课题9——通信网管网专题研究.docx

“十三五”通信规划专题研究通信网管网专题研究国家电网公司信息通信分公司江苏省电力公司天津市电力公司陕西省电力公司目录前言11 通信系统网管系统现状11.1国网一级骨干通信系统网管现状11.2各分部、省公司通信系统网管网现状51.3各级通信系统网管网互联互通需求分析61.4专业网管接入网管网情况调研72 存在的主要问题93 通信网管网整体架构103.1 建设基本原则103.2 网管网整体架构103.3 网管网路由协议方案143.4 MPLS VPN业务实现163.5 链路带宽183.6 IP地址规划183.7 网络可靠性设计204 网管网安全防护体系214.1 基本原则214.2 网管网功能分区设计214.3 功能域安全等级分析234.4 安全防护体系设计245 网管网设备互联互通295.1 设备命名规范295.2 命名示例315.3 网管网设备连接规范315.4 端口描述规则316 通信网管网管理原则要求32通信网管网专题研究报告（初稿）前言通信网管系统采用分层管理模式，一般可以分为网元层、网元管理层和子网管理层。网元层一般是针对光传输设备的物理单位，各设备网元将信息传送至网关网元，通过DCC或GCC字节进行数据传输，形成内部DCN网络。网元管理层在网元与网络管理层之间起到上传下达的作用，网元管理服务器直接管理设备网元，向网元下发命令并获取网元实时信息，信息传输是通过网关网元与服务器间的外部通道实现。子网管理层实现对管辖范围内整个通信网络的管理，主要强调端到端的业务管理能力，子网管理层、网元管理层以及远程维护终端之间形成局域网。网管信息的数据传输网络除网元之间的信息传输利用内部DCN之外，其余所有数据通信都采用外部DCN网络。1 通信系统网管系统现状1.1 国网一级骨干通信系统网管现状国网一级骨干通信网为国家电网公司实时调度、企业管理提供了基础的网络通信资源，为公司的正常生产、经营等活动提供基本保障。目前，电力通信传输网以光纤通信技术为主，包含SDH网路和OTN网络两个独立的逻辑网络平面，根据技术体制特点的不同分别承载不同类型业务。一、 通信网络现状国网一级骨干光通信网络从21世纪初开始大规模建设，近年来随着各类业务需求的增长变化，通信网络架构也在持续增强完善。1、 SDH网络目前，国网一级骨干光通信网络由ECI、西门子、阿尔卡特、马可尼、华为、朗讯、中兴、烽火等多家设备厂商近四十余种型号的设备组成。表1-1 国网一级骨干光通信设备按厂家划分统计设备厂家设备数量（套）占光设备总数的比例华为130（OTN）30%105（SDH）中兴159（OTN）26%43（SDH）ECI12916%Siemens9412%Alcatel516%Marconi446%Lucent253%烽火51%合计785100%SDH网络主要具有以下特点：（1） 分期建设，设备性能差异：由于SDH通信网络主要是跟随输电线路主体工程建设的配套光通信工程，十年来随着电网规划、建设的发展，通信网络随之逐步进行建设完善。因此，目前网络中设备投产年限差距较大，部分运行设备已经处于停产状态。通信传输技术作为近年来迅速发展的技术之一，在设计、应用上也出现了巨大的变化，所以不同时期建设运行的SDH设备在细节技术上还存在一些差异。（2） 以链状结构为主形成的网络架构：随电网建设的各通信系统基本采用链状组网模式，因此SDH通信网络架构缺少统一的规划、设计，目前所形成的“三纵四横”基础网络架构是由多个链状系统组合而成，网络结构的完善、优化都是在后期建设工程或技改项目中执行完成，所以各个系统的结构、设备配置等经常会出现调整。（3） 设备型号种类繁多：通信技术的发展迅速、硬件设备开发周期的缩短等造成通信设备更新换代的速度加快，在不同时期建设的工程所采用的SDH设备型号可能会出现较大差别，即使同型号设备其软硬件版本也会不断升级，造成现网中运行设备的种类型号繁多。同时设备网管系统软硬件版本也会不断升级，造成运行维护中网络一直处于动态升级过程中，设备型号越多、网管系统越不统一，对运行维护造成的困难也就越大。2、 OTN网络国网大容量骨干光传输网OTN网络是国家电网公司“十二五”通信网规划中的重点项目，从2011年开始设计建设，采用40×10G的电交叉OTN技术。除新疆、西藏公司以外，该网络覆盖了公司总部、信息容灾中心、五个公司分部、省（自治区、直辖市）电力公司以及省级以上通信第二汇聚点。全网分为两个管理域，北域（包括华北、东北、西北）采用中兴设备，南域（包括华东、华中）采用华为设备。OTN网络主要具备以下特点：（1） 统一工程设计：国网大容量骨干光传输网络工作建设采取统一设计模式，综合各级通信光缆资源、各类业务带宽需求等多种因素，在对技术体制、网络架构、设备选型配置等内容进行统一设计的基础上，还同步进行了整个网管系统的规划设计，充分考虑了各属地运维单位的监控和维护需求。（2） 统一设备采购：国网大容量骨干光传输网络建设初期开展了OTN设备的性能测试，对各厂家设备特点、传输性能进行全面的检验，根据测试结果及工程建设需求开展了统一OTN设备的规模化采购，减少设备厂商的数量，统一设备型号、软硬件版本。统一网管系统建设，服务器、客户端、软件版本一致，同时确保外部DCN网络采用的路由器、交换机等设备具有一致性。二、 网管系统现状目前，国网一级骨干光传输网络所有光传输设备的专业网管系统是按照设备厂家分别建设，每个厂家至少建立一套网管系统，每套网管系统的网元层服务器与网络层服务器均部署在同一地点，服务器采用主备配置模式；远程维护终端根据各省公司运维责任划分情况进行配置。国网一级骨干光传输网的网管DCN网络结构和建设思路主要经历了两个阶段的发展变化。早期主要是配合每项工程规模、站点数量和设备配置独立建设，随着OTN网络的统一规划设计，逐步形成了网管网架构规划、建设原则和过渡割接方案。1、 早期SDH网管DCN早期的网管系统主要是随着SDH通信网络的建设而逐渐形成，由于SDH网络跟随输电线路主体工程分期建设，且多以链状结构为主，所以网管DCN网络一般均采用各工程独立建设。（1） 网关网元选择：链状结构网络的两端设备设置为网关网元，对于位于公司总部、分部、省（自治区、直辖市）电力公司本部的光传输设备设置为网关网元，与服务器位于同一站点的同厂家设备设置为网关网元。随着工程建设和网络结构的变化，网关网元的设置也会随之进行动态调整和优化。（2） DCN通道：当网关网元与服务器不在同一站点时，则每个网关与网元服务器之间均开通一条2M通道传输数据信息；若网关与服务器在同一站点，则直接通过局域网互联。远程维护终端与网管服务器之间采用一条2M通道传输信息。对同一厂家设备而言，不同时期建设投产的设备共用网管服务器和远程维护终端，但是网关网元及外部DCN网络一般会随着工程的不同而独立建设。2、 网管网现状2011年开始进行大容量骨干传输网OTN网络建设时，对通信网管系统进行统一规划设计，网管网的设计、建设进入实施阶段。网管网的规划既要满足OTN设备的管理需求，同时还需兼容考虑SDH设备网管系统，将SDH网管DCN网络逐步割接至网管网的统一DCN网络中。随着OTN网络的建成投运，目前国网一级骨干网网管网采用层次化结构组网分为核心层、骨干层、接入层，其中包含4个核心节点为白广路、武汉、西安、上海。31个骨干层节点，覆盖全国网26个省（市）公司，5个分部。接入层各节点就近接入省内骨干路由器，整体结构拓扑采用星型+环形结构。原有SDH网管的割接调整工作仍在进行中，其中华为、中兴、ECI、烽火、西门子设备网管已全部割接至网管网中，而马可尼、阿尔卡特、朗讯等设备由于采用NSAP地址进行数据传输，与网管网IP协议通信存在部分问题，尚未完成割接工作。随着特高压电网的建设，通信系统中超长距离光传输应用越来越广泛，后期对于外置光路子系统光迅设备的网管系统优化还需进一步研究确定。1.2 各分部、省公司通信系统网管网现状从国家电网公司“十五”通信网规划开始，光传输通信网络建设突飞猛进，二、三、四级传输网与各级电网同步建设，不断加强光缆资源建设，完善通信网络结构。同时随着通信技术的发展，各级通信网络在技术体制选择上也逐步呈现多样化的特点。网管系统作为对通信网络监控管理、对调度指挥、故障处置等起到关键作用的支撑系统，其建设规模也不尽相同。总体而言，各单位都已建成光传输设备的网管系统，实现了设备运行状态的实时监控，但是网管网建设处于起步阶段，仅个别省公司开展了相关工作，而大部分单位仍处于需求分析和可行性研究阶段。