摘要:本文提出南方影视传媒集团数据网络系统设计方案,介绍了该系统网络结构和设备实现,并详细讲述关键技术的实现。
关键词:核心层 接入层 路由 MPLS VPN QoS
1 引言
本系统为南方影视传媒集团提供了一个先进、灵活、可靠、基于标准的多业务平台,使得南方影视传媒集团能够基于这个平台,充分发挥广播电视信息共享和信息管理的功能,实现了南方影视传媒集团和各个地方电视台内部信息互通和资源共享,并将在以后的日常工作中发挥着重要作用。此外还可以开展增值业务,实现网络的商业价值,特别是个人用户接入、大客户专线接入、MPLS VPN等,提供差异化服务,发展高附加值用户。
2 网络结构
核心层网络组成高速互联的主干,核心层对网络互连是至关重要的,因此关键部件采用冗余组件设计,具有高可靠性,并且能快速适应变化。
在南方影视传媒集团数据网络系统中,核心层是指微波总站网络,是网络的核心部分,各个地市分站的上报数据都要通过它来处理转发,因此在本网络中必须使用一台高性能的骨干路由器作为广域网核心设备。本方案中核心层网络由NE40-8路由器、Eudemon500防火墙和三层交换机S8505组成。
核心层路由器配置64个广域网E1端口,通过微波的“SDH”线路连接到各个地市分站,构成一个星形结构的网络拓扑。
(2)接入层(地市分站)
接入层为用户提供访问互连网络的能力。接入层由各个分站的路由器和交换机构成,路由器通过“SDH”的E1线路上连到核心层的路由器。A型地方站采用NE20-8路由器和三层交换机S6503组成,B型地方站采用AR4680路由器和三层交换机S3526C组成。这种层次型的结构,不仅提高了整个网络的可用性、可靠性,而且可以滤除网络主干上不必要的流量,并为网管提供良好的基础。
(3)网络Internet出口
网络出口方面,Internet出口设置在微波总站,同时在出口处配置高性能防火墙以实现内外网隔离,在实现高速上网的同时,保证网络安全。
(4)VOIP 语音网关
VOIP语音与PSTN网络连接方面,配置一台A8010 EXPERT,实现VOIP网络与PSTN话音的互通,通过统一的数据网络平台,提供话音与数据的集成应用。
3 关键技术实现
3.1 路由协议选择
路由协议的选择对南方影视传媒集团数据网络系统的稳定性、可靠性和速度有很大的影响。现在常用的路由协议主要有RIP和OSPF。RIP协议是局域网中使用的比较多的协议,主要在小型网络中使用,有跳数限制和环路问题;OSPF(Open Short Path First)属于链路-状态(link-State)路由协议,路由器之间交换网络拓扑信息,并把这些信息保存在LSDB(link State Data base)里,然后基于该LSDB运行Dijkstra算法,计算出到达全网的路由表。南方影视传媒集团数据网络系统采用OSPF作为广域网的路由协议。OSPF协议的优点有以下几点:
(1)节省网络带宽
OSPF属于链路状态协议,只有当网络连接状态发生变化时才彼此更新变化了的拓扑信息,而并非整个网络的LSDB,从而大大节省了网络带宽,这对于大型的广域网来说很重要。
(2)支持VLSM
OSPF LSA(link State Advertisement)中包含子网掩码。
(3)支持层次化的网络结构设计
可以把一个大型OSPF网络分成若干域(Area),其中一个是主干域(Backbone Area, Area 0),其它非主干域均与主干域相连,并通过主干域交换LSDB。同时OSPF还引入了外部路由(external routes)及ASBR (Autonomous System Boundary Router)概念,非OSPF路由均视为外部路由,由ASBR注入到OSPF域。
(4)支持路由总结(Route Summary)
OSPF ABR具有路由总结的功能,如果连续地分配IP地址空间,则ABR仅向主干域广播总结后的路由信息,抑制那些具体的路由信息的广播,从而大大减小了其它域中路由器LSDB及路由表的大小。
(5)没有路由跳数限制
OSFF路由表是基于LSDB运行Dijkstra算法计算出来的,没有跳数限制。
(6)没有路由环路问题
OSPF属于link-State路由协议,没有环路问题
3.2 MPLS VPN技术方案
(1)MPLS VPN技术概述
