东莞移动ME60培训资料.ppt

东莞移动ME60培训交流,Page 1,第1章 ME60设备介绍篇 第2章 ME60设备业务配置篇 第3章 ME60设备故障处理篇,内容介绍,Page 2,ME 60,MPLS用于商业IP: MPLS L2/L3VPN用于企业网 MPLS VPLS用于Metro Ethernet MPLS TE用于运营级业务和网络资源管理 PWE3用于ATM/FR网络迁移,流量管理: 基于策略的DPI 业务感知的策略控制,安全: 防止各种攻击和资源滥用 终端、网络和业务的安全 ASPF：Application-Specific Packet Filter,宽带IP业务: 为终端和用户接入认证和授权 动态业务选择(DSS, Dynamic Service Selection) 业务计费,VoIP业务: SBC: Session Border Controller 信令和媒体代理 阻止对NGN网络的攻击和滥用,多业务引擎: ME60 MSCG,现有网络中用户管理、安全控制和业务控制的功能分布在不同设备上 非常不利于运营级的管理。 通过集成如上功能模块到单个设备中，ME60实现了统一的管理和控制, 这是基于用户和业务的。 通过为运营级业务如3G/NGN等提供基础平台, 减少了CAPEX和OPEX。,Page 3,ME60系列: ME60-16和ME60-8,ME60-16,ME60-8,交换容量: 640Gbps/640Gbps 接口容量： 320Gbps/160Gbps 业务槽位: 16/8 端口(每槽位): 10GE 24GE 110GE 110G POS 42.5G POS 冗余: 交换网13 控制单元11 电源11 风扇系统22 板卡兼容： 主控板和交换网不可混用 业务板可混用, 无槽位限制.,Page 4,ME60 MSCG,VRP inside,IPv6 Ready,备注: ME60-8的业务槽位、接口容量均为ME60-16的1/2,ME60系列:ME60-16和ME60-8,Page 5,ME60结构及槽位,LCD显示,插槽机框,风扇框,电源框,LPU板： 最多16块,MPU板： 2块，主备冗余,SFU板： 4块，1+3冗余,16个业务槽位，每槽位具有1或410G的接口容量 4块交换网板，1+3冗余。每网板提供160G交换容量，加速比超过2，保证任何情况下的无阻塞交换 LPU可以是BSU、ESU、TSU、SBC或SSU,Page 6,ME60系统架构,通过如下保证高性能和高可靠性: 分布式架构; 多平面设计, 信令处理和数据转发分离; 业务可扩展, 比如防火墙和DPI通过负荷分担分布到多个业务处理单板上1;,Page 7,ME60产品硬件体系结构,Page 8,ME60关键特点,增强的业务控制平面，极为灵活的用户管理和业务管理能力(比如DSS，Firewall，SBC，DPI等)；,分布式DPI: 层次化的DPI部署方案, SSU和外置专用DPI设备配合, 平衡功能和性能, 解决了外置DPI设备转发性能的不足；,采用业界领先的网络处理器和分布式处理架构，获得持续的业务升级能力和突出的处理性能；,可以根据需要对各功能模块进行灵活的组合和扩展；,采用2.56T背板，交换容量达到640G，接口容量达到320G，可扩展性强；,高性能的业务处理板, BSU和SSU均采用10G平台;,Page 9,ME60主要业务特性-1,IP IPv4/IPv6双栈, IPv4地址转换和IPv6过渡方案 路由协议: Static, RIP/RIPng, OSPFv2/v3, IS-IS, BGP/BGP+/MP-BGP 路由表：2M(2G内存MPU), 512K(1G内存MPU) MPLS LDP, CR-LDP, RSVP MPLS OAM MPLS TE Diff-Serv aware TE Multicast 协议：IGMP, PIM-DM/SM, MBGP, MSDP 组播方案: PPPoE组播, MVLAN, 接口, 可控组播 性能: 8K(S, G)/槽位, 8K份/(S,G), 最大复制32K份/槽位 组播路由: 8K VPN 三层VPN: BGP/MPLS VPN, 1K VRF 二层VPN: VPWS(支持Martini和Kompella草案) VPLS: BGP或LDP 信令, H-VPLS, 4K VSI,Page 10,ME60业务特性-2,宽带接入 用户接入: xDSL, Ethernet, WLAN, HFC. IPv4 and IPv4/IPv6双栈接入 接入和认证： PPP、DHCP Option、WEB、AAA 授权：bandwidth, ACL, Priority, Routing Policy, DSS动态业务选择 安全: 通过VLAN和VPN隔离用户, 绑定检查 用户/会话： 12k/槽位, 整机96k VLAN: 整机512k, 64k/槽位, 4k vlan/端口; 64k QinQ/端口 PVC: 整机512k, 128k/槽位, 64k pvc/端口 专线: 4k基于物理端口的专线, vlan/pvc或PPP拨号 