华为ME60BRAS设备配置规范.docx
《华为ME60BRAS设备配置规范.docx》由会员分享,可在线阅读,更多相关《华为ME60BRAS设备配置规范.docx(85页珍藏版)》请在冰豆网上搜索。
华为ME60BRAS设备配置规范
河南网通城域网华为ME60BRAS设备配置规范
华为技术有限公司
二00八年6月
1、系统简介
1.1河南网通宽带城域网建设概况
本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不
变的基础上,持续提升宽带接入能力,继续推进二层网络扁平化,提升网络可靠
性,以此逐步向功能完善、结构合理、性能优良的目标网演进。
提升业务支持能力:
根据各类IP业务发展需求及流量流向特性,对城域网
内的设备进行容量增加和端口扩容,提供充足的业务接入能力及中继链路端口。
二层网络扁平化举措:
在进行扩容的同时在有条件的地市考虑继续缩减汇聚
交换机的级联层数,进一步扁平化二层汇聚网络;同时具备条件的地市可根据业
务发展需求结合设备性能考虑SR/BRAS适度下移。
网络质量差异化:
逐步部署MPLS技术和Diffserv机制,为不同用户和不同
业务提供不同QOS等级的服务。
在业务集中区域逐步设立轻载的大客户专用接入
设备,减少普通客户流量对大客户业务质量的干扰。
管理控制集中化智能化:
用宽带接入服务器(BRAS)、业务路由器(SR)构
建独立清晰的IP城域网接入层,实现业务集中调度、监测和控制;规范设备的
网管接口要求,加强集中网管系统的建设,提高网络的可管理性,逐步实现对网
络性能的实时监控管理,提供基于时间、流量、质量等指标的多样化组合计费能
力。
1.2河南网通华为ME60系统组网方式
1.2.1网络概述
根据目前网络和业务开通方式等现状,本期工程在每个县局节点及部分市区节点放置一台ME60-8BRAS设备,共计123台。
在市区,ME60双上行至地市2台GSR设备,同时与地市新建SR通过端口聚合进行连接,负责终结SR设备透传过来的二层报文。
在县局,网络通过布置大二层汇聚交换机来实现业务分流,ME60双上行至地市核心GSR设备,下行方向连接县局大二层汇聚交换机,负责终结县局汇聚交换机透传上来的二层报文。
1.2.1组网方式
方式一、市区组网方式
ME60采用双上行GE链路上行至地市GSR,启用OSPF以及BGP路由协议;同时与本局SR通过以太端口聚合聚合2个GE接口互连,该逻辑端口启用OSPF协议。
其中,与GSR的端口作为主用上行路由,到本局SR设备的端口作为备用上行链路,同时该GE兼作本局用户业务的二层下联接口,终结用户VLAN或灵活QinQVLAN。
方式二、县局组网方式
在县局,ME60双上行至地市核心GSR路由器,上行开启三层接口,启用OSPF以及BGP协议;同时,与本局汇聚交换机通过GE口连接,该接口用来终结县级汇聚交换机透传上来的单层VLAN以及QINQVLAN。
除了挂接用户业务以外,本期项目中党建、CDN等服务器业务也需要割接到新建BRAS上。
1.3VLAN规划原则
1.遵循管理VLAN与用户VLAN分开、一用户一VLAN的原则。
2.对于直连一级汇聚层交换机的市区接入设备,要求采用VLANStacking模式,做到每个用户一个VLAN。
接入设备的外层VLAN使用原汇聚层交换机中预留的VLAN。
3.对于下挂在和BAS有直连链路的县局节点下的接入设备,也要求采用VLANStacking模式。
4.对于下挂在二级汇聚交换机以下的接入设备(如支局),不建议采用VLANStacking模式,可采用一个DSLAM分配“一个用户VLAN+一个管理VLAN”的方式;对于LAN方式,ZAN和BAN的管理VLAN使用同一VLAN,每个BAN采用不同用户VLAN;
5.对于采用PPPOE与DHCP+并行模式的接入层设备,不采用VLANStacking模式,应遵循不同认证方式用户分配不同VLAN的原则进行VLAN规划。
通过相连的各级交换机将新增VLAN透传至BAS。
设备管理VLAN则延用原模式。
1.4IP地址规划原则
本着连续分配、节约资源、便于管理的原则进行规划。
1.普通拨号用户IP地址规划
PPPOE拨号用户的IP地址均直接由BAS通过地址池动态分配,每台BAS暂时分配4个C类地址。
2.专线用户IP地址规划
每个专线用户一个VLAN,每台BAS分配一个C类地址,用户地址可以连续分配。
3.设备管理IP地址规划
每台BAS下挂的接入层设备管理地址为一个C类地址,可进行连续分配。
4.BAS设备管理(loopback地址等)和互联地址由省公司统一规划分配。
5.每台BAS目前预留两个C类地址备用。
2、BAS配置规范(ME60)
该部分所介绍的配置是现网设备配置的说明和解释,以及部分配置规范;具体命令的格式及说明请参考ME60设备配置手册。
2.1设备基本配置
设备的基本配置包括主机名称、时钟、用户管理设置等。
2.1.1设置主机名
主机名命名规则:
【示例】MC-ZZ-KFQ-C6509-001郑州城域网汇聚层开发区思科6509设备
MA-ZZ-XZ.BQ.LD-HW5100-001新郑市八千乡刘店接入点华为5100设备
对于华为本期项目上的NE40E及ME60,属于城域网业务控制层,按照规范描述网络层次为MS,例如,洛阳道北节点ME60命名如下:
MS-LY-DB-HW60-001
2.1.2时区和时钟校准
配置时钟命令如下:
clockdatetimeHH:
MM:
SSYYYY-MM-DD
配置时区命令如下:
clocktimezonetime-zone-name{add|minus}offset
例如,设置中国区时钟:
clocktimezonebeijingadd8
2.1.3配置管理员及其密码
步骤1执行命令system-view,进入系统视图。
步骤2执行命令local-aaa-server,进入本地AAA视图。
步骤3执行命令userusername{password{simplesimple-password|ciphercipher-password}|authentication-typetype-mask|block|ftp-directoryftp-directory|levellevel|callback-nocheck|callback-numbercallback-number|idle-cut|qos-profileqos-profile-name}*,增加操作用户。
例如,增加一个名字为HUAWEI的用户,配置如下:
local-aaa-server
userHUAWEIpasswordcipherHuaweilevel3
级别3为超级用户权限,可以根据需要将用户设置为0-3的任何级别。
2.1.4启用服务
ME60启用网络服务命令如下:
ftpserverenable
sshserverenable
2.1.5对管理员地址范围进行限定
定义访问控制列表:
Acl2000
rule5permitipsource10.1.1.1255.255.255.255
rule10permitipsource10.1.1.2255.255.255.255
rule15permitipsource10.1.1.3255.255.255.255
进入USER-INTERFACE
User-interfacevty04
Acl2000in
2.1.6timeout时间设置
空闲过时设置
User-interfacevty04
Idle-timeout5
当telnet会话在5分钟内没有输入时timeout退出
2.1.7ACL配置范例
Acl2000至2999为基本ACL,只能够定义源地址;3000-3999为扩展ACL,能够依照五元组进行定义
1、配置管理ACL范例:
Acl3000
rule5permitipsource218.29.255.00.0.0.255any//省网管;
rule10permitipsource123.234.255.1260.0.0.0destinationany//BAS(SE800)网管服务器地址;
rule15permitipsourcehost221.13.223.140destinationany//RADIUS服务器地址;
rule20permitipsource218.29.0.1280.0.0.31destinationany//郑州分公司-1;
rule25permitipsource218.29.221.10.0.0.127destinationany//郑州分公司-2;
rule30denytcpsourceanydestinationanyeqtelnet
rule35denytcpsourceanydestinationanyeqssh
rule40denytcpsourceanydestinationanyeqftp
rule45denytcpsourceanydestinationanyeqftp-data
rule50denyudpsourceanydestinationanyeqtftp
rule55denyudpsourceanydestinationanyeqsnmp
rule60denyudpsourceanydestinationanyeqsnmptrap
rule65permitipanyany
进入telnet用户接口
User-interfacevty04
Acl3000in
2、配置普通ACL并应用范例
aclnumber3001
rule5permitip
#
aclnumber6000match-orderauto
rule5denytcpdestination-porteq135
rule10denytcpdestination-porteq136
rule15denytcpdestination-porteq137
rule20denytcpdestination-porteq138
rule25denytcpdestination-porteq139
rule30denytcpdestination-porteq445
rule35denytcpdestination-porteq4444
rule40denyudpdestination-porteq445
rule45denyudpdestination-porteqnetbios-ssn
rule50denyudpdestination-porteqnetbios-dgm
rule55denyudpdestination-porteq135
rule60denyudpdestination-porteqnetbios-ns
rule65denytcpdestination-porteq2745
rule70denytcpdestination-porteq3127
rule75denytcpdestination-porteq593
rule80denytcpdestination-porteq6129
rule85denyudpdestination-porteq1434
rule90denyipsourceuser-grouphelpdestinationip-addressany
rule95denyipsourceuser-groupiptvdestinationip-addressany
[ACL6000是一个用户ACL,前面定义了防病毒部分,最后两条定义了HELP以及IPTV里面的用户不能访问任何地址]
#
aclnumber6001
rule5permitipsourceuser-groupiptvdestinationip-address202.102.249.00.0.0.255
rule10permitipsourceuser-groupiptvdestinationip-address61.168.222.00.0.1.255
rule15permitipsourceuser-groupiptvdestinationip-address61.168.224.00.0.3.255
rule20permitipsourceuser-groupiptvdestinationip-address61.168.228.00.0.1.255
rule25permitipsourceuser-groupiptvdestinationip-address61.158.216.00.0.1.255
rule30permitipsourceuser-groupiptvdestinationip-address61.158.218.00.0.0.255
rule35permitipsourceuser-groupiptvdestinationip-address202.102.224.680
rule40permitipsourceuser-groupiptvdestinationip-address202.102.227.680
[定义了IPTV用户组里的用户可以访问的地址]
#
aclnumber6002match-orderauto
rule5permitipsourceuser-grouphelpdestinationip-address218.29.0.2520
rule10permitipsourceuser-grouphelpdestinationip-address202.102.224.680
rule15permitipsourceuser-grouphelpdestinationip-address202.102.227.680
[定义了HELP用户组里的用户可以访问的地址]
#
trafficclassifierlimitoperatoror
if-matchacl6000
trafficclassifieractionoperatoror
if-matchacl6002
if-matchacl6001
[定义了3个流量分类,分别匹配3个ACL,会和后面的流量动作配置组成策略。
这部分与思科设备通过配置ROUTE-MAP定义策略路由很类似]
#
trafficbehaviorlimit
deny
trafficbehavioraction
[定义流量动作,后面定义策略的时候与流量分类相关联]
#
trafficpolicylimit
classifieractionbehavioraction
classifierlimitbehaviorlimit
[定义流量策略,第一条名为ACTION的分类中匹配到的报文,执行名为ACTION的流量动作中所定义的动作,就是允许,第二条行为类似,但动作是拒绝。
需要注意,两条策略的顺序不能反,否则所有流量都会被拒绝]
traffic-policylimitinbound
traffic-policylimitoutbound
[由于上述策略都是针对用户侧的用户定义的,所以需要在全局下下发]
如果流量策略需要在网络侧端口下发,只需要在相应端口下饮用traffic-policy即可。
2.1.8用户域基本配置
1、定义用户域
domaindial
authentication-schemeradius
[该域用名称为RADIUS的SCHEME来进行认证]
accounting-schemeradius
service-typehsi
[将该域的模式配置成HIS模式,PPPOE的域都要配置成该模式]
radius-servergroupdial
[指定使用的RADIUS服务器组]
ip-pooldial
[指定该域使用的地址池]
qosprofile2m
[指定该域使用的QOS模板]
2、定义地址池
ippooldiallocal
gateway61.168.104.1255.255.248.0
section061.168.104.261.168.111.254
excluded-ip-address61.168.104.2
