重庆广电宽带网络需求分析

NatShellNatShell 蓝海卓越蓝海卓越广电宽带网络需求分析及解决方案广电宽带网络需求分析及解决方案科技开创蓝海 专业成就卓越目 录一、一、 前言前言.3 3二、二、 网络建设的需求分析网络建设的需求分析.4 4三、三、 网络建设方案说明网络建设方案说明.5 5四、四、 论小区宽带运营中管理的重要性论小区宽带运营中管理的重要性.8 8五、五、 本方案中主要应用技术介绍本方案中主要应用技术介绍.1111EPON 技术.11PPPOE 技术.16RADIUS 技术.17六、六、 小结小结.2020七、七、 本方案中用到的产品介绍本方案中用到的产品介绍.21211.BRAS 5000 系列 PPPOE 网关.21产品简介.21产品外观.21主要特点.212. NS-G50 认证计费服务器.24产品外观.24功能说明.24（一） 标准 RADIUS 功能.25（二） 华为 BRAS 设备 RADIUS 扩展支持 .26（三） 爱立信 BRAS 设备 RADIUS 扩展支持 .26（四） 蓝海卓越 BRAS 设备 RADIUS 支持 .27（五） 认证控制功能.27（六） 系统主控功能.29（七） 系统管理功能.29（八） 查询统计功能.32（九） 营业受理功能.32（十） BOSS 接口功能.34NatShellNatShell 广电网络需求分析及解决方案广电网络需求分析及解决方案一、一、前言前言面临的机遇与挑战面临的机遇与挑战 经过近几十年的发展，中国有线电视业已经具备了相当大的规模。到目前为止,中国有线电视用户数已稳居世界第一位，有线电视网已经成为我国家庭入户率最高的信息工具。 应该说，为有线电视业带来巨大增值潜力的是 Internet 业务的空前膨胀、Internet用户的飙长以及用户对带宽的贪婪需求。Internet 作为第四媒体已经成为无可争辩的事实。这也为我国有线电视业进一步扩展，成为国家信息通信的支柱平台带来了锲机。 我国有线电视（台）运营商目前面临的最大机遇是如何将在电视媒体所拥有的巨大用户优势转化为在新一代媒体上的用户优势，占领新媒体的市场。假设有线电视运营商能拥有我国未来新增长 Internet 用户的 1/3，则可以继续保持其在媒体领域的优势，成为我国信息产业的不可或缺的支撑平台。在面对诱人机遇的同时，我国有线电视业也面临着巨大的挑战。从国内的情况来看，目前国内有几大网络运营商：中国电信、新联通、移动。中国电信一直是国内网络运营商的巨头，在运营体制、资金积累、管理经验、人才储备等方面都有明显的优势，并且明确提出：宽带接入是中国电信今年的工作重点。新联通经过十年的耕耘，在很多地区已经具备了同电信竞争的实力，移动做为后进入者，虽然基础较薄弱，但是移动具备强大的品牌号召力，以及数量巨大的手机用户群体，完全可以依赖现有的手机用户进行捆绑消费，从而快速争取用户。在面对强大竞争对手的同时，如何充分发挥广电网络原有的优势，进行业务及技术创新，达到迅速发展用户的目的，已经成为广电部门的重点。二、二、网络建设的需求分析网络建设的需求分析蓝海卓越发现，在广电进行宽带网络接入建设时,网络的基本需求基本可归纳为以下几个方面:1.高负荷性：一般一个市或县级的广电，都有上千户甚至几千户的用户，在一开始建设宽带业务时，用户数量较少，对负荷要求不高，但随着业务的开展，用户不断的接入网络，当用户数量达到一个较高的数量时，对网络接入的设备就会有较高的性能要求。2.高稳定性：由于是给网络用户提供宽带接入服务的，网络内的用户存在各种不同时间上网的需求，这就要求网络不能经常中断，由此对网络接入设备的稳定性提出了极高的要求。3.高安全性：用户的网络都是由用户个人自行管理，而不是像网吧一样有网管统一管理，因此内网的攻击，病毒，用户互访的事件，也是层出不穷，要做好宽带运营，对这些安全问题，也需要一个较好的解决方案。4.高性价比：宽带运营投入的目的是为赢利，具有较高性价比的设备，能够让宽带运营商更快，更早的收回投资。5.可管理、易操作：由于用户的独立性，要求有一个良好的管理系统来对用户进行计费管理，并且要具备良好的可操作性，这样公司的管理，才会更有序。6.易于升级维护：随着网络的复杂化，对网络设备及维护的要求也越来越高，因此在构建网络时，就要充分考虑到易升级，易维护的特性。NatShell 蓝海卓越综合全国数百家客户的成功经验，再结合自身对国内宽带运营的深刻理解，提出了“可管理、可运营、可增值”的广电 PPPOE 宽带网络解决方案。推出了专门针对广电宽带运营接入的 PPPOE 拨号服务器网关 BRAS-5000 系列产品，配合 NatShell G50/G500 认证计费系统，可以极大的简化广电宽带运营商的工作流程，提高用户满意度，具体的解决方案与功能特色如下：三、三、网络建设方案说明网络建设方案说明在中心机房安装一台或多台 NatShell BRAS-5000 系列拨号服务器网关，小区用户通过标准 PPPOE 的方式进行拨号上网，所有的用户上网认证请求统一通过 NatShell NS-G50 认证计费系统进行认证和管理。用户之间采用 VLAN 进行隔离，也可以使用双层 VLAN，即QINQ 方式进行隔离。拓扑图如下:方案特点及优势说明：方案特点及优势说明：一、强大的性能：强大的性能：NatShell BRAS-5000 系列 BRAS 产品，采用 64 位网络处理器，千兆网络接口，可以达到千兆线速转发性能，完全可适应大型的网络环境。相比较目前通用的，采用 IXP 或其他低端处理器的普通产品，蓝海卓越的BRAS-5000 系列产品，具有更好的性能。二、超大带机量：超大带机量：百万并发连接数支持，并发 5 千台的 PPPOE 带机数量，完全满足县市级广电网络的应用要求。即使用户使用 BT，或遇到内网攻击，也能轻易化解。在大型的广电城域网络中,当一台设备带机量不足时,可以通过简单的增加 PPPOE 服务器来增大带机量,不需要更复杂的网络改造,也不需要多余的投入。