FTTX+LAN接入网系统设计.doc

摘要本文通过分析了目前小区宽带网的接入方式和对小区宽带接入网的规划设计，根据目前较普及的小区宽带接入方式和网络服务，采用光纤接入到楼（FTTB）或小区（FTTZ），再通过网线接入用户，从而提供共享带宽，制定出一套合理的小区宽带接入网规划方案；以及分析宽带用户分类和业务预测，结合宽带接入技术发展现状探讨宽带接入网规划及相关原则。关键词 FTTZ+LAN；小区宽带；网络安全；以太技术引言在本小区宽带方案设计中，我们不仅为小区规划设计了一个提供高带宽上网的综合性宽带业务，而且在这个规划的小区宽带中还能开展其他数据增值业务。同时还在设备选型（如：D-Link DES-3024中心路由交换机、D-Link DGS1224T交换机以及线缆和光缆等）都做了具体的分析并结合了其性能特点和经济理念，选择的设备产品都具有兼容性好、且占市场分额较高、能够满足高带宽和具有较长生命周期的特点，在接入技术和接入方式都结合了目前和将来小区宽带接入网的需求，使用了较合理经济的先进技术，为小区宽带用户上网提供一个安全、稳定、快捷、经济的网络服务和设置了足够的小区宽带冗余。这样就可以吸引大量小区宽带用户，并提供优质服务而达到留住用户的目的。本方案设计中不足的是：我们对小区的规划不是特别合理，对布线问题没有明确的说明，所使用的技术我们也还没有完全掌握，对网络安全我们也没有特别理解。这些都需要我们在以后的工作生活中去深入研究。第一章 绪 论近几年，我国宽带接入网用户数飞速增长，2008年我国成功超越美国成为全球宽带用户数最多的国家。据信息产业部统计数据表明，2008年12月我国的宽带用户数是6646.4万，截至2009年11月，我国的宽带用户数达到了8338万，月平均增长150万户以上。在2009年，尽管受金融危机的影响，我国国民消费能力降低，对装宽带的消费可能会减弱，但诸多因素仍将驱动我国宽带用户规模高速发展，冲破1亿关口，再说我国通信经历了二十多年的长足发展，已基本实现了交换程控化和传输数字化，初步形成了四通八达、纵横交错的通信网络。随着社会的进步和通信技术的发展，人们不仅局限于电话的业务，还要从窄带电话、传真、低速数据和图像业务，逐渐向可视电话、视频点播、图文检索和高速数据等宽带新业务领域扩展。目前向用户提供服务通信网的接入网仍以传统的铜线作为主要的传送媒体，这种模拟窄带的传输手段与多种电信业务的宽带传输的快速增长不相适应，而且仍以电路交换为主要特征，与核心网侧和用户侧的发展很不协调，因此接入网成为制约通信发展的瓶颈，建立数字化和宽带化的接入网已迫在眉睫。1.1 FTTX+LAN的简介FTTx+LAN技术是一种利用光纤加五类网络线方式实现宽带接入方案，实现千兆光纤到小区（大楼）中心交换机，中心交换机和楼道交换机以百兆光纤或五类网络线相连，楼道内采用综合布线，用户上网速率可达10Mbps，网络可扩展性强，投资规模小。另有光纤到办公室、光纤到户、光纤到桌面等多种接入方式满足不同用户的需求。FTTx+LAN方式采用星型网络拓扑，用户共享带宽。适用于住宅小区、智能大厦、现代写字楼等地点。 光纤用户网是用户接入网技术的发展方向，是指局端与用户之间完全以光纤作为传输媒体的接入网。用户网光纤化有很多方案，有光纤到路边(FTTCFiber To The Curb )、光纤到小区 (FTTZFiber To The Zone)、光纤到大楼（FTTBFiber To The Building）、光纤到家庭(光纤到户)(FTTHFiber To The Home)、光纤到桌面（FTTDFiber To The Desktop），即FTTx。 因FTTx接入方式成本较高，就我国目前普通人群的经济承受能力和网络应用水平而言，并不适合。而将FTTx与LAN结合，大大降低了接入成本，同时可以提供高达100Mbps的用户端接入带宽，是目前比较理想的用户接入方式。一、技术特点1、高速传输：用户上网速率目前为10Mbps，以后可根据用户需要升级。 2、网络可靠、稳定：楼道交换机和小区中心交换机、小区中心交换机和局端交换机之间通过光纤相连。网络稳定性高、可靠性强。 3、用户投资少、价格便宜：用户只需要一台带有网络接口卡（NIC）的PC机即可上网。 4、安装方便：小区、大厦、写字楼内采用综合布线，用户端采用五类网络线方式接入，即插即用。 5、应用广泛：通过FTTX+LAN方式可以实现高速上网、远程办公、VOD点播、VPN等多种业务。二、业务功能1、高速数据接入:用户可以通过FTTX+LAN宽带接入方式快速地浏览各种互连网上的信息、进行网上交谈、收发电子邮件等。 2、视频点播:由于FTTX+LAN方式高带宽的接入，特别适合用户对音乐、影视和交互式游戏点播的需求，还可根据用户的个性化需要进行随意控制。 3、家庭办公:实现家庭办公，用户只需通过高速接入方式，在网上查阅本自己企业（单位）信息库中您所需要的信息，甚至可以面对面地和同事进行交谈，完成工作任务。 4、远程教学、远程医疗等:通过宽带接入方式，用户可以在网上获得图文并茂的多媒体信息，或与老师、医生进行随意交流、探讨。 