Cisco宽带城域网

解决方案汇总

思科系统(中国)网络技术有限公司

2001-5-31

[Cisco Confidential 请注意保密]

119

120

132

136

137

144

151

154

155

156

161

165

171

186

196

203

206

第1章 概述

1.1 宽带网络发展现状及趋势

Internet的网络发展已使通信领域发生了巨大的变化。一方面传统的电信语音业务的发展势头减缓，业务种类单一；另一方面，随着网络应用的不断延伸，宽带数据业务迅猛发展，业务种类层出不穷，给各类电信运营商提供了巨大的机会。因此，数据业务的增长和发展仍将是竞争的焦点。

对电信运营商来讲，数据业务的网络基础是宽带网络结构。在国内，各类新型电信运营商都在纷纷建立自己的宽带网络基础设施以抢占宽带数据业务的市场，传统运营商也纷纷构建自己的宽带网络结构。特别是当前宽带信息网络建设已列为国家重点发展方向，宽带网络建设更是如火如荼。

带宽始终是宽带网络建设所关心的重点。一方面宽带接入的迅猛发展要求有高的网络主干带宽，另一方面，随着传输技术的不断演进，高带宽的价格越来越低，使开展宽带接入商业运营成为可能。目前，国内的电信运营商分别有着自己不同的网络基础设施的现状，有的运营商已经拥有自己的SDH和光纤网络，有的则通过租赁或新建自己的SDH或是光纤网络结构来构建宽带网络基础设施。这些运营商所建的宽带网络大多在 10GB 或更高的带宽以上。

从传输技术的发展来看，始终围绕着如何提高网络带宽的利用率和增加网络带宽的承载。光纤传输的技术的发展，使得构筑更高级别的宽带网络成为可能。POS、DPT、DWDM技术的发展为电信运营商的网络建设提供了多种类型的解决方案。特别是DPT和DWDM技术与IP技术的结合，使得宽带传输技术的发展和宽带网络应用有了紧密结合的接口。IP over Optical 和IP＋Optical的技术将会广泛应用在宽带网络的建设中。

1.2 宽带网络主要业务概述

宽带网络的业务主要是指数据业务。新型的数据业务和传统的业务有不同的特点，主要体现在如下方面：

1.2.1 新兴业务网络系统的定义

传统的电信运营商用有大量的基于TDM电路的网络，饱受诸般苦恼，如：64k窄带接入的限制、复杂的遗留下来的操作环境、漫长的电路提供周期和业务提供周期。许多新兴的运营商选择了IP网络系统来和传统运营商竞争。然而，要成功，新兴运营商在建立新的IP网络体系时必须明确以下几个目标：

· 服务质量

Internet的设计思想是“尽力而为”、“最小传输成本”，而且IP网络通常被认为不能提供可靠的有质量保证的服务。

但是，利用新的IP技术，运营商可以通过流量测量工具，流量工程设计和操作的处理来保证服务质量，并因此可以仔细的设计服务级别方案(SLA)。服务质量通常通过SLA来衡量，定义了差错率、延迟、平均修复周期和服务可用性等。

· 广泛的业务覆盖范围

在中国将市场开放给外国竞争者之前，国内的运营商还有一段时间来扩大他们的业务覆盖面。这样，在不同时期，多种接入技术会有选择性的被使用。

· 快速的业务生成能力

由于技术的发展或用户的需求将诱发大量的在IP网络基础上的新业务。因此，运营商需要一个简单、集成化的业务平台以快速生成业务。

1.2.2 新型业务的网络模型

这一部分将从功能体系的角度来描述业务网络系统。由于未来绝大部分的新业务和应用将基于IP技术，具备流量工程能力和QOS管理的MPLS技术将是用于构建业务平台的关键技术，以支持VPN业务和传统网络技术如：FR、ATM和SNA。新的网络系统将以IP/MPLS为基础，支持新兴的和传统的业务，并且提供强大的操作支持系统。

一旦DWDM体系一段一段地建立起来以适应带宽的需要，整个网络系统将与DWDM的传输段结合起来成为一个强健的可路由光网络，从而提供自恢复和吉比特光网络业务。

宽带网络的新型数据业务主要有以下内容：

1, 商业用户：VPN业务，高速上网业务，电子商务业务，电子教育业务等等。

2, 个人用户：高速上网业务，电子娱乐业务和电子教育业务等等。

1.3 思科在宽带网络方面的经验

众所周知，Cisco在IP建设方面有一些长处。其实Cisco在宽带网络建设方面也有自己的独到之处。Cisco倡导的DPT光纤传输技术很好地将IP和optical传输结合在一起，DPT目前已经成为业界标准。在DWDM传输技术方面，Cisco也有自己的建树，以Metro光传输系列产品可以为运营商带来端到端的IP＋optical的解决方案。

从宽带网络业务开展和业务管理角度来看，Cisco也可以为运营商提供一系列的网络计费和网络管理的解决方案，使得运营商能够实现端到端的业务解决方案。

Cisco公司在宽带网络的经验还体现在下列关键技术上面：

1.3.1 具有MPLS能力的IP网络系统

Cisco开发了许多具有MPLS能力的路由器以利用流量工程功能保证网络的效率和服务质量、提供QOS管理和第三层VPN业务。IP/MPLS网络成功的关键有赖于MBGP的可伸缩性，而这正是大型可伸缩的Internet交换路由信息的基本要素。80%的Internet网络是建立于Cisco的路由器上的；换句话说，Cisco是唯一能够将IP/MPLS网络做得最好的公司。

IP/MPLS是在中国市场下一轮的竞争中获胜的关键技术。Cisco 12000系列提供了最佳的电信级质量和可靠性，是构筑IP骨干网的基石。而提供大量中、低速接口的“中程”路由器可用作边缘设备。

1.3.2 增值业务平台

在未来，大部分的新业务会建立在IP网络之上。因此，Cisco在IOS内提供了许多基本的功能以实现新的IP业务的创建。CiscoIOS运行于众多的平台之上，比如路由器和接入设备等。除CiscoIOS功能外，还有另外一些业务节点功能提供进一步的业务支持。新的业务可分为：

· 基本的、传统的传输业务：CiscoIOS提供拨号接入的功能，VPDN，传统的传输业务：帧中继、AAL-5/ATM、SNA、租用线的替代业务等，这些都通过IP/MPLS网络实现。

· 智能的VOIP业务：CiscoIOS可以从提供基本的VOIP预付费业务和一步拨号业务开始。随着业务节点的增加，信令和呼叫控制的完善，许多现有PSTN业务、智能网和呼叫中心的功能都可以在IP的网络系统上实现。

· 新的增值业务：许多创造性的业务已经或正要被结合在一起，如信息的通用访问、Internet呼叫等待，多媒体呼叫中心等。

1.3.3 宽带接入技术

所有那些新兴的接入技术，如拨号、VPDN、电缆调制解调器、XDSL、MMDS、LMDS和GPRS，都是构成Cisco业务体系的重要部分。Cisco系统方案还包括客户端的多业务接入设备。“多业务”至少将包括语音和数据的处理。Cisco的一项专有的技术是用DPT来组建IP环。这样的环网既可用于接入又可用于骨干网，既可用于商户又可用于住户。IP环上设备提供的以太网接口又提供了经济实用的宽带接入。

1.4 技术方案建议概述

（根据整体网络方案进行总结）

第2章 网络现状与需求分析

2.1 用户网络结构现状

(请根据标书内容描述XYZ电信的网络现状)

2.2 项目需求分析

(请根据标书内容分析XYZ电信在本次项目中所要达到的目标和对网络建设的具体要求)

第3章 宽带城域网设计

3.1 网络设计总体原则

宽带IP城域网在总体上首先需满足先进性、普遍性、统一性、可扩充性、安全性及可管理性原则：

· 先进性：宽带IP网计划采用世界先进的太比特IP线速路由器交换机，能与ATM/SDH宽带传输交换平台充分互联，能够承载和交换各种信息并将其接入公众用户。

· 普遍性：宽带IP网必须考虑到用户的实际情况，以相应的可接受的价格向用户提供不同接入服务的方法。

· 统一性：宽带IP网必须遵循XYZ宽带IP网建设方案及规划，科学地统一建设。

· 可扩充性：宽带IP网必须随着需求的变化，充分留有扩充余地。

· 安全性及可管理性：建设XYZ宽带IP网，应注意保证整个系统的可管理性和整个系统的安全性、可靠性。

在满足上述一般网络设计要求的基础上，XYZ宽带IP网作为最新的营运级宽带IP网还需要满足营运级的可靠性、QoS、扩展性、网络互联、通信协议、网管与安全等方面的要求，下面分节详细描述。

3.1.1 可靠性和自愈能力

(请根据以下几个方面具体叙述在特定方案中的网络可靠性)

包括链路冗余、模块冗余、设备冗余、路由冗余等要求。

链路冗余

在主干连接(主干设备之间及其与汇接设备之间的连接)具备可靠的线路冗余方式。建议采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。主线路切换到备份线路的时间应小于50ms,以充分体现采用光纤技术的优越性。这种高速的网络自愈特性应可以保证不会引起IP路由的重新计算，不会引起业务的瞬间质量恶化，更不会引起业务的中断。

模块冗余

主要设备(主干设备和业务汇聚点的核心设备)的所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间小于3秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。

设备冗余

提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。切换时间小于3秒，以保证大部分IP应用不会出现超时错误。

路由冗余

网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中，网络连接发生变化时，路由表的收敛时间应小于30秒。

3.1.2 拥塞控制与服务质量保障

拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。

业务分类

网络设备应支持6~8种业务分类(COS)。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。

接入速率控制

接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。

队列机制

具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。

先期拥塞控制

当网络出现真正的拥塞时，瞬间大量的丢包会引起大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。

资源预留

对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS。

3.1.3 网络的扩展能力

网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。

交换容量扩展

交换容量应具备在现有基础上继续扩充4~8倍容量的能力，以适应IP类业务急速膨胀的现实。

端口密度扩展

设备的端口密度应能满足网络扩容时设备间互联的需要。

主干带宽扩展

主干带宽应具备4~8倍甚至更高的带宽扩展能力，以适应IP类业务急速膨胀的现实。

网络规模扩展

网络体系、路由协议的规划和设备的CPU路由处理能力，应能满足本网络超过100个节点规模的要求。

3.1.4 与其他网络的互联

(请根据以下几个方面具体叙述在特定方案中的网络互联性)

