【文章內(nèi)容簡介】 3 2M 間平滑變動。在省中心與地市之間利用其它運營商的 2M E1 線路備份組網(wǎng)，提高網(wǎng)絡(luò)的可靠性。 優(yōu)點： SDH 線路承載 IP 業(yè)務(wù)效率高，組網(wǎng)結(jié)構(gòu)簡單、維護方便，安全性高；覆蓋范圍廣泛、運營商廣泛支持，服務(wù)好，技術(shù)非常成熟，通過電信捆綁信道數(shù)，可以根據(jù)實際需要選 擇帶寬，降低線路租用費用，一定程度降低運行費用，且?guī)捒梢云交壍?155M。 缺點：點到點連接對中心設(shè)備端口要求多，而且一般設(shè)備 CPOS接口比較貴，會增加設(shè)備投資；運營商開展這個業(yè)務(wù)需要附加設(shè)備，初裝費用比較高；實施備份組網(wǎng)需要再拉線路。 專網(wǎng)廣域網(wǎng) IP OVER SDH線路組網(wǎng)方案分析 IP OVER SDH 線路組網(wǎng)方式如下圖 49 所示： 圖 39 組網(wǎng)說明： 在物理上廣域網(wǎng)各節(jié)點使用運營商綜合傳輸設(shè)備提供的 IP OVER SDH 線路，主要提供 100M 以太網(wǎng)接口。中 心節(jié)點路由設(shè)備需要 支持 100M 以太網(wǎng)路由口，通過多條 100M 以太網(wǎng)線路與運營商 SDH 網(wǎng)相連，每個接口與地市節(jié)點間點到點對接；下面地市分別采用 1 個100M 以太網(wǎng)路由口與本地運營商 SDH 網(wǎng)相連；節(jié)點間實際通信帶寬可以通過運營商捆綁的 2M 通道數(shù)，在 1 2M－ 48 2M 間平滑變動。在省中心與地市之間利用其它運營商的 2M E1 線路備份組網(wǎng)，提高網(wǎng)絡(luò)的可靠性。 優(yōu)點： IP OVER SDH 線路 ,承載效率高，接口為 100 BaseFX,投資節(jié)省，技術(shù)成熟，維護方便，組網(wǎng)結(jié)構(gòu)簡單，安全性高；通過運營商捆綁 SDH 的信道數(shù) ，可以根據(jù)實際需要選擇帶寬（ 1 2M－ 482M），降低線路租用費用，一定程度降低運行費用，且有效帶寬可以平滑升級到 96M，保證將來對帶寬的需要。 缺點：點到點連接對中心設(shè)備端口要求多，會增加設(shè)備投資；運營商支持不是很多，不利于競爭談判降低線路費用；點到點之間互聯(lián)不能象 PPP OVER POS 線路提供 PAP/CHAP 認(rèn)證 ,最終能提供的最高帶寬沒有 POS 線路高；實施備份組網(wǎng)需要再拉線路。 在充分研究 了目前業(yè)界對設(shè)計一個廣域 網(wǎng) (WAN) 所采用的各種網(wǎng)絡(luò)主干技術(shù)，并充分考慮到營運網(wǎng)絡(luò)主干技術(shù)發(fā)展的主流和趨 勢后，建議： 如果從運營成本考慮，物理傳輸平臺可以使用 155M ATM線路，其按照 PVC計費有利于初期流量小時降低運行費用；但其承載效率比較低，對一些業(yè)務(wù)（如 IP電話）帶寬占用會急劇增加，每 BIT承載成本與其它線路比也沒有優(yōu)勢，以后擴容將會受到限制，如果以后流量增大，需要更多帶寬時， ATM運行成本會比 POS高； 從技術(shù)發(fā)展前景及傳輸效率考慮，物理傳輸平臺也可以采用 POS 線路技術(shù) ,其承載效率高，安全性好 ,帶寬高 ,可實現(xiàn)線路備份 ,可擴展性強，是運營商發(fā)展方向，具有多家運營線路，有利于降低綜合成本，所以 建議采用 POS技術(shù) ； 另外，也可以采用 100M 以太接口連接的 IP OVER SDH組網(wǎng)， 設(shè)備費用、線路租用費用均會較低，但最終在同一光纖、接口資源上提供的帶寬沒有 POS 線路的高。 邏輯網(wǎng)絡(luò)連接上采用最終可向環(huán)帶鏈的組網(wǎng)拓?fù)浒l(fā)展。在將來的目標(biāo)網(wǎng)絡(luò)中建議重要節(jié)點如 XX 與九江等地采用環(huán)形連接，其余節(jié)點采用樹型連接的組網(wǎng)方式，這樣既可以節(jié)省費用，冗余性也得以保障?？稍诒ＷC網(wǎng)絡(luò)的傳輸性能的情況下，又節(jié)省費用。在本期暫時只考慮省中心節(jié)點的冗余設(shè)計即上圖的 R1 處實際有兩個路由器，其他節(jié)點按負(fù)荷分擔(dān)原則，連到中心的兩個節(jié)點。 具體實施可以采用核心高端路由器 R1上的 POS 口連接，這種技術(shù)可讓 IP 數(shù)據(jù)包直接在光纖上傳輸，既大大提高在以 IP 應(yīng)用為主的網(wǎng)絡(luò)傳輸?shù)男屎托阅?，又不額外添 加光纖終端設(shè)備。 第一期工程的實施中， XX 節(jié)點作為地市使用 1000M 的以太網(wǎng)接入專網(wǎng)，而其它的地市 R R3 等可以使用 POS 155M 接入； 另外，如果考慮專網(wǎng)流量相對較小， E1 線路捆綁可以降低運行費用，但會增加故障點。 在骨干節(jié)點可以采用現(xiàn)代光纖傳輸技術(shù) POS，可以基于標(biāo)準(zhǔn)的 SDH 設(shè)備實現(xiàn)硬件級的環(huán)路保護。 在省中心與地市節(jié)點之間 采用其它運營商提供的專用線路（如 2M E1）作為備份，可以進一步提高網(wǎng)絡(luò)的可靠性， XX 節(jié)點采用 FE 光纖接入骨干網(wǎng)核心路由器作為備份。 路由技術(shù)上采用 EBGP、 OSPF、 RIP、靜態(tài)路由協(xié)議并加入 MPLS，構(gòu)成 MPLS VPN 網(wǎng)絡(luò)。并劃分若干自治區(qū)域，便于管理和減少路由發(fā)布的數(shù)量和規(guī)模。同時每個區(qū)域的邊界路由器作為 MPLS 網(wǎng)絡(luò)的 PE 設(shè)備，并在上面劃分VPN，做到 VPN 間的信息嚴(yán)格隔離。 省、地市的 PE 間互聯(lián)采用租賃電信 155M POS 電路資源的式進行互聯(lián)。縣級 PE 與地市之間，由于 POS 骨干網(wǎng)不完全 覆蓋到縣，因此可利用縣與地市間的 E1 傳輸線路，將縣 PE 通過 14 條 E1 線路直接接入到地市 SDH 光傳輸設(shè)備的 E1 接口上，實現(xiàn)互聯(lián)，同時各條 E1 間可采用路由負(fù)載分擔(dān)。 根據(jù)本項目一期建設(shè)的實際情況，主干節(jié)點只有 1 個節(jié)點，主干結(jié)點與匯聚節(jié)點之間的采用 1000M 光纖以太網(wǎng)?？紤]到網(wǎng)絡(luò)以后的擴展性，骨干節(jié)點的選型應(yīng)具有平滑的向光纖技術(shù)過渡的能力。 必須考慮到將來政務(wù)網(wǎng)向縣級擴展，地市設(shè)備要作為縣級擴展的中心接入節(jié)點，需要預(yù)留將來的擴展插槽及能力，縣級網(wǎng)絡(luò)線路主要 E1 使用及捆綁。 依據(jù)上述考慮建議采用華 為公司高可靠、高性能的 Quidway NE 系列路由器組建專網(wǎng)廣域骨干網(wǎng)。建議采用兩臺 NE80 GSR 作為省中心接入，兩臺 NE80 之間采用 GE 口通過光纖連接，今后業(yè)務(wù)量增加可以采用兩個 GE口捆綁后再連接，一臺 NE80 接入 4 個數(shù)據(jù)量較大的地市，另一臺接入其他地市，省平臺的城域網(wǎng)則與兩臺 NE80 都連接。 Quidway NE80 超過 72 MPPs 的轉(zhuǎn)發(fā)能力，提供各種線速端口，支持 POS/ATM/FE/GE 等接口以及 MPLS VPN 等技術(shù)。 建議在各地市（包括 XX）采用 NE16E 作為專網(wǎng)地市廣域網(wǎng)的互聯(lián)設(shè) 備 ， NE16E 提 供 超 過 Mpps 的 轉(zhuǎn) 發(fā) 性 能 、 支 持POS\CPOS\ATM\GE\E1 等接口。 NE 系列路由器使用電信級 VRP 軟件，支持 RIP\OSPF\BGP 等標(biāo)準(zhǔn)路由器協(xié)議，支持 MPLS VPN，支持熱插拔、關(guān)鍵部件冗余等可靠性特性，滿足專網(wǎng)的高性能、高帶寬、高可靠應(yīng)用需求。 建議采用一臺 NE16E 作為中心節(jié)點備份路由器，加插足夠的 E1 接口模塊，各地市的 NE16E 路由器加插 E1 模塊，這樣中心備份路由器通過 2M E1 線路與各地市建立備份連接。 XX 市通過 FE 光纖接口與備份路由器連接。專網(wǎng)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下圖所示： 圖 310 專網(wǎng)城域骨干網(wǎng)互聯(lián)設(shè)計 城域網(wǎng)骨干層組網(wǎng)主要使用千兆以太網(wǎng)技術(shù)，組建高速的寬帶 IP網(wǎng)。 對于有多個骨干節(jié)點的 POP 點，如 XX，在骨干節(jié)點使用核心路由交換機，節(jié)點間組成環(huán)網(wǎng)可以提供路由保護及提高可靠性，如圖 10所示，一級節(jié)點。而對于只有一個骨干節(jié)點的 POP 點（大部分地市城域網(wǎng)、將來的縣級城域網(wǎng)）節(jié)點使用一臺核心交換機，下接多臺骨干交換機進行端口收斂，如下圖中的一個骨干節(jié)點（省政府）組網(wǎng)。 圖 311 組網(wǎng)說明： 在城域骨干網(wǎng)，由于網(wǎng)絡(luò)流量較大、接口較多，作為中心接入設(shè)備，高性能 的核心千兆路由交換機是必不可少的；當(dāng)前可以在節(jié)點路由器上配置 MPLS， 劃分若干 VPN， 在每個 VPN 包含一個或若干Vlan，將來 核心交換機不僅要支持 VLAN 等特性，還需要將來能擴展支持 MPLS VPN 組網(wǎng)。 核心交換機構(gòu)成城域骨干核心會聚和交換中心，同時通過 GE光口上連到廣域網(wǎng)骨干路由器，設(shè)置在省委和省信息中心的匯聚交換機通過 GE 光口互聯(lián)。核心匯聚為二級骨干節(jié)點及接入層提供 GE 的通道接口。 對于有二級骨干節(jié)點的城域網(wǎng)，在二級節(jié)點使用中心交換機，通過千兆上行到核心交換機互聯(lián)，并為接入層提供 100/1000M 以太網(wǎng)口的接入。 專網(wǎng)用戶層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 專網(wǎng)用戶層接入設(shè)計 對用戶接入層，考慮采用快速以太網(wǎng)接入方式實現(xiàn)對各單位用戶的接入服務(wù)。 在每個地市，寬帶城域網(wǎng)骨干層交換機與廣域網(wǎng)路由器之間用千兆以太網(wǎng)連接，而大量快速以太網(wǎng)絡(luò)接入則分別接到城域網(wǎng)的匯聚點內(nèi)的交換機上，利用第三層網(wǎng)絡(luò)交換機實現(xiàn)虛擬網(wǎng)間的通訊隔離和分布式處理。對于距離超過 500m 的用戶，建議采用光電轉(zhuǎn)換期延長以太網(wǎng)用戶的距離，最大可到 10 公里，實現(xiàn)以太網(wǎng)接入。用戶接入層和匯聚層交換機組成如下圖的拓樸結(jié)構(gòu)。 接入層交換機每個端口 與地市各廳、局單位路由器或安全網(wǎng)關(guān)相連接。為了使不同廳、局單位的網(wǎng)絡(luò)完全隔開，交換機每個端口須獨占一個 Vlan，這樣，不同廳、局單位網(wǎng)絡(luò)在第二層實現(xiàn)了隔離。用戶接入層的交換機需要支持 協(xié)議。 圖 312 專網(wǎng) VPN互聯(lián)設(shè)計 根據(jù)專網(wǎng)的建設(shè)目標(biāo)，可以為某一系統(tǒng)提供專用的虛擬通信通 道，組建系統(tǒng)縱向的互聯(lián)網(wǎng)絡(luò)，以及橫向的公共服務(wù)訪問，如： －為省政府提供與各部門通信的辦公虛擬通道 －為省直各部門提供與部門內(nèi)縱向通信的虛擬通道 －為 IP 電話服務(wù)提供公共的虛擬通信通道，并保證 IP 電話的QOS 要求。 － WWW 訪問服務(wù)等 即在橫向上要實現(xiàn)部門間的部分主機及應(yīng)用的跨部門訪問（如WWW 訪問、 IP 電話等）；在縱向上實現(xiàn)各系統(tǒng)機要、國辦、中辦等部門的內(nèi)部互聯(lián)。 為實現(xiàn)這些建設(shè)目標(biāo)，保證政務(wù)網(wǎng)各系統(tǒng)的安全，必須要為各系統(tǒng)的網(wǎng)絡(luò)互聯(lián)提供安全隔離及網(wǎng)絡(luò)服務(wù)質(zhì)量保證，使用 MPLS VPN 及VLAN 技術(shù)是在 IP 網(wǎng)上解決這種安全隔離的最好手段。 城域網(wǎng)橫向互訪 VPN 構(gòu)建 ：在專網(wǎng)城域網(wǎng)中，使用 VPN 技術(shù)來進行各系統(tǒng)的網(wǎng)絡(luò)隔離及特殊應(yīng)用的橫向訪問互通，保證網(wǎng)絡(luò)安全，如下圖所示，橫向互訪的有 IP 電話、共享 WWW 訪 問等。以 IP 電話互通訪問來說明本地橫向 VPN 的組網(wǎng)。 城域網(wǎng)內(nèi)，對在本地有訪問要求的系統(tǒng)及應(yīng)用，如 IP 電話網(wǎng)關(guān)及共享 WWW 訪問服務(wù)器，在本單位可與其他機器位于不同的 VLAN,實現(xiàn)了本地安全隔離，保證本地其它機器的安全。 