总之，由于FTTX+LAN方式的高带宽，用户可以通过这种接入方式得到所需要的各种信息，不会受到因为带宽不够而带来的困扰，也不会为因为停留在网上所付出的附加话费而担忧。1.2 FTTX+LAN接入网络图1.3宽带接入方式在目前宽带的接入方式主要有四种：PON（无源光纤网络）、ADSL、有线通和FTTX+LAN（小区宽带）接入方式。这四种宽带接入方式在安装条件、所需设备、数据传输速率和相关费用等多方面都有很大不同，直接决定了不同的宽带接入方式适合不同的用户选择。 1.3.1 PON（无源光纤网络）接入方式PON（无源光纤网络）接入技术方式是一种点对多点的光纤传输和接入技术方式，采用光纤到户，利用无源光器件，采用波分复用和无源光功率分离技术灵活组网。基于ATM的PON称为APON，APON系统的核心是在PON上采用TDMA方式传输ATM信元，物理层上下行方向一般采用TDM/TDMA技术。APON可提供全业务接入能力、灵活的业务接入接口和提高带宽利用率，满足不同用户的需求。但APON标准不刊登本地环，并具有缺少视频传输功能、结构复杂、造价昂贵等不足。基于Ethernet（以太网）的PON称为EPON，EPON技术是基于APON技术提出的，它利用以太网技术，将ONU（光网络单元）取代用户侧SONET分插复用器和路由器，OLT（光线路终端）取代端局的SONET分插复用器和ATM交换机。EPON技术具有前端设备和维护费用低、网络结构灵活、允许多层安全保证等特点。同时EPON现在已经实现实时话音传输中和IP图像业务传输平台等技术挑战。1.3.2 ADSL接入方式ADSL 接入技术方式可直接利用现有的电话线路，通过ADSL MODEM后进行数字信息传输。ADSL用频分复用或回馈抑制在电话线中创建多个信道。ADSL复用下传信道，双工化，将信道分块，给每块加上错误码，然后发送数据，接收端根据误码和块长纠错。因此，凡是安装了电信电话的用户都具备安装ADSL的基本条件（只要当地电信局开通ADSL宽带服务），安装时用户需拥有一台ADSL MODEM（通常由电信提供，有的地区也可自行购买）和带网卡的电脑。ADSL的最大理论上行速率可达到1Mbps，下行速率可达8Mbps。电信ADSL优点是工作稳定，出故障的几率较小，一旦出现故障可及时与电信(如拨打电话1000)联系，通常能很快得到技术支持和故障排除。带宽独享，并使用公网IP，用户可建立网站、FTP服务器或游戏服务器。电信ADSL不足是ADSL速率偏慢，以512Kbps带宽为例，最大下载实际速率为87KB/s左右，即便升级到1M带宽，也只能达到一百多KB。对电话线路质量要求较高，如果电话线路质量不好易造成ADSL工作不稳定或断线。1.3.3 有线通接入方式有线通这种接入方式它直接利用现有的有线电视网络，并稍加改造，便可利用闭路线缆的一个频道进行数据传送，而不影响原有的有线电视信号传送，其理论传输速率可达到上行10Mbps、下行40Mbps。有线通利用电脑和有线电视网通过有线网络中心联入因特网，实现国际互连网Internet的接入。由于通过有线电视网接入因特网是一种宽带接入，因此cable modem与因特网就会一直保持着连接，这样与cable modem直接连接的电脑就必须要拥有一个固定的IP地址，所以cable modem与有线电视网连接好后，还必须对与cable modem连接的网卡进行网络参数的设置，以便给网卡分配一个固定的IP地址，同时设置好DNS参数。有线电视上网还必须要求用户是有线广播电视台的网络成员，而且用户所在的上网地点必须是在已经开通的双向回传功能的小区内，如果用户所连接的有线电视网络不具有双向回传功能，用户就不能通过有线电视网来接入因特网。在安装方面，用户可询问当地有线网络公司是否可开通有线通服务。设备方面需要一台Cable MODEM和一台带10/100Mbps自适应网卡的电脑。有线通优点是尽管理论传输速率很高，但一个小区或一幢楼通常只开通10Mbps带宽，同样属于共享带宽。上网人数较少的情况下，下载速率可达到200300KB/s。最大好处是无需拨号，开机便永远在线。有线通不足是目前开通有线通的地区还不多，普及程度不够。由于带宽共享，上网人数增多后，速度会下降，且初装费用较高。 1.3.4 小区宽带(FTTZ+LAN)接入方式小区宽带(FTTZ+LAN) 是目前城市中较普及的一种宽带接入方式，网络服务商采用光纤接入到楼（FTTB）或小区（FTTZ），再通过网线接入用户家，为整幢楼或小区提供共享带宽（通常是10Mb/s）。在安装上，这种宽带接入通常由小区出面申请安装。用户可询问所居住小区物管或直接询问当地网络服务商是否已开通本小区宽带。这种接入方式对用户设备要求最低，只需一台带10/100Mbps自适应网卡的电脑。 目前，绝大多数小区宽带均为10Mbps共享带宽，这意味如果在同一时间上网的用户较多，网速则较慢。但多数情况下平均下载速度仍高于电信ADSL。小区宽带(FTTX+LAN)优点是初装费用较低（通常在100300元之间，视地区不同而异），下载速度很快，通常能达到上百KB/s，很适合需要经常下载文件的用户，而且没有上传速度的限制。