城域网实施方案

XX省电信公司 城域网网络建设项目

技术实施方案

（YY市节点）

中盈优创资讯科技有限公司

2004年4月

YY市电信城域网扩容工程

目录

第1章 城域网建设介绍 ................................................................................................................. 1 第2章 网络结构设计 ..................................................................................................................... 2

2.1 网络层次划分 .................................................................................................................... 2 2.2 网络拓扑图 ........................................................................................................................ 3 第3章 设备命名、接口参数 ......................................................................................................... 4 3.1 设备命名 ............................................................................................................................ 4 3.2 电路描述 ............................................................................................................................ 5 第4章 YY市城域网路由部署 ...................................................................................................... 6 4.1 OSPF协议 .......................................................................................................................... 7 4.2 BGP协议 ............................................................................................................................ 8 4.3 接入层的路由 .................................................................................................................... 8 第5章 YY市IP城域网MPLS VPN解决方案 ........................................................................... 9 5.1 MPLS VPN 概述 ............................................................................................................... 9 5.2 MPLS VPN中MP-BGP的规划........................................................................................ 9 5.3 IGP路由和LDP规划 ...................................................................................................... 10 5.4 MPLS VPN中VPN的规划和实施 ................................................................................ 11 第6章 IP地址、Vlan规划方案 ................................................................................................. 13

6.1 IP地址分配原则 .............................................................................................................. 13 6.2 IP地址分配方案 .............................................................................................................. 14 6.3 Vlan规划方案 .................................................................................................................. 15 第7章 网管及安全 ....................................................................................................................... 17

7.1 网管 .................................................................................................................................. 17 7.2 安全 .................................................................................................................................. 17 第8章 网络割接 ........................................................................................................................... 18 8.1 割接原则 .......................................................................................................................... 18 8.2 割接步骤 .......................................................................................................................... 18 附一：设备名称及IP地址分配表 ............................................................................................... 21 附二：设备连接图 ......................................................................................................................... 21 附三：单点测试报告 ..................................................................................................................... 21

机密

中盈优创资讯科技有限公司

第 1 页

4/4/2013

YY市电信城域网扩容工程

第1章 城域网建设介绍

XX电信经过省网一期，二期的建设后，网络规模不断扩大，业务迅速增长，城域网建设需求越来越强烈。

基于原有城域网建设的简单设备的堆砌的方式已经远远不能满足新业务发展的需要。

因此，此次XX城域网建设，本着最大程度的适合新业务的开展，有利于未来几年业务的发展的原则，进行了城域网设备选型和技术方案的设计和实施工作。

在城域网设备选择上，选用了华为公司的NE40-8高性能通用路由器作为城域网核心及汇接设备，并且由于在我们北方电信缺乏ATM和DDN资源的情况下，为了开展省内大客户的专线业务，在全省城域网内开展了基于RFC2547bits的MPLS/VPN业务，采用MBGP来承载VPN路由。

在设备命名上，也采用了新的命名规则，本着统一清晰的原则，一次分配长久使用。

在此次工程的IP地址分配方面，为此次工程，XX电信新申请了3个B类地址，并针对每一个地市的城域网建设，为城域网互联地址，设备LOOPBACK地址，应用地址，网管地址，用户地址等等做了统一的规划部署。

机密

中盈优创资讯科技有限公司

第 1 页

4/4/2013

YY市电信城域网扩容工程

第2章 网络结构设计

本次工程，将在原有网络的基础上，按照网络的扁平化原则，对网络结构进行设计，简化网络的结构和管理；对汇聚层网络进行扩容和优化，满足网络在未来一到两年内对业务的支撑能力。因此，在网络结构设计方面，我们将完成如下工作：