MPLS VPN是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),MPLS的一个重要应用是VPN。利用公共网络来构建的私有专用网络称为虚拟私有网络(VPN,Virtual Private Network)。采用MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络,这种逻辑上隔离的网络的应用可以是千变万化的:可以是用在解决企业互连、政府相同/不同办事部门的互连、也可以时用来提供新的业务---如为IP电话业务专门开辟一个VPN、以此解决IP网络地址不足和QoS的问题,也可以为用MPLS VPN为IPv6提供开展业务的可能。
在所有的VPN技术中,MPLS VPN具有良好的可扩展性和灵活性,是目前发展最为迅速的VPN技术之一。
MPLS(Multiprotocol Label Switching, 多协议标记交换)使用标签(Label)进行转发, MPLS可以看做是一种面向连接的技术。通过MPLS信令(如LDP,Label Distribute Protocol,标签分配协议)建立好MPLS标记交换通道(Label Switched Path,简称LSP),数据转发时,在网络入口对报文进行分类,根据分类结果选择相应的LSP,打上相应的标签,中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发,而不用再通过IP报文头的IP地址查找。在LSP出口(或倒数第二跳),弹出MPLS标签,还原为IP包。
根据扩展方式的不同MPLS VPN可以分为BGP扩展实现的MPLS VPN,和LDP扩展实现的VPN。根据PE(Provider Edge)设备是否参与VPN路由又细分为二层VPN和三层VPN。本方案采用的是MPLS BGP VPN(三层VPN)。
(2)分层PE解决方案
BGP/MPLS VPN中,由于PE设备要汇聚多个VPN的路由,在大规模部署时,尤其在PE设备容量较小的情况下,容易形成瓶颈。而且,目前的MPLS VPN模型基本上是一种平面式模型,PE设备无论处于网络的哪个层次,对其性能要求是相同的;由于路由逐层聚合,甚至在PE向边缘方向扩展时,要维护更多的路由。而典型网络是核心—汇聚—接入三层模型,设备性能依次下降,网络规模依次扩大。这就为PE设备向网络边缘的扩展带来了困难。
针对以上问题,可以采取一种全新的VPN拓扑方案,是一种分层式PE的概念。在这种方案中,PE设备所连的不再仅仅是一个客户接入设备CE,而也可以是一个PE设备,更普遍的说可以是一个MPLS VPN的网络,这个网络中的PE同原来的PE形成一种层次关系,称为下层PE Underlayer PE),简写为UPE,相对的,原来的PE称为上层PE(Superstratum PE),简写为SPE。这种框架结构称为PE的分层结构(Hiberarchy of PE),简写为HoPE。
多个UPE同SPE构成分层式PE,共同完成传统上一个PE的功能,详见图2。它们之间的分工是:UPE维护其直接连接的VPN Site的路由,但不维护VPN中其它远程Site的路由或仅维护它们的聚合路由;SPE维护其通过UPE所连接的Site所在的VPN中的所有路由,包括本地和远程Site中的路由。
UPE为其直接连接的Site的路由分配内层标签,并通过MP-BGP随VPN路由发布这个标签给SPE;SPE不发布远程Site中的路由给UPE,而是只发布VRF默认路由或聚合路由给UPE,并携带标签。
分层式PE从外部来看同传统上的PE没有任何区别,因此它可以同其它PE在一个MPLS网络中共存。
本方案采用多个设备组成分层式PE,它们承担不同的角色,分担一个集中式PE的功能。对处于较高层次的PE的路由和转发性能要求高,而对处于较低层次的PE的路由和转发性能要求低,同典型的网络模型相吻合。分层PE方案解决了在部署网点(县局)-市局-省局三级BGP/MPLS VPN时的可扩展性问题。
在南方影视传媒集团数据网络系统中,所有分站路由器直接作为PE设备,微波总站核心网络的NE40路由器作为P/PE设备,构成MPLS域,IGP采用OSPF。一些大客户或者企业CPE设备可采用多种方式接入PE设备:①物理直连,PE通过E1、FE等接口直接接入企业CPE设备;②二层透传,PE通过ATM PVC、VLAN等二层技术接入企业CPE设备;③三层隧道,CPE与PE相距较远,CPE已接入Internet,通过建立L2TP、GRE、IPSEC隧道接入到PE设备,PE终结隧道。CPE与PE之间可采用静态路由或动态路由协议等。
(3)VPN Manager网管
VPN Manager基于iMAP平台,体系结构采用了目前成熟并应用广泛的多层Client/Server结构,支持数据库系统、业务处理系统和前台应用系统的分布化和层次化,支持多客户端操作,因此能适应复杂、大型网络的管理需求。网管系统采用了多进程的设计机制,使系统具有了灵活的扩充能力,满足网络发展时期需求多变的环境;还采用了统一的消息分发中心并支持消息分发中心分布化,提高网管通信处理的能力;网管系统中监控进程统一调度和监控其他进程,保证其他应用进程可持续稳定地运行,提高了整个网管系统的可靠性和稳定性。VPN Manager能够在以下几个方面为MPLS VPN业务提供便利的服务:
业务的规划、部署、审计、发现
网络性能/故障监控
资源管理
(1)网络设备安全实现
针对安全的不同方面提出了相应的解决方案,并将这些解决方案与网络各层次设备进行有机的融合,从而为用户提供全面的端到端的集成安全服务。作为完整的安全体系,其网络层次、时间、空间三个维度是融合在一起密不可分的,并且体现在各层次的网络设备中。路由器、以太网交换机、WLAN、EAS以太网接入服务器及Eudemon安全网关等基础网络设备提供全面的集成安全特性。
Quidway S系列交换机,不仅可以针对特定的IP地址、网段进行包过滤,还可以基于四层以上的信息来进行相应的包过滤,通过Quidway MA5200多业务智能交换机甚至可以做到针对特定用户的包过滤,从而大大增强整个网络的安全性。
Quidway S8500/8000/S6500核心交换机和Quidway NetEngine 40/20通用交换路由器(第五代路由器)提供MPLS VPN、BAS、NAT、防火墙、入侵检测、负载均衡等丰富的安全特性,对于构建扁平化IP网络,减少网络层次,降低网络复杂性,构筑业务网络,满足全业务(数据、语音、视频、专线)传送起着关键的支撑地位,同时能够大幅度降低网络投资及维护成本。
为了保护网络建设的投资和网上应用的可靠性,防止未来资源受到损坏,防止网上应用受到攻击产生的直接和间接损失,必须对全网安全有一个全面的安全策略。网络的安全包括以下几个方面:首先是物理网络的安全,含网络设备的安全和网络结构的安全;第二层是操作系统的安全;第三层为应用系统的安全;最高层是信息安全,或称为数据安全。
(2)网络安全措施
网络安全措施:全网从骨干拓扑结构到连接链路均应考虑路由的备份,采用分层的拓扑结构,支持动态迂回路由;省干节点设备和城域网核心节点设备可以通过动态路由协议保证网络可达,通过流量工程合理规划流量、通过快速重路由保证转发的延续性;通过划分VPN网络、VLAN网络来保障专业行业网络的安全性。
节点安全措施:在城域网核心节点设备的主控板、交换网板、时钟板、电源等部件都具有冗余配置能力,线路板支持在线热插拔而不会丢失数据,能够保证设备的不间断运行。
在接入层设备方面,为了保障网络安全,降低网络故障,所有关键部件应采用冗余备份设计,如:电源模块N+1备份,控制和交换板采用1+1冗余备份。对网络设备采用多级安全密码体系,限制非法设备和用户登录,在出现软硬件故障时,可以迅速切换到备用模块,保障业务的不间断运行。
数据安全措施:关键数据采用身份认证与授权,通过访问权限限制,加密保存,加密传输,同时网络和系统中各种重要数据进行及时有效的备份。
持续安全措施:与用户共同制定完善的管理规范,通过良好的手段达到防微杜渐的目的。为了安全起见,需通过防火墙进行隔离,使得网络管理系统中的主机变得更加安全。并且可采用HA高可用技术来达到计费系统及用户数据库系统的应用相互的切换及备份。此外,利用数据库服务器外接的磁带机达到文件系统、数据库、网管信息以及操作系统的备份功能,使网络管理系统内部的各台主机有更高的安全等级。安全管理服务器进行网络中安全隐患的查询以及网络中安全漏洞的分析。通过安全检测软件对网络的运行进行监控,可以实时检测网路中出现的一切可疑隐患,从网络层、操作系统层、应用层等各个层面对网络进行分析探测。实时监控结点的入口处,确保网络免受黑客攻击。
4 小结