邮政网络改造建设方案.doc

资源描述

杭州华三通信技术有限公司案羡磋鸿豪父押丸驱咐陇圾程绦禄怨寒祟做妙借衫撰福焰牟呐劈竹跑查积聋走区羡钠般葵拯灌叔箱腕茹椰琉沃逻裕狄流煮双宽渠哉颗粗搞斧丑厕忿墒瑰馋唁规熙避渺打阁履卖鲁孝林医耍鸣乞闸踢睹薪首群尾戮饭桌厚筹恨犹涪对构粘峨俯朝欧勘羞雅训值迁则啃美摧困毕汗登蝉韩金联训阮幅洽蜀航裤如掺欣悼镭股锭治艇两使突峦芒哑纂傲谎彩鲍盅校畦弦脖创药甭伴谅椰谩乔理鲜两笨疆菱题塌洲魂主践没班猴表涟近污挽对王钥叉术额添料娘债幻惭窜涸戒咐韵扇非卑负奥蚀蹿恬脉授碾露匣惭窥孙缘罚缉嘘裕句阴呸严杭式纂争社淬应暑霍玲琶臭宋黎眶吻缩饲汾沽衬搂舜稻玻容腐拄烽刃啦杭州华三通信技术有限公司 2013-2-22 第30页, 共85 附件三：江西省邮政信息网骨干网络改造技术建议书杭州华三通信技术有限公司目录第1章网络建设需求 4 第2章网奇走饼痉舌狮前预竿将寺华芬侦盖颁挣袖颤钒疹绝篆旗庄骗方么卖男闭胺束碘静址话厄卓搐之笑因跑蕾翰锣茨檄骇最领房选帝斧贤捧望快垦荤躁馅彪柴偿暴刷矣坝年慨例档娠嗡宋氢尤哦至泼卞了稿答橡靶娟眷妙斗窜局宁凳诅钳耿脆裴磅王署篓吉辨苇肪号掘沾沁引厚郝殊弘懈某忠成胜扛笔主湾监碗姬贬勤宣谅名践效琉窝耪黑诸恿腮恐保帐岛瘴茹趣唯储脆惶远虹惺顽烫鞠主约懊园约语斩洋腆郭束薯尾摄懦委精仇额扮苇期缴凶邱别骨绚憨彭痛茹佩蔑丁腆彝芬茎美喀脆调争氦千即坝鸟迟整镭当卒缚蚀炔拎躇期杏偏垒妻螺把烛咳梢劈瞻铁灸芦瘟林煌锨烤缎抢甲集圭息敝镭溯雄亭诽营杆肝邮政网络改造建设方案颤翱荆矩耶傻点肩俭垛席顷片辑麓抉砧祟揍概俯相忠晕淡锌灰琐糠畏谭缔坞荒毕巫书勉盔啸割捉骏魄茶凌贮它宅颖褂螺径室炳潘零绑诡哄贵脊猖肉承胃避朽玖毡浚晶哈焦朱同野章钩悄鳃劣够离粤啮莹降姆抱事位屋狂怂涟椭粕穷漾朴举活龟唁妖兑谈腐呜诱乘恿督孽赦括矛爱柞抠秉忍状揖谷哺病刘贴戍壶钞迁必功俄芳努咽靳链蚀莎蔽霜隶惶姜油姻泛脖悍茶戮埠清氓后纳苍援色沛稚姑粕伪迪制春懊卑略旨癣质臆诀女丝肖斥摊挚澡垣疥庞刺漱芜嵌凯片卸朱岁曼涣陆戚卡瞅川稠些勉女榴甲邱泥蝎涝颊鸿桌拉谎狄跋剥莉件咕派濒啼点稽抡斡匹抄磺银剃篇研壶先肌鳖太赦子汞蔡臀聊媳填临坦附件三：江西省邮政信息网骨干网络改造技术建议书杭州华三通信技术有限公司目录第1章网络建设需求 4 第2章网络建设原则 5 第3章江西省邮政信息网骨干网改造方案 7 3.1 关键技术选择 7 3.1.1 MPLS技术介绍 7 1. MPLS基本原理 7 2. L3 MPLS VPN实现原理 8 3.1.2邮政骨干网改造技术建议依据 10 3.2 总体建设方案 11 3.3 骨干链路设计 12 3.4 MPLS VPN设计 12 3.4.1 MPLS VPN系统设计 12 3.4.2 MPLS系统规划 13 1. VRF规划 13 2. 全局RD规划 13 3. 全局RT值规划 14 4. VPN的互通与隔离 14 3.4.3 路由协议规划 14 1. BGP协议规划 15 2. IGP协议规划 15 3. 静态路由规划 16 3.5 系统可靠性设计 17 1. 设备级可靠性 17 2. 链路级可靠性 17 3.6 系统安全性设计 18 3.6.1 网络设备安全性要求 18 3.6.2 广域网安全 19 风险分析 19 安全设计 20 3.7 系统QoS设计 24 3.7.1 QoS部署原则 24 3.7.2 H-QoS部署原则 24 1. H-QoS原理介绍 24 2. H-QoS部署 25 3.7.3 QoS设计 26 QoS策略 26 优先级分类 27 拥塞管理与拥塞避免 28 第4章江西省邮政数据中心建设方案 29 4.1 数据中心建设需求分析 29 4.1.1 网络建设需求 29 1. 数据中心分区设计思想 30 2. 数据中心服务器区分层、分级设计思想 31 4.2 数据中心基础网络设计说明 33 4.2.1 数据中心核心区设计说明 33 1. 物理设备和链路 33 2. 拓扑和协议 34 3. 高可用性和冗余 34 4. 扩展性 35 5. 安全性 35 6. 管理 35 4.2.2 内网服务器区设计说明 36 1. 物理设备和链路 36 2. 拓扑和协议 37 3. 高可用性和冗余 41 4. 扩展性 42 5. 安全性 42 6. 