长沙联通三网融合方案.doc

长沙联通三网融合方案一、 网络现状介绍 长沙IP城域网现状目前长沙市IP城域网分为核心层、汇聚层和接入层。 1. 核心层核心层网络结构核心层设备有二台出口路由器和一台汇聚分流路由器组成。荷花园、河西出口路由器各自上行至China169和CNCnet，友谊汇聚分流路由器通过2.5GPos口上行至荷花园和河西目前长沙城域网总拓扑： 城域网出口流量情况：2. 汇聚层汇聚层网络结构汇聚层设备由七台贝尔7750路由器、三台华为ME60分布式BARS和三台华为NE40路由器组成。7750汇聚层路由器上联至长沙三台贝尔7750骨干路由器，再分别上行至China169和CNCnet，骨干层和汇聚层设备均安装在各个中心机房。本层主要提供专线用户和网吧用户的接入。长沙城域网汇聚层网络拓扑：3. 接入层接入层网络结构接入层设备由ME60，城市热点防私接设备（用于校园接入，串接在ME60和核心7750中间）,华为3552/S7810/S9306二层交换机, DSLAM设备和楼道交换机组成。本接入层用于面向CPN，楼宇小区，校园提供宽带接入服务。长沙城域网CPN接入拓扑：二、 三网融合目标网络架构1. 业务驱动网络带宽需求三网融合的通信网络将是一个覆盖全球、功能强大、业务齐全的信息服务网络，即为全球一体化的综合宽带多媒体通信网。而这一网络结构应是一个统一完整的结合体系，为全球任一地点，采用任何终端的用户提供综合的语音、数字、图像等多种服务。它将是以IP协议为基础，所有网络将向以IP为基本协议的分组网统一。因特网的广泛业务，诸如电子邮件、文件传输、远程登录、全球WWW浏览，已使因特网成为人们广为利用的网络技术，而未来的网络是集语音、数据文字、图像视频于一体的综合网络，因特网是实现这一网络综合化的基础，也是实现三网融合的综合业务平台。根据业务发展情况，用户对带宽的要求也会逐步提高，中短期用户带宽预测：低端用户12M，高端用户36M，远期，考虑到多路高清IPTV 和其他高质量业务需求，接入网应具备提供50100Mb/s 下行带宽的能力。具体需求可参考下表：业务下行带宽上行带宽高速率用户需求中低速率用户需求HDTV610M50k2路下行带宽30M左右； 1路HDTV或2路SDTV下行带宽812M SDTV23M50K2路上行带宽512K-4M上行带宽512K4M视频通信512K2M512K2M2M10M1M2M网络游戏256K1M256K1M256K2M256K1MIP话音100K100K2路256K2M2路256K1M高速上网26M512K-1M2M20M1M2M2. 三网融合业务对承载网的需求多业务融合，高质量IP网络，支持所有业务接入：数据、话音、视频、TDM/ATM专线、移动等；大带宽的用户接入和汇聚，用户带宽目标20100Mbps，以及无线宽带；不中断的业务传送，要求网络高度可靠，故障恢复时间在ms量级实施端到端的QoS；保证话音和视频等实时业务的传送质量；未来移动话音网络的质量要求更高；更高的网络传送效率，IPTV视频流会占用大量的带宽，要支持组播，提高网络对IPTV传送的带宽资源效率基于策略的业务接纳允许控制；更好的全网带宽资源的使用策略，控制不同等级的业务和用户的业务请求，动态业务识别网络安全和内容保护；保证合法用户才能收到内容，保证网络不受黑客和病毒的影响。3. 现网存在的问题目前使用的小三层交换机S3552的业务能力较弱，无法提供VPN业务支持能力，对QOS支持较差，抗攻击能力差；BAS设备接入网用户识别能力弱，未实现对用户的严格绑定；EPON设备上线后GE端口不足；接入端大量使用ADSL接入，带宽严重不足。网络接入层上行带宽普遍为100M，也需要扩容。三、 建设方案1. 网络结构为完善网络结构，清晰网络层次，先期拟定了网络结构如下：同时要实现话音、宽带、视频的固定移动业务融合；统一用户数据库实现高带宽、高质量、高可靠的承载网；网络资源精确管控 核心承载层 大容量：大容量的系统交换，高速端口 高可靠：设备级和网络级可靠性 业务能力：MPLS VPN 进行业务传送，QoS ，TE 安全性：网络和业务安全性 业务承载层 业务网关：IPoE/DHCP 多业务网关 带宽控制：针对每用户和每业务的层次化QoS控制 用户管理：对高速上网、IPTV和VoIP用户的管理、认证、计费 接入层 大带宽接入：向全光用户接入发展（100Mbps），光进铜退 融合业务终端：家庭网关提供多业务的融合接入能力 完善的管理：统一集中管理；业务部署和保障的管理接入层目标模型，通过家庭网关实现多业务接入。2. QoS部署核心及汇聚层采用RSVPDifferServ机制，在二层汇聚设备上开启QoS,对每个用户的不同种业务类型，分别进行QoS控制。接入DSLAM及LAN交换机可根据PVC/VLAN隔离业务，采用802.1p调度、端口多优先级队列、端口限速等，用户终端设备支持802.1P标记。目前城域网中实施QoS策略可以主要出于两个目的，一是提供对大客户或商业客户的差异化服务，二是对今后的IPTV以及NGN/3G业务提供服务质量保证。实际上从QOS的角度来讲，彻底保证上述关键业务的服务质量应该要端到端的解决方案，这其中包括L2接入网络的QOS保证。在目前的网络扩容改造的程度下，二层网络可以暂时采用轻载方式，而对每个用户业务的QOS控制从汇聚节点做起，让汇聚节点起到业务控制点的作用。长沙联通IP网中以汇聚节点层面为分界点，汇聚节点下联方向为业务接入侧，上连方向为网络核心侧，在Diffserv框架中，业务接入侧和网络核心侧各自执行不同的QOS策略，即在业务接入侧对业务敏感，在网络核心侧只对服务等级敏感而对业务不敏感，同时业务接入侧的策略执行是网络核心侧QOS策略的基础，从目前的QOS技术来看，网络核心侧策略的实现相对来说比较简单，而实现起来最难最杂的地方是业务接入侧的策略。由于对于每个用户业务的QOS控制在业务接入侧实现，因此汇聚节点针对每个用户业务的QOS控制的支持能力非常重要，只有真正实现了基于每个用户业务的控制，才有可能真正实现对每个用户业务的SLA保证，这一点也要求汇聚节点能够提供足够的队列资源，并能够为每个用户业务中的各个服务等级的数据流分配各自独立的队列进行承载和带宽控制。业务接入侧的策略要求汇聚节点主要完成下述处理：业务区分、QOS分类（服务等级区分）、带宽公平控制和服务等级映射。对于商业客户的高速上网和各种VPN业务，包括VPLS业务，上述处理均是有效的。不同类型的业务使用的QOS区分条件内容不尽相同，对于MPLS L3 VPN和Internet接入的用户业务，主要根据区分条件中的L3/4信息进行服务等级区分，例如源/目的IP地址，源/目的L4端口号，协议类型等，当然也可根据用户数据包中原有的DSCP字段值进行区分。对于MPLS L2 VPN的用户业务，可根据L2/3/4信息进行区分，同时还可根据用户数据包中原有的802.1p字段值和DSCP字段值进行区分。带宽控制对用户的流量控制应能够在业务接入的Ingress和Egress两个方向上进行，因此业务路由器应能在Ingress和Egress两方向上对每个具体用户业务进行服务等级细分的流量控制，这要求业务路由器能够在Ingress和Egress两个方向上为具体用户业务提供多个服务等级的队列，进行双向多等级应用流量的带宽控制。由于汇聚负责商业用户的各种城域网业务的发起和终结，因此对每个具体业务Ingress和Egress方向上的带宽控制应能够在汇聚节点上完成，这一过程实际是流量整形的过程。汇聚节点对业务流量的带宽控制需要作到：n 能够针对每个具体的用户业务进行控制。n 对于需要细分不同服务等级的应用流量的用户业务能够针对同一业务中不同服务等级的应用流量进行控制。n 能够控制来自不同用户的不同服务等级流量的总的带宽分配，特别是保证实时业务（如话音和视频流量）的带宽资源。n 对每个需要控制的数据流对象提供保证带宽和突发带宽的限制。n 在满足每个用户申请的SLA总带宽的条件下，该用户的不同业务和一个业务中的不同服务等级应用流量除获得保证带宽外还可在SLA总带宽的范围内从剩余带宽中获得突发带宽。n 每个数据包经过流量控制后业务路由器能够识别数据包的服务等级以及In-profile和Out-profile属性，并将服务等级和In-profile/Out-profile属性映射在数据包头的DSCP和EXP位提供给城域网核心，进行下一步在城域网核心中的基于Diffserv的PHB转发。n 丢包机制可基于每个具体的业务实施，能够先丢弃低服务等级的数据包，再丢弃高服务等级的数据包n 上述控制能够在业务接入的Ingress和Egress方向同时实施。n 带宽控制处理必须以线速实现，不会对核心节点的设备性能造成任何影响。上述要求需要汇聚节点必须提供足够的队列资源承载不同用户的不同服务等级的流量，必须提供灵活的带宽调度机制保证不同用户业务之间，不同服务等级的流量之间的带宽的公平分配，这对和其它数据业务同时承载在一个城域网平台上的NGN等实时业务来说尤为重要。3. 组播对IPTV类组播业务，网络架构应该是具备全网组播支持能力，以满足未来开展大规模IPTV等业务的需要。要实现全网组播，必须改变现在这种过分依赖BRAS进行PPP认证的组网模式。对于组播业务，DHCP认证方式更合适。只有部署此方式，才能实现全网组播模型。建议IPTV采用DHCP模型。7750和DSLAM 都参与到IGMP snooping/proxy。因此组播是分布到整个网络上的。瓶颈不会集中在一个单独的SR上。这样就减少了SR上的组播的负载，也节省了L2层网络上的带宽。部署多种业务边缘设备，而不是依赖于单一的边缘设备提供所有类型的业务。这使得能够更快地实现IPTV业务的市场推广和部署，并保留基于PPPoE的互联网运营模式，尽可能地降低对现有用户的冲击。对于现网情况，已经设计部署5台8512三层交换机作为业务接入和透传，另外在汇聚层的7750SR业务路由器具有强大的三重播放支持能力，因此对于少量的IPTV用户（1000户以内），现网已经完全可以支持。对于进入快速业务发展阶段，在对现网进行优化扩容以支持更多的IPTV用户，或者单独建网来承载IPTV和大客户专线业务。4. 和广电及其他网络对接为实现多业务运营，真正实现三网融合，结合联通公司特点，我们将建立一套全业务运营网络，和其他业务网络实现对接，具体网络对接可参考下图模式。 四、 网络安全1. 流量检测由于互联网的安全问题越来越多，越来越严重，进行必要的安全检测和防范措施时非常必要的。采用流量镜像时较为常规也是非常有效的的监控方案。可以在核心层7750设备上做流量镜像，将出口的流量本地或远程镜像到监控应用服务器。由监测软件本地处理被监控流量，作出分析和输出所需数据和报表，以供维护人员判别定位、处理故障。以及日常的数据分析。这种方式不会影响业务数据，也不会对网络造成阻塞和时延。目前长沙分公司拥有流量监控2.5G*4的监控能力，计划扩容为10G*4的监控能力。2. 安全过滤策略考虑到未来全网规模庞大，必须采取相应的安全过滤机制，从路由信息、登陆控制、日志、防DdoS攻击、防范特定针对协议如SNMP攻击等多方面建立完善的制度，同时从安全建设角度出发，安全过滤作为整个体系的一个部分。针对安全过滤我们建议采取如下的策略：n针对IGP，如OSPF和IS-IS配置控制机制，配合分配列表等对路由的宣告进行控制；n对SNMP信息的采集配置范围进行严格的控制；n对登陆范围、登陆人员进行严格的范围控制；n针对BGP和IGP配置认证机制，采用MD5进行对口令的加密；n对部分IGP配置passive-interface，控制路由的宣告范围；3. 实施网管实时监控管理完善城域网网管建设，对接入网和数据网设备管理和实时监控，对全网设备实施统一管理，网管系统集中放置，提高管理效率和有效性。网管系统可做到实时监控和管理设备，真正实现宽带城域网的可运营、可管理，为维护带来方便，提高工作效率，节约故障定位时间。对全网升级，增强业务功能特性，提高设备稳定性。功能需求：城域网网管：异常流量告警、端口告警、设备状态远程查看、数据远程备份、远程集中数据制作、流量统计、流量分析、时延和丢包率异常告警、端口利用率统计、病毒和攻击定位、各类设备实现统一平台管理等接入网网管：异常流量告警、端口告警、设备状态远程查看、数据远程备份、远程集中数据制作、流量统计、时延和丢包率异常告警、端口利用率统计、在线用户实时查看、峰值用户数统计、以后逐步实现对各接入设备如PDH、光电转换器等的网管，实现对直接接入用户的设备进行网管、各类设备实现统一平台管理等。接入网实行分片网管。4. 实施