IP网络规划
一、网络设备基本信息
1. 主机命名规则
主机命名规则:省份-城市-(设备类型+型号)-序号。
例如,黑龙江的第一台6509交换机命名为hlj-hrb-s6509-l;云南思茅的交换机命名为yn-sm-s3550-l。其中的设备类型,“s”表示switch,“r"表示router,“p”表示pixo
2. 登录密码
Console密码、VTY(Virtual Teletype Terminal,虚拟终端)登录密码和特权用户名密码由现场定义,并在项目信息收集时提供,以便于维护和排障时使用,这里不做规定;但是建议使用密码不要过于简单,特别是调测结束后应该将调测阶段的口令更改并做记录。
3. Loopback地址
由于播控系统的1P设备较少,而且播控项目在有些情况下会使用公网地址,请根据项目的实际情况分配设备使用的Loopback地址。目前,建议分配一个8个地址的地址段。
二、VLAN和IP地址规划
1. VLAN规划
为了优化系统性能,提高系统的安全性,减少设备间的相互干扰,更好地对所有设备进行管理,我们按功能对系统划分VLAN。VLAN分配表如表7-1所示。
表7-1VLAN分配表
| VLAN ID | VLAN NAME | 所包含的设备 | 说明 |
| 10 | OSS | SMP/OSS/OMC-M/OMC-T/DB/AAA/CTMS | |
| 40 | PIX outside | 旁挂防火墙岀口 | |
| 60 | EPG | EPG | |
| 70 | 0AM | 0AM管理终端 |
2. HSRP和VRRP规划
在播控系统容量增加时,为了保证系统的高可靠性,需要为播控核心的IP网络设备进行双机热备份的设计,此时可以利用HSRP(对于Cisco设备),进行双机热备份的设计。对非Cisco设备使用VRRP(虚拟路由冗余协议,VirtualRouterRedundancyProtocol),设计方法类似,建议按照以下原则进行设计。
在HSRP规划中,主用侧应均衡设置在2台交换机上,具体建议是:VLAN10,VLAN40主用侧规划在Switch1上;VLAN60、VLAN70主用侧规划在Switch2上;各个VLAN在交换机上的IP地址定义为相应IP地址规划网段中的最后一个地址。
3. IP地址计算指南
(1)服务器IP地址
OSS、NMS服务器如果有双网卡支持,则每台需要3个IP地址以提供MultipathingXX网卡冗余。对于单网卡的主机系统,每台服务器需要一个IP地址。
(2)组播地址规划
播控系统需要通过组播发送消息,其中每个TV频道对应着一个组播地址。
播控系统的模块内部也需要通过组播进行数据的同步。
组播地址选用保留组播地址段239.255.*.*,建议按照表7-2的内容进行分配。在某些播控平台现场,需要根据实际情况规划地址,不能跟下层运营商的组播地址相同。因为涉及以后对接,如果组播地址相同,就无法正常对接,所以在规划前需要了解现场的项目现状和远期规划。组播地址分配表如表7-2所示。
表7-2组播地址分配表
| Guangdong (广东省) | 播控OSS | 239.255.10.x 〜239.255.16.x |
| TV CHANNEL | 239.255.17.x 〜239.255.17.x | |
| Guangxi (广西壮族自治区) | 播控OSS | 239.255.18.x 〜239.255.24.x |
| TV CHANNEL | 239.255.25.x 〜239.255.25.x | |
| Hainan (海南省) | 播控OSS | 239.255.26.x 〜239.255.32.x |
| TV CHANNEL | 239.255.33.x 〜239.255.33.x | |
| Fujian (福建省) | 播控OSS | 239.255.34.x 〜239.255.40.x |
| TV CHANNEL | 239.255.41.x 〜239.255.41.x | |
| Taiwan (台湾省) | 播控OSS | 239.255.42.x 〜239.255.48.x |
| TV CHANNEL | 239.255.49.x〜239.255.49.x | |
| Hong Kong (香港特别行政区) | 播控OSS | 239.255.50.x-239.255.56.x |
| TV CHANNEL | 239.255.57.x 〜239.255.57.x | |
| Hunan (湖南省) | 播控OSS | 239.255.58.x 〜239.255.64.x |
| TV CHANNEL | 239.255.65.x~239.255.65.x | |
| Jiangxi (江西省) | 播控OSS | 239.255.66.x-239.255.72.x |
| TV CHANNEL | 239.255.73.x 〜239.255.73.x | |
| Hubei (湖北省) | 播控OSS | 239.255.74.x 〜239.255.80.x |
| TV CHANNEL | 239.255.81.x 〜239.255.81.x | |
| Zhejiang (浙江省) | 播控OSS | 239.255.82.x 〜239.255.88.x |
