【正文】 ，以便于切換。新申請備用電路N*2M電路，安裝到新的骨干網(wǎng)備份設備上，在省中心開通CPOS口，在市局開通多個個2Mbps進行端口捆綁。調試完成后將原主用2Mbps也切換到新網(wǎng)絡上，作為備用電路。電路帶寬擴容：將來市局的上聯(lián)主用帶寬從SDH捆綁2Mbps電路上擴展時，由于省中心配置了CPOS模塊，修改配置增加時隙即可，無須變更物理電路，市局則通過路由器上配的N個E1端口做鏈路捆綁，可支持到16Mbps（82Mbps捆綁，PPP MultiLink）。 MPLS VPN設計 MPLS VPN系統(tǒng)設計在本次工程中，我們采用MPLS VPN技術來實現(xiàn)業(yè)務隔離實現(xiàn)需要。對于骨干層MPLS域，需要某種IGP協(xié)議與MBGP結合應用，其中MBGP主要完成私網(wǎng)路由標簽分配、各私網(wǎng)路由在“公網(wǎng)”傳遞等作用，沒有其他的協(xié)議可以替代。各地市CE之間的VPN路由的傳遞、VPN路由標簽的分發(fā)，都是通過骨干區(qū)域MPBGP協(xié)議的擴展屬性實現(xiàn)的。對于IGP協(xié)議，它的主要作用就是保證MBGP鄰居之間的可達性，我們采用OSPF，因為OSPF的適應性好、功能完善、層次性強、路由匯聚容易，這樣網(wǎng)絡規(guī)劃簡單、維護方便，并且有利于今后骨干層網(wǎng)絡的擴展。對于PE與CE互聯(lián)，可以采用的路由協(xié)議有靜態(tài)路由、RIP、OSPF和EBGP等多種路由協(xié)議。具體使用那種路由協(xié)議要根據(jù)情況而定，如當CE以下的網(wǎng)絡結構比較復雜，路由條目較多的時候，PE和CE之間需要運行BGP協(xié)議，當然應用這種方案對CE的要求也是比較高的。對于PE與CE之間的路由協(xié)議類型最普遍應用的就是靜態(tài)路由，只要遵循IP地址分配原則，各VPN的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時應用靜態(tài)路由是最簡單、最高效的，而且網(wǎng)絡的維護非常方便。綜上，在本期工程中，我們采用的路由協(xié)議類型就是：骨干層MBGP＋OSPF、PE與CE互聯(lián)采用靜態(tài)路由與策略路由結合的方式, 這樣對整個網(wǎng)絡中的設備要求不是太高，并且很好的實現(xiàn)了MPLS VPN。在廣域網(wǎng)上的路由器全部作為PE，構成MPLS VPN的核心域。省局的核心交換機作為MCE，主要作為數(shù)據(jù)業(yè)務的VPN匯聚接入；這里直接在省局的核心路由器上部署語音和視頻的VPN，以更好地利用路由器在QoS方面的強大處理能力。地市核心交換機作為MCE，主要作為地市語音、數(shù)據(jù)和視頻VPN的部署點，地市路由器一方面作為廣域互連，另一方面可以擴展一些端口，便于其他VPN的擴展。 MPLS系統(tǒng)規(guī)劃在本次工程中，我們采用MPLS VPN技術來實現(xiàn)業(yè)務隔離實現(xiàn)需要。1. VRF規(guī)劃VRF對應一個VPN，一般來說一個VRF的命名可以采用某個業(yè)務的英文標識或者漢語拼音來標識。在此次項目中，是一個業(yè)務系統(tǒng)對應于一個VPN，因此VRF的命名只需使用業(yè)務系統(tǒng)的漢語拼音來標識。視頻業(yè)務 ：videoOA業(yè)務 ：OA綜合業(yè)務 ：zhonghe金融業(yè)務 : jinrong2. 全局RD規(guī)劃本次工程中采用第一種RD值的格式：16位自治系統(tǒng)號 : 32位用戶自定義數(shù)字。由于RD與VRF相捆綁。即PE設備上每個VRF表中的所有VPNIPv4路規(guī)劃如下：視頻業(yè)務 ：65400：1數(shù)據(jù)業(yè)務 ：65400：2綜合業(yè)務 ：65400: 3金融業(yè)務 : 65400: 43. 全局RT值規(guī)劃通過配置VRF（路由轉發(fā)實例）的target 屬性，可以實現(xiàn)不同業(yè)務的VPN。