conflict-ip-address61.168.108.187
dns-server202.102.224.68
dns-server202.102.227.68secondary
[定义地址池,包括网关,可分配地址范围,不能被分配的地址以及DNS等参数,地址池会被后面的域所引用,以给用户分配地址]
一个用户域下可以定义多个地支持,当一个用完时系统可以选择分配另外一个地支持中的地址。
3、QOS模板定义
首先定义调度模板
scheduler-profile2m
carcir2048pir2050cbs256000pbs256250upstream
gtscir2048pir2050queue-length65536
定义QOS模板,在其中引用调度模板
qos-profile2m
scheduler-profile2m
在用户域下引用QOS模板
domaindial
qosprofile2m
2.1.9安全基本配置
1、定义防病毒访问控制列表
aclnumber6000match-orderauto
rule5denytcpdestination-porteq135
rule10denytcpdestination-porteq136
rule15denytcpdestination-porteq137
rule20denytcpdestination-porteq138
rule25denytcpdestination-porteq139
rule30denytcpdestination-porteq445
rule35denytcpdestination-porteq4444
rule40denyudpdestination-porteq445
rule45denyudpdestination-porteqnetbios-ssn
rule50denyudpdestination-porteqnetbios-dgm
rule55denyudpdestination-porteq135
rule60denyudpdestination-porteqnetbios-ns
rule65denytcpdestination-porteq2745
rule70denytcpdestination-porteq3127
rule75denytcpdestination-porteq593
rule80denytcpdestination-porteq6129
rule85denyudpdestination-porteq1434
rule90permitany
2、定义流分类
trafficclassifierlimitoperatoror
if-matchacl6000
3、定义流动作
trafficbehaviorlimit
deny
4、定义流策略
trafficpolicylimit
classifierlimitbehaviorlimit
5、全局下发针对用户侧的策略
traffic-policylimitinbound
traffic-policylimitoutbound
2.1.10设备配置保存
执行SAVE命令,配置将缺省保存在设备CFCARD中。
2.2设备接口配置
2.2.1网络侧接口配置
1、ME60将没有直接挂接用户的三层称之为网络侧端口,典型的就是连接GSR设备的三层端口。
该端口为普通的三层路由端口。
对于这种类型的端口配置,与普通路由器三层端口相同。
对于网络侧端口的配置在系统模式下进行:
interfaceGigabitEthernet1/0/0
mtu1524
[配置端口MTU值]
descriptionTo-[LY-XiGong-GSR]G1/0/4
[对于该端口的描述to-[对端设备型号]-端口号]
ipaddress125.45.253.178255.255.255.252
[设置端口IP地址]
mpls
mplsldp
[端口下启用MPLS]
通过使用displayinterface命令可以查看端口状态(UP、down),端口类型及端口报文计数等信息。
2、端口描述规范
互联中继命名规范:
【端口简写】括号内端口信息采用简写
F:
FEG:
GE/10GEA:
ATMP:
POS
设备端口上描述建议采用TO_PC-ZZ-ZYL-CRS-001(G0/2):
GE:
1:
电路代号
用户电路命名规范:
【端口简写】括号内端口信息采用简写
F:
FEG:
GE/10GEA:
ATMP:
POS
注:
设备端口上描述建议采用TO_ZZGONGSHANGJU:
10M:
FE:
1:
电路代号
例如,洛阳西工NE40E连接西工NE80E的描述:
Intg1/0/0
DesTO_PC-LY-XG-NE80E-001(G0/2):
GE:
1
2.2.2loopback接口配置及描述
Loopback接口的配置在系统模式下进行。
按照本期规划,每台设备需要配置2个loopback地址,范例如下:
interfaceLoopBack0
ipaddress125.40.254.110255.255.255.255
[这个地址用来和RR建立IPV4BGP邻居]
#
interfaceLoopBack10
ipaddress125.40.254.1
升级会员 