深圳市IP城域网组网技术方案.doc

下载

下载

40积分

50积分

下载

50积分

VIP价：40积分

(海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 1 - 深圳市 IP 城域网 组网技术方案 深圳电信局新技术开发中心 2002 年 7 月 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 2 - 目 录 一、设计原则 ....................................................................................................................................................................4 二、设备用途说明和命名规则 ........................................................................................................................................8 SITE 代码 ................................................................................................................................................................8 设备命名规则 ........................................................................................................................................................8 设备用途描述 ........................................................................................................................................................9 三、网络架构 ..................................................................................................................................................................13 核心骨干模块 (BACKBONE) ................................................................................................................................13 INTERNET(163/169)连接点模块 ..........................................................................................................................15 IP VPN 服务模块.................................................................................................................................................16 商业 INTERNET 接入模块 ....................................................................................................................................20 小区 INTERNET 接入模块 ....................................................................................................................................22 政府上网接入模块 ..............................................................................................................................................24 主机托管模块 ......................................................................................................................................................25 四、设备互连 ..................................................................................................................................................................27 远程连接 ..............................................................................................................................................................27 本地连接 ..............................................................................................................................................................27 设备插槽分配策略 ..............................................................................................................................................28 VLAN 编号和用途说明 ......................................................................................................................................28 五、IP 地址 .....................................................................................................................................................................31 IP 地址模式 .........................................................................................................................................................31 域内路由协议(IGP).............................................................................................................................................31 IP 地址分配 .........................................................................................................................................................31 IP 子网规划 .........................................................................................................................................................32 六、和 163/169 的连接 ...................................................................................................................................................34 缺省路由 ..............................................................................................................................................................34 EBGP 出口路由设计...........................................................................................................................................35 在多出口上实现流量均衡 ..................................................................................................................................35 七、MPLS VPN PE-CE 的连接 ....................................................................................................................................37 八、VPN 的 INTERNET 接入 ......................................................................................................................................39 VPN INTERNET 网关............................................................................................................................................39 VPDN FOR VPN ...................................................................................................................................................41 九、NMS 网段 ...............................................................................................................................................................43 十、安全控制 ..................................................................................................................................................................46 十一、QOS......................................................................................................................................................................49 可选择的工具......................................................................................................................................................49 实现的模型..........................................................................................................................................................50 附件一：IP 地址分配计划表 .........................................................................................................................................54 附件二：小区 INTERNET 接入方案 ...........................................................................................................................59 1、SSO（SERVICE-SIGN-ON）系统 ...........................................................................................................................59 2．REDBACK SMS 宽带接入服务器...........................................................................................................................63 3．两种方式的比较。 ................................................................................................................................................64 附件三：图表 ..................................................................................................................................................................66 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 3 - 一、设计原则 随着深圳电信的互联网业务的快速发展，可以预测的用户需求在几年内将成几何级数增 长，同时，随着中国加入 WTO 的时间表的逼近，来自各个方面的竞争压力不断增加。但是， 目前深圳电信的互联网基础设施还不够发达，不足以迅速占领市场的制高点，在未来的竞争 中立于不败之地。 因此，深圳电信局决定建设一个先进的、灵活的、可靠的、基于标准的城市骨干通信平 台，使得深圳电信能够基于这个平台，针对市场上 IP 用户的大量宽带多媒体应用的需求， 迅速推出一系列崭新的宽带多媒体业务，从而吸引更多的用户，增加市场竞争力，实现网络 的商用价值，并为今后满足市场新的业务需求而迅速推出新的业务打好基础。 深圳 IP 城域网一期工程的建设目标是将 IP 城域网建成为数据业务的统一骨干平台，在 此平台上为政府、企业、学校提供高速接入，同时提供 VPN 等增值业务。 基于以上的建立目标，深圳 IP 城域网的设计原则为： (1) 可靠性原则； (2) 可扩充性原则； (3) 简单和易于管理的原则； (4) 可以集中管理的原则； (5) 效率高； (6) 和现有网络有较好的集成； (7) 安全性； 网络可靠性通过下述的设计思路来达到： - 在网络核心层进行 Partial meshed 冗余物理连接； - 接入层设备通过 Dual homing 双连接到核心层； - 网络采用多出口设计到 Internete(163/169)； - 在接入层采用 Route summarization 减少边缘链路波动对核心的影响； - 合理采用静态路由，提高可靠性； 网络可扩充性通过下述的设计思路来达到： - 网络采用明显的“核心—分布”层次结构； - 简单而有效的 IP 地址分配策略； - 采用可靠和可扩展的 IGP 路由协议； 简单和易于维护性通过下述设计思路来达到： - 所有的网络设备被分配专门的用途； - 避免复杂的配置； (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 4 - - 网络设备命名直观而易记； - 统一的 slot、port、VLAN 的分配策略； - 每台设备都配有 loopback 地址，易于维护； 集中管理通过下述设计思路来达到： - 为中央网络管理系统配有专门的管理网段； - 从中央网管网段可以到达所有设备； - VPN PE-CE 连接从 NMS 网段同样可以到达； - 为所有互连网段包括 VPN PE-CE 连接都采用合法 IP 地址； 运行的高效性通过下述设计思路来达到： - 核心层互连链路采用相同接口类型和相同速率，便于作负载平衡； - 城域网内部采用缺省路由配合 IGP metric 作出口选择； - 和 Internet 的多连接上采用 BGP MED 特性进行负载分担； 和现有网络的集成通过下述设计思路来达到： - 采用开放的、标准的路由协议将城域网分为多个路由区域，现有网络 可以通过单独的域连接上来； - 和 Internet(163/169)的 BGP 连接通过保留的 AS 号，这样不会影响广东 省和中国电信 163/169 网络出国的 BGP 路由； 安全性通过下述设计思路来达到： - 对所有重要事件进行 log； - 限制对设备的 SNMP 和 TELNET； - 采用 NTP 协议对全网的设备进行同步； - 对不安全的端口上将路由协议进行 Passive，防止不必要的路由泄露； - 对网络设备的 User 和 Privilege 状态进行存取控制； 网络总体结构如图所示： (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 5 - (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 6 - 黄木岗 图一 深圳I P城域网一期工程网络图 枢纽 新安 蛇口 龙中 沙头角 电信 南山 龙脉 骨干层 西乡中学 西乡小学 宝安中学 宝安教育局 福田中学、实验学校 教育学院、电子技校 外语学院 POS GE 1000M FE 100M 网管 GSR12012 7507/7513 Catalyst6509 Catalyst2924 福田区教 育局等 盐田区教 育局等 信息化小 区 信息化小区、 企业上网 信息化小区 企业上网 信息化小区 龙岗区教 育局等 广电大学 深圳小学 教育局等 信息化小区、 企业上网 深圳中学 深圳大学 南山区教 育局等 信息化小 区 企业上网 主机托管 主机托管 机关专用局 VPN网管 CE router Cisco 3620 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 7 - 二、设备用途说明和命名规则 Site 代码 Site Site Code 枢纽 SN 黄木岗 HMG 电信 DX 南山 NS 新安 XA 龙中 LZ 沙头角 STJ 东港中心 DG 新南头 XNT 机关专用局 JG 蛇口 SK 鸿波 HB 龙脉 LM Site 代码是地点名的拼音缩写而成。