小区系统各部分具体解决方案

小区系统各部分具体解决方案一一、、接接入入部部分分11．．骨骨干干层层的的设设计计骨干核心位于中心机房，采用一台双电源的Cisco6509高速数据交换机，该设备有9个扩展槽，其中1个用于交换引擎，剩下8个IO扩展槽。以配置一块48口10/100BASE-TX的扩展模块为例，利用其中24个端口外接N-base的光纤收发器为与社区的24个光节点提供接入。另外的24个接口目前作为内部服务器群的交换接口，所有的数据信息将汇总到本地进行交换处理。用VLAN划分不同级别的用户及区分广播类型，利用防火墙加VLAN的方式物理的分开内部业务与用户网络，减少以太网上的广播风暴。随着将来业务与用户的扩容，通过增加6509的模块来实现。ISIN227图2.3楼宇用户以太网接入示意图五类线五类线五类线五类线接线架接线架接线架Hub光纤至主干光节点接线架22．．关关于于网网络络接接入入层层的的设设计计有两种方法：一种使用宽带接入服务器，增强对用户的服务的管理与业务带宽的控制。另一种是使用普通的路由器进行路由。以下对两种用户internet方式接入方式进行详细说明。a)我们建议使用中兴的UAS宽带接入服务器来提供多种服务及灵活的用户接入管理，为园区网络提供多种接口因为将来在小区应用时业务种类较多，用户的需求也可能有多种所以UAS在功能上也有不同的考虑。主要功能包括如下：1）接口功能接口功能模块包括UNI侧和NNI侧的接口，主要有10／100M以太网，ATMl55M，千兆以太网接口。2）业务接入功能低端UAS中包含的业务接入种类包括二种：PPP接入(PPPoE＆PPPoA)；DHCP+AAA桥接接入。其中叫CP十AAA方式的实现中，首先由UAS的DHCPServer为用户分配有效IP地址，用户用户直接以以二层LAN方式接入UAS的AAA认证服务器(RadiusServer)，在应用层认证成功后，由UAS为用户建立进入inernetde的链路，这样用户以三层桥接方式(类似于路由器的NAT功能)接入ISP。3）管理功能ZXA10-UAS接入网小区用户网络管理中心Internet低端UAS的管理控制模块支持三种方式的管理功能：Telnet方式、Web方式和本地监控。通过三种不同的途径对网络接入服务器进行控制管理。运营商和物业公司可以分权进行设备以及用户的管理。4）认证计费低端UAS中包含网络接入认证与授权模块、计费模块和统计模块。其中RADIUSServer能实现本地授权、认证、计费，便于给用户开放本地业便于给用户开放本地业务。低端UAS中保存用户的所有信息，当用户进网时对用户的信用进行认证。用户接入认证主要根据用户的用户名和口令来认证。低端UAS为用户开放本地业务时直接作为一个RadiusServer而存在，对用户接入认证请求进行响应，据此响应授予请求用户本地业务接入的权限并且开始计费。低端UAS的计费，需要记录上网用户的本地业务接入费用，接入费用能按照接入时长和流量两种方式进行统计，并能通过网管输出每个计费信息。计费方式可以是月租费十使用费，可以以时长和流量统计费用。5）防火墙功能网络接入服务器的防火墙功能表现为根据不同的用户权限向用户提供不同的接入能力。网络接入服务器的防火墙功能可以有二种方式来提供，分别称为IPFilter和IPPool。6）虚拟专网（VPN）VPN是由用户发起的建立虚拟专网的技术。低端UAS和中高端的产品一样，包含二个方面的内容：对请求建立虚拟数据专网的用户进行用户资格认证：为通过资格认证的用户建立虚拟数据专网的隧道、数据包传送和拆除隧道等。接入服务器支持用户通过特定用户名接入VPN，采用的通信协议应支持L2TP和PPTP协议。7）安全性主要包括对用户隔离、内外网隔离、数据库安全、完整及备份。以上提供的功能模块，可以根据网络需求灵活进行配置。这种网络接入方式的优点在于，可以为小区用户提供多种服务，提高网络用户的安全性和可科管理性，为运营商和小区运营者提供了一种直接的管理模式。这种利用UAS的接入方式适用象南阳油田的一些大型小区的综合管理。在实际应用中，可以在一个大型小区中直接使用，放置在网络的边缘节点；可以多个小区共用一个UAS，实现多个小区的汇接和用户的综合管理。b)利用路由器接入数据网这是一种典型的接入方式，在LAN接入广域网时应用非常广泛。以下仅作简单说明。在这种方式中，在管理中心配置一台路由器用于接入intemet网络，使小区局域网形成一个自治封闭网络，在附加DHCP服务器的情况下，可以在小区局域网内部为每个用户分配合法的内部IP地址。内部保留IP和外部网合法IP地址的转换统一由路由器的NAT功能实现，NAT可以配置多个IPPool，IPpool可以存贮几乎无限的合法IP地址，动态的将出网访问设备的内部保留IP转换为合法IP地址，并记下每一个连接保持会话(Session)不中断。NAT可以通过静态映射将一个合法IP地址和内部保留IP地址设置为一一应答的关系。NAT配置在内外网的出入口一般还具有防火墙的功能，提供额外的安全策略并且对外隐藏不需要外部网访问的内部网络。路由器可以提供高达2Mbps速率的V．35WAN接口，以及V．24的ISDN接口。路由器还可以提供多个100Mbps速率的局域网接口，在具体使用中，一个端口可以用于对内的局域网接口，和小区中心的主交换机上联端口连接；另一个端口用作广域网接口，与上海电信的100兆端口相连，实现小区局域网高速连接到ISP。这种配置有二个优点：利用LAN接口作为WAN接口，能够使得局域网利用低速路由器高速接入广域网，从成本上得到控制；在实际使用中，如果由于百兆独享端口的实际租用费较为昂贵，可以利用2Mbps速率WAN接口，利用DDN方式接入WAN。在路由方式中，本地业务直接在小区内网实现，用户对外网的访问要通过路由器的NAT转发，在收费策略中，可以对用户的本地业务收费通过应用层的认证计费实现，对外访问通过包月或是通过路由器中的流量统计数据收费。可以为小区的本地服务申请合法IP地址，允许外网用户访问小区的该服务同时小区终端用户进行全网IP的互连。根据网络布线的基本要求，对于户外，每个光节点到每栋楼的住宅之间采用五类线连接，这就要求每个光节点的交换机要有100M的上联端口。遵循小区网络资源分配原则，平均有1/5的用户在使用网络系统资源。由此100M的接入带宽在一般正常条件下逻辑上可以满足50个10M用户使用。对将来每个用户使用的数据量进行分析：高速访问Internet占用200Kbps以上，VOD占用带宽1.5M~2.5M，多点交互视频（网上教育）2.5~5.5M，网络监测信息流约占用接入干线带宽的5%，社区内部服务信息800Kbps以上，信息广播占用端口带宽（100M）的5%~30%，五类线衰减损失带宽2%~10%，温度变化对带宽的损失在0~5%。10M（用户端口理想带宽）—10M30%（信息广播）—10M10%(平均衰减)=剩余带宽这样统计出每个用户允许最大的数据发生量大约是在6M以内，用户数据的平均占用带宽大约在3M。那么100M的接入带宽再一般条件下，逻辑上支持的用户数是150~300个。根据现在住房结构,分析用户数据的应用量和每栋楼用户的数量，我们建议低于12（包括12）个用户的楼栋采用HUB+光纤收发器方法来完成接入。这种方式既可以使用更经济的网络设备又不会降低整体网络的性能。比如，28栋住宅，就采用10M的光纤收发器加一个8口HUB来实现这类用户的接入。从设备成本上讲，这种接入方法更经济适用。这种通过光纤收发器方式接入有一个缺点就是增加了额外的故障点，但考虑到成本与网络的应用环境，我们还是建议在用户少的住宅楼采用光纤收发器+HUB的方式进行接入。33..关关于于网网络络主主干干的的数数据据集集中中与与带带宽宽的的分分配配根据小区用户的数量，对于将来跨度较长的网络主干建议采用千兆以太网（如下图），用千兆的方式上联到中心机房，中心机房的核心交换机是第三层交换机摆放在中心机房。