Оглавление
* Введение
* Общая схема решения
* Сценарий предоставления доступа к услугам для физических лиц
* Сценарий подключения корпоративных клиентов
* Ключевые технологии, используемые в решении
o Резервирование в кольцевых физических топологиях, малое время переключения.
o DHCP relay, DHCP information option 82, DHCP snooping, IP source guard
o Дополнительные механизмы безопасности Dynamic ARP Inspection (DAI), Super VLAN, ARP Proxy
o Защита ресурсов сети от хакерских DOS атак и от вирусной активности.
o Качество сервиса.
o Технологии для поддержки IPTV
o Технологии QinQ и Selective QinQ
o Dual Homing «Двойная привязка»
o Резервирование шлюза по умолчанию, протокол VRRP
o Служебные технологии
* Используемое оборудование и его преимущества
o Мультисервисные коммутаторы QTECH
o Ericsson Redback SE-100
Введение
Для повышения прибыльности и поддержания конкурентоспособности у региональных интернет-провайдеров возникает потребность предоставление услуг «Triple play». Т.е. сеть должна поддерживать не только традиционные сервисы доступа в Интернет и пиринга между клиентами, но и сервисы реального времени, такие как телефония и телевидение.
Кроме этого, прибыльным может быть предоставление услуг организациям по соединению локальных сетей территориально разнесённых офисов. Описываемое ниже готовое решение обеспечивает работу этих сервисов. .
В решении предлагается новая модель для традиционных сервисов – вместо распространенного сейчас механизма туннелей PPPoE использован свободный от многих недостатков последнего механизм IPoE (IP over Ethernet), также называемый CLIPS (Сlientless IP service selection).
Общая схема решения
Общая схема решения
Функции граничного маршрутизатора и устройства, учитывающего пользовательский трафик (BRAS), совмещены в одном устройстве. С одной стороны устройство связано как минимум с двумя провайдерами Интернет более высокого уровня и с коммутатором, входящим в состав магистрали сети. BRAS взаимодействует двумя DHCP серверами: одним для сервисов реального времени, другим для предоставления доступа в Интернет. Последний DHCP сервер работает совместно с RADIUS сервером и системой биллинга. Магистраль сети образована несколькими быстродействующими коммутаторам 3-го уровня, соединёнными в кольцо. Коммутаторы доступа, представляющие свои порты для подключения клиентов, соединяются друг с другом, образуя длинные цепочки. Эти цепочки в виде полуколец подключаются к центральному кольцу магистрали.
Сценарий предоставления доступа к услугам для физических лиц
Предлагаемое решение способно реализовывать новые сценарии IPoE (CLIPS) и улучшенный PPPoE+, а так же традиционные сценарии предоставления доступа к услугам, основанные на создании и на туннелировании PPP сессий (PPTP L2TP PPPoE).
В случае использовании PPP сессий на стороне пользователей требуется программное обеспечение или устройства, поддерживающие клиентов этих сессий. При этом возможны проблемы при одновременном доступе в Интернет и работе пиринга между клиентами. Также недостатком таких сценариев является растрата ресурсов BRAS на инкапсуляцию в таких сессиях. Наконец, трафик групповых рассылок (multicast мултикас), необходимый для IPTV, доставляется неэффективно. Сценарий IPoE лишён этих недостатков.
Основной идеей IPOE является привязка профайла клиента не к его идентификатору и паролю, а к порту коммутатора доступа, к которому этот клиент подключается. Начиная работу, оборудование клиента посылает в сеть запрос на получение IP адреса, коммутатор доступа добавляет в этот запрос информацию о себе и своём порте, с которого получен запрос. Далее запрос обрабатывается BRAS, при этом BRAS взаимодействует не только с DHCP сервером, выдающим IP адрес, но и с RADIUS сервером и, через него, с биллинговой системой. Система хранит профайлы пользователей с привязкой к портам коммутаторов. В результате, профайл пользователя оказывается связан с выданным ему IP адресом. В дальнейшем трафик пользователя с привязкой к IP адресу обрабатывается и учитывается в соответствии с оплаченным контрактом. Пиринговый трафик, отправляемый пользователем с того же IP адреса, до BRAS не доходит и его не нагружает. IP-телефоны и IPTV приставки получают адреса от отдельного DHCP сервера, обслуживающего сервисы реального времени. Трафик этих устройств также не нагружает BRAS.