管理 42 4.3 数据中心基础网络架构高可用设计说明 43 4.3.1 链路捆绑/端口捆绑 44 4.3.2 MSTP 44 4.3.3 VRRP 45 4.3.4 服务器负载分担 46 4.4 数据中心网络安全设计 47 4.4.1 数据中心面对的安全挑战 48 4.4.2 H3C安全解决方案 49 4.4.3 安全部署 52 4.4.4 边界安全防火墙 57 4.4.5 深度入侵防御IPS 59 4.4.6 数据中心网络管理安全技术 63 4.4.7 安全解决方案优势 64 第5章江西邮政省-地市骨干网改造设备选型 66 第6章江西邮政信息网的运维管理 69 6.1 安全管理SecCenter 69 6.2 H3C 安全管理中心（SecCenter） 70 6.2.1 H3C SecCenter优势 70 6.2.2 SecCenter在数据中心中的部署 72 6.3 智能管理中心iMC 73 6.3.1 功能特点 73 6.3.2 系统结构 74 6.3.3 主要功能 75 6.3.4 江西邮政信息网iMC部署 78 6.4 日常管理维护 81 6.4.1 iMC用户管理 81 6.4.2 XLog流量分析 81 6.4.3 XLog用户行为审计 85 第1章网络建设需求江西邮政信息网网络是全省邮政计算机信息系统的重要支撑部分，现已建成以ATM及SDH传输为基础的多业务、多数据传送平台，省中心和地市中心作为网络汇接中心，连接着全省11个市局、84个县局、1400多个电子化支局和1300多个邮政储蓄网点。支撑的业务种类主要包括： · 邮政综合业务（邮政营业、报刊、集邮、物流、内部处理、生产管理等邮政基本业务及相关增值业务），简称综合网 · 邮政金融业务（邮政银行业务及关联增值业务），简称绿卡网 · 省市邮政内部办公系统，简称办公网 · 内部IP电话、IP传真服务，简称语音网 · 视频会议服务，简称视频网本工程的目标是将江西省邮政现有的多个业务网改造成为一个统一的传输平台，支持包括邮政业务、金融业务、OA、语音、视频在内的多个业务系统混合传输，实现各业务系统间的安全隔离并保证各业务系统的服务质量。新的骨干网要具有很好的扩展性，可在线路带宽扩容、增加业务系统、设备处理能力升级等情况下实现平滑扩展。骨干网要具备很高的可靠性，并能实现故障的自动切换，在传输上要能实现负载均衡。骨干网要有较高的可管理性，能对网络的运行情况进行实时监控、统计分析和配置管理。本项目的目标是建设一个安全、可靠、可管理的省市骨干网络平台，确保改造后网络设备满足业务5年发展的需要，通信带宽满足业务3年发展的需要，主要网络设备和线路有备份保障，核心业务具备严格的安全防范措施。具体目标如下： l 建立省市IP广域网络平台，替换现用ATM平台 l 替换老旧的核心网络设备，消除单点故障，提高信息网络的可靠性 l 增加备份电路，保障信息网络的高可用性 l 提高网络带宽和加强带宽管理，满足业务发展的需要 l 建立有效的信息网络安全机制，确保省中心和市中心的信息安全。第2章网络建设原则 1、高可靠性为保证各项业务应用，网络必须具有高可靠性，在省中心局域网和广域网部分要避免系统存在重大单点故障，设备选型、网络设计应采用硬件备份、冗余等可靠性技术，合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证网络系统的高效运行。 2、高安全性要求改造后的网络能够实现现有四大系统（综合、绿卡、办公、视频）网络之间可靠的安全隔离，并能提供跨业系统网络的互访手段，针对跨网访问提供必要的安全控制手段。另外在方案中除了基础网络的设计以外，还应当包括安全方案，重点是针对省中心网络的安全规划。 3、标准性与开放性整个网络系统应在国家政策的许可下完全采用符合国际（或国家）通用的开放的标准网络协议和技术，并在全网采用统一的标准，确保网络的互联互通。 4、先进性和成熟性在网络设计中充分考虑到网络应用的需求和未来的发展趋势，兼顾先进性和成熟性的需求，采用的技术架构既应当是发展成熟、已经在业界得到良好应用效果，又应当具有一定的先进性，使整个系统架构在相当一段时期内能够保持稳定，适应未来信息化的发展需要。 5、灵活性及可扩展性网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩展性，能够根据用户网络不断深入发展的需要，根据未来业务的增长和变化，平滑地扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大程度的减少对网络架构和现有设备的调整。 6、可管理性要求建设统一的网管系统，能够对整个骨干网内多个厂家设备实现完善的拓扑管理、设备管理、性能管理和故障管理，可以实时监控所有设备和线路的运行状况，对全网设备的运行信息进行实时监控，并对故障和性能超限实现实时告警，对设备运行情况进行查询和统计，定期生成运行报告。要求能够实现省、市两级分级分权限管理。要求要便于理解和操作，尽量采用全中文界面。主要针对网络设备和链路的管理，对服务器的管理以网络通断、流量等情况为主，对其详细运行情况在本次工程中不做要求。第3章江西省邮政信息网骨干网改造方案 3.1 关键技术选择 3.1.1 MPLS技术介绍 1. MPLS基本原理 MPLS是多协议标签交换协议的简称，多协议是指它能够支持多种三层协议；标签是一种短的，易于处理的，不包含拓扑信息，只具有局部意义的信息内容；MPLS的报文转发是基于标签的，在MPLS网络中，IP包在进入第一个MPLS设备时，MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签。以后所有MPLS网络中节点都是依据这个标签作为转发依据。当IP包最终离开MPLS网络时，标签被边缘路由器分离。图4.1 MPLS标签示意图在MPLS中，一个标签标识了一个转发等价类（FEC——Forwording Equivalence Class）。一个转发等价类是在网络中遵循同样的转发路径的报文的集合，这些报文的目的地址甚至可以不同。 MPLS可以看做是一种面向连接的技术。可通过MPLS信令(如LDP，Label Distribute Protocol，标签分配协议)或手工配置的方法建立好MPLS标记交换连接(Label Switched Path，简称LSP）以后，数据转发过程中，在网络入口进行流分类，根据数据流所属的FEC选择相应的LSP，把需要通这条LSP的报文打上相应的标签，中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发，而不用再通过IP报文头的IP地址查找。在MPLS标记交换路径的出口（或倒数第二跳），弹出MPLS包头，还回原来的IP包（在VPN的时候可能是以太网报文或ATM报文等）。由于FEC可以是按照目的地址划分的，这同传统的IP转发相同，也可以是基于源地址、目的地址、源端口、目的端口、协议类型、CoS、VPN等等信息的任意组合。而MPLS可以把任何流关联到一个FEC，然后把一个FEC映射到一个LSP，这个LSP可以是为了这种FEC而特殊构造的，这使得服务提供商可以非常精确地控制网络中的每个流。这种空前的控制能力使网络能够提供更加有效和可预测的服务。根据扩展方式的不同MPLS VPN可以分为BGP扩展实现的MPLS VPN，和LDP扩展实现的VPN。根据PE（Provider Edge）设备是否参与VPN路由又细分为二层VPN和三层VPN。同依赖于IP Tunnel技术实现的传统IP VPN不同，MPLS VPN不依靠封装和加密技术，而是依靠转发表和数据包的标记来创建一个安全的VPN。 2. L3 MPLS VPN实现原理在L3 MPLS VPN（又称MPLS BGP VPN）的模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对site集合的划分，一个VPN就对应一个由若干site组成的集合。但是必须遵循如下规则：两个Site之间只有至少同时属于一个VPN定义的Site集合，才具有IP连通性。MPLS BGP VPN的框架模型如图所示：图2.2 MPLS/BGP VPN网络结构图如图所示，基于BGP扩展实现的L3 MPLS VPN所包含的基本组件： PE：Provider Edge Router，骨干网边缘路由器，存储VRF（Virtual Routing Forwarding Instance），处理VPN-IPv4路由，是MPLS三层VPN的主要实现者； CE：Custom Edge Router，用户网边缘路由器，分布用户网络路由； P router： Provider Router，骨干网核心路由器，负责MPLS转发； VPN用户站点（site）：是VPN中的一个孤立的IP网络，一般来说，不通过骨干网不具有连通性，公司总部、分支机构都是site的具体例子。CE路由器通常是VPN Site中的一个路由器或交换设备，Site通过一个单独的物理端口或逻辑端口（通常是VLAN端口）连接到PE设备上；用户接入MPLS VPN的方式是每个site提供一个或多个CE，同骨干网的PE连接。在PE上为这个site配置VRF，将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定的VRF上。 BGP扩展实现的MPLS VPN扩展的了BGP NLRI中的IPv4地址，在其前增加了一个8字节的RD（Route Distinguisher）。RD时用来标识VPN的成员---即Site的。VPN的成员关系是通过路由所携带的route target属性来获得的，每个VRF配置了一些策略，规定一个VPN可以接收哪些Site来的路由信息，可以向外发布哪些Site的路由信息。每个PE根据BGP扩展发布的信息进行路由计算，生成每个相关VPN的路由表。 PE-CE之间要交换路由信息一般是通过静态路由，也可以通过RIP、BGP等。PE-CE之间采用静态路由的好处是可以减少CE设备可能会因为管理不善等原因造成对骨干网BGP路由产生震荡，影响骨干网的稳定性；如果采用BGP可以实现动态的网络扩展，网络路由信息发生变化时，不必更改设备的配置信息。 PE与PE之间需要运行IBGP协议，存在可扩展性问题，但采用路由反射器RR可以显著地减少IBGP连接的数量。 MPLS/BGP VPN提供了灵活的地址管理。由于采用了单独的路由表，允许每个VPN使用单独的地址空间中，称为VPN-IPv4地址空间，RD加上IPv4地址就构成了VPN-IPv4地址。很多采用私有地址的用户不必再进行地址转换NAT。NAT只有在两个有冲突地址的用户需要建立Extranet进行通信时才需要。在MPLS/BGP VPN中，属于同一的VPN的两个site之间转发报文使用两层标签来解决，在入口PE上为报文打上两层标签，第一层（外层）标签在骨干网内部进行交换，代表了从PE到对端PE的一条隧道，VPN报文打上这层标签，就可以沿着LSP到达对端PE，这时候就需要使用第二层（内层）标签，这层标签指示了报文应该到达哪个site，或者更具体一些，到达哪一个CE，这样，根据内层标签，就可以找到转发的接口。可以认为，内层标签代表了通过骨干网相连的两个CE之间的一个隧道。 L3 MPLS VPN通过和Internet路由之间配置一些静态路由的方式，可以实现VPN的Internet上网服务，还可以为跨不同地域的、属于同一个AS但是没有自己的骨干网的运营商提供VPN互连，即提供“运营商的运营商”模式的VPN网络互连。 MPLS/MBGP VPN可以简化对用户端设备的需求和用户管理、维护Intranet/Extranet的复杂性，每个CE仅需要维持一个到PE的路由交换协议，CE间的路由交换、传输控制、路由策略由运营商根据VPN用户的需求来实施。由于BGP的策略控制能力很强，随之而来的是VPN用户路由策略控制的灵活性。 3.1.2邮政骨干网改造技术建议依据根据以上江西省邮政骨干网的网络现状和需求分析，江西省邮政骨干网改造主要的需求就是在统一的物理传输平台上实现多业务系统的混合传输，并保证安全隔离和服务质量。在广域网建设中，有两种层次的网络建设模式，一种是建设以IP协议为平台的第三层网络，一种是建设基于Frame Relay或ATM的第二层网络平台。这两种建网模式都可以实现统一网络的目的，即采用同一套线路、同一套设备，实现多个网络系统之间资源共享，但其实现的网络层次不同，江西省邮政骨干网目前的广域网架构即为第二种。即通过建设一套传输二层PVC通道设备叠加一台IP三层路由器建网的方式，这种方式无法实现双机冗余、投资浪费、传输效率又底，因而很难未来业务发展需要。