IP城域?qū)拵Ы尤刖W(wǎng)環(huán)保護(hù)優(yōu)化案例分析

　　項(xiàng)目背景

　　中國電信某省分的寬帶IP城域網(wǎng)按照城域骨干網(wǎng)和寬帶接入網(wǎng)的兩級(jí)架構(gòu)進(jìn)行建設(shè)；城城骨干網(wǎng)又分為核心層和業(yè)務(wù)層，寬帶接入網(wǎng)又分為匯聚層和接入層。

　　其網(wǎng)絡(luò)現(xiàn)狀如圖所示。在城域骨干層中每臺(tái)業(yè)務(wù)層的BRAS都雙連到核心層的路由器，核心層路由器也雙歸連到骨干層的CN1/CN2路由器。每臺(tái)接入網(wǎng)匯聚層交換機(jī)也雙歸到骨干業(yè)務(wù)層的BRAS，實(shí)現(xiàn)了網(wǎng)絡(luò)保護(hù)迂回。

　　需求分析

　　優(yōu)化前網(wǎng)絡(luò)狀況如下圖所示：





　　1、傳統(tǒng)以太網(wǎng)交換機(jī)擴(kuò)展性差

　　傳統(tǒng)以太網(wǎng)交換機(jī)只支持4096個(gè)VLAN；如果將這三臺(tái)以太網(wǎng)交換機(jī)連成一個(gè)網(wǎng)絡(luò)，城域內(nèi)的VLAN號(hào)則必須唯一，因此無論全網(wǎng)有多少臺(tái)交換機(jī)，整個(gè)城域網(wǎng)都只能最大支持到4096個(gè)VLAN，這遠(yuǎn)不能滿足城域范圍發(fā)展業(yè)務(wù)的要求。為此，被迫將整個(gè)城域網(wǎng)分割成三個(gè)以太網(wǎng)孤島，各孤島之間不進(jìn)行任何物理連接，以達(dá)到重復(fù)使用VLAN號(hào)的目的，從而全網(wǎng)可提供3*4096個(gè)VLAN，暫時(shí)滿足目前城域網(wǎng)對(duì)VLAN數(shù)的需求。即使采用Stack VLAN，充其量也只能是緩解VLAN擴(kuò)展性的壓力，實(shí)際可供運(yùn)營商支配的VLAN數(shù)也只有4096個(gè)，長遠(yuǎn)來講也不能滿足城域業(yè)務(wù)發(fā)展的需求。

　　另外，隨著業(yè)務(wù)的不斷發(fā)展，肯定會(huì)有新的交換機(jī)接入到現(xiàn)網(wǎng)上來，如果不將全網(wǎng)進(jìn)行分割，那么生成樹將不可避免的臃腫起來，STP/RSTP收斂時(shí)間會(huì)嚴(yán)重影響服務(wù)質(zhì)量。

　　2、傳統(tǒng)以太網(wǎng)交換機(jī)安全性差

　　傳統(tǒng)以太網(wǎng)交換機(jī)不具備隔離用戶接口和網(wǎng)絡(luò)接口的機(jī)制，所有交換機(jī)擁有相同的全局MAC地址轉(zhuǎn)發(fā)表；如果城域內(nèi)有20萬用戶，則每臺(tái)交換機(jī)的MAC地址轉(zhuǎn)發(fā)表都將記錄20萬個(gè)轉(zhuǎn)發(fā)條目，網(wǎng)上的任何一個(gè)用戶開機(jī)或關(guān)機(jī)都會(huì)引起MAC地址轉(zhuǎn)發(fā)表的變動(dòng)。當(dāng)MAC地址轉(zhuǎn)發(fā)表受到攻擊而被占滿后，廣播包將充斥著整個(gè)城域網(wǎng)，進(jìn)而導(dǎo)致服務(wù)質(zhì)量嚴(yán)重下降。于是為了縮小MAC地址轉(zhuǎn)發(fā)表的條目數(shù)，被迫將整個(gè)城域網(wǎng)分割成三個(gè)以太網(wǎng)孤島，通過這種方式將每個(gè)孤島內(nèi)的MAC地址轉(zhuǎn)發(fā)表的條目數(shù)縮小到全網(wǎng)的1/3，減少了轉(zhuǎn)發(fā)表的刷新頻率。

　　3、傳統(tǒng)以太網(wǎng)交換機(jī)組網(wǎng)可靠性差

　　傳統(tǒng)以太網(wǎng)交換機(jī)組網(wǎng)時(shí)，考慮到擴(kuò)展性問題，所有接入層的交換機(jī)采用單星型拓?fù)浣Y(jié)構(gòu)上連到匯聚層交換機(jī)，沒有保護(hù)路由，且占用大量光纖資源。隨著IPTV、NGN業(yè)務(wù)的逐步普及，運(yùn)營商必須解決業(yè)務(wù)保護(hù)的問題。

　　4、傳統(tǒng)以太網(wǎng)交換機(jī)缺乏有效的管理手段

　　傳統(tǒng)以太網(wǎng)交換機(jī)在2層始終沒有找到有效的故障處理工具，來進(jìn)行日常的故障診斷和定位，最多只能簡(jiǎn)單的通過IP PING的方式來驗(yàn)證端到端的IP層連通性；但是IP PING對(duì)于二層的故障定位無能為力。以太網(wǎng)要承擔(dān)城域傳送網(wǎng)的任務(wù)，必須具備符合電信級(jí)要求的管理維護(hù)手段。

　　5、傳統(tǒng)以太網(wǎng)交換機(jī)的服務(wù)質(zhì)量缺乏有效的保障手段

　　以太網(wǎng)傳統(tǒng)的無連接服務(wù)質(zhì)量，讓數(shù)據(jù)采用最為經(jīng)濟(jì)高效的路徑流過網(wǎng)絡(luò)，同時(shí)也給確保服務(wù)提供和服務(wù)質(zhì)量（QoS）滿足實(shí)時(shí)應(yīng)用需求的服務(wù)供應(yīng)商提出了難題。

　　解決方案

　　本次優(yōu)化采用北電公司的運(yùn)營商以太環(huán)網(wǎng)解決方案。利用一臺(tái)MERS8600作為匯聚層以太網(wǎng)交換機(jī)，配置五臺(tái)ESU1800形成兩個(gè)以太網(wǎng)接入環(huán)，將市內(nèi)五個(gè)端局的DLSAM及以太網(wǎng)專線業(yè)務(wù)匯集到中心局的以太網(wǎng)匯聚交換機(jī)。下圖所示為本次以太網(wǎng)接入環(huán)環(huán)保護(hù)方案圖。

　　

　　為減少本次試點(diǎn)工程的業(yè)務(wù)割接量，仍保持MERS8600與匯聚層交換機(jī)Aggregate-2的GE連接不變；同時(shí)分別增加一條到匯聚層交換機(jī)Aggregate-1和Aggregate-2的GE連接。為了保持Aggregate-1和Aggregate-2的VLAN號(hào)的重疊使用，新增的GE連接采用GE UNI接口，將到Aggregate-1和Aggregate-2的連接劃在不同的VPN 虛擬專用網(wǎng)（也稱之為Transparent Domain）中，通過TDI（Transparent Domain Identifier）進(jìn)行標(biāo)識(shí)和區(qū)分，每個(gè)VPN內(nèi)都可以有4096個(gè)VLAN號(hào)。

　　在城域內(nèi)的五個(gè)分支局點(diǎn)布放以太網(wǎng)接入環(huán)的遠(yuǎn)端接入模塊ESU1800，并與中心局的MERS8600上連形成兩個(gè)環(huán)，環(huán)的主節(jié)點(diǎn)和次節(jié)點(diǎn)分別接到MERS8600的兩塊不同的ESM卡板上，實(shí)現(xiàn)卡板故障冗余，任意一塊ESM發(fā)生故障，都不會(huì)影響業(yè)務(wù)。將五個(gè)分支局點(diǎn)的現(xiàn)有DSLAM、以太網(wǎng)專線等業(yè)務(wù)割接到以太網(wǎng)接入環(huán)ESU1800上來。

　　IP城域?qū)拵Ы尤刖W(wǎng)優(yōu)化后的目標(biāo)結(jié)構(gòu)

　　下圖為IP城域?qū)拵Ы尤刖W(wǎng)優(yōu)化后的目標(biāo)結(jié)構(gòu)圖，從圖中可以看到：

　

