PPPoA基准体系结构Word文件下载.docx
《PPPoA基准体系结构Word文件下载.docx》由会员分享,可在线阅读,更多相关《PPPoA基准体系结构Word文件下载.docx(14页珍藏版)》请在冰点文库上搜索。
优点
∙根据密码验证协议(PAP)或质询握手验证协议(CHAP)的每回话认证。
因为认证在桥接体系结构,解决安全漏洞这是PPPoA的最巨大的优点。
∙每回话记帐是可能的,允许服务提供商充电根据会议时间的订户因为提供的不同服务。
每回话记帐允许服务提供商提供最低费用的最低访问级别然后充电订户为使用的其它服务。
∙IP地址保存在CPE。
这只允许服务提供商为CPE分配一IP地址,用为网络地址转换(NAT)的CPE配置。
所有用户在一个CPE之后能使用单个IP地址到达不同的目的地。
顶上为网络接入提供商/网络服务提供商(NAP/NSP)为每个人用户减少IP管理当保存IP地址时。
另外,服务提供商能提供一个小的子网IP地址解决限制关于端口地址转换(PAT)和NAT。
∙NAPs/NSPs提供对公司网关的安全访问没有管理端到端PVC和使用第三层路由或第二层Forwarding/Layer2隧道协议(L2F/L2TP)隧道。
因此,他们能扩展他们的商业模式为卖批发服务。
∙排除个体用户故障。
NSP能容易地识别哪些订户继续下去或基于活动PPP会话,而不是故障排除整个组这一点是案件伴随着桥接体系结构。
∙NSP能通过配置空闲和会话超时过度预定使用一个业界标准的远程验证拨入用户服务(RADIUS)服务器为每个订户。
∙高度可升级我们在会聚路由器能终止PPP会话的非常大数字。
验证、授权和记帐可以为使用外部的RADIUS服务器的每个用户被处理。
∙最佳的使用功能在服务选择网关(SSG)。
缺点
∙仅单个会话每个CPE在一个虚拟信道。
从用户名和口令在CPE只配置,所有用户在CPE之后为该特定的VC能访问一个服务集合。
用户不能选择不同的服务集合,虽然使用多个VC并且建立不同的PPP会话在不同的VC是可能的。
∙CPE设置的增加的复杂性。
帮助人员在服务提供商需要更加熟知。
从用户名和口令在CPE配置,订户或CPE供应商将需要做设置变动。
使用多个VC增量配置复杂性。
这然而,可以由没有发布的自动配置功能解决。
∙服务提供商需要维护用户名和口令数据库为所有订户。
如果使用隧道或代理服务,则认证可以根据域名完成并且用户认证完成在公司网关。
这减少服务提供商必须维护数据库的大小。
∙如果单个IP地址提供给CPE和NAT/PAT是被实施,某些应用程序例如IPTV,在有效载荷嵌入IP信息,不会工作。
另外,如果使用IP子网功能,IP地址必须也是后备的为CPE。
PPPoA体系结构的实施注意事项
要考虑的关键点在实现PPPoA体系结构之前包括:
∙当前和在将来服务订户的数量,这影响必需的PPP会话的数量。
∙PPP交易是否结束在服务provider?
s会聚路由器或发送到其他公司网关或网络服务提供商(ISP)。
∙服务提供商或最终服务目的地是否提供IP地址给subscriber?
sCPE。
∙提供的IP地址是否是合法共享或专用的。
CPE执行NAT/PAT或NAT是否将执行在终结目的地?
∙最终用户、住宅用户、SmallOfficeHomeOffice(SOHO)用户和远程办公者档案。
∙一旦超过一个用户,所有用户是否需要到达同一项最终目的地或服务,或者他们全部有不同的服务目的地。
∙服务提供商提供任何增值服务类似语音或视频?
服务提供商是否要求所有订户对首先去一个特定网络在到达最终目的地之前?
订户何时使用SSG,他们使用转接服务、点到点协议终接汇聚(PTA),仲裁设备或者代理?
