海门广电数据网络现状及改造设计

【摘要】简要叙述海门广电ATM数据网的现状和发展瓶颈，提出网络改造的目标和原则，并规划了海门广电MPLS VPN网络平台设计。

【关键词】ATM；PVC+VLAN；MPLS；核心层；汇聚层；接入层

一、海门广电网络现状

海门广电数据网自2000年进行一期建设以来，经过前后两期的网络建设，形成了目前的网络结构为：以海门市Cisco 8540核心交换机为中心节点，下连其林CISCO 8510核心交换机和四甲Cisco 8510核心交换机。其中，其林Cisco 8510下连悦来Cisco 8510，四甲Cisco 8510下连包场Cisco 8510。四甲Cisco 8510和包场Cisco 8510连接起来。这5台骨干设备通过ATM 155M链路形成环路，组成了海门广电数据网的核心层，每台核心层设备通过ATM 155M链路下联多个乡镇节点设备（海门市Cisco8540连市内各汇聚点设备），具体网络拓扑如图1所示：

海门广电的网络主要业务模式为向海门市内各企事业或单位提供网络专线接入服务。主要业务实现方式为ATM PVC与VLAN绑定的专线模式。其中，接入层部分，采用以太网交换机（型号为CISCO2950、CISCO2924）通过划分虚拟专网（VLAN），为不同用户提供专网接入。

每接入点配置一台CISCO 2950和一台CISCO2924交换机，其中C2950上联至C2924，并通过C2924配置的ATM 155M模块，与就近的核心交换机C85x0连接。

由于骨干链路采用的ATM组网方式，提供各专网的VLAN，在CISCO 2924上联ATM端口上，采用PVC+VLAN绑定的模式，将各专网分布于各地的分支结构进行远程专用连接。

同时，通过在核心交换机CISCO 8540连接一台Cisco 7204路由器（并外接防火墙），为有需要的专网提供公网接入服务。

通过海门广电的大力发展，到目前为止，海门广电的网络已经发展为承载了共19个专网，共700多条PVC的规模型运营网络服务提供商。

但随着网络技术的日新月异的发展，以及用户对网络服务要求不断的提高，使得海门广电现有网络在稳定运行多年后，呈现出一定的劣势：

a）ATM网络设备成本居高不下，导致各大网络设备供应商相继停止了相关设备的继续生产、研发、维保，这给需要继续升级和维保的海门广电的ATM网络设备带来了很大的困难，阻止了网络的继续稳定的运营和进一步发展；

b）新型网络应用不断的发展，网络负载不断增长，对网络带宽和设备性能都提出了新的要求；

c）各种病毒、蠕虫、黑客攻击更加猖獗，而用户则需要提供更加纯净的网络接入服务。所以，网络安全控制的手段都期待加强；

d）提供更安全、更快速、更丰富的服务，在与同行的竞争中始终处于领先的地位。

骨干网络采用ATM组网方式，边缘采用IP技术。网络中很多设备都过了保修期，原厂商也不再生产同型号的设备。在这种情况下，运营的风险比较大。网络建成到现在，网络技术取得了很大的发展。新技术提供更快速度、更丰富的应用。同时，新的应用消耗了更多的网络带宽，网络面临的威胁也更大了。各种病毒、蠕虫、黑客攻击更加猖獗。管理员应对的局面也更加复杂。在这种背景下，迫切需要对网络进行升级，以保证海门广电为用户提供更安全、更快速、更丰富的网络服务，以保证在与同行的竞争中始终处于领先的地位。

二、海门广电网络改造内容

结合海门广电目前网络现状和未来网络需求，对本次网络改造的目标和原则考虑如下：

1.提高骨干层的可靠性

重点提升核心路由器的可靠性，将核心网络部署为关键板卡为全冗余设置，并通过统一备件系统，对骨干层设备进行设备级备份。核心设备之间采用千兆双链路，保障线路的高可靠性。