三、大容量大容量 PPPOEPPPOE 服务器：服务器：多达 5 千条的 PPPOE 并发连接，完全满足整个小区宽带上网用户的上网需求。相比传统的以太网 IP 网络技术，PPPOE 是一种更适用于宽带运营接入的上网方式。作为用户普遍存在一种认知：固定 IP 是共享带宽，而采用拨号方式的，才是独享带宽。因此采用此种方式进行运营，能带来更多的客户。四、内网安全性高：内网安全性高：内网用户全部采用 PPPOE 方式拨号上网，互相之间均为独立PPPOE 通道，从而保证了用户之间不能互相访问，一个或几个客户的电脑出现故障或有攻击包，也不会影响其他客户上网。NatShell 的 BRAS-5000 系列网关，具有极强的抗攻击能力，网络管理员基本不用担心内网安全问题。五、五、彻底解决彻底解决 ARPARP 问题：问题：传统的宽带组网方式，采用以太网 IP 方式来进行小区用户上网和管理，这种方式存在的最大问题，就是 ARP 欺骗，由于用户电脑的不可管理性，及用户使用电脑水平的不平均，基本上在每个项目上，都会出现 ARP 问题，虽然可以通过绑定 IP/MAC 地址的方式进行有效缓解，但是对一些新型的 ARP 变种，以及用户自行装机或更换电脑以后的情况，仍是无法处理，NatShell 蓝海卓越的广电宽带接入解决方案，采用了 PPPOE 技术，不再使用 ARP 协议，因此可以彻底的杜绝 ARP 的问题。六、内网用户互不干扰：内网用户互不干扰：用户在一个网络之内，可以通过采用 OLT+ONU 的 QINQ，划分 VLAN，同时采用 NatShell 的广电宽带解决方案，用户上网均是通过PPPOE 拨号上网，由 BRAS-5000 进行 IP 地址的分配，用户之间是不能相互访问的，从而解决了以上的问题。七、方便管理：方便管理：采用传统的管理方式，只能是由宽带运营者手动对用户的上网行为进行控制，一般是采用 IP/MAC 绑定的方式进行对用户上网行为的控制。但如果用户自行修改了 IP 和 MAC 地址，一样还是可以上网，或是直接和其他用户的 IP 造成冲突。而采用 NatShell 的 PPPOE 计费管理系统，则是对用户进行集中计费管理，无论有多少个小区用户，其所有的用户数据集中放置在一台专门的服务器上，管理人员通过网络即可方便的进行用户开通，停机，查询等管理工作，所有用户数据可以方便的进行管理，下载，储存，用户到期日前进行提醒，用户可对自己的 PPPOE 密码进行修改，可查看费用到期明细。还可通过 NatShell PPPOE 计费管理系统，对用户进行统一费用管理，可设定到期自动停机，极大方便了管理员的工作。相比较而言，在每个项目单独对用户进行计费及认证管理的做法，为小区宽带运营商的管理带来了更多的不方便性，一旦出现问题，恢复数据也将是一个极为繁琐的过程。八、解决控制问题：解决控制问题：技术人员私自开户，由于广电的经营特性，通常都是需要同时运营多个项目，覆盖整个城市甚至农村地区，因此对用户的开户，基本是依赖技术人员进行的，但这样就存在一个问题，即技术人员私自给用户开户，收钱的问题。而采用 NatShell 的小区宽带管理方式，则可以完全避免此种情况的发生，任何一个用户，要想上网，必须通过拨号的方式进行，而拨号的用户和密码的建立，完全掌握在公司手中，并且和帐目相对应，因此就不会有私自开户的问题。九、数据安全性高：数据安全性高：所有的用户数据，均存放在 NatShell PPPOE 计费管理系统，通过双机备份，磁盘镜像等手段，可以确保用户资料的完整和安全，即使在BRAS 设备出现问题，只需更换一台 BRAS 设备即可，不需再对用户数据进行重复录入，数据安全性极大提高，并且减少了工作量。相比较而言，把用户拨号，认证，管理几种功能集于一身的设备，为小区宽带运营商增加了更大的不安全性。十、可扩展性好：可扩展性好：新增加一个 BRAS 设备，只需简单的在网关处勾选与 NatShell PPPOE 计费管理系统进行连接，即可使用 NatShell PPPOE 计费管理系统，进行统一计费，无需增加其他任何成本。十一、 一次配置所有功能：一次配置所有功能：通过用户管理的界面，可一次性的对用户数据进行录入，包括用户信息，密码，IP 地址，带宽分配等，一次录入，不需再进行其他配置。尤其是在录入带宽时，对管理用户的帐号带宽很有好处，用户如需从低带宽升级到高带宽，或需要延期续费，只需直接对用户进行编辑即可，方便轻松。十二、十二、 方便的报表生成功能：方便的报表生成功能：蓝海卓越 NS-G50 内置强大的报表生成功能，可以根据管理层的需要，方便的生成日、周、月、年统计报表，也可以根据不同的条件对所有的用户进行查询，并对查询结果生成报表。四、四、论小区宽带运营中管理的重要性论小区宽带运营中管理的重要性广电宽带市场在全国市场正在如火如荼的进行中，经过这几年的发展，广电宽带网络也从最开始的初放式经营管理，接根光纤，接个路由器就可以开展业务，到现在的越来越趋向复杂化，越来越强调管理，做为广电的宽带运营，一些管理方面必须得考虑，具体表现为以下几点：对用户的管理，除了用户和密码之外，还需要设定到期停机，而不是需要管理员手动插拨网线或在界面中删除帐号。对用户的 IP 地址要进行管理，不能自由分发，否则查询会是问题。一个地区，可能不止是一种带宽或资费，因此需要给不同的用户分配不同的带宽。对技术人员要进行管理，不能由技术人员控制网络，否则就会出现私下开户等情况。对帐务管理人员要进行管理，所有的帐务要有据可查，以免出现管理漏洞。对安装人员、技术人员的业绩要进行管理，最好是自动生成，而不是手动统计。对外网带宽要进行分析管理，根据需要随时调整带宽。对用户的上网日志要进行记录，以便公安或其他相关部门查询。部分宽带管理者认为；我不需要那么多功能，能让用户上网就可以了，管理嘛，我只需要一个好的财务，就能解决问题了，但事实是不是真的如此呢？