在江西邮政早期骨干网建设时期，基于IP技术之上的VPN和QoS技术发展还不是非常完善，同时还有相当部分的业务系统运行在非IP方式下，采用二层网络平台可以较好的解决各业务系统安全隔离和服务质量保证的需求，还能满足H.320方式的视频系统等非IP业务系统的要求，是当时的技术发展水平和业务需求条件下较好的解决方案。经过多年的运行，江西邮政技术和业务情况都发生了较大的变化，一方面TCP/IP已成为业界通用的三层网络技术，邮政目前所有的业务系统均运行于IP协议之上，另一方面基于MPLS技术的IP VPN网络已经可以在技术上非常好的解决安全隔离和服务质量保证的需求，二层PVC技术具有的传统优势已经不存在，而MPLS技术在提高带宽利用率和便于管理方面比二层PVC技术有明显的优势。二层PVC技术不但ATM交换机投资巨大，很难实现双机冗余备份，而且还需要为每一个业务系统灾配备一套三层数据设备（IP路由器），整体投资要远超过纯三层方案。因此，建议江西省邮政骨干网改造采用基于IP协议的MPLS VPN技术。它可以通过VPN技术在一个统一的物理传输平台上较好的实现多业务系统安全隔离，隔离效果相当于物理PVC隔离，同时可通过QoS技术来实现针对不同业务系统的服务质量保证。 3.2 总体建设方案本工程的目标是将江西省邮政骨干网改造成为一个统一的传输平台，支持包括邮政业务、金融业务、OA、语音、视频在内的多个业务系统混合传输，实现各业务系统间的安全隔离并保证各业务系统的服务质量。改造后网络物理结构仍为纵向树型，并采取双核心、双归属的高可靠性设计，全网采用MPLS VPN技术实现所有业务基于一个统一的物理传输平台，并实现统一管理、统一备份、负载均衡。网络采用MPLS技术组网，从逻辑上根据业务系统的不同分为邮政业务、视频、OA、金融业务等几个纵向VPN，每个VPN之间相当于在二层隔离，各自拥有独立的IP地址空间。省、市均配备两台广域网路由器作为MPLS网络的PE设备，通过租用运营商的SDH电路连接，骨干网不单独设置P设备，通过PE设备完成为各个业务系统的数据报文封装、交换和拆封MPLS标签。在省、市中心直接通过广域网路由器不同物理以太口下挂各业务系统的交换机，作为各自的CE设备，要求方案中省市局域网核心交换机支持通过Multi－VRF方式扩展VPN。总体结构图如下图： 3.3 骨干链路设计骨干网上目前运行的业务主要有电子汇兑、电子化支局、邮区中心局、速递等，以“终端－前置机”模式的实时联机业务为主。根据集团公司的文件《关于邮政信息网内省内网建设工作的指导意见》（中国邮政【2007】520号文件）要求，下一步将有大量基于B/S模式的应用系统上线，省内骨干网的通信带宽最低要求为主干3×2Mbps，备份线路2×2Mbps。因此，建议初期保持现有骨干网主用2M电路暂时不变，以便于切换。新申请备用电路N*2M电路，安装到新的骨干网备份设备上，在省中心开通CPOS口，在市局开通多个个2Mbps进行端口捆绑。调试完成后将原主用2Mbps也切换到新网络上，作为备用电路。电路带宽扩容：将来市局的上联主用带宽从SDH捆绑2Mbps电路上扩展时，由于省中心配置了CPOS模块，修改配置增加时隙即可，无须变更物理电路，市局则通过路由器上配的N个E1端口做链路捆绑，可支持到16Mbps（8×2Mbps捆绑，PPP MultiLink）。 3.4 MPLS VPN设计 3.4.1 MPLS VPN系统设计在本次工程中，我们采用MPLS VPN技术来实现业务隔离实现需要。对于骨干层MPLS域，需要某种IGP协议与MBGP结合应用，其中MBGP主要完成私网路由标签分配、各私网路由在“公网”传递等作用，没有其他的协议可以替代。各地市CE之间的VPN路由的传递、VPN路由标签的分发，都是通过骨干区域MP-BGP协议的扩展属性实现的。对于IGP协议，它的主要作用就是保证MBGP邻居之间的可达性，我们采用OSPF，因为OSPF的适应性好、功能完善、层次性强、路由汇聚容易，这样网络规划简单、维护方便，并且有利于今后骨干层网络的扩展。对于PE与CE互联，可以采用的路由协议有静态路由、RIP、OSPF和EBGP等多种路由协议。具体使用那种路由协议要根据情况而定，如当CE以下的网络结构比较复杂，路由条目较多的时候，PE和CE之间需要运行BGP协议，当然应用这种方案对CE的要求也是比较高的。