2020 3 6 ME60產品介紹 網絡的轉型ME60架構介紹ME60的主要特性ME60的關鍵應用 當前網絡業務的變化 需求的變化要求提供豐富的內容和區別服務 而不是簡單的連接 增值業務對用戶更為重要 是新的業務營收來源 運營商的挑戰基于傳統網絡 難以在需要時提供種類繁多的增值業務 收入下降 一張IP網絡提供所有的業務 但其帶寬大部分被不帶來收入的P2P流量消耗 網絡轉型的挑戰傳統IP網絡只能提供單一的盡力而為的轉發業務 增值業務 視頻 IPTV 游戲 NGN和3G等業務之間沒有資源隔離 不能保證業務正常開展 網絡的寬帶業務價值鏈缺乏控制點 也缺乏有效的運營模型 內容 網絡 的融合在傳統Internet網絡上應用困難 網絡轉型的方向 發展多業務承載網絡 接入各類業務終端和傳統網絡的網關 提供數據 視頻 語音和游戲等 避免為不同業務管理多張網絡 通過高可靠性 高性能和QoS保證加強IP MPLS核心網絡 通過智能網絡邊緣關聯承載層和業務層 實現承載業務的感知 分類和策略執行 保證其QoS和強大的安全保障 發展可管理和可運營的網絡 以降低CAPEX和OPEX 綜合的BOSS解決方案 平臺化的業務管理 快速相應和客戶定制業務 轉型方向 從傳統的IP網絡轉向運營級網絡 邊緣網絡必須具備很多功能 MPLSL3PEVPN Internetrouter 帶寬管理 策略執行 BRAS QoS IPSec PPP終結 防火墻 家庭網關管理 AddressTranslate v4 6 深度報文檢測 GGSN 會話邊界控制器 Martini PWE3 FR ATM VPLS Ethernetswitch 基礎設施 管道 認證 業務和管理 POS SDH TriplePlay 業務批發 CarrierEthernet TDM Softswitch CPE STB AccessNetwork DPI 深度報文檢測 IP MPLSCore SBC BRAS VPNGateway Router 應用業務 設備的簡單疊加不能滿足多業務網絡的需求 不能提供特定用戶的 特定業務的區分服務 對于各種發布惡意攻擊的設備不易管理 來自不同廠商的不同設備不易管理 大量設備需要設備間 電力供應的更大花費 SecurityControl 由于不能區分用戶 因此不能應用統一的管理策略 由于不能區分業務和用戶 因此不能將數據導入到對應的子網 發現惡意攻擊 但在哪里阻塞該攻擊 當前網絡的問題 MSCG Multi serviceControlGateway 華為的邊緣網絡架構 MSCG Access IPCore 核心網絡規模大 但功能上簡單 邊緣網絡需要安全控制 核心網絡承載多業務 需要邊緣設備進行業務識別 業務流區分 為了合理使用核心網絡資源 邊緣需要實施資源控制和調度 CAC CallAdmissionControl 統一的用戶管理是必須的 難以在各種接入模式上實現統一的資源控制 在接入網實施安全控制代價大 在接入設備上支持QoS代價大 通過關聯業務層和承載層實現統一資源控制 CAC 基于用戶級別業務流的管理 安全控制和QoS控制業務識別 區分和代理多業務匯聚 以簡化網絡結構 單個設備提供所有業務并處理 包括MPLSVPN VPLS VLL PWE3提供企業客戶業務 BRAS提供TriplePlay業務 防火墻提供安全業務 SBC提供NGN信令和媒體流代理 DPI用于業務 協議識別和控制 所有用戶接入基于商業策略控制 包括安全 QoS和帳戶 而不是基于IP地址 網絡的轉型ME60架構介紹ME60的主要特性ME60的關鍵應用 Page9 ME60產品家族 4U3Slots 14U8Slots ME60 X8 ME60 X16 ME60 X3 32U16Slots V6R2版本新增 20U8Slots 36U16Slots ME60 8 ME60 16 V1R6 V1R5版本支持 ME60老整機 ME60 X系列新整機 注 為滿足老整機支持40GBSU MSU單板需求 V6R2還新增ME60 168KW整機 ME60 DPI SecurityControl EdgeRouter MPLS用于商業IP MPLSL2 