华为ME60业务配置指导书.docx

上传人:b****4 文档编号:11957345 上传时间:2023-04-16 格式:DOCX 页数:29 大小:59.95KB
下载 相关 举报
华为ME60业务配置指导书.docx_第1页
第1页 / 共29页
华为ME60业务配置指导书.docx_第2页
第2页 / 共29页
华为ME60业务配置指导书.docx_第3页
第3页 / 共29页
华为ME60业务配置指导书.docx_第4页
第4页 / 共29页
华为ME60业务配置指导书.docx_第5页
第5页 / 共29页
点击查看更多>>
下载资源
资源描述

华为ME60业务配置指导书.docx

《华为ME60业务配置指导书.docx》由会员分享,可在线阅读,更多相关《华为ME60业务配置指导书.docx(29页珍藏版)》请在冰豆网上搜索。

华为ME60业务配置指导书.docx

华为ME60业务配置指导书

 

安徽移动IP城域网一期

华为ME60业务配置指导书

 

1、全局配置

华为ME60作为一个多业务网关可以做BAS使用,在实现方面与juniporERX和RedbackSE800不同,所有资源都是全局共享的,包括地址池,Radius组,路由表等等。

所以在配置业务的时候首先要配置一些共用的东西。

下面一一讲述。

1)配制loopback地址

在全局配置模式下:

Interfaceloopback0

Ipaddress121.35.12.73255.255.255.255

2)配置Routerid

在全局配置模式下

Routerid121.35.12.73

3)配置OSPF

在全局配置模式下(以现网为例):

OspfX不填此默认为进程1

AreaXXX

NetworkXXX.XXX.XXX.XXX0.0.0.0

Nssa

4)配置ippool

在全局配置模式下(这里的顺序即为配置顺序):

IppoolFY-ME60-Pool-01

gateway121.34.203.1255.255.255.0

section0121.34.203.2121.34.203.254

dns-server202.96.128.68

dns-server202.96.134.133secondary

注意:

这里的section代表一个地址范围,范围是0-7,也就是一个ippool最多可以有8段地址。

当然这8段地址必须与gateway在同一网段。

5)配置Radius组

在全局配置模式下:

radius-servergroupanhui_radius

radius-serverauthentication61.140.4.1441812weight0

radius-serveraccounting61.140.4.1441813weight0

radius-servershared-keys*zgnet^^

注意:

在配置Radius组中我们要配置发往RadiusServer的IP地址,在这里我们一般选择Loopback地址作为认证地址。

该配置需要在全局配置模式下配置:

radius-serversourceinterfaceLoopBack0。

该地址也需要在RadiusServer侧配置。

6)配置认证模板

认证模板中包含认证方式和计费方式,这两种方式里的选项都是相同的,可以作Radius认证(radius),可以作本地认证(local),也可以不认证(none)。

默认是Radius认证,所以配置了radius认证后在配置中看不到。

命令如下,需要在aaa视图中配置。

authentication-schemefymobile

accounting-scheme**mobile

7)配置认证域

ME60通过域(domain)将不通业务的用户区分开来,不同的域用域名区分,比如163.ah和iptv.ah等。

域下面可以做一些策略路由来控制该域用户的数据流向,在此次城域网工程中没有涉及策略路由的内容,在这里部描述。

具体配置方法如下,在aaa视图下:

domain163.ah

radius-servergroupah_radius

ip-pooljt-me60-pool-01

域中定义了该域引用的地址池和radius组。

8)引入用户路由

ME60在配置了动态路由后需要将用户路由引入到路由表中,该路由被称为unr(usernetwoekroute)路由,引入用户路由方法如下,在动态路由协议视图下配置,如ospf视图下:

Importunr

2、拨号业务

ME60的接口是三层接口,所以要通过子接口来终结二层报文。

对于PPPOE报文来讲需要配置一个逻辑端口来终结PPP报文。

1)配制虚模版

在全局配置模式下:

interfaceVirtual-Template0

pppauthentication-modepap

注:

PPPOE用户的认证方式需要在虚模版中配置,目前应用最广泛的是pap方式。

2)配置二层接入端口

在全局配置模式下:

interfaceGigabitEthernet1/0/4.1

pppoe-serverbindVirtual-Template0

descriptionDialer

uservlan1012999qinq1000

bas

access-typelayer2-subscriber

roam-domain163.ah漫游域

access-limit1start-vlan102end-vlan103qinq1000

在子接口里面首先配置PPPOE报文终结在虚模版0上。

配置QinQ用户数据:

uservlan1012999qinq1000,用户vlan为101到2999,外层vlan为1000。

用户的接入类型需要在bas视图下配置,此处配置的是二层用户(layer2-subscriber)。

3)配制单个vlan允许接入session数:

