ME60多業(yè)務(wù)控制網(wǎng)關(guān)產(chǎn)品簡(jiǎn)介

中國(guó)鐵通

ME60多業(yè)務(wù)控制網(wǎng)關(guān)產(chǎn)品簡(jiǎn)介Page0一、ME60產(chǎn)品簡(jiǎn)介1、ME60功能概述2、ME60產(chǎn)品類型3、ME60結(jié)構(gòu)及槽位 4、ME60主要單板 Page11、ME60功能概述 IP網(wǎng)絡(luò)正處于向有機(jī)地集成在一起，克服了傳統(tǒng)防火墻等設(shè)備無(wú)法適應(yīng)電信級(jí)運(yùn)營(yíng)需求的缺陷，實(shí)現(xiàn)智能化的電信級(jí)IP承載網(wǎng)轉(zhuǎn)型的過(guò)程中，核心網(wǎng)邊緣設(shè)備的智能化是實(shí)現(xiàn)網(wǎng)絡(luò)轉(zhuǎn)型的關(guān)鍵。核心網(wǎng)邊緣設(shè)備必須從簡(jiǎn)單的IP轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)型為智能化的多業(yè)務(wù)控制網(wǎng)關(guān)，以支持3G、NGN和IPTV等電信業(yè)務(wù)的開(kāi)展。HUAWEIME60正是為滿足這一轉(zhuǎn)型需求而開(kāi)發(fā)的智能化多業(yè)務(wù)控制網(wǎng)關(guān)設(shè)備，可充分保證各項(xiàng)電信業(yè)務(wù)的平安性、可靠性和QoS?；贛E60及相應(yīng)的解決方案，運(yùn)營(yíng)商可以構(gòu)建智能化的電信級(jí)IP承載網(wǎng)，實(shí)現(xiàn)IP網(wǎng)絡(luò)的轉(zhuǎn)型，將傳統(tǒng)電信業(yè)務(wù)向新網(wǎng)絡(luò)遷移。ME60將用戶管理、平安控制、業(yè)務(wù)控制等各種功能了用戶級(jí)的管理和控制，可大幅降低運(yùn)營(yíng)本錢，為電信業(yè)務(wù)運(yùn)營(yíng)提供根底平臺(tái)。ME60通過(guò)業(yè)務(wù)層與承載層的關(guān)聯(lián)，實(shí)現(xiàn)對(duì)各類業(yè)務(wù)的用戶鑒別、呼叫控制、策略控制、QoS保障、平安保障等功能。Page2ME60包括五款產(chǎn)品類型：ME60-X16、ME60-X8、ME60-X3、ME60-16和ME60-8。ME60-X16ME60-X82、ME60產(chǎn)品類型系統(tǒng)容量：交換容量640Gbps、接口容量320Gbps。轉(zhuǎn)發(fā)性能：400Mpps端口密度：16x10Gbps系統(tǒng)結(jié)構(gòu)：雙主控?zé)醾浞荩痪W(wǎng)板1+3冗余備份；電源、風(fēng)扇1+1熱備份ME60-16設(shè)備參數(shù)備注：ME60-8相關(guān)參數(shù)均為ME60-16的1/2。Page33、ME60結(jié)構(gòu)及槽位 MPU〔主控板〕：槽位17、18。主備冗余SFU〔交換網(wǎng)板〕：槽位19-22。1+3冗余LPU〔業(yè)務(wù)板〕：槽位1-16。LPU可以是BSU、ESU、TSU或SSU。Page44、ME60主要單板 MPU：ME60-16主控板，完成系統(tǒng)的管理和控制平面的多數(shù)功能。SFU：交換網(wǎng)，分SFUA和SFUB兩種。BSU：寬帶業(yè)務(wù)單元，提供用戶接入和各種VPN業(yè)務(wù)。提供10GE接口。ESU：企業(yè)業(yè)務(wù)單元，提供路由和各類VPN業(yè)務(wù)。提供10GE，10GPOS,4*2.5GPOS接口。TSU：隧道業(yè)務(wù)單元，提供GRE和LNS/LTS隧道相關(guān)業(yè)務(wù)。SSU：平安業(yè)務(wù)單元，提供狀態(tài)防火墻和NAT/ALG功能。Page55、ME60邏輯架構(gòu) Page6二、ME60產(chǎn)品特性1、ME60以太網(wǎng)接口特性2、寬帶接入業(yè)務(wù)特性3、典型組網(wǎng)應(yīng)用 Page71、ME60以太網(wǎng)接口特性GE接口支持流量控制和速率自協(xié)商。