目  錄

1 CWMP

1.1 CWMP簡介

1.1.1 CWMP網絡框架

1.1.2 CWMP基本功能

1.1.3 CWMP實現機製

1.2 CWMP配置任務簡介

1.2.1 通過DHCP配置

1.2.2 通過ACS配置

1.2.3 通過命令行配置

1.3 開啟CWMP功能

1.4 配置ACS屬性

1.4.1 配置CPE連接ACS的URL值

1.4.2 配置CPE連接ACS的用戶名和密碼

1.5 配置CPE屬性

1.5.1 配置CPE的用戶名和密碼

1.5.2 配置CWMP連接接口

1.5.3 配置發送Inform報文

1.5.4 配置CPE自動重新連接的次數

1.5.5 配置CPE的NAT穿越功能

1.5.6 配置CPE的業務代碼信息

1.5.7 配置CPE無數據傳輸超時的時間

1.5.8 綁定SSL客戶端策略

1.6 CWMP顯示和維護

1.7 CWMP典型配置舉例

1.7.1 組網需求

1.7.2 配置步驟

1.7.3 驗證配置

1 CWMP

1.1  CWMP簡介

CWMP（CPE廣域網管理協議，CPE WAN Management Protocol）是由DSL（Digital Subscriber Line，數字用戶線路）論壇發起開發的技術規範之一，編號為TR-069，所以又被稱為TR-069協議。它提供了對下一代網絡中家庭網絡設備進行管理配置的通用框架、消息規範、管理方法和數據模型。

CWMP主要應用於DSL接入網絡環境。在DSL接入網絡中，由於用戶設備數量繁多、部署分散，通常位於用戶側，不易進行設備的管理和維護，CWMP提出通過ACS（Auto-Configuration Server，自動配置服務器）對CPE（Customer Premises Equipment，用戶側設備）進行遠程集中管理，解決CPE設備的管理困難，節約維護成本，提高問題解決效率。

大型數據中心的網絡環境與DSL環境具有類似的特征，即接入設備數量眾多，而且隨著規模的擴張，會經常出現在網絡的某個層級大量增加新設備的情況。這些新設備的業務功能基本相同，如果能夠利用CWMP協議的特點進行遠程集中管理和配置，便可以快速完成部署，並且後期的維護和管理也將變得更加便捷。

設備提供了對CWMP協議的支持，在空配置接入網絡時可以作為CPE設備，自動從ACS下載配置文件。相對於傳統的手工配置方式，利用CWMP進行遠程統一配置具有以下優點：

·     對於業務相同的新設備統一下發配置，減少重複工作，提高部署效率

·     設備開箱後即可直接接入網絡，不需要工程師現場配置，降低人力成本

·     配置文件預先生成，降低人工配置錯誤幾率

1.1.1  CWMP網絡框架

CWMP網絡的基本框架如圖1-1所示：

圖1-1 CWMP網絡基本框架示意圖

CWMP網絡元素主要有：

·     ACS：自動配置服務器，網絡中的管理設備。用於向CPE設備下發配置並提供CPE設備的管理服務。

·     CPE：用戶端設備，網絡中的被管理設備。可以向ACS上報自身信息並獲取相應的配置。

·     DNS server：域名服務器。CWMP協議規定ACS和CPE使用URL（Uniform Resource Locator，統一資源定位符）地址來互相識別和訪問，DNS用於幫助解析URL參數。

·     DHCP server：動態主機配置協議服務器。給CPE分配IP地址，使用DHCP報文中的option字段給CPE配置參數。該網絡元素可以根據實際網絡需要選擇部署，一般用於設備第一次上電接入CWMP環境。

1.1.2  CWMP基本功能

1. 通過ACS監控CPE的狀態和性能

ACS可以監控與其相連的CPE的各種參數。由於不同的CPE具有不同的性能，可執行的功能也各異，因此ACS必須能識別不同類型CPE的性能，並監控到CPE的當前配置以及配置的變更。CWMP還允許網絡管理人員自定義監控參數並通過ACS獲取這些參數，以便了解CPE的狀態和統計信息。

ACS能夠監控的狀態和性能有：廠商名稱（Manufacturer）、廠商標識OUI（ManufacturerOUI）、序列號（SerialNumber）、硬件版本號（HardwareVersion）、軟件版本號（SoftwareVersion）、設備狀態（DeviceStatus）、啟動時間（UpTime）、配置文件、ACS地址、ACS用戶名、ACS密碼、Inform報文自動發送使能標誌、Inform報文周期發送時間間隔、Inform報文定期發送日期、CPE地址、CPE用戶名、CPE密碼等。

2. 通過ACS向CPE自動下發配置文件

為了便於對提供相同業務功能的新設備進行快速配置，網絡管理員可以在ACS上創建針對該類設備的配置文件。當CPE設備與ACS建立連接後，ACS可以判斷CPE設備所屬類別，並將對應該類設備的配置文件下發給CPE設備，從而可以使相同類型的大量CPE設備獲得相同的業務配置。目前ACS可以通過產品型號和序列號等將CPE劃分為不同的類別。

ACS向CPE下發配置文件時，可以通過以下兩種方式進行：

·     部署為啟動配置：ACS向CPE發送配置文件，覆蓋CPE本地的缺省配置文件，當CPE重啟之後，便可以使用新的配置運行。

·     部署為運行配置：ACS將配置內容直接發給CPE，並寫入到CPE的當前配置中，配置內容即時生效，但是需要再執行保存配置的操作，以保證重啟後配置不會丟失。

3. 通過ACS管理CPE設備係統文件

網絡管理員可以將CPE設備的應用程序文件和配置文件等重要文件保存在ACS上，當ACS發現某個文件的版本有更新，將會通知CPE進行下載。CPE收到ACS的下載請求後，能夠根據ACS報文中提供的下載地址和文件名，自動到指定的文件服務器下載文件。下載完成後，對下載文件的合法性做相應的檢查，並將下載結果（成功或失敗）反饋給ACS。目前，設備支持應用程序文件和配置文件的下載，不支持以數字簽名的方式進行文件下載。

同樣，為了實現對重要數據的備份，CPE將根據ACS的要求將當前的配置文件和日誌文件上傳到指定的服務器。

1.1.3  CWMP實現機製

1. ACS和CPE的自動連接

當CPE有事件需要向ACS報告時，會自動向ACS發起連接請求。常見有如下事件：

·     CPE連接ACS的URL值改變。CPE會自動使用新的URL值向ACS發起連接請求。

·     CPE上電啟動。CPE啟動後，會自動向ACS發起連接請求。

·     配置了周期性發送Inform報文功能。CPE會周期性向ACS服務器發起連接請求。

·     配置了定時發送Inform報文功能。CPE會在指定時間向ACS服務器發起連接請求。

2. ACS向CPE下發配置項參數

CPE與ACS建立連接之後，ACS可以自動下發一些配置給CPE，完成對CPE的自動配置。CPE可以從ACS獲取的自動配置項參數如表1-1所示：

表1-1 CPE可以從ACS獲取的配置項

3. ACS對CPE的管理方式

ACS對CPE的管理和監控是通過一係列的操作來實現的，這些操作在CWMP協議裏稱為RPC（Remote Procedure Call，遠程調用）方法。主要方法的描述如下：

·     Get：ACS使用該方法可以獲取CPE上參數的值。

·     Set：ACS使用該方法可以設置CPE上參數的值。

·     Inform：當CPE與ACS建立連接時、各應用模塊具有主動通知屬性的配置發生改變時和CPE周期性發送本地信息到ACS時，CPE都要通過該方法向ACS發起通告信息。ACS通過跟CPE報文的交互可以設置哪些具有主動通知屬性。

·     Download：為了保證CPE端硬件的升級以及廠商配置文件的自動下載，ACS使用該方法可以要求CPE到指定的URL下載指定的文件來更新CPE的本地文件。

