李海俊

（中國聯(lián)通內(nèi)蒙古分公司,呼和浩特 010028）

中國聯(lián)通移動IP承載網(wǎng)用于承載PS域、CS域、移動增值平臺相關(guān)業(yè)務(wù)，該網(wǎng)絡(luò)采用分層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，全網(wǎng)分為核心層、匯聚層和接入層。2009年中國聯(lián)通啟動了移動數(shù)據(jù)增值業(yè)務(wù)IP承載網(wǎng)割接配套改造工程，把增值業(yè)務(wù)平臺從原聯(lián)通的165VPN網(wǎng)上割接至擴容后的中國聯(lián)通移動IP承載網(wǎng)上，各省增值業(yè)務(wù)平臺通過新建的CE(Cisco 7609)設(shè)備接入了移動IP承載ER設(shè)備上。

移動IP承載網(wǎng)是移動網(wǎng)的IP基礎(chǔ)網(wǎng)絡(luò)，是移動網(wǎng)網(wǎng)絡(luò)安全的基礎(chǔ)。近年來增值業(yè)務(wù)收入已經(jīng)占國內(nèi)電信運營商收入的30%以上，成為電信業(yè)務(wù)的重要收入來源。移動IP承載網(wǎng)網(wǎng)絡(luò)安全也成為增值業(yè)務(wù)穩(wěn)定發(fā)展的重要基礎(chǔ)保障。

1 必要性

近年，隨著計算機與通信技術(shù)的發(fā)展，設(shè)備性能的提高，成本的下降，在電信網(wǎng)絡(luò)上增加并聯(lián)網(wǎng)絡(luò)設(shè)備成為可能?！氨馄交本W(wǎng)絡(luò)是運營商減少網(wǎng)絡(luò)串聯(lián)，提高網(wǎng)絡(luò)安全的重要措施。

在網(wǎng)絡(luò)“扁平化”的同時，為了提高網(wǎng)絡(luò)安全，避免出現(xiàn)單路由隱患也是我們需要研究的方向。現(xiàn)網(wǎng)物理路由基本上為雙路由方式，但是，如果采用方案不合理，會導(dǎo)致邏輯結(jié)構(gòu)仍為單路由，降低了網(wǎng)絡(luò)安全性。

本文以內(nèi)蒙聯(lián)通移動IP承載網(wǎng)增值業(yè)務(wù)CE設(shè)備雙路由優(yōu)化為例，供中國聯(lián)通各省進行移動IP承載網(wǎng)增值業(yè)務(wù)CE接口優(yōu)化參考。

2 相關(guān)數(shù)學(xué)理論

以數(shù)學(xué)模型，科學(xué)的解釋了串聯(lián)系統(tǒng)的缺點與并聯(lián)系統(tǒng)的優(yōu)點。

2.1 串聯(lián)系統(tǒng)可靠性

網(wǎng)絡(luò)扁平化是目前電信運營商網(wǎng)絡(luò)建設(shè)的重點方向，無論是數(shù)據(jù)網(wǎng)，還是電話網(wǎng)或信令網(wǎng)。或許人們認為這與當(dāng)前計算機技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)簡單高效，降低運營成本等有關(guān)。其實，通過數(shù)學(xué)公式計算，我們可以計算出串聯(lián)系統(tǒng)的可靠性的確較差，因此串聯(lián)系統(tǒng)給網(wǎng)絡(luò)帶來了較大的網(wǎng)絡(luò)隱患。例如有2個串聯(lián)點，每個點的可靠度均為90%，那么總可靠度為90%×90%＝81%；如果存在3個串聯(lián)點，那么總可靠度為90%×90%×90%＝73%。如此證明串接點越多，可靠性越差。

公式1為串聯(lián)系統(tǒng)可靠性數(shù)學(xué)模型：式中，Ra為系統(tǒng)可靠度；Ri為第i單元可靠度。圖1為串聯(lián)系統(tǒng)可靠性框圖。

圖1 串聯(lián)系統(tǒng)可靠性框圖

2.2 并聯(lián)系統(tǒng)的可靠性

網(wǎng)絡(luò)設(shè)備并聯(lián)或多鏈路一直是大型電信運營商網(wǎng)絡(luò)安全建設(shè)的主要方向。最常見的是雙路由(并聯(lián))方式。假設(shè)每個點的可靠度仍為90%，那么總可靠為90%+90%(1-90%)=99%(算法 1)；1-(1-90%)(1-90%)=99%(算法2)。由此可見，2個節(jié)點，在可靠度均為90%時，并聯(lián)的結(jié)果高達99%，而串聯(lián)的結(jié)果僅為81%。

公式2為并聯(lián)系統(tǒng)可靠性數(shù)學(xué)模型：式中，F(xiàn)i為第i單元不可靠度；Ri為第i單元可靠度。圖2為并聯(lián)系統(tǒng)可靠性框圖。

圖2 并聯(lián)系統(tǒng)可靠性框圖

3 中國聯(lián)通移動IP承載網(wǎng)增值業(yè)務(wù)CE設(shè)備接口雙路由優(yōu)化

3.1 現(xiàn)網(wǎng)情況

在“中國聯(lián)通2009年移動數(shù)據(jù)增值業(yè)務(wù)IP承載網(wǎng)割接配套改造工程”中，根據(jù)總部統(tǒng)一部署，內(nèi)蒙古分公司業(yè)務(wù)平臺2臺交換機（Cisco 7609）通過2臺CE（Cisco 7609）設(shè)備，采用靜態(tài)路由以雙路由上聯(lián)ER設(shè)備，接入了移動IP承載網(wǎng)。

3.2 現(xiàn)網(wǎng)隱患

但是，內(nèi)蒙古分公司發(fā)現(xiàn)增值業(yè)務(wù)CE設(shè)備存在靜態(tài)路由單點隱患。即由于現(xiàn)網(wǎng)CE設(shè)備與上聯(lián)的ER設(shè)備及下聯(lián)的業(yè)務(wù)平臺SW都采用靜態(tài)路由，且沒有采用BFD檢測類協(xié)議，當(dāng)發(fā)生遠程傳輸端口“UP”，但設(shè)備不能轉(zhuǎn)發(fā)數(shù)據(jù)的情況時，浮動靜態(tài)路由無法把路由切換至備用路由，會造成網(wǎng)絡(luò)全阻，且不能自動恢復(fù)。這種情況，相當(dāng)于備用路由失效，表面上是并聯(lián)路由，實為串聯(lián)路由。優(yōu)化前的內(nèi)蒙聯(lián)通IP承載網(wǎng)增值業(yè)務(wù)CE網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

圖3 優(yōu)化前的內(nèi)蒙聯(lián)通IP承載網(wǎng)增值業(yè)務(wù)CE網(wǎng)絡(luò)結(jié)構(gòu)圖

3.3 建議解決方案

主備設(shè)備之間采用采用靜態(tài)浮動路由+雙向轉(zhuǎn)發(fā)檢測（BFD），或者所有設(shè)備均動態(tài)路由，以完成路由接續(xù)。

3.3.1 靜態(tài)浮動路由+BFD

路由選擇是指通信子網(wǎng)在傳輸數(shù)據(jù)分組時，在源節(jié)點和目的節(jié)點之間的多條路由中，以什么規(guī)則確定哪條作為轉(zhuǎn)發(fā)數(shù)據(jù)分組的通路問題。路由選擇算法是實現(xiàn)路由選擇功能的一些方法。評價路徑選擇算法的標(biāo)準會因用戶的不同有所不同。

靜態(tài)路由具有配置簡單、設(shè)備開銷低等優(yōu)點，但對于大型網(wǎng)絡(luò)，靜態(tài)路由難以維護大量的路由，也無法獲知復(fù)雜的網(wǎng)絡(luò)拓撲。在物理接口為“假活”狀態(tài)或其它異常情況時，靜態(tài)路由無法判斷路由是否有效，造成業(yè)務(wù)無法切換到備用路由。

BFD能夠盡快檢測到與相鄰設(shè)備間的通信故障，以便能夠及時采取措施，要求網(wǎng)絡(luò)設(shè)備能夠快速檢測出故障并將流量切換至備份鏈路以加快網(wǎng)絡(luò)收斂速度，從而保證業(yè)務(wù)繼續(xù)進行,減小設(shè)備故障或鏈路故障對業(yè)務(wù)的影響，提高網(wǎng)絡(luò)的可用性。

靜態(tài)路由可以通過BFD協(xié)議解決端口“假活”，但對于鄰接復(fù)雜的網(wǎng)絡(luò)拓撲也無法獲知。

3.3.2 動態(tài)路由

動態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓撲復(fù)雜的網(wǎng)絡(luò)。雖然動態(tài)路由協(xié)議會不同程度地占用網(wǎng)絡(luò)帶寬和CPU資源，但對于大型網(wǎng)絡(luò)，網(wǎng)絡(luò)帶寬和CPU資源均可以承擔(dān)動態(tài)路由的負荷。啟用動態(tài)路由完全可以解決上述靜態(tài)路由隱患。

開放最短路徑優(yōu)先協(xié)議（OSPF）是分布式的鏈路狀態(tài)路由協(xié)議，用于在單一自治系統(tǒng)內(nèi)動態(tài)決策最短路徑。每個路由器都會存有全網(wǎng)的鏈路狀態(tài)信息，也就是說每個路由器都知道整個網(wǎng)絡(luò)的連通情況和拓撲結(jié)構(gòu)。邊界網(wǎng)關(guān)協(xié)議（BGP）是不同自治系統(tǒng)的路由器之間交換路由信息的協(xié)議，盡力尋找一個能夠到達目的網(wǎng)絡(luò)且比較好的路由。

