Обзор системы Ethernet DSL Access
Ericsson Ethernet DSL Access
Содержание 1
ВВЕДЕНИЕ.........................................................................................................................................................6 1.1
2
ПРЕДЫДУЩИЕ ВЕРСИИ ..................................................................................................................................6
КОНЦЕПЦИЯ EDA...........................................................................................................................................7 2.1 ПОДДЕРЖИВАЕМЫЕ ADSL СТАНДАРТЫ ........................................................................................................8 2.2 ОСНОВНОЙ ПРИНЦИП СИСТЕМЫ EDA ..........................................................................................................8 2.2.1 Основа системы EDA – IP DSLAM ....................................................................................................9 2.2.2 Узел агрегации......................................................................................................................................9 2.2.3 Система менеджмента PEM...........................................................................................................10
3
СЕТЬ ДОСТУПА EDA ................................................................................................................................... 11 3.1 ДОМЕН ДОСТУПА ........................................................................................................................................11 3.1.1 Размер Домена Доступа....................................................................................................................12 3.1.2 Домены Подсети и IP-сети ..............................................................................................................12 3.1.3 Сервер Домена....................................................................................................................................13
4
КОМПОНЕНТЫ СИСТЕМЫ EDA..............................................................................................................15 4.1 IP DSLAM...................................................................................................................................................15 4.1.1 Прокси Менеджмента EDA..............................................................................................................16 4.1.2 Решение EDA без EMP ......................................................................................................................18 4.1.3 IP DSLAM – EDN312 и EDN312x ......................................................................................................18 4.1.4 IP DSLAM - EDN288 ..........................................................................................................................19 4.1.5 IP DSLAM - EDN110...........................................................................................................................21 4.1.6 Узел агрегации ECN320 .....................................................................................................................21 4.2 КОММУТАТОРЫ EDA...................................................................................................................................23 4.3 УЗЛЫ ПИТАНИЯ ETHERNET .........................................................................................................................25 4.4 ПРЕОБРАЗОВАТЕЛИ EDA..............................................................................................................................26 4.4.1 Преобразователь FE в E1 .................................................................................................................26 4.4.2 Шлюз Ethernet ....................................................................................................................................27 4.5 ФИЛЬТРЫ EDA ............................................................................................................................................28 4.6 СТОЙКИ И ШКАФЫ EDA..............................................................................................................................28
5
ОБОРУДОВАНИЕ CPE (УСТАНАВЛИВАЕМОЕ В ПОМЕЩЕНИИ ПОЛЬЗОВАТЕЛЯ).................33
6
УСЛУГИ НА БАЗЕ СИСТЕМЫ EDA..........................................................................................................35 6.1 6.2 6.3 6.4 6.5 6.6 6.7
ШИРОКОВЕЩАНИЕ ......................................................................................................................................35 ФУНКЦИЯ ТЕСТИРОВАНИЯ SELT.................................................................................................................36 ДИАГНОСТИКА ЛИНИИ ................................................................................................................................36 УПРАВЛЕНИЕ ДОСТУПОМ К СЕРВИСАМ........................................................................................................36 ПРЕДОСТАВЛЕНИЕ УСЛУГ С EDA................................................................................................................37 СЦЕНАРИИ ИСПОЛЬЗОВАНИЯ BRAS............................................................................................................37 ОБЗОР УСЛУГ СИСТЕМЫ EDA......................................................................................................................37
7
ТЕХНИЧЕСКОЕ ОБСЛУЖИВАНИЕ СИСТЕМЫ ..................................................................................40
8
СИСТЕМА МЕНЕДЖМЕНТА EDA ............................................................................................................41 8.1 АРХИТЕКТУРА PEM .....................................................................................................................................41 8.1.1 Домен Менеджмента........................................................................................................................41 8.2 СТРУКТУРА PEM .........................................................................................................................................43 8.2.1 База данных PEM...............................................................................................................................44 8.2.2 Сервер Менеджмента.......................................................................................................................44 8.2.3 Приложения PEM ..............................................................................................................................45 8.3 ОПЕРАТОРЫ СИСТЕМЫ РЕМ ........................................................................................................................47 8.4 ГРАФИЧЕСКИЙ ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС NNM ..............................................................................48 8.4.1 Менеджмент обработки сбоев........................................................................................................49 8.4.2 Менеджмент производительности.................................................................................................51 8.5 МЕНЕДЖМЕНТ КОНФИГУРАЦИЙ ..................................................................................................................53 8.5.1 Менеджер Инсталляции ...................................................................................................................53
Ericsson Ethernet DSL Access Менеджер Конфигурирования Сети................................................................................................54 8.5.2 8.5.3 Менеджмент Конфигурирования Сервисов ....................................................................................58 8.5.4 Менеджер Конфигурирования Массивов Данных ...........................................................................62 8.5.5 Менеджер Безопасности ..................................................................................................................62 8.5.6 Менеджер Состояния .......................................................................................................................63 8.5.7 Менеджер Резервирования................................................................................................................65 8.6 ЛОКАЛЬНОЕ ОПЕРАТОРСКОЕ СРЕДСТВО (LCT)...........................................................................................65 9
ТЕЛЕФОНИЯ И МУЛЬТИМЕДИЙНЫЕ УСЛУГИ .................................................................................67 9.1 ТФОП И ЦСИС В EDA ...............................................................................................................................68 9.1.1 Решение узкополосной телефонии со встроенным фильтром ......................................................68 9.1.2 Решение узкополосной телефонии с внешним фильтром ..............................................................68 9.1.3 Решение ЦСИС с внешним фильтром .............................................................................................69 9.2 ТЕЛЕФОННАЯ СВЯЗЬ ПО ПРОТОКОЛУ IP.......................................................................................................70 9.2.1 Факторы, определяющие качество .................................................................................................71 9.2.2 Пропускная способность ..................................................................................................................71 9.2.3 Безопасность .....................................................................................................................................72 9.3 МУЛЬТИМЕДИЙНЫЕ УСЛУГИ .......................................................................................................................72 9.3.1 Качество.............................................................................................................................................72 9.3.2 Безопасность .....................................................................................................................................72 9.4 РАЗВЕРТЫВАНИЕ ТЕЛЕФОННОЙ СЕТИ В EDA ..............................................................................................73 9.5 РАБОТА С ШИРОКОВЕЩАНИЕМ ....................................................................................................................73 9.6 РАБОТА С ГРУППОВЫМ ВЕЩАНИЕМ .............................................................................................................73
10
КАЧЕСТВО ОБСЛУЖИВАНИЯ ..............................................................................................................75
10.1 КАЧЕСТВО ОБСЛУЖИВАНИЯ В СЕТИ ETHERNET ...........................................................................................75 10.1.1 Качество обслуживания в IP-сети ..................................................................................................77 10.2 КАЧЕСТВО ОБСЛУЖИВАНИЯ НА ЛИНИИ ADSL ............................................................................................77 10.3 ЗАДЕРЖКА СИГНАЛА В IP-ТЕЛЕФОНИИ .......................................................................................................80 11
БЕЗОПАСНОСТЬ .......................................................................................................................................82 11.1 ПРОБЛЕМЫ БЕЗОПАСНОСТИ EDA................................................................................................................82 11.2 PPP, VLAN И ФОРСИРОВАННОЕ ПЕРЕМЕЩЕНИЕ ДАННЫХ ..........................................................................82 11.2.1 PPP (Протокол двухточечного соединения) ...................................................................................82 11.2.2 Технология VLAN................................................................................................................................83 11.2.3 Форсированное Перемещение Данных (Forced Forwarding)..........................................................85 11.3 СТАНДАРТ DHCP RELAY AGENT INFORMATION OPTION (OPTION 82).........................................................85 11.4 МЕХАНИЗМЫ БЕЗОПАСНОСТИ IP DSLAM ..................................................................................................87 11.4.1 Фильтрация........................................................................................................................................87 11.4.2 Разделение уровня 2. ..........................................................................................................................88 11.5 ШИФРОВАНИЕ И ТУННЕЛИРОВАНИЕ ...........................................................................................................89 11.6 ДРУГИЕ МЕРЫ БЕЗОПАСНОСТИ ....................................................................................................................90 11.6.1 Политики Безопасности Менеджмента.........................................................................................90 11.6.2 Отслеживание сети и обнаружение проникновений .....................................................................90
12
ДИЗАЙН СИСТЕМЫ EDA........................................................................................................................91
12.1 ПОДХОД К СИСТЕМНОМУ ДИЗАЙНУ .............................................................................................................91 12.2 ОПРЕДЕЛЕНИЕ ФУНКЦИЙ СИСТЕМЫ EDA ...................................................................................................91 12.2.1 Разработка действующей системы EDA .......................................................................................92 12.3 ПРИМЕРЫ СЦЕНАРИЕВ СЕТИ EDA...............................................................................................................93 12.3.1 Нет выбора обслуживания ...............................................................................................................93 12.3.2 Выбор обслуживания с применением BRAS.....................................................................................94 12.3.3 Выбор обслуживания с применением VLAN ....................................................................................95 12.3.4 Выбор обслуживания с применением подсетей ..............................................................................97 12.3.5 Выбор обслуживания с применением прозрачности LAN-to-LAN................................................97 12.4 РАСЧЕТ СЕТИ ................................................................................................................................................98 12.4.1 Мощность системных элементов ...................................................................................................98 12.4.2 Расчет сети доступа EDA ...............................................................................................................98 13
ЗАКЛЮЧЕНИЕ .........................................................................................................................................100
Ericsson Ethernet DSL Access
1 Введение Данное руководство предлагает вам ознакомиться с системой Ethernet DSL Access (EDA) и ее концепцией. В руководстве описаны различные элементы сети EDA, а также способы их взаимодействия при создании универсальной и гибкой сети доступа ADSL. Для знакомства с системой EDA и технологиями, описанными в данном руководстве, не требуется никаких предварительных знаний. Однако для полного понимания работы системы желательно иметь общее представление о IP-технологии. Данное руководство можно распечатать на черно-белом принтере, однако рисунки будут более понятны при цветной печати.
1.1
Предыдущие версии
Данное руководство действительно для системы EDA версии 2.0.
Ericsson Ethernet DSL Access
2 Концепция EDA Система EDA может быть приспособлена для самых различных сценариев доступа в зависимости от конкретных требований к функциональности и производительности. Например, требования к производительности зависят от количества абонентов, которое может быть обработано системой доступа, а также от полосы пропускания, которая выделяется абонентам. Функциональные требования более разнообразны, например, в них учитывается, какие IP-услуги поддерживаются, как обеспечивается безопасность и конфиденциальность, каким образом предоставляется возможность выбора услуг и т.д. Функциональные требования, также как и требования к производительности, в зависимости от сценария доступа, могут значительно различаться. Поэтому система EDA была разработана с учетом работы со всеми возможными сценариями доступа. В настоящее время значительно выросла популярность использования широкополосных сетей в домашних условиях и на предприятиях малого бизнеса. Чтобы удовлетворить спрос, было разработано несколько технологий, одна из которых –технология Цифровой Абонентской Линии (Digital Subscriber Line, DSL). В этой технологии, чтобы обеспечить высокоскоростной доступ к данным, используются медные телефонные линии, соединяющие абонента и телефонную станцию. Технологии DSL, в зависимости от теоретически максимальной скорости передачи данных, предлагаемые отдельным абонентам, разделяются на несколько типов. На сегодняшний день наиболее широкое распространение получила технология Асимметричной DSL (Asymmetric DSL, ADSL), для которой максимальная скорость передачи данных составляет примерно 8 Мбит/с (для потока данных к абоненту) и 1 Мбит/с (для потока данных от абонента). EDA – это общее название продукта для системы доступа ADSL компании Ericsson. Данная концепция устанавливает новый стандарт быстрого, гибкого и надежного использования систем цифрового доступа. Система EDA решает основные проблемы операторов связи, которые стремятся к массовому использованию технологии ADSL, в том числе: проблема относительно большого количества человеко-часов, необходимого для установки, настройки и управления традиционными системами ADSL; размер и слабая масштабируемость этих систем; а также возрастающие требования к гибкому раздельному использованию местных линий связи между различными услугами и сервис провайдерами. Ниже указаны основные концепции системы EDA: •
Полная реализация концепции ADSL, обеспечивающей доступ на основе сети Ethernet
•
Миниатюрные размеры мультиплексора доступа DSL
•
Система разработана и оптимизирована для легкого внедрения и обслуживания
•
Система может быть использована для любого сценария широкополосного доступа и степени проникновения (от десяток единиц до тысяч портов на одну точку присутствия).
•
Хорошо подходит для сценариев одновременного и раздельного использования местных линий связи между различными услугами и сервис провайдерами.
Ericsson Ethernet DSL Access
2.1
Поддерживаемые ADSL стандарты
Система EDA поддерживает следующие стандарты: • ITU-T G.992.1 Annex A (ADSL через ТФОП) • ITU-T G.992.1 Annex B (ADSL через ЦСИС) • ITU-T G.992.2 (ADSL Lite) • ITU-T G.992.3 Annex A (ADSL2 через ТФОП) • ITU-T G.992.3 Annex B (ADSL2 через ЦСИС) • ITU-T G.992.3 Annex L (ADSL2 «длинный») • ITU-T G.992.3 Annex M (ADSL2 c расширенным обратным каналом) • ITU-T G.992.5 (ADSL2+) Annex A, B, L, M Широкополосный доступ по абонентским линиям: как и традиционные системы DSL, EDA предоставляет широкополосный доступ по медным проводам абонентских линий связи. Традиционные системы ADSL основаны на мультиплексоре доступа DSL (DSL Access Multiplexer, DSLAM). Соединения ATM, работающие выше уровня ADSL, могут быть терминированы локально в узле доступа, либо переданы удаленному серверу доступа через базовую сеть ATM. Абоненты получают доступ к ADSL по индивидуальным линиям связи, проведенным от основного кросса (Main Distribution Frame, MDF) к DSLAM. Переход от технологии асинхронной передачи данных (ATM) к Ethernet: система EDA позволяет перейти от технологии ATM к Ethernet. Ethernet предпочтительнее ATM в таких важных областях, как масштабируемость, простота и стоимость оборудования. IP на всем пути: EDA позволяет разворачивать решения «IP на всем пути», поддерживающие высокоскоростные приложения такие как Triple Play (Тройная Услуга) – данные, видео, голос, более продвинутые услуги, требующие механизмов широковещания и группового вещания. EDA также предоставляет инновационное решение для услуг классической телефонии.
2.2
Основной принцип системы EDA
Основной принцип системы EDA изображены ниже на рисунке 1. Более подробно архитектура системы описана в разделе 3.
Ericsson Ethernet DSL Access
Рисунок 1. Основной принцип системы EDA Пользователь подключатся к сети EDA через IP DSLAM. IP DSLAM в свою очередь подключается к узлу агрегации, которые обеспечивает Ethernet коммутацию 2 уровня и далее доступ к различным IP-услугам. Система EDA управляется Системой Менеджмента EDA, называемой PEM. Система EDA поддерживает услуги традиционной телефонии (ТФОП), ЦСИС и телефонии через IP. Телефония через IP и одна из традиционных услуг ТФОП или ЦСИС могут сосуществовать в системе EDA одновременно и предоставляться всем пользователям параллельно. Система EDA может быть подключена к любому типу АТС. IP DSLAM выделяет низкочастотный сигнал ТФОП или ISDN и передает его на опорную АТС. Система EDA может быть расширенна для развертывания различных типов мультисервисных сетевых архитектур. Например, добавлением широкополосного сервера доступа (типа BRAS) может быть обеспечены функии связанные с аутентификацией, авторизацией и учетом стоимости на основе сессии/вызова и т.д. Здесь необходимо отметить, что BRAS и оборудование для решения Телефонии через IP не входит в состав системы EDA.
2.2.1
Основа системы EDA – IP DSLAM
IP DSLAM преобразует и объединяет все входящие абонентские линии ADSL в одно соединение Ethernet со скоростью 100 Мбит/с и, в отличие от традиционного ATM DSLAM, уровень ATM стека протоколов ADSL терминируется напрямую в IP DSLAM. Чтобы обеспечить высокую безопасность для абонентов и оборудования EDA, IP DSLAM выполняют фильтрацию трафика в двух направлениях - от абонента и к абоненту. Система EDA содержит несколько типов IP DSLAM, описанных более детально в разделе 4.
2.2.2
Узел агрегации
Как показано на рисунке 1 IP DSLAM соединяются с узлом агрегации. Ethernet коммутатор, который используется в роли узла агрегации, увеличивает пропускную способность точки доступа сети EDA, объединяя определенное количество IP DSLAM. Более того коммутатор Ethernet может выполнять
Ericsson Ethernet DSL Access дополнительные функции по обработке трафика, такие как приоритизация и разделение Обычно в системе EDA используется коммутатор ESN310, который имеет 24 порта по 100Мбит/с для подключения IP DSLAM и два Gigabit Ethernet порта для подключения к вышестоящему узлу. ESN310 имеет встроенную функцию передачи электропитания через интерфейс Ethernet, и обеспечивает электропитанием IP DSLAM через Ethernet-интерфейс. Узел Управления Ethernet и EAN Другой тип узла агрегации, используемого в системе EDA, является устройство ECN320, который также реализует функции коммутации Ethernet второго уровня, электропитания через Ethernet, а также реализует дополнительную функцию – автоматическую загрузку программного обеспечения и конфигурационных данных в узлы системы EDA. ECN320 имеет встроенную функцию Управления Узлами. Это позволяет обеспечивать локальную «самоподдержку» группы IP DSLAM (EDN110 и EDN312 через или без дополнительного 8-и портового Ethernet коммутатора ESN108), подключенных к ECN320 без участия Системы Менеджмента EDA (PEM). Одной из ключевых функций концепции Сети Доступа Ethernet (Ethernet Access network, EAN), в центре которой лежит ECN320, является возможность функционирования EAN как один узел (пусть даже физически распределенный) в сети EDA. При этом добавление либо удаление отдельных IP DSLAM из EAN должны происходить по принципу Plug-and-Play. ECN320 автоматически регистрирует узлы и их порты, делая процедуру инсталляции, расширения и замены быстрым и легким. Это обеспечивает независимость EAN от PEM в случаях перегрузки и нормального функционирования. Более того, концепция EAN позволяет значительно уменьшить используемое адресного пространство IP-адресов. Более детально ECN320 описан в разделе 4.1.4.
2.2.3
Система менеджмента PEM.
Система менеджмента EDA позволяет осуществлять техническую эксплуатацию и обслуживания распределенной сети EDA как единым целым. Система менеджмента EDA, называемая PEM (Public Ethernet Manager), является масштабируемым решением, устанавливаемом на одном сервере, когда все приложения менеджмента реализуются в одном месте, или на нескольких сервера в распределенном случае. Сервер Менеджмента содержит PEM сервера и базы данных. База данных содержит всю информацию о конечных пользователях и конфигурационные данные сети. В распределенной конфигурации Сервер Менеджмента функционирования как центральная точка эксплуатации и технического обслуживания всей сети в целом. PEM может быть интегрирован в вышележащую систему управления через стандартные интерфейсы. Система менеджмента описана более подробно в разделе 8.
Ericsson Ethernet DSL Access
3 Сеть Доступа EDA Основной целью системы EDA является предоставление абонентам IP-услуг. Система EDA поддерживает предоставление IP-услуг посредством: •
Доступа к сети
•
Доступа к услугам
Доступ к сети означает предоставление доступа через Домен Доступа – доступ к физической среде переноса. Доступ к услугам означает управление доступом абонентов к IP-услугам. Система EDA прежде всего сфокусирована на предоставлении Доступа к сети, но также предлагает некоторые интегрированные решения Доступа к услугам. Таким образом, система EDA предоставляет полную платформу для работы с IP-услугами, включая IP-телефонию и IP-видео. Основные компоненты системы EDA показаны на рисунке 2.
Рисунок 2. Основные компоненты сети EDA
3.1
Домен Доступа
Сеть EDA может быть представлена в виде географически распределенных Доменов (Областей) Доступа (Access Domain). На рисунке 3 представлен пример сети с 3 Доменами Доступа. Каждый Домен имеет локальное управление и имеет интерфейс к центральной системе технического обслуживания и эксплуатации (PEM). Более того, Домен Доступа имеет связанный с собой Сервер Домена. Сервер Домена может быть представлен в Сети Доступа как самостоятельное устройство или как функция, включенная в центральный Сервер Менеджмента. В общем, Домен Доступа имеет возможность переноса любой протокола сетевого пакетной коммутации, однако основным протоколом, на который ориентировано решение EDA является IPпротокол. Конечный пользователь может получить любую IP-услугу, предлагаемую сервис провайдерами, подключенными к сети EDA в Точках Присутствия (Point of Present, PoP).
Ericsson Ethernet DSL Access В большинстве случаев все соединения между элементами сети EDA внутри сети осуществляются с помощью интерфейсов Ethernet.
