【文章內容簡介】 3 2M 間平滑變動。在省中心與地市之間利用其它運營商的 2M E1 線路備份組網，提高網絡的可靠性。 優(yōu)點： SDH 線路承載 IP 業(yè)務效率高，組網結構簡單、維護方便，安全性高；覆蓋范圍廣泛、運營商廣泛支持，服務好，技術非常成熟，通過電信捆綁信道數，可以根據實際需要選 擇帶寬，降低線路租用費用，一定程度降低運行費用，且?guī)捒梢云交壍?155M。 缺點：點到點連接對中心設備端口要求多，而且一般設備 CPOS接口比較貴，會增加設備投資；運營商開展這個業(yè)務需要附加設備，初裝費用比較高；實施備份組網需要再拉線路。 專網廣域網 IP OVER SDH線路組網方案分析 IP OVER SDH 線路組網方式如下圖 49 所示： 圖 39 組網說明： 在物理上廣域網各節(jié)點使用運營商綜合傳輸設備提供的 IP OVER SDH 線路，主要提供 100M 以太網接口。中 心節(jié)點路由設備需要 支持 100M 以太網路由口，通過多條 100M 以太網線路與運營商 SDH 網相連，每個接口與地市節(jié)點間點到點對接；下面地市分別采用 1 個100M 以太網路由口與本地運營商 SDH 網相連；節(jié)點間實際通信帶寬可以通過運營商捆綁的 2M 通道數，在 1 2M－ 48 2M 間平滑變動。在省中心與地市之間利用其它運營商的 2M E1 線路備份組網，提高網絡的可靠性。 優(yōu)點： IP OVER SDH 線路 ,承載效率高，接口為 100 BaseFX,投資節(jié)省，技術成熟，維護方便，組網結構簡單，安全性高；通過運營商捆綁 SDH 的信道數 ，可以根據實際需要選擇帶寬（ 1 2M－ 482M），降低線路租用費用，一定程度降低運行費用，且有效帶寬可以平滑升級到 96M，保證將來對帶寬的需要。 缺點：點到點連接對中心設備端口要求多，會增加設備投資；運營商支持不是很多，不利于競爭談判降低線路費用；點到點之間互聯不能象 PPP OVER POS 線路提供 PAP/CHAP 認證 ,最終能提供的最高帶寬沒有 POS 線路高；實施備份組網需要再拉線路。 在充分研究 了目前業(yè)界對設計一個廣域 網 (WAN) 所采用的各種網絡主干技術，并充分考慮到營運網絡主干技術發(fā)展的主流和趨 勢后，建議： 如果從運營成本考慮，物理傳輸平臺可以使用 155M ATM線路，其按照 PVC計費有利于初期流量小時降低運行費用；但其承載效率比較低，對一些業(yè)務（如 IP電話）帶寬占用會急劇增加，每 BIT承載成本與其它線路比也沒有優(yōu)勢，以后擴容將會受到限制，如果以后流量增大，需要更多帶寬時， ATM運行成本會比 POS高； 從技術發(fā)展前景及傳輸效率考慮，物理傳輸平臺也可以采用 POS 線路技術 ,其承載效率高，安全性好 ,帶寬高 ,可實現線路備份 ,可擴展性強，是運營商發(fā)展方向，具有多家運營線路，有利于降低綜合成本，所以 建議采用 POS技術 ； 另外，也可以采用 100M 以太接口連接的 IP OVER SDH組網， 設備費用、線路租用費用均會較低，但最終在同一光纖、接口資源上提供的帶寬沒有 POS 線路的高。 邏輯網絡連接上采用最終可向環(huán)帶鏈的組網拓撲發(fā)展。在將來的目標網絡中建議重要節(jié)點如 XX 與九江等地采用環(huán)形連接，其余節(jié)點采用樹型連接的組網方式，這樣既可以節(jié)省費用，冗余性也得以保障?？稍诒ＷC網絡的傳輸性能的情況下，又節(jié)省費用。在本期暫時只考慮省中心節(jié)點的冗余設計即上圖的 R1 處實際有兩個路由器，其他節(jié)點按負荷分擔原則，連到中心的兩個節(jié)點。 具體實施可以采用核心高端路由器 R1上的 POS 口連接，這種技術可讓 IP 數據包直接在光纖上傳輸，既大大提高在以 IP 應用為主的網絡傳輸的效率和性能，又不額外添 加光纖終端設備。 第一期工程的實施中， XX 節(jié)點作為地市使用 1000M 的以太網接入專網，而其它的地市 R R3 等可以使用 POS 155M 接入； 另外，如果考慮專網流量相對較小， E1 線路捆綁可以降低運行費用，但會增加故障點。 在骨干節(jié)點可以采用現代光纖傳輸技術 POS，可以基于標準的 SDH 設備實現硬件級的環(huán)路保護。 