宽带连接世界,信息改变未来安朗社区网宽带认证计费管理系统技术方案书广州安朗通信科技有限公司GuangZhouAMNOONCommunicationTech.Co.,Ltd目录一、前言(1二、需求分析(22.1社区网面临问题(2三、网络方案设计(33.1设计原则(33.2方案设计(5四、成功解决方案案例(74.1成功案例:镇海炼化(74.2成功案例:益阳电力局(104.3成功案例:湖南移动锦程苑(12一、前言随着Internet技术的迅猛发展和个人电脑设备的普及,社区的用户对宽带上网提出了强烈的需求。
大型社区作为一个独立经营的实体,在社区内部如果能够提供快速、方便的宽带上网业务,不但可以创造良好的经济效益,而且可以为社区内部用户提供多样化的信息服务。
作为专业的宽带网络设备供应商和宽带接入解决方案的提供者,安朗公司立足国内网络建设的实际情况,采用“分布接入、集中管理”网络建设思路,能够根据网络规模、用户数量的增长平滑进行网络扩容,保护已有的建设投资。
以用户管理为核心,使网络接入和用户管理相对分离,建设统一、高效的用户管理平台。
为了达到“可管理”的基本要求,安朗公司的BRAS产品支持SNMP,Telnet,Acl、带宽控制、内容计费等多种技术手段,而社区网计费管理系统提供用户管理、设备管理、日志管理、帐务管理、数据库管理等多样化的管理功能。
安朗公司的将网络设备的管理和业务开展的流程构建在统一平台之上,能够高效、可靠的满足社区用户的需求。
为了能够在现有各种宽带接入网络上为用户提供统一、灵活、规范的宽带社区平台,社区网络中心需要对各种宽带接入技术进行严格的认证、选择,为建立“可管理”的网络打好基础。
在当前宽带技术的发展领域中,PPPoE、WEB、Client认证作为主流的宽带接入技术受到了快速的发展。
目前,安朗公司的ABMS系统已经和国内外13家著名的802.1X交换机生产厂家的设备进行了成功的对接,包括Cisco,Extreme,Netgear,D-Link,TP-Link、华为、神州数码、星网锐捷等。
通过和合作伙伴的共同努力,安朗的ABMS已经被全国各地的电信运营商、广电系统运营商、大型企业、公共事业单位等单位广泛使用。
社区网internet出口带宽有限,是社区网络最为稀缺的资源。
若干用户无限制的使用出口带宽或者使用P2P工具进行下载,首先造成出口拥塞,出口的拥塞接着造成更多用户加入带宽的争抢,致使出口更加拥塞,这必将导致通信掉包严重,大量出现重复发送数据包,进一步拥塞整个网络,其最终结果就是整个网络出现拥塞,所有用户不能正常上网,严重影响用户的正常上网。
网络的安全时刻受到威胁,网络需要安全控制。
考虑到以太网技术的经济性和实用性,以及社区网用户集中的特点,以太网技术在社区网络接入层被普遍采用。
以太网技术最初是为社区内部组网使用的技术,其管理能力较弱,用户对各种网络技术的掌握程度较高,管理问题尤其突出,同时,计算机蠕虫、病毒泛滥、盗版资源泛滥、网络不良行为突发性高。
用户网络行为不规范,无法控制,无法进行有效的记录。
肆意修改IP地址,修改MAC地址,用户名和密码的丢失,合法网络用户无法登陆网络,网络管理者如何解决谁在访问非法网站谁在恶意占用带宽社区的特殊性使社区网的管理者必须对于网络上各种不规范行为进行足够的重视。
在最初的社区网络中,社区网络只是一个提供上网的工具,对用户的行为无法进行控制,也无法对网络进行有效运营和管理。
为了满足用户的Internet接入服务需求,社区网还必须承担一个运营网络的角色。