3.1.1
Размер Домена Доступа
Теоретических ограничений на размер Домена Доступа нет, но если учитывать время перегрузки IP DSLAM и ограничения системы управления, то возникает ряд практических ограничений: Сеть системы EDA может состоять не более чем из 20 Доменов Доступа, каждый из которых может иметь до 2000 IP DSLAM. Максимальное количество конечных пользователей сети системы EDA может достигать примерно 1’000’000 пользователей. Если превышается максимально допустимое количество конечных пользователей, возможно внедрение нескольких систем EDA.
3.1.2
Домены Подсети и IP-сети
Домен Доступа может объединять одну или несколько IP-сетей каждая из которых определяется своим Сетевым Идентификатором (Network ID), Маской Подсети (Subnet Mask) и Шлюзом по Умолчанию (Default Gateway), и одну или несколько Доменов Подсети (Domain Subnet), см. рисунок 3
Рисунок 3. Домен Доступа в Сети Доступа Каждая IP-сеть в Домене Доступа может делиться на несколько Доменов Подсети. Домен Подсети содержит сетевые элементы – узлы сети EDA, например, IP DSLAM, конвертеры Ethernet в E1 и EDA-коммутаторы. В каждом Домене Подсети для сетевых элементов выделятся диапазоны IP адресов, которые выделяются DHCP сервером для каждого элемента сети динамически. DHCP сервер является компонентой Сервера Домена. Следующий рисунок поясняет вышеописанное.
Ericsson Ethernet DSL Access
Рисунок 4. IP Сеть и Домен Подсети
3.1.3
Сервер Домена
Домен Доступа – логическая сеть, управляемая одной системой менеджмента и имеющая определенную область IP-адресов. Сетевые элементы в Домене Доступа управляются системой PEM через Сервер Домена. Как уже упоминалось ранее Сервер Домена – функция, которая может быть реализована в виде физически выделенного сервера, реализована в центральном Сервере Менеджмента или частично в контроллере ECN320. В свою очередь Сервер Домена реализует функции DHCP Сервера, Сервера Файлов Домена, NTP Сервера, а также функции PEM и функции клиента HP Open View.
Рисунок 5. Домен Доступа и Домен Подсети На рисунке 5 Сервер Домена Города №1 отвечает за все сетевые узлы Домена Доступа Города №1.
Ericsson Ethernet DSL Access Сервер Домена для Домена Доступа Города №2 инсталлирован на том же компьютере, что и центральный Сервер Менеджмента. Вообще, выделение Доменов Доступа (и, как следствие, выделение каждому своего Сервера Домена) необходимо в том случае если не используются контроллеры ECN320, и развертывается большое количество портов.
© Ericsson, 2004
14(100)
Ericsson Ethernet DSL Access
4 Компоненты системы EDA Более подробное описание компонентов системы EDA приводится в последующих разделах. Все узлы или компоненты в Домене Доступа подключаются к единой сети Ethernet, по которой передается и абонентский трафик, и поток управляющей информации. Система EDA состоит из следующих компонентов, которые могут быть объединены для конкретных решений EDA: •
IP DSLAM - EDN110, EDN312 и EDN288
•
Коммутаторы - ESN108, ESN310 и ELN220
•
Узел контроллера Ethernet - ECN320 (ESN310 со встроенной функцией EDA Management Proxy (EMP))
•
Стойки – министойка, маленькая стойка, средняя стойка на 288 портов
•
Шкаф – большой шкаф и внешний шкаф
•
Фильтры – фильтр ТФОП (EDF110p, EDF210p) и фильтр ЦСИС (EDF110i)
•
Преобразователи - преобразователь FE-E1 (EXN104) и Ethernet EXN401/410
•
Узлы питания через Ethernet - EPN102 и EPN124
•
Система менеджмента – система Менеджмента Сети Ethernet Общего Пользования (PEM)
Более подробно компоненты описаны в следующих разделах данного руководства.
4.1
IP DSLAM
В решениях EDA применяются три типа IP DSLAM — на 10 линий, на 12 линий со встроенными фильтрами ТФОП или ЦСИС, и на 288 линии. Питание IP DSLAM обеспечивается через кабели Ethernet, по одному кабелю передаются и данные, и питание. IP DSLAM может быть включен в сеть с помощью 24-портовго Ethernet коммутатора ESN310 (не имеющего встроенной функции PEM-прокси). IP DSLAM также могут быть объединены 24портовым Узлом Контроллера Ethernet ECN320, который содержит и в котором можно использовать функцию PEM-прокси (подробнее ниже). В отличии от большинства традиционных IP DSLAM также терминирует протокол уровня ATM и подключается непосредственно к коммутируемой сети Ethernet внутри Домена Доступа. IP DSLAM функционирует как мост между оборудованием/сетью пользователя и коммутируемой сетью Ethernet.
Рисунок 6. Мост между Доменом Доступа и оборудованием пользователя © Ericsson, 2004
15(100)
Ericsson Ethernet DSL Access
IP DSLAM терминирует все абонентские линии на стороне АТС и в то же время позволяет предоставлять высокоскоростной IP-доступа поверх этих линий. Подключение IP DSLAM к конкретной абонентской линии не влияет на узкополосный телефонный сигнал и не обязывает данного абонента линии пользоваться ADSL, т.е. ADSL услуги на линиях могут быть активированы в индивидуальном порядке для каждого абонента (с помощью PEM). На каждой линии конечный пользователь имеет до 8-и Постоянных Виртуальных Соединений ATM (Permanent Virtual Connection, PVC), в зависимости от функциональности модема на стороне пользователя. Каждый PVC конфигурируется индивидуально – задается максимальная требуемая пропускная способность и сценарий Качества Обслуживания (Quality of Service, QoS). IP DSLAM также может производить Квалификационные Тесты Линии (Line Qualification Test) в целях оценки характеристик соединения ADSL. Тесты обычно производятся после установки IP DLSAM. ADSL-линия не обязательно должна быть активизирована для выполнения Тестов. IP DSLAM имеет встроенную защиту по перенапряжению (Over Voltage Protection, OVP), которая может заменить защиту, обычно устанавливаемую на кроссах (Main Distribution Frame, MDF). OVP в IP DSLAM соответствует Рекомендациям ITU K.20 и K.21 В случае если IP DSLAM агрегируются без использования функции проксирования PEM (EMP), IP DSLAM в таком случае называют Stand Alone (выделенный узел). В случае использования EMP (ECN320) – Embedded Node (встроенный узел)
4.1.1
Прокси Менеджмента EDA
Прокси Менеджмента EDA (EDA Management Proxy, EMP) – встроенное в устройство ECN320 функция. EMP позволяет избавиться IP DSLAM от зависимости от PEM в случаях перегрузки, а также уменьшает количество IP адресов необходимых в целях управления сетью. ECN320 представляет все IP DSLAM, подключенные к нему как один узел. Такой логический узел назван Узлом Доступа Ethernet (EAN).
© Ericsson, 2004
16(100)
Ericsson Ethernet DSL Access
Рисунок 7. Пример EAN EAN показанный выше представляет собой некоторое число сетевых элементов, подключенных к ECN320. Локальные IP адреса сетевых элементов не видны сетевому менеджменту, за исключением IP адресов ECN320. ECN320 обслуживает все подключенные сетевые элементы используя их локальные адреса. EMP превращает ECN320 в один большой IP DSLAM с одним статическим IP адресом. Количество линий может быть увеличено, если между ECN320 и IP DSLAM включить для агрегации коммутатор ESN108. В таком случае у ESN108 будет 7 портов для подключения IP DSLAM и общее число портов в EAN: 24 (ECN320) * 7 (ESN108) * 12 (EDN312) = 2016 портов. В случае прямого подключения IP DSLAM к ECN320 число портов будет равно 288. ECN320 обеспечивает автоматическую регистрацию всех подключенных сетевых элементов и их портов, в связи с этим значительно упрощается процесс развертывания, расширения и замены элементов сети. Другим плюсом является то, что сетевые элементы обслуживаются своим локальным EMP и не зависят от Сервера Домена PEM в режиме нормальной функционирования. Сервер Домена необходим только в случае обновления ПО, синхронизации и для работы с SNMP командами. EMP загружает в сетевые элементы ПО и конфигурационные файлы. Загрузка осуществляется локально (не из PEM), что значительно уменьшает трафик сетевого менеджмента. Характеристики узла агрегации с EMP: • Авторегистрация сетевых элементов; • EMP распределяет ПО и конфигурационные данные по элементам сети; • Один IP адрес на один узел.
© Ericsson, 2004
17(100)
Ericsson Ethernet DSL Access
4.1.2
Решение EDA без EMP
Рисунок 8 показывает подключение четырех IP DSLAM и одного ESN108 к агрегирующему коммутатору ECN310 (без EMP). Все шесть IP адресов сетевых элементов видны для сетевого менеджмента и все шесть элементов обслуживаются PEM индивидуально.
Рисунок 8. Решение без EMP Все сетевые элементы регистрируются в PEM вручную. Коммутатор ESN310 используется для агрегации трафика в Домене Доступа. Сервер Домена PEM данного Домена Доступа обеспечивает сетевые элементы прикладным ПО и конфигурационными данными. Сервер Домена также отвечает за обработку аварийных индикаций и анализ сетевой топологии. Сервер Домена совместно с Сервером Менеджмента создают распределенную систему менеджмента. Фильтрация SNMP trap (информацию об неуспешном запросе аутентификации) в Сервере Домена уменьшает трафик менеджмента (в сторону Сервера Менеджмента). Автоматическое обнаружение узлов в Домене Доступа локальным Сервером Домена – другой положительный момент в распределенной системе менеджмента. Так как каждый сетевой элемент имеет свой собственный IP адрес, число обслуживаемых IP адресов в Домене Доступа может быть очень высоким. Максимальное число IP адресов, которое может обслуживать Сервер Домена, составляет 2000 адресов. Характеристики узла агрегации без EMP: • Ручная регистрация сетевых элементов; • Домен Сервера распределяет ПО и конфигурационные данные по сетевым элементам; • Анализ сети и SNMP-фильтрация осуществляется Сервером Домена; • Много IP адресов в Домене Доступа.
4.1.3
IP DSLAM – EDN312 и EDN312x
EDA предлагает 12-и портовые IP DSLAM в двух версиях EDN312 и EDN312x: • EDN312p – со встроенным фильтром ТФОП; © Ericsson, 2004
18(100)
Ericsson Ethernet DSL Access • • • • •
EDN312i – со встроенным фильтром ЦСИС; EDN312e – со встроенным фильтром ТФОП в соответствии с со стандартом ETSI; EDN312xp – со встроенным фильтром ТФОП, возможностью работы в стандарте ADSL2+, с двумя аплинками 100Мбит/с Ethernet. EDN312xi – EDN312xe – со встроенным фильтром ТФОП в соответствии со стандартом ETSI, возможностью работы в стандарте ADSL2+, с двумя аплинками 100Мбит/с Ethernet.
Опции «Резервирование» и «Агрегация» (только EDN312x) EDN312x имеет два порта-аплинка. Порты могут работать в режимах «Резервирование» и «Агрегация». В первом случае один порт, подключенный к ECN320, - активный, второй порт, подключенный к ECN320, – в резерве. Во втором случае, оба порта активны и переносят реальный трафик, таким образом, увеличивая пропускную способность EDN312x в два раза. Более детально режимы описаны в разделе 4.1.4. Между двумя портами-аплинками EDN312x нет разницы. Любой из этих портов может быть использован для подключения к коммутатору агрегации. EDN312x берет электропитание с одного из этих портов. Если текущий активный порт отключается и электроэнергия пропадает EDN312x самостоятельно перезапускается.
4.1.4
IP DSLAM - EDN288
C IP DSLAM на 288-портов Ericsson выводит новую и важную концепцию – Узел Доступа Ethernet (EAN). Для понимания функций EDN288 необходимо понимание концепции EAN. EDN288 EDN288 является EAN и доступен в двух вариантах EDN288p и EDN288xp
Рисунок 9. IP DSLAM на 288 линий - EDN288 IP DSLAM на 288 линий представляет собой единую целостную систему на 288 линий и состоит из 24 IP DSLAM на 12 линий и одного Узла Контроллера Ethernet (Ethernet Controller Node, ECN320), с полным набором кабелей, и собранный в стойке для установки в стандартный 19-дюймовый шкаф или шкаф ETSI, см. рисунок 9. EDN288p содержит END312p, EDN288xp – EDN312xp. В стандартной конфигурации EDN288xp содержит один ECN320. Однако EDN288xp может быть © Ericsson, 2004
19(100)
Ericsson Ethernet DSL Access расширен еще одним ECN320, который позволяет EAN работать в режимах «Резервирование» и «Агрегация», в зависимости от реализованных соединений. Резервирование EAN Резервирование EAN обеспечивается соединение двух Ethernet-портов IP DSLAM с двумя ECN320, см. рисунок 10. Резервирование требует активизации протокола RSTP (Rapid Spanning Tree Protocol) в обоих узлах ECN320.
Рисунок 10. Каблировка для резервирования EAN Агрегация портов EDN312x Два порта IP DSLAM также могут быть использованы для увеличение аплинка в одном EDN312x до 200Мбит/с/
Рисунок 11. Каблировка для агрегации портов ECN320 поддерживает до 6 агрегирующих портов. Каблируя таким образом EDN288x можно получить в одном EAN 144-портов (72 агрегированных и 72 нормальных). Когда выбирается режим «агрегации» оба соединения между IP DSLAM и ECN320 автоматически активизируются. Пример каблирования показан на рисунке 12. Иллюстрация показывает как верхний ряд IP DSLAM
© Ericsson, 2004
20(100)
Ericsson Ethernet DSL Access (в EDN288 два ряда) подключается к ECN320. Нижний ряд подключаются к нижнему ECN320 таким же образом.
Рисунок 12. Каблировка для резервирования линий и электропитания (PoE)
4.1.5
IP DSLAM - EDN110
IP DLSAM EDN110 меньших размеров (тоньше), чем EDN312, показан на рисунке 13 IP DSLAM на 10 линий может быть напрямую установлен в стандартный кроссовый плинт типа KRONE LSA-PLUS на 10-пар. IP DSLAM на12 линий можно установить в соединитель EDGE Connector. EDN288 можно установить в 19-дюймовую стойку или шкаф ETSI. Во время установки телефонные абонентские линии, находящееся в эксплуатации, не изменяется, то есть данная услуга может и далее предоставляться абоненту в дополнение к ADSL-доступу.
Рисунок 13 Мультиплексоры EDA IP DSLAM на 12 и 10 линий В мультиплексоре доступа на 10 линий (EDN110) встроенные фильтры отсутствуют, это означает, что в тех решениях, где необходимо предоставлять услуги ТФОП или ЦСИС, дополнительно необходимо иметь фильтр/разветвитель для ТФОП или ЦСИС.
4.1.6
Узел агрегации ECN320
Сердцем EAN является узел управления, Контроллер Узлов Ethernet (Ethernet Node Controller), являющийся в свою очередь составной частью ECN320. ECN320 также реализует функции Ethernet коммутатора.
© Ericsson, 2004
21(100)
Ericsson Ethernet DSL Access
Рисунок 14. Контроллер Узлов Ethernet – ECN320 Коммутационная часть ECN320 реализует также функциональность Электропитания через Ethernet. Контроллер Узлов Ethernet управляет всеми встроенными узлами. С точки зрения системы управления, коммутатор также является встроенным элементом, не смотря на то, что он расположен и интегрирована в ECN320. Все функции менеджмента встроенными узлами осуществляется через Контроллер Узлов Ethernet – единственный элемента EAN непосредственно взаимодействующий с системой менеджмента PEM. Используя функцию Прокси Менеджмента EDA (EMP) (см. 4.1.1), Контроллер передает и получает информацию от встроенных узлов. Заметим, что только через Контроллер проходит только трафик менеджмента. Трафик пользователя никак не влияет на структуру EAN. Контроллер отрабатывает все функции Сервера Домена для встроенных узлов. В связи этим, встроенные узлы не зависят от Сервера Домена. Однако функции Сервера Домена должны быть реализованы по следующим причинам: 1. Вся коммуникация с ECN320 осуществляется по протоколу SNMP. 2. Контроллер Узлов Ethernet получает ПО для ECN320 из Сервера Файлов Домена (Domain File Server), в случаях обновления ПО. 3. Контроллер получает из Сервера Файлов Домена ПО и конфигурационные данные для встроенных узлов, когда EAN синхронизируется от PEM.
Рисунок 15. Структура Контроллера Узлов Ethernet ECN320 имеет 24 порта 10Base-T/100Base- TX RJ45 и два комбинированных порта 10/10/1000BaseT, которые работают комбинированно с SFP-трансиверными слотами (Small Form Factor Pluggable).
© Ericsson, 2004
22(100)
Ericsson Ethernet DSL Access ECN320 используется в сети EDA как в роли агрегирующего коммутатора первого, так и второго уровня (только в сочетании с ESN108, работающего в роли первого уровня). Кроме того, помимо функции Электропитания через Ethernet ECN320 выполняет сложные фунцкии сетевого упрвления, такие как широковещательная коммутация, виртуальные LAN, и Классы Качества (Class of Quality, CoS) на уровнях 2/3/4, что обеспечивает надежность и стабильность характеристик сети.
4.2
Коммутаторы EDA
Решение EDA предлагает набор коммутаторов – два коммутатора Ethernet первого уровня иерархии (ESN108 и ESN310) со встроенными функциями Электропитания через Ethernet (Power over Ethernet, PoE) для IP DSLAM и один оптический коммутатор Ethernet второго уровня иерархии (ELN220). Коммутатор ESN108 Коммутатор ESN108 хорошо подходит для небольших помещений с невысоким числом абонентом (см. рисунок 16). Модульный принцип коммутатора оптимален для небольших узлов, обслуживающих до 80 линий, прекрасно подходит для пре-каблированных небольших решений на кроссах MDF, содержащих восемь IP DSLAM с 10 портами и один агрегирующий коммутатор ESN108 для связи с вышестоящим узлом, - раздел 4.6. Коммутатор имеет нисходящие интерфейсы для подключения нижестоящий узлов (IP DSLAM) на 8 портов со скоростью 100 Мбит/с и один оптический порт (uplink, восходящий интерфейс) для подключения к вышестоящему узлу со скоростью 100 Мбит/с. Он имеет встроенную функцию PoE, которая используется для питания подключенного IP DSLAM. Он устанавливается непосредственно в модуль LSA (технология компании KRONE). ESN108 реализует многоадресную загрузку программного обеспечения IP DSLAM и групповое потоковое видео с помощью метода IGMP snooping (ограничение рассылки групповых сообщений). Просматривая сообщения IGMP, коммутатор строит таблицы отображения и связывает с ними фильтры. Происходит динамическая настройка портов коммутатора для многоадресной передачи потока данных только на те порты, которые связаны с точками назначения многоадресной рассылки. Коммутатор также предоставляет возможность фильтрации трафика, распределенного по портам, и является прозрачным для идентификаторов VLAN. Он управляется с помощью Системы Менеджмента EDA.
Рисунок 16. Коммутатор EDA Ethernet (8 портов) с PoE - ESN108
© Ericsson, 2004
23(100)
Ericsson Ethernet DSL Access
Коммутатор ESN310 Коммутатор ESN310 был специально разработан для решений системы EDA (см. рисунок 17). Коммутатор содержит 24 порта нисходящего интерфейса Fast Ethernet со скоростью 100 Мбит/с. Портов восходящего интерфейса может быть или 2x 10/100/1000 Мбит/с Ethernet, или 2 оптических порта Gigabit Ethernet. Коммутатор поддерживает PoE и управляется с помощью Системы Менеджмента EDA. Коммутатор поддерживает многоадресную загрузку программного обеспечения IP DSLAM и групповое потоковое видео с помощью метода IGMP snooping.
Рисунок 17. Коммутатор EDA Ethernet (24 порта) с PoE - ESN310 Коммутатор ELN220 ELN220 является коммутатором второго уровня иерархии, который предлагает 24 оптических или электрических порта Fast Ethernet для объединения ESN108 и ESN310. Есть 2 порта нисходящего интерфейса Gigabit Ethernet для соединений к вышестоящему узлу. Коммутатором управляется Системой Менеджмента EDA (PEM).
Рисунок 18. Коммутатор Ethernet (24 порта - ELN220) ELN220 может быть использован как строенный узел в EAN, и может быть подключен к оптическому аплинку 25-ому порту ECN320. Основная цель ELN220 в таком случае является поддержка малых удаленных точек присутствия ADSL через оптический интерфейс. Подобный сценарй представлен на рисунке 19
© Ericsson, 2004
24(100)
Ericsson Ethernet DSL Access
Рисунок 19. ELN220 как строенный узел EAN К 24-ем портам ELN220 может быть подключены 8-и портовые коммутаторы ESN108. Это значит что суммарное числе ADSL линий, обслуживаемых одним ELN220 может составлять 24x8x12=2304, ECN320 имеет 24 порта подключения IP DSLAM. Таким образом, при подключении к ним 12-и портовые EDN312, дополнительно может быть подключено 288 локальных пользователя.
