株州市廣播電視寬帶綜合信息技術(shù)建議書

PAGE78株州廣播電視寬帶綜合信息網(wǎng)數(shù)據(jù)平臺(tái)項(xiàng)目株州市廣播電視寬帶綜合信息網(wǎng)數(shù)據(jù)平臺(tái)技術(shù)建議書華為技術(shù)有限公司目錄1. 方案建議 41.1 技術(shù)建議書編制的依據(jù) 51.2 建設(shè)目標(biāo) 51.3 業(yè)務(wù)分析 61.4 建設(shè)原則 61.5 華為公司解決方案 72. 網(wǎng)絡(luò)安全措施 262.1 網(wǎng)絡(luò)安全策略 262.2 網(wǎng)絡(luò)各層設(shè)備安全性考慮 272.3 網(wǎng)絡(luò)安全措施 273. 路由協(xié)議與策略 284. IP地址規(guī)劃 325. 用戶認(rèn)證 365.1 WEB＋VLAN認(rèn)證 365.2 802．1X認(rèn)證 386. 強(qiáng)大的QoS 386.1 強(qiáng)大的流分類功能 386.2 二層QoS功能 396.3 三層QoS功能 397. 網(wǎng)絡(luò)可提供的業(yè)務(wù) 407.1 基本業(yè)務(wù) 407.2 擴(kuò)展業(yè)務(wù) 418. VPN 418.1 華為MPLS/BGPVPN解決方案特點(diǎn) 428.2 華為公司MPLS/BGPVPN一般組網(wǎng)模型 438.3 華為MPLS/BGPVPN的實(shí)現(xiàn) 458.4 華為MPLS/BGPVPN跨自治域的實(shí)現(xiàn) 478.5 基于VLAN互連的VPN方案 489. 網(wǎng)絡(luò)管理 499.1 網(wǎng)管的體系結(jié)構(gòu) 499.2 網(wǎng)管系統(tǒng)對(duì)多種設(shè)備的一體化管理 509.3 網(wǎng)管的接口和組網(wǎng)能力 509.4 網(wǎng)管的功能 5110. 計(jì)費(fèi)管理 5311. 結(jié)束語 5512. 附錄 5512.1 附錄Ⅰ縮略語列表 55方案建議華為公司根據(jù)株州市廣播電視寬帶綜合信息網(wǎng)數(shù)據(jù)平臺(tái)的技術(shù)要求，在充分分析了市場需求和技術(shù)發(fā)展趨勢之后，結(jié)合我國數(shù)據(jù)通信發(fā)展的實(shí)際情況提出了株州市廣播電視寬帶綜合信息網(wǎng)數(shù)據(jù)平臺(tái)的技術(shù)建議，主要闡述我司對(duì)株州市廣播電視寬帶綜合信息網(wǎng)數(shù)據(jù)平臺(tái)建設(shè)的全面解決方案。技術(shù)建議書編制的依據(jù)本技術(shù)建議書依據(jù)下列文件編寫:華為公司有關(guān)產(chǎn)品的技術(shù)手冊(cè)建設(shè)目標(biāo)株州市廣播電視寬帶綜合信息網(wǎng)數(shù)據(jù)平臺(tái)是一個(gè)大容量、寬頻帶、標(biāo)準(zhǔn)化、雙向傳輸廣播電視節(jié)目和綜合數(shù)據(jù)信息的寬帶網(wǎng)絡(luò)，并能夠適應(yīng)未來高清晰度電視和視頻點(diǎn)播等廣播電視新業(yè)務(wù)的傳輸要求；能夠?qū)崿F(xiàn)全株州市廣播電視系統(tǒng)的計(jì)算機(jī)數(shù)據(jù)傳輸、通信、節(jié)目數(shù)據(jù)庫聯(lián)網(wǎng)，能夠?qū)崿F(xiàn)廣播式和交互式社會(huì)服務(wù)；能夠?yàn)閿?shù)據(jù)平臺(tái)外提供專用信息傳輸通道。株州市廣播電視寬帶綜合信息網(wǎng)數(shù)據(jù)平臺(tái)的目標(biāo)是采用先進(jìn)、成熟、可靠的網(wǎng)絡(luò)技術(shù)，建立一個(gè)高速、寬帶的城域網(wǎng)，提供包括數(shù)據(jù)、語音、視頻、圖象等在內(nèi)的綜合業(yè)務(wù)及其增值業(yè)務(wù)，滿足Internet接入、VPN、局域網(wǎng)互連等服務(wù)需求；并盡可能地實(shí)現(xiàn)各種業(yè)務(wù)網(wǎng)絡(luò)的無縫連接和互聯(lián)，滿足通信市場對(duì)帶寬的迫切需求，推動(dòng)株州市信息化的進(jìn)程。數(shù)據(jù)平臺(tái)要覆蓋株州市，應(yīng)具備較強(qiáng)的可擴(kuò)展性、廣泛的適用性和靈活性，以及良好的服務(wù)質(zhì)量保證機(jī)制和完整的網(wǎng)絡(luò)服務(wù)性能，以滿足市場對(duì)網(wǎng)絡(luò)運(yùn)行、維護(hù)、管理、計(jì)費(fèi)的需求。業(yè)務(wù)分析廣電未來必然是多媒體數(shù)據(jù)業(yè)務(wù)運(yùn)營商，株州市廣播電視寬帶綜合信息網(wǎng)數(shù)據(jù)平臺(tái)所提供的各類業(yè)務(wù)既要包括對(duì)QOS保障和實(shí)時(shí)性要求不高的純IP業(yè)務(wù)，如現(xiàn)在它能為一般的企業(yè)提供數(shù)據(jù)網(wǎng)絡(luò)服務(wù)、通過專線HFC為家庭提供INTERNET和相應(yīng)的各種服務(wù)，將來可以提供遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療等，又要包括對(duì)QOS保障和實(shí)時(shí)性要求較高的業(yè)務(wù)，如金融系統(tǒng)、證券、保險(xiǎn)、黨政機(jī)關(guān)等，并且集團(tuán)用戶占極大的比例。因此該寬帶信息網(wǎng)數(shù)據(jù)平臺(tái)的建設(shè)應(yīng)該綜合考慮這兩類業(yè)務(wù)的實(shí)現(xiàn)，以盡可能低的投入，較小的風(fēng)險(xiǎn)，建設(shè)高質(zhì)量、高穩(wěn)定性、可擴(kuò)展性強(qiáng)的綜合網(wǎng)絡(luò)獲得高回報(bào)。在組合考慮Internet接入、VOD、VPN、話音和智能小區(qū)、DVB-C等業(yè)務(wù)時(shí)，我們可以發(fā)現(xiàn)廣電系統(tǒng)的HFC技術(shù)對(duì)家庭用戶有獨(dú)有的優(yōu)勢：高帶寬、防輻射能力強(qiáng)、抗干擾能力強(qiáng)、可以利用無源分配技術(shù)實(shí)現(xiàn)低廉的接入、利用頻分技術(shù)實(shí)現(xiàn)多種業(yè)務(wù)的并發(fā)工作等等。建設(shè)原則株州廣電城域網(wǎng)在技術(shù)選擇上綜合考慮先進(jìn)性、成熟性及良好的性價(jià)比，以網(wǎng)絡(luò)的可擴(kuò)展性和可管理性為基礎(chǔ)，統(tǒng)一規(guī)劃，分步實(shí)施，秉承電信級(jí)網(wǎng)絡(luò)的一貫要求，保證網(wǎng)絡(luò)高效、可靠、安全，確保業(yè)務(wù)的快速開展和有效控制以及用戶的計(jì)費(fèi)、管理。因此株州廣電寬帶城域網(wǎng)絡(luò)建設(shè)應(yīng)遵循以下基本原則：（1）可靠性。由于寬帶IP網(wǎng)的為運(yùn)營級(jí)服務(wù)網(wǎng)絡(luò)，因此網(wǎng)絡(luò)設(shè)計(jì)必須首先考慮主要傳輸體制的可靠性、所提供服務(wù)的可用性、網(wǎng)絡(luò)設(shè)備的高性能以及對(duì)關(guān)鍵用戶、關(guān)鍵任務(wù)的有效保障機(jī)制等，并可與各種寬帶傳輸交換平臺(tái)充分互聯(lián)，能夠承載和交換各種信息并將其接入公眾用戶。并以相應(yīng)的可接受的價(jià)格向用戶提供不同接入服務(wù)的方法。（3）擴(kuò)充性。寬帶IP網(wǎng)必須充分考慮到目前的業(yè)務(wù)需求和今后較長時(shí)間內(nèi)業(yè)務(wù)發(fā)展的需要。系統(tǒng)不僅能滿足現(xiàn)在的需要，還應(yīng)具有平滑過渡升級(jí)的能力，在采用新技術(shù)的同時(shí)還可以保護(hù)用戶投資，保證原有設(shè)備的可用性。（4）安全性及可管理性。寬帶IP網(wǎng)是株州市公眾寬帶網(wǎng)絡(luò)，應(yīng)注意保證整個(gè)系統(tǒng)的可管理性和整個(gè)系統(tǒng)的安全性、可靠性；同時(shí)，還可讓網(wǎng)絡(luò)維護(hù)人員可以方便地對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行維護(hù)工作和遠(yuǎn)程控制，如：模塊熱插撥等。（5）開放性與標(biāo)準(zhǔn)化。網(wǎng)絡(luò)系統(tǒng)應(yīng)能支持多協(xié)議，多廠商（包括國產(chǎn)設(shè)備），具有開放的平臺(tái)性能，支持各種通訊協(xié)議，各種數(shù)據(jù)庫和客戶機(jī)服務(wù)應(yīng)用，并能方便地與其它機(jī)構(gòu)、企業(yè)的主機(jī)和網(wǎng)絡(luò)互連通訊。華為公司解決方案華為公司根據(jù)多年來服務(wù)于運(yùn)營商的經(jīng)驗(yàn)，結(jié)合自己的設(shè)備，提出了以下IP網(wǎng)絡(luò)解決方案。組網(wǎng)方案鏈形組網(wǎng)如下圖：圖一株州廣電初期網(wǎng)絡(luò)組網(wǎng)圖組網(wǎng)特點(diǎn)本寬帶網(wǎng)解決方案是基于華為公司成熟的以太網(wǎng)系列產(chǎn)品和華為公司創(chuàng)新的設(shè)計(jì)，為用戶提供了一種高性能的寬帶接入服務(wù)，滿足廣大用戶INTERNET高速上網(wǎng)、社區(qū)服務(wù)、話音、視頻等大多數(shù)寬帶業(yè)務(wù)和基本的可運(yùn)營、可管理需求以及靈活的擴(kuò)展能力，提供基于802.1x的用戶認(rèn)證，當(dāng)上行連接BAS設(shè)備時(shí)，可以配合BAS設(shè)備提供WEB＋VLAN認(rèn)證。在本期工程中，核心置一臺(tái)QuidwayS6506作為核心節(jié)點(diǎn)。在匯聚層配置MA5200，完成對(duì)于網(wǎng)絡(luò)接入層數(shù)據(jù)的匯聚。在接入層采用QuidwayS2000/3000系列完成對(duì)于用戶的接入，可根據(jù)用戶需求，靈活選擇。其中MA5200作為具有分布式BAS功能的三層交換機(jī)使用，采用WEB/PPPOE認(rèn)證。同時(shí)針對(duì)電廣傳媒的優(yōu)越性，擁有豐富的有線電纜資源，在接入層再配置MA5201提供HFC用戶的接入。對(duì)一些小區(qū)、網(wǎng)吧、政府企業(yè)的用戶，可通過以太網(wǎng)交換機(jī)直接向用戶提供10M/100M接口，滿足用戶高速上網(wǎng)的需求。核心設(shè)備介紹S6506Quidway?S6500系列以太網(wǎng)交換機(jī)的設(shè)計(jì)基于分布式處理的設(shè)計(jì)思想，依托于華為公司擁有自主知識(shí)產(chǎn)權(quán)的VRP（VersatileRoutingPlatform，通用路由平臺(tái)）網(wǎng)絡(luò)操作系統(tǒng)，提供完備的動(dòng)態(tài)路由協(xié)議、VLAN（VirtualLANs，虛擬局域網(wǎng)）控制、流量交換、QoS（QualityofService，服務(wù)質(zhì)量）保證、網(wǎng)絡(luò)管理等機(jī)制，擁有強(qiáng)大的業(yè)務(wù)控制和用戶管理能力。系統(tǒng)同時(shí)提供中英文雙語界面，方便用戶操作。運(yùn)營級(jí)可靠性設(shè)計(jì)系統(tǒng)采用分布式結(jié)構(gòu)，所有單板支持熱插拔。S6500系列交換機(jī)支持交流電源（AC）和直流電源（DC）兩種供電方式。此外，為保證系統(tǒng)的健壯性，S6500系列交換機(jī)支持電源模塊的負(fù)載均衡、熱插拔、故障檢測及N:1冗余備份——S6506（R）兩個(gè)電源模塊即可保證系統(tǒng)的正常工作。支持STP/RSTP協(xié)議和VRRP協(xié)議。在安全性要求更高的場合，還可選用支持雙引擎的S6506R。周到、完善的系統(tǒng)設(shè)計(jì)可滿足苛刻的運(yùn)營級(jí)網(wǎng)絡(luò)對(duì)設(shè)備可靠性的要求。豐富的功能特性S6500系列交換機(jī)的背板采用高速背板設(shè)計(jì)技術(shù)，交換容量達(dá)32G/64Gbit/s。S6500系列采用華為專利的彈性資源調(diào)配系統(tǒng)技術(shù)，可實(shí)現(xiàn)從中心交換單元到業(yè)務(wù)處理板通道帶寬的動(dòng)態(tài)調(diào)整，用戶可根據(jù)不同的處理板、不同的業(yè)務(wù)、不同的工作組配置不同的通道帶寬，使得整個(gè)網(wǎng)絡(luò)的靈活性更高，從而實(shí)現(xiàn)系統(tǒng)背板、交換引擎帶寬、性能的最優(yōu)分布；華為VRP?3.x網(wǎng)絡(luò)操作系統(tǒng)支持，提供豐富的網(wǎng)絡(luò)特性功能。提供STP/RSTP避免環(huán)路冗余；S6500系列以太網(wǎng)交換機(jī)所實(shí)現(xiàn)的快速生成樹協(xié)議（RSTP）是生成樹協(xié)議的優(yōu)化版。其“快速”體現(xiàn)在網(wǎng)絡(luò)設(shè)備或鏈路變化期間，“樹根”端口和指定的端口進(jìn)入轉(zhuǎn)發(fā)狀態(tài)的延時(shí)在某種條件下大大縮短，從而縮短了網(wǎng)絡(luò)拓?fù)浞€(wěn)定的時(shí)間。支持IGMPSnooping；盡量減少報(bào)文的轉(zhuǎn)發(fā)范圍，避免非組成員收到組內(nèi)多播流量；支持802.3ad端口聚合；實(shí)現(xiàn)任意端口聚合，在可以將若干個(gè)FE端口或GE端口匯聚到一起，以實(shí)現(xiàn)大容量交換機(jī)之間或者交換機(jī)與骨干路由器及服務(wù)器群之間的高速連接。能夠抑制廣播風(fēng)暴：配置了廣播風(fēng)暴抑制后，可以對(duì)VLAN上的廣播流量進(jìn)行監(jiān)控，當(dāng)廣播流量的帶寬超過配置的限度時(shí)，交換機(jī)將在該VLAN上過濾超出的流量，保證網(wǎng)絡(luò)的業(yè)務(wù)，使廣播所占的流量比例降低到合理的范圍。支持基本的TCP/IP協(xié)議棧及常規(guī)應(yīng)用協(xié)議；支持靜態(tài)路由，管理員手工配置，簡化網(wǎng)絡(luò)配置，提高網(wǎng)絡(luò)性能；支持豐富的路由協(xié)議：RIP、OSPF、IntegratedIS-IS及BGP4，以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境要求；提供不同子網(wǎng)VLAN的三層互通功能；支持ARP、DHCPDelay功能；支持IGMP組播協(xié)議及PIM-DM、PIM-SM等組播路由協(xié)議。系列化超級(jí)引擎S6500系列交換機(jī)全面采用基于新一代ASIC技術(shù)的Salience?系列交換路由引擎。該系列引擎將2/3/4層線速轉(zhuǎn)發(fā)與豐富的QOS、ACL特性結(jié)合在一起，是組建高可靠、低時(shí)延的核心網(wǎng)絡(luò)的重要保障。在設(shè)計(jì)上，Salience?系列交換路由引擎的交換網(wǎng)采用負(fù)荷分擔(dān)方式，全面提升單板可靠性。在可靠性要求更高的領(lǐng)域，可采用Salience?II引擎，該引擎在S6506R的機(jī)箱內(nèi)可實(shí)現(xiàn)雙主控冗余備份。iSalience?為高集成引擎，該系列引擎在Salience?引擎的基礎(chǔ)上可提供少量的業(yè)務(wù)接口，用戶可根據(jù)需要選配4口千兆業(yè)務(wù)扣板。（該系列引擎僅適用于S6503）強(qiáng)大的DiffServ/QOS保障：提供了基于端口和基于流的流量限制(CommittedAccessRate)；提供強(qiáng)大的流分類（TrafficClass）能力，用戶可根據(jù)實(shí)際需要為不同的用戶群組或不同的業(yè)務(wù)類型分配不同的隊(duì)列優(yōu)先級(jí)，帶寬控制（以64Kpbs為步長單位進(jìn)行調(diào)整）；提供Diffserv支持，可以根據(jù)2、3、4層特性，調(diào)整IPDSCP域，為骨干網(wǎng)絡(luò)實(shí)現(xiàn)基于DSCP的IP轉(zhuǎn)發(fā)提供支撐；提供基于數(shù)據(jù)流（Flow，根據(jù)2、3、4層報(bào)文頭的信息確定）的帶寬共享算法，保證每一個(gè)通信應(yīng)用均可獲得公平的流量分配，保證了各主機(jī)之間通信的公平性；提供WRR（WeightedRoundRobin）隊(duì)列調(diào)度策略；提供RED（RandamEarlyDetection/Discard）丟棄策略；可配置的802.1p優(yōu)先級(jí)映射規(guī)則，可根據(jù)IPDSCP信息，802.1p信息，VLAN信息，2/3層轉(zhuǎn)發(fā)表信息，配置出報(bào)文（OutgoingPacket）的802.1p優(yōu)先級(jí)；可配置的隊(duì)列優(yōu)先級(jí)規(guī)則，可根據(jù)IPDSCP信息，802.1p信息，VLAN信息，2/3層轉(zhuǎn)發(fā)表信息，配置轉(zhuǎn)發(fā)隊(duì)列優(yōu)先級(jí)；完善的安全機(jī)制：提供L2/3/4流規(guī)則過濾；用戶分級(jí)管理和口令保護(hù)；提供多種用戶認(rèn)證方式：本地/Radius/802.1x認(rèn)證；支持OSPF、RIPv2及BGPv4的報(bào)文明文及MD5密文認(rèn)證；支持SNMPv3的加密和認(rèn)證。實(shí)用的網(wǎng)絡(luò)管理S6500系列以太網(wǎng)交換機(jī)提供中/英文雙語界面，支持多種配置方式：命令行配置、HGMP配置及網(wǎng)管配置。在命令行配置方式下，用戶可以通過Console口對(duì)交換機(jī)進(jìn)行本地配置或通過Telnet登錄對(duì)交換機(jī)進(jìn)行本地或遠(yuǎn)程配置。S6500系列以太網(wǎng)交換機(jī)對(duì)TelnetServer和TelnetClient服務(wù)都提供支持。HGMP配置方式是指利用華為公司開發(fā)的二層私有協(xié)議HGMP（HuaweiGroupManagementProtocol，華為組管理協(xié)議）實(shí)現(xiàn)管理設(shè)備（如：MA5200以太網(wǎng)接入管理系統(tǒng)）對(duì)S6500系列以太網(wǎng)交換機(jī)的集中管理，完成交換機(jī)配置和配置響應(yīng)消息的傳遞。S6500系列以太網(wǎng)交換機(jī)支持符合SNMPV3協(xié)議標(biāo)準(zhǔn)的iManagerQuidview網(wǎng)管系統(tǒng)平臺(tái)，可通過統(tǒng)一的平臺(tái)實(shí)現(xiàn)對(duì)交換機(jī)充分有效的管理，該網(wǎng)管系統(tǒng)采用多語言圖形界面，操作直觀方便。該系統(tǒng)同時(shí)還可以提供拓?fù)涔芾?、配置管理、故障管理、安全管理、性能管理等功能。此外，S6500系列以太網(wǎng)交換機(jī)也支持RMON、SMON。匯聚設(shè)備介紹MA5200MA5200E/F產(chǎn)品提供強(qiáng)大的用戶認(rèn)證、計(jì)費(fèi)、管理的特性，該方案具有如下特點(diǎn)：靈活的帶寬保證在接入層，在小區(qū)中心配置具備BAS功能的三層設(shè)備MA5200E/F產(chǎn)品，上行通過FE/GE接至寬帶城域網(wǎng)，具體選用100M上行還是GE上行，由局方根據(jù)條件自行決定。中心交換機(jī)通過下行100M使用多模光纖連接樓宇交換機(jī)QuidwayS3000/2000系列。QuidwayS3000/2000系列下行可為用戶提供10M/100M自適應(yīng)端口，為用戶提供了靈活的帶寬選擇余地，同時(shí)也保證了用戶的寬帶業(yè)務(wù)實(shí)現(xiàn)。良好的運(yùn)營維護(hù)能力利用華為公司HGMP協(xié)議的集中管理特性，可以在小區(qū)中心交換機(jī)設(shè)置一個(gè)管理IP地址就可以將所有的樓道交換機(jī)進(jìn)行集中統(tǒng)一的配置和管理，把需要分布安裝的樓道交換機(jī)以及對(duì)各設(shè)備的配置、管理、維護(hù)、升級(jí)等全面管理起來。以軟件的代價(jià)替代物力資源和人力資源的投入，降低小區(qū)網(wǎng)絡(luò)的綜合運(yùn)行維護(hù)成本，提高網(wǎng)絡(luò)的綜合管理能力。也可以利用SNMP協(xié)議將各層交換機(jī)的管理納入統(tǒng)一網(wǎng)管平臺(tái)中，樓道交換機(jī)將SNMP包透傳至小區(qū)中心交換機(jī)，通過小區(qū)中心交換機(jī)的統(tǒng)一出口將SNMP包傳到網(wǎng)管中心，網(wǎng)管中心接收傳來SNMP包，就可以通過帶內(nèi)方式實(shí)現(xiàn)對(duì)小區(qū)內(nèi)各層交換機(jī)的管理。QoS保證中心交換機(jī)MA5200E/F產(chǎn)品采用CAR（承諾訪問速率）技術(shù)實(shí)現(xiàn)針對(duì)每個(gè)用戶的帶寬控制，精細(xì)度達(dá)到128K。MA5200E/F產(chǎn)品支持基于IP報(bào)文五元組的流分類技術(shù)，支持豐富的優(yōu)先級(jí)調(diào)度，有利于將來在網(wǎng)上開展基于IP的視頻、話音業(yè)務(wù)。配合網(wǎng)絡(luò)的高轉(zhuǎn)發(fā)性能，對(duì)不同類型的業(yè)務(wù)和不同類型的用戶進(jìn)行分類支持，為話音、視頻等實(shí)時(shí)業(yè)務(wù)提供質(zhì)量保證。對(duì)關(guān)鍵業(yè)務(wù)和非關(guān)鍵業(yè)務(wù)進(jìn)行區(qū)分處理，保證關(guān)鍵業(yè)務(wù)暢通運(yùn)行。計(jì)費(fèi)管理MA5200E/F產(chǎn)品支持按時(shí)長、流量計(jì)費(fèi)，支持本地計(jì)費(fèi)和遠(yuǎn)端計(jì)費(fèi)，本機(jī)可存儲(chǔ)10萬張?jiān)加?jì)費(fèi)信息，支持標(biāo)準(zhǔn)的Radius協(xié)議并可針對(duì)帶寬、訪問權(quán)限、業(yè)務(wù)優(yōu)先級(jí)等信息對(duì)Radius進(jìn)行擴(kuò)充。可以根據(jù)用戶的不同業(yè)務(wù)，提供靈活的計(jì)費(fèi)策略，不同的認(rèn)證方式（PPP、VLAN+WEB、802.1X）采用相同的計(jì)費(fèi)流程；對(duì)于DHCP分配地址的用戶，可實(shí)時(shí)偵測用戶狀態(tài)以配合計(jì)費(fèi)。完善的用戶認(rèn)證和管理完成多種用戶認(rèn)證方式：VLAN、DHCP+WEB，802.1X、PPPoE，并且依據(jù)網(wǎng)絡(luò)設(shè)備和用戶需求選擇合適的認(rèn)證。采取VLANID對(duì)應(yīng)用戶端口、VLANID+MAC地址+IP地址動(dòng)態(tài)綁定的方式來標(biāo)識(shí)和確定用戶，并根據(jù)這種綁定關(guān)系限定用戶可用帶寬、用戶數(shù)等。健全的安全管理機(jī)制采用DHCPRELAY的技術(shù)隔離用戶和DHCP服務(wù)器，提高地址分配安全性；通過地址與VLANID綁定技術(shù)防止MAC地址、IP地址的盜用；用戶二層利用VLAN嚴(yán)格隔離，利用基于用戶策略的ACL（接入控制列表）來完成用戶的三層受控互訪，通過對(duì)用戶在單位時(shí)間內(nèi)的連接數(shù)量的限制，可以提供四層的用戶安全（防止PROXY方式用戶盜用網(wǎng)絡(luò)資源）。接入設(shè)備介紹HFC接入設(shè)備MA5201MA5201作為HFC數(shù)據(jù)接入前端設(shè)備，應(yīng)用領(lǐng)域包括廣電數(shù)據(jù)接入網(wǎng)，智能小區(qū)，校園網(wǎng)等，其主要的技術(shù)特點(diǎn)為： 19"單機(jī)結(jié)構(gòu)，內(nèi)含一個(gè)CMTS單元，一個(gè)下行信道，四個(gè)上行信道 橋接轉(zhuǎn)發(fā)，支持802.1d生成樹算法 強(qiáng)大的轉(zhuǎn)發(fā)能力，包轉(zhuǎn)發(fā)率為5萬Pps 符合DOCSIS標(biāo)準(zhǔn)，同時(shí)支持EuroDOCSIS 多種操作維護(hù)手段：（1）通過網(wǎng)管（包括OSS）的功能完善的維護(hù)，包括工作站版的網(wǎng)管和PC機(jī)版的網(wǎng)絡(luò)（MA5201、且對(duì)穩(wěn)定性要求不高時(shí)，或者實(shí)驗(yàn)局使用）（2）命令行維護(hù)，可以有三種方式：本地命令行維護(hù)；遠(yuǎn)程電話modem維護(hù)；遠(yuǎn)程登陸Telnet方式。各種維護(hù)手段均支持中文界面。完善的操作維護(hù)功能：以多種操作維護(hù)手段靈活地支持配置管理，性能管理，告警和故障，同時(shí)支持完善的日志功能，軟件在線升級(jí)。 完備的雙向HFC運(yùn)營設(shè)計(jì)：支持網(wǎng)絡(luò)故障定位，頻譜管理，功率管理，上行信道集中式/分布式組網(wǎng)設(shè)計(jì)。 組網(wǎng)靈活：單機(jī)形式，可以以多種方式靈活組網(wǎng)，滿足不同的用戶需要。 MA5201優(yōu)勢集中體現(xiàn)在幾個(gè)方面：（1）性能價(jià)格比優(yōu)。（2）從市場的角度看，HFC數(shù)據(jù)接入在中國仍然屬于起步階段，用于初期低投資的條件下小規(guī)模運(yùn)營是非常有優(yōu)勢的；（3）操作維護(hù)手段和功能完善，同時(shí)中文界面適合國內(nèi)市場的應(yīng)用。（4）同時(shí)支持DOCSIS和EuroDOCSIS，符合中國國情。（5）雙向HFC運(yùn)營設(shè)計(jì)考慮周到，在中國網(wǎng)絡(luò)狀況不是很好的情況下，這一優(yōu)點(diǎn)顯得尤為突出。MA5201技術(shù)指標(biāo):MA5201整機(jī)指標(biāo):參數(shù)名指標(biāo)標(biāo)準(zhǔn)支持MCNSDOCSIS1.0/EuroDOCSIS1.0頻譜分割低分割/中分割結(jié)構(gòu)19"機(jī)盒數(shù)據(jù)轉(zhuǎn)發(fā)能力5萬ppsCable接口1個(gè)下行，4個(gè)上行，最多支持2000個(gè)用戶，實(shí)際應(yīng)用建議支持500用戶以下上行接口100Base-TMA5201下行信道技術(shù)參數(shù)：參數(shù)名指標(biāo)DOCSISEuroDOCSIS中頻頻率44MHz調(diào)制方式64/256QAM信道帶寬6MHz8MHz數(shù)據(jù)率（Mbps）64QAM:30256QAM:4364QAM:42256QAM:55信道編碼RS編碼，交織，加擾，TCM編碼，符合J.83BRS編碼，交織，加擾，TCM編碼，符合J.83A輸出阻抗75Ω輸出電平30dBmV（正負(fù)3dB）MA5201上行信道技術(shù)參數(shù) 參數(shù)名指標(biāo)DOCSISEuroDOCSIS中心頻率范圍5～42MHz5~65MHz調(diào)制方式QPSK/16QAM信道帶寬/信道200K/400K/800K/1.6M/3.2MHz接收數(shù)據(jù)率/信道320K/640/1.28M/2.56M/5.12M/10.24Mbps輸入阻抗75Ω輸入總功率/信道<35dBmV連接器F連接器MA5201物理參數(shù)描述參數(shù)設(shè)備外形19英寸標(biāo)準(zhǔn)機(jī)箱機(jī)箱顏色墨綠色以太網(wǎng)口RJ48X1控制串口RJ48X1射頻口F連接器X5結(jié)構(gòu)尺寸寬X高X深=482.6X88.1X450mm凈重量5.5kg整機(jī)功耗額定40W，最大60WAC輸入電壓范圍85V~264VAC電壓頻率50Hz工作溫度0℃~40℃相對(duì)濕度10%~90%存儲(chǔ)溫度-40℃~70℃MTBF50000hMTTR0.5hMA5201外部接口：通信串口：RS232串口數(shù)量：1個(gè)；物理形態(tài)：帶屏蔽RJ45插座；符合RS232相關(guān)協(xié)議； 以太網(wǎng)接口：10M/100M自適應(yīng)網(wǎng)口數(shù)量：1個(gè)；物理形態(tài)：帶屏蔽RJ45插座；符合802.1\802.2\802.3相關(guān)協(xié)議；CMTS射頻接口數(shù)量：4個(gè)上行，1個(gè)下行； 物理形態(tài)：F連接器 規(guī)范：IPS-SP-406:ANSI/SCTErecommendedF-Port(Female,Indoor),Societyof CableTelevisionEngineers.面板指示燈 MA5201面板提供9個(gè)信號(hào)燈(從左到右）：PWR：亮——CMTS上電 滅——CMTS未上電 DS：亮——下行通道打開 滅——下行通道關(guān)閉 US1：亮——上行通道1打開 滅——上行通道1關(guān)閉 US2：亮——上行通道2打開 滅——上行通道2關(guān)閉 US3：亮——上行通道3打開 滅——上行通道3關(guān)閉 US4：亮——上行通道4打開 滅——上行通道4關(guān)閉 RUN: 系統(tǒng)正常運(yùn)行時(shí)，每秒閃爍一次，滅——系統(tǒng)異常工作 Eth：亮——CMTS與別的設(shè)備通過網(wǎng)線相連，可以通訊 閃爍——CMTS以太口有數(shù)據(jù)收/發(fā)操作 滅——以太口工作異?；駽MTS以太口與別的設(shè)備沒有物理連接或連接異常 ALM：亮（紅色）——系統(tǒng)故障告警（同時(shí)命令行有告警輸出） 滅——無告警信息上變頻器技術(shù)參數(shù)中頻輸入頻率：44MHz輸入電平：+25～+35dBmV輸入阻抗：75輸出中心頻率范圍：53～857MHz輸出頻率步進(jìn)：62.5KHz輸出阻抗：75電源：100～240VAC,50~60Hz結(jié)構(gòu)：19"插框或盒式QuidwayS2403高速以太網(wǎng)交換機(jī)QuidwayS2403以太網(wǎng)交換機(jī)是由華為技術(shù)有限公司開發(fā)的新一代以太網(wǎng)交換機(jī)。QuidwayS2403提供24個(gè)10BASE-T以太網(wǎng)端口和3個(gè)10/100BASE-T快速以太網(wǎng)端口以及一個(gè)可選的光纖模塊。QuidwayS2403以太網(wǎng)交換機(jī)所有端口都可以通過自動(dòng)協(xié)商工作在半雙工或全雙工模式，即插即用，并提供面板指示燈供用戶監(jiān)視網(wǎng)絡(luò)狀態(tài)及處理網(wǎng)絡(luò)故障。用戶不用更換現(xiàn)有網(wǎng)絡(luò)硬件設(shè)備，只需增加QuidwayS2403以太網(wǎng)交換機(jī)就可方便提升網(wǎng)絡(luò)性能，是共享式集線器理想的高性能替代產(chǎn)品。改善網(wǎng)絡(luò)性能：共享式以太網(wǎng)在通信量和用戶數(shù)的增加超出一定數(shù)量時(shí)會(huì)造成碰撞沖突，從而降低網(wǎng)絡(luò)效率；而應(yīng)用QuidwayS2403以太網(wǎng)交換機(jī)，用戶可以獨(dú)享10Mbps、100Mbps帶寬，不需要與其他站點(diǎn)進(jìn)行競爭，從而大幅提升網(wǎng)絡(luò)性能。自動(dòng)協(xié)商和全雙工：QuidwayS2403以太網(wǎng)交換機(jī)所有端口均支持自動(dòng)協(xié)商和全雙工操作，10Mbps端口可工作在10BASE-T全雙工、10BASE-T半雙工兩種方式；10/100Mbps端口可工作在100BASE-TX全雙工、100BASE-TX半雙工、10BASE-T全雙工、10BASE-T半雙工四種方式。每個(gè)端口的工作方式由它與所連接的以太網(wǎng)設(shè)備通過自動(dòng)協(xié)商確定。連接不同運(yùn)行速率的網(wǎng)段：應(yīng)用QuidwayS2403以太網(wǎng)交換機(jī)可以方便地把以10Mbps速率運(yùn)行的網(wǎng)段和以100Mbps速率運(yùn)行的網(wǎng)段高效率的連接在一起。并提供可選的100Mbps上行或服務(wù)器連接的能力。QuidwayS2403以太網(wǎng)交換機(jī)以太網(wǎng)端口可連接HUB或直接連接配有網(wǎng)卡的計(jì)算機(jī)或服務(wù)器，也可上行連接到高速主干網(wǎng)絡(luò)。產(chǎn)品規(guī)格支持的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議--IEEE802.3以太網(wǎng)標(biāo)準(zhǔn)--IEEE802.3u快速以太網(wǎng)標(biāo)準(zhǔn)--IEEE802.3x全雙工標(biāo)準(zhǔn)--IEEE802.1d網(wǎng)橋及生成樹（SpanningTree）協(xié)議--IEEE802.1qVLAN標(biāo)準(zhǔn)--IEEE802.3u千兆以太網(wǎng)標(biāo)準(zhǔn)端口配置24個(gè)10BASE-T以太網(wǎng)端口3個(gè)10/100BASE-T以太網(wǎng)端口一個(gè)可選模塊，1000BASE-SX（多模光纖）、1000BASE-LX（單模光纖）、100BASE-FX（單模多模、多模光纖兩種規(guī)格）數(shù)據(jù)傳輸速率--以太網(wǎng)：10Mbps(半雙工) 20Mbps(全雙工)--快速以太網(wǎng)： 100Mbps(半雙工) 200Mbps(全雙工)網(wǎng)絡(luò)電纜--10BASE-T 3/4/5類非屏蔽雙絞線（最大100m） 5類屏蔽雙絞線（最大100m）--100BASE-TX 5類非屏蔽雙絞線（最大100m） 5類屏蔽雙絞線（最大100m）--100BASE-FX9/125mm單模光纖（最大15km）62.5/125mm多模光纖（最大2km）交換模式：Store-and-forwardCutThrough（僅S2403）MAC地址表地址自學(xué)習(xí)，最多可支持2KMAC地址SNMPAgent支持MIB-II（RFC1213）ConsolePort允許用戶通過串行口配置交換機(jī)登錄用戶口令保護(hù)統(tǒng)計(jì)信息、狀態(tài)信息即時(shí)刷新簡潔易用的配置界面可選擇的中、英文界面Telnet允許用戶通過Telnet登錄配置交換機(jī)登錄用戶口令保護(hù)統(tǒng)計(jì)信息、狀態(tài)信息即時(shí)刷新簡潔易用的配置界面最多可支持3個(gè)用戶同時(shí)登錄登錄超時(shí)保護(hù)可選擇的中、英文界面VLAN符合IEEE802.1Q基于端口的VLANTrunk交換機(jī)到交換機(jī)的Trunk交換機(jī)到服務(wù)器的Trunk可定制的流量分配網(wǎng)絡(luò)管理簡述增值業(yè)務(wù)平臺(tái)CAMSCAMS平臺(tái)可以提供各種增值業(yè)務(wù)，包括WEB認(rèn)證、201＋寬帶上網(wǎng)卡、IPHotel業(yè)務(wù)等。同時(shí)配合MA5200E的BAS功能，能夠?qū)崿F(xiàn)根據(jù)不同用戶需求進(jìn)行計(jì)費(fèi)認(rèn)證，包括按時(shí)長、按流量、安內(nèi)容等計(jì)費(fèi)，同時(shí)還可以提供各種折扣計(jì)費(fèi)。網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全策略全網(wǎng)的安全策略包括網(wǎng)絡(luò)安全策略，節(jié)點(diǎn)安全策略，數(shù)據(jù)安全策略，和持續(xù)安全策略。網(wǎng)絡(luò)安全策略：主要保證網(wǎng)絡(luò)拓?fù)錂C(jī)構(gòu)的合理性，全網(wǎng)各個(gè)節(jié)點(diǎn)之間的連接線路的可用性。節(jié)點(diǎn)安全策略：主要保證各個(gè)節(jié)點(diǎn)內(nèi)的設(shè)備不受攻擊，保證服務(wù)不中斷。數(shù)據(jù)安全策略：保證系統(tǒng)重要數(shù)據(jù)得到及時(shí)有效的備份保護(hù)，并避免受到非法使用者的篡改等。持續(xù)安全策略：是從發(fā)展的角度，提出如何對(duì)系統(tǒng)的安全缺陷及時(shí)跟蹤和修正，保證網(wǎng)絡(luò)的長期安全性。網(wǎng)絡(luò)各層設(shè)備安全性考慮配置安全：對(duì)登錄用戶進(jìn)行認(rèn)證，不同級(jí)別用戶有不同的配置權(quán)限；提供兩種用戶認(rèn)證方式：本地驗(yàn)證、RADIUS(RemoteAuthenticationDial-InUserService)驗(yàn)證。協(xié)議報(bào)文認(rèn)證：對(duì)重要的路由協(xié)議（OSPF，IS-IS，RIP、OSPF等）提供多種驗(yàn)證方法（明文驗(yàn)證、MD5、HMAC-MD5）?；谟脩舳x的策略：可以對(duì)報(bào)文進(jìn)行過濾，同時(shí)采取其它動(dòng)作。安全過濾可以將過濾的報(bào)文重定向到某個(gè)固定端口，便于利用儀器設(shè)備抓包分析。網(wǎng)絡(luò)安全措施在體系結(jié)構(gòu)方面，華為綜合網(wǎng)管系統(tǒng)采用Client/Server結(jié)構(gòu)，支持多個(gè)客戶同時(shí)登錄到網(wǎng)管SERVER，在每一客戶端都有嚴(yán)格的用戶登錄與安全檢查。網(wǎng)管SERVER作為后臺(tái)進(jìn)程運(yùn)行，完成的功能包括：拓?fù)涔芾?、設(shè)備監(jiān)控、性能數(shù)據(jù)采集、設(shè)備告警處理、用戶安全管理。節(jié)點(diǎn)關(guān)鍵設(shè)備冗余備份，為了保障網(wǎng)絡(luò)安全，降低網(wǎng)絡(luò)故障，關(guān)鍵設(shè)備所有關(guān)鍵部件都采用冗余備份設(shè)計(jì)，電源模塊N＋1備份，控制和交換板采用1＋1冗余備份。對(duì)網(wǎng)絡(luò)設(shè)備采用多極安全密碼體系，限制非法設(shè)備和用戶登錄，在出現(xiàn)軟硬件故障時(shí)，可以迅速切換到備用模塊，保障業(yè)務(wù)的不間斷運(yùn)行。關(guān)鍵數(shù)據(jù)采用身份認(rèn)證與授權(quán)，通過訪問權(quán)限限制，加密保存，加密傳輸，同時(shí)網(wǎng)絡(luò)和系統(tǒng)中各種重要數(shù)據(jù)進(jìn)行及時(shí)有效的備份。設(shè)備可設(shè)置三級(jí)時(shí)鐘，并提供時(shí)鐘優(yōu)先級(jí)，當(dāng)最高優(yōu)先級(jí)時(shí)鐘失效時(shí)，可以立即切換到低優(yōu)先級(jí)時(shí)鐘，當(dāng)最高優(yōu)先級(jí)時(shí)鐘恢復(fù)后，又可以立即切換回去，通過這種自動(dòng)保護(hù)既可以保障網(wǎng)絡(luò)的安全運(yùn)行，又可以簡化用戶的管理。網(wǎng)絡(luò)從拓?fù)浣Y(jié)構(gòu)到連接鏈路均應(yīng)考慮路由的備份，采用分層的拓?fù)浣Y(jié)構(gòu)，支持動(dòng)態(tài)迂回路由，在資金可能的情況下，節(jié)點(diǎn)保證雙路由，保障網(wǎng)絡(luò)安全。同時(shí)在網(wǎng)絡(luò)中通過劃分VPN網(wǎng)絡(luò)、VLAN網(wǎng)絡(luò)來保障專業(yè)行業(yè)網(wǎng)絡(luò)的安全性。路由協(xié)議與策略路由協(xié)議可以及時(shí)地動(dòng)態(tài)獲取網(wǎng)絡(luò)拓?fù)湫畔?，引?dǎo)IP數(shù)據(jù)報(bào)文逐步轉(zhuǎn)發(fā)到達(dá)目的地，使IP網(wǎng)絡(luò)具備了很好的靈活性和魯棒性。例如使用動(dòng)態(tài)路由協(xié)議的IP網(wǎng)絡(luò)能夠在一條傳輸路徑中斷時(shí)，自動(dòng)選擇其他的路徑繼續(xù)執(zhí)行數(shù)據(jù)轉(zhuǎn)發(fā)；同樣，在網(wǎng)絡(luò)中增加了新的傳輸路徑時(shí)，IP網(wǎng)絡(luò)也可在很短時(shí)間內(nèi)獲得并傳播拓?fù)渥兓畔?，?duì)網(wǎng)絡(luò)資源實(shí)現(xiàn)靈敏和合理的應(yīng)用。不同的路由協(xié)議有各自的特點(diǎn)，分別適用于不同的條件之下。選擇適當(dāng)?shù)穆酚蓞f(xié)議需要考慮以下因素：1）網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)2）網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量3）與其他網(wǎng)絡(luò)的互連要求4）管理和安全上的要求S6506提供了豐富的路由協(xié)議支持，以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。A、區(qū)域內(nèi)路由協(xié)議（1）RIPRIP（Routeinformationprotocol，即路由信息協(xié)議）是基于D-V算法（距離向量算法）的內(nèi)部動(dòng)態(tài)路由協(xié)議。RIP協(xié)議的標(biāo)準(zhǔn)主要有RFC1058（版本1）和RFC1723（版本2）。QuidwayS6506產(chǎn)品不僅實(shí)現(xiàn)了這兩個(gè)版本的RIP協(xié)議，還支持MD5驗(yàn)證，還可以在必要時(shí)提供更安全的快速收斂的RIP服務(wù)。（2）OSPFOSPF（OpenShortestPathFirst，即最短路徑優(yōu)先協(xié)議）是一種基于鏈路狀態(tài)的內(nèi)部動(dòng)態(tài)路由協(xié)議。 目前OSPF的主要標(biāo)準(zhǔn)是RFC2328（版本2）。QuidwayS6506產(chǎn)品實(shí)現(xiàn)了完整的OSPF功能和一些擴(kuò)展特性。包括支持廣播、NBMA、點(diǎn)到多點(diǎn)、點(diǎn)到點(diǎn)四種接口類型，以及MD5驗(yàn)證、區(qū)域劃分、區(qū)域間路由聚合、虛連接、STUB區(qū)域等豐富的特性。（3）IS-ISIS-IS（IntermediateSystem-IntermediateSystem，中間系統(tǒng)到中間系統(tǒng)協(xié)議）是由國際標(biāo)準(zhǔn)化組織（ISO）制訂的路由協(xié)議，屬于開放系統(tǒng)互聯(lián)協(xié)議簇。IS-IS對(duì)應(yīng)的標(biāo)準(zhǔn)是ISO10589和RFC1195。QuidwayS6506能實(shí)現(xiàn)IP網(wǎng)絡(luò)上的IS-IS協(xié)議完整功能。（4）OSPFOSPF是一種性能優(yōu)良、使用廣泛的單播IGP路由協(xié)議，網(wǎng)絡(luò)開銷小，獲得的路由無環(huán)路，適合在不同規(guī)模的網(wǎng)絡(luò)環(huán)境使用。IS-IS與OSPF在質(zhì)量和性能上的差別并不大，但OSPF更適用于IP，較IS-IS更具有活力。IETF始終在致力于OSPF的改進(jìn)工作，其修改節(jié)奏要比IS-IS快得多。這使得OSPF正在成為應(yīng)用廣泛的一種路由協(xié)議?，F(xiàn)在不論是傳統(tǒng)的路由器設(shè)計(jì)，還是即將成為標(biāo)準(zhǔn)的MPLS（多協(xié)議標(biāo)記交換），均將OSPF視為必不可少的路由協(xié)議。而且IS-IS在國內(nèi)實(shí)際應(yīng)用實(shí)例較少，不太適合作為主要協(xié)議使用。RIP協(xié)議發(fā)展最早，使用簡便，但協(xié)議過于簡單，對(duì)于路由環(huán)路等問題存在一些缺陷，在較大的網(wǎng)絡(luò)環(huán)境中不適合采用。B、域間路由協(xié)議BGPBGP（BorderGatewayProtocol，即邊界網(wǎng)關(guān)協(xié)議）是一種自治系統(tǒng)間的動(dòng)態(tài)路由發(fā)現(xiàn)協(xié)議，它的基本功能是在自治系統(tǒng)間自動(dòng)交換無環(huán)路的路由信息。目前BGP的標(biāo)準(zhǔn)是RFC1771/RFC1772（版本4）。QuidwayS6506實(shí)現(xiàn)了BGP-4協(xié)議的完整功能和一些擴(kuò)展，包括路由聚合、路由衰減、路由反射、AS聯(lián)盟、團(tuán)體屬性，以及用于支持MPLSVPN的BGP多協(xié)議擴(kuò)展。C、路由策略與路由協(xié)議配合使用的路由策略用于增強(qiáng)網(wǎng)絡(luò)管理者對(duì)路由協(xié)議的控制管理。上層路由協(xié)議在與對(duì)端路由器進(jìn)行路由信息交換時(shí)，可能需要只接收或發(fā)布一部分滿足給定條件的路由信息；路由協(xié)議在引入其它路由協(xié)議路由信息時(shí)，可能需要只引入一部分滿足條件的路由信息，并對(duì)所引入的路由信息的某些屬性進(jìn)行設(shè)置以使其滿足本協(xié)議的要求。路由策略則為路由協(xié)議提供實(shí)現(xiàn)這些功能的手段。路由策略由一系列的規(guī)則組成，這些規(guī)則大體上分為三類，分別作用于路由發(fā)布、路由接收和路由引入過程。路由策略也常被稱為路由過濾，因?yàn)槎x一條策略等同于定義一組過濾器，并在接收、發(fā)布一條路由信息或在不同協(xié)議間進(jìn)行路由信息交換前應(yīng)用這些過濾器。QuidwayS6506支持的路由策略主要有路由映像（RouteMap）定義、路由引入和分發(fā)定義，以及路由的前綴、自治系統(tǒng)路徑、團(tuán)體屬性、訪問列表等限制規(guī)則。路由策略的應(yīng)用，對(duì)增強(qiáng)網(wǎng)絡(luò)的可管理性具有重要的實(shí)用價(jià)值。IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)ＩＰ地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對(duì)路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原則：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。IP地址規(guī)劃是要解決有效利用地址空間、有利于路由設(shè)計(jì)、解決公網(wǎng)地址嚴(yán)重不足等問題。地址的分級(jí)、可變長掩碼等技術(shù)的使用在此就不再詳細(xì)論述。我們主要論述如何進(jìn)行最優(yōu)化的公私網(wǎng)地址混用。地址空間的壓力主要來源于個(gè)人接入用戶，而企業(yè)用戶帶來的影響較小。所以，對(duì)專線用戶采用地址靜態(tài)分配、公網(wǎng)、私網(wǎng)地址并存。 寬帶Internet企業(yè)訪問型可以通過專線或以太網(wǎng)接入。這里考慮的重點(diǎn)是以太網(wǎng)接入，專線用戶的處理情況類似。對(duì)企事業(yè)單位用戶一般企事單位業(yè)用戶使用靜態(tài)地址和靜態(tài)路由，IP地址可以使用私網(wǎng)地址或公網(wǎng)地址。而對(duì)個(gè)人用戶到底采用何種方式，取決于多個(gè)因素。其中最主要的因素是公網(wǎng)地址空間的缺少：如果僅僅分配公用IP地址，用戶人數(shù)在不斷增長，將有可能超過可用地址數(shù)，這將成為一個(gè)嚴(yán)重的問題。由于大部分的個(gè)人用戶不需要固定的IP地址，因此對(duì)個(gè)人用戶采用動(dòng)態(tài)的IP地址分配可以節(jié)省地址資源。而采用NAT的方式，可以將網(wǎng)絡(luò)公用地址的需要節(jié)省到幾十分之一甚至更多的程度。但后一種方式的主要問題是NAT/PAT轉(zhuǎn)換的性能問題，第二個(gè)問題是可能會(huì)影響某些寬帶應(yīng)用。而實(shí)際上，地址缺口的大小不僅取決于可用空間和用戶數(shù)，并且與采用的用戶安全技術(shù)和產(chǎn)品有關(guān)。如果寬帶接入采用以太網(wǎng)接入+PPPoE，那么可以方便地進(jìn)行地址的動(dòng)態(tài)分配。如果采用以太網(wǎng)和PerUserPerVLAN的方式，地址消耗太大，使用私網(wǎng)地址+NAT是合理的選擇。如果以太網(wǎng)用戶采用包月的方式，地址需要將大大增加。第二個(gè)因素是采用的產(chǎn)品的特性。第三個(gè)因素是是否考慮NAT對(duì)應(yīng)用的影響。可能某個(gè)用戶需要采用某種應(yīng)用而該應(yīng)用不能穿過NAT設(shè)備，如某些多媒體應(yīng)用和VPN應(yīng)用。綜合以上多種考慮，對(duì)于以撥號(hào)作為接入方式的接入節(jié)點(diǎn)，采用RADIUS服務(wù)器進(jìn)行地址管理，一般采用公網(wǎng)地址池，動(dòng)態(tài)分配IP地址。如果地址空間缺口依然存在，建立公、私兩個(gè)地址池，根據(jù)用戶名或域名進(jìn)行區(qū)分，需要撥號(hào)接入服務(wù)器支持VPDN，這樣只有私網(wǎng)用戶需要進(jìn)行地址轉(zhuǎn)換。同一個(gè)用戶在連接前選擇服務(wù)類型。若改變城域網(wǎng)使用的私網(wǎng)地址，調(diào)整簡單。對(duì)于采用以太網(wǎng)交換機(jī)作為接入方式的接入節(jié)點(diǎn)，由于大部分的個(gè)人用戶不需要固定的IP地址，因此對(duì)個(gè)人用戶采用動(dòng)態(tài)的IP地址(DHCP)分配可以節(jié)省?到?的地址資源。華為公司的QuidwayS6506具有強(qiáng)大的地址轉(zhuǎn)換能力，有效解決IP地址緊缺的問題。S6506內(nèi)置NAT業(yè)務(wù)板以NAPT方式支持公網(wǎng)和私網(wǎng)地址的轉(zhuǎn)換，可以支持城域網(wǎng)公網(wǎng)/私網(wǎng)地址混合規(guī)劃；NAT單板支持IGMP、FTP等ALG處理，NAT板數(shù)量按照NAT容量靈活配置，支持NAT板間負(fù)荷分擔(dān)和熱備份功能。在S6506上做地址轉(zhuǎn)換，可以把NAT功能分布在匯聚層各個(gè)設(shè)備上，減輕城域網(wǎng)出口負(fù)荷，適用于規(guī)模較大的城域網(wǎng)。我們建議城域網(wǎng)邊緣采用私網(wǎng)和公網(wǎng)地址用戶混合接入，城域骨干采用公有地址。用戶認(rèn)證WEB＋VLAN認(rèn)證采用VLAN方式接入用戶減少了客戶端的工作量，同時(shí)提高了網(wǎng)絡(luò)的傳輸效率，但采用這種接入方式相對(duì)于PPPOE接入方式而言，由于減少了用戶名以及密碼的驗(yàn)證過程，因此比較適合與終端相對(duì)固定的用戶，如：政府機(jī)關(guān)、居民用戶等。而對(duì)于象學(xué)生等流動(dòng)性強(qiáng)的用戶，VLAN方式就顯得捉襟見肘了。針對(duì)與這個(gè)問題，同時(shí)考慮目前浙江省網(wǎng)絡(luò)現(xiàn)狀以及各種接入方式的比較，本期城域接入層建設(shè)的接入方式考慮采用VLAN＋WEB的方式來實(shí)現(xiàn)：VLAN＋WEB認(rèn)證指的是VLAN接入的用戶通過登錄門戶網(wǎng)站，輸入用戶名和密碼，進(jìn)行身份認(rèn)證，從而獲得用戶訪問權(quán)限的過程。當(dāng)用戶采用VLAN方式開機(jī)時(shí)，首先要通過DHCP過程來獲得IP地址。在用戶得到IP地址后，寬帶接入服務(wù)器（以下簡稱BAS）把用戶的權(quán)限設(shè)為未認(rèn)證用戶，此時(shí)用戶只能訪問免費(fèi)站點(diǎn)和門戶網(wǎng)站。當(dāng)用戶想訪問外部站點(diǎn)時(shí)，必須先訪問門戶網(wǎng)站，進(jìn)行登錄。用戶在登錄過程中，輸入用戶名和密碼，經(jīng)登錄程序通過MD5算法加密后送到BAS。BAS再把用戶信息發(fā)送到RADIUS認(rèn)證服務(wù)器進(jìn)行認(rèn)證。在得到RADIUS服務(wù)器的認(rèn)證結(jié)果后，BAS根據(jù)認(rèn)證結(jié)果改變用戶權(quán)限，同時(shí)通知用戶并開始計(jì)費(fèi)。當(dāng)用戶結(jié)束訪問時(shí)，需要在門戶網(wǎng)站上點(diǎn)擊注銷按鈕，發(fā)送注銷消息。BAS根據(jù)注銷消息改變用戶權(quán)限，并停止計(jì)費(fèi)。采用VLAN＋WEB的接入方式相對(duì)單純的VLAN接入方式其主要特點(diǎn)：一個(gè)用戶端口內(nèi)，不同用戶擁有不同的權(quán)限采用VLAN＋WEB的認(rèn)證方式時(shí)，一個(gè)用戶端口內(nèi)（一個(gè)用戶家中），不同的用戶可以擁有不同的訪問權(quán)限，例如：家中父母的訪問權(quán)限較高，而子女的訪問權(quán)限較低，避免了各類不良站點(diǎn)對(duì)用戶侵蝕。用戶的帳號(hào)可以流動(dòng)，提高了服務(wù)的滿意度用戶的帳號(hào)可以在同一個(gè)WEB服務(wù)器的管轄范圍內(nèi)中的任意端口進(jìn)行上網(wǎng)，方便了用戶的使用，提高了服務(wù)的客戶滿意度。提供了靈活的計(jì)費(fèi)方式VLAN＋WEB方式的計(jì)費(fèi)方式同PPPOE相同，都是基于用戶帳號(hào)的計(jì)費(fèi)方式，可為運(yùn)營商提供基于帳號(hào)的按時(shí)間、按流量的靈活計(jì)費(fèi)方式。802．1X認(rèn)證802．1x是基于端口的認(rèn)證、管理協(xié)議。華為802.1x系統(tǒng)是全系統(tǒng)解決方案,全面地考慮了在有線寬帶接入網(wǎng)絡(luò)的運(yùn)營管理需求:1.擴(kuò)展了802.1X的握手機(jī)制,解決了有線網(wǎng)應(yīng)用中的仿冒和時(shí)長計(jì)費(fèi)準(zhǔn)確性問題;2.支持本地認(rèn)證,不需要外接Radius服務(wù)器,降低了小型網(wǎng)絡(luò)的建設(shè)成本和管理成本;3.802.1X系統(tǒng)支持EAP終結(jié)和EAP續(xù)傳兩種模式,可以支持現(xiàn)有的RadiusServer,保護(hù)網(wǎng)絡(luò)運(yùn)營商的投資。4.提供多平臺(tái)的802.1X客戶端軟件(WINDOWS98/ME/2000/XP)，客戶端軟件可以滿足網(wǎng)絡(luò)運(yùn)營的要求。5.802.1X受控端口機(jī)制靈活,支持基于端口、基于VLAN、基于MAC地址的受控端口(S3526支持基于端口和MAC地址),可以靈活地應(yīng)用在各種網(wǎng)絡(luò)環(huán)境,如網(wǎng)吧，校園。6．支持的設(shè)備種類多,全系列LANSWITCH以及MA5200E/F產(chǎn)品、MA5300系列。強(qiáng)大的QoS強(qiáng)大的流分類功能S6506提供定義復(fù)雜規(guī)則的功能，這些規(guī)則使用戶可以鑒別細(xì)粒度的流?；谶@些規(guī)則，在現(xiàn)實(shí)的應(yīng)用背景下，S6506能夠線速地對(duì)流進(jìn)行分類。分類結(jié)果用于實(shí)施報(bào)文過濾，QoS，策略路由以及報(bào)文監(jiān)控。流分類規(guī)則的元素豐富，具體包括：VLAN、端口，源MAC地址，指定IP包的TOS/DSCP域值或域值的范圍，是否是IP分段報(bào)文，是否是TCPSYN報(bào)文，ICMP報(bào)文類型和編碼，IP報(bào)文的源IP地址前綴，目的IP地址前綴，TCP/UDP源端口號(hào)或某段范圍，TCP/UDP目的端口號(hào)或某段范圍，IP報(bào)文承載的協(xié)議號(hào)，源地址掩碼以及目的地址掩碼。在每個(gè)接口板上最多可以應(yīng)用5k條規(guī)則。二層QoS功能基于源MAC地址和源端口號(hào)的過濾、優(yōu)先級(jí)設(shè)置和流量控制。優(yōu)先級(jí)共有8級(jí)，映射到IP報(bào)文中DSCP域，流量控制的步長為64K?；谠碫LANID和源端口號(hào)的過濾、優(yōu)先級(jí)設(shè)置和流量控制。優(yōu)先級(jí)共有8級(jí)，映射到IP報(bào)文中DSCP域，流量控制的步長為64K?；谠碫LANID和目的MAC地址的過濾。三層QoS功能QuidwayS6506作為邊緣層設(shè)備，確保不同流享受不同級(jí)別的服務(wù)。在提供確保DiffServ的同時(shí)，仍能做到線速轉(zhuǎn)發(fā)。IPQoS實(shí)現(xiàn)以下特性：實(shí)現(xiàn)流量監(jiān)管，支持四種RFC定義的標(biāo)準(zhǔn)算法。流量監(jiān)管在上行支持對(duì)1024個(gè)流的監(jiān)管；實(shí)現(xiàn)TOS/DSCP域的重標(biāo)記（Remark）。端口輸出隊(duì)列可以支持帶寬保證、流量整形。用戶可以通過指定流量參數(shù)配置隊(duì)列，用戶不需考慮具體的隊(duì)列調(diào)度方式，系統(tǒng)根據(jù)不同的參數(shù)內(nèi)容自動(dòng)選擇合適的調(diào)度策略。在一個(gè)接口板上最多可以支持2048個(gè)隊(duì)列，當(dāng)支持2048個(gè)隊(duì)列時(shí)仍能做到線速轉(zhuǎn)發(fā)。流控采用WRED以及改進(jìn)的SA-RED算法，在上行入端口接口板，交換網(wǎng)板入口，交換網(wǎng)板出口，下行接口板出端口都采取了有效流控措施，并實(shí)現(xiàn)下行對(duì)上行的反饋機(jī)制使上行能夠合理控制上交換網(wǎng)板的流量，避免在流量突發(fā)時(shí)造成在下行的擁塞。WRED支持8個(gè)等級(jí)的丟棄優(yōu)先級(jí)。網(wǎng)絡(luò)可提供的業(yè)務(wù)建成的湖南省寬帶城域網(wǎng)是一個(gè)多元化的高速寬帶城域網(wǎng)，能夠?qū)崿F(xiàn)數(shù)據(jù)、圖像、話音綜合信息服務(wù)?；緲I(yè)務(wù)局域網(wǎng)互連，為總部和分部分散的局域網(wǎng)建立多點(diǎn)之間的高速遠(yuǎn)程連接。虛擬專網(wǎng)VPN，為總部和分部“化公為私”借助公網(wǎng)資源建設(shè)虛擬專網(wǎng)，并通過網(wǎng)絡(luò)技術(shù)可以起到物理隔絕的效果，安全性好。高速因特網(wǎng)接入，因特網(wǎng)用戶通過信息網(wǎng)絡(luò)接入設(shè)備連入全球的Internet網(wǎng)絡(luò)，支持WWW、FTP、Telnet、E-mail等各項(xiàng)業(yè)務(wù)，可以在網(wǎng)上瀏覽、檢索、發(fā)布信息。會(huì)議電視，利用網(wǎng)絡(luò)和數(shù)字視像技術(shù)實(shí)現(xiàn)異地會(huì)議聲像并茂的交互傳輸和控制。擴(kuò)展業(yè)務(wù)小區(qū)智能服務(wù)：為物業(yè)小區(qū)提供信息化服務(wù)。校園上網(wǎng)：（201+電話卡）視頻點(diǎn)播：交互式電視的一部分，它使用戶可以隨意選擇所需的視訊節(jié)目，并可隨意地控制節(jié)目播出（如快進(jìn)、快倒、暫停等）。網(wǎng)絡(luò)教學(xué)：使用視頻和通訊設(shè)備實(shí)現(xiàn)一點(diǎn)對(duì)多點(diǎn)或點(diǎn)對(duì)點(diǎn)的交互式異地遠(yuǎn)端教學(xué)，實(shí)現(xiàn)學(xué)生和教師的實(shí)時(shí)交流，學(xué)生還可隨時(shí)進(jìn)行學(xué)習(xí)點(diǎn)播和查詢。內(nèi)部網(wǎng)絡(luò)購物：利用信息傳送網(wǎng)絡(luò)進(jìn)行商務(wù)交易，用戶在家里直接通過網(wǎng)絡(luò)選物、購物、付款。遠(yuǎn)程醫(yī)療：是會(huì)議電視技術(shù)的延伸，利用網(wǎng)絡(luò)和數(shù)字視像技術(shù)實(shí)現(xiàn)專家異地會(huì)診治療疾病。IP電話/傳真：其特征是以IP數(shù)據(jù)包格式傳送分流長途業(yè)務(wù)，使用戶以比較經(jīng)濟(jì)的方式使用長途電話和傳真業(yè)務(wù)。VPN利用寬帶網(wǎng)構(gòu)建虛擬專網(wǎng)是一個(gè)符合潮流的網(wǎng)絡(luò)概念，虛擬專網(wǎng)（VirtualPrivateNetwork，VPN）技術(shù)是近年來隨著互聯(lián)網(wǎng)的發(fā)展而迅速發(fā)展起來的一種技術(shù)。VPN是利用公網(wǎng)上提供的虛擬鏈路，形成虛擬邏輯上的私有網(wǎng)，使集團(tuán)用戶總部和遠(yuǎn)程辦公室、用戶與合作伙伴、企事業(yè)單位之間“化公為私”，利用寬帶IP骨干網(wǎng)組建企業(yè)專網(wǎng)?，F(xiàn)代企業(yè)越來越多地利用公網(wǎng)網(wǎng)絡(luò)資源來進(jìn)行促銷、銷售、售后服務(wù)，乃至培訓(xùn)、合作等活動(dòng)。VPN技術(shù)利用互聯(lián)網(wǎng)絡(luò)來承載，把分散在各地的Intranet相聯(lián)，并且允許單個(gè)用戶遠(yuǎn)程進(jìn)入Intranet，接受和Intranet本地用戶一樣的服務(wù)，達(dá)到了節(jié)省費(fèi)用（節(jié)省了WAN設(shè)備和遠(yuǎn)程接入的專線費(fèi)用）、容易擴(kuò)展、自己控制主動(dòng)權(quán)等效果，及充分利用現(xiàn)有網(wǎng)絡(luò)資源的目的。華為MPLS/BGPVPN解決方案特點(diǎn)華為公司MPLS/BGPVPN解決方案可以提供一種基于網(wǎng)絡(luò)、易于管理、擴(kuò)充性好、安全且具有QoS保障、可在任意節(jié)點(diǎn)間連接的VPN。簡介如下：1）基于網(wǎng)絡(luò)，易于管理：這種基于網(wǎng)絡(luò)的VPN可以完全由骨干網(wǎng)絡(luò)來實(shí)現(xiàn)，集團(tuán)用戶可將VPN的管理“外包”給運(yùn)營商，即網(wǎng)絡(luò)用戶不用關(guān)心VPN是如何構(gòu)造的，而是由網(wǎng)絡(luò)運(yùn)行商在其網(wǎng)絡(luò)內(nèi)完成。這種VPN可以顯著地減少運(yùn)營商和用戶的投資，特別適合于為企業(yè)集團(tuán)用戶實(shí)現(xiàn)Intranet、Extranet。2）擴(kuò)充性好：由于基于MPLS/BGP實(shí)現(xiàn)，因此很容易對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行擴(kuò)充，網(wǎng)絡(luò)可剪裁性好。3）安全：由于基于MPLS/BGP實(shí)現(xiàn)，報(bào)文在網(wǎng)絡(luò)節(jié)點(diǎn)構(gòu)成的MPLS域中采用標(biāo)簽轉(zhuǎn)發(fā)的形式進(jìn)行交換（LSP），因此具有同ATM/FR虛電路相同的安全級(jí)別。4）QOS:由于基于MPLS/BGP實(shí)現(xiàn)，可以利用MPLS技術(shù)特有的CoS、RSVP,流量工程等機(jī)制，從而能夠?yàn)橛脩魧?shí)現(xiàn)有QoS保證的VPN。MPLS來實(shí)現(xiàn)VPN是趨勢，VPN的劃分在PE節(jié)點(diǎn)上實(shí)現(xiàn)。考慮到在實(shí)際運(yùn)營過程中，網(wǎng)絡(luò)需要同時(shí)支持很多個(gè)VPN，為了簡化IP地址的規(guī)劃、分配、維護(hù)，我們推薦利用MPLS來實(shí)現(xiàn)VPN?；贛PLS的標(biāo)簽轉(zhuǎn)發(fā)路徑的VPN可以單獨(dú)構(gòu)成一個(gè)獨(dú)立的地址空間，獨(dú)自尋址，即VPN之間可以重用地址，在分配地址時(shí)不必考慮是否會(huì)與其他的VPN發(fā)生沖突，只需要考慮在本VPN之內(nèi)不沖突即可。當(dāng)然在考慮VPN與Internet互連時(shí)還是得通過NAT等方式以避免與Internet地址沖突。華為公司MPLS/BGPVPN一般組網(wǎng)模型說明：

CE（CustomEdge）用戶Site中直接與服務(wù)提供商相連的邊緣設(shè)備，一般是路由器

PE（ProviderEdge）骨干網(wǎng)中的邊緣設(shè)備，它直接與用戶的CE相連。

Prouters骨干網(wǎng)中不與CE直接相連的設(shè)備，只負(fù)責(zé)標(biāo)簽轉(zhuǎn)發(fā)

Site是一個(gè)內(nèi)部連通但不通過服務(wù)提供者骨干網(wǎng)不具有相互連通性的網(wǎng)絡(luò)系統(tǒng)。site舉例：公司總部、分支機(jī)構(gòu)、合作伙伴、撥號(hào)用戶、VoIP網(wǎng)關(guān)網(wǎng)絡(luò)等。在此MPLS/BGPVPN的一般模型中，網(wǎng)絡(luò)由運(yùn)營商的骨干網(wǎng)與用戶的各個(gè)Site組成，所謂VPN就是對(duì)site集合的劃分，一個(gè)VPN就對(duì)應(yīng)一個(gè)由若干site組成的集合。但是必須遵循如下規(guī)則：兩個(gè)Site之間只有至少同時(shí)屬于一個(gè)VPN定義的Site集合，才具有IP連通性。按照這個(gè)VPN的定義，一個(gè)VPN中的所有site都屬于一個(gè)企業(yè)，稱為Intranet；如果VPN中的site分屬不同的企業(yè)，則稱為Extranet。Site可以同時(shí)屬于不同的集合，Site也可以同時(shí)屬于不同的VPN。華為MPLS/BGPVPN的實(shí)現(xiàn)MPLS采用虛擬路由表的方法來實(shí)現(xiàn)一個(gè)路由器上多個(gè)VPN的路由表。每一個(gè)VPN對(duì)應(yīng)一個(gè)或多個(gè)VRFs(VPNrouting/forwardinginstance)。VRF定義連接到PE上的VPN成員(一個(gè)site)資格。一個(gè)VRF包括一個(gè)IP路由表、一個(gè)FIB(forwardinginformationtable)表、相關(guān)聯(lián)的端口、和一些控制路由的規(guī)則和參數(shù)。數(shù)據(jù)包的路由和交換由VRF路由表和單獨(dú)的FIB表所控制，每一個(gè)VPN對(duì)應(yīng)一個(gè)路由表和一個(gè)FIB表。VPN路由信息的傳播由VPNroute-targetcommunities來控制，這主要是通過BGP的extendedcommunities屬性來實(shí)現(xiàn)的。VPN路由信息的傳播通過下述的方法進(jìn)行工作：當(dāng)一條從CE處學(xué)習(xí)到的VPN路由被inject到BGP中時(shí)，一些VPNroutetargetcommunities屬性被賦于它；其中主要包括route-target屬性，該屬性決定這些route將被export到哪些VRF。每個(gè)VRF配置有一個(gè)importroute-target列表，該列表指明了一個(gè)BGP的update中的community屬性應(yīng)該包含什么route-target才能被目標(biāo)VRF接受。比如，某一個(gè)VRF的importroute-target列表指明route-targetcommunitiesA、B和C，這樣，每一個(gè)MP-iBGP的update中communities屬性的route-target中有A或B或C的route將被import到該VRF中。一個(gè)PE路由器可通過靜態(tài)路由、RIP或BGP從CE處得到某一個(gè)IP前綴的路由，該前綴是標(biāo)準(zhǔn)IPv4的前綴。然后，PE通過加上一個(gè)8字節(jié)的RD(routedistinguisher)將它轉(zhuǎn)換成為一個(gè)VPN-IPv4的前綴，該前綴屬于VPN-IPv4的前綴。通過這種方法，可以使用戶地址唯一，即使用戶使用的是IANA規(guī)定的保留地址。用于生成VPN-IPv4前綴的RD(routedistinguisher)由PE路由器的VRF配置命令指定。MPBGP協(xié)議為VPN的每個(gè)VPN-IPv4前綴傳遞NLRI(NetworkLayerReachabilityInformation)。BGP實(shí)體之間的通信出現(xiàn)在兩個(gè)地方，AS內(nèi)的iBGP和AS間的EBGP，PE-PE和PE-RR(routereflector)之間為iBGP，PE-CE之間為EBGP。BGP協(xié)議通過BGP多協(xié)議擴(kuò)展(BGP,MultiprotocolExtensionsforBGP-4)來傳遞VPN-IPv4的路由可達(dá)性信息，多協(xié)議擴(kuò)展的BGP采用的方法為限定BGP的peer只能從其它VPN的同伴處得到BGP路由。IP包經(jīng)過MPLS標(biāo)簽交換到其目標(biāo)地址，其選路的基礎(chǔ)是VRF路由表和VRFFIB表。PE路由器為每一個(gè)從CE路由器學(xué)到的前綴產(chǎn)生一個(gè)label，然后將這個(gè)label附加到BGP更新中傳遞出去。當(dāng)一個(gè)源PE路由器從CE路由器處得到一個(gè)IP包，它使用從目標(biāo)PE路由器學(xué)到的label將該IP包發(fā)送出去。當(dāng)目標(biāo)PE路由器得到這個(gè)labeledIP包后，將label從IP包中去除，作為一個(gè)純IP包發(fā)送到CE路由器。當(dāng)labeledIP包在核心骨干部分傳遞時(shí)，其基于labelswitching或trafficengineeredpath進(jìn)行，一個(gè)用戶的IP包在核心穿行時(shí)，攜帶了2層label：第一層label指示到正確的目標(biāo)PE路由器；第二層label給目標(biāo)PE路由器指示，到哪一個(gè)其連接的site鏈路。華為MPLS/BGPVPN跨自治域的實(shí)現(xiàn)為最終用戶提供VPN業(yè)務(wù)可以實(shí)現(xiàn)全國范圍內(nèi)各城市互聯(lián)業(yè)務(wù)，A、B、C類各節(jié)點(diǎn)城市都有專線接入和MPLSVPN支持能力，因此絕大多少情況下，MPLSVPN業(yè)務(wù)是在骨干網(wǎng)內(nèi)部實(shí)現(xiàn)的，而骨干網(wǎng)采用的是統(tǒng)一的自治域，即通常MPLSVPN不需要跨越自治域。但有例外情況，一方面要連接其他城市，有可能面臨跨越自治域的問題；另一方面，有些規(guī)模較大的城市有自己的城域網(wǎng)，而且有獨(dú)立的自治域，VPN的發(fā)起和終結(jié)點(diǎn)也可以是在城域網(wǎng)內(nèi)，需要城域網(wǎng)運(yùn)營商實(shí)現(xiàn)MPLSVPN，在各地城域網(wǎng)運(yùn)營商都以相同的協(xié)議標(biāo)準(zhǔn)實(shí)現(xiàn)MPLSVPN時(shí)，骨干網(wǎng)運(yùn)營商實(shí)現(xiàn)相同的MPLSVPN業(yè)務(wù)才有必要。所以，網(wǎng)絡(luò)需要支持跨自治域的VPN，以便今后更好地開展MPLSVPN業(yè)務(wù)。MPLS/BGPVPN路由是通過BGP攜帶的，有三種方式解決：一是VRFtoVRF方式。這種方式是在PE(ASBR:AS邊界路由器）處，把對(duì)端的PE(ASBR)作為CE設(shè)備看，PE（ASBR）和PE（ASBR）之間通過eBGP攜帶VPN路由。這個(gè)方法的優(yōu)點(diǎn)是在ASBR之間不需要運(yùn)行MPLS，但缺點(diǎn)是每個(gè)VPN的用戶站點(diǎn)需要與一個(gè)子接口綁定，ASBR需要維護(hù)VPN路由，所以存在可擴(kuò)展性問題。二是EBGP方式。這種方式是通過在ASBR之間傳播VPN路由，并且為給相應(yīng)的VPN路由分配一個(gè)標(biāo)簽。這種方法的優(yōu)點(diǎn)是不需要在ASBR處為每個(gè)VPN的用戶站點(diǎn)分配一個(gè)子接口。但缺點(diǎn)是是需要在ASBR處維護(hù)VPN路由，從PEingress到PEegress需要一條完整的LSP，ASBR之間需要互相信任。三是Multi-hopBGP方式。這種方式是首先路由擴(kuò)散在ingress與egress之間建立一條LSP，然后不同AS域之間的PE通過eBGP方式在LSP上傳播VPN路由。這種方式可擴(kuò)展性較好，不需要ASBR維護(hù)VPN路由?；赩LAN互連的VPN方案該業(yè)務(wù)是指利用VLAN技術(shù)提供基于以太網(wǎng)用戶的互連，接口速率從10M、100M到1000M。利用華為公式的VMAN技術(shù)，通過在VLAN的802.1Q報(bào)文的Header中對(duì)VLANTAG進(jìn)行嵌套，可將城域網(wǎng)中不同辦公地點(diǎn)的同一單位用戶方在同一虛擬城域網(wǎng)(VMAN)內(nèi)，組成一虛擬專用網(wǎng)(VPN)。他們之間可按原來的協(xié)議(IP、IPX、DECnet、SNA等)和VLAN關(guān)系通信，與在同一LAN上一樣。由于他們與城域網(wǎng)中的其它用戶不在同一VMAN中，所以外界用戶無法進(jìn)入本單位的VMAN。用戶可在每個(gè)VMAN的出口(而不是每個(gè)辦公地點(diǎn))設(shè)置防火墻，保證對(duì)外的安全性。這樣既保證了單位內(nèi)部VMAN內(nèi)通信的性能和方便性，又可對(duì)VMAN出口采取重點(diǎn)安全控制，從而可通過寬帶城域網(wǎng)實(shí)現(xiàn)既安全、又方便的虛擬專用網(wǎng)。QuidwayS6506路由交換機(jī)支持MPLS二、三層VPN，具備同城/廣域的互聯(lián)能力，可以為企業(yè)客戶提供完善的寬帶業(yè)務(wù)平臺(tái)。S6506支持多種格式的MPLS封裝：FE、GE、POS，可以實(shí)現(xiàn)跨自治域的VPN流量的轉(zhuǎn)發(fā)，并且支持VPN私網(wǎng)地址用戶通過地址轉(zhuǎn)換訪問Internet。S6506支持802.1Q，可跨交換機(jī)實(shí)現(xiàn)城域網(wǎng)內(nèi)不同地區(qū)的VLAN互連。此外，S6506的VMAN技術(shù)可提供城域網(wǎng)內(nèi)的VPN支持，二層VPN同時(shí)支持Juniper和Cisco的方案，可以與二者實(shí)現(xiàn)互通。網(wǎng)絡(luò)管理華為公司網(wǎng)管產(chǎn)品iManager-N2000固定網(wǎng)絡(luò)綜合網(wǎng)管系統(tǒng)（以下簡稱N2000）提供對(duì)綜合接入網(wǎng)網(wǎng)絡(luò)管理的支持。網(wǎng)管的體系結(jié)構(gòu)N2000網(wǎng)管系統(tǒng)基于華為公司統(tǒng)一的網(wǎng)管平臺(tái)，體系結(jié)構(gòu)采用了目前成熟并應(yīng)用廣泛的多層CLIENT/SERVER結(jié)構(gòu)，支持?jǐn)?shù)據(jù)庫系統(tǒng)、業(yè)務(wù)處理系統(tǒng)和前臺(tái)應(yīng)用系統(tǒng)的分布化和層次化，支持多客戶端操作，因此能適應(yīng)復(fù)雜、大型網(wǎng)絡(luò)的管理需求；網(wǎng)管系統(tǒng)還采用了多進(jìn)程的設(shè)計(jì)機(jī)制，支持不同應(yīng)用進(jìn)程通過注冊(cè)文件或數(shù)據(jù)字典的方式融入系統(tǒng)，因此使系統(tǒng)具有了靈活地?cái)U(kuò)充能力，滿足網(wǎng)絡(luò)發(fā)展時(shí)期需求多變的環(huán)境；網(wǎng)管系統(tǒng)還采用了統(tǒng)一的消息分發(fā)中心并支持消息分發(fā)中心分布化，提高網(wǎng)管通訊處理的能力；網(wǎng)管系統(tǒng)中監(jiān)控進(jìn)程統(tǒng)一調(diào)度和監(jiān)控其他進(jìn)程，保證其他應(yīng)用進(jìn)程可持續(xù)穩(wěn)定地運(yùn)行，提高了整個(gè)網(wǎng)管系統(tǒng)的可靠性和穩(wěn)定性。