探索煤炭神东煤炭集团宽带系统改造思路前言
最后更新时间:2024-03-14
作者:用户投稿
本站原创
点赞:14786
浏览:60625
本站原创
点赞:14786
浏览:60625
论文导读:用户数不断增加已经出现了东胜宽带用户上网非常慢,投诉不断的情况。而目前的性能评价就在于传输线路资源枯竭和MA5200G的性能已经达到性能极限,对于MA5300和MA5200G之间的带宽也日渐不足,需要针对不足的线路资源进行扩容,确保下联用户在上网高峰时保证有足够的吞吐量。安全问题:目前的宽带用户是通过电话号码作为用户认证
摘要:神东煤炭集团原有小区宽带网络建成已近十年时间,在使用过程中存在诸多问题。针对原有小区宽带存在的问题,经过设计改造,来满足小区用户的需求。
关键词:原有小区宽带;问题;改造方案
1007-9599 (2012) 17-0000-02
1原有小区宽带现状
神东煤炭集团原有小区宽带网络建成已近十年时间。宽带用户的接入方式基本为电话线入户,然后通过ADSL猫将电话线转成网线接宽带用户电脑。宽带的接入设备主要为华为的MA5300、MA5600,宽带的汇聚设备为MA5200G。宽带用户的流量经过猫、MA5300汇聚到MA5200G。MA5200G和S8512以及办公网络的路由设备互联并建立路由关系,从而为宽带流量提供路由,实现宽带用户到互联网及到神华集团广域网的访问。
原有小区宽带根据地理位置,分成大柳塔、东胜、李家畔三个区域。
安全问题:目前的宽带用户是通过电话号码作为用户认证方式,只有欠费审计而没有上网行为审计,神东网已经陆续出现“百度贴吧”等事件而无从查起,因此需要将欠费审计和上网行为审计合
扩展问题:目前的计费和认证机制由于是通过计费服务器直接操作MA5300进行,具有极度化的特征,因此该技术只能用于ADSL宽带,无法向无线宽带,以太宽带和办公宽带上拓展。计费系统也只能针对模拟电话进行计费,而对IP电话或者软交换无能为力,这对于现在的通信趋势的IP电话而言,必须针对计费系统进行升级。
2改造方案
针对神东煤炭原有小区宽带存在的问题,通过采取以下几个措施,来执行我们的改造方案。
(1)通过高端宽带设备论文导读:担。同时,对小区宽带各区域重新编址,新的编址将遵循地域的不同,而且将更加利于汇总,以便减少小区宽带和办公网络之间的静态路由条目。为了提高MA5300上联的带宽,在实施的时候做到以下两点:1、升级传输的板卡。2、消除MA5300之间的级联现象,使MA5300直接连到传输设备或者交换机上。
(2)升级宽带设备到宽带设备之间的链路带宽。
(3)实现对宽带用户计费和身份认证、行为审计功能。
设备的物理拓扑如下。
六台ERX设备和S8512之间运送OSPF路由协议以取代原有的静态路由协议,从而提高宽带路由的管理性。李家畔区域和大柳塔区域到办公网的流量还是从本地核心出,从而做到流量分担。同时,对小区宽带各区域重新编址,新的编址将遵循地域的不同,而且将更加利于汇总,以便减少小区宽带和办公网络之间的静态路由条目。
为了提高MA5300上联的带宽,在实施的时候做到以下两点:1、升级传输的板卡。2、消除MA5300之间的级联现象,使MA5300直接连到传输设备或者交换机上。
(1)小区宽带电脑接入网络,从宽带ERX设备获得IP及DNS。源于:电大毕业论文www.7ctime.com
(2)打开网页浏览器,输入任何一个公网地址,如:,尝试打开。
(3)该web流量到达宽带ERX设备,ERX设备对于没有通过认证的用户web流量重定向到C3000,C3000返回用户一个登录的web界面。
(4)宽带用户输入用户名和然后确定,该用户名和信息发到C3000。
(5)C3000将用户名和信息发给radius服务器,radius服务器查找该用户、信息,若是正确,则返回C3000一个允许信息及相应的带宽,若是不正确,则返回C3000一个拒绝信息。
(6)C3000根据从radius收到的允许、带宽信息,或者拒绝信息,给ERX下发策略,实现对该用户的允许登录、拒绝登录、登录之后赋予带宽的控制。
(7)C3000通过web返回用户一个欢迎界面,提示登录成功,若是用户选择注销,则C3000收到一个离线信息,并将这个离线信息发送给radius服务器。