我们来看一下，几种管理方式的区别：现在的宽带市场从开始诞生到今，已经经历了几个阶段，各阶段使用方式主要的区别如下：现在的宽带市场从开始诞生到今，已经经历了几个阶段，各阶段使用方式主要的区别如下：第一阶段：第一阶段：采用光纤到项目，通过普通的宽带路由器分发给项目内的住户，此种方式，简单，但基本功能都不具备，基本上已经被淘汰。第二阶段：第二阶段：光纤到项目后，通过具备一定管理功能宽带路由器，将带宽分配到各个住宅用户，此种方式，由于采用了带管理功能的宽带路由器，因此已经具备了带宽控制，IP/MAC 绑定，限制非法用户上网等一些基本管理功能，但也存在很多不足，如本身带机量不足，以及小区内病毒、攻击、泄密、互相感染等问题，造成用户投诉率高，续费率低，影响了运营商的收入。第三阶段：第三阶段：光纤到项目，通过具备 PPPOE 服务器功能的宽带路由器进行带宽分发，用户都通过 PPPOE 的方式进行拨号上网，所有的用户之间可以做到互不干扰。同时具备带宽管理，基本用户管理等功能，已经具备了一定的先进性，但是这种设备，由于其本身处理性能不足，因此其只能带机 100 户左右，在稍大的小区网络中，就无法胜任。并且这种设备，只提供了 PPPOE 拨号服务，仅能对用户进行基本的管理，如用户名和密码、IP 等，连到期停机功能都无法实现，根本无法达到运营的要求。还有如公司管理，员工管理，用户自已管理等功能都无法实现。目前的阶段：目前的阶段：最新的技术， 除了可以实现用户 PPPOE 拨号上网之外，还能对用户实行动态限速，到期停机，发放公告，等一系列实用的功能，下面我们就来看看蓝海卓越的小区管理解决方案，和一般具有 PPPOE 功能宽带路由器，到底有哪些地方不一样。实现了大容量的 PPPOE 拨号：相对比普通路由器自带的 PPPOE 服务器功能，蓝海卓越的 PPPOE 服务器支持从 300-5000 并发用户的规模，完全满足各种类型小区的运营需求。强大的防火墙性能：相比起传统的宽带路由器来说，蓝海卓越的网关产品，除了可提供大容量的 PPPOE 服务之外，还能够提供超越传统产品 10-20 倍的防火墙性能。可以由用户自定义详细的防火墙规则，确保网络的安全。千兆网络接口：相比普通百兆的路由器产品，蓝海卓越的网关提供全真千兆的网络接口，完全满足带宽升级的需求。具备丰富的管理特性：可以设定不同的用户产品，并针对产品设定不同的带宽，可以对用户进行到期停机，也可即时踢用户下线，可以对公司的管理人员和技术人员设定不同的权限，可以对管理员的所有操作进行记录并进行查询。具备详细的记录信息：可以对用户上网日志，上网时长，访问过的地址等进行记录，也可对用户缴费情况进行详细记录并保存。对带宽的使用历史情况可以做记录，时间最长保存到 2 年以上，方便管理员分析高峰期的带宽使用情况，有针对性的进行调整。用户自助管理功能：可以开通用户的自助管理功能，用户可以登录蓝海卓越的计费管理系统，查询自已的信息，上网记录，缴费情况，并能自行修改上网密码。报表生成功能：可以根据不同的条件，如日期，项目，开通，停机，装机员等各种条件进行筛选，生成详细的报表，并可将此报表导出为 EXCEL 格式，还可以将收费明细导出报表，以便领导查询。强大的运营管理功能：蓝海卓越的小区宽带运营系统具备强大的运宽管理功能，可以设定不同权限，使用不同的功能，还可以对所有的涉及业务的事件进行系统记录，以确保所有事件，有据可查。通过报表，可以轻松统计销售人员业绩。根据以上的产品功能分析，我们可以看出来，蓝海卓越的广电宽带计费产品，不仅具备宽带路由器的所有功能，并且拥有很多宽带路由器无法实现的管理功能，做为广电宽带运营商，合理运用蓝海卓越的 BRAS 和计费产品，可以大幅提升公司的管理水平，从而减轻负担，减少用户投诉，真正把精力投入到开发客户上去。五、五、本方案中主要应用技术介绍本方案中主要应用技术介绍EPONEPON 技术技术目前，现有的接入网解决方案和用户的需求之间存在着巨大差异。在用户侧的本地网络已经普遍拥有了支持 10M 和 100M 速率的能力，在城域网侧已经可以支持千兆和万兆的速率，但在用户侧和城域网之间数据的传送却大部分为不足 1M 甚至只有几十 K 的速率。接入网仍是大容量局域网和骨干网之间的瓶颈，为了突出接入网的优先地位与重要性，IEEE 802.3 工作组把人们以前熟知的“最后英里”接入网络段改称为“第英里（The First Mile） ，并在 2000 年 11 月成立了 EFM(Ethernet in the First Mile)研究小組，于 2001年 7 月开始制定 IEEE 802.3ah EFM 标准，2003 年 9 月完成 EFM 的标准制订。EPON 标准 IEEE 802.3ah 已于 2004 年 6 月正式颁布。中国信息产业部也于 2005 年正式制订了有关 EPON 的中国标准-2003H34 接入网技术要求-基于以太网方式的无源光网络（EPON） 。IEEE 制定 EPON 标准的基本原则是尽量在 802.3 体系结构内进行 EPON 的标准化工作,最小程度地扩充标准以太网的 MAC 协议。这就最大程度的继承了以太网经过长期、大规模实践检验积累下来的宝贵技术经验。EPON 将以太网技术与 PON 技术有机的结合在一起,天生具有以太网的诸多优势，如技术简单、成熟、良好的兼容性，产品价格便宜，性能价格比高等。一个典型的 EPON 系统由 OLT、ONU、ODN 组成。OLT（OpticalLine Terminal）放在中心机房，ONU（Optical Network Unit）为用户端设备。ODN（Optical Distributed Network）是光配线网，主要由一个或数个分光器（Splitter）来连接 OLT 和 ONU，它的功能是分发下行数据并集中上行数据。OLT 既是一个交换机或路由器，又是一个多业务提供平台，提供面向无源光纤网络的光纤接口。OLT 除了提供网络集中和接入的功能外，还可以针对用户的 QoSSLA 的不同要求进行带宽分配，网络安全和管理配置。