BRAS设备介绍与配置.ppt

BRAS设备介绍与配置,孙志勇 2010/4/13,Juniper BRAS设备介绍 华为BRAS设备介绍 华为MA5200G开局简介,Juniper BRAS设备介绍,Juniper网络公司E-系列边缘路由器设计用来满足网络边缘的不同要求，提供统一的JUNOse软件、特性以及可编程ASIC技术，实现可预测的性能和业务灵活性。 ERX的创新设计将路由处理器移出了转发路径，并在每个端口上维护完整的路由表，为IP业务提供了一条快速路径。 E-系列路由器采用某种特殊的方法接入拥有IP、ATM、帧中继支持技术，为IP业务部署提供了高度可靠、可扩展的灵活路由平台。 E-系列平台提供了端口多样性、性能和灵活IP业务功能，来满足服务供应商不断提高的要求。,Juniper BRAS设备优势,从5Gbps到40Gbps的汇聚吞吐速率实现业界领先的性能。 所有端口均可提供全部特性和业务，而不会牺牲性能。 可通过单一E-系列平台部署多种基于IP的业务，最大限度利用投资。 可进行扩展，支持复杂的大型转发表。 可与其他厂商的设备互操作，易于集成到现有网络中。,Juniper BRAS设备性能,Quidway MSCG多业务控制网关设备介绍,MA5200G是华为公司针对宽带城域网向多业务承载网方向的发展趋势，专门研发的大容量、高性能的宽带业务控制网关。 MA5200G部署在城域网的边缘汇聚层，采用先进的分布式硬件体系结构和大容量无阻塞硬件转发技术，提供大容量、高密度端口、电信级可靠性、线速转发性能、完整的QoS机制、丰富的业务处理能力，可作为多业务承载网的终端接入认证网关、业务控制网关、安全控制网关，和专线PE，为网络运营商提供统一完整的宽带数据接入和业务运营方案 。 MA5200G是一个系列化产品，包括MA5200G-2、MA5200G-4、 MA5200G-8三款型号，三款产品在业务板数量、接入用户数和交换容量等性能规格上不同，可以适应不同网络规模的组网要求。,Quidway MSCG多业务控制网关设备介绍,ME60是具有大容量、高性能、强业务融合和业务智能处理与控制能力的多业务控制网关（MSCG：Multi-Service Control Gateway），定位于NGN/3G承载网的核心层边缘，是IP网络从承载单一的 Internet 业务向承载数据、语音、视频、3G、NGN等业务的关键设备。 ME60部署在多业务城域网的边缘，接入各种接入网，提供各种业务的统一接入和传输 。 ME60提供强大的业务隔离手段、安全控制功能、QoS保障能力、高可靠性保证，为多业务承载提供保证，并同时大幅降低网络的建设成本和运维成本。 ME60系列产品包括ME60-8和ME60-16两款，可以适应不同规模网络的组网需求。,Quidway MA5200G多业务控制网关产品特点,MA5200G-2/MA5200G-4/MA5200G-8的背板容量分别为64Gbps/256Gbps/256Gbps，系统交换容量分别为16Gbps/64Gbps/64Gbps，提供2/4/8个业务槽位，每板最大提供4 GE/32 FE/16 ATM 155M/4 ATM 622M/4 POS 155M/2 POS 622M/1 POS 2.5G，支持1.2万/2.4万/4.8万并发在线用户，大容量的接入能力、丰富的接口种类、高密度的端口可以适应“大容量、少局所、扁平化”的电信级城域网组网需求 。 MA5200G采用业界主流的网络处理器技术，实现GE接口在内的所有接口的IP、MPLS、PPPoE、组播报文的线速转发，单板支持双向3Mpps转发能力，MA5200G-2/MA5200G-4/MA5200G-8整机转发性能达到6Mpps/12Mpps/24Mpps。,Quidway MA5200G多业务控制网关产品特点,路由器能力强，支持丰富的路由协议，包括静态路由、RIP1/2、OSPF、BGP、IS-IS单播路由协议和PIM-SM、PIM-DM、MBGP、IGMP V1/V2等组播路由协议，单播路由表可以达到512K条的路由，组播路由表可以达到 8K 条组播路由。支持L2TP、GRE、LSP等隧道协议，支持 MPLS 标签交换和 MPLS L3 VPN、MPLS L2 VPLS 业务，能够同时对接入用户和IP专线用户提供MPLS VPN业务 。 MA5200G提供电信级可靠性，采用分布式硬件转发，各关键部件包括路由处理系统、业务处理系统、交换网系统、时钟系统、电源、系统内部管理总线、风扇全部为冗余热备份，各部件在主备倒换时，用户的业务不中断 。 灵活的的接入认证方式。 丰富的计费方案。,Quidway MA5200G多业务控制网关产品特点,有效的地址管理功能。 强大的业务管理能力和QoS控制。 提供丰富的业务功能，支持强大的单播、组播业务，可以大规模开展IPTV业务。 提供完善的安全机制，通过身份认证、ACL、防攻击等技术手段，提供身份鉴别、防地址仿冒、攻击防护等完善的安全功能。 运营级的管理维护,Quidway ME60多业务控制网关产品特点,ME60是基于华为公司的Terabit级平台，提供640Gbps/2.56Tbps超大交换容量，240M/480Mpps转发性能，10Gbps高性能业务处理单板和业务接口。 ME60设备单板支持12K并发用户，整机支持最大96K并发用户。 ME60特别加强了系统可靠性设计，实现业务的零损失和倒换。 ME60提供强大的业务接入能力和控制能力，能够无差异的向通过任意方式接入的企业用户和个人提供各类增值业务。 ME60内置了强大的5级层次化调度器，单板提供256K队列，能够提供层次化的优先级调度，拥塞避免，流量监管和整形等功能。通过层次化调度器，ME60能够保证接入网络的QoS，从而提高用户的业务体验。 持续的升级能力,Quidway MA5200G/ME60开局介绍,系统配置 PPPoE配置,Quidway MA5200G/ME60开局介绍,系统配置,Quidway MA5200G/ME60开局介绍,操作用户的管理,（1）在本地AAA服务器视图下增加本地操作用户：user 注意：在增加操作用户的时候最少要设置一个操作用户的属性才能创建成功。 （2）在AAA服务器视图下设置操作用户的属性： user username block设置操作用户的状态； user username authentication-type设置接入操作用户类型； user username password设置操作用户密码； user username level设置操作用户等级； user username ftp-directory设置允许FTP用户访问的路径； user username idle-cut设置允许切断闲置的操作用户。,Quidway MA5200G/ME60开局介绍,虚拟用户终端接口设置,在进行telnet远程维护的时候需要配置虚拟用户终端接口。 （1）使用user-interface vty进入VTY视图 （2）设置虚拟用户的管理属性： idle-timeout设置终端用户超时时间； user privilege设置用户终端的优先级； authentication-mode设置用户终端的认证方式； set authentication password设置用户认证密码。 注意：如果通过维护配置网口和维护终端直连，二者必须配置同一网段下的IP地址。,Quidway MA5200G/ME60开局介绍,文件系统的日常操作,MA5200G所管理的文件主要有BootROM的程序文件、主机软件的程序文件、系统配置文件、系统信息文件（如调试信息、日志信息、告警信息）和话单文件等。 Mkdir 创建目录； Rmdir 删除目录； Pwd 显示当前的工作目录； Dir 显示目录或文件信息； Cd 改变当前目录。 delete /unreserved 删除文件； Undelete 恢复删除文件； reset recycle-bin 彻底删除回收站中的文件； Rename 重新命名文件；,Quidway MA5200G/ME60开局介绍,常用维护命令,显示版本信息 display version 切换操作语言 language-mode 查看设备信息 display device 复位系统 reboot whole router 复位单板 reset slot 查看配置信息 display current-configuration 查看告警信息 display trapbuffer,Quidway MA5200G/ME60开局介绍,PPPoE配置,Quidway MA5200G/ME60开局介绍,PPPoE业务的基本流程,PPPOE的报文封装是直接在以太网上进行PPP报文的封装，因此其基本的组网形态就是一台计算机直接接在MA5200G的以太网接口上面进行PPP拨号。如下图：,Quidway MA5200G/ME60开局介绍,PPPoE配置的基本流程,用来给用户分配IP地址,设定用户是采用radius认证还是不认证,设定用户是采用radius计费还是不计费,设置所采用的radius服务器的参数,设定用户所使用的域，以及域下的参数,使能用户接口的BAS功能并进行设置,Quidway MA5200G/ME60开局介绍,配置地址池,无论是动态获取IP的用户还是采用静态IP地址接入的用户都需要配置地址池。地址池的作用主要是给用户分配地址、分配DNS地址，以及给接入用户提供一个三层接口（gateway）。 