城域网的建设与应用
2.区域城市城域网建设
区域城市的宽带业务经过多年的培育,现已进入高速增长期。这一切主要得益于网络运营商完善的市场跟踪体系、成功的营销策略和运营模式。由于宽带业务具有与传统电信业务不同的业务模式和价值链,仅拥有骨干网、宽带城域网与驻地网的建设方面的优势并不足以保证在宽带业务上获得成功。在宽带产业链各个节点寻求突破的情况下,区域城市建网要充分利用现有资源,加快与设备提供商合作,发展与内容服务商的良好关系,将用户的需求放在第一位,为用户提供各种有价值的内容与服务,并与之营造宽带价值链的“共赢”局面。
2.1从ATM过渡到IP城域网
区域城市一般同时拥有ATM和IP两套骨干网络系统,但目前的ATM网络资源很大程度上为普通ADSL接入用户所占用,并没有很好地发挥ATM应有的优势,而且现有ATM经过多年运营,其网络容量和端口数量等已渐渐不能满足数据业务发展的要求。考虑到IP已成为城域网的主流,区域城市后期将不会大力扩容ATM网络,新增宽带用户将直接通过IP城域网接入。原有ADSL用户也尽量在本地完成ATMPVC(永久虚连接)的终结,以减轻ATM骨干网的压力,为其它需要严格QoS保证的宽带专线等业务提供更多的ATM资源。
在IP城域网方面,区域城市要充分利用已经建成比较完善的核心路由器和高性能路由交换机组成IP的骨干城域网,宽带接入网是下一步网络建设的重点。此阶段需要重点考虑的是投资回报率、方便灵活的用户管理和网络管理、可扩展性和增值业务提供的能力等实际问题。通过充分论证和比较,区域城市应采用了智能宽带接入网解决方案。汇聚层采用宽带接入服务器(BAS ) 作为用户管理和智能业务提供平台,对于现有网络,如果采用大容量BAS集中放置,则需要在现有IP骨干网的路由交换机之间启用基于802.1Q的VLAN通道,这容易造成广播风波,不利于网络的稳定运行,因此实际建设中选用多台中小容量的宽带接入服务器ZXE10-UAS1500和ZXE10-UAS2500分布式组网,实现各县市用户的本地BAS直接管理,同时结合后台的ZXE10-3AS业务管理系统,为用户提供各种智能和增值业务。
2.2接入网首推ADSL
单一的包月制现已很难同时满足不同用户的需要,丰富的计费和业务提供能力是本智能宽带接入网建设的重要目标之一。ZXE10-3AS采用跨平台的模块化系统结构,具备灵活的计费规则引擎和丰富的计费策略定制功能,如一次划价时间计费(秒、六秒、分钟、小时)、一次划价流量计费(千字节、兆字节)、二次划价日期段优惠、二次划价时间段优惠、二次划价星期段优惠、三次划价金额数目优惠等;支持客户组概念,每个客户组可以具有不同的权限和计费方式,便于开展带宽批发等各种增值业务。同时提供强大的Portal(门户)功能,可以实现用户的在线动态速率调整、在线业务选择和区分业务的计费,具备完善的业务扩展能力和开放的系统接口。
在具体接入手段选择的过程中,ADSL以其技术成熟、无需线路投资、即开即通、开通率高、线路维护成本低等诸多优势在与FTTB LAN方式的竞争中脱颖而出,成为区域城市的首选。考虑到后期扩容和管理的方便,智能宽带接入网建设中的接入设备应采用大容量的ZXDSL8210 , ZXDSL8210支持E1/ATM/GE/FE等各种接口,可以实现多级星形或链形级联。但考虑到实际情况,对用户较少且缺少光纤资源的部分乡镇和边缘节点,则采用小容量的 ZXDSL8426 ,ZXDSL8426同时支持FE和E1接口,可充分利用现有的传输资源,通过多个E1接口捆绑,实现与端局机房的大容量 ZXDSL8210级联。普通用户采用PPPOE宽带拨号方式上网,集团用户或网吧等其他大客户则可以根据实际需要,采用用户名与PVC或VLAN ID绑定的方式实现专线用户的认证和计费。
2.3 发展小区VLAN无线接入
对于无线接入网络,人们最关心的问题恐怕就是如何将无线用户接入适当的有线VLAN。有线网络中的VLAN用户身份通常都是由用户的物理层二层交换机或三层路由器连接端口来定义的。但在无线网络中,用户根本没有与任何物理端口连接。利用基于角色的VLAN关联来进行用户识别。这种方法可以利用一系列标准的验证方法,如基于HTTP捕获端口和802.1x等可选验证机制来判断出正确的VLAN用户身份。 然而,802.1x基于端口的验证方法则可以提供一个有效的框架,为以太网和无线网络上的用户提供基站访问授权。802.1x使用可扩展验证协议(EAP)来中继局域网基站(请求者)、以太网交换机或无线接入点(验证者)与RADIUS服务器(验证服务器)之间的端口访问请求。
用于保护Wi-Fi网络用户的核心机制是基于数据加密和用户验证的方法,而非通常使用的基于角色的验证方法。基于角色的802.1x VLAN关联具有很大的吸引力,因为它可以提供合理的工作组流量分割,并且更容易与有线网络上配置的安全和流量工程策略集成在一起。
网络管理员通常都希望为所有用户保留原有的扩展服务集ID(ESSID)和加密档案。这样,当用户进入无线局域网时,系统可根据验证服务器上已经配置好的属性,将用户分配至不同VLAN内的不同工作组中。如果不使用基于角色的VLAN,这种方法基本上是不可能实现的,除非对无线局域网的许许多多配置逐个调整,为每个用户组引入新的ESSID。这种做法无疑需要巨大的资金投入和高昂的运营费用。
无线局域网交换机可以支持各种类型的用户角色,以及不同的访问权限和VLAN关联。它还可以支持多种类型的服务器规则,并从中引申出用户角色,如RADIUS服务器发出的访问接受信息中的RADIUS属性。例如,某一条服务器规则用于提取某个特定RADIUS属性中的数值,并使用该数值作为角色。在802.1x验证中,客户机通过一个无线局域网交换机验证至RADIUS服务器。然后,无线局域网根据执行服务器规则后产生的角色,在VLAN与客户机之间建立关联。
一旦与接入点之间的关联建立完成,无线局域网交换机将客户机置于未授权状态下。在这种状态下,只有客户机生成的802.1x EAP包才能通过无线局域网转发。无线局域网交换机发送一条EAP Request-ID,即用户身份请求信息给客户机。客户机则回应一条EAP Response-ID信息。此后,无线局域网交换机将EAP Response-ID封包为一条RADIUS访问请求信息,并将其转发给RADIUS服务器。
如果验证成功,RADIUS服务器将访问接受信息发送给无线局域网交换机。这条信息可以识别不同的用户属性,如角色和访问权限。然后,无线局域网交换机会对这条回应信息进行解析,并确定客户机应当被分配至哪一个VLAN。
使用该信息,无线局域网交换机便将客户机分置于授权状态下,并发送一条EAP Success信息。此后,交换机才将来自客户机的所有数据流量转发给合适的VLAN。在收到EAP Success信息后,客户机将启动动态主机配置协议,并从基于角色的VLAN上获得一个IP地址。(完)
|
