- 注册时间
- 2013-3-2
- 最后登录
- 1970-1-1
|
本帖最后由 routeos应用 于 2013-3-11 13:39 编辑
先起个头,慢慢写
routeos在广电机房的应用很少见,但是并不是因为它不够实用,问题就在于它的性价比太高了。过多的就不多说了
先发一个图吧和附件,详细的一天写一点吧,希望大家能用上使用价值和价格差不多的东西。我先上传下附件吧。有什么疑问大家可以提。我慢慢写这个帖子吧。尤其在县级的广电routeros不失为最高性价比的方案。不过更多时候广电不需要这样的方案。
如果全都买正版,软件成本应该在1200左右。稳定性方面可以用vrrp实现双机热备份,硬件可以使用带光扩展的服务器,具体联系研祥。附上串口服务器,某些2b厂商这样功能的东西理论要卖1w,具体的就不说了。
如果用routeos作为解决方案,全都用最好的硬件,保守估计,机房前端的费用应该在20w以内可以全部解决。
可以实现什么功能呢?
1.我具体说说吧,首先可以实现bras功能,对接radius服务器。也可以实现web热点认证,方便手机用户上网,同时防路由。web认证既可以实现在2层,也可以实现在3层。而pppoe只能实现在2层。不过pppoe相当更加成熟稳定。radius可以实现多种计费方式,基于流量,基于时间等等,具体的后面慢慢说吧。
2.实现qinq,做的一用户一vlan,实现用户隔离保证网络安全。
实现绿色上网封锁色情,赌博网站。建议使用opendns,这个dns对色情赌博网站是不解析的。用dns缓存实现加速。这是一个国外的dns。我们为什么就不能做这样的事情呢?作为isp封锁色情网站,赌博网站,反动网站,是他最基本的社会责任。
3.实现多个pppoe链路的接入。广电做isp有个跨不过去的问题,那就是出口问题,电信一般是不会给县级广电出口的,而省网还不够成熟稳定,所以县级广电一般和联通和移动合作。而一个局域网络不能同时存在2台bras,ros通过编程脚步可以很好解决这个问题简单的说就是下面的用户不要更改任何设置就可以拨省网的bras也可以拨联通的bras。具体是通过mangle标记mac实现出口选择的
4.ros还有强大的多线接入,qos。
5.可以搭建内网的vod服务器,其实内容方面广电很强大的,我一直好奇为什么不把ipoe内容发布在以太网vod上。理由varnish实现视频加速。varnish是开源免费的软件。squid也是可以考虑的。这样用户点播一次网上的视频,视频就缓存在varnish上了。下次点播就无需连网了,节省出口带宽。当然也有一些收费的缓存服务软件,不见的不varnish牛b。
6,实现类似电信的广告push,广告的市场有多大,不言而喻。
说一下qinq实现用户vlan隔离的方案
每个终端用户的内层标签在小区交换机上进行封装,在BAS上终结,同时给每个用户开一个账号,在RADIUS系统上进行账号绑定,这样LAN用户就可以像普通ADSL拨号用户一样具有可控性和可管理性。
下面把具体的过程说明一下:
机房前端
(1)采购支持QINQ的小区核心设备。两层VLAN标签的封装
都在这个设备上完成。
(2)规划LAN小区的业务VLAN和管理VLAN。
(3)规划终端用户的VLAN(楼宇交换机上的用户VLAN)。
(4)规划核心交换机和楼宇交换机的IP地址。
(5)做城域网数据,在城域网上做VLAN透传到BAS。
(6)做BAS上的相应数据,按照规划做好数据,做两层VLAN
标签的终结。(图片是routeros跑万兆以太网的测试,只开启单核)
tcp能跑到3g多
(7)在RADIUS上开账号,作对应BAS的格式的账号绑定,绑
定两层VLAN标签,使得一个用户一个账号,而且账号不能混用。
开通时要注意几个问题:
(1)保证安全性:核心交换机和楼宇交换机均要设置用户名
和口令,不要用默认的口令,并由专人定期更改。
(2)数据完整性:要认真填写用户资料表,如有改动及时更
新,保证用户数据的完整准确。
(3)用户可控性:保证所有交换机可以远程登录。没用的设
备端口及时关闭,防止用户私接,乱接,保证用户可控。
(4)楼宇交换机上的用户VLAN要严格按照规划中的数据配
置,否则可能不通。
(5)中心交换机上要配置QINQ,即外层VLAN为规划好的业
务VLAN,内层VLAN为楼宇交换机上所配置的用户VLAN。
改造完成后的效果:
(1)每个用户都有自己的业务VLAN,最大限度地减少了广播
的流量,避免了由于一个用户发生障碍导致大面积故障的问题。
(2)每个合法用户都有自己的账号,每个账号都只能在相应
的设备端口使用,防止了私接的发生和账号盗用。
(3)用户可以需要选择相应的速率和资费政策,可以实现灵
活的资费政策。(图片是routeros跑万兆以太网的测试,只开启单核)
udp可以跑到10g只有
(4)节省了IP地址资源,回收了大量的IP地址。
(5)减小了业务的流量,实现了用户流量的可控性。
(6)可以根据IP地址和在线时间查询到用户的上网账号,有
利于网络的安全管理。
ps:如果是olt+ePON+onu和交换机大标的方式是一样的,关键的是怎么透传到ros下的pppoeserve上。
现有的网络设备大多数都支持snmp协议,而且同时支持标准的MIB库。Mib变量Ipnettomediatable表可以读出设备的arp信息可以实时查询某个mac的上网信息。
附上电信走电信,联通走联通的策略方式
下面写下router的配置 如何批量生成qinq实现一用户一vlan。:for v from=1 to=24 do= {int vlan add name=("vlan".$v) vlan-id=$v int=lan dis=no}
:for p from=1 to=24 do={/interface pppoe-server server add interface=("vlan".$p) authentication=pap,chap default-profile=pppoe disabled=no}
:for t from=1 to=24 do= {
:for v from=1 to=24 do= {int vlan add name=($t . "_cvlan".$v) vlan-id=$v int=("vlan" . $t) dis=no}
}
:for t from=1 to=24 do= {
:for p from=1 to=24 do={/interface pppoe-server server add service-name=($t . "_cvlan".$p) interface=($t . "_cvlan".$p) authentication=pap,chap default-profile=pppoe disabled=no}
}
这是批量生成qinq,比给每个vlan建立一个pppoeserver。账号统一由radius管理
在说一下广电和联通合作的问题,广电有丰富的用户链路,但是没有缺乏以太出口。如果和联通合作,联通一般提供pppoe出口,只是利用广电的链路。广电在这种情况下相当被动,使用routeros就可以很好的解决这个难题,让用户到你这里开户,然后你再把你开的账户密码告诉联通。这个功能花了我不少的精力和小米,无偿写出来真的还是不愿意的,如果你需要的话,联系我吧,有偿收费,不过可以讲下思路。你能自己搞出来算你本事
|
|