? 网络层次划分 ? 核心节点设计 ? 汇聚节点的设计

2.1 网络层次划分

按照网络扁平化设计原则，我们将对YY市城域网进行统一规划，统一建设，统一管理。将城域网络整个网络划分为核心层、汇聚层、接入层：

核心层设计为：

? 根据城域网业务量分布，选择2个节点构成核心层；

? 2个主核心节点直接汇聚主城区和近郊县汇聚节点的流量，所有的流量

都通过这两个主核心节点汇聚到省骨干网。

? 核心节点华为NE40设备，为全城域网范围的用户提供流量汇聚，并向

核心出口路由器进行转发； 汇聚层的设计为：

? 根据城域网地域特性和具体地理分布的情况，在城区及各郊县设置多个

汇聚节点，负责汇聚本地流量或者下级的汇聚节点的流量，汇聚节点内部署华为NE40设备，根据目前城域网的传输资源的条件，使用GE或者MSTP电路星形或者环形的方式上联核心，根据流量增长，可以利用等开销的流量负载均衡，提高链路带宽利用率并提高网络的可靠性； ? 选择分布式部署BAS设备，在每个汇聚节点部署一台华为MA5200设

备为本区域范围内的宽带居民用户提供业务接入； 接入层的设计：

机密

中盈优创资讯科技有限公司

第 2 页

4/4/2013

YY市电信城域网扩容工程

? 本期工程不包括接入网络的设计，但是在后续章节中会对接入层的业务

模式提出建议。

2.2 网络拓扑图

海关路罗庄华鲁五中华苑沂蒙图例MA5200海关路核心1海关路核心2NE40GEMSTPFE莒南(70KM)临沐郯城苍山河东沂水沂南（80KM)费县平邑蒙阴（100KM)南坊

2个核心节点内将各部署高性能三层核心路由器一台，通过核心设备汇聚下级汇聚节点的用户流量。

核心节点内的核心交换机以GE链路上连至本核心节点的核心出口路由器，同时以一GE上连至另一主核心节点的核心交换机，从而达到冗余的目的。城域网核心设备通过IP路由模式与下级汇聚节点进行通信，并将所收敛的流量通过路由方式转发给省网层面的接入路由器。

通过本次工程建设，在城区和周边郊县将具备多个汇聚节点，各汇聚节点只负责节点覆盖范围内的流量的汇聚，通过本地节点中部署的NE40及MA5200向覆盖范围内的商业和居民用户提供接入服务。

机密

中盈优创资讯科技有限公司

第 3 页

4/4/2013

YY市电信城域网扩容工程

第3章 设备命名、接口参数

3.1 设备命名

当设备加入到数据城域网络中时，应给设备配置逻辑名称，即设备的Hostname，城域网三层设备逻辑命名规则如下：

命名方案：设备类型(n)-设备功能-(地市缩写)(县市区安装地点缩写)-机房编号.Mnet

设备类型(n)：

r：表示此设备为路由器 s：表示此设备为交换机 b：宽带接入设备

n：所在机房的同类设备编号，范围从1开始递增 设备功能：

ce：表示为MPLS VPN的CE设备 a：表示为接入设备 g：汇聚层设备 c：核心层设备

地市缩写：安装地市的前两个汉字拼音的第一个字母的组合，如下所示：

各地市缩写

节点名称 济南 青岛 烟台 菏泽 威海 潍坊 YY市 济宁 机密 中盈优创资讯科技有限公司

缩写名称 Jn Qd Yt Zb Wh Wf Ly Jg 节点名称 日照 泰安 枣庄 东营 莱芜 荷泽 聊城 滨州 第 4 页

缩写名称 Rz Ta Zz Dy Lw Hz Lc Bz 4/4/2013 YY市电信城域网扩容工程

德州 Dz 县市区安装地点缩写：为设备安装具体县市区汉字拼音的第一个字母组合 机房编号：表明设备所在县市区的多个机房编号，两位数字 Mnet：表明设备属于本地城域网设备。

