《某公司-城域网建设简介》由会员分享,可在线阅读,更多相关《某公司-城域网建设简介(32页珍藏版)》请在金锄头文库上搜索。
1、技术规划部-何志贤广州市城域网建设广东省广播电视网络有限公司Q & AIP网络建设的技术主要要点IP城域网的建设网络设计与方案制定n网络整体设计n宽带汇聚节点和数据中心节点设计n各区汇接节点设计 n业务路由设计n安全设计nIP地址规划设计方案设计 没有IP城域网的可根据实际情况为各分机房安装城域网接入设备。 优化改造原有数据中心网络,规划并建立与城域网间的链路。 分析业务数据流向及未来发展用户带宽。 优先从总前端开始进行网络改造,IP地址规划。 新城域网设备路由调试及链路调试。 新城域网接入设备替换原有IP网络接入设备的割接实施。定制方案详细了解需求及现有资源:1结合原有网络资源:2n计算用户
2、带宽需求总数及端口类型(考虑并发负载及单链路承载能 力)n设计网络冗余链路及根据用户发展情况而扩展的链路资源n根据用户数量和分布情况、前端服务应用分布、办公网和互联网出 口设备合理规划和分配IP地址并对核心交换网划分合理的VLANn安全设备部署规划设备选型及合理规划支撑量统计统计下行及上行双向可带用户数及带宽支撑能力情况 例:设备支撑能力估算,市网计划2012年内发展10万高清互动用户IP地址规划点到点的链路(广域网网络地址):实现全市广电城域网路由器之间的垂直互联 ,配置30位地址掩码的最小子网,这是拥有两个可用地址空间的子网,点到点链 路地址包括:垂直网络系统中的互联网络设备(包括城域网到
3、CMTS、IPQAM及 EPON等)。横向应用接入地址(VOD数据核心交换网):实现视频点播及其他多方面SP增值 业务接入城域网。路由器 loopback 地址(管理地址):每台路由器一个/两个32位掩码的IP地 址 。 Loopback地址是为路由协议和网络管理而定义,为BGP peer提供一个稳定的 指向,且能够确保当链路故障时网络操作依然可以访问路由器。内部数据网地址(接入):实现VOD视频各功能、本地BOSS数据库以及管理业 务服务器的接入,根据服务接入数量和设备数量来分配子网空间。用户终端地址(CPE、CM):由DHCP分配,提供终端IP地址(私网和公网), 实现双向互动,根据用户现
4、有数量及发展规划进行合理分配。IPIP城域网城域网VODVOD互动点播互动点播 SPSP增值类业务增值类业务 直播流控服务直播流控服务反向射频反向射频BOSSBOSS管理区管理区 用户授权用户授权 操作审计操作审计 增值计费增值计费异构异构/ /专线专线DNSDNS、DHCPDHCP宽带出口宽带出口网络网络CDNCDNCMTSCMTSIPQAMIPQAM EOCEOCEPON+LANEPON+LANFTTB/HFTTB/H城域网功能承载分布情况IP城域网整体作为一个独立的自治域AS. 利用MPLS VPN技术实现宽带用户业务、 互动电视用户业务、机房监控业务的“一”网承载。 整个IP城域网的路
5、由规划包括两部分:1.IGP路由OSPF & Statis2. 由于独立一个自治域(Are 0)构成,配置使用OSPF作为IGP 3. 协议,承载一般路由和承载MBGP为主要作用。 4. 配合静态路由,指向用户终端网段,现实终端与前端互通。 5. 2.BGP路由按照统一规划可为双核心配置BGP路由反射,减少peer的建立,减少设备开销 利用MBGP路由承载MPLS VPN路由协议规划宽带与互动的业务融合高安全、高性能支撑网安全防护流量优化网络扩展统一接入n设计 规划n网络 汇聚n业务 统一1.测试可用性及业务的承载能力2.统一规划部署及割接施工3.网络优化、调整4.建立安全保障体系(安全播出)
6、5.统一业务管理宽带与互动的业务融合Q & AIP网络建设的技术主要要点IP城域网的建设网络设计与方案制定n原有IP网络和单向HFC网各一张n原有IP网络设备核心为Cisco 6509两台n分前端各部署Cisco 3750G交换机一台n互联网出口部署Cisco 7609路由器两台n承载15万宽带用户n承载1万高清互动用户n目标20-25万宽带用户n10万高清互动用户改造前网络情况前端网络改造情况已割接某一分前端未割接分前端割接前先部署好总前端路由核心 和分前端之间链路和vpn配置后 可把原有分前端的网络设备接入 新的分前端路由器上。原有的各节点分前端 机房通过光纤连接 交换机,通过路由转 发宽
7、带和互动数据。网改步骤按实际环境逐步进行业务割接 首要考虑先完善业务中心网络,建立核心及路由骨干汇聚,然后配合实际情况,新建 或对旧有网络进行迁移割接到新的IP城域网上。高清互动资源互联网 联通出口互联网 电信出口DNS DHCPCMTSCMTS数据流向示意网络VPN流量示意图互动宽带管理VPNMPLS运行了MPLS的设备无论是边缘路由器(PE) 还是骨干路由器(P) 均可看成一个云整体, 每一个PE的端口只要配置了VPN实例的都是 该整体的一个流量出入口,它能到达的就是其 他配置了相同 VPN实例的端口。在MPLS VPN中: 不同VPN之间的路由隔离通过VPN实例(VPN-instance
8、)实现。 为保证VPN数据的独立性和安全性, 路由器为每个VPN实例建立单独的VRF路由转发表, 即每个VRF对应一个VPN。 VRF名称是VPN的标识符, 用于本路由器区分不同的VPN, 建议对整网的VRF名称进行统一规划, 便于不同VPN的识别、控制和管理。IP城域网中, VRF名称的命名可如下例:访问电信的宽带用户业务VPN1:VPN_Telcom 访问联通的宽带用户业务VPN2:VPN_Unicom 互动电视用户业务VPN3:VPN_Hudong 公共服务业务(DHCP/DNS)VPN4:VPN_Public 机房监控和网管网业务VPN5:VPN_GuangliMPLS VPN命名VP
