深圳市IP城域网组网设计方案.doc

目 录 一、设计原则 3 二、设备用途说明和命名规则 6 2.1 Site代码 6 2.2 设备命名规则 6 2.3 设备用途描述 7 三、网络架构 11 3.1 核心骨干模块 (backbone) 11 3.2 Internet(163/169)连接点模块 13 3.3 IP VPN服务模块 14 3.4 商业Internet接入模块 18 3.5 小区Internet接入模块 20 3.6 政府上网接入模块 22 3.7 主机托管模块 23 四、设备互连 25 4.1 远程连接 25 4.2 本地连接 25 4.3 设备插槽分配策略 26 4.4 VLAN编号和用途说明 26 五、IP地址 29 5.1 IP地址模式 29 5.2 域内路由协议(IGP) 29 5.3 IP地址分配 29 5.4 IP子网规划 30 六、和163/169的连接 33 6.1 缺省路由 33 6.2 EBGP出口路由设计 34 6.3 在多出口上实现流量均衡 34 七、MPLS VPN PE-CE的连接 36 八、VPN的Internet接入 38 8.1 VPN Internet 网关 38 8.2 VPDN for VPN 40 九、NMS 网段 42 十、安全控制 45 十一、QoS 48 11.1 可选择的工具 48 11.2 实现的模型 49 附件一：IP地址分配计划表 53 附件二：小区Internet接入方案 58 1、SSO（Service-Sign-On）系统 58 2．Redback SMS宽带接入服务器 62 3．两种方式的比较。 63 附件三：图表 65  一、设计原则 随着深圳电信的互联网业务的快速发展，可以预测的用户需求在几年内将成几何级数增长，同时，随着中国加入WTO的时间表的逼近，来自各个方面的竞争压力不断增加。但是，目前深圳电信的互联网基础设施还不够发达，不足以迅速占领市场的制高点，在未来的竞争中立于不败之地。 因此，深圳电信局决定建设一个先进的、灵活的、可靠的、基于标准的城市骨干通信平台，使得深圳电信能够基于这个平台，针对市场上IP用户的大量宽带多媒体应用的需求，迅速推出一系列崭新的宽带多媒体业务，从而吸引更多的用户，增加市场竞争力，实现网络的商用价值，并为今后满足市场新的业务需求而迅速推出新的业务打好基础。 深圳IP城域网一期工程的建设目标是将IP城域网建成为数据业务的统一骨干平台，在此平台上为政府、企业、学校提供高速接入，同时提供VPN等增值业务。 基于以上的建立目标，深圳IP城域网的设计原则为： 可靠性原则； 可扩充性原则； 简单和易于管理的原则； 可以集中管理的原则； 效率高； 和现有网络有较好的集成； 安全性； 网络可靠性通过下述的设计思路来达到： 在网络核心层进行Partial meshed冗余物理连接； 接入层设备通过Dual homing双连接到核心层； 网络采用多出口设计到Internet(163/169)； 在接入层采用Route summarization减少边缘链路波动对核心的影响； 合理采用静态路由，提高可靠性； 网络可扩充性通过下述的设计思路来达到： 网络采用明显的“核心—分布”层次结构； 简单而有效的IP地址分配策略； 采用可靠和可扩展的IGP路由协议； 简单和易于维护性通过下述设计思路来达到： 所有的网络设备被分配专门的用途； 避免复杂的配置； 网络设备命名直观而易记； 统一的slot、port、VLAN的分配策略； 每台设备都配有loopback地址，易于维护； 集中管理通过下述设计思路来达到： 为中央网络管理系统配有专门的管理网段； 从中央网管网段可以到达所有设备； VPN PE-CE连接从NMS网段同样可以到达； 为所有互连网段包括VPN PE-CE连接都采用合法IP地址； 运行的高效性通过下述设计思路来达到： 核心层互连链路采用相同接口类型和相同速率，便于作负载平衡； 城域网内部采用缺省路由配合IGP metric作出口选择； 和Internet的多连接上采用BGP MED特性进行负载分担； 和现有网络的集成通过下述设计思路来达到： 采用开放的、标准的路由协议将城域网分为多个路由区域，现有网络可以通过单独的域连接上来； 和Internet(163/169)的BGP连接通过保留的AS号，这样不会影响广东省和中国电信163/169网络出国的BGP路由； 安全性通过下述设计思路来达到： 对所有重要事件进行log； 限制对设备的SNMP和TELNET； 采用NTP协议对全网的设备进行同步； 对不安全的端口上将路由协议进行Passive，防止不必要的路由泄露； 对网络设备的User和Privilege状态进行存取控制； 网络总体