redback se800广东维护手册.docx
《redback se800广东维护手册.docx》由会员分享,可在线阅读,更多相关《redback se800广东维护手册.docx(44页珍藏版)》请在冰豆网上搜索。
redbackse800广东维护手册
广东SE800维护手册
目录
1 基础原理介绍4
1.1pppoe原理介绍4
1.1.1 PPPoE协议概述4
1.1.1.1 PPPoE的工作原理4
1.1.1.2 PPPoE的特点5
1.1.2 PPPoE在BAS上的实现6
1.1.2.1PPPoE的效率6
1.1.2.2PPPoE与VLAN的结合6
1.1.2.3PPPoE对多业务选择的支持7
1.1.2.4PPPoE对组播的支持7
1.1.3 pppoe技术总结8
1.2qinq介绍9
1.2.1概述9
1.2.2QinQ的基本原理9
1.2.3QinQ对其它特性的影响10
3广东SE800的标准配置 :
11
3.1SE800CLI结构概述和一些基本参数配置11
3.2SE800在全局配置下的相关配置11
3.2.1在全局模式下设置机器时钟11
3.2.2在config模式下设置系统名称11
3.2.3在config模式下启用多context功能12
3.2.4在全局模式下启用context域间路有功能12
3.2.5在所有的context和domain中广播pppoe请求包12
3.2.6让se800在出来pppoe广播包时结束各种服务名称12
3.3 context的具体配置12
3.3.1如何进入local配置模式12
3.3.2配置远程登陆用户名及相应的密码12
3.3.3设置全局密码12
3.3.4启用ssh服务12
3.3.5定义interface接口13
3.3.6配置ospf协议13
3.3.7Ippool的配置13
3.3.8 定义用户的缺省属性14
3.4认证参数的详细配置14
3.4.1定义全局参数的配置14
3.4.2在local中相关radius服务器的具体配置14
3.4.3定义采用全局认证的context的radius相关配置15
3.4.4配置用户异常下线后多长时间能够上网15
3.5物理端口的配置15
3.5.1端口的基本配置15
3.5.2互连interfacevlan的配置15
3.5.3pppoe拨号vlan的配置15
3.5.4qinqvlan的配置16
3.6 qos的相应配置16
4redback与cisco7609和6509的详细配置16
4.1 使用qinq的必要性16
4.1.1一个用户一个vlan的需求16
4.1.2用户帐户安全角度的需求17
4.2 7609与se800相应的qinq配置17
4.2.1测试拓朴图17
4.2.2测试条件描述17
4.2.37609的详细配置步骤18
4.2.4SE800对应7609qinq的相应配置步骤19
4.36509与se800相应的qinq配置20
4.3.2在6509上相应的vlan配置检查命令20
4.3.3SE800对应6509qinq的相应配置步骤21
4.4 配置7609和6509须注意的一些问题21
5SE800日常维护21
5.1外观介绍21
5.2常用到的管理维护命令22
5.2.1硬件维护命令:
22
5.2.2日志检查27
5.2.3端口流量及错误告警29
5.2.4CPU利用率29
5.2.5在线用户数31
5.2.6和RadiusServer的通信32
5.2.7本机数据备份33
5.2.8远程数据备份34
5.2.9查看crash文件34
5.2.10检查机器是否重启35
5.3如何合理的配置系统35
5.3.1SE800对VLAN和PVC的支持能力及规划建议35
5.3.2VLAN规划建议(qinqvlan例外)35
5.3.3合理运用多context以利于维护和管理36
5.4 故障诊断36
1 基础原理介绍
1.1pppoe原理介绍
近年来,网络数据业务发展迅速,宽带用户呈爆炸式的增长,运营商在采用xDSL,LAN,HFC,无线等多种接入方式的同时,为了构建一个可运营、可管理、可盈利的宽带网络,十分关心如何有效地完成用户的管理,PPPoE就是随之出现的多种认证技术中的一种。
1.1.1 PPPoE协议概述
1.1.1.1 PPPoE的工作原理
PPPoE(PPPoverEthernet)是在以太网上建立PPP连接,由于以太网技术十分成熟且使用广泛,而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制,二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。
PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。
Discovery阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确定所要建立的PPP会话标识符SessionID,同时获得对方点到点的连接信息;PPP会话阶段执行标准的PPP过程。
一个典型的Discovery阶段包括以下4个步骤:
(1)主机首先主动发送广播包PADI寻找接入服务器,PADI必须至少包含一个服务名称类型的TAG,以表明主机所要求提供的服务。
(2)接入服务器收到包后如果可以提供主机要求
01234567890123456789012345678901
以太网类=0x8863/8864版本(Ver)类型(Type)编码(CODE)
会话ID(SessionID)长度(Length)
净荷(Payload)
(3)主机在回应PADO的接入服务器中选择一个合适的,并发送PADR告知接入服务器,PADR中必须声明向接入服务器请求的服务种类。
(4)接入服务器收到PADR包后开始为用户分配一个唯一的会话标识符SessionID,启动PPP状态机以准备开始PPP会话,并发送一个会话确认包PADS。
主机收到PADS后,双方进入PPP会话阶段。
在会话阶段,PPPoE的以太网类域设置为0x8864,CODE为0x00,SessionID必须是Discovery阶段所分配的值。
PPP会话阶段主要是LCP、认证、NCP3个协议的协商过程,LCP阶段主要完成建立、配置和检测数据链路连接,认证协议类型由LCP协商(CHAP或者PAP),NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP和DNS等工作。
PADT包是会话中止包,它可以由会话双方的任意一方发起,但必须是会话建立之后才有效。
1.1.1.2 PPPoE的特点
PPPoE不仅有以太网的快速简便的特点,同时还有PPP的强大功能,任何能被PPP封装的协议都可以通过PPPoE传输,此外还有如下
特点:
(1)PPPoE很容易检查到用户下线,可通过一个PPP会话的建立和释放对用户进行基于时长或流量的统计,计费方式灵活方便。
(2)PPPoE可以提供动态IP地址分配方式,用户无需任何配置,网管维护简单,无需添加设备就可解决IP地址短缺问题,同时根据分配的IP地址,可以很好地定位用户在本网内的活动。
(3)用户通过免费的PPPoE客户端软件(如EnterNet),输入用户名和密码就可以上网,跟传统的拨号上网差不多,最大程度地延续了用户的习惯,从运营商的角度来看,PPPoE对其现存的网络结构进行变更也很小。
DSLAM是ADSL汇聚设备,其内核采用ATM或IP但上联口为以太网口,BAS是局端实现PPPoE功能的接入服务器,它终结由用户侧发起的PPPoE进程。
下行的以太帧从IP城域网经路由器送到BAS,被加上PPPoE的头后送到DSLAM封装成AAL5帧,经过交叉模块发送到ADSLModem,由其完成AAL5帧重组并解出以太帧发送到客户端,客户端从PPPoE包中取出IP数据包。
上行的PPPoE包在ADSLModem中封装成AAL5帧,由ATM信元传输到局端的DSLAM,DSLAM负责终结ATM,重新组合出PPPoE包,并通过设好的PVC(永久虚电路)传送到BAS处理。
从上面可以看出,PPPoE将PPP承载到以太网之上,实质是在共享介质的网络上提供一条逻辑上的点到点链路,对用户而言,在DSLAM和ADSLModem之间的ATM传输是透明的,如果将中间的DSLAM和ADSLModem换成有线电视的接入设备,就是典型的HFC接入,BAS对PPPoE包的处理方式不变。
1.1.2 PPPoE在BAS上的实现
PPPoE拨号软件在应用中已经很成熟(WindowsXP中自带),下面重点讨论PPPoE在接入服务器BAS中的实现方式。
1.1.2.1PPPoE的效率
从PPPoE协议模型可以看出,BAS汇聚了用户的所有数据流,它必须将每一个PPPoE包都拆开检查处理,这在很大程度上是沿袭了传统的PPP处理的方式,虽然有很好的安全性,但一旦用户很多,数据包数量很大,解封装速度就需要很快,BAS很大的精力花在检测用户的数据包上,容易形成接入的“瓶颈”。