ISP/用户域: 1k VPN: 接入用户可映射到MPLS L3VPN, 用于多ISP业务批发 VPDN 功能: LAC/LNS/LTS LAC: 整机16K隧道，96K会话；每板12K会话 LNS: 每TSU单板16K隧道，32K会话，整机按板数累加,Page 11,ME60业务特性-3,业务特性 DSS: 动态业务选择, 与Portal、策略服务器一起为提供灵活、多样的定制业务 每用户支持8个增值业务、8条业务流 每单板支持32K增值业务、32K业务流 整机支持256K增值业务、256K业务流 SIG: 与SIG配合, 实现网络的安全控制 IPTN: IP电信网, 通过COPS下发开放策略 安全 NAT/NAT ALG NAT地址池: 128个地址池 (地址空间: 128地址池*255个地址) 状态防火墙: VPN感知、可基于用户域决定是否做防火墙 会话: 2M会话(两个方向计算) 会话建立速度 : 150Kpps(业界领先) 安全区: 128,Page 12,ME60业务特性-4,IPTV 支持各种用户标识方式: 包括VBAS、DHCP Option 82、PPPoE+等 组播: 基于PPP会话、VLAN、组播VLAN或接口的组播 基于用户和位置的组播权限列表控制 组播流的优先级调度和整形 Triple Play 支持DHCP Option 82和Option60 支持终端的隔离和绑定检查 支持不同业务的优先级调度,Page 13,ME60业务特性-5,QoS能力 强大的简单流分类能力 灵活的复杂流分类，支持接口ACL和用户ACL Remark Meter CAR 功能强大的WRED 层次化调度 每板256K流队列, 5级调度业界第一的TM调度能力 基于SP/WRR、WFQ、RR的调度, 提供严格的资源保证和灵活的业务模式 基于用户的业务流调度 调度采用专用TM ASIC完成, 不影响转发性能,Page 14,ME60业务特性-6,HA 关键部件冗余 主控板、交换网、风扇、电源等关键部件提供冗余备份能力, 无单点故障 Graceful Restart和NSF 支持各类路由协议和VPN应用的Graceful Restart, 主备倒换不需要重新学习路由 FRR和LSP 支持快速重路由和LSP的备份, 为链路失效和节点失效提供保护 OAM、BFD 支持MPLS OAM和BFD，在数据平面快速检测和倒换, 保证业务不中断 VRRP、ASSP 通过VRRP和ASSP, 为双归入接入和上行提供很好的保护能力 Trunk 通过以太网Trunk和IP Trunk, 增加带宽并提高可靠性 环网接入 支持STP和RRPP协议透传功能, 为环网接入提供了保证，有效提高业务可靠性,Page 15,ME60主要单板,Page 16,ME60主要单板,MPU板：,OFL 按钮 单板插拔按钮。在做单板拔出前按下OFL 按钮， 提出拔板申请。大约需要连续按钮6 秒钟，直至 OFL 指示灯点亮时，单板才可安全拔出。 OFL 指示灯（红色） 红灯亮，表示单板可安全拔出。 RUN 运行灯（绿色） 绿灯慢闪（0.5Hz），表示系统处于正常运行状态。 绿灯快闪（2Hz），表示系统处于告警状态。 ALM 告警灯（红色） 红灯常亮，表示告警。 红灯灭，表示正常。 ACT 主备灯（绿色） 绿灯常亮，表示主用。 绿灯灭，表示备用。,Page 17,ME60主要单板,SFU板：,OFL 按钮 单板插拔按钮。在做单板拔出前按下OFL 按钮， 提出拔板申请。大约需要连续按钮6 秒钟，直至 OFL 指示灯点亮时，单板才可安全拔出。 OFL 指示灯（红色） 红灯亮，表示单板可安全拔出。 RUN 运行灯（绿色） 绿灯慢闪（0.5Hz），表示系统处于正常运行状态。 绿灯快闪（2Hz），表示系统处于告警状态。 ACT 主备灯（绿色） 绿灯常亮，表示主用。 绿灯灭，表示备用。,Page 18,ME60主要单板,LPU板：,根据业务种类的不同，LPU 可分为ESU、BSU、SSU 和TSU，如下表所示。, BSU：GE 光接口 ESU：GE 光接口、10GE LAN 光接口、10GE WAN 光接口 OC-48c/STM-16c POS 光接口、 OC-192c/STM-64c POS 光接口,Page 19,ME60主要单板,GE 光接口BSU：,OFL 按钮 单板插拔按钮。在做单板拔出前按下OFL 按钮， 提出拔板申请。大约需要连续按钮6 秒钟，直至 OFL 指示灯点亮时，单板才可安全拔出。 OFL 指示灯（红色） 红灯亮，表示单板可安全拔出。 RUN 运行灯（绿色） 绿灯慢闪（0.5Hz），表示系统处于正常运行状态。 绿灯快闪（2Hz），表示系统处于告警状态。 LINK/ACT（绿色） 绿灯灭，表示链路没有连通。 绿灯常亮，表示链路已经连通。 绿灯闪烁，表示有数据收发。 光接口连接器类型 LC/PC,Page 20,ME60主要单板,GE 光接口ESU：,OFL 按钮 单板插拔按钮。在做单板拔出前按下OFL 按钮， 提出拔板申请。大约需要连续按钮6 秒钟，直至 OFL 指示灯点亮时，单板才可安全拔出。 OFL 指示灯（红色） 红灯亮，表示单板可安全拔出。 RUN 运行灯（绿色） 绿灯慢闪（0.5Hz），表示系统处于正常运行状态。 绿灯快闪（2Hz），表示系统处于告警状态。 LINK/ACT（绿色） 绿灯灭，表示链路没有连通。 绿灯常亮，表示链路已经连通。 绿灯闪烁，表示有数据收发。 光接口连接器类型 LC/PC,Page 21,ME60主要单板,10GE LAN/WAN 光接口ESU：,OFL 按钮 单板插拔按钮。在做单板拔出前按下OFL 按钮， 提出拔板申请。大约需要连续按钮6 秒钟，直至 OFL 指示灯点亮时，单板才可安全拔出。 OFL 指示灯（红色） 红灯亮，表示单板可安全拔出。 RUN 运行灯（绿色） 绿灯慢闪（0.5Hz），表示系统处于正常运行状态。 绿灯快闪（2Hz），表示系统处于告警状态。 LINK/ACT（绿色） 绿灯灭，表示链路没有连通。 绿灯常亮，表示链路已经连通。 绿灯闪烁，表示有数据收发。 光接口连接器类型 LC/PC,Page 22,ME60主要单板,OC-48c/STM-16c POS 光接口ESU：,OFL 按钮 单板插拔按钮。在做单板拔出前按下OFL 按钮， 提出拔板申请。大约需要连续按钮6 秒钟，直至 OFL 指示灯点亮时，单板才可安全拔出。 OFL 指示灯（红色） 红灯亮，表示单板可安全拔出。 RUN 运行灯（绿色） 绿灯慢闪（0.5Hz），表示系统处于正常运行状态。 绿灯快闪（2Hz），表示系统处于告警状态。 LINK/ACT（绿色） 绿灯灭，表示链路没有连通。 绿灯常亮，表示链路已经连通。 绿灯闪烁，表示有数据收发。 光接口连接器类型 LC/PC,Page 23,ME60主要单板,OC-192c/STM-64c POS 光接口ESU：,OFL 按钮 单板插拔按钮。在做单板拔出前按下OFL 按钮， 提出拔板申请。大约需要连续按钮6 秒钟，直至 OFL 指示灯点亮时，单板才可安全拔出。 OFL 指示灯（红色） 红灯亮，表示单板可安全拔出。 RUN 运行灯（绿色） 绿灯慢闪（0.5Hz），表示系统处于正常运行状态。 绿灯快闪（2Hz），表示系统处于告警状态。 LINK/ACT（绿色） 绿灯灭，表示链路没有连通。 绿灯常亮，表示链路已经连通。 绿灯闪烁，表示有数据收发。 光接口连接器类型 LC/PC,Page 24,ME60主要单板,隧道业务板TSU：,OFL 按钮 单板插拔按钮。在做单板拔出前按下OFL 按钮， 提出拔板申请。大约需要连续按钮6 秒钟，直至 OFL 指示灯点亮时，单板才可安全拔出。 OFL 指示灯（红色） 红灯亮，表示单板可安全拔出。 RUN 运行灯（绿色） 绿灯慢闪（0.5Hz），表示系统处于正常运行状态。 绿灯快闪（2Hz），表示系统处于告警状态。 ACT 指示灯（绿色） 绿灯常亮，表示工作正常。 绿灯灭，表示有故障。,TSU 用于GRE（Generic Routing Encapsulation）、L2TP（Layer Two Tunneling Protocol）的LNS（L2TP Network Server）或LTS（L2TP Tunnel Switch）等隧道 业务的处理，不出任何物理接口，可以插在任何LPU 槽位。,Page 25,ME60主要单板,安全业务板SSU：,OFL 按钮 单板插拔按钮。在做单板拔出前按下OFL 按钮， 提出拔板申请。大约需要连续按钮6 秒钟，直至 OFL 指示灯点亮时，单板才可安全拔出。 OFL 指示灯（红色） 红灯亮，表示单板可安全拔出。 RUN 运行灯（绿色） 绿灯慢闪（0.5Hz），表示系统处于正常运行状态。 绿灯快闪（2Hz），表示系统处于告警状态。 ACT 指示灯（绿色） 绿灯常亮，表示工作正常。 绿灯灭，表示有故障。,SSU 用于可感知终端的多实例防火墙、NAT（Network Address Translation） 等业务的处理，不出接口，可以根据实际应用的需要在系统中插一块或者多块 SSU，SSU可以插在任何LPU 槽位。,Page 26,第1章 ME60设备介绍篇 第2章 ME60设备业务配置篇 第3章 ME60设备故障处理篇,内容介绍,Page 27,业务概述,ME60 中的业务可以分为接入业务和增值业务两类。 1、接入业务： ME60 作为BRAS 设备，负责将用户接入到运营商网络。接入业务的业务策略由RADIUS 服务器下发给ME60。 2、增值业务： ME60 可作为BRAS+SSG（Service Select Gateway）设备，负责将用户接入具体的业务服务器，并针对具体的业务流进行业务控制。,Page 28,接入业务,在接入业务中，ME60 作为BRAS 设备，也可叫BRAS（Broadband Remote Access Server）业务，他是是运行在ME60 上的功能组件，用于为宽带用户提供接入服务。 接入业务特征： 1、接入的识别和感知 2、AAA 3、地址管理 4、用户管理 5、业务的策略控制,Page 29,接入业务,接入方式： IPoE（IP over Ethernet） IPoEoVLAN（IP over Ethernet overVLAN） PPPoE（Point-to-Point Protocol over Ethernet） PPPoEoVLAN（PPPoEover VLAN） 802.1X 专线 ND（Neighbor Discovery）,Page 30,接入业务,认证、计费和授权： 认证：不认证、本地认证、RADIUS 认证和HWTACACS 认证 计费：不计费、RADIUS 计费和HWTACACS 计费 授权：直接授权、本地授权、 RADIUS 认证成功后授权和HWTACACS 授权 Web 认证、快速认证、绑定认证、PPP 认证和802.1X 认证,Page 31,接入业务,地址管理： IPv4 地址池：本地地址池，远端地址池 DHCP 功能：DHCP Server、DHCP Relay、DHCP Client DHCP Option：Option 60 和Option 82 地址重叠,Page 32,接入业务,用户管理： ME60 基于域来管理接入用户 1. 域和用户帐号 不认证、本地认证以及不计费外，所有的用户帐号都配置在AAA服务上在AAA 服务器上用户帐号的所有归属域都必须在ME60 上进行对应的配置。,Page 33,接入业务,用户管理： 2. 缺省域,Page 34,接入业务,用户管理： . 设备用户和设备域 设备用户：设备用户是指通过ME60 管理的其他网络设备，通过IP 地址、MAC 地址、接入ME60的接口等属性标识。 设备域：ME60 中特殊的域，用于管理设备用户。设备域的一部分业务属性是固定的，不可进行配置，包括不认证、不计费、不作闲置切断、不作接入限制。 设备域对普通用户无效，同样普通域也对设备用户无效。,Page 35,接入业务配置实例,ME60 中，接入协议包括：IPoX（IPoE、IPoEoVLAN） 、 PPPoX（PPPoE、PPPoEoVLAN） 、 802.1X 、专线（二层专线、三层专线） 、 ND 接入,Page 36,接入业务配置实例,配置PPPoEoVLAN接入： 以下图为例，用户归属于isp1 域，从ME60 的GE8/0/1.1 接口下以PPPoEoVLAN 方式接入，LAN Switch 使用VLAN 1 和VLAN 2 对用户报文进行标记。 采用RADIUS 认证和RADIUS 计费。 RADIUS 服务器地址为192.168.7.249，认证和计费端口分别是1645 和1646，采用RADIUS+1.1 协议，密钥为itellin。 DNS 服务器地址为192.168.7.252。,Page 37,接入业务配置实例,# 配置虚模板接口. Quidway interface Virtual-Template 1 Quidway-Virtual-Template1 ppp authentication-mode chap Quidway-Virtual-Template1 quit # 配置认证方案。 Quidway aaa Quidway-aaa authentication-scheme auth1 Quidway-aaa-authen-auth1 authentication-mode radius Quidway-aaa-authen-auth1 quit # 配置计费方案。 Quidway-aaa accounting-scheme acct1 Quidway-aaa-accounting-acct1 accounting-mode radius Quidway-aaa-accounting-acct1 quit Quidway-aaa quit,Page 38,接入业务配置实例,# 配置RADIUS 服务器组。 Quidway radius-server group rd1 Quidway-radius-rd1 radius-server authentication 192.168.7.249 1645 Quidway-radius-rd1 radius-server accounting 192.168.7.249 1646 Quidway-radius-rd1 radius-server type plus11 Quidway-radius-rd1 radius-server shared-key itellin Quidway-radius-rd1 quit # 配置地址池。 Quidway ip pool pool1 local Quidway-ip-pool-pool1 gateway 172.82.0.1 255.255.0.0 Quidway-ip-pool-pool1 section 0 172.82.0.2 172.82.0.200 Quidway-ip-pool-pool1 dns-server 192.168.7.252 Quidway-ip-pool-pool1 quit,Page 39,接入业务配置实例,# 配置isp1 域。 Quidway aaa Quidway-aaa domain isp1 Quidway-aaa-domain-isp1 authentication-scheme auth1 Quidway-aaa-domain-isp1 accounting-scheme acct1 Quidway-aaa-domain-isp1 radius-server group rd1 Quidway-aaa-domain-isp1 ip-pool pool1 Quidway-aaa-domain-isp1 quit Quidway-aaaquit,Page 40,接入业务配置实例,# 为子接口指定虚模板接口。 Quidway interface GigabitEthernet 8/0/1 Quidway-GigabitEthernet8/0/1 undo shutdown Quidway-GigabitEthernet8/0/1 interface GigabitEthernet 8/0/1.1 Quidway-GigabitEthernet8/0/1.1 uservlan 1 2 Quidway-GigabitEthernet8/0/1.1-vlan-1-2 quit Quidway-GigabitEthernet8/0/1.1 pppoe-server bind virtual-template 1,Page 41,接入业务配置实例,# 配置BAS 接口 Quidway interface GigabitEthernet 8/0/2.1 Quidway-GigabitEthernet8/0/2.1 uservlan 1 2 Quidway-GigabitEthernet8/0/2.1-vlan-1-2 quit Quidway-GigabitEthernet8/0/2.1 bas Quidway-GigabitEthernet8/0/2.1-bas access-type layer2-subscriber Quidway-GigabitEthernet8/0/2.1-bas authentication-method bind Quidway-GigabitEthernet8/0/2.1-bas default-domain authentication isp3 Quidway-GigabitEthernet8/0/2.1-bas quit Quidway-GigabitEthernet8/0/2.1 quit,Page 42,接入业务配置实例,# 配置BAS 接口。 Quidway-GigabitEthernet8/0/1.1 bas Quidway-GigabitEthernet8/0/1.1-bas access-type layer2-subscriber Quidway-GigabitEthernet8/0/1.1-bas authentication-method ppp Quidway-GigabitEthernet8/0/1.1-bas quit Quidway-GigabitEthernet8/0/1.1 quit # 配置上行接口。 Quidway interface GigabitEthernet 7/0/1 Quidway-GigabitEthernet7/0/1 undo shutdown Quidway-GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0,Page 43,接入业务配置实例,配置总结： # 配置虚模板接口。 # 配置认证方案 # 配置计费方案 # 配置RADIUS 服务器组 # 配置地址池 # 配置域 # 为子接口指定虚模板接口。 # 配置BAS 接口。 # 配置上行接口。,不同接入方式的认证、计费、radius、地址池和域配置都是 相同的，只是不同的接入方式，bas接口配置不同。,Page 44,第1章 业务概述 第2章 接入业务 第3章 增值业务,内容介绍,Page 45,增值业务,业务概述 增值业务（例如VoD、Gaming、Triple Play 等）是用户访问运营商的Portal 服务器所选择的业务，可为运营商提供持续增值盈利的能力。当用户使用增值业务时，运营商可针对具体业务，按流量或时长进行差异化计费。增值业务的业务策略一般基于具体的业务进行配置。在增值业务中，ME60 可作为BRAS+SSG（Service Select Gateway）设备，负责将用户接入具体的业务服务器，并针对具体的业务流进行业务控制。增值业务的开展基于接入业务，当用户接入时，RADIUS 服务器已经针对该用户下发了接入业务的业务策略。当用户使用增值业务时，需要动态修改业务策略。一般情况下，COPS（Common Open Policy Service）服务器向ME60 下发增值业务的业务策略。如果RADIUS 服务器支持CoA（Change of Authorization）消息，也可由RADIUS 服务器下发CoA 消息动态修改增值业务的业务策略。,Page 46,增值业务,多业务选择 用户可根据需要在Portal 服务器定制具体的增值业务，ME60 根据COPS 服务器下发的业务策略对业务流进行计费、业务控制的功能。,Page 47,增值业务,多业务选择流程,Page 48,增值业务的配置,#配置COPS 服务器 当使用COPS 服务器下发增值业务的业务策略时，需要在ME60 上配置COPS 服务器。在ME60 中，以COPS 服务器组对COPS 服务器进行管理。COPS 服务器组是一组具有相同属性（IP 地址、VPN 实例、端口号和权重除外）、采用负荷分担方式工作的COPS 服务器的集合。 配置COPS 全局参数,创建COPS 服务器组,Page 49,增值业务的配置,#配置COPS 服务器,#配置COPS 客户端标识,#配置COPS 服务器的流保持时间,Page 50,增值业务的配置,#配置COPS 服务器的密钥,#激活COPS 服务器,Page 51,增值业务的配置,#配置业务策略 业务策略用于对增值业务进行控制，业务策略包括计费方案、流量策略、闲置切断等方面。配置业务策略以后，可以在域中引用。域使用的业务策略是对所有域用户都适用的缺省业务策略。当用户使用某个未指定业务策略的增值业务时，系统使用用户所在域的缺省业务策略；否则以该增值业务的业务策略为准。 使能增值业务功能,创建业务策略,Page 52,增值业务的配置,#指定计费方案,#指定流量策略,#配置闲置切断,Page 53,增值业务的配置,#配置业务策略的全局参数,#指定域使用的业务策略,Page 54,增值业务的配置实例,组网需求： 使用COPS 服务器为用户下发增值业务的业务策略。 COPS 服务器的IP 地址为10.10.10.1，端口号为3288，共享密钥为hello。 isp1 域的用户使用基本增值业务的业务策略为：计费模式为RADIUS 计费、闲置切断的时长为10 分钟、闲置切断的流量为1k、业务的带宽为1M。 RADIUS 计费服务器的IP 地址为10.10.10.2，端口1813，其余采用默认值。,Page 55,增值业务的配置实例,# 配置COPS 服务器组。 Quidway cops-server group group2 client-type ssg Quidway-cops-group1 cops-server 10.10.10.1 3288 Quidway-cops-group1 cops-server pep-id 1.1.1.1 Quidway-cops-group1 cops-server shared-key hello Quidway-cops-group1 active Quidway-cops-group1 quit # 配置计费方案。 Quidway aaa Quidway-aaa accounting-scheme acct1 Quidway-aaa-accounting-acct1 accounting-mode radius Quidway-aaa-accounting-acct1 quit Quidway-aaa quit # 配置RADIUS 服务器组。 Quidway radius-server group group1 Quidway-radius-group1 radius-server accounting 10.10.10.2 1813 Quidway-radius-group1 quit,Page 56,增值业务的配置实例,# 配置流量策略。 Quidway user-group isp1 Quidway acl 6001 Quidway-acl-ucl-6001 rule permit ip source user-group isp1 destination any Quidway-acl-ucl-6001 quit Quidway traffic classifier class1 Quidway-classifier-class1 if-match acl 6001 Quidway-classifier-class1 quit Quidway traffic behavior behavior1 Quidway-behavior-behavior1 car cir 1000 pir 5000 cbs 1000000 pbs 5000000 Quidway-behavior-behavior1 quit Quidway traffic policy policy1 Quidway-trafficpolicy-policy1 classifier class1 behavior behavior1 Quidway-trafficpolicy-policy1 quit,Page 57,增值业务的配置实例,# 配置业务策略。 Quidway value-added-service enable Quidway value-added-service policy policy1 Quidway-vas-policy-policy1 accounting-scheme acct1 Quidway-vas-policy-policy1 idle-cut 10 1 Quidway-vas-policy-policy1 traffic-policy policy1 in-policy Quidway-vas-policy-policy1 traffic-policy policy1 out-policy Quidway-vas-policy-policy1 quit # 配置域。 Quidway aaa Quidway-aaa domain isp1 Quidway-aaa-domain-isp1 accounting-scheme acct1 Quidway-aaa-domain-isp1 radius-server group group1 Quidway-aaa-domain-isp1 cops-server group group1 Quidway-aaa-domain-isp1 user-group isp1 Quidway-aaa-domain-isp1 value-added-service policy policy1 Quidway-aaa-domain-isp1 quit Quidway-aaa quit,Page 58,增值业务的配置实例,# 验证配置结果。 # 查看COPS 服务器组group1 的配置。 Quidway display cops-server configuration group group1 # 查看计费方案acct1 的配置。 Quidway display accounting-scheme acct1 # 查看RADIUS 服务器组group1 的配置。 Quidway display radius-server configuration group group1 # 查看流量策略policy1 的配置。 Quidway display traffic classifier user-defined class1 # 查看业务策略policy1 的配置。 Quidway display value-added-service policy policy1 # 查看域isp1 的配置。 Quidway display domain name isp1,Page 59,第1章 ME60设备介绍篇 第2章 ME60设备业务配置篇 第3章 ME60设备故障处理篇,内容介绍,Page 60,ME60设备故障处理篇,PPPoX 接入认证流程 PPPoE、PPPoEoV、PPPoEoQ用户的接入流程 1、 用户客户端通过PPPoE 拨号器拨号发起上线请求。 2、ME60 和客户端进行PPPoE 协商，创建PPPoE 控制块，为用户建立会话并分配Session ID，完成PPPoE 链路的建立。 3、ME60 和客户端进行PPP 协商，协商完成后客户端和ME60 间以CHAP、PAP 或 MSCHAP 方式完成验证。 4、 ME60 根据用户所在域的认证方案进行远端认证，并返回认证成功消息。 5、 认证成功后，ME60 从用户所在域配置的地址池中为用户分配IP 地址，或者通过 DHCP Proxy 从远端的DHCP 服务器为用户分配IP 地址。 6、 用户可以正常上网并开始计费。 7、 ME60 在用户上网过程中，将周期性的对用户进行握手探测，以确保用户连接信息的实 时准确性，如果连续在配置的最大探测次数内没有收到用户的响应，并且用户无流 量，ME60 认为用户已经异常下线，断开用户连接并删除相关信息，停止计费。 8、 用户在线过程中，可以通过PPPoE 拨号软件主动断开和ME60 连接，此时ME60 立即 删除用户的连接信息，停止计费。 注意： PPPoE 和PPPoEoV 基本是相同的，只是PPPoEoV 报文送到ME60 时增加了VLAN 标记，目前 常见的网络都是使用交换机构建的，所以PPPoEoV 是目前最常见的形式。,Page 61,ME60设备故障处理篇,PPPoE 接入流程图,Page 62,ME60设备故障处理篇,ME60故障流程图,Page 63,ME60设备故障处理篇,步骤 1 使用命令display aaa online-fail-record 查看用户上线失败原因。 display aaa online-fail-record username testhauwei - User name : testhuawei User MAC : 0010-6059-6828 User access type : PPPoE User access interface : Eth-Trunk5 Qinq Vlan/User Vlan: 0/0 User IP address : 255.255.255.255 User ID : 2979 User authen state : Authened User acct state : AcctIdle User login time : 2007/02/18 15:26:33 User online fail reason: Radius authentication send fail - User online fail reason 显示的是用户上线失败的原因，根据原因我们可以大概判断故 障，为后面的具体定位提供指引，常见的PPPoX 用户上线失败的原因下 所示。