ME60产品简介.ppt

中国铁通ME60多业务控制网关产品简介,一、ME60产品简介,1、ME60功能概述,2、ME60产品类型,3、ME60结构及槽位,4、ME60主要单板,1、ME60功能概述,IP网络正处于向有机地集成在一起，克服了传统防火墙等设备无法适应电信级运营需求的缺陷，实现智能化的电信级IP承载网转型的过程中，核心网边缘设备的智能化是实现网络转型的关键。核心网边缘设备必须从简单的IP转发设备转型为智能化的多业务控制网关，以支持3G、NGN和IPTV等电信业务的开展。HUAWEIME60正是为满足这一转型需求而开发的智能化多业务控制网关设备，可充分保证各项电信业务的安全性、可靠性和QoS。基于ME60及相应的解决方案，运营商可以构建智能化的电信级IP承载网，实现IP网络的转型，将传统电信业务向新网络迁移。ME60将用户管理、安全控制、业务控制等各种功能了用户级的管理和控制，可大幅降低运营成本，为电信业务运营提供基础平台。ME60通过业务层与承载层的关联，实现对各类业务的用户鉴别、呼叫控制、策略控制、QoS保障、安全保障等功能。,ME60包括五款产品类型：ME60-X16、ME60-X8、ME60-X3、ME60-16和ME60-8。,ME60-X16,ME60-X8,2、ME60产品类型,系统容量：交换容量640Gbps、接口容量320Gbps。,转发性能：400Mpps,端口密度：16x10Gbps,系统结构：双主控热备份；网板1+3冗余备份；电源、风扇1+1热备份,ME60-16设备参数,备注：ME60-8相关参数均为ME60-16的1/2。,3、ME60结构及槽位,MPU（主控板）：槽位17、18。主备冗余,SFU（交换网板）：槽位19-22。1+3冗余,LPU（业务板）：槽位1-16。LPU可以是BSU、ESU、TSU或SSU。,4、ME60主要单板,MPU：ME60-16主控板，完成系统的管理和控制平面的多数功能。,SFU：交换网，分SFUA和SFUB两种。,BSU：宽带业务单元，提供用户接入和各种VPN业务。提供10GE接口。,ESU：企业业务单元，提供路由和各类VPN业务。提供10GE，10GPOS,4*2.5GPOS接口。,TSU：隧道业务单元，提供GRE和LNS/LTS隧道相关业务。,SSU：安全业务单元，提供状态防火墙和NAT/ALG功能。,5、ME60逻辑架构,二、ME60产品特性,1、ME60以太网接口特性,2、宽带接入业务特性,3、典型组网应用,1、ME60以太网接口特性,GE接口支持流量控制和速率自协商。,最多可捆绑16个物理以太网端口，捆绑后的ETH-TRUNK功能与普通口一致。,支持不同单板的端口捆绑到同一个ETH-TRUNK。,支持主备工作模式，能够根据接口链路状态自动进行主备切换。,支持跨设备的E-TRUNK。,支持LACP,聚合条件发生改变时，自动调整或解散聚合。,支持IPV4、IPV6和MPLS的MTU配置。,2、ME60宽带接入业务特性,用户接入：xDSL，Ethernet,WLAN，HFC,ipv4，ipv4/ipv6双栈接入,接入和认证：PPP、DHCP、WEB、AAA,授权:bandwidth,ACL,Priority,RoutingPolicy,DSS动态业务选择,安全:通过VLAN和VPN隔离用户,绑定检查,VLAN:4kVLAN端口;64kQinQ端口.,PVC:64Kpvc端口.,ISP/用户域:1K.,3、ME60典型组网应用,1.用户管理:用户按域管理。认证时，通过域的配置进行控制。包括认证计费策略，带宽控制参数，访问权限，优先级。,3.PUPV:标示并定位用户。,2.接入认证：PPP拨号认证、802.1认证、web认证、端口绑定认证、快速web认证。,三、RADIUS特性与实现,1、RADIUS特性概述,2、ME60RADIUS特性实现,3、ME60RADIUS特性规格,1.1RADIUS特性概述,RADIUS:RemoteAuthenticationDailInUserService,定义了NAS与服务器的交互报文格式和交互过程，实现用户上线过程中的认证、计费、授权功能。,采用C/S模型，NAS作为RADIUS服务器的客户端，发起用户的认证、计费请求。,RADIUS采用MD5算法对用户口令加密及验证数字签名。,RADIUS报文采用TLV格式，有较好的灵活扩展性。,1.2RADIUS特性功能,RADIUS实现了以下功能:,用户上线过程中的认证功能。,用户上线过程中的计费功能，以及用户在线时的实时计费功能。,用户上线过程中直接对用户进行授权,用户在线过程中的动态授权。,使指定用户下线的功能，即DM（DisconnectMessage）。