網(wǎng)絡(luò)工程詳細(xì)設(shè)計(jì)及實(shí)施方案

華北電力調(diào)度數(shù)據(jù)網(wǎng)工程投標(biāo)文件網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)及實(shí)施方案前面所述的兩種L2VPN方式能夠解決同種網(wǎng)絡(luò)接口類型的點(diǎn)對(duì)點(diǎn)的互連。對(duì)城域網(wǎng)中的很多要求點(diǎn)對(duì)多點(diǎn)的應(yīng)用來說遠(yuǎn)遠(yuǎn)不夠。IETF的VPLS標(biāo)準(zhǔn)滿足了這種需求。通過運(yùn)營商的IP/MPLS網(wǎng)絡(luò)，Layer2MPLSVPN可以仿真一個(gè)局域網(wǎng)交換機(jī)，具有基于MAC地址對(duì)用戶的數(shù)據(jù)幀進(jìn)行轉(zhuǎn)發(fā)的能力。最終的目的是構(gòu)架客戶端基于L2交換的VPN網(wǎng)絡(luò)。Juniper路由器已經(jīng)實(shí)現(xiàn)了VPLS解決方案，通過在MPLSL2VPN和RFC2547bisL3VPN之間共用BGPSession，完美的實(shí)現(xiàn)了VPN成員關(guān)系的發(fā)現(xiàn)。這種VPLS解決方案已經(jīng)在全球得到了驗(yàn)證。不同介質(zhì)的二層VPN互聯(lián)這種方式也叫2.5層VPN。2.5層VPN功能是對(duì)二層VPN的擴(kuò)展，可以提供將某種客戶接口介質(zhì)類型轉(zhuǎn)換為另一種客戶接口介質(zhì)類型的功能，從而使使用不同接口介質(zhì)類型的用戶站點(diǎn)可以接入同一VPN實(shí)現(xiàn)互連。在進(jìn)行網(wǎng)絡(luò)匯聚的過程中，運(yùn)營商及其客戶經(jīng)常需要將多個(gè)VPN站點(diǎn)連接起來，即使這些站點(diǎn)沒有使用相同的二層接入技術(shù)。例如，某企業(yè)可能會(huì)希望將所有站點(diǎn)統(tǒng)一部署到一個(gè)單一幀中繼二層VPN中，但又不想替換少數(shù)幾個(gè)傳統(tǒng)ATM站點(diǎn)上的所有電路和設(shè)備。許多網(wǎng)絡(luò)設(shè)計(jì)人員都認(rèn)為以太網(wǎng)是最終的接入技術(shù)，因?yàn)樗?jiǎn)單、快速而且隨處適用。然而遺憾的是，直到最近以太網(wǎng)才成為一種VPN技術(shù)，而且向它的轉(zhuǎn)變需要很長時(shí)間。許多運(yùn)營商客戶表示對(duì)逐步遷移到VPLS很感興趣--這意味著將通過以太網(wǎng)連接來添加VPN新站點(diǎn)，但不需同時(shí)遷移他們?cè)械乃蠽PN站點(diǎn)，因?yàn)檫@將需要大量的工作。第2.5層VPN可以幫助他們實(shí)現(xiàn)這一目標(biāo)，因?yàn)樗梢灾С忠蕴W(wǎng)和幀中繼報(bào)頭之間的轉(zhuǎn)換，并且轉(zhuǎn)發(fā)幀內(nèi)容無需進(jìn)行任何修改。因此，運(yùn)營商可以采用2.5層MPLSVPN功能來提供“二層接口轉(zhuǎn)換”業(yè)務(wù)，并將其作為實(shí)現(xiàn)更長遠(yuǎn)的單一介質(zhì)二層VPN的一個(gè)過渡步驟，或是作為全面的多介質(zhì)VPN業(yè)務(wù)的一部分?？缬騇PLSVPN功能Juniper路由器實(shí)現(xiàn)了在RFC2547中定義的三種跨域的MPLSVPN實(shí)現(xiàn)方式，分別為：VRF-VRF也稱作背靠背方式。在該方式中，需要ASBR與ASBR之間的接口支持子接口,ASBR互相把對(duì)方看做自己的CE路由器.ASBR上維護(hù)多個(gè)VPN的VRF表.如果有多個(gè)VPN經(jīng)過ASBR,則需要多個(gè)子接口和多個(gè)VRF表.該方式在ASBR之間傳遞的普通的IPv4路由.雖然實(shí)現(xiàn)簡(jiǎn)單,但是擴(kuò)展能力最差。MP-EBGP該方式在ASBR之間的EBGP連接上做了多協(xié)議擴(kuò)展,以支持VPNIPv4路由,相對(duì)于VRF-VRF方式,該方式中不需要在ASBR之間起多個(gè)子接口,因此其擴(kuò)展能力較方式A高,但該方式仍需要在ASBR上維護(hù)多份VRF表。MP-EBGPMultihop在該方式中,位于不同AS的PE之間可以直接建立MP-EBGPMultihop連接，來傳送VPNIPv4路由。由于該連接對(duì)ASBR透明,ASBR上不需要維護(hù)多份VRF表，因此它是擴(kuò)展能力最高的一種實(shí)現(xiàn)方式。但是在該方式中，需要PE路由器建立到其他AS的PE的LSP路徑,在具體實(shí)現(xiàn)中通過在AS邊界把本自治域的PE路由器的loopback地址路由發(fā)給對(duì)方自治域。MPLS/BGPVPN內(nèi)的組播實(shí)現(xiàn)Juniper所有的M-系列路由器支持IETF的最新草案：MulticastinMPLS/BGPVPNs(draft-rosen-vpn-mcast-06.txt)。它的工作原理如下：首先，我們要知道2個(gè)概念：VPN-RP：VPN內(nèi)的組播聚合點(diǎn)SP-RP：運(yùn)營商內(nèi)的組播聚合點(diǎn)上圖展示了Juniper實(shí)現(xiàn)方式中，組播數(shù)據(jù)包在三層VPN內(nèi)經(jīng)歷的不同階段，具體為：階段一：PIMHello已經(jīng)在VPN內(nèi)配置了PIM協(xié)議。如果該路由器上配置了隧道PIC卡的話，會(huì)產(chǎn)生一個(gè)虛擬的組播隧道接口（mt-fpc/pic/port.abcde），這個(gè)接口用于在主PIM進(jìn)程和VPN內(nèi)的PIM進(jìn)程之間通信PIMHello包從VRF發(fā)出，經(jīng)過了mt接口。