Cхема установления IPoE сессии.
Сценарий подключения корпоративных клиентов
Корпоративных заказчиков предпочтительно подключать в отдельных VLAN (на основе порта). Это позволяет наиболее гибко обеспечить специфические условия предоставления и учета доступа, конфиденциальность информации и качество обслуживания, а также выделение подсетей адресного пространства.
Возможна реализация услуг L2 и L3 VPN.
Ключевые технологии, используемые в решении
Для реализации предлагаемого решения оборудование должно поддерживать ряд технологий перечисленных и кратко описанных ниже.
Резервирование в кольцевых физических топологиях, малое время переключения
В городских сетях экономически неоправданно прокладывать выделенный кабель к каждому коммутатору доступа. Тем более неоправданно прокладывать два таких кабеля. С другой стороны, соединение большого количества коммутаторов последовательно, порождающее длинные цепочки, делает сеть очень ненадёжной. Обрыв кабеля, неисправность коммутатора или просто отключение его питания может привести к отказу значительной части сети и длительному перерыву в предоставлении сервиса. Хорошим компромиссом являются последовательные соединения коммутаторов с подключением к магистрали с двух сторон получившейся цепочки. В такой топологии единичная неисправность или обрыв не приведёт отказу большой части сети. Однако с такими топологиями или не работают совсем, или работают плохо разновидности протокола покрывающего дерева (STP, RSTP, MSTP), традиционно используемые в сетях Ethernet с резервированием соединений. Хорошей заменой для STP в кольцевых топологиях являются протоколы, основанные на Ethernet Automatic Protection Switching (EAPS) RFC 3619, в частности, протокол ERRP(Ethernet Ring Redundancy Protocol). В отличие от STP такой протокол не имеет ограничения на количество коммутаторов в цепочке, образующей кольцо, кроме того, время восстановления при отказе или обрыве относительно мало (менее 200 миллисекунд) и не зависит от длины цепочки. Такое время восстановления приемлемо для бесперебойной работы сервисов реального времени, таких как IPTV и VoIP. Кроме топологии кольцо, протокол работает с топологиями, состоящими из центрального кольца и присоединённых к нему полукольцами. Единственным недостатком ERRP по сравнению с традиционным STP является необходимость ручной конфигурации коммутаторов в соответствии с физической топологией.
DHCP relay, DHCP information option 82, DHCP snooping, IP source guard
Для использования механизма авторизации и учёта IPOE критически важно отслеживать пользователя в привязки к порту коммутатора. Такая же привязка нужна при реализации PPPoE+. Привязка возможна при помощи совместного использования технологий DHCP relay, DHCP information option 82, DHCP snooping, IP source guard. Технология DHCP relay позволяет перехватывать DHCP запросы пользователей и пересылать их на DHCP сервер, расположенный в удалённой сети. DHCP information option 82 - это возможность вставить в такие перехваченные и пересылаемые запросы информацию о коммутаторе и порте, к которому подключён пользователь. Эта информация позволит DHCP серверу назначить каждому пользователю определённый закреплённый за ним IP адрес. Далее этот адрес может быть использован для учета переданного трафика и ограничения скорости в соответствии с контактом. DHCP snooping позволяет коммутатору просматривать ответы DHCP сервера клиентам, получать и запоминать информацию о том, какой IP адрес какому клиенту выдан. Данная информация может быть использована для работы технологии IP source guard - блокирование пользователя, если IP адрес, с которым он пытается работать, отличается от выданного ему DHCP сервером. Этим устраняются попытки привязаться к чужому контракту.
Дополнительные механизмы безопасности Dynamic ARP Inspection (DAI), Super VLAN, ARP Proxy
Технология DAI защищает сеть от ARP spoofing, когда пользователь в корректном Ethernet фрейме и IP пакете, т.к. с фиксированными для него IP и МАС адресами, отправляет в сеть «отравленный» пакет протокола ARP, в котором содержатся другие адреса. Функция DAI проверяет соответствие адресов в транспортных пакетах с адресами внутри ARP запросов. Если пользователь подставляет адреса, которые не соответствуют его реальным адресам, то такой пакет будет отброшен.
