Дипломная работа: Проектирование сети Metro Ethernet в городе Павлодаре

-     сеть, объединяющая VLAN AAA-ACCESS в региональных и центральном узле;

-     сеть, объединяющая VLAN SERVICE-ACCESS в центральном узле и CENTRAL-SERVICES в региональных.

Пропускная способность VPN AAA-ACCESS от регионального узла до центрального должна составлять не менее 500 бит/сек на каждого клиента регионального узла. Обратный канал должен иметь пропускную способность не менее 50 бит/сек на каждого клиента. Оценка необходимой пропускной способности остальных VPN производится на этапе внедрения дополнительных услуг с учётом статистики использования серверов портала и услуг.

Для маршрутизации в каждом VPN используется протокол BGP (eBGP). Шлюзы выбора услуг находятся в автономной системе номер 64600, относящейся к частному блоку нумерации автономных систем и получает от маршрутизатора МСПД маршруты на все остальные сегменты данного VPN.

Подключение к сети Интернет производится путём выделения для этих целей отдельных логических интерфейсов на шлюзе выбора услуг и магистральном машрутизаторе, имеющих публичные IP адреса (VLAN 109). Маршрутизация трафика также производится по протоколу BGP (eBGP), шлюз выбора услуг получает от маршрутизатора МСПД только маршрут по умолчанию, а обратный трафик маршрутизируется в соответствии с политикой АО «Казахтелеком», реализованной на пограничных маршрутизаторах.

2.8 Организация соединения с магистральной сетью IP/MPLS

Центральный узел сети расположен в г. Павлодар на АТС-32 (Рисунок 2.15). Центральный узел сети реализован на основе устройства Cisco 7206VXR SSG (рассмотрение его вне рамок данного проекта) и двух коммутаторов S6506 и S5624P. Помимо активного оборудования на центральном узле расположены серверы для организации системы управления сетью (iManager N2000).

Основной задачей активного оборудования центрального узла является обеспечение взаимодействия с устройствами P/PE магистральной сети MPLS на уровне интеграции услуг IP, а также терминации пользовательского трафика РРРоЕ на сервере выбора услуг SSG. Основной задачей коммутаторов являются стыковка с магистральной сетью IP/MPLS для организации услуг L3VPN, обеспечение каналов между городской сетью Metro Ethernet г. Павлодар, Екибастуз, Аксу и магистральной сетью. Реализация функционала пограничного устройства РЕ осуществляется в рамках проекта построения магистрального сегмента сети АО «Казахтелеком» и так же не входит в рамки данного проекта. Схема подключения оборудования центрального узла представлена на чертеже Metro-2-4-05.

Посредством оптических каналов организованы линки Gigabit Ethernet к активному оборудованию узлов на АТС-53 и АТС-47/520. Маршрутизатор Cisco 7206VXR SSG, выполняющий функции шлюза выбора услуг, подключен отдельными интерфейсами к коммутатору S6506. Подключение системы управление проектируется осуществить через коммутатор уровня мониторинга S3026T. Подключение внешних сетей производится на портах коммутаторов S5624P.

В данном проекте все коммутаторы сети объединены в единый L2 домен, поэтому нумерация VLAN на центральном узле производится в соответствии с таблицей распределения номеров VLAN Таблица 3. Для подключения сервера выделяется отдельный VLAN. Это позволяет обеспечить безопасность путем установления соответствующих листов доступа на соответствующих портах маршрутизатора.

Коммутатор S3026T используется в качестве устройства для подключения оборудования мониторинга. Помимо активного оборудования на центральном узле расположены сервер Manager 2000 и два терминала, предназначенных для организации системы управления сетью.

Организация соединения сегмента сети Metro Ethernet г. Павлодар, с магистральным сегментом сети АО «Казахтелеком» производится на центральном узле посредством подключения РЕ устройства к коммутатору S6506. При этом для обеспечения резервирования используется подключение двумя различными интерфейсами GE к портам коммутатора. На данном этапе не является целесообразным активирование протокола динамической маршрутизации между устройствами городской сети и магистрального сегмента. В последующем, в случае построения единой системы управления, и необходимости объединения адресных пространств, для данных целей возможно использование как статической, так и динамической маршрутизации.

