某市有线城域网Shasta5000宽带业务节点实施方案

某市有线城域网Shasta5000宽带业务节点实施方案XX有线城域网Shasta5000宽带业务节点实施方案目录2.2 软件Shasta软件BSN固件oSCS服务器oSCS客户端可选的PPPoE客户端软件(NTS,WinPoet, ⋯)SnifferforEthernet三，实施系统结构图四，安装和配置在硬件安装完成后，就可以进行软件的安装和业务的设置，需要一条Console线进行系统初始设置；从SCS的角度看，DeviceOwner和一个或多个的 ISP在逻辑上是独立的实体。DeviceOwner负责配置设备的物理连接，以允许不同的ISP来管理该设备。ISP负责设置IP接口，业务策略和接入用户。4.1Shasta 基本软件安装SCS服务器的安装请参阅‘SCS服务器和客户端安装指南’；SCSclientinstallation请参阅‘SCS服务器和客户端安装指南’；Shasta 初始配置参照‘Shasta5000安装及初始配置指南‘进行初始配置，设置一个管理地址。通常，可把该地址配置到管理以太网端口（ mgmt-eth0)上。这样，从SCS服务器，就可以 pingShasta 和SCS客户端。4.2Device_owner 配置当连接建立后，用uername‘device_owner’和password‘do’登录到SCS客户端。接着进行以下的配置：增加Shasta设备在设备窗口，增加 Shasta5000 节点，设置管理状态到 UP。ISP生成在ISP图标下, 加入所需的ISP。用户配置为了允许一个ISP用户登录到SCS服务器，必须至少在每个ISP中加入一个用户。如下表所示：ISP Username Profileisp1 isp1admin Isp_profile_and_device_ownerisp2 isp2admin Isp_profileTrunk连接这里建立Shasta5000和ISP的主干间的连接。在 Connections 图标下，为每个ISP配置一个Trunk;Access连接这里在Shasta5000和接入用户间建立连接。在Connections图标下，为各个ISP配置一组PPP接入用户(Subscriber)。4.3ISP 配置ISP配置是为了在ISP和Shasta5000间建立IP连接，同时为接入用户配置不同的接入策略和增值服务策略。Trunk 连接这一步在Shasta5000和ISP核心路由器之间建立IP连接。增加一个Trunk接口并把它赋予在前面DeviceOwner配置中生成的Trunk连接。路由配置在Trunk接口上配置路由协议。如果没有路由协议需要采用，可配置一条静态路由。接入策略配置这里的所有配置都在‘AccessProperties ’图标下进行。增加一个Radiusprofile该radiusprofile将被使用在Radius认证和计费的实施中。把它命名为Radius1。增加一个DHCPprofile该dhcpprofile将被使用在通过DHCP服务器的接入用户IP地址获取中。把它命名为Dhcp1增加一个Accessgroup我们在这里配置三个AccessGroup,每个accessgroup存放了不同的参数。这些参数包含Radius，DHCP等profile.AccessgroupRadiusserverDHCPserverDNSservernameGroup1--DNSServerIPGroup2Radius1-DNSServerIPGroup3-Dhcp1DNSServerIP在Group1的接入用户将由Shasta进行身份认证由Shasta从本地的IP地址池中发放IP地址在Group2的接入用户将由RadiusServer进行身份认证和计费由Shasta从本地的IP地址池中发放IP地址在Group3的接入用户将由Shasta进行身份认证由DHCP服务器发放IP地址定义地址池（addresspools ）为各个用户组（group）定义一个地址池。定义PPPoE隧道在“AccessProperties ”图标下,采用系统默认选项。接着生成一个

首先定义一个PPPoEconnectiontemplatePPPoE隧道并把它连接到：

。接入连接(AccessConnection)前面定义的connectiontemplate业务策略配置在添加接入用户前，建议ISP预先配置其将提供的业务策略框架（ServicePolicyprofile）。下面定义的业务策略是本次实施的样板策略，可根据业务需要进行修改。独立策略配置安全策略这里给出一个带有四条规则的样板安全策略(sec1)。它防止任何FTP流量并记录任何FTP企图。第四行只允许从一台管理工作站ping接入用户的地址。最后一行丢弃所有其他数据包。出口反欺诈(Egressanti-spoofing)增加一个出口反欺诈策略 (命名为espoof1). 该策略不可被编辑修改。入口反欺诈(Ingressanti-spoofing)增加一个入口反欺诈策略 (命名为ispoof1). 该策略不可被编辑修改。Diff-serv 标记策略增加一个 带有4条规则的DiffServ 策略(命名为diff1) 。这条策略将作用到从接入用户向外的数据流量，将根据下列规则设置 Diff-serv 编码：AF4目标地址是Stock_exchange_server的Telnet流量所有的pingAF3H323流量RealaudioAF1HTTPFTP所有其他流量流量整形策略增加一个流量整形策略 (命名为shaping1)，包含四条规则。这个策略将作用到进入到接入用户的数据流，将把 telnet后是FTP。在该策略中， telnet,http

的优先级设置为最高，其次是 http，最和ftp 的流量是同时发生的,带宽的80%保留给telnet带宽的9%保留给http带宽的1%保留给ftp.如果仅仅http 和ftp 流量是并发的，带宽的90%保留给http带宽的10%保留给ftp.另外，FTP的流量速率被限制在 512Kbits/s ，并且一个会话的速率被限制在256Kbits/s所有其他的流量被赋予了权重 10。Policing 策略增加一条流量管理(Policing)策略(命名为police1)，它带有如下参数。这条策略作用于从接入用户发出的流量，允许把不同的带宽赋予不同的保证转发组AF）。强制门户策略增加一条强制门户策略(命名为 captive1). 这条策略将允许所有的至一个特定的WebServer地址HTTP请求。然而，如果用户试图访问其他的服务器，该请求就会被捕获并且一个捕获页面会被发出。基于策略的转发这条策略将导致Shasta跳过其路由表，如下图所示，导致所有的FTP流量被发送到一个特定的IP地址，如Virus_Scanner.Webcache重定向这条策略将导致所有的 HTML传输被重定向到 CacheServer。IP计费这条策略将为每个接入用户生成Diff-servAF 类。

4个容器（

buckets

）。每个容器对应于一个五，实施内容5.1，宽带接入功能实施实施项目通过PPPoE的接入(使用NTSorWinPoet软件)实施步骤:使用已定义的ISP1的PPP接入用户定义该接入用户采用local_authentication把该接入用户定义为group1的成员不为该接入用户添加IP增值业务使用一个PPPoE客户端软件进行验证实施细则：Shasta的PPPoE配置Win9X的PPPoE客户端软件安装Shasta将从其本地地址池中发放一个IP地址Shasta将为客户端指定一个DNS服务器有一个选项可以在特定的时间后关闭PPP会话我们应有和网络主干的完全的IP连接可以采用FTP从主干上的FTP服务器上下载文件来测试一下PPPoE的传输 身份认证 通过Shasta进行本地身份认证实施项目实施步骤:实施细则：

通过Shasta进行本地身份认证使用已定义的ISP1的PPP接入用户定义该接入用户采用 local_authentication把该接入用户定义为 group1的成员不为该接入用户添加 IP增值业务使用一个PPPoE客户端软件进行验证客户端和Shasta建立一个PPPoE会话，通过用户名和口令进行身份验证。可在 PPPProfile 中定义是采用CHAP或PAP。Shasta在本地进行身份认证Shasta将从其本地地址池中发放一个 IP地址Shasta将为客户端指定一个 DNS服务器我们应有和网络主干的完全的 IP连接 通过RADIUSserver 进行的身份认证 .实施项目实施步骤

:

通过RADIUSserver进行的身份认证使用已定义的ISP1的PPP接入用户定义该接入用户采用RADIUSSERVER把该接入用户定义为group1的成员不为该接入用户添加IP增值业务使用一个PPPoE客户端软件进行验证户将被登录。server.RADIUSserver实施细则： Checklist:在RADIUS中定义用户帐号客户端和Shasta建立一个PPPoE会话，通过用户名和口令进行身份验证。可在PPPProfile中定义是采用CHAP或PAP。Shasta 把身份认证请求转发至指定的 RADIUS将完成身份认证，接入用Shasta将从其本地地址池中发放一个 IP地址Shasta将为客户端指定一个 DNS服务器我们应有和网络主干的完全的 IP连接 计费 通过shasta进行本地计费实施项目实施步骤:实施细则：

通过shasta进行本地计费使用已定义的ISP1的PPP接入用户定义该接入用户采用 local_authentication把该接入用户定义为 group1的成员不为该接入用户添加 IP增值业务使用一个PPPoE客户端软件进行验证使用SCS，检查一下系统日志，可以看到会话的开始和结束，时间以及进出的字节数 /数据包数。 通过RADIUSserver 进行计费实施项目实施步骤

:

通过RADIUSserver进行计费使用已定义的ISP1的PPP接入用户定义该接入用户采用 RADIUSSERVER把该接入用户定义为 group1的成员实施细则：

不为该接入用户添加 IP增值业务使用一个PPPoE客户端软件进行验证在radius 的计费文件中, 检查一下，可以看到会话的开始和结束，时间以及进出的字节数 /数据包数 日志(Logging) 安全日志实施项目实施步骤:实施细则：

安全日志在一个PPP接入用户上使用安全策略在接入用户上产生 HTTP流量。在SCS的日志中可以发现攻击的流量的记录5.2，网络增值业务防火墙业务 安全策略的实施及验证实施项目实施步骤

:

安全策略的实施及验证对一个接入用户赋予一个前面定义的安全策略实施细则：

试图从该接入用户向 Internet 发起一个HTTP会话。可以发现所有的流量都被丢弃和记录在日志里从该接入用户向被允许的

FTP服务器发起一个

FTP请求，可以发现连接是正常的从该接入用户向不被允许的FTP服务器发起一个FTP请求，可以发现连接是不正常的.可以发现从接入用户发出的 DNS解析的请求工作正常可以发现只能从接入用户向 Internet 发出Ping 出口反欺诈(Egress Anti-spoofing) 策略的实施及验证实施项目

出口反欺诈

(EgressAnti-spoofing)

策略的实施及验证实施步骤:实施细则：

对一个接入用户赋予一个前面定义的出口反欺诈策略使用接入用户的源地址从主干接口向接入用户传输数据，可以发现在接入用户端无流量被接收到。 入口反欺诈(IngressAnti-spoofing) 策略的实施及验证实施项目实施步骤:实施细则：

入口反欺诈(IngressAnti-spoofing) 策略验证对一个接入用户赋予一个前面定义的入口反欺诈策略使用一个未被赋予的 IP源地址从接入用户的 PC传输数据到网络的主干，可以发现无数据在网络的主干被接收到。流量控制业务 流量整形策略的实施及验证实施项目实施步骤:实施细则：实施项目实施步骤:实施细则：

流量整形策略的实施及验证把前面定义的流量整形策略赋予一个接入用户设置连接的速率限制为1Mbits/s打开一个从主干到接入用户的FTP会话。可以发现数据接收速率为256Kbits/s.打开2个FTP会话，可以发现传输速率现在是512Kbits/s.使用HTTP和FTP开始大文件的传输，可以发现HTTP文件的传输速率是FTP的10倍，并且总的带宽不超过1Meg/s在其他传输还在进行时，起动一个telnet会话，可以发现该会化不被其他数据传输的影响策略的实施及验证DiffServ 策略的实施及验证把前面定义的DiffServ 策略赋予一个接入用户从接入用户端PC向“Stock_exchange_server”所指的主干节点发送Telnet数据。在主干端使用协议分析仪，可以发现DS位被设置为AF4-DP1.发送ping命令。在主干端使用协议分析仪，可以发现DS位被设置为AF4-DP1产生H323andRealaudio流量。可以发现DS位被设置为AF3-DP1.产生HTTPandFTP.可以发现DS位被设置为AF1-DP1.产生不在前面类别里的数据流量，可以发现DiffServ标记被清除了 流量管理

(Policing)

策略的实施及验证实施项目实施步骤

:

流量管理(Policing) 策略的实施及验证把前面定义的Policing 及DiffServ接入用户

策略赋予一个实施细则：

产生一个

FTP

传输，可以发现速率被限制在128kbits/s产生ICMP传输。可以发现速率被限制在 5kbits/s强制门户业务 强制门户策略的实施及验证实施项目实施步骤:实施细则：

强制门户策略的实施及验证把前面定义的强制门户策略赋予一个接入用户试图访问某个WEB网站，可以发现我们访问到了强制门户页面而非我们原来试图访问的页面。在下面的业务选择业务的实施中我们可以发现更多的强制门户应用 重定向业务 重定向业务的实施及验证实施项目实施步骤:实施细则：

Cache重定向业务的实施及验证把前面定义的Cache重定向策略赋予一个接入用户把两台Web服务器设置为Cache可以发现从 Shasta 来的 HTTP请求都被发送到CacheWeb服务器上了。可以发现如果一台Cache服务器当机后，就会自动被从活跃CacheWeb服务器的列表中去除。 网络批发业务实施项目

ISPContex