华为MA5200培训PPT 85页

'MA5200产品培训胶片 内容：MA5200产品定位产品总体结构业务实现流程用户管理特性 1、可运营、可管理、电信级以太接入设备2、分布式BAS3、边缘接入服务器：EASMA5200产品定位 MA5200是华为公司针对密集型以太网接入用户而推出的多业务宽带接入设备，提供电信级的可运营、可管理能力，是建设以太接入网络的最佳选择。MA5200产品主要应用于：新建小区和商业大楼的高速接入网络建设运营商宽带接入网与数据公网建设企业VPN网络建设区域信息岛建设MA5200构建IP业务接入网络时，整框最大可支持6K并发用户业务的接入。MA5200产品定位 功能特征：流量模型是汇聚为主路由协议支持要求不高具备强大的用户管理功能完善的基于用户的网络安全保障措施基于用户面向计费和网络管理的统计功能灵活的可扩展业务生成平台MA5200产品定位 强大的用户管理功能的体现：完善的用户认证，控制功能有效的QOS保证健全的安全机制丰富的业务提供能力灵活多样的计费支持良好的运营维护能力MA5200产品定位强调实现方式：集中控制，分布转发 内容：MA5200产品定位产品总体结构业务实现流程用户管理特性 MA5200MA5203MA5200E/FMA5200定位于EAS（以太网接入服务器），可下接LANSW、DSLAM、EVDSL交换机、HFC头端等设备，完成用户的统一认证和管理。MA5203定位于小容量EAS，功能特点与MA5200完全一样。MA5200E/F定位于小区以太接入汇聚，功能特点与MA5200相同，容量与结构更加适合LAN/EVDSL小区的应用。MA5200系列产品 MA5200插框外部结构一体化的结构设计，综合考虑系统散热、EMC、供电问题标准13U插框，9U插板16槽位，2个主控槽位，14个业务槽位单板尺寸：366.7mm×340mm（9U）可选的一次电源配置13U 16槽位插框，14业务板槽位兼容支持GE、FE、POS等多种业务接口系统控制板上行转发板上行转发板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板MA5200规格系统控制板 接入板多样灵活提供多种接口单板类型：-系统控制板（SMB）:完成业务处理，用户管理的核心-业务板：HRB板：高速路由转发板，必须有的单板HAB板：业务接入板，提供电口和光口的FE,GE接口扣板CTS板：CABLE接入业务板，HFC用户接入NAT板：实现NAT功能的单板 MA5200E/F是原先MA5200的单机版本，继承了MA5200的所有的业务功能采用新一代网络处理器，10Gbps无阻塞共享缓存交换容量，24个FE，两个GE全对称业务端口，3Mpps(2GE)线速转发能力硬件支持单播/多播和广播转发每个端口支持4个CoS，支持SP/WFQ调度器的配置一体化的盒式结构设计，综合考虑系统散热、EMC、供电问题MA5200系列产品简介 MA5200E为24FE电口固定配置，MA5200F为以6端口为单位的FE电口/光口选配MA5200F具有双电源热备份MA5200F可以提供AC220V或DC—48V输入，MA5200E只有AC220V输入MA5200F的GE、FE口均为前出线，MA5200E的GE口为后出线MA5200系列产品简介 内容：MA5200产品定位产品总体结构业务实现流程用户管理特性 MA5200业务实现流程简介MA5200业务实现的总体原则：集中控制，分布转发1、业务控制完全在主机完成；2、业务实现由单板完成； NPCPUASICNP（网络处理器）综合了CPU和ASIC的优势，采用可编程的微码技术，在业务处理方面具有高灵活性，同时具有接近ASIC的成本优势，成为构建EAS的技术基础。CPU是路由器和BAS类产品的处理核心，特点是灵活、业务功能强，缺点是性能不高，昂贵。ASIC是L2/L3实现的基础，采用精简指令集中，廉价、高效，但程序写死所以欠灵活。目前业界常用到的NP包括Rainer、C-5、IXP1200等型号，近期更出现了将NP与L3ASIC集成到一起的方法，代表了未来发展的方向。