SmartAX MA5200F 产品培训

SmartAX MA5200F 产品培训

1. 概述

2. 总体结构

3. 业务特性

4. 规格参数

5. 组网应用
 概 述

1. 概
述
 概 述

 MA5200F 是一款高性能路由器，也是一款高性能的
宽带智能接入服务器。
 MA5200F 定位于接入层或者汇聚层，适用于以太网、
xDSL （ Digital Subscriber Line ）、 HFC （ Hybrid
Fiber-Coaxial ）、 WLAN （ Wireless LAN ）等各种
接入类型的网络，可以广泛地应用于运营商宽带接
入网、企业网 、校园网、政务网、酒店等各种业务
类型的网络，满足了不同网络对灵活的用户管理以
及可靠的网络安全的需求 。
 概 述

 MA5200F 针对用户提供了功能强大的用户管理和
业务控制功能，包括：灵活完善的用户接入方式，
用户身份认证和安全保障，基于用户策略的访问控
制，业务 QoS 保证，即插即用、 NAT ，组播控制、
用户访问日志等。
 MA5200F 同时提供丰富的计费信息，支持多种计
费方式。
 体系结构

2. 体 系 结
构
 硬件结构——外观

 MA5200F 为 2U 高盒式设备，可以装入 19 英寸标准结构机柜。

 MA5200F 可以提供 24 个 FE 口和 2 个 GE 口，包括：
 六路快速以太网电口
 六路单模快速以太网光口（ MTRJ 接口， 15Km ）
 六路多模快速以太网光口（ MTRJ 接口， 2Km ）
 单路多模千兆光接口（ 500m ， LC 接口）
 双路多模千兆光接口（ 500m ， LC 接口）
 单路单模千兆光接口（ 10km ， LC 接口）
 双路单模千兆光接口（ 10km ， LC 接口）
 单路单模千兆光接口（ 40km ， LC 接口）
 单路单模千兆光接口（ 70km ， LC 接口）
 硬件结构——单板

(1) 风扇 (2) SPUC 板 (3) BKPC 板

(4) GE 插板 (5) FE0 插板 (6) FE1 插板
(7) FE2 插板 (8) FE3 插板 (9) 网口、串口、复位键、指示
灯
 硬件结构——单板
 业务处理板（ H521SPUC ）：一块，在 H521SPUC 板上有一块 XSM
扣板。
 背板（ H521BKPC ）：通过 3 个 2mm B 型连接器（ 22*5 ）垂直连接
到 H521SPUC 板上。
 FE 接口板 (H521O6FC 或 H521E6FC) ： Slot0-Slot3 ，通过 1 个 2mm B
型连接器（ 22*5 ）连接到 H521BKPC 板上。
 千兆接口板 (H521O1GC) ： Slot4-Slot5 ，通过 1 个 2mm B 型连接器
(22*5) 和一个 2mm C 型连接器 (11*5) 连接到 H521SPUC 板上。
 转接板 (H521TRNC) ：主要考虑到调试串口，网口，指示灯等要前出
线，通过转接板把 SPUC 板上相关信号引出来。
 网管网口、调试串口、电源指示灯、复位键从 H521SPUC 板上引出。
 100W 电源二个（ 1+1 热备份），用户可选一个或二个电源， 220V 输
入或 -48V 输入可选。
 风扇 3 个，采用带监控的风扇，采用全抽风结构。
 软件结构——微码子系统

 微码子系统主要负责数据报文的硬件转发，
并在转发过程中对用户业务施加控制策略，
采集流量计费信息。

 在微码子系统中，由控制报文处理、流转发
处理、逐包处理、 L2TP 处理、多播处理、
VLAN 透传处理、消息处理等模块组成，不
同业务将由不同模块来完成。
 软件结构——设备管理子系统

设备管理子系统监控设备运行状况，管理设备物
理资源。该系统由六个模块组成：
 IFNET 接口硬件告警管理
 单板注册
 驱动适配
 设备配置
 诊断测试
 软件结构——系统管理子系统

系统管理子系统主要目的是为用户提供配置管理设备的手
段、为各应用模块提供接受配置的接口和信息输出的接
口，为其它模块提供通过 FTP 、 TFTP 操作文件系统的
手段和集群管理等功能。该系统由以下模块组成：
 配置管理
 信息中心 信息中心 配置管理 用户管理
IC CFG LUM
 传输协议 (FTP/TFTP)
 集群管理
集群管理 传输协议
 用户管理 HGMP FTP
 软件结构—— VRP 子系统

VRP 子系统完成路由和转发功能，该系统可分为：
 路由协议
 路由管理 静态路由 RIP2 OSPF BGP

 转发控制 路由管理

 IP 协议栈 Socket API

 接口管理 TCP UDP

 流管理 IP/ICMP/IGMP
转发控制
 访问控制 流管理
接口管理
 用户日志
 软件结构—— NAT 子系统

NAT 子系统完成配置、连接管理、 ALG 等功能，

该系统可分为：
 即插即用预处理
 连接表项管理
 用户控制
 应用处理
 NAT 配置
 软件结构——业务子系统

业务子系统完成用户的接入、认证、记费，同时
根据授权控制用户的转发。该系统包括：
 业务配置
 连接管理  MCC
 AAA  Radius  LAM
 WEB  WEBS
 PPPoE  PPP  L2TP  EAPoL  WLAN 控制
 ARP
 DHCP Relay  DHCP Server  DHCP Client
 业务特性