,1.3RADIUS协议交互流程,用户输入用户名密码,认证请求包Access-request,认证接受包Access-accept(可同时授权),计费开始请求包Accting-request,计费开始响应包Accting-response,RADIUS服务器,ME60,1.3RADIUS协议交互流程,用户访问网络资源,实时计费请求包Accting-request,实时计费请求响应包Accting-response,授权包Coa-request,授权回应包Coa-response,RADIUS服务器,ME60,1.3RADIUS协议交互流程,通知访问结束,计费结束请求包Accting-request（Stop）,计费结束请求响应包Accting-response,RADIUS服务器,ME60,2.1RADIUS典型应用场景,PC,AccessNetwork,路由器,Internet,RADIUS服务器（主）,RADIUS服务器（备）,2.2山东铁通RADIUS部署架构图,2.3RADIUS服务器选择策略,服务器状态控制策略。,主备方式下的服务器选择策略。,负载均衡方式下的服务器选择策略。（权重值）,2.4RADIUS配置思路,2、配置RADIUS服务器及选择算法。,4、配置域，域下引用认证、计费模板、RADIUS服务器。,1、在路由器上配置认证模板和计费模板。,3、配置RADIUS认证、计费服务器和端口。,2.4RADIUS配置思路,ME60aaaME60-aaaauthentication-schemeauth1创建名为auth1的认证方案ME60-aaa-authen-auth1authentication-moderadius设置认证模式ME60-aaa-authen-auth1quitME60-aaaaccounting-schemeacct1创建名为acct1的计费方案ME60-aaa-accounting-acct1accounting-moderadius设置计费模式ME60-aaa-accounting-acct1quitME60-aaaquit,1、在路由器上配置认证模板和计费模板。,1、在路由器上配置认证模板和计费模板。,2.4RADIUS配置思路,ME60radius-servergroupcttsd创建radius服务器组ME60-radius-cttsdradius-serveralgorithmmaster-backup设置算法,2、配置RADIUS服务器及选择算法。,3、配置RADIUS认证、计费服务器和端口。,ME60-radius-cttsdradius-serverauthentication129.7.66.661812ME60-radius-cttsdradius-serveraccounting129.7.66.661813ME60-radius-cttsdradius-serverauthentication129.7.66.661812ME60-radius-cttsdradius-serveraccounting129.7.66.661813,*对于radius的认证计费端口,有两组端口,一组为1812和1813,另一组是1645和1646.radius的认证和计费服务器通常是在一组服务器上。,2.4RADIUS配置思路,4、配置域，域下引用认证、计费模板、RADIUS服务器。,ME60aaaME60-aaadomainabcME60-aaa-domain-abcauthentication-schemeauth1域的认证方式关联ME60-aaa-domain-abcaccounting-schemeacct1域的计费方式关联ME60-aaa-domain-abcradius-servergroupcttsd域与radius组关联ME60-aaa-domain-abcip-poolpool1域与地址池关联ME60-aaa-domain-abcquitME60-aaaquit,2.4RADIUS定位方法,2、检查ME60和RADIUS服务器两端配置是否一致。,4、检查RADIUS服务器是否负荷过重，造成处理报文时间比较长。可以使用displayradiusstatisticspacket命令检查ME60的收发报文计数，如果发送远大于接收的计数，那么可能是RADIUS服务器负荷过大无响应。,1、通过PING命令测试设备到RADIUS服务器是否可达。,3、检查RADIUS服务器上是否添加了ME60的NAS-IP-ADDRESS。,5、检查ME60到RADIUS链路质量是否较差，造成报文时延较大，对于这种情况，需要优化网络质量。在紧急情况下，可以在ME60上延长等待RADIUS服务器响应的时间。如果步骤4中查出的报文计数差距基本一样，则可能是网络质量差，收到回应时已经超时。ME60-radius-cttsdradius-servertimeout10,2.5RADIUS定位常用命令,1、displayradius-serverconfiguration使用该命令检查radius服务器的状态是UP还是DOWN。2、displayradius-attribute查看设备支持的radius属性。3、test-aaauser1abc123radius-groupcttsd该命令可模拟用户上线，测试ME60到radius服务器之间的radius协议是否正常运行。4、trace，可以根据五元组的组合进行trace，五元组包括CEVLAN、PEVLAN、接口、IP地址、MAC地址。