二、方案描述
1、 宁海广电城域网图如上,可以清晰的看出整个城域网的层次,核心层、一级汇聚层、二级汇聚层,接入层用EPON技术,每台OLT上联到本地机房一级汇聚点8908和二级汇聚点8905上,为了图的整体美观,图中没有标出。
2、 核心机房是整个网络的总出口,分别对接互联网出口、华数互动电点播出口和其他业务的总出口。中心机房配置2台ZXR10 8912核心交换机,做双机热备,确保核心业务数据的安全。两台核心交换机ZXR10 8912之间用不同板卡上的2个万兆端口互联,每台交换机配置足够的万兆接口和一级汇聚交换机互联。同时需要配置一定数量的千兆光口和千兆电口,以方便与本地的服务器和其他运营商之间的互联。
3、 在中心机房、老机房和以西店、桥头胡、梅林、力扬、长街、岔路、一市等7个乡镇为中心站点的共9个一级汇聚点,各布放一台万兆路由交换机ZXR10 8908,每台8908配置一定数量的万兆端口和千兆光口,通过万兆端口与核心交换机和二级汇聚交换机互联。中心机房、老机房、力扬和长街的8908还要通过万兆端口与本地的OLT互联,其余5个一级汇聚点的8908通过千兆光口与本地OLT互联。每台8908通过不同板卡上的2个万兆端口利用ZESS(ZTE以太网智能切换技术)技术,通过不同光缆(中心机房和老机房的8908是通过不同光纤),分别与两台核心交换机8912互联,实现了链路之间的快速切换保护和负载均衡,主备链路之间的切换小于50ms。中心机房、老机房、力扬和长街站点的8908利用不同板卡上的万兆光口分别与本地OLT的不同板块的万兆光联做链路聚合捆版,其余5个一级汇聚点的8908通过千兆光口分别与本地OLT不同上联板卡上的千兆光口做链路聚合捆绑,增加了链路的带宽和安全。
4、 在强蛟、大佳何、深圳、茶院、胡陈、桑州、前童、越溪和黄坛等9个二级汇聚点分别布放一台ZXR10 8905,每台8905配置2块2万兆+12端口千兆光接口+12端口千兆光电自适应的板卡,用万兆端口与一级汇聚交换机互联,多余的万兆端口做扩容和备份使用。其中本项目中深圳8905通过不同板卡上的万兆光口与梅林8908上的不同板卡上万兆端口做链路聚合保护,以确保足够的带宽。每台8905用不同板卡上的千兆光口与本地OLT的不同上联板上的千兆光口做链路聚合保护,其中深圳的8905与深圳的OLT通过万兆光口做链路聚合保护。
5、 接入层EPON的采用中兴的OLT ZXA10 C220和ONU ZXA10 F500,提供100M到光点或者10/100M到集团用户和家庭用户的解决方案。ZXA10 C220 可提供灵活QINQ的技术,使不同的业务数据流封装成不同的外层VLAN,方便组网,节省VLAN资源。城区和大乡镇的C220每台配置2块2万兆光接口上联板,通过不同板卡的万兆光口与一级或二级(深圳站点)汇聚交换机做链路聚合保护。小乡镇的C220每台配置2块4端口千兆以太网光接口板,通过不同上联板的上千兆光口与汇聚层交换做链路聚合保护。双峰站点的OLT上联到黄坛8905。
6、 除投标产品外,我们还多放一套8908机框(包括双主控、双电源、一块2万兆光接口+12端口千兆以太网光接口+12端口以太网广电自适应接口板)和一套OLT产品(包括C220机框、电源单体、风扇和一块PON板)在宁海广电,以作备份和应急使用,一旦城域网中的设备出现故障,可以得到及时有效的业务恢复。
7、 以上所有的城域网设备采用中兴通讯NetNumen N31统一网管系统进行管理。NetNumen N31网管系统可以对整个城域网设备的拓扑、配置、故障、性能、安全、策略、日志、报表等进行管理。
三、组网特色介绍
1、先进性:中兴通讯ZXR10 8912核心+ZXR10 8908一级汇聚+ZXR10 8905二级汇聚+C220 0LT的配置,可以满足宁海广电达到NGB(下一代广电互联网)的带宽要求,在未来的3~5年内不会被淘汰。
