DA110201 MA5200F產(chǎn)品與維護培訓(xùn)膠片 ISSUE3.0

MA5200F產(chǎn)品與維護2.0課程目標(biāo)（一）學(xué)習(xí)完本課程，您應(yīng)該能夠：了解MA5200F的硬件結(jié)構(gòu)掌握MA5200F的單板類型及接口類型了解MA5200的軟件結(jié)構(gòu)課程內(nèi)容

第一章概述第二章MA5200F的硬件結(jié)構(gòu)第三章MA5200F的單板類型及接口類型第四章MA5200F的軟件結(jié)構(gòu)概述（一）MA5200F是一款高性能路由器，也是一款高性能的寬帶智能接入服務(wù)器。MA5200F定位于接入層或者匯聚層，適用于以太網(wǎng)、xDSL（DigitalSubscriberLine）、HFC（HybridFiber-Coaxial）、WLAN（WirelessLAN）等各種接入類型的網(wǎng)絡(luò)，可以廣泛地應(yīng)用于運營商寬帶接入網(wǎng)、企業(yè)網(wǎng)、校園網(wǎng)、政務(wù)網(wǎng)、酒店等各種業(yè)務(wù)類型的網(wǎng)絡(luò)，滿足了不同網(wǎng)絡(luò)對靈活的用戶管理以及可靠的網(wǎng)絡(luò)安全的需求。概述（二）MA5200F針對用戶提供了功能強大的用戶管理和業(yè)務(wù)控制功能，包括：靈活完善的用戶接入方式，用戶身份認證和安全保障，基于用戶策略的訪問控制，業(yè)務(wù)QoS保證，即插即用、NAT，組播控制、用戶訪問日志等。MA5200F同時提供豐富的計費信息，支持多種計費方式。MA5200F硬件結(jié)構(gòu)—外觀MA5200F為2U高盒式設(shè)備，可以裝入19英寸標(biāo)準結(jié)構(gòu)機柜。MA5200F可以提供24個FE口和2個GE口MA5200F硬件結(jié)構(gòu)—系統(tǒng)(1)風(fēng)扇(2)SPUC板(3)BKPC板(4)GE插板(5)FE0插板(6)FE1插板(7)FE2插板(8)FE3插板(9)網(wǎng)口、串口、復(fù)位鍵、指示燈MA5200F硬件結(jié)構(gòu)—SPUCMA5200F軟件結(jié)構(gòu)業(yè)務(wù)子系統(tǒng)NAT子系統(tǒng)VRP子系統(tǒng)設(shè)備管理子系統(tǒng)系統(tǒng)支撐子系統(tǒng)NPS子系統(tǒng)微碼子系統(tǒng)系統(tǒng)管理子系統(tǒng)DOPRA+VRP+ServiceMA5200F軟件結(jié)構(gòu)-報文處理流程MA5200F軟件結(jié)構(gòu)-微碼處理流程MA5200F軟件結(jié)構(gòu)-VRP子系統(tǒng)VRP子系統(tǒng)完成路由和轉(zhuǎn)發(fā)功能，該系統(tǒng)可分為：路由協(xié)議路由管理轉(zhuǎn)發(fā)控制IP協(xié)議棧接口管理流管理訪問控制用戶日志靜態(tài)路由RIP2路由管理SocketAPITCPUDP接口管理IP/ICMP/IGMPOSPFBGP轉(zhuǎn)發(fā)控制流管理問題MA5200F是BAS設(shè)備，是否可以做為路由器使用？是否可以做為交換機使用？MA5200F最多同時支持多少個接口？多少光口？多少電口？MA5200F支持計費策略都有哪些？課程目標(biāo)（二）掌握MA5200F業(yè)務(wù)特性及規(guī)格掌握portal協(xié)議的工作原理學(xué)習(xí)完本課程，您應(yīng)該能夠：課程內(nèi)容

第一章MA5200F業(yè)務(wù)特性概述第二章MA5200F業(yè)務(wù)特性介紹第三章MA5200F業(yè)務(wù)規(guī)格第四章MA5200F典型組網(wǎng)MA5200F業(yè)務(wù)特性概述路由協(xié)議Portal協(xié)議用戶接入AAA&Radius

用戶管理NAT&PnP&二次地址分配專線\VPN\組播路由協(xié)議（略）MA5200FMA5200F組播路由協(xié)議：PIM-DM組播開始時，所有路由器會向所有接口發(fā)送播數(shù)據(jù)生成多播源樹B、C路由器沒有通過RPF檢查，發(fā)生prune（剪枝操作）C、D路由器收到相互報文，發(fā)送assert（聲明），D路由器停止向H發(fā)送數(shù)據(jù)I路由器沒有多播接收者，向H發(fā)送prune報文，H收到I剪枝操作后，本身也無接收者，向C發(fā)送prune報文，但C收到多播成員1的查詢報文，H剪枝失敗，I成功同樣，F(xiàn)向E發(fā)送PRUNE報文，但G發(fā)出多播查詢報文（或加入報文），F(xiàn)剪枝失敗I下新增加一個多播用戶，I向H，H向C發(fā)出加入報文，嫁接成功多播源IABCDEGFHI組播路由協(xié)議：PIM-SM路由器被設(shè)置為RP結(jié)點，在網(wǎng)絡(luò)初始情況下，網(wǎng)絡(luò)上沒有任何組播報文多播成員1加入組播組G，F(xiàn)/E發(fā)送多播請求加入組播組G多播源S發(fā)送數(shù)據(jù)，指定路由器A收到多播數(shù)據(jù)后發(fā)送源注冊報文,數(shù)據(jù)以單播方式發(fā)送到RP節(jié)點RP向源S所在方向發(fā)送加入請求組播成功后，RP停止發(fā)注冊消息多播源S，組播組G多播成員1ABCEFRPPortal協(xié)議－概念 什么是Portal協(xié)議Portal協(xié)議是華為公司制定的，用于寬帶用戶上網(wǎng)時通過IE等瀏覽器與WEB認證服務(wù)器通信的協(xié)議。Portal協(xié)議規(guī)定了采用Web認證時WebServer和BAS設(shè)備之間的報文格式和通信流程，協(xié)議支持PAP和CHAP兩種認證方式。CLIENT上線請求（用戶輸入用戶名和密碼點確定）Req_Challenge(type=0x01)Ack_Challenge(type=0x02)Req_Auth(type=0x03)Ack_Auth(type=0x04)向用戶推送下線頁面AFF_Ack_Auth(type=0x07)用戶在線Req_Logout(type=0x05)Ack_Logout(type=0x06)下線請求（用戶點擊下線）向用戶推送認證成功頁面如果是RADIU認證的，在這里和RADIUS認證和計費交互，只有都成功后才進行下面的過程WEBSERVERBAS(MA5200)Portal協(xié)議－流程（chap）Portal協(xié)議－流程（pap）Portal協(xié)議－二次地址分配用戶接入非管理用戶管理用戶