4.3
Узлы Питания Ethernet
В решениях EDA, в которых IP DSLAM получают питание не от коммутатора или в которых используется преобразователь Fast Ethernet в E1, а также в других случаях, могут применяться выделенные узлы питания Ethernet. Доступны два Узла Питания Ethernet - EPN124 и EPN102 (см. рисунок 20 и рисунок 21). Узел Питания Ethernet, EPN124 может обеспечивать питанием до 24 IP DSLAM или преобразователей FE-E1 с напряжением -48 V, используя стандартные кабели Ethernet категории 5. Максимальное расстояние между коммутатором и соответствующими IP DSLAM составляет 100 метров. Устройство питания может быть размещено между ними, обычно вместе с коммутаторами Ethernet.
© Ericsson, 2004
25(100)
Ericsson Ethernet DSL Access
Рисунок 20 Узел питания Ethernet - EPN124 Узел питания Ethernet, EPN102, может обеспечивать питанием два устройства, но только один IP DSLAM. Он используется для небольших помещений для питания IP DSLAM и преобразователя Fast Ethernet в E1 (FE-E1). Стандартная схема подключения показана на рисунке 23.
Рисунок 21. Узел питания Ethernet - EPN102
4.4
Преобразователи EDA
Для небольших помещений система EDA предлагает два типа преобразователей: преобразователь FE в E1 (EXN104) и шлюз Ethernet (EXN401/410) для создания моста между сетью Ethernet и сетью ATM.
4.4.1
Преобразователь FE в E1
Преобразователь Fast Ethernet в E1 разработан для внедрения EDA там, где недоступен каналы Ethernet, но существуют каналы E1 (см. рисунок 22). Преобразователь FE-E1 предназначен для установки решения EDA в небольших помещениях с несколькими IP DSLAM (смотри рисунок 23).
© Ericsson, 2004
26(100)
Ericsson Ethernet DSL Access
Рисунок 22. Преобразователь Fast Ethernet в E1 - EXN104 Эффективным по стоимости решением этой проблемы является передавать трафик Ethernet через свободные линии E1 с помощью преобразователя FE-E1. Для небольшого помещения, размещенного удаленно или на центральной станции, стандартным блоком PoE является EPN102. На станции может также применяться блок PoE EPN124 на 24 порта.
Рисунок 23. Преобразователь Fast Ethernet в E1 для небольших помещений
4.4.2
Шлюз Ethernet
EXN401/410 - небольшой (высота 1U) и простой в установке шлюз между сетью Ethernet и ATM STM-1, разработанный для использования существующих сетей ATM. Трафик сети Ethernet из портa Fast или Gigabit инкапсулируется в режиме моста в соответствии с стандартом RFC2684 в ATM AAL5 PVC как в традиционных ATM DSLAM, см. рисунок 25. EXN401/410 обеспечивает уникальную возможность применения сетей широкополосного доступа на основе Ethernet и одновременного использования существующей инфраструктуры сети ATM, т.е. ее основных интерфейсов и маршрутизаторов. Серия EXN401/410 поддерживает переход от технологии ATM через SDH/Sonet к экономичной технологии Ethernet для сетей широкополосного доступа, сохраняя при этом качество услуг и их доступность.
© Ericsson, 2004
27(100)
Ericsson Ethernet DSL Access
Рисунок 24 Шлюз Ethernet EXN401/410
Рисунок 25 Переход от технологии Ethernet к ATM с помощью EXN401/410
4.5
Фильтры EDA
Решения системы EDA предлагают фильтр низких частот для аналоговых и цифровых телефонных сетей, который используется совместно с IP DSLAM на 10 линий.
Рисунок 26 Фильтры и разветвители EDA для ТФОП и ЦСИС Фильтры могут быть установлены в стандартный модуль LSA-PLUS по технологии KRONE, см. рисунок 27. Фильтры EDF разработаны для установки в оборудование MDF на коммутационной станции или в широкополосный абонентский кросс.
4.6
Стойки и шкафы EDA
Стойки существуют различных размеров и в разных сборках, предназначенных для различных решений. В таблице 1 приведен список доступных стоек и шкафов с полным набором кабелей.
© Ericsson, 2004
28(100)
Ericsson Ethernet DSL Access
Таблица 1 Обзор стоек и шкафов Название
Описание
Емкость/числ о абонентов 96
Outdoor Cabinet
8 IP DSLAM на 12 линий каждый и один 8портовой коммутатор (ESN108)
Large-720 Cabinet
Шкаф, 72 фильтра и 72 IP DSLAM на 10 линий
720
Medium-240 Subrack
3 ряда, в каждом по 8 фильтров и 8 IP DSLAM на линий, и один коммутатор на 24 порта
240
Medium-288 Subrack
2 ряда, в каждом 12 IP DSLAM на 12 линий и один коммутатор на 24 порта (ESN310) или один ECN320
288
Small-96 Subrack
Маленькая стойка на 8 P DSLAM на 12 линий каждый и один коммутатор на 8 портов
96
Small-80 Subrack
Маленькая стойка, 8 фильтров и 8 IP DSLAM на 10 линий каждый и один коммутатор на 8 портов
80
Micro Subrack
Маленькая стойка с одним IP DSLAM на 10 или 12 линий и один коммутатор на 8 портов (ESN108)
30-40
Ниже приведены фотографии стоек и шкафов.
© Ericsson, 2004
29(100)
Ericsson Ethernet DSL Access Рисунок 27 Полностью собранная стойка на 240 абонентов
Рисунок 28 Полностью собранная стойка на 288 абонентов
Рисунок 29 Полностью собранная стойка на 80 абонентов
© Ericsson, 2004
30(100)
Ericsson Ethernet DSL Access
Рисунок 30 Полностью собранная стойка на 96 абонентов
Рисунок 31 Министойка на 30 абонентов
© Ericsson, 2004
31(100)
Ericsson Ethernet DSL Access
Рисунок 32 Большой шкаф на 720 абонентов
Рисунок 33 Внешний шкаф на 96 абонентов
© Ericsson, 2004
32(100)
Ericsson Ethernet DSL Access
5 Оборудование CPE (устанавливаемое в помещении пользователя) Терминирование соединения ADSL в помещении пользователя может быть выполнено различными способами в зависимости от протокола доступа и типа оборудования пользователя. Поскольку система EDA основана на Ethernet, некоторая часть Аппаратуры, Устанавливаемой в Помещении Пользователя (Customer Premises Equipment, CPE), должна обеспечивать терминирование на этом уровне. Существуют следующие возможности: 1. Домен Доступа Ethernet (Access Domain Ethernet) может быть соединен модемом с локальным физическим Ethernet. На модем выходит трафик уровней ADSL и ATM. Узлы связаны с модемом через локальный Ethernet. 2. К Домену Доступа Ethernet (и нижних уровней) может быть подключен модем, который в результате этого подключения становится комбинацией модема ADSL и IP-маршрутизатора. Обычно узлы соединены с маршрутизатором через Ethernet. 3. Модем может быть подключен только к уровню ADSL и передавать уровни Домена Доступа Ethernet и ATM по USB к узлу. Таким образом, уровень Ethernet эмулируется в пределах узла.
Рисунок 34. Пример ADSL2+ модема/маршрутизатора –Ericsson HM410dp Подключение оконечного устройства по протоколу аппаратуры CPE изображено на рисунок 35.
© Ericsson, 2004
33(100)
Ericsson Ethernet DSL Access
Рисунок 35. Подключение по протоколу аппаратуры, устанавливаемой в помещении пользователя Некоторые модемы ADSL могут работать в режиме моста или маршрутизатора. Модем, работающий в режиме моста, требует минимального конфигурирования, но не обеспечивает безопасности для узлов, подключенных через него. Модем, работающий в режиме маршрутизатора, часто обеспечивает средства повышения уровня безопасности, например, с помощью средства межсетевой защиты и функции Трансляции Сетевых Адресов (Network Address Translation, NAT). Если требуется телефонная связь, то аппаратура, устанавливаемая в помещении пользователя, должна предусматривать интерфейс сети услуг традиционной телефонии.
© Ericsson, 2004
34(100)
Ericsson Ethernet DSL Access
6 Услуги на базе системы EDA Услуга здесь определяется как любая функция, за которую абоненту может быть выставлен счет, в дополнение к обычной плате за соединение. Услуга – это определенная функция, запрошенная абонентом, в отличие от доступа к сети или передачи данных, которые прозрачны и для абонента не важны. В дополнение к IP-услугам, таким, как доступ к Web и электронная почта, провайдеры услуг сегодня предлагают более сложные дополнительные услуги, такие, как корпоративный доступ по защищенным соединениям, голосовые и мультимедийные приложения и т.д. В качестве интегрированной IP-услуги система EDA предлагает телефонную связь по протоколу IP, которая представляет собой высококачественный телефонный сервис и может заменить услуги традиционной телефонии.
6.1
Широковещание
Концепция и продукты. входящие в EDA, отвечают растущим требованиям к качеству потокового и вещательного видео через широкополосные сети, предлагаю функции широковещания (групповой или многоадресной передачи) видео-потоков как на уровне IP DSLAM так и на уровне агрегирующих узлов. Использую протокол IGMP (Internet Group Management Protocol) ликвидируется параллельная передача видео-потоков от одного и того же источника. Отслеживание запросов на потоковое источники информации от одного пользователя и концентрация пользователей, использующих один и тот же активный источник, значительно уменьшает требования к пропускной способности транспортной сети. Если все пользователи подключенные к 288-и портовому IP DSLAM будут смотреть одно и тоже широковещательное видео, то использование IGMP –механизмов уменьшает требование к пропускной способности данного IP DSLAM в 288 раз. На рисунке 36, три конечных пользователя (End-user 1, End-user 2 и End-user 4) смотрят один канал CH1, однако между Router 1 и Switch 1 используется только один поток CH1. Этот поток необходимо передать как коммутатору Switch 2, так и Switch 3, для этого Switch 1, управляя этим потоком, передает его обоим коммутаторам. DSLAM 1 принимает только один поток CH1, захватывает его и направляет его End-user 1 и End-user 2. В роли коммутаторов могут быть как ESN310, так и ECN320.
Рисунок 36. Групповое вещание с помощью IGMP
© Ericsson, 2004
35(100)
Ericsson Ethernet DSL Access
Расширенный «Белый Список» IGMP в IP DSLAM позволяет оператору определять сервисы, которые должны быть отфильтрованы в IP DSLAM. Механизмы широковещания описаны более детально в разделе 9.6
6.2
Функция тестирования SELT
Одностороннее тестирование линии (Single Ended Line Test, SELT) – функциональность, которая облегчает быстрый ввод в эксплуатацию системы EDA. Использую расширенные функции анализ частотно временных характеристик, SELT позволяет оценить как длинную линии, так и возможную скорость работы ADSL. Основные измеренные характеристики для просмотра и дальнейшей обработки доступны через систему PEM.
6.3
Диагностика линии
Диагностика линии – функция интерфейса ADSL2 (ITU G.992.3), которая для оценки качества лини использует как IP DSLAM, так и оборудование пользователя (DSL-модем). Основные измеренные характеристики для просмотра и дальнейшей обработки доступны через систему PEM.
6.4
Управление доступом к сервисам
Для того чтобы тарифицировать использование услуг абонентами, необходимо реализовать управление доступом, чтобы система могла распознавать и идентифицировать абонентов на наличие прав пользования теми или иными услугами и для их последующей тарификации. Управление доступом к сетевым услугам можно разделить на три основных аутентификацию, авторизацию и учет (Authentication, Authorization, Accounting , AAA).
задачи:
•
Аутентификация – это процесс проверки идентичности пользователя, основанной на комбинации имени пользователя и пароля
•
Авторизация – это процесс принудительного осуществления политик: определение типов или качеств процессов, ресурсов или сервисов, разрешенных пользователю. Обычно авторизация происходит в контексте аутентификации: аутентификация может косвенно разрешать различные типы доступа или подключать процессы
•
Учет – означает отслеживание сеансов абонента, например, длительности использования сервиса абонентом, типа используемого сервиса и объема данных, переданных во время сеанса. Информация учета может использоваться для выставления счетов и планирования мощностей
Существующие системы аутентификации, авторизации и учета могут беспроблемно использоваться с системой EDA. Наиболее широко распространенным протоколом AAA является RADIUS. Это протокол клиент-сервер, используемый для безопасного обмена абонентской информацией по сети. Сервер RADIUS содержит текущие данные профиля пользователя, включая сведения о регистрации. Клиент использует эту информацию для проверки сведений данного пользователями при регистрации. Клиент RADIUS информирует сервер об использовании услуги пользователем, обычно по окончании сеанса услуги. Эта информация хранится на сервере и может затем использоваться системой учета. Клиент RADIUS находится в Домене Доступа, обычно как неотъемлемая часть сервера доступа. Сервер RADIUS может находиться локально у Провайдера Услуг или в Домене Доступа. Путем отделения функции ААА от сервера доступа Провайдер Услуг может сосредоточить важную информацию на одном сервере RADIUS и предусмотреть независимый от производителя интерфейс на всех серверах доступа. В случае, если используется несколько Провайдеров Услуг, каждый из них часто устанавливает собственный сервер RADIUS для управления профилями пользователя.
© Ericsson, 2004
36(100)
Ericsson Ethernet DSL Access Провайдеры Услуг широко используют RADIUS в качестве протокола ААА для пользователей, получающих доступ по коммутируемой линии.
6.5
Предоставление услуг с EDA
Можно использовать систему EDA для предоставления IP-сервисов, не осуществляя никакого управления доступом к сервисам, но при использовании множества провайдеров услуг может потребоваться управление идентификацией пользователей или направление трафика определенному провайдеру услуг. Для обеспечения управлением доступа к услугам можно использовать следующие три варианта: •
Использование Сервера Удаленного Доступа к Широкополосной Сети (Broadband Remote Access Server, BRAS),
•
Использование технологии виртуальных локальных сетей (VLAN)
•
Использование технологии IP-подсети
BRAS – это узел мультисервисного доступа, способный управлять доступом множества пользователей к IP-сервисам. Для получения доступа к конкретному сервису, управляемому BRAS, пользователь должен зарегистрироваться на BRAS. С помощью технологии VLAN область доступа можно разделить на несколько логически независимых областей, каждый из которых связан с определенным Провайдером Услуг. В IP-подсетях отдельным узлам выделяется определенный шлюз по умолчанию, управляемый связанным с ним Провайдером Услуг. . Сравнение этих вариантов управления доступом к услугам показывает, что наиболее гибким решением является использование BRAS. Решения, основанные на использовании VLAN и IPподсетей проще, обеспечивают более стабильную связь между пользователями и Провайдерами Услуг и реализуются только с использованием компонентов доступа к сети (IP DSLAM и коммутаторов Ethernet), в то время как функция BRAS требует специально выделенного (и относительно дорогого) сервера.
6.6
Сценарии использования BRAS
Концепция BRAS связана с традиционными серверами доступа к Интернет, способными осуществлять подключение некоторого количества соединений коммутируемого доступа. Основной протокол, используемый для передачи пакетного IP-трафика по телефонной линии – это Протокол Двухточечного Соединения (Point-to-Point Protocol, РРР). РРР – это протокол, ориентированный на сеанс. Для запуска и окончания сеанса РРР пользователи должны активно входить и выходить из системы. Во время регистрации при входе протокол РРР используется для аутентификации пользователя и присвоения IP-адреса узлу пользователя. С появлением технологий широкополосного доступа, таких, как ADSL, протокол PPP становится основным протоколом, используемым для создания сценария регистрации с аутентификацией пользователя. BRAS может также пересылать соединения по тоннелям к расположенному в центре серверу BRAS вместо подключения к соединениям PPP. Туннелирование сеансов PPP с сервера BRAS к определенному BAS может основываться на проверке регистрационных сведений, введенных пользователем (неявный выбор), или пользователь может явно выбрать требуемого провайдера услуг.
6.7
Обзор услуг системы EDA
Система EDA может предоставлять услуги телефонной связи в режиме традиционной ТФОП или в © Ericsson, 2004
37(100)
Ericsson Ethernet DSL Access режиме высококачественной Телефонной Связи по IP-протоколу (IP-телефонии) (Telephony over IP, ToIP). Кроме того, система EDA может обеспечивать мультимедийные услуги по IP-протоколу, такие, как услуги видео и видеоконференции с использованием многоадресной рассылки. Многоадресная рассылка со слежением по межсетевому протоколу управления группами (Internet Group Management Protocol, IGMP) может использоваться для проверки пакетов. ToIP отличается от VoIP (протокола передачи речи по IP-протоколу) тем, что ToIP – это высококачественное решение IP-телефонии, в котором качество звучания голоса сравнимо с качеством, которое обеспечивает традиционная ТФОП, даже при трансатлантических вызовах. Поддерживаются все существующие функции коммутируемой телефонной сети общего пользования (то есть дополнительные услуги и системы выставления счетов). Предоставление ToIP требует голосового шлюза V5.2 (не включенного в комплект системы EDA). Более подробно услуги телефонной связи и видео описаны в разделе 9. Обзор услуг системы EDA представлен в таблице 2. В таблице указаны технологии и оборудование, используемые для различных функций. Указаны также места установки оборудования и тип системы управления.
© Ericsson, 2004
38(100)
Ericsson Ethernet DSL Access
Таблица 2. Обзор услуг системы EDA
Технология Телефонная связь по IPпротоколу Многоадресная рассылка
IP-услуги
Доступ в Web Электронная почта Виртуальная частная сеть (VPN)
Доступ к услуге
Доступ к сети
Тип оборудования
Сервер многоадресной рассылки Маршрутизатор многоадресной рассылки Маршрутизатор SP PoP Сервер электронной почты Сервер виртуальной частной сети (VPN) Сервер видео
PPP или HTTP
BRAS сервер RADIUS
Ethernet с использованием мостов по ADSL
Система управления
Голосовой шлюз
Видео/ платное ТВ
Виртуальная ЛВС Принудительная пересылка Неуправляемая IPмаршрутизация
Место установки оборудова ния
Смотрите Оборудование сетевого доступа
SP PoP или область доступа
SP PoP или область доступа Область доступа
Администратор общедоступного Ethernet Стандарт провайдера услуг
Администратор общедоступного Ethernet
Маршрутизатор IP DSLAM PoE (Питание по кабелю Ethernet) Коммутатор Ethernet Сервер протокола динамической конфигурации узла (DHCP) Файл-сервер области
Область доступа
Администратор общедоступного Ethernet
Примечание к таблице: SP – поставщик услуг PoP – точка присутствия
© Ericsson, 2004
39(100)
Ericsson Ethernet DSL Access
7 Техническое обслуживание системы Система EDA не требует планового обслуживания кроме резервного копирования Системы Менеджмента EDA. Единственные детали, которые время от времени требуют замены – это вентиляторы IP DSLAM и коммутаторов. За подробным описанием технического обслуживания узлов EDA обратитесь, пожалуйста, к соответствующему разделу руководства пользователя и инструкциям по монтажу.
© Ericsson, 2004
40(100)
Ericsson Ethernet DSL Access
8 Система Менеджмента EDA В данном разделе описывается Система Менеджмента EDA (Public Ethernet Manager, PEM). PEM обеспечивает управление всей сетью с помощью полнофункционального Графического Интерфейса Пользователя (Graphic User Interface, GUI) и используется оператором во множестве процессов управления сетью. PEM охватывает все области функционального менеджмента EDA, включая: Менеджмент обработки сбоев, Менеджмент конфигурацией, Менеджмент производительности системы, Менеджмент системы безопасности. Система PEM – это масштабируемая система распределенного менеджмента, это означает, что система управления может состоять из модулей и может расти по мере роста сети. Для небольшой сети EDA можно установить систему PEM на одном сервере. Система PEM работает на платформе Windows 2000 Server.
8.1
Архитектура PEM
PEM основан на открытой архитектуре клиент/сервер с Сервером Менеджмента и одним или несколькими Серверами Домена (если необходимо). Сервер Менеджмента управляется клиентами-приложениями, которые могут запускаться локально на Сервере Менеджмента или соединяться через локальную/глобальную сеть (LAN/WAN) на основе IP. В системе PEM существует два типа доменов: Домен Менеджмента и один или несколько Доменов Доступа, как показано на рисунок 37.
8.1.1
Домен Менеджмента
На рисунке 37 представлена сеть доступа EDA содержащая два Домена Доступа (Access Domain), каждый из которых управляется Сервером Менеджмента (Management Server) PEM. Далее описаны основные характеристики и отличия этих двух Доменов
Рисунок 37. Архитектура РЕМ Домен Доступа 1 (не-EAN концепция, см. п.п. 4.1.1 и 4.1.2). Функции сервера домена в данном домене реализованы на базе физически выделенного Сервера Домена (Domain Server), находящегося в непосредственной близости к агрегирующему коммутатору данного домена. Данная функциональность также может быть физически реализована на Сервере Менеджмента.
© Ericsson, 2004
41(100)
Ericsson Ethernet DSL Access
Элементы Сервера Домена показаны на рисунке 38.
Рисунок 38. Элементы Сервера Домена IP DSLAM, например, получает свой IP адрес и обновления программного обеспечения от Сервера Домена. Для этих целей Сервер Домена содержит в следующие две функции: • Сервер Файлов Домена. • Сервер DHCP. Сервер Файлов хранит в себе текущие версии и обновления программного обеспечения IP DSLAM и текущие конфигурационные данные, необходимы в аварийных случаях. Все эти файлы скачиваются IP DSLAM автоматически по протоколу FTP, после старта IP DSLAM с помощью протокола TFTP (Trivial File Transfer Protocol). Сервер DHCP автоматически конфигурируется Системой Менеджмента для передачи в IP DSLAM IP адреса, маски подсети, шлюза по умолчанию, IP адрес Сервера Файлов и пути к актуальным файлам в Сервере Файлов (см. рисунок 39). Таким образом, время загрузки IP DSLAM в большой сети зависит от данных серверов. Для сокращения этого времени в Домене Доступа можно развернуть несколько Серверов. Сервер NTP необходим для синхронизации часов элементов сети EDA. Синхронизация может осуществляться с помощью SNMP сервера, который может быть запущен на Сервере Домена. Сервис Домена PEM – интерфейс между узлами EDA и Домене Доступа и сетевым менеджером HP OpenView (см. раздел 8.2). Сервис Домена PEM определяет кокой сети принадлежит конкретная подсеть и более того работает как конвертер протоколов CORBA/SNMP между PEM и сетевыми элементами Домена Доступа.
© Ericsson, 2004
42(100)
Ericsson Ethernet DSL Access
Рисунок 39. Сервер DHCP и Сервер Файлов Домена Домен доступа 2 (EAN решение). Узлы в Домене Доступа 2 - встроенные узлы и функциональность Сервера Домена для этих узлов реализуется контроллером ECN320. Это значит, что ECN320 и все встроенные устройства будут представлять собой один Узел Доступа Ethernet (Ethernet Access Node. EAN), который можно назвать одним большим логическим IP DSLAM. Таким образом, у Домена Доступа и остается только один интерфейс менеджмента и один IP адрес, вся функции менеджмента сети осуществляются через ECN320. Встроенные узлы получают свои IP адреса от DHCP сервера в ECN320. EAN, таким образом, работает как автономный узел и требует связь с PEM только во время SNMP-коммуникации, программных обновлений и синхронизации баз данных PEM. Сервер Домена передает информацию о топологии и аварийную сигнализацию данного домена через SNMP в сторону Сервера Менеджмента. Интерфейсом в сторону сетевых элементов является SNMP.
8.2
Структура PEM
Как показано на рисунке 37, PEM размещается в Операционном Центре, где все осуществляются все функции менеджмента и эксплуатации сети EDA. Операционный Центр содержит Сервер Менеджмента и Центр Менеджмента (рабочая станция). Сервер Менеджмента – ядро PEM, на котором устанавливаются все серверные приложения PEM и Сетевой Менеджер Узлов (Network Node Manager, NNM) HP Open View. Вся система может быть установлена на одном компьютере. Единственным требованием в случае размещения Операционного Центра за пределами Домена Доступа является установление соединение между ними по протоколу IP. Элементы Сервера Менеджмента и Центра Менеджмента показаны на рисунке 40.
© Ericsson, 2004
43(100)
Ericsson Ethernet DSL Access
Рисунок 40. Структура PEM
8.2.1
База данных PEM
PEM использует стандартную базу данных (Database, DB) Sybase SQL, которая хранит все конфигурационные данные, необходимые для управления сетью. База данных включает все данные о пользователях и о конфигурациях сети.
8.2.2
Сервер Менеджмента
Сервер Менеджмента содержит ядро PEM: PEM сервер, база данных PEM и Сетевой Менеджер Узлов HP Open View. Сетевой Менеджер Узлов (NNM) HP Open View представляет сеть в графическом виде и «рабочим столом» откуда запускаются все приложения. NNM HPOV – обобщенный SNMP-менеджер, который наиболее распространен в телекоммуникационной индустрии, как наиболее гибкий и масштабируемый. NNM используется в PEM связь между всеми приложениями и также используется для мониторинга всей сети: сетевая топология, мониторинг аварийных сигналов, измерение характеристик, отчеты об отклонениях. Станция NNM HPOV может обрабатывать до 20 консолей менеджмента одновременно. В случае установки NNM HPOV в Операционном Центре, вне Домена Доступа, такую станцию называют Станция Менеджмента. В распределенных конфигурациях, в случае установки на Сервере Домена, NNM HPOV станция называется Станцией Сбора (данных/информации) (Collection Station, CS). Программное обеспечение NNM Станции Менеджмента и Станции Сбора не отличается. В случае, когда консоль менеджмента подключена к Станции Сбора, консоли доступна информация только данного конкретного Домена Доступа. Станция Менеджмента может работать не более, чем с 20 Станциями Сбора. Функция автоматического обнаружения NNM HPOV обеспечивает систему менеджмента топологией сети. Осуществление обнаружения, мониторинга топологии и опроса статуса может потребовать значительные ресурсы и, таким образом, загрузить сеть. Поэтому большая часть этой нагрузки может быть перенесена со Станции Менеджмента в одну или более удаленных Станций. Это осуществляется установкой NNM HPOV в Сервере Домена (Станция Сбора, CS). Каждая CS собирает данных от Доменов Доступа. Станция Менеджмента может собирать данных в соответствии с предустановленными и конфигурируемыми правилами (фильтрами). На рисунке 41 проиллюстрирована модель построения NNM HPOV.
© Ericsson, 2004
44(100)
Ericsson Ethernet DSL Access
Рисунок 41. Модель распределенной HPOV NNM NNM HPOV также предоставляет доступ к Станции Менеджмента через Интернет. Дополнительные механизмы безопасности добавлены в Web access.
8.2.3
Приложения PEM
Приложения PEM реализованы в соответствии с концепцией «клиент-сервер» и выполняются в Сервере Менеджмента или в рабочей станции, подключенной к Серверу Менеджмента. Для конфигурирования и исправления проблем маршрутизатора, коммутаторах и голосовых шлюзах используются стандартные средства, которые не являются частью системы EDA и PEM в частности. Для управления элементами входящими в EDA и не входящими используются средства Windows Local Terminal и Telnet. После начальных установок, производимых с помощью Local Terminal (Hyper Terminal), дальнейшее конфигурирование и исправление проблем может производиться удаленно через Telnet. Прикладные сервисы доступны для следующих приложений клиента.
© Ericsson, 2004
45(100)
Ericsson Ethernet DSL Access
Таблица 3. Приложения центра менеджмента Клиентов (GUI) Клиентское приложение Менеджер Инсталляции
Менеджер Конфигурирования Сети Менеджер Сервисов
Конфигурирования
Менеджер Конфигурирования Больших Массивов Менеджер Безопасности Менеджер Состояний Менеджер Резервирования
Сборщик Данных
Описание Используется для инсталляции сетевых элементов EDA, формирует пары соответствия MAC адреса и позиции подключения к кроссу (MDF) Используется для управления сетевыми элементами EDA Используется для управления конечными пользователями и их сервисами. Сервисы для конечных пользователей могут быть организованы в виде профиля конечного пользователя, облегчающем массовое развертывание сети. Данный Менеджер также используется для конфигурирования аварийных индикаций. Используется для обеспечения большого числа конечных пользователей в базах данных Используется для определения прав доступа к приложениям PEM для операторов и групп операторов Осуществляет мониторинг состояния элементов сети EDA Интегрирует резервирование трех элементов: базы данных Sybase SQL, модуля менеджмента сетей (NNM) и серверов РЕМ. Средство собирающий данных о битовой скорости для активного пользователя и экспортирует данных в файл (с разделителем «точка»). Результат может быть сохранент в базе данных и использована для предоставления большей скорости для конечного пользователя.
Интерфейс Northbound Interface используется для подключения в вышестоящей системе управления через стандартный интерфейс CORBA. Все функции и действия EDA выполняются удаленно из Центра Менеджмента. PEM – гибкая система, позволяющая строить распределенную сеть. Число аппаратных элементов (серверов и компьютеров) может в связи с этим варьироваться в различных системах. Также возможно использовать один компьютер для всей системы (рекомендуется для малых систем). Для того чтобы упростить доступ альтернативных провайдеров к инфраструктуре медных абонентских линий используется приложение Менеджер Конфигурирования Сервисов, который управляет портами IP DSLAM, и Менеджер Конфигурирования Сети, который управляет менеджментом центральной системы. После того, как IP DSLAM установлен, все ADSL линии, принадлежат Провайдеру Доступа и остаются невидимыми для Агента Обслуживания (Service Broker, SB), см. раздел 8.3. После того как Провайдер Доступа сдает Агенту Обслуживания некоторые из установленных линий (с помощью Менеджера Конфигурирования Сервиса), они становятся видны Агенту Обслуживания и © Ericsson, 2004
46(100)
Ericsson Ethernet DSL Access пользователь может быть активирован. Функции Менеджера Конфигурирования Сервиса могут быть также распределены и размещены на сайтах Агентов Обслуживания. См. рисунок 42.
Рисунок 42. Распределение IP DSLAM Каждое приложение является клиентом, который использует Сервер Менеджмента в Операционном Центре. Сервер Менеджмента может одновременно обрабатывать сессии множества Менеджеров Конфигурирования Сервисов.
8.3
Операторы системы РЕМ
В системе EDA определяется несколько категорий операторов, но в PEM определяются только некоторые из них: 1. Провайдер Доступа (Access Provider, AP) Владеет системой РЕМ и сетью, управляемой РЕМ. В круг обязанностей Провайдера Доступа входит монтаж сетевого оборудования, контроль состояния сети, и обеспечение основы для оказания услуг конечным пользователям. У Провайдера Доступа имеются группы сотрудников двух типов: • •
Сетевой Оператор, ответственный за создание, эксплуатацию и техническое обслуживание сети. Оператор Обслуживания, ответственный за наличие услуг в системе и доступности услуг для Агентов Обслуживания
2. Агент Обслуживания (Service Broker, SB) – осуществляет поддержку сети доступа с определенными услугами, например, доступ к Интернет или услуги видео, и взаимодействует с пользователями. Агент Обслуживания заключает соглашения с рядом Провайдеров Услуг (Service Providers, SP) для обеспечения предоставления их услуг конечным пользователям. Присутствие Агентов Обслуживания в системе РЕМ необязательно, и Провайдер Доступа может также выступать в роли Агента Обслуживания. Структура зависит от предпочтений клиентов и организации. Агент Обслуживания располагает группой сотрудников только одного типа: •
Оператор по Работе с Пользователями, ответственный за работу с конечными пользователями и услугами.
3. Провайдер Услуг предоставляет одну или несколько услуг, например, доступ к Интернет, видео или голосовая связь. Провайдер заключает соглашения с Агентами Обслуживания или © Ericsson, 2004
47(100)
Ericsson Ethernet DSL Access Провайдерами Доступа для получения услуг, предлагаемых конечным пользователям. Провайдер Услуг не играет активной роли в РЕМ, но является частью системы. 4. Конечный пользователь – пользователь широкополосного соединения. Конечный пользователь может выбрать одного Агента Обслуживания, который будет предоставлять услуги. Конечный пользователь не может пользоваться услугами двух различных Агентов Обслуживания.
Рисунок 43. Операторы PEM и их взаимоотношения Таблица 4 показывает, как Менеджеры PEM соответствуют различным PEM операторам. Таблица 4 Оператор PEM Менеджер PEM Сетевой Оператор Менеджер Инсталляции Менеджер Конфигурирования Сети Менеджер Конфигурирования Сервисов Менеджер Конфигурирования Массивов Данных Менеджер Безопасности Менеджер Состояния Менеджер Резервирования
8.4
Оператор Обслуживания
Оператор абонентов
Х
Х
Х
Х
Х
Х
Х Х Только аварии
Х Х Х
Графический пользовательский интерфейс NNM
NNM HP OpenView – это основной вход в систему РЕМ. Графический пользовательский интерфейс обеспечивает Провайдеру Доступа графическое отображение сети, из которого, в процессе повседневной эксплуатации системы, можно осуществлять управление сетью и абонентами (конечными пользователями). © Ericsson, 2004
48(100)
Ericsson Ethernet DSL Access
NNM обеспечивает программы менеджмента, такие, как браузер SNMP MIP, контролирующие и управляющий агентскими системами в сети. Агентская система – это устройство, например, узел, шлюз, сервер, концентратор или мост, которое снабжено программными средствами интерфейса, которые называются агентом. Агент выполняет функции менеджмента сети по запросу программыменеджера. Менеджер SNMP и агент обмениваются информацией по протоколу SNMP. Агент SNMP использует Базу Информации Менеджмента (Management Information Base, MIB) для получения информации об устройстве, на котором она находится. База Информации Менеджмента – это своего рода каталог сетевой информации об устройстве: сетевых адресах, состояниях, статистике сетевого трафика и т.д. Каждый тип информации называется объектом MIB. При установке NNM, он создает базу данных объектов для всех узлов, которые он обнаруживает. Графический пользовательский интерфейс включает в себя схему топологии сети и схему состояний аварийных сигналов, смотрите рисунок 44 Все серверы и клиенты, разработанные для EDA, интегрированы в NNM HP OpenView, и доступ к ним возможен из главного меню, но их можно запускать и в качестве независимых приложений. Аналогичным образом, все приложения менеджмента других элементов, таких, как граничный маршрутизатор, коммутаторы и голосовой шлюз интегрированы в меню или экран NNM. Иерархическое перемещение по топологии сети осуществляется путем двойным щелчком мыши по символу. Меню EDA интегрировано в меню NNM и является его частью.
Рисунок 44. Окно топологии NNMHP OpenView
8.4.1
Менеджмент обработки сбоев
Менеджмент обработки сбоев осуществляется в NNM HP OpenView, что обеспечивает функциональность карты сети, фильтрацию аварийных сигналов, функциональность корреляции аварийных сигналов и запись аварийных сигналов в регистрационный журнал.
© Ericsson, 2004
49(100)
Ericsson Ethernet DSL Access
Рисунок 45 Окно категорий аварийных сигналов в NNM HP OpenView События – это непредусмотренные сообщения, посланные на NNM с агента SNMP. Источниками событий могут быть устройства в сети или сам NNM. Сообщение о событии содержит информацию об отправителе и, иногда, дополнительную информацию. События SNMP называются сообщениями о запросе или уведомлениями в зависимости от типа и версии SNMP. Сообщения о запросе или уведомления определяются в Базе Информации Менеджмента (MIB). Аварийный сигнал – это графическое или текстовое сообщение о событии в NNM, рассортированное и занесенное в одну из предварительно определенных категорий. Обработка аварийных сигналов в NNM проиллюстрирована на рисунке 46.
Рисунок 46. Обработка аварийных сигналов в NNM События передаются с узлов на Станцию Сбора, где они обрабатываются. Обработка представляет собой фильтр, который можно конфигурировать для запрещения несущественных событий или изменения сообщения, передаваемого вместе с событием. Обработанные события передаются на Станцию Менеджмента и хранятся в базе данных событий. Затем, события коррелируются в соответствии с конфигурируемыми правилами для дальнейшего запрещения нежелательных аварийных сигналов (запрещенные аварийные сигналы остаются в базе данных и могут выводиться для проверки). После корреляции аварийные сигналы сортируются по категориям и передаются в браузер аварийных сигналов, где их можно проверять, подтверждать и удалять. Подтверждение аварийного сигнала с одной Консоли Менеджмента увидит оператор на другой Консоли Менеджмента. © Ericsson, 2004
50(100)
Ericsson Ethernet DSL Access
За дополнительной информацией об обработке аварийных сигналов обратитесь также к онлайновой справочной системе NNM HP OpenView.
8.4.2
Менеджмент производительности
Менеджмент производительности системы из двух аспектов: 1. Мониторинг 2. Меры по увеличению производительности по результатам мониторинга. Простейший метод мониторинга осуществляется с помощью составления отчетов. Повышение производительности достигается путем изменения конфигурации узла или изменения сети (например, добавление канала, если какой-либо канал перегружен). Отчеты NNM В NNM предусмотрены средства создания отчетов на основе Web. В наличии имеются заранее созданные шаблоны для отчетов. Web-интерфейс генерирует отчет, посылает отчет по электронной почте списку получателей и сохраняет отчет для просмотра. Пользователи Консоли Менеджмента также могут просматривать созданные отчеты через меню NNM. Имеются следующие шаблоны: Отчет о Доступности: в отчетах о доступности указан процент доступности интерфейсов узлов в каждой сети с гиперссылками на подробные отчеты по интерфейсам (смотрите рисунок 47). Отчет Исключений: в отчете исключений указываются пороговые события, когда наблюдается выход за установленные в них пределы. Для каждого узла можно конфигурировать определенные пороговые события. Каждое событие выхода за установленные пределы заносится в отчет. Отчет также содержит гиперссылки на подробные отчеты по конкретным предельным значениям. Отчет о Ресурсах: отчет о ресурсах ежедневно выводит узлы, занесенные в базу данных топологии сети. Отчет о Производительности: отчеты о производительности создаются в виде сводных таблиц для интерфейса и графика данных его предыстории (смотрите рисунок 48).
© Ericsson, 2004
51(100)
Ericsson Ethernet DSL Access
Рисунок 47. Стандартный Отчет о Доступности NNM
© Ericsson, 2004
52(100)
Ericsson Ethernet DSL Access
Рисунок 48. Отчет о Производительности NNM – Стандартный Отчет о Трафике
8.5
Менеджмент конфигураций
Конфигурирование системы EDA осуществляется с помощью различных инструментальных средств. IP DSLAM конфигурируются в Менеджере Конфигурирования Сети (общее конфигурирование элемента, осуществляется Провайдером Доступа) или Менеджером Конфигурирования Сервисов (для конфигурирования линии ADSL, осуществляется Агентом Обслуживания). Коммутаторы EDA конфигурируются в Менеджере Конфигурирования Сети, а прочие элементы сети конфигурируются с использованием стандартных средств (Локальный Терминал, Telnet). Менеджер Конфигурирования Сети используется Провайдером Доступа для создания узлов в Доменах Доступа и для менеджмента узлов. Такими узлами являются сервер DHCP, Файл-Сервер Домена, инверторы FE–E1, коммутаторы EDA (ESN108, ESN310 и ELN220) и EAN. IP DSLAM управляется как элемент сети. Это значит, что IP DSLAM управляется с точки зрения сети, и общие характеристики IP DSLAM рассматриваются как одно целое. Кроме менеджмента сети Менеджер Конфигурирования Сети также используется для измерения качества линии.
8.5.1
Менеджер Инсталляции
После физической установки узлов все узлы EDA должны быть зарегистрированы в системе PEM. Целью регистрации является установление связи между MAC адресом и физической позицией DSLAM в кроссе (MDF). Обнаружение узлов: Коммутаторы EDA и EAN инсталлируются с помощью Менеджера Конфигураций Сети. Установка PEM заканчивается обнаружением установленных узлов, при которой производится автоматический поиск коммутаторов и/или EAN (например EDN288) и регистрация необходимых данных. Изменение в любых встроенных узлах происходит по принципу “plug and play” Использование Менеджера Инсталляции: Для IP DSLAM, которые не встроены в EAN, например конвертеры FE-E1, регистрация в PEM осуществляется в ручную с помощью Менеджера Инсталляции PEM, см. рисунок 49. Для деталей см. Руководство пользователя.
© Ericsson, 2004
53(100)
Ericsson Ethernet DSL Access
Рисунок 49. Менеджер Инсталляции
8.5.2
Менеджер Конфигурирования Сети
Менеджер Конфигурирования Сети используется для создания и технического обслуживания сети. Фрагмент меню Менеджера см. рисунок 50.
Рисунок 50. Менеджер Конфигурирования Сети Создание сети содержит следующие шаги, см. рисунок 51
© Ericsson, 2004
54(100)
Ericsson Ethernet DSL Access
Рисунок 51. Создание сети доступа 1. Создание уровней сетевой иерархии (называемых зонами) для идентификации физического расположения точек подключения ADSL-линий. 2. Создание серверов доменов подсети, являющихся Серверами Доменов. 3. Создание IP сети, содержащей подсеть домена. 4. Определение подсетей домена, которые объединяют вместе различные сервера подсетей. 5. Создание IP диапазона, который резервируется для сетевых элементов, которые в свою очередь получают свои динамические адреса от DHCP сервера. 6. Создание Линейного Окончания (Line Termination), которое определяет конечного пользователя в виде адреса конечного пользователя и позиции в кроссе (MDF) или идентификатор порта, к которому подклчаюется абонентская линия, в случае использования EAN. Ниже приведен пример создания подсети домена: В Менеджере Конфигурирования Сети выберите Networks → EDA IP Networks…(смотрите рисунок 52).
Рисунок 52. Меню EDA IP Networks После этого откроется окно EDA IP Networks, смотрите рисунок 53. Нажмите
для того, чтобы открыть окно Create IP Network, смотрите рисунок 54.
Нажмите , для того, чтобы открыть окно Create Domain Subnet, где можно определить подсеть, записав IP-адрес на странице (Имя подсети), смотрите рисунок 55.
