网络工程详细设计及实施方案.doc

资源描述

华北电力调度数据网工程投标文件网络详细设计及实施方案本页为作品封面，下载后可以自由编辑删除，欢迎下载！！！精品文档 1 【精品word文档、可以自由编辑！】华北电力调度数据网工程技术方案 (第四部分网络详细设计及实施方案 ) 华迪计算机有限公司目录第一章. 综述 4 1.1. 组网原则 4 1.2. 工程需求 5 第二章. 网络方案建议及设计 7 2.1. 华北电力调度数据网工程设计原则 7 2.2. 拓扑设计 9 2.3. 选用设备 12 2.4. 路由设计与路由策略 21 2.5. IP地址规划 26 2.6. 组播路由协议及业务设计 31 2.7. 流量工程实施方案 33 2.8. QoS服务质量保证实施 39 2.9. IPv6迁移方案 49 2.10. MPLS VPN 51 第三章. 网络可靠性 65 3.1. 设备的可靠性保证 65 3.2. 网络结构的可靠性 66 3.3. 链路的冗余保护 67 3.4. MPLS LSP的可靠性 67 第四章. 网络安全 71 4.1. 网络安全概述 71 4.2. 网络设备安全 75 4.3. 网络管理系统的安全 77 4.4. 网络业务的安全 77 4.5. 数据传输的安全 78 4.6. 用户网络的安全 80 4.7. 安全实施建议 80 第五章. 方案特点 82 5.1. 高可用性、高性能 82 5.2. 高安全性及防病毒防攻击的功能 85 5.3. 先进的IPv6性能和商用经验 86 5.4. 易维护 86 5.5. 先进的面向未来应用的功能 87 5.6. 灵活的扩展性 88 5.7. 业界最完整的MPLS VPN支持 88 5.8. 业界最完整的组播支持 88 5.9. 支持丰富的业务 89 第一章. 综述本方案是依据《华北电力调度数据网设备招标书－网络部分》一文中提出的建网要求，而提出的技术实施方案。本方案将以贵公司要求为依据，结合市场需求和现有条件，并以高速、高带宽、高可靠性、技术先进、简单实用、节省投资为网络的建设原则，建设一个先进的、具有高可靠性的电力调度网络。 1.1. 组网原则以“技术规范”中的技术要求为基础 l 先进性：网络应采用业界先进的高端路由器，充分满足现在及将来网络、业务发展的需求，在未来几年内都不会过时。并采用先进成熟的通信和计算机技术进行组网。 l 可扩充性：必须随着需求的变化，充分留有扩充余地。网络结构采用层次化的网络结构，利于网络的管理和维护，网络的稳定，网络的可扩展，同时尽量减少网络的层次，减少网络延时，提高网络性能。 l 投资保护：选择性能价格比最好的设备，并考虑容量和性能配置的灵活性。 l 标准化和开放性：采用通用的国际标准和协议，不采用或尽量少采用厂家特有的产品和功能。能与其它厂家的产品互连互通，能与ATM/SDH宽带传输交换平台充分互联，能够承载和交换各种信息并将其接入公众用户。 l 可靠性：利用物理链路备份和动态路由协议实现路由备份和负载分担，保证网络互通性安全；关键部件冗余配置，保证单节点的可靠性。 l 可管理性：采用统一的网络及业务管理系统。 l 安全性：采用防火墙技术保护网络管理系统和重要的服务器系统不受入侵；在设备选型上充分考虑设备抗攻击的能力。 1.2. 工程需求华北电力调度数据网工程的整体网络结构采用三层结构，即核心层、骨干层（也称汇聚层）和接入层。核心层由华北网调和安定、顺义、昌平、房山四个500kV变电站构成，一共6台设备(其中华北网调节点有两台设备)。骨干层由每个省（市、地区）的若干枢纽点，共26个节点构成。各个变电站和电厂构成接入层。其中，核心层的6个节点连接成双环行结构；骨干层26个节点和核心节点一起构成6个环―――京津唐骨干层1环、京津唐骨干层2环、山东骨干层环、河北骨干层环、山西骨干环和内蒙骨干环。接入节点采用双归接入的方式就近连接到骨干节点。华北电力调度数据网的主要承载的业务包括：变电站：调度自动化实时信息（EMS），广域相量测量系统、继电保护故障录波、安全自动控制系统、电能量计量关口表计采集信息等。发电厂：调度自动化实时信息，广域相量测量系统、继电保护信息、安全自动控制系统、电力市场辅助报价系统、电能量计量关口表计采集信息等。