| TV CHANNEL | 239.255.89.x 〜239.255.89.x | |
| Jiangsu (江苏省) | 播控OSS | 239.255.90x~239.255.96.x |
| TV CHANNEL | 239.255.97.x 〜239.255.97.x | |
| Shanghai (上海市) | 播控OSS | 239.255.98.x 〜239.255.104.x |
| TV CHANNEL | 239.255.105.x 〜239.255.105.x | |
| Henan (河南省) | 播控OSS | 239.255.106.x 〜239.255.112.x |
| TV CHANNEL | 239.255.113.x—239.255.113.x | |
| Hebei (河北省) | 播控OSS | 239.255.114.x 〜239.255.120.x |
| TV CHANNEL | 239.255.121.x 〜239.255.122x | |
| Beijing (北京市) | 播控OSS | 239.255.122.x 〜239.255.128.x |
| TV CHANNEL | 239.255.129.x 〜239.255.129.x | |
| Tianjin (天津市) | 播控OSS | 239.255.130.x 〜239.255.136.x |
| TV CHANNEL | 239.255.137.x-239.255.137.x | |
| Shandong (山东省) | 播控OSS | 239.255.138.x 〜239.255.144.x |
| TV CHANNEL | 239.255.145.x 〜239.255.145.x | |
| Shanxi (山西省) | 播控OSS | 239.255.146.x 〜239.255.152.x |
| TV CHANNEL | 239.255.153.x 〜239.255.153.x | |
| Liaoning (辽宁省) | 播控OSS | 239.255.154.x 〜239.255.160.x |
| TV CHANNEL | 239.255.161.x~239.255.161.x | |
| Jilin (吉林省) | 播控OSS | 239.255.162.x 〜239.255.168.x |
| TV CHANNEL | 239.255.169.x 〜239.255.169.x | |
| Heilongjiang (黑龙江省) | 播控OSS | 239.255.170.x 〜239.255.176.x |
| TV CHANNEL | 239.255.177.x 〜239.255.177.x | |
| Neimenggu (内家古自治区) | 播控OSS | 239.255.178.x 〜239.255.184.x |
| TV CHANNEL | 239.255.185.x 〜239.255.185.x | |
| Xinjiang (新疆维吾尔自治区) | 播控OSS | 239.255.186.x 〜239.255.192.x |
| TV CHANNEL | 239.255.193.x 〜239.255.193.x | |
| Ningxia (宁夏回族自治区) | 播控OSS | 239.255.194.x 〜239.255.199.x |
| TV CHANNEL | 239.255.201 .x 〜239.255.201 .x | |
| Gansu (甘肃省) | 播控OSS | 239.255.202.x 〜239.255.208.x |
| TV CHANNEL | 239.255.209.x 〜239.255.209.x | |
| Qinghai (青海省) | 播控OSS | 239.255.210.x 〜239.255.216.x |
| TV CHANNEL | 239.255.217.x 〜239.255.217.x | |
| Anhui (安徽省) | 播控OSS | 239.255.218.x 〜239.255.224.x |
| TV CHANNEL | 239.255.225.x 〜239.255.225.x | |
| Shaanxi (陕西省) | 播控OSS | 239.255.226.x 〜239.255.232.x |
| TV CHANNEL | 239.255.233.x 〜239.255.233.x | |
| Sichuan (四川省) | 播控OSS | 239.255.234.x 〜239.255.240.x |
| TV CHANNEL | 239.255.241.x 〜239.255.241.x | |
| Chongqing (重庆市) | 播控OSS | 239.255..242.X 〜239.255.244.x |
| TV CHANNEL | 239.255..245.X 〜239.255.245.x | |
| Guizhou(贵州省) | 播控OSS | 239.255.246.x 〜239.255.247.x |
| TV CHANNEL | 239.255.248.x 〜239.255.248.x | |
