搜索
MA5200产品培训胶片2内容:MA5200产品定位产品总体结构业务实现流程用户管理特性31、可运营、可管理、电信级以太接入设备2、分布式BAS3、边缘接入服务器:EASMA5200产品定位4MA5200是华为公司针对密集型以太网接入用户而推出的多业务宽带接入设备,提供电信级的可运营、可管理能力,是建设以太接入网络的最佳选择。MA5200产品主要应用于:新建小区和商业大楼的高速接入网络建设运营商宽带接入网与数据公网建设企业VPN网络建设区域信息岛建设MA5200构建IP业务接入网络时,整框最大可支持6K并发用户业务的接入。MA5200产品定位5功能特征:流量模型是汇聚为主路由协议支持要求不高具备强大的用户管理功能完善的基于用户的网络安全保障措施基于用户面向计费和网络管理的统计功能灵活的可扩展业务生成平台MA5200产品定位6强大的用户管理功能的体现:完善的用户认证,控制功能有效的QOS保证健全的安全机制丰富的业务提供能力灵活多样的计费支持良好的运营维护能力MA5200产品定位强调实现方式:集中控制,分布转发7内容:MA5200产品定位产品总体结构业务实现流程用户管理特性8MA5200MA5203MA5200E/FMA5200定位于EAS(以太网接入服务器),可下接LANSW、DSLAM、EVDSL交换机、HFC头端等设备,完成用户的统一认证和管理。MA5203定位于小容量EAS,功能特点与MA5200完全一样。MA5200E/F定位于小区以太接入汇聚,功能特点与MA5200相同,容量与结构更加适合LAN/EVDSL小区的应用。MA5200系列产品9MA5200插框外部结构一体化的结构设计,综合考虑系统散热、EMC、供电问题标准13U插框,9U插板16槽位,2个主控槽位,14个业务槽位单板尺寸:366.7mm×340mm(9U)可选的一次电源配置13U1016槽位插框,14业务板槽位兼容支持GE、FE、POS等多种业务接口系统控制板上行转发板上行转发板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板MA5200规格系统控制板11接入板多样灵活提供多种接口单板类型:-系统控制板(SMB):完成业务处理,用户管理的核心-业务板:•HRB板:高速路由转发板,必须有的单板•HAB板:业务接入板,提供电口和光口的FE,GE接口扣板•CTS板:CABLE接入业务板,HFC用户接入•NAT板:实现NAT功能的单板12MA5200E/F是原先MA5200的单机版本,继承了MA5200的所有的业务功能采用新一代网络处理器,10Gbps无阻塞共享缓存交换容量,24个FE,两个GE全对称业务端口,3Mpps(2GE)线速转发能力硬件支持单播/多播和广播转发每个端口支持4个CoS,支持SP/WFQ调度器的配置一体化的盒式结构设计,综合考虑系统散热、EMC、供电问题MA5200系列产品简介13MA5200E为24FE电口固定配置,MA5200F为以6端口为单位的FE电口/光口选配MA5200F具有双电源热备份MA5200F可以提供AC220V或DC—48V输入,MA5200E只有AC220V输入MA5200F的GE、FE口均为前出线,MA5200E的GE口为后出线MA5200系列产品简介14内容:MA5200产品定位产品总体结构业务实现流程用户管理特性15MA5200业务实现流程简介MA5200业务实现的总体原则:集中控制,分布转发1、业务控制完全在主机完成;2、业务实现由单板完成;16NPCPUASICNP(网络处理器)综合了CPU和ASIC的优势,采用可编程的微码技术,在业务处理方面具有高灵活性,同时具有接近ASIC的成本优势,成为构建EAS的技术基础。CPU是路由器和BAS类产品的处理核心,特点是灵活、业务功能强,缺点是性能不高,昂贵。ASIC是L2/L3实现的基础,采用精简指令集中,廉价、高效,但程序写死所以欠灵活。目前业界常用到的NP包括Rainer、C-5、IXP1200等型号,近期更出现了将NP与L3ASIC集成到一起的方法,代表了未来发展的方向。CISCO最新的CL2924L3、OSR7600等均采用了NP技术用户管理设备的核心技术17转发流程和业务处理的主要功能模块接入报文合法性验证流分类流量监管路由转发队列调度MA5200电信级用户管理的实现原理----转发流程18令牌桶流量统计Queue0Queue1Queue2QueueNDropTailRR/DRR接收报文合法验证流分类流量限制队列发送报文出队调度拥塞控制路由转发策略路由源地址目的地址源端口目的端口协议类型ACLIP/MAC/VLAN绑定检查用户策略信息库MA5200电信级用户管理的实现原理----转发流程19流分类目的分类是为了提供有区别的服务和控制策略,MA5200通过流分类可以识别出不同用户的不同业务流,并获取相应业务流的处理规则。流分类的结果可用于接入速率限制,策略路由,访问控制,优先级调度等处理。流分类依据由于IP报文的服务目的一般不依赖于从哪个物理层收发,而依赖于来去的地址和承载内容,所以通常用报文5元组为报文分类:源/目的IP地址,源/目的协议端口号,协议类型。MA5200做为以太接入设备,流分类增加了VLAN信息。TOS的应用MA5200做为网络边缘设备对报文分类的同时,设置TOS字段,网络骨干设备可直接使用分类结果提供服务,实现IETF的DiffServ模型。转发流程中关键技术--流分类MA5200电信级用户管理的实现原理----流分类20MA5200业务接入处理板和路由转发板业务接入处理板和路由转发板的硬件结构相同,由业务接入处理底板和物理接口板以“主板+扣板”形式构成,通过在统一的底板平台上增加不同的扣板,提供不同网络接口,依靠不同的软件完成不同的业务处理和路由转发功能,大大增强了组网灵活性和升级能力。