211 数据网数据网网络架构及维护规范Word格式文档下载.docx
- 文档编号:6423661
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:110
- 大小:4.80MB
211 数据网数据网网络架构及维护规范Word格式文档下载.docx
《211 数据网数据网网络架构及维护规范Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《211 数据网数据网网络架构及维护规范Word格式文档下载.docx(110页珍藏版)》请在冰点文库上搜索。
8)CN2核心层:
指CN2网的核心节点及相关链路组成的网络层面,用于交换国际、国内互联互通以及省际流量。
核心层中的网络设备简称C设备。
9)CN2汇接层:
指CN2网汇接节点以及相关链路组成的网络层面,具备多个出省局向,用于汇接本省城域网流量但不转发省际流量。
汇接层中的网络设备简称D设备。
10)CN2接入层:
指CN2网接入节点以及相关链路组成的网络层面,具备多个出地市局向并接入本地城域网流量。
接入层中的网络设备简称A设备。
11)CN2业务接入层:
指CN2网业务接入节点、业务延伸交换机以及相关链路组成的网络层面,实现VPN业务接入及城域网VPN业务互联。
业务接入层中的路由器设备简称S设备、业务延伸交换机简称W设备。
12)P路由器:
指服务运营商(Provider)网络中的骨干路由器,P路由器设备只需具备基本MPLS转发能力,不用维护VPN信息。
CN2中C、D、A设备为P路由器设备。
13)PE路由器:
指运营商网络中的边缘(ProviderEdge)路由器,除具备基本MPLS转发外还需维护用户的VPN信息。
CN2中的S设备为PE路由器设备。
14)CN2国际出口层:
指CN2国际网络用来与CN2核心设备互联的网络层面,国际出口层设备IGR/I,InternationalGatewayRouter,简称I设备。
15)CN2国内/国际网络:
以C-I链路为界,京沪穗C设备这侧的CN2网络为国内网络,京沪穗I设备这侧的CN2网络为国际网络。
16)CN2GlobalRR设备:
CN2网用于BGP路由反射的设备,承载Internet路由,简称GRR设备。
17)CN2VPNRR设备:
CN2网用于MP-BGP路由反射的设备,承载MPLSVPN用户路由,简称VRR设备。
1.1.2CN2网络定位
CN2网络定位于承载高质量要求的政企客户业务和中国电信自营关键业务CN2主要承载的业务是政企MPLSVPN业务和差异化互联网业务,同时还承载了固网软交换NGN业务、2G/3G移动业务承载、IMS等自营关键业务,此外还为其它电信自营业务应用提供组网服务。
随着业务承载需求不断变化,CN2网络将不断适应三网融合、移动互联网、云计算、物联网等新型业务承载需求,持续优化网络结构、设备配置,提高网络运行效率,提升网络健壮性及多业务融合承载能力。
1.1.3CN2网络组织原则:
1)CN2网络覆盖全国31省(市、自治区)310多个城市,分为核心层、汇接层、接入层和业务接入层四个网络层级。
核心层由七大核心节点形成全网状连接,实现省际流量的高速转发;
汇接层由设置在各省的1-2个汇接节点组成,分别上联至少两个核心层节点、承载在至少3条不同的传输物理路由上,实现省内流量汇聚;
接入层节点覆盖大部分城市,采用双星双归结构上联至本省(或跨省)汇接节点、承载在至少3条不同的传输物理路由上;
业务接入层节点覆盖310多个城市,采用双星双归结构就近连接1-2个接入层节点。
原则上同一节点内核心层、汇接层、接入层设备合设,逐步采用大容量转发设备;
视业务情况业务接入层和接入层设备可以合设,逐步采用大容量VPN路由能力的多业务融合设备。
CN2各层级每个节点内设备至少部署在两个不同物理位置的局站。
2)CN2在七大核心与ChinaNet进行互联,疏导CN2与ChinaNet及国内其它运营商之间的互访流量;
CN2在京沪穗节点与联通宽带网进行互联,疏导CN2与联通宽带网之间的互访流量;
CN2接入层设备与当地城域骨干网出口设备互联,用于承载差异化互联网业务及电信自营业务;
