有线城域网Shasta 5000宽带业务节点实施方案.docx
《有线城域网Shasta 5000宽带业务节点实施方案.docx》由会员分享,可在线阅读,更多相关《有线城域网Shasta 5000宽带业务节点实施方案.docx(25页珍藏版)》请在冰点文库上搜索。
有线城域网Shasta5000宽带业务节点实施方案
有线城域网
Shasta5000宽带业务节点实施方案
目录
一,实施目标4
二,软硬件要求4
2.1硬件4
2.2软件5
三,实施系统结构图5
四,安装和配置5
4.1Shasta基本软件安装6
SCS服务器的安装6
SCSclientinstallation6
Shasta初始配置6
4.2Device_owner配置6
增加Shasta设备6
ISP生成7
用户配置7
Trunk连接7
Access连接7
4.3ISP配置7
Trunk连接7
路由配置8
接入策略配置8
增加一个Radiusprofile8
增加一个DHCPprofile8
增加一个Accessgroup8
定义地址池(addresspools)9
定义PPPoE隧道9
业务策略配置9
独立策略配置9
五,实施内容17
5.1,宽带接入功能实施17
5.1.1PPPoverEthernetaccess17
5.1.2身份认证18
5.1.2.1通过Shasta进行本地身份认证18
5.1.2.2通过RADIUSserver进行的身份认证.18
5.1.3计费19
5.1.3.1通过shasta进行本地计费19
5.1.3.2通过RADIUSserver进行计费19
5.1.4日志(Logging)20
5.1.4.1.安全日志20
5.2,网络增值业务20
5.2.1防火墙业务20
5.2.1.1.安全策略的实施及验证20
5.2.1.2.出口反欺诈(EgressAnti-spoofing)策略的实施及验证21
5.2.1.3.入口反欺诈(IngressAnti-spoofing)策略的实施及验证21
5.2.2流量控制业务21
5.2.2.1.流量整形策略的实施及验证21
5.2.2.2.DiffServ策略的实施及验证22
5.2.2.3.流量管理(Policing)策略的实施及验证22
5.2.3强制门户业务23
5.2.3.1.强制门户策略的实施及验证23
5.2.4Cache重定向业务23
5.2.4.1.Cache重定向业务的实施及验证23
5.2.5网络批发业务23
5.2.5.1.ISPcontexts23
5.2.6ISP选择业务24
5.2.6.1.基于域名的ISP选择业务的实施及验证24
5.2.7联机业务选择业务24
5.2.7.1.联机业务选择业务的实施及验证24
5.2.8VPN业务25
一,实施目标
实施Shasta5000在以太网环境中的宽带接入和增值服务功能,包括:
1,宽带接入功能:
∙PPPoE接入;
∙通过Shasta5000BSN本地认证;
∙通过RADIUSServer认证;
∙通过Shasta5000BSN本地计费;
∙通过RADIUSServer计费;
2,网络增值业务:
∙流量控制业务;
∙防火墙业务;
∙强制门户业务;
∙网络批发业务;
∙ISP选择业务;
∙联机业务选择业务;
∙VPN业务;
∙Cache重定向业务;
二,软硬件要求
2.1硬件
∙Shasta5000(实施多节点VPN需2台以上Shasta)
o1SFCcard(SwitchFabricCard)
o1SSCcard(ServiceSubscriberCard)
o1CMCcard(Control&ManagementCard)
o2GECard
o或18-portFECard
∙UnixstationrunningtheApachewebserver(实施服务选择时需要)
∙RADIUSserver(实施通过RadiusServer进行认证和计费时需要)。
我们推荐采用Presideradius或Cistronradius。
∙一些安装Windows9x/2k的PC(作为接入用户)。
2.2软件
∙Shasta软件
oBSN固件
oSCS服务器
oSCS客户端
∙可选的PPPoE客户端软件(NTS,WinPoet,…)
∙SnifferforEthernet
三,实施系统结构图
四,安装和配置
在硬件安装完成后,就可以进行软件的安装和业务的设置,需要一条Console线进行系统初始设置;
从SCS的角度看,DeviceOwner和一个或多个的ISP在逻辑上是独立的实体。
DeviceOwner负责配置设备的物理连接,以允许不同的ISP来管理该设备。
ISP负责设置IP接口,业务策略和接入用户。
4.1Shasta基本软件安装
SCS服务器的安装
请参阅‘SCS服务器和客户端安装指南’;
SCSclientinstallation
请参阅‘SCS服务器和客户端安装指南’;
Shasta初始配置
参照‘Shasta5000安装及初始配置指南‘进行初始配置,设置一个管理地址。