分光器是一个简单设备，它不需要电源，可以置于全天候的环境中，一般典型的分光器的光分路数目为 2、4、8、16 或 32，并可以多级连接。在 EPON 中，OLT 到 ONU 间的距离最大可达 20km。如下图所示： EPON 无源光网络作为一种接入网技术，支持点到多点应用，其优势如下：(1) 性价比高，维护简单。EPON 系统在传输途中不需电源，没有电子部件，因此容易铺设，基本不用维护，网络可靠性高，长期运营成本和管理成本的节省很大。(2) EPON 系统对局端资源占用很少，模块化程度高，系统初期投入低，扩展容易，投资回报率高；网络的线路设备共享，光纤可沿途通过光分路器分支，节约光缆资源，系统经济性好。(3) 具有点对多点的灵活组网能力,EPON 通过无源光分路器实现分支，光功率分配点可以随网络拓扑结构随意放置，组网方式极其灵活。系统可实现树型、星型和总线型多种组网结构。 (4)带宽分配灵活，提供非常高的带宽，可达 2G；提供各种 QoS，各种服务有保证。(5)EPON 系统是面向未来的技术，容易扩展，易于升级，向宽带过渡。大多数 EPON 系统都是一个多业务平台，对于向全 IP 网络过渡是一个很好的选择。EPON 可以支持 1.25Gbps 对称速率，将来速率还能升级到 10Gbps 。Gbit/s 速率的EPON 系统也常被称为 GEPON。GEPONGEPON 系统的关键问题和技术系统的关键问题和技术1GEPON 系统采用 WDM 技术，实现单纤双向（三向）传输。数据下行用 1490nm、上行用1310nm；CATV 用 1550nm。1490nmCATV1550nmCATV1550nmCATV1550nmCATV1550nm1310nmOLTOLTOLTONUONUONU为了分离同一根光纤上多个用户的来去方向的数据信号及 CATV 信号，下行数据流采用广播技术，采用 WDM 技术与 CATV 下行信号复用；上行数据流采用 TDMA 技术。2.数据下行方向是广播式的发送以太帧，如下图所示：ONU1ONU1ONU1ONU2ONU2ONU2ONU3ONU3ONU3终端用户终端用户终端用户终端用户1 1 1 1终端用户终端用户终端用户终端用户2 2 2 2终端用户终端用户终端用户终端用户3 3 3 3OLTOLTOLT在 ONU 注册成功后分配一个唯一的 LLID（logical link identification） ；在每一个分组开始之前添加一个 LLID，替代以太网前导符的最后两个字节；ONU 接收数据时，仅接收符合自己的 LLID 的帧或广播帧。数据上行采取 TDMA 方式，如下图所示：ONU1ONU1ONU1ONU2ONU2ONU2ONU3ONU3ONU3终端用户终端用户终端用户终端用户1 1 1 1终端用户终端用户终端用户终端用户2 2 2 2终端用户终端用户终端用户终端用户3 3 3 3OLTOLTOLT任一时刻只能有一个 ONU 发送上行信号，系统才能正常工作；不同的 ONU 分配不同的时隙，轮流发送上行数据；每个 ONU 发送上行数据的时隙可以是动态的，时隙的大小和多少在宏观上表现为带宽的大小；分配的时隙（通过测距技术）补偿了各个 ONU 距离的差距，避免了各个 ONU 之间的碰撞。测距技术是 TDMA 方案中的一个关键问题。它实质上是上行信号的同步问题。由于各ONU 距 OLT 的光纤路径不同和各 ONU 元器件的不一致性造成 OLT 与各 ONU 间的环路时延不同，而且由于环境温度的变化和器件老化等原因，环路延时也会发生不断的变化。因此必须引入测距技术对上述原因引发的时延差异进行补偿，以确保不同 ONU 所发出的信号能够在 OLT 处准确地按时隙复用在一起，避免由于上行时隙间的不同步而导致在 OLT 上发生信号碰撞的现象。GEPON 中采用的同步技术是绝对时标(ATS)技术，包括 ATS 的插入和提取等。 OLT 有一个本地时钟计数器，该计数器对时间颗粒计数。当 OLT 发送 MPCP 帧时，它就将本地时钟计数器的值，即绝对时钟插入到其时间标签域中。ONU 中也有一个本地时钟计数器。这个计数器也是对时间颗粒计数。但是。ONU 无论何时接收到 OLT 发送的 MPCP 帧，就要将这个帧所携带的新的时间标签值来刷新自己的本地时钟计数器的值。当 ONU 发送MPCP 帧时，它也要将自己的时钟计数器的值映射到时间标签域中。OLT 将对接收到的 ONU的时间标签进行检查。时间标签测距法就是通过时间标签在 OLT 与 ONU 之间的传递，计算接收的时间标签值和 OLT 本地时钟的之间的差来得到 ONU 的 RTT 值。OLT 只要接收到了 ONU的 MPCP 帧，就要进行测距，利用时间标签法进行测距的原理如下图所示：图中 TR 为 ONU 总的响应时间，TDOWN 为下行传输延时，TUP 为上行传输延时，TWAIT为 ONU 接收到 OLT 的 MPCP 消息(一般为 GATE 消息)到发送窗口开始之间的等待时间。OLT在本地时间为 to 时，给 ONU 发送一个 MPCP 帧，它携带的时间标签值为 TS=to。经过 TDOWN时间的传输延时后，这个 MPCP 帧到达 ONU。ONU 将本地时间计数器的值更新为 to，然后就等待。等待 TWAIT 时间后，这个 ONU 的发送窗口开始了，它就发送数据和 MPCP 帧，并将本地时钟计数器的值 t1 插入到 MPCP 帧的时标域。ONU 发出的 MPCP 帧经过 TUP 时间的传播延迟后到达 OLT。 3.突发发送和接收 GEPON 中的 TDMA 技术面临着上行信号的突发发送和接收的问题。由于不同的 ONU 到达OLT 的距离不相等，以及每一个 ONU 的光模块发出的光信号的强度不同，造成了 OLT 的接收机接收到的信号功率在每一个时隙都不相同，导致 OLT 容易产生误判。为了解决 OLT 误判的问题，要求 OLT 动态调整判决电平，如图所示：4.