·     Upload：為了方便ACS對CPE端的管理，ACS使用該方法可以要求CPE將指定的文件上傳到ACS指定的位置。

·     Reboot：當CPE故障或者需要軟件升級的時候，ACS使用該方法可以對CPE進行遠程重啟。

4. 主備ACS切換時的操作

下麵以一個具體的例子，結合CWMP方法來描述CWMP具體實現。場景如下：區域內有主、備兩台ACS，主ACS係統升級，需要重啟。為了連續監控，主ACS需要將區域內的CPE都連接到備用ACS上，處理流程如下：

圖1-2 CWMP消息交互舉例

(1)     建立TCP連接。

(2)     SSL初始化，建立安全機製。

(3)     CPE發送Inform報文，開始建立CWMP連接。Inform報文使用Eventcode字段描述發送Inform報文的原因，該舉例為“6 CONNECTION REQUEST”，表示ACS要求建立連接。

(4)     如果CPE通過ACS的認證，ACS將返回Inform響應報文，連接建立。

(5)     如果CPE沒有別的請求，就會發送一個空報文，以滿足HTTP/HTTPS報文請求/響應報文交互規則（CWMP是基於HTTP/HTTPS協議的，CWMP報文作為HTTP/HTTPS報文的數據部分封裝在HTTP/HTTPS報文中）。

(6)     ACS查詢CPE上設置的ACS URL的值。

(7)     CPE把獲取到的ACS URL的值回複給ACS。

(8)     ACS發現CPE的ACS URL是本機URL的值，於是發起Set請求，要求將CPE的ACS URL設置為備用ACS的URL的值。

(9)     設置成功，CPE發送響應報文。

(10)     ACS發送空報文通知CPE沒有別的請求。

(11)     CPE關閉連接。

之後，CPE將向備用ACS發起連接。

1.2  CWMP配置任務簡介

ACS屬性可以通過ACS、DHCP和命令行三種方式來配置，CPE的部分屬性可以通過ACS和命令行方式配置。當某參數支持多種配置方式時，DHCP配置的優先級最低，ACS配置和命令行配置的優先級相同。高優先級配置方式可以修改低優先級配置方式配置的參數，配置方式優先級相同時，以最新的配置為準。

1.2.1  通過DHCP配置

在CWMP網絡中，DHCP服務器主要用於向CPE通告ACS的位置和驗證信息，因此DHCP服務器上的配置主要包含以下內容：

·     配置地址池，為CPE設備分配IP地址

·     配置DNS服務器

·     配置option 43選項，向CPE通告ACS信息

ACS屬性可以通過在DHCP server上配置option 43參數來實現。當CPE訪問DHCP server時，DHCP server會將ACS參數發送給CPE。這裏主要介紹option 43選項的配置方法，關於地址池和DNS服務器的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。

當使用H3C設備作為DHCP server時，可以使用命令行配置ACS參數，命令格式為：option 43 hex 01length URL username password。

·     length：表示關鍵字option 43 hex 01後麵參數的總長度，用十六進製數表示。

·     URL：ACS的地址。

·     username：ACS的用戶名。

·     password：ACS的密碼。

ACS的URL、用戶名和密碼參數的格式必須為字符對應的ASCII碼的十六進製值格式。假設將ACS地址配置為http://169.254.76.31:7547、用戶名配置為1234、密碼配置為5678，（URL+1個空格+username+1個空格+password）一共為35個字符，如表1-2所示：

表1-2 ACS參數的十六進製值格式

可使用以下配置步驟：

<Sysname> system-view

[Sysname] dhcp server ip-pool 0

[Sysname-dhcp-pool-0] option 43 hex 0123687474703A2F2F3136392E3235342E37362E33313A3735343720313233342035363738

有關DHCP、option 43參數以及option命令的詳細介紹，請參見“三層技術-IP業務配置指導”中的“DHCP”。

1.2.2  通過ACS配置

由ACS遠程管理，對CPE進行自動配置。可配置的主要參數請參見1.1.3  2. ACS向CPE下發配置項參數。ACS服務器上的配置請參見您所選ACS服務器的軟件使用說明。

1.2.3  通過命令行配置

即通過命令行手工指定CWMP參數，可配置的內容如表1-3所示。

表1-3 CWMP配置任務簡介

1.3  開啟CWMP功能

開啟CWMP後，CWMP的其它配置才能生效。

表1-4 開啟CWMP功能

1.4  配置ACS屬性

ACS屬性包括ACS的URL、用戶名和密碼。當CPE發起連接請求時，連接請求報文裏會攜帶CPE連接ACS的URL、用戶名和密碼。當ACS收到該報文後，如果這些參數的值和本地配置的值一致，則驗證成功，允許建立連接；如果不一致，則驗證失敗，禁止建立連接。

1.4.1  配置CPE連接ACS的URL值

表1-5 配置CPE連接ACS的URL值

1.4.2  配置CPE連接ACS的用戶名和密碼

表1-6 配置CPE連接ACS的用戶名和密碼

1.5  配置CPE屬性

CPE的用戶名和密碼，用於CPE對ACS的合法性進行驗證。當連接由ACS發起時，會話請求報文裏會攜帶CPE用戶名和密碼。設備收到該報文後，會與本地設置的CPE用戶名和密碼比較，如果相同則通過認證，進入連接建立的下一階段，否則，認證失敗，退出連接建立過程。

1.5.1  配置CPE的用戶名和密碼

表1-7 配置CPE用戶名和密碼

1.5.2  配置CWMP連接接口

CWMP連接接口指的是CPE上用於連接ACS的接口。CPE會在Inform報文中攜帶CWMP連接接口的IP地址，要求ACS通過此IP地址和自己建立連接；相應的，ACS會向該IP地址回複Inform響應報文。

缺省情況下，係統會會采用一定的機製去獲取一個CWMP連接接口，但如果獲取的CWMP連接接口不是CPE和ACS相連的接口時，就會導致CWMP連接建立失敗。因此，在這種情況下需要手工指定CWMP連接接口。

表1-8 配置CWMP連接接口

1.5.3  配置發送Inform報文

CPE與ACS之間連接的建立過程需要發送Inform報文。通過設置Inform報文發送參數，可以觸發CPE向ACS自動發起連接。

1. 配置周期性發送Inform報文

表1-9 配置周期性發送Inform報文

2. 配置定時發送Inform報文

表1-10 配置定時發送Inform報文

1.5.4  配置CPE自動重新連接的次數

當CPE向ACS請求建立連接失敗，或者在會話過程中連接異常中止（CPE沒有收到表示會話正常結束的報文）時，設備可以自動重新發起連接。

表1-11 配置CPE自動重新連接的次數

1.5.5  配置CPE的NAT穿越功能

無論CPE與ACS之間是否存在NAT網關，CPE的主動連接請求都能到達ACS。而當CPE與ACS之間存在NAT網關時，ACS主動發起的連接請求不能到達CPE。此時，可以在設備上開啟NAT穿越功能，使ACS的請求可以穿越網關。本特性的實現遵循RFC 3489定義的STUN（Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs)，NAT的UDP簡單穿越）。

表1-12 配置CPE的NAT穿越功能

1.5.6  配置CPE的業務代碼信息

當CPE與ACS之間建立連接時，CPE需要在Inform報文中攜帶provision-code信息，ACS根據此信息可以識別設備定製的業務以及相應的參數，以便更好地管理CPE設備。關於ACS對provision-code的支持情況，請參見ACS手冊。

表1-13 配置CPE業務代碼信息

1.5.7  配置CPE無數據傳輸超時的時間

無數據傳輸超時時間主要用於以下兩種情況：

·     在連接建立過程中，CPE向ACS發送連接請求，但是經過無數據傳輸超時時間還沒有收到響應報文，CPE將認為連接失敗。

·     連接建立後，如果CPE與ACS在無數據傳輸超時時間內沒有報文交互，CPE將認為連接失效，並斷開連接。

表1-14 配置CPE無數據傳輸超時的時間

1.5.8  綁定SSL客戶端策略

CWMP是基於HTTP/HTTPS協議的，CWMP報文作為HTTP/HTTPS報文的數據部分封裝在HTTP/HTTPS報文中。如果ACS的URL以“http://”開頭，則使用HTTP協議；如果ACS的URL以“https://”開頭，則使用HTTPS協議。使用HTTPS協議時，ACS作為HTTPS服務器端，CPE作為HTTPS客戶端。

在CPE上需要綁定SSL客戶端策略，以便從該策略中獲取SSL客戶端運行時需要的參數（如加密算法、SSL協議版本等）。關於SSL客戶端策略的詳細介紹和配置請參見“安全配置指導”中的“SSL”。

表1-15 綁定SSL客戶端策略

1.6  CWMP顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以顯示配置後CWMP的運行情況，通過查看顯示信息驗證配置的效果。

表1-16 cwmp顯示和維護

1.7  CWMP典型配置舉例

1.7.1  組網需求

某數據中心有兩個機房（A和B）需要部署大量的設備，目前網絡中已存在ACS服務器/DHCP服務器/DNS服務器，為提高部署效率，要求利用CWMP功能為兩個機房中的CPE設備分別自動下發不同的配置文件。下麵以每個機房內的三台設備為例介紹CWMP功能的配置方法。

圖1-3 CWMP典型配置案例組網圖

其中部署到兩個機房的設備及序列號如表1-17所示。

表1-17 部署到機房的設備列表

網絡管理員已經為機房A和機房B的設備分別創建了配置文件configure1.cfg和configure2.cfg，ACS服務器的訪問用戶名和密碼分別為“admin”和“12345”，URL地址為http://10.185.10.41:9090。

1.7.2  配置步驟

1. 配置ACS服務器

不同ACS服務器，配置方式不同，具體配置請參考ACS服務器的相關手冊。

2. 配置DHCP服務器

(1)     配置地址池，為CPE設備分配IP地址和DNS服務器，此處以分配10.185.10.0/24網段的地址為例。

# 開啟DHCP服務。

<DHCP_server> system-view

[DHCP_server] dhcp enable

# 配置VLAN接口1工作在DHCP服務器模式。

[DHCP_server] interface vlan-interface 1

[DHCP_server-Vlan-interface1] dhcp select server

[DHCP_server-Vlan-interface1] quit

# 配置不參與自動分配的IP地址（此處包括DNS服務器、ACS服務器）。

[DHCP_server] dhcp server forbidden-ip 10.185.10.41

[DHCP_server] dhcp server forbidden-ip 10.185.10.60

# 配置DHCP地址池0的共有屬性（網段、DNS服務器地址）。

[DHCP_server] dhcp server ip-pool 0

[DHCP_server-dhcp-pool-0] network 10.185.10.0 mask 255.255.255.0

[DHCP_server-dhcp-pool-0] dns-list 10.185.10.60

(2)     配置option 43選項。選項內容包括ACS的地址、用戶名和密碼。

# 將ACS的地址、用戶名和密碼轉換成ASCII碼。其中URL地址對應的ASCII碼為68 74 74 70 3A 2F 2F 61 63 73 2E 64 61 74 61 62 61 73 65 3A 39 30 39 30 2F 61 63 73。用戶名admin對應的ASCII碼為76 69 63 6B 79，密碼12345對應的ASCII碼為31 32 33 34 35。

[DHCP_server-dhcp-pool-0] option 43 hex 013B687474703A2F2F6163732E64617461626173653A393039302F616373207669636B79203132333435

3. DNS服務器上的配置

在DNS服務器上需要配置域名和地址的映射，將http://acs.database:9090地址映射為http://10.185.1.41:9090。具體配置方法請參見您使用的DNS服務器軟件手冊。

4. 將CPE接入網絡

將CPE上電並連接網線後，CPE會先通過DHCP server獲取IP地址和連接ACS所需的信息，再按照CWMP協議的流程自動從ACS處獲取配置文件。

1.7.3  驗證配置

在ACS服務器上可以看到與序列號對應的設備已經完成部署配置的操作。