电广播电视宽带综合信息技术建议书

1、株州市播送电视宽带综合信息网数据平台技术建议书华为技术目 录 TOC o 1-3 h z u HYPERLINK l _Toc41729694 1.方案建议 PAGEREF _Toc41729694 h 4 HYPERLINK l _Toc41729695 技术建议书编制的依据 PAGEREF _Toc41729695 h 4 HYPERLINK l _Toc41729696 建设目标 PAGEREF _Toc41729696 h 4 HYPERLINK l _Toc41729697 业务分析 PAGEREF _Toc41729697 h 4 HYPERLINK l _Toc41729698

2、建设原那么 PAGEREF _Toc41729698 h 5 HYPERLINK l _Toc41729699 华为公司解决方案 PAGEREF _Toc41729699 h 6 HYPERLINK l _Toc41729700 2.网络平安措施 PAGEREF _Toc41729700 h 19 HYPERLINK l _Toc41729701 网络平安策略 PAGEREF _Toc41729701 h 20 HYPERLINK l _Toc41729702 网络各层设备平安性考虑 PAGEREF _Toc41729702 h 20 HYPERLINK l _Toc41729703 网络平安

3、措施 PAGEREF _Toc41729703 h 20 HYPERLINK l _Toc41729704 3.路由协议与策略 PAGEREF _Toc41729704 h 21 HYPERLINK l _Toc41729705 4.IP地址规划 PAGEREF _Toc41729705 h 23 HYPERLINK l _Toc41729706 5.用户认证 PAGEREF _Toc41729706 h 26 HYPERLINK l _Toc41729707 WEBVLAN认证 PAGEREF _Toc41729707 h 26 HYPERLINK l _Toc41729708 8021X认

4、证 PAGEREF _Toc41729708 h 27 HYPERLINK l _Toc41729709 6.强大的QoS PAGEREF _Toc41729709 h 28 HYPERLINK l _Toc41729710 强大的流分类功能 PAGEREF _Toc41729710 h 28 HYPERLINK l _Toc41729711 二层QoS功能 PAGEREF _Toc41729711 h 28 HYPERLINK l _Toc41729712 三层QoS功能 PAGEREF _Toc41729712 h 29 HYPERLINK l _Toc41729713 7.网络可提供的业

5、务 PAGEREF _Toc41729713 h 29 HYPERLINK l _Toc41729714 根本业务 PAGEREF _Toc41729714 h 29 HYPERLINK l _Toc41729715 扩展业务 PAGEREF _Toc41729715 h 30 HYPERLINK l _Toc41729716 8.VPN PAGEREF _Toc41729716 h 30 HYPERLINK l _Toc41729717 华为MPLS/BGP VPN解决方案特点 PAGEREF _Toc41729717 h 31 HYPERLINK l _Toc41729718 华为公司MP

6、LS/BGP VPN一般组网模型 PAGEREF _Toc41729718 h 31 HYPERLINK l _Toc41729719 华为MPLS/BGP VPN的实现 PAGEREF _Toc41729719 h 32 HYPERLINK l _Toc41729720 华为MPLS/BGP VPN跨自治域的实现 PAGEREF _Toc41729720 h 34 HYPERLINK l _Toc41729721 基于VLAN互连的VPN方案 PAGEREF _Toc41729721 h 35 HYPERLINK l _Toc41729722 9.网络管理 PAGEREF _Toc41729

7、722 h 36 HYPERLINK l _Toc41729723 网管的体系结构 PAGEREF _Toc41729723 h 36 HYPERLINK l _Toc41729724 网管系统对多种设备的一体化管理 PAGEREF _Toc41729724 h 36 HYPERLINK l _Toc41729725 网管的接口和组网能力 PAGEREF _Toc41729725 h 36 HYPERLINK l _Toc41729726 网管的功能 PAGEREF _Toc41729726 h 37 HYPERLINK l _Toc41729727 10.计费管理 PAGEREF _Toc4

8、1729727 h 39 HYPERLINK l _Toc41729728 11.结束语 PAGEREF _Toc41729728 h 39 HYPERLINK l _Toc41729729 12.附录 PAGEREF _Toc41729729 h 40 HYPERLINK l _Toc41729730 附录 缩略语列表 PAGEREF _Toc41729730 h 40方案建议华为公司根据株州市播送电视宽带综合信息网数据平台的技术要求，在充分分析了市场需求和技术开展趋势之后，结合我国数据通信开展的实际情况提出了株州市播送电视宽带综合信息网数据平台的技术建议，主要阐述我司对株州市播送电视宽带综

9、合信息网数据平台建设的全面解决方案。技术建议书编制的依据 本技术建议书依据以下文件编写: 华为公司有关产品的技术手册建设目标株州市播送电视宽带综合信息网数据平台是一个大容量、宽频带、标准化、双向传输播送电视节目和综合数据信息的宽带网络，并能够适应未来高清晰度电视和视频点播等播送电视新业务的传输要求；能够实现全株州市播送电视系统的计算机数据传输、通信、节目数据库联网，能够实现播送式和交互式社会效劳；能够为数据平台外提供专用信息传输通道。株州市播送电视宽带综合信息网数据平台的目标是采用先进、成熟、可靠的网络技术，建立一个高速、宽带的城域网，提供包括数据、语音、视频、图象等在内的综合业务及其增值业务

10、，满足Internet接入、VPN、局域网互连等效劳需求；并尽可能地实现各种业务网络的无缝连接和互联，满足通信市场对带宽的迫切需求，推动株州市信息化的进程。数据平台要覆盖株州市，应具备较强的可扩展性、广泛的适用性和灵活性，以及良好的效劳质量保证机制和完整的网络效劳性能，以满足市场对网络运行、维护、管理、计费的需求。业务分析广电未来必然是多媒体数据业务运营商，株州市播送电视宽带综合信息网数据平台所提供的各类业务既要包括对QOS保障和实时性要求不高的纯IP业务，如现在它能为一般的企业提供数据网络效劳、通过专线HFC为家庭提供INTERNET和相应的各种效劳，将来可以提供远程教育、远程医疗等，又要包

11、括对QOS保障和实时性要求较高的业务，如金融系统、证券、保险、党政机关等，并且集团用户占极大的比例。因此该宽带信息网数据平台的建设应该综合考虑这两类业务的实现，以尽可能低的投入，较小的风险，建设高质量、高稳定性、可扩展性强的综合网络获得高回报。在组合考虑Internet接入、VOD、VPN、话音和智能小区、DVB-C等业务时，我们可以发现广电系统的HFC技术对家庭用户有独有的优势：高带宽、防辐射能力强、抗干扰能力强、可以利用无源分配技术实现低廉的接入、利用频分技术实现多种业务的并发工作等等。建设原那么株州广电城域网在技术选择上综合考虑先进性、成熟性及良好的性价比，以网络的可扩展性和可管理性为根

12、底，统一规划，分步实施，秉承电信级网络的一贯要求，保证网络高效、可靠、平安，确保业务的快速开展和有效控制以及用户的计费、管理。因此株州广电宽带城域网络建设应遵循以下根本原那么：1可靠性。由于宽带IP网的为运营级效劳网络，因此网络设计必须首先考虑主要传输体制的可靠性、所提供效劳的可用性、网络设备的高性能以及对关键用户、关键任务的有效保障机制等，并可与各种宽带传输交换平台充分互联，能够承载和交换各种信息并将其接入公众用户。 并以相应的可接受的价格向用户提供不同接入效劳的方法。3扩充性。宽带IP网必须充分考虑到目前的业务需求和今后较长时间内业务开展的需要。系统不仅能满足现在的需要，还应具有平滑过渡升

13、级的能力，在采用新技术的同时还可以保护用户投资，保证原有设备的可用性。4平安性及可管理性。宽带IP网是株州市公众宽带网络，应注意保证整个系统的可管理性和整个系统的平安性、可靠性；同时，还可让网络维护人员可以方便地对网络设备进行维护工作和远程控制，如：模块热插拨等。5开放性与标准化。网络系统应能支持多协议，多厂商包括国产设备，具有开放的平台性能，支持各种通讯协议，各种数据库和客户机效劳应用，并能方便地与其它机构、企业的主机和网络互连通讯。华为公司解决方案华为公司根据多年来效劳于运营商的经验，结合自己的设备，提出了以下IP网络解决方案。组网方案链形组网如以下图：图一 株州广电初期网络组网图组网特点

14、本宽带网解决方案是基于华为公司成熟的以太网系列产品和华为公司创新的设计，为用户提供了一种高性能的宽带接入效劳，满足广阔用户INTERNET 高速上网、社区效劳、话音、视频等大多数宽带业务和根本的可运营、可管理需求以及灵活的扩展能力，提供基于802.1x的用户认证，当上行连接BAS设备时，可以配合BAS设备提供WEBVLAN认证。在本期工程中，核心置一台Quidway S6506作为核心节点。在会聚层配置MA5200，完成对于网络接入层数据的会聚。在接入层采用Quidway S2000/3000系列完成对于用户的接入，可根据用户需求，灵活选择。其中MA5200作为具有分布式BAS功能的三层交换机

15、使用，采用WEB/PPPOE认证。同时针对电广传媒的优越性，拥有丰富的有线电缆资源，在接入层再配置MA5201提供HFC用户的接入。对一些小区、网吧、政府企业的用户，可通过以太网交换机直接向用户提供10M/100M接口，满足用户高速上网的需求。核心设备介绍S6506Quidway S6500系列以太网交换机的设计基于分布式处理的设计思想，依托于华为公司拥有自主知识产权的VRPVersatile Routing Platform，通用路由平台网络操作系统，提供完备的动态路由协议、VLANVirtual LANs，虚拟局域网控制、流量交换、QoSQuality of Service，效劳质量保证、

16、网络管理等机制，拥有强大的业务控制和用户管理能力。系统同时提供中英文双语界面，方便用户操作。运营级可靠性设计系统采用分布式结构，所有单板支持热插拔。S6500系列交换机支持交流电源AC和直流电源DC两种供电方式。此外，为保证系统的健壮性，S6500系列交换机支持电源模块的负载均衡、热插拔、故障检测及N:1冗余备份S6506R两个电源模块即可保证系统的正常工作。支持STP/RSTP协议和VRRP协议。在平安性要求更高的场合，还可选用支持双引擎的S6506R。周到、完善的系统设计可满足苛刻的运营级网络对设备可靠性的要求。丰富的功能特性S6500系列交换机的背板采用高速背板设计技术，交换容量达32G

17、/64Gbit/s。S6500系列采用华为专利的弹性资源调配系统技术，可实现从中心交换单元到业务处理板通道带宽的动态调整，用户可根据不同的处理板、不同的业务、不同的工作组配置不同的通道带宽，使得整个网络的灵活性更高，从而实现系统背板、交换引擎带宽、性能的最优分布；华为VRP 3.x网络操作系统支持，提供丰富的网络特性功能。提供STP/RSTP 防止环路冗余；S6500系列以太网交换机所实现的快速生成树协议RSTP是生成树协议的优化版。其“快速表达在网络设备或链路变化期间，“树根端口和指定的端口进入转发状态的延时在某种条件下大大缩短，从而缩短了网络拓扑稳定的时间。支持IGMP Snooping；

18、尽量减少报文的转发范围，防止非组成员收到组内多播流量； 支持802.3ad 端口聚合；实现任意端口聚合，在可以将假设干个FE端口或GE端口会聚到一起，以实现大容量交换机之间或者交换机与骨干路由器及效劳器群之间的高速连接。能够抑制播送风暴：配置了播送风暴抑制后，可以对VLAN上的播送流量进行监控，当播送流量的带宽超过配置的限度时，交换机将在该VLAN上过滤超出的流量，保证网络的业务，使播送所占的流量比例降低到合理的范围。支持根本的TCP/IP协议栈及常规应用协议；支持静态路由，管理员手工配置，简化网络配置，提高网络性能；支持丰富的路由协议：RIP、OSPF、Integrated IS-IS及BG

19、P4，以适应不同的网络环境要求；提供不同子网VLAN的三层互通功能；支持ARP、DHCP Delay功能；支持IGMP组播协议及PIM-DM、PIM-SM等组播路由协议。系列化超级引擎S6500系列交换机全面采用基于新一代ASIC技术的Salience 系列交换路由引擎。该系列引擎将2/3/4层线速转发与丰富的QOS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障。在设计上，Salience 系列交换路由引擎的交换网采用负荷分担方式，全面提升单板可靠性。在可靠性要求更高的领域，可采用SalienceII引擎，该引擎在S6506R的机箱内可实现双主控冗余备份。iSalience为

20、高集成引擎，该系列引擎在Salience引擎的根底上可提供少量的业务接口，用户可根据需要选配4口千兆业务扣板。该系列引擎仅适用于S6503强大的DiffServ/QOS保障：提供了基于端口和基于流的流量限制(Committed Access Rate)；提供强大的流分类Traffic Class能力，用户可根据实际需要为不同的用户群组或不同的业务类型分配不同的队列优先级，带宽控制以64Kpbs为步长单位进行调整；提供Diffserv支持，可以根据2、3、4层特性，调整IP DSCP域，为骨干网络实现基于DSCP的IP转发提供支撑；提供基于数据流Flow，根据2、3、4层报文头的信息确定的带宽共

21、享算法，保证每一个通信应用均可获得公平的流量分配，保证了各主机之间通信的公平性；提供WRRWeighted Round Robin队列调度策略；提供REDRandam Early Detection/Discard丢弃策略；可配置的8优先级映射规那么，可根据IP DSCP信息，信息，VLAN信息，2/3层转发表信息，配置出报文Outgoing Packet的优先级； 可配置的队列优先级规那么，可根据IP DSCP信息，信息，VLAN信息，2/3层转发表信息，配置转发队列优先级；完善的平安机制：提供L2/3/4流规那么过滤；用户分级管理和口令保护；提供多种用户认证方式：本地认证；支持OSPF 、

22、RIP v2 及BGP v4 的报文明文及MD5密文认证；支持SNMPv3的加密和认证。实用的网络管理S6500系列以太网交换机提供中/英文双语界面，支持多种配置方式：命令行配置、HGMP配置及网管配置。在命令行配置方式下，用户可以通过Console口对交换机进行本地配置或通过Telnet登录对交换机进行本地或远程配置。S6500系列以太网交换机对Telnet Server和Telnet Client效劳都提供支持。HGMP配置方式是指利用华为公司开发的二层私有协议HGMPHuawei Group Management Protocol，华为组管理协议实现管理设备如：MA5200以太网接入管理

23、系统对S6500系列以太网交换机的集中管理，完成交换机配置和配置响应消息的传递。S6500系列以太网交换机支持符合SNMP V3协议标准的iManager Quidview网管系统平台，可通过统一的平台实现对交换机充分有效的管理，该网管系统采用多语言图形界面，操作直观方便。该系统同时还可以提供拓扑管理、配置管理、故障管理、平安管理、性能管理等功能。此外，S6500系列以太网交换机也支持RMON、SMON。会聚设备介绍MA5200MA5200E/F产品提供强大的用户认证、计费、管理的特性，该方案具有如下特点：灵活的带宽保证在接入层，在小区中心配置具备BAS功能的三层设备MA5200E/F产品，上