安全性问题 由于 GEPON 下行是一个共享网络，因此用户安全也是 GEPON 中比较受到关注的一个问题。如图 4 所示，为了确保用户数据的安全，目前主要采用两种方式，一种是为每个 ONU分配唯一的 LLID，另外一种是采用 AES128 加密技术对用户数据进行加密，ONU 将定时产生新的密钥，并发送到 OLT，OLT 根据一定算法将 ONU 产生的密钥转换成真正的加密图样，对下行数据流进行加密。 5.QoS 问题和 DBA 技术 由于以太网中的数据流具有很强的突发性，如果采用静态的带宽分配方案，就会产生带宽利用率低下或带宽分配不公平的现象。因此，为提高带宽利用率，在 GEPON 中采用动态的带宽分配机制。采用 DBA 的好处在于不但可以提高带宽利用率，还可以采用带宽调度算法来保证某些优先级高的业务的 QoS。DBA 能确保用户所签订的服务等级合同(包括最小带宽、最大带宽和延时敏感性)得到公平的执行。在签订 SLA 时可以规定业务和用户的优先级。高优先级的业务或用户可以优先获得网络资源。在确保所有的业务或者用户的最小带宽得到保障的情况下，可以动态地分配剩余带宽，供突发性较强的业务使用。 6.MPCP 技术 MPCP 是一种多点控制协议，指明了 OLT 和 ONU 之间的控制机制，如下图所示： 控制网络启动导入过程，即 ONU 的注册过程；给终点站(ONU)分配带宽；询问来自终点站(ONU)的带宽请求通过采用 ACE 的 GEPON 系统构建了一个可运营、稳定可靠的有线双向网络后，便可以逐步建立一些双向业务系统，开展形式多样的双向业务，发展用户，创造收入。PPPOEPPPOE 技术技术全称是 Point to Point Protocol over Ethernet（基于局域网的点对点通讯协议），即基于以太网的 PPP 技术协议，这个协议是为了满足越来越多的宽带上网设备( 即 ADSL , 无线等 )和越来越快的网络之间的通讯而最新制定开发的标准，它基于两个广泛接受的标准即：局域网 Ethernet 和 PPP 点对点拨号协议。对于最终用户来说不需要用户了解比较深的局域网技术只需要当作普通拨号上网就可以了，对于服务商来说在现有局域网基础上不需要花费巨资来做大面积改造，设置 IP 地址绑定用户等来支持专线方式。这就使得 PPPoE 在宽带接入服务中比其他协议更具有优势。因此逐渐成为宽带上网的最佳选择。 PPPoE 的实质是以太网和拨号网络之间的一个中继协议，他继承了以太网的快速和 PPP 拨号的简单，用户验证，IP 分配等优势。 与传统的接入方式相比，PPPOE 具有较高的性能价格比，它在包括小区组网建设等一系列应用中被广泛采用，目前流行的宽带接入方式 adsl 就使用了 pppoe 协议。 Modem 接入技术面临一些相互矛盾的目标，既要通过同一个用户前置接入设备连接远程的多个用户主机，又要提供类似拨号一样的接入控制，计费等功能，而且要尽可能地减少用户的配置操作。 PPPOE 的目标就是解决上述问题，1998 年后期问世的以太网上点对点协议（PPPoverEthernet）技术是由 Redback 网络公司、客户端软件开发商 RouterWare 公司以及 Worldcom 子公司 UUNET Technologies 公司在 IETFRFC 的基础上联合开发的。通过把最经济的局域网技术以太网和点对点协议的可扩展性及管理控制功能结合在一起，网络服务提供商和电信运营商便可利用可靠和熟悉的技术来加速部署高速互联网业务。它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更加简便易行。同时该技术亦简化了最终用户在选择这些服务时的配置操作。PPPOE 具备了以上这些特点，所以成为了当前宽带接入的主流接入协议。RADIUSRADIUS 技术技术AAA 和 Radius 概述AAA 是验证授权和记账 Authentication,Authorization,and Accounting 的简称。它是运行于 NAS 上的客户端程序，它提供了一个用来对验证、授权和记账这三种安全功能进行配置的一致的框架。AAA 的配置实际上是对网络安全的一种管理，这里的网络安全主要指访问控制，包括哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。下面简单介绍一下验证, 授权,记账的作用。 验证(Authentication): 验证用户是否可以获得访问权可以选择使用 RADIUS 协议 授权(Authorization) : 授权用户可以使用哪些服务 记账(Accounting) : 记录用户使用网络资源的情况 AAA 的实现可采用 RADIUS 协议 RADIUS 是 Remote Authentication Dial In User Service 的简称原来的初衷是用来管理使用串口和调制解调器的大量分散用户。现在已经远不止这些应用了RadiusRadius 应用介绍应用介绍RADIUS 业务复合典型的 client/server 模型。路由器或 NAS 上运行的 AAA 程序对用户来讲为服务器端，对 RADIUS 服务器来讲是作为客户端。RADIUS 通过建立一个唯一的用户数据库存储用户名用户的密码来进行验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。当用户上网时路由器决定对用户采用何那种验证方法。下面介绍两种用户与路由器之间(本地验证)的验证方法 CHAP 和 PAP。PAP ( Password Authentication Protocol )： 用户以明文的形式把用户名和他的密码传递给路由器，NAS 根据用户名在 NAS 端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过CHAP Challenge Handshake Authentication Protocol：当用户请求上网时，路由器产生一个 16 字节的随机码给用户，用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个 response 传给 NAS， NAS 根据用户名在 NAS 端查找本地数据库，得到和用户端进行加密所用的一样的密码。