· 保证与INTERNET国内国际出口的无缝连接。

· 保证与现有ATM/SDH网络的无缝互联。

· 保证与各ISP网络和大型企业网的无缝互联。

3.1.5 通信协议的支持

以支持TCP/IP协议为主，兼支持IPX、DECNET、APPLE-TALK等协议。设备商应提供服务营运级别的网络通信软件和网际操作系统。

支持RIP、RIPv2、OSPF、IGRP、IS-IS等多种国际标准的路由协议。根据本网规模的需求，必须支持OSPF和IS-IS路由协议。然而，由于OSPF协议非常耗费CPU和内存，而本网络十分庞大复杂(200个业务节点，每节点包含10个甚至更多的三层网络设备)，必须采取合理的区域划分和路由规划(例如网址汇总等)来保证网络的稳定性；应提供适当的路由规划的后备方案。

支持BGP-4等标准的域间路由协议,保证与其他IP网络的可靠互联。

支持MPLS标准，提供与ATM网络的无缝互联。

3.1.6 网络管理与安全体系

支持整个网络系统各种网络设备的统一网络管理。

支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能。

支持系统级的管理，包括系统分析、系统规划等；支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。

网络设备支持多级管理权限，支持RADIUS、TACACS+等认证机制。

支持安全监控和控制机制，当发现存在安全漏洞和遭到攻击时，应及时通知网络管理人员，并应自动采取适当的措施予以保护。

3.2 宽带城域网主干解决方案汇总

3.2.1 宽带光纤城域网解决方案

Cisco光通信体系

以IP技术为核心的数据通信技术和业务的发展非常之快，同时光通信技术的在逐渐取代传统的传输系统时必须对IP网络及业务提供强大的支持。在整个网络发展的过程中有纵向的(不同历史时期的)和横向的(不同层次的)各方面因素的协调。为此Cisco有一整套光通信网络发展的模型。

在最初的层次，PhaseI，数据业务和传输系统的结合是将二者叠加，这样能及时地使系统利用现有技术提供高速的数据通信能力。如PoS技术，现在全世界已大范围地采用，已经有大约100T总端口容量的PoS线路卡/路由器在世界各地安装。

更上一个层次，PhaseII，在端口能力上升，达到WDM/DWDM系统的接口速率等级时，业务设备可以直接和WDM系统结合，而不需要SDH设备的参与，这样大大提高了全系统的性价比。现在Cisco的高端路由器也已经具备了这样的接口/业务能力。

以上是简单地将传输和上层数据业务设备结合的方案。它们的好处在于可以通过现有技术的简单改造就可以实现。但并没有将二者的优点结合得很好。下一步的发展是，充分、全面地利用最新的技术进步，将二者的优势和需求结合起来。

第三、四步，PhaseIII&IV，是将上层数据技术和传输技术紧密地耦合起来，在同一的平台上既提供TDM传输业务又提供多种上层数据业务支持，将IP技术的优点结合到光传输网络中去，Cisco ONS 15454、15303能在同一平台上提供数据、电路、DWDM、视频等业务，并同时具有统计复用和时分复用的技术优点。另外动态分组传送(DPT)也是Cisco的针对数据业务特点的优化的光传输技术。

最高境界，PhaseV，全面实现光互联网的构想：上层数据(IP)业务和光传输系统完美结合，系统的效率达到最高，形成几百T容量的新一代无缝数据通信系统。

所以，Cisco的全光网络解决方案绝不是简单的网络各部分实现的拼凑，而是一个有长远规划的、全面面向新一代数据通信网络技术和业务需要的体系结构。针对大容量的新型数据网络建设要求，Cisco提供不同层次的先进技术和产品，包括大容量DWDM传输系统Cisco 15800(128λX10G)WaveMux，城域DWDM传输系统Cisco 15200，T比特级交换路由系统Cisco 12016 Terabit System，以及Cisco ONS 15000系列(15454、15303)综合业务(TDM、ATM、数据、视频)传输平台。这些都领导着业界潮流并已得到广泛的市场认可。

城域DWDM

u 城域网DWDM技术的发展及特点

DWDM比传统光纤系统提供许多好处。它通过创建将每一个光纤转换成多个光纤的虚拟光纤，最大限度地减少光纤使用。DWDM提供更大的可伸缩性,并延长了非再生距离限制。

长途DWDM技术非常适合使用点到点或环拓扑的长途运营商。实现无需电再生的长距传输，大大提高了承运商扩展容量的能力,同时留出备份带宽，而无需部署新光纤。而城域网DWDM技术实现在充分利用光纤资源的基本要求外,提供光波长自愈环，和灵活的组网能力,以及丰富的网络接口。

随着技术的进展和业务的发展，WDM技术正从长途传输领域向城域网领域扩展，当然，这种扩展不是直截了当的，需要针对城域网的特定环境进行改造。适用于城域领域的WDM系统称为城域网WDM系统，其主要特点和要求可以归结如下：

低成本是城域网WDM系统最重要的特点，由于城域网范围传输距离通常不超过100km，因而长途网必须用的外调制器和光放大器可以不必使用。由于没有光放大器，也就不需要任何形式的通路均衡，从而减少了分波器和合波器的复杂性，容许使用波长间隔较宽、波长精度和稳定度要求较低的光元器件，使系统成本大幅度下降。

城域网WDM系统容许网络运营者提供透明的以波长为基础的业务。这样用户可以灵活地传送任何格式的信号而不必受限于SDH的结构和格式。特别是对于应用在城域网边缘的系统，直接与用户接口，因而要求其光接口可以自动接收和适应从100Mb/s到2.5Gb/s范围的所有信号，包括SDH，ATM，IP，ESCON，FDDI，千兆比以太网和光纤通路等。相比较而言，长途DWDM产品通常只能提供622Mbps, 2.5Gbps和10Gbps接口。

城域网DWDM系统具有丰富的组网能力。除了能够实现长途DWDM系统已具备的点对点、链形总线组网能力外，城域网DWDM系统还能组成光通道(波长)自愈环,以提高网络的安全性和可靠性，尤其是可以为城域网中的数据业务（ATM，IP）提供基于光线路的高速倒换保护。

城域网DWDM系统应具备强大的OADM能力。能够提供网络中节点任意数量的波长分/插复用（OADM）能力，以满足动态调度业务的需求。

城域网DWDM系统应能够灵活升级。能够从网络结构、网络管理、端口选择与设置等方面支持多种业务的灵活的调度，并且设备结构简洁，模块化性强，便于维护管理和系统在线扩容。

u Cisco城域DWDM实现方案

Cisco新一代城域密集波分系统ONS15200采用模块化设计，具备灵活的OADM能力，可以组成各种网络拓扑，如环形、链形、网状等。由于具备光通道自愈保护功能，系统的升级不会影响已有网络的性能。无需光放大器可以实现城域范围的DWDM应用。Gigabit Ethernet,155Mb/s,622Mb/s,2.5Gb/s均可接入ONS 15200构成的DWDM网络。ATM、IP、SDH提供的多种业务可以在由ONS 15200构成的一个统一平台上传送。而且可以提供小于1ms的快速光通道自愈保护。

Cisco ONS 15200系列城域DWDM产品具备两种规格：ONS 15201和ONS 15252，它们都是完整的OADM系统，其中ONS 15201是1个通道（波长）的OADM，仅1U高，是目前业界体积最小的OADM系统；ONS 15252子框高度为12U，可以配置成16个通道（波长）的OADM，并均可以设置成光通道保护工作模式，是目前业内波长分/插(OADM)复用能力最强、密度最高的一款产品。

选用Cisco ONS 15200系列中的ONS 15252组成的四个节点城域DWDM系统如下图所示：

ONS 15252是16波的OADM系统，可以在线升级为32波，本系统共用了4个波长资源。具体配置如下：

其中一个波长（l1）在这四个节点均作1+1配置，即在DWDM环中一个光口为东向传输用，另一个光口为西向传输用，该波长在每个节点得以再利用。这个波长形成的虚拟光纤环可以提供给各种速率(155Mpbs,622Mbps,或2.5Gbps)的SDHADM设备使用，或提供给IP路由器的DPT使用；

第二个波长（l2）在节点1和节点2均作1+1配置，即在DWDM环中一个光口为东向传输用，另一个光口为西向传输用，该波长提供虚拟光纤通道供各种速率(155Mpbs,622Mbps,或2.5Gbps)的SDHADM设备互连使用。

第三个波长（l3）在节点1和节点3配置成光波长通道保护模式OMSP，连接ATM系统。在DWDM环中，实现光通道自愈保护。

第四个波长（l4）在节点1和节点4配置成光波长通道保护模式OMSP，连接ATM系统。在DWDM环中，实现光通道自愈保护。

u Cisco城域DWDM方案的特点

Cisco可以提供从核心到业务汇聚层和接入层全面的光传输网络解决方案，并且在国际光纤互联网论坛(OIF)中积极参与标准的制定，为下一代全光网络的构筑作好了准备。通过近几年的发展，Cisco以其先进的技术在光网络产品市场无论是市场占有率还是技术水平上均逐步处于全球领先地位。目前Cisco可以向电信营运商提供全面而完整的IP和光传输(IP+Optical)的解决方案。

