【正文】 缺點是IP承載網(wǎng)和軟交換系統(tǒng)之間的關聯(lián)度大，工程和維護過程中兩個系統(tǒng)的配合要緊密。方式三：媒體網(wǎng)關的信令、計費、網(wǎng)關接口采用方式一或者方式二，語音接入IP承載網(wǎng)時，由于語音帶寬較大，建議采用直接接入方式。方式三要求PE路由器具備VRRP功能，同時，要求PE路由器具備二層交換功能，在兩個PE路由器之間需要有二層物理鏈路或者邏輯鏈路連接。圖 方式三優(yōu)點是減少軟交換網(wǎng)絡設備的配置要求，節(jié)省投資；缺點是PE路由器需要支持二層交換功能，PE路由器之間的鏈路配置要求高，如果成對的PE路由器不在同一個機房，需要兩條不同物理路由的鏈路來保證可靠性。接入方式建議：(1)由于總部對軟交換端局的規(guī)模限制，一個MGW的語音流量一般不會超過600Mbps。1對GE接口可以滿足MGW語音流量的需求，因此，軟交換端局的語音接入方式建議同信令一致。(2)從節(jié)省建設成本，加強統(tǒng)一管理考慮，建議軟交換采用二層交換機接入方式（方案二）。(3)目前，已經(jīng)建成的省內(nèi)軟交換系統(tǒng)都有IP專網(wǎng)路由器，如果IP專網(wǎng)路由器在性能和功能上滿足要求，可以作為內(nèi)部AR，或作為軟交換CE路由器接入到IP承載網(wǎng)中（方式一），以避免對現(xiàn)有軟交換系統(tǒng)做大的網(wǎng)絡調整。如果IP專網(wǎng)路由器不能滿足要求，建議采用方案二。CE路由器的要求如下：支持多個VRF，并支持多個基于不同VRF的OSFP進程。支持快速OSFP收斂功能。包轉發(fā)能力滿足軟交換業(yè)務量的要求端口配置滿足組網(wǎng)要求。 匯接軟交換接入1）Server側匯接軟交換的server同端局軟交換server接入方式相同。建議采用上述的方式二。2）中繼網(wǎng)關（TG）側中繼網(wǎng)關接入有以下四種方式。方式一、采用三層交換機（路由器）作為CE接入成對的PE路由器。（同端局軟交換接入的方式一）。方式二、采用二層交換機作為CE接入成對的PE路由器。（同端局軟交換接入的方式二）。方式三、TG的語音接口（主備工作方式）直接通過GE光口連接成對的PE路由器。（同端局軟交換接入的方式三）。方案四、TG的語音接口（主備工作方式）直接通過GE光口連接一臺PE路由器。圖 匯接軟交換由總部統(tǒng)一立項建設，具體采用何種接入方式由匯接軟交換項目具體確定。 分組業(yè)務、DCN等其他內(nèi)部系統(tǒng)接入分組等其他內(nèi)部系統(tǒng)按雙歸屬方式接入成對設置的內(nèi)部接入路由器。連接方式同端局軟交換接入方式一。考慮保證路由的穩(wěn)定，首選BGP協(xié)議。 公眾VPN接入公眾VPN單鏈接入外部接入路由器。考慮保證路由的穩(wěn)定，建議首選靜態(tài)路由。 割接方案以省為單位進行業(yè)務的割接。首先，在所有AR路由器上，做好VPN的配置；然后，在省會城市將軟交換端局的匯聚路由器作為CE路由器連接到IP承載網(wǎng)省會AR路由器，在IP承載網(wǎng)的VPN和原有的軟交換端局IP專網(wǎng)之間建立連接；設有IP承載網(wǎng)AR路由器的地市，將業(yè)務逐步割接到承載網(wǎng)上，沒有建設AR路由器節(jié)點的地市，維持現(xiàn)有IP專網(wǎng)連接?