Большим компаниям, имеющим много подразделений (сети розничных магазинов или  страховые компании), как правило, требуется объединить их в одну сеть, чтобы пользователи всех филиалов имели возможность использовать системы электронного документооборота и других бизнес-приложений. Именно для этого можно использовать E-LAN.

     1.4 Обеспечение безопасности в METRO ETHERNET

    Одновременно  с возрастанием количества попыток  получить неправомочный доступ к  сетям и их компонентам все  более сложными и комплексными становятся противостоящие им технологии. Неправомочный  доступ к данным клиента или системам в результате недостаточного обеспечения безопасности сети может привести к потере клиентов, нарушению производительности сети или более тяжелым последствиям. Поэтому оператор сети Metro Ethernet должен еще при строительстве и развертывании сети максимально задействовать все средства защиты.

    В современных устройствах для  этого могут быть использованы следующие  механизмы:

    - Remote Authentication Dial-In User Service (RADIUS) и Terminal Access Controller Access Control System (TACACS+);

    - 802.lx аутентификация пользователей;

    - различные списки доступа;

    - функция Dynamic Host Configuration Protocol (DHCP) snooping;

    - различные методы предотвращения  подделки МАС-адре-сов;

    - другие механизмы безопасности, разработанные производителями  (расширения 802.1х компании Cisco Systems и  др.). Рекомендуется не ограничиваться одним из способов защиты, а использовать их комплексно.

       1.5 Управление и мониторинг уровня обслуживания

    Внедрение и управление качеством обслуживания в сети Metro Ethernet без использования  автоматизации - достаточно сложная  и трудоемкая технология, поэтому еще на этапе построения сети крупные операторы закладывают в нее комплексные системы управления. Современная система OSS для управления качеством обслуживания в Metro Ethernet должна содержать следующие основные компоненты:

    - управление каталогом классов обслуживания;

    - управление клиентскими данными  и уровнем обслуживания (SLA);

    - управление реестром сетевых  компонент и их конфигурацию;

    - предоставление и активация классов  обслуживания;

    - мониторинг качества предоставления  классов обслуживания;

    - системное администрирование и  функции обеспечения безопасности.

    Сетевой оператор определяет услугу на основе сервисных параметров и дополнительных эксплуатационных пограничных значений, в частности, ее готовность, среднее  время ремонта, среднее время между отказами. Параметры обслуживания клиента устанавливаются сетевым оператором в соответствии с договором об уровне обслуживания. Пользователи могут контролировать оператора через получение ими сведений о состоянии каналов через Интернет в режиме реального времени.

    После активизации услуги перед оператором встает задача мониторинга параметров SLA. Для сбора данных с устройств  и последующего их сравнения с  заданными параметрами необходимы следующие интерфейсы и протоколы:

    - SNMP;

    - протоколы для измерения трафика Sflow (стандарт RFC 3176) или Netflow (Cisco);

    - стандартизированный интерфейс  (TMF 814а) между двумя OSS.

    При превышении предельных значений система  управления должна иметь заранее  определенный алгоритм действий по реагированию на каждую из возможных ошибок, а дежурные - оперативно приступить к устранению неисправности. Если система обладает функциями прогнозирования и автоматического нахождения ошибок, то это позволит непрерывно обеспечивать предоставление услуги с гарантируемым качеством более длительный период.

2. Проектирование сети

Для предоставления широкополосного доступа в Интернет с тарифами по полосе пропускания, возможностью предоставления услуг «Три в одном» (Triple Play) с привязкой пользователя к порту входа в сеть и без использования оборудования BRAS.

     2.1 Схема сети

 

Сеть  строится по топологии «звезда» на уровне доступа с использованием бюджетных 8-ми портовых коммутаторов подключаемых по оптике. На уровне агрегации используются оптические гигабитные линии связи с кольцевой топологией и скоростью сходимости менее 200 миллисекунд. Граничный маршрутизатор осуществляет трансляцию адресов NAT и взаимосвязь с вышестоящими провайдерами по протоколу BGP с поддержкой полной таблицы маршрутизации.

Потребителями услуг могут быть как домашние пользователи, так и корпоративные  заказчики.

     2.2 Центральный узел

Он состоит  из Граничного маршрутизатора QTECH QRT-7240, имеющего четыре GE интерфейса, с возможностью установки дополнительных интерфейсов различных типов. QRT-7240 поддерживает полную таблицу маршрутизации BGP Full View и технологию трансляции адресов NAT. QRT-7240 может быть подключен к магистральному кольцу по схеме Двойной Привязки (Dual Homing) соединяясь с двумя коммутаторами агрегации QTECH QSW-3500. Сервера сети подключаются к коммутаторам агрегации по схеме Dual Homing с использованием протокола «виртуального маршрутизатора» (VRRP).

Выделенный  маршрутизирующий коммутатор используется для подключения пиринговых сетей.

Мультикастовые  потоки IPTV направляются от серверной  фермы или пиринговых партнеров  на коммутаторы агрегации QSW-3500 поддерживающие маршрутизацию PIM.

Аналогично  предоставляется услуга пакетной телефонии, с использованием собственного или внешнего SIP сервера.

На серверной  ферме размещаются оборудование OSS/BSS, сервера информационной безопасности и управления и мониторинга сети.

     2.3 Уровень распределения

В данном проекте к уровню распределения  относится центральное магистральное кольцо или несколько колец с привязкой к центральному узлу.

В данном масштабе сети на уровне транспорта можно  использовать однотипное оборудование QTECH QSW-3500 как в качестве центральных  коммутаторов, так и опорных коммутаторов магистрали. Что позволяет организовать всю сеть в рамках единых протоколов и технологий.

