华为ME60业务配置指导书

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开深圳城域网二期华为ME60业务配置指导书拟制: 审核: 审核: 批准:贾鹏日期： 日期： 日期： 日期：2007-2-22013-4-14华

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

深圳城域网二期

华为ME60业务配置指导书

拟制: 审核: 审核: 批准:

贾鹏

日期： 日期： 日期： 日期：

2007-2-2

2013-4-14

华为机密，未经许可不得扩散 第1页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

修订记录

2013-4-14

华为机密，未经许可不得扩散 第2页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

1、 全局配置

华为ME60作为一个多业务网关可以做BAS 使用，在实现方面与junipor ERX和Redback SE800不同，所有资源都是全局共享的，包括地址池，Radius 组，路由表等等。所以在配置业务的时候首先要配置一些共用的东西。下面一一讲述。

1） 配制loopback 地址

在全局配置模式下：

Interface loopback 0

Ip address 121.35.12.73 255.255.255.255

2） 配置Router id

在全局配置模式下

Router id 121.35.12.73

3） 配置OSPF

在全局配置模式下（以现网为例）：

Ospf

Area XXX

Network XXX.XXX.XXX.XXX 0.0.0.0

Nssa

4） 配置 ip pool

在全局配置模式下（这里的顺序即为配置顺序）：

Ip pool JT-ME60-Pool-01

gateway 121.34.203.1 255.255.255.0

section 0 121.34.203.2 121.34.203.254

dns-server 202.96.128.68

dns-server 202.96.134.133 secondary

注意：这里的section 代表一个地址范围，范围是0-7，也就是一个ip pool最多可以有8段地址。当然这8段地址必须与gateway 在同一网段。

5） 配置Radius 组

2013-4-14

华为机密，未经许可不得扩散 第3页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

在全局配置模式下：

radius-server group gd_radius

radius-server authentication 61.140.4.144 1812 weight 0

radius-server accounting 61.140.4.144 1813 weight 0

radius-server shared-key szgnet^^

注意：在配置Radius 组中我们要配置发往Radius Server的IP 地址，在这里我们一般选择Loopback 地址作为认证地址。该配置需要在全局配置模式下配置：radius-server source interface LoopBack0。该地址也需要在Radius Server侧配置。

6） 配置认证模板

认证模板中包含认证方式和计费方式，这两种方式里的选项都是相同的，可以作Radius 认证（radius ），可以作本地认证（local ），也可以不认证（none ）。默认是Radius 认证，所以配置了radius 认证后在配置中看不到。命令如下，需要在aaa 视图中配置。 authentication-scheme gdtelecom

accounting-scheme gdtelecom

7） 配置认证域

ME60通过域（domain ）将不通业务的用户区分开来，不同的域用域名区分，比如163.gd 和iptv.gd 等。域下面可以做一些策略路由来控制该域用户的数据流向，在此次城域网工程中没有涉及策略路由的内容，在这里部描述。具体配置方法如下，在aaa 视图下： domain 163.gd

radius-server group gd_radius

ip-pool jt-me60-pool-01

域中定义了该域引用的地址池和radius 组。

8） 引入用户路由

ME60在配置了动态路由后需要将用户路由引入到路由表中，该路由北称为unr （user netwoek route）路由，引入用户路由方法如下，在动态路由协议视图下配置，如ospf 视图下：

Import unr

2、 拨号业务

2013-4-14

华为机密，未经许可不得扩散 第4页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

ME60的接口是三层接口，所以要通过子接口来终结二层报文。对于PPPOE 报文来讲需要配置一个逻辑端口来终结PPP 报文。

1） 配制虚模版

在全局配置模式下：

interface Virtual-Template0

ppp authentication-mode pap

注：PPPOE 用户的认证方式需要在虚模版中配置，目前应用最广泛的是pap 方式。

2） 配置二层接入端口

在全局配置模式下：

interface GigabitEthernet1/0/4.1

pppoe-server bind Virtual-Template 0

description Dialer

uservlan 101 2999 qinq 1000

bas

access-type layer2-subscriber

roam-domain 163.gd

access-limit 1 start-vlan 102 end-vlan 103 qinq 1000

在子接口里面首先配置PPPOE 报文终结在虚模版0上。配置QinQ 用户数据：uservlan 101 2999 qinq 1000，用户vlan 为101到2999，外层vlan 为1000。用户的接入类型需要在bas 视图下配置，此处配置的是二层用户（layer2-subscriber ）。

3） 配制单个vlan 允许接入session 数：

在bas 视图下：

access-limit 1 start-vlan 102 end-vlan 103 qinq 1000

备注：

对于二层接入用户来说存在几个概念：认证前域，认证后域，默认域以及漫游域。 认证前域：此域应用于web 认证，用来限制用户认证前可访问的地址。

认证后域：用户通过认证后属于这个域。

默认域：当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务

漫游域：当用户认证时携带的域名在ME60上没有配置的时候采用漫游域认证。实际上2013-4-14 华为机密，未经许可不得扩散 第5页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

配置漫游域只是表明采用漫游域中的地址池以及认证模板。

在目前的BAS 部署中不允许用户不带域名认证，所以默认域采用ME60的默认配置default1；而漫游域在VPDN 测试的时候用到，目前暂时不配置。

3、 专线业务

配置专线业务与拨号业务类似，配置步骤如下：

1）进入子接口模式，配置专线用户的vlan

uservlan 104 qinq 1000

2）进入bas 视图，配置专线用户的接入方式以及认证方式

access-type layer2-subscriber default-domain authentication default0

authentication-method bind

3）在全局配置模式下配置该专线用户的地址

static-user 121.34.241.130 int g 1/0/4.2 vlan 104 qinq 1000 detect

注意：此时必须在全局模式下将专线地址池中的地址exclude 掉，否则添加静态用户后会抱错说从地址池中分不到地址。

4、 VPDN 业务

VPDN 业务在拨号阶段配置与普通拨号用户配置相同，需要在普通拨号用户的配置下增加两个东西，一个就是在认证域中配置该域为l2tp 域，另一个就是需要配置一个

l2tp-group ，这样用户通过radius 认证后可以与LNS 进行l2tp 协商。按照目前电信的规划，所有的l2tp 属性都是Radius Server下发的。

1） 配置认证域为L2TP 域

domain sinopec.gd

radius-server group gd_radius

l2tp-group gd_vpdn

2） 配置L2TP-group

l2tp-group gd_vpdn

undo tunnel authentication

start l2tp

tunnel source LoopBack0

5、 如何控制IPTV 用户访问

2013-4-14

华为机密，未经许可不得扩散 第6页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

在ME60上由于路由表都是全局的，所以从任何一个域拨上来的用户都可以通过路由访问到外网。而在开展业务的时候会出现类似于IPTV 这样的只允许访问部分地址的情况，这时候需要用UCL 来控制用户访问，具体配置方法如下：

1） 全局模式下配置一个User-group

user-group iptv

2） 在iptv 域中指定该域内的用户属于user-group iptv

domain iptv.gd

radius-server group gd_radius

user-group iptv //此命令指定该域内的用户属于user-group iptv ip-pool jt-me60-pool-01

3） 配置两条UCL ，一条匹配iptv 用户可访问地址，一条匹配全部地址

acl number 6000 match-order auto

description The ACL that IPTV users can not access

rule 5 permit ip source user-group iptv

#

acl number 6001 match-order auto

description The ACL IPTV users can access

rule 5 permit ip source user-group iptv destination ip-address 202.96.134.134 0

注：UCL 编号为6000-9999

4） 配置流分类，将不同的UCL 区分开来

traffic classifier per operator and

if-match acl 6001

traffic classifier deny operator and

if-match acl 6000

5） 配置两个动作，一个是permit ，一个是deny ，默认为permit

traffic behavior per1

traffic behavior deny1

deny

6） 配置流策略将流与动作关联

2013-4-14

华为机密，未经许可不得扩散 第7页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

traffic policy iptv

classifier per behavior per1

//允许用户访问ACL 6001的网段 //不允许用户访问ACL 6000的网段

classifier deny behavior deny1 7） 在全局下应用流策略 traffic-policy iptv global 6、 一些常用命令

1） 查看用户在线信息

Display access-user可以查看到目前在线用户数，每个认证域中有多少用户 [ME60-SZ-JT-01]dis access-user

---------------------------------------------------------------------------------------------- Total users Normal users Admin users

: 2 : 0 : 2 : 0 : 2 : 2 : 0 : 0 : 0 : 0 : 0 : 0

Wait authen-ack

Authentication finish Accounting ready

Realtime accounting

Wait leaving-flow-query Wait accounting-start Wait accounting-stop

Wait authorization-client Wait authorization-server

---------------------------------------------------------------------------------------------- Domain-name Current-User Online-User ---------------------------------------------------------------------------------------------- default0 : 0 :0 default1 : 0 :0 default_admin : 2 :0 163.gd

2013-4-14

: 0 :0

第8页, 共14页

华为机密，未经许可不得扩散

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

sinopec.gd : 0 :0

green.gd : 0 :0

iptv.gd : 0 :0

-------------------------------------------------------------------------------------------------------- The used userid table are :

139324 139325

-------------------------------------------------------------------------------------------------------- ME60上可以通过命令查看某一个域，某一块单板，某一个端口的用户，根据用户IP 地址，MAC 地址，user-id ，查看用户详细信息。

[ME60-SZ-JT-01]dis access-user ?

Domain

Interface Domain Interface

IP address

IPV6 ADDRESS

MAC

SLOT

User id

User name ip-address ipv6-address mac-address slot user-id username

2） 查看IP 地址池信息

Display ip pool该命令可以查看到该设备上配置的IP pool的简要信息

[ME60-SZ-JT-01]dis ip pool

------------------------------------------------------------------------------------------------ Pool-Name : jt-me60-iptv-pool-01

Pool-No : 0

Position : Local Status : Unlocked

Gateway : 121.34.211.254 Mask : 255.255.255.128 Vpn instance : --

------------------------------------------------------------------------------------------------ Pool-Name : jt-me60-pool-01

2013-4-14

华为机密，未经许可不得扩散 第9页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

Pool-No : 1

Position : Local Status : Unlocked

Gateway : 121.34.203.1 Mask : 255.255.255.0 Vpn instance : --

------------------------------------------------------------------------------------------------ Pool-Name : jt-me60-leased_line-pool-01

Pool-No : 2

Position : Local Status : Unlocked

Gateway : 121.34.241.254 Mask : 255.255.255.128 Vpn instance : --

IP address pool Statistic

Local :3 Remote :0

IP address Statistic

Total :503

Used :0 Free :503

Conflicted :0 Disable :0

Display ip pool name ***可以根据ip 地址池的名字查看到该地址池的详细信息

[ME60-SZ-JT-01]dis ip pool name jt-me60-leased_line-pool-01

Pool-Name : jt-me60-leased_line-pool-01

Pool-No : 2

Lease : 3 Days 0 Hours 0 Minutes

Option-Code 0 : -

Option-Value 0 : -

Option-Code 1 : -

Option-Value 1 : -

Option-Code 2 : -

Option-Value 2 : -

Option-Code 3 : -

2013-4-14

华为机密，未经许可不得扩散 第10页, 共14页