城域网建设中的相关技术问题(20030421《网络世界》)

《城域网建设中的相关技术问题(20030421《网络世界》)》由会员分享，可在线阅读，更多相关《城域网建设中的相关技术问题(20030421《网络世界》)（4页珍藏版）》请在金锄头文库上搜索。

1、IPIP 城域网建设中的相关技术问题城域网建设中的相关技术问题中国电信股份有限公司北京研究院 胡捷随着运营商之间竞争的日益加剧和新兴运营商的介入，数据业务已经成为 竞争的焦点之一，数据业务提供能力、服务质量以及性能价格比等因素是竞争 成败的关键。IP 城域网在用户驻地网和骨干互连网之间起着桥梁作用，其采用 的网络组织结构和技术实现方式直接影响到所支持的业务，此外还对网络的可 靠性、可用性和可扩展性起着关键作用。 通常在 IP 城域网的建设实施、运行维护和业务开展上需要关注以下几个方 面的问题：1.1. 故障保护倒换故障保护倒换 网络故障保护倒换可以从物理层、链路层、网络层三个层次进行，或者组

2、合使用三个层次提供故障保护倒换。如果低层能提供 50ms 的电信级别故障保 护倒换，那么可以不启用高层的故障保护倒换机制。例如可以利用 SDH 提供 50ms 的故障倒换，不必启用 Spanning Tree 或 MPLS 的快速重路由进行故障倒 换保护。 目前节点之间的物理层和链路层可以采用以下几种保护到换方式： （1）裸光纤 Dark Fiber（两条不同的物理路由，或一条相同物理路由光缆中的 不同纤芯提供 1+1 保护） ； （2）密集波分 DWDM 或粗波分 CWDM（两条不同的物理路由、一条相同物 理路由光缆中的不同纤芯、或一套 WDM 系统中的不同波长提供 1+1 保护） ； （3

3、）SDH（用于核心、汇聚节点之间的 PoS 连接，能提供 2/4 纤的通道/复用 段保护倒换，故障恢复时间=50ms，节点设备不用感知网络拓扑的变化，不需 通过 L2 Spanning Tree 或 L3 IGP 的收敛） ； （4）MSTP（用于汇聚、接入节点之间的 FE 连接，保护机理同 SDH） ； （5）RPR（用于汇聚、接入节点之间的 FE/GE 环状连接，保护机制采用弹性 分组环技术，恢复时间=50ms，采用空间再利用技术提高了环状网络带宽利用 率，链路保护算法不需路由器参与） 。 根据节点所采用设备和控制层面的不同，目前节点之间能使用以下几种保 护协议： （1）DPT(用于核心、

4、汇聚节点之间的 PoS 环状连接，链路故障恢复时间 =50ms，采用空间复用技术提高了环状网络带宽利用率，链路保护需要路由器 参与)； （2）L2 交换机作为业务节点，节点之间采用 Spanning Tree 协议提供链路冗余 机制，802.1d 标准的保护到换时间为 50s 左右，802.1w 可以提高到 1-2s； （3）L3 路由器作为业务节点，节点之间的 IGP 可以提供路由收敛，保护到换 时间为 1-2s。L3 路由器作为业务节点，节点之间启用 MPLS TE 的 Fast reroute 或备份路径，提供类似浮动静态路由功能，在 IGP 收敛之前进行 50ms 以内的 路径保护到换

5、。2.2. IPIP城域网的安全问题城域网的安全问题 随着 IP 城域网中以太网应用的日益普及，网络安全成为日益迫切的需求。目前 IP 城域网主要从运营商的角度对网络侧提供安全问题的解决方案。（1） 对于运营商网络，需要关闭一些针对企业网特点的网络设备出厂缺省设 置，如 CDP、Finger、Bootp Server、IP Redirect、Proxy Arp、Directed-Broadcast 等等； （2） 设备的远程登录采用 Radius 集中认证，并启用审计功能，设置起警示作 用的登录标语，设置 Console 和 VTY 的会话超时； （3） 设置复杂的 SNMP Communit

6、y 参数，采用 ACL 保护 SNMP 访问权限，配置 SNMP 认证失败陷阱，由 Syslog 服务器记录； （4） 采用防火墙或网络设备独有的 TCP 拦截特性防止 TCP Syn Flood 攻击； （5） 在网络边界配置单播 RPF，杜绝源地址欺骗； （6） 在网络边界配置 CAR 限制 ICMP 包通过频率，降低 Smurf 攻击程度； （7） 采用路由黑洞 Null0 丢弃不存在的路由（RFC1918 地址、Full Routing Table 中没有的欺诈地址） ； （8） 及时对安全事件进行记录并做出反映，改进和增强安全防范策略。3.3. 与骨干网之间的连接方式，负载分担和冗余

7、的实施与骨干网之间的连接方式，负载分担和冗余的实施 城域网与骨干网不应在同一个 Routing Domain，与骨干网之间为 eBGP 或 Default/Static 路由协议，城域网逻辑上相当于骨干网的用户，拥有独立、连续 的地址范围，理想状态下这段地址范围经过聚合在骨干网路由器上为一个路由 条目。 如果城域网采用两个节点与骨干网连接，需要合理配置路由策略，实现网 络正常状态下的流量负载分担及网络故障状态下的冗余。3.13.1 静态静态/ /缺省路由方式缺省路由方式 （1） 在城域网两个出口路由器上配置指向骨干网的缺省路由，并将其注入到 IGP，城域网其他节点 L3 设备会根据到出口路由器

