电信IP城域网建设方案概述

电信IP城域网方案交流汇报提纲

IP城域网建设需求分析

IP城域网方案介绍 华为解决方案特点华为数据产品应用介绍电信业务市场变化趋势电信业务市场正在从提供根本通话效劳的市场转化为增值业务为根本特征的全面信息效劳市场；主要表现在：1.根本通话需求市场趋向饱和和竞争急剧加大截止到2003年上半年，固定2.38亿户，移动2.34亿户，普及率较高传统电路交换的语音效劳正在大量被IP网络分流，电路交换网络将越来越被推向了网络的接入局部；并且随着互联网普及全程IP的话音效劳将成为大势所趋2.语音业务进入微利时代，数据业务成为强势增长点从全球范围来看，传统话音业务占电信业务中收入的比例从上世纪90年代末开始逐步下降；传统电信业务总收入已不再增长，局部地区还以每年1%的速度下降；而以IP技术为主的宽带业务在短短几年中已占电信业务总收入的5%，绝对值以每年1倍的速度增长，而全球范围内数据业务收入年增长速度到达18%，视频应用收入年增长速度到达68%2003年通信市场宽带用户呈雪崩式增长，数据通信业务通信收入同比增长46％，IP长话收入超过了固定长话和移动长话〔42％：30％：28％〕

IP城域网是宽带业务统一承载平台NGN/3GISP/ICPASPORTALATMDDNX.25宽带IP网络语音接入多媒体接入图象接入数据接入CENTREX会议电视局域网E-PhoneADSL2G/3GIntranet/Extranet

城域接入层城域会聚层

城域骨干层业务管理层城域接入层开展需求：低本钱、广覆盖灵活的组网方式，低廉的维护本钱用户的标识、隔离用户带宽控制、QOS接入设备的成熟性、稳定性

电信IP城域网接入层开展需求城域接入层城域会聚层

城域骨干层业务管理层城域会聚层开展需求：兼备丰富的二层、三层业务特性用户管理的关键节点，支持对用户认证、计费、优先等级、以及业务感知的能力支持VPN业务向会聚层延伸支持公私网地址转换功能，尤其是公私网地址的混合使用支持强大的平安管理，对下隔离接入层用户，控制二层网络风暴；对上保护核心层设备，封闭恶意用户攻击支持对下级网络设备低本钱维护管理城域网会聚层开展需求城域接入层城域会聚层

城域骨干层业务管理层城域骨干层开展需求：高端设备具备弹性组网能力，满足不同规模城域网对核心设备的要求高性能，要求分布式硬件转发架构，并能灵活扩充业务高可靠性、高平安性、高扩展性支持MPLSVPN、组播等新技术的开展快速响应新业务需求的能力很重要多一个选择多一份保证骨干层的开展需求新业务引发的新需求NAT设备支持H.323穿越语音业务和视频业务假设采用私有IP运营，那么至少NAT设备应该支持H.323穿越功能业务感知功能承载网设备识别业务协议类型，并能够相应进行通道控制、资源分配、效劳质量等级标示等动作。全业务开展能力要求承载网设备在部署了大量的ACL、QOS等规那么或者实施NAT等业务情况，仍然保持出色的转发性能平安问题针对日益猖獗的网络攻击行为，如何有效保障承载网正常运行杜绝收入流失杜绝黑网吧、私人帐号共享现象汇报提纲 IP城域网建设需求分析

