电信IP城域网建设方案概述.ppt

《电信IP城域网建设方案概述.ppt》由会员分享，可在线阅读，更多相关《电信IP城域网建设方案概述.ppt（59页珍藏版）》请在三一办公上搜索。

1、电信IP城域网方案交流,汇报提纲,IP城域网建设需求分析 IP城域网方案介绍 华为解决方案特点 华为数据产品应用介绍,电信业务市场变化趋势,电信业务市场正在从提供基本通话服务的市场转化为增值业务为基本特征的全面信息服务市场；主要表现在：1.基本通话需求市场趋向饱和和竞争急剧加大截止到2003年上半年，固定电话2.38亿户，移动电话2.34亿户，普及率较高传统电路交换的语音服务正在大量被IP网络分流，电路交换网络将越来越被推向了网络的接入部分；并且随着互联网普及全程IP的话音服务将成为大势所趋2.语音业务进入微利时代，数据业务成为强势增长点从全球范围来看，传统话音业务占电信业务中收入的比例从上世

2、纪90年代末开始逐步下降；传统电信业务总收入已不再增长，部分地区还以每年1%的速度下降；而以IP技术为主的宽带业务在短短几年中已占电信业务总收入的5%，绝对值以每年1倍的速度增长，而全球范围内数据业务收入年增长速度达到18%，视频应用收入年增长速度达到68%2003年通信市场宽带用户呈雪崩式增长，数据通信业务通信收入同比增长46，IP长话收入超过了固定长话和移动长话（42：30：28）,IP城域网是宽带业务统一承载平台,NGN/3G,ATM,DDN,X.25,宽带IP网络,语音接入,多媒体接入,图象接入,数据接入,城域接入层,城域汇聚层,城域骨干层,业务管理层,城域接入层发展需求：低成本、广覆

3、盖 灵活的组网方式，低廉的维护成本 用户的标识、隔离 用户带宽控制、QOS 接入设备的成熟性、稳定性,电信IP城域网接入层发展需求,城域接入层,城域汇聚层,城域骨干层,业务管理层,城域汇聚层发展需求：兼备丰富的二层、三层业务特性用户管理的关键节点，支持对用户认证、计费、优先等级、以及业务感知的能力 支持VPN业务向汇聚层延伸 支持公私网地址转换功能，尤其是公私网地址的混合使用 支持强大的安全管理，对下隔离接入层用户，控制二层网络风暴；对上保护核心层设备，封闭恶意用户攻击支持对下级网络设备低成本维护管理,城域网汇聚层发展需求,城域接入层,城域汇聚层,城域骨干层,业务管理层,城域骨干层发展需求：高

4、端设备具备弹性组网能力，满足不同规模城域网对核心设备的要求高性能，要求分布式硬件转发架构，并能灵活扩充业务 高可靠性、高安全性、高扩展性 支持MPLS VPN、组播等新技术的开展,快速响应新业务需求的能力很重要,多一个选择多一份保证,骨干层的发展需求,新业务引发的新需求,NAT设备支持H.323穿越语音业务和视频业务若采用私有IP运营，则至少NAT设备应该支持H.323穿越功能业务感知功能承载网设备识别业务协议类型，并能够相应进行通道控制、资源分配、服务质量等级标示等动作。全业务开展能力要求承载网设备在部署了大量的ACL、QOS等规则或者实施NAT等业务情况，仍然保持出色的转发性能安全问题针对

5、日益猖獗的网络攻击行为，如何有效保障承载网正常运行杜绝收入流失杜绝黑网吧、私人帐号共享现象,汇报提纲,IP城域网建设需求分析 IP城域网方案介绍 解决方案特点,省骨干,中心局Cisco12012,7513,iManager网管VPN网管,综合业务平台,中心局,.,县级节点,新增IP上行ADSL节点,LAN用户,大客户,VPN用户,原有ADSL网络,NE 80/40,S6506,MA5200,ISN8850,图例,GE,100M,IP城域网络建设方案,新增IP上行ADSL节点,市内新增POP,电信宽带IP城域网MPLS VPN实施方案,电信宽带IP城域网可采用两种MPLS VPN实施方案：1）集