個人用戶

二層用戶VLAN用戶PPPOE用戶

WLAN用戶三層用戶三層WEB認證用戶

專線用戶

VLAN專線二層接入形式三層接入形式

Proxy專線

PPPoE專線

VLAN透傳專線

用戶接入方式接入方式認證方式PPPoE PPPoE VLAN綁定認證WEB認證快速認證WLAN802.1X用戶認證方式—PPPOE認證3、MA5200F與RADIUS服務(wù)器配合完成PPPoE的帳號、密碼的驗證處理，給用戶分配一個合法的IP地址MA5200FRadiusServerLanswitchCore5、RADIUS服務(wù)器完成對用戶的計費2、MA5200F終結(jié)PPPoE1、用戶發(fā)起PPPoE4、用戶獲得合法的IP地址，并可以訪問InternetPPPoE方式是基于帳號、密碼的認證方式MA5200F整機對PPPoE的處理能力是2K個PPPOE業(yè)務(wù)認證流程PCLanSwitchMA5200DHCPServerRadiusServerPPPoEDiscovery

階段協(xié)商PPPoEDiscovery協(xié)商報文LCP協(xié)商階段LCP協(xié)商階段PAP/CHAP認證階段PAP/CHAP認證階段遠端Server認證如果本地認證就沒有該步驟通過DHCPClient到遠端DHCPServer申請地址如果本地申請地址就沒有該步驟NCP協(xié)商階段NCP協(xié)商階段Useronline用戶認證方式—VLAN綁定認證5、MA5200F轉(zhuǎn)發(fā)分配的IP地址，同時完成IP+VLAN+MAC的綁定MA5200FDHCPServerLanswitchCore4、根據(jù)DHCPAGENT的IP地址從相應(yīng)地址池中分配用戶IP地址3、MA5200F根據(jù)用戶權(quán)限作DHCPRELAY1、用戶發(fā)起DHCP申請6、用戶獲得IP地址2、加入VLAN標(biāo)識

