华为ME60业务配置指导书.docx

华为ME60业务配置指导书 文档密级：内部公开安徽移动IP城域网一期华为ME60业务配置指导书2013-4-16 机密，未经许可不得扩散 第#页, 共29 页1、 全局配置华为ME60作为一个多业务网关可以做BAS使用，在实现方面与junipor ERX和RedbackSE800不同，所有资源都是全局共享的，包括地址池，Radius组，路由表等等所以在 配置业务的时候首先要配置一些共用的东西下面一一讲述1） 配制loopback地址在全局配置模式下：Interface loopback 0Ip address 121.35.12.73 255.255.255.2552） 配置Router id在全局配置模式下Router id 121.35.12.733） 配置OSPF在全局配置模式下（以现网为例）：Ospf X 不填此默认为进程1Area XXXNetwork XXX.XXX.XXX.XXX 0.0.0.0Nssa4） 配置 ip pool在全局配置模式下（这里的顺序即为配置顺序）：Ip pool FY-ME60-Pool-01gateway 121.34.203.1 255.255.255.0section 0 121.34.203.2 121.34.203.254dns-server 202.96.128.68dns-server 202.96.134.133 secondary注意：这里的section代表一个地址范围，范围是0-7，也就是一个ip pool最多可以有8段 地址。

当然这8段地址必须与gateway在同一网段5） 配置Radius组在全局配置模式下：radius-server group anhui_radiusradius-server authentication 61.140.4.144 1812 weight 0radius-server accounting 61.140.4.144 1813 weight 0radius-server shared-key s*zgnetAA注意：在配置Radius组中我们要配置发往Radius Server的IP地址，在这里我们一般选择 Loopback地址作为认证地址该配置需要在全局配置模式下配置：radius-server source interface LoopBackO该地址也需要在 Radius Server 侧配置6） 配置认证模板认证模板中包含认证方式和计费方式，这两种方式里的选项都是相同的，可以作Radius 认证（radius），可以作本地认证（local），也可以不认证（none）默认是Radius认 证，所以配置了radius认证后在配置中看不到命令如下，需要在aaa视图中配置。

authentication-scheme fymobileaccounting-scheme **mobile7） 配置认证域ME60通过域（domain）将不通业务的用户区分开来，不同的域用域名区分，比如163.ah 和i ptv.ah等域下面可以做一些策略路由来控制该域用户的数据流向，在此次城域网工 程中没有涉及策略路由的内容，在这里部描述具体配置方法如下，在aaa视图下： domain 163.ahradius-server group ah_radiusip-pool jt-me6O-pool-O1域中定义了该域引用的地址池和radius组8） 引入用户路由ME60在配置了动态路由后需要将用户路由引入到路由表中，该路由被称为unr（user netwoek route）路由，引入用户路由方法如下，在动态路由协议视图下配置，如ospf视 图下：Import unr2、拨号业务ME60的接口是三层接口，所以要通过子接口来终结二层报文对于PPPOE报文来讲需 要配置一个逻辑端口来终结PPP报文1) 配制虚模版在全局配置模式下：interface Virtual-Template0ppp authentication-mode pap注：PPPOE用户的认证方式需要在虚模版中配置，目前应用最广泛的是pap方式。

2) 配置二层接入端口在全局配置模式下：interface GigabitEthernet1/0/4.1pppoe-server bind Virtual-Template 0description Dialeruservlan 101 2999 qinq 1000basaccess-type layer2-subscriberroam-domain 163.ah 漫游域access-limit 1 start-vlan 102 end-vlan 103 qinq 1000在子接口里面首先配置PPPOE报文终结在虚模版0上配置QinQ用户数据：uservlan 101 2999 qinq 1000，用户v lan为101到2999，外层vlan为1000用户的接入类型需要在bas视 图下配置，此处配置的是二层用户(layer2-subscriber )3) 配制单个vlan允许接入session数：在bas视图下：access-limit 1 start-vlan 102 end-vlan 103 qinq 1000备注：对于二层接入用户来说存在几个概念：认证前域，认证后域，默认域以及漫游域。

