[H300901-05]MA5200F系统介绍和硬件-A

宇信培训中心[H300901-05]MA5200F系统介绍和硬件-A宇信培训中心宽带上网是一种时尚，运营商如何对宽带接入用户进行认证计费呢，下面让我们来学习华为技术有限公司的智能宽带接入服务器MA5200F。宇信培训中心学习指南•此页列出本课程内需要参考的资料名称，包括随机资料、学员用书、多媒体课件等。宇信培训中心参考资料•SmartAXMA5200F技术手册宇信培训中心学习完此课程，您将会：–掌握MA5200F的技术特点–掌握MA5200F的基本原理和体系结构–了解MA5200F的组网应用–了解MA5200F产品的技术指标宇信培训中心概述•MA5200F是一款高性能路由器，也是一款高性能的宽带智能接入服务器。•MA5200F定位于接入层或者汇聚层，适用于以太网、xDSL（DigitalSubscriberLine）、WLAN（WirelessLAN）等各种接入类型的网络，可以广泛地应用于运营商宽带接入网、企业网、校园网、政务网、酒店等各种业务类型的网络，满足了不同网络对灵活的用户管理以及可靠的网络安全的需求。宇信培训中心概述•MA5200F针对用户提供了功能强大的用户管理和业务控制功能，包括：灵活完善的用户接入方式，用户身份认证和安全保障，基于用户策略的访问控制，业务QoS保证，即插即用、NAT，组播控制、用户访问日志等。•MA5200F同时提供丰富的计费信息，支持多种计费方式。硬件结构—外观•MA5200F为2U高盒式设备，可以装入19英寸标准结构机柜。•MA5200F可以提供24个FE口和2个GE口硬件结构—系统(1)风扇(2)SPUC板(3)BKPC板(4)GE插板(5)FE0插板(6)FE1插板(7)FE2插板(8)FE3插板(9)网口、串口、复位键、指示灯软件结构-报文处理流程用户管理3.4专线3.5组播宇信培训中心用户接入——用户类型非管理用户管理用户个人用户二层用户三层用户专线用户VLAN专线二层接入形式三层接入形式Proxy专线PPPoE专线VLAN透传专线宇信培训中心用户认证方式—PPPOE认证3、MA5200F与RADIUS服务器配合完成PPPoE的帐号、密码的验证处理，给用户分配一个合法的IP地址MA5200FRadiusServerLanswitchCore5、RADIUS服务器完成对用户的计费2、MA5200F终结PPPoE1、用户发起PPPoE4、用户获得合法的IP地址，并可以访问Internet•PPPoE方式是基于帐号、密码的认证方式•MA5200F整机对PPPoE的处理能力是2K个PPPOE业务认证流程PCLanSwitchMA5200DHCPServerRadiusServerPPPoEDiscovery阶段协商PPPoEDiscovery协商报文LCP协商阶段LCP协商阶段PAP/CHAP认证阶段PAP/CHAP认证阶段远端Server认证如果本地认证就没有该步骤通过DHCPClient到远端DHCPServer申请地址如果本地申请地址就没有该步骤NCP协商阶段NCP协商阶段Useronline宇信培训中心用户认证方式—VLAN绑定认证5、MA5200F转发分配的IP地址，同时完成IP+VLAN+MAC的绑定MA5200FDHCPServerLanswitchCore4、根据DHCPAGENT的IP地址从相应地址池中分配用户IP地址3、MA5200F根据用户权限作DHCPRELAY1、用户发起DHCP申请6、用户获得IP地址2、加入VLAN标识MA5200F整机对VLAN业务的处理能力是2K个VLAN绑定认证业务流程PCLanSwitchMA5200DHCPServerDHCPDiscovery报文Useronline动态用户DHCPACK报文远端DHCP协商MA5200根据用户二层信息生成用户名进行本地认证DHCPDiscovery报文DHCPOffer报文DHCPOffer报文DHCPRequest报文DHCPRequest报文DHCPRequest报文DHCPRequest报文DHCPACK报文远端DHCP协商如果本地分配地址就没有该步骤静态用户用户ARP或者IP报文用户ARP或者IP报文MA5200根据用户二层信息生成用户名进行本地认证Useronline用户认证方式—VLANWEB认证•WEB认证方式分为二层、三层形式，PnP用户也采用该认证方式CoreRadiusServerWEBServerLANSwitchMA5200F2、MA5200F的ACL控制用户在未经过认证前只能访问一个或几个特定服务器（WEB认证服务器）4、用户通过认证后可以正常实现Internet访问5、MA5200F作为认证客户端，与RadiusServer配合完成用户的认证过程4、用户通过认证后可以正常实现Internet访