2、稳定性:本方案配置的网络设备,关键部件全部采用冗余设计,电源冗余,引擎冗余,上联模块冗余,核心交换机冗余,如果全网建设工程完工,可以做到光纤链路冗余,其安全级别可以达到目前IP网络技术中最高级别。方案推荐的设备都是成熟的设备,在中国电信、中国移动、中国联通三大运营商的网络中有着广泛的应用(参照标书中投标设备典型客户案例),值得放心。
3、扩容性:本次方案推荐的设备,核心交换机12槽位、一级汇聚交换机8槽位,二级汇聚交换机5槽位,OLT最大40个PON口,每台一级汇聚交换机比招标要求多配置24个千兆电口,每台二级汇聚交换机比招标要求多配置2个万兆端口,完全能满足3~5年内的扩容。
4、易管性:中兴通讯采用统一网管系统NetNumen N31,即网络上的任意一个中兴设备节点,都可以通过此网管系统管理,此系统已经过中国三大运营商实际业务的测试,经过多次改进,目前已经非常贴近用户的实际需求,可以做到在中心机房、汇聚机房内遥控一切。
5、应急处理性:我们在中兴综合网管系统NetNumen N31上做数据备份策略,使每个城域网设备的数据得到定时备份,一旦城域网的设备出现硬件故障,可以使用备份的一套8908和一套OLT做应急处理,能迅速的恢复业务,保障城域网业务的正常运行。
6、经济性:推荐方案综合考虑了系统功能、设备投入、运维费用等综合因素,最大限度的保护用户投资,具有较好的价比。
四、主要业务的实现方式
4.1 互动点播、数字电视及数据业务等业务
宁海广电部门通过对传统有线电视网的技术改造,是要将单向广播式传输网建设为双向传输网,使有线电视网成为能够不仅仅传输电视信号,而且可以承载其它多媒体业务的综合性网络,使宁海广电综合业务网络成为一个能够为各类团体用户及居民用户提供高质量的运营级的宽带多媒体综合业务的网络。网络具有可持续发展性,易升级。以便推动宁海的政治、经济、科教、卫生等各项建设事业的加速发展。在单向数字电视的基础上拓展VOD视频点播、数据广播业务;当双向用户达到一定程度时,能够实现拓展有线电视网内IP电话业务、网上游戏。以有线电视网为基础形成的多媒体宽带接入网可提供以下业务:
(1)基本业务
普通模拟广播型业务、普通模拟电视频道、调频广播
(2)拓展业务
数字广播电视业务、数字电视频道、高清晰电视、VOD视频点播
(3)增值业务
广播型数据业务、Internet 业务、IP电话业务、网上游戏、数据通信业务、视频会议电视、可视电话、远程教育、远程医疗、社区服务、买卖信息、网上商业、电子商务。
2、双向网建设方案
EPON+EOC解决方案将传统有线电视网和数据网有机结合在一起。EPON部分充分利用了现有光纤资源,其网络组成符合原有HFC网络结构,实现数据业务或电视回传业务;EOC头端设备接在EPON系统下,充分利用原有同轴电缆,在基本不改动原有网络结构的基础上,实现在同轴网络上的双向改造。从而将数据业务和电视业务混合集中传输,并混合在同一根同轴中,最终送入用户端。以此最大程度的发挥原有有线电视网络资源。
图: “EPON+EOC”整体解决方案图
4.2大客户业务
为满足一些大的客户,比如政府机构、大型公司企业、学校、医院等对虚拟专网业务的需求,开通MPLS VPN业务。VPN业务面向的大多都是高价值的客户,用高质量的网络、高品质的服务吸引他们的加入对于增强广电有线数据网络的影响力,提高公司的运营收入有着重要的意义。
开展MPLS VPN业务对网络设备的先进性、网络结构的健壮性有着较高的要求。
如图所示,VPN用户通过专线连接核心机房MPLS VPN设备(既核心机房的两台8912设备),MPLS VPN设备作为MPLS VPN PE设备,MPLS VPN设备通过Vlan TRNK方式透传到分前端机房汇聚交换机,中心机房核心路由器(或核心交换机)用作MPLS VPN P设备,同时另一侧分前端机房的汇聚设备也通过Vlan trunk的方式进行透传,到达另一端分前端机房,和相应的VPN用户进行通信。MPLS VPN区分不同的VPN用户,建议MPLS VPN设备IGP协议可以使用OSPF协议,也可以使用IS-IS协议,可以根据用户需要进行选择,由于OSPF使用较为广泛,建议使用OSPF协议。建议在MPLS VPN设备和核心路由器之间运行行BGP协议,建立完全的 MPLS VPN网络,以满足大客户接入需求。
