11-BRAS理论基础

▲1四川移动2011年全业务接入技术支持服务（实验培训）BRAS基础▲目录2BRAS背景简介BRAS业务功能介绍AAA技术介绍四川移到AAA平台介绍结论▲背景简介3宽带接入服务器BroadbandRemoteAccessServer（BRAS）具有灵活的接入认证方式、有效的地址管理功能、强大的用户管理能力等优点越来越受到人们的欢迎。作为一种能够使数据业务精细运营的接入方式，在运营商中被密切关注。为了能够更好地掌握BRAS技术与相关产品，我们需要先了解一下与BRAS相关的背景知识，如BRAS发展历程及AAA认证体系等。同时以四川移动AAA平台建设为案例进行AAA的相关介绍。▲BRAS功能简介4BRAS的功能：1、网络承载功能a、负责终结用户的PPPOE（一种在以太网上传递PPP会话的方式）b、连接、汇聚用户流量的功能2、控制实现功能a、可以和“认证系统”“计费系统”“客户管理系统”“服务策略控制系统”联动b、实现接入认证、计费和管理功能▲BRAS产生的原因5随着Internet市场的不断发展，人们对通信的需求已从传统的电话、传真、电报等低速业务逐渐向高速的Internet接入、可视电话、视频点播等宽带业务领域延伸，用户对上网速率的需求越来越高，传统拨号Modem的低速上网方式已无法满足用户需求。促使面临两个问题：需要对用户接入的合法性进行验证对用户使用的业务进行管理和控制▲BRAS发展历程6零管理城域网无BRAS“可运营、可管理”城域网多业务运营IP城域网BRAS的出现解决了宽带网络的零管理问题，使宽带城域网“可运营、可管理”；BRAS的最初功能只有认证计费功能（基于用户级别）；多业务承载网的出现将使传统意义上的BRAS发生根本性的改变。BRAS（认证计费、用户管理、部分增值业务）NGBRAS？2000年以前2000～2005年2006年～▲BRAS现网产品介绍7MA5200GandME60MA5200G-2MA5200G-4ME60-8ME60-16ME60-4MA5200G-8*以华为产品举例。▲目录8BRAS背景简介BRAS业务功能介绍AAA技术介绍四川移到AAA平台介绍结论▲BRAS功能简介9宽带接入服务器（BRAS）主要有四种功能BRAS的主要功能用户接入识别AAA和用户管理地址分配与管理业务控制▲主要功能1/4：用户接入识别10ME60内置的BRAS特性支持的接入介质……以太网ADSLHFCWLAN支持的认证方式支持Web认证PPP认证802.1x认证端口绑定认证可以在一个端口上同时支持PPP认证、Web认证、快速认证和802.1x认证中的一种或多种认证方式HFC：HybridFiber-Coaxial（光纤/同轴混合网）▲主要功能2/4：AAA和用户管理11AAA通过RADIUS协议、HWTACACS协议实现了对用户的认证、授权、计费功能通过对用户属性的授权和管理，ME60实现了强大的用户管理功能，包括用户带宽限制、访问权限控制、QoS属性控制和策略路由授权。ME60能够提供基于用户群的访问控制功能，可以将用户分为不同的User-Group，并在不同的User-Group上作用不同的ACL规则，由此实现用户访问控制的分群管理。▲BRAS用户管理12通过域进行管理所有用户都属于一个域，缺省情况下，用户加入的是缺省域。通过在域下配置业务属性，对用户进行管理，同一个域下的用户具有相同的业务属性。通过用户帐号进行管理是指在RADIUS/HWTACACS等AAA服务器上配置用户帐号及相应业务属性，在用户上线时下发给用户或者用户上线后动态下发。BRAS对用户的管理方式分为：▲域管理的内容13接入管理通过域，可以指定用户接入使用的认证、计费、授权方案及相应的服务器，可以指定认证过程中使用的认证方式，可以指定为用户分配IP地址的地址池及DNS服务器，并通过在域下配置接入限制数以及IP地址告警阈值来控制用户接入数目。业务管理用户上线后，可以通过域来管理用户使用基本接入业务（如访问Internet）或者增值业务的权限、带宽、QoS等。域或AAA服务器通过配置用户的业务属性来管理用户，域管理的内容分为接入管理和业务管理两类：▲主要功能3/4：地址分配与管理14ME60内置的BRAS特性具有DHCPClient功能、DHCPRelay功能，支持内、外置DHCPServer功能BRAS通过地址池对地址资源进行管理，能够实现从本地地址池和远端DHCP服务器地址池中为用户分配地址，并且支持通过AAA服务器为用户分配地址。允许用户通过动态获取地址或者静态配置地址的方式接入网络。▲主要功能4/4：业务控制15ME60内置的BRAS特性支持多种基本接入业务，并可以对各接入业务按用户实施计费、访问权限、流量监管等业务策略。