Топология Dual Homing позволяет осуществить гарантированное  подключение с сети ключевых ресурсов на основе привязки одновременно к  двум коммутаторам.

На уровне распределения применяется протокол быстрой сходимости Ethernet кольца ERRP обеспечивающий переключение потоков за 50-200 млсек., который поддерживается коммутаторами распределения QSW-3500 в рамках единой системы, обеспечивая гарантированную надежность.

Подключение ключевых ресурсов сети производится непосредственно к коммутаторам магистрали или через коммутаторы доступа. В обоих случаях работает топология Dual Homing.

Также выполняется подключение к вышестоящей  сети, на основе двух каналов связи.

     2.4Уровень  доступа

Уровень доступа реализуется на свичах Layer 2+ с архитектурой сети – виллан на коммутатор с изоляцией портов на уровне доступа с возможностью авторизации пользователей по технологии Clips (DHCP op.82, DHCP snooping и IP Source Guard). Позволяя предоставлять весь перечень услуг, включая VPN L3 и VPN L2.

Применение коммутаторов QSW-2500А на уровне доступа позволяет  очень эффективно организовать общую  структуру построения сети и предоставления сервисов благодаря наличию функционала DHCP op.82, private VLAN, IGMP snooping, QoS.

Коммутаторы QSW-2500A имеют Вэб-интерфейс для удаленного управления и диагностики.

     2.5 Основные услуги сети

Предоставления  высокоскоростного доступа в  Интернет (10/100 Мбит/с) является основной услугой.

На компьютере пользователя не требуются никакие специальные настройки протоколов IP, PPPoE или других протоколов.

Доступ  в Интернет предоставляется на основе проверки порта доступа с сеть провайдера.

Авторизация абонента проводится по порту подключения, аналогично тому, как это принято  в классической телефонии.

Тарификация абонента по выбранному тарифному плану  осуществляется в соответствии с  «плоскими тарифами» по полосе пропускания.

Выделение соответствующей полосы пропускания  для абонента выполняется на коммутаторе агрегации QSW-3500.

Абоненту назначается внутренний IP-адрес. Граничный маршрутизатор осуществляет трансляцию внутреннего адреса в маршрутизируемый внешний (NAРT) при обращении пользователя к ресурсам Интернет.

При назначении абоненту внешнего IP-адреса (дополнительная услуга), данный адрес назначается в жесткое соответствие внешнему маршрутизируемому адресу (static NAT) в настройках QRT-7240, данное соответствие позволит обращаться к внутреннему адресу по соответствующему ему внешнему маршрутизируемому адресу.

     2.6 Схема предоставления доступа в интернет

Основным  механизмом пропуска клиентского трафика  будет CLIPS (DHCP op.82), в этом случае весь трафик абонентов проходит через  коммутаторы агрегации QSW-3500, где маршрутизируется, приоритезируется и ограничивается по полосе пропускания.

Для предотвращения петель коммутации на уровне доступа  со стороны абонентов применение STP протокола нежелательно. Для защиты сети оборудование QTECH позволяет вместо STP использовать средства Remote loop detect и Broadcast limit с возможностью раздельной фильтрации бродкаст, юникаст и мультикаст штормов с привязкой к реальной скорости каждого порта.

Со стороны  провайдера на уровнях доступа и  распределения будет использоваться протокол ERRP, обеспечивающий устойчивость, минимальное время сходимости и восстановления, диктуемые характером предоставляемых услуг которые зачастую критичны к задержкам и простоям транспортной сети.

     2.7 IPTV цифровое телевидение, включая VoD и HDTV.

Данные виды сервисов относятся к виду трафика  мультикаст и требуют отдельных  протоколов.

Основной трудностью данного сервиса является оптимизация  многоадресных потоков и исключение дублирования.

Коммутаторы QSW-2500А  позволяют обеспечить приоритетную доставку и исключить дублирование на уровне доступа.

Свич-рутеры QSW-3500 поддерживают функциональность мультикаст рутеров и протокол PIM-SM, а также IGMP snnoping и IGMP “fast leave” и технологию MVR, а также IGMP queerer для оптимизации  мультикастовых потоков.

В случае применения STB для подключения телеприемников к сети IPTV пользователю требуется  компактный малобюджетный свич с  поддержкой приоритезации трафика  и дистанционным управлением. Таким  устройством может быть QSW-2500B5.

     2.8 Организация VPN

Виртуальные частные сети могут быть второго и третьего уровней и востребованы в основном предприятиями, имеющими несколько офисов.

При организации VPN L3 требуется коммутация частных IP пакетов между сайтами, что возможно на основе IP туннелей с коммутацией  в ядре сети или на свич-рутерах QSW-3500.

  ЗАКЛЮЧЕНИЕ

     Сегодня Ethernet — единственная технология, потенциально готовая к быстрому развитию всех типов приложений и услуг.

     Применение  этой технологии позволяет достигать  скоростей до 100 мбит/с и при  этом, данная технология лишена ограничений свойственных xDSL беспроводным технологиям по расстояниям и скорости. К каждому подключаемому по технологии ETTH дому прокладывается оптоволоконный кабель, к которому на скорости 1 Гбит/с подключается домовой узел. Дальнейшая разводка производится по подъездным коммутаторам, и далее до каждого конкретного абонента.

     Лучшее — враг хорошего, но энтузиазм, с которым человек стремится сделать подключение к Интернету быстрее, надежнее и дешевле, наводит на мысли об обратном. Список, в который до недавнего времени входили коммутируемый доступ через ТфОП, выделенные линии, DSL и доступ по сетям операторов кабельного телевидения, пополнился новой технологией.

     В данном курсовом проекте была рассмотрена  технология ETTH, особенности построения сети на её основе, показаны преимущества и недостатки. Определено используемое активное и пассивное сетевое оборудование.