器的IP地 址，保证网络感应器与控制台间的数据通讯。 n 通过日志审核、敏感文件和参数审核等方式，监控来自网络内部 或外部的对网络的入侵行为，并采取记录、阻断、报警等防护措 施。 6565 n 总之，IDS的主要设计思想是安全风险的“可视”和“可 控”，它可以提供丰富全面的实时状态信息，使用好 IDS的关键是要从这些信息中提取最具有价值的内容并 加以利用，以为企业网络安全管理的决策提供依据。 n 由于IDS作用主要体现在检测网络攻击，进行黑客跟踪 ，所以，会产生大量的日值文件。同时由于目前百兆 IDS不能适应高带宽环境，所以我们不建议在网络入口 处部署IDS系统，而把IDS系统部署在优先保护的网段 （例如：计费、信息发布、网管等），做“移动”式部 署，根据网络情况灵活调整IDS策略和部署的位置，以 增网络内部进行攻击检测和诊断的能力。在未来千兆 IDS成熟方案出现后，再作部署网络入口IDS的考虑。 6666 江西电信网管系统部署建议 n 考虑到现网中设备情况复杂，其网络管理涉及 不同厂家型号和网管支持能力都不尽相同。建 议首先在全网采用线路流量监控系统，后逐步 实施整体业务管理系统。 线路流量监控系统，建议主要涉及目前山东省 网的两个主要部分，省骨干网络互联电路，包 含目前整体网络中各地市同南昌、九江之间的 中继电路；其次各地市中主要互联电路，包含 地市主要设备之间的电路。 6767 n 流量监控可以分为两个部分： 、端口实时监控 对中继电路实时通讯流量的采集监控，主要掌握现网 流量的分布和不同时段业务压力的情况。可以便利的 看到全省业务流量分布和突发流量，便于判断故障节 点。 、端口流量分析 对现网流量采集后分析，了解各节点业务分布。 上述两种流量监控其实施完全不同，前者可以采用现 在比较便利的MRTG方式实现，对设备