首页 > 学院 > 网络通信 > 正文

智能业务网关MA5200G的业务功能

2019-11-04 21:14:23
字体:
来源:转载
供稿:网友

    QuidwayMA5200G是一种面向数万接入终端的智能业务网关,它采用大容量无阻塞交换、分布式硬件转发技术,具有电信级可靠性、线速转发性能、完整的QoS机制和丰富的业务处理能力等特点,满足宽带城域网接入各种ip业务终端、承载多种业务的需求。

    MA5200G系列的三款产品在业务功能上完全相同,所不同的只是业务板数量、接入用户终端数和交换容量等性能规格,运营商可根据网络工程的容量选择相应的设备,适应网络规模对接入服务器的需求,对用户终端提供接入服务、安全控制和业务控制。

    MA5200G具备强大的边缘路由器功能,支持各种接入认证,可治理各类业务终端,对业务进行精细控制,为电信级业务提供QoS保证,开展多种增值业务。

    一、接入认证

    MA5200G支持用户终端通过以太网、xDSL、HFC、WLAN等方式接入,支持VLAN、PVC二层透传和PVC/VLAN之间的二层桥接业务,可为专线接入用户提供灵活的企业互联能力。MA5200G支持端口绑定、PPP拨号、Web、快速Web、802.1x等多种认证方式,同一端口可同时支持PPP拨号、Web、快速Web等认证方式,也可限定为某种或某几种认证方式。对于各类终端,可根据业务特点选用相应的认证方式,如IPSTB机顶盒采用PPPoE拨号认证方式、PC采用Web认证方式。

    •端口绑定认证

    小区、酒店客房等宽带用户一般都是通过固定端口+VLAN/PVC接入的,为了方便使用,用户可以配置为DHCP动态地址分配或配置一个合法的静态地址,用户接入时无需输入用户名和密码,MA5200G在检测到用户开机后,以端口+VLAN/PVC作为用户标志,向Radius服务器发起认证请求,对于已开通宽带业务的合法端口+VLAN/PVC,答应用户以相应的业务权限接入网络,并开始按时长或流量进行计费。

    •PPP拨号认证

    MA5200G对以太网用户或IPDSLAM的ADSL用户提供标准的PPPoE拨号认证,对ATMDSLAM的ADSL用户提供PPPoA、PPPoEoA拨号认证。

    •Web认证

    MA5200G提供的Web认证方式消除了对客户端拨号软件的依靠,可有效地实现对Portal多业务选择的支持,弥补了PPPoE拨号认证方式的不足(大数据包分片、PPPoE报文封装开销)。MA5200G支持强制Web认证方式,非常适合于酒店、学校等流动性场所。

    •快速Web认证

    为了方便由固定端口接入的小区或酒店客房等用户,MA5200G提供了快速Web认证功能,在强制Web认证时用户不用输入用户名和密码,只要接入确认即可。快速Web认证功能具有端口绑定认证方式的便利性,又可防止用户的误消费,还可实现Portal门户业务。

    •802.1x认证

    MA5200G支持标准的802.1x认证流程,支持EAPoRadius、EAPmd5两种认证方式。

    为了保证同台设备同时接入各类用户终端,以不同的认证方式接入,MA5200G端口可同时支持上面的各种认证方式,用户接入终端可任选认证方式。运营商可根据终端的业务特点和应用场景,将要支持的认证方式设置到设备端口上。

    二、地址治理

    MA5200G答应用户终端通过静态配置地址或者动态获取地址的方式接入网络。对于配置静态地址的用户终端,可实施IP地址和端口+VLAN/PVC+MAC地址的绑定,防止IP地址被非法盗用。对于动态获取地址的用户终端,MA5200G通过DHCPRelay为用户终端从外部DHCPServer动态分配地址,也可直接从内置DHCPServer中分配地址。通过短租期或客户端方式,支持DHCP用户在Web认证后从所选的ISP地址池中重新分配地址(二次地址分配),保证在ISP业务批发的过程中,所有的接入用户都可使用本ISP地址。对于PPP拨号用户终端,可通过AAA服务器直接为终端分配地址,也可根据终端接入认证时所带的ISP域名,从相应的ISP地址池中分配地址,还可以为PPP拨号终端作DHCP代理,从外部DHCP服务器申请地址,具有DHCPProxy功能,与DHCP终端一起从外部DHCPServer分配地址,运营商可非常方便地根据业务需要统一规划地址。


    在分配地址的过程中,MA5200G可根据接入终端所在的域名从相应的地址池中分配地址,域名可以理解为具有某种共同属性的用户群,也可理解为某种终端的某类业务,因此可根据用户分群和业务类型规划地址。整机支持4k个地址池,每个地址池支持8个地址段,每个地址段支持1024个IP地址,整机可为所有接入终端提供96k个IP地址。

    三、计费策略

    MA5200G可实时采集用户终端的计费信息,包括时长和流量,计费信息包含时长、上/下行流量、接入方式(Ethernet、WLAN、HFC、xDSL),支持包月、包月+其它、计时卡、跳档制、时间段折扣、累计折扣等资费策略,并可根据终端的业务类型决定终端采用不计费、后付费或预付费等资费策略。如VoIP终端呼叫在业务层收费,不收接入费,而PC的Internet业务需收取接入费。对于预付费业务,支持基于时长和基于流量的付费方式,与AAA服务器配合还可实现基于时长和流量的综合预付费方式,并支持费率切换和折扣功能,可根据接入方式采用不同的费率。

    MA5200G支持二级计费,同时向两台Radius计费服务器上送计费信息,以便酒店等大型客户进行二次运营,网络运营商与酒店之间进行业务收入结算。

    对于远程Radius计费,MA5200G提供计费保护机制,通过Radius服务器的冗余备份、握手和重发等机制,保证链路故障时不丢失话单、不产生错误话单。MA5200G支持1k个Radius服务器组,每个组可包括8台Radius服务器,可按照用户终端的认证域选择相应的Radius服务器组,不同用户群或者不同业务终端可在不同Radius服务器上认证计费。当远端计费服务器不能计费时,可将话单保存在本地,当计费服务器恢复正常后,再将计费信息上传到计费服务器,确保计费的准确性和可靠性。

    四、业务控制

    MA5200G可通过Radius授权或者根据用户终端的认证域对用户终端的业务权限进行控制,包括带宽限制、访问权限控制、互访权限控制、QoS属性控制和策略路由等。

    MA5200G可对接入终端的带宽进行控制,防止用户终端无偿侵占网络带宽,带宽控制范围为64kbps~1Gbps,带宽粒度为64kbps。在对用户终端的带宽进行控制的同时,还可区分终端的业务类型,进行独立的带宽控制。

    MA5200G可基于用户分组实施业务控制策略。MA5200G整机支持1k个用户组,每个用户组施加相应的访问控制规则,访问规则标示用户可以访问或禁止访问的目的地或业务类型,这种控制权限可以设置生效的时间段,按时间段控制用户的业务权限。用户分组是基于域来实现的,因此基于用户分组实施业务控制,实际上就是针对具有相同业务权限的用户群或某类业务终端实施相同的访问权限。由于用户终端的IP地址采用动态分配方式,因此MA5200G对用户终端的权限控制不同于路由器基于ACL的5元组控制。假如基于5元组控制,则不同的域要预留不同的地址池资源,为了使宽带用户和IP终端可按照业务动态接入宽带网络,并按照IP地址控制用户和终端的业务权限,需要大量的地址资源。MA5200G基于用户域的用户分组控制用户和终端的访问权限,对用户和终端权限的控制不用关心终端所分配的地址,不同域的用户或不同业务类型的终端,可从同一地址池中分配地址,但仍可实施不同的业务控制策略,这种方法大大节省了地址资源。

    MA5200G除可对每个用户或终端实施访问控制外,还可将用户或终端分为不同的互访控制群InterGroup,控制InterGroup内部用户的互访权限和InterGroup用户群之间的互访权限,由此判定同一用户群或同类业务终端内部之间能否互访、不同用户群或不同类型的业务终端之间能否互访,保证用户及各类业务终端的安全。

    在取得用户和终端业务的控制权限后,在业务流转发时可根据用户和终端所在域进行策略路由控制,这一业务特性可用于多ISP业务接入和带宽批发,如在校园网可将用户业务批发给教育网或运营商的城域网,也可将不同类型的终端业务沿着指定的路径转发,不同类型的业务可以相互隔离。

    五、QoS区分服务

    MA5200G提供基于用户优先级的DiffServQoS功能,可针对不同用户制定不同的QoS要求,高优先级用户的业务可以优先转发。同时,也可以实现基于复杂流分类规则的DiffServQoS功能,这些规则可针对不同的业务流实现相应的QoS保证。每块接口板可支持5k个流分类规则和2k个流分类结果,支持2k个流的流量监管和流量整形。对于已经区分了优先级的每个用户的业务流和经过ACL流分类后的每一类业务流,采用WRED避免拥塞,WRED支持8个等级的丢弃优先级,当网络出现拥塞时,优先级低的用户或业务以较大的概率丢弃,从而保证重要用户和重要业务的QoS。

    QoS的区分服务可保证在发展宽带用户时,将用户区分为金银铜牌用户,保证金牌用户的QoS,而在承载Internet业务和电信级的语音、视频业务时,可保证达到电信级业务的QoS要求,对Internet业务则提供尽力而为的服务。

