智能業(yè)務(wù)網(wǎng)關(guān)MA5200G的業(yè)務(wù)功能

　　Quidway MA5200G是一種面向數(shù)萬接入終端的智能業(yè)務(wù)網(wǎng)關(guān)，它采用大容量無阻塞交換、分布式硬件轉(zhuǎn)發(fā)技術(shù)，具有電信級(jí)可靠性、線速轉(zhuǎn)發(fā)性能、完整的QoS機(jī)制和豐富的業(yè)務(wù)處理能力等特點(diǎn)，滿足寬帶城域網(wǎng)接入各種IP業(yè)務(wù)終端、承載多種業(yè)務(wù)的需求。MA5200G系列的三款產(chǎn)品在業(yè)務(wù)功能上完全相同，所不同的只是業(yè)務(wù)板數(shù)量、接入用戶終端數(shù)和交換容量等性能規(guī)格，運(yùn)營(yíng)商可根據(jù)網(wǎng)絡(luò)工程的容量選擇相應(yīng)的設(shè)備，適應(yīng)網(wǎng)絡(luò)規(guī)模對(duì)接入服務(wù)器的需求，對(duì)用戶終端提供接入服務(wù)、安全控制和業(yè)務(wù)控制。

　　MA5200G具備強(qiáng)大的邊緣路由器功能，支持各種接入認(rèn)證，可管理各類業(yè)務(wù)終端，對(duì)業(yè)務(wù)進(jìn)行精細(xì)控制，為電信級(jí)業(yè)務(wù)提供QoS保證，開展多種增值業(yè)務(wù)。

　　一、接入認(rèn)證

　　MA5200G支持用戶終端通過以太網(wǎng)、xDSL、HFC、WLAN等方式接入，支持VLAN、PVC二層透?jìng)骱蚉VC/VLAN之間的二層橋接業(yè)務(wù)，可為專線接入用戶提供靈活的企業(yè)互聯(lián)能力。MA5200G支持端口綁定、PPP撥號(hào)、Web、快速Web、802.1x等多種認(rèn)證方式，同一端口可同時(shí)支持PPP撥號(hào)、Web、快速Web等認(rèn)證方式，也可限定為某種或某幾種認(rèn)證方式。對(duì)于各類終端，可根據(jù)業(yè)務(wù)特點(diǎn)選用相應(yīng)的認(rèn)證方式，如IPSTB機(jī)頂盒采用PPPoE撥號(hào)認(rèn)證方式、PC采用Web認(rèn)證方式。

　　•端口綁定認(rèn)證

　　小區(qū)、酒店客房等寬帶用戶一般都是通過固定端口＋VLAN/PVC接入的，為了方便使用，用戶可以配置為DHCP動(dòng)態(tài)地址分配或配置一個(gè)合法的靜態(tài)地址，用戶接入時(shí)無需輸入用戶名和密碼，MA5200G在檢測(cè)到用戶開機(jī)后，以端口＋VLAN/PVC作為用戶標(biāo)志，向Radius服務(wù)器發(fā)起認(rèn)證請(qǐng)求，對(duì)于已開通寬帶業(yè)務(wù)的合法端口＋VLAN/PVC，允許用戶以相應(yīng)的業(yè)務(wù)權(quán)限接入網(wǎng)絡(luò)，并開始按時(shí)長(zhǎng)或流量進(jìn)行計(jì)費(fèi)。

　　•PPP撥號(hào)認(rèn)證

　　MA5200G對(duì)以太網(wǎng)用戶或IPDSLAM的ADSL用戶提供標(biāo)準(zhǔn)的PPPoE撥號(hào)認(rèn)證，對(duì)ATMDSLAM的ADSL用戶提供PPPoA、PPPoEoA撥號(hào)認(rèn)證。

　　•Web認(rèn)證

　　MA5200G提供的Web認(rèn)證方式消除了對(duì)客戶端撥號(hào)軟件的依賴，可有效地實(shí)現(xiàn)對(duì)Portal多業(yè)務(wù)選擇的支持，彌補(bǔ)了PPPoE撥號(hào)認(rèn)證方式的不足（大數(shù)據(jù)包分片、PPPoE報(bào)文封裝開銷）。MA5200G支持強(qiáng)制Web認(rèn)證方式，非常適合于酒店、學(xué)校等流動(dòng)性場(chǎng)所。

　　•快速Web認(rèn)證

　　為了方便由固定端口接入的小區(qū)或酒店客房等用戶，MA5200G提供了快速Web認(rèn)證功能，在強(qiáng)制Web認(rèn)證時(shí)用戶不用輸入用戶名和密碼，只要接入確認(rèn)即可。快速Web認(rèn)證功能具有端口綁定認(rèn)證方式的便利性，又可防止用戶的誤消費(fèi)，還可實(shí)現(xiàn)Portal門戶業(yè)務(wù)。

　　•802.1x認(rèn)證

　　MA5200G支持標(biāo)準(zhǔn)的802.1x認(rèn)證流程，支持EAPoRadius、EAPMD5兩種認(rèn)證方式。

　　為了保證同臺(tái)設(shè)備同時(shí)接入各類用戶終端，以不同的認(rèn)證方式接入，MA5200G端口可同時(shí)支持上面的各種認(rèn)證方式，用戶接入終端可任選認(rèn)證方式。運(yùn)營(yíng)商可根據(jù)終端的業(yè)務(wù)特點(diǎn)和應(yīng)用場(chǎng)景，將要支持的認(rèn)證方式設(shè)置到設(shè)備端口上。

　　二、地址管理

　　MA5200G允許用戶終端通過靜態(tài)配置地址或者動(dòng)態(tài)獲取地址的方式接入網(wǎng)絡(luò)。對(duì)于配置靜態(tài)地址的用戶終端，可實(shí)施IP地址和端口＋VLAN/PVC＋MAC地址的綁定，防止IP地址被非法盜用。對(duì)于動(dòng)態(tài)獲取地址的用戶終端，MA5200G通過DHCPRelay為用戶終端從外部DHCPServer動(dòng)態(tài)分配地址，也可直接從內(nèi)置DHCPServer中分配地址。通過短租期或客戶端方式，支持DHCP用戶在Web認(rèn)證后從所選的ISP地址池中重新分配地址（二次地址分配），保證在ISP業(yè)務(wù)批發(fā)的過程中，所有的接入用戶都可使用本ISP地址。對(duì)于PPP撥號(hào)用戶終端，可通過AAA服務(wù)器直接為終端分配地址，也可根據(jù)終端接入認(rèn)證時(shí)所帶的ISP域名，從相應(yīng)的ISP地址池中分配地址，還可以為PPP撥號(hào)終端作DHCP代理，從外部DHCP服務(wù)器申請(qǐng)地址，具有DHCPProxy功能，與DHCP終端一起從外部DHCPServer分配地址，運(yùn)營(yíng)商可非常方便地根據(jù)業(yè)務(wù)需要統(tǒng)一規(guī)劃地址。

　　在分配地址的過程中，MA5200G可根據(jù)接入終端所在的域名從相應(yīng)的地址池中分配地址，域名可以理解為具有某種共同屬性的用戶群，也可理解為某種終端的某類業(yè)務(wù)，因此可根據(jù)用戶分群和業(yè)務(wù)類型規(guī)劃地址。整機(jī)支持4k個(gè)地址池，每個(gè)地址池支持8個(gè)地址段，每個(gè)地址段支持1024個(gè)IP地址，整機(jī)可為所有接入終端提供96k個(gè)IP地址。

　　三、計(jì)費(fèi)策略

　　MA5200G可實(shí)時(shí)采集用戶終端的計(jì)費(fèi)信息，包括時(shí)長(zhǎng)和流量，計(jì)費(fèi)信息包含時(shí)長(zhǎng)、上/下行流量、接入方式（Ethernet、WLAN、HFC、xDSL），支持包月、包月＋其它、計(jì)時(shí)卡、跳檔制、時(shí)間段折扣、累計(jì)折扣等資費(fèi)策略，并可根據(jù)終端的業(yè)務(wù)類型決定終端采用不計(jì)費(fèi)、后付費(fèi)或預(yù)付費(fèi)等資費(fèi)策略。如VoIP終端呼叫在業(yè)務(wù)層收費(fèi)，不收接入費(fèi)，而PC的Internet業(yè)務(wù)需收取接入費(fèi)。對(duì)于預(yù)付費(fèi)業(yè)務(wù)，支持基于時(shí)長(zhǎng)和基于流量的付費(fèi)方式，與AAA服務(wù)器配合還可實(shí)現(xiàn)基于時(shí)長(zhǎng)和流量的綜合預(yù)付費(fèi)方式，并支持費(fèi)率切換和折扣功能，可根據(jù)接入方式采用不同的費(fèi)率。

　　MA5200G支持二級(jí)計(jì)費(fèi)，同時(shí)向兩臺(tái)Radius計(jì)費(fèi)服務(wù)器上送計(jì)費(fèi)信息，以便酒店等大型客戶進(jìn)行二次運(yùn)營(yíng)，網(wǎng)絡(luò)運(yùn)營(yíng)商與酒店之間進(jìn)行業(yè)務(wù)收入結(jié)算。

　　對(duì)于遠(yuǎn)程Radius計(jì)費(fèi)，MA5200G提供計(jì)費(fèi)保護(hù)機(jī)制，通過Radius服務(wù)器的冗余備份、握手和重發(fā)等機(jī)制，保證鏈路故障時(shí)不丟失話單、不產(chǎn)生錯(cuò)誤話單。MA5200G支持1k個(gè)Radius服務(wù)器組，每個(gè)組可包括8臺(tái)Radius服務(wù)器，可按照用戶終端的認(rèn)證域選擇相應(yīng)的Radius服務(wù)器組，不同用戶群或者不同業(yè)務(wù)終端可在不同Radius服務(wù)器上認(rèn)證計(jì)費(fèi)。當(dāng)遠(yuǎn)端計(jì)費(fèi)服務(wù)器不能計(jì)費(fèi)時(shí)，可將話單保存在本地，當(dāng)計(jì)費(fèi)服務(wù)器恢復(fù)正常后，再將計(jì)費(fèi)信息上傳到計(jì)費(fèi)服務(wù)器，確保計(jì)費(fèi)的準(zhǔn)確性和可靠性。

　　四、業(yè)務(wù)控制

　　MA5200G可通過Radius授權(quán)或者根據(jù)用戶終端的認(rèn)證域?qū)τ脩艚K端的業(yè)務(wù)權(quán)限進(jìn)行控制，包括帶寬限制、訪問權(quán)限控制、互訪權(quán)限控制、QoS屬性控制和策略路由等。

　　MA5200G可對(duì)接入終端的帶寬進(jìn)行控制，防止用戶終端無償侵占網(wǎng)絡(luò)帶寬，帶寬控制范圍為64kbps～1Gbps，帶寬粒度為64kbps。在對(duì)用戶終端的帶寬進(jìn)行控制的同時(shí)，還可區(qū)分終端的業(yè)務(wù)類型，進(jìn)行獨(dú)立的帶寬控制。

　　MA5200G可基于用戶分組實(shí)施業(yè)務(wù)控制策略。MA5200G整機(jī)支持1k個(gè)用戶組，每個(gè)用戶組施加相應(yīng)的訪問控制規(guī)則，訪問規(guī)則標(biāo)示用戶可以訪問或禁止訪問的目的地或業(yè)務(wù)類型，這種控制權(quán)限可以設(shè)置生效的時(shí)間段，按時(shí)間段控制用戶的業(yè)務(wù)權(quán)限。用戶分組是基于域來實(shí)現(xiàn)的，因此基于用戶分組實(shí)施業(yè)務(wù)控制，實(shí)際上就是針對(duì)具有相同業(yè)務(wù)權(quán)限的用戶群或某類業(yè)務(wù)終端實(shí)施相同的訪問權(quán)限。由于用戶終端的IP地址采用動(dòng)態(tài)分配方式，因此MA5200G對(duì)用戶終端的權(quán)限控制不同于路由器基于ACL的5元組控制。如果基于5元組控制，則不同的域要預(yù)留不同的地址池資源，為了使寬帶用戶和IP終端可按照業(yè)務(wù)動(dòng)態(tài)接入寬帶網(wǎng)絡(luò)，并按照IP地址控制用戶和終端的業(yè)務(wù)權(quán)限，需要大量的地址資源。MA5200G基于用戶域的用戶分組控制用戶和終端的訪問權(quán)限，對(duì)用戶和終端權(quán)限的控制不用關(guān)心終端所分配的地址，不同域的用戶或不同業(yè)務(wù)類型的終端，可從同一地址池中分配地址，但仍可實(shí)施不同的業(yè)務(wù)控制策略，這種方法大大節(jié)省了地址資源。

　　MA5200G除可對(duì)每個(gè)用戶或終端實(shí)施訪問控制外，還可將用戶或終端分為不同的互訪控制群Inter Group，控制Inter Group內(nèi)部用戶的互訪權(quán)限和Inter Group用戶群之間的互訪權(quán)限，由此判斷同一用戶群或同類業(yè)務(wù)終端內(nèi)部之間能否互訪、不同用戶群或不同類型的業(yè)務(wù)終端之間能否互訪，保證用戶及各類業(yè)務(wù)終端的安全。

　　在取得用戶和終端業(yè)務(wù)的控制權(quán)限后，在業(yè)務(wù)流轉(zhuǎn)發(fā)時(shí)可根據(jù)用戶和終端所在域進(jìn)行策略路由控制，這一業(yè)務(wù)特性可用于多ISP業(yè)務(wù)接入和帶寬批發(fā)，如在校園網(wǎng)可將用戶業(yè)務(wù)批發(fā)給教育網(wǎng)或運(yùn)營(yíng)商的城域網(wǎng)，也可將不同類型的終端業(yè)務(wù)沿著指定的路徑轉(zhuǎn)發(fā)，不同類型的業(yè)務(wù)可以相互隔離。

　　五、QoS區(qū)分服務(wù)

　　MA5200G提供基于用戶優(yōu)先級(jí)的DiffServQoS功能，可針對(duì)不同用戶制定不同的QoS要求，高優(yōu)先級(jí)用戶的業(yè)務(wù)可以優(yōu)先轉(zhuǎn)發(fā)。同時(shí)，也可以實(shí)現(xiàn)基于復(fù)雜流分類規(guī)則的DiffServQoS功能，這些規(guī)則可針對(duì)不同的業(yè)務(wù)流實(shí)現(xiàn)相應(yīng)的QoS保證。每塊接口板可支持5k個(gè)流分類規(guī)則和2k個(gè)流分類結(jié)果，支持2k個(gè)流的流量監(jiān)管和流量整形。對(duì)于已經(jīng)區(qū)分了優(yōu)先級(jí)的每個(gè)用戶的業(yè)務(wù)流和經(jīng)過ACL流分類后的每一類業(yè)務(wù)流，采用WRED避免擁塞，WRED支持8個(gè)等級(jí)的丟棄優(yōu)先級(jí)，當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)，優(yōu)先級(jí)低的用戶或業(yè)務(wù)以較大的概率丟棄，從而保證重要用戶和重要業(yè)務(wù)的QoS。

　　QoS的區(qū)分服務(wù)可保證在發(fā)展寬帶用戶時(shí)，將用戶區(qū)分為金銀銅牌用戶，保證金牌用戶的QoS，而在承載Internet業(yè)務(wù)和電信級(jí)的語音、視頻業(yè)務(wù)時(shí)，可保證達(dá)到電信級(jí)業(yè)務(wù)的QoS要求，對(duì)Internet業(yè)務(wù)則提供盡力而為的服務(wù)。

　　六、安全保證

　　MA5200G對(duì)接入用戶、網(wǎng)絡(luò)資源和設(shè)備本身具備完善的安全保護(hù)機(jī)制，防止外部攻擊。

　　通過給每個(gè)用戶終端分配一個(gè)VLAN或PVC，可將用戶終端在接入網(wǎng)二層隔離，業(yè)務(wù)在MA5200G上終結(jié)，并根據(jù)訪問控制策略對(duì)用戶終端之間的三層互訪進(jìn)行控制。通過二層隔離和三層互訪控制技術(shù)實(shí)現(xiàn)用戶終端之間的完全隔離或受控訪問。對(duì)于接入的用戶終端，可按照接入端口＋VLANID/PVC＋MAC地址＋I(xiàn)P地址＋PPPoESession的匹配進(jìn)行報(bào)文檢查，丟棄不匹配的報(bào)文，通過這種專有的報(bào)文綁定檢查技術(shù)可以徹底防止IP地址仿冒或盜用。通過認(rèn)證賬號(hào)與接入端口的綁定，可以防止用戶賬號(hào)的盜用。通過上述的技術(shù)手段可保證各類業(yè)務(wù)終端的安全隔離，防止地址仿冒、賬號(hào)盜用或業(yè)務(wù)盜用。

　　MA5200G對(duì)同一用戶終端的接入請(qǐng)求，限制只能接入一次，申請(qǐng)一個(gè)IP地址，并對(duì)其帶寬進(jìn)行控制，防止非法使用網(wǎng)絡(luò)資源。對(duì)同一VLAN或物理端口，可限制申請(qǐng)接入的用戶終端數(shù)，防止惡意接入。

　　MA5200G可通過ACL過濾規(guī)則，控制來自網(wǎng)絡(luò)側(cè)的用戶對(duì)MA5200G的訪問，該規(guī)則可以允許Ra�瞕ius、網(wǎng)管等運(yùn)營(yíng)支撐層服務(wù)器對(duì)MA5200G進(jìn)行訪問，禁止其它所有源地址對(duì)MA5200G進(jìn)行訪問，并可將ACL訪問控制規(guī)則作用到網(wǎng)絡(luò)側(cè)的端口VLAN上，從而保證來自合法端口VLAN的目標(biāo)網(wǎng)絡(luò)才可使用這些允許訪問的源IP地址，防止其他用戶盜用這些地址后從其它網(wǎng)絡(luò)訪問MA5200G設(shè)備。如果要用不確定的IP地址遠(yuǎn)程維護(hù)MA5200G，則可設(shè)定對(duì)MA5200G的訪問速度（可以配置具體的流量速度）。

　　對(duì)于來自用戶側(cè)的攻擊，可按照認(rèn)證方式過濾不需要的報(bào)文，如PPP認(rèn)證端口，ARP等報(bào)文不再送往CPU，可以防止用戶終端感染病毒后大量發(fā)送ARP廣播報(bào)文；同時(shí)，還可對(duì)每個(gè)端口、VLAN上送報(bào)文到CPU的速度進(jìn)行控制，如果VLAN內(nèi)某用戶終端感染病毒或者對(duì)MA5200G發(fā)起惡意攻擊，則可控制其上送報(bào)文到CPU的速度，保護(hù)CPU資源，盡管該VLAN的用戶業(yè)務(wù)可能會(huì)受到影響，但其它端口的業(yè)務(wù)不受影響，將用戶攻擊造成的影響范圍控制在最小。

　　無論對(duì)于來自網(wǎng)絡(luò)側(cè)還是來自用戶側(cè)的攻擊防范，都是由硬件對(duì)攻擊報(bào)文進(jìn)行過濾的，攻擊報(bào)文不送往MA5200G的CPU，從而保證MA5200G免遭攻擊。

　　七、增值業(yè)務(wù)

　　MA5200G除了實(shí)現(xiàn)寬帶接入業(yè)務(wù)、對(duì)接入終端進(jìn)行管理控制之外，還可提供專線業(yè)務(wù)、門戶業(yè)務(wù)、VPDN、MPLSVPN、非法運(yùn)營(yíng)業(yè)務(wù)攔截等增值業(yè)務(wù)。

　　1.VLAN/PVC專線

　　MA5200G可對(duì)商業(yè)樓宇業(yè)主、工礦企業(yè)等大客戶提供專線業(yè)務(wù)。專線業(yè)務(wù)在物理端口或VLAN/PVC邏輯端口上提供，可對(duì)專線用戶進(jìn)行帶寬控制，帶寬范圍為64kbps～1Gbps，控制粒度為64kbps。對(duì)于專線內(nèi)的用戶可分配靜態(tài)地址或動(dòng)態(tài)分配地址，支持按時(shí)長(zhǎng)或流量計(jì)費(fèi)，支持后付費(fèi)和預(yù)付費(fèi)收費(fèi)方式，對(duì)于預(yù)付費(fèi)用戶可在Radius服務(wù)器的控制下，關(guān)閉或打開專線。

　　2.Portal門戶業(yè)務(wù)

　　MA5200G支持PPP、802.1x、Web和端口綁定等多種認(rèn)證方式，接入用戶無論采用何種認(rèn)證方式，均支持強(qiáng)制Portal門戶業(yè)務(wù)。通過Portal門戶，用戶可以管理個(gè)人信息，使用內(nèi)容服務(wù)，接收ICP發(fā)布的廣告內(nèi)容和業(yè)務(wù)公告，享受業(yè)務(wù)咨詢和網(wǎng)上業(yè)務(wù)自助等服務(wù)。

　　3.VPDN業(yè)務(wù)

　　MA5200G通過L2TP提供VPDN業(yè)務(wù)，可同時(shí)支持LAC和LNS。在支持LAC特性時(shí)，可將所有的PPP撥號(hào)用戶通過L2TP隧道續(xù)傳到遠(yuǎn)端LNS；在支持LNS時(shí)，可終結(jié)遠(yuǎn)端的L2TP隧道，為用戶提供遠(yuǎn)端接入。運(yùn)營(yíng)商可通過MA5200GVPDN業(yè)務(wù)開展綠色上網(wǎng)、彩票發(fā)行點(diǎn)互聯(lián)等業(yè)務(wù)。

　　4.GRE隧道提供ISP業(yè)務(wù)批發(fā)

　　通過GRE隧道實(shí)現(xiàn)多ISP業(yè)務(wù)批發(fā)。無論是PPP用戶還是非PPP用戶，都可將ISP下的用戶業(yè)務(wù)通過GRE隧道批發(fā)給相應(yīng)的ISP。對(duì)于DHCP用戶，在Web認(rèn)證后可通過二次地址分配，從所選的ISP地址池中重新分配地址，保證在ISP業(yè)務(wù)批發(fā)的過程中，所有的接入用戶使用本ISP的地址。

　　5.MPLSVPN業(yè)務(wù)

　　MA5200G具有邊緣路由器PE特性，可為企業(yè)提供MPLSVPN互聯(lián)業(yè)務(wù)。同時(shí)，還可將接入用戶的業(yè)務(wù)終結(jié)后在相應(yīng)的MPLSVPN中傳送，通過MPLSVPN實(shí)現(xiàn)不同用戶群或不同類型的業(yè)務(wù)隔離，將業(yè)務(wù)分流到相應(yīng)的網(wǎng)絡(luò)，實(shí)現(xiàn)多ISP的業(yè)務(wù)批發(fā)或不同用戶、不同業(yè)務(wù)的QoS區(qū)分服務(wù)。

　　6.非法運(yùn)營(yíng)業(yè)務(wù)攔截

　　隨著寬帶網(wǎng)絡(luò)對(duì)分組報(bào)文傳送質(zhì)量的不斷提高，語音業(yè)務(wù)應(yīng)用越來越廣。MA5200G通過監(jiān)控主被叫呼叫過程中的H.323、H.248、MGCP等信令報(bào)文，對(duì)非法呼叫信令進(jìn)行過濾或隨機(jī)丟棄，攔截非法運(yùn)營(yíng)業(yè)務(wù)。