最多可捆綁16個(gè)物理以太網(wǎng)端口，捆綁后的ETH-TRUNK功能與普通口一致。支持不同單板的端口捆綁到同一個(gè)ETH-TRUNK。支持主備工作模式，能夠根據(jù)接口鏈路狀態(tài)自動(dòng)進(jìn)行主備切換。支持跨設(shè)備的E-TRUNK。支持LACP,聚合條件發(fā)生改變時(shí)，自動(dòng)調(diào)整或解散聚合。支持IPV4、IPV6和MPLS的MTU配置。Page82、ME60寬帶接入業(yè)務(wù)特性用戶接入：xDSL，Ethernet,WLAN，HFC,ipv4，ipv4/ipv6雙棧接入接入和認(rèn)證：PPP、DHCP、WEB、AAA 授權(quán):bandwidth,ACL,Priority,Routing

Policy,DSS動(dòng)態(tài)業(yè)務(wù)選擇平安:通過(guò)VLAN和VPN隔離用戶,綁定檢查VLAN:4kVLAN端口;64kQinQ端口.PVC:64Kpvc端口.ISP/用戶域:1K.Page93、ME60典型組網(wǎng)應(yīng)用1.用戶管理:用戶按域管理。認(rèn)證時(shí)，通過(guò)域的配置進(jìn)行控制。包括認(rèn)證計(jì)費(fèi) 策略，帶寬控制參數(shù)，訪問(wèn)權(quán)限，優(yōu)先級(jí)。3.PUPV:標(biāo)示并定位用戶。2.接入認(rèn)證：PPP撥號(hào)認(rèn)證、802.1認(rèn)證、web認(rèn)證、端口綁定認(rèn)證、快速 web認(rèn)證。Page10三、RADIUS特性與實(shí)現(xiàn)1、RADIUS特性概述2、ME60RADIUS特性實(shí)現(xiàn)3、ME60RADIUS特性規(guī)格Page111.1RADIUS特性概述RADIUS:RemoteAuthenticationDailInUserService定義了NAS與效勞器的交互報(bào)文格式和交互過(guò)程，實(shí)現(xiàn)用戶上線過(guò)程中的認(rèn)證、計(jì)費(fèi)、授權(quán)功能。采用C/S模型，NAS作為RADIUS效勞器的客戶端，發(fā)起用戶的認(rèn)證、計(jì)費(fèi)請(qǐng)求。RADIUS采用MD5算法對(duì)用戶口令加密及驗(yàn)證數(shù)字簽名。RADIUS報(bào)文采用TLV格式，有較好的靈活擴(kuò)展性。Page121.2RADIUS特性功能RADIUS實(shí)現(xiàn)了以下功能:用戶上線過(guò)程中的認(rèn)證功能。用戶上線過(guò)程中的計(jì)費(fèi)功能，以及用戶在線時(shí)的實(shí)時(shí)計(jì)費(fèi)功能。用戶上線過(guò)程中直接對(duì)用戶進(jìn)行授權(quán)用戶在線過(guò)程中的動(dòng)態(tài)授權(quán)。使指定用戶下線的功能，即DM〔DisconnectMessage〕。Page131.3RADIUS協(xié)議交互流程用戶輸入用戶名密碼認(rèn)證請(qǐng)求包Access-request認(rèn)證接受包Access-accept(可同時(shí)授權(quán))計(jì)費(fèi)開(kāi)始請(qǐng)求包Accting-request計(jì)費(fèi)開(kāi)始響應(yīng)包Accting-responseRADIUS效勞器ME60Page141.3RADIUS協(xié)議交互流程用戶訪問(wèn)網(wǎng)絡(luò)資源實(shí)時(shí)計(jì)費(fèi)請(qǐng)求包Accting-request實(shí)時(shí)計(jì)費(fèi)請(qǐng)求響應(yīng)包Accting-response授權(quán)包Coa-request授權(quán)回應(yīng)包Coa-responseRADIUS效勞器ME60Page151.3RADIUS協(xié)議交互流程通知訪問(wèn)結(jié)束計(jì)費(fèi)結(jié)束請(qǐng)求包Accting-request〔Stop〕計(jì)費(fèi)結(jié)束請(qǐng)求響應(yīng)包Accting-responseRADIUS效勞器ME60Page162.1RADIUS典型應(yīng)用場(chǎng)景PCAccessNetwork路由器InternetRADIUS效勞器〔主〕RADIUS效勞器〔備〕Page172.2山東鐵通RADIUS部署架構(gòu)圖Page182.3RADIUS效勞器選擇策略效勞器狀態(tài)控制策略。