ME60多业务控制网关产品简介

中国铁通

ME60多业务控制网关产品简介Page0一、ME60产品简介1、ME60功能概述2、ME60产品类型3、ME60结构及槽位 4、ME60主要单板 Page11、ME60功能概述 IP网络正处于向有机地集成在一起，克服了传统防火墙等设备无法适应电信级运营需求的缺陷，实现智能化的电信级IP承载网转型的过程中，核心网边缘设备的智能化是实现网络转型的关键。核心网边缘设备必须从简单的IP转发设备转型为智能化的多业务控制网关，以支持3G、NGN和IPTV等电信业务的开展。HUAWEIME60正是为满足这一转型需求而开发的智能化多业务控制网关设备，可充分保证各项电信业务的平安性、可靠性和QoS。基于ME60及相应的解决方案，运营商可以构建智能化的电信级IP承载网，实现IP网络的转型，将传统电信业务向新网络迁移。ME60将用户管理、平安控制、业务控制等各种功能了用户级的管理和控制，可大幅降低运营本钱，为电信业务运营提供根底平台。ME60通过业务层与承载层的关联，实现对各类业务的用户鉴别、呼叫控制、策略控制、QoS保障、平安保障等功能。Page2ME60包括五款产品类型：ME60-X16、ME60-X8、ME60-X3、ME60-16和ME60-8。ME60-X16ME60-X82、ME60产品类型系统容量：交换容量640Gbps、接口容量320Gbps。转发性能：400Mpps端口密度：16x10Gbps系统结构：双主控热备份；网板1+3冗余备份；电源、风扇1+1热备份ME60-16设备参数备注：ME60-8相关参数均为ME60-16的1/2。Page33、ME60结构及槽位 MPU〔主控板〕：槽位17、18。主备冗余SFU〔交换网板〕：槽位19-22。1+3冗余LPU〔业务板〕：槽位1-16。LPU可以是BSU、ESU、TSU或SSU。Page44、ME60主要单板 MPU：ME60-16主控板，完成系统的管理和控制平面的多数功能。SFU：交换网，分SFUA和SFUB两种。BSU：宽带业务单元，提供用户接入和各种VPN业务。提供10GE接口。ESU：企业业务单元，提供路由和各类VPN业务。提供10GE，10GPOS,4*2.5GPOS接口。TSU：隧道业务单元，提供GRE和LNS/LTS隧道相关业务。SSU：平安业务单元，提供状态防火墙和NAT/ALG功能。Page55、ME60逻辑架构 Page6二、ME60产品特性1、ME60以太网接口特性2、宽带接入业务特性3、典型组网应用 Page71、ME60以太网接口特性GE接口支持流量控制和速率自协商。最多可捆绑16个物理以太网端口，捆绑后的ETH-TRUNK功能与普通口一致。支持不同单板的端口捆绑到同一个ETH-TRUNK。支持主备工作模式，能够根据接口链路状态自动进行主备切换。支持跨设备的E-TRUNK。支持LACP,聚合条件发生改变时，自动调整或解散聚合。支持IPV4、IPV6和MPLS的MTU配置。Page82、ME60宽带接入业务特性用户接入：xDSL，Ethernet,WLAN，HFC,ipv4，ipv4/ipv6双栈接入接入和认证：PPP、DHCP、WEB、AAA 授权:bandwidth,ACL,Priority,Routing

Policy,DSS动态业务选择平安:通过VLAN和VPN隔离用户,绑定检查VLAN:4kVLAN端口;64kQinQ端口.PVC:64Kpvc端口.ISP/用户域:1K.Page93、ME60典型组网应用1.用户管理:用户按域管理。认证时，通过域的配置进行控制。包括认证计费 策略，带宽控制参数，访问权限，优先级。3.PUPV:标示并定位用户。2.接入认证：PPP拨号认证、802.1认证、web认证、端口绑定认证、快速 web认证。Page10三、RADIUS特性与实现1、RADIUS特性概述2、ME60RADIUS特性实现3、ME60RADIUS特性规格Page111.1RADIUS特性概述RADIUS:RemoteAuthenticationDailInUserService定义了NAS与效劳器的交互报文格式和交互过程，实现用户上线过程中的认证、计费、授权功能。采用C/S模型，NAS作为RADIUS效劳器的客户端，发起用户的认证、计费请求。RADIUS采用MD5算法对用户口令加密及验证数字签名。RADIUS报文采用TLV格式，有较好的灵活扩展性。Page121.2RADIUS特性功能RADIUS实现了以下功能:用户上线过程中的认证功能。用户上线过程中的计费功能，以及用户在线时的实时计费功能。用户上线过程中直接对用户进行授权用户在线过程中的动态授权。使指定用户下线的功能，即DM〔DisconnectMessage〕。Page131.3RADIUS协议交互流程用户输入用户名密码认证请求包Access-request认证接受包Access-accept(可同时授权)计费开始请求包Accting-request计费开始响应包Accting-responseRADIUS效劳器ME60Page141.3RADIUS协议交互流程用户访问网络资源实时计费请求包Accting-request实时计费请求响应包Accting-response授权包Coa-request授权回应包Coa-responseRADIUS效劳器ME60Page151.3RADIUS协议交互流程通知访问结束计费结束请求包Accting-request〔Stop〕计费结束请求响应包Accting-responseRADIUS效劳器ME60Page162.1RADIUS典型应用场景PCAccessNetwork路由器InternetRADIUS效劳器〔主〕RADIUS效劳器〔备〕Page172.2山东铁通RADIUS部署架构图Page182.3RADIUS效劳器选择策略效劳器状态控制策略。主备方式下的效劳器选择策略。负载均衡方式下的效劳器选择策略。〔权重值〕Page192.4RADIUS配置思路2、配置RADIUS效劳器及选择算法。4、配置域，域下引用认证、计费模板、RADIUS效劳器。1、在路由器上配置认证模板和计费模板。3、配置RADIUS认证、计费效劳器和端口。Page202.4RADIUS配置思路[ME60]aaa[ME60-aaa]authentication-schemeauth1\\创立名为auth1的认证方案[ME60-aaa-authen-auth1]authentication-moderadius\\设置认证模式[ME60-aaa-authen-auth1]quit[ME60-aaa]accounting-schemeacct1\\创立名为acct1的计费方案[ME60-aaa-accounting-acct1]accounting-moderadius\\设置计费模式[ME60-aaa-accounting-acct1]quit[ME60-aaa]quit1、在路由器上配置认证模板和计费模板。1、在路由器上配置认证模板和计费模板。Page212.4RADIUS配置思路[ME60]radius-servergroupcttsd\\创立radius效劳器组[ME60-radius-cttsd]radius-serveralgorithmmaster-backup\\设置算法2、配置RADIUS效劳器及选择算法。3、配置RADIUS认证、计费效劳器和端口。[ME60-radius-cttsd]radius-serverauthentication129.7.66.661812[ME60-radius-cttsd]radius-serveraccounting129.7.66.661813[ME60-radius-cttsd]radius-serverauthentication129.7.66.661812[ME60-radius-cttsd]radius-serveraccounting129.7.66.661813*对于radius的认证计费端口,有两组端口,一组为1812和1813,另一组是1645和1646.radius的认证和计费效劳器通常是在一组效劳器上。Page222.4RADIUS配置思路4、配置域，域下引用认证、计费模板、RADIUS效劳器。[ME60]aaa[ME60-aaa]domainabc[ME60-aaa-domain-abc]authentication-schemeauth1\\域的认证方式关联[ME60-aaa-domain-abc]accounting-schemeacct1\\域的计费方式关联[ME60-aaa-domain-abc]radius-servergroupcttsd\\域与radius组关联[ME60-aaa-domain-abc]ip-poolpool1\\域与地址池关联[ME60-aaa-domain-abc]quit[ME60-aaa]quitPage232.4RADIUS定位方法2、检查ME60和RADIUS效劳器两端配置是否一致。4、检查RADIUS效劳器是否负荷过重，造成处理报文时间比较长。可以使用displayradiusstatisticspacket命令检查ME60的收发报文计数，如果发送远大于接收的计数，那么可能是RADIUS效劳器负荷过大无响应。1、通过PING命令测试设备到RADIUS效劳器是否可达。3、检查RADIUS效劳器上是否添加了ME60的NAS-IP-ADDRESS。5、检查ME60到RADIUS链路质量是否较差，造成报文时延较大，对于这种情况，需要优化网络质量。在紧急情况下，可以在ME60上延长等待RADIUS效劳器响应的时间。如果步骤4中查出的报文计数差距根本一样，那么可能是网络质量差，收到回应时已经超时。[ME60-radius-cttsd]radius-servertimeout10Page242.5RADIUS定位常用命令1、displayradius-serverconfiguration使用该命令检查radius效劳器的状态是UP还是DOWN。2、displayradius-attribute查看设备支持的radius属性。3、test-aaauser1@abc123radius-groupcttsd该命令可模拟用户上线，测试ME60到radius效劳器之间的radius协议是否正常运行。4、trace，可以根据五元组的组合进行trace，五元组包括CEVLAN、PEVLAN、接口、IP地址、MAC地址。例如：<ME60>traceaccess-userobeject1interfacegigabitethernet3/1/0.Page25三、ME60业务配置1、ME60PPP业务配置2、ME60IP业务配置3、ME60L2TP业务配置 Page263.1PPP业务配置流程及业务流程1.客户端向BRAS发起PPP会话请求。2.BRAS收到请求后把用户名密码发给radius效劳器进行认证。3.RADIUS效劳器把认证结果反响给BRAS。4.认证通过后,BRAS根据用户所在域的配置地址池分配给用户IP地址,并建立完成PPP会话.5.用户上线,可以访问internet,同时BRAS通知RADIUS效劳器进行计费.Page27配置虚模板\\创立VT接口[ME60]interfacevirtual-Template1\\设置PPP验证方式[ME60-virtual-Template1]pppauthentication-modeppp*1.VT接口主要是用来对报文的PPP协议层来进行处理的,使以太网接口可以接收PPP帧.*2.对于PPP的验证方式可以设置为PPP,也可以设置为CHAP.Page28配置地址池\\创立名称为pool1的本地地址池[ME60]ippoolpool1local\\配置地址池网关[ME60-ip-pool-pool1]gateway172.15.1.124\\配置地址段,一个地址池可支持255个段[ME60-ip-pool-pool1]section0172.15.1.2172.15.1.200\\配置DNS,可以配置多个DNS.[ME60-ip-pool-pool1]dns-server61.233.154.33*1.查看地址池配置displayippoolnamepool1*2.配置多个DNSdns-server61.233.154.33secondary*3.配置远端地址池那么为ippoolpool1remotedhcp并创立DHCP效劳器组,指定DHCPserver.Page29ME60域概念介绍认证前默认域(default-domainpre-authentication)认证默认域(default-domainauthentication)认证域(authenticationdomain)系统的三个默认域Default0默认策略是不认证不计费Default1默认策略是radius认证radius计费Default_admin

默认策略是radius认证,不计费Page30配置BRAS接口[ME60]interfacegigabitethernet4/0/1\\以太网无法终结PPPOE会话,所以要绑定虚模板终结PPPOE会话.[ME60-gigabitethernet4/0/1]pppoe-serverbindvirtual-template1\\进入BRAS接口视图[ME60-gigabitethernet4/0/1]bas\\配置用户接入方式为二层用户接入[ME60-gigabitethernet4/0/1-bas]access-typelayer2-subscriber\\配置用户认证后的所属域[ME60-gigabitethernet4/0/1-bas]default-domainauthenticationabc\\配置认证方式[ME60-gigabitethernet4/0/1-bas]authentication-methodppp*查看具体BRAS接口配置displaybas-interfacegigabitethernet4/0/1Page31PPPOEofVlan特殊配置\\创立子接口[ME60]interfacegigabitethernet4/0/1.1\\将用户所属VLAN绑定到子接口[ME60-gigabitethernet4/0/1.1]uservlan23\\把虚模板绑定到子接口[ME60-gigabitethernet4/0/1.1]pppoe-serverbindvirtual-template1*1.假设需要配置QINQ，那么在子接口下配置VLAN时，输入QINQ100VLAN23*2.PPPOEofVlanBRAS接口配置同样需要进入子接口配置。Page323.2IP业务配置流程图及业务流程1.客户端向DHCP效劳器IP地址获取请求。2.DHCP收到请求后,根据认证前域分配给用户IP。3.客户端访问WEBSERVER并输入用户名密码验证。4.WEB效劳器把用户名和密码传送给ME60。5.ME60把用户和明码传送给RADIUS效劳器认证。6.RADIUS效劳器把认证结果反响给ME60。7.认证通过后，客户端可以访问internet。Page33IPOE接入配置流程配置认证、计费策略。配置RADIUS效劳器组。配置IP地址池。配置认证前域。配置认证域。配置WEB认证效劳器。配置ACL。配置BRAS接口。Page34配置WEB效劳器*web效劳器建立WEB页面进行用户名密码。*配置源端口命令可选。\\配置WEB认证效劳,WEB效劳器与ME60之间采用PORTAL协议.[ME60]web-auth-serverX.X.X.Xkeywebvlan\\配置PORTAL协议版本[ME60]web-auth-serverversionV2\\配置与WEB效劳器交互的源端口.[ME60]web-auth-serversourceinterfacegigabitethernet4/0/0Page35配置认证前域[ME60-aaa]domainpre-isp1[ME60-aaa-domain-pre-isp1]authentication-schemedefault0[ME60-aaa-domain-pre-isp1]accounting-schemedefault0[ME60-aaa-domain-pre-isp1]ip-poolpool1[ME60-aaa-domain-pre-isp1]quit[ME60-aaa]quit*通过认证前域分配给用户IP地址,访问web效劳器.Page36配置ACL-用户组配置\\创立ACL6000,用户的ACL为6000-9999[ME60]acl6000\\创立规那么,禁止user-groupcttsd访问任何地址[ME60-acl-ucl-6000]ruledenyipsourceuser-groupcttsd\\创立ACL6001[ME60]acl6001\\创立规那么,只允许cttsd访问WEB效劳器[ME60-acl-ucl-6001]rulepermitipsourceuser-groupcttsddestinationipaddressx.x.x.x0\\创立规那么,只允许cttsd访问DNS效劳器[ME60-acl-ucl-6001]rulepermitipsourceuser-groupcttsddestinationipaddress61.233.154.330Page37配置ACL-流分配器配置\\创立流名称为C1的流分类器[ME60]trafficclassifierC1\\配置此分类器的匹配条件[ME60-classifier-C1]if-matchacl6000\\配置C2流分类器[ME60]trafficclassifierC2[ME60-classifier-C2]if-matchacl6001Page38配置ACL-匹配流分类策略配置\\创立流分类动作deny1[ME60]trafficbehaviordeny1\\匹配的流行为为deny[ME60-behavior-deny1]deny\\创立流分类动作permit1[ME60]trafficbehaviorpermit1\\匹配的流行为为permit[ME60-behavior-permit1]permitPage39配置ACL-流控策略配置\\创立流量策略action1[ME60]trafficpolicyaction1\\把策略和流分类器和流量行为绑定.一个策略只能包含一种行为.[ME60-trafficpolicy-action1]classifierC2behaviorpermit1[ME60-trafficpolicy-action1]classifierC1behaviordeny1\\把策略在全局下发.[ME60]traffic-policyaction1global*在第二步中,存在优先匹配顺序,即先C2后C1Page40配置BRAS接口[ME60]interfacegigabitethernet4/0/1\\进入BRAS接口视图[ME60-gigabitethernet4/0/1]bas\\配置用户接入方式为二层用户接入[ME60-gigabitethernet4/0/1-bas]access-typelayer2-subscriber\\配置用户认证后的所属域为abc，认证前域属于pre-isp1[ME60-gigabitethernet4/0/1-bas]default-domainpre-authenticationpre-isp1authenticationabc\\配置认证方式[ME60-gigabitethernet4/0/1-bas]authentication-methodwebPage41静态用户特殊配置步骤[ME60-ip-pool-pool1]excluded-ip-address172.15.1.2静态用户也需要配置认证策略计费策略，也要配置域信息。配置静态用户必须配置地址池，并将相应的地址从地址池中除去。要在相应的用户认证前域中引用地址池。\\创立静态用户[ME60]static-user172.15.1.2interfacegigabitethernet4/0/1.1vlan2domain-namedefault0detect静态用户在子接口下添加必须带上vlan。配置静态用户必须先配置BAS接口，然后才能添加静态用户。Page423.3L2TP业务概述L2TP:提供了对PPP链路层数据包的隧道〔Tunnel〕传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，并采用包交换技术进行信息交互，从而扩展了PPP模型。特点：灵活的身份验证机制和高度的平安性多协议传输支持radius效劳器的验证支持内部地址分配网络计费的灵活性可靠性VPDN:指利用公共网络〔ISDN和PSTN)的拨号功能和接入网来实现虚拟专用网，为企业、小型ISP、移动办公人员提供接入效劳。VPDN采用专用的网络加密通信协议，在公共网络上建立平安的虚拟专网。当前应用最广泛的是L2TP。Page43L2TP名词解释LAC:L2TP访问集中器〔L2TPAccessConcentrator〕交换网络上有PPP端系统和L2TP处理能力的设备。一般为本地ISP接入设备。LAC通过L2TP隧道及ppp会话与其他数据流隔离。LAC可为多个VPN效劳。