L3VPN用于企業網MPLSVPLS用于MetroEthernetMPLSTE用于運營級業務和網絡資源管理PWE3用于ATM FR網絡遷移 流量管理 基于策略的DPI業務感知的策略控制 安全 防止各種攻擊和資源濫用終端 網絡和業務的安全ASPF Application SpecificPacketFilter 寬帶IP業務 為終端和用戶接入認證和授權動態業務選擇 DSS DynamicServiceSelection 業務計費 CustomerManagement SBC VoIP業務 SBC SessionBorderController信令和媒體代理組織對NGN網絡的攻擊和濫用 多業務引擎 ME60MSCG ME60系列 ME60 16和ME60 8 ME60 16 ME60 8 交換容量 640Gbps業務槽位 16 8端口 每槽位 24XGE 電口 可適應FE 10XGE 電口 光口SFP 10GE10GPOS4X2 5GPOS冗余 交換網控制單元電源風扇系統擴展能力 ME60 16和ME60 8主控板和交換網不混用 業務板可以混用 無槽位限制 ME60MSCG VRPinside IPv6Ready ME60系列 ME60 16和ME60 8 ME60結構及槽位 LCD顯示 插槽機框 風扇框 電源框 LPU板 最多16塊 MPU板 2塊 主備冗余 SFU板 4塊 1 3冗余 16個業務槽位 每槽位具有1或4 10G的接口容量4塊交換網板 1 3冗余 每網板提供160G交換容量 加速比超過2 保證任何情況下的無阻塞交換LPU可以是BSU ESU TSU或SSU 數據轉發平面 LPU監控 交換網 MPU ESU SFU TSU ME60系統架構 SSU BSU LPU控制 監控平面 控制平面 通過如下保證高性能和高可靠性 分布式架構 多平面設計 信令處理和數據轉發分離 業務可擴展 比如防火墻和DPI通過負荷分擔分布到多個業務處理單板上 1 ME60主機硬件模塊 背板BKPA方案 ME60主要單板 ME60軟件系統架構 網絡的轉型ME60架構介紹ME60的主要特性ME60的關鍵應用 ME60關鍵特點 增強的業務控制平面 極為靈活的用戶管理和業務管理能力 比如DSS Firewall SBC DPI等 分布式DPI 層次化的DPI部署方案 SSU和外置專用DPI設備配合 平衡功能和性能 解決了外置DPI設備轉發性能的不足 R003功能 采用業界領先的網絡處理器和分布式處理架構 獲得持續的業務升級能力和突出的處理性能 可以根據需要對各功能模塊進行靈活的組合和擴展 采用2 56T背板 交換容量達到640G 接口容量達到320G 可擴展性強 高性能的業務處理板 BSU和SSU均采用10G平臺 ME60主要業務特性 1 IPIPv4 IPv6雙棧 IPv4地址轉換和IPv6過渡方案路由協議 Static RIP RIPng OSPFv2 v3 IS IS BGP BGP MP BGP路由表 1 5M BGP4 MPLSLDP CR LDP RSVPMPLSOAMMPLSTEMulticast協議 IGMP PIM DM SM MBGP MSDP組播方案 PPPoE組播 MVLAN 接口 可控組播性能 8K S G 槽位 8K份 S G 最大復制32K份 槽位VPN三層VPN BGP MPLSVPN 1KVRF二層VPN VPWS 支持Martini和Kompella草案 VPLS BGP或LDP信令 H VPLS 4KVSI組播VPN 在MPLSL3VPN里面提供組播業務 ME60業務特性 2 寬帶接入用戶接入 xDSL Ethernet WLAN HFC IPv4andIPv4 IPv6雙棧接入接入和認證 PPP DHCPOption WEB AAA授權 bandwidth ACL Priority RoutingPolicy DSS動態業務選擇安全 通過VLAN和VPN隔離用戶 綁定檢查VPN 接入用戶可映射到MPLSL3VPN 用于多ISP業務批發VPDN功能 LAC LNS LTS ME60業務特性 3 業務特性DSS 動態業務選擇 與Portal 策略服務器一起為提供靈活 多樣的定制業務SIG 與SIG配合 實現網絡的安全控制安全NAT NATALG狀態防火墻 VPN感知 可基于用戶域決定是否做防火墻HA 防火墻熱備份 主SSU失效可切換到備SSU 業務不中斷 DPI P2P流量檢測和管理 BT eMule eDonkey SBC支持NGN信令流和媒體流代理功能 支持SIP MGCP H248 H323代理 支持RTP RTCP流的代理轉發功能 主備用SBC熱備份 注冊用戶不掉線 IPTV支持各種用戶標識方式 包括VBAS DHCPOption82 PPPoE 等組播 基于PPP會話 VLAN 組播VLAN或接口的組播TriplePlay支持DHCPOption82和Option60支持終端的隔離和綁定檢查支持不同業務的優先級調度 ME60業務特性 4 QoS能力強大的簡單流分類能力靈活的復雜流分類 支持接口ACL和用戶ACLRemarkMeterCAR功能強大的WRED層次化調度5級調度業界第一的TM調度能力基于SP WRR WFQ RR的調度 提供嚴格的資源保證和靈活的業務模式基于用戶的業務流調度調度采用專用TMASIC完成 不影響轉發性能License增強功能可以對VPDN功能 接入用戶功能和用戶數 防火墻功能 IPTV可控組播功能 SSG功能和業務數等通過License進行控制 ME60業務特性 5 HA關鍵部件冗余主控板 交換網 風扇 電源等關鍵部件提供冗余備份能力 無單點故障GracefulRestart和NSF支持各類路由協議和VPN應用的GracefulRestart 主備倒換不需要重新學習路由FRR和LSP支持快速重路由和LSP的備份 為鏈路失效和節點失效提供保護OAM BFD支持MPLSOAM和BFD 在數據平面快速檢測和倒換 保證業務不中斷VRRP ASSP通過VRRP和ASSP 為雙歸入接入和上行提供很好的保護能力Trunk通過以太網Trunk和IPTrunk 增加帶寬并提高可靠性環網接入支持STP和RRPP協議 RRPP透傳V1R3支持 透傳功能 為環網接入提供了保證 有效提高業務可靠性 ME60業務特性 6 網絡的轉型ME60架構介紹ME60的主要特性ME60的關鍵應用 用戶按域管理域可以理解為具有某種共同業務屬性的用戶群或者某種業務終端用戶認證時 選擇相應的域 按所選擇的域來控制其業務按域實施控制策略認證計費策略 是否需要認證 計費 計費服務器故障后的計費策略帶寬控制參數訪問權限用戶優先級 DSCP 802 1p等QoS參數路由策略 用戶業務流分流按域部署 分配網絡資源按域部署DHCPServer RadiusServer 地址資源 用戶管理 管理用戶的策略 域可以用來對用戶分群 業務終端分類 用戶管理 標識并定位用戶的方法 PUPV PUPV PerUserPerVLAN 離用戶最近的L2或DSLAM為用戶標記VLANID用戶標識 帳號 接入位置 BAS設備 槽位 端口 VLAN 用戶終端標識 IP MAC地址 用戶安全性 通過VLAN隔離 防DHCP ARP PPPoE欺騙 防IP地址盜用私接用戶防止 一個物理位置接入用戶數限制帳號安全性 用戶帳號和指定端口綁定網絡攻擊定位 每個用戶的接入位置唯一 對網絡的惡意攻擊不可抵賴 ME60 LanSwitch VLAN1 VLAN2 PVC1 PVC2 PORT1 PORT2 PORT1 VLAN1 PORT1 VLAN2 PORT2 VLAN1 PORT2 VLAN2 ME60 用戶管理 對標識用戶的擴展技術 PUPV方式 PPPOE 方式 PPPOE VBAS方式 VBAS DHCPOption82 VlanStack vlan vlan vlan vlan1 vlan2 PPPOE DHCPOp82 DHCP ME60 DSLAM 分配靜態地址分配靜態地址 在指定端口接入分配動態地址PPP用戶從AAA或本地地址池分配地址PPP用戶 從外部DHCPServer統一分配地址支持DHCPRelay支持內置DHCPServer地址的安全性用戶地址被綁定 防地址仿冒用戶關機后由BAS釋放已申請的地址對VLAN下接入用戶數限制 防止惡意申請地址 DHCPServer Internet 偽造MAC地址不斷申請IP地址 關機不釋放IP地址 長時間占用地址資源 盜用其它用戶地址 ME60 RadiusServer 用戶管理 地址分配 用戶管理 接入認證 PPP撥號認證PPPoE PPPoEoA PPPoA撥號本地地址池 RadiusServer DHCPServer分配地址強推Portal門戶802 1x認證支持WLAN用戶的EAP MD5認證和EAP SIM認證Web認證強制WEB認證 強推Portal門戶認證后二次地址分配快速WEB認證端口綁定認證和WEB認證結合 無需輸入用戶名和密碼 只需點擊 確認 按鈕認證方式靈活性同時支持PPP 802 1X WEB 端口綁定認證 每個端口可以指定某種或某幾種認證方式 用戶管理 用戶業務授權 帶寬控制 通過CAR實現基于用戶帳號的帶寬控制訪問權限 支持基于用戶分群的訪問權限控制 UCL UserbasedACL 而不是傳統路由器的基于地址段的ACL互訪權限 支持基于用戶分群的互訪權限控制QoS優先級 區分用戶服務 DSCP和802 1p組播權限 對用戶組播權限控制 使組播業務可控策略路由 指定上行端口 下一跳 VLAN 隧道 L3 IAD VoIPGW PSTN ISUP Softswitch AAAServer MetroNetwork IP MPLSCore ADSL CPE STB SmartAXMA5300 MSCG MSCG TriplePlay業務和按需QoS VoIP RM9000 作為接入RM RM9000獲取接入網的拓撲 通過配置 從MSCG動態更新拓撲信息 或者通過H 248 DIAMETER接口從AMS動態更新拓撲信息 MSCG通過配置或者從拓撲發現協議比如HGMP L2CM等獲取接入網的拓撲信息 5 針對拓撲和業務優先級的層次化調度 比如高質量VoIP流可以搶占低優先級的Internet上網業務 基于CAC和帶寬預留 通過層次化隊列調度 MSCG可以為IPTV和VoIP業務提供運營級的QoS保證 獲取拓撲和資源信息 通過配置或者從MSCG動態更新或者從AMS通過H 248 DIAMETER接口更新 IAD AAAServer MetroNetwork IP MPLSCore ADSL CPE STB SmartAXMA5300 VideoHeadend MPEGEncoder 中間件 EdgeServer VoD TriplePlay業務和按需QoS IPTV MSCG MSCG Internet RM9000 基于CAC和帶寬預留 通過層次化隊列調度 MSCG可以為IPTV和VoIP業務提供運營級的QoS保證 L3 AAAserver MetroNetwork IP MPLSCore RM和策略服務器 QoS應用 BandwidthOnDemand MSCG Portal服務器 Internet 用戶 ISP1 ISP2 0 使用缺省帶寬訪問ISP1 4 用戶帶寬調整 MSCG MSCG MSCG根據用戶帶寬請求調整帶寬基于帶寬調整的計費 安全應用 加強網絡安全 DoS流量 P2P 核心網絡 不可信 不安全Zone 可信 安全Zone 業務隔離 接入網絡 IP MPLSCore Softswitch Worm VoD VoIP MSCG 對終端和業務的接入認證 對相同終端的不同業務隔離 對不同終端的業務隔離 基于策略的防火墻 阻止DoS攻擊 L3 VoIPAG PBX Softswitch MetroNetwork IP MPLSCore 安全 SessionBorderController MSCG MSCG Internet IAD OpenEye IPCallCenter Firewall BillingandOSS 媒體流 信令流 安全 QoS 企業 媒體流可以穿越防火墻 而不需要替換NAT FW和改變網絡拓撲 NAT 防火墻穿越 對信令流和媒體流優先處理對媒體流進行QoS調度和保證 基于用戶業務的安全控制屏蔽IAD 軟終端和不信任的AG阻止DoS攻擊保護軟交換設備 安全 全面的安全控制 用戶級的安全對終端認證和授權對仿冒終端的識別和隔離對終端的隔離和控制 避免終端之間直接互通網絡層安全業界領先的10G平臺內置