BH007102 SmartAX MA5200F系统介绍和硬件

BH007102SmartAXMA5200F

IP接入设备系统介绍和硬件学习目标掌握MA5200E/F的基本原理和体系结构掌握MA5200E/F的技术特点了解MA5200E/F的组网应用了解MA5200E/F产品的技术指标学习完本课程，您应该能够：

系统概述硬件体系结构业务特性组网应用设备规格参数课程内容概述MA5200F是一款高性能路由器，也是一款高性能的宽带智能接入服务器。MA5200F定位于接入层或者汇聚层，适用于以太网、xDSL（DigitalSubscriberLine）、WLAN（WirelessLAN）等各种接入类型的网络，可以广泛地应用于运营商宽带接入网、企业网、校园网、政务网、酒店等各种业务类型的网络，满足了不同网络对灵活的用户管理以及可靠的网络安全的需求。概述MA5200F针对用户提供了功能强大的用户管理和业务控制功能，包括：灵活完善的用户接入方式，用户身份认证和安全保障，基于用户策略的访问控制，业务QoS保证，即插即用、NAT，组播控制、用户访问日志等。MA5200F同时提供丰富的计费信息，支持多种计费方式。

系统概述硬件体系结构业务特性组网应用设备规格参数课程内容MA5200F为2U高盒式设备，可以装入19英寸标准结构机柜。MA5200F可以提供24个FE口和2个GE口，包括：

六路快速以太网电口

六路单模快速以太网光口（MTRJ接口，15Km）

六路多模快速以太网光口（MTRJ接口，2Km）单路多模千兆光接口（500m，LC接口）双路多模千兆光接口（500m，LC接口）单路单模千兆光接口（10km，LC接口）双路单模千兆光接口（10km，LC接口）单路单模千兆光接口（40km，LC接口）单路单模千兆光接口（70km，LC接口）硬件结构——外观硬件结构——单板(1)风扇(2)SPUC板(3)BKPC板(4)GE插板(5)FE0插板(6)FE1插板(7)FE2插板(8)FE3插板(9)网口、串口、复位键、指示灯业务处理板（H521SPUC）：一块，在H521SPUC板上有一块XSM扣板。背板（H521BKPC）：通过3个2mmB型连接器（22*5）垂直连接到H521SPUC板上。FE接口板(H521O6FC或H521E6FC)：Slot0-Slot3，通过1个2mmB型连接器（22*5）连接到H521BKPC板上。千兆接口板(H521O1GC)：Slot4-Slot5，通过1个2mmB型连接器(22*5)和一个2mmC型连接器(11*5)连接到H521SPUC板上。转接板(H521TRNC)：主要考虑到调试串口，网口，指示灯等要前出线，通过转接板把SPUC板上相关信号引出来。网管网口、调试串口、电源指示灯、复位键从H521SPUC板上引出。100W电源二个（1+1热备份），用户可选一个或二个电源，220V输入或-48V输入可选。风扇3个，采用带监控的风扇，采用全抽风结构。硬件结构——单板

系统概述硬件体系结构业务特性组网应用设备规格参数课程内容用户接入AAA&Radius用户管理专线组播业务特性用户接入——用户类型非管理用户管理用户

个人用户二层用户

三层用户

专线用户

VLAN专线二层接入形式三层接入形式

Proxy专线

PPPoE专线

VLAN透传专线

用户接入——接入&认证方式接入方式认证方式PPPoE PPPoE VLAN绑定认证WEB认证快速认证EAPoL 802.1X用户接入——PPPoE认证方式PPPoE方式是基于帐号、密码的认证方式3、MA5200F与RADIUS服务器配合完成PPPoE的帐号、密码的验证处理，给用户分配一个合法的IP地址MA5200FRadiusServerLanswitchCore5、RADIUS服务器完成对用户的计费2、MA5200F终结PPPoE1、用户发起PPPoE4、用户获得合法的IP地址，并可以访问InternetDHCPServer用户接入——PPPoE认证业务流程PCLanSwitchMA5200DHCPServerRadiusServerPPPoEDiscovery

