ME多業(yè)務(wù)控制網(wǎng)關(guān)產(chǎn)品簡介

中國鐵通

ME60多業(yè)務(wù)控制網(wǎng)關(guān)產(chǎn)品簡介Page0一、ME60產(chǎn)品簡介1、ME60功能概述2、ME60產(chǎn)品類型3、ME60結(jié)構(gòu)及槽位 4、ME60主要單板 Page11、ME60功能概述 IP網(wǎng)絡(luò)正處于向有機(jī)地集成在一起，克服了傳統(tǒng)防火墻等設(shè)備無法適應(yīng)電信級運(yùn)營需求的缺陷，實(shí)現(xiàn)智能化的電信級IP承載網(wǎng)轉(zhuǎn)型的過程中，核心網(wǎng)邊緣設(shè)備的智能化是實(shí)現(xiàn)網(wǎng)絡(luò)轉(zhuǎn)型的關(guān)鍵。核心網(wǎng)邊緣設(shè)備必須從簡單的IP轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)型為智能化的多業(yè)務(wù)控制網(wǎng)關(guān)，以支持3G、NGN和IPTV等電信業(yè)務(wù)的開展。HUAWEIME60正是為滿足這一轉(zhuǎn)型需求而開發(fā)的智能化多業(yè)務(wù)控制網(wǎng)關(guān)設(shè)備，可充分保證各項(xiàng)電信業(yè)務(wù)的安全性、可靠性和QoS?；贛E60及相應(yīng)的解決方案，運(yùn)營商可以構(gòu)建智能化的電信級IP承載網(wǎng)，實(shí)現(xiàn)IP網(wǎng)絡(luò)的轉(zhuǎn)型，將傳統(tǒng)電信業(yè)務(wù)向新網(wǎng)絡(luò)遷移。ME60將用戶管理、安全控制、業(yè)務(wù)控制等各種功能了用戶級的管理和控制，可大幅降低運(yùn)營成本，為電信業(yè)務(wù)運(yùn)營提供基礎(chǔ)平臺。ME60通過業(yè)務(wù)層與承載層的關(guān)聯(lián)，實(shí)現(xiàn)對各類業(yè)務(wù)的用戶鑒別、呼叫控制、策略控制、QoS保障、安全保障等功能。Page2ME60包括五款產(chǎn)品類型：ME60-X16、ME60-X8、ME60-X3、ME60-16和ME60-8。ME60-X16ME60-X82、ME60產(chǎn)品類型系統(tǒng)容量：交換容量640Gbps、接口容量320Gbps。轉(zhuǎn)發(fā)性能：400Mpps端口密度：16x10Gbps系統(tǒng)結(jié)構(gòu)：雙主控?zé)醾浞?；網(wǎng)板1+3冗余備份；電源、風(fēng)扇1+1熱備份ME60-16設(shè)備參數(shù)備注：ME60-8相關(guān)參數(shù)均為ME60-16的1/2。Page33、ME60結(jié)構(gòu)及槽位 MPU（主控板）：槽位17、18。主備冗余SFU（交換網(wǎng)板）：槽位19-22。1+3冗余LPU（業(yè)務(wù)板）：槽位1-16。LPU可以是BSU、ESU、TSU或SSU。Page44、ME60主要單板 MPU：ME60-16主控板，完成系統(tǒng)的管理和控制平面的多數(shù)功能。SFU：交換網(wǎng)，分SFUA和SFUB兩種。BSU：寬帶業(yè)務(wù)單元，提供用戶接入和各種VPN業(yè)務(wù)。提供10GE接口。ESU：企業(yè)業(yè)務(wù)單元，提供路由和各類VPN業(yè)務(wù)。提供10GE，10GPOS,4*2.5GPOS接口。TSU：隧道業(yè)務(wù)單元，提供GRE和LNS/LTS隧道相關(guān)業(yè)務(wù)。SSU：安全業(yè)務(wù)單元，提供狀態(tài)防火墻和NAT/ALG功能。Page55、ME60邏輯架構(gòu) Page6二、ME60產(chǎn)品特性1、ME60以太網(wǎng)接口特性2、寬帶接入業(yè)務(wù)特性3、典型組網(wǎng)應(yīng)用 Page71、ME60以太網(wǎng)接口特性GE接口支持流量控制和速率自協(xié)商。最多可捆綁16個物理以太網(wǎng)端口，捆綁后的ETH-TRUNK功能與普通口一致。支持不同單板的端口捆綁到同一個ETH-TRUNK。支持主備工作模式，能夠根據(jù)接口鏈路狀態(tài)自動進(jìn)行主備切換。支持跨設(shè)備的E-TRUNK。