互联网安全及CMNET城域网组网技术体制.ppt

互联网安全及CMNET城域网组网技术体制,2010年3月,第一章 互联网安全基础知识概述,培训要点,基础知识,Internet 协议组和 OSI 参考模型比较,数据链路层,物理层,网络层,传输层,会话层,应用层,表示层,物理接口(LAN-ETH,TR,FDDI)(WAN-Serial lines,FR,ATM),IP层(IP),传输层(TCP or UDP),应用层(FTP,TELNET,SNMP,DNS,SMTP),ICMP,IGMP,ARP,RARP,基础知识,应用层,传输层,IP层,物理链路层,基础知识,TCP常用端口,端口号,协议,7,20,21,23,25,53,79,80,104,139,160-223,Echo,File Transfer Protocol(FTP)data,File Transfer Protocol(FTP)control,Telnet,Simple Mail Transfer Protocol(SMTP),Domain name server(DNS),Finger,World Wide Web(WWW),X400 Mail Sending,NetBIOS session service,Reserved,基础知识,基础知识,以太网扩展功能-虚拟网,基础知识,路由器的工作原理包含以下两个关键因素：子网寻径及路由路由算法、路由协议、寻径,基础知识,静态路由和动态路由静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然，各种动态路由协议会不同程度地占用网络带宽和CPU资源。,基础知识,动态路由协议分类内部网关协议（IGP）RIP、OSPF等外部网关协议（EGP）BGP和BGP-4常见路由种类StaticRIPOSPFIS-ISBGP和BGP-4MPLS,第二章 CMNET安全,CMNET安全,如果把企业内部的IP网络看作是一个食物链的话，路由器和交换系统无疑处于这个链的顶端。,路由器和交换系统在企业IP网络中的地位,CMNET安全,而对于电信运营商所运营的IP网络来说，如CMNET，路由器和交换系统是客户端请求和收取服务器信息资源的唯一通道。,路由器和交换系统在运营商IP网络中的地位,CMNET安全,黑客的存在,CMNET安全,案例一,CMNET安全,路由器和交换系统发生安全事件可能的结果设备不可用，造成承载业务中断设备性能下降，影响承载业务的运行重要信息泄露或被篡改，包括设备自身信息和承载业务数据信息安全事件责任者的抵赖,CMNET安全,中国移动设备通用安全功能和配置规范中国移动路由器设备安全功能规范中国移动JUNIPER路由器安全配置规范中国移动华为路由器安全配置规范中国移动思科路由器安全配置规范,CMNET安全,内部网络滥用,常见的安全威胁,CMNET安全,对于我们中国移动所属的数据网络，安全威胁的来源可能有以下几个方面：环境因素或故障外部入侵和攻击第三方责任心或培训不足的内部员工恶意内部人员,CMNET安全,常见威胁,CMNET安全,路由器和交换系统在中国移动的应用场景业务网络外部网络，如CMNET内部网络，如IP承载网网管网络支撑网络OA、BOSS、MDCN等业务系统如彩铃、彩信、MDC、POC等,CMNET安全,请思考：问题1：不同应用场景下的各类网络有何特点？问题2：不同应用场景下的路由器和交换系统所面临的安全威胁是否相同？问题3：不同应用场景下的路由器和交换系统进行的安全防护重点分别应该是什么？,CMNET安全,案例一,CMNET网络拓补示意图,CMNET安全,CMNET威胁分析,MDCN安全,案例二,省内MDCN网络数据承载示意图,MDCN安全,MDCN威胁分析,安全防护的目的,第三章 互联网安全管理,安全管理工作,路由器和交换系统的安全管理工作可大概分为以下几部分设备初始化安全管理日志安全管理设备授权访问管理配置管理设备冗余管理,设备初始化管理1,为确保设备的使用安全，路由器、交换机设备在入网启用前应当遵循一定的安全规范进行相应的安全性配置，其中应重点关注如下三个方面。端口及服务最小化安全补丁及时加载包过滤规则设定,设备初始化管理2,端口及服务最小化未使用的设备端口应及时关闭。路由器除了提供Telnet远程登录服务外，还提供很多二层、三层的服务。路由器运行的服务越多，安全隐患就越大。很多服务路由器通常是不需要的，应该根据各种服务的用途，实现服务最小化，关闭路由器上不必要的服务，减少安全隐患。,设备初始化管理3,常见路由器服务功能以及应对措施服务名称 服务功能 建议措施HTTP server 允许管理员通过Web页面远程管理路由器 关闭TCP small servers 标准的TCP服务，例如echo、Chargen等 关闭UDP small servers 标准UDP服务，例如echo、discard等 关闭Bootp server 允许其他路由器使用本路由器的文件进行启动 关闭IP directed broad 允许路由器转发其他网段的直接广播包 关闭-castSNMP 远程网管使用、数据集采、状态采集 根据实际情况，缺 省使用，及时更改 SNMP口令IP source-route 允许路由器处理带源路由选项标记的流 关闭,举例,举例：Smurf攻击 Smurf攻击是一种强力的拒绝服务攻击方法，主要是利用IP协议的直接广播特性。