【文章內(nèi)容簡介】 其它二級節(jié)點(diǎn)設(shè)備及核心交換機(jī)通信。 我們建議在每個 POP 點(diǎn)組成 BAMS GATEKEEPER 集群，分別作為多個小區(qū)及大用戶的控制網(wǎng)關(guān)。 BAMS GATE KEEPER 是整個系統(tǒng)的核心控制模塊，它是用戶的接入控制節(jié)點(diǎn)。實(shí)現(xiàn)的功能有： 建立局域網(wǎng)和外部 Inter 之間的通道； 用戶訪問行為實(shí)時控制； 控制用戶上下限帶寬； 實(shí)時采集用戶計費(fèi)數(shù)據(jù)； 用戶身份反向解析服務(wù)（根據(jù)用戶連接外部主機(jī)時的 IP 地址、端口和協(xié)議確認(rèn)用戶的身份 ）； 實(shí)時監(jiān)測數(shù)據(jù)采集； 對某些 IP 協(xié)議（如 , 等）進(jìn)行支持?jǐn)U展。 北京瑞斯康達(dá)科技發(fā)展有限公司 13 網(wǎng)絡(luò)拓?fù)鋱D如下： 路由規(guī)劃 路由協(xié)議的選擇 大型路由網(wǎng)絡(luò)中需選擇適當(dāng)?shù)穆酚蓞f(xié)議，仔細(xì)的地址和路由規(guī)劃，對于優(yōu)化整個網(wǎng)絡(luò)的性能，保證網(wǎng)絡(luò)的擴(kuò)展性，健壯性具有非常重要的意義。電信 IP網(wǎng)絡(luò)具有接入點(diǎn)多，應(yīng)用復(fù)雜，容量要求高等特點(diǎn)。因此，在寬帶 IP網(wǎng)絡(luò)方案中應(yīng)該非常重視路由的優(yōu)化。 ? 路由協(xié)議選擇 路由協(xié)議有兩種基本類型：域內(nèi)路由和域間路由。主要的域內(nèi)路由協(xié)議有 OSPF，ISIS， RIP/RIP2等，主要的域 間路由協(xié)議有 BGP， EGP等。 域間路由協(xié)議應(yīng)用于不同的自治域之間，一般是在不同的服務(wù)供應(yīng)商之間互連時采用。同一服務(wù)商路由器之間的信息交換則一般采用內(nèi)部路由協(xié)議。而寬帶 IP網(wǎng)絡(luò)與省網(wǎng)、Inter的接入可以采用 BGP協(xié)議。 北京瑞斯康達(dá)科技發(fā)展有限公司 14 瑞斯康達(dá)公司提供的 RS系列交換路由器 均支持 RIP/RIPv2， OSPF， BGP4,ISIS等 IP路由協(xié)議； IPX路由協(xié)議支持 RIP， SAP；并支持 IGMP， DVMRP， PIMDM， PIMSM等多點(diǎn)廣播協(xié)議。均以線速實(shí)現(xiàn)各種路由協(xié)議。 OSPF 是基于 Link_State 的路由協(xié) 議。在每個 HOP 上都定義了一個 COST， OSPF 認(rèn)為 COST 之和最小的路徑為最好。 OSPF 協(xié)議具有下面的特點(diǎn) ： ? 分層路由結(jié)構(gòu)，支持路由匯聚 (route summary)，支持的路由器數(shù)量在實(shí)際網(wǎng)絡(luò)環(huán)境中沒有限制，適合大型網(wǎng)絡(luò)的要求。 ? 完全基于標(biāo)準(zhǔn)的解決方案 ? 極強(qiáng)的容錯能力，支持復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。 ? 快速的收斂時間， OSPF 分層路由方式能將路由的變化對整體網(wǎng)絡(luò)路由結(jié)構(gòu)的影響限制在最小的范圍內(nèi)。 ? 基于 OSPF協(xié)議的上述特點(diǎn)，本方案選用 OSPF路由協(xié)議作為核心路由協(xié)議。 ? 為了充分獲得 OSPF 的優(yōu)點(diǎn)，必須進(jìn)行 合理的區(qū)域的劃分和地址規(guī)劃。 ? OSPF區(qū)域劃分 OSPF 區(qū)域劃分一般遵循下面的經(jīng)驗(yàn)法則 ： ? OSPF 邏輯域的劃分和物理區(qū)域的劃分盡量一致 ? 每個區(qū) (Area)的路由器不超過 50 個 ? 一個區(qū)邊界路由器 (ABR)連接不超過 5 個 Area。 根據(jù)上述的原則，以各 核心 層路由器作為 Backbone 域，各接入層路由器以各自域加入 Backbone 域，在路由的優(yōu)化方面，仔細(xì)規(guī)劃各接入層路由器的 IP 地址，以方便實(shí)現(xiàn) OSPF 路由的匯聚。減少路由表的大小。采用 OSPF 之間的多路徑冗余。 