主備方式下的效勞器選擇策略。負(fù)載均衡方式下的效勞器選擇策略?！矙?quán)重值〕Page192.4RADIUS配置思路2、配置RADIUS效勞器及選擇算法。4、配置域，域下引用認(rèn)證、計(jì)費(fèi)模板、RADIUS效勞器。1、在路由器上配置認(rèn)證模板和計(jì)費(fèi)模板。3、配置RADIUS認(rèn)證、計(jì)費(fèi)效勞器和端口。Page202.4RADIUS配置思路[ME60]aaa[ME60-aaa]authentication-schemeauth1\\創(chuàng)立名為auth1的認(rèn)證方案[ME60-aaa-authen-auth1]authentication-moderadius\\設(shè)置認(rèn)證模式[ME60-aaa-authen-auth1]quit[ME60-aaa]accounting-schemeacct1\\創(chuàng)立名為acct1的計(jì)費(fèi)方案[ME60-aaa-accounting-acct1]accounting-moderadius\\設(shè)置計(jì)費(fèi)模式[ME60-aaa-accounting-acct1]quit[ME60-aaa]quit1、在路由器上配置認(rèn)證模板和計(jì)費(fèi)模板。1、在路由器上配置認(rèn)證模板和計(jì)費(fèi)模板。Page212.4RADIUS配置思路[ME60]radius-servergroupcttsd\\創(chuàng)立radius效勞器組[ME60-radius-cttsd]radius-serveralgorithmmaster-backup\\設(shè)置算法2、配置RADIUS效勞器及選擇算法。3、配置RADIUS認(rèn)證、計(jì)費(fèi)效勞器和端口。[ME60-radius-cttsd]radius-serverauthentication129.7.66.661812[ME60-radius-cttsd]radius-serveraccounting129.7.66.661813[ME60-radius-cttsd]radius-serverauthentication129.7.66.661812[ME60-radius-cttsd]radius-serveraccounting129.7.66.661813*對(duì)于radius的認(rèn)證計(jì)費(fèi)端口,有兩組端口,一組為1812和1813,另一組是1645和1646.radius的認(rèn)證和計(jì)費(fèi)效勞器通常是在一組效勞器上。Page222.4RADIUS配置思路4、配置域，域下引用認(rèn)證、計(jì)費(fèi)模板、RADIUS效勞器。[ME60]aaa[ME60-aaa]domainabc[ME60-aaa-domain-abc]authentication-schemeauth1\\域的認(rèn)證方式關(guān)聯(lián)[ME60-aaa-domain-abc]accounting-schemeacct1\\域的計(jì)費(fèi)方式關(guān)聯(lián)[ME60-aaa-domain-abc]radius-servergroupcttsd\\域與radius組關(guān)聯(lián)[ME60-aaa-domain-abc]ip-poolpool1\\域與地址池關(guān)聯(lián)[ME60-aaa-domain-abc]quit[ME60-aaa]quitPage232.4RADIUS定位方法2、檢查ME60和RADIUS效勞器兩端配置是否一致。4、檢查RADIUS效勞器是否負(fù)荷過(guò)重，造成處理報(bào)文時(shí)間比較長(zhǎng)?？