《ME60_产品主打胶片(CN_XXXX0406_V12技术支持-培训版).pptx》由会员分享,可在线阅读,更多相关《ME60_产品主打胶片(CN_XXXX0406_V12技术支持-培训版).pptx(68页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Network Transformation&QuidwayQuidway Multi-Service Engine Multi-Service Engine 2网络的转型网络的转型ME60架构介绍架构介绍ME60的主要特性的主要特性ME60的关键应用的关键应用ME60路标路标3当前网络业务的变化当前网络业务的变化当前网络业务的变化当前网络业务的变化难道难道IPIP网络提供商只是提供一个传输管道网络提供商只是提供一个传输管道?如何保持可持续发展如何保持可持续发展?u 需求的变化需求的变化要求提供丰富的内容和区别服务,而不是简单的连接;增值业务对用户更为重要,是新的业务营收来源;u 运营商的挑战
2、运营商的挑战基于传统网络,难以在需要时提供种类繁多的增值业务,收入下降;一张IP网络提供所有的业务,但其带宽大部分被不带来收入的P2P流量消耗;u 网络转型的挑战网络转型的挑战传统IP网络只能提供单一的尽力而为的转发业务,增值业务、视频、IPTV、游戏、NGN和3G等业务之间没有资源隔离,不能保证业务正常开展;网络的宽带业务价值链缺乏控制点,也缺乏有效的运营模型;“内容+网络”的融合在传统Internet网络上应用困难;4网络转型的方向网络转型的方向网络转型的方向网络转型的方向发展多业务承载网络,接入各类业务终端和传统网络的网关,提供数据、视频、语音和游戏等,避免为不同业务管理多张网络;通过高
3、可靠性、高性能和QoS保证加强IP+MPLS核心网络;通过智能网络边缘关联承载层和业务层,实现承载业务的感知、分类和策略执行,保证其QoS和强大的安全保障;发展可管理和可运营的网络,以降低CAPEX和OPEX;综合的BOSS解决方案、平台化的业务管理、快速相应和客户定制业务;转型方向:从传统的转型方向:从传统的IPIP网络转向运营级网络网络转向运营级网络.5SGTG/AGPSTNPSTNSTPSTP3G RAN/GSM3G RAN/GSMSGSN/MGWIP/MPLS CoreATM/FRATM/FR边缘边缘核心核心 L3Metro NetworkCPESTBSGSGTG/AGPSTNPSTN
4、STPSTP3G RAN/GSM3G RAN/GSMSGSN/MGWATM/FRATM/FRNGN3GIP VPN边缘边缘接入接入 接入接入TDM内容部署而不是提供连接或者管道从传统的IP网络转向运营级网络,强大的安全和可靠性必须得到保证;核心网络用于接入各种业务,通过MPLS VPN对各种业务进行逻辑隔离;网络平面化、更少的设备、高效率、更低的CAPEX/OPEX网络边缘需要智能,感知网络承载的业务,业务可管理和可运营转型的全业务转型的全业务转型的全业务转型的全业务IPIP网络网络网络网络SGL3Metro NetworkCPESTB业务汇聚业务汇聚 业务管理业务管理 策略控制策略控制业务汇
5、聚业务汇聚业务管理业务管理策略控制策略控制6边缘网络必须具备很多功能边缘网络必须具备很多功能边缘网络必须具备很多功能边缘网络必须具备很多功能MPLS L3 PE VPN Internet router 带宽管理带宽管理策略执行策略执行BRASQoSIPSec/PPP终结终结防火墙防火墙家庭网关家庭网关管理管理Address Translate(v4/6)深度报文检测深度报文检测 GGSN 会话边界控制器会话边界控制器Martini/PWE3 FR/ATM VPLS/Ethernet switch基础设施基础设施管道管道认证认证业务和管理业务和管理POS/SDH Triple Play业务批发业
6、务批发Carrier Ethernet TDM7Soft switchCPESTBAccess NetworkDPIDPI:深度报文检测:深度报文检测IP/MPLS CoreSBCSBCBRASBRASVPN GatewayVPN GatewayRouterRouter应用业务应用业务设备的简单叠加不能满足多业务网络的需求设备的简单叠加不能满足多业务网络的需求;不能提供特定用户的、特定业务的区分服务不能提供特定用户的、特定业务的区分服务;对于各种发布恶意攻击的设备不易管理对于各种发布恶意攻击的设备不易管理;来自不同厂商的不同设备不易管理来自不同厂商的不同设备不易管理;大量设备需要设备间、电力供