前 11 个 site 是本期工程所要安装设备的点，后 2 个 site 不涉及设备安装。 设备命名规则 MAN Site Code Equipment Type Unique Id . A – 1st 12012; B-2nd 12012 M-HMG-12012-A (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 8 - 解释: (1) 设备类型为 “6509” 代表 Catalyst 6509 switch 的 LAN switch 部分； (2) 设备类型为 “6509R#” 代表 Catalyst 6509 switch 的 routing 部分： 6509R1 代表安装在 6509 的 primary supervisory card 上的 MSFC feature card； 6509R2 代 表 安 装 在 6509 的 Redundant supervisory card 上 的 MSFC feature card。。 设备用途描述 Site Device Model Device Name Usage 枢纽楼 GSR12012 M-SN-12012-A MPLS core router 7507 M-SN-7507-A MPLS PE router 3620 M-SN-3620-A VPN Management CE router 2924M-XL M-SN-2924-A VPN GE Fan outaccess concentrator 2924M-XL M-SN-2924-B Commercial Internet access concentratorVPN GE Fan out 6509-MSFC M-SN-6509R1-A Inter-VLAN routing 6509-MSFC M-SN-6509R2-A Inter-VLAN routing 6509 M-SN-6509-A Community Internet access concentratorLocal server hosting 黄木岗 GSR12012 M-HMG-12012-A MPLS core router 7513 M-HMG-7513-A MPLS PE router 2924M-XL M-HMG-2924-A VPN access concentratorGE Fan out 2924M-XL M-HMG-2924-B Commercial Internet access concentratorVPN FE Fan out 6509-MSFC M-HMG-6509R1- A Inter-VLAN routing 6509-MSFC M-HMG-6509R2- A Inter-VLAN routing 6509 M-HMG-6509-A Community Internet access concentratorLocal server hosting 电信 GSR12012 M-DX-12012-A MPLS core router 7507 M-DX-7507-A MPLS PE router 2924M-XL M-DX-2924-A VPN access concentratorVPN GE Fan out 2924M-XL M-DX-2924-B Commercial Internet access concentratorVPN FE Fan out 6509-MSFC M-DX-6509R1-A Inter-VLAN routing 6509-MSFC M-DX-6509R2-A Inter-VLAN routing 6509 M-DX-6509-A Community Internet access concentratorLocal server hosting 6509-MSFC M-DX-6509R1-B Inter-VLAN routing 6509-MSFC M-DX-6509R2-B Inter-VLAN routing 6509 M-DX-6509-B Reserved for 163 server hosting in (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 9 - DXLocal server hosting 东港中心 6509-MSFC M-DG-6509R1-A Inter-VLAN routing 6509-MSFC M-DG-6509R2-A Inter-VLAN routing 6509 M-DG-6509-A SRemote server hosting 6509-MSFC M-DG-6509R1-B Inter-VLAN routing 6509-MSFC M-DG-6509R2-B Inter-VLAN routing 6509 M-DG-6509-B Server hosting 南山 GSR12012 M-NS-12012-A MPLS core router 7507 M-NS-7507-A MPLS PE router 2924M-XL M-NS-2924-A VPN access concentrator 2924M-XL M-NS-2924-B Commercial Internet access concentrator 6509-MSFC M-NS-6509R1-A Inter-VLAN routing 6509-MSFC M-NS-6509R2-A Inter-VLAN routing 6509 M-NS-6509-A Community Internet access concentrator 新南头 6509-MSFC M-XNT-6509R1- A Inter-VLAN routing 6509-MSFC M-XNT-6509R2- A Inter-VLAN routing 6509 M-XNT-6509-A Server hosting 6509-MSFC M-XNT-6509R1- B Inter-VLAN routing 6509-MSFC M-XNT-6509R2- B Inter-VLAN routing 6509 M-XNT-6509-B Server hosting 新安 GSR12012 M-XA-12012-A MPLS core router 7507 M-XA-7507-A MPLS PE router 2924M-XL M-XA-2924-A VPN access concentrator 2924M-XL M-XA-2924-B Commercial Internet access concentrator 龙中 GSR12012 M-LZ-12012-A MPLS core router 7507 M-LZ-7507-A MPLS PE router 2924M-XL M-LZ-2924-A VPN access concentrator 沙头角 GSR12012 M-STJ-12012-A MPLS core router 7507 M-STJ-7507-A MPLS PE router 2924M-XL M-STJ-2924-A VPN access concentrator 2924M-XL M-STJ-2924-B Commercial Internet access concentrator 蛇口 7507 M-SK-7507-A MPLS PE router 2924M-XL M-SK-2924-A Commercial Internet access concentrator 机关专用局 6509-MSFC M-JG-6509R1-A Inter-VLAN routing 6509-MSFC M-JG-6509R2-A Inter-VLAN routing 6509 M-JG-6509-A Government agency Internet access (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 10 - concentrator 设备用途说明： (1) MPLS Core Router  设备用作 MPLS 核心 Label 交换路由器；  不直接连接任何用户；  所有核心层路由器之间、核心路由器和 PE 路由器之间的连接必须 MPLS Enabled；  核心路由器只能运行独一的 IGP 路由协议； (2) MPLS PE Router  设备用作 MPLS provider edge router（PE）；  所有 VPN 用户端的连接终结在 PE 上；  同时，PE 路由器作为 Internet 分布层接入路由器；  PE 在 IGP 上作为 ABR，进行路由聚合； (3) VPN Access Concentrator  设备用于 VPN 扇出，上联链路为 PE 路由器 GE VLAN Trunk；  每一个 FE 交换端口属于一个单独的 VLAN；  每个 FE 交换端口和用户设备通过 FE-to-Fiber 单模光纤转换器连接； 　　　　　 ☆注：该转换连接不属本次工程范畴 (4) Commercial Internet Access Concentrator  设备用于商业用户的高速 Internet 接入；  每一个 FE 交换端口属于一个单独的 VLAN；  每个 FE 交换端口和用户设备通过 FE-to-Fiber 单模光纤转换器连接； ☆ 注：该转换连接不属本次工程范畴 (5) Inter-VLAN Routing  设备用作 Inter-VLAN 路由，这些 VLAN 是通过 Switch 建立起来的；  同时，该设备还用于 Internet 接入路由器；  设备在 IGP 中作为 ABR，进行路由聚合； (6) Community Internet Access Concentrator  设备用于小区用户高速 Internet 接入；  Supervisory Engine 上的 GE 端口通过多模光纤连接到本地的 MPLS core 路由 器上；  VLANA1 作用于 Inter-VLAN 路由器（MFSC）作为管理网段；  VLAN 通过 FE-to-Fiber 单模光纤转换器和小区的用户设备相连； (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 11 - ☆ 注：该转换连接不属本次工程范畴 (7) Server Hosting  设备（LAN 交换机）用于连接各种主机托管服务器；  Supervisory Engine 上的 GE 端口通过单模光纤连接到远程的 MPLS core 路由 器上；  VLNA1 作于 Inter-VLAN 路由器（MFSC）作为管理网段； (8) VLAN Management CE Router  设备作为一个 CE 路由器，连接中央网管网段，通过 VPN 连接到所有的用户 VPN 上，以便于中央网管对所有 PE－CE 链路和 CE 路由器进行管理；  一个 FE 端口连接到本地 PE 上网管专用 FE 端口，另一个 FE 端口连接到 Local Server Hosting 以太网交换机上，通过网管专用网段和网管主机相连接； (9) Government Internet Access Concentrator  设备用作政府机构上网的接入集中器，提供高速 Internet 连接；  6509 上的 supervisory engine 的 GE 口通过单模光纤连接到最近的 MPLS Core Router；  VLANA1 作用于 Inter-VLAN 路由器（MFSC）作为管理网段；  VLAN 通过 FE-to-Fiber 单模光纤转换器和小区的用户设备相连； ☆ 注：该转换连接不属本次工程范畴 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 12 - 三、网络架构 深圳 IP 城域网在网络结构上分成核心层和接入层，在功能上提供 VPN 互连、高速商 业 Internet 接入、高速小区 Internet 接入、政府上网接入、主机托管连接等多种服务类别。因 此，为了在一种清晰的结构上进行网络设计，对网络进行功能模块的划分，将深圳 IP 城域 网分为以下几个模块： 核心骨干模块  Internet(163/169)连接点模块  IP VPN 服务模块 商业 Internet 接入模块 小区 Internet 接入模块 政府上网接入模块 主机托管模块 核心骨干模块 (backbone) 1、结构 的城域网的核心骨干模块由分布在 7 个不同地点的 7 台 Cisco GSR12012 路由器构成， 分别是： Backbone Module IP-VPN Service Module Commercial Internet Access Service Module Community Internet Access Service Module Government Internet Access Service Module Server Hosting Service Module Internet Peering Module Network Management Module (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 13 - M-SN-12012-A 枢纽的 GSR12012 M-HMG-12012-A 黄木岗的 GSR12012 M-DX-12012-A 电信的 GSR12012 M-NS-12012-A 南山的 GSR12012 M-XA-12012-A 新安的 GSR12012 M-LZ-12012-A 龙中的 GSR12012 M-STJ-12012-A 沙头角的 GSR12012 这 7 台 GSR12012 通过 POS 接口卡单模光纤以 partial meshed 结构互连；为了确保核心 骨干模块的 MPLS 标签分配和路由表的稳定，这 7 台 GSR12012 及它们之间互相连接的 Link 必须独立地分配在 IGP 的 area 0 域中。从其它模块学到的路由在进入 Core 之前必须先进行 Aggregate 或 Summarize，以免造成对 Core 的路由影响。 2、实现 作为 IP 城域网的核心，要承载包括 IPv4 和 MPLS VPN 两种不同的 traffic，所以，每台 Core Router 必须是能够支持 Tag Switching。在这种配置下，MPLS VPN 的 traffic 被 Tag Switched，而普通 IPv4 的 traffic 被 routed。 下面是一台 Core router 的 Sample configuration: Tag-switching advertise-tags interface pos 2/0 description “SM01 fiber link to M-XA-12012-A pos 2/0” ip address tag switching ip Core Area Service Modules Service Modules Service Modules Aggregated or Summary Routes Only DX LZHMGXA NS SN STJ (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 14 - 为了减少 Tag Switch 的目标 lable，可以采取 access list 的方法来限制标签的分配。配置 如下： Tag-switching advertise-tags for 1 Access-list 1 permit // loopback 0 address of M-SN-7507-A Access-list 1 permit // loopback 0 address of M-HMG-7513-A Access-list 1 permit // loopback 0 address of M-DX-7507-A Access-list 1 permit // loopback 0 address of M-NS-7507-A Access-list 1 permit // loopback 0 address of M-XA-7507-A Access-list 1 permit // loopback 0 address of M-LZ-7507-A Access-list 1 permit // loopback 0 address of M-STJ-7507-A 在上面的配置下，Tag Switching 在限于目标地址是 MultiProtocol BGP neighbor 的 Core Router 的 loopback 地址，大大减轻了 Core Router 在 Lable 分配上的开销。 其它 traffic 进行普通路由。 Internet(163/169)连接点模块 1、结构 在本期 IP 城域网工程中，黄木岗和电信的两台 Core Router：M-HMG-12012-A 和 M-DX-12012-A 作为和 163/169 连接的边界路由器。 其中，黄木岗 M-HMG-12012-A 通过一条 OC-48 链路连接到 163；电信 M-DX-12012-A 通过一条 GE 链路连接到 163。 Core Area 163 Backbone DX LZ HMG XA NS SN STJ (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 15 - 在广东省 163 扩容工程结束后，这种连接将改变。到那时，2 台新加入的 GSR 路由器 M-SN-12012-B 和 M-NS-12012-B 将代替本期工程中的 2 台边界路由器作为新的 163 出口路 由器。边界路由功能随之而转移到新的 GSR 路由器上。 