梢允褂胐isplayradiusstatisticspacket命令檢查ME60的收發(fā)報(bào)文計(jì)數(shù)，如果發(fā)送遠(yuǎn)大于接收的計(jì)數(shù)，那么可能是RADIUS效勞器負(fù)荷過(guò)大無(wú)響應(yīng)。1、通過(guò)PING命令測(cè)試設(shè)備到RADIUS效勞器是否可達(dá)。3、檢查RADIUS效勞器上是否添加了ME60的NAS-IP-ADDRESS。5、檢查ME60到RADIUS鏈路質(zhì)量是否較差，造成報(bào)文時(shí)延較大，對(duì)于這種情況，需要優(yōu)化網(wǎng)絡(luò)質(zhì)量。在緊急情況下，可以在ME60上延長(zhǎng)等待RADIUS效勞器響應(yīng)的時(shí)間。如果步驟4中查出的報(bào)文計(jì)數(shù)差距根本一樣，那么可能是網(wǎng)絡(luò)質(zhì)量差，收到回應(yīng)時(shí)已經(jīng)超時(shí)。[ME60-radius-cttsd]radius-servertimeout10Page242.5RADIUS定位常用命令1、displayradius-serverconfiguration使用該命令檢查radius效勞器的狀態(tài)是UP還是DOWN。2、displayradius-attribute查看設(shè)備支持的radius屬性。3、test-aaauser1@abc123radius-groupcttsd該命令可模擬用戶上線，測(cè)試ME60到radius效勞器之間的radius協(xié)議是否正常運(yùn)行。4、trace，可以根據(jù)五元組的組合進(jìn)行trace，五元組包括CEVLAN、PEVLAN、接口、IP地址、MAC地址。例如：<ME60>traceaccess-userobeject1interfacegigabitethernet3/1/0.Page25三、ME60業(yè)務(wù)配置1、ME60PPP業(yè)務(wù)配置2、ME60IP業(yè)務(wù)配置3、ME60L2TP業(yè)務(wù)配置 Page263.1PPP業(yè)務(wù)配置流程及業(yè)務(wù)流程1.客戶端向BRAS發(fā)起PPP會(huì)話請(qǐng)求。2.BRAS收到請(qǐng)求后把用戶名密碼發(fā)給radius效勞器進(jìn)行認(rèn)證。3.RADIUS效勞器把認(rèn)證結(jié)果反響給BRAS。4.認(rèn)證通過(guò)后,BRAS根據(jù)用戶所在域的配置地址池分配給用戶IP地址,并建立完成PPP會(huì)話.5.用戶上線,可以訪問(wèn)internet,同時(shí)BRAS通知RADIUS效勞器進(jìn)行計(jì)費(fèi).Page27配置虛模板\\創(chuàng)立VT接口[ME60]interfacevirtual-Template1\\設(shè)置PPP驗(yàn)證方式[ME60-virtual-Template1]pppauthentication-modeppp*1.VT接口主要是用來(lái)對(duì)報(bào)文的PPP協(xié)議層來(lái)進(jìn)行處理的,使以太網(wǎng)接口可以接收PPP幀.*2.對(duì)于PPP的驗(yàn)證方式可以設(shè)置為PPP,也可以設(shè)置為CHAP.Page28配置地址池\\創(chuàng)立名稱為pool1的本地地址池[ME60]ippoolpool1local\\配置地址池網(wǎng)關(guān)[ME60-ip-pool-pool1]gateway172.15.1.124\\配置地址段,一個(gè)地址池可支持255個(gè)段[ME60-ip-pool-pool1]section0172.15.1.2172.15.1.200\\配置DNS,可以配置多個(gè)DNS.[ME60-ip-pool-pool1]dns-server61.233.154.33*1.查看地址池配置displayippoolnamepool1*2.配置多個(gè)DNSdns-server61.233.154.33secondary*3.配置遠(yuǎn)端地址池那么為ippoolpool1remotedhcp并創(chuàng)立DHCP效勞器組,指定DHCPserver.Page29ME60域概念介紹認(rèn)證前默認(rèn)域(default-domainpre-authentication)認(rèn)證默認(rèn)域(default-domainauthentication)認(rèn)證域(authenticationdomain)系統(tǒng)的三個(gè)默認(rèn)域Default0默認(rèn)策略是不認(rèn)證不計(jì)費(fèi)Default1默認(rèn)策略是radius認(rèn)證radius計(jì)費(fèi)Default_admin

默認(rèn)策略是radius認(rèn)證,不計(jì)費(fèi)Page30配置BRAS接口[ME60]interfacegigabitethernet4/0/1\\以太網(wǎng)無(wú)法終結(jié)PPPOE會(huì)話,所以要綁定虛模板終結(jié)PPPOE會(huì)話.[ME60-gigabitethernet4/0/1]pppoe-serverbindvirtual-template1\\進(jìn)入BRAS接口視圖[ME60-gigabitethernet4/0/1]bas\\配置用戶接入方式為二層用戶接入[ME60-gigabitethernet4/0/1-bas]access-typelayer2-subscriber\\配置用戶認(rèn)證后的所屬域[ME60-gigabitethernet4/0/1-bas]default-domainauthenticationabc\\配置認(rèn)證方式[ME60-gigabitethernet4/0/1-bas]authentication-methodppp*查看具體BRAS接口配置displaybas-interfacegigabitethernet4/0/1Page31PPPOEofVlan特殊配置\\創(chuàng)立子接口[ME60]interfacegigabitethernet4/0/1.1\\將用戶所屬VLAN綁定到子接口[ME60-gigabitethernet4/0/1.1]uservlan23\\把虛模板綁定到子接口[ME60-gigabitethernet4/0/1.1]pppoe-serverbindvirtual-template1*1.假設(shè)需要配置QINQ，那么在子接口下配置VLAN時(shí)，輸入QINQ100VLAN23*2.PPPOEofVlanBRAS接口配置同樣需要進(jìn)入子接口配置。Page323.2IP業(yè)務(wù)配置流程圖及業(yè)務(wù)流程1.客戶端向DHCP效勞器IP地址獲取請(qǐng)求。2.DHCP收到請(qǐng)求后,根據(jù)認(rèn)證前域分配給用戶IP。3.客戶端訪問(wèn)WEBSERVER并輸入用戶名密碼驗(yàn)證。4.WEB效勞器把用戶名和密碼傳送給ME60。5.ME60把用戶和明碼傳送給RADIUS效勞器認(rèn)證。6.RADIUS效勞器把認(rèn)證結(jié)果反響給ME60。7.認(rèn)證通過(guò)后，客戶端可以訪問(wèn)internet。Page33IPOE接入配置流程配置認(rèn)證、計(jì)費(fèi)策略。配置RADIUS效勞器組。配置IP地址池。配置認(rèn)證前域。配置認(rèn)證域。配置WEB認(rèn)證效勞器。配置ACL。配置BRAS接口。Page34配置WEB效勞器*web效勞器建立WEB頁(yè)面進(jìn)行用戶名密碼。*配置源端口命令可選。\\配置WEB認(rèn)證效勞,WEB效勞器與ME60之間采用PORTAL協(xié)議.[ME60]web-auth-serverX.X.X.Xkeywebvlan\\配置PORTAL協(xié)議版本[ME60]web-auth-serverversionV2\\配置與WEB效勞器交互的源端口.