摘要:神東煤炭集團原有小區(qū)寬帶網(wǎng)絡建成已近十年時間,在使用過程中存在諸多問題。針對原有小區(qū)寬帶存在的問題,經(jīng)過設計改造,來滿足小區(qū)用戶的需求。
關鍵詞:原有小區(qū)寬帶;問題;改造方案
中圖分類號:TP3 文獻標識碼:A 文章編號:1007-9599 (2012) 17-0000-02
1 原有小區(qū)寬帶現(xiàn)狀
神東煤炭集團原有小區(qū)寬帶網(wǎng)絡建成已近十年時間。寬帶用戶的接入方式基本為電話線入戶,然后通過ADSL貓將電話線轉成網(wǎng)線接寬帶用戶電腦。寬帶的接入設備主要為華為的MA5300、MA5600,寬帶的匯聚設備為MA5200G。寬帶用戶的流量經(jīng)過貓、MA5300匯聚到MA5200G。MA5200G和S8512以及辦公網(wǎng)絡的路由設備互聯(lián)并建立路由關系,從而為寬帶流量提供路由,實現(xiàn)寬帶用戶到互聯(lián)網(wǎng)及到神華集團廣域網(wǎng)的訪問。
原有小區(qū)寬帶根據(jù)地理位置,分成大柳塔、東勝、李家畔三個區(qū)域。
1.1 大柳塔區(qū)域
大柳塔節(jié)點下面的寬帶用戶現(xiàn)在是通過MA5300/MA5200G連接到cisco3560交換機上,網(wǎng)關都在3560上。DHCP和DNS服務器是單獨用了一臺服務器為大柳塔下面的用戶提供自動獲取。對于神東內網(wǎng)的訪問是通過靜態(tài)路由實現(xiàn),對于互聯(lián)網(wǎng)的訪問是通過默認路由直接到linkproof,中間經(jīng)過allot流量控制系統(tǒng)。
1.2 東勝區(qū)域
東勝節(jié)點的寬帶用戶是通過MA5300連接到cisco3560交換機上,和大柳塔的模式差不多。但是東勝寬帶用戶用的地址段是辦公網(wǎng)的地址段,然后通過ospf宣告辦辦公網(wǎng),即東勝寬帶用戶現(xiàn)在走的就是辦公網(wǎng),上神東內網(wǎng)和互聯(lián)網(wǎng)都和現(xiàn)有辦公網(wǎng)一樣的方式。
1.3 李家畔區(qū)域
李家畔節(jié)點的寬帶用戶量多,下面包含很多站點。所有站點都是通過靜態(tài)路由到李家畔的MA5200G上,然后MA5200G和李家畔的S8512之間再通過靜態(tài)路由出去。從S8512回指的路由是匯總的10.225.0.0/16,對互聯(lián)網(wǎng)的訪問流量和大柳塔的寬帶用戶一樣匯聚到李家畔的邊界交換機6509,再通過6509,經(jīng)統(tǒng)一的流量控制系統(tǒng),到達負載均衡設備,對于神東內網(wǎng)的訪問也是通過靜態(tài)路由實現(xiàn),對于互聯(lián)網(wǎng)的訪問也是通過默認路由直接到linkproof,中間經(jīng)過allot流量控制系統(tǒng)。
1.4 原有小區(qū)寬帶存在的問題
性能瓶頸:小區(qū)寬帶用戶的業(yè)務流量為寬帶用戶->MA5300->傳輸線路->MA5200G->神東辦公網(wǎng)互聯(lián)網(wǎng)出口,小區(qū)寬帶用戶上網(wǎng)必須經(jīng)過MA5300->傳輸線路->MA5200G才能夠上互聯(lián)網(wǎng),而目前東勝,伊旗維修中心等關鍵通信節(jié)點的傳輸線路資源枯竭,大柳塔等地的MA5200G設備資源也已經(jīng)達到其性能極限,隨著當前寬帶用戶數(shù)不斷增加已經(jīng)出現(xiàn)了東勝寬帶用戶上網(wǎng)非常慢,投訴不斷的情況。而目前的性能評價就在于傳輸線路資源枯竭和MA5200G的性能已經(jīng)達到性能極限,對于MA5300和MA5200G之間的帶寬也日漸不足,需要針對不足的線路資源進行擴容,確保下聯(lián)用戶在上網(wǎng)高峰時保證有足夠的吞吐量。
安全問題:目前的寬帶用戶是通過電話號碼作為用戶認證方式,只有欠費審計而沒有上網(wǎng)行為審計,神東網(wǎng)已經(jīng)陸續(xù)出現(xiàn)“百度貼吧”等事件而無從查起,因此需要將欠費審計和上網(wǎng)行為審計合一,并且提供給用戶統(tǒng)一的認證和計費界面,便于用戶使用。
維護問題:業(yè)務類型和質量控制均在MA5300上進行數(shù)據(jù)設置,目前全神東集團的MA5300超過30臺,總端口數(shù)超過2萬,而目前的業(yè)務類型,服務質量保障,欠費停機,帶寬限制等操作均直接在MA5300上配置,而且由于神東寬帶網(wǎng)建設逐步建設的原因,配置技術使用多種多樣,隔離技術參差不齊,現(xiàn)在已經(jīng)達到了手工維護的極限,配置已經(jīng)很多年沒有辦法審計其合理性,因此該配置技術極需要梳理、改善、統(tǒng)一管理。