，F(xiàn)網(wǎng)移動分組業(yè)務（GPRS Gn接口、CDMA 1x的增值業(yè)務）割接到IP承載網(wǎng)，可以考慮的割接方案如下：以為GPRS Gn網(wǎng)絡的割接為例：將本期在北京、上海、廣州建設的ASBR路由器與165網(wǎng)的GPRS Gn VPN路由器對接，實現(xiàn)165網(wǎng)絡的VPN與新建網(wǎng)絡的VPN實現(xiàn)連接；各節(jié)點的Gn CE路由器逐步割接到新建的IP承載網(wǎng)AR路由器。 安全方案網(wǎng)絡的安全性包括業(yè)務系統(tǒng)的安全和業(yè)務數(shù)據(jù)的安全兩個方面。對于業(yè)務數(shù)據(jù)，可以采用一些認證和加密等機制，防止攻擊者對業(yè)務的偵聽和偽造。對業(yè)務系統(tǒng)，安全性可以通過設置地址轉換屏蔽對設備的攻擊，通過包過濾、設置單獨的VPN網(wǎng)絡等手段防范黑客的入侵等。安全性問題是一個很寬泛的問題，其中既包含了網(wǎng)絡的策略、系統(tǒng)設計中需要考慮的問題，也包含了管理流程中的問題。安全性問題是整個系統(tǒng)的問題，需要全盤的規(guī)劃。 業(yè)務接入安全策略采取以下措施，以充分保證業(yè)務系統(tǒng)接入IP承載網(wǎng)的安全： VPN進行隔離。，關鍵業(yè)務節(jié)點（如：softswitch）也應通過防火墻保護。，以保證PE的安全：路由過濾：在PE與CE的接口上應用訪問控制列表（ACL）來限制，只允許來自CE的路由協(xié)議進入PE路由限制：限制VRF路由條目，避免可能來自用戶網(wǎng)絡的海量路由攻擊對該PE所接其他VPN的不良影響路由認證：CE與PE之間應當通過配置靜態(tài)路由或者運行帶有驗證功能的路由協(xié)議來進行路由交換，對路由協(xié)議交換進行MD5和DES加密認證控制，防止惡意路由攻擊 流量過濾：CAR，采用ACL區(qū)分流量，并進行流量監(jiān)管uRPF：采用uRPF反向路徑查詢功能，有效地阻擋來自接入層的虛假地址攻擊。 協(xié)議保護措施(1)BGP保護限定合法PEER路由器IP地址和所在AS號。在Access端口上采用嚴格反向路徑查找技術，過濾來自其他網(wǎng)絡的偽造源地址的BGP攻擊包，對不能支持嚴格反向路徑查找的設備，通過ACL過濾源地址實現(xiàn)類似功能。[]在所有Access端口上采用分組過濾策略拒絕非法的EBGP協(xié)議數(shù)據(jù)包。為進一步保證EBGP PEER的安全，在承載網(wǎng)對外EBGP PEER上進行MD5認證 。(2)NTP保護IP承載網(wǎng)通過分組過濾限制從外網(wǎng)進入承載網(wǎng)的NTP數(shù)據(jù)包，同時在NTP 會話上進行MD5認證。(3)組播保護Access端口上利用分組過濾技術缺省禁止組播數(shù)據(jù)流，對MSDP進行MD5認證，在RP上對SA消息進行過濾。(4)SNMP采用V2或者V3版本實施MD5認證和DES加密，通過MIB View限制對包含大數(shù)據(jù)量的表類型變量的訪問（路由表和CEF表）。 網(wǎng)絡操作安全管理(1)實施網(wǎng)絡管理員的分權和分級制嚴格控制對網(wǎng)絡控制訪問的權限，從內(nèi)部管理上避免誤操作的安全隱患。高級網(wǎng)管員可以修改配置，刪除賬號。低級管理員只能察看網(wǎng)管界面，不能做任何改動。(2)網(wǎng)絡口令管理對設備的訪問控制實施AAA集中管理，避免采用設備本身的認證。