华为ME60业务配置指导书docWord格式.docx

1、3）配置OSPF在全局配置模式下（以现网为例）：OspfArea XXXNetwork XXX.XXX.XXX.XXX 0.0.0.0Nssa4）配置 ip pool在全局配置模式下（这里的顺序即为配置顺序）：Ip pool JT-ME60-Pool-01gateway 121.34.203.1 255.255.255.0 section 0 121.34.203.2 121.34.203.254 dns-server 202.96.128.68 dns-server 202.96.134.133 secondary注意：这里的section代表一个地址范围，范围是0-7，也就是一个ip po

2、ol最多可以有8段地址。当然这8段地址必须与gateway在同一网段。5）配置Radius组radius-server group gd_radius radius-server authentication 61.140.4.144 1812 weight 0 radius-server accounting 61.140.4.144 1813 weight 0 radius-server shared-key szgnet在配置Radius组中我们要配置发往Radius Server的IP地址，在这里我们一般选择Loopback地址作为认证地址。该配置需要在全局配置模式下配置：radius

3、-server source interface LoopBack0。该地址也需要在Radius Server侧配置。6）配置认证模板认证模板中包含认证方式和计费方式，这两种方式里的选项都是相同的，可以作Radius认证（radius），可以作本地认证（local），也可以不认证（none）。默认是Radius认证，所以配置了radius认证后在配置中看不到。命令如下，需要在aaa视图中配置。authentication-scheme gdtelecomaccounting-scheme gdtelecom7）配置认证域 ME60通过域（domain）将不通业务的用户区分开来，不同的域用域名区

4、分，比如163.gd和iptv.gd等。域下面可以做一些策略路由来控制该域用户的数据流向，在此次城域网工程中没有涉及策略路由的内容，在这里部描述。具体配置方法如下，在aaa视图下：domain 163.gd radius-server group gd_radius ip-pool jt-me60-pool-01域中定义了该域引用的地址池和radius组。8）引入用户路由ME60在配置了动态路由后需要将用户路由引入到路由表中，该路由北称为unr（user netwoek route）路由，引入用户路由方法如下，在动态路由协议视图下配置，如ospf视图下：Import unr2、拨号业务ME60

5、的接口是三层接口，所以要通过子接口来终结二层报文。对于PPPOE报文来讲需要配置一个逻辑端口来终结PPP报文。1）配制虚模版interface Virtual-Template0ppp authentication-mode pap注：PPPOE用户的认证方式需要在虚模版中配置，目前应用最广泛的是pap方式。2）配置二层接入端口interface GigabitEthernet1/0/4.1 pppoe-server bind Virtual-Template 0 description Dialer uservlan 101 2999 qinq 1000bas access-type lay

6、er2-subscriber roam-domain 163.gd access-limit 1 start-vlan 102 end-vlan 103 qinq 1000 在子接口里面首先配置PPPOE报文终结在虚模版0上。配置QinQ用户数据：uservlan 101 2999 qinq 1000，用户vlan为101到2999，外层vlan为1000。用户的接入类型需要在bas视图下配置，此处配置的是二层用户（layer2-subscriber）。3）配制单个vlan允许接入session数：在bas视图下：access-limit 1 start-vlan 102 end-vlan 1

7、03 qinq 1000备注：对于二层接入用户来说存在几个概念：认证前域，认证后域，默认域以及漫游域。认证前域：此域应用于web认证，用来限制用户认证前可访问的地址。认证后域：用户通过认证后属于这个域。默认域：当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务 漫游域：当用户认证时携带的域名在ME60上没有配置的时候采用漫游域认证。实际上配置漫游域只是表明采用漫游域中的地址池以及认证模板。 在目前的BAS部署中不允许用户不带域名认证，所以默认域采用ME60的默认配置default1；而漫游域在VPDN测试的时候用到，目前暂时不配置。3、专线业务配置专线业务与拨号业务类似，配置

8、步骤如下：1）进入子接口模式，配置专线用户的vlanuservlan 104 qinq 10002）进入bas视图，配置专线用户的接入方式以及认证方式 access-type layer2-subscriber default-domain authentication default0 authentication-method bind3）在全局配置模式下配置该专线用户的地址static-user 121.34.241.130 int g 1/0/4.2 vlan 104 qinq 1000 detect此时必须在全局模式下将专线地址池中的地址exclude掉，否则添加静态用户后会抱错说从

9、地址池中分不到地址。4、VPDN业务VPDN业务在拨号阶段配置与普通拨号用户配置相同，需要在普通拨号用户的配置下增加两个东西，一个就是在认证域中配置该域为l2tp域，另一个就是需要配置一个l2tp-group，这样用户通过radius认证后可以与LNS进行l2tp协商。按照目前电信的规划，所有的l2tp属性都是Radius Server下发的。1）配置认证域为L2TP域domain sinopec.gd l2tp-group gd_vpdn2）配置L2TP-groupl2tp-group gd_vpdn undo tunnel authentication start l2tp tunnel