© Ericsson, 2004
55(100)
Ericsson Ethernet DSL Access
Рисунок 53. Окно EDA IP Networks
Рисунок 54. Окно Create IP Network
© Ericsson, 2004
56(100)
Ericsson Ethernet DSL Access
Рисунок 55. Окно Create Domain Subnet Операции менеджмента заключаются, как правило, в создании, замене, модернизации программного обеспечения, удалении, редактировании свойств и перемещении узлов EDA в сети. Менеджер Конфигурирования Сети используется, например, для Узлов Доступа Ethernet (Ethernet Access Nodes, EAN) и коммутаторов EDA. Свойства порта IP DSLAM также доступны через Менеджер Конфигурирования Сети. Таким образом Провайдеру Доступа гарантируется возможность менеджмента всех элементов сети. Проверка качества линий После установки IP DSLAM линии к абонентам можно проверить на пригодность для передачи ADSL сигнала. Проверку качества линии можно выполнять только при выключенном модеме, установленном в помещении пользователя. Проверка осуществляется из Менеджера Конфигурирования Сети, в результате проверки выводится следующая информация: •
Протяженность линии
•
Линейное затухание (на 300 кГц)
•
Пригодность линии (пригодна, неопределено, непригодна)
•
Тип оконечного устройства линии в помещении пользователя
•
Пропускная способность восходящего потока (байт в секунду)
•
Пропускная способность нисходящего потока (байт в секунду)
Результат каждой проверки линии сохраняется в базе данных РЕМ. © Ericsson, 2004
57(100)
Ericsson Ethernet DSL Access
8.5.3
Менеджмент Конфигурирования Сервисов
Менеджер Конфигурирования Сервисов используется для менеджмента конечного пользователя и менеджмента услуг (смотрите рисунок 56). Агент Обслуживания может управлять конечными пользователями, включая параметры аварийных сигналов, связанные с пользователями. Агент Обслуживания может также управлять Арендой Линий, Профилями Конечных Пользователей и Тестированием Линий. Прочими функциями, такими, как Конфигурирование Услуг, Конфигурирование Фильтров, Конфигурирование Линий, Конфигурирование Аварийных Сигналов управляет Провайдер Доступа. Из Менеджера Конфигурирования Услуг, среди прочих, могут выполняться следующие функции (смотрите также рисунок 57): •
Создание, изменение и поиск конечных пользователей (абонентов)
•
Активизация и деактивизация конечных пользователей
•
Создание, удаление и изменение услуг
•
Создание и изменение фильтров
•
Просмотр состояния и свойств соединения или результатов проверки линии на соответствие техническим условиям
•
Определение Профилей Конечного Пользователя
•
Присвоение конечным дополнительных услуг
•
Конфигурирование опции информации Агента Ретранслятора DHCP (Option 82), статического IP-адреса, идентификатора VLAN и приоритета для конечных пользователей
© Ericsson, 2004
пользователям
Профилей
Конечного
Пользователя
и
58(100)
Ericsson Ethernet DSL Access
Рисунок 56. Менеджер Конфигурирования Услуг Менеджер Конфигурирования Сервисов не обязательно использовать в качестве основной базы данных пользователей. Если Агент Обслуживания уже располагает базой данных клиентов, достаточно ввести основные данные, идентифицирующие пользователя. Обязателен только номер Пользователя. Менеджер Конфигурирования Сервисов может работать в помещении Агента Обслуживания. Создание услуг Услуга – это ключевая сущность сети. Услуга в РЕМ – это набор параметров конфигурации линии, обеспечивающих определенную функцию, например, более высокую скорость, VLAN с более высоким приоритетом или туннелирование РРР к определенному Агенту Обслуживания. После создания услуг в Менеджере Конфигурирования Обслуживания, Агент Обслуживания может использовать их для создания Профилей Конечного Пользователя. Профиль Конечного Пользователя – это комбинация ряда услуг, назначенных абоненту. Кроме присвоения абоненту Профиля Конечного Пользователя, можно также назначать услуги, не являющиеся элементами Профиля Конечного Пользователя.
© Ericsson, 2004
59(100)
Ericsson Ethernet DSL Access
Рисунок 57. Конфигурации, услуги и Профили Конечного Пользователя На рисунке 58 изображено создание услуги в Менеджере Конфигурирования Сервисов. Эта гибкость комбинации может облегчить использование услуг при создании Профилей Конечного Пользователя.
© Ericsson, 2004
60(100)
Ericsson Ethernet DSL Access
Рисунок 58. Создание услуг в Менеджере Конфигурирования Услуг Активизация конечных пользователей Пример присоединения нового конечного пользователя изображен на рисунке 59.
© Ericsson, 2004
61(100)
Ericsson Ethernet DSL Access
Рисунок 59. Сценарий активизации абонента Описание сценария, изображенного на рисунке 59: 1. Клиент покупает модем в магазине розничной торговли, который подключен к Агенту Обслуживания. Продавец проверяет качество линии у покупателя через Web-интерфейс Агента Обслуживания и осуществляет абонирование. Покупатель получает модем и код активизации для голосового ответа или сервиса Web. Продавец использует Web-интерфейс и создает с его помощью нового абонента. 2. Клиент активизирует линию ADSL, позвонив в службу голосового ответа или Web-службу Агента Обслуживания. 3. Клиент устанавливает модем, и соединение автоматически устанавливается.
8.5.4
Менеджер Конфигурирования Массивов Данных
Менеджер Конфигурирования Массивов Данных (Bulk Configuration Manager) используется для предоставления услуг большому числу конечных пользователей в существующей базе данных. Существующие данные конечного пользователя конвертируются в стандартные формат XML. Конфигурирование массивов определяет как конечных пользователей, так и сервис провайдеров, к которым подключены данные пользователи.
8.5.5
Менеджер Безопасности
Менеджер Безопасности используется для определения прав групп пользователей и пользователей для доступа к приложениям EDA. Различные типы групп пользователей определены в Менеджере Безопасности: • Оператор Сети (Network Operator, NO) • Администратор Оператора Сети (NO Administrator, NOA) • Оператор Обслуживания (Service Operator, SO) • Администратор Оператора Обслуживания (SO Administrator, SOA) • Оператор Абонентов (Subscriber Operator, SuO) • Администратор Оператора Абонентов (SuO Administrator, SuOA) © Ericsson, 2004
62(100)
Ericsson Ethernet DSL Access
Последние две группы опциональны. пользователей и пользователей.
Администраторы
могут
создавать
другие
группы
Менеджер Безопасности не определяет права доступа в HP Open View. Все данные, связанные с безопасностью, хранятся в базе данных SQL. После авторизации в Менеджере Безопасности интерфейс, который будет видеть пользователь зависит от прав доступа данного пользователя. В случае авторизации в качестве NOA, входящего в персонал Провайдера Доступа, интерфейс Менеджера Безопасности будет иметь вид, представленный на рисунке 60.
Рисунок 60. Менеджер Безопасности – регистрация в качестве оператора-администратора сети Провайдера Доступа
8.5.6
Менеджер Состояния
Менеджер Состояния осуществляет текущий контроль состояния узлов сети EDA. Менеджер Состояния – это приложение РЕМ, используемое для отслеживания состояния узлов EDA, а именно IP DSLAM, инверторов FE-E1, коммутаторов EDA и EAN. Менеджер Состояния активизируется через Менеджер Конфигурирования Сети, в котором можно просматривать свойства узлов EDA. Пример Менеджера Состояния для IP DSLAM (EDN312) приведен на рисунке 61.
Рисунок 61. Менеджер состояния для EDN312 © Ericsson, 2004
63(100)
Ericsson Ethernet DSL Access
Когда используется EDN 312x с двумя Ethernet портами, Менеджер Состояния будет выглядеть, как представлено на рисунке 62
Рисунок 62. Менеджер Состояния для EDN312x Как видно из рисунка, изображается состояние каждой линии ADSL. Менеджеры Состояния содержат информацию IP-протокола ADSL, в частности. IP-адрес, МАС-адрес, имя, версию программного обеспечения и режим работы. Оператор может установить местонахождение IP DSLAM в полностью смонтированном станционном кроссе (MDF) нажатием кнопки В результате этого светодиодные индикаторы на IP DSLAM будут мигать. За подробным описанием следует обратиться к “Руководству пользователя РЕМ” и конкретным руководствам к узлам EDA. Менеджер Состояния для встроенных IP DSLAM в EAN показан на рисунке 63
© Ericsson, 2004
64(100)
Ericsson Ethernet DSL Access Рисунок 63. Менеджер Состояния для EAN В случает встроенных IP DSLAM версии EDN312x с двумя Ethernet портами Менеджер Состояния будет выглядеть как показано на рисунке 64.
Рисунок 64. Менеджер Состояния для EAN с EDN312x
8.5.7
Менеджер Резервирования
Резервирование, которое может осуществляется в режиме реального времени, производится с помощью Менеджера Резервирования. Менеджер Резервирования сохраняет и восстанавливается, в случае необходимости, Базы данных Серверов Менеджмента и Домена. Возможна автоматическая планировка резервирования, с помощью командного файла запускаемого с командной строки.
8.6
Локальное Операторское Средство (LCT)
Локальное Операторское Средство (Local Craft Tool, LCT) может использоваться для проверки установки EDA на месте перед обеспечением доступа к РЕМ. Программное обеспечение Локальное операторское средство поставляется на CD-ROM и устанавливается на ПК, которым может являться лэптоп, работающий под Windows 2000. Затем ПК подключается к EDA через последовательный порт RS232 на коммутаторе Ethernet. Для того, чтобы можно было осуществить процесс проверки, необходимо сконфигурировать коммутатор Ethernet, а также сервер TFTP, сервер DHCP, что является частью процесса установки программного обеспечения LCT. Сервер синхронизации времени (SNTP) устанавливается в Windows, и, затем на ПК устанавливаются и конфигурируются узлы EDA (коммутатор ESN108, EDN110 IP DSLAM, инвертор FE-E1). Этот процесс связан в основном с установкой предварительно определенных данных конфигурации и прикладного программного обеспечения для узлов EDA. © Ericsson, 2004
65(100)
Ericsson Ethernet DSL Access
Проверка установки заключается в основном в проверке эксплуатационных характеристик IP DSLAM. LCT активизирует IP DSLAM и конфигурирует каждый IP DSLAM на запуск всех линий. Линию ADSL можно проверить, подключив к линии модем, устанавливаемый в помещении пользователя. LCT может использоваться для изменений параметров Базы Управляющей Иинформации (MIB) SNMP, связанных, например, с изменением конфигурации сервера DHCP. Идентификатор виртуальной ЛВС (VLAN) можно изменить путем изменения файла конфигурации узла EDA. Параметры линии инвертора FE-E1 и коммутатора ESN108 можно изменить путем редактирования соответствующего файла конфигурации. Программное обеспечение начальной загрузки и прикладное программное обеспечение можно также заменить с помощью локального операторского средства (LCT). Использование LCT подробно описано в “Руководстве Пользователя Локального Операторского Средства”.
© Ericsson, 2004
66(100)
Ericsson Ethernet DSL Access
9 Телефония и мультимедийные услуги При переходе с аналоговой линии на ADSL система EDA поддерживает различные решения для телефонной связи, а также мультимедийные решения: •
Узкополосные услуги традиционной телефонии
•
Узкополосная цифровая сеть с интеграцией служб
•
Телефония по протоколу IP
•
Мультимедийные услуги, в частности, видео по протоколу IP
Узкополосные услуги традиционной телефонии – это традиционная аналоговая телефонная связь, поддерживаемая местной АТС, диапазон частот которой ниже диапазона частот DSL (см. рисунок 65). Узкополосная цифровая сеть с интеграцией служб– это традиционная цифровая телефонная связь с интеграцией служб, предлагаемая местной АТС, диапазон частот которой ниже диапазона частот диапазона частот DSL (см. рисунок 65). Следует учесть, что верхняя частота сигнала на доступе ЦСИС приблизительна, так как частота зависит от кодировки).
Рисунок 65. Разделение частот услуги традиционной телефонии и ЦСИС Телефонная связь по протоколу IP (Telephony over IP, ToIP) – это приложение телефонной связи уровня операторского класса на основе передачи речи по сети IP (Voice over IP, VoIP). Речь передается пакетами данных наряду с другими пакетами, но с более высоким приоритетом. ToIP может использоваться для замены услуг традиционной телефонной сети, включая дополнительные услуги (услуги телефонии Класса 5). Услуги поддерживаются с теми же функциями, что и на местных АТС. Мультимедийные услуги поддерживаются с использованием базового доступа к EDA. Однако приоритет не обеспечивается, и мультимедийные услуги обрабатываются как прикладные программы. Все вышеперечисленные приложения могут сосуществовать в рамках одной системы EDA, и каждый абонент может получать доступ к любому приложению и ко всем одновременно. Следует отметить, что пользователь воспринимает узкополосную традиционную телефонную сеть и телефонную связь по IP-протоколу как высококачественные услуги, а мультимедиа как © Ericsson, 2004
67(100)
Ericsson Ethernet DSL Access низкокачественную.
9.1
ТфОП и ЦСИС в EDA
EDA поддерживает узкополосные услуги традиционной телефонии на основе общей функциональности фильтров/сплиттеров, отделяющих низкочастотную аналоговый сигнал (речь) от высокочастотной цифрового потока ADSL. ТфОП/ADSL сплиттер устанавлиется с двух сторон, на стороне опорной АТС и на стороне абонента. Узкополосное решение телефонии рекомендуется, когда существующая узкополосная сеть (PSTN/ЦСИС) модернизируется до широкополосной (ASDL) при сохранении узкополосной инфраструктуры. Доступ к Ethernet DSL обеспечивает комбинации IP DSLAM и фильтра/сптлиттера с встроенными или внешними фильтрами, как описано ниже.
9.1.1
Решение узкополосной телефонии со встроенным фильтром
IP DSLAM на 12 линий EDN312 снабжен встроенным фильтром ТФОП/ЦСИС, что обеспечивает более простую установку по сравнению с вариантом использования внешнего фильтра. IP DSLAM EDN312 изображен на рисунке 66; за примером обратитесь, пожалуйста, к решению, иллюстрация которого приведена на рисунке 9.
Рисунок 66. Решение на основе узкополосной передачи со встроенным фильтром PSTN/ЦСИС
9.1.2
Решение узкополосной телефонии с внешним фильтром
IP DSLAM на 10 линий EDN110 поддерживает различные внешние механические фильтры нижних частот традиционной телефонной сети и одно комбинированное решение: сплиттер ЦСИС + фильтр нижних частот. Фильтр нижних частот ТФОП, подключаемый к IP DSLAM, соответствует рекомендациям Европейского института телекоммуникационных стандартов (ETSI). В сети фильтр ТФОП устанавливается с сетевой стороны IP DSLAM, между IP DSLAM и АТС, как изображено на рисунке ниже. На рисунке 67 иллюстрируется реализация EDA традиционной телефонной сети с фильтром, установленным между IP DSLAM и местной АТС. Он необходим только при использовании IP DSLAM на 10 линий. © Ericsson, 2004
68(100)
Ericsson Ethernet DSL Access
Рисунок 67. Решение на основе узкополосной передачи с внешним фильтром услуг традиционной телефонии
9.1.3
Решение ЦСИС с внешним фильтром
При реализации узкополосной ЦСИС используется сплиттер/фильтр, который устанавливается перед IP DSLAM, как изображено на рисунке 68. Комбинированный сплиттер/фильтр нижних частот ЦСИС, подключаемый к IP DSLAM, соответствует рекомендациям Европейского института телекоммуникационных стандартов (ETSI). В сети комбинированный разветвитель/фильтр нижних частот ЦСИС устанавливается на месте традиционного сплиттера ADSL – со стороны конечного пользователя от IP DSLAM и подсоединяется непосредственно к линии ADSL, к IP DSLAM и к местной АТС, как изображено ниже.
Рисунок 68. Решение на основе немодулированной передачи с внешним фильтром ЦСИС
© Ericsson, 2004
69(100)
Ericsson Ethernet DSL Access
9.2
Телефонная связь по протоколу IP
Телефонная связь по протоколу IP (IP-телефония, ToIP) – это приложение, основанное на передаче речи по протоколу IP (Voice over IP, VoIP) и предназначенное для поддержки и замены услуг традиционной телефонии. Учет стоимости осуществляется исключительно на АТС. Соответственно, независимо от способа соединения абонента, узкополосных услуг традиционной телефонии или IP-телефонии, могут использоваться те же самые системы тарификации/выставления счета. Сеть IP-телефонии легко реализуется и обеспечивает все преимущества системы EDA. Нет необходимости анализировать существующее оборудование (например, существующую АТС) и специалисту по монтажу нет необходимости работать на месте у клиента, поскольку не требуется установка сплиттеров и фильтров. Это решение особенно выгодно при установке нового абонента, так как половина MDF (часть оборудования) становится ненужной. Агрегирование абонентов осуществляется через Ethernet, тем самым устраняется необходимость выделения линии PSTN для каждого абонента. IP-телефония реализуется путем комбинирования архитектуры ETSI TIPHON по протоколу H.323 VoIP c архитектурой ETSI Access Network, использующей стандартный протокол V5.2 (см. рисунок 69).
Рисунок 69. Телефония с использованием IP-архитектуры IP-телефония основана на голосовом шлюзе VOGW (Voice Gateway) по протоколам Н.323 и V5.2, подключенном к местной АТС. Сигнализация Н.323 используется между устройством интегрированного доступа (Integrated Access Device – IAD) и голосовым шлюзом, тогда как сигнализация V5.2 используется между голосовым шлюзом и местной АТС. Применение сигнализации V5.2 позволяет использовать существующие услуги класса 5, имеющиеся на местной АТС, так же, как это делается в классических телефонных сетях с выносными концентраторами (Удаленными Подсистемами, Remote Sub Systems, RSS). Голосовой шлюз только расширяет спектр услуг, поддерживаемых АТС, распространяясь на IP-сеть с использованием сигнализации Н.323. Благодаря использованию V5.2 и H.323, архитектура является очень гибкой. Голосовой шлюз может подключаться к АТС, физически расположенной в пункте в пределах области доступа к Ethernet EDA или к центральной АТС, охватывающей несколько областей доступа к Ethernet, в каждом из которых есть голосовой шлюз. © Ericsson, 2004
70(100)
Ericsson Ethernet DSL Access
Если широкополосная сеть между областями доступа к Ethernet обеспечивает функции Качества Обслуживания (Quality of Service, QoS) для поддержки IP-телефонии, голосовые шлюзы могут также располагаться на центральной АТС. Место расположения голосового шлюза и местной АТС определятся только производительностью и функциональными возможностями IP-сетей и/или коммутируемых сетей. На рисунке 70 указаны возможные пункты расположения местных АТС и голосовых шлюзов.
Рисунок 70. Пункты расположения голосового шлюза и местной АТС
9.2.1
Факторы, определяющие качество
Надежность IP-телефония в EDA обеспечивает очень надежную телефонную связь, реализованную на аппаратных платформах операторского класса. Путь пакетов с голосовыми данными IP-телефония обеспечивается полной кодировкой G.711 со скоростью 64 кбит/с и компенсацией потери пакетов (восстановлением утраченных пакетов). Для обеспечения низкого уровня запаздывания сигнала и дрожания (джиттера) в сети EDA используются дифференцированные сервисы, фрагментация пакетов и другие меры. В результате этого обеспечивается такое же качество речи, как в традиционной телефонной сети, и возможность передачи двухтональных многочастотных сигналов, факсов и традиционная сигнализация модема. За дополнительной информацией об обеспечении качества обслуживания в EDA обратитесь к разделу 11. Сигнализация в процессе обслуживания вызова Сигнализация оптимизирована и сравнима с проектными параметрами, определяемыми для оборудования цифровой АТС.
9.2.2
Пропускная способность
IP-телефония по спецификации G.711 требует двусторонней пропускной способности 170 кбит/с в расчете на каждый голосовой канал (с голосовыми пакетами 10 мс). Однако передача речи по протоколу IP может осуществляться на более низкой скорости, если качество, сравнимое с качеством речи в традиционной телефонии не требуется.
© Ericsson, 2004
71(100)
Ericsson Ethernet DSL Access
9.2.3
Безопасность
Идентификация абонента, получающего доступ к голосовому шлюзу, основана на IP-адресе абонента. С целью обеспечения корреляции между IP-адресом и Устройством Интегрированного Доступа (Integral Access Device, IAD) предприняты меры для отграничения доступа к телефонии по IP-сети, независимо от того, отделена ли эта сеть от сети передачи данных с помощью виртуальной VLAN, или принудительной пересылки. Когда доступ к сети IP-телефонии не предусматривает соединения PPPoE, доступ в сети можно ограничить известным IP-адресом, сконфигурированным в IP DSLAM для конкретного голосового Постоянного Виртуального Соединения (Permanent Virtual Connection, PVC). Фильтр в IP DSLAM, таким образом, предотвращает спуфинг адресов (см. раздел 10).
9.3
Мультимедийные услуги
Мультимедийные услуги включают в себя передачу высококачественных видео приложений по протоколу IP. Видео по IP основано на стандартных протоколах независимо от типа доступа, при условии наличия связи по протоколу IP и достаточной пропускной способности. Однако для передачи телепрограмм, таких, как ТВ в реальном времени, лучшие каналы, Платный Просмотр (Pay Per View, PPV) и видео по запросу (Near Video on Demand, NVOD) должна поддерживаться многоадресная IP-рассылка. Решение для видео по IP состоит из следующих основных компонентов: •
Оборудование, Устанавливаемое в Помещении Equipment, СРЕ) – телевизионная приставка.
•
Сетевая платформа – широкополосный IP-доступ и магистральная сеть, поддерживающая многоадресную IP-рассылку и показатель QoS.
•
Рабочая платформа – содержит серверы и системы, реализующие и доставляющие широковещательные и интерактивные услуги ТВ конечным пользователям.
•
Платформа создания материалов – обеспечивает инструментальные средства и процессы, необходимые для создания и поддержания услуг, предлагаемых рабочей платформой.
Пользователя
(Customer
Premises
Растущий спрос на услуги потокового и вещательного видео высокого качества определяет потребность в пропускной способности. С целью экономии ширины полосы пропускания система EDA предусматривает многоадресную рассылку по протоколу IGMP для потоков видео в IP DSLAM и уровне агрегирования. Ширина полосы пропускания Ethernet экономится путем использования слежения IGMP. Запрос на видео от одного конечного пользователя обнаруживается коммутатором, связывающим конечного пользователя с уже действующим потоком к другому конечному пользователю. Это иллюстрируется на рисунке 71.
9.3.1
Качество
Решение EDA обеспечивает сценарий мультисервисного доступа, при котором все конечные пользователи могут одновременно получать доступ к различным услугам. Качество обслуживания гарантируется системой приоритетов Ethernet и механизмами качества обслуживания ATM. Элементы Домена Доступа соответствуют спецификации IEEE 802.1Q, в которой тег приоритета услуг видео установлен на 5 (смотрите таблицу 5). Восходящий трафик Ethernet тегируется соответствующей информацией о приоритете, нисходящий трафик лишается тегов и отображается в PVC в соответствии с величиной приоритета. Механизмы QoS ATM подробно описаны в разделе 11.2.
9.3.2
Безопасность
Рекомендуемый способ для решения EDA состоит в разделении услуг с использованием
© Ericsson, 2004
72(100)
Ericsson Ethernet DSL Access технологии VLAN, по спецификации IEEE 802.1Q. Таким образом, можно создать VLAN для трафика видео, например, телевещания или платного ТВ (см. рисунок 72). Прочие механизмы обеспечения безопасности более подробно описаны в разделе 10.4.
9.4
Развертывание телефонной сети в EDA
Выбор типа телефонной связи – традиционной телефонии или IP-телефонии - определяется конкретным сценарием развертывания EDA. Оба приложения могут обеспечивать высококачественную телефонную связь, то есть они могут обеспечить надежную телефонную связь с множеством услуг, предоставляемых реализациями существующей традиционной телефонной сети. IP-телефония может обеспечивать ряд независимых телефонных линий на одном абонентском шлейфе, эмулируемых в каналах ADSL. Поэтому IP-телефония может использоваться для обеспечения клиентов дополнительными линиями в отдельности или в комбинации с услугами традиционной телефонии. В последнем случае может поддерживаться большее количество линий в расчете на одного абонента. Одна как узкополосные услуги традиционной телефонии, остальные как линии IP-телефонии (количество зависит от IAD).
9.5
Работа с широковещанием
Особое внимание в сети EDA, как в любой сети Ethernet, необходимо удалять объемам широковещательного трафика (broadcasting). Сеть Ethernet по определению есть сеть широковещания. В принципе, кадр Ethernet вышедший из одного порта сети может достичь любого другого порта данной сети. Управляемые коммутаторы используемые в EDA имеют возможность ограничивать широковещательный трафик. Однако, такой трафик не должен быть полностью исключен. В EDA мультиплексоры работают как ARP прокси и содержат фильтры, для контроля широковещательного трафика. EDA также имеет возможность разделения физического Ethernet на виртуальные сети – VLAN. В связи с этим широковещательный трафик может быть изолирован и ограничен в пределах своей виртуальной сети.
9.6
Работа с групповым вещанием
Система EDA поддерживает функции группового вещания IP (multicasting), которые особенно актуальны для некоторых услуг мультимедиа, для того чтобы избежать перегрузку сети повторяющимися однотипными потоками (например, потоками одного IP-видео, просматриваемых несколькими пользователями одновременно). Групповое вещание фактически означает, что узлы сети передают пакеты адресованные специфичной группе пользователей. Узлы поддерживающие групповое вещание регистрируют/формируют адреса групп пользователей или других узлов, которым должен быть передан данных трафик. IP-multicasting – метод использования доступной пропускной способности наиболее эффективно. В отличии от широковещания не все пакеты, а только один пакет будет передан коммутаторам и маршрутизиторам, являющимися членами группового вещания. Когда используется IGMP snooping, коммутатор прослушивает IGMP сообщения для построения таблиц отображения адресов и фильтров, связанных с передачей. Это позволяет динамически конфигурировать порты коммутатора для передачи трафика группового вещания только на те порты, которые связанны с группой вещания. Таким образом IP-multicasting позволяет: • Уменьшить общую загрузку сети, избегая ненужного трафика. • Только необходимы широковещательный трафик передается в сторону пользователя. • Только один поток в сторону пользователей для различных пользователей (точек назначения трафика). © Ericsson, 2004
73(100)
Ericsson Ethernet DSL Access
Протокол IGMP производит инспекцию всех пакетов с целью гарантии, что пакет передается только члену данной группы вещания. Такой механизм называется IGMP snooping. См. рисунок 71
Рисунок 70. IP multicasting и IGMP snooping для видео-услуг
© Ericsson, 2004
74(100)
Ericsson Ethernet DSL Access
10 Качество обслуживания Качество обслуживания (Quality of Service, QoS) сети связано со способностью сети обеспечивать транспортные услуги, подходящие для приложений, использующих сеть. В сети, основанной на передаче пакетов и используемой приложениями реального времени, такими как IP-телефония (ToIP), основными проблемами QoS становятся потеря пакетов и задержка. EDA поддерживает различные транспортные услуги, в частности приложения данных и приложения реального времени, к которым можно отнести голосовые и видео-программы. Приложения данных, такие как навигация по сети Internet, использующая стек протокола TCP/IP, обычно не слишком чувствительны к потере пакетов и задержке. Однако приложения реального времени, в частности интерактивные голосовые приложения (телефонная служба, например) очень чувствительны к ним, особенно к задержке. Приложение, обеспечивающее телефонную связь, может компенсировать потерянные пакеты, не допуская последующего ухудшения качества связи в силу того, что пропадает лишь небольшая часть пакетов. К тому же, пакеты не теряются при всплесках трафика. Потеря пакетов редко случается внутри сети доступа EDA, если только это не связано с ограничениями мощности оборудования. В этом случае отбрасывание пакетов прослеживается при всплесках. Вследствие этого, для обеспечения транспортной службы для IP-телефонии (Telephony over IP), к функции QoS предъявляются два основных требования. Одно из них – сведение к минимуму задержки голосовых пакетов, другое – максимальное снижение влияния ограничений мощности на передачу голосовых пакетов. При совместной сетевой транспортировке пакетов данных и приложений реального времени задержка, главным образом, сказывается на голосовых пакетах, если они вынуждены часто пережидать передачу длинных пакетов с данными. Чтобы гарантировать первоочередную передачу пакетов реального времени, при которой ожидают своей очереди пакеты с данными, голосовым пакетам присваивается приоритетное значение при их прохождении через сеть EDA в соответствии со схемой разграничения служб. Функции обеспечения качества обслуживания реализуются на различных участках сети EDA: • QoS в линии ADSL • QoS в коммутируемой сети Ethernet
10.1 Качество обслуживания в сети Ethernet Принцип дифференцированного обслуживания заключается в том, что каждый единичный коммутатор или маршрутизатор, в качестве автономной единицы, определяет порядок, в котором пакеты/кадры перемещаются по линии передачи. Это решение основывается на значении тега приоритета, указанного внутри пакета или кадра, и на политике QoS. Реализация дифференцированного обслуживания, используемая в Ethernet, соответствует спецификации IEEE802.1Q. Данная спецификация содержит p-биты для указания приоритета (см. рисунок 78). Рисунок 72 отображает процесс дифференцированного обслуживания при перемещении данных через коммутатор Ethernet с использованием двух уровней приоритета (классы обслуживания – Classes of Service), одного для голоса и одного для данных.
© Ericsson, 2004
75(100)
Ericsson Ethernet DSL Access
Рисунок 72. Различные услуги на коммутаторе Ethernet По прибытии кадра на любой порт коммутатора для него определяется порт назначения, после чего кадр помещается в соответствующую очередь. Процесс перемещения данных, как показано на рисунке 72 постоянно ожидает возможности начать передачу очереди кадров, при этом сначала опустошается очередь с высоким значением приоритета, а затем производится перемещение кадров с более низким значением приоритета. В сети доступа EDA Класс Обслуживания, имеющий наивысший приоритет, используется для менеджмента. Сеть доступа EDA по умолчанию одну очередь использует для менеджмента сети, одну для голосовых пакетов, одну для видео и одну — для передачи данных. В Таблице 5 указаны транспортная служба и тип трафика для каждого значения тега приоритета в области доступа к Ethernet. Все объекты внутри области доступа к Ethernet согласуются со спецификацией IEEE802.1Q, см. рисунок 78. Таблица 5. Преобразование QoS сети Ethernet в EDA. Тег приоритета 7 6 5 0
Уровень транспортного обслуживания Наивысший Высокий Высокий Наименьших затрат
Тип трафика Управление Голос (только IP-телефония) Видео Данные
Метка приоритета Мультиплексор IP DSLAM маркирует кадры восходящего потока тегами приоритета, в соответствии с происхождением кадра. Кадр, сгенерированный мультиплексором IP DSLAM для внутреннего использования, отмечен тегом управляющего приоритета. Кадр, порожденный каналом PVC сети ATM, отмечен тегом приоритета, который назначен оператором для данного PVC. Кадрамнисходящего потока теги приоритета может присваивать голосовой шлюз или точка присутствия (Point-of-Presence, PoP) Провайдера Услуг, либо же теги могут появиться в результате преобразования, осуществленного на границе сети EDA. Присвоение тега приоритета, как правило, производится краевыми узлами сети (см. рисунок 73).
© Ericsson, 2004
76(100)
Ericsson Ethernet DSL Access
Рисунок 73. Маркеры приоритетности в сети EDA
10.1.1 Качество обслуживания в IP-сети Внутри маршрутных областей сети, где каналы EDA пересекают IP-сеть, чтобы получить доступ к PoP удаленного сервисного провайдера, используется дифференцированное обслуживание на IPуровне. Принцип процесса перемещения данных для маршрутизатора подобен такому же процессу для коммутатора Ethernet. Внутри IP-сетей существуют различные стандарты для указания на тег приоритета при помощи поля Типа Обслуживания (Type of Service, TOS) или Кодового Поля Дифференциального Обслуживания (DiffServ Code Point, DSCP), содержащихся внутри IP-заголовка. Теги, используемые внутри этих полей для обозначения определенного типа обслуживания, также различаются в разных сетях. Следовательно, преобразование должно осуществляться краевыми узлами, что позволяет произвести адаптацию к тегам приоритета, применяемым в данной сети.
10.2 Качество обслуживания на линии ADSL Как и в прочих областях сети EDA, дифференцированное обслуживание также используется для присвоения значения приоритета передаче данных по линии ADSL. Однако, для обеспечения низкой задержки на этой линии недостаточно одного лишь присвоения приоритета. Пропускная способность линии ADSL заметно ниже, чем производительность других каналов системы. Из-за низкой эффективности передачи значительное время затрачивается на передачу кадров, несущих голосовую информацию, через линию ADSL. Кадры данных (которые могут быть гораздо длиннее, чем голосовые кадры) будут провоцировать задержки, величина которых превышает количество времени, необходимое для передачи голосового кадра. В связи с этим были предприняты меры, гарантирующие, что во время передачи голосовых кадров используется вся полоса пропускания линии ADSL и что голосовые кадры будут передаваться тотчас по прибытии, и что эти кадры будут всегда доступны для передачи. Эти меры основаны на механизме QoS стандартной сети ATM (см. рисунок 75).
© Ericsson, 2004
77(100)
Ericsson Ethernet DSL Access В сети ATM для обеспечения всей возможной быстроты передачи голосового трафика через линию ADSL QoS использует: •
Присвоение приоритета и классы обслуживания
•
Сегментацию
•
Допустимое пиковое значение
Присвоение приоритета реализуется через создание Постоянных Виртуальных Каналов (Permanent Virtual Circuit, PVC) для голоса, видео-информации и данных на каждой линии ADSL. Каждый PVC работает как открытое соединение традиционной сети с коммутацией каналов. Голосовые PVC конфигурируются с использованием класса обслуживания VBR-rt (переменная битовая скорость для реального времени). Данный класс обслуживания требует строгого контроля задержки и ее изменений, но не критичен к постоянству полосы пропускания. Он характеризуется наивысшей Скоростью Передачи Ячеек (Peak Cell Rate, PCR), постоянной скоростью передачи ячеек (Sustainable Cell Rate - SCR) и максимальным размером всплеска (Maximum Burst Size MBS)/допуском на всплеск (Burst Tolerance - BT) (см. рисунок 74). Наивысшая скорость передачи ячеек определяет максимальное количество битов (кб/сек), которое может перемещаться через постоянный виртуальный канал (PVC). Максимальный размер всплеска/допуск на всплеск - это количество ячеек или максимальное время, в течение которого данные могут передаваться с наивысшей скоростью передачи (PCR). Таким образом, PCR и MBS или BT определяют так называемую норму всплеска. Постоянная скорость передачи ячеек – это верхний предел для средней скорости передачи ячеек, которая может осуществляться через PVC. Видео-службы конфигурируются при помощи класса обслуживания VBR-nrt. Этот класс обслуживания подходит для подверженных всплескам приложений вне режима реального времени, которые требуют гарантии обслуживания со стороны сети. Они также характеризуются через PCR, SCR и MBR. Обслуживание данных конфигурируется с использованием класса UBR (неопределенная битовая скорость). UBR применяется для подверженных всплескам приложений вне режима реального времени, допускающих задержки и потерю пакетов, и которые часто относят к обслуживанию уровня наименьших затрат. Поддерживается также PVC, сконфигурированный для класса обслуживания CBR (постоянная скорость передачи битов) (см. рисунок 75). Сегментация – это способность ATM способность разделять трафик ADSL на небольшие ячейки, каждая из которых содержит 53 байта, в отличие от кадров Ethernet, которые могут содержать до 1500 байтов. Норма всплеска определяется наивысшей скоростью передачи ячеек (PSR), допуском на всплеск (BT) или максимальным размером всплеска. Допуск на всплеск – это максимальное время, в течение которого PVC может передавать данные при наивысшей скорости передачи ячеек. Ограничение допуска на всплеск до размеров голосового кадра (на один использованный порт POTS) и дозволение голосовому PVC использовать максимальную мощность обеспечивает качество обслуживания (QoS). Интегрированное устройство доступа (IAD) преобразовывает только данные, проходящие через порты POTS в голосовой PVC, гарантируя таким образом, что полоса пропускания, настроенная для голосового трафика, будет всегда доступна.
© Ericsson, 2004
78(100)
Ericsson Ethernet DSL Access
Рисунок 74. наивысшая скорость передачи ячеек, постоянная скорость передачи ячеек и максимальный размер всплеска
Рисунок 75. Структура услуг и качество обслуживания в EDA
© Ericsson, 2004
79(100)
Ericsson Ethernet DSL Access
10.3 Задержка сигнала в IP-телефонии Существуют два фактора, влияющие на задержку голосовых пакетов: 1. Взаимодействующие функции (декодирование и кодирование аналоговой информации). 2. Сама сеть: очереди в сетевых устройствах и физическое расстояние (не важно, насколько быстрым является соединение, один бит информации имеет определенную скорость). Рисунок 76 отображает факторы, определяющие величину задержек.
Рисунок 76. Задержки, обусловленные собственно сетью. Благодаря мерам QoS, реализованным в сети, для телефонной службы, осуществляемой через кадры IP, общая односторонняя задержка сведена к минимуму. Задержки в области доступа к Ethernet EDA, включая линии ADSL, варьируются в зависимости от полосы пропускания, предоставленной для линии ADSL, и от количества конкурентного исходящего и входящего трафика IP-телефонии на одно и то же интегрированное устройство доступа (IAD) (если две и более линии на одном IAD задействованы для вызовов). Таблица 6 содержит примеры максимальных односторонних задержек, теоретически рассчитанных для области доступа к Ethernet (до 8 групповых коммутаторов). Таблица 6. Максимальная задержка со стороны сети. Пропускная способность линии ADSL 640 кб/сек 384 кб/сек
Один активный вызов 8 мс 10 мс
Два активных вызова 10 мс 13 мс
Задержки, обусловленные взаимодействующими функциями. Задержки, обусловленные взаимодействующими функциями голосового шлюза и IAD, зависят от длины голосовых пакетов и типа используемых голосового шлюза и IAD. Как видно из Таблицы 6, максимальные односторонние задержки для трафика IP-телефонии на линии с пропускной способностью 384 кб/сек и при одном вызове для EDA составляют приблизительно 10 мс. Даже с дополнительной нагрузкой порядка 30 мс со стороны голосового шлюза и IAD, общая задержка составит приблизительно 40 мс. Столь скромная величина задержки выгодно отличается от значений задержки для других систем, основанных на технологии передачи голоса через сеть IP (VoIP), время односторонней задержки для которых часто составляет 100 мс и более, и это гораздо ближе к возможностям систем, основанных на технологии ATM, реализованной с учетом требований модели BLES (служба эмуляции широкополосной закольцованной линии – Broadband Loop Emulation Service), как рекомендовано Форумом DSL.
© Ericsson, 2004
80(100)
Ericsson Ethernet DSL Access Оценить преимущество такого значения задержки для IP-телефонии можно в сравнении с рекомендованной допустимой односторонней задержкой менее чем 150 мс, как это определено в стандарте Международного Союза Электросвязи (ITU). Из-за задержки на прохождение сигнала по линии связи, трансатлантический звонок из СанФранциско в Лондон или любой другой вызов на дистанции приблизительно 10000 км будет иметь запаздывание порядка 50 мс. Следовательно, вызовы, созданные средствами IP-телефонии системы EDA и предназначенные абонентами этой службы, могут испытывать общую одностороннюю задержку приблизительно 130 мс (40+50+40 мс). Это также лучше рекомендованного значения в 150 мс.
© Ericsson, 2004
81(100)
Ericsson Ethernet DSL Access
11 Безопасность В последнее время все более важной становится способность защиты коммуникационных систем и информации от попыток взлома. Со времен появления Интернета хакеры стали гораздо искуснее и ныне имеют в своем распоряжении многочисленные инструменты для осуществления различного рода злонамеренных воздействий на сети данных. Тревожный факт: количество ежедневных нападений на сети уже значительно увеличилось и продолжает расти. В общем-то, все IP-сети подвержены как внешним, так и внутренним нападениям. Попытки взлома могут принимать различные формы, в том числе: хищение информации, вмешательства, направленные на отказ служб, а также повреждение программ и информации. Таким образом, система EDA оказывается лицом к лицу с многочисленными угрозами.
11.1 Проблемы безопасности EDA Концепция EDA основывается на использовании технологии Ethernet, принадлежащей общему канальному уровню (уровень 2) и технологии IP типичного общего сетевого уровня. Таким образом, в дополнение к угрозам, которым обычно подвержены IP-сети, проблема безопасности усложняется использованием Ethernet как технологии общего уровня 2 внутри Домена Доступа (Access Domain). Совместное использование устройств широкого вещания для передачи управляющего и общего абонентского трафика требует от системы контрмер, направленных на обеспечение конфиденциальности и целостности перемещаемых данных. Как следствие, концепция EDA содержит механизмы перехвата любых попыток вторжения в систему, в том числе попыток взлома объектов системы EDA (то есть оборудования, находящегося внутри области доступа), оборудования абонента и данных, передаваемых через сеть EDA. Для обеспечения безопасности возможно использование следующих механизмов: •
Разделение уровня 2 при помощи протокола PPP, VLAN и техники Форсированного Продвижения Данных (Force Forwarding technique), что заставит трафик, направленный к коммутирующему узлу, проходить через маршрутизатор,
•
Использование стандарта DHCP Relay Agent Information Option (Option аутентификации конечного пользователя.
•
Фильтрация IP-кадров IP DSLAM в целях отфильтровывания широковещательного трафика, проверки MAC- и IP-адресов отправителя восходящего трафика, ограничения диапазона возможных адресов получателя и типов кадров в обоих направлениях.
•
Использование виртуальных MAC-адресов для предупреждения MAC-спуфинга (имитации соединения).
82) для
Система EDA не отвечает за нарушение безопасности по вине абонента (например, при заражении компьютера вирусами).
