Модернизация мультисервисной широкополосной сети передачи данных

Главная  /  Телекор-Технологии  /  Решения  /  Техническое решение по модернизации мультисервисной широкополосной сети передачи данных


1. Схема Центральных Узлов сети

Предлагается три варианта решения по оборудованию Центральных Узлов.

Предлагается схема с двумя узлами, для обеспечения резервирования и надежности операторского класса.

Используется сервисная модель CLIPS (DHCP авторизация) с привязкой пользователя к порту входа в сеть.

На доступе используются коммутаторы с поддержкой технологий DHCP Ottion82, IP Source Guard, Dynamic ARP Inspection.

Технология IP Source Guard по получению адреса коммутатор фиксирует IP и МАС пользователя. В дальнейшем только пакеты с заданной связкой IP и МАС  адресов будут пропускаться портом коммутатора доступа. Если пользователь заменит IP или МАС адрес, то такие пакеты будут отброшены.

Технология  Dynamic ARP Inspection (DAI) – защищает сеть от ARP spoofing, когда пользователь в корректном Ethernet фрейме и IP пакете, т.к. с фиксированными для него IP и МАС ардесами, отправляет в сеть «отравленный» пакет протокола ARP, в котором содержаться другие адреса. Функция DAI проверяет соответствие адресов в транспортных пакетах с адресами внутри ARP запросов. Если пользователь подставляет адреса, которые не соответствуют его реальным адресам, то такой пакет будет отброшен.

На коммутаторе агрегации применяются технологии:

  • Super VLAN – позволяет терминировать группу пользовательских виланов на одном IP интерфейсе, позволяет реализовать идеологию «вилан на пользователя» на уровне доступа и «вилан на сервис» на уровне сети оператора
  • ARP Proxy – позволяет предотвратить взаимную видимость пользователей на уровне МАС адресов, что не позволяет провести несанкционированные действия.

На центральных узлах устанавливаются:

  • Вариант 1 – два модульных шасси Redback SE-400/800 с платой 10 портов GE каждый;
  • Вариант 2 – два маршрутизатора Redback SE-100 с двумя платами по два GE порта каждый;
  • Вариант 3 – одно модульное шасси Redback SE-400/800 с платой 10 портов GE на первом узле и один Redback SE-100 с двумя платами по два GE порта на втором узле.

Общая схема центральных узлов

Общая схема центральных узлов

Оборудование для предоставления сервисов Реального Времени, а именно Softswitch, Middleware, Streamers, серверная ферма, а также OSS/BSS находятся в ядре сети провайдера и подключаются к коммутаторам агрегации.

Redback SE выполняют функции BRAS (контроль и предоставление доступа в сеть, шейпирование трафика, учет пользователей) и ASBR (граничная и внутренняя маршрутизация).

Резервирование на уровне аплинков выполняется по схеме «Двойной привязки».

Для обеспечения резервирования BRAS на уровне локальной сети применяется протокол VRRP, позволяющий без изменения настроек адресов DHCP серверов на коммутаторах доступа обеспечить резервирование IP адреса на интерфейсах двух устройств.

Принцип протокола основан на возможности объявить один IP адрес на двух разных устройствах, одно из которых является мастером данного адреса, а второе постоянно проверяет наличие данного адреса в сети и, в случае аварии мастера или линка ведущего к мастеру, поднимает этот ip адрес на своем интерфейсе.

Схема

Причем возможно перекрестное резервирование, когда устройство А являясь мастером адреса А одновременно является резервом адреса В, а устройство В являясь мастером адреса В одновременно резервирует адрес А.

На уровне аплинков может быть организовано использование 10G потоков применением L3 коммутатора с 10G портами:

Схема

2. Схема сети

Схема

3. Сценарий предоставления доступа к услугам

В сервисной модели предоставления доступа в Интернет на основе схемы CLIPS ключевым параметром абонента является порт входа в сеть, определяемый на основе DHCP Option82. База данных Option82 должна быть как в DHCP сервере, так и в системе биллинга. База DHCP op.82 может быть сгенерирована автоматически, на основе схемы сети и плана развития – содержит фиксированные значения, например:

Номер агрегатора – номер кольца доступа – номер коммутатора в кольце – номер порта.