在第六章中将详细讲述和 163 边界路由器的路由策略，包括如何在多出口点之间进行 Inbound traffic 和 Outbound traffic 的 load balance，以及如何保证路由对称性的问题。 2、实现 深圳 IP 城域网和 163 网之间运行 BGP 路由协议，下面是 M-HMG-12012-A 的 Sample Configuration： router bgp 65001 no synchronization network mask neighbor remote-as 123 neighbor description “ Gbps links to HB 163 Backbone” neighbor version 4 neighbor filter-list 1 in neighbor filter-list 10 out ip as-path access-list 1 deny ^* ip as-path access-list 10 permit ^$ ip route null 0 ip route 城域网的边界路由器不从 163 路由器学习任何 Internet 路由，所有 IP 城域网不知道的路 由都通过缺省路由送至 163 网络。 IP VPN 服务模块 1、结构 IP VPN 服务模块包括向用户提供 IP-VPN 服务的路由器和交换机，路由器主要是 7507 或 7513，交换机主要是 2924。这些设备包括： Provider Edge (PE) Router (Cisco 7500 series routers):  M-SN-7507-A  M-HMG-7513-A  M-DX-7507-A  M-NS-7507-A (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 16 -  M-XA-7507-A  M-LZ-7507-A  M-STJ-7507-A VPN Access Concentrator (Cisco Catalyst 2924M-XL LAN switches):  M-SN-2924-A  M-HMG-2924-A  M-DX-2924-A  M-NS-2924-A  M-XA-2924-A  M-LZ-2924-A  M-STJ-2924-A 所有 VPN Access Concentrator 2924M-XL 都是 100MbaseT 以太网交换机，通过 GE 链路 连接到 7500 系列路由器上。该 GE 链路被定义为 multi-VLAN Trunk。 2924M-XL 上的每个 100M 端口被映射到一个单独的 VLAN 上，7500 路由器上为每个 VLAN 建立一个 sub-interface。 要向用户提供 IP-VPN 服务，需要进行下列步骤：  在 VPN Access Concentrator 2924M-XL 上分配一个 100M 端口；  通过 FE-to-Fiber 单模光纤转换器连接用户端的设备；  将 分 配 到 的 100M 端 口 映 射 到 VPN Access Concentrator 2924M-XL 的 一 个 VLAN 上；  在 PE 7500 的 GE 端口上为该 VLAN 建立一个 sub-interface；  将该 sub-interface 联系到一个 VPN 上；  在用户端，用户提供 CE 路由器通过 100M 端口连接到 PE 上。 M-DX-7507-A Router ………. VLAN 1xxVLAN 109 Logically function as point-to-point links Router at customer site (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 17 - 2、实现 A、VLAN Trunk Trunk 是交换机之间或交换机和路由器之间的点到点链路，trunk 在整个网络内承载 multi-VLAN 的流量。目前有两种 trunk 封包技术，一种是 Cisco 专用技术 ISL(Inter Switch Link)，另一种是 IEEE ，是国际标准。在本次城域网工程中，使用 IEEE 作为 inter-VLAN 的 trunk 封包技术。 下面是 2924M-XL 用作 VPN Access Concentrator 的 Sample Configuration： interface gigabitethernet 1/1 switchport mode trunk switchport trunk encapsulation dot1Q 下面是 PE 路由器 7500 的 trunk 端口的 Sample configuration： interface gigabitethernet 8/0/ encapsulation dot1Q 103 ip address B、MPLS VPN MPLS 采用虚拟路由表的方法来实现一个路由器上多个 VPN 的路由表。每一个 VPN 对 应一个或多个 VRFs(VPN routing/forwarding instance)。VRF 定义连接到 PE 上的 VPN 成员 (一个 site)资格。一个 VRF 包括一个 IP 路由表、一个 CEF(cisco express forwarding)表、几个 相关联的端口、和一些控制路由的规则和参数。 用户 site 和 VPN 之间可以不是一一对应的，一个用户 site 可以是多个 VPN 的成员。但 是，一个用户 site 只可以和一个 VRF 相关联。一个用户 site 的 VRF 包括所有该 site 所属 VPN 到该 site 的路由。 数据包的路由和交换由 VRF 路由表和单独的 CEF 表所控制，每一个 VPN 对应一个路 由表和一个 CEF 表，这样可以防止 packet 被交换到不关联的端口上去，同时也防止不关联 的端口的 packet 被交换到该 VPN 中。 VPN 路由信息的传播由 VPN route-target communities 来控制，这主要是通过 BGP 的 extended communities 属性来实现的。VPN 路由信息的传播通过下述的方法进行工作：  当一条从 CE 处学习到的 VPN 路由被 inject 到 BGP 中时，一些 VPN route target communities 属性被赋于它；其中主要包括 route-target 属性，该属性决定这些 route 将被 export 到哪些 VRF。  每个 VRF 配置有一个 import route-target 列表，该列表指明了一个 BGP 的 update 中的 community 属性应该包含什么 route-target 才能被目标 VRF 接受。比如，某一个 VRF 的 import route-target 列表指明 route-target communities A、B 和 C，这样，每一个 MP-iBGP 的 update 中 communities 属性的 route-target 中有 A 或 B 或 C 的 route 将被 import 到该 VRF 中。 一个 PE 路由器可通过静态路由、RIP 或 BGP 从 CE 处得到某一个 IP 前缀的路由，该前 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 18 - 缀是标准 IPv4 的前缀。然后，PE 通过加上一个 8 字节的 RD(route distinguisher)将它转换成 为一个 VPN-IPv4 的前缀。通过这种方法，可以使用户地址唯一，即使用户使用的是 IANA 规定的保留地址。用于生成 VPN-IPv4 前缀的 RD(route distinguisher)由 PE 路由器的 VRF 配 置命令指定。 MP BGP 协 议 为 VPN 的 每 个 VPN-IPv4 前 缀 传 递 NLRI(Network Layer Reachability Information)。BGP 实体之间的通信有两种可能，AS 内的 iBGP 和 AS 间的 EBGP，PE-PE 和 PE-RR(route reflector)之间为 iBGP，PE-CE 之间为 EBGP。 BGP 协 议 通 过 BGP 多 协 议 扩 展 (BGP multiprotocol extensions 参 见 RFC 2283, Multiprotocol Extensions for BGP-4)来传递 VPN-IPv4 的路由可达性信息，多协议扩展的 BGP 采用的方法为限定 BGP 的 peer 只能从其它 VPN 的同伴处得到 BGP 路由。 IP 包经过 MPLS 标签交换到其目标地址，其选路的基础是 VRF 路由表和 VRF CEF 表。 PE 路由器为每一个从 CE 路由器学到的前缀产生一个 label，然后将这个 label 作为一个 BGP Communities 属性附加到 BGP 更新中传递出去。当一个源 PE 路由器从 CE 路由器处得 到一个 IP 包，它使用从目标 PE 路由器学到的 label 将该 IP 包发送出去。当目标 PE 路由器 得到这个 labeled IP 包后，将 label 从 IP 包中去除，作为一个纯 IP 包发送到 CE 路由器。 当 labeled IP 包在核心骨干部分传递时，其基于 label switching 或 traffic engineered path 进行，一个用户的 IP 包在核心穿行时，携带了 2 层 label：  第一层 label 指示到正确的目标 PE 路由器；  第二层 label 给目标 PE 路由器指示，到哪一个其连接的 site 链路。 下面以黄木岗 M-HMG-7513-A 为例，给出建立一个名为“education”的 VPN 的 sample configuration： Step1: create vrf instance ip vrf education ! Define VPN Routing instance “education” rd 65001:101 ! Specify the route distinguisher route-target both 65001:101 ! Configure import and export route-targets for “education” Step 2: Activating PE exchange of VPNv4 NLRI over iMP-BGP: router bgp 65001 ! Configure BGP sessions no synchronization no bgp default ipv4-activate ! Deactivate default IPv4 advertisements neighbor remote-as 65001 ! Define IBGP session with another PE neighbor description “M-SN-7507-A loopback” neighbor update-source lo0 address-family vpnv4 unicast ! Activate PE exchange of VPNv4 NLRI neighbor activate exit-address-family Step 3: Associate interfaces with a VPN: (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 19 - interface GigabitEthernet5/0/0 ! Set up GE interface as VRF link to a CE router ip vrf forwarding education ip address interface GigabitEthernet 8/0/ ! Setup up 2924 FE port as VRF link encapsulation dot1q 101 ip vrf forwarding education ip address Step 4: Assuming static routes are used for connecting the CE side network: ip route vrf education ip route vrf education 第七章将详细阐述 MPLS VPN PE-CE 连接的实现，第八章阐述 VPN 用户如何连接到 Internet。 商业 Internet 接入模块 1、结构 城域网的这一部分主要包括用于向用户提供商业 Internet 接入服务的设备和链路。用户 在自己驻地有自已的路由器用于进行 Internet 接入。 商业 Internet 接入模块部分包括以下设备： Access Router (Cisco 7500 series routers):  M-SN-7507-A  M-HMG-7513-A  M-DX-7507-A  M-NS-7507-A  M-XA-7507-A  M-LZ-7507-A  M-STJ-7507-A  M-SK-7507-A Commercial Internet Access Concentrator (Cisco Catalyst 2924M-XL LAN switches):  M-SN-2924-B  M-HMG-2924-B  M-DX-2924-B  M-NS-2924-B  M-XA-2924-B  M-LZ-2924-A  M-STJ-2924-B  M-SK-2924-B (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 20 - 注：7500 路由器作为一个接入平台同时起 IP-VPN 功能和商业 Internet 接入功能。 商业 Internet access concentrator 通过 FE 接口接到 7500 路由器上，作为上联链路。每个 单独的 2924 交换机的 100M 以太网端口定义为独立的 VLAN，在 7500 路由器上的 FE 端口 上，为每个 access VLAN 定义一个 sub-interface。 在逻辑结构上，商业 Internet 接入模块和 IP-VPN 服务模块非常相似。它们的区别在于 使用的 VLAN 编号不一样。VLAN 编号规则见下一章。 为了向用户提供商业 Internet 接入功能，需要进行以下几个步骤的配置： 1、 在 Commercial Internet Access Concentrator 上分配一个 100M 以太网端口； 2、 通过 FE-to-Fiber 单模光纤转换器将该端口延伸到用户端； 3、 在 Commercial Internet Access Concentrator 上为该端口分配一个 VLAN； 4、 在 7500 路由器的 FE 端口上生成一个 sub-interface，将该 sub-interface 联系 到这个 VLAN 上； 5、 为这一段链路分配 IP 地址； 6、 在 7500 路由器上为用户的 network 作静态路由； 2、实现 因为 access VLAN 可以看作是 point-to-point 连接，我们只需要为这段链路分配一个/30 的子网。因为 VLAN 是 multi-access 介质，所以不能作 ip unnumbered 处理。 在用户驻地，用户需要提供一个具有 100M 以太网接口的路由器，用于接入城域网。 M-DX-7507-A Router ………. VLAN 2xxVLAN 201 Logically function as point-to-point links Router at customer site Acting as Area Border Router (route summarization happened here) (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 21 - 用户的 IP 地址块可以从城域网的用户网络地址块中分配，也可以从其它地方申请到的 IP 地址。建议采用前者，因为这样可以作路由聚合，减少网络开销。 为了使用户的 IP 地址可以从 Internet 和 MAN 上访问到，在 7500 上要做静态路由，然 后将此静态路由 redistribute 到 IGP 中。在 7500 上要做 IGP 的 address summarization，这样防 止过多的 external route 进入 MAN 的骨干。 下面是提供商业 Internet 接入的 7500 路由器的 Sample configuration： interface FastEthernet 6/0/ encapsulation dot1q 101 ip address router ospf 100 redistribute static metric 10 metric-type 1 subnets network area 0 network area 3 network area 3 summary-address ip route 小区 Internet 接入模块 1、结构 城域网的这一部分主要包括用于用信息化小区用户提供高速 Internet 接入服务的设备和 链路。小区驻地设备假定为一台路由器或一台以太网交换机，用户在自己家里通过一台 PC 和一个以太网卡上 Internet。 这部分的连接方式以及用户的论证、计费等功能的详细讨论，见附件。 商业 Internet 接入模块部分包括以下设备： Community Internet Access Concentrators:  M-SN-6509-A  M-HMG-6509-A  M-DX-6509-A  M-NS-6509-A Catalyst 6509 以太网交换机的每个 100M 端口被配置单独的 VLAN，一个 100M 端口通 过 FE-to-Fiber 单模光纤转换器延伸到用户驻地，该段地址的分配从骨干网的 IP 块中分配。 小区和城域网的连接方式可以有两种，一种是小区通过路由器和 6509 相连，在种结构 下，Access VLAN 逻辑上可以看作 point-to-point 的点到点链路，这使得网络具有较好的可扩 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 22 - 充性，同时限制了用户端的广播影响到城域网的性能。这种结构下小区路由器必须配置 100M 以太网接口 另一种方式是小区通过 Switch 或 Hub 和 6509 相连，这种结构下，6509 的下联端口和 用户相享一个广播域，用户的广播包会影响 6509 的性能。但这种结构对小区的要求更低， 易于实现。 这两种结构下，小区的 IP 地址分配都是按地址块进行，当小区用户增加需要增加 IP 地 址时，分配另一块 IP 地址给小区，前者在路由器上作路由，后者通过对 6509 的相关端口设 置 Secondary IP 地址来实现。 相对而言，前者更具有灵活性、可扩充性，而且效率更高。后者则实现简单，成本更低。 逻辑上，小区 Internet 接入服务模块实现结构图如下： 小区接入的网络可以采用任何组网技术，小区的网络采用的 IP 地址块最好从城域网分 配到的用户 IP 地址块中分配，这样有利于做 route summarization。 