【正文】 缺點(diǎn)是IP承載網(wǎng)和軟交換系統(tǒng)之間的關(guān)聯(lián)度大，工程和維護(hù)過(guò)程中兩個(gè)系統(tǒng)的配合要緊密。方式三：媒體網(wǎng)關(guān)的信令、計(jì)費(fèi)、網(wǎng)關(guān)接口采用方式一或者方式二，語(yǔ)音接入IP承載網(wǎng)時(shí)，由于語(yǔ)音帶寬較大，建議采用直接接入方式。方式三要求PE路由器具備VRRP功能，同時(shí)，要求PE路由器具備二層交換功能，在兩個(gè)PE路由器之間需要有二層物理鏈路或者邏輯鏈路連接。圖 方式三優(yōu)點(diǎn)是減少軟交換網(wǎng)絡(luò)設(shè)備的配置要求，節(jié)省投資；缺點(diǎn)是PE路由器需要支持二層交換功能，PE路由器之間的鏈路配置要求高，如果成對(duì)的PE路由器不在同一個(gè)機(jī)房，需要兩條不同物理路由的鏈路來(lái)保證可靠性。接入方式建議：(1)由于總部對(duì)軟交換端局的規(guī)模限制，一個(gè)MGW的語(yǔ)音流量一般不會(huì)超過(guò)600Mbps。1對(duì)GE接口可以滿足MGW語(yǔ)音流量的需求，因此，軟交換端局的語(yǔ)音接入方式建議同信令一致。(2)從節(jié)省建設(shè)成本，加強(qiáng)統(tǒng)一管理考慮，建議軟交換采用二層交換機(jī)接入方式（方案二）。(3)目前，已經(jīng)建成的省內(nèi)軟交換系統(tǒng)都有IP專網(wǎng)路由器，如果IP專網(wǎng)路由器在性能和功能上滿足要求，可以作為內(nèi)部AR，或作為軟交換CE路由器接入到IP承載網(wǎng)中（方式一），以避免對(duì)現(xiàn)有軟交換系統(tǒng)做大的網(wǎng)絡(luò)調(diào)整。如果IP專網(wǎng)路由器不能滿足要求，建議采用方案二。CE路由器的要求如下：支持多個(gè)VRF，并支持多個(gè)基于不同VRF的OSFP進(jìn)程。支持快速OSFP收斂功能。包轉(zhuǎn)發(fā)能力滿足軟交換業(yè)務(wù)量的要求端口配置滿足組網(wǎng)要求。 匯接軟交換接入1）Server側(cè)匯接軟交換的server同端局軟交換server接入方式相同。建議采用上述的方式二。2）中繼網(wǎng)關(guān)（TG）側(cè)中繼網(wǎng)關(guān)接入有以下四種方式。方式一、采用三層交換機(jī)（路由器）作為CE接入成對(duì)的PE路由器。（同端局軟交換接入的方式一）。方式二、采用二層交換機(jī)作為CE接入成對(duì)的PE路由器。（同端局軟交換接入的方式二）。方式三、TG的語(yǔ)音接口（主備工作方式）直接通過(guò)GE光口連接成對(duì)的PE路由器。（同端局軟交換接入的方式三）。方案四、TG的語(yǔ)音接口（主備工作方式）直接通過(guò)GE光口連接一臺(tái)PE路由器。圖 匯接軟交換由總部統(tǒng)一立項(xiàng)建設(shè)，具體采用何種接入方式由匯接軟交換項(xiàng)目具體確定。 分組業(yè)務(wù)、DCN等其他內(nèi)部系統(tǒng)接入分組等其他內(nèi)部系統(tǒng)按雙歸屬方式接入成對(duì)設(shè)置的內(nèi)部接入路由器。連接方式同端局軟交換接入方式一?？紤]保證路由的穩(wěn)定，首選BGP協(xié)議。 公眾VPN接入公眾VPN單鏈接入外部接入路由器?？紤]保證路由的穩(wěn)定，建議首選靜態(tài)路由。 割接方案以省為單位進(jìn)行業(yè)務(wù)的割接。首先，在所有AR路由器上，做好VPN的配置；然后，在省會(huì)城市將軟交換端局的匯聚路由器作為CE路由器連接到IP承載網(wǎng)省會(huì)AR路由器，在IP承載網(wǎng)的VPN和原有的軟交換端局IP專網(wǎng)之間建立連接；設(shè)有IP承載網(wǎng)AR路由器的地市，將業(yè)務(wù)逐步割接到承載網(wǎng)上，沒(méi)有建設(shè)AR路由器節(jié)點(diǎn)的地市，維持現(xiàn)有IP專網(wǎng)連接?，F(xiàn)網(wǎng)移動(dòng)分組業(yè)務(wù)（GPRS Gn接口、CDMA 1x的增值業(yè)務(wù)）割接到IP承載網(wǎng)，可以考慮的割接方案如下：以為GPRS Gn網(wǎng)絡(luò)的割接為例：將本期在北京、上海、廣州建設(shè)的ASBR路由器與165網(wǎng)的GPRS Gn VPN路由器對(duì)接，實(shí)現(xiàn)165網(wǎng)絡(luò)的VPN與新建網(wǎng)絡(luò)的VPN實(shí)現(xiàn)連接；各節(jié)點(diǎn)的Gn CE路由器逐步割接到新建的IP承載網(wǎng)AR路由器。 安全方案網(wǎng)絡(luò)的安全性包括業(yè)務(wù)系統(tǒng)的安全和業(yè)務(wù)數(shù)據(jù)的安全兩個(gè)方面。對(duì)于業(yè)務(wù)數(shù)據(jù)，可以采用一些認(rèn)證和加密等機(jī)制，防止攻擊者對(duì)業(yè)務(wù)的偵聽(tīng)和偽造。對(duì)業(yè)務(wù)系統(tǒng)，安全性可以通過(guò)設(shè)置地址轉(zhuǎn)換屏蔽對(duì)設(shè)備的攻擊，通過(guò)包過(guò)濾、設(shè)置單獨(dú)的VPN網(wǎng)絡(luò)等手段防范黑客的入侵等。安全性問(wèn)題是一個(gè)很寬泛的問(wèn)題，其中既包含了網(wǎng)絡(luò)的策略、系統(tǒng)設(shè)計(jì)中需要考慮的問(wèn)題，也包含了管理流程中的問(wèn)題。安全性問(wèn)題是整個(gè)系統(tǒng)的問(wèn)題，需要全盤(pán)的規(guī)劃。 業(yè)務(wù)接入安全策略采取以下措施，以充分保證業(yè)務(wù)系統(tǒng)接入IP承載網(wǎng)的安全： VPN進(jìn)行隔離。，關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)（如：softswitch）也應(yīng)通過(guò)防火墻保護(hù)。，以保證PE的安全：路由過(guò)濾：在PE與CE的接口上應(yīng)用訪問(wèn)控制列表（ACL）來(lái)限制，只允許來(lái)自CE的路由協(xié)議進(jìn)入PE路由限制：限制VRF路由條目，避免可能來(lái)自用戶網(wǎng)絡(luò)的海量路由攻擊對(duì)該P(yáng)E所接其他VPN的不良影響路由認(rèn)證：CE與PE之間應(yīng)當(dāng)通過(guò)配置靜態(tài)路由或者運(yùn)行帶有驗(yàn)證功能的路由協(xié)議來(lái)進(jìn)行路由交換，對(duì)路由協(xié)議交換進(jìn)行MD5和DES加密認(rèn)證控制，防止惡意路由攻擊 流量過(guò)濾：CAR，采用ACL區(qū)分流量，并進(jìn)行流量監(jiān)管uRPF：采用uRPF反向路徑查詢功能，有效地阻擋來(lái)自接入層的虛假地址攻擊。 協(xié)議保護(hù)措施(1)BGP保護(hù)限定合法PEER路由器IP地址和所在AS號(hào)。在Access端口上采用嚴(yán)格反向路徑查找技術(shù)，過(guò)濾來(lái)自其他網(wǎng)絡(luò)的偽造源地址的BGP攻擊包，對(duì)不能支持嚴(yán)格反向路徑查找的設(shè)備，通過(guò)ACL過(guò)濾源地址實(shí)現(xiàn)類似功能。[]在所有Access端口上采用分組過(guò)濾策略拒絕非法的EBGP協(xié)議數(shù)據(jù)包。為進(jìn)一步保證EBGP PEER的安全，在承載網(wǎng)對(duì)外EBGP PEER上進(jìn)行MD5認(rèn)證 。(2)NTP保護(hù)IP承載網(wǎng)通過(guò)分組過(guò)濾限制從外網(wǎng)進(jìn)入承載網(wǎng)的NTP數(shù)據(jù)包，同時(shí)在NTP 會(huì)話上進(jìn)行MD5認(rèn)證。(3)組播保護(hù)Access端口上利用分組過(guò)濾技術(shù)缺省禁止組播數(shù)據(jù)流，對(duì)MSDP進(jìn)行MD5認(rèn)證，在RP上對(duì)SA消息進(jìn)行過(guò)濾。(4)SNMP采用V2或者V3版本實(shí)施MD5認(rèn)證和DES加密，通過(guò)MIB View限制對(duì)包含大數(shù)據(jù)量的表類型變量的訪問(wèn)（路由表和CEF表）。 網(wǎng)絡(luò)操作安全管理(1)實(shí)施網(wǎng)絡(luò)管理員的分權(quán)和分級(jí)制嚴(yán)格控制對(duì)網(wǎng)絡(luò)控制訪問(wèn)的權(quán)限，從內(nèi)部管理上避免誤操作的安全隱患。高級(jí)網(wǎng)管員可以修改配置，刪除賬號(hào)。低級(jí)管理員只能察看網(wǎng)管界面，不能做任何改動(dòng)。(2)網(wǎng)絡(luò)口令管理對(duì)設(shè)備的訪問(wèn)控制實(shí)施AAA集中管理，避免采用設(shè)備本身的認(rèn)證。采用Radius（TACACS+可選）等加密的認(rèn)證方式，保證用戶名和密碼在網(wǎng)上的的傳遞是經(jīng)過(guò)加密的，采用OneTime 密碼，防止密碼強(qiáng)制攻擊等手段。同時(shí)對(duì)網(wǎng)絡(luò)口令需要有審計(jì)的功能，防止被盜用密碼的現(xiàn)象發(fā)生。(3)關(guān)閉網(wǎng)絡(luò)不必用的功能和端口根據(jù)應(yīng)用的不同，關(guān)閉不必要的端口和功能（如ICMP Redirect、Direct Broadcast、Proxy ARP），防止利用這些功能攻擊網(wǎng)絡(luò)系統(tǒng)。 網(wǎng)絡(luò)管理和操作方案 管理模式和網(wǎng)管系統(tǒng)設(shè)置IP承載網(wǎng)建議采用總部網(wǎng)管中心、省級(jí)網(wǎng)管中心兩級(jí)管理模式，其中：(1)網(wǎng)管系統(tǒng)集中部署在總部網(wǎng)管中心，提供統(tǒng)一的與網(wǎng)元設(shè)備及外部系統(tǒng)的對(duì)外接口。本期工程考慮在北京、上海、廣州各設(shè)置1套網(wǎng)管數(shù)據(jù)采集服務(wù)器。(2)各省網(wǎng)管中心設(shè)置返牽終端，通過(guò)訪問(wèn)總部網(wǎng)管系統(tǒng)實(shí)現(xiàn)省內(nèi)設(shè)備的管理。(3)網(wǎng)管系統(tǒng)應(yīng)具備分權(quán)分域管理功能：根據(jù)地域把設(shè)備分為不同的分組，包括集團(tuán)和省公司分組；為集團(tuán)和省網(wǎng)管中心分配不同的網(wǎng)管用戶，指定管理的分組和權(quán)限；集團(tuán)網(wǎng)管中心具有全網(wǎng)設(shè)備的管理權(quán)限，全網(wǎng)設(shè)備都對(duì)集團(tuán)都是可管理的；省網(wǎng)管中心只對(duì)省內(nèi)的設(shè)備有管理權(quán)限，對(duì)其他省內(nèi)設(shè)備不可管理，也不可見(jiàn)。多廠商環(huán)境下，將需要考慮設(shè)置綜合網(wǎng)管。本工程在各地市設(shè)置網(wǎng)管的返遷終端，實(shí)現(xiàn)對(duì)本省/本地市設(shè)備的管理 網(wǎng)管中心職責(zé)(1)集團(tuán)網(wǎng)管中心總部網(wǎng)管中心以網(wǎng)絡(luò)調(diào)度、分析、監(jiān)督和省際協(xié)調(diào)為主，負(fù)責(zé)全網(wǎng)級(jí)別的數(shù)據(jù)制作負(fù)責(zé)全網(wǎng)的設(shè)備的資源、拓?fù)?、告警等各?xiàng)管理功能。負(fù)責(zé)全網(wǎng)的性能監(jiān)控管理，包括鏈路流量、時(shí)延、抖動(dòng)、丟包等性能監(jiān)控，并提供相應(yīng)的性能報(bào)表。負(fù)責(zé)全國(guó)范圍內(nèi)的MPLS VPN、QoS業(yè)務(wù)的發(fā)放及監(jiān)控。在長(zhǎng)期性能監(jiān)控、流量分析等數(shù)據(jù)的基礎(chǔ)上，為整個(gè)網(wǎng)絡(luò)今后的擴(kuò)容、優(yōu)化提供決策依據(jù)。(2)省網(wǎng)管中心省網(wǎng)管中心負(fù)責(zé)省內(nèi)告警、日常維護(hù)。省網(wǎng)管中心負(fù)責(zé)省內(nèi)的性能監(jiān)控管理，包括鏈路流量、時(shí)延、抖動(dòng)、丟包等性能監(jiān)控，并提供相應(yīng)的性能報(bào)表。完成對(duì)省內(nèi)地市間網(wǎng)絡(luò)流量的分析，并提供相應(yīng)的分析報(bào)表。負(fù)責(zé)省內(nèi)MPLS VPN、QoS業(yè)務(wù)的發(fā)放及監(jiān)控。省網(wǎng)管中心作為故障發(fā)現(xiàn)和處理的第一責(zé)任人，負(fù)責(zé)數(shù)據(jù)制作和網(wǎng)絡(luò)監(jiān)控。硬件設(shè)備設(shè)備歸屬由各地市維護(hù)。 網(wǎng)管數(shù)據(jù)傳送通道IP承載網(wǎng)主要采用帶內(nèi)通道傳送設(shè)備配置數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、故障告警、性能采集、流量采集等網(wǎng)管信息。為保障帶內(nèi)通道的安全可靠，需要為網(wǎng)管系統(tǒng)設(shè)置獨(dú)立的IP地址段，不向IP承載網(wǎng)以外發(fā)布網(wǎng)管IP地址信息，屏蔽所有非承載網(wǎng)網(wǎng)管IP地址對(duì)網(wǎng)管系統(tǒng)的訪問(wèn)。本工程建議采用帶外網(wǎng)管通道實(shí)現(xiàn)網(wǎng)絡(luò)緊急恢復(fù)，在網(wǎng)絡(luò)發(fā)生重大故障時(shí)，能夠通過(guò)帶外方式通過(guò)設(shè)備的Console口對(duì)設(shè)備進(jìn)行故障恢復(fù)配置。建議可以考慮在核心、匯接節(jié)點(diǎn)分別設(shè)置一臺(tái)“帶外”應(yīng)急網(wǎng)管網(wǎng)絡(luò)路由器設(shè)備，并通過(guò)“帶外”E1鏈路實(shí)現(xiàn)聯(lián)網(wǎng)。各節(jié)點(diǎn)“帶外”應(yīng)急網(wǎng)管路由器通過(guò)Console終端線纜直接連接受管設(shè)備主控卡，實(shí)現(xiàn)在緊急情況下的Console級(jí)別的管理。為保證“帶外”應(yīng)急網(wǎng)管系統(tǒng)的靈活接入，在北京節(jié)點(diǎn)設(shè)置的“帶外”應(yīng)急網(wǎng)管路由器可以配置相應(yīng)撥號(hào)接入端口，在緊急故障時(shí)具備撥號(hào)接入到帶外網(wǎng)管的能力?！皫狻睉?yīng)急網(wǎng)管網(wǎng)絡(luò)路由器設(shè)備不在本期工程中考慮，建議利舊DCN整合后可使用的路由器設(shè)備。 網(wǎng)管系統(tǒng)主要功能要求IP承載網(wǎng)網(wǎng)管系統(tǒng)的管理功能主要包括網(wǎng)元層、網(wǎng)絡(luò)層和業(yè)務(wù)管理功能3個(gè)層面：(1)管理對(duì)象及范圍IP承載網(wǎng)的設(shè)備、端口、鏈路、網(wǎng)絡(luò)及關(guān)鍵服務(wù)器的集中監(jiān)控和安全管理。實(shí)現(xiàn)對(duì)網(wǎng)管系統(tǒng)本身的網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備和系統(tǒng)應(yīng)用服務(wù)等的集中監(jiān)控和管理。(2)網(wǎng)元管理，包括：網(wǎng)絡(luò)資源采集與分析、拓?fù)浔O(jiān)視與操作、故障告警與診斷。(3)網(wǎng)絡(luò)管理(4)網(wǎng)絡(luò)性能、流量、路由監(jiān)測(cè)與分析監(jiān)視網(wǎng)絡(luò)實(shí)時(shí)SLA，能夠較準(zhǔn)確的測(cè)量網(wǎng)絡(luò)端到端的時(shí)延、丟包、抖動(dòng)。對(duì)網(wǎng)絡(luò)鏈路層流量的負(fù)載和網(wǎng)絡(luò)擁塞分析，對(duì)城域網(wǎng)間流量、省際流量、互聯(lián)流量、國(guó)際流量等業(yè)務(wù)流量流向和業(yè)務(wù)分布進(jìn)行分析。對(duì)IGP，BGP路由穩(wěn)定性進(jìn)行監(jiān)測(cè)。提供QoS的查詢統(tǒng)計(jì)信息，優(yōu)化各種QoS業(yè)務(wù)的帶寬配置及準(zhǔn)入控制。(5)業(yè)務(wù)管理實(shí)現(xiàn)MPLS VPN的拓?fù)浔O(jiān)視、業(yè)務(wù)端到端的開(kāi)通，MPLS VPN的參數(shù)配置，業(yè)務(wù)故障檢測(cè)、業(yè)務(wù)性能SLA監(jiān)測(cè)(包括PEPE間可用率、時(shí)延、抖動(dòng)數(shù)據(jù)、流量數(shù)據(jù)、業(yè)務(wù)接入端口狀態(tài)等)。支持VPN每個(gè)PE CE鏈路的QoS管理,查看各VPN業(yè)務(wù)所占用的網(wǎng)絡(luò)資源及其運(yùn)行狀況。 計(jì)費(fèi)本期工程對(duì)公眾VPN業(yè)務(wù)需要支持計(jì)費(fèi)功能，要求PE路由器應(yīng)能夠支持針對(duì)物理端口和邏輯端口的計(jì)費(fèi)功能。包括：基于帶寬計(jì)費(fèi)和基于流量計(jì)費(fèi)。另外，要求設(shè)備支持Netflow，以能夠通過(guò)Netflow進(jìn)行流量統(tǒng)計(jì)并作為計(jì)費(fèi)基礎(chǔ)。 IP地址規(guī)劃原則IP地址的規(guī)劃應(yīng)該滿足業(yè)務(wù)長(zhǎng)期發(fā)展的需要。為了保證今后與其它網(wǎng)絡(luò)互通，本工程建議中國(guó)聯(lián)通IP承載網(wǎng)使用公開(kāi)的自治域號(hào)。(1)承載網(wǎng)設(shè)備loopback地址和鏈路互聯(lián)地址采用公有地址每臺(tái)路由器分配2個(gè)loopback地址，共需要8個(gè)C的公有IP地址。全網(wǎng)鏈路地址共需要16個(gè)C的公有IP地址。(2)跨域VPN的互聯(lián)地址，采用公網(wǎng)地址，建議按4個(gè)C考慮。其中：OPTIONA方式，需要為每個(gè)VPN互聯(lián)分配4個(gè)地址。OPTIONB方式，只需要為每對(duì)PE ASBR分配4個(gè)地址。(3)電信業(yè)務(wù)網(wǎng)IP地址（公/私有地址）應(yīng)由總部統(tǒng)一分配和管理，避免地址沖突。