不同路由器通過target 相關聯(lián)而組成可以互相訪問的集合，由于只有他們內部可以互訪，所以我們稱之為VPN，配置里并沒有專門的VPN 的定義。也就是說，VPN的成員關系是通過路由所攜帶的route target屬性來獲得的。不同CE 通過PE 配置的VRF 里的Target實現(xiàn)互訪與隔離，從而組成不同的VPN。通過RT的靈活使用，可以實現(xiàn)intranet，extranet，hubamp。spoke等不同VPN組網(wǎng)方式。RT的結構于RD基本相同，為了便于維護和管理，本次工程中采用與RD相同的格式，使用16 bits：32 bits格式，分配規(guī)則為 『AS號：VPN類別』。其中AS號統(tǒng)一使用骨干AS的100，如果各業(yè)務間沒有互訪的需求，就將routetarget 的 export和import設為一致。規(guī)劃如下：視頻業(yè)務 ：65400：1數(shù)據(jù)業(yè)務 ：65400：2綜合業(yè)務 ：65400: 3金融業(yè)務 : 65400: 44. VPN的互通與隔離接入層本地VPN接入CE設備采用的是二層交換機或路由器，因此不同VPN可以通過二層VLAN進行本地隔離，在MPLS PE設備上為每個VPN維護一張單獨的路由表，防止了不同VPN路由的相互泄漏，同一VPN的各個site可以互通，不同VPN site之間相互隔離。若VPN接入CE設備采用的是三層交換機，則需要將VPN所對應的VLAN透傳到MPLS PE設備上，由PE設備實現(xiàn)二層信息終結并完成VPN封裝，確保不同VPN之間的信息隔離。對于個別級別高的主機（信息點、業(yè)務系統(tǒng)），需要訪問任何一個VPN，可以通過設置Super VPN來解決，通過控制RouteTarget屬性，使其全部接受和發(fā)布全部VPN 的路由，這樣使其可以訪問全部的VPN（業(yè)務系統(tǒng)）。 路由協(xié)議規(guī)劃在本次工程中，采用MPLS VPN技術來實現(xiàn)業(yè)務隔離實現(xiàn)需要。對于骨干層MPLS域，需要某種IGP協(xié)議與MBGP結合應用，其中MBGP主要完成私網(wǎng)路由標簽分配、各私網(wǎng)路由在“公網(wǎng)”傳遞等作用，沒有其他的協(xié)議可以替代。各地市CE之間的VPN路由的傳遞、VPN路由標簽的分發(fā)，都是通過骨干區(qū)域MPBGP協(xié)議的擴展屬性實現(xiàn)的。對于IGP協(xié)議，它的主要作用就是保證MBGP鄰居之間的可達性，我們建議采用OSPF，因為OSPF的適應性好、功能完善、層次性強、路由會聚容易，這樣網(wǎng)絡規(guī)劃簡單、維護方便，并且有利于今后骨干層網(wǎng)絡的擴展。對于PE與CE互聯(lián)，可以采用的路由協(xié)議有靜態(tài)路由、RIP、OSPF和EBGP等多種路由協(xié)議。具體使用那種路由協(xié)議要根據(jù)情況而定，如當CE以下的網(wǎng)絡結構比較復雜，路由條目較多的時候，PE和CE之間需要運行BGP協(xié)議，當然應用這種方案對CE的要求也是比較高的。對于PE與CE之間的路由協(xié)議類型最普遍應用的就是靜態(tài)路由，只要遵循上面提到的IP地址分配原則，各VPN的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時應用靜態(tài)路由是最簡單、最高效的，而且網(wǎng)絡的維護非常方便。綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層MBGP＋OSPF、PE與CE互聯(lián)采用靜態(tài)路由的方式, 這樣對整個網(wǎng)絡中的設備要求不是太高，并且很好的實現(xiàn)了MPLS VPN。1. BGP協(xié)議規(guī)劃a) AS號規(guī)劃按照郵政綜合網(wǎng)的統(tǒng)一規(guī)劃，我們設置為65XXX（江西郵政的AS號）。b) 路由的引入在各節(jié)點的PE設備上，BGP的 vpnv4地址族中，不需要引入其他路由協(xié)議；BGP的IPV4地址族中，通過再分布命令引入本VPN的直連和靜態(tài)路由。