ME60配置手册.docx_第1页
ME60配置手册.docx_第2页
ME60配置手册.docx_第3页
ME60配置手册.docx_第4页
ME60配置手册.docx_第5页
已阅读5页,还剩7页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

me60配置手册仅供参考目录1、me60在网络中的定位32、me60 pppoe拨号配置32.1 单业务pppoe配置32.1.1 创建虚接口模板32.1.2 创建aaa方案42.1.3 创建radius方案52.1.4 创建ipv4地址池52.1.5 创建域62.1.5 创建子接口62.2 双机备份82.2.1 建立vrrp组82.2.2 建立远端备份服务102.2.3 建立远端备份模板102.2.4 在子接口下调用备份模板112.3 多业务pppoe接入122.3.1 通过用户vlan区分业务121、me60在网络中的定位me60属于华为多业务网关,其最大的作用就是在接入网中承担bras作用,通俗一点讲就是在网络中开启一扇门,只有认为是合法的用户才能从这扇门通过(至于什么才是合法用户,后面会简要说明,读者也可阅读aaa),不合法的用户则阻断。me60在在运营商组网中位置一般在olt上面,出口路由器下面;也可以即当bras,也可以承担出口路由器的作用(非常少,因为一般网络会采购多台me60,在加之在bras与出口之间会部署其他例如流控、安全检测设备,一般不建议这样部署);在其他局域网中一般位于汇聚或者核心交换机上面,出口设备下面。2、me60 pppoe拨号配置*注:本节主要讲使用radius服务器进行认证的pppoe拨号认证。me60对用户建立了一个域的概念,所有用户应该属于域,用户认证时会遵守域中被调用的规则;me60中的可以建立多个域;2.1 单业务pppoe配置在配置前我们因对配置建立一个配置思路,如下:1、配置虚接口模板2、配置aaa方案3、配置radius方案4、配置ipv4地址池5、配置域,在域中调用创建好的aaa方案、ipv4地址池、radius方案6、创建子接口,调用创建好的虚接口模板、配置用户vlan(可以是qinq、vlan)。7、把子接口配置成bras接口,配置用户接入方式,指定默认域(如果不指定默认使用aaa中default域)。2.1.1 创建虚接口模板由于二层协议之间不能直接互相承载,在配置pppox时,需要创建虚拟接口模板。背景信息根据虚拟接口模板参数,me60能自动创建虚拟访问接口用于二层协议之间的通信。 虚拟接口模板用来封装ppp报文。虚拟接口模板中定义了两端需要协商的各项ncp参数,如ip地址和上层的应用协议。 虚拟访问接口用来与对端传输数据。虚拟访问接口根据虚拟接口模板中定义的各项参数进行传输。虚拟接口模板与一般的物理接口相比,链路层只支持ppp协议,网络层只支持ip协议。在删除虚拟接口模板时,要确保由其派生的虚拟访问接口都已经被删除,而且该虚拟接口模板已不再被使用。 通俗简单来讲就是约定用户与bras之间经历一条虚拟通道,并在虚拟通道中定义使用的何种ppp认证方式。配置:interfacevirtual-templatevirtual-template-number /创建一个虚拟接口模板ppp authentication-modeauto|chap|mschapv1|mschapv2|pap 配置ppp用户的认证方式。缺省情况下,ppp用户的认证方式为自动协商方式。案例:interface virtual-template 1 /创建虚拟接口模板1ppp authentication-mode auto /自动协商,windows宽带认证客户端自带chap、pap以及微软私有的两种,这里配置时可以不管,使用自动即可。2.1.2 创建aaa方案aaa是authentication(认证)、authorization(授权)和accounting(计费)的简称。它提供对用户进行认证、授权和计费三种安全功能。具体如下: 认证(authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。 授权(authorization):授权用户可以使用哪些服务。 计费(accounting):记录用户使用网络资源的情况。 aaa一般采用“客户端服务器”结构。这种结构既具有良好的可扩展性,又便于用户信息的集中管理。 aaa支持的认证方式包括不认证、本地认证、远端认证。其中远端认证支持通过radius(remote authentication dial in user service)协议或hwtacacs(huawei terminal access controller access control system)协议进行。简单来说,就是定义用户在哪里认证、在哪里计费配置:我们这里要建立一个这样的aaa方案,定义用户使用radius进行认证和计费。1. 配置认证方案。huawei aaahuawei-aaa authentication-scheme auth1 /建立一个认证方案 名字是auth1huawei-aaa-authen-auth1 authentication-mode radius /在radius进行认证huawei-aaa-authen-auth1 quit2. 配置计费方案。