小区宽带方案

小区宽带接入组网技术方案。

方案背景。本规范根据电信接入网络现状、未来发展和业务需求而编写。本规范不但满足今后lan小区用户宽带上网的需求，并能够使lan小区满足今后iptv业务发展的要求，以及满足集团公司提出对lan小区用户精确绑定的要求。

方案设计。

一般小区宽带接入组网采用二层网络结构，即cpe（customerproviderequipment）+楼道交换机+小区汇聚交换机；iptv用户组网采用三层结构，即cpe/机顶盒+用户家庭小交换机+楼道交换机+小区汇聚交换机，网络结构如图所示：

由于二层交换机多级级联会导致二层网络性能下降而且给管理上带来一定负担，所以本技术规范要求新建小区lan接入组网层次原则上必须为二层结构（即小区汇聚交换机和楼道交换机），iptv用户组网层次增加一层（用户家庭小交换机）。不允许在楼道交换机下继续级联交换机或hub。单台小区汇聚交换机下接入的楼道交换机端口数不超过1000个。

每台小区汇聚交换机必须具备独立的上联出口，不允许级联。部分旧的小区改造时，考虑已有管道线路的制约，允许有限级联（楼道交换机一层级联，级联交换机数量小于等于3个，级联带宽不小于100m）。新建小区由于特殊情况网络层次需要超过二层的，必须得到相关部门批准。

方案说明1、链路。

接入链路：接入链路指从楼道交换机到cpe之间的物理链路。该链路必须采用五类或五类以上非屏蔽双绞线(utp)，链路物理带宽要求达到10m或100m。

小区汇聚链路：汇聚链路指从楼道交换机到汇聚交换机之间的物理链路。该链路采用单模光纤，链路物理带宽要求达到100m或1000m。

小区出口链路：小区出口链路指从小区汇聚交换机到bras或区局汇聚交换机之间的物理链路。该链路采用单模光纤。

过渡时期改造的lan小区，在小区汇聚交换机上对上网和iptv流量进行物理端口分离，上网流量从小区已有100m出口链路上行，新增一个1000m出口用于iptv流量专用。新建小区的出口链路物理带宽要求达到1000m，上联局端的汇聚交换机。

2、网络管理。

为了满足日后统一网管要求，对小区lan接入组网要求如下：

1）采用带内网管方式，小区内两层设备之间不允许放置任何网管终端或服务器。

2）统一配置vlan 2作为网管vlan，vlan 3－10预留，用户vlan id从1001开始，在bras上对网管vlan做1m限速。3）网管ip地址采用私网地址（具体地址方案及实现方案根据统一网管系统的规划而定）3、vlan

由于vlan涉及到用户管理、帐户绑定、网络安全等诸多方面，因此vlan的管理、规划和使用显得十分重要。对于vlan管理、规划和使用要求如下：

1）一种业务一个vlan，一个用户家庭pc和机顶盒对应的交换机端口分配独立vlan2）用户上网vlan从vlan 1001开始，到2000结束3）iptv业务vlan从2001开始，到3000结束4）vlan3001到4000为今后其他业务预留。

5）采用vlan 2做为楼道交换机和小区汇聚交换机的网络管理vlan，vlan 3－10预留6）vlan4001到4050作为组播vlan予以预留。

7）小区楼道交换机支持vlan数不少于256个（vlan id范围支持1－4096），小区汇聚交换机支持vlan数不少于4096个。4、网络安全。

物理安全：对于部署到楼道和小区内的设备，应在物理上采取安全措施，防止设备被人为损坏和操作，设备应尽可能安装到小区公共配套房屋，但要避免与电力、水、排污等管道安装在一起，并尽可能加装相应机箱。

设备访问安全：为了防止黑客攻击，保证设备正常运行，要对设备的访问权限加以严格控制，尽可能做到以下几点：1）关闭未使用的物理端口。

2）关闭一些典型的网络服务，如cisco cdp

3）更改登陆提示，为防止黑客从登陆提示中发现设备信息，应将登陆提示信息降到做少，建议采用一些“不得入侵”的法律警告4）密码，密码必须采用大小写字母数字混合编码，长度不得少于6位，密码必须加密。有条件情况下，可以考虑使用aaa服务器5）ip过滤，采用一些过滤来保证通过telnet或其它协议对管理接口的安全访问6）网管vlan不使用vlan 15、用户隔离。

为了保证用户上网安全和网络安全，必须做到一个端口一个vlan，vlan与物理端口绑定，将用户信息流进行彼此隔离，禁止在楼道交换机下级联hub，防止出现一个用户认证通过，其它用户全部都可以上网的情况。6、用户认证与限速。

采用的用户认证方式有两种，pppoe和dhcp方式。考虑到业务情况，初期宽带上网和iptv业务都使用pppoe方式，最终将iptv业务认证逐步过渡到dhcp方式。同时在用户认证时应将用户业务帐号和对应的业务vlan绑定，做到用户账号和端口vlan的精确绑定，防止出现帐户盗用现象。

用户接入交换机物理端口分配独立vlan，在bras上采用一个vlan一。

个session的控制方式，radius业务账号不做账号session数的绑定，以防止账号吊死而使用户无法使用业务。用户业务速率限速通过radius认证后的返回属性，由bras完成。7、今后iptv业务实现方式。

对iptv用户使用可打vlan标签的家庭网关或家庭交换机，每个端口设置不同的c_vlan，分别为宽带c_vlan和单播iptv c_vlan；楼道交换机至汇聚交换机的二层链路配置成vlan trunk模式，承载宽带c-vlan、单播iptv c-vlan；局端汇聚交换机开启selective qinq功能，能够根据内层标签和物理端口选择性的打外层标签，对宽带c-vlan和iptv c-vlan进行相应的s-vlan二次标记，并能够将二者送至不同的业务接入点；bras负责用户宽带上网业务的接入，终结宽带上网的qinq，实现对用户上网的源可溯性；iptvpop点负责stb的iptv业务接入，可以利用qinq技术或dhcp option82技术，实现对用户stb的源可溯性和dhcp的安全。

小区宽带方案

小区宽带营销计划方案

小区宽带营销方案四份

移动宽带营销方案

其他用户还读了

小区宽带方案

小区宽带营销计划方案

小区宽带营销方案 四份

移动宽带营销方案

其他用户还读了

小区宽带营销方案四份