【導讀】廣西廣電綜合業(yè)務數(shù)據(jù)網(wǎng)技術(shù)建議書

　　

【正文】 地管理龐大的域名體系。 建議在 廣西廣電綜合數(shù)據(jù)網(wǎng) 中引入 DNS 服務請求記錄機制，以便在需要時記錄服務器接收到的每一個請求，供分析網(wǎng)絡服務狀態(tài)及對潛在的網(wǎng)絡安全事件進 廣西廣電綜合業(yè)務數(shù)據(jù)網(wǎng)技術(shù)建議書 第 25 頁 行必要的追蹤和響應。但是在應用這一特殊功能時，應要求相應的技術(shù)人員具備足夠的技術(shù)準備。 建議 廣西廣電綜合數(shù)據(jù)網(wǎng) 在維護中強化對域名服務器備份數(shù)據(jù)的限制，防止非法數(shù)據(jù)備份對網(wǎng)絡帶寬及域名服務造成影 響。 根據(jù)對網(wǎng)絡實際運行時用戶行為的經(jīng)驗，我們還建議在 廣西廣電綜合數(shù)據(jù)網(wǎng)中強化域名服務器安全域解析條件，限制域名服務器對地址解析請求的響應方式及響應范圍，從而進一步保護全網(wǎng)域名服務體系不受用戶誤操作的影響，限制潛在的惡意攻擊的影響范圍和程度。 服務質(zhì)量保證 網(wǎng)絡的 QoS 服務保證需要端到端的解決。目前在 IP 寬帶網(wǎng)領(lǐng)域，端到端 QoS方案解決的比較好的是 Cisco 提出的 OoS 方案。 QoS 實現(xiàn)的核心技術(shù)包括 MPLS（ Tag Switching）、 Integrated Service 和 Differentiated Service。這三種技術(shù)在 IETF 中都有專門的小組在討論。 MPLS 的主要思想是：復雜的多域報文分析和分類主要由邊緣設備一次性完成，并為它們分配相應的索引性質(zhì)的標記，以后就按標記轉(zhuǎn)發(fā)，以提高效率。對于不同的鏈路層協(xié)議，標記有不同的傳遞方式：在 ATM 網(wǎng)絡中， VPI/VCI 被用來作為標記；在 PPP 中，標記被放在鏈路層和網(wǎng)絡層的報文頭之間；在局域網(wǎng)中，標記被放在 MAC 頭之后。每個標記路由器根據(jù)標記值對其代表的業(yè)務類別作出本地獨立的決策；這種標記值與本地轉(zhuǎn)發(fā)類別的關(guān)聯(lián)稱為標記捆綁。每個標記路由器通過專門的標記分布 協(xié)議（ LDP）指示它的鄰居它所作出的標記捆綁。通常有三種標記分布方法：下行標記分配、按需下行標記分配和上行標記分配。注意，標記代表一個轉(zhuǎn)發(fā)類別，而不是代表一個特定的網(wǎng)絡路徑；網(wǎng)絡路徑的選擇需要通過第三層路由協(xié)議完成。標記交換還可用于流量工程；通過建立標記交換路徑通道，在進行路由選擇之前指定特定路徑來有效利用網(wǎng)絡資源。 Integrated Service 的主要思想是：采用類似 ATM 的 SVC 的方法，在發(fā)送者和接收者之間建立單個流的資源預留（ RSVP）信令，在用戶使用資源之前按照具體需求向網(wǎng)絡申請相應的資源，這 個申請需要端到端的整個路徑的實施。Integrated Service 提供三類業(yè)務：保證業(yè)務（包括帶寬、時延和丟失率保證）、 廣西廣電綜合業(yè)務數(shù)據(jù)網(wǎng)技術(shù)建議書 第 26 頁 負載控制業(yè)務和盡力轉(zhuǎn)發(fā)業(yè)務。在 Integrated Service 模型下，主機和路由器具有以下邏輯結(jié)構(gòu)： 圖 .1： Integrated Service 通信模型 Differentiated Service 的主要思想是，通過上游節(jié)點標記 IP 報頭的 DS域（即原來的 ToS 字節(jié)）來分別不同的業(yè)務等級，下游節(jié)點根據(jù)該標記來采用不同優(yōu)先調(diào)度權(quán)的處理。這樣，繁雜的業(yè)務等級劃分可以主要網(wǎng)絡的接入點根 據(jù)各種信息和策略完成，而骨干和核心點主要簡單的按照這種預先定義好的每跳行為組（ PHB）來進行對應的優(yōu)先調(diào)度。