BH007102 SmartAX MA5200F系統(tǒng)介紹和硬件_第1頁
BH007102 SmartAX MA5200F系統(tǒng)介紹和硬件_第2頁
BH007102 SmartAX MA5200F系統(tǒng)介紹和硬件_第3頁
BH007102 SmartAX MA5200F系統(tǒng)介紹和硬件_第4頁
BH007102 SmartAX MA5200F系統(tǒng)介紹和硬件_第5頁
已閱讀5頁,還剩46頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

BH007102SmartAXMA5200F

IP接入設備系統(tǒng)介紹和硬件學習目標掌握MA5200E/F的基本原理和體系結(jié)構(gòu)掌握MA5200E/F的技術特點了解MA5200E/F的組網(wǎng)應用了解MA5200E/F產(chǎn)品的技術指標學習完本課程,您應該能夠:

系統(tǒng)概述硬件體系結(jié)構(gòu)業(yè)務特性組網(wǎng)應用設備規(guī)格參數(shù)課程內(nèi)容概述MA5200F是一款高性能路由器,也是一款高性能的寬帶智能接入服務器。MA5200F定位于接入層或者匯聚層,適用于以太網(wǎng)、xDSL(DigitalSubscriberLine)、WLAN(WirelessLAN)等各種接入類型的網(wǎng)絡,可以廣泛地應用于運營商寬帶接入網(wǎng)、企業(yè)網(wǎng)、校園網(wǎng)、政務網(wǎng)、酒店等各種業(yè)務類型的網(wǎng)絡,滿足了不同網(wǎng)絡對靈活的用戶管理以及可靠的網(wǎng)絡安全的需求。概述MA5200F針對用戶提供了功能強大的用戶管理和業(yè)務控制功能,包括:靈活完善的用戶接入方式,用戶身份認證和安全保障,基于用戶策略的訪問控制,業(yè)務QoS保證,即插即用、NAT,組播控制、用戶訪問日志等。MA5200F同時提供豐富的計費信息,支持多種計費方式。

系統(tǒng)概述硬件體系結(jié)構(gòu)業(yè)務特性組網(wǎng)應用設備規(guī)格參數(shù)課程內(nèi)容MA5200F為2U高盒式設備,可以裝入19英寸標準結(jié)構(gòu)機柜。MA5200F可以提供24個FE口和2個GE口,包括:

六路快速以太網(wǎng)電口

六路單??焖僖蕴W(wǎng)光口(MTRJ接口,15Km)

六路多??焖僖蕴W(wǎng)光口(MTRJ接口,2Km)單路多模千兆光接口(500m,LC接口)雙路多模千兆光接口(500m,LC接口)單路單模千兆光接口(10km,LC接口)雙路單模千兆光接口(10km,LC接口)單路單模千兆光接口(40km,LC接口)單路單模千兆光接口(70km,LC接口)硬件結(jié)構(gòu)——外觀硬件結(jié)構(gòu)——單板(1)風扇(2)SPUC板(3)BKPC板(4)GE插板(5)FE0插板(6)FE1插板(7)FE2插板(8)FE3插板(9)網(wǎng)口、串口、復位鍵、指示燈業(yè)務處理板(H521SPUC):一塊,在H521SPUC板上有一塊XSM扣板。背板(H521BKPC):通過3個2mmB型連接器(22*5)垂直連接到H521SPUC板上。FE接口板(H521O6FC或H521E6FC):Slot0-Slot3,通過1個2mmB型連接器(22*5)連接到H521BKPC板上。千兆接口板(H521O1GC):Slot4-Slot5,通過1個2mmB型連接器(22*5)和一個2mmC型連接器(11*5)連接到H521SPUC板上。轉(zhuǎn)接板(H521TRNC):主要考慮到調(diào)試串口,網(wǎng)口,指示燈等要前出線,通過轉(zhuǎn)接板把SPUC板上相關信號引出來。網(wǎng)管網(wǎng)口、調(diào)試串口、電源指示燈、復位鍵從H521SPUC板上引出。100W電源二個(1+1熱備份),用戶可選一個或二個電源,220V輸入或-48V輸入可選。風扇3個,采用帶監(jiān)控的風扇,采用全抽風結(jié)構(gòu)。硬件結(jié)構(gòu)——單板