MA5200G的地址池分为两种： 一种是本地地址池，这是MA5200G内置DHCP的一种方式； 一种是外置地址池，这是采用外置的DHCP服务器来给用户分配地址的一种方式。,Quidway MA5200G/ME60开局介绍,配置地址池,配置本地地址池： （1）创建一个名为huawei的本地地址池 MA5200Gip pool huawei local （2）设置地址池缺省网关 MA5200G-ip-pool-huaweigateway （3）创建一个地址段 MA5200G-ip-pool-huaweisection 0 （4）配置DNS服务器 MA5200G-ip-pool-huaweidns-server ,Quidway MA5200G/ME60开局介绍,配置地址池,配置远端地址池： 在外置DHCP的情况下也需要进行地址池的配置，这里配置地址池的主要作用是指定一个gateway用户用户的三层接口地址。 （1）配置名为remotedhcp的DHCP服务器组 MA5200Gdhcp-server group remotedhcp （2）指定DHCP服务器地址 MA5200G-dhcp-server-group-remotedhcpdhcp-server 0 （3）创建远端地址池 MA5200Gip pool huaweiremote remote （3）配置远端地址池（指定gateway和绑定DHCP服务器组） MA5200G-ip-pool-huaweiremotegateway MA5200G-ip-pool-huaweiremotedhcp-server group remotedhcp,Quidway MA5200G/ME60开局介绍,配置认证方案,在这里首先是要配置一个认证方案，然后再为这个认证方案设置相应的认证方法。 （1）添加一个新的认证方案Auth1 MA5200G-aaaauthentication-scheme Auth1 （2）配置此认证方案的认证方法为radius认证 MA5200G-aaa-authen-auth1authentication-mode radius,配置认证方案,在这里首先是要配置一个计费方案，然后再为这个计费方案设置相应的计费方法。 （1）添加一个新的计费方案Acct1 MA5200G-aaa accounting-scheme Acct1 （2）配置此计费方案的计费方法为radius计费 MA5200G-aaa-authen-acct1 accounting-mode radius,注意：如果只建立了认证方案或者计费方案，而没有配置相应的方法的话，默认是radius认证radius计费,Quidway MA5200G/ME60开局介绍,配置Radius组,用户在进行认证的时候需要配置radius服务器组，在组里面主要指定radius服务器的地址，以及认证和计费的端口，密钥等等参数。 （1）建立一个名为radius1的radius服务器组 MA5200Gradius-server group radius1 （2）配置主用radius认证服务器的地址和端口号 MA5200G-radius-radius1radius-server authentication 1812 （3）配置备用radius认证服务器的地址和端口号 MA5200G-radius-radius1radius-server authentication 8 1812 secondary （4）配置主用radius计费服务器的地址和端口号 MA5200G-radius-radius1radius-server accounting 1813 （5）配置备用radius计费服务器的地址和端口号 MA5200G-radius-radius1radius-server accounting 8 1813 secondary,Quidway MA5200G/ME60开局介绍,配置域,总共有两种域，一种是认证前的域，一种是认证域。对于WEB认证的用户来说，认证前的域主要是用来获取IP地址的。 我们需要明确，做WEB认证的用户必须首先获取IP地址，只有一个合法的用户才能获取到IP地址，因此，在用户进行WEB认证之前我们需要先让这个用户“合法化”，使之获取一个IP地址。这样我们首先给用户指定一个“认证前”的域，在这个域里面指定用户所使用的地址池，以及认证策略，同时利用UCL将这个域里面的用户的权限进行限制，使域里面的用户只能访问WEB服务器等资源。然后用户就会到这个指定的WEB服务器上进行认证，认证通过之后的用户将属于另外一个域，我们只需要在这个域里面将用户全部的上网权限打开就可以了。