校园宽带接入方案.doc

智能网关系统解决方案 目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc230404764 一、 方案背景 PAGEREF _Toc230404764 \h 2 HYPERLINK \l _Toc230404765 二、方案目的 PAGEREF _Toc230404765 \h 2 HYPERLINK \l _Toc230404766 三、项目实施范围 PAGEREF _Toc230404766 \h 2 HYPERLINK \l _Toc230404767 四、需求分析 PAGEREF _Toc230404767 \h 2 HYPERLINK \l _Toc230404768 五、方案介绍 PAGEREF _Toc230404768 \h 3 HYPERLINK \l _Toc230404769 六、方案内设备选型 PAGEREF _Toc230404769 \h 6 HYPERLINK \l _Toc230404770 七、设备图片及详细信息 PAGEREF _Toc230404770 \h 7 方案背景 本方案针对小区宽带网络运营，提出一套极高性价比的典型案例。目前的小区宽带网络，通常采用的办法是FTTX内网环境配合华为的MA5200G以及CAMS平台，实现内网的宽带认证。主流厂家产品的做法，中心机房的成本价格都将在30万以上。如何降低成本，但又要取得与主流厂家一致，甚至超过主流厂家的实用技术，将是运营过程必须面对的一个问题。 二、方案目的 构建一个性价比极高的宽带驻地网，实现高扩展能力，高性安全性，灵活计费，高可靠性，对用户流量实现负载分担相互备份的能力，及统一管理。出口实现多ISP智能选择，提供ISP之间相互备份的能力。同时将限制运营区域内所有用户共享上网，严厉打击非法小网络，极大提升运营收益。 三、项目实施范围 园区网出口设备，原有的网络设备及出口方式可作为本网络的备份方式。 四、需求分析 技术需求 实现全网的PPPOE认证能力，及internet访问能力。 实现每用户限速，访问内网服务器不限速。 实现基于VLAN的PPPOE接入，用户帐户捆绑接入的VLANID以及接入的MAC地址，从而保护用户帐户安全。 整网出口支持多ISP接入，实现智能选择ISP出口。 BRAS与出口防火墙形成一个互备的网络，可应急使用原有网络成为备份方式。 消除ARP病毒、人为恶意的ARP欺骗攻击问题。 针对应用层内容进行限制，如访问某些特定网站，特定应用比如是否允许使用QQ，MSN等软件。 对BT下载进行限速，或直接屏蔽BT下载。 实现2000用户同时接入的扩容能力。 禁止园区内用户私接宽带共享上网。 五、方案介绍 网络拓扑结构 本网络将采用全1000mbps链路组成，出口采用多ISP接入，出口处2台接入设备可形成负载分担及冗余备份的能力。所有业务将直接连接至核心交换机，由核心交换机选择将流量送至防火墙或BRAS。同时规划中使用了DMZ区域，DMZ区域中将放置DUDE网管服务器，RADIUS计费服务器，FTP文件服务器及WEB服务器。此DMZ区域为网络安全设计，可通过控制防火墙以及BRAS设备实现全网对服务器的访问限制。出口处的交换机用于连接多ISP，BRAS设备将智能选择用户的访问流量，按需求选择ISP。小区内用户流量将使用VLAN进行隔离，确保各小区内部网络安全，使用PPPOE的流量将穿越核心交换机直接与BRAS设备进行逻辑上的互联。办公用户的流量将实有原有的802.1X认证方式，由原有的H3C防火墙接入至internet,逻辑上将与家属区用户实现分流。全网PPPOE用户都将免疫ARP病毒。 网络可靠性介绍 双出口设备将进行VRRP的负载分担设计，实现网络的冗余备份，如果防火墙出现问题，则所有办公用户的流量将自动换至BRAS设备出口。同理BRAS设备出现问题，全网园区用户流量将自动切换至防火墙设备出口。 BRAS设备将为所有PPPOE用户智能选择ISP出口，同时提供备份能力，如果网通ISP出口损坏，则PPPOE用户流量将选择电信出口，反之同理。 网络安全介绍 全网使用PPPOE进行宽带接入认证，可完全免疫ARP病毒，同时可对用户进行宽带计费服务。 计费服务器将放置于DMZ区域，所有用户无法直接访问计费服务器，管理员可使用VPN接入BRAS，之后可访问计费服务器。 全网交换机进行服务器MAC地址与接口捆绑，防范来自内网的MAC地址攻击。该攻击主要针对交换机的MAC地址表。是一种非常特殊的攻击方式,可瘫痪整个交换网络。（非ARP攻击） 全网用户帐户将与用户主机的MAC地址直接捆绑（自动捆绑），以及BRAS的接入服务名捆绑，实现帐户安全。管理员可对用户进行解除捆绑的