HCBras解决方案建议书DOC

1、H3C Bras解决方案建议书H3C杭州华三通信技术有限公司Hangzhou H3C Technologies Co., Ltd.版权所有侵权必究All rights reserved目录1 组网方案说明61.1 IRF技术优势71.2 QinQ大二层技术 82 PORTAL 认证92.1 PORTAL系统组成 102.2 Portal认证的实现机制 112.2.1 发起认证的方式112.2.2 用户保活机制112.2.3 产品实现原理122.3 PORTAL协议框架132.4 对EAD系统的支持 142.5 认证方式152.5.1 认证方式分类152.5.2 二层Portal认证过程 162

2、.5.3 三层Portal认证过程173 PPPoE技术实现方案203.1 PPPoE组网结构203.2 PPPoE报文格式223.3 PPPoE工作过程233.3.1 Discovery 阶段233.3.2 Sessi on 阶段 243.3.3 Termin ate 阶段243.4 典型组网应用254 UAM Portal服务器配置 254.1 配置服务254.2 配置接入设备及认证网段 264.3 增加接入用户285 CAMS计费配置30305.1 计费组件配置未定义书签。未定义书签。未定义书签。未定义书签。未定义书签。表目录表1 IMC组件版本列表错误!图目录图表1 Portal直接认

3、证组网图 错误!图表2二次地址认证组网图 错误!图表3 NAT穿越组网图错误!图表4 Portal双机热备组网图 错误!Portal server认证Server计费ServerPPPoE认证Port创认证Port刮认证1组网方案说明在网络核心部署两台 Bras设备，实现园区网用户的统一接入认证管理，两台Bras设备通过虚拟化技术IRF2虚拟化成逻辑上的一台设备，免去配置VRRP、BFD等繁琐的配置。用户侧汇聚交换仅通过链路捆绑上连至核心Bras设备，简化组网应用。传统的SR路由器承接Mobile、Business、IPTV等电信业务，BRAS作为宽带网络应用的 接入网关，完成用户的认证和管理

4、，MSE( Multi Service Edge )设备集SR和BRAS功能于一身，提高运营商、园区网、校园网多业务边缘设备利用率、降低投资。提供丰富的用户接入认证手段，支持PPPoE、PPPoEoVLAN、PPPoEoQ以及PPPoEoA等,IPoE、Portal、L2TP VPN 等。在园区网中，普通用户之间的横向访问较少，为了避免ARP病毒的泛滥，建议用户之间通过QinQ技术实现完全隔离，QinQ的终结统一集中在核心 Bras上。1.1 IRF技术优势简化管理。IRF形成之后，用户通过任意成员设备的任意端口均可以登录IRF系统，对IRF内所有成员设备进行统一管理。而不用物理连接到每台成员

5、设备上分别对它们进行配置和管 理。简化网络运行。IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行这样省去了设备间大量协议报文的交互，简化IRF技术的这一特性是常见的集群技术所不具而集群中的设备在网络中仍然分别作为独立节点的，例如路由协议会作为单一设备统一计算。 了网络运行，缩短了网络动荡时的收敛时间。 备的，后者仅仅能完成设备管理上的统一， 运行。低成本：IRF技术是将一些较低端的设备虚拟成为一个相对高端的设备使用，从而具有 高端设备的端口密度和带宽，以及低端设备的成本。比直接使用高端设备具有成本优势。强大的网络扩展能力。通过增加成员设备，可以轻松自如的扩展IRF系统的端口数、

6、带宽和处理能力。保护用户投资。由于具有强大的扩展能力，当用户进行网络升级时，不需要替换掉原有 设备，只需要增加新设备既可。很好的保护了用户投资。高可靠性。IRF的高可靠性体现在多个方面，例如：成员设备之间IRF物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了 IRF系统的可靠性；IRF系统由多台成员设备组成，Master设备负责IRF系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过IRF系统的业务不中断，从而实现了设备的1:N备份。IRF是网络可靠性

7、保障的最优解决方案。高性能。由于IRF系统是由多个支持IRF特性的单机设备虚拟化而成的，IRF系统的交换容量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此，IRF技术能够通过多个单机设备的虚拟化，轻易的将设备的核心交换能力、用户端口的密度扩大数倍， 从而大幅度提高了设备的性能。丰富的功能。IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交换机特性，并且能够高效稳定地运行这些功能，大大扩展了IRF设备的应用范围。广泛的产品支持。IRF技术作为一种通用的虚拟化技术，对不同形态产品的虚拟化一体 化的实现，使用同一技术，同时支持盒式设备的虚拟化，以及

