中国电信集团北京研究院 胡捷
编者按:这是一篇技术性、针对性很强的文章,来自作者多年从事大型网络设计的经验体会,可能会将不少读者“拒之门外”,但对于具体从事及关注城域网建设的读者,相信会产生共鸣。
城域网建设五看点
随着运营商之间竞争的日益加剧和新兴运营商的介入,数据业务已经成为竞争的焦点之一。数据业务提供能力、服务质量以及性能价格比等是运营商竞争的重点。IP城域网在用户驻地网和骨干互连网之间起着桥梁作用,其采用的网络组织结构和技术实现方式直接影响到所支持的业务,此外还对网络的可靠性、可用性和可扩展性起着关键作用。那么,通常在IP城域网的建设实施、运行维护和业务开展方面,需要关注哪些主要问题呢?以下将通过五个方面加以介绍。
故障保护倒换
网络故障保护倒换可以从物理层、链路层、网络层三个层次进行,或者组合使用三个层次来提供故障保护倒换。如果低层能提供50ms的电信级别故障保护倒换,那么就可以不启用高层的故障保护倒换机制。
目前节点之间的物理层和链路层可以采用以下几种保护倒换方式:
● 裸光纤Dark Fiber,两条不同的物理路由,或一条相同物理路由光缆中的不同纤芯,提供1+1保护;
● 密集波分复用DWDM或粗波分复用CWDM,两条不同的物理路由、一条相同物理路由光缆中的不同纤芯、或一套WDM系统中的不同波长,提供1+1保护;
● SDH,用于核心、汇聚节点之间的POS连接,能提供2/4纤的通道/复用段保护倒换,故障恢复时间不超过50ms,节点设备不用感知网络拓扑的变化,不需通过二层Spanning Tree或三层 IGP(内部网关协议)的收敛;
● MSTP,用于汇聚、接入节点之间的快速以太网连接,保护机理同SDH一致;
● RPR,用于汇聚、接入节点之间的FE/GE环状连接,保护机制采用弹性分组环技术,恢复时间<=50ms,采用空间再利用技术提高了环状网络带宽利用率,链路保护算法不需路由器参与。
安全问题
随着IP城域网中以太网应用的日益普及,网络安全成为日益迫切的需求。目前的IP城域网,主要是从运营商的角度对网络侧提供安全问题的解决方案。
对于运营商城域网络,需要关闭一些针对企业网特点的网络设备的出厂缺省设置,如Bootp Server、Proxy ARP、Directed-Broadcast等。设备的远程登录最好采用Radius集中认证,并启用审计功能,设置Console和VTY会话超时等。通过设置复杂的SNMP Community参数,采用ACL(访问控制列表)保护SNMP访问权限,配置SNMP认证失败陷阱,由Syslog服务器记录。
在城域网内,还可采用多种方式保障网络安全。可以通过采用防火墙或网络设备独有的TCP拦截特性防止TCP Syn flood攻击;在网络边界配置单播RPF(逆向转发),可杜绝源地址欺骗;在网络边界配置控制接入率限制ICMP包通过频率,以降低Smurf攻击程度。此外,应及时对安全事件进行记录并做出反映,改进和增强安全防范策略。
上联骨干网方式
城域网与骨干网不应在同一个路由域中,与骨干网之间连接可采用eBGP或静态/缺省路由协议两种方式。城域网逻辑上相当于骨干网的用户,拥有独立、连续的地址范围,理想状态下这段地址经过聚合,在骨干网路由器上为一个路由条目。
如果城域网采用两个节点与骨干网连接,需要合理配置路由策略,实现网络正常状态下的流量负载分担及网络故障状态下的冗余。
静态/缺省路由方式
根据不同的配置,该方式又可分为两种配置模式。第一种,可在城域网两个出口路由器上配置指向骨干网的缺省路由,并将其注入到IGP,城域网其他节点L3设备会根据到出口路由器的IGP Metric值自动实现外向流量负载分担;当一个出口出现故障,缺省路由消失,外向流量全部集中到另一个出口,实现冗余。
第二种,可将骨干网的两台路由器分别配置到城域网前、后各半地址和全部地址段的静态路由,并将静态路由通过Network命令通告到iBGP。在网络正常状态下,根据最长匹配原则,骨干网通向城域网的流量,根据目的地址段不同,采用不同的入口,实现输入流量的负载分担。当一个入口出现故障时,静态路由消失,另一个入口仍然具备通向城域网的全部地址段,可以实现冗余。
