有线城域网Shasta 5000宽带业务节点实施方案.docx

1、有线城域网Shasta 5000宽带业务节点实施方案 有线城域网Shasta 5000宽带业务节点实施方案目录一，实施目标 4二，软硬件要求 42.1 硬件 42.2 软件 5三，实施系统结构图 5四，安装和配置 54.1 Shasta 基本软件安装 6SCS 服务器的安装 6SCS client installation 6Shasta 初始配置 64.2 Device_owner 配置 6增加Shasta设备 6ISP 生成 7用户配置 7Trunk连接 7Access 连接 74.3 ISP 配置 7Trunk 连接 7路由配置 8接入策略配置 8增加一个 Radius profile

2、8增加一个 DHCP profile 8增加一个 Access group 8定义地址池（address pools） 9定义PPPoE 隧道 9业务策略配置 9独立策略配置 9五，实施内容 175.1，宽带接入功能实施 175.1.1 PPP over Ethernet access 175.1.2 身份认证 185.1.2.1 通过Shasta进行本地身份认证 185.1.2.2 通过 RADIUS server进行的身份认证. 185.1.3 计费 195.1.3.1 通过shasta进行本地计费 195.1.3.2 通过RADIUS server进行计费 195.1.4 日志(Logg

3、ing) 205.1.4.1. 安全日志 205.2，网络增值业务 205.2.1防火墙业务 205.2.1.1. 安全策略的实施及验证 205.2.1.2. 出口反欺诈(Egress Anti-spoofing)策略的实施及验证 215.2.1.3. 入口反欺诈(Ingress Anti-spoofing)策略的实施及验证 215.2.2流量控制业务 215.2.2.1. 流量整形策略的实施及验证 215.2.2.2. DiffServ 策略的实施及验证 225.2.2.3. 流量管理(Policing)策略的实施及验证 225.2.3强制门户业务 235.2.3.1. 强制门户策略的实施及

4、验证 235.2.4 Cache重定向业务 235.2.4.1. Cache重定向业务的实施及验证 235.2.5 网络批发业务 235.2.5.1. ISP contexts 235.2.6 ISP 选择业务 245.2.6.1. 基于域名的ISP选择业务的实施及验证 245.2.7 联机业务选择业务 245.2.7.1. 联机业务选择业务的实施及验证 245.2.8 VPN 业务 25一，实施目标实施Shasta 5000在以太网环境中的宽带接入和增值服务功能，包括：1，宽带接入功能： PPPoE接入； 通过Shasta 5000 BSN本地认证； 通过RADIUS Server认证； 通

5、过Shasta 5000 BSN本地计费； 通过RADIUS Server计费；2，网络增值业务： 流量控制业务； 防火墙业务； 强制门户业务； 网络批发业务； ISP选择业务； 联机业务选择业务； VPN业务； Cache重定向业务；二，软硬件要求2.1 硬件 Shasta 5000 (实施多节点VPN需2台以上Shasta) o 1 SFC card (Switch Fabric Card) o 1 SSC card (Service Subscriber Card)o 1 CMC card (Control & Management Card)o 2 GE Cardo 或1 8-port

6、 FE Card Unix station running the Apache web server (实施服务选择时需要) RADIUS server (实施通过Radius Server进行认证和计费时需要)。我们推荐采用 Preside radius 或 Cistron radius。 一些安装Windows 9x/2k 的PC(作为接入用户)。2.2 软件 Shasta 软件o BSN 固件 o SCS 服务器 o SCS 客户端 可选的 PPPoE 客户端软件 (NTS, WinPoet,) Sniffer for Ethernet 三，实施系统结构图四，安装和配置在硬件安装完成后

7、，就可以进行软件的安装和业务的设置，需要一条Console线进行系统初始设置；从SCS的角度看，Device Owner和一个或多个的ISP在逻辑上是独立的实体。Device Owner负责配置设备的物理连接，以允许不同的ISP来管理该设备。ISP负责设置IP接口，业务策略和接入用户。4.1 Shasta 基本软件安装SCS 服务器的安装请参阅 SCS 服务器和客户端安装指南；SCS client installation请参阅 SCS 服务器和客户端安装指南；Shasta 初始配置参照Shasta 5000安装及初始配置指南进行初始配置，设置一个管理地址。通常，可把该地址配置到管理以太网端口

8、（mgmt-eth0)上。这样，从SCS服务器，就可以ping Shasta 和 SCS客户端。4.2 Device_owner 配置当连接建立后，用uername device_owner和 password do登录到SCS客户端。接着进行以下的配置：增加Shasta设备在设备窗口，增加Shasta 5000 节点，设置管理状态到UP。 ISP 生成在ISP图标下, 加入所需的ISP。用户配置为了允许一个ISP用户登录到SCS服务器，必须至少在每个ISP中加入一个用户。 如下表所示：ISPUser nameProfileisp1isp1adminIsp_profile_and_device