问1、用户通过DHCP获得IP地址3、用户发起认证VLANWEB认证业务流程（一）PCLanSwitchMA5200DHCPServer/AAAServerWEBServerDHCP协商过程如果本地申请地址就没有该步骤Useronline对于静态用户没有DHCP过程DHCP协商过程远端DHCP协商用户访问WEB服务器认证页面，输入用户名和密码进行认证WEB服务器将用户认证信息发送给MA5200进行远端AAAServer认证认证成功回应MA5200通知WEBServer用户认证成功WEBServer返回用户认证成功页面如果本地认证就没有该步骤VLANFAST认证业务流程（二）PCLanSwitchMA5200路由器DHCPServerAAAServerWEBServerDHCP协商过程如果本地申请地址就没有该步骤Useronline对于静态用户没有DHCP过程，只有ARP和IP触发认证DHCP协商过程远端DHCP协商远端DHCP协商用户访问WEB服务器认证页面，不需要输入用户名、密码，进行认证WEB服务器将用户认证信息发送给MA5200MA5200通知WEBServer用户认证成功WEBServer返回用户认证成功页面MA5200根据用户二层信息生成用户名进行本地认证用户认证方式—802.1x•802.1X方式是基于帐号、密码的认证方式3、MA5200F与RADIUS服务器配合完成802.1X的帐号、密码的验证处理MA5200FRadiusServerLanswitchCore5、RADIUS服务器完成对用户的计费2、MA5200F终结EAPoL1、用户发起802.1X4、用户发起DHCP过程，获得合法的IP地址，并可以访问InternetDHCPServer802.1x业务认证流程PCLanSwitchMA5200DHCPServerRadiusServerDHCP_DISCOVER/DHCP_RequestEAP-request/Identity远端Server认证如果是本地认证就没有该步骤到远端DHCPServer申请地址如果本地申请地址就没有该步骤EAP密钥协商UseronlineDHCP_DISCOVER/DHCP_RequesttEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密钥协商DHCP协商DHCP协商根据配置可以先进行DHCP协商再进行802.1X认证用户管理3.4专线3.5组播AAA&RADIUS报文流程连接管理AAARadiusRadiusServer认证认证请求认证请求认证请求认证回应认证回应认证回应开始计费Login开始计费请求开始计费请求开始计费回应开始计费回应在线用户授权修改在线用户授权修改在线用户授权修改停止计费Logout停止计费请求停止计费请求停止计费回应停止计费回应Logout回应授权—认证计费•支持PAP/CHAP/EAP-SIM认证•支持不认证•二级认证策略•支持基于流量、时长的计费•支持实时计费•计费抄送功能（基于ISP/物理位置）•计费失败处理策略用户管理3.4专线3.5组播宇信培训中心用户管理－业务控制为了控制用户业务，赋予每个用户两种组号：•InterGroup——用于管理用户间的互访控制，•UclGroup——用于管理用户访问非管理地址的权限控制。MA5200F支持5元组ACL，支持标准和扩展ACL，按照源和目的用户类型的不同，ACL规则可分为以下三类：•用户间的互访控制；•用户访问非管理地址的权限控制；•非管理地址间的访问控制。ACL规则配置完成后，还要应用到具体范围，才能真正生效，作用范围有三类：•全局范围，•端口范围，•端口VLAN范围。宇信培训中心用户管理－CAR流量监管(CAR)•MA5200基于用户的CAR共有32级，每一级CAR都可以配置不同的上下行基本速率、平均速率、峰值速率。•对每个用户做三种CAR：用户上下行CAR和用户访问设备的CAR。令牌桶入接口策略库流量参数CORE出接口MA5200FLanswitch用户管理3.4专线3.5组播宇信培训中心专线—概念专线接入泛指同一逻辑端口下的所有用户统一进行CAR和流量统计，在AAA只表现为一个连接的接入方式。专线下所有的用户具有相同的权限专线下所有的用户统一计费专线下所有的用户统一做CAR专线接入以端口VLAN作为识别标识分类VLAN专线：二层接入形式、三层接入形式Proxy专线PPPoE专线VLAN透传专线专线—VLAN专线MA5200FLanSwitchLanSwitchRouterVLANVLAN专线A专线BRouterMA5200FRouterRouterVLANVLAN专线A专线B二层VLAN专线与三层VLAN专线的区别：•挂接的设备不同：分别是2层设备（交换机）与3层设备（路由器）•二层VLAN专线可以由设备或用户分配地