實(shí)現(xiàn)路由的容錯能力。 在寬帶 IP 城域網(wǎng)絡(luò)中與 Inter 的連接建議選擇業(yè)界標(biāo)準(zhǔn)的 BGP－ 4路由協(xié)議。 北京瑞斯康達(dá)科技發(fā)展有限公司 15 IP 地址分配 IP 地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。其與網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織、路由規(guī)劃有非常密切的關(guān)系。在地址分配過程中，主要考慮以下原則： ◆ IP 地址應(yīng)由統(tǒng)一的網(wǎng)管中心分配使用。 IP 地址的規(guī)劃與劃分應(yīng)該考慮網(wǎng)絡(luò)的未來的發(fā)展。 ◆ IP 地址的分配必須采用 VLSM 技術(shù)，保證 IP 地址的利用效率。 ◆采用 CIDR 技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由收斂速度。 北京瑞斯康達(dá)科技發(fā)展有限公司 16 3 網(wǎng)絡(luò)應(yīng)用 業(yè)務(wù)分類 IP城域?qū)拵ЬW(wǎng)可以提 供多種業(yè)務(wù)。在本期網(wǎng)絡(luò)設(shè)計中，可以提供的業(yè)務(wù)有： 虛擬專網(wǎng)業(yè)務(wù) 通過虛擬專網(wǎng)可以實(shí)現(xiàn)廣域網(wǎng)辦公系統(tǒng)，實(shí)現(xiàn)省、市、縣各級政府機(jī)關(guān)之間的的文件傳遞、信息傳遞、多媒體信息交換、值班應(yīng)急系統(tǒng)、信息發(fā)布、相互查詢信息資源等辦公功能。 視頻會議業(yè)務(wù) 網(wǎng)絡(luò)平臺支持視頻會議業(yè)務(wù)，支持以單個縱向網(wǎng)或橫向網(wǎng)為單位開展桌面視頻會議。 電子郵件業(yè)務(wù) 網(wǎng)絡(luò)平臺支持電子郵件業(yè)務(wù)。 信息發(fā)布業(yè)務(wù) 支持通過 服務(wù)器將公共信息發(fā)布到網(wǎng)上。 為受眾與信息源溝通，提供介質(zhì)。 VLAN業(yè)務(wù) 廣電城域網(wǎng)面對各系統(tǒng)用戶中，位于不同位置的同類部門之 間的數(shù)據(jù)訪問，需要跨過骨干的 VLAN 的支持?？紤]到網(wǎng)絡(luò)的性能， RS 系列交換路由器還提供將 VLAN 映射到 MPLS 通道的功能。 瑞斯康達(dá)公司提供的 RS 系列交換路由器 支持多種 VLAN 功能，包括標(biāo)準(zhǔn)的 VLAN 支持及 Riverstone 專有的 Stackable VLAN 功能，此外， 北京瑞斯康達(dá)科技發(fā)展有限公司 17 Riverstone 支持將 VLAN 映射到 MPLS 的 LSP 的功能。 Riverstone 也支持基于協(xié)議的 VLAN 及動態(tài) VLAN。 基于標(biāo)準(zhǔn)的 VLAN，該 VLAN 為業(yè)備標(biāo)準(zhǔn)的支持跨交換機(jī)的 VLAN。 1. Stackable VLAN 可堆疊 VLAN 通過允許在一個以太網(wǎng)幀上攜帶兩個 VLAN 頭而允許進(jìn)行 VLAN 的堆疊，使得 VLAN 的總數(shù)超出了 VLAN 4096 個的限制，而達(dá)到的 4096*4096 個總共 1600 萬個。同時，多個 VLAN 現(xiàn)在能夠被復(fù)用到一個核心 VLAN（ Core VLAN）內(nèi)，通過屬性注冊協(xié)議（ GARP）及 GARP VLAN 注冊協(xié)議（ GVRP）能夠被用于通過主干網(wǎng)自動供應(yīng) VLAN。 2. Riverstone 支持 VLAN 到 MPLS LSP 的映射 RS 系列路由器 通過將 VLAN tag 映射到 MPLS 的隧道， 使的 VLAN 終接于 MPLS 路由器。 VLAN 不再穿過主干路由器。極大地增加的 VLAN 的可擴(kuò)充性。 (如圖 ) 北京瑞斯康達(dá)科技發(fā)展有限公司 18 VPN業(yè)務(wù) 基于隧道的 IP VPN 解決方案 隨著分組交換上 ATM、 IP 等技術(shù)的發(fā)展，基于包交換和傳送的虛擬網(wǎng)絡(luò)技術(shù)開始大規(guī)模投入使用。虛擬專用網(wǎng)就是利用公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施為企業(yè)各部門提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù)，虛擬專用網(wǎng)可以利用 IP 網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)和 ATM 網(wǎng)絡(luò)來建設(shè)，它能夠使運(yùn)行在虛擬專用網(wǎng)之上的網(wǎng)絡(luò)應(yīng)用享有和專用網(wǎng)絡(luò)同樣的安全性、可靠性、優(yōu)先級別和可管理性。由于虛擬專用網(wǎng)可以為用戶提供方便、廉價的遠(yuǎn)程訪問，特別是對于使用幀中繼、 DDN專線或撥號方式接人的用戶來說，基于虛擬專用網(wǎng)的花費(fèi)很小。因此，虛擬專用網(wǎng) (VPN)業(yè)務(wù)的應(yīng)用將越來越廣泛。 VPN 技術(shù)使企業(yè)專用網(wǎng)可以安全地擴(kuò)展到 Inter 或其他的網(wǎng)絡(luò)服務(wù)上去，促進(jìn)了安全電子商務(wù)的發(fā)展，便于實(shí)現(xiàn)企業(yè)與商業(yè)伙伴、供應(yīng)商和客戶的外部網(wǎng)連接。的 VPN 解決方案使用經(jīng)濟(jì)有效的、更加靈活的服務(wù)供應(yīng)商連接，實(shí)現(xiàn)了可靠 性、高性能和傳統(tǒng) WAN 環(huán)境所具有的安全特性。 基于加密的 VPN技術(shù) IPSec VPN 的實(shí)現(xiàn)主要包括兩個方面的內(nèi)容：封裝和加密。封裝隧道技術(shù)基本上有兩種實(shí)現(xiàn)方式： L2Tunneling 以及 L3Tunneling。 L2Tunneling 是將用戶數(shù)據(jù)包第 2 層 (包括第 2 層 )以上的整個信息包括如 PPP 幀頭， IP 包頭，TCP 包頭，以及用戶數(shù)據(jù)完全打包到 VPN 傳輸網(wǎng)的 IP 數(shù)據(jù)中，在 IP 主干網(wǎng)中傳輸?shù)乃淼兰夹g(shù)。主要的 L2Tunneling 協(xié)議包括 L2TP， L2F， PPTP 等。L3Tunneling 則只是將用戶數(shù)據(jù)第 3 層以上的信息打包到主干網(wǎng) IP 包中，主要的 L3Tunneling 協(xié)議包括 Ipsec, MobileIP 等技術(shù)。 北京瑞斯康達(dá)科技發(fā)展有限公司 19 通過隧道技術(shù)的實(shí)施， VPN 用戶可以得到下面的好處： 用戶可以使用私有的 IP 地址空間而不需要在連網(wǎng)時改變自己的地址規(guī)劃，同時因?yàn)樗接械刂穼簿W(wǎng)上的其他用戶而言是不可見的，這也增加了用戶網(wǎng)絡(luò)的安全性。 在隧道中用戶可以運(yùn)行多種網(wǎng)絡(luò)協(xié)議如 IPX， AppleTalk 等，用戶基于這些網(wǎng)絡(luò)協(xié)議的應(yīng)用可以繼續(xù)使用而不需要淘汰。 寬帶 IP 服務(wù)網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)可以各種運(yùn)行自己的路由協(xié)議而互不干擾。 目前，基于 加密的 VPN 性能越來越高，也出現(xiàn)了采用 ASIC 芯片來完成加密解密過程的 VPN 設(shè)備，從而使性能得到很大的提高。 RS router 支持以上這種 VPN 實(shí)現(xiàn)模式。 在具體的實(shí)施中，通常會按需求可能多種方式并用。如大企業(yè)可采取基于加密的 VPN實(shí)現(xiàn)，在企業(yè)總部放置支持 VPN 隧道數(shù)較多的 VPN 設(shè)備，在各分支點(diǎn)采用 VPN 隧道數(shù)相對較少的 VPN 設(shè)備。 北京瑞斯康達(dá)科技發(fā)展有限公司 20 IPSEC提供三種不同的形式來保護(hù)通過公有或私有 IP網(wǎng)絡(luò)來傳送的私有數(shù)。 認(rèn)證 —— 作用是可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時 可以確定申請發(fā)送者在實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的。 數(shù)據(jù)完整 —— 作用是保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。 機(jī)密性 —— 作用是使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。 在 IPSEC由三個基本要素來提供以上三種保護(hù)形式：認(rèn)證協(xié)議頭（ AH）、安全加載封裝（ ESP）和互聯(lián)網(wǎng)密匙管理協(xié)議（ IKMP）。認(rèn)證協(xié)議頭和安全加載封裝可以通過分開或組合使用來達(dá)到所希望的保護(hù)等級。 認(rèn)證協(xié)議頭（ AH）是在所有數(shù)據(jù)包頭加入一個密 碼。正如整個名稱所示， AH通過一個只有密匙持有人才知道的 “數(shù)字簽名 ”來對用戶進(jìn)行認(rèn)證。這個簽名是數(shù)據(jù)包通過特別的算法得出的獨(dú)特結(jié)果； AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測出來。不過由于 AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機(jī)密性。兩個最普遍的 AH標(biāo)準(zhǔn)是 MD5和 SHA1， MD5使用最高到 128位的密匙，而 SHA1通過最高到 160位密匙提供更強(qiáng)的保護(hù)。 安全加載封裝（ ESP）通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來嚴(yán)格保證傳輸信息 的機(jī)密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，因?yàn)橹挥惺苄湃蔚挠脩魮碛忻艹状蜷_內(nèi)容。 ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。最主要的 ESP標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)（ DES）， DES最高支持 56位的密匙，而 3DES使用三套密匙加密，那就相當(dāng)于使用最高到 168位的密匙。由于 ESP實(shí)際上加密所有的數(shù)據(jù)，因而它比 AH需要更多的處理時間，從而導(dǎo)致性能下降。 密匙管理包括密匙確定和密匙分發(fā)兩個方面，最多需要四個密匙： AH和 ESP各兩個發(fā)送和接收密匙。密匙 本身是一個二進(jìn)制字符串，通常用十六進(jìn)制表示，例如，一個 56位的密匙可以表示為 5F39DA752E0C25B4。注意全部長度總共是 64位，包括了 8位的奇偶校驗(yàn)。 56位的密匙（ DES）足夠滿足大多數(shù)商業(yè)應(yīng)用了。密匙管理包括手工和自動兩種方式，手工管理系統(tǒng)在有限的安全需要可以工作得很好，而自動管理系統(tǒng)能滿足其他所有的應(yīng)用要求。 使用手工管理系統(tǒng)，密匙由管理站點(diǎn)確定然后分發(fā)到所有的遠(yuǎn)程用戶。真實(shí)的密匙可以用隨機(jī)數(shù)字生成器或簡單的任意拼湊計算出來，每一個密匙可以根據(jù)集團(tuán)的安全政 北京瑞斯康達(dá)科技發(fā)展有限公司 21 策進(jìn)行修改。 使用自動管理系統(tǒng) ，可以動態(tài)地確定和分發(fā)密匙，顯然和名稱一樣，是自動的。自動管理系統(tǒng)具有一個中央控制點(diǎn)，集中的密匙管理者可以令自己更加安全，最大限度的發(fā)揮 IPSEC的效用。 IPSEC的實(shí)現(xiàn)方式 IPSEC的一個最基本的優(yōu)點(diǎn)是它可以在共享網(wǎng)絡(luò)訪問設(shè)備，甚至是所有的主機(jī)和服務(wù)器上完全實(shí)現(xiàn)，這很大程度避免了升級任何網(wǎng)絡(luò)相關(guān)資源的需要。在客戶端， IPSEC架構(gòu)允許使用在遠(yuǎn)程訪問介入路由器或基于純軟件方式使用普通 MODEM的 PC機(jī)和工作站。而 ESP通過兩種模式在應(yīng)用上提供更多的彈性：傳送模式和隧道模式。 IPSEC Packet 可以在壓縮原始 IP地址和數(shù)據(jù)的隧道模式使用 傳送模式通常當(dāng) ESP在一臺主機(jī)（客戶機(jī)或服務(wù) 器 ）上實(shí)現(xiàn)時使用，傳送模式使用原始明文 IP頭，并且只加密數(shù)據(jù)，包括它的 TCP和 UDP頭。 隧道模式通常當(dāng) ESP在關(guān)聯(lián)