某市有线城域网Shasta 5000宽带业务节点实施方案

1、 xxxx 有线城域网有线城域网 shastashasta 50005000 宽带业务节点实施方案宽带业务节点实施方案 目录 一，实施目标一，实施目标.4 二，软硬件要求二，软硬件要求.4 2.1 硬件.4 2.2 软件.5 三，实施系统结构图三，实施系统结构图.5 四，安装和配置四，安装和配置.5 4.1 shasta 基本软件安装.6 scs 服务器的安装.6 scs client installation.6 shasta 初始配置.6 4.2 device_owner 配置.6 增加 shasta 设备.6 isp 生成.7 用户配置.7 trunk 连接.7 access 连接.7

2、4.3 isp 配置.7 trunk 连接.7 路由配置.8 接入策略配置.8 增加一个 radius profile.8 增加一个 dhcp profile.8 增加一个 access group.8 定义地址池（address pools）.9 定义 pppoe 隧道.9 业务策略配置.9 独立策略配置.9 五，实施内容五，实施内容.17 5.1，宽带接入功能实施.17 5.1.1 ppp over ethernet access.17 5.1.2 身份认证.18 通过 shasta 进行本地身份认证.18 通过 radius server 进行的身份认证.

3、18 5.1.3 计费.19 通过 shasta 进行本地计费.19 通过 radius server 进行计费.19 5.1.4 日志(logging).20 . 安全日志.20 5.2，网络增值业务.20 5.2.1 防火墙业务.20 . 安全策略的实施及验证.20 . 出口反欺诈(egress anti-spoofing)策略的实施及验证.21 . 入口反欺诈(ingress anti-spoofing)策略的实施及验证.21 5.2.2 流量控制业务.21 . 流量整形策略的实施及验证

4、.21 . diffserv 策略的实施及验证.22 . 流量管理(policing)策略的实施及验证.22 5.2.3 强制门户业务.23 . 强制门户策略的实施及验证.23 5.2.4 cache重定向业务.23 . cache 重定向业务的实施及验证.23 5.2.5 网络批发业务.23 . isp contexts.23 5.2.6 isp 选择业务.24 . 基于域名的 isp 选择业务的实施及验证.24 5.2.7 联机业务选择业务.24 . 联机业务选择业务的实施及验证.24 5.2

5、.8 vpn 业务.25 一，实施目标一，实施目标 实施 shasta 5000 在以太网环境中的宽带接入和增值服务功能，包括： 1，宽带接入功能： pppoe 接入； 通过 shasta 5000 bsn 本地认证； 通过 radius server 认证； 通过 shasta 5000 bsn 本地计费； 通过 radius server 计费； 2，网络增值业务： 流量控制业务； 防火墙业务； 强制门户业务； 网络批发业务； isp 选择业务； 联机业务选择业务； vpn 业务； cache 重定向业务； 二，软硬件要求二，软硬件要求 2.12.1 硬件硬件 shasta 5000 (实

6、施多节点 vpn 需 2 台以上 shasta) o1 sfc card (switch fabric card) o1 ssc card (service subscriber card) o1 cmc card (control accessaccess 连接连接 这里在这里在 shastashasta 50005000 和接入用户间建立连接。在和接入用户间建立连接。在 connectionsconnections 图标下，为各个图标下，为各个 ispisp 配置一组配置一组 pppppp 接入用户接入用户(subscriber)(subscriber)。 4.34.3 ispisp 配置

7、配置 isp 配置是为了在 isp 和 shasta 5000 间建立 ip 连接，同时为接入用户配置不 同的接入策略和增值服务策略。 trunktrunk 连接连接 这一步在 shasta 5000 和 isp 核心路由器之间建立 ip 连接。增加一个 trunk 接 口并把它赋予在前面 device owner 配置中生成的 trunk 连接。 路由配置路由配置 在 trunk 接口上配置路由协议。 如果没有路由协议需要采用，可配置一条静态路由。 接入策略配置接入策略配置 这里的所有配置都在access properties图标下进行。 增加一个增加一个 radiusradius prof