　　1、城域內(nèi)部署三臺(tái)MERS8600，各自扇出三個(gè)以太網(wǎng)接入環(huán)，通過環(huán)上的遠(yuǎn)端模塊接入業(yè)務(wù)；

　　2、從中心局到所有的支局/縣局可實(shí)現(xiàn)50ms保護(hù)倒換；

　　3、匯聚層交換機(jī)可以全部互連，相互保護(hù)，形成一個(gè)完整的城域以太網(wǎng)。不需要通過路由器和BRAS即可提供全部城域網(wǎng)內(nèi)的點(diǎn)到點(diǎn)、點(diǎn)到多點(diǎn)及多點(diǎn)到多點(diǎn)的以太網(wǎng)專線業(yè)務(wù)，并可實(shí)現(xiàn)專線業(yè)務(wù)自動(dòng)迂回保護(hù)。

　　項(xiàng)目效果

　　在實(shí)施本次優(yōu)化方案之前，現(xiàn)網(wǎng)中的接入層交換機(jī)以單星型結(jié)構(gòu)上來到三臺(tái)匯聚層以太網(wǎng)交換機(jī)Aggregate-1、Aggregate-2和Aggregate-3，由于傳統(tǒng)以太網(wǎng)交換機(jī)擴(kuò)展性、安全性的限制，被迫分割成三個(gè)相互隔離的以太網(wǎng)孤島。

　　采用北電運(yùn)營商以太網(wǎng)方案優(yōu)化后，解決了原有的相關(guān)限制和問題，將匯聚層和接入層的以太網(wǎng)設(shè)備整合起來，形成一個(gè)完整的城域以太網(wǎng)。優(yōu)化后的具體效果如下：

　　1．IEEE802.1ah解決擴(kuò)展性和安全性問題

　　北電MERS8600城域以太網(wǎng)交換機(jī)按照IEEE802.1ah標(biāo)準(zhǔn)來構(gòu)建一個(gè)完整的以太城域網(wǎng)，全網(wǎng)支持3萬多個(gè)VPN，且每個(gè)VPN內(nèi)可支4096個(gè)VLAN，總計(jì)約1千6百萬個(gè)VLAN，從根本上解決擴(kuò)展性問題；開展城域以太網(wǎng)專線業(yè)務(wù)不再需要更高一層網(wǎng)絡(luò)的介入。

　　北電MERS8600城域以太網(wǎng)交換機(jī)按照IEEE802.1ah標(biāo)準(zhǔn)，實(shí)現(xiàn)MAC in MAC轉(zhuǎn)發(fā)模式，能安全隔離用戶和網(wǎng)絡(luò)之間的接口。MERS8600的全局MAC地址轉(zhuǎn)發(fā)表，不包含最終用戶的MAC地址轉(zhuǎn)發(fā)條目，其全局MAC地址轉(zhuǎn)發(fā)表的大小只與MERS8600的以太網(wǎng)UNI接由有關(guān)，由于全網(wǎng)只有三臺(tái)MERS8600，其全局MAC地址轉(zhuǎn)發(fā)表的條目數(shù)不會(huì)超過100條，因此查表速度快，且不受任何接入用戶影響，網(wǎng)絡(luò)穩(wěn)定可靠。另外，每個(gè)VPN業(yè)務(wù)都有自已的獨(dú)立的MAC地址轉(zhuǎn)發(fā)表，及時(shí)受到MAC地址攻擊，影響范圍也局限在攻擊源所在的VPN，對(duì)城域網(wǎng)的安全不構(gòu)成威脅。如果全網(wǎng)20萬用戶，可分在多個(gè)VPN內(nèi)，這樣每個(gè)VPN的MAC地址轉(zhuǎn)發(fā)表的條目數(shù)就不會(huì)很大。每個(gè)用戶的變動(dòng)只會(huì)影響到其所在的VPN內(nèi)的MAC地址轉(zhuǎn)發(fā)表的刷新，也不會(huì)影響其它的VPN用戶，更不會(huì)影響全局表的刷新，從而實(shí)現(xiàn)網(wǎng)絡(luò)的安全和穩(wěn)定。

