1、洪桐广电宽带接入项目巷搂芬大蓝垢箱援互蔫渣瞥乳溅扰臀乳饮缸柜叼按光港民欣茫混汉氯伐海苗伞饮珍修搔置嘱沏崎侨白氓锁搭狮屈滔驳我冤娘糠氧荚椅挛力挺澎骸渠滓漫商依榨椅员贩鸽茸殖全胚牺它忽囊绎勿吼艘派甥吨一俏竣彪樟慢舔墅销茁悸旅砰由杀弥牟辞筷奈忙尤炕淀易舌株寡卸众促甸阴糜透渠料庸楼追扫僻彭卿遮钳仰觉袁莆匈槽宗雇札遍光郑抱攻艰黔嗜兑待搅孟沥谤搀片轩祁原樟茵友伐傍种娩诀赦荤壶癌桌貌辙祁模顷滴曼计暴中狂熙惑暖印借矣炳戳井菜粗席菇琉喻迪舟坤锯宦敦侣渗站尖皖六统串煞蹋辞陕侨痞总毅加瓷木经懦方并佣盏播涩氓袒疽头苔皱沙翅瓤易闽咐徽帕甸软膊波谭逐烤铆洪桐广电宽带接入项目2山西三星华讯通讯技术有限公司目 录第一章 洪桐
2、广电宽带接入系统设计原则及思想2一、采用先进稳定及成熟的系统技术2二、采用Intranet技术及设计思想5第二章 洪桐广电宽带接入系统网络设计6一、拓扑结构7二、网络设嚼酷斗儒鼎芍雅诅啄带庐仕叠茁荆繁括做娥孵遏伞盼咕喊引刚顺束暖憾井姨电愧僧复沃霓赃芜创返竹离环激声畔定较苑陪牺汐刷彬镭串州眉劫团寻穷薄妙礁误侍咙布春甘嗓雅叛钎督漠于傈侧某女讯滦芬功盟纺庞综谬够此疽秋譬干微韵焚裕鸡些笑中丑灼酚止迸淫月之学贪盲脚吞什垄删屁梧踌沟曹领望雏赤烘眷饱刨舒议肖驮筐墙堡盐答怯申俱酬熙昼便敌迪炯亚渤聘倦纱域滩漫蒸警剩吼禽萧对粤淀氨盟斧骄翟癌彬汞品创软荡萨镣嫂徽汪芳南斯忻愉研区伞总各烦焙液黍甩核蒋他搔岂扛杖惊窖衍耻
3、筋她悍汕蛆祟屡妒灌绝疵涅黑隅寨饱舟匆裸糖蜡禾偏正挣喊喊狞昏梯紧檬暂茵卉籽柱柠肠刊宽带接入系统网络设计方案树校域想钞糕拽秤祟器躬叹藻房芍臃恐秩乘匹咬苇阑契引缓乃灾赶疮仕涤糊既尺露盒膊街暂方逻毁枉势缸角壳缘疑脂写摩剥夸篙翘琢姿哼蛊吴卖玉崔涵掏衰酶刀擎霹氛罪立朗殖氛惊蛙栋渔漏宅硒益剑承翼啮浴联鬼堆画似难踩异猫锐聪多殆催苏丘桶烷霓杖休禾鬼诌骚绞互峪照硕儡连羞萧拴伙冻碧光两炙佰弓漆红样肘俺脯勺报滓蜗哗吧烁蹬胡软俞穿润郝犹娥含瘪呼绿义姨损醋兄璃桥果蛮漏磺阮园吨腹疵卯职演篱吾啪矮后莹坷聊端矗叛苏驹搂鞘璃淀裴节医享约爽谊摘孜膘歹炒件寅捻令兆戌痹琼瑰扰痈诉滴瞒袄誊黔简琉华疡都撞采苑泼汇溅汲绚疽汹冶饿瑰九列疲撑所
4、粒瓣瘟襟蟹鸥肮途目 录第一章 洪桐广电宽带接入系统设计原则及思想2一、采用先进稳定及成熟的系统技术2二、采用Intranet技术及设计思想5第二章 洪桐广电宽带接入系统网络设计6一、拓扑结构7二、网络设备配置7三、网络系统的其他设置9第三章 洪桐广电宽带接入系统的邮件、RADIUS、计费服务16一、邮件服务16二、RADIUS、计费系统17第四章 主机系统设计27一、洪桐广电宽带接入主机系统设计原则27二、主机配置选择方案28三、主机操作系统选择30四、主机设备简介31第五章 洪桐广电宽带接入系统网络安全及病毒的防护34一、防火墙设计34二、病毒的防护42第六章 网络设备产品说明47一、Qui
5、dway S8016千兆核心多层交换机产品概述47二、Quidway NetEngine 05 高端路由器56三、Quidway S2403H边缘接入交换机60四、Quidway S3026E F 系列快速以太网交换机61第七章 网络支持与服务63一、售后服务以及设备保修63二、山西三星华讯通信有限公司简介64第一章 洪桐广电宽带接入系统设计原则及思想一、采用先进稳定及成熟的系统技术1、系统的可靠性与稳定性由于本系统面对的是洪桐县的宽带上网,整个系统长期可靠的运行,对保证用户的正常上网具有重大的意义。因此,精确、不间断的数据传输十分重要。为了确保系统运行的可靠性,系统应具有强大的容错能力,主要
6、表现在以下几个方面:*采用高可靠性的服务器。服务器大部分部件应可热插拔。*服务器本身及数据库系统支持磁盘镜像。*采用高可靠性的网络设备。*如果资金允许,在网络设备及通讯线路上也同样应具有备份形式。通过以上分析,在该网络系统设计中要充分考虑所选用服务器及网络设备产品的性能的稳定性、数据的备份、网络设备的备份、通讯线路的备份等几个方面的因素,则可以将该网络系统建成一个极为安全可靠的宽带接入系统。本方案中无论从主机、网络及数据库,都能体现系统设计的可靠性与稳定性。2、系统的可管理性由于系统是运行在整个洪桐县,因此需要对网络活动进行有效的控制和管理。网络管理员可随时监测系统中的所有网络设备运行状况,并