7、应的更大花费大量设备需要设备间、电力供应的更大花费;Security ControlSecurity Control由于不能区分用户,因此不能应用统一的管理策略。由于不能区分业务和用户,因此不能将数据导入到对应的子网。发现恶意攻击,但在哪里阻塞该攻击?当前网络的问题当前网络的问题8MSCG:Multi-service Control Gateway华为的边缘网络架构华为的边缘网络架构华为的边缘网络架构华为的边缘网络架构MSCGAccessIP Corel 核心网络规模大核心网络规模大,但功能上简单。边缘网络需要但功能上简单。边缘网络需要安全控制安全控制;l 核心网络承载多业务核心网络承载多业务
8、,需要边缘设备进行业务识需要边缘设备进行业务识别别/业务流区分业务流区分;l 为了合理使用核心网络资源为了合理使用核心网络资源,边缘需要实施资源边缘需要实施资源控制和调度控制和调度(CAC,Call Admission Control);l 统一的用户管理是必须的统一的用户管理是必须的;l 难以在各种接入模式上实现统一的资源控制难以在各种接入模式上实现统一的资源控制;l 在接入网实施安全控制代价大在接入网实施安全控制代价大;l 在接入设备上支持在接入设备上支持QoS代价大代价大;l 通过关联业务层和承载层实现统一资通过关联业务层和承载层实现统一资源控制源控制(CAC)l 基于用户级别业务流的管
9、理、安全控基于用户级别业务流的管理、安全控制和制和QoS控制控制l 业务识别、区分和代理业务识别、区分和代理l 多业务汇聚多业务汇聚,以简化网络结构以简化网络结构 单个设备提供所有业务并处理单个设备提供所有业务并处理,包括包括MPLS VPN/VPLS/VLL/PWE3提供企业客户业务提供企业客户业务,BRAS提供提供Triple Play业务,防火墙提供安全业务,业务,防火墙提供安全业务,SBC提供提供NGN信令和媒体流代理,信令和媒体流代理,DPI用于业务用于业务/协议识别和控制协议识别和控制 所有用户接入基于商业策略控制所有用户接入基于商业策略控制,包括安全、包括安全、QoS和帐户和帐户
10、,而不是基于而不是基于IP地址;地址;9网络的转型网络的转型ME60架构介绍架构介绍ME60的主要特性的主要特性ME60的关键应用的关键应用ME60路标路标10ME 60DPISecurity ControlEdge Routerl MPLS MPLS用于商业用于商业IP:IP:l MPLS L2/L3VPN MPLS L2/L3VPN用于企业网用于企业网l MPLS VPLS MPLS VPLS用于用于Metro EthernetMetro Ethernetl MPLS TE MPLS TE用于运营级业务和网络资源管理用于运营级业务和网络资源管理l PWE3 PWE3用于用于ATM/FRAT
11、M/FR网络迁移网络迁移l 流量管理流量管理:l 基于策略的基于策略的DPIl 业务感知的策略控制业务感知的策略控制l 安全安全:l 防止各种攻击和资源滥用防止各种攻击和资源滥用l 终端、网络和业务的安全终端、网络和业务的安全l ASPF:Application-Specific Packet Filterl 宽带宽带IP业务业务:l 为终端和用户接入认证和授权为终端和用户接入认证和授权l 动态业务选择动态业务选择(DSS,Dynamic Service Selection)l 业务计费业务计费Customer Management DPIDPISBCl VoIP业务业务:l SBC:Sess
12、ion Border Controllerl 信令和媒体代理信令和媒体代理l 组织对组织对NGN网络的攻击和滥用网络的攻击和滥用多业务引擎多业务引擎多业务引擎多业务引擎:ME60 MSCG:ME60 MSCG现有网络中用户管理、安全控制和业务控制的功能分布在不同设备上现有网络中用户管理、安全控制和业务控制的功能分布在不同设备上 非常不利于运营级的管理。非常不利于运营级的管理。通过集成如上功能模块到单个设备中,通过集成如上功能模块到单个设备中,ME60实现了统一的管理和控制实现了统一的管理和控制,这是基于用户和业务的。这是基于用户和业务的。通过为运营级业务如通过为运营级业务如3G/NGN等提供基
13、础平台等提供基础平台,减少了减少了CAPEX和和OPEX。11ME60ME60系列系列系列系列:ME60-16:ME60-16和和和和ME60-8ME60-8ME60-16ME60-8交换容量交换容量:640Gbps业务槽位业务槽位:16/8端口端口(每槽位每槽位):24XGE(电口电口,可适应可适应FE)10XGE(电口、光口电口、光口SFP)10GE10G POS4X2.5G POS 冗余冗余:交换网交换网控制单元控制单元电源电源风扇系统风扇系统扩展能力扩展能力:ME60-16和和ME60-8主控板和交换网主控板和交换网不混用不混用,业务板可以混用业务板可以混用,无槽位限制无槽位限制.备注
14、备注:ME60-16在在V100R001支持支持,而而ME60-8在在V100R002支持支持.12ME60 MSCGME60-16系统容量系统容量交换容量交换容量640Gbps,接口容量,接口容量320Gbps转发性能转发性能240Mpps(10GE线速线速)端口密度端口密度16 10Gbps系统结构系统结构标准机箱,带标准机箱,带LCD状态显示状态显示双主控热备份;网板双主控热备份;网板1+3冗余备份;电源、冗余备份;电源、风扇风扇1+1热备份热备份系统可靠性系统可靠性99.999VRPinsideinsideIPv6ReadyReadyME60系列系列:ME60-16和和ME60-8备注
15、备注:ME60-8的业务槽位、接口容量均为的业务槽位、接口容量均为ME60-16的的1/2,在在V100R002支持支持.13ME60ME60结构及槽位结构及槽位结构及槽位结构及槽位LCD显示插槽机框风扇框电源框LPU板:最多16块MPU板:2块,主备冗余SFU板:4块,1+3冗余16个业务槽位,每槽位具有个业务槽位,每槽位具有1或或410G的接口容量的接口容量4块交换网板,块交换网板,1+3冗余。每网板提供冗余。每网板提供160G交换容量,交换容量,加速比超过加速比超过2,保证任何情况下的无阻塞交换,保证任何情况下的无阻塞交换LPU可以是可以是BSU、ESU、TSU或或SSU14数据转发平面
16、数据转发平面LPU监控监控 LPU监控监控。SFU控制控制 交换网交换网 LPU控制控制MPUESUSFULPU转发转发TSUME60系统架构系统架构SSUBSULPU监控监控LPU监控监控LPU控制控制LPU控制控制LPU控制控制LPU控制控制系统监控系统监控系统控制系统控制LPU转发转发LPU转发转发监控平面监控平面控制平面控制平面通过如下保证高性能和高可靠性通过如下保证高性能和高可靠性:n分布式架构分布式架构;n多平面设计多平面设计,信令处理和数据转发分离信令处理和数据转发分离;n业务可扩展业务可扩展,比如防火墙和比如防火墙和DPI通过负荷分担分布到多个业务处理单板上通过负荷分担分布到多
17、个业务处理单板上1;1 目前版本只支持主备,不支持负荷分担.15ME60产品硬件体系结构产品硬件体系结构16ME60ME60交换网结构(交换网结构(交换网结构(交换网结构(70217021)17ME60ME60交换网处理流程交换网处理流程交换网处理流程交换网处理流程CIOQ的的3级交换网络结构级交换网络结构:SM-Crossbar-SM构成大容量、具备自路由和构成大容量、具备自路由和QoS能力的交换网络能力的交换网络中央中央Crossbar提提供大容量交叉连接供大容量交叉连接能力,支持仲裁能力,支持仲裁共享缓存交共享缓存交换网络换网络(SM)18ME60主机硬件模块系统主控模块MPU管理通信模
18、块MCX同步时钟模块SYN线路时钟模块CLKMPU成品板线路处理模块LPU交换网适配模块FAD物理接口模块PICLPU成品板交换矩阵模块SFUSFU成品板高速串行背板BKP背板成品板19背板背板背板背板BKPABKPA方案方案方案方案20单板单板单板单板单板单板MPUAMPUAMPUA(7447A+643607447A+643607447A+64360)方案)方案)方案)方案)方案)方案核心控制模块:核心控制模块:CPU:MPC7447N.B.:MV64360DDR SDRAM:2GBBOOT ROM:1MBFLASH ROM:32MBNVRAM:512KBCF CARD:512MB对外串口:
19、对外串口:2对外网口:对外网口:2管理通道模块:管理通道模块:24FE2GE同步时钟模块:同步时钟模块:21路路40M LVPECL线路时钟模块:线路时钟模块:16路路38.88M LVPECL16路路8k LVTTL21单板单板单板单板SFUASFUA(SD566SD566)方案)方案)方案)方案核心控制模块:核心控制模块:CPU:MPC852TSDRAM:64MBBOOT ROM:8MBFLASH ROM:8MB串口:串口:2网口:网口:2业务交换模块:业务交换模块:SD566:4(目前只有目前只有1路路)同步时钟模块:同步时钟模块:2路路40M时钟选择时钟选择22LPU线卡硬件方案线卡硬
20、件方案(ESU/TSU)注意:图中所列10G FRAMER实际上应该处于物理接口板PIC上LPUA FADB23LPU线卡硬件方案线卡硬件方案(BSU/SSU/SBC)Framer及FPGA280028007447系统Ingress 587Egress 587FIC567RLDRAMRLDRAM RDRAMDDRRDRAMQDRQDRPICLPUEFADBTCAM扣板ZBus 16bitSPI4.2SPI4.2FramerFPGA89TTM552DDRSPI4.2SPI4.2SPI4.2业务接口89TTM553QDRQDRZBus 32bit与LPUA的连接器DeviceBusCPU inte
21、rface监控模块CBus时钟及电源模块BSU在在ESU的基础上进行了增强的基础上进行了增强:1.2800的表项缓存扩大一倍;的表项缓存扩大一倍;2.2800的报文缓存扩大一倍;的报文缓存扩大一倍;3.CP的内存扩大一倍;的内存扩大一倍;4.增加下行增加下行TM处理模块;处理模块;5.SSU以以BSU为基础,但去掉了为基础,但去掉了TM处理模块;处理模块;SBC单板与单板与SSU物物理上是一样,只是软件不同;理上是一样,只是软件不同;24ME60ME60主要单板主要单板主要单板主要单板单板单板含义含义备注备注版本版本MPU主控板,完成系统的管理和控制平面的多数功能ME60-8主控板V1R2提供
22、.V1R1SFU交换网(ME60-16四块,ME60-8两块,另外两块在两个SRU上),分SFUA和SFUB两种ME60-16ME60-16和和ME60-8ME60-8的交的交换网板大小不一样换网板大小不一样V1R1BKPA系统无源背板,为各系统单元提供数据和控制通道的互连V1R1BSU宽带业务单元,提供用户接入和各种VPN业务业务全集V1R1目前提供10*GE接口,V1R2可能提供10GE和24*GE接口ESU企业业务单元,提供路由和各类VPN业务不提供用户接入V1R1提供10*GE、1*10G、10G POS、4*2.5G POS接口具体光模块请参见配置手册TSU隧道业务单元,提供GRE和
23、LNS/LTS隧道相关的业务V1R1SSU安全业务单元,提供状态防火墙和NAT/ALG功能只支持热备份,不支持负荷分担V1R1SBC会话控制单元,提供SBC功能只支持热备份,不支持负荷分担V1R2低速接口单板通过兼容Rainier单板实现各类低速接口,如FE、ATM等V1R3实现V1R325ME60ME60软件系统架构软件系统架构软件系统架构软件系统架构26ME60ME60系统软件模块框图系统软件模块框图系统软件模块框图系统软件模块框图27VRP平台框架结构平台框架结构28网络的转型网络的转型ME60架构介绍架构介绍ME60的主要特性的主要特性ME60的关键应用的关键应用ME60路标路标29M
24、E60ME60关键特点关键特点关键特点关键特点增强的业务控制平面,极为灵活的用户管理和业务管理能力增强的业务控制平面,极为灵活的用户管理和业务管理能力(比如比如DSS,Firewall,SBC,DPI等等);分布式分布式DPI:层次化的层次化的DPI部署方案部署方案,SSU和外置专用和外置专用DPI设备配合设备配合,平衡功能和性能平衡功能和性能,解决解决了外置了外置DPI设备转发性能的不足;设备转发性能的不足;R003功能功能采用业界领先的网络处理器和分布式处理架构,获得持续的业务升级能力和突出的处理性能;采用业界领先的网络处理器和分布式处理架构,获得持续的业务升级能力和突出的处理性能;可以根
25、据需要对各功能模块进行灵活的组合和扩展;可以根据需要对各功能模块进行灵活的组合和扩展;采用采用2.56T背板,交换容量达到背板,交换容量达到640G,接口容量达到,接口容量达到320G,可扩展性强;,可扩展性强;高性能的业务处理板高性能的业务处理板,BSU和和SSU均采用均采用10G平台平台;30ME60ME60主要业务特性主要业务特性主要业务特性主要业务特性-1-1nIPIPv4/IPv6双栈双栈,IPv4地址转换和地址转换和IPv6过渡方案过渡方案路由协议路由协议:Static,RIP/RIPng,OSPFv2/v3,IS-IS,BGP/BGP+/MP-BGP路由表:路由表:1.5M(BG