8、框式分布式设备的虚拟化。1.2 QinQ大二层技术QinQ技术（也称Stacked VLAN 或Double VLAN ）是指将用户私网 VLAN标签封装在公网VLAN标签中，使报文带着两层 VLAN标签穿越运营商的骨干网络，在公网中只根据外层VLAN标签传播，私网VLAN标签被屏蔽，这样，不仅对数据流进行了区分，而且由于私网VLAN标签被透明传送，不同的用户 VLAN标签可以重复使用，只需要外层VLAN标签的在公网上唯一即可，实际上也扩大了可利用的VLAN标签数量。当前灵活QinQ主要应用在运营商的接入网络中，在运营商网络中给接入用户分配一个VLAN，以达到便于问题追踪和防止不同用户间互访，

9、用外层标签区分用户的应用；或在接入的环境中用外层标签来区分不同的接入地点，用内外两层标签唯一标识出一个接入用户。在这样的应用中需要 BRAS/SR设备支持QinQ的应用（能够终结双 Tag）。下面我们看一下灵活QinQ的应用场景：在S9500上实施QinQ,并在S9500上进行业务分流，分流的方式是利用灵活QinQ功能，灵活QinQ分流的依据有下面几种：1）根据端口的VLAN区间分流：比如PC的VLAN范围11000, STB的VLAN范围1001 -2000，网吧的VLAN范围20013000;2）根据报文的协议号分流：比如PC采用PPPoE、STB采用IPoE，这些终端都通过一个VLAN上

10、行，可以根据PPPoE和IPoE报文不同的协议号作为 QinQ的分流依据；3）根据报文的目标IP地址分流：对于相同源IP地址，相同报文封装不同的业务应用报文，比如PC上的SoftPhone产生的报文，需要根据报文目的IP地址实施灵活QinQ进行业务分流；4）根据QinQ的内层标签的区间，在某些级联交换机的组网模式中，下连的交换机已经实施了基于端口的 QinQ,为了实现业务分流，可以根据QinQ的内层VLAN标签的区间实施灵活QinQ进行业务分流。上述应用场景可以用图 4来直观的加以描述：城域网业务网关VLAN2gVLAN3xxxS9&00IPVC3001 PVC200?VLAN30Q2 VLA

11、N2002 VUW2VLAN3001VLAN2001 VLAN1 -鼾LJ QPC IPTV韩动咆话PC IPTV離动跑话VLAN20XVlAN30xVOIP4F 务】E业务枣带I M灵活QinQ对多业务的识别标记2 PORTAL 认证Portal在英语中是入口的意思。 PortaI认证通常也称为Web认证，一般将Portal认证网站 称为门户网站。它提供了一种较为简单的用户认证方法，对用户而言，相对其它认证方式更易于使用。它有两大特色：免客户端只需要网页浏览器（如IE）支持，即可为用户提供认证服务，不需要安装专门的客户端 或者拨号程序。免客户端软件对于像宾馆、酒店等公共网络节点，免客户端软件

12、是一个基本 要求。?新业务载体利用PortaI认证的门户功能，运营商可以将小区广播、广告、信息查询、网上购物等业 务放到Portal上。用户上网时会强制地看到上述信息。PortaI认证的基本方式是通过在 Portal页面的显著位置设置认证窗口，用户开机获取IP地址后，通过登录Porta I认证页面进行认证，认证通过后即可访问In ternet。对于用户来说有两种方式访问认证页面:?主动Portal:用户必须知道PORTAL服务器的IP地址，主动登陆PORTAL服务器进行认 证，之后才能访问网络。?强制Portal:未认证用户访问网址，都会先强制定向到PORTAL服务器进行认证，用 户不需要记忆

13、Portal服务器的IP地址。Portal业务可以为运营商提供方便的管理功能，基于其门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。2.1 PORTAL系统组成?认证客户端安装于用户终端的客户端系统，如运行HTTP/HTTPS协议的浏览器或运行PortaI客户端软件的主机等。对接入终端的安全性检测是通过Porta I客户端和安全策略服务器之间的信息交流完成的。?接入设备（BAS）交换机、路由器等宽带接入设备的统称，主要有三方面的作用：在认证之前，将用户的所有HTTP请求都重定向到Portal服务器。在认证过程中，与Portal服务器

14、、安全策略服务器、认证 /计费服务器交互，完成身份认 证/安全认证/计费的功能。在认证通过后，允许用户访问被管理员授权的互联网资源。? Portal服 务器接收PortaI客户端认证请求的服务器端系统，提供免费门户服务和基于 Web认证的界面, 与接入设备交互认证客户端的认证信息。?认证/计费服务器与接入设备进行交互，完成对用户的认证和计费。以上四个基本要素的交互过程为：1. 未认证用户访问网络时，在 Web浏览器地址栏中输入一个互联网的地址，那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上；2. 用户在认证主页/认证对话框中输入认证信息后提交，Portal服