,Quidway MA5200G/ME60开局介绍,配置域,有两个默认的域default0和default1，这两个域只能修改不能删除。其中default0的默认策略是不认证不计费，default1的默认策略是radius认证radius计费。 （1）配置认证前的域 由于认证前的域主要是用来给用户分配IP地址的，因此我们在这里可以使用默认的default0这个域 MA5200G-aaadomain default0 （2）配置域内地址池 MA5200G-aaa-domain-default0ip-pool huawei （3）配置用户所属的UCL-GROUP MA5200G-aaa-domain-default0ucl-group 1 （4）配置强制WEB的地址 MA5200G-aaa-domain-default0web-server url 45,Quidway MA5200G/ME60开局介绍,配置域,配置认证域，认证域是用户认证通过之后属于的域，所以在认证域里面主要要配置相应的认证策略，计费策略以及radius服务器等等。 （1）配置认证域 MA5200G-aaadomain isp （2）指定认证域内的认证方案和计费方案 MA5200G-aaa-domain-ispauthentication-scheme Auth1 MA5200G-aaa-domain-ispaccounting-scheme Acct1 （3）指定该域使用的radius服务器 MA5200G-aaa-domain-ispradius-server group radius1,注意：如果只建立了一个域，而没有指定认证计费策略的话，该域所采用的是radius认证radius计费的策略。,Quidway MA5200G/ME60开局介绍,配置WEB认证服务器,如果用户需要采用WEB认证方式的话，需要在这里配置WEB认证服务器的参数，参数主要包括IP地址和密钥。 （1）配置WEB认证服务器，密钥为huawei MA5200G-aaa web-auth-server key huawei 如果用户需要采用强制WEB认证方式的话可以配置以下内容： （2）在认证前的域内指定强制WEB的地址 MA5200G-aaa-domain-default0web-server url ,注意：WEB认证服务器是必须要配置的。强制WEB的配置视客户需要可以选择配置。,Quidway MA5200G/ME60开局介绍,配置ACL规则,这里配置ACL规则的主要目的是限制用户在认证前域获取了地址之后的上网权限。 （1）首先配置一个rule-map MA5200Grule-map rule1 ip user-group 1 any 这里就建立了一个rule，这个rule表示了user-group 1里面的用户和所有目的地址的关系。 （2）配置一条EACL，禁止user-group 1对any的访问 MA5200Geacl global rule1 deny （3）将配置号的EACL应用到所有接口 MA5200Gaccess-group eacl global,Quidway MA5200G/ME60开局介绍,配置ACL规则,在做完上面的禁止访问的操作之后，在实际配置的时候我们还需要将一些目的地的权限放开，比如WEB认证服务器，DNS服务器等等。 比如DNS服务器的地址是，那么我们可以通过如下的配置来将用户对DNS的访问权限放开。 （1）首先配置一个rule-map MA5200Grule-map rule1 ip user-group 1 这里就建立了一个rule，这个rule表示了user-group 1里面的用户和地址的关系。 （2）配置一条EACL，允许user-group 1对的访问 MA5200Geacl global rule1 permit （3）将配置号的EACL应用到所有接口 MA5200Gaccess-group eacl global,Quidway MA5200G/ME60开局介绍,配置上行接口,（1）进入上行接口配置视图 MA5200Ginterface Ethernet7/0/15 （2）激活上行接口 MA5200Gundo shutdown （3）配置IP地址 MA5200Gip address ,Quidway MA5200G/ME60开局介绍,VT接口的创建,注：进行PPPOE配置的时候同样要配置地址池、认证计费方案、radius、域。但是这些配置都是和前面相同的，这里就不再描述了。这里主要描述PPPOE和其它配置所不同的地方。 （1）创建VT接口 VT接口主要是用来对报文的PPP协议层进行处理的，因此在配置PPP接入业务的时候我