网络管理网络管理
网管管理平台设计建议网管管理平台设计建议
网络管理平台主要任务包括两方面,一是提供网络管理功能的网络管理中心
的建设,一是网络管理中心与网络节点之间进行互连的网络链路的设计。前
者主要是为了实现性能管理,故障管理,配置管理,安全管理和计费管理等
五大管理功能所需的网络管理功能套件,包括网络管理工作站,以及进行网
络管理功能的功能性软件平台,如 Ciscowork2000,IP VPN Solution Center,
IP Manager,InfoCenter 等,而后者是指如何将网络管理中心通过网络设备与
整个城域网互连,同时包括网络管理中心如何与每台路由器 /交换机相连等
功能 。
按照城域网的要求,城域网应建设全网的集中网络管理中心,网管中心所需
的 功能除五大管理功能之外,还包括为支持 MPLS VPN 所需的 Cisco Service
Management 套件,包括 IP VPN Soultion Center,IP Manager,和 Netflow
Collector,同时,NetflowCollector 还可以作为计费数据收集中心,将来自于
每台路由器中配置的 Netflow 所收集的原始计费数据进行进行预处理。考虑
到安全性和负载分担的问题,设计时可将 IP VPN Solution Center 放在 一台
工作站上,IP Manager 和 Netflow Collector 放在一台工作站上,其它 的可以
放在另外一台工作站上 。
对于网络连通性问题,建议在网络中心放置一台路由器,与骨干 POP 节点相
连,对于具体的连接方式而言有两种,一种只是将该路由器与城域网的骨干
POP 点相连即可,该路由器采用与普通 POP 点相同的路由策略,但是需要做
详细的访问控制,只允许指定的路由器/交换机和来自外界的访问进入该管理
网络中心,另外一种是从网络管理中心的这台路由器上向城域网中的每台路
由器建立一条 Tunnel,该 Tunnel 只用来构建管理网络平台,所有网络管理工
作站与城域网中的路由器互通只能通过由该 Tunnel 所构成的管理链路,由于
每台路由器/交换机需要向网络管理中心的 NetflowCollector 发送计费原始
数据,由于计费数据对服务质量的特殊要求,需要对通过该管理网络的数据
所需的网络带宽进行保障,从而从安全性和服务质量两方面保证了网络的正
思科系统(中国)网络技术有限公司,12/27/22 第 2 页
常操作;同时,由于该网络平台完全与城域网的路由空间相隔离,因而,该
管理网络中等各个管理工作站和管理路由器都可以采用私有 IP 地址空间,从
而可以更好的保证网络管理中心的安全性 。
除了上述设计需求之外,出于安全性的考虑,我们可以在网络管理中心设置
一台 PIX 网关,所有的网络管理工作站都位于 PIX 的后面。网络连接如图 1
所示。
图 1 网管中心设计方案一
另外一种设计是在每个 POP 点放置一台用于带外管理的路由器,各 POP 点
之间的管理路由器完全通过带外的管理方式,即网络管理中心完全与这些管
理路由器相连,与提供业务服务的城域网之间不提供互连点。这些路由器间
的连接线路可以采用其它的租用线路方式实现。
当网络规模继续扩大时,建议采用分布式网络管理中心,各二级网络管理中
心都具有各自的管理网段,各网段与位于集中网络管理中心的管理网段之间
采用 MPLS VPN 的方式互通,各个管理网段内的路由器和网管工作站的 IP
思科系统(中国)网络技术有限公司,12/27/22 第 3 页
地址空间可以采用私有 IP 地址空间,该地址空间完全与城域网的网络地址空
间隔离,在路由上也是独立分开的,如图 2 所示。
图 2 网络中心设计方案二
网络操作除了通过网络管理中心进行集中处理之外,还可以提供远程操作,
即网络管理员可以通过拨号的方式拨入网络管理中心,通过采用诸如 PC
Anywhere 的软件可以远程的进行网络管理。为了保证只有合法的网络管理员
通过有效的身份认证才能进入管理网络中心,除了普通的网络安全体系,包
括各种安全认证之外,可以用 VPDN 技术;所采用的地址空间按照网管中心
的配置策略实现。
思科系统(中国)网络技术有限公司,12/27/22 第 4 页
CSMCSM 概述概述
Cisco 的网管系统是一种专为大型 IP 网络而设计的开放式标准的网络 管理
系统。它采用分布式网络管理体系结构,具有高可靠性,高性能以及 易于扩
展等特性。
Cisco 建议采用 Cisco 业务管理系统(Cisco Service Management System,
CSM)来作为运营商的网络管理系统,CSM 的体系结构如图 3 所示。 CSM
实际上是一套网络管理解决方案,它提供从网元管理到网络管理和业务管理
的完整的网管工具,包括
网元管理工具:IP Manager,CiscoWorks2000 以及 NetFlow 等;
网络管理/业务管理工具:IP VPN Solution Center,Info Center 等;
计费管理工具: Portal 等。
建议在运营商的网络管理中使用 CSM 中的 IP Manager,CiscoWorks2000,
NetFlow,IP VPN Solution Center,Info Center, Portal 等网管软件。
图 3 CSM 体系结构
思科系统(中国)网络技术有限公司,12/27/22 第 5 页
CSM 构筑在几个关键的概念之上,这些概念来自于 ITU、目标管理组 织
(Object Managemet Group,OMG)、 网络管理论坛(Network Management
Forum),以及其它一些标准化组织,包括一种分层的、分布 式的、健壮的
以及高度可扩展的网络管理结构。CSM 结构由采用多种网络 技术的组合提
供真实端对端业务的应用。
CSM 遵从 TMN 分层结构,如图 4 所示,在最底一层的是网络单元,它们是
被管理的真实硬件设备和系统(也就是集线器、路由器、交换 机以及数据采
集设备等)。
图 4 CSM 符合 TMN 分层结构
第二层是网元管理层,这一层负责在网络单元设备或子网基础上提 供和监控
指定的网络元件组合。网络管理层还负责处理网络管理层应用的 输入 输出
信息。
第三层是网络管理层,该层的软件集合来自于网元管理层的信息,并 维护端
对端网络拓扑(网络元件的互联)的数据。网络管理层应用负责从 整体上管
理和监控网络。
思科系统(中国)网络技术有限公司,12/27/22 第 6 页
业务管理层将网络作为一种提供特定业务(即 VPN 业务)的资源来 配置、
管理和监控。业务管理层应用还支持客户之间的服务等级协定(SLA)以及
业务到业务(service-to-service)的相互作用。TMN 模型的最 上层,即商务
管理层,支持组织的商务管理功能。应用程序范例包括用户 维护 (customer
care)、故障票(trouble ticketing),以及记帐(billing)等。
该模型清楚地描述了对一种模块化的、多层的结构和应用的需求,用 来满足
服务供应商的需求。因而,Cisco 提供,并将持续开发高度可扩展 的、健壮
的、网络管理/网元管理应用。Cisco 还提供端对端的应用,用来 支持 FCAPS
管理(故障、配置、计费、性能和安全) 。
为了满足业务计划和管理(Service Planning and Administration)、多 业务配
置 (Multiservice Provisioning)、业务保证和运作(Service Assurance and
Operations)、记帐和计费(Accounting and Billing)等需 求,CSM 结构将
提供:可扩展的框架、开放的接口、模块化的设计、技术 集成、应用灵活性,
以及一个单一的数据模型。CSM 具有下列特点:
可扩展性――Cisco 选择 CORBA 作为应用程序分配机制 。这种机制允许
在处理流程和有效负载两方面进行灵活的工作负载分配。数据 收集和分配的
等级化分层提供了一种中间机制,能够减少中心应用程序的 警告和中断信息
泛滥等情况。在每一个管理层的同级技术应用考虑了时间 和数据模型共享的
相关性。
互操作性和标准接口――所有应用都公开了了 IDL 或 C++API,用于同客户
应用通信。在各 TMN 层的每个 Cisco 网络管理应用都有 API,以实现集成化
和灵活性。所有用户接口都是基于行业标准的。在所有可能 的地方,应用程
序都使用一种三个层次的用户接口模型。也就是说,用户 的客户机/ 服务器
接口是一个用于图形显示目的的简单客户系统。Web Java 到 CORBA 的通信
居留于服务系统所有可能的地方。
安全性――每个应用都支持用户访问和控制的概念。访问颗粒度
(granularity)扩展到网元层次。
思科系统(中国)网络技术有限公司,12/27/22 第 7 页
Cisco 业务管理系统是 一套集成的网络和服务管理应用系统,CSM 的 整套
服务中心和业务管理产品提供了一个集成的、综合的、可扩展的解决 方案,
以解决服务供应商当今所面临的挑战。CSM 的产品是技术独立的,并且通过
端对端的 Layer 2 和 Layer 3 执行所有功能。在业务管理层完成网 络和元件
管理系统的集成。
这套系统的每个元件都是模块化的,并且能够独立地实施,也可以同其它
CSM 一起作为一套完整的系统一起实施。
思科系统(中国)网络技术有限公司,12/27/22 第 8 页
CiscoCisco IPIP ManagerManager (IP(IP 管理器管理器))
Cisco IP Manager(CIPM)是服务 CiscoIOS 软件网络应用的可伸缩、高可靠的
的网元管理层业务生成系统。专为电信级网络设计的 IP 管理器,基于 CORBA,
通过模板和子模板为客户的边缘路由器生成 CiscoIOS 配置。由于它提供了高
度的设备配置、管理自动化,大大提高了业务生成的质量和速度。IP 管理器
的设计思想是在已有的操作系统支持上大批量地改变网络配置。
IP 管理器通过与 Cisco Service Management(CSM)里提供业务生成和管理的
应用交互工作进行针对用户的业务管理,如图 5 所示。应用程序接口为 IP 管
理器与其它管理工具 CiscoProvisioningCenter 以及已有的提供自动业务生成
功能的 OSS 之间进行信息流的传递。
图 5 Cisco 业务管理系统
CiscoIP 管理器为服务提供商的网络提供以下几点优势:
- 在 CiscoIOS 的基础上更进一步提高网络服务的能力
- 通过自动化降低操作和培训的花销
思科系统(中国)网络技术有限公司,12/27/22 第 9 页
- 高质量的配置
- 与 OSS 集成
CiscoIP 管理器满足了在大规模的路由网络中利用 CiscoIOS 提供可伸缩、高
可靠的业务生成的需要:
- 通过自动的结构生成,提供快速、高质量的业务拓展。
- 与其它的 OSS 或应用的接口,包括:CiscoProvisioningCenter,订购处理和
管理,用户管理和记费,工作组自动控制。
- 支持新兴的端到端网络服务
- 提供域控制和认证的功能分割,以适应业务需要。
IP 管理器的特点和优点包括:
(1) 配置生成和开发
对于客户端设备和边缘设备的业务开发,Cisco 的 IP 管理器可伸缩的、支持
模板的自动配置生成引擎提供任何基于 CiscoIOS 的网络业务的生成和配置
功能。这些业务包括 GRE、MPLSVPN、语音业务、组播应用、QoS 和特定
的防火墙安全特性如:ACL。
CiscoIP 管理器的模板机制使得操作者可以利用标准的配置信息,确定变量
(如:主机名,IP 地址,子网掩码),从一个模板衍生出多个配置文件。配置
的途径可以是直接通过 GUI 界面,或是通过与其接口的其它应用。进一步的
细调如安全和服务质量设置可以通过子模板来配置。
CiscoIP 管理器内含一个表格机制,它对每一个用户的参数进行赋值。
CORBA/C++的 API 使网络管理系统或 OSS 可以自动地进行这一任务。
对于批量的配置,CiscoIP 管理器有一个分布式的多线程的解决机制。这一机
制加快了配置速度,相对于手工操作大大提高了准确度,在通过自动化简化
操作的同时保证了可伸缩性,这样一个管理员需要的专业能力要比手工操作
情况下小得多。
(2) 配置确认
思科系统(中国)网络技术有限公司,12/27/22 第 10 页
语法的唯一性和完整性较验保证了 IP 管理器业务生成的可靠性。这些特性降
低了生成新的元件和业务时发生错误甚至系统瘫痪的风险。
-“语法和完整性”校验使用了 Netsys 分析技术以保证准确性和查找潜在矛盾
- “可靠下载”使用 ping 和告警验证新的配置的正确完成。
系统级的配置会有特别高的安全性要求,它还允许在将配置真正上载到
NetsysServiceLevelManagement 前离线检验路由和故障。
(3) 配置管理
CiscoIP 管理器能使用重复的 IP 地址域管理多个分隔的用户网络。信息流接
口使得它能和静态或动态的 IP 地址池通信。管理员可以通过为组件划分“域”
和“子域”提高控制和管理的功能。
网元和模板都可使用层次化的管理域结构,它的访问控制在可采用“遗传”的
方式定义。例如:CiscoIP 管理器的用户或通过 API 与其连接的系统只能看到
属于他们那个部分的网元。
特定的用户只能生成、读、升级、和删除特定的数据。管理员可以限制子域
的可见性,这样一个用户可以看到或修改路由器的配置但不能下载更改配置
到工作中的设备中去。
网络的可见性可以被配置成特定操作员只能看到他们应负责的部分。这是在
操作员登录系统时的缺省设置。
IP 管理器的结构如下所述:
CiscoIP 管理器采用三级、基于 CORBA 的结构,以适应未来扩展的需要。
思科系统(中国)网络技术有限公司,12/27/22 第 11 页
图 6 IP 管理器结构
图 6 显示了操作员和信息流应用接口如何利用 CORBA 客户端与后台服务器
通信的。分布式的 CORBA 系统总线通过 LAN 或 WAN 把信息发往分布在各
地的应用子系统和服务器。数据中心使得 CiscoIP 管理器可以把数据放进缓
存中,以提高速的数据存取。
Cisco IP 管理器可以为 Cisco7513,7507,7200,6200,5300,5200,4500,
4700,3810,2524,2525,2518,2514,2505,1600,LightStream1010,Cisco
12000 系列,MGX8800 路由器和交换机提供自动的配置和业务生成。
Ciscoworks2000
CiscoWorks2000 系列产品继承了 CiscoWorks、Cisco 资源管理器[CRM(Cisco
Resource Manager)]及 CWSI(CiscoWorks for Switched Internetworks) 的功能。
但还包括功能增强的工具、重要的新功能及基于标准的第三方集成工具。尤
为重要的是 Cisco Works2000 还包括:
用于关键管理工具和产品的基于 Web 接入的 RME (Resource Manager
Essentials)
思科系统(中国)网络技术有限公司,12/27/22 第 12 页
管理交换机和网络业务
建立管理内部网的 Cisco 管理连接
CiscoView 图形设备管理工具
将来增加功能时可插入的模块
CiscoWorks 2000 包括下列好处:
(1) 面向 Internet 的网络管理
Cisco 在 Internet 联网和 Internet 商务解决方案领域居业界领先地位。对这些
解决方案的投资目前提供广泛的网上知识基础,Cisco 网络管理应用程序使用
这些知识指导网络管理人员迎接维护庞大而复杂的企业网的挑战,并获得成
功。
知识综合-一 Cisco Works2000 产品预先从 Cisco 的 Web 站点收集信息并在
管理程序内显示。
例如,RME(Resource Manager Essentials)通过内置的 Internet 链路将管理程序
扩展到外部数据源,使网络管理员检索并使用信息,如:
有关哪些设备属 Cisco 业务合同内容及这些合同状况的信息
技术支持报告的自动生成、提交和跟踪
以储存于 Cisco 在线连接(CCO)上的软件版本作为基础的硬件预先
申请信息
新的 Cisco IOS 和 Catalyst 软件版本
有关您的网络中采用的软件版本的缺省状况信息
用于管理功能和应用集成的浏览器用户接口--Cisco 独特的管理内部网工
具使用浏览器接口,该接口有助于将来自不同源的多种应用和工具进行面向
任务 Web 级集成,包括第三方和室内开发的工具和应用。这一方案允许创建