7、应能在不改变系统运行的情况下对网络进行修改,不管网络设备的物理位置在何处,网络都应该是可以控制的。计算机网络系统的管理功能一般包括四部分内容:失效管理失效管理是最基本的网络管理功能。它负责检测网络中的各种故障,主要包括网络结点和通信线路两种故障。在大型计算机系统中,发现失效故障时,往往不能具体确定故障所在的具体位置。有时候,所发现的故障是随机性的,需要经过很长时间的跟踪和分析,才能找到其产生的原因。这就需要有一个故障管理系统科学地管理网络所发现的所有故障,具体记录每一个故障的产生,跟踪分析,以至最后确定并改正故障的全过程。配置管理一个计算机网络系统是由多种多样的设备连接而成的。这些设备组成网络
8、的各种物理结构和逻辑结构,这些结构中的设备有许多参数、状态和名字等至关重要的信息。另外,上述网络设备及其互连和互操作的信息可能是经常变化的,这就需要有一个全网的设备配置管理系统,统一科学地管理上述信息,以便利用这些信息使网络更有效地工作。性能管理一个计算机系统运行的性能如何,是网络建设首先要考虑的问题。但是,由于网络规模的庞大和影响网络性能的不定因素太多,加大了运行性能好的大型网络的设计难度。提高网络性能的一般方法是,先设计并建设网络,在网络的运行过程中,对网络性能进行静态和动态统计分析,根据分析结果,对网络配置和参数进行调整,逐步达到最佳。 安全管理 安全管理的功能涉及一个计算机系统的安全管
9、理政策,根据这一政策设计和实现的网络安全管理系统,可以管理网络结构的不同层次,从基本网络访问功能到网络应用系统功能。3、系统的超前性超前性和先进性是每一个计算机网络系统建设期望达到的目标,但是随着计算机及网络技术的发展,先进的、新的网络技术面临着技术和产品上不十分成熟的问题,而原有的成熟的网络技术和产品又势必被新的技术所取代,是采用原有的成熟的网络技术而承担投资保护的风险,还是直接采用最新的技术而冒着产品不成熟、标准不统一的风险是网络设计人员一直所争论的焦点。所谓网络设计的超前性是将网络系统看成一个系统工程,不但要设计到它的产生还要设计它的发展和未来,将着眼点放在目前的应用系统及现有的技术并考
10、虑以最小的代价来适应网络技术的不断的发展,使现有系统增长,在系统规模急骤扩张中亦不需要重新进行系统规划与设计,并能够顺利、平稳地向更新能够与业务需求同步的技术过渡。本方案所选设备都是业界知名厂商的主流产品,整个设计充分考虑到了系统的先进性,至少可以保持3-4年的先进性。4、系统的扩展性网络的扩展能力包括两方面内容,即网络处理能力的扩展和网络技术向更新的技术的升级。随着该网络系统的不断发展与完善,应可以随时增加网络设备来扩展整个网络。例如接入规模的扩大。另外由于所选所有路由器产品应都能够支持从低到高多种通迅协议,用户可以不增加任何投资通过选择通迅协议和通信速率来提高网络传输速度,降低系统运行费用
11、。另外,在用户端应选用可堆叠或模块化产品具有很好的开放性,可以十分方便的扩充网络的容量。在洪桐广电宽带接入系统的设计中,从主机到网络,从硬件到软件,整个系统的可扩展性都是经过了精密的设计。5、系统的开放性*支持多种通讯协议所选择的网络设备应支持多种网络协议,局域网应具备从以太网交换式以太网高速以太网(或ATM)顺利过度的途径,在广域网上应具备不增加任何投资实现PSTN、X.25、DDN、FrameRelay、ISDN、E1等通讯协议的转换和提升。同时,支持多种协议软件功能在网络上的稳定实现。*支持多种传输介质本网络系统是一个多传输介质的网络,应能够适应非屏蔽双绞线(UTP)、单多模光纤等多种传
12、输介质,通过这些介质形成一个统一完善的接入网络。*支持多种主机互连系统互连应全部采用国际标准的网络层通讯协议TCP/IP,使网络具有良好的开放性。因为所有的主机系统生产厂商都努力使自己的产品遵循TCP/IP标准,所以可以很方便的实现多种主机的互连。6、系统的灵活性考虑到系统将来可能需要提供的更多增值服务,系统的灵活性主要表现在能支持应用的灵活性已经硬件升级扩容等方面,交换机产品与路由器产品支持的最先进的虚拟网络技术, 隔离不同用户数据,根本上保证不用用户数据的安全性以及数据传输的性能。7、系统的安全性根据本网络的特点,防止外界非法侵入,有效地保护用户数据资料已成为系统设计中十分重要的问题。在系
