Invest-currency.ru

Как обезопасить себя в кризис?
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Broadband remote access server

BRAS — сервер широкополосного удаленного доступа

В последнее время вместе с усложнением телекоммуникационных систем, компании сталкиваются с проблемой выбора способов мониторинга, поиска и устранения неисправностей в предоставлении телекоммуникационных услуг. Также важной задачей является терминация и управление сервисами для конечных потребителей. Существует несколько способов организации такого управления. Одним из возможных способов является внедрение в сети операторов связи высокопроизводительных маршрутизаторов (BRAS/BSR/BNG), отвечающих за четко определенные задачи аутентификации, авторизации и учета данных пользовательских подключений (AAA – Authentication, Authorization, Accounting).

Что же такое BRAS/BSR/BNG?

По сути, значения этих аббревиатур имеют очень похожие значения. Возьмем к примеру наиболее распространенную – BRAS.
BRAS (Broadband Remote Access Server) – сервер широкополосного удаленного доступа, т.е. устройство, отвечающее за маршрутизацию внутри сервисной сети и предоставления доступа подписчикам к конкретным широкополосным сервисам Triple Play (Интернет, IP-телефония, IP-телевидение) посредством одного физического подключения. С помощью BRAS можно глобально определить и применить параметры для активирования необходимых правил маркировки и транзита приоритетного трафика. Важной задачей BRAS также является назначение параметров качества обслуживания (QoS), поскольку необходимо обеспечить корректную и безотказную работу услуг, качество которых зависит от таких показателей как packet transfer delay и jitter.

Основными задачами BRAS являются:

  1. Авторизация подписчиков
  2. Назначение индивидуальных атрибутов доступа (IP-адрес, производительность канала и т.д.)
  3. Учет трафика
  4. Фильтрация трафика
  5. Обслуживание в соответствии с описанием услуги (QoS)

BRAS не является автономным устройством. Назначение всех необходимый атрибутов для подписчиков (IP-адрес, полоса пропускания и т.д.) выполняется внешним сервером (RADIUS или TACACS).

Существует несколько типов терминации подписчиков услуг широкополосного доступа. Рассмотрим наиболее распространенные:
— PPPoE (Point-to-point Protocol over Ethernet) – до недавнего времени являлась самой распространенной схемой;
— IPoE (DHCP) в связке с opt.82 стремительно набирает популярность, т.к. требует минимум конфигурации конечного оборудования.
— Q-in-Q – терминация по так называемому «двойному тегу». Считается наиболее безопасной, поскольку, изначально, каждое конечное устройство находится в выделенном VLAN, чем гарантируется изоляция подписчиком между собой.
В зависимости от различных факторов, возможно 2 способа построения и управления сетями широкополосного доступа, каждый из перечисленных имеет свои достоинства и недостатки.

Централизованное управление

— характеризуется установкой одного (двух – для обеспечения резервирования) BRAS (рис. 1)

рис.1. Централизованное управление — установка одного BRAS

Преимущества:
1. Экономия на оборудовании. За счет масштабируемости оборудования можно добиться максимальной его утилизации.
2. Экономия на обслуживании площадок и электроэнергии.
3. Экономия на обслуживании оборудования, так как необходимо иметь квалифицированный персонал в лишь в одном месте для оперативного устранения аварийных ситуаций.
4. При современных возможностях резервирования аппаратных модулей оборудования, гарантируется высокий уровень отказоустойчивости
5. Возможность расположения всей IT-инфраструктуры в тех же узлах
6. Упрощение дифференциации сервисов
7. Упрощение сбора и анализа трафика

Недостатки:
1. Отсутствие резервирования при потере электроэнергии на площадке
2. Необходимо обеспечить площадку избыточными линками для повышения отказоустойчивости при их обрыве (переход на резервный линк)

Распределенное управление

– сети могут быть разнесены географически, но иметь общее ядро, в таком случае каждую часть сети обслуживает BRAS (рис. 2)

Рис. 2. Распределенное управление — каждую часть сети обслуживает BRAS

Преимущества:
1. Более гибкие возможности для резервирования. При потере электропитания или обрыве линков на площадке, все сервисы можно предоставлять через другое плече.