一种由最佳管理工具构成的客户定制管理环境,其中包括 Hewlett-Packard、
思科系统(中国)网络技术有限公司,12/27/22 第 13 页
Tivoli 及 Computer Associates 的主要网络管理平台。到这些应用的基于浏览
器的接入,使用户可进入多个应用程序并轻松地在最佳工具间转移,以排除
故障。
基于标准的结构--能否成功地采用可扩展、自适应性网络解决方案在很大
程度上取决于坚持开放网络管理标准的情况。Cisco Works2000 系列产品基于
业界标准,如 SNMP(简单网络管理协议)、RMON(远程监控)、
RMON2、WBEM(基于 Web 的企业网管理指示),HTTP(超文本传输协
议)、Web 浏览器技术及 Java。
Cisco 率先开始定义公用信息模式(CIM)--这是 DMTF(Desktop
Management Force 在基于 Web 的网络管理(WBEM)初始工作的基础上开发
的一种数据交换标准。CIM 有助于实现网络应用程序间的开放管理数据交换,
而 Cisco 最初使用 CIM 模式交换详细的设备库存数据。然后主要的网络管理
平台和主机结构可使用这些数据以进一步了解基于 Cisco 的网络。
Tivoli 已宣布推出对基于 CIM 的库存数据交换业务的支持功能,用于 TME
库存。
(2) 管理效率及灵活性
将网络作为一个完整的系统而非许多零散的元件或设备进行管理--网络在
继续发展而且变得日益复杂,同时对商务的作用也日益重要,有鉴于此,网
络管理应从一系列与单个设备相关的任务演变成一种更为系统的方法。Cisco
Works2000 产品的发展趋势也反应这一需
求,Cisco 正将现有设备管理工具的丰富特性纳入新产品,使这些新产品带有
管理整个网络的全新功能。Cisco Works2000 产品有着通过诸如库存、拓扑结
构及改变管理等应用程序对
多种设备进行。管理一体化的特性。Cisco Works2000 产品以不断积累的网络
知识为基础。
这些产品可提供对全网络范围问题的深入了解,如配置管理、容量规划,软
件缺省跟踪及系统范围的变化的管理。
思科系统(中国)网络技术有限公司,12/27/22 第 14 页
基于任务的管理--Cisco 仍继续在研究客户实际情况方面大力投资,以确定
用户如何管理网络及探测、排除故障。研究表明为完成一项工作,通常需要
使用多种工具,操作员需使用一种又一种工具。基于这些情况,Cisco 在其
Cisco Works2000 产品中采用了一种“面向任务”的设计,以简化用户的日常网
络管理工作。该设计减少了需要多个步骤,使用多种工具进行的重复性、易
于出错的人工操作--如在网络设备上更新软件或跟踪库存变化。
Cisco Works2000 产品中基于任务的管理功能举例如下:
RME(Resource Manager Essentials)中的软件版本管理器元件使用一种基于任
务的方 法。它通过对软件更新的完美规划、安排、下载及监控大大简化了
Cisco 路由器和交换机软件更新的常规应用及版本管理。
CWSI 园区网中的用户跟踪元件简化了整个网络上终端用户工作站位置、活
动的发现和更新工作,从而简化了动态虚拟 LAN(VLAN)管理或移动用户的
管理问题。
综合的多业务管理-Cisco Works2000 系列产品为管理大量互不相同的网络
设备可起到许多种关键性管理作用,这些设备包括路由器、交换机、接入服
务器及通用 SNMP 设备。例如,RME(Resource Manager Essentials)可进行
Cisco IOS 升级、跟踪库存、报告设备可用性、分析 syslog 信息并报告交换机
及路由器的配置变化。CiscoView 提供了多种设备类型的配置、业务及状态
的直观视图。
(3) 保护投资前提下的新技术
公共管理基础-Cisco 正在开发一整套被称为公共管理基础(CMF)的管理业
务。CMF 业务包括轮询、搜索、数据库、拓扑结构、安全性、事件及作为 Cisco
Works2000 应用基础的其他业务。12 个月中有 9 个月可提供或更新这些业务。
库存或可用性等功能模块的更新和提供将迅速得多。将功能模型与 CMF 时间
表分开使 Cisco 能够迅速提供新功能并支持新设备,就象事先已准备就绪一
样。从而加快了上市时间。
利用现有的 Cisco 技术和功能-Cisco Works2000 产品建立在现有的内置式
设备技术的广泛基础上,包括 Cisco IOS、SNMP、HTTP 及 NetFlow 以便进
思科系统(中国)网络技术有限公司,12/27/22 第 15 页
行管理。该方案确保新的应用程序将使用现有网络中已安装的数据资源,从
而可保护对 Cisco 产品的投资。此外,由于大量这些数据资源基于已有的业
界标准,Cisco Works2000 可与第三方集成或定制管理应用程序。
独立/并排平台的集成--Cisco Works2000 产品被设计为即可作为独立的管
理应用程序运行,也可用于增加企业网平台产品和业务,如 HP OpenView、
Solaris SunNet Manager、Tivoli NetView 或 Unicenter 所提供的。这提供了在
Cisco Works2000 自己的服务器上进行安装的可选性和灵活性,而无需网络管
理平台服务器。
明天的管理环境与今天的应用--Cisco 的管理内部网战略使用户能建立可
适应不断变化的管理要求不断发展的管理环境。由于管理内部网与在网络中
已安装的管理应用程序链接在一起,使当前及未来的投资均得到全面保护。
Cisco Works2000 的组成部分
(1) RME (Resource Manager Essentialo)
RME 是一种适用于 Cisco 路由器、交换及接入服务器的功能强大、基于 Web
的网络管理解决方案。 它的浏览器接口可轻松接入到对网络正常运转时间至
关重要的信息;而它的模块通过处理耗时的管理工作简化了网络管理,这些
工作常干扰了小型至大型网络的运行。如 Resource Manager Essentialo:
使管理网络库存和设备变化、归档和查寻配置文件及迅速采用新的软件版本
的工作一体化
帮助排除关键网络设备的基本连接状态的故障,并提供硬件容量规划所需的
信息
有一条内置链路与 CCO 链接,按照你的网络库存要求提供最新管理信息和
Cisco 知识
RME 包括下列关链模块和功能;
库存管理器 Inventory Maneger 保持一个最新的硬件和软件库存。
变化审查业务 Change Audix Service 提供有关软件、硬件及配置变化的综合报
告。
思科系统(中国)网络技术有限公司,12/27/22 第 16 页
设备配置管理器 Device Configuration Manager 进行路由器和交换机配置的及
时归档。
可用性管理器 Availability Manager 监控关键设备。
Syslog 分析器查出网络故障情况,并给出故障原因及建议措施。
软件版本管理器 Software Image Manager 简化并加速软件版本的规划和采用。
Netsys 集成配置归档产生一个仅包含最近配置变化的“shadow”目录,该目录
可用于 Cisco 的 Netsys 产品,进行模型建造、完整性检查并生成业务级别管
理报告。
Cisco 管理连接 Cisco Management Connection 提供一个工具包及后续程序,用
基于 Internet 的标准和技术进行网络管理应用程序集成。
网络工具提供用于管理 SMARTnet 合同的合同连接、发出技术援助中心
(TAC)申请的案例管理器及确定有效协议的连接工具。
(2) CiscoView
管理交换的网络需要接入工具以了解设备配置,并在必要时进行改变。不管
是独立配置还是在园区网内,CiscoView 均可用图像显示所选设备,包括已
安装的模块、配置状况,同时提供设备及端口状态的彩色编码图示。
Cisco 路由器、交换机及所配置模块的图像显示
设备端口或接口状态及 RMON 数据的实时状态轮询
实现简易配置或状态识别的可拆卸式配置菜单
Cisco Works2000 系列产品提供的开放式设计使 Cisco 可迅速增强产品功能
以满足客户不断变化的需求。继推出 Cisco Works2000 之后,Cisco 又将推出
可提供新的或增强的网络管理功能的插入式模块。Cisco 综合网络管理功能
将作为通过公共管理基础集成的模块于 1999 年中期全面上市。
网络运行环境互不相同。目前基于 Web 的网络管理应用向用户展示了建立用
户定制的“管理内部网”,将 Cisco 管理应用程序、普通第三方管理工具和室
内开发的功能链接的大好商机。
思科系统(中国)网络技术有限公司,12/27/22 第 17 页
Cisco 管理连接是 RME 的一种特性。它可提供一个工具包及后续程序,使用
基于 Internet 的标准和技术集成网络管理应用。该工具包允许用户将基于
Web 的管理应用程序链接到 RME,同时使应用程序开发者通过一种识别机制
将他们基于 Web 的应用程序轻松地链接。Cisco 与约 30 家网络管理厂家都使
用这一工具包为他们的应用程序建立经认证的 Cisco 管理连接,包括
Computer Assciates、Hewlett-Packard、Sun Microsystems 及 Tivoli。由此产生
了这样一种状况:用户可轻松地建立连接基于 Web 的管理应用程序的管理内
部网。
管理内部网这一概念真正改变了传统的应用集成模式。Cisco 正积极使用这一
新模式链接它自己的应用程序,而不再一味依赖于类似传统管理平台的外部
集成源。目前,为改变核心问题而开发的管理应用程序(如为服务供应商及
IBM 环境设计的工具。)可用 Cisco Works 2000 企业网管理系列产品连接。
使用 RME 中的 Cisco 管理连接特性,用户可连接下列经认证的 Cisco 管理应
用程序:
CiscoWorks Blue Maps
Cisco Cache Engine
CiscoSecure ACS for NT
Cisco PIXTM Firewall
Cisco Voice Manager-Solaris
Net Flow 业务量统计工具
在 Cisco 的网络管理体系中,NetFlow 占据了十分重要得重要,无论是作网络
性能监测,还是作 SLA 吞吐量监测,以及 IP 网络的计费,都需要利用 NetFlow
来采集路由器上的业务量信息,如图 7 所示。NetFlow 内置在 Cisco 路由器
上的 IOS 软件中,同时需外置一个 NetFlow Collector 或 NetFlow Analyzer 进
行数据的采集、存储和处理。
思科系统(中国)网络技术有限公司,12/27/22 第 18 页
图 7 Net Flow 在 Cisco 网 管 系 统 中 的 重 要 作 用
原始数据由每个路由器采集,网络管理人员决定采集那些数据,并确 定原始
数据的采集间隔(Bucket Interval)和数据传送间隔(Collection Interval)。 这些信
息被送至路由器执行,收到指令后,路由器开始在每个 Bucket Interval 采集
原始数据,并储存在路由器中等候转移到 Cisco works 的数据库去。在每个
Collection Interval,Cisco works 从路由器中提取数 据。原始数据储存在网管
数据库中等待进一步的处理。
NetFlow 能根据以下信息定义两端点间的单向数据包流(Flows):
源和目的 IP 地址;
源和目的 TCP/UDP 应用端口;
ToS 字段;
输入接口;
IP 协议字段。
思科系统(中国)网络技术有限公司,12/27/22 第 19 页
NetFlow 可提供以下基于每个数据包流( per-flow )的统计信 息值:
源和目的 IP 地址;
源和目的 TCP/UDP 应用端口;
分组合字节计数;
流开始和流结束时间标签;
TCP 标识字段;
ToS 字段;
IP 协议字段。
源和目的自治系统号;
下一跳路由器地址;
输入和输出接口索引。
Cisco 可同时提供更为广泛的 NetFlow 体系结构,包括以下工具和应 用:
FlowCollector;
FlowAnalyzer;
CEA;
Netsys Technologies。
另外,Cisco Internet QoS 软件可提供 IP precedence (IP 优先级别) 和 MAC
统计 MIBs(Management Information Bases) 信息,以及 CAR 和 WRED MIBs
信息。
(1) CAR MIB
CAR MIB 提供各种关于基于带宽的 token bucket 参数,相关 access lists 信
息, 以及各种可设置的参数信息,CAR 配置表 包 括:
速率限制方向;
速率限制类型;
思科系统(中国)网络技术有限公司,12/27/22 第 20 页
接入列表索引;
承诺的速率;
突发限制;
超过的突发限制;
一致行为;
超过行为。
CAR 统 计 表 包 括:
所交换的分组数;
交换的字节数;
过滤的分组数;
过滤的字节数;
当前突发字节数。
(2) WRED MIB
WRED MIBs 提 供 各 种 基 于 优 先 级 别 的 RED 参 数 信 息 和
数 据 包 处 理 的 统 计 信 息。WRED 全 局 配 置 表 包 括:
不丢弃的长度;
平均分组长度;
排队长度。
WRED 优 先 级 配 置 表 包 括:
优先级;
排队最小深度门限;
排队最大深度门限;
丢弃概率。
WRED 排 队 长 度 表 包 括:
思科系统(中国)网络技术有限公司,12/27/22 第 21 页
平均排队长度。
RED 统 计 表 包 括:
交换的分组数;
交换的字节数;
由于超过排队最小深度而被过滤的分组数;
由于超过排队最大深度而被过滤的分组数;
由于 backing store exhaust 而被过滤的分组数。
WRED Backing Store 状态表包 括:
backing store 排队长度。
(3) MAC/优先级计费 MIB
MAC and IP 优 先 级 计 费 MIBs 提 供 各 种 关 于 源 于 或 止 于 特
定 的 MAC 地 址 或 IP precedence 值的所 交 换 的 数 据 包 或 字 节
统 计:
MAC Accounting MIB 包 括:
输入或输出的分组数;
MAC 地址;
交换的分组;
交换的字节。
IP 优先级计费 MIB 包 括:
分组方向;
IP;优先级;
交换的分组;
交换的字节。
思科系统(中国)网络技术有限公司,12/27/22 第 22 页
Netflow 可 通 过 UDP 的 方 式 提 供 以 下 数 据 格 式 :
Version Count
SysUptime
Unix_secs
Unix_nsecs
Flow_sequence
Reserved
Version : Netflow 输出格式版本号
Count : 在该分组中输出的流数目(1-30)
SysUptime : 从路由器启动到目前的时间(millisecs)
Unix_secs : 从 0000 UTC 1970 到目前的时间(seconds)
Unix_nsecs : 自从 0000 UTC 1970 开始的剩余秒(十亿分之一秒)
Flow_sequence: 总的流计数
Reserved : 目前不用(设置为 0)
表 2 版本 5 记录格式
Srcaddr
Dstaddr
Nexthop
Input Output
Dpkts
DOctets
First
Last
思科系统(中国)网络技术有限公司,12/27/22 第 23 页
Srcport Dstport
Pad1 TCP_flag
s
Prot TOS
Src_as Dst_as
Src_mask Dst_mask Pad2
Srcaddr : 源 IP 地址
dstaddr : 目的 IP 地址
nexthop : 下一跳路由器的 IP 地址
input : 输入 接口的 SNMP 索引
output : 输出接口的 SNMP 索引
dPkts : 流中的分组数
dOctets : 流中分组的第三层字节数
First : 流开始的 SysUptime 时间
Last : 接收到流的上一个分组的 SysUptime
srcport : TCP/UDP 源端口号码或等效
dstport : TCP/UDP 目的端口号或等效
pad1 : 未使用(设置为 0)字节
tcp_flags : TCP 标识
prot : IP 协议,例如 6=TCP, 17=UDP, ...