系統(tǒng)概述硬件體系結(jié)構(gòu)業(yè)務特性組網(wǎng)應用設備規(guī)格參數(shù)課程內(nèi)容用戶接入AAA&Radius用戶管理專線組播業(yè)務特性用戶接入——用戶類型非管理用戶管理用戶

個人用戶二層用戶

三層用戶

專線用戶

VLAN專線二層接入形式三層接入形式

Proxy專線

PPPoE專線

VLAN透傳專線

用戶接入——接入&認證方式接入方式認證方式PPPoE PPPoE VLAN綁定認證WEB認證快速認證EAPoL 802.1X用戶接入——PPPoE認證方式PPPoE方式是基于帳號、密碼的認證方式3、MA5200F與RADIUS服務器配合完成PPPoE的帳號、密碼的驗證處理,給用戶分配一個合法的IP地址MA5200FRadiusServerLanswitchCore5、RADIUS服務器完成對用戶的計費2、MA5200F終結(jié)PPPoE1、用戶發(fā)起PPPoE4、用戶獲得合法的IP地址,并可以訪問InternetDHCPServer用戶接入——PPPoE認證業(yè)務流程PCLanSwitchMA5200DHCPServerRadiusServerPPPoEDiscovery

階段協(xié)商PPPoEDiscovery協(xié)商報文LCP協(xié)商階段LCP協(xié)商階段PAP/CHAP認證階段PAP/CHAP認證階段遠端Server認證如果本地認證就沒有該步驟通過DHCPClient到遠端DHCPServer申請地址如果本地申請地址就沒有該步驟NCP協(xié)商階段NCP協(xié)商階段Useronline用戶接入——VLAN認證方式5、MA5200F轉(zhuǎn)發(fā)分配的IP地址,同時完成IP+VLAN+MAC的綁定MA5200FDHCPServerLanswitchCore4、根據(jù)DHCPAGENT的IP地址從相應地址池中分配用戶IP地址3、MA5200F根據(jù)用戶權(quán)限作DHCPRELAY1、用戶發(fā)起DHCP申請6、用戶獲得IP地址2、加入VLAN標識用戶接入——綁定認證業(yè)務流程PCLanSwitchMA5200DHCPServerDHCPDiscovery報文Useronline動態(tài)用戶DHCPACK報文遠端DHCP協(xié)商MA5200根據(jù)用戶二層信息生成用戶名進行本地認證DHCPDiscovery報文DHCPOffer報文DHCPOffer報文DHCPRequest報文DHCPRequest報文DHCPRequest報文DHCPRequest報文DHCPACK報文遠端DHCP協(xié)商如果本地分配地址就沒有該步驟靜態(tài)用戶用戶ARP或者IP報文用戶ARP或者IP報文MA5200根據(jù)用戶二層信息生成用戶名進行本地認證Useronline用戶接入——WEB認證方式CoreRadiusServerWEBServerLANSwitchMA5200F2、MA5200F的ACL控制用戶在未經(jīng)過認證前只能訪問一個或幾個特定WWW服務器(WEB認證服務器)4、用戶通過認證后可以正常實現(xiàn)Internet訪問5、MA5200F作為認證客戶端,與RadiusServer配合完成用戶的認證過程4、用戶通過認證后可以正常實現(xiàn)Internet訪問1、用戶通過DHCP獲得IP地址3、用戶發(fā)起認證用戶接入——WEB認證流程PCLanSwitchMA5200DHCPServer/AAAServerWEBServerDHCP協(xié)商過程如果本地申請地址就沒有該步驟Useronline對于靜態(tài)用戶沒有DHCP過程DHCP協(xié)商過程遠端DHCP協(xié)商用戶訪問WEB服務器認證頁面,輸入用戶名和密碼進行認證WEB服務器將用戶認證信息發(fā)送給MA5200進行遠端AAAServer認證認證成功回應MA5200通知WEBServer用戶認證成功WEBServer返回用戶認證成功頁面如果本地認證就沒有該步驟用戶接入——快速認證流程PCLanSwitchMA5200路由器DHCPServerAAAServerWEBServerDHCP協(xié)商過程如果本地申請地址就沒有該步驟Useronline對于靜態(tài)用戶沒有DHCP過程,只有ARP和IP觸發(fā)認證DHCP協(xié)商過程遠端DHCP協(xié)商遠端DHCP協(xié)商用戶訪問WEB服務器認證頁面,不需要輸入用戶名、密碼,進行認證WEB服務器將用戶認證信息發(fā)送給MA5200MA5200通知WEBServer用戶認證成功WEBServer返回用戶認證成功頁面MA5200根據(jù)用戶二層信息生成用戶名進行本地認證用戶接入——802.1X認證方式802.1X方式是基于帳號、密碼的認證方式3、MA5200F與RADIUS服務器配合完成802.1X的帳號、密碼的驗證處理MA5200FRadiusServerLanswitchCore5、RADIUS服務器完成對用戶的計費2、MA5200F終結(jié)EAPoL1、用戶發(fā)起802.1X4、用戶發(fā)起DHCP過程,獲得合法的IP地址,并可以訪問InternetDHCPServer用戶接入——802.1X認證流程(EAPoL觸發(fā))PCLanSwitchMA5200DHCPServerRadiusServerEAPoL-startEAP-request/Identity遠端Server認證如果是本地認證就沒有該步驟到遠端DHCPServer申請地址如果本地申請地址就沒有該步驟EAP密鑰協(xié)商UseronlineEAPoL-startEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密鑰協(xié)商DHCP協(xié)商DHCP協(xié)商根據(jù)配置可以先進行DHCP協(xié)商再進行802.1X認證用戶接入——802.1X認證流程(DHCP觸發(fā))PCLanSwitchMA5200DHCPServerRadiusServerDHCP_DISCOVER/DHCP_RequestEAP-request/Identity遠端Server認證如果是本地認證就沒有該步驟到遠端DHCPServer申請地址如果本地申請地址就沒有該步驟EAP密鑰協(xié)商UseronlineDHCP_DISCOVER/DHCP_RequesttEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密鑰協(xié)商DHCP協(xié)商DHCP協(xié)商根據(jù)配置可以先進行DHCP協(xié)商再進行802.1X認證AAA&Radius——業(yè)務流程連接管理AAARadiusRadiusServer認證認證請求認證請求認證請求認證回應認證回應認證回應開始計費Login開始計費請求開始計費請求開始計費回應開始計費回應在線用戶授權(quán)修改在線用戶授權(quán)修改在線用戶授權(quán)修改停止計費Logout停止計費請求停止計費請求停止計費回應停止計費回應Logout回應授權(quán)AAA&Radius——認證

PAP

CHAP

Web認證

EAPEAP-MD5EAP_SIM

AAA&Radius——計費支持基于流量、時長的計費支持費率切換支持實時計費計費抄送功能(基于ISP/物理位置)計費失敗處理策略用戶管理——業(yè)務控制

為了控制用戶業(yè)務,賦予每個用戶兩種組號:

InterGroup——用于管理用戶間的互訪控制,

UclGroup——用于管理用戶訪問非管理地址的權(quán)限控制。

MA5200F支持5元組ACL,支持標準和擴展ACL,按照源和目的用戶類型的不同,ACL規(guī)則可分為以下三類:

用戶間的互訪控制;

用戶訪問非管理地址的權(quán)限控制;

