ME60培训资料.ppt

Page 1 建工局 zzlove 2012 11 Page 2 一 ME60产品简介 1 ME60功能概述 2 ME60产品类型 3 ME60结构及槽位 4 ME60主要单板 Page 3 1 ME60功能概述 IP 网络正处于向有机地集成在一起 克服了传统防火墙等 设备无法适应电信级运营需求的缺陷 实现智能化的电信级IP 承载 网转型的过程中 核心网边缘设备的智能化是实现网络转型的关键 核心网边缘设备必须从简单的IP转发设备转型为智能化的多业务 控制网关 以支持3G NGN 和IPTV 等电信业务的开展 HUAWEI ME60 正是为满足这一转型需求而开发的智能化多业务 控制网关设 备 可充分保证各项电信业务的安全性 可靠性和QoS 基于 ME60 及相应的解决方案 运营商可以构建智能化的电信级IP 承载 网 实现IP 网络的转型 将传统电信业务向新网络迁移 ME60 将 用户管理 安全控制 业务控制等各种功能了用户级的管理和控制 可大幅降低运营成本 为电信业务运营提供基础平台 ME60 通 过业务层与承载层的关联 实现对各类业务的用户鉴别 呼叫控制 策略控制 QoS 保障 安全保障等功能 Page 4 ME60 包括五款产品类型 ME60 X16 ME60 X8 ME60 X3 ME60 16 和ME60 8 ME60 X16ME60 X8 2 ME60产品类型 系统容量 交换容量640Gbps 接口容量320Gbps 转发性能 400Mpps 端口密度 16x10Gbps 系统结构 双主控热备份 网板1 3冗余备份 电源 风扇1 1热备份 ME60 16设备参数 备注 ME60 8相关参数均为ME60 16的1 2 Page 5 3 ME60结构及槽位 u MPU 主控板 槽位17 18 主备冗余 u SFU 交换网板 槽位19 22 1 3冗余 u LPU 业务板 槽位1 16 LPU可以是 BSU ESU TSU或SSU 单板含义 MPUME60 16主控板 完成系统的管理和控制平面的多数功能 SRUME60 8主控板 与MPU基本相同 但增加交换网 SFU交换网 ME60 16四块 ME60 8两块 另外两块在两个SRU上 分 SFUA和SFUB两种 BKPA系统无源背板 为各系统单元提供数据和控制通道的互连 BSU宽带业务单元 提供用户接入和各种VPN业务 目前提供1 10GE 10 GE和24 GE接口 ESU企业业务单元 提供路由和各类VPN业务 提供10 GE 1 10GE 10G POS 4 2 5G POS接口 具体光模块请参见配置手册 TSU隧道业务单元 提供GRE和LNS LTS隧道相关的业务 SSU安全业务单元 提供状态防火墙和NAT ALG功能 SBC会话控制单元 提供SBC功能 低速接口单板通过兼容Rainier单板实现各类低速接口 如FE ATM E1 E3等 Page 6 4 ME60主要单板 Page 7 5 ME60物理架构 Page 8 5 ME60逻辑架构 Page 9 5 ME60交换网结构 Page 10 二 ME60产品特性 1 ME60以太网接口特性 2 接入业务特性 3 典型组网应用 用户按域管理 域可以理解为具有某种共同业务属性的用户群或者某种业务终端 用户认证时 选择相应的域 按所选择的域来控制其业务 按域实施控制策略 认证计费策略 是否需要认证 计费 计费服务器故障后的计费策略 带宽控制参数 访问权限 用户优先级 DSCP 802 1p等QoS参数 路由策略 用户业务流分流 按域部署 分配网络资源 按域部署 DHCP Server Radius Server 地址资源 用户管理 管理用户的策略 域可以用来对用户分群 业务终端分类 用户管理 标识并定位用户的方法 PUPV PUPV Per User Per VLAN 离用户最近的L2 或 DSLAM 为用户标记 VLAN ID 用户标识 帐号 接入位置 BAS设备 槽位 端口 VLAN 用户终端标识 IP MAC地址 用户安全性 通过VLAN 隔离 防DHCP ARP PPPoE欺骗 防IP 地址盗用 私接用户防止 一个物理位置接入用户数限制 帐号安全性 用户帐号和指定端口绑定 网络攻击定位 每个用户的接入位置唯一 对网络的恶意攻击不可抵赖 ME60 LanSwitch VLAN1VLAN2PVC1PVC2 PORT1PORT2 PORT1 VLAN1 PORT1 VLAN2 PORT2 VLAN1 PORT2 VLAN2 ME60 DSLAM 分配静态地址 分配静态地址 在指定端口接入 分配动态地址 PPP用户从AAA 或本地地址池分配地址 PPP用户 从外部 DHCP Server统一分配地址 支持DHCP Relay 支持内置DHCP Server 地址的安全性 用户地址被绑定 防地址仿冒 用户关机后由MA5200G 释放已申请的地址 对VLAN下接入用户数限制 防止恶意申请地址 DHCP Server Internet 伪造MAC地 址不断申请IP 地址 关机不释放IP 地址 长时间 占用地址资源 盗用其它 用户地址 ME60 Radius Server 用户管理 地址分配 用户管理 接入认证 nPPP拨号认证 PPPoE PPPoEoA拨号 本地地址池 Radius Server DHCP Server分配地址 强推Portal 门户 n802 1x认证 支持WLAN用户的EAP MD5认证和EAP SIM认证 nWeb认证 强制WEB认证 强推Portal门户 认证后二次地址分配 n端口绑定认证 用户开机 无须输入用户名和密码 费用计入该端口对应的帐号 n快速WEB认证 端口绑定认证和 WEB认证结合 无需输入用户名和密码 只需点击 确认 按钮 n认证方式灵活性 同时支持PPP 802 1X WEB 端口绑定认证 每个端口可以指定某种或某几种认证方式 动态地址用户 