政企接入网关型ONU的研究.doc

政企接入网关型 ONU 研究 二 一一年十一月 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 I 目 录 1 研究项目背景 1 2 中小政企客户综合接入需求 2 2 1 中小政企客户信息化现状 2 2 2 不同政企客户综合接入需求 3 2 3 中小政企客户综合接入功能需求 5 3 政企接入网关型 ONU 功能要求 6 3 1 宽带上网 6 3 2 3G 无线宽带接入 可选 6 3 3 无线组网 可选 7 3 4 IPSEC VPN 可选 7 3 5 QOS 控制 8 3 6 访问控制 可选 8 3 7 内容过滤 可选 8 3 8 防病毒 可选 9 3 9 入侵检测 9 3 10 零配置快速开通 9 3 11 总分机功能 可选 10 3 12 语音导航功能 可选 10 3 13 在线录音功能 可选 10 3 14 计费管理功能 可选 10 4 政企接入网关型 ONU 设备定制需求 10 5 政企接入网关型 ONU 试用情况 11 5 1 嘉兴移动试用情况 11 5 2 测试情况 12 6 政企接入网关型 ONU 典型应用方案 13 6 1 网络部署 13 6 2 有线 无线一体化接入解决方案 14 6 3 安全接入解决方案 14 6 4 网络行为管理解决方案 15 7 项目小结与改进建议 16 7 1 项目小结 16 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 II 7 2 下一步展望与改进建议 16 附录一 政企接入网关型 ONU 设备定制需求表 附录二 华为 SRG 设备浙江移动金华试验局测试报告 附录三 嘉兴移动 SRG3200 测试报告 2 份 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 1 政企接入网关型 ONU 研究 1 研究项目背景 从 PBX 路由器和 IP 电话 到光纤接入 再到防火墙和呼叫中心 政企客户通信 技术日益走向多样化和复杂化 政企客户通信技术在提升政企客户运作效率的同时 也对政企客户的通信设备维护与管理能力提出了新挑战 没有正规专业的维护队伍 缺乏通信设备维护能力的中小政企客户 如何提高办 公系统网络的安全性保障 病毒防护和互联网攻击防范 如何实现短号互拨 IVR SIP GW 等话音需求 并统一提供宽带和话音业务 如何规范管理政企客户员工 的日常办公行为 如上班时间禁止 QQ 聊天 BT 下载等 如何实现政企客户在外出 差人员 分支机构和总部互连的 VPN 需求 如何实现政企客户的 FMC 需求 如固定 和移动 3G WiMAX 接入互为备份 诸如此类的政企客户通信需求 给运营商带来了巨大的商机 拥有网络资源和技 术优势的运营商 可针对政企客户的不同通信需求 提供融合固定 移动业务于一体 的综合接入方案 实现运营商和政企客户的网络资源的统一运维管理 实现海量客户 的快速部署和一体化运维 通过一站式接入的模式深度绑定用户 增加用户粘滞性 提供深入的 ICT 服务 打造运营商的政企客户接入品牌 加快从管道提供商向信息服 务提供商的转变 实现新商业模式的落地和收入的增加 另一方面 浙江移动全业务汇聚区的建设已接近完成 整个 GPON 网络正在逐步 完善 给政企客户接入带来了很大的便利 随着全业务的快速推进 目前浙江移动已 经发展了 2 8 万个政企客户接入 为进一步简化政企客户接入的业务开通与运行维护和 业务支持 有必要研发政企接入网关型 ONU 满足政企客户多种业务接入需求 降低 运营建设成本 本项目研究旨在现有的研发成果和技术基础上 充分利用多种 VPN 组网技术和各 种 QoS 业务服务保证措施 深入调查不同接入场景 不同接入类型政企客户接入的业 务需求情况 并汇总 归纳成若干种政企客户典型接入需求模式 研发出政企接入网 关型系列 ONU 通过项目研究 可充分梳理政企客户接入类型与需求 为今后发展政 企客户提供预测与依据 其次 系列化的政企接入网关型 ONU 将有利于按照不同政 