3. 业 务 特
性
 业务特性

路由协议 用户接
入
AAA&Radius 用户
管理
NAT&PnP 专线
VPN 组播
 路由协议——静态路由

MA5200F MA5200F

静态路由用作链路备份时的局限
 路由协议—— RIP
 基于距离矢量（ Distance-Vector ）算法的协议，它使用 UDP 报文进行路由信息的交换，
端口号 520 。 224.0.0.9 为 RIP 协议使用的组播组地址。
 每隔 30 秒钟发送一次路由刷新报文，如果在 180 秒内收不到从某一网络邻居发来的路
由刷新报文，则将该网络邻居的所有路由标记为不可达。如果在 300 秒之内收不到从
某一网上邻居发来的路由刷新报文，则将该网上邻居的路由从路由表中清除。 RIP-1 不
具备报文加密验证功能，而在 RIP-2 中实现了该功能。
 使用跳数（ Hop Count ）来衡量到达信宿机的距离，称为路由权（ Routing Metric ）。
在 RIP 中，路由器到与它直接相连网络的跳数为 0 ，通过一个路由器可达的网络的跳
数为 1 ，其余依此类推。为限制收敛时间， RIP 规定 metric 取值 0~15 之间的整数，大
于或等于 16 的跳数被定义为无穷大，即目的网络或主机不可达。
 为提高性能，防止产生路由环， RIP 支持水平分割（ Split Horizon ）和毒性逆转（ Pois
on Reverse ）。
 优点：简单的算法，简单的实现，配置简单易于掌握，可用于大多数校园网及结构较
简单的连续性强的地区性网络。
 缺点：收敛速度慢，最大跳数是 15 ，不适用于复杂环境及大型网络。仅使用跳数做选
择的条件，有可能选择不到最佳的路由。
 路由协议—— OSPF

 OSPF 是一个基于链路状态的内部网关协议，协议报文以 IP 报文封装，协

议号 89 。 224.0.0.5 为所有 OSPF 路由器地址， 224.0.0.6 为所有 OSPF 的 D
R 地址。
 为了减轻路由器内存和计算的负载以及路由动荡的问题， OSPF 引入了区域
(Area) 的概念。必须存在一个骨干区域 ( 区域 0) 以及一些附加区域。连接
多个区域的路由器称作区域边界路由器 (ABR) 。 ABR 建立各非骨干区域的
汇总路由，通告到骨干区域，骨干区域收集路由，再通告回各区域。
 在广播和 NBMA 网络中，为节省带宽， OSPF 引入了指定路由器 (DR) ，所
有路由器都只将信息发送给 DR ，由 DR 将网络链路状态广播出去，两台不
是 DR 的路由器（称为 DR Other ）之间将不再建立邻居关系，也不再交换
任何路由信息。
 STUB 区域：使用缺省路由来抵达 OSPF 协议区域之外的目的地的区域。
 优点：收敛速度快，带宽占用低，适用于大规模网络、支持等价路由、无
路由环路。
路由协议—— OSPF 组网
 路由协议—— BGP
 BGP （ Border Gateway Protocol ）是一种自治系统间的动态路由发现协议，它的
基本功能是在自治系统间自动交换无环路的路由信息，通过交换带有自治区域
（ Autonomous System, AS ）号序列属性的路径可达信息，来构造自治区域的拓
扑图。 BGP 更注重控制路由的传播和选择最好的路由。
 发送 BGP 消息的路由器称为 BGP 发言人（ speaker ），它不断的接收或产生新路
由信息，并将它广告（ advertise ）给其它的 BGP 发言人。一个 BGP 发言人也将
同它交换消息的其它的 BGP 发言人称为对等体（ peer ），若干相关的对等体可
以构成对等体组（ group ）。
优点：
 通过在 BGP 路由中携带 AS 路径信息，可以彻底解决路由循环问题。
 BGP-4 支持无类域间路由 CIDR 。
 路由更新时， BGP 只发送更新的路由，大大减少了 BGP 传播路由所占用的带宽，
适用于在 Internet 上传播大量的路由信息。
 BGP-4 提供了丰富的路由策略，能够对路由实现灵活的过滤和选择，并且易于扩
展以支持网络新的发展。
 路由协议—— BGP 组网

