集团客户专线应知应会手册v(内部保密资料)

《集团客户专线应知应会手册v(内部保密资料)》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

集团客户专线应知应会手册目录第一章集团客户专线业务介绍第二章集客专线维护工作内容及界面划分第三章代维工作日常维护工作事项第四章安全制度 第一章集团客户专线业务介绍一、总则第1条为规范集团客户专线接入业务运行维护工作，明确分工界面，理顺工作流程，提高工作效率和服务质量，推进信息化应用工作的快速开展，特制定集团客户专线维护流程。第2条集团客户专线种类分为语音专线、互联网专线、基于GPRS的VPN专线、主机托管类业务、出租专线业务、与铁通合作的其它类项目等（与铁通协同建设接入铁通的固定电话和宽带移动进行设备投资，传输资源共享）。第3条网络部负责集团客户专线维护的总体协调和管理，网络维护中心牵头负责语音专线、互联网专线、基于GPRS的VPN专线、主机托管类业务(IDC业务托管除外)等的维护，传输维护中心牵头负责出租专线的维护。二、语音专线1、维护责任分工网络维护中心：牵头负责语音专线的维护，负责语音专线业务测试及计费验证，保证语音专线业务的畅通；按相关要求建立健全语音专线业务的完整资料，内容包括：集团客户名称、联系人、联系电话、采用信令方式、中继群号、客户经理及联系方式等。配合客户经理为客户提供技术支持。传输维护中心：负责语音专线传输电路的资料管理和传输设施的日常维护，保障端到端电路畅通。负责建立健全语音专线传输路由的物理实现方式及本地接入的电路资料、租用电路维护人员及联系方式。公共维护中心：进行IMS类语音专线的配合性维护工作。经营单位：负责提供申请业务开通所需资料，负责与客户的沟通协调（不包括故障处理过程中双方技术人员之间的联系），向客户解释故障原因，征得客户理解和支持，维持良好的客户关系。如需技术人员上门为客户提供技术支持，原则上由客户经理陪同前往，以便沟通协调。监控人员发现专线故障后，技术人员首先核查是否本端问题，如需与客户进行沟通时，客户经理有义务配合维护单位与客户进行沟通，协助进行故障处理。2、维护界面划分客户负责维护从客户端设备至其传输设备业务端口部分，传输维护中心负责维护从客户侧传输设备业务端口至移动传输设备侧端口或业务侧DDF/ODF端子部分，网络维护中心负责维护业务侧DDF/ODF端子至核心业务设备端口部分。三、互联网专线1、概述 数据网络是伴随着计算机的产生而提出的资源共享、互相通信的需求发展起来的。最初的网络与计算解决方案一起是一个享有很高专利权的互联解决方案，这个方案几乎是一个完整的专利。个人计算机出现前，如果某个公司想使他们的数据处理和记帐功能自动化，就必须为其监管系统与某个厂家联系，而且只能与单一厂家联系。在计算机的发展初期，制造商所开发的硬件、软件和网络平台是紧密结合的、非开放式系统。一个用户在一个平台上很难共享另一用户在不同计算平台上的数据，因为制造商想靠此永久留住用户。为此，需要一个开放式网络使得在两台不同计算机之间通信和共享数据成为可能的方式。开放性是通过合作开发和技术规范的维护而达到的。这些技术规范，也称为开放式标准，是完全公开的。开放式网络的标准化工作需要一个过程，如图1－1所示。在1980左右形成了ISOOSI(开放系统互联)和TCP/IP参考模型，使开放式数据通信、计算机互联成为可能。图1－1数据通信发展历程示意1.1OSI模型国际标准化组织(ISO)开发了开放式系统互联(OSI)参考模型，以促进计算机系统的开放互联。开放式互联就是可在多个厂家的环境中支持互联。该模型为计算机间开放式通信所需要定义的功能层次建立了全球标准OSI模型将通信会话需要的各种进程划分成7 个相对独立的功能层次，这些层次的组织是以在一个通信会话中事件发生的自然顺序为基础的。图1-2描述了OSI模型，1~3层提供了网络访问，4~7层用于支持端端通信。图1-2OSI模型物理层功能最底层称为物理层(PhysicalLayer)，这一层负责传送比特流，它从第二层数据链路层(DLL)接收数据帧，并将帧的结构和内容串行发送即每次发送一个比特，然后这些数据流被传输给DLL重新组合成数据帧。物理层连接方式有点对点(广域网络连接)和点对多点方式(局域网连接)。图1-3物理层连接方式数据链路层功能OSI参考模型的第二层称为数据链路层(DLL)。与所有其他层一样，它肩负两个责任：发送和接收。它还要提供数据有效传输的端端(端到端)连接。在发送方，DLL需负责将指令、数据等包装到帧中，帧(frame)是DLL层生成的结构，它包含足够的信息，确保数据可以安全地通过物理链路到达目的地。数据链路层为了保证数据无差错传送，需要用到流量控制(滑动窗口技术) 、差错控制技术(CRC/FEC)。网络层网络层负责在源机器和目标机器之间建立它们所使用的路由。这一层本身没有任何错误检测和修正机制，因此，网络层必须依赖于端端之间的由DLL提供的可靠传输服务。图1-4网络层路由示意图传输层传输层提供类似于DLL所提供的服务，传输层的职责也是保证数据在端端之间完整传输，不过与DLL不同，传输层的功能是在网络层之上提供这种功能，它可以检测到路由器丢弃的包，然后自动产生一个重新传输请求。传输层的另一项重要功能就是将乱序收到的数据包重新排序。会话层OSI的第五层是会话层，相对而言，这一层没有太大用处，很多协议都将这一层的功能与传输层捆绑在一起。OSI会话层的功能主要是用于管理两个计算机系统连接间的通信流。通信流称为会话，它决定了通信是单工还是双工。它也保证了接受一个新请求一定在另一请求完成之后。表示层表示层负责管理数据编码方式，不是所有计算机系统都使用相同的数据编码方式，表示层的职责就是在可能不兼容的数据编码方式，例如在ASCII和EBCDIC之间，提供翻译。应用层OSI参考模型的最顶层是应用层，尽管它称为应用层，但它并不包含任何用户应用。相反，它只在那些应用和网络服务间提供接口。这一层可以看成是初始化通信会话的起因。例如，邮件客户可能会产生一个从邮件服务器检索新消息的请求，客户端应用自动向与之相关的第七层协议发出请求，并产生通信会话，以获取所需要的文件。 下图给出了OSI模型中的数据传送过程。图1-5OSI分层通信过程。OSI模型是一个理论上的模型，实际中很少有产品完全符合OSI模式，但是该模型为系统设计提供了非常必要的指导和理论基础。在实际应用中，OSI物理层对应的设备类型有中继器、HUB，数据链路层对应当设备为网桥、二层交换机，网络层对应的设备为路由器。图1-6OSI模型与设备对应关系1.2TCP/IP模型与OSI参考模型不同，TCP/IP 模型更侧重于互联设备间的数据传送，而不是严格的功能层次划分。它通过解释功能层次分布的重要性来做到这一点，但它仍为设计者具体实现协议留下很大的余地。因此，OSI参考模型在解释互联网络通信机制上比较适合，但TCP/IP成为了互联网络协议的市场标准。图1-7OSI与TCP/IP模型比较TCP/IP参考模型是在它所解释的协议出现很久以后才发展起来的，更重要的是，由于它更强调功能分布而不是严格的功能层次的划分，因此它比OSI模型更灵活。图1-7是HTTP(上网)业务在TCP/IP模型中如何经过各个层次传送的例子。图1-7TCP/IP模型例子1.3标准化组织美国IEEE，主要负责工业产品的规范化工作，如RS232、局域网等。ISO国际标准化组织、ITU－T、ANSI、IETF(负责Internet标准)、ATMForum 等。详见附件B。在需要查找某些详细的资料时，可以到这些标准化组织网站上查找。1.4教材体系本培训教材以图1-8所示的数据网络层次结构为基础，从物理层开始，到承载IP的局域网、广域网协议设备，然后介绍IP(地址、路由)、TCP、UDP协议，最终介绍基于TCP/IP协议的应用，最终结合具体业务介绍整个流程。图1-8数据网络层次结构2、物理层－－常见网络接口物理层负责传送比特流，它从第二层数据链路层(DLL)接收数据帧，并将帧的结构和内容串行发送即每次发送一个比特，然后这些数据流被传输给DLL重新组合成数据帧。具体来说是通过实在的物理接口以及线缆实现此功能的。 物理接口是真实存在、有对应器件支持的接口，主要接口类型有以下几种：V.24/V.28(RS232)、V.35、V.36、X.21、RJ45Ethernet、ISDNBRI接口、E1接口、光纤接口。传输线缆有同轴电缆、双绞线、光纤等。2.1V.24/V.28接口V.24/V.28是ITU-T接口标准，对应EIA的RS232c接口标准，如图2-1所示。图2－1V.24/V.28，RS232c接口上图是25针D型连接器，实际中，9针D型连接器也较为常用。同步方式下最大速率64kbit/s，异步方式下最大速率为115.2kbit/s。V.24/V.28主要用于广域网接口、路由器AUX备份接口、路由器Console口等。 2.2V.35接口V.35接口如图2－2所示，34针连接器。其控制信号遵从RS-232电平标准，数据与时钟遵从V.35标准，同步方式下最大速率2Mbit/s。图2－2V.35接口2.3V.36接口V.36接口使用37针连接器，是ITU-TV.11(EIARS422)平衡接口协议在电话网络中的连接接口。 图2-3V36接口2.4X.21接口X.21接口使用15针连接器，是ITU-TV.11(EIARS422)平衡接口协议在传统分组交换网络中的连接接口，主要用于X25网络连接中。图2-4X.21接口2.5RJ45以太网接口RJ45连接器用于以太网连接，如图2-5。5类双绞线由8芯细线组成，直连网线和交叉网线(级联网线)的线序如图2-5所示。10BASE-T以及100BASE－TX使用了5类双绞线的4根线，如图2－6。 图2－5线序图2－6RJ45接口以及线缆对应关系 图2-7直连网线与交叉网线应用场合2.6ISDNBRI接口 图2-8ISDNBRI接口ISDNBRI接口即2B+1D接口，B通道速率为64kbit/s，D通道速率为16kbit/s。2.7E1接口E1接口电缆分成同轴电缆(75欧姆，非平衡)、屏蔽双绞线电缆(120欧姆，平衡)两种情况。平衡双绞线常用DB15或者RJ48c连接器连接。图2-8E1接口 2.8光纤连接器图2-9SC连接器(方形光纤接头)图2-10ST连接器(卡接式圆形光纤接头)3、局域网 3.1概念和分类传统上把网络按区域大小划分为局域网和广域网两大类。局域网由LocalAreaNetworkLAN翻译而来，顾名思义局域网就是局部区域的网络，一般来讲局域网的物理覆盖范围比较小。早期的局域网主要是把一个办公室或者一个办公楼的计算机连接在一起，后来发展到校园网，连接数十幢大楼，覆盖范围越来越大，现在又发展到城域网。城域网在主要技术方面虽然和局域网基本相同，但是由于规模的扩大，特别是在管理和运营方式方面，城域网与普通的局域网差别比较大。常见的局域网主要有以太网、令牌环网、FDDI(光纤分布式数据接口网络)等，其中后面两种网络正逐步消失，尤其在中国几乎所有的局域网都是以太网。一般认为以太网的雏形是1976年由Xerox施乐公司的PaloAlto研究中心开发出来的。当时有许多类似的网络，最初的以太网速率是1.5Mbit/s，1980年2月制定的IEEE802系列标准统一了这些网络，成为10Mbit/s以太网。以太网演变到今天已经成为一个丰富的家族，分类方式和角度也多种多样，比较实用的分类方法有下面几种：1)按访问方式分类可分为共享式以太网和交换式以太网，早期的以太网都是共享式的，现在许多办公室内部仍然采用共享式的设备――HUB，新建的网络一般都是交换式。2)按带宽分类可分成10Mbit/s、100Mbit/s、1000Mbit/s，等其中100M以太网和1000M以太网是近几年发展起来的技术。3)按传送介质分类以太网的传送介质有双绞线(10Base-T、100Base-TX)、光纤(100Base-FX、1000Base-SX、1000Base-LX)等多种类型。一般来讲，诸如10Base-T前面的数字代表速率，如10代表10Mbit/s，100代表100Mbit/s，1000代表1000Mbit/s；以T（Twist）结尾的是双绞线，以FX结尾的是光纤（Fiber），以SX结尾的是短波长光纤，以LX结尾的是长波长光纤。光纤连接器。有多种类型常见的有SC型、FC型、MTRJ型等如图3-1所示。早期的介质还有细缆10Base-2和粗缆10Base-5等类型现在已经很少见了。 图3-13.2局域网IEEE802标准局域网的有关标准基本上都是IEEE制定的，1980年2月IEEE制定了一系列的有关局域网的标准，称为802.x系列标准，后来制定的一些相关的标准，例如有关虚拟局域网V(LAN)的标准，也沿用802这一称号。IEEE1980年2月制定的标准主要包括： 802.1－局域网概述、体系结构和网络互连、以及网络管理和性能测量；802.2－逻辑链路控制(LLC)；802.3－定义了总线型的介质访问控制（MAC）和物理规范、这是以太网的主要标准；802.4－令牌总线；802.5－令牌环网；802.6－DQDB（分布式队列双总线）城域网；以上IEEE802标准之间的层次关系如图3-2所示图3－2IEEE802标准之间的层次关系经过了二十多年，这些标准之中有的得到了广泛的应用，例如IEEE802.2和802.3；有的技术并没有按照当初制定的标准方向发展，例如IEEE802。按照IEEE802系列标准，局域网由物理层、介质访问控制层和逻辑链路控制层组成，相当于ISO/OSI参考模型下面的两层，但从严格意义上讲，两者还是有差异的这种差异从图3-3可以反映出来。 下面简要介绍逻辑链路控制LLC层的IEEE802.2标准和介质访问控制MAC层的IEEE802.3标准。1.IEEE802.2标准IEEE802标准中没有相当于ISO/OSI参考模型中网络层的协议子层，理由是局域网通常共享一条公共信道，因此不需要路由选择和交换等功能。一些网络层的功能是由逻辑链路控制（LLC）层完成的。遵照IEEE802.2标准，局域网的LLC层必须完成ISO/OSI参考模型中数据链路层的大部分功能以及网络层的一些功能。IEEE802.2标准中LLC协议的基本功能有以下几项：1)帧的地址编码2)以帧为单位的信息传输3)帧的顺序编号4)通过重发对有差错的帧实现差错控制 某些MAC层的协议在LLC层上需要采用端对端流量控制，而其它协议则不然。例如，时隙环访问提供固有的流量控制，因为环上的短分组数是受限制的。在CSMA/CD（带冲突检测的载波侦听多址访问）访问方法中这种自我限制的功能是不存在的。在IEEE802.2标准中，LLC层提供连接型或非连接型业务，这些业务相当于虚电路或数据报业务，并要求使用通常在OSI链路层上没有的协议要素。其它更为重要的协议要素是数据报业务所需的源和目的地址，以及虚电路业务所需要的一些规程来保证帧的正确传递和顺序接收。局域网逻辑链路控制协议所需要的大部分性能已列入高级数据通信控制规程（ADCCP）和高级数据链路控制规程（HDLC）。IEEE802.2标准中的LLC协议的模型是以HDLC标准的一个模式为基础的。2.IEEE802.3标准局域网常见的拓扑 形式为总线形和环形两种。通信工作站和通信介质之间的连接，多数采取多点共享的方式，即网络上所有的工作站都通过同一通信介质进行数据交换。为了使任何需要交换数据的工作站都可以使用通信介质，同时又不干扰其它设备的正常通信，需要对通信介质的使用进行管理，这就是介质访问控制层的任务。总线形局域网中最常用的介质访问控制方法是CSMA/CD（带冲突检测的载波侦听多址访问），CSMA/CD是一种随机访问型的方法，它为各工作站提供了均等的发送机会。IEEE802.3标准中规定采用CSMA/CD总线型局域网标准，其MAC帧结构如图3-4所示。前导码：7字节的特殊格式，值为101010……，供接收器建立位同步。SD：起始定界，值为10101011，用于确定帧的开始。DA：目的地址，可以指定某一个站、一组站或所有的站。SA：源地址。Length:指定的LLC帧的长度(以字节为单位)。LLC：封装在MAC帧中的LLC帧，最大长度为1500字节。PAD：为保证碰撞检测有足够长的帧而添加的一些字节。 FCS32：比特的帧校验序列，其校验范围从目的地址段至帧尾。在CSMA/CD访问方法中，所有的工作站争用传输介质，争用的方法为冲突检测，一个工作站在发送信息之前检测介质有没有被使用，一旦有人使用，即发生了冲突，则发送停止，推迟一段时间再发送。由于冲突检测的需要，CSMA/CD规定了帧不能太短，否则发送时间太短，检测不到冲突存在，最短LLC帧为64字节。帧也不能太长，目前规定LLC帧最大长度为1500字节。为了保证帧到达后能来得及从缓存中传输到计算机，在两个帧之间有96比特的空闲帧。备注：(1)以太网即采用CSMA/CD访问方法的局域网，其版本2的帧（在一些资料中常用Ethernet_II来表示）结构与IEEE802.3标准的帧结构非常接近，但存在细微差别。目前这两种帧结构在计算机网卡中能够被自动识别和支持。(2)快速以太网同样采用CSMA/CD访问方法，其标准为IEEE802.3u。3.3网络分段和交换 在共享介质的一个以太网中，共享带宽的区域成为冲突域，也就是CSMA/CD作用的区域。在一个冲突域中，一个时间段内只能有一对设备可以通信，网络不适合做得太大，要想把网络规模做得比较大，就必须对网络进行分段，当然分段的原因还有管理上的需要。例如，在一个企业中不同部门之间的通信可能是相对独立的，它们之间的通信可以通过网络分段进行控制。1.用网桥进行分段网桥是最早用于解决网络分段的技术，假如把100台计算机连成的局域网一分为二，称为网络分段，A、B每个网络中各有50台计算机，冲突域就减小了一半，由于冲突的减少，每台计算机得到的实际带宽比原来高一倍还要多。但这样做A网络的计算机和B网络的计算机就不能通信了。为了实现他们的通信，引入了一种叫网桥Bridge的设备，网桥相当于网络之间的桥梁。网桥的功能如下：(1)读取A网络上传输的所有帧，经辨别后接收寻址到B网络的那些帧；(2)把接收到的帧发送到B网络；(3)对从B网络到A网络的帧作相似处理。网桥可以把一个冲突域划分成为两个冲突域，但对于广播帧是不加限制的，A网络和B网络还是一个广播域，这可以使两个网中的设备知道彼此的MAC地址情况。 网桥在工作过程中并不修改帧的内容和格式。虽然网桥对帧的内容不修改，但在网桥内部（网间链路上）可以采用与网络协议不同的另一种协议。这时网络上的几个帧可能并为一个HDLC帧。网桥只能在网间链路上采用自己的格式传送，网桥中必须有足够大的缓存因为在某些时间接收的帧会多于发出去的帧。网桥可以连接多个局域网，必须知道每个网络的地址，以便正确地将帧从一个网络传送到另一个网络。2.用路由器进行分段路由器通过分析网络层的地址决定数据报文的转发，可以用它把分段的网络连接起来，作用和网桥类似，由于路由器在网络层工作，它的灵活性和可控性比较好，但路由器的造价比较高，限制了它在局域网络互连的广泛应用。用路由器分段的好处是可以隔离广播域，在上述例子中A和B网络若用网桥连接，对于广播报文是相同的；若用路由器连接则两个网络广播报文是不互通的，若A网络的计算机访问B网络的计算机则需要路由器进行三层路由转发。与桥相比路由器更适合于大型的网络互连和分段。3.交换式网络 一个共享式网络，同一时间只能有一对设备通信，若通过网桥划分为两个网络，在同一时间内每个网络都可以有一对设备通信；若再划分的细一点，例如100个计算机的网络通过具有100个端口的“网桥”连接网络被划分为100个冲突域，则彼此之间的通信都不会受到影响，网络的效率大大提高，这样的网络就是交换式网络。1989年Kalpana公司发明了交换式以太网，给局域网带来了革命性的变化，在这种被称为LANSwitch（以太网交换机）的设备上，多个端口可以同时通信，就象电话交换机一样，随后出现了交换式令牌环网、交换式FDDI网络等，由于交换式以太网迅速的发展，其它的技术还没有来得及向人们展示其面目，就被淹没了。最后再明确一下“交换”的内涵，交换由英文Switch翻译过来。交换和共享是对应的，交换式网络允许在一个时间片断内同时有多对通信，共享式网络在一个时间片断内只能有一对通信。4.二层交换机和三层交换机二层交换机（L2Switch）相对比较简单。它只查看MAC地址进行信息交换，二层交换机维持一个MAC 地址和端口之间对应关系的表格，这个表格通过设备之间通信的广播方式得到，若情况发生了变化也通过广播将表格进行更新。如在办公室中，计算机的物理位置发生改变时，二层交换机中的MAC地址表会随之更新。三层交换机（L3Switch）则要看帧中包含的网络层的信息，根据网络层的目的地址转发数据。早期的三层交换机只是将二层交换和三层路由功能结合在一台设备上，以减少设备数量。那时的第三层功能是基于软件的，包转发速度很慢，目前三层交换机已普遍采用硬件来实现第三层功能。目前三层交换技术主要分两大类：1)一类是以流为基础的，这种技术基于流高速缓存（FlowCache）进行数据转发，它除了必要的路由查找过程外，大部分数据转发过程通过第二层交换处理。2)另一类是基于特别设计的硬件来实现逐包（PacketbyPacket）查找的，这里的硬件通常是指CAM（Content-AddressableMemory）芯片或ASIC（ApplicationSpecificIntegratedCircuit）芯片，这类技术的特点是每一个包都要进行路由查找。由于用户或者网络管理员通常不能控制第二层，例如，不能方便地为特定的MAC 地址制定访问规则，因此大型网络不能采用纯二层交换机来组网。在现实组网中，通常采用二层和三层结合的方式，直接连接用户的设备通常采用二层交换机，上层的设备一般采用三层交换机，这样做的主要好处是利用了二层交换机简单、成本比较低的优势，管理规则在三层交换机上实现，这就体现了简单的接入、智能的汇聚这一网络设计思想。3.4VLAN及其应用尽管交换机把网络冲突域隔离起来，但是它们还处在一个广播域之中，这就意味着彼此还是可见的，于是，在网络足够大、广播报文特别多的情况下很容易造成广播风暴，这时就需要隔离广播域。若通过路由器进行隔离，则广播域的划分和路由器的物理位置直接相关，不够灵活。VLAN（VirtualLAN，虚拟局域网）技术解决了这个问题，它提供了不依赖于物理位置的LAN划分方案，并隔离广播域，通过对VLAN技术的引入，交换机不仅解决了效率的问题，也解决了网络访问控制的问题，不同部门之间可根据实际需求设置VLAN或者采用某种规则进行控制。VLAN的划分和网络管理可通过命令行或者网络管理软件的图形界面进行。图3-5说明了VLAN的划分与物理位置无关，其中，同一种图标的计算机代表一个VLAN。 早期的VLAN各个厂商之间是不兼容的，现在VLAN基本上采用了IEEE802.1Q标准，这是一种采用帧标记的技术，其方法是在帧头上加上VLAN标记，根据标记决定帧的转发等。IEEE802.1Q的标记是在以太帧头和数据之间插入12比特来标示的，因此，理论上在一个网络中最多可以有212=4096个VLAN。在传统的HUB中通常比较难实现VLAN，因为HUB无法进行广播域的隔离，在Switch和HUB混合的网络中，VLAN一般划分到HUB一级并不能到每个计算机，但现在HUB在网络中已经逐步Switch所替代，尤其是新建设的网络几乎全部采用Switch，VLAN的划分就相当灵活了。VLAN是通过软件进行设置的不依赖于用户的物理位置也不依赖用户连接在哪个具体的Switch上，一般教科书讲述VLAN应用时，常举的一个应 用实例就是员工办公室的位置搬动时，不需要网络管理员调整配线架而只要在网管工作站上将用户VLAN重新设置一下即可。采用VLAN方式管理，对于不在同一物理位置的计算机可以组成一个VLAN工作组，组网非常灵活，适应性强。VLAN技术已经成为建设较大型局域网例如校园网所采用的标准技术，通过VLAN技术可以很方便地实现一个网络中各个工作组和成员的划分调整和管理。在运营商组建的LAN接入方式的城域网中VLAN可能成为一种重要的管理网络的手段，因为VLAN的控制权在网络侧，VLAN是由网络管理者设置的。管理者可以将每个家庭用户划分成为一个VLAN，达到彼此隔离的目的。划分VLAN之后，彼此之间的访问便可以控制，上网记录也可以通过VLAN进行，例如某某VLAN的流量是多少等。1.VLAN的划分方法VLAN的划分方法大体上有三种：基于端口划分VLAN、基于MAC地址划分VLAN和基于网络协议划分VLAN。(1)基于端口划分VLAN基于端口的VLAN和LANSwitch的物理端口对应，配置方法简单，实现起来特别方便。这种方式实现的VLAN当用户的位置改变时，VLAN就有可能变化，这种情况下，就需要网络管理员重新调整VLAN。(2)基于MAC地址划分VLAN 基于MAC地址的VLAN是根据用户网卡的MAC地址定义的VLAN。其好处是用户移动时，VLAN无需网络管理员人工干预；但缺点是初始配置和有新的设备加入时，VLAN配置比较麻烦。(3)基于网络协议划分VLAN基于网络协议划分VLAN有两种含义：l根据协议类型划分VLAN，例如IPVLANIPXVLAN等。l根据网络层地址（如IP地址）划分VLAN。由于基于网络协议的VLAN需要查看网络层的信息，比起端口VLAN和MAC地址VLAN直接在链路层上进行操作要复杂，所以效率比较低。目前，大多采用基于端口划分VLAN。2.VLAN通信和IP地址关于VLAN通信主要有下面几种需求：1)VLAN内部成员之间的通信；2)VLAN之间的通信；3)VLAN成员和公共资源的通信。在VLAN内部通信通过二层交换可以实现，另外的两种情况则需要采用三层的路由方式实现。对于目前广泛采用的IP网络，VLAN和IP地址之间具有很大的相关性。通常情况下，每个VLAN必须是一个独立的子网（Subnet），若不是同一子网则不能解决互通性的问题。在配置网络时，绝大多数厂商的Switch需要将不同VLAN 用户配置在不同的子网之中。如图3-6所示，VLAN1用户和VLAN2用户在同一子网之中，如果按照IP协议规则，他们之间不需要路由方式通信；但是，由于他们分属于不同的VLAN，广播报文被隔离，这样，这两个VLAN之间无法实现正常通信。解决方法有两种，第一种方法是将不同VLAN用户划分到不同的子网，他们之间的通信可通过网关用路由的方式实现；第二种方法是通过上级设备（如图3-6中的L3Switch）的代理功能实现同一子网不同VLAN之间的通信，其原理是VLAN1和VLAN2之间的广播报文不能直接通信但可以经过上级设备进行转发。对于企业网络第一种方法实用性比较好，因为子网和VLAN之间确实存在天然的联系，便于管理。但是对于运营商组建的LAN接入方式的城域网来说，采用这种方法则存在很大的缺点，因为每个用户需要一个VLAN，客观上也就需要一个子网，前面我们在介绍TCP/IP协议时知道，每个子网最少要4个IP 地址，若采用这种方法则相当浪费IP地址。4、广域网协议所谓广域网就是在一个广泛的地理范围内所建立的数据通信网英文缩写为WAN。传统的广域网一般都由运营商提供管理和相关的服务。图4-1是广域网对应OSI参考模型的层次关系图，其中X.25PLP即X.25分组层，属于网络层协议，需要注意的是当X25用于承载IP时，X25相当于链路层地位；LAPB是平衡式链路访问规程；HDLC是高级数据链路控制规程；SDLC是同步数据链路控制规程。图4－1广域网对应的OSI模型层次关系图不难看出，X.25包括网络层，数据链路层和物理层，帧中继包括数据链路层和物理层。DDN只包括物理层。另外，根据RFC2615的建议文本PacketoverSDHPOS也包括网络层采用IP协议，数据链路层采用PPP 协议物理层采用SDH。当上述广域网协议用于承载IP时，相对于出在网络层的IP协议，都属于链路层。4.1PPP协议PPP协议是在SLIP(串行线路因特网协议)的基础上发展起来的，由于SLIP协议存在只支持异步传送方式，无协商过程（尤其不能协商如双方IP地址等网络层属性）等缺陷，在其发展过程中，逐步被PPP协议所替代。PPP协议支持全双工和同/异步传送方式，它主要由三类协议组成：LCP（链路控制协议）、各种NCP（网络层控制协议）和各种PPP扩展协议。其中，LCP主要用于建立、拆除和监控PPP数据链路；NCP主要用于协商在该数据链路上所传输的包的格式与类型；PPP扩展协议主要用于提供对PPP功能的进一步支持。同时，PPP协议还提供了用于网络安全方面的验证协议：PAP（口令授权协议）、CHAP（盘问握手授权协议）。1PPP帧格式PPP协议不仅提供对IP包等的承载（封装），并且支持各种链路参数的协商。这种协商属性，也就导致了PPP帧的多样性。PPP协议采用ISO3309 标准规定的HDLC（高级数据链路控制）帧格式。另外，RFC1570/1661建议文本对PPP帧格式又作了进一步扩展，规定了PPP帧中封装的LCP分组格式。如图4－2所示。图4－2PPP帧和LCP分组格式其中，F字段标识一PPP帧的起始及结束，FCS字段为帧校验字段。而真正属于PPP帧内容的为地址、控制、协议、信息字段所包含的内容。地址字段表示此为PPP广播地址；地址、控制字段一起表示该帧为PPP帧，取值为FF03。协议字段表示封装在信息字段中的是什么协议。紧接着的代码字段表明LCP分组的类型。标识字段用于LCP分组的匹配，其后的长度字段为LCP分组的长度（包含代码和标识字段），数据字段所包含的为LCP分组的内容。类型字段表示协商选项类型，其后的长度字段为此协商选项长度（包含类型字段），选项字段为协商选项具体内容。(1)协议字段常见取值及含义如下：0021InternetProtocol 002bNovellIPX002dVanJacobsonCompressedTCP/IP002fVanJacobsonUncompressedTCP/IP8021InternetProtocolControlProtocol802bNovellIPXControlProtocolC021LinkControlProtocolC023PasswordAuthenticationProtocolC223ChallengeHandshakeAuthenticationProtocol(2)代码字段常见取值及含义如下：0x01Configure-Request0x02Configure-Ack0x03Configure-Nak0x04Configure-Reject0x05Terminate-Request0x06Terminate-Ack0x07Code-Reject0x08Protocol-Reject0x09Echo-Request0x10Echo-Reply0x11Discard-Request(3)类型字段常见取值及含义如下：0x01Maximum-Receive-Unit 0x02Async-Control-Character-Map0x03Authentication-Protocol0x04Quality-Protocol0x05Magic-Number0x06RESERVED0x07Protocol-Field-Compression0x08Address-and-Control-Field-Compression2PPP协议的协商过程PPP链路的建立是通过一系列的协商完成的。过程如下：(1)PPP首先进行LCP协商协商，内容包括：MRU（最大接收单元，即PPP帧中信息字段的最大长度）、魔术字（Magic-Number）、验证方式、异步字符映射等选项；(2)LCP协商成功后，进入链路建立阶段；(3)如配置了CHAP或PAP验证，接着便进入CHAP或PAP验证阶段；(4)验证通过后才会进入NCP协商，如IPCP、IPXCP的协商；(5)任何阶段的协商失败都将导致链路的拆除。其中，魔术字主要用于检测链路自环，PPP依靠发送Echo-Request、Echo-Reply帧（由PPP帧的代码字段确定）来检测自环和维护链路状态。如连续发现有超过最大自环允许数目个Echo-Request 帧中魔术字与上次发送魔术字相同，则判定网络发生自环现象，此时要对自环的链路进行复位，否则它们将占用大量的CPU资源，并有可能引起系统崩溃。对于链路自环的检测，PPP如果发现一次自环，将改变发送探询帧的频率，促使以最快的速度确认链路确实自环。如果PPP发送的Echo-Request帧丢失，则在连续丢失最大允许丢失的个数之后将链路复位，以免过多的无效数据传输。异步字符映射用于同/异步转换，当PPP从异步端口接收到帧时，要将异步帧转换为同步帧；当向异步端口发送帧时，要将同步帧转换为异步帧。3PPP协议的特点(1)PPP协议与其它链路层协议不同，既支持同步链路又支持异步链路，而如X.25的LAPB协议、帧中继的LAPD协议等数据链路层协议只对同步链路提供支持。(2)具有各种NCP协议（如IPCP，IPXCP协议），更好地支持了网络层协议。(3)具有验证协议CHAP、PAP，更好地保证了网络的安全性。相比之下，由于Ethernet协议本身缺乏验证机制，所以在运营商经营的LAN接入网络中经常采用PPPoE（PPPoverEthernet）的方式上网。4MP（MultilinkPPP）在ISDN的BRI或PRI接口中，用户可以将若干个B信道捆绑成一个逻辑通道，以使传送速率大于64kbit/s。满足这个需求的协议是MP协议。MP是MultilinkPPP 的简称，在协议簇中位于链路层和网络层之间。当用户使用多个B信道时，每个B信道上存在一个PPP通道，而MP协议位于PPP协议之上，负责将这若干个PPP通道捆绑起来，向网络层提供一个逻辑通道。如图4－3所示。图4－3MP协议示意图从实现上讲,MP管理下层的各个PPP通道。发送方的数据链路层接到网络层下传的包后，按照一定的原则将包拆分成若干PPP帧，从各个PPP通道上发出；接收方从PPP通道上接收PPP帧，按照MP协议头的序号将对方拆分的各个PPP帧重新组装，组成一个网络层包向上提供。ISDN的一条B信道是否是MP链路以及属于哪个MP链路是在PPP协商的过程中确定的。PPP协商时有很多的选项，其中一个是MRRU（Max-Receive-Reconstructed-Unit）。一条链路若在PPP协商时协商了MRRU，即是MP链路。一条链路如果是MP链路，那么除了协商MRRU之外，还必须协商另一个选项（即MP描述符），用来唯一标志一个MP通道。这种MP描述符可以有很多种类型，可以是IP地址、MAC 地址、产品号、用户名等。4.2DDN网DDN(数字数据网)是采用数字信道来传输数据信息的数据传输网。包括节点到节点和节点到用户的线路全部采用数字信道。DDN网一般不包括交换功能，只采用简单的交叉连接复用设备。DDN网是采用数字信道为用户网络提供半永久连接电路的传输网.半永久连接是指DDN所提供的信道是非交换性的，用户之间的通信通常是固定的。一旦用户提出改变的申请，由网络管理人员，或在网络允许的情况下由用户自己对传输速率、传输数据的目的地以及传输路由进行修改，但这种修改不是经常性的，所以称为半永久连接或半永久性交叉连接。1DDN网的特点DDN网向用户提供端到端的数字型传输信道，它与在模拟信道上采用调制解调器来实现的数据传输相比，有下列特点：(1)传输误码率低，一般数字信道的正常误码率在10-6以下而模拟信道较难达到。(2)信道利用率高，目前一般可以提供64k~2Mbit/s速率的数据业务，采用同步，传送速率有保障。 (3)不需要Modem，与用户的数据终端设备相连接的数据电路终接设备（DCE）一般只是一种功能较简单的基带传输设备，即通常所说的数据服务单元（DSU），或者直接就是一个复用器及相应接口。(4)要求全网的时钟系统保持同步，DDN网要求全网的时钟系统必须保持同步，否则，在实现电路的转接、复接和分接时就会遇到较大的困难。2DDN网组成结构DDN网由用户环路、DDN节点、数字信道和网络控制管理中心组成，其网络组成结构框图如图4-4所示。图4－4DDN网络组成结构图3DDN网的应用DDN网的应用主要包括(1)网络互连。目前企业的异地网络互连，绝大多数用DDN 线路，由于DDN是点到点的网络，专线专用，不存在安全隐患，速率有保障，按月租的方式收费，特别适合开展企业网络互连业务。(2)上网业务。与网络互连不同，上网业务主要面向本地企业、网吧等具有上网需求的用户，上网业务不仅要为用户提供线路，而且要在局端部署路由器和网络服务器，上网用户通过路由器、DDN线路连接到局端的路由器上，从而解决上网问题。(3)运营网络中的专网。运营网络中有许多专网是通过DDN实现的，例如中国电信的计费网，办公网等，都是通过在DDN上部署路由器实现的专用网络。(4)利用DDN建立集中操作维护中心。由于DDN独立于公用电话交换网（PSTN），所以可使用DDN为集中操作维护中心提供传输通路。不论交换机处于何种状态，它均能有效地将信息送到集中操作维护中心。4我国DDN网发展状况我国DDN骨干网一期工程于1994年10月22日开通。通达各省会城市和直辖市。全网有北京上海和广州三个出入口局，以及北京、上海、成都、沈阳、广州、武汉、南京、西安等八个枢纽局。该工程在每个枢纽局和省中心局各配置一台美国AT&T公司的DACSII 设备，负责传送下面来的数字信号。在每个省、市和枢纽局设置若干个加拿大新桥网络公司的3600MainStreet带宽管理器，作为节点设备，提N×64kbit/s(N=1~31)速率的交叉连接和子速率交叉连接复用功能，国际出入口局采用新桥网络公司的3600MainStreet带宽处理器，负责与国际DDN接续。该工程在北京设有全国网管中心(NMC)，负责骨干网上的电路管理及调度。其它枢纽局设有网络管理终端(NMT)。NMT在NMC授权范围内执行网络控制管理功能，并能互相交换网管的控制管理信息。在2000年前，DDN网是我国提供数据业务的主要网络，已经覆盖全部的地市和90%以上的县。截止99年12月，DDN网提供的端口数达到了48.5万个。4.3帧中继概括地讲，帧中继（FrameRelay）技术是在数据链路层用简化的方法传送和交换数据单元的快速分组交换技术。帧中继技术是在分组交换技术充分发展，数字与光纤传输线路逐渐代替已有的模拟线路，用户终端日益智能化的条件下诞生并发展起来的。1986年AT&T首先在其有关ISDN（综合业务数字网）的技术规范中提出帧中继业务；1988年ITU-T 公布第一个有关帧中继业务框架的标准I.122；1989年ANSI开始帧中继技术标准的研究工作；1990年CISCO、DEC、STRATACOM等公司联合创建帧中继委员会；1991年帧中继委员会改名为帧中继论坛，并开始标准的制定工作迄今ITU-TANSI和帧中继论坛制定了帧中继的一系列标准帧中继技术日趋完善。1帧中继技术的特点帧中继技术作为一种快速的分组交换技术，它具有以下特点：(1)帧中继技术主要用于传递数据业务，将数据信息以帧的形式进行传送。(2)帧中继传送数据使用的传输链路是逻辑连接，而不是物理连接，在一个物理连接上可以复用多个逻辑连接，可以实现带宽的复用和动态分配。(3)帧中继协议简化了X.25的第三层功能，使网络节点的处理大大简化，提高了网络对信息的处理效率。采用物理层和链路层的两级结构，在链路层也只保留了核心子集部分。(4)在链路层完成统计复用、帧透明传输和错误检测，但不提供发现错误后的重传操作。省去了帧编号、流量控制、应答和监视等机制，大大节省了帧中继交换机的开销，提高了网络吞吐量、降低了通信时延。(5)交换单元—— 帧的信息长度比分组长度要长，预约的最大帧长度至少要达到1600字节/帧，适合封装局域网的数据单元。(6)提供一套合理的带宽管理和防止拥塞的机制，使用户有效地利用预约的带宽，即承诺的信息传送速率（CIR），还允许用户的突发数据占用未预定的带宽，以提高网络资源的利用率。(7)与分组交换一样，帧中继采用面向连接的交换技术。可以提供SVC（交换虚电路）和PVC（永久虚电路）业务，但目前已应用的帧中继网络中，只采用PVC业务。2帧中继的帧结构帧中继的帧结构与ISDN链路层上采用的帧结构一致，即Q.922LAPD（D信道上的链路访问规程）的帧结构，如图4-5所示。图4－5帧中继的LAPD帧结构下面介绍各字段的含义(1)F（帧标志）：用于帧定位，值为01111111。(2)帧中继头包括下面一些内容：DLCI（ 数据链路连接标识）：用于区分不同的帧中继连接。它是帧中继的地址字段。根据地址字段把帧送到适当的邻近节点，并选择路由到达目的地。根据ITU-T的有关建议，DLCI值0保留为通路接收控制信令使用，DLCI值1到15和1008到1022保留为将来应用，DLCI值1023保留为本地管理接口LMI通信时使用，DLCI值从16到1007共有992个地址可为帧中继使用。C/R（命令响应比特）：该比特在帧中继网中透明传输。EA（地址段扩展比特）：用于指示地址是否扩展。