小区宽带(FTTX+LAN)不足是这种宽带接入主要针对小区，因此个人用户无法自行申请，必须待小区用户达到一定数量后才能向网络服务商提出安装申请，较为不便。不过一旦该小区已开通小区宽带，那么从申请到安装所需等待的时间非常短。此外，各小区采用哪家公司的宽带服务由网络运营商决定，用户无法选择。多数小区宽带采用内部IP地址，不便于需使用公网IP的应用(如架设网站、FTP服务器、玩网络游戏等)。由于带宽共享，一旦小区上网人数较多，在上网高峰时期网速会下降。目前，发达国家的大城市商业区正在逐步实现将光纤敷设到大楼，并要尽早实现光纤到办公室、光纤到桌面，新开发区的新建线路直接采用光纤，已实现光纤到路边，作为过渡方式，采取光缆和电缆混合组网的方式也不失为是一种经济实用的形式。而在城市住宅区，“光纤到户”是宽带接入网发展的最终目标。一般来说，实现“光纤到家”的成本很高，一般国家都是先发展光纤到用户附近的路边(FTTC)和光纤到大楼(FTTB),然后再向光纤到家(FTTH)过渡。目前，发达国家中只有日本根据自己的条件，最先提出在2015年实现光纤到家庭的目标。 综合以上分析，建立小区宽带局域网需要考虑的因素是：快速的传输速度、安全的访问控制和多媒体网络应用。而以太网技术一直是流行的宽带接入方法，因为以太网作为小区宽带接入方式，它不仅有巨大的网络基础和长期的经验知识；而且目前所有流行的操作系统和应用都与以太网兼容，性能价格比好、可扩展性强、容易安装开通以及可靠性高的优点；同时以太网接入方式与IP网很适应。鉴于小区客户的经济承受能力，结合当地总体布局、网络结构、规模容量，充分考虑建设成本和网络的灵活性。所以我们提出了较为全面小区宽带接入网方案，是采用星型的网络拓扑结构和FTTZ+LAN（光纤到小区局域网）的接入方式，同时采用PON（无源光纤网络）接入技术作FTTZ+LAN接入技术的支撑，而在局域网设计中采用以太网技术。1.4以太网技术以太网是一种基带局域网技术，采用载波多路访问和碰撞检测（CSMA/CD）机制，是当今局域网最通用的通信协议标准。该标准定义了在局域网（LAN）中采用的电缆类型和信号处理方法。以太网在互联设备之间以100/1000Mbps的速率传送信息包，由于其低成本、可靠性高以及高带宽而成为应用最为广泛使用技术。1.4.1百兆以太网百兆以太网又称快速以太网，其协议标准为IEEE 802.3u，可支持100Mb/s的数据传输速率，并且支持共享式与交换式两种使用环境，在交换式以太网环境中可以实现全双工通信。IEEE 802.3u在MAC子层仍采用CSMA/CD作为介质访问控制协议，并保留了IEEE 802.3u的帧格式。其基本思路是：保留所有旧的分组格式，接口以及程序规则，只是将位时从100ns减少到10ns，并且所有的以太网均使用集线器。传统以太网采用曼彻斯特编码，其优点是具有自带时钟特性，能够将数据和时钟编码在一起。目前百兆以太网制定的三种有关传输介质分别是：100Base-TX 、100Base-FX、100BASE-T4。而100BASE-T4使用的是4对3类非屏蔽双绞线，不适用于目前小区宽带发展的要求。100Base-TX是使用两对5类非屏蔽双绞线或1类屏蔽双绞线，一对用于发送数据，另一对用于接收数据，最大网段长度为100m，布线符合EIA568 标准；采用4B/5B 编码法，使其可以125MHz 的串行数据流来传送数据；使用MLT-3（多电平传输-3）波形法来降低信号频率125/3=41.6MHz。100Base-TX是100Base-T中使用最广的物理层规范。100Base-FX使用的是多模（62.5或125m）或单模的光缆，连接器可以是MIC/FDDI连接器、ST连接器或廉价的SC连接器；最大网段长度根据连接方式不同而变化，例如，对于多模光纤的交换机-交换机连接或交换机-网卡连接最大允许长度为412m，如果是全双工链路，则可达到2000m。100Base-FX主要用于高速主干网，或远距离连接，或有强电气干扰的环境，或要求较高安全保密链接的环境。1.4.2 千兆以太网技术千兆以太网技术作为一种高速以太网技术，给用户带来了提高核心网络的有效解决方案，这种解决方案的最大优点是继承了传统以太技术价格便宜的优点。千兆技术采用了与100M以太网相同的帧格式、帧结构、网络协议、全/半双工工作方式、流控模式以及布线系统。由于该技术不改变传统以太网的桌面应用、操作系统，因此可与100M的以太网很好地配合工作。千兆以太网技术有两个标准：一是IEEE 802.3z（定义1000Base-LX、1000Base-SX、1000Base-LH和1000Base-ZX），二是IEEE 802.3ab（定义1000Base-T），它们分别用在规范光纤和非屏蔽线缆上传输千兆信号。千兆以太网有以下特点：（1）简易性：千兆以太网继承了以太网、快速以太网的简易性，因此其技术原理、安装实施和管理维护都很简单。（2）扩展性：由于千兆以太网采用了以太网、快速以太网的基本技术，因此由100Base-T升级到千兆以太网非常容易。（3）可靠性：由于千兆以太网保持了以太网、快速以太网的安装维护方法，采用星型网络结构，因此网络具有很高的可靠性。（4）经济性；由于千兆以太网是100Base-T的继承和发展，作为其升级产品，千兆以太网大量应用于现实生活中，与ATM等宽带网络技术相比，其价格优势非常明显。（5）可管理维护性：千兆以太网采用基于简单网络管理协议（SNMP）和远程网络监视（RMON）等网络管理技术，使千兆以太网的集中管理和维护非常简便。（6）广泛应用性；千兆以太网位局域主干网和城域主干网（借助单模光纤和光收发器）提供了一种高性能价格比的宽带传输交换平台，使得许多宽带应用能施展其魅力。例如在千兆以太网上开展视频点播业务和虚拟电子商务等。以太网技术是比较成熟的技术，拥有国际标准，支持普通用户，支持三网合一，向新技术新业务的扩展能力强，带宽扩展能力强，可扩展到万兆。5类线双线入户，适合用户密度高，业务复杂，是网络发展的最理想模式。造价虽高，但是标准完善成熟，发展前景好，这也是小区电宽带业务发展的最终方向。目前光缆网络已经比较发达，主干网络为光缆网络，通过一对光缆进行双向上网信号的收发，在这对光缆两端加一对光纤收发器，负责对双向上网基带信号的光调制和光解调，在用户接入端铺设5类线，通过5类线分配到单个用户。从而就可以为建立起一个小区宽带网设计提供了理想规划方案做了一个良好的选择。1.5 FTTX+LAN、ADSL、VDSL接入技术比较1.5.1 ADSL接入技术 ADSL由于可直接利用电话线改装，不受地域的限制且接入成本低，所以目前发展比较快。ADSL技术存在以下缺点：传输速度和线路距离密切相关，线路质量不好或传输距离远，传输速率都会下降，且稳定性变差，易断线。线路之间存在窜扰等现象，很容易影响传输的稳定性，造成无法开通或者速率上不去等问题。 较低的传输速率限制了高等级流媒体应用和HDTV等业务的开展。 非对称特性不适于企业事业和商业环境。 由于ATM设备成本较高，因而ADSL/ATM设备成本仍较高。 对于视频应用，用户数和传输距离迅速减少。1.5.2 VDSL接入方式VDSL技术是在ADSL技术上发展而来，其基本原理和ADSL类似。早期的VDSL主要是基于ATM的成本以及伴随ATM而来的复杂性导致这种VDSL并没有发展起来。近来，一种基于以太网的VDSL（又称EoVDSL)技术结合了2层以太网和VDSL物理层的特点，避免了ATM的复杂性和传统以太网的传输距离限制，获得了较好的性价比，受到广泛的注意。VDSL的主要特点如下：l 既可以工作在非对称方式，又可以工作在对称方式，适合于企业事业和商业环境，支持高等级流媒体应用和HDTV等宽带业务。l 与IP技术自然融合，可以充分利用以太网所具有的一些优势。l 功率低，离用户距离近，线间干扰相对比较小。l 设备不必是ATM为基础的，开销低，因而比ADSL的成本低。l 传输距离较以太网远，比ADSL近，覆盖范围广，有利于提高普通以太网的用户实装率。其接入网设备可以集中设置，不必放在楼道内，可以有效降低维护成本。l 由于涉及安装的设备较少，敷设速度较快。l EoVDSL的主要缺点是由于其2层采用以太网协议，因此以太网所具有的基本问题，诸如可管理性，安全性，QoS等问题叶同样具有，需要妥善处理。l 对于已敷设IP城域网的网络环境，将IP城域网与VDSL技术相结合可以提供结构简单、低成本的宽带混合接入方案。1.5.3 FTTX+LAN接入方式 FTTX+LAN接入方式是采用以太网技术，它是用光缆+双绞线对小区进行综合布线，避免了各种干扰，所以稳定性更好。LAN接入技术简单高效，可为用户提供10Mbit/s宽带到桌面，也可以根据需要从10Mbit/s升级到100Mbit/s,设备成本较低，适合企业、商务楼和新建楼宇的宽带接入。其主要缺点如下： （1）LAN由于采用以太网接入方式，在地域上受到一定限制，只有已经铺设了LAN的小区才能够使用这种接入方式。 （2）只能承载IP业务，因此它的未来将取决于用户对实时性业务的需求程度于Everthing over IP相关技术的发展。 （3）当同时上网的用户比较多时，用户使用效果满意度将降低。 （4）对于一般用户而言，目前的计算机还是太复杂，太昂贵。 （5）以太网所有技术都存在传输距离的限制。吉比特以太网即使是使用单模光纤，最大的传输距离也只有3km，远不能满足组成城域网或广域网的需要，因此不适合大规模的应用，而主要是面向大的商业用户、集团用户或需求比较集中的住宅用户群。 （6） ADSL、VDSL两种接入手段采用普通电话双绞线，省去了大量的综合布线成本，可维护性高，同时也没有安装率问题的困扰，可以根据用户发展情况随时扩容。ADSL和VDSL覆盖范围不同，提供的宽带不同，二者之间是一个互补的关系。LAN接入技术简单高效，成本低廉，FTTX+LAN是未来宽带接入发展的方向。第二章 天和小区宽带接入网设计2.1 天和小区相关情况在我们规划的天和小区内目前共有8幢单元楼房，438个住户，由于天和小区所在地位于工业生活区，各种设施比较完善，交通设施比较便利，根据我们对天和小区地理环境的实地考察，对小区大致的系统的分析，得出某某小区的一些情况。单元楼宇住户如表2-1所示。表2 -1 单元楼宇住户楼号一栋二栋三栋四栋五栋六栋七栋八栋住户64466444664468422.2 天和小区用户需求分析在结合本小区的的实际情况后我们得出了宽带用户数量预计，如表 2-2所示。表 2-2 宽带用户数量预计楼号用户一栋二栋三栋四栋五栋六栋七栋八栋住户6446644466446842宽带用户数量预计58 42 56 40 60 40 62 40随着国民经济的飞速发展和生活水平的提高，天和小区用户对信息渴望程度也越来越重视，用户对各种宽带接入业务（高速数据通信、多媒体、VOD视频点播、远程医疗诊断、远程教学、居家办公、家庭娱乐和高清晰数字电视）的需求也在不断的增加，而我们设计的小区也正是在这种基础的前提上考虑的。在本小区宽带接入网设计中不仅为用户提供宽带上网业务：高速数据通信、多媒体、VOD视频点播、居家办公、家庭娱乐和高清晰数字电视，而且还能开展其他数据增值业务，让小区用户通过上网了解国内外经济形式，在网上捕捉商机，收发邮远程数据处理、监测控制及发掘新的市场空间。本网络规划不仅可以为小区提供足够的带宽，实现高质量的数据接入业务，而且这个规划的网络也具备良好的扩展、升级能力和提供快捷、稳定的网络带宽，同时还有效支持三网合一的业务需求。2.3小区宽带接入网拓扑规划由于本小区是一期工程，考虑到以后小区的扩展建设和设备的冗余，所以我们的网络中心机房建在本小区的第五栋单元楼的左边，因为放在那里对本小区的宽带连接也比较方便，对以后的二期、三期工程的网络建设布线也方便。在本小区宽带网规划设计中，整个主干网络我们采用IEEE802.3z 1000BASE-SX的标准，接入网络我们采用为IEEE 802.3u 100BASE-TX的标准。而网络设备中的中心交换机、路由器、防火墙我们统一放在网络中心机房中，接入交换接则放在每栋楼的楼道入口，这样就可以给我们在布线方面带来很大的方便和经济。天和小区宽带接入网规划拓扑如图2-3所示。图2-3宽带接入网规划拓扑图2.4 网络设备的选型主干网实际上是中心交换机与服务器之间的连接信道。对于交换式以太网来说，其带宽有10M/100M/1000M三种。对于本方案而言，根据该网络规模和应用特点并结合小区的意愿，主干带宽拟按1000M考虑。中心交换机与服务器之间，根据服务器的规模和应用类型在100M或1000M之间选择，而中心交换机与各个楼群的接入交换机之间宜采用100M全双工方式。本小区规模不是十分庞大且地域不是太分散的小区局域网，所以我们在设计中尽可能减少交换机的级连级数，以免增加延时。（1） 中心交换机图 2-4 D-Link DES-3024交换机D-Link DES-3024交换机是一款具备卓越数据转发能力的交换机，其配置形式可以堆叠，具有352G超大背板容量使得DES-3024所有端口均具备全线速交换能力，从根本上消除了网络拥挤的问题，保证了各个用户之间交互通信畅通无阻，从而轻松实现各种网络应用的统一承载。不仅如此，DES-3024提供了千兆（光纤）端口，实现了系统骨干网的高速通信；同时对RIP， OSPF， IPX-RIP， Apple Talk Routing等路由协议的全面支持，保证了各部门之间的网络通畅，为建立理想的高速宽带接入网打下了良好基础。其次，DES-3024交换机具有丰富的接口类型， mini GBIC模块支持千兆以太网技术IEEE 802.3z（1000Base-LX）标准，用以连接到网络中心；同时还提供了24个接口标准为IEEE 802.3u（100Base-TX）模块用于连接到小区建筑楼内接入交换机。由于设计基于真正的分布式交换体系结构，所有接口模块均在本地进行二层交换处理，所有接口模块均可热插拔，电源模块可实现冗余备份。DES-3024系列还支持VRRP、生成树、端口聚合等标准链路冗余功能特性，在优化网络性能的同时，进一步提升了小区宽带网络的可靠性和稳定性。 另外，与其它同类型的交换机相比DES-3024交换机具有一个突出的特点就是将高性能与高安全相结合，对网络中的多种应用它都能够提供全面的支持。DES-3024交换机还支持丰富灵活的动态VLAN策略，支持VLAN划分，支持GARP/GVRP，并提供QoS技术，为网络的正常运行提供了充分的服务质量保证。利用DES-3024交换机的IP过滤功能，不仅能够让用户更精确地控制带宽，还能确保IP网络免遭网络侵入。而且所有模块支持热插拔，提高了系统的可靠性和可用性。中心交换机在网络中处于核心的地位，交换机功能的强弱决定了网络的整体性能。在此方案中我们选用了D-Link DES-3024中心路由交换机担当网络主干交换机。而且在本方案设计中小区从电信接入需要2台D-Link DES-3024中心交换机，这样才可以满足小区单元楼内接入交换机接入的需求和冗余。小区的中心交换机我们选择用堆叠连接技术，方法是将随机所附堆叠电缆的一端插入第一台的中心交换机堆叠模块的DOWN端口，另一端插入第二台的中心交换机堆叠模块的UP端口。