1、福建省電信有限公司廈門市分公司網絡維護中心 商業銀行網絡評估分析及優化整改建議目 錄一商業銀行vlan/vpn網絡情況介紹 1.網絡拓撲介紹 2.設備運行情況介紹二.商業銀行用戶運行情況 1商業銀行網絡拓撲組成2. 商業銀行用戶故障統計3用戶反饋信息三.商業銀行故障分析四.商業銀行網絡優化整改建議 1光電收發器改造優化方案 2.商業銀行網絡替代方案一 商業銀行vlan/vpn網絡情況介紹1 網絡拓撲介紹 如圖所示，商業銀行vlan/vpn網絡都由港灣的6808和6802交換機組成，網絡拓撲呈雙星型結構: 網絡的核心由兩臺6808交換機組成，江頭、廣通等9個節點的6802交換機通過雙鏈路分別上聯

2、到新華6808和濱北6808。用戶通過光纖直接接入6802。商業銀行vlan/vpn是二層網絡，不同的用戶處于不同的vlan中。 2 設備運行情況介紹以下列出vlan/vpn網絡中設備出現的重大故障：設備名故障現象故障處理故障原因分析最終解決方法濱北6808vlan/vpn許多用戶無法正常訪問對端下電重啟6808濱北6808主控板故障更換6808主控板vlan/vpn許多用戶無法正常訪問對端下電重啟濱北6808和新華6808與用戶端stp配置沖突重新更改stp的配置到目前為止設備運行存在以下不足：l 6808和6802僅允許一個用戶telnet交換機進行操作l 6808和6802日志信息不完善

3、l 6802交換機為單主控交換機l 康聯光電收發器質量不穩定二 商業銀行用戶運行情況1 商業銀行網絡拓撲組成 商業銀行中心點網絡圖商業銀行vlanvpn網絡中心點共申請三條專線，經過調整后目前網絡情況如下：1 商業銀行用戶交換機4600a作為用戶主用交換機通過fa2/3和fa2/4連接至局端設備新華6802交換機的e2/24和e2/25口，并將兩個端口進行捆綁group-channel的設置，使得兩條鏈路負載分擔用戶業務，當用戶專線發生單鏈路故障是不影響用戶的正常使用。2 商業銀行用戶交換機4600b有備用鏈路連接至美仁宮6802節點e2/21端口，使得當兩條主用鏈路都發生中斷或者新華6802

4、節點發生故障時，不影響用戶業務。3 商業銀行用戶交換機4600a與4600b之間有兩條鏈路相連接，進行端口綁定，并配置為trunk端口，允許所有的vlan通過。4 vlanvpn網與商業銀行用戶網絡中，vlan id均為111。5 在vlanvpn網絡中配置生成樹，濱北6808為根節點，根值為0。商業銀行用戶網絡中也進行生成樹配置，根值為16384。用戶交換機4600b至美仁宮6802上的鏈路在主用鏈路正常的情況下，由生成樹自動將用戶交換機端口block，當主用鏈路故障時能自動切換至此鏈路上。2 商業銀行用戶故障統計 以下從2004年8月份到2005年2月份將商業銀行發生的故障統計如下。用戶名

5、業務號故障發生時間故障歷時故障類型商業銀行廣通點（v000514）l9007802004-8-27 12:22:311:43:13光電收發器故障商業銀行v0003432004-8-31 16:11:341:28:53光路故障商業銀行v0003432004-9-4 11:28:152:44:18光路故障廈門vlan vpn專線網絡2004-10-191：00：00原因不明廈門vlan vpn專線網絡2004-10-233：30數據設備原因（懷疑是商業銀行用戶接入引起vlan vpn網絡生成樹重算異常）商業銀行vpnl9005792004-11-13 11:00:152:20:34光路故障商業銀行

6、（v000369）l9005832004-12-14 11:30:440:39:51用戶局域網故障商業銀行虎園支點l9010252004-12-30 12:15:290:24:54局端接入交換機故障商業銀行（v000357）l9005702005-1-11 11:26:110:59:09光電收發器故障商業銀行l9010262005-1-21 14:45:123天19:35:00（掛起）光路故障商業銀行v000519l9007852005-1-27 9:04:181:56:38光電收發器故障商業銀行l9010262005-1-27 9:55:5923:34:19數據配置問題商業銀行l901190