调度：调度自动化实时信息，广域相量测量系统、继电保护信息、安全自动控制系统、电力市场辅助报价系统、电能量计量关口表计采集信息等。第二章. 网络方案建议及设计 2.1. 华北电力调度数据网工程设计原则华北电力调度数据网在设计上采用有效性、先进性、统一性、可扩充性、安全性及可管理性原则： 1、有效性：网络的有效性是网络设计首要考虑的原则，网络的设计必须能够达到预期的目标与目的。从用户角度来考虑，如果网络不可用，则该网络就失去了其存在的意义与实际价值。 2、先进性：网络应采用业界先进的高端路由器，能与ATM/SDH宽带传输交换平台充分互联，能够承载和交换各种信息并将其接入公众用户。 3、统一性：华北电力调度数据网必须遵循业内典型IP网建设方案及规划，科学地统一建设。 5、可扩充性：华北电力调度数据网必须随着需求的变化，充分留有扩充余地。 6、安全性及可管理性：建设华北电力调度数据网应注意保证整个系统的可管理性和整个系统的安全性、可靠性。在满足上述一般网络设计要求的基础上，华北电力调度数据网还需要满足营运级的可靠性、QoS、扩展性、网络互联、通信协议、网管与安全等方面的要求： 1、可靠性核心IP路由交换设备的所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间足够小。所有模块具备热插拔的功能。系统具备99.99%以上的可用性。网络的结构设计应提供足够的路由冗余功能，以便在线路和设备出现故障的情况下数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中，网络连接发生变化时，路由表的收敛时间应足够小。 2、拥塞控制与服务质量保障拥塞控制和服务质量保障(QoS)是调度网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。 3、业务分类网络设备应支持4种以上业务分类。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。 4、接入速率控制接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。 5、通信协议的支持以支持TCP/IP协议为主。设备商应提供服务营运级别的网络通信软件和网际操作系统。支持RIPv2、OSPF、IS-IS等多种国际标准的域内路由协议。支持BGP-4等标准的域间路由协议，保证与其他IP网络的可靠互联。支持MPLS标准及相关应用。应支持丰富的组播协议。 6、网络管理与安全体系支持整个网络系统各种网络设备的统一网络管理。支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能。支持系统级的管理，包括系统分析、系统规划等；支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。网络设备支持多级管理权限，支持RADIUS、TACACS+等认证机制。支持安全监控和控制机制，当发现存在安全漏洞和遭到攻击时，应及时通知网络管理人员，并应自动采取适当的措施予以保护。 2.2. 拓扑设计本项目为华北电力调度数据网工程，利用华北电力主干光纤，在高可靠性的SDH光纤传输通道上建立高可靠、高性能、高带宽、综合多种调度生产业务的数据通信网络，为华北电网和相关电力企业的生产提供服务。华北电力调度数据网建成后将覆盖华北网调调度的北京、天津、河北、山西、山东、内蒙调度中心；唐山、秦皇岛、承德、廊坊、张家口五个直属地调；直调厂站。本工程网络采用IP路由交换设备组网，采用IP over SDH及MPLS VPN的技术体制。本工程网络按三层结构考虑：核心层、骨干层和接入层。华北电力调度数据网核心层、骨干层采用环形结构，接入层采用星形双归结构。在华北网调设置网管中心，统一进行全网的网络管理和业务管理。核心层主要承担网络的高速数据交换和数据流的汇总，作为整个调度数据网的核心，网络必须高效、高可靠，具有强大的抗故障能力。核心节点分布在华北网调和安定、顺义、昌平、房山四个500kV变电站，网络结构为双环形结构。其中，在华北网调布置2台核心路由器设备，作为全网的数据网络中心，两台路由器之间采用两条高速GE通道直接互联。