华为ME60BRAS设备配置规范.docx

华为ME60BRAS设备配置规范.docx

《华为ME60BRAS设备配置规范.docx》由会员分享，可在线阅读，更多相关《华为ME60BRAS设备配置规范.docx（63页珍藏版）》请在冰豆网上搜索。

华为ME60BRAS设备配置规范

河南网通城域网华为ME60BRAS设备配置规范

华为技术有限公司

二00八年6月

1、系统简介4

1.1河南网通宽带城域网建设概况4

1.2河南网通华为ME60系统组网方式4

1.2.1网络概述4

1.2.1组网方式5

1.3VLAN规划原则6

1.4IP地址规划原则7

2、BAS配置规范（ME60）7

2.1.1设置主机名7

2.1.2时区和时钟校准8

2.1.3配置管理员及其密码8

2.1.4启用服务8

2.1.5对管理员地址范围进行限定9

2.1.6timeout时间设置9

2.1.7ACL配置范例9

2.1.8用户域基本配置12

设备配置保存14

2.2设备接口配置14

2.2.1网络侧接口配置14

2.2.2loopback接口配置及描述16

2.2.3地址池的配置21

2.2.4VLAN及QINQ接口配置21

2.3路由协议配置23

2.3.1OSPF协议配置23

2.4RADIUS配置29

2.4.1本次项目中RADIUS配置参数31

2.4.2RADIUS配置范例及注释31

2.4.3RADIUS状态查看33

2.4.4RADIUS故障排除方法37

2.5QOS带宽管理37

2.5.1两类QOS配置37

2.5.3ME60本机QOS策略配置38

2.6PPPOE配置40

2.6.2PPPOE相关配置41

2.7用户认证域选择43

2.8反向路由检测43

ME60所支持的URPF43

2.9DHCPRELAY配置44

2.10IP综合网管设备配置要求46

2.10.1访问控制列表设置（用于限制远程登录和SNMP采集的访问地址）46

2.10.2TELNET用户名和密码46

2.10.3SNMP配置46

2.10.4SYSLOG配置47

3、ME60承载业务及配置规范48

3.1承载业务类型48

3.2普通PPPOE上网业务48

3.2.1业务概述48

3.2.2ME60配置规范48

3.2.3帐号管理规范53

3.3校园网卡类业务54

3.3.1业务概述54

3.3.2配置规范54

3.3.3账号管理说明54

3.4VPDN业务55

3.4.1业务概述55

3.4.2ME60配置规范55

3.4.3账号管理说明56

3.5机顶盒业务配置59

3.5.1业务概述59

3.5.2延用DHCP方式60

3.5.3采用PPPOE方式60

3.6专线用户配置64

3.6.1通过subscriber方式定义静态IP用户64

3.6.2通过leasedline方式定义静态IP用户65

3.7BGP/MPLSVPN配置范例65

3.7.1概述65

3.7.2MPLSVPN业务命名规范66

3.7.3PE（ME60）配置范例67

3.8VPLS业务配置71

3.8.1VPLS简介71

3.8.2VPLS配置范例74

1、系统简介

1.1河南网通宽带城域网建设概况

本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不

变的基础上，持续提升宽带接入能力，继续推进二层网络扁平化，提升网络可靠

性，以此逐步向功能完善、结构合理、性能优良的目标网演进。

提升业务支持能力：

根据各类IP业务发展需求及流量流向特性，对城域网

内的设备进行容量增加和端口扩容，提供充足的业务接入能力及中继链路端口。

二层网络扁平化举措：

在进行扩容的同时在有条件的地市考虑继续缩减汇聚

交换机的级联层数，进一步扁平化二层汇聚网络；同时具备条件的地市可根据业

务发展需求结合设备性能考虑SR/BRAS适度下移。

网络质量差异化：

逐步部署MPLS技术和Diffserv机制，为不同用户和不同

业务提供不同QOS等级的服务。

在业务集中区域逐步设立轻载的大客户专用接入

设备，减少普通客户流量对大客户业务质量的干扰。

管理控制集中化智能化：

用宽带接入服务器（BRAS）、业务路由器（SR）构

建独立清晰的IP城域网接入层，实现业务集中调度、监测和控制；规范设备的

网管接口要求，加强集中网管系统的建设，提高网络的可管理性，逐步实现对网

络性能的实时监控管理，提供基于时间、流量、质量等指标的多样化组合计费能

力。

1.2河南网通华为ME60系统组网方式

1.2.1网络概述

根据目前网络和业务开通方式等现状，本期工程在每个县局节点及部分市区节点放置一台ME60-8BRAS设备，共计123台。

在市区，ME60双上行至地市2台GSR设备，同时与地市新建SR通过端口聚合进行连接，负责终结SR设备透传过来的二层报文。

在县局，网络通过布置大二层汇聚交换机来实现业务分流，ME60双上行至地市核心GSR设备，下行方向连接县局大二层汇聚交换机，负责终结县局汇聚交换机透传上来的二层报文。