2.提升网络的传输能力

将市中心核心层与汇聚设备、汇聚层至接入层的链路均由现有的ATM 155M升级为两条双向千兆以太网链路，升级现有交换机之间的100M连接为千兆以太网连接。

3.提升网络的安全性

加强的各专网的检测和控制，预防病毒、攻击、广播风暴等，以免因此造成对整个网络巨大的影响。

4.提升网络的业务拓展能力

用户对网络的需求日益变化，网络基础架构本身应能适应多种业务的延伸，加强网络对新业务的向后兼容，也是本次网络改造的一个重要原则。

5.加强网络的可扩展性

充分考虑网络未来发展的应用，对带宽可持续扩容、网络QOS保障等做一些前瞻性考虑。

基于根据此次改造的目标和原则，结合网络现状，可考虑通过部署基于MPLS/VPN的以太城域网，基于其使用灵活且安全可靠的特性，展开多样化的运营业务。通过严密部署基于MPLS任意传输（AToM），部署EoMPLS、ATMoMPLS以及VPLS等多种先进技术，为海门广电用户提供夺身定制各种接入以及数据传输服务。

三、网络改造设计

新建网络设计效果图如图2所示：

本次改造主要包括以下几个方面

核心层网络改造；

汇聚层网络改造；

边缘接入层网络改造。

1.升级调整目的

为了改变目前海门广电网络以ATM+Eth-ernet的架构给网络的可扩展性、可持续运行维护性带来的问题，有必要在以太网迅速普及，且端口成本日益降低的情况下，建设单纯的以太网架构替代现有网络，以保证网络的可持续发展、运营、维护，同时，随着网络利用率的增长，增加网络带宽链路，提高网络的可用性；将网络由环-星型提升为双链路，减少网络层次结构等方面来提高网络的可靠性。

2.MPLS组网简介

MPLS网络的主要组成包括边缘标记交换路由器（EdgeLSR）、标记交换路由器（LSR）和标记分发协议（LDP）。

标记分发协议是基于网内路由协议，在MPLS网络的所有标记交换设备之间定义标记的协议。标记是在普通的数据报文内定义的一个字段，不同的物理网络，标记的表现形式不一样。标记的分发基于网络的拓扑结构而不是实际的数据报文；同时，标记只在网络的每一段链路上本地有效。在基本的MPLS网络中，标记一般表示路由的信息；但在高级的MPLS网络中，不同的标记还可以用来表示不同的服务等级、不同的VPN或不同转发路径。

非MPLS网络的数据报文并不含标记的信息，边缘标记交换路由器就是负责在MPLS网络的边缘对数据包进行标记和去除标记的工作。在数据包进入MPLS网络的时候，边缘标记交换路由器根据网络拓扑进行数据包的处理，同时根据标记分发协议所定义的标记，给数据包加上标记进入MPLS网络。在数据包离开MPLS网络的时候，边缘标记交换路由器作相反的动作，将数据包的标记去除进入非MPLS网络。

标记交换路由器是根据标记分发协议预先计算出的标记交换表来转发带标记的数据包的核心设备。标记交换路由器只须支持标记转发，因此这种设备可以是一台交换机，参数也可以是一台路由器。在ATM网络中，标记表现为ATM的VPI和VCI。如果一台ATM交换机支持标记分发协议，并据此转发ATM包，它也可以作为MPLS网络的标记交换路由器。

MPLS网络结合了二层交换和三层路由的技术，集中了交换网络和IP网络的优势，既可以实现交换网络的私密性和业务等级，也可以达到IP网络的灵活性和扩展性。在此基础上，MPLS网络还给运营商带来了更多的应用，包括MPLS VPN（二层和三层）、MPLS流量工程和MPLS业务等级。

二层透传——AToM：

AToM建设在MPLS网络的基础设施之上，在两个路由器的一对端口之间提供高速的二层透传。这种技术可以用来提供二层VPN，也可以用来实现传统网络的升级。AToM主要组成部分包括：PE路由器、标记分发协议（LDP）和MPLS标记交换隧道（LSPTunnel）。PE路由器拥有并维护与其直接相连的二层透传的链路信息。PE路由器负责将VPN客户的普通数据包打上标记和去除标记，因此PE路由器必须是一个边缘标记交换路由器。

在两个PE路由器之间实现二层透传的两个端口必须是相同的类型，例如以太网、VLAN、ATM VC、帧中继VC、HDLC或PPP。每一对这样的端口用一个唯一的虚拟链路标志（VCID）来表示。