huawei-aaa accounting-scheme acct1 /建立一个计费方案,名字是acct1huawei-aaa-accounting-acct1 accounting-mode radius /在radius进行计费huawei-aaa-accounting-acct1 quithuawei-aaa quit2.1.3 创建radius方案radius是一个远程认证服务器,可以对用户进行认证、计费我们在上面创建好的aaa方案中是使用radius去进行认证计费,那么我们接下来就要配置好radius方案,告诉me60 radius在哪里,怎么协商,协商的密码是多少。radius-server group radius /创建一个radius方案,名字是radius radius-server authentication 192.168.21.250 1812/radius认证服务器ip是192.168.21.250,端口是1812 radius-server accounting 192.168.21.250 1813 /radius计费服务器ip是192.168.21.250,端口是1812 radius-server shared-key gacatv/radius服务器的密钥是gacatv radius-server retransmit 5 timeout 10/选配,设定认证失败时继续重传5次,时间为10秒 radius-server class-as-car/选配,设定class属性中携带car值 radius-server source interface loopback1/指定与radius服务器通信的地址,这里为loopback1(环回口),这个地址与radius必须要能够通信 undo radius-server user-name domain-included /配置发往radius服务器的账号是否携带域名,这里是不携带,在一般环境中,这个是必配的。2.1.4 创建ipv4地址池这个地址池用于给pppoe用户分配地址ip pool ceshi bas local /创建一个地址池,名字是ceshi gateway 10.1.1.1 255.255.255.0 /配置用户ip的网关是10.1.1.1 section 0 10.1.1.2 10.1.1.254 /可以给用户分配的地址范围是10.1.1.2到10.1.1.254之间,section 0为地址段编号,取值范围是0到7 2.1.5 创建域到了这一步,我们将创建域,域里面会调用上面创建的aaa方案,radius方案,ipv4地址池,所有属于这个域里面的用户会匹配这些规则(至于用户怎么属于这个域请看子接口配置)。aaa /进入aaa视图domain yyga /创建一个域,名字是yyga authentication-scheme auth1 /调用创建好的认证方案,上面是在radius认证 accounting-scheme acct1/调用创建好的计费方案,上面是在radius计费 ip-pool ceshi调用创建好的地址池,这里可以调用多个地址池,分配地址时从上往下分配 radius-server group radius/调用创建好的radius方案这里共同形成当这个域下面的用户上网时,发送的认证请求me60会转发给radius服务器进行认证,认证通过后,会在ceshi这个地址池中分配一个地址给用户,然后在用户电脑会生成一条主机路由,这条路由是最优先的,所以用户那边网卡配置不配置地址都无所谓。2.1.5 创建子接口一个物理接口可能会有很多种业务vlan,我们就需要创建子接口,我们这里创建的子接口用于pppoe用户。interface eth-trunk10.3 /创建捆绑组10的子接口.3(直接跟物理接口也是一样的) description eoc_zxj_manage /描述,方便维护 user-vlan 1000 qinq 1001 1256 /创建用户vlan ,这里是使用的qinq, user-vlan 1000/创建用户vlan bas/把这个子接口变成bas接口,相当于一扇门 # access-type layer2-subscriber default-domain authentication yyga/ access-type layer2-subscriber代表用户是使用2层上来的,default-domain authentication yyga指定默认域为yyga。什么是默认域,就是说当用户的账号不携带域名时,会自动属于yyga这个域,如果携带了域名,就会根据域名查找属于自己的域。举例说明:用户是属于vlan1000的,当用户进行认证的请求报文到了me60,me60就会查找用户vlan,发现用户vlan属于子接口eth-trunk10.3,这个时候就会进行辨认,如果用户账号没有携带域名那么就会归属于yyga这个域,如果携带了域就找自己的域,域名格式为cszy,例如huaweicszy这个就是一个携带域名的账号,这个用户又在vlan1000下面,那么他就会属于cszy域(我们这里没有创建)。到了这里一个基本的pppoe接入业务完成。2.2 双机备份me60双机备份通过vrrp建立vrrp备份组,实现arp双机热备,通过rui协议还可以实现用户bras信息备份,对用户的业务进行更灵活的控制和管理,实现当一台设备down机、单条上行链路或者单条下行链路同时出现问题时,设备可以做到用户无感知切换。