DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 1100|回复: 0
打印 上一主题 下一主题

[待整理] 牧马人EPON+基带EOC系统解决方案

[复制链接]
跳转到指定楼层
楼主
发表于 2015-4-26 20:06:15 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
方案特点

成熟的EPON技术,符合“光进铜退”
适用的基带EOC技术(良好的环境、终端、网络、管理以及多业务适应性)
潮流化的二层网络结构、策略化(优化管理功能、降低建设和运维成本)的管理模式

运营管理

作为运营商宽带网络的解决方案,ME60/MA5200F/G为客户提供了丰富的运营策略,包括VLAN划分、用户管理、计费、安全等。

VLAN划分

宽带接入网二层化是接入网络建设的趋势,二层接入网的建设需要在接入层解决用户精确定位、业务安全隔离、故障溯源、和端到端Qos等诸多问题,最终实现宽带业务的精绑定。

通过对宽带接入网中的VLAN资源进行有效规划,依靠边缘EOC尾端的VLAN划分功能和OLT的灵活QinQ特性,可以实现用户及业务的精绑定,在汇聚层进行业务区分和业务分流,推荐采用PUPSPV的方式来划分VLAN。

PUPSPV的划分方式:

第一层VLAN标签(用户业务及端口)在EOC尾端上进行绑定;
第二层VLAN标签(用户小区位置)在OLT上进行绑定,华为ME60 BAS设备终结所有VLAN信息,并将双重VLAN标识送到计费认证系统上进行审核;
从OLT至EOC尾端的所有上行端口均需要采用TRUNK链路,透传多个VLAN数据。

用户管理

管理功能是可运营IP接入网的重要组成部分。传统二/三层交换机组网无法提供完善的用户管理功能,BAS设备应支持完善的管理功能:包括安全管理以及用户业务管理。
对于用户上网业务,采用双层Tag分别标识小区位置以及在小区中的精确位置,从而达到精确标识的目的。通过用户帐号和地理位置的绑定,可以解决盗用帐号和一号多用的问题,防止运营商资费的流失;另外,通过这种对应关系,还可以对于问题用户(黑客或者网络出故障者)进行快速定位,提高用户的满意度。
精确定位的模式:ONU ID/OLTID + ONU端口ID + EOC网桥VLAN ID

安全管理

ME60/MA5200通过将每个用户划分为独立的VLAN,有效地防止了恶意用户盗用其他用户以及网络设备的MAC地址或者IP地址,避免了网络混乱。

完善的用户IP地址分配,有效的防止DHCP攻击。

ME60/MA5200 支持完善的用户IP地址分配:可为用户提供静态IP地址分配方案,以及动态IP地址分配方案(支持DHCP协议,动态地址解析协议)。

ME60/MA5200可以有效地对用户的DHCP申请进行控制,恶意用户的通过更换MAC地址的方式进行的大量攻击性请求将无法得到服务,保证了其他用户的服务质量。

业务管理

完善的用户业务服务质量QoS保证,实现对用户区别访问。ME60/MA5200实现对用户服务选择以及用户策略进行控制,允许用户通过不同ISP访问Internet,同时对不同服务类型的用户选用不同的转发策略,保障实时业务的有效实现。

ME60/MA5200可以针对最终用户提供完善的流量控制,实现最终用户接入带宽的有效限制,每个用户可以分别设置不同的接入带宽,提供灵活的业务服务。并且通过对用户流量的有效控制,可以保证用户带宽利用的公平性,避免少数用户通过发送大量高优先级的数据包,导致骨干网络出口带宽拥塞。

本方案中ME60/MA5200通过与认证系统配合实现2M/4M/6M/8M等不同速率的服务。

计费管理

ME60/MA5200支持两种计费方式:Radius计费和本地计费用。

ME60/MA5200把用户的认证请求发送到认证服务器,认证服务器管理着注册用户数据库。如果认证通过,则允许用户接入并开始计费,ME60/MA5200把在线用户的实时计费信息发送到计费服务器,计费服务器可以根据不同的计费策略向用户收费。
安全管理

城域网中不仅仅需要完成接入、认证和计费,从城域网整网安全性的角度考虑,BAS作为安全网关是城域网中必不可少的一个网络层次,安全网关主要功能体现在以下几个方面:防止帐号、地址仿冒;防护各种网络攻击。

由于BAS一般规划在城域网的接入层和汇聚层之间,是安全网关的一个比较合适的网络层次,而BAS的设备的处理能力使其满足安全网关的要求。因此将BAS规划为安全网关是十分必要的。城域网的安全网关设备应该具备以下安全管理特性:

用户身份鉴别

ME60/MA5200系列产品在用户认证时,都会向Radius服务器发送用户的地址信息和位置信息,包括用户的IP地址、MAC地址和VLAN ID、端口和槽位信息。Radius服务器利用这些信息可以为用户提供如下帐号安全性功能:

帐号唯一性:保证帐号只能同时被一个终端使用,避免帐号被重复使用。

端口唯一性:保证帐号只能在唯一的信息点端口被使用,避免帐号的跨端口使用和盗用。

帐号和MAC地址绑定:保证帐号只能在唯一的终端上使用,避免帐号的盗用。配合ME60/MA5200系列产品的防地址仿冒功能,以上功能可以较好的解决用户帐号的安全性需求。


地址仿冒识别

ME60/MA5200对地址仿冒问题,提供报文首部匹配检查手段,在认证时记录下用户的IP、MAC、VLAN ID/PVC和PPPoE Session(假如采用PPPoX认证)信息,认证后对每个用户的报文进行IP、MAC、VLAN ID/PVC和PPPoE Session的匹配检查,丢弃非匹配报文,可有效地防止地址仿冒。

网络拓扑图:

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-11-15 17:41 , 耗时 0.094009 秒, 21 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表