在华北网调的周围，分别在安定、顺义、昌平、房山四个500kV变电站各设置一台核心路由器设备，主要承担骨干层网络和华北网调中心节点之间、骨干层网络之间的高速数据交换，同时分担华北网调中心节点的通道压力和抗故障压力，采用622M SDH通道进行互联。骨干层(也称汇聚层，本文中统称骨干层)主要承担核心到各个省市调度之间的高速数据通道，以及各个厂站接入节点的数据汇聚。网络要求高可靠、高效和具有充分的汇聚能力。在每个省(市、地区)选择若干枢纽点作为骨干节点(共20个)，各设一台骨干路由器设备。骨干节点设备到核心层及相邻骨干节点设备之间的连接通道全部采用155M SDH通道，与网络核心层构成一个全155M的环状网。整个骨干层网络由9个环构成，其中山东网本期采用单链路接入，待今后具备条件后连通另一方向链路。接入层主要承担各调度点的业务接入及数据汇入骨干层的作用。在每个接入节点各配置一台接入路由器，核心(不含网调)和骨干层站点的接入路由器，以FE方式直接接入本站点核心或骨干路由设备，其它站点以4X2M就近接入骨干节点。接入方式采用双归接入，即每个接入节点通过两条2X2M链路分别连到不同的骨干节点路由器上。其中500kV变电站46个、220kV变电站39个及发电厂45个（含4个直属电厂) 。山西省调、内蒙省调、河北省调、山东省调、北京区调、天津区调作为接入层节点，各布置一台接入路由器，通过2条155M SDH链路就近接入骨干节点。其中，山西省调接入到侯村变骨干节点、内蒙省调接入到永圣域变骨干节点、河北省调接入到廉州变骨干节点、山东省调接入到聊城变骨干节点；北京区调接入到华北网调核心节点；天津区调接入到吴庄变骨干节点。这六个节点，虽在网络拓扑上作为接入层节点，但其性能要求与骨干层节点设备相当。在华北网调核心节点及省、市、地调各布置两台三层交换机，实现业务的接入，与核心或骨干路由器采用FE通道直连；其它各节点布置两台二层交换机，与接入路由器采用FE通道直连，承担本节点的业务接入。在交换机与路由器之间设置经过国家指定部门检测认证的电力专用纵向加密认证装置（不属于本次招标范围，装置接口：FE电口）。核心层：担网络的高速数据交换和数据流的汇总，作为整个调度数据网的核心，网络必须强壮、高效、高可靠，具有强大的抗故障能力。骨干层主要承担核心到各个省市调度之间的高速数据通道，以及各个厂站接入节点的数据汇聚。网络要求强壮、高可靠、高效和具有充分的接入能力。接入层主要承担各调度点的业务接入及数据汇入骨干层的作用。 2.3. 选用设备依据《技术规范书》之设备需求一览表，依据《技术规范书》之设备需求一览表，我公司提供以下方案来满足标书需求。选择Juniper公司的M40e骨干路由器作为华北电力调度网核心层网络设备投标设备；选择Juniper公司的M20路由器作为华北电力调度网汇聚层网络设备投标设备；选择Juniper公司的J6300路由器作为华北电力调度网接入路由器投标设备。 2.3.1. Juniper M-系列路由平台简介 Juniper网络公司业务构建M-系列平台部署在世界最大的网络中，广泛提供高级IP/MPLS业务，并帮助服务供应商进行网络转型，增加收入。M-系列路由器完全隔离了控制、转发和业务层面，可在不影响性能的情况下，单一平台支持多种业务--最大程度增加收入并降低资本成本。这些业务包括各种VPN、基于网络的安全性、实时话音和视频应用、应需带宽、丰富的高级内容广播、IPv6业务、精度记帐等等。利用业务构建体系结构的强大的灵活性和性能优势，随着新版本的JUNOS软件不断推出，业务产品也将随之不断增加。 l 增强用户边缘 M-系列用途极为广泛，可以部署在供应商网络边缘、中小型核心网络、对等网络、路由反射器以及数据中心应用中。但是，目前M-系列上的创新是利用高度可编程的Internet Processor II ASIC和IP/MPLS特性丰富的JUNOS软件，极大地扩展了它的边缘功能。M-系列路由器已经部署在了一些世界最大的运营网络边缘，并在扩展他们的业务。 l 为所有客户提供一致的服务 M-系列的吞吐量可从5 Mbps扩展到320 Mbps，包括：M5、M7i、M10、M10i、M20、M40e、M160和M320平台。因为所有M-系列平台都运行统一的可扩展、为生产增强的JUNOS软件，因此无论客户使用何种连接，服务区域密度有多大，都可以在所有网络位置提供一致的功能。 