深圳城域网二期华为ME60业务配置指导书

深圳城域网二期华为ME60业务配置指导书文档密级：内部公开深圳城域网二期华为ME60业务配置指导书拟制:贾鹏日期：2007-2-2审核:日期：审核:日期：批准:日期：修订记录日期修订版本描述作者2007-2-21.00初稿贾鹏2019-11-17华为机密，未经许可不得扩散第14页, 共14页1、 全局配置华为ME60作为一个多业务网关可以做BAS使用，在实现方面与junipor ERX和Redback SE800不同，所有资源都是全局共享的，包括地址池，Radius组，路由表等等。所以在配置业务的时候首先要配置一些共用的东西。下面一一讲述。1） 配制loopback地址在全局配置模式下：Interface loopback 0Ip address 121.35.12.73 255.255.255.2552） 配置Router id在全局配置模式下Router id 121.35.12.733） 配置OSPF在全局配置模式下（以现网为例）：OspfArea XXXNetwork XXX.XXX.XXX.XXX 0.0.0.0Nssa4） 配置 ip pool在全局配置模式下（这里的顺序即为配置顺序）：Ip pool JT-ME60-Pool-01gateway 121.34.203.1 255.255.255.0 section 0 121.34.203.2 121.34.203.254 dns-server 202.96.128.68 dns-server 202.96.134.133 secondary注意：这里的section代表一个地址范围，范围是0-7，也就是一个ip pool最多可以有8段地址。当然这8段地址必须与gateway在同一网段。5） 配置Radius组在全局配置模式下：radius-server group gd_radius radius-server authentication 61.140.4.144 1812 weight 0 radius-server accounting 61.140.4.144 1813 weight 0 radius-server shared-key szgnet注意：在配置Radius组中我们要配置发往Radius Server的IP地址，在这里我们一般选择Loopback地址作为认证地址。该配置需要在全局配置模式下配置：radius-server source interface LoopBack0。该地址也需要在Radius Server侧配置。6） 配置认证模板认证模板中包含认证方式和计费方式，这两种方式里的选项都是相同的，可以作Radius认证（radius），可以作本地认证（local），也可以不认证（none）。默认是Radius认证，所以配置了radius认证后在配置中看不到。命令如下，需要在aaa视图中配置。authentication-scheme gdtelecomaccounting-scheme gdtelecom7） 配置认证域 ME60通过域（domain）将不通业务的用户区分开来，不同的域用域名区分，比如163.gd和iptv.gd等。域下面可以做一些策略路由来控制该域用户的数据流向，在此次城域网工程中没有涉及策略路由的内容，在这里部描述。具体配置方法如下，在aaa视图下：domain 163.gd radius-server group gd_radius ip-pool jt-me60-pool-01域中定义了该域引用的地址池和radius组。8） 引入用户路由ME60在配置了动态路由后需要将用户路由引入到路由表中，该路由北称为unr（user netwoek route）路由，引入用户路由方法如下，在动态路由协议视图下配置，如ospf视图下：Import unr2、 拨号业务ME60的接口是三层接口，所以要通过子接口来终结二层报文。对于PPPOE报文来讲需要配置一个逻辑端口来终结PPP报文。1） 配制虚模版在全局配置模式下：interface Virtual-Template0ppp authentication-mode pap注：PPPOE用户的认证方式需要在虚模版中配置，目前应用最广泛的是pap方式。2） 配置二层接入端口在全局配置模式下：interface GigabitEthernet1/0/4.1 pppoe-server bind Virtual-Template 0 description Dialer uservlan 101 2999 qinq 1000bas access-type layer2-subscriber roam-domain 163.gd access-limit 1 start-vlan 102 end-vlan 103 qinq 1000 在子接口里面首先配置PPPOE报文终结在虚模版0上。配置QinQ用户数据：uservlan 101 2999 qinq 1000，用户vlan为101到2999，外层vlan为1000。用户的接入类型需要在bas视图下配置，此处配置的是二层用户（layer2-subscriber）。3） 配制单个vlan允许接入session数：在bas视图下：access-limit 1 start-vlan 102 end-vlan 103 qinq 1000备注：对于二层接入用户来说存在几个概念：认证前域，认证后域，默认域以及漫游域。认证前域：此域应用于web认证，用来限制用户认证前可访问的地址。认证后域：用户通过认证后属于这个域。默认域：当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务漫游域：当用户认证时携带的域名在ME60上没有配置的时候采用漫游域认证。实际上配置漫游域只是表明采用漫游域中的地址池以及认证模板。在目前的BAS部署中不允许用户不带域名认证，所以默认域采用ME60的默认配置default1；而漫游域在VPDN测试的时候用到，目前暂时不配置。