Недостатки:
1. Более существенные затраты на оборудование, содержание площадок и административных ресурсов для обслуживания
2. Усложнение схемы сети ведет к необходимости более тщательного планирования сети на предмет балансировки нагрузки

В качестве BRAS можно использовать маршрутизаторы Juniper серии MX, а также некоторые серии маршрутизаторов Cisco.
Инженеры компании Allta могут помочь Вам подобрать оборудование для BRAS или помочь в настройке. Обращайтесь!

Возможна настройка удаленно в любой точке планеты.

Broadband Remote Access Server

Wikimedia Foundation . 2010 .

Смотреть что такое «Broadband Remote Access Server» в других словарях:

Broadband Remote Access Server — A broadband remote access server (BRAS or BBRAS) routes traffic to and from the digital subscriber line access multiplexers (DSLAM) on an Internet service provider s (ISP) network.The BRAS sits at the core of an ISP s network, and aggregates user … Wikipedia

Broadband Remote Access Server — Mit Broadband Remote Access Server (BRAS) oder auch Breitband PoP (Point of Presence) werden Netzelemente von Breitband Netzen wie DSL und UMTS bezeichnet. Sie sind Teil des Netzwerks eines Internet Service Providers (ISP) und speisen den… … Deutsch Wikipedia

Broadband — Не путать с Broadcast. Broadband широкополосная передача технология передачи данных по сети (можно использовать как медный, так и оптико волоконный кабель), при которой данные передаются в виде модулированных радиочастотных сигналов. Как правило … Википедия

Читать еще:  Cspu sharepoint com

Access Concentrator — Mit Broadband Remote Access Server (BRAS) oder auch Breitband PoP (Point of Presence) werden Netzelemente von Breitband Netzen wie DSL und UMTS bezeichnet. Sie sind Teil des Netzwerks eines Internet Service Providers (ISP) und speisen den… … Deutsch Wikipedia

Remote backup service — Types of Internet hosting service Full featured hosting Virtual private server · Dedicated hosting · … Wikipedia

Digital Subscriber Line Access Multiplexer — Siemens DSLAM SURPASS hiX 5625 A Digital Subscriber Line Access Multiplexer (DSLAM, often pronounced dee slam) is a network device, located in the telephone exchanges of the telecommunications operators. It connects multiple customer Digital… … Wikipedia

Digital subscriber line access multiplexer — A Digital Subscriber Line Access Multiplexer (DSLAM, often pronounced dee slam ) allows telephone lines to make faster connections to the Internet. It is a network device, located in the telephony exchanges of the service providers, that connects … Wikipedia

Digital Subscriber Line Access Multiplexer — Kabelverzweiger (links), Multifunktionsgehäuse mit Outdoor DSLAM (rechts) Ein Digital Subscriber Line Access Multiplexer (DSLAM) (deutsch: DSL Zugangskonzentrator) ist ein Teil der für den Betrieb von DSL benötigten Infrastruktur. DSLAMs stehen… … Deutsch Wikipedia

DSL Access Concentrator — Mit Broadband Remote Access Server (BRAS) oder auch Breitband PoP (Point of Presence) werden Netzelemente von Breitband Netzen wie DSL und UMTS bezeichnet. Sie sind Teil des Netzwerks eines Internet Service Providers (ISP) und speisen den… … Deutsch Wikipedia

ADSL Server System — ist der Projekt und spätere Anwendungsname für ein Datenverarbeitungssystem der Deutschen Telekom AG und besteht aus mehreren Teilanwendungen. Inhaltsverzeichnis 1 Teilanwendungen 1.1 ADSL SV Server (Service Vertrieb) 1.2 ADSL NI Server (A … Deutsch Wikipedia

BNG (BRAS) на платформе EcoRouter

EcoBNG

Broadband Network Gateway на базе программно-аппаратного комплекса EcoRouter.