对路由器而言，对于列表中提到的IP Directed-broadcast服务，如果没有关闭，由于该服务的功能是允许路由器转发其他网段的直接广播包，可能成为黑客攻击的中间代理，即广播包的扩散器，因此，建议，如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播。,安全补丁,安全补丁曾经在某IT杂志上公布，C公司宣布其路由器、交换机所有xx版本的操作系统软件存在一个漏洞。此漏洞可使攻击者截取和修改出入路由器和交换机的TCP数据。显而易见，该漏洞影响是广泛的，属于严重隐患，由于C公司及时发布了安全版本，所以几乎没有用户因此受到攻击。因此，建议如无特殊情况在设备启用时，路由器交换机网络操作系统应当尽量采用厂家的最新版本，并将所有安全补丁打上。更重要的是，在今后的设备运行过程中，也应当及时进行补丁加载，始终保持最新版本。,包过滤规则,包过滤规则在路由器启用前，应当根据当时的网络环境制定合理的包过滤规则，对某些病毒、木马的特定端口进行封闭。严格的配置仅传递允许进入网络的的数据包。总之，配置完善的包过滤规则并在今后的运行维护过程中随时更新可以降低安全事件发生的概率。,安全日志管理,日志安全管理 对网络维护者而言，日志是设备运行的性能监测、安全审计以及安全事件发生后的追踪与调查等的重要依据.因此在日常的维护中应注意开启设备的重要日志功能。路由器交换机作为重要的网络设备，其安全性至关重要，因此建立强大、完善的日志系统是必须的。通过日常对日志文件的审查，可以预先发现许多安全攻击并及时采取措施将安全事件的发生可能性降至最低。,安全日志管理,操作日志登陆日志：异常分析命令操作日志：分析异常操作标准系统日志：非法攻击留下的日志痕迹,运行状态CPU资源监控内存占用监控磁盘空间监控,系统日志端口状态异常路由交互信息.,安全日志管理,为保证在突发事件发生时，能够通过分析日志快速解决问题，日志的备份、存放等日常安全管理是必须的。对于设备日志，应当遵照相关安全规范定期进行备份，保留规定时间，并对备份介质进行妥善保管 由于路由交换设备内存有限，一些日志信息存储后掉电就会丢失，有条件的情况下，应建立日志服务器，采用日志服务器可以获取更加丰富的端口状态、运行状态以及异常故障等信息，轻松掌握网络情况。,安全日志管理,建立日志服务器之后，同时应当对服务器自身进行安全加固，例如：安装防病毒软件、定期进行系统补丁以及对访问进行严格控制等，来保障日志安全。,设备授权访问管理,设备授权访问管理包括：账号口令管理应当对路由交换系统所有密码进行加密，基于角色按需分配的权限管理给予能够操作者完成工作的最低权限的许可。并采取增强口令强度、设置口令有效期、删除停止使用的帐号等手段，提高帐号口令管理效能。访问管理为防止非法授权访问，应当采用相应限制措施,设备授权访问管理,账号口令管理应关注以下几点：应按照用户分配账号。避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。用户口令足够强壮，符合复杂度要求。设备密码使用加密模式存放，禁用明文存放密码。SNMP服务启用时，禁止使用public、private等公用community，如需提供RW权限的community，需保证community的安全性。,访问管理,访问管理应关注以下几点：本地访问对路由交换系统Consle设置访问密码，对Console口与终端的会话配置较短闲置时间后自动退出局域网访问交换机端口进行vlan划分、端口绑定等措施，路由器上采用IP地址与MAC地址绑定远程访问传统的远程访问服务程序telnet,在网络上用明文传送口令和数据，容易被截获。同时其安全验证方式也存在弱点，容易遭受“中间人”（man-in-the-middle）攻击。因此，应当采用Ssh（Secure Shell）等安全远程访问方式，其将所有传输数据进行加密，保证了传输安全，同时在安全验证方面也有所提高。同时设备的VTY端口应限制登录的IP地址范围。路由协议访问路由器尽可能采用安全的路由协议版本，以及在启用路由协议接口之间设置MD5认证，防止信息外漏。,配置管理,配置管理 路由器及交换机的配置文件安全是不容忽视的，通常设备配置应当定期备份，并保存在安全的介质中，原则上备份介质应当至少两份，一份与设备放置一处，以备应急使用，另一份应当放置在异地的安全位置。在发生安全事故时，可以取出备份文件，将系统恢复到已知状态。此外，配置文件应当尽可能不通过公共网络进行传输，特殊情况下应当对传输进行加密,配置管理,配置管理的目标 保密性 完整性 可用性,HUAWEI（1）,编号：安全要求-设备-通用-配置-12 要求内容：设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南：1参考配置操作info-center logbuffer channel 42补充操作说明在系统模式下进行操作。检测方法：1.判定条件对设备的操作会记录在日志中。2.