26、P4)nMPLSLDP,CR-LDP,RSVPMPLS OAMMPLS TEnMulticast协议:协议:IGMP,PIM-DM/SM,MBGP,MSDP组播方案组播方案:PPPoE组播组播,MVLAN,接口接口,可控组播可控组播性能性能:8K(S,G)/槽位槽位,8K份份/(S,G),最大复制最大复制32K份份/槽位槽位nVPN三层三层VPN:BGP/MPLS VPN,1K VRF二层二层VPN:VPWS(支持支持Martini和和Kompella草案草案)VPLS:BGP或或LDP 信令信令,H-VPLS,4K VSI组播组播VPN:在:在MPLS L3VPN里面提供组播业务里面提供组播
27、业务31ME60ME60业务特性业务特性业务特性业务特性-2-2n宽带接入宽带接入用户接入用户接入:xDSL,Ethernet,WLAN,HFC.IPv4 and IPv4/IPv6双栈接入双栈接入接入和认证:接入和认证:PPP、DHCP Option、WEB、AAA授权:授权:bandwidth,ACL,Priority,Routing Policy,DSS动态业务选择动态业务选择安全安全:通过通过VLAN和和VPN隔离用户隔离用户,绑定检查绑定检查用户用户/会话:会话:12k/槽位槽位,整机整机96kVLAN:整机整机512k,32k/槽位槽位,4k vlan/端口端口;64k QinQ/
28、端口端口PVC:整机整机512k,128k/槽位槽位,64k pvc/端口端口;R003才支持才支持ATM专线专线:4k基于物理端口的专线基于物理端口的专线,vlan/pvc或或PPP拨号拨号ISP/用户域用户域:1kVPN:接入用户可映射到接入用户可映射到MPLS L3VPN,用于多用于多ISP业务批发业务批发nVPDN功能功能:LAC/LNS/LTS隧道隧道:8K/单板单板,16K整机整机会话会话:12K/单板单板,96K整机整机32ME60ME60业务特性业务特性业务特性业务特性-3-3n 业务特性业务特性DSS:动态业务选择动态业务选择,与与Portal、策略服务器一起为提供灵活、多样
29、的定制业务、策略服务器一起为提供灵活、多样的定制业务每用户支持每用户支持16个增值业务、个增值业务、16条业务流条业务流每单板支持每单板支持32K增值业务、增值业务、32K业务流业务流整机支持整机支持256K增值业务、增值业务、256K业务流业务流SIG:与与SIG配合配合,实现网络的安全控制实现网络的安全控制 n 安全安全NAT/NAT ALGNAT地址池地址池:128个地址池个地址池(地址空间地址空间:128地址池地址池*255个地址个地址)状态防火墙状态防火墙:VPN感知、可基于用户域决定是否做防火墙感知、可基于用户域决定是否做防火墙会话会话:2M会话会话(两个方向计算两个方向计算)会话
30、建立速度会话建立速度:150Kpps(业界领先业界领先)安全区安全区:128HA:防火墙热备份,主防火墙热备份,主SSU失效可切换到备失效可切换到备SSU,业务不中断;,业务不中断;DPI:P2P流量检测和管理流量检测和管理(BT、eMule、eDonkey);33n SBC支持支持NGN信令流和媒体流代理功能;信令流和媒体流代理功能;支持支持SIP/MGCP/H248/H323代理;代理;支持支持RTP/RTCP流的代理转发功能;流的代理转发功能;IAD可以在一级可以在一级/多级多级NAT后;后;支持接入多个支持接入多个NAT后的私网,不同私网间地址可重叠;后的私网,不同私网间地址可重叠;支
31、持支持NAT后终端与非后终端与非NAT后终端混合组网;后终端混合组网;主备用主备用SBC热备份,注册用户不掉线;热备份,注册用户不掉线;n IPTV支持各种用户标识方式支持各种用户标识方式:包括包括VBAS、DHCP Option 82、PPPoE+等等组播组播:基于基于PPP会话、会话、VLAN、组播、组播VLAN或接口的组播或接口的组播基于用户和位置的组播权限列表控制(可控组播)基于用户和位置的组播权限列表控制(可控组播)组播流的优先级调度和整形组播流的优先级调度和整形n Triple Play支持支持DHCP Option 82和和Option60支持终端的隔离和绑定检查支持终端的隔离和
