上海电信IP城域网优化技术方案-阿尔卡特

PAGE上海电信IP城域网优化总体技术方案PAGE3-MACROBUTTONNoMacro［单击此处键入文档全名(项目名称+文档名称)客户服务系统科技事业部第PAGEi页共105页上海电信IP城域网优化总体技术方案V3.02006-12

目录TOC\o"1-4"\h\z\u1. 网络结构设计 11.1. 城域骨干网B平面组网结构 11.2. 宽带接入网组网方案 21.2.1. 市区关键业务子网 31.2.2. 郊区关键业务子网 32. 路由设计 52.1. 总体路由策略 52.1.1. 城域网B平面设立私有AS，与CN2及ChinaNet不直连(MPLSVPN可以直接连接CN2SR) 62.2. IGP方案 72.3. BGP方案 82.4. MPLSVPN的CE-PE路由设计 103. L3MPLSVPN的实施方案 113.1. B平面MPLSVPN网络逻辑关系图 113.2. MPLSVPN网络号码资源分配规则表 123.3. MPLSVPN业务的接入方式 133.3.1. 三层MPLSVPN部署设计 134. VPLS部署设计 154.1. B平面H-VPLS设计与部署 154.2. A-B平面跨域的VPLS设计与部署 174.3. VPLS2层接入L3MPLSVPN网的设计与部署 185. 业务保护部署方案 195.1. 业务保护概述 195.2. 业务保护部署方案 195.2.1. MPLSTEFRR实施设计 205.2.2. BFD设计 236. 关键业务(NGN)组网方案 266.1. 概述 266.2. 关键业务子网连接图 266.2.1. 市区部分 266.2.2. 郊县部分 276.3. 关键业务收敛时间说明 286.3.1. 市区部分 286.3.2. 郊县部分 296.4. 软交换接入方式 296.4.1. 市区AG接入 296.4.1.1. 市区RIPv2方案 296.4.1.2. 市区静态路由方案 336.4.1.3. 市区OSPF方案 376.4.1.4. 市区方案建议 386.4.2. 郊县AG接入 386.4.2.1. 松江中兴方案建议 386.4.2.2. 松江Alcatel方案建议 396.4.2.3. 其他郊县中兴方案建议 406.4.2.4. 其他郊县Alcatel方案建议 416.5. 郊县环网概述 426.5.1. 松江方案 426.5.2. 其他郊县方案 437. 大客户接入组网方案 457.1. 大客户上网接入方案 457.2. 大客户VPN组网接入方案 457.2.1. 大客户L3MPLSVPN接入组网方案 457.2.2. 大客户VPLS组网接入方案 468. 网络设备命名和IP地址需求 478.1. 设备和端口命名规则 478.1.1. 关键业务子网局点分布表与设备命名 498.2. 设备端口命名 498.3. 端口描述 508.4. IP地址分配 519. QoS方案 539.1. 综述 539.2. 分类标记 539.3. 城域网QoS实现方式 549.4. B平面QoS 559.5. A平面QoS 569.6. 宽带接入网QoS 5610. 网络安全 5710.1. 路由器安全性 5710.1.1. 路由器接入安全性 5810.1.2. 与路由器通信 5810.1.3. 集中鉴权 5910.1.4. 路由协议安全性 5910.1.5. 带内流量过滤到路由引擎 6010.1.6. 安全审计 6410.1.7. 网络时间协议（NTP） 6510.1.8. 路由器安全措施总结 6510.2. 病毒和DOS攻击预警和减灾系统 6510.2.1. DOS攻击的趋势分析和对核心网的影响 6610.2.2. 核心网路由器的保护 6710.2.3. 攻击预警和减灾配合 6810.2.4. 自动化网络攻击和病毒扫描的抑制 69PAGE70网络结构设计根据上海电信2006年IP城域网优化工程技术规范书中的要求和业务流量的分布，结合业务的初期规划，并考虑后期演进，方案如下：城域骨干网B平面组网结构B平面网络分为核心层和业务终结层两层结构。业务终结层采用双归到2个核心节点的方式进行组网，核心接点一个为Cisco的CRS-1，另外一个为Juniper的TX。全网启用MPLS，核心路由器作为P路由器，只负责完成业务转发，不直接接入用户业务。汇聚/业务接入控制点设备SR作为MPLS/VPN的PE路由器，完成VPN的定义和CE路由器实现用户VPN路由学习，并且通过MP-iBGP，在PE之间交换VPN路由，实现VPN内的可达；P路由器之间和PE路由器之间运行IGPOSPF，实现PE到PE的loopback可达，RSVP完成MPLS标签分配，实现IP路由到MPLSLabel的映射。选用2台SR和城域网A平面和CN-2的SR互联,作为ASBR.B平面为一个独立的自治域。核心层2台设备之间以2x10GPOS互联，正常情况下，互连链路基本无流量，在实施业务倒换保护时，提供足够的中继带宽。核心层2台设备和CN2上海本地核心节点2台C设备通过口字型拓扑互连。每台核心层设备到CN2核心设备间设置2x10GPOS互联。这些链路上承载标准IPV4数据。核心层2台设备和CHINANET上海本地核心节点2台C设备通过口字型拓扑互连。每台核心层设备到CHINANET核心设备间设置2x10GPOS互联。这些链路上承载标准IPV4数据。每台核心层设备向下以2.5GPOS连接SR；共16条2.5G电路。业务终结层SR分为2个层面，一个层面负责终结IPTV业务，另外一个层面负责关键业务终结。关键业务子网采用Alcatel7750，业务包括软交换、VPN和3G，也分别部署于8个传输核心机房，覆盖8个市区局和7个郊区局，每两台SR为一组（片区），之间用GE进行互联，互为保护备份。其中，“云莲-金杨”片区覆盖浦东局和南汇局；“柳林-斜土”片区覆盖南区局、中区局和奉贤局；“江苏-康健”片区覆盖西区局、莘闵局、嘉定局、青浦局、金山局和松江局；“控江-大华”片区覆盖东区局、北区局、宝山局和崇明局。每台关键业务SR连接为：向上以2x2.5GPOS链路连接两台核心层设备；向下以NxGE链路连接本片区关键业务子网(包括8个市区局和7个郊区局，郊区局就近接入)；控江和金杨两台关键业务SR，以2xGE连接CN2SR，负责跨域VPN的连接。跨域方式，根据集团意见，在业务较少且要求严格控制时，初期采用OptionA方式；待业务规模增长，条件成熟时，再考虑用OptionB方式。宽带接入网组网方案宽带接入网分为IPTV业务子网和关键业务子网两部分。市区和郊区的关键业务子网，采用技术不同，分别加以描述。市区关键业务子网上海电信IP城域网的优化目标是建立一个覆盖整个上海市承载NGN、VPN、IPTV等业务的网络。上海电信IP城域网优化工程将更好地从满足用户对电信级IP业务需求，特别是业务的端到端50ms保护、业务精细化管理和QoS服务。在优化完成后，可实现全网多种模式的2、3层VPN业务。市区关键业务子网如下图：市区关键子网承载软交换AG300台和MPLSVPN的CE设备。每个局接入两个AG，10个CE设备。SR采用阿尔卡特7750，第一级汇聚采用阿尔卡特7450。如实在无法将业务直接接入第一级汇聚，可利旧现网设备作为第二级汇聚来接入。以中区局关键业务子网为例，分别在柳林和斜土机房部署放置2台交换机。与“柳林-斜土”片区的关键业务SR以2xGE链路形成口子形连接。软交换AG和大客户CE设备就近以FE双归上联交换机上。对于AG和CE设备，要根据是2层设备还是3层设备，区别对待。郊区关键业务子网郊区关键业务子网采用相切环网的组网方式。