2、实现 M-DX-6509R1-A Routing Engine M-DX-6509R2-A Routing Engine ………. ………. VLAN 401 VLAN 4xx VLAN 402 VLAN 4xx VLAN 1 MAN Backbone Community Access Network Logically Function as Point-to-point Link VLAN11 Sign-on server Radius server Service Gateway (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 23 - 正如拨号接入用户，小区 Internet 用户也需要经过论证才能访问 Internet，论证通过后， 还需要对用户的访问进行计费。这部分功能需要安装另外的论证服务网关，在小区接入的 Access concentrator 上要建立一个专用的 VLAN，用于连接这些论证服务器或服务网关。 如果只需要对用户进行粗粒度的计费，还可以在 6509 的接口上设置 CAR 以限制小区总 体接入带宽，以租用线路的方式向用户提供服务。 这个 VLAN 的 IP 地址从骨干网的 IP 地址块中分配。不同的小区接入网从不同的 IP 地 址块中分配 IP 地址。 详细讨论见附件。 政府上网接入模块 1、结构 城域网的这一部分主要包括用于深圳市政府的用关部门接入 Internet 的设备和链路。政 府上网接入方式和商业 Internet 接入的方式相似， 接入 access concentrator(6509)的每一个 100M 端口通过 FE-to-Fiber 单模光纤转换器延伸到政府部门，政府部门驻地设备应包括一台 路由器和一台/多台交换机，其中路由器应配有 100M 以太网接口。 政府上网接入模块只包含 1 部设备：M-JG-6509-A 尽管只有一台设备，M-JG-6509-A 包括 1 个 LAN 交换机和 2 个内嵌式路由器。这 2 部 路由器分担政府上网的信息流量。物理上，M-JG-6509-A 通过 long haul 千兆以太网光纤接到 黄木岗 M-HMG-7513-A 路由上，下面的图描述了这 3 台路由器如何连接，提供政府机关上 网以及其它服务： 2、实现 M-HMG-7513-A Router M-JG-6509R1-A Routing Engine M-JG-6509R2-A Routing Engine MAN Backbone ………. ………. ………. IP-VPN Services Broadband Internet Services VLAN 1 VLAN 101 VLAN 1xx VLAN 301 VLAN 3xx VLAN 302 VLAN 3xx (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 24 - 政府上网接入模块的逻辑结构使得可以向政府机关及部门提供灵活的服务，同样的 Access concentrator 可以提供高速 Internet 接入或 IP-VPN 服务。 要实现上述功能，7513 和 6509 之间的 GE 链路需要定义为 multi-VLAN trunk。三台路由器之间通过 VLAN1 互联。 像 IP-VPN 和商业 Internet 接入实现一样，接入 VLAN 采用/30 掩码，实现步骤和商业 Internet 接入相同。 主机托管模块 1、结构 城域网的这一部分主要包括用于通过城域网提供主机托管服务的设备和链路。 主机托管模块包括以下设备： Catalyst 6509 LAN switches(each with dual MFSC routing engines)  M-DG-6509-A  M-DG-6509-B  M-XNT-6509-A  M-XNT-6509-B 东港中心的两台 6509 交换机采用两条 GE long haul 光纤连接到电信和黄木岗，新南头 的两台 6509 交换机通过两条 GE long haul 光纤连接到南山和新安。 每台 6509 LAN 交换机含有 2 台内嵌的路由器，下图以一个节点为例说明主机托管模块 的逻辑结构： (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 25 - 2、实现 为了使主机托管 VLAN 具有尽可能大的可用性，在该模块采用 cisco HSRP (Hot Standby Routing Protocol)。采用 HSRP 可以提供很好网络可用性，因为到托管主机的 IP 路由不依赖 于一台单独的路由器。 当 HSRP 在网段上使用时，它提供一个虚拟的 MAC 地址和一个 IP 地址，做成 HSRP 的路由器共享这两个地址。某一时刻只有一台路由器被选中用工作路由器，工作路由器对数 据包进行路由和交换。对于一个包含 4 台路由器的 HSRP 组，需要 4+1 个 IP 地址和 MAC 地 址。 Standby 的路由器侦测 Active 路由器的失败，当 Active 路由器 down 机后，Standby 路由 器选出另一个 Active 路由器，该路由器接管该 Group 的 IP 地址和 MAC 地址,对数据包进行 路由和交换。 VLAN 2 M-DG-6509R1-A Routing Engine M-DG-6509R2-A Routing Engine M-DX-12012-A VLAN 3 M-DG-6509R1-B Routing Engine M-DG-6509R2-B Routing Engine M-HMG-12012-A VLAN 1 VLAN 11 VLAN 12 VLAN 13 Server Hosting VLAN Management VLAN (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 26 - 四、设备互连 远程连接 一共有 20 个单模光纤连接，用于连接 13 个点(site)。 A-end B-end Link ID. Device ID. Slot/Port Device ID. Slot/Port Wave- Length FO Power Budget SM01 M-HMG-12012-A Pos 2/0 M-XA-12012-A Pos 2/0 1550 24 dB SM02 M-HMG-12012-A Pos 3/0 M-NS-12012-A Pos 2/0 1550 24 dB SM03 M-SN-12012-A Pos 2/0 M-HMG-12012-A Pos 4/0 1550 24 dB SM04 M-SN-12012-A Pos 3/0 M-DX-12012-A Pos 2/0 1550 24 dB SM05 M-DX-12012-A Pos 3/0 M-STJ-12012-A Pos 2/0 1550 24 dB SM06 M-DX-12012-A Pos 4/0 M-LZ-12012-A Pos 2/0 1550 24 dB SM07 M-NS-12012-A Pos 3/0 M-XA-12012-A Pos 3/0 1550 24 dB SM08 M-DX-12012-A Pos 5/0 M-NS-12012-A Pos 4/0 1550 24 dB SM09 M-SN-12012-A Pos 4/0 M-NS-12012-A Pos 5/0 1550 24 dB SM10 M-SN-12012-A Pos 5/0 M-STJ-12012-A Pos 3/0 1550 24 dB SM11 M-HMG-12012-A Pos 5/0 M-LZ-12012-A Pos 3/0 1550 24 dB SM12 M-HMG-12012-A Pos 6/0 HB-12008 Pos ?/? 1550 24 dB SM13 M-DX-12012-A Ge 8/0 (LH) HB7507 GE ?/? (LH) 1300 dB SM14 M-HMG-7513-A Ge 9/0 (LH) M-JG-6509-A GE 1/2 (LH) 1300 dB SM15 M-HMG-12012-A Ge 8/0 (LH) M-DG-6509-B GE 1/2 (LH) 1300 dB SM16 M-DX-12012-A Ge 9/0 (LH) M-DG-6509-A GE 1/2 (LH) 1300 dB SM17 M-NS-12012-A Ge 8/0 (LH) M-XNT-6509-A GE 1/2 (LH) 1300 dB SM18 M-XA-12012-A Ge 8/0 (LH) M-XNT-6509-B GE 1/2 (LH) 1300 dB SM19 M-NS-12012-A Ge 9/0 M-SK-7507-A GE 1/0 1300 dB SM20 M-DX-12012-A Ge 8/1 LM7500 GE ?/? 1300 dB 注：参见图 1、图 2。 本地连接 注：参见图 3a――图 3g。 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 27 - 设备插槽分配策略 为了有效的利用设备的内部总线，提高交换效率，对设备上的各种类型的接口卡的插槽 需要进行合理的分配，插槽分配策略为： (1) Cisco GSR 12012 - GRP 和 redundant GRP/R 始终占用 slot 0 和 slot 1； - 所有的 POS line card 从 slot 2 开始； - 所有的 3GE line card 从 slot 8 开始； (2) Cisco 7507 - RSP4 和 redundant RSP/R 始终占用 slot 2 和 slot 3； - 靠近 RSP 的 Slots 优先分配； - 上联到 GSR 12012 的 GEIP 占用 slot 1； - 下联到 Catalyst 2924 的 GEIP 占用 slot 4； - 需要连接到远端用户 VPN 的 GEIP 占用 slot 5； - VIP/PA-FE 占用 slot 6； - (3) Cisco 7513 - RSP4 和 redundant RSP/R 始终占用 slot 6 和 slot 7； - 靠近 RSP 的 Slots 优先分配； - GEIP for remote VPN customer site is allocated slot 5 where required - 上联到 GSR 12012 的 GEIP 占用 slot 4； - 下联到 Catalyst 2924 或 Catalyst 6509 的 GEIP 从 slot 8 开始； - VIP/PA-FE 占用 slot 12； (4) Cisco 6509 - SUP1A 和 redundant SUP1A/2 supervisory engines 始终 slot 1 and 2； - GE port 1/1 始终使用 MM-SX GBIC 进行多模连接； - GE port 1/2 始终使用 SM-LX GBIC 进行单模连接； - 其它模块从 slot 3 开始； (5) Catalyst 2924M-XL - GE 上联模块始终安装在 port 1/1 上； VLAN 编号和用途说明 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 28 - 作为一个规则，VLAN 编号以 site 基准，即 VLAN 号在一个 site 内是唯一的，并且，统 一的 VLAN 编号法有助于消除歧意和有助于排错。其中一个例外是 VLAN 1,因为可能有许多 不互连的 Catalyst 交换机，因此可能有许多不规则数量的 VLAN 1 用于管理 VLAN。 一般地，采用下面的 VLAN 编号规则： - VLAN 1 用于管理网段； - VLAN 2—VLAN10 保留用于设备互联和其它特别用途； - VLAN 11—VLAN 100 用于 Server hosting VLAN - VLAN101—VLAN 199 用于 IP-VPN 接入 - VLAN 201 —VLAN299 用于商业 Internet 接入 - VLAN 301—VLAN 399 用于政府上网接入 - VLAN 401—VLAN 499 用于小区 Internet 接入 下面是本期城域网的 VLAN 的编号方案： Site Equipment VLAN Usage 枢纽 M-SN-6509-A 2 Uplink to GSR 9 NMS Segment 11 Server hosting VLAN M-SN-2924-A 101 to 124 IP-VPN access M-SN-2924-B 202 to 224 Commercial Internet access 黄木岗 M-HMG-6509-A 2 Uplink to GSR 11 Server hosting VLAN M-HMG-2924-A 101 to 124 IP-VPN access M-HMG-2924-A 202 to 224 Commercial Internet access 机关专用局 M-JG-6509-A 301 to 348 Government Internet access 电信 M-DX-6509-A 2 Uplink to GSR 11 Server hosting VLAN M-DX-2924-A 101 to 124 IP-VPN access M-DX-2924-B 202 to 124 Commercial Internet access 东岗中心 M-DG-6509-A 2 Uplink to GSR 11 Server hosting VLAN M-DG-6509-B 3 Uplink to GSR 12 Server hosting VLAN 南山 M-NS-6509-A 2 Uplink to GSR 11 Server hosting VLAN M-NS-2924-A 101 to 124 IP-VPN access M-NS-2924-B 202 to 224 Commercial Internet access 蛇口 M-SK-2924-A 102 to 124 IP-VPN access 新南头 M-XNT-6509-A 2 Uplink to GSR 11 Server hosting VLAN M-XNT-6509-B 3 Uplink to GSR (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 29 - 12 Server hosting VLAN 新安 M-XA-2924-A 101 to 124 IP-VPN access M-XA-2924-B 202 to 124 Commercial Internet access 龙中 M-LZ-2924-A 101 to 124 IP-VPN access 沙头角 M-STJ-2924-A 101 to 124 IP-VPN access M-STJ-2924-B 202 to 224 Commercial Internet access (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 30 - 五、IP 地址 IP 地址模式 本期城域网所有的网络设备及互连的 IP 地址全部采用合法 IP 地址，包括 PE-CE 之间网 段。 根据下文描述的 IP 地址分配策略，一共需要 18 个 C 类地址；为了满足一段时间内用户 发展的需要，最好能够申请到 32 个 C 类地址。 为了使 IP 地址的分配清晰，按其功能将 18 个 C 类地址可以分为三块：  Block 1(1 个 C)用于城域网骨干核心模块，包括 GSR 路由器和 7500 路由器的 loopback 地址以及它们之间互连链路的地址。  Block 2(2 个 C)用于 IP-VPN 服务模块的 PE-CE 之间的链路地址。  Block 3(15 个 C)用于其它接入模块，包括 access VLAN、management VLAN、 server hosting VLAN 等，根据不同的 area 进行进一步的子网化。 域内路由协议(IGP) IGP OSPF Process-id 100 AS# 65xxx 考虑以下几个方面的原因，城域网采用 OSPF 作为 IGP： (1) OSPF 是开放的 IETF 标准协议； (2) OSPF 已被证明是可靠的和可扩展的； (3) 高效的路由聚合和缺省路由机制在 OSPF 中是现存的； (4) 目前深圳 163 的 POP site 是采用 OSPF，容易集成； (5) OSPF 和 MPLS 的结合是被证明成功的，而 IS-IS 和 MPLS 的结合需要对 IS-IS 进行修改； IP 地址分配 为了进行路由聚合和负载分担，需要进行分域(areaing),对每一个 area，以 C 为单位进行 地址分配。 一共分为 1715 个 Area，Area 0 包括核心 7 台 GSR 路由器、8 台 7500 路由器、8 台 6509 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 31 - 交换机及它们互联的链路。其它 1614 个域由 7500 及 6509 的接入链路和用户路由器组成， 主要目的是为了避免用户链路的不稳定造成核心的波动。 1、核心层 IP 地址块： Area 0 Use Mask Count IP Consumed Core router Lo0 address /32 7 8 7500 router Lo0 address /32 8 8 Inter-core POS link /30 11 44 Interconnecting 163 /30 2 8 Interconnecting 龙脉 /30 1 4 Area 0 link to 8x 7500 /30 8 32 Area 0 link to 8 x 6509-MFSC /29 8 64 Total 168 需要 C 类地址：1 个 C (Net 1) 2、IP-VPN 服务模块 PE-CE 地址块 因为 IP-VPN 的 PE-CE 之间的链路 的 IP 地址只出现在管理 VRF 和其它 VPN VRF 中， 所以不必要对这一块地址进行 summarize。这样，只要从一个地址块中分配这一部分 IP 即可。 Use Mask Count IP Consumed IP-VPN PE-CE Link /30 126 504 Total 504 需要 C 类地址：2 个 C (Net 10 & Net 14) 3、其它服务模块地址块 这部分地址用于其它服务模块的地址分配，包括商业 Internet 接入模块、信息化小区 Internet 接入模块、主机托管模块、政府上网模块以及管理模块等。 这一部分的 IP 地址预计需要 15 个 C，其详细说明见附件一：IP 地址分配计划表。 IP 子网规划 为了有效使用 IP 地址，必须对 IP 地址进行子网化，通过对每个 area 用 VLSM(可变长 子网掩码)进行地址分配可以最大限度的利用 IP 地址。 