1、洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 1目 录第一章 洪桐广电宽带接入系统设计原 则及思想 .2一、采用先进稳定及成熟的系统技术 .2二、采用 Intranet 技术及设计思想 5第二章 洪桐广电宽带接入系统 网络设计 .6一、拓扑结构 .7二、网络设备配置 .7三、网络系统的其他设置 .9第三章 洪桐广电宽带接入系统的邮件、RADIUS、计费服务 16一、邮件服务 .16二、RADIUS、计费系统 17第四章 主机系统设计 27一、洪桐广电宽带接入主机系统设计原则 .27二、主机配置选择方案 .28三、主机操作系统选择 .30四、主机设备简介 .31第五章 洪桐广电宽带接入系统网
2、络安全及病毒的防护 34一、防火墙设计 .34二、病毒的防护 .42第六章 网络设备产品说明 47一、Quidway S8016 千兆核心多层交换机产品概述 .47二、Quidway NetEngine 05 高端路由器 .56三、Quidway S2403H 边缘接入交换机 60四、Quidway S3026E F 系列快速以太网交换机 .61第七章 网络支持与服务 63一、售后服务以及设备保修 .63二、山西三星华讯通信有限公司简介 .64洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 2第一章 洪桐广电宽带接入系统设计原则及思想一、采用先进稳定及成熟的系统技术1、系统的可靠性与稳定性由
3、于本系统面对的是洪桐县的宽带上网,整个系统长期可靠的运行,对保证用户的正常上网具有重大的意义。因此,精确、不间断的数据传输十分重要。为了确保系统运行的可靠性,系统应具有强大的容错能力,主要表现在以下几个方面:*采用高可靠性的服务器。服务器大部分部件应可热插拔。*服务器本身及数据库系统支持磁盘镜像。*采用高可靠性的网络设备。*如果资金允许,在网络设备及通讯线路上也同样应具有备份形式。通过以上分析,在该网络系统设计中要充分考虑所选用服务器及网络设备产品的性能的稳定性、数据的备份、网络设备的备份、通讯线路的备份等几个方面的因素,则可以将该网络系统建成一个极为安全可靠的宽带接入系统。本方案中无论从主机
4、、网络及数据库,都能体现系统设计的可靠性与稳定性。2、系统的可管理性由于系统是运行在整个洪桐县,因此需要对网络活动进行有效的控制和管理。网络管理员可随时监测系统中的所有网络设备运行状况,并应能在不改变系统运行的情况下对网络进行修改,不管网络设备的物理位置在何处,网络都应该是可以控制的。计算机网络系统的管理功能一般包括四部分内容:失效管理失效管理是最基本的网络管理功能。它负责检测网络中的各种故障,主要包括网络结点和通信线路两种故障。在大型计算机系统中,发现失效故障时,往往不能具体确定故障所在的具体位置。有时候,所发现的故障是随机性的,洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 3需要经过很
5、长时间的跟踪和分析,才能找到其产生的原因。这就需要有一个故障管理系统科学地管理网络所发现的所有故障,具体记录每一个故障的产生,跟踪分析,以至最后确定并改正故障的全过程。配置管理一个计算机网络系统是由多种多样的设备连接而成的。这些设备组成网络的各种物理结构和逻辑结构,这些结构中的设备有许多参数、状态和名字等至关重要的信息。另外,上述网络设备及其互连和互操作的信息可能是经常变化的,这就需要有一个全网的设备配置管理系统,统一科学地管理上述信息,以便利用这些信息使网络更有效地工作。性能管理一个计算机系统运行的性能如何,是网络建设首先要考虑的问题。但是,由于网络规模的庞大和影响网络性能的不定因素太多,加
6、大了运行性能好的大型网络的设计难度。提高网络性能的一般方法是,先设计并建设网络,在网络的运行过程中,对网络性能进行静态和动态统计分析,根据分析结果,对网络配置和参数进行调整,逐步达到最佳。安全管理安全管理的功能涉及一个计算机系统的安全管理政策,根据这一政策设计和实现的网络安全管理系统,可以管理网络结构的不同层次,从基本网络访问功能到网络应用系统功能。3、系统的超前性超前性和先进性是每一个计算机网络系统建设期望达到的目标,但是随着计算机及网络技术的发展,先进的、新的网络技术面临着技术和产品上不十分成熟的问题,而原有的成熟的网络技术和产品又势必被新的技术所取代,是采用原有的成熟的网络技术而承担投资
