2014年等级答辩(IP城域网规划)V2程序.ppt

* * * * BFD+VRRP 站点双设备冗余部署 链路双上行部署 链路捆绑技术部署 …… 端到端保护倒换技术部署 保护倒换是实现网络发生故障时业务从主用通道到备用通道的过程。冗余是保护倒换的前提，保护切换的速度是技术部署成败的关键。 保护倒换技术分为节点级、链路级、网络级保护倒换三大类。 PE PE CR/P CR/P PE PE 城域网 家庭 企业 接入网 接入网 家庭 企业 Server Database CN 硬件/软件冗余 主控/交换/电源/风扇等冗余 控制/转发平面分离 热插拔/热补丁/GR/ISSU …… 组网冗余 组网冗余 CE CE BFD+VRRP IGP FC IGP FC/LDP FC LDP FRR/TE FRR BFD+VRRP ZESR/ZESS PW1:1/TE FRR Eth: MPLS-TP: ZESR/ZESS PW1:1/TE FRR 业务控制设备的备份技术提升网络可靠性 备份方式1：冷备 备份方式2：热备 BMSG2 R1 R2 BMSG1 SW DSLAM1 VLAN1001-2000 VLAN2001-3000 备份组 重新建立连接 DSLAM2 BMSG2 R1 R2 BMSG1 SW DSLAM1 VLAN1001-2000 VLAN2001-3000 备份组 DSLAM2 SIBP BMSG异地双机热备系统，对BMSG之间用户进行实时同步控制，对接入的PPPoE/IPoE/IP Host及大客户VPN用户实时保护。 双机热备已经成为CCSA标准 标准 说明 路由协议部署 QoS部署 可靠性部署 IPv6部署 安全性部署 MPLS VPN部署 IP城域网技术部署 组播协议部署 IP地址规划 城域网安全性技术总体规划 PE PE CR/P CR/P PE PE 城域网 家庭 企业 接入网 接入网 家庭 企业 汇聚层 L2/L3 VPN Route Damping IP Damping MD5 authentication uRPF Anti-DDoS ACL CAR 接入层 VLAN isolation Private VLAN Broadcast Limit DHCP snooping Anti ARP spoofing MAC Limit MAC banding ACL 骨干层 VPN业务隔离 流量监控 流量清洗 网络管理 SNMP V3.0 NetFlow SSH 2.0 NTP TACACS+ 安全不是单个产品或者技术的安全，而是整个系统的安全 根据各网络层的特点部署对应的安全技术可以确保整个网络的安全 全网联动，整体协同 全网策略的统一部署，无需人员干预 网络安全策略统一下发 终端安全补丁下发 Internet 安全产品之间不是孤立无援的，而是互相协作的 系统安全整体协同 整体网络联动防御 Internet IPTV 网管中心 计费中心 Softswitch PolicyServer DSLAM PC TV VoIP PC TV VoIP BMSG SR SR SR 联动部署：BMSG + DPI + PolicyServer 内/外置DPI SW 实现基于用户等级的差异化服务 实现基于业务类型的差异化服务 Servers FW SW PC BMSG * 清洗平台防范DDOS攻击 流量清洗部署模式 典型网络拓扑 网络出口 流量镜像 发现攻击，通知管理平台 通知清洗平台，开启攻击防御 异常流量牵引并清洗 1 2 3 4 正常流量回流 异常流量牵引 增强网络的自动恢复能力，减少维护成本！ 实现对DDOS攻击与正常业务混合在一起的流量进行清洗，过滤掉DDOS攻击流量，保留正常业务流量 实现了对DDOS攻击流量的就近清洗，利用骨干网VPN能力，解决了流量回送瓶颈 集中部署流量清洗系统 监控平台 管理平台 清洗平台 IP CORE IP MAN Passive模式 Active模式 将现网业务流量通过分光器导入Passive路由器，基于安全策略对流量进行过滤，然后通过专用隧道传送到内容分析平台。 优势：与业务网络分离，不会影响现网流量；劣势：增加额外设备投资和维护 Active路由器接受Radius控制策略，分析过滤部分现网流量，然后通过专用隧道传送到分析平台。 优势：利用现网设备，节省投资；劣势：路由器同时负责业务转发和流量过滤镜像，增加负担 监听内容分析平台 合法监听 Lawful-Interception 接入网 AAA/OSS CE PE Multi-Service Access 司法机构LEA Radius LI控制信令 LI控制信令 监听内容通过IPsec或者GRE等隧道技术传送到分析平台 Network for LI 过滤后的流量 过滤后的流