這時(shí)，一個(gè)GRE包頭加在了PIMHello包的前端，GRE包頭內(nèi)包含了VPN組地址以及PE的Loopback地址信息當(dāng)這個(gè)Hello包經(jīng)過pe（PIM封裝）虛擬接口時(shí)，一個(gè)PIM注冊(cè)包頭加在了Hello包的前端，PIM注冊(cè)包頭包含了SP-RP的目的地址及PE的Loopback地址信息這個(gè)包發(fā)往SP-RP路由器當(dāng)這個(gè)Hello包經(jīng)過pd（PIM解封裝）虛擬接口時(shí)，SP-RP解開了最前面的包頭，把余下的GRE封裝的Hello包發(fā)往所有其它的PE路由器PE路由器上的主PIM進(jìn)程解開了GRE包頭，并根據(jù)里面的VPN組地址信息，把Hello包經(jīng)過mt接口發(fā)往VRF內(nèi)期望的VPN組階段二：PIM加入信息CE5路由器想接收組播源，所以CE5向PE3發(fā)布了PIM加入信息PIM加入信息經(jīng)過了mt接口，一個(gè)GRE包頭加在了它的前面，包含了VPN組地址及PE3的Loopback地址信息PIM加入信息經(jīng)過了pe接口，一個(gè)PIM注冊(cè)包頭加在了它的前端，PIM注冊(cè)包頭包含了SP-RP的目的地址及PE的Loopback地址信息這個(gè)包通過單播路由協(xié)議發(fā)往SP-RP路由器當(dāng)這個(gè)PIM加入信息包經(jīng)過pd（PIM解封裝）虛擬接口時(shí)，SP-RP解開了最前面的包頭，把余下的GRE封裝的PIM加入信息包發(fā)往所有其它的PE路由器PE2路由器收到了這個(gè)包，因?yàn)閂PN-RP就在它的后方，PIM加入信息包穿過了mt接口，并把GRE包頭去掉PIM加入信息于是發(fā)往VPN-RP路由器階段三：組播發(fā)送CE1路由器后方的組播源向組發(fā)送，CE1后方的DR路由器把這個(gè)包封裝在PIM注冊(cè)信息內(nèi)因?yàn)檫@個(gè)包已經(jīng)有PIM注冊(cè)信息了，所有它通過三層VPN的單播路由協(xié)議發(fā)往VPN-RPVPN-RP解封裝這個(gè)數(shù)據(jù)包，發(fā)往下游接口，同時(shí)發(fā)往PE3路由器數(shù)據(jù)包經(jīng)過了PE2的mt接口，被加上了GRE包頭數(shù)據(jù)包再經(jīng)過pe接口，又被加上了注冊(cè)包頭這個(gè)包發(fā)往SP-RP，并被除去注冊(cè)包頭這個(gè)包帶著GRE包頭，發(fā)往PE路由器“感興趣”的PE路由器除去GRE包頭，并把數(shù)據(jù)包發(fā)給想加入該組的CE路由器。如果該站點(diǎn)沒有想加入這個(gè)組的PIM加入信息，PE會(huì)扔掉這個(gè)數(shù)據(jù)包MPLS/BGPVPN實(shí)施建議華北電力調(diào)度數(shù)據(jù)網(wǎng)將采用MPLSVPN對(duì)不同的業(yè)務(wù)進(jìn)行隔離，將其劃分到不同的VPN內(nèi)。在整個(gè)調(diào)度網(wǎng)內(nèi)需要開通2個(gè)VPN，一個(gè)VPN用于實(shí)時(shí)業(yè)務(wù)，另外VPN用于非實(shí)時(shí)業(yè)務(wù)?？傮w來講，華北電力調(diào)度網(wǎng)MPLSVPN開通分下面幾個(gè)步驟來實(shí)現(xiàn)。實(shí)現(xiàn)信息點(diǎn)的最佳連通。首先，通過OSPF協(xié)議，使全網(wǎng)路由連通。廣域網(wǎng)開通MPLS的功能。骨干和核心層可以開通MPLSTE。根據(jù)需要，開通MPLSVPN.由于整個(gè)網(wǎng)絡(luò)的VPN業(yè)務(wù)需要開通到各個(gè)變電站和電廠,由于Juniper所有的M/J系列路由器全部支持MPLSVPN，并且也支持非MPLS方式的VRF，對(duì)于華北電調(diào)網(wǎng)可以有兩種實(shí)現(xiàn)方式，所有的廣域網(wǎng)路由器全部開通MPLSVPN，此時(shí)，只要路由器后端有CE設(shè)備或有主機(jī)的，都是PE設(shè)備。所有的核心和骨干路由器開通MPLSVPN，各個(gè)接入變電站和電廠的設(shè)備使用非MPLS方式的VRF。當(dāng)采用上述1的方式時(shí)，此時(shí)接入層路由器也同時(shí)參與了MPLSVPN，其擔(dān)當(dāng)PE路由器。由于各個(gè)骨干和核心路由器上也需要連接主機(jī)系統(tǒng)，此時(shí)他們也是PE設(shè)備。由于采用三層MPLSVPN，需要完成iBGP的fullymesh.解決iBGPFullyMesh的方法這里推薦采用反射路由器（RR:RouteReflector）。這里可以將RR的位置，可以將其設(shè)置在核心層的兩臺(tái)路由器上。由于整個(gè)華北電力調(diào)度網(wǎng)的拓樸結(jié)構(gòu)為環(huán)行結(jié)構(gòu)，可以考慮將各個(gè)接入和骨干路由器就近和核心路由器進(jìn)行iBGP的連接。以上圖為例，內(nèi)蒙古骨干環(huán)的骨干和接入路由器都以在昌平和房山變的核心路由器為RR，山西骨干環(huán)的接入和骨干路由器都以房山變和安定變的核心路由器為RR。然后核心層的6臺(tái)路由器之間建立iBGP的全連接。將RR路由器設(shè)置在核心層路由器上，可以便于管理。加上核心層路由器JuniperM40e的路由處理能力和性能很強(qiáng)大，不會(huì)存在性能的問題。由于BGP協(xié)議是構(gòu)建在IGP之上的，只要存在鏈路連接到核心路由器，BGP的session就不會(huì)有問題。在華北電調(diào)的拓樸結(jié)構(gòu)下，任何骨干路由器到核心路由器之間都存在兩條路徑，這樣當(dāng)出現(xiàn)任何單點(diǎn)故障，BGP的session仍然穩(wěn)定。當(dāng)采用方式二時(shí)，此時(shí)參與MPLSVPN的路由器只有骨干路由器和核心層路由器。而接入層路由器提供非MPLS方式的VRF―――通過將不同的接口放到不同的虛擬路由器中，從而他們隔離在不同的路由表內(nèi)，從而實(shí)現(xiàn)路由的隔離。在PE端，將不同的非MPLS的VRF映射到不同的MPLSVPN的VRF內(nèi)。方式一：優(yōu)點(diǎn)：擴(kuò)展性好，靈活。缺點(diǎn)：iBGP的FullyMesh問題。方式二：優(yōu)點(diǎn)：iBGP的數(shù)目少，容易控制缺點(diǎn)：采用非MPLS的VRF的方式，擴(kuò)展性不好。由于在現(xiàn)有的華北電調(diào)的網(wǎng)絡(luò)中，沒有多少VPN，所以推薦采用方式二。

網(wǎng)絡(luò)可靠性一般來講，對(duì)于骨干網(wǎng)絡(luò)需采用冗余設(shè)計(jì)以防止網(wǎng)絡(luò)的任何位置發(fā)生故障。在實(shí)際網(wǎng)絡(luò)中如果當(dāng)某條鏈路發(fā)生故障時(shí)，業(yè)務(wù)參數(shù)會(huì)發(fā)生劇烈變化，網(wǎng)絡(luò)必須在不增加其它不穩(wěn)定因素的前提下對(duì)故障進(jìn)行處理。同時(shí)，為保證網(wǎng)絡(luò)設(shè)計(jì)的完整型，必須選用可靠的骨干路由器。本次選用的核心路由器Juniper的M系列路由器是基于能在異常條件下工作設(shè)計(jì)的，當(dāng)鏈路上的路由器接收到由于某條鏈路發(fā)生故障而轉(zhuǎn)移過來的業(yè)務(wù)時(shí)，它能夠接收這些業(yè)務(wù)并且不降低整個(gè)網(wǎng)絡(luò)的可靠性。對(duì)于重要的業(yè)務(wù)或根據(jù)需求實(shí)施某些特別的可靠保證，比如利用MPLSLSP的鏈路保護(hù)技術(shù)。這樣從宏觀到微觀，保證整個(gè)網(wǎng)絡(luò)系統(tǒng)都有足夠的可靠性。設(shè)備的可靠性保證作為核心路由器的M系列路由器具有高可靠性，這在市場(chǎng)實(shí)際運(yùn)營中已得到眾多用戶的好評(píng)。它除了具有能夠可靠地除了網(wǎng)絡(luò)異常狀況的能力，同時(shí)軟硬件設(shè)計(jì)也確保了自身系統(tǒng)的穩(wěn)定。M系列結(jié)構(gòu)的設(shè)計(jì)使它能夠在幾個(gè)方面可靠地處理網(wǎng)絡(luò)異常情況。對(duì)于接口速率來說，Internet處理器的查詢能力是“超大的”。另外，接口間共享緩存內(nèi)存、緩沖能力可以容納大型的突發(fā)數(shù)據(jù)包。因此，即便對(duì)于很小尺寸的數(shù)據(jù)包，M系列也能夠在接口上對(duì)其進(jìn)行線速轉(zhuǎn)發(fā)。同時(shí)，M系列內(nèi)部的路由和轉(zhuǎn)發(fā)功能是分開的，這樣便確保了因本地路由不穩(wěn)定性而引起的路由表重新計(jì)算不會(huì)中斷包轉(zhuǎn)發(fā)處理。除了保持網(wǎng)絡(luò)的可靠性外，M系列路由器的設(shè)計(jì)也確保了自身系統(tǒng)的穩(wěn)定性。Juniper的M系列的高端路由器所有產(chǎn)品在主要易出現(xiàn)故障的硬件部分包括電源、風(fēng)扇等均提供備份方式。本次配置的核心路由器M40e的所有模塊，包括電源、冷卻單元、路由引擎、轉(zhuǎn)發(fā)引擎、系統(tǒng)交換等均提供主備方式，并且所有主備系統(tǒng)的倒換不會(huì)影響已連接的業(yè)務(wù)。其中冷卻系統(tǒng)的冗余可確保不會(huì)因個(gè)別的風(fēng)扇或葉輪故障而導(dǎo)致系統(tǒng)故障。類似的，具有的雙電源供電也是完全冗余的，每個(gè)電源模塊都能夠提供系統(tǒng)所需的全部功耗負(fù)載。此外，M系列可以從任何一個(gè)冗余存儲(chǔ)媒質(zhì)上關(guān)閉，確保系統(tǒng)在磁盤故障時(shí)仍能保持運(yùn)行。對(duì)于M路由器系統(tǒng)軟件的可靠性，采用統(tǒng)一的JUNOS軟件，其具有保護(hù)模式的模塊化設(shè)計(jì)結(jié)構(gòu)，每個(gè)單獨(dú)的進(jìn)程在一個(gè)獨(dú)立操作系統(tǒng)頂部的保護(hù)內(nèi)存中運(yùn)行。模塊化設(shè)計(jì)防止了整個(gè)系統(tǒng)范圍的故障，確保對(duì)某一部分模塊的修改不會(huì)對(duì)代碼庫的其它部分造成影響。最后，較少數(shù)量的組件和有效設(shè)計(jì)相結(jié)合，使M系列系統(tǒng)具有第一流的可靠性。網(wǎng)絡(luò)結(jié)構(gòu)的可靠性整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)于核心層和骨干層基本采用環(huán)行結(jié)構(gòu)―――核心層的6臺(tái)設(shè)備構(gòu)成兩個(gè)環(huán)，骨干層的設(shè)備又和核心層設(shè)備構(gòu)成6個(gè)環(huán)。這樣，任意一個(gè)骨干節(jié)點(diǎn)到其它節(jié)點(diǎn)都存在兩條路徑，從而實(shí)現(xiàn)冗余性。為了進(jìn)一步提供穩(wěn)定性，設(shè)備的兩個(gè)POS端口必須位于兩個(gè)不同的板卡上。接入路由器J6300采用四根E1鏈路接近分別連接到不同的核心、骨干節(jié)點(diǎn)上。在保證帶寬的同時(shí)保證可靠性。這四根E1鏈路，也兩兩分布在不同的板卡上，即一塊板卡上兩個(gè)E1端口。鏈路的冗余保護(hù)JuniperM系列路由器支持SDHAPS保護(hù)、支持VRRP；支持802.3ad、多鏈路點(diǎn)對(duì)點(diǎn)協(xié)議MLPPP、SDH鏈路的多鏈路聚合；支持MPLSLSP路徑保護(hù)：包括MPLS備選路徑、MPLS快速重路由、MPLS鏈路保護(hù)等方式。MPLSLSP的可靠性MPLSLSP上的任意節(jié)點(diǎn)或鏈路故障都會(huì)導(dǎo)致該LSP失效，當(dāng)然入口LSR收到故障通知后，可以重新計(jì)算路由，并通過MPLSRSVP-TE信令在每個(gè)hop點(diǎn)分配標(biāo)簽以新建立一條path，然后將失效LSP上的業(yè)務(wù)流通過新建Path轉(zhuǎn)發(fā)到目的LSR。但是該重路由的過程耗時(shí)太長。當(dāng)節(jié)點(diǎn)或鏈路故障而引起某LSP失效時(shí)，為了能迅速實(shí)施故障恢復(fù)，以保證網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行，可以利用MPLSLSP的路徑保護(hù)。下面描述三種方式的MPLSLSP路徑保護(hù)：MPLS的備選路徑如圖所示：通過為LSP配置主備兩條物理路徑，來避免因鏈路和中間節(jié)點(diǎn)故障而造成的網(wǎng)絡(luò)通路失效。主路徑為首選的最優(yōu)路徑，而備選路徑則作為主路徑失效時(shí)的可選路由。當(dāng)因鏈路或節(jié)點(diǎn)故障而主路徑失效時(shí)，失效點(diǎn)上游的LSR迅速利用MPLS信令協(xié)議將該故障通知入口LSR，入口LSR收到該故障通知后，將業(yè)務(wù)流從首選路徑重路由到備選路徑。備選路徑有兩種類型：standby和no-standby，其中standby是預(yù)確定和預(yù)信令的，no-standby則是預(yù)確定但非預(yù)先信令通知的。采用standby的備選路徑無須建立一條新路徑所需的呼叫建立延時(shí)，從而可以大大減少故障恢復(fù)時(shí)間。