1.2.1组网方式

方式一、市区组网方式

ME60采用双上行GE链路上行至地市GSR，启用OSPF以及BGP路由协议；同时与本局SR通过以太端口聚合聚合2个GE接口互连，该逻辑端口启用OSPF协议。

其中，与GSR的端口作为主用上行路由，到本局SR设备的端口作为备用上行链路，同时该GE兼作本局用户业务的二层下联接口，终结用户VLAN或灵活QinQVLAN。

方式二、县局组网方式

在县局，ME60双上行至地市核心GSR路由器，上行开启三层接口，启用OSPF以及BGP协议；同时，与本局汇聚交换机通过GE口连接，该接口用来终结县级汇聚交换机透传上来的单层VLAN以及QINQVLAN。

除了挂接用户业务以外，本期项目中党建、CDN等服务器业务也需要割接到新建BRAS上。

1.3VLAN规划原则

1.遵循管理VLAN与用户VLAN分开、一用户一VLAN的原则。

2.对于直连一级汇聚层交换机的市区接入设备，要求采用VLANStacking模式，做到每个用户一个VLAN。

接入设备的外层VLAN使用原汇聚层交换机中预留的VLAN。

3．对于下挂在和BAS有直连链路的县局节点下的接入设备，也要求采用VLANStacking模式。

4.对于下挂在二级汇聚交换机以下的接入设备（如支局），不建议采用VLANStacking模式，可采用一个DSLAM分配“一个用户VLAN＋一个管理VLAN”的方式；对于LAN方式，ZAN和BAN的管理VLAN使用同一VLAN，每个BAN采用不同用户VLAN；

5.对于采用PPPOE与DHCP+并行模式的接入层设备，不采用VLANStacking模式,应遵循不同认证方式用户分配不同VLAN的原则进行VLAN规划。

通过相连的各级交换机将新增VLAN透传至BAS。

设备管理VLAN则延用原模式。

1.4IP地址规划原则

本着连续分配、节约资源、便于管理的原则进行规划。

1.普通拨号用户IP地址规划

PPPOE拨号用户的IP地址均直接由BAS通过地址池动态分配，每台BAS暂时分配4个C类地址。

2.专线用户IP地址规划

每个专线用户一个VLAN,每台BAS分配一个C类地址，用户地址可以连续分配。

3.设备管理IP地址规划

每台BAS下挂的接入层设备管理地址为一个Ｃ类地址，可进行连续分配。

4.BAS设备管理（loopback地址等）和互联地址由省公司统一规划分配。

5.每台BAS目前预留两个C类地址备用。

2、BAS配置规范（ME60）

该部分所介绍的配置是现网设备配置的说明和解释，以及部分配置规范；具体命令的格式及说明请参考ME60设备配置手册。

2.1设备基本配置

设备的基本配置包括主机名称、时钟、用户管理设置等。

2.1.1设置主机名

主机名命名规则：

【示例】MC-ZZ-KFQ-C6509-001郑州城域网汇聚层开发区思科6509设备

对于华为本期项目上的NE40E及ME60，属于城域网业务控制层，按照规范描述网络层次为MS，例如，洛阳道北节点ME60命名如下：

MS-LY-DB-HW60-001

2.1.2时区和时钟校准

配置时钟命令如下：

clockdatetimeHH:

MM:

SSYYYY-MM-DD

配置时区命令如下：

clocktimezonetime-zone-name{add|minus}offset

例如，设置中国区时钟：

clocktimezonebeijingadd8

2.1.3配置管理员及其密码

步骤1执行命令system-view，进入系统视图。

步骤2执行命令local-aaa-server，进入本地AAA视图。

步骤3执行命令userusername{password{simplesimple-password|ciphercipher-password}|authentication-typetype-mask|block|ftp-directoryftp-directory|levellevel|callback-nocheck|callback-numbercallback-number|idle-cut|qos-profileqos-profile-name}*，增加操作用户。

例如，增加一个名字为HUAWEI的用户，配置如下：

local-aaa-server

userHUAWEIpasswordcipherHuaweilevel3

级别3为超级用户权限，可以根据需要将用户设置为0-3的任何级别。

2.1.4启用服务

ME60启用网络服务命令如下：

ftpserverenable

sshserverenable

2.1.5对管理员地址范围进行限定

定义访问控制列表：

Acl2000

rule5permitipsource10.1.1

rule10permitipsource10.1.1

rule15permitipsource10.1.1

进入USER-INTERFACE

User-interfacevty04

Acl2000in

2.1.6timeout时间设置

空闲过时设置

User-interfacevty04

Idle-timeout5

当telnet会话在5分钟内没有输入时timeout退出

2.1.7ACL配置范例

Acl2000至2999为基本ACL，只能够定义源地址；3000-3999为扩展ACL，能够依照五元组进行定义

1、配置管理ACL范例：

Acl3000

0.0.0.255any//省网管；

0.0.0.0destinationany//BAS（SE800）网管服务器地址；

0.0.0.31destinationany//郑州分公司-1；

0.0.0.127destinationany//郑州分公司-2；

rule30denytcpsourceanydestinationanyeqtelnet

rule35denytcpsourceanydestinationanyeqssh

rule40denytcpsourceanydestinationanyeqftp

rule45denytcpsourceanydestinationanyeqftp-data

rule50denyudpsourceanydestinationanyeqtftp

rule55denyudpsourceanydestinationanyeqsnmp

rule60denyudpsourceanydestinationanyeqsnmptrap

rule65permitipanyany

进入telnet用户接口

User-interfacevty04

Acl3000in

2、配置普通ACL并应用范例

aclnumber3001

rule5permitip

#

aclnumber6000match-orderauto

rule5denytcpdestination-porteq135

rule10denytcpdestination-porteq136

rule15denytcpdestination-porteq137

rule20denytcpdestination-porteq138

rule25denytcpdestination-porteq139

rule30denytcpdestination-porteq445

rule35denytcpdestination-porteq4444

rule40denyudpdestination-porteq445

rule45denyudpdestination-porteqnetbios-ssn

rule50denyudpdestination-porteqnetbios-dgm

rule55denyudpdestination-porteq135

rule60denyudpdestination-porteqnetbios-ns

rule65denytcpdestination-porteq2745

rule70denytcpdestination-porteq3127

rule75denytcpdestination-porteq593

rule80denytcpdestination-porteq6129

rule85denyudpdestination-porteq1434

rule90denyipsourceuser-grouphelpdestinationip-addressany

rule95denyipsourceuser-groupiptvdestinationip-addressany

[ACL6000是一个用户ACL，前面定义了防病毒部分，最后两条定义了HELP以及IPTV里面的用户不能访问任何地址]

#

aclnumber6001

0.0.0.255

0.0.1.255

rule15permitipsourc0.0.3.255

0.0.1.255

0.0.1.255

0.0.0.255

[定义了IPTV用户组里的用户可以访问的地址]

#

aclnumber6002match-orderauto

rule15permitipsourceuser-group

[定义了HELP用户组里的用户可以访问的地址]

#

trafficclassifierlimitoperatoror

if-matchacl6000

trafficclassifieractionoperatoror

if-matchacl6002

if-matchacl6001

[定义了3个流量分类，分别匹配3个ACL，会和后面的流量动作配置组成策略。

这部分与思科设备通过配置ROUTE-MAP定义策略路由很类似]

#

trafficbehaviorlimit

deny

trafficbehavioraction

[定义流量动作，后面定义策略的时候与流量分类相关联]

#

trafficpolicylimit

classifieractionbehavioraction

classifierlimitbehaviorlimit

[定义流量策略，第一条名为ACTION的分类中匹配到的报文，执行名为ACTION的流量动作中所定义的动作，就是允许，第二条行为类似，但动作是拒绝。

需要注意，两条策略的顺序不能反，否则所有流量都会被拒绝]

traffic-policylimitinbound

traffic-policylimitoutbound

[由于上述策略都是针对用户侧的用户定义的，所以需要在全局下下发]

