【正文】 這樣可以最大限度的防止黑客的入侵和保持整個系統(tǒng)路由的穩(wěn)定性。接入層路由涉及到整個網絡路由的安全性和穩(wěn)定性。同時，CrossKey 交換機支持 ECMP，即等價路徑負載均衡，共支持最多 8 條等價路徑，利用此功能不但可實現高可靠性，同時可充分利用線路容量。當城域網內 ISP 分別連接多個出口（如：中國電信和其它電信運營商）作為主干運營 北京市經濟技術開發(fā)區(qū)城域網解決方案38商時，該情況下 ISP 需分別使用 BGP4 協(xié)議與多個出口運營商連接，對于上述兩種網絡連接方式，均可采用 AS 號過濾的方式控制 ISP 的路由導入，可過濾掉該 ISP 的過渡流量。由于有限的 AS 號資源，故可采用保留 AS 號。2．城域網與 163/169 網不在同一自治域內，各城域網分別為保留 AS 號，城域網與163/169 網之間運行外部網關路由協(xié)議，城域網內運行內部網關路由協(xié)議。選擇一臺城域內骨干交換機作為城域網連接骨干網的出口節(jié)點，使用一條千兆鏈路與省骨干網位于該地市的路由器相連，并將該節(jié)點路由器的連接接口定義在地市 Area 內，因而由該路由器充當骨干 Area 與地市 Area 之間的 ABR 路由器。城域網與 163/169 網在同一自治域內（AS），163/169 省網骨干為area0，各市城域網分別為不同的 area。骨干路由可以使用 BGP/OSPF 路由協(xié)議，同時可以支持 MPLS；這種結構可以實現對主 北京市經濟技術開發(fā)區(qū)城域網解決方案37干路由和數據傳送的最大控制(體現在骨干交換機對數據流中第三、四層信息的判斷和控制能力)。因此我們建議：對城域內個人用戶采用地址動態(tài)分配、以私網地址為主對城域內專線用戶采用地址靜態(tài)分配、公網、私網地址并存；出省的私網用戶通過 NAT/PAT 實現到 INTERNET 的訪問；某些特殊的個人用戶需要動態(tài)分配公網地址(如某些類型的 VPN 不能穿過防火墻)，建議支持該方式；對于提供 NAT 功能的防火墻的設置，我們提出以下建議：在核心點（Inter 出口）配置大容量的防火墻，也可以通過 CrossKey 交換機的負載均衡功能進行多個 Firewall 的負載均衡防火墻或防火墻陣列直接(或通過交換機)連接在核心節(jié)點的主干交換機上，在交換機上實施線速的策略路由，即源地址為城域內私網地址、目標地址非城域內私網地址的流量重定向到連接防火墻的端口；城域內的公網地址和私網地址統(tǒng)一路由，采用共同的路由協(xié)議策略，公網和私網的區(qū)別對城域內其他路由器的區(qū)別是完全透明的。而采用 NAT/PAT 的方式，可以將網絡公用地址的需要節(jié)省到幾十分之一甚至更多的程度。到190。若改變城域網使用的私網地址，調整簡單。綜合以上多種考慮，對于采用 IP 網作為城域網主要載體的城市，我們建議：采用寬帶接入服務器，一般采用公網地址池，動態(tài)分配 IP 地址如果地址空間缺口依然存在，建立公、私兩個地址池，根據用戶名或域名進行區(qū)分，需要寬帶接入服務器支持 VPDN，這樣只有私網用戶需要進行地址轉換。 北京市經濟技術開發(fā)區(qū)城域網解決方案36第四個因素是是否考慮中國電信可能的政策調整。第三個因素是是否考慮 NAT/PAT 對應用的影響。由于目前單臺設備的 NAT/PAT 的性能不理想，解決的方法是由邊緣層交換機分擔完成該功能，如 CrossKey 的交換機支持 NAT 功能，其它廠商的設備不一定能滿足要求。如果以太網用戶采用包月的方式，地址需要將大大增加。如果寬帶接入采用 DSL 或 CableModem，或者采用以太網接入+PPPoE，那么可以方便地進行地址的動態(tài)分配。但后一種方式的主要問題是 NAT/PAT 轉換的性能問題，第二個問題是可能會影響某些寬帶應用。的地址資源。由于大部分的個人用戶不需要固定的 IP 地址，因此對個人用戶采用動態(tài)的 IP 地址分配可以節(jié)省189。其中最主要的因素是公網地址空間的缺口：我們都知道 XX 市寬帶 IP 網分配了公用 IP 地址。為了提供安全保護，可以向用戶出租 L2/L3/L4 的過濾器，為了避免同一網段的用戶之間的地址干擾和地址欺騙，可以屏蔽動態(tài) ARP 并采用靜態(tài) ARP 的方式。采用私網地址的企業(yè)用戶： 北京市經濟技術開發(fā)區(qū)城域網解決方案35地址空間較大，可以根據 VLSM，分配用戶一段連續(xù)的地址空間。