第1篇 广域网安全和优化概述
第1章 企业网模型
随着应用的发展,各种需求不断出现。作为企业IT系统基础的计算机网络,其未来的发展适应企业业务和应用对IT系统越来越高的要求。
1.2 趋势和挑战
信息技术发展至今,包括企业在内的各种组织几乎都已部署了各种各样的IT系统,这些系统大部分基于各种类型的计算机网络。应对企业不断发展的需求,IT系统也处于不断的发展进化之中。
IT系统的发展可分为业务数字化、业务流程整合及面向战略三个阶段:
·业务数字化:在这个阶段,IT应用主要集中在业务流程数字化和办公自动化等以数字化代替人工操作的方面。从技术架构来看,此时的IT系统以计算为中心,计算、存储和应用呈现出静态绑定的关系。应用依赖于特定厂商、特定型号的计算、存储设备。IT资源为满足业务应用的峰值需求而配置,其平均利用率则很低,造成IT投资的严重浪费;网络、存储、计算分别独立管理维护,管理复杂,维护难度高,过渡依赖于原厂商提供的服务;系统扩展差,难以快速适应机构内部和外部挑战带来的变化。这一阶段的网络技术也呈现繁杂复杂的局面,存在多种互不兼容的协议体系,例如用于Novell文件和打印共享的IPX/SPX(Internet Packet eXchange/Sequential Packet eXchange,网间分组交换/序列包交换),用于IBM大型机和服务器的SNA(Systems Networks Architecture,系统网络体系结构),以及用于访问Internet的TCP/IP(Transfer Control Protocol/Internet Protocol,传输控制协议/互联网协议)等。
·业务流程整合:以客户为中心的业务流程整合,需要打破部门壁垒,实现如ERP、集成供应链、客户关系管理、营销管理、产品研发管理等业务流程整合。业务需求催生出以业务为中心的动态IT架构,这种架构有两大特征,一是能够实现通信、存储、计算三大IT基础资源的整合管理及优化;二是具备开放的体系结构,可满足业务流程定制与优化的要求。而今天的网络系统也正在发展为基于IP的统一平台,这种开放架构可以大幅度降低IT系统的复杂度,提高性能和兼容性。例如,基于IP的网络和存储协同优化可以提高IT整体性能50%以上。
·面向战略:未来的IT系统将发展为以战略为中心的知识系统,业务战略与IT战略将融为一体,成为整个组织肌体的一部分。IT将充当整个组织的数字神经系统,提供智能决策支持。计算机网络必须适应这一发展趋势,不仅提供网络连通性,提高性能和可靠性,更要为IT系统上层提供灵活而智能的服务。
当今的IT系统正在业务数字化阶段向业务流程整合阶段的过渡。一方面,经过多年的建设,IT系统为组织带来高效率、低成本的好处;另一方面,面临业务流程整合的压力,组织机构在IT资源整合、IT资源管理和IT业务等方面都面临重大挑战。
IT资源整合
设想一个涵盖总部到分支机构的大规模企业IT系统。企业不断采用新技术来扩充IT基础设施。例如,采用基于传统PBX(Private Branch eXchange,私有分支交换)交换机的语音系统;采用基于传统PBX(Private Branch eXchange,私有分支交换)交换机的语音系统;采用基于IPX/SPX的网络实现内部文件服务器和打印机共享;在桌面部署IP协议以实现Internet访问;采用从早期的X.25、帧中继(Frame Relay、T1/E1专线、到ATM(Asynchronous Transfer Mode,异步传输模式)等各种技术构建广域网,连接分支机构;采用独立的基于专线的专用网络实现视频电话和会议;采用基于模拟信号传输、单机硬盘存储的传统监控系统;采用专用光纤、专用存储交换机和专用协议构建存储区域网,部署存储系统等等。
这样的IT设施条块分割,无法实现协同办公和协同商务。例如,语音网、视频会议网、数据通信网、监控信号传输网、存储网络等并立,企业在部署大量线路的同时,还无法在各系统之间共享数据;由于多种协议共存,难以互相兼容,各应用系统之间的互通极为昂贵和困难,效率低下;并且在一部分系统网络资源不足的情况下,另一部分系统的网络资源却可能闲置浪费。
因此,包括通信、计算、存储在内的基础资源的整合是IT系统建设面临的难题之一。
IT管理
在业务流程整合的阶段,IT管理需要从简单的网管管理转向全面的资源管理及业务管理。优化IT资源,提高IT的ROI(Return On Investment,投资回报率),需要更加精细的管理能力。
当前计算机网络系统面临的主要管理难点主要包括:
·内容管理:对各种信息资源和Internet访问的便捷性,在提高工作效率的同时,也可能导致员工有效工作时间的降低。例如员工与工作无关的Internet访问不但浪费了工作时间,而且加重了网络负担。控制员工的此类行为成为一个管理难点。
·流量管理:计算机网络承载了越来越多的实时业务和生产相关的关键业务,某些节点极可能成为网络的瓶颈。深度的业务识别、实时动态的流量监控和调节、网络资源优化配置成为当务之急。
·安全管理:由于业务的多样性和网络的开放性,各种各样的***威胁着IT系统。加上承载网络日趋归一,IT系统面临的威胁也日益加重。包括接入安全、内容安全、网络安全、存储安全等在内的整体安全性成为一个关键问题。
·配置管理:随着企业规模的扩大,大量的网络设备需要广域互连。一旦需要变更配置,位于分支网点的大量设备要在短时间内进行全面的配置变更或升级。如何此类业务批量部署和配置成为一个难题。
综上所述,组织机构不但需要不断提高网络性能,更需要构建可维护、可管理、可优化的高品质网络。要解决各种难题,实现这个目标,就需要构建一个全面、精细、架构开放的智能管理系统。。
IT业务个性化
自工业革命以来,世界经济商务关系和模型发生巨变,经历了从生产为中心到顾客为中心;从大规模标准化生产到大规模客户个性化定制的转变。传统的IT设施难以提供企业为大批量用户提供个性化、定制化和优化方案所需的灵活性和智能性。
此外,组织机构的IT系统正从单一应用的集合体转向业务流程整合。每个组织都有与自身战略紧密相关的特色业务,并希望获得个性化的IT解决方案。这要求计算机网络由解决基本通信需求向灵活服务于上层的个性化应用进行转变。建设一个技术标准而开放的网络,实现通信、计算、存储等各种资源的整合、管理与优化是解决问题的关键。
1.3 IToIP面向服务的解决方案
SOA(Service Oriented Architecture,面向服务的体系结构)是一种定义和提供IT基础设施的方式。体现SOA思想的企业级IT系统设计,应允许不同应用功能或应用系统之间共享数据、资源和能力,参与业务流程,无论它们各自背后使用的是何种软件和硬件。
基于SOA的网络架构将企业IT系统划分成若干层次:
· 基础设施层:在这一层中,分布与各个逻辑和物理位置的资源通过统一而标准化的计算机网络被连接起来,形成IT系统的基础设施。所有资源在任意地点都可以被随时访问。
· 服务层:这一层将基础的设施和资源结合起来,形成一系列灵活而相对独立的基础设施服务,例如计算服务、安全服务、存储服务等。基础设施服务不包含业务逻辑,其提供的是非业务性的功能。若干基础设施服务可以进一步形成服务组合。一个服务组合可以实现一项组合的业务任务。任何新的业务任务均可以方便地由基础设施服务组合而成,而无须改变已有的服务组合。
· 应用层:企业的业务流程实际上可以由一系列的业务任务或复合业务任务构成,也就是说,任何复杂应用均可以通过调用一系列服务组合接口来实现。
依托SOA思想设计的企业级网络系统,允许灵活、快速、高效地构建企业智能应用,能快速适应企业业务流程的变化。
为解决IT系统和计算机网络发展过程中面临的种种挑战,H3C在2004年提出了NGeN(下一代e网)架构。基于这个架构,H3C不断完善IP基础网络、IP通信、IP管理、IP存储等解决方案板块,最终形成完全基于IP技术的新一代IT解决方案——IToIP(IT on IP)。
IToIP是SOA核心思想的一种表现形式。IToIP通过一个开放的架构把先进的技术及客户需求统一为一个整体,使技术手段及商业方法最终都能服务于客户及合作伙伴,所有这些都能最大限度地满足用户的业务需求。
IToIP解决方案要求对IT基础架构进行整合。其含义是基于IP技术搭建统一的IT基础架构平台,以IP网络为基础,消除异构系统带来的信息鸿沟,整合IP存储、安全、多媒体等各种服务,实现IT基础设施的构件化和资源化。
IToIP以智能的业务管理衔接应用与IT基础平台,从而实现基于业务的底层资源配置和管理。IToIP以开放架构完成IT应用层和IT基础资源层的完美对接,使得IT系统真正成为用户的价值平台。
IToIP以智能的业务管理衔接应用与IT基础平台,从而实现基于业务的底层资源配置和管理。IToIP以开放架构完成IT应用层和IT基础资源层的完美对接,使得IT系统真正成为用户的价值平台。
当今的IT系统建设进入整合时代,需求的重心从单系统的性能转向跨系统的性能、连通、业务互动。依托IP网络融合IT基础架构,提供整合平台,实现基础架构资源化,基于应用灵活组织IT资源来支撑复杂多变的业务,这些已经成为IT系统建设中普遍认同的理念。IToIP解决方案指明了实现这一目标的途径,给出了达到这样目标的方案,使组织机构得以全面而系统地规划,并有序而分布地部署IT系统。
