QuidwayMA5200G是一種面向數(shù)萬接入終端的智能業(yè)務(wù)網(wǎng)關(guān),它采用大容量無阻塞交換、分布式硬件轉(zhuǎn)發(fā)技術(shù),具有電信級可靠性、線速轉(zhuǎn)發(fā)性能、完整的QoS機制和豐富的業(yè)務(wù)處理能力等特點,滿足寬帶城域網(wǎng)接入各種ip業(yè)務(wù)終端、承載多種業(yè)務(wù)的需求。
MA5200G系列的三款產(chǎn)品在業(yè)務(wù)功能上完全相同,所不同的只是業(yè)務(wù)板數(shù)量、接入用戶終端數(shù)和交換容量等性能規(guī)格,運營商可根據(jù)網(wǎng)絡(luò)工程的容量選擇相應(yīng)的設(shè)備,適應(yīng)網(wǎng)絡(luò)規(guī)模對接入服務(wù)器的需求,對用戶終端提供接入服務(wù)、安全控制和業(yè)務(wù)控制。
MA5200G具備強大的邊緣路由器功能,支持各種接入認(rèn)證,可治理各類業(yè)務(wù)終端,對業(yè)務(wù)進行精細(xì)控制,為電信級業(yè)務(wù)提供QoS保證,開展多種增值業(yè)務(wù)。
一、接入認(rèn)證
MA5200G支持用戶終端通過以太網(wǎng)、xDSL、HFC、WLAN等方式接入,支持VLAN、PVC二層透傳和PVC/VLAN之間的二層橋接業(yè)務(wù),可為專線接入用戶提供靈活的企業(yè)互聯(lián)能力。MA5200G支持端口綁定、PPP撥號、Web、快速Web、802.1x等多種認(rèn)證方式,同一端口可同時支持PPP撥號、Web、快速Web等認(rèn)證方式,也可限定為某種或某幾種認(rèn)證方式。對于各類終端,可根據(jù)業(yè)務(wù)特點選用相應(yīng)的認(rèn)證方式,如IPSTB機頂盒采用PPPoE撥號認(rèn)證方式、PC采用Web認(rèn)證方式。
•端口綁定認(rèn)證
小區(qū)、酒店客房等寬帶用戶一般都是通過固定端口+VLAN/PVC接入的,為了方便使用,用戶可以配置為DHCP動態(tài)地址分配或配置一個合法的靜態(tài)地址,用戶接入時無需輸入用戶名和密碼,MA5200G在檢測到用戶開機后,以端口+VLAN/PVC作為用戶標(biāo)志,向Radius服務(wù)器發(fā)起認(rèn)證請求,對于已開通寬帶業(yè)務(wù)的合法端口+VLAN/PVC,答應(yīng)用戶以相應(yīng)的業(yè)務(wù)權(quán)限接入網(wǎng)絡(luò),并開始按時長或流量進行計費。
•PPP撥號認(rèn)證
MA5200G對以太網(wǎng)用戶或IPDSLAM的ADSL用戶提供標(biāo)準(zhǔn)的PPPoE撥號認(rèn)證,對ATMDSLAM的ADSL用戶提供PPPoA、PPPoEoA撥號認(rèn)證。
•Web認(rèn)證
MA5200G提供的Web認(rèn)證方式消除了對客戶端撥號軟件的依靠,可有效地實現(xiàn)對Portal多業(yè)務(wù)選擇的支持,彌補了PPPoE撥號認(rèn)證方式的不足(大數(shù)據(jù)包分片、PPPoE報文封裝開銷)。MA5200G支持強制Web認(rèn)證方式,非常適合于酒店、學(xué)校等流動性場所。
•快速Web認(rèn)證
為了方便由固定端口接入的小區(qū)或酒店客房等用戶,MA5200G提供了快速Web認(rèn)證功能,在強制Web認(rèn)證時用戶不用輸入用戶名和密碼,只要接入確認(rèn)即可。快速Web認(rèn)證功能具有端口綁定認(rèn)證方式的便利性,又可防止用戶的誤消費,還可實現(xiàn)Portal門戶業(yè)務(wù)。