2.2.1 建立vrrp组双机备份的基础在于使用vrrp来进行设备切换,首先配置vrrpinterface gigabitethernet4/0/1.1/我们这里专门创建一个子接口用来配置vrrp,作用是用来进行设备切换,不走业务 vlan-type dot1q 11/封装dot1q协议,11是vlan协议(如果不封装无法配置ip,具体可参考单臂路由) description user-access/描述,方便维护 ip address 172.16.11.4 255.255.255.248/配置ip地址,这里是子接口的ip vrrp vrid 11 virtual-ip 172.16.11.6/创建备份组为11,并配置虚拟ip地址 admin-vrrp vrid 11/ vrrp vrid 11 priority 120/设置优先级为120,默认100,优先级越高就被选举为主。 vrrp vrid 11 preempt-mode timer delay 5/设置备份组中me设备的抢占延迟时间为5秒,这样配置的目的是为了在网络环境不稳定时,为上下行链路的状态恢复一致性等待一定时间,避免由于双方频繁抢占导致用户设备学习到错误的master设备地址而导致的流量中断问题。一般备用设备使用默认值,即马上抢占。 vrrp vrid 11 track interface gigabitethernet4/0/0 reduced 50/用来配置vrrp通过监视接口的状态来实现主备快速切换,监控4/0/0(上联端口),如果端口4/0/0关闭,vrrp的优先级降低为50,备用me60就能升级为主 vrrp vrid 11 track bfd-session 1 peer/配置vrrp通过监视bfd会话状态来实现主备快速切换的功能,这里一般监控的是vrrp组的子接口ip,和上面的监视是一样的效果。备份me60的配置与上面类似,这里就只贴配置interface gigabitethernet4/0/1.1 vlan-type dot1q 11 description user-access ip address 172.16.11.5 255.255.255.248 vrrp vrid 11 virtual-ip 172.16.11.6 admin-vrrp vrid 11 vrrp vrid 11 track interface gigabitethernet4/0/0 reduced 50 vrrp vrid 11 track bfd-session 2 peervrrp组已经配置完成,接下来配置bfd-session,bfd bfd11 bind peer-ip 172.16.11.5 source-ip 172.16.11.4/配置bfd会话名字为bfd11,对端ip为172.16.11.5,本段ip是172.16.11.4,这两个ip是子接口的ip。 discriminator local 1/bfd会话的本地标识符 discriminator remote 2/bfd会话的远端标识符 commit/提交bfd会话配置,使bfd会话生效。备份me60的配置与上面类似,这里就只贴配置bfd bfd11 bind peer-ip 172.16.11.4 source-ip 172.16.11.5 discriminator local 2 discriminator remote 1 commit至此vrrp配置完成,这个时候我们只是完成了设备间的切换,接下来还要实现用户信息备份。2.2.2 建立远端备份服务remote-backup-service rbs/创建远程备份服务 peer 172.16.253.2 source 172.16.253.1 port 12000/配置远端备份服务通信的ip和端口,这里的ip是me60的loopback。 track interface gigabitethernet4/0/0/监控上行口4/0/0,配合vrrp监视 batch-backup service-type bras daily 01:00:00/定时对远端备份服务下所配置的业务进行同步,备me60使用立即同步,此配置用来减轻设备负担 protect redirect ip-nexthop 172.16.10.10 interface gigabitethernet4/0/19/网络侧流量回程时,主、备设备之间的转发保护路径,这里的ip-nexthop是两台me60直连的ip,端口是直连端口 ip-pool jxl-1/此种备份方法为共享地址池式备份,两边的地址池名字和网段要一样。备份服务创建完毕,备me60的配置与上面类似,这里就只贴配置remote-backup-service rbs peer 172.16.253.1 source 172.16.253.2 port 12000 track interface gigabitethernet4/0/0 batch-backup service-type bras now /与主me60的区别,立即同步 protect redirect ip-nexthop 172.16.10.9 interface gigabitethernet4/0/19 ip-pool jxl-12.2.3

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论