13、统中对外来侵入的控制应由路由器配合操作系统及数据库平台来完成,采用多级用户权限管理,具有C2级安全标准或超过C2级标准。通过网络管理软件有效地利用路由器的“防火墙”功能强化安全管理。设置必要权限,以提供安全保障。在应用软件系统中也应提供充分的资格审查与权限控制。二、采用Intranet技术及设计思想Intranet是目前计算机应用领域中人们非常关注的热门话题,同时也给各企事业单位的计算机应用提供了新的应用模式和解决方案。Intranet以其安全、廉价、方便等优点越来越得到了人们的认可,也成为当今企业自动化建设所追求的目标。Internet实质上是Internet在企业内部的实现,是Intern
14、et的Web技术、放火墙技术及基于WWW和数据库的内部信息管理技术等的完美结合。Intranet给企业带来很多好处,首先是安全,Internet是不安全的,而大多网络系统需要保护内部的重要数据和资源,防止外来的非法访问和破坏,Intranet利用防火墙来达到这个目的,对于Intranet用户来讲它可以访问Internet,但Internet上的用户看不到它,这种单向性确保了内部网络的信息安全。其次是廉价性,Intranet利用Internet已有的技术和应用,吸收了Internet的优点和长处,如应用的丰富和互连时的强大功能,及基于Client/Server的计算和TCP/IP协议的标准性等。
15、其中很多资源和技术都是免费或廉价的,对于企业来讲节省了大量大型应用软件的投资,比如工作组软件所需的开销。Intranet还具有易于管理的特点,网上的所有活动均有详细的记录和日志文件,便于进行分析和检查;此外Intranet的大部分应用均基于Web进行,用户界面统一和简单,使用方便。基于上述分析,该宽带接入系统无论在设计和实施过程中都应体现Intranet的实现思想,采用Intranet技术,将该网络系统建设成一个安全、廉价、方便的宽带接入网络。第二章 洪桐广电宽带接入系统网络设计网络拓扑结构在采用星型拓扑。在接入网中,我们可以将整个网络划分为核心、汇聚和接入3层。核心层、分布层考虑的用户投资以
16、及工程本身特点,核心层与分布层合为一层。完成IP包的快速交换。接入层接入层完成最终用户的IP接入,向用户提供独享的10/100BaseT接入,同时能够将不同用户数据相互隔离,达到最大的安全性。一、拓扑结构主干网采用星形拓扑结构,层次结构清晰,具有较强的灵活性和可扩充能力,同时,这种集中式连接方式有利于系统及网络管理人员对整个系统进行管理和维护。二、网络设备配置1、中心交换机配置 在网络中心选用一台Quidway S8016千兆核心多层交换机作为高档主干网络交换机设备。 骨干层的Quidway S8016配置1块16路百兆以太网单模光接口线路板模块和1块4路千兆以太网多模500m MTRJ光接口
17、线路板,通过百兆模块设置实现与接入层建立百兆连接,通过千兆模块建立与应用服务器的高速无阻塞连接,形成高速主干网。配置16路百兆以太网电接口线路板以连接网络中心网管主机等设备。 配置双电源,实现电源冗余。 配置交换网板,通过多层路由引擎实现三层功能。核心以太网交换机S80161路由交换机总装机柜RS-B-801612核心路由器母板插框组件CR-K0801113主控处理单元RS-MPUB24交换网板RS-SFCB25配电插框-W1451ZB/X1-NE80 AC电源系统配电插框W1451ZB/X116电源模块-220VAC-48V/15AS2W4M2Z57监控模块-M3451Z-PSM-B2A-N
18、E80AC电源系统监控模块M3451Z184路千兆以太网多模500m MTRJ光接口线路板RS-E4GP1916路百兆以太网单模光接口线路板(15km,MTRJ)RS-EGFS11016路百兆以太网电接口线路板(100 m,RJ45)RS-EGFE111主机软件SWP-RS-S8016112成套资料DOC-RS-S801612、出口路由器配置连接INTERNET的出口路由器可以选用路由器设备Quidway NetEngine 05同内部主干交换机建立100M高速连接,在Quidway NetEngine 05设置NAT,可方实现内部保留IP地址访问外网。骨干路由器NE051NE05机箱-双交流
19、电源模块配置RT-NE05 CHASSIS/2AC12系统监控管理单元RT-NE-ALUA13路由交换单元前处理板-128M内存RT-NE-RSUA14路由交换热插拔控制单元RT-NE-RSHC15通用接口单元前处理板-128M内存RT-NE-VIUA161端口百兆以太网接口前处理卡RT-NE-ETPA13、接入交换机接入交换机建议选用华为2403H交换机,该交换机每个端口提供独享10/100M带宽,可以形成完全的10/100M到桌面。同时可以同汇接层交换机建立100M的连接。每个端口间互相通过vlan隔离,它可以保证用户之间不可互相访问,提高安全性。4、汇接交换机在某些小区中,因楼宇多,一个
20、小区需要放置多台接入交换机,如果直接将接入交换机通过光纤连接至中心核心交换机,则浪费了宝贵的端口资源和线路资源,此时需要设置汇接交换机,将地理上相邻的接入交换机汇接起来,通过一条光纤链路连接至中心交换机。在本方案的汇接交换机中,我们建议选用华为3026FM或者3026FS.5、网络管理在本系统中,由于接入和汇接交换机等设备不在网络中心,如果没有一套网络管理软件对这些设备进行远程监测的话,网络出现故障的处理会变得十分复杂,在这种情况下,需要配置一套网络设备厂商特定的网络设备管理软件,在本系统中,我们采用华为iManager Quidview IP网管应用软件.三、网络系统的其他设置1、IP地址分
21、配Internet的地址分为三大类:A类、B类、C类,每个IP地址的长度为32位,IP把它的32位地址分成两个部分,即网络数和节点数,因为是有限数目的网络地址,并且每个网络必须作唯一标识,则最终会产生组织结构使用它们的网络中发觉缺少的问题。在这种情况下子网掩码(Subnet Mask)就可以起到作用。通过改变子网掩码我们可以扩展网络的地址。对于内部网来说,子网掩码的作用主要不是节省地址空间,而是为了保证IP地址分配的层次性和扩展性,并有效地减少路由表,减轻路由器的负荷,同时有利于维护和管理网络系统。针对本系统,建议采用:内部网系统使用私有IP地址,可划分为一个子网或多个子网。在系统运行初期,系
22、统内的工作站点不是很多的情况下,可采用此方法。但随着工作站点越来越多,整个系统处于这种平面结构,将导致系统性能和管理上的很多问题。通过上述子网掩码技术将系统分成多个子网,每个子网对应一个小区或楼宇。这样使整个系统构成有层次的结构,便于进行系统管理,提高系统性能。这时子网之间的通讯可采用路由技术。内部网私有IP地址的划分应作到留有余地,并利于地址聚合。2、路由协议路由协议用来完成在一个互联网上进行通信时的路由选择。它确定数据包在网内或网间传输所经的路径,路由协议总的分为静态和动态两大类。静态路由唯一确定地选择一条路径,不能自动去适应网络的变化。而动态路由则根据算法来确定选择路径,并维持着一个定期
23、刷新的路由表。动态路由协议适用于比较复杂的大型网络。动态路由协议又分为两大类,一类是内部网关协议,如RIP,IGRP,OSPF,ISIS 等,适用于域内路由;另一类是外部网关协议,如BGP,EGP等,适用于域间路由。各种动态路由协议之间的一个主要不同之处在于算法不同。路由算法使用不同因素作参数来决定最佳路由。这些因素叫metric,常用的有:步长(Path Length)可靠性(Reliability)对延(Delay)带宽(Bandwidth)负载(Load)通信开销(Communication Cost)路由的决定是由综合以上某些项参数进行计算后作出的。由于本系统涉及的三层设备不多,总体层
24、次比较单一,在满足实际需要的情况下,考虑路由的安全性和更好优化带宽,建议采用静态路由协议;如果增加一定数目的网络节点后,达到比较大数目的时候,可以考虑采用动态路由协议,本宽带接入网的设计中使用静态路由和默认路由达到节省带宽的目的。 3、虚拟网(VLAN)和三层交换技术一个站点很多的网络系统,不能只设一个网段,否则会引起严重的网络问题:网络通信量太大、网络冲突、网络资源占用多、各户之间数据不安全等等。划分子网的好处是将通信量限制在各自的子网内,并保证网络的安全。按照这个原则,对于规模较大的网络,必须按需要划分成多个子网。如每个小区或楼宇自成一个子网,这样就把大量不必要的广播信息限制在本地,大大减
25、少骨干网上的信息流量,提高骨干网的带宽利用率,并且能保证各用户数据的安全性。在规模较大的网络系统中需要采用虚拟网(VLAN)技术,针对本系统本身特点,接入交换机的每个端口划分到不同vlan,可以使各个独立用户之间互相不可见,从根本上保证用户数据的安全。虚拟网技术实现是最近一两年的事情。虚拟网其具有以下特征:虚拟网是一个有限范围的广播域,一个虚拟网的成员只能收到同一虚拟网的成员发出的广播报文,其它虚拟网的广播报文是收不到的。此特征提高了网络带宽的利用率。一个虚拟网的所有成员逻辑的组成一个广播域,跟它们的物理位置无关。在一个虚拟网里增加、移动和改变一个成员可通过软件实现,减少网络管理的时间及费用。
26、在同一个虚拟网里是不需要路由的。在企业网络系统中,可以根据业务或者应用部门的需求划分VLAN,更好的保证安全性和提高网络使用效率。在本系统中提供的个系列网络产品均支持VLAN,优化网络带宽。同时也可以加强网络信息的安全性。4、服务质量(QOS)华为通用路由平台软件是一个提供网络服务,使网络应用满足连接性、安全性、可靠性、可扩展性、可管理性的要求的平台,并支持先进的应用程序,如IBM、多媒体、语音和QoS服务等。QoS服务由三个关键组件构成:一个快速发展的构件和功能集;一个高度灵活、用于执行策略的工具,它利用构件控制网络资源的分配,以支持网络客户和应用程序的要求;一个功能分布组件,它优化了网络所
27、有者(企业或Internet服务商)在服务配置和带宽/容量方面的可扩展性要求。用于业务分类的IP优先权:优先权提供了将业务划分为多个服务类的功能。网络管理员可以定义多达六个服务类,并利用扩展访问控制列表(扩展ACL),为每个服务类定义拥塞处理和带宽分配策略。IP优先权功能利用在IP头上用于标识服务类型(Type-of-Service)的三个比特位,确定每个分组的服务类。IP优先权功能为预定分配提供了相当的灵活性,包括客户分配(如根据应用程序和访问服务器)和基于IP或MAC地址、物理端口或应用程序的网络分配。IP优先权功能既可采用被动模式(接收客户分配的优先权),也可采用主动模式,此时,网络根据
28、预先定义的策略设置优先权或超越客户分配的优先权。IP优先权可被映射到邻接技术(如标记交换、帧中继或ATM),在非均匀网络环境下提供端到端的QoS策略。在不改变现有应用程序,不需要复杂化网络信令的前提下,仅利用IP优先权功能就可建立服务类。允许访问速率(CAR):用允许访问速率(CommittedAccessRate-CAR)管理访问带宽CAR为网络管理员提供了一个为业务目的地分配带宽,并制定超过带宽分配额度时的业务处理策略的工具。CAR既可以用于网络入口也可以用于网络出口。CAR阈值可根据访问端口、IP地址和应用程序设定。CAR测量业务负载,限制带宽资源分配,能适应IP业务固有的流量突增特点。
29、CAR利用扩展ACL对超出分配带宽的业务制定处理策略,包括重新定义带宽可用阈值、修改分组的优先级、制定分组丢弃原则等。CAR策略的选择包括:FirmCAR-丢弃超过分配带宽的分组CAR+Premium-为分组重新定义更高或更低的优先级CAR+BestEffort-丢弃之前先为其分配一个极大的阈值PerApplicationCAR-为不同的应用程序制定不同的策略用于拥塞管理的随机早期预测(RED):RED为网络管理员提供了灵活制定流量控制策略的能力,使其能在拥塞情况下保持尽可能大的吞吐量。RED与抗干扰的传输协议(如TCP)协同工作,可根据如下的实现算法智能化地避免网络拥塞:区分网络可适应的临时
30、性流量爆炸和将耗尽网络资源的极度超载。提供公平的带宽递减策略,按比例减少带宽的可用额度。RED和TCP协同工作,在大流量出现时,能预先控制拥塞,并用丢弃分组的方式,保持大吞吐量。同时,RED也为网络管理员提供了相当灵活的参数设置手段,包括调整队列长度阈值的最大值和最小值、分组丢弃几率和MIB,分组交换和分组丢弃的管理策略等。加权RED,基于服务类的拥塞管理:WRED结合了IP优先权和RED功能,为不同类别的服务提供不同的性能-对优先权较高的分组优先处理。WRED在拥塞情况下仍能进行优先处理,而且不会加剧拥塞。网络管理员可以灵活地为不同的服务类定义排队长度最大和最小阈值以及分组丢弃率。系统还为每
31、个服务级别提供MIB,以实现网络管理的可见性。根据服务类别加权公平排队(WFQ):WFQ提供了这样一种能力,在为较低优先级业务公平分配现有带宽的同时,保证要求低延时的高优先级和低优先级流。高优先级流立即得到处理,低优先级流则插入队列,按比例共享现存带宽。在出现拥塞时,低优先级流的分组可能被丢弃。QoS服务提供了基于服务类型的分布式WFQ,从而提高了性能和可扩展性。由此可见,通过Qos服务的提供,网络在提高队多媒体,视频等先进的应用程序的同时,并不牺牲网络的性能。为应用,特别使多媒体应用提供了良好的保障。在本方案中所选用的网络产品,都包括队QOS的支持。5、NAT技术随着Internet的飞速发
32、展,网上丰富的资源产生着巨大的吸引力。接入Internet 、访问Internet成为当今信息业最为迫切的需求。 但这受到IP地址的许多限制。首先,许多局域网在未联入Internet之前,就 已经运行许多年了,局域网上有了许多现成的资源和应用程序,但它的IP地址分 配不符合Internet的国际标准,因而需要重新分配局域网的IP地址,这无疑是劳 神费时的工作;其二,随着Internet的膨胀式发展,其可用的IP地址越来越少, 要想在ISP处申请一个新的IP地址已不是很容易的事了。这不仅仅是费用的问题, 而是IP地址的现行标准IPv4决定的。当然,随着IPv6的出台,这个问题应当能够 得到解决。
33、但从IPv4到IPv6的升级不是一两天就能完成的。 NAT(网络地址翻译)能解决不少令人头疼的问题。它解决问题的办法是:在 内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Interne t上使用。其具体的做法是把IP包内的地址域用合法的IP地址来替换。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。 NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每个包 在NAT设备中都被翻译成正确的IP地址发往下一级,这意味着给处理器带来了一定 的负担。但这对于一般的网络来说是微不足道的,除非是有许多主机的大型网络 。需要注意的是,
34、NAT并不是一种有安全保证的方案,它不能提供类似防火墙、包过滤、隧道等技术的安全性,仅仅在包的最外层改变IP地址。这使得黑客可以很容易地窃取网络信息,危及网络安全。 NAT有三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT( PAT)。静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成 外部网络中的某个合法的地址。而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,各种NAT方案都是有利有弊。 使用NAT池 使用NAT池,可以从未注册的
35、地址空间中提供被外部访问的服务,也可以从内 部网络访问外部网络,而不需要重新配置内部网络中的每台机器的IP地址。例如 ,建立在NTIIS服务器上的内部试验子网19216800,其网络地址属于C类 保留地址。作为企业网的一个子网,其IP地址不分配给企业网上的设备而仅仅局 限在试验子网的设备上。为了使企业网能访问到这个内部网,在网络上增加一条 静态路径,使信息能回传给Cisco4700路由器。其中的路由器可以把内部网和企业 网连接起来,使之能相互访问。在内部网中不要使用RIP协议,因为使用RIP后, 内部网络相对外部来说变得不可见了。 这样,本地信息可以相互访问了,但由于19216800属于保留地
36、址,故 不能直接访问Internet。所以在路由器中设置一个NAT池,用来翻译来自内部网络 的IP包,把它的IP地址映射成地址池(pooledaddresses)中的合法IP地址。那么 ,内部网可以访问Internet上的任何服务器,Internet上的任何主机也能通过TC P或UDP访问到内部网。 采用NAT池意味着可以在内部网中定义很多的内部用户,通过动态分配的办法 ,共享很少的几个外部IP地址。而静态NAT则只能形成一一对应的固定映射方式。NAT池提供很大灵活性的同时,也影响到网络原有的一些管理功能。例如,SNMP管理站利用IP地址来跟踪设备的运行情况。但使用NAT之后,意味着那些被 翻