32、绑定检查支持不同业务的优先级调度支持不同业务的优先级调度ME60ME60业务特性业务特性业务特性业务特性-4-434n QoS能力能力强大的简单流分类能力强大的简单流分类能力灵活的复杂流分类,支持接口灵活的复杂流分类,支持接口ACL和用户和用户ACLRemark MeterCAR功能强大的功能强大的WREDn层次化调度层次化调度256K流队列流队列,5级调度业界第一的级调度业界第一的TM调度能力调度能力基于基于SP/WRR、WFQ、RR的调度的调度,提供严格的资源保证和灵活的业务模式提供严格的资源保证和灵活的业务模式基于用户的业务流调度基于用户的业务流调度调度采用专用调度采用专用TM ASIC
33、完成完成,不影响转发性能不影响转发性能nLicense增强功能增强功能V1R2对对License进行了细化和增强,可以对进行了细化和增强,可以对VPDN功能、接入用户功能和用户数、功能、接入用户功能和用户数、防火墙功能、防火墙功能、IPTV可控组播功能、可控组播功能、SSG功能和业务数等通过功能和业务数等通过License进行控制;进行控制;ME60ME60业务特性业务特性业务特性业务特性-5-535n HA关键部件冗余关键部件冗余主控板、交换网、风扇、电源等关键部件提供冗余备份能力主控板、交换网、风扇、电源等关键部件提供冗余备份能力,无单点故障无单点故障Graceful Restart和和N
34、SF支持各类路由协议和支持各类路由协议和VPN应用的应用的Graceful Restart,主备倒换不需要重新学习路由主备倒换不需要重新学习路由FRR和和LSP支持快速重路由和支持快速重路由和LSP的备份的备份,为链路失效和节点失效提供保护为链路失效和节点失效提供保护OAM、BFD支持支持MPLS OAM和和BFD,在数据平面快速检测和倒换,在数据平面快速检测和倒换,保证业务不中断保证业务不中断VRRP、ASSP通过通过VRRP和和ASSP,为双归入接入和上行提供很好的保护能力为双归入接入和上行提供很好的保护能力Trunk通过以太网通过以太网Trunk和和IP Trunk,增加带宽并提高可靠性
35、增加带宽并提高可靠性环网接入环网接入支持支持STP和和RRPP协议协议(RRPP透传透传V1R3支持支持)透传功能透传功能,为环网接入提供了保证,有为环网接入提供了保证,有效提高业务可靠性效提高业务可靠性ME60ME60业务特性业务特性业务特性业务特性-6-636网络的转型网络的转型ME60架构介绍架构介绍ME60的主要特性的主要特性ME60的关键应用的关键应用ME60路标路标37用户按域管理用户按域管理域可以理解为具有某种共同业务属性的用户群或者某种业务终端域可以理解为具有某种共同业务属性的用户群或者某种业务终端用户认证时,选择相应的域,按所选择的域来控制其业务用户认证时,选择相应的域,按所
36、选择的域来控制其业务按域实施控制策略按域实施控制策略认证计费策略:是否需要认证、计费,计费服务器故障后的计费策略认证计费策略:是否需要认证、计费,计费服务器故障后的计费策略带宽控制参数带宽控制参数访问权限访问权限用户优先级、用户优先级、DSCP/802.1pDSCP/802.1p等等QoSQoS参数参数路由策略,用户业务流分流路由策略,用户业务流分流按域部署按域部署/分配网络资源分配网络资源按域部署按域部署 DHCP Server DHCP Server、Radius ServerRadius Server、地址资源、地址资源用户管理:管理用户的策略用户管理:管理用户的策略域可以用来对用户分群
37、、业务终端分类域可以用来对用户分群、业务终端分类38用户管理:标识并定位用户的方法PUPVPUPV:Per User Per VLAN,离用户最近的,离用户最近的L2 或或 DSLAM 为用户标记为用户标记 VLAN ID用户标识:用户标识:帐号接入位置(帐号接入位置(BAS设备槽位端口设备槽位端口VLAN)用户终端标识()用户终端标识(IP、MAC地地址)址)用户安全性用户安全性:通过通过VLAN 隔离,防隔离,防DHCP、ARP、PPPoE欺骗,防欺骗,防IP 地址盗用地址盗用私接用户防止:私接用户防止:一个物理位置接入用户数限制一个物理位置接入用户数限制帐号安全性:帐号安全性:用户帐号和
38、指定端口绑定用户帐号和指定端口绑定网络攻击定位:网络攻击定位:每个用户的接入位置唯一,对网络的恶意攻击不可抵赖每个用户的接入位置唯一,对网络的恶意攻击不可抵赖ME60ME60LanSwitchLanSwitchVLAN1VLAN1VLAN2VLAN2PVC1PVC1PVC2PVC2PORT1PORT1PORT2PORT2PORT1PORT1+VLAN1+VLAN1PORT1PORT1+VLAN2+VLAN2PORT2PORT2+VLAN1+VLAN1PORT2PORT2+VLAN2+VLAN2ME60ME6039用户管理:对标识用户的扩展技术用户管理:对标识用户的扩展技术PUPV方式方式PPP
39、OE+方式方式PPPOE+VBAS方式方式VBASDHCP Option 82Vlan Stackvlanvlan vlanvlan1vlan2PPPOEDHCP Op82DHCPME60ME6041用户管理:接入认证用户管理:接入认证nPPP拨号认证拨号认证PPPoE、PPPoEoA、PPPoA 拨号拨号本地地址池、本地地址池、Radius Server、DHCP Server分配地址分配地址强推强推Portal 门户门户n802.1x认证认证支持支持WLAN用户的用户的EAP-MD5认证和认证和EAP-SIM认证认证nWeb认证认证 强制强制WEB认证,强推认证,强推Portal门户门户
40、认证后二次地址分配认证后二次地址分配n端口绑定认证端口绑定认证用户开机,无须输入用户名和密码,用户开机,无须输入用户名和密码,5200/8850 根据接入端口位置自动认证根据接入端口位置自动认证费用计入该端口对应的帐号费用计入该端口对应的帐号n快速快速WEB认证认证端口绑定认证和端口绑定认证和 WEB认证结合,无需输入用户名和密码,只需点击认证结合,无需输入用户名和密码,只需点击“确认确认”按按钮钮n认证方式灵活性认证方式灵活性同时支持同时支持PPP、802.1X、WEB、端口绑定认证,每个端口可以指定某种或某、端口绑定认证,每个端口可以指定某种或某几种认证方式几种认证方式动态地址用户动态地址
41、用户静态地址用户静态地址用户PPP拨号用户拨号用户802.1x拨号用户拨号用户42用户管理:用户业务授权带宽控制:带宽控制:通过通过CAR实现基于用户帐号的带宽控制实现基于用户帐号的带宽控制访问权限:访问权限:支持基于用户分群的访问权限控制支持基于用户分群的访问权限控制UCL(User based ACL),而不是传统路由器的基于地址段的,而不是传统路由器的基于地址段的ACL互访权限:互访权限:支持基于用户分群的互访权限控制支持基于用户分群的互访权限控制QoS优先级:优先级:区分用户服务,区分用户服务,DSCP 和和 802.1p组播权限:组播权限:对用户组播权限控制,使组播业务可控对用户组播
42、权限控制,使组播业务可控策略路由:策略路由:指定上行端口(下一跳)、指定上行端口(下一跳)、VLAN、隧道、隧道动态授权:动态授权:用户在接入过程中,根据业务需要修改用户权限,包括带宽、用户在接入过程中,根据业务需要修改用户权限,包括带宽、访问权限、访问权限、QoS等等当某个属性没有下发时,将按用户所在域的属性执行当某个属性没有下发时,将按用户所在域的属性执行43实时计费,提供时长、流量计费信息实时计费,提供时长、流量计费信息两级计费,运营商和代理运营商结算对帐两级计费,运营商和代理运营商结算对帐按时长、流量计费按时长、流量计费按时长、流量计费按时长、流量计费区分接入方式:区分接入方式:区分接
43、入方式:区分接入方式:EthEth、ADSLADSL、WLANWLAN区分带宽区分带宽区分带宽区分带宽基于以上元素的各种灵活的资费策略基于以上元素的各种灵活的资费策略基于以上元素的各种灵活的资费策略基于以上元素的各种灵活的资费策略多种支付手段多种支付手段多种支付手段多种支付手段按月结算按月结算可充值预付费卡可充值预付费卡一次性预付费卡一次性预付费卡用户管理:用户计费用户管理:用户计费44IP骨干网骨干网ME6ME6ME6ME60 0 0 0L2L2L2L2L2L2L2L2防用户流失防用户流失防资费流失、纠纷防资费流失、纠纷用户管理:防止私接和资费流失合法包月用户合法包月用户合法包月用户合法包月
44、用户计时用户计时用户计时用户计时用户计时用户计时用户计时用户计时用户APAPAPAPWLANWLANWLANWLAN用户用户用户用户DSLAMDSLAMDSLAMDSLAM防高成本建设防高成本建设低资费收入低资费收入案例案例2 2:三个同事申请一个包月帐号和两个计时三个同事申请一个包月帐号和两个计时帐号,共享包月帐号上网帐号,共享包月帐号上网案例案例3 3:计时帐号被盗用后,发生资费纠纷计时帐号被盗用后,发生资费纠纷案例案例1:以个人用户开通宽带,申以个人用户开通宽带,申请一个包月账号,通过请一个包月账号,通过 proxy 或或带有带有NAT 的的 RTU 经营网吧业务经营网吧业务案例案例4
