华为ME60业务配置指导书

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

深圳城域网二期

华为ME60业务配置指导书

拟制: 审核: 审核: 批准:

贾鹏

日期： 日期： 日期： 日期：

2007-2-2

2013-4-14

华为机密，未经许可不得扩散 第1页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

修订记录

日期 2007-2-2 修订版本 1.00 描述 作者 贾鹏 初稿 2013-4-14

华为机密，未经许可不得扩散 第2页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

1、 全局配置

华为ME60作为一个多业务网关可以做BAS使用，在实现方面与junipor ERX和Redback SE800不同，所有资源都是全局共享的，包括地址池，Radius组，路由表等等。所以在配置业务的时候首先要配置一些共用的东西。下面一一讲述。 1） 配制loopback地址 在全局配置模式下： Interface loopback 0

Ip address 121.35.12.73 255.255.255.255 2） 配置Router id 在全局配置模式下 Router id 121.35.12.73 3） 配置OSPF

在全局配置模式下（以现网为例）： Ospf Area XXX

Network XXX.XXX.XXX.XXX 0.0.0.0 Nssa

4） 配置 ip pool

在全局配置模式下（这里的顺序即为配置顺序）： Ip pool JT-ME60-Pool-01

gateway 121.34.203.1 255.255.255.0 section 0 121.34.203.2 121.34.203.254 dns-server 202.96.128.68

dns-server 202.96.134.133 secondary

注意：这里的section代表一个地址范围，范围是0-7，也就是一个ip pool最多可以有8段地址。当然这8段地址必须与gateway在同一网段。 5） 配置Radius组

2013-4-14

华为机密，未经许可不得扩散

第3页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

在全局配置模式下： radius-server group gd_radius

radius-server authentication 61.140.4.144 1812 weight 0 radius-server accounting 61.140.4.144 1813 weight 0 radius-server shared-key szgnet^^

注意：在配置Radius组中我们要配置发往Radius Server的IP地址，在这里我们一般选择Loopback地址作为认证地址。该配置需要在全局配置模式下配置：radius-server source interface LoopBack0。该地址也需要在Radius Server侧配置。 6） 配置认证模板

认证模板中包含认证方式和计费方式，这两种方式里的选项都是相同的，可以作Radius认证（radius），可以作本地认证（local），也可以不认证（none）。默认是Radius认证，所以配置了radius认证后在配置中看不到。命令如下，需要在aaa视图中配置。 authentication-scheme gdtelecom accounting-scheme gdtelecom 7） 配置认证域

ME60通过域（domain）将不通业务的用户区分开来，不同的域用域名区分，比如163.gd和iptv.gd等。域下面可以做一些策略路由来控制该域用户的数据流向，在此次城域网工程中没有涉及策略路由的内容，在这里部描述。具体配置方法如下，在aaa视图下： domain 163.gd

radius-server group gd_radius ip-pool jt-me60-pool-01

域中定义了该域引用的地址池和radius组。 8） 引入用户路由

ME60在配置了动态路由后需要将用户路由引入到路由表中，该路由北称为unr（user netwoek route）路由，引入用户路由方法如下，在动态路由协议视图下配置，如ospf视图下： Import unr 2、 拨号业务

2013-4-14

华为机密，未经许可不得扩散

第4页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

ME60的接口是三层接口，所以要通过子接口来终结二层报文。对于PPPOE报文来讲需要配置一个逻辑端口来终结PPP报文。 1） 配制虚模版 在全局配置模式下： interface Virtual-Template0 ppp authentication-mode pap

注：PPPOE用户的认证方式需要在虚模版中配置，目前应用最广泛的是pap方式。 2） 配置二层接入端口 在全局配置模式下： interface GigabitEthernet1/0/4.1 pppoe-server bind Virtual-Template 0 description Dialer

uservlan 101 2999 qinq 1000 bas

access-type layer2-subscriber roam-domain 163.gd

access-limit 1 start-vlan 102 end-vlan 103 qinq 1000

在子接口里面首先配置PPPOE报文终结在虚模版0上。配置QinQ用户数据：uservlan 101 2999 qinq 1000，用户vlan为101到2999，外层vlan为1000。用户的接入类型需要在bas视图下配置，此处配置的是二层用户（layer2-subscriber）。 3） 配制单个vlan允许接入session数： 在bas视图下：

access-limit 1 start-vlan 102 end-vlan 103 qinq 1000 备注：

对于二层接入用户来说存在几个概念：认证前域，认证后域，默认域以及漫游域。 认证前域：此域应用于web认证，用来限制用户认证前可访问的地址。 认证后域：用户通过认证后属于这个域。

