华为MA5200培训ppt课件

1、MA5200产品培训胶片内容： MA5200产品定位 产品总体构造 业务虚现流程 用户管理特性1、可运营、可管理、电信级以太接入设备2、分布式BAS3、边缘接入效力器：EASMA5200 产品定位MA5200是华为公司针对密集型以太网接入用户而推出的多业务宽带接入设备，提供电信级的可运营、可管理才干，是建立以太接入网络的最正确选择。MA5200产品主要运用于：新建小区和商业大楼的高速接入网络建立运营商宽带接入网与数据公网建立企业VPN网络建立区域信息岛建立MA5200构建IP业务接入网络时，整框最大可支持6K并发用户业务的接入。MA5200 产品定位功能特征： 流量模型是会聚为主 路由协议支持

2、要求不高 具备强大的用户管理功能 完善的基于用户的网络平安保证措施 基于用户面向计费和网络管理的统计功能 灵敏的可扩展业务生成平台MA5200 产品定位强大的用户管理功能的表达： 完善的用户认证，控制功能 有效的QOS保证 健全的平安机制 丰富的业务提供才干 灵敏多样的计费支持 良好的运营维护才干 MA5200 产品定位强调实现方式：集中控制，分布转发内容： MA5200产品定位 产品总体构造 业务虚现流程 用户管理特性MA5200MA5203MA5200E/F MA5200定位于EAS以太网接入效力器，可下接LAN SW、DSLAM、EVDSL交换机、HFC头端等设备，完成用户的一致认证和管

3、理。 MA5203定位于小容量EAS，功能特点与MA5200完全一样。 MA5200E/F定位于小区以太接入会聚，功能特点与MA5200一样，容量与构造更加适宜LAN/EVDSL小区的运用。MA5200 系列产品MA5200 插框外部构造一体化的构造设计，综合思索系统散热、EMC、供电问题规范13U插框，9U插板16槽位，2个主控槽位，14个业务槽位单板尺寸：366.7mm340mm9U可选的一次电源配置13U 16槽位插框，14业务板槽位兼容支持GE、FE、POS等多种业务接口系统控制板上行转发板上行转发板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接口板业务接

4、口板业务接口板业务接口板业务接口板MA5200规格系统控制板接入板多样灵敏提供多种接口单板类型：- 系统控制板SMB:完成业务处置，用户管理的中心- 业务板：HRB板：高速路由转发板，必需有的单板HAB板：业务接入板，提供电口和光口的FE,GE接口扣板CTS板：CABLE接入业务板，HFC用户接入NAT板：实现NAT功能的单板MA5200E/F是原先MA5200的单机版本，承继了MA5200的一切的业务功能采用新一代网络处置器，10Gbps无阻塞共享缓存交换容量，24个FE，两个GE全对称业务端口，3Mpps(2GE)线速转发才干硬件支持单播/多播和广播转发每个端口支持4个CoS，支持SP/W

5、FQ调度器的配置一体化的盒式构造设计，综合思索系统散热、EMC、供电问题MA5200 系列产品简介MA5200E为24FE电口固定配置，MA5200F为以6端口为单位的FE电口/光口选配MA5200F具有双电源热备份MA5200F可以提供AC220V或DC48V输入，MA5200E只需AC220V输入MA5200F的GE、FE口均为前出线，MA5200E的GE口为后出线MA5200 系列产品简介内容： MA5200产品定位 产品总体构造 业务虚现流程 用户管理特性MA5200业务虚现流程简介MA5200业务虚现的总体原那么： 集中控制，分布转发 1、业务控制完全在主机完成； 2、业务虚现由单板

6、完成； NPCPUASICNP网络处置器综合了CPU和ASIC的优势，采用可编程的微码技术，在业务处置方面具有高灵敏性，同时具有接近ASIC的本钱优势，成为构建EAS的技术根底。CPU是路由器和BAS类产品的处置中心，特点是灵敏、业务功能强，缺陷是性能不高，昂贵。ASIC是L2/L3实现的根底，采用精简指令集中，廉价、高效，但程序写死所以欠灵敏。目前业界常用到的NP包括Rainer、C-5、IXP1200等型号，近期更出现了将NP与L3 ASIC集成到一同的方法，代表了未来开展的方向。CISCO最新的CL2924L3、OSR7600等均采用了NP技术用户管理设备的中心技术转发流程和业务处置的主

7、要功能模块接入报文合法性验证流分类流量监管路由转发队列调度MA5200电信级用户管理的实现原理-转发流程令牌桶流量统计Queue0Queue1Queue2QueueNDropTailRR/DRR接纳报文合法验证流分类流量限制队列发送报文出队调度拥塞控制路由转发战略路由 源地址 目的地址 源端口 目的端口 协议类型ACLIP/MAC/VLAN绑定检查用户战略信息库MA5200电信级用户管理的实现原理-转发流程流分类目的分类是为了提供有区别的效力和控制战略，MA5200经过流分类可以识别出不同用户的不同业务流，并获取相应业务流的处置规那么。流分类的结果可用于接入速率限制，战略路由，访问控制，优先级

8、调度等处置。流分类根据由于IP报文的效力目的普通不依赖于从哪个物理层收发，而依赖于来去的地址和承载内容，所以通常用报文5元组为报文分类：源/目的IP地址，源/目的协议端口号，协议类型。MA5200做为以太接入设备，流分类添加了VLAN信息。TOS的运用MA5200做为网络边缘设备对报文分类的同时，设置TOS字段，网络骨干设备可直接运用分类结果提供效力，实现IETF的DiffServ模型。转发流程中关键技术流分类MA5200电信级用户管理的实现原理-流分类MA5200 业务接入处置板和路由转发板业务接入处置板和路由转发板的硬件构造一样，由业务接入处置底板和物理接口板以“主板+扣板方式构成，经过在

9、一致的底板平台上添加不同的扣板，提供不同网络接口，依托不同的软件完成不同的业务处置和路由转发功能，大大加强了组网灵敏性和晋级才干。 业务接入处置底板 HAC 物理接口板业务接入处置底板 HAC业务接入处置底板的作用： 提供接入业务处置的硬件平台 根据加载软件的不同，可以作为Ethernet业务接入处置板，完成数据包的封装处置、流量限制，用户管理控制；也可以作为路由转发模块的处置板，完成数据包的路由、转发、协议封装等处置。 提供与背板总线的接口物理接口扣板E8FI ：8路10/100M以太网电接口，传输间隔100mO8FIB ：8路10/100M以太网多模光接口扣板，传输间隔2KmO8FIF ：

10、8路10/100M以太网单模光接口扣板，传输间隔15KmO1GIS ：1路短波千兆多模光接口扣板，传输间隔200mO1GIL ：1路长波千兆光接口扣板，支持单模和多模光接口， 经过选用不同的光纤来选择接口的方式，单模接口传输距 离可达10Km，多模接口传输间隔小于500m；155 POS扣板方式灵敏提供多样接口 内容： MA5200产品定位 产品总体构造 业务虚现流程 用户管理特性 完善的用户管理功能 有效的QOS保证 健全的平安机制 丰富的业务提供才干 灵敏多样的计费支持 良好的运营维护才干 MA5200：可运营、可管理、电信级以太接入设备用户认证战略用户计费战略访问控制用户带宽控制优先级控

11、制用户接入终端数控制多播组管理MA5200 电信级用户管理的主要特点基于物理位置的接入方式 VLAN方式基于帐号的拨号接入方式 PPPOE方式华为自主设计的灵敏接入方式 VLAN+WEB认证接入基于端口的平安接入控制方式 802.1x协议接入MA5200 的用户管理-用户接入后的认证、授权用户管理-各种认证方式综合比较用户管理-各种认证方式综合比较基于物理位置的接入方式VLAN接入 Core根据接口信息分配IP地址DestSrcDataLen/Etypep/Q Labelp/Q LabelEtypeEtypeFCSPriorityVLAN-IDVLAN-IDToken-Ring Token-R

12、ing 封装标志封装标志VLAN-ID VLAN-ID 和和 T-RT-R封装标志封装标志重新计算重新计算FCSFCS662224.DestSrcFCSDataLen/EtypeMA5200Quidway2403DHCP ServerDHCP 报文业务报文 CoreMA5200DHCP Server1 用户发起DHCP恳求2 MA5200根据用户权限作DHCP RELAY3 根据DHCP AGENT的IP 地址从相应地址池中分配用户IP 地址4 MA5200转发分配的IP 地址，同时完成IP +VLAN+MAC的绑定5 用户获得IP 地址基于物理位置的接入方式VLAN接入方式基于帐号的拨号接入

13、方式 ISP根据接口信息分配IP地址RadiusServerRadiusClientPPPoE集中管理传统拨入方式便于支持IP VPNCorePPPoEMA5200AAA PPP本地终结，IP转发PPPPPPOEIPMACPPPPPPOEIPMACVLANPPPIPMACVLANPPPOEMAC基于帐号的拨号接入方式PPP本地终结MACVLAN+WEB用户认证-华为自主设计的认证方式一个帐号随处运用一个帐号多人运用WEB认证为流动用户提供了灵敏的认证方式Login:帐号AISPPassword:密码Login:帐号AISPPassword:密码 MA5200Quidway2403Quidway

14、2403 CoreMA5200Radius Server3、用户发起认证4、MA5200作为认证客户端，与Radius Server配合完成用户的认证过程2、MA5200的ACL控制用户在未经过认证前只能访问一个或几个特定WWW效力器WEB认证效力器1、用户经过DHCP获得IP地址LAN SWWEB Server5、用户经过认证后可以正常实现Internet访问 VLAN+WEB方式是结合了帐号和物理位置的认证方式 ，可以作为实现Portal门户业务的根底 VLAN+WEB用户认证-华为自主设计的认证方式VLAN+WEB用户认证-友好的HTML页面用户登录一致的门户，获得认证页面。实现了用户终

15、端零配置实现了终端无关性VLAN+WEB用户认证-有效的平安性认证过程由私有协议完成 -保证平安的根底MD5加密实现了有效的平安性认证Relay认证ServerMD5Server 门户效力器 用户终端私有认证协议 MA5200私有认证协议认证ClientMD5Client逻辑构造物理构造认证ServerMD5Server 门户效力器 用户终端私有认证协议 MA5200私有认证协议认证ClientMD5Client 门户效力器 用户终端 MA5200 MA5200VLAN+WEB用户认证-华为自主设计的认证方式网络门户效力器上运转中继程序，将用户的认证恳求转发给相应的MA5200中继程序是JAV

16、A运用，可顺应不同的WEB效力器和操作系统。VLAN+WEB用户认证-华为自主设计的认证方式VLAN+WEB用户认证- 实现过程12345678910用户ClientWEB ServerMA5200AAAServer恳求MagicNumber转发恳求生成MagicNumber回送转发MagicNumberRelay给Client发送认证恳求用户名和密码摘要；转发认证恳求Radius恳求反响认证结果发送认证结果转发认证结果802.1X：LAN SWRadius ServerMA5200EAPOLEAPEAPOL 主要完成根本的端口控制，不能完全实现“可运营、可管理 IEEE规范，需求终端软件支持

17、 实现位置有多种选择，对交换芯片有要求802.1X接入认证方式 华为VRP操作系统对802.1X协议做了多方面扩展以改善其特性：VRP平台的802.1X子系统扩展了多种受控端口类型物理端口/逻辑端口/逻辑端口+源MAC，以支持复杂的电信运用环境。VRP的802.1X子系统允许一个物理端口下有多个受控端口。VRP平台不仅支持EAP Relay，还支持EAP终结，对远程Radius无更改要求。华为公司也提供基于WINDOWS98/ME平台802.1X的客户端；界面与拨号网络一样，运用较WINDOWS XP版本方便，并能配合其它设备实现一些专有的增值业务功能。802.1X接入认证方式扩展 完善的用户

18、管理功能 有效的QOS保证 健全的平安机制 丰富的业务提供才干 灵敏多样的计费支持 良好的运营维护才干 MA5200：可运营、可管理、电信级以太接入设备MA5200 有效的QoS保证流分类流量监管(CAR)队列调度技术拥塞防止和Buffer管理承诺访问速率CAR分类效力：对不同的用户业务配置接入保证带宽参数。速率限制：根据流分类结果匹配用户接入业务流，利用令牌桶算法，对相运用户业务流按照商定的速率带宽限制MA5200流量监管目的：双向流量限制：对业务流双向进展流量监管。监管粒度：支持从128Kbps开场，以64Kbps为单位递增。控制误差：控制精度10 接纳报文流分类令牌桶后续处置入接口战略库

19、流量参数MA5200 有效的QoS保证-流量监管和整形MA5200可实现对接入带宽的控制FIFO队列传统队列，无QosIP优先队列(Preference Queue)8个优先级，绝对保证优先按权重轮循包调度队列(W_DRR)8个用户队列，根据优先级按比例预先分配带宽40%20%30%10%数据优先级高优先级底QOS关键技术队列调度MA5200 有效的QoS保证-队列调度 完善的用户管理功能 有效的QOS保证 健全的平安机制 丰富的业务提供才干 灵敏多样的计费支持 良好的运营维护才干 MA5200：可运营、可管理、电信级以太接入设备网络运营平安IP/MAC地址仿冒防止DHCP效力器攻击维护重要网

20、络资源维护接入用户平安保证二层严厉隔离三层受控访问MA5200 健全的平安机制网络运营平安地址盗用MA5200的接入端口和VLAN固定标识LANSWITCH接入端口 独一标识用户MA5200在用户接入衔接建立后绑定IP-MAC-VLAN关系，丢弃不符合以上绑定关系的报文，用户断开衔接后，绑定关系解除；IP地址的分配，MA5200存在动态和静态两种方式；动态用户在IP地址分配后，建立IP-MAC-VLAN绑定关系；静态用户在MA5200操作界面完成IP-MAC-VLAN绑定关系的指定；动态用户不能经过指定IP地址的方式接入网络；MA5200 健全的平安机制- IP/MAC地址仿冒防止网络运营平安

21、DHCP效力器攻击QuidwayS2403FMA5200DHCP ServerIP网络DHCP 恳求广播DHCP续传MA5200 健全的平安机制-重要网络资源维护控制每个端口的接入用户数目设置用户访问控制表IP地址是重要网络资源，需求维护，控制分配 ISP给她发点渣滓信息！业务被破坏！缺乏隔离控制接入用户平安保证 支持802.1Q规范的VLAN,为每一个用户端口分配一个独立的VLANID,在第二层利用VLAN支持不同用户的流量严厉隔离 VLAN机制任务在第二层,在第三层(IP层)上面,经过Access List实现用户流量隔离和用户之间的受控互访通讯，以及用户与网络设备的隔离。MA5200 健

22、全的平安机制-基于VLAN的用户数据隔离QuidwayS2403FMA52002403每个端口分配一个VLAN号利用不同的VLAN号物理隔离用户MA5200不同业务端口下VLAN号可以反复MA5200 健全的平安机制-接入用户二层严厉隔离QuidwayS2403F用户访问控制表ACL:DstIP SrcIP Action . userA userB Deny /0 userA PermituserAuserBMA5200经过基于用户的访问控制表实现三层的受控访问MA5200userA和userB访问制止MA5200 健全的平安机制-接入用户三层受控访问该功能同样可用于网上重要效力器的维护use

23、rA允许访问缺省目的网段 完善的用户管理功能 有效的QOS保证 健全的平安机制 丰富的业务提供才干 灵敏多样的计费支持 良好的运营维护才干 MA5200：可运营、可管理、电信级以太接入设备宽带用户以太接入高速上网受控多播/广播支持网络电视IP-HOTEL201+宽带上网卡NAT转换VPDN_VPN多ISP支持智能小区集团用户专线网吧运用以太网MA5200 丰富的业务提供才干MA5200典型EAS组网构造 CoreMA5200MA5200EMA5200L3S3026S2000系列S2000系列S3026V网管中心业务中心SNMPRadiusGEGEFEEVDSLLANMA5100/5306ATM

24、 CoreIP CorePSTNGKL3 SwitchMA52002403F网管DHCP ServerRadius ServerLocal Server分发会聚层业务接入层中心交换层MA5200组网运用典型组网用户业务管理PORTAL 业务Web TV实时股票信息网上收音机其它文娱信息树型拷贝，节约带宽支持IGMP多播协议华为公司私有组播协议HGMP具有用户多播业务控制表，可以对用户参与多播组进展控制节目1节目1节目1节目1节目1节目1节目1节目1MA5200S2403FS2403FMA5200 丰富的业务提供才干-组播与组播控制MA5200和路由器之间的多播控制报文交互：MA5200 丰富的

25、业务提供才干-组播与组播控制MA5200和用户主机之间的多播控制报文交互：MA5200 丰富的业务提供才干-组播与组播控制MA5200组播业务报文流MA5200 丰富的业务提供才干-组播与组播控制MA5200 丰富的业务提供才干-IP HOTELFEPFEPRSMHUB校园201校园卡系统LAN SWITCH宽带城域商业网C&C08 iNETC&C08 iNETC&C08 iNETC&C08 iNET宽带卡 系统MA校园LAN接入DCNMA5200 丰富的业务提供才干-201+宽带上网卡HUBLAN SWITCHMA校园LAN接入MA5200 丰富的业务提供才干-NAT转换NAT地址转换功能M

26、A5200以NAT插板支持公网和私网地址的转换，支持静态地址映射和PAT方式最大支持40000个session数目。每秒刷新衔接1K以上支持基于TCP/UDP的运用：超文本传输协议，支持WWW网页阅读；Telnet：远程终端登录；TFTP：简单文件传输效力；finger等其它负载中无地址信息的TCP/UDP运用。支持SNMP、IGMP、MGCP、FTP等协议中的地址转换运用，支持分片报文。MA52003NAT在Internet网上提供企业的虚拟公用网降低企业网络构建本钱MANPPPoEPPPoE北京上海广州本部A公司深圳本部B公司MANInternetA公司人员A公司人员B公司人员MA5200

27、MA5200AAA AAA AAA AAA MA5200 丰富的业务提供才干-VPDN_VPNISP1ISP2零售带宽 用户以PPP方式接入 城域网拥有者经过隧道方式租赁带宽给各级ISPMANInternetPPPoEMA5200AAA AAA AAA MA5200 丰富的业务提供才干-带宽出租零售与多ISP支持具有接入小区管理局域网络的才干和提供效力保证用户侧协议简单以太网+DHCP支持用户隔离和受控访问终接二层网络才干一个小区可达1000-2万户，曾经到达LAN极限保证二层、三层平安性及DHCP系统平安性多播才干以支持小区视频业务用户识别才干，满足小区计费需求，用户访问记录用户业务公平调度

28、才干，防止个别用户恶意占用带宽远程管理和供电才干增值业务提供以太网接入小区设备要求：MA5200组网运用智能小区以太接入小区的组网特点 混合光纤双铰线技术：光纤以太网 光纤有无与伦比的传输带宽及可靠性 Ethernet成熟可靠先进、操作简单、造价低 扩展性好：10M、100M、1000M 通用性好，用户共享带宽 IP网络的统计复用，提高运用效率WWWAAAVOD100MINTERNET教育、医疗MA文娱购物资讯小区管理中心小区信息网站以太接入小区组网方案 远程抄表水、电、气 防火、防盗、防气、紧急呼救 POTS、 INTERNETVOD、网上教育、医疗、购物、文娱、内部资讯家政、VOD、房源、

29、电子帐单等. . . . . . .100M 100M10M10M10MSWITCHSWITCHSWITCH 支持多种接入方式,提供具备可靠的平安保证、灵敏的带宽管理、有效的访问控制、多样的计费定制等特点的IP宽带接入，实现PORTAL门户、VPN等多种增值业务。深圳蛇口信息岛的运用深圳IP城域网Portal数据中心网管中心北科创业大厦荔园玫瑰园文竹园榆园爱榕园MA5200招商海月骨干层(城域网节点)会聚层(小区节点)接入层(楼宇节点)中心节点Radium8750+ISN8850S2403FS3026-VFE10MPSTNMA5200MA5100MA5100MA5103MA5103ONUONU

30、ONUFES2403F用户带宽控制，三层受控互访恳求2M就够了多接一台PC接入用户数控制PPP帐号认证，WEB+PORTALS2403F盗用她的地址S2403F地址仿冒防护，DHCP防攻击，IP地址维护GEGEEVDSL MODEM163ATM网智能小区方案FTTX+ADSL+LAN LAN100MADSLADSLMAAAAVODWWW小区信息管理中心抄表台中央处置器路灯、煤气、停车场等监控台!POTSRTUFAX高速上网可视会议电视VODSTBHUB住户甲 防火、防盗、防气、紧急呼救 远程抄表水、电、气IDTRTU10Base-T住户乙ISP 1VOD serverISP N网络侧小区侧用户

31、侧MA5200IP充分利用现有的HFC网络资源，为用户提供诸如高速上网，VOD，物业管理等智能小区业务，提升网络的竞争力。天津世纪城智能小区HFC网管中心FE世纪城花园MA5200天津宽带城域网MA5201MA5201CMHUB100M100M10MVODWWW小区信息管理中心抄表台、路灯、煤气、停车场!OSS100M河西节点NDT200用户NDT200用户CMNDT公用HUB10MCMHUB10MNDT200用户NDT200用户小区双向同轴分配网CMNDT公用HUB10M小区双向同轴分配网哈尔滨宽带校园网ONU/MA5100ATM/IPIDC/CC/MCUSDH/ATM/IPADSLLANCES/FRCESATU-RLAN SW 采用不同的接入手段灵敏处理校园网络这一特殊用户群