浅析城域网的网络规划建设

解决方案城域网网络规划建设浅析□蒯红兵（中国联通四川分公司网络建设部,成都610041）摘要：本文重点分析了当前城域网在网络建设规划中必须考虑的问题，提出了城域网规划建设需要考虑的主要内容和方式、方法，为后期城域网规划建设提供指导思路。关键词：城域网规划建设安全流控BAS接入网在近十年的宽带发展中，城域网伴随着网络业务的发展而快速发展，从早期基本上无管理的交换型网络，逐渐通过路由化改造和BRAS端局化演进为具备对用户可运营可管理的路由型网络。客户需求由简单的互联网业务发展为全方位的信息交流以及个性化的娱乐消费。新的业务对网络提出了新的要求，其特征表现为大带宽接入、精细化运营、多业务承载、网络安全可信任以及FMC融合。现有的IP城域网要满足新的宽带业务的发展要求，实现业务多样化和差异化，并提升宽带客户的体验，就需要在网络建设中进行合理规划和不断优化。一、现有城域网业务分析及对策根据CNNIC2008年1月提供的中国互联网络发展状况统计报告数据：前七类网络应用的使用率按高低排序依次是：网络音乐＞即时通信＞网络影视＞网络新闻＞搜索引擎＞网络游戏＞电子邮件。体现互联网娱乐作用的网络音乐、网络影视、网络游戏等排名靠前，中国互联网市场娱乐功能占主体地位。除了以上互联网业务以外，城域网后期还必须考虑支持IP电话（VOIP）、IPTV、VPN、绿色上网、视频会议（VC）、FMC（fixed-mobileconvergence，固网与移动网的融合）等等其它业务。针对以上业务，城域网必须考虑采用流控设备对业务进行精细化管理，以分析用户的上网行为并根据用户需求来控制用户的上网行为，如绿色上网等，给大用户提供业务分析报告等；利用缓存服务器实现用户的集中访问内容的就近访问，即节约了带宽，也提升了用户的感受；采用BAS（宽带接入服务器）对用户宽带上网进行细化管理；采用IPS等安全网关，对非正常流量进行清洗，以保证上行业务的带宽合理利用；对城域网采用QoS等级划分，利用MPLSVPN提供给用户简单构建企业网的基础条件……以下将针对在城域网上布置上述设备的网络规划建设思路进行阐述。二、流控和流量分析设备的规划建设对于互联网上的网络音乐、网络影视等，采用P2P软件来进行下载或播放较为流行。但在P2P应用在为用户带来方便的同时，其全互联和并发连接的特点，将消耗掉大量的网络宽带资源，严重情况下会导致网络拥塞，使其它互联网应用性能降低。因此如何正确控制和利用P2P应用就是城域网规划建设中必须考虑的内容。一方面要在总带宽上限制，让P2P流量尽量实现本地化流转，另一方面考虑流量计费方式，保障用户的流量使用。作为流控设备的建设规划，首先必须考虑流控设备应该具有比较完善的流量分析功能，如流量流向分析、P2P流量检测、VoIP检测、非法共享接入检测等，只有对现网的所有流量能够进行分析，才能针对分析出来的流量进行控制或者导向。鉴于上面分析的P2P流量最好能控制在本地化流转，所以该设备的位置部署建议为：在地市节点总流量低于1G的情况下，可将流控分析设备放置到省总出口到国干出口的位置上，实现在以省为单位内部实现P2P流转，减轻国干压力和实现总出口的非P2P流量的带宽保证，保障用户的使用感受；同时鉴于大用户均采用公网IP地址上行，对每个大用户均可提供在省出口的流量分析报告，提升大客户的使用感受；随着地市节点业务发展，可将相关流控设备下移到地市城域网出口，实现用户细化管理。在流量小的情况下可以采用透明串接的方式接入流控设备，以Bypass交换机进行保护；但随着流量的增大，要逐步考虑以分光链路复制流量来分析、扰流来控制的方式进行流量分析控制。流控设备一般分为DFI（深度流检测）和DPI（深度包检测）两种方式进行流量检测。DPI的优势为：可细分每种P2P业务流，识别P2P准确率高，基于用户对P2P管理策略的要求，可对各种P2P业务进行控制，但需要及时更新检测模板，才能识别新的业务应用。