LAC位于LNS和远端系统之间起传递数据的作用。NAS可以和用户合并为一个LAC端点，也可以直接作为LAC端点。LNS：L2TP网络效劳器〔L2TPNetworkServer〕PPP会话接收端，通过LNS验证，用户可以登录私网，访问私网资源。LAC对端设备，是通过LAC进行隧道传输的PPP会话的逻辑终止端点。位于私网公网边界，通常是企业网关设备，必要时还兼有NAT功能。LNS可以放在企业总部网络中，也可以为IP公共网络的PE。LNS必须启用隧道单板〔TSU〕，LAC那么无所谓。Page44L2TP隧道模式示意图Page45L2TP2种隧道模式NAS-InitializedNAS-Initialized：由远程拨号用户发起，远程系统通过PSTN/ISDN拨入LAC，由LAC通过Internet向LNS发起建立隧道连接请求。拨号用户地址由LNS分配；对远程拨号用户的验证与计费既可由LAC侧的代理完成，也可在LNS完成。NAS-Initialized的特点是：用户必须采用PPP方式接入到internet。运营商接入设备需要开通相应的vpn效劳。隧道分别驻留在LAC和LNS之间，一个隧道可承载多个会话。用户只有私网地址。Page46L2TP2种隧道模式Client-InitializedClient-Initialized：直接由LAC客户〔指可在本地支持L2TP协议的用户〕发起。此时LAC客户可直接向LNS发起隧道连接请求，无需再经过一个单独的LAC设备。此时，LAC客户地址的分配由LNS来完成。Client-Initialized的特点是：用户必须安装L2TP的拨号软件，可以使windows自带的VPN拨号软件。用户上网的方式和地点没有限制，不需要ISP接入。隧道分别驻留在用户侧和LNS之间，一个隧道只能承载一个会话。用户可以根据自己的平安性需求对参数进行更改。拨号获取NAS分配的公网IP为访问LNS对外接口。假设获取内网IP可修改路由条目。Page47LAC端配置1.配置虚模板\\创立虚模板1[ME60-A]interfacevirtual-template1[ME60-A-virtual-template1]pppauthentication-modeppp*要与LNS端一致[ME60-A-virtual-template1]quit\\在接口上绑定虚模板1[ME60-A]interfacegigabitethernet4/0/1[ME60-A-gigabitethernet4/0/1]pppoe-serverbindvirtual-template1[ME60-A-gigabitethernet4/0/1]quitPage48LAC端配置2.配置radius效劳器\\创立radius效劳器组radius1[ME60-A]radius-servergroupradius1[ME60-A-radius-radius1]radius-serverauthentication202.1.1.2491812[ME60-A-radius-radius1]radius-serveraccounting202.1.1.2491813[ME60-A-radius-radius1]radius-servertypestandard[ME60-A-radius-radius1]radius-servershard-keyhello[ME60-A-radius-radius1]quitPage49LAC端配置3.配置BAS接口[ME60-A]interfacegigabitethernet4/0/1[ME60-A-gigabitethernet4/0/1]bas\\配置接入用户类型为二层用户[ME60-A-gigabitethernet4/0/1-bas]access-typelayer2-subscriber\\配置默认域--对于pppoe用户如果未带域名拨号,那么视归属域为接口下默认域[ME60-A-gigabitethernet4/0/1-bas]default-domainauthenticationisp1\\配置用户接入认证方式为PPP认证[ME60-A-gigabitethernet4/0/1-bas]authentication-methodpppPage50LAC端配置4.配置用户域[ME60-A-aaa]domainisp1*该域用户一经完成认证,触发隧道建立.\\指定域的L2TP组[ME60-A-aaa-domain-isp1]l2tplac*地址池由LNS提供,创立group后引用\\指定域的radius组[ME60-A-aaa-domain-isp1]radius-serverradius1[ME60-A-aaa-domain-isp1]authentication-schemedefault1[ME60-A-aaa-domain-isp1]accounting-schemedefault1Page51LAC端配置5.创立L2TP组及配置相关属性\\使能L2TP[ME60-A]L2TPenable\\配置L2TP组[ME60-A]L2TP-grouplac\\配置隧道名[ME60-A-l2tp-lac]tunnelnamelac*LNS对应配置需匹配\\配置触发LAC初始L2TP隧道建立的条件--指定LND地址[ME60-A-l2tp-lac]start