这两台交换机堆叠在一起之后就像一个模块化交换机一样，当作一个单元设备来进行管理，这样就可以非常方便地实现对网络的扩充。（2） 接入交换机图 2-5 D-Link DGS1224T交换机D-Link DGS1224T交换机是一款能够提供2Gbps链路，支持备份冗余电源，采用模块化配置，具备三层数据包路由和广泛的管理能力，可以为网络带来更多功能和灵活性。D-Link DGS1224T 交换机的传输速率为100Mbps，网络标准是以太网（线缆）/IEEE 802.3u流量控制，D-Link DGS1224T 交换机的端口数量有24个10/100BASE-T百兆端口，2个千兆光缆端口的连接，传输模式有全双工和半双工自适应，配置形式可以级联；D-Link DGS1224T 交换机可以用于中心交换机骨干连接的端口，链接主干网的支持以太网千兆IEEE 802.3z标准，同时基于端口的VLAN加强了网络性能和安全性。因此在本小区方案设计中采用的接入交换机是D-Link DGS1224T交换机，除了考虑D-Link DGS1224T交换机功能外，还考虑它与同类型接入交换机的性价比，它在市场上销售的价格为4000元左右，这个价位在同类型交换机中属于中等，性能在同类交换机中比较突出，当然选择它不只是价格和性能方面的原因，同时还结合了小区网络综合因素。它作为节点交换机相当于中心机房交换机的中转站，它的高效运行将保证核心交换机的优势能够延伸到各网络分支。由于接入交换机选择的是24个端口的，单个交换机不够小区每栋单元楼内用户使用，所以在本小区里面的一栋楼、三栋楼、五栋楼和七栋楼中每栋楼都需要安置3台接入交换机，在这四栋楼里面都有三个楼梯口，刚好每台交换机可以放在每栋楼的楼梯（楼道）口。在本小区里面的二栋楼、四栋楼、六栋楼和八栋楼中每栋楼都需要安置2台接入交换机，分别放在每栋楼的楼梯（楼道）口。这样就可以合理的满足小区单元楼内用户的需求。（3） 宽带接入服务器图 2-6 Radium BAS宽带接入服务器Radium BAS宽带接入服务器是为了响应小区发展的要求，结合增强效能、节省空间的功能特点而研制生产的高技术含量的宽带接入服务器。该产品具有一系列的特点与优势，如：文件共享服务、文件传输服务、强大的用户管理能力、连接汇聚能力、灵活的接入方式、高速硬件转发能力、开放的软件结构和上网服务等。通过光纤以全双工155Mbps、PVC方式接入ATM交换机。具体来说，Radium BAS支持以太网宽带用户接入方式，用户也可以通过PPP连接（具体可选用PPPOE或PPPOA协议）接入。在PPP连接有效期间，Radium BAS宽带接入服务器完成用户与所访问的ISP之间的上下行数据报文转发，以实现用户对ISP和Internet的访问。BAS的FPGA硬件转发引擎保证了高速的数据报文转发能力。此外，该产品支持用户对多ISP的选择，还可根据实际需求对PPP用户之间的互通进行任意的控制，实现快速互通或禁止互通。由于BAS所支持用户宽带接入方式，用户可以使用以太网上网方式，这样用户可以直接以自己的PC通过Ethernet上网，其接入操作方式与现有的拨号上网方式相同，用户提供ISP号码、帐户名和密码，网络进行认证和接入服务。宽带接入服务器和中心交换机都是整个系统的核心，而且趋于经济方面和小区宽带网建设是成本考虑，选用Radium BAS宽带接入服务器作主干网服务器是很适合的。（4） 路由器图 2-7 Hillstone SR-560路由器Hillstone SR-560路由器是具有高性能安全的，针对多用户数、多接入点、多种应用等市场需求而设计的产品。Hillstone SR-560高性能安全路由器具有以下特性：支持流量负载均衡，支持静态路由，RIP动态路由以及策略路由，支持自动线路备援，基于ICMP和HTTP GET两种方式进行网络可达性检测，当设备判断出一条线路掉线时会立刻启用备份线路连接，同时支持计划任务，根据预约时间自动断线和启用备用链路，每个WAN口支持多达8条ADSL链路；独创分区管理技术，为设备每个LAN端口可划分到6-24个独立分区中，在设备配置时可针对每个不同分区实施不同的安全规则和带宽管理策略，并可对不同区之间的访问加以控制，内建DHCP服务器，为每个LAN分区获取不同的IP地址段，内建一个千兆DMZ接口，支持对外开放服务器功能和端口映射功能。若未启用，此接口将作为LAN口使用，端口速率自适应(10/100/1000M)和端口MDI/MDI-X(正反线)自适应； StoneOS系统将复杂的防火墙配置易用化，使用户能够轻松管理和维护设备，得到专业级安全保护，强大的抗攻击能力。Hillstone SR系列安全路由器具备高性能的数据吞吐率和并发连接数，可有效抵御SYN Flood、DDoS等攻击行为，设备基于最先进的SPI(状态包检测)技术，处理效率更高、更安全，内建ARP防御机制，在完成内网客户端和设备间IP/MAC地址的自动绑定后，即可防止ARP病毒攻击；基于协议的QoS：StoneOS可对识别的100多种网络协议进行带宽管理，能为HTTP/POP/SMTP等协议分配较大带宽保障，基于会话数的管理：通过对IP的会话数进行限制，可有效抑制多进程下载工具和病毒、攻击爆发所带来的高会话数威胁，彻底解决ARP攻击。