提纲 网络定位 网络结构 1 2 3 路由协议 p 城域数据网是CMNET网络在城域范围内的延伸,主要用于承载集团专线、家庭宽带、WLAN、虚 拟专线、CM-IMS等业务 p IP专用承载网主要用于承载自有业务,包括CS核心网(A、Iu-CS、Nc、Mc);PS核心网(Gb 、Iu-PS);IMS核心网(Gm、Mw、媒体等);远期的LTE(S1、X2等) p IP内部信息承载网主要用于承载内部支撑系统,包括软交换网元、 TD-RNC、 CS域CE和PS域CE 网管信息以及资管、信令监测数据等 中国移动IP承载网分类 TDM/IP IP专用承载 网 BSC/BTSBSC/BTS 终端 WLANWLAN LAN/MSTPLAN/MSTP IP骨干网 IP城域网 接入网 用户户 PC终端集团客户 RNC/NODE BRNC/NODE B 终端 MGWMGW MGWMGW SGSNSGSN GGSNGGSN MSC ServerMSC Server CMnet 国干网 CMnet省网 城域 网 PC终端 IP内部信息承载网 网管信息 CECE 资源管理 163/169163/169 LAN/MSTPLAN/MSTP 中国移动CMNET骨干网现状 成都是CMNET八大骨干节点之一,负责疏通四川、云南、贵州、西藏等省数据流量; 提纲 网络定位 网络结构 1 2 3 路由协议 中国移动城域数据网网络定位 p 城域数据网向上连接CMNet省网,向下通过宽带接入网和城域传送网接入用户。
同 时,城域数据网还利用城域传送网实现组网的传输承载 中国移动城域数据网网络定位示意图 城域数据网业务定位 城域数据网组网原则 1. 中国移动城域数据网建设应遵循网络结构层次化、网络扁平化原则,使用性能较高、功能 较全的设备,建设高业务服务质量、高安全性的网络 2. 基于技术先进性和成熟性的原则,中国移动城域数据网采用的主导传送技术是IP over WDM,并兼顾IP over SDH、IP over Fiber等技术 3. 可运营性,城域数据网需要向大量用户提供不同类型的服务,网络应提供良好的业务管理 能力,支持对宽带用户的接入管理、身份认证、带宽许可、地址管理和服务质量(QoS)保 证,并针对不同的业务提供灵活的计费方式,确保网络的可运营特性 4. 可管理性,城域数据网需要统一的网管系统,实现统一的网络业务调度和管理,降低网 络运营成本 5. 可扩展性,城域数据网应根据用户数量和业务类型发展,充分考虑网络和业务的扩展能 力,建设成完整统一、组网灵活、易扩充的弹性网络平台,预留充分的扩展余地 6. 安全可靠性,城域数据网的建设应充分考虑整个网络的稳定性,支持网络节点的备份和线 路保护,提供网络安全防范措施,保障网络和信息层面的安全。
7. 可演进性,城域数据网应具备向IPv6平滑演进的能力,根据业务需求适时启用IPv6功能, 支持IPv6业务 CMNET网络 n当OLT与BRAS/SR位于不同机房时,建议OLT通过WDM或光纤直连方式上联到汇聚交换机,经汇 聚后连接BRAS/SR;或OLT上联经PTN汇聚后连接BRAS/SR当OLT流量增大至上行可用满多个 GE口或10GE口时,OLT可经过WDM或光纤与BRAS/SR直连WDM与光纤两种传输方式中优先 选择WDM方式 n当OLT与BRAS/SR位于同一机房时,若OLT上行流量不大,则OLT采用光纤直连方式上联到汇聚交 换机,汇聚后接入BRAS/SR;OLT上行流量增大至上行可用满多个GE口或10GE口时,OLT可与 BRAS/SR采用光纤直连 城域数据网与接入设备连接方式 提纲 网络定位 网络结构 1 2 3 路由协议 自治域划分 p “自治域”(Autonomous System,AS)是Internet为便于管理和简化路由选择而设 定的,每个AS赋予唯一的AS号多层次、多自治域的网络有利于网络的结构清晰、 路由策略灵活,便于管理全国性的大网络 p 在《中国移动互联网技术体制》中规定CMNet分为多个自治域,骨干网为一个单独 自治域,分配公有自治域号AS9808。
每个省网分别为一个自治域,分配私有自治域 号;对于自带公有自治域接入用户数较多的省份,可以考虑为该省分配单独的公有自 治域号考虑CMNet的发展状况和管理方式,现阶段不鼓励城域网单独划分自治域 ,而与所在省省网共自治域 p 四川全省21地市城域数据网与CMNET四川省网为一个自治域,采用移动集团公司分 配的保留自治域号64640 路由策略 p 外部路由协议 lCMNET省网成都核心节点作为CMNET-SC省网与CMNET骨干网的出口,省干核心NE5000E与骨干 网四川节点间通过eBGP协议交换路由信息成都核心层的任意2台核心路由器之间运行iBGP协议, 交换BGP路由信息这样,省内骨干网的各个核心路由器都能够得到由中国移动CMNET骨干网广播 来的整个Internet的全部路由表,能够根据目的地址选取最优路径出网四川移动CMNET通过省网 出口向中国移动CMNET骨干网广播省网路由信息,从省网外能够根据省内的目的地址选择最佳入省 路径 p 内部路由协议 l内部路由协议IGP选用IS-IS、iBGP路由协议 l其中IS-IS中只承载全网loopback和互联路由,不承载业务路由;BGP用于承载业务路由。