非管理地址間的訪問控制。

ACL規(guī)則配置完成后,還要應用到具體范圍,才能真正生效,作用范圍有三類:

全局范圍,端口范圍,端口VLAN范圍。用戶管理——QoS流量監(jiān)管(CAR)MA5200基于用戶的CAR共有32級,每一級CAR都可以配置不同的上下行基本速率、平均速率、峰值速率。

對每個用戶做三種CAR:用戶上下行CAR和用戶訪問設備的CAR。令牌桶入接口策略庫流量參數(shù)CORE出接口MA5200FLanswitch用戶管理——QoS擁塞管理(用戶優(yōu)先級)

基于用戶優(yōu)先級的轉(zhuǎn)發(fā)基于報文中DSCP或802.1p優(yōu)先級的轉(zhuǎn)發(fā)基于ACL匹配結(jié)果的優(yōu)先級的轉(zhuǎn)發(fā)

擁塞避免(WRED&802.3x)

為避免送往CPU端口的報文在交換網(wǎng)中發(fā)生擁塞導致交換網(wǎng)資源耗盡,在CPU端口發(fā)送擁塞時,MA5200F基于CPU出端口利用閾值群組功能(ThresholdGroup)對數(shù)據(jù)包進行WRED處理。對高優(yōu)先級的用戶,設置的閥值較高,而對于低優(yōu)先級的用戶,設置的閥值較低。

MA5200F還支持802.3x流量控制協(xié)議。用戶管理——網(wǎng)絡安全鑒別

用戶身份鑒別

地址仿冒識別

路由協(xié)議報文鑒別

服務器身份鑒別

Telnet用戶身份鑒別

攻擊防護

仿冒ARP防護

仿冒DHCPSERVER探測

DoS攻擊防護主要對策是訪問控制、速率限制、連接限制專線——概念專線接入泛指同一邏輯端口下的所有用戶統(tǒng)一進行CAR和流量統(tǒng)計,在AAA只表現(xiàn)為一個連接的接入方式。

專線下所有的用戶具有相同的權(quán)限

專線下所有的用戶統(tǒng)一計費

專線下所有的用戶統(tǒng)一做CAR

專線接入以端口VLAN作為識別標識

分類

VLAN專線二層接入形式三層接入形式

Proxy專線

PPPoE專線

VLAN透傳專線專線——VLAN專線二層VLAN專線與三層VLAN專線的區(qū)別:

掛接的設備不同:分別是2層設備(交換機)與3層設備(路由器)二層VLAN專線可以由設備或用戶分配地址,三層VLAN專線必須由用戶自行管理地址專線——PPPoE專線PPPoE專線與3層VLAN專線相似,不同點在于:

PPPoE專線時路由器與MA5200F連接時使用PPPoE協(xié)議,而不是直接使用IP協(xié)議;