l 具有领先密度的接入利用其广泛的接口，M-系列可通过任何接入类型为成千上万的客户提供单点边缘汇聚，其中包括：ATM、帧中继、以太网和TDM，速度可以从DS0一直到OC-192/STM-64和万兆以太网。M-系列利用高密度以太网和高度信道化接口，实际上可为所有端口类型提供领先的密度。 l 全面的VPN业务 M-系列能够在不影响性能的情况下同步运行和扩展第2层虚拟电路、第2层VPN、第2.5层互通VPN、第3层2547 VPN、VPLS、IPSec、GRE、IP over IP及其他隧道贯穿机制，支持业界最全面的VPN业务，可满足尽可能多的客户的需要，同时最大程度提高服务供应商的收入并最大限度降低对基础设施的要求。例如：服务供应商能够使用第3层VPN提供外包路由业务，还能够使用第2层VPN、在通用IP/MPLS基础设施上提供点到点ATM业务。 l 高精度QoS和统计数据丰富的数据包处理功能使M-系列能够为每个端口、每条逻辑电路（DLCI、VC/VP、VLAN）以及每条信道（DS0）实现多级高精度QoS，以实现流量优先级分配。这些全面的QoS功能包括分类、速率限制、整形、加权循环调度、严格优先级调度、加权随机早期检测、随机早期检测和数据包标记等。对于网络融合应用，第2层CoS能够按DLCI、VP/VC或VLAN映射到第3层CoS。同时，能够以同一级别的精度采集广泛的统计数据并执行诊断，以实现灵活的计费、流量规划和快速故障排除。 l 丰富数据包处理可以在VPN的基础上分层添加广泛的业务，以进一步增加收入。利用包括MPLS VPN组播在内的综合组播功能可实现高效的高级内容分发。基于硬件的IPv6以及IPv6 over MPLS等IPv6移植工具，能够更加简便地利用并受益于这种下一代IP协议，而且不会影响性能。NAT和状态型防火墙能够按VRF配置，实现基于网络地安全性，以提高收入。并且，IPSec能够用来为安全性要求高的最终用户提供高级安全业务。新的数据包处理功能将不断增强M-系列业务构建边缘的能力，以确保最大的创收机遇。 l 高度可靠 M- 系列业务构建体系结构在基础设计中考虑到了规模和稳定性, 包括模块化的、拥有故障保护的 JUNOS 软件设计以及严格的系统测试流程。而且, 所有 M- 系列平台都提供了冗余电源和冷却系统; M10i、M20、M40e、M160 和 M320 路由平台还提供了包括路由引擎和系统/转发引擎板在内的完全冗余硬件。JUNOS 软件特性进一步增强这种冗余的体系结构, 在路由引擎发生故障的情况下, 可通过无中断路由引擎切换 (Hitless Routing Engine Switchover) 实现无中断转发, 并支持联机软件升级 (In-service Soft- ware Upgrades)。这种功能可补充其他高可用性功能, 包括: 平稳协议路由重启、MPLS 快速重新路由、VRRP、SONET APS、SDH MSP、BFD 以及 LACP。 l 强大的安全性所有M-系列路由器都支持扩展性高的J-Protect过滤功能、单点发送反向路径转发及高性能速率限制功能，以实现业界领先的DOS攻击防护功能。其他M-系列的J-Protect安全功能可利用自适应业务PIC卡进一步增强；这些PIC卡以硬件方式促进高速NAT、待攻击检测的状态型防火墙以及J-Flow记帐等其他基于网络的安全性业务。利用JUNOS软件的丰富特性与业界领先的ASIC技术，M-系列业务构建边缘可在服务供应商网络边缘提供更高水平的可靠、安全业务传输。 Juniper网络公司M-系列路由器可跨各种平台提供同样的特性和可预测的性能。这种一致性可在扩展网络并降低运营开销的同时在短期内实现创收、提高成本效率。 2.3.2. Juniper M-系列路由平台优势特性优势新型业务模式 Ø 业界最全面的VPN业务可满足最多的客户需求，最大程度提高供应商收入： n 同时运行第2层虚拟电路、第2层VPN、第2.5层互通VPN、第3层 2547 VPN、VPLS、IPSec、IP over IP和GRE等； n 扩展性高，可支持成千上万的VPN。 