· 可以为客户快速部署核心骨干网和多业务城域网

· 最大限度的提升网络的实效性和可靠性

· 多业务传输基于一个统一的平台

· 统一的网管系统，便于网络管理

· 网络可以在线平滑升级

采用Cisco ONS 15200系列产品构建城域DWDM传输系统具有以下优势：

具备所有城域网DWDM设备较之长途DWDM的基本特点。Cisco ONS 15200系列城域DWDM产品具备两种规格：ONS 15201和ONS 15252，它们都是完整的OADM系统，其中ONS 15201是1个通道（波长）的OADM，仅1U高，是目前业界体积最小的OADM系统；ONS15252子框高度为12U，可以配置成16个通道（波长）的OADM，并均可以设置成光通道保护工作模式，是目前业内波长分/插(OADM)复用能力最强、密度最高的一款产品。Cisco ONS 15200提供丰富的接口，如F.E,G.E,155Mbps,622Mbps,2.5Gbps,10Gbps等。由于ONS15200可以提供灵活的波长调度，并提供光纤线路保护功能，所以在承载SDH，ATM交换机和IP路由器的传输同时，可以提供性价比高、有安全保障的带宽出租(波长出租)，为运营商提供了更多的营运模式。今后只需增加板卡即可增加工作波长，为建设真正意义上的宽带网作好了准备。ONS 15201和ONS 15252配合组网，可以提供最好性/价比的城域网传输方案。ONS 15201可以在一个节点级联应用。针对业务的特点不同，如IP、ATM、SDH等,可以在一个网络中对每个业务通道设置成不同的工作保护模式或非保护保护模式。构成功能完善可靠、宽带多业务的统一传输平台。由于ONS 15200系列具有精简的结构和极高集成度，其功耗很小。基于Ｗeb的网管系统，直观、易用，而且功能强大。通过SNMP和CORBA接口可以方便地和CIC（Cisco Information Center）网络管理系统连接，实现DWDM和IP业务的统一管理。

新一代多业务光传输系统

u Cisco ONS 15000-革命性的多业务光传输平台

Cisco ONS 15000系列包括ONS 15454和ONS 15303，它们研制的基点是通信网络的根本性转变和体现这一革命的新一代传输系统设计的要求。这一革命的核心即是高速数据通信与传统语音网络的本质不同。Cisco独一无二的传输系统在同一平台上提供时分复用和统计复用技术。这样运营者可以经济地在一个物理光设备上同时提供高速数据业务和传统的DS1和DS3等TDM业务，而且还可以管理到DS1和数据包一级。这一方案引起了业界的极大共鸣。

Cisco ONS 15454提供了高速、高效的多业务骨干传输功能，但它的意义决不仅是一个传输系统或是传统传输系统的演示。而Cisco ONS 15303在接入层向用户提供经济的、高效的传输功能，快速部署Ethernet。它们是在爆炸式发展的市场和技术推动下，全面反映新一代电信网络和业务需求的全新通信系统的典型体现。Cisco ONS 15000系列在世界范围，尤其是在电信业务飞速发展且竞争激烈的北美市场得到广泛使用。最新的典型客户是Cogent。越是在竟争激烈的市场，Cisco ONS 15454、15303越能体现其价值。

ONS 15454－2.5Gb/s多业务骨干光传输设备

Cisco ONS 15454光传输设备是最新一代的光传输设备，基于TDM传输网络结合未来高速的数据需求通过ONS 15454同一平台集成了SDH/SONET，DWDM和多种光业务接入，为运营商提供统一的光传输平台和虚拟带宽利用和扩展的能力。群路速率支持OC-3/STM-1到OC192/STM-64，通过DWDM系统可提供40Gb/s的传输速率，交叉矩阵具有强大的带宽管理能力，包和信元交换的能力而无需借助其它设备。在一个ONS 15454平台上可直接接入数据、语音、和视频，任何业务包括TDM，IP，ATM和视频可通过相应的业务接入插槽灵活接入。不同的数据流可通过专用带宽进行传输也可共享带宽。ONS 15454有17个插槽，4个高速插槽(2.5Gb/s和DWDM)，8个低速插槽，可提供2.5Gb/s以下各种速率的接入以及以太口，ATM，视频口的接入，通过同一设备即可实现多环连接，构成链形、环状、网状、相切环等各种网络拓扑结构。

ONS 15454提供BLSR，VC等级的保护(UPSR)，Subtended环，PPMN保护，并提供虚拟环结构。

ONS 15303－155Mb/s光传输接入设备

ONS 15303是电信级的155Mbps光传输ADM设备，外形结构紧凑，它能同时提供8端口DS1和8端口10BaseTEthernet。由于采用了基于CiscoIOS的包处理技术，ONS 15303能实现TDM和数据复用和交换。它既可以用于ONS 15454环中，也可以与其它厂家的光传输设备相连，向用户直接提供DS1和10BaseT接口。

u ONS 15454/ONS 15303宽带城域网解决方案

u 传输系统

Cisco公司建议的采用Cisco 15000系统的光传输方案如下面的网络拓扑图所示。

拓扑图中核心接点间(网络中心–节点1–节点2–节点3)配置ONS 15454系统，光线路传输速率为2.5Gbps,构成核心层的传输网。在该主环上四个节点同时各配置GE接口，可用于GSR核心路由器的接入。所有业务的路由和交叉由交叉连接板XC完成，交叉板XC和控制板TCC按1+1冗余保护配置，电源为分布式电源。剩余的槽位可待今后需扩展业务时使用。

该方案在具备管理STS和VT级带宽的能力外，还同时为使用这一平台提供数据业务提供方便，如以太网(Ethernet)业务，Cisco ONS 15454只需在子框中插入10M/100M/1000M板即可实现LAN到用户的接入，Cisco ONS 15454提供2层交换能力和数据复用功能以达到最有效的利用带宽和可用的交换端口。

每个ONS 15454中，另外再各配置一个155Mbps的光接口扳与远端的ONS 15303(SiteA,SiteB,SiteC,SiteD)相连。其中，ONS 15454上的一个155Mbps卡能提供4路155Mbps光口，ONS 15303配置成双155Mbps光口，实现线路保护。由ONS 15303直接向远端用户提供8个10M的Ethernet接口和8条DS1电路。

该方案还可根据用户要求采用2纤BLSR或UPSR保护环。

u 网管系统

本地维护终端：CTC

CTC在出厂时已配置在每台ONS 15454中。

网管系统配置包括：

网元管理设备：CTM

该方案网管中心设在：网络中心。

可根据用户要求配置镜像磁盘的服务器，及一台磁带机以保护数据库。另外可通过外部DCN通道实现在地理上的1+1保护。

该方案Cisco网管系统解决方案是基于CTM但在保价中未包括硬件部分的的报价，Cisco将给出硬件配置要求建议用户自行采购。

TMN的连接

在网络中心设置网管中心CTC作为主用系统，对网络内的网元进行管理。

与所有光传输设备网络单元相关的管理信息首先通过DCC通道传到网关设备,经由网关设备再传送到与网关设备位于相同站的网元管理系统CTC。

根据用户要求可配置两套网管中心，在两个网管中心间通过DCN连接和路由器配置均采用了一定程度的保护。

同步系统

在配置有BITS接入外部定时信号，ONS 15454通过外部定时接口实现一个子网的每个系统同步。设备根据内嵌在设备内部的优先级表格来实现同步。在这个优先级表格中，用户可配置从外部定时、东向群路（或西向群路）、支路及内时钟等不同的优先级。在每个ONS 15454内部，带有定时质量信息的S1字节被处理，再结合定时优先级表格，设备就可选择一个当前优先级最高，时钟质量最好的定时源。当然，同时要防止将时钟设置成闭环系统。

在线升级

ONS 15454能在线升级从155Mbps到10Gbps，2纤BLSR升级到4纤BLSR，在多环结构中同一子框可混和配置UPSR和BLSR，ONS 15454无阻塞STS交叉连接和分布式VT疏通功能能在任意环间建立电路。

ONS 15454的虚拟环功能，能提供DCC通道，利用这一功能可通过DCC透明传输其它厂家的网管字节，提供多厂家兼容环境。

u Cisco ONS 15000城域网组网的优势

采用Cisco 15200构建多业务宽带城域网遵循新一代城域网传输系统的新概念，在创造性地实现基本传统传输外，还具有很强的多种数据业务能力。更重要的，系统的设计不再是以单一的技术指标为重心，而是以业务能力为中心的，因此提供最佳的市场价值—“Time to market”。

u 创造性的传输系统结构

ONS 15454传输系统出色地将传统传输的多种接口能力集成在单一的硬件平台上。每个ONS 15454上的12个业务卡插槽可以支持从DS1、DS3、STS-1到155Mbps、622Mbps、2.5Gbps、10Gbps的多种接口板。它同时结合了多种传输设备的功能：多速率级别的交叉连接设备、多速率级别的ADM和复用器，并且由于在一个机架中实现多种功能，省却了大量的机箱间中继连接，并且使传输系统的设计非常灵活。

ONS 15454不但支持广泛的速率接口，而且提供灵活的组网方式。常见的终结、线性点到点、分插/复用、环形、网状和它们的任意组合，以及通道保护和复用段保护。此外，ONS 15454还可以在单个设备上支持多个环。这样最大地减少了设备的数量和不必要的中继数量，并且简化了设计和系统升级的过程。并且提供环到环的保护。