CISCO最新的CL2924L3、OSR7600等均采用了NP技术用户管理设备的核心技术 转发流程和业务处理的主要功能模块接入报文合法性验证流分类流量监管路由转发队列调度MA5200电信级用户管理的实现原理----转发流程 令牌桶流量统计Queue0Queue1Queue2QueueNDropTailRR/DRR接收报文合法验证流分类流量限制队列发送报文出队调度拥塞控制路由转发策略路由源地址目的地址源端口目的端口协议类型ACLIP/MAC/VLAN绑定检查用户策略信息库MA5200电信级用户管理的实现原理----转发流程 流分类目的分类是为了提供有区别的服务和控制策略，MA5200通过流分类可以识别出不同用户的不同业务流，并获取相应业务流的处理规则。流分类的结果可用于接入速率限制，策略路由，访问控制，优先级调度等处理。流分类依据由于IP报文的服务目的一般不依赖于从哪个物理层收发，而依赖于来去的地址和承载内容，所以通常用报文5元组为报文分类：源/目的IP地址，源/目的协议端口号，协议类型。MA5200做为以太接入设备，流分类增加了VLAN信息。TOS的应用MA5200做为网络边缘设备对报文分类的同时，设置TOS字段，网络骨干设备可直接使用分类结果提供服务，实现IETF的DiffServ模型。转发流程中关键技术－－流分类MA5200电信级用户管理的实现原理----流分类 MA5200业务接入处理板和路由转发板业务接入处理板和路由转发板的硬件结构相同，由业务接入处理底板和物理接口板以“主板+扣板”形式构成，通过在统一的底板平台上增加不同的扣板，提供不同网络接口，依靠不同的软件完成不同的业务处理和路由转发功能，大大增强了组网灵活性和升级能力。业务接入处理底板HAC物理接口板 业务接入处理底板HAC业务接入处理底板的作用：提供接入业务处理的硬件平台根据加载软件的不同，可以作为Ethernet业务接入处理板，完成数据包的封装处理、流量限制，用户管理控制；也可以作为路由转发模块的处理板，完成数据包的路由、转发、协议封装等处理。提供与背板总线的接口 物理接口扣板E8FI：8路10/100M以太网电接口，传输距离100mO8FIB：8路10/100M以太网多模光接口扣板，传输距离2KmO8FIF：8路10/100M以太网单模光接口扣板，传输距离15KmO1GIS：1路短波千兆多模光接口扣板，传输距离200mO1GIL：1路长波千兆光接口扣板，支持单模和多模光接口，通过选用不同的光纤来选择接口的模式，单模接口传输距离可达10Km，多模接口传输距离小于500m；155POS扣板方式灵活提供多样接口 内容：MA5200产品定位产品总体结构业务实现流程用户管理特性 完善的用户管理功能有效的QOS保证健全的安全机制丰富的业务提供能力灵活多样的计费支持良好的运营维护能力MA5200：可运营、可管理、电信级以太接入设备 用户认证策略用户计费策略访问控制用户带宽控制优先级控制用户接入终端数控制多播组管理MA5200电信级用户管理的主要特点 基于物理位置的接入方式——VLAN方式基于帐号的拨号接入方式——PPPOE方式华为自主设计的灵活接入方式——VLAN+WEB认证接入基于端口的安全接入控制方式——802.1x协议接入MA5200的用户管理---用户接入后的认证、授权 用户管理---各种认证方式综合比较 用户管理---各种认证方式综合比较 基于物理位置的接入方式－VLAN接入Core根据接口信息分配IP地址DestSrcDataLen/Etypep/QLabelp/QLabelEtypeEtypeFCSPriorityVLAN-IDVLAN-IDToken-RingToken-Ring封装标记封装标记VLAN-IDVLAN-ID和和T-RT-R封装标记封装标记重新计算重新计算FCSFCS662224...DestSrcFCSDataLen/EtypeMA5200Quidway2403DHCPServerDHCP报文业务报文 