【導讀】XX經濟技術開發(fā)區(qū)。信息化城域網建設技術方案。XX通訊技術有限公司

　　

【正文】 he server 中保存一副本。CrossKey 交換機可自動地將隨后對這些網站的訪問重定向到 Cache server 上。只有對 Cache Server 中沒有副本的網站的訪問才發(fā)往 Inter，因此可大大提高 web 訪問速度，并且上述操作對用戶是透明的。以上功能并不僅限于對 Web 的訪問，它同樣可用于其它任何由用戶所定義的業(yè)務的重定向。利用此功能，可以實現強大的基于策略的路由。SuperVLAN 技術SuperVLAN 又稱 VLAN 聚合(VLANaggregation)，是一種專為 ISP 設計的優(yōu)化 IP 地址管理的技術。通過將同一集團用戶的多個 VLAN 聚合成一個 SuperVLAN，可以簡化 IP 地 北京市經濟技術開發(fā)區(qū)城域網解決方案32址的管理，有效地利用(即節(jié)省)IP 空間。如果沒有 SuperVLAN 技術，則一般來說對每個用戶 VLAN 需分配一個 IP 子網地址，因此將耗費大量 IP 地址資源。采用 SuperVLAN技術后，可對包含多個 VLAN 的 SuperVLAN 僅分配一個 IP 子網地址，既節(jié)省子網的數量和 IP 地址的數量，又便于管理。Super VLANSubVLAN 1SubVLAN 2SubVLAN 3SubVLAN n. . .OSPF Rtr_Link VLAN_AOSPF Rtr_Link VLAN_BSubVLAN 1SubVLAN 2SubVLAN 3SubVLAN nSubVLAN 1SubVLAN 2SubVLAN 3SubVLAN nSuper VLAN_1IP address: mask: /24Super VLAN_2IP address: mask: /24Super VLAN_3IP address: mask: /24 北京市經濟技術開發(fā)區(qū)城域網解決方案33地址規(guī)劃和路由設計地址規(guī)劃地址分配策略IP 地址規(guī)劃是要解決有效利用地址空間、有利于路由設計、解決公網地址嚴重不足等問題。地址的分級、可變長掩碼等技術的使用在此就不在詳細論述。我們主要論述如何進行最優(yōu)化的公私網地址混用。首先是城域網骨干設備的地址，由于城域網有可能連接其它 ISP 和使用保留地址的企業(yè)，并且不排除中國電信將來在國內網上使用統一規(guī)劃保留地址的可能，因此我們建議在城域網的核心設備上采用公用地址。如果地址空間實在緊張，所有設備的管理地址可以采用私網地址。城域網內地址規(guī)劃的一種方式是將所有私有地址限制在各城域內，無論私有地址用戶訪問的目的地是城域網外網絡還是城域網內網絡，其均要進行地址轉換。在城域網內骨干網上將不存在私有 IP 子網的路由，各片區(qū)的私有地址可自行定義使用。其缺點是城域網內私有地址間互訪的流量均經地址轉換，性能受到影響，NAT 設備的壓力較大。另一種方式是，無論采用公用還是私有 IP 地址的用戶，可直接進行城域網內互訪不需進行地址轉換，各邊界 3 層交換機有相應的路由信息，城域網的保留地址進行統一的規(guī)劃，其路由信息可在全市網絡內傳播。對于訪問城域網外的用戶，需區(qū)分其使用的是私有還是公有 IP 地址，對于公有 IP 地址用戶也無需進行地址轉換，使用私有 IP 地址用戶為訪問城域網外的網絡時必須進行 NAT 轉換。在城域網出口處應采用源路由方式(策略路由)將流量導向 NAT 設備。建議采用具有硬件處理能力的線速 NAT 設備。CrossKey 交換機提供功能強大的、線速的策略路由功能。通過 CrossKey 的策略路由功能，可以將私網 IP 地址訪問公網 IP 地址的流量自動轉向到防火墻，通過防火墻進行地址轉換；而公網地址訪問公網地址的流量不經過防火墻。同時，CrossKey 交換機可以使用多個防火墻進行負載均衡。而且，CrossKey 交換機具備對防火墻的健康檢查功能，如果某個防火墻出現故障，則 CrossKey 交換機可以自動繞過此發(fā)生故障的防火墻。 北京市經濟技術開發(fā)區(qū)城域網解決方案34./16InterInsideOutside10..0././24..0/24城 域 網省 網 163骨 干策 略 路 由./1610..0./8FirewalRouter城域網出口示意圖上圖為各城域網上連省骨干的典型連接示意圖。