7、保护的风险,还是直接采用最新的技术而冒着产品不成熟、标准不统一的风险是网络设计人员一直所争论的焦点。所谓网络设计的超前性是将网络系统看成一个系统工程,不但要设计到它的产生还要设计它的发展和未来,将着眼点放在目前的应用系统及现有的技术并考虑以最小的代价来适应网络技术的不断的发展,使现有系统增长,在系统规模急骤扩张中亦不需要重新进行系统规划与设计,并能够顺利、平稳地向更新能够与洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 4业务需求同步的技术过渡。本方案所选设备都是业界知名厂商的主流产品,整个设计充分考虑到了系统的先进性,至少可以保持 3-4 年的先进性。4、系统的扩展性网络的扩展能力包括两方
8、面内容,即网络处理能力的扩展和网络技术向更新的技术的升级。随着该网络系统的不断发展与完善,应可以随时增加网络设备来扩展整个网络。例如接入规模的扩大。另外由于所选所有路由器产品应都能够支持从低到高多种通迅协议,用户可以不增加任何投资通过选择通迅协议和通信速率来提高网络传输速度,降低系统运行费用。另外,在用户端应选用可堆叠或模块化产品具有很好的开放性,可以十分方便的扩充网络的容量。在洪桐广电宽带接入系统的设计中,从主机到网络,从硬件到软件,整个系统的可扩展性都是经过了精密的设计。5、系统的开放性*支持多种通讯协议所选择的网络设备应支持多种网络协议,局域网应具备从以太网交换式以太网高速以太网(或 A
9、TM)顺利过度的途径,在广域网上应具备不增加任何投资实现 PSTN、X.25、DDN、FrameRelay、ISDN、E1 等通讯协议的转换和提升。同时,支持多种协议软件功能在网络上的稳定实现。*支持多种传输介质本网络系统是一个多传输介质的网络,应能够适应非屏蔽双绞线(UTP)、单多模光纤等多种传输介质,通过这些介质形成一个统一完善的接入网络。*支持多种主机互连系统互连应全部采用国际标准的网络层通讯协议 TCP/IP,使网络具有良好的开放性。因为所有的主机系统生产厂商都努力使自己的产品遵循 TCP/IP 标准,所以可以很方便的实现多种主机的互连。6、系统的灵活性考虑到系统将来可能需要提供的更多
10、增值服务,系统的灵活性主要表现在能支持应用的灵活性已经硬件升级扩容等方面,交换机产品与路由器产品支持的最先进的虚拟网络技术, 隔离不同用户数据,根本上保证不用用户数据的安洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 5全性以及数据传输的性能。7、系统的安全性根据本网络的特点,防止外界非法侵入,有效地保护用户数据资料已成为系统设计中十分重要的问题。在系统中对外来侵入的控制应由路由器配合操作系统及数据库平台来完成,采用多级用户权限管理,具有 C2 级安全标准或超过C2 级标准。通过网络管理软件有效地利用路由器的“防火墙 ”功能强化安全管理。设置必要权限,以提供安全保障。在应用软件系统中也应提供
11、充分的资格审查与权限控制。二、采用 Intranet 技术及设计思想Intranet 是目前计算机应用领域中人们非常关注的热门话题,同时也给各企事业单位的计算机应用提供了新的应用模式和解决方案。Intranet 以其安全、廉价、方便等优点越来越得到了人们的认可,也成为当今企业自动化建设所追求的目标。Internet 实质上是 Internet 在企业内部的实现,是 Internet 的 Web 技术、放火墙技术及基于 WWW 和数据库的内部信息管理技术等的完美结合。Intranet 给企业带来很多好处,首先是安全,Internet 是不安全的,而大多网络系统需要保护内部的重要数据和资源,防止外
12、来的非法访问和破坏,Intranet 利用防火墙来达到这个目的,对于 Intranet 用户来讲它可以访问Internet,但 Internet 上的用户看不到它,这种单向性确保了内部网络的信息安全。其次是廉价性,Intranet 利用 Internet 已有的技术和应用,吸收了Internet 的优点和长处,如应用的丰富和互连时的强大功能,及基于Client/Server 的计算和 TCP/IP 协议的标准性等。其中很多资源和技术都是免费或廉价的,对于企业来讲节省了大量大型应用软件的投资,比如工作组软件所需的开销。Intranet 还具有易于管理的特点,网上的所有活动均有详细的记录和日志文件
13、,便于进行分析和检查;此外 Intranet 的大部分应用均基于 Web进行,用户界面统一和简单,使用方便。基于上述分析,该宽带接入系统无论在设计和实施过程中都应体现Intranet 的实现思想,采用 Intranet 技术,将该网络系统建设成一个安全、廉价、方便的宽带接入网络。洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 6第二章 洪桐广电宽带接入系统网络设计网络拓扑结构在采用星型拓扑。在接入网中,我们可以将整个网络划分为核心、汇聚和接入 3 层。核心层、分布层考虑的用户投资以及工程本身特点,核心层与分布层合为一层。完成 IP 包的快速交换。接入层接入层完成最终用户的 IP 接入,向用户
14、提供独享的 10/100BaseT 接入,同时能够将不同用户数据相互隔离,达到最大的安全性。洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 7一、拓扑结构主干网采用星形拓扑结构,层次结构清晰,具有较强的灵活性和可扩充能力,同时,这种集中式连接方式有利于系统及网络管理人员对整个系统进行管理和维护。二、网络设备配置1、中心交换机配置在网络中心选用一台 Quidway S8016 千兆核心多层交换机作为高档主干网络交换机设备。骨干层的 Quidway S8016 配置 1 块 16 路百兆以太网单模光接口线路板模块和 1 块 4 路千兆以太网多模 500m MTRJ 光接口线路板,通过百兆模块设置
15、实现与接入层建立百兆连接,通过千兆模块建立与应用服务器的高速无阻塞连接,形成高速主干网。配置 16 路百兆以太网电接口线路板以连接网络中心网管主机等设备。配置双电源,实现电源冗余。配置交换网板,通过多层路由引擎实现三层功能。洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 8核心以太网交换机 S8016 1 路由交换机总装机柜 RS-B-8016 12 核心路由器母板插框组件 CR-K08011 13 主控处理单元 RS-MPUB 24 交换网板 RS-SFCB 25 配电插框-W1451ZB/X1-NE80 AC 电源系统配电插框 W1451ZB/X1 16 电源模块-220VAC-48V/
16、15A S2W4M2Z 57 监控模块-M3451Z-PSM-B2A-NE80AC 电源系统监控模块 M3451Z 18 4 路千兆以太网多模 500m MTRJ 光接口线路板 RS-E4GP 19 16 路百兆以太网单模光接口线路板(15km,MTRJ) RS-EGFS 110 16 路百兆以太网电接口线路板(100 m,RJ45) RS-EGFE 111 主机软件 SWP-RS-S8016 112 成套资料 DOC-RS-S8016 12、出口路由器配置连接 INTERNET 的出口路由器可以选用路由器设备 Quidway NetEngine 05同内部主干交换机建立 100M 高速连接,
17、在 Quidway NetEngine 05 设置 NAT,可方实现内部保留 IP 地址访问外网。骨干路由器 NE05 1 NE05 机箱-双交流电源模块配置 RT-NE05 CHASSIS/2AC 12 系统监控管理单元 RT-NE-ALUA 13 路由交换单元前处理板-128M 内存 RT-NE-RSUA 14 路由交换热插拔控制单元 RT-NE-RSHC 15 通用接口单元前处理板-128M 内存 RT-NE-VIUA 16 1 端口百兆以太网接口前处理卡 RT-NE-ETPA 13、接入交换机接入交换机建议选用华为 2403H 交换机,该交换机每个端口提供独享洪桐广电宽带接入项目山西三
18、星华讯通讯技术有限公司 910/100M 带宽,可以形成完全的 10/100M 到桌面。同时可以同汇接层交换机建立 100M 的连接。每个端口间互相通过 vlan 隔离,它可以保证用户之间不可互相访问,提高安全性。4、汇接交换机在某些小区中,因楼宇多,一个小区需要放置多台接入交换机,如果直接将接入交换机通过光纤连接至中心核心交换机,则浪费了宝贵的端口资源和线路资源,此时需要设置汇接交换机,将地理上相邻的接入交换机汇接起来,通过一条光纤链路连接至中心交换机。在本方案的汇接交换机中,我们建议选用华为 3026FM 或者 3026FS.5、网络管理在本系统中,由于接入和汇接交换机等设备不在网络中心,
19、如果没有一套网络管理软件对这些设备进行远程监测的话,网络出现故障的处理会变得十分复杂,在这种情况下,需要配置一套网络设备厂商特定的网络设备管理软件,在本系统中,我们采用华为 iManager Quidview IP 网管应用软件.三、网络系统的其他设置1、IP 地址分配Internet 的地址分为三大类:A 类、B 类、C 类,每个 IP 地址的长度为 32位,IP 把它的 32 位地址分成两个部分,即网络数和节点数,因为是有限数目的网络地址,并且每个网络必须作唯一标识,则最终会产生组织结构使用它们的网络中发觉缺少的问题。在这种情况下子网掩码(Subnet Mask)就可以起到作用。通过改变子
