【正文】 郵政網絡改造建設方案第1章 網絡建設需求江西郵政信息網網絡是全省郵政計算機信息系統(tǒng)的重要支撐部分，現(xiàn)已建成以ATM及SDH傳輸為基礎的多業(yè)務、多數(shù)據(jù)傳送平臺，省中心和地市中心作為網絡匯接中心，連接著全省11個市局、84個縣局、1400多個電子化支局和1300多個郵政儲蓄網點。支撐的業(yè)務種類主要包括： 郵政綜合業(yè)務（郵政營業(yè)、報刊、集郵、物流、內部處理、生產管理等郵政基本業(yè)務及相關增值業(yè)務），簡稱綜合網 郵政金融業(yè)務（郵政銀行業(yè)務及關聯(lián)增值業(yè)務），簡稱綠卡網 省市郵政內部辦公系統(tǒng)，簡稱辦公網 內部IP電話、IP傳真服務，簡稱語音網 視頻會議服務，簡稱視頻網本工程的目標是將江西省郵政現(xiàn)有的多個業(yè)務網改造成為一個統(tǒng)一的傳輸平臺，支持包括郵政業(yè)務、金融業(yè)務、OA、語音、視頻在內的多個業(yè)務系統(tǒng)混合傳輸，實現(xiàn)各業(yè)務系統(tǒng)間的安全隔離并保證各業(yè)務系統(tǒng)的服務質量。新的骨干網要具有很好的擴展性，可在線路帶寬擴容、增加業(yè)務系統(tǒng)、設備處理能力升級等情況下實現(xiàn)平滑擴展。骨干網要具備很高的可靠性，并能實現(xiàn)故障的自動切換，在傳輸上要能實現(xiàn)負載均衡。骨干網要有較高的可管理性，能對網絡的運行情況進行實時監(jiān)控、統(tǒng)計分析和配置管理。本項目的目標是建設一個安全、可靠、可管理的省市骨干網絡平臺，確保改造后網絡設備滿足業(yè)務5年發(fā)展的需要，通信帶寬滿足業(yè)務3年發(fā)展的需要，主要網絡設備和線路有備份保障，核心業(yè)務具備嚴格的安全防范措施。具體目標如下：l 建立省市IP廣域網絡平臺，替換現(xiàn)用ATM平臺l 替換老舊的核心網絡設備，消除單點故障，提高信息網絡的可靠性l 增加備份電路，保障信息網絡的高可用性l 提高網絡帶寬和加強帶寬管理，滿足業(yè)務發(fā)展的需要l 建立有效的信息網絡安全機制，確保省中心和市中心的信息安全。第2章 網絡建設原則 高可靠性為保證各項業(yè)務應用，網絡必須具有高可靠性，在省中心局域網和廣域網部分要避免系統(tǒng)存在重大單點故障，設備選型、網絡設計應采用硬件備份、冗余等可靠性技術，合理設計網絡冗余拓撲結構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地保證網絡系統(tǒng)的高效運行。 高安全性要求改造后的網絡能夠實現(xiàn)現(xiàn)有四大系統(tǒng)（綜合、綠卡、辦公、視頻）網絡之間可靠的安全隔離，并能提供跨業(yè)系統(tǒng)網絡的互訪手段，針對跨網訪問提供必要的安全控制手段。另外在方案中除了基礎網絡的設計以外，還應當包括安全方案，重點是針對省中心網絡的安全規(guī)劃。 標準性與開放性整個網絡系統(tǒng)應在國家政策的許可下完全采用符合國際（或國家）通用的開放的標準網絡協(xié)議和技術，并在全網采用統(tǒng)一的標準，確保網絡的互聯(lián)互通。 先進性和成熟性在網絡設計中充分考慮到網絡應用的需求和未來的發(fā)展趨勢，兼顧先進性和成熟性的需求，采用的技術架構既應當是發(fā)展成熟、已經在業(yè)界得到良好應用效果，又應當具有一定的先進性，使整個系統(tǒng)架構在相當一段時期內能夠保持穩(wěn)定，適應未來信息化的發(fā)展需要。 靈活性及可擴展性網絡系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，網絡不僅需要保持對以前技術的兼容性，還必須具有良好的靈活性和可擴展性，能夠根據(jù)用戶網絡不斷深入發(fā)展的需要，根據(jù)未來業(yè)務的增長和變化，平滑地擴充和升級現(xiàn)有的網絡覆蓋范圍、擴大網絡容量和提高網絡的各層次節(jié)點的功能，最大程度的減少對網絡架構和現(xiàn)有設備的調整。 