园区宽带入方案.doc

智能网关系统解决方案 目录 一、 方案背景 2 二、方案目的 2 三、项目实施范围 2 四、需求分析 2 五、方案介绍 3 六、方案内设备选型 6 七、设备图片及详细信息 7 方案背景 本方案针对小区宽带网络运营，提出一套极高性价比的典型案例。目前的小区宽带网络，通常采用的办法是FTTX内网环境配合华为的MA5200G以及CAMS平台，实现内网的宽带认证。主流厂家产品的做法，中心机房的成本价格都将在30万以上。如何降低成本，但又要取得与主流厂家一致，甚至超过主流厂家的实用技术，将是运营过程必须面对的一个问题。 二、方案目的 构建一个性价比极高的宽带驻地网，实现高扩展能力，高性安全性，灵活计费，高可靠性，对用户流量实现负载分担相互备份的能力，及统一管理。出口实现多ISP智能选择，提供ISP之间相互备份的能力。同时将限制运营区域内所有用户共享上网，严厉打击非法小网络，极大提升运营收益。 三、项目实施范围 园区网出口设备，原有的网络设备及出口方式可作为本网络的备份方式。 四、需求分析 技术需求 实现全网的PPPOE认证能力，及internet访问能力。 实现每用户限速，访问内网服务器不限速。 实现基于VLAN的PPPOE接入，用户帐户捆绑接入的VLANID以及接入的MAC地址，从而保护用户帐户安全。 整网出口支持多ISP接入，实现智能选择ISP出口。 BRAS与出口防火墙形成一个互备的网络，可应急使用原有网络成为备份方式。 消除ARP病毒、人为恶意的ARP欺骗攻击问题。 针对应用层内容进行限制，如访问某些特定网站，特定应用比如是否允许使用QQ，MSN等软件。 对BT下载进行限速，或直接屏蔽BT下载。 实现2000用户同时接入的扩容能力。 禁止园区内用户私接宽带共享上网。 五、方案介绍 网络拓扑结构 本网络将采用全1000mbps链路组成，出口采用多ISP接入，出口处2台接入设备可形成负载分担及冗余备份的能力。所有业务将直接连接至核心交换机，由核心交换机选择将流量送至防火墙或BRAS。同时规划中使用了DMZ区域，DMZ区域中将放置DUDE网管服务器，RADIUS计费服务器，FTP文件服务器及WEB服务器。此DMZ区域为网络安全设计，可通过控制防火墙以及BRAS设备实现全网对服务器的访问限制。出口处的交换机用于连接多ISP，BRAS设备将智能选择用户的访问流量，按需求选择ISP。小区内用户流量将使用VLAN进行隔离，确保各小区内部网络安全，使用PPPOE的流量将穿越核心交换机直接与BRAS设备进行逻辑上的互联。办公用户的流量将实有原有的802.1X认证方式，由原有的H3C防火墙接入至internet,逻辑上将与家属区用户实现分流。全网PPPOE用户都将免疫ARP病毒。 网络可靠性介绍 双出口设备将进行VRRP的负载分担设计，实现网络的冗余备份，如果防火墙出现问题，则所有办公用户的流量将自动换至BRAS设备出口。同理BRAS设备出现问题，全网园区用户流量将自动切换至防火墙设备出口。 BRAS设备将为所有PPPOE用户智能选择ISP出口，同时提供备份能力，如果网通ISP出口损坏，则PPPOE用户流量将选择电信出口，反之同理。 网络安全介绍 全网使用PPPOE进行宽带接入认证，可完全免疫ARP病毒，同时可对用户进行宽带计费服务。 计费服务器将放置于DMZ区域，所有用户无法直接访问计费服务器，管理员可使用VPN接入BRAS，之后可访问计费服务器。 全网交换机进行服务器MAC地址与接口捆绑，防范来自内网的MAC地址攻击。该攻击主要针对交换机的MAC地址表。是一种非常特殊的攻击方式,可瘫痪整个交换网络。（非ARP攻击） 全网用户帐户将与用户主机的MAC地址直接捆绑（自动捆绑），以及BRAS的接入服务名捆绑，实现帐户安全。管理员可对用户进行解除捆绑的操作。 全网可网管交换机开启环路自检，如发现网络环路将自动关闭环路接口。 全网BRAS设备可实现2级代理限制功能，即用户无法在下级接入层使用路由器进行带宽滥用或共享上网。 网络管理及监控介绍 使用DUDE管理系统进行全网设备的SNMP监控，可实时监视网络链路的流量变化，并且进行统计。使用基于网络拓扑结构对网络进行实时管理，对网络日志进行统一收集存放。 全网服务器设备采用VNC进行远程控制，实现无论在何处只要能上网就能管理服务器。同时利用VPN做远程接入，确保安全性。 网络QOS限速介绍 使用BRAS基于PPPOE会话对用户进行限速，该功能也可以在认证系统内实施统一分配用户带宽，及IP地址。基于PPPOE会话的带宽限制，与网络层简单的QOS限速相比，更为精确。 同时可按用户要求，在访问服务器组如电影服务器，不进行限速。也可以对用户的BT下载以及一些应用层非法内容进行深度匹配，进而净化网络带宽