为此,在BAS的硬件结构上可以采用分布式网络处理器(NP)和ASIC芯片设计。
网络处理器是专门针对电信网络设备而开发的专用处理器,它有一套专门的指令集,用于处理电信网络的各种协议和业务,可以大大提高设备的处理能力。
同时,ASIC芯片转发数据包时接近硬件的转发性能,远非CPU软件方式可比,采用这种方式将PPPoE数据流的处理与转发分开,工作效率大大提高。
此外在软件系统结构上还应该与其他技术相结合,更好地发挥PPPoE的性能。
1.1.2.2PPPoE与VLAN的结合
VLAN即虚拟局域网,是一种通过将局域网内的设备逻辑地划分成一个个不同的网段,从而实现虚拟工作组的技术。
划分VLAN的目的,一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验;二是隔离广播信息,划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部。
PPPoE是一个客户端/服务器协议,客户端需要发送PADI包寻找BAS,因此它必须同BAS在同一个广播式的二层网络内,与VLAN的结合很好地解决了这方面的安全隐患。
此外通过将不同业务类型的用户分配到不同的VLAN处理,可以灵活地开展业务,加快处理流程,当然VLAN的规划必须在二层设备和BAS之间统一协调。
BAS收到上行的PPPoE包后,首先判别VLANID的所属类别,如果是普通的拨号用户,则确定是Discovery阶段还是会话阶段的数据包,并严格按照PPPoE协议处理。
在会话阶段,根据不同的用户类型从不同的地址池中向用户分配IP地址,地址池由上层网管配置。
如果是已经通过认证的用户的数据包,则根据该用户的服务类型处理,比如,如果是本地认证的拨号用户,且对方也申请有同样的功能,则直接由本地转发。
如果是专线用户,则不用经过PPPoE复杂的认证过程,直接根据用户的VLANID便可进入专线用户处理流程,接入速度大大提高。
此外为了统一网管,在BAS与其他设备之间需要通信,这些数据包是内部数据包,也可根据VLANID来辨别。
对于下行数据,由于BAS负责分配和解析用户的IP,兼有网关的功能,它收到数据包的目的IP是用户的,因此以IP为索引查找用户的信息比根据MAC要方便得多,这一点与普通的交换机有所不同,具体过程跟上行处理差不多。
1.1.2.3PPPoE对多业务选择的支持
多业务选择指的是用户通过一条终结到BAS的PPP连接来自主地选择后台网络运营商所提供的多种业务。
之所以要支持多业务的选择,一方面是因为各种业务的具体实现在技术上的侧重点是不同的,对网络性能的要求也不尽相同,以前采取的固定分配的方式非常不便;另一方面,从网络应用的发展看,网络内容服务供应商ICP与网络接入商ISP的分离是必然趋势,在接入汇聚侧,ISP必须严格保证将用户选择的业务流转发到相应的ICP中去。
目前采用的方法是用户先在PPPoE拨号软件中选择相应的业务,然后对用户进行业务授权确认,最后激活BAS内部相应的处理模块。
但是采用这种方式,用户只能知道业务的名字,无法直观地、全面地获知BAS提供的各种业务类型,特别是在新业务的开展上十分困难,有很大的局限性。
因此可以将BAS与后台业务选择网关及RADIUS服务器相配合,采取先认证后选择业务的方式,具体操作如下:
(1)主机发送PADI寻找BAS,PADI中包含一个服务名类型的TAG,它的值为空,表示该用户可以接受任何类型的服务。
(2)BAS收到包后回送PADO,PADO中包含所有可以提供的服务的TAG,同时,还包含一个服务名为General的TAG。
(3)主机发送PADR。
用户选择已知的服务名,也可以选择General服务。
(4)BAS收到PADR包后为用户分配资源,并开始PPP协商过程。
在PPP过程中,BAS将用户输入的账号和密码等信息送到RADIUS服务器上认证。
(5)通过认证的用户,享受BAS提供的该项服务,但如果选择的是General,则被强制访问与BAS直连的服务选择网关。
后台的服务选择网关是一台具有WebServer功能的服务器,用户可以通过Web的交互式界面得到可选择业务的相关信息(包括费用、带宽等),同时显示该用户账号对应的信息。
(6)用户选择相应的业务,同时服务选择网关会定义各种用户的业务范围和操作权限。
(7)服务选择网关激活接入服务器内部相应的业务模型实现该业务。
以上方式是严格按照PPPoE协议执行的,与当前流行的拨号软件完全兼容,如果用户对其他的业务根本不感兴趣而对已申请的业务非常熟悉,也不影响用户的习惯。