15、务器会将用户的认证 信息传递给接入设备；3. 然后接入设备再与认证/计费服务器通信进行认证和计费；4. 认证通过后，则接入设备会打开用户与互联网的通路，允许用户访问被管理员授权 的互联网资源。2.2 Portal认证的实现机制2.2.1发起认证的方式虽然免客户端认证是Portal认证的一种主流方式，但在需要实现更安全灵活的功能的前 提下，也可以采用客户端认证的方式进行认证，这两种方式的认证流程大致如下：对于通过Web进行认证的用户（免客户端方式），采用对HTTP报文重定向的方式，接入设备对用户连接进行TCP仿冒和认证客户端建立TCP连接，然后将页面重定向到 Portal服 务器，而从实现向客户

16、推出认证页面。用户通过在该页面登录将用户信息传递给了Portal服务器，随后Portal服务器通过PAP或CHAP的方式向接入设备传递用户信息。接入设备获取到用户信息后，将该信息通过AAA模块完成认证。对于使用客户端进行认证的用户，直接使用portal协议报文与portal-server进行交互，实现对客户端的相关控制和用户状态的实时上报。随后Portal服务器与接入设备交互，接入设备再通过AAA模块完成认证。2.2.2用户保活机制用户通过WEB实现认证时，认证后在线窗口处于开打状态，并采用上层的http协议的get动作实现心跳机制，用户下线时需要在该页面上主动点击下线按钮触发下线动作，如果该

17、页面或用户PC不正常关闭，可能导致用户在一定时间内无法手动下线，直到Portal服务器侧超时后，再触发下线动作，通知接入设备将用户下线。用户使用专用的客户端时，使用Portal握手报文来确认用户是否在线。对于客户端来说，4个心跳没有收到答复，就认为自己已经下线，重新发起认证；对于Portal服务器，在指定的时间内没有收到心跳报文，就认为用户下线，并通知接入设备将用户下线。2.2.3产品实现原理产品对Portal的实现是基于ACL的，通过QACL模块来支持对用户报文的重定向以及限制用户可以使用的相关资源 ；通常我们把Portal使用的ACL分为4类（对于底层没有什么区别， 主要是查找匹配的顺序）

18、Typel: FreelP规则，动作是 permit（到Portal-Server的规则为第 1 个freeip）Type2 :用户认证通过后添加的规则，动作是 permitType3:用户网段重定向规则，对HTTP报文重定向到CPU（实现认证页面的推出）Type4：用户网段禁止规则，动作是 denyPortal规则在端口上下发，排列需要有严格的顺序，匹配时按照Type1-4的顺序从前往后 排列。如果在一个端口上既有普通ACL规则（通过命令行配置的 ACL ）下发，又启用了 portal，则portal所添加的规则会排列在普通 ACL之后。2.3 PORTAL协议框架PortaI协议主要涉及P

19、ortal服务器（Portal Server）和接入设备（BAS），采用C/S结构, 基于UDP。端口定义：PortalServer通过默认端口（ 50100）侦听BAS发来的报文；BAS通过端口 2000侦听来自PortalServer的所有报文。2.4 对EAD系统的支持通过EAD的系统中的安全策略服务器，PortaI可以实现其扩展认证功能，实现基于客户端与安全策略服务器之间的交互来进行后续的安全检测功能。Portal对EAD的支持需要用户在终端上安装专用的PortaI客户端软件，用户在通过Portal认证后，安全策略服务器通过与Portal客户端、接入设备进行交互，完成对用户的安全认证。

20、若对用户采用了安全策略，则用户的安全检测通过之后，安全策略服务器根据用户的安全策略，授权用户访问非受限资源。Portal在EAD系统中通过联动的机制主动的实施安全策略，联动的基本方式如下：?客户端与安全策略服务器联动1、客户端上线时Portal服务器会在Login-Response报文中携带EAD服务器的IP地址及端 口号；2、用户上线后客户端和安全策略服务器进行交互，服务器下发检查策略，客户端按策 略检查所在PC的安全情况，并上报服务器；3、 用户在线过程中客户端仍会定期上报安全情况，以适应动态检测（即EAD心跳），安全检测使用的报文为 UDP，通常端口号是9019(Server)/1010