例如：traceaccess-userobeject1interfacegigabitethernet3/1/0.,三、ME60业务配置,1、ME60PPP业务配置,2、ME60IP业务配置,3、ME60L2TP业务配置,3.1PPP业务配置流程及业务流程,1.客户端向BRAS发起PPP会话请求。2.BRAS收到请求后把用户名密码发给radius服务器进行认证。3.RADIUS服务器把认证结果反馈给BRAS。4.认证通过后,BRAS根据用户所在域的配置地址池分配给用户IP地址,并建立完成PPP会话.5.用户上线,可以访问internet,同时BRAS通知RADIUS服务器进行计费.,配置虚模板,创建VT接口ME60interfacevirtual-Template1设置PPP验证方式ME60-virtual-Template1pppauthentication-modeppp,*1.VT接口主要是用来对报文的PPP协议层来进行处理的,使以太网接口可以接收PPP帧.*2.对于PPP的验证方式可以设置为PPP,也可以设置为CHAP.,配置地址池,创建名称为pool1的本地地址池ME60ippoolpool1local配置地址池网关ME60-ip-pool-pool1gateway172.15.1.124配置地址段,一个地址池可支持255个段ME60-ip-pool-pool1section0172.15.1.2172.15.1.200配置DNS,可以配置多个DNS.ME60-ip-pool-pool1dns-server61.233.154.33,*1.查看地址池配置displayippoolnamepool1*2.配置多个DNSdns-server61.233.154.33secondary*3.配置远端地址池则为ippoolpool1remotedhcp并创建DHCP服务器组,指定DHCPserver.,ME60域概念介绍,认证前默认域(default-domainpre-authentication)认证默认域(default-domainauthentication)认证域(authenticationdomain),系统的三个默认域Default0默认策略是不认证不计费Default1默认策略是radius认证radius计费Default_admin默认策略是radius认证,不计费,配置BRAS接口,ME60interfacegigabitethernet4/0/1以太网无法终结PPPOE会话,所以要绑定虚模板终结PPPOE会话.ME60-gigabitethernet4/0/1pppoe-serverbindvirtual-template1进入BRAS接口视图ME60-gigabitethernet4/0/1bas配置用户接入方式为二层用户接入ME60-gigabitethernet4/0/1-basaccess-typelayer2-subscriber配置用户认证后的所属域ME60-gigabitethernet4/0/1-basdefault-domainauthenticationabc配置认证方式ME60-gigabitethernet4/0/1-basauthentication-methodppp,*查看具体BRAS接口配置displaybas-interfacegigabitethernet4/0/1,PPPOEofVlan特殊配置,创建子接口ME60interfacegigabitethernet4/0/1.1将用户所属VLAN绑定到子接口ME60-gigabitethernet4/0/1.1uservlan23把虚模板绑定到子接口ME60-gigabitethernet4/0/1.1pppoe-serverbindvirtual-template1,*1.若需要配置QINQ，则在子接口下配置VLAN时，输入QINQ100VLAN23*2.PPPOEofVlanBRAS接口配置同样需要进入子接口配置。,3.2IP业务配置流程图及业务流程,1.客户端向DHCP服务器IP地址获取请求。2.DHCP收到请求后,根据认证前域分配给用户IP。3.客户端访问WEBSERVER并输入用户名密码验证。4.WEB服务器把用户名和密码传送给ME60。5.ME60把用户和明码传送给RADIUS服务器认证。6.RADIUS服务器把认证结果反馈给ME60。7.认证通过后，客户端可以访问internet。,IPOE接入配置流程,配置认证、计费策略。配置RADIUS服务器组。配置IP地址池。配置认证前域。配置认证域。配置WEB认证服务器。配置ACL。配置BRAS接口。,配置WEB服务器,*web服务器建立WEB页面进行用户名密码。*配置源端口命令可选。,配置WEB认证服务,WEB服务器与ME60之间采用PORTAL协议.ME60web-auth-serverX.X.X.Xkeywebvlan配置PORTAL协议版本ME60web-auth-serverversionV2配置与WEB服务器交互的源端口.ME60web-auth-serversourceinterfacegigabitethernet4/0/0,配置认证前域,ME60-aaadomainpre-isp1ME60-aaa-domain-pre-isp1authentication-schemedefault0ME60-aaa-domain-pre-isp1accounting-schemedefault0ME60-aaa-domain-pre-isp1ip-poolpool1ME60-aaa-domain-pre-isp1quitME60-aaaquit,*通过认证前域分配给用户IP地址,访问web服务器.,配置ACL-用户组配置,创建ACL6000,用户的ACL为6000-9999ME60acl6000创建规则,禁止user-groupcttsd访问任何地址ME60-acl-ucl-6000ruledenyipsourceuser-groupcttsd创建ACL6001ME60acl6001创建规则,只允许cttsd访问WEB服务器ME60-acl-ucl-6001rulepermitipsourceuser-groupcttsddestinationipaddressx.x.x.x0创建规则,只允许cttsd访问DNS服务器ME60-acl-ucl-6001rulepermitipsourceuser-groupcttsddestinationipaddress61.233.154.330,配置ACL-流分配器配置,创建流名称为C1的流分类器ME60trafficclassifierC1配置此分类器的匹配条件ME60-classifier-C1if-matchacl6000配置C2流分类器ME60trafficclassifierC2ME60-classifier-C2if-matchacl6001,配置ACL-匹配流分类策略配置,创建流分类动作deny1ME60trafficbehaviordeny1匹配的流行为为denyME60-behavior-deny1deny创建流分类动作permit1ME60trafficbehaviorpermit1匹配的流行为为permitME60-behavior-permit1permit,配置ACL-流控策略配置,创建流量策略action1ME60trafficpolicyaction1把策略和流分类器和流量行为绑定.一个策略只能包含一种行为.ME60-trafficpolicy-action1classifierC2behaviorpermit1ME60-trafficpolicy-action1classifierC1behaviordeny1把策略在全局下发.ME60traffic-policyaction1global,*在第二步中,存在优先匹配顺序,即先C2后C1,配置BRAS接口,ME60interfacegigabitethernet4/0/1进入BRAS接口视图ME60-gigabitethernet4/0/1bas配置用户接入方式为二层用户接入ME60-gigabitethernet4/0/1-basaccess-typelayer2-subscriber配置用户认证后的所属域为abc，认证前域属于pre-isp1ME60-gigabitethernet4/0/1-basdefault-domainpre-authenticationpre-isp1authenticationabc配置认证方式ME60-gigabitethernet4/0/1-basauthentication-methodweb,静态用户特殊配置步骤,ME60-ip-pool-pool1excluded-ip-address172.15.1.2,静态用户也需要配置认证策略计费策略，也要配置域信息。配置静态用户必须配置地址池，并将相应的地址从地址池中除去。要在相应的用户认证前域中引用地址池。,创建静态用户ME60static-user172.15.1.2interfacegigabitethernet4/0/1.1vlan2domain-namedefault0detect,静态用户在子接口下添加必须带上vlan。配置静态用户必须先配置BAS接口，然后才能添加静态用户。,3.3L2TP业务概述,L2TP:提供了对PPP链路层数据包的隧道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，并采用包交换技术进行信息交互，从而扩展了PPP模型。,特点：,灵活的身份验证机制和高度的安全性多协议传输支持radius服务器的验证支持内部地址分配网络计费的灵活性可靠性,VPDN:指利用公共网络（ISDN和PSTN)的拨号功能和接入网来实现虚拟专用网，为企业、小型ISP、移动办公人员提供接入服务。VPDN采用专用的网络加密通信协议，在公共网络上建立安全的虚拟专网。当前应用最广泛的是L2TP。,L2TP名词解释,LAC:L2TP访问集中器（L2TPAccessConcentrator）交换网络上有PPP端系统和L2TP处理能力的设备。