企客户接入模式 规范设备安装 配置 维护 将大大提高装维效率 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 2 2 中小政企客户综合接入需求 2 1 中小政企客户信息化现状 随着中小企业规模不断增大 中小企业信息化建设的不断完善以及国家鼓励中小 企业信息化建设的政策 中小企业信息化的前景也随之进一步明朗 需求也显著上升 企业通信的发展也成为现代企业关注的焦点 作为企业信息化建设的一部分 企业通 信是整个信息化建设的基础 它既是企业内外交流的主要工具 也对企业内部沟通决 策起着至关重要的作用 如何有效地进行企业内外部沟通 确保企业信息安全以及为 如何长期进行信息化建设将成为中小企业通信未来发展的趋势 根据中国电信北京研究院对上海 广东 福建 浙江和江苏五省市的 400 家中小 企业进行的问卷面访调查结果看 中小企业在基本背景和运营模式上都有这样一些特 征 1 这五省市的中小企业多数是员工人数在 50 人以下 年营业额小于 500 万元 的民营企业 且大多无分支机构 2 这些中小企业大多有固定电话 电脑和宽带接入 但信息化程度较低 大多 无专业的 IT 管理人员 3 中小企业产品销售 服务的范围较广 60 的企业都超出本市范围 交易频 率较高 在对外沟通中多采用打电话 见面和传真的传统方式 广告采用也较多 4 在中小企业中 渗透率较高的信息化产品主要有企业邮箱 即时通信 网络 安全软件和企业网站 2011 年 5 月国内某著名管理咨询机构 就中小企业通信的内在需求和发展状况发 布了调查报告 调查报告显示 目前 在我国中小企业使用通信工具中 电话或视频 会议使用率最高 达到 84 而邮箱以及即时通讯分别是 79 以及 61 其它使用工 具中 协同办公系统 OA 占 80 以上通信工具 企业绝大部分每天使用 而电话 会议或视频会议在少数企业中是每周使用 2 4 次 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 3 显而易见 电话或视频会议是企业内外部沟通最主要的方式 主要是因为电话和 视频会议的即时性 有任何问题需要沟通都可以及时通过语音交流来解决 而且沟通 效率高 而邮箱的使用率也非常高 接近 80 作为商业交流的工具 邮箱的使用受 到企业的青睐 原因主要包括邮件沟通的便捷 专业性较强以及文件传输和信息保存 的平台 作为新一代的通讯工具 即时通讯占到了 61 即时通讯的优势是能够发送 即时消息 不是很重要或很紧急的工作沟通可以借助即时通讯来完成 随着即时通讯 工具功能的不断完善 即时通讯工具的使用也将会不断上升 协同办公系统 例如 OA 的使用率很低 主要是因为价格高 中小企业的规模尚未需要协同办公类产品 2 2 不同政企客户综合接入需求 中小政企客户对数据接入 网络安全 智能管理的一体化综合接入服务需求日益 迫切 希望通信运营商能够结合电子商务 企业信息化 移动应用等主要应用 提供 高水平 定制化的专业服务 据上述咨询调查报告显示 中小企业通信安全难以保障 资金 人力投入乏力 系统不匹配等问题突出 可谓是规模 小 负担 大 因此 中小企业对具有较 强稳定性和可靠性 能为企业提供融合的通信工具 完善的管理与监控工具的企业通 信系统 有较强的需求 以此提高企业运行效率 降低运营成本 未来几年 中小企 业会比较倾向既能满足企业基本要求的数据 语音通信功能 又具有一定行业特色 融合多种通信工具的综合通信平台 根据实际与问卷调查 不同政企客户综合接入需求汇总如下表 用户类别用户类别用户需求用户需求 适用对象适用对象设备对应功能设备对应功能 单 双 WAN 接入 中小企业中小企业 互联网接入互联网接入 双 WAN 上行 3G Gpon 接入可配置 DHCP 服务 NAT PAT WiFi 安全业务安全业务 防火墙 防攻击 局域网安全 防 ARP VLAN 防 ARP 攻击 防 ARP 欺骗 防 DDOS 攻击 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 