當(dāng)首選路徑恢復(fù)正常后，等待幾分鐘的保持時(shí)間以確保首選路徑保持穩(wěn)定，然后入口LSR將業(yè)務(wù)流從備選路徑切換回首選路徑。采用該方式，當(dāng)首選路徑正常工作時(shí)，資源被預(yù)留用于備選路徑。standby備選路徑與no-standby備選路徑相比浪費(fèi)了更多的資源，當(dāng)然，前者的恢復(fù)時(shí)間比后者的要快。當(dāng)備選路徑的約束少于首選路徑時(shí)，或者具有脫機(jī)路徑計(jì)算工具時(shí)，可考慮采用該方式。MPLS的快速重路由切換對(duì)于華北電力調(diào)度數(shù)據(jù)網(wǎng)，建議可以根據(jù)實(shí)際需要，選擇給那些重要業(yè)務(wù)啟用MPLS快速重路由功能?？焖僦芈酚蔀橐粚?duì)一的LSP備份方式，該方式使故障點(diǎn)上游的LSR迅速繞過失效的故障鏈路或節(jié)點(diǎn)而到達(dá)故障點(diǎn)的下游LSR。如下圖所示。迂回路徑是預(yù)先計(jì)算和預(yù)先建立的，該迂回路徑繞過近鄰的下游鏈路和下一跳LSR。由處于被保護(hù)鏈路或節(jié)點(diǎn)上游的LSR來為每個(gè)LSP計(jì)算一條迂回路徑。當(dāng)發(fā)生故障時(shí)，故障點(diǎn)上游的LSR可以迅速將業(yè)務(wù)流切換到迂回路徑，并且將該故障通知入口LSR?？焖僦芈酚商峁┑氖潜镜匦迯?fù)，與由入口LSR將業(yè)務(wù)切換到一條standby的備份LSP方式相比，其連接的恢復(fù)速度更快。但是，迂回路徑不可以提供適當(dāng)?shù)膸?，而且迂回路徑的使用可能?huì)在旁路鏈路上導(dǎo)致?lián)砣?。通過MPLS快速重路由功能實(shí)現(xiàn)熱容錯(cuò)，快速重路由功能快速建立一個(gè)繞過故障點(diǎn)的LSP隧道。MPLS的快速重路由功能提供了比重新選擇新路由迂回更快更可靠的方式。當(dāng)網(wǎng)絡(luò)中需要被保護(hù)的LSP相對(duì)總的LSP來講數(shù)量較少，同時(shí)需要對(duì)于迂回路徑進(jìn)行諸如路優(yōu)先級(jí)、帶寬、鏈路著色等的路徑選擇標(biāo)準(zhǔn)，需要以單個(gè)LSP為粒度來控制時(shí)，或者當(dāng)需要更簡(jiǎn)化的配置時(shí)?？煽紤]采用該方式。MPLS的鏈路保護(hù)鏈路保護(hù)為多對(duì)一的LSP備份方式。當(dāng)鏈路故障時(shí)，鏈路故障點(diǎn)的上游LSR將迅速利用備用接口向其下游的鄰居LSR轉(zhuǎn)發(fā)業(yè)務(wù)流，如下圖所示。首先預(yù)先建立一條旁路路徑，所有跨該故障鏈路的被保護(hù)的LSP共享該預(yù)先建立的路徑。單個(gè)旁路路徑保護(hù)一組LSP。當(dāng)故障發(fā)生時(shí)，故障點(diǎn)上游的LSR迅速將被保護(hù)LSP的業(yè)務(wù)流切換到這個(gè)旁路鏈路上，并且將該鏈路故障通知入口LSR。和快速重路由一樣，鏈路保護(hù)方式提供的是本地修復(fù)并且恢復(fù)時(shí)間比采用備選LSP路徑方式要快。與快速重路由不同的是，鏈路保護(hù)方式不提供下游鄰居LSR故障時(shí)的保護(hù)。當(dāng)需要提供保護(hù)的LSP數(shù)量比較多，同時(shí)迂回路徑的路徑選擇標(biāo)準(zhǔn)（諸如路優(yōu)先級(jí)、帶寬、鏈路著色等）并不很重要時(shí)，當(dāng)并非全局均以單個(gè)LSP為控制粒度時(shí)，或者配置的復(fù)雜性不作為問題考慮時(shí)。可考慮采用該方式。

網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全概述非法業(yè)務(wù)（DoS）攻擊目前在互聯(lián)網(wǎng)上非常普遍。DoS可以根據(jù)其發(fā)起的類型及手段分成多種形式，如：攻擊是否通過標(biāo)準(zhǔn)的TCP/IP協(xié)議發(fā)起或者通過特定的廠商軟件的實(shí)施發(fā)起。攻擊是否通過擴(kuò)散大量的數(shù)據(jù)包來耗盡某資源還是通過發(fā)送少量的畸形包來實(shí)現(xiàn)攻擊的目的。攻擊所占用的的資源的類型，例如，計(jì)算能力，緩存空間或者是帶寬等。所有的DoS攻擊所具有的相同的特點(diǎn)是，他們可以使網(wǎng)絡(luò)喪失提供某些期望能提供的服務(wù)或者使用戶不能夠接受其應(yīng)該獲得的服務(wù)。DoS攻擊的目標(biāo)通常是路由器或者是服務(wù)器。在IP網(wǎng)絡(luò)領(lǐng)域里，在鼓勵(lì)用戶使用其網(wǎng)絡(luò)的前提下盡量降低其不希望的業(yè)務(wù)的流量、甚至是一些可能成為攻擊業(yè)務(wù)的流量一直是一個(gè)較大的挑戰(zhàn)。關(guān)鍵是如何在不降低網(wǎng)絡(luò)性能或可擴(kuò)展性的前提下增強(qiáng)網(wǎng)絡(luò)安全性。雖然在DoS發(fā)生前便完全防止其攻擊基本上是不可能的，但是通過使用骨干網(wǎng)路由器所具有的硬件所提供的過濾及速率限制等功能可以降低類似攻擊發(fā)生時(shí)所產(chǎn)生的影響。同時(shí)還要要求路由器在提供這一具有高可擴(kuò)展性的方案的同時(shí)不會(huì)對(duì)轉(zhuǎn)發(fā)及路由性能產(chǎn)生不利影響，保證華北電力調(diào)度數(shù)據(jù)網(wǎng)的正常運(yùn)營。下面，我們將通過對(duì)兩種類型的攻擊分析，以Juniper網(wǎng)絡(luò)公司提供的M系列路由器所具有的Internet處理器IIASIC芯片為例，解釋骨干網(wǎng)路由器在安全性方面的優(yōu)勢(shì)及可能在華北電力調(diào)度數(shù)據(jù)網(wǎng)中網(wǎng)絡(luò)安全方面的應(yīng)用。Smurf攻擊Smurf攻擊一般是通過向一個(gè)具有多個(gè)主機(jī)的網(wǎng)絡(luò)發(fā)送一個(gè)廣播Ping包來實(shí)現(xiàn)的。該攻擊Ping包的源地址并不使用攻擊者的IP地址，而使用一個(gè)欺騙的源IP地址。所有接收到該廣播Ping包的主機(jī)將向攻擊者指定的欺騙IP地址返回發(fā)送一個(gè)Echo回應(yīng)。該種攻擊的影響是受攻擊的主機(jī)將被淹沒，通常是連接到該主機(jī)的鏈路帶寬被用盡。Smurf攻擊有兩種類型：針對(duì)路由器的攻擊及針對(duì)網(wǎng)絡(luò)上的主機(jī)的攻擊。另外，Smurf攻擊對(duì)于路由器的攻擊可能有兩種途徑：路由器為攻擊的最終目標(biāo)，或者路由器作為攻擊的中間節(jié)點(diǎn)。M系列路由器不受中間節(jié)點(diǎn)類型的攻擊，因?yàn)槿笔∏闆r下其并不轉(zhuǎn)發(fā)廣播的Ping包。當(dāng)黑客直接對(duì)M系列路由器進(jìn)行Smurf類型攻擊時(shí)，路由引擎將被來自不同位置的ICMPEcho回應(yīng)所攻擊。缺省條件下，M系列路由器對(duì)直接發(fā)向路由器的ICMPEcho請(qǐng)求進(jìn)行速率限制，使得發(fā)向路由引擎的類似數(shù)據(jù)包不會(huì)超過1000包每秒。這一速率限制使路由器即便在被攻擊的情況下能夠繼續(xù)保持正常的工作狀態(tài)。如果攻擊的目標(biāo)是針對(duì)某個(gè)網(wǎng)絡(luò)用戶的服務(wù)器，則M系列路由器可以通過過濾及速率限制等JuniperInternet處理器IIASIC所提供的功能來跟蹤、檢測(cè)并終止Smurf攻擊。我們可以通過JuniperInternet處理器IIASIC所提供的過濾及計(jì)數(shù)功能對(duì)針對(duì)某個(gè)服務(wù)器地址的ICMP數(shù)據(jù)包進(jìn)行記錄來確定該服務(wù)器是否被攻擊及攻擊的程度。然后可以通過過濾器的日志來確定攻擊的中間跳點(diǎn)。一般情況下我們會(huì)發(fā)現(xiàn)大量的ICMP數(shù)據(jù)包只來自于幾個(gè)網(wǎng)段。我們可以確定該網(wǎng)段的所有者，然后與其聯(lián)系，通知其終止攻擊，或者也可以在路由器上對(duì)該網(wǎng)段的ICMP包進(jìn)行過濾來停止攻擊。SYN攻擊SYN攻擊可能在M系列路由器上被轉(zhuǎn)發(fā)。SYN類型的攻擊是通過與被攻擊的主機(jī)建立半程的TCP會(huì)話期來實(shí)現(xiàn)的。一個(gè)半程的TCP會(huì)話期是指一個(gè)服務(wù)器從其客戶端接收到一個(gè)SYN，并向其客戶端發(fā)送的SYN_ACK，但是不能從其客戶端接收到ACK反饋。通常情況下，一個(gè)半程的會(huì)話期不會(huì)產(chǎn)生很大的危害，因?yàn)榉?wù)器將會(huì)對(duì)該會(huì)話期進(jìn)行超時(shí)計(jì)數(shù)并繼續(xù)進(jìn)行正常的處理。但是在SYN擴(kuò)散的情況下，假冒的客戶端發(fā)起半程會(huì)話期，而這種握手過程并未被完成。攻擊者以非?？斓乃俣劝l(fā)起這些SYN攻擊，而操作系統(tǒng)將占用資源等待那些永遠(yuǎn)不會(huì)到來的ACK回應(yīng)。這樣，服務(wù)器可能出現(xiàn)內(nèi)存耗盡的情況而導(dǎo)致系統(tǒng)崩潰，或者用盡所有的計(jì)算資源而無法與合法的客戶端建立連接。M系列路由器可以通過幾種途徑來降低SYN攻擊：路由器上所使能的服務(wù)是受限制的。在一個(gè)正確配置的路由器上，用戶只能與被信任的地址空間上的客戶端建立服務(wù)關(guān)系。即便SYN擴(kuò)散來自被信任的地址空間，內(nèi)核上所支持的連接數(shù)量是被限制的，因此不會(huì)出現(xiàn)內(nèi)存耗盡的情況?？梢酝ㄟ^多種途徑來降低及跟蹤發(fā)向M系列路由器或者連接到M系列路由器上的主機(jī)的SYN攻擊。雖然這些方法不能夠保證路由器或者主機(jī)永遠(yuǎn)不會(huì)遭受攻擊，但是它們能夠幫助降低發(fā)生該類型攻擊的影響。如果一個(gè)SYN攻擊正在發(fā)生，停止該攻擊的方法是非常有限的。任何企圖停止一個(gè)SYN攻擊的方法都將丟棄至少一些發(fā)向該主機(jī)的合法業(yè)務(wù)。如果SYN擴(kuò)散不是分布形式的，那么通過阻止該攻擊并在過程中丟棄一部分合法業(yè)務(wù)，進(jìn)而允許從其他節(jié)點(diǎn)進(jìn)入到網(wǎng)絡(luò)的合法業(yè)務(wù)繼續(xù)進(jìn)行也可能是一個(gè)可行的方法。運(yùn)營商可以通過跟蹤攻擊的方式來確定SYN擴(kuò)散是否為分布式的，如果所有的的SYN擴(kuò)散均來自一個(gè)網(wǎng)絡(luò)對(duì)等點(diǎn)，則其為非分布式的。但是值得注意的是，絕大部分SYN攻擊為分布式的。確定M系列路由器是否被SYN類型的非法業(yè)務(wù)攻擊可通過在其內(nèi)核程序下檢測(cè)業(yè)務(wù)連接建立的狀態(tài)來確定。如果有大量的連接處于半程會(huì)話期狀態(tài)，則說明該路由器處于被攻擊的狀態(tài)。這時(shí)，管理人員可以通過實(shí)施過濾器來確定所有的連接均來自合法或者被信任的IP地址空間，進(jìn)而降低SYN攻擊頻率或者確定SYN攻擊發(fā)生的位置。為確定是否有SYN攻擊穿過M系列路由器而攻擊網(wǎng)絡(luò)服務(wù)器或其他網(wǎng)絡(luò)設(shè)備，進(jìn)而為用戶提供網(wǎng)絡(luò)安全服務(wù)，可以通過在M系列路由器上實(shí)施過濾器，并對(duì)TCP及TCPSYN業(yè)務(wù)進(jìn)行計(jì)數(shù)來觀察是否有SYN攻擊發(fā)生，同時(shí)打開采樣功能，對(duì)業(yè)務(wù)進(jìn)行采樣。如果有SYN類型的攻擊發(fā)生，管理人員可以觀察到所設(shè)置的計(jì)數(shù)器將以很快的速度遞增。通過對(duì)采樣文件的分析，可以確定攻擊業(yè)務(wù)發(fā)起的位置，通知該網(wǎng)段用戶，令其停止攻擊。預(yù)先降低DoS攻擊的影響被強(qiáng)烈建議。一種方法是監(jiān)測(cè)某些特定類型的數(shù)據(jù)包，通過配置過濾器對(duì)達(dá)到用戶定義門限值的數(shù)據(jù)包進(jìn)行丟棄操作。另外一種方法是通過使用Internet處理器IIASIC所提供的速率限制功能。對(duì)潛在可能發(fā)生的DoS攻擊進(jìn)行預(yù)防可通過一下步驟：決定哪些類型的數(shù)據(jù)包可能成為潛在的DoS數(shù)據(jù)包。例如，可能希望跟蹤ICMP，UDP，及TCPSYN數(shù)據(jù)包。管理人員甚至可以進(jìn)一步定義這些數(shù)據(jù)包的目的地址為哪個(gè)特殊的網(wǎng)段。建立過濾器，匹配剛剛定義的可能潛在成為DoS數(shù)據(jù)包的類型。對(duì)過濾器進(jìn)行計(jì)數(shù)、日志及采樣，或接受這些數(shù)據(jù)包。利用運(yùn)行在網(wǎng)管工作站上的軟件或腳本文件來監(jiān)測(cè)計(jì)數(shù)器及日志文件。當(dāng)軟件或腳本文件檢測(cè)到計(jì)數(shù)器或日志超出了用戶定義的門限值時(shí)，其可以重新定義過濾器，將接受操作改為丟棄操作。管理人員也可以在所有邊緣路由器上對(duì)ICMP數(shù)據(jù)包進(jìn)行速率限制，進(jìn)而降低Smurf攻擊發(fā)生的可能性。在華北電力調(diào)度數(shù)據(jù)網(wǎng)中完全可以利用基于JuniperInternet處理器IIASIC芯片所提供的豐富的過濾、采樣、速率限制等功能，保護(hù)網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)設(shè)備安全網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)的構(gòu)成單元，包括路由器、交換機(jī)、傳輸線路、機(jī)房配套設(shè)施等等。在此我們主要討論路由器、交換機(jī)的安全。路由器和交換機(jī)可能會(huì)成為攻擊者的目標(biāo)，因?yàn)橐坏┞酚善骰蚪粨Q機(jī)癱瘓，影響的是整個(gè)網(wǎng)絡(luò)的服務(wù)。對(duì)于路由器和交換機(jī)的攻擊一般可分為：利用路由協(xié)議進(jìn)行攻擊：包括發(fā)送假的路由更新消息，使路由器的網(wǎng)絡(luò)數(shù)據(jù)庫失去完整性(Integrity)，使某些網(wǎng)絡(luò)不可達(dá)。利用路由更新報(bào)文對(duì)路由器進(jìn)行轟炸，使路由器因無暇處理而崩潰，達(dá)到拒絕服務(wù)(DOS)的目的。盜取系統(tǒng)管理員密碼，登錄到路由器或交換機(jī)上，更改設(shè)備的配置文件，奪取網(wǎng)絡(luò)的控制。使用常規(guī)的ICMPFlooding、Smurf攻擊等手段，使路由器路由引擎崩潰。對(duì)策：對(duì)路由協(xié)議報(bào)文進(jìn)行密碼驗(yàn)證，如MD5加密，使假的消息不會(huì)被接受。對(duì)路由器的對(duì)等節(jié)點(diǎn)(PEER)建立信任列表，只有從信任地址發(fā)來的路由更新消息才會(huì)被接受。對(duì)于網(wǎng)絡(luò)管理員的登錄，建立ACL訪問控制列表，只有從網(wǎng)管網(wǎng)段的地址發(fā)起的登錄請(qǐng)求會(huì)被接受，對(duì)網(wǎng)管連接進(jìn)行加密，如SSH方式，使管理員口令受到保護(hù)。對(duì)于路由協(xié)議以外的IP/ICMP報(bào)文，通過ACL協(xié)議的過濾，使攻擊無效。很多高性能路由器及交換機(jī)都內(nèi)置了防護(hù)機(jī)制，可有效抵御對(duì)交換機(jī)發(fā)起的各種攻擊。比如：訪問權(quán)限列表–對(duì)每個(gè)用戶的各種對(duì)管理界面的訪問方法(SNMBread，SNMPwrite，Telnet，Web，SSH2)分別進(jìn)行控制(容許或禁止)用戶認(rèn)證RADIUS–支持對(duì)每個(gè)用戶的認(rèn)證和每條命令的認(rèn)證TACACS+認(rèn)證加密并與SSH2交換密鑰網(wǎng)絡(luò)管理系統(tǒng)的安全網(wǎng)管系統(tǒng)存儲(chǔ)和傳輸?shù)墓芾砗涂刂菩畔?duì)網(wǎng)絡(luò)的運(yùn)行和管理至關(guān)重要，一旦出現(xiàn)信息泄漏、被纂改和被偽造，將給網(wǎng)絡(luò)造成災(zāi)難性的破壞。對(duì)網(wǎng)管系統(tǒng)的攻擊有：通過主機(jī)滲透的方式進(jìn)入網(wǎng)管系統(tǒng)，奪取控制權(quán)；利用Sniffer監(jiān)聽網(wǎng)絡(luò)中的網(wǎng)管指令中的管理帳號(hào)信息；冒充網(wǎng)管系統(tǒng)訪問網(wǎng)絡(luò)設(shè)備。合法的網(wǎng)絡(luò)管理員濫用權(quán)利，任意修改網(wǎng)絡(luò)配置造成混亂。對(duì)策：設(shè)置專用的防火墻，保護(hù)網(wǎng)管網(wǎng)絡(luò)；利用帶外網(wǎng)管，實(shí)現(xiàn)管理數(shù)據(jù)安全；利用SSL加密，保護(hù)遠(yuǎn)程管理的帳號(hào)安全；利用SSH加密，保護(hù)網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備的配置通信安全。利用源地址驗(yàn)證，保證偽裝的網(wǎng)管地址不會(huì)進(jìn)入運(yùn)營商網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)管理員的權(quán)限進(jìn)行分級(jí)，不同級(jí)別的管理員完成不同等級(jí)的管理任務(wù)。網(wǎng)絡(luò)業(yè)務(wù)的安全作為一個(gè)大型網(wǎng)絡(luò)，網(wǎng)絡(luò)中會(huì)有各種服務(wù)器為用戶提供不同的功能，包括WEB、FTP、EMAIL、NEWS等提供Internet服務(wù)；DNS、DHCP、RADIUS服務(wù)器提供用戶上網(wǎng)的支持等。這些服務(wù)器容易引起黑客的注意，遭受攻擊。對(duì)這些服務(wù)器的保護(hù)，存在著一對(duì)矛盾：從服務(wù)器自身的安全來講，應(yīng)盡可能限制對(duì)服務(wù)器的訪問；從為所有用戶提供普遍服務(wù)的角度來講，應(yīng)盡可能的保證用戶能連接到服務(wù)器上。這意味著它們對(duì)潛在入侵者是公開的。對(duì)策：不管是否采用外部防護(hù)設(shè)備，應(yīng)使服務(wù)器“各司其職”，即只開放其基本的服務(wù)端口，關(guān)閉所有無關(guān)的服務(wù)。如DNS服務(wù)器只開放TCP/UDP42端口，WEB服務(wù)器只開放TCP80端口。在每一臺(tái)服務(wù)器上都安裝系統(tǒng)監(jiān)控代理模塊，提供安全防護(hù)作用并識(shí)別攻擊，如一旦發(fā)現(xiàn)攻擊，會(huì)通過中斷用戶進(jìn)程和掛起用戶帳戶來阻止非法攻擊。利用網(wǎng)絡(luò)掃描器定期對(duì)服務(wù)器群進(jìn)行安全掃描，生成統(tǒng)一的報(bào)告，以方便管理員對(duì)系統(tǒng)進(jìn)行補(bǔ)丁。