Super VLAN позволяет терминировать группу пользовательских VLAN на одном IP интерфейсе и реализует идеологию «VLAN на пользователя» на уровне доступа и «VLAN на сервис» на уровне сети оператора. Пользователи могут посылать трафик коммутатору, выполняющему роль шлюза в их IP подсети, но не могут посылать трафик непосредственно друг другу.
ARP Proxy позволяет пользователям посылать друг другу трафик при включённом механизме Super VLAN. Важно, что при этом трафик пересылается не напрямую, а через шлюз. Это создаёт возможность анализа трафика на шлюзе и применения к нему различных политик. Другими словами, возникает возможность контролировать пиринг между пользователями.
Защита ресурсов сети от хакерских DOS атак и вирусной активности
Для предотвращения загрузки ресурсов сети и прерывания сервисов из-за вирусной активности или хакерских DOS атак очень полезными являются механизмы подавления всех видов штормов (бродкастных мультикасных и юникастных - широковещательные, групповые и направленные рассылки). При этом желательно чтобы имелась возможность как просто ограничения полосы этих видов трафика, так и временно автоматического отключения порта при превышении таким трафиком установленного порога занятия полосы пропускания.
Для уменьшения последствий некоторых хакерских атак полезно иметь ограничение количества MAC адресов в поле источника, приходящих через отдельно взятый порт коммутатора.
Для уменьшения последствий некоторых хакерских атак полезно иметь ограничение количества MAC адресов в поле источника приходящих через отдельно взятый порт коммутатора.
Качество сервиса
Для работы сервисов реального времени критически важна поддержка используемым оборудованием механизмов качества сервиса (QoS). Такие механизмы включают возможности гибкой классификации получаемого от пользователей и от внешних источников трафика, его маркированием в соответствии с выполненной классификацией и приоритезацией следуя такой маркировке. Для обеспечения возможности выбора наиболее подходящего для конкретного случая механизма приоритезации используемые коммутаторы должны обладать не менее чем четырьмя исходящими очередями и возможностью выбора разных политик передачей трафика из этих очередей.
Технологии для поддержки IPTV
Для реализации сервиса передачи телевидения (IPTV) сетевое оборудование должно поддерживать большой набор технологий, связанных с поддержкой групповых рассылок (мультикаст Multicast). Коммутаторы агрегации должны поддерживать протоколы мультикастной динамической маршрутизации PIM-DM, PIM-SM и протокол регистрации клиентов IGMP. Важно, что при поддержке IGMP версии 3 удаётся получить сервис IPTV с лучшими потребительскими свойствами и меньшей нагрузкой на сеть. Коммутаторы доступа должны поддерживать механизм IGMP snooping. Также очень полезной является поддержка технология Cross- VLAN multicast, позволяющая передавать только одну копию потока для пользователей, включённых в разные VLAN. Благодаря этому ресурсы сети могут быть освобождены, а IPTV начинает работать совместно с идеологией VLAN на пользователя VLAN на сервис.
Технологии QinQ и Selective QinQ
Изначально технология QinQ была придумана для того, чтобы позволить соединять сложную структуру VLAN из одного офиса компании клиента с такими же VLAN в другом офисе этой компании сквозь ресурсы сети провайдера. Для реализации такого сценария на порту коммутатора провайдера ко всему получаемому из корпоративной сети трафику добавляется 802.1Q таг в дополнения к 802.1Q тагу описывающему внутрикорпоративные VLAN. Такой вариант реализации называют QinQ с привязкой к порту (port-based). Более сложный вариант, называемый Selective QinQ, предполагает добавление дополнительного 802.1Q тага в зависимости не от порта, а от групп имеющихся пользовательских VLAN и групп номеров их тагов. При этом реализуется идеология VLAN на пользователя. Также дополнительный 802.1Q таг может быть добавлен в зависимости от протокола передаваемого трафика. При этом реализуется идеология VLAN на сервис. Например, весь трафик IP телефонии от всех пользователей может быть выделен в отдельный VLAN.
Dual Homing «Двойная привязка»
Для обеспечения клиентам надёжной связи с Интернет требуется соединение минимум с двумя интернет-сервис провайдерами более высокого уровня. При этом требуется взаимодействие с ними с использованием протокола BGP и конфигурирования своей автономной системы. Поддержка протокола BGP требуется на граничных маршрутизаторах. Также для повышения надёжности может быть использован не одно устройство граничный маршрутизатор и BRAS, а несколько, резервирующих друг друга.