通常,可把该地址配置到管理以太网端口(mgmt-eth0)上。
这样,从SCS服务器,就可以pingShasta和SCS客户端。
4.2Device_owner配置
当连接建立后,用uername‘device_owner’和password‘do’登录到SCS客户端。
接着进行以下的配置:
增加Shasta设备
在设备窗口,增加Shasta5000节点,设置管理状态到UP。
ISP生成
在ISP图标下,加入所需的ISP。
用户配置
为了允许一个ISP用户登录到SCS服务器,必须至少在每个ISP中加入一个用户。
如下表所示:
ISP
Username
Profile
isp1
isp1admin
Isp_profile_and_device_owner
isp2
isp2admin
Isp_profile
Trunk连接
这里建立Shasta5000和ISP的主干间的连接。
在Connections图标下,为每个ISP配置一个Trunk;
Access连接
这里在Shasta5000和接入用户间建立连接。
在Connections图标下,为各个ISP配置一组PPP接入用户(Subscriber)。
4.3ISP配置
ISP配置是为了在ISP和Shasta5000间建立IP连接,同时为接入用户配置不同的接入策略和增值服务策略。
Trunk连接
这一步在Shasta5000和ISP核心路由器之间建立IP连接。
增加一个Trunk接口并把它赋予在前面DeviceOwner配置中生成的Trunk连接。
路由配置
在Trunk接口上配置路由协议。
如果没有路由协议需要采用,可配置一条静态路由。
接入策略配置
这里的所有配置都在‘AccessProperties’图标下进行。
增加一个Radiusprofile
该radiusprofile将被使用在Radius认证和计费的实施中。
把它命名为Radius1。
增加一个DHCPprofile
该dhcpprofile将被使用在通过DHCP服务器的接入用户IP地址获取中。
把它命名为Dhcp1
增加一个Accessgroup
我们在这里配置三个AccessGroup,每个accessgroup存放了不同的参数。
这些参数包含Radius,DHCP等profile.
Accessgroupname
Radiusserver
DHCPserver
DNSserver
Group1
-
-
DNSServerIP
Group2
Radius1
-
DNSServerIP
Group3
-
Dhcp1
DNSServerIP
在Group1的接入用户将
∙由Shasta进行身份认证
∙由Shasta从本地的IP地址池中发放IP地址
在Group2的接入用户将
∙由RadiusServer进行身份认证和计费
∙由Shasta从本地的IP地址池中发放IP地址
在Group3的接入用户将
∙由Shasta进行身份认证
∙由DHCP服务器发放IP地址
定义地址池(addresspools)
为各个用户组(group)定义一个地址池。
定义PPPoE隧道
在“AccessProperties”图标下,首先定义一个PPPoEconnectiontemplate。
采用系统默认选项。
接着生成一个PPPoE隧道并把它连接到:
∙接入连接(AccessConnection)
∙前面定义的connectiontemplate
业务策略配置
在添加接入用户前,建议ISP预先配置其将提供的业务策略框架(ServicePolicyprofile)。
下面定义的业务策略是本次实施的样板策略,可根据业务需要进行修改。
独立策略配置
安全策略
这里给出一个带有四条规则的样板安全策略(sec1)。
它防止任何FTP流量并记录任何FTP企图。
第四行只允许从一台管理工作站ping接入用户的地址。
最后一行丢弃所有其他数据包。
出口反欺诈(Egressanti-spoofing)
增加一个出口反欺诈策略(命名为espoof1).该策略不可被编辑修改。
入口反欺诈(Ingressanti-spoofing)
增加一个入口反欺诈策略(命名为ispoof1).该策略不可被编辑修改。
Diff-serv标记策略
增加一个带有4条规则的DiffServ策略(命名为diff1)。
这条策略将作用到从接入用户向外的数据流量,将根据下列规则设置Diff-serv编码:
-AF4
▪目标地址是Stock_exchange_server的Telnet流量
▪所有的ping
-AF3
▪H323流量
▪Realaudio
-AF1
▪HTTP
▪FTP
▪所有其他流量
流量整形策略
增加一个流量整形策略(命名为shaping1),包含四条规则。
这个策略将作用到进入到接入用户的数据流,将把telnet的优先级设置为最高,其次是http,最后是FTP。
在该策略中,telnet,http和ftp的流量是同时发生的,
-带宽的80%保留给telnet
-带宽的9%保留给http
-带宽的1%保留给ftp.