,Page 64,ME60设备故障处理篇,PPPoX 用户上线失败原因 User online fail reason 解释 PPP authentication fail PPP 用户认证失败。 IP address alloc fail IP 地址分配失败。 IP address conflict IP 地址冲突。 mac address conflict MAC 地址冲突。 Start accounting fail 开始计费失败。 Domain or user access limit 域或用户接入限制。 Port access limit 端口接入限制。 PPP negotiate fail PPP 协商失败。 Send authentication request fail 发送认证请求失败。 Radius authentication reject RADIUS 认证拒绝。 Radius authentication send fail 发送认证RADIUS 请求失败。 Local authentication reject 本地认证拒绝。 Local authentication no user 找不到本地用户。 Local Authentication user type not match 本地帐号类型不匹配。 Local Authentication user block 本地帐号未激活。,Page 65,ME60设备故障处理篇,步骤 2 检查配置是否正确。 从步骤1 看到的用户认证失败原因中，有些是可以明确配置原因的，如Local authentication no user、Domain or user access limit 对这类问题可以直接通过检查配置解 决问题。 有些上线失败的原因里无法看到记录，因为用户并没有上线，在下线记录中也没有用 户的记录，这说明用户PPPoX 的链路都没有建立，对于这种情况，可以通过业务跟踪 来处理。 步骤 3 查看业务跟踪的消息。 打开用户的业务跟踪功能，进行用户上线测试，在用户上线过程结束后，查看业务跟 踪的消息。 1. discovery 阶段完成消息 -2007/4/11 15:1:30-PPPOE0006-5b6c-aaf9:Process PADR packet successfully(Session ID = 4) -2007/4/11 15:1:30-PPPOE0006-5b6c-aaf9:Send PADS packet successfully, notify PPP up(Session ID = 4) 看到这两个消息说明discovery 阶段完成，如果没有此消息说明没有收到PADI 或 PADR 报文，请检查二层网络是否可达；端口状态是否正常；接入类型是否是二层用 户；认证方式是否包括PPP；接口下是否绑定了虚模板等。,Page 66,ME60设备故障处理篇,2. LCP 协商成功并完成消息 -2007/4/11 15:1:30-PPP0006-5b6c-aaf9:LCP negotiate successfully, start PAP/CHAP negotiate 看到此消息说明LCP 协商成功并完成，否则请检查LCP 协商阶段是否成功。少量用户 时可以使用debugging 消息，建议在客户端抓包确认。 3. 用户发起认证请求 -2007/4/11 15:1:30-CM0006-5b6c-aaf9:Receive PPP_AUTH_REQ from PPP (userid:5) 看到此消息说明用户发起认证请求。 4. 认证结果 -2007/4/11 15:1:30-AAA0006-5b6c-aaf9:Send authentication ack to UCM successfully(UserID = 5, Result = SRV_AUTH_PASS) 此消息代表认证结果，如果成功显示为Result = SRV_AUTH_PASS，如果失败显示为 auth_fail 请检查认证过程。 5. 请求IP 地址分配 -2007/4/11 15:1:30-CM0006-5b6c-aaf9:Send AM_IP_REQ to AM (userid:5 slot:0) 看到此消息，说明认证通过开始请求分配IP 地址。 6. IP 地址分配结果 -2007/4/11 15:1:30-AM0006-5b6c-aaf9:Send IP address reply to CM successfully (IP = 186.0.0.251) 此消息说明IP 地址分配的结果，如果分配失败请检查IP 地址分配相关配置。,Page 67,ME60设备故障处理篇,7. NCP 协商消息 -2007/4/11 15:1:30-PPP0006-5b6c-aaf9:Authenticate succe