24、行通过FE/GE接至宽带城域网，具体选用100M上行还是GE上行，由局方根据条件自行决定。中心交换机通过下行100M使用多模光纤连接楼宇交换机Quidway S3000/2000系列。Quidway S3000/2000系列下行可为用户提供10M/100M自适应端口，为用户提供了灵活的带宽选择余地，同时也保证了用户的宽带业务实现。良好的运营维护能力利用华为公司HGMP协议的集中管理特性，可以在小区中心交换机设置一个管理IP地址就可以将所有的楼道交换机进行集中统一的配置和管理，把需要分布安装的楼道交换机以及对各设备的配置、管理、维护、升级等全面管理起来。以软件的代价替代物力资源和人力资源的投入，

25、降低小区网络的综合运行维护本钱，提高网络的综合管理能力。也可以利用SNMP协议将各层交换机的管理纳入统一网管平台中，楼道交换机将SNMP包透传至小区中心交换机，通过小区中心交换机的统一出口将SNMP包传到网管中心，网管中心接收传来SNMP包，就可以通过带内方式实现对小区内各层交换机的管理。 QoS保证中心交换机MA5200E/F产品采用CAR承诺访问速率技术实现针对每个用户的带宽控制，精细度到达128K。MA5200E/F产品支持基于IP报文五元组的流分类技术，支持丰富的优先级调度，有利于将来在网上开展基于IP的视频、话音业务。配合网络的高转发性能，对不同类型的业务和不同类型的用户进行分类支持

26、，为话音、视频等实时业务提供质量保证。对关键业务和非关键业务进行区分处理，保证关键业务畅通运行。 计费管理MA5200E/F产品支持按时长、流量计费，支持本地计费和远端计费，本机可存储10万张原始计费信息，支持标准的Radius协议并可针对带宽、访问权限、业务优先级等信息对Radius进行扩充。可以根据用户的不同业务，提供灵活的计费策略，不同的认证方式PPP、VLAN+WEB、采用相同的计费流程；对于DHCP分配地址的用户，可实时侦测用户状态以配合计费。完善的用户认证和管理完成多种用户认证方式：VLAN、DHCP+WEB，、PPPoE，并且依据网络设备和用户需求选择适宜的认证。采取VLAN I

27、D对应用户端口、VLAN ID+MAC地址+IP地址动态绑定的方式来标识和确定用户，并根据这种绑定关系限定用户可用带宽、用户数等。 健全的平安管理机制采用DHCP RELAY的技术隔离用户和DHCP效劳器，提高地址分配平安性；通过地址与VLAN ID绑定技术防止MAC地址、IP地址的盗用；用户二层利用VLAN严格隔离， 利用基于用户策略的ACL接入控制列表来完成用户的三层受控互访，通过对用户在单位时间内的连接数量的限制，可以提供四层的用户平安防止PROXY方式用户盗用网络资源。 接入设备介绍HFC接入设备MA5201MA5201作为HFC数据接入前端设备，应用领域包括广电数据接入网，智能小区，

28、校园网等，其主要的技术特点为：19单机结构，内含一个CMTS单元，一个下行信道，四个上行信道桥接转发，支持生成树算法强大的转发能力，包转发率为5万Pps符合DOCSIS标准，同时支持EuroDOCSIS多种操作维护手段：1通过网管包括OSS的功能完善的维护，包括工作站版的网管和PC机版的网络MA5201、且对稳定性要求不高时，或者实验局使用2命令行维护，可以有三种方式：本地命令行维护；远程 modem维护；远程登陆Telnet方式。各种维护手段均支持中文界面。完善的操作维护功能：以多种操作维护手段灵活地支持配置管理，性能管理，告警和故障，同时支持完善的日志功能，软件在线升级。 完备的双向HFC

29、运营设计：支持网络故障定位，频谱管理，功率管理，上行信道集中式/分布式组网设计。组网灵活：单机形式，可以以多种方式灵活组网，满足不同的用户需要。MA5201优势集中表达在几个方面：1性能价格比优。2从市场的角度看，HFC数据接入在中国仍然属于起步阶段，用于初期低投资的条件下小规模运营是非常有优势的；3操作维护手段和功能完善，同时中文界面适合国内市场的应用。4同时支持DOCSIS和EuroDOCSIS，符合中国国情。5双向HFC运营设计考虑周到，在中国网络状况不是很好的情况下，这一优点显得尤为突出。MA5201技术指标:MA5201整机指标:参数名指标标准支持频谱分割低分割/中分割结构 19机盒

30、数据转发能力5万ppsCable接口1个下行，4个上行，最多支持2000个用户，实际应用建议支持500用户以下上行接口100Base-TMA5201下行信道技术参数：参数名指标DOCSISEuroDOCSIS中频频率44MHz调制方式64/256QAM信道带宽6MHz8MHz数据率Mbps64QAM: 30 256QAM:4364QAM: 42 256QAM: 55信道编码RS编码，交织，加扰，TCM编码，符合RS编码，交织，加扰，TCM编码，符合输出阻抗75输出电平30dBmV正负3dBMA5201上行信道技术参数参数名指标DOCSISEuroDOCSIS中心频率范围542MHz565MHz