11.2 PPP, VLAN и форсированное перемещение данных 11.2.1 PPP (Протокол двухточечного соединения) При использовании PPP (Point to Point Protocol) создаются сессии между клиентами и широкополосным сервером доступа BRAS. Мультиплексор IP DSLAM не принимает активного участия в управлении сессиями PPP. Возможность распознать и проверить идентификацию абонента позволяет Провайдеру Услуг (Service Provider) предоставить абоненту именно ту услугу, на которую он имеет право. К тому же, чтобы обеспечить предоставление услуг, система должна узнавать идентификационную запись пользователя службы. Обычный способ распознавания абонента заключается в уникальности комбинации имени пользователя и пароля или параметров стандарта DHCP Relay Agent Information © Ericsson, 2004
82(100)
Ericsson Ethernet DSL Access Option (Option 82). Абонент должен предъявить эти сведения, прежде чем получить доступ к службам. PPP широко используется для обеспечения коммутируемого доступа к Провайдеру Услуг Интернет через аналоговый модем. С помощью PPP между оборудованием абонента и сервером доступа сервисного провайдера создается двухточечное соединение, которое может пропускать пакетноориентированный протокол сетевого уровня (например, IP). Сервер Доступа составляет Точку Присутствия (Point-of-Presence, PoP) Провайдера Услуг. При установлении сессии PPP абонент, как правило, должен предъявить имя пользователя и пароль, чтобы полученить доступ. Эти сведения идентификации обычно сверяются с информацией о профиле абонента, содержащейся на сервере, например, на сервере RADIUS. В случае удачной аутентификации абоненту предоставляются данные о сетевой конфигурации, например, IP-адрес, маска подсети и шлюз, установленный по умолчанию. Имеется также поддержка протокола PPPoA (передача PPP через сеть ATM), который преобразуется в PPPoE (передача PPP по каналам Ethernet). Клиентская часть абонента PPP может быть установлена в модеме CPE или на персональном компьютере абонента. Он поддерживает запуск нескольких сессий PPP через одно DSLсоединение, к примеру, с различных ПК, объединенных в локальную сеть (LAN) CPE. В этом случае возможен одновременный доступ к различным службам. Протокол PPP в системе EDA реализован в соответствии со стандартом передачи PPP через Ethernet (PPP over Ethernet, PPPoE). Этот стандарт поддерживает насколько Серверов Удаленного Доступа к Широкополосной Сети (Broadband Remote Access Server, BRAS) в одной и той же сети Ethernet, которые, например, могут представлять отдельных сервисных провайдеров. Через клиентскую часть PPPoE абонент получает список доступных на выбор серверов BRAS. Получив от абонента имя пользователя и пароль, BRAS передает на сервер RADIUS запрос доступа. Заключенный в этом запросе пароль абонента зашифрован с помощью секретного кода, известного клиенту и серверу RADIUS. Сервер RADIUS может принять или отклонить запрос аутентификации. Как вариант, сервер RADIUS может осуществить аутентификацию абонента напрямую до ратификации. Если запрос аутентификации от абонента опознан, сервер RADIUS может предоставить информацию о профиле пользователя, в частности, IP-адрес, маску подсети, параметры сжатия, MTU и прочее.
11.2.2 Технология VLAN Технология VLAN может использоваться для создания внутри локальной сети отдельных логических сетей, таких как Домен Доступа Ethernet. Принцип VLAN используется для разделения трафика, проходящего через Домен Доступа Ethernet. Разделение основывается на различных критериях, которые зависят от причин разъединения трафика. VLAN можно использовать для разделения уровня 2. Назначение индивидуальной VLAN каждому абоненту может ускорить все взаимодействия, осуществляемые через маршрутизатор. Спецификация IEEE802.1Q определяет максимальное количество VLAN, равное 4096, однако это число можно увеличить при помощи расширенных сценариев доступа. В другом варианте VLAN можно выделить для группы пользователей, например, в целях создания виртуальной корпоративной сети или группы интерактивных игроков. Использование VLAN для разделения типов трафика было разработано в целях улучшения безопасности системы EDA. Эта схема включает следующие типы VLAN: •
VLAN менеджмента. Данная VLAN используется для всех задач, связанных с эксплуатацией и обслуживанием системы, например, для передачи сообщений SNMP, маршрутной информации и сообщений DHCP, касающихся мультиплексора IP DSLAM.
•
VLAN пользовательских данных. Данная VLAN используется для передачи трафика, который предоставляет абонентам доступ к магистрали данных.
© Ericsson, 2004
83(100)
Ericsson Ethernet DSL Access
•
Голосовая пользовательская VLAN. Данный тип VLAN передает весь трафик, относящийся к функции IP-телефонии.
•
Пользовательская видео-VLAN. Данная VLAN передает весь мультимедиа-трафик, в частности видео по IP-каналам.
Рисунок 77.Разделение типов трафика VLAN Каждая из этих сетей VLAN имеет уникальное значение (VLAN ID), обозначенное тегом VLAN. Внутри Домена Доступа тег VLAN включается в кадр Ethernet в соответствии со спецификацией IEEE802.1Q (см. Рисунок 78).
Рисунок 78. Кадр MAC с разметкой VLAN 802.1Q IP DSLAM использует идентификаторы VLAN для направления трафика к соответствующему PVC. Основной сценарий, приведенный на Рисунке 76, является примером назначения идентификатора голосовой VLAN всем голосовым каналам PVC, и идентификатора VLAN данных всем PVC доступа к данным. Такое разделение трафика является механизмом безопасности, предохраняющим абонентов EDA от попыток взлома локальной Мистемы Менеджмента или от хакерских нападений на оборудование доступа (мультиплексоры IP DSLAM, групповые коммутаторы, маршрутизаторы, голосовой шлюз). Для усиления безопасности могут использоваться и другие схемы, одна из которых изображена на рисунке 77. Например, можно выделить VLAN для одного единственного абонента. При этом трафик данного абонента будет надежно логическим образом изолирован от трафика, © Ericsson, 2004
84(100)
Ericsson Ethernet DSL Access принадлежащего другим абонентам. Можно также соотнести различные VLAN с разными услугами или Провайдерами Услуг. В этом случае можно разделить трафик, принадлежащий разным Провайдерам Услуг, и таким образом обеспечить механизм выбора услуг. Более детально речь об этом пойдет в разделе 12.3.3.
11.2.3 Форсированное Перемещение Данных (Forced Forwarding) Форсированное Перемещение Данных является специальной технологией EDA, при которой абонент вынужден использовать маршрутизатор в качестве шлюза по умолчанию для передачи любого трафика, направленного к коммутирующему узлу. Это с легкостью достигается при помощи выделения отдельной IP-подсети каждому абоненту. В этом случае абонент автоматически будет использовать маршрутизатор для взаимодействия с другими абонентами, и мультиплексору IP DSLAM нужно будет только проверять, действительно ли восходящий трафик послан на MACадрес маршрутизатора, а не куда-либо еще. Использование уникальной IP-подсети для каждого абонента представляется проблематичным в сетях с общими IPv4-адресами, поскольку это приводит к необоснованной растрате дефицитных адресов. Самая малая подсеть занимает 4 адреса, но только один из этих адресов может быть назначен для абонента, поскольку остальные три адреса зарезервированы3. Возможность добиться более оптимального использования адресов предполагает объединение нескольких абонентов в одной подсети, поскольку в такой подсети все так же будут существовать только три зарезервированных адреса. Кажущийся конфликт между разделением уровня 2 и общим использованием подсети разрешается при использовании функции агента ARP (ARP proxy) мультиплексора IP DSLAM. Абонент EDA, желающий общаться с другим абонентом в той же подсети, будет издавать запрос ARP (ARP request), чтобы получить MAC-адрес места назначения. Однако на запрос ARP будет отвечать агент ARP, он сообщит MAC-адрес шлюза, используемого по умолчанию для подсети. В этом случае запрашивающий абонент станет перемещать свой трафик через шлюз, назначенный по умолчанию, полагая, что это и есть другой абонент. Для того чтобы данный механизм функционировал правильно, нужно сконфигурировать шлюз по умолчанию, который будет принимать и передавать (или фактически возвращать) трафик между хост-системами внутри одной и той же подсети. Данная процедура не является действием по умолчанию для маршрутизатора. IP DSLAM по-прежнему должен проверять, действительно ли восходящий трафик использует возвращенный MAC-адрес в качестве адреса получателя в последующих кадрах. Функция агента ARP вкупе с Принудительным Перемещением Данных является способом обеспечения безопасности, не обязательным для использования, который позволяет осуществить разделение трафика уровня 2 (правила для Принудительного Перемещения Данных настраиваются через систему Менеджмента). К тому же, эта возможность позволяет также произвести оптимизацию использования нисходящей полосы пропускания. Агент ARP также будет отвечать на запросы от коммутирующего узла к абоненту, а значит, они не будут занимать полосу пропускания канала ADSL. И, наконец, принудительное перемещение данных можно рассматривать как возможность соотнесения абонентов с конкретным Провайдером Услуг, что обеспечивает простой механизм разделения услуг. Более детально речь об этом пойдет в разделе 12.
11.3 Стандарт DHCP Relay Agent Information Option (Option 82) В сценариях доступа, предоставляющих IP-адреса конечных пользователей через DHCP, решения EDA предлагают возможность аутентификации запросов DHCP, посланных с оборудования конечного пользователя. Для получения IP-адреса оборудование конечного пользователя будет посылать запрос DHCP на сервер DHCP. IP DSLAM вставит идентификатор во все запросы DHCP, которые передаются от 3
Один адрес для другой конечной точки сети, один – для самой сети, и один – для широкого вещания. © Ericsson, 2004
85(100)
Ericsson Ethernet DSL Access конечного пользователя на основе канала PVC. Это позволит Провайдеру Услуг осуществлять аутентификацию и управление правами для назначения IP-адресов конечному пользователю. Эта функция в соответствии со стандартом RFC 3046 известна как DHCP Relay Agent Information Option (Option 82). На рисунке 79 изображен персональный компьютер конечного пользователя, посылающий запрос DHCP, чтобы получить IP-адрес от сервисного провайдера (SP). Профиль конечного пользователя в IP DSLAM был сконфигурирован через систему PEM, чтобы получить возможность вставить уникальный идентификатор Option 82 в запрос DHCP. Этим идентификатором, к примеру, может быть номер телефона конечного пользователя линии ADSL или пароль, назначенный Провайдером Услуг.
Рисунок 79.DHCP запрос через Relay Agent (параметр 82) Провайдер Услуг получает запрос DHCP на сервере DHCP и (основываясь на идентификаторе Option 82) проводит аутентификацию запроса DHCP. Затем сервер DHCP может назначить IPадрес конечному пользователю в соответствии с услугами, предоставляемыми Провайдером Услуг Интернет (Internet Service Provider, ISP). Технология EDA позволяет использовать включенном DHCP Option 82.
три различных параметра идентификации при
•
Строковый параметр - строка, в которую можно вставить до 253 октетов;
•
Параметр Cisco – формат, определяемый стандартами Cisco;
•
Числовой пользовательский формат – формат, автоматически определяемый с помощью PEM.
Если выбран строковый формат идентификатора Option 82, в качестве суб-параметра 2 будет вставлена бинарная строка, содержащая до 253 октетов идентификатора удаленного Агента – (Agent Remote ID). Строковый параметр подчиняется правилам, установленным стандартом RFC 3046. Если выбран формат Cisco идентификатора Option 82, параметр 82 будет зашифрован с использованием формата Routed Bridge Encapsulation (RBE), определяемого стандартами Cisco. Cisco использует кодировку для совокупности информационную схему агента-ретранслятора.
маршрутизаторов,
поддерживающих
При такой конфигурации используется только второй подпараметр, идентификатор удаленного агента (Remote Agent ID). В общей сложности вставляется 16 байтов, при этом содержимое каждого байта определяется заранее. Даже если маршрутизаторы используют конфигурацию Cisco, кодировка все равно остается понятной для системы EDA и по-прежнему выполняются требования стандарта RFC 3046 © Ericsson, 2004
86(100)
Ericsson Ethernet DSL Access относительно глобального уникального идентификатора удаленного агента. Номер Пользователя будет представлять из себя строку в кодировке ASCII, использующую байты х1, х2, х3 и так далее. Возможны небольшие отклонения от стандарта RFC 3046, поскольку в современных сетях мультиплексор IP DSLAM функционирует не как маршрутизатор, а как мост. Если запрос DHCP абонента уже содержит идентификатор Option 82, пакет Ethernet не будет отброшен. Первоначальный идентификатор заменяется на уникальный для предотвращения спуфинга запроса DHCP. По определению RFC 3046 никогда не используется поле giaddr. IP DSLAM не будет проверять, является ли данное поле нулевым IP-адресом или нет, и не будет изменять содержимое данного поля. Если добавление параметра 82 приводит к превышению запросом DHCP максимального размера кадра Ethernet, IP DSLAM отбросит данный запрос DHCP. При перемещении запроса DHCP всегда добавляется Option 82 (в противном случае для программного модуля PEM будет выбрана конфигурация “не используется”).
11.4 Механизмы безопасности IP DSLAM Функция передачи данных в режиме моста IP DSLAM виртуально создает сеть Ethernet общего пользования, охватывающую и Домен Доступа, и локальные сети абонента. Это порождает простую и гибкую сетевую архитектуру, но одновременно приводит к некоторым потенциальным проблемам безопасности системы EDA. Природа устройств широковещательной передачи, таких как Ethernet, подразумевает, что информация распределяется между множеством объектов, соединенных с устройством, в том числе и с некоторыми устройствами, которые не предполагают использование в качестве приемника. Это приемлемо в среде корпоративной локальной сети, однако в сценариях доступа наподобие EDA должна существовать возможность убедиться, что абонент будет получать только ту информацию, которая явно предназначена для него. В этом случае ключевым объектом выступает IP DSLAM, который способен осуществить фильтрацию и прочие функции, гарантирующие безопасность и конфиденциальность.
11.4.1 Фильтрация Осуществление фильтрации на IP DSLAM позволяет управлять входящим и исходящим трафиком абонентов EDA, благодаря чему достигается ограничение типов кадров/пакетов, продвигаемых IP DSLAM. Политика фильтрации может основываться на широком наборе правил. Вследствие этого, существует возможность разработки специального фильтра для определенного сценария развертывания и обновления этого фильтра без остановки системы в случае, если после установки обнаружится угроза нарушения безопасности. Фильтры настраиваются отдельно для каждого канала PVC. 11.4.1.1 Широковещательная передача Как правило, фильтр задерживает широковещательный трафик. Такая фильтрация защищает абонента от перегрузки сети широковещательным трафиком. К тому же, сообщения, содержащие служебную сетевую информацию, обычно распространяемые через широкое вещание по Ethernet, не должны пересылаться абонентам EDA. Единственным исключением являются запросы DHCP от абонентов. Они необходимы для получения первоначальной сетевой конфигурации, например, IPадресов, от сервера DHCP. Запрос DHCP перемещается только к коммутационному узлу и никогда – к другим пользователям. 11.4.1.2 MAC- и IP-адрес отправителя Для защиты абонента EDA от спуфинга, MAC- и IP-адреса отправителя восходящего трафика должны быть проверены на принадлежность к некому допустимому множеству адресов. IP DSLAM хранит действующие комбинации MAC- и IP-адресов для каждого абонента в MAC-таблице. Записи © Ericsson, 2004
87(100)
Ericsson Ethernet DSL Access MAC-таблицы могут быть статическими или динамическими. Статические записи соответствуют фиксированным IP-адресам, постоянно назначенным определенному PVC-каналу абонента через Систему Менеджмента. Динамические записи создаются на основе полученных от сервера DHCP ответов DHCP. Для поддержания в действующем состоянии таблицы MAC-адресов и IP-адресов все абоненты должны повторять свои запросы DHCP через настроенные временные интервалы (выделенное время для IP-адресов). Срок действия записи MAC-адресов через некоторое время будет считаться истекшим. Точное время для этого можно настроить, но оно должно быть, по меньшей мере, не короче выделенного времени для IP-адресов. 11.4.1.3 MAC-адрес получателя Для защиты абонента EDA от попыток взлома узлов системы EDA можно отфильтровывать пакеты, предназначенные данным узлам, с адресами, расположенными в определенном диапазоне. Можно также разрешить продвижение восходящего трафика лишь к ограниченному набору адресов. 11.4.1.4 Типы кадров Ethernet Существует возможность ограничить в обоих направлениях допустимые типы кадров. Например, допустимым типом кадров будут считаться те, что несут IP-трафик, а, скажем, кадры протоколов маршрутизации локальной сети (NetBEUI) будут отбрасываться.
11.4.2 Разделение уровня 2. Хост-системы IP, присоединенные к одной и той же локальной сети, могут взаимодействовать друг с другом напрямую, если им известен MAC-адрес другой стороны. Хост-система может определить, принадлежит ли другая сторона той же LAN, с помощью маски подсети. Если IP-адрес другой стороны расположен в той же подсети, отправитель может получить MAC-адрес получателя с помощью запроса Протокола Преобразования Адресов (Address Resolution Protocol, ARP). Домен Доступа Ethernet позволяет абонентам EDA осуществлять прямое взаимодействие на уровне 2. Это можно рассматривать как преимущество в плане увеличения эффективности по сравнению с альтернативным вариантом маршрутизации всех коммуникационных взаимодействий через какой-либо IP-маршрутизатор, расположенный на вершине иерархии области доступа. Вместе с тем, прямое взаимодействие позволяет абоненту осуществлять вторжения, которые обычно не связываются с системой доступа DSL. Примером этого может послужить манипуляция с таблицами ARP CPE с целью перехвата входящего и исходящего трафика абонента.
Рисунок 80 Видимость и разделение уровня 2 Таким
образом,
© Ericsson, 2004
в
некоторых
сценариях
доступа
необходимо
предотвращать
прямое
88(100)
Ericsson Ethernet DSL Access взаимодействие уровня 2 между абонентами. Вместо этого весь трафик должен передаваться через IP-маршрутизатор. Принудительное перемещение восходящего трафика абонента через маршрутизатор может осуществляться разными способами. Система EDA применяет протокол двухточечного соединения PPPVLAN и Принудительное Перемещение Данных. Виртуальный MAC-адрес. Для защиты от MAC-спуфинга и обеспечения уникальной идентификации конечного пользователя в системе доступа EDA, решение EDA предполагает использование функции под названием виртуальный MAC-адрес. Основным принципом виртуальных MAC-адресов является преобразование MAC-адресов IP DSLAM. IP DSLAM заранее назначает некоторое количество потенциальных MAC-адресов, которые будут ассоциироваться с реальными MAC-адресами оборудования абонента, например, персональным компьютером или телеприставкой, если речь идет о службе видео. IP DSLAM связывает MAC-адреса, полученные с оборудования конечного пользователя с локально управляемыми (виртуальными – Virtual MAC) MAC-адресами, используемыми в Домене Доступа Ethernet. MAC-адрес отправителя восходящего трафика, полученный от конечного пользователя, заменяется на соответствующий ему локально управляемый адрес и затем передается на групповой коммутатор. Для нисходящего трафика локально управляемый адрес заменяется на соответствующий ему MAC-адрес конечного пользователя и передается линии ADSL. При таком подходе не имеет значения, если конфигурация нескольких устройств конечного пользователя содержит один и тот же MAC-адрес (спуфинг); эти адреса никогда не используются внутри Домена Доступа. Виртуальные MAC-адреса статически назначаются мультиплексором IP DSLAM и позволяют оператору управлять и ограничивать количество устройств (персональных компьютеров) конечного пользователя, которые он может подключить к линии ADSL (на один канал PVC). Они также предоставляют возможность идентифицировать трафик конечного пользователя в сети доступа EDA через просмотр MAC-адреса в кадре Ethernet, как только его можно будет трассировать на определенном PVC линии ADSL конечного пользователя. Виртуальный MAC-адрес – это необязательная для использования возможность защиты от MACспуфинга.
11.5 Шифрование и туннелирование Домен Доступа связан с другими сетями данных, которые могут являться объектами хакерских нападений. Злоумышленник может перехватить трафик, посланный через внешнюю сеть, или попытаться получить доступ к системе EDA через эту сеть. Для защиты сети EDA и трафика от внешних вторжений можно защитить взаимодействия, осуществляемые через внешние сети. Ключевыми понятиями для этого являются туннелирование и шифрование. Между Доменом Доступа и удаленными провайдерами услуг трафик пересылается по туннелям. Например, можно туннелировать сессию PPP с удаленным провайдером услуг. Взаимодействие между Доменом Доступа и Центром Менеджмента сетью (Operation Center) можно защитить с помощью безопасных соединений по виртуальной частной сети (Virtual Private Network, VPN). Однако, даже если узел доступа EDA представляется безопасным, трафик абонента можно отследить через сеть Internet общего доступа. Решением в данной ситуации является применение VPN. Шифрование трафика абонента обычно рассматривается за пределами контекста EDA.
© Ericsson, 2004
89(100)
Ericsson Ethernet DSL Access
11.6 Другие меры безопасности Для защиты сети необходимо также реализовывать общие меры безопасности.