| Yunnan (石南省) | 播控OSS | 239.255.249.x 〜239.255.252.x |
| TV CHANNEL | 239.255.200.x〜239.255.200.x (note) | |
| Xizang (西藏自治区) | 播控OSS | 239.255.253.x 〜239.255.253.x |
| TV CHANNEL | 239.255.254.x 〜239.255.254.x |
三、网络路由
1. 系统组网规范
播控核心网络使用静态路由协议和OSPF(OpenShortestPathFirst,开放最短路径优先)协议。
对于所有OSS服务器、OAM(OperationAdministrationandMaintenance.操作、管理、维护)客户管理终端,使用静态路由协议;对于核心网络的IP路由交换设备,除使用静态路由协议外还启用OSPF动态路由协议,它可以实现播控系统核心网络内部的路由信息交换。
播控系统核心网络与城域网的连接目前建议使用静态路由的方式。在系统容量较大时,可能播控系统核心网络与城域网存在多条链路,此时为了保证负载的均衡分配,可以使用MAN运行动态路由协议并制订相应的路由策略。
由于采用OSPF动态路由协议,而OSPF协议比较耗CPU的路由算法,在一个Area里面,每一个OSPF路由的变化都会使所有的路由器重新计算路由。所以,在一个Area里面不能有太多数目的路由设备。推荐一个播控核心网络内所容纳的路由设备的数目的最大值为50台。
2. 组播路由协议
播控系统需要通过组播方式传递媒体信息,所以需要在核心网打开组播路由协议。核心网络的路由交换设备的L3Switch都启动组播路由功能,组播路由协议选择PIMsparse-mode。
播控系统使用组播的方式进行数据同步,例如,AAA服务器各子系统之间的同步等,都用到组播方式。因此,为了限制AAA服务器间的同步组播消息被网关等其他网元接收到,可将OSS服务器单独放在一个VLAN内,使AAA同步组播消息仅限在这个VLAN内部,以便不影响其他服务器的正常1:1;而且正常情况下,AAA组播的TTL(TimeToLive,生存时间)为1,除了在本交换机内部有效之外,无法向外传播。
四、网络设备端口规划
路由器和交换机的规划必须考虑系统的冗余备份和扩展性。交换机可以通过VLAN的HSRP或者VRRP实现备份;交换机和路由器之间,播控核心机房和城域网核心交换机之间可以通过多路由或多链路实现备份。
目前,IP交换设备主要用到GE(GigabitEthernet,T兆以太网)口和10Gbps端口,10Gbps端口一般用于网络设备互连,1Gbps端口用于平台设备连接或者流量较小的网络设备互连。端口的规划要充分考虑服务器的实际应用情况和今后的维护方便。
1.端口分配原则
① 一个VLAN尽量在多个连续的端口中分配。
② 同一设备的不同网卡要安排在不同交换机上或者不同的板卡上。
③ 在多GE端口的板上要提供合理的维护终端端口。
④ 对于接服务器的端口的分配,应该根据板卡的接口与背板的带宽分配情况进行分配。例如,CiscoWS-X4548-GB-RJ45板卡到背板的带宽总计为6Gbps全双工,板卡上的48个端口分为了6组。所以,应该将服务器的接口分别接入到不同的GE接口组中,以提高系统的性能。
2. 端口命名规则
端口命名即端口描述,定义如下。
• 对服务器:To-设备名-网口序号(NIC#1),例如,To-yn-sm-oss-eriO:
• 对IP网络设备:To-设备名-网口类型+槽位/序号(FE1/1),例如,To-yn-sm-S4507-l-GE0/12o
五、Syslog设计规划
根据配置可以有以下三种Syslog设计规划方式。
① 如果系统配置了台式机,那么可以采用基于Windows系统的SyslogServer0
② 如果配置了CiscoWorks2000服务器,那么SyslogServer就配置在该服务器上。
③ 当有多台1P网络设备的Log(日志)写到同一文件时,以Loopback地址来标识日志源。
六、网络安全
在整个播控系统中,安全是很重要的一个部分,它关系到整个系统运行的可用性与可靠性,关系到整个工程项目是否成功。对于整个系统的安全防护,可以从以下几个方面考虑。
1. 保护关键的服务器
在播控系统中,SMP、OSS、NMS、DB、AAA、CTMS处于系统的控制层面,这些处于控制层面的服务器是整个播控系统的关键,而且这部分服务器并不直接发送或接收媒体流,所以流量较小,完全可以利用防火墙对其进行安全保护。
2. 路由协议的安全
在路由交换平台方面,如果釆用静态路由,那么对现有网络基本上没有大的改动;如果采用的是动态路由协议,比如OSPF,那么可以采用KEY来验证路由的合法性,可以纳入整个网络的安全体系。
对路由更新信息进行认证,这样可以避免来自网络上的攻击,避免错误配置的网络设备所产生的影响。
3. 关闭易受攻击的服务
对于网络平台以及主机系统平台来说,只打开必须打开的端口,这类似于最小授权原则。对于不必要的服务,建议将其关闭,具体服务名称与相关命令如表7-3所示。
表7-3具体服务名称与相关命令
| 序号 | 服务名称 | 默认状态 | 相关命令 | |
| 1 | BOOT Server | ENABLE | Router( config) # no ip bootp server | |