9、N命名与区分所属VPNRD值值(自定义义)VPN实实例(自定义义)访问电访问电 信的宽带宽带VPN100:1VPN_Telcom访问电访问电 信的宽带宽带VPN200:1VPN_Unicom互动动VPN300:1VPN_Hudong共享公共服务务VPN400:1VPN_Public机房监监控和网管VPN500:1VPN_Guangli电电信宽带宽带出口VPN600:1Telcom-exit联联通宽带宽带出口VPN700:1Unicom-exitVPN互通规则安全设备部署 设备安全配置 网络防火墙 入侵检测网络管理系统 安全审计系统 ACS & RSA H3C IMC SolarWinds接入安
10、全控制 接入准许权限 ACL DHCP optionIP网络整体安全部署项目启动阶段:建立项目团队/技术小组、组织相关设备厂家 技术培训。项目深化设计阶段:完成工程建设需求分析、完成各项任务 的深化设计和设备到货及工程施工。项目实施阶段:定期和设备厂商/集成商及相关技术负责人召 开技术报告、协调和技术研讨会。项目阶段建议Q & AIP网络建设实施细节IP城域网的建设网络设计与方案制定其他一些注意的地方:1.设备链路资源需要确认,包括是否有双路由(网通、电信等)2.根据网络设计情况采购的光模块是否足够,考虑双链路和扩容等3. 单多模各多少,数量预算及单多模尾纤的准备4.光链路的衰减范围对应采购的
11、光模块距离是否适合5.解决机房电力问题,10A、16A的PDU等实施细节设备命名规则设备命名如下格式:本单位缩写_设备型号_序号例:广州市局总前端核心路由器SR8812,第1台:GZ_SR8812_1 海珠区分前端汇聚路由器SR8808,第1台:HZ_SR8808_1 数据中心核心交换机S12518: DataCenter_S12518_1设备命名及端口描述描述遵照如下格式:To 对端设备名称 对端端口号FE百兆以太网端口 GE-千兆以太网端口 XE-万兆以太网端口 例如:连接到核心第1台SR8812第1槽第1个万兆光口的端口描述如下: To GZ_SR8812_1_XE1/0/1端口描述路由
12、的设置与描述描述遵照如下格式: 普通静态路由:下一跳设备型号设备名称设备排序终端类型 例如:在某分前端一台接入路由器上配置一条静态路由,去往连接在下连交换机上的 门禁系统。 ip route-static x.x.x.x 255.255.225.0 x.x.x.x description C3750_HZ_SW_1-ASVPN路由:VPN实例下一跳设备型号设备名称设备排序终端类型例如:在某分前端一台接入路由器上配置一条静态路由,去往CMTS下的某一互动用 户CableModem网段。 ip route-static vpn-instance hudong x.x.x.x 255.255.225
13、.0 x.x.x.x description hudong-CASA10G-HZ_CMTS_1-CM路由描述 路由描述是IP网络建设的一个非常重要的环节,建设与运维都离不开的必要工序 。如果网络中存在使用vlan端口配置IP网关地址的,请注意使用Track配置链路 检测,以免因同一VLAN下某一物理端口故障造成的黑洞路由问题。Track的用途是实现联动功能。可以通过Track实现动态监测端口,更新路由表。 通过Track模块将链路探测结果通知给交换机系统模块。 在感知到网络状态的变化后(网络端口没进入DOWN状态而不通的情况), 及时处理、更新路由表项,从而避免丢包或转发性能降低可能性。Tra
14、ckVLAN X发生故障VLAN 端口连接服务器或者固定终端设备的端口可以配置相应的配置加快端口收敛速度 可减少端口端口重新计算STP时间,加速端口状态恢复。H3C : stp edged-port enableCisco :spanning-tree portfast 端口安全及保护统一规划生成树配置H3C 默认为MST协议Cisco默认为PVST+协议不同厂家、不同牌子的设备之间使用聚合端口时要注意 必须经过测试再进行业务连接或者割接 配置静态模式还是动态LACP模式均需要测试,不同版本或者型号也可能会有不一样的兼容问题这是一个案例情况,对端是一台CMTS聚合状态是S,应该是没问题的,但是
15、实际上这条链路造成了半数的丢包情况,严重影响业务。因为一条物理链路的故障,影响了整个聚合端口的流量,这是违背了聚合所带来的冗余安全特性。聚合/Port Channel设备登陆审计及配置保存配置AAA服务器,通过Tacacs+/Radius对网络设备进行审计管 理,可配合RSA Server对用户进行加密认证管理,进一步加强设备 的管理安全性。认证(Authentication):验证用户的身份与可使用的网络服务; 授权(Authorization):依据认证结果开放网络服务给用户; 计帐(Accounting):记录用户对各种网络服务的用量,还可以记录操作; TACACS+应用传输控制协议(TCP),而RADIUS使用用户数据报协议(UDP)。 RSA KeyIP网络测试及检查 了解具体问题故障对应检查相关链路设备 检查IP地址是否正确(包括掩码) 检查设备端口状态、2个UP、双工、速率、汇聚情况 检查路由是否存在或者下一跳是否正确 测试ping、tracert、traceroute等 检查组播信息、IGMP Join情况 排查业务链路上的防火墙以及路由交换的安全控制ACL等Q & AIP网络建设的技术主要要点IP城域网的建设网络设计与方案制定
