ME60培训资料(共49张).pptx

ME60 多业务控制网关-内部培训资料PAGE 0建工局-zzlove2012-11Page 1一、ME60产品简介1、ME60功能概述2、ME60产品类型3、ME60结构及槽位4、ME60主要单板PAGE 21、ME60功能概述IP 网络正处于向有机地集成在一起，克服了传统防火墙等设备无法适应电信级运营需求的缺陷，实现智能化的电信级IP 承载网转型的过程中，核心网边缘设备的智能化是实现网络转型的关键核心网边缘设备必须从简单的IP转发设备转型为智能化的多业务控制网关，以支持3G、NGN 和IPTV 等电信业务的开展HUAWEI ME60 正是为满足这一转型需求而开发的智能化多业务 控制网关设备，可充分保证各项电信业务的安全性、可靠性和QoS基于ME60 及相应的解决方案，运营商可以构建智能化的电信级IP 承载网，实现IP 网络的转型，将传统电信业务向新网络迁移ME60 将用户管理、安全控制、业务控制等各种功能了用户级的管理和控制，可大幅降低运营成本，为电信业务运营提供基础平台ME60 通过业务层与承载层的关联，实现对各类业务的用户鉴别、呼叫控制、策略控制、QoS 保障、安全保障等功能PAGE 3ME60 包括五款产品类型：ME60-X16、ME60-X8、ME60-X3、ME60-16 和ME60-8。

ME60-X16ME60-X82、ME60产品类型系统容量：交换容量640Gbps、接口容量320Gbps转发性能：400Mpps端口密度：16x10Gbps系统结构：双主控热备份；网板1+3冗余备份；电源、风扇1+1热备份ME60-16设备参数备注：ME60-8相关参数均为ME60-16的1/2PAGE 43、ME60结构及槽位u MPU（主控板）：槽位17、18主备冗余u SFU（交换网板）：槽位19-221+3冗余u LPU（业务板）：槽位1-16LPU可以是BSU、ESU、TSU或SSU单板含义MPUME60-16主控板,完成系统的管理和控制平面的多数功能SRUME60-8主控板, 与MPU基本相同, 但增加交换网SFU交换网（ME60-16四块, ME60-8两块, 另外两块在两个SRU上），分SFUA和SFUB两种BKPA系统无源背板, 为各系统单元提供数据和控制通道的互连BSU宽带业务单元, 提供用户接入和各种VPN业务目前提供1*10GE、 10*GE和24*GE接口ESU企业业务单元, 提供路由和各类VPN业务提供10*GE、1*10GE、10G POS、4*2.5G POS接口具体光模块请参见配置手册TSU隧道业务单元, 提供GRE和LNS/LTS隧道相关的业务SSU安全业务单元, 提供状态防火墙和NAT/ALG功能SBC会话控制单元, 提供SBC功能低速接口单板通过兼容Rainier单板实现各类低速接口，如FE、ATM、E1/E3等Page 54、ME60主要单板Page 65、ME60物理架构Page 75、ME60逻辑架构Page 85、ME60交换网结构Page 9二、ME60产品特性1、ME60以太网接口特性2、接入业务特性3、典型组网应用 用户户按域管理 域可以理解为为具有某种共同业务业务 属性的用户户群或者某种业务终业务终 端 用户认证时户认证时 ，选择选择 相应应的域，按所选择选择 的域来控制其业务业务 按域实实施控制策略 认证计费认证计费 策略：是否需要认证认证 、计费计费 ，计费计费 服务务器故障后的计费计费 策略 带宽带宽 控制参数 访问权访问权 限 用户优户优 先级级、DSCP/802.1p等QoS参数 路由策略，用户业务户业务 流分流 按域部署/分配网络资络资 源 按域部署 DHCP Server、Radius Server、地址资资源用户管理：管理用户的策略域可以用来对用户分群、业务终端分类用户管理：标识并定位用户的方法PUPV PUPV：Per User Per VLAN，离用户最近的L2 或 DSLAM 为用户标记 VLAN ID 用户标识：帐号接入位置（BAS设备槽位端口VLAN）用户终端标识（IP、MAC地址 用户安全性：通过VLAN 隔离，防DHCP、ARP、PPPoE欺骗，防IP 地址盗用 私接用户防止：一个物理位置接入用户数限制 帐号安全性：用户帐号和指定端口绑定 网络攻击定位：每个用户的接入位置唯一，对网络的恶意攻击不可抵赖ME60LanSwitchVLAN1VLAN2PVC1PVC2PORT1PORT2PORT1+VLAN1PORT1+VLAN2PORT2+VLAN1PORT2+VLAN2ME60DSLAM 分配静态态地址 分配静态态地址，在指定端口接入 分配动态动态地址 PPP用户户从AAA 或本地地址池分配地址 PPP用户户，从外部 DHCP Server统统一分配地址 支持DHCP Relay 支持内置DHCP Server 地址的安全性 用户户地址被绑绑定，防地址仿冒 用户户关机后由MA5200G 释释放已申请请的地址 对对VLAN下接入用户户数限制，防止恶恶意申请请地址DHCP ServerInternet伪造MAC地址不断申请IP地址关机不释放IP地址，长时间占用地址资源盗用其它用户地址ME60Radius Server用户管理：地址分配用户管理：接入认证nPPP拨拨号认证认证 PPPoE、PPPoEoA拨拨号 本地地址池、Radius Server、DHCP Server分配地址 强推Portal 门户门户n802.1x认证认证 支持WLAN用户户的EAP-MD5认证认证 和EAP-SIM认证认证nWeb认证认证 强制WEB认证认证 ，强推Portal门户门户 认证认证 后二次地址分配n端口绑绑定认证认证 用户户开机，无须输须输 入用户户名和密码码 费费用计计入该该端口对应对应 的帐帐号n快速WEB认证认证 端口绑绑定认证认证 和 WEB认证结认证结 合，无需输输入用户户名和密码码，只需点击击“确认认”按钮钮n认证认证 方式灵活性 同时时支持PPP、 802.1X、 WEB、端口绑绑定认证认证 ，每个端口可以指定某种或某几种认证认证 方式动态动态 地址用户户静态态地址用户户PPP拨拨号用户户802.1x拨拨号用户户用户管理：用户业务授权 带宽带宽 控制：通过过CAR实现实现 基于用户帐户帐 号的带宽带宽 控制 访问权访问权 限：支持基于用户户分群的访问权访问权 限控制UCL（User based ACL），而不是传传统统路由器的基于地址段的ACL 互访权访权 限：支持基于用户户分群的互访权访权 限控制 QoS优优先级级：区分用户户服务务，DSCP 和 802.1p 组组播权权限：对对用户组户组 播权权限控制，使组组播业务业务 可控 策略路由：指定上行端口（下一跳）、VLAN、隧道 动态动态 授权权：用户户在接入过过程中，根据业务业务 需要修改用户权户权 限，包括带宽带宽 、访问权访问权 限、QoS等当某个属性没有下发时，将按用户所在域的属性执行 实时计费实时计费 ，提供时长时长 、流量计费计费 信息 两级计费级计费 ，运营营商和代理运营营商结结算对对帐帐 按按时长时长时长时长 、流量、流量计费计费计费计费 区分接入方式：区分接入方式：EthEth、ADSLADSL、WLANWLAN 区分区分带宽带宽带宽带宽 基于以上元素的各种灵活的基于以上元素的各种灵活的资费资费资费资费 策略策略 多种支付手段多种支付手段 按月结结算 可充值预值预 付费费卡 一次性预预付费费卡用户管理：用户计费IP骨干网ME6ME60 0L2L2L2L2防用户流失防资费流失、纠纷用户管理：防止私接和资费流失合法包月用户合法包月用户计时用户计时用户计时用户计时用户APAPWLANWLAN用户用户DSLAMDSLAM防高成本建设低资费收入案例2：三个同事申请一个包月帐号和两个计时帐号，共享包月帐号上网案例3：计时帐号被盗用后，发生资费纠纷案例1： 以个人用户开通宽带，申请一个包月账号，通过 proxy 或带有NAT 的 RTU 经营网吧业务案例4：WLAN接入，用ADSL帐号认证付费黑市网吧除了“转正”已别无选择！ 限制 VLAN 下接入用户数 带宽 CAR 限制连接建立速度 监控统计每月的流量Page 17三、RADIUS特性与实现1、RADIUS特性概述2、ME60 RADIUS特性实现3、ME60 RADIUS特性规格Page 181.1 RADIUS特性概述RADIUS: Remote Authentication Dail In User Serviceu定义了NAS与服务器的交互报文格式和交互过程，实现用户上线过程中的认证、计费、授权功能。