TOS : IP 业务类型
src_as : 源的 AS
dst_as : 目的 AS
src_mask : 源地址的前缀掩码
dst_mask : 目的地址的前缀掩码
思科系统(中国)网络技术有限公司,12/27/22 第 24 页
pad2 : 未使用(设置为 0)字节
根 据 Netflow 提 供 的 数 据 格 式 , Netflow Collector 和 Netflow Analyzer
可 对 其 进 行 处 理。
思科系统(中国)网络技术有限公司,12/27/22 第 25 页
网络管理和业务管理网络管理和业务管理
CCiissccoo IInnffoo CCeenntteerr
故故障障和和事事件件监监测测 -------- CCiissccoo IInnffoo CCeenntteerr
Cisco 的 Info Center 是一组产品,用于解决业务质量的保证和 VPN/CNM
故障管理的支持。 Info Center 采用 Client/Server 的结构,用于 对故障告警
信息的精简,实时数据的过滤和互联,以及 VPN 网络信息的分 配。 Info Center
同时也支持性能信息的分割和分配。Info Center 支持 X11/Motif 和 Web/Java
用户界面。
图 8 Info Center 的 结 构
Info Center 灵活和因人而异的产品系列使得网络管理人员能对用户网 络的资
源和业务进行划分。Info Center 能够生成物理网络资源和关系状态 图或者抽
象和逻辑图。 取决于不同的业务和复杂程度,经过分割和过滤的 信息能够
采用多种方式安全地传送给最终用户。
思科系统(中国)网络技术有限公司,12/27/22 第 26 页
Info Center 经过精简的告警信息为有效地管理从不同信息源来的事件 提供了
一个统一的界面。这些信息源包括了 IP MANAGER 和 CiscoWorks2000。
通过制定规则,Info Center 能对网络的告警信息进行 分别,减少不需要的信
息, 仅向用户提供重要的网络事件。使用专门化的 菜单,网络管理人员能
够动态地将所需的网管工具与 Info Center 系统集成 在一起。
IInnffoo CCeenntteerr AArrcchhiitteeccttuurree OOvveerrVViieeww
Info Center 采用以应用为主的方法提供告警和性能管理。它能灵活地 提供专
门化的解决方案以满足特殊的网络环境业务管理的需要。Info Center 的基本
组成部分包括了: Info Mediator, Info Server, Info Gateway, Admin Desktops 和
Java/Web Clients。
图 9 Info Center OverView
思科系统(中国)网络技术有限公司,12/27/22 第 27 页
a) Info Mediator
Info Mediator 担负着从网管系统 ( 如 IP Manager) 处收集故障和性能数 据
的任务。Info Mediator 将其他技术或厂家的特定的信息转换成 Info Center
理解的形式。Info Mediator 能够对信息进行过滤和翻译,使得 Info Center 无
需知道其他技术或厂家的具体技术细节。
b) Info Server
Info Server 是整个 Info Center 系统的核心,可以从多个 Info Mediator 处同时
接收故障和性能数据。Info Server 是运行在内存中的实时数据库, 它对收到
的数据进行区分,对重复出现的事件进行计数,而不是简单的重 复显示,大
大地减少了操作人员所需处理的事件量,并按照预先设置的信 息联系规则将
信息联系起来。Info Center 的一个重要特定是设置过滤器,信息联系规则和
由事件驱动的自动化非常容易,可由非专业人员即时制 定,可在短时间内的
设置所需的应用。
网络事件的存储需要使用一个数据库 Info Gateway 去和 Relational 数 据库相
连,Info Gateway 随后将作介绍。信息联系规则是通过 Boolean 代 数和 SQL
语言在内部产生的,但 Info Center 的图形界面将这些技术细节 隐藏起来,
只对用户提供易于使用的界面。
Info Center 使用的信息联系规则和过滤器采用 Boolean 代数和 SQL 语 言,
所有进入 Info Center 的事件都要经过它们的检查。这些规则将网络操 作人
员关心的事件从一大堆不重要的事件筛选出来。 Info Center 可以通过 管理
工具随时产生过滤器和规则。这一特点在当今变化多端的网络环境中 是非常
重要的。
c) Admin Desktop
Info Center 所收集的事件经过处理后用于代表各种由用户定义的实 体, 这
些实体可以是物理实体,也可以是逻辑实体。通过使用 ObjectView 工具,
这些实体在 Admin Desktop 上被定义成 Visual Objects。用户通过 Visual
思科系统(中国)网络技术有限公司,12/27/22 第 28 页
Objects 将任何网络资源,关系和状态以视觉的形式表现出来。从 VPN 的角
度来看,这种视觉形式可能是由交换机和连接它们的中继所组成 的整个网络
的一个部分。实体也可以代表服务器,网管平台,用户业务, 用户以及部门
等。Info Center 支持 X11/Motif 和 Web/Java 的 Admin Desktop。
d) Info Gateway
Info Gateway 提供了 Info Center 与外界的连接和过滤的机制。Info Center 动
态地对事件进行过滤并将它们传送到其他系统去,提供单向或双 向的信息传
送。经过 Info Center 处理过的信息满足了用户的特定需求。Info Gateway 可
将过滤后的信息传送到下列系统:
其他的 Info Center,用于过滤后信息的分配。
Sybase 和 Oracle RDBMS,
Remedy Action request System
ASCII Log File 和 Other management system (in the form of SNMP trap)。
Info Center 是产生网络资源视觉的关键部分。Info Gateway 决定了传 送什么
信息给其他系统,这就是 VPN 和 CNM 的支持的方式。 Info Gateway 也可
用于对从多个 Info Server 来的信息的精简,以及将信息分配 给多个 Info
Servers。
e) Java Event List Server
Info Center 支持以 X11/Motif 和 Web/Java 为基础的 Client。Java Event List
Server 是一个 Java 程式,它在 Web Server 上运行,提供 Info Server 和 Java
Applets 之间的通信。Java Applets 可以在任何 Web 网页上显示, 并通过 Java
浏览器阅读。不同种的 Java applets 可以使用, 也可按用户 的要求进行专门
化。为了保证网络的安全性,可对用户进行身份的证实。 Java Event List
Applets 目前支持 Event List 信息的过滤和分割。未来的 Applets 将对所选择
的资源提供性能和可靠性的信息。
思科系统(中国)网络技术有限公司,12/27/22 第 29 页
IInnffoo CCeenntteerr 的的主主要要特特点点::
提供经过专门化的网络和业务图形显示-支持 VPN 和 CNM。根据
显示的要求选择信息。
全分布式的故障管理环境- 提供故障响应,说明,分类和自动化
的支持。
逻辑和物理的拓扑图形显示-在图形显示中对应用,业务和系统 进
行显示。
能动态地配置的菜单。
高性能的 Client/Server 结构。
对各种技术和厂家设备的事件进行监视。
事件触发的自动化过程-可由不同的事件触发各种管理工作的进 行。
以 Boolean 代数进行的事件的过滤,精简和综合。
非常容易地通过 GUI 界面对图形显示,规则自动化和过滤器定 义。
采用 Web/Java 形式支持事件监视和告警管理。
CCiissccoo VVPPNN 管管理理中中心心((CCiissccoo VVPPNN SSoolluuttiioonn CCeenntteerr))
概概述述
使用 Cisco VPN 管理中心(Cisco VPN Solution Center), 来对运营商的 VPN
业务进行管理。
IP VPN 网络的业务配置、业务管理和业务量工程是运营商的 IP-VPN 业务成
功的关键。CSM 中的 IP VPN Solution Center 以 IETF 的 DiffServ 框架为基础,
负责大型 IP VPN 网络的业务配置和管理。 IP VPN Solution Center 能提供高
可扩展性的工具,使网络运营者能完成各种 IP VPN 管理功能,包括网络资源
的分配、获得所预期的服务质量等。
思科系统(中国)网络技术有限公司,12/27/22 第 30 页
IP MPLS VPN 业务的最大的好处是,对于每一个新的业务请求,只需要对用
户的边缘路由器(CE Router)和运营商的边缘路由器(PE Router)进行配置,而
不需要对运营商的核心路由器(P Router)进行任何配置,这样极大地简化了网
络管理人员的运营维护工作,因此可以在大规模的网络中实现 IP VPN 业务。
Cisco VPN solution center 是网络层和业务层管理工具,是 CSM 的一个重要组
成部分,提供 MPLS VPN 业务配置、SLA 监控和业务量数据采集等管理工作。
功功能能描描述述
Cisco VPN solution center 主要完成下列功能:
配置 IP MPLS VPN 业务;
审计这些业务请求;
采集相关数据测试测试 SLA 和性能;
每个 VPN 业务对网络资源的使用情况。
IP VPN Solution Center 能对配置 VPN 业务,并对业务配置进行审计,以确定
所配置的业务参数与网络资源是否一致。IP VPN Solution Center 能够配置不
同业务级别,同时它还能够监视每个业务级别的性能, 从而监视 SLA,并提
供 SLA 报告。它还能利用 Corba IDL API 向高层应用提供这些数据,以用于
网络情况报告和网络规划。它利用 NetFlow 从网络过中采集业务量数据,提
供关于每个 VPN/每个 CoS 的业务量数据。
体体系系结结构构
IP VPN Solutuion Center 的体系结构如图 10 所示。
思科系统(中国)网络技术有限公司,12/27/22 第 31 页
图 10 IP VPN Solutuion Center 的体系结构
IP VPN Solution Center 是 Cisco 运营支持系统(OSS)的重要组成部分,它包括
了 IP MPLS VPN 的业务配置、业务检测和服务水平协定(SLA)测量等功能,
它允许网络管理人员使用相应的菜单填入所请求的 VPN 业务的各种参数,然
后网管软件将自动把这些业务信息转换成配置命令,从而实施所要求的 VPN
业务。
IP VPN Solution Center 在把配置软件加载到实际网络单元(路由器)之前,首先
验证上述所产生的配置是否有效。同时,它还具有非常灵活的任务调度功能,
可以预先设定下载时间(如午夜),然后在设定的时间,同时下载多个业务配
置。
一旦对新的 IP VPN 业务请求进行了配置,则下一步将对该业务配置进行审计,
即确定这些业务配置处于什么状态,并向运营管理提供报告。IP VPN Solution
Center 从网络设备中收集各种数据,并与所完成的业务配置进行比较,从而
确定了该业务配置是否与网络资源情况相一致。
思科系统(中国)网络技术有限公司,12/27/22 第 32 页
IP VPN Solution Center 能从网络中采集相关数据,并以 Internet 数据记录的格
式表示,其中包括性能数据(如环回延迟 RTR 等),这样 IP VPN Solution Center
能够向高层应用(如计费和性能监视等)提供相关信息,以完成 SLA 和性能报
告以及计费等。而且,系统还能从网络单元中收集其它数据,用于业务到网
络关联的分析,CSM 中的 Info Center 可以和 IP VPN Solution Center 一起使用,
以完成发生故障的网络单元与所影响的业务之间的故障关联。
主主要要功功能能::
a) (1) 业务配置和管理
VPN Solution Center 提供非常强大的 MPLS VPN 业务配置和管理功
能,VPN Solution Center 提供标准的业务配置模板,网络管理人员能非常容
易地填写相应的业务信息,填写好的标准模板自动转换成 Cisco IOS 软件命令,
然后加载到 网络中。
业务配置和管理的主要功能包括:
---- 增加、删除和改变用户的 VPN,增加、删除每个 VPN 内的节
点,其网管界面如图 11 所示。
---- 能够描绘每个 VPN 网络拓扑结构和运行情况,其网管界面如
图 12 所示。
---- 能够为不同的 VPN 用户配置不同的服务质量,从而提供不同
优先级别的业务,即通过改变网络配置来保证 VPN 的资源。目前,IP VPN
Solution Center 能根据 IP 数据包中 TOS 字段所设置的优先级,来提供不同优
先级别的业务(COS),例如图 13 所示,与一个 VPN 用户签订合同时,当用户
的速率小于 256Kbps 时,提供优先级最高的服务(即金牌业务),当大于
256Kbps 时,将对用户的输入数据进行业务量整形,使其业务级别降低。 IP
VPN Solution Center 能对网络单元设备进行设置,使其完成业务量整形(GTS)、
承诺的接入速率(CAR)、随机早期拥塞检测(WRED)以及公平排队等服务质量
