+7 (495) 797-3311
Узнать цену
Компания Решения Продукция
Сервис Новости Где купить

Узнать цену
ФИО *
E-mail *
Телефон *
Компания
Оборудование
* - поля, обязательные для заполнения
Отправить
QTECH - Quality Technology
Ethernet коммутаторы
Интеллектуальные решения
Оптические модули
Оборудование PON
Оборудование TDM
Мультимедиа
Транспортные сети передачи данных
Оборудование VoIP
Системы питания и контроля
Мобильные устройства и аксессуары
Пассивное телекоммуникационное оборудование
Абонентское оборудование
Беспроводные системы связи
Системы видеонаблюдения
Системы безопасности
Архив оборудования
 
РЕШЕНИЯ
ЗАЯВКА НА ТЕСТИРОВАНИЕ
СЕРТИФИКАТЫ
ВОПРОСЫ И ОТВЕТЫ
ПУБЛИКАЦИИ


 

Услуги «Triple play» в сетях региональных Интернет провайдеров

Оглавление

Введение

Для повышения прибыльности и поддержания конкурентоспособности у региональных Интернет провайдеров возникает потребность предоставления услуг «Triple play». Это означает, что их сеть должна поддерживать не только традиционные сервисы доступа в Интернет и пиринга между клиентами, но и сервисы реального времени, такие как телефония и телевидение. Кроме этого прибыльным может быть предоставление услуг организациям по соединению локальных сетей территориально разнесённых офисов. Описываемое ниже готовое решение обеспечивает работу этих сервисов. В нём предлагается новая модель для традиционных сервисов - вместо распространенного сейчас механизма туннелей PPPoE, рекомендуется использовать свободный от многих недостатков PPPoE механизм IPoE (IP over Ethernet), также называемый CLIPS (Сlientless IP Subscribers).

Общая схема решения

Общая схема решения

Функции граничного маршрутизатора и устройства, учитывающего пользовательский трафик (BRAS aka BNG), совмещены в одном устройстве Ericsson SmartEdge SE-100. С одной стороны устройство связано как минимум с двумя провайдерами Интернет более высокого уровня и с коммутатором, входящим в состав магистрали сети. BRAS взаимодействует двумя DHCP серверами: одним для сервисов реального времени, другим для предоставления доступа в Интернет. Последний DHCP сервер работает совместно с RADIUS сервером и системой биллинга. Магистраль сети образована несколькими быстродействующими коммутаторам 3-го уровня, соединёнными в кольцо. Коммутаторы доступа, представляющие свои порты для подключения клиентов, соединяются друг с другом, образуя длинные цепочки. Эти цепочки в виде полуколец подключаются к центральному кольцу магистрали.

Сценарий предоставления доступа к услугам для физических лиц

Предлагаемое решение способно реализовывать как традиционные сценарии предоставления доступа к услугам, основанные на создания на туннелировании PPP сессий (PPTP L2TP PPPoE), так и новый сценарий IPoE (CLIPS) и улучшенный PPPoE+. В случае использовании PPP сессий на стороне пользователей требуется программное обеспечение или устройства поддерживающие клиентов этих сессий, при этом возможны проблемы при одновременном доступе в Интернет и работе пиринга между клиентами. Также недостатком таких сценариев является растрата ресурсов BRAS на инкапсуляцию в таких сессиях. Наконец, трафик групповых рассылок (multicast мултикас) необходимый для IPTV доставляется неэффективно. Сценарий IPoE лишён этих недостатков.

Основной идеей IPOE является привязка профайла клиента не к его идентификатору и паролю, а к порту коммутатора доступа, к которому этот клиент подключается. Начиная работу, оборудования клиента посылает в сеть запрос на получение IP адреса, коммутатор доступа добавляет в этот запрос информацию о себе и своём порте с которого получен запрос. Далее запрос обрабатывается BRAS, при этом BRAS взаимодействует не только с DHCP сервером, выдающим IP адрес, но и с RADIUS сервером и через него с биллинговой системой, хранящей профайлы пользователей с привязкой к портам коммутаторов. В результате профайл пользователя оказывается связан с выданному ему IP адресу, и в дальнейшем трафик пользователя с привязкой к IP адресу обрабатывается и учитывается в соответствии с оплаченным контрактом. Пиринговый трафик, отправляемый с пользователем с того же IP адреса, до BRAS не доходит и его не нагружает. IP-телефоны и IPTV приставки получают адреса от отдельного DHCP сервера обслуживающего сервисы реального времени. Трафик этих устройств также проходит мимо BRAS и не нагружает его. Ниже показана схема установления IPoE сессии.

Схема установления IPoE сессии

Сценарий подключения корпоративных клиентов

Корпоративных заказчиков предпочтительно подключать в отдельных VLAN-ах (на основе порта), что позволяет наиболее гибко обеспечить специфические условия предоставления и учета доступа, а также конфиденциальность информации и качество обслуживания, а также выделение подсетей адресного пространства.

Возможна реализация как услуг L3 VPN, так и L2 VPN.

Ключевые технологии, используемые в решении

Для реализации предлагаемого решения оборудование должно поддерживать ряд технологий перечисленных и кратко описанных ниже.

Резервирование в кольцевых физических топологиях, малое время переключения

В городских сетях экономически неоправданно прокладывать выделенный кабель к каждому коммутатору доступа. Тем более неоправданно прокладывать два таких кабеля. С другой стороны соединение большого количества коммутаторов последовательно порождающее длинные цепочки делает сеть очень ненадёжной. Обрыв кабеля, неисправность коммутатора или просто отключение его питания может привести к отказу значительной части сети и длительному перерыву в предоставлении сервиса. Хорошим компромиссом являются последовательные соединения коммутаторов с подключением к магистрали с двух сторон получившейся цепочки. В такой топологии единичная неисправность или обрыв не приведёт отказу большой части сети. Однако с такими топологиями или не работают совсем, или работают плохо разновидности протокола покрывающего дерева (STP, RSTP, MSTP) традиционно используемые в сетях Ethernet с резервированием соединений. Хорошей заменой для STP в кольцевых топологиях являются протоколы основанные на Ethernet Automatic Protection Switching (EAPS) RFC 3619, в частности протокол ERRP(Ethernet Ring Redundancy Protocol). В отличие от STP такой протокол не имеет ограничения на количество коммутаторов в цепочке образующей кольцо, кроме того время восстановления при отказе или обрыве относительно мало (менее 200 миллисекунд) и не зависит от длины цепочки. Такое время восстановления приемлемо для бесперебойной работы сервисов реального времени таких как IPTV и VoIP. Кроме топологии кольцо, протокол работает с топологиями состоящими из центрального кольца и присоединённых к нему полукольцами. Единственным недостатком ERRP по сравнению с традиционным STP является необходимость ручной конфигурации коммутаторов в соответствии с физической топологией.

DHCP relay, DHCP information option 82, DHCP snooping, IP source guard

Для использования механизма авторизации и учёта IPOE, критически важно отслеживать пользователя в привязки к порту коммутатора. Такая же привязка нужна при реализации PPPoE+. Такая привязка возможна при помощи совместного использования технологий DHCP relay, DHCP information option 82, DHCP snooping, IP source guard. Технология DHCP relay позволяет перехватывать DHCP запросы пользователей и пересылать их на DHCP сервер, расположенный в удалённой сети. DHCP information option 82 это возможность вставить в такие перехваченные и пересылаемые запросы информацию о коммутаторе и его порту, к которому подключён пользователь. Эта информация позволит DHCP серверу назначить каждому пользователю определённый, закреплённый за ним IP адрес. Далее этот адрес может быть использован для учета переданного трафика и ограничения скорости в соответствии с контактом. DHCP snooping позволяет коммутатору просматривать ответы DHCP сервера клиентам, получать и запоминать информацию о том какой IP адрес какому клиенту выдан. Далее такая информация может быть использована для работы технологии IP source guard, эта технология позволит блокировать пользователя если его IP адрес с которым он пытается работать отличается от выданного ему DHCP сервером. Этим устраняются попытки привязаться к чужому контракту.

Дополнительные механизмы безопасности Dynamic ARP Inspection (DAI), Super VLAN, ARP Proxy

Технология DAI защищает сеть от ARP spoofing, когда пользователь в корректном Ethernet фрейме и IP пакете, т.к. с фиксированными для него IP и МАС адресами, отправляет в сеть «отравленный» пакет протокола ARP, в котором содержатся другие адреса. Функция DAI проверяет соответствие адресов в транспортных пакетах с адресами внутри ARP запросов. Если пользователь подставляет адреса, которые не соответствуют его реальным адресам, то такой пакет будет отброшен.

