2.7 Сопряжение с транспортными сетями передачи данных
Для сопряжения шлюзов выбора услуг с городскими сетями передачи данных необходимо обеспечить организацию необходимых VLAN (таблица 2.2).
Порты коммутаторов, к которым подключаются шлюзы выбора услуг и магистральные маршрутизаторы конфигурируются для работы в режиме 802.1Q. При этом, все перечисленные в таблице 2.2 VLAN должны быть разрешены на портах, к которым подключаются шлюзы выбора услуг, а на портах, к которым подключаются магистральные маршрутизаторы должны быть разрешены VLANINTERNET-ACCESS, PORTAL-ACCESS, CENTRAL-SERVICES и AAA-ACCESS.
На оборудовании магистральной сети необходимо организовать следующиевиртуальные частные сети:
- сеть, объединяющая VLAN PORTAL-ACCESS в региональных и центральном узле;
- сеть, объединяющая VLAN AAA-ACCESS в региональных и центральном узле;
- сеть, объединяющая VLAN SERVICE-ACCESS в центральном узле и CENTRAL-SERVICES в региональных.
Пропускная способность VPN AAA-ACCESS от регионального узла до центрального должна составлять не менее 500 бит/сек на каждого клиента регионального узла. Обратный канал должен иметь пропускную способность не менее 50 бит/сек на каждого клиента. Оценка необходимой пропускной способности остальных VPN производится на этапе внедрения дополнительных услуг с учётом статистики использования серверов портала и услуг.
Для маршрутизации в каждом VPN используется протокол BGP (eBGP). Шлюзы выбора услуг находятся в автономной системе номер 64600, относящейся к частному блоку нумерации автономных систем и получает от маршрутизатора МСПД маршруты на все остальные сегменты данного VPN.
Подключение к сети Интернет производится путём выделения для этих целей отдельных логических интерфейсов на шлюзе выбора услуг и магистральном машрутизаторе, имеющих публичные IP адреса (VLAN 109). Маршрутизация трафика также производится по протоколу BGP (eBGP), шлюз выбора услуг получает от маршрутизатора МСПД только маршрут по умолчанию, а обратный трафик маршрутизируется в соответствии с политикой АО «Казахтелеком», реализованной на пограничных маршрутизаторах.
2.8 Организация соединения с магистральной сетью IP/MPLS
Центральный узел сети расположен в г. Павлодар на АТС-32 (Рисунок 2.15). Центральный узел сети реализован на основе устройства Cisco 7206VXR SSG (рассмотрение его вне рамок данного проекта) и двух коммутаторов S6506 и S5624P. Помимо активного оборудования на центральном узле расположены серверы для организации системы управления сетью (iManager N2000).
Основной задачей активного оборудования центрального узла является обеспечение взаимодействия с устройствами P/PE магистральной сети MPLS на уровне интеграции услуг IP, а также терминации пользовательского трафика РРРоЕ на сервере выбора услуг SSG. Основной задачей коммутаторов являются стыковка с магистральной сетью IP/MPLS для организации услуг L3VPN, обеспечение каналов между городской сетью Metro Ethernet г. Павлодар, Екибастуз, Аксу и магистральной сетью. Реализация функционала пограничного устройства РЕ осуществляется в рамках проекта построения магистрального сегмента сети АО «Казахтелеком» и так же не входит в рамки данного проекта. Схема подключения оборудования центрального узла представлена на чертеже Metro-2-4-05.
Посредством оптических каналов организованы линки Gigabit Ethernet к активному оборудованию узлов на АТС-53 и АТС-47/520. Маршрутизатор Cisco 7206VXR SSG, выполняющий функции шлюза выбора услуг, подключен отдельными интерфейсами к коммутатору S6506. Подключение системы управление проектируется осуществить через коммутатор уровня мониторинга S3026T. Подключение внешних сетей производится на портах коммутаторов S5624P.
В данном проекте все коммутаторы сети объединены в единый L2 домен, поэтому нумерация VLAN на центральном узле производится в соответствии с таблицей распределения номеров VLAN Таблица 3. Для подключения сервера выделяется отдельный VLAN. Это позволяет обеспечить безопасность путем установления соответствующих листов доступа на соответствующих портах маршрутизатора.
Коммутатор S3026T используется в качестве устройства для подключения оборудования мониторинга. Помимо активного оборудования на центральном узле расположены сервер Manager 2000 и два терминала, предназначенных для организации системы управления сетью.
Организация соединения сегмента сети Metro Ethernet г. Павлодар, с магистральным сегментом сети АО «Казахтелеком» производится на центральном узле посредством подключения РЕ устройства к коммутатору S6506. При этом для обеспечения резервирования используется подключение двумя различными интерфейсами GE к портам коммутатора. На данном этапе не является целесообразным активирование протокола динамической маршрутизации между устройствами городской сети и магистрального сегмента. В последующем, в случае построения единой системы управления, и необходимости объединения адресных пространств, для данных целей возможно использование как статической, так и динамической маршрутизации.
Для обеспечения сервиса L3VPN клиентам городской сети производится объединение сегмента сети Metro Ethernet г. Павлодар, Екибастуз, Аксу с магистральным сегментом сети АО «Казахтелеком» посредством терминации L2VPN клиента сети на РЕ устройстве и организация маршрутизации в соответствии с договоренностью между клиентом и АО «Казахтелеком».
Рисунок 2.15 Схема организации Центрального узла
2.9 Принципы именования устройств в сети
Для систематизации и упрощения работы обслуживающего персонала при работах на сети MetroEthernet г. Павлодара, принята следующая система обозначения устройств в сети:
Таблица 5 Именование устройств в сети.
№ | Узел сети | Устройство | Обозначение |
1 | ATS-32 | Switch S6506R | [ATE32_S6506R] |
Switch S5624P | [ATE32_S5624P] | ||
DSLAM MA5303 | [ATE32_MA5303_A] | ||
DSLAM MA5303 | [ATE32_MA5303_B] | ||
2 | ATS-53 | Switch S5624PDSLAM MA5303 | [ATE53_S5624P][ATE53_MA5303] |
3 | ATS-55/51 | Switch S5624PDSLAM MA5303 | [ATE55/51_S5624P][ATE55/51_MA5303] |
4 | IRLCM 505/507 | Switch S5624PDSLAM MA5303 | [IRLCM505/507_S5624P][IRLCM505/507_MA5303] |
5 | IRLCM 515/517 | Switch S5624PDSLAM MA5303 | [IRLCM515/517_S5624P][IRLCM515/517_MA5303] |
6 | IRLCM 500/502 | Switch S5624PDSLAM MA5303 | [IRLCM500/502_S5624P][IRLCM500/502_MA5303] |
7 | ATS-54/46 | Switch S5624PDSLAM MA5303 | [ATE54/46_S5624P][ATE54/46_MA5303] |
8 | ATS-45/570 | Switch S5624PDSLAM MA5303 | [ATE45/570_S5624P][ATE45/570_MA5303] |
9 | ATS-47/520 | Switch S5624PDSLAM MA5303 | [ATE47/520_S5624P][ATE47/520_MA5303] |
10 | IRLCM 575 | Switch S5624PDSLAM MA5303 | [IRLCM575_S5624P][IRLCM575_MA5303] |
11 | IRLCM 526/528 | Switch S5624PDSLAM MA5303 | [IRLCM526/528_S5624P][IRLCM526/528_MA5303] |
2.10 Схемы подключения клиентов
В этом разделе приводятся схемы взаимодействия оборудования, на основании которых производится настройка для предоставления услуг. Выделяются три типа подключений клиентов, различных, с точки зрения оборудования СПУ (в пределах типа все услуги представляются одинаковыми):
- первое подключение, ориентированное на случай, в котором пользователь ещё не активизировал свой контракт;
- подключение к услугам доступа с оплатой по факту;
- подключение к услугам с предварительной оплатой.
Кроме схем взаимодействия, в данном разделе также описываются функции, выполняемые каждым элементом СПУ.
2.10.1 Первое подключение
Подключение клиентов к шлюзу выбора услуг производится по протоколу PPPoE.
Рисунок 2.16 Схема взаимодействия компонентов при первом соединении клиента
При первом подключении клиент ещё не активировал контракт и у него нет имени и пароля для полноценного соединения, с предоставлением доступа к каким-то услугам. Поэтому для подключения используются предопределённое имя пользователя «megaline» и пароль «megaline». Для клиента с таким именем не определены доступные услуги и, соответственно, в SSG не создаётся Host Object (Рисунок 2.16).
При попытке соединения с любым сервером в Internet по протоколу TCP, порт 80, SSG рассматривает этого клиента как неидентифицированного и использует соответствующий блок конфигурации (TCP Redirect) для перенаправления клиента на сервер для первого входа. На этом сервере клиент может оформить активацию своего контракта и получает имя и пароль для доступа к услугам по PPPoE, а также может получить дополнительные инструкции для конфигурирования соединения.
Таким образом, для реализации механизма первого входа требуется конфигурирование SSG как PPPoE сервера для выдачи клиенту следующих параметров:
- IP адрес клиента;
- IP адреса серверов DNS.
Кроме того, на SSG конфигурируется функция TCP Redirect таким образом, чтобы все web-запросы на порт 80 приводили к перенаправлению клиента на сервер SESM (82.200.157.18), порт 90.
Порт 90 на сервере SESM контролирует приложение Captive Portal, производящее перенаправление клиента на нужную страницу сервера для первого входа: http://cabinet.megaline.kz:8080/billing-dealer/index.do.
Таким образом, при первом входе клиента задействуются следующие компоненты.
SSG:
- выступает в качестве сервера PPPoE;
- взаимодействует с сервером CAR по протоколу RADIUS для идентификации клиента;
- выдаёт клиенту параметры подключения;
a) IP адрес;
b) адреса серверов DNS.
SESM:
- производит перенаправление произвольного запроса клиента на преопределённый URL сервера первого входа.
Сервер первого входа:
- отображает страницы личного кабинета и активации контракта CAR;
- взаимодействует с SSG и биллинговой системой для идентификации клиента и считывания необходимых для организации соединения параметров:
a) session timeout;
b) idle timeout;
c) названия доступных сервисов;
d) скорость подключения к сервисам.
2.10.2 Подключение к услуге с оплатой по факту
В этом случае, после прохождения проверки имени и пароля клиент рассматривается SSG как идентифицированный. Для всех идентифицированных клиентов автоматически активируется доступ к услугам, соответствующим их тарифным планам. Таким образом, клиент может получить доступ к серверам активированных услуг, не предпринимая никаких дополнительных действий (Рисунок 2.17).