扩展DLCIFECN（前向拥塞告知比特）和BECN（后向拥塞告知比特）：BECN可以由拥塞的网络置位来通知帧中继接入设备启动避免拥塞的程序。当接收端帧中继接入设备发现FECN比特被置位后，必须在向发端发送的帧中将BECN置位。DE（丢弃指示比特）：用于指示在网络拥塞情况下丢弃信息帧的适用性。通常当网络拥塞后，帧中继网会将DE比特置1。但目前有关该比特的确切定义和使用方法尚在研究之中。(3) 用户数据：包括控制字段和信息字段，其长度是可变的。信息字段的内容应由整数个8比特组构成。(4)FCS（帧校验序列）：一个16比特的序列，具有很强的检错能力，它能检测出在任何位置上的3个以内的错误、所有奇数个错误、16个比特之内的连续错误以及大部分的大量突发错误。3帧中继的基本原理1)层次结构帧中继的层次结构如图4-6所示。智能化的终端设备把数据发送到链路层，并封装在Q.922LAPD协议的帧中，由于用X.25的LAPB协议派生出来的这种可靠的链路层协议的帧结构中，实施以帧为单位的信息传送，帧不需要在第三层处理，能在帧中继交换机中直接通过，即帧的尾部还未收到前，帧中继交换机就可以把帧的头部发送给下一个节点，一些属于第三层的处理，如流量控制，留给了智能终端去处理。这样帧中继把通过节点间的分组重发、流量控制、纠错和拥塞的处理程序从网内移到网外或终端设备，从而简化了交换过程，使得吞吐量增大、时延减小。 图4－6帧中继的层次结构2)寻址方式帧中继采用虚电路的方式传送信息，每一条链路和每一个物理端口可容纳许多虚电路，用户之间通过虚电路连接。目前大部分帧中继网只提供永久虚电路（PVC），每一个帧中继交换机都有PVC路由表，当帧进入网络时，帧中继交换机通过DLCI值识别帧的去向。本地不同的DLCI连接到不同的对端设备，因此我们可以认为本地DLCI就是对端设备的“帧中继地址”。PVC路由表可以手工完成，也可以自动产生，根据该路由表就可以完成帧交换功能。帧交换功能是非常简单的，比较麻烦的是PVC状态的维护。如图4-7所示，从设备A到B的逻辑链路是由多段DLCI（12—11—50—62）逻辑连接构成的，从设备A到C的逻辑链路也是由多段DLCI（15—20—25）逻辑连接构成的。图中，FRS是帧中继交换机，CPE是用户前端设备。 图4－7帧中继的逻辑连接示意图3)带宽管理帧中继是统计复用协议，实现了带宽资源的动态分配，因此它适合为具有大量突发数据（如LAN）的用户提供服务。但如果某一时刻所有用户的数据流量之和超过可用的物理带宽时，帧中继网就要实施带宽管理。它通过为用户分配带宽控制参数，对每条虚电路上传送的用户信息进行监视和控制。帧中继网为每个帧中继用户分配三个带宽控制参数：Bc、Be和CIR。同时，每隔Tc时间间隔对虚电路上的数据流量进行监视和控制。CIR是承诺的信息传送速率；Bc是网络允许用户以CIR速率在Tc时间间隔传送的数据量，即Tc=Bc/CIR；Be是网络允许用户在Tc时间间隔内传送的超过Bc的数据量。带宽控制策略可采用图4-8表示。 图4－8带宽控制参数的策略曲线图在Tc内：·当用户数据传送量<=Bc时，继续传送收到的帧；·当用户数据传送量>Bc但<=Bc+Be时，将Be范围内传送的帧的DE比特置“1”，若网络未发生严重拥塞，则继续传送，否则将这些帧丢弃，·当Tc内用户数据传送量>Bc+Be时，将超过范围的帧丢弃。举例来说，如果约定一条PVC的CIR=128kbit/s，Bc=128kbit，Be=64kbit，则Tc=Bc/CIR=1s。在这一段时间内。用户传送的突发数据量可达到Bc+Be=192kbit，传送数据的平均速率为192kbit/s，其中Bc范围内的128kbit的帧会被送达终点用户；Be范围内的64Kbit的帧的DE比特被置为“1”， 在无拥塞的情况下，这些帧会被送达终点用户，若发生拥塞，则这些帧会被丢弃。4我国的帧中继网据国家电信总局的《帧中继业务网技术体制》规定，我国帧中继业务采用三级网络结构，即国家骨干网省内网和本地网。国家骨干网由各省会城市、直辖市节点组成，覆盖全国31个城市，其中北京、上海、广州、沈阳、武汉、南京、成都、西安8个节点为骨干网枢纽节点，负责汇接、转接骨干节点的业务并负责省内和本地网的出口业务。在建网初期，除完成上述任务外还可直接接入帧中继用户。骨干枢纽节点之间采用完全网状的网络结构。网内其它骨干节点之间近期采用不完全的网状网络结构每个骨干节点至少与两个骨干枢纽节点相连。随着业务的不断发展，骨干网的网络结构可逐渐过渡到完全的网状网络结构。全网在北京、上海建立国际出入口局，在广州建立港澳地区出入口局，负责国际业务和港澳业务的转接。我国的帧中继网，即中国公用帧中继宽带多业务网（一期工程）在全国21个省、市中心城市及网络管理中心(北京)设置节点，采用美国凯讯（CASCADE）通信公司的帧中继交换机B—STDX9000和ATM交换机CASCADE500 组网。考虑到网络向高速多业务网发展。在每个节点都设置了B—STDX9000帧中继交换机和CASCADE500ATM交换机。每个节点的中继都由CASCADE500ATM交换机对外开放ATM业务。B—TDX9000主要用于帧中继业务及采用内置的帧中继接入设备（FRAD）来接入非帧中继业务。它与CASCADE500ATM交换机间通过E3中继链路相连，将帧中继业务转换为ATM信元并通过ATM中继链路在网内传送。这样的网络层次既缩短了网内多业务的传送时延，又能在网内每个节点开放ATM业务，并易于全网向ATM过渡。该网络为用户提供基本业务和多项可选业务。基本业务为帧中继永久虚电路业务(FRPVC)、ATM永久虚电路业务(ATMPVC)和ATM交换虚电路业务(ATMSVC)。可选业务主要包括ATMFUNI、ATM业务互通、ATM网络互通、PPP协议与帧中继协议转换、SDLC协议转换等。4.4X.25网ITU-T的X.25建议即“用专用电路连接到公用数据网上的分组式数据终端设备（DTE）与数据电路终接设备（DCE）之间的接口”，是分组数据交换网中最重要的协议之一，因此习惯上将分组数据交换网简称为X.25网。1X.25网的特点 X.25网基于分组交换技术，它具有以下特点：(1)X.25网主要用于传递数据业务，将数据信息以分组的形式进行传送。(2)X.25网采用面向连接的交换技术，提供交换虚电路（SVC）和永久虚电路PVC等基本业务。(3)X.25网还提供广播传送、VPN、E-MAIL、电子数据交换（EDI）、传真存储转发（FAXS&F）、可视图文（Videotext）等可选业务和增值业务。(4)X.25网具有较为完善的物理层、链路层和网络层功能，与帧中继网等相比，X.25网本身提供错误检测和重传机制、流量控制、应答和监视机制，大大降低了对传输线路和用户终端的要求。(5)X.25网采用X.121建议的地址编号方案，X.121地址又称国际数据号码（IDN）因为PVC没有呼叫建立阶段即不需要寻址，所以X.121地址只在SVC中使用。(6)与各种新兴的数据通信网相比，X.25网在传送速率、网络吞吐量、通信时延等方面明显处于劣势，发展空间有限。2X.25层次结构X.25包含了三层：分组层（即网络层）、数据链路层、物理层，是和OSI参考模型的下三层一一对应的，它们的功能也是一致的。如图4-8所示。 实际信息是从同一系统的高层→低层及低层→高层传送的，但逻辑上按OSI参考模型的概念，信息在DTE与DCE同层之间传送。图4－9X25层次结构图3X.25物理层的X.21ITU-T的X.21建议规定了采用同步传送方式的DTE与DCE之间的通用接口，它是以数字传输链路作为基础而制定的。DCE装设在用户处，DTE与DCE的接口如图4-10所示。 图4－10X21规定的DTE-DCE主要接口信号DTE－DCE之间的主要接口信号有6个，发送信号T用于发送数据，接收信号R用于接收数据，控制信号C用于显示传统的摘机/挂机状态，指示信号I用于显示数据传送阶段开始与结束，信号码元定时信号S用于DCE向DTE提供码元定时，以便使DTE与DCE实现码元同步。DTE与DCE之间的数据通信分为三个时间阶段，即空闲阶段（DTE待用）、控制阶段（呼叫的建立和拆除）和数据传送阶段。这三个阶段由C信号和I信号加以指示。在数据传送阶段，X.21接口可提供比特序列的数字传送。在采用调制解调器的模拟传输线路或使用V系列接口DTE的情况下，可采用X.21bis建议，这时DTE与DCE的接口通常采用V.24协议。4X.25数据链路层的LAPB及MLP LAPB采用了HDLC的帧结构，并且是它的一个子集。如图4-11所示，LAPB的帧可分为三大类：信息帧、监控帧和无编号帧。图4－10LAPB的帧结构信息帧：由帧头（帧定界符F、地址字段A、控制字段C）、信息（I）、帧尾（帧校验序列FCS、F）组成，用于传输分组的信息。网络层传给链路层的信息都装配成信息帧的格式。监控帧、无编号帧：由帧头和帧尾两部分组成，用于完成DTE和DCE接口的链路控制，不用于传输网络层来的信息。多链路规程（MLP）是ITU-T原CCITT）1984年在X.25中新加的内容。一条链路最多可存在4096条逻辑信道，实际上，当链路传输速率较低时达不到这个上限。要增加实际的逻辑信道数及通过链路的业务量，可提高链路的传输速率，但有时受到链路传输能力的限制，必须更换更高容量的传输链路，这会使得扩容不方便。为了提高 DTE和DCE之间的传输能力，增加传输的可靠性，并使扩容简单，因此便产生了MLP。多链路是指多条链路平行工作，一般用多条物理链路，所以一条链路出故障只影响局部工作。MLP的基本原理是把传送的分组分散通过多个LAPB的单链路，为了能在接收端正确排序，必须要在原LAPB的单链路帧上加上多链路控制（MLC）字段。5X.25分组层分组通过链路层传输时都封装在LAPB信息帧的I（信息）字段中，（I）字段包括分组头和用户数据。分组头由通用格式标识（GFI）逻辑信道标识（LCI）和分组类型标识（PTI）组成，如图4-12所示。下面特别介绍一下逻辑信道的概念。逻辑信道是在DTEDCE接口或网内中继线上可以分配的一种编号资源。网络层使用逻辑信道可以在DTE和DCE之间支持多个虚呼叫和永久虚电路，用逻辑信道作为呼叫的唯一识别。在呼叫建立阶段DCE或DTE 为每一次虚呼叫分配一个逻辑信道号，在呼叫清除阶段收回。一条永久虚电路一旦建立就永久占用一个逻辑信道号，直到被拆除。逻辑信道号可取1~4095。逻辑信道有以下几种状态：准备好状态、呼叫建立状态、数据传输状态、呼叫清除状态永久虚电路总是处于数据传输状态。虚电路和逻辑信道是两个不同的概念，它们的区别如下：1)虚电路是主叫DTE到被叫DTE之间的虚连接，而逻辑信道是在DTE—DCE接口或网内中继线上可分配的代表子信道的一种编号资源，一条虚电路由多个逻辑信道链接而成。2)一条虚电路具有呼叫建立、数据传输和呼叫清除过程，永久虚电路可以在预约时由网络建立。也可以通过预约清除。而逻辑信道号是客观存在的，他有占用和空闲的区别，但不会消失。6我国的公用分组交换网(CHINAPAC)我国第一个公用分组交换数据网（CNPAC）是1989年11月从法国SESA 公司引进设备并投入试用的试验网络。该网设有三个节点机八个集中器和一个网络管理中心。三个节点机分别安装在北京、上海和广州。八个集中器分别安装在北京、天津、武汉、南京、西安、成都、沈阳和深圳；网络管理中心设在北京；国际出入口局也设在北京。全网端口数为580个，其中同步端口256个，异步端口324个。由于业务量不断发展，CNPAC试用三年后已经过负荷，加上该网技术较为陈旧，速率较低，同步端口数量少，网络复盖面小，网络性能较差，不能满足我国分组交换数据通信日益增长的要求。从1992年开始，邮电部开始着手建设新的公用分组交换数据骨干网(CHINAPAC)，该网于1993年建成正式投入使用。CHINAPAC用DPN100系列设备，由全国31个省、市、自治区的32个交换中心组成(其中北京有两个)。网络管理中心设在北京。建网初期采用不完全的网状网络结构。网中的北京、上海、南京、武汉、广州、西安、成都、沈阳等八个城市为汇接中心。北京为国际出入口局，上海为辅助出入口局，广州为港澳地区出入口局。汇接中心采用完全网状的拓朴结构，网内每个交换中心都具有两个或两个以上不同汇接方向的中继电路，以确保网络安全可靠。交换中心之间根据业务量的大小和网络可靠性的要求可设置高效路由。CHINAPAC骨干网结构如图4-13所示。 CHINAPAC可与公用电话交换网(PSTN)、甚小口径卫星地球站(VSAT)网、用户电报网、各地区分组交换网、国际及港澳地区分组交换网及局域网相连，也可以与计算机的各种主机及终端相连，可通过PAD与非分组终端相连。CHINAPAC除可以提供基本业务（交换虚电路、永久虚电路和任选业务闭合用户群、快速选择业务、反向计费业务、阻止呼入/呼出业务及呼叫转移）以外，还可提供以下新业务：VPN、广播业务、帧中继、SNA网络环境、令牌环形局域网的智能桥功能、异步轮询接口功能及中继线带宽的动态分配等功能。另外， CHINAPAC上还可以开放电子邮件系统和存储转发传真系统等增值业务。5、TCP/IP协议体系以及网络层协议5.1TCP/IP协议层次结构TCP/IP(传输控制协议/网间互连协议)已经成为目前数据通信网的标准，除少数的专用系统(如银行内部使用SNA协议的IBM主机系统)之外绝大多数数据通信网都采用了TCP/IP协议。TCP/IP协议的内涵十分丰富，并非只有TCP和IP两个协议，它已经发展成为了一个庞大的协议家族，这里只介绍TCP/IP协议簇中的主要部分，其中有的协议也并非专为TCP/IP设计，例如部分路由协议、PPP协议等，但为了描述上的方便，我们也将其归并到这一章。TCP/IP层次结构自底向上包括：数据链路层、网络层、传送层、和应用层，如图5－1所示。 图5-1TCP/IP层次结构在TCP/IP协议簇中，链路层的协议比较多，基本上都不是专门为TCP/IP设计的，其中FR（帧中继）、ETHERNET（以太网协议）应用较多，SLIP（串行线路因特网协议）目前使用较少。严格的说，TCP/IP在网络层的协议就是IP协议，由于ICMP（因特网控制信息协议）、ARP/RARP（地址解析协议/反向地址解析协议）帮助IP协议完成寻址的功能，因而也被认为是网络层的协议。传送层的主要协议包括TCP和UDP，分别承载不同的应用我们将进行比较详细的介绍。应用层的协议相当多，包括HTTP、FTP、SMTP、TELNET协议等，另外，本章介绍的路由协议RIP（路由信息协议）、IGRP（内部网关路由协议）、EIGRP（增强型内部网关路由协议）、OSPF（开放最短路径优先）和IS-IS（中间系统到中间系统）也属于应用层协议。随着网络的发展和实际通信的需要，有很多协议是跨层次的，并不能完全和OSI参考模型或者TCP/IP层次结构对应起来。大家知道，现在可以在SDH传输网上承载数据，现在的问题是SDH在这个网络中位于哪一层，实际情况是它既有物理层的功能又有数据链路层的功能，还有一个典型的网络就是ATM，也不是能够很好和模型中的层次对应起来的。 5.2TCP/IP协议实现过程图5-2说明了以太网上的TCP/IP协议的实现过程图5－2以太网上TCP/IP实现过程首先，应用程序把信息分成一个个分组（Packet）；然后把它交给传送层打上TCP（或UDP）头，在这个层次上实现对应用类型即（TCP或UDP端口号）的标示，以便到达对方后交给相应的应用程序，同时把各个分组编上序号和确认信息，以便到达对方后能按顺序组合，并确保发生错误时可以重传；打上TCP头之后的分组再交给网络层加上源和目的IP地址，网络中的设备通过分析以上IP地址可以决定怎样转发这些分组；最后在以太网上加上帧头，以便硬件能够和这些基本的信息单位发生直接的关系，实现在物理介质上的传输。这里需要指出的是，以太网上加的帧头只具有局部意义，在整个通信过程中可能会多次变换，而网络层的源和目的IP地址则具有全局意义。 前面章节已经对链路层协议进行了介绍，下面就网络层协议（IP协议以及与之相关ARP、RARP、ICMP）进行介绍。5.3IP协议1.IP协议的包格式在TCP/IP协议标准中，各种数据格式常常以32比特（即4字节）为单位来描述。图5－3是IP协议的包格式。图5－3IP包格式一个IP包由头部和数据两部分组成，头部的前一部分长度是固定的20个字节，后面部分的长度则是可变的。下面介绍头部各字节的含义，更具体的请参见RFC791。(1)版本版本字段长4比特（或bit），指IP协议的版本。目前使用的IP协议版本为4，将来可支持IPV6。(2)头部长度 头部长度字段占4比特，可表示的最大数值是15个单位（一个单位为4字节），因此IP包的头部长度的最大值是60字节。当IP包的头部长度不是4字节的整数倍时，必须利用最后一个填充字段加以填充。(3)服务类型ToSTypeofService服务类型字段共8比特长，服务类型字段的前三个比特表示优先级，0最不重要，7最重要。第4个比特是D比特，表示要求有更低的时延。第5个比特是T比特，表示要求有更高的吞吐量。第6个比特是R比特，表示要求有更高的可靠性。第7个比特是C比特，是新增加的，表示要求选择价格更低廉的路由。最后一个比特目前尚未使用。（4）总长度总长度指头部和数据之和的长度，单位为字节。总长度字段为16比特，因此IP包的最大长度为65535字节。(5)标识、标志和段偏移这三个字段是用于IP包的分段和重组的，IP包要放在帧里面传输，但帧的大小不是随意的，每种帧的长度有个最大值，叫做最大传输单元（MTU）。如果IP包超过了帧所能承载的最大长度，则需要将IP包进行分段，在目的地重新装配成为原来的IP，包这就是分段与重组。分段之后除了第一个段，后面的则没有IP 包头，需要这三个字段的指示，进行路由和将来的重组。(6)生存时间生存时间（TTLTimeToLive），即IP包在网络上允许停留的最长时间。按照RFC1009的建议，如果路由器转发IP包的时延超过1秒，那么它将把TTL减去所消耗的时间（单位为秒）。但实际中很少这样实现，一般都将TTL做成一个跳（Hop或称驿站）计数器，每经过一个路由器其值减1。(7)协议协议字段占8比特，它指出该IP包携带的传送层数据是使用何种协议，常用的一些协议和响应的协议字段值（写在协议后面的括弧中）：是UDP（17），TCP（6），ICMP（1），EGP（8），IGP（9），OSPF（89）。(8)头部校验和此字段只检验IP包的头部，不包括数据部分。(9)地址源IP地址字段和目的IP地址字段都各占4字节。(10)任选字段任选字段用来支持排除故障、调试以及安全等，内容很丰富。此字段的长度可变，从一个字节到40个字节不等。2.IP地址我们把Internet看成为一个网络。所谓IP 地址就是给每一个连接Internet上的主机分配一个唯一的32比特地址。为了便于对IP地址进行管理，同时还考虑到网络的差异很大，有的网络拥有很多主机，而有的网络上的主机则很少。因此Internet的IP地址划分为五类，即A类到E类，如图5-4所示。IP地址由三个字段组成，即：1)类别字段（又称为类别比特），用来区分IP地址的类型；2)网络地址字段net-id；3)主机地址字段host-id。图5－4IP地址的五种类型IP地址的结构使我们可以在Internet上很方便地进行寻址，这就是：先按IP地址中的网络地址net-id把网络找到，再按主机地址host-id把主机找到。D类地址是一种组播地址，主要是留给Internet体系结构委员会IAB（InternetArchitectureBoard）使用。E类地址保留在今后使用。目前使用的大量IP地址仅A至C类三种。 为方便起见一般将32比特的IP地址中的每8个比特用它的等效十进制数字表示并且在这些数字之间加上一个点例如有下面这样的IP地址:10000000000010110000001100011111这是一个B类IP地址可记为128.11.3.31,这显然方便得多表5-1是5种类型IP地址的使用范围。3.子网和掩码子网Subnet和子网掩码SubnetMask这两个概念可以帮助我们规划网络的IP地址进一步理解IP地址的结构化设计思想。通过上面介绍，我们可以发现A类地址中每个网络中有多达1600多万个主机地址，在现实的网络中，这种方式是不合理的，一个网络不可能这么大、也不可能有这么多台机器；同时B类地址和C类地址也存在这种情况。如果能更精细地划分网络，则IP地址利用率就会提高，网络地址的管理就会更容易。 子网就是这种想法的具体体现，子网是大网中的小网，例如一个公司可能是一个大网，每个办事处可能就是不同的子网。子网的引入，增加了网络的数目，它是通过减少主机的数目实现的。以B类地址为例，前面的16位是网络地址，后面的16位是主机地址，我们可以将后面16位主机地址借4位给网络地址用，于是网络地址变成了20位，主机地址变成了12位，网络数目增加了，每个网络中能够容纳的主机数目减少了。根据我们对网络地址和主机地址概念的理解，网络地址的实现是一个IP地址和掩码运算的结果，最简单的借位方案就是以8位为单位借，例如一个B类地址可以通过下面的方法变成C类地址，这些C类地址就是子网：IP地址120.118.100.86子网掩码255.255.255.0本来对于这个B类I地址第三个字节和第四个字节不管是否相同都是一个网络，但现在子网掩码的第三个字节是255，经过IP地址和掩码地址按位“与”运算后，第三个字节的差别也不能掩盖了，一个基于B类地址的网络被分割成为256个C类子网。上述是一个比较直观的例子，网络从主机部分借了8 位地址，但从二进制的角度来看借几位都是可以的，这就是所谓的可变长掩码，这样掩码后面的部分就不一定是“255”或者“0”了，要从二进制的角度理解变长掩码，图5－5是一个二进制和十进制可变长掩码的对照表。图5－5二进制和十进制可变长掩码对照表掩码是一个由连续1和连续0组成的32比特的数，它和IP地址进行逐位与运算相当于一个筛子，掩码是1的位，则筛不下去，还保持原样，是0的位将筛除主机地址的差别，在一个网络中就可以得到相同的网络地址。对于路由器来讲，它只对经筛子筛过的部分进行路由分析，在一个子网内的主机若用筛子筛过之后是一样的，路由器就按照相同的方法处理。使用子网还有一个特点就是，子网具有局部的意义，是本企业设置的，只对企业内部的路由器起作用，对于外部来讲它是不管子网的，例如当IP地址的第一个字节是15时，就认为是A类地址，外部路由器不关心掩码情况。子网部分由企业内部路由器处理，但目前，路由器通常都采用了CIDR(Classless InterdomainRouting)技术，即使外部的路由器也关心内部的子网掩码，这样就增加了外部路由器路由表的复杂程度。5.4ARP/RARP协议ARP协议我们知道,网络层的包必须转变成为可通过物理地址区别的帧,具体的传送才能实现。ARP和RARP协议就是以太网中链路层和网络层沟通的工具。ARP协议完成的是IP地址到MAC(介质访问控制)地址的转换，MAC地址是网卡的物理地址，在制造时被固化在网卡之中，主机中每块网卡的MAC地址是不相同的，网络中通过手工进行IP地址的配置或者由DHCP(动态主机配置协议)服务器自动分配IP地址，ARP自动完成IP地址到MAC地址的转换。每一个主机都有一个ARP高速缓存(ARPCache)，里面有IP地址到物理地址的映射表，这些都是该主机目前知道的一些地址在，Windows系统中可以通过执行命令“arp–a”查看MAC和IP地址的对应关系。在一个局域网中A主机通信初始化时将通过广播的方式在网络上询问某个IP地址对应的MAC地址是什么，为了保证这个广播所有的机器都能听到，采用MAC 地址各比特全是“1”的地址广播，因为在通信中定义了这种帧是可以被所有机器接收到的。B主机发现询问的IP地址正好和自己的IP地址相同，则进行回应，在A主机中就建立了B主机的IP地址和MAC地址的对应表。举例说明，主机189.110.67.56在寻找主机189.110.58.69时，ARP协议在请求、应答通信时的基本帧结构如图5－6所示。图5－6ARP协议在请求、应答通信时的基本帧结构RARP协议RARP是一个和ARP过程正好相反的协议，ARP的作用是用IP找到MAC地址，RARP则是通过MAC地址获得IP地址。在通信中也有许多在初始化时没有IP地址的情况，MAC地址则是物理存在的。这种情况下就需要用RARP协议得到IP地址，例如在无盘工作站上，机器在启动时是通过EPROM从服务器上下载软件实现的，启动时没有IP地址，还有一种情况更为常用，就是我们在计算机中配置自动获得IP地址时也可以使用RARP协议。尽管ARP和RARP 是链路层和网络层两个相反操作的协议，但是在实现手段上却不能设计成为完全相反的过程，在目的上也不是完全相反的。首先从目的上来说，ARP是为了找到你要通信的物理目的地，RARP则是为了得到IP地址；其次从实现手段来说，ARP通过广播MAC帧的方式被所有主机听到，然后有一个主机回答你，RARP要请求得到IP地址却不能向所有主机发送，否则就乱套了，必须向特定的主机进行请求，于是在RARP中必须有RARP服务器。一句话RARP协议发送的请求帧/应答帧和ARP协议有基本相同的结构，不同的是请求帧之中MAC地址的目的地不是广播地址而是RARP服务器的地址。5.5ICMP协议IP协议在传送IP包时不保证不丢失,万一到达不了或者出现什么问题时,需要一个机制告诉相应的设备。在网络层使用ICMP(因特网控制信息协议)完成这一功能。ICMP允许主机或路由器报告差错情况和提供有关异常情况的报告。ICMP报文作为IP包的数据，加上IP包的头部，组成IP包发送出去。ICMP报文与IP包的关系如图5－7所示，ICMP报文的格式如图5－8所示。 图5－7ICMP报文与IP包的关系图5－8ICMP报文的格式ICMP报文的类型占一个字节，类型字段的值与ICMP报文的类型关系如下：ICMP报文的代码字段也有一个字节，为的是进一步区分某种类型中的几种不同的情况，后面的校验和占两个字节，它检验整个ICMP报文。 ICMP报文的类型很多，但可分为两大类，即ICMP差错报文和ICMP询问报文。在ICMP差错报文中，改变路由报文用得最多。我们以图5－9为例来说明改变路由报文的用法。图5－9ICMP改变路由报文的使用举例从图5－9可看出，主机A向主机B发送IP包应经过路由器R1，而向主机C发送IP包则应经过路由器R2。现在假定主机A启动后，其路由表中只有一个默认路由器R1。当主机A向主机C发送IP包时，IP包就被送到路由器R1，从路由器R1的路由表可查出发往主机C的IP包应经过路由器R2。于是IP包从路由器R1再转到路由器R2，最后传到主机C。显然这个路由不好，应改变。于是，路由器R1向主机A发送一个ICMP改变路由报文，指出此IP包应经过的下一个路由器R2的IP地址。主机A根据收到的信息更新其路由表，以后主机A再向主机C发送IP包时，根据路由表就知道应将IP包传到路由器R2，而不再传到默认路由器R1了。 当某个速率较高的源主机向另一个速率较慢的目的主机或路由器发送一连串的IP包时，就有可能使速率较慢的目的主机产生拥塞，因而不得不丢弃一些IP包。通过高层协议，源主机得知丢失了一些IP包，就不断地重发这些IP包。这就使得本来就已经拥塞的目的主机更加拥塞。在这种情况下，目的主机就要向源主机发送ICMP源站抑制报文，使源主机暂停发送IP包，过一段时间再逐渐恢复正常。下面介绍几个常用的ICMP询问报文：1)ICMPEcho请求报文是由主机或路由器向一个特定的目的主机发出的询问。收到此报文的目的主机发送ICMPEcho回答报文。这种询问报文用来测试目的站是否可达以及了解其有关状态。在应用层有一个服务叫做PING(PacketInterNetGroper)，用来测试两个主机之间的连通性。PING使用了ICMPEcho请求与Echo回答报文。2)ICMP时间戳请求报文是请某个主机或路由器回答当前的日期和时间.在ICMP时间戳回答报文中有一个32比特的字段,其中写入的整数代表从1900年1月1日起到当前时刻一共有多少秒。时间戳请求与回答可用来进行时钟同步和测量时间。3)ICMP地址掩码请求与回答可使主机向掩码服务器得到某个接口的地址掩码。 6、TCP与UDP协议TCP/IP协议簇中传送层有TCP（TransmissionControlProtocol）协议和UDP(UserDatagramProtocol)协议，下面分别介绍。6.1TCP协议通常，人们对IP协议比较熟悉，因为计算机使用者和IP协议打交道更直接一些，TCP协议则由设备“自动”实现，计算机使用者感觉不到TCP协议的存在和作用。TCP协议位于传送层。链路层主要解决如何实现数据封装传送，网络层实现IP包的路由等等，但对于以计算机为主的数据通信还有一些问题必须得到解决，例如流量控制和可靠性等，通信才能实现。这些功能在传送层完成。TCP和UDP协议相比，是一种更为复杂的协议。我们重点描述一下TCP的功能和实现原理，通过简单的比较可以明白UDP协议。TCP协议的主要功能有三个方面：·流量控制：通过滑动窗口实现流量控制；·可靠性：通过序号和确认机制实现可靠性；·标示上层承载的应用程序：通过端口号表示TCP承载的上层应用协议，以便把数据交给相应的应用程序处理。 TCP的报文格式如图6-1所示。图6-1TCP的报文格式下面我们详细解释各重要字段的含义：1.源/目的端口号前面两个字段的端口号是用来标示上层协议的，不同的应用具有不同的端口号，以便在通信时请求和接收数据能够交给相应的应用程序处理。TCP和UDP使用的端口号是统一分配的，功能也是相同的，在RFC1700中有对于各个端口号的描述。TCP和UDP的端口号分成三类：·低于255的端口号用于公共应用，如FTP、Telnet、SMTP和HTTP的端口号分别为21、23、25和80；·255~1023分配给各个公司；·1024及以后未做规定。 端口号分为源端口号和目的端口号，在通信中源端口号和目的端口号不必须相同。通过端口号结合IP地址，可以在全网范围内唯一标示不同地点不同的应用，应用程序对这种唯一标示的调用法则在UNIX中称为Socket，在Windows系统中称为Winsock，通过Socket和Winsock等把应用程序和网络关联在一起实现了各种应用在网络上的传送，在同一台主机上，通过TCP或者UDP的端口号，知道把报文交给哪个应用程序。2.序号和确认序号在TCP报文中，紧跟源端口号和目的端口号后面的是序号，序号和确认序号的最大值为232，也就是说，在一个TCP连接中，可以最大传送4G个数据序列。应用程序通过序号将数据进行装配，以保证数据的重传确认等。主机发送确认序号为n的报文是确认序号为n-1及之前的数据都已收到，希望对端发送序号为n的数据。举例如图6-2所示。 图6-2两台计算机之间通信和确认过程3.TCP头部长度占用4比特，单位为4字节。可知TCP头部最大长度为(24–1)×4=60个字节。4.窗口尺寸窗口在通信中是一个重要的概念，从字面上无法理解窗口的含义。当计算机进行通信时，若不确认就可能发生差错，如果每发送一个报文就需要确认一次，通信效率就会很低下，因为发送端在取得接收端的确认之后才进行发送，终端和网络处理通信过程的工作量就非常大，窗口的引入就是解决这个问题的。窗口就是发送端在未收到对方确认信号前允许发送报文的个数，显然通过调整窗口尺寸可以控制网络的流量。TCP中采用的窗口在一个通信过程中不是静止的，在TCP的会话过程中可以通过协商，调整窗口的尺寸，以更好的适应网络和应用程序的需要，我们把这种动态可调的窗口称为滑动窗口。TCP通过滑动窗口调整通信的拥塞情况。5.其它URG：置位表示报文携带了紧急数据，此时“紧急数据位置指针”字段有效。ACK：置位表示确认序号字段有效。PSH：推进数据。所谓推进是指不管对端接收窗口的情况，将发送缓冲区中的所有数据发出。 RST：复位。SYN：同步请求，请求建立连接。FIN：声明以后不再发送数据。SYN和FIN都占用一个序号，因此都需要确认。6.2UDP协议TCP协议管理连接的过程是非常复杂的，如果所有的通信都通过TCP协议进行传输，并不是很好。为此引入了UDP这种无连接的协议。UDP协议的报文格式比较简单，如图6-3所示。图6-3UDP协议的报文格式UDP报文中的各字段：·源端口号和目的端口号与TCP协议类似。·UDP报文长度字段占两个字节长度的单位是字节。·校验和字段占两个字节。UDP对报文的校验是任选的，收到的报文中若校验和为0则不进行校验，否则校验。 UDP协议在发送过程中不需要进行数据的缓存，没有连接的管理过程，在UDP模式下，通过应用程序支持的超时重传和对报文进行编号来防止重复和保证报文的有效到达，TCP和UDP协议是为满足不同特点的应用程序设计的，常用的程序中SMTP、FTP、Telnet等采用TCP协议，DNS、SNMP、组播等采用UDP协议。7、IP路由前面章节介绍的协议分别实现了报文的封装、主机IP地址和物理地址的标示以及如何控制传输过程和保证报文正确到达等问题，但是还有一个关键的问题是报文在网络中如何找到目的地。对于一个局域网网段来说，做到这一点是比较简单的，通过广播机制就可以实现。但对于Internet或者大型的企业网络来说，广播机制显然不适合，这就引出了网络中的一个重要概念――路由，路由就是查找路径，查找路径有各种各样的方法就是各种路由协议。路由协议属于应用层的协议在TCP/IP协议簇中位于Socket套接字上层如图7－1所示。图7－1路由协议在TCP/IP协议簇中的位置 7.1协议分类目前的路由协议很多，都是建立在对网络拓扑及网络规模的不同假设前提下发展起来的，不同的协议适合不同的应用场合，这就需要网络设计者和管理员对路由协议有一个全面的了解，根据实际情况选择合适的路由协议。路由协议有以下多种分类方法：·根据数据流的类型，可分成单播路由协议和多播路由协议。单播路由协议包括RIP、IGRP、OSPF、IS-IS、BGP（边界网关协议）等。多播路由协议包括DVMRP（距离向量组播路由协议）、PIM-SM（稀疏模式的协议无关组播）、PIM-DM（密集模式的协议无关组播）协议等。·根据寻径算法，单播路由协议可分成距离矢量（Distance-Vector）协议和链路状态（Link-State）协议。距离矢量协议包括RIP、IGRP、EIGRP、BGP。其中BGP是距离矢量协议的变种，EIGRP也结合了一些链路状态的算法。链路状态协议包括OSPF、IS-IS。·根据路由协议的作用范围，分成IGP（内部网关协议）和EGP（外部网关协议），其中IGP有RIP、OSPF、IGRP，EIGRP，IS-IS，EGP目前只流行BGP，从IGP和EGP的定义，顾名思义EGP适用于大型网络自治区域与自治区域之间。IGP适用于小型网络，自治区域内部。在这里强调一个概念：自治系统(Autonomous System)，自治系统指在一个管理机构维护下的路由器集合，这些路由器之间使用一个IGP协议和统一的度量，用EGP协议来计算与其他自治系统的路由。随着协议的发展，自治系统内部并不局限于使用一个IGP协议，可以是几个不同的IGP协议，只要这个系统对外呈现出一种统一的路由机制即可。同是IGP协议之间，也有区别。一般而言RIP协议适合于小型网络或网络拓扑结构简单的网络，而OSPF协议由于引入了层次结构，适合于中型网络或网络拓扑结构复杂的网络。BGP协议适用骨干网络、ISP和大型企业网。距离矢量协议和链路状态协议的主要区别在于它们传送的内容，距离矢量协议直接传送各自的路由表，各个路由器根据收到的路由表更新自己的路由表，每个路由器对整个网络拓扑不了解，它们只知道邻近的情况。而链路状态协议传送路由器之间的连接状态，这样每个路由器都知道整个网络拓扑结构。距离矢量协议在实现上比较简单，但是它的收敛速度慢，报文量大，占用较多网络开销，并且为避免路由环路得做各种特殊处理。链路状态协议则比较复杂，难管理，但是它收敛快，报文量少，占用较少网络开销，不会出现路由环路。 7.2静态路由静态路由是一种特殊的路由，它由网络管理员采用手工方法在路由器中配置而成。通过静态路由的配置可建立一个完整的网络，这种方法的问题在于：当一个网络故障发生后，静态路由不会自动发生改变，必须有网络管理员的介入。因此我们会经常听到这样的劝告不：“要使用静态路由！”，然而，对一个平滑操作的网络，静态路由在许多地方是必要的。实际上，仔细地设置和使用静态路由可以改进网络的性能，为重要的应用保存带宽。我们推荐在以下情况下使用静态路由：·在稳定的网络中使用静态路由，减少路由选择问题和路由选择数据流的过载。例如，在只有一个接口与外部相连的网络（即Stub网络）中使用静态路由。·静态路由的优点在于当构筑特大型网络时，各大区域间往往通过一到两条主链路相互连接。静态路由的隔离特征能够有助于减少整个网络中路由选择协议的开销，限制路由选择发生改变和出现问题的范围。一条静态路由有以下几个要素：(1)目的地址：用来标识IP包的目标地址或目标网络。(2) 子网掩码：和目标地址一起来标识目标网络，把目标地址和子网掩码逻辑与，即可得到目标网络。例如目标地址为129.102.8.10，掩码为255.255.0.0，则目标网络为129.102.0.0。(1)接口：说明IP包从哪个接口出去。(2)下一跳IP地址：说明IP包所经由的下一个IP地址。(3)本条静态路由加入IP核心路由表的优先级，针对同一目的地，可能存在不同下一跳的若干条路由，这些不同的路由可能是由不同的路由协议发现的，也可以是配置静态路由时被指定的。优先级高（数值小）的路由总是先被加入到核心路由表中去，用户可以配置多条到同一目的地但优先级不同的路由，在这些路由中按照优先级的顺序选取唯一的一条加入到核心路由表中。7.3RIP、IGRP和EIGRP协议RIP、IGRP和EIGRP协议是比较类似的路由协议，其中RIP是一个标准的路由协议，IGRP和EIGRP是思科（Cisco）公司开发的路由协议，IGRP采用了和RIP相同的距离矢量算法，EIGRP综合了距离矢量算法和链路状态算法两种算法。我们重点讲述RIP协议，后面将简单介绍一下IGRP和EIGRP协议。RIP协议是基于D-V算法（又称为Bellman-Ford算法）的动态路由协议。D-V是Distance-Vector的缩写，因此 D-V算法又称为距离矢量算法，这种算法在ARPANET早期就用于计算机网络的路由的计算。RIP协议在目前已成为路由器、主机路由信息传递的标准之一，已被广泛使用，如著名的路径刷新程序Routed便是根据RIP协议实现的。RIP协议所接收的路由信息都封装在UDP协议的报文中，RIP协议在520端口号上接收来自远方路由器的路由修改信息，并对本地的路由表做相应的修改，同时通知其它路由器，通过这种方式达到全局路由的有效。RIP协议分为传统RIP协议、需求RIP协议（DemandRIP）和触发RIP协议，而传统RIP协议又分为RIP-1和RIP-2两个版本。需求RIP协议和触发RIP协议与传统RIP协议的区别在于需求RIP协议和触发RIP协议支持对拨号网路由的维护，增添了几种相应的报文命令，增加了报文发送确认方式。1路由表的建立IP路由表需要一个建立过程，它的建立过程指的是它的初始化过程。任何路由器启动时，都必须首先获取一个初始路由表。不同的网络操作系统，获取初始路由表的方式不同，总的来说有三种方式：● 第一种，路由器启动时，从外存读入一个完整的路由表，长驻内存使用；系统关闭时，再将当前路由表（可能经过刷新），写回外存，供下次使用。●第二种，路由器启动时，只提供一个空表，通过执行显式命令（比如批处理文件中的命令）来填充。●第三种，路由器启动时，从与本路由器直接相连的各网络地址中，推导出一组初始路由，当然通过初始路由只能访问相连网上的主机。显而易见，无论哪种情况，初始路由表总是不完善的，需要运行过程中不断地加以补充，这就是路由表的刷新。RIP协议中的路由刷新算法是距离矢量算法，它采取的路由表的初始化方式是上述三种中的最后一种。2.距离矢量算法RIP协议基于D-V算法，算法的数学模型如下：我们用D(i,j)来表示从实体i到j的最佳开销(Metric,这里可理解为距离)，i、j可以是系统中任意一对实体，用d(i,j)来表示单个跳数的开销，也就是从i直接到j的开销，如果i与j不是直接相邻的，则d(i,j)为无穷大。这样任意两个实体间的最佳开销可以表示如下：D(i,i)=0,对所有的iD(i,j)=min[D(k,j)+d(i,k)],i不等于k时由于我们把非相邻两实体间的d(i,j)定义为无穷大,当表达式中k不是i的相邻主机或路由器时D(i,j)永远不可能为最小,故我们可以把k限定为与i 相邻。由此我们可以得出一个基于这个数学模型的计算最佳开销的简单算法：实体i接受他的邻居们k发送给它的到信宿机j的距离评价，并加上d(i,k)，在这里是通过i、k之间网络所需的开销接下来i比较来自所有邻居的信息，并选择其中最小的。可以证明在拓扑结构不变的情况下该算法在有限时间内收敛于正确的D(i,j)。3.RIP协议的实现根据D-V算法的特点，RIP协议将参加者分为主动机和被动机两种。