设备命名详见《附一 设备名称及IP地址分配表》

3.2 电路描述

为了方便维护需要为端口添加描述，增加配置的可读性，在端口配置时需增加电路描述，规则如下：

本端设备 To 对端设备 端口（或用户）(其它信息) 其它信息：电路编号、合同号、联系电话等,可选。

示例：

（1）r1-c-bzzx-01.Mnet端口1/1/0与r1-g-bzhgc-01.Mnet端口2/1/1GE中继互联电路, r1-c-bzzx-01.Mnet侧的端口1/1/0的电路描述：

r1-c-bzzx-01.Mnet To r1-g-bzhgc-01.Mnet 1/1/0（GE S-1N2002IP）。

（2）b1-a-bzhgc-01.Mnet 端口2/25接入百花小区的FE用户电路，b1-a-bzhgc-01.Mnet侧端口2/25的电路描述：

b1-a-bzhgc-01.Mnet To baihuaxiaoqiu (Tel：用户联系电话)

机密

中盈优创资讯科技有限公司

第 5 页

4/4/2013

YY市电信城域网扩容工程

第4章 YY市城域网路由部署

依据省电信公司的二期、三期网络建设规划原则，为了将省干路由区域与城域路由区域进行有效的划分，并实现路由优化，建议在核心节点出口路由器以下运行与省干IS-IS相区别的OSPF路由协议，作为城域网的IGP。路由协议，同时城域网两台核心设备运行eBGP协议与省网交换路由信息

在城域网建设中不进行区域的划分，整个城域网内部作为一个OSPF Area 0。为了减少路由表的大小，采用如下的方式：在汇聚三层交换机以下如需以三层路由模式接入下级L3设备或接入专线用户，建议使用静态路由协议与此类下级L3设备通信。同时在汇聚三层交换机利用路由协议重分发（Redistribute）的方式，将静态路由注入到OSPF路由域之中，需要时使用asbr summary的方式过滤掉细致的路由条目。

城域网与省网采用eBGP协议交换路由信息，城域网采用私有AS号。城域网两台核心设备与省网接入设备分别建立eBGP peer，同时两台城域网核心设备建立iBGP peer，城域网汇聚层设备不运行IPv4的bgp。

出流量方面：省网层面的接入路由器向城域网的两台核心设备广播全国路由表，并将省网IGP的Metric值作为BGP的Med广播给城域网核心，以引导城域网核心设备选择最优的出口设备，并将穿透流量压在城域网核心两台设备之间的GE电路上（城域网两台核心设备通过OSPF各广播一条默认路由以引导城域网汇聚层的出流量，注意在城域网施工时期城域网核心设备不能广播默认路由，而使用现有省网接入设备发布的默认路由）。

回流量方面：城域网核心设备通过eBGP向省网广播城域网汇聚路由引导回流量，城域网内部采用OSPF引导。整个路由策略如下图所示：

机密

中盈优创资讯科技有限公司

第 6 页

4/4/2013

YY市电信城域网扩容工程

省网AS 17633ISIS/iBGPeBGP引导城域网出入流量iBGPOSPF发布默认路由引导汇聚层出流量eBGP城域网核心层城域网汇聚层静态路由默认路由城域网AS 64581城域网接入层

4.1 OSPF协议

4.1.1 层次

全部城域网设备运行于OSPF Area 0

4.1.2 运行设备及链路

? NE40

1. 与省网层面的接入设备之间的互连电路:passive 2. 与城域网其他NE40之间的互连电路 3. 与S8016之间的互连电路 4. loopback接口:passive ? S8016之间GE链路

1. 与NE40之间的互连电路 2. loopback接口:passive

4.1.3 Cost值

COST值的设计主要考虑使用等代价路径的方式达到负载冗余，同时避免流

机密

中盈优创资讯科技有限公司

第 7 页

4/4/2013

YY市电信城域网扩容工程

量承载到低带宽的电路上及不必要的流量穿透

? ? ? ? ?