9、_ownerisp2isp2adminIsp_profileTrunk连接这里建立Shasta 5000和ISP的主干间的连接。在Connections 图标下，为每个ISP配置一个Trunk;Access 连接这里在Shasta 5000和接入用户间建立连接。在Connections图标下，为各个ISP配置一组PPP 接入用户(Subscriber)。4.3 ISP 配置ISP配置是为了在ISP和Shasta 5000间建立IP 连接，同时为接入用户配置不同的接入策略和增值服务策略。Trunk 连接这一步在Shasta 5000和ISP核心路由器之间建立IP连接。增加一个Trunk接口并把它

10、赋予在前面Device Owner配置中生成的Trunk连接。路由配置在Trunk 接口上配置路由协议。如果没有路由协议需要采用，可配置一条静态路由。接入策略配置这里的所有配置都在Access Properties图标下进行。增加一个 Radius profile该radius profile 将被使用在 Radius 认证和计费的实施中。把它命名为Radius1。增加一个 DHCP profile该dhcp profile 将被使用在通过DHCP服务器的接入用户IP 地址获取中。把它命名为 Dhcp1增加一个 Access group我们在这里配置三个Access Group, 每个acce

11、ss group存放了不同的参数。这些参数包含Radius，DHCP等profile.Access group nameRadius serverDHCP serverDNS serverGroup1-DNS Server IPGroup2Radius1-DNS Server IPGroup3-Dhcp1 DNS Server IP在Group1的接入用户将 由Shasta 进行身份认证 由Shasta从本地的IP 地址池中发放IP地址在Group2的接入用户将 由Radius Server 进行身份认证和计费 由Shasta从本地的IP 地址池中发放IP地址在Group3的接入用户将 由Sh

12、asta 进行身份认证 由DHCP服务器发放IP地址定义地址池（address pools）为各个用户组（group）定义一个地址池。定义PPPoE 隧道 在“Access Properties”图标下, 首先定义一个 PPPoE connection template。 采用系统默认选项。接着生成一个 PPPoE 隧道并把它连接到： 接入连接(Access Connection) 前面定义的connection template业务策略配置在添加接入用户前，建议ISP预先配置其将提供的业务策略框架（Service Policy profile）。下面定义的业务策略是本次实施的样板策略，可根据

13、业务需要进行修改。独立策略配置安全策略 这里给出一个带有四条规则的样板安全策略 (sec1)。它防止任何FTP流量并记录任何FTP企图。第四行只允许从一台管理工作站ping接入用户的地址。最后一行丢弃所有其他数据包。出口反欺诈 (Egress anti-spoofing)增加一个出口反欺诈策略 (命名为espoof1). 该策略不可被编辑修改。入口反欺诈 (Ingress anti-spoofing)增加一个入口反欺诈策略 (命名为ispoof1). 该策略不可被编辑修改。Diff-serv 标记策略增加一个 带有4条规则的DiffServ 策略 (命名为diff1)。 这条策略将作用到从接入

14、用户向外的数据流量，将根据下列规则设置Diff-serv 编码：- AF4 目标地址是Stock_exchange_server的Telnet 流量 所有的ping- AF3 H323 流量 Realaudio- AF1 HTTP FTP 所有其他流量流量整形策略增加一个流量整形策略 (命名为shaping1)，包含四条规则。这个策略将作用到进入到接入用户的数据流，将把telnet的优先级设置为最高，其次是http，最后是FTP。在该策略中， telnet, http 和 ftp 的流量是同时发生的, - 带宽的80 % 保留给 telnet- 带宽的9 % 保留给 http- 带宽的1 %

15、保留给 ftp.如果仅仅http 和ftp 流量是并发的，- 带宽的90% 保留给 http- 带宽的10 % 保留给 ftp.另外，FTP的流量速率被限制在512Kbits/s，并且一个会话的速率被限制在256Kbits/s 所有其他的流量被赋予了权重10。Policing 策略增加一条流量管理(Policing)策略 (命名为 police1)，它带有如下参数。这条策略作用于从接入用户发出的流量，允许把不同的带宽赋予不同的保证转发组（AF）。强制门户策略增加一条强制门户策略(命名为captive1). 这条策略将允许所有的至一个特定的Web Server 地址HTTP请求。然而，如果用户试

16、图访问其他的服务器，该请求就会被捕获并且一个捕获页面会被发出。基于策略的转发这条策略将导致Shasta跳过其路由表，如下图所示，导致所有的FTP流量被发送到一个特定的IP地址，如Virus_Scanner.Web cache 重定向这条策略将导致所有的HTML 传输被重定向到Cache Server。IP计费这条策略将为每个接入用户生成4个容器（ buckets）。每个容器对应于一个Diff-serv AF 类。 五，实施内容5.1，宽带接入功能实施5.1.1 PPP over Ethernet access 实施项目通过PPPoE 的接入(使用 NTS or WinPoet软件)实施步骤 :

17、 使用已定义的ISP1的PPP 接入用户 定义该接入用户采用 local_authentication 把该接入用户定义为group1的成员 不为该接入用户添加IP 增值业务 使用一个PPPoE 客户端软件进行验证实施细则： Shasta的PPPoE配置 Win9X的PPPoE客户端软件安装 Shasta将从其本地地址池中发放一个IP地址 Shasta将为客户端指定一个DNS服务器 有一个选项可以在特定的时间后关闭PPP会话 我们应有和网络主干的完全的IP连接 可以采用FTP从主干上的FTP 服务器上下载文件来测试一下PPPoE的传输5.1.2 身份认证5.1.2.1 通过Shasta进行本地

18、身份认证实施项目通过Shasta进行本地身份认证实施步骤 : 使用已定义的ISP1的PPP 接入用户 定义该接入用户采用 local_authentication 把该接入用户定义为group1的成员 不为该接入用户添加IP 增值业务 使用一个PPPoE 客户端软件进行验证实施细则： 客户端和Shasta建立一个PPPoE会话，通过用户名和口令进行身份验证。可在PPP Profile中定义是采用CHAP或PAP。 Shasta在本地进行身份认证 Shasta将从其本地地址池中发放一个IP地址 Shasta将为客户端指定一个DNS服务器 我们应有和网络主干的完全的IP连接5.1.2.2 通过 R

19、ADIUS server进行的身份认证.实施项目通过 RADIUS server进行的身份认证实施步骤 : 使用已定义的ISP1的PPP 接入用户 定义该接入用户采用 RADIUS SERVER 把该接入用户定义为group1的成员 不为该接入用户添加IP 增值业务 使用一个PPPoE 客户端软件进行验证实施细则：Checklist: 在 RADIUS中定义用户帐号 客户端和Shasta建立一个PPPoE会话，通过用户名和口令进行身份验证。可在PPP Profile中定义是采用CHAP或PAP。 Shasta 把身份认证请求转发至指定的RADIUS server. RADIUS server

20、将完成身份认证，接入用户将被登录。 Shasta将从其本地地址池中发放一个IP地址 Shasta将为客户端指定一个DNS服务器 我们应有和网络主干的完全的IP连接5.1.3 计费5.1.3.1 通过shasta进行本地计费实施项目通过shasta进行本地计费实施步骤 : 使用已定义的ISP1的PPP 接入用户 定义该接入用户采用 local_authentication 把该接入用户定义为group1的成员 不为该接入用户添加IP 增值业务 使用一个PPPoE 客户端软件进行验证实施细则： 使用SCS，检查一下系统日志，可以看到会话的开始和结束，时间以及进出的字节数/数据包数。5.1.3.2

21、通过RADIUS server进行计费实施项目通过RADIUS server进行计费实施步骤 : 使用已定义的ISP1的PPP 接入用户 定义该接入用户采用 RADIUS SERVER 把该接入用户定义为group1的成员 不为该接入用户添加IP 增值业务 使用一个PPPoE 客户端软件进行验证实施细则： 在radius 的计费文件中, 检查一下，可以看到会话的开始和结束，时间以及进出的字节数/数据包数5.1.4 日志(Logging)5.1.4.1. 安全日志 实施项目安全日志实施步骤 :在一个PPP接入用户上使用安全策略实施细则： 在接入用户上产生HTTP流量。在SCS的日志中可以发现攻击

22、的流量的记录5.2，网络增值业务5.2.1防火墙业务5.2.1.1. 安全策略的实施及验证实施项目安全策略的实施及验证实施步骤 : 对一个接入用户赋予一个前面定义的安全策略实施细则： 试图从该接入用户向Internet发起一个HTTP会话。可以发现所有的流量都被丢弃和记录在日志里 从该接入用户向被允许的FTP服务器发起一个FTP请求，可以发现连接是正常的 从该接入用户向不被允许的FTP服务器发起一个FTP请求，可以发现连接是不正常的. 可以发现从接入用户发出的DNS解析的请求工作正常 可以发现只能从接入用户向Internet 发出Ping5.2.1.2. 出口反欺诈(Egress Anti-s

23、poofing)策略的实施及验证实施项目出口反欺诈(Egress Anti-spoofing)策略的实施及验证实施步骤 :对一个接入用户赋予一个前面定义的出口反欺诈策略实施细则： 使用接入用户的源地址从主干接口向接入用户传输数据，可以发现在接入用户端无流量被接收到。5.2.1.3. 入口反欺诈(Ingress Anti-spoofing)策略的实施及验证实施项目入口反欺诈(Ingress Anti-spoofing)策略验证实施步骤 :对一个接入用户赋予一个前面定义的入口反欺诈策略实施细则： 使用一个未被赋予的IP源地址从接入用户的PC传输数据到网络的主干，可以发现无数据在网络的主干被接收到。

24、5.2.2流量控制业务5.2.2.1. 流量整形策略的实施及验证实施项目流量整形策略的实施及验证实施步骤 : 把前面定义的流量整形策略赋予一个接入用户 设置连接的速率限制为1Mbits/s实施细则： 打开一个从主干到接入用户的FTP会话。 可以发现数据接收速率为256Kbits/s. 打开2个 FTP会话，可以发现传输速率现在是 512 Kbits/s. 使用HTTP 和FTP开始大文件的传输，可以发现HTTP文件的传输速率是FTP的10倍，并且总的带宽不超过 1 Meg/s 在其他传输还在进行时，起动一个telnet会话，可以发现该会化不被其他数据传输的影响5.2.2.2. DiffServ

25、 策略的实施及验证实施项目DiffServ 策略的实施及验证实施步骤 : 把前面定义的DiffServ策略赋予一个接入用户实施细则： 从接入用户端PC向“Stock_exchange_server”所指的主干节点发送Telnet 数据。在主干端使用协议分析仪，可以发现DS位被设置为 AF4-DP1. 发送ping 命令。在主干端使用协议分析仪，可以发现DS位被设置为 AF4-DP1 产生 H323 and Realaudio流量。可以发现DS位被设置为AF3-DP1. 产生 HTTP and FTP. 可以发现DS位被设置为AF1-DP1. 产生不在前面类别里的数据流量，可以发现DiffSer

26、v标记被清除了5.2.2.3. 流量管理(Policing)策略的实施及验证实施项目流量管理(Policing)策略的实施及验证实施步骤 : 把前面定义的Policing 及DiffServ策略赋予一个接入用户实施细则： 产生一个FTP传输，可以发现速率被限制在 128kbits/s 产生 ICMP 传输。可以发现速率被限制在5kbits/s5.2.3强制门户业务5.2.3.1. 强制门户策略的实施及验证实施项目强制门户策略的实施及验证实施步骤 :把前面定义的强制门户策略赋予一个接入用户实施细则： 试图访问某个WEB网站， 可以发现我们访问到了强制门户页面而非我们原来试图访问的页面。在下面的业

27、务选择业务的实施中我们可以发现更多的强制门户应用5.2.4 Cache重定向业务5.2.4.1. Cache重定向业务的实施及验证实施项目Cache重定向业务的实施及验证实施步骤 :把前面定义的Cache重定向策略赋予一个接入用户把两台Web 服务器设置为Cache实施细则： 可以发现从Shasta 来的HTTP请求都被发送到Cache Web服务器上了。 可以发现如果一台Cache 服务器当机后， 就会自动被从活跃Cache Web服务器的列表中去除。5.2.5 网络批发业务5.2.5.1. ISP contexts实施项目ISP Context 的实施及验证实施步骤 :实施细则： 可以发现

28、不同的ISP有独立的路由表 可以发现不同的ISP 可以有重叠的IP地址空间，而且不会产生问题5.2.6 ISP 选择业务5.2.6.1. 基于域名的ISP选择业务的实施及验证实施项目基于域名的ISP选择业务的实施及验证实施步骤 : 建立一个允许多个ISP的连接 建立一个允许多个ISP的连接模板 建立一个带有ISP1域名的接入用户模板 建立一个带有ISP2域名的接入用户模板 允许这两个接入用户模板被用来作ISP选择 选用一个PPP接入用户实施细则： 在同一个物理连接，以属于ISP1的接入用户和域名登录。可以发现登录成功并且被接入了ISP1的网络主干可以发现接入用户的IP 地址和DNS服务器地址等

29、参数都是从ISP1获取的。 在同一个物理连接，以属于ISP2的接入用户和域名登录。可以发现登录成功并且被接入了ISP2的网络主干可以发现接入用户的IP 地址和DNS服务器地址等参数都是从ISP2获取的。5.2.7 联机业务选择业务5.2.7.1. 联机业务选择业务的实施及验证实施项目联机业务选择业务的实施及验证实施步骤 : 以适当的Scripts设置强制门户Web Server 用前面定义的强制门户策略定义2个业务profile (基本和安全) 在安全业务profile上增加一个简单的安全策略(如：禁止Ping)实施细则： 可以发现一个新的用户可以通过Web界面进行自我业务提供 (可以自行选择服务级别) 可以发现一个已经登录的用户可以通过Web界面改变其业务级别。5.2.8 VPN 业务可以实现多项VPN业务，但由于VPN业务需要两台以上Shasta的支持，故本次实施暂不实现VPN业务。