【正文】 ，以便于切換。新申請(qǐng)備用電路N*2M電路，安裝到新的骨干網(wǎng)備份設(shè)備上，在省中心開通CPOS口，在市局開通多個(gè)個(gè)2Mbps進(jìn)行端口捆綁。調(diào)試完成后將原主用2Mbps也切換到新網(wǎng)絡(luò)上，作為備用電路。電路帶寬擴(kuò)容：將來市局的上聯(lián)主用帶寬從SDH捆綁2Mbps電路上擴(kuò)展時(shí)，由于省中心配置了CPOS模塊，修改配置增加時(shí)隙即可，無須變更物理電路，市局則通過路由器上配的N個(gè)E1端口做鏈路捆綁，可支持到16Mbps（82Mbps捆綁，PPP MultiLink）。 MPLS VPN設(shè)計(jì) MPLS VPN系統(tǒng)設(shè)計(jì)在本次工程中，我們采用MPLS VPN技術(shù)來實(shí)現(xiàn)業(yè)務(wù)隔離實(shí)現(xiàn)需要。對(duì)于骨干層MPLS域，需要某種IGP協(xié)議與MBGP結(jié)合應(yīng)用，其中MBGP主要完成私網(wǎng)路由標(biāo)簽分配、各私網(wǎng)路由在“公網(wǎng)”傳遞等作用，沒有其他的協(xié)議可以替代。各地市CE之間的VPN路由的傳遞、VPN路由標(biāo)簽的分發(fā)，都是通過骨干區(qū)域MPBGP協(xié)議的擴(kuò)展屬性實(shí)現(xiàn)的。對(duì)于IGP協(xié)議，它的主要作用就是保證MBGP鄰居之間的可達(dá)性，我們采用OSPF，因?yàn)镺SPF的適應(yīng)性好、功能完善、層次性強(qiáng)、路由匯聚容易，這樣網(wǎng)絡(luò)規(guī)劃簡(jiǎn)單、維護(hù)方便，并且有利于今后骨干層網(wǎng)絡(luò)的擴(kuò)展。對(duì)于PE與CE互聯(lián)，可以采用的路由協(xié)議有靜態(tài)路由、RIP、OSPF和EBGP等多種路由協(xié)議。具體使用那種路由協(xié)議要根據(jù)情況而定，如當(dāng)CE以下的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，路由條目較多的時(shí)候，PE和CE之間需要運(yùn)行BGP協(xié)議，當(dāng)然應(yīng)用這種方案對(duì)CE的要求也是比較高的。對(duì)于PE與CE之間的路由協(xié)議類型最普遍應(yīng)用的就是靜態(tài)路由，只要遵循IP地址分配原則，各VPN的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時(shí)應(yīng)用靜態(tài)路由是最簡(jiǎn)單、最高效的，而且網(wǎng)絡(luò)的維護(hù)非常方便。綜上，在本期工程中，我們采用的路由協(xié)議類型就是：骨干層MBGP＋OSPF、PE與CE互聯(lián)采用靜態(tài)路由與策略路由結(jié)合的方式, 這樣對(duì)整個(gè)網(wǎng)絡(luò)中的設(shè)備要求不是太高，并且很好的實(shí)現(xiàn)了MPLS VPN。在廣域網(wǎng)上的路由器全部作為PE，構(gòu)成MPLS VPN的核心域。省局的核心交換機(jī)作為MCE，主要作為數(shù)據(jù)業(yè)務(wù)的VPN匯聚接入；這里直接在省局的核心路由器上部署語音和視頻的VPN，以更好地利用路由器在QoS方面的強(qiáng)大處理能力。地市核心交換機(jī)作為MCE，主要作為地市語音、數(shù)據(jù)和視頻VPN的部署點(diǎn)，地市路由器一方面作為廣域互連，另一方面可以擴(kuò)展一些端口，便于其他VPN的擴(kuò)展。 MPLS系統(tǒng)規(guī)劃在本次工程中，我們采用MPLS VPN技術(shù)來實(shí)現(xiàn)業(yè)務(wù)隔離實(shí)現(xiàn)需要。1. VRF規(guī)劃VRF對(duì)應(yīng)一個(gè)VPN，一般來說一個(gè)VRF的命名可以采用某個(gè)業(yè)務(wù)的英文標(biāo)識(shí)或者漢語拼音來標(biāo)識(shí)。