Проектирование сети Metro Ethernet в городе Павлодаре (стр. 6 из 19)
- Основнойсервер Web-портала Cisco Subscriber Edge Services Manager (SESM).
Cisco SESM обеспечивает предоставление интерфейса пользователям, подключающимся к сети, для выбора услуг. Подключение пользователей осуществляется к SSG по протоколу PPPoE, далее клиент может зайти на заранее известную web-страницу для выбора сервиса или он будет перенаправлен шлюзом выбора услуг на такую страницу при попытке доступа к закрытому для этого клиента сервису. В состав решения могут входить другие серверы портала (выполняющие другие функции) или возможно распределение функций SESM по нескольким серверам. В качестве аппаратной платформы для установки программного обеспечения Cisco SESM используется сервер Sun Fire V490, имеющий 2 процессора UltraSparc IV, каждый из этих процессоров имеет два ядра.
- Сервер RADIUS Cisco Access Registrar (CAR).
Cisco Access Registrar используется в качестве устройства, обеспечивающего функции идентификации пользователей, авторизации пользователей для каких-либо услуг, сбора статистики. CAR взаимодействует с SSG и SESM по протоколу RADIUS. Кроме того, в функции CAR входит взаимодействие с биллинговой системой по протоколу RADIUS, с использованием технологии ODBC или посредством встроенного API для синхронизации статистики в единой базе данных (базе данных биллинговой системы) или для решения всех перечисленных задач. В качестве аппаратной u1087 платформы для установки программного обеспечения CAR используется сервер Sun Fire V490, имеющий 2 процессора UltraSparc IV, каждый из этих процессоров имеет два ядра.
- Коммутатор локальной сети.
В качестве коммутатора локальной сети в центральном узле используется пара коммутаторов Cisco Catalyst 6509 с модулем WS-X6748-GE-TX, содержащим 48 портов Gigabit Ethernet. На первом этапе устанавливается одно устройство с двумя модулями WS-X6748-GE-TX. Этот коммутатор используется для обеспечения взаимодействия на уровне 2 и 3 компонентов узла. Широкие возможности Catalyst 6509 позволят в будущем предоставлять дополнительные сервисы (NAT, intrusiondetection, serverloadbalancing, etc.) оборудованию узла и подключающимся клиентам. В настоящее время на этом коммутаторе реализована функциональность firewall, для чего используются два модуля WS-SVC-FWM-1-K9 (FirewallServicesModule, FWSM), работающих в режиме резервирования. Подключение к городской сети и магистральной сети производится посредством двух интерфейсов GLC-SXMM форм-фактора SFP, установленных в порты управляющего модуля коммутатора – Supervisor 720. В состав решения входят следующие компоненты:
На региональных узлах не устанавливаются отдельные коммутаторы, а для подключения шлюзов выбора услуг и местных серверов услуг используются возможности имеющихся коммутаторов городской СПД.
Как показано на рисунке 2.6, система условно разделяется на функциональные блоки, в каждом из которых присутствуют наиболее существенные элементы. «Блок доступа» включает в себя устройства, к которым производится физическое подключение клиентов. В «центральном блоке» можно выделить L3-коммутатор LAN и Cisco Service Selection Gateway. «Блок идентификации» состоит из серверов портала, выбора услуг (Cisco SESM) и Cisco Access Registrar, который может обмениваться данными с биллинговой системой. «Блок услуг» объединяет серверы, непосредственно предоставляющие услуги, как открытые всем (бесплатные – Open Garden), так и требующие оплаты или просто авторизации по каким-то причинам (Walled Garden).
2.5.3 Общие принципы функционирования
Типовой сценарий функционирования СПУ на базе решения Cisco Systems выглядит следующим образом. После инициирования подключения к сети оператора посредством Ethernet или PPP, клиент получает необходимые параметры (адрес сервера DNS, адрес шлюза по умолчанию и т.п.) для использования услуг (доступ в Internet или к определённым серверам), предоставляемых оператором. Система предоставления услуг строится таким образом, чтобы весь трафик клиентов в тарифицируемых направлениях проходил через SSG. SSG осуществляет проверку прав доступа клиента к каждой услуге. Для этого используются такие понятия, как Host Object, Service Object и Connection Object.
Host Object создаётся SSG, если клиент идентифицирован. Идентификация на SSG может происходить как автоматически, при соединении и идентификации по PPP, так и после соединения клиента с сервером SESM и ввода имени и пароля. Host Object включает в себя имя пользователя, его IP адрес, а также список доступных услуг и другие параметры, такие как максимальное время соединения и максимальное время неактивности, которые хранятся на сервере CAR или в базе данных биллинговой системы и передаются на SSG в пакете RADIUS Access Accept в виде определённых атрибутов. Используемые в данном случае атрибуты перечисляются в разделе 2.11 «Конфигурация услуг».Услуги могут быть активированы автоматически при идентификации, что указывается в атрибутах RADIUS при создании Host Object, либо позже, вручную, в процессе соединения, при входе на сервер SESM. Service Object и Connection Object создаются SSG приактивацииуслуги. Service Object включаетвсебяпараметрыуслуги, такиекактипуслуги (pass-through, proxy, tunnel), доступнаясетьприактивацииуслуги, шлюзпоумолчаниюдляуслуги, дополнительныепараметры, еслинеобходимы: параметрытуннелядляуслугтипа tunnel, удалённогосервера RADIUS дляуслугтипа proxy идругиепараметры. Вообще говоря, параметры услуги (Service Object) не зависят от клиента и, в зависимости от конфигурации, могут быть сохранены для дальнейшего использования другими клиентами. Для создания связи между u1082 клиентом и услугой при активации услуги создаётся Connection Object, который ассоциируется с IP адресом клиента и активируемой услугой. В каждый момент времени клиент может быть подключён к нескольким услугам, связанным с ним посредством такого же количества Connection Object. В то же время, одна и та же услуга может предоставляться разным клиентам, с использованием различных Connection Objects. Connection Object удаляется, как только клиент отключается от услуги. На рисунке 2.11 схематично показаны формирующиеся связи.
Рисунок 2.11 Формирование связей в шлюзе выбора услуг
2.6 Схемы организации узлов
14 узлов проектируемой СПУ можно разделить на два типа: один центральный (в г. Павлодар) и 13 региональных. Эти узлы различаются, как по составу оборудования ифункциональности, так и по требованиям безопасности и надёжности. Данный документописывает структуру регионального узла.
2.6.1 Региональные узлы
Схема физических соединений на региональных узлах приведена на рисунке 2.12.
Рисунок 2.12 Схема физических соединений регионального узла
В региональном узле располагаются только шлюзы выбора услуг, которые подключаются к двум коммутаторам городской сети передачи данных каналами Gigabit Ethernet.
Логическая схема регионального узла представлена на рисунке 2.13.
Рисунок 2.13Логическая схема регионального узла
Распределение VLAN и IP адресов в региональном узле приводится в таблице 2.2.
Таблица 2.2 Характеристики VLAN регионального узла
| Название VLAN | Номер VLAN | Описание |
| USER ACCESS | 115 – 146 | Сегмент подключения клиентов по PPPoE |
| OPEN-GARDEN | 100 | Серверы общедоступных бесплатных услуг |
| WALLED-GARDEN-1 –WALLED-GARDEN-32 | 500 – 531 | Серверы услуг с контролируемым доступом |
| MGMT | 101 | Сегмент управления оборудованием центрального узла |
| PORTAL-ACCESS | 110 | Доступ к порталу со стороны региональных узлов |
| AAA-ACCESS | 111 | Доступ к серверам RADIUS со стороны региональных узлов |
| CENTRAL-SERVICES | 108 | Доступ к серверам услуг центрального узла со стороны региональных узлов |
| INTERNET-ACCESS | 109 | Доступв Internet |
Распределение адресов в организуемых VLAN приводится в таблице 2.3
Таблица 2.3 Распределение IP адресов в VLAN регионального узла
| USER-ACCESS (VLAN 115) | 82.200.207.0/24 |
| OPEN-GARDEN | 10.8.25.0/25 |
| WALLED-GARDEN-1 (VLAN 500) | 10.8.25.128/29 |
| MGMT | нет данных |
| PORTAL-ACCESS | 10.8.14.64/29 |
| AAA-ACCESS | 10.8.15.64/29 |
| CENTRAL-SERVICES | 10.8.16.64/29 |
| INTERNET-ACCESS | 82.200.175.0/29 |
Во всех сегментах старший адрес присваивается шлюзу выбора услуг. В сегментах PORTAL-ACCESS, AAA-ACCESS, CENTRAL-SERVICES и INTERNET-ACCESS младший адрес сегмента используется магистральным маршрутизатором.
2.6.2 Конфигурация концентраторов ADSL
Подключение DSLAM к городским сетям передачи данных выполняется посредством интерфейсов Ethernet, работающих в режиме 802.1Q. Для подключения домашних пользователей используются VLAN из диапазона 115 – 146, причём на разных DSLAM используются разные VLAN.
DSLAM конфигурируется таким образом, чтобы трафик клиентов системы предоставления услуг коммутировался через него на уровне 2. Оконечное оборудование также используется в режиме прозрачной коммутации пакетов Ethernet (bridging).
Конфигурация выполняется в соответствии со схемой, представленной на рисунке 2.14
Безопасность клиентов от атак изнутри городской сети обеспечивается путём конфигурирования запрета взаимодействия между клиентами посредством DSLAM, а такжевыделения трафика таких клиентов на каждом DSLAM в отдельные VLAN.
Рисунок 2.14 Схема для конфигурации DSLAM
Безопасность клиентов от атак изнутри городской сети обеспечивается путём конфигурирования запрета взаимодействия между клиентами посредством DSLAM, а также выделения трафика таких клиентов на каждом DSLAM в отдельные VLAN.