神東煤炭集團寬帶系統(tǒng)改造思路

摘要：神東煤炭集團原有小區(qū)寬帶網(wǎng)絡建成已近十年時間，在使用過程中存在諸多問題。針對原有小區(qū)寬帶存在的問題，經(jīng)過設計改造，來滿足小區(qū)用戶的需求。

關鍵詞：原有小區(qū)寬帶；問題；改造方案

中圖分類號：TP3 文獻標識碼：A 文章編號：1007-9599 （2012） 17-0000-02

1 原有小區(qū)寬帶現(xiàn)狀

神東煤炭集團原有小區(qū)寬帶網(wǎng)絡建成已近十年時間。寬帶用戶的接入方式基本為電話線入戶，然后通過ADSL貓將電話線轉成網(wǎng)線接寬帶用戶電腦。寬帶的接入設備主要為華為的MA5300、MA5600，寬帶的匯聚設備為MA5200G。寬帶用戶的流量經(jīng)過貓、MA5300匯聚到MA5200G。MA5200G和S8512以及辦公網(wǎng)絡的路由設備互聯(lián)并建立路由關系，從而為寬帶流量提供路由，實現(xiàn)寬帶用戶到互聯(lián)網(wǎng)及到神華集團廣域網(wǎng)的訪問。

原有小區(qū)寬帶根據(jù)地理位置，分成大柳塔、東勝、李家畔三個區(qū)域。

1.1 大柳塔區(qū)域

大柳塔節(jié)點下面的寬帶用戶現(xiàn)在是通過MA5300/MA5200G連接到cisco3560交換機上，網(wǎng)關都在3560上。DHCP和DNS服務器是單獨用了一臺服務器為大柳塔下面的用戶提供自動獲取。對于神東內網(wǎng)的訪問是通過靜態(tài)路由實現(xiàn)，對于互聯(lián)網(wǎng)的訪問是通過默認路由直接到linkproof，中間經(jīng)過allot流量控制系統(tǒng)。

1.2 東勝區(qū)域

東勝節(jié)點的寬帶用戶是通過MA5300連接到cisco3560交換機上，和大柳塔的模式差不多。但是東勝寬帶用戶用的地址段是辦公網(wǎng)的地址段，然后通過ospf宣告辦辦公網(wǎng)，即東勝寬帶用戶現(xiàn)在走的就是辦公網(wǎng)，上神東內網(wǎng)和互聯(lián)網(wǎng)都和現(xiàn)有辦公網(wǎng)一樣的方式。

1.3 李家畔區(qū)域

李家畔節(jié)點的寬帶用戶量多，下面包含很多站點。所有站點都是通過靜態(tài)路由到李家畔的MA5200G上，然后MA5200G和李家畔的S8512之間再通過靜態(tài)路由出去。從S8512回指的路由是匯總的10.225.0.0/16，對互聯(lián)網(wǎng)的訪問流量和大柳塔的寬帶用戶一樣匯聚到李家畔的邊界交換機6509，再通過6509，經(jīng)統(tǒng)一的流量控制系統(tǒng)，到達負載均衡設備，對于神東內網(wǎng)的訪問也是通過靜態(tài)路由實現(xiàn)，對于互聯(lián)網(wǎng)的訪問也是通過默認路由直接到linkproof，中間經(jīng)過allot流量控制系統(tǒng)。

1.4 原有小區(qū)寬帶存在的問題

性能瓶頸：小區(qū)寬帶用戶的業(yè)務流量為寬帶用戶->MA5300->傳輸線路->MA5200G->神東辦公網(wǎng)互聯(lián)網(wǎng)出口，小區(qū)寬帶用戶上網(wǎng)必須經(jīng)過MA5300->傳輸線路->MA5200G才能夠上互聯(lián)網(wǎng)，而目前東勝，伊旗維修中心等關鍵通信節(jié)點的傳輸線路資源枯竭，大柳塔等地的MA5200G設備資源也已經(jīng)達到其性能極限，隨著當前寬帶用戶數(shù)不斷增加已經(jīng)出現(xiàn)了東勝寬帶用戶上網(wǎng)非常慢，投訴不斷的情況。而目前的性能評價就在于傳輸線路資源枯竭和MA5200G的性能已經(jīng)達到性能極限，對于MA5300和MA5200G之間的帶寬也日漸不足，需要針對不足的線路資源進行擴容，確保下聯(lián)用戶在上網(wǎng)高峰時保證有足夠的吞吐量。

安全問題：目前的寬帶用戶是通過電話號碼作為用戶認證方式，只有欠費審計而沒有上網(wǎng)行為審計，神東網(wǎng)已經(jīng)陸續(xù)出現(xiàn)“百度貼吧”等事件而無從查起，因此需要將欠費審計和上網(wǎng)行為審計合一，并且提供給用戶統(tǒng)一的認證和計費界面，便于用戶使用。

