接入网产品PITP特性综合专题0420A.docx
- 文档编号:30514387
- 上传时间:2023-08-16
- 格式:DOCX
- 页数:26
- 大小:197.31KB
接入网产品PITP特性综合专题0420A.docx
《接入网产品PITP特性综合专题0420A.docx》由会员分享,可在线阅读,更多相关《接入网产品PITP特性综合专题0420A.docx(26页珍藏版)》请在冰豆网上搜索。
接入网产品PITP特性综合专题0420A
资料编码
产品名称
接入网
使用对象
工程师
产品版本
与版本无关
编写部门
接入网产品技术服务部
资料版本
V1.0
接入网产品PITP特性综合专题
拟制:
黄爱芸(28899)
日期:
2007-3-13
审核:
赵峰
日期:
2007-3-19
审核:
日期:
批准:
日期:
华为技术有限公司
版权所有XX
修订记录
日期
修订版本
描述
作者
2007-3-13
V1.0
初稿完成
黄爱芸
2007-4-20
V1.1
修正个别笔误
黄爱芸
目录
第1章PITP协议概述1
1.1PITP概念1
1.2PITP协议产生的背景1
1.3PITP的作用2
第2章PITP协议原理3
2.1PITP协议解决方案3
2.2PITP协议组网模型4
2.3PITP协议分类及实现流程5
2.3.1PITP协议V模式(VBAS)实现流程5
2.3.2PITP协议P模式(PPPoE+)实现流程7
2.4PITP协议中BAS与RadiusServer报文交互格式9
第3章接入网产品软硬件支持情况10
3.1MA5100系列10
3.2MA5300系列11
3.3MA5600系列11
3.4MA5600T系列11
3.5UA5000系列11
第4章接入网产品配置实现13
4.1各产品PITP配置步骤13
4.2各产品PITP配置命令汇总与对比13
4.3各产品查看PITP当前状态和配置15
4.4PITPP模式(PPPOE+)报文实例17
4.4.1MA5600和MA5200G配合实现PPPOE+测试实例17
4.4.2MA5100启用PITP后传送的PADI报文实例18
4.4.3MA5300启用PITP后传送的PADI报文实例20
附录:
华为BAS与RadiusServer报文交互格式22
附录1:
华为MA5200F(ISU)启用PITP功能前后NAS-PORT-ID格式22
附录2:
华为MA5200G启用PITP功能前后NAS-PORT-ID格式23
附录3:
华为ISN8850启用PITP功能前后NAS-PORT-ID格式24
关键词:
PITPADSLBASPPPOE+VBAS
摘要:
PITP是华为公司为解决IPDSLAMVLAN资源不足、IP电信网QOS以及统一维护管理问题而提出的一种具有自主知识产权的宽带协议。
目前,华为接入网产品和BAS产品基本上都已实现PITP功能。
本文包括PITP原理、接入网各产品对PITP支持的情况、各产品PITP的实现等,结合报文实例和测试实例,希望能帮助大家更好的学习和理解PITP协议与其应用。
缩略语清单:
PITP(PolicyInformationTransmissionProtocol)策略信息传输协议
HGMP(HuaweiGroupManagementProtocol)华为集群管理协议
ADSL(AsymmetricalDigitalSubscriberLine)非对称数字用户线
BAS(BroadbandAccessServer)宽带接入服务器
RADIUS(RemoteAuthenticationDialinUserService)远端用户拨入认证服务
参考资料清单:
各接入网产品用户手册以及各产品版本说明书
第1章PITP协议概述
1.1PITP概念
PITP协议全称为PolicyInformationTransmissionProtocol,即策略信息传送协议,协议包括端口信息获取、带宽资源搜集、QOS策略下发以及配置维护信息传送等四种不同策略信息动作,是华为公司为解决IPDSLAMVLAN资源不足、IP电信网QOS以及统一维护管理问题而提出的一种具有自主知识产权的宽带协议。
PITP是华为公司HGMP协议族中的一种协议。
HGMP协议是华为公司自主开发的一种基于二层通信的协议,包括HDP协议(华为邻居发现协议)、HTP协议(华为拓扑收集协议)以及PITP协议等。