對于 CrossKey7810 來說，其通過OSPF 或 BGP4 協議與骨干路由器相連，缺省網關指向本地省網路由器。通過制定相應的源路由策略，可將所有源地址為私有 IP 的流量轉發(fā)到 NAT 設備，即可實現上述第一種方式。NAT 設備面向骨干路由器的一面設有一公有 IP 地址池，應實現 PAT 功能以為大量的城域用戶服務，減少 IP 地址的使用量。該 IP 地址池為骨干路由器所知，并設定合適的路由策略進行轉發(fā)，使得返回的 IP 包被引導致 NAT 設備。所有公網 IP 地址的流量將有 CrossKey7810 直接路由至骨干路由器。合理制定源路由策略可只將訪問省外節(jié)點的私有 IP 流量引導至 NAT 設備。訪問省內節(jié)點的私有 IP 流量仍經 CrossKey7810 直接路由至骨干路由器，而不經 NAT 地址轉換。根據分析，地址空間的壓力主要來源于個人接入用戶，而企業(yè)用戶帶來的影響較小。所以，對城域網內專線用戶采用地址靜態(tài)分配、公網、私網地址并存。一般寬帶企業(yè)用戶通過光纖直接連接到匯聚層以太網交換機上，使用靜態(tài)地址和靜態(tài)路由，IP 地址可以使用私網地址或公網地址。采用私網地址的企業(yè)用戶： 北京市經濟技術開發(fā)區(qū)城域網解決方案35地址空間較大，可以根據 VLSM，分配用戶一段連續(xù)的地址空間。采用公網地址的用戶：為了提供地址資源利用濾，可以制定資費政策讓用戶選擇 VLSM 網段或單獨 1 到 4 個公用地址，子網掩碼可以選擇很大，如 24/25/26 位等，多個企業(yè)公用一個地址段。為了提供安全保護，可以向用戶出租 L2/L3/L4 的過濾器，為了避免同一網段的用戶之間的地址干擾和地址欺騙，可以屏蔽動態(tài) ARP 并采用靜態(tài) ARP 的方式。而對個人用戶，到底采用何種方式，取決于多個因素。其中最主要的因素是公網地址空間的缺口：我們都知道 XX 市寬帶 IP 網分配了公用 IP 地址。用戶人數在不斷增長，將遠遠超過可用地址數，這將成為一個非常嚴重的問題。由于大部分的個人用戶不需要固定的 IP 地址，因此對個人用戶采用動態(tài)的 IP 地址分配可以節(jié)省189。到190。的地址資源。而采用 NAT/PAT 的方式，可以將網絡公用地址的需要節(jié)省到幾十分之一甚至更多的程度。但后一種方式的主要問題是 NAT/PAT 轉換的性能問題，第二個問題是可能會影響某些寬帶應用。而實際上，地址缺口的大小不僅取決于可用空間和用戶數，并且與采用的用戶安全技術和產品有關。如果寬帶接入采用 DSL 或 CableModem，或者采用以太網接入+PPPoE，那么可以方便地進行地址的動態(tài)分配。如果采用以太網和 peruserperVLAN 的方式，地址消耗太大，使用私網地址+NAT 是合理的選擇。如果以太網用戶采用包月的方式，地址需要將大大增加。第二個因素是采用的產品的特性。由于目前單臺設備的 NAT/PAT 的性能不理想，解決的方法是由邊緣層交換機分擔完成該功能，如 CrossKey 的交換機支持 NAT 功能，其它廠商的設備不一定能滿足要求。另外，許多寬帶接入服務器也不能支持高性能的 NAT/PAT。第三個因素是是否考慮 NAT/PAT 對應用的影響?？赡苣硞€用戶需要采用某種應用而該應用不能穿過 NAT/PAT 設備，如某些多媒體應用和 VPN 應用。 北京市經濟技術開發(fā)區(qū)城域網解決方案36第四個因素是是否考慮中國電信可能的政策調整。如果中國電信決定統一分配私網地址空間，如何應對。綜合以上多種考慮，對于采用 IP 網作為城域網主要載體的城市，我們建議：采用寬帶接入服務器，一般采用公網地址池，動態(tài)分配 IP 地址如果地址空間缺口依然存在，建立公、私兩個地址池，根據用戶名或域名進行區(qū)分，需要寬帶接入服務器支持 VPDN，這樣只有私網用戶需要進行地址轉換。同一個用戶在連接前選擇服務類型。若改變城域網使用的私網地址，調整簡單。對于采用以太網新建寬帶 IP 城域網的地方，我們建議：由于大部分的個人用戶不需要固定的 IP 地址，因此對個人用戶采用動態(tài)的 IP 地址分配可以節(jié)省189。到190。的地址資源。而采用 NAT/PAT 的方式，可以將網絡公用地址的需要節(jié)省到幾十分之一甚至更多的程度。