Введение

Одним из важных показателей развития российского общества на современном этапе является стремительное развитие передовых информационных технологий практически во всех во всех сферах общества и их практическое применение. Стремительное развитие глобальной сети Интернет в последние годы свидетельствует о том, что Интернет - технологии получили в мире широкое общественное признание.

В России уже более 57 миллионов пользователей Интернет. Как источник информации Интернет не имеет равных, предоставляя пользователям мощный коммуникационный ресурс.

Обеспечить непрерывное подключение к Интернету (без необходимости установления коммутируемого соединения) и так называемую «двустороннюю» связь, то есть возможность как принимать, так и передавать информацию на высоких скоростях по проводным соединениям позволяет фиксированный широкополосный доступ (ШПД). Согласно статистике операторов фиксированного ШПД общее проникновение услуги достигло 38%.

Быстро, качественно и надежно передать большие потоки информации позволяет волоконно-оптическая линия связи. Технология широкополосного интернет-доступа FTTB(“Fiber To The Building” - “волокно в каждый дом”) становится все более популярной и вырывается вперед по динамике подключений.

В дипломной работе при построении сети будем использовать многоуровневую архитектуру, базирующуюся на следующих принципах:

• иерархичность – сеть разделяется на несколько уровней, каждый уровень выполняет определенные функции;

• модульность – уровни строятся на основе «строительных» модулей, каждый модуль представляет собой функционально законченную группу оборудования. [1]

Основная цель применения многоуровневой архитектуры при построении сети – это обеспечение высокой надежности, масштабируемости (возможности расширения или перестройки сети с минимальными затратами), высокой производительности.

В общем случае на сети выделяем следующие уровни:

• ядро сети;

• уровень агрегации;

• уровень доступа;

Задача ядра сети - высокоскоростная коммутация трафика. Устройства, входящие в состав ядра сети, выполняют функции:

• высокоскоростной маршрутизации/коммутации трафика сети;

• резервирования на уровне аппаратуры и каналов;

• разделения нагрузки по параллельным каналам;

• быстрого переключения между основным и резервным каналами;

• эффективного использования полосы пропускания соединений.

Ядро сети строится из модулей, образованных одним высокопроизводительным устройством, с обеспечением аппаратного резервирования. Построение ядра сети на базе специально подобранных коммутаторов сокращает время простоя сети, как в случае отказа аппаратного (за счет гибких схем резервирования), так и в случае программных ошибок или ошибок оператора (за счет разнообразных механизмов поиска неисправностей).

Уровень распределения выполняет связующую функцию и функцию агрегации трафика абонентов. Основное требование к этому уровню - обеспечение резервирования и оптимальное разделение нагрузки между параллельными соединениями (как в сторону уровня доступа, так в сторону ядра сети).

Уровень доступа предназначен для подключения рабочих станций и других периферийных устройств (сетевых принтеров и др.) к ЛВС. Основное требование к оборудованию уровня доступа это поддержка всевозможного функционала обеспечивающего безопасность подключения абонента. Так же коммутаторы доступа должны максимально облегчать администрирование подключений абонента.

Построение ядра сети является самой важной задачей при развертывании любой сети.

Целью дипломной работы является построение защищенного ядра сети широкополосного доступа FTTB.

Главными элементами в построении защищенного ядра являются коммутатор, поддерживающий многоуровневую коммутацию, маршрутизатор широкополосного удалённого доступа BRAS и RADIUS-сервер, реализующий процессы аутентификации, авторизации и учёта трафика.

Будем считать, что размер нашей сети составляет 4 000 пользователей. Причем, при проектировании сети необходимо учитывать возможность ее дальнейшего наращивания.

Для решения данной цели были поставлены следующие задачи:

• разработка топологии сети;

• выбор оборудования;

• обеспечение безопасности данных;

• выбор механизма защищенного абонентского доступа

1. Разработка топологии сети

1. Технология FTTB

Широкополосный доступ в Интернет нового поколения - использование технологии FTTB.

К преимуществам технологии FTTB относят следующие:

• FTTB обеспечивает скорость локальной сети 100 Мбит/сек full duplex (в каждую сторону по 100 Мбит/сек, от и к абоненту);

- надежность (оптоволокно не окисляется, устойчиво к агрессивной внешней среде, срок службы оптического кабеля превышает 25 лет)

- помехоустойчивость (отсутствие электромагнитных наводок от молний, силовых кабелей, радиоизлучений)

- при подключении по технологии FTTB в квартирах не устанавливают модемы или какое-либо другое оборудование, кабель ведут непосредственно к компьютеру, что удобно и специалистам, прокладывающим сеть, и конечным пользователям.

- FTTB в перспективе может быть модернизирована до еще более прогрессивной, правда, дорогой технологии — FTTH (Fiber-To-The-Home, «оптика до дома»), когда оптический кабель проводят прямо в квартиру.

Таким образом, FTTB-технология способна с запасом удовлетворить текущие потребности пользователей домашнего Интернета и сможет эффективно работать еще долгие годы в условиях постоянного роста загрузки.

1.2 Составные ядра сети

1.2.1 Коммутатор ядра сети

Коммутатор ядра сети используется для магистрального объединения коммутаторов рабочих групп и выполняет интеллектуальное управление трафиком. Коммутатор обеспечивает взаимодействие сетевых устройств по выделенной линии без возникновения коллизий, с параллельной передачей нескольких потоков данных.

Коммутатор ядра сети должен отличаться высокопроизводительной коммутацией Gigabit-Ethernet и повышенной надежностью, что крайне необходимо для построения единой системы передачи данных. Функции обеспечения постоянной готовности каналов связи, наличие системы резервирования источников питания, возможность горячей замены модулей коммутатора, встроенная система мониторинга и извещения коммутатора - все эти функции необходимо учитывать при выборе модели коммутатора для обеспечения максимальной доступности ЛВС и, соответственно, максимального времени работы сетевых приложений.