提供標(biāo)準(zhǔn)SNMP接口、標(biāo)準(zhǔn)MIB，具備升級(jí)提供Q3接口的能力，便于實(shí)現(xiàn)多廠家設(shè)備的統(tǒng)一網(wǎng)管。網(wǎng)管中心應(yīng)具有良好的人/機(jī)接口，操作方便，顯示、輸出直觀。網(wǎng)管系統(tǒng)提供GUI、MML和WEB人機(jī)接口，符合不同維護(hù)習(xí)慣，操作方便，顯示輸出直觀。網(wǎng)管系統(tǒng)對(duì)多種設(shè)備的一體化管理網(wǎng)管系統(tǒng)滿足對(duì)華為公司固定網(wǎng)絡(luò)設(shè)備的統(tǒng)一網(wǎng)管。所支持的設(shè)備覆蓋我司的寬窄帶交換、接入、數(shù)據(jù)通訊設(shè)備，目前支持的產(chǎn)品包括寬帶交換設(shè)備8750、iSIPP、多業(yè)務(wù)接入設(shè)備MA、接入服務(wù)器MG、C&C08交換機(jī)、SBS系列傳輸設(shè)備、Quidway高端路由器NE系列設(shè)備、三層交換機(jī)系列、LanSwitch交換機(jī)系列設(shè)備、FA等通信設(shè)備。N2000對(duì)這些設(shè)備的支持采用的是組件化安裝包的方式，能夠方便地幫助用戶進(jìn)行平滑地升級(jí)和擴(kuò)容。網(wǎng)管的接口和組網(wǎng)能力華為公司iManagerN2000網(wǎng)管系統(tǒng)與網(wǎng)元設(shè)備間滿足標(biāo)準(zhǔn)的”管理－代理”簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）和廣電業(yè)界通用的MML接口。SNMPV1/V2均能提供支持，管理信息庫采用ATM論壇標(biāo)準(zhǔn)定義。網(wǎng)管系統(tǒng)滿足對(duì)設(shè)備的帶內(nèi)及帶外管理。帶外管理時(shí)網(wǎng)管通道可以采用DDN、ISDN專線、E1線路、路由器、Ethernet等多種方式。網(wǎng)管的功能網(wǎng)管系統(tǒng)滿足對(duì)全網(wǎng)拓?fù)涞膮^(qū)域管理，區(qū)域劃分可以由用戶配置；在網(wǎng)絡(luò)規(guī)模較大時(shí)，也可以在多區(qū)域分別建立網(wǎng)管中心并支持中心互連，通過用戶安全權(quán)限管理，可以對(duì)區(qū)域管理進(jìn)行權(quán)限控制。1、拓?fù)浜蛥^(qū)域管理拓?fù)涔芾碛糜跇?gòu)造并管理整個(gè)通信網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過自動(dòng)上載網(wǎng)絡(luò)設(shè)備的拓?fù)鋽?shù)據(jù)形成與實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相同的網(wǎng)絡(luò)拓?fù)湟晥D并實(shí)時(shí)刷新其狀態(tài)。2、OAM功能對(duì)寬帶業(yè)務(wù)提供全面的虛連接OAM測試功能，可以進(jìn)行F4、F5端到端或段的環(huán)回測試、連續(xù)性測試和性能監(jiān)視；OAM測試的設(shè)置操作與PVC/PVP管理一樣，基于全網(wǎng)拓?fù)鋱D進(jìn)行操作的。對(duì)窄帶業(yè)務(wù)支持窄帶V5接口、2M鏈路、C通道、半永久、用戶端口、模擬用戶、2B＋D用戶、30B＋D用戶、16KC用戶等的配置和維護(hù)操作；支持模擬用戶、數(shù)字用戶、測試板設(shè)備、支持2M線路、模擬用戶、半永久連接、端口、時(shí)隙的立即測試、例行測試、在線測試、交互測試；支持窄帶V5業(yè)務(wù)上的CPU性能統(tǒng)計(jì)、設(shè)備可用信息統(tǒng)計(jì)、承載通路信息統(tǒng)計(jì)、物理C通路信息統(tǒng)計(jì)、邏輯C通路信息統(tǒng)計(jì)、PCM占用率信息統(tǒng)計(jì)；3、VPN業(yè)務(wù)管理N2000還在完善業(yè)務(wù)管理功能，可以在全網(wǎng)實(shí)現(xiàn)端到端業(yè)務(wù)通道配置、VPN子網(wǎng)管理和用戶管理等，憑借其強(qiáng)調(diào)靈活的網(wǎng)管體系結(jié)構(gòu)，在更高的應(yīng)用層次上實(shí)現(xiàn)用戶管理網(wǎng)絡(luò)業(yè)務(wù)的需求。此外，N2000具備五大管理功能，即常規(guī)的配置管理、故障管理、性能管理、計(jì)費(fèi)管理和安全管理。配置管理包括網(wǎng)絡(luò)資源的配置和業(yè)務(wù)的配置；故障(或維護(hù))管理包括激活檢測、故障定位、告警監(jiān)視和糾正非正常操作等功能；計(jì)費(fèi)管理包括實(shí)時(shí)收集網(wǎng)絡(luò)的可利用信息，并對(duì)其信息進(jìn)行處理、存儲(chǔ)、計(jì)費(fèi)報(bào)告生成；性能管理的主要功能包括：a、設(shè)備的可采集對(duì)象進(jìn)行實(shí)時(shí)性能監(jiān)視與長期后臺(tái)采集功能。 b、方便定制采集監(jiān)視對(duì)象及其組合計(jì)算，直觀顯示采集計(jì)算結(jié)果。 c、用戶可以列表或曲線圖等方式查看并維護(hù)每一性能采集項(xiàng)的性能數(shù)據(jù) d、通過實(shí)時(shí)性能監(jiān)視應(yīng)用，用戶可對(duì)任意的設(shè)備分組，單個(gè)設(shè)備或設(shè)備上的某一組對(duì)象，進(jìn)行實(shí)時(shí)的性能數(shù)據(jù)收集，并以曲線圖、餅圖、柱形圖等多種方式顯示 e、設(shè)置性能的門限，當(dāng)性能超過門限時(shí)，網(wǎng)絡(luò)以告警的方式通知網(wǎng)管系統(tǒng)。 f、用戶也可以收集一定時(shí)間段內(nèi)的性能數(shù)據(jù)，并保存在數(shù)據(jù)庫中，以做進(jìn)一步的分析。 g、性能數(shù)據(jù)輪循的間隔可配置 h、提供性能數(shù)據(jù)采集模板定制功能,以適應(yīng)各種動(dòng)態(tài)需求安全管理可以避免對(duì)網(wǎng)絡(luò)的非法訪問，控制不同用戶的接入級(jí)別和范圍。接入網(wǎng)網(wǎng)管可以配置用戶識(shí)別符、口令，以及登錄操作員的查詢指令等。安全管理還應(yīng)具有網(wǎng)絡(luò)配置、運(yùn)行、故障、計(jì)費(fèi)、訪問等數(shù)據(jù)信息的保護(hù)和備份措施。具體要求如下：具有用戶認(rèn)證能力、多級(jí)別訪問權(quán)限、防止繞過鑒權(quán)、記錄所有的登錄。除上述管理功能外，N2000網(wǎng)管系統(tǒng)還具有完善的全網(wǎng)拓?fù)涔芾怼⒅庇^的設(shè)備面板管理、環(huán)境監(jiān)控管理、日志管理等，滿足多種設(shè)備的集中維護(hù)管理中心或網(wǎng)管中心的需求。計(jì)費(fèi)管理計(jì)費(fèi)管理包括實(shí)時(shí)收集網(wǎng)絡(luò)的可利用信息，并對(duì)信息進(jìn)行處理、存儲(chǔ)、計(jì)費(fèi)報(bào)告生成；提供的計(jì)費(fèi)參數(shù)包括：表明連接支持的業(yè)務(wù)類型，PTP/PTMP指示，該統(tǒng)計(jì)對(duì)象的端口ID，數(shù)據(jù)被收集的時(shí)間，入/出口的信元數(shù)，流量類性和流量參數(shù)值和QOS登記，數(shù)據(jù)被收集的原因等。持續(xù)時(shí)間，主叫地址，被叫地址，釋放原因，寬帶承載能力等。城域網(wǎng)可以設(shè)置計(jì)費(fèi)中心。計(jì)費(fèi)中心負(fù)責(zé)收集各種計(jì)費(fèi)信息，并對(duì)其進(jìn)行統(tǒng)計(jì)分析，記錄歸檔，形成計(jì)費(fèi)報(bào)告。負(fù)責(zé)區(qū)域接入網(wǎng)的計(jì)費(fèi)中心負(fù)責(zé)區(qū)域范圍內(nèi)的計(jì)費(fèi)，并通過特定網(wǎng)管通路定期向數(shù)據(jù)網(wǎng)全國結(jié)算中心上報(bào)計(jì)費(fèi)信息。設(shè)備將話單信息生成并存成文件放到與計(jì)費(fèi)中心約定好的目錄下，計(jì)費(fèi)中心負(fù)責(zé)采集各個(gè)接入會(huì)聚節(jié)點(diǎn)設(shè)備上存放的話單文件，這里可以使用前置的采集機(jī)，采集的方式可以使用FTP。一個(gè)采集機(jī)可以同時(shí)采集幾個(gè)設(shè)備上的話單文件。采集機(jī)的功能是采集，存儲(chǔ)，備份話單文件，同時(shí)提供文件的初驗(yàn)和差錯(cuò)告警功能。計(jì)費(fèi)中心定時(shí)處理采集機(jī)上的話單文件，逐條話單處理，剔除重復(fù)和異常的話單信息，并針對(duì)每條話單信息根據(jù)其對(duì)應(yīng)的算費(fèi)模型確定其費(fèi)用，就是所說的化價(jià)過程?；瘍r(jià)后的話單信息將被寫入數(shù)據(jù)庫。計(jì)費(fèi)信息最終將被發(fā)送到帳務(wù)中心，帳務(wù)中心根據(jù)計(jì)費(fèi)信息逐條生成每個(gè)用戶的詳細(xì)帳單與用戶結(jié)算。計(jì)費(fèi)中心提供高額報(bào)警和地理區(qū)域的上的備份操作。計(jì)費(fèi)中心提供WEB自助信息查詢，欠帳EMAIL通知，欠帳自動(dòng)中止業(yè)務(wù)等功能。數(shù)據(jù)通訊和PSTN計(jì)費(fèi)應(yīng)該采用融合技術(shù)，即開戶過程提供統(tǒng)一的營業(yè)廳接口，提供提供統(tǒng)一的帳單，以方便用戶，同時(shí)為增加各種優(yōu)惠策略提供了可能。計(jì)費(fèi)中心能夠提供各種靈活的資費(fèi)政策以吸引客戶，比如流量大于多少優(yōu)惠，時(shí)段優(yōu)惠，特定的日期優(yōu)惠（國慶節(jié)）老客戶優(yōu)惠，多種服務(wù)綁定優(yōu)惠等等。結(jié)束語前面給出株州市廣