从BAS的角度考虑,PPPoE的操作流程也没有什么改变,只是多添了一种服务类型而已。
如果运营商当前没有服务选择网关,可以通过网管配置,在对PADI包的回应时不包含General服务就可以了。
对于运营商来说,采用以上方式不仅大大提高了接入用户操作的透明度,还可以起到业务门户的作用,为下一步的服务扩展提供空间,而且从宽带接入网以后发展的趋势来看,按需分配与业务类型相应的带宽和QoS是必然的,PPPoE的这种业务选择运营模式是今后业务选择的发展方向。
1.1.2.4PPPoE对组播的支持
PPPoE本身是一个点到点的协议,每一个用户与BAS之间都有一条PPP的链接,用户与BAS之间是通过这条链路经二层设备以单播的形式传输数据。
但是随着网上视频业务的不断发展,人们对带宽的需求越来越大,PPPoE对组播的支持显得非常重要。
PPPoE所支持的组播协议通常指的是二层组播协议IGMPproxy或IGMPSnooping,采取的基本方法是对每个组播数据包分组传送,下面分析这两种协议的实现方式。
A:
IGMPSnooping
IGMPSnooping是靠侦听用户与路由器之间通信的IGMP报文维护组播地址和VLAN的对应表的对应关系,它将同一组播组的活动成员映射为一个VLAN,在收到组播数据包后,仅向该组播组所对应的VLAN成员转发。
主要操作流程如下:
(1)主机与BAS进行PPPoE协商,通过PPPoE认证。
(2)主机向路由器发送IGMP成员报告包,BAS监听到该包,并从PPPoE数据包中得到组播组的地址,将该用户添加到对应的VLAN,如果该用户是组播组的第一个用户,则为这个组播组产生一个组播条目,并将该报文转发至上层路由器以更新组播路由表。
(3)BAS收到路由器的组播数据报文时,根据组播MAC地址和组播IP地址的对应关系,找到对应的VLAN,然后将数据包封装成PPPoE的会话包,向VLAN内的成员转发。
(4)当收到来自主机的申请离开组播组的包时,BAS把收到该包的端口从相应的VLAN中删除,若该用户是组播组最后一个用户(此时VLAN为空),则把该VLAN删除,并把该包内容通过上行端口转发出去。
IGMPSnooping的规则比较简单,下行方向透传查询包,上行方向根据需要转发加入或离开包,但要求BAS必须有3层提取功能,它对于主机和路由器是透明的。
B:
IGMPProxy
IGMPProxy是靠拦截用户和路由器之间的IGMP报文建立组播表,Proxy设备的上联端口执行主机的角色,下联端口执行路由器的角色。
下面是简要流程:
(1)主机与BAS进行PPPoE协商,通过PPPoE认证。
(2)上联端口执行主机的角色,响应来自路由器的查询,当新增用户组或者某组最后一个用户退出时,主动发送成员报告包或者离开包。
(3)下行方向的业务包按照组播表进行转发。
(4)下联端口执行路由器的角色,完全按照IGMPV2中规定的机制执行,包括查询者选举机制,定期发送通用查询信息,收到离开包时发送特定查询等。
IGMPProxy在两个端口分别实现不同的功能,工作量相对较大,其优点是当网络中没有路由器时,IGMPProxy设备可以起到查询者的作用,而且如果要扩展组播路由功能,Proxy比Snooping方便。
考虑到BAS复制PPPoE多播数据对底层设备造成的巨大压力,而且当前的交换机和部分DSLAM(尤其是以IP为内核的DSLAM)已经开始支持二层组播,所以从发展的角度看采用IGMPProxy更好一些。
1.1.3 pppoe技术总结
采用NP的硬件结构以及PPPoE+VLAN的设计思想,大大提高了PPPoE的效率、安全性和可管理性,而增加PPPoE多业务选择和组播业务的支持,向用户提供优质灵活的服务,将为正在蓬勃发展的宽带建设注入新的活力。
1.2qinq介绍
1.2.1概述
Internet和IP技术的发展为提高企业内部的信息化程度提供了极大的便利。
对于企业来说,实现不同地点网络的内部互联有两种选择,一种是建立自己的专用网络,但对于广大的中小企业来说,专网方式高昂的费用难以承受。
另一种方式是虚拟专用网络,即VPN方式。
VPN是中小企业从自建专网向利用运营网络的重要途径。
通过部署VPN,可利用广泛覆盖、高带宽的骨干运营网络来实现企业网的互连,可为企业节省大量的建设费用。
传统的IPVPN技术包括GRE/IPSec、L2TP等,主要采用的网络设备是路由器。
近年来,随着三层交换机的不断成熟和大量应用,许多企业网和小型城域网用户都倾向于使用三层交换机通过二层vlan透传的方式来搭建企业的vpn网,与路由器相比,三层交换机能够提供更高的转发速率且具有更加优越的性价比。