1.2PITP协议产生的背景
随着INTERNET的高速发展,宽带上网用户急剧增加。
在运营商大规模建设宽带网络的过程中,组网模式经历了从ATMDSLAM向IPDSLAM的转变。
随着网络规模的不断壮大,上网人数的不断增多,网上出现的账号盗用和黑客攻击大有越演越烈之势。
针对黑客攻击,目前宽带设备的主要做法是采用用户隔离的方式来阻断用户对其他用户的影响,将其造成的破坏限制在一个很小的范围内。
在采用ATM上行的DSLAM组网中,通常是采用为每一个ADSL用户建立一条DSLAM到BAS的PVC,不同PVC之间相互隔离;IPDSLAM组网模式则是通过为每一个用户分配一个VLANID来阻断不同用户之间的互访。
针对帐号盗用,目前的解决方法是将用户的帐号与端口标识进行绑定,配合RADIUSSERVER来完成对用户合法性的判断。
用户的端口标识,在ATMDSLAM中为用户PVC,在IPDSLAM中则是VLANID,用户PVC或者用户VLANID与实际上网用户是一一映射关系;BAS设备捕获用户的认证报文,取出用户的帐号信息并连同用户的端口信息(VLANID或者PVC中的VPI、VCI)上交给RADIUSSERVER,由RADIUSSERVER判断用户的帐号和端口标识与是否合法,从而决定用户是否可以上网。
ATMDSLAM采用为每个用户分配一条PVC,用户与PVC之间是一一对应的关系,PVC的数量由VPI和VCI的值来决定。
根据ATM信元中VPI和VCI的定义,在用户网络侧,VPI为8个比特,VCI为16个比特,共可支持256(VPI)×65536=16777216个,完全可以满足DSLAM接入的用户的需要。
采用IPDSLAM上行的组网模式大多是FE上行经过LANSWITCH汇聚后以GE口接入BAS设备。
现有的802.1Q规定的VLAMID为12比特,最多支持4096个用户,如果采用每个用户一个VLANID的方式,一个GE口汇聚的用户最大4096,当用户端口数超过4096,势必多个用户共享一个VLANID,无法防备帐号盗用和黑客攻击。
1.3PITP的作用
PITP协议通过PPPoE认证请求报文携带用户物理端口信息,与BAS(ISN8850、ESR8825、MA5200F、MA5200G等)配合,解决了宽带用户的标识问题,实现了用户帐号与用户端口绑定。
V模式和P模式两者不同点是P模式是通过DSLAM插入用户信息实现,是一种主动的方式;V模式是通过应答BAS设备的查询信息告知用户的端口信息实现,是被动的方式。
V模式需要在BAS设备上配置数据,因此P模式应用的范围更多一些。
第2章PITP协议原理
2.1PITP协议解决方案
为了解决DSLAM中用户帐号盗用问题,通过在DSLAM与BAS之间定义一种策略信息传送协议(以下简称PITP协议),用来传送用户物理端口信息(比如用户所在DSLAM上的框槽端口信息以及用户在DSLAM上的唯一标识索引等等)。
此协议通过二层点对点通信方式实现策略信息的获取或传送,PITP协议示意图如图1-1所示:
图2-1DSLAM与BAS之间的PITP传送方式
对于二层点对点方式,存在两种组网模式:
1、DSLAM与BAS之间采用直连
2、DSLAM通过LANSWITCH汇聚到BAS
对于前一种方式PITP协议的发送方(DSLAM或BAS)需要知道对端接收方的二层地址信息,以便构造二层报文头;后一种方式还需定义一个设备标识来唯一标识一个DSLAM设备,这样作的好处是不同DSLAM之间的报文可以相互隔离。
对于ATM网可以在DSLAM和BAS之间单独定义一条PVC来传送策略信息报文;以太网则用VLANID来标识一个DSLAM设备,VLANID与DSLAM可以一对一,也可以是多对一,但接入到同一个BAS端口上的DSLAM设备的VLANID不能重复。
注意在PITP协议中VLANID是用来标识DSLAM设备,而正常情况下DSLAM与BAS之间VLANID是用来标识用户端口信息的。
PITP协议不仅支持ADSL接入,也适用VDSL和LAN接入;不仅用于PPPOE认证方式,也可以采用其他认证方式。
2.2PITP协议组网模型
PITP协议适应的DSLAM组网模型如下:
图2-1PITP协议的DSLAM组网模型
说明;
模型1:
DSLAM通过L2/L3汇聚到BAS,其下直接接入的用户采用一个VLAN上行,VLAN透过L3接入BAS;
模型2:
DSLAM级联方式组网,下挂级联的每个DSLAM单独分配一个VLAN,该VLAN透过L3接入BAS;
模型3:
DSLAM直接接入BAS,所有用户都在一个物理端口下,不配置VLAN;
模型4:
DSLAM通过L2/L3汇聚到BAS,其下直接接入的用户在一个物理端口下,不配置VLAN,由L3打VLAN标签接入BAS;
从上述组网模型可以看出PITP协议要求每个DSLAM都至少需要一个VLAN或物理端口与BAS设备对应,VLAN与DSLAM是多对一的关系,即支持一个或多个VLAN对应一个DSLAM,不支持一个VLAN对应多个DSLAM(不包括级联情况)。
支持PITP协议(PolicyInformationTransferProtocol),通过PPPoE认证请求报文携带用户物理端口信息,实现了用户帐号与用户端口绑定,解决了宽带用户的标识问题。
2.3PITP协议分类及实现流程
PITP协议分为V模式和P模式,V模式就是我们俗称的VBAS,P模式就是我们俗称的PPPoE+。
2.3.1PITP协议V模式(VBAS)实现流程
PITP协议V模式实现流程如图1-2所示:
图2-1PITP协议V模式业务流程
PITP协议的工作流程的详细描述如下(以PPPOE接入方式为例进行说明):
1、用户主机广播一个会话发起数据包(以请求建立链路),期待BAS响应(IPDSLAM可以自动学习该用户的MAC地址,建立MAC和IPDSLAM上的物理端口对应表)。
2、一个或多个BAS收到广播后,若能提供用户所需的服务(PADI字段),则发送服务提供数据包给用户主机(用户主机可以根据该数据包学到BAS的MAC地址)。
3、用户主机依据一定的原则(由具体实现决定)挑选出一个BAS,向其发送单播会话请求数据包。
4、被选中的BAS收到会话请求数据包包后,产生一个唯一的SessionID,向原用户主机发送确认数据包后(包含SessionID),然后进入到PPP会话阶段。
5、当用户主机接收到选中BAS的确认数据包后,根据SessionID与BAS进行PPP会话,开始向BAS发送身份认证请求包(以点对点方式通过LCP协议完成)。
6、BAS收到认证请求包后,向IPDSLAM(也可以为以太网方式的用户接入交换机,下文出现IPDSLAM的地方,均可采用以太网交换机,将不作特别说明)发送PITP请求数据包,以查询用户主机的MAC地址来自哪个IPDSLAM(或以太网接入交换机)的具体物理端口。
7、IPDSLAM收到PITP请求数据包后,向BAS发送PITP响应数据包,返回用户主机的MAC地址和IPDSLAM物理端口对应关系)。
8、BAS向宽带接入服务商后台认证系统(如通过Radius协议向RadiusServer)发送认证请求包(包含用户帐号、密码、所在IPDSLAM的物理端口等信息)。
9、后台认证系统(如RadiusServer)返回BAS认证结果响应包。
10、BAS返回用户主机认证结果响应包。
11、如果认证通过,则建立PPP连接,通信双方可以进行PPP数据的传输。
在上面的流程中,步骤6和7是本协议方法的关键。
下文重点叙述该部分的实现方案。
对于现在已经成熟的PPPOE协议,不做赘述。
为了能够及时地将用户帐号和IPDSLAM上的物理端口信息上报给后台,本协议的基本思路是:
BAS设备在检测到用户上网并开始发起认证请求时,通过PITP协议向DSLAM设备发起端口信息请求报文,报文中封装有策略信息传送类型、操作类型以及被查询的用户二层MAC地址等,其中信息传送类型指定为端口信息查询类型,操作类型为请求查询;DSLAM收到PITP端口信息请求报文后,将指定用户的物理端口信息封装在PITP回应报文中返回给BAS设备。
BAS设备记录用户的上网端口信息,与用户帐号信息一起通过RADIUS报文发给RADIUSSERVER进行认证确认,由于RADIUSSERVER配置有用户帐号与端口信息的关系,因此可以很容易根据RADIUS认证报文中的用户帐号信息和端口信息判断用户的合法性,实现了帐号和用户DSLAM端口的绑定功能,有效防止帐号盗用。
2.3.2PITP协议P模式(PPPoE+)实现流程
PITP协议P模式实现流程如图1-3所示:
图2-1PITP协议P模式业务流程
图1-3描述了DSLAMForum最新标准下,DSLAM用户在PITP协议P模式下的简要交互流程:
1、在PPPOEDISCOVERY阶段的PADI、PADR报文中,通过扩展的tag0x0105(Vendor-Specific,这与rfc2516建议的不同,下面详细介绍),携带用户电路标识(AgentCircuitID、AgentRemoteID)到BAS设备上。
2、BAS设备维护用户物理位置信息与用户会话标识(SessionID)的对应关系,在LCP认证阶段,用户的物理位置信息作为NAS-Port(5)和NAS-Port-Id(87)认证属性,与用户的用户名和密码一起发送到RADIUSServer上参与认证。
3、最新标准要求,用户电路标识(AgentCircuitID、AgentRemoteID)在交互过程中必须被完整的转发。
DSLAM设备仅是完成物理位置信息的插入和剥离,不维护端口信息与帐号的对应关系。
DSLAMForum最新标准扩展后的tag0x0105(Vendor-Specific)格式及语法。
与RFC2516建议有较大的区别。
图2-2DSLAMForum最新标准扩展后的Vendor-Specific格式
其中AgentCircuitID定义如下:
0x**"HW设备名_框号atm槽号/端口号:
vpi.vci"
0x**采用PPPoEPlus定义的数值(二进制格式),MA5100为ICI,MA5300为框槽端口的组合,2个Bytes,便于BAS认证。
数值后面的字符串依次如下:
1)在设备名的前面增加HW字样,设备名的格式为HW设备名-框号;
2)对于设备名的设置,如果设备不配置设备名,默认采用MAC地址,MAC地址采用ASCII码的方式;如果配置了设备名称,则上报设备名称;
3)由于DSLAMForum定义的格式中没有框号,所以需要在设备名的后面增加_框号,框号采用字符串方式;
(frame=0,slot=3,port=0,vpi=100,vci=33)
RemoteID的值不需要填,但这个subTAG0x02保留,长度根据协议定义来填写。
2.4PITP协议中BAS与RadiusServer报文交互格式
PITP协议规定设备上报的属性格式如下:
1)NAS-Port属性(属性号5),属性值长度为32Bit:
内部数据格式如下:
槽位号(4位)+子槽位号(1位)+端口号(3位)+VlanPI(12位)+VlanCI(12位)
如果PITP请求失败(超时或DSLAM返回失败),则NAS-Port=0xFFFFFFFF;
2)NAS-Port-Id属性(属性号87),属性值为字符串,宽度最大可以是255字节:
说明:
一个X表示一位(十进制)
内部数据格式如下:
VLAN显示格式:
slot=XX;subslot=XX;port=XXX;VlanPI=XXXX;VlanCI=XXXX;
范围值:
slot=0~15;subslot=0~15;port=0~255;VlanPI=0~4095;VlanCI=0~4095;
如果PITP请求失败(超时或DSLAM返回失败),则VlanCI=4095;
其中,VlanPI对应为接入到BAS的VLAN,如果采用Untagged接入方式,则VlanPI=0;VlanCI对应为从DSLAM上查到的用户端口号。
注意1:
由于网上设备已经在使用NAS-Port和NAS-Port-Id这两个属性,一旦发生变化,则RadiusServer的数据需要全部修改,工作量浩大,为保持网上设备的兼容性,减少升级工作量,约定如下:
针对不同的端口/VLAN,如果某端口/VLAN激活了PITP功能,则按照本文中修订的格式上报,否则,按原格式上报。
第3章接入网产品配置实现
3.1各产品PITP配置步骤
PITP的主要配置步骤各产品比较类似的,如下:
1.设置PITP的功能开关是关闭还是开启。
2.设置PITP的工作模式。
PITP可以工作在V模式或P模式下,两种模式通过关键字vmode和pmode来区分。
启动一种模式时,另一种模式关闭。
3.设置PITP以太网封装类型(采用PITPV模式时需要配置)
PITP采用V模式时,PITP协议的以太网封装类型必须和对端设备相同。
4.设置PITP编码格式
3.2各产品PITP配置命令汇总与对比