31、调制方式QPSK/16QAM信道带宽/信道接收数据率/信道输入阻抗75输入总功率/信道35dBmV连接器F连接器MA5201物理参数描述参数设备外形19英寸标准机箱机箱颜色墨绿色以太网口RJ48 X 1控制串口RJ48 X 1射频口F连接器 X 5结构尺寸宽 X 高 X 深=482.6 X 88.1 X 450 mm净重量5.5 kg整机功耗额定40W，最大60WAC输入电压范围85V264VAC电压频率50Hz工作温度040相对湿度10%90%存储温度-4070MTBF50000hMTTRMA5201外部接口：通信串口：RS232串口数量：1个；物理形态：带屏蔽RJ45插座；符合RS232相

32、关协议；以太网接口： 10M/100M自适应网口数量：1个；物理形态：带屏蔽RJ45插座；符合相关协议；CMTS射频接口数量：4个上行，1个下行；物理形态：F连接器标准：IPS-SP-406: ANSI/SCTE recommended F-Port( Female , Indoor ) , Society of Cable Television Engineers. 面板指示灯MA5201面板提供9个信号灯(从左到右：PWR：亮CMTS上电灭CMTS未上电DS： 亮下行通道翻开灭下行通道关闭US1： 亮上行通道1翻开灭上行通道1关闭US2： 亮上行通道2翻开灭上行通道2关闭US3： 亮上行通

33、道3翻开灭上行通道3关闭US4： 亮上行通道4翻开灭上行通道4关闭RUN:系统正常运行时，每秒闪烁一次，灭系统异常工作Eth：亮CMTS与别的设备通过网线相连，可以通讯 闪烁CMTS 以太口有数据收/发操作 灭以太口工作异常或CMTS以太口与别的设备没有物理 连接或连接异常 ALM：亮红色系统故障告警同时命令行有告警输出 灭无告警信息上变频器技术参数 中频输入频率：44MHz 输入电平：+25+35dBmV 输入阻抗：75 输出中心频率范围：53857MHz 输出频率步进： 输出阻抗： 75 电源：100240VAC,5060Hz结构：19插框或盒式Quidway S2403高速以太网交换机

34、Quidway S2403以太网交换机是由华为技术开发的新一代以太网交换机。Quidway S2403 提供24个10BASE-T以太网端口和3个10/100BASE-T快速以太网端口以及一个可选的光纤模块。 Quidway S2403 以太网交换机所有端口都可以通过自动协商工作在半双工或全双工模式，即插即用，并提供面板指示灯供用户监视网络状态及处理网络故障。用户不用更换现有网络硬件设备，只需增加Quidway S2403 以太网交换机就可方便提升网络性能，是共享式集线器理想的高性能替代产品。改善网络性能：共享式以太网在通信量和用户数的增加超出一定数量时会造成碰撞冲突，从而降低网络效率；而应用

35、Quidway S2403 以太网交换机，用户可以独享10Mbps、100Mbps带宽，不需要与其他站点进行竞争，从而大幅提升网络性能。自动协商和全双工：Quidway S2403 以太网交换机所有端口均支持自动协商和全双工操作，10Mbps端口可工作在10BASE-T全双工、10BASE-T半双工两种方式；10/100Mbps端口可工作在100BASE-TX全双工、100BASE-TX半双工、10BASE-T全双工、10BASE-T半双工四种方式。每个端口的工作方式由它与所连接的以太网设备通过自动协商确定。连接不同运行速率的网段：应用Quidway S2403 以太网交换机可以方便地把以10

36、Mbps速率运行的网段和以100Mbps速率运行的网段高效率的连接在一起。并提供可选的100Mbps上行或效劳器连接的能力。Quidway S2403 以太网交换机以太网端口可连接HUB或直接连接配有网卡的计算机或效劳器，也可上行连接到高速主干网络。产品规格支持的标准网络协议- IEEE802.3 以太网标准- IEEE802.3u 快速以太网标准- IEEE802.3x 全双工标准- IEEE802.1d 网桥及生成树Spanning Tree协议- IEEE802.1q VLAN标准 - IEEE802.3u 千兆以太网标准端口配置24个10BASE-T 以太网端口3个10/100BASE

37、-T 以太网端口一个可选模块，1000BASE-SX多模光纤、1000BASE-LX单模光纤、100BASE-FX单模多模、多模光纤两种规格数据传输速率- 以太网： 10Mbps (半双工) 20Mbps (全双工)- 快速以太网：100Mbps (半双工) 200Mbps (全双工)网络电缆 - 10BASE-T3/4/5类 非屏蔽双绞线最大100m5类 屏蔽双绞线最大 100m - 100BASE-TX 5类 非屏蔽双绞线最大 100m5类 屏蔽双绞线最大 100m - 100BASE-FX9/125mm单模光纤最大 15kmmm多模光纤最大 2km交换模式： Store-and-forw

38、ard Cut Through仅S2403MAC地址表地址自学习，最多可支持2K MAC地址 SNMP Agent支持MIB-IIRFC1213Console Port允许用户通过串行口配置交换机登录用户口令保护 统计信息、状态信息即时刷新简洁易用的配置界面可选择的中、英文界面Telnet允许用户通过Telnet登录配置交换机登录用户口令保护统计信息、状态信息即时刷新简洁易用的配置界面最多可支持3个用户同时登录登录超时保护可选择的中、英文界面VLAN符合基于端口的VLANTrunk交换机到交换机的Trunk交换机到效劳器的Trunk 可定制的流量分配网络管理简述增值业务平台CAMSCAMS平台