c) 路由反射器（RR）本項目中將核心層兩臺核心路由器S8805反射器配置為一個cluster，可以實現(xiàn)兩臺路由反射器的相互備份。2. IGP協(xié)議規(guī)劃在目前，可以用于大規(guī)模網(wǎng)絡的標準IGP的路由協(xié)議有OSPF和ISIS。兩種路由協(xié)議均是基于鏈路狀態(tài)計算的最短路徑路由協(xié)議，采用同一種最短路徑算法 (Dijkstra)，兩種協(xié)議在實現(xiàn)方法、網(wǎng)絡結構上均相似。OSPF和ISIS的選擇依據(jù)如下：a) 基本原理相同（基于鏈路狀態(tài)算法），OSPF用于IP， ISIS用于ISO的CLNP，也支持IP（“集成ISIS”）；b) ISIS結構嚴謹，不支持NBMA等網(wǎng)絡類型，OSPF組網(wǎng)更加靈活，對不同的組網(wǎng)需求體現(xiàn)更好的適應性； c) ISIS占用網(wǎng)絡資源相對較少，支持網(wǎng)絡規(guī)模大于OSPF，在網(wǎng)絡相當龐大時能體現(xiàn)出優(yōu)勢；一個IGP域運行的三層交換機及路由器的數(shù)量一般不會超過200臺，因此從實際情況來看，運行OSPF和ISIS對IP城域網(wǎng)/承載網(wǎng)的建設不會有差異；對于網(wǎng)絡的穩(wěn)定性、可擴充性，兩種協(xié)議都能很好地支持；在大型ISP上，ISIS與OSPF二者均獲得普遍應用；d) 從MPLS草案及現(xiàn)實運行來看，如果要運行MPLS網(wǎng)絡的話，OSPF經(jīng)常被選用做內部IGP，當然ISIS也有，但是MPLS草案中認為在MPLS環(huán)境中運行OSPF更合適；綜合考慮，對于郵政骨干網(wǎng)改造目前規(guī)模的網(wǎng)絡，由于OSPF 組網(wǎng)更加靈活，支持豐富的區(qū)域類型且維護人員更易熟悉，故建議選擇OSPF做為IGP路由協(xié)議。l 區(qū)域的劃分劃分原則：首先參考設備扮演的角色、然后考慮地域及將來網(wǎng)絡的擴展規(guī)模。Area 0: 由PE設備互連構成。各PE只在內部互聯(lián)端口運行OSPF，使用一個Area 0進行路由交換。為避免路由環(huán)路，在PE上不通過OSPF 發(fā)布缺省路由。其他區(qū)域暫時不考慮，留給以后網(wǎng)絡擴展使用。l 路由的引入在各節(jié)點的PE設備上，通過Network 命令將PE設備的loopback地址和互連端口地址引入到OSPF協(xié)議中去。3. 靜態(tài)路由規(guī)劃各業(yè)務PE和CE之間運行靜態(tài)路由。在PE上配置網(wǎng)段為本地，下一跳指向CE的靜態(tài)路由，然后引入到MPBGP中，發(fā)布到其它節(jié)點；同時，在CE上配置目的網(wǎng)段為其它節(jié)點，下一跳為PE的靜態(tài)路由。 系統(tǒng)可靠性設計本網(wǎng)絡系統(tǒng)可靠性從如下兩個方面加以保證：1. 設備級可靠性 省核心交換機、核心路由器支持主控引擎、電源等關鍵部件冗余；支持軟件方式的快速收斂、故障檢測、路由備份等協(xié)議；支持業(yè)務板卡熱插拔 本次選用的核心交換機S9500具有高可靠性：（1）產(chǎn)品的無單點故障設計：H3C S9500系列采用分布式體系結構，所有關鍵部件采用冗余設計，包括主控板、交換網(wǎng)、電源和風扇等；采用無源背板設計，避免機箱出現(xiàn)單點故障；所有單板支持熱插拔功能，并且對其它單板上運行的業(yè)務無影響。（2）路由協(xié)議的高可靠保障：H3C S9500系列支持OSPF/ISIS/BGP的優(yōu)雅重啟技術（Graceful Restart），可以實現(xiàn)用戶業(yè)務的不間斷轉發(fā)；支持動態(tài)路由協(xié)議、跨板端口聚合、虛擬路由冗余協(xié)議（VRRP）等保護機制，有效保證全網(wǎng)高速可靠運行。 