摘要：神東煤炭集團(tuán)原有小區(qū)寬帶網(wǎng)絡(luò)建成已近十年時(shí)間，在使用過(guò)程中存在諸多問(wèn)題。針對(duì)原有小區(qū)寬帶存在的問(wèn)題，經(jīng)過(guò)設(shè)計(jì)改造，來(lái)滿足小區(qū)用戶的需求。

關(guān)鍵詞：原有小區(qū)寬帶；問(wèn)題；改造方案

中圖分類(lèi)號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 17-0000-02

1 原有小區(qū)寬帶現(xiàn)狀

神東煤炭集團(tuán)原有小區(qū)寬帶網(wǎng)絡(luò)建成已近十年時(shí)間。寬帶用戶的接入方式基本為電話線入戶，然后通過(guò)ADSL貓將電話線轉(zhuǎn)成網(wǎng)線接寬帶用戶電腦。寬帶的接入設(shè)備主要為華為的MA5300、MA5600，寬帶的匯聚設(shè)備為MA5200G。寬帶用戶的流量經(jīng)過(guò)貓、MA5300匯聚到MA5200G。MA5200G和S8512以及辦公網(wǎng)絡(luò)的路由設(shè)備互聯(lián)并建立路由關(guān)系，從而為寬帶流量提供路由，實(shí)現(xiàn)寬帶用戶到互聯(lián)網(wǎng)及到神華集團(tuán)廣域網(wǎng)的訪問(wèn)。

原有小區(qū)寬帶根據(jù)地理位置，分成大柳塔、東勝、李家畔三個(gè)區(qū)域。

1.1 大柳塔區(qū)域

大柳塔節(jié)點(diǎn)下面的寬帶用戶現(xiàn)在是通過(guò)MA5300/MA5200G連接到cisco3560交換機(jī)上，網(wǎng)關(guān)都在3560上。DHCP和DNS服務(wù)器是單獨(dú)用了一臺(tái)服務(wù)器為大柳塔下面的用戶提供自動(dòng)獲取。對(duì)于神東內(nèi)網(wǎng)的訪問(wèn)是通過(guò)靜態(tài)路由實(shí)現(xiàn)，對(duì)于互聯(lián)網(wǎng)的訪問(wèn)是通過(guò)默認(rèn)路由直接到linkproof，中間經(jīng)過(guò)allot流量控制系統(tǒng)。

1.2 東勝區(qū)域

東勝節(jié)點(diǎn)的寬帶用戶是通過(guò)MA5300連接到cisco3560交換機(jī)上，和大柳塔的模式差不多。但是東勝寬帶用戶用的地址段是辦公網(wǎng)的地址段，然后通過(guò)ospf宣告辦辦公網(wǎng)，即東勝寬帶用戶現(xiàn)在走的就是辦公網(wǎng)，上神東內(nèi)網(wǎng)和互聯(lián)網(wǎng)都和現(xiàn)有辦公網(wǎng)一樣的方式。

1.3 李家畔區(qū)域

李家畔節(jié)點(diǎn)的寬帶用戶量多，下面包含很多站點(diǎn)。所有站點(diǎn)都是通過(guò)靜態(tài)路由到李家畔的MA5200G上，然后MA5200G和李家畔的S8512之間再通過(guò)靜態(tài)路由出去。從S8512回指的路由是匯總的10.225.0.0/16，對(duì)互聯(lián)網(wǎng)的訪問(wèn)流量和大柳塔的寬帶用戶一樣匯聚到李家畔的邊界交換機(jī)6509，再通過(guò)6509，經(jīng)統(tǒng)一的流量控制系統(tǒng)，到達(dá)負(fù)載均衡設(shè)備，對(duì)于神東內(nèi)網(wǎng)的訪問(wèn)也是通過(guò)靜態(tài)路由實(shí)現(xiàn)，對(duì)于互聯(lián)網(wǎng)的訪問(wèn)也是通過(guò)默認(rèn)路由直接到linkproof，中間經(jīng)過(guò)allot流量控制系統(tǒng)。