4 用户类别用户类别用户需求用户需求 适用对象适用对象设备对应功能设备对应功能 流量统计 VLAN 划分 安全防火墙 基于 IP 的上下行限速 VPN 安全接入 NAS 网络存储 IP Sec L2TP VPN 智能数据存储和备份 语音接入语音接入 基本语音服务 适用对象适用对象 50 100 人以下中小企业 有移动办公需求 对数据和语 音有一定的需求 语音接入 单 双 WAN 接入 防 ARP 攻击 防 ARP 欺骗 防 DDOS 攻击 流量统计 VLAN 划分 安全防火墙 基于 IP 的上下行限速 酒酒 店店 互联网接入互联网接入 双 WAN 上行 3G Gpon 接入可配置 DHCP 服务 NAT WiFi 安全业务安全业务 防火墙 防攻击 局域网安全 防 ARP VLAN 基 于客房的 IP 的上下行限速 语音接入语音接入 基本语音服务 高级语音服务 适用对象适用对象 50 间以下的连锁快捷酒店 有大堂无线覆盖需求 对带 宽管理有一定的需求 语音接入 单 双 WAN 接入 防 ARP 攻击 防 ARP 欺骗 防 DDOS 攻击 流量统计 VLAN 划分 安全防火墙 基于 IP 的上下行限速 连锁企业连锁企业 营业厅营业厅 互联网接入互联网接入 双 WAN 上行 3G Gpon 接入可配置 DHCP 服务 NAT PAT WiFi 安全业务安全业务 防火墙 防攻击 局域网安全 防 ARP VLAN IP Sec L2TP VPN 语音接入语音接入 基本语音服务 高级语音服务 适用对象适用对象 100 人以下中小企业 连锁商店 营业厅 加油站 酒店 专卖店等 对企业内部联网办公和数据备份有一定的 需求 VPN 安全接入 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 5 用户类别用户类别用户需求用户需求 适用对象适用对象设备对应功能设备对应功能 NAS 网络存储 语音接入 单 双 WAN 接入 防 ARP 攻击 防 ARP 欺骗 防 DDOS 攻击 流量统计 VLAN 划分 安全防火墙 网网 吧吧 互联网接入互联网接入 双 WAN 上行 3G Gpon 接入可配置 DHCP 服务 NAT 安全业务安全业务 防火墙 防攻击 局域网安全 适用对象适用对象 100 人以下中小型网吧 基于 IP 的上下行限速 单 双 WAN 接入 防 ARP 攻击 防 ARP 欺骗 防 DDOS 攻击 流量统计 VLAN 划分 安全防火墙 基于 IP 的上下行限速 VPN 安全接入 NAS 网络存储 中小学中小学 互联网接入互联网接入 双 WAN 上行 3G Gpon 接入可配置 DHCP 服务 NAT PAT WiFi 安全业务安全业务 防火墙 防攻击 局域网安全 防 ARP VLAN 内容过滤 绿色上网 访问控制等 语音接入语音接入 基本语音服务 适用对象适用对象 中小学对网络办公和提供绿色上网 对数据备份有一定 需求 语音接入 2 3 中小政企客户综合接入功能需求 综合不同中小政企客户在数据接入 语音通话 网络安全 网络管理等综合接入 服务方面不同的需求 可汇总得出政企客户综合接入四大功能需求 1 网络功能 包括互联网接入 3G 无线宽带接入 有线及无线双链路主备切换 无线组网 IPSec VPN QoS 控制等 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 6 2 语音功能 包括基本语音服务和高级语音服务 3 安全功能 包括访问控制 内容过滤 防病毒 入侵检测等 4 维护管理功能 包括零配置快速开通 远程监控值守 运行情况统计等 详细的政企客户综合接入功能需求与配置建议如下表 功能分类功能需求说明配置建议 互联网接入支持GPON 光纤方式的宽带接入必配 3G无线宽带接入支持3G无线宽带接入 有线及无线双链路主备切换 提供有线及无线链路流量主备切换功能 增强可靠性及灵 活性 无线组网 支持企业内多台PC通过WLAN无线互联 访问互联网 提 供多种密钥认证方式 有需要企业配置 IPSec VPN 支持Site to Site