业务接入处理底板HAC物理接口板21业务接入处理底板HAC业务接入处理底板的作用:提供接入业务处理的硬件平台根据加载软件的不同,可以作为Ethernet业务接入处理板,完成数据包的封装处理、流量限制,用户管理控制;也可以作为路由转发模块的处理板,完成数据包的路由、转发、协议封装等处理。提供与背板总线的接口22物理接口扣板E8FI:8路10/100M以太网电接口,传输距离100mO8FIB:8路10/100M以太网多模光接口扣板,传输距离2KmO8FIF:8路10/100M以太网单模光接口扣板,传输距离15KmO1GIS:1路短波千兆多模光接口扣板,传输距离200mO1GIL:1路长波千兆光接口扣板,支持单模和多模光接口,通过选用不同的光纤来选择接口的模式,单模接口传输距离可达10Km,多模接口传输距离小于500m;155POS扣板方式灵活提供多样接口23内容:MA5200产品定位产品总体结构业务实现流程用户管理特性24完善的用户管理功能有效的QOS保证健全的安全机制丰富的业务提供能力灵活多样的计费支持良好的运营维护能力MA5200:可运营、可管理、电信级以太接入设备25用户认证策略用户计费策略访问控制用户带宽控制优先级控制用户接入终端数控制多播组管理MA5200电信级用户管理的主要特点26基于物理位置的接入方式——VLAN方式基于帐号的拨号接入方式——PPPOE方式华为自主设计的灵活接入方式——VLAN+WEB认证接入基于端口的安全接入控制方式——802.1x协议接入MA5200的用户管理---用户接入后的认证、授权27VLAN/DHCP+VLAN+WEBPPPoE802.1X效率高较高低高安全性较高高高高客户端软件无无有有控制能力端口/用户数量/带宽端口/用户数量/带宽/业务端口/用户数量/带宽端口/带宽仿冒防护能力强/弱强强弱业务支持能力较强强难支持组播一般IP地址先分配/后先分配后分配后分配设备要求低低较高对交换芯片有要求标准性802.1Q802.1QRFC2516IETF易用性强强一般较强用户管理---各种认证方式综合比较28比较点802.1xVLAN+Web认证用户管理802.1x协议本身只规定对于物理端口进行打开或者关闭控制,设备需要进行扩展该协议才能实现对于用户的管理。因而,IEEE802.1x推荐的使用环境为点对点的物理或逻辑端口,不适合共享网络的情况(譬如二层广播域内有多个用户时)管理到每个用户,支持端口和帐号的绑定,防止端口和帐号的盗用。认证方式对于同一端口下,存在永远在线的设备时,就不能进行认证。同一端口下的不同类型的设备能区分认证。计费功能仅提基于端口的计费方式。同一端口下的不同类型的设备不能区分计费。支持基于用户的计费方式。按照时间长度、流量、目的地址多种计费方式,混合计费方式。客户端需求需要支持802.1x的客户端,微软的WinXP不需要用户异常下线通过用户重认证的机制来实现,认证开销比握手的开销大,时间间隔长。完整的心跳和握手检测机制,时间间隔短地址分配方式DHCP方式先认证后分配IP地址DHCP方式先分配内部IP地址,Web认证通过再分配合法IP地址,不存在IP地址浪费问题。业务提供能力1、802.1x仅仅完成了一个接入认证,增值业务还需要进一步的开发,才可以实现1、运营商结合WEB认证方式,可以为用户灵活提供各种业务。2、用户使用业务方便,并实时掌握自己的资费情况用户管理---各种认证方式综合比较29基于物理位置的接入方式-VLAN接入Core根据接口信息分配IP地址DestSrcDataLen/Etypep/QLabelp/QLabelEtypeEtypeFCSPriorityVLAN-IDVLAN-IDToken-RingToken-Ring封装标记封装标记VLAN-IDVLAN-ID和和T-RT-R封装标记封装标记重新计算重新计算FCSFCS662224...DestSrcFCSDataLen/EtypeMA5200Quidway2403DHCPServerDHCP报文业务报文30CoreMA5200DHCPServer1用户发起DHCP申请2MA5200根据用户权限作DHCPRELAY3根据DHCPAGENT的IP地址从相应地址池中分配用户IP地址4MA5200转发分配的IP地址,同时完成IP+VLAN+MAC的绑定5用户获得IP地址基于物理位置的接入方式-VLAN接入方式31基于帐号的拨号接入方式ISP根据接口信息分配IP地址RadiusServerRadiusClientPPPoE集中管理传统拨入方式便于支持IPVPN32CorePPPoEMA5200AAAPPP本地终结,IP转发PPPPPPOEIPMACPPPPPPOEIPMACVLANPPPIPMACVLANPPPOEMAC基于帐号的拨号接入方式——PPP本地终结MAC33VLAN+WEB用户认证----华为自主设计的认证方式一个帐号随处使用一个帐号多人使用WEB认证为流动用户提供了灵活的认证方式Login:帐号A@ISPPassword:密码Login:帐号A@ISPPassword:密码MA5200Quidway2403Quidway240334CoreMA5200RadiusServer3、用户发起认证4、MA5200作为认证客户端,与RadiusServer配合完成用户的认证过程2、MA5200的ACL控制用户在未经过认证前只能访问一个或几个特定服务器(WEB认证服务器)1、用户通过DHCP获得IP地址LANSWWEBServer5、用户通过认证后可以正常实现Internet访问VLAN+WEB方式是结合了帐号和物理位置的认证方式,可以作为实现Portal(门户业务)的基础VLAN+WEB用户认证----华为自主设计的认证方式35VLAN+WEB用户认证----友好的HTML页面用户登录统一的门户,获得认证页