(8)用户通过认证之后,radius设备开始对该用户计费,包括用户名、IP、流量、上线时间,在用户离线之后,还将添加离线时间、上线时长。
(9)用户在通过认证之后,radius将把在线用户的信息写入到mysql数据库的在线用户表里。
(10)深信服设备对于收到的去往互联网的流量,查询mysql数据库的在线用户表里的在线用户IP,若是发现该流量的IP存在,即表示该用户已经通过C3000的认证,即直接放行流量。
(11)深信服设备根据策略设置,对用户的上网行为进行限制,并将上网行为记录到外置数据中心。
(12)网管可以从外置数据中心查看上网行为记录。
认证计费及行为审计的实现功能图如下:
摘要:神东煤炭集团原有小区宽带网络建成已近十年时间,在使用过程中存在诸多问题。针对原有小区宽带存在的问题,经过设计改造,来满足小区用户的需求。
关键词:原有小区宽带;问题;改造方案
1007-9599 (2012) 17-0000-02
1原有小区宽带现状
神东煤炭集团原有小区宽带网络建成已近十年时间。宽带用户的接入方式基本为电话线入户,然后通过ADSL猫将电话线转成网线接宽带用户电脑。宽带的接入设备主要为华为的MA5300、MA5600,宽带的汇聚设备为MA5200G。宽带用户的流量经过猫、MA5300汇聚到MA5200G。MA5200G和S8512以及办公网络的路由设备互联并建立路由关系,从而为宽带流量提供路由,实现宽带用户到互联网及到神华集团广域网的访问。
原有小区宽带根据地理位置,分成大柳塔、东胜、李家畔三个区域。
1.1大柳塔区域
大柳塔节点下面的宽带用户现在是通过MA5300/MA5200G连接到cisco3560交换机上,网关都在3560上。DHCP和DNS服务器是单独用了一台服务器为大柳塔下面的用户提供自动获取。对于神东内网的访问是通过静态路由实现,对于互联网的访问是通过默认路由直接到linkproof,中间经过allot流量控制系统。1.2东胜区域
东胜节点的宽带用户是通过MA5300连接到cisco3560交换机上,和大柳塔的模式差不多。但是东胜宽带用户用的地址段是办公网的地址段,然后通过ospf宣告办办公网,即东胜宽带用户现在走的就是办公网,上神东内网和互联网都和现有办公网一样的方式。1.3李家畔区域
李家畔节点的宽带用户量多,下面包含很多站点。所有站点都是通过静态路由到李家畔的MA5200G上,然后MA5200G和李家畔的S8512之间再通过静态路由出去。从S8512回指的路由是汇总的10.225.0.0/16,对互联网的访问流量和大柳塔的宽带用户一样汇聚到李家畔的边界交换机6509,再通过6509,经统一的流量控制系统,到达负载均衡设备,对于神东内网的访问也是通过静态路由实现,对于互联网的访问也是通过默认路由直接到linkproof,中间经过allot流量控制系统。1.4原有小区宽带存在的问题
性能瓶颈:小区宽带用户的业务流量为宽带用户->MA5300->传输线路->MA5200G->神东办公网互联网出口,小区宽带用户上网必须经过MA5300->传输线路->MA5200G才能够上互联网,而目前东胜,伊旗维修中心等关键通信节点的传输线路资源枯竭,大柳塔等地的MA5200G设备资源也已经达到其性能极限,随着当前宽带用户数不断增加已经出现了东胜宽带用户上网非常慢,投诉不断的情况。而目前的性能评价就在于传输线路资源枯竭和MA5200G的性能已经达到性能极限,对于MA5300和MA5200G之间的带宽也日渐不足,需要针对不足的线路资源进行扩容,确保下联用户在上网高峰时保证有足够的吞吐量。安全问题:目前的宽带用户是通过电话号码作为用户认证方式,只有欠费审计而没有上网行为审计,神东网已经陆续出现“百度贴吧”等事件而无从查起,因此需要将欠费审计和上网行为审计合
一、并且提供给用户统一的认证和计费界面,便于用户使用。
