新型智能小区宽带接入网络典型设计_小区宽带接入网设计

2020-02-29 其他范文下载本文

新型智能小区宽带接入网络典型设计由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“小区宽带接入网设计”。

网络方案需求性分析

对于传统企业网络来说，网络的安全性更侧重于外网安全问题，网络整体一致对外，安装一个功能强大的防火墙来防止外界对网络内部的攻击。对于整个企业网络来说，外界的攻击将是网络体系的最大威胁。基于对社区网络内网安全性的特殊需求性，我们推荐采用一种全新的网络应用模式，从硬件体系，网络物理平台上就要保证社区每一个用户的绝对个体私密性，即保证每一个小区用户具有自己安全的网络机制。

一、信息化小区宽带接入系统安全问题分析

社区网络与传统企业网络在安全机制要求方面有很大区别。

1.传统企业网安全解决模式

对于传统企业网络来说，网络的安全性更侧重于外网安全问题，网络整体一致对外，安装一个功能强大的防火墙来防止外界对网络内部的攻击。网络模式如图。对于整个企业网络来说，外界的攻击将是网络体系的最大威胁。

然而，社区网络对于安全机制要求将更加全面。社区网络的对象将会把社会上的千家万户连接到一起。传统企业网所面对的社会上或者是外界公网里的黑客、骇客等网络危险分子，将成为社区网络里的用户，社区网络系统的内部成员。也就是说，社区网络的建设，将把各形各色的社会用户、网络爱好者连接在自己内部网络中，这样，社区网络所面对的安全威胁将不仅仅是外网系统的威胁，更大的隐患将是来自内部系统的直接攻击。

举例来说，如果按照传统企业网络模式来建设社区网络结构的话，我们可以描述结构如下图：

按照传统连接模式，用户B、C有可能处于同一个广播域中，甚至用户A、B、C、D都处于同一VLAN中，A、B、C、D等用户将处于同一个广播域中。这样用户B可以很方便地探测到用户C或者其它用户的网络IP地址，使用社会或者网上很多的公开的黑客软件便可以做到这一点。如果该用户具有一些很浅显的网络知识或者能熟悉地应用这些黑客软件，那么用户B就可以很容易地对用户C或者其它用户进行攻击，如使用IPCrack、Win95/98Nuke核武器、死亡之Ping、特略依木马等等等等许多黑客软件进行攻击，或者使用一些网络侦听软件进行网络探测、监听，结果造成用户C及其他用户系统崩溃、私人信息丢失，甚至丢失、泄密自己的私人信用卡等重要信息密码，造成可怕的后果。

可见，采用传统企业网模式来建筑社区网络，对于网络内部体系安全没有得到真正保护，将给社区用户带来网络安全隐患，甚至给小区开发运营商带来不必要的因内网泄密问题带来的法律纠纷。

2.新型社区宽带接入网理想的安全模式

基于对社区网络内网安全性的特殊需求性，我们推荐采用一种全新的网络应用模式，从硬件体系，网络物理平台上就要保证社区每一个用户的绝对个体私密性，即保证每一个小区用户具有自己安全的网络机制。拓扑示意如图：

基于这一特殊需求和解决方案原理，3COM公司推出新一代适合社区网络建设的交换机VCNSwitch。

二、汇聚交换机、接入交换机选型原则及依据

考虑到应用于社区网络，所以在权衡安全性和灵活性的基础上我们推荐使用VCN交换机。

因为对于社区网络，在社区中的各个用户都需要通过边缘层交换机来完成所需的应用服务，那么，对于传统交换机由于所有的用户都在同一个广播域中所以任何一个用户都可以在该广播域中利用这一特点帧听其他用户的数据，这样用户的通信安全就会受到威胁。

在今天，电子商务和网上交易正在逐渐的得到大范围的推广，越来越多的人开始认可这种便捷的商品和货币的流通方式，所以用户数据的安全性就变得更加重要。

1.传统交换机数据转发机制及安全实现模式

传统交换机的广播机制使得在社区内用户的数据安全性变得更为脆弱，为了弥补机制的缺陷使用传统交换机的社区网不得不通过在用户端进行繁琐的安全设置并且通过在交换机上通过划分VLAN来隔离各个互不信任的用户区域,但是使用VLAN将会带来以下几种副面影响：

1)．由于传统交换机的VLAN功能是基于软件来实现的，所以大量的VLAN设置将会增加用户数据的负荷，由于每一个数据帧在进出交换机的时候都要经过交换机引擎的处理，从而导致交换机性能的急剧下降和网络带宽的开销增加。

2)．由于大量的VLAN设置工作要做，所以给社区网络管理人员带了了大量的维护和设置的工作。

3)．随着社区用户的急剧增加，社区网络的VLAN需求也将大量的增加，由于VLAN标记自身结构的限制不可能超过4095个，所以仅就VLAN数目来说传统的交换机是不可能支持这种规模的VLAN的。

设想一下，如果社区中每个用户都需要相互隔离的话那么将需要划分上千个VLAN。在这种情况下，当整个网络处在使用的高峰期时，交换机将很可能因为大量的加上了VLAN标记的用户数据处理而无法正常工作，整个网络也会因为出现拥塞而导致瘫痪。

2.3com VCN 交换机数据转发机制和安全实现模式

如果使用VCN交换机来代替传统的交换机的话，那么情况将会变得大不相同。VCN交换机与传统的交换机不同之处在于： VCN交换机的每个端口默认情况下是相对独立的，每个VCN交换机在默认情况下提供了23-25个客户端口和一个服务器端口，对于23-25个客户端口和一个服务器端口之间的通信，VCN交换机遵守如下规则：

1).服务器端口的广播包可以被所有客户端收到。

2).服务器端口可以将Unicast包发送给适合的客户端。

3).来自客户端的Unicast被指派到指定服务器端口。

4).来自客户端的广播只能被发送到所有服务器端口。

5).客户端口之间默认情况下不存在交流。

这样的规则充分的考虑到了每个用户通信的安全性，并且由于每个端口在默认情况下都是相对独立的所以不会再需要去划分VLAN，那么由于划分VLAN产生的副作用将得以消除。值得一提的是，VCN交换机真正做到了从硬件上实现端口与端口之间的隔离，也就是利用硬件实现了传统交换机利用软件实现的VLAN功能，由于VCN交换机做到了这一点，所以不再需要对不同客户端口的数据附加额外的VLAN标记，也不需要交换机的引擎对其做任何识别处理。

由于VCN交换机面向的应用环境以及所处的竞争地位，我们称这种技术为宽带以太网接入技术。

网络方案设计

一、宽带接入方案概述

根据社区网的特点和应用以及VCN交换机的特性我们提出如下示意图说明：智能小区宽带接入示意图

如上图所示：

我们在小区网络中心放置中心交换机4007，并根据需要配置相应足够的100M以太网口和千兆模块。

在会聚层我们配置VCN Switch 10/100M交换机。

在终端用户接入层我们配置VCN Switch 10/100M交换机。为小区用户提供10M或100M到桌面。

需要注明的是：VCN交换机具有一个扩展槽，可支持光纤模块、千兆模块和双口上联模块；但由于目前VCN交换机的版本不支持，在下一个版本里将完全支持，因此在本方案中我们建议用户采用光收发器上联VCN10/100 M交换机。事实上采用这样的方式性价比是较高的。

为了保证每个用户数据通信的安全性，需要将每个客户端口连接到每个用户的PC上，或者在每个端口下通过二层交换机连接一组可以相互信任的用户群，这样在每个VCN交换机下的客户端口数据通信将是安全的，不必担心该端口数据通信会广播到其他端口而被窃听。

此外也可利用客户端口的特性来建立多个相对独立的网络而不用去通过划分VLAN来实现。

为了更好的服务于小区宽带接入系统，我们提出了完整的系统解决方案。

二、针对不同密度的用户网络设计描述

此方案是以局域网以太网技术为基础，建设高密度或低密度智能化社区的社区网络。在住户的家中添加以太网络RJ45信息插座作为接入网络的接口，可提供10M，甚至100M的网络速率。

