【IT168 报道】采用PPPOE虚拟拨号的用户接入方式:用户需要在其客户端安装PPPOE软件,使用时从客户端(PC终端)发起PPP连接,PPP连接通过以太网在MA5200E上进行解析后从PPP呼叫中提取相应的用户信息(用户名以及密码),将用户信息传递给华为的CAMS服务器上对用户进行认证鉴权,并依据用户情况为用户动态分配合法的IP地址,实现INTERNET接入。同时CAMS服务器对用户实施计费,计费可采用时长、流量等多种计费方式,满足不同资费政策的需求。
采用PPPOE方式解决以太网接入同样需要安装客户端软件,会造成安装、维护难度增强的问题;同时采用PPPOE方式时,在客户端上IP数据会经过PPPOE、PPP层协议处理,增加了相应的协议开销,造成有效的通信流量的降低。
采用VLAN直接用户接入方式:采用这种接入方式时,每个用户分配一个VLAN端口,MA5200E依据此VLAN再加上用户的IP地址以及MAC地址相捆绑,同时配合用户所需的业务制定的用户策略(用户带宽的需求、分配IP地址数目等)实现对用户实现用户的接入管理、带宽分配以及用户的计费等。
这种接入认证方式的特点是最终用户“零客户端”,即用户终端不需进行任何操作,只要安装好网卡,插入网线即可使用;同时采用该接入方式,网络中传输的均为标准的以太网数据帧,避免了采用PPPOE方式时的网络传输效率下降等问题。
采用VLAN+WEB认证的用户接入方式:采用VLAN方式减少了客户端的安装、维护的工作量,同时提高了网络的传输效率,采用这种接入方式相对于PPPOE接入方式而言,由于减少了用户名以及密码的验证过程,因此比较适合与终端相对固定的用户,如:政府机关、居民用户等,但对于流动性较多、较强的用户,VLAN方式就显得捉襟见肘了。
针对与这个问题,华为提出了VLAN+WEB的认证方式有效地解决了用户帐号的流动问题,VLAN+WEB认证指的是通过VLAN接入的用户首先通过登录门户网站,输入用户名和密码进行身份认证后,从而获得用户访问权限的过程。
当用户采用VLAN方式开机时,先通过DHCP过程来获得IP地址,得到IP地址后,MA5200E把用户的权限设为未认证用户,此时用户只能访问免费站点和门户网站。当用户想访问外部站点时,必须先访问门户网站,进行登录。用户在登录过程中,输入用户名和密码,用户信息被发送到CAMS认证服务器进行认证,认证通过后,MA5200E根据认证结果提供用户使用的权限,通知用户并开始计费。当用户结束访问时,需要在门户网站上点击注销按钮,发送注销消息。MA5200E根据注销消息改变用户权限,并停止计费。
采用VLAN+WEB的接入方式相对单纯的VLAN接入方式其主要特点:
一个用户端口内,不同用户拥有不同的权限:采用VLAN+WEB的认证方式时,一个用户端口内(一个用户家中),不同的用户可以拥有不同的访问权限,例如:家中父母的访问权限较高,而子女的访问权限较低,避免了各类不良站点对用户侵蚀。
用户的帐号可以流动,提高了服务的满意度:用户的帐号可以在同一个WEB服务器的管辖范围内中的任意端口进行上网,大大方便了用户的使用。
对于上述两套方案来说,同样都面临这网络的管理的问题,从整个网络的管理上来说,整个小区的管理面临着下述的问题:
- 设备覆盖范围扩大:宽带小区的建设使得部分设备不能放在机房,而是放在的小区中的居民楼中,使得网络的维护范围从原来的机房扩大为网络覆盖的所有小区;
- 设备数量多,而且分布的点多、面广,使得设备维护量急剧增加;
为了解决上述管理问题,在整个网络的管理上,华为提供了华为集群管理协议HGMP(Huawei Group Management Protocol)对整个网络进行统一的管理,即通过一个公有的IP地址就可以实现对汇聚层、接入层交换机进行集群管理,有效的节省IP地址资源。通过华为的Quidview LAN Manager中提供的Quidview Stackmanager、HGMP Manager可以实现对网络的配置、管理、维护,即在中心就可以完成对各层次设备的包括端口、协议等的配置,通过网管对端口进行开放或关闭,通过网管提供的交换机端口的环回测试对交换机进行远程的维护,做到了网管员不出门便可完成对网络的管理、维护。同时华为提供的网管Quidview、安全管理及计费系统CAMS都提供中文化的管理界面和手册,便于网管员进行学习和操作。
管理功能是可运营IP网络的重要组成部分。能否支持完善、有效可靠的用户管理,将是这个网络能否有效运营的关键。华为 MA5200E支持完善的管理功能,除了提供传统的网络设备的管理之外,还提供包括安全管理以及用户业务管理。
安全管理功能主要包括:
- 支持完善的IP地址以及MAC地址禁止盗用:当众多用户共用一台设备接入网络之中时,当用户恶意修改其MAC地址或者IP地址导致与网络中其他用户重复时,将导致其他用户的业务被严重破坏,网络也无法根据用户的MAC地址或者IP地址进行数据包的转发。严重的如果恶意用户修改其MAC地址或者IP地址与其他网络设备重复时,将会导致网络瘫痪。MA5200E可以有效地防止了恶意用户盗用其他用户以及网络设备的MAC地址或者IP地址,避免了网络混乱。
- 完善的用户IP地址分配,有效的防止DHCP攻击:MA5200E可以有效地对用户的DHCP申请进行控制,恶意用户的通过更换MAC地址的方式进行的大量攻击性请求将无法得到服务,保证了其他用户的服务质量。
- 对用户之间的访问提供严格的控制,保障用户数据的安全性:MA5200E有效地实现了用户之间的受控访问,避免了用户之间的互相访问;同时对于有用户之间网络互连的需求,MA5200E能够通过其它方式实现用户之间的互访。
而在用户业务管理方面,则主要包括:
- 则提供了完善的用户业务服务质量QoS保证,实现对用户区别访问,实现对最终用户业务访问的严格控制,实现不同用户不同的访问权限,例如:某类用户仅能够访问小区内的网站,严格控制其访问外部网站;对于另外某类用户不仅能够访问区内的网站,也可以访问公网的网站。
- 支持完善的针对最终用户的组播流控制,禁止恶意用户申请大量的视频组播流,有效地防止其他用户的业务带宽被挤占,避免其他用户的实时业务受到严重影响。
除了提供对网络的业务的管理之外,华为还为用户提供了用户自助的管理功能,方便用户目前对于个性化管理的需求:
用户开户后,小区用户在家通过终端就可以通过Web随时查询对网络的使用情况,如访问时长、流量、费用等的综合统计和明细信息,并完成对个人信息的管理,如密码修改等。同时还可以通过CAMS提供的用户自助功能使得用户可以通过WEB方式在线修改自己的账户参数,对如服务的优先级别、带宽数等进行设置,以获取合适的服务。
华为宽带小区解决方案已经成功应用于齐鲁石化、安庆石化、胜利油田、准东油田等多个企业,为石油化工企业的宽带小区运营带来了良好收益。
#$[*33089.jpg*#a*#0*#0*#center*]$#
#$[*33091.jpg*#a*#0*#0*#center*]$#