6、中控制-核心路由器作为PE设备，MPLS VPN功能的实现控制在城域网核心层；汇聚交换机通过VLAN Trunk方式将用户CE设备接入到PE设备 2）分散控制 核心路由器作为P设备，汇聚交换机作为PE设备，在全网范围内实现MPLS VPN功能,大汇聚,省干节点,原有设备,GE,FE,GE,GE,PE,P,CE,P,P,PE,方案1,方案2,两种MPLS VPN实施方案的对比,我们从如下几个方面，系统地比较两种MPLS VPN实施方案：1）网络的可维护性 2）网络的安全性 3）网络的扩展能力 4）网络的建设成本,网络的可维护性,集中控制方案需要配置的PE设备有2台 分散控制方案需要配置的PE设备

7、有15台 MPLS VPN的配置，需要运维人员掌握MBGP协议、MPLS、VRF、路由多实例等配置，配置难度及工作量都比较大，培养一个这方面的运维人员周期教长 集中控制方案只需要配置2台PE，开展业务时配置复杂度及工作量远远小于分散控制方案；集中控制方案需要汇聚交换机配置VLAN，而VLAN的配置非常简单,网络的安全性,集中控制方案需要配置的PE设备有2台 分散控制方案需要配置的PE设备有15台 PE设备知道整网的MPLS VPN拓扑、各VPN内部的路由，如果一台PE设备被攻破，将导致整个MPLS VPN网络瘫痪 采用分散控制方案，将大量PE设备放置在郊县，存在严重的安全隐患,网络的扩展能力,

8、集中控制方案需要配置的PE设备有2台 分散控制方案需要配置的PE设备有15台 当前贵州电信各城域网采用独立自治域，跨城域网提供MPLS VPN业务，涉及到MPLS VPN的跨域问题；跨域提供MPLS VPN业务，技术上要求所有的PE设备通过MBGP交换路由 采用分散控制方案，每个城域网都设置了10多台PE设备；将来若在整个贵州电信城域网开展MPLS VPN业务，将有上百台PE设备交换路由，严重影响网络整体性能，给汇聚交换机带来太大的压力及性能要求，该方案基本不可用,网络的建设成本,集中控制方案需要配置的PE设备有2台 分散控制方案需要配置的PE设备有15台 在当前MPLS VPN业务量不大的情

9、况下，大规模部署MPLS VPN的PE设备，将降低投入产出比,总结,汇报提纲,IP城域网建设需求分析 IP城域网方案介绍解决方案特点 数据产品应用介绍,城域网解决方案特点,弹性的核心组网模式智能化汇聚层设备立体式安全堤坝完整的VPN解决方案全业务高性能,USR是兼具L3和GSR特性，可根据网络业务需要灵活配置的通用平台并且可以平滑升级，保护投资USR NE40借鉴了NE80硬件平台，继承NE80强大路由能力融合丰富以太二层特性，网络建设初期主要配置二层特性接口，降低建设成本，业务量扩大后直接扩容或升级为GSRNE40提供更多特性，如高密以太接口、全面高品质MPLS VPN、大容量组播，NAT，

10、BRAS等等NAT单板每个GE端口都可以达到线速NAT，这是由于NP转发技术决定的,弹性的核心组网模式：USR,L3,NAT,USR:NE40,GSR,大规模的MPLS/VPN部署能力,MPLS/BGP VPN RFC2547/2547bis基本能力 1024VPN1024路由 跨AS能力 L2TP方式访问VPN Internet访问,MPLS L2 VPN Martini方式 Kompella方式 4096VPN100连接,CCC 本地连接L2 switching 远程连接MPLS tunneling 4096连接,NE80/NE40MPLS VPN 能力,VPLS针对以太网的MPLS VP

11、N方案EoMPLSMartini方式,线速的MPLS/VPN接入、处理与转发性能大规模的MPLS VPN部署能力，领先VPN业务管理系统全面的MPLS VPN支持方式,Internet及电信类业务承载方案,Internet业务,传统的自由Internet业务，如：Web业务尽力而为的Internet话音各种业务实验收入来自接入费,电信类业务,有保障的电信级业务，如：传统实时通信业务视讯等电信级的多媒体业务协同工作企业互联收入来自多种增值业务,公路系统（尽力转发）,航空/铁路系统（统一调度有保障）,采用MPLS VPN技术承载电信类业务（VOIP VPN、视讯VPN、各企业VPN等），简化管理，

12、避免业务系统之间的相互影响，淡化了Internet平面对电信类业务平面的影响，确保安全性,一个物理网络，两张逻辑网络,IP电信网,多厂商MPLS VPN的业务管理-VPN Manager,跨域VPN多厂商设备共同管理（C、J、H）支持 MPLS/BGP L3 VPN MPLS L2 VPN及HOPE业务规划/业务配置/业务审计已有业务发现性能监控故障管理实时拓扑显示客户管理网络资源管理（RM）,VPN Manager 案例分析,中国电信169网国干VPN解决方案,智能化汇聚层部件,汇聚层,接入层、用户驻地网,核心层,NE40,语音流量,视讯流量,INTERNET,FE,FE,MA5200FL3

13、+BRAS+NAT,MA5200F,SOFTX3000,信令流,媒体流（语音）,媒体流（视讯）,数据流,S8016,识别合法用户，根据用户属性分配带宽,PE,PE,PE,分别对控制信令，语音流、视频流、数据流动态打上不同优先级标签转发,注：NGN模型,INTERNET,NP业务转发业务控制,控制子系统,EAS,数据流,控制,数据流,立体式安全堤坝：接入层,通过帐号+VLAN隔离隧道的认证手段，兼顾业务接入的安全性与灵活性,通过基于VLAN/PVC隔离隧道的全过程资源限制与记录，确保IP城域网的安全可靠性和不可抵赖性,通过VLAN/PVC隔离手段，为每个用户提供独立的VLAN/PVC隔离“隧道”

14、,汇聚层安全强管理边界,IP城域网,Internet,宽带接入网,CPN网,运营支撑网,1、设备可用性安全：用户采用不同的VLAN，控制接入网/CPN网的接入请求,2、城域网可用性安全：网络互访，均必须由接入安全边界网关设备代理完成，从而保证IP城域网的私密性,DHCP服务器,网管服务器,SoftSwitch,MA5200F,3、路由安全：对报文进行安全检查、流控与记录，过滤非法访问、抑制Proxy等非法接入、快速定位用户的网络攻击,汇聚安全边界,4、用户管理安全：帐号/密码+VLAN+MAC+，增强用户管理能力,端到端安全解决策略,用户接入层 通过VLAN进行用户接入隔离，支持每个用户一个V

15、LAN（MA5200特有技术，支持一个VLAN只用一个IP地址），提供用户级简明的隧道 城域汇聚层 MA5200对接入进行强管理和控制，有效防止控制报文和数据报文的超大流量，杜绝IP地址仿冒，动态的通道开合控制 城域网核心层 核心层通过 VPN实现业务的隔离，全系列路由器和高端三层交换机支持MPLS VPN,全业务 高性能,NE80/NE40/S8016/MA5200系列产品，均基于NP实现各类业务，保证了在部署了NAT、ACL、QOS等业务的条件下，仍然能够达到线速的转发性能，表现远超由软件实现此类业务的产品,MA5200 EAS,可管理、可运营、可增值网络的基石,采用NP技术，具备10Gb

16、ps的交换容量 作为BAS，全面支持Web+VLAN/PPPoE/802.1x认证技术，支持即插既用及PUPV认证技术；支持流量控制，支持优先级修改及丰富的队列调度机制 作为安全网关，提供防止用户私接、防止PROXY代理、防止对DHCP服务器的攻击、防止广播风暴、防止IP地址仿冒、安全日志等完备安全机制 作为业务网关，全面支持多媒体业务承载（呼叫控制与监控、媒体流识别、QoS保证）、多ISP选择、NAT、地址分配、卡号业务、强制Portal及提供灵活的计费策略,MA5200,MA5200F,基本BAS功能安全网关应用业务网关应用,MA5200 EAS功能介绍,PPPoE/WEB/802.1x认

17、证,三种经典的认证技术，各有特点，相互间不能完全替代：PPPoE成熟可靠，符合用户使用习惯，应用范围最广WEB认证无需客户端，对用户最为友好，尤其适合在热点使用802.1x符合用户使用惯例MA5200 EAS支持以上的认证方式，适应不同客户群的需要,PPPoE拨号客户端,802.1x拨号客户端,WEB认证界面,1）灵活的计费方式：业务控制层设备和AAA服务器配合，提供如图所示各种计费方式，可以有效的吸引各层次的用户2）精确的应用量统计：计费技术的关键在于能够精确的统计用户对网络资源的使用量，包括：时长、流量等原始计费信息3）完善的计费保护机制：业务控制层设备和AAA的计费保护技术包括主备AAA

18、服务器、话单本地保存、实时计费、BASAAA握手机制、无响应超时切断、无响应重传4）计费抄送：在网络资源租用的应用情况下，业务控制层设备应该将用户的计费信息同时发送给网络资源提供方和租用方,赠送使用量+计量制,计量制,跳档制,计量制+费用封顶,基本费+计量制,基本费+跳档制,包月制,基本费免费使用量计量制,费用,使用量（时间/流量/应用）,帐务周期结束点,MA5200 EAS的计费功能,1）带宽：业务控制层设备通过CAR实现基于用户帐号的带宽控制2）访问权限：业务控制层设备需要支持基于用户分群的访问权限控制UCL（User based ACL），而不是传统路由器的基于地址段的ACL3）互访权限

19、：业务控制层设备需要支持基于用户分群的互访权限控制4）QoS优先级：业务控制层设备需要根据AAA服务器的授权对用户报文打上合法的优先级标签（DSCP 或 802.1p)5）组播权限：业务控制层设备提供可控组播，并能接受AAA服务器的组播权限下发6）动态授权：业务控制层设备和AAA服务器之间需要提供动态修改用户权限的机制，包括带宽、访问权限、QoS等都需要根据用户的业务、资费余额等情况动态修改,MA5200 EAS的授权功能,IP骨干网,控制用户带宽,LAN用户无法像ADSL用户一样实现接入限速，分档收费“网络蚂蚁”蚕食大量网络带宽，导致上网繁忙区段网络拥塞,u24,数据上网比窄带拨号还慢,L3

20、,L2,L2,L2,10/100M,10/100M,10/100M,背景资料：楼道、小区汇聚交换机上下行接口均为10/100M自适应口，一个用户的流量即可堵塞整个小区的出口。,MA5200对用户级的带宽限制粒度1K，保证服务质量,基本BAS功能安全网关应用业务网关应用,MA5200 EAS功能介绍,传统架构存在的问题：安全问题,MA5200,宽带城域网安全模型,Internet,业务服务器,核心层,汇聚层,安全网关层,接入层,业务的安全指能否保障业务正常开展，包括识别用户并准确根据业务使用量向用户收费,核心汇聚层难以抵挡各种DOS攻击,运营性网络中用户类型多样，运营商无法控制用户的行为，运营商

21、必须同时保障用户自身的安全性以及防止用户对网络的有意或者无意的破坏行为。,必须在不可信赖的用户和脆弱的网络间通过强化安全性的安全网关进行隔离，保障用户的安全、网络设备、服务的安全和业务的安全。,DOS攻击,DOS攻击防护网络设备防护,业务控制层,MA5200,城域网L3,服务器,DHCP Server,DNS Server,DOS攻击防护需求：1）广播风暴限制：通过VLAN隔离用户（PUPV技术），减小二层网络规模，杜绝广播风暴，防止对二层网络设备的破坏；2）设备自身防护，限制用户ARP、ICMP等报文对CPU资源的占用，防止通过CPU资源消耗方式对网络设备本身发起攻击。3）防DOS攻击的扩散

22、，将用户发起的DOS攻击在业务控制层加以限制，防止向上层网络设备和服务器扩散4）访问控制，基于用户帐号的访问控制功能，防止非法用户对服务器的访问,核心网,GSR,GSR,GSR,地址仿冒防护,IP1MAC1,IP1MAC1VLAN ID1,IP1MAC1VLAN ID1PPPoE Session1,MA5200,地址仿冒防护需求：1）报文匹配检查，对每个报文都进行IPMACVLAN IDPPPoE Session的匹配检查，丢弃不匹配的报文2）PUPV（每用户一个VLAN）的组网原则，VLAN ID是由交换机给报文打的标识，是“可信”的且用户无法仿冒的,用户1,用户2,多重绑定，杜绝网络盗用,