» ñ
µ Ã
 ·Ó É
× ·ª ¢̧ øÍ â
² ¿¶ µ
ÔÈ Ì å
AS3
IGP

BGP IGP
IGP

× ·ª ¢̧ ø
ÄÚ EBGP
BGP
² ¿¶ µ
ÔÈ Ì å AS2 IGP

· ¢
Ï Ö
 ·Ó É IBGP
IGP ½« (¾ Û
º Ϻ óµ Ä
)
BGP
IGP
IGP IGP Â ·Ó É
Òý È ëIGP

AS1 BGP
IGP
EBGP

IGP IGP ·Ó ÉÆ÷

IGP ½ «Â ·Ó É
² »Ö ªµ À́ Ë
 ·Ó É
Ò ýÈ ëBGP
 路由协议—— PIM-DM
 PIM-DM （ Protocol Independent Multicast ， Dense Mode ，协议独立组播－密集模式）属
于密集模式的组播路由协议。 PIM-DM 适用于小型网络，在这种网络环境下，组播组的
成员相对比较密集。
 邻居发现： PIM-DM 路由器刚开始启动时，需要使用 Hello 报文来进行邻居发现。各个
运行 PIM-DM 的网络节点之间使用 Hello 报文保持相互之间的联系。
 扩散 - 剪枝过程（ Flooding&Prune ）： PIM-DM 假设网络上的所有主机都准备接收组
播数据。当某组播源 S 开始向组播组 G 发送数据时，路由器接收到组播报文后，如果下
游节点没有组播组成员，则向上游节点发剪枝（ Prune ）消息，通知上游节点不用再向
下游节点转发数据。上游节点收到剪枝消息后，就将相应的接口从其组播转发表项（ S ，
G ）对应的输出接口列表中删除，这样就建立了一个以源 S 为根的 SPT （ Shortest Path T
ree ， SPT ）树。
 Assert 机制：如果处于一个 LAN 网段上的两台组播路由器 A 和 B ，都各自有到组播源 S
的接收途径，那么它们在接收到组播源 S 发出的组播数据报文以后，都会向 LAN 上转发
该组播报文，这时候下游节点组播路由器 C 就会收到两份相同的组播报文。这时就需要
通过 Assert 机制来选定一个唯一的转发者。通过发送 Assert 报文，选出一个最优的路径。
 嫁接（ Graft ）：当被剪枝的下游节点需要恢复到转发状态时，该节点使用嫁接报文通
知上游节点。
 路由协议—— PIM-SM

 PIM-SM （ Protocol Independent Multicast ， Sparse Mode ）即与协议无关的组播稀

疏模式，属于稀疏模式的组播路由协议。 PIM-SM 主要用于组成员分布相对分散、
范围较广、大规模的网络。与密集模式的扩散 - 剪枝不同， PIM-SM 协议假定所
有的主机都不需要接收组播数据包，只有主机明确指定需要时， PIM-SM 路由器
才向它转发组播数据包。
 RP 共享树（ RPT ）的生成 : 通过设置汇聚点 RP （ Rendezvous Point ）和自举路
由器 BSR （ Bootstrap Router ），向所有 PIM-SM 路由器通告组播信息，并利用路
由器的加入 / 剪枝信息，建立起基于 RP 的共享树 RPT （ RP-rooted shared tree ）。
从而减少了数据报文和控制报文占用的网络带宽，降低路由器的处理开销。 。
 组播源注册 : 当组播源 S 向组播组 G 发送了一个组播报文时，与其直接相连的 PI
M-SM 组播路由器接收到该报文以后，就负责将该组播报文封装成注册报文，单
播给对应的 RP 。如果一个网段上有多个 PIM-SM 组播路由器，这时候将由指定路
由器 DR （ Designated Router ）负责发送该组播报文。
 SPT 切换 : 组播数据沿着共享树流到该组播组成员所在的网段，当数据流量达到
一定程度，组播数据流可以切换到基于源的最短路径树 SPT ，以减少网络延迟。
 用户接入——用户类型

 非管理用户
 管理用户 个人用户 二层用户

 三层用户
 专线用户  VLAN
专线 二层接入形式

 三层接入形式
 Proxy 专线
 PPPoE 专线
 VLAN 透传专线
用户接入——接入 & 认证方式

接入方式 认证方式
PPPoE PPPoE

绑定认证
VLAN WEB 认证

快速认证

EAPoL 802.1X
 用户接入—— PPPoE 认证方式

5 、 RADIUS 服务
 PPPoE 方式是基于帐号、 器完成对用户的计
费
密码的认证方式 R

 MA5200F 整 机对 PPPoE
Radius Server
的处理能力是 1K/2K 个 Core

DHCP Server

2 、 MA5200F
3 、 MA5200F 与 RADIUS
终结 PPPoE
服务器配合完成 PPPoE 的帐
MA5200F 号、密码的验证处理，给用
1 、用户发 户分配一个合法的 IP 地址
起 PPPoE

Lanswitch

4 、用户获得合
法的 IP 地址，并
可以访问 Internet
 用户接入—— PPPoE 认证业务流程
PC LanSwitch MA5200 DHCP Server Radius Server
PPPoE Discovery
PPPoE Discovery
阶段协商
协商报文

LCP 协商阶段 LCP 协商阶段

如果本地认证
就没有该步骤
PAP/CHAP 认证阶段 PAP/CHAP 认证阶段

远端 Server 认证

如果本地申请地址
就没有该步骤
通过 DHCP Client 到远端 DHCP Server 申请地址

NCP 协商阶段
NCP 协商阶段

User online
 用户接入—— VLAN 认证方式

4 、根据 DHCP AGENT

 MA5200F 整机对 PPPoE 的 IP 地址从相应地址池
中分配用户 IP 地址
的处理能力是 1K/2K 个

DHCP Server
Core

3 、 MA5200F
根据用户权限作
DHCP RELAY
5 、 MA5200F 转发分配
2 、加入 VL MA5200F 的 IP 地址，同时完成 IP
1 、用户发起 AN 标识 +VLAN+MAC 的绑定
DHCP 申请