一、 通信网络及网管系统现状1、 网络架构根据调度管辖范围和管理职能的划分，各分部通信网络和网管系统均采用一级部署，以SDH传输技术为主、DWDM/OTN补充共同混合组网，网管服务器部署在分部本部，实现对所有设备的实时监控。大部分省公司光传输网络和网管系统均采用省、地两级部署方式，省级网络主要覆盖220kV及以上电压等级变电站和省公司的直属单位，地市公司网络主要覆盖220kV及以下电压等级变电站和地市公司直属单位。2、 设备品牌虽然国网二、三级通信网络的光传输设备品牌和型号种类总数较多，但是各单位内部主要以2-3种品牌为主，设备类型相对集中。而地市四级通信网络中光传输设备品牌数量在各单位的差异较大，部分省公司中各地市传输设备较为统一，品牌集中在1-2种，但也有部分公司内各地市设备品牌仍呈现出多样化的特点。二、 开展网管网工作的主要特点目前，系统内计划和已经开展网管网建设的少数单位中，主要具有以下特点：1、 管理基础随着公司“三集五大”工作的深入开展，试点省公司已经先期开展了市县一体化工作，在地市公司层面，城网、县网传输网设备网管逐渐合并，省内地市公司已全部做到传输网管服务器地市公司统一部署、统一管理的要求，县公司不再设置网管服务器，仅通过维护终端的方式对所辖网络进行维护。为开展省地网管系统的的一体化改造创造了基础条件，同时为省公司内部网管系统的扁平化一级部署提供了可行性验证。2、 设备基础全省范围内光传输设备品牌型号趋于统一，主要设备覆盖了省、市、县传输主干网络节点、核心节点、重要分支节点。设备网管系统管理能力3、TMS采集接口通信管理系统TMS与设备专业网管通过北向接口连接，统一采集通信网络运行状态信息。开展网管网建设完成后，设备网管系统的主备用服务器可能位于不同站点，因此TMS系统中的数据采集服务器必须能够同步实现异地双机热备功能才能进一步提高网管运行的可靠性。目前，TMS系统的备份功能仍处于研发阶段，在网管网建设中服务器的配置需要采取过渡方案。1.3 各级通信系统网管网互联互通需求分析国网一、二、三级骨干通信网独立建设，网管系统按照不同网络架构分级部署。而网管网的建设仍处于试点实践阶段，除国网一级骨干通信网和个别二级通信网已经建设了网管网之外，其余各单位还尚未建设，已建成的不同级别网管网未实现互联互通功能，互联互通需求不大。目前，各级通信网络之间的监视需求主要是通过远程维护终端实现，若要实现互联互通，需考虑以下几方面的技术问题：1、 传输设备型号版本在国网系统范围内，主流光传输设备品牌仍有十余种，不同品牌设备的地址规划分为NSAP地址和IP地址两种，采用IP地址规划的设备协议可以与网管网外部DCN实现信息传输的互通，但是采用NSAP地址的规划的设备由于协议不一致可能造成无法通过DCN网络传输数据。各单位配置光传输设备的软硬件版本不一致，而网管服务器版本与设备版本之间存在一定的约束性，如果不匹配会造成管理功能的不兼容，因此要实现各级通信系统网管网的互联互通需要规划统一网管服务器版本和设备版本，使其具有一致性、兼容性。2、 设备命名及IP地址规划唯一性：IP地址作为光传输设备的标志在整个通信系统中必须具有唯一性，确保网络中不会出现地址冲突。网络规模越大，网管系统服务器、远程维护终端、设备网元的地址规划就越重要，使其具备在整个网络中的规范性、独立性、唯一性特点。可扩充性：在进行地址规划时，既要满足当前需求，还需考虑一定的可扩充性以适应通信网络建设规模的发展，防止规划地址不足对后续网络建设、运行、管理造成困难。3、 完善安全技术策略在传统的网管建设模式中，各厂家、各单位的传输设备网管系统独立建设，采用物理隔离措施保证了不会出现数据互通现象造成运行安全隐患。但要实现各级通信系统网管网互联互通应重新制定安全防护策略。不同厂家设备间隔离但是针对整个通信系统建设网管网，各厂家设备共同物理通道，通过划分VPN实现不同厂家数据之间的逻辑隔离。不同单位通信系统间的隔离根据管理职能的划分不同单位之间的通信网络信息不能互通，因此若实现各级通信网络的网管网的互联互通必须做好相应的安全隔离措施。1.4 专业网管接入网管网情况调研根据公司通信“十二五”规划，一、二、三级通信网光通信系统传输速率向10Gbit/s和2.5Gbit/s为主的速率发展，同时加快部署建设波分复用技术为基础的OTN网络。在推进通信网络规划、建设的同时，网管网建设一般遵循如下原则：网管服务器按技术体制和厂家独立建设：按照技术体制的不同，国网公司系统内光传输网络分为SDH网络和OTN/DWDM网络，其中SDH设备的主流厂家包括华为、中兴、阿朗、烽火、ECI、西门子、马可尼、NEC等，近年来光传输设备的国产化率不断提高，华为、中兴设备的比率在逐年提高，各厂家的专业网管系统均采用各自独立的主备配置模式。OTN设备品牌虽然与主流SDH设备一致，但是因承载业务类型的不同， OTN/DWDM网络的网管系统一般单独建设，与SDH网管服务器分开管理。统一规划外部DCN网络：在网管网的外部DCN规划中，统一考虑SDH网络和OTN/DWDM网络的数据传输需求，对网关网元选择、通道带宽速率、主备服务器站点等进行统一规划，做到数据传输通道的共享。但是由于SDH网络建设时间跨度较大，网络中许多设备的运行年限较长，在进行专业网管接入网管网的设计过程中，需要考虑以下多种因素。1、设备通信协议：光传输设备的数据通信协议有NSAP和IP两种，IP协议可以通过DCN直接进行数据传输，但是采用NSAP地址的设备无法实现协议互通。目前，西门子、马可尼、阿尔卡特、朗讯等都采用的NSAP地址，所以在接入网管网之前需要进行测试研究。2、网管地址规划：由于传统的网管系统建设中网元地址、网管系统IP地址等都不统一。在新建网管网时，不同厂家数据传输通道是通过VPN隔离，需要对所有专业网管地址进行重新规划，避免地址冲突。按照统一地址规划和方案实施接入时，需要更改在线运行的光传输设备地址和服务器IP地址，网关网元的选择、服务器的配置等都可能发生变化，这些变更依据各厂家设计原理的不同其复杂性也不尽相同，也是接入过程中最重要的步骤，因此需逐个分析接入可行性，确保割接工作对通信系统安全可靠运行的影响最小。3、网管服务器异地互备的需求及验证：目前，大部分通信系统网管服务器都是采用本地主备互备的模式，为提高运行的安全可靠性，网管网规划中建议采用异地互备模式，但是各厂家服务器异地互备运行的实际性能还需要进行测试验证，包括数据同步、时间延时等是否满足实际应用需求。4、互备功能有效性验证：网管网在考虑通信系统中所有同品牌设备站点的基础上规划网关网元数量和位置，至少满足在N-1条件下（一个网关网元失效）所有网元的监控不受影响。当设备故障导致网关失效，而DCN网络中的路由节点和端口硬件运行正常时，由于DCN的数据传输协议与设备内部协议的细节定义存在差异，网关互备切换功能可能无法正常实现。所以在专业网管接入时，需要针对不同品牌设备分别进行测试验证，确保网管网系统中互备功能的有效性。5、网管数据库的灾备：为确保公司重要信息系统的安全运行，各分部、省公司重要信息系统均以数据库复制或存储复制的方式在北京、上海、西安三地容灾中心实现系统的备份。而通信网管系统作为通信网络最重要、最直接的监控管理系统，还尚未开展相关工作。在网管网规划中，除建立网管服务器的互备外，还应适当考虑网管数据库备份，为极端情况下的系统恢复创造条件。而各厂家网管在接入网管网前，需要分析数据库备份的可行性。2 存在的主要问题由于建设初期缺少统一的规划与设计，目前各个厂家的网管系统都是分期独立组网，而没有形成统一完整的光传输设备网管网，导致DCN网络缺乏规划、可靠性低，通信系统网络规模越大，管理压力越大，可扩容行越差。1、网络自愈能力、安全性差：由于网络设备及链路均为单一配置，极易发生单点故障，导致传输设备网元托管或者网管失去对网元的管理能力，影响正常的运行维护工作。2、网络可扩展性不强：各厂家网管均为点对点独立组网，一旦新增网元或维护终端，都需要对原有网络进行改造，不利于网络长期维护。3、重复建设、经济性差：由于网络没有形成合理结构，因此各厂家网管在建设时重复配置了多台低端的网络设备（路由器、交换机等），并开通了多条同路由的网管数据通道，造成了一定的重复建设而且没有提供网络运行能力。4、缺少统一规划：各厂家网络建设时没有统一考虑IP地址规划，及时同厂家设备的网元、网管服务器、维护终端IP也出现多样性，缺少统一管理，难于记忆，安全风险大，对运行管理工作带来极大的不便。