保证机制,网络管理的界面如图 Z 所示。在明年,IP VPN Solution Center 能
配置和管理 GB-VPN,即保障带宽的 VPN,这时可以向用户提供具有精确带
思科系统(中国)网络技术有限公司,12/27/22 第 33 页
宽保证的 VPN 服务。IP VPN Solution Center 自动产生路由器的配置命令,为
不同优先级的业务分配不同数量的带宽。
---- IP VPN Solution Center 能对 VPN 配置不同的策略,从而决定
了 VPN 的拓扑结构,能够配置 VPN 中 Intranet 和 Extranet 的不同关系。
图 11 增加/删除/修改 MPLS VPN
思科系统(中国)网络技术有限公司,12/27/22 第 34 页
图 12 描绘每个 VPN 网络拓扑结构和运行情况
图 13 对 VPN QOS 的配置和管理
思科系统(中国)网络技术有限公司,12/27/22 第 35 页
b) (2)任务调度
当网管人员通过业务配置工具,填写好相关业务信息以后,网管人员能够调
度业务激活的时间,即确定向网络设备下载配置数据的时间,任务调度界面
如图 14 所示。当到达所确定的时间时,网管软件将向相应的网络单元传送
Cisco IOS 配置命令,从而激活所进行的业务配置。当新的业务配置被激活后,
可以对该业务进行测试,以保证业务的可靠的提供,例如当在一个 VPN 中新
增加一个节点时,可以进行端到端的 PING 测试,以保证配置的正确性。
图 14 任务调度功能
c) (3)业务审计
IP VPN Solution Center 能够产生关于将要实施的/和已实施的业务请求的状
态报告,当进行任务调度时,网管软件读取路由器当前的配置文件,分析业
务请求并根据业务实施的当前状态,产生报告。
思科系统(中国)网络技术有限公司,12/27/22 第 36 页
d) (4)VPN 业务量参数统计
IP VPN Solution Center 能够利用 Cisoc NetFlow 技术,提供每个 VPN Intranet
和 Extranet 的性能报告,如图 15 所示。NetFlow 采集了丰富的业务量统计数
字,包括每个 VPN 一段时间内的平均流量、最高流量,还包括基于每个应用
端口和用户 IP 地址的相关信息。网管能够提供关于每一个 VPN 这些统计信
息,从而使网管人员能确定网络资源的占用情况,图 16 显示了一个统计报告
的实例。NetFlow 的流采集器(Flow Collector)把负责汇集各种统计数据,形
成 NetFlow 报告,并提交给 IP VPN Solution Center,由后者对统计数据进行
进一步的汇集和关联。然后 IP Solution Center 可以把这些信息提交给性能分
析系统或计费系统以及报告应用系统等第三方应用,第三方应用通过开放的
应用编程接口(API)来访问 IP VPN Solution Center 中的相关信息。
图 15 VPN 的业务量统计利用 NetFlow 来进行
思科系统(中国)网络技术有限公司,12/27/22 第 37 页
图 16 统计报告举例
MPLS VPN 服务等级协定(SLA)监视和报告
IP VPN Solution Center 能启动 Cisco 路由器进行 SLA 测试,可以监视 SLA 的
环回延迟、可用性以及流量等参数,同时可以设置相应的参数门限,当某参
数超过门限值时,能提供违反协定的报告,详见“服务等级协议(SLA)的监视
和报告”一节。
e) (5)VPN 的计费
当需要对 MPLS VPN 进行计费时,需要在 PE 路由器中激活 NetFlow 功
能,以提供计费统计信息数据。同时 IPVPN Solution Center 提供标准的
应用编程接口(API),以支持 Portal 计费系统,IP VPN Solution Center 负
责把 NetFlow 送上来的计费数据,提交给 Portal 计费系统进行计费,如
图 D 所示,NetFlow 提交的计费数据主要包括:
业务量使用信息(发送/接收的分组数,发送接收的字节数)
流的时间标签(起始时间标签/结束时间标签)
思科系统(中国)网络技术有限公司,12/27/22 第 38 页
路由器接口信息(输出接口号/输入接口号)
QoS 信息(TOS、TCP 标识、协议标识)
源端/目的端自治系统号
IP VPN Solution Center 利用 NetFlow 可以获得关于每个 VPN 以及每个 VPN
中每个业务级别(COS)等级的业务量信息,它通过这些业务量信息形成 VPN
业务量矩阵(VTM), Portal 计费系统通过 DTM 数据管理器(DM)API 来读取
VTM 数据。VTM 数据如下所示,
源和目的端数据
IP 地址
PE
VRF
Interface 索引
Interface 名称
应用名称
发送的 IP 分组数
返回的 IP 分组数
发送的字节数
返回的字节数
流计数
起始时间
结束时间
激活时间
思科系统(中国)网络技术有限公司,12/27/22 第 39 页
f) (6)网络性能监视
当需要对 MPLS VPN 进行性能监视时,需要在 PE 路由器中激活 NetFlow 功
能,以提供性能统计信息数据。同时 IP VPN Solution Center 提供标准的应用
编程接口(API),以支持 Concord 网络诊断系统,IP VPN Solution Center 负责
把 NetFlow 送上来的性能数据,提交给 Concord 网络诊断系统进行网络性能
的监控,如图 17 所示。
图 17 VPN 的计费和性能监视
g) (7)VPN 的故障监视
在运营商的网络中需要进行 VPN 的故障管理功能时,可以使用 CSM 中的
Info Center 网管系统来进行,Info Center 能够从第二层和第三层中收集故障
信息,Info Center 使用标准的 API 来询问 IP VPN Solution Center 的数据库,
以确定当发生网络故障时,哪些 VPN 会受到影响。
同时 Info Center 还能完成用户网络管理功能以及 VPN 划分功能。
思科系统(中国)网络技术有限公司,12/27/22 第 40 页
服服务务级级别别协协定定((SSLLAA))的的监监测测与与报报告告
运营商向集团用户提供服务时,通常集团用户会对其业务有自己的要求,例
如网络的延迟、网络的可用性等,因此运营商在向集团用户提供服务之前,
通常需要签订关于服务质量的合同,称为服务级别协定(SLA)。
在运营商向用户提供服务的过程中,用户和运营商运营人员都期望了解,由
运营商向用户提供的服务是否达到了 SLA 的要求,因此运营商的网络管理系
统必须能够进行 SLA 的监视和检查,并提供 SLA 监视报告。
CSM 中的 IP VPN Solution Center 能够对所配置开放的各种业务进行 SLA 监
视和检测,并提供 SLA 监视报告,同时还提供开放的 API,以支持第三方的
增值应用。
CSM IP VPN Solution Center 支持 SLA 测试参数如下所述,Cisco 将根据运营
商的要求,逐渐扩展 SLA 参数的范围:
连接性(可用性) ---- 业务处于正常状态的时间占总时间的比例;
激活期间 ---- 一天中进行 SLA 监视的时间;
延迟 (抖动) ---- VPN 内各种业务的环回时间(抖动),可以设置相应的门限值;
吞吐量 ----- 用户发送到网络中的业务量;
其它性能参数,如分组丢失率等。
CSM IP VPN Solution Center 利用 Cisco IOS 中的 RTR MIB (环回时间报告
器),对网络的 SLA 进行 24× 7 小时的监视,获得并存储 SLA 参数报告。RTR
是内置于 Cisco IOS 中的一个功能,它的代理部分置于 Cisco 的路由器中,
而它的服务器部分置于 IP VPN Solution Center 中,如图 18 所示。
思科系统(中国)网络技术有限公司,12/27/22 第 41 页
图 18 IP VPN Solution Center 利用 RTR 进行 SLA 监视
使用 RTR 来进行 SLA 监视所需完成的工作如下所述:
在 RTR MIB 中标识相关的路由器;
配置路由器中的 RTR MIB,所需监视的业务定义探测器;
IP VPN Solution Center 从 RTR MIB 中周期性地采集统计数据;
IP VPN Solution Center 把采集的数据放到相应的数据库中,并提供对于这些
数据访问的接口;
产生 SLA 性能报告;
定义并实现 SLA API,以支持第三方应用。
思科系统(中国)网络技术有限公司,12/27/22 第 42 页
RTR 可以对每个 VPN 的 SLA 进行监视,同时还能对每个 VPN 中的每中业务
级别(COS)进行监视。
可以配置 RTR MIB,以监视两个端点之间的连接性(可用性),RTR MIB 中的
每一个配置定义被称为一个探测器。一个探测器可以用于测试延迟参数,如
环回时间(RTT),同时还可测试各种协议的参数,如 ICMP echo,UDP echo,
TCP 连接,DNS,DHCP,HTML 以及话音抖动等。
使用 RTR 可以观察到连接性、延迟和超过门限设定的比例等参数,而吞吐量
参数可以从 NetFlow 中获得,这些数据存储在 IP VPN Solution Center 的数据
库中,并提供 API 接口,以提供 SLA 监测报告,同时支持第三方应用。
RTR 的功能非常类似于 ICMP 功能,但与 ICMP 不同的是,为了验证实际运
营商的网络服务是否达到与用户所签订的 SLA 的要求,RTR 需要模拟实际网
络中的典型 IP 业务流或用户发送的典型 IP 业务流,因此 RTR 代理需要发送
基于 TCP、UDP 以及 ICMP 分组上的业务流,以监视/测试在各种情况下的
SLA 参数,如图 19 所示。
图 19 RTR 模拟实际网络中的 IP 业务流
思科系统(中国)网络技术有限公司,12/27/22 第 43 页
RTR 发送基于 TCP 的分组
当 RTR 发送基于 TCP 的分组时,它测试 TCP 连接建立时间。RTR 发送的
基于 TCP 的分组包括 HTTP 分组、DLSW 分组。这时 RTR 可以配置 TCP 的
端口号,测 TCP 会话的可用性,并且可以建立 HTTP、DLSW 探测器。
RTR 发送 HTTP 分组时,可以监视/测试当完成一次 Web 查询时,需要花费
多少时间,这些时间包括从对 Web 请求的名字解析,到下载文件并呈现在用
户计算机上所经历的时间。
RTR 发送 DLSW 时,可以监视/测试使用 TCP 进行封装的业务流的环回相应
时间。
RTR 发送基于 UDP 的分组
当 RTR 发送基于 T CP 的分组时,它测试 UDP 的响应时间、抖动、分组丢失
等。RTR 可以配置 UDP 端口号,配置 UDP 分组长度,并且可以模拟 VOIP
分组。
RTR 测试每个方向的延迟抖动时,即测试 UDP 分组之间的延迟变化,并
检查是否违反了 SLA 合同。
RTR 测试每个方向的分组丢失时,能够统计 UDP 分组的丢失数量。
RTR 发送 DNS/DHCP 分组,监视/测试域名解析、动态主机自动配置功能
的响应时间。
RTR 发送基于 ICMP 的分组
RTR 发送基于 ICMP 的分组时,测试路由器每一跳的通道回声响应时间,这
样使 RTR 可以监视/测绘下列 SLA 参数:
核心网络中丢失的分组比率;
端到端延迟(CE 路由器到 CE 路由器之间的延迟);
POP 点到 POP 点之间延迟(PE 路由器到 PE 路由器之间的延迟);
思科系统(中国)网络技术有限公司,12/27/22 第 44 页
接入延迟(CE 路由器到 PE 路由器之间的延迟);
延迟抖动;
接口的吞吐量(与 NetFlow 一起使用)。
RTR 能够识别 IP 信头上的 TOS 字段,从而对每个业务级别(COS)进行 SLA
测试,从而检验运营商与用户之间所签订的 SLA 是否达到。
当运营商与用户签订了 SLA 协定以后,用户和运营商都希望看到网络实际提
供业务时,网络实际提供的服务水平,即希望看到 SLA 报告,因此,运营商
必须考虑怎么样来监视(测试)实际的 SLA。
用户从运营商购买 VPN 业务,用户的 CE 路由器可能不具备 RTR 的功能(或
者具有 RTR 功能但运营商不能访问用户的 CE 路由器),这种情况我们称为是
由用户管理的 CE 路由器;用户的 CE 路由器也可能具备 RTR 功能并且运营
商的网管人员可以访问用户的 CE 路由器,这种情况我们称为由运营商管理
的 CE 路由器。
在运营商管理 CE 路由器的情况下,SLA 的测试比较简单。运营商的网络管
理人员只需激活 CE 路由器上的 RTR 代理功能,并且穿过核心网络向同一个
VPN 中的其它 CE 路由器发送 RTR 分组,RTR 采集器将收集相应的测试参
数,从而获得相应的 SLA 参数。
在用户管理 CE 路由器的情况下,运营商的网络管理人员不能访问用户的 CE
路由器,这时运营商需要在用户 CE 接入的地方,连接一台具有 RTR 功能的
路由器,以模仿用户的 CE,这个路由器称为影子路由器(Shadow Router)。运
营商网络管理人员激活影子路由器上的 RTR 代理功能,并且穿过核心网络向
同一个 VPN 中的其它 CE 路由器发送 RTR RTR 采集器将收集相应的测试参
数,从而获得相应的 SLA 参数。
RTR 代理按一定的间隔(如一个小时)采集 SLA 数据,RTR 采集器 也按一定
的间隔(如一个小时)从各个 RTR 代理上采集相应数据。
思科系统(中国)网络技术有限公司,12/27/22 第 45 页
图 20 运营商管理的 CE 路由器情况下的 SLA 监视
图 21 用户管理的 CE 路由器情况下的 SLA 监视
思科系统(中国)网络技术有限公司,12/27/22 第 46 页
SLA 监测报告根据所采集的 RTR 数据而得到,采集 RTR 数据期间为 24 x 7