對(duì)于關(guān)鍵的服務(wù)器，如RADIUS認(rèn)證服務(wù)器、計(jì)費(fèi)服務(wù)器等，可用專門的防火墻保護(hù)，或放在受保護(hù)的網(wǎng)管網(wǎng)段內(nèi)，為它們的代理提供服務(wù)。數(shù)據(jù)傳輸?shù)陌踩珜?duì)于銀行、證券、政府等關(guān)鍵客戶，有很高的數(shù)據(jù)安全要求。對(duì)于這些用戶的數(shù)據(jù)流量，需要采取加密的手段進(jìn)行傳送。主要方式有以下幾種：端到端的數(shù)據(jù)加密從客戶端(CPE)發(fā)起IPSec隧道，經(jīng)由運(yùn)營商的網(wǎng)絡(luò)進(jìn)行透明傳送。加密的數(shù)據(jù)的安全責(zé)任由客戶自己承擔(dān)。基于隧道協(xié)議的專用網(wǎng)客戶將未加密數(shù)據(jù)交付給運(yùn)營商，由運(yùn)營商提供安全隧道到目的地的邊緣接入點(diǎn)，采用如L2TP/GRE/IPSec等技術(shù)實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)和普通用戶數(shù)據(jù)的隔離。這種方法的局限性是：a.安全隧道從運(yùn)營商的邊緣設(shè)備發(fā)起和終結(jié)，而邊緣設(shè)備亦連接了其它用戶和業(yè)務(wù)，在邊緣節(jié)點(diǎn)的任何漏洞都可能被黑客攻破而使安全性喪失；b.安全密鑰由運(yùn)營商管理，密鑰分配、安全責(zé)任增加了運(yùn)營商的日常工作負(fù)擔(dān)；c.基于隧道方式的安全網(wǎng)絡(luò)方案擴(kuò)展性不好，由于加密對(duì)網(wǎng)絡(luò)設(shè)備性能有極大的影響，支持的用戶數(shù)量和網(wǎng)絡(luò)規(guī)模都較少?；贚2(第二層)的安全傳送這是90年代以來被運(yùn)營商和客戶廣泛采納的模式，如DDN、幀中繼、ATM。近期的政府上網(wǎng)工程明確規(guī)定了政府網(wǎng)絡(luò)互連必須采取第二層網(wǎng)絡(luò)技術(shù)。第二層連接技術(shù)的特點(diǎn)是不同用戶的數(shù)據(jù)在第二層實(shí)現(xiàn)充分隔離，使目前黑客常用的基于網(wǎng)絡(luò)層的各種攻擊技術(shù)和竊聽技術(shù)都無法發(fā)起攻擊，充分保護(hù)用戶數(shù)據(jù)安全。Juniper路由器可以提供VPLS虛擬局域網(wǎng)專網(wǎng)互連功能，為用戶提供基于VLAN的二層廣域網(wǎng)互連，所有用戶數(shù)據(jù)不經(jīng)過第三層的處理，在第二層實(shí)現(xiàn)充分隔離，為集團(tuán)用戶的數(shù)據(jù)安全提供了保障。用戶網(wǎng)絡(luò)的安全最終用戶的CPE(客戶網(wǎng)絡(luò))的安全，主要由用戶最終用戶自己負(fù)責(zé)。如配置防火墻、NAT(網(wǎng)絡(luò)地址翻譯)設(shè)備，設(shè)立外聯(lián)網(wǎng)的DMZ(非軍事區(qū))以來放置對(duì)外的服務(wù)器，利用防火墻和安全策略保護(hù)內(nèi)網(wǎng)關(guān)鍵數(shù)據(jù)信息等?？梢栽诠歉删W(wǎng)的邊緣，即同最終用戶接口的鏈路前實(shí)施網(wǎng)絡(luò)數(shù)據(jù)過濾，提供服務(wù)增值。如：(1)允許HTTP業(yè)務(wù)流量進(jìn)入客戶的DMZ，訪問客戶的外部服務(wù)器，但禁止其它流量，如TELNET，RSH等；(2)只允許經(jīng)過源地址檢驗(yàn)通過的授權(quán)地址發(fā)來的HTTP流量進(jìn)入內(nèi)部WEB服務(wù)器。(3)允許內(nèi)部用戶發(fā)起的任何外出連接請(qǐng)求。這樣，如果有黑客向用戶網(wǎng)絡(luò)發(fā)動(dòng)DOS攻擊，攻擊的垃圾流量將在進(jìn)入最終用戶的接入鏈路以前被拒絕；相比起攻擊流量在用戶網(wǎng)絡(luò)的人口處被防火墻拒絕，后者的接入鏈路將依舊受到垃圾流量的影響而飽和，影響正常業(yè)務(wù)流量的出入，達(dá)到了DOS攻擊的目的；而前者(運(yùn)營商的數(shù)據(jù)過濾)可以在攻擊流量接入用戶接入鏈路以前就被丟棄，對(duì)用戶的正常業(yè)務(wù)沒有影響。安全實(shí)施建議在骨干網(wǎng)絡(luò)設(shè)備和接入路由器上使用ACL、策略路由等綜合安全策略保護(hù)敏感網(wǎng)絡(luò)的接口作為預(yù)防性措施。對(duì)于自己的服務(wù)器群，采用防火墻＋I(xiàn)DS的綜合防護(hù)手段提供保護(hù)，在每一臺(tái)服務(wù)器主機(jī)上安裝限制入侵和檢測(cè)系統(tǒng)漏洞的安全軟件。對(duì)于網(wǎng)絡(luò)設(shè)備實(shí)施嚴(yán)格而完善的管理策略，實(shí)現(xiàn)基于信任主機(jī)地址、網(wǎng)絡(luò)管理員身份認(rèn)證、(可選基于RADIUS的認(rèn)證)路由協(xié)議源地址認(rèn)證＋MD5認(rèn)證，路由器路由引擎實(shí)施軟件防火墻，保護(hù)網(wǎng)絡(luò)設(shè)備的安全。實(shí)施基于第二層的VLAN技術(shù)，為用戶提供安全的數(shù)據(jù)傳輸通道。為用戶的接入鏈路邊緣路由器提供過濾功能，阻止可能的攻擊的發(fā)生。

方案特點(diǎn)高可用性、高性能可靠性是網(wǎng)絡(luò)最基本的要求。xxx公司在本方案中選用的Juniper網(wǎng)絡(luò)公司的M40e路由器具有很高的可靠性、可用性及高性能。為提供高可靠性，避免單點(diǎn)的故障，方案對(duì)高可靠的冗余備份的連接的考慮如下：M40e骨干網(wǎng)路由器基于電信級(jí)設(shè)備的設(shè)計(jì)結(jié)構(gòu)，路由引擎、轉(zhuǎn)發(fā)引擎采用雙冗余配置。使用1+1備份電源，保證系統(tǒng)的可靠性。所有模塊均可熱插拔。可以從硬件體系結(jié)構(gòu)和軟件體系結(jié)構(gòu)來說明其高可靠性，硬件ASIC體系：全部采用硬件ASIC芯片設(shè)計(jì)；上圖看出，從包的進(jìn)入到從輸出，經(jīng)過的拆包、轉(zhuǎn)發(fā)、封包都是由硬件ASIC實(shí)現(xiàn)。路由引擎與包轉(zhuǎn)發(fā)引擎分開上圖看出，路由引擎與包轉(zhuǎn)發(fā)分開，中間有百兆以太接口連接。