IToIP解决方案具备以下关键特性:
· 标准——IToIP理念的实现首先指向IT基础设施的标准化。从技术的发展趋势来看,IP已成为计算机网络的事实标准,IT系统以IP网络为基础设施是一个清晰而不可置疑的发展方向。标准化是其他一切特性的前提。H3C基于IP的全系列数据通信网络产品完全实现了标准化的特性。
· 融合——在标准化实现之后,基于标准的IP基础设施,各种IT资源可以方便地共享和使用,通信、计算、存储、网络等各种技术和应用进一步实现融合。H3C推出的包括统一通信、存储、监控、数据中心、安全等一系列解决方案是实现这一特性的坚实基础。
· 开放——在同构的IT基础设施之上的中间件及开放平台可以提供行业应用定制的接口,实现了应用和基础架构上的分离。H3C OAA(Open Application Architecture,开放应用体系结构)开放合作计划正是为实现这一目标而推出的。
· 智能——应用可以通过开放的接口来动态调用IT资源,最终为用户构建一个标准、兼容、安全、智能和可管理的IT应用环境。基于IP标准对IT基础架构进行整合,通过开放的手段,为各行业构筑灵活、高效、快速、低成本、个性化的IT解决方案,实现智能化的IT系统,这是IToIP持续演进的目标。
1.4 层级化网络模型
现代网络设计普遍采用了层级化网络模型。层级化网络模型将网络划分为三层,在层级化网络模型中,每一层定义了特定而必要的功能,通过各层功能的配合,可以构建一个功能完善的IP网:
·接入层:这一层提供丰富的端口,负责接入工作组用户,使其可以获得网络服务。接入层还可以对用户实施接入控制。
·汇聚层:这一层通过大量的链路接入层设备,将接入层数据汇集起来。同时,这一层依据复杂的策略对数据、信息等实施控制。其典型行为包括路由聚合和访问控制等。
·核心层:这一层是网络的骨干,主要负责对来自汇聚层的数据进行尽可能快速的交换。
1.5 H3C企业网架构
1.5.1 典型企业网结构
典型的企业网由下列部分组成:
·园区网:园区网通常是大型企业网络的核心,每个园区包括若干建筑物。园区网通常采用包括核心层、汇聚层和接入层在内的3层网络结构。园区每一建筑内的网络都包括汇聚层和接入层,在汇聚层采用性能较高的三层交换机实现建筑内的汇聚;在接入层使用楼层交换机连接到桌面计算机。各建筑网络通过高速局域网技术连接到高性能的园区网核心层设备上。园区网之间通过高速城域网或广域网进行连接。
·大型分支机构网:这种机构通常是区域性的行政中心,可能独占一栋大楼或占据大楼中的多个楼层。其自身可能采用2-3层网络结构。其接入层和汇聚层与园区内的建筑网类似。大型分支机构网通常需要使用性能较好、可靠性较高、支撑业务较为丰富的路由器,通过高速专线连接到核心园区网。
·中型分支机构网:多个中型分支机构,可能独占一个楼层或几个办公室。通常采用包括汇聚层和接入层的2层网络结构,使用中低端网络设备,通过专线连接到核心园区网或大型分支机构网。
·小型分支机构网和远程/分布式办公人员:可能是拥有几个人员的一个办公室,或在家中办公的SOHO人员,或出差在外的移动办公人员等。这些人员根据其需求通过拨号、×××等技术连接到园区网或适当的分支机构。小型分支机构可能部署一台路由器和简单的局域网,SOHO和移动办公人员则直接使用其桌面PC或便捷式计算机。
·数据中心:由高性能存储设备和服务器群构成,通常在物理上位于园区网或大型分支机构中,使用高速以太网技术连接到网络骨干。
1.5.2 H3C模块化企业网架构
第2章 远程网络连接需求
各种网络应用的不断出现对网络提出了越来越高的要求。网络不仅应具备基本的连通性,具备足够的性能和安全性,而且必须是智能而优化的,可以适应复杂的需求和状况。
2.2 远程连接需求分类
在构造网络的远程连接部分时,主要的需求如下:
·连通性需求:这是计算机网络的基本功能。要通过计算机网络将分散于各地的机构、人员、设施连接起来,必须根据其使用时间、地点、所需带宽、以及可以承受的费用选择适当的连接方式。远程连接的可靠性相对较低,相对更容易发生故障,因此应该对重要的站点和应用配置冗余连接或备份连接。
·安全性需求:由于远程连接超出组织本身的管理范围,构建在其他组织的网络和设施之上,因此面临着更多的安全风险,例如数据遭到窃听、***者非法拨号接入等。因此网络必须能够确认接入者的身份,防止远程传输的数据被窃听或伪造,对外隐藏网络内部的细节信息,减少系统的漏洞,防范潜在的***风险。
·优化性需求:基于网络的应用日趋多样化,而远程连接的带宽相对较为昂贵,因此更容易发生资源不足的情况。在此种情况下,网络应该有能力辨别出不同的应用类型、用户和数据流,并为提供适当的资源。