在bas视图下:

access-limit1start-vlan102end-vlan103qinq1000

备注:

对于二层接入用户来说存在几个概念:

认证前域,认证后域,默认域以及漫游域。

认证前域:

此域应用于web认证,用来限制用户认证前可访问的地址。

认证后域:

用户通过认证后属于这个域。

默认域:

当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务

漫游域:

当用户认证时携带的域名在ME60上没有配置的时候采用漫游域认证。

实际上配置漫游域只是表明采用漫游域中的地址池以及认证模板。

在目前的BAS部署中不允许用户不带域名认证,所以默认域采用ME60的默认配置default1;而漫游域在VPDN测试的时候用到,目前暂时不配置。

3、专线业务

配置专线业务与拨号业务类似,配置步骤如下:

1)进入子接口模式,配置专线用户的vlan

uservlan104qinq1000

2)进入bas视图,配置专线用户的接入方式以及认证方式

access-typelayer2-subscriberdefault-domainauthenticationdefault0

authentication-methodbind

3)在全局配置模式下配置该专线用户的地址

static-user121.34.241.130intg1/0/4.2vlan104qinq1000detect

注意:

此时必须在全局模式下将专线地址池中的地址exclude掉,否则添加静态用户后会抱错说从地址池中分不到地址。

4、VPDN业务

VPDN业务在拨号阶段配置与普通拨号用户配置相同,需要在普通拨号用户的配置下增加两个东西,一个就是在认证域中配置该域为l2tp域,另一个就是需要配置一个l2tp-group,这样用户通过radius认证后可以与LNS进行l2tp协商。

按照目前电信运营商们的规划,所有的l2tp属性都是RadiusServer下发的。

1)配置认证域为L2TP域

domainsinopec.ah

radius-servergroupah_radius

l2tp-groupah_vpdn

2)配置L2TP-group

l2tp-groupah_vpdn

undotunnelauthentication

startl2tp

tunnelsourceLoopBack0

5、如何控制IPTV用户访问

在ME60上由于路由表都是全局的,所以从任何一个域拨上来的用户都可以通过路由访问到外网。

而在开展业务的时候会出现类似于IPTV这样的只允许访问部分地址的情况,这时候需要用UCL来控制用户访问,具体配置方法如下:

1)全局模式下配置一个User-group

user-groupiptv

2)在iptv域中指定该域内的用户属于user-groupiptv

domainiptv.ah

radius-servergroupah_radius

user-groupiptv//此命令指定该域内的用户属于user-groupiptv

ip-pooljt-me60-pool-01

3)配置两条UCL,一条匹配iptv用户可访问地址,一条匹配全部地址

aclnumber6000match-orderauto

descriptionTheACLthatIPTVuserscannotaccess

rule5permitipsourceuser-groupiptv

#

aclnumber6001match-orderauto

descriptionTheACLIPTVuserscanaccess

rule5permitipsourceuser-groupiptvdestinationip-address202.96.134.1340

注:

UCL编号为6000-9999

4)配置流分类,将不同的UCL区分开来

trafficclassifierperoperatorand

if-matchacl6001

trafficclassifierdenyoperatorand

if-matchacl6000

5)配置两个动作,一个是permit,一个是deny,默认为permit

trafficbehaviorper1

trafficbehaviordeny1

deny

6)配置流策略将流与动作关联

trafficpolicyiptv

classifierperbehaviorper1//允许用户访问ACL6001的网段

classifierdenybehaviordeny1//不允许用户访问ACL6000的网段

7)在全局下应用流策略

traffic-policyiptvglobal

6、一些常用命令

1)查看用户在线信息

Displayaccess-user可以查看到目前在线用户数,每个认证域中有多少用户

[ME60-SZ-JT-01]disaccess-user

----------------------------------------------------------------------------------------------

Totalusers:

2

Normalusers:

0

Adminusers:

2

Waitauthen-ack:

0

Authenticationfinish:

2

Accountingready:

2

Realtimeaccounting:

0

Waitleaving-flow-query:

0

Waitaccounting-start:

0

Waitaccounting-stop:

0

Waitauthorization-client:

0

Waitauthorization-server:

0

----------------------------------------------------------------------------------------------

Domain-nameCurrent-UserOnline-User

----------------------------------------------------------------------------------------------

default0:

0:

0

default1:

0:

0

default_admin:

2:

0

163.ah:

0:

0

sinopec.ah:

0:

0

green.ah:

0:

0

iptv.ah:

0:

0

--------------------------------------------------------------------------------------------------------

Theuseduseridtableare:

139324139325

--------------------------------------------------------------------------------------------------------

ME60上可以通过命令查看某一个域,某一块单板,某一个端口的用户,根据用户IP地址,MAC地址,user-id,查看用户详细信息。

[ME60-SZ-JT-01]disaccess-user?

DomainDomain

InterfaceInterface

ip-addressIPaddress

ipv6-addressIPV6ADDRESS

mac-addressMAC

slotSLOT

user-idUserid

usernameUsername

2)查看IP地址池信息

Displayippool该命令可以查看到该设备上配置的IPpool的简要信息

[ME60-SZ-JT-01]disippool

------------------------------------------------------------------------------------------------

Pool-Name:

jt-me60-iptv-pool-01

Pool-No:

0

Position:

LocalStatus:

Unlocked

Gateway:

121.34.211.254Mask:

255.255.255.128

Vpninstance:

--

------------------------------------------------------------------------------------------------

Pool-Name:

jt-me60-pool-01

Pool-No:

1

Position:

LocalStatus:

Unlocked

Gateway:

121.34.203.1Mask:

255.255.255.0

Vpninstance:

--

------------------------------------------------------------------------------------------------

Pool-Name:

jt-me60-leased_line-pool-01

Pool-No:

2

Position:

LocalStatus:

Unlocked

Gateway:

121.34.241.254Mask:

255.255.255.128

Vpninstance:

--

IPaddresspoolStatistic

Local:

3Remote:

0

IPaddressStatistic

Total:

503

Used:

0Free:

503

Conflicted:

0Disable:

0

Displayippoolname***可以根据ip地址池的名字查看到该地址池的详细信息

[ME60-SZ-JT-01]disippoolnamejt-me60-leased_line-pool-01

Pool-Name:

jt-me60-leased_line-pool-01

Pool-No:

2

Lease:

3Days0Hours0Minutes

Option-Code0:

-

Option-Value0:

-

Option-Code1:

-

Option-Value1:

-

Option-Code2:

-

Option-Value2:

-

Option-Code3:

-

Option-Value3:

-

DNS-Suffix:

-

Primary-DNS:

202.96.128.68Secondary-DNS:

202.96.134.133

Primary-NBNS:

-Secondary-NBNS:

-

Position:

LocalStatus:

Unlocked

Gateway:

121.34.241.254Mask:

255.255.255.128

Vpninstance:

--

-------------------------------------------------------------------------------------------------------

IDstartendtotalusedidleconflicteddisable

--------------------------------------------------------------------------------------------------------

0121.34.241.129121.34.241.253125012500

--------------------------------------------------------------------------------------------------------------

Displayippoolname***all可以查看到详细到每个IP地址的具体信息

[ME60-SZ-JT-01]disippoolnamejt-me60-leased_line-pool-01all

Pool-Name:

jt-me60-leased_line-pool-01

Pool-No:

2

Lease:

3Days0Hours0Minutes

Option-Code0:

-

Option-Value0:

-

Option-Code1:

-

Option-Value1:

-

Option-Code2:

-

Option-Value2:

-

Option-Code3:

-

Option-Value3:

-

DNS-Suffix:

-

Primary-DNS:

202.96.128.68Secondary-DNS:

202.96.134.133

Primary-NBNS:

-Secondary-NBNS:

-

Position:

LocalStatus:

Unlocked

Gateway:

121.34.241.254Mask:

255.255.255.128

Vpninstance:

--

---------------------------------------------------------------------------------------------------------------

IDstartendtotalusedidleconflicteddisable

---------------------------------------------------------------------------------------------------------------

0121.34.241.129121.34.241.253125012500

---------------------------------------------------------------------------------------------------------------

Section0:

---------------------------------------------------------------------------------------------------------------

IndexIPMACUser-IDLeaseStatus

---------------------------------------------------------------------------------------------------------------

0121.34.241.129---idle

1121.34.241.130---idle

2121.34.241.131---idle

3121.34.241.132---idle

---------------------------------------------------------------------------------------------------------------

3)查看用户下线原因

displayaaaoffline-record可以查看到用户的下线原因

[ME60-SZ-JT-01]displayaaaoffline-record

-------------------------------------------------------------------

Username:

huawei@default_admin

UserMAC:

ffff-ffff-ffff

Useraccesstype:

telnet

UserIPaddress:

121.34.203.194

UserID:

139323

Userauthenstate:

Authened

Useracctstate:

AcctIdle

Userauthorstate:

AuthorIdle

UseracctsessionID:

ME60-SZ000006553565535d324f9139323

Userlogintime:

2007/02/0121:

09:

09

Userofflinetime:

2007/02/0121:

45:

59

Userofflinereason:

userrequesttooffline

-----------------

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 工作范文 > 演讲主持

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1