ME60培訓(xùn)資料

1、Page Page 0 0建工局建工局-zzlove-zzlove2012-112012-11Page Page 1 1一、ME60產(chǎn)品簡介1、ME60功能概述功能概述2、ME60產(chǎn)品類型產(chǎn)品類型3、ME60結(jié)構(gòu)及槽位結(jié)構(gòu)及槽位4、ME60主要單板主要單板Page Page 2 21、ME60功能概述功能概述 IP 網(wǎng)絡(luò)正處于向有機(jī)地集成在一起，克服了傳統(tǒng)防火墻等設(shè)備無法適應(yīng)電信級運(yùn)營需求的缺陷，實(shí)現(xiàn)智能化的電信級IP 承載網(wǎng)轉(zhuǎn)型的過程中，核心網(wǎng)邊緣設(shè)備的智能化是實(shí)現(xiàn)網(wǎng)絡(luò)轉(zhuǎn)型的關(guān)鍵。核心網(wǎng)邊緣設(shè)備必須從簡單的IP轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)型為智能化的多業(yè)務(wù)控制網(wǎng)關(guān)，以支持3G、NGN 和IPTV 等電信業(yè)務(wù)的

2、開展。 HUAWEI ME60 正是為滿足這一轉(zhuǎn)型需求而開發(fā)的智能化多業(yè)務(wù) 控制網(wǎng)關(guān)設(shè)備，可充分保證各項(xiàng)電信業(yè)務(wù)的安全性、可靠性和QoS?；贛E60 及相應(yīng)的解決方案，運(yùn)營商可以構(gòu)建智能化的電信級IP 承載網(wǎng)，實(shí)現(xiàn)IP 網(wǎng)絡(luò)的轉(zhuǎn)型，將傳統(tǒng)電信業(yè)務(wù)向新網(wǎng)絡(luò)遷移。ME60 將用戶管理、安全控制、業(yè)務(wù)控制等各種功能了用戶級的管理和控制，可大幅降低運(yùn)營成本，為電信業(yè)務(wù)運(yùn)營提供基礎(chǔ)平臺。Page Page 3 3ME60 包括五款產(chǎn)品類型：ME60-X16、ME60-X8、ME60-X3、ME60-16 和ME60-8。ME60-X16ME60-X82、ME60產(chǎn)品類型產(chǎn)品類型系統(tǒng)容量：交換容量640

3、Gbps、接口容量320Gbps。轉(zhuǎn)發(fā)性能：400Mpps端口密度：16x10Gbps系統(tǒng)結(jié)構(gòu)：雙主控?zé)醾浞荩痪W(wǎng)板1+3冗余備份；電源、風(fēng)扇1+1熱備份ME60-16設(shè)備參數(shù)備注：ME60-8相關(guān)參數(shù)均為ME60-16的1/2。Page Page 4 43、ME60結(jié)構(gòu)及槽位結(jié)構(gòu)及槽位u MPU（主控板）：槽位17、18。主備冗余u SFU（交換網(wǎng)板）：槽位19-22。1+3冗余u LPU（業(yè)務(wù)板）：槽位1-16。LPU可以是BSU、ESU、TSU或SSU。單板單板含義含義MPUME60-16主控板,完成系統(tǒng)的管理和控制平面的多數(shù)功能SRUME60-8主控板, 與MPU基本相同, 但增加交換網(wǎng)

4、SFU交換網(wǎng)（ME60-16四塊, ME60-8兩塊, 另外兩塊在兩個(gè)SRU上），分SFUA和SFUB兩種BKPA系統(tǒng)無源背板, 為各系統(tǒng)單元提供數(shù)據(jù)和控制通道的互連BSU寬帶業(yè)務(wù)單元, 提供用戶接入和各種VPN業(yè)務(wù)目前提供1*10GE、 10*GE和24*GE接口ESU企業(yè)業(yè)務(wù)單元, 提供路由和各類VPN業(yè)務(wù)提供10*GE、1*10GE、10G POS、4*2.5G POS接口具體光模塊請參見配置手冊TSU隧道業(yè)務(wù)單元, 提供GRE和LNS/LTS隧道相關(guān)的業(yè)務(wù)SSU安全業(yè)務(wù)單元, 提供狀態(tài)防火墻和NAT/ALG功能SBC會(huì)話控制單元, 提供SBC功能低速接口單板通過兼容Rainier單板實(shí)

5、現(xiàn)各類低速接口，如FE、ATM、E1/E3等Page Page 5 54、ME60主要單板主要單板Page Page 6 65、ME60物理架構(gòu)物理架構(gòu)Page Page 7 75、ME60邏輯架構(gòu)邏輯架構(gòu)Page Page 8 85、ME60交換網(wǎng)結(jié)構(gòu)交換網(wǎng)結(jié)構(gòu)Page Page 9 9二、ME60產(chǎn)品特性1、用戶管理、用戶管理2、授權(quán)，認(rèn)證，計(jì)費(fèi)、授權(quán)，認(rèn)證，計(jì)費(fèi)3、一些問題、一些問題用戶按域管理用戶按域管理域可以理解為具有某種共同業(yè)務(wù)屬性的用戶群或者某種業(yè)務(wù)終端域可以理解為具有某種共同業(yè)務(wù)屬性的用戶群或者某種業(yè)務(wù)終端用戶認(rèn)證時(shí)，選擇相應(yīng)的域，按所選擇的域來控制其業(yè)務(wù)用戶認(rèn)證時(shí)，選擇相應(yīng)的