特别值得一提的是，ONS 15454提供在城域网应用中性价比最高、最实用的DWDM系统模式：基于非光收发器(Transponder)的DWDM。城域网的业务发展通常很快，而且各地区发展不均衡。这就要求网络系统扩展灵活性高、性价比高。DWDM系统的组成有多种方式，本方案中由ONS 15454提供调制过的光波信号(OC-48)，由无源DWDM合波器将其复用到一对光纤上。这种方式达到了DWDM系统的最高性价比。

u 综合业务接入能力

ONS 15454的硬件设计就体现了其综合业务传输平台的设计目标。ONS 15454具有时分复用和统计复用的两套交换背板，分别服务电路交换和数据交换两种业务。

革命性的设计保证了ONS 15454真正实现同时对传统电路交换和新型数据业务的最优支持。

ONS 15454上支持多种数据业务，ATM、局域网互联(10/100/1000M以太网)、虚拟局域网(802.1q)和视频分配。尤其，以太网的应用非常丰富，可以实现点到点连接、VLAN、低速率到高速率的复用、CoS质量保证等。而这些功能都是由于采用了创新的系统结构设计才得以实现的。

u 远端接入能力ONS 15303

Cisco ONS 15303同时提供专线和局域网连接业务。

Cisco 15303与ONS 15454可以很好地协同工作，包括与ONS 15454直接连接或构成环(UPSR)，并且共用同一网管平台。所以说，ONS 15303提供了一个灵活的多业务接入手段。

u 尺寸小、配置灵活

在提供多业务、多功能、大容量的系统能力的同时，系统硬件设备占用空间非常小。

ONS 15454在一个标准7英尺机架中可以安装4个机箱。相应地，ONS 15304的尺寸也很小，非常适合安装在远端的条件限制较大的机房/机位。

u 业务管理能力

本方案建议的系统是以业务为核心的。所以特别着重网络管理和业务管理。系统的管理是以图形化、开放性/层次化和自动业务生成为基本原则的。

最创新的一点在于，本系统的管理系统可以做到”A-Z Circuit Provisioning”，即只要定义端点的端口位置和电路类型，系统就可以跨越多个环自动建立最佳路由的电路。这就和ATM网络中的SPVC业务功能相似。

将智能路由选择功能加入了传输层系统，在实现新型业务的同时，也引进了新型业务的技术优点。

3.2.2 DPT城域网解决方案

在充分研究了目前国际网络界对设计一个城域网(MAN)所采用的各种网络主干技术,并充分考虑到营运网络主干技术发展的主流和趋势后,我们建议在网络中采用最先进的IP光纤传输技术DPT，这种技术是将IP数据包直接在光纤上传输，从而大大提高在以IP应用为主的网络传输的效率和性能。

在骨干节点采用动态IP光纤传输技术DPT。其光纤连接快速切换、50ms恢复IP业务、无路由表重算、带宽动态分配，高速的广播和跨网QoS等功能，DPT的具体介绍请见相关技术介绍部分。

以下为建议的网络拓扑图：

骨干层网络设计

XYZ地区城域IP宽带接入网每个城市骨干节点为3个。骨干节点提供大量的数据交换能力，作为网络的核心。

在这次网络建设中,主干节点采用高端网络设备千兆交换式路由器（背板不小于80G）。采用MPLS技术，这种路由处理方式特别适合于包含上百个节点的大型网络；它不会象其他三层交换技术那样，随着网络规模的扩大而处理性能迅速下降。

千兆交换式路由器之间采用基于IEEE802.17标准的OC-48 DPT环，其主干可达5G高带宽，IP数据包将直接通过光纤，实现高效的网络传输。同时主干网络连接可以实现自我冗余保护，保证网络主干连接在其中一条出现故障时，另外一条可以在很短的时间内(<50ms)接管数据负载。

在骨干点上除配置千兆交换式路由器外，同时分别配置一台千兆以太网交换机（背板带宽不小于60G），提供本区用户的接入和提供骨干点到到各个信息汇聚点千兆连接。

骨干千兆路由交换机和千兆以太网交换机之间通过千兆互连。

u 设备配置

千兆路由交换机（3台）：

提供MPLS VPN支持

背板带宽不小于80G（可随时升级到320G，并可扩展到5T，可提供DPT/POS/GE/ATM/100M接口）

配置OC48的DPT接口与其余骨干点环形互连。

配置3个千兆口提供与以太网交换机的连接。

千兆以太网交换机（3台）：

提供MPLS VPN的接入

背板带宽不小于60G

配置12个千兆口

配置32个10/100M接口

网络汇聚层

网络汇聚层提供大量的接口供接入层设备的就近接入。本地区IP城域网每个城市网络汇聚层为6个。

网络汇聚层配置千兆以太网交换机提供大量的GE接口下连接入层的接入以太网交换机，并提供GE分别上连2个骨干点，提供线路冗余备份。

千兆以太网交换机（6台）：

提供MPLS VPN的接入

背板带宽不小于60G

配置12个千兆口

配置32个10/100M接口

3.2.3 GE 城域网解决方案

千兆以太网组网技术优势

选择合理的网络主干技术对于XYZ公司宽带网络来说十分重要，因为它关系到网络的高可用性、高可靠性、高可扩展性以及高的服务质量保证等等特性。网络主干包括主干网络设备之间及其与汇聚点网络设备之间的互联。

我们分析了XYZ公司宽带IP骨干网络的技术需求，这些要求也体现了XYZ公司宽带IP网络在实际运行阶段的需要，在前面的小节中，我们列举了满足这些要求的各种组网技术。在本方案中，我们建议采用千兆以太网技术，因其具有如下的特性：

u 1）高传输速率和速率提升潜力：

千兆以太网可提供1Gbps的数据传输速率，通过使用Cisco的Gigabit Ethernet Channel技术，可达到最高16 Gbps传输速率。目前标准化组织正在积极研究和推广10Gbps以太网技术，包括Cisco在内的一些厂商也正在积极开发相应的网络模块，预计很快就可以在主干网中采用高达10Gbps的传输速率。

u 2）高性能价格比：

千兆以太网体现了快速以太网带给以太网网络的性价比优点，它以2至3倍于当今的快速以太网的成本提供10倍于它的性能；相对与其它一些MAN组网技术，千兆以太网是最经济和快捷的一种组网技术。

u 3）兼容性好：

千兆以太网采用IEEE802.3和以太网标准帧格式以及802.3管理的对象规格，与以太网、快速以太网技术向下兼容。因此，客户能够在保留现有应用程序、操作系统、IP、IPX及AppleTalk等协议以及网络管理平台与工具的同时，方便地升级至千兆以太网。除性能方面的收益之外，采用千兆以太网技术对用户将是完全透明的。

u 4）网络设计灵活：

千兆以太网几乎对网络结构没有限制；现在正在应用的网络互连技术，如IP协议和L3三层交换技术,都与千兆位以太网完全兼容；

u 5）组网方式灵活：

千兆以太网组网方式可以通过共享集线器（价格便宜）、交换机或路由器相互连接来实现。千兆以太网支持交换机与交换机或交换机与工作站之间全双工的连接模式，也支持半双工连接模式以便与共享式集线器连接。千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线（UTP）。

u 6）简化的管理：

相对与其它一些MAN主干组网技术，千兆位以太网网络的管理将是最简单方便的，对网络管理和应用人员而言，无需学习和采用新的系统范围的技术或者网络管理方法。

XYZ公司主干网络组网方案

网络拓扑结构描述：

千兆以太网的网络设计

根据XYZ公司主干网络需求,在此次网络建设中：

1）主干网络建设：

在数据网络中心及远程数据分中心，各放置2台Catalyst6500，数据中心与远程分中心之间以GEC技术通过光纤相连。

2）分布层网络建设：

在中心及远程中心配置多台分布层交换机Catalyst6000，主要负责连接远程各分支结构的网络流量到网络主干。网络主干与分布交换机的连接用千兆以太网连接实现。

在网络主干层的互联，以及网络主干与其分布层的连接设计方面，我们建议采用网状连接，以增加系统的高可用性。这样，当任意一台设备或某一条链路中断时，仍然可以保证网络具有备份链路传输。

下面，我们详细描述主干及汇聚层的网络设计。

u 网络主干层设计详述：

下面我们将从L2、L3、高可用性等方面分别介绍：

1）网络第二层的设计：主干网络采用千兆以太网技术,建议采用思科的增值GEC技术，一方面可用获得16Gbps（全双工）的交换机之间连接带宽，另一方面可以在交换机之间提供可以在几秒内由故障链路切换到其余正常链路的高速备份能力；

2）网络第三层设计及IP路由协议的选择：通过使用可快速恢复的动态路由协议，如OSPF 、 IS-IS等，可以实现路由备份及负载均衡，并保证当网络出现故障时，可快速实现备份路由寻找并由备份路由传输数据流量。

3）高可用性设计：网络中心与分中心均各配置两台交换机，每台交换机均使用冗余及高可靠性配置，再由这两台交换机组成一个高可用性的双机双备份，从而提供稳定可靠的网络传输核心，为整个网络提供不间断的服务。两台交换机间采用路由器热备份协议(Hot Standby Router Protocol) 实现它们对三层IP路由服务的热备份，并且可采用MHSRP热备份协议实现在这两台交换机之间的负载均衡，而且增加了核心的可用性。

4）网络安全：对于网络上核心交换机之间分发的路由，可以采用MD5认证算法来防止欺骗性路由，Cisco的路由产品都支持MD5认证。

在主干网络设备的选择上，我们使用业界最好的Cisco Catalyst6500交换机，它具有6槽或9槽的机箱，下面是对它的一些简要描述：

业界最强的QoS和Policing的功能：Catalyst 6x00支持基于MAC地址、IP地址、VLAN的速率限制；它能够限制单个流的带宽和整个流的带宽，所有的这些处理均通过PFC硬件来进行线速处理，具有很高的处理效率。在网络模块的硬件端口上提供多个输入及输出队列，以提供对QoS的处理，如CoS、DSCP等，并能够实现在它们之间的互相映射。

独特的Private VLAN功能：极大的方便了VLAN的划分和管理，减少和简化了IP地址管理和所需的IP子网数量，减少了网络上所需的VLAN的数量。

高效率的三层路由交换处理：Catalyst6500支持基于Cisco专有的CEF（Cisco Express Forwarding）的路由交换处理，它比基于Flow的方式具有更高的处理效率，树型路由表查找技术可以更快得到目标出口，CEF较Flow方式更适合应用于在路由交换机中存活时间较短的数据流，如WEB，E-COMMERCE等。而较早的Catalyst 6000也支持基于Flow的交换，其交换引擎的路由处理能力和Flow的建立能力也是业界功能最强的。Catalyst6500三层交换能力可以达到100Mpps之上。

VACL（VLAN ACL）：Catalyst6x00的VACL具有非常强大的处理能力。它能够基于2，3，4层的信息对用户的信息和访问进行控制。不仅能够作虚网之间的控制，还能够作一个虚网内部的访问控制。所有的访问控制表均由硬件来进行线速处理，有很高的处理效率。

高可用性：Catalyst6x00具有业界领先的高可用性，其冗余引擎的切换可以在3秒种内完成；

高的端口密度和丰富的网络模块类型：Catalyst6x00具有目前业界最高的端口密度，384 个10/100端口，128个千兆端口，具有非常多的支持多服务的接口模块，如：8端口语音E1服务模块、24端口FXS模块、FlexWAN模块、内容交换模块、IDS入侵检测模块、多模/单模OC-12 ATM模块，以及可应用于电信领域的各种OSM光纤服务模块等等；

u 网络汇聚层设计详述：

汇聚层主要用于汇聚接入层的网络流量，并提供各种服务和控制功能（PPPoE、SSG、CAR/Rate-limit、ACL、QoS、Queuing、TE流量工程等等）

本方案中：

我们为数据中心设计了两个汇聚点，其中一个用于连接小型社区网络和少量家庭以快速以太网、以太网方式接入；另一个用于支持大企业用户和中大型小区以快速以太网、以太网方式接入。

对于远程数据分中心，我们设计了一个汇聚点。

各汇聚点均采用Catalyst6000交换机，与主干层的交换机以千兆交叉连接，以提供数据传输的冗余及备份链路。每台Catalyst6000交换机均配置双引擎模块，PFC2/MSFC2，千兆及快速以太网模块，以提供千兆，百兆的链路和各种QoS/ACL等服务功能，以及高可用性。

3.3 宽带接入解决方案汇总

3.3.1 Ethernet 接入方案

在XYZ网络建设中，各个接入层交换机的功能是解决多服务信息流的分流及汇聚，一方面，网络接入层通过和汇聚层及主干网络的连接，将大楼或分区内的所有信息点连接起来，另一方面，各种形式的网络信息都汇聚起来，向主干输送，这里也是网络管理员应用网络策略隔离网络流量之处，包括安全、路由汇聚、网络故障隔离等。

网络接入层还负责将用户流量引入网络，并且实现接入控制，包括接入速度限制等。我们建议可以根据不同网络接入点的不同要求，在每个网络接入点采用不同类型的交换机，如Catalyst 4000、3500、2900等交换机系列。

Catalyst3500系列交换机有Catalyst3512XL,3524XL和3548XL 三种型号可以提供12，24和48个10/100M以太网用户接入，并且具有两个千兆端口的，在用户数增加时可以采用可扩展的堆叠特性，最大可堆叠9台。它们能够提供超值的性能、可管理性、灵活性，同时能够出色地保护客户的投资。10.8 Gbps的交换背板和最高8.0 Mpps的转发速率使这些交换机成为建立高性能局域网的理想选择。

Catalyst4000可为10/100/1000M以太网交换提供智能第二层和三层服务。具有三个模块化插槽的Catalyst4003系统和具有6个模块化插槽的Catalyst4006系统可以提供不同密度的用户信息点接入。提供从32个扩展到240端口10/100快速以太网的公用体系结构。通过WRR(加权轮询)调度和服务类型/服务类(ToS/CoS)标记提供使用多个(4)队列的服务质量(QoS)。它的交换背板为24Gbps,二层包转发率：18 Mpps。第三层交换的处理能力为：6 Mpps。

每一台接入交换机均采用快速以太网或千兆以太网连接到就近的汇聚层交换机Catalyst6x00 。

为了更有效地对接入的用户提供管理和安全控制，我们推荐在接入层划分VLAN（虚拟网），让不同功能的部门、用户分布在不同的虚拟网上，虚拟网间的通信主要由汇聚层和主干层的Catalyst6x00多层交换机来实现。要实现在不同虚拟网用户之间，甚至同一虚拟网内部不同用户之间的的访问控制，可在Catalyst6x00上设置访问控制列表 (Access Control List) 来实现。配合Catalyst6x00上的PFC和MSFC，我们可以在实现L3交换的同时，线速进行ACL的处理。

小区用户的上网业务：

该用户群体为当前宽带业务的主要服务对象，且为今后切实的利润增长点。

小区用户的接入方法

我们为该用户提供的接入方式为，光纤接入小区。10M以太网接入家庭的桌面。具体接入方式如下：

采用光纤接入小区，提供100M或1000M的上联接口；

小区内部可在每个大楼方置一台以太网交换机，提供10M用户接口；

该接入方式用户端所需设备与价格：小区内部需铺设五类线缆，用户终端配一10口网卡，价格为70－100元；

该接入方式的特点：为最终用户提供最为廉价的高速出口带宽，且用户端的成本可以忽略不计，十分适合大规模的推广使用。

小区的接入在技术实现上有一定的复杂性。对此我们进行详细分析如下：

各小区为边缘层接入点，根据用户的接入情况采用不同的接入带宽和方法。对于用户上网量大的小区，采用交换能力较大的交换机通过千兆端口连到核心点交换机；而对于目前用户上网量还不大的小区，采用中型交换机通过百兆端口连到核心点交换机，将来根据用户的需求情况可以加装千兆模块来扩展上连容量。楼层网络设备可采用小型以太网交换机。

实现该网络所需条件：

· 光纤已经铺入小区；

· 小区内部的五类线缆铺设工作完成；

总体的网络体现了如下的原则：

· 边缘接入交换机直接通过交接箱连接到核心接入交换机。

· 核心交换机具有模块化结构,第三层交换能力，高千兆端口密度和可靠性高。

· 边缘接入交换机选用具有快速交换能力和灵活的VLAN划分技术，并可支持千兆上连，支持用户接入的安全性。

· 分层网络管理技术：可对设备集中管理,对用户管理可根据费用情况自动锁定相应端口，控制用户同时连接数量，设备支持二次开发。

小区用户的安全和控制

u VLAN的安全措施

以太网采用广播的方法实现用户之间的数据包传递，任何一个用户在发送数据报之前，先查看自己的ARP缓存是否有目标用户的MAC地址，若没有则向全网广播，而且用户的ARP缓存每隔一段时间进行刷新，从而在以太网中存在大量的ARP广播包。

交换技术为每个用户提供了专用的网络带宽，但并没有减小广播域的大小。对于小区来说，如果没有采用任何技术，小区中任何一幢中的一台计算机发出的广播包会在整个小区，甚至全部小区中转发。这样一方面会浪费大量的网络带宽，另一方面由于所有小区/所有楼层在一个广播域中，网络失去了安全性。

VLAN技术就是为解决此问题而出现的技术，我们建议在小区规划中实施按用户划分VLAN。

现有50个小区要接入到宽带网，每个小区大约有500户用户接入。假设每个小区有40个VLAN，50个小区共有2000个VLAN，这一方面对小区接入交换机、大楼交换机（若支持VLAN的话）压力很大，而且，从IP的规划上来说，也非常复杂和庞大。这种方案的实施几乎是不可能的。

我们建议，每用户群（如64个用户）一个VLAN，每一个VLAN分配一个C类IP地址（最多容纳254个用户）。

若大楼交换机支持VLAN技术，则VLAN的划分在大楼交换机上实施，通过TRUNK（802。1Q）连接到小区接入交换机。这样每个小区大约需要8个VLAN，8个C类IP地址，大大节省的IP地址空间和VLAN数量。

请注意，我们是按照每用户群（如64个用户）一个VLAN来划分的。在同一个VLAN内部还是存在广播风暴的问题。PVLAN技术和广播风暴抑制技术可以解决同一个VLAN内部的广播问题。详细见后面描述。

u 网络用户的控制

用户管理技术是网络运营好坏的关键之一，直接牵涉到运营商的利益和荣誉。在用户的管理技术中，包括：

· 如何对用户进行记费？

· 如何限制非法用户（未交费用的用户）的接入？

对用户的记费目前常用的有：按用户流量记费；按用户连接时间记费；包月制。其中前两种记费方式较复杂，且非技术因素纠缠较多。在一般的小区接入中，网络在建设初期采用包月制。

用户管理技术另一个就是如何保证合法用户的正常使用和非法用户的入侵，对非法用户的入侵，我们建议采用以下几种技术：

u 端口与MAC地址的绑定

交换机的端口连接到用户的网卡，每一个网卡都有一个全球唯一的48位MAC地址，任何用户申请开通上网业务时登记MAC地址，网络管理员注入系统数据库，并起用端口的安全特性。

所选交换机支持端口的安全特性，每个端口可静态设置多个MAC地址，如果有非法MAC地址入侵，交换机会通过TRAP告警网络管理员。这种方式安全性高，但管理复杂。

u 限定端口的同时连接MAC数

此种方法不须要做MAC地址和端口的静态绑定，只限制每端口同时连接的MAC地址数量。如假定设定每端口同时连接的MAC地址上限为2，

则用户最多有两台电脑，不管此两台是自己的还是隔壁邻居的。如果超过两台，交换机可以自动关闭此端口或向系统管理员TRAP告警。

对合法用户的正常使用，我们建议采用以下技术：

u 广播抑制技术

限定用户端口广播包的转发速率，以防止某以用户的恶意或异常事件对网络带宽的浪费或影响其他用户，此项技术同样适用于Trunk端口。

随着城域接入网络的发展，用户对于网络数据通讯的安全性提出了更高的要求---------诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通讯的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。

然而，这种分配每个客户单一VLAN和 IP子网的模型造成了巨大的扩展方面的局限。这些局限主要有以下几方面：

1. VLAN 的限制：LAN交换机固有的VLAN数目的限制

2. 复杂的STP ：对于每个VLAN，一个相关的Spanning Tree的拓扑都需要管理

3. IP地址的紧缺：IP子网的划分势必造成一些地址的浪费

4. 路由的限制：每个子网都需相应的缺省网关的配置

u PVLAN技术

现在有了一种新的VLAN机制，服务器同在一个子网中，但服务器只能与自己的缺省网关通信。这一新的VLAN特性就是专用VLAN(private VLAN, pVLAN)。

专用VLAN是第2层的机制，在同一个2层域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口(Private port)，一个专用端口限定在第2层，它只能发送流量到混杂端口，也只能检测从混杂端口来的流量。混杂端口(Promioscuous port)没有专用端口的限定，它与路由器或第3层交换机接口相连。简单地说，在一个专用VLAN内，专用端口收到的流量只能发往混杂端口，混杂端口收到的流量可以发往所有端口(混杂端口和专用端口)。下图示出了同一专用VLAN中两类端口的关系：

专用 VLAN 的应用对于保证城域接入网络的数据通讯的安全性是非常有效的用户只需与自己的缺省网关连接，一个专用VLAN不需要多个VLAN 和IP 子网就提供了具备第二层数据通讯安全性的连接，所有的用户都接入专用 VLAN，从而实现了所有用户与缺省网关的连接，而与专用VLAN内的其他用户没有任何访问。

PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通讯，但可以穿过TRUNK端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。

3.3.2 LRE接入方案

拨号解决方案的局限性

目前，多数小区及酒店仅为客人提供拨号连接，其最高速度只有56Kbps。虽然这种连接足以用来发送简单的电子邮件，但却没有太多其它的功能。访问过程非常复杂，使得下载速度极慢。简而言之，拨号联网很难满足用户需求。

Cisco的长距离以太网是一种综合的端到端高速接入解决方案，这种方案包含了硬件、强大的后端软件以及专业服务等一切必要组件。

·硬件

Cisco Catalyst 2924 LRE XL与2912 LRE XL交换机为所有类型的综合服务机构提供了一种强大的环境。该平台具有高达15Mbps的双向对称以太网传输性能以及业界领先的管理与安全特性。通过Cisco 575 LRE客户端设备（CPE），该平台可与POTS以及数字式电话并存，从而使客户可以继续使用其现有的通信基础设施。Cisco LRE 48 POTS Splitter可使LRE与PSTS并置于同一条电话线上。同时，Cisco还通过其Aironet Wireless LAN产品完善了Catalyst交换机的功能。

·软件

Cisco Building Broadband Service Manager(BBSM),Cisco提供了一种完整的软件平台，提供了业主或服务提供商为客户提供服务所需的一切功能。这些功能包括即插即用式接入、自配置、验证、分级服务水平以及综合计费。Cisco BBSM还允许服务提供商提供不同级别的带宽，以便推出不同价位的多样化服务。

·服务

在安装并实施其LRE解决方案过程中，Cisco与领先的专业服务公司与集成商结成了合作伙伴关系。因此，所有网络设计、配置、安装与网络日常管理方面的问题都将得到快速顺利的解决。

LRE：设计典范

长距离以太网是一种经过完全测试、易于部署的解决方案。以下是远距离以太网通信网络设计图。

LRE从根本上改变了服务行业宽带配置方面的经济收益模式。用户再也不会为带宽不足或服务不完善而烦恼。他们可以象在自己的办公室或家里一样进行工作和娱乐。酒店与度假区也不必再使用技术不够先进或成本效益不高的接入方案。利用LRE这种经济有效的宽带解决方案，服务领域的公司可以继续使用其现有的通信基础设施。在这一过程中，他们获得了一种出色的收入来源，从而提高了经济收益并为在新世纪的经济环境中进行有效的竞争奠定了基础。

3.3.3 Cable接入方案

网络概述

有线电视网通过光纤覆盖绝大多数城市小区，小区内利用铜轴电缆连接到用户家里。有线电视网被认为是比较好的家庭用户宽带接入介质。利用有线电视网提供数据接入需要有线路由器(Cable Router)在数据网端局支持。用户端可使用有线Modem(Cable Modem)，或带Cable Modem的路由器/机顶盒。

有线电视网的接入需要HFC支持双向传输，这是一个复杂的工程，同时需要大量资金。利用有线网接入用户可在短时间内部署，并获得大量用户。国外电信公司纷纷购并有线电视公司(如AT&T收购TCI，AOL收购时代华纳等)就是为了迅速占有大量有线用户市场，或者采取服务提供商(电信公司)提供技术结合资源提供商(有线电视公司)的线路资源合作开拓市场，利润分成的方式。

其网络接入如图所示：

通常大中型有线电视网络由总前端以及若干分前端组成，前者负责视频信号的接收与全城发送，后者分别负责该城市某一区域的信号发送，故而其城市的光纤铺设结构为环形＋星型，在总前端与分前端之间为环形互联，从前端光发射机向下至光节点为星型分布；在中小型城市只有总前端的情况时，通常光纤铺设为全星型结构。所以针对不同的光纤铺设结构，我们有不同的解决方案：

1. 环形＋星型结构：由GSR、OSR或ONS 15454组成环形数据主干，初期将UBR7246头端接入设备放置于总前端作全城接入，待业务发展之后可以将7246逐步下移至分前端，从而提高接入的带宽密度；

2. 全星型结构：UBR7246头端接入设备放置于总前端作全城接入，按照光节点的分布安排下行与上行接口的接入资源分配，待业务发展之后可以将7246的台数增加，从而提高接入的带宽密度；

主要需要解决的问题

同时注意有线双向数据网络的业务开展需要解决好两方面的问题：

u 其一为QoS问题：

现在的Cable Data Networks以拥有一系列的QoS，并且以成为DOCSIS的一个重要部分。这些标准协议和各种IP的QoS机制(如RSVP和不同服务QoS)融合。这种共同作用，可提供满足各种要求的高层次的QoS服务需求(如有长途质量的语音等)。

QoS的能力以成为HFC接入网的重要功能，是DOCSIS的重要部分。

u QoS要素：

最终的接入点的流量需求必须有预先考虑和预计，网络各节点设备(tansmission facilities,switches/routers,packet gateways)应具备较大的能力，这样才能提供对协议的很好的支持和对业务有很好的服务。

网络应能识别和区分不同的业务种类，这样才能保障资源(buffer space,link bandwidth等等)的可合理的提供给所需的数据流。

通常区分流量种类的方法有：

- RSVP-Style分类，在IP层或传输层根据Headers (UDP的Port No.等)来决定是否是要保留带宽数据。

u - IP的ToS

网络的容量总是有限的，如果有些流量或服务有延迟和丢包的要求的话，所有流量的QoS必须严格的限制起来。限制将分层两方面：

管理控制- 这是是否要有保留机制，可以有很大范围的管理控制策略，但当资源不够时，一些保留要避免。

策略- 在一条联路上要有控制QoS需求的流量控制时，应对进入网络的流量有策略控制。

一个网络中的流量是有各种混合Best-effort的流量，以及有很高QoS要求的流量(VoIP)。除非网络被高度的Provision，FIFO将无法满足QoS的需求。其他的Queuing机制(Priority queuing,Weighted Round Robin(WRR),Weighted Fair Queuing(WFQ),Weighted Random Early Detection (WRED) 等等)来满足各种QoS需要。Queuing算法，根据QoS来选择。

QoS的支持通常在IP层机制上，因为端点的系统未必有和Cable Network有相同的第二层，以及相同的第二层QoS机制。RSVP和不同业务服务有两种方法处理到IP QoS的方法。Layer 2 QoS可能在一些特殊的情况下互通，如Cablemodem在一套系统上等。

理论上讲，DOCSIS 的Layer 2 QoS以被应用在Cable Network中。

Cisco可将RSVP和WFQ以及RED一致使用，可以有端到端的Flow并有RSVP，以及路由器到路由器有WFQ的联系。

在骨干网络中，QoS机制是要求可扩展。所以，可采用Differentiated Services及MPLS TE技术。这种技术有以下要点：

比RSVP有扩展性，不需要在所有参与路由器上per-flow state

当non-best effort流量不占大比例时，带宽将对best effort的流量有比较充裕

u HFC接入所支持的QoS：

在HFC接入网中，Vocie/Video负载预计将比纯数据大的多。因此，一各严格的控制和计划方法要保障这一点。Upstream带宽相对少。因此，RSVP可用作CM->CMTS流量，RSVP可保障接在 IP骨干网络的IP端设备的和CMTS通信，并可将Upstream的带宽指定在适当的Flow上。

在Downstream上，Diff-serv技术采用的多(带宽大，non-best effort流量比例小)，有时为保障服务， RSVP也有采用。标准的RSVP下，RSVP messages flow将从sender 到reciever，并反做以建立端到端的通道。

u DOCSIS QoS

Downstream采用DOCSIS Radio Frequency Interface (RFI) Protocol (MAC-layer Procotol)。Upstream –Minislots. CMTS MAC scheduler 通知Downstream CM(通过MAP 信息)定位采用Minislots。DOCSIS QoS在Downstream和Upstream上采用 DOCSIS RFI 可以有丰富的动态服务Flow-based QoS序列机制。

当有一flow要被接受时，CM将被提供一新的SID，在Upstream上传送flow，SID是动态的在CMTS/CM之间产生和去掉的。DOCSIS QoS也有将大packet切成小块传送，提高延迟和抖动性能。

CBR (Unsolicited Grants) (CBR-like-real-time，对延迟，抖动和带宽有严格要求)

Real-time polling (real-time flows)，可满足VBR的延迟需求，效率高。

Committed Information Rate (non-real-time flows)

Tiered Best Effort (对延迟，抖动和最小带宽无需求的业务)

和传统的共享机制相似，如可根据目的IP地址，IP包的ToS等，建立每个Downstream的scheduling，采用个种queuing技术，保证第延迟的Voice/video等数据和Non-real-time数据在不同Queuing，让高QoS的数据queuing有More Round。Non-real-time 可以FIFO。

u 其二为Cablemodem 系统的 VPN

Cisco的Cablemodem系统可以提高灵活的VPN解决方案。

VPN有基于Layer 2的VPN，和基于Layer 3 VPN。

基于Layer 2的VPN可以有DOCSIS VPN，其是基于DOCSIS Baseline Privacy (BPI)，提供CMTS和CM之间的加密的数据传输。可以在DOCSIS 的Configration Files中定义。

