BH007102 SmartAX MA5200F系統(tǒng)介紹和硬件

BH007102SmartAXMA5200F

IP接入設(shè)備系統(tǒng)介紹和硬件學(xué)習(xí)目標(biāo)掌握MA5200E/F的基本原理和體系結(jié)構(gòu)掌握MA5200E/F的技術(shù)特點了解MA5200E/F的組網(wǎng)應(yīng)用了解MA5200E/F產(chǎn)品的技術(shù)指標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：

系統(tǒng)概述硬件體系結(jié)構(gòu)業(yè)務(wù)特性組網(wǎng)應(yīng)用設(shè)備規(guī)格參數(shù)課程內(nèi)容概述MA5200F是一款高性能路由器，也是一款高性能的寬帶智能接入服務(wù)器。MA5200F定位于接入層或者匯聚層，適用于以太網(wǎng)、xDSL（DigitalSubscriberLine）、WLAN（WirelessLAN）等各種接入類型的網(wǎng)絡(luò)，可以廣泛地應(yīng)用于運營商寬帶接入網(wǎng)、企業(yè)網(wǎng)、校園網(wǎng)、政務(wù)網(wǎng)、酒店等各種業(yè)務(wù)類型的網(wǎng)絡(luò)，滿足了不同網(wǎng)絡(luò)對靈活的用戶管理以及可靠的網(wǎng)絡(luò)安全的需求。概述MA5200F針對用戶提供了功能強大的用戶管理和業(yè)務(wù)控制功能，包括：靈活完善的用戶接入方式，用戶身份認(rèn)證和安全保障，基于用戶策略的訪問控制，業(yè)務(wù)QoS保證，即插即用、NAT，組播控制、用戶訪問日志等。MA5200F同時提供豐富的計費信息，支持多種計費方式。

系統(tǒng)概述硬件體系結(jié)構(gòu)業(yè)務(wù)特性組網(wǎng)應(yīng)用設(shè)備規(guī)格參數(shù)課程內(nèi)容MA5200F為2U高盒式設(shè)備，可以裝入19英寸標(biāo)準(zhǔn)結(jié)構(gòu)機柜。MA5200F可以提供24個FE口和2個GE口，包括：

六路快速以太網(wǎng)電口

六路單?？焖僖蕴W(wǎng)光口（MTRJ接口，15Km）

六路多?？焖僖蕴W(wǎng)光口（MTRJ接口，2Km）單路多模千兆光接口（500m，LC接口）雙路多模千兆光接口（500m，LC接口）單路單模千兆光接口（10km，LC接口）雙路單模千兆光接口（10km，LC接口）單路單模千兆光接口（40km，LC接口）單路單模千兆光接口（70km，LC接口）硬件結(jié)構(gòu)——外觀硬件結(jié)構(gòu)——單板(1)風(fēng)扇(2)SPUC板(3)BKPC板(4)GE插板(5)FE0插板(6)FE1插板(7)FE2插板(8)FE3插板(9)網(wǎng)口、串口、復(fù)位鍵、指示燈業(yè)務(wù)處理板（H521SPUC）：一塊，在H521SPUC板上有一塊XSM扣板。背板（H521BKPC）：通過3個2mmB型連接器（22*5）垂直連接到H521SPUC板上。FE接口板(H521O6FC或H521E6FC)：Slot0-Slot3，通過1個2mmB型連接器（22*5）連接到H521BKPC板上。千兆接口板(H521O1GC)：Slot4-Slot5，通過1個2mmB型連接器(22*5)和一個2mmC型連接器(11*5)連接到H521SPUC板上。轉(zhuǎn)接板(H521TRNC)：主要考慮到調(diào)試串口，網(wǎng)口，指示燈等要前出線，通過轉(zhuǎn)接板把SPUC板上相關(guān)信號引出來。網(wǎng)管網(wǎng)口、調(diào)試串口、電源指示燈、復(fù)位鍵從H521SPUC板上引出。100W電源二個（1+1熱備份），用戶可選一個或二個電源，220V輸入或-48V輸入可選。風(fēng)扇3個，采用帶監(jiān)控的風(fēng)扇，采用全抽風(fēng)結(jié)構(gòu)。硬件結(jié)構(gòu)——單板