2.3 连通性需求
2.4 安全性需求
主要的网络安全性需求包括:
·广域传输安全性:对一般的组织而言,直接从运营商租用的专线和分组交换WAN连接的安全性较高,而公共网络的安全性较低,在基于公共网络构建的×××中传送的数据容易遭到窃听和篡改,因此通常采用IPSec对报文进行完整性检查和加密。
·节点/站点安全性:对外通告内部的明细路由信息或链路状态信息相当于通告了整个网络的结构,这样做的风险比较大。因而在不同组织之间发布路由时,通常会对发布的路由信息加以控制。
一个有效方法是在组织内部使用私有地址,这种地址无法在公共网络上直接路由。使用GRE这样的Site-to-Site ×××技术允许跨越公共网连接使用私有地址的站点。
另一个更安全的方法是在组织内部使用独立的地址空间,这种地址空间可以与外部地址空间重合,因而无法从外部网络直接访问。BGP/MPLS ×××技术允许企业、运营商使用完全重合的地址空间构建×××,获得更高的节点/站点安全性。
·接入安全性:允许移动人员远程接入意味着任何人都可以通过相同的远程访问技术连接到组织的网络,要防止这种非法访问,必须对接入用户的身份进行严格验证,并对其授予适当的访问权限。这通常通过基于RADIUS/TACACS的AAA技术实现。
2.5 优化性需求
与早期仅用于文件和打印共享的局域网不同,当今网络规模不断扩大,其中的应用日益丰富,各种各样的信息共存于同一个网络上。各种信息类型对网络的要求区别显著。常见的信息类型包括:
·网络控制:用于实现和维持网络功能的信息,其种类很多,包括链路协议信息、路由协议信息、ICMP、IGMP、STP、VRRP等等。这类信息重要性很高。
·网络管理:用于对网络的性能、故障等进行管理的协议通信。典型如SNMP消息。
·文件传输:传输量大,占用大量带宽,典型地如FTP和文件共享等。
·网络存储:日常动态的网络存储数据量是突发的,而定期批量备份的数据通常是集中而大量的。
·语音、视频应用数据及相关应用的控制:占用的带宽相对恒定,要求比较稳定的网络服务。类似IP音频/视频电话这样的应用要求比较强的实时性,并且其呼叫控制信息要求很强的实时性和可靠性。
·远程维护和操作:要求进行实时的交互式操作,这类应用要求操作流畅,因此对延迟比较敏感。如Telnet这样的字符交互应用要求的带宽比较低,但使用越来越广泛的图形化远程操作应用对带宽的要求相对较高。
·电子交易和ERP:这类应数据量较小,但对可靠性的要求非常高。
·Internet访问:这类访问主要包括Web访问、下载等。其突发性强,带宽需求不稳定,但通常要求并不严格。
因此,网络必须能够根据对用户的服务承诺,区分其所发送的报文类型,并根据其特点为其提供不同等级、具有不同特点的服务。这要求网络实现QoS(Quality of Service,服务质量)。
QoS是一种对不同的用户、应用类型、数据流提供有差别服务,并可进而保证其获得的网络资源,提供其所需的机制。例如,实现了QoS的网络能够对于实时性要求高的IP电话音频流报文以最快速度转发;对占用带宽较高的远程容灾备份保证其享有的带宽;对普通用户访问外部网站的流量在资源紧缺的部分丢弃,而对网站设计专业人员访问外部网站的流量给以保证等。
第2篇 宽带接入技术
第3章 宽带接入技术概述
随着Internet的快速发展普及,网上话音通信,音视频广播和宽带交互式新媒体的出现和发展对接入网带宽的要求将越来越高,由此带来了宽带接入技术的蓬勃发展。
3.2 企业网的宽带接入技术需求
传统的企业网络经常使用专线技术(如T1和E1等)来连接不同的分支机构。专线技术在实际应用中可以保证较高的安全性,但随之而来的是较为昂贵的线路租用费用和较低的利用率。
随着现代商业模式的发展,企业的SOHO(Small Office&Home Office)用户及移动用户在极大的提高企业运作效率和降低企业运作成本的同时,也迫切需要高速、灵活、便宜的接入技术来访问企业网络。由于大多数企业从业务角度都需要接入Internet,因此让企业的SOHO和移动用户通过Internet以安全×××的方式来访问企业网络成为了目前主流的选择。
3.3 宽带接入技术关键概念
3.3.1 什么是宽带接入
对于电信运营商来说,数据网络的建设分为三层,核心交换网(又称为骨干网)、城域网和接入网:
·核心交换网相当于城市之间的高速公路;
·城域网相当于城市市区内的道路;
·接入网则是将道路从市区一直延伸到小区,直至每个家庭用户或分支办公室。