小时。SLA 监测报告中除了说明 SLA 性能参数以外,还说明所监视的业务、
用户名称、地点和运营商的名称。SLA 监测报告采用 SDF 格式,可以使用各
种 SDF 显示模块,并支持基于 Web 的格式。可以长期存储 SLA 监测报告,
以供后期分析和查询。
思科系统(中国)网络技术有限公司,12/27/22 第 47 页
网络扩展性网络扩展性
(请根据以下几个方面具体叙述在特定方案中的网络扩展性)
网络设计的扩展能力
网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干
带宽的扩展,以及网络规模的扩展能力。
交换容量扩展
CISCO GSR 12000 系列路由器的交换容量具备在现有基础上继续扩充 4~8
倍容量的能力,以适应 IP 类业务急速膨胀的现实。
端口密度扩展
CISCO IP 骨干设备(GSR 12000、7500 等系列路由器)的端口密度应能满足网
络扩容时设备间互联的需要。
主干带宽扩展
CISCO DPT 技术满足主干带宽具备 4~8 倍甚至更高的带宽扩展能力,以适应
IP 类业务急速膨胀的现实。
网络规模扩展
CISCO 的网络体系、路由协议的规划和设备的 CPU 路由处理能力,和 IP 承
载技术(DPT)能完全满足网络节点规模的要求。
思科系统(中国)网络技术有限公司,12/27/22 第 48 页
第第22章章 业务的实现业务的实现
业务的开展与分类业务的开展与分类
商业用户应用商业用户应用
虚虚拟拟拨拨号号专专用用网网络络((VVPPDDNN))
许多企业正在使用或计划使用 Internet 将远程办公室移动用户和合作伙伴与
企业相连。由于网络管理人员需要在全球各地提供廉价连接,这一领域预计
在今后几年内将会蓬勃发展。企业的远程访问安全政策可以通过 Internet 扩展,
由 CiscoSecure 在企业中控制。远程工作用户或移动用户拨号进入本地的基
于 Cisco 网络的 Internet 服务供应商(ISP)并通过安全的 VPDN 连接与企业总
部相连。ISP 使用 Cisco 的全球漫游服务器(GRS)将登录 Id 和口令与企业
CiscoSecure 控制台配合。VPDN 方案和 CiscoIOS 防火墙产品共用,可在
Internet 上对公司网络进行安全远程访问。在这里,企业的公司路由器使用
RADIUS 或 TACACS+协议来请求 CiscoSecure 确认进行远程连接的员工的
用户、口令或令牌卡。在用户身份确认后,CiscoSecure 将用户的确认权限通
知企业的网关路由器,再由路由器告知 ISP 的通用访问服务器呼叫已被接受,
并向远程用户分配一个地址。接下来用户就可以通过 Internet 的加密信息道访
问他权限范围内的企业资源。IETF 第2层隧道协议(L2TP)标准支持加密信道。
Cisoc 公司支持基于 L2F 和基于标准的 L2TP 协议的 VPDN 技术。VPDN 组
网方式是通过位于网络 POP 侧的接入服务器和用户所属的企业的内部网络
的网关,在二者之间,利用 L2F 和 L2TP 协议建立一条位于数据链路层的透
明通道,为用户提供利用 PPP 协议访问 Internet 的组网方案。
从组建 VPDN 网络的各种应用策略来看,主要的差别来自于 VPDN 网络对用
户身份验证、授权实现的方式。从用户身份验证的位置,可以分为 POP 侧本
地用户授权、POP 侧远程用户授权、用户网关本地用户验证和用户网关远程
用户验证四种方式。
所谓用户身份验证与授权,是指用户在最终被允许访问所属企业内部网络之
前,网络对用户身份进行验证,对其能够访问的资源进行授权。由于接入服
思科系统(中国)网络技术有限公司,12/27/22 第 49 页
务器完全只根据用户名来决定是否为该用户提供 VPDN 服务,对用户口令并
不进行处理,因此,在接入服务器侧对用户只进行授权操作,即确定是否对
该用户提供 VPDN 服务。在公司或企业的安全政策允许的前提下,当用户名
采用结构化层次编制时,如 username@,接入服务器的授
权操作可以只作用于用户名的域名部分,即只处理 ,这样
可以减小授权数据库的大小。如果接入服务器发现该 为合
法注册的 VPDN 名称,则启动相应的 VPDN 服务;如果不是 VPDN 用户,
则按照普通的拨号用户进行处理。因此,在组建 VPDN 时,可以在原有的提
供一般拨号服务的网络中进行,即采用一套物理设备,同时支持 VPDN 业务
和一般拨号网络服务。在 POP 侧接入服务器处进行的用户授权操作,存在两
种可能的配置方式。第一种用户授权是在接入服务器本地进行的,如利用
Cisco 接入服务器的本地授权数据库进行授权操作,这种方式较适用于网络中
接入服务器较少的配置;第二种用户授权是在接入服务器侧利用远程安全系
统,如在 Radius 和 TACAS+服务器进行的,这种方式适用于网络规模大、接
入服务器数量多、网络覆盖面广的组网方案,便于 Radius 授权数据库的集中
管理与维护。如何选择这两种方式,完全取决于网络的规模,以及组网灵活
性。VPDN 业务是在 CISCO 公司领导下在 Internet 领域中出现的新业务。
CISCO 公司领导创立的 L2TP 协议已成为 Internet 中 VPDN 业务的标准协
议。在任何一个 CISCO IOS 平台上都可以实现基于 L2TP 的 VPDN 业务,
而且不依赖任何第三方软硬件平台如 WINDOWS NT 服务器 。
虚虚拟拟专专用用网网络络((VVPPNN))
虚虚拟拟专专用用网网络络 VVPPNN 的的需需求求
VPN,即虚拟专用网络,是指在公用网络平台上构筑不受地域限制而受企业
统一策略控制和管理的企业网络。它与普通企业网不同的是,其基础平台采
用公用数据网,与其他用户共享网络资源而不是独占资源。它与普通互联网
不同的是它受企业统一策略的网络管理,而不仅仅由网络服务商管理。在下
图所示的 VPN 示意图中可以看出,VPN 所赖以运行的公网平台可以包括各
思科系统(中国)网络技术有限公司,12/27/22 第 50 页
种实际的网络,例如 IP 网、帧中继网、ATM 网,也可以就是因特网
(Internet),因而也表明其网络的范围可以包括多个服务商。从地理范围上看,
VPN 可以延伸到所有互联网的服务商所覆盖的范围。从用户接入方式看,
VPN 可以包括服务商所提供的所有接入方式,如专线接入、拨号接入、无线
连接等。
正是由于这样一个“虚拟”的概念,借助已经广泛稳定运行且成本相对低廉的
公众服务网络,企业网可以变得容易实施且费用低、易管理。这表现在几个
方面:
首先,VPN 可以享受公网的所有服务范围和接入方式,这使得企业网在实施、
扩展等方面都变得十分容易。
其次,公网由于其规模经营及资源共享,成本低,可以为企业节省大量资金。
第三,最重要的是,公网的充裕而经验丰富的网络技术人员在企业网设计、
实施、维护、管理方面都可以为企业提供切实的帮助。不仅如此,网络厂商
如 Cisco 公司等也在 VPN 技术方面投入了大量的研究开发力量,也为用户提
供了强大的后援。例如 Cisco 的 IOS 网际操作系统所提供的端到端解决方案
(End-to-End Solution)就为用户 VPN 需求构筑了坚实的基础。
VVPPNN 的的技技术术要要求求
在讨论 VPN 的技术实现方法之前,先讨论 VPN 的技术要求,以便可以对不
同的实现技术有更深刻的理解和在不同应用环境下有客观的评价。一个有效
的 VPN 必须满足以下基本要求:
a) a) 安全与保密性
安全性是 VPN 的最基本最重要的要求。不管采用什么样的技术,VPN 都必
须在资源共享的公众网上提供足够的保密性,以保证企业数据的安全。许多
企业暂时不采用 VPN 的关键原因是对安全性的担心,他们宁愿化更多的经费
建立物理上与其它网络隔离的企业网。因此,解决安全性问题,使企业用户
放心,可以大大促进 VPN 业务的开展。开辟数据隧道、提供数据加密、建立
专用连接、限制路由表分发等,都是安全性问题可能的解决方案。这些功能,
正是各种 VPN 技术的核心。
思科系统(中国)网络技术有限公司,12/27/22 第 51 页
b) b) 高度可管理性
一个 VPN 所连接的各个分支节点可能位于许多不同的地方,并可能跨越多个
网络甚至多种形式的网络。对于企业来说,VPN 应该是他们可以统一管理的
网络,在逻辑上是一个整体,而公网体系应该是对他们透明的。另一方面,
网络服务商对网络管理有一套既定的策略,而企业对网络管理也有与企业应
用相适应的政策。服务商如何在提供 VPN 业务时统一实现两方面的管理政策,
是 VPN 的技术关键之一。例如,VPN 的接入用户可以在 SP 的接入点被识别,
但其认证授权则通常应由企业内部的服务器完成。
c) c) 灵活的可扩展能力
随着业务的增长,VPN 可能连接的节点数已经到达成千上万,网络具备高度
的扩展性已成为必要。另一方面,企业的分支机构随时都可能有增加或减少,
VPN 必须有弹性适应企业规模变化的能力,并在需要是快速扩展节点,并灵
活提供不同的接入方式与新的业务类型。
d) d) 可预言的性能
许多公网提供的普通服务往往都不能保证服务质量(QoS),例如最典型的是因
特网,对网络可能的性能例如时延、掉包率等参数是无法预言的,网络拥塞
随时都可能发生。而对于企业用户来说,不可预言的网络性能是无法接受的,
象 Video conference、POS、帐务系统等实时应用,对网络的 QoS 有极高的要
求。通常,实现 QoS 保障的方法是由服务商与客户之间定义 SLA(服务级别
协议)。
VVPPNN 解解决决方方案案
为了满足上述需求,提供 VPN 业务的服务商所用的网络设备必须具备提供这
些技术的能力。事实上,由于网络技术的飞速发展,今天的许多网络设备已
经具备了这些能力。例如,Cisco 网络设备所具备的 IPSec 安全协议、L2TP
隧道技术、端到端的解决方案、CSM 服务管理程序、CiscoAssure 企业网络
管理系统、IP QoS 技术、MPLS 技术等,都为 VPN 业务的实现提供了许多可
选可行的方案。
思科系统(中国)网络技术有限公司,12/27/22 第 52 页
a) IP 安全技术
即 IPSec(IP Secure) 是一套基于 IP 层的安全协议标准,在 Cisco 路由器和 PIX
防火墙上都能够支持,但同时也要求客户端设备(CPE)支持 IPSec 协议。在这
种技术中,CPE 发送一个建立连接的请求,送出自己的公钥和识别码给相应
的支持 IPSec 的路由器或防火墙。路由器或防火墙收到该请求后,采用
ISAKMP(Internet Security Association Key Management Protocol) 算法交换双
方加 密的公钥。以后的数据将根据公钥加密体系加密后进行传送。这样,一
个保密的数据通道就建立起来了。MPLS 是一个非常理想的 VPN 解决方案,
下面会专门讨论。不过在小规模应用阶段,IPSec 也是一种很不错的解决方案。
多种解决方案也可以混合使用,以期提高安全性。目前,支持这两种 VPN 技
术的网络厂商不多。Cisco 提供对上述多种技术的同时支持,并且多数特性已
经包含在 IOS 软件中。不支持 VPN 技术的厂商可以采用第三方的防火墙设备
来提供 VPN 业务,不仅成本高、性能低、扩展性差,而且难于管理,难以提
供真正的 VPN 服务。
b) MPLS:VPN 标签技术
MPLS 的 VPN 技术是专门为 VPN 所设计的,及所谓 VPNAware 网络。在这
种技术中,采用 32 位长的 VPN 标识符嵌入到 IP 包中,形成一个 VPNIP 地
址。BGP(Border Gateway Protocol) 路由协议可以对 VPN-IP 地址进 行路由寻
址,但转发 数据 包则 要 求多协议标签 交换技术 MPLS (Multi-Protocal Label
Switching)。
BGP 在散发路由信息时保证有关 VPN IP 的路由信息只发布给处于该 VPN
内的路由器,从而在网络设备级保证了 VPN 的安全性。当然,进一步仍可由
高层协议或应用程序来提供附加的安全性。
关于 MPLS 的工作机制在这里不详细讨论。只需简单提及的是在在这种技术
中,网络设备分为边界标 签 路由器(LER)和标 签 交换路 由 器 (LSR)。MPLS
LER 负责维 护路由表或转发表(FIB,Forwarding Information Base),LSR 则
是 按 照 标 签 表而不是路由表来进行数据转发。Lable 表根据 VPNIP
路由信息事先建立,这不仅保证 MPLS 是 VPN Aware 的技术,而且保证其网
络有很高的性能和很高的扩展性。
思科系统(中国)网络技术有限公司,12/27/22 第 53 页
MPLS VPN 在规模化 VPN 应用中的优势:
安全性高
路由信息分发限制和 MD5 路由认证技术,使用户所依赖的公网成为可以信任
的网络。MPLS 还同时支持防火墙技术,及高层应用加密。
可管理性
由于其工作机理并不进行协议封装,用网管软件可以得到很好的管理。
可扩展性
BGP 和 MPLS 支持极好的网络扩展性。其他的 VPN 解决方案则由于对 CPU
的耗费很高,或者连接数太多,在扩展性方面存在不足。QoS 保障。MPLS
支持数据流的分类、流量控制、掉包控制、拥塞控制等,具备完全的保障 QoS
的能力。
网络中 MPLS VPN 的设计和实施考虑
i) 基本功能
MPLS VPN 的建设在 MPLS 网络的基础设施上,VPN 骨干网络由两部分 组
成:PE 路由器和 P 路由器。
PE routers 拥有并维护与其直接相连的 VPN 的路由信息。由于 PE 负责打
VPN 标签和 IGP 标签两层标签(详见 RFC2574 的规定),PE 必须是一个边缘
LSR。
PE routers 通过 MP-iBGP 协议(见 RFC2283 规定)交换 VPN 的路由信息,选用
MP-iBGP 作为路由协议的原因是 MPLS VPN 要求传送多种地址家族,并且还
要 传送 VPN 的属性。
PE 与 CE 之间采用普通的 IGP 协议, 如 RIPv2,OSPF,Static Route,也可
以采用 EBGP 协议,因而当采用 MPLS VPN 技术时,用户侧的原有路由协不
需要修改和重新配置。
思科系统(中国)网络技术有限公司,12/27/22 第 54 页
出于安全性的考虑,在 PE 与 CE 之间做适当的访问控制,CE 可以不均许从
PE 能够 Telnet 到 CE 路由器,即用户侧数据完全可由用户侧自己进行维护处
理;同时在位于局端的 PE 上,也不均许 CE Telnet 到 PE 上。
P router 是 LSR (MPLS 节点) P router 完全依据 MPLS 的包封(ENCAP)来作
出前传决定。由于 P router 完全不需要读取原始的数据包信息来作出前传决
定,P 不需要拥有 VPN 的路由信息。因此 P 只参与骨干 IGP 的路由。
ii) 实施规则
在 XYZ 数据网络中,所有的 MPLS 节点可以有一个和多个边缘 LSR.在 只有
路由器的节点处,路由器可以作为边缘 LSR;如果有 VPN 用户,该路由器
又可以被作为 PE。为 VPN 用户提供 Internet 连接,包括以下几种方式:
-PE router 上的接口定义为 Internet 网关,即 Internet 网关与 PE Router 共同
存 在一个设备上;
- 将 PE Router 接口与 Internet 网关连接,依据业务等级协议(SLA)采用 CAR
进行流量限制。
- 如果用户有由 XYZ 维护的防火墙,或者服务器放在 XYZ 一方,则通过以
太网交换机使用 PE 上的 FE 接口连接到 Internet 网关。
虚虚拟拟 IISSPP
所谓虚拟 ISP,其含义是指 XYZ 通过提供出租端口包括专线 端 口或拨号端
口,利用网络的承载服务,为 ISP 提供透明网络服务和虚拟的业务服务,即
该 ISP 利用 XYZ 所提供的拨号, 接入,线路,传送和 Hosting 等服务来建
立自己的服务中心,各 ISP 拥有自己的用户群,而各 ISP 之间是相对独立 的,
或可以通过策略控制可以进行信息互访。
虚拟 ISP 目前能够利用 XYZ 所提供的认证服务功能,大容量存储能 力, 丰
富的端口类型和资源,以及丰富的带宽资源来提供具有各自特色的网络服 务,
这些业务可包括 VPDN,Web Hosting,Email Hosting 等。
思科系统(中国)网络技术有限公司,12/27/22 第 55 页
虚虚拟拟专专用用拨拨号号网网络络((VVPPDDNN))
当采用 VPDN 时,通过直接租用 XYZ 的认证服务器或租用 XYZ 的端 口,
然后挂接自己的认证服务器 , 如 Radius 或 TACAS+,提供 VPDN 的认证
服务。或者通过租用 XYZ 的专线接口,通过各 ISP 自己的拨号服务器和认证
服务器直接提供认证服务;对于用户网关部分,同样可以靠租用 XYZ 的线路
端口,再由 ISP 租赁或连接到各 ISP 自己的用户的网关,提供 VPDN 服务等。
对于拨号部分,Cisco 的 AS5800 具有强大的功能和灵活的配置等。在任何
一台 AS5800/5300 上的每一个 E1 端口,不但支持正常的 E1/R2,E1/ESDN
PR2, 和 SST 方式,还可以作为 Channelized E1 端口提供专线业务。每个 E1
端口都可 以提供 30 个 64 K bps 的信道,或以 64K 为基础递增的信道带宽
(如 128k,256k 等)。在所有各个节点上的任何一台 AS5800/5300 上的每一个
E1 端口都可提供 专线接入服务。
VPDN 业务是在 CISCO 公司领导下在 Internet 领域中出现的新业务。CISCO
公司领导创立的 L2TP 协议已成为 Internet 中 VPDN 业务的标准协议。在任何
一个 CISCO IOS 平台上都可以实现基于 L2TP 的 VPDN 业务, 而且不依赖
任何第三 方软硬件平台如 WINDOWS NT 服务器。VPDN 业务尤其适用于
企业网用户,利用 VPDN 业务 XYZ 可以向所有的企业网用户提供全国范围
的接入服务。 CISCO 公司的 VPDN 服务可以支持企业用户使用不同接入号
方式来实现如用 户拨“193IBM”可以接入到 5800/5300 的任何一个端口上(可
与正常接入端口混 同)。IOS 会判别“193 IBM”这个 DNIS 来决定该用户与 IBM
公司建立 VPDN 连 接。 CISCO IOS 还可以支持用户在用户名后使用后缀的
方式来建立 VPDN,如用户 拨 123 接通后使用“guest@”来 login,
CISCO IOS 可识别 的域名,并与 的企业网建立 VPDN 连接,
由企业网自行对用户进行认证并 分配企业内部的 IP 地址。
a) a) 授权,认证与计费
AS5800 支持现有的认证、授权和计费的标准,如 TACACA+、RADIUS,有
与多种第三方认证、授权和计费互操作的实例。AS5800 可设置多个 RADIUS
思科系统(中国)网络技术有限公司,12/27/22 第 56 页
的优先级队列,保证认证系统的高可用性。计费数据可以通过认证服务器的
Accounting 功能获取的原始拨号统计数据作为 原始数据,通过建立计费中心
进行计费数据的后处理,获得最终用户计费数据,乃至用户帐单。
对于用户权限的管理,CISCO 提供了丰富而且强有力的支持。对于不同类型
的用户可以 在 Radius Server 在授权上给予不相同的连接方式,(如 Terminal
方式,PPP 方式等等),还可以通过指定不同的 IP Pool,用 IP 地址来限定用
户的访问权限,对于一般用户指定一个 default IP Pool 和通常的访问权限,对
特殊用户可以赋予不同的 IP Pool 与 AC 配合使用,可以限制信息站点,应用
类型及可以拨号入网的时间。另外 CISCO AS5800 还支持基于每个用户的
ACL。也就是说对于某一个特定用户,当他拨号入网后我们可以动态给他建
立针对该用户的 ACL,当该用户下网后,他的 ACL 自动取消,而且不影响
其它用户。
实现普通接入服务。CISCO IOS 可以支持同一个 E1 上普通电话的 Modem 接
入和 ISDN BRI 用 TA 接入,并可以实现多个 PPP 连接的 binding,在用户使
用 ISDN BRI 时实现 2B channel 的 mppp 连接,也可实现多个 BRI 的 mppp,
并且还可以实现 CISCO 专有的在不同的机箱之间(5300 和 5800 之间)的多机
箱 Multi-chassi Multi-link PPP 连接。同样在用户使用普通电话时,也可以实
现多个 modem 之间的 MPPP 连接。
b) b) 漫游服务
漫游服务是 ISP 业务中的非常重要的内容。CISCO 的 IOS 可以提供多种方式
来支持漫游业 务。方式一,可以要求用户在 login 时用后缀指明要去认证的
Radius Server,如 “guest@” ,CISCO 的 IOS 可以根据后缀
来判断用户指定的域名,并解释出 IP 地址,将认证请求送到用户所指定的
Radius Server 上。方式二,可以使用用户分类的方 式。也就是说当用户有漫
游需求时,将这些用户放入有漫游权的一类,在全网范围内设立大数据库和
Radius Server,对所有漫游用户进行集中认证。方式三,在各节点设立一各自
的 Radius Server,在 SuperPOP 上放置 CISCO 的 Globe Radius Server,Radius
Server 在本地不 能认证,将认证请求转向 Globe Radius Server, 由 Globe
思科系统(中国)网络技术有限公司,12/27/22 第 57 页
Radius Server 对 login 用户以后缀分 析, 然后将认证请求转发到相应的
Radius Server 上。
CISCO 公司对其网络产品提供了丰富的网管手段。在 XYZ 中以每个省或区
域中心为 节点配置一套基于 Windows NT 的 CISCO View 平台,在全国网管
中心配置一套基于 HP open-view 的 CISCO workes 2000,其中 CISCO works
2000 包含 CISCO View 的全部功能。CISCO 的网管平台可以支持 polling,trap
方 式,可以管理,监测各个设备从系统配置到各个端口状态, 对于服务器
可以实时监测到 Modem 的接续状态和主被叫号码及连接速度。
c) c) 虚拟主机服务
由于 XYZ 具有丰富的网络资源和存储资源,因而可以向 ISP 租赁主机的存储
空间和 处理能力,为 ISP 建立 Web 主机服务,Email 服务,DNS 服务等,为
ISP 提供虚拟主机服务。
传传送送网网络络服服务务
基基于于 MMPPLLSS 技技术术的的帧帧中中继继//AATTMM 传传送送业业务务
帧中继/ATM 业务目前是一种应用较为广泛的传送业务,如何在基于 MPLS
技术的基于 IP 的 网上透明传送传统的帧中继/ATM 业务,对于保护原有设备
投资,以及提供具有高可靠性和安全性的端到端虚拟专线服务是至关重要的。
Cisco 在基于 MPLS 的网上成功开发出透明传送帧中继/ATM 应用的技术,并
在 AT&T 的网上 获得成功的应用。在该应用中,位于网络边缘的帧中继/ATM
网络的 PVC 被映射到能够穿过 MPLS 网络的专门建立的动态通道上,帧中继
/ATM 的包被封装在 MPLS 的包中;在 MPLS 网络的出口,将帧中继/ATM
的包从 MPLS 包中提取出来,并按照指定的 DLCI/VCI 转发到相应的 PVC 上。
在此,通道可以动态地在两个边缘 LSR 之间建立,来完成帧中继/ATM 穿过
MPLS 网 络 的 服 务 , 一 个 单 独 的 LDP 实 例 被 用 于 建 立 边
缘 LSP 赖 以 存 在 的邻 接 关系;在网络边缘的 LSR 进行两级压栈操作,
即一级标签用于标识穿越 MPLS 网络核心,一级标签用于标识被传送的数据
思科系统(中国)网络技术有限公司,12/27/22 第 58 页
包应从哪个输出端口输出;在 MPLS 和帧中继/ATM 报文头之间插入 一个
FR/Label 或 ATM/Label 头,用于完成标识 FR-MPLS 或 ATM-MPLS 包 ,包
尺寸大小,失序保护等功能 。为了能够端到端地保证传统帧中继/ATM 业务
的网络特性,Cisco 采用 CAR 技术将 CIR 策略变量映射到帧中继的 DE 比特
位,将 DE 比特位映射到 MPLS 的 COS 比特位。在进行 ATM 传送服务时可
根据 AAL5 的 CLP 值将其设定到 IP 的 COS 级别,以实现传送服务。因而,
本网可以通过提供帧中继/ATM 虚拟专线服务,提供基于第二层的传送网络
服务。
运运营营商商之之运运营营商商((CCaarrrriieerr ooff CCaarrrriieerr)) 传传送送业业务务
Carrier’s Carrier (CSC) 服务是指 XYZ 通过向第三方 ISP 提供链路传送服
务,为其提供传送骨干线路。从业务提供形式上主要有传统的传送网络服务,
透明传送通道服务。
所谓传统的传送网络服务是指第三方 ISP 希望通过 XYZ 获得 Internet 路 由,
这时可采用 BGP 协议,在 XYZ 的内部路由器上运行 IBGP 协议,将 XYZ 设
计成 Transit Network 即可。
当采用透明传送通道服务时,是指不同地域的不连续的具有不同或相同 AS
的域希望跨过 XYZ 进行连接时,可以采用 MPLS VPN 技术, Cisco 可以做
到在不同 AS 之间跨 AS 建立 MPLS VPN。
当 ISP 能够支持 MPLS 技术时,可以做到端到端的 MPLS VPN;当 ISP 只支
持传统的 IP 路由技术,又需要利用 XYZ 提供的 CSC 服务提供传送服务 时,
可以利用 XYZ 的 MPLS VPN 提供透明传送线路服务。
思科系统(中国)网络技术有限公司,12/27/22 第 59 页
如如何何承承载载 VVooIIPP 业业务务
VoIP 业务是一种对业务的实时性,安全性和可靠性都有严格要求的特殊 业
务。为此,可以在基于 MPLS 技术的网上通过提供虚拟专线业务,即在各个
电话网关之间,电话网关与关守之间建立 MPLS TE 通道,根据不同的业务协
约,为不同的 TE 建立不同的 R3描述,确保各电话网关之间获得充分的带宽
资源和服务质量保证;除此之外, 也可以利用 MPLS VPN 技术将不同的
VoIP 运营商之间进行隔离,通过建立指定的电话网关进行互通。
由于 VoIP 技术对时延等服务质量有较高等级要求,而网络数据业务在 POP
点进行汇聚之后,在混合业务模型下如何在骨干网中保证指定业务的服务 等
级就变得更为重要。除了 Cisco 原有的 CAR,WFQ,WRED 等技术之外,
Cisco 又开发出 CBWFQ 和 MDRR 等技术进一步提供服务质量的保证。
思科系统(中国)网络技术有限公司,12/27/22 第 60 页
家庭用户应用家庭用户应用
利利用用数数据据网网传传输输视视频频业业务务
对对网网络络的的要要求求
对视频的传输要求不仅是传输或分配视频信号而且必须具有多媒体业务。所
谓的视频业务包括图象和其它应用如:音频,时间代码,图文电视,或其它
辅助数据。这一业务可以是模拟信号或数字信号。在大多数应用中此业务具
有实时性,受时延和抖动的影响。
针对不同的应用提供不同的传输链路:演播室之间的双向传输,分配网中从
主前端到各分前端的单向广播式传输,各分前端间的节目互换。
接入网将视音频信号从分前端送到最终用户(二级分配)。传输网提供如下链
路如混合,初级分配或馈线系统到发射机或卫星的上行链路。
地球站,卫星和二级 CATV 分前端作为接入网部分,传统的 CATV 前端作为
分中心,演播室之间通过传输网互连,并通过同一传输网将节目送入其它接
入网。
TV 业务接口主要指视频和音频。但除此之外越来越多的其它信息将会接入.