20、网掩码我们可以扩展网络的地址。对于内部网来说,子网掩码的作用主要不是节省地址空间,而是为了保证IP 地址分配的层次性和扩展性,并有效地减少路由表,减轻路由器的负荷,同时有利于维护和管理网络系统。针对本系统,建议采用:内部网系统使用私有 IP 地址,可划分为一个子网或多个子网。在系统运行初期,系统内的工作站点不是很多的情况下,可采用此方法。但随着工作站点越来越多,整个系统处于这种平面结构,将导致系统性能和管理上的很多问题。通过上述子网掩码技术将系统分成多个子网,每个子网对应一个小区或楼宇。洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 10这样使整个系统构成有层次的结构,便于进行系统管理,提高
21、系统性能。这时子网之间的通讯可采用路由技术。内部网私有 IP 地址的划分应作到留有余地,并利于地址聚合。2、路由协议路由协议用来完成在一个互联网上进行通信时的路由选择。它确定数据包在网内或网间传输所经的路径,路由协议总的分为静态和动态两大类。静态路由唯一确定地选择一条路径,不能自动去适应网络的变化。而动态路由则根据算法来确定选择路径,并维持着一个定期刷新的路由表。动态路由协议适用于比较复杂的大型网络。动态路由协议又分为两大类,一类是内部网关协议,如RIP,IGRP,OSPF,ISIS 等,适用于域内路由;另一类是外部网关协议,如BGP,EGP 等,适用于域间路由。各种动态路由协议之间的一个主要
22、不同之处在于算法不同。路由算法使用不同因素作参数来决定最佳路由。这些因素叫 metric,常用的有:步长(Path Length)可靠性(Reliability)对延(Delay)带宽(Bandwidth)负载(Load)通信开销(Communication Cost)路由的决定是由综合以上某些项参数进行计算后作出的。由于本系统涉及的三层设备不多,总体层次比较单一,在满足实际需要的情况下,考虑路由的安全性和更好优化带宽,建议采用静态路由协议;如果增加一定数目的网络节点后,达到比较大数目的时候,可以考虑采用动态路由协议,本宽带接入网的设计中使用静态路由和默认路由达到节省带宽的目的。 3、虚拟网(
23、VLAN)和三层交换技术一个站点很多的网络系统,不能只设一个网段,否则会引起严重的网络问题:网络通信量太大、网络冲突、网络资源占用多、各户之间数据不安全等等。洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 11划分子网的好处是将通信量限制在各自的子网内,并保证网络的安全。按照这个原则,对于规模较大的网络,必须按需要划分成多个子网。如每个小区或楼宇自成一个子网,这样就把大量不必要的广播信息限制在本地,大大减少骨干网上的信息流量,提高骨干网的带宽利用率,并且能保证各用户数据的安全性。在规模较大的网络系统中需要采用虚拟网(VLAN)技术,针对本系统本身特点,接入交换机的每个端口划分到不同 vlan
24、,可以使各个独立用户之间互相不可见,从根本上保证用户数据的安全。虚拟网技术实现是最近一两年的事情。虚拟网其具有以下特征:虚拟网是一个有限范围的广播域,一个虚拟网的成员只能收到同一虚拟网的成员发出的广播报文,其它虚拟网的广播报文是收不到的。此特征提高了网络带宽的利用率。一个虚拟网的所有成员逻辑的组成一个广播域,跟它们的物理位置无关。在一个虚拟网里增加、移动和改变一个成员可通过软件实现,减少网络管理的时间及费用。在同一个虚拟网里是不需要路由的。在企业网络系统中,可以根据业务或者应用部门的需求划分 VLAN,更好的保证安全性和提高网络使用效率。在本系统中提供的个系列网络产品均支持 VLAN,优化网络
25、带宽。同时也可以加强网络信息的安全性。4、服务质量(QOS)华为通用路由平台软件是一个提供网络服务,使网络应用满足连接性、安全性、可靠性、可扩展性、可管理性的要求的平台,并支持先进的应用程序,如 IBM、多媒体、语音和 QoS 服务等。QoS 服务由三个关键组件构成:一个快速发展的构件和功能集;一个高度灵活、用于执行策略的工具,它利用构件控制网络资源的分配,以支持网络客户和应用程序的要求;一个功能分布组件,它优化了网络所有者(企业或 Internet 服务商)在服务配置和带宽/容量方面的可扩展性要求。用于业务分类的 IP 优先权:洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 12优先权提供
26、了将业务划分为多个服务类的功能。网络管理员可以定义多达六个服务类,并利用扩展访问控制列表(扩展 ACL),为每个服务类定义拥塞处理和带宽分配策略。IP 优先权功能利用在 IP 头上用于标识服务类型(Type-of-Service)的三个比特位,确定每个分组的服务类。IP 优先权功能为预定分配提供了相当的灵活性,包括客户分配(如根据应用程序和访问服务器)和基于 IP或 MAC 地址、物理端口或应用程序的网络分配。IP 优先权功能既可采用被动模式(接收客户分配的优先权),也可采用主动模式,此时,网络根据预先定义的策略设置优先权或超越客户分配的优先权。IP 优先权可被映射到邻接技术(如标记交换、帧中
27、继或 ATM),在非均匀网络环境下提供端到端的 QoS 策略。在不改变现有应用程序,不需要复杂化网络信令的前提下,仅利用 IP 优先权功能就可建立服务类。允许访问速率(CAR):用允许访问速率(CommittedAccessRate-CAR)管理访问带宽 CAR 为网络管理员提供了一个为业务目的地分配带宽,并制定超过带宽分配额度时的业务处理策略的工具。CAR 既可以用于网络入口也可以用于网络出口。CAR 阈值可根据访问端口、IP 地址和应用程序设定。CAR 测量业务负载,限制带宽资源分配,能适应 IP 业务固有的流量突增特点。CAR 利用扩展 ACL 对超出分配带宽的业务制定处理策略,包括重新
28、定义带宽可用阈值、修改分组的优先级、制定分组丢弃原则等。CAR 策略的选择包括:FirmCAR-丢弃超过分配带宽的分组CAR+Premium-为分组重新定义更高或更低的优先级CAR+BestEffort-丢弃之前先为其分配一个极大的阈值PerApplicationCAR-为不同的应用程序制定不同的策略用于拥塞管理的随机早期预测(RED):RED 为网络管理员提供了灵活制定流量控制策略的能力,使其能在拥塞情况下保持尽可能大的吞吐量。RED 与抗干扰的传输协议(如 TCP)协同工作,可根据如下的实现算法智能化地避免网络拥塞:区分网络可适应的临时性流量爆炸和将耗尽网络资源的极度超载。洪桐广电宽带接入
29、项目山西三星华讯通讯技术有限公司 13提供公平的带宽递减策略,按比例减少带宽的可用额度。RED 和 TCP 协同工作,在大流量出现时,能预先控制拥塞,并用丢弃分组的方式,保持大吞吐量。同时,RED 也为网络管理员提供了相当灵活的参数设置手段,包括调整队列长度阈值的最大值和最小值、分组丢弃几率和 MIB,分组交换和分组丢弃的管理策略等。加权 RED,基于服务类的拥塞管理:WRED 结合了 IP 优先权和 RED 功能,为不同类别的服务提供不同的性能-对优先权较高的分组优先处理。WRED 在拥塞情况下仍能进行优先处理,而且不会加剧拥塞。网络管理员可以灵活地为不同的服务类定义排队长度最大和最小阈值以
30、及分组丢弃率。系统还为每个服务级别提供 MIB,以实现网络管理的可见性。根据服务类别加权公平排队(WFQ):WFQ 提供了这样一种能力,在为较低优先级业务公平分配现有带宽的同时,保证要求低延时的高优先级和低优先级流。高优先级流立即得到处理,低优先级流则插入队列,按比例共享现存带宽。在出现拥塞时,低优先级流的分组可能被丢弃。QoS 服务提供了基于服务类型的分布式 WFQ,从而提高了性能和可扩展性。由此可见,通过 Qos 服务的提供,网络在提高队多媒体,视频等先进的应用程序的同时,并不牺牲网络的性能。为应用,特别使多媒体应用提供了良好的保障。在本方案中所选用的网络产品,都包括队 QOS 的支持。5
31、、NAT 技术随着 Internet 的飞速发展,网上丰富的资源产生着巨大的吸引力。接入Internet 、访问 Internet 成为当今信息业最为迫切的需求。 但这受到 IP 地址的许多限制。首先,许多局域网在未联入 Internet 之前,就 已经运行许多年了,局域网上有了许多现成的资源和应用程序,但它的 IP 地址分 配不符合Internet 的国际标准,因而需要重新分配局域网的 IP 地址,这无疑是劳 神费时的工作;其二,随着 Internet 的膨胀式发展,其可用的 IP 地址越来越少, 要想在 ISP 处申请一个新的 IP 地址已不是很容易的事了。这不仅仅是费用的问洪桐广电宽带接
32、入项目山西三星华讯通讯技术有限公司 14题, 而是 IP 地址的现行标准 IPv4 决定的。当然,随着 IPv6 的出台,这个问题应当能够 得到解决。但从 IPv4 到 IPv6 的升级不是一两天就能完成的。 NAT(网络地址翻译)能解决不少令人头疼的问题。它解决问题的办法是:在 内部网络中使用内部地址,通过 NAT 把内部地址翻译成合法的 IP 地址,在Interne t 上使用。其具体的做法是把 IP 包内的地址域用合法的 IP 地址来替换。 NAT 功能通常被集成到路由器、防火墙、ISDN 路由器或者单独的 NAT 设备中。 NAT 设备维护一个状态表,用来把非法的 IP 地址映射到合法
33、的 IP 地址上去。每个包 在 NAT 设备中都被翻译成正确的 IP 地址发往下一级,这意味着给处理器带来了一定 的负担。但这对于一般的网络来说是微不足道的,除非是有许多主机的大型网络 。需要注意的是,NAT 并不是一种有安全保证的方案,它不能提供类似防火墙、包过滤、隧道等技术的安全性,仅仅在包的最外层改变IP 地址。这使得黑客可以很容易地窃取网络信息,危及网络安全。 NAT 有三种类型:静态 NAT(staticNAT) 、NAT 池(pooledNAT)和端口NAT( PAT) 。静态 NAT 设置起来最为简单,内部网络中的每个主机都被永久映射成 外部网络中的某个合法的地址。而 NAT 池
34、则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。PAT 则是把内部地址映射到外部网络的一个 IP 地址的不同端口上。根据不同的需要,各种 NAT 方案都是有利有弊。使用 NAT 池 使用 NAT 池,可以从未注册的地址空间中提供被外部访问的服务,也可以从内 部网络访问外部网络,而不需要重新配置内部网络中的每台机器的 IP 地址。例如 ,建立在 NTIIS 服务器上的内部试验子网 19216800,其网络地址属于 C 类 保留地址。作为企业网的一个子网,其 IP 地址不分配给企业网上的设备而仅仅局 限在试验子网的设备上。为了使企业网能访问到这个内部网,在网络上增加一条
35、静态路径,使信息能回传给 Cisco4700 路由器。其中的路由器可以把内部网和企业 网连接起来,使之能相互访问。在内部网中不要使用 RIP 协议,因为使用 RIP 后, 内部网络相对外部来说变得不可见了。 这样,本地信息可以相互访问了,但由于 19216800 属于保留地址,洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 15故 不能直接访问 Internet。所以在路由器中设置一个 NAT 池,用来翻译来自内部网络 的 IP 包,把它的 IP 地址映射成地址池(pooledaddresses)中的合法 IP 地址。那么 ,内部网可以访问 Internet 上的任何服务器,Internet
36、 上的任何主机也能通过 TC P 或 UDP 访问到内部网。 采用 NAT 池意味着可以在内部网中定义很多的内部用户,通过动态分配的办法 ,共享很少的几个外部 IP 地址。而静态 NAT 则只能形成一一对应的固定映射方式。NAT 池提供很大灵活性的同时,也影响到网络原有的一些管理功能。例如,SNMP 管理站利用 IP 地址来跟踪设备的运行情况。但使用 NAT 之后,意味着那些被 翻译的地址对应的内部地址是变化的,今天可能对应一台工作站,明天就可能对 应一台服务器。这给 SNMP 管理带来了麻烦。一个可行的解决方案就是把划分给 NA T 池的那部分地址在 SNMP 管理平台上标记出来,对于这些不
37、响应管理信号的地址不 予报警,如同它们被关掉了一样。 使用 PAT PAT 在远程访问产品中得到了大量的应用,特别是在远程拨号用户使用的设备 中。 PAT 可以把内部的 TCPIP 映射到外部一个注册 IP 地址的多个端口上。PAT 可以 支持同时连接 64500 个 TCPIP、UDP IP,但实际可以支持的工作站个数会少一些 。因为许多 Internet 应用如 HTTP,实际上由许多小的连接组成。 在 Internet 中使用 PAT 时,所有不同的 TCP 和 UDP 信息流看起来仿佛都来源于同 一个 IP 地址。这个优点在小型办公室(SOHO)内非常实用,通过从 ISP 处申请的一
38、个 IP 地址,将多个连接通过 PAT 接入 Internet。实际上,许多 SOHO 远程访问设备支持基于 PPP 的动态 IP 地址。这样,ISP 甚至不需要支持 PAT,就可以做到多个内部 I P 地址共用一个外部 IP 地址上 Internet。虽然这样会导致信道的一定拥塞,但考虑 到节省的 ISP 上网费用和易管理的特点,用 PAT 还是很值得的。建议本网络在出口路由器中设置 NAT。6、流量分析本宽带接入网络中流量大致分布为以下几部分:1) 、各户到 DMZ 区访问 DMZ 区服务器的流量;2) 、各户到 INTERNET 的流量;洪桐广电宽带接入项目山西三星华讯通讯技术有限公司
39、163) 、将来提供增值服务造成的流量(比如提供视频点播等服务) 。整个网络的设计及网络设备的选型都是基于对网络可能的流量进行设计的。可以保证充分满足该系统的需求洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 17第三章 洪桐广电宽带接入系统的邮件、RADIUS、计费服务一、邮件服务我们选用免费 Sendmail 高性能信息传递来实现本网络中的邮件服务。特性概述Sendmail 是由美国加州大学开发的一个基于 UNIX 的共享 SMTP 服务器软件,它支持多种 UNIX 的 CLONE 平台,如 Solaris、Linux 等,并且兼容很多其他类型的电子邮件系统,如 UUCP 等。Sendm
40、ail 模型如图 2 所示。sender1 sender2 sender3Sendmailmailer1 mailer2 mailer3图 2 Sendmail 模型图 2 中,客户方 sender 与 SMTP 服务器 Sendmail 建立连接,将邮件送交Sendmail 服务器;Sendmail 按照邮件的不同类型,送交不同的邮件发送程序(称之为 mailer)进行发送,例如 SMTP mailer,UUCP mailer 等等。Sendmail提供一种 Local mailer 程序 mail.local,对邮件目标地址进行认证,若合法则将邮件写入用户的邮箱,否则将邮件退回。通过集中式
41、管理的高性能消息存储器与集成化目录服务,提供现成可用的服务基础结构。允许在系统处于联机状态时,执行诸如联机配置、容量扩充以及备份等管理功能。通过集中式管理降低管理成本。提供基于部件的大规模可伸缩体系结构,以适应数以百万计的用户扩展需求。可伸缩性Sendmail 为商务级信息传递提供需求的高度可伸缩性与可靠性。多线程洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 18多进程体系结构的宗旨,是在多处理器系统实现垂直可伸缩性。功能强大的高速缓存技术,将进一步减少目录服务的负荷。通过多种信息存储服务器,可以实现水平可伸缩性。通用访问Sendmail 为通过通用电子邮件、语音邮件和传真存储器,实现统一
42、的信息传递服务奠定了基础。可以通过电话和个人数字助理等多种设备,访问消息存储器。基于政策的消息存储器管理,以自动化方式执行预定规则,进而显著地简化管理工作。预定规则政策,可以包括用户文件夹的老化政策以及整个系统和用户的邮箱配额政策。高可用性诸如消息存储器容量扩充、用户文件夹备份与恢复以及配置管理等服务器管理功能,可以在不关闭服务器的条件下,采用联机方式予以实现。Sendmail 的宗旨,就是要跟高可用集群软件实现集成。防止无用邮件先进的 IMAP 功能诸如集中管理的共享文件夹和脱机访问等先进的 IMAP 功能,允许服务提供商采用内联网信息传递系统的丰富特性,交付托管信息传递服务。基于部件的体系
43、结构基于部件的体系结构,允许部署中继、目录以及消息存储器等诸如此类的信息传递服务,以此作为单独部件,从而优化性能,并以最佳方式分配硬件资源。高性能与可伸缩性采用多线程多进程体系结构,以实现高度可伸缩特性。通过使用 Mail Multiplexor,实现水平可伸缩性。洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 19二、RADIUS、计费系统1、计费系统配置洪桐宽带接入系统是一个商业运营系统,必须对用户身份进行验证,防止非授权用户非法访问网络,并且需要对接入该系统的用户按时间、流量或者包月等形式收费,对此我们采用安腾公司的 eFlow D-BrAS 产品,eFlow D-BrAS 可以和RA
44、DIUS 服务器互相配合,完成验证用户身份,计费等功能。考虑到洪桐广电现阶段的接入需求,建议先使用支持 1024 并发用户的 D_BrAS 宽带接入服务器和5000 用户版本的 RADIUS 计费系统以节约开支,在系统升级时,这些系统可以很方便的进行对应的升级,支持更多的并发用户。D_BrAS 宽带接入服务器(1024 个并发) eflow D_BrAS 1Radius AAA 计费系统(5000 用户版 ) Radius Server 12、eFlow D-BrAS 产品介绍eFlow D-BrAS 系列产品应用了 DHCP(Plug & Play)+ Web Portal + Radius
45、 的接入和认证技术。采用 DHCP + Web Portal + Radius 的宽带接入环境里,用户的 IP 地址可以通过 DHCP 获得或者由运营商分配固定 IP 地址,用户的认证则是通过用户浏览器来完成的,不需要另外再安装客户端软件。对于移动场所的用户(例如酒店) ,eFlow D-BrAS 系列产品实现了即插即用(Plug & Play) ,用户无需改变自己的网络配置,与网络物理连接后,可以象 DHCP 或固定分配地址的用户一样,直接通过认证上网。具体的上网过程是:用户获得 IP 地址后,随便在浏览器里输入一个要访问的合法 URL(可解析的域名或者任意 IP 地址) ,该 URL 请求
46、都会被 D-BrAS 捕获然后重定向到一个运营商可定制的认证页面,之后用户输入帐号、密码通过认证后就可以正常上网了,用户通过认证后访问的第一个页面可以由运营商来指定,也就是通常所说的运营商 Portal 页面。eFlow D-BrAS 系列与之前的 PPPoE 宽带接入服务器系列相比,保留了洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 20Radius 认证和计费采集接口,但是在用户接入方式上可以采用 DHCP(RELAY)或者固定 IP,用户不需要另外安装客户端软件,用户和接入服务器之间可以有三层设备,因此特别适用于一些已经采用 DHCP 或者固定 IP 接入方式运营但是又有用户认证和计
47、费需求的网络环境,比如有线 CABLE 用户接入和酒店移动用户接入。以下是一个采用 D-BrAS 接入和认证的简单示例,用户在浏览器里输入一个合法 URL 请求后被重定向到 D-BrAS 的认证页面(该页面可由运营商根据需要定制):用户认证成功后被重定向到运营商的 Portal 页面,同时一个浮动窗口被打开,在该窗口内用户可以看到自己的上网时间,预付时长的用户可以看到自己的剩余可用时长,用户可以通过该窗口断开上网服务(用户主动按断开按钮或者可用时长耗尽) ,该页面也是可以定制的,运营商可以在该页面内做一些广告或者通知用户一些新的服务项目:洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 213
48、、eFlow D-BrAS 产品技术特点实现技术eFlow D-BrAS 采用专用的实时操作系统实现,直接基于系统的内核实现,在大量用户接入时仍然可以保障其网络数据包转发的实时性;作为地址分配的主要手段,eFlow D-BrAS 内置实现了标准的 DHCP 服务,可以直接接受 DHCP 客户的请求,也可以接受下面设备中继过来的 DHCP 请求,并且可以根据中继设备的地址分配不同网段的 IP 地址。作为 DHCP 服务的一部分,eFlow D-BrAS 也可以作为 DHCP 中继设备,向上层的 DHCP 服务器中继 DHCP的请求;支持用户的即插即用,移动场所的用户可以不改变自己的网络配置,直接
49、申请上网;运营管理支持自动捕获浏览器请求并导向认证页面,用户不用安装任何客户端认证软件,也不需要用户自己输入认证也面的 URL 进行认证。没有认证过的用户,只要输入任何一个合法的 URL 请求(80/TCP 端口) ,浏览器都会被自动导向到认证页面,提示用户输入用户名和密码;用户认证通过后,浏览器被导向到运营商指定 Portal 页面;可以通过串行口对设备进行配置,也支持远程管理,管理员可以通过洪桐广电宽带接入项目山西三星华讯通讯技术有限公司 22Telnet 或者标准的网管软件进行管理;软件升级过程简易,支持标准的 TFTP 形式的软件升级;支持专线用户,即可以根据 IP 地址设置部分用户无需认证即可上网,对专线用户可以进行流量计费。安全性考虑由于以太网络是一个广播环境,为保证用户的帐号和密码的安全,用户浏览器认证请求的传送采用 PPP 的 CHAP 算法加密,使得运营商即使在采取 HUB 接入的环境里仍能够保障用户的帐号口令不被监听;用户认证通过后为用户打开一个连接状态页面,记录用户上网的时长,同时也方便用户主动断线,同时可以保证盗用别人地址上网的用户在一定的时间内被断掉,保障合法用户的权益;内置网络地址转换(NAT)的功能,包括动态 NAT 和静态 NAT。由于 DHCP用户一开机就要占用 IP 地址资源,因此采用 DHC