但后一種方式的主要問題是 NAT/PAT 轉換的性能問題，第二個問題是可能會影響某些寬帶應用。因此我們建議：對城域內個人用戶采用地址動態(tài)分配、以私網地址為主對城域內專線用戶采用地址靜態(tài)分配、公網、私網地址并存；出省的私網用戶通過 NAT/PAT 實現到 INTERNET 的訪問；某些特殊的個人用戶需要動態(tài)分配公網地址(如某些類型的 VPN 不能穿過防火墻)，建議支持該方式；對于提供 NAT 功能的防火墻的設置，我們提出以下建議：在核心點（Inter 出口）配置大容量的防火墻，也可以通過 CrossKey 交換機的負載均衡功能進行多個 Firewall 的負載均衡防火墻或防火墻陣列直接(或通過交換機)連接在核心節(jié)點的主干交換機上，在交換機上實施線速的策略路由，即源地址為城域內私網地址、目標地址非城域內私網地址的流量重定向到連接防火墻的端口；城域內的公網地址和私網地址統一路由，采用共同的路由協議策略，公網和私網的區(qū)別對城域內其他路由器的區(qū)別是完全透明的。城域網路由設計在 IP 寬帶城域網中，IP 路由的規(guī)劃應當參照 Inter 骨干路由的方法進行設計；所以在層次上可以分為兩層：骨干路由層和接入層。骨干路由可以使用 BGP/OSPF 路由協議，同時可以支持 MPLS；這種結構可以實現對主 北京市經濟技術開發(fā)區(qū)城域網解決方案37干路由和數據傳送的最大控制(體現在骨干交換機對數據流中第三、四層信息的判斷和控制能力)。通常，主干路由設計有下面兩種方式：1．省網運行 OSPF。城域網與 163/169 網在同一自治域內（AS），163/169 省網骨干為area0，各市城域網分別為不同的 area。CrossKey 交換機支持完整的 OSPF 路由協議，可完成省骨干與地市城域網同在一個自治系統，并運行 OSPF 作為域內路由協議的實施方案。選擇一臺城域內骨干交換機作為城域網連接骨干網的出口節(jié)點，使用一條千兆鏈路與省骨干網位于該地市的路由器相連，并將該節(jié)點路由器的連接接口定義在地市 Area 內，因而由該路由器充當骨干 Area 與地市 Area 之間的 ABR 路由器。另外一種方式為讓交換機充當 ABR，考慮到路由器的較強的處理性能，故建議使用省骨干節(jié)點路由器作為ABR。2．城域網與 163/169 網不在同一自治域內，各城域網分別為保留 AS 號，城域網與163/169 網之間運行外部網關路由協議，城域網內運行內部網關路由協議。CrossKey 公司的交換機支持域間路由協議 BGP4，可實現各城域網與省骨干網使用外部網關協議互連的方式，此時，省骨干網和各地市城域網均為獨立的自治系統，彼此之間采用 BGP4 協議，而城域內部則采用 OSPF 作為內部網關路由協議。由于有限的 AS 號資源，故可采用保留 AS 號。目前城域網多為單宿主網絡，因此只需要主干路由節(jié)點發(fā)布自己為 default route 即可，外部 BGP 的路由表決不倒灌入 IGP。當城域網內 ISP 分別連接多個出口（如：中國電信和其它電信運營商）作為主干運營 北京市經濟技術開發(fā)區(qū)城域網解決方案38商時，該情況下 ISP 需分別使用 BGP4 協議與多個出口運營商連接，對于上述兩種網絡連接方式，均可采用 AS 號過濾的方式控制 ISP 的路由導入，可過濾掉該 ISP 的過渡流量。城域網主干節(jié)點和匯接層之間的路由協議建議采用 、匯聚層節(jié)點、IDCswitch 和省網骨干節(jié)點建議采用冗余線路，通過 OSPF 的動態(tài)路由選擇功能可實現很高的網絡可用性。同時，CrossKey 交換機支持 ECMP，即等價路徑負載均衡，共支持最多 8 條等價路徑，利用此功能不但可實現高可靠性，同時可充分利用線路容量。整個匯接層可以為一個獨立的 Area，也可以分成多個 area。接入層路由涉及到整個網絡路由的安全性和穩(wěn)定性。從這方面的因素考慮，建議接入層路由只提供靜態(tài)路由，然后將靜態(tài)路由重定位到 OSPF 的路由表中。這樣可以最大限度的防止黑客的入侵和保持整個系統路由的穩(wěn)定性。用戶管理和計費計費方案選擇城域網的用戶的管理與計費問題方法目前有 3 種常用的手段：包月制計費；利用交換/路由設備內的統計功能提供的數據由外部軟件按