采用Radius（TACACS+可選）等加密的認證方式，保證用戶名和密碼在網(wǎng)上的的傳遞是經(jīng)過加密的，采用OneTime 密碼，防止密碼強制攻擊等手段。同時對網(wǎng)絡口令需要有審計的功能，防止被盜用密碼的現(xiàn)象發(fā)生。(3)關閉網(wǎng)絡不必用的功能和端口根據(jù)應用的不同，關閉不必要的端口和功能（如ICMP Redirect、Direct Broadcast、Proxy ARP），防止利用這些功能攻擊網(wǎng)絡系統(tǒng)。 網(wǎng)絡管理和操作方案 管理模式和網(wǎng)管系統(tǒng)設置IP承載網(wǎng)建議采用總部網(wǎng)管中心、省級網(wǎng)管中心兩級管理模式，其中：(1)網(wǎng)管系統(tǒng)集中部署在總部網(wǎng)管中心，提供統(tǒng)一的與網(wǎng)元設備及外部系統(tǒng)的對外接口。本期工程考慮在北京、上海、廣州各設置1套網(wǎng)管數(shù)據(jù)采集服務器。(2)各省網(wǎng)管中心設置返牽終端，通過訪問總部網(wǎng)管系統(tǒng)實現(xiàn)省內(nèi)設備的管理。(3)網(wǎng)管系統(tǒng)應具備分權分域管理功能：根據(jù)地域把設備分為不同的分組，包括集團和省公司分組；為集團和省網(wǎng)管中心分配不同的網(wǎng)管用戶，指定管理的分組和權限；集團網(wǎng)管中心具有全網(wǎng)設備的管理權限，全網(wǎng)設備都對集團都是可管理的；省網(wǎng)管中心只對省內(nèi)的設備有管理權限，對其他省內(nèi)設備不可管理，也不可見。多廠商環(huán)境下，將需要考慮設置綜合網(wǎng)管。本工程在各地市設置網(wǎng)管的返遷終端，實現(xiàn)對本省/本地市設備的管理 網(wǎng)管中心職責(1)集團網(wǎng)管中心總部網(wǎng)管中心以網(wǎng)絡調度、分析、監(jiān)督和省際協(xié)調為主，負責全網(wǎng)級別的數(shù)據(jù)制作負責全網(wǎng)的設備的資源、拓撲、告警等各項管理功能。負責全網(wǎng)的性能監(jiān)控管理，包括鏈路流量、時延、抖動、丟包等性能監(jiān)控，并提供相應的性能報表。負責全國范圍內(nèi)的MPLS VPN、QoS業(yè)務的發(fā)放及監(jiān)控。在長期性能監(jiān)控、流量分析等數(shù)據(jù)的基礎上，為整個網(wǎng)絡今后的擴容、優(yōu)化提供決策依據(jù)。(2)省網(wǎng)管中心省網(wǎng)管中心負責省內(nèi)告警、日常維護。省網(wǎng)管中心負責省內(nèi)的性能監(jiān)控管理，包括鏈路流量、時延、抖動、丟包等性能監(jiān)控，并提供相應的性能報表。完成對省內(nèi)地市間網(wǎng)絡流量的分析，并提供相應的分析報表。負責省內(nèi)MPLS VPN、QoS業(yè)務的發(fā)放及監(jiān)控。省網(wǎng)管中心作為故障發(fā)現(xiàn)和處理的第一責任人，負責數(shù)據(jù)制作和網(wǎng)絡監(jiān)控。硬件設備設備歸屬由各地市維護。 網(wǎng)管數(shù)據(jù)傳送通道IP承載網(wǎng)主要采用帶內(nèi)通道傳送設備配置數(shù)據(jù)、業(yè)務數(shù)據(jù)、故障告警、性能采集、流量采集等網(wǎng)管信息。為保障帶內(nèi)通道的安全可靠，需要為網(wǎng)管系統(tǒng)設置獨立的IP地址段，不向IP承載網(wǎng)以外發(fā)布網(wǎng)管IP地址信息，屏蔽所有非承載網(wǎng)網(wǎng)管IP地址對網(wǎng)管系統(tǒng)的訪問。本工程建議采用帶外網(wǎng)管通道實現(xiàn)網(wǎng)絡緊急恢復，在網(wǎng)絡發(fā)生重大故障時，能夠通過帶外方式通過設備的Console口對設備進行故障恢復配置。建議可以考慮在核心、匯接節(jié)點分別設置一臺“帶外”應急網(wǎng)管網(wǎng)絡路由器設備，并通過“帶外”E1鏈路實現(xiàn)聯(lián)網(wǎng)。各節(jié)點“帶外”應急網(wǎng)管路由器通過Console終端線纜直接連接受管設備主控卡，實現(xiàn)在緊急情況下的Console級別的管理。為保證“帶外”應急網(wǎng)管系統(tǒng)的靈活接入，在北京節(jié)點設置的“帶外”應急網(wǎng)管路由器可以配置相應撥號接入端口，在緊急故障時具備撥號接入到帶外網(wǎng)管的能力?！皫狻睉本W(wǎng)管網(wǎng)絡路由器設備不在本期工程中考慮，建議利舊DCN整合后可使用的路由器設備。 網(wǎng)管系統(tǒng)主要功能要求IP承載網(wǎng)網(wǎng)管系統(tǒng)的管理功能主要包括網(wǎng)元層、網(wǎng)絡層和業(yè)務管理功能3個層面：(1)管理對象及范圍IP承載網(wǎng)的設備、端口、鏈路、網(wǎng)絡及關鍵服務器的集中監(jiān)控和安全管理。實現(xiàn)對網(wǎng)管系統(tǒng)本身的網(wǎng)絡設備、服務器設備和系統(tǒng)應用服務等的集中監(jiān)控和管理。(2)網(wǎng)元管理，包括：網(wǎng)絡資源采集與分析、拓撲監(jiān)視與操作、故障告警與診斷。(3)網(wǎng)絡管理(4)網(wǎng)絡性能、流量、路由監(jiān)測與分析監(jiān)視網(wǎng)絡實時SLA，能夠較準確的測量網(wǎng)絡端到端的時延、丟包、抖動。對網(wǎng)絡鏈路層流量的負載和網(wǎng)絡擁塞分析，對城域網(wǎng)間流量、省際流量、互聯(lián)流量、國際流量等業(yè)務流量流向和業(yè)務分布進行分析。對IGP，BGP路由穩(wěn)定性進行監(jiān)測。提供QoS的查詢統(tǒng)計信息，優(yōu)化各種QoS業(yè)務的帶寬配置及準入控制。(5)業(yè)務管理實現(xiàn)MPLS VPN的拓撲監(jiān)視、業(yè)務端到端的開通，MPLS VPN的參數(shù)配置，業(yè)務故障檢測、業(yè)務性能SLA監(jiān)測(包括PEPE間可用率、時延、抖動數(shù)據(jù)、流量數(shù)據(jù)、業(yè)務接入端口狀態(tài)等)。支持VPN每個PE CE鏈路的QoS管理,查看各VPN業(yè)務所占用的網(wǎng)絡資源及其運行狀況。 計費本期工程對公眾VPN業(yè)務需要支持計費功能，要求PE路由器應能夠支持針對物理端口和邏輯端口的計費功能。包括：基于帶寬計費和基于流量計費。另外，要求設備支持Netflow，以能夠通過Netflow進行流量統(tǒng)計并作為計費基礎。 IP地址規(guī)劃原則IP地址的規(guī)劃應該滿足業(yè)務長期發(fā)展的需要。為了保證今后與其它網(wǎng)絡互通，本工程建議中國聯(lián)通IP承載網(wǎng)使用公開的自治域號。(1)承載網(wǎng)設備loopback地址和鏈路互聯(lián)地址采用公有地址每臺路由器分配2個loopback地址，共需要8個C的公有IP地址。全網(wǎng)鏈路地址共需要16個C的公有IP地址。(2)跨域VPN的互聯(lián)地址，采用公網(wǎng)地址，建議按4個C考慮。其中：OPTIONA方式，需要為每個VPN互聯(lián)分配4個地址。OPTIONB方式，只需要為每對PE ASBR分配4個地址。(3)電信業(yè)務網(wǎng)IP地址（公/私有地址）應由總部統(tǒng)一分配和管理，避免地址沖突。(4)公眾三層VPN地址采用用戶規(guī)劃的地址或者使用公網(wǎng)地址。建議采用用戶地址。根據(jù)以上分析，本工程建議申請一個公用自治域號，同時，申請一個B的公有地址，用于IP承載網(wǎng)的IP地址分配。 IPv6支持(1)IP承載網(wǎng)應全面支持IPv6協(xié)議，包括：路由協(xié)議支持全面，包括RIPng、OSPFvBGP4+、IP v6 MPLS、 ISISv ISIS多拓撲等。[]各種接口/單板均支持IPv6。(2)本期工程暫不啟動設備的IPv6功能，但應支持各種過渡技術，并能夠平滑過渡到IPv6，包括：IPv6 over IPv4 隧道、IPv6 獨占鏈路、IPv6 over MPLS (6PE)、IPv6 雙棧網(wǎng)絡。[] 本章小結本章針對提出的設計需求，進行了數(shù)據(jù)承載網(wǎng)的需求更改與重新設計，重點描述了IP化承載的網(wǎng)絡結構和設備方案，包括節(jié)點設置、中繼鏈路設置、QoS方案并討論了運營商要求的高可靠性方案、QoS方案和IPv6支持等問題。第6章 系統(tǒng)實現(xiàn) 網(wǎng)絡拓撲及節(jié)點設置根據(jù)IP承載網(wǎng)的整體網(wǎng)絡結構及節(jié)點設置原則，浙江省IP承載網(wǎng)的網(wǎng)絡拓撲結構為：(1)設置2臺匯接路由器（PR）作為P路由器負責省內(nèi)流量匯接，按照匯接節(jié)點設置原則，浙江省匯接路由器設置在杭州，并應設置在不同局址。本期工程杭州PRPR2分別通過1條10G POS鏈路上聯(lián)至上海CR廣州CR2。杭州PR1和杭州PR2之間通過1條10G POS鏈路互聯(lián)。(2)杭州設置1對（2臺）內(nèi)部系統(tǒng)接入路由器（杭州AR杭州AR2）和1臺外部系統(tǒng)接入路由器（杭州AR3），做為PE路由器。其中：杭州AR1至杭州PR1設置1條10G POS鏈路，杭州AR2至杭州PR2設置1條10G POS鏈路，杭州AR杭州AR2之間通過1條10G POS和2條GE鏈路互聯(lián)。杭州AR3至杭州PR杭州PR2各設置1條155M鏈路。(3)寧波設置1對（2臺）內(nèi)部系統(tǒng)接入路由器（寧波AR寧波AR2）和1臺外部系統(tǒng)接入路由器（寧波AR3），做為PE路由器。其中：寧波AR1至杭州PR1設置1條622M POS鏈路，寧波AR2至杭州PR2設置1條622M POS鏈路，寧波AR寧波AR2之間通過1條622M POS鏈路互聯(lián)。寧波AR3至杭州PR杭州PR2各設置1條155M鏈路。(4)臺州、嘉興、紹興、麗水等四個節(jié)點各設置1對（2臺）內(nèi)部系統(tǒng)接入路由器。臺州、嘉興、紹興、麗水等四個節(jié)點的AR1至杭州PRAR2至杭州的PR2分別設置1條2155M POS鏈路。臺州、嘉興、紹