IP城域网方案介绍 解决方案特点

省骨干中心局Cisco120237513iManager网管VPN网管综合业务平台中心局...县级节点新增IP上行ADSL节点LAN用户大客户VPN用户原有ADSL网络NE80/40S6506MA5200ISN8850图例GE100MIP城域网络建设方案新增IP上行ADSL节点市内新增POP电信宽带IP城域网MPLSVPN实施方案电信宽带IP城域网可采用两种MPLSVPN实施方案：1〕集中控制-核心路由器作为PE设备，MPLSVPN功能的实现控制在城域网核心层；会聚交换机通过VLANTrunk方式将用户CE设备接入到PE设备2〕分散控制–核心路由器作为P设备，会聚交换机作为PE设备，在全网范围内实现MPLSVPN功能大会聚省干节点原有设备GEFEGEGEPEPCEPPPE方案1方案2两种MPLSVPN实施方案的比照我们从如下几个方面，系统地比较两种MPLSVPN实施方案：1〕网络的可维护性2〕网络的平安性3〕网络的扩展能力4〕网络的建设本钱网络的可维护性集中控制方案需要配置的PE设备有2台分散控制方案需要配置的PE设备有15台MPLSVPN的配置，需要运维人员掌握MBGP协议、MPLS、VRF、路由多实例等配置，配置难度及工作量都比较大，培养一个这方面的运维人员周期教长集中控制方案只需要配置2台PE，开展业务时配置复杂度及工作量远远小于分散控制方案；集中控制方案需要会聚交换机配置VLAN，而VLAN的配置非常简单网络的平安性集中控制方案需要配置的PE设备有2台分散控制方案需要配置的PE设备有15台PE设备知道整网的MPLSVPN拓扑、各VPN内部的路由，如果一台PE设备被攻破，将导致整个MPLSVPN网络瘫痪采用分散控制方案，将大量PE设备放置在郊县，存在严重的平安隐患网络的扩展能力集中控制方案需要配置的PE设备有2台分散控制方案需要配置的PE设备有15台当前贵州电信各城域网采用独立自治域，跨城域网提供MPLSVPN业务，涉及到MPLSVPN的跨域问题；跨域提供MPLSVPN业务，技术上要求所有的PE设备通过MBGP交换路由采用分散控制方案，每个城域网都设置了10多台PE设备；将来假设在整个贵州电信城域网开展MPLSVPN业务，将有上百台PE设备交换路由，严重影响网络整体性能，给会聚交换机带来太大的压力及性能要求，该方案根本不可用网络的建设本钱集中控制方案需要配置的PE设备有2台分散控制方案需要配置的PE设备有15台在当前MPLSVPN业务量不大的情况下，大规模部署MPLSVPN的PE设备，将降低投入产出比总结集中控制方案（核心交换机做PE）分散控制方案（汇聚交换机做PE）网络的可维护性2台PE设备，配置、维护工作量小15台PE设备，配置、维护工作复杂、工作量大网络的安全性PE设备集中管理，降低安全隐患PE设备大量分散到地县，存在严重的安全隐患网络的扩展能力扩展能力良好扩展能力存在严重问题，基本不可用网络的建设成本低高汇报提纲 IP城域网建设需求分析IP城域网方案介绍

解决方案特点数据产品应用介绍城域网解决方案特点弹性的核心组网模式智能化会聚层设备立体式平安堤坝完整的VPN解决方案全业务＋高性能USR是兼具L3和GSR特性，可根据网络业务需要灵活配置的通用平台并且可以平滑升级，保护投资USRNE40借鉴了NE80硬件平台，继承NE80强大路由能力融合丰富以太二层特性，网络建设初期主要配置二层特性接口，降低建设本钱，业务量扩大后直接扩容或升级为GSRNE40提供更多特性，如高密以太接口、全面高品质MPLSVPN、大容量组播，NAT，BRAS等等NAT单板每个GE端口都可以到达线速NAT，这是由于NP转发技术决定的弹性的核心组网模式：USRL3NATUSR:NE40GSR大规模的MPLS/VPN部署能力MPLS/BGPVPNRFC2547/2547bis根本能力1024VPN×1024路由跨AS能力L2TP方式访问VPNInternet访问MPLSL2VPNMartini方式