维护问题:业务类型和质量控制均在MA5300上进行数据设置,目前全神东集团的MA5300超过30台,总端口数超过2万,而目前的业务类型,服务质量保障,欠费停机,带宽限制等操作均直接在MA5300上配置,而且由于神东宽带网建设逐步建设的原因,配置技术使用多种多样,隔离技术参差不齐,现在已经达到了手工维护的极限,配置已经很多年没有办法审计其合理性,因此该配置技术极需要梳理、改善、统一管理。扩展问题:目前的计费和认证机制由于是通过计费服务器直接操作MA5300进行,具有极度化的特征,因此该技术只能用于ADSL宽带,无法向无线宽带,以太宽带和办公宽带上拓展。计费系统也只能针对模拟电话进行计费,而对IP电话或者软交换无能为力,这对于现在的通信趋势的IP电话而言,必须针对计费系统进行升级。
2改造方案
针对神东煤炭原有小区宽带存在的问题,通过采取以下几个措施,来执行我们的改造方案。
(1)通过高端宽带设备论文导读:担。同时,对小区宽带各区域重新编址,新的编址将遵循地域的不同,而且将更加利于汇总,以便减少小区宽带和办公网络之间的静态路由条目。为了提高MA5300上联的带宽,在实施的时候做到以下两点:1、升级传输的板卡。2、消除MA5300之间的级联现象,使MA5300直接连到传输设备或者交换机上。
3、尽量使每个区域下的MA5300设备分散到
Juniper ERX1440/310替换现在的MA5200设备,提高设备性能。(2)升级宽带设备到宽带设备之间的链路带宽。
(3)实现对宽带用户计费和身份认证、行为审计功能。
2.1设备部署
本方案中设备部署部分主要包括六台juniper ERX宽带设备的部署。部署的原则基于各区域宽带流量的大小。李家畔区域下联李家畔本地、补连塔方向、黑炭沟方向的小区宽带用户,用户数量最大,所以在此部署一台ERX1440和两台ERX310;大柳塔区域的用户数量也较大,部署一台ERX1440和一台ERX310;康城下联的用户数较少,仅部署一台ERX310。所有的小区宽带用户的网关都设置在ERX设备上。设备的物理拓扑如下。
六台ERX设备和S8512之间运送OSPF路由协议以取代原有的静态路由协议,从而提高宽带路由的管理性。李家畔区域和大柳塔区域到办公网的流量还是从本地核心出,从而做到流量分担。同时,对小区宽带各区域重新编址,新的编址将遵循地域的不同,而且将更加利于汇总,以便减少小区宽带和办公网络之间的静态路由条目。
为了提高MA5300上联的带宽,在实施的时候做到以下两点:1、升级传输的板卡。2、消除MA5300之间的级联现象,使MA5300直接连到传输设备或者交换机上。
3、尽量使每个区域下的MA5300设备分散到不同的汇聚设备,即ERX设备上。
2.2新的认证和计费方式
新的认证采用web登录及radius计费的方式。具体的实现过程如下:(1)小区宽带电脑接入网络,从宽带ERX设备获得IP及DNS。源于:电大毕业论文www.7ctime.com
(2)打开网页浏览器,输入任何一个公网地址,如:,尝试打开。
(3)该web流量到达宽带ERX设备,ERX设备对于没有通过认证的用户web流量重定向到C3000,C3000返回用户一个登录的web界面。
(4)宽带用户输入用户名和然后确定,该用户名和信息发到C3000。
(5)C3000将用户名和信息发给radius服务器,radius服务器查找该用户、信息,若是正确,则返回C3000一个允许信息及相应的带宽,若是不正确,则返回C3000一个拒绝信息。
(6)C3000根据从radius收到的允许、带宽信息,或者拒绝信息,给ERX下发策略,实现对该用户的允许登录、拒绝登录、登录之后赋予带宽的控制。
(7)C3000通过web返回用户一个欢迎界面,提示登录成功,若是用户选择注销,则C3000收到一个离线信息,并将这个离线信息发送给radius服务器。
(8)用户通过认证之后,radius设备开始对该用户计费,包括用户名、IP、流量、上线时间,在用户离线之后,还将添加离线时间、上线时长。
(9)用户在通过认证之后,radius将把在线用户的信息写入到mysql数据库的在线用户表里。
(10)深信服设备对于收到的去往互联网的流量,查询mysql数据库的在线用户表里的在线用户IP,若是发现该流量的IP存在,即表示该用户已经通过C3000的认证,即直接放行流量。
(11)深信服设备根据策略设置,对用户的上网行为进行限制,并将上网行为记录到外置数据中心。
(12)网管可以从外置数据中心查看上网行为记录。
认证计费及行为审计的实现功能图如下: