1、 杭州有线城域网Shasta 5000 宽带业务节点实施方案目录一,实施目标 .4二,软硬件要求 .42.1 硬件 .42.2 软件 .5三,实施系统结构图 .5四,安装和配置 .54.1 SHASTA 基本软件安装 .6SCS 服务器的安装 .6SCS client installation.6Shasta 初始配置 .64.2 DEVICE_OWNER 配置 .6增加 Shasta 设备 .6ISP 生成 .7用户配置 .7Trunk 连接 .7Access 连接 .74.3 ISP 配置 .7Trunk 连接 .7路由配置 .8接入策略配置 .8增加一个 Radius profile .
2、8增加一个 DHCP profile .8增加一个 Access group .8定义地址池(address pools) .9定义 PPPoE 隧道 .9业务策略配置 .9独立策略配置 .9五,实施内容 .175.1,宽带接入功能实施 .175.1.1 PPP OVER ETHERNET ACCESS.175.1.2 身份认证 .185.1.2.1 通过 Shasta 进行本地身份认证 .185.1.2.2 通过 RADIUS server 进行的身份认证 .185.1.3 计费 .195.1.3.1 通过 shasta 进行本地计费 .195.1.3.2 通过 RADIUS server
3、进行计费 .195.1.4 日志(LOGGING) .205.1.4.1. 安全日志 .205.2,网络增值业务 .205.2.1 防火墙业务 .205.2.1.1. 安全策略的实施及验证 .205.2.1.2. 出口反欺诈 (Egress Anti-spoofing)策略的实施及验证 .215.2.1.3. 入口反欺诈 (Ingress Anti-spoofing)策略的实施及验证 .215.2.2 流量控制业务 .215.2.2.1. 流量整形策略的实施及验证 .215.2.2.2. DiffServ 策略的实施及验证 .225.2.2.3. 流量管理 (Policing)策略的实施及验证
4、 .225.2.3 强制门户业务 .235.2.3.1. 强制门户策略的实施及验证 .235.2.4 CACHE重定向业务 .235.2.4.1. Cache 重定向业务的实施及验证 .235.2.5 网络批发业务 .235.2.5.1. ISP contexts.235.2.6 ISP 选择业务 .245.2.6.1. 基于域名的 ISP 选择业务的实施及验证 .245.2.7 联机业务选择业务 .245.2.7.1. 联机业务选择业务的实施及验证 .245.2.8 VPN 业务 .25一,实施目标实施 Shasta 5000 在以太网环境中的宽带接入和增值服务功能,包括:1,宽带接入功能:
5、 PPPoE 接入; 通过 Shasta 5000 BSN 本地认证; 通过 RADIUS Server 认证; 通过 Shasta 5000 BSN 本地计费; 通过 RADIUS Server 计费;2,网络增值业务: 流量控制业务; 防火墙业务; 强制门户业务; 网络批发业务; ISP 选择业务; 联机业务选择业务; VPN 业务; Cache 重定向业务;二,软硬件要求2.1 硬件 Shasta 5000 (实施多节点 VPN 需 2 台以上 Shasta) o 1 SFC card (Switch Fabric Card) o 1 SSC card (Service Subscrib
6、er Card)o 1 CMC card (Control Access 连接这里在 Shasta 5000 和接入用户间建立连接。在 Connections 图标下,为各个ISP 配置一组 PPP 接入用户(Subscriber)。4.3 ISP 配置ISP 配置是为了在 ISP 和 Shasta 5000 间建立 IP 连接,同时为接入用户配置不同的接入策略和增值服务策略。Trunk 连接这一步在 Shasta 5000 和 ISP 核心路由器之间建立 IP 连接。增加一个 Trunk 接口并把它赋予在前面 Device Owner 配置中生成的 Trunk 连接。路由配置在 Trunk
7、接口上配置路由协议。如果没有路由协议需要采用,可配置一条静态路由。接入策略配置这里的所有配置都在Access Properties图标下进行。增加一个 Radius profile该 radius profile 将被使用在 Radius 认证和计费的实施中。把它命名为Radius1。增加一个 DHCP profile该 dhcp profile 将被使用在通过 DHCP 服务器的接入用户 IP 地址获取中。把它命名为 Dhcp1增加一个 Access group我们在这里配置三个 Access Group, 每个 access group 存放了不同的参数。这些参数包含 Radius,DHC
8、P 等 profile.Access group nameRadius server DHCP server DNS serverGroup1 - - DNS Server IPGroup2 Radius1 - DNS Server IPGroup3 - Dhcp1 DNS Server IP在 Group1 的接入用户将 由 Shasta 进行身份认证 由 Shasta 从本地的 IP 地址池中发放 IP 地址在 Group2 的接入用户将 由 Radius Server 进行身份认证和计费 由 Shasta 从本地的 IP 地址池中发放 IP 地址在 Group3 的接入用户将 由 Sha
9、sta 进行身份认证 由 DHCP 服务器发放 IP 地址定义地址池(address pools)为各个用户组(group)定义一个地址池。定义 PPPoE 隧道 在“Access Properties”图标下, 首先定义一个 PPPoE connection template。 采用系统默认选项。接着生成一个 PPPoE 隧道并把它连接到: 接入连接(Access Connection) 前面定义的 connection template业务策略配置在添加接入用户前,建议 ISP 预先配置其将提供的业务策略框架(Service Policy profile) 。下面定义的业务策略是本次实施的样板策略,可根据业务需要进行修改。独立策略配置安全策略 这里给出一个带有四条规则的样板安全策略 (sec1)。它防止任何 FTP 流量并记录任何 FTP 企图。第四行只允许从一台管理工作站 ping 接入用户的地址。最后一行丢弃所有其他数据包。出口反欺诈 (Egress anti-spoofing)增加一个出口反欺诈策略 (命名为 espoof1). 该策略不可被编辑修改。入口反欺诈 (Ingress anti-spoofing)增加一个入口反欺诈策略 (命名为 ispoof1). 该策略不可被编辑修改。