Super VLAN позволяет терминировать группу пользовательских VLAN на одном IP интерфейсе и реализует идеологию «VLAN на пользователя» на уровне доступа и «VLAN на сервис» на уровне сети оператора. Пользователи могут посылать трафик коммутатору, выполняющему роль шлюза в их IP подсети, но не могут посылать трафик непосредственно друг другу.
ARP Proxy позволяет пользователям посылать друг другу трафик при включённом механизме Super VLAN. Важно, что при этом трафик пересылается не напрямую, а через шлюз. Это создаёт возможность анализа трафика на шлюзе и применения к нему различных политик. Другими словами, возникает возможность контролировать пиринг между пользователями.

Защита ресурсов сети от хакерских DOS атак и от вирусной активности

Для предотвращения загрузки ресурсов сети и прерывания сервисов из-за вирусной активности или хакерских DOS атак очень полезными являются механизмы подавления всех видов штормов (бродкастных мультикасных и юникастных - широковещательные, групповые и направленные рассылки). При этом желательно чтобы имелась возможность как просто ограничения полосы этих видов трафика, так и временно автоматического отключения порта при превышении таким трафиком установленного порога занятия полосы пропускания.
Для уменьшения последствий некоторых хакерских атак полезно иметь ограничение количества MAC адресов в поле источника, приходящих через отдельно взятый порт коммутатора.
Для уменьшения последствий некоторых хакерских атак полезно иметь ограничение количества MAC адресов в поле источника приходящих через отдельно взятый порт коммутатора.

Качество сервиса

Для работы сервисов реального времени критически важна поддержка используемым оборудованием механизмов качества сервиса (QoS). Такие механизмы включают возможности гибкой классификации получаемого от пользователей и от внешних источников трафика, его маркированием в соответствии с выполненной классификацией и приоритезацией следуя такой маркировке. Для обеспечения возможности выбора наиболее подходящего для конкретного случая механизма приоритезации используемые коммутаторы должны обладать не менее чем четырьмя исходящими очередями и возможностью выбора разных политик передачей трафика из этих очередей.

Технологии для поддержки IPTV

Для реализации сервиса передачи телевидения (IPTV) сетевое оборудование должно поддерживать большой набор технологий связанных с поддержкой групповых рассылок (мультикаст Multicast). Коммутаторы агрегации должны поддерживать протоколы мультикастной динамической маршрутизации PIM-DM, PIM-SM и протокол регистрации клиентов IGMP. Важно, что при поддержки IGMP версии 3 удаётся получить сервис IPTV с лучшими потребительскими свойствами и меньшей нагрузкой на сеть. Коммутаторы доступа должны поддерживать механизм IGMP snooping. Также очень полезной является поддержка технология MVR позволяющая передавать только одну копию потока для пользователей включённых в разные VLAN. Благодаря этому ресурсы сети могут быть освобождены, а также IPTV начинает работать совместно с идеологией VLAN на пользователя VLAN на сервис.

Технологии QinQ и Selective QinQ

Изначально технология QinQ была придумана для того, чтобы позволить соединять сложную структуру VLAN из одного офиса компании клиента с такими же VLAN в другом офисе этой компании сквозь ресурсы сети провайдера. Для реализации такого сценария на порту коммутатора провайдера ко всему получаемому из корпоративной сети трафику добавляется 802.1Q таг в дополнения к 802.1Q тагу уже там существующему и описывающему внутрикорпоративные VLAN. Такой вариант реализации называют сейчас QinQ с привязкой к порту (port-based). Более сложный вариант, называемый Selective QinQ, предполагает добавление дополнительного 802.1Q тага не в зависимости от порта, а от групп имеющихся пользовательских VLAN и групп номеров их тагов. При этом реализуется идеология VLAN на пользователя. Также дополнительный 802.1Q таг может быть добавлен в зависимости от протокола передаваемого трафика. При этом реализуется идеология VLAN на сервис. Например, весь трафик IP телефонии от всех пользователей может быть выделен в отдельный VLAN.

Dual Homing «Двойная привязка»

Для обеспечения клиентам надёжной связи с интернет требуется соединение минимум с двумя Интернет Сервис провайдерами более высокого уровня. При этом требуется взаимодействие с ними с использованием протокола BGP и конфигурирования своей автономной системы. Поддержка протокола BGP требуется на граничных маршрутизаторах. Также для повышения надёжности может быть использован не одно устройство граничный маршрутизатор и BRAS, а несколько, резервирующих друг друга.

Резервирование шлюза по умолчанию, протокол VRRP

Большая часть клиентского программного обеспечения и оборудования способно работать с единственным адресом шлюза по умолчанию. Это создаёт проблему для надёжности в случае отказа физического устройства имеющим этот адрес. Для решения такой проблемы был создан протокол VRRP (Virtual Router Redundancy Protocol). Этот протокол позволяет двум и более физическим устройствам обрабатывать запросы на конкретный IP адрес. В каждый момент времени запросы обрабатываются одним из них. В случае отказа этого устройства остальные обнаруживают это, и обработка запросов продолжается одним из оставшихся устройств. Кроме резервирования шлюза по умолчанию протокол VRRP может быть полезен и для целей резервирования других сервисов.

Служебные технологии

Для снижения издержек при эксплуатации и ускорения поиска неисправностей очень полезными являются встроенные в коммутаторы средства диагностики. К ним можно отнести средств передачи информации об ошибках и неисправностях по протоколам SNMP и syslog, средства измерения параметров проходящего трафика и загрузки ресурсов при помощи RMON, средства анализа топологии сети при помощи протокола LLDP. Особенно полезными могут быть средства удалённой диагностики отдельных портов и присоединённых к ним кабелей 802.3ah Ethernet OAM.

Используемое оборудование и его преимущества

В описываемом решении предлагается использовать коммутаторы QSW-8200 для создании кольца агрегации, коммутаторы QSW-2800 для непосредственного подключения пользователей. В качестве BRAS и граничного маршрутизатора можно использовать продукцию Ericsson- Redback, например младшую модель Redback SE-100. Это современное оборудования обладающее всеми необходимыми свойствами для построения данного решения. Далее описаны свойства всего этого оборудования и его приимущества.

Мультисервисные коммутаторы QTECH

Коммутаторы QTECH для уровней доступа и агрегации, благодаря применению новейших стандартизованных протоколов и технологий, реализуют высокую сетевую безопасность с обеспечением гарантированного обслуживания для всех категорий пользователей и различных типов сервисов. Включая сервисы Реального Времени, VPN и другие. Ethernet коммутаторы QTECH созданы на современной аппаратной платформе в полном соответствии с требованиями операторов связи по надежности элементной базы, низкому электропотреблению, расширенному температурному диапазону, форм фактору.

Коммутаторы QSW-2800 и QSW-2850 разработаны специально для мультисервисных сетей, поддерживают сотни различных сервисов единовременно, сервисные модели PPPoE Plus (для плавной миграции от DSL к MetroE технологиям) и DHCP авторизации (IPoE) с привязкой к порту доступа. Обеспечивают скорость сходимости менее 20 миллисекунд для безобрывного предоставления услуг телефонии и телевидения, классификацию и управление трафиком различных услуг по правилам провайдера (Selective QinQ & Selective VLAN), технологии защиты конфиденциальности информации (IP Source Guard, DAI, ARP Proxy), средства подавления штормов без блокирования полезного трафика, развитые средства сетевого мониторинга, включая SLA L2 (OAM CFM) QSW-2800 обеспечивает легкое подключение корпоративных клиентов с предоставлением VPN сервисов.

Сервисные функциональные особенности мультисервисных коммутаторов QTECH:

  • Поддержка Q-in-Q на основе портов и на основе виланов 
  • Поддержка селективного Q-in-Q на основе acl 
  • Поддержка протокола ERRP (RFC EAPS) для обеспечения сходимости менее 200 миллисекунд с функцией query solicit. 
  • Возможность фильтрации BPDU как входящих так и исходящих
  • Поддержка Multicast 
  • Поддержка IGMPv3, fast leave, IGMP-snooping 
  • Поддержка IGMP querier 
  • Возможность явно указывать порт, к которому подключен querier 
  • Возможность статической подписки на мультикаст группы
  • Возможность создания разрешающих и запрещающих списков групп
  • Поддержка QoS 
  • Возможность ограничения полосы пропускания на FE порту с шагом 1 кбит/сек.
  • Поддержка не менее 4 очередей QoS на порт 
  • Поддержка различных политик управления очередями (SPQ, WRR).
  • Возможность классификации трафика по различным признакам (по порту, по VLAN Id, по спискам доступа, по 802.1р битам, и др.)
  • Возможность принудительной маркировки и перемаркировки трафика

Средства сетевой безопасности мультисервисных коммутаторов QTECH:

  • Возможность настройки access листов на доступ (защищенный доступ)
  • Поддержка не менее1000 списков доступа (acl) на основе IP адресов, TCP/UDP портов, типа протокола
  • Поддержка Ethernet Port security с ограничением числа МАС-адресов, привязкой МАС-IP адресов
  • Защита от четырех типов штормов: броадкаст, мультикаст, юникаст, неизвестный юникаст 
  • Поддержка IP Source Guard 
  • Поддержка ARP proxy 
  • Поддержка Dynamic ARP inspection 
  • Поддержка DHCP snooping 
  • Поддержка DHCP relay 
  • Поддержка DHCP op.82 
  • Поддержка PPPoE plus (добавление к PPP запросу имени коммутатора и номера порта)
  • Поддержка IGMP flood protection 
  • Защита CPU от сетевых атак

Средства управления и мониторинга мультисервисных коммутаторов QTECH:

  • Поддержка протоколов авторизации Radius и Tacacs+
  • Поддержка полнофункционального удаленного управления (telnet, ssh)
  • Реализация полнофункционального режима интуитивно понятной командной строки для конфигурации и мониторинга
  • Поддержка различных уровней доступа (привилегий)
  • Поддержка не менее пяти одновременных telnet сессий с возможностью ручного сброса telnet сессии
  • Поддержка SNMP v1,v2,v2c,v3
  • Поддержка Syslog с возможностью передачи информации на несколько серверов
  • Поддержка синхронизации времени (NTP)
  • Поддержка средств диагностики OAM CFM (IEEE802.1ah)

Маршрутизирующие коммутаторы QTECH QSW-8300 для уровня агрегации поддерживают также важные функции для данного уровня:

  • Super VLAN - позволяет терминировать группу пользовательских виланов на одном IP интерфейсе, позволяет реализовать идеологию «вилан на пользователя» на уровне доступа и «вилан на сервис» на уровне сети оператора 
  • ARP Proxy - позволяет предотвратить взаимную видимость пользователей на уровне МАС адресов. При обмене между пользователями весь трафик проходит через агрегатор и только МАС адрес агрегатора видят пользователи в качестве адреса назначения, реальные МАС адреса для них сокрыты.
  • Протоколы маршрутизации OSPF и BGP - для маршрутизации адресов оператора (OSPF) и адресов клиентов (BGP) 
  • Протокол мультикастовой маршрутизации PIM - для маршрутизации многоадресных рассылок.

Функциональность Ericsson Redback SE-100

Функциональность Ericsson Redback SE-100
Производительность
12 Гбит/с
Скорость маршрутизации
Пакетов в секунду
Не менее 7 MPPS при многочисленных правилах фильтрации и выполняемых сервисах
Поддержка функций качества обслуживания (QoS), фильтрации (ACL) и других правил контроля трафика Аппаратное,
На канальных ASIC
Архитектура Модульная, раздельные уровни управления и пересылки пакетов, на основе двух центральных процессоров (по 600 МГц) и двух перепрограммируемых канальных многоядерных ASIC (по 32 ядра каждый)
Интерфейсные порты Предустановленны два GE комбо порта для трафика и один порт для управления и служебного трафика. До 6 GE в расширении. Работа на «скорости проводов»
Количество поддерживаемых маршрутов в таблице IP маршрутизации 1,5 млн. маршрутов в стандартной комплектации
Количество поддерживаемых MAC адресов 160 тысяч
Одновременно терминируемых клиентских сессий 24 тысячи

Поддержка технологий MPLS и 160 тысяч МАС адресов позволяют организовать сервисы L2 VPN.

До 1000 BGP пиров, 1,5 миллиона маршрутов решают задачи Граничного Маршрутизатора, причем без потери производительности с одновременным использованием устройства в качестве BRAS и MPLS PE.
24 тысячи единовременных сессий BRAS. Поддержка сервисной модели DHCP авторизации (IPOE)
Терминация пользовательских сессий из MPLS.
Модульная архитектура программного обеспечения и многопроцессорная, многоядерная аппаратная платформа позволяют выполнять комплекс задач на «скорости проводов».
Одно устройство размером два юнита решает задачи ASBR, BRAS и VPN концентратора в масштабах сети города.
Пропускная способность во внешний Интернет - 3 Гбт/с.




Все решения
ПОДПИСКА НА НОВОСТИ
Подписавшись на рассылку новостей, Вы будете 4-5 раз в месяц получать профессиональные обзоры сетевого оборудования QTECH, практичные готовые решения для организации сетей связи, информацию о новинках и специальных акциях компании.