在 Differentiated Service 模型下，邊緣路由器具有以下邏輯結(jié)構(gòu)，而核心或骨干路由器只是它的一個功能子集： 路由器主機資源預留策略控制入場控制報文調(diào)度報文分類應用資源預留策略控制入場控制報文調(diào)度報文分類路由應用報文流 R S V P 信令 廣西廣電綜合業(yè)務數(shù)據(jù)網(wǎng)技術(shù)建議書 第 27 頁 圖 .2： Differentiated Service 的通信模型 MPLS 主要用于單個 ISP 網(wǎng)絡的骨干連接。 Integrated Service 雖然模型比較直觀，但是需要骨干路由器維護大量的狀態(tài)，并且難以適應于復播情況下用戶訪問鏈路差異很大的質(zhì)量保證；而 Differeniated Service 更多地解決業(yè)務級別而不能保證端到端的帶寬保證。目前的趨勢是把 RSVP 和 PHB 結(jié)合起來使用。 從目前的實現(xiàn)技術(shù)來看，結(jié)合以下三種方式實現(xiàn) IP QoS 比較現(xiàn)實： 業(yè)務分類：業(yè)務分類是指根據(jù)應用和用戶的不同要求，把幀或報文分成不同的優(yōu)先類別，優(yōu)先級較高的業(yè)務在網(wǎng)絡的各個節(jié)點中享受較高的優(yōu)先處理；優(yōu)先級低的業(yè)務在網(wǎng)絡的各個節(jié)點中享受較低的優(yōu)先處理。同時，優(yōu)先級也可以通知網(wǎng)絡節(jié)點，哪些幀或者報文在擁塞發(fā)生或即將發(fā)生時是可以優(yōu)先丟棄的；以保證優(yōu)先級較高的業(yè)務。 接入限定：任何實際的網(wǎng)絡，它的骨干、上行 和某個方向的連接速率都是有限的，不可能承載無限的業(yè)務量；因此，與其讓業(yè)務在某個節(jié)點發(fā)生擁塞和丟包，還不如在網(wǎng)絡接入的地方進行限制，把影響質(zhì)量的因素扼殺在搖籃中，以利于公平的帶寬資源利用。 流量調(diào)控：一個大型的網(wǎng)絡，它的結(jié)構(gòu)一般通常都比較復雜而且是動態(tài)變化監(jiān)視器D i f f Serv配置接口流量調(diào)節(jié)器計量器分類器 標記器 整形器R S V PD i f fSer v入場控制T C A / P H B容量表路由單元PHB處理單元管理數(shù)據(jù)R S V P控制信令 廣西廣電綜合業(yè)務數(shù)據(jù)網(wǎng)技術(shù)建議書 第 28 頁 的；接入限定可以解決一些問題，但不能解決所有的問題；同時，接入量的配置往往根據(jù)一個預先假定的統(tǒng)計復用模型（如泊松分布和排隊理論）；因此，在特定的情況下和地點，不可避免地會發(fā)生擁塞。在擁塞即將發(fā)生或者擁塞已經(jīng)發(fā)生的情況，應該給發(fā)送者適當?shù)男畔ⅲㄖl(fā)生者降低流 量，或者，合理地、有選擇地丟棄報文。 我們在為天津電信公司企業(yè)網(wǎng)進行的本期方案設計過程中，根據(jù)邊緣和骨干的不同需求，從性能、功能、管理和計費支持上對局域網(wǎng)交換機、接入路由器、骨干路由器和核心路由器進行了精心選擇，以把上述三種方法結(jié)合起來，統(tǒng)一使用，達到最佳效果。 在骨干網(wǎng)絡設計時，我們充分計算了目前各個接入點的用戶帶寬的聚集需求，從網(wǎng)絡結(jié)構(gòu)上保證了各個節(jié)點之間的連接帶寬是足夠的。在這種條件下，我們采用了一個實際和相對成熟的作法： 1) 以 IP 優(yōu)先權(quán)為 QoS 帶內(nèi)信令，劃分業(yè)務等級。 2) 局域網(wǎng)交換機采用 WRR（權(quán)重循環(huán) 排隊）支持對不同 IP 優(yōu)先權(quán)業(yè)務分配不同的調(diào)度權(quán)值。 3) 骨干路由器采用基于優(yōu)先級的 DRR 排隊，保證優(yōu)先業(yè)務。 4) 核心路由器采用基于優(yōu)先級的 DRR 排隊，保證優(yōu)先業(yè)務。 5) 骨干和核心路由器之間采用 Tag Switching 來支持流量工程。 6) 接入路由器采用 CAR 來對邊緣訪問速率進行限制（可支持平滑的網(wǎng)絡擴容）。 7) 在骨干路由器上，采用 WRED 來處理對骨干訪問的擁塞避免。 用戶接入方式 廣西廣電擁有覆蓋廣西全省范圍的有線電視網(wǎng)絡（ HFC 網(wǎng)絡），并且擁有大量的有線電視用戶，而且已經(jīng)完成了部分有線電視網(wǎng)絡雙向改造。在廣西廣電城域網(wǎng)的用戶接入方式應充分利用這些已有的資源優(yōu)勢，迅速開展寬帶業(yè)務。 Cable Modem接入方式 有線電視系統(tǒng)中普遍采用的是光纖 /電纜混合（ HFC）結(jié)構(gòu)， HFC 網(wǎng)絡技術(shù)起源于有線電視網(wǎng)絡的數(shù)據(jù)傳輸需求，傳統(tǒng)角度上是一個模擬電視信號傳輸?shù)膹V 廣西廣電綜合業(yè)務數(shù)據(jù)網(wǎng)技術(shù)建議書 第 29 頁 播式的網(wǎng)絡。出于業(yè)務拓展的目的，運營商在干線部分改同軸電纜為光纖電纜，改善了信號質(zhì)量和傳輸距離。同時為數(shù)據(jù)傳輸提供了物質(zhì)基礎。很多廠商在這個基礎，推出 STB（ Set Top Box） 、 Cable Modem 等產(chǎn)品 。 1998 年 3 月，由 MCNS制定的 DOCSIS（ Data Over Cable Service Interface Specifications）獲得 ITU 的批準成為一項國際公認的 HFC 網(wǎng)絡數(shù)據(jù)傳輸?shù)臉藴省拇耍?HFC 網(wǎng)絡上的數(shù)據(jù)設備的互通性已經(jīng)具有標準的基礎。 在雙向 HFC 網(wǎng)絡技術(shù)中，考慮到目前數(shù)據(jù)業(yè)務的信息量集中在下行，采用了雙向非對稱技術(shù)。只要頻率不同，兩個信號之間是相互獨立的。因此要解決雙向問題，簡單的方法是，某些頻寬給一個方向，另外一些頻寬給反方向。目前通用的做法是 450MHz 以上的頻寬用做下行信道。對一個 6MHz 的模擬帶寬，通過 64QAM 和 256QAM 數(shù) 字調(diào)制，傳輸速率可達 30 和 42Mbps，同時上行信道則在 5~40MHz 帶中選擇干擾較低的位置，占用 1~3MHz 帶寬，用 QPSK（或16QAM）調(diào)制提供 320Kbps~10Mbps 傳輸速率。系統(tǒng)中的用戶共享這一傳輸帶寬，但這種共享技術(shù)不會降低傳輸速率，因為用戶在連接時并不占用一固定帶寬，而是與其他活動用戶共享，僅在發(fā)送、接收數(shù)據(jù)的瞬間，使用網(wǎng)絡資源。在毫秒級甚至兆秒級內(nèi)，抓住一切帶寬利用的可能下載數(shù)據(jù)包。如果在網(wǎng)絡使用的高峰期有擁塞，可以通過靈活的分配附加帶寬來解決。 在局端， cable modem 終端系統(tǒng)（ CMTS）接收來自用戶端的電纜連接輸出信號。它采用 10BaseT\100BaseT 或 ATMOC3 等接口通過交換型 HUB 與外界設備相連，通過路由器與 Inter 連接，或者可以直接連到本地服務器，享受本地業(yè)務。 用戶終端， cable modem 主要是面對計算機用戶的終端，通過 10BaseT 接口，與用戶的計算機相連。它與在電話線上使用的 modem 有很大差別：首先，它們載波工作頻率不同；其次，電話 modem 通常只負責將數(shù)據(jù)信號經(jīng)過調(diào)制后進行傳輸，將收到的信號解調(diào)后送往計算機串行口；而 cable modem 不但有普通modem 的功能，還有局域網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)功能，即還有網(wǎng)橋的作用。 廣西廣電綜合業(yè)務數(shù)據(jù)網(wǎng)技術(shù)建議書 第 30 頁 當用戶 PC 通過 Cable Modem 上網(wǎng)時，通過 CMTS 設備 uBR7246 將 DHCP請求轉(zhuǎn)發(fā)的 CNR Server（ Cisco Network Register）上， CNR 具有 DHCP Server的功能，能夠為用戶分配 IP 地址。 在城域網(wǎng)分布層節(jié)點配置 CMTS 設備，實現(xiàn)對采用 Cable Modem 上網(wǎng)的用戶提供接入。 以太網(wǎng)專線接入方式 在本期網(wǎng)絡中可以開展以太網(wǎng)專線接入服務，充分利用設備資源，保護投資，同時可以彌補在尚未完成有 線電視網(wǎng)雙向改造節(jié)點的接入空白。 這類用戶采用高速以太網(wǎng)接入，為每一個用戶分配一個 10/100 的端口，連接到用戶端的路由器（交換機）上；根據(jù)需求分配少量合法 IP 地址，采用 Default路由，指定網(wǎng)關(guān)；通過 VLAN 對不同的用戶進行隔離，保證安全性。由于這類用戶的特點，我們稱之為寬帶專線用戶。 對于這類用戶的管理模式： 以按端口包月收費為主，可以采用 SNMP 端口 Polling 的方式，實現(xiàn)基于端口流量的計費模式，輔助端口包月的業(yè)務策略。還可以針對用戶的需求，采用一些以太網(wǎng)帶寬控制手段（ CAR）實現(xiàn)用戶使用帶寬的控 制。 廣西廣電綜合業(yè)務數(shù)據(jù)網(wǎng)技術(shù)建議書 第 31 頁 3 業(yè)務系統(tǒng)建議 VPN VPN概念 早期的骨干網(wǎng)環(huán)境中，對于在地理位置上分布較廣的用戶端點，可以通過一個專用的網(wǎng)絡連接起來，也就是可以通過傳統(tǒng)的 FR 或租用線路連接用戶端的路由器，構(gòu)成用于專門用戶的路由網(wǎng)絡，路由設備之間采用傳統(tǒng)的路由協(xié)議。這樣的解決方案雖然保證了數(shù)據(jù)傳遞的有效性和保密性，但傳輸?shù)拇鷥r和成本也是非常高，隨著 IP 網(wǎng)絡和 Inter 技術(shù)的發(fā)展，這種專用網(wǎng)絡的方式正在被另外一項新興的技術(shù)所替代，那就是 VPN。 一個 VPN 可以被簡單地定義為利用公共 Inter 網(wǎng)絡或者專用的 IP 骨干 網(wǎng)等網(wǎng)絡設施來模擬的一個私有廣域網(wǎng)。 目前對運營商來說，易于實施的 VPN 有兩種模式： MPLS VPN 和 GRE VPN。 MPLS VPN MPLS VPN 利用自身的信令交換機制和隧道建立機制可以提供一種嶄新的VPN 組網(wǎng)方式 —— 即 MPLS VPN?，F(xiàn)在， IETF 標準化組織在 MPLS 領(lǐng)域提出了很多草案，其中包括幾種在 MPLS 實現(xiàn) VPN 的技術(shù)建議和草案。 Cisco 公司作為 MPLS 技術(shù)的倡導者和標準制定者，在基于 MPLS 的 VPN研究中，走在其它廠商的前邊，率先提出了在 MPLS 網(wǎng)絡中實現(xiàn) VPN 的技術(shù)方案 —— MBGP/MPLS VPN，并提交 IETF 制定了標準 —— RFC2547。 這種構(gòu)造 VPN 的方式是通過在一個 MPLS 域中的所有邊緣路由器之間建立網(wǎng)狀的 LSP（ label Switch Path）來實現(xiàn) IP VPN 的功能。這時存在兩級標簽來表示 LSP 隧道，（ 1）外層或稱之為基本標簽適用于逐跳 LSP 隧道，這些隧道連接了所有具有標記交換能力的 VPN 邊界路由器（ VPN Border Router— VBR）；（ 2）內(nèi)層的嵌入式標簽用于標記 VPN 邊緣路由器之間的單跳隧道。標簽堆棧的處理過程如下圖所示： 廣西廣電綜合業(yè)務數(shù)據(jù)網(wǎng)技術(shù)建議書 第 32 頁 MPLS VPN 的構(gòu)建 需要以下幾個步驟： VPN 成員信息的設置