1、易尚解决方案概述

　　在网络应用日益融合的趋势下，网新易尚的网络产品在城域网及校园网、大中型企业网、宽带小区、商业写字楼、星级酒店等园区网中得到了广泛的应用。上述网络按照是否需要运营、管理又可以分为：传统以太网和“商用”以太网。易尚的三层核心交换机在“商用”以太网中具有绝对优势，也是我们的交换机产品最具特色的地方。

　　易尚L3交换机在“商用”以太网中同时起到三层交换和BAS的作用。BAS（Broadband Access Service）宽带接入服务器，简单的理解BAS和L3交换机的最大区别在于，BAS中系统使用用户名的概念来对上线用户进行管理，可以进行用户认证和计费信息统计等管理，而L3交换机系统中是用IP地址和MAC地址来标识数据流，对上网用户来说是透明的，不能进行用户认证和计费等管理。

　　下面我们主要针对“商用”以太网解决方案，对易尚网络产品在城域网和园区网中的应用进行解析。鉴于校园网在园区网中的重要性，我们将另外拿出来进行更加详细的分析；而对于传统以太网，只需将“商用”以太网解决方案中认证管理的部分去除即可，不在专门进行讲述。     

2、易尚“商用”以太网组网方案

　　下图是易尚“商用”以太网的组网拓扑图：

 

√ 方案描述
　　☆ 局端设置易尚高端接入管理交换机YES-6710M，上联城域网骨干路由器如GSR等；
　　☆ YES-6710M作为集中式的三层交换机汇聚高校、酒店、大型企业等团体用户；
　　☆ YES-6710M作为集中式的三层交换机向用户稀疏的商业写字楼提供“永久在线”接入方式；
　　☆ YES-6710M作为集中式BRAS向用户稀疏的商业写字楼以及居民小区提供“认证计费”方式的接入；
　　☆ 在用户密集的商业写字楼和居民小区设置卓扬中端接入管理交换机YES-3708M，YES-3708M集三层交换与BRAS功能与一体，向居民小区及商业写字楼用户提供“永久在线”及“认证计费”的接入业务；
   　 ☆ 星级酒店设置YES-3708M，用于酒店房客的接入，同时设置radius proxy，用于酒店房客的结算，并且与局端计费中心信息同步；
　　☆ 对于运营商直接提供运营的高校，在高校根据用户的规模设置YES-6710M或者YES-3708M，用于高校学生、教工的管理、计费等。

　　下面分别从“商用以太网”的用户接入、计费、安全、增值四个方面对方案进行详细分析

“商用以太网”用户接入策略
　　YES-6710M/3708M接入管理交换机能够提供普通接入、PPPoE以及Web认证接入方式同时接入各类业务的能力，完全能够满足宽带运营商对上述各类目标用户的需求。下面是具体分析：

√ 居民小区
　　根据前述分析，运营商宜向居民小区用户提供“认证计费”接入业务。PPPoE以及Web认证方式比较合适这类用户的接入，具体接入技术根据运营商的实际情况参考。对于用户密集的大型小区，建议在小区设置YES-3708M，向用户提供接入；对于用户稀疏或者规模小的小区，小区设置二层设备，由局端YES-6710M集中提供接入。

√ 商业写字楼
　　对于商业写字楼的高端用户，运营商需要提供“永久在线”接入方式，对于低端用户，需要提供“认证计费”接入方式。YES-6710M/3708M的三层交换的功能提供高端用户固定IP，对于“认证计费”用户，建议采用PPPoE接入方式。对于商业用户密集的写字楼，建议在写字楼内设置YES-3708M作接入，对于用户稀疏规模较小的商业楼宇，由集中式的YES-6710M统一完成接入。

√ 星级酒店
　　通过前面对星级酒店的分析，建议在酒店设置YES-3708M，配合酒店房客的特征，建议采用Web认证的接入方式。酒店需设置计费系统radius proxy，一方面用于酒店与房客的结算，同时radius proxy必需与局端计费中心同步，用于酒店与运营商的结算。