检测操作display logbuffer,HUAWEI（2）,编号：安全要求-设备-通用-配置-13要求内容：设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。操作指南：1参考配置操作snmp-agent community read XXXX01 acl 20002补充操作说明无检测方法：1.判定条件通过设定acl来成功过滤特定的源才能进行访问。2.检测操作display current-configuration安全性分析：限制远程终端会话有助于防止黑客获得系统逻辑访问。,HUAWEI（3）,编号：安全要求-设备-华为路由器-配置-3 要求内容：静态口令必须使用不可逆加密算法加密后保存于配置文件中。操作指南：1参考配置操作super password level 3 cipher NC55QK=/Q=QMAF41!local-user 8011 password cipher NC55QK=/Q=QMAF41!检测方法：1.判定条件用户的加密口令在buildrun中显示的密文。2.检测操作display current-configuration configuration aaa 安全性分析：由系统直接经过不可逆加密算法处理成密文，这种加密后的数据是无法被解密，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密,更加保证系统的安全性。,HUAWEI（4）,编号：安全要求-设备-华为路由器-配置-4-可选 要求内容：设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。操作指南：1参考配置操作#对远程登录用户先用RADIUS服务器进行认证，如果没有响应，则不认证#认证服务器IP地址为129.7.66.66，无备用服务器，端口号为默认值1812#配置RADIUS服务器模板。Router radius-server template shiva#配置RADIUS认证服务器IP地址和端口。Router-radius-shivaradius-server authentication 129.7.66.66 1812#配置RADIUS服务器密钥、重传次数。Router-radius-shiva radius-server shared-key it-is-my-secretRouter-radius-shiva radius-server retransmit 2Router-radius-shiva quit,HUAWEI（5）,编号：安全要求-设备-华为路由器-配置-4-可选#进入AAA视图。Router aaa#配置认证方案r-n，认证方法为先RADIUS，如果没有响应，则不认证。Routeraaa authentication-scheme r-nRouter-aaa-authen-r-n authentication-mode radius noneRouter-aaa-authen-r-n quit#配置default域，在域下采用r-n认证方案、缺省的计费方案（不计费），shiva的RADIUS模板。Router-aaa domain defaultRouter-aaa-domain-default authentication-scheme r-nRouter-aaa-domain-defaultradius-server shiva,HUAWEI（6）,编号：安全要求-设备-华为路由器-配置-4-可选 检测方法：1.判定条件对远程登陆用户先用RADIUS服务器进行认证，非法用户不可以登录。2.检测操作display current-configuration 安全性分析：借助已有的认证服务器，对远程登陆的用户进行更加专业的身份认证,HUAWEI（7）,编号：安全要求-设备-华为路由器-配置-19-可选 要求内容：开启NTP服务，保证日志功能记录的时间的准确性。路由器与NTP SERVER之间要开启认证功能。操作指南：1参考配置操作ntp-service authentication-keyid 1 authentication-mode md5 NC55QK=/Q=QMAF41!ntp-service unicast-server 2.2.2.2 authentication-keyid 12补充操作说明在系统模式下进行操作。检测方法：1.判定条件本地时钟与时钟源同步。2.检测操作disp ntp-service status,HUAWEI（8）,编号：安全要求-设备-华为路由器-配置-19-可选 安全性分析：开启NTP服务，保证路由器与时钟源之间时间的同步，可以提供高精准度的时间，保证日志功能记录的时间的准确性。,HUAWEI（9）,编号：安全要求-设备-华为路由器-配置-6-可选要求内容：通过ACL配置对常见的漏洞攻击及病毒报文进行过滤。操作指南：1参考配置操作acl number 20000rule tcp source 1.1.1.1 0.0.0.0 destination 2.2.2.2 0.0.0.0 source-port eq ftp-data destination-port eq 30 traffic classifier ddif-match acl 20000 traffic behavior dddeny traffic policy ddclassifier dd behavior dd precedence 0 interface GigabitEthernet4/0/0undo shutdownip address 4.4.4.4 255.255.255.0traffic-policy dd inbound,HUAWEI（10）,编号：安全要求-设备-华为路由器-配置-6-可选检测方法：1.判定条件存在攻击流时，非法报文被过滤。2.检测操作display traffic polic安全性分析：ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。,HUAWEI（11）,编号：安全要求-设备-华为路由器-配置-7-可选 要求内容：条件允许情况下，端口配置URPF（Unicast Reverse Path Forwarding），即单播反向路径查找。操作指南：1参考配置操作interface GigabitEthernet4/0/1undo shutdownip address 172.136.1.1 255.255.255.0ip urpf strict 检测方法：1.判定条件非法攻击报文被成功过滤。2.检测操作display current-configuration interface安全性分析：其主要功能是防止基于源地址欺骗的网络攻击行为。,HUAWEI（12）,编号：安全要求-设备-华为路由器-配置-8 要求内容：动态路由协议口令要求配置MD5加密。操作指南：1参考配置操作ospf 2area 0.0.0.0authentication-mode md5 1 cipher NC55QK=/Q=QMAF41!检测方法：1.判定条件Md5验证不通过的ospf邻居建立不成功。2.检测操作display current-configuration configuration ospf安全性分析：消息摘要(md5)身份验证在传输身份验证口令前，要对口令进行加密，使用身份验证时，区域内所有的路由器接口必须使用相同的身份验证方法。,HUAWEI（13）,编号：安全要求-设备-华为路由器-配置-9-可选要求内容：制定路由策略，禁止发布或接收不安全的路由信息。操作指南：1参考配置操作acl number 2000rule 5 permit source 2.2.2.2 0 route-policy dd permit node 0if-match acl 2000 ospf 2area 0.0.0.0authentication-mode md5 1 cipher NC55QK=/Q=QMAF41!filter route-policy dd import,HUAWEI（14）,编号：安全要求-设备-华为路由器-配置-9-可选检测方法：1.判定条件被禁止接收和发布的路由成功。2.检测操作display current-configuration configuration ospfdisplay route-policy,HUAWEI（15）,编号：安全要求-设备-华为路由器-配置-10-可选要求内容：系统应关闭未使用的SNMP协议及未使用RW权限。操作指南：1参考配置操作Undo snmp enableundo snmp-agent community RWuser检测方法：1.判定条件关闭snmp的设备不能被网管检测到，关闭写权限的设备不能进行set操作。2.检测操作display current-configuration,HUAWEI（16）,编号：安全要求-设备-华为路由器-配置-11要求内容：系统应修改SNMP的Community默认通行字，通行字应符合口令强度要求。操作指南：1参考配置操作snmp-agent community read XXXX01检测方法：1.判定条件系统成功修改SNMP的Community为用户定义口令，非常规private或者public，并且符合口令强度要求。2.检测操作display current-configuration,HUAWEI（17）,编号：安全要求-设备-华为路由器-配置-12-可选要求内容：系统应配置为SNMPV2或以上版本。操作指南：1参考配置操作snmp-agent sys-info version v3检测方法：1.判定条件成功使能snmpv2c、和v3版本。2.检测操作display current-configuration,HUAWEI（18）,编号：安全要求-设备-华为路由器-配置-20要求内容：限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。操作指南：1参考配置操作super password level 3 cipher superPWD aaalocal-user user1 password cipher PWD1local-user user1 service-type telnetlocal-user user1 level 2#user-interface vty 0 4authentication-mode aaa,HUAWEI（19）,编号：安全要求-设备-华为路由器-配置-20检测方法：1.