3 通信网管网整体架构3.1 建设基本原则通信网管网规划建设整体架构需结合现有情况，并考虑到网管网的网络结构、业务特点和今后的扩展性、安全性的要求,本着投资最少、对现有网络结构少做或不做调整、对业务很小或没有影响的原则,对网管网的网络拓扑进行规划建设。通信网管网整体规划建设的基本原则为：1、 可扩展性：网管网网络设计沿用层次化设计结构，这使得整个网络架构具备较强的扩展能力，能够依据业务发展的需要随时扩充设备、链路及新增业务子系统。2、可用性：关键路径设备需采用冗余设计，实现设备冗余控制。包括采用模块、电源、风扇冗余设计。采用冗余网络设计，每个层次均采用双机方式，层次与层次之间采用全冗余连接。提供多种冗余技术,在不同层次提供增值冗余设计，保障业务的可用性和连续性。3.2 网管网整体架构通信网管网整体架构规划采用层次化结构组网。网管网由服务器区、核心层、骨干层、接入层四部分组成。其中核心层包含4个核心节点，分别为白广路、武汉、西安、上海。骨干层包括31个骨干层节点，覆盖全国网26个省（市）公司，5个分部。接入层各节点就近接入省内骨干路由器，整体结构拓扑采用星型+环形结构。网络拓扑如图3-1所示。图3-1网管网网络拓扑图3.2.1服务器区图3-2 服务器区网络拓扑图在白广路设置2台核心交换机用于接入现有及未来新增网管服务器、客户端、网关网元，并实现主备服务器冗余备份。核心交换机与核心路由器间通过1000M链路互连，实现双链路冗余备份，确保网管业务可靠运行。各厂家网管业务数据通过划分不同VLAN进行逻辑隔离。3.2.2 核心层图3-3 核心层网络拓扑图考虑到网管网业务数据的重要性、可靠性以及容灾备份，网管网核心层包括4个核心节点，分别设置在白广路、西安、武汉、上海。各核心节点设置1台核心路由器，各核心路由器之间通过155M链路冗余互联，组成Mesh网状结构，实现网管数据的高速转发，确保网管网络高可靠性，满足异地容灾的迫切要求。3.2.3 骨干层图3-4 骨干层网络拓扑图考虑到国网一级骨干电路网管网络节点数量众多、节点分散等情况，骨干层包括31个骨干节点，覆盖全国26个省（市）公司，5个分部等。每个骨干节点设置1台骨干路由器，分别通过n*2M链路纵向上联至就近的核心路由器，同时与相邻的骨干路由器横向互联，构成环网结构，从而提高网络可靠性。随着传输网络规模的不断扩大，新增传输线路网管数据只需就近接入区域骨干路由器即可，具有很强的扩展性。3.2.4 接入层图3-5 接入层网络拓扑图各接入层节点设置1台接入路由器、1台三层交换机，接入路由器以n*2M专线方式纵向上联至省内骨干路由器，同时与相邻接入层节点的接入路由器横向互联，构成环网结构，提高网络可靠性。三层交换机用于节点内各传输厂家网关网元、服务器及客户端接入。通过划分不同VLAN对各传输厂家网管数据进行逻辑隔离，确保各传输厂家网管业务独立、安全、可靠运行。3.3 网管网路由协议方案网管网的路由协议方案包括外部路由协议、域内路由协议以及域间路由协议。下面分部分详细阐述三部分协议的具体方案。3.3.1 外部路由协议方案外部路由协议的创建是为了控制路由表的扩展以及通过把路由域划分成独立的管理区以便为因特网提供更加结构化的模式，这些具有自己独立的路由策略的管理区称为自治系统（AS）。根据网络规模和管理需求的不同，自治域的设置可以分为多自治域方式和单自治域的方式。单自治域方式的主要特点是具有一定的网络扩展性，网络结构简单，维护成本低。因此结合网管网的具体实际情况，将网管网全网34个核心骨干节点设计为一个独立的AS域。3.3.2域内路由协议（IGP）域内路由协议（IGP）在网络中起着连通骨干、路径选择和自动迂回的作用。IGP通过计算每条路径的权值来寻找最佳路径。IGP并不承载外界路由，但所有外界路由在BGP-4中都有“下一跳”（next-hop）这个属性，IGP通过对next-hop的路径选择来控制到外界的数据流。目前，可以用于大规模的ISP同时又基于标准的IGP的路由协议有OSPF和IS-IS。两种路由协议均是基于链路状态计算的最短路径路由协议，采用同一种最短路径算法Dijkstra。两种协议在实现方法、网络结构上均相似，在大型ISP网络中都有成功案例。其中，IS-IS为ISO标准路由协议。IS-IS具有以下优点：Ø 扩展性较好：IS-IS的层次结构与OSPF不同。