Смекни!
smekni.com

Проектирование сети Metro Ethernet в городе Павлодаре (стр. 6 из 19)

- Основнойсервер Web-портала Cisco Subscriber Edge Services Manager (SESM).

Cisco SESM обеспечивает предоставление интерфейса пользователям, подключающимся к сети, для выбора услуг. Подключение пользователей осуществляется к SSG по протоколу PPPoE, далее клиент может зайти на заранее известную web-страницу для выбора сервиса или он будет перенаправлен шлюзом выбора услуг на такую страницу при попытке доступа к закрытому для этого клиента сервису. В состав решения могут входить другие серверы портала (выполняющие другие функции) или возможно распределение функций SESM по нескольким серверам. В качестве аппаратной платформы для установки программного обеспечения Cisco SESM используется сервер Sun Fire V490, имеющий 2 процессора UltraSparc IV, каждый из этих процессоров имеет два ядра.

- Сервер RADIUS Cisco Access Registrar (CAR).

Cisco Access Registrar используется в качестве устройства, обеспечивающего функции идентификации пользователей, авторизации пользователей для каких-либо услуг, сбора статистики. CAR взаимодействует с SSG и SESM по протоколу RADIUS. Кроме того, в функции CAR входит взаимодействие с биллинговой системой по протоколу RADIUS, с использованием технологии ODBC или посредством встроенного API для синхронизации статистики в единой базе данных (базе данных биллинговой системы) или для решения всех перечисленных задач. В качестве аппаратной u1087 платформы для установки программного обеспечения CAR используется сервер Sun Fire V490, имеющий 2 процессора UltraSparc IV, каждый из этих процессоров имеет два ядра.

- Коммутатор локальной сети.

В качестве коммутатора локальной сети в центральном узле используется пара коммутаторов Cisco Catalyst 6509 с модулем WS-X6748-GE-TX, содержащим 48 портов Gigabit Ethernet. На первом этапе устанавливается одно устройство с двумя модулями WS-X6748-GE-TX. Этот коммутатор используется для обеспечения взаимодействия на уровне 2 и 3 компонентов узла. Широкие возможности Catalyst 6509 позволят в будущем предоставлять дополнительные сервисы (NAT, intrusiondetection, serverloadbalancing, etc.) оборудованию узла и подключающимся клиентам. В настоящее время на этом коммутаторе реализована функциональность firewall, для чего используются два модуля WS-SVC-FWM-1-K9 (FirewallServicesModule, FWSM), работающих в режиме резервирования. Подключение к городской сети и магистральной сети производится посредством двух интерфейсов GLC-SXMM форм-фактора SFP, установленных в порты управляющего модуля коммутатора – Supervisor 720. В состав решения входят следующие компоненты:

На региональных узлах не устанавливаются отдельные коммутаторы, а для подключения шлюзов выбора услуг и местных серверов услуг используются возможности имеющихся коммутаторов городской СПД.

Как показано на рисунке 2.6, система условно разделяется на функциональные блоки, в каждом из которых присутствуют наиболее существенные элементы. «Блок доступа» включает в себя устройства, к которым производится физическое подключение клиентов. В «центральном блоке» можно выделить L3-коммутатор LAN и Cisco Service Selection Gateway. «Блок идентификации» состоит из серверов портала, выбора услуг (Cisco SESM) и Cisco Access Registrar, который может обмениваться данными с биллинговой системой. «Блок услуг» объединяет серверы, непосредственно предоставляющие услуги, как открытые всем (бесплатные – Open Garden), так и требующие оплаты или просто авторизации по каким-то причинам (Walled Garden).

2.5.3 Общие принципы функционирования

Типовой сценарий функционирования СПУ на базе решения Cisco Systems выглядит следующим образом. После инициирования подключения к сети оператора посредством Ethernet или PPP, клиент получает необходимые параметры (адрес сервера DNS, адрес шлюза по умолчанию и т.п.) для использования услуг (доступ в Internet или к определённым серверам), предоставляемых оператором. Система предоставления услуг строится таким образом, чтобы весь трафик клиентов в тарифицируемых направлениях проходил через SSG. SSG осуществляет проверку прав доступа клиента к каждой услуге. Для этого используются такие понятия, как Host Object, Service Object и Connection Object.

