YY市电信城域网扩容工程
和“从后向前”的形式进行规划和使用。
6.2 IP地址分配方案
1) 省干Loopback、各地IP城域网Loopback地址单独进行规划。
2) “市内设备互联地址”段专用于本地IP城域网核心层与核心层直连的
设备之间的互联。
3) 对本地IP城域网汇聚层节点,考虑汇聚节点半年的发展需求预分了一整
段地址,IP地址紧张时可向省网管中心提出申请,批准后启用规定的第二个整段地址。这段地址的使用要求如下:
a) 用户地址(含路由方式指向用户的子网和用户以网桥方式使用的地
址段)从地址段中自前往后顺序分配。
b) 设备互联地址(与用户设备互联【指路由方式开户情况】和与下一
级局端设备互联地址)从地址段中自后往前顺序分配。
4) 凡设备互联,低层设备使用大号地址。 5) 各地NAS的IP Pool在本地范围内单独统一规划。 6) 各地BAS的IP Pool在本地范围内单独统一规划。
7) 汇聚层以下可以采用支持端口绑定IP地址的设备,以提高地址使用率。
否则,如果用户只需一个合法IP地址的,可直接用4个地址的互连网段以网桥方式开通用户(用户端使用大号地址),不必指子网到用户。 8) 各地市自主分配IP的窗口为/29,超过应将用户IP地址申请表上报省网管
中心,批准后方可分配。分配用户IP地址时,应注意在满足用户对IP地址正常需求的前提下,尽量节省使用IP地址资源。
9) 认真执行《北方电信IP地址管理暂行办法》,做好IP地址登记管理工作,
按规定做好用户IP地址的申请登记工作,保管好相关资料。
10) 请各市分公司按照以上规定的要求,切实做好本市IP地址的规范管理工
作,核查本市IP地址分配使用的情况,如果存在与规定不符的情况应尽
机密
中盈优创资讯科技有限公司
第 14 页
4/4/2013
YY市电信城域网扩容工程
快进行整改。
6.3 Vlan规划方案
通过划分Vlan,可以实现流量和用户的隔离。通过把不同的流量映射到不同的Vlan中并分配相应的优先级,可以为用户提供不同优先级别的服务质量保证。但是,Vlan的划分必须进行合理的规划,首先,二层网络的范围不宜过大,过大的二层网络将导致大量的STP计算,使设备的性能下降并降低网络的效率;其次,Vlan ID资源有限,每台交换机全局支持4096个802.1q Vlan ID,每台交换机能同时支持的STP实例也是有限的。当然路由器没有这个限制,每个路由器端口即可支持4096个ID。
建议根据前两期网络建设的资源使用状况,尽可能合理的、优化利用Vlan资源。除LAN to LAN业务所使用的Vlan ID全城域网范围需要保持全局唯一外,诸如PPPOE、IP专线等在汇聚节点可以将Vlan信息终结的业务所使用的Vlan ID可以在各汇聚节点重叠使用。这样可以在一定程度上解决Vlan ID资源相对有限的问题。
Vlan划分表
VLAN ID 1-9 10-11 12 13-60 61-120 121-140 141-145 146-150 151-155 156-165 166-185 186-215 机密
用途 保留 本地核心设备互联(不足可往前顺序使用) 中心机房测试 DCN 保留 网管 业务管理,包括用于业务计费、结算、统计、用户认证等 应用服务,如域名服务、邮件服务、导航服务、拨号服务等 代维服务,如托管主机、虚拟主机等 保留 用于本地核心设备出口MSTP应急电路 用于BRAS上联VLAN 第 15 页
4/4/2013
中盈优创资讯科技有限公司
YY市电信城域网扩容工程