下面我们简单列出各产品的相关配置,具体配置和参数信息请查看各产品的操作手册和命令帮助系统。
产品
PITP功能开关
PITP工作模式
以太网封装类型(V模式)
PITP编码格式
PITPoption82功能开关
MA5100
V100
huawei(config-LAN-0/12)#pitpswitch
huawei(config-LAN-0/12)#pitpswitch
huawei(config-LAN-0/12)#pitpethertype
huawei(config-LAN-0/12)#pitpcode-type
huawei(config-LAN-0/12)#pitpoption82
V200
请参考V100
请参考V100
请参考V100
请参考V100
请参考V100
5105
huawei(config-LAN-0/0)#pitpswitch
huawei(config-LAN-0/12)#pitpswitch
huawei(config-LAN-0/0)#pitpswitch
{pmode,vmode,off}:
vmode
无
huawei(config-LAN-0/0)#pitpoption82
5605
同MA5105
同MA5105
同MA5105
同MA5105
同MA5105
MA5300
V模式
huawei(config)#pitpvmodeenable
同功能开关命令
huawei(config)#pitpvmodeethernet-type
huawei(config)#pitpvmodecode{common|cntelecom}
无
P模式(PPPoEPlus)
huawei(config)#pitppmodeenable
分全局使能和端口使能
同功能开关命令
无
P模式配置上行口
huawei(config)#pitppmodecode
{<1,32>}:
无
MA5600
huawei(config)#pitp
{disable
enable
端口使能:
pitp{portframe/slot/port{enable|disable}|boardframe/slot{enable|disable}}
huawei(config)#pitp
{disable
enable
{vmode
huawei(config)#pitpvmodeether-type
{ether-type-value
huawei(config)#raio-mode{common|xdsl-port-rate|cntel|ti|neuf|port-userlabel}
无
MA5600T
同MA5600
同MA5600
同MA5600
同MA5600
无
UA5000
同MA5600
同MA5600
同MA5600
同MA5600
无
3.3各产品查看PITP当前状态和配置
1.MA5100/MA5105/MA5606
使用showpitp命令查询PITP配置
举例:
huawei(config-LAN-0/0)#showpitp
PITPprotocalswitch=VMODE
PITPprotocalethertype=0x8100
PITPoption82=On
2.MA5300
使用showpitpvmodeconfigstate命令查询V模式全局状态。
举例:
huawei(config)#showpitpvmodeconfigstate
PITPisenable.
PITPvmodecodingtypeiscommon.
使用showpitppmodeconfigurationadsl命令V模式端口状态。
举例:
huawei(config)#showpitppmodeconfigurationadsl1/0/0
{
PITPpmodeisdisabledglobally
PITPpmodecodingtypeisCommon
Theuplink-portallowed:
Ethernet7/1/1Ethernet7/1/2Ethernet7/1/3
GigabitEthernet7/1/4GigabitE
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 接入 产品 PITP 特性 综合 专题 0420