Host Object создаётся SSG, если клиент идентифицирован. Идентификация на SSG может происходить как автоматически, при соединении и идентификации по PPP, так и после соединения клиента с сервером SESM и ввода имени и пароля. Host Object включает в себя имя пользователя, его IP адрес, а также список доступных услуг и другие параметры, такие как максимальное время соединения и максимальное время неактивности, которые хранятся на сервере CAR или в базе данных биллинговой системы и передаются на SSG в пакете RADIUS Access Accept в виде определённых атрибутов. Используемые в данном случае атрибуты перечисляются в разделе 2.11 «Конфигурация услуг».Услуги могут быть активированы автоматически при идентификации, что указывается в атрибутах RADIUS при создании Host Object, либо позже, вручную, в процессе соединения, при входе на сервер SESM. Service Object и Connection Object создаются SSG приактивацииуслуги. Service Object включаетвсебяпараметрыуслуги, такиекактипуслуги (pass-through, proxy, tunnel), доступнаясетьприактивацииуслуги, шлюзпоумолчаниюдляуслуги, дополнительныепараметры, еслинеобходимы: параметрытуннелядляуслугтипа tunnel, удалённогосервера RADIUS дляуслугтипа proxy идругиепараметры. Вообще говоря, параметры услуги (Service Object) не зависят от клиента и, в зависимости от конфигурации, могут быть сохранены для дальнейшего использования другими клиентами. Для создания связи между u1082 клиентом и услугой при активации услуги создаётся Connection Object, который ассоциируется с IP адресом клиента и активируемой услугой. В каждый момент времени клиент может быть подключён к нескольким услугам, связанным с ним посредством такого же количества Connection Object. В то же время, одна и та же услуга может предоставляться разным клиентам, с использованием различных Connection Objects. Connection Object удаляется, как только клиент отключается от услуги. На рисунке 2.11 схематично показаны формирующиеся связи.

Рисунок 2.11 Формирование связей в шлюзе выбора услуг

2.6 Схемы организации узлов

14 узлов проектируемой СПУ можно разделить на два типа: один центральный (в г. Павлодар) и 13 региональных. Эти узлы различаются, как по составу оборудования ифункциональности, так и по требованиям безопасности и надёжности. Данный документописывает структуру регионального узла.

2.6.1 Региональные узлы

Схема физических соединений на региональных узлах приведена на рисунке 2.12.

Рисунок 2.12 Схема физических соединений регионального узла

В региональном узле располагаются только шлюзы выбора услуг, которые подключаются к двум коммутаторам городской сети передачи данных каналами Gigabit Ethernet.

Логическая схема регионального узла представлена на рисунке 2.13.


Рисунок 2.13Логическая схема регионального узла


Распределение VLAN и IP адресов в региональном узле приводится в таблице 2.2.

Таблица 2.2 Характеристики VLAN регионального узла

Название VLAN Номер VLAN Описание
USER ACCESS 115 – 146 Сегмент подключения клиентов по PPPoE
OPEN-GARDEN 100 Серверы общедоступных бесплатных услуг
WALLED-GARDEN-1 –WALLED-GARDEN-32 500 – 531 Серверы услуг с контролируемым доступом
MGMT 101 Сегмент управления оборудованием центрального узла
PORTAL-ACCESS 110 Доступ к порталу со стороны региональных узлов
AAA-ACCESS 111 Доступ к серверам RADIUS со стороны региональных узлов
CENTRAL-SERVICES 108 Доступ к серверам услуг центрального узла со стороны региональных узлов
INTERNET-ACCESS 109 Доступв Internet

Распределение адресов в организуемых VLAN приводится в таблице 2.3

Таблица 2.3 Распределение IP адресов в VLAN регионального узла

USER-ACCESS (VLAN 115) 82.200.207.0/24
OPEN-GARDEN 10.8.25.0/25
WALLED-GARDEN-1 (VLAN 500) 10.8.25.128/29
MGMT нет данных
PORTAL-ACCESS 10.8.14.64/29
AAA-ACCESS 10.8.15.64/29
CENTRAL-SERVICES 10.8.16.64/29
INTERNET-ACCESS 82.200.175.0/29

Во всех сегментах старший адрес присваивается шлюзу выбора услуг. В сегментах PORTAL-ACCESS, AAA-ACCESS, CENTRAL-SERVICES и INTERNET-ACCESS младший адрес сегмента используется магистральным маршрутизатором.


2.6.2 Конфигурация концентраторов ADSL

Подключение DSLAM к городским сетям передачи данных выполняется посредством интерфейсов Ethernet, работающих в режиме 802.1Q. Для подключения домашних пользователей используются VLAN из диапазона 115 – 146, причём на разных DSLAM используются разные VLAN.

DSLAM конфигурируется таким образом, чтобы трафик клиентов системы предоставления услуг коммутировался через него на уровне 2. Оконечное оборудование также используется в режиме прозрачной коммутации пакетов Ethernet (bridging).

Конфигурация выполняется в соответствии со схемой, представленной на рисунке 2.14

Безопасность клиентов от атак изнутри городской сети обеспечивается путём конфигурирования запрета взаимодействия между клиентами посредством DSLAM, а такжевыделения трафика таких клиентов на каждом DSLAM в отдельные VLAN.

Рисунок 2.14 Схема для конфигурации DSLAM

Безопасность клиентов от атак изнутри городской сети обеспечивается путём конфигурирования запрета взаимодействия между клиентами посредством DSLAM, а также выделения трафика таких клиентов на каждом DSLAM в отдельные VLAN.