可管理性要求建設統(tǒng)一的網管系統(tǒng)，能夠對整個骨干網內多個廠家設備實現(xiàn)完善的拓撲管理、設備管理、性能管理和故障管理，可以實時監(jiān)控所有設備和線路的運行狀況，對全網設備的運行信息進行實時監(jiān)控，并對故障和性能超限實現(xiàn)實時告警，對設備運行情況進行查詢和統(tǒng)計，定期生成運行報告。要求能夠實現(xiàn)省、市兩級分級分權限管理。要求要便于理解和操作，盡量采用全中文界面。主要針對網絡設備和鏈路的管理，對服務器的管理以網絡通斷、流量等情況為主，對其詳細運行情況在本次工程中不做要求。第3章 江西省郵政信息網骨干網改造方案 關鍵技術選擇 MPLS技術介紹1. MPLS基本原理MPLS是多協(xié)議標簽交換協(xié)議的簡稱，多協(xié)議是指它能夠支持多種三層協(xié)議；標簽是一種短的，易于處理的，不包含拓撲信息，只具有局部意義的信息內容；MPLS的報文轉發(fā)是基于標簽的，在MPLS網絡中，IP包在進入第一個MPLS設備時，MPLS邊緣路由器分析IP包的內容并且為這些IP包選擇合適的標簽。以后所有MPLS網絡中節(jié)點都是依據(jù)這個標簽作為轉發(fā)依據(jù)。當IP包最終離開MPLS網絡時，標簽被邊緣路由器分離。 MPLS標簽示意圖在MPLS中，一個標簽標識了一個轉發(fā)等價類（FEC——Forwording Equivalence Class）。一個轉發(fā)等價類是在網絡中遵循同樣的轉發(fā)路徑的報文的集合，這些報文的目的地址甚至可以不同。MPLS可以看做是一種面向連接的技術?？赏ㄟ^MPLS信令(如LDP，Label Distribute Protocol，標簽分配協(xié)議)或手工配置的方法建立好MPLS標記交換連接(Label Switched Path，簡稱LSP）以后，數(shù)據(jù)轉發(fā)過程中，在網絡入口進行流分類，根據(jù)數(shù)據(jù)流所屬的FEC選擇相應的LSP，把需要通這條LSP的報文打上相應的標簽，中間路由器在收到MPLS報文以后直接根據(jù)MPLS報頭的標簽進行轉發(fā)，而不用再通過IP報文頭的IP地址查找。在MPLS標記交換路徑的出口（或倒數(shù)第二跳），彈出MPLS包頭，還回原來的IP包（在VPN的時候可能是以太網報文或ATM報文等）。由于FEC可以是按照目的地址劃分的，這同傳統(tǒng)的IP轉發(fā)相同，也可以是基于源地址、目的地址、源端口、目的端口、協(xié)議類型、CoS、VPN等等信息的任意組合。而MPLS可以把任何流關聯(lián)到一個FEC，然后把一個FEC映射到一個LSP，這個LSP可以是為了這種FEC而特殊構造的，這使得服務提供商可以非常精確地控制網絡中的每個流。這種空前的控制能力使網絡能夠提供更加有效和可預測的服務。根據(jù)擴展方式的不同MPLS VPN可以分為BGP擴展實現(xiàn)的MPLS VPN，和LDP擴展實現(xiàn)的VPN。根據(jù)PE（Provider Edge）設備是否參與VPN路由又細分為二層VPN和三層VPN。同依賴于IP Tunnel技術實現(xiàn)的傳統(tǒng)IP VPN不同，MPLS VPN不依靠封裝和加密技術，而是依靠轉發(fā)表和數(shù)據(jù)包的標記來創(chuàng)建一個安全的VPN。2. L3 MPLS VPN實現(xiàn)原理在L3 MPLS VPN（又稱MPLS BGP VPN）的模型中，網絡由運營商的骨干網與用戶的各個Site組成，所謂VPN就是對site集合的劃分，一個VPN就對應一個由若干site組成的集合。但是必須遵循如下規(guī)則：兩個Site之間只有至少同時屬于一個VPN定義的Site集合，才具有IP連通性。