u采用C/S模型，NAS作为RADIUS服务器的客户端，发起用户的认证、计费请求uRADIUS采用MD5算法对用户口令加密及验证数字签名uRADIUS报文采用TLV格式，有较好的灵活扩展性Page 191.2 RADIUS特性功能RADIUS实现了以下功能:u用户上线过程中的认证功能u用户上线过程中的计费功能，以及用户时的实时计费功能u用户上线过程中直接对用户进行授权u用户过程中的动态授权u使指定用户下线的功能，即DM（Disconnect Message）Page 201.3 RADIUS协议交互流程用户输入用户名密码认证请求包 Access-request认证接受包Access-accept(可同时授权)计费开始请求包 Accting-request计费开始响应包Accting-responseRADIUS服务器ME60Page 211.3 RADIUS协议交互流程用户访问网络资源实时计费请求包 Accting-request实时计费请求响应包 Accting-response授权包 Coa-request授权回应包 Coa-responseRADIUS服务器ME60Page 221.3 RADIUS协议交互流程通知访问结束计费结束请求包 Accting-request（Stop）计费结束请求响应包Accting-responseRADIUS服务器ME60PAGE 232.1 RADIUS典型应用场景PCAccess Network路由器InternetRADIUS服务器（主）RADIUS服务器（备）Page 242.3 RADIUS服务器选择策略u服务器状态控制策略。

u主备方式下的服务器选择策略u负载均衡方式下的服务器选择策略权重值）Page 252.4 RADIUS配置思路2、配置RADIUS服务器及选择算法4、配置域，域下引用认证、计费模板、RADIUS服务器1、在路由器上配置认证模板和计费模板3、配置RADIUS认证、计费服务器和端口Page 262.4 RADIUS配置思路ME60aaaME60-aaaauthentication-scheme jgj1 创建名为jgj1的认证方案ME60-aaa-authen-jgj1authentication-mode radius 设置认证模式ME60-aaa-authen-jgj1quitME60-aaaaccounting-scheme jgj2 创建名为jgj2的计费方案ME60-aaa-accounting-jgj2accounting-mode radius 设置计费模式ME60-aaa-accounting-jgj2quitME60-aaaquit1、在路由器上配置认证模板和计费模板1、在路由器上配置认证模板和计费模板Page 272.4 RADIUS配置思路ME60radius-server group jxjgj 创建radius服务器组ME60-radius-jxjgjradius-server algorithm master-backup 设置算法2、配置RADIUS服务器及选择算法。

3、配置RADIUS认证、计费服务器和端口ME60-radius-jxjgjradius-ser。