　　2．以太環(huán)網(wǎng)提供50ms倒換保護(hù)實(shí)現(xiàn)電信級(jí)可靠性

　　北電MERS8600城域以太網(wǎng)交換機(jī)采用環(huán)型結(jié)構(gòu)，利用以太網(wǎng)接入環(huán)上的遠(yuǎn)端模塊（ESU1800）接入業(yè)務(wù)，可實(shí)現(xiàn)電信級(jí)50ms倒換保護(hù)，并且大大降低對(duì)光纖資源的需求。大量的研究表明，50ms是衡量傳送網(wǎng)生存性的重要指標(biāo)；如果業(yè)務(wù)中斷時(shí)間超過50ms，對(duì)于多數(shù)電路交換網(wǎng)的實(shí)時(shí)話音、視頻和數(shù)據(jù)業(yè)務(wù)來說將造成不可接受的服務(wù)質(zhì)量（QoS）下降。

　　3．故障處理工具Service Ping解決管理維護(hù)問題

　　北電MERS8600城域以太網(wǎng)交換機(jī)按照IEEE802.1ag和ITU Y.1731標(biāo)準(zhǔn)，提供了業(yè)務(wù)故障處理工具“Service Ping”，支持針對(duì)每個(gè)VPN業(yè)務(wù)的連通性測(cè)試，在準(zhǔn)確定位故障的同時(shí)，關(guān)注網(wǎng)絡(luò)延遲，監(jiān)測(cè)SLA的執(zhí)行情況。

　　4．PBT增強(qiáng)以太網(wǎng)確定性保證服務(wù)質(zhì)量

　　北電MERS8600運(yùn)營級(jí)以太網(wǎng)的PBT是一項(xiàng)簡(jiǎn)單的點(diǎn)對(duì)點(diǎn)通道技術(shù)，增強(qiáng)了以太網(wǎng)的確定性，為運(yùn)營商指明了以太網(wǎng)服務(wù)穿過網(wǎng)絡(luò)應(yīng)該采用的路徑。PBT通過為實(shí)時(shí)服務(wù)保留帶寬的方式確保了服務(wù)質(zhì)量，而且即便是連接中止，PBT還提供了50毫秒的服務(wù)恢復(fù)時(shí)間。另外，PBT可以和基于MPLS的核心網(wǎng)絡(luò)無縫地結(jié)合，支持當(dāng)前流行的所有MPLS服務(wù)。PBT還有助于解決以太網(wǎng)的可擴(kuò)展性問題。由于“避開”了以太網(wǎng)的廣播和學(xué)習(xí)功能，“網(wǎng)絡(luò)泛濫”的問題迎刃而解；否則網(wǎng)絡(luò)資源將被網(wǎng)絡(luò)中大量以太網(wǎng)設(shè)備間的連續(xù)交互通信所占用。PBT與運(yùn)營商骨干網(wǎng)橋接（IEEE802.1ah）結(jié)合使用，可以滿足城域內(nèi)幾百萬用戶同時(shí)享用以太網(wǎng)服務(wù)。

　　結(jié)束語

　　以太網(wǎng)的簡(jiǎn)易性和經(jīng)濟(jì)性使其成為迄今為止電信史上最為成功的數(shù)據(jù)傳輸技術(shù)。但是，作為一項(xiàng)為企業(yè)網(wǎng)絡(luò)開發(fā)的技術(shù)，如果不解決擴(kuò)展性、安全性、可靠性、服務(wù)質(zhì)量和維護(hù)管理這幾個(gè)主要難題，以太網(wǎng)將無法實(shí)現(xiàn)統(tǒng)一第二層的宏偉目標(biāo)。目前MEF，IEEE，IETF等各大標(biāo)準(zhǔn)化組織都在加緊至力于城域以太網(wǎng)標(biāo)準(zhǔn)的研究。IEEE802.1ah和802.1ag標(biāo)準(zhǔn)以及創(chuàng)新的PBT技術(shù)是以太網(wǎng)技術(shù)從局域網(wǎng)向城域網(wǎng)發(fā)展的里程碑。有了運(yùn)營級(jí)以太網(wǎng)交換機(jī)，就可以構(gòu)建一個(gè)完整的城域以太網(wǎng)，逐步實(shí)現(xiàn)中國電信關(guān)于建設(shè)“大二層”的目標(biāo)。