第一级汇聚每片区部署2-4台交换机，部署在本片区业务量较大的局房，第二级汇聚部署在能覆盖本片区软交换POP点和VPN站点的局房。第一级汇聚交换机两个一组，分别以NxGE就近上联本片区的SR，之间也以NxGE互联；第二级汇聚交换机分别以GE双上联本区的两台汇聚交换机。郊区局关键业务子网路由设计总体路由策略路由策略制定是上海电信2006年IP城域网优化工程网络建设中的核心问题，规划适当与否直接影响到整个网络的可靠性及效率。路由协议的选择对工程的可靠性、灵活性、可拓展性有较大的影响。由于上海电信2006年IP城域网优化工程调整优化了原有网络结构，其路由策略也要作相应的调整。整个骨干网是一个自治域(ISIS)。KJ、KAJ两个节点的2台多机箱路由器作为核心出口，与国家骨干网核心节点之间采用BGP-4。全网启用MPLS。启用TE、FRR。开通基于MPLS的2层和3层VPN。根据上海目前城域网及出口层现状，如下图所示：城域网B平面与现网融合的方案如下。城域网B平面设立私有AS，与CN2及ChinaNet不直连(MPLSVPN可以直接连接CN2SR)如下图所示： B平面虽然拥有私有AS64716(为集团公司统分的私有AS号，)，B平面仍然类似A平面目前方式，上联到AS4812。现网的改动较小，达到城域网优化的效果，B平面流量可以直接经过SR设备经入CN2SR，达到城域网优化的建设目标。 B平面核心路由器和业务路由器均在AS64716中，核心路由器和4812核心路由器通过EBGP互联，核心路由器和64712的核心路由器通过EBGP互联，业务路由器可以与CN2PE互联，采用optionA方式提供跨域MPLSVPN能力。城域网B平面具有独立自治域编号，与A平面和4812之间为EBGP邻接关系。由于B平面没有与CHINANET和CN2直连，因此需要在4812的出口路由器上实现对穿越CHINANET和CN2流量的双向可控，保证有高质量用户参与的业务优选CN2传输，普通用户间的业务优选CHINANET传输，从而为城域网各类用户业务提供不同等级的服务质量保证。根据城域网A、B平面与4812间的网络互联结构，采用BGP路由策略并结合策略路由技术及用户接入分离方式实现城域网到CHINANET、CN2的流量流向控制：通过4812出口路由器向CHINANET和CN2发布精确度不同的路由信息（粗/细路由）并运用相应的路由控制策略实现所有对城域网高质量用户的访问经CN2传输，城域网普通用户间的访问经CHINANET传输。针对城域网高质量用户出城访问业务使用策略路由进行引导，将流量导向CN2传输。针对新增用户采用用户接入分离的方式实现流量引导。即新增普通用户接入A平面，新增高质量用户接入B平面。IGP方案域内路由协议（IGP）在城域网中起着连通骨干、选径和自动迂回的作用。IGP通过计算每条路径的权值来寻找最佳路径。IGP并不承载用户路由。本次项目采用ISIS作为IGP。所有核心层和业务路由设备均运行在ISIS的Level-2骨干区域，使用全网统一分配的NETID，ISIS涵盖网络中所有核心设备，汇聚出口设备的Loopback端口和链路端口；核心路由器的上联接口、业务路由器的下联接口和设备的Loopback端口设置为Passive模式；链路Metric模式设置为Wide模式，并且按照统一设计Metric设定规范来设定链路的Metric值，全网通过ISIS的Metric值引导流量流向。实施要点如下表规范项目规范设置备注ISISInterface下的ipMTU1500is-typelevel-2TE实现只能在1个Level中wide-mtrics参数打开TE配置需要启动新类型的TLVspassive-interfaceLoopback0是MPLSTERIDLoopback0BGP方案IP城域网两台核心路由器和所有业务路由器参与BGP路由协议；两台核心路由器与业务路由器之间运行iBGP；同时两台核心设备作为BGPIPv4RR，这两台BGPRR属于同一个RRCluster，所有业务路由器作为RR客户端；两台核心路由器分别向业务路由器通告BGP默认路由，不向其它网络通告BGP默认路由仅向出口层通告内部用户路由，同时核心路由器从出口层学习完整Internet路由表，业务路由器不承载Internet路由表，上海电信内所有用户路由均由BGP协议进行承载。IPv4的用户路由均由BGP协议进行承载，如下图所示：B平面内VPN用户路由的承载通过MP-iBGP，可支持VPNV4路由。为使网络具有扩展性，又不影响核心网络的性能，建议设立独立的RR，可选2台独立的设备作为RR。CHINANET/CN2的经验表明，独立的不在数据转发路径上的RR可以提升网络的稳定性，增强网络管理的能力。另外建议RR选用同一厂商的设备，避免未来网络扩展，拓扑复杂后，极端情况下出现环路的可能。两台RR建议和核心的两台TX及CRS-1交叉互联。MPLSVPN的CE-PE路由设计CE-PE路由以静态为主，根据用户需求可以开放EBGP用户接入，尽量避免使用OSPF、ISIS等路由协议互连。采用EBGP协议与客户CE互联时，如客户没有AS号，建议使用私有的AS号，即使用64512~65535之间的AS号。L3MPLSVPN的实施方案B平面MPLSVPN网络逻辑关系图说明:IP城域网B平面两台核心路由器和所有业务路由器参与BGP路由协议；两台核心路由器与出口层路由器之间运行eBGP，与B平面内业务路由器之间运行iBGP；建议RR2台设置,建议使用单独的设备,不用SR或CR复用.这两台BGPRR属于同一个RRCluster，所有B平面业务路由器作为RR客户端；B平面两台核心路由器分别向B平面业务路由器通告BGP默认路由，B平面不向其它网络通告BGP默认路由仅向出口层通告B平面内部用户路由，同时B平面核心路由器从出口层学习完整Internet路由表，B平面业务路由器不承载Internet路由表，B平面内上海电信所有用户路由均由BGP协议进行承载。MPLSVPN跨域方式采用目前通用的OptionA/B的方式．MPLSVPN网络号码资源分配规则表MPLSVPN体系结构中，与MP-BGPVPN相关的号码资源主要包括：路由识别（RD，RouteDistinguisher）、路由目标（RT，RoutingTarget）以及VRF名称。路由识别区分符英文表示为:RouteDistinguisher,简称为RD。路由目标英文表示为:RouteTarget，间称为RT.其包括Export(导出)和Import（导入）策略。VRF为VPNRouting/Forwarding，就是为每个VPN定义自己的名字，该名字的命名规则应该遵循让人一看就明白的原则。上海电信MPLSVPN网络上述三个号码资源分配遵循以下规则：VRF命名规则：三层VRF命名格式：vrf3-name，其中vrf3为固定字符串，用来标识三层vrf实例。name则描述VPN用户具体有意义的名字。二层VRF命名格式：vrf2-name，其中vrf2为固定字符串，用来表示二层vrf实例。name则描述VPN用户具体有意义的名字。RT/RD分配规则：RD/RT可以采用<ASN>:<32bitnumber>格式。其中<ASN>16bits，余下的<32bitnumber>由各用户自行定义。为了保证与国内/外其它运营商之间的互通，应该采用合法自治域号码，如可以采用目前中国电信的合法自治域号码。对于国际和国内的跨域VPN业务，<ASN>的值为4809，余下的<32bitnumber>值分配建议遵循CN2RT/RD分配规范。对于城域网内VPN业务，<ASN>的值为城域网AS号，余下的<32bitnumber>值则按序进行分配。RD/RT用途备注<ASN>:1~1000上海电信内部使用<ASN>:<ASN>:1001~上海电信客户使用上海城域网优化工程中，需要用的的vrf如下：VRF名用途RDRT备注vrf3-iptvIPTVVPN4812:40014812:4001包括CDN网络、点播业务vrf3-ngnNGNTBDTBDMPLSVPN业务的接入方式对于传统的DDN/FR/ATM专线用户，可以直接接入到PE设备的相应接口上，配置相应的接口和相应的VRF，使用户直接接入到MPLSVPN中。对于以太网专线用户，用户采用光纤直连或其他方式接入到大客户平面的以太网交换机，将用户透传到业务控制层的SR设备上，即可以使用MPLSVPN服务。对于xDSL专线用户，可以配置xDSL接入方式为Bridged或Routed方式通过DSLAM的相应PVC/VLAN接入到SR路由器的接口上，从而接入到MPLSVPN。也可考虑将BRAS作为MPLSPE设备来使用。但是，在BRAS重载的时候，不建议以这种方式开展业务。三层MPLSVPN部署设计本期城域网优化工程，新增了8台Cisco12416和8台7750SR作为业务路由器，具备开展MPLSVPN业务的能力。城域网主要开放三层VPN业务，业务接入方面以光纤接入为主。城域网出口路由器和汇聚路由器开启MPLS作为VPN网的P设备；SR路由器则作为PE设备。PE与P设备，P设备之间仍然采用城域网内部路由协议OSPF/ISIS，所有MPLS链路包括虚接口都属于AREA0区域。MPLSVPN网络设备采用RSVP-TE协议传递公网标签，PE设备之间则采用MP-IBGP传递VPN路由信息和私网标签，由于城域网PE设备数量比较多，可以设置2台路由反射器（RR）来增加扩展性，每台PE使用两个iBGP的连接到两个互为备份的RR。本期工程，在NGN等方案设计时，考虑了采用VPLS技术。当采用二层VPN方式接入时，则可以在SR上开启VPLS功能，作为二层VPN用户接入控制设备。PE路由器的选取仍然与三层VPN网络相同，这些设备间采用RSVP-TE协议分配公网标签，二层PE设备之间采用LDP传递VPLS服务私网标签。SR需要为二层VPN用户配置二层VSI实例，并分配二层虚电路编号和VLANID。VPLS部署设计简述：Alcatel8台7750、32台7450以及核心CRS-1andTX组成VPLSdomain。B平面H-VPLS设计与部署上海电信B平面H-VPLS设计,采用H-VPLS设计,将VPLS的全网状VC的范围固定在小范围8台7750间，基本VPLS中的7750功能在层次化VPLS中被分离成两部分，一部分7750之间仍然进行全网状的业务隧道连接以及针对每个VPLSVPN的全网状VC连接，7750上仍然要进行MAC地址学习，并为每个VPLSVPN维护一个VPNMAC地址表，但7750的数量相对固定，7750间的全网状VC一次性建立后无需随着网络规模的扩展不断增加，7750间的全网状VC叫做HUBVC，7750路由器仍然负责对unknownunicast、broadcast和multicast数据包的复制和flooding。另一部分与基本VPLS不同的是，用户主要接到7450上而不是直接到进行全网状VC互连的7750上，7450与7750连接，对于每个连在7450上的VPLSVPN用户节点，7450和7750间为其建立一条点到点VC连接，叫做SPOKEVC，任何7450只和本地相连的7750建立点到点VC连接，而不会和VPN中其它相关的7450建立全网状VC互连，这样就减少了大量VC建立（控制平面）和flooding包复制（转发平面）带来的负载。7450设备可以是具备二层交换功能的设备或只有三层功能的设备，但最好能支持Martini封装，支持LDPVC，此外也可通过VLANtag（Q-in-Q）建立点到点SpokeVC.H-VPLS的设计的优势:举例分析假设有某大客户，有N（N=16）个点分别连入VPLS网，每个点双链路上连到2台7450上.需要配置的VC数量计算如下表：组网模式VPLS网构架方式VC配置数量(N=16)对等方式（Fullmesh）扁平化（不分层）2*N*(N-1)/2=240总公司-分公司模式（Hub-spoke）扁平化（不分层）2*（N-1）=30对等方式（Fullmesh）层次化（H-VPLS）8*（8-1）/2+2*N=60总公司-分公司模式（Hub-spoke）层次化（H-VPLS）8+2*N=40可见,在对等模式下,层次化的VPLS的架构,需要配置VC的数量将远小于扁平化的VPLS的架构.A-B平面跨域的VPLS设计与部署原理示意图VPLS业务并不仅仅只限于B平面城域网范围，利用层次化VPLS技术中的SpokeVC的概念，我们可以将VPLS从B平面城域范围扩展到A平面城域范围。跨A/B平面实施VPLS业务的关键一点在于在两个城域的边缘PE路由器之间，建立一条LSP，并且为每一个VPLS实例建立一条虚拟电路，将这个SpokeVC看做客户接入端口，这样就屏蔽了其他城域网里的情况，无需在所有城域的PE之间建立LSP和虚拟电路，从而具备了广域网所需的扩展能力。部署建议:在A,B平面各找1台SR做为2个平面间VPLS互通设备.VPLS2层接入L3MPLSVPN网的设计与部署2台7750和2台7450搭成的口字型连接,配置IP地址，并运行IGP协议(详见《上海电信IP城域网优化实施方案》)4台设备的口字型的链路上运行LDP,RSVP,4台设备间配置TEFRR保护链路和节点2台7750为一组,共4组,每组7750和8台7450搭成4个口字型,4口字型共用同一条7750间互联连路.业务保护部署方案业务保护概述业务保护技术主要是通过冗余的设备及链路设置，在设备或链路发生故障时业务流快速切换，从而不中断业务提供的技术。目前城域网可采用的业务保护技术较多，涉及到城域网的各个层面。基于设备本身的技术主要有NSF（不间断转发）、GR（优雅重启）等，在设备的主用引擎出现故障时，路由表和转发表也不需要重新计算，可以保证转发的流量不被间断。城域网核心路由层主要可以通过路由快速收敛和基于MPLS的FRR技术来实现业务保护。目前主流的厂家路由快速收敛基本可以做到亚秒级，FRR可以达到毫秒级。业务控制层主要可以通过VRRP+BFD方式实现专线网关和大客户互联网关的快速切换，切换时间可以达到亚秒级。业务保护部署方案上海电信城域网B平面核心主要采用Juniper和Cisco核心路由器，由于在网络中引起网络通信中断和可用性降低的事件包括路由器故障、线路故障和维护操作等，而维护操作(软件升级、配置改变、更换板卡等)实际上在中断分布中的份额很大，在一个网络设计中需要全面地解决三个方面的问题，并且根据各个Pop点对可用性的不同要求而采取不同的措施:临时路由黑洞避免路由器在进行维护操作前和启动过程中通知其他设备不加入IGP路由计算,可以通过ISISoverloadbits或largelinkmetric实现；对维护操作类作用明显，但可能引起其他网络线路拥塞，并且仅在网络存在迂回路径时作用；IGP/BGP快速收敛对路由器的接口卡、转发引擎的故障和线路故障作用明显，可以在sub-second恢复级别，对路由器的路由引擎的错误和切换影响不大；相对通用、简单、扩展性好；MPLSFRR对路由器的接口卡、转发引擎的故障和线路故障作用明显，可以在sub100ms恢复级别，对路由器的路由引擎的错误和切换影响不大；部署相对复杂；Gracefulrestart主要针对路由器的路由引擎的错误和切换，可以做到零丢包；需要注意的是能否做到零丢包与路由器的实现是否完整有关，不仅应该包含ISIS、BGP也应该包含LSP、RSVP等；建议在对全网的可靠性和QoS影响都非常大的节点同时采用上述技术，特别是MPLSFRR和Gracefulrestart，而对其他节点至少采用前2项，暂不采用MPLSFRR，是否采用Gracefulrestart取决于设备的支持情况。