MA5200F整機對VLAN業(yè)務(wù)的處理能力是2K個VLAN綁定認證業(yè)務(wù)流程PCLanSwitchMA5200DHCPServerDHCPDiscovery報文Useronline動態(tài)用戶DHCPACK報文遠端DHCP協(xié)商MA5200根據(jù)用戶二層信息生成用戶名進行本地認證DHCPDiscovery報文DHCPOffer報文DHCPOffer報文DHCPRequest報文DHCPRequest報文DHCPRequest報文DHCPRequest報文DHCPACK報文遠端DHCP協(xié)商如果本地分配地址就沒有該步驟靜態(tài)用戶用戶ARP或者IP報文用戶ARP或者IP報文MA5200根據(jù)用戶二層信息生成用戶名進行本地認證Useronline用戶認證方式—VLANWEB認證WEB認證方式分為二層、三層形式，PnP用戶也采用該認證方式CoreRadiusServerWEBServerLANSwitchMA5200F2、MA5200F的ACL控制用戶在未經(jīng)過認證前只能訪問一個或幾個特定WWW服務(wù)器（WEB認證服務(wù)器）4、用戶通過認證后可以正常實現(xiàn)Internet訪問5、MA5200F作為認證客戶端，與RadiusServer配合完成用戶的認證過程4、用戶通過認證后可以正常實現(xiàn)Internet訪問1、用戶通過DHCP獲得IP地址3、用戶發(fā)起認證VLANWEB認證業(yè)務(wù)流程（一）PCLanSwitchMA5200DHCPServer/AAAServerWEBServerDHCP協(xié)商過程如果本地申請地址就沒有該步驟Useronline對于靜態(tài)用戶沒有DHCP過程DHCP協(xié)商過程遠端DHCP協(xié)商用戶訪問WEB服務(wù)器認證頁面，輸入用戶名和密碼進行認證WEB服務(wù)器將用戶認證信息發(fā)送給MA5200進行遠端AAAServer認證認證成功回應(yīng)MA5200通知WEBServer用戶認證成功WEBServer返回用戶認證成功頁面如果本地認證就沒有該步驟VLANFAST認證業(yè)務(wù)流程（二）PCLanSwitchMA5200路由器DHCPServerAAAServerWEBServerDHCP協(xié)商過程如果本地申請地址就沒有該步驟Useronline對于靜態(tài)用戶沒有DHCP過程，只有ARP和IP觸發(fā)認證DHCP協(xié)商過程遠端DHCP協(xié)商遠端DHCP協(xié)商用戶訪問WEB服務(wù)器認證頁面，不需要輸入用戶名、密碼，進行認證WEB服務(wù)器將用戶認證信息發(fā)送給MA5200MA5200通知WEBServer用戶認證成功WEBServer返回用戶認證成功頁面MA5200根據(jù)用戶二層信息生成用戶名進行本地認證用戶認證方式—802.1x802.1X方式是基于帳號、密碼的認證方式3、MA5200F與RADIUS服務(wù)器配合完成802.1X的帳號、密碼的驗證處理MA5200FRadiusServerLanswitchCore5、RADIUS服務(wù)器完成對用戶的計費2、MA5200F終結(jié)EAPoL1、用戶發(fā)起802.1X4、用戶發(fā)起DHCP過程，獲得合法的IP地址，并可以訪問InternetDHCPServer802.1X業(yè)務(wù)認證流程（EAP觸發(fā)）PCLanSwitchMA5200DHCPServerRadiusServerEAPoL-startEAP-request/Identity遠端Server認證如果是本地認證就沒有該步驟到遠端DHCPServer申請地址如果本地申請地址就沒有該步驟EAP密鑰協(xié)商UseronlineEAPoL-startEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密鑰協(xié)商DHCP協(xié)商DHCP協(xié)商根據(jù)配置可以先進行DHCP協(xié)商再進行802.1X認證802.1x業(yè)務(wù)認證流程（DHCP觸發(fā)）PCLanSwitchMA5200DHCPServerRadiusServerDHCP_DISCOVER/DHCP_RequestEAP-request/Identity遠端Server認證如果是本地認證就沒有該步驟到遠端DHCPServer申請地址如果本地申請地址就沒有該步驟EAP密鑰協(xié)商UseronlineDHCP_DISCOVER/DHCP_RequesttEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密鑰協(xié)商DHCP協(xié)商DHCP協(xié)商根據(jù)配置可以先進行DHCP協(xié)商再進行802.1X認證AAA&RADIUS報文流程連接管理AAARadiusRadiusServer認證認證請求認證請求認證請求認證回應(yīng)認證回應(yīng)認證回應(yīng)開始計費Login開始計費請求開始計費請求開始計費回應(yīng)開始計費回應(yīng)在線用戶授權(quán)修改在線用戶授權(quán)修改在線用戶授權(quán)修改停止計費Logout停止計費請求停止計費請求停止計費回應(yīng)停止計費回應(yīng)Logout回應(yīng)授權(quán)AAA&RADIUS—認證計費支持PAP/CHAP/EAP-SIM認證支持不認證二級認證策略支持基于流量、時長的計費支持實時計費計費抄送功能（基于ISP/物理位置）計費失敗處理策略用戶管理－業(yè)務(wù)控制為了控制用戶業(yè)務(wù)，賦予每個用戶兩種組號：

InterGroup——用于管理用戶間的互訪控制，

UclGroup——用于管理用戶訪問非管理地址的權(quán)限控制。MA5200F支持5元組ACL，支持標(biāo)準和擴展ACL，按照源和目的用戶類型的不同，ACL規(guī)則可分為以下三類：用戶間的互訪控制；用戶訪問非管理地址的權(quán)限控制；非管理地址間的訪問控制。ACL規(guī)則配置完成后，還要應(yīng)用到具體范圍，才能真正生效，作用范圍有三類：全局范圍，端口范圍，端口VLAN范圍。用戶管理－CAR流量監(jiān)管(CAR)MA5200基于用戶的CAR共有32級，每一級CAR都可以配置不同的上下行基本速率、平均速率、峰值速率。對每個用戶做三種CAR：用戶上下行CAR和用戶訪問設(shè)備的CAR。令牌桶入接口策略庫流量參數(shù)CORE出接口MA5200FLanswitchNAT&PNP－NAT特性InternetNAT靜態(tài)地址轉(zhuǎn)換PAT動態(tài)地址轉(zhuǎn)換靜態(tài)是指設(shè)備內(nèi)部的地址和外部地址是一一映射的關(guān)系，例如：PAT指通過四層端口的映射，來實現(xiàn)對地址的復(fù)用，節(jié)省公網(wǎng)地址：地址0配置靜態(tài)映射關(guān)系：

0<——>0外部看到的地址是0，內(nèi)部地址為0，地址00:8000配置靜態(tài)映射關(guān)系：

00:8000<——>0:1200100:9000<——>0:12002地址01:9000NAT&PNP－NATALGNATALG：在有些應(yīng)用，如FTP，Netmeeting，其應(yīng)用層凈荷中存在IP地址，所以必須解析應(yīng)用層的報文信息，進行地址的替換。R007NAT支持的ALG：FTPICMPNetmeeting(H.323)MGCPALG是什么意思？為什么要做ALG處理？NAT帶來的限制有一些需要做ALG（報文凈荷中攜帶IP地址）的應(yīng)用，將會無法使用，如視頻QQ，一些VPN，網(wǎng)絡(luò)游戲等。NAT&PNP－PNP特性Internet地址轉(zhuǎn)換BAS設(shè)備通過用戶的二層信息識別用戶在接收到用戶的報文后，進行地址轉(zhuǎn)換，將報文的源IP地址轉(zhuǎn)換為正確的地址收到網(wǎng)絡(luò)發(fā)向用戶的報文后，將報文的目的IP地址替換為用戶計算機上配置的地址；實現(xiàn)的原理和NAT相近，同樣對特定應(yīng)用必須做ALG處理Packet202:192.1.100Packet202:192.1.100Packet202:192.1.1000Packet202:192.1.1000Packet0202:192.1.100Packet0202:192.1.100Packet202:192.1.100Packet202:192.1.100NAT&PNP－PNPhttp代理支持PNP

HTTP代理支持專線—概念專線接入泛指同一邏輯端口下的所有用戶統(tǒng)一進行CAR和流量統(tǒng)計，在AAA只表現(xiàn)為一個連接的接入方式。

專線下所有的用戶具有相同的權(quán)限

專線下所有的用戶統(tǒng)一計費

專線下所有的用戶統(tǒng)一做CAR

專線接入以端口VLAN作為識別標(biāo)識分類

VLAN專線二層接入形式三層接入形式

Proxy專線

PPPoE專線

VLAN透傳專線專線—VLAN專線二層VLAN專線與三層VLAN專線的區(qū)別：

掛接的設(shè)備不同：分別是2層設(shè)備（交換機）與3層設(shè)備（路由器）二層VLAN專線可以由設(shè)備或用戶分配地址，三層VLAN專線必須由用戶自行管理地址專線—PPPoE專線

PPPoE專線與3層VLAN專線相似，不同點在于：PPPoE專線時路由器與MA5200F連接時使用PPPoE協(xié)議，而不是直接使用IP協(xié)議；

3層專線配置完成后就開始計費，而PPPoE專線在路由器撥號后開始計費。另外，由于需要配置用戶的網(wǎng)段路由，要求路由器通過PPP的申請到的地址必須固定分配。專線—VLAN透傳VLAN透傳是指預(yù)先指定某個VLAN端口進行透傳，并配置該VLAN端口的出端口。目的是在城域網(wǎng)范圍內(nèi)實現(xiàn)基于VLAN技術(shù)的VPN，滿足用戶的多個LAN互連的需求。MA5200F在做VLAN透傳時不進行三層處理，而是根據(jù)報文的VLANID進行二層處理，將來自管理端口的報文替換VLANID后轉(zhuǎn)發(fā)到非管理端口，將來自非管理端口的報文替換VLANID后轉(zhuǎn)發(fā)到管理端口。專線—PROXY專線RouterMA5200FProxyProxyVLANVLAN專線A專線BProxy專線主要用于網(wǎng)吧用戶。用戶通過一臺Proxy設(shè)備（代理服務(wù)器或NAT設(shè)備）接入MA5200F，網(wǎng)吧中的其他用戶通過Proxy轉(zhuǎn)換地址后上網(wǎng)。Proxy下主機的地址由用戶自行分配管理。MA5200F只能看到Proxy設(shè)備，而看不到Proxy下面的用戶。MA5200F對該類用戶預(yù)留資源，保證服務(wù)質(zhì)量。VPN—分類按用途分類：

遠程訪問虛擬專網(wǎng)（AccessVPN）

企業(yè)內(nèi)部虛擬專網(wǎng)（IntranetVPN）

擴展的企業(yè)內(nèi)部虛擬專網(wǎng)（ExtranetVPN）按組網(wǎng)形態(tài)分類（RFC2764）

虛擬租用線（VLL）虛擬專用路由網(wǎng)（VPRN）虛擬專用撥號網(wǎng)（VPDN）

虛擬專用LAN網(wǎng)段（VPLS）Core遠端用戶MA5200（LAC）MA5200F終結(jié)PPPoE，作為LAC，與LNS建立隧道和會話,實現(xiàn)L2TP功能。PPPPPPOEIPMACPPPPPPOEIPMACVLANPPPIPMACVLANPPPOEMACQuidway2403IPPPPL2TP

uDPIPMACL2TPUPDIPMACVPN—L2tpLNSVPN—L2TP隧道和會話建立過程PSTN/LANInternetPPPoEdiscoveryPPPLCPPPPAuthenticationSCCRQSCCRPTunnelauthenticationICRQICRPPPPLCPPPPAuthenticationPPPNCPPASSSCCCNZLBACKICCNZLBACKVPDN用戶LACLNS企業(yè)網(wǎng)VPN—GRE隧道VLL通過運營商的邊緣節(jié)點向用戶提供點到點連接業(yè)務(wù)。IP隧道建立在運營商的邊緣節(jié)點之間，支持多協(xié)議報文傳送。MA5200F支持在運營商的邊緣節(jié)點之間創(chuàng)建GRE隧道，可以將IP、IPX、AppleTalk封裝在IP協(xié)議內(nèi)，用戶的數(shù)據(jù)對于中間的設(shè)備是透明的。組播—組播成員加入Internet2、Lanswitch續(xù)傳報告報文并通過IGMPSnooping功能學(xué)習(xí)到參與組的用戶3、MA5200處理REPORT報文，決定哪些用戶接口加入多播組1、用戶發(fā)出加入多播組的IGMPreport報文4、MA5200向多播用戶端口發(fā)IGMP查詢報文5、Lanswitch續(xù)傳查詢報文到用戶多播路由器多播源組播—組播報文轉(zhuǎn)發(fā)Internet3、Lanswitch根據(jù)IGMPSnooping向有多播用戶的端口轉(zhuǎn)發(fā)報文2、MA5200根據(jù)用戶的加入報文決定向哪些端口轉(zhuǎn)發(fā)多播報文1、多播路由器收到多播報文會向MA5200轉(zhuǎn)發(fā)多播路由器多播源非受控組播的業(yè)務(wù)流程PCLanSwitchMA5200路由器IGMP查詢報文IGMP報告報文向組播用戶端口發(fā)送IGMP查詢報文續(xù)傳IGMP查詢報文IGMP成員報告報文續(xù)傳IGMP成員報告報文，并通過IGMPSnooping學(xué)習(xí)到加入組播組的用戶1、處理IGMP成員報告報文，決定哪些用戶接口加入該組播組2、不驗證用戶是否有組播權(quán)限向5200轉(zhuǎn)發(fā)組播業(yè)務(wù)報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務(wù)報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務(wù)報文運行PIM協(xié)議IGMPproxy或PIM協(xié)議，選其一IGMP成員離開報文從轉(zhuǎn)發(fā)表中刪除該用戶，如果該組播組下沒有其他用戶，續(xù)傳IGMP成員離開報文從轉(zhuǎn)發(fā)表中刪除該用戶接口，如果該組播組下沒有其他用戶，發(fā)送IGMP成員離開報文受控組播的業(yè)務(wù)流程（一）PCLanSwitchMA5200路由器IGMP查詢報文IGMP報告報文向組播用戶端口發(fā)送IGMP查詢報文續(xù)傳IGMP查詢報文IGMP成員報告報文續(xù)傳IGMP成員報告報文發(fā)送HMCP添加用戶報文運行PIM協(xié)議IGMPproxy或PIM協(xié)議，選其一檢查用戶是否有組播權(quán)限（單播認證時獲得）響應(yīng)HMCP添加用戶報文根據(jù)HMCP報文添加用戶組播轉(zhuǎn)發(fā)表項受控組播的業(yè)務(wù)流程（二）PCLanSwitchMA5200路由器向5200轉(zhuǎn)發(fā)組播業(yè)務(wù)報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務(wù)報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務(wù)報文IGMP成員離開報文續(xù)傳IGMP成員離開報文從轉(zhuǎn)發(fā)表中刪除該用戶接口，如果該組播組下沒有其他用戶，發(fā)送IGMP成員離開報文發(fā)送HMCP刪除用戶報文響應(yīng)HMCP刪除用戶報文根據(jù)HMCP報文刪除用戶組播轉(zhuǎn)發(fā)表項規(guī)格參數(shù)—電源及環(huán)境參數(shù) 電源參數(shù)