Remote Access 等VPN 组网形式 支持在企业总部和分支机构之间组建基于互联网的IPSec VPN 虚拟专网 支持互联网安全办公应用 选配 QoS 控制 能够根据物理端口 IP五元组和应用层协议进行业务流的 识别 并对不同业务流进行QoS 适配 建议后期提供 基本语音服务 支持传统铜缆接入 xPON接入 提供语音 PBX 传真 xPON接口 必配 尤其传真功 能 高级语音服务 支持呼叫等待 转移 IVR排队自动接续 彩铃 同振 顺振 一机多号 一号通 免打扰 三方通话 双通话 闹钟提醒 IVR语音导航等功能 选配 反向供电功能 POE供电为WLAN设备提供反向供电功能选配 访问控制 提供根据IP 五元组访问控制和应用层协议访问控制功 能 支持多种访问控制策略 内容过滤 支持基于文件类型 脚本 URL 地址或URL 关键字的内 容过滤 防病毒 支持对各种病毒 木马 软件漏洞及其他恶意代码的实时 防护 入侵检测 支持网络异常会话 Session 检测 防范常见网络攻击 行为 防内网ARP 攻击支持内网LAN 侧防护ARP攻击功能 零配置快速开通 通过网关出厂预配置和利用管理平台对网关进行开通前预 配置 网关在客户现场安装时 正确连接网线并接通电源 即可实现业务功能开通 对已开通宽带且宽带帐号和密码 由客户自己掌握的 必要时需输入宽带帐号和密码 即可 实现正常使用 远程监控值守提供7 24 小时网络和设备运行状态远程实时监控 运行情况统计 通过WEB 自助服务网站和Email两种方式按月提供网关运 行情况统计报告 选配安全功能 网络功能 语音功能 维护管理功能 重要企业配置 必配 3 政企接入网关型 ONU 功能要求 综合上述政企客户对数据接入 语音通话 网络安全 网络管理等综合接入服务 需求 对政企接入网关型 ONU 各个子功能要求如下 3 1 宽带上网 提供宽带上网功能 接入方式可以选择 GPON 光纤接入等 多种速率可供选择 2M 4M 10M 及以上等 1 具有 8 个以上 PVC 或以太网子接口 例如 建立管理 视频业务 语音业务 上网业务等独立通道 2 具有静态配置 PPPoE DHCP 等接入认证方式 能够自动和手工设置 DNS 应可访问网关本地管理界面 http 192 168 1 1 下同 配置或修改宽带上网的相 关信息 具体如下 1 在 GPON 光纤专线方式时 可配置上网的 IP 地址 子网掩码 网关地址 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 7 DNS 地址 2 可以通过对 IP 地址或者 MAC 地址的限制 控制相应 PC 是否可以上网 3 2 3G 无线宽带接入 可选 支持网关与 3G 网络的无线连接 以下简称 无线 WAN 口 1 无线 WAN 口支持常在线 按照配置自动拨号 断线重连 支持按需拨号 包 括人工 数据流触发 2 无线 WAN 口支持主动下线和强行下线两种方式 应可通过访问网关本地管理界面修改如下配置信息 1 对无线数据卡连接配置可增加 修改 删除 导入 导出 设置为默认连接 2 无线 WAN 口默认关闭 支持无线 WAN 口使能标志 使能后才允许启动无线 数据卡拨号上网 3 3 无线组网 可选 提供无线 AP 功能 用户可以使用支持无线网卡的 PC 通过 WLAN 接入局域网络 1 具有 WLAN 功能启用 禁用 默认为启用 2 兼容 802 11b 802 11g 协议 3 具有多 SSID 功能 客户可针对不同部门设置不同的 SSID 标识 设置不同的 访问权限和安全机制 例如为来访人员设置专用的 WLAN SSID 并且可针对每个 SSID 做单独开启和关闭操作 4 为避免各 AP 之间的相互干扰 提供自动信道选择和手工配置两种方式 默认 采用自动信道选择方式 3 4 IPSec VPN 可选 IPSec VPN 既可以应用于企业不同分支机构的互联 也可以用于企业出差人员远 程办公接入企业内部网络 1 支持多种工作方式 传输模式 AH Authenticationheader 隧道模式 AH 传输 模式 ESP Encapsulatingsecutiy payload 隧道模式 ESP 2 支持 Site to Site Remote Access 等 VPN 组网形式 3 支持预共享密钥和 X 509 数字证书等认证方式来进行 VPN 认证 4 支持通过 IKE Internet Key Exchange 因特网密钥交换 5 支持 DES 3DES AES 128 AES 192 AES 256 等符合国家密码管理的有关 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 8 规定的加密算法 支持多种哈希验证算法 MD5 SHA 1 等 6 支持可以基于固定 IP 地址建立 IPSec 隧道 支持通过域名建立 IPSec 隧道 7 支持 IPSec 报文透明穿越 NAT 网关 8 可选支持不同 VPN 隧道和非 VPN 流量的优先级处理 9 支持 Internet 流量转发 提供 到 Internet 的 VPN 路由通道 可配置选项 客户端通过 IPSec VPN 拨入后 不仅能够访问局域网资源 同时能够访问互联网 用户可通过访问网关本地管理界面 修改配置 1 在互联 Site to Site 方式下 可以配置 VPN 的认证密钥或下载安全证书 2 在远程访问 Remote Access 方式下 安装客户端软件后 可以在客户端软件 上配置 VPN 的认证密钥或下载安全证书 3 5 QoS 控制 提供基于物理端口 IP 五元组 应用层协议 QQ MSN BT eDonkey Skype 等 的 业务流识别功能 并对不同业务流进行 QoS 适配 1 支持对不同业务流分配不同带宽 2 优先级标识 根据业务发现结果 对特定业务的数据包进行标识 3 支持 WAN 口入方向限速的功能 3 6 访问控制 可选 支持基于 IP 五元组的访问控制 应用层协议访问控制业务功能 支持多种访问控 制策略 对网络游戏 BT 下载等互联网应用进行应用限制 基于 IP 五元组的访问控制功能主要包括 1 支持基于源 目的 MAC 地址 IP 地址 源 目的端口 IP 协议 时间段等参 数实现相应的访问控制策略 2 支持自动或管理员手工绑定 IP MAC 地址 应用层协议访问控制功能主要包括 1 支持对 QQ MSN BT eDonkey Skype 等应用的控制功能 支持应用特征库的在 线更新 3 7 内容过滤 可选 支持基于白名单方式的 URL 地址过滤 文件类型 脚本和应用关键字的过滤 可 通过访问网关本地管理界面 修改配置 URL 地址过滤包括 1 可以设置 URL 地址 过滤指定网站 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 9 2 可以设置 URL 关键字 过滤相关网站 3 可以设置黑白名单 文件类型过滤包括 1 支持设置文件类型进行内容过滤 脚本和应用关键字过滤包括 1 支持针对 ActiveX Java 等类型的脚本程序进行过滤 并向浏览器用户报警 2 支持在网页 电子邮件 即时通信等应用中实现基于关键字的内容过滤 3 8 防病毒 可选 提供对各种病毒 木马 软件漏洞及其他恶意代码的实时防护 保护企业内部的 PC 免受病毒的威胁 1 支持 HTTP FTP 等多种应用层协议的病毒过滤功能 2 支持对多种格式压缩文件的病毒过滤功能 3 支持病毒库和杀毒引擎的实时更新升级 检查更新的周期应小于 24 小时 对 于最新的各种病毒 蠕虫和恶意代码具备持续更新的防护能力 4 支持在线更新病毒库技术 可在不停止杀毒任务的情况下自动更新病毒代码库 5 支持对常见木马 间谍软件和蠕虫进行查杀 6 支持通过阈值过滤的算法对不可知的病毒实现控制 7 支持针对文件大小及类型的扫描设置 3 9 入侵检测 提供入侵检测功能 可以防止互联网的常见攻击 包括端口扫描 无效数据包攻 击 数据包泛洪等 具体功能如下 1 支持 HTTP FTP 等应用层协议的入侵防护功能 2 支持对 ping of death IP spoofing Port scan 等常见攻击类型的防护 3 支持防护内网 LAN 侧 ARP 攻击 4 支持入侵攻击特征库的定期更新升级 对于当前流行网络攻击行为的监测和防护 具备持续更新的能力 5 支持在线更新攻击特征库技术 可在不停止检测防护任务的情况下自动更新攻击 特征库 3 10 零配置快速开通 零配置快速开通服务是指通过网关型 ONU 出厂预配置 和网关管理平台预配置下 发或由装维人员局端开箱预配置 实现在用户现场安装时 无需再进行网关配置工作 只要正确连接网线并接通电源即可实现业务功能开通 对已开通宽带且宽带帐号和密 码由用户自己掌握的 必要时需输入宽带帐号和密码 即可实现正常使用 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 10 针对新装宽带用户 根据网关型 ONU 与网关管理平台间管理通道连接条件及设备 出厂时预配置情况 分以下两种方式实现用户零配置快速开通 1 自动零配置快速开通 当网关在出厂时已经预置了管理配置参数 并且网关 与网关管理平台间具备管理通道连接条件时 电信安装人员在上门安装前不需对网关 做任何设置 上门安装时正确连接网线并接通电源后 由网关管理平台通过管理通道 将 PPPoE 宽带帐号 密码或专线接入 IP 地址等参数下发到设备 实现业务快速开通 2 手工零配置快速开通 当网关出厂时没有预置管理配置参数 或者网关与网 关管理平台间不具备管理通道连接条件时 电信安装人员在上门安装前需要在局端对 网关进行开通预配置 管理配置参数 PPPoE 宽带帐号 密码或专线接入 IP 地址 并 对终端进行检查 上门安装时正确连接网线并接通电源即可开通 3 11 总分机功能 可选 拨打总机号码 听到提示语音 可以直接拨分机号码到指定的分机上去 也可以 拨 0 到人工服务 分机用户根据来电主叫的要求 将其来电拍叉转移至其它分机 用 户可根据自身要求自行录制提示语音 来提高整体形象 应能允许多路电话同时拨入 或者拨出 3 12 语音导航功能 可选 系统应可配置语音导航功能 可以是单级导航 也可以是多级导航 3 13 在线录音功能 可选 系统应配置嵌入式大容量硬盘作为存储介质 全数字录音 电信级通话音质 能 对分机 环路中继 数字中继进行多路电话实时在线录音 起到服务质量监控的作用 同时可以用为用户投诉及解决纠纷的证据 3 14 计费管理功能 可选 多种计费方式 灵活费率设置与调整 手机 IP 电话能实现单独计费 呼入计费 针对话吧 信息台等场所提供了呼入计费的控制 内部电话计费 可设月租费与通话 费 超大容量 FLASH 话单储存系统 具有海量存储话单的能力 在脱离电脑话务台的 条件下仍可存储多达 200 万条话单 4 政企接入网关型 ONU 设备定制需求 根据业务部门提供的数据 截止到 2011 年 7 月 浙江移动有综合接入用户 28357 家 其中 20371 家用户订购了语音服务 同时订购语音及宽带的用户有 6974 家 占综 合接入用户总数的 25 左右 在 20371 家订购了语音服务的用户中 32 门以下的语音用户占 83 以上 具体分 布情况如下表 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 11 话音门数综合接入用户数占比 16 门以下 1261662 16 31 门 420721 32 47 门 12446 48 63 门 8084 64 95 门 5243 96 门以上 9725 合计 20371100 据调查统计 在同时订购语音及宽带的 6974 家用户中 绝大多数综合接入用户内 部已经组成局域网 只需要提供一个宽带上联口 目前带宽以 2M 为主 根据上述调查统计情况 政企接入网关型 ONU 设备物理接口定制需求如下表 A1A2A3A4A5 3G无线接 入 可插卡 可插卡可插卡 GPON接口支持支持支持支持支持 USB接口11111 POTS88161632 E1 T1 可插卡可插卡可插卡 语音 物理接口形 态和数量 定制类型 需求 WAN侧 LAN侧 10 100M以 太口数 4 WLAN SSID 数 不少于 4 4488 可插卡 可插卡可插卡 详细的政企接入网关型 ONU 设备定制需求可参见附表 5 政企接入网关型 ONU 试用情况 5 1 嘉兴移动试用情况 目前嘉兴移动试用政企接入网关型 ONU 的接入点共有 4 个 2 个为中小企业用户 2 个为移动营业厅 试用设备为华为 SRG3200 中小企业用户试用政企接入网关型 ONU 网络拓扑图如下所示 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 12 接入点情况如下 1 嘉兴市海宁市八方物流 其主要业务应用为 提供宽带业务 用户要求的带宽 为 300M SRG 有 4 个 1000M 电口 其中两个可以为 1000M 光口 满足客户的带宽 要求 用户端的 SRG 下挂一台路由器 一台服务器和一台普通的 TP link 路由器满足 不通的业务要求 另下挂华三 WLAN 业务 SRG 还可以提供 NAT DHCP 强大 的攻击防范能力 动态黑名单主动防御等 为用户提供的更多的组网选择并带给用户 更为安全的网络通信 2 嘉兴市一建建设集团有限公司第六分公司 其主要业务为 语音和宽带业务 用户端的语音为普通的固话语音业务做成 IPPBX 类型 宽带为下挂一个普通的 TP link 路由器 在路由器下挂一台交换机上网 未使用设备自带的自动拨号功能和 DHCP 功能 对于语音业务 SRG 设备还可提供 总机功能 内部虚拟网 只需设备 即可 等满足用户的不同需求 移动营业厅试用政企接入网关型 ONU 网络拓扑图如下所示 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 13 营业厅接入点情况如下 1 嘉兴中山西路营业厅 其主要业务为 内网 用户端 SRG 下挂一台交换机 下联电脑 20 台 为配置 IP 地址连接网管 营业厅的网络对网络安全性提出了更高的 要求 对此设备的动态黑名单主动防御和具备强大的攻击防范能力就为末端的 PC 提供 了更多一层的保护功能 进一步保障了网络安全 2 嘉兴市王江泾营业厅 其主要业务为 SRG 作为网关和城域网 7750 通过 vpn 实现对接 目前该营业厅 SRG 作为网关和 7750 通过 VPN 对接功能已经测试成功但业 务没有进行割接 目前 4 个试用政企接入网关型 ONU 的接入点使用情况正常 5 2 测试情况 根据省移动的统一安排 杭州 金华 嘉兴分公司组织人员与生产厂家一起对政 企接入网关型 ONU 进行了测试 测试设备为华为 SRG 系列政企接入网关型 ONU 测试内容包括语音通信 IPPBX VPN 功能等 测试项目包括了华为自己提供的测试项目和分公司提供的测试项目 华为部分全 部测试完成 并且 OK 测试充分 分公司提供的部分测试项目由于缺少了网管配套的 测试 客户的网管版本不配套导致 无法测试 部分生僻的补充业务 现网无环境 SIP UE 对接测试不完全 部分业务使用 POTS 话机测试 SIP UE 终端客户采购不及 时 等 没有完成测试 从完成测试的项目看 测试结果还是比较令人满意的 详细的测试报告可参见附录 6 政企接入网关型 ONU 典型应用方案 6 1 网络部署 政企接入网关型 ONU 代替了传统的路由器 交换机 防火墙 SSL VPN WLAN IP PBX 等多个设备 最大化地减少了 IT 投入成本和管理成本 非常适 合应用于中小企业 网吧 教育 酒店 医院等场景 政企接入网关型 ONU 作为企业 网络路由设备使用 一般部署在企业内部网络出口 对内承担企业内部用户网关 对 外通过 PON 接入到运营商网络 如下图所示 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 14 政企接入网关型 ONU 工作在网关模式时 局域网内电脑的网关都是指向政企接入 网关型 ONU 的 LAN 口 IP 或指向三层交换机 三层交换机的网关再指向政企接入网关 型 ONU 用户上网数据由政企接入网关型 ONU 硬件网关作 NAT 或路由转发出去 WAN LAN 口设置 WAN LAN 口应设置不同网段的 IP WAN 口可以是固定 IP 也可以是动态拨号获取地址 WAN 口可以通过 LAN 接入或 GPON 方式接入到 中国移动 Internet 网络 政企接入网关型 ONU 也可以通过防火墙再接入到 Internet 网 络 用户地址分配和地址转换 用户地址分配可以使用固定 IP 设置 也可以使用政企 接入网关型 ONU 的 DHCP Server 功能为用户做动态地址分配 网管模式下一般需要在 政企接入网关型 ONU 上做 NAT 如果有需要对外提供服务的内网服务器 还需要在 政企接入网关型 ONU 上做 NAT 端口映射 如果有外接防火墙已经做了 NAT 和 NAT 端口映射则不需要在政企接入网关型 ONU 上再做同样的操作 6 2 有线 无线一体化接入解决方案 对于企业无线网络 政企接入网关型 ONU 提供有线 无线一体化解决方案 从保 障网络投资角度看 许多用户希望在现有网络系统上搭建无线网络 针对这一需求 网关型 ONU 可满足兼顾用户网络投资和有线无线网络融合应用的有线无线一体化解决 方案 该方案的特色在于基于政企接入网关型 ONU 可以充分利用已有的有线设备拓展 无线业务 保护用户已有投资 既可应用于不同的工作环境 适应不同的网络规模 还可以实现小型无线网络到大型无线网络的平滑升级 通过集中式管理架构和统一的 网管系统 保证设备互通性和轻松配置无线网络 实现高效管理 如下图所示 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 15 政企接入网关型 ONU 不仅支持交换 路由等传统的有线功能 无线接入部分有以 下特点 符合 IEEE 802 11b 802 11g n 协议 支持多 SSID 功能 支持 Open System 和 Share Key 两种链路层认证方式 支持 WPA PSK 支持 AES TKIP 加密 支持 64 bit 128 bit WEP 加密 根据不同的 SSID 映射到不同的 VLAN 6 3 安全接入解决方案 政企接入网关型 ONU 同时提供了防火墙和 VPN 功能 为用户提供从内到外全方 位的安全防范和远程 VPN 接入服务 政企接入网关型 ONU 防火墙可以制定外网对内 网访问的规则 IP 地址限制 服务限制等 防范 DDoS 攻击 对恶意的 IP 地址可以进 行黑名单处理 政企接入网关型 ONU 功能提供点对点 VPN 以及远程接入 VPN 服务 支持 IPSec PPTP L2TP 等隧道协议 基于 IP MAC 地址的用户身份认证和加密 WLAN 技术让企业内网用户访问更加安全可靠 6 4 网络行为管理解决方案 政企接入网关型 ONU 研究 中国移动浙江公司规划技术部 16 InternetInternetInternet 交换机交换机 管理员管理员 人事部人事部 研发部研发部 市场部市场部 政企接入网关型 ONU 网络行为管理系统可以带来全面而细致的互联网行为管理解 决方案 在此 通过对政企接入网关型 ONU 网络行为管理系统在管理网络带宽 保障 内容安全 提高生产效率和规避法律风险四个方面来具体阐述其为用户带来的商业价 值 管理网络带宽 政企接入网关型 ONU 网络行为管理对局域网发生的所有网络行为进行记录 分 析和趋势报告 借助图形化的数据和报表 用户可以直观地了解到哪些人员 哪些服 务占用了广域网宝贵的带宽资源 通过对网络使用情况的深入了解 管理者能够制定 出最适合自身组织机构情况的互联网访问策略 个性化的带宽分配 可以为不同人员 或者不同应用类型分配相应的带宽 并可在不同的时间段应用不同的带宽分配策略 保障内容安全 政企接入网关型 ONU 网络行为管理可设置 web 访问的黑白名单 用户可以在 URL 库中自定义需要被拦截的 URL 通过对 URL 的拦截 可大大地降低了内网用户 对不良 Web 页面的访问 规避法律风险 政企接入网关型 ONU 网络行为管理访问控制系统可实现外发信息控制 保护版 权资料 当员工的不当网络行为触犯相应法律法规时 用户都可