静态地址用户 PPP拨号用户 802 1x拨号用户 用户管理 用户业务授权 带宽控制 通过CAR实现基于用户帐号的带宽控制 访问权限 支持基于用户分群的访问权限控制 UCL User based ACL 而不是传统 路由器的基于地址段的ACL 互访权限 支持基于用户分群的互访权限控制 QoS优先级 区分用户服务 DSCP 和 802 1p 组播权限 对用户组播权限控制 使组播业务可控 策略路由 指定上行端口 下一跳 VLAN 隧道 动态授权 用户在接入过程中 根据业务需要修改用户权限 包括带宽 访问权限 QoS 等 当某个属性没有下发时 将按用户所在域的属性执行 实时计费 提供时长 流量计费信息 两级计费 运营商和代理运营商结算对帐 按时长 流量计费按时长 流量计费 区分接入方式 区分接入方式 EthEth ADSLADSL WLANWLAN 区分带宽区分带宽 基于以上元素的各种灵活的资费策略基于以上元素的各种灵活的资费策略 多种支付手段多种支付手段 按月结算 可充值预付费卡 一次性预付费卡 用户管理 用户计费 IP骨干网 ME6ME6 0 0 L2L2L2L2 防用户流失防资费流失 纠纷 用户管理 防止私接和资费流失 合法包月用户合法包月用户计时用户计时用户计时用户计时用户 APAP WLANWLAN用户用户 DSLAMDSLAM 防高成本建设 低资费收入 案例2 三个同事申请一个包月帐号和两个计时 帐号 共享包月帐号上网 案例3 计时帐号被盗用后 发生资费纠纷 案例1 以个人用户开通宽带 申 请一个包月账号 通过 proxy 或 带有NAT 的 RTU 经营网吧业务 案例4 WLAN接入 用 ADSL帐号认证付费 黑市网吧除了 转 正 已别无选择 限制 VLAN 下接入用户数 带宽 CAR 限制连接建立速度 监控统计每月的流量 Page 18 三 RADIUS特性与实现 1 RADIUS特性概述 2 ME60 RADIUS特性实现 3 ME60 RADIUS特性规格 Page 19 1 1 RADIUS特性概述 RADIUS Remote Authentication Dail In User Service u定义了NAS与服务器的交互报文格式和交互过程 实现用户上线过程中的认证 计费 授权功能 u采用C S模型 NAS作为RADIUS服务器的客户端 发起用户的认证 计费请 求 uRADIUS采用MD5算法对用户口令加密及验证数字签名 uRADIUS报文采用TLV格式 有较好的灵活扩展性 Page 20 1 2 RADIUS特性功能 RADIUS实现了以下功能 u用户上线过程中的认证功能 u用户上线过程中的计费功能 以及用户时的实时计费功能 u用户上线过程中直接对用户进行授权 u用户过程中的动态授权 u使指定用户下线的功能 即DM Disconnect Message Page 21 1 3 RADIUS协议交互流程 用户输入用户名密码 认证请求包 Access request 认证接受包Access accept 可同时授权 计费开始请求包 Accting request 计费开始响应包Accting response RADIUS服务器 ME60 Page 22 1 3 RADIUS协议交互流程 用户访问网络资源 实时计费请求包 Accting request 实时计费请求响应包 Accting response 授权包 Coa request 授权回应包 Coa response RADIUS服务器 ME60 Page 23 1 3 RADIUS协议交互流程 通知访问结束 计费结束请求包 Accting request Stop 计费结束请求响应包Accting response RADIUS服务器 ME60 Page 24 2 1 RADIUS典型应用场景 PC Access Network 路由器 Internet RADIUS服务器 主 RADIUS服务器 备 Page 25 2 3 RADIUS服务器选择策略 u服务器状态控制策略 u主备方式下的服务器选择策略 u负载均衡方式下的服务器选择策略 权重值 Page 26 2 4 RADIUS配置思路 2 配置RADIUS服务器及选择算法 4 配置域 域下引用认证 计费模板 RADIUS服务器 1 在路由器上配置认证模板和计费模板 3 配置RADIUS认证 计费服务器和端口 Page 27 2 4 RADIUS配置思路 ME60 aaa ME60 aaa authentication scheme jgj1 创建名为jgj1的认证方案 ME60 aaa authen jgj1 authentication mode radius 设置认证模式 ME60 aaa authen jgj1 quit ME60 aaa accounting scheme jgj2 创建名为jgj2的计费方案 ME60 aaa accounting jgj2 accounting mode radius 设置计费模式 ME60 aaa accounting jgj2 quit ME60 aaa quit 1 在路由器上配置认证模板和计费模板 1 在路由器上配置认证模板和计费模板 Page 28 2 4 RADIUS配置思路 ME60 radius server group jxjgj 创建radius服务器组 ME60 radius jxjgj radius server algorithm master backup 设置算法 2 配置RADIUS服务器及选择算法 3 配置RADIUS认证 计费服务器和端口 ME60 radius jxjgj radius server authentication 129 7 66 66 1812 ME60 radius jxjgj radius server accounting 129 7 66 66 1813 ME60 radius 。