主动机主动向外广播路由刷新报文，被动机被动地接收路由刷新报文。一般情况下，主机是被动机，路由器则既是主动机又是被动机，即在向外广播路由刷新报文的同时，接收来自其它主动机的D-V报文，并进行路由刷新。RIP协议规定，路由器每30秒向外广播一个D-V报文,报文信息来自本地路由表。RIP协议的D-V报文中，其距离以跳(Hop)计：与信宿网络直接相连的路由器规定为一跳,相隔一个路由器则为两跳,……以此类推。一条路由的距离为该路由（从信源机到信宿机）上的路由器数。为防止路由环长期存在，RIP协议规定长度为16的路由为无限长路由，即不存在的路由。所以一条有效的路由长度不得超过15。正是这一规定限制了RIP协议的使用范围，使RIP协议局限于中小型的网络中。 为了保证路由的及时有效性，RIP协议采用触发刷新技术和水平分割法。当本地路由表发生修改时，触发广播路由刷新报文，以迅速实现最新路由的广播和全局路由的有效。水平分割法是指当路由器从某个网络接口发送RIP路由刷新报文时，其中不包含从该接口获取的路由信息，这是由于从某网络接口获取的路由信息对于该接口来说是无用信息，同时也解决了两路由器间的慢收敛问题。RIP-2协议支持RIP-1和RIP-2两种版本的报文格式，RIP-2协议还提供了对子网的支持和提供认证报文形式。RIP-2协议对子网的支持是通过RIP-2报文的子网掩码字段实现的；另外，当报文中的路由项地址字段值为0xFFFF时，默认该路由项的剩余部分为认证。RIP-2协议对拨号网的支持则是参考需求RIP和触发RIP的形式经修改而加入的新功能。这时，我们只是要求在拨号网拨通之后对路由进行30秒一次的广播，而在没拨通时并不作如是要求，这是根据具体情况变通的结果。4.RIP协议的报文格式RIP协议有RIP-1和RIP-2两种格式的报文。RIP报文一共有五类。由C（类型）字段确定报文的类型，如表7-2所示。 表7－2RIP报文类型其中第1、2类报文是最重要的一对，后者是从发送该报文的路由器的路由表中取出的D-V报文。各种RIP报文的格式相同，包括一个固定的报头和一个可选的D-V表。其格式如图7－3和图7－4所示，图7－3是RIP-1的报文格式，图7－4是RIP-2的报文格式。图7－3RIP－1报文格式 图7－4RIP－2报文格式RIP-2报文格式与RIP-1的大致差不多只是每个表项所包含的内容更多，其中：1)开销（Metric）：到下一路由器的开销。2)AFI(AddressFamilyIdentifier，地址种类标识)：指示路由项中的地址种类，这里应为2。3)IP地址：RIP报文中对每一网络共有4个字节的地址空间。RIP-2报文特有的一些属性：1)路由标记:表示路由是保留还是重播的属性。它提供一种从外部路由中分离出内部路由信息的方法，用于传播从外部网关协议(EGP)获得的路由信息。2)子网掩码:应用于IP地址产生非主机部分地址.为0时表示不包括子网掩码部分。3)下一跳(Hop):在使用多路由协议的情况下用于路由的优化。此外，RIP-2协议支持 认证，因为在报文头中只提供两字节的空间，而任一合理的认证表均要求多于两字节的空间，故RIP-2认证表使用一个完整的RIP路由项。如果在报文中最初路由项AFI字段的值是0xFFFF，路由项的剩余部分就是认证。RFC2082中对MD5认证在RIP-2中的应用有详尽的描述。5.IGRP协议IGRP协议是继RIP协议之后的又一种D-V算法路由协议，在很多地方与RIP协议类似。IGRP是InteriorGatewayRoutingProtocol的缩写，是内部网关协议（IGP）的一种。IGRP协议也是一个广播型的协议，在发送报文时，采取广播的方式。但也许由于IGRP协议一度为专有协议的原因，IGRP协议并不支持组播的发送方式，这或许是IGRP协议的一个缺陷。IGRP协议的报文头格式如图7－5所示。图7－5IGRP报文头格式版本号：IGRP目前的版本只有版本1，所以在设置版本时只将版本字段设为1，其它版本的IGRP报文将被忽略。操作码：IGRP有两种报文：请求报文和修改报文，这两种报文的区别是：操作码不同。请求报文的操作码为2，IGRP的请求报文则只包含IGRP 的报文头所含的字段除了版本号、自治系统号和操作码以外的所有字段；修改报文的操作码为1，修改报文由报文头和根据路由生成的序偶（包含信宿和距离）组成，每个修改报文可以携带100条左右的路由信息，校验和字段不为零。编辑号：即报文的序号，每发送一个报文，序号增加。这个序号对接收方有效，通过该编辑号可允许网关不处理曾经见过的报文。与RIP协议相比IGRP协议主要有以下几点改进1)IGRP协议给开销（Metric）赋予了更为丰富的内容，开销包含的内容有接口的最大传输单元（MTU）、接口的带宽（Bandwidth）、接口的负载（Load）、接口的延迟（Delay）接口传输的可靠性（Reliability）等参考值。对RIP协议而言，开销仅代表路由的跳数。2)IGRP协议的开销是通过一个合理的公式计算出来的综合值。其最大值是224，RIP协议的最大值是16。从这点来说，IGRP从数值上比RIP更能适合较大型的网络，当然，IGRP通过一系列解决路由环的方案，由此来避免慢收敛问题。3)IGRP协议的定时器与RIP协议相比有些差异。RIP以每30秒的频率对路由信息进行发送，如果在180秒内没对某路由进行刷新的话，将认为该路由超时并设为不可达，对不可达路由的保持时间是120秒。 IGRP的报文发送频率为每90秒发送一次，路由的超时定时器长为270秒，保持定时器长为280秒。1)IGRP协议还支持多路由算法、多自治系统等。6.EIGRP协议简介EIGRP是增强型IGRP协议，其收敛特性和操作效率比IGRP协议有显著的提高。EIGRP协议有以下特性：1)多进程——在同一台路由器上可同时运行多个EIGRP进程，各进程之间用自治系统号区分。不同进程间互不干扰、可互相引入路由。2)快速收敛、无环路——收到的路由信息用扩散更新算法（DUAL）进行处理，生成到达各个目标网络的最短路由信息。当网络发生变化时，将重新计算路由，EIGRP的路由计算仅会涉及到必要的路由和必要的路由器，而不会扩散到全网。3)部分更新机制——仅在路由发生变化时，邻居路由器之间才进行路由信息的交换，并且只交换发生了变化的路由信息，从而减少了EIGRP协议对带宽的占用。4)邻居发现机制——路由器通过低开销的hello报文建立邻居关系，邻居之间互相交换路由信息，当网络上某台路由器失效时，其他路由器可以快速察觉并响应变化。 1)支持可变长子网掩码。2)任意路由聚合——使用路由聚合以后，对于聚合范围内的多条路由信息只向外发送一条路由信息，这样可减少占用的网络带宽，也减少了对处理器和内存资源的占用。3)适合更大范围网络——EIGRP的Metric是根据网络延时、带宽、有效带宽等参数计算出来，是一个32比特的数。EIGRP的开销（Metric）可较为准确地反映数据链路的情况，并可使EIGRP能适应大范围的网络。4)路由引入——可引入静态路由和其它协议的路由，也可引入其它EIGRP进程发现的路由。邻居的发现是通过EIGRP协议周期性地采用组播（IP地址为224.0.0.10）在各接口上发送低开销的hello报文实现的。收到hello报文的路由器会把这个路由器加入到自己的“邻居表”中，于是这两个路由器会开始进行路由信息交换。以后每次收到hello报文，路由器则认为对端路由器是“活着的”，而且可以与之交换信息。若连续一段时间没有收到对端路由器的hello报文，那么就会认为对端路由器已经失效，将之从邻居表中删除。 在两台已经建立了邻居关系的路由器第一次交换路由时，将交换所有的路由信息，此后只有当网络结构或者有路由发生了变化时，才会向外更新变化了的那一部分路由。EIGRP协议并不象RIP协议一样有定期更新路由的机制。EIGRP协议将所有收到的路由信息存放在“拓扑表”中，包括路由的目的地址、掩码、下一跳、开销等信息。而后执行DUAL(DiffusingUpdateAlgorithm，扩散更新算法)从拓扑表中挑选出最佳的、没有环路的路由加入到路由表中。DUAL算法是EIGRP协议的核心,也正是它保证了EIGRP路由计算是没有环路的。它使用DUAL有限状态机描述所有路由计算的处理过程，有限状态机保证DUAL算法可收敛。DUAL算法使用开销（Metric）来选择没有环路的有效路径。DUAL算法的基本思想是：要计算一台路由器到目标网络的开销，那么把它到邻居的开销和邻居到目标网络的开销相加，得到经由某个邻居到目标网络的开销，然后对所有的邻居进行计算并从中取最小值，就得到了路由器到目标网络的最佳开销。7.4OSPF和IS-IS协议OSPF协议和IS-IS协议都是链路状态协议，是在大型网络中广泛使用的路由协议，我们将主要介绍OSPF协议，再简要说明一下IS-IS协议的特点。OSPF协议是由IETF(InternetEngineeringTaskForce) IGP工作小组提出的，目前使用的OSPF协议是其第2版，定义于RFC1247和RFC1583。在OSPF协议中首先要建立两个概念——区域和自治系统。OSPF协议通过划分区域(Area)，构成了一个结构化的网络，这一点与RIP协议中所有的路由器都处于一个平面是不同的，路由器在区域内部交换路由信息，由区域边缘的路由器作摘要(Summary)并和其它区域的路由器交互信息。AS（自治系统）也是OSPF协议的一个重要概念.一般由一个组织建立的网络是一个自治系统,位于AS内部的路由器只关心内部的路由，出自治系统的路由由边界路由器负责,通常边界路由器之间运行BGP协议。OSPF协议是一种典型的链路状态协议,所谓链路状态是AS内部的网络结构状态,在AS内所有的OSPF路由器都维护着关于该AS结构的同一个数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的.1OSPF入门童话可以把整个网络(一个自治系统AS)看成一个王国，这个王国可以分成几个区域，现在我们来看看区域内的某一个人(你所在的机器,即根节点)是怎样得到一张世界地图(RoutingTable)的。 首先,你得跟你周围的人（同一网段如129.102）建立基本联系。你大叫一声“我在这!”（发Hello报文），于是，周围的人知道你的存在，他们也会大叫,这样你知道周围大概有哪些人，你与他们之间建立了邻居(neighbor)关系，当然，他们之间也有邻居关系。在你们这一群人中，最有威望（Priority即优先级高）的人会被推荐为首领（DesignatedRouter，指定路由器），首领与你之间是上下级关系（Adjacency，邻接），它会与你建立单线联系，而不许你与其它邻居有过多交往，他会说：“那样做的话，街上太挤了”。你只好通过首领来知道更多的消息了，首先，你们互通消息，他告诉你他知道的所有地图上的地名，你也会告诉他你现知道的地名，当然也许只有你一个点。以上通过DatabaseDescription（数据库描述报文）实现。你发现地名表中有你缺少的或比你新的东西，你会问他要一份更详细的资料，他发现你的地名表中有他需要的东西，他也会向你索求新资料。以上通过LinkStateRequest（连接状态请求报文）实现。当然，你们毫不犹豫地将一份详细资料发送给对方。通过LinkStateUpdate（连接状态更新报文）实现。收到地图后，互相致谢表示收到了。通过LinkStateAck（连接状态响应报文）实现。 现在，你已经尽你所能得到一份地图（LinkStateDatabase，连接状态数据库），你去查找地图把到所有地方的最短路（ShortestPath）记为一张表格（RoutingTable，路由表），当然以后查这份表格就知道到目的地的一条最短的路了。地图也要收好，万一表格上的某条路不通了可以通过地图去找一条新的路。其实跟你有联系的，只是周围一群人，外面的消息要通过首领来知道。因你的地图跟首领的一致，我们现假设你是首领，你要去画一份世界地图。你命令所有手下向你通报消息，你可以知道你这一群人的任何一点点小动静（Event，事件）。你手下还会有同时属于两群人的家伙(同一区内两网段)，他会告诉你另一群人的地图,当然也会把你们这一群人的地图泄露。这样,整个区的地图你知道了。通过不停地交换地图，现在，整个区的人都有同样的地图了，住在区边境上的人义不容辞地把这个区的地图精确到每一群人发送到别的区，把别的区信息发送进来。国王会把这些边境的人群命名为骨干（BackboneArea）。通过骨干人士的不懈努力，现在，整个国家的地图你都了解得一清二楚了。有些人“里通外国”（ASBoundaryRouter，自治系统边界路由器），他们知道一些“出国”（ASExternalRoute ，自治系统外部路由）的路，当然他们会把这些秘密公之与众（Import，引入），通过信息的传递，现在，你已经有一张完整的世界地图了。OSPF协议是这样标记最短路的：对于某个目的地：首先考虑是否有区域内(IntraArea)到目的地的路，如果有，则在其中取一条离你最近的(开销最小),写进你的表格中,这个目的地可能是到本群体某个人也可能是到其他群体的,对于经过其他区域的路由,你会不予考虑,跟自己人(同区域)打交道总比与外人其他区域打交道好,如果没有本区的路,你只好通过别的区域了(区域间)你只要在地图上找最近的就是了:如果你发现目的地在国外,你也只能先把它标记到你的表格上,期待什么时候王国扩张到那,你就可以把它标记到国内地图上了。OSPF协议就是这样，给你一份“世界地图”，并且在上面标记了最短的路，如此而已罢了。2.OSPF协议分析OSPF协议把整个网络(Internet上的子网或其他类型的网)看成一个自治系统(AS)，每一个AS内若干个物理上相邻的路由器(Router)、网络(Network)组成区域（Area）,这些区域内部一般是不相交的,它们划分了整个AS。区域概念的引入是为了隔离和区分AS内的各部分，并由此减少路由器必须维护的整个AS 的信息量，也就意味着减少了路由器间传输和维护的OSPF路由表的额外信息。如图7－6是一个典型的自治系统划分的例子：图7－6OSPF系统网络拓扑结构图例图中各符号的作用和含义：·Rxx代表路由器，Nx代表网络；·R1,R2,R3,R4,N1组成Area1，R3，R4是区域边界路由器（ABR）；·R7,R8,R10,N2,N3组成Area2，R7,R10,R11是区域边界路由器（ABR）；·R9.R11,R12,N4组成Area3，R11是区域边界路由器（ABR）；·Area1,Area2,Area3以及R5,R6共同组成了一个自治系统（AS），R5是自治系统边界路由器（ASBR）；·所有区域边界路由器（R3，R4，R7，R10，R11）及 R5,R6共同组成了骨干区域（BackboneArea）。下面让我们以区域为基础进行阐述。区域内部的信息可以逐步达到同步。通过向接口发送Hello报文，可以确定邻节点（NeighborNode）的存在，通过邻节点的交换信息，每个节点的连接状态数据库（LSDB）包含了整个区域的信息，而且这些LSDB包含的信息是描述相同的网络拓扑结构的。Hello报文和信息报文的定期传送，确保了整个网络结构是动态同步的。LSDB由（LSALink-StateAdvertisement，连接状态广播报文）得到，由于LSA的种类不同，可以把LSDB分成五类：·rtr_LSA由区域内路由器传送来的LSA；·net_LSA由区域内子网传送的LSA，由指定路由器DR产生；·netsum_LSA区域间传送描述网络的LSA，与asbrsum_LSA一起统称为Summary_LSA；·asbrsum_LSA区域间传送描述自治系统边界路由器（ASBR）的LSA；·ASE_LSAAS外部的LSA由ASBR产生LSA所描述的信息一般包括：·接口信息：接口ID类型（LS_TYPE ），状态（STATE）等；·网络节点信息：目的地址、掩码、所属区域、位置等·路由信息：下一跳、开销（Metric）、路由类型等；·其他信息。区域边界路由器（ABR）把本区域的信息组合成Summary_LSA。把它扩散（Flooding）到AS内其他ABR，这些收到Summary_LSA的ABR把它收到的Summary_LSA扩散到本区域内除Stub网络以外的所有节点。而所有的ABR及它们间的链路组成所谓的骨干区域（BackboneArea），它是一种特殊的区域。在骨干区域上人为定义虚连接（VirtualLink）为两个ABR的一条链路，它经过一个非骨干区域内部，这样的非骨干区域我们称之为转换区域（TransitArea）。自治系统边界路由器（ASBR）发送由其他AS发送来的ASE_LSA给本AS内部的所有节点，也将本AS内部的信息组合成ASE_LSA发送到其它ASBR。这样一来，AS内部的节点就知道了相当详尽的网络系统的信息，AS外部路由分两种，1类外部路由是ASBR引入的同等级路由协议的路由，其开销视为与AS内部路由同一级别，2类外部路由是ASBR引入的不同等级的路由，开销视为比任何AS 内部路由的开销大。一般说来，外部路由的类型是由用户手工指定的。其实，对于AS内部的路由器来说，根节点只需要知道到它的所连接的网络的路由即可，但在同一区域内部，计算路由需要知道区域内路由器与网络的连接，所以它需要知道路由器的信息。在区域外部，我们只需要知道网络信息，而路由是包括在网络信息的netsum_LSA内的。通过LSDB，每个节点可以用Dijkstra算法，求出最短树（ShortestPathTree），通过最短树它可以建立或修改路由表路由表，包含目的地址、下一跳、开销等。出于安全性考虑，OSPF协议中还包含认证过程，路由器之间必须通过某个过程来认证它们之间的通信，即在OSPF报文中加入认证字。3生成OSPF最短树和路由表以图7－7为例，求出R1的最短树（ShortestPathTree）。图7－7一个网络的带权有向图R1的最短树如图7－8所示 图7－8R1的最短树路由计算用的算法是Dijkstra算法,描述如下:·第一步:把根节点加入最短树，设根节点可直达的节点为候选人。·第二步:若候选人列表空，则最短树生成完成，否则候选人列表中选取开销最小的，加入到最短树中。·第三步：把新加入的节点所能直达的节点列为候选人。·第四步：在候选人名单里除去最短树中已出现的，回第二步。工作过程：通过LSDB可得各节点的连接状态（LinkState），利用Dijkstra算法，可由“内”向“外”，从区域内到区域间，从AS内到AS外，逐步生成最短树，进而生成路由表。在计算过程中，根据OSPF 协议的精神，以路由器附属的每一个区域为出发点，算每一个区域的最短树（相当于一个阶段性的最短树），区域的最短树包括该区域内部路由器和子网，该区域所知道的ASBR和ASE（AutonomousSystemExternal）节点，系统根据所得的区域的最短树，逐区域改进最短树，最后生成全局的最短树，改进路由表，并根据路由表的变化，调用生成和发送LSA的函数，向外发送新的连接信息。4OSPF协议与RIP协议的比较通用的路由协议除了OSPF协议，主要还有RIP协议等，将OSPF和RIP协议作一个大致的比较如下：1）网络结构不同RIP协议的拓扑是简单的“小”图，说它简单，是因为它没有系统内外，系统分区，边界的概念，它用的是不分类的路由；说它“小”，是因为它的每一个节点只能处理以自己为头的至多16个节点的链，路由以下一跳个数来描述，无法体现带宽和网络延迟，RIP适用于中小型网络。OSPF协议把自治系统分为若干个区域，通过系统内外路由的不同处理，区域内和区域间路由的不同处理方法，引入摘要Summary的概念，减少了网络数据量的传输，OSPF协议对于不同的网络连接可以人工指定或根据网络的带宽和网络延迟动态地计算开销，还把其他协议的路由或静态路由作为自治系统外部路由引入,还支持可变长度子网掩码（当然,RIP的新版本RIP-2也支持），所有这些特点保证了OSPF 协议能够被应用到大型的复杂的网络环境中。2）协议的运行有差异RIP协议运行时，首先向外广播请求报文，其他运行RIP协议的路由器收到请求报文后，马上把自己的路由表发送过来；在没有收到请求报文时，定期(30秒)广播自己的路由表，在180秒之内如果没有收到某个相邻路由器的路由表，就认为它DOWN掉了，把它从路由表中作废，120秒后清除，并广播自己新的路由表。OSPF运行时,用Hello报文建立连接,然后迅速建立邻接的关系,在建立了邻接关系的路由器中发送路由信息；以后是靠定期发送Hello报文去维持连接,相对来说，Hello报文数据量比RIP协议的路由表报文小得多,网络拥塞也少,Hello报文在广播网上10秒发送一次,在NBMA(NonbroadcastMultiaccess),PPP,虚连接上30秒发送一次,在一定时间(4倍于Hello间隔)没有收到Hello报文,在LSBD中将它置位为INFINITY,但并没有真正去掉,以备它再次有效时减少数据传输量,在它达到MaxAge(3600秒)时,真正去掉它。OSPF的路由表也重发,重发间隔是1800秒。4)使用情况不同一般说来(由统计数据得到，参看RFC1245)，OSPF协议占用的实际链路带宽比RIP 协议少，因为它的路由表是有选择的广播(只在建立邻接关系的路由器间)，OSPF占用的CPU时间比RIP少，因为OSPF协议达到平衡后的主要工作只是发Hello报文，RIP协议是发送路由表，OSPF协议用的路由器的内存比RIP协议大，因为OSPF协议相对有一个大的路由表。RIP协议在网络上达到平衡用的时间比OSPF协议多，因为它往往要发送及处理一些无用的路由信息。5.IS-IS协议IS-IS协议是ISO提出的自治系统内动态路由协议。IS-IS协议基于链路状态算法，在路由计算中使用SPF（最短路径优先）算法，它和OSPF协议很相似。集成化IS-IS则是IETF规定的IS-IS在IP协议上的一种实现，可参见RFC1195。IS-IS协议的相关术语：·IS（IntermediaSystem，中间系统）。相当于TCP/IP中的路由器，是IS-IS协议中发送传播路由信息和生成路由的基本单元。·ES（EndSystem，终端系统）。相当于TCP/IP中的主机系统，ES不参与IS-IS协议的处理，所以在IS-IS协议中可以不必考虑ES。·RD（RouteingDomain，路由域），即自治系统。在一个路由域中一群IS 通过相同的路由协议来交换路由信息。·Area（区域）。自治系统的划分单元，一个自治系统可以划分为多个区域。·LSDB（LinkStateDatabase，链路状态数据库）。所有的网络内连接状态组成了连接状态数据库，在每一个IS中都至少有一个LSDB。IS使用SPF算法，利用LSDB来生成自己的路由。·NPDU（NetworkProtocolDataUnit，网络协议数据单元）。是OSI参考模型中网络层的协议报文，相当于TCP/IP中的IP报文。·NSAP（NetworkServiceAccessPoint，网络服务接入点），即OSI参考模型中网络层的地址。用来标识一个抽象的网络层访问服务点，其描述的对象正是OSI参考模型中用以寻址的网络地址结构。IS-IS协议的典型拓扑结构如图7－9所示。 图7－9IS-IS协议典型拓扑结构图为了能支持大型网络，IS-IS协议采用了两级结构：Level-1和Level-2。将一个大的路由域分解成一个或多个区域。在区域内的路由采用Level-1级路由器来管理，Level-1级路由器负责与在同区域内的其它Level-1路由器通信：在区域间的路由用Level-2路由器来管理，所有的Level-2路由器组成内部区域的骨干网，负责在不同区域间通信。每个区域至少有一个路由器同时属于Level-1 和Level-2。当一个区域内的NPDU要发往另一个区域上的目的地，Level-1路由器首先将NPDU发到一个距本区域最近的一个Level-2路由器，而不管此NPDU的目的区域是在何处，此NPDU然后在Level-2骨干网上传送到达其目的区域level-1路由器，再通过此Level-1路由器将NPDU发到目的地。如果想了解IS-IS协议细节请参考ISO10589。7.5BGP协议BGP是一种自治系统间的动态路由发现协议，是BorderGatewayProtocol的缩写。它的基本功能是在自治系统间自动交换无环路的路由信息。BGP协议被经常用于ISP之间。BGP协议从1989年以来就已经开始使用。它最早发布的三个版本分别是RFC1105（BGP-1）、RFC1163(BGP-2)和RFC1267(BGP-3)，当前使用的是RFC1771(BGP-4).BGP-4协议适用于分布式结构并支持无分类区域间路由CIDR(ClasslessInterdomainRouting)，BGP-4协议正迅速成为外部网关协议EGP的事实标准。其特性描述如下：BGP协议与OSPF、RIP等内部网关协议（IGP ）不同，其着眼点不在于发现和计算路由，而在于控制路由的传播和选择最好的路由。·通过携带AS路径信息，可以彻底解决路由循环问题。·使用TCP作为其传送层协议，提高了协议的可靠性。·BGP-4协议支持CIDR，这是对BGP-3协议的一个重要改进。CIDR以一种全新的方法看待IP地址，不再区分A类网、B类网及C类网。例如一个非法的C类网络地址192.213.0.0（掩码：255.255.0.0）采用CIDR表示法192.213.0.0/16就成为一个合法的超级网络，其中/16表示子网掩码的开头16比特为1而后面的比特为0。CIDR的引入简化了路由聚合（RouteAggregation），路由聚合实际上是合并几个不同路由的过程，这样从通告几条路由变为通告一条路由，减化了路由表。·路由更新时，BGP协议只发送增量路由，大大减少了BGP传播路由所占的带宽，适用于在Internet上传播大量的路由信息。·配置BGP协议需要对网络现状和BGP协议本身非常了解，BGP协议需要手工指定相邻节点，在相邻节点内传送信息：需要指定路由策略，使路由选择符合用户的需求。同时，由于BGP协议中影响路由状态的参数很多，需要根据实际情况指定诸如优先级等。图7-10是一个BGP 协议拓扑结构图的例子，中国、日本、美国各为一个自治系统，自治系统内部运行IGP（OSPF、IS-IS协议等），通过BGP协议可以实现北京到达华盛顿的路由选择，而北京并不需要知道日本、美国自治系统的内部构造。图7－10BGP协议拓扑结构图示例BGP系统作为高层协议运行在一个特定的路由器上。系统初启时通过发送整个BGP路由表交换路由信息，之后为了更新路由表只交换更新消息（UpdateMessage）。系统在运行过程中，是通过接收和发送Keep-alive消息来检测相互之间的连接是否正常的。发送BGP消息的路由器称为BGP发言人（Speaker），它不断的接收或产生新路由信息，并将它通告（Advertise）给其它的BGP发言人。当BGP发言人收到来自其他自治系统的新路由通告时，如果该路由比当前已知路由好、或者当前还没有可接受路由，它就把这个路由通告给自治系统内所有其它的BGP发言人。一个BGP发言人也将同它交换消息的其它BGP 发言人称为同伴Peer，若干相关的同伴可以构成同伴组（Group）。BGP在路由器上以下列两种方式运行：IBGP（InternalBGP）、EBGP（ExternalBGP）。当位于同一自治系统（AS）内的路由器交换网络可达性信息时，它们运行IBGP；当位于不同AS内的路由器交换网络可达性信息（NLRINetworkLayerReachabilityInformation）时，它们运行EBGP。BGP系统是通过消息驱动的其消息共分为四类：OpenMessage、UpdateMessage、NotificationMessage、Keep-aliveMessage。OpenMessage是连接建立后第一个发送的消息，它用于建立BGP同伴间的连接关系。NotificationMessage是错误通告消息。Keep-aliveMessage是用于检测连接有效性的消息。UpdateMessage是BGP系统中最重要的消息，用于在同伴之间交换路由信息。7.6组播路由协议 数据通信网的数据流向有三种情况：单播、广播和组播。前面我们谈论的路由协议都是单播路由协议，网络应用单播的情况最多。广播就是网络上所有的人都能听到，一般在局部实现广播，例如一个以太网或者一个由某个组织管理的网络中对所有人下发通知。组播就是一组人可以接收信息，而另外的却不能，广播也可以理解成为组播的一个特例，但在网络实现上是不同的，广播没有限制，组播有限制和规则。组播路由协议包括以下两类：·作为IP组播基本信令协议的IGMP（InternetGroupManagementProtocol，因特网组管理协议）；·实现IP组播流寻径的协议，如DVMRP（DistanceVectorMulticastRoutingProtocol，距离向量组播路由协议）和PIM（Protocol-IndependentMulticast，协议无关组播）协议。1.IGMP协议IGMP协议是负责IP组播的成员管理的协议。用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。IGMP不包括组播路由器之间的组成员关系信息的传播与维护。所有参与组播的主机必须实现IGMP协议，IGMP协议是IP组播路由协议的直接支持协议。IGMP使用组地址，也就是D类IP地址（介于224.0.0.0到239.255.255.255之间）。其中地址224.0.0.0保留而不分配给组，地址224.0.0.1分配给子网中的所有主机系统，地址224.0.0.2分配给子网中所有路由器。IGMP的版本1和版本2分别对应RFC1112和RFC2236。 IGMP协议的特点：·作为负责IP组播的成员管理的协议，在成员主机与组播路由器之间使用，使路由器掌握每个接口上每个组是否有成员；·组播成员可动态加入或退出；·组播路由器不关心LAN上的成员主机清单，只要存在成员则向网段转发。IGMP协议不维护组播地址与主机IP地址的映射表。2.DVMRP协议DVMRP协议是一个基于距离矢量（D-V）算法的动态组播路由协议，为IP网络上的无连接的报文组播提供路由服务。DVMRP是一种密集模式的组播路由协议，即通过使用RPF（Reverse-PathForwarding，逆向路径转发）检查和扩散-剪枝Flood-and-Prune的机制建立基于源的组播转发树。DVMRP协议通过发送探测消息来进行邻居发现，之后通过路由交换来进行单播寻径和确定上下游依赖关系。DVMRP 路由器缺省认为所有与之具有依赖关系的下游的节点都愿意接收组播包。当组播源第一次发送组播报文时，沿着源的组播分发树向下转发组播报文，当叶子路由器不需要组播报文时，它朝着组播源发送剪枝消息，对组播分布树进行剪枝，借此来去除不必要的通信量。上游路由器收到剪枝消息以后将收到此消息的接口置为剪枝状态，停止转发数据。剪枝状态管连着超时定时器，如果定时器超时，剪枝状态又重新变成转发状态，组播数据得以再次沿着这些分支流下。另外，如果剪枝区域内出现了组播成员，为了减少反应时间，下游不必等待上游剪枝状态超时，而主动向上游发送嫁接Graft报文，以使剪枝状态变为转发状态。由于几个因素的制约，如网络尺寸限制（32跳）、单播路由的慢收敛和定期路由更新机制，DVMRP协议不适用于网络规模较大的组播环境中。DVMRP协议的特点：·DVMRP协议通过路由交换形成自己的单播路由表，不必依靠其他的单播路由协议。·路由和组地址带掩码，可指示网络路由或主机路由，可用聚合的网络路由压缩路由表。·每个组播源都构造一个最小生成树作为路由树。树信息分布在相关节点，不存在一个掌握完整树信息的节点。·路由交换包含毒性逆转Poison-Reverse功能，使上游路由器获知哪些路由器在下游，从而在实施RPF时可实现优化转发。 ·使用虚接口概念，除了普通的物理接口外，还支持组播IP隧道。3.PIM协议PIM协议不包含自己的路由交换功能，而是直接利用单播路由表。PIM协议分为PIM-DM（Protocol-IndependentMulticast-DenseMode，密集模式的协议无关组播）和PIM-SM（Protocol-IndependentMulticast-SparseMode，稀疏模式的协议无关组播）协议，分别适用于在网络内接收成员密集分布即大量网段都包含需要接收组播的主机和稀疏分布的情况。(1)PIM-DM协议PIM-DM类似DVMRP，适用于带宽比较充裕的中小型网络，如校园网。PIM-DM协议采用RPF技术，利用现存的单播路由表构建一棵从数据源始发的组播转发树。简单地说，就是当一个组播包到达的时候，路由器首先判断到达路径的正确性。如果到达端口是单播路由指示的通往组播源的端口，那么这个组播包被认为是从正确路径而来；否则，这个组播包将作为冗余报文而被丢弃，不进行组播转发。作为路径判断依据的单播路由信息可以是任何一种单播路由协议如RIP、OSPF发现的路由信息，而不依赖于特定的单播路由协议。PIM-DM 协议缺省认为网络上的所有主机都准备接收组播数据，平时各运行PIM-DM协议的网络节点之间使用Hello报文保持相互之间的联系，当组播源开始发送组播数据时，数据沿转发树向网络上所有下游PIM-DM节点转发，没有数据转发需要的节点用剪枝报文通知上游路由器不用再向下游节点转发数据，该机制称为扩散-剪枝过程。当被剪枝的下游节点需要恢复转发状态时，使用嫁接报文通知上游节点。各个被剪枝的节点同时提供了超时机制，当剪枝超时时，恢复为准备接收数据。PIM-DM的扩散-剪枝机制周期性不断进行。PIM-DM协议的特点：·无路由交换和发现功能，使用单播路由表。·转发路由开始时没有优化，会有很多IP包重复发送到无需发送的分支。·简单，独立，易于使用和管理。(2)PIM-SM协议PIM-SM协议主要适应于组成员的分布相对分散、范围较广、带宽资源有限的网络。与密集模式的扩散-剪枝不同，PIM-SM通过设置RP（RendezvousPoint，汇聚点）和BSR（BootstrapRouter，引导路由器）向所有PIM-SM路由器通告组播信息，并利用路由器的显式加入-剪枝信息，建立起RPT（RP-rootedsharedTree ，基于汇聚点的共享树），从而减少数据报文和控制报文占用的网络带宽，降低路由器的处理开销。多播数据沿着共享树流到加入该多播组的网段。当数据流量达到一定程度，多播数据流可以切换到基于源的最短路径树（SPT），以减少网络延迟。PIM-SM协议假设所有路由器除非存在传送的显式请求，否则不向组播组发送组播包。当主机加入一个组播组时，直接连接的路由器便向汇聚点（RP）发送PIM加入报文。这一汇聚点保持对组播组的跟踪。运行PIM-SM协议，需要配置候选RP和BSR，BSR负责收集候选RP发来的信息，并把它们广播出去。PIM-SM协议的特点：·无路由交换和发现功能，使用单播路由表。·对于多个组播组内的每个源只有一棵共享的路由树。·成员可在共享树构建完成后，改为针对某个发送者的独立的最小生成树。·PIM-SM协议实行按需转发，可保证IP包只传输到真正需要它的网段，所以适合在接收者稀疏分布的大型网络如（Internet）上使用。8、Internet应用 8.1电子邮件E-mail电子邮件是一种利用计算机和数据通信来传递信息的现代化手段，它是Internet最基本的服务项目之一。用户可以通过电子邮件与具有电子邮件地址的亲人、朋友、同事进行通信。除了一般文字性的电子邮件外还可以传递经过计算机处理的电视图像照片、音乐等多种信息。利用电子邮件功能我们不仅可以进行一般意义上的数据传输，而且还可以进行数据库的查询，这种查询是利用信息咨询服务中心安装的邮件服务器软件来进行的。由于大多数E-mail软件都有自动响应电子邮件的功能，因此只要被访问的计算机装有相应的软件就可以借助电子邮件系统来提供其它远程服务。利用E-mail可以实现对计算机数据库资源的访问，另外，还可以实现下面将要介绍的文件传输FTP功能。在Internet上有许多免费的FTP代理转发站，用户只要向这些代理转发站发送一封邮件告诉它所需要的文件所在的站点路径和文件名，这些转发站就会首先把这些文件下载下来然后再用电子邮件的形式给需要此文件的用户发回。8.2文件传输FTP文件传输可以直接传送任何类型的文件，其中包括ASCII 码的文本文件、压缩文件、可执行程序文件、图象和语音文件等文件，传输时把上述文件分成文本文件和二进制文件两类，前者又称ASCII码文件，其内容为一系列ASCII码字符，通常文件名以.TXT为后缀，除ASCII码文件外其余文件均称作二进制文件。由于两类文件的数据结构不同，故文件传输时必须指明传输的是哪一类文件，如果以ASCII码形式传送二进制文件，得到的拷贝将是无法辨认的乱字符；反之以二进制方式传送ASCII码文件则会扩大原文本文件的大小降低传输速率浪费磁盘空间。8.3远程登录Telnet远程登录是指把本地计算机通过Internet连接到一台远程主机上，登录成功后本地计算机完全成为对方主机的一个远程仿真终端用户，这时本地计算机就如远程主机的普通终端一样，它能够使用的资源和工作方式完全取决于该主机的系统，要实现远程登录，本地计算机需运行TCP/IP通信协议Telnet或称远程登录应用程序。一般情况下一台主机装载有多种服务器程序如WWWGopherFTP、Telnet 等，以便提供多种服务。每个服务器程序都有一个专门的端口号，当客户机向该服务器提出请求后，网络通信软件根据客户机提出请求时说明的端口号来决定启动哪一个服务器程序。当然这个端口是由通信软件构成的，虚拟端口并不是硬件插孔，因此一个客户程序在服务器上登录时，除去说明地址表示与哪台服务器相连外还要说明端口号以便指出启动哪一个服务器程序。在实际操作中对于经常使用的应用程序这些端口号都是标准的，也是系统默认的，故使用时可以省略。常用程序的标准端口号可以在RFC的AssignedNumbers文件中查到例如Telnet为23，FTP为21，Gopher为70等，但是在Internet上有些主机为了缩小提供远程登录的服务范围，可以不以标准的端口号（如前述的23）提供远程登录服务，这就是所谓非标准的Telnet。如果要登录到这些主机上去，除了主机地址用户名和口令之外还要指明特殊的端口号。如前所述可以用不同的端口号登录到不同的服务程序上。当然，这需要是该项业务的合法用户有，相应的用户名和口令。此外用Telnet登录方法可以帮助检查系统故障，例如用WWW应用程序不能登录到某服务器上，使用Telnet却可以登录这说明可能是服务程序出现故障，如果两者均不能登录，则可能是服务器出现故障。8.4万维网WWWWWW是WorldWideWeb英文的缩写，也称Web或3W 。中文就叫万维网它是Internet上一个超文本信息服务系统，或者说它是一个分布式异构多媒体信息系统。WWW之所以形成全球热是因为它有许多特点：(1)使用超文本Hypertext和超媒体Hypermedia技术；(2)使用超文本标记语言HTML；(3)采用客户机/服务器模式；(4)功能强大使用简单方便。8.5其它应用HTTPS、DNS(实际申请DNS情况)、PORTAL、SNMP、RADIUS、NTP、Rlogin、TFTP、NFS。9、网络安全与防火墙9.1什么是防火墙在大厦构造中防火墙Firewall被设计用来防止火。从大厦的一部分传播到另一部分网络的防火墙服务于类似目的，可以这样讲：网络的防火墙是位于两个网络的必经之路上并起防御作用的系统。通常防火墙安装或设置在一台或多台计算机或路由器中对内部网络提供保护防止Internet的危险传播到你的内部网络如图9-1所示。 图9－1防火墙在网络中位置示意图防火墙一方面阻止来自Internet的对内部网络的未授权或未认证的访问；另一方面允许内部网络用户对Internet进行Web访问或收发E-mail等。防火墙也可以作为一个访问Internet的权限控制关口，如：允许组织内特定的人可以访问Internet。现在的许多防火墙同时还具有一些其它特点，如：进行身份鉴别、对信息进行加密处理等等。防火墙不单用于对Internet的连接也可以用来在企业网络内部保护大型机和重要的资源，如：数据对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自企业内部。9.2防火墙的发展历程防火墙技术是一门年轻但快速成长的技术。防火墙技术的主要发源地是构建并最早使用Internet的美国。大约在1985年采用包过PacketFilter的第一代防火墙出现。但直到1988年有关包过滤防火墙的介绍文章才首次见诸公开媒体。在1989和1990年由贝尔实验室的两位科学家首先提出电路级防火墙“Circuit-levelFirewall”这便是第二代防火墙。在1990和1991年有关应用层防火墙的研究成果首先由普度Purdue大学的GeneSpafford、贝尔实验室的BillCheswick和另外一位美国人MarcusRanum分别发表在MarcusRanum。