1、提纲网络定位网络定位网络结构网络结构1 12 23 3路由协议路由协议p 城域数据网是CMNET网络在城域范围内的延伸,主要用于承载集团专线、家庭宽带、WLAN、虚拟专线、CM-IMS等业务。p IP专用承载网主要用于承载自有业务,包括CS核心网(A、Iu-CS、Nc、Mc);PS核心网(Gb、Iu-PS);IMS核心网(Gm、Mw、媒体等);远期的LTE(S1、X2等)p IP内部信息承载网主要用于承载内部支撑系统,包括软交换网元、TD-RNC、CS域CE和PS域CE网管信息以及资管、信令监测数据等。中国移动中国移动IPIP承载网分类承载网分类TDM/IPIP专用承载专用承载网网手机终端手机
2、终端IP骨干网骨干网IP城域网城域网接入网接入网用用户户PC终端终端集团客户集团客户手机终端手机终端CMnet国干网国干网CMnet省网省网城域城域网网PC终端终端IP内部信息承载网内部信息承载网网管信息网管信息资源管理资源管理中国移动中国移动CMNETCMNET骨干网现状骨干网现状成都是成都是CMNETCMNET八大骨干节点之一,负责疏通四川、云南、贵州、西藏等省数据流量;八大骨干节点之一,负责疏通四川、云南、贵州、西藏等省数据流量;提纲网络定位网络定位网络结构网络结构1 12 23 3路由协议路由协议中国移动城域数据网网络定位中国移动城域数据网网络定位p 城域数据网向上连接CMNet省网,
3、向下通过宽带接入网和城域传送网接入用户。同时,城域数据网还利用城域传送网实现组网的传输承载。中国移动城域数据网网络定位示意图城域数据网业务定位城域数据网业务定位城域数据网组网原则城域数据网组网原则1.中国移动城域数据网建设应遵循网络结构层次化、网络扁平化原则,使用性能较高、功能较全的设备,建设高业务服务质量、高安全性的网络。2.基于技术先进性和成熟性的原则,中国移动城域数据网采用的主导传送技术是IP over WDM,并兼顾IP over SDH、IP over Fiber等技术。3.可运营性,城域数据网需要向大量用户提供不同类型的服务,网络应提供良好的业务管理能力,支持对宽带用户的接入管理、
4、身份认证、带宽许可、地址管理和服务质量(QoS)保证,并针对不同的业务提供灵活的计费方式,确保网络的可运营特性。4.可管理性,城域数据网需要统一的网管系统,实现统一的网络业务调度和管理,降低网络运营成本。5.可扩展性,城域数据网应根据用户数量和业务类型发展,充分考虑网络和业务的扩展能力,建设成完整统一、组网灵活、易扩充的弹性网络平台,预留充分的扩展余地。6.安全可靠性,城域数据网的建设应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施,保障网络和信息层面的安全。7.可演进性,城域数据网应具备向IPv6平滑演进的能力,根据业务需求适时启用IPv6功能,支持IPv6业务
5、。CMNET网络n当OLT与BRAS/SR位于不同机房时,建议OLT通过WDM或光纤直连方式上联到汇聚交换机,经汇聚后连接BRAS/SR;或OLT上联经PTN汇聚后连接BRAS/SR。当OLT流量增大至上行可用满多个GE口或10GE口时,OLT可经过WDM或光纤与BRAS/SR直连。WDM与光纤两种传输方式中优先选择WDM方式。n当OLT与BRAS/SR位于同一机房时,若OLT上行流量不大,则OLT采用光纤直连方式上联到汇聚交换机,汇聚后接入BRAS/SR;OLT上行流量增大至上行可用满多个GE口或10GE口时,OLT可与BRAS/SR采用光纤直连。城域数据网与接入设备连接方式城域数据网与接入
6、设备连接方式提纲网络定位网络定位网络结构网络结构1 12 23 3路由协议路由协议自治域划分自治域划分p“自治域”(Autonomous System,AS)是Internet为便于管理和简化路由选择而设定的,每个AS赋予唯一的AS号。多层次、多自治域的网络有利于网络的结构清晰、路由策略灵活,便于管理全国性的大网络。p 在中国移动互联网技术体制中规定CMNet分为多个自治域,骨干网为一个单独自治域,分配公有自治域号AS9808。每个省网分别为一个自治域,分配私有自治域号;对于自带公有自治域接入用户数较多的省份,可以考虑为该省分配单独的公有自治域号。考虑CMNet的发展状况和管理方式,现阶段不鼓
7、励城域网单独划分自治域,而与所在省省网共自治域。p 四川全省21地市城域数据网与CMNET四川省网为一个自治域,采用移动集团公司分配的保留自治域号64640。路由策略路由策略p 外部路由协议lCMNET省网成都核心节点作为CMNET-SC省网与CMNET骨干网的出口,省干核心NE5000E与骨干网四川节点间通过eBGP协议交换路由信息。成都核心层的任意2台核心路由器之间运行iBGP协议,交换BGP路由信息。这样,省内骨干网的各个核心路由器都能够得到由中国移动CMNET骨干网广播来的整个Internet的全部路由表,能够根据目的地址选取最优路径出网。四川移动CMNET通过省网出口向中国移动CMN
8、ET骨干网广播省网路由信息,从省网外能够根据省内的目的地址选择最佳入省路径。p 内部路由协议l内部路由协议IGP选用IS-IS、iBGP路由协议。l其中IS-IS中只承载全网loopback和互联路由,不承载业务路由;BGP用于承载业务路由。l省干核心、地市核心、RR、地市汇聚设备运行在ISIS Level2中,所有链路在1个Area运行Level 2,不划分Level和Area。l全网采用两级反射器,一级RR采用省干核心旁挂的两台RR设备,一级RR与省干核心、地市核心设备之间建立iBGP;二级RR由地市城域网核心兼做,与一级RR、城域数据网汇聚层设备之间建立iBGP。路由策略路由策略四川CM
9、NET路由规划提纲业务接入和承载四川移动AAA系统概况123认证技术简介业务接入和承载p 集团客户宽带接入业务集团客户宽带接入业务主要通过分组城域传送网(PTN)或PON接入网实现接入。用户数据经过PTN或PON接入网二层透传后上行至BRAS/SR,由BRAS/SR进行业务接入控制。PON接入网与BRAS/SR之间可通过汇聚交换机实现流量和端口汇聚。提纲业务接入和承载四川移动AAA系统概况123认证技术简介宽带业务AAA系统p随着宽带网络的普及和网民数量的增长,宽带业务成为运营商一项非常重要的收入来源,宽带业务的运营管理需要AAA业务运营支撑管理系统的密切配合。u概述pAAA系统面向的用户情况
10、:公众用户接入认证情况:公众用户通过集团公司一级AAA系统认证计费;四川公司AAA系统目前面向的用户类别:高校、集团客户WLAN或有线宽带;集团一级AAA系统和四川公司AAA系统关系:独立关系。pAAA系统:认证(Authentication)、授权(Authorization)、计费(Accounting)。认证:验证用户的身份与可使用的网络服务,限制非法用户;授权:依据认证结果开放网络服务给用户,并控制合法用户权限;计费:记录用户对各种网络服务的业务量,并提供给计费系统。宽带业务AAA系统pAAA系统厂家为华为公司,系统部署在高升桥枢纽8楼数据机房。p2台三层交换机主备连接数据库、业务管理
11、应用、Web Portal、Radius、报表和维护服务器,旁挂负载均衡设备,并主备连接2台防火墙;p上行主备两条FE链路连接高升桥省核心业务系统接入设备华为S9306交换机,实现CMNET、21市州BRAS连接;p主备2M电路直达连接BOSS、万年枢纽3楼WEB管理终端。u网络结构提纲业务接入和承载四川移动AAA系统概况123认证技术简介宽带业务AAA系统u认证方式-PPPOE、WEB、802.1Xp PPPOE认证PPPOE:一种点到点的链路层协议,提供了点到点的封装、传递数据的方法;三个协商阶段:LCP(链路控制协议)协商阶段,认证阶段(比如CHAP/PAP),NCP(网络层控制协议,比
12、如IPCP)协商阶段。p用户上网拨号时,用户终端和业务控制设备(BRAS)在LCP阶段协商链路层参数,然后将用户名和密码发送给BRAS进行CHAP/PAP认证;BRAS通过RADIUS协议将用户名和密码发送给AAA进行认证。p认证通过后,在NCP(IPCP)协商阶段,BRAS给用户计算机分配网络层参数例如IP地址等。pBRAS发起计费开始请求给AAA,AAA回应计费开始请求报文。p用户下线,BRAS向AAA发送计费停止请求的报文,AAA向BRAS回计费停止请求报文的回应,并产生话单。宽带业务AAA系统u认证方式-PPPOE、WEB、802.1Xp WEB认证:通过访问Portal服务器的认证页
13、面,交互输入用户名和密码进行身份认证的一种认证方式;pBRAS DHCP方式给用户分配IP地址;用户发起上网申请,BRAS强制重定向用户URL到Portal URL;p用户访问Portal服务器的认证页面,并在其中输入用户名、密码,点击登录按钮;pPortal服务器将用户的信息通知BRAS,BRAS到AAA对该用户进行认证;AAA返回认证结果给BRAS,BRAS将认证结果通知Portal服务器;Portal服务器通过HTTP页面将认证结果通知用户;如果认证成功用户即可正常访问网络资源。pBRAS发起计费开始请求给AAA,AAA回应计费开始请求报文。p用户下线,BRAS向AAA发送计费停止请求的
14、报文,AAA向BRAS回计费停止请求报文的回应,并产生话单。宽带业务AAA系统u认证方式-PPPOE、WEB、802.1Xp 802.1X认证:通过对用户接入端口的认证控制,达到对用户管理的目的。当用户上网时,用户接入端口状态为锁闭状态,用户发起认证申请,认证通过后,用户获得二层网络的使用权。p当用户有访问网络需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,BRAS设备端将客户端发送的数据帧经封包处理后送给AAA。pAAA收到BRAS端转发的用户名信息后,将该信息与数据库中的用户名表对比,找到该用户名对应的密码信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字发送给BRAS设备端,由BRAS设备端转发给客户端程序。p客户端程序收到由BRAS设备端传来的加密字后,用该加密字对密码部分进行加密处理,并通过BRAS设备端传给AAA。pAAA将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息。pBRAS设备收到认证通过消息后将端口改为授权状态,允许用户通过端口访问网络。pBRAS发起计费开始请求给AAA,AAA回应计费开始请求报文。p用户下线,BRAS向AAA发送计费停止请求的报文,AAA向BRAS回计费停止请求报文的回应,并产生话单。