6、域，按所選擇的域來控制其業(yè)務(wù)按域?qū)嵤┛刂撇呗园从驅(qū)嵤┛刂撇呗哉J(rèn)證計(jì)費(fèi)策略：是否需要認(rèn)證、計(jì)費(fèi)，計(jì)費(fèi)服務(wù)器故障后的計(jì)費(fèi)策略認(rèn)證計(jì)費(fèi)策略：是否需要認(rèn)證、計(jì)費(fèi)，計(jì)費(fèi)服務(wù)器故障后的計(jì)費(fèi)策略帶寬控制參數(shù)帶寬控制參數(shù)訪問權(quán)限訪問權(quán)限用戶優(yōu)先級、用戶優(yōu)先級、DSCP/802.1pDSCP/802.1p等等QoSQoS參數(shù)參數(shù)路由策略，用戶業(yè)務(wù)流分流路由策略，用戶業(yè)務(wù)流分流按域部署按域部署/ /分配網(wǎng)絡(luò)資源分配網(wǎng)絡(luò)資源按域部署按域部署 DHCP ServerDHCP Server、Radius ServerRadius Server、地址資源、地址資源用戶管理：管理用戶的策略用戶管理：管理用戶的策略域可以用來

7、對用戶分群、業(yè)務(wù)終端分類域可以用來對用戶分群、業(yè)務(wù)終端分類用戶管理：標(biāo)識并定位用戶的方法用戶管理：標(biāo)識并定位用戶的方法PUPVPUPVPUPVPUPV：Per User Per VLANPer User Per VLAN，離用戶最近的，離用戶最近的L2 L2 或或 DSLAM DSLAM 為用戶標(biāo)記為用戶標(biāo)記 VLAN IDVLAN ID用戶標(biāo)識：用戶標(biāo)識：帳號接入位置（帳號接入位置（BASBAS設(shè)備槽位端口設(shè)備槽位端口VLANVLAN）用戶終端標(biāo)識（）用戶終端標(biāo)識（IPIP、MACMAC地址地址用戶安全性用戶安全性：通過通過VLAN VLAN 隔離，防隔離，防DHCPDHCP、ARPARP、

8、PPPoEPPPoE欺騙，防欺騙，防IP IP 地址盜用地址盜用私接用戶防止：私接用戶防止：一個(gè)物理位置接入用戶數(shù)限制一個(gè)物理位置接入用戶數(shù)限制帳號安全性：帳號安全性：用戶帳號和指定端口綁定用戶帳號和指定端口綁定網(wǎng)絡(luò)攻擊定位：網(wǎng)絡(luò)攻擊定位：每個(gè)用戶的接入位置唯一，對網(wǎng)絡(luò)的惡意攻擊不可抵賴每個(gè)用戶的接入位置唯一，對網(wǎng)絡(luò)的惡意攻擊不可抵賴ME60ME60LanSwitchLanSwitchVLAN1VLAN1VLAN2VLAN2PVC1PVC1PVC2PVC2PORT1PORT1PORT2PORT2PORT1PORT1+VLAN1+VLAN1PORT1PORT1+VLAN2+VLAN2PORT2P

9、ORT2+VLAN1+VLAN1PORT2PORT2+VLAN2+VLAN2ME60ME60DSLAMDSLAM分配靜態(tài)地址分配靜態(tài)地址分配靜態(tài)地址，在指定端口接入分配靜態(tài)地址，在指定端口接入分配動(dòng)態(tài)地址分配動(dòng)態(tài)地址PPPPPP用戶從用戶從AAA AAA 或本地地址池分配地址或本地地址池分配地址PPPPPP用戶，從外部用戶，從外部 DHCP ServerDHCP Server統(tǒng)一分配地址統(tǒng)一分配地址支持支持DHCP RelayDHCP Relay支持內(nèi)置支持內(nèi)置DHCP ServerDHCP Server 地址的安全性地址的安全性 用戶地址被綁定，防地址仿冒用戶地址被綁定，防地址仿冒用戶關(guān)機(jī)后

10、由用戶關(guān)機(jī)后由MA5200G MA5200G 釋放已申請的地址釋放已申請的地址對對VLANVLAN下接入用戶數(shù)限制，防止惡意申請地址下接入用戶數(shù)限制，防止惡意申請地址DHCPDHCP Server ServerInternetInternet偽造偽造MACMAC地地址不斷申請址不斷申請IPIP地址地址關(guān)機(jī)不釋放關(guān)機(jī)不釋放IPIP地址，長時(shí)間地址，長時(shí)間占用地址資源占用地址資源盜用其它盜用其它用戶地址用戶地址ME60ME60RadiusRadius Server Server用戶管理：地址分配用戶管理：地址分配用戶管理：接入認(rèn)證用戶管理：接入認(rèn)證nPPPPPP撥號認(rèn)證撥號認(rèn)證PPPoEPPPoE

