ZXR10Ⅰ0704 BRAS基本原理.docx
《ZXR10Ⅰ0704 BRAS基本原理.docx》由会员分享,可在线阅读,更多相关《ZXR10Ⅰ0704 BRAS基本原理.docx(16页珍藏版)》请在冰豆网上搜索。
ZXR10Ⅰ0704BRAS基本原理
ZXR10_Ⅰ_07_200904
BRAS基本原理
课程目标:
●了解BRAS在网络中的位置
●了解BRAS在网络中的作用
●熟悉BRAS中的一些基本概念
●掌握BRAS工作的基本原理
参考资料:
●《ZXUAS用户手册》
●《ZXUAS硬件手册》
第一章BRAS概述
&知识点
lBRAS产生背景
lBRAS在网络中的位置
一.1BRAS产生背景
由于Internet用户爆炸性增长和多媒体业务应用的不断深入,使得整个通信行业发生了翻天覆地的变化,出现了各种宽带接入技术,同时网络业务也由简单的窄带话音业务发展到宽带的数据业务。
Internet带宽的增加及广泛应用使得IP通信量在不远的将来会远远超过话音业务收入。
在这种情况下,保障用户的带宽、提高网络安全、达到电信网所要求的故障检测和性能检测能力是宽带接入设备需要迫切解决的问题。
用户对网络带宽、服务和计费方式提出了比以往更高的要求。
为了适应整个社会因特网经济发展的趋势,满足用户的需求,网络运营商在使用新的技术提高网络带宽的同时,更需要提高对网络的管理,使网上运行设备具有快速的业务投放和灵活的用户管理能力。
此时,服务运营商选择网上宽带运行设备的具体要求为:
用户所需业务的提供方式要简单、高效;用户业务汇聚容易;对于用户群拓展和业务投放策略能够进行有效的控制。
一.2BRAS在网络中的位置
在宽带网络中,一般分为三层网络体系结构,即:
接入层、汇聚层和核心层。
其中,接入层功能由接入设备完成,包括:
DSLAM设备、以太网交换机、MODEM等等。
汇聚层功能由具有汇聚功能的设备完成,包括:
宽带接入服务器BRAS设备、交换机、路由设备等等,其中路由和交换机设备完成数据的汇聚和快速传送,BRAS设备主要提供对DSL用户的计费、后台管理等功能(BRAS连接RADIUS服务器、用户数据库服务器),此功能类似于窄带PSTN用户上网的接入服务器。
核心层功能主要由高速路由器或高速交换机或骨干路由器完成,完成在骨干ATM/IP网上的数据包路由和交换。
图1.21BRAS在网络中的位置
一.3BRAS在网络中的作用
中兴公司的ZXUAS10600、ZXUAS10800E就是BRAS设备。
目前,BRAS设备可对个人接入用户的业务流量进行承载及管理,也就是对ADSL、LAN、WLAN等宽带用户实现授权、认证与计费及业务管理,同时BRAS设备还支持各种动态业务的选择,及VPN等业务。
在这种方式中,BRAS设备主要作为用户与城域网之间宽带数据网关,控制非认证数据的流通范围,控制认证用户的网络属性,同时实现认证用户的计费管理,目前中兴通讯BRAS设备还实现基于用户的业务控制管理,成为宽带运营的良性价值链体系的关键部分。
通常在城域网建设初期,由于用户较少,运营商一般较少或没有采用BRAS类产品,粗放式的管理和发展用户。
随着网络建设的推进及用户规模的扩大,加强网络管理及细化运营粒度,吸引细分市场用户及加速投资回收显得非常必要与紧迫。
只有通过BRAS设备构建一个“可运营,可管理”的网络,才是最合理的方式。
一.4BRAS中的基本概念
1.BRAS
BRAS即BroadbandRemoteAccessServer,宽带远程接入服务器。
它是一种面向宽带网络应用的新型接入网关。
BRAS是宽带接入网与骨干网之间的桥梁,提供基本的接入手段和宽带接入网的管理功能。
BRAS位于骨干网的边缘层或城域网的汇聚层;提供大量宽带用户的接入,易于快速扩容和增加新功能,可支持ADSL、LAN、无线接入等多种接入方式,满足各种不同类型的运营商和服务提供商的需要。
具有简单、高效、统一的用户管理模式,提供灵活的多种认证、计费和管理方法。
此外,支持IPVPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用。
2.PPPoE
PPPoE即Point-to-PointProtocoloverEthernet,是利用以太网发送PPP包的传输方法和支持在同一以太网链路上建立多个PPP连接的接入技术。
用户终端和BRAS之间建立PPP的连接,在BRAS上用唯一的SessionID来表示这个连接。
3.管理域(DOMAIN)
管理域是一个BRAS业务管理特性的集合,具有自己的AAA体系、合法的用户群体及其他业务管理策略。
BRAS上利用不同的域来区分不同的用户群体,接入不同类型的用户,享受不同的服务。
BRAS根据用户拨号过程中携带的域名(如@IPTV)信息,接入到不同的域。
4.地址池(pool)
地址池就是BRAS设备上配置的IP地址的集合。
BRAS会为每一个认证成功的宽带拨号用户从IP地址池里分配一个地址。
IP地址池里已分配或标识为不可用的地址,BRAS不会再分配给认证成功的用户。
U说明
这里认证成功是指BRAS收到RADIUS返回的认证成功消息,或BRAS本地账号认证成功,并不是指用户终端拨号成功。
宽带用户断开PPPoE拨号连接之后,BRAS会回收该用户拨号获取的地址,并标识为可用状态。
U说明
只有当BRAS与PC之间IPCP协商成功及分配地址成功后用户终端才会显示拨号处于已连接状态。
5.用户侧和网络侧
lBRAS的用户侧与DSL或交换机宽带接入网相连,BRAS的用户侧终结用户VLAN,与用户终端之间动态建立PPP连接,终结PPPoE报文。
lBRAS的网络侧与路由器骨干网相连,BRAS的网络侧提供三层接口,收发IP数据包。
6.AAA
AAA即Authentication认证、Authorization授权、和Accounting计费。
RADIUS(RemoteAuthenticationDialInUserService)协议是目前BRAS产品上使用最广泛的AAA协议。
BRAS作为RADIUSClient,与RADIUSServer采用RADIUS协议通信,完成用户的认证、授权和计费。
7.虚拟路由域(VRF)
VRF代表一个私有IP路由域,使用VPNID进行标识。
在VPN中,每一个VRF可以看作虚拟的路由器,好像是一台专用的PE设备。
虚拟路由器包括如下元素:
一张独立的路由表,当然也包括了独立的地址空间。
一组归属于这个VRF的接口的集合。
一组只用于本VRF的路由协议。
对于每个PE,可以维护一个或多个VRF,同时维护一个公网的路由表(也叫全局路由表),多个VRF实例相互分离独立。
8.虚拟路由器(VR)
在一个路由器中存在多个以VRF方式存在的私有路由域,每个VRF都存在独立的IP路由表,互相独立,相当于在一个路由器中存在多个虚拟路由器(VR)。
在系统初始化的时候,系统缺省存在一个全局IP路由域。
9.BRAS虚拟用户侧接口(VBUI)
VBUI是一个IP协议栈三层逻辑接口,只用于BRAS业务。
每个VBUI需要配置IP地址/子网掩码、ARP协议、包最大长度、控制列表及其他协议配置。
VBUI支持与多个物理电路进行一对多的关联。
10.用户
用户表示在这个业务服务和管理实体中可以接入的合法用户。
每一个合法用户都有自己的属性,代表个性化的业务信息,包括配置名字、口令、IP地址或地址分配策略、QoS参数、ACL参数等。
11.活动用户
活动用户和用户概念相对应,活动用户是一个动态概念,记录了一个用户接入动态过程的全部信息,其生命周期就是用户接入的开始和结束。
12.端口
端口就是一个实际的物理接口,在BRAS业务中需要对各个端口的接入用户数量进行限制。
13.电路
电路又称虚电路,代表一个逻辑电路,包括DOT1QVLAN、ATMPVC、没有DOT1Q封装的以太网端口等。
14.绑定
电路、PPP链路只有和VBUI绑定,该电路上的用户才能接入到相应的业务网络,得到相应的业务服务。
绑定体现了接入的概念,这是BRAS业务模型中最核心的概念。
具体应用分成静态绑定和动态绑定两种:
静态绑定
绑定关系可以静态直接指定。
动态绑定
根据用户链路分配到的IP地址(PPP协议),由系统找到对应的接口,从而确定电路和接口之间的关系。
15.对象间关系说明
BRAS对象间的关系说明如图1.41所示。
图1.41对象间关系说明
一.5BRAS的业务处理流程
图1.51BRAS业务处理流程
BRAS(宽带接入服务器)有时可能是一台路由器,或一台终端服务器。
它主要作为一个网络的入口,在AAA服务器模式下承担的是客户端的功能。
一个BRAS的业务处理流程可以分为如下几步:
1.终端用户给BRAS发出需要和网络连接的请求。
2.BRAS提示用户输入用户名和口令并收集和转发该信息给AAA服务器。
3.AAA服务器执行程序(和数据库信息匹配)后将结果返回给BRAS,结果可能是接受、拒绝、或其他相关信息。
4.BRAS将通知结果给终端用户。
5.如果认证通过,用户就可以获得上网权限。
6.认证通过后,根据事先的设置开始对用户进行计费。
第二章BRAS协议介绍
&知识点
lPPP协议原理
lPPPoE协议原理
lRADIUS协议原理
二.1PPP协议原理
二.1.1PPP协议组成
PPP即point-to-PointProtocol,是为在点对点的简单链路上传送多协议数据报而设计的协议。
PPP协议由三个组成部分:
1.一个将IP数据报封装到串行链路的方法。
PPP既支持异步链路(无奇偶校验的8比特数据),也支持面向比特的同步链路。
2.一个用来建立、配置和测试数据链路的链路控制协议LCP(LinkControlProtocol)。
通信的双方可协商一些选项。
在[RFC1661]中定义了11种类型的LCP分组。
3.一套网络控制协议NCP(NetworkControlProtocol),支持不同的网络层协议,如IP、OSI的网络层、DECnet、AppleTalk等。
二.1.2PPP帧格式
PPP的帧格式如图2.11所示。
图2.11PPP帧格式
PPP是面向字符的帧格式,PPP帧的前3个字段和最后两个字段中,标志字段F为0x7E(0x表示十六进制),但地址字段A和控制字段C都是固定不变的,分别为0xFF、0x03。
PPP协议不是面向比特的,因而所有的PPP帧长度都是整数个字节。
二.1.3PPP工作流程
当用户拨号接入ISP时,路由器的调制解调器对拨号做出应答,并建立一条物理连接。
这时PC机向路由器发送一系列的LCP分组(封装成多个PPP帧)。
这些分组及其响应选择了将要使用的一些PPP参数,接着就进行网络层配置,NCP给新接入的PC机分配一个临时的IP地址,这样PC机就成为Internet上一个主机了。
当用户通信完毕时,NCP释放网络层连接,收回原来分配出去的IP地址。
接着LCP释放数据链路层连接,最后释放的是物理层的连接。
图2.12PPP协议过程状态图
当线路处于静止状态时,并不存在物理层的连接。
当检测到调制解调器的载波信号,并建立物理层连接后,线路就进入建立状态,这时LCP开始协商一些选项。
协商结束后就进入鉴别状态。
若通信的双方鉴别身份成功,则进入网络状态。
NCP配置网络层,分配IP地址,然后就进入可进行数据通信的打开状态。
数据传输结束后就转到终止状态。
载波停止后则回到静止状态。
二.1.4PAP协议介绍
口令验证协议PAP(PasswordAuthenticationProtocol,PAP)
PAP认证可以在一方进行,即由一方认证另一方身份,也可以进行双向身份认证。
这时,要求被认证的双方都要通过对方的认证程序。
否则,无法建立二者之间的链路。
在以单方认证的PAP配置过程中。
当双方都封装了PPP协议且要求进行PAP身份认证,同时它们之间的链路在物理层已激活后,认证服务器会不停地发送身份认证要求直到身份认证成功。
PAP认证过程中,口令的大小写是敏感的,即要求全字符匹配,口令数据库可以存储在设备上,也可以存储在路由器以外的AAA上。
认证过程如图2.13所示。
图2.13PAP认证过程
二.1.5CHAP协议介绍
质询握手协议(ChallengeHandshakeAuthenticationProtocol,CHAP)是使用三次握手定期验证对方身份的一种认证协议。
他通过服务器发出认证质询,用户以应答的形式来验证用户的合法性。
用户的ID和口令经过加密之后再在网络上传输,因此安全性较好。
验证过程如图2.14所示。
图2.14CHAP认证过程
CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为"挑战字符串",同时,身份认证可以随时进行,包括在双方正常通信过程中。
因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。
二.2PPPoE协议介绍
PPPoE(PPPoverEtherent)实现PPP帧在Etherent上的适配,并提供Etherent上的PPP连接。
在一个共享的以太网上的多个主机,可以通过一个或多个简单的桥接入设备,与远程接入集中器进行多个PPP会话。
使用这种模型,每个主机使用它自己的PPP协议栈,并且提供给用户一个熟悉的用户接口。
接入控制、计费和服务类型能够基于每用户,而不是每站点来处理。
PPPoE包含发现和PPP会话两个阶段。
发现阶段是无状态的Client/Server模式,目的是获取PPPoE终结端的以太网的MAC地址,并建立一个唯一的PPPoESESSION。
会话阶段是用户终端和BRAS之间的采用LCP协议,协商MRU值和PPP(PAP或CHAP)认证方式,并发送用户名和密码给BRAS认证,认证成功后由BRAS发起IPCP协议协商,分配IP和DNS给用户终端。
PPPoE拨号流程如图2.21所示。
图2.21PPPoE拨号流程
二.2.1PPP发现阶段
发现阶段有四个步骤,当此阶段完成,通信的两端都知道PPPoESESSION_ID和对端的以太网地址,他们一起唯一定义PPPoE会话。
这些步骤包括:
主机广播一个发起分组(PADI),一个或多个接入集中器发送给予分组(PADO),主机发送单播会话请求分组(PADR),选择的接入集中器发送一个确认分组(PADS)。
当主机接收到确认分组,它可以开始进行PPP会话阶段。
当接入集中器发送出确认分组,它可以开始进行PPP会话阶段。
发现过程如图2.21所示。
当主机在指定的时间内没有接收到PADO,它应该重新发送它的PADI分组,并且加倍等待时间,这个过程会被重复期望的次数。
如果主机正在等待接收PADS,应该使用具有主机重新发送PADR的相似超时机制。
在重试指定的次数后,主机应该重新发送PADI分组。
PPPoE还有一个PADT分组,它可以在会话建立后的任何时候发送,来终止PPPoE会话。
它可以由主机或者接入集中器发送。
当接收到一个PADT,不再允许使用这个会话来发送PPP业务。
在发送或接收PADT后,即使正常的PPP终止分组也不必发送。
PPP对端应该使用PPP协议自身来终止PPPoE会话,但是当PPP不能使用时,可以使用PADT。
二.2.2PPP会话阶段
一旦PPPoE会话开始,PPP数据就可以以任何其它的PPP封装形式发送。
所有的以太网帧都是单播的。
PPPoE会话的SESSION_ID一定不能改变,并且必须是发现阶段分配的值。
会话过程如图2.21所示。
二.2.3PPPoE包的封装
PPPoE包的封装过程如图2.22所示。
图2.22PPPoE包的封装
U说明
PPP帧格式里面protocol字段含义:
l0x0021——表示信息字段是IP数据包
l0x8021——表示信息字段是网络控制数据NCP
l0xC021——表示信息字段是链路控制数据LCP
l0xC223——表示信息字段是安全性认证CHAP
l0xC023——表示信息字段是安全性认证PAP
二.2.4以太网接入的系统协议栈
以太网接入的系统协议栈如图2.23所示。
图2.23以太网接入的系统协议栈
二.3RASIUS协议原理
二.3.1RADIUS协议介绍
远程身份验证拨入用户服务(RADIUS)是RFC2865“远程身份验证拨入用户服务(RADIUS)”和RFC2866“RADIUS记帐”中描述的业界标准协议。
RADIUS是一种在网络接入服务器(NetworkAccessServer)和共享认证服务器间传输认证、授权和配置信息的协议。
RADIUS负责传送网络接入服务器和共享计费服务器间的计费信息。
RADIUS使用UDP作为其传输协议。
认证、授权使用1645或1812端口,计费使用1646或1813端口。
二.3.2RADIUS的主要特征
RADIUS的主要特征如下:
1.C/S模式:
BRAS作为RADIUS的客户端,负责将用户信息传递给指定的RADIUS服务器,然后根据返回信息进行操作。
RADIUS服务器负责接收BRAS发送的认证和计费等请求,返回所有必要的信息以便BRAS为用户提供服务。
2.网络安全:
客户端与RADIUS服务器之间的通信是通过共享密钥的使用来鉴别的,这个共享密钥不会通过网络传送。
3.灵活认证机制:
RADIUS服务器支持多种用户认证方法。
当用户提供了用户名和原始口令后,RADIUS服务器可支持PPPPAP或CHAP。
4.协议的可扩充性:
每种信息都是由不同长度的“类型-长度-值”的三元组(TLV)构成,可以扩展性强。
二.3.3RADIUS协议模型
RADIUS协议模型如图2.31所示。
图2.31RADIUS协议模型
二.3.4RADIUS报文格式
RADIUS报文格式如图2.32所示。
图2.32RADIUS报文格式
Code:
数据包的类型。
1—接入请求(Access-Request)包,
2—允许接入(Access-Accept)包,
3—拒接接入(Access-Reject)包,
4—计费请求(Accounting-Request)包,
5—计费响应(Accounting-Response)包)。
Identifier:
长度为8位,主要用于匹配请求和回应数据包,也即是数据包的编号。
Length:
整个数据报的长度。
Authenticator:
16字节的随机数。
此域用于认证答复和加密口令字。
Attributes:
属性值。
是若干属性状态的集合。
二.3.5RADIUS交互流程
RADIUS报文交互流程如图2.33所示。
图2.33BRAS与AAA协议交互流程
升级会员 