在本方案设计中，应着重注意以下几点：

由于本方案采用局域网以太网技术，所以智能小区这样一个提供公共接入服务的运营管理平台而言，传统以太网的安全将成为一个重点要考虑的问题。

由于社区网络作为一个公用的提供接入服务的运营网络，将面向用户提供各种网络的服务,包括Internet网际浏览，社区网络电子商务，社区网上交流园地的服务等等。所以为了更好的实现运营服务管理、用户认证与计费等问题也是应该重点考虑的。这在后面我们会提出解决方案。

由于整个小区接入网络包含了大量的网络设备，维护起来十分困难，所以也应该考虑网管问题。这在后面我们会提出解决方案。

1.高密度社区网络结构设计

通常情况下，小区内用户密度很高的情况下，我们推荐如上图所示的解决方案。

方案中小区各楼内采用10/100M到户，边缘交换机也同样可采用VCN10/100M交换机，用以联结单个用户或有信任关系的用户群。每个VCN 10/100M交换机通过10/100M口上联到上级交换机VCN10/100M交换机。VCN10/100M交换机提供了24个10/100M以太网自适应端口，支持单、双口多模光纤上联模块。其中定义多个服务器端口用于连接多个社区应用服务器，其他端口与下层的VCN10/100交换机或者VCN10/100交换机的100M服务器端口相连。

其特点是，默认情况下VCN10/100交换机提供24个客户端口一个服务器端口,这些端口之间遵循以下规则：

这些端口之间遵循以下规则：

1).服务器端口的广播包可以被所有客户端收到。

2).服务器端口可以将Unicast包发送给适合的客户端。

3).来自客户端的Unicast被指派到指定服务器端口。

4).来自客户端的广播只能被发送到所有服务器端口。

5).客户端口之间默认情况下不存在交流。

6).服务器端口之间默认情况下不存在交流。----

注：客户端口之间或服务器端口之间可以通过设置使之相互通讯

2.低密度社区网络结构设计

对于低密度社区住宅楼，接入层网络交换机可以通过光纤直接连接到网络中心交换机上。拓扑结构如图所示。

接入层交换机我们配置3COM VCN Switch10/100，或者配置VCNSwitch100为用户提供100M接入，通过该交换机100M Server端口上联到二级网络网络中心交换机。

3.网络设计重点考虑的问题

以下将对上文提到的在本方案中应予以重点考虑的问题作详细阐述：

1)安全问题

由于社区网络是提供公共接入服务的运营管理平台，所以在为用户提供了高速接入的同时，用户数据通信的安全性将是一个需要迫切解决的问题。由于传统以太网技术本身的一些弱点，如：广播、SPT等，对整个网的的服务可靠性造成威胁。同时如果不采取措施，以太网内的用户，将面临本地黑客从网络第二层次的直接窃听甚至攻击。

对于以上问题，传统以太网络采用虚拟网络技术从用户端口到网络出口建立专用逻辑通路。但由于一般网络将承载数以百计的用户，网络管理员通过静态设置，管理同样数量的虚拟网和路由，其繁杂度和不灵活性可想而知。与此同时还要考虑此种设置方案下，网络设备的承载能力。

假如一台边缘交换机提供24个以太网接口，要做到完全软件隔离，就需要软件设置24个VLAN, 这24个VLAN需要通过边缘交换机的上联端口的802.1Q技术连接到中心交换机，然后经过三层转发实现设备互通。如果一台中心交换机连接20个边缘交换机，就需要提供480个VLAN的路由。从目前的交换机处理能力来看，还远远达不到这种需求；更何况随着网络规模的扩大，每台中心交换机的下联设备回大幅度增加。

另外，对于大数目VLAN的引入，势必增加网络操作、管理、维护的难度。从长远眼光来看，对于边缘交换机应该是越简单越好。减轻网络管理、配置负担。

所以我们在本方案中使用宽带以太网VCN交换机，利用VCN交换机端口的硬件特性从网络二层上完全隔离了每个端口的用户数据流而实现用户数据的安全性，同时由于通过硬件提供网络安全，因此不会降低网络的整体性能。

