深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū)擬制: 審核: 審核: 批準(zhǔn):賈鵬日期： 日期： 日期： 日期：2007-2-22013-4-14華

深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)

深圳城域網(wǎng)二期

華為ME60業(yè)務(wù)配置指導(dǎo)書(shū)

擬制: 審核: 審核: 批準(zhǔn):

賈鵬

日期： 日期： 日期： 日期：

2007-2-2

2013-4-14

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第1頁(yè), 共14頁(yè)

深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)

修訂記錄

2013-4-14

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第2頁(yè), 共14頁(yè)

深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)

1、 全局配置

華為ME60作為一個(gè)多業(yè)務(wù)網(wǎng)關(guān)可以做BAS 使用，在實(shí)現(xiàn)方面與junipor ERX和Redback SE800不同，所有資源都是全局共享的，包括地址池，Radius 組，路由表等等。所以在配置業(yè)務(wù)的時(shí)候首先要配置一些共用的東西。下面一一講述。

1） 配制loopback 地址

在全局配置模式下：

Interface loopback 0

Ip address 121.35.12.73 255.255.255.255

2） 配置Router id

在全局配置模式下

Router id 121.35.12.73

3） 配置OSPF

在全局配置模式下（以現(xiàn)網(wǎng)為例）：

Ospf

Area XXX

Network XXX.XXX.XXX.XXX 0.0.0.0

Nssa

4） 配置 ip pool

在全局配置模式下（這里的順序即為配置順序）：

Ip pool JT-ME60-Pool-01

gateway 121.34.203.1 255.255.255.0

section 0 121.34.203.2 121.34.203.254

dns-server 202.96.128.68

dns-server 202.96.134.133 secondary

注意：這里的section 代表一個(gè)地址范圍，范圍是0-7，也就是一個(gè)ip pool最多可以有8段地址。當(dāng)然這8段地址必須與gateway 在同一網(wǎng)段。

5） 配置Radius 組

2013-4-14

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第3頁(yè), 共14頁(yè)

深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)

在全局配置模式下：

radius-server group gd_radius

radius-server authentication 61.140.4.144 1812 weight 0

radius-server accounting 61.140.4.144 1813 weight 0

radius-server shared-key szgnet^^

注意：在配置Radius 組中我們要配置發(fā)往Radius Server的IP 地址，在這里我們一般選擇Loopback 地址作為認(rèn)證地址。該配置需要在全局配置模式下配置：radius-server source interface LoopBack0。該地址也需要在Radius Server側(cè)配置。

6） 配置認(rèn)證模板

認(rèn)證模板中包含認(rèn)證方式和計(jì)費(fèi)方式，這兩種方式里的選項(xiàng)都是相同的，可以作Radius 認(rèn)證（radius ），可以作本地認(rèn)證（local ），也可以不認(rèn)證（none ）。默認(rèn)是Radius 認(rèn)證，所以配置了radius 認(rèn)證后在配置中看不到。命令如下，需要在aaa 視圖中配置。 authentication-scheme gdtelecom

accounting-scheme gdtelecom

7） 配置認(rèn)證域

ME60通過(guò)域（domain ）將不通業(yè)務(wù)的用戶(hù)區(qū)分開(kāi)來(lái)，不同的域用域名區(qū)分，比如163.gd 和iptv.gd 等。域下面可以做一些策略路由來(lái)控制該域用戶(hù)的數(shù)據(jù)流向，在此次城域網(wǎng)工程中沒(méi)有涉及策略路由的內(nèi)容，在這里部描述。具體配置方法如下，在aaa 視圖下： domain 163.gd

radius-server group gd_radius

ip-pool jt-me60-pool-01

域中定義了該域引用的地址池和radius 組。

8） 引入用戶(hù)路由

ME60在配置了動(dòng)態(tài)路由后需要將用戶(hù)路由引入到路由表中，該路由北稱(chēng)為unr （user netwoek route）路由，引入用戶(hù)路由方法如下，在動(dòng)態(tài)路由協(xié)議視圖下配置，如ospf 視圖下：

Import unr

2、 撥號(hào)業(yè)務(wù)

2013-4-14

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第4頁(yè), 共14頁(yè)

深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)

ME60的接口是三層接口，所以要通過(guò)子接口來(lái)終結(jié)二層報(bào)文。對(duì)于PPPOE 報(bào)文來(lái)講需要配置一個(gè)邏輯端口來(lái)終結(jié)PPP 報(bào)文。