21、2(Client)。?接入设备与安全策略服务器的联动H3C对Radius协议进行了扩展，定义了 Type20(Session-Control)，当用户上线后，通过该 类型的Radius报文下发隔离ACL，等通过安全检查后，再下发安全ACL。2.5 认证方式2.5.1认证方式分类不同的组网方式下，可采用不同的Portal认证方式。按照网络中实施PortaI认证的网络层次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。?二层认证方式二层认证方式支持在接入设备连接用户的二层端口上开启Porta I认证功能，只允许源MAC地址通过认证的用户才能访问外部网络资源。目前，该认证方式仅支持

22、本地 PortaI认证,即接入设备作为本地 Portal服务器向用户提供 Web认证服务。?三层认证方式三层认证方式支持在接入设备连接用户的三层接口上开启Porta I认证功能。三层接口Portal认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和跨三层 认证方式。直接认证方式和二次地址分配认证方式下，认证客户端必须通过二层直接连接到接入设备；跨三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备。直接认证用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal服务器，以及设定的free IP地址；认证通过后即可访问网络资源。认证流程相对二次地址分

23、配认证较为简 单。二次地址分配认证用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设定的免费 访问地址；认证通过后，用户会重新申请到一个公网IP地址，即可访问网络资源。该认证方式解决了 IP地址规划和分配问题，对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。跨三层认证和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三层转 发设备。对于以上三种认证方式，IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接

24、入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的MAC地址，接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。2.5.2 二层Portal认证过程rf I；C1）血陶ft细iftI；:m RADHJS廊说的认适茫甄；，N:【旳亦用户上躺诸I*IIPortal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地 Portal 服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP地址，本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP

25、地址（通常为Loopback接口 IP）。（2）接入设备与RADIUS服务器之间进行RADIUS协议报文的交互，对用户身份进行验证。(3) 如果RADIUS认证成功，则接入设备上的本地Portal服务器向客户端发送登录成功页 面，通知客户端认证(上线)成功。2.5.3 三层Portal认证过程C4) RADIUS博辺直接认证和可跨三层Porta I认证的流程户弟idM户上皱功C7) UKSSWl ；C91 fife直接认证/可跨三层PortaI认证流程：(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时， 对于访问Portal 服务器或设定的免费访问地址的HTTP

26、报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。Portal服务器提供 Web页面供用户输入用户名和密码来进行认证。(2) Portal 服务器与接入设备之间进行CHAP ( Challenge Handshake AuthenticationProtocol，质询握手验证协议)认证交互。若采用 PAP( Password Authentication Protocol，密码验证协议)认证则直接进入下一步骤。(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开 启定时器等待认证应答报文。(4) 接入设备与RA

27、DIUS服务器之间进行RADIUS协议报文的交互。(5) 接入设备向Portal服务器发送认证应答报文。(6) Portal服务器向客户端发送认证通过报文，通知客户端认证(上线)成功。(7) Portal服务器向接入设备发送认证应答确认。(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的是否安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、更新操作系统补丁等。(9) 安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保存到接入 设备中，接入设备将使用该信息控制用户的访问。步骤(8)、(9)为PortaI认证扩展功能的交互过程二

28、次地址分配认证方式的流程：户第ax设冬rTI41czz-Z1:C10J曲栩户； 接入业务 接入设备配置，点击增加。输入共享密钥，其他的使用默认配置。共享密钥必须和设备上配置的radius scheme中的key致点击确定后，提示成功增加接入设备。接入配置卞共拿密钥radius*认证端口1812*计费端口1313卞业务类型LAM携入业务V卡接入设备类型H3CV卞惶戚类型标准RADIUSV在设备列表中选择或手工增加要进行认证的设备。选挥手工増加全部清除共有1条记录.设备常曇设备IPK址设备型号H除162.105.3,2102.105.37ICMPX2点击进入业务 接入业务portal服务管理 服务

29、器配置页面。对portal主页URL进行配置，并设置一些用户状态检测等时间。其中Portal主页的URL与设备上的portal服务中URL的配置一致。portal server portal ip 0 key 123456 url 0:8080/portal其中主机IP地址为设备上连接接入用户端的接口地址，密钥必须和设备上配置portal服务中的key致。portal server portal ip 0 key 123456 url 0:8080/portal若在设备上配置的为二次地址分配认证，则这里的二次地址分配选项应该选为是。4. IP地址组配置，点击进入业务 接入业务portal服务管理ip地址组配置页面。增加需要认证的用户网段的IP地址段。若需要认证的用户的IP地址不在该网段内，该用户的报文会被直接丢弃而不能正常访问网络。业筈 搔入业务 卩诃初笛菅理 Ponnl IP1A址爼配置 増加IP1A址组址爼方IP地址爼老盍迢始地址击终止地址*是否NAT13