接入业务的业务策略在用户级配置，实现基于用户的业务控制。▲目录16BRAS背景简介BRAS业务功能介绍AAA技术介绍四川移到AAA平台介绍结论▲AAA体系介绍17AAA是一个提供网络访问控制安全的模型，通常用于用户登录设备或接入网络。AAA（Authentication、Authorization、Accounting，认证、授权、计费）提供了对认证、授权和计费功能的一致性框架。AAA主要解决的是网络安全访问控制的问题。▲AAA体系介绍181.1你是谁?RickMaryInternet/Intranet应用系统1.2怎么确认你就是你?认证1.1我是Rick.1.2口令是1234.授权计费2.我能干什么?2.你能干这个,不能干那个.3.不会的我们有清楚的记录，并可跟踪。3.我的上网时间不要搞错哦！▲AAA之认证功能19认证功能验证用户是否可以获得访问权。用户接入网络时，ME60可通过用户名和密码对用户的身份进行认证。ME60支持四种认证模式：不认证本地认证RADIUS认证HWTACACS认证▲AAA之授权功能20指定用户可以使用哪些服务ME60支持四种授权模式：直接授权本地授权RADIUS认证成功后授权HWTACACS授权▲AAA之计费功能21记录用户使用网络资源的情况ME60支持三种计费模式：不计费RADIUS计费HWTACACS计费▲AAA之计费模式22在RADIUS计费模式中，正常情况下ME60在用户上线和下线时各生成一份计费报文传送给服务器，服务器根据计费报文中的信息（上下线时间、使用流量等）对用户进行计费。ME60支持实时计费功能。实时计费功能是指用户在线过程中，ME60定时生成计费报文传送给服务器。通过实时计费功能，ME60可以在其和服务器通信中断时，最大程度的减少计费异常的时间。▲RADIUS协议23AAA可用多种协议来实现，但最常用的是RADIUS（RemoteAuthenticationDialInUserService）协议。RADIUS是ME60和RADIUS服务器之间的应用层通信协议，规定了ME60与RADIUS服务器之间传递用户信息和计费信息的过程和报文格式。RADIUS协议具备如下特点：RADIUS使用UDP作为传输协议，具有良好的实时性。RADIUS支持重传机制和备用服务器机制，从而有较好的可靠性。RADIUS实现比较简单，适用于大用户量时服务器端的多线程结构。▲RADIUS消息流程24RADIUS协议基于C/S架构，计费流程和认证/授权流程与之类似。RADIUS消息流程当用户接入ME60时，首先会将用户名和口令发送给ME60ME60作为RADIUS客户端，向RADIUS服务器发送认证请求RADIUS服务器接收到合法的请求后，对用户名和密码进行认证完成认证后，RADIUS服务器把所需的用户授权信息返回给ME60ME60和RADIUS服务器之间认证信息的传递通过密钥的参与来完成，即加密以后才在网络上传递，以避免用户信息在不安全的网络上被窃取。▲目录25BRAS背景简介BRAS业务功能介绍AAA技术介绍四川移到AAA平台介绍结论▲AAA平台架构图26•现四川省本省用户都是都是通过业务控制设备接入。•根据连接的业务控制设备中不同的域分别都强制重定向到指定的portal页面。•本省用户账号由本省的AAA进行认证，由本省的BOSS进行计费。▲网络结构——组网图27•ISCC提供AAA认证功能，记录用户基本信息和业务逻辑。它是AAA的核心网元。•ISMS提供维护界面，方便维护人员进行业务维护。•webportal提供认证页面，它将用户输入的账号信息传递给BRAS或AAA。▲AAA平台详细组网图28宽带接入业务AAA系统Eudemon500防火墙SUNT5220服务器QuidwayS3528P交换机光纤通道OceanStorS3100磁盘阵列磁带机IBMX3650WebPortal服务器QuidwayS3528P交换机Eudemon500防火墙高升桥枢纽8楼机房S8508交换机S8016交换机NE80NE80ECom3传输设备BOSSFE电口FE电口2*1552*155业务控制设备......业务控制设备带宽用户带宽用户20个地市州万年ME60-16高升桥业务控制设备带宽用户高新西区业务控制设备带宽用户成都CMnetS3352PGE无线城市热点...20个地市州WEB管理终端万年3层Com3传输设备▲扣费流程29▲目录30BRAS背景简介BRAS业务功能介绍AAA技术介绍四川移到AAA平台介绍结论▲小结31理解BRAS概念及功能掌握AAA和RADIUS的原理了解四川移动AAA平台