然后根据原来的 16 字节的随机码进行加密，将其结果与 Response 作比较，如果相同表明验证通过，如果不相同表明验证失败。如果用户配置了 RADIUS 验证，而不是上面所采用的本地验证，过程略有不同。 * 在端口上采用 PAP 验证用户以明文的形式把用户名和他的密码传递给路由器，路由器把用户名和加密过的密码放到验证请求包的相应属性中，传递给 RADIUS 服务器，根据 RADIUS 服务器的返回结果来决定是否允许用户上网。* 在端口上采用 CHAP 验证当用户请求上网时，路由器产生一个 16 字节的随机码给用户，用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个 response 传给 NAS。 NAS 把传回来的 CHAP ID 和 Response 分别作为用户名和密码，并把原来的 16 字节随机码传给RADIUS 服务器，RADIU 根据用户名在 NAS 端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的 16 字节的随机码进行加密，将其结果与传来的 Password 作比较，如果相同表明验证通过，如果不相同，表明验证失败RadiusRadius 协议简介协议简介RADIUS 协议的认证端口 1812 计费端口 1813。由于 TCP 是必须成功建立连接后才能进行数据传输的这种方式在有大量用户使用的情况下实时性不好 RADIUS 承载在 UDP 上所以 RADIUS 要有重传机制和备用服务器机制。六、六、小结小结 NatShell 了解，对于广电运营商来说，网络设备只是发展用户的必要手段,因此效能及稳定性都需要并重。所以我们的产品采用最强效的双核 64 位处理器，提供各类需要的功能，高效的运算处理能力以及产品稳定性。再加上历经不同应用测试改善的软件，提供最稳定的功能，让运营商可以专心于业务开发，不用再为技术支持而伤脑筋。同时，我们的产品也强调容易管理。中文配置画面、远端 WEB 管理功能，以及及时迅速的技术支持，都让让运营商安心地收取用户的月费，不再怕诉怨的发生了。运行本套系统，用户基本无投诉，网络速度有极大提高，ARP 等攻击也完全不会再出现，网管人员的管理工作大大减轻。而且本套系统具备完善的权限管理功能,可以根据不同的管理员分配不同的权限。欢迎垂询了解更多的相关资料七、七、本方案中用到的产品介绍本方案中用到的产品介绍1.BRAS1.BRAS 50005000 系列系列 PPPOEPPPOE 网关网关产品简介产品简介 针对广电宽带网络对用户管理能力弱、业务控制能力差、网络安全无法保障等问题，蓝海卓越凭借多年来对数据通信网络的深刻认知, 在进行了充分的市场调研的基础上，准确把握了广电宽带接入网络市场的需求，推出了 BRAS 5000 系列宽带接入服务器，完成对宽带接入用户的认证、计费、业务控制、安全和 QoS 保障等功能，可以满足运营网、城域网，大中型小区宽带接入的用户管理、业务控制和高安全性要求，能够适应多样化、扁平化和客户化的组网要求。蓝海卓越 BRAS-5000 宽带接入服务器是一种专用的以太网宽带接入的智能设备，基于NatShell 自主开发的高性能网络操作系统，可以部署在接入层、汇聚层或核心层的出口，支持分布式和堆叠部署，适用于运营商城域网，大中型小区的宽带接入，为用户提供PPPOE 认证、WEB 认证，授权，数据采集、实时控制和执行各种网络和计费策略，并将采集到的数据传送到计费后台进行处理，配合蓝海卓越认证计费系统，共同组成蓝海卓越宽带认证计费管理平台。产品外观产品外观主要特点主要特点高性能：采用多核处理器架构和 NatShell 全新的安全操作系统，在新建会话数方面，NatShell BRAS 宽带接入网关可以每秒处理超过 50 万的 TCP 会话请求，此项指标超过同类产品 510 倍！多 WAN 口连接因特网：根据用户使用情况，NatShell BRAS 宽带接入网关的 WAN 口数可以在 1-5 个之间自由定义，高端型号更是提供多达 7 个 WAN 口接入，WAN 接口和 LAN接口可根据设置自由转换，即不会浪费，又有了更大的自主度。智能多 WAN 负载均衡：支持自动多线路负载均衡、线路备份，根据带宽自动计算每条线路流量，其中一条线路断线后，自动在余下的线路中进行负载均衡，不仅在双/多线捆绑方式下具有最优的线路利用效果，并且有效的解决了因为某一条线路中断而影响整个网络的情况。PPPOE 服务器功能：内部用户，可通过 PPPOE 方式进行网络联接，便于管理，并彻底杜绝攻击，泄露等问题。 配合 NatShell 计费管理系统,可以实现对所有 PPPOE 用户进行统一管理,统一计费,统一查询,用户可对自己的密码,用户名等进行修改,对帐户进行查询。管理人员通过远程网络，即可能所有用户进行管理。数据集中管理，更方便安全，适用于小区接入，学校接入等环境。在路由模式下，最高可支持 5000 个 PPPOE 用户同时在线。用户管理：具有用户管理功能，本机可对 PPPOE，PPTP，WEB 等用户进行用户管理，对PPPOE 和 PPTP 可以实现，用户帐号、密码、带宽、IP 地址、到期时间等管理功能，配合蓝海卓越计费管理系统，可以实现更强大的管理、计费、财务统计等功能。便于部署：NatShell BRAS 宽带接入网关支持路由、透明、混合等部署方式，同时支持静态路由、策略路由等、负载均衡等，满足不同用户网络的需求。 