系統(tǒng)概述硬件體系結(jié)構(gòu)業(yè)務(wù)特性組網(wǎng)應(yīng)用設(shè)備規(guī)格參數(shù)課程內(nèi)容用戶接入AAA&Radius用戶管理專線組播業(yè)務(wù)特性用戶接入——用戶類型非管理用戶管理用戶

個人用戶二層用戶

三層用戶

專線用戶

VLAN專線二層接入形式三層接入形式

Proxy專線

PPPoE專線

VLAN透傳專線

用戶接入——接入&認(rèn)證方式接入方式認(rèn)證方式PPPoE PPPoE VLAN綁定認(rèn)證WEB認(rèn)證快速認(rèn)證EAPoL 802.1X用戶接入——PPPoE認(rèn)證方式PPPoE方式是基于帳號、密碼的認(rèn)證方式3、MA5200F與RADIUS服務(wù)器配合完成PPPoE的帳號、密碼的驗證處理，給用戶分配一個合法的IP地址MA5200FRadiusServerLanswitchCore5、RADIUS服務(wù)器完成對用戶的計費2、MA5200F終結(jié)PPPoE1、用戶發(fā)起PPPoE4、用戶獲得合法的IP地址，并可以訪問InternetDHCPServer用戶接入——PPPoE認(rèn)證業(yè)務(wù)流程PCLanSwitchMA5200DHCPServerRadiusServerPPPoEDiscovery