在省中心與地市節(jié)點之間 采用其它運營商提供的專用線路（如 2M E1）作為備份，可以進一步提高網絡的可靠性， XX 節(jié)點采用 FE 光纖接入骨干網核心路由器作為備份。 路由技術上采用 EBGP、 OSPF、 RIP、靜態(tài)路由協議并加入 MPLS，構成 MPLS VPN 網絡。并劃分若干自治區(qū)域，便于管理和減少路由發(fā)布的數量和規(guī)模。同時每個區(qū)域的邊界路由器作為 MPLS 網絡的 PE 設備，并在上面劃分VPN，做到 VPN 間的信息嚴格隔離。 省、地市的 PE 間互聯采用租賃電信 155M POS 電路資源的式進行互聯?？h級 PE 與地市之間，由于 POS 骨干網不完全 覆蓋到縣，因此可利用縣與地市間的 E1 傳輸線路，將縣 PE 通過 14 條 E1 線路直接接入到地市 SDH 光傳輸設備的 E1 接口上，實現互聯，同時各條 E1 間可采用路由負載分擔。 根據本項目一期建設的實際情況，主干節(jié)點只有 1 個節(jié)點，主干結點與匯聚節(jié)點之間的采用 1000M 光纖以太網。考慮到網絡以后的擴展性，骨干節(jié)點的選型應具有平滑的向光纖技術過渡的能力。 必須考慮到將來政務網向縣級擴展，地市設備要作為縣級擴展的中心接入節(jié)點，需要預留將來的擴展插槽及能力，縣級網絡線路主要 E1 使用及捆綁。 依據上述考慮建議采用華 為公司高可靠、高性能的 Quidway NE 系列路由器組建專網廣域骨干網。建議采用兩臺 NE80 GSR 作為省中心接入，兩臺 NE80 之間采用 GE 口通過光纖連接，今后業(yè)務量增加可以采用兩個 GE口捆綁后再連接，一臺 NE80 接入 4 個數據量較大的地市，另一臺接入其他地市，省平臺的城域網則與兩臺 NE80 都連接。 Quidway NE80 超過 72 MPPs 的轉發(fā)能力，提供各種線速端口，支持 POS/ATM/FE/GE 等接口以及 MPLS VPN 等技術。 建議在各地市（包括 XX）采用 NE16E 作為專網地市廣域網的互聯設 備 ， NE16E 提 供 超 過 Mpps 的 轉 發(fā) 性 能 、 支 持POS\CPOS\ATM\GE\E1 等接口。 NE 系列路由器使用電信級 VRP 軟件，支持 RIP\OSPF\BGP 等標準路由器協議，支持 MPLS VPN，支持熱插拔、關鍵部件冗余等可靠性特性，滿足專網的高性能、高帶寬、高可靠應用需求。 建議采用一臺 NE16E 作為中心節(jié)點備份路由器，加插足夠的 E1 接口模塊，各地市的 NE16E 路由器加插 E1 模塊，這樣中心備份路由器通過 2M E1 線路與各地市建立備份連接。 XX 市通過 FE 光纖接口與備份路由器連接。專網網網絡結構下圖所示： 圖 310 專網城域骨干網互聯設計 城域網骨干層組網主要使用千兆以太網技術，組建高速的寬帶 IP網。 對于有多個骨干節(jié)點的 POP 點，如 XX，在骨干節(jié)點使用核心路由交換機，節(jié)點間組成環(huán)網可以提供路由保護及提高可靠性，如圖 10所示，一級節(jié)點。而對于只有一個骨干節(jié)點的 POP 點（大部分地市城域網、將來的縣級城域網）節(jié)點使用一臺核心交換機，下接多臺骨干交換機進行端口收斂，如下圖中的一個骨干節(jié)點（省政府）組網。 圖 311 組網說明： 在城域骨干網，由于網絡流量較大、接口較多，作為中心接入設備，高性能 的核心千兆路由交換機是必不可少的；當前可以在節(jié)點路由器上配置 MPLS， 劃分若干 VPN， 在每個 VPN 包含一個或若干Vlan，將來 核心交換機不僅要支持 VLAN 等特性，還需要將來能擴展支持 MPLS VPN 組網。 核心交換機構成城域骨干核心會聚和交換中心，同時通過 GE光口上連到廣域網骨干路由器，設置在省委和省信息中心的匯聚交換機通過 GE 光口互聯。核心匯聚為二級骨干節(jié)點及接入層提供 GE 的通道接口。 對于有二級骨干節(jié)點的城域網，在二級節(jié)點使用中心交換機，通過千兆上行到核心交換機互聯，并為接入層提供 100/1000M 以太網口的接入。 專網用戶層網絡結構設計 專網用戶層接入設計 對用戶接入層，考慮采用快速以太網接入方式實現對各單位用戶的接入服務。 在每個地市，寬帶城域網骨干層交換機與廣域網路由器之間用千兆以太網連接，而大量快速以太網絡接入則分別接到城域網的匯聚點內的交換機上，利用第三層網絡交換機實現虛擬網間的通訊隔離和分布式處理。