(4)公眾三層VPN地址采用用戶規(guī)劃的地址或者使用公網(wǎng)地址。建議采用用戶地址。根據(jù)以上分析，本工程建議申請(qǐng)一個(gè)公用自治域號(hào)，同時(shí)，申請(qǐng)一個(gè)B的公有地址，用于IP承載網(wǎng)的IP地址分配。 IPv6支持(1)IP承載網(wǎng)應(yīng)全面支持IPv6協(xié)議，包括：路由協(xié)議支持全面，包括RIPng、OSPFvBGP4+、IP v6 MPLS、 ISISv ISIS多拓?fù)涞?。[]各種接口/單板均支持IPv6。(2)本期工程暫不啟動(dòng)設(shè)備的IPv6功能，但應(yīng)支持各種過(guò)渡技術(shù)，并能夠平滑過(guò)渡到IPv6，包括：IPv6 over IPv4 隧道、IPv6 獨(dú)占鏈路、IPv6 over MPLS (6PE)、IPv6 雙棧網(wǎng)絡(luò)。[] 本章小結(jié)本章針對(duì)提出的設(shè)計(jì)需求，進(jìn)行了數(shù)據(jù)承載網(wǎng)的需求更改與重新設(shè)計(jì)，重點(diǎn)描述了IP化承載的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備方案，包括節(jié)點(diǎn)設(shè)置、中繼鏈路設(shè)置、QoS方案并討論了運(yùn)營(yíng)商要求的高可靠性方案、QoS方案和IPv6支持等問(wèn)題。第6章 系統(tǒng)實(shí)現(xiàn) 網(wǎng)絡(luò)拓?fù)浼肮?jié)點(diǎn)設(shè)置根據(jù)IP承載網(wǎng)的整體網(wǎng)絡(luò)結(jié)構(gòu)及節(jié)點(diǎn)設(shè)置原則，浙江省IP承載網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為：(1)設(shè)置2臺(tái)匯接路由器（PR）作為P路由器負(fù)責(zé)省內(nèi)流量匯接，按照匯接節(jié)點(diǎn)設(shè)置原則，浙江省匯接路由器設(shè)置在杭州，并應(yīng)設(shè)置在不同局址。本期工程杭州PRPR2分別通過(guò)1條10G POS鏈路上聯(lián)至上海CR廣州CR2。杭州PR1和杭州PR2之間通過(guò)1條10G POS鏈路互聯(lián)。(2)杭州設(shè)置1對(duì)（2臺(tái)）內(nèi)部系統(tǒng)接入路由器（杭州AR杭州AR2）和1臺(tái)外部系統(tǒng)接入路由器（杭州AR3），做為PE路由器。其中：杭州AR1至杭州PR1設(shè)置1條10G POS鏈路，杭州AR2至杭州PR2設(shè)置1條10G POS鏈路，杭州AR杭州AR2之間通過(guò)1條10G POS和2條GE鏈路互聯(lián)。杭州AR3至杭州PR杭州PR2各設(shè)置1條155M鏈路。(3)寧波設(shè)置1對(duì)（2臺(tái)）內(nèi)部系統(tǒng)接入路由器（寧波AR寧波AR2）和1臺(tái)外部系統(tǒng)接入路由器（寧波AR3），做為PE路由器。其中：寧波AR1至杭州PR1設(shè)置1條622M POS鏈路，寧波AR2至杭州PR2設(shè)置1條622M POS鏈路，寧波AR寧波AR2之間通過(guò)1條622M POS鏈路互聯(lián)。寧波AR3至杭州PR杭州PR2各設(shè)置1條155M鏈路。(4)臺(tái)州、嘉興、紹興、麗水等四個(gè)節(jié)點(diǎn)各設(shè)置1對(duì)（2臺(tái)）內(nèi)部系統(tǒng)接入路由器。臺(tái)州、嘉興、紹興、麗水等四個(gè)節(jié)點(diǎn)的AR1至杭州PRAR2至杭州的PR2分別設(shè)置1條2155M POS鏈路。臺(tái)州、嘉興、紹