階段協(xié)商PPPoEDiscovery協(xié)商報文LCP協(xié)商階段LCP協(xié)商階段PAP/CHAP認(rèn)證階段PAP/CHAP認(rèn)證階段遠(yuǎn)端Server認(rèn)證如果本地認(rèn)證就沒有該步驟通過DHCPClient到遠(yuǎn)端DHCPServer申請地址如果本地申請地址就沒有該步驟NCP協(xié)商階段NCP協(xié)商階段Useronline用戶接入——VLAN認(rèn)證方式5、MA5200F轉(zhuǎn)發(fā)分配的IP地址，同時完成IP+VLAN+MAC的綁定MA5200FDHCPServerLanswitchCore4、根據(jù)DHCPAGENT的IP地址從相應(yīng)地址池中分配用戶IP地址3、MA5200F根據(jù)用戶權(quán)限作DHCPRELAY1、用戶發(fā)起DHCP申請6、用戶獲得IP地址2、加入VLAN標(biāo)識用戶接入——綁定認(rèn)證業(yè)務(wù)流程PCLanSwitchMA5200DHCPServerDHCPDiscovery報文Useronline動態(tài)用戶DHCPACK報文遠(yuǎn)端DHCP協(xié)商MA5200根據(jù)用戶二層信息生成用戶名進行本地認(rèn)證DHCPDiscovery報文DHCPOffer報文DHCPOffer報文DHCPRequest報文DHCPRequest報文DHCPRequest報文DHCPRequest報文DHCPACK報文遠(yuǎn)端DHCP協(xié)商如果本地分配地址就沒有該步驟靜態(tài)用戶用戶ARP或者IP報文用戶ARP或者IP報文MA5200根據(jù)用戶二層信息生成用戶名進行本地認(rèn)證Useronline用戶接入——WEB認(rèn)證方式CoreRadiusServerWEBServerLANSwitchMA5200F2、MA5200F的ACL控制用戶在未經(jīng)過認(rèn)證前只能訪問一個或幾個特定WWW服務(wù)器（WEB認(rèn)證服務(wù)器）4、用戶通過認(rèn)證后可以正常實現(xiàn)Internet訪問5、MA5200F作為認(rèn)證客戶端，與RadiusServer配合完成用戶的認(rèn)證過程4、用戶通過認(rèn)證后可以正常實現(xiàn)Internet訪問1、用戶通過DHCP獲得IP地址3、用戶發(fā)起認(rèn)證用戶接入——WEB認(rèn)證流程PCLanSwitchMA5200DHCPServer/AAAServerWEBServerDHCP協(xié)商過程如果本地申請地址就沒有該步驟Useronline對于靜態(tài)用戶沒有DHCP過程DHCP協(xié)商過程遠(yuǎn)端DHCP協(xié)商用戶訪問WEB服務(wù)器認(rèn)證頁面，輸入用戶名和密碼進行認(rèn)證WEB服務(wù)器將用戶認(rèn)證信息發(fā)送給MA5200進行遠(yuǎn)端AAAServer認(rèn)證認(rèn)證成功回應(yīng)MA5200通知WEBServer用戶認(rèn)證成功WEBServer返回用戶認(rèn)證成功頁面如果本地認(rèn)證就沒有該步驟用戶接入——快速認(rèn)證流程PCLanSwitchMA5200路由器DHCPServerAAAServerWEBServerDHCP協(xié)商過程如果本地申請地址就沒有該步驟Useronline對于靜態(tài)用戶沒有DHCP過程，只有ARP和IP觸發(fā)認(rèn)證DHCP協(xié)商過程遠(yuǎn)端DHCP協(xié)商遠(yuǎn)端DHCP協(xié)商用戶訪問WEB服務(wù)器認(rèn)證頁面，不需要輸入用戶名、密碼，進行認(rèn)證WEB服務(wù)器將用戶認(rèn)證信息發(fā)送給MA5200MA5200通知WEBServer用戶認(rèn)證成功WEBServer返回用戶認(rèn)證成功頁面MA5200根據(jù)用戶二層信息生成用戶名進行本地認(rèn)證用戶接入——802.1X認(rèn)證方式802.1X方式是基于帳號、密碼的認(rèn)證方式3、MA5200F與RADIUS服務(wù)器配合完成802.1X的帳號、密碼的驗證處理MA5200FRadiusServerLanswitchCore5、RADIUS服務(wù)器完成對用戶的計費2、MA5200F終結(jié)EAPoL1、用戶發(fā)起802.1X4、用戶發(fā)起DHCP過程，獲得合法的IP地址，并可以訪問InternetDHCPServer用戶接入——802.1X認(rèn)證流程(EAPoL觸發(fā))PCLanSwitchMA5200DHCPServerRadiusServerEAPoL-startEAP-request/Identity遠(yuǎn)端Server認(rèn)證如果是本地認(rèn)證就沒有該步驟到遠(yuǎn)端DHCPServer申請地址如果本地申請地址就沒有該步驟EAP密鑰協(xié)商UseronlineEAPoL-startEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密鑰協(xié)商DHCP協(xié)商DHCP協(xié)商根據(jù)配置可以先進行DHCP協(xié)商再進行802.1X認(rèn)證用戶接入——802.1X認(rèn)證流程(DHCP觸發(fā))PCLanSwitchMA5200DHCPServerRadiusServerDHCP_DISCOVER/DHCP_RequestEAP-request/Identity遠(yuǎn)端Server認(rèn)證如果是本地認(rèn)證就沒有該步驟到遠(yuǎn)端DHCPServer申請地址如果本地申請地址就沒有該步驟EAP密鑰協(xié)商UseronlineDHCP_DISCOVER/DHCP_RequesttEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密鑰協(xié)商DHCP協(xié)商DHCP協(xié)商根據(jù)配置可以先進行DHCP協(xié)商再進行802.1X認(rèn)證AAA&Radius——業(yè)務(wù)流程連接管理AAARadiusRadiusServer認(rèn)證認(rèn)證請求認(rèn)證請求認(rèn)證請求認(rèn)證回應(yīng)認(rèn)證回應(yīng)認(rèn)證回應(yīng)開始計費Login開始計費請求開始計費請求開始計費回應(yīng)開始計費回應(yīng)在線用戶授權(quán)修改在線用戶授權(quán)修改在線用戶授權(quán)修改停止計費Logout停止計費請求停止計費請求停止計費回應(yīng)停止計費回應(yīng)Logout回應(yīng)授權(quán)AAA&Radius——認(rèn)證

PAP

CHAP

Web認(rèn)證

EAPEAP-MD5EAP_SIM

AAA&Radius——計費支持基于流量、時長的計費支持費率切換支持實時計費計費抄送功能（基于ISP/物理位置）計費失敗處理策略用戶管理——業(yè)務(wù)控制

為了控制用戶業(yè)務(wù)，賦予每個用戶兩種組號：

InterGroup——用于管理用戶間的互訪控制，

UclGroup——用于管理用戶訪問非管理地址的權(quán)限控制。

MA5200F支持5元組ACL，支持標(biāo)準(zhǔn)和擴展ACL，按照源和目的用戶類型的不同，ACL規(guī)則可分為以下三類：

用戶間的互訪控制；

用戶訪問非管理地址的權(quán)限控制；

非管理地址間的訪問控制。

ACL規(guī)則配置完成后，還要應(yīng)用到具體范圍，才能真正生效，作用范圍有三類：

全局范圍，端口范圍，端口VLAN范圍。用戶管理——QoS流量監(jiān)管(CAR)MA5200基于用戶的CAR共有32級，每一級CAR都可以配置不同的上下行基本速率、平均速率、峰值速率。