Документация EcoBNG

Существует несколько вариантов подключения абонентов к сети: с установлением сессии и без нее. В качестве протокола установления сессий, многими операторами уже используется протокол PPPoE. Другим протоколом, набирающим популярность в ШПД сетях, является протокол DHCP/IPoE. Каждый из протоколов обладает своими преимуществами и недостатками, поэтому при выборе единой сервисной модели должны учитываться эти моменты. PPPoE имеет более развитые механизмы аутентификации по сравнению с DHCP, а DHCP в свою очередь менее чувствителен к сбоям подключения. PPPoE имеет на борту механизмы keepalive для обнаружения проблем на сессии. DHCP в свою очередь позволяет абонентам без дополнительных настроек клиентского оборудования получить доступ к сервисам оператора. Для идентификации пользователей в случае PPPoE используются явные имена, присылаемые пользователями, а в случае с DHCP для этого используется option 82. В обоих случаях для аутентификации задействуется механизм RADIUS.

Модели доставки услуг

Одним из основополагающих моментов является принцип распределения виртуальных LAN сетей на уровне доступа. Наиболее распространенным в построенных на сегодняшний день сетях является подход Shared VLAN (разделяемой виртуальной LAN сети). Для каждого сервиса выделяется свой отдельный VLAN, доступ к которому имеет каждый абонент, подписанный на услугу. Основным преимуществом использования данного метода является простота его реализации. К недостаткам же можно отнести проблемы с контролем взаимодействия абонентов друг с другом, невозможность обеспечения персонализированного сервиса SLA для каждого абонента. Этих требований достаточно, чтобы отказаться от использования данного подхода построения сети доступа.

Следующим подходом для построения является модель с выделением VLAN на абонента (Customer VLAN) и предоставлением всех сервисов абоненту в одном VLAN. В данном подходе можно явно идентифицировать абонента по номеру VLAN. Все сервисы абонента аутентифицируются в одном месте – на BRAS/BNG. Данный подход накладывает дополнительные требования на оборудование агрегации и устройства BRAS/BNG в части использования Q’n’Q технологии.

Последним подходом является выделение отдельного VLAN для каждого отдельного сервиса (S-VLAN). Преимуществом данного подхода является разграничение доступа и обеспечение SLA, однако требует ручной настройки на BRAS/BNG достаточно большого количества подинтерфейсов. Устройство CPE должно поддерживать 802.1q технологию. Устройства доступа должны поддерживать DHCP option 82.

Оптимальной среди моделей предоставления доступа можно выделить модель C-VLAN. При этом каждый сервис в рамках одного VLAN обеспечивается гарантированным уровнем обслуживания за счет иерархичности механизма качества обслуживания.

Несмотря на различия в протоколах PPPoE и DHCP/IPoE, существующая сеть должна обеспечивать возможность подключения абонентов в обоих случаях. Это в свою очередь позволит оператору расширить портфель предоставляемых услуг и обеспечить лояльность к клиенту.

Отказоустойчивость BRAS/BNG

Для обеспечения отказоустойчивости рекомендуется использовать схему с резервированием устройств, блоков питания.

Поддерживаемый функционал

  • Поддержка RADIUS сервера для управления абонентскими сессиями;
  • Автоматическое создание VLAN сабинтерфейсов по первому входящему пакету;
  • IPoE абонентские сессии (IPv4/IPv6*);
  • DHCP абонентские сессии (IPv4/IPv6*);
  • PPPoE абонентские сессии;
  • DHCP Relay (только IPv4);
  • DHCP Relay Proxy (только IPv4);
  • DHCP Local Server (IPv4/IPv6*) (в виртуальном контейнере);
  • Обработка DHCP Option 82;
  • Поддержка квотирования по времени;
  • IP Demux интерфейс;
  • Защита Control Plane от атак пакетами ARP и DHCP (только IPv4);
  • Трассировка IPoE абонентов по MAC и IP адресам;
  • Трассировка индивидуальных DHCP абонентских сессий;
  • Трассировка RADIUS сообщений для заданного абонента;
  • Поддержка локального HTTP Redirect сервера;
  • Поддержка GRE для реализации HTTP Redirect на внешнем сервере;
  • Создание сервисных профилей локально и их назначение абонентским сессиям статически или по протоколу RADIUS;
  • Поддержка механизма RADIUS CoA;
  • QoS на уровне VLAN, H-QoS*.
Читать еще:  Как изменить форму в access

* Данный функционал появится в ближайшее время

Демонстрация EcoRouter CLI

В окне демонстрируется подключение по SSH к маршрутизатору, базовые принципы работы с командной строкой устройства. Показаны основные режимы работы, настройка L2 портов / L3 интерфейсов, привязка интерфейсов к портам и несколько команд группы ‘show’ для отладки.

Служба RRAS (Routing and Remote Access Service)

Установка RRAS

Установка RRAS является настолько простой и очевидной темой, что, казалось бы, о ней не стоит даже говорить. Когда вы устанавливаете сервер Windows Server 2003, RRAS автоматически устанавливается для вас, но в отключенном состоянии. Это означает, что она не использует конкретных ресурсов, если вы не используете эту службу.

Чтобы начать использование RRAS, будь то дистанционный доступ , маршрутизация или создание VPN между сайтами, вы должны сначала включить (активизировать) ее.

Включение RRAS

Активизация RRAS происходит почти так же просто, как и ее установка. Поскольку она отключена по умолчанию после установки сервера Windows Server 2003, вам нужно сначала активизировать эту службу. Чтобы сделать это, вы должны иметь административные привилегии или быть членом групп безопасности серверов RAS и IAS для данного домена. Чтобы активизировать RRAS, выполните следующие шаги.

  1. В меню Start/Programs/Administrative Tools выберите Routing and Remote Access , чтобы запустить оснастку управления Routing and Remote Access , см. рис. 4.12.

Затем нужно задать функции, которые вы хотите использовать с помощью RRAS.

Конфигурирование RRAS

Мастер Routing and Remote Access Server Setup Wizard снимает многие проблемы, с которыми вы могли столкнуться при работе с более ранними версиями RAS или RRAS. Этот мастер направляет вас, будь то конфигурирование сервера соединений с интернет , сервера дистанционного доступа или какой-либо реализации VPN . Здесь важно отметить, что в следующих разделах по конфигурированию сервера предполагается, что вы уже установили модем или другие устройства, используемые для удаленных соединений . Принципы, лежащие в основе конфигурирования сервера RAS для Windows NT или Windows 2000, не изменились по существу в Windows Server 2003. Однако структура мастера RRAS Setup Wizard все же изменилась определенным образом. В окне мастера Routing and Remote Access Server Wizard ( рис. 4.13) предлагается четыре варианта типичных конфигураций и пятый вариант, Custom configuration (Нестандартная конфигурация ). Этот мастер подходит только для первоначального конфигурирования службы RRAS на сервере. После того, как вы поймете смысл каждого из вариантов начального конфигурирования мастера, выберите вариант, наиболее близкий к конфигурации, которую вы хотите получить. Мастер создаст конфигурацию по умолчанию, которую вы сможет затем модифицировать в соответствии с локальными требованиями.

Конфигурирование варианта Remote Access (Dial-up or VPN) [Дистанционный доступ (Коммутируемый доступ или VPN)]

При выборе этого варианта происходит конфигурирование сервера Windows Server 2003 для приема входящих коммутируемых (dial-up) соединений от удаленных клиентов. Альтернативно клиенты могут подсоединяться с помощью VPN-соединения. Конфигурируя RRAS как сервер VPN, вы разрешаете удаленным клиентам проходить с помощью шифрованного туннеля через открытую сеть, такую как Интернет, в среду Windows Server 2003 вашей сети.

Чтобы сконфигурировать этот вариант, выполните следующие шаги.

Remote Access

GENERAL INFORMATION

The process of setting up remote access to your user interface is dependent on your overall network configuration. This page explains the basic principles of remote access using port forwarding and dynamic DNS for Internet connections without fixed public IP addresses.

Remote access will allow you to access your Miniserver from outside your home network. There are two important stages to this. First you need to setup port forwarding on your router and then you need to register your Miniserver online to use the free Loxone DNS service so that you have a specific URL that you can always access your network externally with.

Remember to set your Miniserver to be on a static local IP address before configuring port forwarding.

KEY STEPS TO ACHIEVE REMOTE ACCESS

There are 4 key steps to achieving remote access on your Miniserver.

  • Change the admin user’s password to something more secure than “admin” otherwise the Miniserver will be blocked on the DNS server. this can take up to 30mins to take effect on our server.
  • Register your Miniserver in your Online Account. For instructions on how to do this please see this blog post: http://www.loxone.com/blog/enuk/new-product-registration/ This will enable you to use the DNS service for free.
  • Ensure your Miniserver can communicate with the DNS server.
  • Check that the DNS and Gateway (router) Settings are correct for your Miniserver, these details can be changed by selecting your Miniserver and using the “Configure Miniserver” tool that appears in the ribbon. Gateway needs to be the IP address of your router and the DNS address needs to be 8.8.8.8 (google) or your router’s address if using a BT router.
Читать еще:  Access only перевод

In config look select the Miniserver, in the properties panel the “External Address” field should be set to dns.loxonecloud.com and dns.loxonecloud.com:

if not using port 80.

Port forward for your selected ports on your router. Unfortunately all Internet Service Providers (ISP) use a different interface for their routers. For instructions on how to do this for your router it’s best to contact the router provider. Alternatively for a guide on how to do this for almost any router check out his website: https://portforward.com/router.htm

INTRODUCTION TO PORT FORWARDING

Port forwarding is the process of telling your router to route external traffic on an external port to an internal port. It is configured directly in your router webinterface. For instructions on port forwarding please see our documentation page or PortForward.com.

After you have allowed port forwarding on your router, you should be able to access your Miniserver using your external IP address (for example: http:// : ).
To retrieve your current external IP address please go to http://checkip.dyndns.com.

The access to the Internet from your private network happens via your router which is with the external address in the Internet. A port forwarding opens an external port of the router defined by you and forwards traffic to a defined internal port of a device in your home network.

This feature allows the Miniserver to be made externally accessible via your router. Instructions for your router are not covered on our website, you can find more information on port forwarding and the manuals for many router models at http://www.portforward.com.

INTRODUCTION TO DYNAMIC DNS

Dynamic DNS (DDNS) is a way to automatically update a domain name in the Domain Name System (DNS) with the current DNS configuration of the network, for example updating the public IP address for a network every time it changes.

This is important for connecting to your Miniserver remotely because most Internet service providers assign dynamic public IP address (i.e. it changes regularly). As you can’t know your public IP address unless you are at home and connected to your local network you need to register to a dynamic DNS provider so the public IP address is updated to a domain name URL such as myhouse.dyndns.org.

Loxone offers a free DNS service for your installation, you can read about it here.

One such 3rd Party dynamic DNS provider is DynDNS.com.

SETTINGS IN LOXONE CONFIG

In Loxone Config it is important to enter the local IP address and port, and the external IP address and port for the Miniserver. This is because once these details have been saved in the Miniserver when you first connect to the Miniserver with the app the app will automatically get these details so you don’t have to remember them.

To do this open Loxone Config, click on the Miniserver in the periphery tree window and then look at the properties. You will see two boxes, one for the External URL and one for the Local address. Enter the IP address followed by a colon followed by the port for both boxes.

CONNECTING THROUGH LOXONE CONFIG

If you need to connect to a Miniserver remotely from Loxone Config for example to do maintenance or a quick change, you can click connect and then enter the external URL in the Connect to Miniserver dialogue without “http://”. Remember to put the port number afterwards.

MORE INFO

The Miniserver user interface uses HTTP with SHA1 hashing for authentication. If more advanced security and full encryption of communication is desired then please do not follow the guides on port forwarding but set up another remote access method, such as VPN.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×