Cisco的CMTS可以支持多种Layer 3的VPN技术。

作为Cisco的CMTS和CM，CMTS可以作为路由器和MPLS的PE，可以提供MPLS VPN在CMTS的Cable的Downstream上开设Sub-interface，以将各种不同的Sub-interface对应不同的VRF(VPN)，各种Cablemodem上来的时候，根据CM用户的信息(IP地址等)，决定此CM属于那个VPN。CMTS提供MPLS VPN将极大的将MPLS VPN业务延伸到新的接入点，并弥补了高速MPLS VPN和低速MPLS VPN的之间的空间，提供CM的速率的MPLS VPN，并有HFC手段，在跨MPLS骨干之后，可以有全网络的MPLS VPN。

MPLS VPN的业务，测试的软件以在现场取得成功，不久将正式对用户Release，

- Cisco的CM可以支持Bridge和Router两种方式，当支持Router方式时，可以提供延伸到用户端的VPN节点。可以提供IP SEC和IP Tunnel等到用户端(CM)的VPN。

3.3.4 DSL接入方案

IP驱动的新型ATM/帧中继接入

传统ATM/帧中继接入，需人工配置点到点的PVC。跨越全省甚至全国的PVC配置工作复杂，维护成本高，耗时长。在IP宽带接入网上实现的基于MPLSVPN的IP驱动新型ATM/FR接入只需配置用户设备到IP接入网路由器间的PVC，并将IP接入网路由器上的该PVC子接口定义为该企业的VPN号即可。

用户端路由器通过HDSLModem连接到就近的ATM/FR接入交换机的E1/V35接口。如果该ATM/FR交换机通过ATM或帧中继接口与就近的IP宽带接入网的路由器有连接的话，就可在用户接口和与IP接入网路由器接口之间配置一个PVC。这样用户端路由器就连接到IP接入网的路由器上。将IP接入网路由器上的该PVC子接口定义成该用户企业网的VPN号，这个用户终端设备就可于IP接入网上具有相同VPN号的接口对应的企业网设备进行安全通信。以PVC形式连接到IP接入网上，或以以太网接入方式连接到IP接入网上的用户终端设备可实现任意到任意的直接通信，而不是基于PVC点对点连接时的星形结构(即，需一个中心用户终端设备来汇接所有其它地点的用户终端设备的连接)。

这种新型ATM/FR接入方式可大大节省运行维护成本，降低用户设备成本和线路租用成本。具有极高的竞争优势。美国AT&T覆盖全球的帧中继网就是采用了用MPLS IP VPN驱动的类似技术来实现“IP Enabled Frame Relay”业务。

ADSL接入

ADSL技术利用ADSL Modem在普通电话线上传输高速数据。中国采用DMT编码，可向用户提供8Mbps 下行和1Mbps上行速率。 ADSL主要向家庭和小型办公室用户提供Internet接入或企业VPN业务。

ADSL系统需要在C5端局放置ADSL复用设备(DSLAM)提供大量ADSL Modem，通过分频器(Splitter)与电话线和C5交换机连接。Modem将数据调制到较高频段，来自C5交换机的话音通过分频器耦合到电话线上。数据和话音在同一条电话线上送到用户端。用户端电话线连接到分频器上，话音被直接送到普通电话机上，数据则送到用户端的ADSLModem上。Modem上有以太网接口与LAN交换机或PC连接。Cisco还提供具有ADSL Modem的路由器(如676等)以便小型企业用户可方便实现Internet接入或VPN。

DSLAM通过以太网接口或ATM接口与IP接入网连接。C5端DSLAM价格一般为200美元/Modem。用户端ADSL路由器为300美元/个。如果用户端使用ADSL Modem，则价格会更便宜(约150美元左右)。

ADSL使用的局端设备和用户端设备较为昂贵。而且在普通电话线上传输的速率会受到线路质量的大大影响。目前国内提供的ADSL业务通常在1Mbps下行速率。因此，ADSL在国内要向普通用户推广存在价格的问题。而对企业用户来说，ADSL上行最多1Mbps，难以实现数据/话音/视频的应用。

3.4 路由选择及地址分配

性能优良的路由选择协议将使网络的压力减轻，提高网络的整体性能和利用效果。Cisco建议XYZ网络采用MPLS技术构造网络骨干的路由策略, 提供流量管理和 MPLS VPN 路由服务。

IP城域网络的路由策略可以分为以下5个部分考虑：

· 自治域的设置

· 城域网骨干路由策略

· 用户路由接入策略

· 国际出口ISP互联路由策略

· 组播路由策略

3.4.1 自治域的设置

外部选路协议的创建是为了控制路由表的扩展以及通过把路由域划分成独立的管理区以便为因特网提供更加结构化的模式，这些具有自己独立的选路策略的管理区称为自治系统（AS）。各IP城域网未来将作为一个独立的自治域存在，因此必须拥有自己的自治域号。建议由省网为城域网分配自治域号，各城域网路由设备将位于各自的域中，采用一致的路由策略进行管理。由于分配的自治域号码是一个保留的号码，采用保留号码的自治域不能够自由地和国际上的其它ISP实现对等互联，因此要在省网到国家网的出口过滤城域网的自治域号。

3.4.2 骨干路由设计

IGP 路由设计

目前，可以用于大规模的ISP同时又基于标准的IGP的路由协议有 OSPF 和 IS-IS 。Cisco的IOS系统可同时支持OSPF和IS-IS路由协议，同时不断在为这两种路由协议的标准化和扩展功能不断努力。两种路由协议均是基于链路状态计算的最短路径路由协议,，均在大型ISP网络中得到成功应用。

作为链路状态协议，IS-IS和OSPF有着许多相同的特征：

通过维护一个链路状态数据库,使用基于Dijkstra的SPF路由算法。

使用Hello包来建立和维护路由器之间的邻接关系。

使用域(area)来建立两个层次的网络拓扑。

具有域间路由聚合的能力。

都是无类(classless)协议。

通过选举指派路由器（Designed Router）来代替网络广播。

都具有认证的能力。

u （IS－IS）

IS-IS为ISO标准路由协议。 IS-IS的网络拓扑结构分为两个层次，即把Area分为主干Area和非主干Area，非主干Area之间网络流量必须通过主干Area。

下图是IS-IS 分Area的状态。所有的路由器都完全处于某一Area内，Area的分界点在线上，而不在路由器上。用来连接Area的路由器是Level 2和Level 1/Level 2路由器，和其它Area不直接相连的路由器是Level 1路由器。

由于网络链路的速度不同，为了区分链路速度和吞吐能力，达到最佳路径选择，可以设置 IS-IS链路的metric值。对于相同的链路，也可以提供不同的metric来影响路由器路由选择；以达到最佳路径选择。

下表为IS-IS链路 metric规划的例子

链路类型 Metric值

STM256/OC768c /10GE 2

STM64/OC192c 8

STM16/OC48c 32

GE 100

STM4/OC12c 128

STM1/OC3 512

FDDI/FE 1024

DS3 1536

E3/T3 2048

10M Ethernet 10240

T1/E1 40000

上面的IS-IS链路metric值虽然按照链路速度分配了不同的值；但在链路速度相同时，可采用不同的metric以达到最佳效果。

对于DS3速率以下的链路，主要是用来做用户接入应用，建议不要应用到骨干部分。如果必须采用低速链路，以可参考以上Metric值。

IS-IS 扩展性较好，IS-IS可以有多个Level-2 Area，这可以使骨干扩充更为容易。

IS-IS DR的处理过程比OSPF相对来讲，要简单一些。IS-IS占用网络资源较小，路由收敛和恢复时间快。IS-IS采用较小的协议数据包承载路由信息，这使得路由信息繁衍速度更快。

使用IS-IS时，必须使所有的Level 2路由器保持连通。

u （OSPF）

OSPF是一套链路状态路由协议，路由选择的变化基于网络中路由器物理连接的状态与速度，变化被立即广播到网络中的每一个路由器。每个路由器计算到网络的每一目标的一条路径，创建以它为根的路由拓扑结构树，其中包含了形成路由表基础的最短路径优先树（SPF树）。

下图是OSPF分Area的状态。OSPF Area的分界处在路由器上，如图所示，一些接口在一个Area内，一些接口在其它Area内，当一个OSPF路由器的接口分布在多个Area内时，这个路由器就被称为边界路由器(ABR)。每个路由器仅与它们自己区域内的其它路由器交换LSA。Area0被作为主干区域，所有区域必须与Area0相邻接。在ABR（区域边界路由器，AreaBorderRouter）上定义了两个区域之间的边界。ABR与Area0和另一个非主干区域至少分别有一个接口。

OSPF允许自治系统中的路由按照虚拟拓扑结构配置，而不需要按照物理互连结构配置。不同区域可以利用虚拟链路连接。

允许在无IP情况下，使用点到点链路，节省IP空间。

OSPF是一个高效而复杂的协议，路由器运行OSPF需要占用更多CPU资源。

BGP 路由设计

城域网在和外部网互联时，建议采用BGP路由协议作为其域间路由协议，进行路由信息的交换。边界路由器与其它自治域的边界路由器之间运行EBGP。为了避免由于各方面原因城域网将错误的路由信息广播至骨干网，我们建议在城域网边界上配置BGP路由过滤，只允许正确的路由信息通过骨干网广播。自治域内部的交换路由设备通过设置Default Route指向边界路由器，从而获知通向自治域外的路由信息；为了减少用户网络的波动对骨干网络的影响，建议在城域网将本网的IP地址段作整合后再对骨干网络进行广播；向外广播本域的路由信息，要做地址汇聚，通过Network命令或Redistribute命令向外发布。

在宽带IP城域网络内部，每个骨干路由器需要承载全部网络路由信息,因此，每个骨干路由运行IBGP路由协议。为使网络具有扩展性，建议将骨干节点的骨干路由器配置为RR (router reflector)路由器。所有的RR路由器做全网状连接。

3.4.3 用户路由策略

对于接入用户可采用两种路由策略：

静态路由 (Static route)