分析各个会所接入的用户量来决定接入交换机的处理能力。主干交换机之间用ISL传递VLAN信息，在第三层交换机通过基于网络层的路由，使VLAN之间能够进行路由。44．．分分析析对对于于VVLLAANN的的划划分分为了易于管理和减少以太网上的广播信息建议将网络以楼为单位划分VLAN。划分VLAN的方式基本有四种：①根据端口定义最初，许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，7，8端口被定义为虚拟网A，同一交换机的4，5，6端口组成虚拟网B。这样做允许各端口之间的通讯，并允许共享型网络的升级。但遗憾的是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。按交换机端口来划分网络成员，其配置过程简单明了。因此，迄今为止，仍然是最常用的一种方式。但是，这种方式不允许多个VLAN共享一个物理网段或交换机端口。而且，更糟糕的是，如果某一个用户从一个端口所在的虚拟网移动到另一个端口所在的虚拟网，网络管理员需要重新进行设置。这对于拥有众多移动用户的网络来说是不可行的。②根据MAC地址定义按MAC地址定义的VLAN有其特有的优势。因为MAC地址是捆绑在网络接口卡上的，所以这种形式的虚拟网允许网络用户从一个物理位置移动到另一个物理位置，并且自动保留其所属虚拟网段的成员身份。同时，这种方式独立于网络的高层协议(如TCP/IP，IP，IPX等)。因此，从某种意义上讲，利用MAC地址定义虚拟网可以看成是一种基于用户的网络划分手段。这种方法的一个缺点是所有的用户必须被明确的分配给一个虚拟网。在这种初始化工作完成之后，对用户的自动跟踪才成为可能。然而，在一个拥有成千上万用户的大型网络中，如果要求管理员将每个用户都一一划分到某一个虚拟网，实在是太困难了。因此，有些厂商便将这项配置MAC地址的复杂劳动推给了他们的网络管理工具。这些网管工具可以根据当前网络的使用情况，在MAC地址的基础上自动划分虚拟网。③基于网络层的VLAN基于网络层的虚拟网使用协议(如果网络中存在多协议的话)或网络层地址(如TCP/IP中的子网段地址)来确定网络成员的划分。利用网络层定义虚拟网有以下几点优势。第一，这种方式可以按传输协议划分网段。这对于希望针对具体应用和服务来组织用户的网络管理员来说无疑是非常有诱惑力的。其次，用户可以在网络内部自由移动而不用重新配置自己的工作站，尤其是使用TCP/IP的朋友们。第三，这种类型的虚拟网可以减少由于协议转换而造成的网络延迟。当然，缺点也总是有的。与利用MAC地址的形式相比，基于网络层的虚拟网需要分析各种协议的地址格式并进行相应的转换。因此，使用网络层信息来定义虚拟网的交换机要比使用数据链路层信息的交换机在速度上占劣势。而且，这种差异在绝大多数网络产品中都存在。另外，虽然按网络层划分的虚拟网对于使用TCP/IP协议的用户群来说是十分有效的。但是，象IPX，DECnet，AppleTalk这样的协议运行在这种虚拟网络结构中似乎就不太合适了。再者，对于某些无法路由的协议，如NetBIOS，按网络层定义虚拟网就更困难了。运行不可呼由的协议的工作站是不能被识别的。因此也就不能成为虚拟网的一员。需要注意的是，虽然这种类型的虚拟网是建立在网络层的基础上，但交换机本身并不参与路由工作。当一个交换机捕捉到一个IP包，并利用IP地址确定其身份时，没有任何与路由有关的计算产生。RIP以及OSPF等路由传输协议也不被采用。交换机只是作为一个高速网桥，简单的利用扩展树算法将包转发给下一个节点上的交换机。这样看来，基于网络层的虚拟网之间的连接应该看成是一个类似于桥的拓扑结构。④根据IP广播组划分根据IP广播组定义是指任何属于同一IP广播组的计算机都属于同一虚拟网。这样的虚拟网是如下建立的:当IP包广播到网络上时，它将被传送到一组IP地址的受托者那里。这组被明确定义的广播组是