Kompella方式

4096VPN×100连接

CCC

本地连接L2switching

远程连接MPLStunneling4096连接NE80/NE40MPLSVPN能力VPLS针对以太网的MPLSVPN方案EoMPLSMartini方式线速的MPLS/VPN接入、处理与转发性能大规模的MPLSVPN部署能力，领先VPN业务管理系统全面的MPLSVPN支持方式Internet及电信类业务承载方案Internet业务传统的自由Internet业务，如：Web业务尽力而为的Internet话音各种业务实验收入来自接入费电信类业务有保障的电信级业务，如：传统实时通信业务视讯等电信级的多媒体业务协同工作企业互联收入来自多种增值业务公路系统〔尽力转发〕航空/铁路系统〔统一调度有保障〕采用MPLSVPN技术承载电信类业务〔VOIPVPN、视讯VPN、各企业VPN等〕，简化管理，防止业务系统之间的相互影响，淡化了Internet平面对电信类业务平面的影响，确保平安性一个物理网络，两张逻辑网络IP电信网多厂商MPLSVPN的业务管理-VPNManager跨域VPN多厂商设备共同管理〔C、J、H〕支持MPLS/BGPL3VPNMPLSL2VPN及HOPE业务规划/业务配置/业务审计已有业务发现性能监控故障管理实时拓扑显示客户管理网络资源管理〔RM〕VPNManager案例分析中国电信169网国干VPN解决方案智能化会聚层部件会聚层接入层、用户驻地网出口L2IADL2L2出口L2IADL2L2核心层NE40语音流量视讯流量INTERNETFEFEMA5200F＝L3+BRAS+NATMA5200FSOFTX3000出口L2IADL2L2信令流媒体流〔语音〕媒体流〔视讯〕数据流S8016识别合法用户，根据用户属性分配带宽PEPEPE分别对控制信令，语音流、视频流、数据流动态打上不同优先级标签转发注：NGN模型INTERNETNP业务转发业务控制控制子系统EAS数据流控制L2/IPDSLAM数据流立体式平安堤坝：接入层通过帐号+VLAN隔离隧道的认证手段，兼顾业务接入的平安性与灵活性通过基于VLAN/PVC隔离隧道的全过程资源限制与记录，确保IP城域网的平安可靠性和不可抵赖性通过VLAN/PVC隔离手段，为每个用户提供独立的VLAN/PVC隔离“隧道〞会聚层平安－强管理边界IP城域网Internet宽带接入网CPN网运营支撑网1、设备可用性平安：用户采用不同的VLAN，控制接入网/CPN网的接入请求2、城域网可用性平安：网络互访，均必须由接入平安边界网关设备代理完成，从而保证IP城域网的私密性DHCP效劳器网管效劳器SoftSwitchMA5200F3、路由平安：对报文进行平安检查、流控与记录，过滤非法访问、抑制Proxy等非法接入、快速定位用户的网络攻击会聚平安边界4、用户管理平安：帐号/密码+VLAN+MAC+…，增强用户管理能力端到端平安解决策略用户接入层通过VLAN进行用户接入隔离，支持每个用户一个VLAN〔MA5200特有技术，支持一个VLAN只用一个IP地址〕，提供用户级简明的隧道城域会聚层MA5200对接入进行强管理和控制，有效防止控制报文和数据报文的超大流量，杜绝IP地址仿冒，动态的通道开合控制城域网核心层核心层通过VPN实现业务的隔离，全系列路由器和高端三层交换机支持MPLSVPN全业务高性能NE80/NE40/S8016/MA5200系列产品，均基于NP实现各类业务，保证了在部署了NAT、ACL、QOS等业务的条件下，仍然能够到达线速的转发性能，表现远超由软件实现此类业务的产品MA5200EAS－可管理、可运营、可增值网络的基石采用NP技术，具备10Gbps的交换容量作为BAS，全面支持Web+VLAN/PPPoE/802.1x认证技术，支持即插既用及PUPV认证技术；支持流量控制，支持优先级修改及丰富的队列调度机制 作为平安网关，提供防止用户私接、防止PROXY代理、防止对DHCP效劳器的攻击、防止播送风暴、防止IP地址仿冒、平安日志等完备平安机制作为业务网关，全面支持多媒体业务承载〔呼叫控制与监控、媒体流识别、QoS保证〕、多ISP选择、NAT、地址分配、卡号业务、强制Portal及提供灵活的计费策略NPPoweredMA5200MA5200F根本BAS功能平安网关应用业务网关应用MA5200EAS功能介绍PPPoE/WEB/802.1x认证三种经典的认证技术，各有特点，相互间不能完全替代：PPPoE成熟可靠，符合用户使用习惯，应用范围最广WEB认证无需客户端，对用户最为友好，尤其适合在热点使用802.1x符合用户使用惯例MA5200EAS支持以上的认证方式，适应不同客户群的需要PPPoE拨号客户端802.1x拨号客户端WEB认证界面1〕灵活的计费方式：业务控制层设备和AAA效劳器配合，提供如下图各种计费方式，可以有效的吸引各层次的用户2〕精确的应用量统计：计费技术的关键在于能够精确的统计用户对网络资源的使用量，包括：时长、流量等原始计费信息3〕完善的计费保护机制：业务控制层设备和AAA的计费保护技术包括－－主备AAA效劳器、话单本地保存、实时计费、BAS－AAA握制、无响应超时切断、无响应重传4〕计费抄送：在网络资源租用的应用情况下，业务控制层设备应该将用户的计费信息同时发送给网络资源提供方和租用方赠送使用量+计量制计量制跳档制计量制+费用封顶根本费+计量制根本费+跳档制包月制根本费＋免费使用量＋计量制费用使用量〔时间/流量/应用〕帐务周期结束点MA5200EAS的计费功能1〕带宽：业务控制层设备通过CAR实现基于用户帐号的带宽控制2〕访问权限：业务控制层设备需要支持基于用户分群的访问权限控制－－UCL〔UserbasedACL〕，而不是传统路由器的基于地址段的ACL3〕互访权限：业务控制层设备需要支持基于用户分群的互访权限控制4〕QoS优先级：业务控制层设备需要根据AAA效劳器的授权对用户报文打上合法的优先级标签〔DSCP或802.1p)5〕组播权限：业务控制层设备提供可控组播，并能接受AAA效劳器的组播权限下发6〕动态授权：业务控制层设备和AAA效劳器之间需要提供动态修改用户权限的机制，包括带宽、访问权限、QoS等都需要根据用户的业务、资费余额等情况动态修改MA5200EAS的授权功能IP骨干网控制用户带宽LAN用户无法像ADSL用户一样实现接入限速，分档收费“网络蚂蚁〞蚕食大量网络带宽，导致上网繁忙区段网络拥塞u24数据上网比窄带拨号还慢L3L2L2L210/100M10/100M10/100M背景资料：楼道、小区会聚交换机上下行接口均为10/100M自适应口，一个用户的流量即可堵塞整个小区的出口。