在传统的PSTN网络概念中,接入即为本地交换机(Local Exchange)与用户之间的连接部分,通常包括用户线传输系统、复用设备、交叉连接设备或用户/网络终端设备。国际电信联盟(ITU-T)第13组于1995年7月通过了关于接入网框架结构方面的新建设G.902,其中对接入网的定义如下:接入网由业务节点接口(SNI)和用户网络接口(UNI)之间的一系列传送实体(如:线路设备和传输设施)组成,为供给电信业务而提供所需传送承载能力的实施系统,可经由管理接口(Q3)配置和管理。
接入网主要解决的是“最后一公里”的接入(First Mile Access)问题。由于骨干网一般采用光纤结构,传输速度快,因此,接入网往往便成为了整个网络系统的瓶颈。而用户对网络带宽的需求可以说是永无止尽的,因此接入网的宽带化成为了必然的发展趋势。
虽然传统以太网技术不属于接入网的范畴。但由于以太网具有巨大的网络基础和长期的经验知识,已经是非常成熟的技术,而且在性价比、可扩展性、可靠性和IP网络的适应性上都很有优势,因此目前运营商在数据网络的建设上,从骨干网到接入网都趋于以太网化。
3.3.2 宽带接入模型和基本概念
在上图所示的宽带接入模型中,主要有三个基本概念:CO、CPN和CPE。
CO(Central Office,局端)主要是指靠近用户网络的局端机房,CO主要提供本地交换和接入设备以实现本地用户线路的接入。
CPN(Customer Premises Network,用户驻地网),从整个电信网的角度讲,可以将全网划分为公用网和CPN两大块,其中CPN属用户所有,主要指由用户设备构成的网络。
CPE(Customer Premise Equipment,用户的设备)一般是指物理上位于用户侧的硬件设备。在宽带接入网络中,我们提到CPE设备时实际上指的主要是CPN的出口设备,比如说宽带路由器、宽带调制解调器、机顶盒和cable modem等。
3.4 主要的宽带接入技术
在现有的宽带接入技术中,常见的传输介质主要包括铜质双绞线、光纤、同轴电缆、无线电波和电力线路等:
·铜质双绞线:在传统的窄带网络中,铜质双绞线(电话线)已经被广泛使用,采用调制解调器接入,通过电话线拨号入网,其速率最高可以达到56kbps,如果采用窄带ISDN技术,两个B信道捆绑使用时可以提供最高速率128kbps的连接。从本质上来说,铜质双绞线(电话线)是窄带网络的主流传输介质,但由于窄带时代铜线的大量铺设,电信运营商也比较倾向于在现有的铜线资源上进行技术改造已进行更高带宽的数据传输,目前主要的技术包括一系列的DSL(Digital Subscriber Line,数字用户线路)技术。在某些用户比较密集的园区或者住宅小区中,采用铜质双绞线(网线,如常用的四对五类双绞线)直接入户的方式直接运行以太网Ethernet也是目前常见的宽带接入方式之一。
·光纤:相对于传统的窄带接入介质,光纤的带宽高、抗干扰能力强、可靠性高、节约管道资源。使用光纤进行宽带接入的成本也在持续降低中。铜是世界性战略资源,以铜缆为基础的传统线路成本会越来越高,而光纤的原材料是二氧化硅,在自然界取之不尽,用之不竭,在使用寿命上也远高于铜线。因此在新铺用户线路或者老电缆替换中,光纤已经成为更合理的选择,特别是在网络的主干段乃至配线段。而且原有的铜线网络有源设备多,电磁干扰难以避免,维护成本越来越高,作为无源传输介质的光纤则可以避免这类问题。
接入网络光纤化的技术一般统称为Fiber-to-the-x(FTTx)。在以光纤为介质的宽带接入应用中,上层应用多为以太网,其中比较典型的应用为基于无源光网络的EPON。
·同轴电缆……
·无线电波……
·电力线路……
不管使用哪种宽带接入技术,在从CO到CPE的运营商网络中(特别是新建的网络),实际上大多数都部分或者全部使用了光纤作为传输介质,即使是在无线宽带接入的应用中,从CO到靠近用户的无线接入点之间往往也会通过光纤进行连接。
接入网络光纤化的技术一般统称为Fiber-to-the-x(FTTx),其作用范围一般从CO到CPE,CO侧的设备为光线路终端(Optical Line Terminal,OLT),用户端设备为光网络单元(Optical Network Unit,ONU)或者光网络终端(Optical Network Terminal,ONT)。
FTTx技术一般根据光纤到用户的距离来分类,如上图所示,可分为FTTH(Fiber To The Home,光纤到户)、FTTB(Fiber To The Building,光纤到大楼)和FTTC(Fiber To The Curb,光纤到路边)三种接入模式。
在FTTC结构中,ONU放置在路边或电线杆的分线盒边。从ONU到各个用户之间一般采用铜质双绞线或者同轴电缆进行连接,这样从ONU到用户家里仍可采用现有的铜缆设施,可以推迟入户的光纤投资。在铜质双绞线或者同轴电缆上可以选择的技术包括DSL、Cable Modem、EoC或直接运行的以太网等。
