园区宽带接入方案.pdf

智能网关系统解决方案 目录 一、 方案背景 2 二、方案目的 . 2 三、项目实施范围 . 3 四、需求分析 . 3 五、方案介绍 . 3 六、方案内设备选型 . 6 七、设备图片及详细信息 . 7 一、方案背景 本方案针对小区宽带网络运营，提出一套极高性价比的典型案例。目前的小区宽带网络，通 常采用的办法是FTTX 内网环境配合华为的MA5200G 以及 CAMS 平台，实现内网的宽带 认证。主流厂家产品的做法，中心机房的成本价格都将在30 万以上。如何降低成本，但又 要取得与主流厂家一致，甚至超过主流厂家的实用技术，将是运营过程必须面对的一个问题。 二、方案目的 构建一个性价比极高的宽带驻地网，实现高扩展能力，高性安全性，灵活计费，高可靠 性，对用户流量实现负载分担相互备份的能力，及统一管理。 出口实现多ISP 智能选择， 提供 ISP 之间相互备份的能力。同时将限制运营区域内所有用户共享上网，严厉打击非 法小网络，极大提升运营收益。 三、项目实施范围 园区网出口设备，原有的网络设备及出口方式可作为本网络的备份方式。 四、需求分析 技术需求 a)实现全网的PPPOE 认证能力，及internet 访问能力。 b)实现每用户限速，访问内网服务器不限速。 c)实现基于VLAN的 PPPOE 接入，用户帐户捆绑接入的VLANID以及接入的 MAC 地址，从而保护用户帐户安全。 d)整网出口支持多ISP 接入，实现智能选择ISP 出口。 e)BRAS 与出口防火墙形成一个互备的网络，可应急使用原有网络成为备份方式。 f)消除 ARP 病毒、人为恶意的ARP 欺骗攻击问题。 g)针对应用层内容进行限制，如访问某些特定网站，特定应用比如是否允许使用 QQ， MSN 等软件。 h)对 BT 下载进行限速，或直接屏蔽BT 下载。 i)实现 2000 用户同时接入的扩容能力。 j)禁止园区内用户私接宽带共享上网。 五、方案介绍 网络拓扑结构 本网络将采用全1000mbps 链路组成，出口采用多ISP 接入，出口处2 台接入设备可形成负 载分担及冗余备份的能力。所有业务将直接连接至核心交换机，由核心交换机选择将流量送 至防火墙或BRAS 。同时规划中使用了DMZ 区域， DMZ 区域中将放置DUDE 网管服务器， RADIUS 计费服务器， FTP 文件服务器及WEB 服务器。此DMZ 区域为网络安全设计，可 通过控制防火墙以及BRAS 设备实现全网对服务器的访问限制。出口处的交换机用于连接 多 ISP，BRAS 设备将智能选择用户的访问流量，按需求选择ISP。小区内用户流量将使用 VLAN 进行隔离，确保各小区内部网络安全，使用PPPOE 的流量将穿越核心交换机直接与 BRAS 设备进行逻辑上的互联。办公用户的流量将实有原有的802.1X 认证方式，由原有的 H3C 防火墙接入至internet,逻辑上将与家属区用户实现分流。全网 PPPOE用户都将免疫ARP 病毒。 1） 网络可靠性介绍 a)双出口设备将进行VRRP 的负载分担设计，实现网络的冗余备份，如果防火 墙出现问题， 则所有办公用户的流量将自动换至BRAS 设备出口。 同理 BRAS 设备出现问题，全网园区用户流量将自动切换至防火墙设备出口。 b)BRAS 设备将为所有PPPOE 用户智能选择ISP 出口，同时提供备份能力，如 果网通 ISP 出口损坏，则PPPOE 用户流量将选择电信出口，反之同理。 2） 网络安全介绍 a)全网使用PPPOE 进行宽带接入认证，可完全免疫ARP 病毒， 同时可对用户进 行宽带计费服务。 b)计费服务器将放置于DMZ 区域，所有用户无法直接访问计费服务器，管理员 可使用 VPN 接入 BRAS ，之后可访问计费服务器。 c)全网交换机进行服务器MAC 地址与接口捆绑，防范来自内网的MAC 地址攻 击。该攻击主要针对交换机的MAC 地址表。 是一种非常特殊的攻击方式,可瘫 痪整个交换网络。 （非 ARP 攻击） d)全网用户帐户将与用户主机的MAC 地址直接捆绑（自动捆绑），以及BRAS 的接入服务名捆绑，实现帐户安全。管理员可对用户进行解除捆绑的操作。 e)全网可网管交换机开启环路自检，如发现网络环路将自动关闭环路接口。 f)全网 BRAS 设备可实现2 级代理限制功能，即用户无法在下级接入层使用路 由器进行带宽滥用或共享上网。 3） 网络管理及监控介绍 a)使用 DUDE 管理系统进行全网设备的SNMP 监控，可实时监视网络链路的流 量变化， 并且进行统计。 使用基于网络拓扑结构对网络进行实时管理，对网络 日志进行统一收集存放。 b) c)全网服务器设备采用VNC 进行远程控制，实现无论在何处只要能上网就能管 理服务器。同时利用VPN 做远程接入，确保安全性。 4） 网络 QOS 限速介绍 a)使用 BRAS 基于 PPPOE会话对用户进行限速，该功能也可以在认证系统内实 施统一分配用户带宽，及IP 地址。基于 PPPOE 会话的带宽限制，与网络层简 单的 QOS 限速相比，更为精确。 b)同时可按用户要求，在访问服务器组如电影服务器，不进行限速。 也可以对用 户的 BT 下载以及一些应用层非法内容进行深度匹配，进而净化网络带宽。 六、方案内设备选型 注意：报价为非含税价格，含税价格硬件设备提高17%（增值税），技术服务提高7.3%，普 通发票 6% 设备类型设备型号单价设备数量备注 BRAS 硬件平台 (推荐 ) 1.5U 机型，多核平台，带LCD 显 示。 3 网口全1000mbps 接口1 网口 100Mbps 并发 PPPOE 会话数 15002000 个 NAT 会话数目30W50W 条 精细化流量控制，PPPOE 认证。 8500 元 1 台 硬件整机保修3 年 交换机（推荐）H3C- S5100-24P-SI用于 DMZ 接入服务器 以及 internet 出口 2 台该 交 换 机 仅 为 推荐，可自行准 备其他交换机 艾博力技术服务 企业接入网解决方 案 （含认证计费平 台） 提供本次方案的整体实施、网络规 划、网络优化， 实施内容一年技术 维保。 （不含设备硬件更换） 10000 元1 套 小计18500 元 七、设备图片及详细信息 S5100-24P-SI/S5100-24P-EI S5100-48P-SI/S5100-48P-EI BRAS 设备