7、2005-2-4 17:06:141:09:58用戶自查商業銀行（v000369）l9005832005-2-5 11:01:360:46:49光電收發器故障商業銀行l9011902005-2-5 15:30:553:57:54光電收發器故障2006年1月到4月統計如下：從以上統計的數據可以看出，光電收發器的故障發生的次數較多。3 用戶反饋信息與商業銀行技術維護人員范永情反映，存在以下：l 丟包現象依然存在l 用戶端光電收發器不可網管三商業銀行故障分析 從用戶反映的情況來看，丟包現象是用戶目前存在的問題。在與用戶配合調整局端康聯光電收發器和局端6802交換機端口協商設置的過程中，發現康聯光電收

8、發器與6802的配合不穩定，不同的協商方式ping包的情況不一樣：如有些配置要設成強制全雙工，有些要設成自動協商。四 商業銀行網絡優化整改建議針對商業銀行用戶反映的現象，結合以往處理的故障經驗，給出以下幾種解決的技術方案。1 保持現有的網絡結構不變，對康聯的光電收發器（局端和用戶端）進行更換并做到可網管。l 康聯整改技術方案 a方案背景說明 各節點機房和網絡管理中心均能提供10/100base-tx 的tcp/ip 接入端口（通過ddn 或sdh網絡加網橋模式也可實現tcp/ip 的接入方式），并各節點已能正常通信，即通過ping 命令方式任一節點機房與網絡管理中心都能夠完全執行。b連接示意圖

9、c系統連接設備功能簡要描述1. 網絡管理工作站：提供網絡管理圖形化界面的計算機設備，實現對介質轉換器的統一監控、配置和管理。具體配置詳見本方案后部的網絡管理工作站配置說明。2. 1001r16p：comlink model 1001r16p 機框系統為標準19 英寸設計，高僅3u，支持16 個模塊接入，可提供雙交/直流冗余備份電源輸入。3. 1001nmc：model 1001nmc 為網絡管理代理單元，提供10/100base-tx rj-45 的網絡連接接口用于連接網絡管理工作站，與model 1001r16p 機框系統配套使用。4. 1001cc：model 1001cc 為網絡管理級聯

10、單元，提供兩個rs-232 連接接口用于級聯1001nmc 網絡管理代理單元，實現一個ip 多個機框的管理，與 model 1001r16p 機框系統配套使用。d連接說明1. 節點機房a) 各節點機房配置需求數量的model 1001nmc 機框系統，根據機房的電源情況配置相應的電源模塊。b) 在model 1001r16p 機框系統配置一塊model 1001nmc 用于實現網絡管理信息的收集和傳輸，正常情況下一個節點只需配置一塊1001nmc，在該節點的其它機框可以通過1001cc 進行級聯，可以級聯多達8 個機框系統，這種情況下，一個節點僅需一個ip 地址即可實現管理。c) 1001nm

11、c 的10/100base-tx 接口連接到該節點機房提供的tcp/ip 以太網端口，實現與網絡管理中心的tcp/ip 通信連接，用于傳輸網管信息至網絡管理工作站。2. 網絡管理中心網絡管理工作站的10/100bbase-tx 接口連接到該中心提供的tcp/ip 以太網端口，實現與各分支節點機房的tcp/ip 通信連接，用于管理各分支節點機房所安裝的介質轉換器及其用戶端。根據comlink sever-client 網絡管理功能，可實現跨區域的多點管理一點的管理工作模式，每個管理點可根據需要進行權限分配，從而確保管理有效的運行。 e項目硬件配置表序號 產品型號 規格描述 數量1 1001r16

12、p/r48 16槽機框系統，冗余備份雙直流電源 102 1001nmc 主網絡管理模塊 93 1001cc 從級聯模塊 14 1028rc/s20 卡式快速以太網介質轉換器，單模sc 20公里 105 1028/s20/ac 獨立式快速以太網介質轉換器，單模sc 20公里 10l 瑞斯康達整改方案i. 網管功能介紹 rc系列產品網絡管理系統采用c/s結構，由控制臺軟件、服務器軟件、數據庫軟件、snmp agent四部分組成；控制臺軟件提供人機操作界面，服務器軟件處理各類網管信息，數據庫軟件存儲所有的網管信息，snmp agent收集和發送網管信息。rc系列網絡管理系統實現了對收發器模塊的實時監

13、控和配置，不但可以遠程監控和配置十六槽機箱內的rc系列以太網光纖收發器模塊、光端機模塊、協議轉換器模塊、機箱內部溫度、機箱電源模塊和機箱風扇等的工作狀態，同時在硬件的支持下還可以遠程監控和配置臺式設備、工作溫度、電源模塊等工作狀態，而且在鏈路狀態的監控與環回、告警數據的統計與分析以及用戶管理權限的設置等方面均有重大突破。該網管系統基于廣泛應用的標準snmp網絡管理協議，為用戶提供基于windows 98/ windows 2000/ windows nt/ windows xp系統的、服務器代理模式的遠程管理解決方案。rc系列產品網絡管理系統結構框圖如圖1-1所示：圖1-1 系統結構示意圖rc

14、系列產品網絡管理由運行于pc機windows上的圖形化網管平臺nview（manager）、固化在網管代理控制器模塊rc001-nms1上的嵌入式程序（agent）、十六槽機箱被管理模塊、臺式被管理設備（需要硬件支持）四部分組成。網管平臺nview與網管代理控制器模塊rc001-nms1均通過以太網接口接入基于tcp/ip的管理網絡，實現它們之間的互連互通，并以標準snmp網絡管理協議傳輸管理控制報文。網管代理控制器模塊rc001-nms1與十六槽機箱內的rc系列以太網光纖收發器模塊、協議轉換器模塊及機箱監測模塊之間通過復用串行通信線路通信，以獲取被管理模塊的各種工作狀態。一個網管代理控制器模

15、塊rc001-nms1除了可以監測它所在的機箱內的各種被管模塊外，還可通過它的機箱互連接口對另外最多三個機箱內的各種被管模塊進行監測，但這些機箱分別需要一個分配轉換模塊rc001-nms2。網管代理控制器模塊rc001-nms1與臺式設備的收發器和臺式機箱檢測模塊之間的通信則是通過復用串行通信線路和十六槽機箱內連接有臺式設備的收發器模塊獲得聯系，然后通過連接光纖與臺式設備獲得聯系。因此在臺式設備中無須增加網管模塊。b建議方案 方案一：在每臺機箱加網管模塊，可進行局端網管將現有的模塊進行改造，將rc112-fe放在局端十六槽機箱中，并在rc002-16機箱第一槽位加上網管模塊，將局端設備管理起來

16、，并監控每個模塊的工作狀態。方案二：局端用戶端均采用rc5系列產品，可實現遠端網管全部采用rc5系列產品，具有遠端網管且傳輸速率、工作模式可調的收發器，這樣，通過網管軟件不但可以管理局端，還可以通過光纖管理用戶端設備，對整條鏈路進行n32k的帶寬限速，對兩端設備的相應參數進行配置，并可以實現遠端網管。crc系列產品遠端網管技術優勢及特點：rc系列光纖收發器網管系統通過物理層通訊協議實現客戶端收發器網管這種網管方式的網絡拓樸結構沒有改變，沒有增加任何物理設備，而且在網絡的連接方式上沒有占用任何網絡資源（ip、端口等）。收發器a的網管信息由光纖傳輸至局端的收發器設備，再由局端的snmp agent

17、模塊將網管信息傳輸至網管平臺。這種實現方式的優點在于： - 降低網管的實現成本 - 減少對網絡資源的占用（ip資源、端口資源等）- 提高網管的可靠性，這種網管的實現方式是基于物理層的，只要保證物理線路的正常連接，即可實現對遠端設備的管理。1、網管信息傳輸：rc系列光纖收發器網管系統的遠端管理實現的是帶外管理：網管信息和數據信息分為不同信息通道進行傳輸這種方式是利用光器件的傳輸特性實現，rc系列收發器的光器件傳輸能力都大于實際傳輸要求，例如10mbps、100mbps收發器的光器件實際傳輸能力為155mbps，1000mbps收發器的光器件實際傳輸能力為1250mbps。在ieee 802.3所

18、規定的標準傳輸帶寬外，利用光器件剩余的傳輸帶寬，另外發起一條網管信息傳輸通道，達到實現遠端管理的目的。帶外管理的特點在于： - 不占用數據傳輸通道，保證數據傳輸的高效性。 - 和數據傳輸通道隔離，不會形成相互影響，可靠性高。- 擴展性好，當網管功能增強時，能保證一定的帶寬傳輸網管信息。l 光電收發器更換和可網管預算vlan/vpn光電收發器統計情況節點機框端口數新華1框康聯光電收發器16個祥平1框康聯光電收發器16個廈大1框康聯光電收發器16個江頭1框康聯光電收發器16個濱北1框康聯光電收發器16個美仁宮2框康聯光電收發器32個廣通2框康聯光電收發器32個湖里3框康聯光電收發器48個杏西1框康