維護問題：業(yè)務類型和質量控制均在MA5300上進行數(shù)據(jù)設置，目前全神東集團的MA5300超過30臺，總端口數(shù)超過2萬，而目前的業(yè)務類型，服務質量保障，欠費停機，帶寬限制等操作均直接在MA5300上配置，而且由于神東寬帶網(wǎng)建設逐步建設的原因，配置技術使用多種多樣，隔離技術參差不齊，現(xiàn)在已經(jīng)達到了手工維護的極限，配置已經(jīng)很多年沒有辦法審計其合理性，因此該配置技術極需要梳理、改善、統(tǒng)一管理。

擴展問題：目前的計費和認證機制由于是通過計費服務器直接操作MA5300進行，具有極度定制化的特征，因此該技術只能用于ADSL寬帶，無法向無線寬帶，以太寬帶和辦公寬帶上拓展。計費系統(tǒng)也只能針對模擬電話進行計費，而對IP電話或者軟交換無能為力，這對于現(xiàn)在的通信趨勢的IP電話而言，必須針對計費系統(tǒng)進行升級。

2 改造方案

針對神東煤炭原有小區(qū)寬帶存在的問題，通過采取以下幾個措施，來執(zhí)行我們的改造方案。

（1）通過高端寬帶設備Juniper ERX1440/310替換現(xiàn)在的MA5200設備，提高設備性能。

（2）升級寬帶設備到寬帶設備之間的鏈路帶寬。

（3）實現(xiàn)對寬帶用戶計費和身份認證、行為審計功能。

2.1 設備部署

本方案中設備部署部分主要包括六臺juniper ERX寬帶設備的部署。部署的原則基于各區(qū)域寬帶流量的大小。李家畔區(qū)域下聯(lián)李家畔本地、補連塔方向、黑炭溝方向的小區(qū)寬帶用戶，用戶數(shù)量最大，所以在此部署一臺ERX1440和兩臺ERX310；大柳塔區(qū)域的用戶數(shù)量也較大，部署一臺ERX1440和一臺ERX310；康城下聯(lián)的用戶數(shù)較少，僅部署一臺ERX310。所有的小區(qū)寬帶用戶的網(wǎng)關都設置在ERX設備上。

設備的物理拓撲如下。

六臺ERX設備和S8512之間運送OSPF路由協(xié)議以取代原有的靜態(tài)路由協(xié)議，從而提高寬帶路由的管理性。李家畔區(qū)域和大柳塔區(qū)域到辦公網(wǎng)的流量還是從本地核心出，從而做到流量分擔。同時，對小區(qū)寬帶各區(qū)域重新編址，新的編址將遵循地域的不同，而且將更加利于匯總，以便減少小區(qū)寬帶和辦公網(wǎng)絡之間的靜態(tài)路由條目。

為了提高MA5300上聯(lián)的帶寬，在實施的時候做到以下兩點：1、升級傳輸?shù)陌蹇ā?、消除MA5300之間的級聯(lián)現(xiàn)象，使MA5300直接連到傳輸設備或者交換機上。3、盡量使每個區(qū)域下的MA5300設備分散到不同的匯聚設備，即ERX設備上。

2.2 新的認證和計費方式

新的認證采用web登錄及radius計費的方式。具體的實現(xiàn)過程如下：

（1）小區(qū)寬帶電腦接入網(wǎng)絡，從寬帶ERX設備獲得IP及DNS。

（2）打開網(wǎng)頁瀏覽器，輸入任何一個公網(wǎng)地址，如：www.sohu.com，嘗試打開。

（3）該web流量到達寬帶ERX設備，ERX設備對于沒有通過認證的用戶web流量重定向到C3000，C3000返回用戶一個登錄的web界面。

（4）寬帶用戶輸入用戶名和密碼然后確定，該用戶名和密碼信息發(fā)到C3000。

（5）C3000將用戶名和密碼信息發(fā)給radius服務器，radius服務器查找該用戶、密碼信息，若是正確，則返回C3000一個允許信息及相應的帶寬，若是不正確，則返回C3000一個拒絕信息。

（6）C3000根據(jù)從radius收到的允許、帶寬信息，或者拒絕信息，給ERX下發(fā)策略，實現(xiàn)對該用戶的允許登錄、拒絕登錄、登錄之后賦予帶寬的控制。

（7）C3000通過web返回用戶一個歡迎界面，提示登錄成功，若是用戶選擇注銷，則C3000收到一個離線信息，并將這個離線信息發(fā)送給radius服務器。

（8）用戶通過認證之后，radius設備開始對該用戶計費，包括用戶名、IP、流量、上線時間，在用戶離線之后，還將添加離線時間、上線時長。

（9）用戶在通過認證之后，radius將把在線用戶的信息寫入到mysql數(shù)據(jù)庫的在線用戶表里。

（10）深信服設備對于收到的去往互聯(lián)網(wǎng)的流量，查詢mysql數(shù)據(jù)庫的在線用戶表里的在線用戶IP，若是發(fā)現(xiàn)該流量的IP存在，即表示該用戶已經(jīng)通過C3000的認證，即直接放行流量。

（11）深信服設備根據(jù)策略設置，對用戶的上網(wǎng)行為進行限制，并將上網(wǎng)行為記錄到外置數(shù)據(jù)中心。

（12）網(wǎng)管可以從外置數(shù)據(jù)中心查看上網(wǎng)行為記錄。

認證計費及行為審計的實現(xiàn)功能圖如下：