工作電源： AC：(110V~220V)20%

DC：-48V（-40V～-60V）

滿配置功耗：<90W

環(huán)境參數(shù)

工作溫度：-5℃～45℃(長期工作溫度)；-25℃～55℃(短期工作溫度)

工作濕度：10％～90％

潔凈度

直徑大于5μm的灰塵濃度≤3╳104粒／m3，灰塵粒子為非導(dǎo)電、非導(dǎo)磁和非腐蝕性

規(guī)格參數(shù)—轉(zhuǎn)發(fā)能力交換容量

10Gbps無阻塞共享緩存交換，共享緩存3MB

IP包轉(zhuǎn)發(fā)率

3Mpps，線速轉(zhuǎn)發(fā)

物理接口

10/100base-T光口/電口：24個/整機

1000base-T接口：2個/整機規(guī)格參數(shù)—系統(tǒng)容量支持的同時在線用戶數(shù)

2K（MA5200F-2000）

PPPoE接入數(shù)：整機2K個用戶

VLAN接入數(shù)：整機2K個用戶

L2TP隧道數(shù)：128個

L2TP會話數(shù)：2048個

路由表容量：1K靜態(tài)路由+1K動態(tài)路由+2K主機路由

ARP表項數(shù)：3K

支持的ISP數(shù)目：128個

IP地址池數(shù)目：128個

地址總數(shù)：12K個組網(wǎng)應(yīng)用—運營商寬帶城域網(wǎng)MA5200FLanSwitchAPCMTSIPDSLAMEthernetWLANHFCxDSLL3核心網(wǎng)認證計費平臺網(wǎng)管平臺業(yè)務(wù)平臺MA5200FMA5200FMA5200F組網(wǎng)應(yīng)用—企業(yè)網(wǎng)S2026S2026S2026S2026S2026S3026S3026S3026MA5200FS8016業(yè)務(wù)服務(wù)器QuidviewCAMSNE16EEudemon100Eudemon100企業(yè)總部業(yè)務(wù)服務(wù)器S2026S2026INTERNETIPTunnelMA5200FWA1006+企業(yè)分支機構(gòu)課程目標(biāo)（三）學(xué)習(xí)完本課程，您應(yīng)該能夠：熟練掌握MA5200F各類業(yè)務(wù)的配置方法課程內(nèi)容

第一章MA5200F系統(tǒng)配置第二章MA5200F公用基礎(chǔ)配置第三章MA5200F常用業(yè)務(wù)配置第四章MA5200F路由配置MA5200R007系統(tǒng)配置

Telnet登錄配置FTP登錄配置配置telnet訪問權(quán)限（一）配置一個ACL，只允許某些特定的IPTELNET到MA5200F[MA5200F]aclnumber10match-orderauto[MA5200F-acl-basic-10]rule0deny[MA5200F-acl-basic-10]rule1permitsource應(yīng)用ACL到VTY接口（默認情況為所有地址均可以訪問）[MA5200F]user-interfacevty04[MA5200F-ui-vty1-4]acl10inbound[MA5200F-ui-vty1-4]setauthenticationpasswordcipherma5200f配置telnet訪問權(quán)限（二）說明：以下命令適應(yīng)于MA2.10-7123以及后版本設(shè)置用戶登錄方式為用戶名密碼方式[MA5200F]loginauthentication-schemeschemetelnet（默認本地認證）

[MA5200F]loginlocal-userma5200fpasswordcipherma5200f[MA5200F-ui-vty1-4]authentication-modeschemetelnet設(shè)置用戶登錄方式為只驗證密碼方式[MA5200F-ui-vty1-4]authentication-modepassword配置FTP登錄信息啟用MA5200F的FTP功能[MA5200F]ftpserverenable（默認啟用）配置FTP使用的認證策略[MA5200F]loginauthentication-schemeschemeftp

（默認本地認證）

[MA5200F]ftpauthentication-modeschemeftp配置登錄用戶名和密碼[MA5200F]loginlocal-userftppasswordcipherftp配置用戶登錄默認目錄（必須）[MA5200F]loginlocal-userftpftp-directoryflash:/MA5200R007基礎(chǔ)公用配置