∙服务提供商在使用的固定费率、每回话使用方法或者服务如何发单subscribers&
#8212;
based。
∙CPEs、DSLAMs和聚合PointsofPresence(PoPs)配置和物资供应。
∙商业模式为NAP。
型号是否也包括卖批发服务类似安全的企业访问和增值服务类似语音和视频?
NAP是否是和NSPs同一个实体?
∙公司的商业模式。
与一个独立的市话运营商(ILEC),具有竞争力的市话运营商(CLEC)或ISP它是否是可比较的?
∙NSP为最终用户将提供应用程序的种类。
∙期望的上行和下行数据流量。
保留这些点在头脑,我们讨论PPPoA体系结构如何将适合并且扩展对不同的商业模式为服务提供商并且提供商如何能使用此体系结构有益于。
[page]
典型的PPPoA网络体系结构
以下图表显示一个典型的PPPoA网络体系结构。
使用CPEs的用户接通到服务提供商网络通过CiscoDSLAM,连接到Cisco6400聚集器使用ATM。
PPPoA体系结构的设计注意事项
在本文的"
实施注意事项"
部分,PPPoA体系结构可以使用不同的方案配置根据服务provider?
s商业模式。
在此部分,我们讨论服务提供商必须在配置解决方案之前记住的不同的可能性和考虑。
在配置PPPoA体系结构和一个特定的解决方案之前为此体系结构,了解服务provider?
s商业模式是重要的。
考虑服务提供商将提供的服务。
服务提供商是否将提供一项服务类似对其最终用户的高速互联网访问或是否将卖批发服务对不同的ISPs并且提供增值服务给那些订户?
服务提供商是否将提供所有?
一旦高速互联网访问在NSP和NAP其中是相同的环境里,在配置的会聚路由器必须结束subscriber?
sPPP交易。
在此方案,服务提供商需要考虑多少场PPP交易在一个单个路由器汇聚设备可以结束,用户如何验证,他们如何执行记帐和路径对互联网一旦用户会话被终止。
根据PPP会话和订户的数量,会聚路由器能是Cisco6400或Cisco7200。
Today?
sCisco6400用7个节点路由处理器(NRP)能结束14,000场PPP交易。
Cisco7200对2,000次PPP会话被限制。
这些编号将更改与新的版本。
请检查版本说明并且产品文件为每个会聚路由器可以支持会话的确切的数字。
用户认证和记帐在这些方案通过使用一个工业标准的RADIUS服务器最好处理,能验证根据用户名或虚拟路径标识符/虚信道标识符的用户(VPI/VCI)使用。
为高速互联网访问,NSPs通常发单用户一个固定费率。
大多当前配置实现此样。
当NSP和NAP是同一个实体时,用户被发单以一个固定速度为访问和另一个固定速度为互联网访问。
此模型变动当服务提供商开始提供增值服务。
服务提供商能充电根据服务类型的用户并且服务使用期限。
用户接通到互联网通过会聚路由器使用路由协议类似开放式最短路径优先(OSPF)或增强的内部网关路由协议(EIGRP)到可能运行边界网关协议(BGP)的边界路由器。
服务提供商有为提供高速互联网访问的另一个选项是发送流入的PPP会话从订户到独立的ISP使用L2TP/L2F建立隧道。
当使用时L2x建立隧道,应该为产生特别注意事项隧道目的地如何可以到达。
可用的选项对用一些路由协议或提供静态路由在会聚路由器。
限制当时使用L2TP或L2F隧道是:
(1)隧道的数量和在那些隧道可以支持会话的数量;
并且
(2)使用路由协议不兼容与第三方ISPs,可能使用静态路由要求。
如果服务提供商为最终用户提供服务为不同的ISPs或公司网关,他们在会聚路由器可能需要实现SSG功能。
这允许订户通过使用基于Web的服务选择选择不同的服务目的地。
服务提供商能或者向前订户PPP会话对他们所选的目的地通过结合所有会话被注定对ISP到单个PVC为传输,或者如果服务提供商提供多个服务级别,超过一个PVC可能横跨核心设立。
在一个批发服务模型,服务提供商可能不使用SSG功能。
在此型号,服务提供商对家庭网关扩大所有PPP会话。
家庭网关提供IP地址给最终用户并且验证终端用户。
一个主要考虑在任何这些方案是服务提供商如何能提供不同的服务质量(QoS)为不同的服务并且他们如何计算带宽分配。
当前,方式多数服务提供商在不同的PVC配置此体系结构提供另外QoS。
他们在核心可能有独立的PVC为住宅和商业用户。
使用不同的PVC允许服务提供商为不同的服务指定另外QoS。
此样,QoS能在独立的PVC或在第三层。
适用QoS在第三层要求服务提供商知道最终目的地,可能是一个限定系数。
但,如果使用与第二层QoS的组合(通过适用它在不同的VC),它可以是有用的为服务提供商。
限制与此型号是是固定的并且服务提供商需要为QoS事先提供。
QoS在服务的选择没获得动态地适用。
当前,没有能选择不同的带宽的用户的选项为不同的服务带有鼠标的点击;
然而,投资了大量的工程工作开发此功能。
CPE配置、管理和物资供应可能是非常富挑战性在此体系结构,CPE需要为用户名和口令配置。
作为一个简单解决方案,一些服务提供商为所有CPEs使用同一个用户名和口令。
这提交重大的安全风险。
另外,如果CPE需要同时打开不同的会话、另外的VC需要提供在CPE,NAP和NSP。
CiscoDSLAMs和汇聚设备有能力简化CPE配置和物资供应。
流通过管理工具为端到端PVC物资供应也是可用的。
因为必须管理,提供在NSP为使用PVC的许多订户是一个限定系数所有不同的PVC。
另外,没有物资供应2000PVC简单方法在单个NRP通过点击鼠标或输入少量keystorkes。
今天我们有不同的管理应用为此体系结构不同的组件,例如Viewrunner为DSLAM和SCM为那里Cisco6400是将提供所有组件的没有管理平台。
这是一个很好被认可的限制并且投资大量精力有单个,综合管理应用程序提供CPE,DSLAM和Cisco6400。
另外,我们当前有一个解决方案实现PPPoA与SVC,极大将实现配置。
PPPoA与SVC也将允许终端用户动态地选择目的地和QoS。
要记住的另一个重要点为大ADSL部署使用此体系结构是通信从会聚路由器到RADIUS服务器。
如果NRP前端失去作用当几一千场PPP交易在汇聚设备时结束,必须重建所有那些PPP会话。
这意味着必须验证所有订户并且他们的计费记录被终止和重新启动一旦连接被建立。
当许多订户设法获得同时时验证,管道到RADIUS服务器可以是瓶颈。
一些订户可能不能验证并且这能制造问题为服务提供商。
有RADIUS服务器的一条链路以同时适应所有订户的足够的带宽是非常重要的。
此外,RADIUS服务器应该是足够强大的同意权限所有订户。
一旦千位订户,应该设想一个选项对负载平衡在可用的RADIUS服务器之间。
此功能是可用的在®
CiscoIOS软件。
作为最终考虑事项,会聚路由器必须满足执行适应许多PPP会话。
运用其他实施使用的同样流量工程原理。
早先,用户在点对点子接口必须配置PVC。
今天PPPoA在多点子接口允许用户配置多个PVC以及点到点。
每PPPoA连接不再要求二个接口描述符模块(IDBs),一个为虚拟访问接口和一个为ATM子接口。
此增进增加PPPoA会话的最大数量运行在路由器的。
平台支持最大数量PPPoA会话取决于可用系统资源例如内存和CPU速度。
每次PPPoA会话取出一个虚拟访问接口。
每个虚拟访问接口包括硬件接口描述阻塞和一个软件接口描述阻塞(hwidb/swidb)对。
每hwidb采取关于4.5K.每swidb一起采取关于2.5K.,虚拟访问接口要求7.5K.2000虚拟访问接口要求2000年*7.5K或15M。
运行2000次会话,路由器需要一另外15M。
由于在会话限制的增量,路由器需要支持更多IDBs。
此技术支持影响性能由于更多CPU周期运行PPP状态机的更多实例。
PPPoA体系结构的关键点
此部分在PPPoA体系结构描述三个关键点:
CPE,IP管理和到达服务目的地。
由于PAT的本质,嵌入的某些应用程序IP信息在有效载荷在此方案不能工作。
解决此问题,适用子网IP地址而不是单个IP地址。
在此体系结构因为IP地址分配到CPE,NAP/NSP远程登录到CPE配置和排除故障是容易。
CPEs能根据subscriber?