如果仅仅http和ftp流量是并发的,
-带宽的90%保留给http
-带宽的10%保留给ftp.
另外,FTP的流量速率被限制在512Kbits/s,并且一个会话的速率被限制在256Kbits/s
所有其他的流量被赋予了权重10。
Policing策略
增加一条流量管理(Policing)策略(命名为police1),它带有如下参数。
这条策略作用于从接入用户发出的流量,允许把不同的带宽赋予不同的保证转发组(AF)。
强制门户策略
增加一条强制门户策略(命名为captive1).这条策略将允许所有的至一个特定的WebServer地址HTTP请求。
然而,如果用户试图访问其他的服务器,该请求就会被捕获并且一个捕获页面会被发出。
基于策略的转发
这条策略将导致Shasta跳过其路由表,如下图所示,导致所有的FTP流量被发送到一个特定的IP地址,如Virus_Scanner.
Webcache重定向
这条策略将导致所有的HTML传输被重定向到CacheServer。
IP计费
这条策略将为每个接入用户生成4个容器(buckets)。
每个容器对应于一个Diff-servAF类。
五,实施内容
5.1,宽带接入功能实施
5.1.1PPPoverEthernetaccess
实施项目
通过PPPoE的接入(使用NTSorWinPoet软件)
实施步骤:
∙使用已定义的ISP1的PPP接入用户
∙定义该接入用户采用local_authentication
∙把该接入用户定义为group1的成员
∙不为该接入用户添加IP增值业务
∙使用一个PPPoE客户端软件进行验证
实施细则:
∙Shasta的PPPoE配置
∙Win9X的PPPoE客户端软件安装
∙Shasta将从其本地地址池中发放一个IP地址
∙Shasta将为客户端指定一个DNS服务器
∙有一个选项可以在特定的时间后关闭PPP会话
∙我们应有和网络主干的完全的IP连接
∙可以采用FTP从主干上的FTP服务器上下载文件来测试一下PPPoE的传输
5.1.2身份认证
5.1.2.1通过Shasta进行本地身份认证
实施项目
通过Shasta进行本地身份认证
实施步骤:
∙使用已定义的ISP1的PPP接入用户
∙定义该接入用户采用local_authentication
∙把该接入用户定义为group1的成员
∙不为该接入用户添加IP增值业务
∙使用一个PPPoE客户端软件进行验证
实施细则:
∙客户端和Shasta建立一个PPPoE会话,通过用户名和口令进行身份验证。
可在PPPProfile中定义是采用CHAP或PAP。
∙Shasta在本地进行身份认证
∙Shasta将从其本地地址池中发放一个IP地址
∙Shasta将为客户端指定一个DNS服务器
∙我们应有和网络主干的完全的IP连接
5.1.2.2通过RADIUSserver进行的身份认证.
实施项目
通过RADIUSserver进行的身份认证
实施步骤:
∙使用已定义的ISP1的PPP接入用户
∙定义该接入用户采用RADIUSSERVER
∙把该接入用户定义为group1的成员
∙不为该接入用户添加IP增值业务
∙使用一个PPPoE客户端软件进行验证
实施细则:
Checklist:
∙在RADIUS中定义用户帐号
∙客户端和Shasta建立一个PPPoE会话,通过用户名和口令进行身份验证。
可在PPPProfile中定义是采用CHAP或PAP。
∙Shasta把身份认证请求转发至指定的RADIUSserver.RADIUSserver将完成身份认证,接入用户将被登录。
∙Shasta将从其本地地址池中发放一个IP地址
∙Shasta将为客户端指定一个DNS服务器
∙我们应有和网络主干的完全的IP连接
5.1.3计费
5.1.3.1通过shasta进行本地计费
实施项目
通过shasta进行本地计费
实施步骤:
∙使用已定义的ISP1的PPP接入用户
∙定义该接入用户采用local_authentication
∙把该接入用户定义为group1的成员
∙不为该接入用户添加IP增值业务
∙使用一个PPPoE客户端软件进行验证
实施细则:
∙使用SCS,检查一下系统日志,可以看到会话的开始和结束,时间以及进出的字节数/数据包数。
5.1.3.2通过RADIUSserver进行计费
实施项目
通过RADIUSserver进行计费
实施步骤:
∙使用已定义的ISP1的PPP接入用户
∙定义该接入用户采用RADIUSSERVER
∙把该接入用户定义为group1的成员
∙不为该接入用户添加IP增值业务
∙使用一个PPPoE客户端软件进行验证
实施细则:
∙在radius的计费文件中,检查一下,可以看到会话的开始和结束,时间以及进出的字节数/数据包数
5.1.4日志(Logging)
5.1.4.1.安全日志
实施项目
安全日志
实施步骤:
在一个PPP接入用户上使用安全策略
实施细则:
∙在接入用户上产生HTTP流量。
在SCS的日志中可以发现攻击的流量的记录
5.2,网络增值业务
5.2.1防火墙业务
5.2.1.1.安全策略的实施及验证
实施项目
安全策略的实施及验证
实施步骤:
∙对一个接入用户赋予一个前面定义的安全策略
实施细则:
∙试图从该接入用户向Internet发起一个HTTP会话。
可以发现所有的流量都被丢弃和记录在日志里
∙从该接入用户向被允许的FTP服务器发起一个FTP请求,可以发现连接是正常的
∙从该接入用户向不被允许的FTP服务器发起一个FTP请求,可以发现连接是不正常的.
∙可以发现从接入用户发出的DNS解析的请求工作正常
∙可以发现只能从接入用户向Internet发出Ping
5.2.1.2.出口反欺诈(EgressAnti-spoofing)策略的实施及验证
实施项目
出口反欺诈(EgressAnti-spoofing)策略的实施及验证
实施步骤:
对一个接入用户赋予一个前面定义的出口反欺诈策略
实施细则:
∙使用接入用户的源地址从主干接口向接入用户传输数据,可以发现在接入用户端无流量被接收到。
5.2.1.3.入口反欺诈(IngressAnti-spoofing)策略的实施及验证
实施项目
入口反欺诈(IngressAnti-spoofing)策略验证
实施步骤:
对一个接入用户赋予一个前面定义的入口反欺诈策略
实施细则:
∙使用一个未被赋予的IP源地址从接入用户的PC传输数据到网络的主干,可以发现无数据在网络的主干被接收到。
5.2.2流量控制业务
5.2.2.1.流量整形策略的实施及验证
实施项目
流量整形策略的实施及验证
实施步骤:
∙把前面定义的流量整形策略赋予一个接入用户
∙设置连接的速率限制为1Mbits/s
实施细则:
∙打开一个从主干到接入用户的FTP会话。
可以发现数据接收速率为256Kbits/s.打开2个FTP会话,可以发现传输速率现在是512Kbits/s.
∙使用HTTP和FTP开始大文件的传输,可以发现HTTP文件的传输速率是FTP的10倍,并且总的带宽不超过1Meg/s
∙在其他传输还在进行时,起动一个telnet会话,可以发现该会化不被其他数据传输的影响
5.2.2.2.DiffServ策略的实施及验证
实施项目
DiffServ策略的实施及验证
实施步骤:
∙把前面定义的DiffServ策略赋予一个接入用户
实施细则:
∙从接入用户端PC向“Stock_exchange_server”所指的主干节点发送Telnet数据。
在主干端使用协议分析仪,可以发现DS位被设置为AF4-DP1.
∙发送ping命令。
在主干端使用协议分析仪,可以发现DS位被设置为AF4-DP1
∙产生H323andRealaudio流量。
可以发现DS位被设置为AF3-DP1.
∙产生HTTPandFTP.可以发现DS位被设置为AF1-DP1.
∙产生不在前面类别里的数据流量,可以发现DiffServ标记被清除了
5.2.2.3.流量管理(Policing)策略的实施及验证
实施项目
流量管理(Policing)策略的实施及验证
实施步骤:
∙把前面定义的Policing及DiffServ策略赋予一个接入用户
实施细则:
∙产生一个FTP传输,可以发现速率被限制在128kbits/s
∙产生ICMP传输。
可以发现速率被限制在5kbits/s
5.2.3强制门户业务
5.2.3.1.强制门户策略的实施及验证
实施项目
强制门户策略的实施及验证
实施步骤:
把前面定义的强制门户策略赋予一个接入用户
实施细则:
∙试图访问某个WEB网站,可以发现我们访问到了强制门户页面而非我们原来试图访问的页面。
在下面的业务选择业务的实施中我们可以发现更多的强制门户应用
5.2.4Cache重定向业务
5.2.4.1.Cache重定向业务的实施及验证
实施项目
Cache重定向业务的实施及验证
实施步骤:
把前面定义的Cache重定向策略赋予一个接入用户
把两台Web服务器设置为Cache
实施细则:
∙可以发现从Shasta来的HTTP请求都被发送到CacheWeb服务器上了。
∙可以发现如果一台Cache服务器当机后,就会自动被从活跃CacheWeb服务器的列表中去除。
5.2.5网络批发业务
5.2.5.1.ISPcontexts
实施项目
ISPContext的实施及验证
实施步骤:
实施细则:
∙可以发现不同的ISP有独立的路由表
∙可以发现不同的ISP可以有重叠的IP地址空间,而且不会产生问题
5.2.6ISP选择业务
5.2.6.1.基于域名的ISP选择业务的实施及验证
实施项目
基于域名的ISP选择业务的实施及验证
实施步骤:
∙建立一个允许多个ISP的连接
∙建立一个允许多个ISP的连接模板
∙建立一个带有ISP1域名的接入用户模板
∙建立一个带有ISP2域名的接入用户模板
∙允许这两个接入用户模板被用来作ISP选择
∙选用一个PPP接入用户
实施细则:
∙在同一个物理连接,以属于ISP1的接入用户和域名登录。
可以发现登录成功并且被接入了ISP1的网络主干可以发现接入用户的IP地址和DNS服务器地址等参数都是从ISP1获取的。
∙在同一个物理连接,以属于ISP2的接入用户和域名登录。
可以发现登录成功并且被接入了ISP2的网络主干可以发现接入用户的IP地址和DNS服务器地址等参数都是从ISP2获取的。
5.2.7联机业务选择业务
5.2.7.1.联机业务选择业务的实施及验证
实施项目
联机业务选择业务的实施及验证
实施步骤:
∙以适当的Scripts设置强制门户WebServer
∙用前面定义的强制门户策略定义2个业务profile(基本和安全)
∙在安全业务profile上增加一个简单的安全策略(如:
禁止Ping)
实施细则:
∙可以发现一个新的用户可以通过Web界面进行自我业务提供(可以自行选择服务级别)
∙可以发现一个已经登录的用户可以通过Web界面改变其业务级别。
5.2.8VPN业务
可以实现多项VPN业务,但由于VPN业务需要两台以上Shasta的支持,故本次实施暂不实现VPN业务。
升级会员 