深圳城域网二期华为ME60业务配置指导书 文档密级:内部公开
深圳城域网二期
华为ME60业务配置指导书
拟制: 审核: 审核: 批准:
贾鹏
日期: 日期: 日期: 日期:
2007-2-2
2013-4-14
华为机密,未经许可不得扩散 第1页, 共14页
深圳城域网二期华为ME60业务配置指导书 文档密级:内部公开
修订记录
日期 2007-2-2 修订版本 1.00 描述 作者 贾鹏 初稿 2013-4-14
华为机密,未经许可不得扩散 第2页, 共14页
深圳城域网二期华为ME60业务配置指导书 文档密级:内部公开
1、 全局配置
华为ME60作为一个多业务网关可以做BAS使用,在实现方面与junipor ERX和Redback SE800不同,所有资源都是全局共享的,包括地址池,Radius组,路由表等等。所以在配置业务的时候首先要配置一些共用的东西。下面一一讲述。 1) 配制loopback地址 在全局配置模式下: Interface loopback 0
Ip address 121.35.12.73 255.255.255.255 2) 配置Router id 在全局配置模式下 Router id 121.35.12.73 3) 配置OSPF
在全局配置模式下(以现网为例): Ospf Area XXX
Network XXX.XXX.XXX.XXX 0.0.0.0 Nssa
4) 配置 ip pool
在全局配置模式下(这里的顺序即为配置顺序): Ip pool JT-ME60-Pool-01
gateway 121.34.203.1 255.255.255.0 section 0 121.34.203.2 121.34.203.254 dns-server 202.96.128.68
dns-server 202.96.134.133 secondary
注意:这里的section代表一个地址范围,范围是0-7,也就是一个ip pool最多可以有8段地址。当然这8段地址必须与gateway在同一网段。 5) 配置Radius组
2013-4-14
华为机密,未经许可不得扩散
第3页, 共14页
深圳城域网二期华为ME60业务配置指导书 文档密级:内部公开
在全局配置模式下: radius-server group gd_radius
radius-server authentication 61.140.4.144 1812 weight 0 radius-server accounting 61.140.4.144 1813 weight 0 radius-server shared-key szgnet^^
注意:在配置Radius组中我们要配置发往Radius Server的IP地址,在这里我们一般选择Loopback地址作为认证地址。该配置需要在全局配置模式下配置:radius-server source interface LoopBack0。该地址也需要在Radius Server侧配置。 6) 配置认证模板
认证模板中包含认证方式和计费方式,这两种方式里的选项都是相同的,可以作Radius认证(radius),可以作本地认证(local),也可以不认证(none)。默认是Radius认证,所以配置了radius认证后在配置中看不到。命令如下,需要在aaa视图中配置。 authentication-scheme gdtelecom accounting-scheme gdtelecom 7) 配置认证域
ME60通过域(domain)将不通业务的用户区分开来,不同的域用域名区分,比如163.gd和iptv.gd等。域下面可以做一些策略路由来控制该域用户的数据流向,在此次城域网工程中没有涉及策略路由的内容,在这里部描述。具体配置方法如下,在aaa视图下: domain 163.gd
radius-server group gd_radius ip-pool jt-me60-pool-01
域中定义了该域引用的地址池和radius组。 8) 引入用户路由
ME60在配置了动态路由后需要将用户路由引入到路由表中,该路由北称为unr(user netwoek route)路由,引入用户路由方法如下,在动态路由协议视图下配置,如ospf视图下: Import unr 2、 拨号业务
2013-4-14
华为机密,未经许可不得扩散
第4页, 共14页
深圳城域网二期华为ME60业务配置指导书 文档密级:内部公开
ME60的接口是三层接口,所以要通过子接口来终结二层报文。对于PPPOE报文来讲需要配置一个逻辑端口来终结PPP报文。 1) 配制虚模版 在全局配置模式下: interface Virtual-Template0 ppp authentication-mode pap
注:PPPOE用户的认证方式需要在虚模版中配置,目前应用最广泛的是pap方式。 2) 配置二层接入端口 在全局配置模式下: interface GigabitEthernet1/0/4.1 pppoe-server bind Virtual-Template 0 description Dialer
uservlan 101 2999 qinq 1000 bas
access-type layer2-subscriber roam-domain 163.gd
access-limit 1 start-vlan 102 end-vlan 103 qinq 1000
在子接口里面首先配置PPPOE报文终结在虚模版0上。配置QinQ用户数据:uservlan 101 2999 qinq 1000,用户vlan为101到2999,外层vlan为1000。用户的接入类型需要在bas视图下配置,此处配置的是二层用户(layer2-subscriber)。 3) 配制单个vlan允许接入session数: 在bas视图下:
access-limit 1 start-vlan 102 end-vlan 103 qinq 1000 备注:
对于二层接入用户来说存在几个概念:认证前域,认证后域,默认域以及漫游域。 认证前域:此域应用于web认证,用来限制用户认证前可访问的地址。 认证后域:用户通过认证后属于这个域。
默认域:当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务
漫游域:当用户认证时携带的域名在ME60上没有配置的时候采用漫游域认证。实际上
2013-4-14
华为机密,未经许可不得扩散
第5页, 共14页