Lanswitch

6 、用户获
得 IP 地址
 用户接入——绑定认证业务流程
PC LanSwitch MA5200 DHCP Server

DHCP Discovery 报文 MA5200 根据用户二层

DHCP Discovery 报文
信息生成用户名进行本
动态用户
地认证

DHCP Offer 报文
远端 DHCP 协商
DHCP Offer 报文

如果本地分配地址
DHCP Request 报文
DHCP Request 报文 就没有该步骤

DHCP Request 报文
DHCP Request 报文

DHCP ACK 报文 User online

DHCP ACK 报文

用户 ARP 或者 IP 报 MA5200 根据用户二层

静态用户 文
用户 ARP 或者 IP 报 信息生成用户名进行本
文 地认证

User online

远端 DHCP 协商
 用户接入—— WEB 认证方式

 WEB 认证方式分为二层、 5 、 MA5200F 作为认证客户

端，与 Radius Server 配合
三层形式， PnP 用户也 完成用户的认证过程
采用该认证方式。 R

Core
Radius Server

4 、用户通过认证
R

后可以正常实现 In
ternet 访问
WEB Server
MA5200F
3 、用户发起认证

LAN Switch 2 、 MA5200F 的 ACL 控制

用户在未经过认证前只能访
问一个或几个特定 WWW 服
务器（ WEB 认证服务器）
1 、用户通过 DHC
P 获得 IP 地址
 用户接入—— WEB 认证流程
PC LanSwitch MA5200 DHCP Server/ WEB Server
AAA Server
DHCP 协商过
程 DHCP 协商过 如果本地申请地址就没有该步骤 对于静态用户
程
没有 DHC
远端 DHCP 协 P 过程
商

用户访问 WEB 服务器认证页面，输入用户名和密码进行认

证

WEB 服务器将用户认证信息发送给 MA5200

如果本地认证
就没有该步骤 进行远端 AAA Server 认证

认证成功回应

MA5200 通知 WEB Server 用户认证成功

WEB Server 返回用户认证成功页面

User online
 用户接入——快速认证流程
PC LanSwitch MA5200 路由器 DHCP Server WEB Server
AAA Server
DHCP 协商过
程 DHCP 协商过 如果本地申请地址就没有该步骤 对于静态用户没
程
远端 DHCP 协商 有 DHCP 过
远端 DHCP 协商 程，只有 AR
P 和 IP 触发
认证
用户访问 WEB 服务器认证页面，不需要输入用户名、密码，进行认证

MA5200 根据用户二层
信息生成用户名进行本 WEB 服务器将用户认证信息发送给 MA5200
地认证

MA5200 通知 WEB Server 用户认证成功

WEB Server 返回用户认证成功页面

User online
 用户接入—— 802.1X 认证方式

5 、 RADIUS 服务
 802.1X 方 式 是 基 于 帐 号 、 器完成对用户的计
费
密码的认证方式 R

Radius Server
Core

DHCP Server

2 、 MA5200F
终结 EAPoL 3 、 MA5200F 与 RADIUS
MA5200F 服务器配合完成 802.1X 的帐
1 、用户发 号、密码的验证处理
起 802.1X

Lanswitch

4 、用户发起 DH
CP 过程，获得合
法的 IP 地址，并
可以访问 Internet
 用户接入—— 802.1X 认证流程 (EAPoL 触
发)
PC LanSwitch MA5200 DHCP Server Radius Server

EAPoL-start
EAPoL-start

EAP-request/Identity
EAP-request/Identity

EAP-response/Identity 如果是本地认证就
EAP-response/Identity 没有该步骤

远端 Server 认证
EAP 密钥协商
EAP 密钥协商

如果本地申请地址
DHCP 协商
就没有该步骤
DHCP 协商
到远端 DHCP Server 申请地址

根据配置可以先进
User online 行 DHCP 协商
再进行 802.1X
认证
 用户接入—— 802.1X 认证流程 (DHCP 触
发)
PC LanSwitch MA5200 DHCP Server Radius Server
DHCP_DISCOVER DHCP_DISCOVER
/DHCP_Request /DHCP_Requestt

EAP-request/Identity
EAP-request/Identity

EAP-response/Identity 如果是本地认证就
EAP-response/Identity 没有该步骤

远端 Server 认证
EAP 密钥协商
EAP 密钥协商

如果本地申请地址
DHCP 协商
就没有该步骤
DHCP 协商
到远端 DHCP Server 申请地址

根据配置可以先进
User online 行 DHCP 协商
再进行 802.1X
认证
 AAA&Radius—— 业务流程
连接管理 AAA Radius Radius Server