23、L2,合法用户,新增合法用户,新增合法用户,新增合法用户,IP+VLANMAC的动态绑定技术可有效解决包月用户账号被盗用的情况，同时可限制用户提供PROXY功能（限制访问目的IP地址的数目及上网连接数）,L2,L2,MA5200可将用户VLAN、帐号与物理位置信息上报AAA，由AAA完成“端口唯一性”认证合法用户在完成认证后IP+MAC+VLAN信息即被动态绑定,IP骨干网,AAA,MA5200,为“敏感用户”设置上网日志，可定时导出到指定的服务器，提供网络追溯依据,安全日志,基本BAS功能安全网关应用业务网关应用,MA5200 EAS功能介绍,访问控制类业务,业务控制层,核心网,GSR,GS

24、R,GSR,教育网站,娱乐网站,证券网站,MA5200,教育用户,未成年用户绿色上网,普通用户,证券用户,访问控制业务需求：1）提供基于用户帐号的ACL功能（UCL），而不是通常的基于IP地址段的ACL功能，用户更改访问权限，无须改变IP地址2）用户的访问控制权限应该可以灵活设置，要求可以在AAA服务器上配置，并由AAA服务器在用户认证时下发给业务控制设备3）用户的访问控制权限应该可以集中设置，要求业务控制设备提供用户群管理功能，用户的访问权限设置在用户群的属性上，无须为单个用户设置,股市直通车业务,利用MA5200的UCL特性，定制协议用户，在南京市已开通“只能访问证券类站点”的股市直通车业

25、务，优惠的资费，一经推出，深受股民欢迎,业务控制层,核心网,GSR,GSR,GSR,VoIP,视讯网,Internet,MA5200,PC,IAD,可视电话,FE,LSW,呼叫控制中心,H.323/H.248/MGCP协议,多媒体承载业务需求1）呼叫过程监控，能够识别通用多媒体呼叫协议H.323/H.248/MGCP2）呼叫动态控制，为合法的呼叫动态打开逻辑通道，拒绝未经GK或SoftX许可的呼叫3）终端地址管理，支持终端地址和端口的绑定，支持NAT/PAT的终端地址的静态映射4）媒体流识别、VPN承载、QoS保证,多媒体业务的承载,DSLAM,地址管理,地址管理需求1）内置DHCP Serv

26、er:实现分布式的地址管理，提高地址管理的可靠性2）DHCP Proxy：提供外置DHCP Server的代理3）内置地址池：能够配置多个不连续的地址池，以达到节省地址的目的4）完善的地址分配/回收机制：保证用户开机获得合法IP地址、关机释放IP地址；防止非法获取IP地址；对非法DHCP服务器的检测和抑制,DHCP Server,Internet,伪造MAC地址多次请求IP地址,关机不释放IP地址，长时间占用地址资源,开启DHCP服务，导致其它用户无法正确获取合法IP地址,业务控制层,多ISP业务,业务控制层,核心网,GSR,GSR,GSR,在线教育,在线娱乐,证券金融网,MA5200,教育代

27、理ISP,娱乐代理ISP,金融代理ISP,多ISP业务需求1）多域控制功能，能将不同用户群的属性（IP地址池、ACL、上行通道等）在业务控制设备的“ISP域”上进行配置2）多通道选择功能，通过策略路由、VLAN子接口、ACL、L2TP隧道等方式，为不同ISP的用户选择不同的业务通道3）多AAA选择功能，为不同的ISP用户选择不同的AAA服务器进行认证,教育网用户,娱乐网用户,金融网用户,教育网AAA娱乐网AAA,金融网AAA,IP骨干网,设备维护困难、成本高居不下,多厂家设备并存，无法实施统一网管设备性能层次不齐，一些楼道交换机端口状态只能靠现场定位,维护中心,L3,L2,L2,L2,VLAN