MA5200对用户级的带宽限制粒度1K，保证效劳质量根本BAS功能平安网关应用业务网关应用MA5200EAS功能介绍传统架构存在的问题：平安问题DOS攻击病毒引发的带宽消耗病毒引发的流资源消耗病毒引发CPU处理能力消耗病毒引发的ARP风暴病毒攻击向高层网络的扩散用户对带宽的恶意占用用户对流资源的恶意占用用户对地址的恶意占用仿冒IP地址仿冒MAC地址仿冒共享帐号（帐号仿冒）帐号跨区域使用共享网络连接通过Proxy私接用户DHCPServer仿冒PPPoEServer仿冒报文窃听和劫持ARP欺骗DHCP欺骗PPPoE服务欺骗认证报文窃听和劫持MA5200宽带城域网平安模型Internet业务效劳器核心层会聚层平安网关层接入层业务的平安指能否保障业务正常开展，包括识别用户并准确根据业务使用量向用户收费核心会聚层难以抵挡各种DOS攻击运营性网络中用户类型多样，运营商无法控制用户的行为，运营商必须同时保障用户自身的平安性以及防止用户对网络的有意或者无意的破坏行为。必须在不可信赖的用户和脆弱的网络间通过强化平安性的平安网关进行隔离，保障用户的平安、网络设备、效劳的平安和业务的平安。DOS攻击DOS攻击防护－网络设备防护业务控制层MA5200城域网L3效劳器DHCPServerDNSServerDOS攻击防护需求：1〕播送风暴限制：通过VLAN隔离用户〔PUPV技术〕，减小二层网络规模，杜绝播送风暴，防止对二层网络设备的破坏；2〕设备自身防护，限制用户ARP、ICMP等报文对CPU资源的占用，防止通过CPU资源消耗方式对网络设备本身发起攻击。3〕防DOS攻击的扩散，将用户发起的DOS攻击在业务控制层加以限制，防止向上层网络设备和效劳器扩散4〕访问控制，基于用户帐号的访问控制功能，防止非法用户对效劳器的访问核心网GSRGSRGSR地址仿冒防护IP1＋MAC1IP1＋MAC1＋VLANID1IP1＋MAC1＋VLANID1＋PPPoESession1MA5200地址仿冒防护需求：1〕报文匹配检查，对每个报文都进行IP＋MAC＋VLANID＋PPPoESession的匹配检查，丢弃不匹配的报文2〕PUPV〔每用户一个VLAN〕的组网原那么，VLANID是由交换机给报文打的标识，是“可信〞的且用户无法仿冒的用户1用户2多重绑定，杜绝网络盗用L2合法用户新增合法用户新增合法用户新增合法用户IP+VLAN＋MAC的动态绑定技术可有效解决包月用户账号被盗用的情况，同时可限制用户提供PROXY功能〔限制访问目的IP地址的数目及上网连接数〕L2L2MA5200可将用户VLAN、帐号与物理位置信息上报AAA，由AAA完成“端口唯一性〞认证合法用户在完成认证后IP+MAC+VLAN信息即被动态绑定IP骨干网AAAMA5200为“敏感用户〞设置上网日志，可定时导出到指定的效劳器，提供网络追溯依据验证、计费Radius网吧用户Radius/EAP

QuidwayS3026/2403H

QuidwayS3026V

GEFE

FEFER2620IP骨干网MA5100LANVDSLADLSMA5200F用户上网日志（MA5200E/F）平安日志根本BAS功能平安网关应用业务网关应用MA5200EAS功能介绍访问控制类业务业务控制层核心网GSRGSRGSR教育网站娱乐网站证券网站MA5200教育用户未成年用户绿色上网普通用户证券用户访问控制业务需求：1〕提供基于用户帐号的ACL功能〔UCL〕，而不是通常的基于IP地址段的ACL功能，用户更改访问权限，无须改变IP地址2〕用户的访问控制权限应该可以灵活设置，要求可以在AAA效劳器上配置，并由AAA效劳器在用户认证时下发给业务控制设备3〕用户的访问控制权限应该可以集中设置，要求业务控制设备提供用户群管理功能，用户的访问权限设置在用户群的属性上，无须为单个用户设置股市直通车业务PortalInternet禁止数据智能业务平台PortalGW证券网站A证券网站B利用MA5200的UCL特性，定制协议用户，在南京市已开通“只能访问证券类站点〞的股市直通车业务，优惠的资费，一经推出，深受股民欢送业务控制层核心网GSRGSRGSRVoIP视讯网InternetMA5200PCIAD可视FELSW呼叫控制中心H.323/H.248/MGCP协议多媒体承载业务需求1〕呼叫过程监控，能够识别通用多媒体呼叫协议H.323/H.248/MGCP2〕呼叫动态控制，为合法的呼叫动态翻开逻辑通道，拒绝未经GK或SoftX许可的呼叫3〕终端地址管理，支持终端地址和端口的绑定，支持NAT/PAT的终端地址的静态映射4〕媒体流识别、VPN承载、QoS保证多媒体业务的承载DSLAM地址管理地址管理需求1〕内置DHCPServer:实现分布式的地址管理，提高地址管理的可靠性2〕DHCPProxy：提供外置DHCPServer的代理3〕内置地址池：能够配置多个不连续的地址池，以到达节省地址的目的4〕完善的地址分配/回收机制：保证用户开机获得合法IP地址、关机释放IP地址；防止非法获取IP地址；对非法DHCP效劳器的检测和抑制DHCPServerInternet伪造MAC地址屡次请求IP地址关机不释放IP地址，长时间占用地址资源开启DHCP效劳，导致其它用户无法正确获取合法IP地址业务控制层多ISP业务业务控制层核心网GSRGSRGSR在线教育在线娱乐证券金融网MA5200教育代理ISP娱乐代理ISP金融代理ISP多ISP业务需求1〕多域控制功能，能将不同用户群的属性〔IP地址池、ACL、上行通道等〕在业务控制设备的“ISP域〞上进行配置2〕多通道选择功能，通过策略路由、VLAN子接口、ACL、L2TP隧道等方式，为不同ISP的用户选择不同的业务通道3〕多AAA选择功能，为不同的ISP用户选择不同的AAA效劳器进行认证教育网用户娱乐网用户金融网用户教育网AAA娱乐网AAA金融网AAAIP骨干网设备维护困难、本钱高居不下多厂家设备并存，无法实施统一网管设备性能层次不齐，一些楼道交换机端口状态只能靠现场定位维护中心L3L2L2L2

VLAN配置背景资料：平均每2个小区就需要配置一个专职维护人员。公网地址COREiManagerN2000HGMP建议：在有条件的据点可采用HGMP集群管理，简化操作，提高设备可维护性SNMP3026/2023/2023集群管理、降低维护工作量MA5200MA5200

XX市4000余台L2、MA5200仅占用200余个管理地址网管中心可集中配置、管理全市的楼道侧设备。设备数量在不断增加，但维护的人员数量却没有太大变化案例：可控组播解决方案PORTAL网络管理、认证、计费、组播源会聚层、接入层BAS宽带小区/企业网络宽带骨干网络PPPoE用户VLAN用户可控组播BASBAS可控组播方案的内容用户管理组播源管理组播组管理完备的、可扩展的计费手段组播业务监控管理组播平安管理首创可控组播的理念，目前唯一拥有完善的可管理、可运营组播解决方案的厂商，是流媒体内容运营的里程碑CAMS可控组播业务流程–组播用户

的认证、计费、控制PORTAL网络管理、认证、计费、组播源NE40/MA5200/BAS宽带小区/企业网络

VLAN与用户绑定VLAN用户

合法计费组播节目VLAN用户

非法VLAN用户合法IGMP加入IGMP加入IGMP加入节目单HGMP控制报文透传IGMP或者HGMP报告NE40或MA5200与CAMS配合完成组播用户认证、计费、控制HGMP控制报文认证①②②②④③⑤⑥⑦⑧汇报提纲 IP城域网建设需求分析IP城域网方案介绍

华为数通产品应用于43个国家，成为改变全球IP设备市场格局的主流供给商之一承建6个国家IP骨干网，英国、泰国、俄罗斯、巴西、广电、长宽等国家骨干网承建47个IP省干网，200多个城域网广东、江苏、山西、广西、河南、江西、陕西、安徽、贵州、新疆、福建、甘肃……

承建英国FibernetMpls国家骨干网承建泰国TelecomAsia国家IP骨干网承建巴西VANTTelecom国家骨干网改变全球数据设备