本地地址池配置（內(nèi)置DHCP）外置DHCP配置認證計費策略配置RADIUS策略配置ACL配置配置內(nèi)置地址池網(wǎng)關(guān)：計算機默認路由的下一跳（必）SECTION：客戶可以分配的IP地址段（必）DNS：計算機獲取的DNS地址（必）租期：IP地址的租期（選）DNS后綴：（選）NBNS服務(wù)器：計算機獲取的NETBIOS服務(wù)器地址（選）DHCP選項：（選）掩碼：地址池的范圍（必）本地地址池配置外置DHCP服務(wù)器網(wǎng)關(guān)：計算機默認路由的下一跳（必）DHCP服務(wù)器地址：DHCP服務(wù)器實際IP地址（必）釋放代理：用戶下線后是否向服務(wù)器申請釋放IP地址（默關(guān)）掩碼：地址池的范圍（必）DHCP組：關(guān)聯(lián)相應(yīng)的服務(wù)器（密）遠端地址池DHCP組配置認證計費策略本地本地遠端（RADIUS）先本地再遠端不認證認證方式計費方式遠端（RADIUS）先遠端再本地同時配置RADIUS策略認證服務(wù)器地址、端口（必）服務(wù)器類型（默認標(biāo)準）密鑰（必）用戶名是否帶域名（默認帶）是否用CLASS傳CAR（默認否）RADIUS流量單位（默認K）RADIUS報文超時時間和重傳間隔（默認5S*3）計費服務(wù)器地址、端口（必）RADIUS服務(wù)器組RADIUS屬性轉(zhuǎn)換（默認關(guān)）ACL配置（一）源目的報文類型Time-range端口號Rule0源目的報文類型Time-range端口號Rulen……源目的報文類型Time-range端口號Rule0源目的報文類型Time-range端口號Rulen……ACL3000ACL3XXX……PermitdenyPermitdeny配置ACL（二）小結(jié)：ACL的使用流程配置用戶所在的UCL組添加ACL設(shè)置ACL組中的RULE應(yīng)用ACL到接口或全局MA5200R007常用業(yè)務(wù)配置（一）

VLAN業(yè)務(wù)配置PPPoE業(yè)務(wù)配置802.1x業(yè)務(wù)配置VPN業(yè)務(wù)配置MA5200R007常用業(yè)務(wù)配置（二）

專線業(yè)務(wù)配置組播業(yè)務(wù)配置HGMP配置NAT配置MA5200R007VLAN業(yè)務(wù)配置VLAN業(yè)務(wù)配置要點：普通VLAN PNP（即插即用） 三層認證普通VLAN用戶上線流程Internet1、用戶發(fā)起DHCP申請2、加VLAN信息3、認證，通過后分配IP4、獲取IP及一定訪問權(quán)限5、再認證或正常上網(wǎng)6、再認證并分配用戶權(quán)限7、再認證通過后正常上網(wǎng)3、用戶獲取IP前根據(jù)認證前默認域策略采用綁定類型用戶名進行認證，認證后才分配IP地址，此時只能訪問有限資源。（ACL控制）5/6、如果3后用戶只有部分權(quán)限，用戶訪問或被強制web認證服務(wù)器認證，認證通過后得到上網(wǎng)的權(quán)限。根據(jù)認證域的策略可以進行二次DHCP。DHCPWEBRADIUSDHCPDHCPIPhttphttphttpAuth_REQAccetpREQ_challangeACK_challangehttpAuth_req普通VLAN業(yè)務(wù)配置流程從上面的流程可知一個VLAN用戶上網(wǎng)一般需要配置：IPPOOL（如果外置DHCP還需要配置DHCP組）、認證計費策略、RADIUS認證需要配置RADIUS策略、認證前默認域（默認為default0）、認證時默認域（默認為default1）、端口VLAN信息、本地認證配置本地用戶、上行路由，如下所示：配置IPPOOL配置認證策略配置計費策略配置RADIUS策略域配置（引用POOL、認證計費策略、RADIUS策略等）用戶配置端口VLAN配置ACL配置（WEB時需要）路由配置其它VLAN應(yīng)用－三層認證流程InternetHTTPWEBRADIUS1、根據(jù)portvlan檢測到是三層認證，且用戶IP在三層認證網(wǎng)段內(nèi)，強制到WEB認證頁面HTTP2、下面的過程和普通WEB認證相同三層WEB認證配置流程配置認證策略配置計費策略配置RADIUS策略配置三層用戶的網(wǎng)段及預(yù)認證域用戶配置端口VLAN配置域配置（引用POOL、認證計費策略、RADIUS策略、預(yù)認證域策略）ACL配置路由配置MA5200R007PPPoE業(yè)務(wù)配置PPPoE業(yè)務(wù)配置PPPoE用戶上線流程Internet1、用戶發(fā)起PPPOE認證2、檢查此portvlan下是否允許PPPOE接入DHCPWEBRADIUSPADIPADOPADRPADS4、認證后正常上網(wǎng)3、根據(jù)用戶名所在的域或認證時默認域及端口下虛模板的參數(shù)進行認證HTTPPPPoE業(yè)務(wù)配置流程配置IPPOOL配置認證策略配置計費策略配置RADIUS策略域配置（引用POOL、認證計費策略、RADIUS策略等）用戶配置端口VLAN配置路由配置虛模板配置MA5200R007802.1x業(yè)務(wù)配置802.1x業(yè)務(wù)配置802.1x用戶上線流程Internet1、用戶發(fā)起EAP2、檢查portvlan下是否允許802.1X用戶接入DHCPWEBRADIUSEAP-STARTREQ_IDRESPONSE_ID3、根據(jù)用戶域和1X模板的策略進行認證REQ_challangeRESPONSE_challangeREQ_ACCESSACCEPT_ACCESS4、DHCP5、正常上網(wǎng)http802.1x業(yè)務(wù)配置流程配置IPPOOL配置認證策略配置計費策略配置RADIUS策略域配置（引用POOL、認證計費策略、RADIUS策略等）用戶配置端口VLAN配置路由配置802.1x模板配置MA5200R007VPN業(yè)務(wù)配置VPN業(yè)務(wù)配置要點：L2TP GREVPN組網(wǎng)及原理LAN/WAN/PSTNInternetInternetVPNCLIENTMA5200F(LAC)MA5200FRouterVPNSERVER(LNS)L2tpGREVPN業(yè)務(wù)配置流程－L2TP對L2TP的配置主要分兩部門：PPPOE用戶配置和L2TP遂道相關(guān)配置，PPPOE用戶配置和普通PPPOE用戶唯一不同的地方在于VPN用戶在域里需要指定L2TP組索引，下面將重點介L2TP遂道的相關(guān)配置。啟用L2TP創(chuàng)建L2TP組配置LNS地址配置其它參數(shù)配置PPPOE用戶MA5200FVPN應(yīng)用的特殊形式在這種應(yīng)用形式下，VPN的用戶首先做為MA5200F的普通VLAN用戶或802.1x用戶在MA5200F上通過認證，然后在啟用撥號器直接向VPNSERVER發(fā)起呼叫，這時MA5200F對L2TP的報文像普通業(yè)務(wù)報文一樣轉(zhuǎn)發(fā)，所以在MA5200F只要按普通業(yè)務(wù)配置即事，不需要另做特殊配置。LAN/WAN/PSTNInternetVPNCLIENTMA5200F(LAS)VPNSERVER(LNS)L2tpVPN業(yè)務(wù)配置流程－GRE