擴展問題:目前的計費和認證機制由于是通過計費服務器直接操作MA5300進行,具有極度定制化的特征,因此該技術只能用于ADSL寬帶,無法向無線寬帶,以太寬帶和辦公寬帶上拓展。計費系統(tǒng)也只能針對模擬電話進行計費,而對IP電話或者軟交換無能為力,這對于現(xiàn)在的通信趨勢的IP電話而言,必須針對計費系統(tǒng)進行升級。
2 改造方案
針對神東煤炭原有小區(qū)寬帶存在的問題,通過采取以下幾個措施,來執(zhí)行我們的改造方案。
(1)通過高端寬帶設備Juniper ERX1440/310替換現(xiàn)在的MA5200設備,提高設備性能。
(2)升級寬帶設備到寬帶設備之間的鏈路帶寬。
(3)實現(xiàn)對寬帶用戶計費和身份認證、行為審計功能。
2.1 設備部署
本方案中設備部署部分主要包括六臺juniper ERX寬帶設備的部署。部署的原則基于各區(qū)域寬帶流量的大小。李家畔區(qū)域下聯(lián)李家畔本地、補連塔方向、黑炭溝方向的小區(qū)寬帶用戶,用戶數(shù)量最大,所以在此部署一臺ERX1440和兩臺ERX310;大柳塔區(qū)域的用戶數(shù)量也較大,部署一臺ERX1440和一臺ERX310;康城下聯(lián)的用戶數(shù)較少,僅部署一臺ERX310。所有的小區(qū)寬帶用戶的網(wǎng)關都設置在ERX設備上。
設備的物理拓撲如下。
六臺ERX設備和S8512之間運送OSPF路由協(xié)議以取代原有的靜態(tài)路由協(xié)議,從而提高寬帶路由的管理性。李家畔區(qū)域和大柳塔區(qū)域到辦公網(wǎng)的流量還是從本地核心出,從而做到流量分擔。同時,對小區(qū)寬帶各區(qū)域重新編址,新的編址將遵循地域的不同,而且將更加利于匯總,以便減少小區(qū)寬帶和辦公網(wǎng)絡之間的靜態(tài)路由條目。
為了提高MA5300上聯(lián)的帶寬,在實施的時候做到以下兩點:1、升級傳輸?shù)陌蹇ā?、消除MA5300之間的級聯(lián)現(xiàn)象,使MA5300直接連到傳輸設備或者交換機上。3、盡量使每個區(qū)域下的MA5300設備分散到不同的匯聚設備,即ERX設備上。
2.2 新的認證和計費方式
新的認證采用web登錄及radius計費的方式。具體的實現(xiàn)過程如下:
(1)小區(qū)寬帶電腦接入網(wǎng)絡,從寬帶ERX設備獲得IP及DNS。
(2)打開網(wǎng)頁瀏覽器,輸入任何一個公網(wǎng)地址,如:www.sohu.com,嘗試打開。
(3)該web流量到達寬帶ERX設備,ERX設備對于沒有通過認證的用戶web流量重定向到C3000,C3000返回用戶一個登錄的web界面。
(4)寬帶用戶輸入用戶名和密碼然后確定,該用戶名和密碼信息發(fā)到C3000。
(5)C3000將用戶名和密碼信息發(fā)給radius服務器,radius服務器查找該用戶、密碼信息,若是正確,則返回C3000一個允許信息及相應的帶寬,若是不正確,則返回C3000一個拒絕信息。
(6)C3000根據(jù)從radius收到的允許、帶寬信息,或者拒絕信息,給ERX下發(fā)策略,實現(xiàn)對該用戶的允許登錄、拒絕登錄、登錄之后賦予帶寬的控制。
(7)C3000通過web返回用戶一個歡迎界面,提示登錄成功,若是用戶選擇注銷,則C3000收到一個離線信息,并將這個離線信息發(fā)送給radius服務器。
(8)用戶通過認證之后,radius設備開始對該用戶計費,包括用戶名、IP、流量、上線時間,在用戶離線之后,還將添加離線時間、上線時長。
(9)用戶在通過認證之后,radius將把在線用戶的信息寫入到mysql數(shù)據(jù)庫的在線用戶表里。
(10)深信服設備對于收到的去往互聯(lián)網(wǎng)的流量,查詢mysql數(shù)據(jù)庫的在線用戶表里的在線用戶IP,若是發(fā)現(xiàn)該流量的IP存在,即表示該用戶已經(jīng)通過C3000的認證,即直接放行流量。
(11)深信服設備根據(jù)策略設置,對用戶的上網(wǎng)行為進行限制,并將上網(wǎng)行為記錄到外置數(shù)據(jù)中心。
(12)網(wǎng)管可以從外置數(shù)據(jù)中心查看上網(wǎng)行為記錄。
認證計費及行為審計的實現(xiàn)功能圖如下: