第一篇:基于EPON的广电数字双向网络改造解决方案 (范文)
基于EpON的广电数字双向网络改造解决方案
数字电视(DTV)的发展,对广电系统来讲是一个前所未有的发展机遇,基于EpON的广电数字双向网络改造解决方案。大家都意识到,只有开展新业务、提供新服务,才能使整体转换取得真正成功。新业务和新运营模式对网络提出了新的要求,最集中的体现就是要求网络实现双向。
然而,中同有线电视网的现状是存在着大量的HFC网络,多数网络都没有完成双向改造,这样的网络仅能满足基本广播电视节目的传送,既不能承载多媒体交互业务,也不能有效实现网络、业务和用户管理。所以,广电数字电视建设必须首先解决的是把HFC网络从单向网络改为双向网络,经过多年的试验和尝试,结合当前pON(无源光网络)和以太网技术的发展,EpON+LAN或EpON+EOC(Ethernet over COax)方式是最适合当前广电HFC双向改造的方案。广电数字双向网络改造方案
有线电视承载网由数字电视平台、总前端设备、分前端设备、光节点、同轴分配网组成,数字电视广播CATV还是在原来承载网中传播,HFC双向网改造解决的是VoD点播、宽带上网等其他新业务的需求。随着铜缆成本的增长,以及光纤成本的大大降低,越来越多的小区实现了光纤到楼道,为了接入网EpON方案提供了线路基础。而EpON网络和HFC网络具有相同的广播下传方式,点对多点树性构造,可以轻松地存HFC 网络中实现EpON组网。
接入网双向改造EpON方案由分前端OLT设备、分光器,放置于楼道的ONU设备组成。提供数据双向传输通道,解决分前端到楼道的光纤双向传输问题,可承载数据传输、视频点播、Volp等多种业务。最后100M的入户方案包括:五类线入户的LAN方案和利用原有同轴入户的EoC方案。两者可以完全满足当前广电对接入网双向改造的要求。
2.1 核心网方案
广电HFC双向网改造的核心网,建设采用交换城域网的模型,采用万兆核心路由交换机构建双归属的核心层、二层网络和三层网络核心重叠,同时进行二层交换转发和路由转发:城域网汇接层采用二三层交换机组网,作为网关路由器直接接人LAN专线用户。同时作为二层交换机,汇聚片区内pppoE用户到brAS的二层流量:brAS旁挂于核心二三层交换机,分片终结整个城域网的pppoE用户。万兆核心路由交换机具有带宽控制的功能,并且这种带宽控制所达到的精细度非常高,也就是分给每台计算机的带宽能够非常小,能够满足各种层次不同的用户需要。同时,万兆核心路由交换机都提供了扩展插槽,能够通过自己公司的扩展模块达到多业务的实现。
2.2接入网方案
2.2.1 EpON+LAN改造方案
在这个方案中EpON-OLT利用分前端光纤到园区机房分光器,分光器分光接入各个楼宇/道ONU,ONU采用LAN入户,承载数字电视点播信令同传和宽带上网等多业务,并根据多业务开展的需要,在用户侧增加家庭网管设备,完成对多业务终端的接入。下行的模拟和数字TV信号通过原有的光纤和HFC线路下行,HFC入户。最终双线入户,一劳永逸地解决广电数字网络双向问题。另外如果CATV信号波长为1550nm,可将分前端光纤与E pON-OLT进行合波,通过一根光纤进行传输,在园区机房进行分波,分别分出CATV信号和EpON光信号,由此可有效节省线路光纤资源。改造完成后,单位用户独占线路资源,不存在相互干扰的问题,开展点播业务不需要新增用户的终端投入,有效节省开通成本。存带宽规划上,建议1000M到小区,100M到楼道,10M到户,满足用户高带宽的需求和未来多业务接人的需要。
2.2.2 EpON+EoC改造方案
在这个方案中EpON-OLT利用分前端光纤到园区机房分光器,分光器分光接人各个ONU,然后以EoC方式下行。EoC合成器部署在小区楼道,将CATV信号和数据信号进行合成.通过原有HFC线缆传送到用户侧,最终通过用户侧的EoC终端分离出CATV信号和数据信号,用户数字电视点播信号通过EoC方式上行。EoC充分利用现有网络的同轴电缆、分支分配器资源,能够有效节省建网成本。该方案施工难度小,工作量少,改造速度快,不受同轴网络上的噪声对系统传输质量的影响,降低了施工难度。终端设备成本较低,降低用户投资。
EoC(Ethernet over Coax)就是一种通过无源设备在同轴电缆中传输以太网信号的技术。EOC把有线电视信号的下行传输和Ip数据双向传输有机地结合在一起,用一根电缆送入用户,既有大容量清晰的图象,又有双向独享的宽带数据接人,其工作原理如图所示。对同一根同轴电缆通过频率分割,在10~25MHz带宽内直接传送10Base-T的基带以太网信号,50~860MHz仍然传送RFTV信号。
2.3 家庭侧一家庭网关
随着数字电视双向改造,承载网络由原单一业务承载转向了多业务承载。除了开通数字数字电视外,还会利用已有的以太网资源进行宽带用户的发展,将来还可能会增加Ip电话等其他业务终端。多业务终端的使用直接推动了家庭网关在家庭中的应用。家庭网关就是连接广电网络和用户家庭网络的枢纽。从物理形态来将,家庭网关下行必须提供多接口,连接不同的业务终端。另外,家庭网关需要能支持多业务,以及业务的并发。作为业务转发的核心,必须保证同一时刻、同一网络内,不同类型业务的流畅运转。不能因为使用VoD业务,上网业务就受到影响。也就是对业务要有QoS保证。从广电角度看,家庭网关是接入网络的向下延申,利用家庭网关可以加强运营商对用户业务的精细化管理,使得运营商能够对网络资源精耕细作,加强对网络的监控和管理能力。
广电双网改造方案,无论是LAN或者EOC入户,如果用户开展多业务,考虑到业务的认证计费网管以及OoS等要求,达到可运营的目的,在方案中我们采用系列家庭网关利用pUpSpV或者pUpV等技术,将VLAN与业务进行绑定,将业务进行标识,保证QoS,规划方案《基于EpON的广电数字双向网络改造解决方案》。VLAN规划
家庭网关需要支持VLAN划分,每个家庭网关划两个VLAN,一个用来支持高速上网、一个用来实现点播回传。所有的家庭网关和ONU交换机都采用相同的配置,这样可以方便部署。每个EpON接口接入整个小区的用户,在OLT交换机的FpON端口上通过VLAN Mapping标识出业务和小区的位置信息,用VLAN数字的范围区分业务类型,VLAN1000~1999表示点播同传业务(STB),2000~2999表示高速上网业务(HIS):用具体的VLAN数字区分不同的接人小区.如1001、2001表示一个小区的两种业务的VLAN,1002、2002则表示另外一个小区的两个业务VLAN。
这种VLAN设计的问题是一个小区内所有用户的相同业务都在一个VLAN内,为避免用户间的互相影响,ONU交换机需要启动端口隔离功能,一个EpON口下的ONU交换机之间也需要启动隔离功能(EpON支持ONU之间的隔离),OLT交换机以上可通过VLAN自然隔离。用户容量计算及网络平滑升级策略
4.1 组网模式用户容量计算
HIS业务按照每户1Mb/s计算带宽,STB双向交互式业务按照每路50kb/s计算带宽.根据HSI业务与双向交互式业务的特点以及广电开通用户的实际情况,HSI用户的渗透率按照20%计算.同时在线的用户按照50%来计算,双向交互式业务的渗透率按照50%计算,考虑到晚间存在看电视的高峰期,双向业务的同时在线率按照100%来计算。
在一个OLT端口带32路ONU,每路ONU带48个用户的典型EpON接入网络模型下:
◆覆盖用户总数约为1500:
◆每路OLT端口HSI业务的实际占用带宽=1500x20%(渗透率)x50%(在线率)×1Mb/s=150Mb/s;
◆每路OLT端口双向交互业务的实际占用带宽=1500x50%(渗透率)×100%(在线率)x50kb/s=38Mb/s;
◆一路OLT的实际带宽为188Mb/s:EpON端口实际有效带宽为1Gb/s,完全满足容量需求。
典型的分前端需要覆盖约两万有线电视用户,按照上文的计算方式,每个分前端的OLT汇聚设备需要提供约2.5Gb/s的上行带宽。
4.2 网
络平滑升级策略
广电数据网络的运营初期是以建立双向网络为重点,主要是提供点播业务的回传通道,这一业务对带宽的要求很低,可以高密度的接人。双向网络建设完成后,广电自然会考虑为用户提供宽带上网业务(HIS)作为增值服务项目,宽带上网与点播回传不同,宽带上网需要保证给用户一定的带宽(至少要保证1M左右),而且当宽带上网业务HSI的用户多了以后,在网络汇聚点上需要更多的带宽保证,为了保证广电数据网承载网适应业务发展形势的需要以及用户规模不断增长的需要,实现网络的平滑升级,从而充分保护已有投资,建议采取如下的策略:
以分前端为单位进行网络的规划,初期可以配置多槽位机框,配置少量OLT端口,随着后期用户的增加.可以通过增加OLT端口数量来进行平滑扩容:
按照前面网络容量计算的结论,OLT的上行接口建议采用10GE的以太网接口,也有一种办法是初期采用GE,随着用户数的增多逐步扩充GE口,但是扩GE口意味着还要增加光模块、光纤等资源,而目前10GE以太网技术已经非常成熟,而且价格也比较合理.因此采用10G的接口从长远来看更加划算。
4.3 安全性
为了保证业务开展的安全性,接入网络需要考虑安全措施,防止网络被攻击导致业务中断,针对一些常见的攻击手段,接入网设备需要支持以下功能:
(1)MAC地址泛滥攻击 黑客发送大量带有随机源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时新目的MAC地址的数据包就会广播到交换机所有端口,交换机就像共享HUB一样工作,防范MAC地址泛滥攻击最有效的方法是限制端口的MAC地址学习数量。
(2)DHCp服务器DoS攻击黑客使用不同的MAC地址不断发出DHCp请求,租用所有可用Ip,导致正常DHCp无法进行,限制DHCp服务器DoS攻击可采用在接入交换机上限制端口MAC地址学习数量的方式,可以有效防止DHCp服务器DoS攻击。
(3)DHCp欺诈攻击 可在EpON-OLT上启动DHCp Snooping限制在非信任端口上的DHCp报文,只有信任的端口才能传输DHCp Offer等报文,可有效防止DHCp欺诈攻击,并且在ONU交换机上可启动端口限速功能缓解攻击。
(4)用户间二层隔离在接入交换机上启动端口隔离功能:EpON端口下各ONU之间启动隔离功能;在OLT交换机上通过VLAN规划隔离不同用户之间 的流量:网络管理,SNMp V3支持,防止截获SNMpV1的明文Commcmitv字符串后控制网络设备。
5结论
基于EpON的广电数字双向网络改造解决方案EpON+LAN/EOC除具备传统EpON的“大容量、高带宽、长距离、易维护”等特性外,EpON+LAN/EoC对广电的特殊意义在于:
(1)先进的1p驻地网公用平台,可支持高性能网管、组播、Ip语音、VpN等各种高附加值业务。可建设一套高质量驻地网。
(2)基于标准全开放的Ip协议基础,符合广电网络发展趋势。
(3)保护现有投资,可与广电现网更好的融合EpON的改造是与广电现有城域网的光纤、Cable相匹配的,基本上不需要改动。
(4)符合未来“三网合一”发展方向支持合光模式,可以将广电的电视信号与EpON的以太网信号可以通过一个光纤共纤传输,到小区再分节目与ONU。
第二篇:浅析广电网络中的EPON应用
龙源期刊网 http://.cn
浅析广电网络中的EPON应用
作者:姬煦
来源:《科技创新导报》2011年第11期
摘 要:随着Internet接入的普及,以及三网融合的需求。采用什么宽带接入技术能满足带宽增长的发展趋势,并能做到逐步扩容,所有广电网络运营商都面临这一挑战。本文主要针对广电网络在采用EPON+EoC组网方式中,如何应对三网融合的背景下的多业务运营管理,尤其是如何有效的区分接入层多业务流进行阐述。
关键词:EPON PUPV PSPV PUPSPV ONU OLT
中图分类号:TP393 文献标识码:A 文章编号:1674-098X(2011)04(b)-0021-01引言
EPON是实现光纤到家(FTTH)的最佳方案之一,是长远发展方向。虽然目前单位用户造价已经低于初期CM和ADSL的造价,但只有在高带宽需求的地方才能成为性价比较高的方案。在高带宽需求不足、宽带用户开通率很低的情况下,单位用户建设、维护成本都还较高。因此,广电城域网的接入网采用EPON-FTTB(光纤到楼)的结构,ONU安装在每个楼栋,ONU输出的以太网信号如何入户就成为需要解决的问题。
通常,有两种入户的技术方案,其一为多用户共用一个ONU,五类线入户方案,即EPON+以太;其二是多用户共用一个ONU,同轴电缆入户方案,即EPON+EOC。EPON到楼+EOC无源同轴接入方案,这应该是广电网改造双向接入的一条新出路。
EOC实现的方法很多,分为无源方案和有源方案。无源方案如基带传输;有源方案如WLAN、PLC、MoCA、HPNA以及其它技术。工作原理
EOC基带方案的同轴接入,在许多情况下都是可考虑应用的方案。例如5类线布线碰到困难的时候或距离较长时,可以利用同轴电缆代替5类线做基带传输(占用0-20MHz频带,10Mbps半双工)。EOC就是基于同轴电缆上的一种以太网信号传输技术。其原有的以太网信号的帧格式没有改变,改变的是双绞线上的双极性(差分)信号转换成为适合同轴传输的单极性信号。EOC基带无源器件造价可以控制在几十元以内,这在许多时候比重新布线更为经济。3 业务流区分主要方式分析
在用户EoC终端设备至OLT进行业务流量隔离,将个人宽带、高清互动业务数据流进行区分处理,从而保证各类业务的有序传输。
针对业务流的区分,可采用的方式有:PUPV(Per User Per Vlan)、PSPV(Per Service Per Vlan)模式、PUPSPV(Per User Per Service Per Vlan)模式。广电网络EPON+EOC标签应用配置管理方案
4.1 部署方式
内层TAG置于EOC终端、ONU对内层TAG进行替换转发、外层TAG置于 OLT。内层VLAN标签在接入EOC终端(由EOC局端配置);用于对业务进行区分;;ONU进行替换并转发。
外层VLAN标签在OLT部署;并针对不同的源tag进行不同的外层tag封装和不同上行的处理,保证外层tag不重复。
4.1.1 内层tag
每个EOC终端用户预留2类VLAN,目前EOC终端可以识别接入设备的MAC地址,(例如:STB回传vlanid=5;数据上网vlanid=6)分别用于上网、双向回传。VLAN数量共计:2个。ONU对CLAN进行替换(如果进行透传处理,全市OLT侧tag不能重复,否则将会对防止用户漫游带来隐患)如此配置继承并保持目前部署方式,不会对目前的tag规划产生大的冲突。就是ONU侧封装的tag数量增加1倍。
4.1.2 外层TAG
OLT同样根据CVLAN号选择性对各业务VLAN 进行标记外层标签、QoS位处理、不同上行端口。保证PSPV,经过EOMPLS传输至总前端BRAS。外层tag数量没有增加。
4.2 举例说明
4.2.1 EOC配置
EOC局端根据MAC地址前缀,区分EOC终端不同端口的tag封装;VLAN ID =5为双向回传业务(目前不能配置COS,正在改进);VLAN ID =6为数据上网。ONU配置:ONU分别根据EOC终端携带的tag 进行替换,(目前应用EPON设备均可以做到16:1的替换能力),同样继承携带的cos并转发。例如:VLAN ID 5替换为200且cos=5并转发;VLAN ID 6替换为300。如此配置继承并保持目前部署方式,不会对目前的tag规划产生大的冲突。就是ONU侧封装的tag数量增加1倍。
4.2.2 OLT配置
依据不同的tag信息,做不同的外层tag封装、不同上行的转发至BRAS。数据上网QINQ=Cvlan300+Svlan30,点播回传QINQ=Cvlan200+Svlan20+cos5。
EOC终端要求:出厂时即将2个以太网口标识明确,引导用户正确连接。具体技术细节不像用户解释。
4.3 安全问题描述
EOC局端配置好识别业务的tag配置信息(例如:点播回传vlanid=5;数据上网vlanid=6),并在以太端口做明显标识(计算机、机顶盒)。
当用户利用计算机连接“机顶盒”端口上网,依据radius判断原则,将验证username+passwd+NAS_port_ID,由于cvlan tag将封装依据连接EOC终端下的设备MAC地址,所以tag信息没有改变,因此依然可以拨号上网。
当用户利用机顶盒连接“计算机”端口回传,依据radius判断原则,将验证username+passwd+终端MAC,由于重点识别的STB的MAC没有发生变化,因此双向STB可以实现漫游应用。假如用户攒取双向STB拨号的username+passwd,并利用计算机进行拨号,重点识别的STB的MAC发生变化,则拨号失败。如果计算机修改自身的MAC地址(修改为双向STB的MAC地址)则拨号成功,单由于双向互动业务系统(包括互动游戏、在线支付等系统)前面均设备防火墙,又因双向STB的拨号策略的限制(双向STB的拨号获取私有地址,且只能在指定网络传输)也不能上网浏览,用户也会放弃。结语
在接入层面对业务流进行区分是广电网络应对三网融合多业务运营的基础,同时广电网络还应借鉴电信运营商Triple Play思想,在认证、授权、计费等应用层面进行精细化管理,统一化运营。
参考文献
[1] 面向下一代广播电视网(NGB)电缆接入技术(EoC)需求白皮书[J].国家广播电影电视总局科技司,2009(4).[2] 王兴亮,李伟.现代接入技术概论[J].电子工业出版社,2009(7).[3] 阎德升.EPON:新一代宽带光接入技术与应用[J].机械工业出版社,2007(1).[4] YD-T 1531-2006 接入网设备测试方法—基于以太网方式的无源光网络(EPON).[5] 中国电信[2007]890号_中国电信EPON设备技术要求V2.
第三篇:三网融合下,盘点广电双向网络改造模式
------------------------------农七师电视台技术部----Abutonlahy------------------------------
三网融合下,盘点广电双向网络改造模式
编者按:1月13日,国务院常务会议敲定加快推进电信网、广播电视网和互联网三网融合。会议提出要选择有条件的地区开展双向进入试点。三网融合的大潮为双向网络改造提供了一个好时机,广电想做更多的增值业务,必须进行双向网络改造。然而,目前我国1.6亿有线用户中仍有近1.5亿用户尚未完成双向网络改造,这离2012年底全国城市有线网络平均双向用户覆盖率要力争达到80%以上的目标还很遥远。广电双向网络改造无疑面临着一些困难,但仍然是有一定的模式可循的。
众所周知,三网融合需要的是能够支持交互等综合业务发展的网络,双向网络改造就成为广电发展的必然选择,据DVBCN了解,时至今日我国绝大部分用户尚未完成双向网络改造。而作为广电与生俱来的优势之一的宽带却没有得到充分的发挥。目前广电还没有实现全程全网,我国出口宽带也比较低。
此外,资金和经验也是广电网络接入运营商面临的问题。由于各个广电公司各自为政,没有培养出市场主体,地方广电实力相对薄弱,投资资金的有限导致没能形成规模优势。不少看不到即时利益的运营商自然不愿冒险投资。在经验方面,长光产品总监胡保民告诉DVBCN记者,广电在数通和语音方面的人才和技术积累相对薄弱,特别是IT支撑系统如BOSS差距明显。
不过,这些问题都挡不住双向网络改造前进的步伐,只要政府支持,资金并不是主要问题,而经验可以在实际中学习和借鉴。广电双向网络改造有自己的规律和模式。据DVBCN了解,目前,有线电视双向网络改造主要有EPON+EOC、EPON+LAN以及FTTH接入等多种模式。笔者将对这几种改造模式逐一介绍。
一。EPON+EOC改造模式:短期性价比高或成主流
据了解,在这个方案中,EPON-OLT利用分前端光纤到园区机房分光器,分光器分光接人各个ONU,然后以EoC方式下行。EoC合成器部署在小区楼道,将CATV信号和数据信号进行合成。通过原有HFC线缆传送到用户侧,最终通过用户侧的EoC终端分离出CATV信号和数据信号,用户数字电视点播信号通过EoC方式上行。
在DVBCN的采访过程中,长光产品总监胡保民认为采用EPON+EoC更加经济。他说,尽管按照现有的测算EPON+LAN的成本可能比EPON+EOC要便宜,但是需要比较综合成本,一般的计算方法EPON+LAN都没有计算用户家里的家庭网关或者交换机,而随着EOC标准的统一,未来EPON+EoC的市场可能更有竞争力的。
而天柏产品市场副总监刘隽也认为在改造的众多方案中,为符合“光进铜退”的网络发展趋势,以EPON+EOC为主的广电双向网改造方案便会成为主流方案。在DVBCN论坛专业人士看来,EOC在双向网整转初期将有很大市场,很大网络公司也是根据用户楼宇的实际情况来确定采用哪种接入,由于双向网改造要高质量要求,很多网络公司也把EOC作为
短期性价比最高的技术实现手段。
从总体上来看,EPON+EOC方案可以充分利用现有网络的同轴电缆、分支分配器资源,能够有效节省建网成本。该方案施工难度小,工作量少,改造速度快,不受同轴网络上的噪声对系统传输质量的影响,降低了施工难度。终端设备成本较低,降低用户投资。
另外,关于细分的EoC技术,在DVBCN记者的采访中,天柏刘隽和长光胡保民一致认为双向网络改造的方案一般分无源EoC和有源EoC。有源EoC又分高频和低频的,高频的有降频WiFi(又称WOC)和MOCA技术,低频的有HomePlugAV,HomePlugBPL,P1901,HomePNA。两家公司都认为无源EOC尽管成本低,但是由于无法穿透分支分配器而导致应用场景受限,另外加上可管理性较差,大大局限了他的发展,基本可以忽略。
有源方面,长光胡保民认为高频的EoC技术受限于衰耗大,对同轴电缆的质量要求较高,应用也不是很广泛。其中WOC带宽较低,用户数量增加将导致传输速率迅速下降,MOCA虽然带宽较高但是其成本目前也较高,推广也不乐观。天柏刘隽认为高频方案MOCA成本较高,而WIFI降频使用WIFI专用芯片,每年出货量巨大,芯片成本可以得到控制,是性价比最高的方案。
低频技术中,胡保民认为HomePNA抗干扰性能较差,使用的也不多。目前使用较广泛的是HomePlugAV/BPL技术,P1901则是大部分地区的选择趋势,比如江苏省广电就选用了P1901作为地方的EoC标准。并推荐使用HomePlugAV的技术,该技术也可平滑升级到P1901。这一点和天柏观点相同,天柏刘隽认为低频方案源于电信和电力线网络,对广电网络低频噪声的适应性比较差。
二。EPON+LAN改造模式:细分市场或依旧可行
据DVBCN记者采访了解,余少泼博士认为EPON+LAN实际上是两张网络,对于没有自己的网络的长城宽带等是合适的。不把EPON+LAN的方式理解为比较便宜,实际上是一种误解。因为在进行全业务和精细管理的情况下,需要QINQ,如果采用QINQ的模式,要求楼道交换机具有QINQ的功能,这就不是简单的HUB就可以了的,需要真正的交换机,价格在每个端口在100元左右。举个例子来说,如果要覆盖64个用户,就需要大约6400元左右,比一般的EOC局端要贵4倍左右。在加上其它的安装费用,实际上,成本比EPON+EOC方式要贵。所以余博士并不认为EPON+LAN是未来双向化改造的基本技术。
据了解,在这个改造方案中,EPON-OLT利用分前端光纤到园区机房分光器,分光器分光接入各个楼宇/道ONU,ONU采用LAN入户,承载数字电视点播信令同传和宽带上网等多业务,并根据多业务开展的需要,在用户侧增加家庭网管设备,完成对多业务终端的接入。下行的模拟和数字TV信号通过原有的光纤和HFC线路下行,HFC入户。最终双线入户,一劳永逸地解决广电数字网络双向问题。
有业内人士认为,在改造完成后,单位用户独占线路资源,不存在相互干扰的问题,开
展点播业务不需要新增用户的终端投入,并且可以有效节省开通成本。存带宽规划上,建议1000M到小区,100M到楼道,10M到户,满足用户高带宽的需求和未来多业务接人的需要。
对于EPON+LAN模式,长光胡保民告诉DVBCN记者,对于商务楼、宾馆等细分市场,采用这一模式也是可行的。这一模式在未来的市场中还是有一定的优势的。
三。FTTH改造模式:长远或将跨入舞台中央
FTTH(FiberToTheHome),顾名思义就是一根光纤直接到家庭。具体说,FTTH是指将光网络单元(ONU)安装在住家用户或企业用户处,是光接入系列中除FTTD(光纤到桌面)外最靠近用户的光接入网应用类型。FTTH的显著得技术特点是不但提供更大的带宽,而且增强了网络对数据格式、速率、波长和协议的透明性,放宽了对环境条件和供电等要求,简化了维护和安装。
据DVBCN记者获悉,FTTH的优势主要有5点:第一,它是无源网络,从局端到用户,中间基本上可以做到无源;第二,它的带宽是比较宽的,长距离正好符合运营商的大规模运用方式;第三,因为它是在光纤上承载的业务,所以并没有什么问题;第四,由于它的带宽比较宽,支持的协议比较灵活;第五,随着技术的发展,包括点对点、1.25G和FTTH的方式都制定了比较完善的功能。
长光胡保民对DVBCN记者透漏,如果单从从技术上分析,EPONFTTH的建设模式,是目前相对较好的接入方式,但是成本较高,因此目前还较难实在一步到位,然而这种建设模式是个发展趋势。而DVBCN论坛专业人士从长远来看,新建小区、楼盘FTTH的方式将为逐渐走向舞台,未来将更具竞争力。而传统的CMTS模式带宽太低,供货厂家少,网络改造成本高。
四。结论:广电运营商选适合自己的,才是最好的基于EPON的广电数字双向网络改造解决方案EPON+LAN/EOC除具备传统EPON的“大容量、高带宽、长距离、易维护”等特性外,EPON+LAN/EoC对广电的特殊意义在于先进的1P驻地网公用平台,可支持高性能网管、组播、IP语音、VPN等各种高附加值业务,还可以可建设一套高质量驻地网。其次,这两种模式也有基于标准全开放的IP协议基础,符合广电网络发展趋势。另外,还可以保护现有投资,可与广电现网更好的融合EPON的改造是与广电现有城域网的光纤、Cable相匹配的,基本上不需要改动。而FTTH改造模式长远来看,也有不小的发展空间。
在现阶段三网融合的大背景下,EPON+EOC符合“三网合一”发展方向支持合光模式,可以将广电的电视信号与EPON的以太网信号可以通过一个光纤共纤传输,到小区再分节目与ONU。尽管不少业内专家都认为,EOC是众多模式中比较具有市场竞争力的一种,但这并不意味着EPON+EOC双向网络改造是广电网络接入运营商未来必须选择的模式。广
电网络接入运营商需要做的是,在众多双向网络改造方案中摸索出一条适合自己的道路。
第四篇:catv EPON技术在广电双向网改中的应用
内部公开▲EPON+
++
+LAN改造方案
改造方案改造方案
改造方案?
??
?ONU
ONUONU
ONU可在光节点或进一步延伸到楼道
可在光节点或进一步延伸到楼道可在光节点或进一步延伸到楼道 可在光节点或进一步延伸到楼道
?
??
?建议
建议建议
建议ONU
ONUONU
ONU放置到楼道
放置到楼道放置到楼道
放置到楼道,,减小网络层级
减小网络层级减小网络层级
减小网络层级内部公开▲EPON+EOC改造方案
改造方案改造方案
改造方案内部公开▲EPON方案特点
方案特点方案特点
方案特点EPON城域改造特点
城域改造特点城域改造特点
城域改造特点
–城域改造费用低
–1G双向高速带宽,满足未来带宽需求
–无源光分配网,与广电原有网络天然匹配
–无源光分配网,与广电原有网络天然匹配–EPON 方案最后
方案最后方案最后
方案最后100m方案
方案方案
方案
–LAN方案:价格低,带宽大,但需要重新铺设5类线 –有源EOC:初始投资小,无需布线;但带宽小,最
终成本高
–无源EOC(以太网on cable):带宽大,无需布线; 但成本高内部公开▲EPONEPON技术原理
技术原理技术原理
技术原理技术原理
技术原理技术原理
技术原理(Ethernet Passive Optical Network)1490nm
1310nm
第三波长
第三波长第三波长
第三波长1550nmSplitter
SplitterSplitter
Splitter
1:32/64
1:32/641:32/64
1:32/64OLT
OLTOLT
OLT
ONT
ONTONT
ONT
ONU
ONUONU
ONU
ONT
ONTONT
ONT
SS/PSTN
SS/PSTNSS/PSTN
SS/PSTN
IP
IPIP
IP信号传输基于
IEEE 802.3以太网帧单纤波分复用,上下行对称1.25Gbps点到多点结构,分光比1:32(1:64)可叠加1550nm传送第三波长业务,如
CATVCESoP
技术解决TDM业务接入1310nmONT
ONTONT
ONTOLT:(Optical Line Terminal)-光线路终端ONU:(Optical Network Unit)-光网络单元ONT:(Optical Network Terminal)-光网络
终端ODN
:(Optical Distribution Network)-光分
配网内部公开▲有线电视承载方案一
有线电视承载方案一有线电视承载方案一
有线电视承载方案一((((合波
合波合波
合波/分波
分波分波
分波))))Splitter网管
网管网管
网管
CATV
IP
WDM
ONUWDMRF
coaxEDFAOLT
端通过EDFA模块对来自有线电视网的光信号进行放大,再通过WDM合波器
将EPON的两个波长(1310nm和1490nm)和EDFA发送过来的1550nm波长复用
在一起。ONU端通过WDM分波器将1550nm波长分离出来并进行光电转换和放大,提供RF接口连接电视机。
特点
特点特点
特点:
::
:该方案仅共享了主干光纤资源
该方案仅共享了主干光纤资源该方案仅共享了主干光纤资源
该方案仅共享了主干光纤资源,,CATV和
和和
和EPON在设备层面没有融合在设备层面没有融合在设备层面没有融合在设备层面没有融合。
。
。SplitterOLT接入网
接入网接入网
接入网核心网
核心网核心网
核心网驻地网
驻地网驻地网
驻地网WDM
ONUWDM内部公开▲有线电视承载方案二
有线电视承载方案二有线电视承载方案二
有线电视承载方案二((((中兴
中兴中兴
中兴FTTB+EOC)-推荐
推荐推荐
推荐Splitter网管
网管网管
网管
ONU
CATV
IPFEEOC
交换机
EOC终端
光电转换coaxSplitter
1:32OLT
ONU接入网
接入网接入网
接入网核心网
核心网核心网
核心网驻地网
驻地网驻地网
驻地网EOC 交换机无源EOC采用频分复用技术,利用频率器件(高、低通滤波器)将以太数据IP
DATA信号和有线电视TV RF信号同时复用在同一根同轴电缆芯线里共缆传输。每 用户最大数据带宽10Mbps。
特点
特点特点
特点:
::
:该方案数据和视频通过
该方案数据和视频通过该方案数据和视频通过
该方案数据和视频通过CABLE入户
入户入户
入户,,利用了广电现有楼内
利用了广电现有楼内利用了广电现有楼内
利用了广电现有楼内CABLE资源
资源资源
资源。
。
。EOC
终端内部公开▲有线电视承载方案三
有线电视承载方案三有线电视承载方案三
有线电视承载方案三((((中兴
中兴中兴
中兴FTTH方案
方案方案
方案)SplitterOLT
CATV
F425合波器
合波器合波器
合波器1550nm
1490nm
1310nmIP1:32网管
网管网管
网管接入网
接入网接入网
接入网核心网
核心网核心网
核心网
驻地网
驻地网驻地网
驻地网特点
特点特点
特点:
::
:该方案不仅共用主干光纤
该方案不仅共用主干光纤该方案不仅共用主干光纤
该方案不仅共用主干光纤,,而且在终端设备上
而且在终端设备上而且在终端设备上
而且在终端设备上EPON和
和和
和CATV进行了融合进行了融合进行了融合进行了融合。
。
。F425内部公开▲有线电视承载方案四
有线电视承载方案四有线电视承载方案四
有线电视承载方案四OLT光发射器分光器
分光器分光器
分光器语音
CATVONU
终端
终端终端
终端cable
FE
PC
TV
1310nm
-5dbOLT分光器
分光器分光器
分光器数据在广电的现网中,视频多是采用1310nm进行广播的,因为1550nm的光发射器比 1310nm的光发射器要贵好多倍。但是我们的F425处理的第三波长是1550,所以针 对这种组网,我们没有合适的ONU设备。据说盛立亚ONU3375已经提供了这种功 能,上行提供一个PON口和一个1310的光口,内部公开▲ONU-EPON 终端简介
终端简介终端简介
终端简介内部公开▲中兴通讯基于
中兴通讯基于中兴通讯基于
中兴通讯基于EPON的双向网络改造解决方案的双向网络改造解决方案的双向网络改造解决方案的双向网络改造解决方案内部公开▲窄带业务实现方案
窄带业务实现方案窄带业务实现方案
窄带业务实现方案需进行NGN网络每个ONU的内置IAD要求配置NGN网络IP地址话音经OLT汇聚后直接进入城域网,城域网通过VPN连接至省公司SS。将所有话音业务置于统一VLAN内,并为其分配最高优先级。OLTEMS
EMSEMS
EMS网管
网管网管
网管城域网
城域网城域网
城域网
省公司
省公司省公司
省公司SS内部公开▲楼道
楼道楼道
楼道ONU设备供电解决方案
设备供电解决方案设备供电解决方案
设备供电解决方案有线电视网络中设备供电可采用集中供电(60V)或本地供电(220V)两 种方式。为了解决楼道内供电问题,可以通过同轴电缆对EPON设备
进行集中供电。光节点的干线放大器将CATV的射频信号和60V的电
源一同传送到楼道中,通过分离器将60V电源和CATV信号分开。将
分离出的60V电源对ONU设备进行集中式供电。中兴通讯
D400、D402、F401等设备
均可支持60V交流供均可支持60V交流供
电。
第五篇:XX广电数据中心网络解决方案
XX广电数据中心网络解决方案 XX广电数据中心面临的挑战
“数据中心”建设是三网融合建设的重要组成部分,是广电网络运营商进行多业务运营转型,提升综合实力的主要任务。作为定位在“多业务运营平台”基础之上的数据中心,它不仅作为IDC开展IDC业务,还对广电现有的宽带接入业务、互动
数字电视视频业务、互动增值业务的发展产生积极作用,同时为广电的IT支撑系统提供运维保障。当前广电数据中心面临的挑战是:
1)广电宽带用户需要的互联网内容与信息服务大部分在电信和联通的IP网内,导致广电巨大的入网流量带宽成本。需要建设数据中心并部署一定规模的P2P、WEB应用缓存系统,从而尽可能将本地宽带用户的内容和服务请求终结在广电网内。
2)互动数字高清视频业务是广电运营商的核心业务,其发展方向是互动、高清、3D,该业务不仅需要大量丰富的高清互动视频媒体资源,同时还需要完善的视频内容分发网络(CDN),作为数据中心一个业务域,对大流量环境下的高带宽、高可靠、高稳定、易管理、节能环保要求较高。
3)IDC业务是运营商业务领域的重要组成部分,是信息化服务的趋势,IDC相关业务除了传统的系统托管业务、服务器和带宽等资源租赁业务、网络安全增值业务外,还将面向公众、企业等客户的云计算服务,承载这些业务,完善的数据中心基础设施是不可或缺的。
4)随着业务的发展,广电运营商需要逐步建设完备的IT支撑系统,包括相关的业务平台管理系统、内部管理系统,现阶段大部分的广电IT支撑系统还处在不断完善、持续建设的阶段,如果广电马上建设完善独立的IT支撑系统数据中心将是一种硬件资源、运维资源的潜在浪费,需要将其纳入到多业务数据中心,保障该系统的独立性和安全隔离,以逐步完善IT支撑系统。
根据对广电行业业务对数据中心的建设需求,汉柏科技提出了广电数据中心网络解决方案,对数据中心网络的总体架构、网络功能、可靠性、安全设计、服务质量设计进行了详细的描述,以指导建设一个高度可靠、安全、快速、可扩展的数据中心网络平台。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
汉柏认为数据中心网络建设目标是:在统筹广电数据中心项目业务需求和发展的基础上,兼顾远期发展目标,建设一个高度可靠、安全、快速、可扩展的基础网络平台,为各项业务提供优质高效的网络服务。数据中心业务规划
广电数据中心网络承载的业务众多,可按照业务类型初步规划如下:
自营交互业务视频CDN分发核心交互电视增值系统宽带和3G终端视频门户P2P和WEB缓存广电多业务数据中心云计算业务承载网企业级私有云个人级公有云物联网IDC业务大客户系统托管游戏门户视频门户WEB门户IT支撑系统运维多业务管理系统计费管理系统用户管理系统企业内部管理系统 1)自营交互应用业务 交互应用业务区承载了双向互动点播系统业务,是作为广电运营商“三网融合”的核心业务,在业务部署模式上采用的是分布式部署,即中央交互服务器与区域交互服务器是逻辑分开的。
2)IDC业务 包括大客户系统托管、游戏门户、视频门户、WEB门户等业务。3)云计算业务
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
包括承载网、企业私有云、个人公有云、物联网等业务。4)IT支撑系统
包括多业务管理系统、计费管理系统、用户管理系统、企业内部管理系统等业务。网络架构设计
3.1 设计原则
广电数据中心网络设计原则如下: 层次化
广电数据中心网络在网络层次设计上分为三层结构,即核心层、汇聚层、接入层。 区域化
广电数据中心网络根据业务功能划分区域,各自独立,分别设计。 高可靠性
系统的可靠性是网络健壮和稳定的重要因素之一,所以对网络系统的高可靠性设计必须全面考虑。 可扩展性
随着网络技术的发展和应用规模的不断扩大,网络应具有平滑扩展的能力,这种扩展不应影响原有的应用。广电数据中心网络系统应能够随时通过增加网络设备或模块来扩展、升级整个网络系统,同时保证原有设备的正常使用。
3.2 整体网络架构
汉柏建议数据中心网络的网络架构采用分层、分区的模块化规划方法,即:
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
根据不同的网络访问层次,将数据中心网络分为:核心层、汇聚层和接入层。 根据不同的业务功能,将数据中心网络在功能上分为:交互业务区、IDC业务区、云计算业务区、IT支撑业务区。整体拓扑结构如下:
VOD承载网骨干网核心交换机(外联)交互业务区对外防火墙IDC业务区对外防火墙云计算业务区对外防火墙IT支撑业务区对外防火墙交互业务区汇聚交换机IDC业务区汇聚交换机云计算业务区汇聚交换机IT支撑业务区汇聚交换机交互业务区对外接入区交互业务区内联防火墙IDC业务区对外接入区IDC业务区内联防火墙云计算业务区对外接入区云计算业务区内联防火墙IT支撑业务区对外接入区IT支撑业务区内联防火墙交互业务区应用服务器接入IDC业务区应用服务器接入云计算业务区应用服务器接入核心交换机(内联)IT支撑业务区应用服务器接入其它数据中心节点
核心交换区作为中心连接了各业务区汇聚接入交换机和骨干网、VOD承载网接入路由器,核心与汇聚之间以及核心与广域网之间采用口字型结构,以保证系统可靠性。
3.3 层次化网络架构
核心交换区分外联核心交换区和内联核心交换区,各负责与广电骨干网和VOD承载网以及其它数据中心网络互联;作为数据中心网络的路由中心,与区域汇聚交换机三层连接,实现整个网络各个区域间的数据交换。核心层交换机之间通过两条万兆链路捆绑汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
互联,以实现稳定可靠的网络中心。核心交换机建议采用汉柏万兆模块化交换机PT-6600系列交换机,通过万兆链路与汇聚交换机实现互联互通。汉柏PT-6600系列适合为用户组建高性能、高安全、高可靠的数据中心。PT-6600单机提供高达3.2T的交换容量和2381Mpps的转发能力,可以实现384个千兆或64个万兆以太网接口的全线速转发,满足了数据中心的高性能需求;PT-6600支持全方位的安全,通过加强设备自身的安全特性,提供内置的安全模块等多种方式,满足了数据中心的高安全需求;PT-6600支持不间断转发技术,支持所有模块的热插拔,再加上VRRP等冗余备份技术,满足了数据中心的高可靠需求。汉柏 PT-6600凭借其卓越的性能、全方位的安全以及电信级的可靠性,为数据中心建设提供了坚实可靠的网络基础平台。汇聚层作为各个区域数据的汇聚中心,分担核心层的压力,为服务器群对外提供高带宽出口;要求提供高密度GE/10GE端口实现接入层互联;另外充分考虑扩展性需求,我们建议选用汉柏科技公司的PT-6600万兆交换机作为汇聚,以实现高密度、高性能的服务器接入。接入层支持高密度千兆接入、万兆接入;接入总带宽和上行带宽存在收敛比,基于机架考虑,1U设备更具有灵活部署能力。汉柏PT-3750E系列万兆路由交换机采用硬件领先的架构,可全线速转发各种类型的数据包,在IPv6方面处于业界领先的地位。该系列产品全面支持各种单播路由和组播路由协议以及汉柏科技有限公司独有的扩展的多项功能,可满足于大型网络的需求。不仅如此,PT-3750E系列交换机还借助芯片级的安全可靠转发能力和多样化的业务支持,以及较高的性价比,成为大型网络汇聚层和中型网络万兆核心层解决方案的最佳产品。PT-3750E系列万兆路由交换机是汉柏科技有限公司强力推出的面向大型数据中心的高性能、高安全性、高可靠性的盒式万兆路由交换机,PT-3750E系列交换机支持灵汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
活的千兆的双介质光、电组合端口形态,同时支持高达四个高性能的万兆扩展,标准的1U高度,满足汇聚产品向高性能、小型化、节能环保发展的趋势。在性能和功能方面,PT-3750E系列交换机能够满足大型网络的组网需求,并具备丰富的智能和安全特性,特别适合于作为大型校园网、企业网、电子政务网、城域网的汇聚设备,以及中小型网络的核心设备。
3.4 区域化业务接入网络架构
目前应用访问大部分已实现浏览器/服务(简称B/S)架构,该架构要求采用三级服务器访问模式,结合安全和管理方面需求,汉柏建议采用对外接入区和应用服务器接入区两个子区域实现业务服务器接入,其网络架构及流量模型如下:
VOD承载网骨干网交互业务区对外防火墙CS业务流交互业务区汇聚交换机CS服务器交互业务区对外接入区交互业务区内联防火墙SS业务流核心交换机(内联)SS服务器交互业务区应用服务器接入其它数据中心节点
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
两个业务子区域通过交换网络的互连,层层的安全保护,形成结构清晰的易于部署的服务器接入架构。网络功能性设计
4.1 VLAN设计
广电数据中心网络系统属于交换网络,各业务数据由VLAN通道进行承载,汉柏建议VLAN设计分为如下三个部分: 设备管理VLAN 设备间互联VLAN 业务VLAN 由于各业务区域广播域完全分开,因此对业务区域来说可以独立进行VLAN设计,建议VLAN设计与IP地址设计统筹考虑,如可以将VLAN编号与IP地址某一位设计成相同,以利于数据中心网络系统运行维护。
4.2 IP地址设计
IP地址设计分设备管理地址设计、互联地址设计、业务地址设计,汉柏认为广电数据中心网络IP地址规划应按如下原则进行:
IP地址规划主要涉及到网络资源利用的方便有效的管理网络的问题,合理的IP地址规划是有利于网络管理的;
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。应充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布;
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
IP地址的规划与划分应该考虑到网络的后续规模和业务上的发展,能够满足未来发展的需要;即要满足当前业务对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
IP地址的分配需要有足够的灵活性,能够满足各种用户接入需要; 地址分配是由业务驱动,按照业务量的大小分配各业务区域的地址段; IP地址的分配必须采用VLSM(变长掩码)技术,保证IP地址的利用效率; 采用CIDR技术,通过IP地址聚合,以减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小; 充分合理利用分配的地址空间,提高地址的利用效率;
IP地址规划应该是数据中心网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。
4.3 路由设计
考虑到交互应用系统内Client-to-Server网络中服务器对负载均衡的需求,汉柏建议将Client-to-Server网络网关部署在负载均衡器上,而Server-to-Server网络中的服务器网关部署在区域防火墙上,由防火墙实现安全访问控制。其它业务区域服务器网关均部署在汇聚交换机上,防火墙透明部署,并增加安全访问控制策略。为了实现网关设备的动态切换,汉柏建议为网关设备部署VRRP协议,并叠加BFD for VRRP技术,实现网关快速切换。汉柏建议各区域采用OSPF路由协议实现互联互通,路由策略设计如下: 1)对于外联核心交换机启用三个OSPF进程,分别与对外接入汇聚交换机、骨干网汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
接入路由器、VOD承载网接入路由器建立邻居,分别学习到数据中心网络路由、骨干网路由及VOD承载网路由,然后将数据中心网络路由重分布到骨干网和VOD承载网,而骨干网和VOD承载网之间不重分布路由,以防止骨干网用户能够访问VOD承载网数据。
2)对于内联核心交换机启用两个进程,分别与应用服务器接入汇聚交换机和其他节点数据中心交换机建立邻居,在各路由区域内选择性重分布路由,以控制业务区域服务器与其它数据中心访问。网络可靠性设计
5.1 设备级可靠性设计
本方案采用的汉柏设备为分布式体系结构,所有关键部件采用冗余设计,包括主控板、交换网、电源和风扇等;采用无源背板设计,避免机箱出现单点故障;所有单板支持热插拔功能,并且对其它单板上运行的业务无影响。汉柏PT系列交换机采用“最长匹配、逐包转发”模式,能够抵御网络病毒的攻击;支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证;支持IP、VLAN、MAC和端口等多种组合绑定方式,防范地址盗用;支持广播报文抑制,有效控制ARP等非法广播流量对设备造成冲击;支持URPF,防止IP地址欺骗;支持报文安全过滤,防止非法侵入和恶意报文攻击等。此外设备自身的可靠性还可以通过为关键设备配置冗余部件来实现,如将核心交换机和汇聚交换机配置为双引擎、双电源。此外汉柏防火墙、入侵检测设备均支持双操作系统,当出现主操作系统不工作时,备操作系统立刻接管主操作系统,保证业务不发生中断。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
5.2 链路级可靠性设计
汉柏PT-6600及PT-3750E交换机均支持链路捆绑技术,对于核心交换机和汇聚交换机,互联链路采用了两条链路捆绑,这样当出现单条链路中断情况时,均可以通过协议的收敛机制实现数据交换无丢包。网络互联方面,由于采用了OSPF路由协议,当非捆绑链路出现中断情况时,OSPF协议将重新计算出新的转发路径,保障数据转发不中断。同时汉柏PT-6600及PT-3750E交换机均支持BFD技术,可将OSPF路由协议的收敛速度由秒级缩减到毫秒级,从而大大提高了整体网络的可靠性和应用的可用性。网络安全设计
6.1 设计原则
汉柏认为数据中心网络安全需遵从如下设计原则:(1)构建分域的控制体系
整个系统安全在总体架构上将按照分域保护思路进行,参考IATF信息安全技术框架,将交互应用公共支撑网络从结构上划分为不同的安全区域,各个安全区域内部的网络设备、服务器、应用系统形成单独的计算环境、各个安全区域之间的通道形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施;因此方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计,并通过统一的基础支撑平台来实现对基础安全设施的集中管理,构建分域的控制体系。(2)构建纵深的防御体系
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
整个系统安全对交互应用公共支撑网络的通信网络、区域边界、计算环境,综合采用访问控制、入侵检测、安全审计、防病毒、集中数据备份等多种技术和措施,实现双向交互业务应用的可用性、完整性和保密性保护,并在此基础上实现综合集中的安全管理,并充分考虑各种技术的组合和功能的互补性,合理利用措施,从外到内形成一个纵深的安全防御体系,保障信息系统整体的安全保护能力。
(3)保证一致的安全强度
应采用分级的办法,采取强度一致的安全措施,并采取统一的防护策略,使各安全措施在作用和功能上相互补充,形成动态的防护体系。在建设手段上,采取“大平台”的方式进行建设,在平台上实现各个级别信息系统的基本保护,比如多层的边界防护系统、统一的审计系统,综合的网管系统,然后在基本保护的基础上,再根据各个信息系统的重要程度,采取高强度的保护措施。
(4)实现集中的安全管理
网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。建设一套覆盖全面、重点突出、持续运行的信息安全管理体系,该体系覆盖信息系统安全所要求的安全技术和安全运维等内容,符合信息系统的业务特性和发展战略,可持续发展与完善。信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性,从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台,实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管,通过关联分析技术,使系统管理人员能够迅速发现问题,定位问题,有效应对安全事件的发生。(5)系统冗余设计
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
如何保证数据中心对外正常提供服务是整个数据中心网络建设的重点,整个系统不应只考虑到安全设备的部署,还要系统的考虑到主干网络、分域网络、所有应用系统的冗余机制,以保证所有业务的正常访问。
(6)提升系统的保障能力
在技术措施和管理手段建设的同时,重视信息安全中“人”的重要作用,通过一系列的风险评估、安全加固提升系统的安全性,并通过安全培训和安全通告提高歌华有线自身技术人员的技术水平,使系统安全保障能力达到行业内一流的信息安全保障水平,支撑和保障信息系统和业务的安全稳定运行。
6.2 安全域设计
传统解决方案中,终端用户可以访问自己前端WEB服务器,同时WEB服务器可以访问内部应用服务器,这样存在非常严重的安全隐患,一旦前端WEB服务器被互联网黑客植入木马,则黑客可通过“肉鸡”主机窃取高等级安全域中的信息数据。针对网络中可能存在的“肉鸡”主机问题,应用安全域解决方案通过对用户主机的认证授权模式,确保客户主机在同一时间段只能访问某一个区域,如访问对外接入区域,则对外接入区域服务器不能访问其他的安全域中的服务器,保证了即使被植入木马的主机,不会被外界控制去访问其它服务器资源,从而降低网络中信息泄漏的概率。按照区域的功能和应用的不同,汉柏建议数据中心网络划分为如下三个安全域:
外联区;
业务区(包括四个子区); 内联区;
各安全域的边界规划如下图所示:
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
外联区交互业务区IDC业务区云计算业务区IT支撑系统业务区内联区
安全域边界规划描述如下:
外联区与业务区属于不同安全域; 内联区与业务区属于不同安全域; 各业务安全子域属于不同安全域;
6.3 防火墙系统设计
为实现安全域边界防护,需在安全域之间部署防火墙,汉柏建议广电数据中心网络防火墙部署方式如下图:
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
VOD承载网骨干网核心交换机(外联)交互业务区对外防火墙IDC业务区对外防火墙云计算业务区对外防火墙IT支撑业务区对外防火墙交互业务区汇聚交换机IDC业务区汇聚交换机云计算业务区汇聚交换机IT支撑业务区汇聚交换机交互业务区对外接入区交互业务区内联防火墙IDC业务区对外接入区IDC业务区内联防火墙云计算业务区对外接入区云计算业务区内联防火墙IT支撑业务区对外接入区IT支撑业务区内联防火墙交互业务区应用服务器接入IDC业务区应用服务器接入云计算业务区应用服务器接入核心交换机(内联)IT支撑业务区应用服务器接入其它数据中心节点
建议在外联区与业务区之间部署汉柏PA-5500-F45超万兆防火墙,流量较小的内联区与业务区之间部署汉柏PA-5500-F40万兆防火墙。部署模式建议采用透明方式+安全策略,以达到更高的转发性能。作为业界领先的安全防护产品,PA-5500-F45/40具有如下突出特点:
专业的安全防护 PA-5500-F45/40不仅能够提供全面的地址转换、MAC地址绑定、访问控制策略、安全域划分、身份认证等边界防护功能,同时能够抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LAND IGMP2、IP碎片、源路由、端口扫描、IP-Spoofing等几十种常见攻击。针对嵌入在各种应用(邮件、网页、FTP以及VoIP)中的攻击、病毒和恶意插件,PA-5500-F45/40能够在深度识别业务类别和用户行为的前提下,提供基于状态监测的汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
应用层网关功能,结合强大的入侵检测机制和防病毒引擎,真正实现了边界、接入、行为和数据的多重安全防护。 稳定和高性能 PA-5500-F45/40防火墙采用了基于汉柏多个专利技术的双安全操作系统,并对数据平面和控制平面进行了严格的区分。对数据平面中各种需要高性能处理的功能,如地址转换、报文转发和访问控制策略进行了细致的优化处理;在控制平面上,支持链路状态信息的倒换机制、分布式应用和模块化的硬件架构,同时也对处理资源进行了保护,确保即使在极限网络压力下,PA-5500-F45/40仍然能够维持平稳的工作状态。 万兆就绪 针对日益突出的视频传输、虚拟桌面和数据中心备份等大数据量传输,应用的飞速增长带来了带宽的提升需求,万兆接口的应用已经势不可挡。同时,数据中心对设备的功耗和体积要求也越来越严格,更希望能够在相同的机架面积里面实现更高密度的连接。借助出色的硬件平台研发能力,汉柏科技率先推出了全球第一款在1RU体积上实现万兆接口的防火墙,凭借突出的功耗控制和效能优化,为用户平滑过渡到万兆时代提供了最佳选择。 内置交换芯片 PA-5500-F45/40在业内首次创新的采用了先进的防火墙+交换机的设计架构,采用高性能的千兆交换芯片,提供高达128Gbps的交换容量,不仅能够实现接口之间的L2/L3线速转发,还同时能够提供链路汇聚(802.3ad)、灵活的VLAN配置以及端口镜像等功能,内置的硬件ACL还能够配合防火墙,实现安全层面和转发层面依据硬件分离,提供更为全面的高性能安全接入功能。 虚拟防火墙功能 传统的防火墙只能提供单一安全域的防护,而对于多个安全域的独立部署,需要多汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
台防火墙才能实现,这造成了IT资源的极大浪费。PA-5500-F45/40支持虚拟防火墙技术,能够在一台物理防火墙上划分出多个虚拟防火墙,每一台虚拟防火墙都能够实现独立的访问控制策略、VPN、身份认证和系统管理。同时,系统还能够对多个虚拟防火墙进行统一的配置管理、软件升级。对于用户来说,即提高了现有设备的利用率,又解决了网络部署复杂、扩展性差等问题。 出色的能效比 PA-5500-F45/40采用了自主研发的高性能操作系统,并且针对报文转发、过滤以及VPN的关键处理进行了深入的优化设计,在同等硬件处理能力下,比通用的操作系统要高出至少30%的效能,对于提高用户IT资源利用率,降低能耗和节能减排给予了强有力的支持。
精细的流量和业务管理 基于专利技术的流量识别,结合强大的深度业务识别技术,PowerAegis系列防火墙能够提供对包括HTTP、Mail、FTP等多种业务在内的精细化识别,根据既定的服务管理策略,对各种应用给予不同的差分化对待,确保了关键业务的正常运行,即提高了网络资源的利用效率和组织的生产效率,又降低了IT总成本和运维的风险。
6.4 入侵检测系统设计
IDS的部署目的是为了监测来自不同网络对数据中心网络的访问,用以及时发现网络攻击并提供有效证据。制定策略是使用IDS最重要的工作之一,良好的策略不仅可以让管理员及时捕捉到网络上正在发生的重大危害事件,而且使管理员不致被大量的无用信息所淹没,减轻工作负担。如果是初次使用,对网络上存在些什么样的数据流可能不甚明确,这时可以采用包含事件较多的策略集,待运行一段时间后,对网络状况有了基本的了解,再在此策略集的基础上酌情删减。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
汉柏建议IDS的部署方式如下图:
VOD承载网骨干网IDS核心交换机(外联)IDS交互业务区办公业务区综合业务区管理业务区核心交换机(内联)IDSIDS
IDS建议采用两台汉柏PA-5500-U40旁路部署模式,两台IDS分别连接在核心交换机上,将核心交换机连接各业务区域端口的出入流量镜像到汉柏PA-5500-U40,由汉柏PA-5500-U40进行入侵检测。汉柏PA-5500-U40主要特点如下: 1)业界领先的架构设计 业界最佳的系统架构 PA-5500-U40采用了控制平面、转发平面和管理平面严格分离的系统架构,采用基于硬件ASIC的完成防火墙的所有功能,实现小包64字节线速的吞吐量,严格保障防火墙的转发性能;对于应用层安全,采用高性能的通用处理器,以应对实时变化的威胁和应用;对于管理数据,给予最高优先级的处理,即使在应用层处理负载较重的时候,仍然能够轻松对设备进行管理和配置。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
IronScreen双安全操作系统 PA-5500-U40采用了基于汉柏专利多核技术的双安全操作系统,独创性的提出了基于安全领域在多核上的SMP(对称多处理)软件模型,该模型成功的应用了阿比达定律,有效的降低串行化执行代码在总执行代码中的比例,极大地发挥了多核下的并行计算能力。除此之外,PA-5500-U40使用了智能流分类系统,将大量的数据流均匀分散在不同的核上进行全流程处理,增加了数据Cache的命中率,极大的提高了系统的性能。针对多核软件设计大量使用到的锁,汉柏设计并实现了自有专利的安全操作系统写时拷贝机制,使得90%的数据流在做并行化处理时都是免锁的,进一步保障了系统的稳定性和可靠性。
2)入侵检测和防御 PA-5500-U40采用了集成多种检测机制的高性能扫描引擎,包括特征库匹配、异常行为分析、协议检查等手段,结合汉柏强大的实时安全服务,能够主动识别各种DoS/DDoS攻击、协议的变种攻击、木马和后门程序,不仅能准确地检测入侵,实时的阻止恶意的攻击,并能够提供丰富完整的日志和定位信息,进行事后溯源工作。
3)Web安全 针对不断涌现的Web安全,PA-5500-U40也提供了一定程度的防护,不仅包括能够有效的识别或过滤出嵌入在Web页面中的Java Applet、Java Script、Cookie和ActiveX等信息,还能够提供关键字过滤和基于超过4000万域名的Web页面分类数据库,帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问,杜绝潜在的威胁。
4)数据泄漏防护 PA-5500-U40还提供了精细的数据泄漏防护(DLP)功能,支持用户定义各种规则的汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
关键字和敏感词,支持包括Email、HTTP、FTP和IM在内的各种协议,对于银行卡帐号、身份信息、财务信息等关键数据,将其控制在可信网络的范围以内,避免恶意或者无意的数据泄漏造成不可弥补的错误。
5)丰富的应用支持和管理 PA-5500-U40采用了多重识别技术,首先基于强大的深度报文检测和多达1400种的业界最丰富的协议库,对绝大部分的应用进行模式匹配;其次采用了启发式学习和DFI技术,采用汉柏专利技术进行深层次的行为挖掘;最后,对伪装成HTTP报文的应用,进行一致性还原比对。在这三重技术的保障下,将应用识别率,提高到远远超过了业界的其他竞争对手的程度。
6)可视化的安全管理 PA-5500-U40提供了丰富的展现功能,提供包括病毒排行、攻击排行、应用带宽的排行、链路带宽使用情况,在应用管理上,可以提供能够细致到当前用户的应用、占用的带宽、使用的连接,让安全管理者对已有的、潜在的和未知的安全威胁,以及网络中的各种应用和用户行为,都有着非常丰富的直观感受,为用户创造出可视化安全的体验。
7)实时的病毒库、攻击库、应用库更新 作为安全网关设备,如何能够保证在新的威胁、病毒、攻击和新的应用出现的第一时间,就能够做到有效的洞悉和控制,不仅考验产品本身的应变能力,更考验安全厂商支持的力度和深度,以及响应的速度。汉柏科技为PA-5500-U40配备了强大的安全服务团队,并和国际先进的安全机构合作,对不断涌现的新的病毒、威胁以及应用,实时更新到汉柏安全数据库中。目前安全数据库已经有20万条病毒特征、4000多种攻击特征、1400多种应用特征库,以及70多种分类4000多万条网页数据库。
8)简单易用的配置工具
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
PA-5500-U40集成了业界最完整的安全功能,但并不是简单的罗列。汉柏科技一直将提高使用者的便利性作为产品设计的核心思想,从产品定义阶段就将易用性作为关键指标。PA-5500-U40提供了简单直观的Web管理界面和用以高级配置的命令行,可以支持复杂的策略、协议作为对象的方式灵活使用;除此之外,提供初始配置向导、数量众多的场景应用指导和设计工具,既能够满足需要简单配置的用户,也能够为专业的安全管理人员提供全面而直接的配置方法。QoS设计
7.1 数据中心网络QoS需求
为了保证数据中心关键应用的网络带宽,建议对应用按重要等级进行分类,在网络上,实现对不同等级的应用提供优先权不同的质量服务。
7.2 QoS策略的制定
为了实现端到端业务QoS保障,各层网络设备所承担的任务如下: 汇聚交换机作为服务器接入,进行数据分类及DSCP标记; 核心交换机信任DSCP值,并部署拥塞避免和拥塞管理机制; 在统一出口设备上部署拥塞控制和流量监管机制。实施QoS的根本目的是确保网络的各类信息能够及时获得所需要的网络带宽。针对数据中心信息流的内容及特点,汉柏建议制定如下的QoS策略: 1)业务前端数据(主要为WEB服务)要给予最高优先级保证,在任何情况下都要确保业务数据及时可靠地传送。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
2)Voice over IP(VoIP)流量占用带宽不大,但对延迟极为敏感,也给予较高优先级保证。
3)IT支撑系统中网管流量,属于一种数据传输业务,其对延时并不敏感,但是不允许数据丢失,将其定义为次高优先级。4)其它需要定义为高优先级的业务。
5)数据共享等属于非业务的数据流量,其数据包最长,对延时并不敏感,但是不允许数据丢失,将其定义为普通优先级。6)所有未定义的流量则被置为最低优先级。汉柏解决方案总结
安全性好
容易明确不同网络区域之间的安全关系,可以单独对每个区域进行安全实施,不会对其它区域造成影响。 扩展性好
可根据不同区域和层次的功能按需建设,业务部署灵活,可以非常方便的增加新业务区,而不改变原有的网络结构。 提高可用性
可以最大限度的隔离故障域,简化数据路径,加快故障收敛时间。 易管理
网络结构清晰,日常的运维变得更加简单,问题定位容易。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
About 汉柏—
汉柏(英文:Opzoon)是一家全球领先的行业深度定制化、智能网络设备和解决方案提供商,是源自硅谷的中国高科技企业。其海外市场业务占据汉柏95%以上的销售来源,年复合增长率超过40%,截止2010年全球销售额累计10亿美金,在全球10多个国家设立26个办事处及分公司。
目前,汉柏具有业界领先的基础网络、安全网络、应用网络及云计算等多条产品线及解决方案,业务涵盖众多领域,包括政府、电信、交通、公安、社保、广电、教育、金融、智能楼宇、医疗、酒店等各行业,并拥有众多全球成功典范案例客户。未来,汉柏将在云计算、移动互联网、物联网等领域持续加大研发投入,探索科技创新,致力于成为业界顶尖的下一代智能网络和应用解决方案提供商!
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
点击咨询 