在城域網(wǎng)不同的網(wǎng)絡(luò)節(jié)點，這些需要橫向互訪的主機（ IP 電話網(wǎng)關(guān)）設(shè)備也分屬于不同的 VLAN，如在省委與外貿(mào)廳，這些主機是位于不同的 VLAN 的，這樣避免了在一個 VLAN 內(nèi)有太多的主機；當(dāng)然，如果 VPN 內(nèi)沒有太多的主機，則可以將這些主機在城域網(wǎng)內(nèi)設(shè)置在 1 個 VLAN 內(nèi)，直接在二層互通，可以提 高網(wǎng)絡(luò)效率； 如果沒有任何路由措施，這些位于不同 VLAN 的主機是不能互通的； 在骨干網(wǎng) PE 處（核心路由器），利用 MPLS 技術(shù)，將這些需要相互訪問的主機（ IP 電話網(wǎng)關(guān)）的 VLAN，引入到同一個 VPN(VPN1)內(nèi)進行路由，從而實現(xiàn)在城域網(wǎng)內(nèi)機要主機對機要服務(wù)器的互訪。而其它沒有被引入的 VLAN，如圖中審計廳 VLAN2 內(nèi)的主機，不能訪問這個 VPN1 的成員的主機。 從而實現(xiàn)了城域網(wǎng)內(nèi)的跨部門主機訪問，又防止對各單位內(nèi)部不需要橫向訪問主機的安全性。 圖 313 城域網(wǎng)通過 VPN 實現(xiàn)橫向互通和隔離 縱向 VPN 構(gòu)建 ：橫向 VPN 解決了城域網(wǎng)內(nèi)的互通及安全隔離，在專網(wǎng)廣域網(wǎng)上，則要利用 MPLS VPN 組網(wǎng)實現(xiàn)各系統(tǒng)間縱向網(wǎng)絡(luò)的互聯(lián)，以及相互之間的安全隔離，如省委內(nèi)部辦公主機地市與省之間的互聯(lián)、 IP 電話系統(tǒng)在省市之間的互聯(lián)等，如下圖所示。下面仍以IP 電話系統(tǒng)縱向訪問說明。 圖 314 廣域網(wǎng)通過 VPN 實現(xiàn)縱向互通和隔離 如圖所示，在城域網(wǎng)中，不同部門 IP 電話網(wǎng)關(guān)，如在外貿(mào)廳IP 電話網(wǎng)關(guān)位于 VLAN1 內(nèi)，在省委 IP 電話網(wǎng)關(guān)則在 VLAN4 內(nèi)；這些網(wǎng)關(guān)與其它部門主機相互隔離，確保不被非法訪問。 在 VLAN 統(tǒng)一的出口處，專網(wǎng)廣域網(wǎng)的 PE 設(shè)備，將各 IP 電話網(wǎng)關(guān)所在的 VLAN 引入到相應(yīng)的 VPN 中，通過廣域網(wǎng)實現(xiàn) VPN 內(nèi)的互通。 如在省廳 IP 電話網(wǎng)關(guān)屬于 VLAN1，省委 IP 電話網(wǎng)關(guān)在 VLAN4，它們 VLAN 的出口網(wǎng)關(guān) PE 處， PE 將 VLAN VLAN4 的路由信息引入到屬于 VPN1 的 VRF1 內(nèi)，而數(shù)據(jù)則根據(jù) VRF1 進行轉(zhuǎn)發(fā)路由，這樣可以實現(xiàn) VLAN1 及 VLAN4 在本地的橫向互通； 同理，地市政府的 IP 電話網(wǎng)關(guān)在地市城域網(wǎng)屬于 VLAN11,在地市廣域網(wǎng)骨干節(jié)點 PE 處， PE 將 VLAN11 的路由信息引入到骨干網(wǎng)的VPN1 內(nèi)；在廣域網(wǎng)內(nèi)通過 VPN1 的轉(zhuǎn)發(fā)表 VRF1 進行路由、封裝和轉(zhuǎn)發(fā)，從而實現(xiàn) IP 電話在地市與省之間的縱向互通； 由于 VPN1 只引入了公共 IP 電話網(wǎng)關(guān)所在的 VLAN，因此