l省干核心、地市核心、RR、地市汇聚设备运行在ISIS Level2中,所有链路在1个Area运行Level 2, 不划分Level和Area l全网采用两级反射器,一级RR采用省干核心旁挂的两台RR设备,一级RR与省干核心、地市核心设 备之间建立iBGP;二级RR由地市城域网核心兼做,与一级RR、城域数据网汇聚层设备之间建立 iBGP 路由策略 四川CMNET路由规划 提纲 业务接入和承载 四川移动AAA系统概况 1 2 3 认证技术简介 业务接入和承载 p 集团客户宽带接入业务 •集团客户宽带接入业务主要通过分组城域传送网(PTN)或PON接入网实现接入用户数据经过 PTN或PON接入网二层透传后上行至BRAS/SR,由BRAS/SR进行业务接入控制PON接入网与 BRAS/SR之间可通过汇聚交换机实现流量和端口汇聚 提纲 业务接入和承载 四川移动AAA系统概况 1 2 3 认证技术简介 宽带业务AAA系统 p随着宽带网络的普及和网民数量的增长,宽带业务成为运营商一项非常重要的收入来源,宽带业 务的运营管理需要AAA业务运营支撑管理系统的密切配合 u概述 pAAA系统面向的用户情况: •公众用户接入认证情况:公众用户通过集团公司一级AAA系统认证计费; •四川公司AAA系统目前面向的用户类别:高校、集团客户WLAN或有线宽带; •集团一级AAA系统和四川公司AAA系统关系:独立关系。
pAAA系统:认证(Authentication)、授权(Authorization)、计费(Accounting) •认证:验证用户的身份与可使用的网络服务,限制非法用户; •授权:依据认证结果开放网络服务给用户,并控制合法用户权限; •计费:记录用户对各种网络服务的业务量,并提供给计费系统 宽带业务AAA系统 pAAA系统厂家为华为公司,系统部 署在高升桥枢纽8楼数据机房 p2台三层交换机主备连接数据库、业 务管理应用、Web Portal、Radius 、报表和维护服务器,旁挂负载均衡 设备,并主备连接2台防火墙; p上行主备两条FE链路连接高升桥省核 心业务系统接入设备华为S9306交换 机,实现CMNET、21市州BRAS连接 ; p主备2M电路直达连接BOSS、万年枢 纽3楼WEB管理终端 u网络结构 提纲 业务接入和承载 四川移动AAA系统概况 1 2 3 认证技术简介 宽带业务AAA系统 u认证方式-PPPOE、WEB、802.1X p PPPOE认证 •PPPOE:一种点到点的链路层协议,提供了点到点的封装、传递数据的方法; •三个协商阶段:LCP(链路控制协议)协商阶段,认证阶段(比如CHAP/PAP),NCP( 网络层控制协议,比如IPCP)协商阶段。
p用户上网拨号时,用户终端和业务控制设 备(BRAS)在LCP阶段协商链路层参数, 然后将用户名和密码发送给BRAS进行 CHAP/PAP认证;BRAS通过RADIUS协议 将用户名和密码发送给AAA进行认证 p认证通过后,在NCP(IPCP)协商阶段 ,BRAS给用户计算机分配网络层参数例 如IP地址等 pBRAS发起计费开始请求给AAA,AAA回 应计费开始请求报文 p用户下线,BRAS向AAA发送计费停止请 求的报文,AAA向BRAS回计费停止请求 报文的回应,并产生话单 宽带业务AAA系统 u认证方式-PPPOE、WEB、802.1X p WEB认证:通过访问Portal服务器的认证页面,交互输入用户名和密码进行身份认证的一种认 证方式; pBRAS DHCP方式给用户分配IP地址;用户发 起上网申请,BRAS强制重定向用户URL到 Portal URL; p用户访问Portal服务器的认证页面,并在其 中输入用户名、密码,点击登录按钮; pPortal服务器将用户的信息通知BRAS,BRAS 到AAA对该用户进行认证;AAA返回认证结 果给BRAS,BRAS将认证结果通知Portal服 务器;Portal服务器通过HTTP页面将认证结 果通知用户;如果认证成功用户即可正常访 问网络资源。
pBRAS发起计费开始请求给AAA,AAA回应 计费开始请求报文 p用户下线,BRAS向AAA发送计费停止请求 的报文,AAA向BRAS回计费停止请求报文 的回应,并产生话单 宽带业务AAA系统 u认证方式-PPPOE、WEB、802.1X p 802.1X认证:通过对用户接入端口的认证控制,达到对用户管理的目的当用户上网时,用户 接入端口状态为锁闭状态,用户发起认证申请,认证通过后,用户获得二层网络的使用权 p当用户有访问网络需求时打开802.1X客户端程序,输入已经申请 、登记过的用户名和密码,BRAS设备端将客户端发送的数据帧经 封包处理后送给AAA pAAA收到BRAS端转发的用户名信息后,将该信息与数据库中的 用户名表对比,找到该用户名对应的密码信息,用随机生成的一 个加密字对它进行加密处理,同时也将此加密字发送给BRAS设备 端,由BRAS设备端转发给客户端程序 p客户端程序收到由BRAS设备端传来的加密字后,用该加密字对密 码部分进行加密处理,并通过BRAS设备端传给AAA pAAA将收到的已加密的密码信息和本地经过加密运算后的密码信 息进行对比,如果相同,则认为该用户为合法用户,反馈认证通 过的消息。
pBRAS设备收到认证通过消息后将端口改为授权状态,允许用户通 过端口访问网络 pBRAS发起计费开始请求给AAA,AAA回应计费开始请求报文 p用户下线,BRAS向AAA发送计费停止请求的报文,AAA向BRAS 回计费停止请求报文的回应,并产生话单。