如何为这些用户提供好的服务,同时,又方便运营人员对服务的支撑,这就需要为社区网提供简单、实用、易操作、易维护、计费数据清晰准确的认证计费管理系统。
以前采用的认证计费管理系统问题多多或对选型一筹莫展。
以前可能由于采用的一些厂家的计费系统效率低,功能差,随着网络的发展成为了网络瓶颈;也可能采用了不同厂家的接入设备或802.1X交换机做计费用,而导致相互之间不能共用一套计费后台;也可能随着网络的发展,以前的系统功能已经无法满足现在的需要;也可能您目前正徘徊在各个厂家的产品选型和对比当中。
IP地址管理的问题由于在数据通信网络中,IP地址是网络设备通信的标识,只有合法使用IP地址才可以保证网络业务的正常进行。
但是由于网络设备的多样化,用户可能出于某种原因有意或者无意配置自己的IP地址,有可能导致网络业务的瘫痪。
因此,必须重视网络设备的IP地址管理问题。
三、网络方案设计3.1设计原则安朗公司的社区宽带运营解决方案立足目前国内宽带网络建设的实际情况,采用“分布接入、集中管理”网络建设思路,能够根据网络规模、用户数量的增长平滑进行网络扩容,保护已有的建设投资。
安朗社区宽带运营解决方案的特点如下:安全性、可靠性安全性、可靠性是网络设备必须具备的基础条件,安朗公司的AMBRAS系列产品是面向电信级运营商设计的网络产品。
安朗公司深刻理解社区对安全和可靠性的高度重视,AMBRAS系列产品采用了优化的TCP/IP协议栈、增强的PPPoE协议栈、报文过滤、多级管理权限控制、IP和MAC绑定等多项安全措施,确保系统在复杂网络唤醒下的防攻击、防病毒扩散功能;安朗社区计费管理系统同样进行了安全方面的设计,采用了SUN公司的安全操作系统Solaris和成熟的Linux操作系统结合和大型数据库Oracle、Postgre进行设计,提供系统负荷分担、数据自动备份、安全检测等机制确保后台系统的可靠运行。
扩展性、开放性安朗公司根据中国宽带网络建设的实际结合现代数据通信领域的最新技术,向运营商提供标准、可持续发展的宽带接入产品。
安朗公司的宽带接入产品遵循IEEE、IETF、信产部、各大电信运营商的制定的标准、规范进行设计,确保了网络运行产品的兼容性、标准型,并且能够根据网络协议的发展进行升级、扩展的能力。
实用性、灵活性宽带接入网络的发展具有很大的非均衡性,宽带用户发展具有极大的差异,社区宽带运营应该根据网络建设的实际情况,进行合理的网络规划,采取循序渐进的科学发展观进行网络建设。
安朗公司的AMBRAS系列产品定位在小区或者办公楼的出口,支持的并发用户数在200~32000用户,社区可以根据宽带接入用户的发展情况采用合适的设备进行组网。
AMBRAS可以提供丰富的以太网接口,能够满足现有网络运营中灵活的组网需求。
可管理性、可运营性安朗公司的宽带接入解决方案以用户管理为核心,使网络接入和用户管理相对分离,建设统一、高效的用户管理平台。
为了达到“可管理、可运营”的基本要求,安朗公司的AM-BRAS产品支持SNMP,Telnet,ACL、带宽控制、内容计费等多种技术手段,社区网计费管理系统提供用户管理、设备管理、日志管理、帐务管理、数据库管理等多样化的管理功能。
安朗公司的将网络设备的管理和业务开展的流程构建在统一平台之上,能够高效、可靠的满足用户的运营需求。
把BRAS设备放在核心交换机和防火墙之间,认证计费系统接在核心上,保证网络的通畅,用户可以采用客户端、WEB等接入方式,由于BRAS放在三层设备之上,理论上是不能采用PPPoE拨号接入的。
出于以上特点的考虑,我们提出了“分不接入、集中管理”的方案,把BRAS设备放在三层以下,认证计费系统发在三层上,保证网络的通畅。
