H3C Bras解决方案建议书.docx

1、H3C Bras解决方案建议书H3C Bras解决方案建议书杭州华三通信技术有限公司Hangzhou H3C Technologies Co., Ltd.版权所有 XXAll rights reserved表目录图目录1组网方案说明在网络核心部署两台Bras设备，实现园区网用户的统一接入认证管理，两台Bras设备通过虚拟化技术IRF2虚拟化成逻辑上的一台设备，免去配置VRRP、BFD等繁琐的配置。用户侧汇聚交换仅通过链路捆绑上连至核心Bras设备，简化组网应用。传统的SR路由器承接Mobile、Business、IPTV等电信业务，BRAS作为宽带网络应用的接入网关，完成用户的认证和管理， M

2、SE（Multi Service Edge）设备集SR和BRAS功能于一身，提高运营商、园区网、校园网多业务边缘设备利用率、降低投资。提供丰富的用户接入认证手段，支持PPPoE、PPPoEoVLAN、PPPoEoQ以及PPPoEoA等，IPoE、Portal、L2TP VPN等。在园区网中，普通用户之间的横向访问较少，为了避免ARP病毒的泛滥，建议用户之间通过QinQ技术实现完全隔离，QinQ的终结统一集中在核心Bras上。1.1IRF技术优势简化管理。IRF形成之后，用户通过任意成员设备的任意端口均可以登录IRF系统，对IRF内所有成员设备进行统一管理。而不用物理连接到每台成员设备上分别对它

3、们进行配置和管理。简化网络运行。IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。IRF技术的这一特性是常见的集群技术所不具备的，后者仅仅能完成设备管理上的统一，而集群中的设备在网络中仍然分别作为独立节点运行。低成本：IRF技术是将一些较低端的设备虚拟成为一个相对高端的设备使用，从而具有高端设备的端口密度和带宽，以及低端设备的成本。比直接使用高端设备具有成本优势。强大的网络扩展能力。通过增加成员设备，可以轻松自如的扩展IRF系统的端口数、带宽和处理能力。保护用户

4、投资。由于具有强大的扩展能力，当用户进行网络升级时，不需要替换掉原有设备，只需要增加新设备既可。很好的保护了用户投资。高可靠性。IRF的高可靠性体现在多个方面，例如：成员设备之间IRF物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了IRF系统的可靠性；IRF系统由多台成员设备组成，Master设备负责IRF系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过IRF系统的业务不中断，从而实现了设备的1:N备份。IRF是网络可靠性保障的最优解决方案。高性能。

5、由于IRF系统是由多个支持IRF特性的单机设备虚拟化而成的，IRF系统的交换容量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此，IRF技术能够通过多个单机设备的虚拟化，轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。丰富的功能。IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交换机特性，并且能够高效稳定地运行这些功能，大大扩展了IRF设备的应用范围。广泛的产品支持。IRF技术作为一种通用的虚拟化技术，对不同形态产品的虚拟化一体化的实现，使用同一技术，同时支持盒式设备的虚拟化，以及框式分布式设备的虚拟化。1.2Q

6、inQ大二层技术QinQ技术（也称Stacked VLAN 或Double VLAN）是指将用户私网VLAN标签封装在公网VLAN标签中，使报文带着两层VLAN标签穿越运营商的骨干网络，在公网中只根据外层VLAN标签传播，私网VLAN标签被屏蔽，这样，不仅对数据流进行了区分，而且由于私网VLAN标签被透明传送，不同的用户VLAN标签可以重复使用，只需要外层VLAN标签的在公网上唯一即可，实际上也扩大了可利用的VLAN标签数量。当前灵活QinQ主要应用在运营商的接入网络中，在运营商网络中给接入用户分配一个VLAN，以达到便于问题追踪和防止不同用户间互访，用外层标签区分用户的应用；或在接入的环境中

7、用外层标签来区分不同的接入地点，用内外两层标签唯一标识出一个接入用户。在这样的应用中需要BRAS/SR设备支持QinQ的应用（能够终结双Tag）。下面我们看一下灵活QinQ的应用场景：在S9500上实施QinQ，并在S9500上进行业务分流，分流的方式是利用灵活QinQ功能，灵活QinQ分流的依据有下面几种： 1) 根据端口的VLAN区间分流：比如PC的VLAN范围11000，STB的VLAN范围10012000，网吧的VLAN范围20013000；2) 根据报文的协议号分流：比如PC采用PPPoE、STB采用IPoE，这些终端都通过一个VLAN上行，可以根据PPPoE和IPoE报文不同的协议

8、号作为QinQ的分流依据； 3) 根据报文的目标IP地址分流：对于相同源IP地址，相同报文封装不同的业务应用报文，比如PC上的SoftPhone产生的报文，需要根据报文目的IP地址实施灵活QinQ进行业务分流； 4) 根据QinQ的内层标签的区间，在某些级联交换机的组网模式中，下连的交换机已经实施了基于端口的QinQ，为了实现业务分流，可以根据QinQ的内层VLAN标签的区间实施灵活QinQ进行业务分流。 上述应用场景可以用图4来直观的加以描述： 灵活QinQ对多业务的识别标记2PORTAL认证Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称

9、为门户网站。它提供了一种较为简单的用户认证方法，对用户而言，相对其它认证方式更易于使用。它有两大特色： 免客户端只需要网页浏览器（如IE）支持，即可为用户提供认证服务，不需要安装专门的客户端或者拨号程序。免客户端软件对于像宾馆、酒店等公共网络节点，免客户端软件是一个基本要求。 新业务载体利用Portal认证的门户功能，运营商可以将小区广播、广告、信息查询、网上购物等业务放到Portal上。用户上网时会强制地看到上述信息。Portal认证的基本方式是通过在Portal页面的显著位置设置认证窗口，用户开机获取IP地址后，通过登录Portal认证页面进行认证，认证通过后即可访问Internet。对于

10、用户来说有两种方式访问认证页面： 主动Portal：用户必须知道PORTAL服务器的IP地址，主动登陆PORTAL服务器进行认证，之后才能访问网络。 强制Portal：未认证用户访问网址，都会先强制定向到PORTAL服务器进行认证，用户不需要记忆Portal服务器的IP地址。Portal业务可以为运营商提供方便的管理功能，基于其门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。2.1 PORTAL系统组成 认证客户端安装于用户终端的客户端系统，如运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机等。对接入终端的安全

11、性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。 接入设备（BAS）交换机、路由器等宽带接入设备的统称，主要有三方面的作用：在认证之前，将用户的所有HTTP请求都重定向到Portal服务器。在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。在认证通过后，允许用户访问被管理员授权的互联网资源。 Portal服务器接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。 认证/计费服务器与接入设备进行交互，完成对用户的认证和计费。以上四个基本要素的交互过

12、程为：1 未认证用户访问网络时，在Web浏览器地址栏中输入一个互联网的地址，那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上；2 用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器会将用户的认证信息传递给接入设备；3 然后接入设备再与认证/计费服务器通信进行认证和计费；4 认证通过后，则接入设备会打开用户与互联网的通路，允许用户访问被管理员授权的互联网资源。2.2Portal认证的实现机制2.2.1发起认证的方式虽然免客户端认证是Portal认证的一种主流方式，但在需要实现更安全灵活的功能的前提下，也可以采用客户端认证的方式进行认证，这两种方式

13、的认证流程大致如下：对于通过Web进行认证的用户（免客户端方式），采用对HTTP报文重定向的方式，接入设备对用户连接进行TCP仿冒和认证客户端建立TCP连接，然后将页面重定向到Portal服务器，而从实现向客户推出认证页面。用户通过在该页面登录将用户信息传递给了Portal服务器，随后Portal服务器通过PAP或CHAP的方式向接入设备传递用户信息。接入设备获取到用户信息后，将该信息通过AAA模块完成认证。对于使用客户端进行认证的用户，直接使用portal协议报文与portal-server进行交互，实现对客户端的相关控制和用户状态的实时上报。随后Portal服务器与接入设备交互，接入设备再

14、通过AAA模块完成认证。2.2.2用户保活机制用户通过WEB实现认证时，认证后在线窗口处于开打状态，并采用上层的http协议的get动作实现心跳机制，用户下线时需要在该页面上主动点击下线按钮触发下线动作，如果该页面或用户PC不正常关闭，可能导致用户在一定时间内无法手动下线，直到Portal服务器侧超时后，再触发下线动作，通知接入设备将用户下线。用户使用专用的客户端时，使用Portal握手报文来确认用户是否在线。对于客户端来说，4个心跳没有收到答复，就认为自己已经下线，重新发起认证；对于Portal服务器，在指定的时间内没有收到心跳报文，就认为用户下线，并通知接入设备将用户下线。2.2.3产品实

15、现原理产品对Portal的实现是基于ACL的，通过QACL模块来支持对用户报文的重定向以及限制用户可以使用的相关资源;通常我们把Portal使用的ACL分为4类(对于底层没有什么区别，主要是查找匹配的顺序)Type1：FreeIP规则，动作是permit(到Portal-Server的规则为第1个freeip)Type2：用户认证通过后添加的规则，动作是permitType3：用户网段重定向规则，对HTTP报文重定向到CPU(实现认证页面的推出)Type4：用户网段禁止规则，动作是denyPortal规则在端口上下发，排列需要有严格的顺序，匹配时按照Type1-4的顺序从前往后排列。如果在一个

16、端口上既有普通ACL规则（通过命令行配置的ACL）下发，又启用了portal，则portal所添加的规则会排列在普通ACL之后。2.3PORTAL协议框架Portal协议主要涉及Portal服务器（Portal Server）和接入设备（BAS），采用C/S结构，基于UDP。端口定义：PortalServer通过默认端口（50100）侦听BAS发来的报文；BAS通过端口2000侦听来自PortalServer的所有报文。2.4对EAD系统的支持通过EAD的系统中的安全策略服务器，Portal可以实现其扩展认证功能，实现基于客户端与安全策略服务器之间的交互来进行后续的安全检测功能。Portal对

17、EAD的支持需要用户在终端上安装专用的Portal客户端软件，用户在通过Portal认证后，安全策略服务器通过与Portal客户端、接入设备进行交互，完成对用户的安全认证。若对用户采用了安全策略，则用户的安全检测通过之后，安全策略服务器根据用户的安全策略，授权用户访问非受限资源。Portal在EAD系统中通过联动的机制主动的实施安全策略，联动的基本方式如下： 客户端与安全策略服务器联动1、客户端上线时Portal服务器会在Login-Response报文中携带EAD服务器的IP地址及端口号；2、用户上线后客户端和安全策略服务器进行交互，服务器下发检查策略，客户端按策略检查所在PC的安全情况，并

18、上报服务器；3、用户在线过程中客户端仍会定期上报安全情况，以适应动态检测(即EAD心跳)，安全检测使用的报文为UDP，通常端口号是9019(Server)/10102(Client)。 接入设备与安全策略服务器的联动 H3C对Radius协议进行了扩展，定义了Type20(Session-Control)，当用户上线后，通过该类型的Radius报文下发隔离ACL，等通过安全检查后，再下发安全ACL。2.5认证方式2.5.1认证方式分类不同的组网方式下，可采用不同的Portal认证方式。按照网络中实施Portal认证的网络层次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。 二

19、层认证方式二层认证方式支持在接入设备连接用户的二层端口上开启Portal认证功能，只允许源MAC地址通过认证的用户才能访问外部网络资源。目前，该认证方式仅支持本地Portal认证，即接入设备作为本地Portal服务器向用户提供Web认证服务。 三层认证方式三层认证方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和跨三层认证方式。直接认证方式和二次地址分配认证方式下，认证客户端必须通过二层直接连接到接入设备；跨三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备。直接认证用户在认证前通过

20、手工配置或DHCP直接获取一个IP地址，只能访问Portal服务器，以及设定的free IP地址；认证通过后即可访问网络资源。认证流程相对二次地址分配认证较为简单。二次地址分配认证用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后，用户会重新申请到一个公网IP地址，即可访问网络资源。该认证方式解决了IP地址规划和分配问题，对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。跨三层认证和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。对于以上三种认证方式，

21、IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的MAC地址，接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。2.5.2二层Portal认证过程(1) Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP地址，本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入

22、设备上一个与用户之间路由可达的三层接口IP地址（通常为Loopback接口IP）。(2) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互，对用户身份进行验证。(3) 如果RADIUS认证成功，则接入设备上的本地Portal服务器向客户端发送登录成功页面，通知客户端认证（上线）成功。2.5.3三层Portal认证过程直接认证和可跨三层Portal认证的流程直接认证/可跨三层Portal认证流程：(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTT

23、P报文，接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。(2) Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。(5) 接入

24、设备向Portal服务器发送认证应答报文。(6) Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。(7) Portal服务器向接入设备发送认证应答确认。(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。(9) 安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。步骤(8)、(9)为Portal认证扩展功能的交互过程二次地址分配认证方式的流程：二次地址分配认证流程：(1)(4)同直

25、接/可跨三层Portal认证中步骤(1)(4)。(5) 用户在接入设备上认证成功后，BAS向Portal-Server发送带有IP-Config属性的认证回应报文，指出用户需要更新IP地址。(6) Portal-Server再向客户端发送带有IP-Config属性的认证通过报文（Login-Response），要求客户程序释放再申请IP地址。(7) 客户端成功更新IP地址后，向Portal-Server报告更新IP地址成功。(8) Portal服务器通知接入设备客户端获得新公网IP地址。(9) 接入设备通过检测ARP协议报文检测到了用户IP变化，并通告Portal服务器已检测到用户IP变化。(

26、10) Portal服务器通知客户端上线成功。(11) Portal服务器向接入设备发送IP变化确认报文。(12) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。(13) 安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。步骤(12)、(13)为Portal认证扩展功能的交互过程PPPoE认证对于用户来说，PPPoE的优点如下：沿袭传统的拨号上网方式，依旧使用他们熟悉的硬件以及类似的软件进行Interne

27、t的接入。使用以太网网卡连接PC和xDSL Modem，允许多台PC同时共享xDSL线路，可以节约用户投资。对于网络维护者来说，PPPoE的优点如下：可以通过数字用户线、电缆调制解调器或无线连接等方式提供支持多用户的宽带接入服务。可以利用可靠和熟悉的技术来加速部署高速互联网业务，对现有网络部署影响小。可以通过访问控制功能对用户的身份进行确认，通过计费功能对用户进行计费，同时对用户的网络行为进行监控，保证了网络安全。终端用户可同时接入多个运营商，这种动态服务选择的功能可以使运营商容易创建和提供新的业务。3PPPoE技术实现方案3.1PPPoE组网结构PPPoE使用Client/Server模型，

28、PPPoE的客户端为PPPoE Client，PPPoE的服务器端为PPPoE Server。PPPoE Client向PPPoE Server发起连接请求，两者之间会话协商通过后，PPPoE Server向PPPoE Client提供接入控制、认证等功能。根据PPP会话的起止点所在位置的不同，有两种组网结构：l 第一种方式在设备之间建立PPP会话，所有主机通过同一个PPP会话传送数据，主机上不用安装PPPoE客户端拨号软件，一般是一个企业（公司）共用一个账号（图中PPPoE Client位于企业/公司内部，PPPoE Server是运营商的设备）。图1 PPPoE组网结构图1l 第二种部署方

29、式，PPP会话建立在Host和运营商的路由器之间，为每一个Host建立一个PPP会话，每个Host都是PPPoE Client，每个Host一个帐号，方便运营商对用户进行计费和控制。Host上必须安装PPPoE客户端拨号软件。图2 PPPoE组网结构图23.2PPPoE报文格式PPPoE报文的格式就是在以太网帧中携带PPP报文，如图3所示。图3 报文格式各个字段解释如下：l Destination_address域：一个以太网单播目的地址或者以太网广播地址（0xffffffff）。对于Discovery数据包来说，该域的值是单播或者广播地址，PPPoE Client寻找PPPoE Server

30、的过程使用广播地址，确认PPPoE Server后使用单播地址。对于Session阶段来说，该域必须是Discovery阶段已确定的通信对方的单播地址。l Source_address域：源设备的以太网MAC地址。l Ether_type：设置为0x8863（Discovery阶段或拆链阶段）或者0x8864（Session阶段）。l Ver域：4bits，PPPoE版本号，值为0x1。l Type域：4bits，PPPoE类型，值为0x1。l Code域：8bits，PPPoE报文类型。Code域为0x00，表示会话数据。Code域为0x09，表示PADI报文；Code域为0x07，表示PA

31、DO或PADT报文；Code域为0x19，表示PADR报文；Code域为0x65，表示PADS报文。报文的具体情况请参见附录部分。l Session_ID域：16bits，对于一个给定的PPP会话，该值是一个固定值，并且与以太网Source_address和Destination_address一起实际地定义了一个PPP会话。值0xffff为将来的使用保留，不允许使用。l Length域：16bits，定义PPPoE的Payload域长度。不包括以太网头部和PPPoE头部的长度。3.3PPPoE工作过程PPPoE的协商过程如图4所示：图4 PPPoE协商过程PPPoE可分为三个阶段，即Discovery阶段、Session阶段和Terminate阶段。3.3.1Discovery阶段Discovery阶段由四个过程组成。完成之后通信双方都会知道PPPoE的Sessio