一般为本地ISP接入设备。LAC通过L2TP隧道及ppp会话与其他数据流隔离。LAC可为多个VPN服务。LAC位于LNS和远端系统之间起传递数据的作用。NAS可以和用户合并为一个LAC端点，也可以直接作为LAC端点。LNS：L2TP网络服务器（L2TPNetworkServer）PPP会话接收端，通过LNS验证，用户可以登录私网，访问私网资源。LAC对端设备，是通过LAC进行隧道传输的PPP会话的逻辑终止端点。位于私网公网边界，通常是企业网关设备，必要时还兼有NAT功能。LNS可以放在企业总部网络中，也可以为IP公共网络的PE。LNS必须启用隧道单板（TSU），LAC则无所谓。,L2TP隧道模式示意图,L2TP2种隧道模式NAS-Initialized,NAS-Initialized：由远程拨号用户发起，远程系统通过PSTN/ISDN拨入LAC，由LAC通过Internet向LNS发起建立隧道连接请求。拨号用户地址由LNS分配；对远程拨号用户的验证与计费既可由LAC侧的代理完成，也可在LNS完成。NAS-Initialized的特点是：用户必须采用PPP方式接入到internet。运营商接入设备需要开通相应的vpn服务。隧道分别驻留在LAC和LNS之间，一个隧道可承载多个会话。用户只有私网地址。,L2TP2种隧道模式Client-Initialized,Client-Initialized：直接由LAC客户（指可在本地支持L2TP协议的用户）发起。此时LAC客户可直接向LNS发起隧道连接请求，无需再经过一个单独的LAC设备。此时，LAC客户地址的分配由LNS来完成。Client-Initialized的特点是：用户必须安装L2TP的拨号软件，可以使windows自带的VPN拨号软件。用户上网的方式和地点没有限制，不需要ISP接入。隧道分别驻留在用户侧和LNS之间，一个隧道只能承载一个会话。用户可以根据自己的安全性需求对参数进行更改。拨号获取NAS分配的公网IP为访问LNS对外接口。若获取内网IP可修改路由条目。,LAC端配置,1.配置虚模板创建虚模板1ME60-Ainterfacevirtual-template1ME60-A-virtual-template1pppauthentication-modeppp*要与LNS端一致ME60-A-virtual-template1quit在接口上绑定虚模板1ME60-Ainterfacegigabitethernet4/0/1ME60-A-gigabitethernet4/0/1pppoe-serverbindvirtual-template1ME60-A-gigabitethernet4/0/1quit,LAC端配置,2.配置radius服务器创建radius服务器组radius1ME60-Aradius-servergroupradius1ME60-A-radius-radius1radius-serverauthentication202.1.1.2491812ME60-A-radius-radius1radius-serveraccounting202.1.1.2491813ME60-A-radius-radius1radius-servertypestandardME60-A-radius-radius1radius-servershard-keyhelloME60-A-radius-radius1quit,LAC端配置,3.配置BAS接口ME60-Ainterfacegigabitethernet4/0/1ME60-A-gigabitethernet4/0/1bas配置接入用户类型为二层用户ME60-A-gigabitethernet4/0/1-basaccess-typelayer2-subscriber配置默认域-对于pppoe用户如果未带域名拨号,则视归属域为接口下默认域ME60-A-gigabitethernet4/0/1-basdefault-domainauthenticationisp1配置用户接入认证方式为PPP认证ME60-A-gigabitethernet4/0/1-basauthentication-methodppp,LAC端配置,4.配置用户域ME60-A-aaadomainisp1*该域用户一经完成认证,触发隧道建立.指定域的L2TP组ME60-A-aaa-domain-isp1l2tplac*地址池由LNS提供,创建group后引用指定域的radius组ME60-A-aaa-domain-isp1radius-serverradius1ME60-A-aaa-domain-isp1authentication-schemedefault1ME60-A-aaa-domain-isp1accounting-schemedefault1,LAC端配置,5.创建L2TP组及配置相关属性使能L2TPME60-AL2TPenable配置L2TP组ME60-AL2TP-grouplac配置隧道名ME60-A-l2tp-lact