39、可以提供各种增值业务，包括WEB认证、201宽带上网卡、IP Hotel业务等。同时配合MA5200E的BAS功能，能够实现根据不同用户需求进行计费认证，包括按时长、按流量、安内容等计费，同时还可以提供各种折扣计费。 网络平安措施网络平安策略全网的平安策略包括网络平安策略，节点平安策略，数据平安策略，和持续平安策略。网络平安策略：主要保证网络拓扑机构的合理性，全网各个节点之间的连接线路的可用性。节点平安策略：主要保证各个节点内的设备不受攻击，保证效劳不中断。数据平安策略：保证系统重要数据得到及时有效的备份保护，并防止受到非法使用者的篡改等。持续平安策略：是从开展的角度，提出如何对系统的平安缺陷

40、及时跟踪和修正，保证网络的长期平安性。网络各层设备平安性考虑配置平安：对登录用户进行认证，不同级别用户有不同的配置权限；提供两种用户认证方式：本地验证、RADIUS(Remote Authentication Dial-In User Service)验证。协议报文认证：对重要的路由协议OSPF，IS-IS，RIP、OSPF等提供多种验证方法明文验证、MD5、HMAC-MD5。基于用户定义的策略：可以对报文进行过滤，同时采取其它动作。平安过滤可以将过滤的报文重定向到某个固定端口，便于利用仪器设备抓包分析。网络平安措施在体系结构方面，华为综合网管系统采用 Client/Server 结构，支持多

41、个客户同时登录到网管SERVER ，在每一客户端都有严格的用户登录与平安检查。网管 SERVER作为后台进程运行，完成的功能包括：拓扑管理、设备监控、性能数据采集、设备告警处理、用户平安管理。节点关键设备冗余备份，为了保障网络平安，降低网络故障，关键设备所有关键部件都采用冗余备份设计，电源模块N1备份，控制和交换板采用11冗余备份。对网络设备采用多极平安密码体系，限制非法设备和用户登录，在出现软硬件故障时，可以迅速切换到备用模块，保障业务的不间断运行。关键数据采用身份认证与授权，通过访问权限限制，加密保存，加密传输，同时网络和系统中各种重要数据进行及时有效的备份。设备可设置三级时钟，并提供时钟

42、优先级，当最高优先级时钟失效时，可以立即切换到低优先级时钟，当最高优先级时钟恢复后，又可以立即切换回去，通过这种自动保护既可以保障网络的平安运行，又可以简化用户的管理。网络从拓扑结构到连接链路均应考虑路由的备份，采用分层的拓扑结构，支持动态迂回路由，在资金可能的情况下，节点保证双路由，保障网络平安。同时在网络中通过划分VPN网络、VLAN网络来保障专业行业网络的平安性。路由协议与策略路由协议可以及时地动态获取网络拓扑信息，引导IP数据报文逐步转发到达目的地，使IP网络具备了很好的灵活性和鲁棒性。例如使用动态路由协议的IP网络能够在一条传输路径中断时，自动选择其他的路径继续执行数据转发；同样，在

43、网络中增加了新的传输路径时，IP网络也可在很短时间内获得并传播拓扑变化信息，对网络资源实现灵敏和合理的应用。不同的路由协议有各自的特点，分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素：1网络的拓扑结构2网络节点数量3与其他网络的互连要求4管理和平安上的要求S6506提供了丰富的路由协议支持，以适应不同的网络环境。A、区域内路由协议1RIPRIPRoute information protocol，即路由信息协议是基于D-V算法距离向量算法的内部动态路由协议。RIP协议的标准主要有RFC1058版本1和RFC1723版本2。 Quidway S6506产品不仅实现了这两个版本的RI

44、P协议，还支持MD5验证，还可以在必要时提供更平安的快速收敛的RIP效劳。2OSPFOSPFOpen Shortest Path First，即最短路径优先协议是一种基于链路状态的内部动态路由协议。目前OSPF的主要标准是RFC2328版本2。Quidway S6506产品实现了完整的OSPF功能和一些扩展特性。包括支持播送、NBMA、点到多点、点到点四种接口类型，以及MD5验证、区域划分、区域间路由聚合、虚连接、STUB区域等丰富的特性。3IS-ISIS-ISIntermediate System - Intermediate System，中间系统到中间系统协议是由国际标准化组织ISO制订

45、的路由协议，属于开放系统互联协议簇。IS-IS 对应的标准是ISO 10589和RFC1195。Quidway S6506能实现IP网络上的IS-IS协议完整功能。4OSPFOSPF是一种性能优良、使用广泛的单播IGP路由协议，网络开销小，获得的路由无环路，适合在不同规模的网络环境使用。IS-IS与OSPF在质量和性能上的差异并不大，但OSPF更适用于IP，较IS-IS更具有活力。IETF始终在致力于OSPF的改良工作，其修改节奏要比IS-IS快得多。这使得OSPF正在成为应用广泛的一种路由协议。现在不管是传统的路由器设计，还是即将成为标准的MPLS多协议标记交换，均将OSPF视为必不可少的路

46、由协议。而且IS-IS在国内实际应用实例较少，不太适合作为主要协议使用。 RIP协议开展最早，使用简便，但协议过于简单，对于路由环路等问题存在一些缺陷，在较大的网络环境中不适合采用。B、域间路由协议BGPBGPBorder Gateway Protocol，即边界网关协议是一种自治系统间的动态路由发现协议，它的根本功能是在自治系统间自动交换无环路的路由信息。目前BGP的标准是RFC1771/RFC1772版本4。Quidway S6506实现了BGP-4协议的完整功能和一些扩展，包括路由聚合、路由衰减、路由反射、AS联盟、团体属性，以及用于支持MPLS VPN的BGP多协议扩展。C、路由策略与

47、路由协议配合使用的路由策略用于增强网络管理者对路由协议的控制管理。上层路由协议在与对端路由器进行路由信息交换时，可能需要只接收或发布一局部满足给定条件的路由信息；路由协议在引入其它路由协议路由信息时，可能需要只引入一局部满足条件的路由信息，并对所引入的路由信息的某些属性进行设置以使其满足本协议的要求。路由策略那么为路由协议提供实现这些功能的手段。路由策略由一系列的规那么组成，这些规那么大体上分为三类，分别作用于路由发布、路由接收和路由引入过程。路由策略也常被称为路由过滤，因为定义一条策略等同于定义一组过滤器，并在接收、发布一条路由信息或在不同协议间进行路由信息交换前应用这些过滤器。Quidwa

48、y S6506支持的路由策略主要有路由映像RouteMap定义、路由引入和分发定义，以及路由的前缀、自治系统路径、团体属性、访问列表等限制规那么。路由策略的应用，对增强网络的可管理性具有重要的实用价值。IP地址规划IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步开展。IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要表达出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，

49、减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原那么：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。IP地址规划是要解决有效利用地址空间、有利于路由设计、解决公网地址

50、严重缺乏等问题。地址的分级、可变长掩码等技术的使用在此就不再详细论述。我们主要论述如何进行最优化的公私网地址混用。地址空间的压力主要来源于个人接入用户，而企业用户带来的影响较小。所以，对专线用户采用地址静态分配、公网、私网地址并存。宽带Internet企业访问型可以通过专线或以太网接入。这里考虑的重点是以太网接入，专线用户的处理情况类似。对企事业单位用户一般企事单位业用户使用静态地址和静态路由，IP地址可以使用私网地址或公网地址。而对个人用户到底采用何种方式，取决于多个因素。其中最主要的因素是公网地址空间的缺少：如果仅仅分配公用IP地址，用户人数在不断增长，将有可能超过可用地址数，这将成为一个

51、严重的问题。由于大局部的个人用户不需要固定的IP地址，因此对个人用户采用动态的IP地址分配可以节省地址资源。而采用NAT的方式，可以将网络公用地址的需要节省到几十分之一甚至更多的程度。但后一种方式的主要问题是NAT/PAT转换的性能问题，第二个问题是可能会影响某些宽带应用。而实际上，地址缺口的大小不仅取决于可用空间和用户数，并且与采用的用户平安技术和产品有关。如果宽带接入采用以太网接入+PPPoE，那么可以方便地进行地址的动态分配。如果采用以太网和Per User Per VLAN的方式，地址消耗太大，使用私网地址+NAT是合理的选择。如果以太网用户采用包月的方式，地址需要将大大增加。第二个因

52、素是采用的产品的特性。第三个因素是是否考虑NAT对应用的影响。可能某个用户需要采用某种应用而该应用不能穿过NAT设备，如某些多媒体应用和VPN应用。综合以上多种考虑，对于以拨号作为接入方式的接入节点，采用RADIUS效劳器进行地址管理，一般采用公网地址池，动态分配IP地址。如果地址空间缺口依然存在，建立公、私两个地址池，根据用户名或域名进行区分，需要拨号接入效劳器支持VPDN，这样只有私网用户需要进行地址转换。同一个用户在连接前选择效劳类型。假设改变城域网使用的私网地址，调整简单。对于采用以太网交换机作为接入方式的接入节点，由于大局部的个人用户不需要固定的IP地址，因此对个人用户采用动态的IP

53、地址(DHCP)分配可以节省到的地址资源。华为公司的Quidway S6506具有强大的地址转换能力，有效解决IP地址紧缺的问题。S6506内置NAT业务板以NAPT方式支持公网和私网地址的转换，可以支持城域网公网/私网地址混合规划；NAT单板支持IGMP、FTP等ALG处理，NAT板数量按照NAT容量灵活配置，支持NAT板间负荷分担和热备份功能。在S6506上做地址转换，可以把NAT功能分布在会聚层各个设备上，减轻城域网出口负荷，适用于规模较大的城域网。我们建议城域网边缘采用私网和公网地址用户混合接入，城域骨干采用公有地址。用户认证WEBVLAN认证采用VLAN方式接入用户减少了客户端的工作

54、量，同时提高了网络的传输效率，但采用这种接入方式相对于PPPOE接入方式而言，由于减少了用户名以及密码的验证过程，因此比拟适合与终端相对固定的用户，如：政府机关、居民用户等。而对于象学生等流动性强的用户，VLAN方式就显得捉襟见肘了。针对与这个问题，同时考虑目前浙江省网络现状以及各种接入方式的比拟，本期城域接入层建设的接入方式考虑采用VLANWEB的方式来实现：VLANWEB认证指的是VLAN接入的用户通过登录门户网站，输入用户名和密码，进行身份认证，从而获得用户访问权限的过程。当用户采用VLAN方式开机时，首先要通过DHCP过程来获得IP地址。在用户得到IP地址后，宽带接入效劳器以下简称BA

55、S把用户的权限设为未认证用户，此时用户只能访问免费站点和门户网站。当用户想访问外部站点时，必须先访问门户网站，进行登录。用户在登录过程中，输入用户名和密码，经登录程序通过MD5算法加密后送到BAS。BAS再把用户信息发送到RADIUS认证效劳器进行认证。在得到RADIUS效劳器的认证结果后，BAS根据认证结果改变用户权限，同时通知用户并开始计费。当用户结束访问时，需要在门户网站上点击注销按钮，发送注销消息。BAS根据注销消息改变用户权限，并停止计费。采用VLANWEB的接入方式相对单纯的VLAN接入方式其主要特点：一个用户端口内，不同用户拥有不同的权限采用VLANWEB的认证方式时，一个用户端

56、口内一个用户家中，不同的用户可以拥有不同的访问权限，例如：家中父母的访问权限较高，而子女的访问权限较低，防止了各类不良站点对用户侵蚀。用户的帐号可以流动，提高了效劳的满意度用户的帐号可以在同一个WEB效劳器的管辖范围内中的任意端口进行上网，方便了用户的使用，提高了效劳的客户满意度。提供了灵活的计费方式VLANWEB方式的计费方式同PPPOE相同，都是基于用户帐号的计费方式，可为运营商提供基于帐号的按时间、按流量的灵活计费方式。8021X认证8021x是基于端口的认证、管理协议。华为802.1x系统是全系统解决方案, 全面地考虑了在有线宽带接入网络的运营管理需求:1. 扩展了的握 制, 解决了有

57、线网应用中的仿冒和时长计费准确性问题;2. 支持本地认证,不需要外接 Radius 效劳器, 降低了小型网络的建设本钱和管理本钱;系统支持EAP终结和EAP续传两种模式, 可以支持现有的 Radius Server, 保护网络运营商的投资。4. 提供多平台的客户端软件 ( WINDOWS98/ME/2000/XP )，客户端软件可以满足网络运营的要求。受控端口机制灵活, 支持基于端口、基于VLAN、基于MAC地址的受控端口(S3526支持基于端口和MAC地址), 可以灵活地应用在各种网络环境, 如网吧，校园。 6支持的设备种类多, 全系列 LANSWITCH 以及 MA5200E/F产品、MA

58、5300系列。强大的QoS强大的流分类功能S6506提供定义复杂规那么的功能，这些规那么使用户可以鉴别细粒度的流。基于这些规那么，在现实的应用背景下，S6506能够线速地对流进行分类。分类结果用于实施报文过滤，QoS，策略路由以及报文监控。流分类规那么的元素丰富，具体包括：VLAN、端口，源MAC地址，指定IP包的TOS/DSCP域值或域值的范围，是否是IP分段报文，是否是TCP SYN报文，ICMP报文类型和编码，IP报文的源IP地址前缀，目的IP地址前缀，TCP/UDP源端口号或某段范围，TCP/UDP目的端口号或某段范围，IP报文承载的协议号，源地址掩码以及目的地址掩码。在每个接口板上最

59、多可以应用5k条规那么。二层QoS功能基于源MAC地址和源端口号的过滤、优先级设置和流量控制。 优先级共有8级，映射到IP报文中DSCP域，流量控制的步长为64K。基于源VLAN ID和源端口号的过滤、优先级设置和流量控制。 优先级共有8级，映射到IP报文中DSCP域，流量控制的步长为64K。基于源VLAN ID和目的MAC地址的过滤。三层QoS功能Quidway S6506作为边缘层设备，确保不同流享受不同级别的效劳。在提供确保DiffServ的同时，仍能做到线速转发。IP QoS实现以下特性： 实现流量监管，支持四种RFC定义的标准算法。 流量监管在上行支持对1024个流的监管；实现TOS

60、/DSCP域的重标记Remark。 端口输出队列可以支持带宽保证、流量整形。用户可以通过指定流量参数配置队列，用户不需考虑具体的队列调度方式，系统根据不同的参数内容自动选择适宜的调度策略。 在一个接口板上最多可以支持2048个队列，当支持2048个队列时仍能做到线速转发 。流控采用WRED以及改良的SA-RED算法，在上行入端口接口板，交换网板入口，交换网板出口，下行接口板出端口都采取了有效流控措施，并实现下行对上行的反应机制使上行能够合理控制上交换网板的流量，防止在流量突发时造成在下行的拥塞。 WRED支持8个等级的丢弃优先级。网络可提供的业务建成的湖南省宽带城域网是一个多元化的高速宽带城域