对于接入用户主要采用静态路由 (Static route)的策略。用户端采用DefaultRoute，在接入用户方路由设备上配置静态路由，指向接入的路由端口；并把用户路由信息广播到IGP路由。建议对一般客户采用静态路由方式。这样，可避免用户端路由波动对骨干路由造成影响。

BGP路由

采用EBGP与用户交换路由信息；采用BGP的Communities标识不同的BGP路由信息，方便服务的提供。

可以根据不同业务类型向不同用户提供BGP Default route、宽带IP城域网络骨干路由的BGP路由信息，或者全部Internet BGP路由信息。需要在用户接入处做BGP路由过滤控制。如图：

u 用户接入路由策略

在BGP用户接入端口配置 BGP Dampening 以减少用户路由波动的影响。需要对各种 EBGP路由信息加上不同的community string。保证网络路由的易管理和易维护。

3.4.4 ISP互联路由策略

由于各城域网各自运行独立的IGP，因此属于独立的自治域，城域网与省骨干网的路由交换必须通过EBGP进行。各城域网可通过EBGP接受省网的全部路由和其他城域网的路由。各城域网的本地路由在向省骨干网广播之前应进行必要的归纳和总结，以使全网的路由表最小，且城域网内单条路由波动时，不会造成全网的波动。为了避免造成非对称路由的出现，需要据实际运行情况调整BGP路径属性，人为的调整网络负载。在BGP接收路由信息上，需要对不同的Peer对象来的路由信息通过BGP community 加以区分；针对不同的BGP路由信息组，配置不同的路由策略，如：增加不同的路径属性，以达到出口的流量均衡。。

3.4.5 组播路由策略设计

组播能力可以最大程度地节省网络带宽资源，它可以使同样的数据无需在网络中传送多次即可到达终端用户。越来越多的因特网运营商看到了采用组播能力所能带来的潜在收入，在网络初期的网络应用中，主要包括无线节目发送，实时股票发布查询业务等，未来的网络应用包括远程教学，网上娱乐，网上游戏等。

组播协议包括组管理协议IGMP和组播路由协议（DVMRP、MOSPF、PIM等）。IGMP负责本地路由器到直接与它相连的子网的组播分组的发送，并不关心路由器间或跨越中间网络的组播分组转发。组播路由协议则完成路由器间和跨网络的组播分组的转发任务。终端用户通过IGMP协议通知路由器所希望加入的组播组，路由器确定出每个组播组内的用户所在的位置。

根据网络的实际情况，有两大类组播路由协议：密集模式和稀疏模式。两者之间没有固定的界限。一般说来，可以从两个方面详细区分：

组员分布非常广泛或组员占总用户数的比例较小时，建议采用稀疏模式。

密集模式适用于小型网络，其假设是全网有非常"密集"的组员存在，采用广播＋剪枝的工作策略。密集模式的路由协议包括DVMRP、MOSPF和PIMDM。

稀疏模式默认所有机器都不需要收多播包，只有明确指定需要的才予以转发。稀疏方式的路由协议包括PIMSM和CBT。

由于大量的基于组播技术的网络应用涉及视频和音频的应用，因而如何保证基于组播的服务质量的要求也至关重要。为此，Cisco公司开发了针对组播的服务质量保证技术，专门为组播业务建立了一个队列，该队列可以支持8个等级的服务。

Cisco IOS提供了功能强大的IP Multicast 路由协议：PIM Sparse Mode （Protocol Independent Multicast - Sparse Mode ） (RFC 2362),并提供Multicast BGP( MBGP)/ Multicast Source Discovery Protocol (MSDP)用于跨AS提供IP Multicast服务。

3.4.6 网络地址分配

IP地址分配基本概念

IP地址为32 位，包括两个部分：网络地址和端机地址，如下图所示：

IP 地址包括五种不同的级别，由左端高位的比特来表示不同的级别，如下表所示：

其中A、B、C 级别是国际互联网上公共分配的地址，每一种级别网络地址与主机地址占用的位数见下图所示：

一个IP 地址可以很容易地从其第一个十进制数字上识别出来，是属于那一个级别，各级别分别有一定的数值范围，如下表所示：

在每一个IP地址级别中又可以分出多个IP子网地址，子网地址给属于同一个IP地址的网络带来了灵活性和有效性。例如，一个用户被分配以网络地址171.16.0.0，那么，采用IP子网地址又可以分出：172.16.2.0， 172.16.3.0，172.16.3.0 等子网地址，子网地址由用户自己管理。

IP地址分配原则

IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。城域网IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。

IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对城域网的可用性、可靠性与有效性产生显著影响，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。

通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此，核心层应象一个区域或一个节点一样，被分配一段连续的地址。更进一步，连接进某一区域的节点的IP地址范围应集中在该区域的地址范围附近。

IP地址规划遵循以下原则：

IP地址的规划与划分应该考虑到城域网的业务飞速发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；

IP地址的分配需要有足够的灵活性，能够满足各种用户接入如拨号、专线用户等的需要；

地址分配是由业务驱动，按照业务量的大小分配各地的地址段；

IP地址的分配必须采用VLSM技术，保证IP地址的利用效率；

采用CIDR技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；

充分合理利用已申请的地址空间，提高地址的利用效率。

在申请IP地址时，需要考虑一至两年时间网络发展的趋势，制定较为宽松的IP地址使用空间，申请较多的IP地址来适应网络发展的需要。

宽带IP城域网络作为ISP骨干需要大量的注册IP地址空间，以便能够提供 ISP服务业务。根据申请的地址空间和域名，IP地址的分配可以根据以下几个层次考虑：

第一层：以网络汇接区域来划分

根据网络汇接分布的地理区域来划分大块连续的IP地址空间；有利于路由协议的计算和地址汇聚。

地址划分需要考虑网络的接入层的扩展，需要为网络的扩展预留地址空间。

第二层：在区域接入网内，以网络功能来划分

可以根据不同的应用和网络功能来划分，如：用户网络接入地址；数据服务器地址空间和网络管理操作。可以从号码上识别出应用和功能；

3.5 网络安全设计（请根据具体情况进行分析）

3.5.1 MPLS VPN的网络安全

基于MPLS的VPN解决方案中，通过结合BGP、IP地址解析和可选的IPSEC加密保证安全性。

Border Gateway Protocol

BGP是一种路由信息分布协议，他规定了谁可以和谁通过那些协议和属性进行通信。VPN的成员属性由进入VPN的逻辑端口号和分配给每个VPN的唯一的RD（路由标志：Route Distinguisher）决定。最终用户并不知道RD的值，只有预先定义的端口才能参与VPN的通信。在基于MPLS的VPN中，BGP在边缘LSR之间交换FIB（Forwarding Information Base）表更新，并且这种交换只在存在更新的VPN站点的边缘LSR上发生，这样可以保证每个LSR只保存与自己相关的FIB表和VPN信息。

由于每个用户的逻辑端口号决定了他的DR，而这个DR是在VPN定义时与某个VPN唯一相关联的，因此，用户只能访问与他相关联的VPN，他只能意识到这个VPN的存在。

在核心层，路由器使用标准的IGP交换信息，对于IGP的规划，可以见下面介绍。

IP地址解析

基于MPLS的IP_VPN网络更加容易实现与用户IP网络的集成。最终用户可以保留他们原有的应用和IP地址，无需进行NAT，甚至无需进行任何改动就可以穿过基于MPLS的VPN，其中的主要原因在于RD的唯一性。

在基于MPLS的VPN网络中，服务提供商为每个VPN定义了唯一的一个RD，将每一RD和VPN的IP地址相结合，这对于每个端点是唯一的。VPN的IP地址的入口信息被存储在VPN相关节点的FIB中，VPN的IP转发表中包含与VPN地址相应的标记。这些标记将流量路由到它应去的节点。由于标记代替了IP地址，用户无需使用NAT或服务提供商提供的地址，可以保留自己的私有地址。

由于使用RD和BGP来实现VPN的互连，不同的VPN之间根本意识不到其他VPN的存在，如果需要连接到EXTRANET VPN，只需要通过RD定义两个VPN之间的信任关系。

u IP SEC加密

尽管基于MPLS的VPN提供了很高的安全性，用户仍然可以选择对数据进行加密后传输，加密可以在用户的CPE处发生，应该在信息传送到服务提供商的网络之前完成加密。

3.5.2 防火墙

对XYZ宽带IP关键业务主机系统及相关应用服务器设置防火墙。同时为保证业务的不间断运行，还需采用两台防火墙加装专用高可用控制软件，组成计算机集群。两台主机设置相同的浮动地址，正常情况下两台防火墙不断同步自己的状态检测表，一旦某台防火墙出现故障，Cisco PIX failover会自动将它的IP地址切换到另一台防火墙上，这时，所有的业务数据流都转移到正常的防火墙上，切换时间只需数秒，能够保证业务系统连续正常运行。

Cisco PIX防火墙以及Cisco IOS防火墙特性保护重要资源免受未许可访问的入侵。许多现有的安全控制机制是建立在静态访问列表(ACL)基础之上的，ACL只能在网络层，最多在传送层进行传送监控。现在，有了关联访问控制(CBAC),动态的应用监测和控制功能得以实现。CBAC在CiscoIOS防火墙特性集中占重要地位。通过检查和跟踪应用层协议状态信息，CBAC增加了智能性。它可以根据会话状态的信息动态地创建或删除ACL条目。同时，CBAC还对信息包控制通道进行监测控制通道中的应用特定命令。这是个极为重要的功能，因为许多应用协议(如H.323,FTP,RPC等)都包括多个创建的通道，这正是控制通道中动态协商的结果。

3.5.3 数字加密

加密技术实现了敏感信息如计费数据的安全传送，杜绝了未授权的查看和修改。Cisco提供了各种基于硬件的加密方案。CiscoIOS软件加密技术已应用于大多数Cisco产品之中，支持56位和40位数字加密标准(DES)。同时，Cisco推出了针对路由器的硬件加密，这提高了高速接口上高吞吐量应用的加密性能。