28、配置,背景资料：平均每2个小区就需要配置一个专职维护人员。,公网地址,CORE,iManager N2000,HGMP,建议：在有条件的据点可采用HGMP集群管理，简化操作，提高设备可维护性,SNMP,3026/2016/2008,集群管理、降低维护工作量,MA5200,MA5200,XX市4000余台L2、MA5200仅占用200余个管理地址网管中心可集中配置、管理全市的楼道侧设备。设备数量在不断增加，但维护的人员数量却没有太大变化,案例：,可控组播解决方案,网络管理、认证、计费、组播源,汇聚层、接入层,BAS,宽带小区/企业网络,宽带骨干网络,PPPoE用户,VLAN用户,可控组播,BAS

29、,BAS,可控组播方案的内容用户管理组播源管理组播组管理完备的、可扩展的计费手段组播业务监控管理组播安全管理,首创可控组播的理念，目前唯一拥有完善的可管理、可运营组播解决方案的厂商，是流媒体内容运营的里程碑,CAMS,可控组播业务流程 组播用户的认证、计费、控制,网络管理、认证、计费、组播源,NE40/MA5200/BAS,宽带小区/企业网络VLAN与用户绑定,VLAN用户合法,计费,组播节目,VLAN用户非法,VLAN用户合法,透传IGMP或者HGMP报告,NE40或MA5200与CAMS配合完成组播用户认证、计费、控制,认证,汇报提纲,IP城域网建设需求分析 IP城域网方案介绍,华为数通产

30、品应用于43个国家，成为改变全球IP设备市场格局的主流供应商之一 承建6个国家IP骨干网，英国、泰国、俄罗斯、巴西、广电、长宽等国家骨干网 承建 47个IP省干网，200多个城域网广东、江苏、山西、广西、河南、江西、陕西、安徽、贵州、新疆、福建、甘肃,承建英国Fibernet Mpls国家骨干网,承建泰国 Telecom Asia国家IP骨干网,承建巴西VANT Telecom国家骨干网,改变全球数据设备市场格局的力量,Quidway NetEngine 80/40系列第五代核心路由器商用超过1210台，成为全球核心路由器主要供应商；Quidway NetEngine系列高端路由器产品网上运行

31、超过4100台；Quidway NetEngine S6000/S8000系列高端以太网交换机网上运行超过5000台；Quidway NetEngine MA5200系列EAS设备网上运行近7500台，成为IP城域网建设和优化的核心产品；累积销售路由器超过20万台，以太网交换机达810万端口，成为全球市场覆盖范围最广的主导厂商之一。截至时间2003年12月31日,根深才能叶茂全球规模应用,Quidway NetEngine 80/40核心路由器市场份额,2003年6月中国电信北方9省市IP省干新建市场份额（数量）,2003年5月中国网通南方15省市IP省干新建市场份额（数量）,电信级稳定性、良

32、好的互通性、领先的业务能力、高性价比NE80/40系列第五代核心路由器成为运营商骨干网建设的首选！,国内主流运营商最新应用进展,中国网通南方骨干网：华为承建江苏、广东、山西、陕西、新疆等省全部或大部分的省干网，2003年，南方网通已经建设的13个省中，华为承建江苏、广东、陕西等省份的省骨干网，华为核心路由器市场占有率达到38；中国电信北方九省骨干网：获得核心交换机（Quidway S8016）的100%份额和GSR的65%份额，其中河南、山西、内蒙古获得100%份额；中国移动：获得安徽移动、贵州移动、辽宁移动等CMNET新扩容工程，在CMNET一期华为市场占有率超过35的基础，在新增市场中，占

33、有率达到67。,海外市场最新应用情况,英国FiberNet国干：Quidway NetEngine 80/40系列第五代核心路由器构建英国第二大运营商Fibernet IP VPN专线业务网，其中一期采用8台，二期继续全部采用华为Quidway NetEngine 80/40共40台；泰国TelecomAsian国干：对多家核心路由器进行为期三个月的选型测试，Quidway NetEngine 80/40系列第五代核心路由器脱颖而出，获得最高得分，迫使C、J、F三家国际知名公司联合投标，但华为最终还是拿下全网设备，其中Quidway NetEngine 80/40有91台，为中国企业获得了尊重；数字化俄罗斯：12台 Quidway NetEngine 80/40系列第五代核心路由器及数百台中低端路由器构建“数字化俄罗斯”数据网，该项目的交接由俄罗斯总统普京亲自主持。,