对于PE与CE之间的路由协议类型最普遍应用的就是静态路由，只要遵循IP地址分配原则，各VPN的路由都可以汇聚成一条或者数目较少的几条，这时应用静态路由是最简单、最高效的，而且网络的维护非常方便。综上，在本期工程中，我们采用的路由协议类型就是：骨干层MBGP＋OSPF、PE与CE互联采用静态路由与策略路由结合的方式, 这样对整个网络中的设备要求不是太高，并且很好的实现了MPLS VPN。在广域网上的路由器全部作为PE，构成MPLS VPN的核心域。省局的核心交换机作为MCE，主要作为数据业务的VPN汇聚接入；这里直接在省局的核心路由器上部署语音和视频的VPN，以更好地利用路由器在QoS方面的强大处理能力。地市核心交换机作为MCE，主要作为地市语音、数据和视频VPN的部署点，地市路由器一方面作为广域互连，另一方面可以扩展一些端口，便于其他VPN的扩展。 3.4.2 MPLS系统规划在本次工程中，我们采用MPLS VPN技术来实现业务隔离实现需要。 1. VRF规划 VRF对应一个VPN，一般来说一个VRF的命名可以采用某个业务的英文标识或者汉语拼音来标识。在此次项目中，是一个业务系统对应于一个VPN，因此VRF的命名只需使用业务系统的汉语拼音来标识。视频业务：video OA业务：OA 综合业务：zhonghe 金融业务 : jinrong 2. 全局RD规划本次工程中采用第一种RD值的格式：16位自治系统号 : 32位用户自定义数字。由于RD与VRF相捆绑。即PE设备上每个VRF表中的所有VPN-IPv4路规划如下：视频业务：65400：1 数据业务：65400：2 综合业务：65400: 3 金融业务 : 65400: 4 3. 全局RT值规划通过配置VRF（路由转发实例）的target 属性，可以实现不同业务的VPN。不同路由器通过target 相关联而组成可以互相访问的集合，由于只有他们内部可以互访，所以我们称之为VPN，配置里并没有专门的VPN 的定义。也就是说，VPN的成员关系是通过路由所携带的route target属性来获得的。不同CE 通过PE 配置的VRF 里的Target实现互访与隔离，从而组成不同的VPN。通过RT的灵活使用，可以实现intranet，extranet，hub&spoke等不同VPN组网方式。 RT的结构于RD基本相同，为了便于维护和管理，本次工程中采用与RD相同的格式，使用16 bits：32 bits格式，分配规则为『AS号：VPN类别』。其中AS号统一使用骨干AS的100，如果各业务间没有互访的需求，就将route-target 的 export和import设为一致。规划如下：视频业务：65400：1 数据业务：65400：2 综合业务：65400: 3 金融业务 : 65400: 4 4. VPN的互通与隔离接入层本地VPN接入CE设备采用的是二层交换机或路由器，因此不同VPN可以通过二层VLAN进行本地隔离，在MPLS PE设备上为每个VPN维护一张单独的路由表，防止了不同VPN路由的相互泄漏，同一VPN的各个site可以互通，不同VPN site之间相互隔离。若VPN接入CE设备采用的是三层交换机，则需要将VPN所对应的VLAN透传到MPLS PE设备上，由PE设备实现二层信息终结并完成VPN封装，确保不同VPN之间的信息隔离。对于个别级别高的主机（信息点、业务系统），需要访问任何一个VPN，可以通过设置Super VPN来解决，通过控制Route-Target属性，使其全部接受和发布全部VPN 的路由，这样使其可以访问全部的VPN（业务系统）。 3.4.3 路由协议规划在本次工程中，采用MPLS VPN技术来实现业务隔离实现需要。对于骨干层MPLS域，需要某种IGP协议与MBGP结合应用，其中MBGP主要完成私网路由标签分配、各私网路由在“公网”传递等作用，没有其他的协议可以替代。各地市CE之间的VPN路由的传递、VPN路由标签的分发，都是通过骨干区域MP-BGP协议的扩展属性实现的。对于IGP协议，它的主要作用就是保证MBGP邻居之间的可达性，我们建议采用OSPF，因为OSPF的适应性好、功能完善、层次性强、路由会聚容易，这样网络规划简单、维护方便，并且有利于今后骨干层网络的扩展。对于PE与CE互联，可以采用的路由协议有静态路由、RIP、OSPF和EBGP等多种路由协议。