Ø 具有低延迟、低抖动性能的高精度QoS可支持话音、视频及其他实时应用： n 按DLCI、VP、VC、VLAN、信道(DS0)和端口QoS； n 分类、速率限制、整形、加权循环调度、严格优先级调度、加权随机早期检测、随机早期检测和数据包标记。 n 第2层(802.1p、CLP、DE)映射到第3层QoS (IP DSCP、MPLS EXP) Ø 基于硬件的IPv6性能、MPLS IPv6、IPv4 GRE隧道IPv6、IPv6/IPv4双栈功能。 Ø 强大的组播支持包括IGMP v1/v2/v3、PIM-SM、PIM-DM、MLD、SSM、RP、MSDP、BSR以及MPLS/BGP VPN中的组播，以高效利用资源、传输高价值内容。 Ø 基于网络的安全业务包括NAT和状态型防火墙、以及按VRF的NAT和状态型防火墙。 Ø 用于汇聚链路的MLPPP、MLFR .15和MLFR .16, 802.1ad： Ø 利用J-Flow记帐、源级使用以及目的级使用特性，可按应用和CoS资源使用灵活计费，以及基于距离的计费； Ø 通过合作伙伴关系实现多厂商网络管理解决方案； n 业界领先的、基于XML的JUNOScript API便于第三方和内部OSS开发。广泛地提供业务 Ø 特性丰富的JUNOS软件可在所有M-系列平台上运行，确保一致的业务，并使供应商可独立于连接或服务地区密度向所有用户推出所有业务： n 从最小的PoP到最大的PoP； n 可通过任何接入技术，包括ATM、FR、以太网和TDM连接； n 速度范围可从DS0到OC-192/STM-64。 Ø 降低运营成本。 Ø 可无缝迁移到更大的平台，以适应网络的增长。低投入高产出的基础设施 Ø 业务构建可完全隔离控制层面、转发层面和业务层面，以便在单一平台上支持多种业务： n 在尽可能降低资本开支和运营开支的同时，最大限度提高收入； n 将以前由NAT、状态型防火墙、IPSec和QoS等不同设备执行的功能整合到单一M-系列平台中； n 在单一平台上提供多种业务使客户可以不必进行资本投资即可尝试许多不同的业务，从而可选用成功业务，实现业务的进一步拓展。 Ø 利用强韧的第2层 VPN、第2.5层互通VPN和第2层到第3层QoS映射，可透明地将多个网络整合到通用IP/MPLS基础设施上。已验证的可靠性 Ø 经过生产验证的业务已在世界最大的网络中部署。 Ø 用于RE切换的无中断切换，具有无中断转发特性。 Ø 联机软件升级可实现无中断的较小升级。 Ø 用以确保流量的MPLS FRR能够迅速地绕过故障。 Ø 用于路径优化的MPLS TE路径控制，结合了可预测的性能，可用于话音和视频等延迟敏感型业务。 Ø LSP ping等高级OA&M特性可用来排除MPLS的故障。 Ø IETF平稳协议重启机制可用来无中断重启IS-IS、BGP、OSPF、OSPFv3、LDP、RSVP、第2层VPN和第3层VPN。 Ø 模块化JUNOS软件可确保某一个模块发生故障时不会对整个操作系统产生影响。 Ø 用户友好的命令可对正在运行的网络安全地实施新配置，也可以回退到以前的工作配置。安全网络 Ø 高性能J-Protect NAT、状态型防火墙、攻击检测和通过自适应业务PIC实现的IPSec。 Ø 隔离路由层面和控制层面，可利用状态型防火墙保护控制层面。 Ø J-Flow状态型数据包流监控带有标准的flowd v5和8记录，可全面地监控网络。 Ø 扩展性高的过滤、单点发送RPF和速率限制可防止IP欺骗和DOS攻击。 Ø 高性能IPSec和MPLS IPSec具有数字证书支持特性，可进一步加强安全性。 Ø 其他无处不在的安全特性，如端口镜像、加密管理会话业务、安全隧道功能、安全远程登录和可配置的权限级别及用户账户。 2.3.3. Juniper J-系列接入路由器 J6300业务路由器 - 模块化平台，提供六个开放插槽和一个支持冗余电源的可选插槽，可支持90 Mbps的上行链路 J4300业务路由器 - 模块化平台，提供六个开放插槽，可支持16 Mbps的上行链路 J2300业务路由器 - 模块化平台，提供一个开放插槽，可支持4 Mbps的上行链路模块化软件 JUNOS是一款模块化的多线程软件平台，与传统的单线程系统存在根本区别。通过在专用处理资源上并行运行多种功能，JUNOS可提供高度的稳定性和灵活性，以支持高级路由、QOS、安全性和管理策略以及可预测的流量性能。