CoreMA5200DHCPServer1用户发起DHCP申请2MA5200根据用户权限作DHCPRELAY3根据DHCPAGENT的IP地址从相应地址池中分配用户IP地址4MA5200转发分配的IP地址，同时完成IP+VLAN+MAC的绑定5用户获得IP地址基于物理位置的接入方式－VLAN接入方式 基于帐号的拨号接入方式ISP根据接口信息分配IP地址RadiusServerRadiusClientPPPoE集中管理传统拨入方式便于支持IPVPN CorePPPoEMA5200AAAPPP本地终结，IP转发PPPPPPOEIPMACPPPPPPOEIPMACVLANPPPIPMACVLANPPPOEMAC基于帐号的拨号接入方式——PPP本地终结MAC VLAN+WEB用户认证----华为自主设计的认证方式一个帐号随处使用一个帐号多人使用WEB认证为流动用户提供了灵活的认证方式Login:帐号A@ISPPassword:密码Login:帐号A@ISPPassword:密码MA5200Quidway2403Quidway2403 CoreMA5200RadiusServer3、用户发起认证4、MA5200作为认证客户端，与RadiusServer配合完成用户的认证过程2、MA5200的ACL控制用户在未经过认证前只能访问一个或几个特定WWW服务器（WEB认证服务器）1、用户通过DHCP获得IP地址LANSWWEBServer5、用户通过认证后可以正常实现Internet访问VLAN+WEB方式是结合了帐号和物理位置的认证方式，可以作为实现Portal（门户业务）的基础VLAN+WEB用户认证----华为自主设计的认证方式 VLAN+WEB用户认证----友好的HTML页面用户登录统一的门户，获得认证页面。实现了用户终端零配置实现了终端无关性 VLAN+WEB用户认证----有效的安全性认证过程由私有协议完成-----保证安全的基础MD5加密实现了有效的安全性认证Relay认证Server＋MD5Server门户服务器用户终端HTTP私有认证协议MA5200私有认证协议认证Client＋MD5Client 逻辑结构物理结构认证Server＋MD5Server门户服务器用户终端HTTP私有认证协议MA5200私有认证协议认证Client＋MD5Client门户服务器用户终端MA5200MA5200…VLAN+WEB用户认证----华为自主设计的认证方式网络 门户服务器上运行中继程序，将用户的认证请求转发给相应的MA5200中继程序是JAVA应用，可适应不同的WEB服务器和操作系统。VLAN+WEB用户认证----华为自主设计的认证方式 VLAN+WEB用户认证----实现过程12345678910用户ClientWEBServerMA5200AAAServer申请MagicNumber转发申请生成MagicNumber回送转发MagicNumberRelay给Client发送认证请求（用户名和密码摘要）；转发认证请求Radius请求反馈认证结果发送认证结果转发认证结果 802.1X：LANSWRadiusServerMA5200EAPOLEAPEAPOL主要完成基本的端口控制，不能完全实现“可运营、可管理”IEEE标准，需要终端软件支持实现位置有多种选择，对交换芯片有要求802.1X接入认证方式 华为VRP操作系统对802.1X协议做了多方面扩展以改善其特性：VRP平台的802.1X子系统扩展了多种受控端口类型（物理端口/逻辑端口/逻辑端口+源MAC，以支持复杂的电信应用环境。VRP的802.1X子系统允许一个物理端口下有多个受控端口。VRP平台不仅支持EAPRelay，还支持EAP终结，对远程Radius无更改要求。华为公司也提供基于WINDOWS98/ME平台802.1X的客户端；界面与拨号网络相同，使用较WINDOWSXP版本方便，并能配合其它设备实现一些专有的增值业务功能。802.1X接入认证方式扩展 完善的用户管理功能有效的QOS保证健全的安全机制丰富的业务提供能力灵活多样的计费支持良好的运营维护能力MA5200：可运营、可管理、电信级以太接入设备 MA5200有效的QoS保证流分类流量监管(CAR)队列调度技术拥塞避免和Buffer管理 承诺访问速率——CAR分类服务：对不同的用户业务配置接入保证带宽参数。