DFI检测技术的优势为：处理性能高，能够识别加密和变异的P2P流量，适合应用在网络的核心骨干层；因为可识别隐藏在已知流量中的P2P，如果网络上出现新的P2P，只需调整P2P的识别模板，无需实时更新软件，维护成本低、易于维护。在实际中，最好能采用先实施DPI分析，然后采用DFI分析，充分利用其各自优点进行流量分析和控制。总之，在城域网部署流控及分析设备是很有必要的，为后期业务的发展提供了必要的分析数据，以达到有的放矢，使网络向智能化发展。三、“BAS＋NAT”的规划建设随着宽带用户的数量增加，原有的包月不限流量的粗放方式渐渐妨碍运营商的业务发展，引进BAS（宽带接入服务器），从而实现对用户的管理、认证计费、安全控制的功能，而且随着城域网承载多业务的发展，BAS还要逐步实现业务识别、接入控制、策略实施和业务分流及部分增值业务特性。BAS位于业务接入控制层，是实现业务综合化、业务差异化和业务可控化的关键部件，是二层宽带接入网与三层IP网络的转换点，是个人用户业务的接入控制点，需完成多业务的接入认证与管理、业务的控制及计费信息采集等。为此，城域网中BAS的规划建设就更为重要。在原有的没有BAS的网络中，往往终结用户二层信息的是汇聚层三层交换机，但BAS一旦上线，就需要其下层网络全部为二层网络，原有的用户接入的三层设备要全部取消，其分层抗击攻击的情况转化为全部集中到最终终结的BAS上，造成二层流量因攻击流量加入有明显增加。对此接入网的VLAN划分就很重要，最好实现每个用户一个VLAN，以隔离广播风暴和减少病毒感染造成的攻击。而在BAS的布置上，根据业务量划分不同的等级，在流量较少的情况下，布置并发数量少的设备，随着业务发展，并发用户数量的增加，逐步考虑将小容量BAS下移到用户相对集中的业务汇聚点，局端采用更大容量的设备以支持其余相对分散的用户的接入。同时BAS必须考虑后期视频组播业务的支持能力，以保障后期组播业务的开展。在整个城域网网络拓扑中，BAS上行的流量往往存在一个用户的数据流，如果用户的分配地址全部采用公网地址的话，那么就不需要网络地址转换（NAT）设备，否则需要增加NAT设备，另外一个上行的流量是用户的认证信息流，这个流量往往需要采用专网构建，以保障其安全性，作为BAS的上行设备就必须支持双路由上行，特别是在需要作地址转换的环境中必须考虑，这也就带来了以下几种方式的网络拓扑的变化情况（参见图1）。方式一中，数据流通过接入交换机→汇聚交换机→BAS→NAT→汇聚交换机→安全网关（透明串接）→路由器，这种方式与方式二仅仅差在方式二从NAT→安全网关（透明串接）→路由器，减少了数据流在汇聚交换机上的循环。但此两种方式均要求用户必须在认证鉴权后进行地址翻译，然后到交换机或路由器。方式三采用分别BAS和NAT分别旁挂汇聚交换机上，可灵活实现业务的流动方向，如需要认证但不需要地址翻译的用户，可通过BAS下一跳指向路由器实现，如需要地址翻译但不要认证鉴权的用户，可将用户的默认网关指向汇聚交换机→NAT→汇聚交换机→安全网关→路由器，但基于汇聚交换机循环路由较多，占用交换机的端口也较多。方式三中的BAS认证流可以独立直接上行，同时在POP点上增加的BAS，如果用户需要作地址翻译，也必须采用方式三的旁挂方式，才能满足NAT和BAS一对多的需求。方式一、二中BAS的认证流必须通过NAT上行，所以需要NAT支持双路由上行，但不能满足NAT和BAS一对多情况。在城域网规划中要根据实际的业务需求情况，灵活规划网络。出口路由器汇聚交换机安全网关接入交换机NATBASBASNAT汇聚交换机接入交换机方式一方式三方式二图1BAS、NAT网络拓扑示意图四、安全网关的规划建设随着互联网用户的不断发展，黑客和攻击手段的简单化，蠕虫等病毒快速发展，基于僵尸网络的黑色经济的发展，城域网被攻击的现象越来越多。作为城域网安全的网络规划主要是考虑城域网自身的安全，而不是以用户电脑中毒为防护的主要目标。普通互联网用户的电脑中毒，账号/个人信息被盗、被改，被仿冒网站欺骗等等虽然受到影响，但只是影响到用户自身安全，尚未攻击到城域网络。作为城域网安全规划，可以在能力和资金富裕的情况下考虑作为对大用户的增值服务，如增加终端安全管理系统，以确保用户的电脑自动升级系统补丁和安全防护软件等；城域网主要考虑对蠕虫、分布式拒绝服务攻击（DDOS）等产生大量带宽消耗的攻击行为的防护。图1中布放的安全网关主要是考虑将城域网本地的攻击流量阻止在本地，确保地市出口的长途中继流量最大化地用于正常业务。安全网关主要考虑采用透明串接到交换机和路由器之间，采用BYPASS交换机实现安全网关设备故障时的链路保障。安全网关类似于每台电脑中的杀毒和防火墙软件的作用，杀毒软件防护的是一台电脑，而安全网关防护的是一个网络内核心设备。一般电脑用的防毒软件其病毒库升级后就直接加载扫描拦截了，同样城域网维护人员对于新的网络攻击也不熟悉，所以在IDS/IPS之中，建议采用IPS实施主动防御，虽然难免出现误杀、误防情况，但针对安全网关厂商已经确定的攻击如DDOS攻击等，能够在底层就直接给予丢弃为最好。安全网关除了上面的主要功能外，对于垃圾邮件、网页上相关字眼的检查或过滤，也可以适当考虑，以保证在需要清查相关垃圾邮件来源或必须过滤的网页字眼时有工具可以帮助维护人员解决问题。现在的统一威胁管理（UnifiedThreatManagement，UTM）是包含了网络防火墙、网络入侵检测（IDS）/防御（IPS）、网关防病毒、防垃圾邮件、网址过滤、内容过滤、VPN等等功能于一体的安全设备，但因其功能全面，就造成其每个方面的能力均有所不足。作为城域网的运维，UTM的功能主要还是使用其IDS/IPS功能，其余很少需要。UTM更适用于IDC机房的防护或者一个企业网的防护。安全网关可以采用多链路配置，一般需要考虑需要通过BAS的流量（需要认证鉴权），和直接通过交换机到路由器的流量（不需要认证鉴权）。如果本地双平面互备的话，安全网关就起码考虑四路流量的监控过滤。这在网络规划配置中应该根据实际网络进行考虑。安全网关的建设，使网络向可信任的安全网络发展。五、接入网的规划建设在加强城域核心网络建设的同时，应该仔细考虑接入网的建设。用户接入汇接点（POP）的建立，首先应该选择传输上下方便，而不光是周围潜在用户数量大的因素。所以在用户密集区结合SDH网的核心站点来建立接入汇接点是比较好的方法。在用户数量较少、分布较分散的情况下，最好采用本地传输网络进行互联网业务的承载，如MSTP方式，确保利用传输提供保护，在后期业务发展到一定程度的基础上再考虑接入汇接点的建设，逐步过渡到两级汇聚交换机组网，BAS等也可同步下移到POP点，就近接入用户，实现网络向扁平化发展。FMC融合是未来的发展趋势，作为移动IP承载的核心网因为其高QOS的要求，可以单独建立一张核心网，但在接入网层面，因为的覆盖面过于庞大，所以从投资角度就不允许在建设一张移动的专有接入网，宽带IP城域网作为综合业务承载的网络平台是大势所趋。随着3G业务的发展，移动业务所需的带宽越来越大，基站的接入从2M到10M，再到100M/1000M，宽带IP城域网为固定、WIFI、WIMAX、3G等移动业务提供了统一的接入控制，使网络向统一接入和统一业务控制方向发展。基于软交换技术实现的固定IP电话接入，是需要一个稳定的城域接入网的支持，才能保障其用户的使用感受达到普通的PSTN电话，所以接入网设备的可管理是一个非常重要的环节。一路IP电话的承载往往需要通过很多设备、链路，其中只要有一个设备不稳定或存在故障，用户均将无法使用此IP电话。能够将这些设备纳入到统一的网管系统中，实现运维人员主动告警，对经常出现告警问题进行优化改造，主动发现问题，解决问题，才能真正保障用户的正常使用。另外，业务发展将逐步向一个开放的业务推送平台(OpenServiceDeliveryEnvironment)演进，并在此平台上提供固定与移动结合的IPTV/三重播放业务、基于IMS的语音和多媒体业务，以及为企业