您的当前位置:首页正文

小区宽带方案

2023-08-04 来源:汇智旅游网
小区宽带接入组网技术方案

方案背景

本规范根据电信接入网络现状、未来发展和业务需求而编写。本规范不但满足今后LAN 小区用户宽带上网的需求,并能够使LAN 小区满足今后IPTV 业务发展的要求,以及满足集团公司提出对LAN 小区用户精确绑定的要求。 方案设计

一般小区宽带接入组网采用二层网络结构,即 CPE(Customer Provide requipment)+楼道交换机+小区汇聚交换机;IPTV 用户组网采用三层结构,即CPE/机顶盒+用户家庭小交换机+楼道交换机+小区汇聚交换机,网络结构如图所示:

由于二层交换机多级级联会导致二层网络性能下降而且给管理上带来一定负担,所以本技术规范要求新建小区Lan 接入组网层次原则上必须为二层结构(即小区汇聚交换机和楼道交换机),IPTV 用户组网层次增加一层(用户家庭小交换机)。不允许在楼道交换机下继续级联交换机或 HUB。单台小区汇聚交换机下接入的楼道交换机端口数不超过 1000 个。每台小区汇聚交换机必须具备独立的上联出口,不允许级联。部分旧的小区改造时,考虑已有管道线路的制约,允许有限级联(楼道交换机一层级联,级联交换机数量小于等于3 个,级联带宽不小于100M)。新建小区由于特殊情况网络层次需要超过二层的,必须得到相关部门批准。 方案说明 1、链路

接入链路:接入链路指从楼道交换机到 CPE 之间的物理链路。该链路必须采用五类或五类以上非屏蔽双绞线(UTP),链路物理带宽要求达到10M 或100M。

小区汇聚链路:汇聚链路指从楼道交换机到汇聚交换机之间的物理链路。该链路采用单模光纤,链路物理带宽要求达到100M 或1000M。 小区出口链路:小区出口链路指从小区汇聚交换机到 Bras 或区局汇聚交换机之间的物理链路。该链路采用单模光纤。

过渡时期改造的 LAN 小区,在小区汇聚交换机上对上网和IPTV 流量进行物理端口分离,上网流量从小区已有100M 出口链路上行,新增一个1000M 出口用于IPTV 流量专用。新建小区的出口链路物理带宽要求达到 1000M,上联局端的汇聚交换机。

2、网络管理

为了满足日后统一网管要求,对小区 Lan 接入组网要求如下:

1)采用带内网管方式,小区内两层设备之间不允许放置任何网管终端或服务器

2)统一配置Vlan 2 作为网管Vlan,Vlan 3-10 预留,用户Vlan ID 从1001开始,在Bras 上对网管Vlan 做1M 限速。 3)网管ip 地址采用私网地址(具体地址方案及实现方案根据统一网管系统的规划而定) 3、Vlan

由于Vlan 涉及到用户管理、帐户绑定、网络安全等诸多方面,因此Vlan 的管理、规划和使用显得十分重要。对于Vlan 管理、规划和使用要求如下:

1) 一种业务一个 Vlan,一个用户家庭PC 和机顶盒对应的交换机端口分配独立Vlan 2) 用户上网 Vlan 从Vlan 1001 开始,到2000 结束 3) IPTV 业务Vlan 从2001 开始,到3000 结束 4) Vlan3001 到4000 为今后其他业务预留

5) 采用 Vlan 2 做为楼道交换机和小区汇聚交换机的网络管理Vlan,Vlan 3-10 预留 6) Vlan4001 到4050 作为组播Vlan 予以预留

7) 小区楼道交换机支持 Vlan 数不少于256 个(VLAN ID 范围支持1-4096),小区汇聚交换机支持Vlan 数不少于4096 个。 4、网络安全

物理安全:对于部署到楼道和小区内的设备,应在物理上采取安全措施,防止设备被人为损坏和操作,设备应尽可能安装到小区公共配套房屋,但要避免与电力、水、排污等管道安装在一起,并尽可能加装相应机箱。

设备访问安全:为了防止黑客攻击,保证设备正常运行,要对设备的访问权限加以严格控制,尽可能做到以下几点: 1) 关闭未使用的物理端口

2) 关闭一些典型的网络服务,如 CISCO CDP

3) 更改登陆提示,为防止黑客从登陆提示中发现设备信息,应将登陆提示信息降到做少,建议采用一些“不得入侵”的法律警告 4) 密码,密码必须采用大小写字母数字混合编码,长度不得少于 6 位,密码必须加密。有条件情况下,可以考虑使用AAA 服务器 5) IP 过滤,采用一些过滤来保证通过telnet 或其它协议对管理接口的安全访问 6) 网管 Vlan 不使用Vlan 1 5、用户隔离

为了保证用户上网安全和网络安全,必须做到一个端口一个 Vlan,Vlan 与物理端口绑定,将用户信息流进行彼此隔离,禁止在楼道交换机下级联HUB,防止出现一个用户认证通过,其它用户全部都可以上网的情况。 6、用户认证与限速

采用的用户认证方式有两种,PPPOE 和DHCP 方式。考虑到业务情况,初期宽带上网和IPTV 业务都使用PPPOE 方式,最终将IPTV 业务认证逐步过渡到DHCP 方式。同时在用户认证时应将用户业务帐号和对应的业务Vlan 绑定,做到用户账号和端口VLAN 的精确绑定,防止出现帐户盗用现象。用户接入交换机物理端口分配独立 VLAN,在BRAS 上采用一个VLAN 一

个session 的控制方式,Radius 业务账号不做账号session 数的绑定,以防止账号吊死而使用户无法使用业务。用户业务速率限速通过 Radius 认证后的返回属性,由BRAS 完成。 7、今后 IPTV 业务实现方式

对 IPTV 用户使用可打VLAN 标签的家庭网关或家庭交换机,每个端口设置不同的C_VLAN,分别为宽带C_VLAN 和单播IPTV C_VLAN;楼道交换机至汇聚交换机的二层链路配置成VLAN Trunk 模式,承载宽带C-VLAN、单播IPTV C-VLAN;局端汇聚交换机开启Selective QinQ 功能,能够根据内层标签和物理端口选择性的打外层标签,对宽带C-VLAN 和IPTV C-VLAN 进行相应的S-VLAN 二次标记,并能够将二者送至不同的业务接入点;BRAS 负责用户宽带上网业务的接入,终结宽带上网的QinQ,实现对用户上网的源可溯性;IPTV POP点负责STB 的IPTV 业务接入,可以利用QinQ 技术或DHCP Option82 技术,实现对用户STB 的源可溯性和DHCP 的安全。

因篇幅问题不能全部显示,请点此查看更多更全内容