《华为ME60业务配置指导书教学资料.doc》由会员分享,可在线阅读,更多相关《华为ME60业务配置指导书教学资料.doc(11页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Good is good, but better carries it.精益求精,善益求善。华为ME60业务配置指导书-深圳城域网二期华为ME60业务配置指导书拟制:贾鹏日期:2007-2-2审核:日期:审核:日期:批准:日期:修订记录日期修订版本描述作者2007-2-21.00初稿贾鹏-1、 全局配置华为ME60作为一个多业务网关可以做BAS使用,在实现方面与juniporERX和RedbackSE800不同,所有资源都是全局共享的,包括地址池,Radius组,路由表等等。所以在配置业务的时候首先要配置一些共用的东西。下面一一讲述。1) 配制loopback地址在全局配置模式下:Interf
2、aceloopback0Ipaddress121.35.12.73255.255.255.2552) 配置Routerid在全局配置模式下Routerid121.35.12.733) 配置OSPF在全局配置模式下(以现网为例):OspfAreaXXXNetworkXXX.XXX.XXX.XXX0.0.0.0Nssa4) 配置ippool在全局配置模式下(这里的顺序即为配置顺序):IppoolJT-ME60-Pool-01gateway121.34.203.1255.255.255.0section0121.34.203.2121.34.203.254dns-server202.96.128.6
3、8dns-server202.96.134.133secondary注意:这里的section代表一个地址范围,范围是0-7,也就是一个ippool最多可以有8段地址。当然这8段地址必须与gateway在同一网段。5) 配置Radius组在全局配置模式下:radius-servergroupgd_radiusradius-serverauthentication61.140.4.1441812weight0radius-serveraccounting61.140.4.1441813weight0radius-servershared-keyszgnet注意:在配置Radius组中我们要配置发
4、往RadiusServer的IP地址,在这里我们一般选择Loopback地址作为认证地址。该配置需要在全局配置模式下配置:radius-serversourceinterfaceLoopBack0。该地址也需要在RadiusServer侧配置。6) 配置认证模板认证模板中包含认证方式和计费方式,这两种方式里的选项都是相同的,可以作Radius认证(radius),可以作本地认证(local),也可以不认证(none)。默认是Radius认证,所以配置了radius认证后在配置中看不到。命令如下,需要在aaa视图中配置。authentication-schemegdtelecomaccounti
5、ng-schemegdtelecom7) 配置认证域ME60通过域(domain)将不通业务的用户区分开来,不同的域用域名区分,比如163.gd和iptv.gd等。域下面可以做一些策略路由来控制该域用户的数据流向,在此次城域网工程中没有涉及策略路由的内容,在这里部描述。具体配置方法如下,在aaa视图下:domain163.gdradius-servergroupgd_radiusip-pooljt-me60-pool-01域中定义了该域引用的地址池和radius组。8) 引入用户路由ME60在配置了动态路由后需要将用户路由引入到路由表中,该路由北称为unr(usernetwoekroute)路
6、由,引入用户路由方法如下,在动态路由协议视图下配置,如ospf视图下:2、 Importunr拨号业务ME60的接口是三层接口,所以要通过子接口来终结二层报文。对于PPPOE报文来讲需要配置一个逻辑端口来终结PPP报文。1) 配制虚模版在全局配置模式下:interfaceVirtual-Template0pppauthentication-modepap注:PPPOE用户的认证方式需要在虚模版中配置,目前应用最广泛的是pap方式。2) 配置二层接入端口在全局配置模式下:interfaceGigabitEthernet1/0/4.1pppoe-serverbindVirtual-Template
7、0descriptionDialeruservlan1012999qinq1000basaccess-typelayer2-subscriberroam-domain163.gdaccess-limit1start-vlan102end-vlan103qinq1000在子接口里面首先配置PPPOE报文终结在虚模版0上。配置QinQ用户数据:uservlan1012999qinq1000,用户vlan为101到2999,外层vlan为1000。用户的接入类型需要在bas视图下配置,此处配置的是二层用户(layer2-subscriber)。3) 配制单个vlan允许接入session数:在bas
8、视图下:access-limit1start-vlan102end-vlan103qinq1000备注:对于二层接入用户来说存在几个概念:认证前域,认证后域,默认域以及漫游域。认证前域:此域应用于web认证,用来限制用户认证前可访问的地址。认证后域:用户通过认证后属于这个域。默认域:当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务漫游域:当用户认证时携带的域名在ME60上没有配置的时候采用漫游域认证。实际上配置漫游域只是表明采用漫游域中的地址池以及认证模板。在目前的BAS部署中不允许用户不带域名认证,所以默认域采用ME60的默认配置default1;而漫游域在VPDN测试的