s配置文件使用不同的选项。
例如,为了一个住宅用户CPE可能配置没有PAT/DHCP。
为订户用超过一个PC,CPEs可以为PAT/DHCP或方式配置和那一个住宅用户一样。
如果有IP电话接通到CPE,CPE可能为超过一个PVC配置。
IP管理
在PPPoA体系结构,订户CPEIP地址分配在拨号模式下使用IPCP协商,PPP的同一个原理。
IP地址根据订户使用的服务类型分配。
如果订户有仅互联网访问从NSP,NSP将结束那些PPP交易从订户并且分配IP地址。
IP地址从一个本地定义的池分配,DHCP服务器或者可以是适用从RADIUS服务器。
并且,当订户起动PPP会话时,ISP可能提供了一套静态IP地址给订户并且可能不动态地分配IP地址。
在此方案,服务提供商将使用仅RADIUS服务器验证用户。
如果订户喜欢有多个服务可用,NSP可能需要实现SSG。
以下可能性为分配IP地址。
∙SP可能提供IP地址给订户通过其本地地址池或RADIUS服务器。
在用户选择一项服务之后,SSG寄user?
s数据流给该目的地。
如果SSG使用代理模式,最终目的地可能提供IP地址,SSG将使用作为可视地址为NAT。
∙PPP会话在服务provider?
s会聚路由器没获得终止。
他们被建立隧道或转发到最终目的地或家庭网关,最终将结束PPP交易。
最终目的地或家庭网关与订户协商IPCP,从而动态地提供IP地址。
只要最终目的地分配了那些IP地址并且有路由到他们,静态地址也是可能的。
在CiscoIOS软件版本12.0.5DC之前Cisco6400NRP,没有办法为了服务提供商能提供子网IP地址给订户。
Cisco6400平台和Cisco600系列CPEs在CPE允许IP子网动态地配置在PPP协商期间。
一IP地址从此子网分配到CPE并且剩余IP地址动态地分配到位置通过DHCP。
当使用时此功能,CPEs不需要为PAT配置,不与一些应用程序一起使用。
服务目的地如何到达
在PPPoA体系结构,服务目的地可以到达用不同的方式。
某些最普通配置的方法是:
∙结束PPP交易在服务提供商
∙L2TP建立隧道
∙使用SSG
在所有三个方法有从CPE定义的一个固定的PVC组对在会聚路由器被交换对一个固定的PVC组的DSLAM。
PVC从DSLAM被映射到会聚路由器通过ATM云。
服务目的地可能使用其他方法这样的PPPoA与SVCs或者多协议标签交换/虚拟专用网也到达。
这些方法是超出本文的范围之外并且讨论在其它论文。
终止PPP在聚合
订户起动的PPP交易结束在验证使用一个本地数据库在路由器或通过RADIUS服务器的用户的服务提供商。
在用户验证之后,IPCP协商发生并且IP地址分配到CPE。
在IP地址分配之后,有主机路由设立了在CPE和在会聚路由器。
IP地址分配到订户,如果合法,做通告到边界路由器。
边界路由器是订户能访问互联网的网关。
如果IP地址是专用的,服务提供商转换他们在做通告他们之前为边界路由器。
L2TP/L2F建立隧道
PPP会话,根据服务提供商或公司、隧道对上行终止点使用L2TP或L2F而不是被终止在服务provider?