网络接口通常很好定义。SDH/PDH,ATM,IP 网相应的通信标准确保相应部
分的互通 在用户侧具有相应网络适配的电视或机顶盒接收相应的业务。
初级分配
针对模拟信号的初级分配有压缩和非压缩两种方式,在非压缩方式中,视音
频信号以 抽样量化形成 135M 信号流进行传输,其优点是信号质量
好但占用带宽太大,在压缩方式中 MPEG2 是一种很好的压缩技术以节省所
需的比特,根据分配网和混合网的要求 MPEG-2 提供 4:2:0 (-15M)和
4:2:2(15M-40M) 两种方式对不同的节目源进行压缩编码以适应不同的网络需
求同时提供相应的质量保证。
思科系统(中国)网络技术有限公司,12/27/22 第 61 页
视视频频应应用用分分类类
a) MPEG-2 传输应用
在近几年视频压缩方面 MPEG-2 已成为非常重要而成熟的技术。近几年越来
越多的公司生产 MPEG-2 IP 编解码器,在 IP 网络中传输可以通过优先级 的
设定和大带宽解决抖动的问题从而保证视音频质量。
编解码器(COD)压缩视频信号并适配到相应的 IP 流在 IP 网络中传输。本地
的 IP 设备还同时可用于非视频业务的传送。
从视频业务的传输结构可以看出电视节目由在传送和播出阶段分为两大部分,
模拟和数字部分。作为模拟和数字的接口还需要编码解码(CODEC)设备。
那么在数字传输视频节目时,关键在于 IP 骨干网在提供大的带宽同时如何提
供 QOS 保证,包括实时视频业务的带宽保证,时延,抖动控制以及在出现故
障时的快速收敛和恢复。Cisco IP 技术中的 QOS 保证机制,包括 IP 数据优
先级技术和往 MPLS 优先级的映射,在入端采用 WRED 智能丢包技术避免数
据突发造成拥塞,按优先级进行交换和输出的 WFQ 队列机制,和 MDRR,
RSVP 等带宽资源预留协议以保证视频端到端的 QOS 服务。此外,Cisco 基
于组播的 8 组队列机制对视频实际应用中普遍采用的广播数据的 QOS 提供
了有效的保证。RSVP 和 MPLS 标记交换中 RRR 技术都是在 IP 骨干网中建
立固定的优化路径直至业务更改或网络出现大的变化,因此在视频包传输过
程中时延和抖动都能得到有效控制。此外 CiscoPOS 技术在底层采用 SDH
帧结构进行传输的同步和维护信息监控,这也对视频包的同步和网络的可靠
性,快速收敛提供了很好的保证。按照 CiscoGSR12000 交换机的交换性能
和在交换中视频包遇到的最坏情况,即被 1500 字节数据包插入,在每个交换
机进行交换时,假设中继采用 时延可如下估算:
GSR 交换时延为 13us
1500byte 数据包造成的视频包时延+抖动为
1500x8/2500,000,000=
另外要考虑的是基于 MPEG-2 的 IPCODEC 在作编码和解码时所需的
思科系统(中国)网络技术有限公司,12/27/22 第 62 页
时延各为 300ms,因此 IP 骨干网所占有的时延很微小。此外 IP CODEC 的
缓冲和 RTP 时标作用对抖动作最后修补也非常有效,因此国内和国外目前都
有这样的应用。
b) 基于 的 IP/TV 系统
另一个非常有实际意义的视频应用是采用 协议传输使用非连接技术的
视频会议。 是 ITU 为基于包交换(IP)的实时多媒体通信和会议网络而制
定的标准。通过传统的标准的 ISDN 线提供电视会议较为昂贵,也会带来连
接的问题。由于需要指定的,专用设备,基于 ISDN 的电视会议受限于指定
的地点和会议室。基于网络的 电视会议将会是下一代的标准。
更经济,更灵活,应用更为广泛,只要有 LAN 连接的地方,就能使用
电视会议。 CiscoIP/VC 解决方案提供此种应用以扩展您的商机。
Cisco IP/VC, 基于 IP 网络的电视会议能提供您如下商业应用:
培训-技术更新和市场增长,使员工需要更多的培训以面对更为激烈 的竞争,
Cisco IP/VC 产品确保您能从桌面进行相关学习。
商业会议-更快,更有效地进行电视会议进行商业决策,避免地域带来的问题。
E-学习 - 在教育方面,更好的质量,更多的学员,更低的成本 。
沟通 - 使用 IP/VC 基于 IP 的电视会议使您的组织架构工作更为有效。
Kiosks-使用 24 小时的电视会议 Kiosks 在机场,银行,购务中心,客户能在
任何时间任何地点进行“面-对-面”的互动性商业业务。
客户服务- IP/VC 网络产品能帮助用户或现场工程师尽快解决故障。
人力支援-扩展全球经济,新地域,新的商机。人事部或猎头公司能 通过 IP/VC
电视会议考察员工素质。
远程医疗 - IP/VC 方案有助于提供远程医疗。
银行 - 银行能方便的使用 IP/VC 系统为个人提供不同地点的服务。
教育-大学使用 IP/VC 系统能使在各地的学生能同时上课增加生源 降低成本。
思科系统(中国)网络技术有限公司,12/27/22 第 63 页
视频点播 (VOD)
用户能创建一个个人 VOD 节目目录,根据个人定义的顺序进行播放。
思科系统(中国)网络技术有限公司,12/27/22 第 64 页
托管业务应用托管业务应用
数据中心是网络提供服务的核心,也是网络本身数据流量的发源地,大量 的
信息交换与处理都将集中在此进行处理。由于数据流量的集中,在网络设计
时,必须避免数据中心的网络链路成为整个网络提供服务的瓶颈,因而数据
中 心网络出入口的设计将成为设计的中心任务之一。除此之外,由于数据服
务提 供不中断要求的敏感性和严格性,要求数据中心的支撑网络必须提供充
分的可 靠性;同时由于数据处理的相关性,可以通过合理设计充分发挥网络
设备的效 率,采用负载分担的方式提供数据中心整体的处理能力。
思科系统(中国)网络技术有限公司,12/27/22 第 65 页
业务管理方案描述业务管理方案描述
PPPoE/APPPoE/A
11..功功能能概概述述::
PPPoE 全称是 PPP over Ethernet(基于局域网的点对点通讯协议),该协议是
为了满足越来越多的宽带上网设备( 如 xDSL ,无线,有线电缆,以太网接入
等等)和越来越快的网络之间的通讯而最新制定开发的标准,它基于两个广泛
接受的标准即:Ethernet 和 PPP 拨号协议。对于最终用户来说,不需要用户
了解比较深的局域网技术,只需要当作普通拨号上网就可以了,对于服务商
来说在现有局域网基础上不需要花费太大的精力来管理,比如无需设置用户
与 IP 地址的绑定等等。这就使得 PPPoE 在宽带接入服务中比其他协议具有
更大优势,因此逐渐成为宽带上网的最佳选择。PPPoE 的实质是以太网和拨
号网络之间的一个中继协议,它继承了以太网的快速和 PPP 拨号的简单,用
户验证,IP 地址分配等优势。具体协议标准请参见 RFC 2516 技术标准
PPPoE 的应用可以有多种形式:
1).PPPoE over Ethernet :
通过增加直接连接到实际的以太网端口的功能,扩展了 PPPoE 的特性,并提
供对服务供应商 DSL 的支持。该规范可允许多台共享同一个以太网接口的主
机,经由一台或多台 Bridging Modem 的设备,建立到多个目标的 PPP 会话。
对于一个桥接的以太网拓扑环境,该特性允许接入提供商基于 PPP 网络来维
护其用户接入会话,用户也乐于接受熟悉的拨号接入界面。
目前有如下产品支持该特性:( IOS (2)T )
• Cisco 3600 / Cisco 6400 / Cisco 7200、7500 / Cisco MC3810 / Cisco UBR 7200
2).PPPoE over ATM:
该特性允许网络上的主机通过一个简单的桥接网络去连接远程的接入服务器,
每台主机使用自己的 PPPoE 协议栈,用户面对的是熟悉的界面。可以做到基
思科系统(中国)网络技术有限公司,12/27/22 第 66 页
于每个用户而非每个场所的接入控制、计费和服务的类型控制。在一个 PPPoE
的连接建立之前,每个 PPP 会话必须学习远端设备的以太网地址,并建立一
个唯一的会话标识。
通过使用一个 PPPoE 客户端软件,一个 PPP 的会话可以由一个以太网连接
的客户端发起,并通过一个标准的 ADSL MODEM ,此会话以 RFC 1483 组
成以太网桥接帧,经过 ATM DSL 链路传输,并由 CO 端的 LEC(局域网仿
真客户端)设备终结,或终结于 ISP 的 POP 点处。终结设备可以是一个汇聚
服务器,比如 Cisco 6400 或一个路由器如 Cisco 7200 系列平台。
PPPoE 只运行在满足 RFC1483 规范的 ATM PVC 上
目前有如下产品支持该特性:( IOS (1)T )
• Cisco 3600 / Cisco 6400 NRP / Cisco 7200 / Cisco MC3810
3).PPPoE over IEEE VLANs
思科系统(中国)网络技术有限公司,12/27/22 第 67 页
该特性允许在支持 IEEE VLAN 封装的快速以太网和以太网端口上运
行 PPPoE 的功能,IEEE 封装被用于互联一台有 VLAN 功能的路由器
与另一台有 VLAN 能力的网络设备。
目前的限制:
1) .此特性可运行在使用 4e/8e AMDP2 的快速以太网和以太网适配器的
Cisco 7200 系列路由器上。
2).只支持 PPPoE dial-in 功能,不支持 PPPoE 的 dial-out (客户端) 功能
3).PPPoE 的终结和桥接不可同时工作在同一个 VLAN 中
目前有如下产品支持该特性:( IOS (5)T )
• Cisco 7200 / Cisco 7500
22..PPPPPPooEE 实实施施概概述述::
通常我们在设计城域网时,会按照主干核心层,汇聚层和接入层的层次结构
来考虑,从网络的层次结构来看,通常核心层与汇聚层为 L3 网络,接入层
为 L2 桥接网络,若我们用以太网技术作为宽带接入的手段, 并希望采用
PPPoE 技术作为服务提供商、接入服务商对客户接入的认证和控制,就需要
注意如下几点:
1) 因为 PPPoE 是不可被路由的,若服务商将 PPPoE 的终结设备置于核心层,
则 PPPoE 的客户端将无法使用(见下图一),要解决该问题,可以将核心与
汇聚层均运行在 L2,但网络的性能和网络的各种服务功能会受很大影响(见
下图二)。
思科系统(中国)网络技术有限公司,12/27/22 第 68 页
图一
图二
思科系统(中国)网络技术有限公司,12/27/22 第 69 页
2) 基于 1)中的考虑,我们建议将 PPPoE 的终结设备放到汇聚层,这样既
可以提供 PPPoE 的功能,又保持了网络的合理结构,可扩展性也教高(见图
三)。
图三
该方案的优点: 符合国际标准,可以与其它厂商产品互操作;用户的使用界
面没有大的改变
缺点:需要客户端 PPPoE 软件支持,缺乏足够的带宽用于组播应用,需配置多
个汇聚设备
33..PPPPPPooEE 设设计计的的附附加加考考虑虑::PPVVLLAANN
众所周知,Ethernet 是以广播方式在共享媒介中传递用户数据,因此,若服务
提供商采用 PPPoE 的方式,仿真 PPP 连接提供用户的验证和计费,但是
PPPoE 要求用户在同一个以太网广播域,因此两个或多个用户可以利用该网
络环境协商自己的 IP 地址进行通讯而绕过 PPPoE 的验证和计费服务器,从
而消耗了城域网的资源。
思科系统(中国)网络技术有限公司,12/27/22 第 70 页
要解决该问题,可以将每个以太网接入的客户放置于独立的 VLAN 中,这样
客户彼此之间是完全从 L2 层隔离的,只有通过服务和接入供应商才能获取网
络服务。但当接入的用户数量多时,如果为每一个需要隔离的用户都分配一
个 VLAN,则网络设备所能够支持的最大 VLAN(通常为 256 ~ 4096 个)
的数量就会不够用,同时 IP 地址网段的需求量也会非常大,因此,传统的做
法实现很困难甚至不能使用。因此 Cisco 也针对该问题,提出了 Private VLAN
技术,正好可以解决这些问题。
Private VLAN 能够提供端口之间的第二层的隔绝,同时又使这些端口具有标
准 VLAN 的特性。Private VLAN 可以把一个大的 IP 地址域划分成多个地址
组,各个地址组之间不能互访,既实现了安全隔离又省却了地址划分及重规
划的复杂,节约了 IP 地址。
在 Private VLAN 的概念中,交换机端口有三种类型:Promiscuous port,Isolated
port,Community port;它们分别对应不同的 VLAN 类型:Isolated port 属于
Secondary VLAN,Community port 属于 Additional Secondary VLAN,而代表
一个 Private VLAN 整体的是 Primary VLAN,前面两类 VLAN 需要和它绑定
在一起,同时它还包括 Promiscuous port。在 Secondary VLAN 中,Isolated port
只能和 Promiscuous port 通讯,彼此不能交换流量;在 Additional Secondary
VLAN 中,Community port 不仅可以和 Promiscuous port 通信,而且彼此也可
以交换流量。
目前 Cisco 的 Catalyst6x00 支持 Private VLAN 技术;Catalyst2900 和 3500 支
持 PVLAN Edge 功能,它是以一种简化的形式出现的,在这类交换机上可以
设定多个 Protect port,这些端口彼此不能联系,但是可以和其他没有设置成
Protect 状态的处于同一标准 VLAN 中的端口通信。这些特性将有助于我们优
化城域网中业务的实施。
PVLAN 的使用非常灵活,可以应用于各种环境中,并能和传统的 VLAN 结
合在一起使用。我们可以看 PVLAN 应用的一个例子:
在下图中,在 Catalyst2900 交换机上,可以将每一个用户接入的端口都设置
为 Protect port,杜绝彼此之间不通过路由层面的互访,同时每一个交换机至
思科系统(中国)网络技术有限公司,12/27/22 第 71 页
少留一个上连端口,并且不设置为 Protect 状态。在 Catalyst6509 上可以有两
种做法:第一种是每个 Catalyst2900 交换机下面的用户划到一个 VLAN 中,
不同 Catalyst2900 接到 Catalyst6509 上的端口属于不同的 VLAN,并为每一
个 VLAN 在 MSFC 的端口上分配可路由 IP 地址,作为该 VLAN 中用户的网
关;第二种则是在 Catalyst6509 上作 Private VLAN,每个 Catalyst2900 接到
Catalyst6509 上的端口都设到一个 Isolated VLAN,每个端口也都是 Isolated
port,而 MSFC 的端口则作为 Promiscuous port,这样使得所有宽带专线用户
都只能和 MSFC 端口通信,在该端口的 IP 地址(只需一个)就可以作为一
个 Catalyst 6509 下面所有宽带专线用户的网关。这样不仅大大减少宽带专线
用户所需的 VLAN 数目,而且可以为用户连续的分配 IP 地址,充分利用。
由以上情况的分析,可以看到,在网络业务的实施中使用 Private VLAN,主
要有以下几点益处:
可以减少需要配置、管理的 VLAN 数量;
部分的杜绝了用户不通过路由,私设地址的本地互访;
充分利用 IP 地址。
思科系统(中国)网络技术有限公司,12/27/22 第 72 页