10、source LoopBack05、如何控制IPTV用户访问在ME60上由于路由表都是全局的，所以从任何一个域拨上来的用户都可以通过路由访问到外网。而在开展业务的时候会出现类似于IPTV这样的只允许访问部分地址的情况，这时候需要用UCL来控制用户访问，具体配置方法如下：1）全局模式下配置一个User-groupuser-group iptv2）在iptv域中指定该域内的用户属于user-group iptvdomain iptv.gd user-group iptv /此命令指定该域内的用户属于user-group iptv ip-pool jt-me60-pool-01 3）配置两条UCL，

11、一条匹配iptv用户可访问地址，一条匹配全部地址acl number 6000 match-order auto description The ACL that IPTV users can not access rule 5 permit ip source user-group iptv#acl number 6001 match-order auto description The ACL IPTV users can access rule 5 permit ip source user-group iptv destination ip-address 202.96.134.134

12、 0UCL编号为6000-99994）配置流分类，将不同的UCL区分开来traffic classifier per operator and if-match acl 6001traffic classifier deny operator and if-match acl 60005）配置两个动作，一个是permit，一个是deny，默认为permittraffic behavior per1traffic behavior deny1 deny6）配置流策略将流与动作关联traffic policy iptv classifier per behavior per1 /允许用户访问ACL

13、 6001的网段 classifier deny behavior deny1 /不允许用户访问ACL 6000的网段7）在全局下应用流策略traffic-policy iptv global6、一些常用命令1）查看用户在线信息Display access-user可以查看到目前在线用户数，每个认证域中有多少用户ME60-SZ-JT-01dis access-user - Total users : 2 Normal users : 0 Admin users : Wait authen-ack : Authentication finish : Accounting ready : Real

14、time accounting : Wait leaving-flow-query : Wait accounting-start : Wait accounting-stop : Wait authorization-client : Wait authorization-server : Domain-name Current-User Online-User default0 : 0 : default1 : default_admin : 2 : 163.gd : sinopec.gd : green.gd : iptv.gd : - The used userid table are

15、 : 139324 139325ME60上可以通过命令查看某一个域，某一块单板，某一个端口的用户，根据用户IP地址，MAC地址，user-id，查看用户详细信息。ME60-SZ-JT-01dis access-user ? Domain Domain Interface Interface ip-address IP address ipv6-address IPV6 ADDRESS mac-address MAC slot SLOT user-id User id username User name2）查看IP地址池信息Display ip pool该命令可以查看到该设备上配置的IP po

16、ol的简要信息ME60-SZ-JT-01dis ip pool - Pool-Name : jt-me60-iptv-pool-01 Pool-No : Position : Local Status : Unlocked Gateway : 121.34.211.254 Mask : 255.255.255.128 Vpn instance : - jt-me60-pool-01 1 121.34.203.1 Mask : 255.255.255.0 jt-me60-leased_line-pool-01 121.34.241.254 Mask : IP address pool Stati

17、stic Local :3 Remote : IP address Statistic Total :503 Used :0 Free :Conflicted :0 Disable :Display ip pool name *可以根据ip地址池的名字查看到该地址池的详细信息ME60-SZ-JT-01dis ip pool name jt-me60-leased_line-pool-01 Lease : 3 Days 0 Hours 0 Minutes Option-Code 0 : - Option-Value 0 : Option-Code 1 : Option-Value 1 : Opt

18、ion-Code 2 : Option-Value 2 : Option-Code 3 : Option-Value 3 : DNS-Suffix : Primary-DNS : 202.96.128.68 Secondary-DNS : 202.96.134.133 Primary-NBNS : - Secondary-NBNS : - ID start end total used idle conflicted disable 0 121.34.241.129 121.34.241.253 125 0 125 0 0 - Display ip pool name * all 可以查看到详

19、细到每个IP地址的具体信息 ME60-SZ-JT-01dis ip pool name jt-me60-leased_line-pool-01 all - Section 0 : Index IP MAC User-ID Lease Status 0 121.34.241.129 - - - idle 1 121.34.241.130 - - - idle 2 121.34.241.131 - - - idle 3 121.34.241.132 - - - idle3）查看用户下线原因display aaa offline-record可以查看到用户的下线原因ME60-SZ-JT-01display aaa offline-record - User name : huaweidefault_admin User MAC : ffff-ffff-ffff User access type : telnet User IP address : 121.34.203.194 User ID : 139323 User authen state : Authened User acct state : AcctIdle User author state : AuthorIdle User acct sessionID: ME60-SZ000006553565535d324f913