BRAS技术与认证.docx
- 文档编号:5551401
- 上传时间:2023-05-08
- 格式:DOCX
- 页数:56
- 大小:341.71KB
BRAS技术与认证.docx
《BRAS技术与认证.docx》由会员分享,可在线阅读,更多相关《BRAS技术与认证.docx(56页珍藏版)》请在冰点文库上搜索。
BRAS技术与认证
维护岗位认证教材(IP专业)
BRAS技术与认证
中国电信维护岗位认证教材编写小组编制
目录
第一章宽带接入服务器原理2
1.1宽带接入服务器定义2
1.2宽带接入服务器的系统介绍3
1.2.1硬件设计结构3
1.2.2接口类型和接入方式3
1.2.3接入数量4
1.3宽带接入服务器的扩展功能4
1.3.1业务选择4
1.3.2QoS支持5
1.3.3VPN(虚拟专用网络)实现5
1.3.4端口批发5
1.3.5组播支持5
1.3.6IP流量的转发管理,实现防火墙功能6
第二章设备功能原理6
2.1设备体系结构6
第三章PPP和MP9
3.1PPP和MP简介9
3.1.1PPP的引入9
3.1.2PPP的简介10
3.1.3PPP的基本构架10
3.1.4PPP报文格式11
3.1.5MP简介14
3.2PPP的运行过程14
3.2.1PPP的协商过程14
3.2.2PPP的PAP验证协议16
3.2.3PPP的CHAP验证协议19
3.3PPP的报文压缩22
第四章PPPoE23
4.1PPPoE简介23
4.1.1PPPoE的引入23
4.1.2PPPoE简介23
4.1.3PPPoE的数据帧23
4.2Discovery阶段24
4.2.1Discovery阶段简介24
4.2.2PADI数据包29
4.2.3PADO数据包29
4.2.4PADR数据包30
4.2.5PADS数据包30
4.2.6PADT数据包30
4.3PPP会话阶段31
4.4PPPoE注意事项31
4.4.1LCP方面31
4.4.2安全方面32
4.4.3其它方面32
4.5PPPoE的应用32
第五章AAA及用户管理34
5.1AAA简介34
5.1.1AAA的引入34
5.1.2AAA的基本构架35
5.1.3AAA的基本概念36
5.2RADIUS协议简介36
5.2.1RADIUS协议的概述36
5.2.2使用RADIUS协议对用户进行认证、计费的流程37
5.2.3RADIUS协议的特性37
5.3基于域的用户管理38
5.3.1基于域的用户管理概述38
5.3.2路由器对接入用户的管理38
5.3.3AAA对PPP用户的地址分配原则38
5.4AAA及用户管理的应用39
5.4.1使用RADIUS对接入用户进行管理39
第一章宽带接入服务器原理
1.1宽带接入服务器定义
宽带接入服务器(BroadbandRemoteAccessServer,BRAS)是面向宽带网络应用的新型接入网关。
它位于骨干网络的汇接层或边缘层,可以完成用户带宽的(或高速的)IP/ATM网的数据接入(目前接入手段主要基于xDSL/Cablemodem/高速以太网技术/无线宽带数据接入等),实现多种业务的汇聚和转发,解决不同用户对传输容量﹑带宽利用率的要求,为用户提供VPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用,以达到对各种宽带数据网络的综合管理。
下图为宽带接入服务器的网络定位参考图。
宽带接入服务器的网络定位参考图
BRAS是IP城域网骨干层中的重要设备,是联系宽带接入网和骨干网络之间的桥梁。
它承担着宽带接入网络的管理工作,完成宽带IP/ATM网的数据接入,实现网络的IP接入一体化,解决宽带用户在业务上、流量上和管理上的汇聚,达到了用户终端只通过一条网络连接便可以灵活、自主、方便地选择服务网络的目的,是目前城域网汇接/分配层中的核心设备。
1.2宽带接入服务器的系统介绍
1.2.1硬件设计结构
宽带接入服务器具有高速、高效的包转发特性,在性能上有效地解决宽带网络高性能、高负荷、高突发所带来的问题,具有至少2G以上的交换背板容量,100Kpps以上的独立包转发性能。
从硬件系统结构上看,宽带接入服务器已从早期低效的集中式包处理结构向当前分布式处理结构演变,前后插板(接口板和处理板)的设计思路成为主流。
采用这样的系统结构,处理模块可以直接处理来自同一槽位接口模块的用户流量,而且对于输出在同一槽位上的网络流量能够不经过系统背板和交换矩阵模块直接进行转发,从而有效减轻系统负荷。
另一方面,为了理想地实现在不同槽位间的包转发,系统结构必须提供高容量、相对独立、有冗余备份能力的系统交换矩阵模块和相应容量的背板总线,保证宽带接入服务器总体性能随接口模块增加呈线性增长的态势。
1.2.2接口类型和接入方式
为了实现对各种宽带接入类型的支持,宽带接入服务器提供了丰富的接口类型。
如今,在用户侧方面,宽带接入服务器已经可以提供:
☆DS3/OC3/OC12的ATM光接口,实现纯ATM接入或DSLAM(DSL的用户集中器)的接入
☆提供100/1000M快速以太网接口,实现局域网用户和HFC用户的接入
☆提供高密度信道化或非信道化E1/T1/DS3的帧中继接口,实现帧中继用户的接入
在网络侧方面,宽带接入服务器已经可以提供:
☆100/1000M快速以太网接口
☆OC3/OC12的ATM接口
☆OC12的POS接口,实现流量的汇聚转发
与以往窄带拨号服务器不同的是,宽带接入服务器接入过程依托于底层(数据链路层,主要是ATM层和以太网层)对数据包的封装重组。
利用底层的技术特点,不仅在接入组网方式上灵活多变,而且可以有效地捆绑上ATM和以太网自身的技术优势,实现服务质量保证。
具体来说:
☆通过RFC1490和RFC1483第二层的桥接技术,RFC1577第三层的IP路由技术,实现宽带用户的静态IP接入
☆通过PPPOverATM和PPPOverEthernet实现用户的动态IP接入
☆通过L2TP的二层VPN隧道技术,实现企业用户和小型ISP的VPN接入要求
宽带接入主流的应用方向是PPP接入方式。
而在PPP接入技术中,由于PPPOE可以适用于多种接入网络,应用灵活,易于实现业务选择,同时又保护目前用户的已有投资。
1.2.3接入数量
由于以往拨号接入服务器采用TDM技术,系统通过每一个DS0时隙接收来自PSTN网络的数据,系统的最大接入数就是系统可以终结的DS0时隙数,也就是系统可以集成的最大Modem数。
这种基于时隙交换的技术,要想扩大系统接入数量在一定程度上只能通过扩大系统的集成度来实现,具有相当的局限性。
在宽带网络中,宽带接入服务器由接口处理模块直接完成对各种协议栈的封装重组处理,比如:
PPPOE或PPPOA的呼叫。
由于ASIC(专用集成电路)技术的引入,系统包处理能力显著提高,接入实现的时长大大降低(通常要求小于5秒,包括RADIUS认证时间);系统各处理模块的合理配合使得系统更加稳定,而且能够很好地完成对多用户并发接入情况的调度处理。
目前,一台中等规模的宽带接入服务器应能支持8000个以上的并发PPP(包括PPPOA和PPPOE)呼叫,大型的宽带接入服务器可以实现100K个呼叫接入。
1.3宽带接入服务器的扩展功能
1.3.1业务选择
目前主要采用两种模式:
由终端直接进行业务选择模式和统一通过后台服务选择网关模式。
☆终端直接进行业务选择模式:
首先是通过拨号软件由用户进行业务选择,然后利用远端RADIUS服务器对用户进行业务授权确认,最后激活接入服务器内部相应的业务模型实现业务的指向。
但是,采用这种业务选择方式,终端用户无法直观地、全面地获知宽带接入服务器提供的各种业务类型,增加了终端用户的实际操作,具有一定的局限性。
另一方面,用户要实现业务间的切换必须重新进行虚拟拨号,实现上也不方便。
☆后台服务选择网关模式:
用户通过PPP或DHCP方式接入并动态得到IP地址后,被强制访问与宽带接入服务器直连的服务选择网关。
在用户终端一般可以通过Web的交互式界面得到可选择业务的相关信息,填入相应的用户数据后,通过远端RADIUS对申请进入这一业务的用户进行授权认证,然后根据业务的不同对用户实行必要的IP覆盖,最后仍然是通过激活接入服务器内部相应的业务模型实现业务的选择。
其实,这两种选择模式的实现内核基本趋于一致,业务选择的核心都是在宽带接入服务器实现,差别仅仅在用户接口形式上。
但是,从运营的实际需要出发,采用后台服务选择网关模式不仅大大提高了接入用户操作的透明度,减少了用户终端的配置过程,而且可以起到业务门户的作用,为下一步的服务扩展提供空间。
1.3.2QoS支持
前面所述,宽带接入服务器支持ATM和FR接入。
显而易见,通过ATM或FR自身的QoS实现机理就可以很好地解决用户的QoS问题。
但是不要忘记,在宽带接入服务器中除了ATM和FR接入外,还有各种类型的纯IP接入。
对于这一类型的接入流量,可以利用IP报头的服务类型标记(ToS)字段。
通过业务发起侧对IP包打上相应的ToS标记,在接入服务器内部进行相应的流量映射或业务映射,区分各种流量等级,实现网络的QoS。
1.3.3VPN(虚拟专用网络)实现
目前,在网络第二层的VPN实现上,宽带接入服务器提供L2TP隧道加密技术。
它一般既可以作为LAC(L2TP访问集中器),也可以作为LNS(L2TP网络服务器),组网应用灵活。
在网络第三层的VPN实现上,由于IPSec是较新的协议标准,因此这种VPN的实现还不普及。
如今只有部分的宽带接入服务器开始支持该项功能。
1.3.4端口批发
在宽带接入服务器中可以通过划分VLAN或创建虚拟路由器(VirtualRouter)的方式来实现。
这些技术的实现,在本质上都是将系统进行子资源划分,在每一个子系统中独立完成网络二、三层的相应功能,完成端口批发业务。
其实,站在VPN的角度上看,我们也可以认为端口批发业务是实现VPN应用的另一途径,且应用灵活方便。
1.3.5组播支持
宽带接入服务器必须支持组播,在网络层上完成组播视频流的末端分发。
网络主机安装相应的组播应用程序来支持组播协议,通过主动提出组播申请,选择所需的组播服务,以使之连接到本地支持IGMP的路由器或组播服务器上。
宽带接入服务器主要起到转发在网络终端和支持IGMP的组播服务器或路由器之间的组播流量。
第一、二版的协议标准,但是在很大程度上仅仅是扮演着IGMP代理(Proxy)或IGMP欺骗(Snooping)的角色,简单地完成网络末端组播包的透明传递和分发,终端用户感觉不到与实际应用时的不同。
为了进一步提高宽带接入服务器组播应用的灵活性,一些设备厂商在实际的产品中已经开始对组播路由协议(如:
PIM,DVMRP等)的支持。
1.3.6IP流量的转发管理,实现防火墙功能
宽带接入服务器的IP流量转发管理主要是根据不同用户的实际权限向用户提供相应的接入能力,在一定程度上完成IP防火墙的功能,实现内部网络安全。
IP的流量转发管理在很大程度上是与宽带接入服务器的VPN和业务选择相捆绑,与上层骨干边缘路由器相配合,灵活有效地实现对各种业务类型的IP分离。
在技术实现上,该功能可以通过自身IP包过滤(IPFilter),针对不同业务灵活分配IP地址段和网络侧NAT(网络地址翻译)来实现。
同时,从网络安全的角度出发,宽带接入服务器还应该提供防IP攻击和IP欺骗的功能。
承前所述,宽带接入服务器主要是为了适应当前各种DSL接入应用要求,尤其是ADSL接入。
从全网来看,宽带接入服务器既是全网接入业务的单一汇聚点,又是用户业务流量的统一转发点。
如今,以光通信为代表的新一轮数据骨干网络和接入网络迅猛发展,这对宽带接入服务器在各方面都提出了更高的要求。
宽带接入服务器在性能上的提高集中表现在接入处理能力方面、交换容量方面和接口带宽、密度方面。
从各厂商的发展计划上看,下一代大型宽带接入服务器的系统性能要求达到:
☆交换容量至少40G;
☆同时支持的PPP呼叫数目达到20K;
☆可配置用户数达到100K;
☆独立包转发能力达到1Mpps以上。
第二章设备功能原理
2.1设备体系结构
1.系统内部组成
包括交换网络/时钟模块(主要包括交换网络单元和线路时钟单元)、线路接口及处理模块(主要包括FE/GE、ATM和POS等种类端口)、主控模块、业务处理模块、高速背板,整个系统的内部功能模块组成与相互关系框图如下图所示:
从图中可以看到,交换网络单元采用双平面结构,两交换平面同时工作,所有与交换网络单元连接的功能模块(主控模块、线路接口模块、业务处理模块)同时输出两路待交换的定长数据包上交换网络的两个平面,经交换网络交换后的数据包分别送往相应功能模块,由该功能模块的板上逻辑决定采用哪个平面的输入数据。
BRAS设备逻辑上具体可以分为如下几个部分:
✓交换网络/时钟模块
✓主控模块
✓线路接口及处理模块
✓业务处理模块
✓高速背板模块
各模块具体功能如下:
✓交换网络/时钟模块
交换网络/时钟模块包含了交换网络和时钟两个子模块,共同集成于NET板中,主要完成定长数据包交换和向系统提供同步的线路时钟,其中交换网络单元采用双平面结构,线路时钟单元采用主从同步的双平面方式工作。
整机一般需要配置两块NET板,以双平面形式工作,两块NET板各自接收同样的输入并各自分别输出结果,接收该信号的单板根据当前状况或系统需要对两工作平面输出的信号进行选择,以获得更良好的信号保证。
✓主控模块
模块完成系统配置、状态监视、计费代理、检测功能、倒换控制、呼叫处理和路由协议处理等功能。
✓线路接口及处理模块
包含输入/输出接口单元(I/O)和线路处理单元两部分。
线路接口及处理模块提供基本的业务处理能力,IP业务流业务的接入,并带有分布转发功能,此外还可处理PPPoE、PPPoA、IPoA、VLAN等业务流,分为LPUx(包括LPUA、LPUB、LPUC和LPUD)和LPUH两种,LPUx提供纯粹的线路接口及处理功能,LPUH还能提供基本BAS功能。
线路接口模块分为ATM线路接口模块与帧线路接口模块两种:
ATM线路接口模块主要提供各种ATM特性接口和ATM业务引擎,完成ATM物理层和ATM层的主要功能,并根据链路信息对用户数据流进行处理和排队工作。
帧线路接口模块主要负责IP业务的接入,具有分布转发功能,并向用户提供各种物理层和二层接口。
线路接口模块由I/O扣板提供,通过选择不同的扣板,可以配置上不同的接口,如FE接口、GE接口、ATM接口、POS接口。
✓业务处理模块
业务处理板可以加载不同的软件来分别完成BAS、PORTAL和NAT功能,处理能力强大。
业务处理相对接口数据,属于资源共享或分布式业务处理,当采用资源共享方式时,相对接口的数据处理就可动态分配,线路接口升级灵活。
✓高速背板模块
提供了各单板高速信号线和控制线的互联通道。
第三章PPP和MP
3.1PPP和MP简介
3.1.1PPP的引入
PPP(Point-to-PointProtocol)是一种点到点方式的链路层协议,是在SLIP协议的基础上发展起来的。
SLIP协议的基本概念
串行线IP协议(SerialLineIP)协议出现在80年代中期,它是一种在串行线路上封装IP包的简单形式,它并不是Internet的标准协议。
因为SLIP简单好用,所以后来被大量使用在线路速率从1200bit/s到19.2Kbit/s的专用线路和拨号线路上,互连主机和路由器。
并被使用在BSDUNIX主机和SUN的工作站上,到目前为止仍有部分UNIX主机支持该协议。
在80年代末90年代初期,SLIP被广泛用于家庭计算机和Internet的连接。
一般这些计算机都用RS232串口和调制解调器连接到Internet。
SLIP的帧格式由IP包加上END字符组成。
通过在被发送IP数据报的尾部增加特殊的END字符(0xC0)从而形成一个简单的SLIP的数据帧,而后该帧会被传送到物理层进行发送。
END是判断一个SLIP帧结束的标志。
SLIP帧格式
为了防止线路噪声被当成数据报的内容在线路上传输,通常发送端在被传送数据报的开始处也传一个END字符。
如果线路上的确存在噪声,则该数据报起始位置的END字符将结束这份错误的报文。
这样当前正确的数据报文就能正确的传送了,而前一个含有无意义报文的数据帧会在对端的高层被丢弃,不会影响下一个数据报文的传送。
SLIP协议的缺点
SLIP只支持IP网络层协议,不支持IPX等网络层协议。
并且,因为帧格式中没有类型字段,致使如果一条串行线路如果用于SLIP,那么在网络层只能使用一种协议。
SLIP不提供纠错机制,错误只能依靠对端的上层协议实现。
由于SLIP协议只支持异步传输方式、无协商过程(尤其不能协商如双方IP地址等网络层属性)等缺陷,在以后的发展过程中,逐步被PPP协议所替代。
3.1.2PPP的简介
点到点的直接连接是广域网连接的一种比较简单的形式,点到点连接的线路上链路层封装的协议主要有PPP和HDLC。
但是HDLC协议只支持同步方式,而PPP协议支持同、异步两种传输方式,因此得到广泛的应用。
从1994年至今,PPP协议本身并没有太大的改变,但由于PPP协议所具有的其他链路层协议所无法比拟的特性,它得到了越来越广泛的应用,其扩展支持协议也层出不穷,随之而来的是PPP协议功能的逐步强大。
PPP协议是一种在点到点链路上传输、封装网络层数据包的数据链路层协议。
PPP协议处于OSI(OpenSystemsInterconnection)参考模型的数据链路层,同时也处于TCP/IP协议栈的链路层,主要用在支持全双工的同异步链路上,进行点到点之间的数据传输。
3.1.3PPP的基本构架
PPP在协议栈中的位置
PPP主要由三类协议组成:
链路控制协议族(LinkControlProtocol),主要用来建立、拆除和监控PPP数据链路。
网络层控制协议族(NetworkControlProtocol),主要用来协商在该数据链路上所传输的
数据包的格式与类型。
PPP扩展协议族(如PPPoE)主要用于提供对PPP功能的进一步支持。
随着网络技术的不断发
展,网络带宽已不再是瓶颈,所以PPP扩展协议的应用也就越来越少了。
人们在叙述PPP协议的时候经常会忘记它的存在。
同时,PPP还提供了用于网络安全方面的验证协议族(PAP和CHAP)。
3.1.4PPP报文格式
PPP报文格式
PPP报文封装的帧格式
真正属于PPP报文内容的是Address、Control、Protocol、Information域所包含内容。
各字段的含义如下。
Flag域
Flag域标识了一个物理帧的起始和结束,该字节为0x7E。
Address域
Address域是“11111111”表示此为PPP广播地址。
PPP协议是被运用在点对点的链路上,它可以
唯一标识对方。
因此使用PPP协议互连的通信设备的两端无须知道对方的数据链路层地址。
所以
该字节已无任何意义,按照协议的规定将该字节填充为全1的广播地址。
Control域
同Address域一样,PPP数据帧的Control域也没有实际意义,按照协议的规定通信双方将该字
节的内容填充为0x03。
Address、Control域一起表示了此报文为PPP报文,即PPP报文头为FF03。
Protocol域
协议域可用来区分PPP数据帧中信息域所承载的数据报文的内容。
协议域的内容必须依据ISO
3309的地址扩展机制所给出的规定。
该机制规定协议域所填充的内容必须为奇数,也就是要求低
字节的最低位为“1”,高字节的最低位为“0”。
如果当发送端发送的PPP数据帧的协议域字段
不符合上述规定,则接收端会认为此数据帧是不可识别的。
接收端会向发送端发送一个
Protocol-Reject报文,在该报文尾部将完整地填充被拒绝的报文。
Information域
信息域缺省时最大长度不能超过1500字节,其中包括填充域的内容。
1500字节大小等于PPP协
议中配置参数选项MRU(MaximumReceiveUnit)的缺省值。
在实际应用当中可根据实际需要进
行信息域最大封装长度选项的协商。
信息域如果不足1500字节时可被填充,但不是必须的。
如果
填充则需通信双方的两端能辨认出有用与无用的信息方可正常通信。
通常在通信设备的配置过程
中,经常使用MTU(MaximumTransmitUnit)。
对于一个设备而言,它网络的层次均使用MTU和
MRU两个值,本端MTU会和对端MRU进行比较,取较小值赋予本端MTU。
FCS域
校验域主要是对PPP数据帧传输的正确性进行检测。
在数据帧中引入了一些传输的保证机制,会
引入更多的开销,这样可能会增加应用层交互的延迟。
LCP报文封装格式
LCP数据报文是在链路建立阶段被交换的。
此时它作为PPP的净载荷被封装在PPP数据帧的信息域中,PPP数据帧的协议域固定填充0xC021。
在链路建立阶段的整个过程中信息域的内容是变化的,它包括很多种类型的报文,所以这些报文也要通过相应的字段来区分。
Code域
代码域表明了此报文是哪种PPP协商报文。
代码域的长度为一个字节,主要是用来标识LCP数据
报文的类型。
在链路建立阶段时,接收方收到LCP数据报文的代码域无法识别时,就会向对端发
送一个LCP的代码拒绝报文(Code-Reject报文)。
如果是IP报文,则不存在此域,取而代之的
是IP报文数据内容。
Identifier域
标识域用于进行协商报文的匹配。
标识域也是一个字节,其目的是用来匹配请求和响应报文。
一般而言,在进入链路建立阶段时,通信双方任何一端都会连续发送几个配置请求报文
(Config-Request报文)。
这几个请求报文的数据域可能是完全一样的,仅仅是它们的标志域不
同。
通常一个配置请求报文的ID是从0x01开始逐步加1的。
当对端接收到该配置请求报文后,
无论使用何种报文回应对方,但必须要求回应报文中的ID要与接收报文中的ID一致。
当通信设
备收到回应后就可以将该回应与发送时的进行比较来决定下一步的操作。
Length域
长度域表示此协商报文长度,它包含Code域及Identifier域的长度。
长度域的值就是该LCP报
文的总字节数据。
它是代码域、标志域、长度域和数据域四个域长度的总和。
长度域所指示字节
数之外的字节将被当作填充字节而忽略掉,而且该域的内容不能超过MRU的值。
Data域
数据域所包含的是协商报文的内容。
−Type为协商选项类型。
−Length为协商选项长度,它包含Type域。
−Data域为协商的选项具体内容。
常见的协议代码
协议代码
协议类型
0021
InternetProtocol
002b
NovellIPX
002d
VanJacobsonCompressedTCP/IP
002f
VanJacobsonUncompressedTCP/IP
8021
InternetProtocolControlProtocol
802b
NovellIPXControlProtocol
8031
BridgingNC
C021
LinkControlProtocol
C023
PasswordAuthenticationProtocol
C223
ChallengeHandshakeAut
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- BRAS 技术 认证