9、时候用到,目前暂时不配置。3、 专线业务配置专线业务与拨号业务类似,配置步骤如下:1)进入子接口模式,配置专线用户的vlanuservlan104qinq10002)进入bas视图,配置专线用户的接入方式以及认证方式access-typelayer2-subscriberdefault-domainauthenticationdefault0authentication-methodbind3)在全局配置模式下配置该专线用户的地址static-user121.34.241.130intg1/0/4.2vlan104qinq1000detect注意:此时必须在全局模式下将专线地址池中的地址exc
10、lude掉,否则添加静态用户后会抱错说从地址池中分不到地址。4、 VPDN业务VPDN业务在拨号阶段配置与普通拨号用户配置相同,需要在普通拨号用户的配置下增加两个东西,一个就是在认证域中配置该域为l2tp域,另一个就是需要配置一个l2tp-group,这样用户通过radius认证后可以与LNS进行l2tp协商。按照目前电信的规划,所有的l2tp属性都是RadiusServer下发的。1) 配置认证域为L2TP域domainsinopec.gdradius-servergroupgd_radiusl2tp-groupgd_vpdn2) 配置L2TP-groupl2tp-groupgd_vpdnu
11、ndotunnelauthenticationstartl2tptunnelsourceLoopBack05、 如何控制IPTV用户访问在ME60上由于路由表都是全局的,所以从任何一个域拨上来的用户都可以通过路由访问到外网。而在开展业务的时候会出现类似于IPTV这样的只允许访问部分地址的情况,这时候需要用UCL来控制用户访问,具体配置方法如下:1) 全局模式下配置一个User-groupuser-groupiptv2) 在iptv域中指定该域内的用户属于user-groupiptvdomainiptv.gdradius-servergroupgd_radiususer-groupiptv/此命
12、令指定该域内的用户属于user-groupiptvip-pooljt-me60-pool-013) 配置两条UCL,一条匹配iptv用户可访问地址,一条匹配全部地址aclnumber6000match-orderautodescriptionTheACLthatIPTVuserscannotaccessrule5permitipsourceuser-groupiptv#aclnumber6001match-orderautodescriptionTheACLIPTVuserscanaccessrule5permitipsourceuser-groupiptvdestinationip-addr
13、ess202.96.134.1340注:UCL编号为6000-99994) 配置流分类,将不同的UCL区分开来trafficclassifierperoperatorandif-matchacl6001trafficclassifierdenyoperatorandif-matchacl60005) 配置两个动作,一个是permit,一个是deny,默认为permittrafficbehaviorper1trafficbehaviordeny1deny6) 配置流策略将流与动作关联trafficpolicyiptvclassifierperbehaviorper1/允许用户访问ACL6001的
14、网段classifierdenybehaviordeny1/不允许用户访问ACL6000的网段7) 在全局下应用流策略traffic-policyiptvglobal6、 一些常用命令1) 查看用户在线信息Displayaccess-user可以查看到目前在线用户数,每个认证域中有多少用户ME60-SZ-JT-01disaccess-user-Totalusers:2Normalusers:0Adminusers:2Waitauthen-ack:0Authenticationfinish:2Accountingready:2Realtimeaccounting:0Waitleaving-flo
15、w-query:0Waitaccounting-start:0Waitaccounting-stop:0Waitauthorization-client:0Waitauthorization-server:0-Domain-nameCurrent-UserOnline-User-default0:0:0default1:0:0default_admin:2:0163.gd:0:0sinopec.gd:0:0green.gd:0:0iptv.gd:0:0-Theuseduseridtableare:139324139325-ME60上可以通过命令查看某一个域,某一块单板,某一个端口的用户,根据用
16、户IP地址,MAC地址,user-id,查看用户详细信息。ME60-SZ-JT-01disaccess-user?DomainDomainInterfaceInterfaceip-addressIPaddressipv6-addressIPV6ADDRESSmac-addressMACslotSLOTuser-idUseridusernameUsername2) 查看IP地址池信息Displayippool该命令可以查看到该设备上配置的IPpool的简要信息ME60-SZ-JT-01disippool-Pool-Name:jt-me60-iptv-pool-01Pool-No:0Positio
17、n:LocalStatus:UnlockedGateway:121.34.211.254Mask:255.255.255.128Vpninstance:-Pool-Name:jt-me60-pool-01Pool-No:1Position:LocalStatus:UnlockedGateway:121.34.203.1Mask:255.255.255.0Vpninstance:-Pool-Name:jt-me60-leased_line-pool-01Pool-No:2Position:LocalStatus:UnlockedGateway:121.34.241.254Mask:255.255
18、.255.128Vpninstance:-IPaddresspoolStatisticLocal:3Remote:0IPaddressStatisticTotal:503Used:0Free:503Conflicted:0Disable:0Displayippoolname*可以根据ip地址池的名字查看到该地址池的详细信息ME60-SZ-JT-01disippoolnamejt-me60-leased_line-pool-01Pool-Name:jt-me60-leased_line-pool-01Pool-No:2Lease:3Days0Hours0MinutesOption-Code0:-
19、Option-Value0:-Option-Code1:-Option-Value1:-Option-Code2:-Option-Value2:-Option-Code3:-Option-Value3:-DNS-Suffix:-Primary-DNS:202.96.128.68Secondary-DNS:202.96.134.133Primary-NBNS:-Secondary-NBNS:-Position:LocalStatus:UnlockedGateway:121.34.241.254Mask:255.255.255.128Vpninstance:-IDstartendtotalused
20、idleconflicteddisable-0121.34.241.129121.34.241.253125012500-Displayippoolname*all可以查看到详细到每个IP地址的具体信息ME60-SZ-JT-01disippoolnamejt-me60-leased_line-pool-01allPool-Name:jt-me60-leased_line-pool-01Pool-No:2Lease:3Days0Hours0MinutesOption-Code0:-Option-Value0:-Option-Code1:-Option-Value1:-Option-Code2:-
21、Option-Value2:-Option-Code3:-Option-Value3:-DNS-Suffix:-Primary-DNS:202.96.128.68Secondary-DNS:202.96.134.133Primary-NBNS:-Secondary-NBNS:-Position:LocalStatus:UnlockedGateway:121.34.241.254Mask:255.255.255.128Vpninstance:-IDstartendtotalusedidleconflicteddisable-0121.34.241.129121.34.241.2531250125
22、00-Section0:-IndexIPMACUser-IDLeaseStatus-0121.34.241.129-idle1121.34.241.130-idle2121.34.241.131-idle3121.34.241.132-idle-3) 查看用户下线原因displayaaaoffline-record可以查看到用户的下线原因ME60-SZ-JT-01displayaaaoffline-record-Username:huaweidefault_adminUserMAC:ffff-ffff-ffffUseraccesstype:telnetUserIPaddress:121.34.
23、203.194UserID:139323Userauthenstate:AuthenedUseracctstate:AcctIdleUserauthorstate:AuthorIdleUseracctsessionID:ME60-SZ000006553565535d324f9139323Userlogintime:2007/02/0121:09:09Userofflinetime:2007/02/0121:45:59Userofflinereason:userrequesttooffline-Areyousuretoshowsomeinformation?(y/n)y:ndisplayaaao
24、ffline-recordoffline-reason后面跟上相应的参数可以看到不同原因下线的用户信息。arp_detect_failOfflinereasonidle_cutOfflinereasonppp_echo_failOfflinereasonppp_user_requestOfflinereasonrealtime_acct_failOfflinereasonsession_timeoutOfflinereasonstop_acct_failOfflinereasonuser_requestOfflinereason4) 查看L2TPtunnel,sessionDisplayl2t
25、ptunnel,displayl2tpsession可以查看到目前存在的l2tp通道和进程。5) 跟踪用户消息ME60支持跟踪用户消息,该消息中包括与Radius交互的消息以及ME60内部各个功能模块的处理消息,在出现故障的时候对用户作一个跟踪非常有效。具体配置步骤如下:全局模式下:ME60-SZ-JT-01traceenableME60-SZ-JT-01traceobject?/可以根据用户名,MAC地址,vlan号来跟踪access-modeTheaccessmodeinterfaceTheinterfaceip-addressTheIPaddressmac-addressTheMACaddresspvcThePVCuser-nameTheusernameuser-vlanTheuserVLANID一般情况下我们会将跟踪的用户消息写到CF卡上,跟踪用户消息的完整命令为:traceobjectuser-nametest163.gdoutputfilecfcard:/test.txt7、 配置举例(以景田的配置为例)景田的配置见附件:
黑公网安备:91230400333293403D