ME60产品主打胶片技术支持.ppt

Network Transformation &QuidwayQuidway®® Multi-Service Engine Multi-Service Engine 2网络的转型网络的转型ME60架构介绍架构介绍ME60的主要特性的主要特性ME60的关键应用的关键应用ME60路标路标3当前网络业务的变化当前网络业务的变化难道难道IPIP网络提供商只是提供一个传输管道网络提供商只是提供一个传输管道? ? 如何保持可持续发如何保持可持续发展展? ?u 需求的变化需求的变化ü要求提供丰富的内容和区别服务，而不是简单的连接；ü增值业务对用户更为重要, 是新的业务营收来源；u 运营商的挑战运营商的挑战ü基于传统网络，难以在需要时提供种类繁多的增值业务，收入下降；ü一张IP网络提供所有的业务，但其带宽大部分被不带来收入的P2P流量消耗；u 网络转型的挑战网络转型的挑战ü传统IP网络只能提供单一的尽力而为的转发业务，增值业务、视频、IPTV、游戏、NGN和3G等业务之间没有资源隔离, 不能保证业务正常开展；ü网络的宽带业务价值链缺乏控制点，也缺乏有效的运营模型；ü“内容+网络”的融合在传统Internet网络上应用困难；4网络转型的方向网络转型的方向ü发展多业务承载网络，接入各类业务终端和传统网络的网关，提供数据、视频、语音和游戏等，避免为不同业务管理多张网络；ü通过高可靠性、高性能和QoS保证加强IP+MPLS核心网络；ü通过智能网络边缘关联承载层和业务层, 实现承载业务的感知、分类和策略执行，保证其QoS和强大的安全保障；ü发展可管理和可运营的网络，以降低CAPEX和OPEX；ü综合的BOSS解决方案、平台化的业务管理、快速相应和客户定制业务；转型方向：从传统的转型方向：从传统的IPIP网络转向运营级网络网络转向运营级网络. .5SGTG/AGPSTNPSTNSTPSTP3G RAN/GSM3G RAN/GSMSGSN/MGWIP/MPLS CoreATM/FRATM/FR边缘边缘核心核心 L3Metro NetworkCPESTBSGSGTG/AGPSTNPSTNSTPSTP3G RAN/GSM3G RAN/GSMSGSN/MGWATM/FRATM/FRNGN3GIP VPN边缘边缘接入接入 接入接入TDMü内容部署而不是提供连接或者管道ü从传统的IP网络转向运营级网络，强大的安全和可靠性必须得到保证；ü核心网络用于接入各种业务，通过MPLS VPN对各种业务进行逻辑隔离；ü网络平面化、更少的设备、高效率、更低的CAPEX/OPEXü网络边缘需要智能，感知网络承载的业务，业务可管理和可运营转型的全业务转型的全业务转型的全业务转型的全业务IPIP网络网络网络网络SGL3Metro NetworkCPESTB业务汇聚业务汇聚 业务管理业务管理 策略控制策略控制……业务汇聚业务汇聚业务管理业务管理策略控制策略控制……6边缘网络必须具备很多功能边缘网络必须具备很多功能…MPLS L3 PE VPN Internet router 带宽管理带宽管理策略执行策略执行BRASQoSIPSec /PPP终结终结防火墙防火墙家庭网关家庭网关管理管理Address Translate (v4/6)深度报文检测深度报文检测 GGSN 会话边界控制器会话边界控制器Martini / PWE3 FR/ATM VPLS / Ethernet switch基础设施基础设施管道管道认证认证业务和管理业务和管理POS/SDH Triple Play业务批发业务批发Carrier Ethernet TDM7Soft switchCPESTBAccess NetworkDPIDPI：深度报文检测：深度报文检测IP/ MPLS CoreSBCSBCBRASBRASVPN GatewayVPN GatewayRouterRouter应用业务应用业务•设备的简单叠加不能满足多业务网络的需求设备的简单叠加不能满足多业务网络的需求; ;•不能提供特定用户的、特定业务的区分服务不能提供特定用户的、特定业务的区分服务; ;•对于各种发布恶意攻击的设备不易管理对于各种发布恶意攻击的设备不易管理; ;•来自不同厂商的不同设备不易管理来自不同厂商的不同设备不易管理; ;•大量设备需要设备间、电力供应的更大花费大量设备需要设备间、电力供应的更大花费; ;Security ControlSecurity Control由于不能区分用户, 因此不能应用统一的管理策略。

由于不能区分业务和用户, 因此不能将数据导入到对应的子网发现恶意攻击, 但在哪里阻塞该攻击?当前网络的问题当前网络的问题8MSCG：：Multi-service Control Gateway华为的边缘网络架构华为的边缘网络架构MSCGAccessIP Corel 核心网络规模大核心网络规模大, 但功能上简单边缘网络需要但功能上简单边缘网络需要安全控制安全控制;l 核心网络承载多业务核心网络承载多业务, 需要边缘设备进行业务识需要边缘设备进行业务识别别/业务流区分业务流区分;l 为了合理使用核心网络资源为了合理使用核心网络资源, 边缘需要实施资源边缘需要实施资源控制和调度控制和调度(CAC, Call Admission Control);l 统一的用户管理是必须的统一的用户管理是必须的;l 难以在各种接入模式上实现统一的资源控制难以在各种接入模式上实现统一的资源控制;l 在接入网实施安全控制代价大在接入网实施安全控制代价大;l 在接入设备上支持在接入设备上支持QoS代价大代价大;l 通过关联业务层和承载层实现统一资通过关联业务层和承载层实现统一资源控制源控制(CAC)l 基于用户级别业务流的管理、安全控基于用户级别业务流的管理、安全控制和制和QoS控制控制l 业务识别、区分和代理业务识别、区分和代理l 多业务汇聚多业务汇聚, 以简化网络结构以简化网络结构Ø 单个设备提供所有业务并处理单个设备提供所有业务并处理, 包括包括MPLS VPN/VPLS/VLL/PWE3提供企业客户业务提供企业客户业务, BRAS提供提供Triple Play业务，防火墙提供安全业务，业务，防火墙提供安全业务，SBC提供提供NGN信令和媒体流代理，信令和媒体流代理，DPI用于业务用于业务/协议识别和控制协议识别和控制… Ø 所有用户接入基于商业策略控制所有用户接入基于商业策略控制, 包括安全、包括安全、QoS和帐户和帐户, 而不是基于而不是基于IP地址；地址；9网络的转型网络的转型ME60架构介绍架构介绍ME60的主要特性的主要特性ME60的关键应用的关键应用ME60路标路标10ME 60DPISecurity ControlEdge Routerl MPLSMPLS用于商业用于商业IP:IP:l MPLS L2/L3VPN MPLS L2/L3VPN用于企业网用于企业网l MPLS VPLSMPLS VPLS用于用于Metro EthernetMetro Ethernetl MPLS TE MPLS TE用于运营级业务和网络资源管理用于运营级业务和网络资源管理l PWE3PWE3用于用于ATM/FRATM/FR网络迁移网络迁移l 流量管理流量管理:l 基于策略的基于策略的DPIl 业务感知的策略控制业务感知的策略控制l 安全安全:l 防止各种攻击和资源滥用防止各种攻击和资源滥用l 终端、网络和业务的安全终端、网络和业务的安全l ASPF：：Application-Specific Packet Filterl 宽带宽带IP业务业务:l 为终端和用户接入认证和授权为终端和用户接入认证和授权l 动态业务选择动态业务选择(DSS, Dynamic Service Selection)l 业务计费业务计费Customer Management DPIDPISBCl VoIP业务业务:l SBC: Session Border Controllerl 信令和媒体代理信令和媒体代理l 组织对组织对NGN网络的攻击和滥用网络的攻击和滥用多业务引擎多业务引擎: ME60 MSCGØ现有网络中用户管理、安全控制和业务控制的功能分布在不同设备上现有网络中用户管理、安全控制和业务控制的功能分布在不同设备上 – 非常不利于运营级的管理。

非常不利于运营级的管理Ø通过集成如上功能模块到单个设备中，通过集成如上功能模块到单个设备中，ME60实现了统一的管理和控制实现了统一的管理和控制, 这是基于用户和业务的这是基于用户和业务的Ø通过为运营级业务如通过为运营级业务如3G/NGN等提供基础平台等提供基础平台, 减少了减少了CAPEX和和OPEX11ME60系列系列: ME60-16和和ME60-8ME60-16ME60-8交换容量交换容量: 640Gbps业务槽位业务槽位:16/8端口端口(每槽位每槽位): 24XGE(电口电口, 可适应可适应FE)10XGE(电口、光口电口、光口SFP) 10GE10G POS4X2.5G POS 冗余冗余: 交换网交换网控制单元控制单元电源电源风扇系统风扇系统扩展能力扩展能力: ME60-16和和ME60-8主控板和交换网主控板和交换网不混用不混用, 业务板可以混用业务板可以混用, 无槽位限制无槽位限制.备注备注:ME60-16在在V100R001支持支持, 而而ME60-8在在V100R002支持支持.12ME60 MSCGME60-16系统容量系统容量交换容量交换容量640Gbps，接口容量，接口容量320Gbps转发性能转发性能240Mpps(10GE线速线速)端口密度端口密度16 × 10Gbps系统结构系统结构标准机箱，带标准机箱，带LCD状态显示状态显示双主控热备份；网板双主控热备份；网板1+3冗余备份；电源、冗余备份；电源、风扇风扇1+1热备份热备份系统可靠性系统可靠性99.999％％VRPinsideIPv6ReadyReadyME60系列系列:ME60-16和和ME60-8备注备注: ME60-8的业务槽位、接口容量均为的业务槽位、接口容量均为ME60-16的的1/2, 在在V100R002支持支持.13ME60结构及槽位结构及槽位LCD显示插槽机框风扇框电源框LPU板：最多16块MPU板：2块，主备冗余SFU板：4块，1+3冗余Ø16个业务槽位，每槽位具有个业务槽位，每槽位具有1或或4×10G的接口容量的接口容量Ø4块交换网板，块交换网板，1+3冗余。

每网板提供冗余每网板提供160G交换容量，交换容量，加速比超过加速比超过2，保证任何情况下的无阻塞交换，保证任何情况下的无阻塞交换ØLPU可以是可以是BSU、、ESU、、TSU或或SSU14数据转发平面数据转发平面LPU监控监控 LPU监控监控SFU控制控制 交换网交换网 LPU控制控制MPUESUSFULPU转发转发TSUME60系统架构系统架构SSUBSULPU监控监控LPU监控监控LPU控制控制LPU控制控制LPU控制控制LPU控制控制系统监控系统监控系统控制系统控制LPU转发转发LPU转发转发监控平面监控平面控制平面控制平面通过如下保证高性能和高可靠性通过如下保证高性能和高可靠性:n分布式架构分布式架构;n多平面设计多平面设计, 信令处理和数据转发分离信令处理和数据转发分离;n业务可扩展业务可扩展, 比如防火墙和比如防火墙和DPI通过负荷分担分布到多个业务处理单板上通过负荷分担分布到多个业务处理单板上[1];[1] 目前版本只支持主备, 不支持负荷分担.15ME60产品硬件体系结构产品硬件体系结构16ME60交换网结构（交换网结构（7021））17ME60交换网处理流程交换网处理流程CIOQ的的3级交换网络结构级交换网络结构: SM-Crossbar-SM构成大容量、具备自路由和构成大容量、具备自路由和QoS能力的交换网络能力的交换网络中央中央Crossbar提提供大容量交叉连接供大容量交叉连接能力，支持仲裁能力，支持仲裁共享缓存交共享缓存交换网络换网络(SM)18ME60主机硬件模块系统主控模块MPU管理通信模块MCX同步时钟模块SYN线路时钟模块CLKMPU成品板线路处理模块LPU交换网适配模块FAD物理接口模块PICLPU成品板交换矩阵模块SFUSFU成品板高速串行背板BKP背板成品板19背板背板BKPA方案方案20单板单板单板单板MPUAMPUA（（（（7447A+643607447A+64360）方案）方案）方案）方案•核心控制模块：核心控制模块：•CPU：：MPC7447•N.B.：：MV64360•DDR SDRAM：：2GB•BOOT ROM：：1MB•FLASH ROM：：32MB•NVRAM：：512KB•CF CARD：：512MB•对外串口：对外串口：2•对外网口：对外网口：2•管理通道模块：管理通道模块：•24FE＋＋2GE•同步时钟模块：同步时钟模块：•21路路40M LVPECL•线路时钟模块：线路时钟模块：•16路路38.88M LVPECL•16路路8k LVTTL21单板单板SFUA（（SD566）方案）方案•核心控制模块：核心控制模块：•CPU：：MPC852T•SDRAM：：64MB•BOOT ROM：：8MB•FLASH ROM：：8MB•串口：串口：2•网口：网口：2•业务交换模块：业务交换模块：•SD566：：4(目前只有目前只有1路路)•同步时钟模块：同步时钟模块：•2路路40M时钟选择时钟选择22LPU线卡硬件方案线卡硬件方案(ESU/TSU)注意：图中所列10G FRAMER实际上应该处于物理接口板PIC上LPUA ＋＋ FADB23LPU线卡硬件方案线卡硬件方案(BSU/SSU/SBC)Framer及FPGA280028007447系统Ingress 587Egress 587FIC567RLDRAMRLDRAM RDRAMDDRRDRAMQDRQDRPICLPUEFADBTCAM扣板ZBus 16bitSPI4.2SPI4.2FramerFPGA89TTM552DDRSPI4.2SPI4.2SPI4.2业务接口89TTM553QDRQDRZBus 32bit与LPUA的连接器DeviceBusCPU interface监控模块CBus时钟及电源模块BSU在在ESU的基础上进行了增强的基础上进行了增强:1.2800的表项缓存扩大一倍；的表项缓存扩大一倍；2.2800的报文缓存扩大一倍；的报文缓存扩大一倍；3.CP的内存扩大一倍；的内存扩大一倍；4.增加下行增加下行TM处理模块；处理模块；5.SSU以以BSU为基础，但去掉了为基础，但去掉了TM处理模块；处理模块；SBC单板与单板与SSU物物理上是一样，只是软件不同；理上是一样，只是软件不同；24ME60主要单板主要单板单板单板含义含义备注备注版本版本MPU主控板,完成系统的管理和控制平面的多数功能ME60-8主控板V1R2提供.V1R1SFU交换网（ME60-16四块, ME60-8两块, 另外两块在两个SRU上），分SFUA和SFUB两种ME60-16ME60-16和和ME60-8ME60-8的交的交换网板大小不一样换网板大小不一样V1R1BKPA系统无源背板, 为各系统单元提供数据和控制通道的互连V1R1BSU宽带业务单元, 提供用户接入和各种VPN业务业务全集V1R1目前提供10*GE接口, V1R2可能提供10GE和24*GE接口ESU企业业务单元, 提供路由和各类VPN业务不提供用户接入V1R1提供10*GE、1*10G、10G POS、4*2.5G POS接口具体光模块请参见配置手册TSU隧道业务单元, 提供GRE和LNS/LTS隧道相关的业务V1R1SSU安全业务单元, 提供状态防火墙和NAT/ALG功能只支持热备份, 不支持负荷分担V1R1SBC会话控制单元, 提供SBC功能只支持热备份, 不支持负荷分担V1R2低速接口单板通过兼容Rainier单板实现各类低速接口，如FE、ATM等V1R3实现V1R325ME60软件系统架构软件系统架构26ME60系统软件模块框图系统软件模块框图27VRP平台框架结构平台框架结构28网络的转型网络的转型ME60架构介绍架构介绍ME60的主要特性的主要特性ME60的关键应用的关键应用ME60路标路标29ME60关键特点关键特点Ø增强的业务控制平面，极为灵活的用户管理和业务管理能力增强的业务控制平面，极为灵活的用户管理和业务管理能力(比如比如DSS，，Firewall，，SBC，，DPI等等)；；Ø 分布式分布式DPI: 层次化的层次化的DPI部署方案部署方案, SSU和外置专用和外置专用DPI设备配合设备配合, 平衡功能和性能平衡功能和性能, 解决解决了外置了外置DPI设备转发性能的不足；设备转发性能的不足；[R003功能功能]Ø采用业界领先的网络处理器和分布式处理架构，获得持续的业务升级能力和突出的处理性能；采用业界领先的网络处理器和分布式处理架构，获得持续的业务升级能力和突出的处理性能；Ø可以根据需要对各功能模块进行灵活的组合和扩展；可以根据需要对各功能模块进行灵活的组合和扩展；Ø采用采用2.56T背板，交换容量达到背板，交换容量达到640G，接口容量达到，接口容量达到320G，可扩展性强；，可扩展性强；Ø高性能的业务处理板高性能的业务处理板, BSU和和SSU均采用均采用10G平台平台;30ME60主要业务特性主要业务特性-1nIPüIPv4/IPv6双栈双栈, IPv4地址转换和地址转换和IPv6过渡方案过渡方案ü路由协议路由协议: Static, RIP/RIPng, OSPFv2/v3, IS-IS, BGP/BGP+/MP-BGPü路由表：路由表：1.5M(BGP4)nMPLSüLDP, CR-LDP, RSVPüMPLS OAMüMPLS TEnMulticastü协议：协议：IGMP, PIM-DM/SM, MBGP, MSDPü组播方案组播方案: PPPoE组播组播, MVLAN, 接口接口, 可控组播可控组播ü性能性能: 8K(S, G)/槽位槽位, 8K份份/(S,G), 最大复制最大复制32K份份/槽位槽位nVPNü三层三层VPN: BGP/MPLS VPN, 1K VRFü二层二层VPN: VPWS(支持支持Martini和和Kompella草案草案)üVPLS: BGP或或LDP 信令信令, H-VPLS, 4K VSIü组播组播VPN：在：在MPLS L3VPN里面提供组播业务里面提供组播业务31ME60业务特性业务特性-2n宽带接入宽带接入ü用户接入用户接入: xDSL, Ethernet, WLAN, HFC. IPv4 and IPv4/IPv6双栈接入双栈接入ü接入和认证：接入和认证： PPP、、DHCP Option、、WEB、、AAAü授权：授权：bandwidth, ACL, Priority, Routing Policy, DSS动态业务选择动态业务选择ü安全安全: 通过通过VLAN和和VPN隔离用户隔离用户, 绑定检查绑定检查ü用户用户/会话：会话： 12k/槽位槽位, 整机整机96küVLAN: 整机整机512k, 32k/槽位槽位, 4k vlan/端口端口; 64k QinQ/端口端口üPVC: 整机整机512k, 128k/槽位槽位, 64k pvc/端口端口;[R003才支持才支持ATM]ü专线专线: 4k基于物理端口的专线基于物理端口的专线, vlan/pvc或或PPP拨号拨号üISP/用户域用户域: 1küVPN: 接入用户可映射到接入用户可映射到MPLS L3VPN, 用于多用于多ISP业务批发业务批发nVPDNü功能功能: LAC/LNS/LTSü隧道隧道: 8K/单板单板, 16K整机整机ü会话会话: 12K/单板单板, 96K整机整机32ME60业务特性业务特性-3n 业务特性业务特性üDSS: 动态业务选择动态业务选择, 与与Portal、策略服务器一起为提供灵活、多样的定制业务、策略服务器一起为提供灵活、多样的定制业务每用户支持每用户支持16个增值业务、个增值业务、16条业务流条业务流每单板支持每单板支持32K增值业务、增值业务、32K业务流业务流整机支持整机支持256K增值业务、增值业务、256K业务流业务流üSIG: 与与SIG配合配合, 实现网络的安全控制实现网络的安全控制 n 安全安全üNAT/NAT ALGüNAT地址池地址池: 128个地址池个地址池 (地址空间地址空间: 128地址池地址池*255个地址个地址) ü状态防火墙状态防火墙: VPN感知、可基于用户域决定是否做防火墙感知、可基于用户域决定是否做防火墙ü会话会话: 2M会话会话(两个方向计算两个方向计算)ü会话建立速度会话建立速度 : 150Kpps(业界领先业界领先)ü安全区安全区: 128üHA:防火墙热备份，主防火墙热备份，主SSU失效可切换到备失效可切换到备SSU，业务不中断；，业务不中断；üDPI：：P2P流量检测和管理流量检测和管理(BT、、eMule、、eDonkey)；；33n SBCü支持支持NGN信令流和媒体流代理功能；信令流和媒体流代理功能；ü支持支持SIP/MGCP/H248/H323代理；代理；ü支持支持RTP/RTCP流的代理转发功能；流的代理转发功能；üIAD可以在一级可以在一级/多级多级NAT后；后； 支持接入多个支持接入多个NAT后的私网，不同私网间地址可重叠；后的私网，不同私网间地址可重叠；支持支持NAT后终端与非后终端与非NAT后终端混合组网；后终端混合组网；ü主备用主备用SBC热备份，注册用户不掉线；热备份，注册用户不掉线；n IPTVü支持各种用户标识方式支持各种用户标识方式: 包括包括VBAS、、DHCP Option 82、、PPPoE+等等ü组播组播: 基于基于PPP会话、会话、VLAN、组播、组播VLAN或接口的组播或接口的组播ü基于用户和位置的组播权限列表控制（可控组播）基于用户和位置的组播权限列表控制（可控组播）ü组播流的优先级调度和整形组播流的优先级调度和整形n Triple Playü支持支持DHCP Option 82和和Option60ü支持终端的隔离和绑定检查支持终端的隔离和绑定检查ü支持不同业务的优先级调度支持不同业务的优先级调度ME60ME60业务特性业务特性业务特性业务特性-4-434n QoS能力能力ü强大的简单流分类能力强大的简单流分类能力ü灵活的复杂流分类，支持接口灵活的复杂流分类，支持接口ACL和用户和用户ACLüRemark üMeterüCARü功能强大的功能强大的WREDn层次化调度层次化调度ü256K流队列流队列, 5级调度业界第一的级调度业界第一的TM调度能力调度能力ü基于基于SP/WRR、、WFQ、、RR的调度的调度, 提供严格的资源保证和灵活的业务模式提供严格的资源保证和灵活的业务模式ü基于用户的业务流调度基于用户的业务流调度ü调度采用专用调度采用专用TM ASIC完成完成, 不影响转发性能不影响转发性能nLicense增强功能增强功能üV1R2对对License进行了细化和增强，可以对进行了细化和增强，可以对VPDN功能、接入用户功能和用户数、功能、接入用户功能和用户数、防火墙功能、防火墙功能、IPTV可控组播功能、可控组播功能、SSG功能和业务数等通过功能和业务数等通过License进行控制；进行控制；ME60ME60业务特性业务特性业务特性业务特性-5-535n HAü关键部件冗余关键部件冗余主控板、交换网、风扇、电源等关键部件提供冗余备份能力主控板、交换网、风扇、电源等关键部件提供冗余备份能力, 无单点故障无单点故障üGraceful Restart和和NSF支持各类路由协议和支持各类路由协议和VPN应用的应用的Graceful Restart, 主备倒换不需要重新学习路由主备倒换不需要重新学习路由üFRR和和LSP支持快速重路由和支持快速重路由和LSP的备份的备份, 为链路失效和节点失效提供保护为链路失效和节点失效提供保护üOAM、、BFD支持支持MPLS OAM和和BFD，在数据平面快速检测和倒换，在数据平面快速检测和倒换, 保证业务不中断保证业务不中断üVRRP、、ASSP通过通过VRRP和和ASSP, 为双归入接入和上行提供很好的保护能力为双归入接入和上行提供很好的保护能力üTrunk通过以太网通过以太网Trunk和和IP Trunk, 增加带宽并提高可靠性增加带宽并提高可靠性ü环网接入环网接入支持支持STP和和RRPP协议协议(RRPP透传透传V1R3支持支持)透传功能透传功能, 为环网接入提供了保证，有为环网接入提供了保证，有效提高业务可靠性效提高业务可靠性ME60ME60业务特性业务特性业务特性业务特性-6-636网络的转型网络的转型ME60架构介绍架构介绍ME60的主要特性的主要特性ME60的关键应用的关键应用ME60路标路标37Ø用户按域管理用户按域管理ü域可以理解为具有某种共同业务属性的用户群或者某种业务终端域可以理解为具有某种共同业务属性的用户群或者某种业务终端ü用户认证时，选择相应的域，按所选择的域来控制其业务用户认证时，选择相应的域，按所选择的域来控制其业务Ø按域实施控制策略按域实施控制策略ü认证计费策略：是否需要认证、计费，计费服务器故障后的计费策略认证计费策略：是否需要认证、计费，计费服务器故障后的计费策略ü带宽控制参数带宽控制参数ü访问权限访问权限ü用户优先级、用户优先级、DSCP/802.1pDSCP/802.1p等等QoSQoS参数参数ü路由策略，用户业务流分流路由策略，用户业务流分流Ø按域部署按域部署/ /分配网络资源分配网络资源ü按域部署按域部署 DHCP ServerDHCP Server、、Radius ServerRadius Server、地址资源、地址资源用户管理：管理用户的策略用户管理：管理用户的策略域可以用来对用户分群、业务终端分类域可以用来对用户分群、业务终端分类38用户管理：标识并定位用户的方法－PUPVØPUPV：：Per User Per VLAN，离用户最近的，离用户最近的L2 或或 DSLAM 为用户标记为用户标记 VLAN IDØ用户标识：用户标识：帐号＋接入位置（帐号＋接入位置（BAS设备＋槽位＋端口＋设备＋槽位＋端口＋VLAN）＋用户终端标识（）＋用户终端标识（IP、、MAC地地址）址）Ø用户安全性用户安全性：：通过通过VLAN 隔离，防隔离，防DHCP、、ARP、、PPPoE欺骗，防欺骗，防IP 地址盗用地址盗用Ø私接用户防止：私接用户防止：一个物理位置接入用户数限制一个物理位置接入用户数限制Ø帐号安全性：帐号安全性：用户帐号和指定端口绑定用户帐号和指定端口绑定Ø网络攻击定位：网络攻击定位：每个用户的接入位置唯一，对网络的恶意攻击不可抵赖每个用户的接入位置唯一，对网络的恶意攻击不可抵赖ME60ME60LanSwitchLanSwitchVLAN1VLAN1VLAN2VLAN2PVC1PVC1PVC2PVC2PORT1PORT1PORT2PORT2PORT1PORT1+VLAN1+VLAN1PORT1PORT1+VLAN2+VLAN2PORT2PORT2+VLAN1+VLAN1PORT2PORT2+VLAN2+VLAN2ME60ME6039用户管理：对标识用户的扩展技术用户管理：对标识用户的扩展技术PUPV方式方式PPPOE+方式方式PPPOE+VBAS方式方式VBASDHCP Option 82Vlan Stackvlanvlan vlanvlan1vlan2PPPOEDHCP Op82DHCPME60ME6041用户管理：接入认证用户管理：接入认证nPPP拨号认证拨号认证ØPPPoE、、PPPoEoA、、PPPoA 拨号拨号Ø本地地址池、本地地址池、Radius Server、、DHCP Server分配地址分配地址Ø强推强推Portal 门户门户n802.1x认证认证Ø支持支持WLAN用户的用户的EAP-MD5认证和认证和EAP-SIM认证认证nWeb认证认证Ø 强制强制WEB认证，强推认证，强推Portal门户门户Ø 认证后二次地址分配认证后二次地址分配n端口绑定认证端口绑定认证Ø用户开机，无须输入用户名和密码，用户开机，无须输入用户名和密码，5200/8850 根据接入端口位置自动认证根据接入端口位置自动认证Ø费用计入该端口对应的帐号费用计入该端口对应的帐号n快速快速WEB认证认证Ø端口绑定认证和端口绑定认证和 WEB认证结合，无需输入用户名和密码，只需点击认证结合，无需输入用户名和密码，只需点击“确认确认”按按钮钮n认证方式灵活性认证方式灵活性Ø同时支持同时支持PPP、、 802.1X、、 WEB、端口绑定认证，每个端口可以指定某种或某、端口绑定认证，每个端口可以指定某种或某几种认证方式几种认证方式动态地址用户动态地址用户静态地址用户静态地址用户PPP拨号用户拨号用户802.1x拨号用户拨号用户42用户管理：用户业务授权Ø带宽控制：带宽控制：通过通过CAR实现基于用户帐号的带宽控制实现基于用户帐号的带宽控制Ø访问权限：访问权限：支持基于用户分群的访问权限控制－－支持基于用户分群的访问权限控制－－UCL（（User based ACL）），而不是传统路由器的基于地址段的，而不是传统路由器的基于地址段的ACLØ互访权限：互访权限：支持基于用户分群的互访权限控制支持基于用户分群的互访权限控制ØQoS优先级：优先级：区分用户服务，区分用户服务，DSCP 和和 802.1pØ组播权限：组播权限：对用户组播权限控制，使组播业务可控对用户组播权限控制，使组播业务可控Ø策略路由：策略路由：指定上行端口（下一跳）、指定上行端口（下一跳）、VLAN、隧道、隧道Ø动态授权：动态授权：用户在接入过程中，根据业务需要修改用户权限，包括带宽、用户在接入过程中，根据业务需要修改用户权限，包括带宽、访问权限、访问权限、QoS等等当某个属性没有下发时，将按用户所在域的属性执行当某个属性没有下发时，将按用户所在域的属性执行43Ø实时计费，提供时长、流量计费信息实时计费，提供时长、流量计费信息Ø两级计费，运营商和代理运营商结算对帐两级计费，运营商和代理运营商结算对帐ØØ按时长、流量计费按时长、流量计费按时长、流量计费按时长、流量计费ØØ区分接入方式：区分接入方式：区分接入方式：区分接入方式：EthEth、、、、ADSLADSL、、、、WLANWLANØØ区分带宽区分带宽区分带宽区分带宽ØØ基于以上元素的各种灵活的资费策略基于以上元素的各种灵活的资费策略基于以上元素的各种灵活的资费策略基于以上元素的各种灵活的资费策略ØØ多种支付手段多种支付手段多种支付手段多种支付手段Ø按月结算按月结算Ø可充值预付费卡可充值预付费卡Ø一次性预付费卡一次性预付费卡用户管理：用户计费用户管理：用户计费44IP骨干网骨干网ME60ME60L2L2L2L2防用户流失防用户流失防资费流失、纠纷防资费流失、纠纷用户管理：防止私接和资费流失合法包月用户合法包月用户合法包月用户合法包月用户计时用户计时用户计时用户计时用户计时用户计时用户计时用户计时用户APAPWLANWLAN用户用户用户用户DSLAMDSLAM防高成本建设防高成本建设低资费收入低资费收入案例案例2 2：：三个同事申请一个包月帐号和两个计时三个同事申请一个包月帐号和两个计时帐号，共享包月帐号上网帐号，共享包月帐号上网案例案例3 3：：计时帐号被盗用后，发生资费纠纷计时帐号被盗用后，发生资费纠纷案例案例1：： 以个人用户开通宽带，申以个人用户开通宽带，申请一个包月账号，通过请一个包月账号，通过 proxy 或或带有带有NAT 的的 RTU 经营网吧业务经营网吧业务案例案例4 4：：WLANWLAN接入，用接入，用ADSLADSL帐号认证付费帐号认证付费黑市网吧除了黑市网吧除了“转转正正”已别无选择！已别无选择！Ø限制限制 VLAN 下接入用户数下接入用户数Ø带宽带宽 CARØ限制连接建立速度限制连接建立速度Ø监控统计每月的流量监控统计每月的流量45动态业务选择动态业务选择用户用户用户用户业务选择业务选择业务选择业务选择PortalPortalCoreVODInternetGaming业务选择服务器业务选择服务器业务选择服务器业务选择服务器3 3rdrd party BRAS party BRASRadiusRadius服务器服务器服务器服务器infoX SSSinfoX SSSCOPSCOPSRadiusRadiusHTTPHTTPSPSPME60ME60Radius ProxyRadius Proxyn 动态业务选择动态业务选择ü 通过通过COPS开放策略下发动态业务开放策略下发动态业务ü 与与DSS结合结合, 实现层次化实现层次化QoS调度和调度和CAC46L3IADVoIPGWPSTNISUPSoft switchAAAServerMetro NetworkIP/ MPLS CoreADSLCPESTBSmartAX MA53001. 发起呼叫MSCGMSCG2. 申请资源6. 高品质的VoIP呼叫RM9000作为接入RM, RM9000获取接入网的拓扑. 通过配置、从MSCG动态更新拓扑信息, 或者通过H.248/DIAMETER接口从AMS动态更新拓扑信息。

3. 端到端的资源申请成功, 发送业务控制策略给MSCGMSCG通过配置或者从拓扑发现协议比如HGMP/L2CM等获取接入网的拓扑信息4. 资源申请成功或失败消息返回给SoftX5. 针对拓扑和业务优先级的层次化调度, 比如高质量VoIP流可以抢占低优先级的Internet上网业务.Triple PlayTriple Play业务和按需业务和按需业务和按需业务和按需QoS - VoIPQoS - VoIP•基于基于CAC和带宽预留和带宽预留, 通过层次化队列调度通过层次化队列调度, MSCG可以为可以为IPTV和和VoIP业务提供运营级的业务提供运营级的QoS保证47获取拓扑和资源信息, 通过配置或者从MSCG动态更新或者从AMS通过H.248/ DIAMETER接口更新IADAAAServerMetro NetworkIP/ MPLS CoreADSLCPESTBSmartAX MA5300Video HeadendMPEG Encoder中间件中间件Edge Server (VoD)Edge Server (VoD)1. STB发送VoD请求给中间件2. 中间件接收业务请求, 通过SOAP或diameter发送业务请求给RM90006. MSCG执行策略和为选择的VoD节目保证QoSMSCGMSCGInternetTriple Play业务和按需业务和按需QoS - IPTVRM90003. RM9000检查可获得的资源, 如果有, 则下发业务策略给MSCG, 包括流信息、带宽和优先级等. 4. CAC成功消息返回给中间件5. 激活•基于基于CAC和带宽预留和带宽预留, 通过层次化队列调度通过层次化队列调度, MSCG可以为可以为IPTV和和VoIP业务提供运营级的业务提供运营级的QoS保证。

保证48L3AAA serverMetro NetworkIP/ MPLS CoreRMRM和策略服务器和策略服务器MSCGPortalPortal服务器服务器Internet用户用户用户用户ISP1ISP20. 使用缺省带宽访问ISP11. 用户通过Portal申请需要的带宽2. 申请带宽资源3. 发送用户带宽参数6. 对新的带宽计费5. 通过选择的带宽访问ISP24. 用户带宽调整MSCGMSCG•MSCG根据用户带宽请求调整带宽•基于带宽调整的计费QoS应用应用: Bandwidth On Demand49DoSDoS流量流量P2PP2P核心网络核心网络核心网络核心网络不可信、不安全不可信、不安全ZoneZone可信、安全可信、安全ZoneZone业务隔离接入网络接入网络接入网络接入网络IP/MPLS Core IP/MPLS Core Soft switchWormWormVoDVoDVoIPVoIPMSCGMSCG安全应用安全应用: 加强网络安全加强网络安全ü对终端和业务的接入认证对终端和业务的接入认证;ü对相同终端的不同业务隔离对相同终端的不同业务隔离; 对不同终端的业务隔离对不同终端的业务隔离;ü基于策略的防火墙基于策略的防火墙, 阻止阻止DoS攻击攻击;50L3VoIP AGPBXSoft switchMetro NetworkIP/ MPLS CoreMSCGMSCGInternetIADOpenEyeIP Call CenterFirewallBilling and OSS媒体流信令流安全：安全：QoS：： 安全安全: Session Border Controller企业•媒体流可以穿越防火墙, 而不需要替换NAT/FW和改变网络拓扑.NAT/防火墙穿越：防火墙穿越：•对信令流和媒体流优先处理•对媒体流进行QoS调度和保证•基于用户业务的安全控制•屏蔽IAD, 软终端和不信任的AG•阻止DoS攻击•保护软交换设备51安全安全: 全面的安全控制全面的安全控制¨ 用户级的安全用户级的安全¨ 对终端认证和授权对终端认证和授权¨ 对仿冒终端的识别和隔离对仿冒终端的识别和隔离¨ 对终端的隔离和控制对终端的隔离和控制, 避免终端之间直接互通避免终端之间直接互通¨ 网络层安全网络层安全¨ 业界领先的业界领先的10G平台内置防火墙平台内置防火墙¨ VPN资源隔离资源隔离¨ 协议层安全协议层安全: 包括协议的包括协议的MD5认证等认证等¨ SSH接入接入¨ 应用层安全应用层安全¨ 层次化层次化DPI¨ 防火墙：防火墙：VPN感知、终端感知、用户感知感知、终端感知、用户感知, ASPF, 2M会话会话/单板单板¨ SBC：安全：安全+CAC+QoS, 5万以上注册用户万以上注册用户, 5千以上并发呼叫千以上并发呼叫, BHCA超过超过512K52业务批发解决方案业务批发解决方案-1L3IADDHCP serverMetro NetworkIP/MPLSADSL/ADSL2+ADSLCPESTBME60EncoderiManager N2000VPN tunnelNSPResidential ISPL2LNSME6053业务批发解决方案业务批发解决方案-254Layer 3 VPN: BGP/MPLS VPNMPLS网络网络MP－－BGPUPESPEUPEPEPEMPLS网络网络VPN2 site2VPN1 site1VPN2 site3VPN1 site3VPN1 site2VPN2 site2PE-ASBRPE-ASBR能力能力nVRF:1KnVRF route table: 1M n用户接入用户接入 : Ethernet/VLAN/Tunnel/PPPoE层次化层次化PE使得使得VPN应用更为广泛应用更为广泛, 扩展能力更强扩展能力更强.将将PPP、、DHCP接入用户映射到接入用户映射到MPLS VPN, 实现实现ISP业务批发业务批发.VPN Manager systemPE-CE路由协议路由协议: static, BGP, RIP, OSPFVRF-to-VRF,MP-EBGP,MP-Multihop EBGPMPLS VPN over GRE55MPLS网络网络VPN2VPN2MPLS隧道(LSP)MPLS隧道(LSP)MPLS隧道(LSP)VPN1VPN1VPN1VPN1VPN1VPN1VPN2VPN2VPN2VPN2MP-BGP or LDP: VC LablePEnLayer 2 VPNüCCC & SVC: 1000 VCüMartini Layer 2 VPNüKompella Layer 2 VPN üIP InterworkingnMartiniüProtocols: LDPüVirtual Circuit: 10KüInterface: 20KnKompellaüProtocols: MP-BGPüVPN: 500üRT: 16üCE: 250/VPNLayer 2 VPN: Martini & KompellaPEPE56L2TP VPDNCarrierAAA ServerInternetME60ME60LNS组组ME60LNS组组LACLACü LAC/LNS/LTSü 8K Tunnels per slot, 16K per chassisü 12K sessions per slot（（LAC））ü 32K sessions per slot（（LNS））ü 96K sessions per chassisü L2tp persistent tunnelü sessions can be mapped to MPLS layer 3 VPN57ME60的的NSF过渡过渡: 恢复过程恢复过程58ME60的的MPLS TE59ME60的的MPLS FRR保护方式保护方式: 链路保护和节点保护链路保护和节点保护60VPLS应用应用61HGMetro Ethernet的的NPENE40E－1S8505－1S8505－2S6505－1S6505－2DSLAM－3DSLAM－2RPRBTVCX300-1CX300-2CX200-1CX300-2RPRRRPPDSLAM－1IP CoreS6505－3S6505－4SoftX AAAME60-2ME60-1S8505-3S8505-462网络的转型网络的转型ME60架构介绍架构介绍ME60的主要特性的主要特性ME60的关键应用的关键应用ME60路标路标63V100R001ü系统能力： ME60-16： 640Gbps交换容量, 10Gbps线卡, 16个业务槽位；ü单板种类：BSU, ESU, TSU, SSU；ü接口卡类型：1*10GE, 1*10G POS, 4*2.5G POS, 10*GE；ü路由协议：BGP/BGP+ for IPv6, OSPF v2/v3, IS-IS/IS-ISv6, RIP/RIPng, 静态；ü组播：IPv4 PIM-DM/SM, MBGP, MSDP, IGMPv1/v2, 组播复制到会话/VLAN/ MVLAN；üMPLS：LDP,CR-LDP,RSVP, MPLS FRR；üL2VPN：Martini/Kompella, CCC, SVC, IP-Interworking；üL3VPN： BGP/MPLS L3VPN(VRF:1K), 接入用户映射到VPN；üVPDN： L2TP LAC/LNS/LTS(单板16K、整机128K会话)；üBRAS： PPP, DHCP(单板16K，整机128K用户), AAA, COPS, 强制Portal；üSSG：COPS, Radius策略, 单板64K；ü安全: 状态防火墙, NAT/NAPT；üQoS: 五级调度(4业务流/用户), DiffServ, Classifier, Meter, CAR, Shaping；üIPv6: IPv6路由协议, IPv6 ND接入, IPv6 PPPoE；üHA: MPLS OAM, 用户热备份, STP透传；特性特性V100R002ü系统能力： ME60-8：640Gbps交换容量, 10Gbps线卡, 8个业务槽位；ü单板种类：SBC；ü接口卡类型：24*GE BSU,1*10G BSU；ü路由协议：ECMP 16；ü组播：IGMPv3, PIM-SSM, 可控组播；üVPLS：Martini/Kompella, 4K VSI, H-VPLS；üL3VPN：组播VPN；üVPDN： LAC单板12K, 整机96K; LNS单板32K, 整机96K；üBRAS： 单板12K，整机96K用户；üSSG：单板32K业务,整机256K；ü安全: 防火墙热备份, P2P检测与监管；üSBC: NGN信令和媒体代理, NAT/FW穿越, 媒体流绕转, SBC注册用户备份等;üQoS: 8业务流/用户, 组播业务QoS调度；üTrunk：Ethernet、POS，跨板Trunk(网络侧）；üHA: Trunk, BFD, GR(OSPFv2、IS-IS、BGP、LDP)；üLicense：接入用户、SSG、VPDN、可控组播、防火墙等；V100R003ü单板种类：通用BSU线卡（层次化调度不限定接口卡类型），GE RPR；ü接口卡类型：155M/622M ATM, GE RPR, 155M/622M POS；üRRPP：透传模式；üRPR：路由模式、桥接模式（VPLS）、用户接入、业务优先级；üPWE3：静态、LDP、RSVP信令；PW交换；IP-Interworking；PW保护与倒换；ü安全：基于用户的P2P流量监管üBRAS： 端口热备份、动态VLAN接入、PPPoA转PPPoE、域名位置可配置、L2TP断线原因；üHA：端口备份、RRPP透传；BFD for VRRP；试验局时间试验局时间(TR5)2005年年12月月2006年年4月月2006年年10月月ME60ME60路标路标64ME60与与MA5200G主要对比主要对比-1Ø相同点相同点ME60继承继承MA5200G的的BRAS特性，包括各类接入认证、特性，包括各类接入认证、SSG、组播、组播复制复制Ø不同点不同点硬件平台不同，硬件平台不同，5200G采用采用NE40平台，平台，ME60采用采用8090平台。

因此平台因此ME60转发能力强于转发能力强于MA5200G, ME60支持支持16*10G端口容量端口容量, 而而MA5200G只支只支持持8*4G端口容量端口容量;软件平台不同，软件平台不同， 5200G目前版本还采用目前版本还采用VRPv3平台平台, ME60已经采用已经采用VRPv5平台平台, 路由特性路由特性/能力方面能力方面ME60强强, 如路由表容量增加、支持如路由表容量增加、支持GR等等ME60的业务能力更丰富的业务能力更丰富, 包括防火墙、包括防火墙、SBC、、Mac-in-Mac等功能等功能ME60采用业界领先的采用业界领先的TM作作H-QoS, H-QoS能力更强能力更强65ME60与与MA5200G主要对比主要对比-2Ø相对相对MA5200G, ME60目前存在如下不足目前存在如下不足ME60目前接口种类少目前接口种类少, 需要到需要到R003才能全面支持各类接口才能全面支持各类接口与与MA5200G相比相比, ME60的单板成本相对偏高的单板成本相对偏高ME60目前只支持目前只支持-8和和-16两种规格两种规格, 而而MA5200G支持支持-2/-4等小规格等小规格;ME60目前应用还比较少目前应用还比较少Ø后续发展后续发展软件方面软件方面, MA5200G和和ME60后续统一版本后续统一版本, 支持特性基本相同支持特性基本相同;硬件方面硬件方面, ME60在在V100R003版本兼容版本兼容MA5200G单板单板;市场定位方面市场定位方面, ME60和和MA5200G形成系列形成系列;66ME60与与NE40e主要差别主要差别Ø相同点相同点ME60和和NE40e都可以作为都可以作为PEØ不同点不同点ME60侧重业务和用户管理侧重业务和用户管理, 具备防火墙、具备防火墙、SBC、用户接入、、用户接入、GRE、、L2TP、、SSG等等NE40e不具备的功能不具备的功能;ME60不支持不支持NE40e的二层特性的二层特性, 但提供但提供VPLS、、L2VPN业务业务;ME60目前还不支持目前还不支持588单板；单板；ME60的兼容的兼容Rainier板比板比NE40e稍晚稍晚;67缩略语缩略语缩略语缩略语含义含义备注备注ASPFApplication Specific Packet Filter应用层包过滤BoDBandwidth on Demand按需带宽分配CACCall Admission Control呼叫接入控制CAPEXCAPital EXpenditure投资成本DoSDenial of Service“拒绝服务”攻击DPIDeep Packet Inspection深度报文分析DSSDynamic Service Selection动态业务选择ECMPEqual Cost MultiPath等价多路径GRGraceful Restart完美重启LACL2TP Access Concentrator二层隧道协议接入集中器LNSL2TP Network ServerL2TP网络服务器LTSL2TP Tunnel SwitchL2TP隧道交换MSCGMultiService Control Gateway多业务控制网关NSFNon-Stop Forwarding不停顿转发OPEXOPerational EXpenditure运营成本RRPPRapid Ring Protection Protocol快速环保护协议SBCSession Border Controller会话边界控制器68THANK YOU!THANK YOU!THANK YOU!。