这样可以有效的分担BRAS设备的压力,提供更高的可靠性,如网络发生故障,只是一部分人受到影响,缩小排查范围,将损失降到最低。
由于BRAS设备放在三层以下,所以客户端、WEB、PPPoE都是可行的。
安朗社区宽带运营解决方案采用的是分布接入,集中计费认证的方案。
在个汇聚节点机房增加接入服务器,可同时采用WEB认证,客户端认证或PPPOE接入。
其中PPPOE方式不能跨三层设备,接入设备的同一个端口可以同时支持WEB认证和客户端认证两种方式。
在整个社区网络的核心机房增加认证计费服务器,可采用双机热备以保证数据的安全性。
随着用户数增长,只需要增加接入设备即可。
增加的AMLog日志记录服务器,是监控用户上网行为的。
安朗日志记录系统采用旁路监控的形式,捕获所有用户上网的数据,处理后存储在服务器内,并每日定时转储到客户机的海量存储介质上,以满足公安部门信息查询要求。
四、成功解决方案案例安朗社区网认证计费系统是安朗公司专门针对社区定制的全套解决系统,具备良好的兼容性,可以适用在不同环境的网络中。
4.1成功案例:镇海炼化通过充分沟通,我们了解到镇海炼化已经在2001年就建立了一个基于IP技术的社区专网,通过FTTB+LAN方式向用户提供接入服务,该网络的用户目前主要包括办公网用户和员工宿舍两种类型。
IP地址分配采用了DHCP协议进行动态分配,所有用户采用公网IP地址进行规划,高峰期间上网用户有4000左右并发,但没有建立起有效的管理手段。
在几年的网络维护过程中,网络维护人员遇到了不少的的麻烦:◆内网机器病毒泛滥,无法进行有效的控制。
虽然镇海炼化网络中心在网络设计中,已经通过防火墙、核心交换机、接入层交换机等采取了一定的手段,对部分病毒进行控制,但总的效果不是很好,特别是今年来ARP木马病毒的出现是LAN网络的维护工作量成倍增长。
虽然有专门针对该病毒的杀毒软件,但受用户使用观念和计算机知识的限制,病毒问题依然很猖獗,因此镇海炼化需要通过一套完整的解决方案对网络病毒进行控制,避免LAN网络的病毒威胁整个网络的使用。
◆用户使用带宽必须进行有效管理,避免部分用户使用P2P软件对网络出口带宽进行大量占用,同时可以禁用或者限制P2P软件的带宽、使用进程,使有限的带宽资源服务于社区生产。
◆能够实现安全管理,对用户使用计算机的IP、MAC等进行绑定,防止部分用户非法使用网络资源,同时对所有用户上网情况进行跟踪记录,以满足公安机关对上网日志查询的要求。
◆满足部分用户运营需要,因为家属区用户的上网必须交纳一定的费用,并需要提供上网清单、费用明细、密码修改等要求,同时网络中心也需要一套管理系统进行用户开户、策略定制、报表统计、设备管理等功能,因此有必要建立一套宽带网络管理系统,同时满足用户和网络中心管理需要。
网络拓扑图:在原网络环境下,安朗网络在镇海炼化的网络运营中解决方法如下:方案说明:●增加6台安朗BRAS设备,其中5台作为PPPoE接入设备,完成用户PPPoE接入,另外一台作为Web设备提供PPPoE客户端下载的页面和通知信息,等用户从原有LAN方式转变为PPPoE接入后从网络中撤出,作为备用设备进行使用。
●增加安朗AAA系统,所有用户集中进行管理,由AAA系统进行开户、缴费、控制等;●增加日志管理系统软件,和PPPoEBRAS设备配合进行用户上网信息的采集和记录,满足公安部门的对用户上网行为的调查需要。