CN2业务接入层设备与当地城域网ASBR-PE设备对接,实现MPLSVPN业务的跨域互联。
3)CN2网络采用IP/MPLS融合技术,VPN业务通过MPLS承载,其它业务通过NativeIP承载。
CN2全网设备及互联链路路由通过IGP承载,IGP采用ISIS快速路由收敛技术,全网IGP收敛时间达到1秒以内。
七大核心节点所有链路部署MPLSTEFRR,链路的快速保护倒换达到100毫秒以内。
CN2网络业务路由通过BGP承载,设置专用的GRR反射互联网路由、VRR反射MPLSVPN业务路由。
对于CN2承载的互联网流量应遵循CN2最远端保障原则。
ChinaNet作为CN2访问城域网的备份路径,但CN2不作为ChinaNet访问城域网的备份路径。
4)CN2全网链路以轻载为基础,网内中继链路带宽月平均日峰值利用率不超过50%。
全网部署DiffServQoS技术,网内中继电路采用6个QoS等级、对用户提供5个QoS等级,以满足端到端不同应用的业务质量要求。
5)CN2采用网络隐形设计方法,所有设备及链路路由对其它网络不可见,同时采用白名单方式严格控制进入CN2的互联网业务路由。
CN2接入层和业务接入层部署I-ACL阻止对CN2网络设备的攻击、部署uRPF等策略防范互联网业务攻击。
1.2CN2网络组织结构
图:
CN2国内网络示意图
CN2国内网络覆盖全国31省(市、自治区)310多个城市,分为核心层、汇接层、接入层和业务接入层四个网络层级。
汇接层由设置在各省的1-2个汇接节点组成,实现省内流量汇聚;
接入层节点覆盖大部分城市,实现来自业务接入层的VPN业务汇聚及来自城域网的差异化互联网业务和电信自营业务应用的接入;
业务接入层节点覆盖310多个城市,实现政企客户和自营MPLSVPN业务的接入。
每个网络层次的详细组成和网络结构详见规范细则。
1.3CN2网络路由组织策略
CN2网络所有路由器内部路由协议采用IS-IS,外部路由协议采用BGP。
IS-IS路由协议承载CN2路由器的内部互连端口、Loopback端口及缺省路由,其它路由都由BGP承载,包括直接连接CN2业务路由、其它互联网络通告过来的路由以及与其它网络互联的端口路由。
1.3.1ISIS路由组织
IGP采用IS-IS路由协议,目前全网运行在同一个Level2层面。
IS-IS以省/直辖市为单位划分Area,属于同一省/直辖市的所有路由器(含P与PE)划归同一Area。
国际部分类似,按国家/地区划分Area。
全网采用路由快速收敛技术提升路由收敛性能。
ISIS路由控制遵循如下原则:
1)节点内:
所有节点内(包括接入层节点内、汇接节点内、核心节点内)设备互访流量通过节点内互联链路,节点内互联链路Metric远小于(5倍以上)节点间互联链路Metric。
2)核心层:
正常情况下,国内流量通过核心节点设备穿透,而不是通过国际出口路由器设备穿透;
任何情况下,核心节点间流量不经过任何汇接节点。
3)汇接层:
正常情况下,同省两汇接(不同城市)节点间流量只通过其互联链路而不经过任何核心或边缘节点,如果两汇接地市间互联链路全部中断,则两汇接地市间的流量经过核心节点设备而不经过接入节点设备转发;
对于双备份,而不用另一汇接节点做备份。
4)接入层:
正常情况下,两接入局站间流量只通过其互联链路而不经过任何核心或边缘节点,如果两接入局站间互联链路全部中断,则其流量经过汇接或允许经业务接入层设备转发。
5)路由反射层:
任何情况下流量都不经过RR转发,RR-核心Metric远大于其它任何Metric。
6)特殊省份:
对广东地区的边缘节点,其到最近的核心节点广州应不经过汇接节点深圳。
正常情况下,凡连接了深圳的广东省内节点间互访及访问上海经深圳,其它流量经广州。
具体链路的Metric设置可以参考下表,实际运行维护中可根据需要做适当调整。
CN2路由控制参考拓扑参见下图:
1.3.2BGP路由组织
CN2的AS号为4809。
国内网络MP-IBGP采用一级RR结构,配置专用RR设备。
CN2与外部网络及自带AS号的客户之间原则上采用EBGP交换路由信息;
如果条件不具备,也可采用静态路由。
除CN2路由器的内部互连端口和Loopback端口由IS-IS承载外,其它路由都由BGP承载(包括连接其它网络的端口的路由以便于网络监视和故障排查)。
CN2路由策略主要通过BGP控制,充分利用Community属性标记路由来源信息,区分不同的城域网、IDC、客户和ISP等,实现路由策略。
CN2按照如下选路原则设计BGP路由策略:
1)城域网只有当访问CN2专有的应用与客户(包括直接接入CN2的互联网客户、IDC、ICP、城域网内差异化互联网客户等)时,才经CN2;
其它流量经ChinaNet。
2)ChinaNet作为CN2访问城域网的备份路径,但CN2不作为ChinaNet访问城域网的备份路径。
3)对于CN2定位承载的流量应尽量保持“CN2最远端保障原则”:
凡需经过CN2的流量,都尽可能在CN2内行进最长距离。
4)访问国外Internet可通过CN2的自身出口或经ChinaNet转发,具体选路按照缺省选路原则,不做干预。
初期Internet路由只下放到CN2核心节点层面,接入节点通过默认路由实现访问Internet。
5)在满足以上要求的前提下,保持CN2的路由尽量精简。
CN2各路由器最终形成的路由情况见下表:
1.4CN2网络QOS策略
1.4.1QoS部署原则
QoS部署原则:
CN2以链路轻载运行为基础,结合DiffServQoS等技术,实现网内的QoS保障。
为了满足各类业务的QoS需求,实现多业务融合承载、实现差异化服务,CN2中QoS的实施原则如下:
1)带宽保证:
各队列所配置的带宽需要要得到保证。
绝对优先队列优先使用带宽,优先保证其带宽,该队列最高带宽需进行限制。
2)带宽抢占:
各队列的空闲带宽可以被其它队列使用;
各队列按照优先级顺序(或原带宽分配比例)使用空闲带宽。
3)为高等级业务提供的网络性能指标总体上优于低等级的网络性能指标。
4)速率限制:
可以对出方向和入方向的业务流量分别进行限制。
CN2中DiffServ技术所采用的策略包括:
分类和标记、速率限制和流量整形、队列调度和丢包策略等。
根据不同业务的QoS要求,将DiffServQoS模型部署在CN2网络的不同路由器端口。
1.4.2QoS分类和标记
CN2均使用8个QoS标记,其中一个标记给网络控制信息使用,一个给中国电信自营关键业务使用,其余对外提供业务。
具体各QoS等级及分类标记对应关系如下表所示:
1.4.3流量调度策略
对于政企客户VPN业务等非电信自营业务,在业务路由器用户接入端口入方向根据用户购买的带宽实施流量量限速;
在业务路由器用户接入端口出方向实施层次化的QoS部署策略,根据用户购买的带宽进行流量整形,同时根据用户购买等级设置多个业务子队列,对用户的每项业务进行带宽Bandwidth分配及保证、实施WRED流量拥塞控制。
对于3G/NGN等自营关键业务,业务接入端口不做流量限制。
1.4.4调度与丢包
为满足多业务承载及未来业务发展的需要,CN2的Network端口必须支持至少8个输出队列。
根据表5-1中各QoS等级及分类标记对应关系,目前CN2已使用了6个队列,各业务占用队列情况如下:
●电信自营关键业务进入严格优先级PQ队列;
●网络控制信息进入轮循队列1;
●CN2钻石业务进入轮循队列2;
●CN2白金业务进入轮循队列3;
●CN2金、银、铜业务进入轮循队列4;
●差异化互联网业务进入轮循队列5。
为了避免关键业务“饿死”其它业务的情况发生,需要对关键业务等级进行限速,在CN2设备中继链路端口上对关键业务等级PQ队列Policing流量限速策略。
针对对金、银、铜和缺省等级业务,在CN2设备中继链路端口上不同队列差异化的WRED拥塞控制,不同等级的业务采用不同的WRED参数进行丢包,并按照“等级越低,越早丢包”的原则实施丢包策略,从而实现各业务等级服务质量的差异性。
1.4.5业务带宽分配
CN2上各类业务所占带宽在CN2的Network端口依据PQ+WFQ或WRR调度策略在输出队列实施调度。
对于进入严格优先级队列的中国电信自营关键业务(3G/软交换语音等),采取PQ调度方式优先保证其带宽,同时还需对进入该队列的业务流设置带宽限制。
CN2P-P/P-PE之间端口各队列的带宽分配比例参照下表。
1.5CN2网络MPLS及VPN部署
1.5.1MPLS部署策略
CN2全网部署MPLS,除GRR和VRR设备外,全网其它CN2路由器互联接口上开启MPLS和LDP功能。
MPLS部署策略如下:
(1)标签的发布和管理
所有路由器使用LDP协议分发MPLS标签,并统一配置为下游主动标签分发方式(DU)、有序标签控制方式(Ordered)、自由标签保留方式(Liberal)。
(2)LDP定时器设置
鉴于各类路由器LDP定时器的缺省设定值存在不同,为便于维护管理,要求对所有类型路由器的LDP定时器进行统一设定,包括LDPHello间隔及保持定时器、Keeaplive间隔及保持定时器等。
(3)LDP认证
鉴于网络边缘已经实施了安全措施,可以防范LDP伪造信息。
为了不影响LDP收敛的时间,所有的路由器不启用基于MD5的LDPpeer认证。
(4)LDPoverRSVP-TE
当LDP通过MPLSFRR域,使用LDPoverRSVPTE的方法来实现MPLS标签分发。
CN2FRR域包含CN27个核心城市节点路由器,这些路由器互联接口启用RSVP-TE分发标签,因此在这些路由器其它接口实施LDPoverRSVP-TE。
(5)标签分发策略
只对CN2业务路由器PE的Loopback1和Loopback2地址实施标签分发,不对PE的Loopback0地址、P路由器Loopback地址及所有网内互联端口地址实施标签分发。
鉴于PE路由器会同时兼作公网客户接入,为避免非VPN流量打上Label,同时将自营业务和政企VPN路由区分,在所有PE路由器上配置两个Loopback地址:
Loopback0和Loopback1、Loopback2。
这些路由器在PeerGlobalRR时,update-source用Loopback0;
在PeerVPNRR时,自营业务VPN路由的update-source用Loopback1,政企客户VPN路由的update-source用Loopback2。
配置CN2全网所有路由器(除RR外)只为PE的Loopback1和Loopback2地址分配Label。
(6)LDP与IGP同步
当网络拓扑发生改变或LDP会话发生故障时,为了减少LDP收敛对于VPN流量转发的影响,CN2全网需部署LDP与IGP同步机制。
1.5.2MPLSFRR部署
鉴于目前DWDM提供的10G波分链路不提供保护机制,为了满足更高级别的链路保护的要求,根据CN2的实际情况在7个核心节点之间部署基于TE的FRR。
FRR部署要求如下:
1)七个核心节点的30台路由器之间的互联接口启用RSVP-TE信令,包括节点内部互联接口以及节点之间的互联接口。
在广域网链路之外的接口上同时启用LDP信令。
2)根据实际的广域网物理链路配置两两节点之间的广域网链路保护,并配置显式备份隧道。
利用MPLSFRR提供节点节点间广域物理链路保护。
北京、上海、广州、武汉、南京、西安、成都7个核心节点节点之间共有10GPOS广域网链路66条,在堆栈方式下,需要配置66×
2=132条隧道(双向)作为主用,另外配置132条显式路径隧道用于保护。
3)外围区域的P、PE路由器采用LDP协议实现标签分发,外围LDP互通经由MPLSTE域,即实现LDPOverRSVP。
为了确保备份TE隧道途经的物理路径中原有流量和保护流量的QoS,仍然需要轻载来保证。
由于FRR保护链路只在很短的时间内有效,之后系统会分别进行IGP收敛和首端LSP重优化,故暂不考虑为FRR的保护链路提供预留带宽。
对于发生在核心MPLSTE域之外的链路或节点故障,故障恢复需要通过IGP收敛实现。
1.5.3MPLSVPN部署
CN2业务接入层节点直接覆盖到绝大多数城市,并在全网范围开启MPLS功能。
因此使用CN2作为MPLSVPN承载网,可以开展省内(城域网之间)、省间(全国范围)及运营商间(与国际、国内其它运营商合作)的MPLSVPN业务。
目前PE已覆盖国内大多数城市节点和香港、新加坡、伦敦、法兰克福、纽约、华盛顿、圣何塞、洛杉矶、西雅图、迈阿密、多伦多、孟买、德里、东京、越南15个海外节点,提供CN2域内和跨域三层MPLSVPN业务、CN2域内二层MPLSVPN业务,包括VLL和VPLS。
CN2PE可为用户业务提供5个QoS等级。
在北京、上海、广州3节点部署了跨运营商之间合作的国际业务路由器设备(ISR),作为VPN的边界路由器PE-ASBR,提供国际VPN网间互连业务。
MPLSVPNL3和L2的详细部署策略详见规范原文。
1.6CN2网络组播部署
针对中国电信IP网络特点,组播承载网络采用“CN2骨干+城域网”结构。
CN2骨干网络采用PIM-SM协议,通过MP-BGP和MSDP支持跨域组播。
骨干网络运行一个PIM-SM域,在广州、上海、北京、西安、南京、成都、武汉部署RP。
通过设置组播边界、分组过滤等对组播流量进行控制和管理。
城域网也必须提供组播支持,并具备组播管理、组播安全控制和组播QoS保障能力。
原则上,城域网采用PIM-SM协议,每个城域网至少部署两个RP,城域网的两个RP与CN2骨干RP用Loopback地址建立MSDPPeer关系,并设为一个MSDPmeshgroup。
城域网间组播流量通过CN2骨干网络承载。
组播部署总体架构如图所示。
1.6.1域内组播部署
选择核心路由器充当RP,在广州、上海、北京、南京、成都、西安、武汉共部署10台RP。
使用anycastRP方式实现冗余和负载分担。
10台RP都配置为互为MSDPPeer,并设为一个MSDPmeshgroup。
RP的Loopback2端口设置为相同的IP地址,为/32的主机地址,RP的优先级相同。
域内其它组播路由器通过静态配置RP地址列表,并根据单播路由协议形成到指定RP的共享树(RPF),找到第一个RP,如果该RP有故障,单播路由重新收敛,从而选择另外一个RP。
为了减轻RP组播复制的性能压力,同时解决组播源到组播接收者之间组播数据流必须经过RP所产生的迂回路由问题,RPT转到SPT阈值设置为0,last-hop路由器收到来自组播源的组播数据包就切换到最短路径树。
1.6.2域间组播部署
1、内部路由策略:
Ø
发送策略:
所有非RR路由器均发送所有组播RPF路由给GRR。
接收策略:
所有路由器均接收来自IBGPPeer的所有组播RPF路由。
2、外部路由策略(与城域网间)
原则上,城域网运行PIM-SM协议,每个城域网至少有两个RP并采用AnycastRP方式,通过MSDP实现跨城域网的组播。
CN2骨干中的两个RP与城域网的两个RP用Loopback0建立MSDPPeer关系。
1.6.3组播地址
根据组播业务所服务的不同对象,提供用于中国电信内部业务的组播组地址和Internet业务的组播组地址。
对于中国电信内部组播传送业务,可采用私有组播组地址239.0.0.0~239.1.255.255,对于GlobalPublicMulticast业务,依据CN2AS4809,采用233.18.201.0~233.18.201.255作为Internet组播地址。
1.7CN2网络安全策略
CN2网络安全策略包括数据平面、控制平面、管理平面等三个层面的安全策略。
数据平面的安全措施主要防止非法流量消耗正常网络带宽,保障正常的网络转发性能。
控制平面主要收集和处理网络的路由信息,为业务流量的转发提供正确路由,必须防御利用各种路由协议流对网络设备路由控制引擎实施拒绝服务攻击。
管理平面要防御未授权的设备访问,进而非法控制网络设备的配置和管理,并利用管理信息流实施拒绝服务攻击。
1.7.1数据平面安全策略
1.网络基础设施防护
为实现对路由器设备防护,在所有路由器上对外互联接口部署iACL,仅允许必要的源地址访问CN2设备,其它任何目的地址为CN2网络设备的流量,均予以拒绝,即可防范流量攻击、更可增强CN2组网设备的安全性,提升CN2网络基础设施的安全性。
2.垃圾流量过滤
在边缘路由器的外部接口上,如连接城域网、IDC互联接口以及与其它运营上互联接口对进入CN2区域的数据流量进行过滤,使用ACL技术阻止一些有害的流量进入CN2。
需要在外部接口上阻止垃圾流量的主要技术手段包括:
1)拒绝源、目的地址明显非法的数据包,如127.*.*.*
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 211 数据网数据网网络架构及维护规范 数据 网络 架构 维护 规范