1） 配制虛模版

在全局配置模式下：

interface Virtual-Template0

ppp authentication-mode pap

注：PPPOE 用戶(hù)的認(rèn)證方式需要在虛模版中配置，目前應(yīng)用最廣泛的是pap 方式。

2） 配置二層接入端口

在全局配置模式下：

interface GigabitEthernet1/0/4.1

pppoe-server bind Virtual-Template 0

description Dialer

uservlan 101 2999 qinq 1000

bas

access-type layer2-subscriber

roam-domain 163.gd

access-limit 1 start-vlan 102 end-vlan 103 qinq 1000

在子接口里面首先配置PPPOE 報(bào)文終結(jié)在虛模版0上。配置QinQ 用戶(hù)數(shù)據(jù)：uservlan 101 2999 qinq 1000，用戶(hù)vlan 為101到2999，外層vlan 為1000。用戶(hù)的接入類(lèi)型需要在bas 視圖下配置，此處配置的是二層用戶(hù)（layer2-subscriber ）。

3） 配制單個(gè)vlan 允許接入session 數(shù)：

在bas 視圖下：

access-limit 1 start-vlan 102 end-vlan 103 qinq 1000

備注：

對(duì)于二層接入用戶(hù)來(lái)說(shuō)存在幾個(gè)概念：認(rèn)證前域，認(rèn)證后域，默認(rèn)域以及漫游域。 認(rèn)證前域：此域應(yīng)用于web 認(rèn)證，用來(lái)限制用戶(hù)認(rèn)證前可訪問(wèn)的地址。

認(rèn)證后域：用戶(hù)通過(guò)認(rèn)證后屬于這個(gè)域。

默認(rèn)域：當(dāng)用戶(hù)在認(rèn)證的時(shí)候用戶(hù)名后沒(méi)有攜帶任何域信息的時(shí)候?qū)儆谀J(rèn)域?qū)＞€業(yè)務(wù)

漫游域：當(dāng)用戶(hù)認(rèn)證時(shí)攜帶的域名在ME60上沒(méi)有配置的時(shí)候采用漫游域認(rèn)證。實(shí)際上2013-4-14 華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第5頁(yè), 共14頁(yè)

深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)

配置漫游域只是表明采用漫游域中的地址池以及認(rèn)證模板。

在目前的BAS 部署中不允許用戶(hù)不帶域名認(rèn)證，所以默認(rèn)域采用ME60的默認(rèn)配置default1；而漫游域在VPDN 測(cè)試的時(shí)候用到，目前暫時(shí)不配置。

3、 專(zhuān)線業(yè)務(wù)

配置專(zhuān)線業(yè)務(wù)與撥號(hào)業(yè)務(wù)類(lèi)似，配置步驟如下：

1）進(jìn)入子接口模式，配置專(zhuān)線用戶(hù)的vlan

uservlan 104 qinq 1000

2）進(jìn)入bas 視圖，配置專(zhuān)線用戶(hù)的接入方式以及認(rèn)證方式

access-type layer2-subscriber default-domain authentication default0

authentication-method bind

3）在全局配置模式下配置該專(zhuān)線用戶(hù)的地址

static-user 121.34.241.130 int g 1/0/4.2 vlan 104 qinq 1000 detect

注意：此時(shí)必須在全局模式下將專(zhuān)線地址池中的地址exclude 掉，否則添加靜態(tài)用戶(hù)后會(huì)抱錯(cuò)說(shuō)從地址池中分不到地址。

4、 VPDN 業(yè)務(wù)

VPDN 業(yè)務(wù)在撥號(hào)階段配置與普通撥號(hào)用戶(hù)配置相同，需要在普通撥號(hào)用戶(hù)的配置下增加兩個(gè)東西，一個(gè)就是在認(rèn)證域中配置該域?yàn)閘2tp 域，另一個(gè)就是需要配置一個(gè)

l2tp-group ，這樣用戶(hù)通過(guò)radius 認(rèn)證后可以與LNS 進(jìn)行l(wèi)2tp 協(xié)商。按照目前電信的規(guī)劃，所有的l2tp 屬性都是Radius Server下發(fā)的。

1） 配置認(rèn)證域?yàn)長(zhǎng)2TP 域

domain sinopec.gd

radius-server group gd_radius

l2tp-group gd_vpdn

2） 配置L2TP-group

l2tp-group gd_vpdn

undo tunnel authentication

start l2tp

tunnel source LoopBack0

5、 如何控制IPTV 用戶(hù)訪問(wèn)

2013-4-14

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第6頁(yè), 共14頁(yè)

深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)

在ME60上由于路由表都是全局的，所以從任何一個(gè)域撥上來(lái)的用戶(hù)都可以通過(guò)路由訪問(wèn)到外網(wǎng)。而在開(kāi)展業(yè)務(wù)的時(shí)候會(huì)出現(xiàn)類(lèi)似于IPTV 這樣的只允許訪問(wèn)部分地址的情況，這時(shí)候需要用UCL 來(lái)控制用戶(hù)訪問(wèn)，具體配置方法如下：