两台城域网核心的GE链路：80

两台城域网核心到其他汇聚设备(NE40/S8016)的GE/POS链路：50 两台城域网核心到其他汇聚设备(NE40或者S8016)的FE链路：500 汇聚设备之间的GE/POS链路：50 汇聚设备之间的FE链路：500

4.1.4 其他

两台城域网核心路由器向城域网广播的OSPF默认路由类型为type one，初始Cost值为100。

4.2 BGP协议

4.2.1 AS号

64581

4.2.2 运行设备

只有两台城域网核心设备运行常规的BGP。

4.2.3 路由宣告

城域网核心设备使用Network及指向Null0的静态路由向省网宣告路由，路由宣告时不作任何控制。两台核心设备宣告的路由必须保持一致，以达到负载及冗余的目的。

4.3 接入层的路由

网络施工时，汇聚层设备上设置指向MA5200 loopback地址的静态路由，业务开展时汇聚层设备设置指向业务网段的静态路由。接入层设备MA5200设置指向汇聚层的默认路由。

机密

中盈优创资讯科技有限公司

第 8 页

4/4/2013

YY市电信城域网扩容工程

第5章 YY市IP城域网MPLS VPN解决方案

5.1 MPLS VPN 概述

MPLS VPN作为新兴技术其在网络应用上有广阔的前途，在XX电信网络平台上，将在业务许可的情况下开展此项业务。以完成XX电信业务全程覆盖的需求。目前需要在省IP城域网范围内部署MPLS VPN，为将来VPN业务的开展进行良好的准备。因此菏泽IP城域网MPLS VPN 实际是XX电信全省MPLS VPN网络的一部分，在规划中将直接对全省MPLS VPN进行规划。

采用MPLS/VPN技术，分为两个层面即控制层面和转发层面：其中转发层面主要指设备本身的MPLS转发机制；控制层面使用MP-BGP（多协议BGP）和LDP（标签发现协议），其中MP-BGP用于交换VPN路由信息，LDP用于建立标签以便使用MPLS进行转发。因此整个MPLS VPN的设计主要指MP-BGP及LDP两个协议的规划和实施，另外在MPLS/VPN架构完成后在全省范围内部署MPLS VPN还应包括VPN的规划和实施。

5.2 MPLS VPN中MP-BGP的规划

由于目前一期、二期省骨干网络中已经部署BGP，为了尽量减少网络复杂程度，便于管理、便于实施，XX电信全省MPLS VPN网络中MP-BGP的运行将严格和省网中 BGP进行隔离。

由于城域网与省网分别属于不同的AS，并运行eBGP路由协议，因此MPLS/VPN省网与城域网的互通方面需要采用Inter-AS技术，即城域网一台核心设备作为PE设备与省网层面的PE设备采用GE互连，两者之间采用基于Inter-AS的MP-BGP技术互通VPN信息。

城域网方面鉴于PE设备较多，如果建议全连接的MP-BGP，将会使的BGP邻居太多无法有效管理，因此采用RR技术，选用城域网两台核心设备作为RR，互为备份。下面的汇聚层PE分别与这两个RR建立MP-iBGP peer。

整个MP-BGP关系如下图所示：

机密

中盈优创资讯科技有限公司

第 9 页

4/4/2013

YY市电信城域网扩容工程

MP-BGP RRBGP RRBGP RRMP-BGP RR省网17633省网PE设备MP-BGP RRMP-BGP RR城域网64581MP-eBGPBGP

5.2.1 运行设备

城域网所有的NE40设备，均为PE设备。

5.2.2 路由反射器

r1-c-lyzx-01.Mnet: 使用loopback地址作为cluster id，即222.174.160.1 r2-c-lyzx-01.Mnet: 使用loopback地址作为cluster id，即222.174.160.2

