【正文】 ................................................................................................58SSO（SERVICESIGNON）系統(tǒng) ...........................................................................................................................582．REDBACK SMS 寬帶接入服務(wù)器 ...........................................................................................................................623．兩種方式的比較。 ................................................................................................................................................63附件三：圖表 ..................................................................................................................................................................653 / 69一、設(shè)計(jì)原則隨著深圳電信的互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，可以預(yù)測(cè)的用戶需求在幾年內(nèi)將成幾何級(jí)數(shù)增長(zhǎng)，同時(shí)，隨著中國(guó)加入 WTO 的時(shí)間表的逼近，來(lái)自各個(gè)方面的競(jìng)爭(zhēng)壓力不斷增加。因此，深圳電信局決定建設(shè)一個(gè)先進(jìn)的、靈活的、可靠的、基于標(biāo)準(zhǔn)的城市骨干通信平臺(tái)，使得深圳電信能夠基于這個(gè)平臺(tái)，針對(duì)市場(chǎng)上 IP 用戶的大量寬帶多媒體應(yīng)用的需求，迅速推出一系列嶄新的寬帶多媒體業(yè)務(wù)，從而吸引更多的用戶，增加市場(chǎng)競(jìng)爭(zhēng)力，實(shí)現(xiàn)網(wǎng)絡(luò)的商用價(jià)值，并為今后滿足市場(chǎng)新的業(yè)務(wù)需求而迅速推出新的業(yè)務(wù)打好基礎(chǔ)?；谝陨系慕⒛繕?biāo)，深圳 IP 城域網(wǎng)的設(shè)計(jì)原則為：(1) 可靠性原則；(2) 可擴(kuò)充性原則；(3) 簡(jiǎn)單和易于管理的原則；(4) 可以集中管理的原則；(5) 效率高；(6) 和現(xiàn)有網(wǎng)絡(luò)有較好的集成；(7) 安全性； 網(wǎng)絡(luò)可靠性通過(guò)下述的設(shè)計(jì)思路來(lái)達(dá)到： 在網(wǎng)絡(luò)核心層進(jìn)行 Partial meshed 冗余物理連接； 接入層設(shè)備通過(guò) Dual homing 雙連接到核心層； 網(wǎng)絡(luò)采用多出口設(shè)計(jì)到 Intere(163/169)； 在接入層采用 Route summarization 減少邊緣鏈路波動(dòng)對(duì)核心的影響； 合理采用靜態(tài)路由，提高可靠性；網(wǎng)絡(luò)可擴(kuò)充性通過(guò)下述的設(shè)計(jì)思路來(lái)達(dá)到： 網(wǎng)絡(luò)采用明顯的“核心—分布”層次結(jié)構(gòu)； 簡(jiǎn)單而有效的 IP 地址分配策略； 采用可靠和可擴(kuò)展的 IGP 路由協(xié)議；簡(jiǎn)單和易于維護(hù)性通過(guò)下述設(shè)計(jì)思路來(lái)達(dá)到： 所有的網(wǎng)絡(luò)設(shè)備被分配專門的用途；4 / 69 避免復(fù)雜的配置； 網(wǎng)絡(luò)設(shè)備命名直觀而易記； 統(tǒng)一的 slot、port、VLAN 的分配策略； 每臺(tái)設(shè)備都配有 loopback 地址，易于維護(hù)；集中管理通過(guò)下述設(shè)計(jì)思路來(lái)達(dá)到： 為中央網(wǎng)絡(luò)管理系統(tǒng)配有專門的管理網(wǎng)段； 從中央網(wǎng)管網(wǎng)段可以到達(dá)所有設(shè)備； VPN PECE 連接從 NMS 網(wǎng)段同樣可以到達(dá)； 為所有互連網(wǎng)段包括 VPN PECE 連接都采用合法 IP 地址；運(yùn)行的高效性通過(guò)下述設(shè)計(jì)思路來(lái)達(dá)到： 核心層互連鏈路采用相同接口類型和相同速率，便于作負(fù)載平衡； 城域網(wǎng)內(nèi)部采用缺省路由配合 IGP metric 作出口選擇； 和 Inter 的多連接上采用 BGP MED 特性進(jìn)行負(fù)載分擔(dān)；和現(xiàn)有網(wǎng)絡(luò)的集成通過(guò)下述設(shè)計(jì)思路來(lái)達(dá)到： 