关闭

关闭

封号提示

内容

首页 华为ME60业务配置指导书.doc

华为ME60业务配置指导书.doc

华为ME60业务配置指导书.doc

上传者: cat9330 2011-11-11 评分 5 0 224 31 1018 暂无简介 简介 举报

简介:本文档为《华为ME60业务配置指导书doc》,可适用于IT/计算机领域,主题内容包含深圳城域网二期华为ME业务配置指导书文档密级:内部公开深圳城域网二期华为ME业务配置指导书拟制:贾鹏日期:审核:日期:审核:日期:批准:日期:修订记符等。

深圳城域网二期华为ME业务配置指导书文档密级:内部公开深圳城域网二期华为ME业务配置指导书拟制:贾鹏日期:审核:日期:审核:日期:批准:日期:修订记录日期修订版本描述作者初稿贾鹏、全局配置华为ME作为一个多业务网关可以做BAS使用在实现方面与juniporERX和RedbackSE不同所有资源都是全局共享的包括地址池Radius组路由表等等。所以在配置业务的时候首先要配置一些共用的东西。下面一一讲述。)配制loopback地址在全局配置模式下:InterfaceloopbackIpaddress)配置Routerid在全局配置模式下Routerid)配置OSPF在全局配置模式下(以现网为例):OspfAreaXXXNetworkXXXXXXXXXXXXNssa)配置ippool在全局配置模式下(这里的顺序即为配置顺序):IppoolJTMEPoolgatewaysectiondnsserverdnsserversecondary注意:这里的section代表一个地址范围范围是也就是一个ippool最多可以有段地址。当然这段地址必须与gateway在同一网段。)配置Radius组在全局配置模式下:radiusservergroupgdradiusradiusserverauthenticationweightradiusserveraccountingweightradiusserversharedkeyszgnet^^注意:在配置Radius组中我们要配置发往RadiusServer的IP地址在这里我们一般选择Loopback地址作为认证地址。该配置需要在全局配置模式下配置:radiusserversourceinterfaceLoopBack。该地址也需要在RadiusServer侧配置。)配置认证模板认证模板中包含认证方式和计费方式这两种方式里的选项都是相同的可以作Radius认证(radius)可以作本地认证(local)也可以不认证(none)。默认是Radius认证所以配置了radius认证后在配置中看不到。命令如下需要在aaa视图中配置。authenticationschemegdtelecomaccountingschemegdtelecom)配置认证域ME通过域(domain)将不通业务的用户区分开来不同的域用域名区分比如gd和iptvgd等。域下面可以做一些策略路由来控制该域用户的数据流向在此次城域网工程中没有涉及策略路由的内容在这里部描述。具体配置方法如下在aaa视图下:domaingdradiusservergroupgdradiusippooljtmepool域中定义了该域引用的地址池和radius组。)引入用户路由ME在配置了动态路由后需要将用户路由引入到路由表中该路由北称为unr(usernetwoekroute)路由引入用户路由方法如下在动态路由协议视图下配置如ospf视图下:Importunr、拨号业务ME的接口是三层接口所以要通过子接口来终结二层报文。对于PPPOE报文来讲需要配置一个逻辑端口来终结PPP报文。)配制虚模版在全局配置模式下:interfaceVirtualTemplatepppauthenticationmodepap注:PPPOE用户的认证方式需要在虚模版中配置目前应用最广泛的是pap方式。)配置二层接入端口在全局配置模式下:interfaceGigabitEthernetpppoeserverbindVirtualTemplatedescriptionDialeruservlanqinqbasaccesstypelayersubscriberroamdomaingdaccesslimitstartvlanendvlanqinq在子接口里面首先配置PPPOE报文终结在虚模版上。配置QinQ用户数据:uservlanqinq用户vlan为到外层vlan为。用户的接入类型需要在bas视图下配置此处配置的是二层用户(layersubscriber)。)配制单个vlan允许接入session数:在bas视图下:accesslimitstartvlanendvlanqinq备注:对于二层接入用户来说存在几个概念:认证前域认证后域默认域以及漫游域。认证前域:此域应用于web认证用来限制用户认证前可访问的地址。认证后域:用户通过认证后属于这个域。默认域:当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务漫游域:当用户认证时携带的域名在ME上没有配置的时候采用漫游域认证。实际上配置漫游域只是表明采用漫游域中的地址池以及认证模板。在目前的BAS部署中不允许用户不带域名认证所以默认域采用ME的默认配置default而漫游域在VPDN测试的时候用到目前暂时不配置。