11、、PPPoEoAPPPoEoA撥號撥號本地地址池、本地地址池、Radius ServerRadius Server、DHCP ServerDHCP Server分配地址分配地址強(qiáng)推強(qiáng)推Portal Portal 門戶門戶n802.1x802.1x認(rèn)證認(rèn)證支持支持WLANWLAN用戶的用戶的EAP-MD5EAP-MD5認(rèn)證和認(rèn)證和EAP-SIMEAP-SIM認(rèn)證認(rèn)證nWebWeb認(rèn)證認(rèn)證 強(qiáng)制強(qiáng)制WEBWEB認(rèn)證，強(qiáng)推認(rèn)證，強(qiáng)推PortalPortal門戶門戶 認(rèn)證后二次地址分配認(rèn)證后二次地址分配n端口綁定認(rèn)證端口綁定認(rèn)證用戶開機(jī)，無須輸入用戶名和密碼用戶開機(jī)，無須輸入用戶名和密碼費(fèi)用計(jì)入該端口

12、對應(yīng)的帳號費(fèi)用計(jì)入該端口對應(yīng)的帳號n快速快速WEBWEB認(rèn)證認(rèn)證端口綁定認(rèn)證和端口綁定認(rèn)證和 WEBWEB認(rèn)證結(jié)合，無需輸入用戶名和密碼，只需點(diǎn)擊認(rèn)證結(jié)合，無需輸入用戶名和密碼，只需點(diǎn)擊“確認(rèn)確認(rèn)”按鈕按鈕n認(rèn)證方式靈活性認(rèn)證方式靈活性同時(shí)支持同時(shí)支持PPPPPP、 802.1X802.1X、 WEBWEB、端口綁定認(rèn)證，每個(gè)端口可以指定某種或某幾種認(rèn)證方式、端口綁定認(rèn)證，每個(gè)端口可以指定某種或某幾種認(rèn)證方式動(dòng)態(tài)地址用戶動(dòng)態(tài)地址用戶靜態(tài)地址用戶靜態(tài)地址用戶PPPPPP撥號用戶撥號用戶802.1x802.1x撥號用戶撥號用戶用戶管理：用戶業(yè)務(wù)授權(quán)用戶管理：用戶業(yè)務(wù)授權(quán)帶寬控制：帶寬控制：通過通過

13、CARCAR實(shí)現(xiàn)基于用戶帳號的帶寬控制實(shí)現(xiàn)基于用戶帳號的帶寬控制訪問權(quán)限：訪問權(quán)限：支持基于用戶分群的訪問權(quán)限控制支持基于用戶分群的訪問權(quán)限控制UCLUCL（User based ACLUser based ACL），而不是傳，而不是傳統(tǒng)路由器的基于地址段的統(tǒng)路由器的基于地址段的ACLACL互訪權(quán)限：互訪權(quán)限：支持基于用戶分群的互訪權(quán)限控制支持基于用戶分群的互訪權(quán)限控制QoSQoS優(yōu)先級：優(yōu)先級：區(qū)分用戶服務(wù)，區(qū)分用戶服務(wù)，DSCP DSCP 和和 802.1p802.1p組播權(quán)限：組播權(quán)限：對用戶組播權(quán)限控制，使組播業(yè)務(wù)可控對用戶組播權(quán)限控制，使組播業(yè)務(wù)可控策略路由：策略路由：指定上行端口（

14、下一跳）、指定上行端口（下一跳）、VLANVLAN、隧道、隧道動(dòng)態(tài)授權(quán)：動(dòng)態(tài)授權(quán)：用戶在接入過程中，根據(jù)業(yè)務(wù)需要修改用戶權(quán)限，包括帶寬、訪問權(quán)限、用戶在接入過程中，根據(jù)業(yè)務(wù)需要修改用戶權(quán)限，包括帶寬、訪問權(quán)限、QoSQoS等等當(dāng)某個(gè)屬性沒有下發(fā)時(shí)，將按用戶所在域的屬性執(zhí)行當(dāng)某個(gè)屬性沒有下發(fā)時(shí)，將按用戶所在域的屬性執(zhí)行費(fèi)用費(fèi)用使用量（時(shí)間使用量（時(shí)間/ /流量流量/ /應(yīng)用）應(yīng)用）帳務(wù)周期結(jié)束點(diǎn)帳務(wù)周期結(jié)束點(diǎn)贈(zèng)送使用量贈(zèng)送使用量+ +計(jì)量制計(jì)量制計(jì)量制計(jì)量制跳檔制跳檔制計(jì)量制計(jì)量制+ +費(fèi)用封頂費(fèi)用封頂基本費(fèi)基本費(fèi)+ +計(jì)量制計(jì)量制基本費(fèi)基本費(fèi)+ +跳檔制跳檔制包月制包月制基本費(fèi)基本費(fèi)+ +免費(fèi)

15、使用量免費(fèi)使用量+ +計(jì)量制計(jì)量制實(shí)時(shí)計(jì)費(fèi)，提供時(shí)長、流量計(jì)費(fèi)信息實(shí)時(shí)計(jì)費(fèi)，提供時(shí)長、流量計(jì)費(fèi)信息兩級計(jì)費(fèi)，運(yùn)營商和代理運(yùn)營商結(jié)算對帳兩級計(jì)費(fèi)，運(yùn)營商和代理運(yùn)營商結(jié)算對帳按月結(jié)算按月結(jié)算可充值預(yù)付費(fèi)卡可充值預(yù)付費(fèi)卡一次性預(yù)付費(fèi)卡一次性預(yù)付費(fèi)卡用戶管理：用戶計(jì)費(fèi)用戶管理：用戶計(jì)費(fèi)IP骨干網(wǎng)骨干網(wǎng)防用戶流失防用戶流失防資費(fèi)流失、糾紛防資費(fèi)流失、糾紛用戶管理：防止私接和資費(fèi)流失用戶管理：防止私接和資費(fèi)流失防高成本建設(shè)防高成本建設(shè)低資費(fèi)收入低資費(fèi)收入案例案例2 2：三個(gè)同事申請一個(gè)包月帳號和兩個(gè)計(jì)時(shí)三個(gè)同事申請一個(gè)包月帳號和兩個(gè)計(jì)時(shí)帳號，共享包月帳號上網(wǎng)帳號，共享包月帳號上網(wǎng)案例案例3 3：計(jì)時(shí)帳號被