對每個用戶做三種CAR：用戶上下行CAR和用戶訪問設(shè)備的CAR。令牌桶入接口策略庫流量參數(shù)CORE出接口MA5200FLanswitch用戶管理——QoS擁塞管理(用戶優(yōu)先級)

基于用戶優(yōu)先級的轉(zhuǎn)發(fā)基于報文中DSCP或802.1p優(yōu)先級的轉(zhuǎn)發(fā)基于ACL匹配結(jié)果的優(yōu)先級的轉(zhuǎn)發(fā)

擁塞避免(WRED&802.3x)

為避免送往CPU端口的報文在交換網(wǎng)中發(fā)生擁塞導(dǎo)致交換網(wǎng)資源耗盡，在CPU端口發(fā)送擁塞時，MA5200F基于CPU出端口利用閾值群組功能(ThresholdGroup)對數(shù)據(jù)包進行WRED處理。對高優(yōu)先級的用戶，設(shè)置的閥值較高，而對于低優(yōu)先級的用戶，設(shè)置的閥值較低。

MA5200F還支持802.3x流量控制協(xié)議。用戶管理——網(wǎng)絡(luò)安全鑒別

用戶身份鑒別

地址仿冒識別

路由協(xié)議報文鑒別

服務(wù)器身份鑒別

Telnet用戶身份鑒別

攻擊防護

仿冒ARP防護

仿冒DHCPSERVER探測

DoS攻擊防護主要對策是訪問控制、速率限制、連接限制專線——概念專線接入泛指同一邏輯端口下的所有用戶統(tǒng)一進行CAR和流量統(tǒng)計，在AAA只表現(xiàn)為一個連接的接入方式。

專線下所有的用戶具有相同的權(quán)限

專線下所有的用戶統(tǒng)一計費

專線下所有的用戶統(tǒng)一做CAR

專線接入以端口VLAN作為識別標(biāo)識

分類

VLAN專線二層接入形式三層接入形式

Proxy專線

PPPoE專線

VLAN透傳專線專線——VLAN專線二層VLAN專線與三層VLAN專線的區(qū)別：

掛接的設(shè)備不同：分別是2層設(shè)備（交換機）與3層設(shè)備（路由器）二層VLAN專線可以由設(shè)備或用戶分配地址，三層VLAN專線必須由用戶自行管理地址專線——PPPoE專線PPPoE專線與3層VLAN專線相似，不同點在于：