1） 全局模式下配置一個(gè)User-group

user-group iptv

2） 在iptv 域中指定該域內(nèi)的用戶(hù)屬于user-group iptv

domain iptv.gd

radius-server group gd_radius

user-group iptv //此命令指定該域內(nèi)的用戶(hù)屬于user-group iptv ip-pool jt-me60-pool-01

3） 配置兩條UCL ，一條匹配iptv 用戶(hù)可訪問(wèn)地址，一條匹配全部地址

acl number 6000 match-order auto

description The ACL that IPTV users can not access

rule 5 permit ip source user-group iptv

#

acl number 6001 match-order auto

description The ACL IPTV users can access

rule 5 permit ip source user-group iptv destination ip-address 202.96.134.134 0

注：UCL 編號(hào)為6000-9999

4） 配置流分類(lèi)，將不同的UCL 區(qū)分開(kāi)來(lái)

traffic classifier per operator and

if-match acl 6001

traffic classifier deny operator and

if-match acl 6000

5） 配置兩個(gè)動(dòng)作，一個(gè)是permit ，一個(gè)是deny ，默認(rèn)為permit

traffic behavior per1

traffic behavior deny1

deny

6） 配置流策略將流與動(dòng)作關(guān)聯(lián)

2013-4-14

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第7頁(yè), 共14頁(yè)

深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)

traffic policy iptv

classifier per behavior per1

//允許用戶(hù)訪問(wèn)ACL 6001的網(wǎng)段 //不允許用戶(hù)訪問(wèn)ACL 6000的網(wǎng)段

classifier deny behavior deny1 7） 在全局下應(yīng)用流策略 traffic-policy iptv global 6、 一些常用命令

1） 查看用戶(hù)在線信息

Display access-user可以查看到目前在線用戶(hù)數(shù)，每個(gè)認(rèn)證域中有多少用戶(hù) [ME60-SZ-JT-01]dis access-user

---------------------------------------------------------------------------------------------- Total users Normal users Admin users

: 2 : 0 : 2 : 0 : 2 : 2 : 0 : 0 : 0 : 0 : 0 : 0

Wait authen-ack

Authentication finish Accounting ready

Realtime accounting

Wait leaving-flow-query Wait accounting-start Wait accounting-stop

Wait authorization-client Wait authorization-server

---------------------------------------------------------------------------------------------- Domain-name Current-User Online-User ---------------------------------------------------------------------------------------------- default0 : 0 :0 default1 : 0 :0 default_admin : 2 :0 163.gd

2013-4-14

: 0 :0

第8頁(yè), 共14頁(yè)

華為機(jī)密，未經(jīng)許可不得擴(kuò)散

深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)

sinopec.gd : 0 :0

green.gd : 0 :0

iptv.gd : 0 :0

-------------------------------------------------------------------------------------------------------- The used userid table are :

139324 139325

-------------------------------------------------------------------------------------------------------- ME60上可以通過(guò)命令查看某一個(gè)域，某一塊單板，某一個(gè)端口的用戶(hù)，根據(jù)用戶(hù)IP 地址，MAC 地址，user-id ，查看用戶(hù)詳細(xì)信息。

[ME60-SZ-JT-01]dis access-user ?

Domain

Interface Domain Interface

IP address

IPV6 ADDRESS

MAC

SLOT

User id

User name ip-address ipv6-address mac-address slot user-id username

2） 查看IP 地址池信息

Display ip pool該命令可以查看到該設(shè)備上配置的IP pool的簡(jiǎn)要信息

[ME60-SZ-JT-01]dis ip pool

------------------------------------------------------------------------------------------------ Pool-Name : jt-me60-iptv-pool-01

Pool-No : 0

Position : Local Status : Unlocked

Gateway : 121.34.211.254 Mask : 255.255.255.128 Vpn instance : --

------------------------------------------------------------------------------------------------ Pool-Name : jt-me60-pool-01

2013-4-14

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第9頁(yè), 共14頁(yè)

深圳城域網(wǎng)二期華為ME60業(yè)務(wù)配置指導(dǎo)書(shū) 文檔密級(jí)：內(nèi)部公開(kāi)

Pool-No : 1

Position : Local Status : Unlocked

Gateway : 121.34.203.1 Mask : 255.255.255.0 Vpn instance : --

------------------------------------------------------------------------------------------------ Pool-Name : jt-me60-leased_line-pool-01

Pool-No : 2

Position : Local Status : Unlocked

Gateway : 121.34.241.254 Mask : 255.255.255.128 Vpn instance : --

IP address pool Statistic

Local :3 Remote :0

IP address Statistic

Total :503

Used :0 Free :503

Conflicted :0 Disable :0

Display ip pool name ***可以根據(jù)ip 地址池的名字查看到該地址池的詳細(xì)信息

[ME60-SZ-JT-01]dis ip pool name jt-me60-leased_line-pool-01

Pool-Name : jt-me60-leased_line-pool-01

Pool-No : 2

Lease : 3 Days 0 Hours 0 Minutes

Option-Code 0 : -

Option-Value 0 : -

Option-Code 1 : -

Option-Value 1 : -

Option-Code 2 : -

Option-Value 2 : -

Option-Code 3 : -

2013-4-14

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第10頁(yè), 共14頁(yè)