OSPF是单一的Backbone Area，IS-IS可以有多个Level-2 Area，这可以使骨干扩充更为容易。Ø IS-IS占用网络资源较小：路由收敛和恢复时间快。IS-IS采用较小的协议数据包承载路由信息，这使得路由信息繁衍速度更快。Ø 在IS-IS中，一个路由的总开销的最大值不能超过1023，使SPF路由算法更有效率。Ø IS-IS的另一特点是收敛性与OSPF相比，IS-IS的收敛时间只有OSPF的一半。Ø 安全性好。ISIS直接封装在链路层，不容易被攻击。网管网内部网关协议使用一个域的IS-IS协议。采用1层（即只有Level-2）的平面式IS-IS结构以实现动态的最短路径路由选择，并为MPLS的实施提供方便。ISIS选路方式为：在ISIS路由协议中，根据SPF算法，每个参与ISIS进程的路由器都是以自己为根，通过链路状态，计算出一颗树，选取路径最短的一条作为到达目的网络最优路径，如图3-6所示。图3-6：SPF算法生成树当到达目的网络存在两条或两条以上的路径时，ISIS可实现负载均衡。另外，通过调整每条链路的ISIS cost值，亦可实现主备路由。3.3.3 域间路由协议（BGP）网管网核心、骨干层采用MP BGP-4路由协议，所有核心、骨干层路由器均在同一个自治域内。BGP协议是实施MPLS VPN的基础协议之一。为解决各节点之间iBGP全互联问题，通过配置路由反射器实现（Route Reflector，RR）。设置2台ipv4及VPNv4路由反射器，白广路1台、上海1台，2台RR形成异地互备，建立FULL MESH的iBGP邻居关系，所有其他节点路由器只与这两台RR建立iBGP邻居关系，将自治系统间路由交换到全网，从而有效的减少邻居关系数量。3.4 MPLS VPN业务实现3.4.1三层 MPLS VPN介绍MPLS VPN是基于MPLS技术构建的虚拟专用网。VPN骨干网络由两部分组成，PE（Provide Edge）路由器和P（Provide）路由器。P路由器是MPLS网络中的骨干路由器，完全依据MPLS的包封（ENCAP）来做出转发决定，因此P路由器对VPN信息透明，即不需要拥有VPN的路由信息，P路由器只参与骨干IGP路由。PE路由器拥有并维护与其直接相连的VPN的路由信息。由于PE负责打VPN标签及IGP标签两层标签（详见RFC 2574），PE必须是一个边缘LSR（Label SwitchingRouter）。PE路由器通过MP-BGP协议交换VPN的路由信息，选用MP-BGP作为路由协议的原因是MPLS VPN要求传送多种地址家族，同时需要传送VPN的属性。3.4.2 BGP /MPLS VPN网管网核心、骨干层共34个节点，结合具体实际情况，34个节点的设备均作为PE路由器，不设置P路由器。核心、骨干层节点以IS-IS 路由协议为基础，建立iBGP邻居， PE与CE间运行OSPF路由协议。具体来说，MPLS VPN分下面几个步骤来实现。Ø 核心、骨干层设备运行IS-IS路由协议，确保全网互通。Ø 运行BGP路由协议，白广路核心、上海核心作为全网路由反射器RR，所有其他节点与RR建立iBGP邻居关系。Ø 核心、骨干层设备运行MPLS。Ø 创建VRF，将与CE互联的接口与对应的VRF进行绑定。Ø 在VRF中重分发BGP与IGP协议（PE与CE之间运行的IGP协议）。Ø 检查MPLS VPN。3.4.3 MCE（Multi-VRF CE）图3-7：MCE工作原理示意图使用以太网交换机提供的MCE功能，可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾，它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定，并为每个VPN创建和维护独立的路由转发表（Multi-VRF）。这样不但能够隔离不同VPN的报文转发路径，而且通过与PE间的配合，也能够将每个VPN的路由正确发布至对端PE，保证VPN报文在骨干网上透明、独立的传输。通过配置MCE功能，可以在MCE设备上创建各自的VRF路由转发表，并使用Vlan接口与VRF进行绑定。在接收路由信息时，MCE设备根据接收接口的编号，即可判断该路由信息的来源，并将其维护到对应VPN的路由转发表中。