8、ileprofile 该 radius profile 将被使用在 radius 认证和计费的实施中。把它命名为 radius1。 增加一个增加一个 dhcpdhcp profileprofile 该 dhcp profile 将被使用在通过 dhcp 服务器的接入用户 ip 地址获取中。把 它命名为 dhcp1 增加一个增加一个 accessaccess groupgroup 我们在这里配置三个 access group, 每个 access group 存放了不同的参数。 这些参数包含 radius，dhcp 等 profile. access group name radius serv

9、erdhcp serverdns server group1-dns server ip group2radius1-dns server ip group3-dhcp1 dns server ip 在 group1 的接入用户将 由 shasta 进行身份认证 由 shasta 从本地的 ip 地址池中发放 ip 地址 在 group2 的接入用户将 由 radius server 进行身份认证和计费 由 shasta 从本地的 ip 地址池中发放 ip 地址 在 group3 的接入用户将 由 shasta 进行身份认证 由 dhcp 服务器发放 ip 地址 定义地址池（定义地址池（add

10、ressaddress poolspools） 为各个用户组（group）定义一个地址池。 定义定义 pppoepppoe 隧道隧道 在“access properties”图标下, 首先定义一个 pppoe connection template。 采用系统默认选项。接着生成一个 pppoe 隧道并把它连接到： 接入连接(access connection) 前面定义的 connection template 业务策略配置业务策略配置 在添加接入用户前，建议 isp 预先配置其将提供的业务策略框架（service policy profile） 。下面定义的业务策略是本次实施的样板策略，可根

11、据业务需 要进行修改。 独立策略配置独立策略配置 安全策略安全策略 这里给出一个带有四条规则的样板安全策略 (sec1sec1)。它防止任何 ftp 流量并记 录任何 ftp 企图。第四行只允许从一台管理工作站 ping 接入用户的地址。最后 一行丢弃所有其他数据包。 出口反欺诈出口反欺诈 ( (egressegress anti-spoofinganti-spoofing) ) 增加一个出口反欺诈策略 (命名为 espoof1). 该策略不可被编辑修改。 入口反欺诈入口反欺诈 ( (ingressingress anti-spoofinganti-spoofing) ) 增加一个入口反欺诈策

12、略 (命名为 ispoof1). 该策略不可被编辑修改。 diff-servdiff-serv 标记策略标记策略 增加一个 带有 4 条规则的 diffserv 策略 (命名为 diff1)。 这条策略将作用 到从接入用户向外的数据流量，将根据下列规则设置 diff-serv 编码： -af4 目标地址是 stock_exchange_server 的 telnet 流量 所有的 ping -af3 h323 流量 realaudio -af1 http ftp 所有其他流量 流量整形策略流量整形策略 增加一个流量整形策略 (命名为 shaping1)，包含四条规则。这个策略将作用 到进入到接

13、入用户的数据流，将把 telnet 的优先级设置为最高，其次是 http，最后是 ftp。在该策略中， telnet, http 和 ftp 的流量是同时发生的, -带宽的 80 % 保留给 telnet -带宽的 9 % 保留给 http -带宽的 1 % 保留给 ftp. 如果仅仅 http 和 ftp 流量是并发的， -带宽的 90% 保留给 http -带宽的 10 % 保留给 ftp. 另外，ftp 的流量速率被限制在 512kbits/s，并且一个会话的速率被限制在 256kbits/s 所有其他的流量被赋予了权重 10。 policingpolicing 策略策略 增加一条流量管

14、理(policing)策略 (命名为 police1)，它带有如下参数。这条 策略作用于从接入用户发出的流量，允许把不同的带宽赋予不同的保证转发组 （af） 。 强制门户策略强制门户策略 增加一条强制门户策略(命名为 captive1). 这条策略将允许所有的至一个特定 的 web server 地址 http 请求。然而，如果用户试图访问其他的服务器，该请 求就会被捕获并且一个捕获页面会被发出。 基于策略的转发基于策略的转发 这条策略将导致 shasta 跳过其路由表，如下图所示，导致所有的 ftp 流量被发 送到一个特定的 ip 地址，如 virus_scanner. webweb cac

15、hecache 重定向重定向 这条策略将导致所有的 html 传输被重定向到 cache server。 ipip 计费计费 这条策略将为每个接入用户生成 4 个容器（ buckets） 。每个容器对应于一个 diff-serv af 类。 五，实施内容五，实施内容 5.15.1，宽带接入功能实施，宽带接入功能实施 .1 pppppp overover ethernetethernet accessaccess 实施项目实施项目通过 pppoe 的接入(使用 nts or winpoet 软件) 实施步骤 :使用已定义的 isp1 的 ppp 接入用户 定义该接入用户采用 lo

