浅析城域的网络规划建设.doc

解决方案 城域网网络规划建设浅析 □蒯红兵 （中国联通四川分公司网络建设部,成都610041） 摘要：本文重点分析了当前城域网在网络建设规划中必须考虑的问题，提出了城域网规划建设需要考虑的主要内容和方式、方法，为后期城域网规划建设提供指导思路。 关键词：城域网 规划建设 安全 流控 BAS 接入网 在近十年的宽带发展中，城域网伴随着网络业务的发展而快速发展，从早期基本上无管理的交换型网络，逐渐通过路由化改造和BRAS端局化演进为具备对用户可运营可管理的路由型网络。客户需求由简单的互联网业务发展为全方位的信息交流以及个性化的娱乐消费。新的业务对网络提出了新的要求，其特征表现为大带宽接入、精细化运营、多业务承载、网络安全可信任以及FMC融合。现有的IP城域网要满足新的宽带业务的发展要求，实现业务多样化和差异化，并提升宽带客户的体验，就需要在网络建设中进行合理规划和不断优化。 一、现有城域网业务分析及对策 根据CNNIC2008年1月提供的中国互联网络发展状况统计报告数据：前类网络应用的使用率按高低排序依次是：网络音乐即时通信网络影视网络新闻搜索引擎网络游戏电子邮件。体现互联网娱乐作用的网络音乐、网络影视、网络游戏等排名靠前，中国互联网市场娱乐功能占主体地位。fixed-mobile convergence，固网与移动网的融合ypass交换机进行保护；但随着流量的增大，要逐步考虑以分光链路复制流量来分析、扰流来控制的方式进行流量分析控制。 流控设备一般分为DFI（深度流检测）和DPI（深度包检测）两种方式进行流量检测。DPI的优势为：可细分每种P2P业务流，识别P2P准确率高，基于用户对P2P管理策略的要求，可对各种P2P业务进行控制，但需要及时更新检测模板，才能识别新的业务应用。DFI 检测技术的优势为：处理性能高，能够识别加密和变异的P2P流量，适合应用在网络的核心骨干层；因为可识别隐藏在已知流量中的P2P，如果网络上出现新的P2P，只需调整P2P的识别模板，无需实时更新软件，维护成本低、易于维护。在实际中，最好能采用先实施DPI分析，然后采用DFI分析，充分利用其各自优点进行流量分析和控制。 总之，在城域网部署流控及分析设备是很有必要的，为后期业务的发展提供了必要的分析数据，以达到有的放矢，使网络向智能化发展。 三、“ BAS＋NAT”的规划建设 随着宽带用户的数量增加，原有的包月不限流量的粗放方式渐渐妨碍运营商的业务发展，引进BAS（宽带接入服务器），从而实现对用户的管理、认证计费、安全控制的功能，而且随着城域网承载多业务的发展，BAS还要逐步实现业务识别、接入控制、策略实施和业务分流及部分增值业务特性。 BAS位于业务接入控制层，是实现业务综合化、业务差异化和业务可控化的关键部件，是二层宽带接入网与三层IP网络的转换点，是个人用户业务的接入控制点，需完成多业务的接入认证与管理、业务的控制及计费信息采集等。为此，城域网中BAS的规划建设就更为重要。在原有的没有BAS的网络中，往往终结用户二层信息的是汇聚层三层交换机，但BAS一旦上线，就需要其下层网络全部为二层网络，原有的用户接入的三层设备要全部取消，其分层抗击攻击的情况转化为全部集中到最终终结的BAS上，造成二层流量因攻击流量加入有明显增加。对此接入网的VLAN划分就很重要，最好实现每个用户一个VLAN，以隔离广播风暴和减少病毒感染造成的攻击。而在BAS的布置上，根据业务量划分不同的等级，在流量较少的情况下，布置并发数量少的设备，随着业务发展，并发用户数量的增加，逐步考虑将小容量BAS下移到用户相对集中的业务汇聚点，局端采用更大容量的设备以支持其余相对分散的用户的接入。同时BAS必须考虑后期视频组播业务的支持能力，以保障后期组播业务的开展。 在整个城域网网络拓扑中，BAS上行的流量往往存在一个用户的数据流，如果用户的分配地址全部采用公网地址的话，那么就不需要网络地址转换（NAT） 四、安全网关的规划建设 随着互联网用户的不断发展，黑客和攻击手段的简单化，蠕虫等病毒快速发展，基于僵尸网络的黑色经济的发展，城域网被攻击的现象越来越多。作为城域网安全的网络规划主要是考虑城域网自身的安全，而不是以用户电脑中毒为防护的主要目标。普通互联网用户的电脑中毒，账号/个人信息被盗、被改被仿冒网站欺骗业务逐步向一个开放的业务推送平台(Open Service Delivery Environment)演进，并在此平台上提供固定移动结合的IPTV/三重播放业务、基于IMS的语音和多媒体业务，以及为企业网提供的统一通信业务等。网络转型则牵涉到IP宽带网的各个层面，包括光传输层(WDM)、基于MPLS的IP核心网、基于业务路由器的多业务边缘层、基于运营商级的城域以太网汇聚层和有线固网宽带接