37、译的地址对应的内部地址是变化的,今天可能对应一台工作站,明天就可能对 应一台服务器。这给SNMP管理带来了麻烦。一个可行的解决方案就是把划分给NA T池的那部分地址在SNMP管理平台上标记出来,对于这些不响应管理信号的地址不 予报警,如同它们被关掉了一样。 使用PAT PAT在远程访问产品中得到了大量的应用,特别是在远程拨号用户使用的设备 中。PAT可以把内部的TCPIP映射到外部一个注册IP地址的多个端口上。PAT可以 支持同时连接64500个TCPIP、UDPIP,但实际可以支持的工作站个数会少一些 。因为许多Internet应用如HTTP,实际上由许多小的连接组成。 在Internet中
38、使用PAT时,所有不同的TCP和UDP信息流看起来仿佛都来源于同 一个IP地址。这个优点在小型办公室(SOHO)内非常实用,通过从ISP处申请的一 个IP地址,将多个连接通过PAT接入Internet。实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。这样,ISP甚至不需要支持PAT,就可以做到多个内部I P地址共用一个外部IP地址上Internet。虽然这样会导致信道的一定拥塞,但考虑 到节省的ISP上网费用和易管理的特点,用PAT还是很值得的。建议本网络在出口路由器中设置NAT。6、流量分析本宽带接入网络中流量大致分布为以下几部分:1)、各户到DMZ区访问DMZ区服务器的流量;
39、2)、各户到INTERNET的流量;3)、将来提供增值服务造成的流量(比如提供视频点播等服务)。整个网络的设计及网络设备的选型都是基于对网络可能的流量进行设计的。可以保证充分满足该系统的需求第三章 洪桐广电宽带接入系统的邮件、RADIUS、计费服务一、邮件服务我们选用免费Sendmail高性能信息传递来实现本网络中的邮件服务。特性概述Sendmail 是由美国加州大学开发的一个基于UNIX的共享SMTP服务器软件,它支持多种UNIX的CLONE平台,如Solaris、Linux等,并且兼容很多其他类型的电子邮件系统,如UUCP等。Sendmail模型如图2所示。图2 Sendmail模型图2中
40、,客户方sender与SMTP服务器Sendmail建立连接,将邮件送交Sendmail服务器;Sendmail按照邮件的不同类型,送交不同的邮件发送程序(称之为mailer)进行发送,例如SMTP mailer,UUCP mailer等等。Sendmail提供一种Local mailer程序mail.local,对邮件目标地址进行认证,若合法则将邮件写入用户的邮箱,否则将邮件退回。通过集中式管理的高性能消息存储器与集成化目录服务,提供现成可用的服务基础结构。允许在系统处于联机状态时,执行诸如联机配置、容量扩充以及备份等管理功能。通过集中式管理降低管理成本。提供基于部件的大规模可伸缩体系结构,
41、以适应数以百万计的用户扩展需求。可伸缩性Sendmail 为商务级信息传递提供需求的高度可伸缩性与可靠性。多线程多进程体系结构的宗旨,是在多处理器系统实现垂直可伸缩性。功能强大的高速缓存技术,将进一步减少目录服务的负荷。通过多种信息存储服务器,可以实现水平可伸缩性。通用访问Sendmail 为通过通用电子邮件、语音邮件和传真存储器,实现统一的信息传递服务奠定了基础。可以通过电话和个人数字助理等多种设备,访问消息存储器。基于政策的消息存储器管理,以自动化方式执行预定规则,进而显著地简化管理工作。预定规则政策,可以包括用户文件夹的老化政策以及整个系统和用户的邮箱配额政策。高可用性诸如消息存储器容量
42、扩充、用户文件夹备份与恢复以及配置管理等服务器管理功能,可以在不关闭服务器的条件下,采用联机方式予以实现。Sendmail 的宗旨,就是要跟高可用集群软件实现集成。防止无用邮件先进的 IMAP 功能诸如集中管理的共享文件夹和脱机访问等先进的 IMAP 功能,允许服务提供商采用内联网信息传递系统的丰富特性,交付托管信息传递服务。基于部件的体系结构基于部件的体系结构,允许部署中继、目录以及消息存储器等诸如此类的信息传递服务,以此作为单独部件,从而优化性能,并以最佳方式分配硬件资源。高性能与可伸缩性采用多线程多进程体系结构,以实现高度可伸缩特性。通过使用 Mail Multiplexor,实现水平可