认证请求
认证 认证请求
认证请求

认证回应
认证回应 认证回应

Login
开始 开始计费请求
开始计费请求
计费
开始计费回应
开始计费回应

在线用户授权修改
授权 在线用户授权修改
在线用户授权修改

Logout
停止 停止计费请求
停止计费请求
计费
停止计费回应
Logout 回应 停止计费回应
 AAA&Radius—— 认证

 PAP

 CHAP

 Web 认证
 EAP EAP-MD5
EAP_SIM

Challenge

Response

Accept/Reject
ÓÃ
» § MA5200F
 AAA&Radius—— 认证

Accounting-Request 携带的 Radius 属性

 Calling_Station_Id (31)
用户 MAC 地址
 NAS-Port-Type (61)
用户接入类型
 NAS-Port-Id (87)
用户接入信息
slot=XX;subslot=XX;port=XXX;VLANID=XXXX;
 AAA&Radius—— 授权
Access-Accept 携带的 Radius 属性
 Multicast_Source_Group (26-97)
用户作为组播源加入的组播组地址和组播 CAR 属
性
 Multicast_Recieve_Group (26-98)
用户作为组播接收者加入的组播组地址
 PortalURL (26-29) PPP 用户认证后强推的网址
 Filter-ID (11) ACLGroup@InterGroup
 Tunnel_Type (64) 隧道协议类型
 Tunnel_Medium_Type (65) 隧道承载媒介类型
 Tunnel_Server_Endpoint(67) 隧道服务器端的地址
 Tunnel_Password (69) 隧道验证口令
 AAA&Radius—— 计费

 支持基于流量、时长的计费

 支持费率切换

 支持实时计费

 计费抄送功能（基于 ISP/ 物理位置）

 计费失败处理策略
 用户管理——业务控制
 为了控制用户业务，赋予每个用户两种组号：
InterGroup—— 用于管理用户间的互访控制，
UclGroup—— 用于管理用户访问非管理地址的权限控制。
MA5200F 支持 5 元组 ACL ，支持标准和扩展 ACL ，按照
源和目的用户类型的不同， ACL 规则可分为以下三类：
 用户间的互访控制；
 用户访问非管理地址的权限控制；
 非管理地址间的访问控制。
 ACL
规则配置完成后，还要应用到具体范围，才能真正生效，
作用范围有三类：
 全局范围，
 端口范围，
 端口 VLAN 范围。
 用户管理—— QoS
 流量监管 (CAR)
 MA5200 基于用户的 CAR 共有 32 级，每一级 CAR 都可以
配置不同的上下行基本速率、平均速率、峰值速率。
 对每个用户做三种 CAR ：用户上下行 CAR 和用户访问
设备的 CAR 。
MA5200F Lanswitch
策略库

CORE

流量参数

出接口 入接口
令牌桶
 用户管理—— QoS

 拥塞管理 ( 用户优先级 )
 基于用户优先级的转发
 基于报文中 DSCP 或 802.1p 优先级的转发
 基于 ACL 匹配结果的优先级的转发

 拥塞避免 (WRED&802.3x)
 为避免送往 CPU 端口的报文在交换网中发生拥塞导致交换网资
源耗尽，在 CPU 端口发送拥塞时， MA5200F 基于 CPU 出端口利用阈
值群组功能 (Threshold Group) 对数据包进行 WRED 处理。对高优先级
的用户，设置的阀值较高，而对于低优先级的用户，设置的阀值较低。
 MA5200F 还支持 802.3x 流量控制协议。
 用户管理——网络安全
 鉴别
 用户身份鉴别
 地址仿冒识别
 路由协议报文鉴别
 服务器身份鉴别
 Telnet 用户身份鉴别
 攻击防护
 仿冒 ARP 防护
 仿冒 DHCP SERVER 探测
 DoS 攻击防护
主要对策是访问控制、速率限制、连接限制
 NAT&PnP—— NAT 特性

Internet

BAS
•NAT 静态地址转换
•静态是指设备内部的地址和外部地址是一一映射的关系，例如：

地址 10.0.0.10 配置静态映射关系：
10.0.0.10<——>202.1.19.10
外部看到的地址是 202.1.19.10 ，内部地址为 10.0.0.10 ，
•PAT 动态地址转换
•PAT 指通过四层端口的映射，来实现对地址的复用，节省公网地址：

地址 10.0.0.100:8000 配置静态映射关系：
10.0.0.100:8000<——>202.1.19.10:12001
地址 10.0.0.101:9000 10.0.0.100:9000<——>202.1.19.10:12002
 NAT&PnP—— NAT ALG

•NAT ALG ：
在有些应用，如 FTP ， Netmeeting ，其应用层净荷中存在 IP
地址，所以必须解析应用层的报文信息，进行地址的替换。

ALG 是什么意思？
R007 NAT 支持的 ALG ： 为什么要做 ALG 处理？
•FTP
•ICMP
•Netmeeting(H.323)
•MGCP

NAT 带来的限制
有一些需要做 ALG （报文净荷中携带 IP 地址）的应
用，将会无法使用，如视频 QQ ，一些 VPN ，网络游戏等。
 NAT&PnP—— 即插即用原理
Internet
•BAS 设备通过用户的 Packet
二层信息识别用户 202:192.1.100
192.1.1.10
•在接收到用户的报文 202:192.1.100
192.1.1.10
后，进行地址转换，
将报文的源 IP 地址转
换为正确的地址 Packet
•收到网络发向用户的 202:192.1.100
192.1.1.10
10.0.9.1
报文后，将报文的目 202:192.1.100
192.1.1.10
10.0.9.1 地址转换
的 IP 地址替换为用户
计算机上配置的地址； BAS
•实现的原理和 NAT Packet
202:192.1.100
10.0.9.1
相近，同样对特定应 202:192.1.100
10.0.9.1
用必须做 ALG 处理
 NAT&PnP—— 即插即用

