DIY编程器网

标题: 牧马人EPON+基带EOC系统解决方案 [打印本页]

作者: admin    时间: 2015-4-26 20:06
标题: 牧马人EPON+基带EOC系统解决方案
方案特点

成熟的EPON技术,符合“光进铜退”
适用的基带EOC技术(良好的环境、终端、网络、管理以及多业务适应性)
潮流化的二层网络结构、策略化(优化管理功能、降低建设和运维成本)的管理模式

运营管理

作为运营商宽带网络的解决方案,ME60/MA5200F/G为客户提供了丰富的运营策略,包括VLAN划分、用户管理、计费、安全等。

VLAN划分

宽带接入网二层化是接入网络建设的趋势,二层接入网的建设需要在接入层解决用户精确定位、业务安全隔离、故障溯源、和端到端Qos等诸多问题,最终实现宽带业务的精绑定。

通过对宽带接入网中的VLAN资源进行有效规划,依靠边缘EOC尾端的VLAN划分功能和OLT的灵活QinQ特性,可以实现用户及业务的精绑定,在汇聚层进行业务区分和业务分流,推荐采用PUPSPV的方式来划分VLAN。

PUPSPV的划分方式:

第一层VLAN标签(用户业务及端口)在EOC尾端上进行绑定;
第二层VLAN标签(用户小区位置)在OLT上进行绑定,华为ME60 BAS设备终结所有VLAN信息,并将双重VLAN标识送到计费认证系统上进行审核;
从OLT至EOC尾端的所有上行端口均需要采用TRUNK链路,透传多个VLAN数据。

用户管理

管理功能是可运营IP接入网的重要组成部分。传统二/三层交换机组网无法提供完善的用户管理功能,BAS设备应支持完善的管理功能:包括安全管理以及用户业务管理。
对于用户上网业务,采用双层Tag分别标识小区位置以及在小区中的精确位置,从而达到精确标识的目的。通过用户帐号和地理位置的绑定,可以解决盗用帐号和一号多用的问题,防止运营商资费的流失;另外,通过这种对应关系,还可以对于问题用户(黑客或者网络出故障者)进行快速定位,提高用户的满意度。
精确定位的模式:ONU ID/OLTID + ONU端口ID + EOC网桥VLAN ID

安全管理

ME60/MA5200通过将每个用户划分为独立的VLAN,有效地防止了恶意用户盗用其他用户以及网络设备的MAC地址或者IP地址,避免了网络混乱。

完善的用户IP地址分配,有效的防止DHCP攻击。

ME60/MA5200 支持完善的用户IP地址分配:可为用户提供静态IP地址分配方案,以及动态IP地址分配方案(支持DHCP协议,动态地址解析协议)。

ME60/MA5200可以有效地对用户的DHCP申请进行控制,恶意用户的通过更换MAC地址的方式进行的大量攻击性请求将无法得到服务,保证了其他用户的服务质量。

业务管理

完善的用户业务服务质量QoS保证,实现对用户区别访问。ME60/MA5200实现对用户服务选择以及用户策略进行控制,允许用户通过不同ISP访问Internet,同时对不同服务类型的用户选用不同的转发策略,保障实时业务的有效实现。

ME60/MA5200可以针对最终用户提供完善的流量控制,实现最终用户接入带宽的有效限制,每个用户可以分别设置不同的接入带宽,提供灵活的业务服务。并且通过对用户流量的有效控制,可以保证用户带宽利用的公平性,避免少数用户通过发送大量高优先级的数据包,导致骨干网络出口带宽拥塞。

本方案中ME60/MA5200通过与认证系统配合实现2M/4M/6M/8M等不同速率的服务。

计费管理

ME60/MA5200支持两种计费方式:Radius计费和本地计费用。

ME60/MA5200把用户的认证请求发送到认证服务器,认证服务器管理着注册用户数据库。如果认证通过,则允许用户接入并开始计费,ME60/MA5200把在线用户的实时计费信息发送到计费服务器,计费服务器可以根据不同的计费策略向用户收费。
安全管理

城域网中不仅仅需要完成接入、认证和计费,从城域网整网安全性的角度考虑,BAS作为安全网关是城域网中必不可少的一个网络层次,安全网关主要功能体现在以下几个方面:防止帐号、地址仿冒;防护各种网络攻击。

由于BAS一般规划在城域网的接入层和汇聚层之间,是安全网关的一个比较合适的网络层次,而BAS的设备的处理能力使其满足安全网关的要求。因此将BAS规划为安全网关是十分必要的。城域网的安全网关设备应该具备以下安全管理特性:

用户身份鉴别

ME60/MA5200系列产品在用户认证时,都会向Radius服务器发送用户的地址信息和位置信息,包括用户的IP地址、MAC地址和VLAN ID、端口和槽位信息。Radius服务器利用这些信息可以为用户提供如下帐号安全性功能:

帐号唯一性:保证帐号只能同时被一个终端使用,避免帐号被重复使用。

端口唯一性:保证帐号只能在唯一的信息点端口被使用,避免帐号的跨端口使用和盗用。

帐号和MAC地址绑定:保证帐号只能在唯一的终端上使用,避免帐号的盗用。配合ME60/MA5200系列产品的防地址仿冒功能,以上功能可以较好的解决用户帐号的安全性需求。


地址仿冒识别

ME60/MA5200对地址仿冒问题,提供报文首部匹配检查手段,在认证时记录下用户的IP、MAC、VLAN ID/PVC和PPPoE Session(假如采用PPPoX认证)信息,认证后对每个用户的报文进行IP、MAC、VLAN ID/PVC和PPPoE Session的匹配检查,丢弃非匹配报文,可有效地防止地址仿冒。

网络拓扑图:






欢迎光临 DIY编程器网 (http://diybcq.com/) Powered by Discuz! X3.2