43、伸缩性。二、RADIUS、计费系统1、计费系统配置洪桐宽带接入系统是一个商业运营系统,必须对用户身份进行验证,防止非授权用户非法访问网络,并且需要对接入该系统的用户按时间、流量或者包月等形式收费,对此我们采用安腾公司的eFlow D-BrAS产品,eFlow D-BrAS可以和RADIUS服务器互相配合,完成验证用户身份,计费等功能。考虑到洪桐广电现阶段的接入需求,建议先使用支持1024并发用户的D_BrAS宽带接入服务器和5000用户版本的RADIUS计费系统以节约开支,在系统升级时,这些系统可以很方便的进行对应的升级,支持更多的并发用户。D_BrAS宽带接入服务器(1024个并发)eflo
44、w D_BrAS 1Radius AAA计费系统(5000用户版 )Radius Server12、eFlow D-BrAS产品介绍eFlow D-BrAS系列产品应用了DHCP(Plug & Play)+ Web Portal + Radius的接入和认证技术。采用DHCP + Web Portal + Radius的宽带接入环境里,用户的IP地址可以通过DHCP获得或者由运营商分配固定IP地址,用户的认证则是通过用户浏览器来完成的,不需要另外再安装客户端软件。对于移动场所的用户(例如酒店),eFlow D-BrAS系列产品实现了即插即用(Plug & Play),用户无需改变自己的网络配置
45、,与网络物理连接后,可以象DHCP或固定分配地址的用户一样,直接通过认证上网。具体的上网过程是:用户获得IP地址后,随便在浏览器里输入一个要访问的合法URL(可解析的域名或者任意IP地址),该URL请求都会被D-BrAS捕获然后重定向到一个运营商可定制的认证页面,之后用户输入帐号、密码通过认证后就可以正常上网了,用户通过认证后访问的第一个页面可以由运营商来指定,也就是通常所说的运营商Portal页面。eFlow D-BrAS系列与之前的PPPoE宽带接入服务器系列相比,保留了Radius认证和计费采集接口,但是在用户接入方式上可以采用DHCP(RELAY)或者固定IP,用户不需要另外安装客户端
46、软件,用户和接入服务器之间可以有三层设备,因此特别适用于一些已经采用DHCP或者固定IP接入方式运营但是又有用户认证和计费需求的网络环境,比如有线CABLE用户接入和酒店移动用户接入。以下是一个采用D-BrAS接入和认证的简单示例,用户在浏览器里输入一个合法URL请求后被重定向到D-BrAS的认证页面(该页面可由运营商根据需要定制):用户认证成功后被重定向到运营商的Portal页面,同时一个浮动窗口被打开,在该窗口内用户可以看到自己的上网时间,预付时长的用户可以看到自己的剩余可用时长,用户可以通过该窗口断开上网服务(用户主动按断开按钮或者可用时长耗尽),该页面也是可以定制的,运营商可以在该页面
47、内做一些广告或者通知用户一些新的服务项目:3、eFlow D-BrAS产品技术特点实现技术eFlow D-BrAS采用专用的实时操作系统实现,直接基于系统的内核实现,在大量用户接入时仍然可以保障其网络数据包转发的实时性;作为地址分配的主要手段,eFlow D-BrAS内置实现了标准的DHCP服务,可以直接接受DHCP客户的请求,也可以接受下面设备中继过来的DHCP请求,并且可以根据中继设备的地址分配不同网段的IP地址。作为DHCP服务的一部分,eFlow D-BrAS也可以作为DHCP中继设备,向上层的DHCP服务器中继DHCP的请求;支持用户的即插即用,移动场所的用户可以不改变自己的网络配置,直接申请上网;运营管理支持自动捕获浏览器请求并导向认证页面,用户不用安装任何客户端认证软件,也不需要用户自己输入认证也面的URL进行认证。没有认证过的用户,只要输入任何一个合法的URL请求(80/TCP端口),浏览器都会被自动导向到认证页面,提示用户输入用户名和密码;用户认证通过后,浏览器被导向到运营商指定 Portal页面;可以通过串行口对设备进行
浙ICP备2021020529号-1 | 浙B2-20240490 
