宽带技术培训

宽带业务技术培训运营支撑部2016.9.19Page2目录CNR、DHCP、LDAP技术，IP地址规划宽带出口智能网关概述局端、终端配置概述及常见故障维护Page3接入认证系统名词解释接入认证系统原理业务规划IP地址规划Page4接入认证系统名词解释：接入认证系统基于CNR、DHCP、LDAP技术的广电运营商用户接入认证管理系统。CNRCNR---CiscoNetworkRegistrar是一个使用动态主机配置协议DHCP的动态IP地址管理系统，它为预定策略（如CoS）网络中的PC机和其他设备分配IP地址。CNR从基于所请求的设备及策略的身份和型号的地址池中取出有效的IP地址来进行分配。例如，CNR能够辨别已注册的设备、未注册的设备和已经分配特殊CoS的已注册的设备。Page5接入认证系统DHCPDHCP（DynamicHostConfigurationProtocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。LDAPLDAP（LightweightDirectoryAccessProtocol，轻量目录访问协议），作为外部数据库保存BOSS系统终端用户信息，支持CNR的增、删、改、查。Page6接入认证系统DNSDNS（DomainNameSystem，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。VLANVirtualLAN（虚拟局域网）是物理设备上连接的不受物理位置限制的用户的一个逻辑组，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。交换机分割了冲突域，但是不能分割广播域随着交换机端口数量的增多，网络中广播增多，降低了网络的效率为了分割广播域，引入了VLAN。Page7接入认证系统接入认证系统原理：部署方式—-省中心集中部署Page8接入认证系统业务运行示意图CNRProvision系统，由CNR软件和LDAP数据结构所组成。BOSS通过特定进程对LDAP进行写操作，实现用户的业务逻辑。CNR在CableModem上线时，对于LDAP进行用户授权查询，完成对于用户的业务实现。©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID18CMTSCMCMHFCCNRForCMLDAPGroupboss1BOSS向LDAP同步用户信息2CM向CNR发起DHCP请求3CNR向LDAP发起用户查询4LDAP向CNR返回用户组信息5CNR向CM返回DHCP响应，包含用户策略6LDAP向BOSS同步CM上线信息认证流程5CNR向LDAP同步CM上线信息Page9接入认证系统业务实现原理对于CNU来说，不同业务的CNU应当拿到不同的地址并获得不同的配置文件（配置文件区别主要在于上网的速率以及访问控制列表（ACL））在CNR里，只要定义不同的clientclass对应不同的业务，每个clientclass对应一个配置文件在BOSS里只需把mac地址与clientclass名字对应，然后写入LDAPCNU上线时，CNR会根据mac地址到LDAP查询，返回clientclass名，就会被映射到特定的clientclass拿到特定配置文件及地址Page10接入认证系统DNS系统DNS系统采用集中部署方式，与接入认证系统配合，为网内机顶盒、PC提供域名解析服务。目前公司DNS服务器采用双活部署，IP为172.30.64.57、172.30.64.58。权威DNS权威DNS是直接对域名进行解析的服务器。例如172.30.64.57的DNS服务器作为权威DNS配置了机顶盒智慧乡村业务的域名后，即可使用智慧乡村域名直接访问portal服务器。递归DNS负责接受用户对任意域名查询，将查询请求发至上级DNS，直至找到并返回结果。比如谷歌的8.8.8.8和8.8.4.4以及114的114.114.114.114和114.114.115.115都属于这一类DNS。172.30.64.57可以作为递归DNS为网内的PC提供外网DNS服务。Page11接入认证系统Page12接入认证系统业务规划：CBAT管理（窄带）VLAN503CBAT窄带管理地址CBAT管理（宽带）VLAN499CBAT宽带管理地址窄带STBVLAN503使用窄带网络的机顶盒地址宽带STBVLAN455使用宽带网络的机顶盒地址CNUVLAN499终端CNU管理地址上网PC合法VLAN450用户可以正常上网的PC地址上网PC非法VLAN451用户可访问宽带激活页面的PC地址Page13接入认证系统IP地址规划：IP地址IP地址是一个32位的二进制数，通常被分割为4个“8位二进制数”（也就是4个字节）。IP地址通常用“点分十进制”表示成（a.b.c.d）的形式，其中，a,b,c,d都是0~255之间的十进制整数。Page14接入认证系统子网掩码子网掩码(subnetmask)用来指明一个IP地址的哪些位标识的是主机所在的子网。子网掩码不能单独存在，它必须结合IP地址一起使用。子网掩码的作用就是将某个IP地址划分成网络地址和主机地址两部分。Page15接入认证系统网关网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B，网络A的IP地址范围为“192.168.1.1~192.168.1.254”，子网掩码为255.255.255.0；网络B的IP地址范围为“192.168.2.1~192.168.2.254”，子网掩码为255.255.255.0。在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机上，TCP/IP协议也会根据子网掩码（255.255.255.0）判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信，则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B的某个主机。Page16接入认证系统内网保留地址这些地址被大量用于内部网络中，一些交换机，路由器也往往使用192.168.1.1作为缺省地址，私有网络由于不与外部互连，因而只能够在内部网络中使用，如果要使用私有地址连接到Internet，需要使用NAT（网络地址转址）、使用网关代理软件、路由器，将私有地址翻译成公网的合法地址。IPv4内网保留地址如下:IP等级IP位置A类10.0.0.0-10.255.255.255A类100.64.0.0-100.127.255.255B类172.16.0.0-172.31.255.255C类192.168.0.0-192.168.255.255Page17接入认证系统127.0.0.0到127.255.255.255是保留地址，用做循环测试用的。169.254.0.0到169.254.255.255是保留地址。如果你的IP地址是自动获取IP地址，而你在网络上又没有找到可用的DHCP服务器，这时你将会从169.254.0.1到169.254.255.254中临时获得一个IP地址。Page18接入认证系统IP规划示例序号一级业务系统IP地址总需求分配（B)总地址池起始机房IP地址需求(c)VLAN沁阳市前端机房1业务管理IP0.5B100.69.255.0/244个IP地址450100.69.255.1/304个IP地址451100.69.255.5/304个IP地址455100.69.255.9/304个IP地址499100.69.255.13/304个IP地址503100.69.255.17/302CBAT管理IP（窄带）100.69.128.0/174C503100.69.128.0/223CBAT管理IP（宽带）4C499100.69.152.0/224窄带STB4B100.64.0.0/1432C503100.64.0.0/195宽带STB0.5B100.68.0.0/174C455100.68.0.0/226CNU0.5B100.68.128.0/174C499100.68.128.0/227上网PC（合法）0.5B100.69.0.0/174C450100.69.0.0/228上网PC（非法）1C451100.69.127.0/24Page19接入认证系统分公司IP数据示例Page20宽带出口网关宽带出口网关功能概述宽带出口网关拓扑Page21宽带出口网关智能出口网关缓存系统日志系统云管理平台Page22宽带出口网关智能出口网关配备管理口（1个千兆电口）、数据口（5个千兆电口，4个千兆光口或2个万兆光口）。与电信出口采用双纤互联（一进一出），接入方式为千兆（1G以下）或万兆（1G以上）光模块直连，与网内采用千兆电口互联。设备部署在有互联网出口接入的分公司机房，采用网关模式，可代替出口防火墙起到内网地址到外网地址转换的NAT功能。Page23宽带出口网关流量管理支持基于应用、IP、链路、流向、群组、个体、共享设备数、在线用户数、时间等多重机制灵活组合的带宽管理策略，支持数据通道、应用优先级、单IP限速、动态IP限速分析统计实时统计、流量构成、在线用户数、共享用户数、新建会话数、TOP应用、TOPIP、用户深度信息、移动终端识别、趋势图表、对比分析一体化网关应用路由、负载均衡、智能DNS、NAT、HTTP访问控制、MAC绑定、DDNS、配置同步、权限分级、管理日志、系统告警Page24宽带出口网关安全防护应用并发连接数限制、伪IP防护、内网异常流量源实时追溯、垃圾包过滤、SYNFlood日志审计流量日志、应用日志、IP日志、NAT日志、流量流向、用户行为分析、域名统计、事件日志（微博、QQ、URL、淘宝、POP3、Radius认证拒绝...）Page25宽带出口网关Page26宽带出口网关缓存系统缓存系统是出口网关的外围设备系统，是运行在通用服务器上的一套软件，主要为用户提供内容的缓存加速服务，加强内网用户访问网络资源的感知度，为用户节省网络出口带宽，化解出口带宽压力，达到节约成本的目标。缓存部署后可与出口网关进行对接，出口网关负责把用户的访问牵引至缓存系统，由缓存直接向用户提供数据。考虑到缓存系统输入、输出流量巨大，因此现阶段只能在本地部署。Page27宽带出口网关Page28宽带出口网关Page29宽带出口网关日志系统日志系统是专门和出口网关与之配套的日志服务器系统，他的主要功能分为两块，一是接收出口网关的日志输出，对日志进行归类、合并、计算并存储，形成独立的日志分析报表，为使用者提供对过去网络行为活动的审计和数据分析功能；二是对多个区域的出口网关设备进行集中化管理，如版本的升级、流量会话的监控、设备的分布等。日志系统保存的是用户的上网行为，流量较小，现阶段可采用本地部署或集中部署。日志系统与接入认证系统提供了用户上网行为的溯源功能，满足了公安网监部门对宽带运营商的要求。Page30宽带出口网关Page31宽带出口网关云管理平台在总部部署云管理平台，分公司出口网关部署完毕后，通过配置，与总部云管理平台互联，实现设备的远程管理功能。Page32宽带出口网关Page33宽带出口网关拓扑电信（第三方）宽带出口光纤互联宽带出口网关烽火78交换机烽火58交换机烽火58交换机双向网络用户端CNUPC移动设备Page34安装维护技术培训局端、终端配置概述常见故障维护Page35局端、终端配置概述局端配置安装人员通过电脑登录局端设备上对各个参数进行逐一配置。