采用開放的、標(biāo)準(zhǔn)的路由協(xié)議將城域網(wǎng)分為多個(gè)路由區(qū)域，現(xiàn)有網(wǎng)絡(luò)可以通過(guò)單獨(dú)的域連接上來(lái)； 和 Inter(163/169)的 BGP 連接通過(guò)保留的 AS 號(hào)，這樣不會(huì)影響廣東省和中國(guó)電信 163/169 網(wǎng)絡(luò)出國(guó)的 BGP 路由；安全性通過(guò)下述設(shè)計(jì)思路來(lái)達(dá)到： 對(duì)所有重要事件進(jìn)行 log； 限制對(duì)設(shè)備的 SNMP 和 TELNET； 采用 NTP 協(xié)議對(duì)全網(wǎng)的設(shè)備進(jìn)行同步； 對(duì)不安全的端口上將路由協(xié)議進(jìn)行 Passive，防止不必要的路由泄露； 對(duì)網(wǎng)絡(luò)設(shè)備的 User 和 Privilege 狀態(tài)進(jìn)行存取控制；網(wǎng)絡(luò)總體結(jié)構(gòu)如圖所示：5 / 69黃 木 崗一一IP一一一一樞 紐新 安蛇 口龍 中沙 頭 角 電 信南 山 龍 脈骨 干 層西 鄉(xiāng) 中 學(xué)西 鄉(xiāng) 小 學(xué)寶 安 中 學(xué)寶 安 教 育 局 福 田 中 學(xué) 、 實(shí) 驗(yàn) 學(xué) 校教 育 學(xué) 院 、 電 子 技 校外 語(yǔ) 學(xué) 院POS 10MF 10 網(wǎng) 管 GSR120750/7513Catlyst609atlyst294福 田 區(qū) 教育 局 等 鹽 田 區(qū) 教育 局 等信 息 化 小區(qū)信 息 化 小 區(qū) 、企 業(yè) 上 網(wǎng)信 息 化 小 區(qū)企 業(yè) 上 網(wǎng)信 息 化 小 區(qū)龍 崗 區(qū) 教育 局 等廣 電 大 學(xué)深 圳 小 學(xué)教 育 局 等信 息 化 小 區(qū) 、企 業(yè) 上 網(wǎng)深 圳 中 學(xué)深 圳 大 學(xué)南 山 區(qū) 教育 局 等 信 息 化 小區(qū)企 業(yè) 上 網(wǎng)主 機(jī) 托 管主 機(jī) 托 管機(jī) 關(guān) 專 用 局VPN網(wǎng) 管CE routerisc 36206 / 69二、設(shè)備用途說(shuō)明和命名規(guī)則 Site 代碼Site Site Code樞紐 SN黃木崗 HMG電信 DX南山 NS新安 XA龍中 LZ沙頭角 STJ東港中心 DG新南頭 XNT機(jī)關(guān)專用局 JG蛇口 SK鴻波 HB龍脈 LMSite 代碼是地點(diǎn)名的拼音縮寫而成。 設(shè)備命名規(guī)則MANSite CodeEquipment TypeUnique Id. A – 1st 12022。 。因此，為了在一種清晰的結(jié)構(gòu)上進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)，對(duì)網(wǎng)絡(luò)進(jìn)行功能模塊的劃分，將深圳 IP 城域網(wǎng)分為以下幾個(gè)模塊：?核心骨干模塊?Inter(163/169)連接點(diǎn)模塊?IP VPN 服務(wù)模塊?商業(yè) Inter 接入模塊?小區(qū) Inter 接入模塊?政府上網(wǎng)接入模塊?主機(jī)托管模塊 核心骨干模塊 (backbone)結(jié)構(gòu)的城域網(wǎng)的核心骨干模塊由分布在 7 個(gè)不同地點(diǎn)的 7 臺(tái) Cisco GSR12022 路由器構(gòu)成，分別是：Backbone ModuleIPVPNService ModuleCommercialInter AccessService ModuleCommunityInter AccessService ModuleGovernmentInter AccessService ModuleServer HostingService ModuleInterPeering ModuleNetworkManagementModule12 / 69?MSN12022A 樞紐的 GSR12022?MHMG12022A 黃木崗的 GSR12022?MDX12022A 電信的 GSR12022?MNS12022A 南山的 GSR12022?MXA12022A 新安的 GSR12022?MLZ12022A 龍中的 GSR12022?MSTJ12022A 沙頭角的 GSR12022這 7 臺(tái) GSR12022 通過(guò) POS 接口卡單模光纖以 partial meshed 結(jié)構(gòu)互連；為了確保核心骨干模塊的 MPLS 標(biāo)簽分配和路由表的穩(wěn)定，這 7 臺(tái) GSR12022 及它們之間互相連接的Link 必須獨(dú)立地分配在 IGP 的 area 0 域中。實(shí)現(xiàn)作為 IP 城域網(wǎng)的核心，要承載包括 IPv4 和 MPLS VPN 兩種不同的 traffic，所以，每臺(tái) Core Router 必須是能夠支持 Tag Switching。