3、 专线业务配置专线业务与拨号业务类似，配置步骤如下：1）进入子接口模式，配置专线用户的vlanuservlan 104 qinq 10002）进入bas视图，配置专线用户的接入方式以及认证方式 access-type layer2-subscriber default-domain authentication default0 authentication-method bind3）在全局配置模式下配置该专线用户的地址static-user 121.34.241.130 int g 1/0/4.2 vlan 104 qinq 1000 detect注意：此时必须在全局模式下将专线地址池中的地址exclude掉，否则添加静态用户后会抱错说从地址池中分不到地址。4、 VPDN业务VPDN业务在拨号阶段配置与普通拨号用户配置相同，需要在普通拨号用户的配置下增加两个东西，一个就是在认证域中配置该域为l2tp域，另一个就是需要配置一个l2tp-group，这样用户通过radius认证后可以与LNS进行l2tp协商。按照目前电信的规划，所有的l2tp属性都是Radius Server下发的。1） 配置认证域为L2TP域domain sinopec.gd radius-server group gd_radius l2tp-group gd_vpdn2） 配置L2TP-groupl2tp-group gd_vpdn undo tunnel authentication start l2tp tunnel source LoopBack05、 如何控制IPTV用户访问在ME60上由于路由表都是全局的，所以从任何一个域拨上来的用户都可以通过路由访问到外网。而在开展业务的时候会出现类似于IPTV这样的只允许访问部分地址的情况，这时候需要用UCL来控制用户访问，具体配置方法如下：1） 全局模式下配置一个User-groupuser-group iptv2） 在iptv域中指定该域内的用户属于user-group iptvdomain iptv.gd radius-server group gd_radius user-group iptv/此命令指定该域内的用户属于user-group iptv ip-pool jt-me60-pool-01 3） 配置两条UCL，一条匹配iptv用户可访问地址，一条匹配全部地址acl number 6000 match-order auto description The ACL that IPTV users can not access rule 5 permit ip source user-group iptv#acl number 6001 match-order auto description The ACL IPTV users can access rule 5 permit ip source user-group iptv destination ip-address 202.96.134.134 0注：UCL编号为6000-99994） 配置流分类，将不同的UCL区分开来traffic classifier per operator and if-match acl 6001traffic classifier deny operator and if-match acl 60005） 配置两个动作，一个是permit，一个是deny，默认为permittraffic behavior per1traffic behavior deny1 deny6） 配置流策略将流与动作关联traffic policy iptv classifier per behavior per1/允许用户访问ACL 6001的网段 classifier deny behavior deny1/不允许用户访问ACL 6000的网段7） 在全局下应用流策略traffic-policy iptv global6、 一些常用命令1） 查看用户在线信息Display access-user可以查看到目前在线用户数，每个认证域中有多少用户ME60-SZ-JT-01dis access-user - Total users: 2 Normal users: 0 Admin users: 2 Wait authen-ack: 0 Authentication finish: 2 Accounting ready: 2 Realtime accounting: 0 Wait leaving-flow-query: 0 Wait accounting-start: 0 Wait accounting-stop: 0 Wait authorization-client: 0 Wait authorization-server: 0 - Domain-name Current-User Online-User - default0 : 0 :0 default1 : 0 :0 default_admin : 2 :0 163.gd: 0 :0 sinopec.gd : 0 :0 green.gd : 0 :0 iptv.gd : 0 :0 - The used userid table are : 139324 139325 -ME60上可以通过命令查看某一个域，某一块单板，某一个端口的用户，根据用户IP地址，MAC地址，user-id，查看用户详细信息。