NatShell广电网络需求分析及解决方案

蓝海卓越计费+中兴M6000

一、 前言

面临的机遇与挑战 

经过近几十年的发展，中国有线电视业已经具备了相当大的规模。到目前为止,中国有线电视用户数已稳居世界第一位，有线电视网已经成为我国家庭入户率最高的信息工具。 

应该说，为有线电视业带来巨大增值潜力的是Internet业务的空前膨胀、Internet用户的飙长以及用户对带宽的贪婪需求。Internet作为第四媒体已经成为无可争辩的事实。这也为我国有线电视业进一步扩展，成为国家信息通信的支柱平台带来了锲机。 

　　我国有线电视（台）运营商目前面临的最大机遇是如何将在电视媒体所拥有的巨大用户优势转化为在新一代媒体上的用户优势，占领新媒体的市场。假设有线电视运营商能拥有我国未来新增长Internet用户的1/3，则可以继续保持其在媒体领域的优势，成为我国信息产业的不可或缺的支撑平台。

　　在面对诱人机遇的同时，我国有线电视业也面临着巨大的挑战。从国内的情况来看，目前国内有几大网络运营商：中国电信、新联通、移动。中国电信一直是国内网络运营商的巨头，在运营体制、资金积累、管理经验、人才储备等方面都有明显的优势，并且明确提出：宽带接入是中国电信今年的工作重点。新联通经过十年的耕耘，在很多地区已经具备了同电信竞争的实力，移动做为后进入者，虽然基础较薄弱，但是移动具备强大的品牌号召力，以及数量巨大的手机用户群体，完全可以依赖现有的手机用户进行捆绑消费，从而快速争取用户。在面对强大竞争对手的同时，如何充分发挥广电网络原有的优势，进行业务及技术创新，达到迅速发展用户的目的，已经成为广电部门的重点。

二、 网络建设的需求分析

蓝海卓越发现，在广电进行宽带网络接入建设时,网络的基本需求基本可归纳为以下几个方面:

1. 高负荷性：一般一个市或县级的广电，都有上千户甚至几千几万户的用户，在一开始建设宽带业务时，用户数量较少，对负荷要求不高，但随着业务的开展，用户不断的接入网络，当用户数量达到一个较高的数量时，对网络接入的设备就会有较高的性能要求。

2. 高稳定性：由于是给网络用户提供宽带接入服务的，网络内的用户存在各种不同时间上网的需求，这就要求网络不能经常中断，由此对网络接入设备的稳定性提出了极高的要求。

3. 高安全性：用户的网络都是由用户个人自行管理，而不是像网吧一样有网管统一管理，因此内网的攻击，病毒，用户互访的事件，也是层出不穷，要做好宽带运营，对这些安全问题，也需要一个较好的解决方案。

4. 高性价比：宽带运营投入的目的是为赢利，具有较高性价比的设备，能够让宽带运营商更快，更早的收回投资。

5. 可管理、易操作：由于用户的独立性，要求有一个良好的管理系统来对用户进行计费管理，并且要具备良好的可操作性，这样公司的管理，才会更有序。

6. 易于升级维护：随着网络的复杂化，对网络设备及维护的要求也越来越高，因此在构建网络时，就要充分考虑到易升级，易维护的特性。

NatShell 蓝海卓越综合全国数百家客户的成功经验，再结合自身对国内宽带运营的深刻理解，提出了“可管理、可运营、可增值”的广电PPPOE宽带网络解决方案。推出了专门针对广电宽带运营的NatShell G60/G600认证计费系统，配合中兴M6000 路由器，能为运营商提供高质量、高可靠性，高易用性的解决方案，可以极大的简化广电宽带运营商的工作流程，提高用户满意度，具体的解决方案与功能特色如下：

三、 网络建设方案说明

在中心机房安装中兴M6000 BRAS路由器，小区用户通过标准PPPOE的方式进行拨号上网，所有的用户上网认证请求统一通过NatShell NS-G600 认证计费系统进行认证和管理。用户之间采用VLAN进行隔离，也可以使用双层VLAN，即QINQ方式进行隔离。

拓扑图如下:

方案特点及优势说明：

一、 强大的性能：中兴M6000宽带接入服务器专为大型的网络环境开发,是运营商采用较多的设备。

二、 超大带机量：超过几万台的PPPOE带机数量，完全满足县市级广电网络的应用要求。即使用户使用BT，或遇到内网攻击，也能轻易化解。在大型的广电城域网络中,当一台设备带机量不足时,可以通过增加M6000的授权增大带机量,不需要更复杂的网络改造,也不需要多余的投入。

三、 大容量PPPOE服务器：多达数万个的PPPOE并发连接，完全满足整个城区宽带上网用户的上网需求。相比传统的以太网IP网络技术，PPPOE是一种更适用于宽带运营接入的上网方式。作为用户普遍存在一种认知：固定IP是共享带宽，而采用拨号方式的，才是独享带宽。因此采用此种方式进行运营，能带来更多的客户。

四、 内网安全性高：内网用户全部采用PPPOE方式拨号上网，互相之间均为独立PPPOE通道，从而保证了用户之间不能互相访问，一个或几个客户的电脑出现故障或有攻击包，也不会影响其他客户上网。

五、 彻底解决ARP问题：传统的宽带组网方式，采用以太网IP方式来进行小区用户上网和管理，这种方式存在的最大问题，就是ARP欺骗，由于用户电脑的不可管理性，及用户使用电脑水平的不平均，基本上在每个项目上，都会出现ARP问题，虽然可以通过绑定IP/MAC地址的方式进行有效缓解，但是对一些新型的ARP变种，以及用户自行装机或更换电脑以后的情况，仍是无法处理，本方案采用了PPPOE技术，不再使用ARP协议，因此可以彻底的杜绝ARP的问题。

六、 内网用户互不干扰：用户在一个网络之内，可以通过采用OLT+ONU的QINQ，划分VLAN，同时采用NatShell的广电宽带解决方案，用户上网均是通过PPPOE拨号上网，由M6000进行IP地址的分配，再加上VLAN的划分，用户之间是不能相互访问的，从而解决了以上的问题。

七、 方便管理：采用传统的管理方式，只能是由宽带运营者手动对用户的上网行为进行控制，一般是采用IP/MAC绑定的方式进行对用户上网行为的控制。但如果用户自行修改了IP和MAC地址，一样还是可以上网，或是直接和其他用户的IP造成冲突。而采用NatShell的PPPOE计费管理系统，则是对用户进行集中计费管理，无论有多少个小区用户，其所有的用户数据集中放置在一台专门的服务器上，管理人员通过网络即可方便的进行用户开通，停机，查询等管理工作，所有用户数据可以方便的进行管理，下载，储存，用户到期日前进行提醒，用户可对自己的PPPOE密码进行修改，可查看费用到期明细。还可通过NatShell PPPOE计费管理系统，对用户进行统一费用管理，可设定到期自动停机，极大方便了管理员的工作。相比较而言，在每个项目单独对用户进行计费及认证管理的做法，为小区宽带运营商的管理带来了更多的不方便性，一旦出现问题，恢复数据也将是一个极为繁琐的过程。

八、 解决控制问题：技术人员私自开户，由于广电的经营特性，通常都是需要同时运营多个项目，覆盖整个城市甚至农村地区，因此对用户的开户，基本是依赖技术人员进行的，但这样就存在一个问题，即技术人员私自给用户开户，收钱的问题。而采用NatShell的小区宽带管理方式，则可以完全避免此种情况的发生，任何一个用户，要想上网，必须通过拨号的方式进行，而拨号的用户和密码的建立，完全掌握在公司手中，并且和帐目相对应，因此就不会有私自开户的问题。

九、 数据安全性高：所有的用户数据，均存放在NatShell PPPOE计费管理系统，通过双机备份，磁盘镜像等手段，可以确保用户资料的完整和安全，即使在BRAS设备出现问题，只需更换一台BRAS设备即可，不需再对用户数据进行重复录入，数据安全性极大提高，并且减少了工作量。相比较而言，把用户拨号，认证，管理几种功能集于一身的设备，为小区宽带运营商增加了更大的不安全性。

十、 可扩展性好：新增加一个BRAS设备，只需简单的在网关处勾选与NatShell PPPOE计费管理系统进行连接，即可使用NatShell PPPOE计费管理系统，进行统一计费，无需增加其他任何成本。

十一、 一次配置所有功能：通过用户管理的界面，可一次性的对用户数据进行录入，包括用户信息，密码，IP地址，带宽分配等，一次录入，不需再进行其他配置。尤其是在录入带宽时，对管理用户的帐号带宽很有好处，用户如需从低带宽升级到高带宽，或需要延期续费，只需直接对用户进行编辑即可，方便轻松。

十二、 方便的报表生成功能：蓝海卓越NS-G600内置强大的报表生成功能，可以根据管理层的需要，方便的生成日、周、月、年统计报表，也可以根据不同的条件对所有的用户进行查询，并对查询结果生成报表。

四、 论宽带运营中管理的重要性

广电宽带市场在全国市场正在如火如荼的进行中，经过这几年的发展，广电宽带网络也从最开始的初放式经营管理，接根光纤，接个路由器就可以开展业务，到现在的越来越趋向复杂化，越来越强调管理，做为广电的宽带运营，一些管理方面必须得考虑，具体表现为以下几点：

★ 对用户的管理，除了用户和密码之外，还需要设定到期停机，而不是需要管理员手动插拨网线或在界面中删除帐号。

★ 对用户的IP地址要进行管理，不能自由分发，否则查询会是问题。

★ 一个地区，可能不止是一种带宽或资费，因此需要给不同的用户分配不同的带宽。

★ 对技术人员要进行管理，不能由技术人员控制网络，否则就会出现私下开户等情况。

★ 对帐务管理人员要进行管理，所有的帐务要有据可查，以免出现管理漏洞。

★ 对安装人员、技术人员的业绩要进行管理，最好是自动生成，而不是手动统计。

★ 对外网带宽要进行分析管理，根据需要随时调整带宽。

★ 对用户的上网日志要进行记录，以便公安或其他相关部门查询。

部分宽带管理者认为；我不需要那么多功能，能让用户上网就可以了，管理嘛，我只需要一个好的财务，就能解决问题了，但事实是不是真的如此呢？我们来看一下，几种管理方式的区别：

现在的宽带市场从开始诞生到今，已经经历了几个阶段，各阶段使用方式主要的区别如下：

Ø 第一阶段：采用光纤到项目，通过普通的宽带路由器分发给项目内的住户，此种方式，简单，但基本功能都不具备，基本上已经被淘汰。

Ø 第二阶段：光纤到项目后，通过具备一定管理功能宽带路由器，将带宽分配到各个住宅用户，此种方式，由于采用了带管理功能的宽带路由器，因此已经具备了带宽控制，IP/MAC绑定，限制非法用户上网等一些基本管理功能，但也存在很多不足，如本身带机量不足，以及小区内病毒、攻击、泄密、互相感染等问题，造成用户投诉率高，续费率低，影响了运营商的收入。

Ø 第三阶段：光纤到项目，通过具备PPPOE服务器功能的宽带路由器进行带宽分发，用户都通过PPPOE的方式进行拨号上网，所有的用户之间可以做到互不干扰。同时具备带宽管理，基本用户管理等功能，已经具备了一定的先进性，但是这种设备，由于其本身处理性能不足，因此其只能带机100户左右，在稍大的小区网络中，就无法胜任。并且这种设备，只提供了PPPOE拨号服务，仅能对用户进行基本的管理，如用户名和密码、IP等，连到期停机功能都无法实现，根本无法达到运营的要求。还有如公司管理，员工管理，用户自已管理等功能都无法实现。

Ø 目前的阶段：最新的技术， 除了可以实现用户PPPOE拨号上网之外，还能对用户实行动态限速，到期停机，发放公告，等一系列实用的功能，下面我们就来看看蓝海卓越的小区管理解决方案，和一般具有PPPOE功能宽带路由器，到底有哪些地方不一样。

Ø 实现了大容量的PPPOE拨号：相对比普通路由器自带的PPPOE服务器功能，中兴的M6000 PPPOE服务器支持从32000以上并发用户的规模，完全满足各种类型城区的运营需求。

Ø 强大的防火墙性能：相比起传统的宽带路由器来说，本方案采用专业的防火墙设备，可以由用户自定义详细的防火墙规则，确保网络的安全。

Ø 万兆网络接口：相比普通百兆的路由器产品，中兴的BRAS设备可提供万兆的网络接口，完全满足带宽升级的需求。

Ø 具备丰富的管理特性：可以设定不同的用户产品，并针对产品设定不同的带宽，可以对用户进行到期停机，也可即时踢用户下线，可以对公司的管理人员和技术人员设定不同的权限，可以对管理员的所有操作进行记录并进行查询。

Ø 具备详细的记录信息：可以对用户上网日志，上网时长，访问过的地址等进行记录，也可对用户缴费情况进行详细记录并保存。对带宽的使用历史情况可以做记录，时间最长保存到2年以上，方便管理员分析高峰期的带宽使用情况，有针对性的进行调整。

Ø 用户自助管理功能：可以开通用户的自助管理功能，用户可以登录蓝海卓越的计费管理系统，查询自已的信息，上网记录，缴费情况，并能自行修改上网密码。

Ø 报表生成功能：可以根据不同的条件，如日期，项目，开通，停机，装机员等各种条件进行筛选，生成详细的报表，并可将此报表导出为EXCEL格式，还可以将收费明细导出报表，以便领导查询。

Ø 强大的运营管理功能：蓝海卓越的小区宽带运营系统具备强大的运宽管理功能，可以设定不同权限，使用不同的功能，还可以对所有的涉及业务的事件进行系统记录，以确保所有事件，有据可查。通过报表，可以轻松统计销售人员业绩。

根据以上的产品功能分析，我们可以看出来，蓝海卓越的广电宽带计费产品，配合中兴M6000 宽带接入服务器，不仅性能强劲，带机量多，而且功能丰富，具备所有宽带运营所需要的功能，做为广电宽带运营商，合理运用蓝海卓越的计费产品和中兴的M6000宽带接入服务器，可以大幅提升公司的管理水平，从而减轻负担，减少用户投诉，真正把精力投入到开发客户上去。

五、 本方案中主要应用技术介绍

EPON技术

EPON-基于以太网方式的无源光网络。

EPON将以太网技术与PON技术有机的结合在一起,天生具有以太网的诸多优势，如技术简单、成熟、良好的兼容性，产品价格便宜，性能价格比高等。

一个典型的EPON系统由OLT、ONU、ODN组成。OLT（OpticalLine Terminal）放在中心机房，ONU（Optical Network Unit）为用户端设备。ODN（Optical Distributed Network）是光配线网，主要由一个或数个分光器（Splitter）来连接OLT和ONU，它的功能是分发下行数据并集中上行数据。

OLT既是一个交换机或路由器，又是一个多业务提供平台，提供面向无源光纤网络的光纤接口。OLT除了提供网络集中和接入的功能外，还可以针对用户的QoS／SLA的不同要求进行带宽分配，网络安全和管理配置。分光器是一个简单设备，它不需要电源，可以置于全天候的环境中，一般典型的分光器的光分路数目为2、4、8、16或32，并可以多级连接。在EPON中，OLT到ONU间的距离最大可达20km。如下图所示： 

EPON无源光网络作为一种接入网技术，支持点到多点应用，其优势如下：

(1) 性价比高，维护简单。EPON系统在传输途中不需电源，没有电子部件，因此容易铺设，基本不用维护，网络可靠性高，长期运营成本和管理成本的节省很大。

(2) EPON系统对局端资源占用很少，模块化程度高，系统初期投入低，扩展容易，投资回报率高；网络的线路设备共享，光纤可沿途通过光分路器分支，节约光缆资源，系统经济性好。

(3) 具有点对多点的灵活组网能力,EPON 通过无源光分路器实现分支，光功率分配点可以随网络拓扑结构随意放置，组网方式极其灵活。系统可实现树型、星型和总线型多种组网结构。 

(4)带宽分配灵活，提供非常高的带宽，可达2G；提供各种QoS，各种服务有保证。

(5)EPON系统是面向未来的技术，容易扩展，易于升级，向宽带过渡。大多数EPON系统都是一个多业务平台，对于向全IP网络过渡是一个很好的选择。

EPON可以支持1.25Gbps对称速率，将来速率还能升级到10Gbps 。Gbit/s速率的EPON系统也常被称为GEPON。

PPPOE技术

全称是Point to Point Protocol over Ethernet（基于局域网的点对点通讯协议），即基于以太网的PPP技术协议，这个协议是为了满足越来越多的宽带上网设备( 即 ADSL , 无线等 )和越来越快的网络之间的通讯而最新制定开发的标准，它基于两个广泛接受的标准即：局域网Ethernet和PPP点对点拨号协议。对于最终用户来说不需要用户了解比较深的局域网技术只需要当作普通拨号上网就可以了，对于服务商来说在现有局域网基础上不需要花费巨资来做大面积改造，设置IP地址绑定用户等来支持专线方式。这就使得PPPoE 在宽带接入服务中比其他协议更具有优势。因此逐渐成为宽带上网的最佳选择。 PPPoE的实质是以太网和拨号网络之间的一个中继协议，他继承了以太网的快速和PPP拨号的简单，用户验证，IP分配等优势。 

与传统的接入方式相比，PPPOE具有较高的性能价格比，它在包括小区组网建设等一系列应用中被广泛采用，目前流行的宽带接入方式adsl就使用了pppoe协议。 

　　Modem接入技术面临一些相互矛盾的目标，既要通过同一个用户前置接入设备连接远程的多个用户主机，又要提供类似拨号一样的接入控制，计费等功能，而且要尽可能地减少用户的配置操作。 

PPPOE的目标就是解决上述问题，1998年后期问世的以太网上点对点协议（PPPoverEthernet）技术是由Redback网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETFRFC的基础上联合开发的。通过把最经济的局域网技术－以太网和点对点协议的可扩展性及管理控制功能结合在一起，网络服务提供商和电信运营商便可利用可靠和熟悉的技术来加速部署高速互联网业务。它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更加简便易行。同时该技术亦简化了最终用户在选择这些服务时的配置操作。

PPPOE具备了以上这些特点，所以成为了当前宽带接入的主流接入协议。

RADIUS 技术

AAA和Radius概述
　　AAA是验证授权和记账Authentication,Authorization,and Accounting 的简称。它是运行于NAS上的客户端程序，它提供了一个用来对验证、授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理，这里的网络安全主要指访问控制，包括哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。下面简单介绍一下验证, 授权,记账的作用。
　　· 验证(Authentication): 验证用户是否可以获得访问权可以选择使用RADIUS协议
　　· 授权(Authorization) : 授权用户可以使用哪些服务
　　· 记账(Accounting) : 记录用户使用网络资源的情况
　　· AAA的实现可采用RADIUS 协议RADIUS 是Remote Authentication Dial In User Service 的简称原来的初衷是用来管理使用串口和调制解调器的大量分散用户。现在已经远不止这些应用了

Radius应用介绍

RADIUS业务复合典型的client/server模型。路由器或NAS 上运行的AAA程序对用户来讲为服务器端，对RADIUS服务器来讲是作为客户端。RADIUS通过建立一个唯一的用户数据库存储用户名用户的密码来进行验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。当用户上网时路由器决定对用户采用何那种验证方法。下面介绍两种用户与路由器之间(本地验证)的验证方法CHAP和PAP。
PAP ( Password Authentication Protocol )： 用户以明文的形式把用户名和他的密码传递给路由器，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过
CHAP Challenge Handshake Authentication Protocol：当用户请求上网时，路由器产生一个16字节的随机码给用户，用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个response传给NAS， NAS根据用户名在NAS端查找本地数据库，得到和用户端进行加密所用的一样的密码。然后根据原来的16字节的随机码进行加密，将其结果与Response作比较，如果相同表明验证通过，如果不相同表明验证失败。
　　如果用户配置了RADIUS验证，而不是上面所采用的本地验证，过程略有不同。 * 在端口上采用PAP验证
　　用户以明文的形式把用户名和他的密码传递给路由器，路由器把用户名和加密过的密码放到验证请求包的相应属性中，传递给RADIUS服务器，根据RADIUS服务器的返回结果来决定是否允许用户上网。
* 在端口上采用CHAP验证
　　当用户请求上网时，路由器产生一个16字节的随机码给用户，用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个response传给NAS。 NAS把传回来的CHAP ID和Response分别作为用户名和密码，并把原来的16字节随机码传给RADIUS服务器，RADIU根据用户名在NAS端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16字节的随机码进行加密，将其结果与传来的Password作比较，如果相同表明验证通过，如果不相同，表明验证失败

Radius协议说明

RADIUS 协议的认证端口1812 计费端口1813。

由于TCP是必须成功建立连接后才能进行数据传输的这种方式在有大量用户使用的情况下实时性不好RADIUS承载在UDP上所以RADIUS要有重传机制和备用服务器机制。

六、 小结

   NatShell了解，对于广电运营商来说，网络设备只是发展用户的必要手段,因此效能及稳定性都需要并重。所以我们的产品采用最强效的双核64位处理器，提供各类需要的功能，高效的运算处理能力以及产品稳定性。再加上历经不同应用测试改善的软件，提供最稳定的功能，让运营商可以专心于业务开发，不用再为技术支持而伤脑筋。

同时，我们的产品也强调容易管理。中文配置画面、远端WEB管理功能，以及及时迅速的技术支持，都让让运营商安心地收取用户的月费，不再怕诉怨的发生了。运行本套系统，用户基本无投诉，网络速度有极大提高，ARP等攻击也完全不会再出现，网管人员的管理工作大大减轻。而且本套系统具备完善的权限管理功能,可以根据不同的管理员分配不同的权限。