45、4:WLANWLAN接入,用接入,用ADSLADSL帐号认证付费帐号认证付费黑市网吧除了黑市网吧除了“转转正正”已别无选择!已别无选择!限制限制 VLAN 下接入用户数下接入用户数带宽带宽 CAR限制连接建立速度限制连接建立速度监控统计每月的流量监控统计每月的流量45动态业务选择动态业务选择用户用户用户用户业务选择业务选择业务选择业务选择PortalPortalCoreVODInternetGaming业务选择服务器业务选择服务器业务选择服务器业务选择服务器3 3rdrd party BRAS party BRASRadiusRadius服务器服务器服务器服务器infoX SSSinfoX S
46、SSCOPSCOPSRadiusRadiusHTTPHTTPSPSPME60ME60Radius ProxyRadius Proxyn 动态业务选择动态业务选择 通过通过COPS开放策略下发动态业务开放策略下发动态业务 与与DSS结合结合,实现层次化实现层次化QoS调度和调度和CAC46L3IADVoIPGWPSTNISUPSoft switchAAAServerMetro NetworkIP/MPLS CoreADSLCPESTBSmartAX MA53001.发起呼叫MSCGMSCG2.申请资源6.高品质的VoIP呼叫RM9000作为接入RM,RM9000获取接入网的拓扑.通过配置、从MS
47、CG动态更新拓扑信息,或者通过H.248/DIAMETER接口从AMS动态更新拓扑信息。3.端到端的资源申请成功,发送业务控制策略给MSCGMSCG通过配置或者从拓扑发现协议比如HGMP/L2CM等获取接入网的拓扑信息4.资源申请成功或失败消息返回给SoftX5.针对拓扑和业务优先级的层次化调度,比如高质量VoIP流可以抢占低优先级的Internet上网业务.Triple PlayTriple Play业务和按需业务和按需业务和按需业务和按需QoS-VoIPQoS-VoIP基于基于CAC和带宽预留和带宽预留,通过层次化队列调度通过层次化队列调度,MSCG可以为可以为IPTV和和VoIP业务提供
48、运营级的业务提供运营级的QoS保证。保证。47获取拓扑和资源信息,通过配置或者从MSCG动态更新或者从AMS通过H.248/DIAMETER接口更新IADAAAServerMetro NetworkIP/MPLS CoreADSLCPESTBSmartAX MA5300Video HeadendMPEG Encoder中间件中间件Edge Server(VoD)Edge Server(VoD)1.STB发送VoD请求给中间件2.中间件接收业务请求,通过SOAP或diameter发送业务请求给RM90006.MSCG执行策略和为选择的VoD节目保证QoSMSCGMSCGInternetTripl
49、e PlayTriple Play业务和按需业务和按需业务和按需业务和按需QoS-IPTVQoS-IPTVRM90003.RM9000检查可获得的资源,如果有,则下发业务策略给MSCG,包括流信息、带宽和优先级等.4.CAC成功消息返回给中间件5.激活基于基于CAC和带宽预留和带宽预留,通过层次化队列调度通过层次化队列调度,MSCG可以为可以为IPTV和和VoIP业务提供运营级的业务提供运营级的QoS保证。保证。48L3AAA serverMetro NetworkIP/MPLS CoreRMRM和策略服务器和策略服务器MSCGPortalPortal服务器服务器Internet用户用户用户用
50、户ISP1ISP20.使用缺省带宽访问ISP11.用户通过Portal申请需要的带宽2.申请带宽资源3.发送用户带宽参数6.对新的带宽计费5.通过选择的带宽访问ISP24.用户带宽调整MSCGMSCGMSCG根据用户带宽请求调整带宽基于带宽调整的计费QoSQoS应用应用应用应用:Bandwidth On Demand:Bandwidth On Demand49DoSDoS流量流量P2PP2P核心网络核心网络核心网络核心网络不可信、不安全不可信、不安全ZoneZone可信、安全可信、安全ZoneZone业务隔离接入网络接入网络接入网络接入网络IP/MPLS Core IP/MPLS Core S