me60多业务控制网关产品简介.ppt

Page 0,中国铁通 ME60 多业务控制网关产品简介,,一、ME60产品简介,1、ME60功能概述,2、ME60产品类型,3、ME60结构及槽位,4、ME60主要单板,Page 1,Page 2,,1、ME60功能概述,IP 网络正处于向有机地集成在一起，克服了传统防火墙等设备无法适应电信级运营需求的缺陷，实现智能化的电信级IP 承载网转型的过程中，核心网边缘设备的智能化是实现网络转型的关键核心网边缘设备必须从简单的IP转发设备转型为智能化的多业务控制网关，以支持3G、NGN 和IPTV 等电信业务的开展HUAWEI ME60 正是为满足这一转型需求而开发的智能化多业务 控制网关设备，可充分保证各项电信业务的安全性、可靠性和QoS基于ME60 及相应的解决方案，运营商可以构建智能化的电信级IP 承载网，实现IP 网络的转型，将传统电信业务向新网络迁移ME60 将用户管理、安全控制、业务控制等各种功能了用户级的管理和控制，可大幅降低运营成本，为电信业务运营提供基础平台ME60 通过业务层与承载层的关联，实现对各类业务的用户鉴别、呼叫控制、策略控制、QoS 保障、安全保障等功能Page 3,,ME60 包括五款产品类型：ME60-X16、ME60-X8、ME60-X3、ME60-16 和ME60-8。

ME60-X16,ME60-X8,2、ME60产品类型,系统容量：交换容量640Gbps、接口容量320Gbps转发性能：400Mpps,端口密度：16x10Gbps,系统结构：双主控热备份；网板1+3冗余备份；电源、风扇1+1热备份,ME60-16设备参数,备注：ME60-8相关参数均为ME60-16的1/2Page 4,,3、ME60结构及槽位,MPU（主控板）：槽位17、18主备冗余,SFU（交换网板）：槽位19-221+3冗余,LPU（业务板）：槽位1-16LPU可以是BSU、ESU、TSU或SSU4、ME60主要单板,MPU：ME60-16主控板，完成系统的管理和控制平面的多数功能SFU：交换网，分SFUA和SFUB两种BSU：宽带业务单元，提供用户接入和各种VPN业务提供10GE接口ESU：企业业务单元，提供路由和各类VPN业务提供10GE，10G POS,4*2.5G POS接口TSU：隧道业务单元，提供GRE和LNS/LTS隧道相关业务SSU：安全业务单元，提供状态防火墙和NAT/ALG功能Page 5,5、ME60逻辑架构,Page 6,二、ME60产品特性,1、ME60以太网接口特性,2、宽带接入业务特性,3、典型组网应用,Page 7,1、ME60以太网接口特性,GE接口支持流量控制和速率自协商。

最多可捆绑16个物理以太网端口，捆绑后的ETH-TRUNK功能与普通口一致支持不同单板的端口捆绑到同一个ETH-TRUNK支持主备工作模式，能够根据接口链路状态自动进行主备切换支持跨设备的E-TRUNK支持LACP,聚合条件发生改变时，自动调整或解散聚合支持IPV4、IPV6和MPLS的MTU配置Page 8,2、ME60宽带接入业务特性,用户接入：xDSL，Ethernet,WLAN，HFC,ipv4，ipv4/ipv6双栈接入,接入和认证：PPP、DHCP、WEB、AAA,授权:bandwidth,ACL,Priority,Routing Policy,DSS动态业务选择,安全:通过VLAN和VPN隔离用户,绑定检查,VLAN:4k VLAN端口;64k QinQ端口.,PVC:64K pvc端口.,ISP/用户域:1K.,Page 9,3、ME60典型组网应用,1.用户管理:用户按域管理认证时，通过域的配置进行控制包括认证计费 策略，带宽控制参数，访问权限，优先级3.PUPV:标示并定位用户2.接入认证：PPP拨号认证、802.1认证、web认证、端口绑定认证、快速 web认证。

Page 10,三、RADIUS特性与实现,1、RADIUS特性概述,2、ME60 RADIUS特性实现,3、ME60 RADIUS特性规格,Page 11,1.1 RADIUS特性概述,RADIUS: Remote Authentication Dail In User Service,定义了NAS与服务器的交互报文格式和交互过程，实现用户上线过程中的认证、计费、授权功能采用C/S模型，NAS作为RADIUS服务器的客户端，发起用户的认证、计费请求RADIUS采用MD5算法对用户口令加密及验证数字签名RADIUS报文采用TLV格式，有较好的灵活扩展性Page 12,1.2 RADIUS特性功能,RADIUS实现了以下功能:,用户上线过程中的认证功能用户上线过程中的计费功能，以及用户时的实时计费功能用户上线过程中直接对用户进行授权,用户过程中的动态授权使指定用户下线的功能，即DM（Disconnect Message）Page 13,1.3 RADIUS协议交互流程,,用户输入用户名密码,,,认证请求包 Access-request,认证接受包Access-accept(可同时授权),计费开始请求包 Accting-request,计费开始响应包Accting-response,RADIUS服务器,,,,,ME60,Page 14,1.3 RADIUS协议交互流程,,用户访问网络资源,,,实时计费请求包 Accting-request,实时计费请求响应包 Accting-response,授权包 Coa-request,授权回应包 Coa-response,RADIUS服务器,,,,,ME60,Page 15,1.3 RADIUS协议交互流程,,通知访问结束,,,计费结束请求包 Accting-request（Stop）,计费结束请求响应包Accting-response,RADIUS服务器,,,ME60,Page 16,2.1 RADIUS典型应用场景,,,,,,PC,Access Network,路由器,Internet,RADIUS服务器（主）,RADIUS服务器（备）,Page 17,2.2 山东铁通RADIUS部署架构图,Page 18,2.3 RADIUS服务器选择策略,服务器状态控制策略。

