华为ME60业务配置指导书docWord格式.docx
《华为ME60业务配置指导书docWord格式.docx》由会员分享,可在线阅读,更多相关《华为ME60业务配置指导书docWord格式.docx(12页珍藏版)》请在冰豆网上搜索。
3)配置OSPF
在全局配置模式下(以现网为例):
Ospf
AreaXXX
NetworkXXX.XXX.XXX.XXX0.0.0.0
Nssa
4)配置ippool
在全局配置模式下(这里的顺序即为配置顺序):
IppoolJT-ME60-Pool-01
gateway121.34.203.1255.255.255.0
section0121.34.203.2121.34.203.254
dns-server202.96.128.68
dns-server202.96.134.133secondary
注意:
这里的section代表一个地址范围,范围是0-7,也就是一个ippool最多可以有8段地址。
当然这8段地址必须与gateway在同一网段。
5)配置Radius组
radius-servergroupgd_radius
radius-serverauthentication61.140.4.1441812weight0
radius-serveraccounting61.140.4.1441813weight0
radius-servershared-keyszgnet^^
在配置Radius组中我们要配置发往RadiusServer的IP地址,在这里我们一般选择Loopback地址作为认证地址。
该配置需要在全局配置模式下配置:
radius-serversourceinterfaceLoopBack0。
该地址也需要在RadiusServer侧配置。
6)配置认证模板
认证模板中包含认证方式和计费方式,这两种方式里的选项都是相同的,可以作Radius认证(radius),可以作本地认证(local),也可以不认证(none)。
默认是Radius认证,所以配置了radius认证后在配置中看不到。
命令如下,需要在aaa视图中配置。
authentication-schemegdtelecom
accounting-schemegdtelecom
7)配置认证域
ME60通过域(domain)将不通业务的用户区分开来,不同的域用域名区分,比如163.gd和iptv.gd等。
域下面可以做一些策略路由来控制该域用户的数据流向,在此次城域网工程中没有涉及策略路由的内容,在这里部描述。
具体配置方法如下,在aaa视图下:
domain163.gd
radius-servergroupgd_radius
ip-pooljt-me60-pool-01
域中定义了该域引用的地址池和radius组。
8)引入用户路由
ME60在配置了动态路由后需要将用户路由引入到路由表中,该路由北称为unr(usernetwoekroute)路由,引入用户路由方法如下,在动态路由协议视图下配置,如ospf视图下:
Importunr
2、拨号业务
ME60的接口是三层接口,所以要通过子接口来终结二层报文。
对于PPPOE报文来讲需要配置一个逻辑端口来终结PPP报文。
1)配制虚模版
interfaceVirtual-Template0
pppauthentication-modepap
注:
PPPOE用户的认证方式需要在虚模版中配置,目前应用最广泛的是pap方式。
2)配置二层接入端口
interfaceGigabitEthernet1/0/4.1
pppoe-serverbindVirtual-Template0
descriptionDialer
uservlan1012999qinq1000
bas
access-typelayer2-subscriber
roam-domain163.gd
access-limit1start-vlan102end-vlan103qinq1000
在子接口里面首先配置PPPOE报文终结在虚模版0上。
配置QinQ用户数据:
uservlan1012999qinq1000,用户vlan为101到2999,外层vlan为1000。
用户的接入类型需要在bas视图下配置,此处配置的是二层用户(layer2-subscriber)。
3)配制单个vlan允许接入session数:
在bas视图下:
access-limit1start-vlan102end-vlan103qinq1000
备注:
对于二层接入用户来说存在几个概念:
认证前域,认证后域,默认域以及漫游域。
认证前域:
此域应用于web认证,用来限制用户认证前可访问的地址。
认证后域:
用户通过认证后属于这个域。
默认域:
当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务
漫游域:
当用户认证时携带的域名在ME60上没有配置的时候采用漫游域认证。
实际上配置漫游域只是表明采用漫游域中的地址池以及认证模板。
在目前的BAS部署中不允许用户不带域名认证,所以默认域采用ME60的默认配置default1;
而漫游域在VPDN测试的时候用到,目前暂时不配置。
3、专线业务
配置专线业务与拨号业务类似,配置步骤如下:
1)进入子接口模式,配置专线用户的vlan
uservlan104qinq1000
2)进入bas视图,配置专线用户的接入方式以及认证方式
access-typelayer2-subscriberdefault-domainauthenticationdefault0
authentication-methodbind
3)在全局配置模式下配置该专线用户的地址
static-user121.34.241.130intg1/0/4.2vlan104qinq1000detect
此时必须在全局模式下将专线地址池中的地址exclude掉,否则添加静态用户后会抱错说从地址池中分不到地址。
4、VPDN业务
VPDN业务在拨号阶段配置与普通拨号用户配置相同,需要在普通拨号用户的配置下增加两个东西,一个就是在认证域中配置该域为l2tp域,另一个就是需要配置一个l2tp-group,这样用户通过radius认证后可以与LNS进行l2tp协商。
按照目前电信的规划,所有的l2tp属性都是RadiusServer下发的。
1)配置认证域为L2TP域
domainsinopec.gd
l2tp-groupgd_vpdn
2)配置L2TP-group
l2tp-groupgd_vpdn
undotunnelauthentication
startl2tp
tunnelsourceLoopBack0
5、如何控制IPTV用户访问
在ME60上由于路由表都是全局的,所以从任何一个域拨上来的用户都可以通过路由访问到外网。
而在开展业务的时候会出现类似于IPTV这样的只允许访问部分地址的情况,这时候需要用UCL来控制用户访问,具体配置方法如下:
1)全局模式下配置一个User-group
user-groupiptv
2)在iptv域中指定该域内的用户属于user-groupiptv
domainiptv.gd
user-groupiptv//此命令指定该域内的用户属于user-groupiptv
ip-pooljt-me60-pool-01
3)配置两条UCL,一条匹配iptv用户可访问地址,一条匹配全部地址
aclnumber6000match-orderauto
descriptionTheACLthatIPTVuserscannotaccess
rule5permitipsourceuser-groupiptv
#
aclnumber6001match-orderauto
descriptionTheACLIPTVuserscanaccess
rule5permitipsourceuser-groupiptvdestinationip-address202.96.134.1340
UCL编号为6000-9999
4)配置流分类,将不同的UCL区分开来
trafficclassifierperoperatorand
if-matchacl6001
trafficclassifierdenyoperatorand
if-matchacl6000
5)配置两个动作,一个是permit,一个是deny,默认为permit
trafficbehaviorper1
trafficbehaviordeny1
deny
6)配置流策略将流与动作关联
trafficpolicyiptv
classifierperbehaviorper1//允许用户访问ACL6001的网段
classifierdenybehaviordeny1//不允许用户访问ACL6000的网段
7)在全局下应用流策略
traffic-policyiptvglobal
6、一些常用命令
1)查看用户在线信息
Displayaccess-user可以查看到目前在线用户数,每个认证域中有多少用户
[ME60-SZ-JT-01]disaccess-user
----------------------------------------------------------------------------------------------
Totalusers:
2
Normalusers:
0
Adminusers:
Waitauthen-ack:
Authenticationfinish:
Accountingready:
Realtimeaccounting:
Waitleaving-flow-query:
Waitaccounting-start:
Waitaccounting-stop:
Waitauthorization-client:
Waitauthorization-server:
Domain-nameCurrent-UserOnline-User
default0:
0:
default1:
default_admin:
2:
163.gd:
sinopec.gd:
green.gd:
iptv.gd:
--------------------------------------------------------------------------------------------------------
Theuseduseridtableare:
139324139325
ME60上可以通过命令查看某一个域,某一块单板,某一个端口的用户,根据用户IP地址,MAC地址,user-id,查看用户详细信息。
[ME60-SZ-JT-01]disaccess-user?
DomainDomain
InterfaceInterface
ip-addressIPaddress
ipv6-addressIPV6ADDRESS
mac-addressMAC
slotSLOT
user-idUserid
usernameUsername
2)查看IP地址池信息
Displayippool该命令可以查看到该设备上配置的IPpool的简要信息
[ME60-SZ-JT-01]disippool
------------------------------------------------------------------------------------------------
Pool-Name:
jt-me60-iptv-pool-01
Pool-No:
Position:
LocalStatus:
Unlocked
Gateway:
121.34.211.254Mask:
255.255.255.128
Vpninstance:
--
jt-me60-pool-01
1
121.34.203.1Mask:
255.255.255.0
jt-me60-leased_line-pool-01
121.34.241.254Mask:
IPaddresspoolStatistic
Local:
3Remote:
IPaddressStatistic
Total:
503
Used:
0Free:
Conflicted:
0Disable:
Displayippoolname***可以根据ip地址池的名字查看到该地址池的详细信息
[ME60-SZ-JT-01]disippoolnamejt-me60-leased_line-pool-01
Lease:
3Days0Hours0Minutes
Option-Code0:
-
Option-Value0:
Option-Code1:
Option-Value1:
Option-Code2:
Option-Value2:
Option-Code3:
Option-Value3:
DNS-Suffix:
Primary-DNS:
202.96.128.68Secondary-DNS:
202.96.134.133
Primary-NBNS:
-Secondary-NBNS:
-------------------------------------------------------------------------------------------------------
IDstartendtotalusedidleconflicteddisable
0121.34.241.129121.34.241.253125012500
--------------------------------------------------------------------------------------------------------------
Displayippoolname***all可以查看到详细到每个IP地址的具体信息
[ME60-SZ-JT-01]disippoolnamejt-me60-leased_line-pool-01all
---------------------------------------------------------------------------------------------------------------
Section0:
IndexIPMACUser-IDLeaseStatus
0121.34.241.129---idle
1121.34.241.130---idle
2121.34.241.131---idle
3121.34.241.132---idle
3)查看用户下线原因
displayaaaoffline-record可以查看到用户的下线原因
[ME60-SZ-JT-01]displayaaaoffline-record
-------------------------------------------------------------------
Username:
huawei@default_admin
UserMAC:
ffff-ffff-ffff
Useraccesstype:
telnet
UserIPaddress:
121.34.203.194
UserID:
139323
Userauthenstate:
Authened
Useracctstate:
AcctIdle
Userauthorstate:
AuthorIdle
UseracctsessionID:
ME60-SZ000006553565535d324f913