本次選用的核心路由器SR8800在傳統(tǒng)的核心路由器雙平面（控制平面和轉發(fā)平面）的基礎上，利用專用的OAM引擎設計了一個獨特的OAM檢測平面，該平面監(jiān)控網(wǎng)絡故障，能夠實現(xiàn)30ms的故障檢測和20ms的業(yè)務切換，保證業(yè)務不中斷。檢測平面與控制平面、轉發(fā)平面相互獨立、互不影響，為用戶提供了電信級的可靠性。同時，SR8800還支持完善的設備可靠性機制，包括：關鍵部件1＋1冗余備份、熱插拔、熱補丁等功能。 地市路由器、交換機需支持電源冗余2. 鏈路級可靠性 廣域網(wǎng)均要求雙鏈路設計 局域網(wǎng)核心區(qū)域采用雙鏈路設計 各層設備采用雙機熱備 系統(tǒng)安全性設計 網(wǎng)絡設備安全性要求本網(wǎng)絡要求具備一定的安全性，具體設計如下： 全網(wǎng)設備支持基本的網(wǎng)絡安全特性 本次選用的核心交換機S9500具備融合的網(wǎng)絡安全特性：（1）集成的安全特性：H3C S9500系列支持集成的防火墻模塊，可以將防火墻的保護功能擴展到交換機的每個端口；支持集成IPSec模塊，提供安全的互聯(lián)網(wǎng)VPN接入服務；支持端口鏡像和遠程端口鏡像，將有安全隱患的報文鏡像到分析端口，并通過與IDS聯(lián)動及時阻斷攻擊。（2）設備自身的安全特性：H3C S9500系列采用“最長匹配、逐包轉發(fā)”模式，能夠抵御網(wǎng)絡病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報文的明文及MD5密文認證；支持IP、VLAN 、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報文抑制，有效控制ARP等非法廣播流量對設備造成沖擊；支持URPF，防止IP地址欺騙；支持報文安全過濾，防止非法侵入和惡意報文攻擊等。（3）管理的安全性H3C S9500系列支持IEEE 、AAA/Radius、HWTACACS，對用戶身份進行合法性認證；支持用戶分級管理，不同級別的用戶擁有不同的配置權限；支持安全的SNMPv3網(wǎng)管協(xié)議；支持安全的遠程登錄SSH V2；支持受限IP地址方式的Telnet登錄。 本次選用的核心路由器SR8800具備完善的安全機制：支持用戶分級管理和口令保護，對登錄用戶進行認證，并且不同級別的用戶有不同的配置權限，用戶認證方式包括：AAA認證、RADIUS認證等認證方式等。，為用戶登錄提供安全加密通道。支持標準和擴展ACL，可以對報文進行過濾，防止網(wǎng)絡攻擊。支持主機防火墻功能，防止DoS / DDoS攻擊。支持URPF技術，防止基于源地址欺騙的網(wǎng)絡攻擊行為。 省核心交換機均支持業(yè)界先進的插卡式安全擴展技術 本次選用的核心交換機S9500支持業(yè)界領先的安全插卡技術。可以在S9500上部署H3C SecBlade FW插卡進行核心層的安全保護和不同區(qū)域訪問策略的定制。 H3C SecBlade FW是業(yè)內第一款萬兆高性能防火墻模塊，可應用于H3C S7500E/S9500交換機以及SR6600路由器。SecBlade FW集成防火墻、VPN、內容過濾和NAT地址轉換等功能，提升了網(wǎng)絡設備的安全業(yè)務能力，為用戶提供全面的安全防護。 H3C SecBlade FW能提供外部攻擊防范、內網(wǎng)安全、流量監(jiān)控、URL過濾、應用層過濾等功能，有效的保證網(wǎng)絡的安全。采用H3C ASPF（Application Specific Packet Filter）應用狀態(tài)檢測技術，實時檢測應用層連接狀態(tài)，實現(xiàn)37層安全防護。提供郵件告警、攻擊日志、流日志和網(wǎng)絡管理監(jiān)控等功能，協(xié)助用戶進行網(wǎng)絡管理。 SecBlade FW模塊與基礎網(wǎng)絡設備融合，具有即插即用、擴展性強的特點，降低了用戶管理難度，減少了維護成本。 H3C SecBlade FW采用先進的多核硬件結構，提供無以倫比的萬兆線速安全防護，是業(yè)內處理性能最高的防火墻模塊，將網(wǎng)絡安全防護提升到