主备方式下的服务器选择策略负载均衡方式下的服务器选择策略权重值）,Page 19,2.4 RADIUS配置思路,2、配置RADIUS服务器及选择算法4、配置域，域下引用认证、计费模板、RADIUS服务器1、在路由器上配置认证模板和计费模板3、配置RADIUS认证、计费服务器和端口Page 20,2.4 RADIUS配置思路,[ME60]aaa [ME60-aaa]authentication-scheme auth1 \\创建名为auth1的认证方案 [ME60-aaa-authen-auth1]authentication-mode radius \\设置认证模式 [ME60-aaa-authen-auth1]quit [ME60-aaa]accounting-scheme acct1 \\创建名为acct1的计费方案 [ME60-aaa-accounting-acct1]accounting-mode radius \\设置计费模式 [ME60-aaa-accounting-acct1]quit [ME60-aaa]quit,1、在路由器上配置认证模板和计费模板1、在路由器上配置认证模板和计费模板。

Page 21,2.4 RADIUS配置思路,[ME60]radius-server group cttsd \\创建radius服务器组 [ME60-radius-cttsd]radius-server algorithm master-backup \\设置算法,2、配置RADIUS服务器及选择算法3、配置RADIUS认证、计费服务器和端口[ME60-radius-cttsd]radius-server authentication 129.7.66.66 1812 [ME60-radius-cttsd]radius-server accounting 129.7.66.66 1813 [ME60-radius-cttsd]radius-server authentication 129.7.66.66 1812 [ME60-radius-cttsd]radius-server accounting 129.7.66.66 1813,*对于radius的认证计费端口,有两组端口,一组为1812和1813,另一组是1645和1646.radius的认证和计费服务器通常是在一组服务器上。

Page 22,2.4 RADIUS配置思路,4、配置域，域下引用认证、计费模板、RADIUS服务器[ME60]aaa [ME60-aaa]domain abc [ME60-aaa-domain-abc] authentication-scheme auth1 \\域的认证方式关联 [ME60-aaa-domain-abc] accounting-scheme acct1 \\域的计费方式关联 [ME60-aaa-domain-abc] radius-server group cttsd \\域与radius组关联 [ME60-aaa-domain-abc] ip-pool pool1 \\域与地址池关联 [ME60-aaa-domain-abc] quit [ME60-aaa] quit,Page 23,2.4 RADIUS定位方法,2、检查ME60和RADIUS服务器两端配置是否一致4、检查RADIUS服务器是否负荷过重，造成处理报文时间比较长 可以使用display radius statistics packet命令检查ME60的收发报文计数， 如果发送远大于接收的计数，那么可能是RADIUS服务器负荷过大无响应。

1、通过PING命令测试设备到RADIUS服务器是否可达3、检查RADIUS服务器上是否添加了ME60的NAS-IP-ADDRESS5、检查ME60到RADIUS链路质量是否较差，造成报文时延较大，对于这种情况，需要优化网络质量在紧急情况下，可以在ME60上延长等待RADIUS服务器响应的 时间如果步骤4中查出的报文计数差距基本一样，则可能是网络质量差，收到回应时已经超时 [ME60-radius-cttsd] radius-server timeout 10,Page 24,2.5 RADIUS定位常用命令,1、display radius-server configuration 使用该命令检查radius服务器的状态是UP还是DOWN 2、display radius-attribute 查看设备支持的radius属性 3、test-aaa user1@abc 123 radius-group cttsd 该命令可模拟用户上线，测试ME60到radius服务器之间的radius协议是否正 常运行 4、trace，可以根据五元组的组合进行trace，五元组包括CE VLAN、PE VLAN、 接口、IP 地址、MAC地址。

例如：trace access-user obeject 1 interface gigabitethernet 3/1/0.,Page 25,三、ME60业务配置,1、ME60 PPP业务配置,2、ME60 IP业务配置,3、ME60 L2TP业务配置,Page 26,3.1 PPP业务配置流程及业务流程,1.客户端向BRAS发起PPP会话请求 2.BRAS收到请求后把用户名密码发给radius服务器进行认证 3.RAD。