1综述
北电网络Shasta宽带业务网关专为宽带网设计,在标准7英尺机柜中可以同时支持128 000个宽带用户,并且依靠其112个CPU可以为用户提供全线速的IP业务处理能力。正是由于Shasta其本身的巨大处理能力以及丰富的IP业务,Shasta在全世界取得了巨大的成功。根据Synergy Research Group和Infonetics Research两家权威机构对Shasta的市场占有率的调查结果,截至2000年第四季度,Shasta在IP业务领域大约占据了66%的市场份额,远远超出了竞争对手。另外,Shasta在中国同样也取得了巨大的成功,2001年上半年北电网络公司就分别与上海电信、山东电信、浙江电信以及黑龙江电信等签订全省的宽带服务器供货合同,为其宽带网用户提供汇聚业务和VPN等IP增值业务。
2Shasta产品简介
北电网络Shasta用户服务系统由用户服务网关SSG-5000、IP服务操作系统(ISOS)和用户业务创建系统(SCS)组成。
SSG-5000是符合NEBS的平台,设计运行于要求最严格的中心局和POP环境。每一个机箱本身支持14个垂直对齐的卡槽,包括交换、控制、服务处理和输入/输出模块。两个中心插槽(7,8)留给具有可选冗余的主交换模块,即交换结构卡(SFC)。SFC提供无阻塞交换能力,可以为各个线路与处理器卡提供排队的机制。最右端的控制和治理卡(CMC)插槽(13,14)具有可选冗余的系统控制器和路由引擎,它负责基本系统运行和治理,向SSM、IKE和路由分配用户,每个CMC目前最大可以同时支持32000个用户。Shasta其余10个插槽可以用于用户服务卡(SSC)和线路卡(xLC),Shasta系统可以包含7个SSC。SSC包含处理器阵列,它们对用户逐个进行IP业务处理和策略操作。满负载的SSG可以包含112个SSM处理器(42 000 MIPS)和7GB内存,远远超过该产品类中的任何其它平台。线路卡提供进出SSG的物理连接。
ISOS基于WindRiver的VxWorks,是一个多线程操作系统。ISOS支持丰富的服务,包括支持VPN的隧道服务、安全性、流量治理、入口和话音集成等IP增值业务。
用户业务创建系统(SCS)是一种功能强大的图形治理和设置工具,它答应服务供给商迅速而高效地为数万用户供给服务。与现有的治理模式不同,它引入了“模板”概念,将策略的生成与实际的用户分离开。与这种模式相对的是其它厂家的基于CLI的设置,它是将某个用户与CLI配置的一个部分相关联,但这种方案显然不能扩展适应复杂策略的生成和应用。
3Shasta在IP城域网中应用
根据用户不同的联网方式,用户可以分为两类:ADSL用户和以太网用户。ADSL用户通过PPPoE上网,而以太网用户可以分为以太网虚拟拨号用户和以太网专线用户,以太网虚拟拨号用户通过PPPoE上网,而以太网专线用户不须进行PPPoE认证可以直接上网。
对于ADSL用户,其数据流通过DSLAM,再通过ATM网络,最终汇聚到宽带接入服务器(Shasta)上。Shasta可以通过155Mbit/s或者622Mbit/s ATM端口与ATM网络互连。具体端口的选择根据每个城市、每个POP点的实际情况而定。对于北电网络的Shasta来讲,其每个ATM端口都可以配置为接入端口或者中继端口。为了保证网络的可靠,目前Shasta可以提供具有APS(自动保护倒换)功能的622Mbit/s ATM接口卡。在APS模式时,当主用端口出现故障后,备用接口可以在50ms以内接替主用端口的工作,而对于那些通过155Mbit/s ATM进行连接的情况,Shasta通过Soft-APS方式可以提供板卡之间的基于软件的APS保护。