3.4 方案實施

3.4.1 方案選擇

方案1：采用靜態(tài)路由和BFD技術(shù)。靜態(tài)路由可以通過BFD協(xié)議解決端口“假活”，但對于鄰接復(fù)雜的網(wǎng)絡(luò)拓撲也無法獲知。而且現(xiàn)網(wǎng)CE設(shè)備版本也不支持。

方案2：采用動態(tài)路由。動態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓撲復(fù)雜的網(wǎng)絡(luò)?，F(xiàn)網(wǎng)網(wǎng)絡(luò)帶寬和CPU資源均可以承擔(dān)動態(tài)路由的負荷。啟用動態(tài)路由完全可以解決上述靜態(tài)路由隱患。具體解決方案如下：

CE上聯(lián)和下聯(lián)接口啟用動態(tài)路由。CE向上與承載網(wǎng)之間ER之間采用EBGP協(xié)議，VPN-OptionA方式互相對接，接收外部路由,發(fā)布本省業(yè)務(wù)網(wǎng)段至承載網(wǎng)。CE向下與核心交換機采用OSPF協(xié)議,實現(xiàn)路由交換。在上行或下行鄰居中斷的情況下，接收對端CE發(fā)布的VPN路由，實現(xiàn)路由自動切換。改造后網(wǎng)絡(luò)結(jié)構(gòu)如圖4所示。

圖4 優(yōu)化后的內(nèi)蒙聯(lián)通IP承載網(wǎng)增值業(yè)務(wù)CE網(wǎng)絡(luò)結(jié)構(gòu)圖

3.4.2 方案實施

經(jīng)過內(nèi)蒙古分公司業(yè)務(wù)平臺維護人員與相關(guān)廠家多次討論，確定采用方案2。割接步驟摘要如下。

（1）CE之間建立MP-BGP鄰居關(guān)系。用于完成2臺CE設(shè)備之間通過標(biāo)簽交換轉(zhuǎn)發(fā)數(shù)據(jù)分組。

（2）CE與ER建立EBGP鄰居關(guān)系。采用跨域VPNOptionA方式在不同的自治系統(tǒng)間交換路由信息。

（3）CE與業(yè)務(wù)平臺交換機建立OSPF鄰居關(guān)系。用于在單一自治系統(tǒng)內(nèi)決策路由。

（4）CE將本省業(yè)務(wù)匯總網(wǎng)段通告到ER，ER對CE通告的路由進行過濾。

（5）ER將總部業(yè)務(wù)匯總網(wǎng)段通告到業(yè)務(wù)平臺交換機。

（6）在CE、ER和業(yè)務(wù)平臺交換機上刪除相關(guān)的靜態(tài)路由。

經(jīng)向集團公司申請割接并審批通過后，我們于2012年10月19日成功進行了全國首例“移動IP承載網(wǎng)-增值業(yè)務(wù)CE靜態(tài)路由改動態(tài)路由優(yōu)化割接”。

3.4.3 實施過程遇到的問題及解決方法

（1）部署完畢動態(tài)路由后，路由仍然不通。經(jīng)檢查發(fā)現(xiàn)CE設(shè)備上未刪除靜態(tài)路由，導(dǎo)致與動態(tài)路由發(fā)生環(huán)路。刪除靜態(tài)路由后，業(yè)務(wù)恢復(fù)。

（2）CE與業(yè)務(wù)平臺交換機之間進行雙路由切換失敗。在業(yè)務(wù)平臺交換機上shutdown與CE互聯(lián)的以太網(wǎng)端口后，與總部的路由中斷。后發(fā)現(xiàn)CE之間端口未配置“tag-switching ip”，即未在指定的接口上啟動MPLS分組標(biāo)簽功能并運行標(biāo)記分發(fā)協(xié)議。配置“tagswitching ip”后，雙路由切換成功。

3.4.4 業(yè)務(wù)驗證

系統(tǒng)至今運行安全穩(wěn)定，提高了網(wǎng)絡(luò)安全性。

4 結(jié)束語

物理上雙路由接入IP承載網(wǎng)是現(xiàn)行網(wǎng)絡(luò)的默認標(biāo)準，采用的協(xié)議也較多，例如HSRP、VRRP、VLAN、靜態(tài)路由、動態(tài)路由、鏈路檢測等，在不同的網(wǎng)絡(luò)情況下，如何更好的組織利用如上協(xié)議或者其它新出現(xiàn)的技術(shù),提高網(wǎng)絡(luò)安全性，還需要維護人員進一步摸索和實踐。

[1]黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計師教程[M].北京：清華大學(xué)出版社，2009.

[2]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社，2011.

[3]中國聯(lián)合網(wǎng)絡(luò)通信有限公司網(wǎng)絡(luò)分公司運行維護部.中國聯(lián)通移動IP承載網(wǎng)業(yè)務(wù)接入規(guī)范[Z].2011.