ME60-SZ-JT-01dis access-user ? DomainDomain InterfaceInterface ip-addressIP address ipv6-addressIPV6 ADDRESS mac-addressMAC slotSLOT user-idUser id usernameUser name2） 查看IP地址池信息Display ip pool该命令可以查看到该设备上配置的IP pool的简要信息ME60-SZ-JT-01dis ip pool - Pool-Name : jt-me60-iptv-pool-01 Pool-No : 0 Position : Local Status : Unlocked Gateway : 121.34.211.254 Mask : 255.255.255.128 Vpn instance : - - Pool-Name : jt-me60-pool-01 Pool-No : 1 Position : Local Status : Unlocked Gateway : 121.34.203.1 Mask : 255.255.255.0 Vpn instance : - - Pool-Name : jt-me60-leased_line-pool-01 Pool-No : 2 Position : Local Status : Unlocked Gateway : 121.34.241.254 Mask : 255.255.255.128 Vpn instance : - IP address pool Statistic Local :3 Remote :0 IP address Statistic Total :503 Used :0 Free :503Conflicted :0 Disable :0Display ip pool name *可以根据ip地址池的名字查看到该地址池的详细信息ME60-SZ-JT-01dis ip pool name jt-me60-leased_line-pool-01 Pool-Name : jt-me60-leased_line-pool-01 Pool-No : 2 Lease : 3 Days 0 Hours 0 Minutes Option-Code 0 : - Option-Value 0 : - Option-Code 1 : - Option-Value 1 : - Option-Code 2 : - Option-Value 2 : - Option-Code 3 : - Option-Value 3 : - DNS-Suffix : - Primary-DNS : 202.96.128.68 Secondary-DNS : 202.96.134.133 Primary-NBNS : - Secondary-NBNS : - Position : Local Status : Unlocked Gateway : 121.34.241.254 Mask : 255.255.255.128 Vpn instance : - - ID start end total used idle conflicted disable - 0 121.34.241.129 121.34.241.253 125 0 125 0 0 - Display ip pool name * all 可以查看到详细到每个IP地址的具体信息 ME60-SZ-JT-01dis ip pool name jt-me60-leased_line-pool-01 all Pool-Name : jt-me60-leased_line-pool-01 Pool-No : 2 Lease : 3 Days 0 Hours 0 Minutes Option-Code 0 : - Option-Value 0 : - Option-Code 1 : - Option-Value 1 : - Option-Code 2 : - Option-Value 2 : - Option-Code 3 : - Option-Value 3 : - DNS-Suffix : - Primary-DNS : 202.96.128.68 Secondary-DNS : 202.96.134.133 Primary-NBNS : - Secondary-NBNS : - Position : Local Status : Unlocked Gateway : 121.34.241.254 Mask : 255.255.255.128 Vpn instance : - - ID start end total used idle conflicted disable - 0 121.34.241.129 121.34.241.253 125 0 125 0 0 - Section 0 : - Index IP MAC User-ID Lease Status - 0 121.34.241.129 - - - idle 1 121.34.241.130 - - - idle 2 121.34.241.131 - - - idle 3 121.34.241.132 - - - idle -3） 查看用户下线原因display aaa offline-record可以查看到用户的下线原因ME60-SZ-JT-01display aaa offline-record - User name : huaweidefault_admin User MAC : ffff-ffff-ffff User access type : telnet User IP address : 121.34.203.194 User ID : 139323 User authen state : Authened User acct state : AcctIdle User author state : AuthorIdle User acct sessionID: ME60-SZ000006553565535d324f9139323 User login time : 2007/02/01 21:09:09 User offline time : 2007/02/01 21:45:59 User offline reason: user request to offline - Are you sure to show some information?(y/n)y: