【网络工程规划与设计案例教程】项目一_任务3-2_省级电力地调网项目实施文档

1、项目案例星湘电力地调网项目设计与实施目 录1.需求分析1地区调度数据网技术分析及方案介绍1地区调度数据网方案介绍1地区调度数据网方案总结42.网络互联与拓扑结构4拓扑结构与设计概述4核心层设计（H3C SR8808）5汇聚层设计(H3CSR6608)12接入层设计18园区网设计263.网络主要技术指标31链路负载延迟的保障31全网路由的收敛与恢复31详细的分段时延分配31可靠性设计31网络系统的开放性和可扩性设计324.网络协议和路由33网络协议对IPv4与IPV6的支持33路由策略37网络收敛50网络自愈535.地区调度数据网与国调数据网第一平面、第二平面互联互通596.服务质量（QoS）保

2、证60 保证网络时延和时延抖动60QoS队列机制618个等级服务级别保障67 流量监管和流量整形69 细粒度的流类别定义717.MPLS/VPN74MPLS VPN设计74HoPE设计74 分层PE的改进75MPLS技术实施76Mpls流量工程81MPLS实施链路保护和路径保护81Bypass方式的详细介绍84VPN的体系结构标准87二层的MPLS VPN90MPLS VPN的跨自治系统解决方案94对MPLS VPN的支持99MPLS VPN的安全99Mpls VPN中对重叠地址的支持99Mpls vpn中客户路由设计99对多种网络方式接入的支持100对RSVP的支持101项目设备对MPLS的

3、支持1058.IPv6支持106 设备对IPV6的支持106IPv6路由协议支持107IPv4向IPv6迁移方案110IPv4向IPv6迁移时设备的支持112 实施IPv6后整个网络系统的性能1131. 需求分析随着电力系统地区调度业务的迅猛发展，各种调度自动化系统层出不穷，应用范围也越来越向纵深发展。自动化系统间数据交换对数据传输的可靠性、通道可用率、实时业务的传输时延等方面要求越来越高，原先各地区普遍采用的专线或 拨号接入网络的方式，在电力系统的突飞猛进中不堪重负，逐渐落伍。面对电力行业调度领域日益增长的需求，电力调度生产自动化建设成了一股不可逆转的潮流。眼下，信息传输方式重要性日益凸显，

4、全国电力系统都迫切需要建设地区调度数据网，为调度生产提供更安全、可靠、实时地数据传输网络，确保地区电网安全、可靠、稳定、经济的运行。地区调度数据网作为省电力调度数据网的向下延伸，与省级电力调度数据网只是覆盖变电站的电压等级不同，在技术上和设备要求完全与省电力调度数据网相同；同时由于地区数据网是省级电力调度数据网的向下延伸，必须采用行之有效的技术手段解决两级调度数据网的路由控制问题，确保两级调度数据网都可以安全、稳定的运行。1.1 地区调度数据网技术分析及方案介绍1.1.1 地区调度数据网拓扑结构分析目前省级电力调度数据网已经建设完毕，多数都在各个地调配置一台或两台骨干路由器负责接入当地的220

5、KV变电站和电厂，这样对于地区调度数据网中地市核心设备的选择就有两种方式：方式一：与省级电力调度数据网中地调的设备共用，做为地区调度数据网的核心设备 方式二：地区调度网不与省级调度数据网共用设备，新配置一台或两台设备做为地区电力调度数据网的核心设备。而对于的县调/集控站、变电站所就全部新配置设备。方式一的优点：节省经费；但由于地区调度数据网未来会有大量的节点接入，仍旧要扩容板卡。采用这种方式在地区调度数据网进行扩容和产生故障时会对省级调度数据网造成影响，同时会增加省网现有设备的负担，而且可能导致现有设备配置饱和，无法继续扩容。方式二的优点：结构清晰，层次分明，设备负担小；同时地区调度数据网的变

6、化对省网不会产生影响。采用这种方式组网投资会略有增加，但新增设备的投资仅占总投资的很小比例。经过以上比较分析建议在地区调度数据网拓扑结构上选择方式二，使两级调度网络在网络结构上面更加清晰和稳定，确保调度生产业务的稳定运行。1.2 地区调度数据网方案介绍1.2.1 合理解决路由问题由于两级网络的设备同在一个自治域内，采用不跨域方式如何控制两级调度数据网之间的路由发布就成了一个问题，首先不能把地区调度数据网的所有公网路由都发布到省网之中，一旦地区调度数据网路由产生变化会对省网造成巨大的影响，反之也要控制省级调度数据网的公网路由发布到地区调度数据网之中。由于学习到的私网路由的下一跳是发布这条私网路由

7、的PE设备的loopback地址，所以公网上来讲他需要学习到MPLS VPN网络中所有PE设备的路由，起要与每台PE设备的loopback地址之间建立起MPLS标签转发的公网隧道，这就要求学习到每台PE设备的loopback的32位明细路由。路由数量随着PE数量增加急剧上升。上面谈的是公网路由，对于私网路由存在同样的问题，由于MPLS/VPN是一种平面式模型，PE设备无论处于网络的哪个层次，对其性能要求是相同的，由于路由逐层聚合，甚至在PE向边缘方向扩展时，要维护全网的私网路由。公网路由和私网路由这对于核心的PE设备来讲，不是一件困难的事，而一个省的地区调度数据网接入多达几百台，从投资角度考虑

8、通常会采用低端路由器，但是对于边缘的低端PE设备来讲，让其承担全网的公网路由和私网路由负担明显增加，不利于设备的稳定运行。 在地区调度数据网之中采用H3C公司的分层PE技术就可以很好的解决以上问题。分层PE的结构如下图所示，直接连结用户的设备称为下层PE(Underlayer PE或User-end PE，用户侧PE)，简写为UPE，连结UPE并位于网络内部的设备称为上层PE(Superstratum PE或Sevice Provider-end PE，服务运营商侧PE)，简写为SPE。这种框架结构称为PE的分层结构(Hiberarchy of PE)，简写为HoPE。采用分层PE技术后，SP

9、E就成为UPE设备公网路由和私有路由的代理，如此一来，更上一级设备想与UPE互通只需要与SPE互通就可以了。目前，调度数据网域内路由器基本都采用OSPF。原有地调设备在省级电力调度数据网之中已经属于一个OSPF进程，新建的地区电力调度数据网需要再运行一个专门的OSPF进程。地区调度数据网的核心设备属于省级电力调度数据网OSPF进程的骨干区域，同时又属于新OSPF进程中的AREA 0，这样通过采用OSPF多进程的方式来实现公网路由的控制，两级网络只导入各自所需要的路由。将两个OSPF进程的ASBR设置在地区调度数据网的SPE上面，这样下级设备作为UPE就只需要学习上级路由器SPE的公网路由即可。

10、同时，对私网路由采用分层PE技术，可以避免维护全网MPLS/VPN私网路由，UPE仅需要维护本地的路由信息。分层PE技术还可以进行多级嵌套，确保地区调度数据网的接入设通过分层PE技术减少自身设备的压力，最终实现不增加接入设备的投资的情况下确保省级调度数据网与地区调度数据网稳定运行。图1 省级地区调度数据网1.2.2 分层PE的改进在原有的HOPE的实现中，SPE不会向UPE发送明细的VPN路由，而只是发送一条VPNv4默认路由，以使UPE不需要维护大量的路由。发送默认路由的结果是UPE下的一个VPN Site可以访问其它所有PE/UPE下的同一VPN，即在同一VPN内不同汇聚节点下面的变电站可

11、以进行互通，而在某些情况下，用户希望隔离同一VPN下某些Site间的互访，这就需要实现SPE向UPE发送明细路由，而不是默认路由。为此满足电力调度数据网的需求又对分层PE进行定制的开发，在原有向UPE发缺省路由的功能基础上又实现发精确路由，这样就可以根据用户的需求来灵活的调整配置来实现不同的互访需求。1.2.3 可靠性部署项目中启用BFD for OSPF/BGP/VRRP来快速进行网络故障恢复。在地市调度中心和县调度中心的两台核心路由器间，启用BFD for VRRP，加快主备路由器间的切换过程。在县调中心/集控站和变电站的路由器上启用BFD进行链路单通监测，在单通时尽快进行主备链路的切换。

12、在地调核心、骨干和接入路由器上启用GR for OSPF/BGP /LDP。在重新建立网络邻接关系的过程中保持转发平台继续转发并尽量减少路由器或协议重启导致的路由抖动。 1.2.4 分级网管方案地区电力调度数据网作为省级电力调度数据网的一部分，因此地区电力调度数据网中网络设备需要可以被省中心的网管进行管理，对于向调度数据网接入设备数，网络规模比较庞大的网络，往往需要采用多级网管的方式实现对网络的管理，以一个省级网管为例，各地市管理各自设备，同时通过地市网管接口向中心的网管系统传送管理信息，省中心的网管既可以通直接管理设备，也可以调用下属各地市的网管获取信息。在调度数据网的日常网络管理之中设备管

13、理和告警信息管理是最重要的工作，因此省调的网管也要可以对地区调度数据网中的关键设备进行管理，同时也要可以接收关键设备发出的告警，这样才能真正意义的实现分级网管。分级设备管理的部署说明：1、各级管理中心分别部署H3C网管系统，管理各自管理域中的网络设备；2、在省调网络管理系统上可以将地调管理中心网管服务器作为特殊图标网络管理中；3、如果需要对地区调度数据网网络进行管理，可以在省调网管上直接点击地区网管图标。调用地区网管的客户端界面，对地区网络进行检查，定位网络问题，实现端到端管理。对于网络设备告警信息的管理，建议采用如下方式：1、对于地区网络中需要重点关注的设备，可以将地区网络中重点关心的设备加

14、入到上级网络中，同时在地区网管中设置告警转发功能，将重点设备的重点告警（如：端口Up/Down）转发到上级网管，这样当地区网络的重点设备出现问题时，总部的管理员同样可以及时了解并关注。2、对于地区网络中其它的设备，直接通过地区网管进行管理。1.3 地区调度数据网方案总结根据以上对拓扑结构和业务互通方式的详细分析，建议地区电力调度数据网总体方案如下：新增设备做为地区调度数据网核心设备；省级调度数据网与地区调度数据网同属于一个自治系统采用分层PE技术实现路由控制地区调度数据网采用OSPF多进程技术部署分级网管方案实现网络分级管理2. 网络互联与拓扑结构2.1 拓扑结构与设计概述具体拓扑结构如下图所

15、示：图2 网络拓扑结构整体网络构建采用层次化结构设计。由省调核心层设备H3C SR8808与县级汇聚层设备h3c SR6608之间采用多路E1链路捆绑构建高速广域网骨干链路。与各变电站设备MSR3040采用E1链路联接至各县级汇聚层设备SR6608。考虑全网可靠性结构设计，全网均采用双核心，双汇聚，双冗余链路的设计方案，有效避免了单点故障的产生，极大提升了网络的可靠性与稳定性。核心层设备SR8808具有完善的MPLS VPN支持能力，保证MPLS域的延伸，SR8800作为MPLS域的P或PE设备，保证MPLS广域纵向网一直拉伸到局域核心网络，甚至拉伸到接入层面，真正提供“语音、视频、数据”三网

16、合一的端到端服务保证。也能够满足电力地调网今后的MPLS VPN扩展需求。下面章节将对各层结构设计予以详细说明。2.2 核心层设计（H3C SR8808）2.2.1 地调核心网广域网架构省级地调广域网由于地域上覆盖的广阔性，对网络设备的可靠性和安全性要求极高，H3C SR8808完全满足上述组网要求，网络的核心层由SR8808组建，SR8808作为省级核心节点，SR6608做为地市汇聚节点。为了保证网络的安全性，在国家核心、省级节点采用上下行设备分开的设计架构；省级和县级地市节点同时可作为城域网汇聚接入、专线汇聚。图3 网络拓扑结构本方案适用于电力等骨干网络的新建、扩容和改造，全网支持MPLS

17、 VPN。在组建电力地调核心网时，如果骨干网使用全网互联结构不仅浪费线路资源而且运维成本高，推荐使用先进的RPR技术组网。RPR不仅具有快速自愈的弹性保护机制和高效的带宽利用能力，并且还有组网灵活简单的优点，适合于新建城域网的建设。在具体组网设计时，采用SR8808作为骨干路由器组成核心环网，SR8800下行提供高密10GE、GE、FE接口，还能提供其他丰富接口类型，包括E1、POS等，可以直接连接以太网交换机，也可以专线接入。由于SR8808具有完善的MPLS VPN支持能力，保证MPLS域的延伸，SR8800作为MPLS域的P或PE设备，保证MPLS广域纵向网一直拉伸到局域核心网络，甚至拉

18、伸到接入层面，真正提供“语音、视频、数据”三网合一的端到端服务保证。也能够满足电力地调网今后的VPN扩展需求。2.2.2 核心网设备SR8808概述SR8800路由器是H3C公司基于对用户业务应用的充分调研和深刻理解而推出的万兆核心路由产品，主要应用在IP骨干网、IP城域网以及各种大型IP网络的核心和汇聚位置。SR8800核心路由器具有强大的转发性能和丰富的业务特性全面满足用户各种组网应用的需求。SR8800采用了平面分离和三引擎转发的设计理念，通过基于分布式的高性能网络处理器（NP）硬件转发和大容量Crossbar无阻塞交换技术，保障了系统的高处理性能和灵活的扩展能力；通过分布式的专用QoS

19、控制单元，为所承载的核心业务提供精细化控制和端到端服务保证；通过分布式OAM检测引擎，实现了30ms故障检测，保障所承载业务不中断运行。SR8800通过上述创新的高可靠性技术和精细化QoS控制机制充分保证电力多用户多业务流畅运行。2.2.3 产品特点创新的体系架构保障业务的高性能SR8800采用了创新的四平面分离和三引擎转发体系架构，实现了万兆NP平台和Crossbar无阻塞交换技术完美融合，完全满足用户对于业务处理性能和容量的要求。平面分离的架构使系统的管理、监控等功能模块对转发平面的影响降到最小，使转发平面更加专注于对业务的处理，从而实现万兆业务流量线速转发。分布式转发引擎使接口板业务处理

20、实现硬件化，SR8800业务接口板上同时具有NP业务引擎、QoS控制引擎和表检索引擎，通过专用转发控制引擎使原来全部由NP业务引擎处理的表项查找和QoS调度等功能全部交给业务处理板上的表检索引擎和QoS控制引擎来处理，极大加快了业务处理速度，使系统在完成万兆业务线速处理的同时，能够实现精细化QoS调度机制和真正意义上E2E流控。专用的OAM引擎保证业务的高可靠性SR8800在传统的核心路由器双平面（控制平面和转发平面）的基础上，利用专用的OAM引擎设计了一个独特的OAM检测平面，该平面监控网络故障，能够实现30ms的故障检测和20ms的业务切换，保证业务运行不中断。检测平面与控制平面、转发平面

21、相互独立、互不影响，为用户提供了电信级的可靠性。同时，SR8800还支持完善的设备可靠性机制，包括：关键部件11冗余备份、热插拔、热补丁等功能。内置QoS引擎实现精细化业务控制内置QoS引擎支持层次化QoS（H-QoS），可以实现基于端口、用户组、用户及用户业务的多级调度机制，H-Qos和MPLS TE配合可以实现按隧道、按业务进行带宽预留和调度。QoS引擎提供先进的队列调度（PQ、LLQ、CQ、WFQ、CBWFQ）、拥塞避免、流量监管、流量整形、优先级标记等功能，可保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的“区分服务”。QoS控制引擎提供200ms的强大包缓存能力，可解决网

22、络突发流量引起的丢包问题。SR8800的Crossbar交换网支持VOQ和E2E流控技术，可有效避免报文的头阻塞（HOL），并且在Crossbar上实现了报文的“区分服务”。开放业务构架（OAA）满足定制化需求SR8800秉承H3C公司的开发架构设计理念开放应用架构（OAA），提供了开放应用平台（OAP）板卡，以满足后续业务定制和升级的要求，如：嵌入式的FW、IPS等安全插卡，实现了核心路由器和业务应用系统的无缝整合。全面的IPv6解决方案IPv6作为下一代网络的基础协议以其特有的技术优势得到广泛的认可，SR8800全面支持IPv6协议族，支持IPv6静态路由、RIPng、OSPFv3、IS-

23、ISv6、BGP4+等IPV6路由协议，支持丰富的IPv4向IPv6过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术，保证IPv4向IPv6的平滑过。性能卓越的MPLS VPN解决方案SR8800支持全分布式的三层MPLS VPN、VLL和VPLS/H-VPLS业务，能够胜任高性能P/PE应用，提供高品质和多层次的MPLS VPN解决方案。SR8800支持分布式组播VPN，可以满足用户在MPLS VPN网络中方便的开启高性能的组播业务，满足用户的视频会议和远程教学等组播业务需求。完善的安全机制SR8800支持FW、IPS、SSL

24、VPN、ACG、LB等多种安全插卡，通过安全插卡可以将安全功能扩展至路由器的每个端口，使路由器上每个接口都可以提供DoS / DDoS攻击防范、流量监控、URL过滤、应用层过滤等功能，为网络系统提供了强大的安全保障。SR8800支持用户分级管理和口令保护，对登录用户进行认证，并且不同级别的用户有不同的配置权限，用户认证方式包括：AAA认证、RADIUS认证等认证方式等；支持SSHv2.0，为用户登录提供安全加密通道；支持标准和扩展ACL，可以对报文进行过滤，防止网络攻击；支持主机防火墙功能，防止攻击；支持URPF技术，防止基于源地址欺骗的网络攻击行为。高性能NATSR8800支持分布式和集中式

25、NAT，并且支持多块业务板负载分担方式来提高整机NAT性能。SR8800支持丰富的NAT特性，包括NAT、NAPT、内部服务器、ALG、黑名单、NAT多实例等，支持多ISP出口、内部服务器负荷分担等策略，支持双向NAT和两次NAT，完全满足用户各种NAT组网应用。网络流量分析SR8800支持分布式和集中式Netstream。SR8800 Nestream支持采样功能和流量统计功能，支持V5、V8和V9多种日志格式，与iMC的日志审计系统配合，为用户提供完整的网络流量分析解决方案；支持向主、备服务器同时发送日志，防止统计信息丢失。网络业务分析使原本不可见的网络业务应用流量变得一目了然，可以为用户

26、提供多种网流分析报表，帮助用户及时优化网络结构，调整资源部署。2.2.4 规格如下表所示：引擎交换容量240Gbps整机包转发率144Mpps360Mpps576Mpps864MppsIPv4支持静态路由、RIP、OSPF、IS-IS、BGP-4等 支持等价路由支持策略路由支持路由策略支持GRE、IPv4 in IPv4等隧道功能IPv6支持IPv4和IPv6双协议栈支持IPv6静态路由、RIPng、OSPFv3、IS-Isv6、BGP4+支持VRRPv3支持Neighbor Discovery Protocol、Path MTU Discovery支持Ping v6、Telnet v6、FT

27、Pv6、TFTPv6、DNSv6、ICMPv6支持IPv4向IPv6的过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道支持等价路由支持策略路由支持路由策略组播支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP 、Any-RP等路由协议，组播组数可达32K支持IGMP V1/V2/V3、IGMP Snooping v1/2/3支持PIM6-DM、PIM6-SM、PIM6-SSM支持MLD(Multicast Listener Discovery) V1/V2、MLD Snooping v1支持组播策略和组播QoS支持交换网和业

28、务板两级组播复制功能，达到最优的组播性能MPLS VPN支持P/PE功能，符合RFC2547bis协议支持三种跨域MPLS VPN方式（Option1/Option2/Option3）支持分层PE（HoPE）支持多角色主机支持martini/kompella方式VLL，实现点到点的二层MPLS VPN功能支持martini/kompella方式VPLS/H-VPLS，实现点到多点的二层MPLS VPN功能支持MPLS TE/FRR，FRR切换时间小于50ms支持分布式组播VPNPPP支持LCP/PAP/CHAP等协商功能支持MPACL支持标准和扩展ACL支持Ingress/Egress ACL

29、支持VLAN ACLQoS支持Diff-Serv QoS和Inte-Serv QoS支持层次化QoS（H-QoS），支持PQ/LLQ/CQ/WFQ/CBWFQ等队列调度机制支持精细化的流量监管支持流量整形Shapping支持WRED拥塞避免支持优先级标记Mark/Remark支持802.1p、TOS、DSCP、EXP优先级映射支持VOQ以太网功能支持802.3d(STP)/802.3w(RSTP)/802.3s(MSTP)支持IEEE 802.3ad（链路聚合）、静态端口聚合和跨板链路聚合支持端口镜像和流镜像功能RPR支持跨板RPR支持/10G支持Wrapping和Steering两种保护方式

30、，硬件自愈时间小于50ms支持动态选环机制和静态选环机制，提高带宽利用率支持节点拓扑自动发现机制支持加权公平算法，智能分配带宽支持A0/A1/B0/B1/C五类业务等级，A0类业务可以全环预留带宽，实现精细化的QoS接口类型支持10/100/1000BASE-TX、100BASE-X、1000BASE-X、10GBASE-R/W、OC-48c RPR、OC-192c RPR、OC-3c POS、OC-12c POS、OC-48c POS、OC-192c POS、OC-3 CPOS 通道化E1/T1、OC-3 CPOS 通道化E3/T3、OC-3 CPOS 通道化E1/T1/E3/T3、OC-1

31、2 CPOS 通道化E3/T3、OC-48 CPOS 通道化OC-3、E1/T1、OC-3c ATM、OC-12c ATM等接口类型网络流量分析支持V5/V8/V9日志格式支持采样功能和流统计功能支持多日志主机功能支持多块NetStream单板负载分担NAT支持多块NAT单板负载分担支持NAT、NAPT，支持NAT/NAPT多实例支持双向NAT和两次NAT支持NAT日志功能支持黑名单功能支持内部服务器支持应用层网关ALG防火墙支持防DOS/DDOS攻击支持防SYN Flood、UDP Flood、ICMP Flood、HTTP Get Flood、Land、Smurf、Fraggle、WinN

32、uke、Ping of Death、Tear Drop、TCP 标志位异常、地址扫描、端口扫描、Java/ActiveX Blocking和SQL注入等攻击支持ASPF支持NAT支持ALG支持虚拟防火墙支持安全区域支持黑名单支持L2TP支持IPSec可靠性专用的硬件化OAM监测引擎，可以实现30ms链路监测关键部件主控板和电源均支持11冗余备份背板采用无源设计，避免单点故障各组件均支持热插拔功能支持各种配置数据在主备主控板上实时热备份支持热补丁功能，可在线进行补丁升级支持NSF/GR for OSFP/BGP/IS-IS/LDP/RSVP等支持MP、ETH端口聚合，支持链路跨板聚合支持跨板的R

33、PR硬件环网保护机制，业务自愈时间小于50ms支持BFD for BGP/IS-IS/OSPF/RSVP/VPLS PW/VRRP等，实现各协议的快速故障检测机制，故障检测时间小于30ms支持IP FRR、TE FRR，业务切换时间小于50ms网络可用度为99.999%安全性支持用户分级管理和口令保护支持SSHv2，为用户登录提供安全加密通道支持标准和扩展ACL，可以对报文进行过滤，防止网络攻击支持防止ARP、802.1x、未知组播报文、广播报文、未知单播报文、本机网段路由扫描报文、TTL=1报文、协议报文等攻击功能支持主机防火墙功能支持MAC地址限制、IPMAC绑定功能支持URPF技术，防止

34、基于源地址欺骗的网络攻击行为支持IEEE 802.1x和IEEE 802.1x SERVER支持Portal认证、支持Radius支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证支持安全网管SNMPv3、SSHv2支持广播报文抑制支持主备数据备份机制支持FW、IPS、SSL VPN、ACG、LB等安全插卡系统管理支持Console/AUX Modem/Telnet/SSH2.0 命令行配置支持FTP、TFTP、Xmodem、SFTP文件上下载管理支持SNMP v1/V2/V3支持RMON v1，支持1、2、3、9组支持NTP时钟支持NQA(Network Quality An

35、alyzer)系统管理支持故障后报警和自恢复支持数据日志2.3 汇聚层设计(H3CSR6608)2.3.1 网络结构拓扑结构如下所示：国调网核心省调网核心县级汇聚层变电站接入层SR8808SR6608MSR3040E1E1E1MSR3040MSR3040MSR3040nxE1OSPF AREA 0area 100area 200area 300area 400图4 拓扑结构本组网中SR6600路由器可以提供高密度的以太网接口，以SR6608为例单业务槽位最高可以提供48个千兆接口，整机最大可以提供384个千兆接口及多种类型广域网接口，非常适合电力行业的汇聚层组网应用。本组网中：使用两台SR66

36、08作为省调网核心的下联路由器，与网点之间采用点到点（即每一个网点对应SR6608上一个独立的物理接口）连接，这样可以提高连接的可靠性，方便网络的运行维护。两台SR6616与各变电站网点路由器之间运行OSPF路由协议，并通过OSPF做业务分流，生产业务以左侧的SR6608为主用链路，其它业务以右侧的SR6608为主用链路，两台SR6616之间互为备份。为了解决广域网链路故障无法感知的问题，在汇聚的SR6616与网点路由器之间部署BFD，并且和OSPF进行联动，这样一旦广域网链路故障两端的路由器都能够迅速感知并触发OSPF协议收敛，实现业务快速切换。2.3.2 产品特点业界首款多核高端路由器SR

37、6600是业界首款基于多核多线程技术架构的高端路由器，具备高性能、易编程、灵活的L4-L7层业务应用等特点。多核多线程处理器的应用，使网络设备的性能和灵活性得到极大提高，其良好的可编程性和易用性，使SR6600对未来的新业务具备快速响应能力和良好的适应能力，满足用户在路由器上实现多业务扩展的需求。SR6600路由器在系统架构设计上把链路层业务和安全业务利用硬件进行加速处理，从而使多核处理器核心资源更专注于关键的L4-7深度业务处理。先进的全分布式处理架构SR6604、SR6608、SR6616采用了全分布式处理架构，路由引擎和业务引擎硬件分离，所有引擎上控制平面和业务平面分离，确保系统全速运行

38、时业务和控制互不干扰，主备倒换时业务不中断；各业务引擎可独立完成NAT、IPSec、Netstream等业务的分布式处理，在提高系统的整体处理能力的同时又保证了各业务的高可靠性。开放应用架构（OAA）的设计理念SR6600秉承H3C公司的开放架构设计理念开放应用架构（OAA），先后推出了专用的硬件防火墙板、SSL VPN业务板、IPS业务板、ACG业务板等多业务板卡，满足了用户对安全的多种业务需求。OAA架构良好的扩展性可以更好地满足用户后续L4-L7层业务定制和升级，实现高端路由器的业务增值，加速IP网络向智能化方向发展。高密度的SDH及MSTP汇聚能力SR6600路由器可提供高密度的OC-

39、3/STM-1的通道化POS 接口，并支持通道化到E1/T1或者DS0，提供业界领先的、高密度的E1、DS0线速汇聚能力，其窄带接入容量、密度以及性能均达到业界领先水准。SR6604、SR6608、SR6616支持高密度以太网接口模块，单业务槽位最大可以提供48个千兆接口的接入能力，能够充分满足各行业对高密度以太网（MSTP）链路汇聚能力的需求。SR6600的高密以太网接口模块的所有端口均支持完善的IP路由、转发、MPLS、安全、QOS、组播和IPv6等特性。硬件支持PPP多链路捆绑SR6600提供的高速CPOS模块能够给用户提供硬件MP功能。SR6600作为广域网汇聚节点时，用户通过采用高性

40、能CPOS模块对下行E1或者T1链路实现硬件PPP多链路捆绑；在保证数据线速转发的前提下实现MP报文重组、分片等功能。业界领先的加密性能SR6604、SR6608、SR6616全部的业务引擎（FIP-200/210、FIP-100/FIP-110、SAP-48GBE/SAP-24GBP）通过内置硬件加密，实现了高性能分布式IPSec加密。在不增加用户任何投资的前提下提供强大的数据加密能力，保证用户数据在广域网和内部网络的安全传输。SR6602业务网关路由器通过内置硬件加密，实现高性能的数据加密，保证用户数据在广域网和内部网络的安全传输。丰富的业务特性强大的QoS能力是网络业务流畅运行的重要技术

41、基础。SR6600支持完善的QoS解决方案，提供先进的队列调度、拥塞避免、拥塞管理、流量监管、流量整形、优先级标记等功能，可精确保证不同业务的带宽、时延、抖动和丢包率，满足不同用户、不同业务等级的“区分服务”的要求。SR6600支持高性能NAT、L2TP、GRE等业务特性，支持Firewall、ASPF、URPF等多种安全特性，提供NetStream报文统计功能，并针对不同的流信息进行独立的数据统计，为用户提供可视化的网络流量管理，方便开展网络规划、安全监控、流量计费等业务。SR6604、SR6608、SR6616实现上述所有业务的分布式处理，有效提高了整机的业务处理能力和可靠性。强大的路由处

42、理能力SR6600支持IPv4/IPV6的静态路由及动态路由协议，包括RIP/RIPng、OSPF/OSPF v3、IS-IS/IS-IS v6、BGP/BGP4+。SR6600同时支持丰富的策略路由和路由策略，可对网络流量进行灵活的控制和调度，满足企业网和运营商组网需求。强大的MPLS功能SR6600支持全面的MPLS协议，支持二层、三层的VPN业务，支持MPLS TE等功能。能够和H3C公司其他网络产品一起组成强大的MPLS网络，提供高性能、安全和多层次的MPLS VPN解决方案。电信级可靠性设计SR6600秉承了高端路由器分布式体系架构，将控制平面和业务平面分离，确保系统全速运行时业务转

43、发和控制互不干扰。从而保障主备倒换时业务不中断。SR6600各关键部件如主控板、电源、管理总线全部为冗余热备份，实现基于状态的热切换。所有组件支持热插拔；提供热补丁技术，实现软件平滑升级。支持MPLS TE FRR（Fast ReRoute ，快速重路由），具备快速路由备份（FRB：Fast Routing Backup）特色功能，并结合BFD功能，实现故障链路的快速切换。支持IP FRR（Fast ReRoute ，快速重路由），可以和静态路由/策略路由/RIP/IS-IS/OSPF进行联动，并可以结合BFD功能，实现故障链路的快速路由切换。 支持IGP快速收敛。支持虚拟路由冗余协议（VRR

44、P），结合BFD故障检测机制，实现快速的VRRP倒换能力。支持OSPF/IS-IS/BGP/MPLS LDP/MPLS RSVP-TE GR (Graceful Restart，完美重启)功能实现主备引擎倒换时不间断转发。安全、灵活的设备管理SR6600支持用户分级管理和口令保护、包过滤、防恶意报文攻击、控制平面限速，对登录用户进行认证（包括本地认证、RADIUS认证和TACACS认证），并且不同级别的用户给予不同的配置权限，充分保证了设备在网上的安全运行。在用户管理上，SR6600支持外置CF卡、Host USB和Device USB接口，在满足用户日益增长的存储容量需求的同时方便了用户采用

45、不同的接口进行设备管理。2.3.3 产品规格产品规格交换容量48Gbps240G/640G整机包转发率48Mpps144Mpps336MppsIPSec加密性能3Gbps 6Gbps 12Gbps24Gbps二层协议l ARP：动态和静态ARP、代理ARP、免费ARPl 以太网、子接口VLANl PPPoE Serverl PPP、软件MP、硬件MPl FR、MFR、FRF12分片、FR交换l HDLCl ATM：IPoA、PPPoA Server、IPoEoA、PPPoEoA Serverl QinQ终结l VLAN：VLAN/Super VLAN Voice VLAN /VLAN Mapp

46、ing等l 端口隔离l DLDP/LLDPl Layer2 protocol tunnel（BPDU tunnel）l GARP/GVRPl STP/RSTP/MSTPl IEEE802.3ad LACP二层聚合l 广播风暴抑制l 端口镜像IP服务l TCP、UDP、IP Option、IP unnumberl 策略路由l 三层以太网接口捆绑l POS接口捆绑 IP路由l 静态路由l 动态路由协议：RIPv1/v2、OSPFv2、BGP、IS-ISl 路由迭代l 路由策略l ECMP（等价多路径）l UCMP（非平衡链路负载均衡）IPv4组播l IGMPv1/v2/v3l IGMP Snoop

47、ingl PIM-DM、PIM-SM、PIM-SSMl MSDPl MBGPl 组播静态路由l 组播主机跟踪功能IP应用l DHCP Server/Relay/Clientl DNS Clientl NTP Server/Clientl Telnet Server/Clientl TFTP Clientl FTP Server/Clientl UDP HelperIPv6l 基本功能：IPv6 ND、IPv6 PMTU、双栈转发、IPv6 ACL、DHCPv6 Server/Proxyl IPv6隧道技术：IPv6手动隧道、IPv6-over-IPv4 、GRE隧道、IPv4兼容IPv6自动隧

48、道、6to4隧道、ISATAP隧道、6PEl 6VPE（IPv6 MPLS L3VPN）l NATPTl 静态路由l 动态路由协议：RIPng，OSPFv3，IS-ISv6，BGP4+l IPv6组播协议：MLDv1/v2、PIM6-DM、PIM6-SM、PIM6-SSMQoSl 流分类：基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等l 流量监管：CAR限速，粒度可配l 基于目的地址或者源地址的限速（支持网段限速）l GTS流量整形l 优先级Mark/Remarkl 各种队列调度机制 ：FIFO、PQ、CQ、WFQ、RTPQ、CBWFQl 拥塞避免

49、算法：Tail-Drop、WRED l LR速率限制l MPLS QoSl IPv6 QoSl 层次化QoS（H-QoS）l QPPB（QoS Policy Propagation on BGP）安全特性l ACL访问控制列表l ACL加速l 基于时间的访问控制l 包过滤防火墙l 状态防火墙ASPFl 本机TCP防攻击l 控制平面限速l 虚拟分片重组l URPFl Web过滤l 用户分级管理和口令保护l AAA认证、授权、计费l RADIUS l TACACSl Portal认证（支持与EAD联动，Portal逃生和双机热备）l 认证（支持与EAD联动）l MAC地址认证l PKI证书l l

50、RSAl IPSec、IPSec多实例、IKEl BGP/BGP4+支持GTSMl Password Control专用业务处理l NAT、NAT多实例、VPN NAT、NAT日志l 连接数限制l GRE隧道（支持点到多点应用）l L2TP隧道l NetStream支持 v5/v8/v9报文格式、支持IPv4/IPv6/MPLS报文统计l SFlowl SSL VPNl DVPN（Dynamic VPN）MPLSl L3VPN：跨域MPLS VPN（Option1/2/3）、嵌套MPLS VPN、分层PE（HoPE）、CE双归属、MCE、多角色主机等l L2VPN：VPLS、Martini、K

51、ompella、CCC和SVC方式l VPLS/H-VPLSl MPLS TE、RSVP TEl 组播VPN可靠性l VRRP /VRRP v3 虚拟路由冗余协议l VRRPE（VRRP增强）l MPLS TE FRR（Fast ReRoute，快速重路由）l IP FRR（Fast ReRoute，快速重路由）：静态路由/策略路由/RIP/IS-IS/OSPFl IGP路由快速收敛l BFD：Static Route/RIP/OSPF/ISIS/BGP/VRRP/TE FRR/IPv6l GR：OSFP/BGP/IS-IS/ LDP/RSVPl RRPP（Rapid Ring Protect

52、ion Protocol，快速环网保护协议）l Smart Linkl 以太网OAM（Operations, Administration and Maintenance，操作、管理和维护）l 软件热补丁支持接口模块的热插拔支持主备倒换，支持主控板、业务引擎及接口模块、电源、风扇框的热插拔管理与维护l 通过命令行配置l 通过Console口进行配置l 通过以太网端口利用Telnet进行配置、远程维护l 通过AUX口利用Modem拨号进行配置、远程维护l 通过SNMP进行配置和管理（SNMP v1/v2c/v3）l 通过Web浏览器进行配置和管理l 支持RMON（ 1，2，3，9组MIB）l 支

53、持系统日志l 支持分级告警l Ping、Tracertl NQA：支持网络质量分析，支持与VRRP、策略路由、静态路由联动l 风扇状态检测、维护和告警l 电源状态检测、维护和告警l CF卡状态检测、维护l 环境温度变化检测、告警文件系统l 支持FAT格式的文件系统l 支持CF卡l 支持USB外接存储设备l 支持Dual Image加载与升级l 通过XModem协议实现加载升级l 通过FTP、TFTP实现加载升级2.4 接入层设计2.4.1 网络结构电力省调网中采用MSR 3040路由器实现IP化终端、串口终端接入功能及E1连接功能。图5 拓扑结构在各变电站点节点，使用MSR 3040路由器并通

54、过双E1链路连接汇聚层，内网以通过以太网交换模块或固定的以太网交换接口连接支持IP协议的终端MSR路由器为电力用户提供SIP等主流语音通讯协议，实现紧急呼叫/掉电求救/拨号策略/ /E-PHONE等各种语音业务和包括FXS/FXO/VE1/VT1等丰富的语音接口类型。MSR路由器采用可扩展架构，DSP资源整机统一分配，极大提高了DSP资源的利用率，增加了接入的密度，实现本地用户的TDM交换，一方面可以保证语音的质量，另一方面避免了本地通话对DSP资源的占用，节约了DSP资源。对于不需要语音业务的用户，MSR提供了灵活的扣卡结构设计方案，为用户节约了投资。MSR路由器实现了路由交换一体化设计和实现，用户可以无缝地使用路由器和交换机的所有特性。2.4.2 设计概述在接入层选用H3CMSR3040（Multiple Services Routers）多业务开放路由器先进的软件结构与硬件平台，能够在最