Дипломная работа: Проектирование сети Metro Ethernet в городе Павлодаре
Рисунок 2.11 Формирование связей в шлюзе выбора услуг
2.6 Схемы организации узлов
14 узлов проектируемой СПУ можно разделить на два типа: один центральный (в г. Павлодар) и 13 региональных. Эти узлы различаются, как по составу оборудования и функциональности, так и по требованиям безопасности и надёжности. Данный документ описывает структуру регионального узла.
2.6.1 Региональные узлы
Схема физических соединений на региональных узлах приведена на рисунке 2.12.
Рисунок 2.12 Схема физических соединений регионального узла
В региональном узле располагаются только шлюзы выбора услуг, которые подключаются к двум коммутаторам городской сети передачи данных каналами Gigabit Ethernet.
Логическая схема регионального узла представлена на рисунке 2.13.
Рисунок 2.13 Логическая схема регионального узла
Распределение VLAN и IP адресов в региональном узле приводится в таблице 2.2.
Таблица 2.2 Характеристики VLAN регионального узла
Название VLAN | Номер VLAN | Описание |
USER ACCESS | 115 – 146 | Сегмент подключения клиентов по PPPoE |
OPEN-GARDEN | 100 | Серверы общедоступных бесплатных услуг |
WALLED-GARDEN-1 –WALLED-GARDEN-32 | 500 – 531 | Серверы услуг с контролируемым доступом |
MGMT | 101 | Сегмент управления оборудованием центрального узла |
PORTAL-ACCESS | 110 | Доступ к порталу со стороны региональных узлов |
AAA-ACCESS | 111 | Доступ к серверам RADIUS со стороны региональных узлов |
CENTRAL-SERVICES | 108 | Доступ к серверам услуг центрального узла со стороны региональных узлов |
INTERNET-ACCESS | 109 | Доступ в Internet |
Распределение адресов в организуемых VLAN приводится в таблице 2.3
Таблица 2.3 Распределение IP адресов в VLAN регионального узла
USER-ACCESS (VLAN 115) | 82.200.207.0/24 |
OPEN-GARDEN | 10.8.25.0/25 |
WALLED-GARDEN-1 (VLAN 500) | 10.8.25.128/29 |
MGMT | нет данных |
PORTAL-ACCESS | 10.8.14.64/29 |
AAA-ACCESS | 10.8.15.64/29 |
CENTRAL-SERVICES | 10.8.16.64/29 |
INTERNET-ACCESS | 82.200.175.0/29 |
Во всех сегментах старший адрес присваивается шлюзу выбора услуг. В сегментах PORTAL-ACCESS, AAA-ACCESS, CENTRAL-SERVICES и INTERNET-ACCESS младший адрес сегмента используется магистральным маршрутизатором.
2.6.2 Конфигурация концентраторов ADSL
Подключение DSLAM к городским сетям передачи данных выполняется посредством интерфейсов Ethernet, работающих в режиме 802.1Q. Для подключения домашних пользователей используются VLAN из диапазона 115 – 146, причём на разных DSLAM используются разные VLAN.
DSLAM конфигурируется таким образом, чтобы трафик клиентов системы предоставления услуг коммутировался через него на уровне 2. Оконечное оборудование также используется в режиме прозрачной коммутации пакетов Ethernet (bridging).
Конфигурация выполняется в соответствии со схемой, представленной на рисунке 2.14
Безопасность клиентов от атак изнутри городской сети обеспечивается путём конфигурирования запрета взаимодействия между клиентами посредством DSLAM, а также выделения трафика таких клиентов на каждом DSLAM в отдельные VLAN.
Рисунок 2.14 Схема для конфигурации DSLAM
Безопасность клиентов от атак изнутри городской сети обеспечивается путём конфигурирования запрета взаимодействия между клиентами посредством DSLAM, а также выделения трафика таких клиентов на каждом DSLAM в отдельные VLAN.
2.7 Сопряжение с транспортными сетями передачи данных
Для сопряжения шлюзов выбора услуг с городскими сетями передачи данных необходимо обеспечить организацию необходимых VLAN (таблица 2.2).
Порты коммутаторов, к которым подключаются шлюзы выбора услуг и магистральные маршрутизаторы конфигурируются для работы в режиме 802.1Q. При этом, все перечисленные в таблице 2.2 VLAN должны быть разрешены на портах, к которым подключаются шлюзы выбора услуг, а на портах, к которым подключаются магистральные маршрутизаторы должны быть разрешены VLAN INTERNET-ACCESS, PORTAL-ACCESS, CENTRAL-SERVICES и AAA-ACCESS.
На оборудовании магистральной сети необходимо организовать следующие виртуальные частные сети:
- сеть, объединяющая VLAN PORTAL-ACCESS в региональных и центральном узле;
- сеть, объединяющая VLAN AAA-ACCESS в региональных и центральном узле;
- сеть, объединяющая VLAN SERVICE-ACCESS в центральном узле и CENTRAL-SERVICES в региональных.
Пропускная способность VPN AAA-ACCESS от регионального узла до центрального должна составлять не менее 500 бит/сек на каждого клиента регионального узла. Обратный канал должен иметь пропускную способность не менее 50 бит/сек на каждого клиента. Оценка необходимой пропускной способности остальных VPN производится на этапе внедрения дополнительных услуг с учётом статистики использования серверов портала и услуг.
Для маршрутизации в каждом VPN используется протокол BGP (eBGP). Шлюзы выбора услуг находятся в автономной системе номер 64600, относящейся к частному блоку нумерации автономных систем и получает от маршрутизатора МСПД маршруты на все остальные сегменты данного VPN.
Подключение к сети Интернет производится путём выделения для этих целей отдельных логических интерфейсов на шлюзе выбора услуг и магистральном машрутизаторе, имеющих публичные IP адреса (VLAN 109). Маршрутизация трафика также производится по протоколу BGP (eBGP), шлюз выбора услуг получает от маршрутизатора МСПД только маршрут по умолчанию, а обратный трафик маршрутизируется в соответствии с политикой АО «Казахтелеком», реализованной на пограничных маршрутизаторах.
2.8 Организация соединения с магистральной сетью IP/MPLS
Центральный узел сети расположен в г. Павлодар на АТС-32 (Рисунок 2.15). Центральный узел сети реализован на основе устройства Cisco 7206VXR SSG (рассмотрение его вне рамок данного проекта) и двух коммутаторов S6506 и S5624P. Помимо активного оборудования на центральном узле расположены серверы для организации системы управления сетью (iManager N2000).
Основной задачей активного оборудования центрального узла является обеспечение взаимодействия с устройствами P/PE магистральной сети MPLS на уровне интеграции услуг IP, а также терминации пользовательского трафика РРРоЕ на сервере выбора услуг SSG. Основной задачей коммутаторов являются стыковка с магистральной сетью IP/MPLS для организации услуг L3VPN, обеспечение каналов между городской сетью Metro Ethernet г. Павлодар, Екибастуз, Аксу и магистральной сетью. Реализация функционала пограничного устройства РЕ осуществляется в рамках проекта построения магистрального сегмента сети АО «Казахтелеком» и так же не входит в рамки данного проекта. Схема подключения оборудования центрального узла представлена на чертеже Metro-2-4-05.
Посредством оптических каналов организованы линки Gigabit Ethernet к активному оборудованию узлов на АТС-53 и АТС-47/520. Маршрутизатор Cisco 7206VXR SSG, выполняющий функции шлюза выбора услуг, подключен отдельными интерфейсами к коммутатору S6506. Подключение системы управление проектируется осуществить через коммутатор уровня мониторинга S3026T. Подключение внешних сетей производится на портах коммутаторов S5624P.
В данном проекте все коммутаторы сети объединены в единый L2 домен, поэтому нумерация VLAN на центральном узле производится в соответствии с таблицей распределения номеров VLAN Таблица 3. Для подключения сервера выделяется отдельный VLAN. Это позволяет обеспечить безопасность путем установления соответствующих листов доступа на соответствующих портах маршрутизатора.
Коммутатор S3026T используется в качестве устройства для подключения оборудования мониторинга. Помимо активного оборудования на центральном узле расположены сервер Manager 2000 и два терминала, предназначенных для организации системы управления сетью.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23