eBGP方式
城域网两个出口分别接收骨干网送来的聚合路由,同时自行配置去往骨干网的缺省路由,将二者注入到iBGP,由于两个出口的本地优先、AS-Path和MED等属性均相同,因此iBGP选择哪个出口取决于到出口路由器的IGP Metric,可以自动实现外向流量的负载分担。当一个出口出现故障时,路由消失,全部外向流量自动通过另一个出口,从而实现冗余。
骨干网两台路由器同时接收城域网送来的聚合路由,分别传播到骨干网iBGP,二者具备相同的本地优先、AS-Path和MED等属性,因此根据到出口路由器的IGP Metric实现输入流量负载分担;同样,故障时,自动选择另一个出口实现冗余。如果骨干网上两台路由器属于同一个RR(路由反射)簇,由于目前软件尚不支持iBGP 多路径,因此骨干网会优选具备较高Loopback地址的路由器为下一跳,无法实现负载分担。此时仍旧需要城域网通过eBGP向骨干网通告前、后各半和全部路由来实现输入流量的负载分担。
IP地址分配和路由策略
中小型城域网
目前中小型城域网基本上没有运行iBGP,所有路由都是通过IGP通告,必须合理规划和配置,确保IGP路由表数目不超过4000条的设计常规。
IGP首先用来实现网络基础设施的地址通告,实现路由器环回地址和路由器之间点到点“/30”网段的IP可达,必要情况下可对IGP路由域进行区域或等级划分。在ABR(可用比特率)对所属区域的路由进行汇聚处理,一方面减少路由表条目,另外可以将路由抖动限制在一个相对较小的区域。从一个连续的地址段中为所有设备的环回接口分配IP地址,在没有连接到IGP邻接体的接口上设置Passive-Interface。如果网络近似于全网状连接或者具有不稳定的链路,最好减少在一个区域中的路由器个数,也尽量减少一个路由器所在区域的个数。
对于到用户驻地网的点到点连接,可采用IP Unnummbered的方式。如果采用“/30”网段,节点内的边缘接入路由器采用连续的地址段专门作为到CPE路由器的点到点“/30”网段地址,以“Network”命令将完整的网段统一通告到IGP,不要进行“Redistribute Connected”。对于用户驻地网地址,每个POP所覆盖的区域内的多个客户端地址,应在一个连续的区域内, 以“Network”命令将完整的网段统一通告到IGP。类似的,不要通过“Redistribute Static”通告路由到IGP。
大型城域网
对于大型城域网,一般在城域网内部运行iBGP协议,BGP是唯一可扩展成可容纳大量路由的协议。由于客户路由和外部路由在BGP中承载,因此网络内部路由结构不会受外部因素影响。
IGP只用来实现网络基础设施的地址通告,实现路由器环回地址和路由器之间点到点“/30”网段的IP可达。在此基础之上实现iBGP的全网状连接,如果网络规模够大,可以采用RR方式减少iBGP Session数。
城域网与骨干网之间运行eBGP,双方尽量只通告聚合路由,这样,内部的iBGP路由摆动就不会影响对方,必要时采用eBGP过滤策略,拒绝接收小于“/20”的网络。应绝对禁止将IGP和iBGP路由相互注入,否则会严重影响网络的稳定和可扩展性。
避免广播风暴
城域网建设时应通过合理措施极力避免广播风暴的产生。城域节点之间应进行L3路由方式连接,不做L2透传,可以将L2广播域终结在城域网中的一个节点以下。
如果在组网中确实存在L3交换机之间通过Trunk方式互连的情况,需要启用VLAN Trunk Pruning、减小广播、组播以及其他数据包泛滥对干道带宽的占用。在网络拓扑结构比较简单的情况下,尽量采用公共生成树方式,所有VLAN在一个Spanning Tree下,运行于VLAN 1,城域网核心交换机设置为根网桥。此方式会降低BPDU(桥协议数据单元)数据流量对带宽的占用。此外,还可采用可设置广播风暴门限的设备,对超过阈值(如20%)的广播包自动进行过滤和丢弃等方式来有效抑制广播风暴的发生。
摘自 网络世界
|