由于VCN交换机从物理上解决了安全问题，因此在该种交换机中不存在VLAN问题，从而大幅度减少整个网络的VLAN数目，使得整个网络更容易实现。

另外对于一个完整的社区网络来说，不仅仅要考虑到内部用户在社区内数据通信的安全性，同时也要考虑到内部用户在社区外访问社区内网络的数据通信的安全性，所以对于一个移动用户通过公网来访问社区网络的安全性问题，一般通过虚拟私有网络（VPN）来实现，即通过PPTP或L2TP在公网与社区网络之间建立一条VPN隧道，在该隧道中的通过IPSec进行数据加密的封装以保证数据通信的安全性。这些对于处于网络二层上的VCN交换机而言也是完全透明的。

传统的用户在实现内网安全时，往往采用划分VLAN、IP地址和MAC地址的绑定等等。但针对成千上万的小区用户来说是非常不现实的，因为：

大量的VLAN会严重消耗交换机的资源，常常会因为交换机过载而丢包

由于小区用户数量多，组成复杂，如果运营商试图通过绑定IP和PCMAC的方式来保证内网的安全，势必花费大量的人力物力，并且会增加运营成本，因为绑定IP和PC MAC须增加交换机三层路由模块。

但是采用3COM VCN 社区专用宽带接入交换机，利用其独有的数据转发机制，则可以在节约以上成本的情况下，完全的实现内网安全。

2)组播实现

网络拓扑结构对组播Multicast的支持分两个层次：路由网络和二层交换网络。

路由网络需支持DVMRP、MOSPF或PIM。

对于二层交换式网络，主要是通过标准协议IGMPSnooping来实现。

VCNSwitch支持IGMPSnooping。

3)认证与计费

对于多功能系统网络服务运营平台，以及智能化社区的网络建设，仅仅有高速的物理网络是远远不够的，还需要客户服务运营管理，用以形成强大的后台支撑系统，我们推荐采用在城域网中心提供集中的管理计费。

通过采用集中计费管理，就不用在每个小区设置网络中心，从而大大节约管理成本，使运营商处于有利的竞争地位。

4)网络管理

对于一个完整的社区网络而言，由于存在着大量的网络设备，所以为了保障整个网络正常运作，就需要使用网管软件来对整个网络的运作进行监控。网络安全的正常运行、网络资源的合理使用，都离不开完善的网管系统。网管系统通过SNMP、RMON等网络管理协议，对网络中的网络设备进行远程的监控，通过探测每台网络设备的工作状态，来保证整个网络的可靠性，一旦网络设备出现问题，则网管系统就会及时准确的发现问题所在，并发出警告信息。网管的另一重要的任务是记录网络的运行状态，这将为日后网络资源的合理调配提供准确的数据，另外通过监测网络中的数据流量，可计算出各网络使用单位对网络运行所应承担的费用。

网管系统是由安装在网络设备中的网络管理模块和网络管理工作站组成。位于设备中的网管模块负责收集设备本身运行状态的各项指标和参数，然后将其发送到指定网管工作站上。网管工作站负责接收这些信息，然后对其进行分析和整理，作出必要的反应。

根据本网络对网络的安全控制要求，网络管理系统要求能够对整个网络进行网络的划分和管理以及交换机配制管理，以保证网络用户在各自的职权范围内进行操作，避免对其它用户造成干扰和侵犯。因此我们建议使用3COM公司的NetworkSupervisor作为网管软件，提供上述的各种功能。

5)系统IP地址分配

编址原则

局域网和广域网统一规划，保证网络有效连通和管理；

全网采用NAT地址转换，内网采用自编地址，可由VBN Server 动态分配，也可用户自己按规划静态分配。总之不占Internet地址资源。

对于有Internet 访问需求的用户，我们可集中采用VBN Server 的网络地址转换功能来实现。

地址分配应遵循如下原则：

简单性：地址的分配应该简单，避免在小区内采用复杂的掩码方式。

连续性：为同一个楼内区域分配连续的网络地址，便于管理，易于维护。

可扩充性：为整个小区或楼内区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性。

灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化。