速率限制：根据流分类结果匹配用户接入业务流，利用令牌桶算法，对相应用户业务流按照约定的速率带宽限制MA5200流量监管指标：双向流量限制：对业务流双向进行流量监管。监管粒度：支持从128Kbps开始，以64Kbps为单位递增。控制误差：控制精度<10％接收报文流分类令牌桶后续处理入接口策略库流量参数MA5200有效的QoS保证---流量监管和整形 MA5200可实现对接入带宽的控制 FIFO队列传统队列，无QosIP优先队列(PreferenceQueue)8个优先级，绝对保障优先按权重轮循包调度队列(W_DRR)8个用户队列，根据优先级按比例预先分配带宽40%20%30%10%数据优先级高优先级底QOS关键技术－－队列调度MA5200有效的QoS保证---队列调度 完善的用户管理功能有效的QOS保证健全的安全机制丰富的业务提供能力灵活多样的计费支持良好的运营维护能力MA5200：可运营、可管理、电信级以太接入设备 网络运营安全IP/MAC地址仿冒防止DHCP服务器攻击保护重要网络资源保护接入用户安全保证二层严格隔离三层受控访问MA5200健全的安全机制 网络运营安全－地址盗用 MA5200的接入端口和VLAN固定标识LANSWITCH接入端口唯一标识用户MA5200在用户接入连接建立后绑定IP-MAC-VLAN关系，丢弃不符合以上绑定关系的报文，用户断开连接后，绑定关系解除；IP地址的分配，MA5200存在动态和静态两种方式；动态用户在IP地址分配后，建立IP-MAC-VLAN绑定关系；静态用户在MA5200操作界面完成IP-MAC-VLAN绑定关系的指定；动态用户不能通过指定IP地址的方式接入网络；MA5200健全的安全机制--IP/MAC地址仿冒防止 网络运营安全－DHCP服务器攻击 QuidwayS2403FMA5200DHCPServerIP网络DHCP请求广播DHCP续传MA5200健全的安全机制--重要网络资源保护控制每个端口的接入用户数目设置用户访问控制表IP地址是重要网络资源，需要保护，控制分配 ISP给她发点垃圾信息！业务被破坏！缺乏隔离控制接入用户安全保证 支持802.1Q标准的VLAN,为每一个用户端口分配一个独立的VLANID,在第二层利用VLAN支持不同用户的流量严格隔离VLAN机制工作在第二层,在第三层(IP层)上面,通过AccessList实现用户流量隔离和用户之间的受控互访通信，以及用户与网络设备的隔离。MA5200健全的安全机制--基于VLAN的用户数据隔离 QuidwayS2403FMA52002403每个端口分配一个VLAN号利用不同的VLAN号物理隔离用户MA5200不同业务端口下VLAN号可以重复MA5200健全的安全机制--接入用户二层严格隔离 QuidwayS2403F用户访问控制表ACL:DstIPSrcIPAction...userAuserBDeny0.0.0.0/0userAPermituserAuserBMA5200通过基于用户的访问控制表实现三层的受控访问MA5200userA和userB访问禁止MA5200健全的安全机制--接入用户三层受控访问该功能同样可用于网上重要服务器的保护userA允许访问缺省目的网段 完善的用户管理功能有效的QOS保证健全的安全机制丰富的业务提供能力灵活多样的计费支持良好的运营维护能力MA5200：可运营、可管理、电信级以太接入设备 宽带用户以太接入（高速上网）受控多播/广播支持（网络电视）IP-HOTEL201+宽带上网卡NAT转换VPDN_VPN多ISP支持智能小区集团用户专线网吧应用以太网电话MA5200丰富的业务提供能力 MA5200典型EAS组网结构CoreMA5200MA5200EMA5200L3S3026S2000系列S2000系列S3026V网管中心业务中心SNMPRadiusGEGEFEEVDSLLANMA5100/5306 ATMCoreIPCorePSTNGKL3SwitchMA52002403F网管DHCPServerRadiusServerLocalServer分发汇聚层业务接入层核心交换层MA5200组网应用——典型组网 