在此次項(xiàng)目中，是一個(gè)業(yè)務(wù)系統(tǒng)對(duì)應(yīng)于一個(gè)VPN，因此VRF的命名只需使用業(yè)務(wù)系統(tǒng)的漢語拼音來標(biāo)識(shí)。視頻業(yè)務(wù) ：videoOA業(yè)務(wù) ：OA綜合業(yè)務(wù) ：zhonghe金融業(yè)務(wù) : jinrong2. 全局RD規(guī)劃本次工程中采用第一種RD值的格式：16位自治系統(tǒng)號(hào) : 32位用戶自定義數(shù)字。由于RD與VRF相捆綁。即PE設(shè)備上每個(gè)VRF表中的所有VPNIPv4路規(guī)劃如下：視頻業(yè)務(wù) ：65400：1數(shù)據(jù)業(yè)務(wù) ：65400：2綜合業(yè)務(wù) ：65400: 3金融業(yè)務(wù) : 65400: 43. 全局RT值規(guī)劃通過配置VRF（路由轉(zhuǎn)發(fā)實(shí)例）的target 屬性，可以實(shí)現(xiàn)不同業(yè)務(wù)的VPN。不同路由器通過target 相關(guān)聯(lián)而組成可以互相訪問的集合，由于只有他們內(nèi)部可以互訪，所以我們稱之為VPN，配置里并沒有專門的VPN 的定義。也就是說，VPN的成員關(guān)系是通過路由所攜帶的route target屬性來獲得的。不同CE 通過PE 配置的VRF 里的Target實(shí)現(xiàn)互訪與隔離，從而組成不同的VPN。通過RT的靈活使用，可以實(shí)現(xiàn)intranet，extranet，hubamp。spoke等不同VPN組網(wǎng)方式。RT的結(jié)構(gòu)于RD基本相同，為了便于維護(hù)和管理，本次工程中采用與RD相同的格式，使用16 bits：32 bits格式，分配規(guī)則為 『AS號(hào)：VPN類別』。其中AS號(hào)統(tǒng)一使用骨干AS的100，如果各業(yè)務(wù)間沒有互訪的需求，就將routetarget 的 export和import設(shè)為一致。規(guī)劃如下：視頻業(yè)務(wù) ：65400：1數(shù)據(jù)業(yè)務(wù) ：65400：2綜合業(yè)務(wù) ：65400: 3金融業(yè)務(wù) : 65400: 44. VPN的互通與隔離接入層本地VPN接入CE設(shè)備采用的是二層交換機(jī)或路由器，因此不同VPN可以通過二層VLAN進(jìn)行本地隔離，在MPLS PE設(shè)備上為每個(gè)VPN維護(hù)一張單獨(dú)的路由表，防止了不同VPN路由的相互泄漏，同一VPN的各個(gè)site可以互通，不同VPN site之間相互隔離。若VPN接入CE設(shè)備采用的是三層交換機(jī)，則需要將VPN所對(duì)應(yīng)的VLAN透?jìng)鞯組PLS PE設(shè)備上，由PE設(shè)備實(shí)現(xiàn)二層信息終結(jié)并完成VPN封裝，確保不同VPN之間的信息隔離。對(duì)于個(gè)別級(jí)別高的主機(jī)（信息點(diǎn)、業(yè)務(wù)系統(tǒng)），需要訪問任何一個(gè)VPN，可以通過設(shè)置Super VPN來解決，通過控制RouteTarget屬性，使其全部接受和發(fā)布全部VPN 的路由，這樣使其可以訪問全部的VPN（業(yè)務(wù)系統(tǒng)）。 路由協(xié)議規(guī)劃在本次工程中，采用MPLS VPN技術(shù)來實(shí)現(xiàn)業(yè)務(wù)隔離實(shí)現(xiàn)需要。對(duì)于骨干層MPLS域，需要某種IGP協(xié)議與MBGP結(jié)合應(yīng)用，其中MBGP主要完成私網(wǎng)路由標(biāo)簽分配、各私網(wǎng)路由在“公網(wǎng)”傳遞等作用，沒有其他的協(xié)議可以替代。各地市CE之間的VPN路由的傳遞、VPN路由標(biāo)簽的分發(fā)，都是通過骨干區(qū)域MPBGP協(xié)議的擴(kuò)展屬性實(shí)現(xiàn)的。對(duì)于IGP協(xié)議，它的主要作用就是保證MBGP鄰居之間的可達(dá)性，我們建議采用OSPF，因?yàn)镺SPF的適應(yīng)性好、功能完善、層次性強(qiáng)、路由會(huì)聚容易，這樣網(wǎng)絡(luò)規(guī)劃簡(jiǎn)單、維護(hù)方便，并且有利于今后骨干層網(wǎng)絡(luò)的擴(kuò)展。對(duì)于PE與CE互聯(lián)，可以采用的路由協(xié)議有靜態(tài)路由、RIP、OSPF和EBGP等多種路由協(xié)議。具體使用那種路由協(xié)議要根據(jù)情況而定，如當(dāng)CE以下的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，路由條目較多的時(shí)候，PE和CE之間需要運(yùn)行BGP協(xié)議，當(dāng)然應(yīng)用這種方案對(duì)CE的要求也是比較高的。對(duì)于PE與CE之間的路由協(xié)議類型最普遍應(yīng)用的就是靜態(tài)路由，只要遵循上面提到的IP地址分配原則，各VPN的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時(shí)應(yīng)用靜態(tài)路由是最簡(jiǎn)單、最高效的，而且網(wǎng)絡(luò)的維護(hù)非常方便。綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層MBGP＋OSPF、PE與CE互聯(lián)采用靜態(tài)路由的方式, 這樣對(duì)整個(gè)網(wǎng)絡(luò)中的設(shè)備要求不是太高，并且很好的實(shí)現(xiàn)了MPLS VPN。1. BGP協(xié)議規(guī)劃a) AS號(hào)規(guī)劃按照郵政綜合網(wǎng)的統(tǒng)一規(guī)劃，我們?cè)O(shè)置為65XXX（江西郵政的AS號(hào)）。b) 路由的引入在各節(jié)點(diǎn)的PE設(shè)備上，BGP的 vpnv4地址族中，不需要引入其他路由協(xié)議；BGP的IPV4地址族中，通過再分布命令引入本VPN的直連和靜態(tài)路由。c) 路由反射器（RR）本項(xiàng)目中將核心層兩臺(tái)核心路由器S8805反射器配置為一個(gè)cluster，可以實(shí)現(xiàn)兩臺(tái)路由反射器的相互備份。2. IGP協(xié)議規(guī)劃在目前，可以用于大規(guī)模網(wǎng)絡(luò)的標(biāo)準(zhǔn)IGP的路由協(xié)議有OSPF和ISIS。兩種路由協(xié)議均是基于鏈路狀態(tài)計(jì)算的最短路徑路由協(xié)議，采用同一種最短路徑算法 (Dijkstra)，兩種協(xié)議在實(shí)現(xiàn)方法、網(wǎng)絡(luò)結(jié)構(gòu)上均相似。OSPF和ISIS的選擇依據(jù)如下：a) 基本原理相同（基于鏈路狀態(tài)算法），OSPF用于IP， ISIS用于ISO的CLNP，也支持IP（“集成ISIS”）；b) ISIS結(jié)構(gòu)嚴(yán)謹(jǐn)，不支持NBMA等網(wǎng)絡(luò)類型，OSPF組網(wǎng)更加靈活，對(duì)不同的組網(wǎng)需求體現(xiàn)更好的適應(yīng)性； c) ISIS占用網(wǎng)絡(luò)資源相對(duì)較少，支持網(wǎng)絡(luò)規(guī)模大于OSPF，在網(wǎng)絡(luò)相當(dāng)龐大時(shí)能體現(xiàn)出優(yōu)勢(shì)；一個(gè)IGP域運(yùn)行的三層交換機(jī)及路由器的數(shù)量一般不會(huì)超過200臺(tái)，因此從實(shí)際情況來看，運(yùn)行OSPF和ISIS對(duì)IP城域網(wǎng)/承載網(wǎng)的建設(shè)不會(huì)有差異；對(duì)于網(wǎng)絡(luò)的穩(wěn)定性、可擴(kuò)充性，兩種協(xié)議都能很好地支持；在大型ISP上，ISIS與OSPF二者均獲得普遍應(yīng)用；d) 從MPLS草案及現(xiàn)實(shí)運(yùn)行來看，如果要運(yùn)行MPLS網(wǎng)絡(luò)的話，OSPF經(jīng)常被選用做內(nèi)部IGP，當(dāng)然ISIS也有，但是MPLS草案中認(rèn)為在MPLS環(huán)境中運(yùn)行OSPF更合適；綜合考慮，對(duì)于郵政骨干網(wǎng)改造目前規(guī)模的網(wǎng)絡(luò)，由于OSPF 組網(wǎng)更加靈活，支持豐富的區(qū)域類型且維護(hù)人員更易熟悉，故建議選擇OSPF做為IGP路由協(xié)議。l 區(qū)域的劃分劃分原則：首先參考設(shè)備扮演的角色、然后考慮地域及將來網(wǎng)絡(luò)的擴(kuò)展規(guī)模。Area 0: 由PE設(shè)備互連構(gòu)成。各PE只在內(nèi)部互聯(lián)端口運(yùn)行OSPF，使用一個(gè)Area 0進(jìn)行路由交換。為避免路由環(huán)路，在PE上不通過OSPF 發(fā)布缺省路由。其他區(qū)域暫時(shí)不考慮，留給以后網(wǎng)絡(luò)擴(kuò)展使用。l 路由的引入在各節(jié)點(diǎn)的PE設(shè)備上，通過Network 命令將PE設(shè)備的loopback地址和互連端口地址引入到OSPF協(xié)議中去。3. 靜態(tài)路由規(guī)劃各業(yè)務(wù)PE和CE之間運(yùn)行靜態(tài)路由。在PE上配置網(wǎng)段為本地，下一跳指向CE的靜態(tài)路由，然后引入到MPBGP中，發(fā)布到其它節(jié)點(diǎn)；同時(shí)，在CE上配置目的網(wǎng)段為其它節(jié)點(diǎn)，下一跳為PE的靜態(tài)路由。 系統(tǒng)可靠性設(shè)計(jì)本網(wǎng)絡(luò)系統(tǒng)可靠性從如下兩個(gè)方面加以保證：1. 設(shè)備級(jí)可靠性 省核心交換機(jī)、核心路由器支持主控引擎、電源等關(guān)鍵部件冗余；支持軟件方式的快速收斂、故障檢測(cè)、路由備份等協(xié)議；支持業(yè)務(wù)板卡熱插拔 本次選用的核心交換機(jī)S9500具有高可靠性：（1）產(chǎn)品的無單點(diǎn)故障設(shè)計(jì)：H3C S9500系列采用分布式體系結(jié)構(gòu)，所有關(guān)鍵部件采用冗余設(shè)計(jì)，包括主控板、交換網(wǎng)、電源和風(fēng)扇等；采用無源背板設(shè)計(jì)，避免機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板支持熱插拔功能，并且對(duì)其它單板上運(yùn)行的業(yè)務(wù)無影響。（2）路由協(xié)議的高可靠保障：H3C S9500系列支持OSPF/ISIS/BGP的優(yōu)雅重啟技術(shù)（Graceful Restart），可以實(shí)現(xiàn)用戶業(yè)務(wù)的不間斷轉(zhuǎn)發(fā)；支持動(dòng)態(tài)路由協(xié)議、跨板端口聚合、虛擬路由冗余協(xié)議（VRRP）等保護(hù)機(jī)制，有效保證全網(wǎng)高速可靠運(yùn)行。 本次選用的核心路由器SR8800在傳統(tǒng)的核心路由器雙平面（控制平面和轉(zhuǎn)發(fā)平面）的基礎(chǔ)上，利用專用的OAM引擎設(shè)計(jì)了一個(gè)獨(dú)特的OAM檢測(cè)平面，該平面監(jiān)控網(wǎng)絡(luò)故障，能夠?qū)崿F(xiàn)30ms的故障檢測(cè)和20ms的業(yè)務(wù)切換，保證業(yè)務(wù)不中斷。檢測(cè)平面與控制平面、轉(zhuǎn)發(fā)平面相互獨(dú)立、互不影響，為用戶提供了電信級(jí)的可靠性。同時(shí)，SR8800還支持完善的設(shè)備可靠性機(jī)制，包括：關(guān)鍵部件1＋1冗余備份、熱插拔、熱補(bǔ)丁等功能。 地市路由器、交換機(jī)需支持電源冗余2. 鏈路級(jí)可靠性 廣域網(wǎng)均要求雙鏈路設(shè)計(jì) 局域網(wǎng)核心區(qū)域采用雙鏈路設(shè)計(jì) 各層設(shè)備采用雙機(jī)熱備 系統(tǒng)安全性設(shè)計(jì) 網(wǎng)絡(luò)設(shè)備安全性要求本網(wǎng)絡(luò)要求具備一定的安全性，具體設(shè)計(jì)如下： 全網(wǎng)設(shè)備支持基本的網(wǎng)絡(luò)安全特性 本次選用的核心交換機(jī)S9500具備融合的網(wǎng)絡(luò)安全特性：（1）集成的安全特性：H3C S9500系列支持集成的防火墻模塊，可以將防火墻的保護(hù)功能擴(kuò)展到交換機(jī)的每個(gè)端口；支持集成IPSec模塊，提供安全的互聯(lián)網(wǎng)VPN接入服務(wù)；支持端口鏡像和遠(yuǎn)程端口鏡像，將有安全隱患的報(bào)文鏡像到分析端口，并通過與IDS聯(lián)動(dòng)及時(shí)阻斷攻擊。（2）設(shè)備自身的安全特性：H3C S9500系列采用“最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡(luò)病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報(bào)文的明文及MD5密文認(rèn)證；支持IP、VLAN 、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報(bào)文抑制，有效控制ARP等非法廣播流量對(duì)設(shè)備造成沖擊；支持URPF，防止IP地址欺騙；支持報(bào)文安全過濾，防止非法侵入和惡意報(bào)文攻擊等。（3）管理的安全性H3C S9500系列支持IEEE 、AAA/Radius、HWTACACS，對(duì)用戶身份進(jìn)行合法性認(rèn)證；支持用戶分級(jí)管理，不同級(jí)別的用戶擁有不同的配置權(quán)限；支持安全的SNMPv3網(wǎng)管協(xié)議；支持安全的遠(yuǎn)程登錄SSH V2；支持受限IP地址方式的Telnet登錄。 本次選用的核心路由器SR8800具備完善的安全機(jī)制：支持用戶分級(jí)管理和口令保護(hù)，對(duì)登錄用戶進(jìn)行認(rèn)證，并且不同級(jí)別的用戶有不同的配置權(quán)限，用戶認(rèn)證方式包括：AAA認(rèn)證、RADIUS認(rèn)證等認(rèn)證方式等。，為用戶登錄提供安全加密通道。支持標(biāo)準(zhǔn)和擴(kuò)展ACL，可以對(duì)報(bào)文進(jìn)行過濾，防止網(wǎng)絡(luò)攻擊。支持主機(jī)防火墻功能，防止DoS / DDoS攻擊。支持URPF技術(shù)，防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。 省核心交換機(jī)均支持業(yè)界先進(jìn)的插卡式安全擴(kuò)展技術(shù) 本次選用的核心交換機(jī)S9500支持業(yè)界領(lǐng)先的安全插卡技術(shù)?？梢栽赟9500上部署H3C SecBlade FW插卡進(jìn)行核心層的安全保護(hù)和不同區(qū)域訪問策略的定制。 H3C SecBlade FW是業(yè)內(nèi)第一款萬兆高性能防火墻模塊，可應(yīng)用于H3C S7500E/S9500交換機(jī)以及SR6600路由器。SecBlade FW集成防火墻、VPN、內(nèi)容過濾和NAT地址轉(zhuǎn)換等功能，提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，為用戶提供全面的安全防護(hù)。 H3C SecBlade FW能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過濾、應(yīng)用層過濾等功能，有效的保證網(wǎng)絡(luò)的安全。采用H3C ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，實(shí)時(shí)檢測(cè)應(yīng)用層連接狀態(tài)，實(shí)現(xiàn)37層安全防護(hù)。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進(jìn)行網(wǎng)絡(luò)管理。 SecBlade FW模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶管理難度，減少了維護(hù)成本。 H3C SecBlade FW采用先進(jìn)的多核硬件結(jié)構(gòu)，提供無以倫比的萬兆線速安全防護(hù)，是業(yè)內(nèi)處理性能最高的防火墻模塊，將網(wǎng)絡(luò)安全防護(hù)提升到