Первоначально при подключении к сети провайдера, пользователь не имеет доступа к сети, до получения адреса. Адрес выдается с проверкой порта доступа согласно option 82. Коммутатор доступа или агрегации выполняет DHCP relay на BRAS, который для пользователя является DHCP сервером.

В схеме услуг «Три в одном» (Triple Play) первый запрос на получения адреса направляется на DHCP сервер услуг Реального Времени, где ведется база адресов телефонных шлюзов и телевизионных приставок пользователей.

Если устройство не занесено в данную базу и ответа от сервера не поступает, то второй запрос направляется по указанному в настройках второму адресу, которым является адрес BRAS.

Адрес для пользователя BRAS запрашивает от DHCP сервера с поддержкой опции 82. Адрес выдается пользователю только после проверки в биллинговой системе (BSS) по протоколу RADIUS. Время аренды адреса должно быть небольшим, порядка 30 минут.

В качестве адреса шлюза по умолчанию пользователь получит адрес коммутатора агрегации, на нем терминируются VLAN пользователей. Локальный трафик маршрутизируется между агрегаторами.

В случае задолженности пользователю может выдаваться IP адрес из сети с доступом только к сайту провайдера. Сразу по получении информации от биллинговой системы система управления применяет соответствующие настройки на BRAS или на коммутаторах доступа/агрегации.

Пользователю назначается IP адрес и фиксируется связка МАС и IP адресов на порту коммутатора доступа. Прохождение трафика от других адресов и прохождение трафика до получения IP адреса запрещены, что служит защите от бесконтрольного использования ресурсов сети, например в случае задолженности по оплате, и защите от несанкционированных действий для обеспечения высокой сетевой безопасности.

Пользователи изолированы на уровне коммутаторов доступа, каждый коммутатор доступа отдает трафик в своем виллане, весь локальный трафик коммутируется на агрегаторе с применением ARP-proxy, что позволяет обеспечить высокий уровень сетевой безопасности при локализации локального трафика на уровне агрегаторов сети.

В этом случае соседние пользователи могут обмениваться файлами или играть в сетевые игры, но их МАС адреса будут сокрыты, трафик можно зеркалировать на уровне агрегации. Доступная полоса пропускания может быть задана для каждого порта отдельно.

BRAS авторизует пользователей и по информации от Radius сервера назначает пользователю условия использования сервисов, как полосу пропускания, разрешенные направления, лимит по времени или оплате и другие параметры сессии.

Применение динамического портала услуг позволяет пользователям самостоятельно добавлять новые услуги, изменять тарифный план, реализовать «турбо кнопку», что будет моментально поддержано BRAS (управление по Radius CoA), что позволяет снизить нагрузку на службу поддержки абонентов и способствует увеличению ARPU.

3.1 Схема доступа с локальным ресурсам и Интернет

Схема

При включении абонента в домовой коммутатор, он посылает DHCP Discovery запрос для поиска DHCP сервера;

Коммутатор доступа добавляет в DHCP пакет option 82 и выполняет пересылку широковещательного запроса DHCP Discovery как юникастовый (DHCP relay) на DHCP server которым для коммутатора настроен IP адрес BRAS;

BRAS получает DHCP пакет и создает сессию CLIPS. На BВВ по протоколу RADIUS посылается запрос аутентификации пользователя. Одновременно пересылается DHCP пакет на внешний DHCP сервер.

DHCP сервер осуществляет выдачу IP адреса в соответствии с option 82 и отсылает пакет с IP адресом для пользователя на BRAS

BRAS получив IP адрес, посылает запрос Access-Request, а BSS(Radius) проверив на основе полей Option82 права пользователя на доступ к сети и услугам сети уведомляет BRAS об успешной проверке пакетом Access-Accept, в котором задается имя профайла обслуживания в соответствии с тарифным планом абонента.

BRAS фиксирует начало CLIPS сессии посылкой пакета Accounting Start Session ID системе биллинга и пакета DHCP OFFER для абонента. Абонент запрашивает IP адрес с пормощью DHCP Request и получает DHCP ACK как подтверждение на право получения IP адреса. Далее по протоколу DHCP происходит получение IP адреса.

3.2 Схема установления CLIPS сессии

Схема

3.3 Сценарий подключения корпоративных клиентов

Корпоративных заказчиков предпочтительно подключать по отдельным VLANам (на основе порта), что позволяет наиболее гибко обеспечить специфические условия предоставления и учета доступа, а также конфиденциальность информации и качество обслуживания, а также выделение подсетей адресного пространства.

Предоставление услуг VPN возможно на основе применения технологии QinQ, что позволяет не только организовывать L2 VPN в топологии «точка-точка», но и MPLS VPN L2/L3 в топологии «точка-многоточка» (L2) и «многоточка-многоточка» (L3) с построением «виртуальных выделенных линий» (VLL) на основе QinQ технологии от портов заказчика до центрального узла, оснащенного MPLS маршрутизатором.

4. Преимущества оборудования Redback и QTECH

Ericsson Redback SE-100 обладает рядом несомненных достоинств, кратко отраженных в таблице:

ФункциональностьEricsson Redback SE-100
Производительность
Гигабит в секудну		 12 Gbps
Скорость маршрутизации
Пакетов в секунду		 Не менее 7 MPPS при многочисленных правилах фильтрации и выполняемых сервисах
Поддержка функций качества обслуживания (QoS), фильтрации (ACL) и других правил контроля трафика Аппаратное, На канальных ASIC
Архитектура Модульная, раздельные уровни управления и пересылки пакетов, на основе двух центральных процессоров (по 600 МГц) и двух перепрограммируемых канальных многоядерных ASIC (по 32 ядра каждый)
Интерфейсные порты Предустановленны два GE комбо порта для трафика и один порт для управления и служебного трафика.до 6 GE в расширении, все работают на «скорости проводов»
Количество поддерживаемых маршрутов в таблице IP маршрутизации 1,5 млн. маршрутов в стандартной комплектации
Количество поддерживаемых MAC адресов 160 тысяч
Одновременно терминируемых клиентских сессий 24 тысячи

 

  • Поддержка технологий MPLS и 160 тысяч МАС адресов позволяют организовать сервисы L2 VPN.
  • До 1000 BGP пиров, 1,5 миллиона маршрутов решают задачи Граничного Маршрутизатора, причем без потери производительности с одновременным использованием устройства в качестве BRAS и MPLS PE.
  • 24 тысячи единовременных сессий BRAS. Поддержка сервисной модели DHCP авторизации (CLIPS).
  • Терминация пользовательских сессий из MPLS.
  • Модульная архитектура программного обеспечения и многопроцессорная, многоядерная аппаратная платформа позволяют выполнять комплекс задач на «скорости проводов».
  • Одно устройство размером два юнита решает задачи ASBR, BRAS и VPN концентратора в масштабах сети города.
  • Пропускная способность во внешний Интернет – 3 Гбт/с.

Мультисервисные коммутаторы QTECH для уровней доступа и агрегации, благодаря применению новейших стандартизованных протоколов и технологий реализуют высокую сетевую безопасность с обеспечением гарантированного обслуживания для всех категорий пользователей и различных типов сервисов, включая сервисы Реального Времени, VPN и другие.

Ehternet коммутаторы QTECH созданы на современной аппаратной платформе в полном соответствии с требованиями операторов связи по надежности элементной базы, низкому электропотреблению, расширенному температурному диапазону, форм фактору.

Коммутаторы специально разработаны для мультисервисных сетей, поддерживают сотни различных сервисов единовременно, сервисные модели PPPoE Plus (для плавной миграции от DSL к MetroE технологиям) и DHCP авторизации (CLIPS) с привязкой к порту доступа, обеспечивают скорость сходимости менее 200 миллисекунд для безобрывного предоставления услуг телефонии и телевидения, классификацию и управление трафиком различных услуг по правилам провайдера (Selective QinQ & Selective VLAN), технологии защиты конфиденциальности информации (IP Source Guard, DAI, ARP Proxy), средства подавления штормов без блокирования полезного трафика, развитые средства сетевого мониторинга, включая SLA L2 (OAM CFM)

QTECH QSW-2900 обеспечивает легкое подключение корпоративных клиентов с предоставлением VPN сервисов. Обладает богатым набором функционала:

Сервисные функциональные особенности мультисервисных коммутаторов QTECH:

  • Поддержка Q-in-Q на основе портов и на основе виланов
  • Поддержка селективного Q-in-Q на основе acl
  • Поддержка протокола ERRP (RFC EAPS) для обеспечения сходимости менее 200 миллисекунд с функцией query solicit.
  • Возможность фильтрации BPDU как входящих так и исходящих
  • Поддержка Multicast
  • Поддержка IGMPv3, fast leave, IGMP-snooping
  • Поддержка IGMP querier
  • Возможность явно указывать порт, к которому подключен querier
  • Возможность статической подписки на мультикаст группы
  • Возможность создания разрешающих и запрещающих списков групп
  • Поддержка QoS
  • Возможность ограничения полосы пропускания на FE порту с шагом 1 кбит/сек.
  • Поддержка не менее 4 очередей QoS на порт
  • Поддержка различных политик управления очередями (SPQ, WRR).
  • Возможность классификации трафика по различным признакам (по порту, по VLAN Id, по спискам доступа, по 802.1р битам, и др.)
  • Возможность принудительной маркировки и перемаркировки трафика

Средства сетевой безопасности мультисервисных коммутаторов QTECH:

  • Возможность настройки access листов на доступ (защищенный доступ)
  • Поддержка не менее 255 списков доступа (acl) на основе IP адресов, TCP/UDP портов, типа протокола
  • Поддержка Ethernet Port security с ограничением числа МАС-адресов, привязкой МАС-IP адресов
  • Защита от четырех типов штормов: броадкаст, мультикаст, юникаст, неизвестный юникаст
  • Поддержка IP Source Guard
  • Поддержка ARP proxy
  • Поддержка Dynamic ARP inspection
  • Поддержка DHCP snooping
  • Поддержка DHCP relay
  • Поддержка DHCP op.82
  • Поддержка PPPoE plus (добавление к PPP запросу имени коммутатора и номера порта)
  • Поддержка IGMP flood protection
  • Защита CPU от сетевых атак

Средства управления и мониторинга мультисервисных коммутаторов QTECH:

  • Поддержка протоколов авторизации Radius и Tacacs+
  • Поддержка полнофункционального удаленного управления (telnet, ssh)
  • Реализация полнофункционального режима интуитивно понятной командной строки для конфигурации и мониторинга
  • Поддержка различных уровней доступа (привилегий)
  • Поддержка не менее пяти одновременных telnet сессий с возможностью ручного сброса telnet сессии
  • Поддержка SNMP v1,v2,v2c,v3
  • Поддержка Syslog с возможностью передачи информации на несколько серверов
  • Поддержка синхронизации времени (NTP)
  • Поддержка средств диагностики OAM CFM (IEEE802.1ah)

Маршрутизирующие коммутаторы QTECH QSW-3900 для уровня агрегации поддерживают также важные функции для данного уровня:

  1. Super VLAN – позволяет терминировать группу пользовательских виланов на одном IP интерфейсе, позволяет реализовать идеологию «вилан на пользователя» на уровне доступа и «вилан на сервис» на уровне сети оператора
  2. ARP Proxy – позволяет предотвратить взаимную видимость пользователей на уровне МАС адресов. При обмене между пользователями весь трафик проходит через агрегатор и только МАС адрес агрегатора видят пользователи в качестве адреса назначения, реальные МАС адреса для них сокрыты.
  3. Протоколы маршрутизации OSPF и BGP - для маршрутизации адресов оператора (OSPF) и адресов клиентов (BGP)
  4. Протокол мультикастовой маршрутизации PIM – для маршрутизации многоадресных рассылок