小区系统各部分具体解决方案.docVIP

小区系统各部分具体解决方案 一、接入部分 1．骨干层的设计 骨干核心位于中心机房，采用一台双电源的Cisco6509高速数据交换机，该设备有9个扩展槽，其中1个用于交换引擎，剩下8个IO扩展槽。以配置一块48口10/100BASE-TX的扩展模块为例，利用其中24个端口外接N-base的光纤收发器为与社区的24个光节点提供接入。另外的24个接口目前作为内部服务器群的交换接口，所有的数据信息将汇总到本地进行交换处理。用VLAN划分不同级别的用户及区分广播类型，利用防火墙加VLAN的方式物理的分开内部业务与用户网络，减少以太网上的广播风暴。随着将来业务与用户的扩容，通过增加6509的模块来实现。 2．关于网络接入层的设计 有两种方法： 一种使用宽带接入服务器，增强对用户的服务的管理与业务带宽的控制。另一种是使用普通的路由器进行路由。以下对两种用户internet方式接入方式进行详细说明。 a) 我们建议使用中兴的UAS宽带接入服务器来提供多种服务及灵活的用户接入管理，为园区网络提供多种接口因为将来在小区应用时业务种类较多，用户的需求也可能有多种所以UAS在功能上也有不同的考虑。主要功能包括如下： 接口功能 接口功能模块包括UNI侧和NNI侧的接口，主要有10／100M以太网， ATMl55M，千兆以太网接口。 业务接入功能 低端 UAS中包含的业务接入种类包括二种： PPP接入(PPPoE＆PPPoA)； DHCP+AAA桥接接入。其中叫CP十AAA方式的实现中，首先由 UAS的DHCP Server为用户分配有效 IP地址，用户用户直接以以二层 LAN方式接入UAS的AAA认证服务器(Radius Server)，在应用层认证成功后，由 UAS为用户建立进入 inernetde的链路，这样用户以三层桥接方式(类似于路由器的NAT功能)接入ISP。 管理功能 低端UAS的管理控制模块支持三种方式的管理功能： Telnet方式、Web方式和本地监控。通过三种不同的途径对网络接入服务器进行控制管理。运营商和物业公司可以分权进行设备以及用户的管理。 认证计费 低端 UAS中包含网络接入认证与授权模块、计费模块和统计模块。其中RADIUS Server能实现本地授权、认证、计费，便于给用户开放本地业便于给用户开放本地业务。低端UAS中保存用户的所有信息，当用户进网时对用户的信用进行认证。用户接入认证主要根据用户的用户名和口令来认证。低端UAS为用户开放本地业务时直接作为一个RadiusServer而存在，对用户接入认证请求进行响应，据此响应授予请求用户本地业务接入的权限并且开始计费。低端 UAS的计费，需要记录上网用户的本地业务接入费用，接入费用能按照接入时长和流量两种方式进行统计，并能通过网管输出每个计费信息。计费方式可以是月租费十使用费，可以以时长和流量统计费用。 防火墙功能 网络接入服务器的防火墙功能表现为根据不同的用户权限向用户提供不同的接入能力。网络接入服务器的防火墙功能可以有二种方式来提供，分别称为IP Filter和IP Pool。 虚拟专网（VPN） VPN是由用户发起的建立虚拟专网的技术。低端 UAS和中高端的产品一样，包含二个方面的内容：对请求建立虚拟数据专网的用户进行用户资格认证：为通过资格认证的用户建立虚拟数据专网的隧道、数据包传送和拆除隧道等。接入服务器支持用户通过特定用户名接入 VPN，采用的通信协议应支持L2TP和PPTP协议。 安全性 主要包括对用户隔离、内外网隔离、数据库安全、完整及备份。以上提供的功能模块，可以根据网络需求灵活进行配置。这种网络接入方式的优点在于，可以为小区用户提供多种服务，提高网络用户的安全性和可科管理性，为运营商和小区运营者提供了一种直接的管理模式。这种利用UAS的接入方式适用象南阳油田的一些大型小区的综合管理。在实际应用中，可以在一个大型小区中直接使用，放置在网络的边缘节点；可以多个小区共用一个 UAS，实现多个小区的汇接和用户的综合管理。 b) 利用路由器接入数据网 这是一种典型的接入方式，在 LAN接入广域网时应用非常广泛。以下仅作简单说明。在这种方式中，在管理中心配置一台路由器用于接入 intemet网络，使小区局域网形成一个自治封闭网络，在附加 DHCP服务器的情况下，可以在小区局域网内部为每个用户分配合法的内部IP地址。内部保留 IP和外部网合法 IP地址的转换统一由路由器的NAT功能实现， NAT可以配置多个IP Pool， IP pool可以存贮几乎无限的合法IP地址，动态的将出网访问设备的内部保留IP转换为合法 IP地址，并记下每一个连接保持会话(Session)不中断。 NAT可以通过静态映射将一个合法 IP地址和内部保留IP地址设置为一一应答的关系。 N