16、盜用后，發(fā)生資費(fèi)糾紛計(jì)時(shí)帳號被盜用后，發(fā)生資費(fèi)糾紛案例案例1 1： 以個(gè)人用戶開通寬帶，申以個(gè)人用戶開通寬帶，申請一個(gè)包月賬號，通過請一個(gè)包月賬號，通過 proxy proxy 或或帶有帶有NAT NAT 的的 RTU RTU 經(jīng)營網(wǎng)吧業(yè)務(wù)經(jīng)營網(wǎng)吧業(yè)務(wù)案例案例4 4：WLANWLAN接入，用接入，用ADSLADSL帳號認(rèn)證付費(fèi)帳號認(rèn)證付費(fèi)黑市網(wǎng)吧除了黑市網(wǎng)吧除了“轉(zhuǎn)轉(zhuǎn)正正”已別無選擇！已別無選擇！限制限制 VLAN VLAN 下接入用戶數(shù)下接入用戶數(shù)帶寬帶寬 CARCAR限制連接建立速度限制連接建立速度監(jiān)控統(tǒng)計(jì)每月的流量監(jiān)控統(tǒng)計(jì)每月的流量Page Page 1717三、RADIUS特性與實(shí)現(xiàn)1

17、、RADIUS特性概述特性概述2、ME60 RADIUS特性實(shí)現(xiàn)特性實(shí)現(xiàn)3、ME60 RADIUS特性規(guī)格特性規(guī)格Page Page 18181.1 RADIUS特性概述特性概述RADIUS: Remote Authentication Dail In User ServiceRADIUS: Remote Authentication Dail In User Serviceu定義了定義了NASNAS與服務(wù)器的交互報(bào)文格式和交互過程，實(shí)現(xiàn)用戶上線過程中的認(rèn)證與服務(wù)器的交互報(bào)文格式和交互過程，實(shí)現(xiàn)用戶上線過程中的認(rèn)證、計(jì)費(fèi)、授權(quán)功能。、計(jì)費(fèi)、授權(quán)功能。u采用采用C/SC/S模型，模型，NASNA

18、S作為作為RADIUSRADIUS服務(wù)器的客戶端，發(fā)起用戶的認(rèn)證、計(jì)費(fèi)請服務(wù)器的客戶端，發(fā)起用戶的認(rèn)證、計(jì)費(fèi)請求。求。uRADIUSRADIUS采用采用MD5MD5算法對用戶口令加密及驗(yàn)證數(shù)字簽名。算法對用戶口令加密及驗(yàn)證數(shù)字簽名。uRADIUSRADIUS報(bào)文采用報(bào)文采用TLVTLV格式，有較好的靈活擴(kuò)展性。格式，有較好的靈活擴(kuò)展性。Page Page 19191.2 RADIUS特性功能特性功能RADIUSRADIUS實(shí)現(xiàn)了以下功能實(shí)現(xiàn)了以下功能: :u用戶上線過程中的認(rèn)證功能。用戶上線過程中的認(rèn)證功能。u用戶上線過程中的計(jì)費(fèi)功能，以及用戶在線時(shí)的實(shí)時(shí)計(jì)費(fèi)功能。用戶上線過程中的計(jì)費(fèi)功能，以

19、及用戶在線時(shí)的實(shí)時(shí)計(jì)費(fèi)功能。u用戶上線過程中直接對用戶進(jìn)行授權(quán)用戶上線過程中直接對用戶進(jìn)行授權(quán)u用戶在線過程中的動(dòng)態(tài)授權(quán)。用戶在線過程中的動(dòng)態(tài)授權(quán)。u使指定用戶下線的功能，即使指定用戶下線的功能，即DMDM（Disconnect MessageDisconnect Message）。）。Page Page 20201.3 RADIUS協(xié)議交互流程協(xié)議交互流程用戶輸入用戶名密碼用戶輸入用戶名密碼認(rèn)證請求包認(rèn)證請求包 Access-requestAccess-request認(rèn)證接受包認(rèn)證接受包Access-accept(Access-accept(可同時(shí)授權(quán)可同時(shí)授權(quán)) )計(jì)費(fèi)開始請求包計(jì)費(fèi)開始請

20、求包 Accting-requestAccting-request計(jì)費(fèi)開始響應(yīng)包計(jì)費(fèi)開始響應(yīng)包Accting-responseAccting-responseRADIUSRADIUS服務(wù)器服務(wù)器ME60ME60Page Page 21211.3 RADIUS協(xié)議交互流程協(xié)議交互流程用戶訪問網(wǎng)絡(luò)資源用戶訪問網(wǎng)絡(luò)資源實(shí)時(shí)計(jì)費(fèi)請求包實(shí)時(shí)計(jì)費(fèi)請求包 Accting-requestAccting-request實(shí)時(shí)計(jì)費(fèi)請求響應(yīng)包實(shí)時(shí)計(jì)費(fèi)請求響應(yīng)包 Accting-responseAccting-response授權(quán)包授權(quán)包 Coa-requestCoa-request授權(quán)回應(yīng)包授權(quán)回應(yīng)包 Coa-res

21、ponseCoa-responseRADIUSRADIUS服務(wù)器服務(wù)器ME60ME60Page Page 22221.3 RADIUS協(xié)議交互流程協(xié)議交互流程通知訪問結(jié)束通知訪問結(jié)束計(jì)費(fèi)結(jié)束請求包計(jì)費(fèi)結(jié)束請求包 Accting-requestAccting-request（StopStop）計(jì)費(fèi)結(jié)束請求響應(yīng)包計(jì)費(fèi)結(jié)束請求響應(yīng)包Accting-responseAccting-responseRADIUSRADIUS服務(wù)器服務(wù)器ME60ME60Page Page 23232.1 RADIUS典型應(yīng)用場景典型應(yīng)用場景PCPCAccess Access NetworkNetwork路由器路由器Inte

22、rnetInternetRADIUSRADIUS服務(wù)器（主）服務(wù)器（主）RADIUSRADIUS服務(wù)器（備）服務(wù)器（備）Page Page 24242.4 RADIUS配置思路配置思路2 2、配置、配置RADIUSRADIUS服務(wù)器及選擇算法。服務(wù)器及選擇算法。4 4、配置域，域下引用認(rèn)證、計(jì)費(fèi)模板、配置域，域下引用認(rèn)證、計(jì)費(fèi)模板、RADIUSRADIUS服務(wù)器。服務(wù)器。1 1、在路由器上配置認(rèn)證模板和計(jì)費(fèi)模板。、在路由器上配置認(rèn)證模板和計(jì)費(fèi)模板。3 3、配置、配置RADIUSRADIUS認(rèn)證、計(jì)費(fèi)服務(wù)器和端口。認(rèn)證、計(jì)費(fèi)服務(wù)器和端口。Page Page 25252.4 RADIUS配置思路配

23、置思路ME60aaaME60aaaME60-aaaauthentication-scheme jgj1 ME60-aaaauthentication-scheme jgj1 創(chuàng)建名為創(chuàng)建名為jgj1jgj1的認(rèn)證方案的認(rèn)證方案ME60-aaa-authen-jgj1authentication-mode radius ME60-aaa-authen-jgj1authentication-mode radius 設(shè)置認(rèn)證模式設(shè)置認(rèn)證模式ME60-aaa-authen-jgj1quitME60-aaa-authen-jgj1quitME60-aaaaccounting-scheme jgj2 ME

24、60-aaaaccounting-scheme jgj2 創(chuàng)建名為創(chuàng)建名為jgj2jgj2的計(jì)費(fèi)方案的計(jì)費(fèi)方案ME60-aaa-accounting-jgj2accounting-mode radius ME60-aaa-accounting-jgj2accounting-mode radius 設(shè)置計(jì)費(fèi)模式設(shè)置計(jì)費(fèi)模式ME60-aaa-accounting-jgj2quitME60-aaa-accounting-jgj2quitME60-aaaquitME60-aaaquit1 1、在路由器上配置認(rèn)證模板和計(jì)費(fèi)模板。、在路由器上配置認(rèn)證模板和計(jì)費(fèi)模板。1 1、在路由器上配置認(rèn)證模板和計(jì)費(fèi)模板

25、。、在路由器上配置認(rèn)證模板和計(jì)費(fèi)模板。Page Page 26262.4 RADIUS配置思路配置思路ME60radius-server group jxjgj ME60radius-server group jxjgj 創(chuàng)建創(chuàng)建radiusradius服務(wù)器組服務(wù)器組ME60-radius-jxjgjradius-server algorithm master-backup ME60-radius-jxjgjradius-server algorithm master-backup 設(shè)置算法設(shè)置算法2 2、配置、配置RADIUSRADIUS服務(wù)器及選擇算法。服務(wù)器及選擇算法。3 3、配置、配

26、置RADIUSRADIUS認(rèn)證、計(jì)費(fèi)服務(wù)器和端口。認(rèn)證、計(jì)費(fèi)服務(wù)器和端口。ME60-radius-jxjgjradius-server authentication 6 1812ME60-radius-jxjgjradius-server authentication 6 1812ME60-radius-jxjgjradius-server accounting 6 1813ME60-radius-jxjgjradius-server accounting 6 1813ME60-radius-jxjgjradius

27、-server authentication 6 1812ME60-radius-jxjgjradius-server authentication 6 1812ME60-radius-jxjgjradius-server accounting 6 1813ME60-radius-jxjgjradius-server accounting 6 1813* *對于對于radiusradius的認(rèn)證計(jì)費(fèi)端口的認(rèn)證計(jì)費(fèi)端口, ,有兩組端口有兩組端口, ,一組為一組為18121812和和1813,1813,另一組是另一組是

28、16451645和和1646.radius1646.radius的認(rèn)證和計(jì)費(fèi)服務(wù)器通常是在一組服務(wù)器上。的認(rèn)證和計(jì)費(fèi)服務(wù)器通常是在一組服務(wù)器上。Page Page 27272.4 RADIUS配置思路配置思路4 4、配置域，域下引用認(rèn)證、計(jì)費(fèi)模板、配置域，域下引用認(rèn)證、計(jì)費(fèi)模板、RADIUSRADIUS服務(wù)器。服務(wù)器。ME60aaa ME60aaa ME60-aaadomain abcME60-aaadomain abcME60-aaa-domain-abc authentication-scheme jgj1 ME60-aaa-domain-abc authentication-scheme