阶段协商PPPoEDiscovery协商报文LCP协商阶段LCP协商阶段PAP/CHAP认证阶段PAP/CHAP认证阶段远端Server认证如果本地认证就没有该步骤通过DHCPClient到远端DHCPServer申请地址如果本地申请地址就没有该步骤NCP协商阶段NCP协商阶段Useronline用户接入——VLAN认证方式5、MA5200F转发分配的IP地址，同时完成IP+VLAN+MAC的绑定MA5200FDHCPServerLanswitchCore4、根据DHCPAGENT的IP地址从相应地址池中分配用户IP地址3、MA5200F根据用户权限作DHCPRELAY1、用户发起DHCP申请6、用户获得IP地址2、加入VLAN标识用户接入——绑定认证业务流程PCLanSwitchMA5200DHCPServerDHCPDiscovery报文Useronline动态用户DHCPACK报文远端DHCP协商MA5200根据用户二层信息生成用户名进行本地认证DHCPDiscovery报文DHCPOffer报文DHCPOffer报文DHCPRequest报文DHCPRequest报文DHCPRequest报文DHCPRequest报文DHCPACK报文远端DHCP协商如果本地分配地址就没有该步骤静态用户用户ARP或者IP报文用户ARP或者IP报文MA5200根据用户二层信息生成用户名进行本地认证Useronline用户接入——WEB认证方式CoreRadiusServerWEBServerLANSwitchMA5200F2、MA5200F的ACL控制用户在未经过认证前只能访问一个或几个特定WWW服务器（WEB认证服务器）4、用户通过认证后可以正常实现Internet访问5、MA5200F作为认证客户端，与RadiusServer配合完成用户的认证过程4、用户通过认证后可以正常实现Internet访问1、用户通过DHCP获得IP地址3、用户发起认证用户接入——WEB认证流程PCLanSwitchMA5200DHCPServer/AAAServerWEBServerDHCP协商过程如果本地申请地址就没有该步骤Useronline对于静态用户没有DHCP过程DHCP协商过程远端DHCP协商用户访问WEB服务器认证页面，输入用户名和密码进行认证WEB服务器将用户认证信息发送给MA5200进行远端AAAServer认证认证成功回应MA5200通知WEBServer用户认证成功WEBServer返回用户认证成功页面如果本地认证就没有该步骤用户接入——快速认证流程PCLanSwitchMA5200路由器DHCPServerAAAServerWEBServerDHCP协商过程如果本地申请地址就没有该步骤Useronline对于静态用户没有DHCP过程，只有ARP和IP触发认证DHCP协商过程远端DHCP协商远端DHCP协商用户访问WEB服务器认证页面，不需要输入用户名、密码，进行认证WEB服务器将用户认证信息发送给MA5200MA5200通知WEBServer用户认证成功WEBServer返回用户认证成功页面MA5200根据用户二层信息生成用户名进行本地认证用户接入——802.1X认证方式802.1X方式是基于帐号、密码的认证方式3、MA5200F与RADIUS服务器配合完成802.1X的帐号、密码的验证处理MA5200FRadiusServerLanswitchCore5、RADIUS服务器完成对用户的计费2、MA5200F终结EAPoL1、用户发起802.1X4、用户发起DHCP过程，获得合法的IP地址，并可以访问InternetDHCPServer用户接入——802.1X认证流程(EAPoL触发)PCLanSwitchMA5200DHCPServerRadiusServerEAPoL-startEAP-request/Identity远端Server认证如果是本地认证就没有该步骤到远端DHCPServer申请地址如果本地申请地址就没有该步骤EAP密钥协商UseronlineEAPoL-startEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密钥协商DHCP协商DHCP协商根据配置可以先进行DHCP协商再进行802.1X认证用户接入——802.1X认证流程(DHCP触发)PCLanSwitchMA5200DHCPServerRadiusServerDHCP_DISCOVER/DHCP_RequestEAP-request/Identity远端Server认证如果是本地认证就没有该步骤到远端DHCPServer申请地址如果本地申请地址就没有该步骤EAP密钥协商UseronlineDHCP_DISCOVER/DHCP_RequesttEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密钥协商DHCP协商DHCP协商根据配置可以先进行DHCP协商再进行802.1X认证AAA&Radius——业务流程连接管理AAARadiusRadiusServer认证认证请求认证请求认证请求认证回应认证回应认证回应开始计费Login开始计费请求开始计费请求开始计费回应开始计费回应在线用户授权修改在线用户授权修改在线用户授权修改停止计费Logout停止计费请求停止计费请求停止计费回应停止计费回应Logout回应授权AAA&Radius——认证

PAP

CHAP

Web认证

EAPEAP-MD5EAP_SIM

AAA&Radius——计费支持基于流量、时长的计费支持费率切换支持实时计费计费抄送功能（基于ISP/物理位置）计费失败处理策略用户管理——业务控制

为了控制用户业务，赋予每个用户两种组号：

InterGroup——用于管理用户间的互访控制，

UclGroup——用于管理用户访问非管理地址的权限控制。

MA5200F支持5元组ACL，支持标准和扩展ACL，按照源和目的用户类型的不同，ACL规则可分为以下三类：

用户间的互访控制；

用户访问非管理地址的权限控制；

非管理地址间的访问控制。

ACL规则配置完成后，还要应用到具体范围，才能真正生效，作用范围有三类：

全局范围，端口范围，端口VLAN范围。用户管理——QoS流量监管(CAR)MA5200基于用户的CAR共有32级，每一级CAR都可以配置不同的上下行基本速率、平均速率、峰值速率。

对每个用户做三种CAR：用户上下行CAR和用户访问设备的CAR。令牌桶入接口策略库流量参数CORE出接口MA5200FLanswitch用户管理——QoS拥塞管理(用户优先级)

基于用户优先级的转发基于报文中DSCP或802.1p优先级的转发基于ACL匹配结果的优先级的转发

拥塞避免(WRED&802.3x)

为避免送往CPU端口的报文在交换网中发生拥塞导致交换网资源耗尽，在CPU端口发送拥塞时，MA5200F基于CPU出端口利用阈值群组功能(ThresholdGroup)对数据包进行WRED处理。对高优先级的用户，设置的阀值较高，而对于低优先级的用户，设置的阀值较低。

MA5200F还支持802.3x流量控制协议。用户管理——网络安全鉴别

用户身份鉴别

地址仿冒识别

路由协议报文鉴别

服务器身份鉴别

Telnet用户身份鉴别

攻击防护

仿冒ARP防护

仿冒DHCPSERVER探测

DoS攻击防护主要对策是访问控制、速率限制、连接限制专线——概念专线接入泛指同一逻辑端口下的所有用户统一进行CAR和流量统计，在AAA只表现为一个连接的接入方式。

专线下所有的用户具有相同的权限

专线下所有的用户统一计费

专线下所有的用户统一做CAR

专线接入以端口VLAN作为识别标识

分类

VLAN专线二层接入形式三层接入形式

Proxy专线

PPPoE专线

VLAN透传专线专线——VLAN专线二层VLAN专线与三层VLAN专线的区别：

挂接的设备不同：分别是2层设备（交换机）与3层设备（路由器）二层VLAN专线可以由设备或用户分配地址，三层VLAN专线必须由用户自行管理地址专线——PPPoE专线PPPoE专线与3层VLAN专线相似，不同点在于：

PPPoE专线时路由器与MA5200F连接时使用PPPoE协议，而不是直接使用IP协议；

3层专线配置完成后就开始计费，而PPPoE专线在路由器拨号后开始计费。另外，由于需要配置用户的网段路由，要求路由器通过PPP的申请到的地址必须固定分配。专线——VLAN透传VLAN透传是指预先指定某个VLAN端口进行透传，并配置该VLAN端口的出端口。目的是在城域网范围内实现基于VLAN技术的VPN，满足用户的多个LAN互连的需求。MA5200F在做VLAN透传时不进行三层处理，而是根据报文的VLANID进行二层处理，将来自管理端口的报文替换VLANID后转发到非管理端口，将来自非管理端口的报文替换VLANID后转发到管理端口。组播——组播成员加入组播——组播报文转发非受控组播的业务流程PCLanSwitchMA5200路由器IGMP查询报文IGMP报告报文向组播用户端口发送IGMP查询报文续传IGMP查询报文IGMP成员报告报文续传IGMP成员报告报文，并通过IGMPSnooping学习到加入组播组的用户1、处理IGMP成员报告报文，决定哪些用户接口加入该组播组2、不验证用户是否有组播权限向5200转发组播业务报文向有用户加入的端口转发组播业务报文向有用户加入的端口转发组播业务报文运行PIM协议IGMPproxy或PIM协议，选其一IGMP成员离开报文从转发表中删除该用户，如果该组播组下没有其他用户，续传IGMP成员离开报文从转发表中删除该用户接口，如果该组播组下没有其他用户，发送IGMP成员离开报文受控组播的业务流程PCLanSwitchMA5200路由器IGMP查询报文IGMP报告报文向组播用户端口发送IGMP查询报文续传IGMP查询报文IGMP成员报告报文续传IGMP成员报告报文发送HMCP添加用户报文运行PIM协议IGMPproxy或PIM协议，选其一检查用户是否有组播权限（单播认证时获得）响应HMCP添加用户报文根据HMCP报文添加用户组播转发表项受控组播的业务流程(续)PCLanSwitchMA5200路由器向5200转发组播业务报文向有用户加入的端口转发组播业务报文向有用户加入的端口转发组播业务报文IGMP成员离开报文续传IGMP成员离开报文从转发表中删除该用户接口，如果该组播组下没有其他用户，发送IGMP成员离开报文发送HMCP删除用户报文响应HMCP删除用户报文根据HMCP报文删除用户组播转发表项

系统概述硬件体系结构业务特性组网应用设备规格参数课程内容组网应用——运营商宽带城域网MA5200FLanSwitchAPCMTSIPDSLAMEthernetWLANHFCxDSLL3核心网认证计费平台网管平台业务平台MA5200FMA5200FMA5200F组网应用——智能化小区IDTIDTIDT...家庭家庭家庭楼道交换机楼宇汇聚交换机住宅楼楼宇汇聚交换机...认证计费平台小区信息平台业务服务器组小区中心机房MA5200F信息点中心交换机信息点中心交换机其它信息点其它信息点会所APAPAP公共无线上网点会所中心交换机Internet组网应用——企业网S2026S2026S2026S2026S2026S3026S3026S3026MA5200FS8016业务服务器QuidviewCAMSNE16EEudemon100Eudemon100企业总部业务服务器S2026S2026INTERNETIPTunnelMA5200FWA1006+企业分支机构组网应用——智能化楼宇Eudemon100MA5200FINTERNET专线专线PROXY专线PPPoE专线企业1S3026企业4S3026Router企业3S3026ProxyServer企业2S3026R3620组网应用——政务网政府机关政府机关政府机关政府机关MPLSVPN政务骨干网NE40NE16EPEPES6506S6506MA5200FCEMA5200FMA5200FS3026S3026CECE组网应用——校园网...S3026...PCPCPCS3026...PCPCPCS3026...教师机学生机学生机多媒体教室S3026...教师机学生机学生机S3026...教师机学生机学生机S3026...PCS3026PCPCMA5200FS8016CERNETEudemon100InternetEudemon100...PC教学楼PCPCS3