支持LACP,聚合條件發(fā)生改變時，自動調(diào)整或解散聚合。支持IPV4、IPV6和MPLS的MTU配置。Page82、ME60寬帶接入業(yè)務(wù)特性用戶接入：xDSL，Ethernet,WLAN，HFC,ipv4，ipv4/ipv6雙棧接入接入和認(rèn)證：PPP、DHCP、WEB、AAA 授權(quán):bandwidth,ACL,Priority,RoutingPolicy,DSS動態(tài)業(yè)務(wù)選擇安全:通過VLAN和VPN隔離用戶,綁定檢查VLAN:4kVLAN端口;64kQinQ端口.PVC:64Kpvc端口.ISP/用戶域:1K.Page93、ME60典型組網(wǎng)應(yīng)用1.用戶管理理:用戶按域域管理。認(rèn)證證時，通過域域的配置進(jìn)行行控制。包括括認(rèn)證計費(fèi)策策略，帶寬控控制參數(shù)，訪訪問權(quán)限，優(yōu)優(yōu)先級。3.PUPV:標(biāo)示并定定位用戶。2.接入認(rèn)證證：PPP撥撥號認(rèn)證、802.1認(rèn)認(rèn)證、web認(rèn)證、端口口綁定認(rèn)證、、快速web認(rèn)證。。Page10三、RADIUS特性與與實(shí)現(xiàn)1、RADIUS特性概概述2、ME60RADIUS特性實(shí)實(shí)現(xiàn)3、ME60RADIUS特性規(guī)規(guī)格Page111.1RADIUS特特性概述RADIUS:RemoteAuthenticationDailInUserService定義了NAS與服務(wù)器的的交互報文格格式和交互過過程，實(shí)現(xiàn)用用戶上線過程程中的認(rèn)證、、計費(fèi)、授權(quán)權(quán)功能。采用C/S模模型，NAS作為RADIUS服務(wù)務(wù)器的客戶端端，發(fā)起用戶戶的認(rèn)證、計計費(fèi)請求。RADIUS采用MD5算法對用戶戶口令加密及及驗(yàn)證數(shù)字簽簽名。RADIUS報文采用TLV格式，，有較好的靈靈活擴(kuò)展性。。Page121.2RADIUS特特性功能RADIUS實(shí)現(xiàn)了以下下功能:用戶上線過程程中的認(rèn)證功功能。用戶上線過程程中的計費(fèi)功功能，以及用用戶在線時的的實(shí)時計費(fèi)功功能。用戶上線過程程中直接對用用戶進(jìn)行授權(quán)權(quán)用戶在線過程程中的動態(tài)授授權(quán)。使指定用戶下下線的功能，，即DM（DisconnectMessage）。Page131.3RADIUS協(xié)協(xié)議交互流程程用戶輸入用戶戶名密碼認(rèn)證請求包Access-request認(rèn)證接受包Access-accept(可同同時授權(quán))計費(fèi)開始請求求包Accting-request計費(fèi)開始響應(yīng)應(yīng)包Accting-responseRADIUS服務(wù)器ME60Page141.3RADIUS協(xié)協(xié)議交互流程程用戶訪問網(wǎng)絡(luò)絡(luò)資源實(shí)時計費(fèi)請求求包Accting-request實(shí)時計費(fèi)請求求響應(yīng)包Accting-response授權(quán)包Coa-request授權(quán)回應(yīng)包Coa-responseRADIUS服務(wù)器ME60Page151.3RADIUS協(xié)協(xié)議交互流程程通知訪問結(jié)束束計費(fèi)結(jié)束請求求包Accting-request（Stop）計費(fèi)結(jié)束請求求響應(yīng)包Accting-responseRADIUS服務(wù)器ME60Page162.1RADIUS典典型應(yīng)用場景景PCAccessNetwork路由器InternetRADIUS服務(wù)器（主主）RADIUS服務(wù)器（備備）Page172.2山東東鐵通RADIUS部署署架構(gòu)圖Page182.3RADIUS服服務(wù)器選擇策策略服務(wù)器狀態(tài)控控制策略。主備方式下的的服務(wù)器選擇擇策略。負(fù)載均衡方式式下的服務(wù)器器選擇策略。。（權(quán)重值））Page192.4RADIUS配配置思路2、配置RADIUS服服務(wù)器及選擇擇算法。4、配置域，，域下引用認(rèn)認(rèn)證、計費(fèi)模模板、RADIUS服務(wù)務(wù)器。