下面是每一个 C 类地址的子网化规划： Area ABR Network Start IP End IP Mask Usage 0 - Net1 0 239 /30 P2P 240 255 /32 Loopback 1 M-SN-7507-A Net2 0 239 /30 VPN P2P 240 247 /30 VLAN1 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 32 - 248 255 /32 Loopback 2 M-SN-6509R-A Net3 0 63 /26 VLAN11 224 239 /28 VLAN1 240 247 Reserved 248 255 /32 Loopback 3 M-HMG-7513-A Net4 0 239 /30 VPN P2P 240 247 /30 VLAN1 248 255 /32 Loopback Net5 0 239 /30 VPN P2P 240 247 /30/2 9 VLAN1 for JG6509A 248 255 /30 Loopback 4 M-HMG-6509-A Net6 0 63 /26 VLAN11 224 239 /28 VLAN1 240 247 Reserved 248 255 /32 Loopback 5 M-DX-7507-A Net7 0 239 /30 VPN P2P 240 247 /30 VLAN1 248 255 /32 Loopback 6 M-DX-6509R-A Net8 0 63 /26 VLAN11 224 239 /28 VLAN1 240 247 Reserved 248 255 /32 Loopback 7 M-DG-6509-A & M-DG-6509-B Net9 0 63 /26 VLAN11 224 239 /28 VLAN1 240 247 Reserved 248 255 /32 Loopback Net10 0 255 /24 VLAN12 8 M-NS-7507-A Net11 0 239 /30 VPN P2P 240 247 /30 VLAN1 248 255 /32 Loopback 9 M-NS-6509R-A Net12 0 63 /26 VLAN11 224 239 /28 VLAN1 240 247 Reserved 248 255 /32 Loopback 10 M-XNT-6509R-A & M-XNT-6509R-B Net13 0 63 /26 VLAN11 224 239 /28 VLAN1 240 247 Reserved 248 255 /32 Loopback Net14 0 255 /24 VLAN12 11 M-SK-7507-A Net15 0 239 /30 VPN P2P 240 247 /30 VLAN1 248 255 /32 Loopback 12 M-XA-7507-A Net16 0 239 /30 VPN P2P 240 247 /30 VLAN1 248 255 /32 Loopback 13 M-LZ-7507-A Net17 0 239 /30 VPN P2P 240 247 /30 VLAN1 248 255 /32 Loopback 14 M-STJ-7507-A Net18 0 239 /30 VPN P2P 240 247 /30 VLAN1 248 255 /32 Loopback (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 33 - 六、和 163/169 的连接 在设计上，深圳 IP 城域网和 163/169 网是 2 个不同的自治系统(AS)；这样设计是为了防 止 2 个网络之间的相互影响。 在这两个网络的互连上，采用下面的路由策略： (1) Redistribute 缺省路由进入 IP 城域网； (2) 通过 OSPF 的 metric 值选择不同的出口； (3) 通过 EBGP 在多个出口和 163 网进行互连； (4) 通过 BGP 的 MED 属性选择进口，进行负载分担； 缺省路由 要将缺省路由 inject 进 OSPF，需要采用 Route-map 配置，下以面的 configuration 将出 现在电信和黄木岗的 GSR12012 路由器上，这两台路由器在本次工程中作为到 163 网的边界 路由器： router ospf nnn default-information originate metric-type 1 route-map SEND_DEFAULT_IF access-list 1 permit access-list 2 permit route-map SEND_DEFAULT_IF permit 10 match ip address 1 match ip next-hop 2 ip route 其中， 地址是 163 网一侧的端口的 IP 地址。 Metric-type 1 OSPF 的 Metric 的类型之一，用于将该路由作为 internal 和 external Metrics。 这样就可以将流量在电信和黄木岗 2 个出口之间进行流量平衡。 如果其中一条到 163 的链路断了的话，注入的缺省路由可以被自动撤销。在电信和黄木 岗的 GSR12012 上，如果不存在其它直连的缺省路由的话，不会再有别的缺省路由被注入到 OSPF 的域中。 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 34 - EBGP 出口路由设计 深圳 IP 城域网将会采用保留的 AS 号码，这个号码由广东省数据通信局提供，以免和 广东省 163 网的 AS 号以及中国电信其它保留 AS 号发生冲突。 下面的 configuration 是电信和黄木岗的 GSR12012 的 BGP 配置： router bgp 65xxx network mask neighbor remote-as nnnn neighbor filter-list 10 out ip as-path access-list 10 permit ^$ 其中： (1) network 语句中 是分配给城域网的 IP 地址，可以有多条，具体视分配 到的 IP 地址而定； (2) neighbor 语句中 指 163 网一侧的 BGP peer 的 IP 地址； 在广东省 163 骨干网上要确保： (1) 分配给深圳 IP 城域网的地址要通过其上联的 BGP 协议向上一层 BGP peer 通报，以使得该块 IP 地址在 Internet 上是可以路由的； (2) 分配给深圳城域网的保留 AS 号在出广东省 163 网时应去掉； (3) 163 骨干路由器和电信、黄木岗的 GSR12012 必须是直连的； 在广东省 163、169 两网合一及扩容工程之后，广东省 163 网在深圳的骨干节点将会移 至枢纽大厦和南山，此时可以将电信和黄木岗的出口割接到新的出口，路由策略不变。 在多出口上实现流量均衡 由于城域网和 163 网之间存在多个出口，所以必须要采取一定的策略来实现路由冗余和 流量均衡。 缺省路由的策略可以在城域网内部实现出口流量的均衡； 对于入口流量的均衡采用以下策略完成： (1) 城域网这个超网可以分为多个子网段，既然我们以 C 为单位进行 area 的划 分，所以同样采用 C 为粒度划分网段； (2) 多条以 C 为目标的 network 语句配置在 BGP 的路由协议中； (3) 通过将各自的 Internal metric 转换成 MED 值，通过 BGP 注入到 163 网的 BGP 协议中，从而为选择入口路由提供依据； (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 35 - 下面的 configuration 是一个示例： router bgp 65xxx network mask network mask network mask . . . network mask (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 36 - 七、MPLS VPN PE-CE 的连接 MPLS VPN PE-CE 的连接可以分为 2 种类型： (1) 直接连接到 7500 路由器的 GE 端口上； (2) 通过 Catalyst 2924M-XL 的 VLAN trunk 连接 7500 路由器的 GE 端口，Catalyst 2924 上的每个端口就是一个 VLAN； 不管是直接连接到 7500，还是通过 VLAN 连接到 7500，这种 PE-CE 的连接可以看成 是 point-to-point 的逻辑连接，这段 link 将被分配到一个/30 的子网。 下图描述了这种设置： VPN PE-CE VLAN 的 VLAN 号从 101 分配起。Port 0/1,如果不用作 VLAN 的 trunk，分 配 VLAN 101，Port 0/2 分配 102，以此例推； 以黄木岗 7513 的 VPN PE-CE 连接举例说明如下： M-HMG-7513-A ☆ interface gigabitethernet 8/ ☆ M-HMG-2924-A ☆ VLAN 103 ☆ port 0/3 ☆ CE router ☆ interface fastethernet 0/0 Sample configuration: 7500 VLAN Trunk VLAN1 Port 0/2 Remote CE Router /30 subnet Catalyst 2924M-XL Management interface FE to single Mode fiber converter Remote CE GE /30 subnet VLAN102 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 37 - PE Router (M-HMG-7513-A) ip vrf education rd 65xxx:101 route-target export 65xxx:101 route-target import 65xxx:101 Interface gigabitethernet 8/ ip address ip vrf forwarding education * where 65xxx is the private AS # of the Shenzhen MAN CE Router Interface fastethernet 0/0 ip address (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 38 - 八、VPN 的 Internet 接入 VPN Internet 网关 每一个 VPN 到 Internet 的接口都是通过设置该 VPN 的一台路由器作为 Gateway 路由 器来完成，Gateway 路由器有两个 logical interface 连接到 PE 上，其中一个 interface 上跑 IPv4 的 traffic，另一个 interface 上跑 VPN 的 traffic。 和 Gateway 路由连接的 PE 路由器发起一个 default route 到该 Gateway 路由器。因为一 般 VPN 都采用保留 IP 地址块，所以在 Gateway 路由器上需要运行 NAT 功能。 参见下图的连接方式： 下面的 configuration 以电信 PE 7507 路由器为例，说明 PE 和 Gateway 路由器的连接配 置： PE Router (M-DX-7507-A): ip vrf education rd 65001:101 route-target export 65001:101 route-target import 65001:101 CE PE CE CE CE PE MPLS Core Shenzhen MAN VPN VPN VPN VPN IPv4 Link Internet Gateway CE (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 39 - interface gigabitethernet 5/0 interface gigabitethernet 5/ encapsulation dot1q 1 ip address interface gigabitethernet 5/ encapsulation dot1q 2 ip address ip vrf forwarding education Internet Gateway CE Router: interface gigabitethernet 0/0 interface gigabitethernet 0/ encapsulation dot1q 1 ip address ip nat outside interface gigabitethernet 0/ Encapsulation dot1q 2 Ip address Ip nat inside ip route 逻辑上，这样配置后的网络连接结构如下图所示： Internet Gateway For Education VPN Shenzhen MAN IP-VPN Services Education VPN Site #1 Site #2 Site #3 Site #4 Site #5 Site #6 Shenzhen MAN Broadband Internet Access Services VLAN 1 VLAN 2 Private IP Addressing Scheme (NAT Inside) Global IP Addressing Scheme (NAT Outside) Internet (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 40 - VPDN for VPN 按照这样的设计，可以让拨号用户接入到 VPN 中，实现拨号 VPDN 功能。 我们假定深圳 163 网的拨号接入服务器被设置为 enable VPDN 接入到教育网的 VPN 中。 VPDN 使用第二层协议 L2F 来 tunneling 链路级帧，采用 L2F tunneling，163 接入服务器可以 建立 virtual tunnel 来连接拨号用户和教育网 VPN。首先，163 POP 点的接入服务器和拨号用 户通过 PPP 建立连接，然后通过 L2F 协议和教育网的 Home Gateway 建立 Tunnel，再将两者 连接。这里的 Home Gateway 指教育网的 Internet Gateway。 在拨号用户和教育网 VPN 之间建立 VPDN 经过以下几个步骤： 1、 拨号用户通过 PSTN 或 ISDN 向 163 接入服务器发起 PPP 连接请求； 2、 163 接入服务器接受连接请求； 3、 163 接入服务器通过 CHAP 或 PAP 论证用户的连接，利用 domain name 或 DNIS(dialed number information)来决定该用户是否是一个 VPDN 的客户。如果不 是，不作特殊处理。 4、 163 接入服务器和教育网 Home Gateway 之间建立 tunnel 之前进行互相认证。 5、 如果两才之间不存在 tunnel，则在两者这间建立 tunnel；如果 tunnel 已经存在， 则在已存在 tunnel 上分配一个未用的 slot。 6、 如果教育网 VPN 的 Home Gateway 接受了 connection，此时，初始化设置让 VPN Home Gateway 对拨号用户进行认证。 7、 VPN Internet Gateway 生成一个 virtual interface，链路级帧通过 L2Ftunnel 在网上 传送，完成 VPDN 功能。 下面的图描绘了上述过程： Internet Gateway For Education VPN Shenzhen MAN Internet Education VPN Education VPN Authentication Server (. CiscoSecure ACS Server) Servers 163 Network Access Server (home gateway) tunnel Student/Teacher At home IP Address Private to Education VPN (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 41 - 下面是教育网的 Home Gateway 的 Sample Configuration: Internet Gateway for Education VPN vpdn enable vpdn-group 163POP accept-dialin protocol l2tp virtual-template 1 terminate-from hostname 163NAS local name VPNHGATE l2tp tunnel password 0 topsecret interface Virtual-Template1 ip unnumbered Loopback 0 no ip directed-broadcast ip tcp header-compression passive peer default ip address pool POOLA ip local pool POOLA (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 42 - 九、NMS 网段 当一个 CE 路由器加入一个 VPN 后，再不能通过 Ipv4 路由来访问它。为了能够在中央 网管上对所有 PE－CE 链路和 CE 路由器进行管理，需要建立一个特殊的管理 VPN。所有的 CE 路由器是该 VPN 的成员。 下图说明了这种设置： 中央网管网段连接到 Management CE(MCE)上，MCE 模拟一个用户 CE。MCE 在本工 程中用 M-SN-3620-A 担当。MPE 在本工程中为 M-SN-7507-A。 对所有 CE 及 PC-CE 之间的链路通过 MCE 的 PE-CE 端口进行管理，对所有 P Router 和 所有的 PE Router 的管理通过 MCE 的 Ipv4 端口进行管理，这个端口和 M-SN-6509R-A 上的 端口相连。