在FTTB结构中,ONU被直接放到楼内,光纤到大楼可以采用DSL、Cable Modem、EoC或直接运行的以太网等方式接入用户家用。FTTB与FTTC相比,光纤化程度进一步提高,因而更适用于高密度以及需提供窄带和宽带综合业务的用户区。
在FTTH结构中,ONU直接放置于用户的办公室或家中,是真正全透明的光纤网络,它们不受任何传输制式、带宽、波长和传输技术的约束,是光纤接入网络发展的理想模式和长远目标。
第4章 以太网接入
4.2 以太网接入的典型应用
IP技术的发展成熟使得话音、数据、视频和移动等应用的融合成为必然,统一通讯已成为发展的趋势。以IP技术为核心进行网络改造并承载多种新型业务已提升竞争力,是固网运营商的发展方向。
以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟,设备性价比高,对IP的良好支持,成为城域网和接入网的发展趋势。
大型园区的接入是以太网接入的典型应用场景之一。对于用户众多的大型住宅园区,可以采用园区内设置一台园区交换机作为AN。园区交换机下行以百兆或千兆光纤连接所有楼道交换机,楼道交换机再连接到各用户的HG,实现园区网络的汇聚;上行则采用千兆光纤连接到AGG,实现园区网络的高速接入。
在如上图所示的以太网接入应用中,AN可以选用三层交换机或二层交换机进行部署,其区别在于:
·采用三层转发延伸到AN的接入方式时,AN上行通过路由协议实现路由转发,AN下行通过VLAN实现不同用户二层隔离,这样广播域被限制在AN下行的同一业务VLAN内,提高了接入网的带宽利用率。如果二层交换在AGG终结,则广播域的范围扩大到一台AGG设备下的同一业务VLAN。
·在二层交换终结在AGG设备的方案中,一台AGG设备最多可接入用户终端将受限于其自身MAC地址表项数。而如果采用三层到AN的方案,AN对用户进行高密度接入并终结二层转发,从而同一AGG可以接入更多用户终端。
·采用三层到AN的方案时,AN和AGG上无须支持和部署复杂的二层隔离和安全特性,网络改造规模小,有利于采用已有设备采用较低成本的设备进行快速部署。
4.3 PPPoE原理及配置
4.3.1 PPPoE原理
在利用以太网技术进行宽带接入的应用中,如何对用户进行认证、授权和计费也是运营商需要考虑的首要问题之一。在以太网交换机上支持的一些认证手段如802.1X主要基于以太网交换机上的物理端口,而且在部署上需要尽量靠近边缘,甚至需要在运营商管理范围之外的一些接入设备上进行部署,因此在部署和管理上都不太方便,具有一定的局限性。
RFC2516定义的PPPoE(Point-to-Point Protocol over Ethernet)技术可以说很好的解决了以太网接入应用中的用户认证问题。PPPoE协议采用Client/Server方式,它将包含用户认证信息的PPP报文封装在以太网帧之内,在以太网提供点对点的连接的同时,也利用PPP协议的PAP和CHAP认证方式对用户进行认证。
PPPoE Client可以是用户侧的HG设备,也可以是连接到网络的PC。PPPoE Client将以太网帧(携带PPP帧)通过以太网传送到PPPoE Server上以进行PPP认证。在实际应用中,PPPoE server通常是位于骨干网的边缘层宽带接入服务器(Broadband Remote Access Server,简称BRAS)。宽带接入服务器(BRAS)主要完成两方面功能:
·网络承载功能:负责终结用户的PPPoE连接、汇聚用户的流量功能;
·控制实现功能:与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理功能。
PPPoE有两个明显的阶段:Discovery阶段和PPP Session阶段,具体如下:
·Discovery阶段:当一个主机想开始PPPoE进程的时候,它必须先识别接入端的以太网MAC地址,建立PPPoE的SESSION ID。这就是Discovery阶段的目的。
·PPP Session阶段:当PPPoE进入Session阶段后,PPP报文就可以作为PPPoE帧的净荷在以太网帧发到对端,SESSION ID必须是Discory阶段确定的ID,MAC地址必须是对端的MAC地址,PPP报文从Protocol ID开始。在Session阶段,主机或服务器任何一方都可发PADT(PPPoE Active Discovery Terminate)报文通知对方结束本Session。
4.3.2 PPPoE的配置