用户业务管理－PORTAL业务 WebTV实时股票信息网上收音机其它娱乐信息树型拷贝，节约带宽支持IGMP多播协议华为公司私有组播协议HGMP具有用户多播业务控制表，能够对用户加入多播组进行控制节目1节目1节目1节目1节目1节目1节目1节目1MA5200S2403FS2403FMA5200丰富的业务提供能力-----组播与组播控制 MA5200和路由器之间的多播控制报文交互：MA5200丰富的业务提供能力-----组播与组播控制 MA5200和用户主机之间的多播控制报文交互：MA5200丰富的业务提供能力-----组播与组播控制 MA5200组播业务报文流MA5200丰富的业务提供能力-----组播与组播控制 MA5200丰富的业务提供能力-----IPHOTEL FEPFEPRSMHUB校园电话201校园卡系统LANSWITCH宽带城域商业网C&C08iNETC&C08iNETC&C08iNETC&C08iNET宽带卡系统MA校园（LAN接入）DCNMA5200丰富的业务提供能力-----201+宽带上网卡HUBLANSWITCHMA校园（LAN接入） MA5200丰富的业务提供能力-----NAT转换NAT地址转换功能MA5200以NAT插板支持公网和私网地址的转换，支持静态地址映射和PAT方式最大支持40000个session数目。每秒刷新连接1K以上支持基于TCP/UDP的应用：HTTP：超文本传输协议，支持WWW网页浏览；Telnet：远程终端登录；TFTP：简单文件传输服务；finger等其它负载中无地址信息的TCP/UDP应用。支持SNMP、IGMP、MGCP、FTP等协议中的地址转换应用，支持分片报文。10.1.1.3129.9.188.2MA520010.1.1.23NAT 在Internet网上提供企业的虚拟专用网降低企业网络构建成本MANPPPoEPPPoE北京上海广州本部A公司深圳本部B公司MANInternetA公司人员A公司人员B公司人员MA5200MA5200AAAAAAAAAAAAMA5200丰富的业务提供能力-----VPDN_VPN ISP1ISP2批发带宽用户以PPP方式接入城域网拥有者通过隧道方式租赁带宽给各级ISPMANInternetPPPoEMA5200AAAAAAAAAMA5200丰富的业务提供能力-----带宽出租批发与多ISP支持 具有接入小区管理局域网络的能力和提供服务保证用户侧协议简单（以太网+DHCP）支持用户隔离和受控访问终接二层网络能力（一个小区可达1000-2万户，已经达到LAN极限）保证二层、三层安全性及DHCP系统安全性多播能力以支持小区视频业务用户识别能力，满足小区计费需求，用户访问记录用户业务公平调度能力，防止个别用户恶意占用带宽远程管理和供电能力增值业务提供以太网接入小区设备要求：MA5200组网应用——智能小区 以太接入小区的组网特点混合光纤双铰线技术：光纤＋以太网光纤有无与伦比的传输带宽及可靠性Ethernet成熟可靠先进、操作简单、造价低扩展性好：10M、100M、1000M通用性好，用户共享带宽IP网络的统计复用，提高使用效率 WWWAAAVOD100MINTERNET教育、医疗MA娱乐购物资讯小区管理中心小区信息网站以太接入小区组网方案远程抄表水、电、气防火、防盗、防气、紧急呼救POTS、INTERNETVOD、网上教育、医疗、购物、娱乐、内部资讯（家政、VOD、房源、电子帐单等）.........100M100M10M10M10MSWITCHSWITCHSWITCH 支持多种接入方式,提供具备可靠的安全保障、灵活的带宽管理、有效的访问控制、多样的计费定制等特点的IP宽带接入，实现PORTAL门户、VPN等多种增值业务。