1.4 原有小區(qū)寬帶存在的問(wèn)題

性能瓶頸：小區(qū)寬帶用戶的業(yè)務(wù)流量為寬帶用戶->MA5300->傳輸線路->MA5200G->神東辦公網(wǎng)互聯(lián)網(wǎng)出口，小區(qū)寬帶用戶上網(wǎng)必須經(jīng)過(guò)MA5300->傳輸線路->MA5200G才能夠上互聯(lián)網(wǎng)，而目前東勝，伊旗維修中心等關(guān)鍵通信節(jié)點(diǎn)的傳輸線路資源枯竭，大柳塔等地的MA5200G設(shè)備資源也已經(jīng)達(dá)到其性能極限，隨著當(dāng)前寬帶用戶數(shù)不斷增加已經(jīng)出現(xiàn)了東勝寬帶用戶上網(wǎng)非常慢，投訴不斷的情況。而目前的性能評(píng)價(jià)就在于傳輸線路資源枯竭和MA5200G的性能已經(jīng)達(dá)到性能極限，對(duì)于MA5300和MA5200G之間的帶寬也日漸不足，需要針對(duì)不足的線路資源進(jìn)行擴(kuò)容，確保下聯(lián)用戶在上網(wǎng)高峰時(shí)保證有足夠的吞吐量。

安全問(wèn)題：目前的寬帶用戶是通過(guò)電話號(hào)碼作為用戶認(rèn)證方式，只有欠費(fèi)審計(jì)而沒(méi)有上網(wǎng)行為審計(jì)，神東網(wǎng)已經(jīng)陸續(xù)出現(xiàn)“百度貼吧”等事件而無(wú)從查起，因此需要將欠費(fèi)審計(jì)和上網(wǎng)行為審計(jì)合一，并且提供給用戶統(tǒng)一的認(rèn)證和計(jì)費(fèi)界面，便于用戶使用。

維護(hù)問(wèn)題：業(yè)務(wù)類(lèi)型和質(zhì)量控制均在MA5300上進(jìn)行數(shù)據(jù)設(shè)置，目前全神東集團(tuán)的MA5300超過(guò)30臺(tái)，總端口數(shù)超過(guò)2萬(wàn)，而目前的業(yè)務(wù)類(lèi)型，服務(wù)質(zhì)量保障，欠費(fèi)停機(jī)，帶寬限制等操作均直接在MA5300上配置，而且由于神東寬帶網(wǎng)建設(shè)逐步建設(shè)的原因，配置技術(shù)使用多種多樣，隔離技術(shù)參差不齊，現(xiàn)在已經(jīng)達(dá)到了手工維護(hù)的極限，配置已經(jīng)很多年沒(méi)有辦法審計(jì)其合理性，因此該配置技術(shù)極需要梳理、改善、統(tǒng)一管理。

擴(kuò)展問(wèn)題：目前的計(jì)費(fèi)和認(rèn)證機(jī)制由于是通過(guò)計(jì)費(fèi)服務(wù)器直接操作MA5300進(jìn)行，具有極度定制化的特征，因此該技術(shù)只能用于ADSL寬帶，無(wú)法向無(wú)線寬帶，以太寬帶和辦公寬帶上拓展。計(jì)費(fèi)系統(tǒng)也只能針對(duì)模擬電話進(jìn)行計(jì)費(fèi)，而對(duì)IP電話或者軟交換無(wú)能為力，這對(duì)于現(xiàn)在的通信趨勢(shì)的IP電話而言，必須針對(duì)計(jì)費(fèi)系統(tǒng)進(jìn)行升級(jí)。

2 改造方案

針對(duì)神東煤炭原有小區(qū)寬帶存在的問(wèn)題，通過(guò)采取以下幾個(gè)措施，來(lái)執(zhí)行我們的改造方案。

（1）通過(guò)高端寬帶設(shè)備Juniper ERX1440/310替換現(xiàn)在的MA5200設(shè)備，提高設(shè)備性能。

（2）升級(jí)寬帶設(shè)備到寬帶設(shè)備之間的鏈路帶寬。

（3）實(shí)現(xiàn)對(duì)寬帶用戶計(jì)費(fèi)和身份認(rèn)證、行為審計(jì)功能。

2.1 設(shè)備部署

本方案中設(shè)備部署部分主要包括六臺(tái)juniper ERX寬帶設(shè)備的部署。部署的原則基于各區(qū)域?qū)拵Я髁康拇笮　＠罴遗蠀^(qū)域下聯(lián)李家畔本地、補(bǔ)連塔方向、黑炭溝方向的小區(qū)寬帶用戶，用戶數(shù)量最大，所以在此部署一臺(tái)ERX1440和兩臺(tái)ERX310；大柳塔區(qū)域的用戶數(shù)量也較大，部署一臺(tái)ERX1440和一臺(tái)ERX310；康城下聯(lián)的用戶數(shù)較少，僅部署一臺(tái)ERX310。所有的小區(qū)寬帶用戶的網(wǎng)關(guān)都設(shè)置在ERX設(shè)備上。

設(shè)備的物理拓?fù)淙缦隆?/p>

六臺(tái)ERX設(shè)備和S8512之間運(yùn)送OSPF路由協(xié)議以取代原有的靜態(tài)路由協(xié)議，從而提高寬帶路由的管理性。李家畔區(qū)域和大柳塔區(qū)域到辦公網(wǎng)的流量還是從本地核心出，從而做到流量分擔(dān)。同時(shí)，對(duì)小區(qū)寬帶各區(qū)域重新編址，新的編址將遵循地域的不同，而且將更加利于匯總，以便減少小區(qū)寬帶和辦公網(wǎng)絡(luò)之間的靜態(tài)路由條目。

為了提高M(jìn)A5300上聯(lián)的帶寬，在實(shí)施的時(shí)候做到以下兩點(diǎn)：1、升級(jí)傳輸?shù)陌蹇ā?、消除MA5300之間的級(jí)聯(lián)現(xiàn)象，使MA5300直接連到傳輸設(shè)備或者交換機(jī)上。3、盡量使每個(gè)區(qū)域下的MA5300設(shè)備分散到不同的匯聚設(shè)備，即ERX設(shè)備上。

2.2 新的認(rèn)證和計(jì)費(fèi)方式

新的認(rèn)證采用web登錄及radius計(jì)費(fèi)的方式。具體的實(shí)現(xiàn)過(guò)程如下：

（1）小區(qū)寬帶電腦接入網(wǎng)絡(luò)，從寬帶ERX設(shè)備獲得IP及DNS。

（2）打開(kāi)網(wǎng)頁(yè)瀏覽器，輸入任何一個(gè)公網(wǎng)地址，如：www.sohu.com，嘗試打開(kāi)。

（3）該web流量到達(dá)寬帶ERX設(shè)備，ERX設(shè)備對(duì)于沒(méi)有通過(guò)認(rèn)證的用戶web流量重定向到C3000，C3000返回用戶一個(gè)登錄的web界面。

（4）寬帶用戶輸入用戶名和密碼然后確定，該用戶名和密碼信息發(fā)到C3000。

（5）C3000將用戶名和密碼信息發(fā)給radius服務(wù)器，radius服務(wù)器查找該用戶、密碼信息，若是正確，則返回C3000一個(gè)允許信息及相應(yīng)的帶寬，若是不正確，則返回C3000一個(gè)拒絕信息。

（6）C3000根據(jù)從radius收到的允許、帶寬信息，或者拒絕信息，給ERX下發(fā)策略，實(shí)現(xiàn)對(duì)該用戶的允許登錄、拒絕登錄、登錄之后賦予帶寬的控制。

（7）C3000通過(guò)web返回用戶一個(gè)歡迎界面，提示登錄成功，若是用戶選擇注銷(xiāo)，則C3000收到一個(gè)離線信息，并將這個(gè)離線信息發(fā)送給radius服務(wù)器。

（8）用戶通過(guò)認(rèn)證之后，radius設(shè)備開(kāi)始對(duì)該用戶計(jì)費(fèi)，包括用戶名、IP、流量、上線時(shí)間，在用戶離線之后，還將添加離線時(shí)間、上線時(shí)長(zhǎng)。

（9）用戶在通過(guò)認(rèn)證之后，radius將把在線用戶的信息寫(xiě)入到mysql數(shù)據(jù)庫(kù)的在線用戶表里。

（10）深信服設(shè)備對(duì)于收到的去往互聯(lián)網(wǎng)的流量，查詢mysql數(shù)據(jù)庫(kù)的在線用戶表里的在線用戶IP，若是發(fā)現(xiàn)該流量的IP存在，即表示該用戶已經(jīng)通過(guò)C3000的認(rèn)證，即直接放行流量。

（11）深信服設(shè)備根據(jù)策略設(shè)置，對(duì)用戶的上網(wǎng)行為進(jìn)行限制，并將上網(wǎng)行為記錄到外置數(shù)據(jù)中心。

（12）網(wǎng)管可以從外置數(shù)據(jù)中心查看上網(wǎng)行為記錄。

認(rèn)證計(jì)費(fèi)及行為審計(jì)的實(shí)現(xiàn)功能圖如下：