s会聚路由器。
此终止点验证用户名并且订户通过DHCP或本地地址池分配IP地址。
为此方案通常有一条隧道设立在L2TP访问Concentrator/network接入服务器(LAC/NAS之间)和家庭网关或者L2TPNetworkServer(LNS)。
LAC验证根据域名的流入的会话;
用户名验证在最终目的地或家庭网关。
在此型号然而,用户只只访问最终目的地并且能每次访问一个目的地。
例如,如果CPE用rtr@用户名配置,个人计算机在该CPE之后能只访问Cisco域。
如果他们想要连接到另一个公司网络,他们在CPE需要更改用户名和口令反射该公司域名。
隧道目的地通过使用路由协议,静态路由或者执行在这种情况下到达经典IPoverATM(如果ATM更喜欢作为第二层)。
使用服务选择网关(SSG)
SSG的主要优点胜过建立隧道是SSG提供一对多的服务映射,而建立隧道提供仅一对一映射。
这变得非常有用当单个用户需要对多个服务的时访问,或者多个用户在每需要访问对一项唯一服务的单个位置。
SSG使用基于Web的服务选择公告(SSD),包括不同的服务并且供给用户。
用户能一次访问一项服务或多个服务。
使用SSG的另一个优点是服务提供商能发单根据服务使用和会议时间的用户,并且用户能启用服务断断续续通过SSD。
当PPP会话自订户,进来用户验证。
用户是指定的IP地址从本地地址池或RADIUS服务器。
在用户成功验证之后,来源对象是由SSG代码创建的并且提供用户对默认网络的访问。
默认网络包含SSD服务器。
使用浏览器,用户登录对显示板,根据在RADIUS服务器存储的user?
s配置文件验证由AAA服务器和,为访问提供服务集合。
每次一个认证的用户选择一项服务,SSG创建一个目的地对象为该用户。
目的地对象包含信息例如目的地地址、DNS服务器地址为该目的地和分配的IP原地址从家庭网关。
进来自user?
s边的信息包转发到根据信息的目的地包含在目的地对象。
SSG可以为代理服务、透明转接或者PTA配置。
当订户请求对代理服务的访问,NRP-SSG将通过访问请求对远程RADIUS服务器。
在接受access-accept,SSG回应订户带有access-accept。
SSG出现作为客户端到远程RADIUS服务器。
透明转接在任何一个方向允许未经鉴定的用户数据流通过SSG被路由。
使用过滤器控制透明转接数据流。
PTA可能由PPP类型用户只使用。
认证、授权和记帐在代理服务类型确切地执行正如。
订户登录到服务使用表user@service的用户名。
SSG转发那到RADIUS服务器,然后装载服务配置文件对SSG。
SSG寄请求给远程RADIUS服务器如由服务profile?
sRADIUS服务器属性指定。
在请求验证之后,IP地址分配到订户。
NAT没有执行。
所有用户数据流聚集对远程网络。
与PTA,用户只能访问一项服务和不访问默认网络或SSD。
PPPOA体系结构的操作说明
当CPE首先供给动力时,开始发送LCP配置请求到会聚服务器。
会聚服务器,用PVC配置,在一个虚拟访问接口也派出LCP配置请求(联合PVC)。
当每一个看其他的配置请求时,他们承认请求并且打开LCP状态。
为认证阶段,CPE发送认证请求到会聚服务器。
服务器,根据其配置,二者之一验证根据域名的用户(如果供应),或者用户名使用其本地数据库或RADIUS服务器。
以username@domainname的形式,如果请求从订户是,会聚服务器将设法创建隧道对目的地,如果你已经不是那里。
在隧道被创建之后,会聚服务器转发PPP请求从订户到目的地。
目的地,反过来,验证用户并且分配IP地址。
如果请求从订户不包括域名,用户由本地数据库验证。
如果SSG在会聚路由器配置,用户访问默认网络如指定并且能获得选项选择不同的服务。
结论
因为是高度可升级的,使用SSG功能,并且提供安全,PPPoA成为最适当的体系结构为许多服务提供商。
因为本文焦点是PPPoA体系结构,包括功能类似SSG详细是不可能的。
这些功能在随后的文件将报道。
在本文讨论的不同的方案的示例配置在其它论文也将被呈现并且解释。
升级会员 