在两个PE路由器之间要定义穿过MPLS网络的LSP隧道，LSP隧道提供了隧道标记（Tun-nelLabel），在两个PE路由器之间透传数据。同时在两个PE路由器之间还要定义直接的标记分发协议进程，用来传递虚拟链路的信息，其中最关键的是通过匹配VCID来分发虚拟链路标记（VCLabel）。

当二层透传的端口有数据包进入PE路由器时，PE路由器通过匹配VCID找到与之对应的隧道标记和虚拟链路标记。PE路由器会将此数据包打上两层标记，其中外层标记为隧道标记，指示从该PE路由器到目的PE路由器的路径；内层标记为虚拟链路标记，指示在目的PE路由器上属于哪个VCID对应的路由器端口。

值得一提的是，PE路由器要监视各自端口上的二层协议状态，如帧中继的LMI或ATM的ILMI。当出现故障时，通过标记分发协议进程来取消虚拟链路标记，从而断开此二层透传，避免产生单向无用数据流。

这种基于MPLS的二层透传方式，改变了传统的二层链路必须通过交换网络实现的限制，它从根本上形成了“一个网多种业务”的业务模式，让运营商可以在一个MPLS网络中同时提供二层业务和三层业务。

基于二层透传技术的是二层VPN。现在，二层VPN的各项标准正处于IETF起草阶段，主要包括针对点到点服务的虚拟私用线路服务（VPWS）和针对多点服务的虚拟私用局域网服务（VPLS）。这两种二层VPN都采用以AToM为基础的数据层面，在控制层面上增加自动发现和自动配置等多种功能。

3.海门广电MPLS VPN网络平台设计

本次网络改造将严格按照网络规范设计，确保网络的可靠性、可用性、安全性以及可扩展性。

从设计网络效果图来看，整个网络将分为核心层、汇聚层、接入层和公网接入（含专线路由器接入）。整个网络为星型架构。整个网络骨干链路为双向千兆光纤组建的双上行冗余链路。

（1）核心路由器一台

新增一台核心路由器作为海门广电网络的核心骨干设备，配备双引擎、双电源模块，提供核心网络高速数据转发以及运营商级可靠性。

A.双引擎

要求支持第2层、第3层MPLS VPN，支持MPLS ATM（AToM），支持MPLS流量工程。

B.以太光纤接口卡

配备24端口以上的以太光纤接口模块和支持分布式转发的快速转发模块，为汇聚设备、公网接入设备、专网用户海门节点等提供接入服务。

C.ATM模块

考虑到目前有农行、农信社以及建行3家专网用户目前采用ATM接口与ATM专网通过PVC方式连接，且这些专网用户不希望任意改变现有网络模式。同时，为了有效的保障ATM专网可以和新建的MPLS专网能有机的联通，保障割接过程中的用户网络的平滑割接，在核心路由器上配置ATM模块，该ATM模块支持4个155M的ATM端口接入，分别通过ATM接口的方式与农行、农信、建行和中心Cisco 8540 ATM交换机相连。

（2）汇聚路由器3台

新增三台汇聚路由器作为海门广电网络的汇聚设备，配备单引擎、双电源模块，提供网络高速数据转发以及运营商级可靠性。

新增三台汇聚路由器，专分别架设于中心、四甲、悦来三个节点作为网络汇聚节点。

配备24端口以上的以太光纤接口模块和集中式转发卡，以就近原则，分别为附件乡镇节点接入交换机提供千兆光纤连接。汇聚路由器双千兆链路上行连接海门网络中心核心路由器，两条千兆光纤链路，通过捆绑，实现故障链路的快速自行切换和高达双向4Gb的链路带宽，保证了汇聚层与核心层网络的高度可靠性。

（3）边缘接入交换机，共25台

每边缘节点新增一台交换机，提供24个10/100M以太端口供专线用户接入，另外，配备一个千兆SFP接口，通过光纤接口与汇聚交换机相连。

（4）网络中心接入交换机，共15台

网络中心除了连接海门市附件的9个乡镇接入点外，还负责大量海门市内的用户的接入以及大量专网用户的总部核心节点接入。因此，在网络中心侧还需部署独立的用户接入层网络，负责网络中心处的各专网用户的市区分支接入。

参考文献

[1]李晓东.MPLS技术与实现[M].电子工业出版社，2002.

[2]王达.虚拟专用网（VPN）精解[M].清华大学出版社，2004.