GRE的配置比較簡單，只需要配置遂道物理接口，遂道本端IP地址，遂道源地址（實際地址）、遂道目的地址（實際地址）、封裝模式和哪些目的網(wǎng)段的報文從遂道轉(zhuǎn)發(fā)即可！遂道物理接口遂道本端ＩＰ遂道源ＩＰ遂道目的ＩＰ遂道封裝協(xié)議哪些網(wǎng)段走遂道MA5200R007專線業(yè)務(wù)配置專線業(yè)務(wù)配置要點：二層專線 三層專線

Proxy專線

PPPoE專線

VLAN透傳二層專線配置流程配置IPPOOL配置認證策略配置計費策略配置RADIUS策略域配置（引用POOL、認證計費策略、RADIUS策略等）用戶配置端口VLAN配置路由配置三層專線配置流程配置認證策略配置計費策略配置RADIUS策略域配置（引用POOL、認證計費策略、RADIUS策略等）用戶配置端口VLAN配置路由配置（增加到三層專線的路由）Proxy專線配置流程配置IPPOOL配置認證策略配置計費策略配置RADIUS策略域配置（引用POOL、認證計費策略、RADIUS策略等）用戶配置端口VLAN配置路由配置PPPoE專線配置流程域配置（引用POOL、認證計費策略、RADIUS策略等）用戶配置端口VLAN配置路由配置（增加到PPPoE專線的路由）配置IPPOOL配置認證策略配置計費策略配置RADIUS策略虛模板配置透傳專線配置流程配置認證策略配置計費策略配置RADIUS策略域配置（引用POOL、認證計費策略、RADIUS策略等）用戶配置端口VLAN配置路由配置MA5200R007組播業(yè)務(wù)配置組播業(yè)務(wù)配置要點：非可控組播非可控組播配置命令非可控組播包括兩種實現(xiàn)方式：IGMPPROXY和PIMIGMPPROXY：[MA5200F]multicastrouting-enable

（必配，使能組播）[MA5200F]igmpproxy

（IMGPPROXY方式必配）[MA5200F]igmpdesignated-router

（必配，指定上行多播路由器）PIM[MA5200F]multicastrouting-enable

(必配，使能組播）[MA5200F-Ethernet2]pimdm（一般必配，如果是二層專線、三層專線的用戶還需要打開相應(yīng)VLAN子接口下的PIMDM)MA5200R007HGMP配置HGMP配置要點：HGMPv1 HGMPv2HGMPv1配置命令HGMPv1配置包括兩條命令：[MA5200F]hgmpenable（默認打開）[MA5200F]hgmpport-modeethernet12asterisk

（配置端口為星形模式，默認為樹形，跨HUB必配）HGMPv1兩種組網(wǎng)形式：星形模式樹形模式HUBHGMPv2配置NDP：發(fā)現(xiàn)鄰居Ippool：給集群的設(shè)備分配管理的私網(wǎng)IPloopback：給外網(wǎng)管理集群用的公網(wǎng)地址公網(wǎng)服務(wù)器：給集群的成員使用建立集群：把發(fā)現(xiàn)的設(shè)備加入到集群中NTDP：建立拓樸CLUSTERMA5200R007NAT配置NAT配置NAT配置Addressgroup：用來轉(zhuǎn)換的公網(wǎng)地址Netserver：一對一的NAT轉(zhuǎn)換，用做服務(wù)器Aging-time：NAT聯(lián)接的老化時間Connection-limit：NAT聯(lián)接數(shù)目限制NAToutside：對哪些特殊的目的地址不做NATNATNATACL：需要做NAT轉(zhuǎn)換私網(wǎng)地址NAToutbind：哪些私網(wǎng)地址用戶哪些公網(wǎng)地址轉(zhuǎn)換MA5200R007路由配置路由配置要點：RIP OSPF BGP課程目標(biāo)（四）學(xué)習(xí)完本課程，您應(yīng)該能夠：掌握MA5200F軟件升級方法通過本課程的學(xué)習(xí)，熟悉MA5200FR007各種問題的常見原因，掌握業(yè)務(wù)跟蹤功能的使用，能夠排除基本業(yè)務(wù)的常見故障！課程內(nèi)容