在本方案设计中我们采用Hillstone SR-560路由器。它不仅可以有效地隔离广播风暴并可以进行协议过渡，还可以连接主干和支持中心网络的广域连接。此外，还提供了很好的协议控制、流量统计、带宽分配等功能。 （5）防火墙 图 2-8 Palo Alto Networks下一代防火墙 Palo Alto Networks下一代防火墙的特性与优点是：可以应用检测与控制，准确的识别通过网络的应用程序；可以在防火墙及安全架构的战略中心处对应用程序的使用进行基于QOS策略的控制；同时它也是一个可视化工具，可定制的报告与日志记录功能都可为网络管理员在决定如何处理网络中的应用程序时提供更详细的依据；应用浏览器，可以帮助网络管理员迅速查看是何种应用程序，其表现特性是什么，以及其所采用的主要技术等，可为网络管理员决定如何处理网络中的应用程序提供更详细的依据；基于用户的检测与控制，与微软活动目录（AD）的无缝集成提高了应用程序的检测与基于活动目录中用户及群组信息（而非只能依靠IP地址）的策略创建；具备Citrix与终端服务检测是功能，可收集隐藏在Citrix及终端用户后的用户身份，并将之用于基于策略的应用程序、用户与内容的检测与控制，实时威胁防范，探测与阻止病毒、间谍软件、蠕虫及应用程序漏洞，控制网络活动，实现实时防范，同时极大的提高了网络性能。基于防火墙我们选用型号为Palo Alto Networks的下一代防火墙，这个防火墙可以使网络管理员得以对应用程序以及企业网络中的内容进行基于用户的检测与QoS（服务质量）策略控制，可精确的识别采用各种端口、协议及逃避策略或SSL加密的应用程序，并可对流量内容进行扫描，以阻止威胁并防止数据泄漏，使得小区网络结构更加优化，运行环境更加安全。其处理能力可高达10Gbps，同时不会对其它性能产生任何影响。部署了Palo Alto Networks后，小区可以大量使用对其业务与用户安全的Web2.0应用程序，同时又为设备降低成本。2.5 传输介质的选型（1）双绞线双绞线分为屏蔽双绞线与非屏蔽双绞线。屏蔽双绞线有金属层蔽层，可减少辐射，防止信息被窃听，也可阻止外部电磁干扰的进入，使屏蔽双绞线比同类的非屏蔽双绞线具有更高的传输速率。至于屏蔽双绞铜线（STP），从理论上说，抗干扰和传输距离都比UTP好，但它要求有较高的接地性能，从工艺上一般很难保证，这也是STP未能广泛流行的主要原因。而非屏蔽双绞线广泛用于以太网路和电话线中；具有以下优点：无屏蔽外套，直径小，节省所占用的空间,价格也相对便宜；重量轻，易弯曲，易安装；将串扰减至最小或加以消除；具有阻燃性、独立性和灵活性，适用于结构化综合布线。室内布线常用的双绞线都是非屏蔽的双绞铜线（UTP），其原因和传输速率、传输距离密切相关，虽然在100米以内五类非屏蔽双绞线可以传输100Mbps，但它不适合作连接楼与楼之间的主干电缆，其原因有：没有屏蔽层的铜线在室外很容易感应雷电而产生干扰，甚至损坏设备；UPT因受室外恶劣环景的影响，容易老化，寿命短。按照PDS 布线规则，UTP线缆不容许超过100米，所以也不适合作室外主干电缆。而五类非屏蔽双绞线（UTP）适合目前小区或室内综合布线中最常用的一类传输介质，该类电缆增加了绕线密度，外套一种高质量的绝缘材料，主要用于100base-T和10base-T网络。所以在本小区宽带网设计方案中，在接入交换机中网络标准我们采用的是以太网IEEE 802.3u，这个标准用于规范了非屏蔽线缆上传输信号，所以在各栋楼层的分节点选择用五类非屏蔽双绞线（UTP）连接到小区各用户。在接入层我们采用五类非屏蔽双绞线（UTP）连接到小区各用户，但也保留超五类和光纤接入的扩展途径，以确保能够在飞速发展的科技进程中保留足够的扩展空间。（2）光缆图 2-9 光缆光缆一般具有数百Mbit乃至数十Gbit的高带宽，传输距离远、抗干扰能力强和安全性好等显著特点，是目前网络主干的理想传输介质；光缆按模式可分为多模和单模两种。单模光纤的色散小,能把光以很宽的频带传输很长距离，可容许单模光束传输，可减除频宽及振模色散的限制，但由于单模光纤芯径太小，较难控制光束传输，主要利用激光才能获得高频宽。单模光纤相比于多模光纤可支持更长传输距离，可支持超过5000m的传输距离。从成本角度考虑，由于光端机非常昂贵，故采用单模光纤的成本会比多模光纤电缆的成本高。多模光纤由于芯径较大，故可使用较为廉价的耦合器及接线器。基本上有两种多模光纤，一种是梯度型另一种是阶跃型，对于梯度型光纤来说，芯的折射率于芯的外围最小而逐渐向中心点不断增加，从而减少讯号的模式色散，而对阶跃型光纤来说，折射率基本上是平均不变，只有在包层表面上才会突然降低。阶跃型光纤一般比梯度型光纤的带宽低。在网络应用上，最受欢迎的多模光纤为62.5/125。相对于双绞线，多模光纤能够支持较长的传输距离，在1GpS千兆网中，多模光纤最高可支持550米的传输。多模光纤其相关产品的价格也逐年大幅度下降，目前是业界作网络主干的理想传输介质。就目前小区宽带网络的应用情况而言，网络对的信息量和承载传输量将会越来越大。因此，无论从目前或者将来的发展观点看，主干网传输介质必须具有承载千兆速率的能力。另外，作为户外传输介质，还需具备较好的抗干扰、可靠性、抗老化和高寿命等特点。然而具备上述这些特点的传输介质目前只有光缆可满足要求。综上所述，整个主干网络我们采用梯度型千兆多模光纤。网络中心交换机再用千兆多模光纤连接到各栋单元楼内的接入交换机，再经过各栋单元楼内的接入交换机的分节点用五类非屏蔽双绞线UTP连接到小区各用户。同时，骨干网采用IEEE802.3z 1000BASE-SX标准的同时，也为IEEE802.3z 1000BASE-LX标准留下改造空间，便于将来小区的扩展。1000BASE-SX就是针对工作于多模光纤上的短波长（850nm）激光收发器而制定的IEEE802.32标准，1000BASE-LX就是针对工作于单模或多模光纤上的长波长(1300nm) 激光收发器而制定的IEEE802.3z标准。2.6 小区IP地址的分配根据天和小区的和结合网络TCP/IP应用中，网络用户PC只有在获取了网络地址，才可以和其他的网络用户进行通讯，而在实际应用中，经常会遇到问题：比如IP地址发生冲突、由于网关或DNS服务器地址的设置出现错误而无法访问网络中的其他主机、由于机器的经常变动位置而不得不频繁地修改IP地址。基于这些在网络管理中所存在的种种问题，我们选择以动态的方式实现客户IP自动配置。配置DHCP服务协议：DHCP称为动态主机配置协议。DHCP服务允许工作站连接到网络，为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址，以及一个DNS服务器的IP地址。IP租用请求：小区客户计算机如果设置为自动获取IP地址，那么在它开机时，就会检查自己当前是否租用了一个IP地址，如果没有，它就向DCHP请求一个租用，由于该客户计算机并不知道DHCP服务器的地址，所以会用55作为目标地址，源地址使用，在网络上广播一个DHCPDISCOVER消息，消息包含客户计算机的媒体访问控制（MAC）地址（网卡上内建的硬件地址）以及它的NetBIOS名字。IP租用提供：当DHCP服务器接收到一个来自客户的IP租用请求时，它会根据自己的作用域地址池为该客户保留一个IP地址并且在网络上广播一个来实现，该消息包含客户的MAC地址、服务器所能提供的IP地址、子网掩码、租用期限，以及提供该租用的DHCP服务器本身的IP地址。 IP租用选择：如果子网还存在其它DHCP服务器，那么客户机在接受了某个DHCP服务器的DHCPOFFER消息后，它会广播一条包含提供租用的服务器的IP地址的DHCPREQUEST消息，在该子网中通告所有其它DHCP服务器它已经接受了一个地址的提供，其他DHCP服务器在接收到这条消息后，就会撤销为该客户提供的租用。然后把为该客户分配的租用地址返回到地址池中，该地址将可以重新作为一个有效地址提供给别的计算机使用。 IP租用确认： DHCP服务器接收到来自客户的DHCPREQUEST消息，它就开始配置过程的最后一个阶段，这个确认阶段由DHCP服务器发送一个DHCPACK包给客户，包括一个租用期限和客户所请求的所有其它配置信息，至此，完成TCP/IP配置。 第3章 小区网络安全配置3.1 网络出入口安全小区宽带网接入中我们安装了防火墙、DefensePro 3020和客户端部署安装杀毒软件安全等设备。在上述网络规划中我们选用的防火墙可以实时探测与阻止病毒、间谍软件、蠕虫及应用程序漏洞对来自网络中的威胁起到一个实时防范作用，同时也能控制网络活动，对文件与数据起到一个过滤作用，能充分利用防火墙中的App-ID进行深层应用程序检测，从而降低因未授权文件与数据传输带来的风险。DefensePro 3020部署在小区网络的核心交换机上，具有最大化的吞吐率和先进的安全智能，能够从小区宽带接入网处实时隔离、拦截和防止攻击。确切的说，DefensePro3020能够以 3 GB/秒 的速度针对病毒、蠕虫、木马和拒绝服务攻击提供安全保护，使各网段的安全性大大提高。客户端安装杀毒软件，可以有效安全地防止病毒入侵，同时客户也应该及时更新杀毒软件和及时对宽带网电脑端口进行杀毒。同时，网络地址转换NAT技术可用来缓解IP地址短缺问题和实现TCP负载均衡功能。IP伪装技术是NAT的一种实现技术，它通过使用边界路由器的IP地址可以把子网中所有主机的IP地址隐藏起来，因此它即可以作为一种安全手段使用，借以限制外部对内部主机的访问；还可以用来实现虚拟主机和虚拟路由，以便达到负载均衡和提高可靠性的目的。3.2 服务器系统的安全和鉴权系统由于我们采用华为生产的Radium BAS宽带接入服务器为主干网服务器，我们可以采用具有鉴权功能的服务器和会自动更新服务预防操作系统的漏洞，及时为系统打上相应的补丁。这个服务器也主要是用于完成小区用户的鉴权、认证等工作。也可以及时对网络中的