判定条件用户用相应的操作权限登录设备后，不具有最高权限级别3，这时有些操作不能做，例如修改aaa的配置。这时如果想使用管理员权限必须提高用户级别。2.检测操作display current-configuration configuration aaa,HUAWEI（20）,编号：安全要求-设备-华为路由器-配置-14 要求内容：关闭未使用的端口。操作指南：1参考配置操作HW-Ethernet3/0/0shutdown检测方法：1.判定条件未使用端口状态为admin down。2.检测操作Display interface,HUAWEI（21）,编号：安全要求-设备-华为路由器-配置-17要求内容：关闭网络设备不必要的服务，比如FTP、TFTP服务等。操作指南：1参考配置操作super password level 3 cipher NC55QK=/Q=QMAF41!local-user 8011 password cipher NC55QK=/Q=QMAF41!检测方法：1.判定条件用户的加密口令在buildrun中显示的密文。2.检测操作display current-configuration configuration aaa,第四章 CMNET城域网相关要求,城域网划分,（1）中国移动城域数据网的建设应充分利用基站站址和传输资源进行接入，并考虑到全业务接入的需要。（2）基于技术先进性和成熟性的原则，中国移动城域数据网采用的主导传送技术是IP over WDM，并兼顾IP over SDH、IP over Fiber等技术。（3）可运营性，城域数据网需要向大量用户提供不同类型的服务，网络应提供良好的业务管理能力，支持对宽带用户的接入管理、身份认证、带宽许可、地址管理和服务质量（QoS）保证，并针对不同的业务提供灵活的计费方式，确保网络的可运营特性。（4）可管理性，城域数据网需要统一的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。（5）可增值性，根据竞争和企业发展的需要，城域数据网建设要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络可持续赢利。（6）可扩展性，考虑到用户数量和宽带业务种类发展的不确定性，城域数据网要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够适应需求变化，预留充分的扩展余地。（7）安全可靠性，城域数据网的建设应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。（8）可演进性，城域数据网应具备向IPv6平滑演进的能力，根据业务需求适时启用IPv6功能，支持IPv6业务。,城域网组网原则,CMNet城域网核心层建议采用路由器组网，其作用是把多个业务接入控制点连接起来，为其提供数据的高速转发，同时实现与CMNet骨干网/省网的互联，提供城市的高速IP数据出口。核心层网络结构重点考虑可靠性、可扩展性和开放性。为减少CMNet城域网的物理和逻辑级联级数，核心层应采取大容量、少节点的方式进行建设。为减少网络跳数，初期城域核心路由器、出口路由器与CMNet省网接入路由器合设。原则上核心/出口路由器设置两台。对于部分业务规模大的直辖市及部分大型城域网，核心/出口路由器可以设置多台。对于部分业务规模大的直辖市及部分大型城域网，可考虑设置两级核心路由器，兼做出口的核心路由器与其他核心路由器数量比例为1:2-1:4。核心路由器一般异址布放在数据核心机房，尽量和城域传送网的核心节点机房同局址。,CMNET城域网核心,CMNet城域网业务接入控制层业务发展初期应适当控制业务接入控制层的设备数量，根据实际需求进行设置。BRAS和SR的布放以综合成本最低为原则，综合考虑光纤、传输资源条件和用户数量。现阶段宜相对集中布放SR和BRAS，布放在核心节点机房，可提高设备利用率，便于集中管理维护；对于业务规模大的城域网，当汇聚节点机房覆盖区域的用户规模接近单台SR或BRAS的规划用户量后，可将SR或BRAS布放至对应汇聚节点机房，这样可节省汇聚节点机房至核心节点机房的传输资源，并减小同一SR或BRAS下的横向流量（如P2P流量）时延。为提高网络可靠性，BRAS、SR应尽量成对设置，成对的BRAS或SR之间互为冗余备份，可同机房或不同机房设置。,CMNET城域网接入控制层,接入控制层,城域数据网汇聚层主要由以太汇聚交换机组成。根据流量汇聚需求，建议汇聚交换机选取部分OLT所在机房进行布放。为提高业务性能并避免以太网广播泛滥等问题，汇聚交换机仅设置一级。在接入网采用LAN方式时，汇聚交换机和接入交换机总级数不建议超过两级。当BRAS、SR成对设置时，汇聚交换机应成对设置，上行同时连接成对的BRAS和SR，每台汇聚交换机单上联至BRAS和SR。汇聚交换机与BRAS、SR的连接方式(讨论)。汇聚交换机之间不互联组网，主要用于对接入设备的上行端口和流量进行汇聚，以节省传输资源和提高BRAS、SR的端口利用率。