4.3组播业务
当IPTV业务发展到一定阶段,建议采用组播技术。当组播复制点选择在汇聚交换机上时,需要汇聚交换机上开启IGMP Proxy,负责向上层网络传递用户的组播请求信息。以节省带宽,同时降低对核心设备IGMP协议处理压力。
在用户需要观看一个频道时,用户侧的STB发起IGMP 的加入报文,连接用户的汇聚交换机运行IGMP Snooping 或IGMP Proxy协议,把IGMP的报文传递到城域网业务网关,业务网关设备根据收到的IGMP报文向城域网内的RP发出 PIM的加入报文,从RP接收组播流量然后通过IGMP的通过路径下发到用户端。
组播业务流程主要分为四个步骤:
1、开机,用户管理认证过程,通过PPPoE/IPoE接入,与Radius交互认证通过后获取IP地址;
2、用户组播业务申请,发起IGMP加入请求;
3、 L3组播流分发,一般而言,区域CDN中心发送直播媒体流,在城域网内部署PIM组播协议,通过L3方式分发组播流至业务控制层BMSG;
4、在城域网BMSG至用户网络,由于组播复制点选择的不同,组播流的下发方式也有所不同,组播复制点可以选择在:BMSG、汇聚交换机、OLT三种方式,在BMSG至直播复制点一般采用静态组播组方式,将组播流推送到组播复制点上,在组播复制点至用户侧,根据IGMP Snooping功能将组播流复制到用户VLAN中;
在L3组播分发网络中,通常部署的协议有:PIM-SM、MSDP/MBGP、IGMP协议等;在L2组播分发网络中通常采用的协议有:静态组播协议、IGMP Snooping。
4.4 QOS方案
IPTV业务传输语音、视频数据,实时性很强,要求承载网络有较高的QOS保证。当然,不同的IPTV业务对承载网络的QOS要求有所区别。
IPTV的业务定位是用户提供一种全新的交互式电视体验以及丰富多彩的多媒体增值服务。基本业务是主要提供的是普通的视频业务,如电视直播,视频点播等,同时,提供各种交互式的多媒体增值业务,如游戏,视频会议等。
1、音视频直播
音视频直播虽然是单向式流媒体传送,但实时性要求也比较强,对数据包时延抖动的敏感度比视频点播业务要高。数据包的时延抖动取决于视频编码技术和内存缓存区的大小,一般要求端到端时延不超过200ms,抖动不超过50ms。
2、音视频点播
音视频点播是交互式的流媒体应用,对实时性的要求不是很高,可以通过在机顶盒设置更长的缓存空间来降低对时延的敏感度,一定程度的时间延迟是可以接受的,用户也不会有明显的感觉。
3、游戏
游戏是一种双向交换式的数据业务,传输的数据量虽然没有视频点播大(视频游戏除外),但游戏本身的业务特性(如操作命令的灵敏度)决定了对数据包的传输时延要求特别高,一般不能高于200ms。
4.5 IP地址规划
IP地址的规划,要保证现在和将来的地址的可聚合性,虽然动态路由协议和路由设备比较大的路由容量支持降低了对路由聚合的要求,但是地址不仅仅具有路由的意义,还具有设备、业务标识的意义,相同属性的业务设备地址可聚合对流量管理、QoS、安全、等策略的部署非常重要。
IP地址的规划,要考虑到以后网络的可维护性,尽量减少以后工作的维护量。在以后的维护工作中,从用户的IP地址,就可以清晰的分辨出用户的地域、单位、业务等,这样将使我们的维护复杂性大大减少,对于网络的良好运行,有非常重要的作用。地址规划主要从地域、业务、设备/终端等方面考虑IP地址分配。
IP地址的划分,基本上有两种划分方法:以业务进行划分 以地域进行划分
采用横向和纵向以业务和地域进行综合划分
从宁海广电的情况来看,可以采用按地域进行划分,兼顾业务的划分的方法。
对于每一个乡镇分配一段连续的IP地址段,这样根据地址段就可以判断出每个乡镇的IP。另外在此连续地址的基础上,再针对每种业务进行不同的地址划分。