PPPoE專線時路由器與MA5200F連接時使用PPPoE協(xié)議，而不是直接使用IP協(xié)議；

3層專線配置完成后就開始計費，而PPPoE專線在路由器撥號后開始計費。另外，由于需要配置用戶的網(wǎng)段路由，要求路由器通過PPP的申請到的地址必須固定分配。專線——VLAN透傳VLAN透傳是指預(yù)先指定某個VLAN端口進行透傳，并配置該VLAN端口的出端口。目的是在城域網(wǎng)范圍內(nèi)實現(xiàn)基于VLAN技術(shù)的VPN，滿足用戶的多個LAN互連的需求。MA5200F在做VLAN透傳時不進行三層處理，而是根據(jù)報文的VLANID進行二層處理，將來自管理端口的報文替換VLANID后轉(zhuǎn)發(fā)到非管理端口，將來自非管理端口的報文替換VLANID后轉(zhuǎn)發(fā)到管理端口。組播——組播成員加入組播——組播報文轉(zhuǎn)發(fā)非受控組播的業(yè)務(wù)流程PCLanSwitchMA5200路由器IGMP查詢報文IGMP報告報文向組播用戶端口發(fā)送IGMP查詢報文續(xù)傳IGMP查詢報文IGMP成員報告報文續(xù)傳IGMP成員報告報文，并通過IGMPSnooping學(xué)習(xí)到加入組播組的用戶1、處理IGMP成員報告報文，決定哪些用戶接口加入該組播組2、不驗證用戶是否有組播權(quán)限向5200轉(zhuǎn)發(fā)組播業(yè)務(wù)報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務(wù)報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務(wù)報文運行PIM協(xié)議IGMPproxy或PIM協(xié)議，選其一IGMP成員離開報文從轉(zhuǎn)發(fā)表中刪除該用戶，如果該組播組下沒有其他用戶，續(xù)傳IGMP成員離開報文從轉(zhuǎn)發(fā)表中刪除該用戶接口，如果該組播組下沒有其他用戶，發(fā)送IGMP成員離開報文受控組播的業(yè)務(wù)流程PCLanSwitchMA5200路由器IGMP查詢報文IGMP報告報文向組播用戶端口發(fā)送IGMP查詢報文續(xù)傳IGMP查詢報文IGMP成員報告報文續(xù)傳IGMP成員報告報文發(fā)送HMCP添加用戶報文運行PIM協(xié)議IGMPproxy或PIM協(xié)議，選其一檢查用戶是否有組播權(quán)限（單播認(rèn)證時獲得）響應(yīng)HMCP添加用戶報文根據(jù)HMCP報文添加用戶組播轉(zhuǎn)發(fā)表項受控組播的業(yè)務(wù)流程(續(xù))PCLanSwitchMA5200路由器向5200轉(zhuǎn)發(fā)組播業(yè)務(wù)報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務(wù)報文向有用戶加入的端口轉(zhuǎn)發(fā)組播業(yè)務(wù)報文IGMP成員離開報文續(xù)傳IGMP成員離開報文從轉(zhuǎn)發(fā)表中刪除該用戶接口，如果該組播組下沒有其他用戶，發(fā)送IGMP成員離開報文發(fā)送HMCP刪除用戶報文響應(yīng)HMCP刪除用戶報文根據(jù)HMCP報文刪除用戶組播轉(zhuǎn)發(fā)表項

系統(tǒng)概述硬件體系結(jié)構(gòu)業(yè)務(wù)特性組網(wǎng)應(yīng)用設(shè)備規(guī)格參數(shù)課程內(nèi)容組網(wǎng)應(yīng)用——運營商寬帶城域網(wǎng)MA5200FLanSwitchAPCMTSIPDSLAMEthernetWLANHFCxDSLL3核心網(wǎng)認(rèn)證計費平臺網(wǎng)管平臺業(yè)務(wù)平臺MA5200FMA5200FMA5200F組網(wǎng)應(yīng)用——智能化小區(qū)IDTIDTIDT...家庭家庭家庭樓道交換機樓宇匯聚交換機住宅樓樓宇匯聚交換機...認(rèn)證計費平臺小區(qū)信息平臺業(yè)務(wù)服務(wù)器組小區(qū)中心機房MA5200F信息點中心交換機信息點中心交換機其它信息點其它信息點會所APAPAP公共無線上網(wǎng)點會所中心交換機Internet組網(wǎng)應(yīng)用——企業(yè)網(wǎng)S2026S2026S2026S2026S2026S3026S3026S3026MA5200FS8016業(yè)務(wù)服務(wù)器QuidviewCAMSNE16EEudemon100Eudemon100企業(yè)總部業(yè)務(wù)服務(wù)器S2026S2026INTERNETIPTunnelMA5200FWA1006+企業(yè)分支機構(gòu)組網(wǎng)應(yīng)用——智能化樓宇Eudemon100MA5200FINTERNET專線專線PROXY專線PPPoE專線企業(yè)1S3026企業(yè)4S3026Router企業(yè)3S3026ProxyServer企業(yè)2S3026R3620組網(wǎng)應(yīng)用——政務(wù)網(wǎng)政府機關(guān)政府機關(guān)政府機關(guān)政府機關(guān)MPLSVPN政務(wù)骨干網(wǎng)NE40NE16EPEPES6506S6506MA5200FCEMA5200FMA5200FS3026S3026CECE組網(wǎng)應(yīng)用——校園網(wǎng)...S3026...PCPCPCS3026...PCPCPCS3026...教師機學(xué)生機學(xué)生機多媒體教室S3026...教師機學(xué)生機學(xué)生機S3026...教師機學(xué)生機學(xué)生機S3026...PCS3026PCPCMA5200FS8016CERNETEudemon100InternetEudemon100...PC教學(xué)樓PCPCS3