下图示意了这种配置： (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 43 - VLAN 9 CiscoWorks2000 LAN Management Solution Cisco InfoCenter CIC/ Internet Service Monitor Cisco IP Manager VPN Solution Center Fa 0/0 M-SN-6509R-A M-SN-7507-A Fa 0/1 Fa 6/0/0 Routes to VPN CEs Default route to PEs and other equipment M-SN-3620-A (default gateway for management subnet) M-SN-6509-A Port 3/1 to Port 3/10 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 44 - MPE Router (M-NS-7507-A) ip vrf education rd 65xxx:101 route-target export 65xxx:101 route-target import 65xxx:101 route-target export 65xxx:1 route-target import 65xxx:1 ip vrf management rd 65001:1 route-target export 65xxx:1 route-target import 65xxx:1 router rip version 2 address-family ipv4 vrf management version 2 redistribute bgp 65xxx metric 2 network no auto-summary exit-address-family interface fastethernet 6/0/0 ip address ip vrf forwarding management MCE Router (M-NS-3620-A) router rip version 2 no auto-summary network network interface fastethernet 0/0 ip address interface fastethernet 0/1 ip address ip route * where is the address of “interface vlan 9” of M-NS-6509R-A (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 45 - 十、安全控制 为了保护城域网设备不被末授权的非法访问和操作，采用了下述的安全设计： (1) 用 Access control list 限制 TELNET 和 SNMP 访问城域网网络设备； (2) 采用 Username 和 privilege 进行访问控制； (3) 进行全网设备的 NTP 时间同步，对所有重要事件进行 logging； (4) 对不必要的端口进行 Passive，以防止路由泄露； 下面是所有城域网设备必须的安全配置： hostname M-HMG-12012-A service password-encryption enable secret x xxxxxxxxxx no service udp-small-servers no service tcp-small-servers ip subnet-zero no ip source-route ip classless service timestamps log datetime msec localtime service timestamps debug datetime msec localtime logging buffered 4096 debugging line con 0 line aux 0 exec-timeout 3 0 password xxxxxxx login line vty 0 4 exec-timeout 10 0 password xxxxxxx login (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 46 - 采用 local 或 Radius 方法对登录用户进行论证： 用 NTP 进行全网时间同步，在同步的时间上进行 logging： aaa new-model aaa authentication login default local username admin password xxxxxxxxx username oper password xxxxxxxx username oper level 3 privilege exec level 3 traceroute privilege exec level 3 ping privilege exec level 3 show startup-config privilege exec level 3 show ntp update-calendar ntp server prefer logging trap notif logging  where is the loopback 0 address of one of the GSR 12012 router configured as NTP master  where is the ip address of Cisco InfoCenter workstation (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 47 - 对 TELNET 和 SNMP 访问进行限制： snmp-server community xxxxxx RW 5 snmp-server community xxxxxx RO 5 ! snmp-server enable traps snmp-server host xxxxxx snmp envmon bgp snmp-server host xxxxxx snmp envmon bgp snmp-server trap-source loopback 0 access-list 5 permit access-list 5 permit ! is the MAN supernet ! allowing only TELNET access from within MAN access-list 10 permit line vty 0 4 exec-timeout 10 0 access-class 10 in (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 48 - 十一、CoS & QoS 可选择的工具 在城域网内对 traffic 进行 prioritization 和 rate control 有多种方法。CoS 只能提供差分服 务：在网络边缘对每个 packet 进行分类，骨干网对分类过的 packet 提供有区别的服务。QoS 则能够提供更好和更可预测的网络服务，包括： 支持独占的带宽 减少丢包率 避免或解决网络拥塞 设置 traffic 在全网的优先级 要在城域网上建立端到端的 CoS 服务结构，主要可以采用的技术手段有：  IP precedence classification Committed Access Rate Weighted Random Early Detection Deficit Round-Robin 1、 IP Precedence for Traffic Classification IP precedence Classification 在网络边缘进行，利用 IPv4 包头的 Type-of-Service 3 个比特 对每一个 IP 包依据其地址进行优先级分类。最多可以将 traffic 分为 6 个等级。在核心利用 不同的 Queuing 技术对不同等级的 traffic 进行不同的处理，使得不同的服务级别得到体现。 2、 用 CAR 限制接入的带宽 Committed Access Rate 提供一种手段来提供承诺的带宽和限制带宽使用，在此同时， 提供处理超出承诺带宽以外流量的策略。CAR 配置在城域网的边缘，可以基于接入的端口、 IP 地址以及传输层的端口号进行分类。 CAR 采用令牌桶的算法进行流量整形。对于超出的流量，CAR 利用 extended burst 定义 阈值，超过阈值的流量降低优先级或丢掉。 CAR 的策略选项包括： Firm CAR – 超出的流量被丢弃 CAR + Premium – 超出的流量被标为更低的优先级 CAR + Best Effort –超出的流量有一个突发的阈值，再超出该阈值的流量被丢弃 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 49 - Per Application CAR – 不同的 CAR 策略作用于不同的应用。比如，重要的应用采用 CAR + Premium 策略，多媒体应用采用 CAR + Best Effort 策略。 3、 用 WRED 进行拥塞管理 采用 WRED 进行拥塞管理。WRED 在网络的瓶颈处监视并缓解网络的拥塞。城域网的 瓶颈可能出现的地方主要是和 163 省网骨干连接的地方。WRED 监视网络的负载，当拥塞开 始刚出现时，它就开始有选择的丢弃一些包以降低流量。其结果是，数据源觉察到丢包，就 开始降低发包的速率，从而避免了拥塞。 WRED 丢包的策略为：低优先级的流先丢，以保证高优先级的流可以顺畅通过。 在可能发生拥塞的端口运行 WRED 和 DRR 是避免拥塞的较好的选择。 4、 基于 CoS 的 DRR 在 Cisco 12000GSR 路由器上，可以采用 M-DRR 代替 WFQ(weighted fair queuing)进行 Queuing 管理，它可以提供基于 CoS 的队列管理来根据 ToS(在网络边缘由 CAR 设置的值)分 配优先权。采用 M-DRR，一个单独的特殊队列可以提供 alternatepriority 或 strict priority。 Alternate priority 队列可以和其它队列交替，Alternat priority 为基于 CoS 的队列指定 “deficit counter”。GSR 开始以交替的、Round-robin 的方式清空队列长度，每个队列被清掉 的 traffic 决定于该队列的 deficit counter 值，这个值对于每个队列是不同的。 比如，有三个服务类别，那么在 GSR 上有三个活动的队列。队列 1 是一个特殊的队列， 它采用 Alternate priority。GSR 开始清空该队列的 traffic，直到达到 deficit counter 的值。然 后，GSR 开始清空队列 2 的 traffic，直到用完 deficit counter。然后，它再转回到队列 1。接 着，GSR 再开始从队列 3 清空 traffic，然后，再转回队列 1。每趟清空的 traffic 取决于队列 的 deficit counter 值。Deficit counter 值由系统管理员决定。 Strict priority 队列不采用 deficit counter，但是其它队列采用。Strict priority 队列相对其 它队列具有绝对的优先权。GSR 首先清空 Strict priority 队列，然后才是其它队列。这一机制 在网络繁忙的时候可能会造成其它队列完全得不到服务。其它队列以一种 Round-robin 的方 式轮转，每次服务权值为 deficit counter。 实现 在具体实现中，为了达到最好的效率，需要对任务进行分工。因为 CoS 是一个需要消 耗很多处理器资源的应用，所以这一任务分配在边缘和核心路由器上运行，以减少对单独路 由器的压力。 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 50 - 实现基于 CoS 的差分服务结构需要 4 个步骤： 入口的带宽限制在边缘路由器 7500 和 6509 上实现，同时完成入口 traffic 的 Classification。边缘设备完成大部分 processor-intensive 任务，针对不同的用户策略进 行分类。 对需要提供带宽保证的流量，如原 163 拨号上网的用户，在边缘 7500 和 6509 上按 IP 地址进行 Classification，将这类流量的 IP Precendence 值置为高，其它流量置为低。 边缘设备也需要做带宽管理的工作，采用 CAR，对于小区、商业、政府接入模块的 端口，按照一定的带宽对其进行带宽限制。该带宽<100M。 核心路由器 GSR 完成 CoS 的管理工作，进行有差别的服务质量保证。 出口设备，作 WRED 设置，预告丢弃可能造成拥塞的非重要 IP 包。入口、出口设 备对带宽的限制保护了网络免于拥塞，使得网络具有很高的可扩展性。 下图是在 MAN 上实现 CoS 的结构： 1、 配置 CAR 在城域网的本期工程中，推荐建立两类服务： Committed (IP Precendence 4) Best Effort (IP Precendence 0) 尽管可以通过 IP Precendence 定义 6 种不同的服务，但是推荐在初期使用较为简单的政 策，将 traffic 分为 2 类。随着用户的增加，以及新的业务的推出，增加新的服务类别，以满 足不同的用户。 要将 traffic 分为 2 类，需要在边缘路由器上进行配置，即 7500 路由器和 6509MFC 路由 器引擎。对于本期城域网，我们需要对连接用户的每一个 sub-interface 和 VLAN Interface 配 置带宽限制策略。 Inbound: Classification (priorty committed vs best-effort) Rate-limitcontrol Outbound: Rate-limitcontrol 163 Backbone Core Edge IP-VPN Customers Commercial Customers Community Customers Government Agencies CAR per sub-interface/VLAN WRED DRR WRED DRR (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 51 - 一个对用户的带宽限制的具体的实现示例如下： 1Mbps 的带宽是承诺服务的。 超出的带宽，直到 10Mbps 的部分，这部分是可以被网络接受的。但是，对这部分 的 traffic 只能提供“尽力服务”。 超出 10Mbps 带宽部分的 traffic 将被丢弃。 对带宽的限制在 7500 的 sub-interface 或 6509 的 VLAN Interface 上配置，示例如下： Interface GigabitEthernet 8/0/ ip address rate-limit input 10000000 625000 1250000 conform-action continue exceed-action drop rate-limit input 1000000 62500 125000 conform-action set-prec-transmit 4 exceed-action set-pre-transmit 0 rate-limit output 10000000 625000 1250000 conform-action transmit exceed-action drop CAR 采用了一个令牌桶的算法进行流量整形，原理示意图如下： 当数据流出时，token 从桶中相应流出。Token 以恒定速率补充到桶中，这个速率就是 承诺的带宽。桶中可以有的最多 token 数目就是一般突发数据长度。当数据到达时，如果桶 中的 token 数目不够数据的长度，这时，Extended 突发容量就起作用了。(burst capability 可 以通过设置 extended burst value 大于 normal burst value 来达到)。 Extended 突发可以让突发的数据借用一些 token，这样可以以一种类似 RED 的方式丢 弃 packet，而不是直接丢弃掉。 在端口上配置的策略作用于 traffic，可能的动作包括： Transmit：发送出去这些包。 Set precendence andTransimt：设置 IP 包头中 ToS 域的值，以对 traffic 进行分类。这种 分类分为 2 种，color 和 recolor，后者指对 traffic 进行重新分类。 Drop：丢弃数据包。 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 52 - Continue：继续测试 CAR 的下一条语句。 Set precendence and continue：设置 IP 包头的 ToS 的值，然后继续测试下一条语句。 下面是设置 normal burst(NB)和 extended burst(EB)值的公式： NB = rate * time / 8 EB = 2 * NB 这里 rate 是 Committed bandwidth，time 一般设为 秒。 2、 配置 WRED 在城域网可能发生瓶颈的地方配置 WRED，从本期城域网来看，可能发生瓶颈的地方 是到 163 的两个出口处。 RED(随机早期丢弃)是利用 TCP 窗口机制而采用的拥塞避免技术，通过在拥塞发生前随 机丢弃一些包，RED 通知数据源，可能要发生拥塞，请降低速率。WRED 依据 IP precendence 来丢弃数据包，以保证优先级高的 traffic 得到服务保证。WRED 一般配置在核心路由器上， 而不是接入路由器。 WRED 的处理流程如下： 计算平均的队列长度 如果平均队列长度小于域值下限，将到来的包放入队列中 如果平均队列长度在域值的下限和上限之间，是否丢弃该包取决于这个包的优先级 如果平均队列长度大于域值的上限，则丢弃该包。 下面是在一条 POS 链路上的 WRED 的 Sample Configuration： interface pos 2/0 ip address random-detect 虽然可以修改队列度的域值，但 Cisco 不推荐这么做，因为，缺省的 WRED 配置是已 被证明是高效的了。 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 53 - 附件一：IP 地址分配计划表 1. Site 1 枢纽 Area 1 Area Border Router M-SN-7507-A Use Mask Count IP Consumed VLAN 1 for M-SN-2924-A & M-SN-2924-B (CAT29VLAN1) /30 2 8 FE connection between M-SN-7507-A & M-SN-3620-A (MCE LAN) /30 1 4 Commercial Internet Access VLAN via M-SN-2924-B (P2P VLAN) /30 24 96 Total 108 # of Class C address: 1 (Net2) Area 2 Area Border Router M-SN-6509R1-A and M-SN-6509R2-A Use Mask Count IP Consumed VLAN 1 for management (CAT65VLAN1) /28 1 16 VLAN 9 for NMS stations (assume 10 ports of LAN switch are reserved for the usage) (NMS VLAN) /27 1 32 VLAN 11 for authentication servers and service gateways (assume 10 ports of LAN switch are reserved for the usage) /27 1 32 Community Internet access VLAN (P2P VLAN) /30 28 112 Total 192 # of Class C address: 1 (Net3) 2. Site 2 黄木岗 Area 3 Area Border Router M-HMG-7513-A Use Mask Count IP Consumed VLAN 1 for M-HMG-2924-A & M-HMG-2924-B (CAT29VLAN1) /30 2 8 Commercial Internet access VLAN via M-HMG-2924-B (P2P VLAN) /30 23 92 Government Internet access VLAN via M-JG-6509-A /30 48 192 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 54 - (P2P VLAN) VLAN 1 for interconnection among HMG-7513, JG-6509R1 and JG-6509R2 (CAT65VLAN1) /28 1 16 GE links to remote sites (P2P VLAN) /30 1 4 Total 312 # of Class C address: 2 (Net4 & Net5) Area 4 Area Border Router M-HMG-6509R1-A & M-HMG-6509R2-A Use Mask Count IP Consumed VLAN 1 for management (CAT65VLAN1) /28 1 16 VLAN 11 for authentication servers and service gateways (assume 10 ports of the LAN switch reserve for the usage) /28 1 16 Community Internet access VLAN (P2P VLAN) /30 38 152 Total 184 # of Class C address: 1 (Net 6) 3. Site 3 电信 Area 5 Area Border Router M-DX-7507-A Use Mask Count IP Consumed VLAN 1 for M-DX-2924-A & M-DX-2924-B (CAT29VLAN1) /30 2 8 Commercial Internet access VLAN via M-DX-2924-B (P2P VLAN) /30 23 92 GE links to remote sites (P2P VLAN) /30 1 4 Total 104 # of Class C address: 1 (Net 7) Area 6 Area Border Router M-DX-6509R1-A & M-DX-6509R2-A Use Mask Count IP Consumed VLAN 1 for management (CAT65VLAN1) /28 1 16 VLAN 11 for authentication servers and service gateways (assume 10 ports of the LAN switch reserve for the usage) /28 1 16 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 55 - Community Internet access VLAN (P2P VLAN) /30 38 152 Total 184 # of Class C Addresses: 1 (Net 8) Area 7 Area Border Router M-DG-6509R1-A, M-DG-6509R2-A, M-DG-6509R1-B, M-DG-6509R2-B Use Mask Count IP Consumed VLAN 1 for management (CAT65VLAN1) /28 1 16 VLAN 11 for server hosting /27 1 32 VLANs for server hosting /26 3 192 Total 240 # of Class C addresses: 1 (Net 9) 4. Site 4 南山 Area 8 Area Border Router M-NS-7507-A Use Mask Count IP Consumed VLAN 1 for M-NS-2924-A & M-NS-2924-B (CAT29VLAN1) /30 2 8 Commercial Internet access VLAN via M-NS-2924-B (P2P VLAN) /30 23 92 GE links to remote sites (P2P VLAN) /30 1 4 Total 104 # of Class C addresses: 1 (Net 11) Area 9 Area Border Router M-NS-6509R1-A & M-NS-6509R2-A Use Mask Count IP Consumed VLAN 1 for management (CAT65VLAN1) /28 1 16 VLAN 11 for authentication servers and service gateways (assume 10 ports on the LAN switch are reserve for the usage) /28 1 16 Community Internet access VLAN (P2P VLAN) /30 38 152 Total 184 # of Class C addresses: 1 (Net12) Area 10 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 56 - Area Border Router M-XNT-6509R1-A, M-XNT-6509R2-A, M-XNT-6509R1-B & M-XNT-6509R2-B Use Mask Count IP Consumed VLAN 1 for management (CAT65VLAN1) /28 1 16 VLAN 11 for server hosting /27 1 32 VLANs for server hosting /26 3 192 Total 240 # of Class C Addresses: 1 (Net 13) Area 11 Area Border Router M-SK-7507-A Use Mask Count IP Consumed VLAN 1 for M-SK-2924-A (CAT29VLAN1) /30 1 4 Commercial Internet access VLAN via M-SK-2924-A (P2P VLAN) /30 23 92 Total 96 # of Class C addresses: 1 (Net 15) 5. Site 5 新安 Area 12 Area Border Router M-XA-7507-A Use Mask Count IP Consumed VLAN 1 for M-XA-2924-A & M-XA-2924-B (CAT29VLAN1) /30 2 8 Commercial Internet access VLAN via M-XA-2924-B (P2P VLAN) /30 23 92 Total 100 # of Class C address: 1 (Net 16) 6. Site 6 龙中 Area 13 Area Border Router M-LZ-7507-A (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 57 - Use Mask Count IP Consumed VLAN 1 for M-LZ-2924-A (CAT29VLAN1) /30 1 4 Commercial Internet access VLAN via M-LZ-2924-A (P2P VLAN) /30 24 96 Total 100 # of Class C address: 1 (Net 17) 7. Site 7 沙头角 Area 14 Area Border Router M-STJ-7507-A Use Mask Count IP Consumed VLAN 1 for M-STJ-2924-A & M-STJ-2924-B (CAT29VLAN1) /30 2 8 Commercial Internet access via M-STJ-2924-B (P2P VLAN) /30 23 92 Total 100 # of Class C address: 1 (Net 18) (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 58 - 附件二：小区 Internet 接入方案 通过城域网的建设，可以为企业、信息化小区的用户提供 10M/100M 的高速接入。 为了有效控制用户上网的权限和接入带宽，必须采用灵活的接入控制手段。目前，主要有两 种接入控制方式，即：网上配置 SSO（Service-Sign-On）系统、RedBack SMS 宽带接入服务 器。 1、SSO（Service-Sign-On）系统 网上配置 SSO（Service-Sign-On），是 Macroview 公司设计的专门为小区、大楼宽带接 入实现的接入控制机制。它采用 Cisco 的 CSRC（CiscoSubscriberRegiterCenter）技术实现用 户的登录、校验、分配地址的过程。SSO 系统包括 UserRegistar 服务器、NetworkRegistar 服 务器、SSO Web 服务器、spoof 哄骗 DNS 服务器、BillingDataStore 计费存储器等设备。其 组成示意图如下： User Registar 服务器 哄骗DNS服务器 城域网 用户 路由器 Catalyst2924 信息化小区 接入 SSO Web服务器Network Register 服务器 Billing Data Store SSO 服务器组 Catalyst6509 用户 信息化小区 接入 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 59 - 在城域网上，设置一个 SSO 的服务器组，完成所有用户登录的认证和控制过程。服 务器可以进行组合，在一台服务器硬件上实现多个服务器功能。 城域网上信息化小区的接入有两种设备，即 Catalyst2924 和 Catalyst6509 。在以 Catalyst2924 接入时，需增加一台路由器，再接入城域网。该路由器将接受 SSO 服务器的控 制，采用访问控制列表 AccessList 实时建立或取消对某个用户的访问控制。在以 Catalyst6509 接入时，由于 Catalyst6509 具有路由功能，可以实现访问控制，因此不用增加路由器。 一个正常的 SSO 处理流程如下图所示： (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 60 - User Registar £¨Óû§µÇ¼Ç·þÎñÆ÷ £© Network Registar £¨ÍøÂçµÇ¼Ç·þÎñÆ÷£© SSO WebServer £¨SSO Web ·þÎñÆ÷£© Spoof DNS Server £¨ºåÆ- DNS ·þÎñÆ÷£© Billing Data Store £¨¼Æ·ÑÊý¾Ý´æ´¢£© 用户PC DHCP Discover （包含PC的MAC地址） DHCP Request （要求分配临时的IP地址） DHCP Offer （包含一个临时的IP地址和哄骗DNS服务器的地址 ） DHCP ACK（分配临时IP地址的确认） DNS 请求 SSO Web 服务器地址 http Request 显示Sign-on 表格 用户名和密码 检查是否合法用户 是合法用户（包含用户接入的交换机端口、服务特性等） 查询IP地址对应的接入设备的Mac地址 返回接入设备的Mac地址 要求添加一个用户PCMac地址的地址对应记录 （分配真实的IP地址） DHCP DISCOVER DHCP Offer DHCP Request Http request DHCP ACK KeepAlive 激活用户PC对应的访问控制 logOff Request 将临时记录写入 删除PC的Mac地址对应的记录 用户接入 路由器 配置为DHCP 查找MAC地址对应的记录: 未找到 打开浏览器 输入某个域名 输入用户名 和密码 通过Http得到 用户PC的IP地址 Catalyst 交换机 SNMP:确认用户接入的信息 SNMP:OK 下传一个Java Applet 创建一个 SessionToken 和本地的一个临 时数据记录 根据SessionToken 找到对应的临时记录 发送登录完成的页面，包括一个logoff的button 在临时记录中记录会话的开始 用户访问 Internet 修改临时记录中会话的时间 ... ... 用户点击 logOff的 button 取消相应的访问控制 Java applet Java applet (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 61 - 整个 SSO 登录过程包含 5 个处理流程。 1) 初始用户激活过程 - 用户 PC 设置为 DHCP 方式，开机后，将用户 PC 的 MAC 地址发往 NetworkRegistar 服务器 要求分配 IP 地址； - 这时，由于这个 MAC 地址未注册，服务器分配一个临时的 IP 地址以及哄骗 DNS 服务器的 IP 地址。这个 IP 其实并不是合法 IP，不能上网； 2) 用户浏览器到 SSO Web 服务器的流程 - 用户启动 WEB 浏览器，输入任何一个 WEB SITE 的域名；域名解析的申请被发到哄骗 DNS 服务器上，这个哄骗 DNS 将所有域名解析成为 SSO WEB 服务器的 IP 地址； - 用户的浏览器进入到 SSO WEB 服务器，出现要求用户登录的界面。 3) SSO Web 服务器登记确认流程 - 用户输入用户名和密码，并且提交；SSO Web 服务器将用户名及密码发往 UserRegister 服务 器进行验证。 - 验证通过后，SSO Web 服务器根据用户地址查询 NetworkRegister 服务器有关用户接入的信息， 如 Catalyst 的 MAC 地址以及用户接入的端口等信息。然后，通过 SNMP 消息从用户接入设备 获取用户的接入信息，确定用户 PC 所在 VLAN 网段后，决定分配给用户真实的 IP 地址。并 通知 NetworkRegister 服务器添加一项记录，对应用户 PC 的 Mac 地址和真实的 IP 地址； - SSO Web 服务器创建一个 SessionToken 和一个临时呼叫记录，并下传一个 Java applet 到用户 端。 4）登记后用户设备激活流程 - 在用户 PC 上，Java applet 再次到 NetworkRegistar 服务器申请 IP 地址，这时，服务器中已有 相应记录，因此，服务器分配真实的合法的 IP 地址给用户。 - Java applet 产生一个特殊的 Http 请求给 SSO Web 服务器，SSO Web 服务器向用户接入的路 由器发送访问控制命令，准许用户的访问通过。同时开始计时。 - 用户进入访问 Internet 的过程。在该过程中，用户端的 Java applet 程序定期发送 keep-alive 消 息通知 SSO 这个用户仍处于激活状态。SSO Web 服务器每收到一个 keep-alive 消息都会修改 一次临时记录的时间。 5）用户退出或超时 用户点击网页上的“Log-Off”键，Java applet 将向 SSO web 服务器发送 logout 的 http 请求；或 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 62 - 者，当 SSO Web 服务器检测某个临时记录已超时更新时，SSO Web 服务器将执行以下任务： - SSO Web 服务器将临时记录的信息写入计费数据库中，同时删除临时记录。 - SSO Web 服务器向 NetworkRegistar 发送消息要求删除用户对应 Mac 地址的记录。 - SSO Web 服务器向用户接入路由器发送消息取消相应的访问控制，不允许该用户的访问通过； 2．Redback SMS 宽带接入服务器 Redback SMS 宽带接入服务器是专门用于宽带接入网络的用户、带宽管理设备，它 已经用于 ADSL 接入、CableModem 接入的管理，可实现 Internet 的高速接入、远程 VPN 的 实现、多个 ISP 的综合接入等。 Redback SMS 宽带接入的实现原理如下图所示。 宽带接入用户以 ADSL、CableModem、Ethernet 等多种方式接入后，建立从用户到 SMS 宽带接入服务器的连接，之间可采用 PPP Over Ethernet 或 L2TP 协议。SMS 相当于多 个虚拟路由器，可以根据用户输入的不同域名实现到多个 ISP 或 VPN 的路由，同时，还可 以对用户进行验证、限权和带宽控制。 在信息化小区的接入中，可在城域网上设置一台集中的 SMS 宽带接入服务器，用户 采用 Ethernet 方式接入，采用 L2TP 与 SMS 接入服务器通信，主要用于接入 Internet，也可 用于 VPN 的远程接入。为了实现用户验证和控制，还需设置一个用户数据库，记录用户帐 号信息，以及相应的带宽控制策略。系统组成实现的示意图如下： 宽带接入网 ADSL、CableModem、 Enthernet等 宽带接入用户 宽带接入用户 Redback SMS 宽带接入服务器 ISP2 VPN1 PPP Over Ethernet L2TP VPN2 ISP1 用户输入： Username@VPN1 用户输入： Username@ISP2 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 63 - 一个正常的用户登录主要包括以下步骤： 1）在用户端 PC 上运行 L2TP 的客户端软件，透过 Catalyst6509 或 Catalyst2924 建立 到 SMS 宽带接入服务器的 L2TP 连接。 2）用户运行登录的软件，输入用户名、域名及密码。 3）SMS 服务器根据用户名、域名及密码到用户数据库进行验证，并获取针对该用户 的接入控制的配置文件。 4）验证通过后，SMS 接入服务器分配相应的 IP 地址给该用户，实现从该用户到指 定网络（Internet 或 VPN）的路由。同时，根据获取的配置文件增加相应的访问控制和速率 限制，实现对用户的带宽和权限的控制。 SMS 接入服务器对访问的控制可以针对单个的 访问连接、也可针对某个地址群、还可针对某个服务类别。 5）SMS 记录用户登录信息和时长，并将记录写入用户数据库中。 由于所有访问 Internet 和 VPN 的用户流量都将经过 SMS 接入服务器，因此，当用户 数较大时，要求 SMS 接入服务器具有强大的事务处理能力和路由能力。在 SMS1000 上，可 同时支持 2000 个 L2TP 的连接，具有 100Mbps 以太网口和 ATM155M 端口；而在 SMS10000 上，可同时支持 10000 个 L2TP 的连接，可提供千兆以太网和 POS 接口。因此，为满足城域 网的要求，需要采用 SMS10000，采用千兆以太网或 POS 接口连接。 3．两种方式的比较。 比较项目 SSO 方式 SMS 方式 系统实现 主要采用软件实现； 采用硬件和软件方式实现； 宽带接入用户 运行L2TP客户端 宽带接入用户 运行L2TP客户端 Redback SMS 宽带接入服务器 L2TP 用户输入： Username@Internet 用户输入： Username@VPN Router Catalyst6509 IP城域网 Internet VPN Subscriber Database 用户数据库 或Catalyst2924 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 64 - 客户端要求不高； 分配地址后，用户数据经由城 域网直接路由，系统开销小； 用户的访问控制需要在接入 端的路由器上实现，可能需要 设置多个动态控制的路由器。 客户端要运行 L2TP 软件； 分配地址后，用户数据需经由 SMS 服务器路由，对 SMS 服务器的性能 要求很高，否则，SMS 服务器可能 成为瓶颈； 所有用户的访问控制集中在 SMS 上实现，因此，减少了需要动态控 制的路由器。 带宽控制 不能动态实现，只能在网络设 备上静态控制。 可以在 SMS 上静态或动态实现对 用户、用户群、服务类别的带宽控 制。 产 品 的 成 熟 性 由于是新的解决方案，产品不 够成熟 积累多年宽带接入服务的经验，产 品比较成熟。 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 65 - 附件三：图表 M-XA-12012-A M-NS-12012-A M-XNT-6509-B M-XNT-6509-A M-SK-7507-A M-HMG-12012-A M-SN-12012-A M-STJ-12012-A M-DX-12012-A M-LZ-12012-A HB12008 HB7507 M-DG-6509-B M-DG-6509-A M-HMG-7513-A M-JG-6509-A Diagram 1: Fiber Interconnection Diagram Version Update: 13th June 2000 Project: Shenzhen MAN Phase 1 枢纽 黄木岗 电信 南山 蛇口 新安 龙中 沙头角 东港中心 新南头 机关专用局 鸿波 LM7500 龙脉 M-XA-12012-A M-NS-12012-A M-XNT-6509-B M-XNT-6509-A M-SK-7507-A M-HMG-12012-A M-SN-12012-A M-STJ-12012-A M-DX-12012-A M-LZ-12012-A HB12008 HB7507 M-DG-6509-B M-DG-6509-A M-HMG-7513-A M-JG-6509-A Diagram 2: Fiber Interconnection Diagram with Port Assignment 枢纽 黄木岗 电信 南山 蛇口 新安 龙中 沙头角 东港中心 新南头 机关专用局 鸿波 SM01 SM02 SM03 SM04 SM05 SM06 SM07 SM08 SM09 SM10 SM11 SM12 SM13 Ge 9/0 Ge8/0 SM14 Ge1/2 SM15 Ge1/2 Ge9/0 Ge1/2 SM16 SM17 Ge8/0 Ge1/2 Ge8/0 SM18 Ge1/2 SM19 Ge9/0 Ge1/0 Pos2/0Pos2/0 Pos3/0 Pos2/0 Pos4/0 Pos2/0 Pos3/0 Pos2/0 Pos3/0 Pos2/0 Pos4/0 Pos2/0 Pos3/0 Pos3/0 Pos4/0 Pos5/0 Pos5/0 Pos4/0 Pos5/0 Pos3/0 Pos5/0 Pos6/0 Pos?/? Ge8/0 Ge?/?Pos3/0 LM7500 龙脉 Ge8/1 Ge?/? Version Update: 13th June 2000 Project: Shenzhen MAN Phase 1 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 66 - Diagram 3A: Site #1 枢纽 Phyical Connections M-SN-12012-A 0 1 2 3 4 5 6 7 8 9 10 11 G R P G R P /R P O S P O S P O S P O S 3 G E 3 G E 0 1 2 3 4 5 6 7 8 9 10 11 G R P G R P /R P O S P O S P O S P O S 3 G E 3 G E SM03-黄木岗-M-HMG-12012-A-pos4/0 SM04-电信-M-DX-12012-A-pos2/0 SM09-南山-M-NS-12012-A-pos5/0 SM10-沙头角-M-STJ-12012-A-pos3/0 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-SN-6509-A S X 1 LX 2 1 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-SN-6509-A S X 1 S X S X 1 LX 2 LXLX 2 11 S X S X 0 S X S X 0 S X S X 1 S X S X 1 0 1 2 3 4 5 6 P A -F E M-SN-7507-A G E IP S X 0 G E IP S X 0 S X S X 0 00 0 R S P 4 R S P 4/ R G E IP S X 0 G E IP S X 0 S X S X 0 G E IP S X 0 G E IP S X 0 S X S X 0 0 1 SX1 2 1 24………………...0 1 SX1 2 1 24………………... 0 1 FE FE 0 1 FE FE 0 1 SX1 2 1 24………………...0 1 SX1 2 1 24………………... M-SN-2924-A M-SN-2924-B M-SN-3620-A MM/SC MM/SC MM/SC UTP UTP MM/SC Version Update: 13th June 2000 Project: Shenzhen MAN Phase 1 Diagram 3B: Site #2 黄木岗 Physical Connections M-HMG-12012-A 0 1 2 3 4 5 6 7 8 9 10 11 G R P G R P /R P O S P O S P O S P O S 3 G E SM01-新安-M-XA-12012-A-pos2/0 SM02-南山-M-NS-12012-A-pos2/0 SM03-枢纽-M-SN-12012-A-pos2/0 SM11-龙中-M-LZ-12012-A-pos3/0 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-HMG-6509-A S X 1 LX 2 1 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-HMG-6509-A S X 1 S X S X 1 LX 2 LXLX 2 11 LX 0 S X 1 0 1 2 3 4 5 6 M-HMG-7513-A G E IP S X 0 G E IP S X 0 S X S X 0 R S P 4 R S P 4/ R G E IP LX 0 G E IP LX 0 LXLX 0 0 1 SX1 2 1 24………………...0 1 SX1 2 1 24………………... 0 1 1 2 1 24………………...0 1 1 2 1 24………………... M-HMG-2924-A M-HMG-2924-B P O S S X 2 SM12-鴻波-HB12008-pos?/? 7 8 9 10 11 12 G E IP LX 0 G E IP LX 0 LXLX 0 P A -F E 00 0 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-JG-6509-A LX 1 LX 2 1 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-JG-6509-A LX 1 LXLX 1 LX 2 LXLX 2 11 G E IP S X 0 G E IP S X 0 S X S X 0 SM14 机关专用局 MM/SC MM/SC UTP MM/SC SM15-东港中心-M-DG-6509-B- ge1/2 Version Update: 13th June 2000 Project: Shenzhen MAN Phase 1 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 67 - Diagram 3C: Site #3 电信 Physical Connections M-DX-12012-A 0 1 2 3 4 5 6 7 8 9 10 11 G R P G R P /R P O S P O S P O S P O S 3 G E 3 G E 0 1 2 3 4 5 6 7 8 9 10 11 G R P G R P /R P O S P O S P O S P O S 3 G E 3 G E SM04-枢纽-M-SN-12012-A-pos3/0 SM05-沙头角-M-STJ-12012-A-pos2/0 SM06-龙中-M-LZ-12012-A-pos2/0 SM08-南山-M-NS-12012-A-pos4/0 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 M-DG-6509-A S X 1 S X S X 1 LX 2 LXLX 2 X 62 48 -R J4 5 1 X 62 48 -R J4 5 11 LXLX 0 LXLX 0 LXLX 1 S X 1 S X S X 1 0 1 2 3 4 5 6 P A -F E M-DX-7507-A G E IP S X 0 G E IP S X 0 S X S X 0 00 0 R S P 4 R S P 4/ R G E IP S X 0 G E IP S X 0 S X S X 0 G E IP LX 0 G E IP LX 0 LXLX 0 0 1 SX1 2 1 24………………...0 1 SX1 2 1 24………………... 0 1 1 2 1 24………………...0 1 1 2 1 24………………... M-DX-2924-A M-DX-2924-B S X 2 S X S X 2 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-DX-6509-A S X 1 LX 2 1 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-DX-6509-A S X 1 S X S X 1 LX 2 LXLX 2 11 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-DG-6509-B S X 1 LX 2 1 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-DG-6509-B S X 1 S X S X 1 LX 2 LXLX 2 11 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-DX-6509-B S X 1 S X S X 1 LX 2 LXLX 2 11 X 64 08 -G B IC SM13-鴻波-HB7507-ge?/? X 62 48 -R J4 5 1 X 62 48 -R J4 5 11 X 62 48 -R J4 5 1 X 62 48 -R J4 5 11 SM16 东港中心 163 server hosting In Dian Xin MM/SC MM/SC UTP M M /S C SM15-黄木岗-M-HMG-12012-A-ge8/0 SM20-龙脉-LM7500-ge?/? Version Update: 13th June 2000 Project: Shenzhen MAN Phase 1 Diagram 3D: Site #4 南山 Physical Connections M-NS-12012-A 0 1 2 3 4 5 6 7 8 9 10 11 G R P G R P /R P O S P O S P O S P O S 3 G E 3 G E 0 1 2 3 4 5 6 7 8 9 10 11 G R P G R P /R P O S P O S P O S P O S 3 G E 3 G E SM02-黄木岗-M-HMG-12012-A-pos3/0 SM07-新安-M-XA-12012-A-pos3/0 SM08-电信-M-DX-12012-A-pos5/0 SM09-枢纽-M-SN-12012-A-pos4/0 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-XNT-6509-A S X 1 S X S X 1 LX 2 LXLX 2 11 LXLX 0 LXLX 0 S X S X 1 S X 1 S X S X 1 0 1 2 3 4 5 6 P A -F E M-NS-7507-A G E IP S X 0 G E IP S X 0 S X S X 0 00 0 R S P 4 R S P 4/ R G E IP S X 0 G E IP S X 0 S X S X 0 G E IP LX 0 G E IP LX 0 LXLX 0 0 1 SX1 2 1 24………………...0 1 SX1 2 1 24………………... 0 1 1 2 1 24………………...0 1 1 2 1 24………………... M-NS-2924-A M-NS-2924-B S X 2 S X S X 2 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-NS-6509-A S X 1 LX 2 1 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-NS-6509-A S X 1 S X S X 1 LX 2 LXLX 2 11 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-XNT-6509-B S X 1 LX 2 1 1 2 3 4 5 6 7 8 9 S U P 1A S U P 1A /2 X 62 48 -R J4 5 M-XNT-6509-B S X 1 S X S X 1 LX 2 LXLX 2 11 S X 2 S X S X 2 0 1 2 3 4 5 6 P A -F E M-SK-7507-A G E IP LX 0 G E IP LX 0 LXLX 0 00 0 R S P 4 R S P 4/ R 0 1 1 2 1 24………………...0 1 1 2 1 24………………... M-SK-2924-A X 62 48 -R J4 5 11 X 62 48 -R J4 5 11 S M 19 S M 17 新南头 蛇口 MM/SC MM/SC UTP UTP MM/SC M M /S C SM18-新安-M-XA-12012-A-ge8/0 Version Update: 13th June 2000 Project: Shenzhen MAN Phase 1 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 68 - Diagram 3E: Site #5 新安 Physical Connections XA12012A 0 1 2 3 4 5 6 7 8 9 10 11 G R P G R P /R P O S P O S 3 G E SM01-黄木岗-M-HMG-12012-A-pos2/0 SM07-南山-M-NS-12012-A-pos3/0 LXLX 0 S X S X 1 0 1 2 3 4 5 6 P A -F E M-XA-7507-A G E IP S X 0 G E IP S X 0 S X S X 0 00 0 R S P 4 R S P 4/ R G E IP S X 0 G E IP S X 0 S X S X 0 0 1 SX1 2 1 24………………...0 1 SX1 2 1 24………………... 0 1 1 2 1 24………………...0 1 1 2 1 24………………... M-XA-2924-A M-XA-2924-B MM/SC MM/SC UTP SM18-新南头-SNT-6509B-ge1/2 Version Update: 13th June 2000 Project: Shenzhen MAN Phase 1 Diagram 3F: Site #6 龙中 Physical Connections M-LZ-12012-A 0 1 2 3 4 5 6 7 8 9 10 11 G R P G R P /R P O S P O S 3 G E SM06-电信-M-DX-12012-A-pos4/0 SM11-黄木岗-M-HMG-12012-A-pos5/0 S X S X 0 0 1 2 3 4 5 6 M-LZ-7507-A G E IP S X 0 G E IP S X 0 S X S X 0 R S P 4 R S P 4/ R G E IP S X 0 G E IP S X 0 S X S X 0 0 1 SX1 2 1 24………………...0 1 SX1 2 1 24………………... M-LZ-2924-A MM/SC MM/SC Version Update: 13th June 2000 Project: Shenzhen MAN Phase 1 (海量营销管理培训资料下载) 大量管理资料下载 深圳电信新技术开发中心 (海量营销管理培训资料下载) - 69 - Diagram 3G: Site #7 沙头角 Physical Connections M-STJ-12012-A 0 1 2 3 4 5 6 7 8 9 10 11 G R P G R P /R P O S P O S 3 G E SM05-电信-M-DX-12012-A-pos3/0 SM10-枢纽-M-SN-12012-A-pos5/0 S X S X 0 0 1 2 3 4 5 6 P A -F E M-STJ-7507-A G E IP S X 0 G E IP S X 0 S X S X 0 00 0 R S P 4 R S P 4/ R G E IP S X 0 G E IP S X 0 S X S X 0 0 1 SX1 2 1 24………………...0 1 SX1 2 1 24………………... 0 1 1 2 1 24………………...0 1 1 2 1 24………………... M-STJ-2924-A M-STJ-2924-B MM/SC MM/SC UTP Version Update: 13th June 2000 Project: Shenzhen MAN Phase 1