下面是一臺(tái) Core router 的 Sample configuration:Tagswitching advertisetagsinterface pos 2/0 description “SM01 fiber link to MXA12022A pos 2/0” ip address tag switching ipCore AreaServiceModulesServiceModulesServiceModulesAggregated or Summary Routes OnlyDXLZHMGXANSSN STJ13 / 69為了減少 Tag Switch 的目標(biāo) lable，可以采取 access list 的方法來(lái)限制標(biāo)簽的分配。其它 traffic 進(jìn)行普通路由。其中，黃木崗 MHMG12022A 通過(guò)一條 OC48 鏈路連接到 163；電信 MDX12022A 通過(guò)一條 GE 鏈路連接到 163。到那時(shí)，2 臺(tái)新加入的 GSR 路由器MSN12022B 和 MNS12022B 將代替本期工程中的 2 臺(tái)邊界路由器作為新的 163 出口路由器。在第六章中將詳細(xì)講述和 163 邊界路由器的路由策略，包括如何在多出口點(diǎn)之間進(jìn)行Inbound traffic 和 Outbound traffic 的 load balance，以及如何保證路由對(duì)稱性的問(wèn)題。 IP VPN 服務(wù)模塊結(jié)構(gòu)IP VPN 服務(wù)模塊包括向用戶提供 IPVPN 服務(wù)的路由器和交換機(jī)，路由器主要是 7507或 7513，交換機(jī)主要是 2924。該 GE 鏈路被定義為 multiVLAN Trunk。要向用戶提供 IPVPN 服務(wù)，需要進(jìn)行下列步驟：? 在 VPN Access Concentrator 2924MXL 上分配一個(gè) 100M 端口；? 通過(guò) FEtoFiber 單模光纖轉(zhuǎn)換器連接用戶端的設(shè)備；? 將分配到的 100M 端口映射到 VPN Access Concentrator 2924MXL 的一個(gè)VLAN 上； ? 在 PE 7500 的 GE 端口上為該 VLAN 建立一個(gè) subinterface；? 將該 subinterface 聯(lián)系到一個(gè) VPN 上；? 在用戶端，用戶提供 CE 路由器通過(guò) 100M 端口連接到 PE 上。目前有兩種 trunk 封包技術(shù)，一種是 Cisco 專用技術(shù) ISL(Inter Switch Link)，另一種是 IEEE ，是國(guó)際標(biāo)準(zhǔn)。下面是 2924MXL 用作 VPN Access Concentrator 的 Sample Configuration：interface gigabitether 1/1 switchport mode trunk switchport trunk encapsulation dot1Q下面是 PE 路由器 7500 的 trunk 端口的 Sample configuration：interface gigabitether 8/0/ encapsulation dot1Q 103 ip address B、MPLS VPNMPLS 采用虛擬路由表的方法來(lái)實(shí)現(xiàn)一個(gè)路由器上多個(gè) VPN 的路由表。VRF 定義連接到 PE 上的 VPN 成員(一個(gè) site)資格。用戶 site 和 VPN 之間可以不是一一對(duì)應(yīng)的，一個(gè)用戶 site 可以是多個(gè) VPN 的成員。一個(gè)用戶 site 的 VRF 包括所有該 site 所屬 VPN 到該 site 的路由。VPN 路由信息的傳播由 VPN routetarget munities 來(lái)控制，這主要是通過(guò) BGP 的extended munities 屬性來(lái)實(shí)現(xiàn)的。? 每個(gè) VRF 配置有一個(gè) import routetarget 列表，該列表指明了一個(gè) BGP 的 update 中的munity 屬性應(yīng)該包含什么 routetarget 才能被目標(biāo) VRF 接受。一個(gè) PE 路由器可通過(guò)靜態(tài)路由、RIP 或 BGP 從 CE 處得到某一個(gè) IP 前綴的路由，該前17 / 69綴是標(biāo)準(zhǔn) IPv4 的前綴。通過(guò)這種方法，可以使用戶地址唯一，即使用戶使用的是IANA 規(guī)定的保留地址。MP BGP 協(xié)議為 VPN 的每個(gè) VPNIPv4 前綴傳遞 NLRI(Network Layer Reachability Information)。BGP 協(xié)議通過(guò) BGP 多協(xié)議擴(kuò)展(BGP multiprotocol extensions 參見(jiàn) RFC 2283, Multiprotocol Extensions for BGP4)來(lái)傳遞 VPNIPv4 的路由可達(dá)性信息，多協(xié)議擴(kuò)展的 BGP 采用的方法為限定 BGP 的 peer 只能從其它 VPN 的同伴處得到 BGP 路由。PE 路由器為每一個(gè)從 CE 路由器學(xué)到的前綴產(chǎn)生一個(gè) label，然后將這個(gè) label 作為一個(gè) BGP Communities 屬性附加到