11.6.1 Политики Безопасности Менеджмента Доверенный персонал, злоупотребляющий своими полномочиями, также может осуществлять несанкционированные воздействия на сеть. В таком случае становится возможной любая угроза безопасности, поскольку эти люди часто обладают знаниями о системах безопасности. Одна из мер борьбы с данной проблемой – обеспечение персонала строго личными паролями для входа на устройства системы EDA, что поддерживается системой менеджмента EDA.
11.6.2 Отслеживание сети и обнаружение проникновений Важный инструмент обеспечения безопасности сети – отслеживание и регистрация деятельности в сети и на ее объектах. В этом случае потенциально возможно обнаружение вторжений или отслеживание в обратном порядке сценария нападения с тем, чтобы обнаружить источник взлома и затем возбудить судебное преследование злоумышленника, а также принять меры для предотвращения в будущем успешных попыток взлома.
© Ericsson, 2004
90(100)
Ericsson Ethernet DSL Access
12 Дизайн системы EDA 12.1 Подход к системному дизайну Можно разработать широкий спектр сценариев доступа для соответствия различным требованиям относительно функций доступа к службам, сетевой архитектуры и производительности сети. Функции системы EDA определяются и оптимизируются на основе требований к выбору служб, безопасности и выбору обслуживания. В сочетании с требованиями к сетевой архитектуре и быстродействию это может быть использовано как основа для разработки определенной системы EDA. Рисунок 81 изображает подход к системному дизайну.
Рисунок 81. Подход к дизайну системы EDA
12.2 Определение функций системы EDA Основные функции системы EDA базируются на требованиях к обслуживанию, выборе обслуживания и уровню безопасности. Действующие сценарии EDA должны обеспечивать эти функции и соблюдать остальные системные требования, такие как выбранный сценарий развертывания станционного кросса (MDF) и требования к производительности сети. Последние охватывают, например, количество абонентов, политику выделения полосы пропускания, параметры масштабируемости и требования избыточности. Выбор дизайна системы EDA зависит от следующих соображений: Требования к обслуживанию. Каждая служба соединена с конечным пользователем через канал PVC и каждый PVC соединении с сетью VLAN через мультиплексор IP DSLAM. Конечный пользователь может иметь до 8 соединений PVC. •
Доступ к голосовым службам, который может предоставляться и реализовываться как традиционная телефония (POTS) или как высококачественная IP-телефония (ToIP). Обе службы могут исполняться и предоставляться одновременно.
•
Доступ к Internet.
•
Доступ к локальным сетям (LAN к LAN).
•
Доступ к мультимедиа-службам, в частности, видео (обзор доступных служб см. в Таблице
© Ericsson, 2004
91(100)
Ericsson Ethernet DSL Access 2). Выбор обслуживания. Система EDA позволяет настроить на каждом индивидуальном канале PVC один из перечисленных методов доступа в целях создания соединения между конечным пользователем и сервисным провайдером. •
Протокол DHCP, что означает, что IP-адрес оборудования конечного пользователя устанавливается динамически сервером DHCP сервисного брокера.
•
Протокол двухточечного соединения по линиям Ethernet (PPPoE), при котором создается сессия по отношению к широкополосному серверу доступа (BRAS). Это решение предоставляет интегрированные параметры для аутентификации, авторизации и учета через алгоритм идентификации удаленных абонентов (RADIUS).
•
Протокол двухточечного соединения по линиям ATM (PPPoA), при котором мультиплексор IP DSLAM преобразует пользователя PPPoA в пользователя PPPoE, создавая сессию PPP, как описано выше.
•
Статический IP-адрес, при этом оборудованию конечного пользователя присваивается статический IP-адрес.
•
Прозрачность локальной сети, что обеспечивает прозрачность отношений между сетями LAN.
Требования безопасности. Различные меры безопасности могут быть развернуты для защиты системы EDA и соединенных с ней конечных пользователей. Некоторые из установок безопасности могут перекрывать друг друга, но их можно активировать одновременно для усиления защиты. Используются: •
Протокол PPP как метод доступа, который можно применять для идентификации конечного пользователя, прежде чем предоставить ему доступ к службам. Сессии PPP могут передаваться к удаленному сервисному провайдеру при помощи туннелей безопасности.
•
Мультиплексоры IP DSLAM, которые можно сконфигурировать для отфильтровывания нежелательного трафика на основании ряда параметров.
•
виртуальные сети VLAN, которые могут использоваться для создания логически разделенных сетей внутри области (домена) доступа к Ethernet. В этом случае различные типы трафика, как, например, управляющий трафик и трафик абонента, будут разделены.
•
Принудительное перемещение трафика провайдера, назначенному по умолчанию.
•
Конфигурацию DHCP Relay agent (Option 82) для аутентификации конечных пользователей и для предоставления доступа к определенным службам.
•
Виртуальные MAC-адреса (Virtual MAC) для защиты от MAC-спуфинга.
(Forced
Forwarding)
к
шлюзу
сервисного
Хотя поставщик услуг доступа (Access Provider) не несет ответственности за все функции, описанные выше, он создает сеть EDA и функции, которые обеспечивают обслуживание конечного пользователя. Чтобы более детально ознакомиться с мерами безопасности, см. раздел 10.
12.2.1 Разработка действующей системы EDA В дополнение к функциональным требованиям и сценарию развертывания MDF, на общее решение влияют требования к производительности системы: •
Количество абонентов, соединенных с локальным коммутатором, и прогноз ожидаемых попыток проникновения на линии DSL.
© Ericsson, 2004
92(100)
Ericsson Ethernet DSL Access
•
Полоса пропускания, предоставляемая для отдельных абонентов, и степень агрегирования.
•
Требования к различным уровням качества обслуживания.
•
Требования к избыточности.
Эти требования являются главными факторами при расчете агрегированной сети (количество коммутаторов и полоса пропускания, которая потребуется для их соединения).
12.3 Примеры сценариев сети EDA Приведенные примеры сценариев EDA сгруппированы, прежде всего, в соответствии с методом, использованным для выбора обслуживания: 1. Нет выбора обслуживания. 2. Использование BRAS. 3. Использование отдельной VLAN на каждую службу или супер-VLAN. 4. Использование IP-подсетей в сочетании с принудительным перемещением данных. 5. Прозрачность взаимодействия между локальными сетями.
12.3.1 Нет выбора обслуживания В некоторых сценариях доступа не требуется или не уместно использование любых форм выбора обслуживания. Область доступа с легкостью обеспечивает неограниченный доступ к одному (или более) граничному узлу (Edge Node) Ethernet (IP маршрутизаторы и (или) голосовые шлюзы) без аутентификации или авторизации абонентов. Пример такой сети предоставлен на рисунке 82. Такой сценарий обеспечивает видимость уровня 2. Это означает, что возможны двухточечные соединения между абонентами EDA внутри одной и той же IP-подсети. Преимущество таких соединений состоит в лучшем использовании сетевых ресурсов и более низком значении задержки. Поскольку видимость уровня 2 между абонентами является явным свойством данного сценария, защитить оборудование Домена Доступа а можно с помощью одного или обоих нижеследующих механизмов: 1. Фильтрация трафика мультиплексором IP DSLAM. Подходящими параметрами являются: а) фильтрация IP/MAC-адреса; б) фильтрация открытой широковещательной передачи; в) фильтрация не IP-трафика. 2. Распределение типов трафика по разным сетям VLAN внутри области доступа, например, отдельная VLAN для управляющего трафика. Данный сценарий доступа не накладывает никаких ограничений на предоставление IP-услуг. Однако неуправляемый доступ к IP-телефонии может оказаться недопустимым из-за проблем безопасности и параметров загрузки. Поэтому здесь целесообразней услуги телефонии строить традиционным способом (рисунок 82).
© Ericsson, 2004
93(100)
Ericsson Ethernet DSL Access
Рисунок 82. Сценарий выделенных телефонных линий
12.3.2 Выбор обслуживания с применением BRAS Выбор обслуживания, основанный на широкополосном сервере доступа (BRAS), предоставляет множество функций доступа, интегрированных в единое целое. Аутентификация конечного пользователя осуществляется при помощи протоколов PPP или HTTP. В первом случае абонент инициирует клиентскую часть PPPoE в хост-системе абонента (CPE), чтобы начать сессию PPP. Во втором случает BRAS представляет абоненту Internet-страницу, через которую он может осуществить вход в систему. Использование PPP создает что-то вроде туннеля между CPE и BRAS. Это обеспечивает Internetуровень безопасности, поскольку для абонентов обеспечивается разделение уровня 2. Настройка фильтра на мультиплексоре IP DSLAM, который будет пропускать только кадры PPPoE, обеспечивает дополнительный уровень безопасности. Уровень безопасности можно расширить при помощи VLAN, которая поможет разделить трафик внутри Домены Доступа. Каждый провайдер может иметь широкополосный сервер доступа BRAS, расположенный внутри единого Домена Доступа. Эти серверы BRAS можно распределить по разным сетям VLAN, благодаря чему каждый абонент сможет получить доступ лишь к одному BRAS, либо же серверы BRAS можно разместить внутри одной широковещательной области. В последнем сценарии абонент сможет получить доступ к любому серверу BRAS, но сначала должен будет обязательно осуществить успешный вход в систему, чтобы пройти аутентификацию BRAS. Можно обеспечить практически любую службу IP через BRAS. Однако IP-службы групповой рассылки для абонентов, соединенных посредством PPP, требуют, чтобы трафик от BRAS рассылался как одноадресный каждому из таких абонентов. BRAS также предоставляет доступ к службе IP-телефонии (ToIP), которая осуществляется через голосовой шлюз, но это требует от клиента ToIP выполнения процедуры аутентификации на основе PPP прежде, чем он сможет получить авторизацию на использование этой службы. Однако использование PPP в качестве протокола инкапсуляции для передачи голоса может быть не самым © Ericsson, 2004
94(100)
Ericsson Ethernet DSL Access оптимальным выбором по причине задержки. Прежде чем выбрать эту возможность, необходимо произвести расчет дополнительной задержки при использовании определенного BRAS. Пример организации сети EDA с использование BRAS и реализации служб доступа к передачи данных и к IP-телефонии приведен на рисунке 83. BRAS предоставляет возможность соединения с удаленными сервисными узлами (пунктами присутствия сервисных провайдеров Internet - ISP PoP) с туннелированием сессии PPP через магистральную сеть. BRAS может также заканчивать сессии PPP, выполняя функции ISP PoP. Для этих целей сервер RADIUS может (но необязательно должен) располагаться внутри области доступа (это не отражено на рисунке 83). Через голосовой шлюз осуществляется функция IP-телефонии для обычной телефонной сети общего пользования (PSTN). Если телефонные вызовы инкапсулируются при помощи сессии PPP, они должны обрабатываться на BRAS до того, как попадут в голосовой шлюз. В этом случае более оптимальной может стать (имея в виду задержку)) пересылка трафика прямиком от BRAS на голосовой шлюз, а не на групповые коммутаторы верхнего уровня.
Рисунок 83. Сценарий доступа к EDA со встроенным BRAS
12.3.3 Выбор обслуживания с применением VLAN Технология VLAN может использоваться для разделения области доступа между сетевыми сервисными провайдерами, что предоставит каждому сервисному провайдеру логически отделенную сеть доступа с уникальным идентификатором VLAN. Сервисный провайдер может выбрать, применять ли ему BRAS или IP-маршрутизатор. Абоненты приписываются к определенному сервисному провайдеру при помощи настройки в мультиплексоре IP DSLAM связей между каналами PVC и сетями VLAN сервисного провайдера. Возможно также назначение разным типам обслуживания различных сетей VLAN. Например, сервисный брокер может иметь 10 уникальных VLAN, предназначенных для различных служб, предоставляемых пользователям. Одна VLAN может обеспечить Internet-доступ, а другая может предоставить высококачественный доступ. Несколько сетей VLAN могут применяться для обеспечения IP-телефонии, интерактивных игр, телевизионного широкого вещания и т.д. Такое применение VLAN поддерживают многие сервисные брокеры внутри области доступа, разница лишь в том, что каждый может управлять более, чем одной VLAN. Рисунок 84 изображает сценарий для двух сервисных провайдеров, области которых разделены на сети VLAN. Оба © Ericsson, 2004
95(100)
Ericsson Ethernet DSL Access сервисных провайдера обеспечивают доступ к данным через IP-маршрутизатор, а один из сервисных провайдеров предлагает еще и IP-телефонию через голосовой шлюз. Выделяют четыре различных типа VLAN: одну для управляющего системного трафика (VLAN 1), одну для области голосового доступа (VLAN 2), одну для каждой из двух областей доступа к данным (VLAN3, VLAN 4). Мультиплексоры IP DSLAM связывают каналы PVC и сети VLAN. Между мультиплексорами IP DSLAM и коммутатором высшего уровня представлены все VLAN. На коммутаторе высшего уровня сети VLAN связаны с физическими портами, что позволяет управлять абонентским доступом к различным узлам и предохранять от их доступа в Систему Менеджмента (Management System).
Рисунок 84. Сценарий на основе VLAN с услугами доступа к данным и ToIP Другим способом использования VLAN для выбора обслуживания является применение технологии супер-VLAN. При этом методе уникальная VLAN предоставляется каждому абоненту (или даже каждому PVC). Внутри краевого узла определяется количество супер-VLAN, и каждый абонент VLAN связывается с одной из этих супер-VLAN. Каждая супер-VLAN соотносится с определенным сервисным провайдером. Супер-VLAN объединяет абонентов, связанных с этим сервисным провайдером. Краевой узел создает туннели между каждой супер-VLAN и точкой присутствия (PoP) сервисного провайдера, связанного с супер-VLAN. Ограничение супер-VLAN разрешает максимум 4096 виртуальных локальных сетей в любых широковещательных сетях. Все решения сетей VLAN, за исключением трех сценариев VLAN (управление, голос и данные), имеют один недостаток: каждый IP DSLAM и каждый коммутатор высшего уровня должен настраиваться вручную. Управляющее программное обеспечение (PEM) не поддерживает автоматическое конфигурирование сетей VLAN, если не считать три вышеуказанных, которые назначаются по умолчанию для мультиплексоров IP DSLAM. Коммутаторы верхнего уровня должны конфигурироваться при любых обстоятельствах. Различные сценарии VLAN предполагают различный уровень безопасности. Если сети VLAN используются для разделения различных служб или сервисных провайдеров, то, как правило, выделяется VLAN и для управляющего трафика. Кроме того, нужно использовать фильтр IP DSLAM, если требуется разделение уровня 2.
© Ericsson, 2004
96(100)
Ericsson Ethernet DSL Access
Разделение уровня 2 совершается автоматически при назначении сетей VLAN индивидуальным абонентам, поскольку трафик с одной VLAN должен проходить через IP-маршрутизатор (краевой узел), чтобы получить доступ к другой VLAN.
12.3.4 Выбор обслуживания с применением подсетей VLAN разделяет Домен Доступа на отдельные области уровня 2. Можно связать определенную службу или сервисного провайдера с каждой областью уровня 2. Можно также осуществить разделение Домена Доступа уровня 3 и назначить каждую область разным сервисным провайдерам с помощью разделения на различные подсети. Каждая подсеть имеет шлюз, назначенный по умолчанию, которым управляет определенный поставщик услуг доступа (Access Provider). Различные подсети могут использовать один и тот же шлюз по умолчанию. Абоненты EDA всегда назначаются для подсети (и шлюза по умолчанию) вместе с IP-адресами. Каждая подсеть EDA может содержать одного абонента или более, в зависимости от своего размера. Назначение индивидуальной подсети абоненту является прямым способом, но он имеет свои недостатки в том, что касается эффективности использования IP-адресов. Как следствие, типичным требованием к назначению адресов является несколько абонентов, совместно использующих одну IP-подсеть. Для обеспечения разделения уровня 2 можно использовать функцию Принудительного Перемещения (Forced Forwarding) данных мультиплексора IP DSLAM. Это гарантирует, что абоненты внутри одной и то же IP-подсети не могут получить доступ друг к другу непосредственно на уровне 2, но вынуждены пользоваться назначенным по умолчанию шлюзом. Принудительное Перемещение данных требует использования единого получателя (шлюз по умолчанию) для восходящего трафика. Поэтому Принудительное Перемещение данных используется вместе с IP-телефонией, при этом голосовой трафик может успеть пройти через IPмаршрутизатор, функционирующий как шлюз по умолчанию, до перемещения к голосовому шлюзу.
12.3.5 Выбор LAN-to-LAN
обслуживания
с
применением
прозрачности
Прозрачность взаимодействия между локальными сетями позволяет сервисному брокеру предоставлять соединения при помощи сетей VLAN без какой-либо фильтрации со стороны IP DSLAM. Соединения являются прозрачными как для помеченных, так и для и непомеченных кадров Ethernet. Благодаря этому становится возможным использование таких служб, как офис на дому, когда IP-адрес назначает DHCP-сервер, расположенный в офисе. Другой пример службы – VLAN для объединения домашних сетей, когда несколько конечных пользователей хотят объединить свои локальные сети. На рисунке 84 показана служба VLAN для офиса на дому и объединения домашних сетей.
© Ericsson, 2004
97(100)
Ericsson Ethernet DSL Access
Рисунок 85. Служба VLAN для "офисов на дому" и соединений между домашними сетями При использовании прозрачности отношений локальных сетей, отключается любая фильтрация абонентского трафика мультиплексором IP DSLAM и разрешается широкое вещание. Если желательно обеспечить некоторый уровень защиты и фильтрации трафика, это нужно сделать на краевых узлах (Edge Node) или на оборудовании абонента (CPE). Объединенные локальные сети конечных пользователей могут располагаться на одном или на разных мультиплексорах IP DSLAM. Позволяется также смешение статических IP-адресов с адресам, получаемыми от DHCP.
12.4 Расчет сети Сеть доступа EDA монтируется вокруг групповых элементов системы и имеет широкие возможности автоматически приспосабливаться к изменениям архитектуры сети. Вследствие этого, она может быть с легкостью расширена, чтобы поддерживать увеличивающийся трафик и (или) изменившиеся требования к производительности.
12.4.1 Мощность системных элементов Все элементы, включенные в систему EDA, оптимизированы для того, чтобы отвечать требованиям мощности любой сети доступа ADSL. IP DSLAM системы EDA способен одновременно поддерживать на всех линиях скорость нисходящего трафика до 8 Мб/сек и восходящего трафика – 1 Мб/сек Коммутаторы EDA способны переключать трафик между всеми портами на полной скорости шины.
12.4.2 Расчет сети доступа EDA Требования мощности к сети EDA зависят от следующих факторов: •
Количество подключенных пользователей.
•
Полоса пропускания, выделенная на одного абонента.
© Ericsson, 2004
98(100)
Ericsson Ethernet DSL Access •
Сущность и сочетания приложений, которые нужно поддерживать.
•
Соглашения Уровня обслуживания
•
Модели абонентского трафика.
Значительная концентрация трафика на линиях, перегруженных абонентами, обычно считается приемлемой для сетей доступа. Однако невозможно дать общее допустимое соотношение для превышения количества абонентов.
© Ericsson, 2004
99(100)
Ericsson Ethernet DSL Access
13 Заключение Концепция EDA предоставляет законченную платформу для осуществления доступа на базе ADSL к IP-службам, в частности передача данных и видео, и с возможностью предоставления голосовых служб, таких как традиционной телефонии, так и высококачественной IP-телефония. Решения ADSL основаны на мультиплексорах IP DSLAM c 10, 12 или 288 абонентскими линиями. На этой основе можно создать оптимальное решение для доступа к ADSL, подходящее для различных требований. Мультиплексор Ethernet DSL Access IP DSLAM EDN288 является полной многофункциональной системой, рассчитанной на 288 линий, и прекрасным решением для ТВ-вещания, для создания больших точек присутствия DSL, так и с малыми и средними сайтами. EDN288 имеет встроенную функцию агента Менеджмента системы EDA (EMP). EMP представляет из себя набор функций и рабочих процессов, которые значительно уменьшают стоимость оборудования и время, необходимое для его установки, эксплуатации и обслуживания. EDN288 является примером новой концепции EDA, это Узел оступа к Ethernet (EAN). EAN конструируется на базе мультиплексоров IP DSLAM c 10- и 12-ю линиями и коммутатора ECN320 с функцией EMP. EAN обрабатывается сетью как единый узел с внедренными IP DSLAM и коммутаторами. С дополненным 8-портовым коммутатором EDA ESN108 и при использовании 12портовых мультиплексоров IP DSLAM EDA, EAN может быть расширен для поддержки до 2304 абонентских линий в одной точке присутствия . Продукты входящие в портфель EDA были интегрированы и протестированы в целях предоставления оператору законченного решения доступа. Управление системой EDA осуществляет пользовательский интерфейс, в котором сигналов, фильтров, абонентов и так приложениям могут быть доступны через NNM).
© Ericsson, 2004
система Менеджмента PEM. PEM – это графический можно произвести настройки всех линий, аварийных далее. PEM осуществляет управление сетью, его Менеджер Сетевых Узлов (Network Node Management,
100(100)