WebWeb 界面注册界面注册//DHCPDHCP 增强的管理方式增强的管理方式
BBBBSSMM
概概述述
BBSM(Building Broadband Service Manager)是 Cisco 公司面向中小用户团
体如酒店、住宅小区、办公楼、飞机场等的宽带业务管理网关。它是一套基
于 Windows 2000 平台的软件管理系统,能提供即插即用的访问、用户认证、
用户定制、计费、等级化服务以及基于 web 方式的统计报告等功能。
利用 BBSM,服务供应商或业主可以通过基于用户注册以及强制登录页面更
好的管理和控制自己的网络用户,并且根据不同用户或团体的需要定制服务
类型,提供不同带宽的服务,提供网上广告和网上服务的商机。BBSM 还根
据用户类型的不同提供多种计费、付账方式, 并且还可以根据需要与现有的
计费系统配合使用。
BBBBSSMM 具具有有以以下下特特点点::
即插即用,用户端不需做任何配置,也不需要特殊的用户端软件,允许
用户端使用 DHCP 获得动态地址,如果用户配置了静态地址 ,BBSM 可以提
供地址转换功能。
基于每端口、每建筑单元、每用户定制策略
通过定制不同的登录主页,实施不同的策略,包括服务类型,级别,带
宽选择,计费认证方式等。
基于用户类型以及用户个性化要求定制网络入口主页
根据用户类型和个性化选择定制网络入口主页,提供特定服务,以及其
他企事业用户广告空间
基于多种计费和支付方式的登录认证。
支持信用卡、Radius、访问代码以及国际标准的 PMS 应用程序接口
可进行带宽管理和限制
思科系统(中国)网络技术有限公司,12/27/22 第 73 页
BBBBSSMM 的的典典型型应应用用
如下图所示:
宽带网出口通过 BBSM 服务器直接连接到服务商的网络。BBSM 服务器具有
50Mbps 的吞吐能力。
宽带接入网内部连接全部采用二层交换机,中心的 Cat3500 交换机的起以下
作用:(1)用来连接各类服务器,如:店 VOD(视频点播)服务器以及其
他业务管理服务器或终端设备。(2)汇聚 LRE 交换机。(3)提供高速的二
层交换。
使用 Cisco 公司最新产品 Catalyst2924 LRE 局域网交换机构建宽带接入网络
可以充分利用房间现有的电话线资源,以节省投资并加快部署速度。
由于 LRE 技术也是利用电话线的频分复用技术,所以在既要提供上网业务,
又要提供传统电话业务的情况下,LRE 交换机还必须配合 SPLITTER 设备用
来分辨话音和数据。
思科系统(中国)网络技术有限公司,12/27/22 第 74 页
用用户户上上网网控控制制
用户上网的控制是通过 BBSM 服务器管理和实现的。用户需要使用宽带上网
服务时,不需要对自己的数据设备(如:PC,便携式手提计算机)做任何的改
动,只需要将设备的网卡连接到 Cisco575LRE 的以太网接口,然后打开浏览
器,这时, BBSM 服务器自动诊听到用户有网络访问需求,通过 SNMP 确认
用户连接的端口位置,然后根据系统预先制定的策略(如:提供那种身份认
证方式、是否提供带宽的选择、使用那种付费方式以及是否提供一些免费的
网上服务等),将一个基于浏览器的登录页面送到客户的浏览器上,主页上
的内容可以根据系统制定的策略,提供带宽选择、付费确认、用户名和密码
的输入以及免费网上服务的链接等。如图为一个酒店的实例:
用用户户身身份份验验证证
使用 BBSM 服务器,可以提供基于交换机端口、访问代码以及基于用户名+
口令等的用户身份认证。BBSM 服务器可以根据系统管理者的经营策略针对
不同的用户,管理单元设置不同的身份验证方式,并结合不同的收费方式,
为用户提供不同的服务等级。
思科系统(中国)网络技术有限公司,12/27/22 第 75 页
a) 基于交换机端口
比如在酒店网络中,每端口对应一间客房,因此这种方式是以客房为“用户身
份”。用户在访问网络时,只需在登录页面选择带宽服务并确认付费,BBSM
就会放开对该端口的限制。
b) 基于访问代码
此种认证方式下,可以通过 BBSM 服务器创建临时的用户名和对应的访问代
码,这个用户名和访问代码可以根据需要设定为在一定时间段内有效,并且
可以和一定的带宽服务结合。
c) 基于用户名+口令的方式
该方式类似传统的拨号认证方式,完全基于用户输入的账号和密码。该认证
方式需要用户认证服务器(RADIUS)配合 BBSM 完成用户身份的确认以及
对应该用户的带宽服务。用户在访问网络时,在登录页面上输入用户名和密
码。BBSM 会将用户名和口令送到 RADIUS 上进行身份确认,并根据
RADIUS 的返回信息决定是否打开该端口的限制以及提供多大带宽的服务。
用用户户计计费费方方式式和和结结算算方方式式
BBSM 系统自身带有数据库,可以提供多种方式的计费:按时长计费、按天
收费、按时间段收费等。上述方式还可以分别和不同带宽服务结合起来,形
成不同的服务级别的不同收费标准等。
目前,BBSM 支持的国际通用 PMS 系统如:
•Protocol Technologies (Bell HOBIC)
•MSI (Bell HOBIC)
•Promus 21 (Bell HOBIC)
•Encore (Bell HOBIC)
•Logistics (Bell HOBIC)
•Fidelio
•XIOX
思科系统(中国)网络技术有限公司,12/27/22 第 76 页
•Hilton ,
BBSM 服务器可以和上述 PMS 服务器通过 RS232 接口互连,并将统计出的
用户上网费用传送到 PMS 系统中,由 PMS 系统结合用户的其他费用,提交
完整的账单供用户统一支付。
对于其他的 PMS,BBSM 可以提供 PMS API 接口,供酒店 PMS 开发商开发
相应的接口。除此之外,BBSM 系统还可以提供客人信用卡的网上结算方式。
SSSSGG
概概述述
Cisco 6400UAC 提供了业内最先进的宽带业务接入平台。它能够终结多种类
型的宽带接入用户的接入 PVC,PPP,L2TP 等,将用户流量进行汇聚到骨干
网络。同时,6400UAC 也是一个大容量的业务选择网关,它能够根据用户选
择的业务类型将用户流量转发到相应的业务提供点,这些业务包括 VPN 业务,
多媒体业务等。
6400UAC 是 Cisco 公司开发的专门作为统一宽带接入的多业务平台,到目前
为止已经在超过 250 个以上的电信用户部署,设备的性能和功能完全能够满
足电信用户的需要。
Cisco 6400UAC 融合 Cisco IOS 强大的路由处理功能,可支持 IRB、RBE、
MPLS_VPN 技术,它能够适应 IP、ATM 或者混杂网络环境,并全面支持
ISIS、OSPF、RIPv2、EIGRP、BGP 等路由协议,是适合宽带 IP 网业务接入
与管理的最理想产品。
Cisco6400 支持集中式和分布式业务管理,并且在每个业务接入点,支持各种
不同等业务模式:
·PPP 汇接业务,支持 PPP Over Ethernet、PPP Over ATM、DHCP;
·端到端的 ATM VCC 业务;
·PPP 隧道服务,支持 L2TP;
思科系统(中国)网络技术有限公司,12/27/22 第 77 页
·可提供 MPLS 建立等高扩展性、全分布的 IP_VPN,提供端到端 IP 业务,配
置与配置简单;
·支持标准的 RADIUS 认证、计费、授权;
·Cisco6400 的业务选择网关 SSG 为服务提供商提供了动态业务选择的能力,
用户可根据自己的需求进行业务点播,如视频会议、视频点播、网上购物、
网络游戏、IP 电话等。
基基于于 SSSSGG 的的 WWeebb 方方式式选选择择业业务务
Cisco 6400SSG 支持通过一种全新的方式来完成业务选择的功能,即通过
Web 页面和 6400SSG 完成对用户认证、计费和业务选择的全部功能。
在 Web 选择方式的 SSG 实现中包括一个 SSD 软件,它是一个扩展功能的
Web 服务器,能够允许用户访问一些特殊设计页面。
这种方式的业务选择的实现不需求用户安装客户端软件,唯一的要求是需要
一个 Web 浏览器。每次用户在通过认证之前,SSG 不允许用户流量通过,并
将用户重定向到一个 SSD 上的认证缺省页面。用户在认证 Web 页面中输入
认证信息(用户名和口令)后,SSD 将认证信息交给 6400SSG,SSG 将此信
息通过 Radius 协议转发给认证服务器进行认证。当认证通过后,Radius 能够
根据用户的业务脚本判断此用户能够访问的业务,并将业务信息发送给 SSD,
SSD 根据 Radius 发送的确认信息包向用户显示此用户能够访问的业务选择
页面。用户可以在业务选择页面选择想要访问的业务,SSG 根据选择的信息
建立到相应“业务源”的隧道,并将用户认证信息通过隧道发向业务源进行认
证。当认证通过后,SSG 可允许用户流量通过。SSG 通过 Radius 向认证服务
器发送计费信息。用户每次退出时需在页面上 Logout。
当此用户需要选择其它业务时,他只需要访问业务选择页面并再次选择另一
个业务即可。这种业务选择的方式使用户切换业务源非常方便灵活。用户在
进行多个网络连接时,无需“二次拨号”,无需“二次验证”一个用户可以通过
动态地址转换技术同时享受多项服务。
思科系统(中国)网络技术有限公司,12/27/22 第 78 页
SSG 方式将使得用户可以通过服务选择菜单轻松连接和断开各种网络服务。
从用户端的服务菜单中,用户可以看到所有针对他本人的所有网络业务,并
选择他所感兴趣的业务。此时的 SSG 并非真正建立了所有的服务连接,但是
它却允许用户作出相应得选择,并把用户的计费信息送往计费服务中心。当
用户真正选中某一项网络服务,用户可以进入,直到他退出该项服务,退出
CiscoSSG,或该项连接服务超时。
SSG 给运营商的宽带接入网络提供了一种全新的服务概念。通过 SSD 服务选
择菜单使得运营商可以向最终用户展示所有的服务,而最终用户也可以一目
了然地看到所有服务并作出决定。由于在用户认证之前只能访问 SSD 的页面
进行认证,因此宽带接入网络的 SSG 成为真正的网络“入口”,运营商可以通
过在业务选择页面编制丰富多彩的内容来吸引用户向用户提供更多的信息。
思科系统(中国)网络技术有限公司,12/27/22 第 79 页
控制通道和数据通道分离的管理方式控制通道和数据通道分离的管理方式
用用户户管管理理 –– UURRTT
在城域网中,由于用户的数量非常大,因此对用户的管理是一个非常重要而
繁琐的工作。在城域网中,对通过以太网接入的众多用户往往必须进行虚网
VLAN 的划分,隔离广播和保护用户的安全性。在目前经常采用的虚网划分
方式中,采用较多的是基于 MAC 地址、端口号、IP 子网来进行,但这几种
方式都各有其缺点,不够灵活。在城域网中,我们需要更灵活的方式如基于
策略和第七层--应用层信息来划分虚网。
Cisco URT(用户注册管理工具)是 Cisco 公司推出的基于策略和用户信息来
分配用户所属的虚网以及 IP 地址的软件。Cisco URT 根据用户登录 NT 或
NETWARE 的用户信息如用户名、所属的交换机端口或交换机名字由策略服
务器给对应的用户分配相应的 VLAN 号,并能通过 DHCP 给用户分配 IP 地
址。没有用户名或没有通过验证的用户则属于缺省的“Log on VLAN”。基于
用户名配置 VLAN 给 VLAN 的划分提供了更多的灵活选择,而无须通过传统
的 MAC 地址或 IP 子网来划分虚网。
和 Cisco 的网络管理软件 CiscoWorks 2000 结合,Cisco URT 还极大的减少了
交换机所需进行的手工配置,VLAN 的设置从 Cisco URT 自动下载到交换机
上。客户端的 IP 地址无需手工设定,而是可以通过 DHCP 服务器自动获取。
使用 Cisco URT,还可以增强网络的安全性,防止非法用户访问网络,因为
只有对应的用户才能属于访问相应的虚网。对于移动用户来说,Cisco URT
还提供了很灵活的解决方案,让他们无论在那里登录都能够属于同一个
VLAN 和工作组。
在城域网,尤其是小区的管理中,Cisco URT 能起到很好的作用。根据用户
登录的用户名,在 Cisco URT 上的策略配置,我们可以将不同类型的用户置
于不同的 VLAN 内(比如 PPPoE 用户、IP sec 用户),控制用户所能访问的
合法资源,防止非法用户访问网络。它还能够自动给小区的用户分配 IP 地址,
简化客户端地址的管理和交换机的设置。此外,在公共的机器上,可让不同
的用户在登录时属于不同的 VLAN,具有不同的访问权力。
思科系统(中国)网络技术有限公司,12/27/22 第 80 页
URT 可运行在一台 NT 的服务器上。一个 URT 最多可以处理五万个用户的服
务请求。并且我们可以采用多台冗余的 URT 服务器,提供很高的可靠性。在
用户数超过五万的情况下,我们可以采用分布式的方式,即一个或几个小区
共享一个 URT 服务器。
在即将推出的 URT 版本中,URT 的功能得到进一步扩展,将可以在为客
户设置对应 VLAN 和 IP 地址的同时,通过 AAA 服务器对用户进行认证与记
账,同时,客户无需事先登陆到 NT 或 Novell 域中,而只需在需要接入网络
时,打开浏览器,输入由服务供应商设定的 URL,就可以经由 URT 获得相
关的 IP 地址和对应的 VLAN,大大方便了客户的使用,也方便了服务供应商
的服务部署与用户管理。
880022..11xx::
的功能实现与 URT 的接入控制方面类似,它提供基于端口的网络接入
控制,相当于由接入层交换机的端口充当 AAA 认证的客户端,来实施客户
接入的安全认证记账等功能。 当前还处于草案阶段,最终版本预计于
2001 年 6 月出台。
Cisco 支持计划
Catalyst 6k: already beta, target CatOS (2)
Catalyst 4k: committed, target Q3CY01
Catalyst 3550/2950: Planned, target Q4CY01
Catalyst 35/29/19 (old): No Plan
ACS : Committed, target Q3CY01
URT vs
URT 和 的共同点是它们均在控制平面上对客户进行管理,不会对客户
的数据流进行干预,因此网络的总体性能不受影响,并且它们支持视频流组
播
思科系统(中国)网络技术有限公司,12/27/22 第 81 页
但它们目前还不是完整解决方案,要配合交换机和路由器上的 Netflow 功能
来进行流量的计费等,需要交换机和路由器上的控制功能实现策略控制等。
下面是 URT 与 的对比表:
URT
Switch Port Mode Dynamic Port Dot1x Port
Client Client module inc. NIC / OS support
Authen. before traffic
arrive
No Yes
IP address assign Dynamic only Dynamic or Static
Mechanism Change vlan Port authorization
Standard Cisco proprietary Draft
思科系统(中国)网络技术有限公司,12/27/22 第 82 页
业务发展策略业务发展策略 (*depends(*depends onon case/bycase/by SE)SE)
思科系统(中国)网络技术有限公司,12/27/22 第 83 页
第第33章章 业务计费业务计费(By(By Partners)Partners)
