ME60产品介绍.ppt

2019/11/28,ME60产品介绍,网络的转型ME60架构介绍ME60的主要特性ME60的关键应用,当前网络业务的变化,需求的变化要求提供丰富的内容和区别服务，而不是简单的连接；增值业务对用户更为重要,是新的业务营收来源；运营商的挑战基于传统网络，难以在需要时提供种类繁多的增值业务，收入下降；一张IP网络提供所有的业务，但其带宽大部分被不带来收入的P2P流量消耗；网络转型的挑战传统IP网络只能提供单一的尽力而为的转发业务，增值业务、视频、IPTV、游戏、NGN和3G等业务之间没有资源隔离,不能保证业务正常开展；网络的宽带业务价值链缺乏控制点，也缺乏有效的运营模型；“内容+网络”的融合在传统Internet网络上应用困难；,网络转型的方向,发展多业务承载网络，接入各类业务终端和传统网络的网关，提供数据、视频、语音和游戏等，避免为不同业务管理多张网络；通过高可靠性、高性能和QoS保证加强IP+MPLS核心网络；通过智能网络边缘关联承载层和业务层,实现承载业务的感知、分类和策略执行，保证其QoS和强大的安全保障；发展可管理和可运营的网络，以降低CAPEX和OPEX；综合的BOSS解决方案、平台化的业务管理、快速相应和客户定制业务；,转型方向：从传统的IP网络转向运营级网络.,边缘网络必须具备很多功能,MPLSL3PEVPN,Internetrouter,带宽管理,策略执行,BRAS,QoS,IPSec/PPP终结,防火墙,家庭网关管理,AddressTranslate(v4/6),深度报文检测,GGSN,会话边界控制器,Martini/PWE3,FR/ATM,VPLS/Ethernetswitch,基础设施,管道,认证,业务和管理,POS/SDH,TriplePlay,业务批发,CarrierEthernet,TDM,Softswitch,CPE,STB,AccessNetwork,DPI：深度报文检测,IP/MPLSCore,SBC,BRAS,VPNGateway,Router,应用业务,设备的简单叠加不能满足多业务网络的需求;不能提供特定用户的、特定业务的区分服务;对于各种发布恶意攻击的设备不易管理;来自不同厂商的不同设备不易管理;大量设备需要设备间、电力供应的更大花费;,SecurityControl,由于不能区分用户,因此不能应用统一的管理策略。,由于不能区分业务和用户,因此不能将数据导入到对应的子网。,发现恶意攻击,但在哪里阻塞该攻击?,当前网络的问题,MSCG：Multi-serviceControlGateway,华为的边缘网络架构,MSCG,Access,IPCore,核心网络规模大,但功能上简单。边缘网络需要安全控制;核心网络承载多业务,需要边缘设备进行业务识别/业务流区分;为了合理使用核心网络资源,边缘需要实施资源控制和调度(CAC,CallAdmissionControl);,统一的用户管理是必须的;难以在各种接入模式上实现统一的资源控制;在接入网实施安全控制代价大;在接入设备上支持QoS代价大;,通过关联业务层和承载层实现统一资源控制(CAC)基于用户级别业务流的管理、安全控制和QoS控制业务识别、区分和代理多业务汇聚,以简化网络结构,单个设备提供所有业务并处理,包括MPLSVPN/VPLS/VLL/PWE3提供企业客户业务,BRAS提供TriplePlay业务，防火墙提供安全业务，SBC提供NGN信令和媒体流代理，DPI用于业务/协议识别和控制所有用户接入基于商业策略控制,包括安全、QoS和帐户,而不是基于IP地址；,网络的转型ME60架构介绍ME60的主要特性ME60的关键应用,ME60产品家族,Page9,4U3Slots,14U8Slots,ME60-X8,ME60-X16,ME60-X3,32U16Slots,V6R2版本新增,20U8Slots,36U16Slots,ME60-8,ME60-16,V1R6/V1R5版本支持,ME60老整机,ME60-X系列新整机,注：为满足老整机支持40GBSU/MSU单板需求，V6R2还新增ME60-168KW整机，,ME60,DPI,SecurityControl,EdgeRouter,MPLS用于商业IP:MPLSL2/L3VPN用于企业网MPLSVPLS用于MetroEthernetMPLSTE用于运营级业务和网络资源管理PWE3用于ATM/FR网络迁移,流量管理:基于策略的DPI业务感知的策略控制,安全:防止各种攻击和资源滥用终端、网络和业务的安全ASPF：Application-SpecificPacketFilter,宽带IP业务:为终端和用户接入认证和授权动态业务选择(DSS,DynamicServiceSelection)业务计费,CustomerManagement,SBC,VoIP业务:SBC:SessionBorderController信令和媒体代理组织对NGN网络的攻击和滥用,多业务引擎:ME60MSCG,ME60系列:ME60-16和ME60-8,ME60-16,ME60-8,交换容量:640Gbps业务槽位:16/8端口(每槽位):24XGE(电口,可适应FE)10XGE(电口、光口SFP)10GE10GPOS4X2.5GPOS冗余:交换网控制单元电源风扇系统扩展能力:ME60-16和ME60-8主控板和交换网不混用,业务板可以混用,无槽位限制.,ME60MSCG,VRPinside,IPv6Ready,ME60系列:ME60-16和ME60-8,ME60结构及槽位,LCD显示,插槽机框,风扇框,电源框,LPU板：最多16块,MPU板：2块，主备冗余,SFU板：4块，1+3冗余,16个业务槽位，每槽位具有1或410G的接口容量4块交换网板，1+3冗余。每网板提供160G交换容量，加速比超过2，保证任何情况下的无阻塞交换LPU可以是BSU、ESU、TSU或SSU,数据转发平面,LPU监控,。,。,。,。,。,。,交换网,MPU,ESU,SFU,TSU,ME60系统架构,SSU,BSU,LPU控制,监控平面,控制平面,通过如下保证高性能和高可靠性:分布式架构;多平面设计,信令处理和数据转发分离;业务可扩展,比如防火墙和DPI通过负荷分担分布到多个业务处理单板上1;,ME60主机硬件模块,背板BKPA方案,ME60主要单板,ME60软件系统架构,网络的转型ME60架构介绍ME60的主要特性ME60的关键应用,ME60关键特点,增强的业务控制平面，极为灵活的用户管理和业务管理能力(比如DSS，Firewall，SBC，DPI等)；,分布式DPI:层次化的DPI部署方案,SSU和外置专用DPI设备配合,平衡功能和性能,解决了外置DPI设备转发性能的不足；R003功能,采用业界领先的网络处理器和分布式处理架构，获得持续的业务升级能力和突出的处理性能；,可以根据需要对各功能模块进行灵活的组合和扩展；,采用2.56T背板，交换容量达到640G，接口容量达到320G，可扩展性强；,高性能的业务处理板,BSU和SSU均采用10G平台;,ME60主要业务特性-1,IPIPv4/IPv6双栈,IPv4地址转换和IPv6过渡方案路由协议:Static,RIP/RIPng,OSPFv2/v3,IS-IS,BGP/BGP+/MP-BGP路由表：1.5M(BGP4)MPLSLDP,CR-LDP,RSVPMPLSOAMMPLSTEMulticast协议：IGMP,PIM-DM/SM,MBGP,MSDP组播方案:PPPoE组播,MVLAN,接口,可控组播性能:8K(S,G)/槽位,8K份/(S,G),最大复制32K份/槽位VPN三层VPN:BGP/MPLSVPN,1KVRF二层VPN:VPWS(支持Martini和Kompella草案)VPLS:BGP或LDP信令,H-VPLS,4KVSI组播VPN：在MPLSL3VPN里面提供组播业务,ME60业务特性-2,宽带接入用户接入:xDSL,Ethernet,WLAN,HFC.IPv4andIPv4/IPv6双栈接入接入和认证：PPP、DHCPOption、WEB、AAA授权：bandwidth,ACL,Priority,RoutingPolicy,DSS动态业务选择安全:通过VLAN和VPN隔离用户,绑定检查VPN:接入用户可映射到MPLSL3VPN,用于多ISP业务批发VPDN功能:LAC/LNS/LTS,ME60业务特性-3,业务特性DSS:动态业务选择,与Portal、策略服务器一起为提供灵活、多样的定制业务SIG:与SIG配合,实现网络的安全控制安全NAT/NATALG状态防火墙:VPN感知、可基于用户域决定是否做防火墙HA:防火墙热备份，主SSU失效可切换到备SSU，业务不中断；DPI：P2P流量检测和管理(BT、eMule、eDonkey)；,SBC支持NGN信令流和媒体流代理功能；支持SIP/MGCP/H248/H323代理；支持RTP/RTCP流的代理转发功能；主备用SBC热备份，注册用户不掉线；IPTV支持各种用户标识方式:包括VBAS、DHCPOption82、PPPoE+等组播:基于PPP会话、VLAN、组播VLAN或接口的组播TriplePlay支持DHCPOption82和Option60支持终端的隔离和绑定检查支持不同业务的优先级调度,ME60业务特性-4,QoS能力强大的简单流分类能力灵活的复杂流分类，支持接口ACL和用户ACLRemarkMeterCAR功能强大的WRED层次化调度5级调度业界第一的TM调度能力基于SP/WRR、WFQ、RR的调度,提供严格的资源保证和灵活的业务模式基于用户的业务流调度调度采用专用TMASIC完成,不影响转发性能License增强功能可以对VPDN功能、接入用户功能和用户数、防火墙功能、IPTV可控组播功能、SSG功能和业务数等通过License进行控制；,ME60业务特性-5,HA关键部件冗余主控板、交换网、风扇、电源等关键部件提供冗余备份能力,无单点故障GracefulRestart和NSF支持各类路由协议和VPN应用的GracefulRestart,主备倒换不需要重新学习路由FRR和LSP支持快速重路由和LSP的备份,为链路失效和节点失效提供保护OAM、BFD支持MPLSOAM和BFD，在数据平面快速检测和倒换,保证业务不中断VRRP、ASSP通过VRRP和ASSP,为双归入接入和上行提供很好的保护能力Trunk通过以太网Trunk和IPTrunk,增加带宽并提高可靠性环网接入支持STP和RRPP协议(RRPP透传V1R3支持)透传功能,为环网接入提供了保证，有效提高业务可靠性,ME60业务特性-6,网络的转型ME60架构介绍ME60的主要特性ME60的关键应用,用户按域管理域可以理解为具有某种共同业务属性的用户群或者某种业务终端用户认证时，选择相应的域，按所选择的域来控制其业务按域实施控制策略认证计费策略：是否需要认证、计费，计费服务器故障后的计费策略带宽控制参数访问权限用户优先级、DSCP/802.1p等QoS参数路由策略，用户业务流分流按域部署/分配网络资源按域部署DHCPServer、RadiusServer、地址资源,用户管理：管理用户的策略,域可以用来对用户分群、业务终端分类,用户管理：标识并定位用户的方法PUPV,PUPV：PerUserPerVLAN，离用户最近的L2或DSLAM为用户标记VLANID用户标识：帐号接入位置（BAS设备槽位端口VLAN）用户终端标识（IP、MAC地址）用户安全性：通过VLAN隔离，防DHCP、ARP、PPPoE欺骗，防IP地址盗用私接用户防止：一个物理位置接入用户数限制帐号安全性：用户帐号和指定端口绑定网络攻击定位：每个用户的接入位置唯一，对网络的恶意攻击不可抵赖,ME60,LanSwitch,VLAN1,VLAN2,PVC1,PVC2,PORT1,PORT2,PORT1+VLAN1,PORT1+VLAN2,PORT2+VLAN1,PORT2+VLAN2,ME60,用户管理：对标识用户的扩展技术,PUPV方式,PPPOE+方式,PPPOE+,VBAS方式,VBAS,DHCPOption82,VlanStack,vlan,vlan,vlan,vlan1,vlan2,PPPOE,DHCPOp82,DHCP,ME60,DSLAM,分配静态地址分配静态地址，在指定端口接入分配动态地址PPP用户从AAA或本地地址池分配地址PPP用户，从外部DHCPServer统一分配地址支持DHCPRelay支持内置DHCPServer地址的安全性用户地址被绑定，防地址仿冒用户关机后由BAS释放已申请的地址对VLAN下接入用户数限制，防止恶意申请地址,DHCPServer,Internet,伪造MAC地址不断申请IP地址,关机不释放IP地址，长时间占用地址资源,盗用其它用户地址,ME60,RadiusServer,用户管理：地址分配,用户管理：接入认证,PPP拨号认证PPPoE、PPPoEoA、PPPoA拨号本地地址池、RadiusServer、DHCPServer分配地址强推Portal门户802.1x认证支持WLAN用户的EAP-MD5认证和EAP-SIM认证Web认证强制WEB认证，强推Portal门户认证后二次地址分配快速WEB认证端口绑定认证和WEB认证结合，无需输入用户名和密码，只需点击“确认”按钮认证方式灵活性同时支持PPP、802.1X、WEB、端口绑定认证，每个端口可以指定某种或某几种认证方式,用户管理：用户业务授权,带宽控制：通过CAR实现基于用户帐号的带宽控制访问权限：支持基于用户分群的访问权限控制UCL（UserbasedACL），而不是传统路由器的基于地址段的ACL互访权限：支持基于用户分群的互访权限控制QoS优先级：区分用户服务，DSCP和802.1p组播权限：对用户组播权限控制，使组播业务可控策略路由：指定上行端口（下一跳）、VLAN、隧道,L3,IAD,VoIPGW,PSTN,ISUP,Softswitch,AAAServer,MetroNetwork,IP/MPLSCore,ADSL,CPE,STB,SmartAXMA5300,MSCG,MSCG,TriplePlay业务和按需QoS-VoIP,RM9000,作为接入RM,RM9000获取接入网的拓扑.通过配置、从MSCG动态更新拓扑信息,或者通过H.248/DIAMETER接口从AMS动态更新拓扑信息。,MSCG通过配置或者从拓扑发现协议比如HGMP/L2CM等获取接入网的拓扑信息,5.针对拓扑和业务优先级的层次化调度,比如高质量VoIP流可以抢占低优先级的Internet上网业务.,基于CAC和带宽预留,通过层次化队列调度,MSCG可以为IPTV和VoIP业务提供运营级的QoS保证。,获取拓扑和资源信息,通过配置或者从MSCG动态更新或者从AMS通过H.248/DIAMETER接口更新,IAD,AAAServer,MetroNetwork,IP/MPLSCore,ADSL,CPE,STB,SmartAXMA5300,VideoHeadend,MPEGEncoder,中间件,EdgeServer(VoD),TriplePlay业务和按需QoS-IPTV,MSCG,MSCG,Internet,RM9000,基于CAC和带宽预留,通过层次化队列调度,MSCG可以为IPTV和VoIP业务提供运营级的QoS保证。,L3,AAAserver,MetroNetwork,IP/MPLSCore,RM和策略服务器,QoS应用:BandwidthOnDemand,MSCG,Portal服务器,Internet,用户,ISP1,ISP2,0.使用缺省带宽访问ISP1,4.用户带宽调整,MSCG,MSCG,MSCG根据用户带宽请求调整带宽基于带宽调整的计费,安全应用:加强网络安全,DoS流量,P2P,核心网络,不可信、不安全Zone,可信、安全Zone,业务隔离,接入网络,IP/MPLSCore,Softswitch,Worm,VoD,VoIP,MSCG,对终端和业务的接入认证;对相同终端的不同业务隔离;对不同终端的业务隔离;基于策略的防火墙,阻止DoS攻击;,L3,VoIPAG,PBX,Softswitch,MetroNetwork,IP/MPLSCore,安全:SessionBorderController,MSCG,MSCG,Internet,IAD,OpenEye,IPCallCenter,Firewall,BillingandOSS,媒体流,信令流,安全：,QoS：,企业,媒体流可以穿越防火墙,而不需要替换NAT/FW和改变网络拓扑.,NAT/防火墙穿越：,对信令流和媒体流优先处理对媒体流进行QoS调度和保证,基于用户业务的安全控制屏蔽IAD,软终端和不信任的AG阻止DoS攻击保护软交换设备,安全:全面的安全控制,用户级的安全对终端认证和授权对仿冒终端的识别和隔离对终端的隔离和控制,避免终端之间直接互通网络层安全