√ 高校及大型企业
　　对于大型企业，运营商提供“永久在线”接入方式，利用局端YES-6710M三层交换的功能。对于小规模的高校，运营商可以提供“永久在线”接入方式，向高校整个团体出租带宽；对于规模较大的高校，由于用户群密集，建议运营商在高校设置YES-6710M，对在校学生及教工直接提供宽带上网业务。

 “商用以太网”计费策略
　　YES-6710M/3708M上集成了AAA协议，并针对宽带的特点进行了扩展，与外部的Radius Server配合可以支持以太网的管理计费等功能。YES-6710M/3708M可以基于时长、流量的计费技术；同时支持账号用户、主叫用户；支持卡号用户的剩余时长检测；支持用户位置信息和固定电话号码的转换。传统窄带拨号服务支持的计费方式均可以被YES-6710M/3708M所支持。
“商用以太网”安全策略
　　易尚“商用以太网”通过如下设计保证宽带运营的安全性：
　　☆ YES-6710M/3708M接入管理交换机支持4094个vlan，这样每个接入用户可以处于不同的vlan中：所有用户与YES-6710M/3708M形成逻辑上点对点的关系，避免传统以太网广播机制造成的网络安全风险；
　　☆ YES-3326MB支持基于端口硬件隔离，处于相同vlan的用户数据链路层隔离；
　　☆ YES-6710M/3708M用户管理引擎可以根据接入用户的MAC地址、IP地址和VLAN ID之间的绑定关系鉴别接入用户的合法性。非法用户的流量无法通过用户管理引擎进入交换网络和接入处理模块，不会占用系统的资源；
　　☆ 对于“认证计费”用户，运营商可以分配私有IP地址，通过YES-6710M/3708M的NAT转换访问INTERNET，这样用户IP对于INTERNET是隐蔽的，从而减少用户网络被外部网络攻击的可能性；
　　☆YES-6710M/3708M严格的telnet/enable/snmp的访问权限可以保证YES-6710M/3708M高度的安全。

“商用以太网”增值功能
　　YES-6710M/3708M集传统三层交换与BRAS功能与一体，最大限度地减少了网络层次，消除了网络瓶颈，提高了全网性能价格比，提升了运营商的网络价值。除此，YES-6710M/3708M为运营网提供具有竞争力、合用的增值特性。

√ 防止网络盗用功能
　 YES-6710M/3708M采用的硬件流分类的技术机制，可以对用户流量进行监控，当某个人用户的会话连接数目超过一定阈值（该阈值可以由网络管理员根据实际情况进行设置），YES-6710M/3708M将向网管系统进行告警，或者对该用户进行拆线，从而最大限度地保证运营商的收益。

√ NAT地址转换功能
　　目前IPv4的地址资源已明显不够，而INTERNET用户在逐步上升，这样运营商就要考虑分配私有IP地址给“认证计费”型用户。传统三层交换设备或者BRAS基本不支持NAT，要求运营商设置Firewall。防火墙的设置一方面提高了网络造价，更重要的，防火墙基于CPU处理的方式大大降低了网络的性能，同时增加了接入网的单点故障。
     YES-6710M/3708M采用先进的网络处理器进行NAT的处理，可以保证NAT的线速转发，目前整机共支持80000条地址转换表。接入管理交换机内置的NAT消除了网络的瓶颈，提高了网络的可靠性。

√ 用户上网日志管理功能
　　用户上网记录保存功能是为满足公安部提出的三个月上网记录可查询的需求而设计的。此功能需要保存用户上网的详细信息，包括用户访问的网站的IP、使用的协议类型、时间段等，每条上网记录对应一个会话。
    YES-6710M/3708M使用网络处理器技术，通过网络处理器首先将上网记录缓存在本地CPU，再定时发送给外置的服务器。外置服务器收到上网记录后进行整理再存入数据库。网络处理器流分析能力可达千兆，平均每秒处理的会话数目可达10000个，这种性能基本能够满足大部分校园网的需求；外置服务器只需为每个会话处理一条记录，按每秒建立一万个连接计算，外置服务器只需具备每秒处理一万条记录的能力即可。一台普通的PC机就具备这样的处理能力。