MPLS BGP VPN的框架模型如圖所示： MPLS/BGP VPN網絡結構圖 如圖所示，基于BGP擴展實現(xiàn)的L3 MPLS VPN所包含的基本組件：PE：Provider Edge Router，骨干網邊緣路由器，存儲VRF（Virtual Routing Forwarding Instance），處理VPNIPv4路由，是MPLS三層VPN的主要實現(xiàn)者；CE：Custom Edge Router，用戶網邊緣路由器，分布用戶網絡路由；P router： Provider Router，骨干網核心路由器，負責MPLS轉發(fā)；VPN用戶站點（site）：是VPN中的一個孤立的IP網絡，一般來說，不通過骨干網不具有連通性，公司總部、分支機構都是site的具體例子。CE路由器通常是VPN Site中的一個路由器或交換設備，Site通過一個單獨的物理端口或邏輯端口（通常是VLAN端口）連接到PE設備上；用戶接入MPLS VPN的方式是每個site提供一個或多個CE，同骨干網的PE連接。在PE上為這個site配置VRF，將連結PECE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定的VRF上。BGP擴展實現(xiàn)的MPLS VPN擴展的了BGP NLRI中的IPv4地址，在其前增加了一個8字節(jié)的RD（Route Distinguisher）。RD時用來標識VPN的成員即Site的。VPN的成員關系是通過路由所攜帶的route target屬性來獲得的，每個VRF配置了一些策略，規(guī)定一個VPN可以接收哪些Site來的路由信息，可以向外發(fā)布哪些Site的路由信息。 每個PE根據(jù)BGP擴展發(fā)布的信息進行路由計算，生成每個相關VPN的路由表。PECE之間要交換路由信息一般是通過靜態(tài)路由，也可以通過RIP、BGP等。PECE之間采用靜態(tài)路由的好處是可以減少CE設備可能會因為管理不善等原因造成對骨干網BGP路由產生震蕩，影響骨干網的穩(wěn)定性；如果采用BGP可以實現(xiàn)動態(tài)的網絡擴展，網絡路由信息發(fā)生變化時，不必更改設備的配置信息。PE與PE之間需要運行IBGP協(xié)議，存在可擴展性問題，但采用路由反射器RR可以顯著地減少IBGP連接的數(shù)量。MPLS/BGP VPN提供了靈活的地址管理。由于采用了單獨的路由表，允許每個VPN使用單獨的地址空間中，稱為VPNIPv4地址空間，RD加上IPv4地址就構成了VPNIPv4地址。很多采用私有地址的用戶不必再進行地址轉換NAT。NAT只有在兩個有沖突地址的用戶需要建立Extranet進行通信時才需要。在MPLS/BGP VPN中，屬于同一的VPN的兩個site之間轉發(fā)報文使用兩層標簽來解決，在入口PE上為報文打上兩層標簽，第一層（外層）標簽在骨干網內部進行交換，代表了從PE到對端PE的一條隧道，VPN報文打上這層標簽，就可以沿著LSP到達對端PE，這時候就需要使用第二層（內層）標簽，這層標簽指示了報文應該到達哪個site，或者更具體一些，到達哪一個CE，這樣，根據(jù)內層標簽，就可以找到轉發(fā)的接口?？梢哉J為，內層標簽代表了通過骨干網相連的兩個CE之間的一個隧道。L3 MPLS VPN通過和Internet路由之間配置一些靜態(tài)路由的方式，可以實現(xiàn)VPN的Internet上網服務，還可以為跨不同地域的、屬于同一個AS但是沒有自己的骨干網的運營商提供VPN互連，即提供“運營商的運營商”模式的VPN網絡互連。MPLS/MBGP VPN可以簡化對用戶端設備的需求和用戶管理、維護Intranet/Extranet的復雜性，每個CE僅需要維持一個到PE的路由交換協(xié)議，CE間的路由交換、傳輸控制、路由策略由運營商根據(jù)VPN用戶的需求來實施。由于BGP的策略控制能力很強，隨之而來的是VPN用戶路由策略控制的靈活性。根據(jù)以上江西省郵政骨干網的網絡現(xiàn)狀和需求分析，江西省郵政骨干網改造主要的需求就是在統(tǒng)一的物理傳輸平臺上實現(xiàn)多業(yè)務系統(tǒng)的混合傳輸，并保證安全隔離和服務質量。在廣域網建設中，有兩種層次的網絡建設模式，一種是建設以IP協(xié)議為平臺的第三層網絡，一種是建設基于Frame Relay或ATM的第二層網絡平臺。這兩種建網模式都可以實現(xiàn)統(tǒng)一網絡的目的，即采用同一套線路、同一套設備，實現(xiàn)多個網絡系統(tǒng)之間資源共享，但其實現(xiàn)的網絡層次不同，江西省郵政骨干網目前的廣域網架構即為第二種。即通過建設一套傳輸二層PVC通道設備疊加一臺IP三層路由器建網的方式，這種方式無法實現(xiàn)雙機冗余、投資浪費、傳輸效率又底，因而很難未來業(yè)務發(fā)展需要。在江西郵政早期骨干網建設時期，基于IP技術之上的VPN和QoS技術發(fā)展還不是非常完善，同時還有相當部分的業(yè)務系統(tǒng)運行在非IP方式下，采用二層網絡平臺可以較好的解決各業(yè)務系統(tǒng)安全隔離和服務質量保證的需求，是當時的技術發(fā)展水平和業(yè)務需求條件下較好的解決方案。經過多年的運行，江西郵政技術和業(yè)務情況都發(fā)生了較大的變化，一方面TCP/IP已成為業(yè)界通用的三層網絡技術，郵政目前所有的業(yè)務系統(tǒng)均運行于IP協(xié)議之上，另一方面基于MPLS技術的IP VPN網絡已經可以在技術上非常好的解決安全隔離和服務質量保證的需求，二層PVC技術具有的傳統(tǒng)優(yōu)勢已經不存在，而MPLS技術在提高帶寬利用率和便于管理方面比二層PVC技術有明顯的優(yōu)勢。二層PVC技術不但ATM交換機投資巨大，很難實現(xiàn)雙機冗余備份，而且還需要為每一個業(yè)務系統(tǒng)災配備一套三層數(shù)據(jù)設備（IP路由器），整體投資要遠超過純三層方案。因此，建議江西省郵政骨干網改造采用基于IP協(xié)議的MPLS VPN技術。它可以通過VPN技術在一個統(tǒng)一的物理傳輸平臺上較好的實現(xiàn)多業(yè)務系統(tǒng)安全隔離，隔離效果相當于物理PVC隔離，同時可通過QoS技術來實現(xiàn)針對不同業(yè)務系統(tǒng)的服務質量保證。 總體建設方案本工程的目標是將江西省郵政骨干網改造成為一個統(tǒng)一的傳輸平臺，支持包括郵政業(yè)務、金融業(yè)務、OA、語音、視頻在內的多個業(yè)務系統(tǒng)混合傳輸，實現(xiàn)各業(yè)務系統(tǒng)間的安全隔離并保證各業(yè)務系統(tǒng)的服務質量。改造后網絡物理結構仍為縱向樹型，并采取雙核心、雙歸屬的高可靠性設計，全網采用MPLS VPN技術實現(xiàn)所有業(yè)務基于一個統(tǒng)一的物理傳輸平臺，并實現(xiàn)統(tǒng)一管理、統(tǒng)一備份、負載均衡。網絡采用MPLS技術組網，從邏輯上根據(jù)業(yè)務系統(tǒng)的不同分為郵政業(yè)務、視頻、OA、金融業(yè)務等幾個縱向VPN，每個VPN之間相當于在二層隔離，各自擁有獨立的IP地址空間。省、市均配備兩臺廣域網路由器作為MPLS網絡的PE設備，通過租用運營商的SDH電路連接，骨干網不單獨設置P設備，通過PE設備完成為各個業(yè)務系統(tǒng)的數(shù)據(jù)報文封裝、交換和拆封MPLS標簽。在省、市中心直接通過廣域網路由器不同物理以太口下掛各業(yè)務系統(tǒng)的交換機，作為各自的CE設備，要求方案中省市局域網核心交換機支持通過Multi－VRF方式擴展VPN?？傮w結構圖如下圖： 骨干鏈路設計骨干網上目前運行的業(yè)務主要有電子匯兌、電子化支局、郵區(qū)中心局、速遞等，以“終端－前置機”模式的實時聯(lián)機業(yè)務為主。根據(jù)集團公司的文件《關于郵政信息網內省內網建設工作的指導意見》（中國郵政【2007】520號文件）要求，下一步將有大量基于B/S模式的應用系統(tǒng)上線，省內骨干網的通信帶寬最低要求為主干32Mbps，備份線路22Mbps。因此，建議初期保持現(xiàn)有骨干網主用2M電路暫時不變