| 2 | CDP | ENABLE |
Router (config) #no cdp run Router( config-if) tf no cdp enable |
|
| 3 | Configuration Auto-loading | DISABLE |
Router (config) # no boot network remote-url Router (config)# no service config |
|
| 4 | DNS | ENABLE |
Router (config) # ip name-server Router (config)# no ip domain-lookup |
|
| 5 | FINGER | ENABLE |
Router( config) # no ip finger Router (config) U no service finger |
|
| 6 | HTTP Server | 与设备型号有关 | Router (config)# no ip http server | |
| 7 | FTP Server | DISABLE |
Router (config) # no tip-server enable Router (config) # no ftp-server vvrite-enablc |
|
| 8 | TFTP Server | DISABLE | Router (config) # no tttp-server | |
| 9 | IP Directed Broadcast | E<12.0< =D | Router (config-if) # no ip directed-broadcast | |
| 10 | ICMP Mask Reply | DISABLE | Router( config-if) # no ip mask-reply | |
| 11 | ICMP dircAAA | ENABLE | Router (config-if) # no ip redirect | |
| 12 | IP Source Routing | ENABLE | Router (config) # no ip source-route | |
| 13 | ICMP Unreachable Notifications | ENABLE | Router (contlg-if) # no ip unreachable | |
| 14 | Identification Service | ENABLE | Router (config-if) # n。ip identd | |
| 15 | NTP Service | DISABLE |
Router (config) # no ntp Router (config-if) # ntp disable |
|
| 16 | PAD Service | ENABLE | Router (config) # no service pad | |
| 17 | Proxy ARP | ENABLE | Router (config) # no ip proxy-arp | |
| 18 | Gratuitous ARPs | ENABLE | Router (config) # no ip gratuitous-arps | |
| 19 | SNMP | DISABLE |
Router (config) # no snmp-server community Router (config) # no snmp-server enable traps Router (config) # no snmp-server system-shutdown Router (config) # no snmp-server |
|
| 20 | TCP Small Servers | E<11.3<=D | Router (config) # no service tcp-small-servers | |
| 21 | UDP Small Servers | E<11.3<=D | Router (config) # no service udp-samll-servers | |
| 22 | MOP |
Enable on Most Ethernet Port |
Router (config-if) # no mop enabled | |
| 23 | TCP Keepalive | DISABLE | 可以启用 | |
4. 管理安全与访问控制
对路由交换平台的管理有多种途径,包括Console接口管理、AUX接口管理、Telnet远程管理、HTTP管理、CW2K等网管软件管理、SSH远程管理、SYSLOG管理等。各种管理方式各有利弊,从安全的角度来讲,釆用以下管理措施:
• 采用SSH,替代Telnet;
• 采用EnableSecret,替代EnablePassword;
• 路由交换设备的用户,根据需要配置相应的最小权限;
• 关闭所有不使用的接口;
• 防止物理上非授权的访问;
• 设置FailureRateThreshold-rate;
• 设置相应的警告信息。