16、cal_authentication 把该接入用户定义为 group1 的成员 不为该接入用户添加 ip 增值业务 使用一个 pppoe 客户端软件进行验证 实施细则：shasta 的 pppoe 配置 win9x 的 pppoe 客户端软件安装 shasta 将从其本地地址池中发放一个 ip 地址 shasta 将为客户端指定一个 dns 服务器 有一个选项可以在特定的时间后关闭 ppp 会话 我们应有和网络主干的完全的 ip 连接 可以采用 ftp 从主干上的 ftp 服务器上下载文件 来测试一下 pppoe 的传输 .2 身份认证身份认证 通

17、过通过 shastashasta 进行本地身份认证进行本地身份认证 实施项目实施项目通过 shasta 进行本地身份认证 实施步骤 :使用已定义的 isp1 的 ppp 接入用户 定义该接入用户采用 local_authentication 把该接入用户定义为 group1 的成员 不为该接入用户添加 ip 增值业务 使用一个 pppoe 客户端软件进行验证 实施细则：客户端和 shasta 建立一个 pppoe 会话，通过用户 名和口令进行身份验证。可在 ppp profile 中定义 是采用 chap 或 pap。 shasta 在本地进行身份认证 shasta 将从其本地地址池中发放一个

18、 ip 地址 shasta 将为客户端指定一个 dns 服务器 我们应有和网络主干的完全的 ip 连接 通过通过 radiusradius serverserver 进行的身份认证进行的身份认证. . 实施项目实施项目通过 radius server 进行的身份认证 实施步骤 :使用已定义的 isp1 的 ppp 接入用户 定义该接入用户采用 radius server 把该接入用户定义为 group1 的成员 不为该接入用户添加 ip 增值业务 使用一个 pppoe 客户端软件进行验证 实施细则： checklist: 在 radius 中定义用户帐号 客户端和

19、 shasta 建立一个 pppoe 会话，通过用户 名和口令进行身份验证。可在 ppp profile 中定义 是采用 chap 或 pap。 shasta 把身份认证请求转发至指定的 radius server. radius server 将完成身份认证，接入用 户将被登录。 shasta 将从其本地地址池中发放一个 ip 地址 shasta 将为客户端指定一个 dns 服务器 我们应有和网络主干的完全的 ip 连接 .3 计费计费 通过通过 shastashasta 进行本地计费进行本地计费 实施项目实施项目通过 shasta 进行本地计费

20、 实施步骤 :使用已定义的 isp1 的 ppp 接入用户 定义该接入用户采用 local_authentication 把该接入用户定义为 group1 的成员 不为该接入用户添加 ip 增值业务 使用一个 pppoe 客户端软件进行验证 实施细则：使用 scs，检查一下系统日志，可以看到会话的开 始和结束，时间以及进出的字节数/数据包数。 通过通过 radiusradius serverserver 进行计费进行计费 实施项目实施项目通过 radius server 进行计费 实施步骤 :使用已定义的 isp1 的 ppp 接入用户 定义该接入用户采用 rad

21、ius server 把该接入用户定义为 group1 的成员 不为该接入用户添加 ip 增值业务 使用一个 pppoe 客户端软件进行验证 实施细则：在 radius 的计费文件中, 检查一下，可以看到会 话的开始和结束，时间以及进出的字节数/数据包 数 .4 日志日志(logging(logging) ) .. 安全日志安全日志 实施项目实施项目安全日志 实施步骤 :在一个 ppp 接入用户上使用安全策略 实施细则：在接入用户上产生 http 流量。在 scs 的日志中可 以发现攻击的流量的记录 5.25.2，网络增值业务，网络增值业务 5.2.

22、15.2.1 防火墙业务防火墙业务 .. 安全策略的实施及验证安全策略的实施及验证 实施项目实施项目安全策略的实施及验证 实施步骤 :对一个接入用户赋予一个前面定义的安全策略 实施细则：试图从该接入用户向 internet 发起一个 http 会话。 可以发现所有的流量都被丢弃和记录在日志里 从该接入用户向被允许的 ftp 服务器发起一个 ftp 请 求，可以发现连接是正常的 从该接入用户向不被允许的 ftp 服务器发起一个 ftp 请求，可以发现连接是不正常的. 可以发现从接入用户发出的 dns 解析的请求工作正常 可以发现只能从接入用户向 internet 发出

23、 ping .. 出口反欺诈出口反欺诈(egress(egress anti-spoofing)anti-spoofing)策略的实策略的实 施及验证施及验证 实施项目实施项目出口反欺诈(egress anti-spoofing)策略的实施及验 证 实施步骤 :对一个接入用户赋予一个前面定义的出口反欺诈策 略 实施细则：使用接入用户的源地址从主干接口向接入用户传输 数据，可以发现在接入用户端无流量被接收到。 .. 入口反欺诈入口反欺诈(ingress(ingress anti-spoofing)anti-spoofing)策略的实策略的实

24、 施及验证施及验证 实施项目实施项目入口反欺诈(ingress anti-spoofing)策略验证 实施步骤 :对一个接入用户赋予一个前面定义的入口反欺诈策 略 实施细则：使用一个未被赋予的 ip 源地址从接入用户的 pc 传 输数据到网络的主干，可以发现无数据在网络的主 干被接收到。 .2 流量控制业务流量控制业务 .. 流量整形策略的实施及验证流量整形策略的实施及验证 实施项目实施项目流量整形策略的实施及验证 实施步骤 :把前面定义的流量整形策略赋予一个接入用户 设置连接的速率限制为 1mbits/s 实施细则：打开一个从主干到接入用户的 ft

25、p 会话。 可以发 现数据接收速率为 256kbits/s. 打开 2 个 ftp 会 话，可以发现传输速率现在是 512 kbits/s. 使用 http 和 ftp 开始大文件的传输，可以发现 http 文件的传输速率是 ftp 的 10 倍，并且总的带 宽不超过 1 meg/s 在其他传输还在进行时，起动一个 telnet 会话， 可以发现该会化不被其他数据传输的影响 .. diffservdiffserv 策略的实施及验策略的实施及验证证 实施项目实施项目diffserv 策略的实施及验证 实施步骤 :把前面定义的 diffserv 策略赋予一个接入用户 实

26、施细则：从接入用户端 pc 向“stock_exchange_server”所 指的主干节点发送 telnet 数据。在主干端使用协 议分析仪，可以发现 ds 位被设置为 af4-dp1. 发送 ping 命令。在主干端使用协议分析仪，可以 发现 ds 位被设置为 af4-dp1 产生 h323 and realaudio 流量。可以发现 ds 位 被设置为 af3-dp1. 产生 http and ftp. 可以发现 ds 位被设置为 af1-dp1. 产生不在前面类别里的数据流量，可以发现 diffserv 标记被清除了 .. 流量管理流量管理(policing

27、)(policing)策略的实施及验证策略的实施及验证 实施项目实施项目流量管理(policing)策略的实施及验证 实施步骤 :把前面定义的 policing 及 diffserv 策略赋予一 个接入用户 实施细则：产生一个 ftp 传输，可以发现速率被限制在 128kbits/s 产生 icmp 传输。可以发现速率被限制在 5kbits/s .3 强制门户业务强制门户业务 .. 强制门户策略的实施及验证强制门户策略的实施及验证 实施项目实施项目强制门户策略的实施及验证 实施步骤 :把前面定义的强制门户策略赋予一个接入用户 实施细则：试图访问某个

28、web 网站， 可以发现我们访问到了 强制门户页面而非我们原来试图访问的页面。在下 面的业务选择业务的实施中我们可以发现更多的强 制门户应用 .4 cachecache 重定向业务重定向业务 .. cachecache 重定向业务的实施及验证重定向业务的实施及验证 实施项目实施项目cache 重定向业务的实施及验证 实施步骤 :把前面定义的 cache 重定向策略赋予一个接入用户 把两台 web 服务器设置为 cache 实施细则：可以发现从 shasta 来的 http 请求都被发送到 cache web 服务器上了。 可以发现如果一台 cache 服务器当机后， 就会自 动被从活跃 cache web 服务器的列表中去除。 .5 网络批发业务网络批发业务 .5.2.