 DNS 欺骗

HTTP Proxy 支持

Óû §
µ ÄHTTP± Î̈ Ä
· ¢
Ï ò ɱè Ì̧ æ
» »
Ä¿µ Ä
µØÖ ·º Ͷ Ë
¿Ú£ ¬
10.1.1.100:7000 · ¢
Ï 2
ò02.1.1.10:8080

Éè ± Å̧ ä
ÖÃÖ ¸¶ Í̈ â
ÖõÄ
Proxy· þ
Î ñ
Æ÷µ Ø
ÓÃ
» §
ÅäÖÃ
Proxyµ Ø
Ö ·£ º10.1.1.100:7000 Ö ·Î ª202.1.1.10:8080 Í Öâ Ã
µÄProxy· þÎ ñ
Æ÷
202.1.1.10:8080
± Î̈ Ä
Í ¹̈ Ä
ý æ
×»ª »
¹ ý³ Ì£ ¬
· ¢
» صӽà » §
Proxy· ¢ ÆðHTTPÇ ë
Çóµ ½
Ö ¸¶ µ̈ Ä
W EBÍ ø
Õ¾

Internet
 专线——概念

 专线接入泛指同一逻辑端口下的所有用户统一进行 CAR

和流量统计，在 AAA 只表现为一个连接的接入方式。

 专线下所有的用户具有相同的权限

 专线下所有的用户统一计费

 专线下所有的用户统一做 CAR

 专线接入以端口 VLAN 作为识别标识

 分类
 VLAN 专线 二层接入形式
 三层接入形式
 Proxy 专线
 PPPoE 专线
 VLAN 透传专线
 专线—— VLAN 专线

Router Router

MA5200F MA5200F

VLAN VLAN
VLAN VLAN

LanSwitch LanSwitch Router

Router

ר Ï ßA ר Ï ßB ר Ï ßA ר Ï ßB

二层 VLAN 专线与三层 VLAN 专线的区别：

• 挂接的设备不同：分别是 2 层设备（交换机）与 3 层设备（路
由器）
• 二层 VLAN 专线可以由设备或用户分配地址，三层 VLAN 专
线必须由用户自行管理地址
 专线—— PPPoE 专线

 PPPoE 专线与 3 层 VLA

MA5200F N 专线相似，不同点在于：
 PPPoE 专线时路由器与 M
A5200F 连接时使用 PPPoE 协
议，而不是直接使用 IP 协议；
PPPoE PPPoE  3 层专线配置完成后就开
始计费，而 PPPoE 专线在路由
器拨号后开始计费。
 另外，由于需要配置用
户的网段路由，要求路由器通
过 PPP 的申请到的地址必须固
定分配。
专线A 专线B
 专线—— VLAN 透传
¹ «
˾1-± ¾
² ¿
MA5200F MA5200F

VLAN2 VLAN2 · Ö§
µã1-2

VPN1

VPN2

MA5200F MA5200F

VLAN2 VLAN2
VLAN5 VLAN5

· Ö§
µã1-1 · Ö§
µã2-1 · Ö§
µã1-3
¹ «
˾2-± ¾
² ¿

VLAN 透传是指预先指定某个 VLAN 端口进行透传，并配置该 VLAN 端口的出端口。

目的是在城域网范围内实现基于 VLAN 技术的 VPN ，满足用户的多个 LAN 互连的需
求。
MA5200F 在做 VLAN 透传时不进行三层处理，而是根据报文的 VLAN ID 进行二层处
理，将来自管理端口的报文替换 VLAN ID 后转发到非管理端口，将来自非管理端口
的报文替换 VLAN ID 后转发到管理端口。
 专线—— PROXY 专线

Router
Proxy 专线主要用于网吧用户。
用户通过一台 Proxy 设备（代
理服务器或 NAT 设备）接入 M
MA5200F A5200F ，网吧中的其他用户通
过 Proxy 转换地址后上网。
VLAN VLAN Proxy 下主机的地址由用户自行
分配管理。
Proxy Proxy MA5200F 只能看到 Proxy 设备，
而看不到 Proxy 下面的用户。
MA5200F 对该类用户预留资源，
保证服务质量。

专线 A 专线 B
 VPN—— 分类

 按用途分类：

 远程访问虚拟专网（ Access VPN ）

 企业内部虚拟专网（ Intranet VPN ）

 扩展的企业内部虚拟专网（ Extranet VPN ）

 按组网形态分类（ RFC2764 ）

 虚拟租用线（ VLL ）

 虚拟专用路由网 （ VPRN ）

 虚拟专用拨号网 （ VPDN ）

 虚拟专用 LAN 网段（ VPLS ）

 VPN——VPDN 基本组网和协议栈

MA5200F 终结 PPPoE ，作为 LAC ，与 LNS

建立隧道和会话 , 实现 L2TP 功能。
LNS

MA5200 （ LA
C） Core
Quidway2403

远端用户

IP IP
IP PPP L2TP PPP
IP PPP UPD L2TP
PPPOE
PPP PPPOE IP UDP
PPPOE VLAN VLAN IP
MAC
MAC MAC MAC MAC MAC
VPN——L2TP 隧道和会话建立过程
 VPN——GRE 隧道