QinQ是对802.1Q的扩展,其核心思想是将用户私网VLANtag封装到公网VLANtag上,报文带着两层tag穿越服务商的骨干网络,从而为用户提供一种较为简单的二层VPN隧道。
其特点是简单而易于管理,不需要信令的支持,仅仅通过静态配置即可实现,特别适用于小型的,以三层交换机为骨干的企业网或城域网。
1.2.2QinQ的基本原理
图1基于802.1Q协议的互联模式
备注:
图中的ce1为客户交换机,pe1为sp的三层交换机。
图1为基于传统的802.1Q协议的网络,假设某用户的网络1和网络2位于两个不同地点,并分别通过服务提供商的PE1、PE2接入骨干网,如果用户需要将网络1的VLAN200-300和网络2的VLAN200-300互联起来,那么必须将CE1、PE1、P和PE2、CE2的相连端口都配置为Trunk属性,并允许通过VLAN200-300,这种配置方法必须使用户的VLAN在骨干网络上可见,不仅耗费服务提供商宝贵的VLANID资源(一共只有4094个VLANID资源),而且还需要服务提供商管理用户的VLAN号,用户没有自己规划VLAN的权利。
为了解决上述问题,QinQ协议向用户提供一个唯一的公网VLANID,这个特殊的VLANID被称作Customer-ID,将用户私网VLANtag封装在这个新的Customer-ID中,依靠它在公网中传播,用户私网VLANID在公网中被屏蔽,从而大大地节省了服务提供商紧缺的VLANID资源,如图2所示。
图2QinQ模式的基本原理
在QinQ模式下,PE上用于用户接入的端口被称作用户端口。
在用户端口上使能QinQ功能,并为每个用户分配一个Customer-ID,此处为3,不同的PE上应该为同一网络用户分配相同的Customer-ID。
当报文从CE1到达PE1时,带有用户内部网络的VLANtag200-300,由于使能了QinQ功能,PE上的用户端口将再次为报文加上另外一层VLANtag,其ID就是分配给该用户的Customer-ID。
此后该报文在服务提供商网络中传播时仅在VLAN3中进行且全程带有两层VLANtag(内层为进入PE1时的tag,外层为Customer-ID),但用户网络的VLAN信息对运营商网络来说是透明的。
当报文到达PE2,从PE2上的客户端口转发给CE2之前,外层VLANtag被剥去,CE2收到的报文内容与CE1发送的报文完全相同。
PE1到PE2之间的运营商网络对于用户来说,其作用就是提供了一条可靠的二层链路。
可见,使用QinQ组建VPN具有如下特点:
● 无需信令来维持隧道的建立,通过简单的静态配置即可实现,免去了繁杂的配置,维护工作。
● 运营商只需为每个用户分配一个Customer-ID,提升了可以同时支持的用户数目;而用户也具有选择和管理VLANID资源的最大自由度(从1-4096中任意选择)。
●在运营商网络的内部,P设备无需支持QinQ功能,即传统的三层交换机完全可以满足需求,极大地保护了运营商的投资。
● 户网络具有较高的独立性,在服务提供商升级网络时,用户网络不必更改原有的配置。
因此,无论是对于运营商还是用户来说,采用QinQ方式组建vlanVPN都是一种低成本,简便易行,易于管理的理想方式
1.2.3QinQ对其它特性的影响
由于在用户接入端口使能了QinQ,导致VPN用户的报文在网络上传播时带有两层VLANtag,此时三层交换机的三层交换功能对于这种特殊的报文失效,因为交换机无法正确地获取报文内携带的IP地址等信息。
但我们不必为此担心,因为VPN报文只在Customer-ID对应的VLAN内作二层转发,根本无需使用三层信息进行转发。
而对于运营商网络内的其它普通报文,由于属于不同的VLAN,三层转发不会受到影响。
在使能QinQ的用户接入端口,仍然可以使用acl规则对报文进行流分类,流限速,重定向等qos/acl操作,这无疑有利于运营商面向不同用户提供不同层次的差别服务。
对于用户来说,选择适合自己需求的服务能够节省开支;而运营商也可以借此吸引更广泛的用户对象。
3广东SE800的标准配置 :
目前,广东se800都配置多个context(虚拟路由器)local,eye,2000,iptv,vpdn等等,到省局计费中心的认证方式采用全局认证方式,地市拥有自己单独的认证计费服务器的采用分context的方式认证,在se800以全局认证方式和分context的认证方式并存。
由于每个
升级会员 