同时，在PE上也需要将连接MCE的接口（子接口）与VPN进行绑定，绑定的方式与MCE设备一致。3.5 链路带宽网管网服务器核心交换机、核心层、骨干层、接入层设备间的链路带宽规定如下：Ø 核心层设备间互联带宽：155M。Ø 核心层设备与骨干层设备间互联带宽：根据骨干层设备下挂节点的多少，开通n*2M链路。Ø 骨干层设备间互联带宽：n*2M链路。Ø 骨干层设备与接入层设备间互联带宽：n*2M。Ø 接入层设备间互联带宽：2MØ 服务器区互联带宽：1000M。3.6 IP地址规划3.6.1 网络地址规划原则IP地址空间的分配、合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对网络的可用性、可靠性与有效性产生显著影响，需充分考虑网络对IP地址的需求，并满足未来业务发展对IP地址的需求。IP地址规划遵循以下原则：Ø IP地址的规划与划分应该考虑到网络的业务飞速发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；Ø IP地址的分配需要有足够的灵活性，能够满足各种用户的需要；Ø 地址分配是由业务驱动，按照业务量的大小分配各地的地址段；Ø IP地址的分配必须采用VLSMVariable Length Subnet Mask:可变长子网掩码。技术，保证IP地址的利用效率；Ø 采用CIDR Classless InterDomain Routing: 无分类域间路由选择。技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；Ø 合理利用已申请的地址空间，提高地址的利用效率。为了更有效的使用宝贵的IP地址资源，IP地址的分配可以根据以下几个层次考虑： 1、第一层：以网络汇接区域来划分 根据网络汇接分布的地理区域来划分连续的IP地址空间；有利于路由协议的计算和地址汇聚。网管网地址划分需要考虑网络的接入层的扩展；需要为网络的扩展预留地址空间。 2、第二层：在区域接入网内，以网络功能来划分 可以根据不同的应用和网络功能来划分为不同的VLAN，如：用户网络接入地址；数据服务器地址空间和网络管理操作。 综上，网络IP地址分为以下几类：Ø 点到点的链路：需要30位地址掩码的最小子网；这是有两个地址空间的子网，适用点到点的链路连接。 Ø 局域网地址：按照主机接入数量和设备数量来分配子网空间。Ø 路由器 loopback 地址：每台路由器需要一个32位掩码的IP地址。 Loopback地址是为路由协议和网络管理而定义，确保当链路故障时网络操作依然可以访问路由器。3.6.2 网络地址规划网管网网络地址规划针对原有网络进行优化整合，结合当前网络结构和现状，对IP地址进行规划。涉及到的地址包括：Ø 网络设备管理地址（loopback 接口）；Ø 网络设备之间的互联地址；Ø 业务应用地址，包括网关网元地址、网管服务器及客户端地址；1、设备管理地址；国网一级骨干电路网管网设备管理地址，使用192.100.0.0-192.100.0.254整个C的地址段，即可满足现状需求，亦可应对将来设备扩容的需求。2、设备互联地址网络设备的互联地址分为核心层设备间互联地址、核心层与骨干层设备互联地址、骨干层设备间互联地址、骨干层与接入层设备互联地址及接入层设备间互联地址。核心层设备间互联规划1个C的地址；核心层与骨干层设备互联规划1个C的地址；骨干层设备间互联规划1个C的地址；接入层设备互联规划5个C的地址段，按照网络汇接区域来规划使用，有利于路由收敛和汇总。3、业务应用地址业务应用地址包括网管服务器、客户端及网关网元使用的地址。规划采用192.100.20.0-192.100.38.254共21个C类地址。针对国网一级骨干通信网，具体IP地址规划方案如下：华为192.100.20.1-192.100.21.254中兴192.100.22.1192.100.23.254ECI192.100.24.1192.100.25.254西门子192.100.26.1192.100.28.254Alcatel192.100.29.1192.100.30.254朗讯192.100.31.1192.100.32.254马可尼192.100.33.1192.100.34.254烽火192.100.35.1192.100.36.254OTN(华为)192.100.37.1192.100.38.254OTN(中兴)192.100.39.1-192.100.40.2543.7 网络可靠性设计一般来讲，对于骨干网络需采用冗余设计以防止网络的任何位置发生故障。在实际网络中如果当某条链路发生故障时，业务参数会发生剧烈变化，网络必须在不增加其它不稳定因素的前提下对故障进行处理。如下从设备可靠性、网络结构可靠性及链路冗余保护来进行说明：1、设备的可靠性保证核心节点路由器的关键部件包括处理器、交换矩阵、接口卡、电源等均有硬件冗余，单一部件的故障不影响网络的运行。核心节点路由器的可用性应99.999%。2、网络结构的可靠性整体网络结构，核心层采用Mesh全互联结构，骨干层、接入层采用环型+星型结构。这样，任意一个骨干节点到其它节点都存在两条路径，从而实现冗余性。为了进一步提供稳定性，关键节点的两个POS端口必须位于两个不同的板卡上。3、链路的冗余保护核心节点与各骨干节点、接入节点与骨干节点之间均采用双链路互联，同时配置备用接口，当任何一条链路发生故障时都能保证网络快速恢复。4 网管网安全防护体系4.1 基本原则网管网安全防护体系建设应遵循如下原则：1、路由协议安全。应保障骨干网络不会因外部路由器的接入而影响到整个网络，同时保障网管网数据在骨干网络中的传输。2、端口安全。所有不使用的端口均不允许配置IP地址等参数并明确关闭。3、实施基于二层的VLAN技术，为用户提供安全的数据传输通道。4、采用完备帐号安全与远程访问机制。按照如上基本原则，网管网的安全防护体系拟采用基于功能域划分，不同的功能域采用不同的安全防护策略。4.2 网管网功能分区设计根据业务数据流在流入流出的整个过程中，根据不同路段和面向对使用对象的功能为依据进行设计，从数据请求发起、数据交换、数据认证、数据处理等几个不同数据流阶段，将网管网分别划分成核心生产区、核心交换区、管理服务区和日常办公区四个功能域。然后根据数据流是否流出流入内部其它系统和外部其它系统，又划分为内部系统互联区和外部系统互联区。通过功能域的划分,复杂的计算机网络根据功能、数据流的变动划为不同的网格(我们定义为“域”),使得复杂的网络变成多个功能较为单一的小网络即功能域,将复杂网络的管理变成管理多个功能单一的小网络,小网络简单明了,更加直观和易于理解,而复杂网络划分为功能域以后,层次更加分明,接口高度聚焦,管理也更加容易。在功能域划分确定之后,将网络的不同设备划分到不同的功能域,最终实现了按功能域对设备进行了管理和安全防护,从而实现对整个网络的优化和安全防护,这是功能域划分方案的最终目标。4.2.1 核心生产区网管网系统的核心生产区由各类业务相关应用服务器、数据库服务器和存储设备组成,主要各类网管等核心主机设备，包括核心应用服务器、数据库服务器和相应的存储设备。核心生产区在功能上,是各类网管应用服务器的数据流的信息处理,并按照请求数据进行信息处理和反馈的信息需求方。4.2.2 核心交换区网管网系统的核心交换区由连接核心生产区和日常办公区、管理服务区的互联基础设施构成,包括网管网之间的互联接口。核心生产区主要由核心交换机及与其它网络对接的接入路由器构成。核心交换区的功能主要是将核心生产区与日常办公区、管理服务区的信息流交互数据进行数据交换,从而实现数据流的路由功能、互访限制功能和路由按策略进行选择。4.2.3 管理服务区网管网系统的管理服务区由各类安全产品的控制、管理及配置设备构成。管理服务区主要设备包括有动态口令认证服务器;防病毒管理服务器;补丁管理服务器;安全审计服务器等。管理服务区用于管理各安全子域放置的安全设施的控制台,用于安全事件收集、综合分析及配置管理的主机设备。管理服务区的主要功能是实现终端或者服务器的账号密码的统一管理、统一补丁管理和防病毒管理,从而实现终端安全防护的标准化以及服务器的安全加固。4.2.4 日常办公区网管网系统的日常办公区由系统本地机房或者监控中心的各类接入终端构成,包括移动接入的临时电脑终端。主要设备为各类的PC机。日常办公区的功能主要是通过办公终端,监控网管运行情况或者查询网管运营状况,以及操作和维护网络。4.2.5 内部系统互联网管网系统的内部系统