深圳蛇口信息岛的应用深圳IP城域网Portal数据中心网管中心北科创业大厦荔园玫瑰园文竹园榆园爱榕园MA5200招商海月骨干层(城域网节点)汇聚层(小区节点)接入层(楼宇节点)中心节点Radium8750+ISN8850S2403FS3026-VFE10MPSTNMA5200MA5100MA5100MA5103MA5103ONUONUONUFES2403F用户带宽控制，三层受控互访申请2M就够了多接一台PC接入用户数控制PPP帐号认证，WEB+PORTALS2403F盗用她的地址S2403F地址仿冒防护，DHCP防攻击，IP地址保护GEGEEVDSLMODEM163ATM网 智能小区方案（FTTX+ADSL+LAN）LAN100MADSLADSLMAAAAVODWWW小区信息管理中心抄表台中央处理器路灯、煤气、停车场等监控台!POTSRTUFAX高速上网可视电话会议电视VODSTBHUB住户甲防火、防盗、防气、紧急呼救远程抄表水、电、气IDTRTU10Base-T住户乙ISP1VODserverISPN网络侧小区侧用户侧MA5200IP 充分利用现有的HFC网络资源，为用户提供诸如高速上网，VOD，物业管理等智能小区业务，提升网络的竞争力。天津世纪城智能小区（HFC）网管中心FE世纪城花园MA5200天津宽带城域网MA5201MA5201CMHUB100M100M10MVODWWW小区信息管理中心抄表台、路灯、煤气、停车场!OSS100M河西节点NDT200用户NDT200用户CM（NDT专用）HUB10MCMHUB10MNDT200用户NDT200用户小区双向同轴分配网CM（NDT专用）HUB10M小区双向同轴分配网 哈尔滨宽带校园网ONU/MA5100ATM/IPIDC/CC/MCUSDH/ATM/IPADSLLANCES/FRCESATU-RLANSW采用不同的接入手段灵活解决校园网络这一特殊用户群的各种业务需求，提供如宽带上网卡、网络教学、远程教育、会议电视等校园特色业务。采用MA5100、MA5200设备组网，共覆盖黑龙江省二十多所大学校园。PSTN/DDNOLT 完善的用户管理功能有效的QOS保证健全的安全机制丰富的业务提供能力灵活多样的计费支持良好的运营维护能力MA5200：可运营、可管理、电信级以太接入设备 用户的认证、计费是运营性网络最重要的业务需求之一灵活的用户认证策略：远端认证（RADIUS认证）、本地认证、不认证完善的用户计费策略：远端计费（RADIUS计费）、本地计费灵活的用户计费方式：按时间、按流量MA5200可以对用户所使用的业务进行区分进行基于业务的计费MA5200灵活多样的计费支持 本地计费强大的本地话单池与话单存储设备管理功能话单定时备份，备份时间间隔可设话单定时备份方式：闪存、后台（通过TFTP协议）话单输出采用文本文件格式话单中包含时间、流量等详尽的原始计信息针对不同的用户接入（PPP，VLAN）采用相同的计费流程远端计费（RADIUS计费）的辅助计费方式MA5200灵活多样的计费支持 远端计费（RADIUS计费）支持标准的RADIUS计费协议（RFC2865，RFC2866）可以向计费服务器提供时间、流量等详尽的计费信息实时计费，时间间隔可设针对不同的用户接入（PPP，VLAN）采用相同的计费流程与本地计费配合可以防止因为设备与计费服务器通信中断而造成的话单数据丢失MA5200灵活多样的计费支持 本地计费话单格式话单流水号，唯一标识一张话单接入流水号，唯一表示一次用户接入用户名话单类型，在线话单和离线话单接入时间已在线时间流量信息（上下行包数与字节数，分四个优先级和业务类型）MA5200灵活多样的计费支持 针对宽带接入设备的特点，对标准的RADIUS进行了适当的扩充在用户认证结果中包含了授权信息，如带宽，访问权限等在实时计费报文中包含了不同优先级和业务类型的流量信息MA5200灵活多样的计费支持 完善的用户管理功能有效的QOS保证健全的安全机制丰富的业务提供能力灵活多样的计费支持良好的运营维护能力MA5200：可运营、可管理、电信级以太接入设备 CoreMA5200Quidway2403F网管AAAMA5200对二层以太网交换机统一的运维管理Quidway2403FQuidway2403FQuidway2403F自动配置管理故障检测端口状态多播转发表控制…...MA5200MA5200MA5200'