5.3 IGP路由和LDP规划

LDP主要包括两部分配置： 1) 在设备上启用LDP

2) 在进行MPLS转发的接口上启用LDP

3) 为了减小设备的压力，LDP只为城域网内设备的loopback地址分配标签

机密

中盈优创资讯科技有限公司

第 10 页

4/4/2013

YY市电信城域网扩容工程

（设备默认方式）。

5.3.1 运行设备及链路

? 城域网所有NE40

1. 与其他PE设备互连的GE电路 2. 与其他PE设备互连的POS电路

3. 与其他PE设备互连的FE电路（注：NE40 的16口以太网LAN板不支持MPLS，因此如果PE设备之间使用该板上端口互连，则互连端口上不能启用LDP）

5.4 MPLS VPN中VPN的规划和实施

VPN规划中最重要的就是RD和RT的规划，特别是RT的规划决定了以最合理的方法控制VPN。

5.4.1 RD的规划

实际业务开展之后，建议按照如下原则分配RD：

1) 全省范围或者多个地市间的MPLS/VPN用户，建议RD采用XX电信

AS号码 17633，并将此类用户的VPN路由面向全省进行广播，形式为17633:YYY，其中YYY为VPN号，由省里统一分配，其中1～1000预留测试或者其他用途，其后为用户开放。

2) 地市城域网范围的MPLS/VPN用户，采用地市的私有AS号来标识RD，

便于区分不同地市的用户并限制广播该类用户的VPN路由。表现形式为64581:YYY，其中64581为地市私有AS号码，YYY为VPN号，由地市自主分配，其中1～1000预留测试或者其他用途，其后为用户开放。 3) 为减少地市城域网内部VPN和全省范围内的VPN相互对设备LSP资源的

浪费，地市城域网向省网PE广播VPN路由时将城域网内部的VPN路由过滤掉，省网向地市PE设备广播VPN路由时将仅在省骨干网内部的VPN路由过滤掉。类似的路由过滤一般使用团体属性完成。按照各地市城域网内部VPN、全省范围内的VPN进行分类，VPN可分为两类VPN。因此可以如下分类设置：

机密

中盈优创资讯科技有限公司

第 11 页

4/4/2013

YY市电信城域网扩容工程

? 在所有PE设备的所有VPN内对所有引入BGP的路由进行团体属性设

置，如果是省域网范围内的VPN，则可在各PE设备VPN内进行 BGP路由引入时将团体属性设置为17633：1，如果是城域网范围内或仅在省骨干网范围的的VPN，不设置团体属性。

? 在城域网核心设备上，对MP-eBGP邻居部署策略，只允许团体属性

为17633:1的路由进行广播发布，其它路由全部禁止。

? 在省骨干上和城域网核心设备对接MP-eBGP的PE上部署同样的策

略，也仅允许团体属性为17633：1的路由向各城域网核心广播，这样可以防止省骨干范围内的VPN路由向各城域网广播。

5.4.2 RT的规划

在实际开展VPN用户时，如无特殊应用RT和RD的值应相同。

5.4.3 测试VPN的部署

在实际工程实施时，在所有的PE路由器上部署四个测试VPN。两个测试VPN分别取名为P1和C2。其中P1为全省范围内的VPN用户，C2为城域网范围内的VPN用户。两个个VPN的RD值分配如下（RT保持和RD一致）：

? P1： 17633:1

? C2： 64581:2

为每个地市的每个VPN分配一个B的地址段，每个设备每个VPN分配1个C的地址。每个设备上的地址分配如下（假设设备loopback地址为a1a2a3.b1b2b3.c1c2c3.d1d2d3，注意补0，如219.146.16.4=219.146.016.004）：

? P1： 1.x.y.0

? C2： 2.x.y.0

x=b3+c1c2c3，y=d1d2d3 x=b3+c1c2c3，y=d1d2d3

例如设备的loopback地址为222.174.96.5，则x=100，y=5； 测试中可以使用loopback模拟CE或用PC接在NE40模拟CE。

测试VPN需要添加的配置包括vpn-instance的配置，BGP 的ipv4-family vpn-instance的配置，暂时使用loopback接口模拟CE。

机密

中盈优创资讯科技有限公司

第 12 页

4/4/2013

YY市电信城域网扩容工程

第6章 IP地址、Vlan规划方案

IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于城域网络的IP地址分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。同时，根据城域网的业务发展计划，用户数量将大量膨胀，因此必然需要申请新的地址空间，满足业务发展的需求。

IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对全网的可用性、可靠性与有效性产生显著影响，应充分考虑不同用户对IP地址的需求，以满足未来业务发展对IP地址的需求。