Для обеспечения сервиса L3VPN клиентам городской сети производится объединение сегмента сети Metro Ethernet г. Павлодар, Екибастуз, Аксу с магистральным сегментом сети АО «Казахтелеком» посредством терминации L2VPN клиента сети на РЕ устройстве и организация маршрутизации в соответствии с договоренностью между клиентом и АО «Казахтелеком».

Рисунок 2.15 Схема организации Центрального узла

2.9 Принципы именования устройств в сети

Для систематизации и упрощения работы обслуживающего персонала при работах на сети MetroEthernet г. Павлодара, принята следующая система обозначения устройств в сети:

Таблица 5 Именование устройств в сети.

2.10 Схемы подключения клиентов

В этом разделе приводятся схемы взаимодействия оборудования, на основании которых производится настройка для предоставления услуг. Выделяются три типа подключений клиентов, различных, с точки зрения оборудования СПУ (в пределах типа все услуги представляются одинаковыми):

-     первое подключение, ориентированное на случай, в котором пользователь ещё не активизировал свой контракт;

-     подключение к услугам доступа с оплатой по факту;

-     подключение к услугам с предварительной оплатой.

Кроме схем взаимодействия, в данном разделе также описываются функции, выполняемые каждым элементом СПУ.

2.10.1 Первое подключение

Подключение клиентов к шлюзу выбора услуг производится по протоколу PPPoE.

Рисунок 2.16 Схема взаимодействия компонентов при первом соединении клиента

При первом подключении клиент ещё не активировал контракт и у него нет имени и пароля для полноценного соединения, с предоставлением доступа к каким-то услугам. Поэтому для подключения используются предопределённое имя пользователя «megaline» и пароль «megaline». Для клиента с таким именем не определены доступные услуги и, соответственно, в SSG не создаётся Host Object (Рисунок 2.16).

При попытке соединения с любым сервером в Internet по протоколу TCP, порт 80, SSG рассматривает этого клиента как неидентифицированного и использует соответствующий блок конфигурации (TCP Redirect) для перенаправления клиента на сервер для первого входа. На этом сервере клиент может оформить активацию своего контракта и получает имя и пароль для доступа к услугам по PPPoE, а также может получить дополнительные инструкции для конфигурирования соединения.

Таким образом, для реализации механизма первого входа требуется конфигурирование SSG как PPPoE сервера для выдачи клиенту следующих параметров:

-     IP адрес клиента;

-     IP адреса серверов DNS.

Кроме того, на SSG конфигурируется функция TCP Redirect таким образом, чтобы все web-запросы на порт 80 приводили к перенаправлению клиента на сервер SESM (82.200.157.18), порт 90.

Порт 90 на сервере SESM контролирует приложение Captive Portal, производящее перенаправление клиента на нужную страницу сервера для первого входа: http://cabinet.megaline.kz:8080/billing-dealer/index.do.

Таким образом, при первом входе клиента задействуются следующие компоненты.

SSG:

-     выступает в качестве сервера PPPoE;

-     взаимодействует с сервером CAR по протоколу RADIUS для идентификации клиента;

-     выдаёт клиенту параметры подключения;

a)   IP адрес;

b)   адреса серверов DNS.

SESM:

-     производит перенаправление произвольного запроса клиента на преопределённый URL сервера первого входа.

Сервер первого входа:

-     отображает страницы личного кабинета и активации контракта CAR;

-     взаимодействует с SSG и биллинговой системой для идентификации клиента и считывания необходимых для организации соединения параметров:

a)   session timeout;

b)   idle timeout;

c)    названия доступных сервисов;

d)   скорость подключения к сервисам.