MPLSTEFRR实施设计为了保证MPLS网络的可靠性，MPLS快速重路由（FastRe-Route）技术扮演了重要角色。这种技术借助MPLS流量工程（TrafficEngineer）的能力，为LSP提供快速保护倒换能力。MPLS快速重路由事先建立本地备份路径，保护LSP不会受链路/节点故障的影响，当故障发生时，检测到链路/节点故障的设备就可以快速将业务从故障链路切换到备份路径上，从而减少数据丢失。快速响应、及时切换是MPLS快速重路由的特点，它可以保证业务数据的平滑过渡，不会导致业务中断；同时，LSP的头节点会尝试寻找新的路径来重新建立LSP，并将数据切换到新路径上，在新的LSP建立成功之前，业务数据会一直通过保护路径转发。MPLSTE快速重路由是MPLSTE中一套用于链路保护和节点保护的机制。当LSP链路或者节点故障时，在发现故障的节点进行保护，这样可以允许流量继续从保护链路或者节点的隧道中通过，以使得数据传输不至于发生中断，同时头节点就可以在数据传输不受影响的同时继续发起主路径的重建。MPLSTE快速重路由的基本原理是用一条预先建立的LSP来保护一条或多条LSP。预先建立的LSP称为快速重路由LSP，被保护的LSP称为主LSP。MPLSTE快速重路由的最终目的就是利用Bypass隧道绕过故障的链路或者节点，从而达到保护主路径的功能。快速重路由LSP和主LSP的建立过程需要MPLSTE系统的各个构件参与。MPLSTE快速重路由是基于RSVPTE的实现，遵循RFC4090。实现快速重路由有两种方式：Detour方式：One-to-oneBackup，分别为每一条被保护LSP提供保护，为每一条被保护LSP创建一条保护路径，该保护路径称为DetourLSP。Bypass方式：FacilityBackup，用一条保护路径保护多条LSP，该保护路径称为BypassLSP。考虑到上海电信城域网B平面的拓扑结构：任何SR之间至少有2条冗余的物理链路和2条相应的冗余的TE逻辑链路；由于TE逻辑链路路由优先级高于相应物理链路，TE链路（主TE）需要宣告到IGP之中，相应的网络流量将按TE方向传送；有鉴于此，由于本期2个业务层面业务没有交互，且SR都是同机房配置。不建议在2个业务层面之间建立直接联系。LSP分区域：IPTV层面8台SR之间fullmesh；关键业务层面8台SR之间fullmesh。2个业务层面单独配置时，TE域逻辑上划分为2个部分。每部分的LSP总数仍在可控范围内。我们做如下设计:要达到设计要求的亚秒级快速收敛的要求，我们完全可以通过IGP的快速收敛技术达到为了充分和有效利用网络资源，均衡负载:TT详细设计见下表：TE配置示例：TEFRR主要配置mplstraffic-engreoptimizeeventslink-upmplstraffic-engreoptimizetimersfrequency300interfaceTunnel12ipunnumberedLoopback0tunneldestinationSR-2tunnelmodemplstraffic-engtunnelmplstraffic-engautorouteannouncetunnelmplstraffic-engautoroutemetricabsolute1tunnelmodemplstraffic-engfast-reroutetunnelmplstraffic-engpriority11tunnelmplstraffic-engbandwidth250tunnelmplstraffic-engpath-option1explicitnamePrimary-pathipexplicit-pathnamePrimary-pathenablenext-addressTXnext-addressSR-2interfaceTunnel102ipunnumberedLoopback0tunneldestinationSR-2tunnelmodemplstraffic-engtunnelmplstraffic-engpriority77tunnelmplstraffic-engbandwidth250tunnelmplstraffic-engpath-option1explicitnameBackup-pathipexplicit-pathnameBackup-pathenablenext-addressCRSnext-addressSR-2interfacePOSXdescriptionSR-1--CRSmplstraffic-engbackuptunnel2BFD设计在实施MPLS链路保护时，以下因素会影响切换时间：故障侦测快速的故障侦测需要依赖接口的物理/链路层故障侦测或BFD而不能依赖RSVP的keepalive信息;从本质上讲，BFD是一种高速的独立HELLO协议（类似于那些在路由协议中使用的协议，如开放最短路径优先协议(OSPF)，或可以与链路、接口、隧道、路由或其他网络转发部件建立联系的中间系统到中间系统协议）。BFD能够与相邻系统建立对等关系，然后，每个系统以协商的速率监测来自其他系统的BFD速率。监测速率能够以毫秒级增量设定。BFD的负载控制包为UDP包,源端口49152.目的端口3784;BFD的回声包也是UDP包,源端口3785.目的端口3785.在本次工程中我们在路由协议及物理链路上都考虑开启BFD,初步想法如下表路由协议最小间隔ms重测次数BGP154IS-IS104OSPF104MPLSTE105路由协议最小间隔ms重测次数所有POS103所有GE103所有10G104说明：bfd的数据包的QOS保障,P队列,最优先CRS上BGP的BFD的配置示例RP/0/RP0/CPU0:router(config)#routerbgp64713RP/0/RP0/CPU0:router(config-bgp)#bfdmultiplier4RP/0/RP0/CPU0:router(config-bgp)#bfdminimum-interval15RP/0/RP0/CPU0:router(config-bgp)#neighborTXRP/0/RP0/CPU0:router(config-bgp-nbr)#remote-as64713RP/0/RP0/CPU0:router(config-bgp-nbr)#bfdfast-detectCRS上VRF的BFD的配置示例RP/0/RP0/CPU0:router(config-bgp-nbr)#address-familyipv4unicast0.0.0.0/02.6.0.1RP/0/RP0/CPU0:router(config-bgp-nbr)#bfdfast-detectminimum-interval10multiplier5address-familyipv4unicastaddressnexthopbfdfast-detectCRS上OSPF及GE链路上的的BFD的配置示例RP/0/0/CPU0:router#configureRP/0/0/CPU0:router(config)#routerospf0RP/0/0/CPU0:router(config-ospf)#area0RP/0/0/CPU0:router(config-ospf-ar)#interfacegigabitEthernet0/3/0/1RP/0/0/CPU0:router(config-ospf-ar-if)#bfdfast-detectRP/0/RP0/CPU0:router(config-static)#addressipv4unicast2.2.2.0/243.3.3.3bfdfast-detectionLSP的数量需要保护的LSP的数量;Ingressfailure时映射到Tunnel内的LDPlable和IPprefix数目在FRR保护的RSVPTE的ingress点出现故障时,切换速度还有可能与push进tunnel的LDPLSP和IPprefixnumber有关;路由器控制层面的更新能力关键业务(NGN)组网方案概述(1)本方案主要考虑AG方式接入的软交换承载，软PHONE方式接入暂不考虑；(2)软交换业务作为三层MPLSVPN的大客户承载；(3)软交换业务系统所有设备作为用户设备或CE设备接入；信令和媒体流承载在１个业务VPN中,业务子接口采用集团公司统一规划的私网地址；网管流承载在网管VPN中，网管子接口采用公网地址；VRFRT,RD设计见前章．