路由引擎只負(fù)責(zé)路由協(xié)議的計(jì)算，不負(fù)責(zé)包轉(zhuǎn)發(fā)。包轉(zhuǎn)發(fā)引擎由ASIC實(shí)現(xiàn)，硬件實(shí)現(xiàn)包的轉(zhuǎn)發(fā)，因此達(dá)到了非常高的性能。無阻塞轉(zhuǎn)發(fā)所有的端口都是線速轉(zhuǎn)發(fā)，整個(gè)結(jié)構(gòu)設(shè)計(jì)是無阻塞結(jié)構(gòu)。啟動(dòng)NAT、Firewall等服務(wù)時(shí)，性能不下降MRouter的所有應(yīng)用都是由硬件ASIC實(shí)現(xiàn)的，因此在提供性能的同時(shí)，性能不下降：防火墻、流量限速、服務(wù)質(zhì)量靠包轉(zhuǎn)發(fā)引擎的ASIC硬件實(shí)現(xiàn)。NAT、GRETunnel、流量采集和監(jiān)測(cè)、加密靠專門的ASIC卡實(shí)現(xiàn)。MultilinkPPP、LFI靠專門的ASIC卡實(shí)現(xiàn)。先進(jìn)的軟件操作系統(tǒng)傳統(tǒng)Router的操作系統(tǒng)為單進(jìn)程，非模塊化，就像PCDOS一樣，導(dǎo)致了開發(fā)周期長，穩(wěn)定性差。CPU不是分時(shí)的，導(dǎo)致當(dāng)有大量的病毒攻擊小包時(shí)，路由引擎CPU忙于對(duì)包的轉(zhuǎn)發(fā)，壟斷了整個(gè)CPU,無任何強(qiáng)制措施來做路由協(xié)議的功能。Junos是分時(shí)的多進(jìn)程的操作系統(tǒng)，內(nèi)核基于Unix,模塊化，開發(fā)周期快，系統(tǒng)穩(wěn)定。所有的Juniper路由器運(yùn)行一個(gè)軟件版本的JUNOS,便于網(wǎng)絡(luò)維護(hù)。下圖是JUNOS的模塊化結(jié)構(gòu)：高安全性及防病毒防攻擊的功能目前蠕蟲病毒如紅色代碼、沖擊波等，發(fā)送大量的小包，傳統(tǒng)的Router靠CPU來轉(zhuǎn)發(fā)，導(dǎo)致兩種嚴(yán)重的后果：CPU利用率升高，系統(tǒng)癱瘓；壟斷了路由引擎的CPU,CPU無任何時(shí)間來做路由協(xié)議收斂等工作。由于路由引擎與轉(zhuǎn)發(fā)引擎分開，并且轉(zhuǎn)發(fā)引擎由硬件ASIC實(shí)現(xiàn)，因此病毒攻擊產(chǎn)生的大量小數(shù)據(jù)包流不送往路由引擎，因此路由引擎CPU利用率不升高。對(duì)于必須送往路由引擎的包，如網(wǎng)管包，則可以用包轉(zhuǎn)發(fā)引擎由ASIC做流量限速。此外，由于Junos是分時(shí)的多進(jìn)程的操作系統(tǒng)，不會(huì)被任何某一個(gè)進(jìn)程所壟斷，因此即使CPU利用率非常高的情況下，也會(huì)來做路由協(xié)議收斂的工作。此外，為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)安全性，還提供多種方式和層次的訪問控制安全機(jī)制。主要包括：可通過Radius進(jìn)行用戶認(rèn)證和授權(quán)采用SSH協(xié)議保護(hù)遠(yuǎn)程管理會(huì)話過濾和限制DdoS數(shù)據(jù)包先進(jìn)的IPv6性能和商用經(jīng)驗(yàn)JuniperM/J系列路由器采用先進(jìn)的結(jié)構(gòu)和設(shè)計(jì)理念，所有的路由器全面硬件支持IPv6。線速轉(zhuǎn)發(fā)IPv4和IPv6的數(shù)據(jù)包，在開啟IPv6后，其性能沒有任何下降。并且Juniper具備非常豐富的IPv6的商用經(jīng)驗(yàn)。全世界80%在用的IPv6網(wǎng)采用的都是Juniper的路由器。Juniper路由器被使用在全球最大的IPv6網(wǎng)―――美國國防部IPv6網(wǎng)。該網(wǎng)由150臺(tái)Juniper最高端的路由器T640構(gòu)建而成。另外一張IPv6網(wǎng)―――Internet2實(shí)驗(yàn)網(wǎng)，也是由Juniper的T640搭建而成。中國電信下一代互聯(lián)網(wǎng)(CN2)中的核心骨干網(wǎng)（由28臺(tái)T640組成）和華南地區(qū)骨干都使用Juniper的高端路由器來承擔(dān)。易維護(hù)本方案中的骨干網(wǎng)絡(luò)網(wǎng)絡(luò)維護(hù)人員可以方便地對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行正常的維護(hù)工作及遠(yuǎn)程控制，具體包括：采用模塊化結(jié)構(gòu)，網(wǎng)絡(luò)骨干設(shè)備可以在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下進(jìn)行模塊熱插拔；也可以單獨(dú)重啟某個(gè)軟件功能模塊而不影響其它功能模塊的正常運(yùn)行對(duì)于配置的修改，通過Commit和Rollback功能防范錯(cuò)誤的配置影響網(wǎng)絡(luò)運(yùn)行，保留多份以前的配置，保障可回退。網(wǎng)絡(luò)設(shè)備可通過TELNET，SNMP等方式進(jìn)行遠(yuǎn)程配置及遠(yuǎn)程控制可以在不中斷業(yè)務(wù)的情況下進(jìn)行軟件升級(jí)先進(jìn)的面向未來應(yīng)用的功能虛擬Router技術(shù)一個(gè)Router可虛擬出多個(gè)Router，因此，節(jié)省了用戶投資，可利用此套設(shè)備建立一個(gè)連接Internet的外網(wǎng)，則無須增加設(shè)備。新華社就是利用VR技術(shù)實(shí)現(xiàn)一套設(shè)備實(shí)現(xiàn)外網(wǎng)和內(nèi)網(wǎng)。更高的可靠性，路由引擎切換時(shí)零丟包Juniper的GracefulRestart除了能夠?qū)崿F(xiàn)BGP、ISIS、OSPF的狀態(tài)切換外，還能夠?qū)崿F(xiàn)對(duì)組播、MPLS、VPN協(xié)議的狀態(tài)切換。支持Ospf、ISIS協(xié)議使用BFD(BidirectionalForwardingDetection)來快速檢測(cè)故障的能力。BFD(BidirectionalForwardingDetection)是一種簡(jiǎn)單的Hello機(jī)