对于以太网连接的用户,其又可以分为以太网虚拟拨号用户和以太网专线用户。对于以太网虚拟拨号用户,可以采用PPPoE方式对这些用户进行认证、计费。根据PPPoE的定义,宽带接入服务器与用户PC机之间只能是二层交换机,而不能是路由器。城域网根据网络结构可以划分为四层:核心层、汇聚层、小区层和楼宇层。基于网络性能、扩展性以及性能价格比方面的考虑,宽带接入服务器应位于城域网络的汇聚层,汇聚层和骨干层设备可以是具有三层路由功能高端交换机,而小区层和楼宇层的设备是二层以太网交换机。根据小区节点光纤铺设情况和小区交换机的配置情况,小区节点可以选择100Mbit/s或者1000Mbit/s速率上联,此时有两种物理汇聚小区用户数据流的方法:一种为由汇聚层中的局域网交换机来汇聚。对于局域网交换机来讲,它可以提供非常丰富的以太网接口,在对数据包进行交换和路由时,速度较高,并且相比较而言,局域网交换机的以太网端口成本较低。此时,宽带接入服务器与局域网交换机并联,宽带接入服务完成用户PPPoE Session的汇聚。第二种方法为宽带接入服务器与局域网交换机串接,宽带接入服务器在物理汇聚小区用户数据流的同时终结用户的PPPoE Session。综合考虑以上两种方案,出于考虑到用户的分布数量和每个用户所分配的实际带宽,一般由LAN Switch来做用户的物理端口的汇聚,而由Shasta来做用户虚拟拨号的汇聚,另外再通过吉比特以太网卡将接入用户的数据流中继到城域网骨干。
ADSL和以太网虚拟拨号用户主要为个人用户,因此要通过PPPoE进行认证,我们可以通过Radius Server完成用户的认证和IP地址分配。对于这些用户我们可以分配其私有IP地址,当这些用户访问Internet时,由Shasta来做地址翻译(NAT)。而以太网专线用户主要为中、小企业用户,我们分配给其公有IP地址,而不对这些用户进行认证。
对于PPPoE上网的个人用户和专线用户,其计费方式可以不同。PPPoE用户可以根据Radius Server上的信息进行计费。通过强制网络门户(Captive Portal)功能,Shasta可以让用户动态选择本次上网的行为,如用户可以选择此次上网的速率。Shasta对用户的保证速率、突发速率、峰值速率以及峰值脉冲等都可以进行设置,并根据这些参数对用户的数据流进行流量控制。另外再根据Radius Server上的记录,运营上可以对用户进行比较具体的计费。而对于以太网专线用户,由于这部分用户的数据流并不经过Shasta,则此时这些用户的计费可以在支持计费功能的以太网交换机和路由器上实现。
安全性一直是用户非常关心的问题,Shasta可以为用户提供“状态”防火墙保护。Shasta唯一获得了国际防火墙权威机构颁发的“ICSA”认证。Shasta提供的防火墙业务是有“状态”的防火墙业务,这是真正的防火墙,其与网络设备上的Access List有本质区别。所谓有状态的防火墙是指防火墙设备在收到一个数据包后不仅根据其IP包的内容进行处理行为的判定,同时还记录下整个应用会话的过程,根据该数据包在整个会话过程中的作用判定如何进行处理。真正的防火墙能够防止恶意的用户将合法的被接收的数据包记录下来,并将其篡改后再发到内部网络中。而网络设备上的Access List仅可以根据IP包的封装信息进行过滤,如IP地址、应用端口等,而这些信息都是未经改动的信息,黑客可以仅将负载的数据部分加以篡改,所以网络设备上的过滤器不能防止这种攻击。
Shasta的网管系统??SCS支持分级网管结构。SCS分为Domain和Region两级,每个Domain可以治理32个Region,每个Region可以治理16台Shasta,因此SCS网管系统可以治理512台Shasta。对于黑龙江、山东等城域网,我们将全省设置为一个Domain,每个地市为一个Region。根据不同省市的实际情况,Domain和Region可以放置于一台SUN服务器上,也可以分开放置。
另外,Shasta在提供汇聚功能的同时,还为城域网提供基于网络的业务,如强制门户、内容过滤、Web缓存、带宽批发以及IP VPN等。