    六、安全保证

    MA5200G对接入用户、网络资源和设备本身具备完善的安全保护机制,防止外部攻击。

    通过给每个用户终端分配一个VLAN或PVC,可将用户终端在接入网二层隔离,业务在MA5200G上终结,并根据访问控制策略对用户终端之间的三层互访进行控制。通过二层隔离和三层互访控制技术实现用户终端之间的完全隔离或受控访问。对于接入的用户终端,可按照接入端口+VLANID/PVC+MAC地址+IP地址+PPPoEsession的匹配进行报文检查,丢弃不匹配的报文,通过这种专有的报文绑定检查技术可以彻底防止IP地址仿冒或盗用。通过认证账号与接入端口的绑定,可以防止用户账号的盗用。通过上述的技术手段可保证各类业务终端的安全隔离,防止地址仿冒、账号盗用或业务盗用。

    MA5200G对同一用户终端的接入请求,限制只能接入一次,申请一个IP地址,并对其带宽进行控制,防止非法使用网络资源。对同一VLAN或物理端口,可限制申请接入的用户终端数,防止恶意接入。


    MA5200G可通过ACL过滤规则,控制来自网络侧的用户对MA5200G的访问,该规则可以答应Radius、网管等运营支撑层服务器对MA5200G进行访问,禁止其它所有源地址对MA5200G进行访问,并可将ACL访问控制规则作用到网络侧的端口VLAN上,从而保证来自合法端口VLAN的目标网络才可使用这些答应访问的源IP地址,防止其他用户盗用这些地址后从其它网络访问MA5200G设备。假如要用不确定的IP地址远程维护MA5200G,则可设定对MA5200G的访问速度(可以配置具体的流量速度)。

    对于来自用户侧的攻击,可按照认证方式过滤不需要的报文,如PPP认证端口,ARP等报文不再送往CPU,可以防止用户终端感染病毒后大量发送ARP广播报文;同时,还可对每个端口、VLAN上送报文到CPU的速度进行控制,假如VLAN内某用户终端感染病毒或者对MA5200G发起恶意攻击,则可控制其上送报文到CPU的速度,保护CPU资源,尽管该VLAN的用户业务可能会受到影响,但其它端口的业务不受影响,将用户攻击造成的影响范围控制在最小。

    无论对于来自网络侧还是来自用户侧的攻击防范,都是由硬件对攻击报文进行过滤的,攻击报文不送往MA5200G的CPU,从而保证MA5200G免遭攻击。

    七、增值业务

    MA5200G除了实现宽带接入业务、对接入终端进行治理控制之外,还可提供专线业务、门户业务、VPDN、MPLSVPN、非法运营业务拦截等增值业务。

    1.VLAN/PVC专线

    MA5200G可对商业楼宇业主、工矿企业等大客户提供专线业务。专线业务在物理端口或VLAN/PVC逻辑端口上提供,可对专线用户进行带宽控制,带宽范围为64kbps~1Gbps,控制粒度为64kbps。对于专线内的用户可分配静态地址或动态分配地址,支持按时长或流量计费,支持后付费和预付费收费方式,对于预付费用户可在Radius服务器的控制下,关闭或打开专线。

    2.Portal门户业务

    MA5200G支持PPP、802.1x、Web和端口绑定等多种认证方式,接入用户无论采用何种认证方式,均支持强制Portal门户业务。通过Portal门户,用户可以治理个人信息,使用内容服务,接收ICP发布的广告内容和业务公告,享受业务咨询和网上业务自助等服务。

    3.VPDN业务

    MA5200G通过L2TP提供VPDN业务,可同时支持LAC和LNS。在支持LAC特性时,可将所有的PPP拨号用户通过L2TP隧道续传到远端LNS;在支持LNS时,可终结远端的L2TP隧道,为用户提供远端接入。运营商可通过MA5200GVPDN业务开展绿色上网、彩票发行点互联等业务。

    4.GRE隧道提供ISP业务批发

    通过GRE隧道实现多ISP业务批发。无论是PPP用户还是非PPP用户,都可将ISP下的用户业务通过GRE隧道批发给相应的ISP。对于DHCP用户,在Web认证后可通过二次地址分配,从所选的ISP地址池中重新分配地址,保证在ISP业务批发的过程中,所有的接入用户使用本ISP的地址。

    5.MPLSVPN业务

    MA5200G具有边缘路由器PE特性,可为企业提供MPLSVPN互联业务。同时,还可将接入用户的业务终结后在相应的MPLSVPN中传送,通过MPLSVPN实现不同用户群或不同类型的业务隔离,将业务分流到相应的网络,实现多ISP的业务批发或不同用户、不同业务的QoS区分服务。

    6.非法运营业务拦截

    随着宽带网络对分组报文传送质量的不断提高,语音业务应用越来越广。MA5200G通过监控主被叫呼叫过程中的H.323、H.248、MGCP等信令报文,对非法呼叫信令进行过滤或随机丢弃,拦截非法运营业务。

进入讨论组讨论。


发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表