●本方案建议采用两套地址方案,使原网络中规划的DHCP地址分配转移到安朗BRAS(PPPoE中(即启用安朗设备的为PPPoE拨号用户为用户进行地址分配,另外规划一套IP地址方案(由Web设备启用DHCP功能,可以使用10网段地址,以满足过渡期为用户提供客户端下载页面的需要。
这种方式主要考虑满足过渡时期用户既能够推认证页面,又能够进行PPPoE拨号的需要。
●取消汇聚层交换机的三层交换机功能,全部作为二层汇聚交换机使用,通过合理划分VLAN或者配置trunk,使安朗的BRAS设备和用户配置在一个trunk组或者VLAN中;保留原先网管地址和VLAN,使原先的网管系统能够保持此前的功能。
●日志信息的采集:可以利用网线在BRAS富裕端口和日志服务器进行连接,接收日志信息,日志服务器要安装双网卡,以便管理员进行远程访问。
4.2成功案例:益阳电力局通过充分沟通,我们了解到湖南益阳电力局社区网是一个新建基于IP技术的社区局域网,通过FTTB+LAN方式向社区用户提供接入服务。
下面根据益阳电力局的实际情况和众多运营商网络的实际运营情况,总结了如下需求并做出需求解决的方法。
针对湖南益阳电力局社区网络建设需求,安朗公司的ABMS(通用认证计费管理系统是一套非常合适的解决方案。
作为新一代的宽带运营支撑系统(BOSS,ABMS系统是一个电信级的、模块化、可伸缩的系统,它集用户管理、实时计费、业务管理、帐务管理、报表管理、系统管理等功能于一体,支持RADIUS标准协议和多种接入方式(PPPOE、Web认证、私有客户端、802.1X;支持对Ethernet、HFC、XDSL、ISDN以及专线等接入网的管理;提供与第三方应用系统的接口;丰富的统计和数据挖掘功能为运营商提供网络运营的决策支持;通过Web-BRASed界面向系统管理员和最终用户提供客户服务和自服务功能,提高用户满意度和运营商社区形象,并降低系统维护费用。
安朗解决方案的拓扑结构说明:方案说明:●采用树形网络结构,核心机房部署出口链路、防火墙、安朗宽带接入服务器、认证计费管理服务器、日志记录分析服务器和核心交换机设备。
便于管理网络核心重要设备。
根据用户多少的分布,在多个楼栋部署一台汇聚交换机设备,多个接入楼层交换机汇聚在一台汇聚层交换机。
●在防火墙和核心交换机之间部署1台安朗2104U512并发宽带接入服务器作为PPPoE接入设备,完成用户PPPoE接入。
●增加安朗ABMS认证计费管理系统软件,对所有用户集中进行管理,完成用户的开户、计费、缴费和接入控制等;●增加日志管理系统软件,和安朗2104UBRAS设备配合进行用户上网信息的采集和记录,满足公安部门的对用户上网行为的调查需要。
●出口采用防火墙设备,采用光口或者光电转换器和城域网互联,防火墙支持策略路由,满足将来多链路出口的实施负载均衡。
●交换机配置要求,通过合理规划VLAN或者配置trunk,细分用户VLAN,最大程度减少用户间的影响,增加安全性。
优点:●层次分明,便于系统管理和排除链路故障。
●随着用户的增长,系统支持平滑过渡升级,同时支持系统分布式接入和集中式认证计费管理,保护用户历史投资。
4.3成功案例:湖南移动锦程苑通过充分沟通,我们了解到移动湖南分公司社区网是一个新建基于IP技术LAN方式的社区局域网,下面根据移动湖南分公司锦程苑社区的实际情况和众多运营商网络的实际运营情况,总结了如下需求并做出需求解决的方法。
◆社区用户500多户,高峰期间上网用户有300多左右并发,设备老化,用户上网速度很慢。
随着用户的增加,网络业务类型的日益丰富,目前正在使用的设备华为5200设备经常出现延时增加和丢包,导致用户上网很慢,意见很大。
同时华为5200设备已停产,后续服务无法得到保障。