29、 jgj1 域的認(rèn)證方式關(guān)域的認(rèn)證方式關(guān)聯(lián)聯(lián)ME60-aaa-domain-abc accounting-scheme jgj2 ME60-aaa-domain-abc accounting-scheme jgj2 域的計(jì)費(fèi)方式關(guān)域的計(jì)費(fèi)方式關(guān)聯(lián)聯(lián)ME60-aaa-domain-abc radius-server group jxjgj ME60-aaa-domain-abc radius-server group jxjgj 域與域與radiusradius組關(guān)聯(lián)組關(guān)聯(lián)ME60-aaa-domain-abc ip-pool pool1 ME60-aaa-domain-abc ip-pool

30、pool1 域與地址池關(guān)聯(lián)域與地址池關(guān)聯(lián)ME60-aaa-domain-abc quitME60-aaa-domain-abc quitME60-aaa quitME60-aaa quitPage Page 28282.5 RADIUS定位常用命令定位常用命令1 1、display radius-server configurationdisplay radius-server configuration 使用該命令檢查使用該命令檢查radiusradius服務(wù)器的狀態(tài)是服務(wù)器的狀態(tài)是UPUP還是還是DOWNDOWN。2 2、display radius-attributedisplay ra

31、dius-attribute 查看設(shè)備支持的查看設(shè)備支持的radiusradius屬性。屬性。3 3、test-aaa user1abc 123 radius-group jxjgjtest-aaa user1abc 123 radius-group jxjgj 該命令可模擬用戶上線，測試該命令可模擬用戶上線，測試ME60ME60到到radiusradius服務(wù)器之間的服務(wù)器之間的radiusradius協(xié)議是否正協(xié)議是否正 常運(yùn)行。常運(yùn)行。4 4、tracetrace，可以根據(jù)五元組的組合進(jìn)行，可以根據(jù)五元組的組合進(jìn)行tracetrace，五元組包括，五元組包括CE VLANCE VLAN、

32、PE VLANPE VLAN、接口、接口、IP IP 地址、地址、MACMAC地址。地址。 例如：例如：trace access-user obeject 1 interface gigabitethernet trace access-user obeject 1 interface gigabitethernet 3/1/0. 3/1/0. Page Page 2929三、ME60業(yè)務(wù)配置1、ME60 PPP業(yè)務(wù)配置業(yè)務(wù)配置2、ME60 IP業(yè)務(wù)配置業(yè)務(wù)配置3、ME60 L2TP業(yè)務(wù)配置業(yè)務(wù)配置ME60支持個(gè)人用戶、專線用戶通過各種方式接入Internet網(wǎng)）。這些接入用戶的協(xié)議棧分為以下

33、幾類： IPoX（IPoE、IPoEoVLAN、IPoEoQ、IPoEoA、IPoA）PPPoX（PPPoE、PPPoEoVLAN、PPPoEoQ、PPPoA）802.1X專線接入Page Page 30303.1 PPP業(yè)務(wù)配置流程及業(yè)務(wù)流程業(yè)務(wù)配置流程及業(yè)務(wù)流程1.1.客戶端向客戶端向BRASBRAS發(fā)起發(fā)起PPPPPP會(huì)話請求。會(huì)話請求。2.BRAS2.BRAS收到請求后把用戶名密碼發(fā)給收到請求后把用戶名密碼發(fā)給radiusradius服務(wù)器進(jìn)行認(rèn)證。服務(wù)器進(jìn)行認(rèn)證。3.RADIUS3.RADIUS服務(wù)器把認(rèn)證結(jié)果反饋給服務(wù)器把認(rèn)證結(jié)果反饋給BRASBRAS。4.4.認(rèn)證通過后認(rèn)證通過后

34、,BRAS,BRAS根據(jù)用戶所在域的配置地根據(jù)用戶所在域的配置地址池分配給用戶址池分配給用戶IPIP地址地址, ,并建立完成并建立完成PPPPPP會(huì)話會(huì)話. .5.5.用戶上線用戶上線, ,可以訪問可以訪問internet,internet,同時(shí)同時(shí)BRASBRAS通知通知RADIUSRADIUS服務(wù)器進(jìn)行計(jì)費(fèi)服務(wù)器進(jìn)行計(jì)費(fèi). .Page Page 3131配置虛模板配置虛模板創(chuàng)建創(chuàng)建VTVT接口接口ME60interface virtual-Template 1ME60interface virtual-Template 1設(shè)置設(shè)置PPPPPP驗(yàn)證方式驗(yàn)證方式ME60-virtual-Tem

35、plate1ppp authentication-mode pppME60-virtual-Template1ppp authentication-mode ppp* *1.VT1.VT接口主要是用來對報(bào)文的接口主要是用來對報(bào)文的PPPPPP協(xié)議層來進(jìn)行處理的協(xié)議層來進(jìn)行處理的, ,使以太網(wǎng)接口可以使以太網(wǎng)接口可以接收接收PPPPPP幀幀. .* *2.2.對于對于PPPPPP的驗(yàn)證方式可以設(shè)置為的驗(yàn)證方式可以設(shè)置為PPP,PPP,也可以設(shè)置為也可以設(shè)置為CHAP.CHAP.Page Page 3232配置地址池配置地址池創(chuàng)建名稱為創(chuàng)建名稱為pool1pool1的本地地址池的本地地址池ME60

36、ip pool pool1 localME60ip pool pool1 local配置地址池網(wǎng)關(guān)配置地址池網(wǎng)關(guān)ME60-ip-pool-pool1gateway 24ME60-ip-pool-pool1gateway 24配置地址段配置地址段, ,一個(gè)地址池可支持一個(gè)地址池可支持255255個(gè)段個(gè)段ME60-ip-pool-pool1section 0 00ME60-ip-pool-pool1section 0 00配置配置DNS,DNS,可以配置多個(gè)可以配置多個(gè)D

37、NS.DNS.ME60-ip-pool-pool1dns-server 3ME60-ip-pool-pool1dns-server 3* *1.1.查看地址池配置查看地址池配置 display ip pool name pool1display ip pool name pool1* *2.2.配置多個(gè)配置多個(gè)DNS dns-server 3 secondaryDNS dns-server 3 secondary* *3.3.配置遠(yuǎn)端地址池則為配置遠(yuǎn)端地址池則為ip pool pool1 remot

38、edhcp ip pool pool1 remotedhcp 并創(chuàng)建并創(chuàng)建DHCPDHCP服務(wù)器服務(wù)器組組, , 指定指定DHCP server.DHCP server.Page Page 3333ME60域概念介紹域概念介紹認(rèn)證前默認(rèn)域認(rèn)證前默認(rèn)域(default-domain pre-authentication)(default-domain pre-authentication)認(rèn)證默認(rèn)域認(rèn)證默認(rèn)域(default-domain authentication)(default-domain authentication)認(rèn)證域認(rèn)證域(authentication domain)(aut

39、hentication domain)系統(tǒng)的三個(gè)默認(rèn)域系統(tǒng)的三個(gè)默認(rèn)域Default0 Default0 默認(rèn)策略是不認(rèn)證不計(jì)費(fèi)默認(rèn)策略是不認(rèn)證不計(jì)費(fèi)Default1 Default1 默認(rèn)策略是默認(rèn)策略是radiusradius認(rèn)證認(rèn)證radiusradius計(jì)費(fèi)計(jì)費(fèi)Default_admin Default_admin 默認(rèn)策略是默認(rèn)策略是radiusradius認(rèn)證認(rèn)證, ,不計(jì)費(fèi)不計(jì)費(fèi)Page Page 3434配置配置BRAS接口接口ME60interface gigabitethernet4/0/1ME60interface gigabitethernet4/0/1以太網(wǎng)無法終結(jié)以

40、太網(wǎng)無法終結(jié)PPPOEPPPOE會(huì)話會(huì)話, ,所以要綁定虛模板終結(jié)所以要綁定虛模板終結(jié)PPPOEPPPOE會(huì)話會(huì)話. .ME60-gigabitethernet4/0/1pppoe-server bind virtual-template 1ME60-gigabitethernet4/0/1pppoe-server bind virtual-template 1進(jìn)入進(jìn)入BRASBRAS接口視圖接口視圖ME60-gigabitethernet4/0/1basME60-gigabitethernet4/0/1bas配置用戶接入方式為二層用戶接入配置用戶接入方式為二層用戶接入ME60-gigabit

41、ethernet4/0/1-basaccess-type layer2-subscriberME60-gigabitethernet4/0/1-basaccess-type layer2-subscriber配置用戶認(rèn)證后的所屬域配置用戶認(rèn)證后的所屬域ME60-gigabitethernet4/0/1-basdefault-domain authentication abcME60-gigabitethernet4/0/1-basdefault-domain authentication abc配置認(rèn)證方式配置認(rèn)證方式ME60-gigabitethernet4/0/1-basauthentic

42、ation-method pppME60-gigabitethernet4/0/1-basauthentication-method ppp* *查看具體查看具體BRASBRAS接口配置接口配置 display bas-interface gigabitethernet 4/0/1display bas-interface gigabitethernet 4/0/1Page Page 3535PPPOEofVlan特殊配置特殊配置創(chuàng)建子接口創(chuàng)建子接口ME60interface gigabitethernet4/0/1.1ME60interface gigabitethernet4/0/1.1將

43、用戶所屬將用戶所屬VLANVLAN綁定到子接口綁定到子接口ME60-gigabitethernet4/0/1.1 uservlan 2 3ME60-gigabitethernet4/0/1.1 uservlan 2 3把虛模板綁定到子接口把虛模板綁定到子接口ME60-gigabitethernet4/0/1.1pppoe-server bind virtual-template 1ME60-gigabitethernet4/0/1.1pppoe-server bind virtual-template 1* *1.1.若需要配置若需要配置QINQQINQ，則在子接口下配置，則在子接口下配置VL

44、ANVLAN時(shí)，輸入時(shí)，輸入QINQ 100 VLAN 2 3QINQ 100 VLAN 2 3* *2. PPPOEofVlan BRAS2. PPPOEofVlan BRAS接口配置同樣需要進(jìn)入子接口配置。接口配置同樣需要進(jìn)入子接口配置。IPoX接入業(yè)務(wù)是一種接入認(rèn)證業(yè)務(wù)。在普通IPoX接入業(yè)務(wù)中，用戶通過以太網(wǎng)、ADSL等方式接入，通過配置固定IP地址或者DHCP方式動(dòng)態(tài)獲取IP地址，通過Web認(rèn)證、快速認(rèn)證或綁定認(rèn)證方法進(jìn)行身份驗(yàn)證。09/portalPage Page 3636Page Page 37373.2 IP業(yè)務(wù)配置流程圖及業(yè)務(wù)流程業(yè)務(wù)配置

45、流程圖及業(yè)務(wù)流程1.1.客戶端向客戶端向DHCPDHCP服務(wù)器服務(wù)器IPIP地址獲取請求。地址獲取請求。2.DHCP2.DHCP收到請求后收到請求后, ,根據(jù)認(rèn)證前域分配給用戶根據(jù)認(rèn)證前域分配給用戶IPIP。3.3.客戶端訪問客戶端訪問WEB SERVERWEB SERVER并輸入用戶名密碼驗(yàn)證。并輸入用戶名密碼驗(yàn)證。4.WEB4.WEB服務(wù)器把用戶名和密碼傳送給服務(wù)器把用戶名和密碼傳送給ME60ME60。5.ME605.ME60把用戶和明碼傳送給把用戶和明碼傳送給RADIUSRADIUS服務(wù)器認(rèn)證。服務(wù)器認(rèn)證。6.RADIUS6.RADIUS服務(wù)器把認(rèn)證結(jié)果反饋給服務(wù)器把認(rèn)證結(jié)果反饋給ME6

46、0ME60。7.7.認(rèn)證通過后，客戶端可以訪問認(rèn)證通過后，客戶端可以訪問internetinternet。Page Page 3838IPOE接入配置流程（以接入配置流程（以web認(rèn)證為例）認(rèn)證為例）1.1. 配置認(rèn)證、計(jì)費(fèi)策略。配置認(rèn)證、計(jì)費(fèi)策略。2.2. 配置配置RADIUSRADIUS服務(wù)器組。服務(wù)器組。3.3. 配置配置IPIP地址池。地址池。4.4. 配置認(rèn)證前域。配置認(rèn)證前域。5.5. 配置認(rèn)證域。配置認(rèn)證域。6.6. 配置配置WEBWEB認(rèn)證服務(wù)器。認(rèn)證服務(wù)器。7.7. 配置配置ACLACL。8.8. 配置配置BRASBRAS接口。接口。Page Page 3939配置認(rèn)證前域配

47、置認(rèn)證前域aaa http-redirect enable domain pre-web -認(rèn)證前域認(rèn)證前域 authentication-scheme default0 accounting-scheme default0 user-group jxjgj web-server 4 web-server url 4* * aaa aaa下使能訪問下使能訪問httphttp頁面重定向功能。頁面重定向功能。Page Page 4040配置配置ACL-用戶組配置用戶組配置創(chuàng)建創(chuàng)建ACL 6000,用戶的用戶的ACL為為6000-9999a

48、cl number 6001 -創(chuàng)建規(guī)則創(chuàng)建規(guī)則,只允許只允許jxjgj訪問訪問WEB、DNS等服務(wù)器等服務(wù)器 rule permit ip source user-group jxjgj destination ip-address xxxx 0 rule permit ip source user-group jxjgj destination ip-address yyyy 0 acl number 6002 -用戶訪問其他用戶訪問其他http資源都強(qiáng)推頁面資源都強(qiáng)推頁面 rule permit tcp source user-group jxjgj destination-port e

49、q www rule permit tcp source user-group jxjgj destination-port eq 8080 rule permit ip source user-group jxjgj （tip？）？）Tip Tip * *當(dāng)用戶訪問非當(dāng)用戶訪問非httphttp資源（如資源（如FTPFTP）時(shí)命中這條規(guī)則，流動(dòng)作是）時(shí)命中這條規(guī)則，流動(dòng)作是http-redirecthttp-redirect的情況下會(huì)做的情況下會(huì)做denydeny處理處理Page Page 4141配置配置ACL-流分配器配置流分配器配置創(chuàng)建流名稱為創(chuàng)建流名稱為permitpermit的流分

50、類器的流分類器traffic classifier permit operator or traffic classifier permit operator or 配置此分類器的匹配條件配置此分類器的匹配條件 if-match acl 6001 if-match acl 6001配置配置redirectredirect流分類器流分類器traffic classifier redirect operator ortraffic classifier redirect operator or if-match acl 6002 if-match acl 6002Page Page 4242配置配

51、置ACL-匹配流分類策略配置匹配流分類策略配置創(chuàng)建流分類動(dòng)作創(chuàng)建流分類動(dòng)作redirectredirecttraffic behavior redirecttraffic behavior redirect匹配的流行為為匹配的流行為為redirectredirect http-redirect http-redirect創(chuàng)建流分類動(dòng)作創(chuàng)建流分類動(dòng)作permitpermittraffic behavior permittraffic behavior permit匹配的流行為為匹配的流行為為permitpermit用戶重定向到認(rèn)證頁面進(jìn)行用戶認(rèn)證，只有用戶重定向到認(rèn)證頁面進(jìn)行用戶認(rèn)證，只有httphttp報(bào)文被處理，其余報(bào)文被丟棄。報(bào)文被處理，其余報(bào)文被丟棄。http-redirecthttp-redirect只對只對MSUF-21/BSUF-21MSUF-21/BSUF-21、MSUF-40/BSUF-40MSUF