认证前域：此域应用于web认证，用来限制用户认证前可访问的地址 认证后域：用户通过认证后属于这个域默认域：当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务漫游域：当用户认证时携带的域名在ME60上没有配置的时候采用漫游域认证实际上 配置漫游域只是表明采用漫游域中的地址池以及认证模板在目前的BAS部署中不允许用户不带域名认证，所以默认域采用ME60的默认配置 defaultl；而漫游域在VPDN测试的时候用到，目前暂时不配置3、 专线业务配置专线业务与拨号业务类似，配置步骤如下：1） 进入子接口模式，配置专线用户的vlanuservlan l04 qinq l0002） 进入bas视图，配置专线用户的接入方式以及认证方式access-type layer2-subscriber default-domain authentication default0 authentication-method bind3） 在全局配置模式下配置该专线用户的地址static-user 121.34.241.130 int g 1/0/4.2 vlan 104 qinq 1000 detect注意：此时必须在全局模式下将专线地址池中的地址exclude掉，否则添加静态用户后会 抱错说从地址池中分不到地址。

4、 VPDN业务VPDN业务在拨号阶段配置与普通拨号用户配置相同，需要在普通拨号用户的配置下增 加两个东西，一个就是在认证域中配置该域为l2tp域，另一个就是需要配置一个 l2tp-group,这样用户通过radius认证后可以与LNS进行l2tp协商按照目前电信运营商们 的规划，所有的l2tp属性都是Radius Server下发的1） 配置认证域为L2TP域domain sinopec.ahradius-server group ah_radiusl2tp-group ah_vpdn2） 配置L2TP-groupl2tp-group ah_vpdnundo tunnel authenticationstart l2tptunnel source LoopBack05、 如何控制IPTV用户访问在ME60上由于路由表都是全局的，所以从任何一个域拨上来的用户都可以通过路由访 问到外网而在开展业务的时候会出现类似于IPTV这样的只允许访问部分地址的情况, 这时候需要用UCL来控制用户访问，具体配置方法如下：1） 全局模式下配置一个User-groupuser-group iptv2） 在iptv域中指定该域内的用户属于user-group iptvdomain iptv.ahradius-server group ah_radiususer-group iptv 〃此命令指定该域内的用户属于user-group iptvip-pool jt-me60-pool-013） 配置两条UCL，一条匹配iptv用户可访问地址，一条匹配全部地址acl number 6000 match-order autodescription The ACL that IPTV users can not accessrule 5 permit ip source user-group iptv#acl number 6001 match-order autodescription The ACL IPTV users can accessrule 5 permit ip source user-group iptv destination ip-address 202.96.134.134 0注：UCL编号为6000-99994） 配置流分类，将不同的UCL区分开来traffic classifier per operator andif-match acl 6001traffic classifier deny operator andif-match acl 60005） 配置两个动作，一个是permit， 一个是deny,默认为permittraffic behavior per1traffic behavior deny1deny6） 配置流策略将流与动作关联华为ME60业务配置指导书 文档密级：内部公开traffic policy iptvclassifier per behavior perl // 允许用户访问 ACL 6001 的网段classifier deny behavior denyl 〃不允许用户访问 ACL 6000的网段7) 在全局下应用流策略traffic-policy iptv global6、一些常用命令1)查看用户信息Display access-user可以查看到目前用户数，每个认证域中有多少用户[ME60-SZ-JT-01]dis access-userTotal users: 2Normal users: 0Admin users: 2Wait authen-ack: 0Authentication finish: 2Accounting ready: 2Realtime accounting: 0Wait leaving-flow-query: 0Wait accounting-start: 0Wait accounting-stop: 0Wait authorization-client: 0Wait authorization-server: 0Domain-nameCurrent-UserOnline-Userdefault0: 0:0default1: 0:0default_admin: 2:0163.ah: 0:02013-4-1。