[ME60]web-auth-serversourceinterfacegigabitethernet4/0/0Page35配置認(rèn)證前域[ME60-aaa]domainpre-isp1[ME60-aaa-domain-pre-isp1]authentication-schemedefault0[ME60-aaa-domain-pre-isp1]accounting-schemedefault0[ME60-aaa-domain-pre-isp1]ip-poolpool1[ME60-aaa-domain-pre-isp1]quit[ME60-aaa]quit*通過(guò)認(rèn)證前域分配給用戶IP地址,訪問(wèn)web效勞器.Page36配置ACL-用戶組配置\\創(chuàng)立ACL6000,用戶的ACL為6000-9999[ME60]acl6000\\創(chuàng)立規(guī)那么,禁止user-groupcttsd訪問(wèn)任何地址[ME60-acl-ucl-6000]ruledenyipsourceuser-groupcttsd\\創(chuàng)立ACL6001[ME60]acl6001\\創(chuàng)立規(guī)那么,只允許cttsd訪問(wèn)WEB效勞器[ME60-acl-ucl-6001]rulepermitipsourceuser-groupcttsddestinationipaddressx.x.x.x0\\創(chuàng)立規(guī)那么,只允許cttsd訪問(wèn)DNS效勞器[ME60-acl-ucl-6001]rulepermitipsourceuser-groupcttsddestinationipaddress61.233.154.330Page37配置ACL-流分配器配置\\創(chuàng)立流名稱為C1的流分類器[ME60]trafficclassifierC1\\配置此分類器的匹配條件[ME60-classifier-C1]if-matchacl6000\\配置C2流分類器[ME60]trafficclassifierC2[ME60-classifier-C2]if-matchacl6001Page38配置ACL-匹配流分類策略配置\\創(chuàng)立流分類動(dòng)作deny1[ME60]trafficbehaviordeny1\\匹配的流行為為deny[ME60-behavior-deny1]deny\\創(chuàng)立流分類動(dòng)作permit1[ME60]trafficbehaviorpermit1\\匹配的流行為為permit[ME60-behavior-permit1]permitPage39配置ACL-流控策略配置\\創(chuàng)立流量策略action1[ME60]trafficpolicyaction1\\把策略和流分類器和流量行為綁定.一個(gè)策略只能包含一種行為.[ME60-trafficpolicy-action1]classifierC2behaviorpermit1[ME60-trafficpolicy-action1]classifierC1behaviordeny1\\把策略在全局下發(fā).[ME60]traffic-policyaction1global*在第二步中,存在優(yōu)先匹配順序,即先C2后C1Page40配置BRAS接口[ME60]interfacegigabitethernet4/0/1\\進(jìn)入BRAS接口視圖[ME60-gigabitethernet4/0/1]bas\\配置用戶接入方式為二層用戶接入[ME60-gigabitethernet4/0/1-bas]access-typelayer2-subscriber\\配置用戶認(rèn)證后的所屬域?yàn)閍bc，認(rèn)證前域?qū)儆趐re-isp1[ME60-gigabitethernet4/0/1-bas]default-domainpre-authenticationpre-isp1authenticationabc\\配置認(rèn)證方式[ME60-gigabitethernet4/0/1-bas]authentication-methodwebPage41靜態(tài)用戶特殊配置步驟[ME60-ip-pool-pool1]excluded-ip-address172.15.1.2靜態(tài)用戶也需要配置認(rèn)證策略計(jì)費(fèi)策略，也要配置域信息。配置靜態(tài)用戶必須配置地址池，并將相應(yīng)的地址從地址池中除去。要在相應(yīng)的用戶認(rèn)證前域中引用地址池。\\創(chuàng)立靜態(tài)用戶[ME60]static-user172.15.1.2interfacegigabitethernet4/0/1.1vlan2domain-namedefault0detect靜態(tài)用戶在子接口下添加必須帶上vlan。配置靜態(tài)用戶必須先配置BAS接口，然后才能添加靜態(tài)用戶。Page423.3L2TP業(yè)務(wù)概述L2TP:提供了對(duì)PPP鏈路層數(shù)據(jù)包的隧道〔Tunnel〕傳輸支持，允許二層鏈路端點(diǎn)和PPP會(huì)話點(diǎn)駐留在不同設(shè)備上，并采用包交換技術(shù)進(jìn)行信息交互，從而擴(kuò)展了PPP模型。特點(diǎn)：靈活的身份驗(yàn)證機(jī)制和高度的平安性多協(xié)議傳輸支持radius效勞器的驗(yàn)證支持內(nèi)部地址分配網(wǎng)絡(luò)計(jì)費(fèi)的靈活性可靠性VPDN:指利用公共網(wǎng)絡(luò)〔ISDN和PSTN)的撥號(hào)功能和接入網(wǎng)來(lái)實(shí)現(xiàn)虛擬專用網(wǎng)，為企業(yè)、小型ISP、移動(dòng)辦公人員提供接入效勞。VPDN采用專用的網(wǎng)絡(luò)加密通信協(xié)議，在公共網(wǎng)絡(luò)上建立平安的虛擬專網(wǎng)。當(dāng)前應(yīng)用最廣泛的是L2TP。Page43L2TP名詞解釋LAC:L2TP訪問(wèn)集中器〔L2TPAccessConcentrator〕交換網(wǎng)絡(luò)上有PPP端系統(tǒng)和L2TP處理能力的設(shè)備。一般為本地ISP接入設(shè)備。LAC通過(guò)L2TP隧道及ppp會(huì)話與其他數(shù)據(jù)流隔離。LAC可為多個(gè)VPN效勞。LAC位于LNS和遠(yuǎn)端系統(tǒng)之間起傳遞數(shù)據(jù)的作用。NAS可以和用戶合并為一個(gè)LAC端點(diǎn)，也可以直接作為L(zhǎng)AC端點(diǎn)。LNS：L2TP網(wǎng)絡(luò)效勞器〔L2TPNetworkServer〕PPP會(huì)話接收端，通過(guò)LNS驗(yàn)證，用戶可以登錄私網(wǎng)，訪問(wèn)私網(wǎng)資源。LAC對(duì)端設(shè)備，是通過(guò)LAC進(jìn)行隧道傳輸?shù)腜PP會(huì)話的邏輯終止端點(diǎn)。位于私網(wǎng)公網(wǎng)邊界，通常是企業(yè)網(wǎng)關(guān)設(shè)備，必要時(shí)還兼有NAT功能。LNS可以放在企業(yè)總部網(wǎng)絡(luò)中，也可以為IP公共網(wǎng)絡(luò)的PE。LNS必須啟用隧道單板〔TSU〕，LAC那么無(wú)所謂。Page44L2TP隧道模式示意圖Page45L2TP2種隧道模式NAS-InitializedNAS-Initialized：由遠(yuǎn)程撥號(hào)用戶發(fā)起，遠(yuǎn)程系統(tǒng)通過(guò)PSTN/ISDN撥入LAC，由LAC通過(guò)Internet向LNS發(fā)起建立隧道連接請(qǐng)求。撥號(hào)用戶地址由LNS分配；對(duì)遠(yuǎn)程撥號(hào)用戶的驗(yàn)證與計(jì)費(fèi)既可由LAC側(cè)的代理完成，也可在LNS完成。NAS-Initialized的特點(diǎn)是：用戶必須采用PPP方式接入到internet。運(yùn)營(yíng)商接入設(shè)備需要開(kāi)通相應(yīng)的vpn效勞。隧道分別駐留在LAC和LNS之間，一個(gè)隧道可承載多個(gè)會(huì)話。用戶只有私網(wǎng)地址。Page46L2TP2種隧道模式Client-InitializedClient-Initialized：直接由LAC客戶〔指可在本地支持L2TP協(xié)議的用戶〕發(fā)起。此時(shí)LAC客戶可直接向LNS發(fā)起隧道連接請(qǐng)求，無(wú)需再經(jīng)過(guò)一個(gè)單獨(dú)的LAC設(shè)備。此時(shí)，LAC客戶地址的分配由LNS來(lái)完成。Client-Initialized的特點(diǎn)是：用戶必須安裝L2TP的撥號(hào)軟件，可以使windows自帶的VPN撥號(hào)軟件。用戶上網(wǎng)的方式和地點(diǎn)沒(méi)有限制，不需要ISP接入。隧道分別駐留在用戶側(cè)和LNS之間，一個(gè)隧道只能承載一個(gè)會(huì)話。用戶可以根據(jù)自己的平安性需求對(duì)參數(shù)進(jìn)行更改。撥號(hào)獲取NAS分配的公網(wǎng)IP為訪問(wèn)LNS對(duì)外接口。假設(shè)獲取內(nèi)網(wǎng)IP可修改路由條目。Page47LAC端配置1.配置虛模板\\創(chuàng)立虛模板1[ME60-A]interfacevirtual-template1[ME60-A-virtual-template1]pppauthentication-modeppp*要與LNS端一致[ME60-A-virtual-template1]quit\\在接口上綁定虛模板1[ME60-A]interfacegigabitethernet4/0/1[ME60-A-gigabitethernet4/0/1]pppoe-serverbindvirtual-template1[ME60-A-gigabitethernet4/0/1]quitPage48LAC端配置2.配置radius效勞器\\創(chuàng)立radius效勞器組radius1[ME60-A]radius-servergroupradius1[ME60-A-radius-radius1]radius-serverauthentication202.1.1.2491812[ME60-A-radius-radius1]radius-serveraccounting202.1.1.2491813[ME60-A-radius-radius1]radius-servertypestandard[ME60-A-radius-radius1]radius-servershard-keyhello[ME60-A-radius-radius1]quitPage49LAC端配置3.配置BAS接口[ME60-A]interfacegigabitethernet4/0/1[ME60-A-gigabitethernet4/0/1]bas\\配置接入用戶類型為二層用戶[ME60-A-gigabitethernet4/0/1-bas]access-typelayer2-subscriber\\配置默認(rèn)域--對(duì)于pppoe用戶如果未帶域名撥號(hào),那么視歸屬域?yàn)榻涌谙履J(rèn)域[ME60-A-gigabitethernet4/0/1-bas]default-domainauthenticationisp1\\配置用戶接入認(rèn)證方式為PPP認(rèn)證[ME60-A-gigabitethernet4/0/1-bas]authentication-methodpppPage50LAC端配置4.配置用戶域[ME60-A-aaa]domainisp1*該域用戶一經(jīng)完成認(rèn)證,觸發(fā)隧道建立.\\指定域的L2TP組[ME60-A-aaa-domain-isp1]l2tplac*地址池由LNS提供,創(chuàng)立group后引用\\指定域的radius組[ME60-A-aaa-domain-isp1]radius-serverradius1[ME60-A-aaa-domain-isp1]authentication-schemedefault1[ME60-A-aaa-domain-isp1]accounting-schemedefault1Page51LAC端配置5.創(chuàng)立L2TP組及配置相關(guān)屬性\\使能L2TP[ME60-A]L2TPenable\\配置L2TP組[ME60-A]L2TP-grouplac\\配置隧道名[ME60-A-l2tp-lac]tunnelnamelac*LNS對(duì)應(yīng)配置需匹配\\配置觸發(fā)LAC初始L2TP隧道建立的條件--指定LND地址[ME60-A-l2tp-lac]start