研究成果的基础上应用层防火墙的第一个商业化产品SEAL在DEC公司诞生。此后基于包过滤和应用层的各种防火墙技术迅速发展形成新一代的防火墙。 9.3防火墙的分类防火墙技术多种多样，这里仅以一种简单的眼光将防火墙分为包过滤防火墙、电路级防火墙和应用层防火墙三种：(1)包过滤PacketFilter防火墙对每个数据包按照用户所定义的进行过滤，如：比较数据包的源地址目的地址是否符合规则等，包过滤不对数据包的内容进行分析如：用户规定允许端口号是21或者大于等于1024的数据包通过，则只要端口号符合该条件数据包便可以通过此防火墙。如果配置的规则比较符合实际应用的话在这一层能够过滤掉很多有安全隐患的数据包。通常包过滤针对以下要素对数据包进行控制(即允许通过还是禁止通过)：数据包到达的物理网络接口、源和目的IP地址、传送层协议类型如TCPUDP协议等、传送层源和目的端口号在实际的路由器上包过滤一般是通过配置访问控制列表ACL实现的，由于包过滤防火墙技术简单有效目前在实际中普遍使用。(2)电路级防火墙CircuitLevelFirewall此电路指虚电路，电路级网关只对连接或虚电路在会晤Session层进行认证，一旦认证通过在该连接上可以运行任何一个应用程序。此外，电路级防火墙可以与网络地址转换NAT结合使用，通常电路级防火墙针对以下要素对连接或虚电路进行控制：报文进/出的物理网络接口、源和目的IP地址、此连接的唯一会晤标识SessionIdentifier、此连接的当前状态即握手建立和关闭和顺序信息由于电路级防火墙存在难以制定允许或禁止通过规则等诸多缺陷，使得电路级防火墙在实际中较少应用。(3)应用层防火墙ApplicationLayerFirewall应用层防火墙对整个信息流进行分析。与其它防火墙不同，应用层防火墙检验通过它的所有报文中的应用层数据，诸如：用户口令和服务请求信息等。一般来说应用层防火墙由专用软件和代理Proxy服务部分组成，其中防火墙主要通过代理服务部分实现。代理服务部分与它处理的服务协议(如HTTP、FTP)密切相关，它提供访问控制(AccessControl)、应用层数据检验并生成审计记录供日后检查。 代理服务部分包括代理服务器端和代理客户端。代理服务器端直接面对内部网络用户，当内部网络用户提出需要Internet的某项服务如HTTP或FTP请求时，由代理服务器端根据预先设定的管理规则对该请求作出接受或拒绝的决定，同时代理服务器端还具备熟悉所管理的服务协议，生成审计记录和提供高速缓存(Cache)等功能。代理客户端直接面对Internet上的服务器，当内部网络用户的服务请求被代理服务器端接受以后，即由代理客户端充当“代理人”的角色与Internet上的服务器进行信息交互，同时将返回的信息通过代理服务器端发给内部网络用户。由于应用层防火墙工作于网络高层，通常要检查的内容较多、较细，因此相对来说效率要低一些，针对应用层防火墙存在的缺陷，现在已经开发出许多新型防火墙，限于篇幅，这里不再介绍。9.4一些常见的网络攻击方法要设计一个好的防火墙必须对一般的网络攻击方法有比较全面的了解下面是一些常见的网络攻击方法(1)IP地址伪装IPSpoofing：攻击方发出的数据包中的源地址改成受攻击方的网络地址向该网络发送数据包；(2)IP抢劫IPHijackingIPSplicing：攻击者中途截取一个已经连接成功的会晤Session，攻击通常发生在用户身份被认证后，这样攻击者看起来是一个合法用户。对于这种攻击的最主要的防范方法是对网络层或会晤层传送的数据进行加密；(3)Smurf：攻击方通过第三方网络介以一伪造的地址将数据包传入，大量的数据包使得网络处理能力迅速下降直至崩溃。这种攻击很难查出攻击者；(4)DumpsterDiving：通过搜寻公司的垃圾文件以获得口令等敏感性数据；(5)War-dialing：通过不断快速的枚举法来获得用户帐号和口令。这是一非常古老的方法但现在使用它的逐渐又多了起来，如对于采用密钥长度为56位的DES加密的数据可以在一个月之内被破译。按照目前的计算速度对于40位或48位的则只需几个小时或几天。DES是使用最广泛的加密技术。(6) 利用操作系统缺陷利用系统中漏洞直接对系统进行攻击，如蠕虫病毒是利用finger命令中的Bug令缓冲区溢出再将控制转移到自己的程序中，还可以利用系统缺陷绕过防火墙的检验直接获取数据。(7)拒绝服务DenialofService：特征是攻击者通过各种方法使合法的用户不能使用某种服务，一些拒绝服务攻击被称为非对称攻击，特点是攻击方利用有限的资源去攻击一个比较大的网络，如攻击者可能利用一个低速的Modem将一个大型的网络搞垮，拒绝服务攻击有三种比较基本的攻击方法：消耗有限资源如目标机器的数据结构运行进程等、毁坏或者更改配置信息、对于网络的物理组件进行破坏或者更改。9.5网络地址转换NAT网络地址转换NAT用来实现私有网络地址与公有网络地址之间的转换。1.私有网络地址和公有网络地址私有网络地址是指内部网络的主机地址；而公有网络地址是指Internet上的全球唯一的IP地址，Internet地址分配组织规定以下三个网络地址范围保留用作私有地址：10.0.0.0~10.255.255.255172.16.0.0~172.31.255.255192.168.0.0~192.168.255.255也就是说以上网络地址不会在Internet上被分配但可以在一个企业内部使用。各个企业根据在可预见的将来主机数量的多少来选择一个合适的网络地址，不同的企业他们的内部网络地址可以相同。如果一个企业选择其它的网段作为内部网络地址则有可能会引起路由表的混乱。2.网络地址转换的简单说明当使用私有网络地址的内部网络的主机访问Internet或与外部网络的主机通信时需要用到网络地址转换如图9-2所示： 图9－2网络地址转换示意图内部网络地址是10.0.0.0，网段对外的正式IP地址203.196.3.23内部主机10.1.1.48以WWW方式访问Internet上的WWW服务器202.18.245.251，主机10.1.1.48发出一个报文选择源端口号6084，目的端口号80在通过具备NAT功能的路由器后，该报文的源地址和端口号改为203.196.3.23和32814目的地址与端口号不作改变，当WWW服务器返回结果时该路由器会将返回报文中的目的地址及端口号转化为10.1.1.48和6084，这样内部主机10.1.1.48就可以访问Internet上的WWW服务器了。3.网络地址转换的优缺点网络地址转换的优点在于：1)内部网络的主机可以通过该功能访问Internet资源，提供了解决Internet地址短缺的有效手段，为内部主机提供了部分隐私Privacy保护；网络地址转换的缺点在于由于需要对报文进行IP地址的转换，涉及IP地址的数据报的报头不能被加密，在应用层协议中不能使用加密的FTP连接，否则FTP的port命令不能被正确转换2)网络调试变得更加困难,比如某内部主机试图攻击其它网络,则很难指出究竟是哪一台机器是恶意的,因为主机的IP地址被屏蔽了.备注说明：经常有人搞不清网络地址转换NAT代理服务器和域名系统DNS的区别，其实区别是非常明显的：(1)NAT负责私有和公有IP地址之间的转换，它对源和目的主机来说是透明的就是说，它通过具有NAT功能的设备自动完成，可以认为NAT 工作在第三网络层。(2)代理服务器对源和目的主机来说不是透明的，源主机必须事先做好设置并在需要时向代理服务器提出服务如HTTP请求，而目的主机也认为它是在跟代理服务器打交道，另外在代理服务器上可以配置防火墙和NAT，代理服务器通常工作在第四传送层或以上。(3)DNS负责域名如www.huawei.com和IP地址的相互转换，是一个提供域名和IP地址映射的分布式数据库系统，可以认为，DNS工作在应用层。9.6AAA和RADIUS协议AAA是认证授权和计费Authentication,AuthorizationandAccounting的简称，它提供了一个用来对认证授权和计费这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理，这里的网络安全主要指访问控制包括：哪些用户可以访问网络服务器、具有访问权的用户可以得到哪些服务、如何对正在使用网络资源的用户进行计费。认证授权和计费各自的作用分别是：认证Authentication认证用户是否可以获得访问权、授权Authorization授权用户可以使用哪些服务、计费Accounting记录用户使用网络资源的情况。RADIUSRemoteAuthenticationDialInUserService协议被设计用于AAA。在1996年5月RADIUS协议开始被IETF认可为AAA方面的工业标准。1.RADIUS协议的客户机/服务器结构RADIUS协议采用客户机/服务器Client/Server结构，客户端通常运行于接入服务器AccessServer上，它的职责是将用户的信息发送到指定的RADIUS服务器，是连结用户和RADIUS服务器之间的桥梁。RADIUS服务器通常运行于工作站或服务器上，其职责是接收客户端发来的用户认证请求。信息完成对用户的认证同时将提供服务所需要的配置信息返回给客户端并对用户开始进行计费。RADIUS服务器数据库中的相关安全信息采用了集中存放的方式避免安全信息凌乱散布带来的不安全性，同时更可靠且易于管理；2.RADIUS协议工作流程RADIUS客户端会为每个拨号用户建立一个会晤Session 过程并把第一次服务的开始作为会晤起点，将服务的结束作为会晤终点。RADIUS协议工作流程如图9－3所示，其中A8010表示接入服务器即RADIUS客户端，TA表示ISDN终端适配器。图9－3RADIUS协议工作流程RADIUS协议工作流程：(1)用户拨号上网接入A8010；(2)A8010从用户那里获取用户名和口令，将其同用户的一些其它信息如接入号码打包向RADIUS服务器发送，该报文称为认证请求Access-Request报文；(3)RADIUS服务器收到认证请求报文后首先通过共享密钥判断A8010是否已经在本服务器登记注册，如果已经注册则根据报文中用户名口令等信息认证用户是否合法，如果用户非法则向A8010发送访问拒绝Access-Reject报文；如果用户合法那么RADIUS服务器会将用户的配置信息如IP地址打包发送到A8010，该报文称为访问接受Access-Accept报文；(4)A8010收到访问接受/拒绝报文后首先判断报文中的数字签名是否正确，如果不正确就认为收到了一个非法报文则丢弃该报文；如果数字签名正确那么A8010会接受用户的上网请求并用收到的信息对用户进行配置；(5)在用户通过认证之后A8010向RADIUS服务器发送一个计费开始请求报文，RADIUS计费过程开始；(6)RADIUS服务器收到后根据用户类别进行响应；(7)在用户下网之后A8010向RADIUS服务器发送一个计费停止请求报文，信息包括接收发送字节数、会晤时间及挂断原因等；(8)RADIUS服务器收到后同样要给予响应；3.其它 RADIUS协议使用UDP作为传送协议同时使用了两个UDP端口号分别用于认证和计费，在RADIUS的协议文本RFC2138和RFC2139中规定1812作为认证端口号，1813为计费端口号。在RADIUS服务器上通常要维护三个数据库，一个用于存储用户信息包括用户名口令以及使用的协议IP地址等，配置一个用于存储接入服务器的信息包括所认可的接入服务器以及它们间的共享密钥；另外一个数据库存储的信息用于解释RADIUS报文的属性三元组；RADIUS报文的数据部分由一个个的属性三元组组成，属性三元组由属性编号，整个属性的长度和属性值构成如图9－4是一个用户名User-Name属性三元组的示例：图9－4属性三元组示例9.7虚拟私有网VPN虚拟私有网VPN是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销销售和售后服务乃至培训合作等活动。许多企业趋向于利用Internet来替代它们的私有网络，这种利用公用网络主要是指Internet来传输私有信息而形成的逻辑网络就称为VPN。VPN可以使ISP扩大业务提供增值服务，同时企业也因此节省了网络建设费用，低成本地将网络延伸到世界的各个地方，如图9-5所示： 图9－5企业借助VPN将网络延伸VPN的实现技术尽管有多种，但都可以归纳为隧道技术，有人形象的描述VPN，把公用网络比喻成一朵云，VPN就是在云彩之中拉根线，这种拉线的方法就是建立隧道的过程，即在公用网络中建立专用的通道。1.VPN的分类可以有许多角度对VPN进行分类：(1)从建立隧道的角度分为二层隧道VPN和三层隧道VPN所谓二层隧道或三层隧道就是在网络的二层数据链路层或三层网络层制定规则，将私有企业网络中的数据流在公用网络上传送，由于隧道是VPN的技术基础，理解隧道是理解VPN的入口，因此下面将会重点针对二层隧道协议和三层隧道协议进行介绍；(2)从实现技术的角度分为基于传统技术的VPN和基于MPLS的VPN，由于采用新的MPLS技术实现的VPN比较特殊，所以将其与传统的VPN技术区别开来；(3)从发起和终止的角度基于网络隧道发起和终止方的不同分为基于用户设备的VPN和基于网络的VPN。基于用户设备的VPN可由企业自己设置路由器实现；基于网络的VPN由ISP设置并管理；(4)从应用范围的角度分成以下三种：AccessVPN，即用户拨号方式的VPN， 主要解决个人移动用户和家庭用户办公；IntranetVPN通过公用网络进行企业网络互连，是传统的企业专用网络的扩展或替代形式；ExtranetVPN是指利用VPN将企业网络延伸至合作伙伴与客户；(5)从IETF的角度IETF从应用上将VPN分成四种：1)拨号VPN(VirtualPrivateDialNetwork)指用户利用拨号网络访问企业数据中心,用户从企业数据中心获得一个私有地址，但用户数据通过公用网络进行传送，可利用PPTPL2FL2TP协议实现；2）虚拟专线VLL（VirtualLeaseLine），最简单的VPN类型，两端之间通过IP隧道仿真出一条专线，它可利用GREL2TPIPSecMPLS等协议实现；3)路由VPN(VirtualPrivateRoutedNetwork)，企业可以利用公用网络建立自己的私有企业网络，用户可自由规划企业各分支机构之间的地址、路由、策略、安全机制等，实现协议包括GREL2TPIPSecMPLS等；4)局域网VPN(VirtualPrivateLANSegment)，是指将远程的LAN通过Internet仿真出一个局域网；以上从五个角度介绍了VPN的分类有助于比较全面的了解VPN。在设计和规划VPN时清楚上述分类是重要的，可以使我们从不同的角度认识和评价VPN，设计适合自身需要的VPN。2.二层隧道协议二层隧道协议主要有PPTPL2F和L2TP·PPTPPoint-to-PointTunnelingProtocol点对点隧道协议是由PPTP论坛开发的点到点的安全隧道协议1996年成为IETF草案。PPTP的缺点是它只支持IP作为传输协议·L2FLayer2Forwarding二层转发协议是由Cisco公司在1998年5月提交给IETF的RFC2341对L2F有详细的阐述·L2TPLayer2TunnelingProtocol二层隧道协议是由IETF起草Cisco原AscendMicrosoft3Com等众多公司参予制定的。RFC2661对L2TP进行了介绍L2TP结合了PPTP和L2F的优点作为更新更优的标准受到众多厂商的支持。 二层隧道协议的主要优点是协议简单易于加密，特别适宜于为远程拨号用户接入提供虚拟PPP连接。3.三层隧道协议三层隧道协议目前主要有GRE、IPSec：GRE(GenericRoutingEncapsulation)，基本路由封装是对某些网络层协议如IPIPXAppleTalk等的数据包进行封装，使这些被封装的数据包能够在另一个网络层协议如IP中传输。GRE是三层隧道协议中最常用的协议在RFC1701中有详细的阐述。IPSec(InternetProtocolSecurity，安全IP)，由IETF制定，是一组开放协议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性完整性和真实性。IPSec包括AHAuthenticationHeader和ESPEncapsulatingSecurity、Payload这两个安全协议。IKEInternetKeyExchange密钥管理协议和用于网络验证及加密的一些算法等，IPSec规定了如何在对等层之间选择安全协议，确定安全算法和密钥交换向上提供了访问控制数据源验证数据加密等网络安全服务。三层隧道协议由于是IPinIP，在可靠性及可扩展性方面均优于第二层隧道协议，特别适宜网络互连，但对于移动用户来讲三层隧道协议就没有二层隧道协议，简单和直接。4.VPN的优点与专用网络相比VPN的主要优点在于：(1)降低成本众所周知使用Internet只需付本地电话费却可以收到长途通信的效果。因此借助ISP来建立VPN就可以节省大量的通信费用。此外，VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备，这些工作都由ISP来完成；(2)容易扩展如果企业想扩大VPN的容量和覆盖范围，企业需做的事情很少，只需与新的ISP签约建立帐户或与原有的ISP重签合约扩大服务范围；(3)可随意与合作伙伴联网在过去企业如果想与合作伙伴联网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线，路有了VPN之后这种协商也毫无必要，真正做到了要连就连要断就断；(4)完全控制主动权 VPN使企业可以利用ISP的设施和服务，同时又完全掌握着自己的网络控制权比方说企业可以把拨号访问交给ISP，去做由自己负责用户的认证访问权网络地址和安全性等。10、路由器配置举例10.1思科路由器配置示例Currentconfiguration:20204bytes!version12.0servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryptionnoservicesingle-slot-reload-enable!hostnameCisco7513!bootsystemflashenablesecret5$1$Dv5T$O24Tfu1yd4e5umPiChsBa1enablepasswordthisistest!ipsubnet-zeroipcefmultilinkbundle-namebothchat-script0nochat-scriptoun!!controllerE14/1/0channel-group0unframeddescription"ToEricssonPFA700"!controllerE14/1/1framingNO-CRC4channel-group0timeslots1-31description"qingdao-zhinengwang"!controllerE14/1/2channel-group0unframeddescription"ToLinyiOSS" !controllerE14/1/3!controllerE14/1/4channel-group0unframeddescription"ToZaozhuangOSS"!controllerE14/1/5!controllerE14/1/6framingNO-CRC4channel-group0timeslots1-31description"jinan-zhinengwang"!controllerE14/1/7channel-group0timeslots20-31channel-group1timeslots1-2channel-group2timeslots10!controllerE15/0/0channel-group0unframeddescription"ToDezhouOSS"!controllerE15/0/1!controllerE15/0/2channel-group0unframeddescription"ToZiboOSS"!controllerE15/0/3channel-group0unframeddescription"ToZiboOSS"!controllerE15/0/4channel-group0unframeddescription"ToBinzhouOSS"!controllerE15/0/5!controllerE15/0/6channel-group0unframeddescription"ToLiaochengOSS"!controllerE15/0/7 !controllerE15/1/0channel-group0unframeddescription"ToJiningOSS"!controllerE15/1/1!controllerE15/1/2channel-group0unframeddescription"ToHezeOSS"!controllerE15/1/3!controllerE15/1/4channel-group0unframeddescription"ToLaiwuOSS"!controllerE15/1/5channel-group0unframeddescription"ToLaiwuOSSStandby"!controllerE15/1/6channel-group0unframeddescription"ToWeifangOSS"!controllerE15/1/7!controllerE18/1/0channel-group0unframeddescription"ToYantaiOSS"!controllerE18/1/1!controllerE18/1/2channel-group0unframeddescription"ToQingdaoOSS"!controllerE18/1/3!controllerE18/1/4channel-group0unframeddescription"ToJinnanOSS"!controllerE18/1/5 channel-group0unframeddescription"ToJinnanOSS"!controllerE18/1/6framingNO-CRC4channel-group0timeslots1-31!controllerE18/1/7framingNO-CRC4channel-group0timeslots1-31!controllerE111/0/0channel-group0unframeddescription"ToWeihaiOSS"!controllerE111/0/1channel-group0unframed!controllerE111/0/2channel-group0unframeddescription"ToRizhaoOSS"!controllerE111/0/3channel-group0unframed!controllerE111/0/4channel-group0unframeddescription"ToDongyingOSS"!controllerE111/0/5channel-group0unframeddescription"ToDongyingOSS"!controllerE111/0/6channel-group0unframeddescription"ToTaianOSS"!controllerE111/0/7channel-group0unframed!controllerE111/1/0framingNO-CRC4channel-group0timeslots1-31description"ToBOSS" !controllerE111/1/1framingNO-CRC4channel-group0timeslots1-31description"ToJituanGongSi2M_forChuanshu"!controllerE111/1/2!controllerE111/1/3!controllerE111/1/4!controllerE111/1/5!controllerE111/1/6!controllerE111/1/7!!interfaceTunnel0ipunnumberedFastEthernet4/0/1noipdirected-broadcastnoiproute-cachedistributedtunnelsource10.19.64.2tunneldestination10.14.0.233tunnelkey200!interfaceMultilink1description"ToDuanxin"ipaddress10.19.72.9255.255.255.252noipdirected-broadcastnocdpenablepppmultilinknopppmultilinkfragmentationmultilink-group1!interfaceFastEthernet4/0/0description"Tocaiwurouter"ipaddress10.19.75.253255.255.255.252noipdirected-broadcastnoiproute-cachedistributedspeedautonocdpenable! interfaceFastEthernet4/0/1description"StandbyinterfaceGigabitEthernet3/0/0"ipaddress10.19.64.2255.255.255.192noipdirected-broadcastnoiproute-cachedistributedspeedautonocdpenable!interfaceSerial4/1/0:0description"ToEricssonPFA700"mtu3062bandwidth2048ipaddress10.19.76.161255.255.255.0noipdirected-broadcastencapsulationx25noiproute-cachedistributedx25address10010601x25htc4095x25win7x25wout7x25ips2048x25ops2048x25nvc8x25mapip10.19.76.9211010301x25mapip10.19.76.11012010301x25mapip10.19.76.10113010201x25mapip10.19.76.10214010201x25mapip10.19.76.4115010101x25mapip10.19.76.13516010201x25mapip10.19.76.4419010101x25mapip10.19.76.4524010101x25mapip10.19.76.4625010101x25mapip10.19.76.4726010101x25mapip10.19.76.9027010301x25mapip10.16.79.25315010301x25mapip10.15.15.25410010201x25mapip10.16.143.25314010101x25mapip10.16.15.25313010101x25mapip10.15.207.25312010101x25mapip10.15.143.25316010101x25mapip10.15.79.25327010101x25mapip10.16.15.1013010266x25mapip10.15.15.1011010366x25mapip10.15.79.1027010366 x25mapip10.18.143.1017010166x25mapip10.17.143.1024010166x25mapip10.16.79.1015010166x25mapip10.17.15.1023010166x25mapip10.19.15.1021010166x25mapip10.17.207.25322010201x25mapip10.18.15.25218010301x25mapip10.19.76.14524010201x25mapip10.19.76.3410013001x25mapip10.19.76.4322010201x25mapip10.19.76.4821010201x25mapip10.19.76.4223010201x25mapip10.19.76.3620010201x25mapip10.19.76.4017010201x25mapip10.19.76.4918010401nocdpenablelapbN116488!interfaceSerial4/1/1:0description"qingdao-zhinengwang"ipaddress10.19.72.5255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial4/1/2:0description"ToLinyiOSS"ipaddress10.19.74.81255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial4/1/4:0description"ToZaozhuangOSS"ipaddress10.19.74.161255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial4/1/6:0description"jinan-zhinengwang" ipaddress10.19.72.1255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial4/1/7:0description"ToJiTuanGongSi"ipaddress10.1.127.82255.255.255.252ipaccess-group111innoipdirected-broadcastnoiproute-cachedistributednocdpenable!interfaceSerial4/1/7:1description"Totongbuwangwangguan"ipaddress10.1.98.58255.255.255.252noipdirected-broadcastnoiproute-cachedistributednocdpenable!interfaceSerial4/1/7:2description"dial-testnetwork"ipaddress10.1.95.186255.255.255.252noipdirected-broadcastnoiproute-cachedistributednocdpenable!interfaceSerial5/0/0:0description"Todezhou"ipaddress10.19.74.145255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial5/0/2:0description"ToZiboOSSMultilinkPPP"noipaddressnoipdirected-broadcastencapsulationpppnoiproute-cachedistributednofair-queuenocdpenable !interfaceSerial5/0/3:0description"ToZiboOSSMultilinkPPP"ipaddress10.19.74.33255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednokeepalivetx-queue-limit26nofair-queuenocdpenable!interfaceSerial5/0/4:0description"ToBinzhouOSS"ipaddress10.19.74.177255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial5/0/6:0description"ToLiaochengOSS"ipaddress10.19.75.1255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial5/1/0:0description"ToJiningOSS"ipaddress10.19.74.97255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial5/1/2:0description"ToHezeOSS"ipaddress20.1.2.33255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable! interfaceSerial5/1/4:0description"ToLaiwuOSS"bandwidth2048backupinterfaceSerial5/1/5:0backupload9010ipaddress20.1.2.1255.255.255.252ipdirected-broadcastencapsulationx25dcenoiproute-cachedistributedx25address30010136x25htc4095x25win7x25wout7x25ips2048x25ops2048x25nvc8x25mapip20.1.2.226011101nocdpenable!interfaceSerial5/1/5:0description"ToLaiwuOSSStandbySerial5/1/4:0"ipaddress20.1.2.1255.255.255.252noipdirected-broadcastencapsulationx25dcenoiproute-cachedistributedx25address30010136x25mapip20.1.2.226011101!interfaceSerial5/1/6:0description"ToWeifangOSS"ipaddress20.1.2.97255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial8/1/0:0description"ToYantaiOSS"ipaddress10.19.74.49255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable! interfaceSerial8/1/2:0description"ToQingdaoOSS"ipaddress10.19.74.17255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial8/1/4:0description"ToJinanOSS"ipaddress10.19.74.1255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributedipospfnetworkbroadcastnofair-queuenocdpenable!interfaceSerial8/1/5:0description"ToJinanOSS"ipaddress10.19.74.5255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributedipospfnetworkbroadcast!interfaceSerial8/1/6:0description"ToDuanxinMultilinkPPP"ipaddress10.19.72.9255.255.255.252noipdirected-broadcastencapsulationpppnoiproute-cachedistributedtx-queue-limit26nofair-queuenocdpenable!interfaceSerial8/1/7:0description"ToDuanxin"noipaddressnoipdirected-broadcastencapsulationpppnoiproute-cachedistributedtx-queue-limit26nofair-queue nocdpenablepppmultilinkmultilink-group1!interfaceSerial9/0/0ipaddress134.63.65.134255.255.255.252noipdirected-broadcastnoiproute-cachedistributednoipmroute-cachenofair-queuenocdpenable!interfaceSerial9/0/1noipaddressnoipdirected-broadcastnoiproute-cachedistributedshutdownnocdpenable!interfaceSerial9/0/2noipaddressnoipdirected-broadcastnoiproute-cachedistributedshutdownnocdpenable!interfaceSerial9/0/3noipaddressnoipdirected-broadcastnoiproute-cachedistributedshutdownnocdpenable!interfaceSerial9/0/4noipaddressnoipdirected-broadcastnoiproute-cachedistributedshutdownnocdpenable!interfaceSerial9/0/5noipaddressnoipdirected-broadcastnoiproute-cachedistributed shutdownnocdpenable!interfaceSerial9/0/6noipaddressnoipdirected-broadcastnoiproute-cachedistributedshutdownnocdpenable!interfaceSerial9/0/7noipaddressnoipdirected-broadcastnoiproute-cachedistributedshutdownnocdpenable!interfaceSerial11/0/0:0description"Toweihai"bandwidth2048backupinterfaceSerial11/0/1:0backupload9010ipaddress20.1.2.117255.255.255.252ipdirected-broadcastencapsulationx25dcenoiproute-cachedistributedx25address30010138x25htc4095x25win7x25wout7x25ips2048x25ops2048x25nvc8x25mapip20.1.2.11818011101nocdpenable!interfaceSerial11/0/1:0description"ToWeihaiOSSStandbySerial11/0/0:0"ipaddress20.1.2.117255.255.255.252noipdirected-broadcastencapsulationx25dcenoiproute-cachedistributedx25address30010138x25mapip20.1.2.11818011101 !interfaceSerial11/0/2:0description"Torizhao"bandwidth2048backupinterfaceSerial11/0/3:0backupload9010ipaddress20.1.2.17255.255.255.252ipdirected-broadcastencapsulationx25dcenoiproute-cachedistributedx25address30010125x25htc4095x25win7x25wout7x25ips2048x25ops2048x25nvc8x25mapip20.1.2.1825011001nocdpenable!interfaceSerial11/0/3:0description"ToRizhaoOSSStandbySerial11/0/2:0"ipaddress20.1.2.17255.255.255.252noipdirected-broadcastencapsulationx25dcenoiproute-cachedistributedx25address30010125x25mapip20.1.2.1825011001!interfaceSerial11/0/4:0description"ToDongyingOSS"bandwidth2048backupinterfaceSerial11/0/5:0backupload9010ipaddress20.1.2.81255.255.255.252ipdirected-broadcastencapsulationx25dcenoiproute-cachedistributedx25address30010119x25htc4095x25win7x25wout7x25ips2048x25ops2048 x25nvc8x25mapip20.1.2.8219011001nocdpenable!interfaceSerial11/0/5:0description"ToDongyingOSSStandbySerial11/0/4:0"ipaddress20.1.2.81255.255.255.252noipdirected-broadcastencapsulationx25dcenoiproute-cachedistributedx25address30010119x25mapip20.1.2.8219011001!interfaceSerial11/0/6:0description"Totaian"bandwidth2048backupinterfaceSerial11/0/7:0backupload9010ipaddress20.1.2.53255.255.255.252ipdirected-broadcastencapsulationx25dcenoiproute-cachedistributedx25address30010137x25htc4095x25win7x25wout7x25ips2048x25ops2048x25nvc8x25mapip20.1.2.5417011101nocdpenable!interfaceSerial11/0/7:0description"ToTaianOSSStandbySerial11/0/6:0"ipaddress20.1.2.53255.255.255.252noipdirected-broadcastencapsulationx25dcenoiproute-cachedistributedx25address30010137x25mapip20.1.2.5417011101!interfaceSerial11/1/0:0description"ToBOSSforBoDaCeShi"ipaddress10.19.78.9255.255.255.252 noipdirected-broadcastencapsulationpppnoiproute-cachedistributednocdpenable!interfaceSerial11/1/1:0ipaddress10.1.127.186255.255.255.252noipdirected-broadcastnoiproute-cachedistributed!routerospf531log-adjacency-changes!routerospf10router-id10.19.74.1log-adjacency-changesredistributestaticsubnetsnetwork10.1.95.1840.0.0.3area0network10.1.98.560.0.0.3area0network10.1.127.800.0.0.3area0network10.19.72.00.0.1.255area0network10.19.74.00.0.0.3area0network10.19.74.40.0.0.3area0network10.19.76.00.0.1.255area0network10.19.104.00.0.1.255area0!routerbgp531nosynchronizationbgplog-neighbor-changesnetwork10.15.0.0mask255.255.240.0redistributestaticneighbor10.1.98.57remote-as1neighbor10.1.127.81remote-as1neighbor10.1.127.185remote-as1noauto-summary!ipclasslessiproute10.1.95.100255.255.255.255Serial11/1/1:0iproute10.1.95.100255.255.255.25510.1.95.185130iproute10.14.0.0255.255.255.0Serial8/1/4:0125iproute10.14.0.0255.255.255.010.19.76.92130iproute10.14.1.0255.255.255.010.19.74.18iproute10.14.68.0255.255.255.0Tunnel0iproute10.14.200.0255.255.255.010.15.15.252 iproute10.15.0.0255.255.240.0Serial8/1/4:0iproute10.15.0.0255.255.240.010.19.76.92130iproute10.15.32.0255.255.255.0Serial8/1/4:0125iproute10.15.32.0255.255.255.010.19.76.92130iproute10.15.40.0255.255.254.0Serial8/1/4:0125iproute10.15.40.0255.255.254.010.19.76.92130iproute10.15.42.0255.255.255.010.19.72.10iproute10.15.64.0255.255.240.0Serial8/1/2:0iproute10.15.64.0255.255.240.010.19.76.90130iproute10.15.104.0255.255.254.0Serial8/1/2:0iproute10.15.104.0255.255.254.010.19.76.90130iproute10.15.128.0255.255.240.0Serial5/0/3:0iproute10.15.128.0255.255.240.010.19.76.135130iproute10.15.168.0255.255.254.0Serial5/0/3:0iproute10.15.168.0255.255.254.010.19.76.135130iproute10.15.192.0255.255.240.0Serial8/1/0:0iproute10.15.192.0255.255.240.010.19.76.110130iproute10.15.232.0255.255.254.0Serial8/1/0:0iproute10.15.232.0255.255.254.010.19.76.110130iproute10.16.0.0255.255.240.0Serial5/1/6:0iproute10.16.0.0255.255.240.010.19.76.101130iproute10.16.40.0255.255.254.0Serial5/1/6:0iproute10.16.40.0255.255.254.010.19.76.101130iproute10.16.64.0255.255.240.0Serial4/1/2:0iproute10.16.64.0255.255.240.010.19.76.41130iproute10.16.104.0255.255.254.0Serial4/1/2:0iproute10.16.104.0255.255.254.010.19.76.41130iproute10.16.128.0255.255.240.0Serial5/1/0:0iproute10.16.128.0255.255.240.010.19.76.102130iproute10.16.168.0255.255.254.0Serial5/1/0:0iproute10.16.168.0255.255.254.010.19.76.102130iproute10.16.192.0255.255.240.020.1.2.18iproute10.16.192.0255.255.240.010.19.76.46130iproute10.16.232.0255.255.254.020.1.2.18iproute10.16.232.0255.255.254.010.19.76.46130iproute10.17.0.0255.255.240.0Serial5/1/2:0iproute10.17.0.0255.255.240.010.19.76.42130iproute10.17.40.0255.255.254.0Serial5/1/2:0iproute10.17.40.0255.255.254.010.19.76.42130iproute10.17.64.0255.255.240.0Serial5/0/0:0iproute10.17.64.0255.255.240.010.19.76.36130iproute10.17.104.0255.255.254.0Serial5/0/0:0iproute10.17.104.0255.255.254.010.19.76.36130iproute10.17.128.0255.255.240.0Serial4/1/4:0 iproute10.17.128.0255.255.240.010.19.76.145130iproute10.17.178.0255.255.254.0Serial4/1/4:0iproute10.17.178.0255.255.254.010.19.76.145130iproute10.17.192.0255.255.240.0Serial5/0/4:0iproute10.17.192.0255.255.240.010.19.76.43130iproute10.17.232.0255.255.254.0Serial5/0/4:0iproute10.17.232.0255.255.254.010.19.76.43130iproute10.18.0.0255.255.240.020.1.2.118iproute10.18.0.0255.255.240.010.19.76.49130iproute10.18.40.0255.255.254.020.1.2.118iproute10.18.40.0255.255.254.010.19.76.49130iproute10.18.64.0255.255.240.020.1.2.82iproute10.18.64.0255.255.240.010.19.76.44130iproute10.18.104.0255.255.254.020.1.2.82iproute10.18.104.0255.255.254.010.19.76.44130iproute10.18.128.0255.255.240.020.1.2.54iproute10.18.128.0255.255.240.010.19.76.40130iproute10.18.168.0255.255.254.020.1.2.54iproute10.18.168.0255.255.254.010.19.76.40130iproute10.18.188.0255.255.254.020.1.2.54iproute10.18.192.0255.255.240.020.1.2.2iproute10.18.192.0255.255.240.010.19.76.47130iproute10.18.232.0255.255.254.020.1.2.2iproute10.18.232.0255.255.254.010.19.76.47130iproute10.19.0.0255.255.240.0Serial5/0/6:0iproute10.19.0.0255.255.240.010.19.76.48130iproute10.19.40.0255.255.254.0Serial5/0/6:0iproute10.19.40.0255.255.254.010.19.76.48130iproute10.19.64.0255.255.254.010.19.64.11iproute10.19.66.0255.255.255.24010.19.64.11iproute10.19.78.0255.255.255.24810.19.64.11iproute10.19.82.16255.255.255.25210.19.78.10iproute10.19.104.0255.255.254.010.19.75.254iproute10.19.106.0255.255.255.010.19.76.34iproute10.77.1.0255.255.255.010.15.15.254iproute10.77.2.0255.255.255.010.15.15.254iproute139.114.4.0255.255.252.010.19.72.2iproute139.114.8.0255.255.252.010.19.72.6iproute139.114.12.0255.255.252.010.19.72.2iproute139.114.16.0255.255.252.010.19.72.2iproute139.214.8.0255.255.252.010.19.72.6iproute139.214.12.0255.255.252.010.19.72.2!access-list10permit10.1.0.00.0.255.255 access-list10permit10.19.64.00.0.1.255access-list10permit10.19.64.00.0.15.255access-list10permit10.19.76.00.0.1.255access-list10permit10.19.104.00.0.1.255access-list11deny10.15.42.00.0.0.255access-list11permitanyaccess-list111permitip10.1.0.00.0.255.255anyaccess-list111denyipanyanyaccess-list120denyudpanyanyeq1434access-list120permitipanyanysnmp-serverengineIDlocal0000000902000007ECE35860snmp-servercommunitypublicROnosnmp-serverifindexpersistsnmp-serverhost10.19.65.136publicsnmproute-mapper101964permit10matchipaddress10!route-mapbgpfilter01deny11matchipaddress11!!!linecon0passwordpasswordtransportinputnonelineaux0passwordpasswordmodemInOutlinevty04passwordthisistestlogin!10.2华为路由器配置示例Currentconfiguration!version1.6.3logintelnetuserhwbjiservice-typeexecpassword053333userciscoservice-typeppppassword0eeeeeemultilinkmax-bind3multilink-userciscobindVirtual-Template1loggingconsole firewallenablehostnamejn-3640-sgs!controllere10channel-group0timeslots1-31!controllere11channel-group0timeslots1-31!controllere12channel-group0timeslots1-31!controllere13!interfaceAux0asyncmodeinteractiveencapsulationppp!interfaceEthernet0speedautoduplexautonoloopbackipaddress10.19.97.1255.255.255.240!interfaceEthernet1speedautoduplexautonoloopback!interfaceSerial0:0encapsulationppppppauthenticationpappppmultilinkppppapsent-usernameciscopassword0cisco!interfaceSerial1:0encapsulationppppppauthenticationpappppmultilinkppppapsent-usernameciscopassword0cisco!interfaceSerial2:0encapsulationppppppauthenticationpap pppmultilinkppppapsent-usernameciscopassword0cisco!interfaceVirtual-Template1encapsulationpppipaddress10.19.99.5255.255.255.252!routereigrp100noauto-summarynetwork134.0.0.0network10.0.0.0redistributestaticredistributeconnected!exitiproute10.14.1.0255.255.255.010.19.97.2preference60iproute10.19.64.128255.255.255.12810.19.97.2preference60iproute10.19.96.0255.255.255.010.19.97.2preference60iproute10.19.97.16255.255.255.24010.19.97.2preference60iproute10.19.104.0255.255.254.010.19.97.2preference60iproute10.19.128.0255.255.252.010.19.97.2preference60iproute192.168.10.0255.255.255.010.19.97.2preference60!end11、维护责任分工：网络维护中心：牵头负责互联网专线的维护，负责本地接入设备的数据配置和业务开通；负责设备的日常维护和告警监控；负责设备资料的管理，包括：设备的端口资料管理、资产管理、IP地址管理等。负责业务的端到端日常测试，保证专线接入业务畅通；负责建立健全各互联网专线接入业务的完整资料，内容包括：用户资料、申请表格、专线带宽、IP地址资料、客户经理姓名及联系方式等。负责配合经营单位为客户提供技术支持。传输维护中心：负责互联网专线接入业务传输电路的资料管理和线路的日常维护，保障电路端到端畅通。负责建立健全互联网专线传输路由的物理实现方式及本地接入的电路资料、租用电路维护人员及联系方式。经营单位：负责提供申请业务开通所需资料，负责与客户的沟通协调（不包括故障处理过程中双方技术人员之间的联系），向客户解释故障原因，征得客户理解和支持，维持良好的客户关系。如果需技术人员上门为客户提供技术支持，原则上由客户经理陪同前往，以便沟通协调。监控人员发现专线故障后，技术人员首先核查是否本端问题，如需与客户进行沟通时，客户经理有义务配合维护单位与客户进行沟通，协助进行故障处理。 12、维护界面划分网络维护中心负责维护CMNET本地接入设备端口以内（包括端口）部分。传输维护中心负责维护从客户设备到CMNET设备端口间传输部分。具体如下：采用协议转换器时，传输维护中心负责两端协议转换器之间端到端传输（含连接协转的接头），网络维护中心负责维护协议转换器、协转到用户设备、协转到CMNET设备端口间的部分。采用10M/100M接入时，传输维护中心负责维护用户侧移动传输设备到CMNET设备之间的传输部分。采用光纤直连时，传输维护中心负责维护两端光电转换器之间的传输部分（含光转），网络维护中心负责光电转换器到用户设备、光电转换器到CMNET设备端口间部分。四、基于GPRS的VPN业务1、GPRS概述1.1GPRS的产生GPRS（GeneralPacketRadioService，通用分组无线业务）是在现有的GSM移动通信系统基础上发展起来的一种移动分组数据业务。GPRS通过在GSM数字移动通信网络中引入分组交换的功能实体，以完成用分组方式进行的数据传输。GPRS系统可以看作是对原有的GSM电路交换系统的基础上进行的业务扩充，以支持移动用户利用分组数据移动终端接入Internet或其它分组数据网络的需求。以GSM、CDMA为主的数字蜂窝移动通信和以Internet为主的分组数据通信是目前信息领域增长最为迅猛的两大产业，正呈现出相互融合的趋势。GPRS可以看作是移动通信和分组数据通信融合的第一步。移动通信在目前的话音业务继续保持发展的同时，对IP和高速数据业务的支持已经成为第二代移动通信系统演进的方向，而且也将成为第三代移动通信系统的主要业务特征。GPRS包含丰富的数据业务，如：PTP点对点数据业务，PTM－M点对多点广播数据业务、PTM－G点对多点群呼数据业务、IP－M广播业务。GPRS主要的应用领域可以是：E-mail电子邮件、WWW浏览、WAP业务、电子商务、信息查询、远程监控等等。目前中国移动已经推出基于GPRS的丰富多彩的业务，如GPRSVPN业务、WAP业务、彩信业务、KJAVA业务等等，这些业务的飞速发展充分说明了GPRS承载数据业务的能力。 1.2GPRS的发展GPRS通过在原GSM网络基础上增加一系列的功能实体来完成分组数据功能，新增功能实体组成GPRS网络，处理来自分组数据，完成GPRS业务，原GSM网络则完成话音功能，尽量减少了对GSM网络的改动。GPRS网络与GSM原网络通过一系列的接口协议共同完成对移动台的移动管理功能。GPRS新增了如下功能实体：服务GPRS支持节点SGSN，网关GPRS支持节点GGSN，点对多点数据服务中心等，及一系列原有功能实体的软件功能的增强。GPRS大规模的借鉴及使用了数据通信技术及产品，包括帧中继、TCP/IP、X.25、X.75、路由器、接入网服务器、防火墙等。GPRS最早在1993年提出，1997年出台了第一阶段的协议，到目前为止GPRS协议还在不断更新，2000年初推出SMG#30，匿名接入功能在新的协议中不再体现。GPRS协议除包含新出台的协议外，还对原有的一些协议进行了较多的修改。1.3CSD与GPRS的比较在建设GPRS网络之前，2G的GSM网络也能提供数据业务，不过他是低速率的，我们称之为CSD(电路交换)方式。下面对GSM电路交换型数据业务与GPRS分组型数据业务的技术特征做一下对比说明。传统的GSM语音业务属于电路交换，其特点是通话过程中独占信道资源。而分组业务只是需要传送数据时占用资源，而且可以多个用户共享资源。GPRS是一种分组交换系统，因此，GPRS特别适用于间断的、突发性的或频繁的、少量的数据传输，也适用于偶尔的大数据量传输。 图1.1电路交换和分组交换对比1.3.1电路交换的通信方式在电路交换的通信方式中，在发送数据之前，首先需要通过一系列的信令过程，为特定的信息传输过程（如通话）分配信道，并在信息的发送方、信息所经过的中间节点、信息的接收方之间建立起连接，然后传送数据，数据传输过程结束以后再释放信道资源，断开连接。图1.1是一个基于电路方式的话音通信过程示意图。图1.2基于电路方式的通信过程电路交换的通信方式一般适用于需要恒定带宽、对时延比较敏感的业务，如话音业务目前一般都采用电路交换的通信方式。1.3.2分组交换的通信方式 在分组交换的通信方式中，数据被分成一定长度的包（分组），每个包的前面有一个分组头（其中的地址标志指明该分组发往何处）。数据传送之前并不需要预先分配信道，建立连接。而是在每一个数据包到达时，根据数据包头中的信息（如目的地址），临时寻找一个可用的信道资源将该数据报发送出去。在这种传送方式中，数据的发送和接收方同信道之间没有固定的占用关系，信道资源可以看作是由所有的用户共享使用。由于数据业务在绝大多数情况下都表现出一种突发性的业务特点，对信道带宽的需求变化较大，因此采用分组方式进行数据传送将能够更好地利用信道资源。例如一个进行WWW浏览的用户，大部分时间处于浏览状态，而真正用于数据传送的时间只占很小比例。这种情况下若采用固定占用信道的方式，将会造成较大的资源浪费。图1.2是基于分组的通信过程示意图。图1.3分组通信示意图在GPRS系统中采用的就是分组通信技术，用户在数据通信过程并不固定占用无线信道，因此对信道资源能够更合理地应用。在GSM移动通信的发展进程中，GPRS是移动业务和分组业务相结合的第一步，也是采用GSM技术体制的第二代移动通信技术向第三代移动通信技术发展的重要里程碑。因为他是界于2G与3G之间的技术，因此我们习惯将GPRS称为2.5G。总之，传统的GSM语音业务属于电路交换，其特点是通话过程中独占信道资源。而分组业务只是需要传送数据时占用资源，而且可以多个用户共享资源。GPRS是一种分组交换系统，因此，GPRS特别适用于间断的、突发性的或频繁的、少量的数据传输，也适用于偶尔的大数据量传输。 1.4GPRS逻辑结构图1.4GPRS网络逻辑结构GPRS是建立在GSM系统之上的，在原来的GSM中引入了两个新的节点：ServingGPRSSupportNode（SGSN）和GatewayGPRSSupportNode（GGSN），它们的功能简述如下，SGSN：SGSN的作用类似与MSC，负责转发所有附着在本SGSN服务区内的手机的IP包，它提供以下主要功能：（1）本SGSN服务区内手机的IP包的路由与转发。一个GPRS手机可以由任意一个SGSN来服务，这取决与它所处的地理位置，SGSN从GGSN那里接收IP包，转发给BSC，再经BTS到达手机。（2）鉴权和加密。（3）移动性管理。手机可能会改变它的位置，SGSN要负责手机的路由区更新、小区更新、GPRS附着以及分离的管理。（4）会话管理。这类似与GSM中的连接管理，GPRS手机与外部IP网络之间交换数据之前，必需先激活相应的PDP上下文，PDP上下文的管理即属于会话管理。（5）面向手机的逻辑链路管理。（6）提供到HLR、MSC、BSC、SMS-GMSC、SMS-IWMSC和GGSN的接口。 （1）计费。GGSN：GGSN叫网关GPRS支持接点，主要作用是提供GPRS网络到各外部IP网络的接口，它的功能如下：（1）GPRS网络到外部IP网络的接口。从外部IP网络看，GPRS手机构成一个或多个IP子网，而GGSN就是通向这些子网的路由器，因此GGSN需要与外部IP网络交换路由信息。（2）会话管理。（3）计费。1.5GPRS的三种网络运行模式GPRS定义了三种网络运行模式，即模式一、模式二和模式三。对于模式一，需要有Gs接口并定义MPDCH；模式二，也即现在的运行模式，不需要有Gs接口，也不要定义MPDCH；模式三不需要Gs接口，但要定义MPDCH。网络运行模式是由BSC属性之一来确定的，表1列出了三种模式下电路交换域（GSM）的寻呼和分组交换域（GPRS）的寻呼所使用的逻辑信道。在模式一和模式二下，手机只需要同时听一个寻呼信道，在模式三下，手机需要同时听两个寻呼信道。图1.5三种网络运行模式表1： 网络运行模式电路域寻呼分组交换域寻呼是否有联合寻呼一PPCH（分组寻呼信道）PPCH是CCCH中的PCHCCCH中的PCHPDCH/二CCCH中的PCHCCCH中的PCH否三CCCH中的PCHPPCH否CCCH中的PCHCCCH中的PCH1.6LA和RA一般情况下，RA的设置原则如下：RA小于等于LA的大小，且RA只能隶属一个LA。在一定情况下，需要对路由区进行仔细规划。初期GPRS网络规划中，RA设置与LA范围相同，GPRS网络的运行必将增加PCH－AGCH信道的负荷，随着业务的发展，将来可以考虑减小RA范围来减小PCH-AGCH负荷。图1.6LA和RA1.7三类GPRS手机GPRS手机分为三类，即CLASSA、CLASSB和CLASSC。CLASSA的手机可以同时附着在GSM网络和GPRS网络上，可以同时进行GSM业务和GPRS业务；CLASSB的手机可以同时附着在GSM网络和GPRS网络上，可自动地在GSM业务和GPRS 业务之间切换，但同时只能进行一种业务；CLASSC的手机只能手动选择附着在GSM网络或GPRS网络上，自然只能同时一种业务。CLASSA的手机在网络运行模式二下自动降为CLASSB的手机，而在网络运行模式三下，由于CLASSB的手机不能同时侦听PCH和PPCH，所以自动降为CLASSC的手机，目前绝大数GPRS手机属于CLASSB的手机。1.8空中接口1.8.1传输协议栈图1.7GPRS传输协议栈GSMRF：是无线射频层，在这一层上采用与GSM相同的无线射频协议，主要定义了频率特性、无线信道的结构、调制方式等。MAC层和RLC层：MAC层是媒体接入控制层，主要作用是定义和分配逻辑信道，使得这些信道可以被不同的移动台共享；RLC层是无线链路控制层，主要作用是屏蔽MAC层，为LLC层提供可靠的无线通信链路，根据需要分段和重组LLC层的数据包，实现后向纠错，选择重发的数据包。LLC层：逻辑链路控制层，主要功能是为上层协议提供与底层协议无关的、安全可靠的逻辑链路，在这一层上传输的是信令、短消息、SNDCP的PDU。SNDCP层：子网相关的数据会聚层，网络层需要在不同子网和数字链路上运行，GPRS可以支持多种不同的网络层协议（如：IP和X.25），为了保证GPRS系统在引入新的网络层协议时不用对底层协议进行改造是引入SNDCP层的主要原因，SNDCP层可以为上层的IP、X.25协议提供数据的压缩/解压缩、高层分组头的压缩/解压缩。IP/X.25：网络层。Application：应用层，如HTTP、TELNET、FTP、E_mail等应用。 1.8.2信令协议栈图1.8GPRS信令协议栈1.8.3复帧结构图1.9复帧结构GPRS采用了不同于GSM的51帧或26帧的复帧结构，GPRS的一个复帧为52TDMA帧，从网络层的数据包到无线射频层的Burst的打包、映射过程如图1.3所示，较大的网络层数据包最终被分拆成一个个小的无线块（RadioBlock），一个无线块映射到4个连续的NormalBurst在空中接口发射，每4个连续的NormalBurst称为一个无线块（RadioBlock），一个复帧共有12个无线块，另外还有4个空的Burst。1.8.4GPRS手机状态和模式我们知道在GSM中，手机有三种状态：Idle、Busy和关机状态，同样在GPRS中手机也有三种状态：Idle、Ready和Standby，其中GPRS的Idle状态类似于GSM 中的关机状态，但不能将其他两种状态与GSM中的状态类比。准确地说，这三种状态叫GPRS移动性管理状态，每一个移动台都要维护一个自己的移动性管理上下文，并且SGSN还要为每一个附着在本SGSN服务区的移动台维护一个移动性管理上下文，在移动性管理上下文中有移动台的位置、状态等信息，图1.5是移动性状态转换图。SGSN移动台图1.10移动性管理状态Ready状态：通俗地讲，就是，（1）SGSN知道移动台位于那一个具体的小区，这时如果SGSN有数据包需要下发给移动台，那么不需要先寻呼移动台，只需直接为移动台指配PDCH信道即可；（2）移动台在选择了新的服务小区后，需要通知SGSN，也就是要进行CellUpdate过程。在SGSN中，ReadTimer的缺省值为44秒，移动台处于Ready状态时开始计时，传输数据时计时停止并复位，当计时超过44秒时移动台转换到Standby状态。Standby状态：通俗地讲，就是，（1）SGSN不知道移动台位于那一个具体的小区，只知道移动台的处于那一个路由区，这时如果SGSN有数据包需要下发给移动台，那么需要先寻呼移动台，再为移动台指配PDCH信道；（2）移动台在选择了新的服务小区，但并没有改变路由区时，不需要通知SGSN，也就是不需要进行CellUpdate过程。GPRS手机的两种模式是指PacketTransferMode和PacketIdleMode，PacketTransferMode表示正在进行数据包的传输，CLASSB的手机在这种模式下是不能接听电话的，PacketIdleMode表示当前没有数据包的传输，在一定意义上，这两种模式可以与GSM中的BusyMode和IdleMode类比。 1.8.5逻辑信道在说GPRS的逻辑信道之前先明确什么是GPRS物理信道，在GSM中，物理信道是指载频的一个时隙，在GPRS中，物理信道是指PDCH（PacketDataChannel），一个PDCH也是载频的一个时隙。GPRS引入了一些新的逻辑信道，这些逻辑信道承载于PDCH之上。MasterPDCHMasterPDCH是一个承载了PacketBroadControlChannel（分组广播控制信道，简称PBCCH）和PacketCommonControlChannel（分组公共控制信道，简称PCCCH）的PDCH，在爱立信系统中简称为MPDCH。PBCCH用来广播GPRS网络的系统信息，是下行信道，如果小区中没有定义MPDCH，那么GPRS的系统信息由GSM的BCCH来广播。PCCCH包括以下一些逻辑信道：（1）PacketRandomAccessChannel（分组随机接入信道），上行信道，移动台用此信道来发起上行的信令或数据传输，如果小区中没有定义MPDCH，那么就用RACH来替代PRACH；（2）PacketPagingChannel（分组寻呼信道，简称PPCH），下行信道，网络用此信道来寻呼移动台，如果小区中没有定义MPDCH，那么就用PCH来替代PPCH；（3）PacketAccessGrantChannel（分组接入允许信道，简称PAGCH），下行信道，在分组传输的建立过程中，网络用此信道来给移动台指配无线资源，如果小区中没有定义MPDCH，那么就用AGCH来替代PAGCH；（4）PacketNotificationChannel（分组通知信道，简称PNCH），下行信道，此信道用于点对多点（PTM）的业务中，目前系统并不提供PTM业务。PacketDataTrafficChannel即分组数据业务信道，双向信道，是用来传输数据（和信令）的业务信道，简称PDTCH。PacketDedicatedControlChannels即分组专用控制信道，它包括以下三种逻辑信道：（1）PacketAssociatedControlChannel（分组随路控制信道，简称PACCH），双向信道，它用来传输与特定移动台相关的控制信息，如数据包的确认、功率控制等，它与PDTCH共享无线资源；（2）PacketTimingadvanceControlChannel，Uplink（分组时间提前量控制信道/ 上行，简称PTCCH/U）；（3）PacketTimingadvanceControlChannel，Downlink（分组时间提前量控制信道/下行，简称PTCCH/D）。在目前的网络中是没有定义MPDCH的，所以GPRS要使用BCCH和CCCH。1.8.6无线资源管理理解GPRS无线资源管理的原理对进行GPRS无线网络优化有重要的指导意义，GPRS是建立在GSM系统之上的，它的一个出色之处就是与GSM共享无线资源，使得有GSM覆盖的地方就有GPRS覆盖，并利用GSM的剩余容量来传输GPRS的数据业务。鉴于此，GPRS无线资源管理可分为两个部分：一是小区中PDCH的分配策略，二是上下行数据传输中无线资源的分配策略。（1）小区中PDCH的分配策略一个小区中可以有两种PDCH信道：DedicatedPDCH（专用PDCH信道）和On-demandPDCH（动态PDCH信道）。专用的PDCH信道只能被GPRS使用，不能用作TCH信道，如果小区中定义的专用PDCH信道太多，将会降低小区的话务容量；动态的PDCH信道是在GPRS数据传输需要是，从空闲的TCH信道自动转换而来，由于GPRS数据通信的优先级要比GSM的语音通信低，所以当小区的话务太高时，可以清空已被激活的动态PDCH信道。在爱立信系统中，定义专用PDCH信道的命令是RLGSC，在R8软件版本中，一个小区最多可以定义8个专用PDCH信道，如：RLGSC：CELL=G020041，FPDCH=8；（2）上下行数据传输中无线资源的分配策略在上下行的数据传输中，无疑需要先分配无线资源，一个小区内的多个移动台可以共享相同的无线资源，小区中的TCH和PDCH被视为公共资源池。在规范中，一个移动台最多可以获得8个PDCH信道，但在目前网络中，一个移动台最多可以获得4个PDCH信道。上下行数据传输中无线资源分配策略的第一个要点是：PDCH的分配单位是PDCHSET（简称PSET），PSET由同一载频的1至4个连续的PDCH信道构成，同时只能为一个移动台分配一个PSET，同一个PSET可以同时分配给多个移动台，这取决于BSC参数TBFLIMIT/UL和TBFLIMIT/DL的设置，但最多下行可以同时分配给8个移动台，上行最多是6个，图5是PSET分配的示意图，其中PSET1有4个连续的时隙，分配给了5 个移动台，PSET2有3个连续的时隙。TCHPSET2PSET1TBFLIMIT=3图1.11PSET的分配上下行数据传输中无线资源分配策略的第二个要点是：上下行无线资源是单独分配的。为了进一步阐述这一要点，我们说说GPRS数据传输的几个术语：TBF（TemporaryBlockFlow）：移动台发送或接受分组就称为TBF，移动台可以在上下行方向上都有一个TBF（移动台在同时进行上下行数据传输），或只在一个方向上有TBF（移动台进行单方向的数据传输）；TFI（TemporaryBlockIdentify）：网络为每一个TBF分配一个TFI，这样即使多个移动台共享相同的无线资源（共享同一PSET）来传输数据，网络也可以将TBF定位到正确的移动台，也就是说TFI用于RLC层的寻址，当网络为移动台分配TBF时，网络会通知移动台所使用的时隙和TFI；USF（UplinkStateFlag）：USF是用来避免上行TBF争抢无线资源，它长为3比特，这就是为什么一个PSET同时最多只能分配给8个移动台的原因。在上行数据传输中，如果多个移动台共享一个PSET，由于移动台之间缺乏约定，可能出现多个移动台同时发送上行数据的现象，这样会造成空中接口出现碰撞，为了避免碰撞，网络在为移动台分配上行TBF时，除了分配TFI之外，还要分配一个USF。网络轮流下发USF信息，移动台只有发现下发USF与自己的USF相等时，才会在下一个无线块上发送上行TBF。TFI和USF可以用TEMS软件观察到，它们是动态变化的，一旦没有数据传输，就很快被释放了，当又有数据要传输时再重新分配。 2、GPRS主要业务流程2.1APN分类APN（ACCESSPOINTNAME）：接入点名称在GPRS网络中作为接入网络号码。任何一个终端接入GPRS网络必须向网络提交APN信息，网络根据用户提交的APN才能够正确的让用户PDP激活。只有激活的用户才能通过GPRS使用INTERNET上的资源。APN和我们CSD方式下的接入号17266、17200、17201等类似，不同之处是我们在大多数情况下都将APN定义为字母组合，类似于浏览网页使用的域名。其实任何一个APN其在GPRS网络中的真正意思也就是一个域名，我们平时说的APN只是这个域名的简写，例如我们经常使用的APNCMWAP其实完整的应该是cmwap.mnc460.mcc000.gprs，其中.GPRS后缀也和我们常用的.COM等一样。在一般情况下，我们在SGSN上解析一个国内的APN只需要写入最前面几个字母即可，但是如果要解析一个国际上的APN，则必须将域名写全，这是因为在国内的SGSN上我们都将属于国内的APN做了一些翻译，因此无须写全，但是国际APN则必须写全，否则无法正确解析。解析任何一个APN在GPRS网络内通过DNS解析都是解析到一个制定的GGSN，因此我们可以说一个APN是和某个或者某些GGSN相关的。为什么要设立APN内，一方面是为了接入GPRS网络，另外也是为了将GPRS所承载的各种类型的业务做一些分类。一般习惯上我们将APN分成两类：A、通用APN；B、区域性APN。通用APN也就是说在全国任何一个地方的GPRS网络上都配置了的APN。用户使用通用APN就近接入SGSN同时也是就近接入GGSN。也就是说一个用户在漫游（国内）的情况下总是使用漫游地的GPRS设备，而用户不直接和归属地的GPRS设备发生联系。目前这类APN有CMWAP、CMNET。区域性APN就是配置在特定GGSN上的APN。也就是说，这类APN是个别地方开通的一些有区域性特色的业务。它和通用APN不同的地方是，用户漫游的时候就近接入漫游地的SGSN，接入归属地的GGSN，因为是在归属地的GGSN 上做配置的，因此在任何时候都只有连到归属地的GGSN进行激活。目前我们所使用开通的GPRSVPN业务的所有APN都是属于这种类型。区域性APN的定义在山东范围内必须遵循以下规范：commpany.area.sd其中commpany是公司的名称的简写area是所属的城市的两位字母简写sd是必须的后缀如：青岛海尔开通的APN我们写成：haier.qd.sd2.1.1CMNET&CMWAPCMNET和CMWAP是我们开通的两个通用APN。他们两个的不同之处在于两个APN在配置上的不同，因此可接入的业务不同。CMNET和我们普通的163等拨号上网完全一样，我们所有的用户PDP激活以后获得的私有IP地址，通过GGSN做地址转换后都翻译成一个公网地址，因此所有用户就象直接连在公网上一样，可以使用INTERNET上的任何业务。CMWAP我们知道只能在手机上连接到WAP网站，同时还可以通过CMWAP来发送彩信。这是因为我们将CMWAP用户的路由全部都指向了WAP网关，因此只能接入和WAP相关的业务。那么现在你可能有一个疑问，既然CMNET可以使用INTERNET的任何业务，它为什么不可以连接WAP网站呢？其实这是可以的，我们通常说不可以，是因为你通过CMNET激活以后还是使用10.0.0.172这个WAP网关。我们知道CMNET的用户相当于拥有的是一个公网地址，你让它接入这个私有地址的网关这显然是无法连接成功的。如果我们使用一个公网地址的WAP网关，通过CMNET就可以连接WAP网站了。 INTERNETWAPGPRSCSDCMNETCMNETCMWAP1720117200应用层（业务）承载层（网络）GPRS与WAP比照图2.1GPRS与WAP比照图6显示了接入INTERNET和WAP时使用GPRS和CSD的不同。比较明显这里不在详述。2.2业务流程2.2.1附着流程（ATTACH流程）普通的GSM手机开机后要执行IMSI附着的过程，该过程向网络提交手机的相关信息，网络根据这些信息进行鉴权，鉴权通过后手机就可以附着网络。GPRS手机的附着和IMSI附着相类似。如图2.1是GPRS用户附着网络的过程。因为过程比较简单，因此在这里不详细说明。 图2.2GPRS用户附着过程下图为附着过程的详细信令流程。 图2.3GPRSattach信令流程2.2.2PDP上下文激活流程PDP上下文激活与去激活属于会话管理，PDP上下文主要包括以下一些信息：APN、Qos、PDP类型、PDP地址等。APN：AccessPointName，接入点名称，当手机接入不同的外部数据网络时APN是不同的，在PDP上下文激活过程中GPRS核心网中的DNS将APN解释成GGSN的IP地址，通过此GGSN就可接入相应的外部数据网络。在目前中国移动GPRS网络中，将APN分为两类，一类是通用性的APN（如CMNET和CMWAP），这样的APN在全国所有的GGSN中都有定义，当移动台使用通用APN激活PDP上下文时，DNS总是将它解释为漫游地的 GGSN，就近接入外部网络；另一类是区域性的APN（如为青岛海关利用GPRS移动办公所设置的APN等），这样的APN只在移动台归属地的GGSN中有定义，当移动台使用区域性APN激活PDP上下文时，DNS总是将它解释为归属地的GGSN。Qos：Qualityofservice，服务质量要求，在GPRS中采用协商的Qos机制，Qos主要包括时延、可靠性、吞吐量等。PDP类型：指的是IP数据网络或X.25数据网络。PDP地址：即IP地址或X.25地址。2.2.1APN为cmwap的PDP激活过程WAP网络中许多信息是按内容来收费的（尤其是移动梦网），即采用了信息源计费，为了实现信息源计费，在cmwap的激活过程中需要通过RADIUS（RemoteAccessDialInUserService，主要功能是认证、计帐等）将移动台的MSISDN号码发送给WAPGW，具体的激活过程如下图所示：WAPGWRADIUSDNSGGSNSGSNMS激活请求安全功能APN解释创建PDP上下文请求AccessRequestAccountingRequestAccessAcceptAccountingResponse创建PDP上下文响应激活响应激活完成图2.4CMWAP激活过程2.2.2APN为cmnet的PDP激活过程cmnet的激活过程相对简单一些，如图2.3所示：激活完成安全功能激活请求MSSGSNGGSNDNSAPN解释创建PDP上下文请求创建PDP上下文响应激活响应 图2.5CMNET激活过程2.2.3其他区域性APN的PDP激活过程目前区域性APN也一般不采用RADIUS，其激活过程与cmnet的激活过程类似。本教材将在第三章里详细介绍我省的VPN状况。2.3路由区更新规程当处于GPRS附着状态的MS检查到进入了一个新的路由区，或当它的周期性路由区更新定时器超时后，该MS发起RA更新规程。SGSN通过检查路由区更新请求消息是否携带老路由区标识来确定执行SGSN内部的RA更新规程或SGSN间的RA更新规程。周期性RA更新规程总是SGSN内部RA更新规程。2.3.1SGSN内部的路由区更新1)MS向SGSN发出路由区更新请求（包含原RAI、原P-TMSI签名、更新类型等），BSS在其中加上包含RAC和LAC的小区全球标识(CGI)；2)可选地启动安全性规程；3)SGSN更新该MS的MM上下文，必要时给它分配一个新的P-TMSI，然后向MS返回路由区更新接受消息（P-TMSI、P-TMSI签名）；4)如果分配了新的P-TMSI，则MS应返回路由区更新完成消息（P-TMSI）。2.6SGSN内部的路由区更新规程 2.3.2SGSN间的路由区更新1)MS向新SGSN发送路由区更新请求（包含原RAI、原P-TMSI签名、更新类型等），BSS在其中加上包含RAC和LAC的小区全球标识(CGI)；2)新SGSN向原SGSN发出SGSN上下文请求（原RAI、TLLI、原P-TMSI签名、新SGSN地址），以获得该MS的MM上下文和PDP上下文；3)可选地执行加密功能；4)新SGSN向原SGSN返回SGSN上下文确认；原SGSN收到该确认后，标记该MS的上下文中的MSC/VLR关联等其它信息无效。如果前面的鉴权未通过，则新SGSN应该拒绝该MS的路由区更新请求，原SGSN应该当作什么也没有发生；5)在收到新SGSN的SGSN上下文确认消息后，原SGSN在一定的定时期内将相关的N-PDU转发给新SGSN；6)新SGSN向GGSN发出更新PDP上下文请求（新SGSN地址、TID、商定的QoS），GGSN返回更新PDP上下文响应（TID）；7)新SGSN向HLR发出位置更新消息（SGSN编号、SGSN地址、IMSI）；8)HLR向原SGSN发出位置取消消息（IMSI、取消类型），原SGSN删除相应的MM和PDP上下文后返回位置取消确认（IMSI）；9)HLR通知新SGSN插入用户数据（IMSI、GPRS签约数据），新SGSN创建相应的MM上下文后返回插入用户数据确认（IMSI）10)HLR向新SGSN返回位置更新确认（IMSI）；11)新SGSN重建该MS的MM上下文和PDP上下文，为该MS分配新的P-TMSI，向MS返回路由区更新接受消息（P-TMSI、LLC确认、P-TMSI签字）；12)MS返回路由更新完成消息（P-TMSI、LLC确认）。 2.7SGSN间的路由区更新规程2.3.3组合RA/LA更新规程当MS进入一个新路由区或一个GPRS附着状态的MS进行IMSI附着时，MS发起这路由区和位置区更新规程，但这仅限于网络操作模式I方式下的GPRS网络。2.3.3.1SGSN内部的组合RA/LA更新规程 图2.8SGSN内部联合路由区更新2.3.3.2SGSN间的组合RA/LA更新规程 图2.9SGSN间组合路由区更新2.3.4周期性路由区更新和位置区更新所有处于GPRS附着状态的MS（除了在进行电路交换业务的ClassBMS外），都应该进行周期性RA更新。周期性RA更新规程相当于SGSN内部的RA更新（除了更新类型不一样外）。IMSI附着而GPRS分离状态的MS应该发起周期性LA更新规程。对于同时IMSI附着和GPRS附着状态的MS，其周期性更新行为取决于网络操作模式：§如果网络操作模式是I，则MS只进行周期性RA更新 如果网络操作模式是II或III，则MS应该分别进行周期性RA更新和周期性LA更新 3、GPRS上网速率分析根据我们的宣传GPRS是无线接入INTERNET的一种高速上网的方式。GPRS的理论速度可以达到171.2kb/s。使用CMNET这个APN可以接入GPRS网络，通过手机加笔记本或者GPRS上网卡就可以接入INTERNET，体验无线上网的乐趣。无论从市场投诉还是实际的网络测试，我们说GPRS的实际速度和理论速度有很大的差距。目前网络的现况无法达到高速，有很多方面的因素制约了GPRS的上网速率。3.1GPRS理论速率GPRS协议中定义了四中不同的编码方式：CS-1至CS-4其中我们宣传的GPRS理论速度171.2kb/s，实际就是在使用CS-4的编码方式下，并且一个用户同时占用8个信道推算出来的。但是目前网络支持的编码方式只有CS-1和CS-2两种。现在市场上的终端，一般普通的GPRS手机因为技术所限支持的信道捆绑数一般是1+3（既图3.1编码方式一个上行信道加3个下行信道）的方式，GPRS上网卡可以提供的4+4的信道捆绑方式（但是目前网络只能提供4+2方式，即4下2上）。按照目前的网络和终端的实际来看，GPRS上网现阶段的理论速度是4*13.4=43.6kbps普通手机下载速度9.05~40.2上传速度9.05~13.4GPRS上网卡下载速度9.05~53.6上传速度9.05~53.6 以上所说的速度是理论可以达到的峰值速度，并不是平均速率。需要注意的是以上速率均为RLC层，对于用户感受的实际应用层的速率可以按照每信道平均12kbps来计算。3.2网络实际测试速度目前网络实际测试速度一般在10kbps~33kbps（手机加笔记本），使用上网卡可以测试达到的瞬时速度51.2kbps,下图图3.2速率示意图即是使用SIERRAWIRELESS上网卡下载数据抓拍到一个瞬时速度。下载的平均速度一般在40kbps左右即算是一个比较理想的值。而且如果进行路测，这个速度将一般达不到。3.3影响GPRS速度的因素3.3.1编码方案对GPRS上网速度的影响。从上面我们可以看到，使用不同的编码方案可以达到的速率是不一样的，而且差别还比较大。但是在目前的网络中我们只支持CS-1、CS-2l两种编码方案。要实现CS-3、CS-4，无论在硬件还是软件上都需要做很大的改动，在目前来看，代价昂贵。3.3.2网络质量对上网速度的影响。其实这也和编码方式有关系，因为不同的编码方案要求 的C/I载干比有所不同从下面的图可以看出来：CS-1对载干比的要求相对来说比较低。也就是说在无线环境较差的情况下仍然可以保持较高的载干比。因此我们说，虽然目前我们的图3.3编码方式和吞吐量的关系网络可以支持CS-2，并不是在所有的时候任何地点，用户都可能使用CS-2这种编码方式。如果无线环境比较差，那么很有可能速度就比较低。3.3.3与网络容量有关系。我们知道，GPRS信道是共享式的。按照协议，一个信道最多可以被八个用户共同占用。因此如果一个用户占有的信道被多个用户共享，那么速度也将相应的下降。GPRS网络还有一个原则，就是不是语音优先。按照目前网络的配置，我们对于一些GPRS业务比较忙的站都配置了至少一个固定的PDCH信道，在语音不忙的情况下，用户可以动态的占用多个PDCH信道。但是在语音比较忙的情况下，用户可能只能占用这一个固定的PDCH信道。即使同时GPRS用户也比较多，那么可能的情况是许多的GPRS用户来共享这一个PDCH信道，可想而知这个速度将下降多么多。另外，我们假使此时话音业务不忙，同时用户的终端支持捆绑多个信道，是否用户就一定可以达到相对比较好的传输速度呢？其实这也不大可能，因为用户要捆绑的信道必须是一个PSET（一组连续的PDCH信道），如果PSET 比较小，或者没有连续的信道那么用户也有可能无法捆绑到所支持的捆绑信道数目。同时，我们目前一个BSC通过一个2M接入GPRS核心网络，一般使用的时隙都不超过20个，这就意味着无论多少用户在这个BSC上使用GPRS上网，他的速度都不会超过20*64k。3.3.4路由区更新、小区重选的影响。路由区更新、小区重选过程中数据的传送会停止，因此频繁产生的小区重选和路由区更新对GPRS上网速度的影响特别大。尤其在对于一些边界小区，产生小区重选的机率比较大。小区重悬和路由区位置更新是不可避免的，对于一些特定的地区只有通过合理的设置小区参数、合理规划路由区进行一些改善。3.3.5时延和TCP/IP协议性能的影响。一个576bytes的数据包在不同系统中的RTT(Roundtriptime)分别是—GPRS系统（若采用CS2编码方式）大约1500ms，局域网中1ms、固定电话拨号为50-200ms、卫星电路约540ms。FTP、WWW都是基于TCP/IP协议的应用，TCP协议对信道质量敏感，时延大导致数据大量重传，用户明显感到速率降低。而且TCP/IP协议的慢启动机制，尤其在下载的过程中我们可能发现在开始传输速度比较低，过一会儿速度才慢提上去，这样一来使平均速度就下降很多。 3.3.6GPRS核心网络时延的影响。图3.4核心网络结构从上面GPRS逻辑连接图我们可以看出，除了无线部分对上网速度影响比较大外，GPRS核心对GPRS上网速度的影响也比较大。但是从目前的情况来看，通过路由的优化，这部分的影响相对来说比较小。3.3.7应用层面的影响。我们有这样的经验，同样使用一个局域网络，连接不同的网站的速度差别比较大。另外即使连接同一个网站，使用不同的设备速度也有差别。设备的差异性目前也是影响速度比较大的一个方面，不同的手机终端，不同的上网卡。同样的终端和上网卡和不同类型的笔记本的配合。这些方面的问题都不同程度上上影响着GPRS上网速度。3.4解决方案解决GPRS上网速度目前只能根据网络的实际情况进行。1、CS-3、CS-4编码方案的实验。根据集团公司的说 法，他们已经委托北京公司在进行这方面的实验，据说效果还不错。1、使用压缩设备。对于使用GPRSs上网的用户我们感觉通过使用压缩设备可以在有限的带宽条件下，尽可能的提高上网速度。2、网络性能的提高。使用户尽可能的使用高的编码方式。3、合理配置GPRS信道。对于一些相对空闲的小区只需要打开功能，无须配置固定的PDCH信道。4、合理调整小区参数，尽可能的减少小区重选，尤其对于一些热点地区，应该根据实际情况合理调整小区参数。 4、GPRSVPN业务在Internet上，企业可以架构虚拟专用网（VPN）来建立自己的Intranet或Extranet，这种VPN与传统的VPN不同，它利用在Internet或其他与之互联的公网中形成的虚拟专用链路，并与原来的企业网连接，在网上主要传送IP数据包，这种VPN叫Internet-VPN（I-VPN）或IP-VPN。这种VPN接入点比较固定，因此使用起来必须有线路到达的地方才可以。GPRS网络为企业VPN的移动性的实现提供了可能，因此相对比传统的VPN，基于GPRS的VPN更具优势。GPRSVPN业务特点：可以实现移动办公、流动营业厅、移动POS、移动警务、移动监控等多种在移动环境下以无线方式接入客户企业网的应用，具有较高的移动性、实时性、安全性、方便性和可扩展性。按漫游方式分为全国漫游和省内漫游两种，但GPRS无漫游资费。按照IP地址分配方式分为动态IP地址和固定IP地址。按组网方式：公网接入、私网接入，公网IP接入和点对点接入，下面将按照组网方式对GPRSVPN进行详细介绍。图4.1两种组网方式4.1企业VPN的实现方式概述目前通过专线接入的企业VPN主要有通过两种方式实现，一种是企业通过接入CMNET 或者使用企业原有的INTERNET接入来实现，另外一种是企业接入GPRS骨干网内部的接入路由器来实现。目前一般是在企业端接入路由器与GGSN之间通过GRE来实现。这种方式实现起来比较灵活。GPRS网络企业分配专门的APN，并且将建立的GRE隧道作为该APN的DEFAULT路由。这样接入企业VPN的用户就可以路由到企业内部网络。对于企业APN的IP的分配目前一般通过GGSN来实现，对于企业端拥有RADUIS的也可以通过RADUIS来分配。APN的IPPOOL可以动态分配也可以静态分配，对于静态分配的APN，HLR中必须实现用户手机号码与IP地址的对应，否则用户将无法进行PDP激活。APN的IPPOOL如果已经分配为动态方式，就不能再实现静态方式，就是说一个APN只能同时有一种分配方式。对于有一部分企业用户要求在一个传输通路上既实现静态接入又实现动态接入，必须在同一个传输上做两个APN来实现。这样可以通过一个TUNNELKEY来实现。之前我们做VPN的时候一般是在GGSN配置一个GRE源地址，企业VPN的接入地址作为GRE的目的地址，这样不同的企业通过TUNNELKEY可以配置不同的GRE隧道。如果一个企业通过一个传输实现不同的APN，那么企业端的目的地址是相同，必须让GGSN侧的源地址使用不同的地址，这样才可以配置不同的GRE隧道。这样做主要是因为使用TUNNELKEY来识别不同的GRE隧道的时候，必须保证至少有一端的地址是不相同的才可能实现。4.2企业漫游区域的限制按照市场部门的协议，对于不同的企业我们允许企业漫游的范围会不一样。比如有些企业只允许在省内漫游，有些企业允许在省外漫游使用，还有一些企业只允许在省内的某些区域可以漫游。目前我们能做到的只能限制企业APN在某个或者某些个GGSN覆盖的区域内是否能漫游，这样的限制也只能做到省内的范围。这种限制的实现是通过DNS的配置来实现的，也就是不同的APN允许接入的GGSN的不同来实现漫游区域的不同。在GPRS骨干网的DNS（DomainNameServer，域名服务器）主要是用来解析GSN的IP地址的：在PDP上下文激活过程中，SGSN需要通过对APN进行域名解析，获得用户上网所使用的GGSN的IP地址。DNS完成对APN的解析，它将SGSN提供的APN解析为相应的GGSN的IP地址，并返回给SGSN，SGSN根据DNS提供的GGSN的IP地址建立至相应的GGSN的连接。 因此，在配置DNS的时候我们可以通过限制源地址的方式，将以不同的SGSN进来的地址分别到不同的DNS的解析表，对于不同区域的APN配置在不同的ZONE里面。这样就可以实现解析的限制。在DNS中设置不同的ZONE是在named.conf文件中实现的。针对不同IP地址的限制是使用DNS的VIEW参数来实现的，如下面是VIEW的语法。语法:view“view_name”{match-clients{address_match_list};[view_option;...][zone_statement;...]};我们只需要在不同的文件中添加APN数据就可以，对于允许接入在省内漫游的APN我们只要在db.sd.mnc000.mcc460.gprs.shandong中添加用户解析就可以，对于省际的APN，我们只要在db.sd.mnc000.mcc460.gprs.anywhere里面添加数据就可以。如果我们需要限制更多，那么就只需将VIEW增加几个，分别限制不同的地址进行解析就可以。我们这里说的限制只是在防火墙允许的范围之内的再次限制，如果防火墙上已经做了策略不允许某地址进入，那么这边即使你打开限制也是没有办法解析的。4.3点对点VPN的实现点对点VPN就是用户通过某APN拨号建立以后可以直接的互相通信，这样用户的服务器端可客户端都可以使用GPRS来实现。其实这种APN的实现特别简单，目前我们正常方式制作的走GRE隧道或者普通IP寻路由的APN都可以实现点对点的通信。对于一些企业网络中不想专门增加设备，而只想实现点对点通信，我们可以为企业制作专门的APN，对于该APN设置成普通IP寻路的方式，这样该APN就可以实现点对点通信，对于类似的业务，我们一般将APN的IPPOOL设置成静态方式，因为用户的服务器端必须是使用固定的IP，这样比较容易实现。 图4.2点到点通信4.4端到端IPSEC的实现端到端Ipsec方式的接入就是用户首先通过GPRS实现internet连接后，在客户端设备，如PC机上运行IpsecVPN客户端软件，这样就可以与企业端VPN网关设备之间建立Ipsec隧道，接入企业内部网，从而实现企业原有的一些应用。因为IPSEC提供数据保密、数据完整性、数据来源认证、禁止重操作等网络安全服务，可以有效的保证企业用户数据的安全，因此得到一些大企业的青睐。用户可以使用CMNETAPN接入internet，PC上运行IpsecVPN客户端软件，与企业端VPN网关设备之间建立Ipsec隧道，接入企业内部网。因为目前CMNET这个APN都是分配的私有地址，在GGSN或者防火墙是做了NAT转换从而实现用户通过私有地址可以接入INTERNET，而Ipsec经过PAT对企业端的VPN网关设备有一定要求，一般的网关是无法实现Ipsec协议的穿透，因此对于类似方式实现的VPN需要特殊的VPN网关的支持，或者需要对现有的网关进行升级才能实现。但是，这种方式必须用户做软件或者硬件的改动才能实现，可能在很短的时间内无法做到，因此在目前的情况下，我们可以在省内配置一个专门的APN来支持类似的业务。也就是配置一个公网IP地址的APN，这样因为无须做NAT转换，因此用户可以比较方便的实现Ipsec。 图4.3端到端Ipsec4.5多GGSN网络中备份方案的实现随着GPRS网络的扩容，目前一个省的GPRS网络中可能配置了多个GGSN，这样可以实现业务的安全备份。如果一个GGSN出现故障，通过DNS解析的结果的变更，可以将业务转移到另外一个GGSN上。这样对于企业VPN用户来说，需要在企业端路由器上做相应的数据，以保证业务可以自动的实现倒换。因为目前我们主要有两种分配方式的APN，一个是静态地址，一个是动态地址，因此对于这两种方式需要采用不同的备份方案。1、动态地址APN的备份动态地址的APN，因为每次获的IP地址不同，因此可以比较容易实现。需要进行的数据配置主要包括。（1）APN的配置所有的GGSN上都需要制作用户APN数据。每个GGSN上APN的名字相同，但是APN分别使用不同的IPPOOL。（2）GRE隧道的配置在所有的GGSN上都分别配置企业端的GRE隧道数据，每个GGSN的GRE隧道的源地址分别使用本GGSN配置的GRE 隧道的源地址，这个地址可以和其他所有企业APN的源地址使用相同的地址。通过TUNNELKEY来识别不同的隧道，但是要保证两个GGSN上和该企业连的GRE的TUNNELKEY是不同的。只有这样从企业端看来使用相同源地址配置的到不同目的地址的两条GRE隧道才能互不影响。（1）企业端路由器的配置下面是某企业接入企业端的配置实例。interfaceTunnel0description"GRETOGGSN1"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.0.233//GGSN2侧GGSNGRE源地址tunnelkey101//此处TUNNELKEY用来识别不同的GRETUNNEL!interfaceTunnel1description"GRETOGGSN2"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.200.1//GGSN2侧GGSNGRE源地址tunnelkey102//此处TUNNELKEY用来识别不同的GRETUNNEL!interfaceFastEthernet2/1description"ConnecttoSDMCCGPRSNetwork"ipaddress10.14.192.6255.255.255.252duplexhalf!ipclasslessiproute10.14.0.0255.255.255.010.14.192.6//保证与GGSN1网络连通iproute10.14.200.0255.255.255.010.14.192.6//保证与GGSN2网络连通iproute10.14.68.0255.255.255.0Tunnel0//连向GGSN1的路由 iproute10.14.69.0255.255.255.0Tunnel1//连向GGSN2的路由上面的例子中企业端路由器分别配置两个GRE隧道，对应两个GRE隧道分别又有一条路由。目的网段分别是GGSN1和GGSN2分配的手机的IPPOOL，这样就可以实现一个GGSN故障之后企业端可以正常路由而不影响业务。不过如果企业在连接状态下，GGSN故障，那么企业的接入必须中断一次，再次连接之后才能建立新的连接并进行业务的使用。1、静态地址APN的备份对于静态地址的APN，因为其地址在HLR中已经和号码做好对应关系，因此如果要实现GGSN之间的业务备份必须在两个GGSN上配置相同的IP地址，否则用户将无法激活。或者HLR在设备故障后临时更改用户端的地址。因此整体实现应该有以下几种选择的方案。方案一、两个GGSN配置相同的APN的IPPOOL，在用户端配置不同的GRE路由，根据路由的优先级选择连接向不同的路由。下面企业端路由器的配置示例。interfaceTunnel0description"GRETOGGSN1"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.0.233//GGSN2侧GGSNGRE源地址tunnelkey101//此处TUNNELKEY用来识别不同的GRETUNNEL!interfaceTunnel1description"GRETOGGSN2"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.200.1//GGSN2侧GGSNGRE源地址tunnelkey102//此处TUNNELKEY用来识别不同的GRETUNNEL!interfaceFastEthernet2/1description"ConnecttoSDMCCGPRSNetwork" ipaddress10.14.192.6255.255.255.252duplexhalf!ipclasslessiproute10.14.0.0255.255.255.010.14.192.6//保证与GGSN1网络连通iproute10.14.200.0255.255.255.010.14.192.6//保证与GGSN2网络连通iproute10.14.69.0255.255.255.0Tunnel0//连向GGSN1的路由优先级默认为0iproute10.14.69.0255.255.255.0Tunnel11//连向GGSN2的路由优先级设置为1此时正常情况下应该路由到TUNNEL0上，如果GGSN1故障后那么将路由到GGSN2上，但是这种方法实现起来不是很理想，最好是能通过用户更改IPROUTE方式。即在正常情况下用户配置路由的下一跳为TUNNEL0，如果设备故障需要连接至GGSN2，那么只需要用户将路由的下一条更改到TUNNEL1就可以实现。方案二、两个GGSN配置不同的APN的IPPOOL，在用户端配置不同的GRE路由，用户路由器配置两条GRETUNNEL，配置一条到APNIPPOOL的路由。在HLR中制作备份用的用户的IP地址数据，如果设备故障后，可以通过HLR中修改用户的IP地址就可以实现，不过这样需要平时最好数据的备份工作。 5、GPRS国际漫游业务5.1概述随着中国移动GPRS用户的迅速增长，对GPRS国际漫游业务的需求也与日俱增。中国移动集团公司于2001年初开始同亚洲最大的GRX服务商Aicent公司合作，同年，顺利地完成了中国移动四个省公司（北京、广东、辽宁、福建）GPRS国际漫游的测试工作。并且，在2002年4月成功的把中国移动公司先期做测试的省公司GPRS国际漫游业务割接到BorderGateway目标网。随着中国移动剩余省公司不断地联入目标网，所有和Aicent公司相连地的GPRS用户都能随时随地更方便、更快捷地享受高速数据业务。截至到2003年8月，中国移动已经和22个运营商开通了GPRS国际漫游业务。5.1.1GRX介绍GRX是GPRS漫游交换(GPRSRoamingeXchange)的英文简称，它是通过GPRSRoamingNetwork连接不同的运营商，从而实现不同运营商之间的GPRS漫游。下图是GRX的图示图5.1GRX连接图5.1.2GPRS国际漫游正式运行时的IP路由组网方案(一)、正式运行时的组网方案说明1． 在CMnet北京、广州节点分别设置边界网关路由器（BG），与CMnet北京、广州核心路由器连接。BG域的划分归属CMnet骨干网，与CMnet北京、广州核心路由器之间运行IBGP协议，与GRX的ACCESSROUTER以专线相连，ACCESSROUTER和GRXPOP以专线或VPN方式相连；BG和GRX之间运行BGP协议。1．BG和北京、广州的核心路由器相连（通过ACE交换机），ACCESSROUTER和骨干网路由器相连（通过ACE交换机）；两者属于不同的VLAN。2．关于ACCESSROUTE的连接情况由于目前AICENT公司还没有将ACCESSROUTER和GRXPOP之间的专线还没有到位；目前ACCESSROUTER和GRXPOP之间通过VPN（GRE+IPSEC方式）连接；它们之间专线调通后，专线将作为第一路由、VPN为备用路由。3．中国移动各省GPRS核心网络若有去往国际GPRS运营商网络的数据时路由如下：中国移动省级GPRS核心网àCMnetàBGàGRX网络à国际GPRS运营商网络4．国际GPRS运营商网络若有去往各省GPRS核心网络的数据时路由如下：国际GPRS运营商网络àGRX网络àBGàCMnetà中国移动省级GPRS核心网5．此方案下，与中国移动签署漫游协议的GPRS运营商的Gn接口的路由信息会广播在CMnet上，因此存在CMnet用户通过CMnet对与中国移动签署漫游协议的GPRS运营商网络发起攻击的可能。 图5.2中国移动GPRS国漫骨干图5.2GPRS国际漫游及其分类5.2.1手机注册和内容激活当用户在拜访地第一次执行‘GPRSAttached’来附着时，拜访地的SGSN会于归属地的HLR进行通信，来确定手机的签约信息以及漫游许可。如果，该用户允许漫游，VSGSN将会确认该用户。接下来，用户将执行‘PDPContextActivation’来激活APN，在这个过程中，通过判别SGSN中的签约数据来选择执行哪种漫游方案：ISPRoaming和VPLMNRoaming。5.2.2PLMNRoaming 在这个方案中，用户漫游到VPLMN时，使用VSGSN注册，但是使用HGGSN上Internet浏览网页或WAP。如下图所示：Figure1:Scenario1-VSGSNandHGGSNusingtheInternationalInterPLMNBackbone图5.3PLMN漫游5.2.3ISPRoaming在这个方案中，用户漫游到VPLMN时，使用VSGSN注册，使用HGGSN上Internet浏览网页或WAP。如下图所示：图5.4ISP漫游5.3GRX中的DNS解析如同在INTERNET一样，在GRX中也有相同的DNS分级结构。在GRX中，顶级域名为‘.gprs’。每一个运营商都管理着一个属于自己的域名，比如：中国移动是‘mnc000.mcc460.gprs’。GPRS的DNS系统是一个私有的网络，和INTERNET没有任何联系。各个运营商的DNS都允许其它的运营商的DNS查询。当用户漫游时，拜访地的SGSN会查询本地的DNS，本地的DNS会解析该APN对应的GGSN的IP。这时会有两种情况：本地的DNS不能解析该APN，需要查询归属地的DNS；本地的DNS可以解析GGSN的IP。5.3.1使用拜访地的DNS如下图所示，这种方式更加的复杂，需要通过GRX来进行数据和信号的传输。 图5.5拜访地DNS解析l漫游手机发送PDPContext激活给拜访地的SGSN。如果没有指定APN，将使用拜访地SGSN缺省的APN。l拜访地的SGSN根据用户数据，向本地DNS查询。l如果在本地的DNS没有该记录，DNS将向GRX的根的DNS查询。l查到用户归属地的DNS后，本地DNS将向归属地DNS发出查询请求。l归属地的DNS返回结果给本地的DNS。l本地的DNS将结果返回拜访地的SGSN，进行下面的通讯。5.3.2使用归属地的DNS如下图所示，这种DNS查询方式比较简单。不需要通过GRX进行DNS的查询。图5.6归属地DNS解析 l漫游手机发送PDPContext激活给拜访地的SGSN。如果没有指定APN，将使用拜访地SGSN缺省的APN。l拜访地的SGSN根据用户数据，向本地DNS查询。l本地的DNS将结果返回拜访地的SGSN，进行下面的通讯。6、彩信业务彩信是中国移动2002年10月推出的一项重要业务，彩信也称作多媒体消息业务（MMS－MultimediaMessagingService），是短消息服务（SMS）和图片信息(PictureMessage)或EMS的进一步发展。多媒体消息不仅仅局限于文本信息，还可以传递更为丰富的信息，比如图像、音频、视频等数据信息。MMS业务虽然在给用户的业务表现上类似于SMS业务，但在实际的实现方法上采用的是WAP事件的处理流程，由接收方主动从MMSC下载消息，类似于WAP的浏览或下载方式。6.1业务类型多媒体消息服务的业务类型可以有多种划分方式，比如按照通信实体划分、按照承载方式划分等。以多媒体消息业务按通信实体划分为例，可以分为：1）、终端到终端：终端到终端的使用方式是多媒体消息业务中最普遍、最广泛的业务模式，用户通过MMS终端制作、编写多媒体消息，并发送到多媒体消息中心，由多媒体消息中心将多媒体消息发送到接收方终端（包括点对多点的情况）。2）、终端到应用：用户可以通过MMS终端发送多媒体消息到一个应用系统，比如：通过手机终端发送多媒体消息到Email信箱；通过手机终端发送多媒体消息到一个增值应用系统。3）、应用到终端多媒体消息业务也可以由应用系统发起，比如，外部应用系统发送多媒体消息到手机终端；Email邮箱系统发送多媒体消息到手机终端。 6.2组网结构多媒体消息业务的系统结构如下图所示：图6.1彩信组网图MM2MM7MM6MM4MM3MM1接入服务器GSMGGSNGPRS短信中心MMS终端非MMS终端WAP网关MMSRelay/Server用户数据库外部服务器(例如E-Mail)外部服务器外部服务器(例如VoiceMail)IP网IP网其它MMSC3GMM8计费系统非MMS终端支撑应用MMS增值应用系统网管系统RelayServerMMS重定向器ENUM-DNS多媒体消息系统包括以下网元：MMS终端、多媒体消息中心、MMS用户数据库、外部应用服务器、增值应用服务器以及非MMS终端处理系统。此外，为配合多媒体消息平台提供多媒体消息服务，需要WAP网关、GSM/GPRS网络资源等设备的支持，还要和现网中的计费系统、网管系统互联。6.3典型业务流程接收方当地WAP网关当地短信中心⑦⑧⑨接收方当前所在WAP网关⑴⑶⑵⑷发送方①②③发送方当前所在WAP网关④重定向器发送方归属MMSC1接收方归属MMSC2⑤⑥DNS1、MMS终端到MMS终端 图6.2MMS终端到MMS终端消息流程如下：当用户发送彩信时，通过在终端中设置的MMSCURI地址，发起连接请求。（图1中消息①）连接请求被发送到发送方当前所在wap网关，wap网关从公网DNS上解析到MMSCURI对应的地址（mms重定向器），继而想重定向器发送HTTP请求，其中包含发送方用户MSISDN，重定向器返回发送方用户归属mmsc的地址。之后，wap网关将请求包发往发送方归属mmsc。（图1中消息②--⑤）mmsc收到消息后，首先判断接收方用户的归属mmsc，若接收方用户归属另外一个mmsc2，则把消息转发给该mmsc2。（图1中消息⑥）接收方用户归属mmsc将检查接收方的用户状态，若为mms终端或未知用户，则下发push通知。（图1中消息⑦--⑨）接收方用户收到此push通知后会发起wap连接，自动连接到mmsc2上提取此条彩信。（图1中消息⑴--⑷）2、MMS终端到梦网邮箱(1)发送方归属MMSC梦网邮箱⑹⑺⑻DNS接收方当地短信网关短信中心⑼①⑽⑾接收方归属短信网关⑿发送方⑶⑷⑸重定向器⑴⑵发送方当前所在WAP网关DNS3.3.2终端到E-MAIL 图6.3MMS终端到梦网邮箱消息流程如下：发送方用户向接收方用户的Email邮箱发送一条彩信，消息到达发送方用户归属mmsc的过程同终端到终端的业务流程。（图中消息⑴--⑸）mmsc收到彩信后向DNS查询接收方邮箱的地址，并直接把消息发送到接收方用户的邮箱。（图中消息⑹--⑻）如果接收方的邮箱是中国移动的梦网邮箱，则梦网邮箱收到消息后，会利用邮件到达通知的方式给接收方用户发送短信通知③。（图中消息⑼--⑿）接收方用户可登录梦网邮箱，接收彩信。（图中消息①）接收方邮箱可以是梦网邮箱、公网上的各种邮箱等。3、应用到终端⑵③与SP相连的MMSC1接收方归属MMSC2④接收方当前所在WAP网关②当地WAP网关⑤SP当地短信中心⑴⑥①图6.4应用到终端消息流程如下：用户首先需要在网站上注册自己的手机号码。 用户到网站上点播一条彩信，SP把彩信发送给与相连的mmsc1。mmsc1收到消息后，首先判断接收方用户的归属mmsc。若属于另一个mmsc，则把消息转发给该mmsc2。（图8中消息①--③）接收方用户归属mmsc将检查接收方的用户状态。若是MMS终端，则会给接收方用户发送通知消息。接收方用户收到通知消息后会自动连接到mmsc上提取消息。（图8中消息④--⑥，⑴--⑵）7、山东移动GPRS网络概况7.1GPRS网络概况山东GPRS网络经历了三期工程建设，目前GPRS网络已经覆盖全省，GPRS网络质量在全体维护人员的努力下得到了进一步的改善和提高。山东GPRS核心网络主要安装在济南和青岛两地，其中济南和青岛各配置两台SGSN（爱立信和华为各一半），分别负责西部12城市和东部5城市的BSC的接入。济南配置两台GGSN，GGSN通过2个100M的以太网口和CMNET相连，作为全省的GPRS用户的公共出口。济南的SGSN设计容量为30.3万，其中爱立信SGSN容量5.3万，下挂济南、淄博、滨州、德州、东营和聊城的PCU，华为SGSN容量25万，下挂泰安，济宁、临沂、枣庄、菏泽、莱芜6地市。青岛SGSN设计容量为30.7万，爱立信SGSN容量为5.6万，下挂青岛本地PCU，华为SGSN容量25万，下挂潍坊、烟台、威海和日照的PCU。作为公共出口的GGSN设计容量为28万。下图为济南核心网设备组网图： 图7.1济南核心网结构下图为青岛核心网设备组网图：图7.2青岛核心网结构 7.2GPRS业务开展情况GPRS网络是承载在CMNET和GSM网络上的，但是它本身也是一个承载网络，在上面可以开展各种丰富多彩的业务。目前GPRS在全国范围内开通的业务重要有CMNET拨号上网、WAPOVERGPRS及彩信业务和KJAVA下载等业务。目前这些业务在山东GPRS网络上运行都比较稳定。另外GPRSVPN业务是山东GPRS业务开展比较快的一个亮点业务，集团公司的经验会上我们可以得知，目前我们省该业务的开展情况和其他省相比较是走在前面的。目前主要的行业应用有：行业性应用：银行、电厂、法院、海关、福彩、交通、油田政府机关、大型企业：枣庄滕州市委、海尔、海信公司内部：BOSS系统的接入、办公网的接入、网管网络的接入我们相信，随着我们网络的进一步优化，GPRS一定可以承载更加丰富多彩的业务。8、责任分工网络维护中心：牵头负责GPRSVPN业务的维护。负责GPRSVPN业务的局数据及传输的申请、开通和端到端日常测试，保证业务畅通；负责建立健全和保存GPRSVPN专线接入业务的完整资料，内容包括：用户资料、专线带宽、IP地址资料、VPNID、客户经理姓名及联系方式等。负责配合客户经理为客户提供技术支持。公共设备维护中心：负责IP地址的分配及管理、数据配置，配合业务开通。公共中心核心设备侧能呈现的专线故障，由公共中心检查GPRS设备及端口状态，视情派发故障工单并及时联系传输维护中心和网维护中心进行故障定位、处理。传输维护中心：负责GPRSVPN业务传输电路的日常维护和线路的资料管理，保障电路端到端畅通。负责建立健全和保存GPRSVPN传输路由的物理实现方式及本地接入的电路资料、租用电路维护人员及联系方式。经营单位：负责提供申请业务开通所需资料，负责与客户的沟通协调（不包括故障处理过程中双方技术人员之间的联系），向客户解释故障原因，征得客户理解和支持，维持良好的客户关系。如果需技术人员上门为客户提供技术支持，原则上由客户经理陪同前往，以便沟通协调。监控人员发现专线故障后，技术人员首先核查是否本端问题，如需与客户进行沟通时，客户经理有义务配合维护单位与客户进行沟通，协助进行故障处理。9、维护界面划分公网接入：公共设备维护中心负责维护GPRS接入设备端口以内（包括端口）部分。网络维护中心负责维护CMNET接入设备端口以内（包括端口）部分。私网接入： 公共设备维护中心负责维护GPRS接入设备端口以内（包括端口）。传输维护中心负责维护从客户侧移动传输设备到GPRS接入设备端口间的传输部分。具体如下：采用协议转换器时，传输维护中心负责两端协议转换器之间端到端传输（含连接协转的接头），网络维护中心负责维护协议转换器、协转到用户设备、协转到CMNET设备端口间的部分。采用10M/100M接入时，传输维护中心负责客户侧移动传输设备到公共设备维护中心GPRS接入设备之间的传输（含接头）。采用光纤直连时，传输维护中心负责两端光电转换器之间的传输。公共设备维护中心负责GPRS系统数据配置、企业APN路由数据下发，负责GPRS设备至客户端接入路由器路由畅通；客户自行负责客户端路由器的配置及维护。五、主机托管类业务托管方客户负责维护托管设备，网络部门负责维护托管设备的配套设施。1、责任分工网络维护中心：牵头负责主机托管类业务（IDC业务托管除外）的维护及随工，建立健全托管业务的完整资料，内容包括：集团客户名称、联系人、联系电话、传输线路数量、设备明细、客户经理及联系方式等。作为故障处理的总负责人，协调内部资源进行故障处理解决。配合客户经理为客户提供技术支持。传输维护中心：负责直联业务传输设施（包括租用电路）的资料管理和日常维护，保障电路端到端畅通。2、维护界面划分网络维护中心：负责移动接入设备到用户托管主机直联线路的建设及维护；负责主机托管业务的随工。传输维护中心：负责移动核心传输设备到用户网络之间的传输设备及线路维护。六、出租专线业务1、维护责任分工传输维护中心：牵头负责出租专线的维护。负责出租专线业务传输设施（包括租用电路）的资料管理和日常维护，保障电路端到端(中心机房－传输设备；用户网络－传输设备)畅通。按相关要求建立健全出租专线业务的完整资料，内容包括：集团客户名称、联系人、联系电话、客户经理及联系方式、专线名称、位置、业务描述、用户联系人、电话、光缆路由、客户使用习惯等等。配合客户经理为客户提供技术支持、故障处理。经营单位：负责提供申请业务开通所需资料，负责与客户的沟通协调（不包括故障处理过程中双方技术人员之间的联系），向客户解释故障原因，征得客户理解和支持，维持良好的客户关系。如果需技术人员上门为客户提供技术支持，原则上由客户经理陪同前往，以便沟通协调。监控人员发现专线故障后，技术人员首先核查是否本端问题，如需与客户进行沟通时，客户经理有义务配合维护单位与客户进行沟通，协助进行故障处理。2、维护界面划分 客户负责维护从客户端设备至其传输设备业务端口部分，传输维护中心负责维护从客户侧传输设备业务端口至移动传输设备侧端口或业务侧DDF/ODF端子部分。传输维护中负责维护光缆、专用传输设备、出租专线类项目中光收发、协转等简单数据设备、出租专线类项目中客户侧专用数据设备（路由器、防火墙、交换机）。网络维护中心：配合传输中心对客户侧专用数据设备（路由器、防火墙、交换机）的维护提供及时有效的技术支持。七、与铁通协同项目1、责任分工网络维护中心：建立合作项目数据及交换设备资产的完整资料，配合铁通进行故障处理，协调内部资源进行故障处理解决。配合客户经理为客户提供技术支持。传输维护中心：建立合作项目传输设备资产的完整资料，负责合作项目移动传输设施的资料管理和日常维护，保障所维护部分电路畅通。铁通公司：建立健全合作项目资产的完整资料，内容包括：集团客户名称、联系人、联系电话、设备明细及地点、客户经理及联系方式等；负责合作项目传输设施的资料管理和日常维护，保障所维护部分电路畅通。作为故障处理的总负责人，协调内部资源进行故障处理解决。配合客户经理为客户提供技术支持。2、维护界面划分：双方根据网络资源的分段属性进行设备维护和故障处理，客户侧设备统一由铁通负责维护和故障处理。第二章集客专线维护界面划分及工作内容一、维护界面的划分代理维护工作内容分为以下几项：1.位于集团客户机房的移动公司产权接入设备，包括传输设备、数据设备、语音设备、协议转换器、光电转换器等其他接入设备。2、位于上游站基站机房（或核心网机房）内与集团客户配套成对的数据设备、PDH设备、协议转换器、光电转换器等。3、对于语音专线：以客户交换机传输侧DDF架传输侧端子为界，从客户交换机至其传输侧DDF端子归集团客户维护；CMNET专线：CMNET本地接入设备端口以内（包括端口），从客户设备到CMNET设备端口间传输归集团客户维护；GPRS VPN专线（公网）按照CMNET专线接入分工界面执行，GPRSVPN专线（私网）从客户设备到GPRS设备端口间传输，协议转换器及协转分别到用户设备和CMNET设备端口间归集团客户维护。4、设备例行维护，优化配合、勘察设计、搬迁改造及其它配合性工作。二、维护工作内容（一）、例行维护作业计划（二）、工程验收在新建工程验收时，代维公司按要求派人参与工程验收。验收时，验收三方（工程施工方人员、移动公司方人员和代维方验收人员）一起到现场进行工程验收，并对工程验收提出意见和建议。互联网验收测试方案为：1.概述（1）本规范包括的集团客户业务为互联网专线业务。（2）每种业务按照不同的质量保障等级共分为AAA级、AA级、A级、普通级四个级别。（3）本规范制订了不同SLA级别对应的组网模型。（4）本规范的解释和修改权属于中国移动通信集团网络部。2.互联网专线业务描述2.1.业务定义互联网专线业务是指为客户提供各种速率的链路，直接连接CMNET，实现方便快捷的高速互联网上网服务，带宽可以灵活选择。2.2.业务功能及特点 互联网专线除提供基本高速上网功能外，还可承载多种新型互联网综合应用，如多媒体信息查询、IP电话、视频会议、网上银行、电子商务等。互联网专线业务具有如下特点：·灵活的带宽：通过中国移动强大的CMNET数据网络，采用专线的方式为集团客户提供多种带宽的互联网接入业务。互联网专线带宽一般为N*2M或10M、100M或以上。·快速Internet：既可实现集团内部员工高速上网，又方便集团客户利用Internet直接开展网上业务，进行电子商务活动。1.互联专线业务网络结构1.1.网络结构互联网专线常用接入手段主要包括PON、PTN、MSTP等，对于大颗粒业务可采用WDM/OTN技术。互联网专线的接入距离可达70公里，提供2-1000M及更高速率的高速带宽。互联网专线业务网络结构如图3.1-1所示：图3.1-1互联网专线业务网络结构示意图2.互联网专线业务分级保障分析及业务指标2.1.业务分级保障等级根据客户服务等级和所申请业务的重要程度，对客户的业务确定不同的业务保障等级，并提供差异化的组网解决方案。本规范重点提出网络的差异化组网方案，对业务开通时间、系统恢复时间的不同业务保障要求见《中国移动集团客户网络服务等级协议(SLA)规范》的相关部分。互联网专线是指为客户提供各种速率的链路，直接连接CMNET，实现方便快捷的高速互联网上网服务。互联网专线业务的分级主要体现在不同等级客户的接入层面和设备的可用度上。 客户接入层面的差异化组网方案主要在网络的保护方面体现。工程中主要通过物理双路由，选用具有自愈保护功能的设备，实现网络自愈保护。1.1.性能指标分析衡量互联网专线业务的重要性能指标主要有可用带宽、时延和丢包率。1.1.1.可用带宽可用带宽是指在客户侧数通设备与归属的SR路由器或业务网关设备之间，以HTTP或FTP协议传输数据时实际获得的带宽值。互联网专线业务的客户侧数通设备至归属的SR路由器或业务网关设备的可用带宽应与客户合同带宽基本一致。考虑数据包包头等开销，FTP、HTTP协议的测试带宽应不小于客户合同带宽的70％。1.1.2.时延时延是指在客户侧数通设备与归属的SR路由器或业务网关设备之间传送数据所需要的时间。测试时使用的包长在设备吞吐量范围内时，且在正常带宽负荷下（负荷小于70％），客户侧数通设备至归属的SR路由器或业务网关设备的单向时延指标应不大于10ms。1.1.3.丢包率丢包率是指在客户侧数通设备与归属的SR路由器或业务网关设备之间传送数据时，应该转发的数据包中不能转发的数据包所占比例。丢包率与数据包长度以及带宽的负荷相关。测试时使用的包长在设备吞吐量范围内，且在正常带宽负荷下（负荷小于70％），丢包率应不大于1％。1.2.互联网专线业务分级保障及业务指标本分级保障体系中，对于不同等级的客户提供相同的业务指标。互联网专线业务指标及不同等级业务的接入方式如下表所示：表4.3-1互联网专线业务分级保障及业务指标项目业务指标接入方式AAA级见4.2.1-4.2.3节描述采用物理双路由接入CMNET；如采用PON技术，在OLT与分光器之间采用 TypeA或TypeB方式的物理双路由保护，在ONU与分光器之间采用物理双路由保护。AA级采用逻辑双路由接入CMNET；如采用PON技术，在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护。A级采用单路由接入CMNET；如采用PON技术，在OLT与分光器之间采用备纤保护。普通级采用单路由接入CMNET；如采用PON技术，不采取保护措施。注：各等级业务的接入技术选择见5.1节。1.互联网专线业务接入网络要求1.1.接入技术选择1.1.1.接入技术传统的SDH/MSTP技术提供有保障透明传输通道，能够较好地满足业务需求。PTN技术结合了IP技术的灵活性和传输技术的保护、良好OAM的特点；中国移动主导推出了PTN技术并正在城域网中大力建设PTN网络。关于MSAP技术的行标已正式颁发（“YDT2158-2010接入网技术要求”），但在中国移动技术路标中还未做规定。其技术核心以MSTP技术为主，有部分IP技术的应用，加入了相关的接口协议转换功能，为适应接入客户的需求增加了V.35等接口。其应用的规范性和成熟性有待提高。PON技术是一种点到多点的光纤接入技术，可以灵活组成树型、星型、总线型等拓扑结构，当前适用的主流技术主要有EPON和GPON两种，在容量的提供和成本方面具有优势，综合业务接入能力强。多业务光调制解调器和光纤收发器仅作为一种器件技术，不是电信级的传输设备，可以作为业务的远距离接入的一种手段。协议转换器作为一种接口适配器件，为客户侧设备和客户端设备（路由器等）的连接提供接口转换。但其不是电信级的传输设备，一般不建议使用。城域传送网及上层网络保持一个统一可靠的网络，和接入用户等级无关。业务主要通过接入网的组网结构、线路维护指标、设备可用度的差异来实现不同的业务保障等级。 1.1.1.技术选择（1）SDH/MSTP和PTN技术可以应用于所有级别的互联网专线业务网络。在FE/GE等专线需求的集团客户中优先推广采用PTN技术。原则上客户接入网技术应和城域传送网和接入网中底层技术保持一致，以便于采用NNI接口，利用城域网和接入网中已有设备的支路口组网，节约投资和机房面积。（2）MSAP是MSTP技术在接入网中应用的优化，但其标准和技术应用需在中国移动的技术体制中进一步规范，建议用于AA级及以下级别的互联网专线业务网络，部署位置应在接入节点及以下。对于中小型企业（AA及以下的专线）开通小带宽（2-8M）的地域跨度小的互联网专线业务，可采用MSAP组网技术。（3）PON技术可以用在不同等级的互联网专线业务中，其带宽扩展性较好，且针对不同等级可以提供不同的保护方式，由于ONU和分光器之间启用保护的成本较高，一般不建议使用，仅在具备条件的AAA级互联网专线业务中使用。（4）成对光调制解调器的使用，由于末端光调制解调器一般需要采用带外网管方式，需要对网管链路进行二次建设；台式光纤收发器点对点组网，无法实现网管。此类技术仅考虑用于普通级业务中。（5）单纯的使用协议转换器用于端口匹配，增加了节点，原则上在AAA级互联网专线业务中不使用,在AA级和A级互联网专线业务中不建议使用无法监控的协议转换器，无监控的协议转换器只能用于普通级互联网专线业务。表5.1-1接入技术比较接入技术规范化组网方式组网方式特点适应场景（客户等级）MSTP/PTN全程MSTP/PTN1、全透明传输，传输效率高，完全能满足语音、数据、多媒体信息等传输的需要。适用所有等级的业务，特别是AAA专线，安全性、稳定性最高。2、具有自愈保护功能，安全性高。3、组网简单。4、网络端口可进行限速，可根据需求提供不同的带宽，可靠性、保密性高。5、设备成本较高。MSAP城域网1、每专线平均成本低。适用于AA MSTP+接入网MSAP及以下的专线，安全性、稳定性较高；特别适用于需要V.35等小带宽接口的客户2、提供1＋1保护，可实现自愈保护。3、全程网管，提供客户侧断电、断纤告警区分。4、全光接入，稳定、可靠，不受其他外在环境因素干扰。5、中国移动尚无技术体制PONOLT上联至业务网关设备1、建网成本较低。适用于各等级的互联网专线业务，提供不同的保护方式。使用在AAA中，ONU至分光器之间需要启用保护，成本较高。2、带宽扩展容易。3、由于PON技术采取下行广播机制分发数据，存在被窃听的可能，但难度较大。成对光调制解调器、光纤收发器城域网MSTP/SDH+成对光调制解调器、光纤收发器1、利用原有传输资源，设备投资少，成本较低。适用于普通级的互联网专线业务2、可靠性较低。局端需新增多业务光猫。堆叠严重，增加了维护节点，维护难度增大。3、无法或难以网管。表5.1-2业务分级保障技术选择项目接入技术备注接入网(AAA)MSTP/PTN，PON（1）首先结合上层城域网技术选取MSTP或PTN（2）结合客户需求的端口性质（TDM电路或以太电路）选取MSTP或PTN（3）选用MSTP/PTN技术时，不得使用协转。(4)选用PON技术时，在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护，在ONU与分光器之间采用物理双路由保护。接入网(AA)MSTP/PTN,MSAP，PON（1）首先结合上层城域网技术选取MSTP/MSAP或PTN（2）结合客户需求的端口性质（TDM电路或以太电路）选取MSTP/MSAP或PTN（3）选用MSTP/PTN技术时，不使用协转或使用可监控的协转。(4)选用PON技术时，在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护。（5）选用MSAP技术时，要求局端和远端设备可监控。接入网(A)MSTP/PTN,MSAP，PON(1）首先结合上层城域网技术选取MSTP/MSAP或PTN （2）结合客户需求的端口性质（TDM电路或以太电路）选取MSTP/MSAP或PTN（3）选用MSTP/PTN技术时，不使用协转或使用可监控的协转。(4)选用PON技术时，在OLT与分光器之间采用备纤保护。（5）选用MSAP技术时，要求局端和远端设备可监控。接入网(普通)MSTP/PTN,MSAP，PON(1)现网有可利用的PON网络时可直接选取，特别对于带宽需求较大的网络。(2）结合上层城域网技术选取MSTP/MSAP或PTN；结合客户需求的端口性质（TDM电路或以太电路）选取MSTP/MSAP或PTN。（3）选用MSTP/PTN技术时，可使用光调制解调器、光纤收发器等无法监控的设备。（4）选用PON技术时，不采取任何保护。（5）选用MSAP技术时，要求局端和远端设备可监控。1.1.接入侧/客户侧设备要求对设备的要求是要达到相应级别的设备可用度指标，并且能够支持线性保护或环网保护。（1）要达到设备可用度指标，应减少设备的故障率，这包括以下方面的考虑：设备自身的可靠性设计，包括元器件的选取和设备内部的系统设计。一般电信级设备都有较高的元器件筛选标准；设备整体的机械安全，包括内部板卡、子架的固定和机架加固。（2）增加对网络的监控，把握网络动态，要求所用设备具备网管功能，并能纳入到运营商的网管系统。（3）加强运维管理、减少故障处理时间。表5.2-1业务分级保障对接入侧/客户侧传输设备要求项目AAAAAA普通网络保护接入侧传输设备具有支持线性保护或环网保护的能力。同AAA无无电源备份客户侧设备电源具备1+1保护的双电源模块，客户侧设备具备220V/-48V两种电源可选输入接口客户侧设备根据需要选配1+1保护的双电源模块，并根据需要选配220V电源或-48V电源输入接口客户侧设备具备220V电源输入接口客户侧设备具备220V电源输入接口 双路输出若客户端设备具备双端口保护（一般为155M或FE接口），原则上，客户侧设备应具备客户端口的1+1保护输出（且工作和保护不在同一板卡上），用于实现端口的1+1保护无无无机架加固建议采用架式安装方式设备可采用台式或壁挂式安装方式设备可采用台式或壁挂式安装方式设备可采用台式或壁挂式安装方式，客户侧设备可采用室外机柜安装网络管理接入侧/客户侧设备应支持配置管理、故障管理、性能管理和安全管理，并能纳入到运营商的网络监控管理系统中。接入侧/客户侧设备应支持配置管理、故障管理、性能管理和安全管理，并能纳入到运营商的网络监控管理系统中。接入侧/客户侧设备应支持配置管理、故障管理、性能管理和安全管理，并能纳入到运营商的网络监控管理系统中。不要求1.1.业务特征对组网的影响一般来说，客户业务的带宽和接口类型对网络结构不产生大的影响，接入网的组网结构主要取决于业务保障等级，技术的应用主要结合城域传送网的网络技术选取。但在初期的组网方案中考虑一些具体的业务场景，包括接口类型、带宽需求及发展等，有助于整体网络的技术方案应用。1.1.1.业务接入位置目前的城域接入层网络通常采用环形网络结构，线路侧的速率一般为155M/622M(MSTP技术)或GE（PTN技术），因此其能提供的电路速率一般在155M/FE以下。一般情况下，互联网专线业务的带宽需求为2M～1000M及以上，客户业务的接入位置应选择在运营商网络末端的城域接入层节点如基站、营业厅等，避免在汇聚层节点机房造成大量的的接入设备堆砌。对于大带宽的业务需求（特别是客户中心的大业务带宽需求）可通过汇聚层进入到城域传送网络，或通过新建汇聚层～接入层的传输系统，将电路通过城域接入层延伸至接入网客户层。 AA及以上级别的业务，当客户设备离汇聚节点机房距离较近，且汇聚机房容量允许时，客户设备可就近通过汇聚节点接入到运营商城域传送网。已有城域传送网和城域接入层应为业务合理规划容量预留，接入电路尽量利用已规划好的传输通道上传送，新建传输系统应考虑整个接入网的发展需求，整体部署、层面清晰，不影响基础网络系统的完整性。城域传送网和城域接入层的接入节点（接入节点或汇聚节点）机房环境安全必须满足相关等级标准，特别是满足电源保证和承重等要求，不满足要求的应积极整改。对不能满足电源保障等要求的接入层节点（基站等），因时间、协调等原因暂不能满足要求的，可通过基站节点跳纤的方式将业务接入节点引至条件较好的节点（汇聚节点或其他基站）。由于此方案涉及到光纤资源的调配，影响到全网光纤配置，不建议作为常规方案，仅考虑作为临时过渡方案使用。1.1.1.业务接入网络连接接入网技术和城域传送网底层技术一致时，可在网络连接点（城域接入节点或汇聚节点）处利用已有城域设备的支路口与远端客户端设备组网拉远，采用NNI接口形成链形或环形网络。利用城域网中已有设备的支路口组网，节约投资和机房面积。图5.3-1网络连接方式示意图客户接入层技术和城域传送网/城域接入层技术一致，但已有城域传送网传输设备接口数量剩余不多或下联客户数量较多时，可新增接入侧设备扩展端口，利用新增接入设备通过群路口或支路口与客户侧设备组网，接入网与城域网之间采用NNI或UNI接口连接，客户电路通过支路信号上联至城域传送网络。若技术许可，推荐采用NNI接口连接。 客户接入层技术和城域传送网汇聚层/城域接入层技术不一致，或厂家不一致时，可增加接入侧设备与客户侧设备组网，两个网络之间采用UNI接口，客户电路通过支路信号上联至城域传送网络。1.互联网专线业务组网方案1.1.方案选择说明1.1.1.运营商条件准备城域传送网、城域数据网应根据集团客户业务发展规划，提前对传输电路、设备、板卡及其他相关系统进行扩容，为集团客户业务预留资源。1.1.2.用户协调根据《中国移动集团客户网络服务等级协议(SLA)规范》、业务安全需求以及带宽、接口需求，给出网络服务等级建议。1.1.3.确定业务保障等级结合中国移动的基础资源条件，以及客户机房及设备条件，论证是否具备相应等级网络组网条件。条件不满足通过以下措施解决：（1）对中国移动不满足要求的部分进行整改，包括机房条件、设备性能、光缆光纤、电源供给；（2）对客户不满足部分给出建议，包括客户机房环境、电源等条件和设备要求等，使其达到相应级别的可用度指标，满足组网条件。上述解决措施难以实施时，协商建议采用低一等级的网络解决方案。1.1.4.选择业务解决方案根据业务的业务保障等级要求选取AAA、AA、A、普通级等4个不同等级的业务解决方案，不同等级的组网差别主要体现在客户接入组网方案、以及设备的可用性指标。在相应级别的业务解决方案中，选择组网模型。（1）在同一解决方案中不同组网模型都能满足业务保障等级要求。（2）本规范定义的组网模型为满足该等级业务指标及可用度的参考组网，各省公司可根据实际情况采用更高等级的模型组网。 在相应级别的业务解决方案中，确认组网技术的选择是否符合专线业务的需求。在相应级别的业务解决方案中，核实不同模型的基础网络资源是否满足要求。在相应级别的业务解决方案中，提出对有线接入设备的要求，为下一阶段的设备采购及维护提出了要求。在相应级别的业务解决方案中，对配套设施提出了要求；对客户机房的要求可以作为对专线业务的客户建议提出。若达不到要求，其影响不在系统考核指标内。1.1.AAA级互联网专线业务解决方案AAA互联网专线业务采用物理双路由的组网模型。如采用PON技术，需要在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护，在ONU与分光器之间采用物理双路由保护。1.1.1.AAA级组网模型1.1.1.1.组网模型1对于AAA级互联网专线业务，1台客户侧设备通过物理双路由接入1台接入侧传输设备，经由有线接入网及城域传送网上连至城域数据网1台SR路由器/其他业务网关设备，再接入CMNET。网络结构示意如下：图6.2-1AAA级互联网专线业务组网结构图 上图中，虚线框内的数通设备可能是路由器也可能是交换机，或者视工程实际情况而定。1.1.1.1.组网模型2对于采用PON技术的情况，在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护，在ONU与分光器之间采用物理双路由保护。网络结构示意图如下：图6.2-2AAA级互联网专线业务组网结构图2上图中，虚线框内的数通设备可能是路由器也可能是交换机，或者视工程实际情况而定。1.1.1.2.业务接入点客户侧设备一般接入到城域传送网接入层。条件具备时，可就近通过汇聚节点接入到城域传送网。1.1.1.3.承载方式及接入技术（a）承载方式本业务通过SR或者其他业务网关设备进入城域数据网承载业务。（b）接入技术客户侧/接入侧采用PTN/MSTP（MSAP）或PON接入技术。建议客户端设备采用与接入侧设备一致的接口。 1.1.1.基础网络资源要求（a）运营商承载网络方案传统的传输网络采用TDM技术，对业务通道形成双路由保护，提供故障时的快速保护，1200公里以内保护倒换时间不大于50ms。目前中国移动推广的PTN技术汲取了部分IP技术的优点，但保护倒换时间有所增加。城域数据网络（CMNET）采用网状网结构，可通过路由协议进行链路收敛。（b）接入网络方案客户侧设备通过物理双路由接入到运营商网络的单物理局址，形成主备的保护方式。如采用PON技术，在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护，在ONU与分光器之间采用物理双路由保护。（c）物理双路由的要求两个物理路由彼此独立，客户建筑红线范围外接入光缆同路由长度不超过150米。1.1.2.接入/客户侧传输设备要求接入/客户侧设备支持线性保护或环网保护的能力。建议采用架式安装方式，增加设备的安全性。客户侧设备电源具备1+1保护的双电源模块，且供电系统具备双路由。客户侧设备具备220V/-48V两种可选电源输入接口。接入侧/客户侧传输设备的网管功能应支持配置管理、故障管理、性能管理和安全管理，并能纳入到运营商的网络监控管理系统中。1.1.3.配套设施要求汇聚层以上的机房应具备良好的通风散热条件，机房温湿度、洁净度、机房承重均应满足《电信专用房屋设计规范》（YD/T5003-2005）的相关要求。机房应采用UPS系统或-48V开关电源系统供电，电源设备的配置应符合《通信电源设备安装工程设计规范》（YD/T5040-2005）的相关要求。机房采用联合接地方式，防雷、接地的设计应符合《通信局（站）防雷与接地工程设计规范》（YD5098-2005）的相关要求。设备加固安装应符合《电信设备安装抗震设计规范》（YD5059-2005）的相关要求。 接入侧设备安装在城域接入节点(汇聚节点/基站)内，机房承重应满足站内设备安装的需求。基站引入一路三类或三类以上市电电源，配置-48V开关电源及蓄电池组为接入侧设备供电。开关电源应具备二次下电功能，以确保市电停电后接入侧设备仍能正常工作12～20小时以上。基站采用联合接地方式，防雷、接地的设计应符合《通信局（站）防雷与接地工程设计规范》（YD5098-2005）的相关要求。设备加固安装应符合《电信设备安装抗震设计规范》（YD5059-2005）的相关要求。客户侧设备安装在客户机房内，机房承重应满足站内设备安装的需求。客户机房应具备良好的通风散热条件，机房温湿度、洁净度、机房承重均应满足《电信专用房屋设计规范》（YD/T5003-2005）的相关要求。客户机房应配置-48V开关电源或UPS设备为客户侧设备供电，应根据市电电源的日常停电次数和时长，配置备用柴油发电机组，并结合客户机房的设备的总耗电量及维护时间，选配合适容量的蓄电池组。客户侧设备的直流电源电压要求：-48V（-15%+20%）DC，正极接地，脉动电压允许100mV(峰-峰值，正弦波0—150Hz)，宽带干扰信号(10MHz)有效值小于10mv，话带干扰信号小于-68.5dBmp。客户侧设备的交流电源电压要求：220V（±10％），50（±5％）Hz。客户机房采用联合接地方式，防雷、接地的设计应符合《通信局（站）防雷与接地工程设计规范》（YD5098-2005）的相关要求。设备加固安装应符合《电信设备安装抗震设计规范》（YD5059-2005）的相关要求。1.1.AA级互联网专线业务解决方案AA级互联网专线业务采用逻辑双路由的组网模型。如采用PON技术，在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护。1.1.1.AA级组网模型1.1.1.1.组网模型1对于AA级互联网专线业务，1台客户侧设备逻辑双路由连接1台接入侧传输设备，经由有线接入网及城域传送网上连至城域数据网的1台SR路由器或其他业务网关设备，再接入CMNET。网络结构示意如下： 图6.3-1AA级互联网专线业务组网结构图1上图中，虚线框内的数通设备可能是路由器也可能是交换机，或者视工程实际情况而定。1.1.1.1.组网模型2对于采用PON技术的情况，需要在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护，其网络结构示意图如下： 图6.3-2AA级互联网专线业务组网结构图2上图中，虚线框内的数通设备可能是路由器也可能是交换机，或者视工程实际情况而定。1.1.1.1.业务接入点客户侧设备一般接入到城域传送网接入层。条件具备时，可就近通过汇聚节点接入到城域传送网。1.1.1.2.承载方式及接入技术（a）承载方式本业务通过SR或其他业务网关设备进入城域数据网承载业务。（b）接入技术客户侧/接入侧采用PTN/MSTP(MSAP)或PON接入技术。建议客户端设备采用与接入侧设备一致的接口。1.1.2.基础网络资源要求（a）运营商承载网络方案 传统的传输网络采用TDM技术，对业务通道形成双路由保护，提供故障时的快速保护，1200公里以内保护倒换时间不大于50ms。目前中国移动推广的PTN技术汲取了部分IP技术的优点，但保护倒换时间有所增加。城域数据网络（CMNET）采用网状网结构，可通过路由协议进行链路收敛。（a）接入网络方案客户侧设备通过逻辑双路由接入到运营商网络的单物理局址，形成主备的保护方式。如采用PON技术，需要在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护。（b）双路由的要求接入点逻辑双路由的要求：两条光纤路由处于同路由的光缆段上。1.1.1.接入/客户侧传输设备要求接入/客户侧设备支持线性保护或环网保护的能力。接入/客户侧设备可采用台式或壁挂式安装方式。客户侧设备根据需要选配1+1保护的双电源模块，并根据需要选配220V电源或-48V电源输入接口。接入侧/客户侧传输设备的网管功能应支持配置管理、故障管理、性能管理和安全管理，并能纳入到运营商的网络监控管理系统中。1.1.2.配套设施要求汇聚层以上的机房及基站接入层的配套设施要求同AAA级。客户侧设备建议安装在客户机房内，机房承重应满足站内设备安装的需求。客户机房应具备良好的通风散热条件，机房温湿度、洁净度、机房承重均建议满足《电信专用房屋设计规范》（YD/T5003-2005）的相关要求。客户机房应配置-48V开关电源或UPS设备为客户侧设备供电或220V交流电源。应根据市电电源的日常停电次数和时长，并结合客户机房设备的总耗电量及维护时间，选配合适容量的蓄电池组。客户侧设备的直流电源电压要求：-48V-15%+20%DC，正极接地，脉动电压允许100mV(峰-峰值，正弦波0—150Hz)，宽带干扰信号(10MHz)有效值小于10mv，话带干扰信号小于-68.5dBmp。客户侧设备的交流电源电压要求：220V±10％，50±5％Hz。1.2.A级互联网专线业务解决方案 A级互联网专线业务采用单路由的组网模型。如采用PON技术，需要在OLT与分光器之间采用备纤保护。1.1.1.A级组网模型1.1.1.1.组网模型1对于A级互联网专线业务，1台客户侧设备通过单路由连接1台接入侧传输设备，经由有线接入网及城域传送网上连至城域数据网的1台SR路由器或其他业务网关设备，接入CMNET。网络结构示意如下：图6.4-1A级互联网专线业务组网结构图1上图中，虚线框内的数通设备可能是路由器也可能是交换机，或者视工程实际情况而定。1.1.1.2.组网模型2对于采用PON技术的情况，需要在OLT与分光器之间采用备纤保护，其网络结构示意图如下： 图6.4-2A级互联网专线业务组网结构图2上图中，虚线框内的数通设备可能是路由器也可能是交换机，或者视工程实际情况而定。1.1.1.1.业务接入点客户侧设备一般接入到城域传送网接入层。1.1.1.2.承载方式及接入技术（a）承载方式本业务通过SR或其他业务网关设备进入城域数据网承载业务。（b）接入技术客户侧/接入侧采用PTN/MSTP(MSAP)/PON接入技术。1.1.2.基础网络资源要求（a）运营商承载网络方案传统的城域汇聚层以上传输网络采用TDM技术，对业务通道形成双路由保护，提供故障时的快速保护，1200公里以内保护倒换时间不大于50ms。目前中国移动推广的PTN技术汲取了部分IP技术的优点，但保护倒换时间有所增加。城域数据网络（CMNET）采用网状网结构，可通过路由协议进行链路收敛。（b）接入网络方案 客户侧设备通过单路由接入到运营商网络的单物理局址。如果采用PON技术，需要在OLT与分光器之间采用备纤保护。1.1.1.接入/客户侧传输设备要求接入/客户侧设备可采用台式或壁挂式安装方式。客户侧设备具备220V电源输入接口。接入侧/客户侧传输设备的网管功能应支持配置管理、故障管理、性能管理和安全管理，并能纳入到运营商的网络监控管理系统中。1.1.2.配套设施要求汇聚层以上的机房及基站接入层的配套设施要求同AAA级。客户侧设备建议安装在客户机房内，机房承重应满足站内设备安装的需求。客户机房应具备良好的通风散热条件，机房温湿度、洁净度、机房承重均建议满足《电信专用房屋设计规范》（YD/T5003-2005）的相关要求。客户机房应配置220V交流电源。应根据市电电源的日常停电次数和时长，并结合客户机房设备的总耗电量及维护时间，选配合适容量的蓄电池组。客户侧设备的交流电源电压要求：220V±10％，50±5％Hz。1.2.普通级互联网专线业务解决方案普通级互联网专线业务采用单路由的组网模型。如采用PON技术，可以不采取保护措施。1.2.1.普通级组网模型1.2.1.1.组网模型1对于普通级互联网专线业务，1台客户侧设备通过单路由连接1台接入侧传输设备，经由有线接入网及城域传送网上连至城域数据网的1台SR路由器或其他业务网关设备，接入CMNET。网络结构示意如下： 图6.5-1普通级互联网专线业务组网结构图1上图中，虚线框内的数通设备可能是路由器也可能是交换机，或者视工程实际情况而定。1.1.1.1.组网模型2对于采用PON技术的情况，可以不采取保护措施，其网络结构示意图如下：图6.5-2普通级互联网专线业务组网结构图2 上图中，虚线框内的数通设备可能是路由器也可能是交换机，或者视工程实际情况而定。1.1.1.1.业务接入点客户侧设备一般接入到城域传送网接入层。1.1.1.2.承载方式及接入技术（a）承载方式本业务通过SR或其他业务网关设备进入城域数据网承载业务。（b）接入技术客户侧/接入侧采用PTN/MSTP(MSAP)/PON接入技术,亦可根据情况采用光调制解调器、光纤收发器、裸光纤等光纤拉远技术。建议客户端设备采用与接入侧设备一致的接口。1.1.2.基础网络资源要求（a）运营商承载网络方案传统的城域汇聚层以上传输网络采用TDM技术，对业务通道形成双路由保护，提供故障时的快速保护，1200公里以内保护倒换时间不大于50ms。目前中国移动推广的PTN技术汲取了部分IP技术的优点，但保护倒换时间有所增加。城域数据网络（CMNET）采用网状网结构，可通过路由协议进行链路收敛。（b）接入网络方案客户侧设备通过单路由接入到运营商网络的单物理局址，电路无保护。1.1.3.接入/客户侧传输设备要求接入/客户侧设备可采用台式或壁挂式安装方式，客户侧设备可采用室外机柜安装。客户端设备具备220V电源输入接口。1.1.4.配套设施要求汇聚层以上的机房及基站接入层的配套设施要求同AAA级。客户侧设备如果安装在客户机房内，机房承重应满足站内设备安装的需求。客户机房应具备良好的通风散热条件，机房温湿度、洁净度、机房承重均应满足《电信专用房屋设计规范》（YD/T5003-2005）的相关要求。 客户侧设备如果安装在室外或楼道内，应根据建筑物实际的安装条件，选择合适的安装位置，避免安装在潮湿、高温、强磁场干扰源的地方。应远离自来水阀门、燃气阀门、暖气阀门、消防喷淋设施等。必须在建筑物的公共部位安装综合配线箱/机柜，应远离窗口、门，确保综合配线箱/机柜安装在不受日晒雨淋的安全可靠、便于施工维护的地方。应满足站内设备安装的需求。采用室外机柜安装设备时，安装要求应符合YD/T5186-2010《通信系统用室外机柜安装设计规定》的相关规定。客户机房应配置220V为客户侧设备供电，应根据市电电源的日常停电次数和时长，并结合客户机房设备的总耗电量及维护时间，选配合适容量的蓄电池组。客户侧设备的交流电源电压要求：220V±10％，50±5％Hz。客户侧设备工作环境的温、湿度要求详见下表：表6.5-1环境要求建议表设备安装环境温度和湿度要求室外暖温/干热/亚湿热/湿热气候带温度：-20℃～50℃；湿度：5%～95%寒温气候带温度：-35℃～40℃；湿度：5%～95%楼道暖温/干热/亚湿热/湿热气候带通风条件较差温度：-10℃～55℃；湿度：5%～95%通风条件较好温度：-10℃～45℃；湿度：5%～95%寒温气候带温度：-25℃～40℃；湿度：5%～95%1.1.分级保障组网特点1.1.1.业务分级保障要求表6.6-1业务分级保障主要要求比较表项目AAAAAA普通组网要求客户侧接入：物理双路由，上层网络有保护。如采用PON技术，OLT与分光器之间采用TypeA或Type客户侧接入：逻辑双路由，上层网络有保护。如采用PON技术，需要在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护。客户侧接入：单链，汇聚层以上的上层网络有保护。如采用PON技术，需要在OLT与分光器之间采用备纤保护。客户侧接入：单链，汇聚层以上的上层网络有保护。如采用PON技术，不采用保护措施。 B方式的物理双路由保护，ONU与分光器之间采用物理双路由保护。接入技术MSTP/PTN，PONMSTP/PTN,MSAP，PONMSTP/PTN,MSAP,PONMSTP/PTN,MSAP，PON设备能力接入侧传输设备具有支持线性保护或环网保护的能力。接入侧传输设备具有支持线性保护或环网保护的能力。不要求不要求电源备份客户侧设备电源具备1+1保护的双电源模块，客户侧设备具备220V/-48V两种电源可选输入接口客户侧设备根据需要选配1+1保护的双电源模块，并根据需要选配220V电源或-48V电源输入接口客户侧设备具备220V电源输入接口客户侧设备具备220V电源输入接口机架加固建议采用架式安装方式。设备可采用台式或壁挂式安装方式。设备可采用台式或壁挂式安装方式。设备可采用台式或壁挂式安装方式，客户侧设备可采用室外机柜安装。网络管理接入侧/客户侧设备应支持配置管理、故障管理、性能管理和安全管理，并能纳入到运营商的网络监控管理系统中。接入侧/客户侧设备应支持配置管理、故障管理、性能管理和安全管理，并能纳入到运营商的网络监控管理系统中。接入侧/客户侧设备应支持配置管理、故障管理、性能管理和安全管理，并能纳入到运营商的网络监控管理系统中。不要求1.1.1.接入技术特点1.1.1.1.MSTP/PTN客户接入采用MSTP/PTN技术，可采用电信级设备组网，网络安全性好、可靠性高，稳定性强，但建设成本较高。Ø采用全透明传输，传输效率高，PTN设备可灵活提供E1、STM-1、FE、GE型UNI接口，以及以GE为主的NNI接口。SDH/MSTP设备可灵活提供E1、STM-1/4/16、FE型UNI接口，以及STM-1/4/16的NNI接口。Ø采用基础传输网络组网，网络覆盖面广，利于客户网络的扩容、升级。Ø网络端口可进行限速，可根据需求提供不同的带宽，可靠性、保密性高。 ØMSTP技术适于TDM电路需求较多的场景，PTN技术适于IP电路需求较多的场景。Ø规模发展要求接入侧设备提供足够的STM-1/FE光接口，成本较高。ØPTN网络处在建设发展中，网络覆盖面有限。初期建设成本较高，是目前网络技术发展方向。Ø当全程采用同一厂家同一技术平台时，可实现全程传输网管，通过网管实现全网业务的调度及设备的维护管理。1.1.1.1.MSAPMSAP（多业务综合接入平台）以SDH技术为基础，向用户提供E1/V.35专线业务以及以太网专线业务，但其网络应用需进一步完善。接入网采用MSAP技术，适用于对安全性要求较高的集团客户，特别是需要V.35接口的集团客户，建设成本较MSTP低。其特点如下：Ø群路盘的1＋1备份，通过双路由出局，将可实现自愈环保护，提高了网络的可靠性。支持时钟交叉板、电源板等重要单板的用1+1保护。ØMSAP设备的线路口可以提供STM-1光接口，STM-4光接口，E1接口。业务板可以提供PDH光接口，100BASE-FX接口，10/100BASE-T接口，GE接口，E1接口，V.35接口，STM-1光接口。Ø网管方式多样化，可以采用带内网管和带外网管两种，根据设备安装的环境去选择。可实现全程网管，通过网管软件实现全网业务的调度及设备的维护、管理；不仅可以网管到局端设备，用户侧的也可以进行网管；提供客户端设备断电、断纤告警的区分，可方便定位故障原因。Ø主要排障方式为检测客户端设备运行情况以及检查基站侧至客户侧光路。1.1.1.2.PON客户采用PON技术接入时，需要了解现有的PON网络技术方案，尽量利用已有的网络资源，节约开通成本，减少开通时间，主要特点表现为：Ø采用PON技术具有高速率，能节省大量光纤和光收发器，总体建网成本较MSTP方案更低。 Ø可提供最高20km的远距离高带宽接入，且带宽可动态调整，带宽扩展容易。Ø由于PON技术采取下行广播机制分发数据，存在被窃听的可能，但难度较大。1.1.1.1.多业务光调制解调器客户采用多业务光调制解调器接入时，网络结构简单，能利用原有传输资源，设备投资少，成本较低。其不足也很明显，主要表现为：Ø可靠性较全程MSTP方式低。Ø基站端需新增多业务光调制解调器。增加了维护节点，维护难度增大。Ø基站端下挂专线业务较多时，多业务光调制解调器堆叠现象严重，占用了原本就很紧张的基站机柜空间，大量的光猫导致基站空开、直流电源紧张；Ø大量多业务光调制解调器与传输设备间的以太电缆成捆，占用基站走线架空间。Ø传输网管可监控到基站传输设备，但是基站与客户端多业务光调制解调器需另外做带外网管或带内网管（大部分设备无法实现）。台式多业务光调制解调器的网管上传需占用专门的传输电路，规模建设难度大。1.1.1.2.光纤收发器客户采用光纤收发器接入时，网络结构简单，能利用原有传输资源，设备投资少，成本较低。其缺点也较多，主要表现为：Ø可靠性较全程MSTP方式低。基站端需新增光纤收发器。增加了维护节点，维护难度增大。Ø基站端下挂专线业务较多时，台式光纤收发器无挂耳无法与机架固定起来，导致堆叠现象严重，存在隐患，大量的光纤收发器导致基站空开、直流电源紧张，大量光纤收发器与传输设备间的以太电缆成捆，占用基站走线架空间。Ø台式光纤收发器点对点组网，无法实现网管。 1.1.1.CMNET路由规划1.1.1.1.路由组织ØIGP规划CMNET骨干网IGP采用ISIS协议，承载设备的管理地址、互连地址。运行IS-ISLevel2。所有PE和P的互联接口、PE间的互联接口、PE的loopback接口均参与IS-IS协议。ØLDP规划端到端（PE－PE）间MPLS标签通过LDP协议分发，在CMNET网内的互联接口上启用LDP协议。LDP工作在DU(下游自主)标签分配，并且仅针对PE路由器的Loopback地址分配标签，CMNET网内互联链路地址可以不分配标签，减少设备维护的标签转发表数目，缩短LDP收敛时间。ØBGP规划中国移动CMNET骨干网采用单一自治域（AS）方式进行网络组织，域间路由协议采用BGP。1.1.1.2.PE-CE间的路由规划业务接入CMNET时，根据实际需求，可以选择：（1）静态路由协议（2）EBGP路由协议（3）OSPF路由协议当业务CE是单归上联到PE设备时，可考虑使用静态路由协议，当业务CE双归上联到PE时，考虑选用动态路由协议（如OSPF）。当业务CE下是一张业务网络并要求复杂精细的路由控制时考虑EBGP协议。2.互联网专线业务验收测试2.1.连通性测试测试目的：测试用户是否可以正常连通SR路由器或业务网关设备测试通过标准：在PC机上可以ping通归属SR路由器或业务网关的IP地址。测试方法：1、在客户侧数通设备上连接PC机；2、在PC机上ping归属的SR路由器或业务网关的IP地址； 1、记录测试结果，并保存ping操作截图。测试记录表：表7.1-1连通性测试记录表序号源IP地址目的IP地址测试内容测试结果测试时间测试人联系方式1.1.可用带宽测试测试目的：测试客户侧数通设备至归属的SR路由器或业务网关的FTP、HTTP协议可用带宽。测试通过标准：采用FTP、HTTP协议测试得到的测试带宽不小于客户合同带宽的70%。该标准仅在测试方法定义的部署方式下适用，如测试服务器部署位置等因素发生较大差别，不适用本指标。测试方法：1、将PC机或者测试仪表连接到客户侧传输设备上，在归属的归属的SR路由器或业务网关上部署测试服务器。（如果条件限制，建议在CMNET上离归属的SR路由器或业务网关设备较近的位置部署测试服务器。）2、在PC机或测试仪表上ping测试服务器的IP地址，确保其连通性；3、测试服务器上放置一个较大的文件。在PC机或测试仪表上以HTTP或FTP协议进行下载测试，记录文件大小和所用时间，计算平均下载速度；4、在PC机或测试仪表上采取FTP方式将一个较大文件上传到测试服务器上，记录文件大小和所用时间，计算平均上传速度。条件允许时，建议采用流量发生仪表发送上行流量。5、记录测试结果。测试记录表：表7.2-1可用带宽测试记录表序号测试内容下载带宽上传带宽测试时间测试人联系方式 1.1.时延测试测试目的：测试客户侧数通设备与归属的SR路由器或业务网关之间传送数据包的时延。测试通过标准：客户侧数通设备与归属的SR路由器或业务网关之间发送数据包时，选取的不同包长下的单向时延数值均不大于10ms。该标准仅在测试方法定义的部署方式下适用，如测试服务器部署位置等因素发生较大差别，不适用本指标。测试方法：1、将PC机或者测试仪表连接到客户侧传输设备上，在归属的SR路由器或业务网关上部署测试服务器。（如果条件限制，建议在CMNET上离归属的SR路由器或业务网关设备较近的位置部署测试服务器。）2、在设备吞吐量范围内选取三个不同包长（1500B、800B、64B，）进行测试，设置合适的数据包发送频率使带宽负荷在70％以下，建议每秒发送一个数据包；3、在PC机上或者测试仪表上ping测试服务器的IP地址，每个包长持续ping15分钟，得出每个包长下的双向时延数值，取其算术平均值，并除以2作为单向时延；4、记录测试结果。测试记录表：表7.3-1时延测试记录表序号测试内容包长双向时延单向时延测试时间测试人联系方式1.2.丢包率测试测试目的：测试客户侧数通设备与归属的SR路由器或业务网关设备之间的丢包率。 测试通过标准：在客户侧数通设备与归属的SR路由器或业务网关设备之间发送数据包时，选取的不同包长下的丢包率均不大于1%。该标准仅在测试方法定义的部署方式下适用，如测试服务器部署位置等因素发生较大差别，不适用本指标。测试方法：1、将PC机或者测试仪表连接到客户侧传输设备上，在归属的SR路由器或业务网关上部署测试服务器。（如果条件限制，建议在CMNET上离归属的SR路由器或业务网关设备较近的位置部署测试服务器。）2、在设备吞吐量范围内选取三个不同包长（1500B、800B、64B，）进行测试，设置合适的数据包发送频率使带宽负荷在70％以下，建议每秒发送一个数据包；3、在PC机上或者测试仪表上ping测试服务器的IP地址，每个包长持续ping15分钟，得出每个包长下的丢包率；4、记录测试结果。测试记录表：表7.4-1丢包率测试记录表序号测试内容包长丢包率测试时间测试人联系方式 1.附录1.1.互联网专线业务可用度计算根据互联网专线业务的特点，业务采用城域数据网承载，根据客户设备与SR设备/其他业务网关设备的局址制定网络方案，通用模型如下：综合考虑设备、光缆、电源等的可用性后，可得出城域传送网不同层面的可用性如下：表8.1-1不同层面网络可用性项目光缆线路百公里年不可用时间（小时）传输设备的可用性电源可用性系统可用性物理双路由逻辑双路由单路由省内干线A21.00.9999970.9999990.999993　　城域核心汇聚层A31.20.9999950.9999980.999986城域接入层A41.80.999990.9999950.999970.999867客户接入网A5(AAA)1.80.999990.9999950.999970.999950.999943客户接入网A5(AA)2.40.999980.999990.9999390.999920.999913客户接入网A5(A)4.80.999950.999980.9998570.999820.99967客户接入网A5(普通)6.40.99990.999950.9996970.999660.99935考虑取定SR或其他业务网关设备的可用度为99.999%，根据上面城域传送网不同层面网络可用性计算值，可得到互联网专线业务的可用度指标：AAA=A5（AAA级、物理双路由）*A4（物理双路由）*A3*A(SR/业务网关)；AA=A5(AA级、逻辑双路由)*A4(物理双路由)*A3*A(SR/业务网关)；A=A5(A级、单路由)*A4(单路由)*A3*A(SR/业务网关)；普通级=A5(普通级、单路由)*A4(单路由)*A3*A(SR/业务网关)表8.1-2互联网专线业务分级保障及可用度项目可用度接入方式 AAA级99.99%采用物理双路由接入CMNET；如采用PON技术，在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护，在ONU与分光器之间采用物理双路由保护。AA级99.98%采用逻辑双路由接入CMNET如采用PON技术，在OLT与分光器之间采用TypeA或TypeB方式的物理双路由保护。A级99.96%采用单路由接入CMNET如采用PON技术，在OLT与分光器之间采用备纤保护。普通级99.92%采用单路由接入CMNET如采用PON技术，可以不采用保护措施。注：上表中的可用度指标只作为组网模型计算的参考，不作为系统实际运行的依据。（三）、交维移动公司将工程验收通过的站点按照交接流程将维护职责移交代维公司。（四）、故障处理代维人员负责集团客户故障处理，根据故障类型不同，分为设备类故障、日常维护、例行巡检，代维人员应根据客户等级、故障类型，按照故障处理操作规范把握处理时限，及时对故障进行排查处理。（五）、投诉处理代维人员负责处理因集团客户用户故障引起的投诉，代维人员应根据投诉等级、处理时限、故障处理操作规范及时解决客户投诉。（六）、应急保障应急保障工作指代维公司要统一纳入到移动公司抢险救灾和应急保障工作的预案中，并按移动公司的要求配备有关资源。在遇到突发事件或自然灾害易发期（如山洪、台风、雷雨季节等），代维公司要组织抢险救灾和应急保障队伍到指定地点待命，服从移动公司的统一指挥和调度。 （七）、数据维护代维人员负责对集团客户维护的各种设备的基础数据进行收集与更新，包括所有设备的配置情况、调动情况、入网时间、维修记录等。第三章代维工作日常维护工作事项一、故障处理工作1、故障抢修原则：后台网管在接到报障派单后，首先得判断故障发生的原因和定位出现故障的具体位置，通知现场维护人员，现场人员准备好抢修工具及所涉及到的设备部件之后马上出发，在最短的时间内到达故障现场处理故障。由于故障的现象及其解决办法并不十分相同，所以将以往发生过的故障以及处理过程记录下来，对重点故障要写分析报告，定期开故障分析会，以便提高以后故障处理的速度。 2、集团客户专线故障处理流程NN判断故障点传输通道对端传输设备通知相关端处理针对问题修复数据Y软件设备各板是否正常YYY重新牢固连接找厂家技术支持DDF架、ODF架接头是否松动硬件回复工单故障恢复用OTDR迅速判断故障点配合抢修人员进行测试验证室外故障处理室内传输设备查看数据出现的问题迅速更换故障部件及时排除故障测试发生故障告警系统显示故障申告故障故障来源通知维护人员及时赶往现场处理 3、重点故障处理流程30分钟内能否恢复OTDR测试，故障点定位，并立即抢修求得厂家技术支持是否室内故障90分钟内能否恢复YYNN是光缆断故障恢复后填写相关记录回工单故障恢复、将集客业务恢复原状设备软件故障线路中断（机房巡检、告警、用户申告）根据网管查看故障属性、故障区段、判断故障完成故障定位完成故障定位按应急预案立即采取倒带措施汇报主管领导设备硬件故障后台网管调度通知现场负责人重点故障恢复后写出故障抢修报告，召开故障分析会 4、专线故障处理说明1）故障发生后，由网维、传输调度进行故障初步定位。需要到客户端上门处理时，通过派单和电话的形式将有关情况通知现场维护人员，现场人员收到派单之后，做好相关的准备工作在规定的时间内到达客户端进行抢修。2）上门处理故障前须先做好准备：a)准备好客户资料，如客户地址、光缆径路台帐、设备信息、配线架资料等b)检查工具套件包中工具是否齐全。c)带好与故障处理相关的备件，再到客户端视情况进行临时替换，及时恢复故障。3）故障处理过程：a)故障处理前，应先跟客户沟通，详细了解故障现象。针对重大故障应及时向集团客户专线负责人汇报详细的故障现象，以便协助处理；b)传输正常情况下，通过设备调试、板卡替换等手段定位故障；c)确定为硬件设备出现故障时，马上替换故障硬件，并调试新硬件至运行正常；d)软件出现故障时，先备份原有数据，再对数据进行调试；e)确定为客户设备或板卡故障时：先用备件进行替换，保证客户及时恢复通信； f)客户设备维护商进行数据调试或更换板卡，现场维护人员需要提供现场或是远程协助；g)当为设备软件故障或线路故障时，应在现场解决故障；h)在故障处理过程中可请求传输中心和网维中心网管调度协助处理，如通道监测、网络测试、信令跟踪、话务查询等；4）故障处理完毕后：故障处理后检查专线正常，和客户联系确认故障消除。现场维护人员应认真填写故障处理报告并在规定的时间内反馈给相关维护中心，并做好备件、材料使用登记，对于故障设备应及时进行维修。二、网管人员职责1、网管中心监控组和数据组主要职责：1）负责7×24小时实时监视维护站点设备的运行状况，按流程将故障派单给现场维护人员处理。2）负责配合现场人员对设备的日常维护、故障处理、资源调度、局数据制作等工作。3）负责定期统计故障，定期分析网络的运行质量，做好网络预警工作，配合现场人员制定并实施相应的网络改造和优化。4）负责每日、每周、每月部门需要的各项报表，报表数据要准确、清晰，做好分析。5）完成好本部门和移动公司委派的其它各项任务。 2、网管调度操作流程输入密码业务配置故障处理根据电报及工单命令操作查看原配置及告警状态根据告警状态环回、性能测试开通或撤除电路复查通知相关方配合处理管外判断故障区段与有关方确认电路状态管内修改台帐通知有关方处理回单、记录、汇报、三、日常巡检工作 1、巡检要求：1)检查主设备运行情况；a)检查指示是否有告警，该告警导致业务故障，就要按照故障抢修指引进行故障排查；b)检查指示是否有一般告警和轻微告警，如果有，要尽量消除或屏蔽；c)如果设备故障，就要按照故障处理方法排障，在一半规定时限还未排障，应立即准备备件，在规定的时限内完成排障。排障过程中如需中断业务，一定要先征求客户同意，并在尽量不影响业务的时间中断业务排障；2)核对设备资产条码，按要求做好资产登记；3)对站点进行例行测试（包括：电话拔测、网络丢包率、网络时延、设备配置等），以上操作一定要征得客户的同意；4)对交换机、路由器等可以备份配置的设备进行数据备份；5)对主设备进行清洁，检查是否存在安全隐患；6)对客户端环境及设备进行拍照存档；7)使用PDA登陆日常巡检系统，填写相关的进出记录和设备运行报告及设备资产的核查的总体情况；8)提高客户的感知度，根据事先准备的客户拜访表，为客户进行详细解释，让客户更好了解集团客户专线使用情况及使用感受、提高客户的满意度，引导客户更多使用集团客户专线；9)完成以上点后填写《集团客户维护巡检记录表》； 1、巡检流程：开始前往用户端进行巡检工作联系客户能否进行巡检工作否结束跟用户沟通反馈巡检结果登记巡检记录表准备日常巡检资料和工具制定日常巡检计划 3、巡检反馈：巡检结束后，巡检人员必须认真填写巡检表，在客户端放置巡检记录表和维护记录表、设备资产清单 ，同时以电子文档形式保存做好存档工作。认真检查巡检，如发现问题及时反馈向上领导，做好及时处理所发现的问题。应查看以下几点:1)巡检中是否有遗漏项目，如有应该确认遗漏原因。2)如发现设备有描述告警或轻微故障时，并询问相关人员确定该点是否存在设备隐患。3)巡检前应先联系所有当天计划巡检的客户。4）对设备进行清洁，对线路进行整理，检查是否存在安全隐患，如有安全隐患问题，及时向上反映情况。四、日常验收工作1、机柜及设备的安装要求：1)机柜及设备安装完毕后，在机柜内整体是否牢固。2)机柜安装完毕后清理现场，机柜内是否清洁，是否遗留工具或杂物。3)机柜及设备表面是否干净整洁，外部漆饰完好，各种标志正确、清晰、齐全。4)机柜及设备的前后、左右、上下空间是否满足设备的散热和安装要求，散热风扇口前是否没有其他物品阻挡，确保通风散热。 1)机柜及设备的接地方式是否符合规定。2)机柜内的设备放置是否水平，设备与机柜的固定螺钉是否配合良好。2、布线工艺要求1）电缆排列必须整齐，外皮无损伤。每条电缆布放必须完整，中间不允许有接头。2）信号电缆与电力电缆应尽可能沿不同的走线架或槽道布放，并尽量做到不交叉走线，必须同槽同孔敷设的或交叉的要采取可靠的隔离措施。3）布放走道电缆、机柜内布放电缆必须使用绑带绑扎。绑扎后的电缆应互相紧密靠拢，外观平直整齐。线扣间距均匀，松紧适度。绑带余下的部分应剪断，余量长度不能超过1cm。4）所有光缆、设备走线都必须有完整的规范化标签。5）必须提供设备详细的连接图和设备信息台帐，并张贴在恰当位置，以方便维护为原则。6）在机房内设备上应张贴定制的移动LOGO。7）维护平台处应张贴有效的维护和投诉电话（与定制LOGO结合）。3、标签规范1）尾纤标签a）客户侧标签统一用红色标签b）基站侧或光交箱内标签：     A、普通本地大客户-白色标签    B、跨地市大客户-绿色标签    C、跨省大客户-红色标签c）要求：标签统一，验收时一定要核实纤芯的准确性，具体到纤芯，以方便日后的维护工作。d）范例如下：FROM：SDH1551-OI2D-1中国银行泉城路支行TO：济南银丰大厦SDH1552-OI2D-12)设备部分样本如下：工程名称：中国银行泉城路支行设备名称：ONU设备型号:MA5626-8设备用途：互联网专线要求：（1）字体大小可根据设备大小调整（2）应该贴于方便查看处（靠设备前部）（3）需用白纸黑字打印（4）需过塑，留2mm余边3）网线标签客户接入城域网，在接入城域网交换机的网线上靠近交换机端口处应贴上标签标识，标签样式如下： 4、光缆工程要求验收项目验收要求验收方式及抽查比例线路工艺检查安装工艺符合现行规范要求，按要求挂牌10％入局段安装质量光缆盘留、爬梯和走线架绑扎、进线孔封堵、挂放标识牌等；光缆成端处盘留、标识、接地、保护等。100％光缆的保护措施符合现行规范要求10％ODF面板标签ODF面板内外均有标签，标签按现行规范制作100％资料检查单盘测试资料资料齐全、准确100％资产标签资产标签与资产表对应、齐全100％光缆路由图路由图准确、占用管孔准确，参照物标注清晰，标明特殊情况、如三线交越、特殊保护处理情况等——纤芯测试记录交工或竣工资料中的测试记录与验收测试记录一致——指标测试纤芯通断测试用OTDR测试，要求全部纤芯曲线无明显台阶100％后向散射曲线测试用OTDR测试光纤1310nm单向后向散射曲线，尽量安排测试不同纤芯带或不同纤芯束的纤芯，平均损耗应小于0.35dB/km25％五、材料管理制度1、材料验收入库1）部门库管员对入库材料的品种、规格、型号、质量、数量等认真验收核对，做到准确无误。2）入库材料验收应及时准确，不能拖延，如有问题及时向 材料发放部门主管反映，以便得到解决。3）材料验收合格后，应及时办理入库验收单，核对无误后入库签字，并及时登帐。2、材料出库1）材料出库应本着先进先出的原则，及时审核发料单上的内容是否符合要求，核对库存材料是否准确，做好材料储备工作。2）严格按发料单的品种、规格、数量进行备料、复查，以免发生差错，做到账实相符。3、定期盘库，达到三清1）定期盘库清点，达到数量清、质量清、帐表清。2）工具材料需有专职人员管理和发放，发放时需办理领用手续。3）对已领取的材料，各维护组也应由专人保管，以免发生丢失、混料及浪费现象。故障设备要及时返回仓库，早日返回厂家处修理。4、备品备件管理要求1）移动提供集团专线维护相关设备备件，由代维单位领取使用，代维单位及时把故障器件返回移动维修。2）申领备件时代维领取备件前应填写申请单，经移动批准后领取。3）备品、备件使用登记项目主要应包含：备件名称、更换原因、更换时间、使用地点、原备件产品序列号、操作人员等。六、客户回访细则 客户回访工作是公司联系客户的一条纽带，是发现服务问题的一条主要渠道，是提升服务形象的一种表现方式，是有效监控维护、客服的一个重要手段。特制定本细则。1、回访的主要项目主要项目包括处理完毕投诉的客户回访、有升级意向的客户回访、现场设备运行正常但态度依然强硬的客户回访。2、回访内容在进行回访工作时，必须告知客户相关维护号码，以免客户再次投诉到10086或其他方式投诉，回访内容如下：1）是否在规定时间与客户联系，是否已解决客户投诉问题。2）客户对此次服务是否满意。3）此次投诉处理是否及时。4）若客户对此次投诉处理不满意，询问客户不满意的原因。5）征询客户对铁通服务的意见。3、回访时限投诉客户：投诉责任部门回复之日起10分钟之内完成，2小时内处理好。4、回访分析1）每周一将前一周回访情况进行汇总，同时将回访结果分类统计后发送至分管领导及相关责任组。2）每月2日前将上月回访情况进行汇总，同时将回访结果分类统计后发送至分管领导及相关责任组。 3）相关责任组对各项回访结果进行分析，查找在维护服务过程中存在的不足，提出整改措施，总结经验避免出现类似问题。5、回访要求1）回访记录。回访记录必须是电子格式，便于对回访工作进行整理分析。2）回访用语。回访时必须严格使用规范用语。（1）“您好，我是移动客服，现在对您的投诉情况做一下回访。（2）请问维护人员是否已给您联系过？（3）请问您所投诉的问题是否已经解决？（4）请问您对我公司投诉处理满意吗？（5）满意时，进入结束语。若不满意，则继续：“请问具体哪一方面您不满意？”（记录问题）（6）客户提出不满意的内容后，应讲“感谢您对我们提出的宝贵意见（建议），您的意见（建议）我们会尽快解决。”结束语：“打扰您了，再见！”/“感谢您的合作，再见！6、回访时间。1）非节假、休息日：10:00－11:00，14:00－17:00。2）五一节、国庆节、元旦、春节和中秋节等法定节日、双休日期间不得回访(强烈投诉用户、升级投诉用户除外)。3)、二次处理。回访时对用户反映的问题应如实记录，涉及急需解决的问题： 第四章安全制度一、日常巡检维护安全1、维护人员必须熟悉的各项规定，熟悉专业知识，能安全顺利进行巡检维护工作。确保维护人员了解安全操作方法，杜绝人为的安全事故。2、维护人员现场操作时要对现场安全进行确认，避免误操作导致事故的发生，在正常情况下未经同意，严禁对现场的消防、供电（交直流电源、电池、空调开关、监控终端的电源开关）等设备进行操作。3、在维护操作过程中的关键点，需有经验人员进行，凡不具备专业知识、不了解本规程的技术人员和未受过安全技术教育的人员，禁止在无督导的情况下进行操作。4、关于设备重启或断网调测等操作时，必须经得客户准许或在客户陪同下才能进行相关操作。5、严格遵守通信纪律，增强保密观念，不得随意滥用用户通信。增强法制观念，保守通信秘密，不得随意增删、泄露有关资料。二、客户端通信设备安全1、 通信设备维护安全指与操作相关的设备，包括程控电话交换机、路由器、接口转换器、交换机、供电模块、UPS、协议转换器等。设备安全涉及设备的安装，拆除、更换、调整、数据操作等过程中的各个环节的安全操作。1、对硬件设备扩容操作，要核对确认设备型号，并做好数据备份。电路板的拔插要带上防静电手套，对设备间的连线，要根据标签确认位置，并对连线进行相应的检测，保证线路畅通。2、终端设备操作主要是对数据程控交换、机交换机、路由器等维护终端的操作。在对这些维护终端进行数据操作时必须熟悉操作手册，严格按操作规范进行操作，确认终端和设备之间的对应关系，避免误操作。3、在对设备进行数据制作或删除时，需小心谨慎，确认数据之间的联系，严格按照操作规范进行，避免操作导致故障发生。4、在对影响客户业务、结构的重大操作如割接、局数据修改等操作时，要在业务量少时进行，且必须先通知客户，和客户沟通好，要进行相应的应急措施，当出现操作问题导致客户业务中断时，启用应急措施确保客户业务正常运行。一、行车安全1、巡检维护工作期间，涉及行车的安全，必须严格遵守交通规则。2、巡检出车前必须对车辆性能进行检查，如有故障不能及时排除应说明原因更换车辆。完成任务后，驾驶员应检查车辆状况并做好车辆清洁。 1、定期对车辆进行保养和检查，使车况保持良好，并每周提交车辆性能检测及行使情况。2、车辆维修必须由驾驶员填写每次维修记录《车辆维修保养请单》，说明维修部位及原因。3、注意协调安排司机工作休息，保持行车精神状态稳定，严禁超速驾驶。 为方便日后集团客户维护工作的开展，现附上前期维护中的案例，以便参考。案例一：关键字Ping、ping参数、ARP参数、ICMP专业数据网.其他.其他设备类型交换机设备型号S9312设备厂家华为软件版本VERSION5.50故障描述网络运维人员在网络调试和维护时，经常用到“PING”这个网络诊断工具，使用此工具时难免遇到“PING不通”的现象，遇到此类故障，有不少人第一反应是路由不通的原因所致，其实不然，导致ping不通实际上可有多种原因。本文就此类“ping不通”故障解决思路做一探讨，以求在解决此类故障时可以有所参考！故障诊断遇到此类故障，我们可以分步骤解决：第一步：缩小故障定位范围；        假如从源机A到宿机Z中间还有一个或多个数据设备B、C、D....X、Y等，则当从A到Z ping不通时，尝试从A ping到Y，看是否能PING通，若通，则可以判定故障在Y与Z中间，如不通，则再次从A ping X设备，看是否能通，以此类推，来定位“不通”到底发生在哪两个设备之间，这样就缩小了故障范围，可有针对性的解决故障。第二步：检查是否链路传输时延较长导致PING不通；       通过ping-ttime-value命令确认是否链路传输时延较长导致PING不通。PING流程的原理是在特定时间内收到回应报文就显示能PING通，否则就显示PING不通。因此首先通过设置PING的–t参数排除由于传输时延较长造成的PING不通。第三步：检查是否为带参数PING操作；       Ping时可以带一些限定性参数，如ping–f，则该PING报文不支持分片，此时需要检查路径上出接口的MTU值是否小于PING的报文大小，如果MTU小于PING报文大小，则丢失为正常现象，此时则应更改PING报文大小为小于MTU值。此外还可以带参数-i、-h等，要排查是否因这些参数引起的ping不通。第四步：检查出问题的节点上是否配置了本机防攻击策略；        有的设备为防ICMP报文攻击，将ICMP报文上送CPU的速率改小或将ICMP报文直接丢弃，从而导致了Ping不通的现象。通过displaycurrent-configuration|includecpu-defend，检查设备配置文件中是否存在cpu-defendpolicy配置。如果存在CPU防攻击策略，使用命令displaycpu-defendpolicypolicy-number和displaycpu-defendcar检查是否配置了PING相关IP地址的黑名单、是否配置了CAR。如果配置了CAR，需确认CAR的带宽参数是否过小，导致PING报文无法处理。第五步：检查接口的物理状态和协议状态是否均UP；       物理口down比较好解决，基本是接口下启用了shutdown 或物理接口不符引起，若是接口的协议状态为DOWN，则需检查接口是否是以太类型接口、对应VLANIF接口是否配置IP地址以及两端直连接口的IP地址是否处于同一网段等。第六步：检查路由；        用命令displayiprouting-table查看在源机上是否有到宿机的路由，宿机上是否有回程路由。第七步：检查是否学习到ARP表项；       检查此项的前提是源宿两机在同一局域网内。使用命令displayarp检查是否学习到对端IP地址的ARP表项。如果可以学到对端的ARP表项，则故障消除。如果学不到，则检查PING报文是否下发到接口板。第八步：检查PING报文是否下发到接口板；       检查方法：在故障节点上执行命令ping-c500destination-add，打开调试开关，查看发送的IP报文。terminalmonitorterminaldebuggingdebuggingippacket如果设备上显示如下信息：*29.400762987 SwitchA  IP/8/debug_case:-1-Delivering,interface=Vlan-interface2001,version=4,headlen=20,tos=0,pktlen=33,pktid=14830,offset=0,ttl=62,protocol=1,checksum=39560,s=211.143.128.165,d=211.143.127.1prompt:IPpacketisdeliveringup!表明PING报文从主控板下发到相应接口板，请进一步检查ARP报文收发是否正常。第九步：检查ARP报文收发是否正常；       用命令debuggingarppacket命令检查网络层报文是否收发正常。如果正确收发了ARP报文，将输出如下信息。*29.402622101 SwitchA ARP/8/arp_send:-1-SendanARPPacket,operation:1,sender_eth_addr:000f-e2d6-005a,sender_ip_addr:211.143.128.161,target_eth_addr:0000-0000-0000,target_ip_addr:211.143.127.1。如果上层收发正常，执行debuggingethernetpacket命令检查链路层报文是否收发正常。*29.402769266SwitchAETH/8/eth_send:-1-SendanEthPacket,interface:Vlan-interface3000,ethformat:0,prototype:0800,src_eth_addr:000f-e2d6-005a,dst_eth_addr:d85d-4c74-82f3以上信息表明链路层收发ARP请求报文正常。第十步：检查ICMP报文收发是否正常。        使用命令debuggingipicmp[verbose]命令，检查ICMP报文收发情况，收集更多的故障信息以定位故障。 案例二：主题济南武警十二中队丢包关键字OSN500HR1220专业业务支撑设备类型SDH设备厂家华为设备型号OSN500软件版本问题类型丢包作者联系方式发生时间2012.12故障原因归类数据匹配故障描述2012年12月济南武警支队扩展各支队视频监控业务（10M），武警十二中队反映存在丢包现象。故障诊断（原因分析）用户视频业务从移动SDH设备出网线至用户自有华为HR1220路由器，在移动网管（EFT）做流量监控，移动设备收用户存在坏包现象，更换用户网线，再次监控，坏包现象依旧未能消除，甩开用户自有设备，两端做对ping测试，长ping对端8001字节大包，无丢包现象，联系华为HR1220路由器工程师，最终发现是两端设备对接配置问题。解决措施1、查询SDH网管，接收用户数据出现坏包现象。2、更换OSN500设备至用户HR1220路由器网线，丢包现象依旧存在。3、在武警十二中队与武警支队做对ping大测试，无任何丢包现象。4、登陆华为路由器发现设备数据对接不匹配，重现调试后，业务恢复。预防监控措施配置路由器数据谨慎仔细，机房测试通过后，再派发给用户。整治效果 经过整治，该故障彻底消除，至今再无出现，网络运行稳定得到提高。案例三：关键字用户上网慢专业数据网.WLAN网络.AP设备类型设备型号华为3328京信ap2400-imf设备厂家其它软件版本故障描述廊坊师范学院用户反映连接网络受限，连接网络后用户推登录界面过慢，且大部分用户上网过慢，上网后网速波动较大现象。特别在晚上18:00-23:00内部分用户无法登录WLAN网络故障诊断1、AC问题，由于出现问题的热点集中在一套AC上，怀疑AC单板出现故障，登陆AC查看告警，未发现异常，在晚上9点左右发现该热点下挂用户数在500左右。师范学院其他站点：如图书馆，科技馆上网正常，且AP都在同一台AC上，所以排除AC问题。2、汇聚及二层POE交换机问题，经华为和烽火工程师查看汇聚及POE交换机数据均正常，所透vlan正常，观察汇聚总出口流量都比较少，POE交换机的端口流量也没有达到峰值，均正常。3、与集成商沟通后发现，该热点下组网链路存在极大弊端：廊坊师范学院共有7台汇聚交换机，其中六台汇集交换机下挂到一台汇聚下，此6台汇聚中的一台汇聚下联8,9,10栋楼30台24口华为POE交换机和8口烽火POE交换机，此三栋楼共有AP480个，且8口烽火POE交换机是下挂到24口华为POE下的，个别24口POE交换机之间也是通过网线级联的。由此可见wlan链路组网错综复杂，部分网线由于工艺及网线长度问题造成丢包严重，所以部分用户推不出登录界面，大部分用户上网过慢。且AP之间的间隔在3米左右，此站点还有联通和电信的wlan设备，所以楼内的无线环境甚是混乱，信道干扰不言而喻。故用户上网过慢。解决措施基于上面的分析，链路问题导致部分用户推不出登录界面，大部分用户上网过慢，需要集成商重新规划传输的链路，增加汇聚交换机的数量，改变网线级联的传输方式，有效避免用户推protal慢和连接受限的问题。同时规划AP间隔,有限避免干扰，使用户上网流畅，避免速率的大范围波动。预防、监控措施 对于网络故障问题排除步骤总结：1.合理规划传输的组网链路。2.逐层测试逐步排除问题并收集故障资料。3.对收集到的故障资料进行总结分析。4.得出解决方案。案例四：主题济南中石油成城大厦故障分析关键字SDH155专业业务支撑设备类型SDH155设备厂家华为设备型号SDH155软件版本问题类型业务无法使用作者联系方式发生时间2013.1故障原因归类数据匹配故障描述2013济南中石油成城大厦大客户使用我公司专线业务，业务不能正常使用。故障诊断（原因分析）华为工程师检查济南侧业务数据，并无异常告警，线路维护人员到现场，检测线路，光功率一切正常，设备无异常告警，泰安移动排查后发现，用户更换的新设备数据匹配有问题。青岛和枣庄侧，让对端用户对济南环回，环断一切正常，经测试在中石油客户端，交换机ping对端设备，可ping至对端用户NE20设备，但不能ping至对端交换机，经对端用户简单处理后，可ping通，视频上载正常。解决措施 1、查询SDH网管并无异常告警。2、检测设备收光功率，属于正常范围，设备无异常告警。3、让青岛和枣庄侧对济南做环回测试，环断一切正常。4、Ping对端设备ip地址，可以ping至对端用户NE20设备。5、对端用户做简单处理后，业务恢复。预防监控措施忽略设备收光临界值情况，首先排除设备光功率。整治效果经过整治，该故障彻底消除，至今再无出现，网络运行稳定得到提高。案例五：故障描述市政府门户网站采用双线接入，电信、移动分别接入了专线。淮安招投标中心用户反映使用无法访问市政府门户网站。在移动公司访问该门户网站，同一地址段部分用户能访问，部分用户不能访问。故障诊断分析判断可能原因：1、DNS解析问题。2、移动互联网专线线路问题。3、路由发布问题。4、回程路由或其他问题。原因排查：目前该网站通过7750设备与市政府防火墙-2互联的专线进行访问。另一条SE800设备到市政府防火墙-1互联的专线并不承担业务，只是作为备用电路使用。1、使用正常及不正常用户，解析该网站域名，解决结果相同，因此排除DNS解析故障。由于该网站禁PING，所以无法PING不可达。2、检查移动互联专线，包括接口状态，网络连通性测试等，均正常工作。 3、检查7750设备上路由发布情况，及其他汇聚层设备学习到的路由情况。7750 设备已正确发布该服务器网段路由，并且全网路由学习正常。4、通过上述检测，问题应在用户侧，下面重点对用户网络的分析。⑴、检查防火墙的配置，只有防火墙-2有地址转换的配置。natserver3protocoltcpglobal112.4.173.126anyinside222.184.79.6any //地址映射，访问服务器112.4.173.126的连接，全部转换为目的地址222.184.79.6同时配置了到移动的静态路由，并引入到OSPF路由协议中。iproute-static112.4.0.0255.255.0.0112.4.173.65iproute-static112.20.0.0255.252.0.0112.4.173.65iproute-static221.131.64.0255.255.192.0112.4.173.65 iproute-static221.131.128.0255.255.192.0112.4.173.65 iproute-static221.177.136.0255.255.248.0112.4.173.65 iproute-static221.178.128.0255.255.128.0112.4.173.65 iproute-static221.181.128.0255.255.128.0112.4.173.65 ospf200 default-route-advertise import-routedirect import-routestaticarea0.0.0.0 network10.1.1.00.0.0.3 network10.1.10.20.0.0.0防火墙-1没有配置地址转换，但配置了到移动的静态路由，并引入到OSPF路由协议中。⑵、检查华为6502交换机的路由情况，发现到移动地址段存在多条等值路由。112.4.0.0/16       O_ASE 150 1          D 10.1.1.54      GigabitEthernet2/0/1                   O_ASE 150 1          D 10.1.1.58      GigabitEthernet2/0/0                   O_ASE 150 1          D 10.1.1.10      GigabitEthernet0/0/0                   O_ASE 150 1          D 10.1.1.61      GigabitEthernet0/0/3上述四条路由分别对应该交换机对应的四条上行链路，分别连接到防火墙1和防火墙2. ⑶、因存在四条等值路由，访问门户网站的连接从防火墙-2经NAT转换进来，该连接返回时，交换机将依据一定的算法（如源地址、MAC地址等），选择从不同的上行链路回去。导致从防火强2进来的session连接，返回时部分被路由到防火墙1，因防火墙1无相关的session记录，故连接中断。由此可以判断，故障由此产生。解决措施为解决上述问题，有多个解决方案。方案一：在防火墙1上删除到移动的静态路由。这样从防火强2进入的连接只能从防火墙2返回。实施该方案后门户网站访问测试正常。方案二：在6502交换机配置策略路由，对源地址为222.184.79.6（门户网站），目的地址为移动的连接强制从与防火墙2相连的端口出。方案三：在防火墙1上，当导入移动的静态路由时，修改其COST值，使得比防火墙2上发布的同样的路由COST值大，这样将优选从防火墙2上导入的路由。 上述方案：从难易程度上，方案一实施最简单、其次方案三、最后方案二。         从安全性、合理性上，方案二最安全、其次方案三、最后方案一。因为方案二保证内网内其他应用能均衡的选择从不同的防火墙出去，而且互相备份。预防、监控措施由于等值路由的存在，导致连接虽然从同一入口进入，但可能从不同的路径返回。案例六：主题中国银行历城支行七里河支行业务不通关键字华为SDH155专业业务支撑设备类型传输设备设备厂家华为设备型号华为SDH155软件版本问题类型业务无法使用作者联系方式发生时间2012.12故障原因归类硬件故障故障描述济南中国银行历城支行七里河支行用户侧华为SDH设备上报T_ALOS告警，用户业务不能正常使用。故障诊断（原因分析）华为网管上报T_ALOS告警，电话咨询用户，用户侧无中行技术人员调试并确认无设备掉电，重新制作2M线，重卡后，设备告警仍未消除，在用户侧做环回测试，告警一直未消除。更换设备SP2D板卡，做环回测试，告警依旧存在，断电重启设备，告警消除一段时间后，设备仍会上报告警，分析后发现，设备断电程序还尚未加载完成，故告警会消除几分钟，经过测试发现155设备的撞针弯曲，重新调整设备撞针后，告警消除，业务恢复。解决措施 1、更换重卡设备2M线，告警未消除。2、用户侧做环回测试，告警未消除。3、更换155设备SP2D板卡，做环回测试，告警未消除。4、重新调整155设备撞针，做环回测试，告警消除，业务恢复。预防监控措施仔细排查故障，业务经验不足，做更换设备板卡时，应仔细小心。整治效果经过整治，该故障彻底消除，至今再无出现，网络运行稳定得到提高。