第一章MA5200F軟件升級第二章MA5200F常見故障處理第三章MA5200F文件結(jié)構(gòu)第四章MA5200F故障信息收集MA5200F升級MA5200F升級包括BIOS+程序和主機程序，要求必須同時升級兩個程序，除從R006版本升級外，都可以遠程通過命令行方式進行。故障處理-基本保證物理聯(lián)接正確故障處理的一般思路VLAN用戶無法獲取IP（一）交換機配置認證前/時域Portvlan配置地址池配置DHCP服務(wù)器……VLAN用戶無法獲取IP（二）debug<MA5200F>debuggingdh?

dhcpc

dhcpr

dhcps<MA5200F>tmCurrentterminalmonitorison<MA5200F>tdCurrentterminaldebuggingison<MA5200F>enabletraceServicetraceisalreadyenabled<MA5200F>traceobjectethernet1output-filedhcp.txt

trace注意：串口和telnet是不相同的VLAN用戶無法獲取地址-DHCP報文分析*[0.1513300-]DHCR-8-07093000:[DHCPRRecvfromserver]:=====\\表示消息方向，如“服務(wù)器收到”、“從客戶端收到”、“發(fā)給客戶端”等[Xid]:2703716368[cmd]:2[Htype]:1[Hlen]:6[Hops]:0[Secs]:0[Flag]:0[Ciadd]:[Yiadd]:00\\服務(wù)器分配的IP地址

[Siadd]:[Giadd]:[Sname]:[File]:[Option]:-----Messagetype:OFFER\\表示消息類型，可能discovery、offer、request、ack（nak）

Routeip:Subnetmask:Serverid:Dns:5555NBNS:5555leasetime:259200sRenewtime:129600sRebindtime:226800sVLAN用戶強制WEB認證失敗VLAN用戶無法上線（一）UN/PWDUNinvalid/blockPorttypemismatchedPortvlan

cfgerrorDomain

invalid/block……RadiuscausedVLAN用戶無法上線（二）debug[MA5200F-diagnose]debuggingaaaall<MA5200F>tmCurrentterminalmonitorison<MA5200F>tdCurrentterminaldebuggingison如果radius認證還需要打開radius相關(guān)調(diào)試開關(guān)，在debugaaa看不到明確信息時可以打開debugcm和debuglam<MA5200F>enabletraceServicetraceisalreadyenabled<MA5200F>traceobjectusernametest@huaweioutput-fileaaa.txt

trace注意：串口和telnet是不相同的UserstateisblockAccessLimitPorttypeinvalidLicenselimitUsermacinvalidPasswordinvalidFailtousedomainwithstatedeactiveVLAN用戶無法上網(wǎng)-TRACE信息查看--[2004/6/2211:48:4-][AAA][0006-5b6c-aaf9]:ReceiveauthenticationackfromLAMsuccessfully(UserID=3,Result=Failure,Failreason=Usernotexist)

一個WEB業(yè)務(wù)的TRACE信息解釋VLAN用戶無法上線（三）靜態(tài)用戶的配置步驟1）先配置地址池，并把靜態(tài)用戶所用的地址標(biāo)為禁用2）配置靜態(tài)用戶的認證域，并引用地址池3）配置portvlan屬性，并設(shè)置靜態(tài)用戶的認證域RADIUS認證是否配置了loopback0地址，如果配置了loopback0，則radius上的nas-ip應(yīng)當(dāng)配置為loopback0地址；如果未配置loopback0，則radius上nas-ip應(yīng)當(dāng)配置為5200上行口地址。PPPoE用戶無法上線（一）UN/PWDUN/Domaininvalid/blockPorttypemismatchedPortvlan

cfgerrorAllocateipfailure……RadiuscausedPPPoE用戶無法上線（二）debug<MA5200F>debugging

ppp

pppoe-server<MA5200F>tmCurrentterminalmonitorison<MA5200F>tdCurrentterminaldebuggingison在debugaaa看不到明確信息時可以打開debugcm和debuglam；如果radius認證還需要打開radius相關(guān)調(diào)試開關(guān)。<MA5200F>enabletraceServicetraceisalreadyenabled<MA5200F>traceobjectusernametest@huaweioutput-filepppoe.txt

trace注意：串口和telnet是不相同的一個PPPOE業(yè)務(wù)TRACE的解釋802.1x用戶無法上線（一）UN/PWD/domainClientcausedPorttypemismatchedPortvlan

cfgerrorAllocateipfailure……Radiuscaused802.1x用戶無法上線（二）debug<MA5200F>debuggingdot1xall<MA5200F>tmCurrentterminalmonitorison<MA5200F>tdCurrentterminaldebuggingison在debugaaa看不到明確信息時可以打開debugcm和debuglam；如果radius認證還需要打開radius相關(guān)調(diào)試開關(guān)。<MA5200F>enabletraceServicetraceisalreadyenabled<MA5200F>traceobjectusernametest@huaweioutput-filedot1x.txt

trace注意：串口和telnet是不相同的一個DOT1X業(yè)務(wù)的TRACE信息解釋其它業(yè)務(wù)debugL2tp:<MA5200F>debuggingl2tp組播：<MA5200F>debuggingigmp

HGMP:<MA5200F>debugginghgmpHGMPV2:<MA5200F>debuggingndp/ntdp/cluster

路由：<MA5200F>debuggingrip/ospf/bgp<MA5200F>enabletraceServicetraceisalreadyenabled<MA5200F>traceobjecttrace注意：串口和telnet是不相同的用戶異常掉線（一）ArpdetectPppoehandshakeIdle/limitcutAcctfailureDot1xhandshake……Heartbeatfailure用戶異常