淺談小區接入網技術

【摘要】近幾年，隨著社會的發展，計算機網絡逐漸普及，漸漸向網絡信息的方向發展，對人類社會產生了極大的影響，由此可見，網絡已經融入到了我們的生活當中。

【關鍵詞】接入網；小區；寬帶

【中圖分類號】TN915.65 【文獻標識碼】A 【文章編號】1672—5158（2012）08—0062-02

一般情況下，在小區內接入寬帶網絡，就可以令連接寬帶的用戶在互聯網上與外界進行聯系，例如發送電子郵件，瀏覽一些網上商城進行網購等。倘若在家里建立家庭局域網，把寬帶網與家庭網絡設備內部組網相互連接，由此，便能夠實現家庭辦公SOHO；倘若小區內的物業管理中心能夠利用寬帶網并與之相連，那么住戶就可以享受智能小區帶給人類全方位的服務。連接寬帶網的用戶還可以根據自己的需要來選擇各種網上增值服務，例如網上金融服務、網上炒股、網絡游戲、視頻點撥以及網絡教育等等。

一、需求分析

信息化小區作為連接寬帶網絡特定的大用戶群，在業務需求方面主要有以下的需求和特點：

（1）用戶的數據安全性需要得到保證；

（2）要求使用的網絡能夠具備靈活并且良好的計費策略以及用戶管理能力；

（3）用戶要求網絡要有一定的接入速率，且要求要針對不同應用的接入速率限制；

（4）大多數居民都使用Internet網絡，業務主要是以Web和HTTP的部分媒體業務和頁面訪問為主，在不遠到的未來，也極有可能發展對稱交互式媒體業務。

現如今，我國城市內大部分小區都已經開始進行綜合布線工作。在這種情況下，為了滿足高密度住戶的網絡需求，一般都是采用FTTX+LAN的以太網接入方式。它主要是利用了光纖加五類線的接入方式，并且是使用了以太網的接入技術，以此來實現連接寬帶互聯網的目的，形成規模較大且速率較高的家庭局域網。這種接入方式的優點主要是廉價、穩定、持續以及高速。

我國目前的很多內部局域網普遍存在著較多的安全漏洞。譬如說：普通用戶可以進入重要的數據服務器系統；外來人員用便攜式電腦連入住宅網絡對服務器進性攻擊或對數據進行竊取等。為了彌補這些漏洞，采取以下方式來保護網絡安全：

（1）通過網絡操作系統的安全管理加強網絡安全，由于各關鍵業務的數據大多是以文件形式存在于網絡存儲設備上的，因此，要嚴格地限制對存放這些關鍵數據的權限。例如：限定特定用戶在專用的時間段才能登錄、訪問關鍵數據（在Windows系統中，可以通過域用戶管理來實現）。另外，網絡操作系統中都提供了審計功能，可以對關鍵用戶，關鍵數據文件進行審計核查工作；通過對每個內部維護人員分配獨立的賬戶，可以清楚地記錄每次關鍵操作，有利于提高網絡的安全性。

（2）通過交換機設置限制站點對網絡系統的訪問，Cisco交換機提供了MAC（傳輸媒體訪問控制）地址限制功能。在特定的端口進行設置，允許固定MAC地址網卡的包通過。只要工作站網卡MAC地址未被該端口登記，這臺工作站就無法在網絡上工作。這種通過對交換機設置來限制工作站點的方法能夠有效組織非本公司的電腦的非法使用，保護了網絡的安全；

（3）通過虛擬局域網的劃分加強網絡安全，可以根據地理位置將每一棟樓劃分為一個虛擬局域網，將各個子網進行了有效的隔離，各個子網間的通信受到ACL（訪問控制列表）的嚴格控制，有效地保證了核心業務的安全。

二、核心層

寬帶小區中心的設備作為核心層設備，需要提供寬帶小區到局域網的接口處并且將各棟樓以及各個住戶的流量進行匯聚。在這里，作者推薦選擇Cisco的路由器，比較適用于Internet服務供應商以及大中型住宅小區網絡連接用戶。產品檔次與Cisco7609系列基本等同。選用的原則主要是考慮包交換能力和端口的支持能力。

作者推薦使用Cisco7609路由器。因為它比較適用于Internet服務供應商和大中型人口密度比較高的小區。Cisco7609提供多協議數據路由解決方案、撥號訪問、虛擬專網以及語音集成和數據集成等服務。

三、匯聚層

匯聚層選用了華為S3300系列。網絡用戶能夠根據自身的需求來進行選擇。交換機的選擇方面，作者推薦在高密度住戶的樓層采用華為S3328或S3352交換機，能夠根據數量與要求的差異選擇型號。

華為S3300系列交換機是為滿足以太網多業務承載需要而退出的新一代三層以太網交換機，可提供強大的以太網功能服務。S3300系列交換機提供增強型靈活QINQ功能，具備線速的跨VLAN組播復制能力，可滿足樓宇接入、園區匯聚和接入等多種應用場景的需求

Catalyst3300提供多種用戶安全保護功能，支持大ACL表象，支持IP、MAC、端口的組合綁定，支持MAC地址黑洞、端口格力、包過濾、MAC地址學習書目限制、動態ARP檢測、IPSOURCEGUARD等安全技術，支持RADIUS、IEEE802.1X認證、SSH，為網絡穿上了堅實的保護衣。

四、接入層

接入層選用了中興2800S系列，中興2800S系列可滿足企業網絡和城域網的商務樓內、小區匯聚和接入點等多種接入場合的需求，采用固定接口和模塊化接口結合的機器架構，1U高度，結構緊湊小巧，支持交流電源和直流電源，既可入19英寸標準機架，也可以靠近客戶端桌面放置，安裝方便，應用靈活，性價比高。ZXR102800S系列支持端口入口和出口的端口限速。支持VLAN堆疊，增加支持的用戶數目。支持PVLAN，實現用戶隔離。

作者推薦ZXR102826S系列二層以太網交換機上行端口15KV/7.4KA的高壓雷擊保護能力。尤其適用于多雨多雷的地區。

五、安全措施與防火墻

防火墻選用NetScreen-100。Netscreen-100為網絡管理員提供了綜合的網絡流量控制方法，從而實現了高效的網絡流量管理。

Netscreen-100的先進功能之一，優先級管理，就是對帶寬按級別來分配，保證了網絡數據的高效交換要，這就使諸如視屏會議等特定服務和應用，在全部可用帶寬范圍內，可被確保一定比例的帶寬而順暢進行。與此相關的，Netscreen-100同時具有全面的網絡分析能力，如實時的日志記錄，快速準確的報警功能和方便的報表能力。NetScreen-100防火墻的專用ASIC芯片提供存取策略的功能。該功能以硬件方式實現，它比軟件防火墻有著無可比擬的速度優勢。CPU可專門負責管理數據流。由于做到了系統級的安全處理功能，NetScreen-100消除了基于PC平臺的防火墻的需管理多個部件所引起的性能下降的瓶頸。它提供了多功能和高安全性能的無縫隙連接，可自動調整端口速率，使其自適10M和100M。另外，該產品允許用戶在遠程實現加密通信，并且這種VPN功能不影響性能。NetScreen-100防火墻有三個端口-Trusted、DMZ、UnTrusted。分別用于連接Intranet、Internet和DMZ三個網域。它獨創的安全包處理器，將所有的流量策略、安全政策、加密和身份驗證都交給硬件處理，從而大大提高了防火墻的處理性能；并且將包的生成交給軟件處理；將包的路由交給路由器處理，集中實現安全策略下的高速吞吐量。

參考文獻

[1]孫棱，徐征，于沆，于濤.用戶駐地網幾種接入模型的分析與探討[J].吉林大學學報（信息科學版），2006，（04）

[2]李利平.數據通信技術的比較研究[J].長沙通信職業技術學院學報，2004，（03）

[3]王躍.網絡接入技術的應用與安全性分析[J].電腦知識與技術，2005，（12）