1、在路由器器上配置認(rèn)證證模板和計費(fèi)費(fèi)模板。3、配置RADIUS認(rèn)認(rèn)證、計費(fèi)服服務(wù)器和端口口。Page202.4RADIUS配配置思路[ME60]aaa[ME60-aaa]authentication-schemeauth1\\創(chuàng)建建名為auth1的認(rèn)證證方案[ME60-aaa-authen-auth1]authentication-moderadius\\設(shè)置認(rèn)認(rèn)證模式[ME60-aaa-authen-auth1]quit[ME60-aaa]accounting-schemeacct1\\創(chuàng)建建名為acct1的計費(fèi)費(fèi)方案[ME60-aaa-accounting-acct1]accounting-moderadius\\設(shè)置計計費(fèi)模式[ME60-aaa-accounting-acct1]quit[ME60-aaa]quit1、、在在路路由由器器上上配配置置認(rèn)認(rèn)證證模模板板和和計計費(fèi)費(fèi)模模板板。。1、、在在路路由由器器上上配配置置認(rèn)認(rèn)證證模模板板和和計計費(fèi)費(fèi)模模板板。。Page212.4RADIUS配配置置思思路路[ME60]radius-servergroupcttsd\\創(chuàng)創(chuàng)建建radius服服務(wù)務(wù)器器組組[ME60-radius-cttsd]radius-serveralgorithmmaster-backup\\設(shè)設(shè)置置算算法法2、、配配置置RADIUS服服務(wù)務(wù)器器及及選選擇擇算算法法。。3、、配配置置RADIUS認(rèn)認(rèn)證證、、計計費(fèi)費(fèi)服服務(wù)務(wù)器器和和端端口口。。[ME60-radius-cttsd]radius-serverauthentication129.7.66.661812[ME60-radius-cttsd]radius-serveraccounting129.7.66.661813[ME60-radius-cttsd]radius-serverauthentication129.7.66.661812[ME60-radius-cttsd]radius-serveraccounting129.7.66.661813*對對于于radius的的認(rèn)認(rèn)證證計計費(fèi)費(fèi)端端口口,有有兩兩組組端端口口,一一組組為為1812和和1813,另另一一組組是是1645和和1646.radius的的認(rèn)認(rèn)證證和和計計費(fèi)費(fèi)服服務(wù)務(wù)器器通通常常是是在在一一組組服服務(wù)務(wù)器器上上。。Page222.4RADIUS配配置置思思路路4、、配配置置域域，，域域下下引引用用認(rèn)認(rèn)證證、、計計費(fèi)費(fèi)模模板板、、RADIUS服服務(wù)務(wù)器器。。[ME60]aaa[ME60-aaa]domainabc[ME60-aaa-domain-abc]authentication-schemeauth1\\域域的的認(rèn)認(rèn)證證方方式式關(guān)關(guān)聯(lián)聯(lián)[ME60-aaa-domain-abc]accounting-schemeacct1\\域域的的計計費(fèi)費(fèi)方方式式關(guān)關(guān)聯(lián)聯(lián)[ME60-aaa-domain-abc]radius-servergroupcttsd\\域域與與radius組組關(guān)關(guān)聯(lián)聯(lián)[ME60-aaa-domain-abc]ip-poolpool1\\域域與與地地址址池池關(guān)關(guān)聯(lián)聯(lián)[ME60-aaa-domain-abc]quit[ME60-aaa]quitPage232.4RADIUS定定位位方方法法2、、檢檢查查ME60和和RADIUS服服務(wù)務(wù)器器兩兩端端配配置置是是否否一一致致。。4、、檢檢查查RADIUS服服務(wù)務(wù)器器是是否否負(fù)負(fù)荷荷過過重重，，造造成成處處理理報報文文時時間間比比較較長長。?？梢砸允故褂糜胐isplayradiusstatisticspacket命命令令檢檢查查ME60的的收收發(fā)發(fā)報報文文計計數(shù)數(shù)，，如果發(fā)送送遠(yuǎn)大于于接收的的計數(shù)，，那么可可能是RADIUS服服務(wù)器負(fù)負(fù)荷過大大無響應(yīng)應(yīng)。1、通過過PING命令令測試設(shè)設(shè)備到RADIUS服服務(wù)器是是否可達(dá)達(dá)。3、檢查查RADIUS服務(wù)器器上是否否添加了了ME60的NAS-IP-ADDRESS。5、檢查查ME60到RADIUS鏈鏈路質(zhì)量量是否較較差，造造成報文文時延較較大，對對于這種種情況，，需要優(yōu)優(yōu)化網(wǎng)絡(luò)絡(luò)質(zhì)量。。在緊急急情況下下，可以以在ME60上上延長等等待RADIUS服務(wù)務(wù)器響應(yīng)應(yīng)的時時間。。如果步步驟4中中查出的的報文計計數(shù)差距距基本一一樣，則則可能是是網(wǎng)絡(luò)質(zhì)質(zhì)量差，，收到回回應(yīng)時已已經(jīng)超時時。[ME60-radius-cttsd]radius-servertimeout10Page242.5RADIUS定位常常用命令令1、displayradius-serverconfiguration使用該命命令檢查查radius服務(wù)器器的狀態(tài)態(tài)是UP還是DOWN。2、displayradius-attribute查看設(shè)備備支持的的radius屬性。。3、test-aaauser1@abc123radius-groupcttsd該命令可可模擬用用戶上線線，測試試ME60到radius服服務(wù)器之之間的radius協(xié)協(xié)議是否否正常常運(yùn)行。。4、trace，可以以根據(jù)五五元組的的組合進(jìn)進(jìn)行trace，五元元組包括括CEVLAN、PEVLAN、接口、IP地地址、MAC地地址。例如：<ME60>traceaccess-userobeject1interfacegigabitethernet3/1/0.Page25三、ME60業(yè)業(yè)務(wù)配置置1、ME60PPP業(yè)務(wù)配配置2、ME60IP業(yè)業(yè)務(wù)配置置3、ME60L2TP業(yè)務(wù)務(wù)配置Page263.1PPP業(yè)務(wù)配配置流程程及業(yè)務(wù)務(wù)流程1.客戶戶端向BRAS發(fā)起PPP會會話請求求。2.BRAS收收到請求求后把用用戶名密密碼發(fā)給給radius服務(wù)器器進(jìn)行認(rèn)認(rèn)證。3.RADIUS服務(wù)務(wù)器把認(rèn)認(rèn)證結(jié)果果反饋給給BRAS。4.認(rèn)證證通過后后,BRAS根根據(jù)用戶戶所在域域的配置置地址池池分配給給用戶IP地址址,并建建立完成成PPP會話.5.用戶戶上線,可以訪訪問internet,同時時BRAS通知知RADIUS服務(wù)器器進(jìn)行計計費(fèi).Page27配置虛模模板\\創(chuàng)建建VT接接口[ME60]interfacevirtual-Template1\\設(shè)置置PPP驗(yàn)證方方式[ME60-virtual-Template1]pppauthentication-modeppp*1.VT接口口主要是是用來對對報文的的PPP協(xié)議層層來進(jìn)行行處理的的,使以以太網(wǎng)接接口可以以接收PPP幀幀.*2.對對于PPP的驗(yàn)驗(yàn)證方式式可以設(shè)設(shè)置為PPP,也可以以設(shè)置為為CHAP.Page28配置地址址池\\創(chuàng)建建名稱為為pool1的的本地地地址池[ME60]ippoolpool1local\\配置置地址池池網(wǎng)關(guān)[ME60-ip-pool-pool1]gateway172.15.1.124\\配置地址址段,一個地地址池可支持持255個段段[ME60-ip-pool-pool1]section0172.15.1.2172.15.1.200\\配置DNS,可以配配置多個DNS.[ME60-ip-pool-pool1]dns-server61.233.154.33*1.查看地地址池配置displayippoolnamepool1*2.配置多多個DNSdns-server61.233.154.33secondary*3.配置遠(yuǎn)遠(yuǎn)端地址池則則為ippoolpool1remotedhcp并創(chuàng)建DHCP服務(wù)務(wù)器組,指指定DHCPserver.Page29ME60域概概念介紹認(rèn)證前默認(rèn)域域(default-domainpre-authentication)認(rèn)證默認(rèn)域(default-domainauthentication)認(rèn)證域(authenticationdomain)系統(tǒng)的三個默默認(rèn)域Default0默默認(rèn)策略是不不認(rèn)證不計費(fèi)費(fèi)Default1默默認(rèn)策略是radius認(rèn)證radius計費(fèi)費(fèi)Default_admin默默認(rèn)策略是radius認(rèn)證,不計計費(fèi)Page30配置BRAS接口[ME60]interfacegigabitethernet4/0/1\\以太網(wǎng)無無法終結(jié)PPPOE會話話,所以要綁綁定虛模板終終結(jié)PPPOE會話.[ME60-gigabitethernet4/0/1]pppoe-serverbindvirtual-template1\\進(jìn)入BRAS接口視視圖[ME60-gigabitethernet4/0/1]bas\\配置用戶戶接入方式為為二層用戶接接入[ME60-gigabitethernet4/0/1-bas]access-typelayer2-subscriber\\配置用戶戶認(rèn)證后的所所屬域[ME60-gigabitethernet4/0/1-bas]default-domainauthenticationabc\\配置認(rèn)證證方式[ME60-gigabitethernet4/0/1-bas]authentication-methodppp*查看具體BRAS接口口配置displaybas-interfacegigabitethernet4/0/1Page31PPPOEofVlan特殊配置\\創(chuàng)建子接接口[ME60]interfacegigabitethernet4/0/1.1\\將用戶所所屬VLAN綁定到子接接口[ME60-gigabitethernet4/0/1.1]uservlan23\\把虛模板板綁定到子接接口[ME60-gigabitethernet4/0/1.1]pppoe-serverbindvirtual-template1*1.若需要要配置QINQ，則在子子接口下配置置VLAN時時，輸入QINQ100VLAN23*2.PPPOEofVlanBRAS接接口配置同樣樣需要進(jìn)入子子接口配置。。Page323.2IP業(yè)務(wù)配置流流程圖及業(yè)務(wù)務(wù)流程1.客戶端向向DHCP服服務(wù)器IP地地址獲取請求求。2.DHCP收到請求后后,根據(jù)認(rèn)證證前域分配給給用戶IP。。3.客戶端訪訪問WEBSERVER并輸入用用戶名密碼驗(yàn)驗(yàn)證。4.WEB服服務(wù)器把用戶戶名和密碼傳傳送給ME60。5.ME60把用戶和明明碼傳送給RADIUS服務(wù)器認(rèn)證證。6.RADIUS服務(wù)器器把認(rèn)證結(jié)果果反饋給ME60。7.認(rèn)證通過過后，客戶端端可以訪問internet。Page33IPOE接入入配置流程配置認(rèn)證、計計費(fèi)策略。配置RADIUS服務(wù)器器組。配置IP地址址池。配置認(rèn)證前域域。配置認(rèn)證域。。配置WEB認(rèn)認(rèn)證服務(wù)器。。配置ACL。。配置BRAS接口。Page34配置WEB服服務(wù)器*web服務(wù)務(wù)器建立WEB頁面進(jìn)行行用戶名密碼碼。*配置源端口口命令可選。。\\配置WEB認(rèn)證服務(wù)務(wù),WEB服服務(wù)器與ME60之間采采用PORTAL協(xié)議.[ME60]web-auth-serverX.X.X.Xkeywebvlan\\配置PORTAL協(xié)協(xié)議版本[ME60]web-auth-serverversionV2\\配置與WEB服務(wù)器器交互的源端端口.[ME60]web-auth-serversourceinterfacegigabitethernet4/0/0Page35配置認(rèn)證前域域[ME60-aaa]domainpre-isp1[ME60-aaa-domain-pre-isp1]authentication-schemedefault0[ME60-aaa-domain-pre-isp1]accounting-schemedefault0[ME60-aaa-domain-pre-isp1]ip-poolpool1[ME60-aaa-domain-pre-isp1]quit[ME60-aaa]quit*通過認(rèn)證前前域分配給用用戶IP地址址,訪問web服務(wù)器.Page36配置ACL-用戶組配置置\\創(chuàng)建ACL6000,用戶的的ACL為6000-9999[ME60]acl6000\\創(chuàng)建規(guī)則則,禁止user-groupcttsd訪訪問任何地址址[ME60-acl-ucl-6000]ruledenyipsourceuser-groupcttsd\\創(chuàng)建ACL6001[ME60]acl6001\\創(chuàng)建規(guī)則則,只允許cttsd訪訪問WEB服服務(wù)器[ME60-acl-ucl-6001]rulepermitipsourceuser-groupcttsddestinationipaddressx.x.x.x0\\創(chuàng)建規(guī)則則,只允許cttsd訪訪問DNS服服務(wù)器[ME60-acl-ucl-6001]rulepermitipsourceuser-groupcttsddestinationipaddress61.233.154.330Page37配置ACL-流分配器配配置\\創(chuàng)建流名名稱為C1的的流分類器[ME60]trafficclassifierC1\\配置此分分類器的匹配配條件[ME60-classifier-C1]if-matchacl6000\\配置C2流分類器[ME60]trafficclassifierC2[ME60-classifier-C2]if-matchacl6001Page38配置ACL-匹配流分類類策略配置\\創(chuàng)建流分分類動作deny1[ME60]trafficbehaviordeny1\\匹配的流流行為為deny[ME60-behavior-deny1]deny\\創(chuàng)建流分分類動作permit1[ME60]trafficbehaviorpermit1\\匹配的流流行為為permit[ME60-behavior-permit1]permitPage39配置ACL-流控策略配配置\\創(chuàng)建流量量策略action1[ME60]trafficpolicyaction1\\把策略和和流分類器和和流量行為綁綁定.一個策策略只能包含含一種行為.[ME60-trafficpolicy-action1]classifierC2behaviorpermit1[ME60-trafficpolicy-action1]classifierC1behaviordeny1\\把策略在在全局下發(fā).[ME60]traffic-policyaction1global*在第二步中中,存在優(yōu)先先匹配順序,即先C2后后C1Page40配置BRAS接口[ME60]interfacegigabitethernet4/0/1\\進(jìn)入BRAS接口視視圖[ME60-gigabitethernet4/0/1]bas\\配置用戶戶接入方式為為二層用戶接接入[ME60-gigabitethernet4/0/1-bas]access-typelayer2-subscriber\\配置用戶戶認(rèn)證后的所所屬域?yàn)閍bc，認(rèn)證前前域?qū)儆趐re-isp1[ME60-gigabitethernet4/0/1-bas]default-domainpre-authenticationpre-isp1authenticationabc\\配置認(rèn)證證方式[ME60-gigabitethernet4/0/1-bas]authentication-methodwebPage41靜態(tài)用戶特殊殊配置步驟[ME60-ip-pool-pool1]excluded-ip-address172.15.1.2靜態(tài)用戶也需需要配置認(rèn)證證策略計費(fèi)策策略，也要配配置域信息。。配置靜態(tài)用戶戶必須配置地地址池，并將將相應(yīng)的地址址從地址池中中除去。要在相應(yīng)的用用戶認(rèn)證前域域中引用地址址池。\\創(chuàng)建靜態(tài)態(tài)用戶[ME60]static-user172.15.1.2interfacegigabitethernet4/0/1.1vlan2domain-namedefault0detect靜態(tài)用戶在子子接口下添加加必須帶上vlan。配置靜態(tài)用戶戶必須先配置置BAS接口口，然后才能能添加靜態(tài)用用戶。Page423.3L2TP業(yè)務(wù)概概述L2TP:提提供了對PPP鏈路層數(shù)數(shù)據(jù)包的隧道道（Tunnel）傳輸輸支持，允許許二層鏈路端端點(diǎn)和PPP會話點(diǎn)駐留留在不同設(shè)備備上，并采用用包交換技術(shù)術(shù)進(jìn)行信息交交互，從而擴(kuò)擴(kuò)展了PPP模型。特點(diǎn)：靈活的身份驗(yàn)驗(yàn)證機(jī)制和高高度的安全性性多協(xié)議傳輸支持radius服務(wù)器器的驗(yàn)證支持內(nèi)部地址址分配網(wǎng)絡(luò)計費(fèi)的靈靈活性可靠性VPDN:指指利用公共網(wǎng)網(wǎng)絡(luò)（ISDN和PSTN)的撥號號功能和接入入網(wǎng)來實(shí)現(xiàn)虛虛擬專用網(wǎng)，，為企業(yè)、小小型ISP、、移動辦公人人員提供接入入服務(wù)。VPDN采用專專用的網(wǎng)絡(luò)加加密通信協(xié)議議，在公共網(wǎng)網(wǎng)絡(luò)上建立安安全的虛擬專專網(wǎng)。當(dāng)前應(yīng)應(yīng)用最廣泛的的是L2TP。Page43L2TP名詞詞解釋LAC:L2TP訪問集集中器（L2TPAccessConcentrator）交換網(wǎng)絡(luò)上有有PPP端系系統(tǒng)和L2TP處理能力力的設(shè)備。一一般為本地ISP接入設(shè)設(shè)備。LAC通過L2TP隧道道及ppp會會話與其他數(shù)數(shù)據(jù)流隔離。。LAC可為多多個VPN服服務(wù)。LAC位于LNS和遠(yuǎn)端端系統(tǒng)之間起起傳遞數(shù)據(jù)的的作用。NAS可以和和用戶合并為為一個LAC端點(diǎn)，也可可以直接作為為LAC端點(diǎn)點(diǎn)。LNS：L2TP網(wǎng)絡(luò)服服務(wù)器（L2TPNetworkServer）PPP會話接接收端，通過過LNS驗(yàn)證證，用戶可以以登錄私網(wǎng)，，訪問私網(wǎng)資資源。LAC對端設(shè)設(shè)備，是通過過LAC進(jìn)行行隧道傳輸?shù)牡腜PP會話話的邏輯終止止端點(diǎn)。位于私網(wǎng)公網(wǎng)網(wǎng)邊界，通常常是企業(yè)網(wǎng)關(guān)關(guān)設(shè)備，必要要時還兼有NAT功能。。LNS可以放放在企業(yè)總部部網(wǎng)絡(luò)中，也也可以為IP公共網(wǎng)絡(luò)的的PE。LNS必須啟啟用隧道單板板（TSU）），LAC則則無所謂。Page44L2TP隧道道模式示意圖圖Page45L2TP2種隧隧道模模式NAS-InitializedNAS-Initialized：由由遠(yuǎn)程程撥號號用戶戶發(fā)起起，遠(yuǎn)遠(yuǎn)程系系統(tǒng)通通過PSTN/ISDN撥撥入LAC，由由LAC通通過過Internet向向LNS發(fā)發(fā)起起建立立隧道道連接接請求求。撥撥號用用戶地地址由由LNS分分配配；對對遠(yuǎn)程程撥號號用戶戶的驗(yàn)驗(yàn)證與與計費(fèi)費(fèi)既可可由LAC側(cè)側(cè)的代代理完完成，，也可可在LNS完完成。。NAS-Initialized的特特點(diǎn)是是：用戶必必須采采用PPP方式式接入入到internet。。運(yùn)營商商接入入設(shè)備備需要要開通通相應(yīng)應(yīng)的vpn服務(wù)務(wù)。隧道分分別駐駐留在在LAC和和LNS之之間，，一個個隧道道可承承載多多個會會話。。用戶只只有私私網(wǎng)地地址。。Page46L2TP2種隧隧道模模式Client-InitializedClient-Initialized：：直接接由LAC客客戶（（指可可在本本地支支持L2TP協(xié)協(xié)議議的用用戶））發(fā)起起。此此時LAC客客戶可可直接接向LNS發(fā)發(fā)起隧隧道連連接請請求，，無需需再經(jīng)經(jīng)過一一個單單獨(dú)的的LAC設(shè)設(shè)備備。此此時，，LAC客客戶戶地址址的分分配由由LNS來來完完成。。Client-Initialized的的特點(diǎn)點(diǎn)是：：用戶必必須安安裝L2TP的的撥號號軟件件，可可以使使windows自自帶的的VPN撥撥號軟軟件。。用戶上上網(wǎng)的的方式式和地地點(diǎn)沒沒有限限制，，不需需要ISP接入入。隧道分分別駐駐留在在用戶戶側(cè)和和LNS之之間，，一個個隧道道只能能承載載一個個會話話。用戶可可以根根據(jù)自自己的的安全全性需需求對對參數(shù)數(shù)進(jìn)行行更改改。撥號獲獲取NAS分配配的公公網(wǎng)IP為為訪問問LNS對對外接接口。。若獲獲取內(nèi)內(nèi)網(wǎng)IP可可修改改路由由條目目。Page47LAC端配配置1.配配置虛虛模板板\\創(chuàng)創(chuàng)建虛虛模板板1[ME60-A]interfacevirtual-template1[ME60-A-virtual-template1]pppauthentication-modeppp*要與與LNS端端一致致[ME60-A-virtual-template1]quit\\在在接口口上綁綁定虛虛模板板1[ME60-A]interfacegigabitethernet4/0/1[ME60-A-gigabitethernet4/0/1]pppoe-serverbindvirtual-template1[ME60-A-gigabitethernet4/0/1]quitPage48LAC端配配置2.配配置radius服服務(wù)器器\\創(chuàng)創(chuàng)建radius服服務(wù)器器組radius1[ME60-A]radius-servergroupradius1[ME60-A-radius-radius1]radius-serverauthentication202.1.1.2491812[ME60-A-radius-radius1]radius-serveraccounting202.1.1.2491813[ME60-A-radius-radius1]radius-servertypestandard[ME60-A-radius-radius1]radius-servershard-keyhello[ME60-A-radius-radius1]quitPage49LAC端配配置3.配配置BAS接口口[ME60-A]interfacegigabitethernet4/0/1[ME60-A-gigabitethernet4/0/1]bas\\配配置接接入用用戶類類型為為二層層用戶戶[ME60-A-gigabitethernet4/0/1-bas]access-typelayer2-subscriber\\配配置默默認(rèn)域域--對于pppoe用戶戶如果果未帶帶域名名撥號號,則則視歸歸屬域域?yàn)榻咏涌谙孪履J(rèn)認(rèn)域[ME60-A-gigabitethernet4/0/1-bas]default-domainauthenticationisp1\\配配置用用戶接接入認(rèn)認(rèn)證方方式為為PPP認(rèn)認(rèn)證[ME60-A-gigabitethernet4/0/1-bas]authentication-methodpppPage50LAC端配配置4.配配置用用戶域域[ME60-A-aaa]domainisp1*該域域用戶戶一經(jīng)經(jīng)完成成認(rèn)證證,觸觸發(fā)隧隧道建建立.\\指指定域域的L2TP組組[ME60-A-aaa-domain-isp1]l2tplac*地址址池由由LNS提提供,創(chuàng)建建group后后引用用\\指指定域域的radius組組[ME60-A-aaa-domain-isp1]radius-serverradius1[ME60-A-aaa-domain-isp1]authentication-schemedefault1[ME60-A-aaa-domain-isp1]accounting-schemedefault1Page51LAC端端配置5.創(chuàng)建建L2TP組及及配置相相關(guān)屬性性\\使能能L2TP[ME60-A]L2TPenable\\配置置L2TP組[ME60-A]L2TP-grouplac\\配置置隧道名名[ME60-A-l2tp-lac]tunnelnamelac*LNS對應(yīng)配