所以，對城域網內專線用戶采用地址靜態(tài)分配、公網、私網地址并存。訪問省內節(jié)點的私有 IP 流量仍經 CrossKey7810 直接路由至骨干路由器，而不經 NAT 地址轉換。所有公網 IP 地址的流量將有 CrossKey7810 直接路由至骨干路由器。NAT 設備面向骨干路由器的一面設有一公有 IP 地址池，應實現 PAT 功能以為大量的城域用戶服務，減少 IP 地址的使用量。對于 CrossKey7810 來說，其通過OSPF 或 BGP4 協(xié)議與骨干路由器相連，缺省網關指向本地省網路由器。而且，CrossKey 交換機具備對防火墻的健康檢查功能，如果某個防火墻出現故障，則 CrossKey 交換機可以自動繞過此發(fā)生故障的防火墻。通過 CrossKey 的策略路由功能，可以將私網 IP 地址訪問公網 IP 地址的流量自動轉向到防火墻，通過防火墻進行地址轉換；而公網地址訪問公網地址的流量不經過防火墻。建議采用具有硬件處理能力的線速 NAT 設備。對于訪問城域網外的用戶，需區(qū)分其使用的是私有還是公有 IP 地址，對于公有 IP 地址用戶也無需進行地址轉換，使用私有 IP 地址用戶為訪問城域網外的網絡時必須進行 NAT 轉換。其缺點是城域網內私有地址間互訪的流量均經地址轉換，性能受到影響，NAT 設備的壓力較大。城域網內地址規(guī)劃的一種方式是將所有私有地址限制在各城域內，無論私有地址用戶訪問的目的地是城域網外網絡還是城域網內網絡，其均要進行地址轉換。首先是城域網骨干設備的地址，由于城域網有可能連接其它 ISP 和使用保留地址的企業(yè)，并且不排除中國電信將來在國內網上使用統(tǒng)一規(guī)劃保留地址的可能，因此我們建議在城域網的核心設備上采用公用地址。地址的分級、可變長掩碼等技術的使用在此就不在詳細論述。采用 SuperVLAN技術后，可對包含多個 VLAN 的 SuperVLAN 僅分配一個 IP 子網地址，既節(jié)省子網的數量和 IP 地址的數量，又便于管理。通過將同一集團用戶的多個 VLAN 聚合成一個 SuperVLAN，可以簡化 IP 地 北京市經濟技術開發(fā)區(qū)城域網解決方案32址的管理，有效地利用(即節(jié)省)IP 空間。利用此功能，可以實現強大的基于策略的路由。只有對 Cache Server 中沒有副本的網站的訪問才發(fā)往 Inter，因此可大大提高 web 訪問速度，并且上述操作對用戶是透明的。目前有效的解決辦法是在本地設立高速緩存服務器(cache server)，將已經訪問過的網站的內容在本地 cache server 中保存一副本。另一方面，通過服務器負載均衡技術還可以極大地提高服務器群的可靠性—當共擔負載的一組服務器中的某一臺發(fā)生故障時，其工作可自動由其它服務器接替，從而保證了服務（應用）的不中斷。否則，接入交換機將阻止該用戶上網。使用 work login 技術后，當某用戶要通過某臺接入交換機上網時，接入交換機首先提示其用戶輸入其用戶名和口令，并將用戶輸入的戶名和口令送給網絡中的RADIUS 認證服務器進行認證。網絡登錄認證技術（work login）通常的以太交換機無法根據用戶的身份決定是否容許某用戶使用網絡，因此對網絡安 北京市經濟技術開發(fā)區(qū)城域網解決方案31全保障和計費帶來困難。CrossKey QoS 允許服務提供商為客戶在每一個分割層靈活分配帶寬，同時加強對特殊流量分類（如語音和圖象）的保障。CrossKey 交換機在 IP DiffServ 支持全部 64 個優(yōu)先級別，并功能上可和其他廠家互通。一般廠家交換機端口只支持兩個或 4 個隊列，如每個隊列有多個級別只能采取 FIFO 的方式傳包，不能真正達到優(yōu)先級控制的效果。 的 級 別 可 通過 CrossKey 的交換機映 射 到 DiffServ 的 CodePoint 欄 ， 從而實現 LANWANLAN 端到端的服 務 質 量 。同樣，CrossKey的交換機可根據來自 3 層設備的 IP 包中的 DiffServ CodePoint 值設置向 2 層網發(fā)出的以太幀的 值，使 2 層設備可依此進行優(yōu)先轉發(fā)。 XX 通訊技術有限公司首先實現在以太網上通過雙向帶寬管理技術為用戶提供 CIR“承諾信息速率”（Committed Information Rate）服務，每一項服務都將得到最高帶寬和最小帶寬承諾制控制。這樣通過 QoS 的帶寬控制就可以做到好似 ATM PVC 永久鏈路一樣，做到帶寬的保證。此外，CrossKey 交換機中每個端口提供 8 個優(yōu)先級隊列，可提供業(yè)界最強的 QoS 支持。例如，可保證某個視頻流量的最小帶寬和最大帶寬，可以實現雙向流量控制，而且可以保證數據傳輸的時延和抖動，類似于傳統(tǒng)的 TDM 技術，保護視頻會議等關鍵應用。XX 通訊技術有限公司的基于策略的 QoS 技術可在以太網上提供前所未有的服務質量保證。比如，可將某用戶光纖上的可用帶寬限制為 500Kbps,1Mbps,2Mbps,…，這樣既可以對整個系統(tǒng)的帶寬資源進行有效地管理，使得能根據用戶需要提供相應的帶寬服務，同時也使用戶可根據所得到的服務(帶寬)付費。因此，如采用 WDM 技術，當一對光纖中的一條斷開后，仍可提供 4Gbps 的雙向通信。WDM(波分復用)技術使得在一對或一根光纖上可以用不同的波長同時傳輸多路信息，因此大大提高了光纖的利用率，成為目前倍受推崇的新一代光傳輸技術。如果 MSM64I 管理模塊的其中之一發(fā)生故障，接口模塊會馬上探測到并停止與它的通信，而仍保持與另一個 MSM64i 管理模塊通信（不需要任何的重新啟動時間去激活冗余的管理模塊），此時全部交換任務由另一個交換引擎承擔，交換能力變?yōu)?64Gbps，但使用者的任務不會丟失。分類服務，提供多種不同的超額開通水平和有保障的時延。對等中心/光交連/關鍵事務型故障切換。每個城域網只需一個控制環(huán)。光纖 – 光環(huán)拓撲的成本低，特別是與“輪軸和輪輻”拓撲的高成本相比?？梢? 北京市經濟技術開發(fā)區(qū)城域網解決方案27與具有 IEEE 功能的任何交換機操作(可以互操作)。EAPS 是于 2020 年 9 月發(fā)布的，提供了~50 毫秒故障切換/故障恢復性能?？梢葬槍σ粋€城域網簡便地進行配置。優(yōu)點：能夠在每個端口上以線速運行。通過多臺交換機時沒有傳播延遲或限制(IEEE 具有七臺交換機的限制)。設備：所有 CrossKey 7500/7800 系列交換機。這在使用基于標準的以太網協(xié)議 IEEE 和 時是不可能的。該機制作用于以太網環(huán)狀互連拓撲結構，不再需要增加新的硬件和接口。 北京市經濟技術開發(fā)區(qū)城域網解決方案26技術說明CrossKey 系列交換機除了支持普通所有標準功能外，還提供許多特別為寬帶業(yè)務服務提供商所設計的先進功能，下面分別作簡要介紹。以上是對一些常見業(yè)務的實現方式的簡要介紹。目前 CrossKey交換機的 WDM 技術可在一對光纖上提供雙向 8Gbps 的通信速率，在一條光纖芯上可支 北京市經濟技術開發(fā)區(qū)城域網解決方案25持雙向 4Gbps 的通信速率。其中 Trunking 為將多條線路組合使用，可提供 n倍的帶寬，并當某條線路故障時可不中斷通信。XX 通訊技術有限公司的 CrossKey 交換機提供基于硬件的高性能 MPSL 解決方案。MPLS 三層 VPN 通過在邊緣 MPLS 設備上虛擬的實現多個 IP 路由設備提供不同 VPN 用戶的路由管理實現 IP 層 VPN 服務。通過 MPLS 技術可實現 VPN，其包括二層實現方式和三層實現方式。對于運營商來講，用戶的 VPN 構建是基于其租用的接入線路和城域 IP 通道，是透明傳輸，故不需特別的管理和配置。IP 城域骨干網絡作為 IP 通道支持隧道方式 VPN。用戶需向運營商申請相應的辦公地點接入端口，并申明要采用 VMAN 服務；運營商為其配置相應的 VMAN Domain 標識，并在骨干網絡上配置其通道。用戶可在每個 VMAN 的出口(而不是每個辦公地點)設置防火墻，保證對外的安全性。他們之間可按原來的協(xié)議(IP、IPX、DEC，SNA 等)和 VLAN 關系通信，與在同一 LAN 上一樣。5. 其 他 的 VLAN以 相 同 的 方 式 工 作1Q tagVLAN ID = 30 User dat(48 –150 bytes) taged frame 3 1Q tagVLAN ID = 30 User dat(48 –150 bytes)DatLinkheader taged frame當同一單位的辦公地點分布與城區(qū)內的不同地區(qū)時，用戶希望本單位內部不同地點用戶之間的通信能夠新在同一辦公室內(同一 LAN 內)一樣方便，而網絡的安全性也能得 北京市經濟技術開發(fā)區(qū)城域網解決方案24到保證。在