默认域：当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务

漫游域：当用户认证时携带的域名在ME60上没有配置的时候采用漫游域认证。实际上

2013-4-14

华为机密，未经许可不得扩散

第5页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

Option-Value 3 : - DNS-Suffix : -

Primary-DNS : 202.96.128.68 Secondary-DNS : 202.96.134.133 Primary-NBNS : - Secondary-NBNS : - Position : Local Status : Unlocked Gateway : 121.34.241.254 Mask : 255.255.255.128 Vpn instance : --

------------------------------------------------------------------------------------------------------- ID start end total used idle conflicted disable -------------------------------------------------------------------------------------------------------- 0 121.34.241.129 121.34.241.253 125 0 125 0 0 -------------------------------------------------------------------------------------------------------------- Display ip pool name *** all 可以查看到详细到每个IP地址的具体信息 [ME60-SZ-JT-01]dis ip pool name jt-me60-leased_line-pool-01 all Pool-Name : jt-me60-leased_line-pool-01 Pool-No : 2

Lease : 3 Days 0 Hours 0 Minutes Option-Code 0 : - Option-Value 0 : - Option-Code 1 : - Option-Value 1 : - Option-Code 2 : - Option-Value 2 : - Option-Code 3 : - Option-Value 3 : - DNS-Suffix : -

Primary-DNS : 202.96.128.68 Secondary-DNS : 202.96.134.133 Primary-NBNS : - Secondary-NBNS : - Position : Local Status : Unlocked

2013-4-14

华为机密，未经许可不得扩散

第11页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

Gateway : 121.34.241.254 Mask : 255.255.255.128 Vpn instance : --

--------------------------------------------------------------------------------------------------------------- ID start end total used idle conflicted disable

--------------------------------------------------------------------------------------------------------------- 0 121.34.241.129 121.34.241.253 125 0 125 0 0 --------------------------------------------------------------------------------------------------------------- Section 0 :

--------------------------------------------------------------------------------------------------------------- Index IP MAC User-ID Lease Status --------------------------------------------------------------------------------------------------------------- 0 121.34.241.129 - - - idle 1 121.34.241.130 - - - idle 2 121.34.241.131 - - - idle 3 121.34.241.132 - - - idle

---------------------------------------------------------------------------------------------------------------

3） 查看用户下线原因

display aaa offline-record可以查看到用户的下线原因 [ME60-SZ-JT-01]display aaa offline-record

------------------------------------------------------------------- User name : huawei@default_admin User MAC : ffff-ffff-ffff User access type : telnet

User IP address : 121.34.203.194 User ID : 139323 User authen state : Authened User acct state : AcctIdle User author state : AuthorIdle

User acct sessionID: ME60-SZ000006553565535d324f9139323

2013-4-14

华为机密，未经许可不得扩散

第12页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

User login time : 2007/02/01 21:09:09 User offline time : 2007/02/01 21:45:59 User offline reason: user request to offline

------------------------------------------------------------------- Are you sure to show some information?(y/n)[y]:n

display aaa offline-record offline-reason 后面跟上相应的参数可以看到不同原因下线的用户信息。 arp_detect_fail idle_cut

Offline reason Offline reason Offline reason Offline reason Offline reason Offline reason Offline reason Offline reason

ppp_echo_fail

ppp_user_request realtime_acct_fail session_timeout stop_acct_fail user_request

4） 查看L2TP tunnel，session

Display l2tp tunnel，display l2tp session可以查看到目前存在的l2tp通道和进程。 5） 跟踪用户消息

ME60支持跟踪用户消息，该消息中包括与Radius交互的消息以及ME60内部各个功能模块的处理消息，在出现故障的时候对用户作一个跟踪非常有效。具体配置步骤如下： 全局模式下：

[ME60-SZ-JT-01]trace enable [ME60-SZ-JT-01]trace object ?

//可以根据用户名，MAC地址，vlan号来跟踪

access-mode The access mode interface The interface ip-address The IP address mac-address The MAC address pvc The PVC user-name The user name

2013-4-14

华为机密，未经许可不得扩散

第13页, 共14页

深圳城域网二期华为ME60业务配置指导书 文档密级：内部公开

user-vlan The user VLAN ID

一般情况下我们会将跟踪的用户消息写到CF卡上，跟踪用户消息的完整命令为： trace object user-name test@163.gd output file cfcard:/test.txt 7、 配置举例（以景田的配置为例）

景田的配置见附件：

2013-4-14

华为机密，未经许可不得扩散 第14页, 共14页

本文来源：https://www.bwwdw.com/article/22np.html