6.1 IP地址分配原则

IP地址规划的过程中将遵循以下原则：

1) IP分配应考虑近期和远期的发展，减少在网络发展过程中因地址重新规

划而对业务造成的影响；

2) 根据APNIC地址申请原则，IP地址的规划应立足即期，并根据业务发

展需要做6个月到1年的地址需求预测；

3) IP地址的分配必须采用VLSM技术，保证IP地址的利用效率； 4) 采用CIDR技术，这样可以减小路由器路由表的大小，加快路由器路由

的收敛速度，也可以减小网络中广播的路由信息的大小；

5) 地址分配应该考虑使用的路由协议，便于路由表的会聚和控制，应尽可

能连续分配；

6) 所有Internet用户采用公有IP地址，避免使用NAT设备以便保证未来

基于H.323或NGN技术的业务顺利开展；如必需使用NAT，则建议将NAT设备尽可能部署在用户侧或边缘接入层次；

7) 将城域网的IP地址资源分块，并分到核心层、汇聚层节点，其中一段

地址作为核心、汇聚层设备互联之用；其余各节点分配到的地址按照用户地址与网络互联地址两种应用，以背对背的方式，分别“从前向后”，

机密

中盈优创资讯科技有限公司

第 13 页

4/4/2013

YY市电信城域网扩容工程

和“从后向前”的形式进行规划和使用。

6.2 IP地址分配方案

1) 省干Loopback、各地IP城域网Loopback地址单独进行规划。

2) “市内设备互联地址”段专用于本地IP城域网核心层与核心层直连的

设备之间的互联。

3) 对本地IP城域网汇聚层节点，考虑汇聚节点半年的发展需求预分了一整

段地址，IP地址紧张时可向省网管中心提出申请，批准后启用规定的第二个整段地址。这段地址的使用要求如下：

a) 用户地址（含路由方式指向用户的子网和用户以网桥方式使用的地

址段）从地址段中自前往后顺序分配。

b) 设备互联地址（与用户设备互联【指路由方式开户情况】和与下一

级局端设备互联地址）从地址段中自后往前顺序分配。

4) 凡设备互联，低层设备使用大号地址。 5) 各地NAS的IP Pool在本地范围内单独统一规划。 6) 各地BAS的IP Pool在本地范围内单独统一规划。

7) 汇聚层以下可以采用支持端口绑定IP地址的设备，以提高地址使用率。

否则，如果用户只需一个合法IP地址的，可直接用4个地址的互连网段以网桥方式开通用户（用户端使用大号地址），不必指子网到用户。 8) 各地市自主分配IP的窗口为/29，超过应将用户IP地址申请表上报省网管

中心，批准后方可分配。分配用户IP地址时，应注意在满足用户对IP地址正常需求的前提下，尽量节省使用IP地址资源。

9) 认真执行《北方电信IP地址管理暂行办法》，做好IP地址登记管理工作，

按规定做好用户IP地址的申请登记工作，保管好相关资料。

10) 请各市分公司按照以上规定的要求，切实做好本市IP地址的规范管理工

作，核查本市IP地址分配使用的情况，如果存在与规定不符的情况应尽

机密

中盈优创资讯科技有限公司

第 14 页

4/4/2013

YY市电信城域网扩容工程

快进行整改。

6.3 Vlan规划方案

通过划分Vlan，可以实现流量和用户的隔离。通过把不同的流量映射到不同的Vlan中并分配相应的优先级，可以为用户提供不同优先级别的服务质量保证。但是，Vlan的划分必须进行合理的规划，首先，二层网络的范围不宜过大，过大的二层网络将导致大量的STP计算，使设备的性能下降并降低网络的效率；其次，Vlan ID资源有限，每台交换机全局支持4096个802.1q Vlan ID，每台交换机能同时支持的STP实例也是有限的。当然路由器没有这个限制，每个路由器端口即可支持4096个ID。

建议根据前两期网络建设的资源使用状况，尽可能合理的、优化利用Vlan资源。除LAN to LAN业务所使用的Vlan ID全城域网范围需要保持全局唯一外，诸如PPPOE、IP专线等在汇聚节点可以将Vlan信息终结的业务所使用的Vlan ID可以在各汇聚节点重叠使用。这样可以在一定程度上解决Vlan ID资源相对有限的问题。

Vlan划分表

VLAN ID 1－9 10－11 12 13－60 61－120 121－140 141－145 146－150 151－155 156－165 166－185 186－215 机密

用途 保留 本地核心设备互联（不足可往前顺序使用） 中心机房测试 DCN 保留 网管 业务管理，包括用于业务计费、结算、统计、用户认证等 应用服务，如域名服务、邮件服务、导航服务、拨号服务等 代维服务，如托管主机、虚拟主机等 保留 用于本地核心设备出口MSTP应急电路 用于BRAS上联VLAN 第 15 页

4/4/2013

中盈优创资讯科技有限公司

YY市电信城域网扩容工程

216－235 236－255 256－1024 汇聚层与核心层互联（凡本地与核心层设备直连皆属） 汇聚层与接入层互联 用于PPPoE用户（一个VLAN不超过200个用户） 1025－2000 预留给PPPoE使用 2001－3000 用于LAN专线和小区/楼宇 3001－4000 用于LAN to LAN互联 4001－4096 保留 注： 1、本方案长期有效，如有不足，将根据实际情况修正。 2、无特殊情况，各段VLAN ID应自前往后顺序使用。

3、今后，随着用户的增多，各层设备在具体开放业务中如果出现方案规划资源

不足的情况，在保证无VLAN透传造成冲突的情况下，不同设备可优先使用规定段外预留的VLAN资源。

机密

中盈优创资讯科技有限公司

第 16 页

4/4/2013

YY市电信城域网扩容工程

第7章 网管及安全

7.1 网管

大规模网络平台，网络管理业务平台是辅助管理的重要手段，大部分网管系统采用在厂商设备的SNMP MIB库上二次开发的方式已经实现全网全程的设备信息和业务信息管理。本次城域网工程在济南配置一套华为的网络管理系统，各地市使用终端进行访问。

7.2 安全

网络的安全性在很大程度上取决于网络设备的安全性，本次城域网均采用华为设备，设备的安全方面的配置，是尤为重要的。一般针对网络设备本身的安全，做好如下一些配置：

在网络设备上关闭不必要的服务，如Finger、Bootp、Http等；

缺省情况下，从任何地方都可以登录网络设备。为了增加网络设备的安全性，需要对远程登录的范围进行限制。

通常使用访问控制列表（ACL）限制登录主机的源地址，只有具有符合条件的主机能够登录到该网络设备上。配置分为两步：

? 定义访问控制列表（acl） ? 应用访问控制列表（acl）

定义好ACL后，将ACL应用到vty端口即可对能够登陆设备的主机进行限制。

另外需要对能够登录网络设备的用户进行管理，对网络设备有可配置权限的用户尤其要严格控制。建议采用分区分权管理，不要使对于网络拥有可配置权限的用户名/口令系统让太多的管理人员涉及，应该紧收；对于一般可操作权限的用户/口令系统可以适当的放的松些。对于登录用户的认证系统尽量建议采用Radius系统，本地数据库认证为辅。

机密

中盈优创资讯科技有限公司

第 17 页

4/4/2013

YY市电信城域网扩容工程

第8章 网络割接

8.1 割接原则

网络割接应该保障原有城域网络向新建城域网的平滑过渡，为了保证平滑过渡，本工程割接将遵循以下原则：

1) 尽量不间断原有的网络运行业务

由于目前城域网已经具有一定规模，有相当的用户数，运行有多种运营业务，因此在网络割接中如何保证网络业务的不间断运行就成为一个首先要考虑的因素。在网络割接前，需要对原有网络体系结构的充分了解及详尽的技术准备，在整个网络割接中尽量不间断原有的网络业务运行。