、专线业务配置专线业务与拨号业务类似配置步骤如下:)进入子接口模式配置专线用户的vlanuservlanqinq)进入bas视图配置专线用户的接入方式以及认证方式accesstypelayersubscriberdefaultdomainauthenticationdefaultauthenticationmethodbind)在全局配置模式下配置该专线用户的地址staticuserintgvlanqinqdetect注意:此时必须在全局模式下将专线地址池中的地址exclude掉否则添加静态用户后会抱错说从地址池中分不到地址。、VPDN业务VPDN业务在拨号阶段配置与普通拨号用户配置相同需要在普通拨号用户的配置下增加两个东西一个就是在认证域中配置该域为ltp域另一个就是需要配置一个ltpgroup这样用户通过radius认证后可以与LNS进行ltp协商。按照目前电信的规划所有的ltp属性都是RadiusServer下发的。)配置认证域为LTP域domainsinopecgdradiusservergroupgdradiusltpgroupgdvpdn)配置LTPgroupltpgroupgdvpdnundotunnelauthenticationstartltptunnelsourceLoopBack、如何控制IPTV用户访问在ME上由于路由表都是全局的所以从任何一个域拨上来的用户都可以通过路由访问到外网。而在开展业务的时候会出现类似于IPTV这样的只允许访问部分地址的情况这时候需要用UCL来控制用户访问具体配置方法如下:)全局模式下配置一个Usergroupusergroupiptv)在iptv域中指定该域内的用户属于usergroupiptvdomainiptvgdradiusservergroupgdradiususergroupiptv此命令指定该域内的用户属于usergroupiptvippooljtmepool)配置两条UCL一条匹配iptv用户可访问地址一条匹配全部地址aclnumbermatchorderautodescriptionTheACLthatIPTVuserscannotaccessrulepermitipsourceusergroupiptv#aclnumbermatchorderautodescriptionTheACLIPTVuserscanaccessrulepermitipsourceusergroupiptvdestinationipaddress注:UCL编号为)配置流分类将不同的UCL区分开来trafficclassifierperoperatorandifmatchacltrafficclassifierdenyoperatorandifmatchacl)配置两个动作一个是permit一个是deny默认为permittrafficbehaviorpertrafficbehaviordenydeny)配置流策略将流与动作关联trafficpolicyiptvclassifierperbehaviorper允许用户访问ACL的网段classifierdenybehaviordeny不允许用户访问ACL的网段)在全局下应用流策略trafficpolicyiptvglobal、一些常用命令)查看用户在线信息Displayaccessuser可以查看到目前在线用户数每个认证域中有多少用户MESZJTdisaccessuserTotalusers:Normalusers:Adminusers:Waitauthenack:Authenticationfinish:Accountingready:Realtimeaccounting:Waitleavingflowquery:Waitaccountingstart:Waitaccountingstop:Waitauthorizationclient:Waitauthorizationserver:DomainnameCurrentUserOnlineUserdefault::default::defaultadmin::gd::sinopecgd::greengd::iptvgd::Theuseduseridtableare:ME上可以通过命令查看某一个域某一块单板某一个端口的用户根据用户IP地址MAC地址userid查看用户详细信息。MESZJTdisaccessuserDomainDomainInterfaceInterfaceipaddressIPaddressipvaddressIPVADDRESSmacaddressMACslotSLOTuseridUseridusernameUsername)查看IP地址池信息Displayippool该命令可以查看到该设备上配置的IPpool的简要信息MESZJTdisippoolPoolName:jtmeiptvpoolPoolNo:Position:LocalStatus:UnlockedGateway:Mask:Vpninstance:PoolName:jtmepoolPoolNo:Position:LocalStatus:UnlockedGateway:Mask:Vpninstance:PoolName:jtmeleasedlinepoolPoolNo:Position:LocalStatus:UnlockedGateway:Mask:Vpninstance:IPaddresspoolStatisticLocal:Remote:IPaddressStatisticTotal:Used:Free:Conflicted:Disable:Displayippoolname***可以根据ip地址池的名字查看到该地址池的详细信息MESZJTdisippoolnamejtmeleasedlinepoolPoolName:jtmeleasedlinepoolPoolNo:Lease:DaysHoursMinutesOptionCode:OptionValue:OptionCode:OptionValue:OptionCode:OptionValue:OptionCode:OptionValue:DNSSuffix:PrimaryDNS:SecondaryDNS:PrimaryNBNS:SecondaryNBNS:Position:LocalStatus:UnlockedGateway:Mask:Vpninstance:IDstartendtotalusedidleconflicteddisableDisplayippoolname***all可以查看到详细到每个IP地址的具体信息MESZJTdisippoolnamejtmeleasedlinepoolallPoolName:jtmeleasedlinepoolPoolNo:Lease:DaysHoursMinutesOptionCode:OptionValue:OptionCode:OptionValue:OptionCode:OptionValue:OptionCode:OptionValue:DNSSuffix:PrimaryDNS:SecondaryDNS:PrimaryNBNS:SecondaryNBNS:Position:LocalStatus:UnlockedGateway:Mask:Vpninstance:IDstartendtotalusedidleconflicteddisableSection:IndexIPMACUserIDLeaseStatusidleidleidleidle)查看用户下线原因displayaaaofflinerecord可以查看到用户的下线原因MESZJTdisplayaaaofflinerecordUsername:huaweidefaultadminUserMAC:ffffffffffffUseraccesstype:telnetUserIPaddress:UserID:Userauthenstate:AuthenedUseracctstate:AcctIdleUserauthorstate:AuthorIdleUseracctsessionID:MESZdfUserlogintime:::Userofflinetime:::Userofflinereason:userrequesttoofflineAreyousuretoshowsomeinformation(yn)y:ndisplayaaaofflinerecordofflinereason后面跟上相应的参数可以看到不同原因下线的用户信息。arpdetectfailOfflinereasonidlecutOfflinereasonpppechofailOfflinereasonpppuserrequestOfflinereasonrealtimeacctfailOfflinereasonsessiontimeoutOfflinereasonstopacctfailOfflinereasonuserrequestOfflinereason)查看LTPtunnelsessionDisplayltptunneldisplayltpsession可以查看到目前存在的ltp通道和进程。)跟踪用户消息ME支持跟踪用户消息该消息中包括与Radius交互的消息以及ME内部各个功能模块的处理消息在出现故障的时候对用户作一个跟踪非常有效。具体配置步骤如下:全局模式下:MESZJTtraceenableMESZJTtraceobject可以根据用户名MAC地址vlan号来跟踪accessmodeTheaccessmodeinterfaceTheinterfaceipaddressTheIPaddressmacaddressTheMACaddresspvcThePVCusernameTheusernameuservlanTheuserVLANID一般情况下我们会将跟踪的用户消息写到CF卡上跟踪用户消息的完整命令为:traceobjectusernametestgdoutputfilecfcard:testtxt、配置举例(以景田的配置为例)景田的配置见附件:华为机密未经许可不得扩散第页,共页

类似资料

编辑推荐

第3卷.抗日战争时期.pdf

Advanced_Get集多种交易体系为一身的交易系统.pdf

混凝土结构设计(第12版).pdf

司汤达《红与黑》.pdf

新东方四级词汇.pdf

职业精品

精彩专题

用户评论

0/200
    暂无评论
上传我的资料

精选资料

热门资料排行换一换

  • 李中清、康文林等:压力下的生活.…

  • 乔伊吉他教室__重金属主奏吉他 …

  • 社会理论和社会结构.(美)罗伯特…

  • 社会理论的基础(上、下册)[美]…

  • 顾颉刚全集之古史论文集(第一卷)…

  • 社会权力的来源·第2卷(英)迈克…

  • 常用集成电路速查手册_.pdf

  • 历代印匋封泥印风.pdf

  • 古瓷器.pdf

  • 资料评价:

    / 14
    所需积分:5 立即下载

    意见
    反馈

    返回
    顶部