2.10.2 Подключение к услуге с оплатой по факту

В этом случае, после прохождения проверки имени и пароля клиент рассматривается SSG как идентифицированный. Для всех идентифицированных клиентов автоматически активируется доступ к услугам, соответствующим их тарифным планам. Таким образом, клиент может получить доступ к серверам активированных услуг, не предпринимая никаких дополнительных действий (Рисунок 2.17).

Активация услуг происходит в два этапа. На первом этапе шлюз выбора услуг аутентифицирует клиента, подключающегося по протоколу PPPoE и получает в пакете RADIUS Access Accept атрибут Cisco-SSG-Account-Info, содержащий список доступных клиенту услуг, указания по автоматической активации определённых услуг, а также возможное ограничение скорости доступа. После этого шлюз выбора услуг запрашивает сервер RADIUS о параметрах услуг, которые должны быть активированы автоматически и подключает клиента к этим услугам в соответствии с полученными данными.

Так как для всех клиентов автоматически активируется услуга доступа к сети Internet, то при попытке доступа к серверам с ограниченным доступом (Walled Garden), центральным или региональным, запросы перенаправляются в Internet. Для корректного доступа к серверам услуг Walled Garden необходимо произвести активацию соответствующей услуги на сервере SESM: http://service.megaline.kz:93. После активации услуги SSG может корректно маршрутизировать запросы данного клиента к серверам услуг.

Для доступа к SESM и серверам портала применяется механизм Port Bundling, осуществляющий трансляцию адреса и порта клиента в выделенный адрес и блок портов, по которым производится идентификация клиента при дальнейшем обмене информацией между SSG и SESM.

Так как на SESM включается функция Single SignOn, идентификация клиента для доступа к странице выбора услуг не производится. После получения запроса клиента SESM обращается на SSG с использованием фирменной модификации протокола RADIUS за информацией о клиенте, сообщая SSG адрес и порт клиента. По этим данным SSG определяет имя пользователя и возвращает информацию о том, что клиент прошёл идентификацию, а также список услуг, доступных клиенту. Протокол взаимодействия не нуждается в настройке и модифицируется при появлении новой функциональности SSG и SESM.

Рисунок 2.17 Схема взаимодействия компонентов при активации услуг с оплатой по факту

Для отображения доступных пользователю услуг на странице выбора услуг недостаточно информации о том, какие услуги доступны, а необходима также информация о типах сервисов (режим одновременного или неодновременного использования, необходимость дополнительной идентификации, описание услуги для отображения). С целью получения этой информации, SESM обращается на CAR по протоколу RADIUS (Access Request), передавая в качестве имени пользователя название сервиса. В ответном пакете (Access Accept) CAR возвращает параметры сервиса. После этого SESM может отобразить список услуг, доступных пользователю.

В данном случае предполагается, что Cisco Access Registrar для проверки пароля пользователей, получения информации о доступных сервисах и параметрах сервисов использует обращение в базу данных биллинговой системы по технологии ODBC.

Таким образом, при предоставлении услуг с оплатой по факту задействуются следующие компоненты.

SSG:

-     выступает в качестве сервера PPPoE;

-     взаимодействует с сервером CAR по протоколу RADIUS для идентификации клиента, получения информации о разрешённых услугах и параметров услуг;

-     выдаёт клиенту параметры подключения:

a)   IP адрес;

b)   адреса серверов DNS.

SESM:

-     выполняет взаимодействие с SSG и CAR для отображения списка доступных услуг и сообщения SSG о выборе, сделанном клиентом.

CAR:

-     взаимодействует с SSG и биллинговой системой для идентификации клиента и считывания необходимых для организации соединения параметров:

a)   session timeout;

b)   idle timeout;

c)    названия доступных сервисов;

d)   скорость подключения к сервисам.

-     взаимодействует с SSG, SESM и биллинговой системой для определения параметров сервиса:

a)   session timeout;

b)   idle timeout;

c)    тип сервиса;

d)   маршруты сервиса;

e)    скорость подключения к данному сервису.

-     взаимодействует с SSG и биллинговой системой для записи статистической информации в базу данных биллинговой системы и локальную файловую систему.

2.10.3 Подключение к услуге с предварительной оплатой

В случае необходимости выбора услуги с предварительной оплатой, с точки зрения подключения клиента ничего не меняется по сравнению со случаем услуги с оплатой по факту, однако, в механизм взаимодействия SSG и биллинговой системой добавляется шаг, связанный с контролем доступных средств на счету клиента. На рисунке 2.18 представлен случай активации услуги с предварительной оплатой на странице выбора услуг SESM, однако, также возможна автоматическая активация таких услуг.

Для реализации такого контроля шлюз выбора услуг запрашивает параметры, по которым необходимо производить учёт трафика клиентов. В качестве таких параметров могут выступать:

-     объём переданных данных;

-     объём полученных данных;

-     суммарный объём переданных или полученных данных;

-     время соединения.

Кроме того, возможно проводить учёт по комбинации любых двух из этих параметров. Биллинговая система передаёт шлюзу выбора услуг доступные клиенту значения параметров. Шлюз выбора услуг следит за тем, чтобы полученные с сервера RADIUS параметры не были превышены. С целью придания большей гибкости системе предоставления услуг (предоставление нескольких предоплаченных услуг; возможность пользования услугами, отличными от услуг передачи данных) биллинговая система настраивается таким образом, чтобы передавать данные о доступных клиенту значениях параметров по частям, в виде некоторой квоты, при исчерпании (превышении объёма данных или времени соединения) которой SSG снова запрашивает доступные ресурсы.

Рисунок 2.18 Схема взаимодействия компонентов при активации услуги с предварительной оплатой

Таким образом, необходимо выполнить дополнительную настройку SSG и CAR для выполнения авторизации клиентов по мере исчерпания квоты.

Предоставление этого типа услуг и соответствующие настройки относятся ко второму этапу реализации проекта. Схемы подключения клиентов.

2.11 Конфигурация услуг

В начальной конфигурации данной сети настраиваются следующие услуги:

-     доступ к сети Internet:

a)   со скоростью 128 Кбит/с;

b)   со скоростью 256 Кбит/с;

c)    со скоростью 384 Кбит/с;

d)   со скоростью 512 Кбит/с;

-     доступ к казахстанской части Internet:

a)   со скоростью 128 Кбит/с;

b)   со скоростью 256 Кбит/с;

c)    со скоростью 384 Кбит/с;

d)   со скоростью 512 Кбит/с.

Доступ к дополнительным услугам вне площадок АО «Казахтелеком» (Walled Garden):

-     к серверам Radio:

a)   со скоростью 128 Кбит/с;

b)   со скоростью 256 Кбит/с;

c)    со скоростью 384 Кбит/с;

d)   со скоростью 512 Кбит/с;

-     к серверам MP3:

a)   со скоростью 128 Кбит/с;

b)   со скоростью 256 Кбит/с;

c)    со скоростью 384 Кбит/с;

d)   со скоростью 512 Кбит/с;

-     к серверам Game:

a)   со скоростью 128 Кбит/с;

b)   со скоростью 256 Кбит/с;

c)    со скоростью 384 Кбит/с;

d)   со скоростью 512 Кбит/с.

Договор с клиентом включает определённую скорость доступа к каждой из этих услуг, активируемых автоматически. Скорость доступа изменяется при изменении договора. Перечисленные услуги не отображаются на странице выбора услуг SESM, так как их включение и отключение не подлежит динамическому управлению.

Таблица 5 Пример профиля клиента

Все услуги предоставляются в режиме оплаты по факту.

Суффикс «@postpaid» добавляется к именам сервисов для упрощения дальнейшей обработки запросов сервером CAR. При описании сервисов в базе данных (таблица 5) суффикс не используется.

Таблица 6 Пример параметры услуг

2.12 Состав оборудования сети

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10