2) 在新的城域网出现故障时网络运行能自动倒换回原有网络

对于原有运行OSPF的设备，利用OSPF的路由控制策略，通过Metric值的控制完成向新城域网的过渡。

对于原有采用静态路由的设备的割接采用两套管理距离的方式，通过对管理距离的调整实现流量在故障时自动切换。建议原有的连接及协议配置在新城域网稳定前继续运行一段时间。

3) 割接与测试并行

为了保证网络的稳定性和可靠性，在每个节点的流量割接进新的城域网后，将对其与新网的连通性进行测试，只有在确信工作正常后，才能进行下一步工作。如出现严重故障，立即倒换到旧网。

总之，基于对上述几个方面的考虑，本次网络割接将在不影响原有网络各种业务应用的前提下，完成城域网的平滑过渡

8.2 割接步骤

各地市省网设备的配置及城域网现网情况不尽相同，而且城域网核心设备需要与省网设备建立连接，因此可以根据现网及省网三期设备的到货情况安排割接

机密

中盈优创资讯科技有限公司

第 18 页

4/4/2013

YY市电信城域网扩容工程

进度。

YY市的出口设备为Juniper设备，老城域网核心设备为S8016，两者之间通过GE连接，运行OSPF路由协议，城域网业务开在S8016上。建议在省网三期出口设备到货前先割接S8016下挂且需要割接进新城域网的设备和用户，在省网三期出口设备到货后再割接城域网出口。

割接前保持S8016到省干设备的原有连接的同时，按照城域网的规划，S8016建立与城域网核心设备NE40的连接，并在该链路上启用OSPF路由协议，Cost值设置为500。这时城域网设备上学到了S8016下挂业务网段的路由，并能够学到Juniper设备发布的OSPF默认路由。这时城域网的结构如下所示：

在省网三期设备到货前将S8016下挂业务按照需要割接到指定的汇聚节点，割接完成后流量的流量为：汇聚节点<——>城域网核心设备<——>S8016<——>M40e<——>省网。割接步骤如下：

? 对于下挂三层设备

1) 新建三层设备到相应节点汇聚设备的电路，并按照规划分配IP地址； 2) 在三层设备上使用配置指向相应汇聚节点的默认路由，并将该默认

路由的管理距离设置的比原有默认路由的管理距离小； 3) 将S8016上的相关静态路由的管理距离设置为200；

4) 汇聚层设备设置到业务网段的静态路由，并将该静态路由注入

OSPF，导入类型为type1；

5) 至此该三层设备上的流量就全部割接到了相应的汇聚节点设备，整

机密

中盈优创资讯科技有限公司

第 19 页

4/4/2013

YY市电信城域网扩容工程

个过程不中断业务。可以根据需要断开原有电路，并删除S8016上相关配置。

? 对于下挂二层设备的割接

1) 新建二层设备到相应节点汇聚设备的电路，并按照规划做好VLAN

的配置，同时汇聚层设备配置将直连路由注入OSPF，注入类型为Type1；

1) 按照该二层设备上的用户逐步割接：

a) 如果重新规划用户IP地址，则按照规划在汇聚设备上为相应的

用户分配IP地址，然后通知用户侧设备修改IP地址和网关配置，在用户侧设备修改IP地址和网关配置时，流量会暂时中断。流量正常后删除S8016上的相关配置。 b) 如果不重新规划IP地址，则删除原有在S8016上的IP地址配置，

并将该信息添加到相应汇聚节点设备的配置中，流量会暂时中断。

2) 二层设备下挂用户割接完毕后，断开该二层设备原有到S8016的电

路 在省网三期设备到货后，按照省网三期的设计对城域网出口进行割接。

机密

中盈优创资讯科技有限公司

第 20 页

4/4/2013

YY市电信城域网扩容工程

附一：设备名称及IP地址分配表 附二：设备连接图 附三：单点测试报告

机密

中盈优创资讯科技有限公司

第 21 页

4/4/2013

本文来源：https://www.bwwdw.com/article/8tw.html