关键业务子网连接图市区部分郊县部分关键业务收敛时间说明市区部分郊县部分软交换接入方式软交换两个核心节点(SS,SG,TG,AS等)分别通过两台三层交换机，同时接入CN2软交换VPN和城域软交换VPN中，作为两个VPN域的

CE设备。对端的PE设备采用城域网与CN2对接的共计四台SR。市区AG接入市区AG接入考虑有以下几种方案市区RIPv2方案对于市区的中兴、Alcatel的AG设备逻辑结构如下： 每2台3552组成一组为若干AG启动一个业务Vlan，两台3552上和这些AG互联口为该Vlan的Access口，这些AG均在同一个Vlan中，3552上对应此Vlan配置Vlan子接口，每对Vlan子接口上配置一组VRRP，VRRP的VIP作为这个Vlan中的AG的网关。考虑到两台3552的负载均衡，2台3552各作一半Vlan的主网关。 2台3552之间互联GE采用Trunk模式，Trunk里面透传业务Vlan。3552之间另有FE互联，作为三层链路，发生故障时通过FE进行流量转移。 2台7450和2台3552各自直联，3552到7450的接口启动三层的接口模式。 每台7750的下联vpls虚接口及下联7450上的3552均划分在同一个IP地址网段，7750和3552之间启用RIPv2路由协议，7750将缺省路由下放，每台3552上所有端口均启用RIPv2协议，Passive下联端口，3552的上联链路只接收RIPv2缺省路由，不接收RIPv2其他路由，降低3552运行负载。 正常情况下3552A收到两条缺省路由，分别为7750A发布和7750B发布，由于7750B发布的缺省路由进过3552B，因此hop数+1，3552A选择缺省路由指向7750A。 2台7750采用不同的local-preference将同一条业务路由向外发布，NGNVRF采用相同RD，RR路由器通过对比BGP路由属性，优选local-preference高的VPNv4路由向其他7750反射，实现NGN路由冗余；正常情况下local-preference高的7750的下联3552为主用VRRP，使得进出AG的数据路径为同一条。 正常情况下： 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障发生的情况下： 故障点1：AGA和3552A互联链路中断（AG端口自动切换） 出流量：AGA－>3552B－>7450B－>7750B 入流量：7750A－>7450A－>3552A－>3552B－>AGA 故障点2：AGA和3552B互联链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点3：3552A和3552B互联GE链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点4：3552A和3552B互联FE链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点5：3552A和7450A互联链路中断（3552A指向7750A的缺省路由失效，3552A指向3552B到7750B的缺省路由生效） 出流量：AGA－>3552A－>3552B－>7450B－>7750B 入流量：7750B－>7450B－>3552B－>3552A－>AGA 故障点6：3552B和7450B互联链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点7：7450A和7450B互联链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点8：7450A和7750A互联链路中断（vpls快速收敛） 出流量：AGA－>3552A－>7450A－>7450B－>7750B－>7750A 入流量：7750A－>7750B－>7450B－>7450A－>3552A－>AGA 故障点9：7450B和7750B互联链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点10：7750A和7750B互联链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点11：3552A宕机（AG端口自动切换） 出流量：AGA－>3552B－>7450B－>7750B 入流量：7750B－>7450B－>3552B－>AGA 故障点12：3552B宕机 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点13：7450A宕机（3552A指向7750A的缺省路由失效，3552A指向3552B到7750B的缺省路由生效） 出流量：AGA－>3552A－>3552B－>7450B－>7750B 入流量：7750B－>7450B－>3552B－>3552A－>AGA 故障点14：7450B宕机 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点15：7750A宕机（3552A指向7750A的缺省路由失效，3552A指向3552B到7750B的缺省路由生效） 出流量：AGA－>3552A－>3552B－>7450B－>7750B 入流量：7750B－>7450B－>3552B－>3552A－>AGA 故障点16：7750B宕机 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA市区静态路由方案对于市区的中兴、Alcatel的AG设备逻辑结构如下： 每2台3552组成一组为若干AG启动一个业务Vlan，两台3552上和这些AG互联口为该Vlan的Access口，这些AG均在同一个Vlan中，3552上对应此Vlan配置Vlan子接口，每对Vlan子接口上配置一组VRRP，VRRP的VIP作为这个Vlan中的AG的网关。考虑到两台3552的负载均衡，2台3552各作一半Vlan的主网关。 2台3552之间互联GE采用Trunk模式，Trunk里面透传业务Vlan。3552之间另有FE互联，作为三层链路，发生故障时通过FE进行流量转移。 2台7450和2台3552各自直联，3552到7450的接口启动三层的接口模式。 2台7750下联vpls虚接口及2台3552上联端口均在同一个IP网段中，7750A和7750B之间启用VRRP，3552A和3552B之间启用VRRP。 