L a n S w itc h M A5200F M A5200F L a n S w itc h

VLAN G R E Tunnel VLAN

VLL 通过运营商的边缘节点向用户提供点到点连接业务。 IP
隧道建立在运营商的边缘节点之间，支持多协议报文传
送。 MA5200F 支持在运营商的边缘节点之间创建 GRE 隧道，
可以将 IP 、 IPX 、 AppleTalk 封装在 IP 协议内，用户的数
据对于中间的设备是透明的。
 组播——组播成员加入

½Ú Ä¿Ô £́ ºÉ è
¶ ¨Æµ Àµ Ä
× é² ¥
µ Ø
Ö ¡· ¢IP° ǘ ó
Ð ¡£ ¬
ÊÓƵ ± à
Âë Ä£
ʽ £ ¬
ËÙ Âʵ È
Êô ÐÔ

Internet
¶ à
² ¥
 ·Ó É
Æ÷
4¡ ¢
MA5200Ï ò ¶ à
² ¥ÓÃ
» §
¶ Ë
¿Ú · ¢ ³ ö
IGMP² éÑ ±̄ Î̈ Ä 3¡ ¢MA5200´ À ¦ í± ¨¸ æ
± Î̈ Ä
£ ¬
¾ö¶ Ä̈ Ä
ÐÓ©Ã » §
½Ó ¿Ú¼ÓÈë¶ à² ¥
× é

5¡ ¢
LANSWITCH MA5200
Ð ǿ «
² é
Ñ ±̄ Î̈ Ä
LANSWITCH

1¡ ¢
Óû §
· ¢
³ ö
¼ÓÈë 2¡ ¢
LANSWITCHÐ ø
¶ à
² ¥
× é
µ Ä
IGMP ´ «
± ¨¸ æ
± Î̈ Ä
£ ¬
² ¢
Í ¹̈ ý
REPORT± Î̈ Ä IGMP Snooping¹ ¦Ä Ü
Ñ§Ï °µ ½
² ÎÓ è
× é
µ Ä
Óû §
 组播——组播报文转发
½Ú Ä¿Ô £́ ºÉ è
¶ ¨Æµ Àµ Ä
×é ² ¥
µ Ø
Ö ·¡ ¢IP° ǘ ó
Ð ¡£ ¬
ÊÓƵ ± à
Âë Ä£
ʽ £ ¬
ËÙ Âʵ È
Êô ÐÔ
1¡ ¢Â ·Ó Æ
É÷ʵ Õ½
¶ à
² ¥
Òµ Î ñ
± Î̈ Ä
£ ¬ Internet
Ï òMA5200× ª· ¢

¶ à
² ¥
 ·Ó É
Æ÷ 2¡ ¢MA5200¸ ù ¾Ý
¶ ಠ¥
× ª· ¢
± í° Ñ
¶ à
² ±
¥ Î̈ Ä́ Ó
ÓÐÓÃ » §
¼Ó ÈëµÄ³ ö
½Ó ¿Ú
3¡ ¢
LANSWITCH¸ ù ¾Ý × ª· ¢
³ ö
È¥
×Ô¼ ºµ Ä
¶ à
² ¥× ª· ±¢ í£ ¬
° Ñ
± Î̈ Ä
× ª· ¢
ÖÁ ÿ¸ ö MA5200
VLANÏ Â ¼ÓÈë ÁË Ï Ó
à ¦¶ à
² ¥
×éµÄ Óà » §
LANSWITCH
 非受控组播的业务流程
PC LanSwitch MA5200 路由器
IGMP 查询报文
IGMP proxy 或 PI
IGMP 报告报文 M 协议，选其一
向组播用户端口
续传 IGMP 查询报文 发送 IGMP 查询报文
运行 PIM 协议
续传 IGMP 成员报告报
文，并通过 IGMP Snoo
IGMP 成员报告报文
ping 学习到加入组播组
的用户

1 、处理 IGMP 成员报告报文，决

定哪些用户接口加入该组播组
2 、不验证用户是否有组播权限

向有用户加入的端口转 向 5200 转发组

向有用户加入的端口转 发组播业务报文 播业务报文
发组播业务报文

从转发表中删除该用户， 从转发表中删除该用户
IGMP 成员离开报文 如果该组播组下没有其 接口，如果该组播组下
他用户， 续传 IGMP 没有其他用户， 发送 I
成员离开报文 GMP 成员离开报文
 受控组播的业务流程

PC LanSwitch MA5200 路由器

IGMP 查询报文
IGMP proxy
或 PIM 协议，
向组播用户端口 IGMP 报告报文
选其一
续传 IGMP 查询报文 发送 IGMP 查询报文
运行 PIM 协议

IGMP 成员报告报文 续传 IGMP 成员报告报

文
检查用户是否有
组播权限（单播
认证时获得）

发送 HMCP 添加用户报
文
根据 HMCP 报文添加
用户组播转发表项

响应 HMCP 添加用户报
文
 受控组播的业务流程 ( 续 )

PC LanSwitch MA5200 路由器

向有用户加入的端口转 向 5200 转发组

发组播业务报文 播业务报文
向有用户加入的端口转
发组播业务报文

IGMP 成员离开报文 续传 IGMP 成员离开报

文

发送 HMCP 删除用户报
文
根据 HMCP 报文删除
用户组播转发表项
从转发表中删除该用户
响应 HMCP 删除用户报 接口，如果该组播组下
文 没有其他用户， 发送 I
GMP 成员离开报文
 规格参数

3. 规 格 参
数
 规格参数——电源及环境参数

电源参数
工作电源： AC ： (110V~220V)20%
DC ： -48V （ -40V ～ -60V ）
满配置功耗： <90W

环境参数
工作温度： -5℃ ～ 45℃( 长期工作温度 ) ； -25℃ ～ 5
5℃( 短期工作温度 )
工作湿度： 10 ％～ 90 ％

洁净度
直径大于 5μm 的灰尘浓度≤ 3╳104 粒／ m3 ，灰尘粒
子为非导电、非导磁和非腐蚀性
 规格参数——转发能力

交换容量
10Gbps 无阻塞共享缓存交换，共享缓存 3MB

IP 包转发率
3Mpps ，线速转发

物理接口
10/100base-T 光口 / 电口： 24 个 / 整机
1000base-T 接口： 2 个 / 整机
 规格参数——系统容量
支持的同时在线用户数
1K （ MA5200F ） /2K （ MA5200F-2000 ）

PPPoE 接入数：整机 1K/2K 个用户

VLAN 接入数 ：整机 1K/2K 个用户

L2TP 隧道数 ： 128 个

L2TP 会话数 ： 1024 个

路由表容量 ： 1K 静态路由 +1K 动态路由 +1K/2K 主机

路由
ARP 表项数 ： 2K/3K

支持的 ISP 数目： 128 个

IP 地址池数目 ： 128 个
地址总数 ： 6K/12K 个
 组网应用

4. 组 网 应
用
 组网应用——运营商宽带城域网

认证计费平台

核心网

网管平台

L3
业务平台

MA5200F MA5200F MA5200F MA5200F

LanSwitch AP CMTS IPDSLAM

Ethernet WLAN HFC xDSL

 组网应用——智能化小区

Internet

MA5200F

认证计费平台
楼宇汇聚交换机
IDT 楼道交换机
小区信息平台
IDT
家庭 楼道交换机 ...
楼宇汇聚交换机
IDT 楼道交换机
家庭
IDT 楼道交换机 业务服务器组
IDT
家庭 楼道交换机

IDT 家庭 小区中心机房
家庭
IDT 楼道交换机

. 家庭
IDT
IDT
家庭
. . 家庭
IDT
. .. 家庭
IDT
会所中心交换机

.. .. 家庭
家庭
IDT
其它信息点

. .. 公共无线上网点

.. ..
IDT 家庭
信息点中心交换机
IDT
家庭
. IDT AP
其它信息点
IDT
家庭
IDT
家庭
家庭 AP
IDT
家庭 信息点中心交换机
住宅楼
家庭
AP
住宅楼 会所
 组网应用——企业网

企业总部
Quidview CAMS 业务服务器

IP
INTERNET Tunnel
S8016
NE16E
Eudemon
100
企业分支机构
Eudemon
100
业务服务器

MA5200F
WA1006+

MA5200F
S3026 S3026 S3026

S2026 S2026 S2026 S2026 S2026 S2026 S2026

 组网应用——智能化楼宇
企业 1

S3026 专线

专线
企业 2

S3026 R3620

INTERNET

MA5200F Eudemon 100

企业 3
PROXY 专线

S3026
Proxy
Server

PPPoE 专线

企业 4

S3026 Router
 组网应用——政务网

MPLS VPN
政务骨干网

PE PE

NE40 NE16E

CE

S6506 S6506 MA5200F

CE CE

MA5200F MA5200F S3026 S3026

政府机关 政府机关 政府机关 政府机关

 组网应用——校园网
管理平台 服务器组
包括网管、用户管理等 WEB 、 Mail 、 OA 数据库等

教师机
...
教师机 S3026
...
教师机 S3026
...
学生机 S3026
S3026
学生机 . S3026
.
学生机 . 图书馆S3026/ 电子阅览室 1
. . MA5200
. .. F
MA5200F
MA5200
图书馆 / 电子阅览室 2
学生机 图书馆 / 电子阅览室 n
学生机
. 多媒体教室 1 F
多媒体教室 2
学生机
多媒体教室 n PC
PC
PC
PC
PC S8016 S8016 . PC
PC
S3026
S3026 . PC..
S3026 S3026 . ..
PC PC . PC
. S3026
S3026 .
PC . 办公室 1
PC
. . PC
PC . 办公室 2
PC .. 办公室 N
. 教学楼 1
PC . 教学楼 1
PC PC
教学楼 1 PC
PC
PC
PC
. PC
. PC..
PC

. PC..
PC S3026
校内教工宿舍 1 S3026 MA5200F . .
PC S3026
校内教工宿舍 2 PC
校内教工宿舍 n S3026 . . PC
MA5200 S3026 . 宿舍楼 1
PC
F 宿舍楼 2
NE05 NE05 PC
PC
宿舍楼 3
宿舍楼 n
PC
RTU
PC
RTU
Phone Legend
RTU MA5100
Phone
校外教工宿舍 1 百兆链
Phone
校外教工宿舍 2 路
千兆链
校外教工宿舍 n Eudemon100 Eudemon100 路
C&C 08 A8010 双绞线
E1
PSTN Internet CERNET