这种地址规划的优点是地域概念清晰,从IP地址上就可以直接分辨出IP地址所属的地域,迅速定位出IP地址单位和业务属性,并且有利于IP地址的链路聚合。
在进行IP地址规划时,还要考虑到以后的业务发展,能够满足未来发展的需要。即要满足(短期)规划期对IP地址的需求,同时要充分考虑未来发展,预留相应的地址段。
4.6 网络安全策略
中兴通讯IP网络产品线一直致力于安全网络设备的研发,陆续推出了多款具有安全特性的网络设备,产品覆盖了网络的各个节点。中兴ZXROS平台软件系统中已经增加了全面的网络安全处理系统,我们的目标是——创造一个高度安全的网络体系。
中兴通讯一体化网络安全策略从网络安全、设备安全、用户安全几方面全方位布防,不仅能够满足现阶段网络安全环境的需求,同时也为今后可能发生的安全威胁做出了准备。
安全的设备
冗余硬件支持
专用操作系统
多种安全自防护措施
安全的网络
设备冗余
DDoS抵御能力
病毒的预警、隔离机制
网络的监控能力
STP/RSTP/MSTP
一体化安全防御体系
设备联动
主动防御
层层设防
自动隔离
4.6.1、链路安全
ZXR 8900系列支持ZESR(ZTE Ethernet Switch Ring)、ZESS(ZTE Ethernet Smart Switch)和双上行链路故障保护。
1、ZESR
ZESR是基于EAPS(RFC3619)协议的以太环网技术。ZESR技术允许网络管理员创建以太网环,其方式类似于光纤分布式数据接口(FDDI)或SONET/SDH环。ZESR可以在不到50毫秒时间内,从任何链路或节点故障中恢复过来。
ZESR利用断路告警、环监测、环恢复三种机制来对协议进行维护。
2、断路告警
当ZESR环上的一台从设备检测到自己连接到环上的主端口或从端口出现线缆级故障时,它立即从另外一个端口发送断路告警帧到主设备。当主设备收到这个告警帧时,便知道环上出了毛病,将其从端口解阻塞,刷新二层转发表(下文称为L2表),并发送一个通告帧通知环上的其它设备刷新各自的L2表,见图。
ZESR断路告警
3、环监测
正常工作时,主设备从主端口周期地发送诊断帧。如果环是完好的并正常工作,主设备的从端口将会周期性地收到诊断帧,并在从端口重设它的超时定时器继续正常工作。如果在超时定时器超时时它的从端口还没有接收到诊断帧,主设备就认为环上出了毛病,将从端口解阻塞以保证环的连通性。同时主设备刷新其L2表并发送一个通告帧到环上的其它设备,通知它们刷新L2表。环监测机制是断路告警机制的备份方案,一旦断路告警帧由于不明原因丢失时,该方案可以提供可靠的后备支持。
4、环恢复
当环上有链路断开时,主设备仍然从主端口继续周期地发送诊断帧,但从端口收不到。环恢复后,下一个诊断帧将会被主设备的从端口收到,主设备收到诊断帧时便知道环已经恢复,于是将从端口继续置为阻塞状态,刷新L2表并且发送一个通告帧通知从设备刷新L2表。在从设备检测到它的连接已经恢复时,由于诊断帧是周期发送的,因而主设备并不会立即收到诊断帧(因而也没有阻塞从端口),这时如果不采取任何措施,就会导致在一段时间内主设备的从端口仍然为非阻塞状态,从而在拓扑中形成临时环路,导致广播风暴的发生。为避免这种情况,在端口刚恢复连接时,从设备立即将该端口置于临时阻塞状态。此后当从设备收到主设备通知它刷新L2表的通告帧时,从设备便知道主设备已阻塞其从端口,于是从设备刷新L2表,解阻塞刚恢复的端口。到此为止,环又恢复正常的工作状态。
5、ZESS
ZESS(ZTE Ethernet Smart Switch)是ZTE以太网智能切换技术。ZESS的基本工作原理如下:
节点支持ZESS功能,其中端口1为主端口,端口2为从端口。当节点检测到主端口、从端口都为UP时,阻塞从端口的保护业务VLAN转发功能;当节点检测到主端口发生DOWN时,阻塞主端口的保护业务VLAN转发功能,打开从端口的保护业务VLAN转发功能;当节点检测到主端口恢复为UP时,有反转和非反转模式,在反转模式时,打开主端口,重新阻塞从端口,在非反转模式时,保持主端口为阻塞,保持从端口为放开状态。另外,ZESS在切换时,要更新被阻塞端口的FDB。
6、双上行链路故障保护
在城域网的核心网与骨干网连接的上行链路中,一般一台交换机有两个上行端口连接至两台BRAS或者SR,这样可以通
过ZESS来实现双上行保护。这种连接方式实现了上行链路、SR或者BRAS的保护,但存在上行到BRAS或者SR的交换机单点故障风险。在实际组网中出于安全的考虑,2个连接到相同SR或BRAS设备的上行的出口分别分布到2个的交换机上,这样即实现双上行链路保护功能。
5.6.2、用户安全
用户接入侧设备直接面对用户,是网络的大门,所谓“防微杜渐”,在这一层次上的安全功能尤其重要。中兴通讯以太网交换机设备支持4KVLAN实现、端口+VLAN绑定、MAC数限制、静态ARP表的设置、基于端口的ACL、802.1x、 VLAN用户认证、安全网管等特性。将危险屏蔽与网络之外。
用户标识的唯一性是实现用户的可追溯性的前提,其次是用户的认证和管理。在采用VLAN ID实现用户唯一性标识和定位的宽带接入网,VLAN堆叠技术(QinQ)用于实现二层以太交换网络VLAN资源的扩展。QinQ即多层VLAN标签堆叠,是对基于802.1 Q封装的隧道协议的一种形象化的称呼,其核心思想是将用户私网VLAN tag封装到公网VLAN tag上,报文带着两层tag穿越网络,汇聚层交换机通过对QinQ(双标签)技术的支持,可有效扩展城域网中VLAN的数量。
另网管系统的日志、告警、审计功能通过实现网络时钟协议的安全、提供访问列表的日志、提供关键事件日志、提供路由协议事件和错误记录、提供Debug信息,用以发现安全问题、提供多种信息的输出方式,为用户的可追溯性提供了技术支持。
4.6.3、设备安全
设备的物理安全可以通过高品质的硬件设计来保障,对关键部件和网络结构的冗余设计也会大大降低网络风险。包括电源备份,核心交换/控制部件备份。
中兴通讯在语音交换机的开发和商用过程中积累了丰富的防雷击经验,这些经验也用于以太网交换机的防雷击设计中。雷击在技术面上称为浪涌,使之在断时间内高电压加到线路上,线路将高电压传递到设备上,导致设备顺间功能失效或永久损坏。由于现在的电子设备大都是低压设备,如果防护不当,遭遇雷击时很可能造成设备随坏。以太网交换机主要是室内运行的设备,一般很少遭受雷击的影响。不过近期有很多小区以太网接入将以太网线走到了户外,在有雷电天气的情况下可能会将雷电引入交换机设备。中兴的以太网交换机针对雷击有严格的设计,可以抵御4KV以下中强度的雷击,部分端口可抵御15KV以下的高强度雷击。使用的时候也要做到机壳良好接地。为了防护更高强度的雷击,中兴通讯专门开发了1、4、8端口独立高强度雷击保护设备,串接在设备端口外,为设备提供万无一失的防雷击保护。
中兴的交换机设备通过了严格的电磁兼容检测,可抵御外界的电磁干扰,对外的电磁辐射满足国家和欧洲环保标准。
同时,限制端口和VLAN的MAC地址数、对交换机的每个端口设置广播包流量门限、支持802.1X认证、支持RSPT/MSTP、支持LACP物理链路备份等。
另中兴通讯数据设备采用专用的操作系统ZXROS(ZHONGXING Router Operate System),ZXROS是中兴通讯自主研发的通用路由软件平台。这个平台系统充分考虑了用户对安全的迫切需求,为用户网络提供了额外的设备安全保障。
支持SSHv2,SNMPV3;
EXEC进程访问安全;(命令行用户权限设置)
线路访问安全:访问认证、限制尝试次数、空闲超时断开、口令加密;
实现分级管理,管理用户可以定制特权级;
抵御控制包的恶意攻击。
本文出自 “方晓华” 博客,请务必保留此出处http://fangxiaohua.blog.51cto.com/1347369/1617755
原文地址:http://fangxiaohua.blog.51cto.com/1347369/1617755