安腾公司eFlow系列宽带接入服务器具有百兆和千兆两个系列产品,标准2U尺寸,电信级的专业硬件产品,Vxworks专业网络产品操作系统,系统高性能、高可靠性和高可用性。
安腾公司产品具有7年的现场应用,并具有自主研发功能和拥有全部知识产权。
千兆设备产品具有1024、2048、4096和8192并发四个档次,用户可以根据网络的实际情况来采购,随着将来用户增加,不更换硬件平滑升级,且支持分布式接入,集成RadiusClient功能,标准Radius协议,支持认证计费,有效地保护用户历史投资。
◆内网机器病毒,无法进行有效的控制。
近几年来ARP木马病毒的出现使LAN网络的维护工作量成倍增长。
虽然有专门针对该病毒的杀毒软件,但受用户使用观念和计算机知识的限制,病毒问题依然很猖獗。
目前的以太网交换机还没有找到一个有效的解决ARP攻击的技术手段。
◆用户使用带宽必须进行有效管理。
网络带宽是一种有限资源,但今年来P2P软件的快速普及,网络出口带宽几乎被多半被消耗在P2P软件的流量,虽然目前很多国外公司纷纷推出了流量整形设备以应对这种威胁,但其昂贵的价格和单一功能使很多社区的望而却步。
安腾公司也提出了自己的解决方案:针对用户IP的带宽控制,安腾公司的BRAS设备能够对每个认证用户的IP进行带宽控制,包括单独限制上、下行带宽,带宽控制粒度为32kbps,管理员可以根据每个用户的情况设置不同的带宽。
◆能够实现安全管理在社区办公用户和家属区用户都必须进行有效控制,如何才能实现有效安全控制,安腾的解决方案中提出了用户绑定、代理控制、ACL过滤、telnet限制等多样化的解决措施。
MAC和IP地址绑定,能够实现用户IP地址的DHCP固定分配,便于用户的管理和控制。
ACL过滤:安腾公司的解决方案提供了源IP、源端口、协议、目的端口、目的IP、物理端口、报文流量等要素组合的ACL过滤规则,用户可以灵活根据自己的需要进行各种设置,对常见的135,139,445等安全漏洞进行控制,防止内网病毒进行传播。
满足运营管理的需要,B/S架构的用户管理界面社区网络用户为家属区用户,对家属区用户需要进行必要的控制和管理,实时掌握在线用户信息、统计网络平均带宽、网络峰值流量,方便用户对内部网络运行情况有详细的统计记录。
针对移动湖南分公司社区网络建设需求,安朗公司的ABMS(通用认证计费管理系统)是一套非常合适的解决方案。
作为新一代的宽带运营支撑系统(BOSS),ABMS系统是电信级的、模块化、可伸缩的系统,对用户进行控制和管理,同时还融合了实时计费、支持RADIUS标准协议和多种接入方式;满足未来对用户进行认证计费和管理的功能。
安腾eFlowBRAS宽带接入服务器(BRAS):提供用户接入、带宽管理、ARP控制管理,P2P控制、运维管理和RadiusClient等接入控制功能。
安腾解决方案的拓扑结构说明:方案说明:更换华为5200宽带接入服务器为安朗AM-BRAS2204高性能高并发接入服务器,部署位置不变,仍然放置在防火墙和核心交换机之间。
安朗宽带接入服务器启动DHCP服务器功能,对用户分配IP地址,并根据需要可以对一些重要机器进行分配固定地址。
安朗宽带接入服务器开启Trunk功能,进行VLAN的终结。
安朗宽带接入服务器开启带宽控制功能,ARP防控功能,限制或者控制等功能。
BT通过安朗宽带接入服务器管理页面实时查看用户上网带宽和流量等信息。
交换机配置建议,通过合理规划VLAN或者配置trunk,细分用户VLAN,最大程度减少用户间的影响,增加安全性。