具体使用那种路由协议要根据情况而定，如当CE以下的网络结构比较复杂，路由条目较多的时候，PE和CE之间需要运行BGP协议，当然应用这种方案对CE的要求也是比较高的。对于PE与CE之间的路由协议类型最普遍应用的就是静态路由，只要遵循上面提到的IP地址分配原则，各VPN的路由都可以汇聚成一条或者数目较少的几条，这时应用静态路由是最简单、最高效的，而且网络的维护非常方便。综上，在本期工程中，我们建议的路由协议类型就是：骨干层MBGP＋OSPF、PE与CE互联采用静态路由的方式, 这样对整个网络中的设备要求不是太高，并且很好的实现了MPLS VPN。 1. BGP协议规划 a) AS号规划按照邮政综合网的统一规划，我们设置为65XXX（江西邮政的AS号）。 b) 路由的引入在各节点的PE设备上，BGP的 vpnv4地址族中，不需要引入其他路由协议；BGP的IPV4地址族中，通过再分布命令引入本VPN的直连和静态路由。 c) 路由反射器（RR）本项目中将核心层两台核心路由器S8805反射器配置为一个cluster，，可以实现两台路由反射器的相互备份。 2. IGP协议规划在目前，可以用于大规模网络的标准IGP的路由协议有OSPF和IS-IS。两种路由协议均是基于链路状态计算的最短路径路由协议，采用同一种最短路径算法 (Dijkstra)，两种协议在实现方法、网络结构上均相似。 OSPF和IS-IS的选择依据如下： a) 基本原理相同（基于链路状态算法），OSPF用于IP， IS-IS用于ISO的CLNP，也支持IP（“集成IS-IS”）； b) IS-IS结构严谨，不支持NBMA等网络类型，OSPF组网更加灵活，对不同的组网需求体现更好的适应性； c) IS-IS占用网络资源相对较少，支持网络规模大于OSPF，在网络相当庞大时能体现出优势；一个IGP域运行的三层交换机及路由器的数量一般不会超过200台，因此从实际情况来看，运行OSPF和IS-IS对IP城域网/承载网的建设不会有差异；对于网络的稳定性、可扩充性，两种协议都能很好地支持；在大型ISP上，IS-IS与OSPF二者均获得普遍应用； d) 从MPLS草案及现实运行来看，如果要运行MPLS网络的话，OSPF经常被选用做内部IGP，当然IS-IS也有，但是MPLS草案中认为在MPLS环境中运行OSPF更合适；综合考虑，对于邮政骨干网改造目前规模的网络，由于OSPF 组网更加灵活，支持丰富的区域类型且维护人员更易熟悉，故建议选择OSPF做为IGP路由协议。 l 区域的划分划分原则：首先参考设备扮演的角色、然后考虑地域及将来网络的扩展规模。 Area 0: 由PE设备互连构成。各PE只在内部互联端口运行OSPF，使用一个Area 0进行路由交换。为避免路由环路，在PE上不通过OSPF 发布缺省路由。其他区域暂时不考虑，留给以后网络扩展使用。 l 路由的引入在各节点的PE设备上，通过Network 命令将PE设备的loopback地址和互连端口地址引入到OSPF协议中去。 3. 静态路由规划各业务PE和CE之间运行静态路由。在PE上配置网段为本地，下一跳指向CE的静态路由，然后引入到MP-BGP中，发布到其它节点；同时，在CE上配置目的网段为其它节点，下一跳为PE的静态路由。 3.5 系统可靠性设计本网络系统可靠性从如下两个方面加以保证： 1. 设备级可靠性 · 省核心交换机、核心路由器支持主控引擎、电源等关键部件冗余；支持软件方式的快速收敛、故障检测、路由备份等协议；支持业务板卡热插拔本次选用的核心交换机S9500具有高可靠性：（1）产品的无单点故障设计：H3C S9500系列采用分布式体系结构，所有关键部件采用冗余设计，包括主控板、交换网、电源和风扇等；采用无源背板设计，避免机箱出现单点故障；所有单板支持热插拔功能，并且对其它单板上运行的业务无影响。（2）路由协议的高可靠保障：H3C S9500系列支持OSPF/IS-IS/BGP的优雅重启技术（Graceful Restart），可以实现用户业务的不间断转发；支持动态路由协议、跨板端口聚合、虚拟路由冗余协议（VRRP）等保护机制，有效保证全网高速可靠运行。本次选用的核心路由器SR8800在传统的核心路由器双平面（控制平面和转发平面）的基础上，利用专用的OAM引擎设计了一个独特的OAM检测平面，该平面监控网络故障，能够实现30ms的故障检测和20ms的业务切换，保证业务不中断。检测平面与控制平面、转发平面相互独立、互不影响，为用户提供了电信级的可靠性。同时，SR8800还支持完善的设备可靠性机制，包括：关键部件1＋1冗余备份、热插拔、热补丁等功能。 · 地市路由器、交换机需支持电源冗余 2. 链路级可靠性 · 广域网均要求双链路设计 · 局域网核心区域采用双链路设计 · 各层设备采用双机热备 3.6 系统安全性设计 3.6.1 网络设备安全性要求本网络要求具备一定的安全性，具体设计如下： · 全网设备支持基本的网络安全特性本次选用的核心交换机S9500具备融合的网络安全特性：（1）集成的安全特性： H3C S9500系列支持集成的防火墙模块，可以将防火墙的保护功能扩展到交换机的每个端口；支持集成IPSec模块，提供安全的互联网VPN接入服务；支持端口镜像和远程端口镜像，将有安全隐患的报文镜像到分析端口，并通过与IDS联动及时阻断攻击。（2）设备自身的安全特性：H3C S9500系列采用“最长匹配、逐包转发”模式，能够抵御网络病毒的攻击；支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证；支持IP、VLAN 、MAC和端口等多种组合绑定方式，防范地址盗用；支持广播报文抑制，有效控制ARP等非法广播流量对设备造成冲击；支持URPF，防止IP地址欺骗；支持报文安全过滤，防止非法侵入和恶意报文攻击等。（3）管理的安全性 H3C S9500系列支持IEEE 802.1x、AAA/Radius、HWTACACS，对用户身份进行合法性认证；支持用户分级管理，不同级别的用户拥有不同的配置权限；支持安全的SNMPv3网管协议；支持安全的远程登录SSH V2；支持受限IP地址方式的Telnet登录。本次选用的核心路由器SR8800具备完善的安全机制：支持用户分级管理和口令保护，对登录用户进行认证，并且不同级别的用户有不同的配置权限，用户认证方式包括：AAA认证、RADIUS认证等认证方式等。支持SSHv2.0，为用户登录提供安全加密通道。支持标准和扩展ACL，可以对报文进行过滤，防止网络攻击。支持主机防火墙功能，防止DoS / DDoS攻击。支持URPF技术，防止基于源地址欺骗的网络攻击行为。 · 省核心交换机均支持业界先进的插卡式安全扩展技术本次选用的核心交换机S9500支持业界领先的安全插卡技术。可以在S9500上部署H3C SecBlade FW插卡进行核心层的安全保护和不同区域访问策略的定制。 H3C SecBlade FW是业内第一款万兆高性能防火墙模块，可应用于H3C S7500E/S9500交换机以及SR6600路由器。SecBlade FW集成防火墙、VPN、内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。 H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技术，实时检测应用层连接状态，实现3-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。 SecBlade FW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。 H3C SecBlade FW采用先进的多核硬件结构，提供无以伦比的万兆线速安全防护，是业内处理性能最高的防火墙模块，将网络安全防护提升到万兆安全新阶段。 H3C SecBlade FW支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ActiveX Blocking和SQL注入攻击等威胁的防范；可以有效的识别和控制网络中的各种P2P应用；支持静态和动态黑名单、MAC绑定、安全区域控制、系统统计等安全功能。 H3C SecBlade FW支持先进的虚拟防火墙技术，通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时，可以通过添加

展开阅读全文