ME60配置手册.docx

me60配置手册仅供参考目录1、me60在网络中的定位32、me60 pppoe拨号配置32.1 单业务pppoe配置32.1.1 创建虚接口模板32.1.2 创建aaa方案42.1.3 创建radius方案52.1.4 创建ipv4地址池52.1.5 创建域62.1.5 创建子接口62.2 双机备份82.2.1 建立vrrp组82.2.2 建立远端备份服务102.2.3 建立远端备份模板102.2.4 在子接口下调用备份模板112.3 多业务pppoe接入122.3.1 通过用户vlan区分业务121、me60在网络中的定位me60属于华为多业务网关，其最大的作用就是在接入网中承担bras作用，通俗一点讲就是在网络中开启一扇门，只有认为是合法的用户才能从这扇门通过（至于什么才是合法用户，后面会简要说明，读者也可阅读aaa），不合法的用户则阻断。me60在在运营商组网中位置一般在olt上面，出口路由器下面；也可以即当bras，也可以承担出口路由器的作用（非常少，因为一般网络会采购多台me60，在加之在bras与出口之间会部署其他例如流控、安全检测设备，一般不建议这样部署）；在其他局域网中一般位于汇聚或者核心交换机上面，出口设备下面。2、me60 pppoe拨号配置*注：本节主要讲使用radius服务器进行认证的pppoe拨号认证。me60对用户建立了一个域的概念，所有用户应该属于域，用户认证时会遵守域中被调用的规则；me60中的可以建立多个域；2.1 单业务pppoe配置在配置前我们因对配置建立一个配置思路，如下：1、配置虚接口模板2、配置aaa方案3、配置radius方案4、配置ipv4地址池5、配置域，在域中调用创建好的aaa方案、ipv4地址池、radius方案6、创建子接口，调用创建好的虚接口模板、配置用户vlan（可以是qinq、vlan）。7、把子接口配置成bras接口，配置用户接入方式，指定默认域（如果不指定默认使用aaa中default域）。2.1.1 创建虚接口模板由于二层协议之间不能直接互相承载，在配置pppox时，需要创建虚拟接口模板。背景信息根据虚拟接口模板参数，me60能自动创建虚拟访问接口用于二层协议之间的通信。 虚拟接口模板用来封装ppp报文。虚拟接口模板中定义了两端需要协商的各项ncp参数，如ip地址和上层的应用协议。 虚拟访问接口用来与对端传输数据。虚拟访问接口根据虚拟接口模板中定义的各项参数进行传输。虚拟接口模板与一般的物理接口相比，链路层只支持ppp协议，网络层只支持ip协议。在删除虚拟接口模板时，要确保由其派生的虚拟访问接口都已经被删除，而且该虚拟接口模板已不再被使用。 通俗简单来讲就是约定用户与bras之间经历一条虚拟通道，并在虚拟通道中定义使用的何种ppp认证方式。配置：interfacevirtual-templatevirtual-template-number /创建一个虚拟接口模板ppp authentication-modeauto|chap|mschapv1|mschapv2|pap 配置ppp用户的认证方式。缺省情况下，ppp用户的认证方式为自动协商方式。案例：interface virtual-template 1 /创建虚拟接口模板1ppp authentication-mode auto /自动协商，windows宽带认证客户端自带chap、pap以及微软私有的两种，这里配置时可以不管，使用自动即可。2.1.2 创建aaa方案aaa是authentication（认证）、authorization（授权）和accounting（计费）的简称。它提供对用户进行认证、授权和计费三种安全功能。具体如下： 认证（authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。 授权（authorization）：授权用户可以使用哪些服务。 计费（accounting）：记录用户使用网络资源的情况。 aaa一般采用“客户端服务器”结构。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。 aaa支持的认证方式包括不认证、本地认证、远端认证。其中远端认证支持通过radius（remote authentication dial in user service）协议或hwtacacs（huawei terminal access controller access control system）协议进行。简单来说，就是定义用户在哪里认证、在哪里计费配置：我们这里要建立一个这样的aaa方案，定义用户使用radius进行认证和计费。1. 配置认证方案。huawei aaahuawei-aaa authentication-scheme auth1 /建立一个认证方案 名字是auth1huawei-aaa-authen-auth1 authentication-mode radius /在radius进行认证huawei-aaa-authen-auth1 quit2. 配置计费方案。huawei-aaa accounting-scheme acct1 /建立一个计费方案，名字是acct1huawei-aaa-accounting-acct1 accounting-mode radius /在radius进行计费huawei-aaa-accounting-acct1 quithuawei-aaa quit2.1.3 创建radius方案radius是一个远程认证服务器，可以对用户进行认证、计费我们在上面创建好的aaa方案中是使用radius去进行认证计费，那么我们接下来就要配置好radius方案，告诉me60 radius在哪里，怎么协商，协商的密码是多少。radius-server group radius /创建一个radius方案，名字是radius radius-server authentication 192.168.21.250 1812/radius认证服务器ip是192.168.21.250，端口是1812 radius-server accounting 192.168.21.250 1813 /radius计费服务器ip是192.168.21.250，端口是1812 radius-server shared-key gacatv/radius服务器的密钥是gacatv radius-server retransmit 5 timeout 10/选配，设定认证失败时继续重传5次，时间为10秒 radius-server class-as-car/选配，设定class属性中携带car值 radius-server source interface loopback1/指定与radius服务器通信的地址，这里为loopback1（环回口），这个地址与radius必须要能够通信 undo radius-server user-name domain-included /配置发往radius服务器的账号是否携带域名，这里是不携带，在一般环境中，这个是必配的。2.1.4 创建ipv4地址池这个地址池用于给pppoe用户分配地址ip pool ceshi bas local /创建一个地址池，名字是ceshi gateway 10.1.1.1 255.255.255.0 /配置用户ip的网关是10.1.1.1 section 0 10.1.1.2 10.1.1.254 /可以给用户分配的地址范围是10.1.1.2到10.1.1.254之间，section 0为地址段编号，取值范围是0到7 2.1.5 创建域到了这一步，我们将创建域，域里面会调用上面创建的aaa方案，radius方案，ipv4地址池，所有属于这个域里面的用户会匹配这些规则（至于用户怎么属于这个域请看子接口配置）。aaa /进入aaa视图domain yyga /创建一个域，名字是yyga authentication-scheme auth1 /调用创建好的认证方案，上面是在radius认证 accounting-scheme acct1/调用创建好的计费方案，上面是在radius计费 ip-pool ceshi调用创建好的地址池，这里可以调用多个地址池，分配地址时从上往下分配 radius-server group radius/调用创建好的radius方案这里共同形成当这个域下面的用户上网时，发送的认证请求me60会转发给radius服务器进行认证，认证通过后，会在ceshi这个地址池中分配一个地址给用户，然后在用户电脑会生成一条主机路由，这条路由是最优先的，所以用户那边网卡配置不配置地址都无所谓。2.1.5 创建子接口一个物理接口可能会有很多种业务vlan，我们就需要创建子接口，我们这里创建的子接口用于pppoe用户。interface eth-trunk10.3 /创建捆绑组10的子接口.3(直接跟物理接口也是一样的) description eoc_zxj_manage /描述，方便维护 user-vlan 1000 qinq 1001 1256 /创建用户vlan ，这里是使用的qinq， user-vlan 1000/创建用户vlan bas/把这个子接口变成bas接口，相当于一扇门 # access-type layer2-subscriber default-domain authentication yyga/ access-type layer2-subscriber代表用户是使用2层上来的，default-domain authentication yyga指定默认域为yyga。什么是默认域，就是说当用户的账号不携带域名时，会自动属于yyga这个域，如果携带了域名，就会根据域名查找属于自己的域。举例说明：用户是属于vlan1000的，当用户进行认证的请求报文到了me60，me60就会查找用户vlan，发现用户vlan属于子接口eth-trunk10.3，这个时候就会进行辨认，如果用户账号没有携带域名那么就会归属于yyga这个域，如果携带了域就找自己的域，域名格式为cszy,例如huaweicszy这个就是一个携带域名的账号，这个用户又在vlan1000下面，那么他就会属于cszy域（我们这里没有创建）。到了这里一个基本的pppoe接入业务完成。2.2 双机备份me60双机备份通过vrrp建立vrrp备份组，实现arp双机热备，通过rui协议还可以实现用户bras信息备份，对用户的业务进行更灵活的控制和管理，实现当一台设备down机、单条上行链路或者单条下行链路同时出现问题时，设备可以做到用户无感知切换。2.2.1 建立vrrp组双机备份的基础在于使用vrrp来进行设备切换，首先配置vrrpinterface gigabitethernet4/0/1.1/我们这里专门创建一个子接口用来配置vrrp，作用是用来进行设备切换，不走业务 vlan-type dot1q 11/封装dot1q协议，11是vlan协议（如果不封装无法配置ip，具体可参考单臂路由） description user-access/描述，方便维护 ip address 172.16.11.4 255.255.255.248/配置ip地址，这里是子接口的ip vrrp vrid 11 virtual-ip 172.16.11.6/创建备份组为11，并配置虚拟ip地址 admin-vrrp vrid 11/ vrrp vrid 11 priority 120/设置优先级为120，默认100，优先级越高就被选举为主。 vrrp vrid 11 preempt-mode timer delay 5/设置备份组中me设备的抢占延迟时间为5秒，这样配置的目的是为了在网络环境不稳定时，为上下行链路的状态恢复一致性等待一定时间，避免由于双方频繁抢占导致用户设备学习到错误的master设备地址而导致的流量中断问题。一般备用设备使用默认值，即马上抢占。 vrrp vrid 11 track interface gigabitethernet4/0/0 reduced 50/用来配置vrrp通过监视接口的状态来实现主备快速切换，监控4/0/0（上联端口），如果端口4/0/0关闭，vrrp的优先级降低为50，备用me60就能升级为主 vrrp vrid 11 track bfd-session 1 peer/配置vrrp通过监视bfd会话状态来实现主备快速切换的功能，这里一般监控的是vrrp组的子接口ip，和上面的监视是一样的效果。备份me60的配置与上面类似，这里就只贴配置interface gigabitethernet4/0/1.1 vlan-type dot1q 11 description user-access ip address 172.16.11.5 255.255.255.248 vrrp vrid 11 virtual-ip 172.16.11.6 admin-vrrp vrid 11 vrrp vrid 11 track interface gigabitethernet4/0/0 reduced 50 vrrp vrid 11 track bfd-session 2 peervrrp组已经配置完成，接下来配置bfd-session，bfd bfd11 bind peer-ip 172.16.11.5 source-ip 172.16.11.4/配置bfd会话名字为bfd11，对端ip为172.16.11.5，本段ip是172.16.11.4，这两个ip是子接口的ip。 discriminator local 1/bfd会话的本地标识符 discriminator remote 2/bfd会话的远端标识符 commit/提交bfd会话配置,使bfd会话生效。备份me60的配置与上面类似，这里就只贴配置bfd bfd11 bind peer-ip 172.16.11.4 source-ip 172.16.11.5 discriminator local 2 discriminator remote 1 commit至此vrrp配置完成，这个时候我们只是完成了设备间的切换，接下来还要实现用户信息备份。2.2.2 建立远端备份服务remote-backup-service rbs/创建远程备份服务 peer 172.16.253.2 source 172.16.253.1 port 12000/配置远端备份服务通信的ip和端口，这里的ip是me60的loopback。 track interface gigabitethernet4/0/0/监控上行口4/0/0，配合vrrp监视 batch-backup service-type bras daily 01:00:00/定时对远端备份服务下所配置的业务进行同步,备me60使用立即同步，此配置用来减轻设备负担 protect redirect ip-nexthop 172.16.10.10 interface gigabitethernet4/0/19/网络侧流量回程时，主、备设备之间的转发保护路径,这里的ip-nexthop是两台me60直连的ip，端口是直连端口 ip-pool jxl-1/此种备份方法为共享地址池式备份，两边的地址池名字和网段要一样。备份服务创建完毕，备me60的配置与上面类似，这里就只贴配置remote-backup-service rbs peer 172.16.253.1 source 172.16.253.2 port 12000 track interface gigabitethernet4/0/0 batch-backup service-type bras now /与主me60的区别，立即同步 protect redirect ip-nexthop 172.16.10.9 interface gigabitethernet4/0/19 ip-pool jxl-12.2.3