3層專線配置完成后就開始計費,而PPPoE專線在路由器撥號后開始計費。另外,由于需要配置用戶的網(wǎng)段路由,要求路由器通過PPP的申請到的地址必須固定分配。專線——VLAN透傳VLAN透傳是指預先指定某個VLAN端口進行透傳,并配置該VLAN端口的出端口。目的是在城域網(wǎng)范圍內(nèi)實現(xiàn)基于VLAN技術的VPN,滿足用戶的多個LAN互連的需求。MA5200F在做VLAN透傳時不進行三層處理,而是根據(jù)報文的VLANID進行二層處理,將來自管理端口的報文替換VLANID后轉(zhuǎn)發(fā)到非管理端口,將來自非管理端口的報文替換VLANID后轉(zhuǎn)發(fā)到管理端口。組播——組播成員加入組播——組播報文轉(zhuǎn)發(fā)非受控組播的業(yè)務流程PCLanSwitchMA5200路由器IGMP查詢報文IGMP報告報文向組播用戶端口發(fā)送IGMP查詢報文續(xù)傳IGMP查詢報文IGMP成員報告報文續(xù)傳IGMP成員報告報文,并通過IGMPSnooping學習到加入組播組的用戶1、處理IGMP成員報告報文,決定哪些用戶接口加入該組播組2、不驗證用戶是否有組播權(quán)限向5200轉(zhuǎn)發(fā)組播業(yè)務報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務報文運行PIM協(xié)議IGMPproxy或PIM協(xié)議,選其一IGMP成員離開報文從轉(zhuǎn)發(fā)表中刪除該用戶,如果該組播組下沒有其他用戶,續(xù)傳IGMP成員離開報文從轉(zhuǎn)發(fā)表中刪除該用戶接口,如果該組播組下沒有其他用戶,發(fā)送IGMP成員離開報文受控組播的業(yè)務流程PCLanSwitchMA5200路由器IGMP查詢報文IGMP報告報文向組播用戶端口發(fā)送IGMP查詢報文續(xù)傳IGMP查詢報文IGMP成員報告報文續(xù)傳IGMP成員報告報文發(fā)送HMCP添加用戶報文運行PIM協(xié)議IGMPproxy或PIM協(xié)議,選其一檢查用戶是否有組播權(quán)限(單播認證時獲得)響應HMCP添加用戶報文根據(jù)HMCP報文添加用戶組播轉(zhuǎn)發(fā)表項受控組播的業(yè)務流程(續(xù))PCLanSwitchMA5200路由器向5200轉(zhuǎn)發(fā)組播業(yè)務報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務報文IGMP成員離開報文續(xù)傳IGMP成員離開報文從轉(zhuǎn)發(fā)表中刪除該用戶接口,如果該組播組下沒有其他用戶,發(fā)送IGMP成員離開報文發(fā)送HMCP刪除用戶報文響應HMCP刪除用戶報文根據(jù)HMCP報文刪除用戶組播轉(zhuǎn)發(fā)表項

系統(tǒng)概述硬件體系結(jié)構(gòu)業(yè)務特性組網(wǎng)應用設備規(guī)格參數(shù)課程內(nèi)容組網(wǎng)應用——運營商寬帶城域網(wǎng)MA5200FLanSwitchAPCMTSIPDSLAMEthernetWLANHFCxDSLL3核心網(wǎng)認證計費平臺網(wǎng)管平臺業(yè)務平臺MA5200FMA5200FMA5200F組網(wǎng)應用——智能化小區(qū)IDTIDTIDT...家庭家庭家庭樓道交換機樓宇匯聚交換機住宅樓樓宇匯聚交換機...認證計費平臺小區(qū)信息平臺業(yè)務服務器組小區(qū)中心機房MA5200F信息點中心交換機信息點中心交換機其它信息點其它信息點會所APAPAP公共無線上網(wǎng)點會所中心交換機Internet組網(wǎng)應用——企業(yè)網(wǎng)S2026S2026S2026S2026S2026S3026S3026S3026MA5200FS8016業(yè)務服務器QuidviewCAMSNE16EEudemon100Eudemon100企業(yè)總部業(yè)務服務器S2026S2026INTERNETIPTunnelMA5200FWA1006+企業(yè)分支機構(gòu)組網(wǎng)應用——智能化樓宇Eudemon100MA5200FINTERNET專線專線PROXY專線PPPoE專線企業(yè)1S3026企業(yè)4S3026Router企業(yè)3S3026ProxyServer企業(yè)2S3026R3620組網(wǎng)應用——政務網(wǎng)政府機關政府機關政府機關政府機關MPLSVPN政務骨干網(wǎng)NE40NE16EPEPES6506S6506MA5200FCEMA5200FMA5200FS3026S3026CECE組網(wǎng)應用——校園網(wǎng)...S3026...PCPCPCS3026...PCPCPCS3026...教師機學生機學生機多媒體教室S3026...教師機學生機學生機S3026...教師機學生機學生機S3026...PCS3026PCPCMA5200FS8016CERNETEudemon100InternetEudemon100...PC教學樓PCPCS3

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論