•802.1x認(rèn)證
MA5200G支持標(biāo)準(zhǔn)的802.1x認(rèn)證流程,支持EAPoRadius、EAPmd5兩種認(rèn)證方式。
為了保證同臺設(shè)備同時接入各類用戶終端,以不同的認(rèn)證方式接入,MA5200G端口可同時支持上面的各種認(rèn)證方式,用戶接入終端可任選認(rèn)證方式。運營商可根據(jù)終端的業(yè)務(wù)特點和應(yīng)用場景,將要支持的認(rèn)證方式設(shè)置到設(shè)備端口上。
二、地址治理
MA5200G答應(yīng)用戶終端通過靜態(tài)配置地址或者動態(tài)獲取地址的方式接入網(wǎng)絡(luò)。對于配置靜態(tài)地址的用戶終端,可實施IP地址和端口+VLAN/PVC+MAC地址的綁定,防止IP地址被非法盜用。對于動態(tài)獲取地址的用戶終端,MA5200G通過DHCPRelay為用戶終端從外部DHCPServer動態(tài)分配地址,也可直接從內(nèi)置DHCPServer中分配地址。通過短租期或客戶端方式,支持DHCP用戶在Web認(rèn)證后從所選的ISP地址池中重新分配地址(二次地址分配),保證在ISP業(yè)務(wù)批發(fā)的過程中,所有的接入用戶都可使用本ISP地址。對于PPP撥號用戶終端,可通過AAA服務(wù)器直接為終端分配地址,也可根據(jù)終端接入認(rèn)證時所帶的ISP域名,從相應(yīng)的ISP地址池中分配地址,還可以為PPP撥號終端作DHCP代理,從外部DHCP服務(wù)器申請地址,具有DHCPProxy功能,與DHCP終端一起從外部DHCPServer分配地址,運營商可非常方便地根據(jù)業(yè)務(wù)需要統(tǒng)一規(guī)劃地址。
在分配地址的過程中,MA5200G可根據(jù)接入終端所在的域名從相應(yīng)的地址池中分配地址,域名可以理解為具有某種共同屬性的用戶群,也可理解為某種終端的某類業(yè)務(wù),因此可根據(jù)用戶分群和業(yè)務(wù)類型規(guī)劃地址。整機支持4k個地址池,每個地址池支持8個地址段,每個地址段支持1024個IP地址,整機可為所有接入終端提供96k個IP地址。
三、計費策略
MA5200G可實時采集用戶終端的計費信息,包括時長和流量,計費信息包含時長、上/下行流量、接入方式(Ethernet、WLAN、HFC、xDSL),支持包月、包月+其它、計時卡、跳檔制、時間段折扣、累計折扣等資費策略,并可根據(jù)終端的業(yè)務(wù)類型決定終端采用不計費、后付費或預(yù)付費等資費策略。如VoIP終端呼叫在業(yè)務(wù)層收費,不收接入費,而PC的Internet業(yè)務(wù)需收取接入費。對于預(yù)付費業(yè)務(wù),支持基于時長和基于流量的付費方式,與AAA服務(wù)器配合還可實現(xiàn)基于時長和流量的綜合預(yù)付費方式,并支持費率切換和折扣功能,可根據(jù)接入方式采用不同的費率。
MA5200G支持二級計費,同時向兩臺Radius計費服務(wù)器上送計費信息,以便酒店等大型客戶進行二次運營,網(wǎng)絡(luò)運營商與酒店之間進行業(yè)務(wù)收入結(jié)算。
對于遠(yuǎn)程Radius計費,MA5200G提供計費保護機制,通過Radius服務(wù)器的冗余備份、握手和重發(fā)等機制,保證鏈路故障時不丟失話單、不產(chǎn)生錯誤話單。MA5200G支持1k個Radius服務(wù)器組,每個組可包括8臺Radius服務(wù)器,可按照用戶終端的認(rèn)證域選擇相應(yīng)的Radius服務(wù)器組,不同用戶群或者不同業(yè)務(wù)終端可在不同Radius服務(wù)器上認(rèn)證計費。當(dāng)遠(yuǎn)端計費服務(wù)器不能計費時,可將話單保存在本地,當(dāng)計費服務(wù)器恢復(fù)正常后,再將計費信息上傳到計費服務(wù)器,確保計費的準(zhǔn)確性和可靠性。
四、業(yè)務(wù)控制
MA5200G可通過Radius授權(quán)或者根據(jù)用戶終端的認(rèn)證域?qū)τ脩艚K端的業(yè)務(wù)權(quán)限進行控制,包括帶寬限制、訪問權(quán)限控制、互訪權(quán)限控制、QoS屬性控制和策略路由等。
MA5200G可對接入終端的帶寬進行控制,防止用戶終端無償侵占網(wǎng)絡(luò)帶寬,帶寬控制范圍為64kbps~1Gbps,帶寬粒度為64kbps。在對用戶終端的帶寬進行控制的同時,還可區(qū)分終端的業(yè)務(wù)類型,進行獨立的帶寬控制。
MA5200G可基于用戶分組實施業(yè)務(wù)控制策略。MA5200G整機支持1k個用戶組,每個用戶組施加相應(yīng)的訪問控制規(guī)則,訪問規(guī)則標(biāo)示用戶可以訪問或禁止訪問的目的地或業(yè)務(wù)類型,這種控制權(quán)限可以設(shè)置生效的時間段,按時間段控制用戶的業(yè)務(wù)權(quán)限。用戶分組是基于域來實現(xiàn)的,因此基于用戶分組實施業(yè)務(wù)控制,實際上就是針對具有相同業(yè)務(wù)權(quán)限的用戶群或某類業(yè)務(wù)終端實施相同的訪問權(quán)限。由于用戶終端的IP地址采用動態(tài)分配方式,因此MA5200G對用戶終端的權(quán)限控制不同于路由器基于ACL的5元組控制。假如基于5元組控制,則不同的域要預(yù)留不同的地址池資源,為了使寬帶用戶和IP終端可按照業(yè)務(wù)動態(tài)接入寬帶網(wǎng)絡(luò),并按照IP地址控制用戶和終端的業(yè)務(wù)權(quán)限,需要大量的地址資源。MA5200G基于用戶域的用戶分組控制用戶和終端的訪問權(quán)限,對用戶和終端權(quán)限的控制不用關(guān)心終端所分配的地址,不同域的用戶或不同業(yè)務(wù)類型的終端,可從同一地址池中分配地址,但仍可實施不同的業(yè)務(wù)控制策略,這種方法大大節(jié)省了地址資源。
MA5200G除可對每個用戶或終端實施訪問控制外,還可將用戶或終端分為不同的互訪控制群InterGroup,控制InterGroup內(nèi)部用戶的互訪權(quán)限和InterGroup用戶群之間的互訪權(quán)限,由此判定同一用戶群或同類業(yè)務(wù)終端內(nèi)部之間能否互訪、不同用戶群或不同類型的業(yè)務(wù)終端之間能否互訪,保證用戶及各類業(yè)務(wù)終端的安全。
在取得用戶和終端業(yè)務(wù)的控制權(quán)限后,在業(yè)務(wù)流轉(zhuǎn)發(fā)時可根據(jù)用戶和終端所在域進行策略路由控制,這一業(yè)務(wù)特性可用于多ISP業(yè)務(wù)接入和帶寬批發(fā),如在校園網(wǎng)可將用戶業(yè)務(wù)批發(fā)給教育網(wǎng)或運營商的城域網(wǎng),也可將不同類型的終端業(yè)務(wù)沿著指定的路徑轉(zhuǎn)發(fā),不同類型的業(yè)務(wù)可以相互隔離。
五、QoS區(qū)分服務(wù)
MA5200G提供基于用戶優(yōu)先級的DiffServQoS功能,可針對不同用戶制定不同的QoS要求,高優(yōu)先級用戶的業(yè)務(wù)可以優(yōu)先轉(zhuǎn)發(fā)。同時,也可以實現(xiàn)基于復(fù)雜流分類規(guī)則的DiffServQoS功能,這些規(guī)則可針對不同的業(yè)務(wù)流實現(xiàn)相應(yīng)的QoS保證。每塊接口板可支持5k個流分類規(guī)則和2k個流分類結(jié)果,支持2k個流的流量監(jiān)管和流量整形。對于已經(jīng)區(qū)分了優(yōu)先級的每個用戶的業(yè)務(wù)流和經(jīng)過ACL流分類后的每一類業(yè)務(wù)流,采用WRED避免擁塞,WRED支持8個等級的丟棄優(yōu)先級,當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時,優(yōu)先級低的用戶或業(yè)務(wù)以較大的概率丟棄,從而保證重要用戶和重要業(yè)務(wù)的QoS。
QoS的區(qū)分服務(wù)可保證在發(fā)展寬帶用戶時,將用戶區(qū)分為金銀銅牌用戶,保證金牌用戶的QoS,而在承載Internet業(yè)務(wù)和電信級的語音、視頻業(yè)務(wù)時,可保證達到電信級業(yè)務(wù)的QoS要求,對Internet業(yè)務(wù)則提供盡力而為的服務(wù)。
六、安全保證
MA5200G對接入用戶、網(wǎng)絡(luò)資源和設(shè)備本身具備完善的安全保護機制,防止外部攻擊。
通過給每個用戶終端分配一個VLAN或PVC,可將用戶終端在接入網(wǎng)二層隔離,業(yè)務(wù)在MA5200G上終結(jié),并根據(jù)訪問控制策略對用戶終端之間的三層互訪進行控制。通過二層隔離和三層互訪控制技術(shù)實現(xiàn)用戶終端之間的完全隔離或受控訪問。對于接入的用戶終端,可按照接入端口+VLANID/PVC+MAC地址+IP地址+PPPoEsession的匹配進行報文檢查,丟棄不匹配的報文,通過這種專有的報文綁定檢查技術(shù)可以徹底防止IP地址仿冒或盜用。通過認(rèn)證賬號與接入端口的綁定,可以防止用戶賬號的盜用。通過上述的技術(shù)手段可保證各類業(yè)務(wù)終端的安全隔離,防止地址仿冒、賬號盜用或業(yè)務(wù)盜用。
MA5200G對同一用戶終端的接入請求,限制只能接入一次,申請一個IP地址,并對其帶寬進行控制,防止非法使用網(wǎng)絡(luò)資源。對同一VLAN或物理端口,可限制申請接入的用戶終端數(shù),防止惡意接入。
MA5200G可通過ACL過濾規(guī)則,控制來自網(wǎng)絡(luò)側(cè)的用戶對MA5200G的訪問,該規(guī)則可以答應(yīng)Radius、網(wǎng)管等運營支撐層服務(wù)器對MA5200G進行訪問,禁止其它所有源地址對MA5200G進行訪問,并可將ACL訪問控制規(guī)則作用到網(wǎng)絡(luò)側(cè)的端口VLAN上,從而保證來自合法端口VLAN的目標(biāo)網(wǎng)絡(luò)才可使用這些答應(yīng)訪問的源IP地址,防止其他用戶盜用這些地址后從其它網(wǎng)絡(luò)訪問MA5200G設(shè)備。假如要用不確定的IP地址遠(yuǎn)程維護MA5200G,則可設(shè)定對MA5200G的訪問速度(可以配置具體的流量速度)。
對于來自用戶側(cè)的攻擊,可按照認(rèn)證方式過濾不需要的報文,如PPP認(rèn)證端口,ARP等報文不再送往CPU,可以防止用戶終端感染病毒后大量發(fā)送ARP廣播報文;同時,還可對每個端口、VLAN上送報文到CPU的速度進行控制,假如VLAN內(nèi)某用戶終端感染病毒或者對MA5200G發(fā)起惡意攻擊,則可控制其上送報文到CPU的速度,保護CPU資源,盡管該VLAN的用戶業(yè)務(wù)可能會受到影響,但其它端口的業(yè)務(wù)不受影響,將用戶攻擊造成的影響范圍控制在最小。
無論對于來自網(wǎng)絡(luò)側(cè)還是來自用戶側(cè)的攻擊防范,都是由硬件對攻擊報文進行過濾的,攻擊報文不送往MA5200G的CPU,從而保證MA5200G免遭攻擊。
七、增值業(yè)務(wù)
MA5200G除了實現(xiàn)寬帶接入業(yè)務(wù)、對接入終端進行治理控制之外,還可提供專線業(yè)務(wù)、門戶業(yè)務(wù)、VPDN、MPLSVPN、非法運營業(yè)務(wù)攔截等增值業(yè)務(wù)。
1.VLAN/PVC專線
MA5200G可對商業(yè)樓宇業(yè)主、工礦企業(yè)等大客戶提供專線業(yè)務(wù)。專線業(yè)務(wù)在物理端口或VLAN/PVC邏輯端口上提供,可對專線用戶進行帶寬控制,帶寬范圍為64kbps~1Gbps,控制粒度為64kbps。對于專線內(nèi)的用戶可分配靜態(tài)地址或動態(tài)分配地址,支持按時長或流量計費,支持后付費和預(yù)付費收費方式,對于預(yù)付費用戶可在Radius服務(wù)器的控制下,關(guān)閉或打開專線。
2.Portal門戶業(yè)務(wù)
MA5200G支持PPP、802.1x、Web和端口綁定等多種認(rèn)證方式,接入用戶無論采用何種認(rèn)證方式,均支持強制Portal門戶業(yè)務(wù)。通過Portal門戶,用戶可以治理個人信息,使用內(nèi)容服務(wù),接收ICP發(fā)布的廣告內(nèi)容和業(yè)務(wù)公告,享受業(yè)務(wù)咨詢和網(wǎng)上業(yè)務(wù)自助等服務(wù)。
3.VPDN業(yè)務(wù)
MA5200G通過L2TP提供VPDN業(yè)務(wù),可同時支持LAC和LNS。在支持LAC特性時,可將所有的PPP撥號用戶通過L2TP隧道續(xù)傳到遠(yuǎn)端LNS;在支持LNS時,可終結(jié)遠(yuǎn)端的L2TP隧道,為用戶提供遠(yuǎn)端接入。運營商可通過MA5200GVPDN業(yè)務(wù)開展綠色上網(wǎng)、彩票發(fā)行點互聯(lián)等業(yè)務(wù)。
4.GRE隧道提供ISP業(yè)務(wù)批發(fā)
通過GRE隧道實現(xiàn)多ISP業(yè)務(wù)批發(fā)。無論是PPP用戶還是非PPP用戶,都可將ISP下的用戶業(yè)務(wù)通過GRE隧道批發(fā)給相應(yīng)的ISP。對于DHCP用戶,在Web認(rèn)證后可通過二次地址分配,從所選的ISP地址池中重新分配地址,保證在ISP業(yè)務(wù)批發(fā)的過程中,所有的接入用戶使用本ISP的地址。
5.MPLSVPN業(yè)務(wù)
MA5200G具有邊緣路由器PE特性,可為企業(yè)提供MPLSVPN互聯(lián)業(yè)務(wù)。同時,還可將接入用戶的業(yè)務(wù)終結(jié)后在相應(yīng)的MPLSVPN中傳送,通過MPLSVPN實現(xiàn)不同用戶群或不同類型的業(yè)務(wù)隔離,將業(yè)務(wù)分流到相應(yīng)的網(wǎng)絡(luò),實現(xiàn)多ISP的業(yè)務(wù)批發(fā)或不同用戶、不同業(yè)務(wù)的QoS區(qū)分服務(wù)。
6.非法運營業(yè)務(wù)攔截
隨著寬帶網(wǎng)絡(luò)對分組報文傳送質(zhì)量的不斷提高,語音業(yè)務(wù)應(yīng)用越來越廣。MA5200G通過監(jiān)控主被叫呼叫過程中的H.323、H.248、MGCP等信令報文,對非法呼叫信令進行過濾或隨機丟棄,攔截非法運營業(yè)務(wù)。
進入討論組討論。新聞熱點
疑難解答
圖片精選