8、的 IGP Metric 值自动 实现 Outbound 流量负载分担；当一个出口出现故障，缺省路由消失， Outbound 流量全部集中到另一个出口，实现冗余； （2） 骨干网的两台路由器分别配置到城域网前、后 1/2 地址和全部地址段的 静态路由，并将静态路由通过 Network 命令通告到 iBGP。在网络正常状 态下，骨干网根据最长匹配原则，通向城域网的流量根据目的地地址范 围位于城域网全部地址范围的前半部或后半部，采用不同的入口，实现 Inbound 流量的负载分担；当一个入口故障，静态路由消失，另一个入口 仍然具备通向城域网的全部地址段，可以实现冗余。3.23.2 eBGPeBGP

9、方式方式 （1） 城域网两个出口分别接收骨干网送来的 Aggregation 路由，同时自行配 置到骨干网的缺省路由，将二者注入到 iBGP，由于两个出口的 Local Prefer、AS-Path 和 MED 等属性均相同，因此 iBGP 选择哪个出口取决于 到出口路由器的 IGP Metric，可以自动实现 Outbound 流量的负载分担； 当一个出口故障，路由消失，全部 Outbound 流量自动通过另一个出口， 实现冗余； （2） 骨干网两台路由器同时接收城域网送来的 Aggregation 路由，分别传播到骨干网 iBGP，二者具备相同的 Local Perfer、AS-Path

10、和 MED 等属性， 因此根据到出口路由器的 IGP Metric 实现 Inbound 流量负载分担；同样， 故障时，自动选择另一个出口实现冗余。如果骨干网上两台路由器属于 同一个 RR Cluster，由于目前软件尚不支持 iBGP Multi path，因此骨 干网会优选具备较高 Loopback 地址的路由器为下一跳，无法实现负载分 担。此时仍旧需要城域网通过 eBGP 向骨干网通告前、后各 1/2 和全部路 由来实现 Inbound 负载分担。4.4. IPIP地址分配地址分配和路由策略和路由策略4.14.1 中小型城域网中小型城域网目前中小型城域网基本上没有运行 iBGP，所有路由

11、都是通过 IGP 通告，必 须合理规划和配置，确保 IGP 路由表数目不要超过 4000 条。（1） IGP 首先用来实现网络基础设施的地址通告，实现路由器环回地址和路由 器之间点到点/30 网段的 IP 可达； （2） 必要情况下可对 IGP Routing Domain 进行 Area 或 Level 划分，在 ABR 对所属区域的路由进行汇聚处理，一方面减少路由表条目，另外可以将 路由抖动限制在一个相对较小的区域； （3） 从一个连续的地址段中为所有设备的环回接口分配 IP 地址，在没有连接 到 IGP 邻接体的接口上设置 Passive-Interface； （4） 如果网络近似于全网

12、状连接或者具有不稳定的链路，最好减少在一个 Area 中的路由器个数，也尽量减少一个路由器所在区域的个数； （5） 对于到用户驻地网的点到点连接： 1.建议采用 IP Unnummbered 方式：2.如果采用/30 网段，节点内的边缘接入路由器采用连续的 一段地址专门作为到 CPE 路由器的点到点/30 网段地址，以 Network 命令将完整的网段统一通告到 IGP，不要 Redistribute Connected：（6） 对于用户驻地网地址： 1. 每个 POP 所覆盖的区域内的多个客户端地址在一个连续的区域 内, 以 Network 命令将完整的网段统一通告到 IGP；2. 不要通过

13、 Redistribute Static 通告路由到 IGP：4.24.2 大型城域网大型城域网 城域网内部运行 iBGP，BGP 是唯一可扩展成可容纳大量路由的协议，由于 客户路由和外部路由在 BGP 中承载，因此网络内部路由结构不会受外部因素 （BGP Route Flapping）影响。 （1） IGP 只用来实现网络基础设施的地址通告，实现路由器环回地址 和路由器之间点到点/30 网段的 IP 可达； （2） 在此基础之上实现 iBGP Full Mesh 连接，如果网络规模够大，可 以采用 RR 方式减少 iBGP Session 数； （3） 对于到用户驻地网的点到点连接：1.建议

14、采用 IP Unnummbered 方式； 2.如果采用/30 网段，节点内的边缘接入路由器采用连续的一段 地址专门作为到 CPE 路由器的点到点/30 网段地址，以 Network 命令将完整的网段统一通告到 iBGP，不要 Redistribute Connected。 （4） 对于用户驻地网地址： 每个 POP 所覆盖的区域内的客户端地址在一个连续的区域内, 以 Network 命令将完整的网段统一通告到 iBGP，不要 Redistribute Static； （5） 城域网与骨干网之间运行 eBGP，双方尽量只通告聚合 （Aggregation）路由，内部的 iBGP 路由摆动就不会

15、影响对方， 必要时采用 eBGP 过滤策略，拒绝接收小于/20 的网络； （6） 通过 Route Map 对对方路由的 Prefix、AS-Path 或 BGP Community 属性进行匹配，设置 BGP Dampening 参数进行抑制； （7） 绝对禁止将 IGP 和 iBGP 路由相互注入，否则会严重影响网络的稳 定和可扩展性。5.5. 避免广播风暴措施避免广播风暴措施 （1）节点之间进行 L3 路由方式连接，不做 L2 透传，可以将 L2 广播域终结 在城域网一个节点以下； （2）如果在组网中确实存在在 L3 交换机之间通过 Trunk 互连的情况，需要 启用 VLAN Trunk Pruning，减小广播、组播以及其他 Flooding 数据包对 干道带宽的占用； （3）在网络拓扑结构比较简单的情况下，尽量采用公共生成树方式，所有 VLAN 一个 Spanning Tree，运行于 VLAN 1，城域网核心交换机设置为根 网桥。此方式会降低 BPDU 数据流量对带宽的占用； （4）采用可设置广播风波门限的设备，对超过阈值（如 20%）的广播包自动 进行过滤和丢弃。