Резервирование шлюза по умолчанию, протокол VRRP
Большая часть клиентского программного обеспечения и оборудования способна работать с единственным адресом шлюза по умолчанию. Это создаёт проблему надёжности в случае отказа физического устройства, имеющим этот адрес. Для решения такой проблемы был создан протокол VRRP (Virtual Router Redundancy Protocol). Этот протокол позволяет двум и более физическим устройствам обрабатывать запросы на конкретный IP адрес. В каждый момент времени запросы обрабатываются одним из них. В случае отказа этого устройства остальные обнаруживают это, и обработка запросов продолжается одним из оставшихся устройств. Кроме резервирования шлюза по умолчанию протокол VRRP может быть полезен и для целей резервирования других сервисов.
Служебные технологии
Для снижения издержек при эксплуатации и ускорения поиска неисправностей очень полезными являются встроенные в коммутаторы средства диагностики. К ним можно отнести средства передачи информации об ошибках и неисправностях по протоколам SNMP и syslog, средства измерения параметров проходящего трафика и загрузки ресурсов при помощи RMON, средства анализа топологии сети при помощи протокола LLDP. Особенно полезными могут быть средства удалённой диагностики отдельных портов и присоединённых к ним кабелей 802.3ah Ethernet OAM.
Используемое оборудование и его преимущества
В описываемом решении предлагается использовать коммутаторы QTECH QSW-3900 для создании кольца агрегации, коммутаторы QSW-2900 для непосредственного подключения пользователей. В качестве BRAS и граничного маршрутизатора можно использовать продукцию Ericsson- Redback, например младшую модель Redback SE-100.
Мультисервисные коммутаторы QTECH
Коммутаторы QTECH для уровней доступа и агрегации, благодаря применению новейших стандартизованных протоколов и технологий, реализуют высокую сетевую безопасность с обеспечением гарантированного обслуживания для всех категорий пользователей и различных типов сервисов. Включая сервисы Реального Времени, VPN и другие. Ethernet коммутаторы QTECH созданы на современной аппаратной платформе в полном соответствии с требованиями операторов связи по надежности элементной базы, низкому электропотреблению, расширенному температурному диапазону, форм фактору.
Коммутаторы специально разработаны для мультисервисных сетей, поддерживают сотни различных сервисов единовременно, сервисные модели PPPoE Plus (для плавной миграции от DSL к MetroE технологиям) и DHCP авторизации (IPOE) с привязкой к порту доступа. Обеспечивают скорость сходимости менее 200 миллисекунд для безобрывного предоставления услуг телефонии и телевидения, классификацию и управление трафиком различных услуг по правилам провайдера (Selective QinQ & Selective VLAN), технологии защиты конфиденциальности информации (IP Source Guard, DAI, ARP Proxy), средства подавления штормов без блокирования полезного трафика, развитые средства сетевого мониторинга, включая SLA L2 (OAM CFM) QTECH QSW-2900 обеспечивает легкое подключение корпоративных клиентов с предоставлением VPN сервисов.
Сервисные функциональные особенности мультисервисных коммутаторов QTECH:
* Поддержка Q-in-Q на основе портов и на основе виланов
* Поддержка селективного Q-in-Q на основе acl
* Поддержка протокола ERRP (RFC EAPS) для обеспечения сходимости менее 200 миллисекунд с функцией query solicit.
* Возможность фильтрации BPDU как входящих так и исходящих
* Поддержка Multicast
* Поддержка IGMPv3, fast leave, IGMP-snooping
* Поддержка IGMP querier
* Возможность явно указывать порт, к которому подключен querier
* Возможность статической подписки на мультикаст группы
* Возможность создания разрешающих и запрещающих списков групп
* Поддержка QoS
* Возможность ограничения полосы пропускания на FE порту с шагом 1 кбит/сек.
* Поддержка не менее 4 очередей QoS на порт
* Поддержка различных политик управления очередями (SPQ, WRR).
* Возможность классификации трафика по различным признакам (по порту, по VLAN Id, по спискам доступа, по 802.1р битам, и др.)
* Возможность принудительной маркировки и перемаркировки трафика
Средства сетевой безопасности мультисервисных коммутаторов QTECH:
* Возможность настройки access листов на доступ (защищенный доступ)
* Поддержка не менее 255 списков доступа (acl) на основе IP адресов, TCP/UDP портов, типа протокола
* Поддержка Ethernet Port security с ограничением числа МАС-адресов, привязкой МАС-IP адресов
* Защита от четырех типов штормов: броадкаст, мультикаст, юникаст, неизвестный юникаст
* Поддержка IP Source Guard
* Поддержка ARP proxy
* Поддержка Dynamic ARP inspection
* Поддержка DHCP snooping
* Поддержка DHCP relay
* Поддержка DHCP op.82
* Поддержка PPPoE plus (добавление к PPP запросу имени коммутатора и номера порта)
* Поддержка IGMP flood protection
* Защита CPU от сетевых атак
Средства управления и мониторинга мультисервисных коммутаторов QTECH:
* Поддержка протоколов авторизации Radius и Tacacs+
* Поддержка полнофункционального удаленного управления (telnet, ssh)
* Реализация полнофункционального режима интуитивно понятной командной строки для конфигурации и мониторинга
* Поддержка различных уровней доступа (привилегий)
* Поддержка не менее пяти одновременных telnet сессий с возможностью ручного сброса telnet сессии
* Поддержка SNMP v1,v2,v2c,v3
* Поддержка Syslog с возможностью передачи информации на несколько серверов
* Поддержка синхронизации времени (NTP)
* Поддержка средств диагностики OAM CFM (IEEE802.1ah)
Маршрутизирующие коммутаторы QTECH QSW-3900 для уровня агрегации поддерживают также важные функции для данного уровня:
1. Super VLAN – позволяет терминировать группу пользовательских виланов на одном IP интерфейсе, позволяет реализовать идеологию «VLAN на пользователя» на уровне доступа и «VLAN на сервис» на уровне сети оператора
2. ARP Proxy – позволяет предотвратить взаимную видимость пользователей на уровне МАС адресов. При обмене между пользователями весь трафик проходит через агрегатор и только МАС адрес агрегатора видят пользователи в качестве адреса назначения, реальные МАС адреса для них сокрыты.
3. Протоколы маршрутизации OSPF и BGP - для маршрутизации адресов оператора (OSPF) и адресов клиентов (BGP)
4. Протокол мультикастовой маршрутизации PIM – для маршрутизации многоадресных рассылок.
Ericsson Redback SE-100
Функциональность Ericsson Redback SE-100
Производительность
12 Гбит/с
Скорость маршрутизации
Пакетов в секунду Не менее 7 MPPS при многочисленных правилах фильтрации и выполняемых сервисах
Поддержка функций качества обслуживания (QoS), фильтрации (ACL) и других правил контроля трафика Аппаратное,
На канальных ASIC
Архитектура Модульная, раздельные уровни управления и пересылки пакетов, на основе двух центральных процессоров (по 600 МГц) и двух перепрограммируемых канальных многоядерных ASIC (по 32 ядра каждый)
Интерфейсные порты Предустановленны два GE комбо порта для трафика и один порт для управления и служебного трафика. До 6 GE в расширении. Работа на «скорости проводов»
Количество поддерживаемых маршрутов в таблице IP маршрутизации 1,5 млн. маршрутов в стандартной комплектации
Количество поддерживаемых MAC адресов 160 тысяч
Одновременно терминируемых клиентских сессий 24 тысячи
Поддержка технологий MPLS и 160 тысяч МАС адресов позволяют организовать сервисы L2 VPN.
До 1000 BGP пиров, 1,5 миллиона маршрутов решают задачи Граничного Маршрутизатора, причем без потери производительности с одновременным использованием устройства в качестве BRAS и MPLS PE.
24 тысячи единовременных сессий BRAS. Поддержка сервисной модели DHCP авторизации (IPOE)
Терминация пользовательских сессий из MPLS.
Модульная архитектура программного обеспечения и многопроцессорная, многоядерная аппаратная платформа позволяют выполнять комплекс задач на «скорости проводов».
Одно устройство размером два юнита решает задачи ASBR, BRAS и VPN концентратора в масштабах сети города.
Пропускная способность во внешний Интернет – 3 Гбт/с.
Подробная информация в каталоге продукции QTECH
* Ethernet коммутаторы доступа QSW-2900 (QinQ Selective, ERRP < 200 ms)
* Ethernet коммутаторы агрегации QSW-3900 (OSPF, BFD, VRRP, ERRP)
http://www.qtech.ru/print/solutions/19.htm