园区宽带接入方案.doc

艾博力专业网络技术团队宽带接入网络设计方案智能网关系统解决方案目录一、方案背景2二、方案目的2三、项目实施范围2四、需求分析2五、方案介绍3六、方案内设备选型6七、设备图片及详细信息7一、 方案背景本方案针对小区宽带网络运营，提出一套极高性价比的典型案例。目前的小区宽带网络，通常采用的办法是FTTX内网环境配合华为的MA5200G以及CAMS平台，实现内网的宽带认证。主流厂家产品的做法，中心机房的成本价格都将在30万以上。如何降低成本，但又要取得与主流厂家一致，甚至超过主流厂家的实用技术，将是运营过程必须面对的一个问题。二、方案目的构建一个性价比极高的宽带驻地网，实现高扩展能力，高性安全性，灵活计费，高可靠性，对用户流量实现负载分担相互备份的能力，及统一管理。出口实现多ISP智能选择，提供ISP之间相互备份的能力。同时将限制运营区域内所有用户共享上网，严厉打击非法小网络，极大提升运营收益。三、项目实施范围园区网出口设备，原有的网络设备及出口方式可作为本网络的备份方式。四、需求分析 技术需求a) 实现全网的PPPOE认证能力，及internet访问能力。b) 实现每用户限速，访问内网服务器不限速。c) 实现基于VLAN的PPPOE接入，用户帐户捆绑接入的VLANID以及接入的MAC地址，从而保护用户帐户安全。d) 整网出口支持多ISP接入，实现智能选择ISP出口。e) BRAS与出口防火墙形成一个互备的网络，可应急使用原有网络成为备份方式。f) 消除ARP病毒、人为恶意的ARP欺骗攻击问题。g) 针对应用层内容进行限制，如访问某些特定网站，特定应用比如是否允许使用QQ，MSN等软件。h) 对BT下载进行限速，或直接屏蔽BT下载。i) 实现2000用户同时接入的扩容能力。j) 禁止园区内用户私接宽带共享上网。五、方案介绍网络拓扑结构本网络将采用全1000mbps链路组成，出口采用多ISP接入，出口处2台接入设备可形成负载分担及冗余备份的能力。所有业务将直接连接至核心交换机，由核心交换机选择将流量送至防火墙或BRAS。同时规划中使用了DMZ区域，DMZ区域中将放置DUDE网管服务器，RADIUS计费服务器，FTP文件服务器及WEB服务器。此DMZ区域为网络安全设计，可通过控制防火墙以及BRAS设备实现全网对服务器的访问限制。出口处的交换机用于连接多ISP，BRAS设备将智能选择用户的访问流量，按需求选择ISP。小区内用户流量将使用VLAN进行隔离，确保各小区内部网络安全，使用PPPOE的流量将穿越核心交换机直接与BRAS设备进行逻辑上的互联。办公用户的流量将实有原有的802.1X认证方式，由原有的H3C防火墙接入至internet,逻辑上将与家属区用户实现分流。全网PPPOE用户都将免疫ARP病毒。1） 网络可靠性介绍a) 双出口设备将进行VRRP的负载分担设计，实现网络的冗余备份，如果防火墙出现问题，则所有办公用户的流量将自动换至BRAS设备出口。同理BRAS设备出现问题，全网园区用户流量将自动切换至防火墙设备出口。b) BRAS设备将为所有PPPOE用户智能选择ISP出口，同时提供备份能力，如果网通ISP出口损坏，则PPPOE用户流量将选择电信出口，反之同理。2） 网络安全介绍a) 全网使用PPPOE进行宽带接入认证，可完全免疫ARP病毒，同时可对用户进行宽带计费服务。b) 计费服务器将放置于DMZ区域，所有用户无法直接访问计费服务器，管理员可使用VPN接入BRAS，之后可访问计费服务器。c) 全网交换机进行服务器MAC地址与接口捆绑，防范来自内网的MAC地址攻击。该攻击主要针对交换机的MAC地址表。是一种非常特殊的攻击方式,可瘫痪整个交换网络。（非ARP攻击）d) 全网用户帐户将与用户主机的MAC地址直接捆绑（自动捆绑），以及BRAS的接入服务名捆绑，实现帐户安全。管理员可对用户进行解除捆绑的操作。e) 全网可网管交换机开启环路自检，如发现网络环路将自动关闭环路接口。f) 全网BRAS设备可实现2级代理限制功能，即用户无法在下级接入层使用路由器进行带宽滥用或共享上网。3） 网络管理及监控介绍a) 使用DUDE管理系统进行全网设备的SNMP监控，可实时监视网络链路的流量变化，并且进行统计。使用基于网络拓扑结构对网络进行实时管理，对网络日志进行统一收集存放。b)c) 全网服务器设备采用VNC进行远程控制，实现无论在何处只要能上网就能管理服务器。同时利用VPN做远程接入，确保安全性。4） 网络QOS限速介绍a) 使用BRAS基于PPPOE会话对用户进行限速，该功能也可以在认证系统内实施统一分配用户带宽，及IP地址。基于PPPOE会话的带宽限制，与网络层简单的QOS限速相比，更为精确。b) 同时可按用户要求，在访问服务器组如电影服务器，不进行限速。也可以对用户的BT下载以及一些应用层非法内容进行深度匹配，进而净化网络带宽。六、方案内设备选型注意：报价为非含税价格，含税价格硬件设备提高17%（增值税），技术服务提高7.3%，普通发票6%设备类型设备型号单价设备数量备注BRAS硬件平台(推荐)1.5U机型，多核平台，带LCD显示。3网口全1000mbps接口1网口100Mbps并发PPPOE会话数15002000个NAT会话数目30W50W条精细化流量控制，PPPOE认证。8500元1台硬件整机保修3年交换机 （推荐）H3C- S5100-24P-SI用于DMZ接入服务器以及internet出口2台该交换机仅为推荐，可自行准备其他交换机艾博力技术服务企业接入网解决方案 （含认证计费平台）提供本次方