216-235 236-255 256-1024 汇聚层与核心层互联(凡本地与核心层设备直连皆属) 汇聚层与接入层互联 用于PPPoE用户(一个VLAN不超过200个用户) 1025-2000 预留给PPPoE使用 2001-3000 用于LAN专线和小区/楼宇 3001-4000 用于LAN to LAN互联 4001-4096 保留 注: 1、本方案长期有效,如有不足,将根据实际情况修正。 2、无特殊情况,各段VLAN ID应自前往后顺序使用。
3、今后,随着用户的增多,各层设备在具体开放业务中如果出现方案规划资源
不足的情况,在保证无VLAN透传造成冲突的情况下,不同设备可优先使用规定段外预留的VLAN资源。
机密
中盈优创资讯科技有限公司
第 16 页
4/4/2013
YY市电信城域网扩容工程
第7章 网管及安全
7.1 网管
大规模网络平台,网络管理业务平台是辅助管理的重要手段,大部分网管系统采用在厂商设备的SNMP MIB库上二次开发的方式已经实现全网全程的设备信息和业务信息管理。本次城域网工程在济南配置一套华为的网络管理系统,各地市使用终端进行访问。
7.2 安全
网络的安全性在很大程度上取决于网络设备的安全性,本次城域网均采用华为设备,设备的安全方面的配置,是尤为重要的。一般针对网络设备本身的安全,做好如下一些配置:
在网络设备上关闭不必要的服务,如Finger、Bootp、Http等;
缺省情况下,从任何地方都可以登录网络设备。为了增加网络设备的安全性,需要对远程登录的范围进行限制。
通常使用访问控制列表(ACL)限制登录主机的源地址,只有具有符合条件的主机能够登录到该网络设备上。配置分为两步:
? 定义访问控制列表(acl) ? 应用访问控制列表(acl)
定义好ACL后,将ACL应用到vty端口即可对能够登陆设备的主机进行限制。
另外需要对能够登录网络设备的用户进行管理,对网络设备有可配置权限的用户尤其要严格控制。建议采用分区分权管理,不要使对于网络拥有可配置权限的用户名/口令系统让太多的管理人员涉及,应该紧收;对于一般可操作权限的用户/口令系统可以适当的放的松些。对于登录用户的认证系统尽量建议采用Radius系统,本地数据库认证为辅。
机密
中盈优创资讯科技有限公司
第 17 页
4/4/2013
YY市电信城域网扩容工程
第8章 网络割接
8.1 割接原则
网络割接应该保障原有城域网络向新建城域网的平滑过渡,为了保证平滑过渡,本工程割接将遵循以下原则:
1) 尽量不间断原有的网络运行业务
由于目前城域网已经具有一定规模,有相当的用户数,运行有多种运营业务,因此在网络割接中如何保证网络业务的不间断运行就成为一个首先要考虑的因素。在网络割接前,需要对原有网络体系结构的充分了解及详尽的技术准备,在整个网络割接中尽量不间断原有的网络业务运行。
2) 在新的城域网出现故障时网络运行能自动倒换回原有网络
对于原有运行OSPF的设备,利用OSPF的路由控制策略,通过Metric值的控制完成向新城域网的过渡。
对于原有采用静态路由的设备的割接采用两套管理距离的方式,通过对管理距离的调整实现流量在故障时自动切换。建议原有的连接及协议配置在新城域网稳定前继续运行一段时间。
3) 割接与测试并行
为了保证网络的稳定性和可靠性,在每个节点的流量割接进新的城域网后,将对其与新网的连通性进行测试,只有在确信工作正常后,才能进行下一步工作。如出现严重故障,立即倒换到旧网。
总之,基于对上述几个方面的考虑,本次网络割接将在不影响原有网络各种业务应用的前提下,完成城域网的平滑过渡
8.2 割接步骤
各地市省网设备的配置及城域网现网情况不尽相同,而且城域网核心设备需要与省网设备建立连接,因此可以根据现网及省网三期设备的到货情况安排割接
机密
中盈优创资讯科技有限公司
第 18 页
4/4/2013