對于距離超過 500m 的用戶，建議采用光電轉換期延長以太網用戶的距離，最大可到 10 公里，實現以太網接入。用戶接入層和匯聚層交換機組成如下圖的拓樸結構。 接入層交換機每個端口 與地市各廳、局單位路由器或安全網關相連接。為了使不同廳、局單位的網絡完全隔開，交換機每個端口須獨占一個 Vlan，這樣，不同廳、局單位網絡在第二層實現了隔離。用戶接入層的交換機需要支持 協議。 圖 312 專網 VPN互聯設計 根據專網的建設目標，可以為某一系統(tǒng)提供專用的虛擬通信通 道，組建系統(tǒng)縱向的互聯網絡，以及橫向的公共服務訪問，如： －為省政府提供與各部門通信的辦公虛擬通道 －為省直各部門提供與部門內縱向通信的虛擬通道 －為 IP 電話服務提供公共的虛擬通信通道，并保證 IP 電話的QOS 要求。 － WWW 訪問服務等 即在橫向上要實現部門間的部分主機及應用的跨部門訪問（如WWW 訪問、 IP 電話等）；在縱向上實現各系統(tǒng)機要、國辦、中辦等部門的內部互聯。 為實現這些建設目標，保證政務網各系統(tǒng)的安全，必須要為各系統(tǒng)的網絡互聯提供安全隔離及網絡服務質量保證，使用 MPLS VPN 及VLAN 技術是在 IP 網上解決這種安全隔離的最好手段。 城域網橫向互訪 VPN 構建 ：在專網城域網中，使用 VPN 技術來進行各系統(tǒng)的網絡隔離及特殊應用的橫向訪問互通，保證網絡安全，如下圖所示，橫向互訪的有 IP 電話、共享 WWW 訪 問等。以 IP 電話互通訪問來說明本地橫向 VPN 的組網。 城域網內，對在本地有訪問要求的系統(tǒng)及應用，如 IP 電話網關及共享 WWW 訪問服務器，在本單位可與其他機器位于不同的 VLAN,實現了本地安全隔離，保證本地其它機器的安全。 在城域網不同的網絡節(jié)點，這些需要橫向互訪的主機（ IP 電話網關）設備也分屬于不同的 VLAN，如在省委與外貿廳，這些主機是位于不同的 VLAN 的，這樣避免了在一個 VLAN 內有太多的主機；當然，如果 VPN 內沒有太多的主機，則可以將這些主機在城域網內設置在 1 個 VLAN 內，直接在二層互通，可以提 高網絡效率； 如果沒有任何路由措施，這些位于不同 VLAN 的主機是不能互通的； 在骨干網 PE 處（核心路由器），利用 MPLS 技術，將這些需要相互訪問的主機（ IP 電話網關）的 VLAN，引入到同一個 VPN(VPN1)內進行路由，從而實現在城域網內機要主機對機要服務器的互訪。而其它沒有被引入的 VLAN，如圖中審計廳 VLAN2 內的主機，不能訪問這個 VPN1 的成員的主機。 從而實現了城域網內的跨部門主機訪問，又防止對各單位內部不需要橫向訪問主機的安全性。 圖 313 城域網通過 VPN 實現橫向互通和隔離 縱向 VPN 構建 ：橫向 VPN 解決了城域網內的互通及安全隔離，在專網廣域網上，則要利用 MPLS VPN 組網實現各系統(tǒng)間縱向網絡的互聯，以及相互之間的安全隔離，如省委內部辦公主機地市與省之間的互聯、 IP 電話系統(tǒng)在省市之間的互聯等，如下圖所示。下面仍以IP 電話系統(tǒng)縱向訪問說明。 圖 314 廣域網通過 VPN 實現縱向互通和隔離 如圖所示，在城域網中，不同部門 IP 電話網關，如在外貿廳IP 電話網關位于 VLAN1 內，在省委 IP 電話網關則在 VLAN4 內；這些網關與其它部門主機相互隔離，確保不被非法訪問。 在 VLAN 統(tǒng)一的出口處，專網廣域網的 PE 設備，將各 IP 電話網關所在的 VLAN 引入到相應的 VPN 中，通過廣域網實現 VPN 內的互通。 如在省廳 IP 電話網關屬于 VLAN1，省委 IP 電話網關在 VLAN4，它們 VLAN 的出口網關 PE 處， PE 將 VLAN VLAN4 的路由信息引入到屬于 VPN1 的 VRF1 內，而數據則根據 VRF1 進行轉發(fā)路由，這樣可以實現 VLAN1 及 VLAN4 在本地的橫向互通； 同理，地市政府的 IP 電話網關在地市城域網屬于 VLAN11,在地市廣域網骨干節(jié)點 PE 處， PE 將 VLAN11 的路由信息引入到骨干網的VPN1 內；在廣域網內通過 VPN1 的轉發(fā)表 VRF1 進行路由、封裝和轉發(fā)，從而實現 IP 電話在地市與省之間的縱向互通； 由于 VPN1 只引入了公共 IP 電話網關所在的 VLAN，因此