JUNOS模块性的优势包括：高稳定性 - JUNOS操作系统可确保一个模块上出现的故障不会影响到整个操作系统，并可支持IETF平滑协议重启机制，为各个不同的路由过程实现无中断重启。卓越的性能 - 在传统路由系统中启动优先级机制就会降低设备性能，而J-系列产品即使在网络拥塞的严峻时刻，也可通过QOS控制来保持高级别的吞吐量。模块化的软件架构非常重要，它可以确保为优先级流量的快速处理,调度与应用充分的处理。设备级安全性 - 网络安全性是最薄弱的环节。因此，J-系列提供了先进的机制，如用于流量控制的状态防火墙过滤，和用于独立协议控制的速率限制，从而为路由器提供功能强大的设备级防护。此外，通过支持快速过滤器创建，JUNOS还可以防止IP欺骗和DOS攻击--即使在攻击过程中。运行简便性 - J-系列提供了广泛的运行工具套件和特性集，可以简化部署、降低远程管理难度，并有利于联网资源的快速恢复。通过消除传统操作系统中固有的性能和运行问题，J-系列可支持分布式汇聚网络的广泛要求。J-系列业务路由器非常适合需要支持关键网络基础设施的客户，对于他们的基础设施来说，满足严格的正常运行时间要求和特定应用性能需求是重中之重。远程管理和可管理的网络服务 J-系列具备丰富的运行工具集，可简化许多分布式远程站点的设置、管理和维护工作。J-Assist运行工具包包括：直接发货和自动配置，可降低库存成本，并避免了需要大量IP技术人员的上门服务多种管理工具，加上基于XML的API，可快速集成到现有的系统和流程中恢复特性，包括通过相关按钮进行应急配置、配置回退以及自动报告等，用于快速诊断和修复集成的主动探测器，以测量丢失、延迟和抖动（不会影响性能），可对潜在的服务问题提供告警，并为SLA管理提供数据软件许可，通过允许客户按需购买特性和接口来扩展投资服务供应商可将J-系列和Juniper网络公司业务部署系统（SDX）结合使用，以提供可管理的差分服务和降低运行成本。快速创建并部署全新的服务选项，并实时更改网络。基于特定的流量过滤器制定并更改QoS和安全策略，以便对每个应用或每个用户群提供细粒度控制。为以下两类流量定义QoS和安全策略：J-系列上游流量，以及通过Juniper网络公司 M-系列和E-系列网络平台从供应商边缘交付的下游流量。设置并授权不同的管理小组，以便根据特定的角色需要控制其访问权，如LAN和WAN管理人员或设置、管理和排障小组等根据需要或按一天中设置好的时间更改带宽速度跟踪并报告每个企业站点/每项服务记账/使用率数据 2.4. 路由设计与路由策略全网的路由设计与策略可以分为以下几个部分来分别予以考虑： l 域内路由的设置 l 骨干路由策略 l 互联路由策略 l 组播路由策略 2.4.1. 自治域的设置外部路由协议的创建是为了控制路由表的扩展以及通过把路由域划分成独立的管理区以便为因特网提供更加结构化的模式，这些具有自己独立的路由策略的管理区称为自治系统（AS）。根据网络规模和管理需求的不同，自治域的设置可以分为多自治域方式和单自治域的方式。采用多自治域方式的主要优点是网络的可扩展性比较好，但复杂程度高，降低网络维护的成本。由于IGP协议对于单一区域内路由器的数量都有一定的限制，如果没有经过统一规划，容易出现扩展性问题，但经过统一规划，采用单自治域方式仍然可以实现很大的网络规模。我们认为网络规模并不是决定自治域设置方式的关键因素，能否对整个系统进行统一的管理和规划才是决定自治域设置方式的关键因素。考虑到华北电力调度数据网是一个统一规划和管理的网络系统以及目前的规模，建议采用单自治域方式，自治域号码使用分配的AS私有号码（从64512～65535之间）。这种方式的优点在于将整个网络作为一个整体管理，可以更好地提供网络业务地汇聚及路由协议地实施。 2.4.2. 域内路由协议（IGP）设计域内路由协议（IGP）在城域网中起着连通骨干、选径和自动迂回的作用。IGP通过计算每条路径的权值来寻找最佳路径。IGP并不承载外界路由，但所有外界路由在BGP-4中都有“下一跳”（next-hop）这个属性，IGP通过对next-hop的选径来控制到外界的数据流。在目前，可以用于大规模的ISP同时又基于标准的IGP的路由协议有OSPF和IS-IS。两种路由协议均是基于链路状态计算的最短路径路由协议，采用同一种最短路径算法Dijkstra。两种协议在实现方法、网络结构上均相似，在大型ISP网络中都有成功案例。根据本次工程地具体实际情况，我们建议内部网关协议使用分域的OSPF协议。内部路由协议OSPF是IETF标准。在OSPF中，域是用来分隔路由广播的方式。一个网络必须要有一个骨干域，其它的域都必须与骨干域相连。 OSPF协议有下列优点： l OSPF是受到多家厂商支持的开放标准 l 节省网络带宽：OSPF属于链路状态协议，只有当网络连接状态发生变化时才彼此更新变化了的拓扑信息，而并非整个网络的LSDB，从而大大节省了网络带宽，这对于大型的广域网来说很重要。 l 支持VLSM：OSPF LSA(Link State Advertisement)中包含子网掩码。 l 支持层次化的网络结构设计：网络设计人员可以把一个大型OSPF网络分成若干域(Area)，其中一个是主干域(Backbone Area, Area ID 0.0.0.0)，其它非主干域均与主干域相连，并通过主干域交换LSDB。同时OSPF还引入了外部路由(External Routes)及ASBR (Autonomous System Boundary Router)概念，非OSPF路由均视为外部路由，由ASBR注入到OSPF域。 l 支持路由总结(Route Summary)：OSPF ABR具有路由总结的功能，如果连续地分配IP地址空间，则ABR仅向主干域广播总结后的路由信息，抑制那些具体的路由信息的广播，从而大大减小了其它域中路由器LSDB及路由表的大小。 l 没有路由跳数限制：OSFF路由表是基于LSDB运行Dijkstra算法计算出来的，没有跳数限制。 l 没有路由环路问题：OSPF属于Link-State路由协议，没有环路问题。 l OSPF其它特性：OSPF定义了Stub Area及 Not-So-Stubby-Area(NSSA)，为设计包含多种路由协议的混合网络，以及控制LSDB及路由表的大小提供了手段。 l OSPF的Multicast功能(MOSPF)：通过定义Type6 LSA(Multicast-group-membership LSA)，使OSPF支持Multicast功能，详述请参考RFC1584 (MOPSF)。网络自愈性能，OSPF属于链路状态协议，当物理连接失败时，将导致网络路由更新。因此，测量网络更新速度归根到底是测量路由收敛速度即OSPF收敛速，但它也和其它因素有关，如CPU，数据流量，节点配置等。因此，一般情况下就是指OSPF收敛速度。如下图所示，具体的IGP路由策略如下： 1. 建议核心路由器和骨干路由器构成的区域为OSPF骨干的Area 0。 2. 各个骨干节点及其所连接的接入层节点构成各自的Area。为了方便，Area的号采用各个骨干环所在的省的电话区号。网络OSPF 域分配表区域 OSPF Area Value 核心域 0 京津唐骨干层1 11 京津唐骨干层2 12 山东骨干层 530 河北骨干层 733 山西骨干层 734 内蒙骨干层 735 3. 合理设置OSPF链路的metric值。由于OSPF链路的metric值的设置对于路由选择的正确性至关重要，直接影响到某节点对第一和第二路由的选择（不考虑MPLS的决定因素），因此，我们可以根据具体需要对各链路的metric值作出的相应的设置。对于各条链路的metric值我们建议一经设定，一般情况下不作修改。采用MPLS流量工程时，对于标签交换路径（LSP）的Metric值设置应根据网络中的具体流量分配原则设计。Metric的分配一般以带宽作为直接的参考依据，原有的建议公式，即10^8除以链路带宽的公式在当前高带宽的网络应用情况下已经不再适合，因此需要进行相应的调整，下面是一个Metric值分配的例子供参考：带宽 Metric 2.5G 10 1G 32 155M 250 100M 400 10M 850 2.5. IP地址规划 2.5.1. 网络地址规划的原则 IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于华北电力调度网的IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。 IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对网络的可用性、可靠性与有效性产生显著影响，充分考虑本地网对IP地址的需求，满足未来业务发展对IP地址的需求。 IP地址规划遵循以下原则： 1. IP地址的规划与划分应该考虑到网络的业务飞速发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段； 2. IP地址的分配需要有足够的灵活性，能够满足各种用户的需要； 3. 地址分配是由业务驱动，按照业务量的大小分配各地的地址段； 4. IP地址的分配必须采用VLSM技术，保证IP地址的利用效率； 5. 采用CIDR技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小； 6. 合理利用已申请的地址空间，提高地址的利用效率。 IP地址为32 位，包括两个部分：网络地址和端机地址，如下图所示： IP 地址包括五种不同的级别，由左端高位的比特来表示不同的级别，如下表所示：其中A、B、C 级别是国际互联网上公共分配的地址，每一种级别网络地址与主机地址占用的位数见下图所示：一个IP 地址可以很容易地从其第一个十进制数字上识别出来，是属于那一个级别，各级别分别有一定的数值范围，如下表所示：在每一个IP地址级别中又可以分出多个IP子网地址，子网地址给属于同一个IP地址的网络带来了灵活性和有效性。例如，一个用户被分配以网络地址171.16.0.0，那么，采用IP子网地址又可以分出：172.16.2.0， 172.16.3.0，172.16.3.0 等子网地址，子网地址由用户自己管理： IP地址可分为合法IP地址和保留IP地址，保留IP地址范围如下： 10.0.0.0–10.255.255.255 172.16.0.0–172.31.255.255 192.168.0.0–192.168.255.255 为了更有效的使用宝贵的IP地址资源，IP地址的分配可以根据以下几个层次考虑：第一层：以网络汇接区域来划分根据网络汇接分布的地理区域来划分连续的IP地址空间；有利于路由协议的计算和地址汇聚.华北电力调度数据网地址划分需要考虑网络的接入层的扩展；需要为网络的扩展预留地址空间。第二层：在区域接入网内，以网络功能来划分可以根据不同的应用和网络功能来划分为不同的VLAN，如：用户网络接入地址；数据服务器地址空间和网络管理操作。可以从号码上识别出应用和功能；网络 IP地址空间设计网络IP地址分为以下几类：点到点的链路：需要30位地址掩码的最小子网；这是有两个地址空间的子网，适用点到点的链路连接。局域网地址：按照主机接入数量和设备数量来分配子网空间。路由器 loopback 地址：每台路由器需要一个32位掩码的IP地址。 Loopback地址是为路由协议和网络管理而定义，确保当链路故障时网络操作依然可以访问路由器。。 2.5.2. 网络地址规划我们假设华北电力调度数据网采用B类地址空间，地址范围为10.1.0~255.X ，该地址范围主要含设备标识地址、链路地址、广域网边界地址、网管地址等。业务地址不在本方案中设计。 1．点对点链路的地址点对点的链路地址的分配主要分下面几个部分：核心设备到汇聚层设备的互连＋汇聚层设备到接入层设备的互连。对于点对点的链路，其需要两地址，一个两个地址空间的子网需要4个IP地址，这样一个C类地址(256个),可以满足64个点对点链路的需要。核心层设备到汇聚层设备的互连：从核心的六台M40e到28个汇聚层节点，一共使用了30根链路，再加上核心的六台M40e之间的互连的8根链路，一共是38根链路，那么这一部分所需要的IP地址为38*4=142个地址。考虑到以后的扩展性，可以给该部分的互连地址2个 C类地址，即10.1.0-1.0/24。汇聚层到接入层设备的互连：考虑到地址比较充裕，且一定的可管理性和便于汇聚的特点，给每个汇聚层到接入层的互连地址分配一个C类地址。总共有22个骨干路由器，所以一共分配22个C类地址，即10.1.2-23.0/24。网络IP地址分配表区域 IP地址段候村变 10.1.2.0/24 雁同变 10.1.3.0/24 潞城变 10.1.4.0/24 廉州变 10.1.5.0/

展开阅读全文