3552A缺省路由指向7750VRRPVIP，另设置浮动路由（缺省路由指向3552B，Metric为250），3552B缺省路由指向7750VRRPVIP，另设置浮动路由（缺省路由指向3552B，Metric为250）。 2台7750都配置指向AG网端的VRF静态路由,下一跳为2台3550的上联接口VRRP虚拟地址,2台7750都把该静态路由分发到NGNVPN的BGP路由中去,并且采用不同的local-preference，NGNVRF采用相同RD，RR路由器通过对比BGP路由属性，优选local-preference高的VPNv4路由向其他7750反射，实现NGN路由冗余；正常情况下local-preference高的7750的亦为VRRP主用设备，使得进出AG的数据路径为同一台7750。 正常情况下： 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障发生的情况下： 故障点1：AGA和3552A互联链路中断（AG端口自动切换） 出流量：AGA－>3552B－>7450B－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>3552B－>AGA 故障点2：AGA和3552B互联链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点3：3552A和3552B互联GE链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点4：3552A和3552B互联FE链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点5：3552A和7450A互联链路中断（3552A指向7750A的缺省路由失效，3552A指向3552B的浮动路由生效） 出流量：AGA－>3552A－>3552B－>7450B－>7450A－>7750A 入流量：7750A－>7450A－>7450B－>3552B－>3552A－>AGA 故障点6：3552B和7450B互联链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点7：7450A和7450B互联链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点8：7450A和7750A互联链路中断（vpls快速收敛＋VRRP切换） 出流量：AGA－>3552A－>7450A－>7450B－>7750B 入流量：7750B－>7450B－>7450A－>3552A－>AGA 故障点9：7450B和7750B互联链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点10：7750A和7750B互联链路中断 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点11：3552A宕机（AG端口自动切换） 出流量：AGA－>3552B－>7450B－>7450A－>7750A 入流量：7750A－>7450A－>7450B－>3552B－>AGA 故障点12：3552B宕机 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点13：7450A宕机（3552A指向7750A的缺省路由失效，3552A指向3552B的浮动路由生效） 出流量：AGA－>3552A－>3552B－>7450B－>7750B 入流量：7750B－>7450B－>3552B－>3552A－>AGA 故障点14：7450B宕机 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA 故障点15：7750A宕机（VRRP切换） 出流量：AGA－>3552A－>7450A－>7450B－>7750B 入流量：7750B－>7450B－>7450A－>3552A－>AGA 故障点16：7750B宕机 出流量：AGA－>3552A－>7450A－>7750A 入流量：7750A－>7450A－>3552A－>AGA市区OSPF方案 OSPF方案与RIP方案类似，在两台7750和两台3552之间运行OSPF协议，通过OSPF实现系统高可用性。 OSPF对3552的系统资源需求比较高，OSPF的AREA规划对于现网可以分两种方式：一是两台7750和下联所有3552均在同一个AREA0中，考虑到目前及明年NGN局点的规划，同一个AREA中可能存在100台路由器，7750和3552均系统均无法正常运行；二是两台7750之间化为AREA0，每一组3552和7750之间为一个AREA，对于每台7750将开设多个vpls实例，规划相当复杂。市区方案建议在目前的网络结构下，7750和3552之间实现冗余的方式只有静态路由和动态路由两种方式，静态路由规划复杂，对于后期运维极其复杂，不建议采用。动态路由的方式中，相对于OSPF的系统资源需求较高，规划复杂，RIPv2协议可以很好的克服这些缺点，可以将接入同一台7450的3552及上联7750均规划在同一个网段，减少规划复杂性，3552上联链路只接收缺省路由，可以很好的减少路由条目数，降低3552系统资源消耗。建议使用RIPv2方式。郊县AG接入目前AG设备有中兴和Alcatel两种设备，郊县组网方案分为DH和SH两种方式，以下将分别说明。松江中兴方案建议松江中兴不采用3552汇聚，直接接入北电以太环网。以太环网作为二层透传，两台7750通过VRRP对AG进行保护。考虑到VRRP数量限制，建议将多个AG规划在同一个Vlan中，两台7750分别为一半Vlan的VRRP主设备，如下图所示：松江Alcatel方案建议松江Alcatel采用3552作为汇聚，3552对于AG启用VRRP保护，3552和7750之间建议通过RIPv2动态路由协议进行保护。如下图所示：其他郊县中兴方案建议中兴不采用3552汇聚，直接接入北电以太环网。以太环网作为二层透传，两台7750通过VRRP对AG进行保护。考虑到VRRP数量限制，建议将多个AG规划在同一个Vlan中，两台7750分别为一半Vlan的VRRP主设备，如下图所示：其他郊县Alcatel方案建议Alcatel采用3552作为汇聚，3552对于AG启用VRRP保护，3552和7750之间建议通过RIPv2动态路由协议进行保护。如下图所示：郊县环网概述目前上海电信城域网优化项目中，郊县北电环网组网方案有两种：一是Single-home（SH）方式，ESU设备连接到一台8600；另一种为Dual-home（DH）方式，ESU设备连接到两台8600。松江采用Dual-homed结构，其余6个郊县（嘉定、奉贤、崇明、南汇、金山、青浦）采用Single-homed结构。Single-homed结构有两种可选方案，以下将一一表述。松江方案松江方案为郊县北电环网终网方案，为Dual-homed方式，如下图所示：松江存在2台8600和2个SH环，3个DH环。每个DH环上各部署6台ESU设备。 其他郊县方案其他6个郊县为SH方案，如下图所示： 网络中存在2台8600和4个SH环，每个SH环上各部署5台ESU设备。 由于此方案为SH方式，因此需要在未来条件成熟后割接至DH方式，如下所示：大客户接入组网方案大客户上网接入方案对于大客户上网接入，采取专线上网直接放公网地址的方式，不建议采用VPN＋NAT的方式．大客户VPN组网接入方案大客户L3MPLSVPN接入组网方案汇聚交换机和SR之间组成一个VPLS汇聚网络VPLS将大客户流量透传到7750SR上,冗余考虑,建议配置2条VLL到CE的2个接口在7750SR上开启L3VPN,汇聚层VPLS直接终结在L3层VPN中,PE-CE之间路由建议运行BGP或者Static路由协议,如果客户CE支持BGP,则首选BGP.为每个大客户VPN开启一个单独的VPLS以保证安全。大客户VPLS组网接入方案对于通过现有交换机上联的大客户，对其分配QinQ标签，上传到7450，再通过VPLS，透传到大客户的其他CE点。VPLS做为2层透明通道,不合CE运行任何2层/3层的协议,透传用户的所有数据,包括STP,CDP等信息建议CE双链路上联,然后利用客户自身网络的STP协议,自行block备用链路.(注意,如果用户未使用STP保护,则单链路和CE上联,以免引起环路广播风暴等影响电信的VPLS网络)网络设备命名和IP地址需求设备和端口命名规则设备名格式：网络名称-设备角色-机房缩写-设备型号-设备编号网络名称-设备角色-机房缩写-设备型号-设备编号符号字符字符字母字符字符字符字符字符数字字符数=3＝1＝1＝1＝2~4＝1＝2~7＝1=1选项必选必选必选必选必选必选必选必选必选说明：原则上沿用上海电信城域网命名规则，字母全部小写，两端和中间没有任何空格，采用不定长命名。网络名称：3个字符，对于本次网络采用ipb来表示新购设备。设备角色：1个字母，如下：c:=core,核心设备，本次工程中包括tx和crs路由器s:=SR,业务控制层，本次工程中包括gsr12416和sr7750路由器a:=access,边缘接入设备，本次工程中包括hw8505、ess7450、ers8600、esu1800交换机。机房名缩写：2至4个字母或数字。原则取用机房名称前两个汉字拼音首字母，个别机房名长于两个拼音字母的按照实际情况编写，但最长不应超过四个字母或数字。对于同城n个机房缩写相同，则按谐音或近音改变其中n-1个机房的缩写，以实现同城机房名缩写的唯一性。本次工程中包括如下（不全）：机房缩写机房缩写武宁wn柳林lli康健kaj斜土xt控江kj云莲yl大华dah金杨jy设备型号：2至7个字母或数字。本次工程中包括：设备型号设备型号设备型号设备型号txcrsgsr416sr7750hw8505ess7450ers8600esu1800设备编号：1个数字（1－9），同一机房内对不同设备角色从1开始编号。（由于对不同机房或设备角色是重新编号的，9足够）。关键业务子网局点分布表与设备命名设备端口命名端口名格式：POSslot/port(cisco)GigabitEthernetslot/port(cisco)so-fpc/pic/port(juniper)说明：除Alcatel设备外，其他三家的端口命名都根据厂家规则来命名，如cisco对POS口的命名格式为POSslot/port，华为也类似，juniper对POS口的命名格式为：so-fpc/pic/port，Alcatel的端口命名是一个可以随意定义的字符串。为保持统一，Alcatel的端口命名使用juniper的端口命名方法。举例：pos2/1表示“第二插槽的第一个POS端口”。端口描述网络端口描述格式：To对方设备名称链路带宽(传输电路号)To空格对方设备名称空格链路带宽空格(传输电路号)符号字符字符字符字符字符字符字符长度＝2＝1≤20＝1≤5＝1≤20选项必选必选必选必选必选必选必选说明：To:固定字符串；对方设备名称：在点对点链路情况下，采用与设备直接连接的对方设备名称；对于以太网点对多点的链路情况下，填写直接连接的网段名称。链路带宽：10M、100M、GE、155M、622M、2.5G、10G等等,不区分ATM、POS和以太网端口类型，在端口名称中区分。传输电路号：采用传输部门给出的电路代号，对于同机房背对背连接的端口，在没有传输代号的情况下，采用ODF架上的编号。用户端口描述格式：To用户名称客户索引业务带宽(传输电路号)To空格用户名称空格客户代号索引空格业务带宽(传输电路号)符号字符字符字符字符字符字符字符字符字符数＝2＝1≤10＝1≤20＝1≤5≤20选项必选必选必选必选必选必选必选可选说明：To:固定字符串。用户名称：全中文（拼音）或全英文；外国公司客户使用英文、国内公司客户用汉语拼音（汉语拼音首字母使用大写；英文的首字母使用大写）客户索引：用户编号＋直接联系用户的电话，用户编号与市场部门的编号一致。链路带宽：10M、100M、GE、155M、622M、2.5G、10G等等,不区分ATM、POS和以太网端口类型，在端口名称中区分。传输电路号：采用传输部门给出的电路代号，对于同机房背对背连接的端口，在没有传输代号的情况下，采用ODF架上的编号。IP地址分配IP地址分配的基本规则是：B平面核心路由器、SR设备等的loopback地址采用公有/32地址，由上海电信统一分配。设备互联地址（/30）分配地址，分配原则是：核心路由器－SR设备：核心路由器使用小的地址，SR使用大的地址IP地址分配原则：具体分配表见实施方案中的IP地址分配表。QoS方案综述本质上，要保证服务质量的最基本和最佳的手段是网络容量的扩容，通过增加链路带宽来保证网络轻载。IPQoS的目标是有效地为用户提供端到端的服务质量控制或保证。设备上的QoS机制只是优化了数据包在设备中被转发的调度策略。QoS就是网络单元（例如，应用程序，主机或路由器）能够在一定级别上确保它的业务流和服务要求得到满足。QoS并没有创造带宽，只是根据应用程序的需求以及网络状况来管理带宽。IPQoS有一套性能参数，主要包括：业务可用性：用户到Internet业务之间连接的可靠性。传输延迟：指两个参照点之间发送和接收数据包的时间间隔。可变延迟：也称为延迟抖动（Jitter），指在同一条路由上发送的一组数据流中数据包之间的时间差异。吞吐量：网络中发送数据包的速率,可用平均速率或峰值速率表示。丢包率：在网络中传输数据包时丢弃数据包的最高比率。数据包丢失一般是由网络拥塞引起的。分类标记本地城域网和CN2遵循统一的QoS业务分类，均适用8个QoS标记，其中一个供中国电信内部关键业务使用，一个作为预留，其余对外提供业务。具体的分类标记见下表。（参见集团公司2006年1月QoS分类标准）等级优先级(从高到低)等级名称城域网标记(IPPRE/EXP/802.1P)CN2标记(IPPre/EXP)城域骨干网队列类型(参考)业务类型（参考）4中国电信自身关键业务100100严格优先队列3G/软交换语音等6城域网专用110110轮循队列1网络控制信息或城域网专用7CN2/城域网钻石业务111111轮循队列2大客户实时语音5CN2/城域网白金业务101101大客户交互视频，IPTV组播，新视通，全球眼3CN2/城域网金业务011011轮循队列3大客户信息系统VNET金1CN2/城域网银业务001001大客户视频点播，VNET银2CN2/城域网铜业务010010大客户普通数据，个人VIP互联网接入0CHINANET业务000000轮循队列4CHINANET业务图表QoS分类标记表在城域网和CN2对接的初期，在CN2一侧完成进出城域网数据包的标记重新映射工作，待集团公司统一下发规定后，城域网和CN2互相信任彼此的QoS标记。对从ChinaNet进入城域网的数据包进行重标记为普通的业务等级。宽带接入网（包括普通用户接入平面和高质量用户接入平面）和城域网骨干网之间的标记映射在城域网骨干网一侧进行。需要注意的是，在所有宽带接入网入口处重置QoS标记，以预防来自用户侧的QoS攻击。城域网QoS实现方式城域网部署以DiffServ为主的QoS技术（业务分类、标记、流量控制、队列调度等机制）提供突发拥塞时QoS保证。城域网基于DiffServ的QoS机制，主要应用在IP城域网和宽带接入网两个部分。IP城域内的路由器（含业务接入控制层的BRAS和SR）开启DiffServ，形成三层DiffServ域。城域网DiffServ域分为边界和骨干两部分：用户边界设备为城域网接入层设备BRAS和SR，骨干边界设备为出口路由器；骨干设备为城域网核心层和汇接层路由器。在边界和骨干设备开启不同的DiffServQoS机制，提供城域网DiffServ域边界到边界（edge-to-edge）的QoS保证。B平面QoSB平面以带宽预留保证为主，结合DiffServ、路由快速收敛、快速重路由等技术，实现网内的QoS保障。要求如下：B平面使用MPLSEXP作为标记字段。在网络边界设备（SR）上进行分类和标识，原则上根据端口（物理端口或逻辑端口）或标记字段实现业务分类和标记。在保证安全的前提下，可以考虑用IP地址或应用层端口号来分类，以提高业务开展的灵活性。限速和整形在SR上进行。B平面网络设备提供1个绝对优先队列和4个以上加权轮循队列，配合WRED丢弃机制，实现基于QoS等级的IP包转发。B平面带宽利用率保证网络带宽的峰值利用率低于50%(5分钟平均值)链路带宽利用率的预警界线为一天内5分钟平均值超过50％的时长累计超过2小时A平面QoSA平面以基于DiffServ为主的QoS技术提供突发拥塞时QoS保证，要求如下：A平面使用MPLSEXP作为标记字段，在业务接入控制点根据物理端口、`逻辑端口或CoS位等标记字段完成对接入用户的分类和三层QoS标记。在业务接入控制点实现用户上行流量的限速和用户下行流量的限速或整形。BRAS、SR和核心路由器提供1个绝对优先队列和3个以上加权轮循队列，配合WRED丢弃机制，实现基于QoS等级的IP包转发。A平面带宽利用率保证网络带宽的峰值利用率低于85%（暂定）(5分钟平均值)链路带宽利用率的预警界线为一天内5分钟平均值超过85％的时长累计超过2小时宽带接入网QoS宽带接入网以基于802.1p为主的QoS技术提供突发拥塞时的QoS保证。要求如下：由DSLAM与园区交换机根据VLANID完成不同用户或业务的CoS分类和标记，如采样SVLAN技术，汇聚交换机设备需要将内存VLAN的CoS标记映射成外层VLAN的CoS。DSLAM和园区交换机实现宽带接入用户上行流量的限速。在DSLAM上设置DSLAM到Modem的握手速率上限，以提高连接的稳定性。宽带接入网接入点及以上设备提供1个绝对优先队列和1个以上轮循队列，实现基于QoS等级的数据包转发。网络安全路由器安全性最近针对路由器及其他网络组件的攻击数量大大增加，为了保护网络不受意图破坏网络的人的攻击，运营商必须采取积极的措施，找出并利用能够增强网络安全性的网络和路由器设计特性。路由器安全性可分为以下3个要素：路由器的物理安全性操作系统安全性配置增强这里没有对物理安全性提出建议，只是提出了显而易见的事实——保护任何网络设备的第一步就是限制设备的物理接入。如果攻击者能够访问到路由器的console口，防止这种攻击的难度就会非常大。路由操作系统固有的安全性在路由器安全性中也起着重要作用。如果操作系统本身不安全，则路由器可能会受到影响——无论是否认真进行了安全配置。例如，黑客经常用来破坏路由器的一种技术就是寻找路由操作系统代码中的弱点，引发缓冲溢出。为了防止这种非法利用，操作系统必须极为稳定、强韧。本章集中介绍路由器安全性的第三个方面：路由器配置的增强。配置增强指利用路由器操作系统提供的工具来应用可靠的安全性策略的方法。只要有一套强韧的安全工具，实际上任何路由器配置都能够安全地运行。即便有了这些工具，也还是有可能因为错误配置一个本来完全安全的操作系统，导致路由器容易受到攻击。以下将讨论配置增强的4个方面：路由器接入安全性路由协议安全性保护路由引擎安全审计路由器接入安全性管理和维护路由器基础设施必须拥有安全的远程接入。除非由经过授权的用户打开远程接入接口，否则不可能进行远程接入。与路由器建立远程通信有两种方法：带外管理和带内管理。带外管理在带外，可通过路由器管理专用接口连接到路由器。路由器一般都具备专用管理以太网接口以及EIA-232控制台和辅助端口。管理以太网接口直接连接到路由引擎，这个接口不允许转接流量，可完全隔离客户流量和管理流量，确保转接网中的拥塞和故障不会影响路由器的管理。甚至在受到DoS攻击和其他运行中断的情况下，建立独立的管理网络可促进路由器基础设施的管理。通过建设带外网管网络，可以实现远程管理和网络恢复；即便主网络发生灾难性故障，也可进行远程管理和恢复。尽管这样做的成本很高，而且要求相当大的资源，但是这种网络可以很好地隔离管理控制流量和转接流量。带内管理带内管理可以利用承载客户流量的接口连接到路由器。尽管这种方法很简单，不要求专门的管理资源，但是它也有一些缺点：网管流量和业务流量混合在一起。与正常流量混合的任何攻击流量都能影响到与路由器通信的能力。路由器间的链路可能不完全可信，这样有可能受到线路窃听和重放攻击。几乎所有网络都需要带内路由协议流量，这些流量要求的安全措施与带内管理业务的完全相同。因此，本文其余章节假定采用带内管理的方法建立与路由器的管理通信。与路由器通信在管理接入方面，可以采用几种方法在远程控制台和路由器直接通信。最常用的方法是采用应用Telnet和SSH。SecureShellSSH可在不安全的网络上提供安全加密通信，因此对于带内路由器管理很有用。集中鉴权由许多不同人员管理多台路由器可能产生用户帐户管理问题。使用集中鉴权服务可以解决这个问题；这样可简化帐户管理工作。利用这个机制，可通过一台中央服务器执行帐户创建和删除操作。例如：这样可以通过单一变化来启用或禁用某位员工接入所有路由器的权限；甚至不要求更改任何路由器的配置。集中鉴权系统还可以简化SecureID等一次性密码系统的使用；这种系统可以很好的防止密码嗅探和密码重放攻击（在这种攻击中，攻击者使用获取的密码假扮路由器管理员。）利用一次性密码，合法用户每次接入系统时都将使用不同的密码字符串。即使攻击者能够窃听到密码，系统在随后的登录尝试中也不会接受它。选择鉴权服务协议时，建议使用RADIUS。RADIUS是一个多厂商IETF标准，其特性的接受范围比TACACS+或其他专用系统特性的接受范围更广。此外，可以使用一次性密码系统以提高安全性，而且所有提供这些系统的厂商都支持RADIUS。可以在路由器创建一个或几个“模板帐户”，并使用模板帐户配置用户接入该路由器的权限。路由协议安全性路由器的主要任务是使用它的路由表和转发表将用户流量转发到既定目的地。攻击者可以向路由器发送“伪造”的路由协议数据包，以期更改或破坏路由表或其他数据库的内容；这样有可以路由器和网络的功能造成影响。要防止此类攻击，路由器必须确保他们与可信对端建立路由协议关系（对等或邻近关系）。实现这一点的方法之一就是对路由协议信息进行鉴权。建议在配置路由协议时使用鉴权。用于BGP、OSPF、IS-IS、RIP和RSVP的HMAC-MD5鉴权。HMAC-MD5使用与待传输数据结合的密钥来计算散列信息。经过计算的散列信息与数据一同传输。接收方使用匹配的密钥来重新计算并证实信息散列。如果攻击者伪造或修改了信息，散列会不匹配，数据将被丢弃。尽管所有IGP都支持鉴权，但是有些IGP本身就比其他IGP更加安全。大多数运营商都使用OSPF或IS-IS来实现快速的内部收敛、可扩展性以及利用MPLS使用流量工程功能。因为IS-IS不在网络层运行，所以它比OSPF更难欺骗；OSPF被封装在IP中，因此容易受到远程报文欺骗和DOS攻击。带内流量过滤到路由引擎前一节讨论了鉴权的使用，以确保路由器只与可