19、聯光電收發器16個a 康聯廠家預算序號產品型號規格描述單價11001r16p/rdc標準19英寸、16槽機框系統，雙冗余備份的-48vdc輸入電源1850.00 21001nmc主網絡管理模塊1500.00 31001cc網絡管理級聯模塊800.00 41028rc/s20卡式快速以太網介質轉換器，10/100m，單模sc 20公里470.00 51028/s20/ac獨立式快速以太網介質轉換器，10/100m，單模sc 20公里，220vac500.00 結合廈門實際的機框的總數，康聯替換和可網管方案預算預估為：211660.00（大約數值）b 瑞斯康達廠家預算序號名稱型號單價備注1光纖收發

20、器rc511-fe-s1700.00用戶端設備，臺式（卡式可訂制）1光纖收發器rc512-fe-s1600.00局端設備，卡式219英寸機箱rc002-16ac1100.00據段16槽機箱，交流、單電電源模塊rc009-2dc200.003單槽機箱rc001-1ac0.00贈送4主網管模塊rc001-nms11200.005從網管模塊rc001-nms2300.00級聯用6網管軟件nview nnm0.00贈送 瑞斯康達替換和可網管預算預估為：299300.00（大約數值） 2 采用新的技術方案l vplsqinq方案建議vpls(虛擬專用lan網段，virtual private lan s

21、egments)是利用公共ip資源建立局域網的一種方法，類似于通過lane在atm網絡上模擬局域網，vpls中pe節點使用的是橋接技術而不是網絡層轉發。vpls的組網是建立在mac層轉發上的，對網絡層協議透明。雖然martini和kompella方式的mpls l2vpn都可以實現兩個lan網段跨mpls網絡的點到點互聯，但是它們都只支持vll(virtual leased link)方式的lan網段互聯。而vpls可以通過公共ip/mpls網絡將多個lan/vlan網段連在一起，從用戶角度看，可以將整個公共ip/mpls網絡看成一個大l3 switch。整個廈門電信作為獨立一個as，廈門16

22、3核心作為mpls vpn網絡的p路由器，接入層sr路由器作為pe設備，這樣先建立mpls vpn的網絡，建立起lsp轉發路徑，然后啟動vpls 業務，在需要建立vlan業務的pe設備上，通過各個pe的loopback接口地址并利用該接口建立remote ldp session。從而提供為vc標簽交換進行協商的途徑（通知對方約定信息）1） 外層標簽為公網mpls lsp標簽，由ldp協議分配，有了外層標簽，報文才能在公網上傳輸2） 內層標簽為vc標簽，由建立在loopback接口上的remote ldp session協商分配，pe為每條vc分配一個標簽，如何分配是由兩端pe事先協商確定的。p

23、e根據內層標簽判斷報文屬于哪條vc，從而傳給正確的ce。組建基于vpls后，可能面臨的vlan資源不夠的問題，因為標準的vlan只有4k個，因此需要對vlan資源進行擴展，s8505支持qinq技術，將vlan資源擴大到了4k4k的范圍，滿足了當前的業務需求，另外，盡管s8505的vpls支持將兩個具有不同vlan id號的vlan進行連接，為用戶提供了一定的靈活性。但是在同一個pe上，不同用戶vlan id不能相同，否則就會產生沖突。這樣對用戶私網的vlan規劃仍然有一定的限制。使用qinq特性正好可以彌補vpls協議這兩個缺陷，如圖所示，將pe1的用戶的接入端口配置為vlan 2 的qinq接入端口，將pe2的用戶接入端口配置為vlan 3的qinq接入端口，然后只需要一條vc鏈路將這兩個vlan連接起來，用戶就可以隨意規劃自己的vlan，而不必顧及服務提供商。并且所有用戶vlan的流量都會從這一條vc鏈路中通過，大大節省了公網上的vc資源。傳統vlan的不足：l 處于供應商一側的pe設備往往下接了許多屬于不同用戶的ce。而這些用戶內部本身就劃分了許多vlan，這些vlan號往往會重疊。l 在傳統實現方式中，vc是和vlan id對應的，pe只能根據vlan id來分配vc，而不會因為用戶不同而分配不同的vc。l 當不同的用戶側ce下掛的vla