如果流量策略需要在网络侧端口下发，只需要在相应端口下饮用traffic-policy即可。

2.1.8用户域基本配置

1、定义用户域

domaindial

authentication-schemeradius

[该域用名称为RADIUS的SCHEME来进行认证]

accounting-schemeradius

service-typehsi

[将该域的模式配置成HIS模式，PPPOE的域都要配置成该模式]

radius-servergroupdial

[指定使用的RADIUS服务器组]

ip-pooldial

[指定该域使用的地址池]

qosprofile2m

[指定该域使用的QOS模板]

2、定义地址池

ippooldiallocal

48.0

[定义地址池，包括网关，可分配地址范围，不能被分配的地址以及DNS等参数，地址池会被后面的域所引用，以给用户分配地址]

一个用户域下可以定义多个地支持，当一个用完时系统可以选择分配另外一个地支持中的地址。

3、QOS模板定义

首先定义调度模板

scheduler-profile2m

carcir2048pir2050cbs256000pbs256250upstream

gtscir2048pir2050queue-length65536

定义QOS模板，在其中引用调度模板

qos-profile2m

scheduler-profile2m

在用户域下引用QOS模板

domaindial

qosprofile2m

2.1.9安全基本配置

1、定义防病毒访问控制列表

aclnumber6000match-orderauto

rule5denytcpdestination-porteq135

rule10denytcpdestination-porteq136

rule15denytcpdestination-porteq137

rule20denytcpdestination-porteq138

rule25denytcpdestination-porteq139

rule30denytcpdestination-porteq445

rule35denytcpdestination-porteq4444

rule40denyudpdestination-porteq445

rule45denyudpdestination-porteqnetbios-ssn

rule50denyudpdestination-porteqnetbios-dgm

rule55denyudpdestination-porteq135

rule60denyudpdestination-porteqnetbios-ns

rule65denytcpdestination-porteq2745

rule70denytcpdestination-porteq3127

rule75denytcpdestination-porteq593

rule80denytcpdestination-porteq6129

rule85denyudpdestination-porteq1434

rule90permitany

2、定义流分类

trafficclassifierlimitoperatoror

if-matchacl6000

3、定义流动作

trafficbehaviorlimit

deny

4、定义流策略

trafficpolicylimit

classifierlimitbehaviorlimit

5、全局下发针对用户侧的策略

traffic-policylimitinbound

traffic-policylimitoutbound

2.1.10设备配置保存

执行SAVE命令，配置将缺省保存在设备CFCARD中。

2.2设备接口配置

2.2.1网络侧接口配置

1、ME60将没有直接挂接用户的三层称之为网络侧端口，典型的就是连接GSR设备的三层端口。

该端口为普通的三层路由端口。

对于这种类型的端口配置，与普通路由器三层端口相同。

对于网络侧端口的配置在系统模式下进行：

interfaceGigabitEthernet1/0/0

mtu1524

[配置端口MTU值]

descriptionTo-[LY-XiGong-GSR]G1/0/4

[对于该端口的描述to-[对端设备型号]-端口号]

[设置端口IP地址]

mpls

mplsldp

[端口下启用MPLS]

通过使用displayinterface命令可以查看端口状态（UP、down），端口类型及端口报文计数等信息。

2、端口描述规范

互联中继命名规范:

【端口简写】括号内端口信息采用简写

F:

FEG:

GE/10GEA:

ATMP:

POS

设备端口上描述建议采用TO_PC-ZZ-ZYL-CRS-001（G0/2）:

GE:

1:

电路代号

用户电路命名规范:

【端口简写】括号内端口信息采用简写

F:

FEG:

GE/10GEA:

ATMP:

POS

注:

设备端口上描述建议采用TO_ZZGONGSHANGJU:

10M:

FE:

1:

电路代号

例如，洛阳西工NE40E连接西工NE80E的描述：

Intg1/0/0

DesTO_PC-LY-XG-NE80E-001（G0/2）:

GE:

1

2.2.2loopback接口配置及描述

Loopback接口的配置在系统模式下进行。

按照本期规划，每台设备需要配置2个loopback地址，范例如下：

interfaceLoopBack0

[这个地址用来和RR建立IPV4BGP邻居]

#

interfaceLoopBack10

[这个地址用来和RR建立VPNV4BGP邻居]

3.2.3用户侧接口配置

当某个接口用于接入宽带用户时，该接口即为用户侧接口，需要将该接口配置为BAS接口，并配置用户的接入类型和其他相关属性。

要完成配置BAS接口的任务，需要执行如下的配