如果以H3C MSR路由器作为PPPoE Server,相关的配置主要包括:
1) 配置虚拟模版
2) 在以太网接口上启用PPPoE协议
在系统视图下使用interface virtual-template命令可以创建虚拟接口模版并进入虚拟接口模版视图。在虚拟接口模版视图下可以进行如下配置:
· 设置PPP的工作参数(PAP验证):
【接口视图】ppp authentication-mode pap[[call-in] domain isp-name]
· 设置PPP的工作参数(CHAP验证):
【接口视图】ppp authentication-mode chap[[call-in] domain isp-name]
【接口视图】ppp chap user username
· 设置PPP的工作参数(通过使用全局地址池给对端分配地址):首先定义全局IP地址池,然后在接口上使用全局地址池给PPP用户分配IP地址。
【系统视图】ip pool pool-name start-ip-address [end-ip-address] [group group-name]
【接口视图】remote address pool [pool-number]
进入指定的以太网接口视图,使用pppoe-server命令绑定虚拟接口模版在以太网接口上启用PPPoE协议。
如果以H3C MSR路由器作为PPPoE Client,相关的配置主要包括:
1)配置拨号接口
2)配置PPPoE会话
相关的配置命令如下:
·配置Dialer-group Rule:【系统视图】dialer-rule dialer-group {protocol-name {permit | deny} | acl acl-number}
·创建一个Dialer接口:【系统视图】interface dialer number
·配置接口IP地址:【接口视图】ip address { address mask | ppp-negotiate}
如果以H3C MSR路由器作为PPPoE Client,相关的配置主要包括:
1)配置拨号接口
2)配置PPPoE会话
相关的配置命令如下:
·配置Dialer-group Rule:【系统视图】dialer-rule dialer-group {protocol-name {permit | deny} | acl acl-number}
·创建一个Dialer接口:【系统视图】interface dialer number
·配置接口IP地址:【接口视图】ip address { address mask | ppp-negotiate}
·使能共享DDR:【接口视图】dialer bundle enable
·配置接口的Dialer Group:【接口视图】dialer-group group-number
·在以太网接口视图下建立一个PPPoE会话,并且指定该会话所对应的Dialer Bundle,该Dialer bundle的序号number与Dialer接口的编号相同。
【接口视图】pppoe-client dial-bundle-number number [no-hostuniq]
注意:
可在Dialer接口视图下通过配置dialer timer idle idle [in | in-out]命令来设置链路空闲时间,当idle配置为0时,PPPoE会话工作在永久在线模式下,否则工作在按需拨号模式下
在如上图所示的组网中,我们用一台MSR路由器(RTA)来作为PPPoE Server,PPPoE Client则有两个,其中PPPoE Client1也是一台MSR路由器(HG),PPPoE Client2是一台安装了Windows操作系统的PC。PPPoE Server和PPPoE Client都通过以太网接口连接到一台以太网交换机(SWA,模拟以太网接入环境)。
在PPPoE Server上的配置如下:
1)增加一个PPPoE用户:
[RTA]local-user user1 class network
[RTA-luser-user1]password simple pass1
[RTA-luser-user1]service-type ppp
2)配置域用户使用本地认证方案
[RTA]domain system
[RTA-isp-system]authentication ppp local
3)增加一个本地IP地址池(9个IP地址)
[RTA]ip pool 1 1.1.1.2 1.1.1.10
4)配置虚拟模版参数
[RTA]interface virtual-template 1
[RTA-Virtual-Template1]ppp authenticaiton-mode pap domain system
[RTA-Virtual-Template1]remote address pool 1
[RTA-Virtual-Template1]ip address 1.1.1.1 255.0.0.0
5)配置PPPoE参数
[RTA]interface GigabitEthernet0/0
[RTA-GigabitEthernet0/0]pppoe-server bind virtual-template 1
在PPPoE Client1上的配置如下:
1)拨号接口相关配置
[HG]dialer-group 1 rule ip permit
[HG]interface dialer 1
[HG-Dialer1]ip address ppp-negotiate
[HG-Dialer1]dialer bundle enable
[HG-Dialer1]dialer-group 1
[HG-Dialer1]ppp pap local-user user1 password simple pass1
2)配置PPPoE会话
[HG]interface GigabitEthnernet0/0
[HG-Ethernet0/0]pppoe-client dial-bundle-number 1
在PPPoE Clinet2上,利用Windows操作系统自带的工具创建PPPoE连接并输入相应的用户名和密码即可。
4.4 以太网接入的局限
以太网接入的传输距离和使用物理介质有直接的关系,上表列出了基于不同介质的以太网的传输距离数据。从上面的数据可以看出,以太网在高速接入方面的能力毋庸置疑,但维持其高速的传输距离较短。这个问题导致早期的以太网接入只适用于用户相对密集,运营商可以就近部署局端设备的大型园区和住宅小区。
对于一些偏远地区,密集程度较低的用户,如果要应用以太网接入,往往需要使用大量的有源设备进行级联来扩展以太网的传输距离,从而大大增加了网络建设和维护成本。
以太网技术本身并不能解决上述问题,但随着无源光网络技术的发展,特别是在无源光网络上运行以太网的技术出现,以太网的传输距离得到了极大的扩展。
第5章 EPON
以太网(Ethernet)技术经过二十年的发展,以其简便实用,价格低廉的特性,几乎已经完全统治了局域网,并在事实上被证明是承载IP数据包的最佳载体。随着IP业务在城域和干线传输中所占的比例不断攀升,以太网也在通过传输速率、可管理性等方面的改进,逐渐向接入、城域网甚至骨干网上***。
以太网在高速接入方面的能力毋庸置疑,但维持其高速的传输距离较短。本章介绍的PON(Passive Optical Network,无源光网络)技术,特别是EPON(Ethernet over PON)技术,完美的解决了以太网传输距离短的问题,同时能以较少的投入和较高的可靠性来提供千兆级的带宽。
5.2 PON技术简介
PON的系统结构如上图所示,一个典型的PON系统由OLT(Optical Line Terminal,光线路终端)、ONU(Optical Network Unit,光网络单元)、POS(Passive Optical Splitter,无源分光器)三类设备组成。
OLT一般放置在局端CO侧,是整个PON系统的核心设备。OLT通常是一台以太网交换机、路由器或者多媒体转换平台。OLT提供面向无源光纤网络的光纤接口(PON接口)。根据以太网向城域网和广域网发展的趋势,OLT除了提供网络集中和接入的功能外,还可以针对用户的Qos/SLA的不同要求进行带宽分配,网络安全和管理配置。
ONU用于连接用户侧的网络设备(如PC、机顶盒以及交换机等)或与其合为一体,通常放置在用户家里、楼道或者路边,主要的作用是负责用户接入PON网络,实现光信号到电信号的转换。一般提供1Gbps或100Mbps以太接口。
PON是一种典型的点对多点(P2MP)的结构,POS作为一个连接OLT和ONU的无源设备,它的功能是在OLT和ONU间提供光信号传输通道,分发下行数据到各个ONU,并将上行数据集中耦合到一根光纤上。一般一个POS的分光比为8、16、32、64、128,并可以多级连接,可以灵活实现各种组网方式。
OLT和ONU之间的光纤网络通常被称为ODN(Optical Distuibution Network,光分配网络)。
最低0.47元/天 解锁文章
2865
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
