某市有线城域网Shasta 5000宽带业务节点实施方案 精品.docx

某市有线城域网Shasta 5000宽带业务节点实施方案 精品.docx

《某市有线城域网Shasta 5000宽带业务节点实施方案 精品.docx》由会员分享，可在线阅读，更多相关《某市有线城域网Shasta 5000宽带业务节点实施方案 精品.docx（23页珍藏版）》请在冰豆网上搜索。

某市有线城域网Shasta5000宽带业务节点实施方案精品

XX有线城域网

Shasta5000宽带业务节点实施方案

目录

一，实施目标4

二，软硬件要求4

2.1硬件4

2.2软件5

三，实施系统结构图5

四，安装和配置5

4.1Shasta基本软件安装6

SCS服务器的安装6

SCSclientinstallation6

Shasta初始配置6

4.2Device_owner配置6

增加Shasta设备6

ISP生成7

用户配置7

Trunk连接7

Access连接7

4.3ISP配置7

Trunk连接7

路由配置8

接入策略配置8

增加一个Radiusprofile8

增加一个DHCPprofile8

增加一个Accessgroup8

定义地址池（addresspools）9

定义PPPoE隧道9

业务策略配置9

独立策略配置9

五，实施内容17

5.1，宽带接入功能实施17

5.1.1PPPoverEthernetaccess17

5.1.2身份认证18

5.1.2.1通过Shasta进行本地身份认证18

5.1.2.2通过RADIUSserver进行的身份认证.18

5.1.3计费19

5.1.3.1通过shasta进行本地计费19

5.1.3.2通过RADIUSserver进行计费19

5.1.4日志（Logging）20

5.1.4.1.安全日志20

5.2，网络增值业务20

5.2.1防火墙业务20

5.2.1.1.安全策略的实施及验证20

5.2.1.2.出口反欺诈（EgressAnti-spoofing）策略的实施及验证21

5.2.1.3.入口反欺诈（IngressAnti-spoofing）策略的实施及验证21

5.2.2流量控制业务21

5.2.2.1.流量整形策略的实施及验证21

5.2.2.2.DiffServ策略的实施及验证22

5.2.2.3.流量管理（Policing）策略的实施及验证22

5.2.3强制门户业务23

5.2.3.1.强制门户策略的实施及验证23

5.2.4Cache重定向业务23

5.2.4.1.Cache重定向业务的实施及验证23

5.2.5网络批发业务23

5.2.5.1.ISPcontexts23

5.2.6ISP选择业务24

5.2.6.1.基于域名的ISP选择业务的实施及验证24

5.2.7联机业务选择业务24

5.2.7.1.联机业务选择业务的实施及验证24

5.2.8VPN业务25

一，实施目标

实施Shasta5000在以太网环境中的宽带接入和增值服务功能，包括：

1，宽带接入功能：

∙PPPoE接入；

∙通过Shasta5000BSN本地认证；

∙通过RADIUSServer认证；

∙通过Shasta5000BSN本地计费；

∙通过RADIUSServer计费；

2，网络增值业务：

∙流量控制业务；

∙防火墙业务；

∙强制门户业务；

∙网络批发业务；

∙ISP选择业务；

∙联机业务选择业务；

∙VPN业务；

∙Cache重定向业务；

二，软硬件要求

2.1硬件

∙Shasta5000（实施多节点VPN需2台以上Shasta）

o1SFCcard（SwitchFabricCard）

o1SSCcard（ServiceSubscriberCard）

o1CMCcard（Control&ManagementCard）

o2GECard

o或18-portFECard

∙UnixstationrunningtheApachewebserver（实施服务选择时需要）

∙RADIUSserver（实施通过RadiusServer进行认证和计费时需要）。

我们推荐采用Presideradius或Cistron（http:

//www.miquels.cistron.nl/radius/）radius。

∙一些安装Windows9x/2k的PC（作为接入用户）。

2.2软件

∙Shasta软件

oBSN固件

oSCS服务器

oSCS客户端

∙可选的PPPoE客户端软件（NTS,WinPoet,…）

∙SnifferforEthernet

三，实施系统结构图

四，安装和配置

在硬件安装完成后，就可以进行软件的安装和业务的设置，需要一条Console线进行系统初始设置；

从SCS的角度看，DeviceOwner和一个或多个的ISP在逻辑上是独立的实体。

DeviceOwner负责配置设备的物理连接，以允许不同的ISP来管理该设备。

ISP负责设置IP接口，业务策略和接入用户。

4.1Shasta基本软件安装

SCS服务器的安装

请参阅‘SCS服务器和客户端安装指南’；

SCSclientinstallation

请参阅‘SCS服务器和客户端安装指南’；

Shasta初始配置

参照‘Shasta5000安装及初始配置指南‘进行初始配置，设置一个管理地址。

通常，可把该地址配置到管理以太网端口（mgmt-eth0）上。

这样，从SCS服务器，就可以pingShasta和SCS客户端。

4.2Device_owner配置

当连接建立后，用uername‘device_owner’和password‘do’登录到SCS客户端。

接着进行以下的配置：

增加Shasta设备

在设备窗口，增加Shasta5000节点，设置管理状态到UP。

ISP生成

在ISP图标下,加入所需的ISP。

用户配置

为了允许一个ISP用户登录到SCS服务器，必须至少在每个ISP中加入一个用户。

如下表所示：

ISP

Username

Profile

isp1

isp1admin

Isp_profile_and_device_owner

isp2

isp2admin

Isp_profile

Trunk连接

这里建立Shasta5000和ISP的主干间的连接。

在Connections图标下，为每个ISP配置一个Trunk;

Access连接

这里在Shasta5000和接入用户间建立连接。

在Connections图标下，为各个ISP配置一组PPP接入用户（Subscriber）。

4.3ISP配置

ISP配置是为了在ISP和Shasta5000间建立IP连接，同时为接入用户配置不同的接入策略和增值服务策略。

Trunk连接

这一步在Shasta5000和ISP核心路由器之间建立IP连接。

增加一个Trunk接口并把它赋予在前面DeviceOwner配置中生成的Trunk连接。

路由配置

在Trunk接口上配置路由协议。

如果没有路由协议需要采用，可配置一条静态路由。

接入策略配置

这里的所有配置都在‘AccessProperties’图标下进行。

增加一个Radiusprofile

该radiusprofile将被使用在Radius认证和计费的实施中。

把它命名为Radius1。

增加一个DHCPprofile

该dhcpprofile将被使用在通过DHCP服务器的接入用户IP地址获取中。

把它命名为Dhcp1

增加一个Accessgroup

我们在这里配置三个AccessGroup,每个accessgroup存放了不同的参数。

这些参数包含Radius，DHCP等profile.

Accessgroupname

Radiusserver

DHCPserver

DNSserver

Group1

-

-

DNSServerIP

Group2

Radius1

-

DNSServerIP

Group3

-

Dhcp1

DNSServerIP

在Group1的接入用户将

∙由Shasta进行身份认证

∙由Shasta从本地的IP地址池中发放IP地址

在Group2的接入用户将

∙由RadiusServer进行身份认证和计费

∙由Shasta从本地的IP地址池中发放IP地址

在Group3的接入用户将

∙由Shasta进行身份认证

∙由DHCP服务器发放IP地址

定义地址池（addresspools）

为各个用户组（group）定义一个地址池。

定义PPPoE隧道

在“AccessProperties”图标下,首先定义一个PPPoEconnectiontemplate。

采用系统默认选项。

接着生成一个PPPoE隧道并把它连接到：

∙接入连接（AccessConnection）

∙前面定义的connectiontemplate

业务策略配置

在添加接入用户前，建议ISP预先配置其将提供的业务策略框架（ServicePolicyprofile）。

下面定义的业务策略是本次实施的样板策略，可根据业务需要进行修改。

独立策略配置

安全策略

这里给出一个带有四条规则的样板安全策略（sec1）。

它防止任何FTP流量并记录任何FTP企图。

第四行只允许从一台管理工作站ping接入用户的地址。

最后一行丢弃所有其他数据包。

出口反欺诈（Egressanti-spoofing）

增加一个出口反欺诈策略（命名为espoof1）.该策略不可被编辑修改。

入口反欺诈（Ingressanti-spoofing）

增加一个入口反欺诈策略（命名为ispoof1）.该策略不可被编辑修改。

Diff-serv标记策略

增加一个带有4条规则的DiffServ策略（命名为diff1）。

这条策略将作用到从接入用户向外的数据流量，将根据下列规则设置Diff-serv编码：

-AF4

▪目标地址是Stock_exchange_server的Telnet流量

▪所有的ping

-AF3

▪H323流量

▪Realaudio

-AF1

▪HTTP

▪FTP

▪所有其他流量

流量整形策略

增加一个流量整形策略（命名为shaping1），包含四条规则。

这个策略将作用到进入到接入用户的数据流，将把telnet的优先级设置为最高，其次是http，最后是FTP。

在该策略中，telnet,http和ftp的流量是同时发生的,

-带宽的80%保留给telnet

-带宽的9%保留给http

-带宽的1%保留给ftp.

如果仅仅http和ftp流量是并发的，

-带宽的90%保留给http

-带宽的10%保留给ftp.

另外，FTP的流量速率被限制在512Kbits/s，并且一个会话的速率被限制在256Kbits/s

所有其他的流量被赋予了权重10。

Policing策略

增加一条流量管理（Policing）策略（命名为police1），它带有如下参数。

这条策略作用于从接入用户发出的流量，允许把不同的带宽赋予不同