VPN：NatShell BRAS 宽带接入网关的 VPN 严格遵循 RFC 国际标准，其支持的算法有DES、3DES、AES128、AES192、AES128、AES256 等，同时提供 SCB2 的国密算法支持，可为用户提供点对点、星型、网形等 VPN 部署方式。PPTP VPN：NatShell 的 PPTP VPN 功能支持大容量的 VPN 接入，数量超过千条，除标准 VPN 功能外，还支持对远程接入用户的身份认证，防止非法用户接入。带宽管理: NatShell BRAS-5000 宽带接入网关提供专有，基于二层的流量控制，能提供比三层 IP 流控更精确的控制性能，可将流量控制精确到 1Kbit，同时提供基于 IP的三层流量控制策略，以适应不同环境的需求。可为每个用户动态设定不同的带宽，以满足用户精细管理的需求。应用控制：可以通过 NatShell BRAS 宽带接入网关内置的过滤功能，配合带宽管理，可以对指定的文件名称进行带宽限制，如对占用带宽过大的文件，如RAR、BT、MPG、AVI 等文件限制一定的带宽，以保证正常网络应用的流畅。透明代理：内置透明代理功能，通过设定，可以有效的控制不同的用户访问网络的策略。VLAN 支持：支持 802.1Q VLAN 接口生成，支持 VLAN 终结，可与标准设备 VLAN 进行无缝连接。通告功能：内置用户通告功能，用户到期通告功能，可根据需求向用户发送不同的通告内容。网络监测：NatShell QoS 解决方案提供各种报告和监控方法，帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况以及带宽使用情况的历史记录，为将来分析提供方便。 攻击防护：完善的基于状态检测的防火墙，流量控制和数据包过滤功能，保证了网络的安全，稳定和高速运行可防御 DoS/DDoS 攻击、ARP 欺骗攻击。 每秒 20 万以上的新建会话数处理能力可提供强大的瞬时处理能力，使得 NatShell BRAS 宽带接入网关有超过普通防火墙 510 倍的抗攻击能力。DHCP 服务器：所有连接到局域网上的计算机均能够自动从路由器获取 TCP/IP 配置信息，大大简化用户的管理及设置ARP 刷新：用于向局域网内的计算机广播正确的网关的 IP 和 MAC 地址，可以有效的杜绝 ARP 欺骗的问题。静态 IP 地址绑定：MAC 地址和 IP 地址绑定功能，使用户能够对用户局域网中的计算机实现最大的管理权限，方便用户对各计算机进行权限设置，并可通过 IP 和 MAC 地址的绑定，有效的防止 ARP 欺骗对网络造成的影响。固件升级：用户可以通过 WEB 界面来升级最新固件，以增强系统稳定性或者扩展系统功能。端口映射：允许 Internet 用户访问用户局域网中的 WWW 和 FTP 服务器以及其它特定的服务器。连接数限制：可限制每台机器最高能够使用的网络连接数，避免因连接数耗尽造成的网络阻塞。多种管理方式：使用 Web 管理界面进行配置，支持远程管理，支持 SSH 管理，不仅可在局域网络中进行管理，还可方便用户在家或出差在外管理公司的网络，一切尽在您掌握中。系统日志：强大的系统日志功能，能够随时察看设备的历史状态，便于故障的查找的判断，还可借助第三方软件实现更详细的日志记录。2.2.NS-G50NS-G50 认证计费服务器认证计费服务器产品外观产品外观功能说明功能说明一、 标准 RADIUS 功能.3二、 华为 BRAS 设备 RADIUS 扩展支持 .4三、 爱立信 BRAS 设备 RADIUS 扩展支持 .4四、 蓝海卓越 BRAS 设备 RADIUS 支持 .5五、 认证控制功能.5六、 系统主控功能.7七、 系统管理功能.8八、 查询统计功能.10九、 营业受理功能.10十、 BOSS 接口功能.121)标准标准 RADIUS 功能功能第第 1 功能功能Authentication 报文：报文：支持标准 RADIUS 认证报文分析功能，BRAS 发起Authentication 请求报文到 AAA 系统认证鉴权。第第 2 功能功能Authentication PAP 认证：认证：支持标准 RADIUS 认证报文中采用 PAP 密码认证方式， BRAS 发起 Authentication 请求报文到 AAA 系统认证鉴权第第 3 功能功能Authentication CHAP 认证：认证：支持标准 RADIUS 认证报文中采用 CHAP 密码认证方式， BRAS 发起 Authentication 请求报文到 AAA 系统认证鉴权第第 4 功能功能Authentication 授权：授权：在接收 BRAS Authentication 请求报文之后，RADIUS Server 根据用户信息资源，对用户授权信息进行封装，通过 Authentication 响应报文把用户带宽限制、最大时长、IP 等信息授权到 BRAS。第第 5 功能功能Accounting-On 报文：报文：支持标准 RADIUS 计费报文分析功能，BRAS 发起Accounting-On 报文，通知 RADIUS 该 BRAS 启动成功，开始计费。第第 6 功能功能Accounting-Off 报文：报文：支持标准 RADIUS 计费报文分析功能，BRAS 发起Accounting-Off 报文，通知 RADIUS 该 BRAS 结束计费，在线用户统一下线，BRAS 进入维护或切换状态。第第 7 功能功能Accounting-Start 报文：报文：支持标准 RADIUS 计费报文分析功能，BRAS 发起Accounting-Start 报文，通知用户计费开始。第第 8 功能功能Accounting-Interium-Update 报文：报文：支持标准 RADIUS 计费报文分析功能，BRAS 发起 Accounting-Start 报文，通知用户计费更新。第第 9 功能功能Accounting-Stop 报文：报文：支持标准 RADIUS 计费报文分析功能，BRAS 发起Accounting-Start 报文，通知用户计费结束。第第 10 功能功能最大会话时长属性下发：最大会话时长属性下发：支持向 BRAS 认证报文中下发最大会话时长，要求用户在规定时长内下线，以便记录上网记录。第第 11 功能功能专线用户固定专线用户固定 IP 地址下发：地址下发：支持向 BRAS 认证报文中下发 IP 地址信息，用户拨号后使用该固定 IP 上网,适用于专线用户。2)华为华为 BRAS 设备设备 RADIUS 扩展支持扩展支持第第 12 功能功能华为扩展华为扩展 MAC 地址属性适配：地址属性适配：分析华为 BRAS 发起的 RADIUS 认证计费报文，读取 MAC 地址。第第 13 功能功能华为扩展华为扩展 VLAN 信息属性适配：信息属性适配：分析华为 BRAS 发起的 RADIUS 认证计费报文，分析 VLAN 信息，读取标签信息。第第 14 功能功能华为扩展限速信息属性适配：华为扩展限速信息属性适配：向华为 BRAS 认证报文响应中向 BRAS 下发限速速率，包括上行和下行速率值。第第 15 功能功能华为华为 BRAS 设备动态授权：设备动态授权：对即将到期的用户，向华为的 BRAS 设备发送动态授权命令，发送停机指令，使用户即时下线。3)爱立信爱立信 BRAS 设备设备 RADIUS 扩展支持扩展支持第第 16 功能功能爱立信扩展爱立信扩展 MAC 地址属性适配：地址属性适配：分析爱立信 BRAS 发起的 RADIUS 认证计费报文，读取 MAC 地址。第第 17 功能功能华为扩展华为扩展 VLAN 信息属性适配：信息属性适配：分析爱立信 BRAS 发起的 RADIUS 认证计费报文，分析 VLAN 信息，读取标签信息。第第 18 功能功能爱立信扩展限速信息属性适配：爱立信扩展限速信息属性适配：向爱立信 BRAS 认证报文响应中向 BRAS 下发限速速率，包括上行和下行速率值。第第 19 功能功能爱立信爱立信 BRAS 设备动态授权：设备动态授权：对即将到期的用户，向爱立信的 BRAS 设备发送动态授权命令，发送停机指令，使用户即时下线。4)蓝海卓越蓝海卓越 BRAS 设备设备 RADIUS 支持支持第第 20 功能功能蓝海卓越蓝海卓越 BRAS 设备设备 RADIUS 认证：认证：分析蓝海卓越 BRAS 发起的 RADIUS 认证计费报文，读取 MAC 地址第第 21 功能功能蓝海卓越蓝海卓越 VLAN 信息属性适配：信息属性适配：分析蓝海卓越 BRAS 发起的 RADIUS 认证计费报文，分析 VLAN 信息，读取标签信息。第第 22 功能功能蓝海卓越限速信息属性适配：蓝海卓越限速信息属性适配：向蓝海卓越的 BRAS 认证报文响应中向 BRAS下发限速速率，包括上行和下行速率值 第第 23 功能功能 蓝海卓越分段限速信息适配：向蓝海卓越的 BRAS 下发分段限速信息，可以对指定的网段设定更高或更低的带宽，实现同一用户差别化的带宽管理，如对互联网限速 2M，对内网的电影服务器限速 10M，对下载服务器限速 50M 等不同策略。第第 24 功能功能蓝海卓越蓝海卓越 BRAS 设备动态授权：设备动态授权：对即将到期的用户，向蓝海卓越的 BRAS 设备发送动态授权命令，发送停机指令，使用户即时下线。第第 25 功能功能蓝海卓越 BRAS 设备通告发送：通过动态授权，发送通告及到期通知信息给蓝海卓越的 BRAS 设备，实现即时通告或到期通告。5)认证控制功能认证控制功能第第 26 功能功能MAC 地址绑定：地址绑定：支持对用户 MAC 地址初始绑定，已绑定用户如果 MAC 地址不匹配则认证失败。第第 27 功能功能VLAN 绑定：绑定：支持对用户 VLAN 标签初始绑定，已绑定用户如果 VLAN 信息不匹配则认证失败。第第 28 功能功能NAS 绑定：绑定：支持对用户拨号 NAS 设备进行绑定，避免同一帐号在不同 NAS设备上进行拨号，有效避免帐号盗用。第第 29 功能功能并发数控制：并发数控制：支持对同一帐号在线数的并发数控制，如果超过该帐号并发数则新认证的用户认证失败。第第 30 功能功能设置最大会话时长：设置最大会话时长：设置最大会话时长,保证用户在最大会话时长内断线重联，生成上网记录。第第 31 功能功能认证计费报文数目监控：认证计费报文数目监控：支持对启动时间内的认证请求报文、认证成功报文、认证拒绝报文、计费上线报文、计费更新报文、计费下线报文进行统计、重置。第第 32 功能功能用户消息跟踪：用户消息跟踪：支持对 BRAS 和 RADIUS 之间的消息进行跟踪，设置跟踪策略，包括 BRAS、用户帐号、消息类型，进行实时跟踪，把消息实时显示在操作界面。第第 33 功能功能释放用户绑定：释放用户绑定：对已作 MAC 或 VLAN 或 NAS 绑定的用户进行释放操作，清除原有的用户绑定信息，包括 MAC 地址信息和一层或两层 VLAN 标签信息。第第 34 功能功能并发控制解锁：并发控制解锁：对异常情况(BRAS 未发下线报文)，用户并发控制，对其在RADIUS 上逻辑下线，释放并发数。第第 35 功能功能认证计费日志输出：认证计费日志输出：RADIUS Server 在认证和记帐过程中，把认证记帐的日志输出到文件中，包括认证成功、认证失败、上线记帐包、下线记帐包等信息。第第 36 功能功能上网记录日志输出：上网记录日志输出：RADIUS Server 在记帐结束后，根据用户记帐信息，生成上网记录日志。6)系统主控功能系统主控功能第第 37 功能功能WEB 控制台嵌入管理：控制台嵌入管理：在认证计费系统中嵌入 WEB 应用程序，监控和管理认证计费系统，该方式管理模式和便捷性都优于 C/S 模式，且能直观访问认证计费系统中的缓存数据，比非嵌入式 B/S 需要通过通讯接口或媒介方式更合理。第第 38 功能功能权限调度控制：权限调度控制：验证操作员所属权限，非权限范围功能不允许使用。第第 39 功能功能RADIUS 热备方案：热备方案：双服务器则采用主备热备模式，在 BRAS 上配置主备