汇聚交换机设置数量大于或等于BRAS、SR总数量并分担接入业务，以减小汇聚交换机单点设备故障的影响范围。,CMNET汇聚层,汇聚层,接入层,可靠性要求节点可靠性,城域核心路由器成对异局址设置，并与业务接入控制点之间双星型连接，为城域内业务接入控制点互联和上行连接CMNet省网提供双节点备份。业务接入控制设备（包括BRAS和SR）应尽量成对设置，同一对BRAS或同一对SR之间互为冗余备份：对于采用PPPoE认证方式的用户，建议通过成对BRAS进行冗余备份，同一对BRAS之间业务负载分担并互为冷备；对于采用IPoE认证方式的用户，建议通过成对SR或BRAS进行冗余备份，同一对SR或同一对BRAS之间业务负载分担并通过VRRP实现热备。当BRAS、SR成对设置时，汇聚交换机也应该成对设置，并上行连接到成对的BRAS和SR。,路由协议CMNet城域网内部的路由协议,CMNet城域网内部采用OSPF或者IS-IS路由协议通告设备路由，保证CMNet城域网三层节点之间的可达性。CMNet城域网建议使用IBGP通告用户和业务路由，便于实现路由控制。城域核心设置专用路由反射器（RR），可利旧原有城域网路由器。BRAS、SR与RR建立IBGP邻居，根据策略向RR通告用户和业务路由。业务发展初期，RR也可由城域核心路由器兼做。为了保证路由交互的可靠性，RR应成对设置，互为冗余备份。,路由协议CMNet城域网和CMNet省网间路由,考虑CMNet的发展状况和管理方式，现阶段CMNet城域网建议与其所在省省网共自治域。CMNet城域网与其所在省省网运行OSPF或IS-IS路由协议通告设备路由，保证省网和各CMNet城域网三层节点之间的可达性。省网和CMNet城域网划分为不同的area（对于IGP使用OSPF的情况）或level（对于IGP使用IS-IS的情况），并保证设备路由可发布到所有area或level。城域内RR（可能由核心路由器兼做）与省网汇接路由器建立IBGP邻居；省网汇接路由器向各城域RR通告缺省路由；城域内RR向省网汇接路由器通告汇聚后的城域内用户业务路由并进行路由控制，同时向城域内业务接入控制设备反射缺省路由。,路由协议CMNet城域网和用户网络间路由,CMNet城域网可以采用静态或动态路由协议（BGP、OSPF、IS-IS）与用户网络交互路由信息。,路由协议MPLS VPN私网路由,城域网核心路由器、业务接入控制设备均启动MPLS和LDP。城域网核心路由器作为MPLS VPN的P设备。VPN私网路由与IPv4公网路由共用RR（可能由城域核心路由器兼做），RR通过MP-IBGP分别与省网汇接路由器和业务接入控制设备交互私网路由。城域网内业务接入控制设备作为PE设备提供MPLS VPN接入，包括MPLS L3 VPN和MPLS L2 VPN；业务接入控制设备与城域内RR之间建立MP-IBGP邻居，交互VPN私网路由。由于城域数据网与CMNet省网共自治域，因此城域内和省内城域间MPLS VPN均可根据业务需求灵活部署；省际城域间MPLS VPN可通过省网汇接路由器与CMNet骨干网之间的跨域MPLS VPN实现。,讨论,谢谢大家！,MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7IYmZkyEmZ0kGeYZS3bpLCkYH1lt4EK7CxmUX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu7qSd1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8LbUN1G6ACURQ39eG12KHL9tXsZ1jzgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49BmCN5oy9VesHpKzdjTKwjrkCEQCFDehVmGax3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8gpPCBRYjq77VcnbXumNE1yGfyTsbSj89J63kRTKDkKUg3mdS5sJ4X5cQ8dK7oW9IkScssECQdz2O9UTlpRjAFPChjhLdzopQzwxQf8ozdzOhogwAooXpUF83BX4C3jRgjDJiiXEUDMaNz4vQ4n164vspddHvOIVuBBdMA4xp1YhiHk0vOJ8TL1BxogzVlMpmod6ianYGmksQq6NWCEd56hZF4wfaNyZcrGfNxnPiG6ZAxSkfmhJAKtNmCqbRmppeXp8inz4eq3HkWCMSORyMMX522xpHG6basNr6KQfbZsFbHjzyNlJrruLolKFcC84dqfijBO5Dy2NaBcNEBPgQrT12PgpcKx2or2YChN5DPjs80zzdtdAdTKuW4uVv9bbZu3K2SZ2aEhTlIC1UqrIWibkzwHh6p8gLv26zr01mJybfOzFc4T7kQH1IpPwOzMDnAKPLsLrznXGjFNIA9bSWWms6ibKZwQIKrMzalwbFrQJvOP1rPH8rx2KkyYqrtQk5VRwM1HSX,