1.2.2. Маршрутизатор широкополосного удалённого доступа

Маршрутизатор широкополосного удалённого доступа BRAS находится в ядре сети провайдера и агрегирует пользовательские подключения из сети уровня доступа.

Собственно, на уровне IP-протокола абонент взаимодействует именно с сервисным уровнем.

Устройство BRAS — это, по сути, маршрутизатор, обладающий специальным дополнительным функционалом по работе с абонентскими сессиями и позволяющий выполнить следующее:

• Аутентификацию абонента во внешней системе;

• Авторизацию абонента, то есть получение списка сетевых сервисов и их параметров, на которые подписан абонент, во внешней системе.

• Создание абонентской сессии — виртуального интерфейса в сторону абонента, применение к этому интерфейсу необходимых параметров для реализации выбранных сервисов (например, ограничение скорости доступа в Интернет), назначение IP-адреса абоненту.

• Передачу во внешнюю систему биллинга данных об использовании абонентами ресурсов (например, общий трафик в байтах, переданный абоненту, или проведенное в сети время).

Существуют и другие, расширенные, функции управления абонентскими сессиями, которые могут быть реализованы устройством BRAS. К ним можно отнести, например, контроль квот с последующим автоматическим отключением абонента от сети или перенаправление абонента на специальный портал для клиентов, тарифицируемых по предоплате.

К специфичным задачам BRASа относят: обеспечение пользовательских сессий по протоколам PPP, применение политики качества обслуживания (QoS), маршрутизация трафика в магистральную сеть провайдера.

Коммутатор ядра собирает поток данных от множества пользователей в одну точку. А маршрутизатор производит логическую терминацию туннелей точка-точка (PPP).

В архитектуре рассматриваемой нами сети BRAS можно определить как оборудование, реализующее функции так называемого сервисного уровня. Функции сервисного уровня могут быть вынесены на отдельное специализированное оборудование, как правило, располагающееся в этом случае между уровнем агрегации и уровнем ядра, или возложены на оборудование уровня агрегации.

В последнем случае термин BRAS означает не выделенный маршрутизатор сервисного уровня, а соответствующий набор функционала по управлению абонентскими сессиями, реализованный на маршрутизаторе уровня агрегации.

Стоит заметить, что не все типы услуг в принципе нуждаются в выделенном сервисном уровне (и в полном наборе функций BRAS). Как правило, услуги можно разделить на два класса: транспортные (или сетевые) и услуги приложений. К услугам первого типа относятся, например, доступ в Интернет, доступ к корпоративному VPN, к собственному игровому серверу оператора и т.д. Они тарифицируются по скорости доступа или количеству переданных байт. Тарификация, как и доступ к услуге, выполняются собственно сетью, а именно устройством BRAS. Примерами услуг второго типа — услуг приложений — являются такие сервисы, как IP-телефония или IPTV. Они управляются и тарифицируются соответствующими прикладными системами (например, доступ к услуге VoIP управляется регистрацией абонентского терминала на SIP Proxy сервере, а тарификация обеспечивается программным коммутатором вызовов VoIP — SoftSwitch).

Сеть всего лишь обеспечивает транспорт (с соответствующими гарантиями качества обслуживания) от абонентского терминала до прикладной системы. Поэтому такие приложения не нуждаются в выделенном уровне сервисной границы. Минимально необходимая часть функций сервисной границы (а это, фактически, только выдача IP-адресов и обеспечение IP-связанности с соответствующей прикладной системой) всегда может быть возложена на оборудование агрегации, даже если оно не в состоянии реализовать полный набор функций BRAS.

В нашей работе функции сервисного уровня выносим на отдельное оборудование.

BRAS является интерфейсом к Radius.

1.2.3 RADIUS-сервер

RADIUS-сервер является интерфейсом взаимодействия c маршрутизатором и может реализовывать для такой системы следующие сервисы:

• Создание и хранение учётных записей пользователей (абонентов)

• Управление учётной записью пользователя (абонента) из персонального интерфейса (например веб-кабинета)

• Создание карточек доступа (логин/PIN-код) для предоставления услуг, с некоторым лимитом действия (Dial-Up доступа в Интернет и карточной IP-телефонии)

• Ручная и автоматическая блокировка учётной записи абонента по достижению заданного критерия или лимита

• Сбор и анализ статистической информации о сессиях пользователя и всей обслуживаемой системы (в том числе CDRов)

• Создание отчётов по различным статистическим параметрам

• Создание, печать и отправка счетов к оплате

• Аутентификация всех запросов в RADIUS-сервер из обслуживаемой системы (поле Secret)

Процедура аутентификации определяется проверкой учётных данных пользователя (в том числе шифрованных) по запросу обслуживаемой системы.

Процедура авторизации состоит из выдачи состояний блокировки учётной записи пользователя, выдаче разрешений к той или иной услуге, сортировку данных на основе анализа статистической информации (например динамическая маршрутизация) и выдачу результата сортировки по запросу.

Процедура учета состоит из следующих позиций:

• Онлайн-учёт средств абонента: уведомления о начале и конце сессии со стороны обслуживаемой системы

• Промежуточные сообщения о продолжении сессии (Interim-пакеты)

• Автоматическое принудительное завершение действия сессии на обслуживаемой системе в рамках услуги (packet of disconnection)

• BOOT message - специальный пакет, который отправляется телекоммуникационной системой на RADIUS-сервер при запуске (перезапуске) системы, с целью принудительного завершения всех сессий